美国国际战略研究中心(CSIS)2019年1月29日发布研究报告《网络安全劳动力缺口》(The Cybersecurity Workforce Gap)

报告认为:网络安全形势愈发严峻,但目前美国的教育和培训机构难以满足社会对网络人才日益增长的需求。

报告重点介绍了美国当前网络安全教育和培训领域存在的不足。截至2019年1月美国当前就业的网络安全岗位人数为71.6万,还缺少31.4万名网络安全人才。自2015年以来空岗率骤增约50%,预计到2022年全球的网络安全人才供给敞口达180万。

网络安全人才缺口是全球性的问题,因此报告介绍了英国的网络再培训学院、美国的国家学术卓越中心的CAE-CO计划和美国国土安全部的网络挑战赛计划三个相对较为成功的网络安全人才培训项目。最后,分别针对政策制定者、教育工作者和雇主每方提出三条合计九条建议。

一、网络安全劳动力短缺态势

CSIS最近针对八个国家的IT决策者的一项调查发现,82%的雇主表示企业缺乏网络安全技能,71%的人认为网络安全人才缺口会为组织带来直接且可度量的损失。根据美国网络安全教育计划(NICE)资助的CyberSeek项目的调查结果:截至2019年1月,美国面临近31.4万名网络安全专业人员的短缺,而该国受雇的网络安全劳动力仅为71.6万人。根据就业岗位数据,自2015年以来,空缺的网络安全岗位数量增长了50%以上。到2022年,全球的网络安全劳动力短缺预计将达180万。

网络安全劳动力缺口中,最紧缺的是高技能技术人员。早在2010年,CSIS报告“网络安全中的人力资本危机”所进行的访谈表明,美国只有1万名专家具备高级技能,而对此的人员需求是1万到3万名。不仅在运维已部署系统方面短缺网络安全高级技能人才,以下领域的人才更为稀缺:设计安全的系统、安全代码开发、制造综合工具用来防止、检测、减缓系统奔溃和恶意行为造成的危害。2016年,CSIS发现IT专业人士认为网络安全运维人员不太具备入侵检测、安全软件开发和缓解攻击等技术能力。到了2018年,针对加州企业的调查显示,超过三分之一的企业报告其缺乏漏洞评估分析人员、半数企业报告缺少支持基础设施网络防御的人才。

二、网络安全类毕业生是否达到雇主所需技能?

2016年,CSIS对IT雇主的一项调查发现,只有23%的雇主认为教育计划对学生进入网络安全产业有所帮助。2018年,专业协会ISACA(国际信息系统审计协会)发现61%的组织认为所有网络安全职位申请人中,只有不到一半的人真正有资格胜任这项工作。

网络安全从业者认为,雇主们认为网络安全类毕业生主要问题是缺乏实操经验以及计算和信息安全基础知识不牢靠。因此,许多毕业生在开始工作之前需要进行广泛的在职培训。此外,雇主经常发现网络安全毕业生缺乏必要的软技能,如团队合作、解决问题和沟通的能力。当前风评不佳的网络安全教育生态系统也使企业失望,如还没有统一的指标或排名来帮助雇主了解哪些计划、认证和等级是最有效的。有针对性地解决这些问题,有助于美国加强网络安全人才培养。

必备基本技能

需要掌握的基本技能包括对计算机体系结构、数据、加密、网络、安全编码原则和操作系统的理解,还要熟悉Linux系统,流畅运用低级编程语言,掌握常见的漏洞利用方法和缓释技术。而许多网络安全计划似乎都侧重于网络安全政策规划、合规审计等,但渗透测试、安全系统设计、事件响应及工具开发等才是企业需求重点。为了满足网络安全运维所要求的技能,教育和培训计划必须将课程的重点放在确保学生能够掌握信息安全的基础知识。

实操经验

实践培训和实操经验有助于学生掌握雇主期待的具体技能。调查一致表明,在评估新员工时,企业最看重实践经验。在网络安全从业人员看来,能够让学生应对现实网络安全挑战的实践学习环境,是领先的教育项目的关键因素之一。解决网络安全毕业生实践技能不足的办法是给予学生充分的学徒、实习和工作学习机会。虽然这些机会可作为现有教育计划的补充,但教师也可采取多种方法,直接在课程中纳入实践学习机会。如在过去几年中,教育和培训机构越来越多地使用网络靶场和网络安全竞赛。这类课程让学生有机会体验以实际情况为范本的挑战,可让他们建立实用技能,同时提高其在快节奏、高对抗性环境中提升团队协作的能力。

软技能

企业自始至终认为沟通、团队协同和解决问题等软技能对新员工至关重要。安全公司Tripwire进行的一项调查发现,100%的受访者认为软技能在雇用安全团队时非常重要,21%的受访者甚至认为其比硬技能更重要。对此,教育和培训计划需要让学生有机会培养这些技能,一般可以进行网络安全竞赛,这使得学生可以获得与他人共事的经验,以应对现实的网络安全事件。此外,教师可以通过调整教学和评估方法来彰显口头及书面交流的重要性,例如可采用基于情境评估的方式,假设业务经理提出如何应对攻击的问题,并要求学生描述他们的流程或响应。

三、优秀的网络安全教育实践

英国的网络再培训学院

英国的网络再培训学院(The Cyber Retraining Academy)由英国政府支持,旨在为天姿聪颖但没有正规网络背景的人提供为期10周的集训机会,为入职网络安全岗位做培训。该计划由英国国家网络安全计划资助,并与SANS研究所合作开发,强调对安全基础技能的熟练掌握,普遍使用实验室、竞赛和其他实践性的教学方法。

CAE-CO

美国国家学术卓越中心(CAE)计划则通过鼓励拥有网络安全学位的学院贯彻NSA和DHS专家制定的一系列学术标准,致力于改善美国的网络安全学位教育。如今,已有230多所学校被指定为CAE,其中大多数被认为是网络防御学术卓越中心(CAE-CD),专注于降低国家信息基础设施的脆弱性。另外20个项目满足更严格的要求,被认定为网络运营学术卓越中心(CAE-CO),专注于特定的网络攻击性行动,以提高美国的国家安全。

美国网络挑战赛

美国网络挑战赛(USCC)是由国土安全部支持的一项国家计划,为高中、大学和研究生开展举办网络安全夏令营和挑战赛。USCC由两项互补计划组成:Cyber Quests在线挑战赛以及为网络专业人士提供为期一周的Cyber Camp计划。Cyber Quests是一整套的在线挑战,测试信息安全的基础知识和动手能力,涵盖从安全编码到网络监控任务。根据Cyber Quests的表现,参与者被邀请参加USCC的某一个Cyber Camp。Cyber Camps是为期一周的研讨会,包括动手实验、黑客竞赛以及领先的大学和行业专业人士在渗透测试、伪数据包制作和网络战等方面的指导。

四、结论和建议

现今,组织面临着严峻的网络安全挑战,需要广募人才,尤为需要的是经过深度技术培训的专业人员,而用户方发现许多课程的毕业生基础知识不牢靠、缺乏实操经验和并且软技能也不过硬。因此,报告为政策制定者、教育工作者和雇主提出9条建议,希冀能缩小网络技能差距:

政府

  • NSA和DHS应借鉴CAE-CO计划,提高CAE-CD学校的资格标准。新标准应彰显掌握计算机基础知识的的重要性,还要强调提升实践性。

  • NIST的国家网络安全教育计划(NICE)应同教育机构、雇主和网络安全厂商,一起将网络挑战赛中的绩效评估标准化,把这些挑战与NICE网络安全实践者框架(Cybersecurity Workforce Framework)和网络安全理事会提出的网络安全工作能力模型相结合。

  • 英国网络再培训学院则展示了短期强化培训计划的作用,以重新培训在职人员进而担任重要的网络安全角色。决策者也应在美国支持和推广此类办法,并鼓励企业为自己的员工制定类似的内部计划。

教育机构

  • 教育机构和出资人应该确保网络安全课程包括大量计算基础知识,以帮助学生准备好担任关键技术角色。

  • 教师应努力将竞赛、挑战和网络靶场等实践机会纳入网络安全课程,来培养学生的实操技能,并与当地企业建立伙伴关系,为学生提供学徒或实习机会,及早适应网络安全工作环境。

  • 教育机构可通过注重整个课程中的团队任务并鼓励学员开发和重视书面、口头交流的教学和评估方法,来促进网络安全专业学生的软技能的培育。

雇主

  • 企业应与当地教育机构合作,及时反馈劳动力实际需求和技能差距。增强雇主与教育机构之间的沟通,有助于网络安全人才的培养方向与行业需求保持一致。

  • 企业应聘请具有非传统背景的网络安全申请人,比如参加短期、集训的网络再培训计划毕业的人,这也是满足关键劳动力需求的有效方式。

  • 企业也应考虑建立内部再培训计划,基于现有人才库填补短缺的劳动力。

声明:本文来自赛博安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。