文│ 中国信息安全测评中心 王星
近年来,网络安全行业快速发展,网络安全从业人员数量逐渐增多,社会影响不断增大,职业意识日益普及。所谓职业意识,指的是人们对职业活动的认知、评价、情感和态度的综合反映。随着网络安全职业化发展进程加快、国家网络安全宣传工作持续深化,公众对网络安全工作职责、这项工作的意义、价值取向以及入门的途径都有了更深的认识。为实现网络强国战略目标,充分发挥网络安全人才在经济社会发展和国家安全保障中的关键作用,有必要进一步强化网络安全职业意识,提升从业人员专业化水平,增强网络安全职业吸引力,充实网络安全人才队伍,提高国家整体网络安全保障能力。
一、网络安全职业意识日益深入人心
随着网络安全从信息技术的一个分支逐步发展为自成体系的专业领域,从业人员也经历了从探索到专精、从兼职到专职的转变,网络安全职业意识日益普及。公众对网络安全专业人员的工作任务、承担的职责,以及所做的贡献也有了更多的了解。
为适应时代需要,国家人力资源和社会保障部近年来发布了若干网络与信息安全相关职业信息:2015年7月,《中华人民共和国职业分类大典》(以下简称“《职业分类大典》”)首次修订,新增“信息安全工程技术人员(职业编码2-02-10-07)”和“网络与信息安全管理员(职业编码4-04-04-02)”两个职业;2020年6月,《职业分类大典(2015年版)》颁布后发布的第三批新职业中设立“信息安全测试员(职业编码4-04-04-04)”职业。网络与信息安全相关职业得到人社部门的认可,反映了国家层面高度重视在网络安全这一具有典型新产业、新业态、新模式特点的领域推进职业化发展。
同时我们也应注意到,以发展的眼光来看,现有的网络和信息安全职业分类还远远无法满足网络安全各细分领域的人才需求,从业人员的职业化发展仍处在初级阶段。网络安全具有跨界交叉融合、知识快速更新的特点,难以在传统职业框架下形成单一、成熟且稳定的职业技能;加之我国信息化起步较晚,网络安全产业规模还比较小,还不能支撑足够细化和深化的产业分工。目前网络安全还没有的职业或职业族标准,对从业人员如何科学地分级分类、应具备何种专业知识和能力水平等问题尚未建立标准规范,各用人单位的信息安全岗位设置和能力要求各行其是,差别还比较大。公众对于真实的网络安全职责也存在一些误解,如对于从业者的工作内容,往往过于强调其中攻击渗透的一面。还有一些希望进入行业的人员仅能通过碎片化的方式了解行业相关知识和能力要求,难以对网络与信息安全知识体系进行系统的把握,对相关工作要求缺乏整体准确的认识。
二、美国发展网络安全职业的举措
1.政策法规凸显网安人才重要性
美国把网络安全人才看作战略性国家安全资源,把网安人才的短缺视为不利于国家安全和政府运行的高风险问题。为此,美国采取了大量行政和立法手段以确保人才建设的落实,为该领域工作提供充足的经费和资源保障。早在2002年发布的《联邦信息安全管理法(FISMA)》中就明确,政府部门负责人对网络安全工作负总责,其中就包括对本部门网络安全人才队伍建设的职责。具体要求是“确保本部门人员经过充分的培训,能够配合部门完成相关政策、规程、标准和指南的合规要求”;负责人还应“指定部门的首席信息官(CIO)或同等职位的领导负责确保满足本部门的合规要求,包括对承担重要信息安全职责的人员进行培训和监督”。美联邦政府各部门需每年由监察长(IG)对本部门FISMA的法律执行情况进行审计,对各项安全支出进行检查,这就确保了各部门的网络信息安全人员培训预算能够落地。据公开的数据,美联邦政府2011财年的IT安全培训支出在整体IT安全支出中所占比例是2.5%,约为3.3亿美元。美国还于2010年启动了“国家网络安全教育计划(NICE)”,力图通过这一国家级的计划加强政产学各方面的合作,推进全美网络安全教育工作,培养网络安全专业人才队伍,进而消减关键基础设施中的漏洞隐患,维护美国网络空间安全。
2.标准化手段建设网安人才队伍
为了实现网络安全人才工作的规模化发展,美国高度重视人才标准的开发和应用。针对不同领域的网络安全人员,分别制定有相应的人才框架和能力要求规范。这其中,要求最高的当属美国国防部的人员标准。由于美军网络行动目标遍布全球,且存在大量跨部门、跨军种,乃至盟国之间的跨国境联合行动,因此网络安全人才标准化建设始终是国防部网络空间能力建设的核心所在。目前,美国防部网空人员管理依据的是DoDD 8570号令《信息保障(IA)培训、认证和人员管理》及其配套实施手册DoD 8570.01M《信息保障人员改进计划》。手册中对国防部所有承担信息保障(IA)职责的人员类型和级别进行了详细的划分,并对每个类型和级别的人员必须达到的基线资质要求做出了明确、硬性的规定。在民用领域,美国使用的网络安全人才标准主要是NICE计划主导编制的《国家网络安全人力框架(NCWF)》。该框架首次发布于2013年,修订后于2017年成为NIST SP800-181号国家标准。NCWF旨在使用通用的术语来定义和描述公私领域各项网络安全工作的内容,详细描述了每个网络安全角色应承担的工作任务,以及应该具备的知识、技能和能力。
3.设立网络安全职业意识宣传周
美国在网络安全意识宣传方面,除了每年十月份的“国家网络安全意识宣传月(NCSAM)”以外,还从2017年开始启动了一项名为“国家网络安全职业意识宣传周(NCCAW)”的活动。前者的目的是在全美范围内提高公众的网络安全意识,后者则重点关注的是网络安全职业和其中的从业人员。NCCAW由美国国家网络安全教育计划(NICE)牵头发起,时间约在每年11月的中旬。该宣传周旨在激发和宣传网络安全职业意识,推动网络安全职业探索。NCCAW已经举办了三年,今年将在2020年11月9-14日举办第四届宣传周。回顾过去的NCCAW活动,该宣传周的内容重点围绕两个主题展开,一是为什么要从事网络安全职业,二是如何进入网络安全行业。
4.高规格表彰奖励优秀网安人才
美国在2018年《国家网络战略》中制定了新的网安人才发展总目标,即“建设更有优势的网络安全人才队伍”,并提出要把“突出和奖励人才”作为一项优先行动计划,对优秀的网络安全教育人员和网络安全专业人员进行奖励和表彰。2019年5月特朗普总统签署《关于美国网络安全人才队伍的行政令》,提出将设立一系列网络安全军功及嘉奖计划,对在网络安全领域做出杰出贡献的军人、文职人员,以及中小学教育者进行表彰。对于联邦政府内的表彰,行政令要求政府各部门应确保在现有的军职和文职人员军功及奖励机制下,网络安全和网络行动领域的杰出表现也能够得到认可,或被授予同等级别的军功及奖励。在必要和适当情况下,各部门应创建新的军功及奖励,对网络安全和网络行动领域中的杰出表现和成就进行表彰。对于联邦政府以外的奖励对象,行政令要求设立“总统网络安全教育奖”,从2019年开始每年奖励小学和中学教育者各一人,并重点强调该奖项奖励的是教育者的教育成就,而非其学术研究水平或技术开发能力。到目前为止,“总统网络安全教育奖”已于今年五月份评选出首批获奖的两名优秀教师。
三、着力加强网安职业意识和专业能力建设
1.进一步营造重视网安人才的环境
理念决定行动。加强网络安全职业意识,提高从业人员的专业能力水平,一方面要严格落实政策法规关于人才建设的合规要求,另一方面也要从根源上提高各单位领导层的网络安全人才意识,营造自上至下重视网安人才、尊重网安专业的环境。关于这一点,习近平总书记在“4·19”网信工作座谈会上明确要求,“各级党委和政府要从心底里尊重知识、尊重人才,为人才发挥聪明才智创造良好条件,营造宽松环境,提供广阔平台”,“要解放思想,慧眼识才,爱才惜才”。建议各级领导干部应积极适应时代要求,强化网络安全思维,真正认识到网络安全人才作为信息时代战略急需资源的重要性,坚持以用为本、急用先行的原则,打造网络安全人才发展的良好环境,让人才的创造活力竞相迸发,聪明才智充分涌流。
2.大力开展信息安全专业人员培训
开展专业培训是提高从业人员整体水平,满足职业化发展需求的重要方法和途径。职业化的一个重要方面,就是要有稳定的知识和能力要求,能够同其他职业进行区分。由于网络安全伴生于各类技术、应用和场景之中,导致网络安全知识和能力的边界难以界定,这给网络安全教育培训带来了极大的挑战。中国信息安全测评中心自2002年起推出“注册信息安全专业人员(CISP)”,专门针对安全人员综合能力提升问题,提供系统化的解决方案。经过十余年的发展和完善,CISP知识体系全面覆盖管理、支撑技术、工程与运营、监管环境等十个知识域,能够有效培养网络安全复合型人才。针对网络安全细分领域众多、技术发展动态性强的特点,CISP深刻把握网络安全人力资源供给侧结构性改革的内在需求,根据社会的迫切需要,在网络安全细分方向和前沿领域推出了安全开发、信息系统审计、渗透测试、大数据安全等十余个专业方向,为从业人员深度学习提供更加聚焦的专业培训内容,建立了丰富而全面的网络安全人才培养体系,成为重要行业和关键领域首选的人员资质。
3.加强对网络安全职业和从业者的宣传
加强网络安全职业相关的宣传有助于树立网络安全职业意识,提高全社会对网络安全人才的重视度,促进网络安全人才供需匹配,吸引更多人加入网络安全专业队伍。CISP作为权威的网络与信息安全专业人员资质,是从业者掌握相应知识和能力、具备业内工作经验和业绩的证明,也是持证人员遵守CISP职业道德准则的庄严承诺。在国家党政机关、电力、通信、金融、能源等重要行业的检验下,在各领域网络安全工作者的见证下,CISP持续输送安全专业人员数万人,成为业内人才评价考核、选拔任用、职业晋阶的必备资质。作为专业网络安全工作者的一张名片,CISP在自身发展的同时,也为各界提供了了解网安工作任务和进入行业的有效途径。随着专业安全人才缺口不断扩大、安全产业加速发展,对网络安全职业化发展的需求也将日益凸显。未来,CISP将持续以其全面的知识体系、严格的职业道德准则要求、结合广大持证人员在维护国家网络安全事业中所做的贡献,为树立和强化网络安全职业意识、促进从业者专业能力水平提升提供最准确的诠释和最生动的体现。
(本文刊登于《中国信息安全》杂志2020年第9期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。