本文作者:赛迪智库信息安全研究所 刘金芳
随着云计算、大数据等新兴信息技术的快速发展和互联网应用的不断深入,网络空间已经成为人类不可或缺的生存空间,与此同时,网络安全逐渐成为制约网络空间健康发展的瓶颈。目前,世界各国已清晰地认识到,加强网络安全最关键的是人才,最匮乏的也是人才,为此,美国、欧盟、日本等发达国家纷纷加强网络安全人才建设。研究发达国家的人才建设经验,对探索我国网络安全人才建设工作有着重要的借鉴意义。
一、美国网络安全人才建设的经验做法
(一)出台网络安全人才顶层规划
2011年9月,美国土安全部和人力资源办公室牵头提出《网络安全人才队伍框架(草案)》,明确了网络安全专业领域的定义、任务及人员应具备的“知识、技能、能力”,对开展网络安全专业学历教育、职业培训和专业化人才队伍建设起到了重要的指导作用。
2012年9月,美国专门针对网络安全人才队伍建设发布了“NICE战略计划”,明确提出了对普通公众、在校学生、网络安全专业人员三类群体进行教育和培训,以提高全民网络安全的风险意识、扩充网络安全人才储备、培养具有全球竞争力的网络安全专业队伍。
(二)推进高校网络安全人才教育
美国众多知名高校都拥有较强的网络安全专业,如加州大学伯克利分校、麻省理工学院、斯坦福大学等。这些高校纷纷推出特色的培养方式。例如,加州大学伯克利分校通过前沿老师讲解与学生实际操作相结合的方式培养学生,为学生提供世界最新技术,并通过团队合作方式教会学生协作处理问题;再如,麻省理工学院为网络安全专业配备了强大的师资力量,提供多角度的学生选课范围,学校允许学生根据自身兴趣和问题的性质设计毕业论文。美国高校不断加强大型网络安全实验室建设,例如,卡内基-梅隆大学成立的CyLab实验室是全美大学中规模最大的网络安全研究和教育中心之一,CyLab实验室整合了整个大学在信息技术领域的优势,在信息保障、网络安全技术等领域处于全球领先地位;再如,海军研究生院成立的信息系统安全学习和研究中心(CISR),是全美信息保障专业研究生人数最多的实验室,每年有超过400名研究生在CISR实验室学习和工作。此外,社区大学两年制的网络安全专业教育已成为美国院校加强网络安全人才建设的另一途径。
(三)加强网络安全人才职业培训
美国拥有世界权威的网络安全职业培训认证资质。包括国际注册信息系统安全师(CISSP)、国际注册信息系统审计师(CISA)等。美国著名企业针对其网络安全产品开展了不同层面的认证培训。其中,思科公司形成了CCNA Security、CCNP Security、CCIE Security三个等级的网络安全系列认证资质。甲骨文公司职业发展课程主要针对Oracle数据库管理、维护、开发工作。
(四)全面提升公民网络安全意识和技能
2009年,美国总统奥巴马宣布每年10月为美国网络安全意识月,号召美国公众加强安全保护意识,呼吁大众和私营企业主掌握基本的网络安全知识和技能,以应对层出不穷的网络犯罪活动。
2014年网络安全意识月活动的主题是“我们共同的责任”,美国通过社交媒体广泛传播网络安全意识,在社交媒体分享相关视频,通过演讲或聚会分享网络安全信息,以网络安全为题举办海报大赛,并开展网络安全意识挑战赛等活动。
二、欧盟网络安全人才建设的经验做法
(一)制定网络安全人才战略规划
欧盟2013年2月发布的《网络安全战略》提出,各成员国要在国家层面重视网络安全方面的教育与培训,学校要开展网络安全培训,对计算机科学专业学生进行网络安全、网络软件开发以及个人数据保护的培训,对公务员进行网络安全方面的培训。英国《网络安全战略》强调“加强网络安全技能与教育,确保政府和行业提高网络安全领域需要的技能和专业知识”,具体举措包括:通过建立认证培训方案,提升从事信息保障和网络安全专业人员的技能水平;加强研究生教育,扩展具有深度网络知识的专家库;在英国情报中心的协助下建立网络安全研究院;委托研究以确认网络安全技能的外延、模式和本质等。
(二)加强高校对网络安全专家的培养
英国政府为提高网络安全教育质量和教学水平,满足社会对网络安全专家的需求,加强了高校硕士专业认证。英国政府通讯总部授予完全硕士专业认证的高校包括爱丁堡龙比亚大学先进安全和数字取证硕士专业,兰卡斯特大学赛博安全硕士专业,牛津大学软件和系统的安全硕士专业,伦敦大学皇家霍洛威学院信息安全硕士专业,以提升对网络安全专家的培养力度。
(三)注重提升全民网络安全意识
2012年2月,根据欧盟数字议程旗舰计划的要求,欧盟委员会组织了“网络安全日”活动,欧洲互联网安全中心(INSAFE)具体实施,欧盟27个成员国以及冰岛、挪威和俄罗斯作为基本成员参加。欧盟各成员国在欧洲网络和信息安全局(ENISA)的支持下,从2013年起每年组织一次私营行业参与的网络安全月活动,以提高用户的安全意识。
三、日本网络安全人才建设的经验做法
(一)在战略层面关注网络安全人才建设
2011年发布的《保护国民网络安全》文件提出,为提高普通用户的网络安全知识标准,必须培养一批网络安全人才;采用通用人才评估和教育工具、大学与产业合作开发的实用型培养方法等来培养网络安全专家,为这些专家规划可行的职业道路,为大众树立职业楷模,以此赢得大众的理解并鼓励他们效仿;制定适用各行各业的网络安全专家培养计划,并考虑建立保障中长期网络安全专家候选人的系统。
(二)加强网络安全人才培养
在高等教育方面,日本国立、公立的综合性大学基本都设有网络安全相关专业,如著名的日本大学、东京大学、早稻田大学等。此外,日本还设立了专门培养网络安全人才的私立大学,例如,日本网络安全大学,是一所旨在培养网络安全硕士和博士的研究生院,课程包括密码、网络、系统技术、运营管理、法制及伦理等。在社会培训方面,文部科学省从2007年起开展了“研究与实践结合培养高级网络安全人才项目”,3所大学与11家企业联合开展网络安全人才教育培训,通过该项目建立了网络安全优秀人才认证制度。
(三)开展网络安全知识普及
日本制定了《网络安全普及与启蒙计划》,将普及“网络安全文化”作为工作目标,在网络安全策略委员会下设立“启迪与教育专委会”,从初等和中等教育阶段启发学生的相关意识,开展了“网络安全月”活动,举办了“中小企业网络安全指导者培养讲座”,以提高社会民众的网络安全意识技能。
四、加强我国网络安全人才建设的几点建议
(一)加强网络安全人才顶层设计
从国家战略高度统一部署,组织多方力量加强国家网络安全人才顶层设计,建立我国网络安全人才岗位框架体系,制定网络安全人才战略,协同各部门共同推进网络安全人才的建设工作。
(二)强化高校对网络安全人才的培养
加强我国网络安全学科建设,扩大网络安全专业人才招生数量,逐步实现我国网络安全人才体系化、规模化培养。引导和支持高等院校设置相关专业、完善课程体系、转变教学模式。加强高校网络安全实验室建设,提升高校实验课程设置和指导能力,为学生提供实践环境。鼓励用人单位和高校联合培养,大力推动产学研相结合的培养模式。
(三)重视网络安全职业培训
建立网络安全职业认证制度和考培分离制度,完善网络安全培训体系制度环境。大力支持职业培训机构发展,建设网络安全培训课程体系和学习资源中心,不断更新的课程体系,加强培训相关基础设施建设,壮大网络安全培训机构力量,建立以市场为主导的网络安全培训模式。
(四)坚持开展网络安全知识普及活动
大力开展网络安全意识培训和科普教育,实施覆盖全年龄段的网络安全意识教育培训。坚持开展“网络安全宣传周”活动,制作喜闻乐见的宣传资料,利用电视、广播、网媒、报纸和杂志等各种媒体渠道进行宣教。编写科普图书,大力开展网络安全进社区、网络安全进校园活动,对未成年人、老人等社会群体进行网络安全教育。