誠 格

美國網(wǎng)絡安全人才市場研究

誠 格

盡管全球各國都在倡導開放、包容、互信、合作、共贏的網(wǎng)絡安全觀,但仍掩飾不了日益嚴峻的網(wǎng)絡安全威脅。從某種意義上說,網(wǎng)絡安全戰(zhàn)的實質是由網(wǎng)絡安全人才主導的博弈,因此網(wǎng)絡安全人才隊伍建設正受到各國高度重視。美國蘭德公司于2014年發(fā)布的一份關于美國網(wǎng)絡安全人才市場的報告(Hackers Wanted——An Examination of the Cybersecurity Labor Market),較為詳細地介紹了美國網(wǎng)絡安全人才雇傭情況,并從經濟學角度分析人才市場變化趨勢,對我國了解美國網(wǎng)絡安全人才現(xiàn)狀,科學認知美國網(wǎng)絡安全人才市場基本現(xiàn)狀和變化規(guī)律,吸取美國應對人才短缺問題的對策經驗等,具有非常重要的參考價值。

一、美國網(wǎng)絡安全人才短缺現(xiàn)狀

美國網(wǎng)絡安全人才市場狀況一直備受各方關注。2010年美國國家公共電臺報道稱“地球上沒有一個國家比美國更容易受到大規(guī)模網(wǎng)絡攻擊?！币驗槊绹母餍懈鳂I(yè)——金融、交通、電信乃至軍事已緊密依靠數(shù)據(jù)網(wǎng)絡。但美國的網(wǎng)絡防御不具備迎接這一挑戰(zhàn)的能力。在某種程度上,這是身懷必要的知識技能、能與潛在對手對抗的計算機安全專家和工程師匱乏所致。根據(jù)《華盛頓郵報》2009年的報道,美聯(lián)邦政府正在努力滿足社會對計算機安全人員日益增長的需求,包括技術人員和政策制定者。強烈的需求已經引發(fā)各機構之間的競價戰(zhàn),以爭奪部分擁有網(wǎng)絡安全認證證書的熟練技工。這部分人的稀缺推高了薪金水平,削弱了機構能力。

企業(yè)的情況可能更糟。彭博新聞2013年5月援引負責“網(wǎng)絡愛國者大賽”的諾斯洛普項目總監(jiān)黛安·米勒的話:“我們確實遇到了用人荒,目前有700個職位空缺。”而一家移動數(shù)據(jù)安全公司準備從12人擴充到20人,卻找不到足夠專業(yè)的網(wǎng)絡安全專家。該文章指出:“截止到2012年,在短短五年內網(wǎng)絡安全職位增長了73%。比所有計算機相關職位上升速度快3.5倍。這是波士頓一家勞動力市場分析公司從22萬個招聘網(wǎng)站獲取的數(shù)據(jù)得出的結論?！眻蟮雷詈笠昧四Ω笸ㄣy行首席執(zhí)行官的話:“銀行花了2億美元來保護自己免受網(wǎng)絡攻擊,超過600名專業(yè)人員致力于確保數(shù)據(jù)的安全性,但這個數(shù)字將在以后三年里急劇增加?！?012年,著名黑客專家杰夫·莫斯在路透社一次發(fā)布會上表示:“預測看起來并不樂觀,未來幾年美國網(wǎng)絡安全人才短缺數(shù)量大概在2萬到4萬之間?！备鶕?jù)致力于為信息和軟件安全專業(yè)人士職業(yè)生涯提供教育及認證服務的全球性非營利組織ISC2的一項研究發(fā)現(xiàn):有83%被調查的美國聯(lián)邦人事經理反映,發(fā)現(xiàn)并聘用合格的網(wǎng)絡安全工作人員越來越困難。 從事網(wǎng)絡威脅和其他遠程控制犯罪研究的安全廠商Damballa研究部副總裁岡特·奧爾曼表示,老資格的網(wǎng)絡安全專家擁有更多選擇權:“到這天結束之時,幾乎每個人都有可能另謀高就,因為安全公司的數(shù)量在不斷增長?！?/p>

上述系列報道都表達了對網(wǎng)絡安全人才短缺的嚴重關切,普遍認為美國缺乏網(wǎng)絡安全專業(yè)人才,使得保護國家網(wǎng)絡安全問題復雜化,并可能讓美國在應對網(wǎng)絡空間沖突時準備不足。

二、美國網(wǎng)絡安全人才市場應對措施及其缺陷

關于網(wǎng)絡安全人才短缺問題,美國官方和商業(yè)研究機構均已經推出了一系列報告,其中包括博思艾倫咨詢公司、美國戰(zhàn)略與國際研究中心、美國國土安全部國土安全顧問委員會等,它們的基本意見是一致的:人才短缺確實存在,有可能危及美國國家網(wǎng)絡安全;同時也向政府提供各種解決途徑,如設立獎學金,提高技術要求和鼓勵黑客競賽,所有這些報告都推崇供需平衡,但沒有提出減少對此類人才需求的措施。蘭德公司選擇了五家美國政府機構、五個教育機構、兩家安全公司、一家國防公司和一位外部專家作為調查對象。通過調查得出的主要結論如下:

首先,在相對合理的薪酬水平內發(fā)現(xiàn)并留住合格人才越來越難——主要指1%至5%高端人才。這些人的能力能夠檢測到高級潛在威脅,發(fā)現(xiàn)隱藏在軟件和系統(tǒng)內的漏洞。而這些人往往要求年薪超過20萬到25萬美元——盡管獲得這樣的薪水需要天賦和其他綜合能力,但也意味著必須要到三十歲以上才能拿到這樣的薪金。一般網(wǎng)絡安全人才的年薪是8萬美元,而往往擁有更多經驗和認證的ISC2成員的平均年薪是10萬美元。一旦年薪要求超過25萬美元,政府雇主的競爭力就會受到影響。從表1可見,年薪等級具有較大彈性,拿到中等薪水的人數(shù)最多,而最高與最低薪水等級的比例最小。

表1 美國聯(lián)邦網(wǎng)絡安全人才年薪等級

其次,大型機構,包括私人和公共機構已經找到應對人才市場緊縮的辦法。它們很大程度上依靠內部晉升和培訓來留住人才。而這種做法對小型組織不太有吸引力,它們始終要擔心那些花重金培養(yǎng)出來的人在具備一定技能后會跳槽。大型國防承包商則享有明顯優(yōu)勢,因為他們的大部分專業(yè)人才已經接受過技術培訓,因此會有一定比例的人展露網(wǎng)絡安全工作天賦。美國國家安全局雖然同樣面臨人才短缺的困難,但只有不到1%的安全職位空缺,并保持很低的人員流動率。其中一個原因是重視高級技術開發(fā)項目,確保員工保持技術水平并能不斷提升,美國國家安全局在人才培養(yǎng)上不僅與高校合作建立學術卓越中心,而且還將人才發(fā)現(xiàn)延伸到大學預科,所以更多地屬于內部培養(yǎng)而非從外部招聘人才,其80%的受雇者是本科學歷,入職后經歷三年之久的內部培訓就能得到提升,這些因素成為吸引三成以上SFS(Scholarship-for-Service)11：由美國國家科學基金會和美國國土安全部等機構聯(lián)合資助的獎學金項目，獲此資助的學生畢業(yè)后將定向為政府部門或相關重要機構服務。詳見美國國土安全部網(wǎng)站介紹：http://niccs. us-cert.gov/education/cybercorps%C2%AE-scholarship-service-sfs畢業(yè)生的原因;而中央情報局首選網(wǎng)絡安全專業(yè)碩士,并且從機構內外部共同挖掘人才;美國網(wǎng)絡司令部計劃通過培訓和認證組建一支網(wǎng)絡防護分隊,用以規(guī)定參與激烈實戰(zhàn)、現(xiàn)場演練和加入后備役所需的技能和素質;同時,為了配合國防部“聯(lián)合信息環(huán)境”框架的實施,出臺了新的并行網(wǎng)絡安全培訓方案,達到重構網(wǎng)絡安全戰(zhàn)士技能要求的目的;美國空軍已建立了一套有效的內部培訓體系,并將網(wǎng)絡安全人才分級,他們的網(wǎng)絡安全人才60%來自軍隊,30%是平民,10%為承包商。

再者,美國大學的挑戰(zhàn)已經上升到培養(yǎng)網(wǎng)絡安全專家。過去幾年,課程項目有所增多,也有更多學生在學習現(xiàn)有課程,尋找合格教授似乎也不是問題。人才缺乏的部分原因是對信息技術需求從2000年互聯(lián)網(wǎng)時代巔峰下滑,留下相當多的閑置產能。據(jù)調查,計算機系的平均招生人數(shù)從鼎盛時期的400人降到2007年的200人,隨后在2012年又反彈至300人。2007年至2012年,美國計算機系的數(shù)量從176個上升到189個。最高峰的2001年至2003年,畢業(yè)生約2萬人,2009年下降到1萬人以下,預計2013年不到1.5萬人。1995年到2003年間博士的產出量一直停留在約900人/年,2008年增加了一倍,2012年達到最高峰。60%的博士生非美國本土居民,只有10%去往海外工作。SFS(Scholarship-for-Service)是美國最大的政府資助獎學金項目,目的是為聯(lián)邦或政府投資部門培養(yǎng)網(wǎng)絡安全人才,每年畢業(yè)生大概120名。但其中許多畢業(yè)生最后會選擇解約,轉而為政府承包商工作。

圖1：SFS網(wǎng)絡安全畢業(yè)生流向比例示意

近年來,面對人才供不應求的問題,美國網(wǎng)絡安全業(yè)界提出了一些措施建議,但仍存在諸多問題,例如:

第一是希望雇傭更多外籍人員。也就是設法讓那些高學歷者更容易留在美國工作和生活。盡管這樣的想法很有價值,但也很容易夸大其實際作用。因為他們中許多人已經想方設法留在了美國;部分網(wǎng)絡安全工作同樣可以在海外進行;為滿足國家安全需要,要求從業(yè)者需持美國國籍,這樣就限制了外國技術人才的數(shù)量。

第二是建議在必要時開設一個兩年制(?？?的緊湊型教育項目。問題是那些有天賦成為高層次網(wǎng)絡安全人才的人不可能只滿足專科學歷。這種教育模式也只是造就了一大批受強化式訓練的人群,一旦網(wǎng)絡安全工作能力要求發(fā)生較大變化,這些人仍將很難被聘用。

第三是主張對信息安全工作進行精確分工。盡管該建議對任務規(guī)劃很有價值,但對協(xié)調網(wǎng)絡安全人才供需問題無法起太大作用,因為所受教育與所擅長工作之間關聯(lián)性并不是特別直接。

第四是要求優(yōu)先利用公務員和退伍軍人來平衡供給。但沒有理由相信這種做法能對網(wǎng)絡安全人才市場有什么特別之處,除非美國聯(lián)邦政府雇傭網(wǎng)絡安全專家的同時削減其他專業(yè)人才。

第五是強調用國民警衛(wèi)隊和預備役部隊來充實人才市場。這樣的做法可以,但并不全面。對于大多數(shù)網(wǎng)絡安全任務(取證除外)而言,有效的網(wǎng)絡安全防御需要熟悉被入侵的系統(tǒng),而兼職人員在這方面的工作做得并不好。

可見,上述對策在解決網(wǎng)絡安全人才尤其是高級人才短缺問題上顯然不是最有效的。

三、美國網(wǎng)絡安全人才市場的經濟學分析

通過考察網(wǎng)絡安全人才市場的最新發(fā)展,發(fā)現(xiàn)網(wǎng)絡安全人才需求的快速增長一直伴隨薪酬大幅上升,這符合一般的經濟學原理。原因是在短期內,高薪對網(wǎng)絡安全人才的供給作用相當遲緩,因為公司需要花時間讓更多員工具備必要技能。從長期來看,今天的高薪將會吸引新人進入。因此,未來網(wǎng)絡安全人才供給就會持續(xù)增加,而薪酬的增長會逐步減速。

有各種因素使網(wǎng)絡安全人才市場變得復雜化。首先,依靠增強網(wǎng)絡安全意識改善人才供給可能需要一定時間。雖說在一系列網(wǎng)絡攻擊發(fā)生后對網(wǎng)絡安全人才的需求有所上漲,但考慮到雇傭或解雇員工的成本,一些雇主可能不愿立即增加招聘數(shù)量;第二,從人力資本角度講,網(wǎng)絡安全人才之間存在重要差異。那些有能力取證、寫代碼、進行紅隊測試的高層次網(wǎng)絡安全人才在當今勞動力市場是最難雇傭到的,而更加困難的是需要準確識別求職者是否具備能完成這些任務的天賦;第三,在雇傭網(wǎng)絡安全人才上,政府機構相比私營公司面臨更多挑戰(zhàn)。其中,員工薪酬水平或許是最主要的影響因素,與高級人才的關系也最為密切。因此,政府會發(fā)現(xiàn)很難雇到足夠高層次人才,而解決方法是重點招聘入門級員工,然后再為其提供大量培訓。第四,從地理上看,機構招聘人才時更多圍繞其所在的地區(qū),這使得在其周邊地區(qū)孕育出更多的網(wǎng)絡安全學院和網(wǎng)絡安全專業(yè)。這就產生了“加厚”本地人才市場的效應。這樣的市場可以形成對人才的競爭,導致更高的生產率、更顯著的工資不平等以及更高的技能,并使“高品質”員工和“高品質”企業(yè)更相匹配。

圖2：網(wǎng)絡安全專業(yè)人才勞動力市場簡化視圖

如圖2網(wǎng)絡安全專業(yè)人才勞動力市場簡化視圖所示。該圖將2007年作為基準年,網(wǎng)絡安全人才供給與需求相交于點A。點A顯示供需平衡,并且人才所獲薪酬與其學歷和技能沒有較大差距。此后,諸多因素導致人才需求上升,比如網(wǎng)絡鏈接加強,網(wǎng)絡更易受襲,人們認識到黑客攻擊造成的損失和網(wǎng)絡安全意識增強。其中,需求曲線從D1到D2向右推移,變化也暗示了許多雇主愿意花更高的價錢雇傭與2007年以前相比在質量和類型上沒什么改進的人才;S1與S2為人才供給曲線,隨著需求的上升在點B達到了新的平衡。這時,薪酬大幅度增加,而人才供給增加的卻很少。點B表示短期平衡。從長期來看人才供給曲線很可能因多種因素改變。比如,出現(xiàn)更多不同薪酬等級員工,如成立大批網(wǎng)絡安全學校和組織機構積極培訓內部員工。此外,高薪也會吸引其他相關專業(yè)人才進入網(wǎng)絡安全領域。這些都促成了各薪酬級別員工數(shù)量上升。這樣,人才供給曲線從S1移動到S2。從長期來看,供需在點C達到了新的平衡。這時,薪酬水平低于當今的市場,而人才數(shù)量則更大。因此,長期人才供給曲線是聯(lián)結點A和點C的直線。長期供給曲線比短期供給曲線更有彈性(對薪酬的敏感性)。

四、結論與建議

通過研究可選策略,包括最重要的策略——“什么都不做”,更準確的說法是“不再做什么”得出以下結論:

第一,人才需求突然猛增帶來了人才的稀缺、競爭和危機。每次人才需求的迅速增長都帶動了具有非凡技術和高學歷要求的職業(yè)發(fā)展。根據(jù)經濟理論表明,快速上漲的職工薪酬和強勁的用人競爭是可以預期的。

第二,各種教育舉措已在努力滿足網(wǎng)絡安全人才需求。為了盡早應對迅速增長的網(wǎng)絡安全人才需求,美國已經增加了大量教育項目,特別是政府支持的教育項目,并且計算機專業(yè)數(shù)量也在增加。

第三,人才市場滯后于需求和教育計劃是完全正常的。理論與經驗都證實,市場可能需要很長時間才能適應需求的突然增加。許多大型組織已找到一種短期內滿足網(wǎng)絡安全人才需求的創(chuàng)新方法,即內部招聘和培訓,但仍然面臨雇傭和留住高級網(wǎng)絡安全人才等方面難題。

第四,最佳措施可能已經實施。在網(wǎng)絡安全求職者中找到合格的人這一難題很可能會自行解決。因為目前通過教育流水線打造的網(wǎng)絡安全人員數(shù)量在增加,且市場也達到了穩(wěn)定和長期平衡狀態(tài)。

需要補充的建議是:取消公務員相關規(guī)則中禁止聯(lián)邦機構雇傭天才級網(wǎng)絡安全人才的規(guī)定,至少應該將國家安全局不采納這一規(guī)定的做法推廣到所有部門;將適度的資金(也許是配套資金)注入網(wǎng)絡安全教育項目,讓學校為學生購買必要的軟件許可證和計算機或網(wǎng)絡設備;通過完善測試來識別可能會在網(wǎng)絡安全職業(yè)中成功的求職者,應投資于改進人才測試儀器的研發(fā)項目,用以評估個人是否有天賦去學習和理解網(wǎng)絡領域知識;從長遠看,采用更多方法吸引女性從事該職業(yè)也會增加長期人才供給?？偟膩碚f,從長遠上更鼓勵通過自由市場運行機制和按照原有政府規(guī)劃來解決強勁的網(wǎng)絡安全人才需求問題。

五、對我國網(wǎng)絡安全人才隊伍建設的啟示

通過研究美國網(wǎng)絡安全勞動力市場報告不難看出,美國雖屬網(wǎng)絡強國,但同樣面臨網(wǎng)絡安全人才短缺現(xiàn)狀,尤其高層次人才匱乏問題十分突出。雖然與一般國家相比美國人才供不應求的程度并不相同,但也可以看出美國對網(wǎng)絡安全人才的高度重視,將其視為影響國家網(wǎng)絡安全的關鍵性要素。

進入2015年,美國在網(wǎng)絡安全人才方面動作頻頻。如奧巴馬在2015年國情咨文中進一步提出提升反間諜能力和擴大聯(lián)邦政府的網(wǎng)絡空間培訓;2015年2月25日,奧巴馬下令成立一個由50人組成的“網(wǎng)絡威脅情報整合中心(CTIIC)”,旨在協(xié)調整合美國現(xiàn)有機構搜集的網(wǎng)絡情報,將針對美國的外國網(wǎng)絡威脅和影響美國國家利益的網(wǎng)絡事件等有關情況“串聯(lián)”起來,為決策者提供基于各個來源的分析報告,加強美國應對網(wǎng)絡威脅的能力。逆水行舟,不進則退,這些趨勢無不警示我國需要加快網(wǎng)絡安全人才隊伍建設,緩解我國正面臨的網(wǎng)絡安全人才短缺現(xiàn)狀。

根據(jù)美國網(wǎng)絡安全人才研究表明,人才市場會按照經濟規(guī)律自然調節(jié),教育流水線政策將為人才供給做出貢獻,機構內部培訓和招聘將成為解決高層次人才聘用難的首選措施,增加政府經費投入和人才教育項目是長期的選項。這些建議可以因地制宜移植到我國人才政策當中,對照我國的實際情況我們認為,我國政府在網(wǎng)絡安全教育方面還應繼續(xù)加大投入,各級各類人才教育項目還需增加,通過鼓勵機構內部培訓持續(xù)提升人才技能,使其不斷進階成為高級人才不失為一種不錯的選擇。將市場運行機制和政府戰(zhàn)略規(guī)劃有機結合起來是解決我國網(wǎng)絡安全人才的根本之道。

上海社會科學院信息研究所）