信息時代����,網絡空間已成為陸、海�����、空����、天之外人類活動的“第五空間”�。政治、經濟�、文化、社會����、軍事等國家重要領域的基礎設施與網絡空間聯(lián)系日益緊密,網絡安全對國家安全牽一發(fā)而動全身�,已成為國家安全體系的重要組成部分。要貫徹“總體國家安全觀”��,維護好網絡空間這一非傳統(tǒng)領域的安全,最關鍵的要素在于人���。習總書記明確指出�,人才是第一資源�����;網絡空間的競爭�,歸根結底是人才競爭。
一��、網絡安全人才隊伍建設是國家網絡安全保障的基礎
功以才成�,業(yè)由才廣。建立一支規(guī)模宏大���、結構優(yōu)化����、素質優(yōu)良的網絡安全人才隊伍已成為維護國家網絡安全和建設網絡強國的核心需求����。因為各項網絡安全保障的工作,都是要由網絡安全人員來落實和推動的�。當前�,關鍵基礎設施安全問題越來越多地表現(xiàn)為關鍵信息基礎設施的安全問題��,進而影響國家安全����。從國際上看,2010年“震網”病毒定向入侵���、破壞伊朗核設施�;2015年烏克蘭電網遭惡意代碼攻擊大規(guī)模斷電�����;2017年美國國家安全局(NSA)網絡武器庫泄露的“永恒之藍”病毒肆虐全球�,網絡安全的威脅已經真切地影響到國家關鍵基礎設施正常運轉和社會穩(wěn)定發(fā)展,成為國家安全的新前沿和各國戰(zhàn)略博弈的新領域���。在此背景下,關鍵信息基礎設施運營單位網絡安全人才隊伍建設成為國家網絡安全保障的重要任務���。
理念決定行動����,世界上主要國家普遍對網絡安全人才問題高度重視,并把人才發(fā)展作為國家關鍵基礎設施網絡安全保障的基礎和先決條件��;一些走在前列的網絡強國還制定了專門的國家級網絡安全人才戰(zhàn)略計劃�。美國早在2008年就醞釀制定一個國家網絡安全人才教育戰(zhàn)略,規(guī)格直指其20世紀50年代的科學和數(shù)學教育戰(zhàn)略����,旨在啟動網絡時代新一輪教育革命。特朗普政府在其首份網絡空間安全政策文件13800號行政令中也再次強調��,網絡安全人才發(fā)展是美國實現(xiàn)聯(lián)邦政府網絡安全�����、關鍵基礎設施網絡安全等目標的基礎��。英國政府在《國家網絡安全戰(zhàn)略 2016-2021年》中把填補網絡安全人才缺口明確為一項長期且具有變革意義的目標���,并提出將制定專門的網絡安全人才技能戰(zhàn)略��。俄羅斯�����、以色列�、澳大利亞、日本����、韓國等國也在自身發(fā)展和網絡空間博弈需求推動下,高度重視網絡安全人才的發(fā)展并通過非常規(guī)的戰(zhàn)略措施加以推進���。
近年來��,我國網絡安全人才的問題得到了空前的重視����。我們欣喜地看到�,中央網信辦成立以來國家密集出臺一系列戰(zhàn)略、政策����、法規(guī),無不把網絡安全人才隊伍建設視為必不可少的一項基礎工作��。2015年6月��,“網絡空間安全”一級學科正式獲批��。2016年7月�,《關于加強網絡安全學科建設和人才培養(yǎng)的意見》要求建立黨政機關、事業(yè)單位和國有企業(yè)網絡安全工作人員培訓制度��,提升網絡安全從業(yè)人員安全意識和專業(yè)技能���。2016年11月�����,《網絡安全法》正式通過�,要求國家支持企業(yè)和高等學校��、職業(yè)學校等教育培訓機構開展網絡安全相關教育與培訓����,采取多種方式培養(yǎng)網絡安全人才。2016年12月《國家網絡空間安全戰(zhàn)略》中��,實施網絡安全人才工程被明確列為夯實網絡安全基礎的一項戰(zhàn)略任務�。2017年7月《關鍵信息基礎設施安全保護條例(征求意見稿)》要求,關鍵信息基礎設施運營者應當組織從業(yè)人員網絡安全教育培訓��。
二�����、當前我國網絡安全人才隊伍建設現(xiàn)狀及主要問題
隨著網絡安全人才培養(yǎng)戰(zhàn)略被推上前所未有的高度,各項人才措施全面推進�����,得到了全社會的熱烈響應����。學歷教育方面,網絡空間安全學科建設方興未艾�����,已建立起本科�、碩士和博士等不同層次的人才教育培養(yǎng)體系;在職培訓方面���,以注冊信息安全專業(yè)人員(CISP)為代表的國家專業(yè)人才培養(yǎng)體系為國家黨政軍和關鍵信息基礎設施運營單位的安全防護輸送了一大批急需骨干人才�����。盡管如此���,須清楚看到我國在網絡空間的后起地位決定了當前網絡安全人才隊伍整體上還存在較大不足,遠遠不能滿足信息化快速發(fā)展的需要�����。當前我國網絡安全人才隊伍建設工作中需要重點解決以下主要問題����。
1. 人才供需嚴重失衡
網絡安全人才需求迅速增長,人才短缺情況日益嚴峻��。目前我國網絡安全人員缺口至少在百萬級��,供不應求的現(xiàn)狀導致網絡安全人才市場成為“賣方市場”���,優(yōu)秀的安全人才受到爭奪�,也推高了安全從業(yè)人員的整體薪酬�。人才的供需矛盾不僅僅體現(xiàn)在網絡安全從業(yè)人員絕對數(shù)量的不足上,更體現(xiàn)在不同類型人才供給和需求之間的錯位���。網絡安全從業(yè)人員中從事運營與維護�����、技術支持�����、管理�、風險評估與測試的人員相對較多,從事戰(zhàn)略規(guī)劃��、架構設計的人員相對較少����,尤其缺乏既懂業(yè)務,又懂技術的高端綜合人才��。人才隊伍呈現(xiàn)底部過大��,頂部過小的結構�,“重產品,輕服務���,重技術�����,輕管理”的現(xiàn)象仍很普遍��。
2. 教育培訓明顯不足
網絡安全是技術更新迭代最快的行業(yè)之一�,安全從業(yè)人員需要不斷更新知識儲備,學習掌握新的技能���,跟進前沿網絡安全態(tài)勢���。加強網絡安全人才隊伍建設��,需要學歷教育����、職業(yè)培訓、用人單位內訓等多種方式共同發(fā)力��。但當前的現(xiàn)狀是���,學歷教育需要經過大約4年的人才培養(yǎng)周期�����,每年僅能輸出1.5萬名畢業(yè)生�,短期之內無法滿足各界對網絡安全人才的需要�。在職培訓周期短、針對性強����、緊跟業(yè)界前沿趨勢�����,是從業(yè)人員和準從業(yè)人員理想的能力提升方式����。然而不少用人單位疏于培養(yǎng)自有人才��,不愿投入足夠的資源開展內訓或進行專業(yè)培訓����,僅有少部分單位能夠給網絡安全工作人員持續(xù)提供充足的專業(yè)培訓。
3.人才管理和激勵機制有限
大量關鍵信息基礎設施運營單位對網絡安全人才吸引力日趨下降��,人才流失嚴重���。其中很大原因在于安全職能不直接創(chuàng)造經濟效益�,各單位普遍缺乏符合網絡安全特點的人才管理和鼓勵機制���,沒有一把能夠有效“衡量人才的尺子”��,導致人員責��、權���、利難以對等實現(xiàn)�。作為一個相對年輕���、新興的職業(yè)�����,網絡安全還沒有被收錄入國家職業(yè)資格大典,安全從業(yè)人員的職稱評審多依附于信息技術等類別之下��。體制內網絡安全相關人員在評審職稱或進行其他評價時存在困難����,特別是尋求向高級別、專家型人才進階時常常無路可循�����。而企業(yè)中即使設立了相應的人才管理和鼓勵激勵制度��,其具體評價標準往往是各行其是�、互不兼容�����。這樣的狀況既不利于國家對網絡安全人才隊伍建設的整體規(guī)劃和引導��,也不利于從業(yè)人員依照職業(yè)路線圖尋求職業(yè)發(fā)展��。
三����、我國網絡安全人才隊伍建設
目前�����,網絡安全人才事業(yè)已迎來最好的發(fā)展機遇����,人才隊伍建設工作多點發(fā)力,成效初現(xiàn)�。中國信息安全測評中心承擔信息安全人員資質測評的重要職責,在當前網絡安全人才發(fā)展的關鍵歷史時期��,我們將擔當起時代使命���,繼續(xù)投身網絡安全人才發(fā)展實踐和探索工作中����。
1.強化統(tǒng)籌協(xié)調,統(tǒng)一推進確保工作成效
網絡安全人才培養(yǎng)是一項戰(zhàn)略性���、基礎性���、范圍廣、領域多的工作���,需要提前謀篇布局��,需要政產學研用多方力量參與。要加強主管領導部門的統(tǒng)籌協(xié)調職責�,強化各職能部門的工作權限和職責范圍,動員全社會相關企業(yè)�����、行業(yè)組織和院校協(xié)作配合��,共同建立適應網絡安全人才特點的隊伍建設工作體系����?����?梢詤⒖季W絡安全先進國家的做法�����,如美國“國家網絡安全教育計劃(NICE)”下設工作組和跨部門協(xié)調委員會����,能夠協(xié)調國防部�����、國土安全部�����、教育部���、商務部�、人事管理辦公室等十幾個政府部門和大量產業(yè)界�、學術界組織。在該計劃推動下,美國在網絡安全意識提升��、學歷教育���、培訓認證��、人力資源管理等方面系統(tǒng)開展了大量卓有成效的工作��。英國也將制定專門的網絡安全技能戰(zhàn)略�����,不僅要將網絡安全納入教育體系���,還準備建立由政府、用人單位���、專業(yè)團體、技能團體����、教育機構和學術界組成的技能咨詢組織。
2.加強主力建設���,在職培訓需要大力倡導
落實國家網絡安全人才戰(zhàn)略���,需要綜合提升各類人群的網絡安全意識和能力����,包括各級領導干部�、關鍵信息基礎設施運營單位、安全從業(yè)人員��、高校和中小學學生�����,以及普通公眾等��。其中尤為關鍵的是網絡安全從業(yè)人員以及準備進入行業(yè)的準從業(yè)人員����,因為他們是實施各項網絡安全保障措施的主力軍,也是有望在網絡安全核心技術取得突破的先鋒力量�����。對于從業(yè)人員�,要滿足他們在網絡安全細分領域和前沿領域能力提升的需要。CISP在職培訓體系及時掌握人員培訓需求,各細分領域培訓全線鋪開���,全面覆蓋安全技術�、安全管理��、滲透測試�����、安全開發(fā)�、工控安全、密碼安全����、系統(tǒng)審計等人才緊缺的方向,成為我國重要行業(yè)�����、關鍵信息基礎設施運營單位以及大中型企業(yè)首先的人員培訓品牌�。國家加大了學科建設和學歷教育的力度,非學歷教育特別是社會辦學和在職教育同樣也需要大力倡導��,雙管齊下����。鼓勵專業(yè)在職培訓已刻不容緩,通過規(guī)?��;囵B(yǎng)解決最為突出的網絡安全人才供需矛盾��,通過專業(yè)化培養(yǎng)填補網絡安全細分領域人才缺口����。
3.鼓勵先行先試�,推動網絡安全人才發(fā)展體制機制改革
同傳統(tǒng)行業(yè)不同,網絡安全的歷史不長����,本身又具有更新快、跨領域�����、碎片化的特點�。從業(yè)人員識別、定崗定責尚有難度���,建立有效的網絡安全人才管理和激勵機制更加不易���,需要花大力氣推動相關制度的研究和應用��。要落實國家網絡安全戰(zhàn)略���,做好人才的“選、育����、用、留”��,加強隊伍穩(wěn)定性�����,必須鼓勵網絡安全人才發(fā)展體制機制改革先行先試�����,研究建立網絡安全特殊人才培養(yǎng)�、管理和激勵制度。對于特殊的網絡安全人才不要求全責備�,“不要都用一把尺子衡量”。國外的做法更傾向于使用人員資質的方式��,如美國國防部所有信息安全保障崗位都需要達到相應的人員基線資質要求。我國的CISP注冊資質證書也已成為重要行業(yè)人才識別和能力評價的重要依據(jù)����,以及不少大中型企業(yè)招聘時的必備要求�。如何編制更加系統(tǒng)全面的網絡安全從業(yè)人員識別和評價標準,制定有效的人才發(fā)展體制機制��,對于未來的網絡安全人才隊伍建設至關重要�����。
四�、結語
我國網絡安全人才隊伍現(xiàn)狀最大的特點就是發(fā)展不充分、不平衡�。當前國內網絡安全市場規(guī)模僅為三、四百億元���,但黑色灰色產業(yè)已達千億元規(guī)模����。安全投入明顯不足�����,安全責任不到位,包括人才在內的網絡安全市場需求尚未得到有效釋放�。過去一年里,層出不窮的信息泄露�、勒索病毒、DDoS���,以及工控安全事件促使政府和各企事業(yè)單位不得不重視���、應對網絡安全風險,網絡安全人才成為各單位生存和發(fā)展的剛需型人才�。隨著《網絡安全法》、《關鍵信息基礎設施安全保護條例》的實施��,網絡安全相關需求已成為法律強制要求��。網絡安全人才不到位�,就無法滿足相關法規(guī)實施提出的要求。在業(yè)務剛需和法律強制要求的牽引下���,網絡安全人才隊伍建設工作將進入快速發(fā)展期���,為國家網絡安全保障事業(yè)提供堅固的人才支撐。