文 | 中国信息安全测评中心 王星
网络安全人才一直是美国在网络领域高度重视的议题。随着网络相关技术的发展以及国际格局的加速演进,网络安全在拜登政府国家安全战略中的重要性持续提升,网络安全人才作为美国实现网络安全战略的基础,其关键作用更加凸显。美国对网络安全人才的需求持续高企,网络安全人才议题已成拜登政府的优先要务。经过一系列的准备,2023 年,美国将在军民各方面进行网络安全人才建设的全面部署并推出实质性举措,以实现其人才领先优势的总体战略目标。
一、美认为其网络安全人才短缺形势依然严峻
美国系统性开展网络安全人才建设,已将人才培养列入多部网络安全相关法律及规定,并通过了《联邦网络安全人才队伍评估法》等专门立法。在联邦政府层面,美国也推出了大量网络安全人才发展政策举措。例如,美国国家标准与技术研究院(NIST)牵头的“国家网络安全教育计划(NICE)”及其开发的 SP 800-181“国家网络安全人才框架(NCWF)”标准、美国国家安全局(NSA)和美国国土安全部(DHS)共同牵头的“国家网络安全卓越学术中心(NCAE-C)”、美国网络安全与基础设施安全局(CISA)牵头的“网络安全教育培训辅助计划(CETPA)”,以及美国各联邦部门自有的人才培养和鼓励激励措施等。
尽管如此,美国判断其当前网络安全人才形势依然十分严峻,会对经济繁荣和国家安全构成严重威胁。在民用领域,网络安全人才供需网站 CyberSeek 数据显示,全美已有网络安全人员 100 余万人,岗位空缺数量约为 60 万;美联邦政府现有网络安全人员 7.5 万人,岗位空缺数量约 3.9 万。在军事领域,美国审计总署(GAO)关于军队网络人员的审计报告显示,从 2017 到 2021 财年,国防部始终面临着现役军职网络人员短缺的问题。
二、美将继续寻求保持和推进网络安全人才领先优势
拜登政府执政任期已过半,在网络安全人才战略方面将陆续发布系列文件。综合研判截至 2023 年 2 月美国相关战略动态、官方表态、国会预算等情况,网络安全人才发展战略将是拜登政府的优先要务,2023 年军队和联邦政府层面都将做出相关部署并推出实质性举措。人才是实现美国网空各项目标的基础性战略资源,历来是其国家网络安全工作的重要着力点。特朗普执政时期,美在网络安全人才方面的目标是“建设一支更有优势的人才队伍”,重视保持其网络安全人才队伍在国际上的绝对竞争优势。拜登政府在网络安全方面整体上延续上届政府的定调,重视利用网络空间这一非传统领域手段在大国竞争中实现其竞赢目标。网络安全人才议题将继续占据重要地位,其目标设定依然是将保持和推进其人才领先优势,以服务于美在网络空间制权的最终目的。根据截至 2023 年 2 月美国相关战略动态、官方表态、国会预算等情况,可以看出网络安全人才发展战略将是拜登政府的网络优先要务,并将于 2023 年在军队和联邦政府层面进行全面部署并推出实质性举措。
三、美国联邦政府制定全新的“网络人才和教育战略”
当前,美国国家网络总监办公室(ONCD)正在牵头制定一项全新的“网络人才与教育战略”,旨在应对关键领域的人才挑战和机遇,促进协调资源,重点关注网络人才队伍发展、网络教育培训和数字意识提升等。美国国家网络总监一职是根据 2021 财年《国防授权法(NDAA)》设立的新职位,其定位是美国总统在网络安全政策及战略方面的主要顾问。据 ONCD 发言人表示,改进国家网络人才队伍建设,加强网络教育与意识工作是政府的重要优先事项。该战略将在 2023 年正式推出,预计将改进各领域人员网络安全教育机会,并为业界的广泛合作提供支持。为启动此项工作,ONCD 曾于 2022 年 7 月召开了白宫网络人才与教育峰会,组织政府、产业界、非营利组织,以及学术界代表共同参会。ONCD还发布了意见征求函,向公共领域和私营领域广泛征集意见,为人才战略和相关行动计划的制定提供参考。从征求意见函关心的问题领域来看,新的战略将全面覆盖了网络人才建设的各个方面,包括教育培训、意识提升、个人安全实践、专业人才招聘留用、职业发展,以及人才相关数据等内容。
(一)加强联邦网安人才工作的统筹协调
在美国联邦政府层面,不同的部门已经推出了各种政策举措,以扩大网络安全人才储备。此次新战略主要将重点放在加强统筹,提高各部门工作的体系化程度,并对人才建设项目的有效性包括成本收益情况做出评估。美国国家网络副总监 CamilleStewart Gloster 表示,在联邦政府方面,新战略将阐明不同政府部门的角色,明确评估相关问题所使用的测度,以及应对措施是否有效,以确定“哪些项目应该继续发展,哪些项目应该予以缩减”。未来,美国或成立一个专门机构,负责促进该战略的落实。此外,美国人事管理办公室(OPM)和管理与预算办公室(OMB)也都参与了该战略的协同。这两个部门的负责人在 2022 年 7 月份在国会作证时均表示,愿意就全政府的网络人才计划同国会合作,重点关注创建相关工具和战略,以便使联邦各部门能以更加一致的方式进行网络安全人才招聘和提供人才薪酬待遇。
(二)推进关键基础设施领域人才建设
2022 年 9 月,美国网络安全和基础设施安全局(CISA)发布了该机构成立以来首个全面战略文件《2023—2025 年网络安全战略规划》,为未来三年工作进行全面的部署。该战略强调,解决美国网络生态系统中人才短缺的问题至关重要,并提出 CISA 将主动发现、识别和培养有潜力的人才,尤其是寻找来自不同领域、不同背景的人才。在吸引高端人才方面,美国国土安全部(DHS)也效仿美国国防部(DoD)的“网络安全特别职务(CES)”,创建了一个名为“国土安全部网络安全职务(DHS-CS)”的职位类别。所谓特别职务,是指美政府在传统公务员招聘要求以外制定的人才招聘和管理制度,其任命、取酬、保密规则有别于一般公务员职位。在 DHS-CS 体系下,国土安全部可以自主招聘网络安全人才,同时根据人员的能力以及岗位的重要程度为其提供有竞争力的薪酬待遇。此类人员年薪最高上限为 25.58 万美元,和美国副总统的薪酬相当。首批招聘人员将在 CISA 和 DHS 首席信息官办公室入职。
(三)私营领域加大网安培训力度
美国关键基础设施约有 85%为私营领域所有或运营,国家的网络安全态势高度依赖私营领域产业界人才的网络安全专业能力和意识。2023 年度,美国网络与信息通信技术企业也将持续加强网安人才建设的投入和相关工作力度。例如,思科公司在过去二十多年里已经对 200 多万美国学生进行了网络和安全技能培训,并与美国约一半的社区大学和技术高校建立有合作伙伴关系。思科公司承诺,未来三年内将在美国额外培训 20 万学生,并将持续扩大其人才培养的覆盖面和影响力。IBM 也通过其网络安全领导力中心提供更多的网络安全职业路径,还联合了多家高校以及美国教育委员会(ACE)共同实行网络安全学徒制同高校学分的置换计划。IBM 去年曾承诺,将在未来三年额外为 15 万人提供网络安全技能培训。
四、军队实行新的“网络人才战略行动计划”
美国国防部(DoD)所有负责构建、保护、运营和防御美国网空资源的人员统称为“网络空间人员”。DoD 网络空间人员包括信息技术人员、网络安全人员以及部分情报人员,是保护国防部网络和系统安全性、落实各项网络相关规程以及执行网络行动的基础力量。由于 DoD 于 2022 年底正式发布了《国防部零信任战略》,为落实该战略及其他最新的网络防御路线,DoD 正在制定新的网络安全战略,确保其网络空间人员能够做好准备。实施零信任等新概念,对人员的能力提出了更广泛的需求,例如需要具备数据和人工智能等专业能力等。此外,如何招聘并留住最有创新性、掌握急需紧缺技能的网络人员成为 DoD 面临的挑战。为此,DoD 首席信息官正在牵头制定一项“网络人才战略行动计划(CWSAP)”,以便通过统一、协调的方法,减少人才供应缺口,提高网络人员的质量和多样性,优先解决网络空间人员的个人和职业需求,应对影响整个国防部的共性挑战。
(一)更新网空人员标准化框架及配套政策
“国防部网络人员框架(DCWF)”是 DoD 对全频谱网络空间人员进行识别、跟踪、培训、资质测评和管理使用的标准框架,包括 54 个工作角色,每个角色对应了相应类别人员执行任务和开展工作所应具备的知识、技能和能力。DoD开发 DCWF 的目的是加强国防部内部网络部队之间,以及与国内外合作伙伴的互操作性。目前,DoD 正在建立新的协调机制,对 DCWF 框架进行扩展,以便在更大范围内覆盖人工智能、机器学习、数据科学,以及先进软件开发等工作角色。由于 DCWF 中的角色和专职网络行动的网络司令部所使用的角色尚不兼容,DoD 首席信息官办公室还计划在 2023 财年予以协调,寻求统一不同的工作角色框架要求。此外,DoD 还将推进 8140.01 号令《网络空间人员管理》系列政策,以改进网络人员管理活动。这些政策提供了标准化的、基于角色方法规定,能够利用 DCWF 对国防部网络人员进行识别、跟踪和报告,为基于角色的网络安全资质和相关领域人才的持续发展提供指导。
(二)继续推进 CES 人员鼓励激励措施
DoD 的“网络特殊职务(Cyber Excepted Service)”于 2016 年由国会批准,旨在为整个国防部网络专业人员的招聘、留用和发展提供灵活性。CES 是聚焦任务的人员体系,主要是为参与或支持网络相关任务的文职雇员提供人力资源生命周期方面的支撑,其作用是能提供更有竞争力的薪酬,加快文职网络安全人才招聘的进度。例如,CES 体系中一个名为“定向本地市场补充(TLMS)”的资金工具,自批准以来已将相关工作角色的离职率从 8%降低至 3%。为充分利用 CES 人员体系的灵活性,国防部批准了一项审核验证过程,可允许非 CES 部门申请加入。据 DoD 首席信息官办公室资源与分析主管 Mark Gorak 披露,DoD 的 CES 自 2019 年以来在国防部已覆盖 1.5 万人,最终目标是发展 20 万军职和文职人员。
(三)网络人才评估及相关人员数据质量提升
DoD 正在对网络和 IT 人员进行基于零信任的评估,评估所得出的高价值数据,可为人员就绪度和留用规划提供支持。DoD 还将利用其数据分析平台 Advana,推动提高网络人员的可视性并形成分析能力,达到对国防部网络人员进行可适应、透明化、有意义的分析。该举措可将来自原有人力资源和人员职能系统的数据汇聚在一起,进而为岗位空缺率、人才招聘及留用等形成一整套关键绩效指标,加强对人员的可视性,为人员相关决策、改进数据质量提供支持,并允许根据其特定任务需求进行数据的解读和评估。
五、小 结
美国建设了世界上最强大的网络部队,拥有全球领先的网络安全人才教育体系,广泛实施了国家、联邦政府、重要行业等各个层面的人才发展计划,但在人才问题上,美国一直是危机意识最强的国家。从 1997 年至 2021 年,美国审计总署连续将网络安全确定为政府高风险领域,人才短缺是其中重要原因之一。美国政府、智库、行业协会乃至大型企业频繁发布网络人才研究报告,呼吁加大力度以应对人才挑战。这种紧迫感的根源,来自美国对网络空间的战略认知和维护其全球霸权地位的内在需求。
网络代表着新的生产力发展方向,推动国家间力量对比达到新的平衡,因此成为当前大国竞争的重要领域和手段。国际变局和数字革命相互叠加背景下,美国必然加紧对网络空间所衍生的新型权力的掌控,以维持其网空绝对优势,而网络人才正是其实现这一战略目标的基础和关键所在。
除了认识上的高度重视,美国本身拥有非常成熟的人才教育和管理体系,在此基础上建构起来的网络安全人才培养各项工作,科学化水平普遍较高。例如,强调人才专业能力标准化框架,对照网络安全领域各种知识和能力谱系分类施策进行培养,注重实战化能力提升方式等。此外,美国已在强力部门和部分公共领域突破管理机制上的障碍,以满足对急需紧缺网络安全人才的需求。例如,美国国防部的网络特殊职务 CES 已开始发挥作用,负责民用关键基础设施的国土安全部也跟进设置了类似的人员序列。这些都是在观察和借鉴美网络安全人才建设工作中值得思考的地方。
(本文刊登于《中国信息安全》杂志2023年第3期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。