信息时代,网络空间已成为陆、海、空、天之外人类活动的“第五空间”。政治、经济、文化、社会、军事等国家重要领域的基础设施与网络空间联系日益紧密,网络安全对国家安全牵一发而动全身,已成为国家安全体系的重要组成部分。要贯彻“总体国家安全观”,维护好网络空间这一非传统领域的安全,最关键的要素在于人。习总书记明确指出,人才是第一资源;网络空间的竞争,归根结底是人才竞争。

    一、网络安全人才队伍建设是国家网络安全保障的基础

  功以才成,业由才广。建立一支规模宏大、结构优化、素质优良的网络安全人才队伍已成为维护国家网络安全和建设网络强国的核心需求。因为各项网络安全保障的工作,都是要由网络安全人员来落实和推动的。当前,关键基础设施安全问题越来越多地表现为关键信息基础设施的安全问题,进而影响国家安全。从国际上看,2010年“震网”病毒定向入侵、破坏伊朗核设施;2015年乌克兰电网遭恶意代码攻击大规模断电;2017年美国国家安全局(NSA)网络武器库泄露的“永恒之蓝”病毒肆虐全球,网络安全的威胁已经真切地影响到国家关键基础设施正常运转和社会稳定发展,成为国家安全的新前沿和各国战略博弈的新领域。在此背景下,关键信息基础设施运营单位网络安全人才队伍建设成为国家网络安全保障的重要任务。

  理念决定行动,世界上主要国家普遍对网络安全人才问题高度重视,并把人才发展作为国家关键基础设施网络安全保障的基础和先决条件;一些走在前列的网络强国还制定了专门的国家级网络安全人才战略计划。美国早在2008年就酝酿制定一个国家网络安全人才教育战略,规格直指其20世纪50年代的科学和数学教育战略,旨在启动网络时代新一轮教育革命。特朗普政府在其首份网络空间安全政策文件13800号行政令中也再次强调,网络安全人才发展是美国实现联邦政府网络安全、关键基础设施网络安全等目标的基础。英国政府在《国家网络安全战略 2016-2021年》中把填补网络安全人才缺口明确为一项长期且具有变革意义的目标,并提出将制定专门的网络安全人才技能战略。俄罗斯、以色列、澳大利亚、日本、韩国等国也在自身发展和网络空间博弈需求推动下,高度重视网络安全人才的发展并通过非常规的战略措施加以推进。

  近年来,我国网络安全人才的问题得到了空前的重视。我们欣喜地看到,中央网信办成立以来国家密集出台一系列战略、政策、法规,无不把网络安全人才队伍建设视为必不可少的一项基础工作。2015年6月,“网络空间安全”一级学科正式获批。2016年7月,《关于加强网络安全学科建设和人才培养的意见》要求建立党政机关、事业单位和国有企业网络安全工作人员培训制度,提升网络安全从业人员安全意识和专业技能。2016年11月,《网络安全法》正式通过,要求国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才。2016年12月《国家网络空间安全战略》中,实施网络安全人才工程被明确列为夯实网络安全基础的一项战略任务。2017年7月《关键信息基础设施安全保护条例(征求意见稿)》要求,关键信息基础设施运营者应当组织从业人员网络安全教育培训。

    二、当前我国网络安全人才队伍建设现状及主要问题

  随着网络安全人才培养战略被推上前所未有的高度,各项人才措施全面推进,得到了全社会的热烈响应。学历教育方面,网络空间安全学科建设方兴未艾,已建立起本科、硕士和博士等不同层次的人才教育培养体系;在职培训方面,以注册信息安全专业人员(CISP)为代表的国家专业人才培养体系为国家党政军和关键信息基础设施运营单位的安全防护输送了一大批急需骨干人才。尽管如此,须清楚看到我国在网络空间的后起地位决定了当前网络安全人才队伍整体上还存在较大不足,远远不能满足信息化快速发展的需要。当前我国网络安全人才队伍建设工作中需要重点解决以下主要问题。

    1. 人才供需严重失衡

  网络安全人才需求迅速增长,人才短缺情况日益严峻。目前我国网络安全人员缺口至少在百万级,供不应求的现状导致网络安全人才市场成为“卖方市场”,优秀的安全人才受到争夺,也推高了安全从业人员的整体薪酬。人才的供需矛盾不仅仅体现在网络安全从业人员绝对数量的不足上,更体现在不同类型人才供给和需求之间的错位。网络安全从业人员中从事运营与维护、技术支持、管理、风险评估与测试的人员相对较多,从事战略规划、架构设计的人员相对较少,尤其缺乏既懂业务,又懂技术的高端综合人才。人才队伍呈现底部过大,顶部过小的结构,“重产品,轻服务,重技术,轻管理”的现象仍很普遍。

    2. 教育培训明显不足

  网络安全是技术更新迭代最快的行业之一,安全从业人员需要不断更新知识储备,学习掌握新的技能,跟进前沿网络安全态势。加强网络安全人才队伍建设,需要学历教育、职业培训、用人单位内训等多种方式共同发力。但当前的现状是,学历教育需要经过大约4年的人才培养周期,每年仅能输出1.5万名毕业生,短期之内无法满足各界对网络安全人才的需要。在职培训周期短、针对性强、紧跟业界前沿趋势,是从业人员和准从业人员理想的能力提升方式。然而不少用人单位疏于培养自有人才,不愿投入足够的资源开展内训或进行专业培训,仅有少部分单位能够给网络安全工作人员持续提供充足的专业培训。

    3.人才管理和激励机制有限

  大量关键信息基础设施运营单位对网络安全人才吸引力日趋下降,人才流失严重。其中很大原因在于安全职能不直接创造经济效益,各单位普遍缺乏符合网络安全特点的人才管理和鼓励机制,没有一把能够有效“衡量人才的尺子”,导致人员责、权、利难以对等实现。作为一个相对年轻、新兴的职业,网络安全还没有被收录入国家职业资格大典,安全从业人员的职称评审多依附于信息技术等类别之下。体制内网络安全相关人员在评审职称或进行其他评价时存在困难,特别是寻求向高级别、专家型人才进阶时常常无路可循。而企业中即使设立了相应的人才管理和鼓励激励制度,其具体评价标准往往是各行其是、互不兼容。这样的状况既不利于国家对网络安全人才队伍建设的整体规划和引导,也不利于从业人员依照职业路线图寻求职业发展。

    三、我国网络安全人才队伍建设

  目前,网络安全人才事业已迎来最好的发展机遇,人才队伍建设工作多点发力,成效初现。中国信息安全测评中心承担信息安全人员资质测评的重要职责,在当前网络安全人才发展的关键历史时期,我们将担当起时代使命,继续投身网络安全人才发展实践和探索工作中。

    1.强化统筹协调,统一推进确保工作成效

  网络安全人才培养是一项战略性、基础性、范围广、领域多的工作,需要提前谋篇布局,需要政产学研用多方力量参与。要加强主管领导部门的统筹协调职责,强化各职能部门的工作权限和职责范围,动员全社会相关企业、行业组织和院校协作配合,共同建立适应网络安全人才特点的队伍建设工作体系。可以参考网络安全先进国家的做法,如美国“国家网络安全教育计划(NICE)”下设工作组和跨部门协调委员会,能够协调国防部、国土安全部、教育部、商务部、人事管理办公室等十几个政府部门和大量产业界、学术界组织。在该计划推动下,美国在网络安全意识提升、学历教育、培训认证、人力资源管理等方面系统开展了大量卓有成效的工作。英国也将制定专门的网络安全技能战略,不仅要将网络安全纳入教育体系,还准备建立由政府、用人单位、专业团体、技能团体、教育机构和学术界组成的技能咨询组织。

    2.加强主力建设,在职培训需要大力倡导

  落实国家网络安全人才战略,需要综合提升各类人群的网络安全意识和能力,包括各级领导干部、关键信息基础设施运营单位、安全从业人员、高校和中小学学生,以及普通公众等。其中尤为关键的是网络安全从业人员以及准备进入行业的准从业人员,因为他们是实施各项网络安全保障措施的主力军,也是有望在网络安全核心技术取得突破的先锋力量。对于从业人员,要满足他们在网络安全细分领域和前沿领域能力提升的需要。CISP在职培训体系及时掌握人员培训需求,各细分领域培训全线铺开,全面覆盖安全技术、安全管理、渗透测试、安全开发、工控安全、密码安全、系统审计等人才紧缺的方向,成为我国重要行业、关键信息基础设施运营单位以及大中型企业首先的人员培训品牌。国家加大了学科建设和学历教育的力度,非学历教育特别是社会办学和在职教育同样也需要大力倡导,双管齐下。鼓励专业在职培训已刻不容缓,通过规模化培养解决最为突出的网络安全人才供需矛盾,通过专业化培养填补网络安全细分领域人才缺口。

    3.鼓励先行先试,推动网络安全人才发展体制机制改革

  同传统行业不同,网络安全的历史不长,本身又具有更新快、跨领域、碎片化的特点。从业人员识别、定岗定责尚有难度,建立有效的网络安全人才管理和激励机制更加不易,需要花大力气推动相关制度的研究和应用。要落实国家网络安全战略,做好人才的“选、育、用、留”,加强队伍稳定性,必须鼓励网络安全人才发展体制机制改革先行先试,研究建立网络安全特殊人才培养、管理和激励制度。对于特殊的网络安全人才不要求全责备,“不要都用一把尺子衡量”。国外的做法更倾向于使用人员资质的方式,如美国国防部所有信息安全保障岗位都需要达到相应的人员基线资质要求。我国的CISP注册资质证书也已成为重要行业人才识别和能力评价的重要依据,以及不少大中型企业招聘时的必备要求。如何编制更加系统全面的网络安全从业人员识别和评价标准,制定有效的人才发展体制机制,对于未来的网络安全人才队伍建设至关重要。

    四、结语

    我国网络安全人才队伍现状最大的特点就是发展不充分、不平衡。当前国内网络安全市场规模仅为三、四百亿元,但黑色灰色产业已达千亿元规模。安全投入明显不足,安全责任不到位,包括人才在内的网络安全市场需求尚未得到有效释放。过去一年里,层出不穷的信息泄露、勒索病毒、DDoS,以及工控安全事件促使政府和各企事业单位不得不重视、应对网络安全风险,网络安全人才成为各单位生存和发展的刚需型人才。随着《网络安全法》、《关键信息基础设施安全保护条例》的实施,网络安全相关需求已成为法律强制要求。网络安全人才不到位,就无法满足相关法规实施提出的要求。在业务刚需和法律强制要求的牵引下,网络安全人才队伍建设工作将进入快速发展期,为国家网络安全保障事业提供坚固的人才支撑。(作者:位华)