李曉偉 中國信息通信研究院安全研究所工程師

陳詩洋 中國信息通信研究院安全研究所工程師

1 發(fā)達國家培養(yǎng)信息安全人才的主要經(jīng)驗

1.1 有步驟有系統(tǒng)地出臺信息安全人才培養(yǎng)政策

從發(fā)展歷程來看：網(wǎng)絡(luò)信息安全產(chǎn)業(yè)發(fā)展較好的國家，對網(wǎng)絡(luò)信息安全人才的培養(yǎng)政策都經(jīng)歷了一個系統(tǒng)性逐步細化的過程，發(fā)現(xiàn)人才的渠道逐步拓寬、培養(yǎng)人才的目標逐步分層、留住人才的方式逐步豐富。美國、歐盟和英國都經(jīng)歷了這樣一個發(fā)展過程，從美國的人才培養(yǎng)政策來看（見表1），首先是通過促進高校加入信息安全學(xué)術(shù)中心來培養(yǎng)網(wǎng)絡(luò)信息安全人才；接著在戰(zhàn)略層面上重視網(wǎng)絡(luò)安全人才培養(yǎng)，并啟動相應(yīng)的配套培養(yǎng)計劃；同時啟動符合網(wǎng)絡(luò)信息安全特點的精英人才培養(yǎng)計劃；最后形成非常系統(tǒng)的“基礎(chǔ)教育、高等教育、培訓(xùn)認證、人力管理、網(wǎng)絡(luò)安全競賽”全方位培養(yǎng)體系。歐盟從更加宏觀的層面上滾動式推出網(wǎng)絡(luò)信息安全人才培養(yǎng)戰(zhàn)略，逐步細化人才培養(yǎng)政策。從英國人才政策來看（見表2），首先是通過研究院確定網(wǎng)絡(luò)信息安全人才的分類培養(yǎng)目標，然后是推進學(xué)科體系建設(shè)、包括小學(xué)到碩士等學(xué)歷教育，同時通過競賽發(fā)掘和鍛煉人才，并加強黑客的引導(dǎo)利用，逐步建立一套學(xué)歷教育、職業(yè)培訓(xùn)和黑客培養(yǎng)多層次培養(yǎng)渠道。這些國家和地區(qū)既關(guān)注培育普通大眾的信息安全意識，也加強專業(yè)人才的發(fā)掘和培養(yǎng)，并重視對從業(yè)人員進行崗位培訓(xùn)。

從政策特點來看：一是將網(wǎng)絡(luò)與信息安全人才隊伍建設(shè)納入國家網(wǎng)絡(luò)安全戰(zhàn)略。歐盟在《網(wǎng)絡(luò)安全戰(zhàn)略》中明確要求各成員國在國家層面開展網(wǎng)絡(luò)與信息安全方面的教育與培訓(xùn)；英國在《網(wǎng)絡(luò)安全國家戰(zhàn)略》中強調(diào)應(yīng)“加強網(wǎng)絡(luò)安全技能與教育，確保政府和行業(yè)提高網(wǎng)絡(luò)安全領(lǐng)域需要的技能和專業(yè)知識”；俄羅斯在《國家信息安全學(xué)說》中指出，需構(gòu)建從學(xué)歷教育到在職教育的信息安全人才培養(yǎng)體系。二是出臺網(wǎng)絡(luò)安全人才發(fā)展戰(zhàn)略。2016年，美國首份《聯(lián)邦網(wǎng)絡(luò)安全人員戰(zhàn)略》，將網(wǎng)絡(luò)信息安全人才工作內(nèi)容從之前的“意識提升、學(xué)歷教育、人力結(jié)構(gòu)、人員培訓(xùn)和職業(yè)發(fā)展”4項工作內(nèi)容轉(zhuǎn)變?yōu)椤癒12（幼兒園到中學(xué)的基礎(chǔ)教育）、高等教育、培訓(xùn)認證、人力管理、網(wǎng)絡(luò)安全競賽”5方面并行作部署。特朗普政府在其首份網(wǎng)絡(luò)空間安全政策文件13800號行政令中也再次強調(diào)要加強網(wǎng)絡(luò)安全人才培養(yǎng)。英國在《國家網(wǎng)絡(luò)安全戰(zhàn)略（2016—2021年）》中把填補網(wǎng)絡(luò)安全人才缺口確定為一項長期且具有變革意義的目標，并提出制定專門的網(wǎng)絡(luò)安全人才技能戰(zhàn)略。

1.2 政府指導(dǎo)高校設(shè)置網(wǎng)絡(luò)信息安全學(xué)科體系，并根據(jù)實際情況及時調(diào)整

學(xué)校教育是各國培養(yǎng)網(wǎng)絡(luò)信息安全人才的主要方式，部分發(fā)達國家在學(xué)校教育上的主要做法有以下幾個方面：一是在教育體系中設(shè)置網(wǎng)絡(luò)信息安全相關(guān)基礎(chǔ)或?qū)I(yè)課程。英國把網(wǎng)絡(luò)信息安全納入學(xué)術(shù)教育體系中，涵蓋從初中到博士學(xué)位的相關(guān)課程，英國教育部設(shè)置新課程確保兒童從5歲開始接受網(wǎng)絡(luò)安全教育；美國則在高中開展理論計算機科學(xué)教育作為網(wǎng)絡(luò)安全專業(yè)學(xué)習(xí)的先導(dǎo)和基礎(chǔ)，大學(xué)和研究生階段開展網(wǎng)絡(luò)安全專業(yè)教育。日本的網(wǎng)絡(luò)空間安全人才培養(yǎng)體系以高等教育為主，并形成以公立大學(xué)為主、私立大學(xué)為輔的模式。新西蘭高校的網(wǎng)絡(luò)空間安全教育已相當(dāng)普及，幾乎所有大學(xué)都開設(shè)了相關(guān)課程，研究生層面教育更為突出，開設(shè)課程分為必修課與選修課。二是制定明確的專業(yè)方向并及時調(diào)整更新。英國將網(wǎng)絡(luò)信息安全人才劃分為7個方向，并于2014年和2015年各增加6個網(wǎng)絡(luò)安全碩士專業(yè)認證；美國在2012年頒布D0D 8140號指令，對2005年頒布的D0D8570號指令進行了更新，將網(wǎng)絡(luò)信息安全專業(yè)劃分從4大類8個方向調(diào)整到7大類30個方向。三是針對“超?！焙汀熬ⅰ痹O(shè)置教育計劃或方案。以色列采取了超常教育計劃，支持網(wǎng)絡(luò)信息安全領(lǐng)域“天才兒童”和“大學(xué)精英”的培養(yǎng)；美國和英國都有針對“精英”的教育計劃及相應(yīng)的配套課程體系。

1.3 政府明確人才職業(yè)培訓(xùn)要求，規(guī)范從業(yè)資質(zhì)認定標準

針對不同的崗位需求進行從業(yè)資質(zhì)認證，進行基本的準入條件限制，加強從業(yè)后的技能培訓(xùn)，這是多數(shù)國家培養(yǎng)網(wǎng)絡(luò)信息安全人才的重要措施之一。主要的做法經(jīng)驗有：一是管理部門聯(lián)合確定網(wǎng)絡(luò)信息安全崗位職責(zé)及能力要求。早在1998年，美國政府就開始實施針對信息系統(tǒng)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全保障的培訓(xùn)和認證計劃，聯(lián)邦政府多個部門都介入了相關(guān)工作；在2012年9月，美國商務(wù)部國家標準與技術(shù)研究院（NIST）牽頭，聯(lián)合國土安全部（DHS）、國防部（DOD）、教育部（DoED）等11個政府部門通過《NICE戰(zhàn)略計劃》，建立網(wǎng)絡(luò)安全職業(yè)發(fā)展標準和指南，其中國家網(wǎng)絡(luò)安全人力框架（NCWF）已成為國家網(wǎng)絡(luò)安全人才標準（SP 800-181）；2011年3月，英國國家信息安全保障技術(shù)管理局（CESG）發(fā)布《信息安全保障專業(yè)人員認證框架》，規(guī)定了政府公共部門及其合同廠商的信息保障專業(yè)人員職責(zé)和技術(shù)能力要求，明確信息保障人員的遴選、培訓(xùn)和管理辦法。二是明確網(wǎng)絡(luò)信息安全人力評估要求，美國2004年就發(fā)布了8570號令《信息保障培訓(xùn)、認證和人員管理》要求信息保障崗位人員必須進行培訓(xùn)并獲取相應(yīng)資質(zhì)，2015年，國防部又發(fā)布了旨在取代8570號令的8140號令《網(wǎng)絡(luò)空間人員管理政策》，該指令從人力資源管理的角度進一步理順網(wǎng)絡(luò)安全崗位人員職業(yè)發(fā)展路徑；《2015年聯(lián)邦網(wǎng)絡(luò)安全人力評估法案》提供了網(wǎng)絡(luò)安全人力評估的基本要求；2017年7月《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》要求，關(guān)鍵信息基礎(chǔ)設(shè)施運營者應(yīng)當(dāng)組織從業(yè)人員進行網(wǎng)絡(luò)安全教育培訓(xùn)。三是政府授權(quán)開展業(yè)界認可的規(guī)范執(zhí)業(yè)資質(zhì)認證。英國國家信息安全保障技術(shù)管理局指定認證機構(gòu)對安全人員進行能力評估，對信息安全從業(yè)人員進行資質(zhì)管理；美國擁有世界權(quán)威的網(wǎng)絡(luò)安全職業(yè)認證資質(zhì)，包括國際注冊信息系統(tǒng)安全師（CISSP）、國際注冊信息系統(tǒng)審計師（CISA）等。

表2 英國信息安全人才培養(yǎng)政策

1.4 “政府、行業(yè)和企業(yè)”同時開展培訓(xùn)，提高從業(yè)人員職業(yè)技能

職業(yè)培訓(xùn)是各國提升網(wǎng)絡(luò)信息安全人才技能水平的重要途徑，主要發(fā)達國家也建立了各自的職業(yè)技能培訓(xùn)認證系統(tǒng)，主要有以下幾種情況：一是政府直接或指導(dǎo)建立培訓(xùn)機構(gòu)。美國政府機構(gòu)或部分研究中心規(guī)范培訓(xùn)的標準和要求，也通過軍隊系統(tǒng)加強網(wǎng)絡(luò)信息安全培訓(xùn)；歐盟早在2004年就成立“歐洲網(wǎng)絡(luò)與信息安全局”，組織、協(xié)調(diào)各成員國采取有效措施提升網(wǎng)民信息安全素養(yǎng)；英國在2011年《網(wǎng)絡(luò)安全國家戰(zhàn)略》中部署英國情報中心協(xié)助建立網(wǎng)絡(luò)安全研究院，開展人才教育培訓(xùn)；新加坡政府根據(jù)《信息通信安全總體規(guī)劃（2008—2013）》攜手業(yè)界共建信息安全專業(yè)人員協(xié)會。二是行業(yè)組織開展多種培訓(xùn)工作。美國部分網(wǎng)絡(luò)信息相關(guān)的協(xié)會都開展系列培訓(xùn)；英國IT行業(yè)技能組織與多家技術(shù)公司合作，發(fā)起網(wǎng)絡(luò)安全培訓(xùn)，提升專業(yè)人才實踐能力；新加坡公益組織已成為政府推進網(wǎng)絡(luò)素養(yǎng)教育的重要合作伙伴，其中“父母網(wǎng)絡(luò)顧問組”作為最早的公益組織，自1999年起開始創(chuàng)建網(wǎng)絡(luò)交流平臺，開辦網(wǎng)絡(luò)安全講習(xí)班，舉行安全上網(wǎng)主題巡展等活動。三是企業(yè)積極參與課程設(shè)置、職能培訓(xùn)和資質(zhì)認定。以色列科技部和洛克希德馬丁公司簽署了一份協(xié)議，合作制定科學(xué)與技術(shù)專業(yè)的教育課程規(guī)劃；美國的NICE計劃將各權(quán)威網(wǎng)絡(luò)安全培訓(xùn)和資質(zhì)認定項目同人力框架完成初步對應(yīng)，微軟、思科、趨勢科技等公司都可以提供網(wǎng)絡(luò)信息安全資質(zhì)認證，并在全球都具有一定的權(quán)威性和影響力。

1.5 創(chuàng)新人才發(fā)掘和培養(yǎng)路徑，加強網(wǎng)絡(luò)信息安全人才儲備

一是通過重大競賽發(fā)現(xiàn)和鍛煉人才。2016年公布的美國首份《聯(lián)邦網(wǎng)絡(luò)安全人員戰(zhàn)略》，將網(wǎng)絡(luò)安全競賽與基礎(chǔ)教育、高等教育、培訓(xùn)認證、人力管理同步部署，以全面加強網(wǎng)絡(luò)信息安全人才培養(yǎng)。2015年，英國英國情報機構(gòu)政府通信總部實施CyberFirst計劃，邀請11～17歲的青少年參加，通過網(wǎng)絡(luò)安全挑戰(zhàn)賽、國家數(shù)學(xué)競賽等各類競賽挖掘潛在人才，培養(yǎng)“下一代網(wǎng)絡(luò)安全專家”，該計劃一直延續(xù)至2017年2月14日NCSC成立后；2018年，NCSC又在格洛斯特郡新建了兩個網(wǎng)絡(luò)學(xué)校中心的試點，將網(wǎng)絡(luò)安全技能這一學(xué)科領(lǐng)域作為關(guān)鍵，提供各類教育資源，拓展人才發(fā)展渠道，以滿足英國未來的網(wǎng)絡(luò)安全需求。二是加強黑客的正確引導(dǎo)和使用。英國已被定罪的計算機黑客通過安全審查后可在聯(lián)合網(wǎng)絡(luò)儲備局任職；澳大利亞秘密情報部門在全國招收網(wǎng)絡(luò)高手和黑客參與國家網(wǎng)絡(luò)安全防護；印度政府專門招募了一支由數(shù)十名年輕“黑客”組成的網(wǎng)絡(luò)警察部隊，以網(wǎng)絡(luò)顧問的身份為軟件公司網(wǎng)絡(luò)信息安全提供技術(shù)支持。三是拓展安全人才應(yīng)用技能提高的途徑。新加坡安全部門與RSA合作推出培訓(xùn)計劃，參與者可被派駐到RSA位于以色列的反欺詐指揮中心學(xué)習(xí)；以色列則通過鼓勵產(chǎn)業(yè)園孵化創(chuàng)新及促進研究產(chǎn)業(yè)化，多種途徑激發(fā)人才潛力，也是加強人才應(yīng)用技能提高的有效手段。

2 國外網(wǎng)絡(luò)信息安全人才培養(yǎng)經(jīng)驗對我國的啟示

貫徹落實習(xí)總書記對網(wǎng)絡(luò)信息安全人才的培養(yǎng)要求和《網(wǎng)絡(luò)安全法》的規(guī)定，針對網(wǎng)絡(luò)信息安全人才專業(yè)性和技術(shù)性要求高，保密性強等特點，以及我國網(wǎng)絡(luò)信息安全人才培養(yǎng)目前存在供需缺口大、供需結(jié)構(gòu)不匹配、應(yīng)用型人才缺乏等問題，提出以下幾方面的建議。

2.1 統(tǒng)籌協(xié)同編制網(wǎng)絡(luò)信息安全人才發(fā)展戰(zhàn)略

一是建議主管部門牽頭，相關(guān)部門協(xié)同統(tǒng)籌編制網(wǎng)絡(luò)信息安全人才戰(zhàn)略，基于已經(jīng)出臺的《關(guān)于加強網(wǎng)絡(luò)安全學(xué)科建設(shè)和人才培養(yǎng)的意見》（中網(wǎng)辦發(fā)文〔2016〕4號），在人才專項戰(zhàn)略中提出扶持政策和具體實施細則，在戰(zhàn)略層面將網(wǎng)絡(luò)信息安全人才培養(yǎng)的職責(zé)落實到各分管部門；確定每年人才培養(yǎng)總體規(guī)模、各類人才數(shù)量；銜接有關(guān)部門確定和調(diào)整學(xué)科設(shè)置要求，分類人才的知識結(jié)構(gòu)要求；確定學(xué)校、培訓(xùn)機構(gòu)等在人才培養(yǎng)體系中的任務(wù)分工等。二是明確各分管部門在人才培養(yǎng)中的職責(zé)并賦予相應(yīng)自主權(quán)，如指導(dǎo)行業(yè)分管領(lǐng)域的教育課程設(shè)置，規(guī)范分管領(lǐng)域職業(yè)培訓(xùn)等。三是設(shè)置各分管部門的統(tǒng)籌協(xié)調(diào)機制，合力推進人才培養(yǎng)。

2.2 逐步推進建立網(wǎng)絡(luò)信息安全人力資源池

一是建議搭建網(wǎng)絡(luò)信息安全人才對接平臺，通過平臺實現(xiàn)網(wǎng)絡(luò)信息安全人才的需求和供給信息即時互動，根據(jù)平臺提供的需求信息確定網(wǎng)絡(luò)信息安全人才分類，以及每一類人才的技術(shù)能力要求，并根據(jù)情況進行3-5年為周期的調(diào)整更新；根據(jù)平臺的供給信息對應(yīng)調(diào)整高校、職業(yè)培訓(xùn)機構(gòu)的人才規(guī)模和知識結(jié)構(gòu)等。二是發(fā)揮人力資源池網(wǎng)絡(luò)安全人才儲備功能，包括不同領(lǐng)域，尤其是關(guān)鍵任務(wù)技能方面，建立不同技能水平的個體數(shù)據(jù)庫，保障緊急情況下快速找到匹配專業(yè)人員。三是設(shè)置網(wǎng)絡(luò)信息安全首席科學(xué)家辦公室類似的機構(gòu)，通過這個機構(gòu)協(xié)調(diào)網(wǎng)絡(luò)信息安全人才培養(yǎng)跨部門事務(wù)，也通過對部分網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù)研發(fā)和創(chuàng)新支持培養(yǎng)高端人才。

2.3 齊抓“學(xué)歷教育、職業(yè)培訓(xùn)和專才培養(yǎng)”

一是建議以學(xué)歷教育為主干，加大資源投入，匯聚優(yōu)質(zhì)師資、吸納優(yōu)秀學(xué)生、強化交叉課程、增加國際交流，完善網(wǎng)絡(luò)信息安全學(xué)歷培養(yǎng)體系。二是以職業(yè)培訓(xùn)為輔助，為培訓(xùn)機構(gòu)和企業(yè)搭建平臺，加強人才市場供需對接；提高市場對人才資質(zhì)認證的認可度，避免人才技能與網(wǎng)絡(luò)信息安全崗位需求不匹配；強化對培訓(xùn)機構(gòu)的抽查監(jiān)督，提高培訓(xùn)質(zhì)量。三是以專才培養(yǎng)為補充，拓展發(fā)現(xiàn)和利用特殊人才的渠道，以競賽為契機發(fā)掘人才、培養(yǎng)道德黑客，利用IGF、iCAN等國際競賽平臺錘煉高精尖人才。四是依托其他學(xué)科領(lǐng)域，如計算機等，或者單獨建立網(wǎng)絡(luò)信息安全人才職業(yè)上升通道，形成長效的人才激勵機制。

2.4 政企學(xué)研聯(lián)合創(chuàng)新強化人才綜合能力培養(yǎng)

一是建議支持高校建立網(wǎng)絡(luò)信息安全實驗室，為培養(yǎng)學(xué)生實踐能力提供條件；鼓勵企業(yè)網(wǎng)絡(luò)信息安全高端人才到高校兼職任教，為高校提供實踐經(jīng)驗豐富的師資力量；支持高校與企業(yè)聯(lián)合，在網(wǎng)絡(luò)信息安全領(lǐng)域，本科階段引入更多的實踐課學(xué)分。二是鼓勵行業(yè)分管部門授權(quán)職業(yè)培訓(xùn)和資質(zhì)認證機構(gòu)，彌補分管行業(yè)領(lǐng)域在專業(yè)領(lǐng)域的培訓(xùn)及資質(zhì)認證不足，開展專項領(lǐng)域人才職業(yè)培訓(xùn)和資質(zhì)認證。三是鼓勵企業(yè)在滿足國家規(guī)定要求下，根據(jù)企業(yè)產(chǎn)品開發(fā)和市場拓展的需要，開展網(wǎng)絡(luò)信息安全的職業(yè)培訓(xùn)和資質(zhì)認證。