美国国家安全委员会(简称NSC)网络安全政策主管泰森·米多尔斯近期在美国联邦信息资源管理协会网络安全峰会上表示,网络安全队伍是实现特朗普政府网络安全战略目标的关键,并进一步强调美国目前所面临的人才短缺和人才流失等问题。
随着网络安全态势日趋复杂,安全威胁层出不穷,网络安全人才短缺已是当今世界各国均须面临的现实问题,即使在网络空间能力优势明显的美国也不例外。美国拥有世界一流的网络安全人才,也依然在不断发声强调其在人才数量和质量上的缺口。我国也同样面临着网络安全人才缺口巨大的问题,目前我国只有126所高校设立了143个网络安全相关专业,仅占1200所理工院校的10%,高校教育培养的信息安全专业人才仅3万余人,而网络安全人才总需求量则超过70万人,缺口高达95%。至2020年,这个缺口更将扩大至140万人。
习总书记明确指出,要聚天下英才而用之,为网信事业发展提供有力人才支撑。网络空间的竞争,归根结底是人才竞争。要贯彻“总体国家安全观”,维护好网络空间这一非传统领域的安全,最关键的要素在于人。因此,近年来,我国网络安全人才的问题得到了空前的重视。为此,本文重点分析美国网络安全人才建设的具体方法和措施,研究美国网络安全人才培养的途径,希望能对我国网络安全人才建设有所启示和借鉴。
一、美国网络安全人才建设的内涵
1.美国网络安全人才的概念
近年来,美国逐渐将网络安全人才的概念明确化。网络安全人才区别于IT人员,他们是指:专门负责网络防御、检测、调查并处理事故、设计网络安全框架和实施信息保障等方面的专业技术人员。IT人员主要指:负责对计算机系统的软硬件设计、维护及支持计算机技术的专业人员。2011年,美国政府问责办公室在《国防部在网络活动中面临的挑战》报告中,将网络安全人才分为三类:运行和维护人才、信息保障人才和防御人才。2013年,美国国防部《网络人才战略》指出,网络人才主要进行两类活动:一是建设、运行、防御、保护美国国防和美国国家网络资产;二是在网络空间中执行有关情报活动,确保美国国家具备网络空间中的行动能力。因此,从攻防意义上说,美国网络安全人才主要是指那些保护美国网络安全的专业人员。特别是在网络作战中,国家不仅需要网络防御人才,还需要网络攻击人才。
2.美国网络安全人才建设的基本内涵
美国网络安全人才建设是指:政府为保护网络安全而采取的人才队伍建设措施,这些措施包括:政府出台网络安全人才建设战略,实施网络安全人才教育措施,建立网络安全人才统一管理体系,发展和培养网络安全后备队伍,以及普及全民网络安全意识等。
二、美国网络安全人才建设的战略
美国网络安全人才建设战略体现在若干个政府出台的网络安全法律文件中。这一战略描绘了美国网络安全人才建设的目标,路径和手段。在这一战略之下,美国政府规定了网络安全人才的具体要求和标准。
2002年,美国通过《网络空间人才计划》和“网络安全研究与开发法案”。
2009年5月,奥巴马政府颁布《网络政策评估》报告,提出要发展网络力量,建立数字化国家,并要求提升美国公民的网络安全意识。为此,美国计划通过建立网络安全教育体系,实现网络安全人才队伍规模的扩大。同年,美国在《综合网络安全倡议》中提出,要培养有知识、有技术、有能力的网络安全人才;通过整建现有的网络力量和拓宽招募人才渠道来壮大网络安全力量。
2010年4月,奥巴马政府公布了《网络安全教育国家倡议》。该倡议提出美国网络安全教育的三大目标是:提高公民网络安全意识,提高网络安全人才储备,培养具有国际竞争力的人才。
2011年9月,为落实网络安全人才建设战略,美国国土安全部和人力资源办公室牵头颁布了《国家网络安全人才框架》(NCWF)。NCWF的颁布对美国网络安全人才发展具有战略性意义。在这个体系中,美国政府首先对网络安全各专业领域、岗位和任务做出了详细的界定和分类,并且明确了专业领域、岗位和任务之间的关联关系。
2012年9月,美国专门针对网络安全人才队伍建设发布了“NICE战略计划”,明确提出了对普通公众、在校学生、网络安全专业人员三类群体进行教育和培训,以提高全民网络安全的风险意识、扩充网络安全人才储备、培养具有全球竞争力的网络安全专业队伍。
2013年4月,为落实奥巴马政府的《网络安全教育国家倡议》,美国国土安全部和国防部分别发布了《网络安全教育战略计划国家倡议》(NICESP)和《国防部网络人才战略》(CWS)。其中,NICESP提出了四项战略措施:(1)通过宣传及知识普及等公共活动提升全体公民的网络安全意识;(2)加强正规网络安全教育;(3)设定联邦网络安全人才结构,包括岗位需求和任职条件;(4)实施网络安全人才培训和职业发展计划。美国国防部的CWS则指出,国防部应该重点做六方面的工作:(1)制订出科学的网络人才队伍管理政策;(2)采用多种途径招聘人才;(3)建立评估技术熟练程度的相关机制;(4)保留合格人才;(5)提升人们对威胁的认知;(6)了解危机需求等。
2016年2月,美国在公布的《网络安全国家行动计划》中提出总统预算在网络空间安全人员方面投资6200万美元,主要用于建立一个“网络兵团预备役项目;开发一套”网络安全核心课程“;加强“国家网络安全学术卓越中心项目”。2016年4月,美国发布新版《NICE战略计划》,提出建立“由具备相应知识和技能的网络安全人才队伍推动的数字经济”的愿景。2016年7月,奥巴马政府公布了《联邦网络安全人才战略》,要求确定、招募、培养、留住并扩大“最优秀、最聪明以及最全能的网络安全人才。”该战略设定了四大主要目标:(1)通过教育和培训拓展网络安全人才;(2)招募美国最优秀的网络人才为联邦政府服务;(3)留住并培养高技能人才;(4)确定网络安全人才需求。
2017年3月,美国发布最新版的《国家网络安全人才框架》,在该框架中,有七个分类,每个分类都包含了几种专业领域。2017年,特朗普政府在其首份网络空间安全政策文件13800号行政令中也再次强调,网络安全人才发展是美国实现联邦政府网络安全、关键基础设施网络安全等目标的基础。
根据以上各类文件,可以概括出美国网路安全人才建设战略的基本思想。其战略目标是:培养出高水平的、具有国际竞争力的网络安全人才队伍;战略实施的路径是:从基层入手,以教育为重点,实现人才储备;战略落实的手段包括:职业技术培训、宣传和普及网络安全知识,并规范人才机制等。
三、美国网络安全人才建设的主要做法
1.确立网络安全人才培养层次
为落实美国网络安全人才建设战略,适应网络安全形势的发展需求,美国建立了多层次的网络安全人才培养机制,尤其重视对军方中高层次人才的培养。
(1)初级培训
国家卓越学术中心是美国政府依托大学和科研机构而建立的网络安全人才初级培训机构,主要为美国联邦政府和美军培养优秀的网络安全人才。中心建于1999年,当时囊括的大学和科研院所规模和数量有限,此后规模和数量在逐渐扩大。截至2014年12月,该类中心囊括了125所大学和科研机构。国家卓越学术中心接受培训的人员大多都受到联邦政府或国防部的资助,例如信息保障奖学金和军团奖学金等。根据美国政府的规定,接受这类奖学金的人员毕业后必须到相关的政府部门或部队服役,报效国家。
此外,美军各军事院校也积极扩展网络安全初级教学任务。2012年至2013年期间,美国海军学院和空军学院首次设置了网络作战类专业;陆军学院则新成立了网络研究中心其任务之一即是负责教授网络攻防方面的初级课程。
(2)中级培训
美军各军种都有多种培养网络安全人才的中级培训项目。例如,美国空军为表现出具有一定网络技术天赋的人提供相当于研究生水平的网络培训课程。在经过中级授课之后,他们会被送往核心网络行动队接受较为复杂和深难的训练;再经过选拔,他们中成绩优秀的人将要进行为期24周的中级网络战训练;在中级网络战训练之后,这些人中的佼佼者将可以参加联合网络分析课程(JACA)这一高级培训课程内容的学习。此外,美国空军还专门为中青年军官提供了网络行动指挥技能培训,例如,空军分别为尉官和校官提供了网络-200课程和网络-300课程的培训。美国海军、海军陆战队和陆军也均有不同的网络中级培训课程。国家密码学校、信号学校和联合作战中心等机构都设有不同的网络课程,以培养网络安全中级水平人才。
(3)高级培训
高级培训层级最具代表性的培训项目是联合网络分析课程(JCAC)。联合网络分析课程为美国各军种具有网络技术天赋的现役军人提供培训。例如,美国空军规定只有经过为期24周的中级课程培训并成绩优秀的人员才可以分流到联合网络分析课程的培养进程之中。联合网络分析课程培训周期为6个月,由位于美国驻佛罗里达的海军科里基地的信息控制中心负责培训工作。起初,JCAC只是海军内部培养网络安全人才的课程,后来推广至全军,并得到美国国家安全局的支持。美国国家安全局在联合网络分析课程培训内容的设置方面具有很大的话语权。经过联合网络分析课程的授课培训并在培训合格后,参训人员还会到该局接受实战训练,从而全面提升综合技术和实战水平。
2.明确网络安全人才培养流程
2010年,美国卡内基·梅隆大学软件工程研究所计算机应急响应小组发布了《美国计算机应急响应小组网络人才培养的路径》报告。该报告明确了美国网络安全人才培养的流程,这是目前我们了解美国网络安全人才培养流程比较好的参考依据。在报告中,美国网络安全人才培养分为四个阶段。
第一阶段是知识积累。该阶段的培养目标是:为受训人员打下良好的知识基础,为进一步深入学习网络安全技能奠定基础。在这一阶段,美国人首推在线学习这种省钱省力的培养方式,帮助受训人员完成概念学习并打牢基础知识。
第二阶段是技能积累。该阶段的培养目标是:受训人员必须努力将学习到的知识转化为应用能力,提高自己的网络安全技能。美国政府和军方认为,目的明确的训练是提升技能的最佳途径,具有扎实的网络安全知识基础,通过接受科学设计的训练,受训人员将可以有效地将所学到的东西应用到维护网络安全的实践中去。此外,为了拓展受训人员的技能,美军借助于各类自动化软件工具来提升受训人员的网络安全技能,为此,还研发了大量的数字化取证工具,包括Autopsy、EnCase等以帮助培训。
第三阶段是经验积累。该阶段的培养目标是:提升网络安全受训人员在真实环境下的网络安全技能。此时,受训人员需要在真实的各类网络环境中接受培训,运用已掌握的技能实际操作并模拟网络安全防护,提高自己的实战能力。由于在此阶段受训人员被放置到真实的千变万化的网络环境中,在复杂多变的条件下他们能很快地积累和丰富自己的实战经验。
第四阶段是评估结果。该阶段的培养目标是:对培训结果进行总体分析和评判。组织方将了解受训者在经过一段时间的培训之后在技能和实战能力上的水平,总结培训中的经验和教训,为今后的网络安全教育和人才素质培养提供参考。
3.建立网络安全人才培养辅助训练系统
美国政府在网络安全人才培养中注重发挥辅助训练系统的作用,使得人才培养的质量能得到较快提升。联邦虚拟训练环境由国土安全部运营,受国防部信息系统局和国务院技术上的支持。该系统可以给受训人员提供在线培训和学习管理服务,并实现了对受训人员全周期的培养和评估功能,有效地提升了人才培养的效果。美国计算机应急响应小组主管的模拟、训练和演习平台(STEP)是一个与外界隔离的模拟网络系统,可以加载数百种系统和网络,实现模拟真实环境的功能。该系统吸收了卡内基·梅隆大学软件工程研究所训练网络(XNET)的功能,具备模拟大型网络的能力,可以为受训人员提供实时化网络状态分析和事件后分析服务。该训练网络目前是美军最大的模拟训练网络。
4.完善网络安全人才管理制度
管理好网络安全人力资源是提升网络安全人才总体能力的重要手段。美国空军在这方面走在最前面。为了便于人员管理,美国空军淘汰了原来的管理代码,使用了一套新的专业代码(AFSC),专门记录网络相关人员的专业、岗位、培训经历和服役经历等信息。这套专业代码由字母和数字组合构成。在传统代码的基础上美国空军制订了五种标识,包括:代码前缀、代码后缀、资格准入代码、侧翼代码和专业经验标识。
专业代码前缀是置于在基础代码之前的字母,用来标识一定的能力、专业资格等信息。例如,最常见的字母E和字母U分别表示电子战支援和信息战相关的能力和专业。专业代码后缀主要用来表示与装备、职能和岗位有关的技能。资格准入代码是专门标识已接受前期训练或教育的字母,它标明相关人员在完成规定的训练并获得资格证书以后可以进入更高层次的职业领域。侧翼代码可以清楚地标识出专业人员以前已具备的特定网络安全技能。专业经历标识则专门补充前四项代码中所没有标识出的职业经历和受训经历。
5.加紧网络安全后备力量建设
青年人是网络安全人才力量的主要来源,因此加强对各层次学生的网络安全知识和技能传授是美国网络安全力量建设的重点。奥巴马政府将对青年人的网络安全教育作为《网络安全教育国家倡议》的三大工作重点之一。主要措施:
一是加大网络安全教育投入力度。奥巴马政府鼓励美国社会各种力量加大对网络安全教育的支持力度。设立美国国家科学基金会“网络部队服务奖学金”,获得奖学金的学生,在学校毕业后,经考试合格可以进入联邦政府或军队从事网络安全工作。
二是提升后备力量实际技能。美国政府非常重视通过丰富的实践活动,提高青年学生的网络安全实际技能。国土安全部的《网络安全职业和研究国家倡议》(NICCS)。该倡议为学生提供了“实践学习”的网络安全学习平台,让学生能够在课堂之外亲身体验和学习网络安全知识。“实践学习”有三种类型:网络竞赛、网络游戏和编程、网络训练营。以网络竞赛活动为例,参与者们可以在老师的组织下组建参赛队伍,根据自己的喜好,通过NICCS平台与来自全国各参赛队伍进行各类比赛。通过参与竞赛,学生们可以在短时间内提高网络安全知识和技能。
三是夯实网络安全教育基础。为了培养出高质量的优秀人才,奥巴马政府推进以STEM促进项目为代表的重点课程提高计划。STEM促进项目旨在提升美国学生在科学、技术、工程和数学四个方面的知识基础和能力。美国政府清醒地认识到国家网络安全教育提升的根本在于基础科学,为此,政府专门建立此项目用于提升国家在科学、技术、工程和数学这四个方面的教育水平。目前,美国政府还在研究基础教育课程项目,其重要内容之一,就是计划加大理工科课程在基础教育中的比重。
四、几点启示
1.网络安全人才培养要制订统一的评价标准
确定什么是网络安全人才,是我们发现和培养网络安全人才的前提。因此,制订全国统一的行业人才标准是目前网络安全人才建设的急迫任务。这一行业标准建立的意义在于:形成共同的话语体系,建立共同的培养模式和流程,确立共同的评价机制和指标要求。所谓共同的话语体系是指:描述网络安全相关岗位、岗位能力等一系列指标所形成的概念体系。例如,2011年,美国国土安全部发布的《国家网络安全人才框架》为美国网络人才的类型、能力等都做出了明确的表述。所谓共同的培养模式和流程是指:在培养网络安全人才的过程中有科学的方式和过程。美国经过长期的经验积累,发展出了初级、中级和高级培训模式;总结出知识积累、技能积累、经验积累和评估结果四个阶段的培养流程,这些对于我国在网络安全人才培养上具有一定的借鉴意义。模型和流程的建立和提升将有利于我国网络安全人才培养的质量和效率。所谓共同的评价机制和指标要求是指:全行业在评价网络安全人才质量上有统一的宽严标准,不会出现越过科学的“人为因素”。评价机制和指标要求的确立将有助于评估人才培养的质量并不断改善人才培养的水平。
2.全盘统筹规划,为国家网络安全人员整体能力提升组织保障
美国2010年4月启动“国家网络安全教育计划”(NICE),其初衷是统筹协调政、产、学、研各利益相关方,全盘布局,加强协调,实现网络安全人才工作的有序推进。该计划由美国商务部国家标准与技术研究院牵头,国土安全部、国防部、教育部等十余个部委共同参与、各司其职。实施7年来,国家安全局、国土安全部主责的学历教育工作打造了网络安全高等教育的黄金标准,培养和输送了大量网络安全储备人才;国土安全部主责编制的国家网络安全人力框架(NCWF)已成为国家网络安全人才标准,目前正进行联邦政府各部门人员定岗编码的工作;国土安全部和国防部主责的职业发展工作推出了《网络安全职业和研究国家倡议》(NICCS),汇聚了大量职业培训资源为美国联邦政府及关键基础设施网络安全人才能力提升提供支持;国土安全部主责开发的网络安全人才管理方法论、模型以及工具已在美联邦政府各部委广泛应用。NICE计划覆盖了全美普通公众、在校学生、网络安全专业人员三大群体,调动了网络安全人才生态中的各种角色和资源,这些成果均是在NICE统一指挥下取得的成果。
3.公私部门的良性互动机制促进了人才培养
随着近几年美国对网络安全人才的高度重视,所开展的各类项目除了政府部门参与外,都有高校、企业等各类组织的加入。例如,在国家级网络安全人才培训标准方面,美国的企业和行业协会也积极参与到标准制定的过程中,并且制定了行业培训标准,其权威性与政府标准相同,如美国国家安全协会的CN SS4011联邦安全认证和培训标准。该标准促进了网络安全人才的认证和人才培养的专业性,同时也为网络安全人才的职业发展提供保障。此外,还有美国国家基金会、国家安全局、国土安全部所开展的各类伙伴计划,都能够将企业、高校等各类组织纳入到计划中,在大学开展各类网络安全人才学习和培训过程等。这种公私部门的良性互动,在促进人才培养的同时,也能够将培养的人才为我所用。目前,我国网络安全行业协会发展不足,更多的行业标准仍然缺乏,市场发挥资源决定性作用的效力不足,同时也存在着传统的观念,使公私部门关于网络信息共享、资源共享的理念尚未达成一致,有效合作的机制尚未形成,不利于网络安全人才的培养和使用,美国的一些做法值得我们借鉴和学习。
4.网络安全人才培养要加强体系建设
网络安全人才建设是一种体系建设。从美国的《国家网络安全人才框架》来看,网络安全人才队伍复杂而庞大。这支队伍在技术上不仅包括程序分析员、信息保障工程师、网络安全分析师、数据库开发人员,以及情报收集人员,还包括信息安全架构师、事件分析师、网络取证鉴定师、法律顾问等不同人才。长期以来,我们在网络安全人才培养上一直以技术为中心,对与其它相关,甚至是关健岗位的技术人才重视和培养不够,这是导致我们在网络攻防上出现工作规划混乱,甚至问题出现后被动应对的重要原因。因此,加强网络安全人才的细化建设是提升网络安全质量的关键一步。在这一建设中,每一种人才的技术指标和能力必须做到细致、规范和明确,防止出现人浮于事,岗位重复,用人效率低下的情况出现。
5.网络安全人才培养要加大教育投入力度
近年来,我国信息产业已经有了长足的发展,我国网络安全公司集中了一大批实力较强的网络安全专家,但整体而言,真正懂网络,特别是具有国际水平的网络安全专业技术人才至今在全国人口比例中不过是凤毛麟角。我国网络安全人才的数量远不能满足国家的需要。美国的经验表明,依托高等院校进行基础性教育和职业教育,同时借助企业和相关培训机构进行技能培养,是网络安全人才培养的较好途径。从目前我国的情况来看,在网络安全人才培养上我们应加强三方面的努力:首先,应加大对具有高水平的网络安全教育和培训机构建设的投资力度,并设立相应的结果审查和评价机制;其次,军队在发展自身人才建设的同时,应采取联合办学、开放办学,紧跟前沿、走出国门的方式培养人才。那种怕担责任、怕出事、固步自封、自以为是的做法和想法,不仅很难较快地培养出网络安全人才,也培养不出具有国际一流水平的人才。再次,网络安全人才培养需“从娃娃抓起”,在年轻人中间加大网络安全教育力度,从青少年开始就培养他们在这方面的兴趣、志向和能力,并对有这方面天赋的年轻人给以奖励,这是加快我国网络安全人才队伍壮大的希望所在。
6.网络安全人才培养要高度重视全民教育
我国目前网络安全事故经常发生,大到涉及国家机密泄漏,小到关系个人家庭经济财产损失不等。网络安全人才培养的基础在民众。他们是网络安全的参与者,是最大的网络用户,他们构成网络安全的第一道防线。因此,提升全民的网络安全意识和安全技能无形之中就培养了大批有安全意识的,可以实现“安全自给”的网络安全“人才”。民众也是国家网络安全人才的蓄水池,只有他们关注和学习网络安全知识,我们才能从中不断培养和发现网络安全人才。因此,从草根做起,在民众中开展网络安全教育具有战略性意义。
声明:本文来自网络安全新视野,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。