一、引言

2017年美国总统特朗普签署13800号行政令《加强联邦政府网络与关键基础设施网络安全》时,我们曾分析了其中网络安全人才战略部分以及政令出台过程中文本的几度变化,认为美国不仅将继续巩固人才建设工作在国家网络安全战略中的基础地位,特朗普政府还将采取更加进取的人才政策,寻求进一步加强美国在网络空间的领先优势和主导地位。近日,白宫发布了十五年来美国首份内容全面的《国家网络战略》(以下简称“《战略》”),对包括人才建设在内的网络重大战略进行了规划,我们将继续对美国的网络安全人才战略动向进行分析和解读。

二、美《国家网络战略》中的人才政策动向

特朗普总统于2018年9月20日正式签署《战略》,报告将网络安全人才建设工作放在四大支柱中的第二支柱“促进美国的繁荣”一章中,提出的总要求是“建设一支超群的网络安全人才队伍”。《战略》首先是照例对网络安全人才的重要性进行了强调,将高水平的网络安全人才队伍定性为“一项战略性国家安全优势”。除了要充分开发美国自身庞大的人才资源以外,报告还首次提出了引进外国人才扩充美国网络安全队伍的倡议,表示“将在海外持有与美国同样价值观的人才中,引进其中最优秀、最聪慧的佼佼者”。在具体如何开展网络安全人才建设工作方面,报告提出了四项优先行动,分别是:1)建立和维持人才通道;2)为美国劳动者增加再培训和再教育的机会;3)加强联邦政府网络安全人才建设;4)利用行政权重点突出和奖励人才。

1. 继续多措并举,寻求网络安全人才入口最大化

第一项优先行动题为“建立和维持人才通道”,提出这项行动所依据的首先是报告对于国际环境的判断:“我们的竞争国家正在实施可能有损美国网络安全长期竞争力的人才发展计划”。为此,《战略》提出“美国政府将加大投入,继续加强国家从小学到‘中等后’教育人才通道的建设”。须知,美国在校园教育方面不仅重视在高校大力培养网络安全人才,而且很早就把培养对象扩展到K-12(包括学前教育、中小学教育)阶段。美国国家网络安全教育计划(NICE)设立之初,就注重在K-12年级激发学生对网络安全概念和网络安全职业的兴趣,强化与网络安全密切相关的“科学、技术、工程和数学”(STEM)教育,注重培养学生的计算思维。在2016年版NICE计划《战略规划》中对校园教育方面的目标是“针对小学生,激发其网络安全职业意识;针对初中学生,鼓励其进行网络安全职业探索;针对高中学生,为其从事网络安全职业进行准备”。

除了校园教育,美国近来还开始探索半工半学的“学徒制”填补网络安全人才缺口,这也是《战略》中提出的“中等后”教育中的一条新的人才培养途径。相关政策举措在此次《战略》发布之前已经陆续出台:2017年6月15日特朗普总统签署行政令,在全美力推学徒制;2018年3月“NICE计划”增设了一个新的“学徒制工作组”,旨在探索如何快速培养一支学习和工作并重的队伍,应对网络安全技能短缺的问题。

此外,《战略》还首次提出了引进外国移民充实美国网络安全人才队伍的倡议。报告称,“本届政府将利用总统提出的积分制移民改革措施,确保美国拥有最具竞争力的技术领域”。和这一表述相呼应的是特朗普总统今年8月份公布的一份移民立法提案,该议案准备效仿加拿大等国的移民积分机制取代美国目前的亲属移民,大力引进年轻高技术人才。此前也曾有智库建议通过移民方式来缓解美国网络安全技能短缺的问题,但在网络安全这样的敏感领域引进移民是一个存在争议的问题。此次《战略》对网络安全移民也指定了两个前提条件,一是美国必须首先通过移民积分制立法,二是移民必须来自所谓“与美国价值观相同”的国家。这项行动未来的落地无疑将是一个很复杂的过程;但另一方面来说,将其写入官方正式战略文件也反映了美国填补网络安全技能缺口的决心和思路,即,要充分利用一切途径优先引进网络安全人才。

2. 注重继续教育,引导存量劳动力转行网络安全

第二项优先行动题为“为美国劳动者增加再培训和再教育的机会”,针对的主要是除第一项优先行动中提到的学校教育、外国移民等增量劳动力之外的美国存量劳动力。报告提出,“本届政府将联合国会共同促进和振兴教育培训机会,以建立一支强健的网络安全人才队伍。”网络安全作为发展突飞猛进的高技术领域,从业人员需要维持继续教育乃至终身教育已成为行业共识。美国把网络安全人才短缺的问题看作亟待解决的优先要务,公、私营领域均有大量的网络安全在职教育和培训活动。美国“国家网络安全职业与研究计划”(NICCS)收录的全美网络安全教育培训课程数量已超过3000多个 ,这充分显示了美国官方及社会各界对网络安全继续教育的高度重视。而由于网络安全属于高薪争夺的领域,美国劳动力市场上对该行业也十分看好。据近期查普林学院的一项调研显示,41%的美国人愿意接受网络安全方面的再教育并从事这一行业;如果用人单位能够承担相关教育培训的费用,有此意愿的人员比例增加到了72%。

为了鼓励社会人员接受网络安全继续教育,《战略》特别强调美国联邦政府将发挥带头作用,“联邦政府将加大在各类不同背景人员中招聘、培训和再培训的力度,使这些人员通过再培训后从事网络安全职业”。这一部署既能够加强全美网络安全再教育、再培训、再就业工作,也有助于缓解美国联邦政府自身网络安全人才不足的现实问题。美国不仅倡导信息技术及其他行业人员转而从事网络安全行业,而且也积极鼓励当前队伍中代表性不足的人群参与网络安全相关教育培训。NICE计划《战略规划》的目标之一即是“创新有效方式,增加网络安全人才队伍中女性、少数族裔、退伍军人、残疾人的数量”,以促进从业人员的多样化。经过政府的引导,退伍军人在网络安全“再就业”已经取得了显著效果,美国国防部现已有大量由退伍军人转而走上网络安全岗位的人员。

3. 标准化管理,促进联邦政府自身安全人才建设

第三项优先行动题为“加强联邦政府网络安全人才建设”,提出“为改进联邦政府对高质量网络安全专业人员的招聘和留用工作,本届政府将继续使用国家网络安全教育计划(NICE)人力框架为相关人才政策提供支持,以便通过标准化的方法识别、招募、开发和留住一支高水平的网络安全人才队伍”。美国把联邦政府明确为国家的关键基础设施之一,认为联邦政府的网络安全人才缺口较大,而政府部门对网络安全人才的吸引力难以同私营领域竞争,因此在2016年就曾经专门发布了《联邦网络安全人员战略》,从人才的发现、培养、招募,以及留用四方面进行部署,具体规划包括:一是要明确网络安全人员需求;二是要加强教育培训,扩充网络安全人员队伍;三是要招募、聘用高技能网络安全人才;四是要做好高技能网络安全人才的留用和发展。

《战略》在这项优先行动中最突出的关键字即是“标准化”,这里主要包含了两方面的内容。一是人才标准的应用,报告明确了联邦政府网络安全人才建设要继续以NICE人力框架为基础。这个框架即NIST SP800-181标准,目前已经在美国联邦政府网络安全人才盘点、教育培训、队伍能力基线评估等工作中得到了实质性应用,未来还将继续发挥核心作用。另一方面主要体现在人员的统一监督管理上,报告指出“本届政府将探索适当的方式,建立由国土安全部(DHS)管理的分布式网络安全监督人机制,负责监督联邦政府除国防部和情报系统以外各部门和机构网络安全人员的发展、管理和部署工作”。此外《战略》还提出“本届政府将推动向政府部门工作人员提供恰当的经济补偿,以及专有的培训和实践机会,以便在和私营领域竞争人才的环境中有效招聘和留住关键的网络安全人才”,明确要求要通过改进薪酬待遇、增加教育培训的方式留住联邦政府自身的网络安全人才。

4. 强调人才激励,把握关键环节推动人才发展全局

第四项优先行动题为“利用行政权重点突出和奖励人才”,提出“美国政府将重点突出(highlight)网络安全教育人员和网络安全专业人员,推进和增强卓越水平。美国政府将通过公私领域合作开发和传播NICE框架,提供标准化的方法确认网络安全人才队伍差距,准备、建设和维持一支能够防御和支持美国关键基础设施及创新基础的人才队伍。”在同一份《战略》里这已是第二次旗帜鲜明地提到了网络安全人才激励的问题,对人的导向和重视可见一斑。对于如何鼓励和激励网络安全人才,当前美国在国防领域已有若干破格招聘和提供灵活薪酬的规定;预期未来相关的倾斜政策将继续加强,范围也将不只局限在国防部,激励的对象也不限于网络安全专业人才,还将扩大到教育人员等有助于人才建设工作的各类角色。

此外,这项优先行动还充分体现了美国当局对于网络安全人才建设工作既重视全局,又聚焦关键的思路。全局的部分主要体现在,美国的关键基础设施主要由私营领域负责运营,大量创新主要也源自于产业界,美国既重视联邦政府自身的网络安全人才建设工作,也注重加强公私领域的协同合作和最佳实践的共享,进而加强私营领域关键基础设施的人才建设。在具体实施中主要是抓关键环节,大力推广NICE 框架这一人才标准,帮助公私领域各类单位以标准化的方式开展人才工作。有了统一的标准和能力规范,美国不同的组织都可以对网络安全人才队伍进行能力评估、找准差距、进行有针对性的教育培训,从而实现全美各类人群网络安全能力的整体提升,“准备、建设和维持一支能够防御和支持美国关键基础设施及创新基础的人才队伍”。

三、结语

正如我们去年对13800号令所研判的一样,特朗普将继续沿袭前两届政府对网络安全人才的战略认知,并将采取更加进取的人才政策。上述行政令曾明确,网络安全专业人才队伍的持续增长是实现美国在网络空间各项目标的基础。今年新发布的美国《国家网络战略》是以13800号行政令及其系列评估工作为基础的,经过分析,我们看到美国的网络安全人才政策大体上保持了一致性和连贯性。

当然除了继承的部分,《战略》在人才建设方面也呈现了一些新的内容:一是对网络安全人才发展的国际环境进行了新的评估,认为竞争国家正在实施“可能有损美国网络安全长期竞争力的人才发展计划”,美国在网络空间维持领先地位遇到了新的挑战。其后的人才建设四项优先行动,都是在这个极具危机感和紧迫性的判断下提出的。二是在网络安全人才建设中“提升整体能力”的思路更加清晰和全面,通过校园教育、学徒机制、继续教育、在职培训,乃至技术移民等一切可能的手段来填补网络安全技能缺口,覆盖了各种类型的人群,各方面都没有明显的短板,以期达到建设和维持“超群的网络安全人才队伍”目标。三是“标准化”成为人才战略中的重要关键词,标准化的网络安全人才建设方法和实践开始进入全面应用和推广阶段。随着人才标准SP 800-181在美联邦政府的初步落地,美国当局开始将其作为网络安全人才发展的关键环节大力推进。正如美政府现在倡导公、私领域各类组织应用《网络安全框架》(NIST CSF)一样,未来美国也将积极推广NICE人力框架,为标准化的网络安全人才发展工作提供支持。(王星

(本文刊登于《中国信息安全》杂志2018年第12期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。