人才是第一资源,网络安全人才是一个国家整体网络空间安全保障的根基。要在国家层面造就一支规模宏大、结构优化、布局合理、素质优良的网络安全人才队伍,必须研究制定网络安全从业人员识别和描述的标准。简言之,就是要有一个能判断某人是否属于网络安全从业人员,属于什么类型和级别的标准。如果这个标准缺失或不够准确,必然会影响到现有网络安全员才队伍态势判断、劳动力供需分析、人才梯队规划建设、职业教育培训引导、人员评价考核等一系列工作,甚至可能造成政策误判的严重后果。美国将人员标准的问题视为网络安全人才建设中的一项极为重要的课题,过去十余年专门就网络安全人员标准的研究、编制和应用开展了大量工作,目前已形成一套以“NICE网络安全人力框架(NCWF)”为核心的人员标准体系,并且正在全美范围内进行应用推广。研究美国网络安全从业人员标准的内容和发展历程对我国具有重要参考价值。

一、美国NICE人力框架(NCWF)概述

美国自“国家网络安全综合计划(CNCI)”时期开始就意识到,网络安全人员能力测评和工作角色的定义没有标准统一的方法,而要从国家层面对网络安全人才队伍进行规划和管理,必须制定一个专门的网络安全人力框架,否则就难以对网络安全人才队伍数量、质量以及能力缺口进行评估。美国决策者认为,网络安全人力框架是有效进行网络安全人才测量的前提,是促进人才队伍建设的重要工具,因此,在后续各项网络安全人才政策中均把人力框架的开发和完善作为重点内容进行部署。

1.NICE人力框架的编制过程

2008年美联邦政府就向联邦首席信息官委员会(CIOC)下达任务,要求其提供一份用于描述联邦政府内部网络安全人员角色的标准框架。2011年,CIOC发布研究结果,在大量联邦政府部门行业专家反馈意见基础上,将网络安全角色划分为11个。CIOC的成果后并入NICE计划,形成了NICE网络安全人力框架(NCWF)1.0,其中包含13个角色。该框架发布后在联邦政府各部门广泛征求意见,收到大量修改意见和建议。之后按照NICE计划的部署,国土安全部(DHS)牵头组建专题研究组对NCWF 1.0进行修订,广泛收集政、产、学各界行业专家意见,并于2014年发布NCWF 2.0。此次修订的一个重点是不仅要反映联邦政府各部门的意见,也要体现产业界的反馈信息,从而确保人力框架可以适用于全美各行各业。2016年11月,NCWF又吸纳了国防部(DoD)等部门的修改内容,并由NIST作为标准草案发布。2017年8月,编号为SP800-181的NICE网络安全人力框架最终版本的正式发布。

2.NICE网络安全人力框架(NCWF)的内容

SP800-181 NICE人力框架将网络安全人员分为安全保障、运行与维护、监管与治理、保护与防御、分析、搜集与行动,以及调查共7个大的类别,并将这7个类别进一步划分为33个专业领域、52个工作角色。工作角色是在2016年NCWF成为标准草案时才引入的概念,是人员类别、专业领域之下第三个层级的网络安全工作职责集合。这种框架结构有别于常见的工作或岗位的划分,因此无论对公共领域还是私营领域都更具有普适性。现实中各类组织的网络安全岗位可以对应一个或多个工作角色;对于每个工作角色,NCWF都给出了该角色应执行的任务(Task),以及应具备的知识、技能和能力(KSA)。整个框架提供了通用的人员分类和能力描述术语,堪称一部网络安全从业人员的职业字典。

3.NICE网络安全人力框架(NCWF)的应用

NICE网络安全人力框架(NCWF)有助于促进网络安全人才生态中各类角色的工作。对于用人单位来说,可以使用NICE框架盘点和建设自己的网络安全人员队伍,了解人员能力现状,确定人员培训需求,发布标准的岗位招聘启事。对于从业人员或希望进入该领域的准从业人员来说,可以更好地利用NICE框架了解网络安全领域内的工作类别和角色。对于教育培训人员,可以根据该框架开发学历教育和职业培训课程、资质证书、专业研讨、实训演练,或网络安全竞赛等内容。对于技术供应方,可以在NICE框架基础上开发各类软硬件产品和服务,帮助用户确认网络安全工作角色及相应的任务。使用NICE框架中的标准化语言有助于促进上述各方有效的,更好地实现人员供需匹配。各组织可以对自己的岗位需求进行分析,确认哪些岗位最紧缺,填补相应岗位的人员最需要完成哪些任务,具备哪些知识、技能和能力。

二、美联邦政府网络安全人员“定岗定责”相关工作

联邦政府是美国的十六个关键基础设施之一,美联邦政府对其信息系统安全和数据安全高度重视,视之为关系国家安全、社会发展,以及公众信心的重大问题。联邦政府信息化程度较高,各部门信息系统和网络复杂化、动态化、技术多样化,且地理跨度较大,因此政府网络安全保障面临着严峻挑战。然而政府网络安全人才短缺的问题比私营领域严重得多,高水平的网络安全人才在私营领域收入可能比在政府高出三倍。因此美联邦政府格外重视网络安全人才建设的问题,并采取了各类优先措施,以建设一支能满足其网络安全保障需求的人员队伍。而要进行有效的人才培养和管理,首先要解决的就是人员的识别问题,要了解是哪些人在具体从事网络安全工作。

1.美联邦政府传统岗位分类方法难以适应网络安全工作实际

美联邦政府多数文职公务人员的岗位和薪酬体系依照的是“普通薪级表(简称GS)”。GS体系包括22个序列组,共15个级别,每个级别分为10等。长期以来,很多和网络相关的岗位都归类在GS的“2210信息技术管理序列”中。但是据人事管理办公室(OPM)估算,“网络安全属于一项跨领域的工作,涉及100多个联邦岗位序列”。不同的部门使用同一网络安全序列,实际描述的可能是不同的工作职责。例如,同为2210序列,国土安全部的某网络安全岗位工作内容是在IT系统中查找漏洞隐患、防御未授权访问;国防部的某网络安全岗位工作内容则是对网络事件进行评估和响应。由于网络安全范围之宽泛,GS-2210很难覆盖所有类型的网络安全人员,很多从事网络安全相关工作的人员在工作头衔或岗位描述中都得不到体现。

2.OPM在NICE网络安全人力框架基础上编制网络安全岗位编码

由于通过GS体系划分网络安全人员同实际情况有很大出入,造成美联邦政府网络安全人事工作缺乏统筹规划,网络安全岗位人员真实数量也难以统计,致使政府很难制定出人才招聘、部署、发展和留用的整体策略。这既是美国最初要编制NICE人力框架希望解决的问题之一,同时也是该框架的一个重要的应用场景。因此在NCWF 1.0发布之后,OPM于2012年10月在其基础上发布了一套网络安全岗位编码办法,这套办法给NICE框架中的每个“类别”和“专业领域”都设定了一个两位数的编码。如“运营与维护”类别的编码为40,该类别下的“数据管理”专业领域编码为42,“知识管理”为43,不适用的岗位编码为00。2013年7月,OPM启动了“特别网络安全人力项目”,要求政府各部门将这套编码办法落地实施。依照OPM的要求,各部门须在2014财年结束之前给本部门的网络安全岗位确定相应的编码。

3.《2015联邦网络安全人力评估法案》促进全政府范围人才摸底

美国国会于2015年8月通过了一部关于政府网络安全人才的重要法案《2015联邦网络安全人力评估法案》,核心目标是加快联邦政府雇用高水平网络安全人才的进度,相关工作主要分两个阶段:首先要摸清政府当前网络安全人员队伍现状,包括数量和质量两个方面;然后要确认政府需求最迫切的人才缺口是什么,哪些工作角色最为急需紧缺。法案具体要求人事管理办公室(OPM)、国家标准与技术研究院(NIST)、国土安全部(DHS)、国家情报总监办公室(ODNI)等部门完成以下工作:一是OPM与NIST协调,编制一套网络安全岗位编码规则;二是OPM与NIST、ODNI协调,制定联邦政府文职网络安全岗位的编码确定规程;三是OPM应向相关国会委员会提交进度报告;四是各部门对其现有网络安全人员队伍基线评估情况进行汇报,并制定各自的网络安全岗位识别和编码规程。

(1)OPM制定新的网络安全岗位编码办法及应用指南

OPM按照法案要求,继2012年第一版编码之后,于2016年11月编制了新的网络安全岗位编码办法。由于此时的NICE框架引入了工作角色的概念,OPM新的编码对象从“专业领域”改为“工作角色”,给框架中的每个工作角色都对应了一个三位数的编码。如,在第一版编码办法中,“软件开发”这一专业领域的编码为62;新版编码办法中“软件开发”下增加了“软件开发人员”和“安全软件评估人员”两个工作角色,对应的编码分别为621和622;而完全不从事网络安全职责的角色则用编码000来描述。2017年1月4日,OPM发布《信息技术、网络安全以及网络相关岗位应用网络安全新编码指南》,要求联邦政府各部门启用新的编码办法;各部门对其网络安全人员确定编码时,不仅要给已有的网络安全岗位编码,而且要对空缺岗位也进行编码。

(2)美联邦政府各部门落实网络安全人员队伍基线评估

按照《2015联邦网络安全人力评估法案》要求,政府各部门不仅要完成网络安全相关岗位人员的盘点,还要开展网络安全人员队伍的基线评估。评估的主要方法是统计一个部门中承担网络安全相关职责的人员中,持有行业认可的权威资质者所占的比例,以此作为评估一个部门网络安全人员队伍所具有知识和技能的有效指标。具体要求包括:一是确认在网络安全岗位人员中,持有行业认可的、NICE框架内相关资质的人员所占的比例;二是确认暂不持有相关资质的网络安全人员参加资质认定考试的就绪度;三是制定规划,缩小人员在以下两方面中存在的差距:(1)持有行业认可资质的人员;(2)暂不持有相关资质的人员参加资质认定考试的就绪度。

(3)美联邦政府各部门基线评估执行情况及下一步工作

按照《2015联邦网络安全人力评估法案》的要求,政府各部门已于2018年4月完成各自网络安全人员队伍基线评估的工作。对于评估的效果,美国政府责任署(GAO)2018年6月发布的审计报告认为,尽管大部分政府部门都按时完成了网络安全人员队伍基线评估的任务,但由于OPM要求各部门完成网络安全岗位编码的期限比完成人员队伍基线评估的期限要晚,且NICE也没有给出一份关于权威网络安全人员资质的列表,影响了各部门评估结果的准确度和可靠性。按照法案要求,下一步工作是确认本部门最急需紧缺的网络安全工作角色,并向OPM提交报告说明相关理由。这项工作预计在2019年4月完成,并将在2019年之后至2022年每年进行一次。目前OPM正在制定一份新的指南,旨在帮助各部门解决如何确认最紧缺工作角色的问题。

三、总结与启示

各国对于网络安全人员的管理都处在边探索、边发展的阶段,还没有形成能与传统行业比肩的职业标准。原因在于:一是任何一个行业从起步到成熟,本身就需要有一个发展的过程。业界常把网络安全同医学进行比较,而现代医学教育改革和职业化进程已经历了上百年的时间,对知识能力要求仍在不断更新。二是网络安全作为以计算学科为基础的新兴和交叉领域,其范围的广度和多样化程度极高,技术、工程、管理、法规、道德等无所不包,要编制一个能够囊括各类网络安全职责的人员标准本身就具有很高的难度。三是网络安全领域技术迭代、态势转变速度极快,这种快速变化的内在特性和标准化的路线存在天然矛盾。人才标准取得共识并出台后,相应的技术可能已经过时,反而阻碍人员知识和技能的发展。

美国NICE网络安全人力框架作为一份无所不包的人员框架性标准,其中罗列人员相关任务多达一千多条,KSA各数百条。编制这部标准是一项非常耗费时间和资源且过程繁琐的工程,这也进一步体现了美国政府对网络安全人才工作的极度重视。标准编制和应用相关工作带来如下启示。

一是编制网络安全人员标准需要广泛征求意见,充分论证,否则难以落地。美国编制NICE人力框架是DHS、DoD等多个部门协同配合、政产学各界积极反馈的结果,确保了标准的全面性和完整性。

二是网络安全人员标准需要保持动态更新,反映技术发展趋势和最新实践。NICE框架十年间历经两次大规模修订,未来也将定期对人员的类别和具体知识能力要求进行更新。

三是真实环境中网络安全岗位人员的识别和描述依然复杂,需要深入研究,反复实践,才能确认最优化的管理方案。美联邦政府各部门在统计网络安全岗位时需要解决“哪些人可以算作网络安全岗位人员”的问题,第一版OPM编码办法规定“主要任务是网络安全工作的人员”才属网络安全岗位人员;《2015联邦网络安全人力评估法案》对于网络安全人员的定义则相对宽泛,把“需要实施IT、网络安全或其他网络相关工作职责的岗位人员”统称为网络安全人员;各部门在2017至2018年间实际进行盘点时采用的依据不等,普遍是将“投入20-30%时间从事网络安全工作”的人员即可认定为网络安全岗位人员。

四是要使网络安全人员标准真正发挥作用,需要开展系列支撑研究,促进其在网络安全人才建设各项工作中的应用。如,要进行网络安全从业人员个体的评价,只有字典式的NICE人力框架是不够的,有必要在一个工作角色所对应的数百条KSA要求中区分人员的通用要求、核心要求和特殊要求。要评估一支队伍的能力现状,或明确急需紧缺的人员需求,也需要有相应的标准和规范予以支撑。如,美联邦政府把“持有行业认可资质的人员所占比例”作为队伍评估指标,就需要明确哪些资质可以接受。但目前除国防部、商务部等6个部门外,多数政府部门对网络安全人员尚没有具体的资质要求。

(本文刊登于《中国信息安全》杂志2018年第7期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。