捍卫网络安全的劳动力短缺与劳动力能力不足(掌握的网络安全技能的人才不多)是发达国家维护网络安全所面临的主要问题之一。ENISA认为欧洲需要建立一套框架来明确网络安全职业和所需技能,以此明确网络人才培养方向,缩减网络安全保障需要与现实人才数量、质量之间的差距。该框架旨在丰富欧洲网络安全文化内涵,是推动欧洲数字化走向未来的关键一步。作为一个阐明欧洲网络安全人才主要任务、应掌握技能与知识的实用工具,该框架的主要目的是在欧盟个人、企业与教育机构之间建立对网络安全人才的共同理解,使之成为培养高质量网络安全人才的宝贵工具。
使用框架可以获得的好处有如下三点:其一,在欧盟内,建立起有关网络安全人才的共同术语,并增进从事网络安全职业的相关人员对共同术语的共同理解。其二,从网络安全实际需要出发,确定不同网络安全人才所需的不同技能。其三,促进网络安全教育与劳动力发展计划的协调性。
一、ENISA与ECSF
欧盟网络与信息安全局(ENISA = European Union Agency for Cybersecurity)成立于2004年3月,并置身于《欧洲网络安全法》的框架之下,受到该法的约束。该机构致力于健全欧盟网络政策,通过推行网络安全认证计划提高ICT产品的可信度,并与成员国和欧盟机构合作,并帮助欧洲应对未来的网络安全风险。ENISA通过知识共享、能力提升和强化认识,与利益攸关方展开合作,加强对互联经济的信任,提高欧盟基础设施的复原力,确保欧洲社会和公民的数字安全。
ENISA的主要工作内容是:第一,收集并分析潜在的网络安全风险;第二,提供相关咨询和帮助,增强网络与信息安全执行人员之间的合作交流,促进欧盟委员会和各个成员国之间的合作;第三,致力于提高安全意识,协助欧盟委员会及各个成员国与工业界进行对话,跟踪网络与信息安全相关产品和服务标准的发展状况;第四,协助欧盟委员会与第三国和国际组织开展合作等。1
欧盟十分重视网络安全教育,旨在培养拥有各项保护网络安全技能的人才。在2019年12月,ENISA发布的《欧盟网络安全技能发展报告》(Cybersecurity Skills Development In The EU)指出,网络安全教育与培训面临着人员紧缺的严峻挑战,即使置身全球数字化背景下,全球网络安全技能短缺的规模约407万。这意味着网络安全专业人才在数量和质量上都无法满足市场需求,已经成为影响经济发展和国家安全的重要问题。这篇报告着重强调了培养网络安全专业人才的重要性与必要性,从改善教育问题入手,以期从根本上改变网络安全技能短缺的现状。
2020年,欧盟委员会相继发布了《欧洲技能议程(2020)》(the European Skills Agenda)《欧洲技能公约》(EU Pact for Skills)与《数字教育行动计划(2021—2027)》(the Digital Education Action Plan)。《欧洲技能议程(2020)》是一项针对职业教育与技能培训的计划,旨在提高欧盟技能的相关性,确保培训和终身学习的权利成为整个欧洲各国的现实。2《欧洲技能公约》则是一项针对微电子行业培训和工作人员的技能提升和再培训的计划。根据该计划的指引,欧盟投资20亿欧元到欧洲电子产业集群中,超过 250000 名工人和学生的技能得到提升和再培训。3《数字教育行动计划(2021—2027)》旨在推动欧洲数字化教育改革,提出了“发展高绩效数字教育生态系统”和“提高数字化转型的数字技能和能力”两大战略及十三项行动计划。4一整年内连发3个文件,不断变革教育措施,足见欧盟对于培养数字技能人才的重视。
但是,要解决网络专业人才短缺的问题并非易事。即使改变了教育的政策,也无法彻底解决人才数量不足、人才质量不高的问题。在2022年9月25日,为了早日实现组建一支称职的保障网络安全人才队伍的目标,明确网络安全保障领域内急需的技能,ENISA组织召开了“网络安全技能会”会议,并发布了《欧洲网络安全技能框架》(ECSF=European Cybersecurity Skills Framework)。ENISA 和新的欧洲网络安全能力中心(European Cybersecurity Competence Network and Centre)等主管部门构建了具有开创新的欧盟网络安全监管生态系统。总之,ECSF是ENISA提出的,帮助确定欧洲网络安全技能框架的文件,为制定更加完善的网络安全专业人才培养计划奠定基础。
二、ECSF的概述
欧洲网络安全技能框架(ECSF)是ENISA和ENISA网络安全技能架构特设工作组共同努力的结果,该工作组由来自14个成员国的17名专家组成。第一份草案于2022年4月提交给公众,并与几个研究项目进行了讨论,其中包括为欧洲网络安全中心和能力网络铺平道路的4个欧盟试点项目,以及一个关于技能重写的伊拉斯谟+项目(Erasmus+ project)。
该框架共确定了 12 个与网络安全相关的角色,探索了与这些配置文件中的每一个相关的相关责任、技能、协同作用和相互依赖性,该框架还支持网络安全相关培训计划的设计。在用户手册的支持下——作为基于示例和用例的实用指南——框架打开了一个窗口,展示了它的不同使用方式。该框架的主要目的是建设一支熟练的网络安全工作队伍。另外,该框架的次要目的是在欧盟成员国的个人、雇主和学习计划提供者之间建立共识,使其成为弥合网络安全专业工作场所和学习环境之间差距的宝贵工具。该框架还支持网络安全相关培训计划的设计。
表1 12个与网络安全相关的职位
首席信息安全官 (CISO=CHIEF INFORMATION SECURITY OFFICER) | 网络事件响应者 CYBER INCIDENT RESPONDER |
合规保障人 CYBER LEGAL, POLICY & COMPLIANCE OFFICER | 网络威胁情报专家 CYBER THREAT INTELLIGENCE SPECIALIST |
网络安全架构师 CYBERSECURITY ARCHITECT | 网络安全审计师 CYBERSECURITY AUDITOR |
网络安全教育者 CYBERSECURITY EDUCATOR | 网络安全实施者 CYBERSECURITY IMPLEMENTER |
网络安全研究员 CYBERSECURITY RESEARCHER | 网络安全风险经理 CYBERSECURITY RISK MANAGER |
数字取证调查员 DIGITAL FORENSICS INVESTIGATOR | 渗透测试员 PENETRATION TESTER |
(一)前六个职位主要任务简介
12个与网络安全相关的主要角色名称如上表所示。CISO负责制定网络安全策略与政策。网络安全策略是一项旨在提高机构基础设施和服务安全性和弹性的行动计划。而网络安全政策是各项保证机构网络安全的措施。网络事件响应者负责制定事件响应计划和网络事件报告。事件影响计划是一套文件化的事件处理程序,详细说明了在响应事故的每个阶段(检测、分析、制止、解决、恢复与事故后)应当采取的措施。网络事件报告则是向公众说明机构受到网络攻击情况与应对措施的文书。合规保障人负责准备合规指南与合规报告。合规指南是指能够全面说明机构合规义务的手册,内容包括了法律、法规、政策或标准。合规报告则是对当前机构架构、行为是否合规的说明。网络威胁情报专家负责制作网络威胁情报指南与网络威胁报告。网络威胁情报指南说明了网络威胁情报的搜集方法与收集工具。网络威胁报告用于明确主要的网络威胁,说明有关网络威胁的发展趋势。网络安全架构师提供网络安全架构图和网络安全架构报告。网络安全架构图是用于保护资产的机构网络安全体系结构的可视化图表。网络安全架构报告则是反映保护系统网络安全所需措施的报告。网络安全审计师制作网络安全审计计划和网络安全审计报告。计划内容包括审计员提出的网络安全审计策略与程序。网络安全审计报告是一份全面评估系统网络安全水平的报告。通过分析系统的优缺点,针对不足之处,提供补救措施,以提高系统的安全性。
(二)后六个职位主要任务简介
网络安全教育者负责制作网络安全意识提升计划与网络安全培训材料。网络安全意识提升计划旨在提高机构对包括网络攻击和网络威胁在内的网络安全问题的警惕,以应对网络安全风险。网络安全培训材料是用于提高个人或机构网络安全认识与意识的教学材料。另外,它还包括培训工具,如工具集或虚拟图像,以支持培训课程中的实践。网络安全实施者制作网络安全事件解决方案,提供工具与方案使得机构免受网络攻击。网络安全研究员制作网络安全出版物,发布以网络安全为主题的研究成果。网络安全风险经理负责制作网络安全风险评估报告和网络安全风险应对计划。风险评估报告会列明网络安全风险识别、分析和评估的结果。网络安全风险应对计划旨在明确降低或控制风险的措施。数字取证调查员制作数字取证分析结果和电子证据。数字取证分析对电子数据进行分析,发现相关证据,识别可能存在的攻击者。渗透测试员制作漏洞评估报告和渗透试验报告。漏洞评估报告是对已存在漏洞进行的分析,而渗透试验报告是分析安全实验中出现的威胁。
(三)十二个职位职责表内容概要
为了进一步实现共同理解,ECSF为12个职位分别制作了标准的职位职责表(Role Profile,见附件表1-表12)。介绍表内涵盖了有关职位的其他名称、简述、任务、成果、主要任务、主要技能、关键知识与e—CF评估。
表2 ECSF职位表的主要内容
(工作场所视角) 应当为组织做什么? | 任务、成果、主要任务 (mission\\deliverables/tasks) |
(学习视角) 应当掌握什么知识与技能? | 主要技能、关键知识与e—CF评估 (skills\\knowledgd/e—CF competences) |
1、e—CF评估框架简介
其中,e—CF评估以欧盟ICT人员能力评估框架e-CF(e-Competence Framework)为依据。e-CF框架在2015年4月正式成为欧盟标准,目前已发展到3.0版本。它把所有ICT人员能力分为五大能力域和四十个核心能力项,每个能力项都含有五个熟练级别。该框架不仅为ICT从业人员及管理者提供能力发展的指导,还能在ICT人员的能力预测之中提供帮助。5 e-CF框架还在不同能力领域内描述与划分了能力等级(Level1-Level5)。ENISA此举旨在衔接e-CF框架与ECSF,保证欧盟内各类与职业技能相关的文件之间衔接流畅。
表3 e-CF框架(3.0版)主要内容
五大能力域 | A-PLAN计划 B-BUILD搭建 C-RUN运行 D-ENABLE启用 E-MANAGEMENT管理 |
四十个核心能力项 | A.1-A.9 B.1-B.6 C.1-C.4 D.1-D.12 E.1-E.9 |
五个能力等级 | e1-e5 |
2、EQF与e—CF的关系
欧盟职能标准架构(European Qualifications Framework)是一个普遍适用于欧洲的参考框架。EQF旨在比较不同国家及其教育体系的职能标准与教育目标。EQF建立在2008年4月23日通过的《关于欧洲终身学习标准框架的建议》。EQF区分了8种受教育程度,并分出了8个等级。级别划分以知识掌握程度、技能掌握程度、责任感和自主性为标准。EQF第8级对应e—CF Level 5。EQF第7级对应e—CF Level 4。EQF第6级对应e—CF Level 3。EQF第5级、第4级对应e—CF Level 2。EQF第3级对应e—CF Level 1。欧洲框架呈现出体系化的发展趋势,EQF与e—CF联系也更加紧密。有必要分析EQF与e—CF的相关关系。
三、CSF的设计原则
欧洲网络安全技能框架的设计围绕简单、灵活、全面、开放、欧洲以及公正等关键词展开。框架既简单又具有普适性,它可以被公众理解与运用。与此同时,框架内包含着欧洲当局与专家对网络安全、深入的洞见。框架也极具灵活性。通过模块化方法与灵活化结构,框架的每个部分都是可扩展的、独立的。这一特性支持ECSF进一步扩展或链接到其他框架,以扩展其应用空间。这一特性还能满足当局根据情况及时调整框架的需求。框架还具有开放性与公正性。一个来自不同背景的各种专家组成的小组构建了框架。此外,框架开发过程遵循了多视角方法,消除了产生偏见的可能。ECSF充分利用现有经验和结构,并与相关欧盟ICT专业标准和框架保持一致。框架制定依据了欧洲数据与隐私保护法的规定与欧洲劳动力市场现状。
表4 使用ECSF的好处
确保欧盟网络安全专业的人才培养方案,形成通用术语,增进企业、学校、相关机构与相关部门对网络安全人才技能的共同理解。 |
分析技能需求,便于立法者制定有针对性的法规 |
增进非专家和人力资源部门对网络安全人才所需技能的理解 |
促进了网络安全教育、技能培训和职业发展的协调性 |
提高了应对网络攻击的能力 |
确保整个社会的信息系统和通信技术系统安全 |
四、ECSF的应用
ECSF的运用通常可以分为五个步骤:第一,分析(analyse)目标环境的情况。收集并处理与目标环境(组织)有关的网络安全信息以创建基线(baseline)。确定相关方(the parties involved)与总的目标。第二,确定(identify)所要实现的具体目标。根据情况,可以使用ECSF作为一种分类法来识别具体的目标。第三,选择(select)合适的ECSF组件。是否合适与具体情况、制定的目标有关。第四,根据所需,调整所选组件,以适应目标环境和具体情况。第五,将自定义的组件用于目标环境。
以雇佣网络安全人才的机构为例说明五个步骤的具体应用情况。首先,机构应当开展自我评估,分析网络安全现状。其次,确定缺乏处理网络安全问题的人员的数量。再次,从ECSF选择适当的角色与任务,以确定所缺的技能。复次,结合组织的建设情况,更新组织建设目标,以吸纳、培养组织为保障网络安全所需的人才。最后,明确空缺职位。ECSF为网络安全的建设提供了有价值的指导。因此,企业或相关机构可以将ECSF作为一个指南,指导他们快速的确定他们所需要的网络安全角色与网络安全技能。
五、ECSF与欧盟其他标准和框架的联系
与现有的欧盟网络安全有关的标准与框架联系起来是设计ECSF的一个重要原则。这些标准与框架包括:第一,EN 16234-1,即《电子技能框架(e-CF)——欧洲所有行业信通技术(ICT)专业人员通用框架》。EN 16234-1为ICT工作场所所需人才类型提供了参考,并使用欧洲通用语言来描述能力、技能、知识和熟练程度,以便于整个欧洲形成统一性理解。EN 16234-1在ICT职能标准和其他与相关部门有关的框架(EQF、DigComp、ESCO、EQANIE、SFIA、ISO和其他ICT标准)之间提供了保持一致性的联系。第二,《欧洲ICT专业角色介绍(European ICT Professional Role Profiles)》。该文件采用统一格式对ICT专业角色进行描述,包括以下要素:简要说明、任务说明、需交付的成果、主要任务、电子能力以及KPI领域。第三,《欧盟职能标准架构(EQF=European Qualifications Framework)》。作为一种翻译工具,EQF是国家职能标准更容易被理解,也更容易被比较。这一框架有助于提高职能资格的透明度、可比性与可移植性,并使得国家之间的职能资格比较变得可能。第四,《欧洲技能、能力与职业分类》(ESCO=European skills, competences, qualifications and occupations)ESCO旨在向公众提供一本字典,描述、识别和划分与欧盟劳动力市场、教育记忆培训有关的职业和技能,并系统地显示这些职业与技能之间的关系。ESCO与ECSF并不总是呈现一一对应的关系。两者之间的关系可以概括为:是(is)、可能包括(might include)与可能部分包括(might be included)。“是”表示,ESCO可以应映射到相应的ECSF角色,两者都描述了相同的网络安全角色。“可能包括”表示,根据情景,ESCO可能包括ECSF列出的角色简介(指示性映射)。“可能部分包括”是指ESCO可能包括ECSF列出的部分角色简介。(同样属于指示性映射)ESCO有助于提高职业资格的透明度、可比性和可移植性,并使比较来自不同国家和机构的资格成为可能。
表5 ESCO与ECSF的联系
ESCO代码 | ESCO职业 | 关系 | ECSF角色简介 |
2149.2.8 | 研究工程师 (Research engineer) | 可能包括 | 网络安全研究员 (Cybersecurity Researcher) |
2310.1 | 高等教育讲师 (Higher education lecturer) | 可能包括 | 网络安全教育者 (Cybersecurity Educator) |
2356 | 信息技术培训师 (Information technology Trainer) | 可能包括 | 网络安全教育者 (Cybersecurity Educator) |
2511.18 | IT审计师 (IT auditor) | 可能包括 | 网络安全审计师 (Cybersecurity Auditor) |
2519.2 | ICT 审计经理 (ICT auditor manager) | 可能包括 | 网络安全审计师 (Cybersecurity Auditor) |
2529.1 | 首席ICT安全官 (Chief ICT security office) | 是 | Chief Information Security Officer (CISO) |
2529.2 | 数字取证专家(Digital forensic expert) | 是 | Digital Forensics Investigator |
2529.3 | 嵌入式系统安全工程师(Embedded system security Engineer) | 可能部分包括 | Cybersecurity Implementer |
2529.4 | 伦理黑客(Ethical hacker) | 是 | Penetration Tester |
2529.6 | ICT安全管理员 (ICT Security administrator) | 可能部分包括 | Cybersecurity Implementer |
2529.7 | ICT安全工程师(ICT security engineer) | 可能部分包括 | Cybersecurity Architect |
2529.7 | ICT安全工程师(ICT security engineer) | 可能部分包括 | Cybersecurity Implementer |
2619.4 | 数据保护官(Data protection officer) | 是 | Cyber Legal, Policy & Compliance Officer |
六、运用实例
(一)CONCORDIA H2020项目
网络安全人才,即具备实战技能的安全运维人员与高水平网络安全专家,是应对网络安全空间新挑战队伍的关键人员。不少课程都以培养网络安全人才为目标,但它们都没有定位到具体的网络安全职位。甚至,培训不同类型的网络安全人才的课程用于培训一类网络安全人才(e.g. CISO)。不同类型的网络安全人才有着相似的职位名称,但其受到培训的课程名称却有很大差异。因此,有些课程或培训并不能使学员明白不同职位需要掌握的不同技能。为了解决这一问题,CONCORDIA图应运而生。该图通过展示现在欧洲职业培训和短期课程的结构化信息,提供不同的过滤器,以帮助具体技能发展与职业需求之间更好地匹配。人们可以根据课程时长、授课形式、网络安全等级与行业相关性对课程分类。尽管CONCORDIA图提供了过滤功能帮助受众更快识别感兴趣的课程,但它仍然无法在课程与职业之间搭建直接链接。并且,它也没有考虑到网络安全领域内的具体需求。由于普遍使用非标准的术语,公众与机构很难将招聘要求与应聘者简历履历联系起来。CONCORDIA图旨在建立一个托管所有网络安全人才培训项目(大学课程、博士课程或短期培训)的平台。基于此,平台应尽量使用标准术语进行课程分类。ECSF定义的12个角色为平台提供了标准术语。通过在工作描述、课程描述和职业简介中使用欧盟范围内的共同术语,可以帮助个人选择正确的教育方式,并根据其能力和专业水平筛选适合的职业。
(二)SPARTA H2020 PROJECT
教育提供者们在何为网络安全的具体子领域上产生了分歧。有些提供者非常注重技术培训。然而,有的提供者更加注重意识培训,并关注受培训者对法律与社会是否有足够认识。关键的问题是,受培训的学术不明白培训或学习结束之时其应对从事何种类型的职业。ECSF允许从事教育或培训的机构通过其提供的角色简介审查课程。ECSF还能定义不同职业的核心需要,明确学员需要拥有的关键能力。这能帮助从事网络安全教育或培训的机构制定更具针对性的培养计划。
(三)INCIBE
西班牙国家网络安全研究所(INCIBE)早已认识到网络安全人才的短缺将对网络安全产生不利影响。ECSF的开放性与普适性可以作为西班牙网络安全建设的基本框架。这不仅有利于西班牙实现其人才目标,也有利于加深欧盟与其他国家的合作,一并抵御网络攻击。
(四)欧洲网络安全组织 (ECSO)
自2016年以来,ECSO第五工作组(WG5)一直在从事教育和技能培训工作。WG5旨在通过加强教育、专业培训、技能发展以及提高认识、专业知识建设和性别包容性等行动,为数字欧洲的网络安全保障做出贡献。WG5在工作过程中,发现了网络安全人才培养方案不成体系带来的不良影响。因此,ECSO在反思基础上,结合ECSF提升了教育方法的科学性。
(五)ISC2
(ISC)2CISSP CBK——简称为“知识体”——是指一个合格的网络安全专业人才必须拥有的知识和技能。在从事网络安全人才的教育与培训工作过程中,ECSO反思了欧洲现有的教育和技能提升的方法,并与相关ENISA的发布ECSF建立起联系。(ISC)2 CISSP CBK中的一些内容可以定位部分ECSF职位的内容。这些职位包括:首席信息安全官、网络事件响应者、合规保障人、网络威胁情报专家、网络安全架构师以及网络安全审计师。(ISC)²CISSP CBK映射到ECSF的预期好处是,它将创建更加专业的教育路径。
(六)ISACA
对于从事网络安全保障的劳动者而言,ISACA是他们职业生涯一个很好的跳板,能够帮助他们更好地推进自己的事业发展。ISACA的全称是信息系统审计与控制协会(Information Systems Audit and Control Association),在全球拥有超过165000名会员。ISACA的特点是多样性,ISACA的会员生活与工作在180多个国家。这一特点使得ISACA能够获知更多样的信息,也加深了不同地区会员的交流与联系。ISACA致力于为全球IS/IT社区人员提高终身学习服务,并帮助他们更好地发展职业。6 ESCF明确了具体职位所需的能力。需要注意的是,这些能力不是职业所需的全部能力,仅仅满足了职业最低限度的要求。IS/IT社区人员通过在ISACA中使用ESCF可以明确升职或变更职位所需要掌握的知识与技能。在发现差距之后,IS/IT社区人员可以不断学习以完成网络安全角色之间的转换。
(七)SANS/GIAC
网络和信息(NIS)II指令赋予了欧盟新的任务,致力于在经济领域内使用一种共同的网络安全语言,在部门与成员国之间实现信息共享。ESCF正好提供了一种共同术语。SANS和GIAC理解框架的重要性,并将课程设计与认证规则与框架保持一致。SANS和GIAC使用框架作为模版,为500强企业、政府部门和其他组织设计并开发了网络劳动力培养计划。
附件
表1 CISO简介
职位名称 | 网络安全计划负责人(Cybersecurity Programme Director) 信息安全官(ISO=Information Security Officer) 信息安全经理(Information Security Manager) 信息安全主管(Head of Information Security) IT/ICT安全官(IT/ICT Security Officer) | |
简述 | 制定并实施一个机构的网络安全政策,以保证其数字系统、服务和资产的安全。 | |
目标 | 制定、维护并传达网络安全保护政策与景愿;落实网络安全保护措施;保持与专业机构、政府部门的信息交流。 | |
成果 | · 网络安全保护规则 · 网络安全保护策略 | |
主要任务 | · 明确、执行、传递与维持网络安全政策目标,与商业策略、机构目标相统一。 · 明确网络安全保护的方式与具体措施,以供机构的高级管理层执行。 · 监督并改善信息安全管理系统(ISMS=Information Security Management System)的应用 · 制定网络安全计划 · 与保障网络安全的相关机构和社区建立关系 · 向高级管理层报告网络安全事件、风险和调查结果 · 监控网络安全事件进展 · 确定实施网络安全战略的人力与物力资源 · 与高级管理层协商保障网络安全的预算 · 保证组织对网络事件的处理与恢复能力 | |
需要了解的关键知识 | 网络安全政策;网络安全标准、框架;网络安全需要;关于网络安全的认证;网络安全与道德;网络安全成熟度模型;网络安全程序;资源管理;管理实践;风险管理的标准、方式和框架。 | |
ICT人员能力评估框架e—CF | A.7. 技术趋势监测 D.1. 信息安全战略制定 E.3. 风险管理 E.8. 信息安全管理 E.9. 信息系统治理 | Level 4 Level 5 Level 4 Level 4 Level 5 |
表2 网络事件响应者简介
职位名称 | 网络事件处理顾问(Cyber Incident Handler) 网络危机专家(Cyber Crisis Expert) 事件响应工程师(Incident Response Engineer) 安全运营中心分析师(Security Operations Center Analyst) 网络卫士/防御者(Cyber Fighter /Defender) 安全运营分析师(Security Operation Analyst) 网络安全SIEM经理(Cybersecurity SIEM Manager) | |
简述 | 监管机构的网络安全状态,处理网络攻击事件,确保通信技术系统持续运行。 | |
目标 | 关注和系统网络安全状态;分析、评估和削减网络安全事件的不利影响;明确网络安全事件产生的根本原因和实施者;根据机构的事故响应计划,将系统功能恢复到正常运行状态;收集证据、记录,并采取响应措施。 | |
成果 | · 事故响应计划 · 网络事件报告 | |
主要任务 | · 不断完善事故响应计划,完善事故处理程序 · 评估、管理技术漏洞 · 在遭遇网络袭击与数据泄漏事件之后,评估网络安全恢复力 · 开发事故处理预测技术 · 建立事故结果分析和事故处理报告程序 · 与SOC(Secure Operation Centres)、CSIRT(Computer Security Incident Response Teams)建立合作关系 · 依据现行法律框架,与关键人员合作向社会与公众报告网络安全事件 | |
需要了解的关键知识 | · 事件处理准则、方法、框架、工具与沟通程序 · 操作系统安全、计算机网络安全、网络威胁、网络安全攻击程序、计算机系统漏洞 · 网络安全相关认证、法律法规 · SOC与CSIRT的运营模式 | |
ICT人员能力评估框架e—CF | A.7. 技术发展趋势监控 B.2. 组件集成 B.3. 测试 B.5. 报告制作 C.4. 问题处理 | Level 3 Level 2 Level 3 Level 3 Level 4 |
表3 合规保障人简介
职位名称 | 数据保护官 (Data Protection Officer =DPO) 隐私保护官 (Privacy Protection Officer) 网络法律顾问 (Cyber Law Consultant、Cyber Legal Advisor、Cybersecurity Legal Officer ) 信息管理官 (Information Governance Officer) 数据合规官 (Data Compliance Officer) IT/ICT合规经理 (IT/ICT Compliance Manager) 治理风险合规顾问 (Governance Risk Compliance Consultant) | |
简述 | 根据法律要求,保证机构政策与行为合规 | |
目标 | 监督并确保机构遵守网络安全和数据相关的法律;为组织的网络安全发展提供法律咨询服务。 | |
成果 | 合规手册/合规报告 | |
主要任务 | · 保证机构行为合法,识别并记录不合法指出 · 进行隐私影响评估 · 确保数据所有者、处理者与机构外部伙伴知晓其数据保护义务 · 充当关键联系人,处理有关数据的投诉 · 协助设计、实施合规性测试活动 · 协助机构制定网络安全政策 · 致力于提高员工的网络安全保护意识 | |
需要了解的关键知识 | · 与网络安全有关的法律法规与立法进展 · 网络安全有关的标准、框架、政策 · 隐私影响的评估标准、方法和框架 | |
ICT人员能力评估框架e—CF | A.1. 信息系统和商业计划协调 D.1. 信息安全政策发展 E.8. 信息安全管理 E.9. 信息系统治理 | Level 4 Level 4 Level 3 Level 4 |
表4 网络威胁情报专家简介
职位名称 | 网络情报分析师(Cyber Intelligence Analyst) 网络威胁建模设计者(Cyber Threat Modeller ) | |
简述 | 收集、处理、分析数据和信息,以生成可采取行动的情报报告,并将其传播给利益相关者。 | |
目标 | 收集网络威胁情报,识别、监控网络威胁实施者使用的方法、技术和程序,网络追踪威胁实施者的活动,观察非网络事件如何影响网络相关行动。 | |
成果 | 网络威胁情报手册/网络威胁报告 | |
需要了解的关键知识 | • 操作系统安全 • 计算机网络安全 • 网络安全控制和解决方案 • 计算机编程 • 网络威胁情报(CTI)共享标准、方法和框架 • 负责任的信息披露程序 • 与网络安全相关的跨域和边界域知识 • 网络威胁 • 网络威胁行为主体 • 网络安全攻击程序 • 高级和持久网络威胁(APT) • 威胁行为主体的战术、技术和程序(TTP) • 网络安全相关认证 | |
ICT人员能力评估框架e—CF | B.5. 文件制作 D.7. 数据科学与分析 D.10. 信息和知识管理 E.4. 关系管理 E.8. 信息安全管理 | Level 3 Level 4 Level 4 Level 3 Level 4 |
表5 网络安全架构师简介
职位名称 | 网络安全架构师(Cybersecurity Solutions Architect) 网络安全设计师(Cybersecurity Designer) 数据安全架构师(Data Security Architect) | |
简述 | 计划与设计“设计性防御”(security-by-design,关键基础设施、系统、资产、软件、硬件和服务)、安全控制(security control) | |
目标 | 在坚持“设计性防御”和“隐私性防御”基础上,设计网络安全方案。创建并持续改进架构模型。根据标准和其他相关要求,开发并维护网络安全组件。 | |
成果 | 网络安全架构图/网络安全需求报告 | |
主要任务 | · 设计并提出安全架构方案以实施组织的政策 · 制作架构文档与规范 · 通过安全审查和标准确保结构方案的安全性 · 调整组织架构以适应新的威胁 | |
需要了解的关键知识 | 与网络安全相关的认证;网络安全提议和最佳做法;网络安全标准、方法和框架;与网络安全相关的需求分析;开发周期网络安全;网络安全架构参考模型;网络安全相关技术;网络安全控制和方案;网络安全风险;网络威胁;网络安全趋势;法律法规;传统网络安全程序;隐私增强技术(PET)。 | |
ICT人员能力评估框架e—CF | A5. 架构设计 A.6. 应用程序设计 B.1. 应用程序开发 B.3. 测试 B.6. ICT系统工程 | Level 5 Level 3 Level 3 Level 3 Level 4 |
表6 网络安全审计师简介
职位名称 | 信息安全审计师( Information Security Auditor ) 治理风险合规审计师(Governance Risk Compliance Auditor ) 网络安全审计经理(Cybersecurity Audit Manager ) 网络安全程序和过程审计师(Cybersecurity Procedures and Processes Auditor ) 信息安全风险和合规审计师(Information Security Risk and Compliance Auditor ) 数据保护评估分析师(Data Protection Assessment Analyst ) | |
简述 | 对该组织的生态系统进行网络安全审计。确保符合法律、法规、政策要求、安全要求、行业标准和最佳方案。 | |
目标 | 进行独立审查,以评估过程和网络安全控制的有效性,以及整体是否符合法律规定和机构的监管框架政策。评估、测试与网络安全相关的产品(系统、硬件、软件和服务),以确保产品合法合规。 | |
成果 | 网络安全审计计划/网络安全审计报告 | |
主要任务 | · 制定本组织的审计政策、程序与标准,确定审计范围、目标和审计标准 · 建立用于系统审计的方法 · 建立目标环境并管理审计活动 · 发展描述框架、标准和方法的审计计划 · 根据风险概况,审查评估目标、安全目标和要求 · 审计与网络安全相关的适用法律和法规的遵守情况 · 审计是否符合与网络安全有关的适用标准 · 保护审计记录的完整性 · 制定并传达合格的评估、保证、审核、认证和维护报告。 · 监管风险补救活动 | |
需要了解的关键知识 | · 网络安全控制与解决 · 法律法规 · 合格评定标准、方法和框架 · 审计标准、方法和框架 · 与审计相关的认证。 · 与网络安全相关的认证 | |
ICT人员能力评估框架e—CF | B.3. 测试 B.5. 文件制作 E.3.风险管理 E.6 ICT 质量管理 E.8. 信息安全管理 | Level 4 Level 3 Level 4 Level 4 Level 4 |
表7 网络安全教育者简介
职位名称 | 网络安全专家(Cybersecurity Awareness Specialist ) 网络安全培训师(Cybersecurity Trainer ) 网络安全学院教授、讲师(Faculty in Cybersecurity Professor and Lecturer) | |
简述 | 提高民众对于网络安全的认识 | |
目标 | · 设计、培训教育方案 · 提高网络安全保护意识 | |
成果 | 网络安全意识提升计划/网络安全培训材料 | |
主要任务 | · 根据学员需要开展培训,开发、更新和提供网络安全和数据保护课程和教育材料。 · 组织网络安全和数据保护宣传活动、研讨会、课程 · 监控、评估和报告培训效果 · 设计、开发网络安全模拟、虚拟实验室或网络可变环境(cyber range environments) · 为个人提供有关网络安全认证项目的指导 | |
需要了解的关键知识 | · 教学标准、方法和框架 · 网络安全知识 · 与网络安全相关的认证 · 与网络安全相关的法律、法规和立法 · 网络安全建议和最佳方案 · 网络安全控制和解决方案 | |
ICT人员能力评估框架e—CF | D.3. 提供教育和培训 D.9. 人才培养 E.8. 信息安全管理 | Level 3 Level 3 Level 3 |
表8 网络安全实施者简介
职位名称 | 信息安全实施者(Information Security Implementer ) 解决网络安全问题的专家(Cybersecurity Solutions Expert ) 网络安全开发人员(Cybersecurity Developer ) 网络安全工程师(Cybersecurity Engineer ) 开发、安全和运营(DevSecOps)工程师 | |
简述 | 在基础设施和产品上开发、部署和运营网络安全解决方案(系统、资产、软件、控制和服务)。 | |
目标 | 提供网络安全相关的技术开发、集成、测试、实施、运行、维护、监控,并支持网络安全解决方案。 | |
成果 | 网络安全解决方案 | |
主要任务 | · 开发、实施、维护、升级、测试网络安全产品 · 为用户和客户提供与网络安全相关的支持 · 整合网络安全解决方案,确保其健康运行 · 安全地配置系统、服务和产品 · 实施网络安全程序和控制 · 监控并保障已实施的网络安全控制的性能 · 记录和报告系统、服务和产品的安全性 · 与IT/OT人员密切合作,处理与网络安全相关的行动 · 应用和管理产品的补丁,以解决技术漏洞 | |
需要了解的关键知识 | 确保开发生命周期安全;计算机编程;操作系统安全;计算机网络安全;网络安全控制和解决方案;进攻性和防御性安全计划;安全编码的建议和最佳方案;测试标准、方法和框架;测试程序;网络安全相关技术。 | |
ICT人员能力评估框架e—CF | A.5. 建筑设计。 A.6. 应用程序设计。 B.1. 应用程序开发。 B.3. 测试。 B.6. 信息和通信技术系统工程 | Level 3 Level 3 Level 3 Level 3 Level 4 |
表9 网络安全研究员简介
职位名称 | 网络安全研究工程师(Cybersecurity Research Engineer) 网络安全首席研究员(Chief Research Officer in cybersecurity) 网络安全高级研究员(Senior Research Officer in cybersecurity) 网络安全研发员(Research and Development Officer in cybersecurity) 网络安全领域的科技员(Scientific Staff in cybersecurity) 网络安全研究和创新员/网络安全专家(Research and Innovation Officer/Expert in cybersecurity) 网络安全研究员(Research Fellow in cybersecurity) | |
简述 | 研究网络安全领域,并将研究结果纳入网络安全解决方案中 | |
目标 | 开展基础研究和应用研究。通过与其他利益相关者的合作,促进网络安全领域研究的创新。分析网络安全领域的发展趋势和科学发现。 | |
成果 | 网络安全出版物 | |
主要任务 | · 分析和评估网络安全技术、解决方案、开发和流程 · 开展以网络安全为主体的研究 · 进行实验,明确网络安全解决方案的含义,并试验之 | |
需要了解的关键知识 | 网络安全研究领域的发现与创新;网络安全标准、方法和框架;与网络安全有关的多学科知识 ;负责任的信息披露程序 | |
ICT人员能力评估框架e—CF | A.7. 技术趋势监测 A.9. 创新 D.7 数据科学与分析 c.4. 问题管理 D.10. 信息与知识管理 | Level 5 Level 5 Level 4 Level 3 Level 3 |
表10 网络安全风险经理简介
职位名称 | 信息安全风险分析师(Information Security Risk Analyst) 网络安全风险管理顾问(Cybersecurity Risk Assurance Consultant) 网络安全风险评估员(Cybersecurity Risk Assessor) 网络安全影响分析员(Cybersecurity Impact Analyst) 网络风险经理(Cyber Risk Manager) | |
简述 | 依据机构政策,管理与机构网络安全相关的风险,明确风险管理流程和报告制作流程。 | |
目标 | 通过规划、分析与报告,持续监管基础设施、系统和服务的网络安全相关的风险。为机构建立风险管理策略,并采取措施将风险保持在机构可接受的水平。 | |
成果 | 网络安全风险评估报告 网络安全风险补救行动计划 | |
主要任务 | · 制定一个组织的网络安全风险管理策略 · 管理一个组织的资产清单 · 识别和评估与网络安全相关的ICT系统的威胁和漏洞 · 识别威胁图谱(threat landscape),包括攻击者的情况,评估攻击的可能性 · 评估网络安全风险,并提出最合适的风险处理方案 | |
需要了解的关键知识 | 风险管理标准、方法和框架;风险管理工具;风险管理建议和最佳方案;网络威胁;计算机系统漏洞;网络安全控制和解决方案;网络安全风险;监测和评估网络安全控制的有效性;与网络安全相关的认证;网络安全相关技术。 | |
ICT人员能力评估框架e—CF | E.3. 风险管理 E.5 过程改善 E.7. 业务变更管理 E.9 IS-治理 | Level 4 Level 3 Level 4 Level 4 |
表11 数字取证调查员简介
职位名称 | 数字取证分析师(Digital Forensics Analyst) 网络安全和取证专家(Cybersecurity & Forensic Specialist) 计算机取证顾问(Computer Forensics Consultant) | |
简述 | 确保找到了网络犯罪中所有的数字证据。 | |
目标 | 数字证据的识别、保存、检查和分析,使用经过科学认可和验证的过程,并在法庭上最终呈现该证据以回答某些法律问题。 | |
成果 | 数字取证分析结果/电子证据 | |
主要任务 | · 制定数字取证政策、程序 · 识别、恢复、提取、记录和分析数字证据 · 报告和提出数字法医分析的结果 · 选择和定制取证测试、分析和报告技术 | |
需要了解的关键知识 | 数字取证建议和最佳方案;数字取证标准、方法和框架;数字取证分析程序;测试程序;刑事调查程序、标准、方法和框架;与网络安全相关的法律、法规和立法;恶意软件分析工具;网络威胁;计算机系统漏洞;网络安全攻击程序;操作系统安全;计算机网络安全;与网络安全相关的认证 | |
ICT人员能力评估框架e—CF | A.7. 技术趋势监测 B.3. 测试 B.5. 记录制作 E.3. 风险管理 | Level 3 Level 4 Level 3 Level 3 |
表12 渗透测试员简介
职位名称 | 渗透测试员(Pentester) 道德黑客(Ethical Hacker) 漏洞分析员(Vulnerability Analyst) 网络安全测试员(Cybersecurity Tester) 攻击性网络安全专家(Offensive Cybersecurity Expert) 防御性网络安全专家(Defensive Cybersecurity Expert) 红队专家(Red Team Expert) 红队队员(Red Teamer) | |
目标 | 设计攻击场景,执行渗透测试,以评估已部署或已计划的安全措施的有效性。评估安全控制的有效性。发现网络安全漏洞,评估其在被罪犯利用时的危害。 | |
成果 | 漏洞评估报告 渗透测试报告 | |
需要了解的关键知识 | 网络安全攻击程序;信息技术(IT)和运营技术(OT)设备;进攻性和防御性安全程序;操作系统安全;计算机网络安全;渗透测试程序;渗透测试标准、方法和框架;渗透测试工具;计算机编程;计算机系统漏洞;网络安全建议和最佳方案;与网络安全相关的认证 | |
ICT人员能力评估框架e—CF | B.2. 组件集成 B.3. 测试 B.4. 解决方案 B.5. 报告制作 E.3. 风险管理 | Level 4 Level 4 Level 2 Level 3 Level 4 |
参考文献
[1] 《信息安全辞典》,上海世纪出版股份有限公司上海辞书出版社,第130页。
[2] 温娟娟:《欧洲技能议程(2020)》政策精要与评价,载《职业技术教育》,2021年第9期,第74页。
[3] 未来半导体 :《创新型产教融合为半导体》,https://weibo.com/ttarticle/p/show?id=2309404781381124227603,于2022年11月12日访问。
[4] 《数字教育行动计划(2021—2027)》:欧盟数字教育改革内容及启示 ,https://www.sohu.com/a/566940480_670057?_trans_=000019_wzwza,于2022年11月12日访问。
[5] 周冰:《欧盟ICT人员能力评估框架e-CF(e-Competence Framework)》,https://www.doit.com.cn/p/253932.html,于2022年11月12日访问。
[6] 详见ISACA官网:https://www.isaca.org。
屈佳 | 清华大学智能法治研究院实习生
选题、指导 | 刘云
编辑 | 刘懿阳
声明:本文来自清华大学智能法治研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。