信息安全

我国网络安全人才培养实践与建议

2023-05-31 14:00:11 | 来源:企业IT培训

一、网络安全人才挑战

习近平总书记在二十大报告中强调,人才是全面建设社会主义现代化国家的基础性、战略性支撑之一。二十大报告将人才工作提到新的战略高度,对全面建设社会主义现代化国家、实现中华民族伟大复兴中国梦具有重大现实意义和深远历史意义。

随着数字经济的发展,网络安全已成为国家安全和发展的战略基石,关系到广大人民群众切身利益。显然,要发展好数字经济,没有一支优秀的网络安全人才队伍,没有人才的创造力迸发和活力涌流,是不可能成功的。然而,我国目前还存在巨大的网络安全人才缺口,供需矛盾突出。因此,加快网络安全人才的培养,扩大人才基数和提高人才素质迫在眉睫。

二、我国网络安全人才培养实践

(一)政策战略

我国的党和政府一直高度重视网络安全人才培养。早在 2003 年,国家信息化领导小组发布《关于加强信息安全保障工作的意见》(中办发〔2003〕27 号),将安全人才培养作为九项重点工作内容之一,提出要加强信息安全学科建设,加快信息安全人才培养。2016 年,国家互联网信息办公室发布我国《国家网络空间安全战略》,明确强调网络安全人才的重要性,提出“实施网络安全人才工程,加强网络安全学科专业建设,打造一流网络安全学院和创新园区,形成有利于人才培养和创新创业的生态环境”。同年 11 月发布的《中华人民共和国网络安全法》,指出“国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流”。

同时,在我国发布的重要的信息化发展战略文件中均强调了人才培养的重要性。如 2012 年出台的《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23 号)中指出,要“加强宣传教育和人才培养……支持信息安全与保密学科师资队伍、专业院系、学科体系、重点实验室建设”;2006 年,国务院发布《2006—2020 年国家信息化发展战略》,进一步强调“加快信息安全人才培养,增强国民信息安全意识”;2016 年,中共中央办公厅、国务院办公厅印发《国家信息化发展战略纲要》,提出要“强化网络安全基础性工作”,并“实施网络安全人才工程,开展全民网络安全教育,提升网络媒介素养,增强全社会网络安全意识和防护技能”。

高校是高素质人才培养的重要阵地,因此,引导和加强从高校培养网络安全人才是建设网络强国的必经之路。2015 年 6 月,为实施国家安全战略,加快网络空间安全高层次人才培养,国务院学位委员会发布了《关于增设网络空间安全一级学科的通知》(学位〔2015〕11 号),正式宣布增加网络空间安全作为一级学科。接着,2016 年 7 月,中央网信办牵头发布了《关于加强网络安全学科建设和人才培养的意见》(中网办发文〔2016〕4 号),提出要加快网络安全学科专业和院系建设、创新网络安全人才培养机制、加强网络安全教材建设、强化网络安全师资队伍建设、加强网络安全从业人员在职培训等要求,以更好地支持网络安全学院学科专业建设,加快网络安全人才培养。2017 年,中央网信办牵头发布《关于印发<一流网络安全学院建设示范项目管理办法>的通知》(中网办秘字〔2017〕573 号),进一步加强和创新网络安全人才培养工作,并推动加快建设一流网络安全学院。

(二)高校教育

按照国务院学位委员会、教育部的工作部署,我国于 2015 年 6 月在“工学”门类下增设“网络空间安全”一级学科,学科代码为“0839”。2016 年,清华大学、北京交通大学、山东大学等 29 所高校首批获得网络空间安全一级学科博士学位授权资格。与此同时,在中央网信办、教育部的指导下,我国网络空间安全学院的建设也在加速发展。在 2017 年和 2019 年两批次共有 11 所高校入围了一流网络安全学院建设示范项目,包括西安电子科技大学、东南大学、武汉大学、北京航空航天大学、四川大学、中国科学技术大学、中国人民解放军战略支援部队信息工程大学以及华中科技大学、北京邮电大学、上海交通大学、山东大学等国内知名院校。

当前,我国高校中开设网络安全相关的专业包括网络空间安全、信息安全、保密技术、信息对抗技术、网络安全与执法等多个专业名称。自 2001 年武汉大学第一个设立专门信息安全本科专业以来,发展至今已有接近 200 所高校设立了网络安全相关专业。截至 2023 年 3 月 1 日,我国开设网络空间安全专业的高校有 80 所,开设信息安全专业的高校有 132 所,开设保密技术专业的高校有 2 所,开设信息对抗技术专业的高校有 17 所,开设网络安全与执法专业的高校有 28 所。同时,我国各高校逐步加强了网络安全高层次人才的培养力度。以北京大学为例,2002 年 3 月,成立软件与微电子学院并设立信息安全专业方向,开始培养网络安全专业人才。2006 年 8 月,学院成立了信息安全系,进一步加强了对网络安全领域工程高层次人才的培养力度。之后,通过工程硕士专业学位人才培养体系创新与实践加大硕士生培养规模,并推动创立了我国工程博士学位的培养体系,成为推动我国网络安全高水平发展的核心力量。相关数据显示,2018年我国网络安全相关学科共有博士点 222 个、硕士点 788 个,共招收博士生 4851 人、硕士研究生 30208 人,这些对博士、硕士等高层次人才的培养有力地促进了我国网络安全专业化人才队伍的建设。

从高校特点看,高校教育侧重于理论知识,在教学大纲的指导下对学生进行知识教育,主要起到搭建知识体系、扎牢基础知识和启蒙前沿研究的作用。同时,和其他学科相比,网络安全具有实战性和及时性等特点,因此为更好地培养实用人才,近年来很多高校在理论教学的同时,也加强了实战和实践等方面的工作。不少高校在理论课程之外开设了网络攻防课程,甚至使用网络安全靶场进行教学,对学生的知识实战转化能力起到了很好的作用。还有部分学校聚集优秀学生组成网络战队,进行专业化实战培训,并积极参加国内外网络安全赛事,如清华大学组建的蓝莲花战队,是首支成功闯入 DEFCON 黑客大会 CTF 全球总决赛的华人队伍;又如北京大学信息科学技术学院学生组队,参加了 2018 年全球区块链黑客马拉松东京站竞赛并获得一等奖。此外,部分高校逐步拓宽理论与实战结合、产业与科研结合的道路,和国内网络安全龙头企业合作,通过成立网络安全联合实验室或联合课题组,致力于网络安全科研攻关和加速网络安全科研成果转换。

(三)在职培训

网络安全是技术更新迭代最快的行业之一,安全从业人员需要不断更新知识储备,学习掌握新的技能,跟进前沿网络安全态势发展。相比学历教育,在职培训具有带有工作经验参加培训、无需长时间脱产、知识体系针对性强和培训内容紧跟实战的优势。此外,由于在职培训普遍使用较短的培训周期短完成培训和考试认证,使得其能够在较短的时间内对大量的人员开展培训,是实现人才快速培养的一种有效手段。

近年来,国内外网络安全在职培训得到了迅速发展。国际上社会化的网络安全培训比较成熟,涌现出了众多培训机构,开设了多个网络安全方面的培训课程,其中,比较知名的包括 (ISC)2、ISACA、SANS、CSA、CompTIA、Offsec、EC-Council 等。这些机构面向全球开展了广泛的培训和认证工作,获证人员遍布全球将近 200 个国家和地区,相关证书在行业内的影响力很大,有的成为美国国防部指定的岗位入职要求。我国网络安全在职培训发展已经发展了二十年左右的时间,中国信息安全测评中心、中国网络安全审查技术与认证中心、公安部信息安全等级保护评估中心、国家互联网应急中心等单位开发了多个网络安全培训课程,并颁发了注册信息安全专业人员(CISP)、网络安全保障从业人员认证(CISAW)、等级保护测评师(CSPEC)、网络与信息安全应急人员认证(CCSRP)等网络安全人员资质证书。据不完全统计,二十年来我国约有十万人通过培训和考试获得了相关资质证书,对我国网络安全人才队伍的充实扩大起到积极的促进作用。

出于市场竞争原因,在职培训都会紧跟社会需求开设相关课程。从培训知识类型来看,目前的培训课程可以简单地分为网络安全通识知识类和专业方向类两类。其中,通识知识类课程以培训基础和全面的网络安全知识为主要目的,如 CISP 课程知识体系中包括了安全技术、安全管理、安全工程、法规标准的知识内容,覆盖范围很广;而专业方向类课程则通常专注某个行业领域方向开设课程,如近年来企业对 Web 安全、渗透测试、数据安全治理和个人信息保护合规等安全岗位人员较为急缺,所以在这几方面开设的培训课程比较多。

相对于高校的学历教育,社会培训机构更加注重培养学员的实战能力,尤其是在行业领域内的培训课程中,有些机构设计了基于真实场景的实践教学内容,有些机构甚至建设了模拟攻防环境,允许受训学院在环境中进行攻防实战,包括发现漏洞、利用漏洞和检测处置,帮助受训学员快速完成理论到实践的理解。

三、网络安全人才培养建议

要想谋发展,必先聚人才。习近平总书记在党的二十大报告中深刻指出,“培养造就大批德才兼备的高素质人才,是国家和民族长远发展大计”。建立一支规模宏大、结构优化、素质优良的网络安全人才队伍已成为维护国家网络安全和建设网络强国的核心需求。应当积极制定我国网络安全人才发展战略,通过构建“学历教育、定制合作、培训认证、安全竞赛、意识宣传”的全方位培养体系,建立起由政府、产业界、教育机构等多元主体协同参与的网络安全人才培养模式,为建设具有我国特色的网络安全人才队伍创造基本条件。

(一)推进制定网络安全优秀人才发展规划

随着全球信息化趋势的发展,制定国家网络安全战略已成为绝大部分国家的共识。相比较于美国在网络安全人才培养方面的体系性和层次性,我国起步较晚,尽管目前已经发布了若干份网络安全战略规划文件,强调了人才培养的重要性,但总体上来说还缺乏网络安全人才培养的整体规划和顶层设计。因此,建议我国推进编制并公开发布国家网络安全人才发展战略和制定网络安全高素质人才专项计划。

通过制定国家战略,可以整体规划网络安全人才培养方向,明确各职能部门的工作职责,动员全社会行业协会、组织机构和企业协作配合,建立组织工作体系;可以制定网络安全人才发展中长期战略规划,设定人才培养规模、知识体系、学科教育设置和发展规划等目标,鼓励各分管部门稳步制定促进人才培养、产业鼓励和工作监督等配套政策和标准;可以制定系列化的政策基调,利用法规、制度和标准等文件对人才培养进行全过程引导,规范网络空间安全人才的基本素质,促进人才数量和质量的发展。

通过制定人才专项,从“培养什么人、怎样培养人、为谁培养人”着手,有计划有目的地推进和落实我国网络安全人才培养工作。一是在目标引领下通过学校教育开展扎实的基础知识教育、通过专项培训活动开展领域和专业化人才培养、通过高水平安全竞赛发现和培养特殊人才,建立和维护一支具有全球竞争力的网络安全人才体系化队伍;二是构建国家网络安全人才库,推动实施网络安全人才千人计划、万人计划、青年拔尖人才计划等激励计划,给予国家和省级层面的荣誉和奖励,鼓励网络安全优秀人才冒尖;三是制定国际人才引进的“招才引智”计划,创造良好的国际人才干事创业环境,遴选百名有理论有实践的世界顶尖网信高科技人才来华工作,吸引高端留学人员归国创业;四是可以有效开展课程思政教学的改革,实验教学实施方法,推动建设具有中国特色、满足中国现代化发展需求的网络安全人才队伍。

(二)加强高校网络安全高端人才培养能力

在学历教育上,近年来国内教育部门和网信部门密切协作,通过设立网络安全空间一级学科、建设网络空间安全学院等方式,为我国网络安全人才队伍建设打下了良好的基础。但是,受限于学历教育招生人数有限、培养周期长等因素,我国每年仅能输出约 3 万名毕业生,与我国百万级的网络安全人才需求差距巨大。同时,高校受限于自身实战环境缺失,培养体系上重理论轻实践,所培养的人才往往不能立即发挥作用。因此,建议在高校采取有效措施加大高校培养能力、优化课程教学和加强外部合作。

加大高校培养能力方面,建议推进更多高校参与到网络安全高端人才培养的行列中来。根据美国国家网络安全卓越学术社区的数据,截至 2022 年 2 月 8 日,美国共有 359 所高校和科研机构设立了网络安全专业。而我国目前还不到 200 所高校设立了网络安全相关专业,离美国还有较大差距,该数据在我国共 2756 所普通高等学校(本科 1270 所、专科 1486 所)中所占的比例也偏低。因此,我国应该采取多种措施继续推动我国高校开展网络安全相关专业的设置和学科建设,包括放宽专业准入严格专业考核、设立网络安全研究中心、评选网络安全名师、扩大招生规模以及建立网络安全专业学校清单、撰写专业白皮书等措施。

优化课程教学方面,建议从知识实战性和易接受性开展教学改革。网络安全知识具有专业性、前沿性和实战性特点,仅学习书本理论知识、仅靠听课的方式去想象黑客的攻击是难以理解和不能使用的。网络空间安全教学应该注重实用实战能力训练,一是可以适当缩短理论课程学时,增加上机实验课程;二是建立模拟实战环境和虚拟教学环境,将抽象知识具象化,提高学生实战能力;三是鼓励高校成立网络安全战队,设计和优化专门培训内容,积极参与国内外网络安全竞赛,对获得名次的战队和学校予以宣传和奖励。

加强外部合作方面,建议鼓励高校和政府、企业加强合作,积极培养高质量和当前急需的网络安全人才。高校培养学生不应当闭门造车,而是要结合实际需要开展工作。具体地,一是建议建立网络安全产、学、研合作培养机制,重点培养对于国家急需的网络安全人才,如以网络安全产业园为依托,建立政府出名义、企业提需求、学校做讲义的方式进行人才培养合作;二是建议针对政府、企业的特定需求,开设定制化培训班、设置精英教学计划等,定制化地培养人才,如为政府培养安全规划和管理人才、为保密部门定制精英培训班等;三是积极引入企业合作,通过共建实验室、设立奖学金、合作项目、设立企业导师、打造 CTF 战队等措施加大高素质网络安全人才培养力度。

(三)依托培训发展网络安全人才实战队伍

高校开展的学历教育可以很好地培养理论基础知识和国际视野的人才,而社会在职培训可以很好地扩充网络安全人才实战队伍的人员数量和质量。近年来,我国网络安全在职培训工作发展较快,为国家培养了不少网络安全人才。考虑到目前我国网络安全在职的发展现状和现实需求,建议加快制定网络安全人才能力标准体系,并进一步规范网络安全在职培训发展。

网络安全人才能力培训标准方面。当前,我国对网络信息系统的岗位缺乏有效的梳理和归类整理,很多单位在涉及相关岗位人员的入职审查和任职考核方面,尚缺乏对网络安全知识、能力和素质的明确要求,严重影响了工作开展。因此,建议加快梳理网络信息系统相关岗位的安全职责及能力要求,抓紧制定针对岗位人员安全知识、能力、素质的标准体系,建立重要岗位任职的准入条件限制和资质证书要求,满足政府、企业在人员入职招聘、任职考核的实际工作需要。

网络安全在职培训发展方面。我国目前网络安全培训市场比较开放,参与的培训机构数量众多,其中,既出现了一些优秀的、能够真正培养人才的培训机构和课程,但同时也出现了很多跟风进入、质量较差的培训结构和课程。这些培训机构之中,有的不重视打磨和更新培训知识体系,有的不重视培养和积累优秀培训讲师,有的不重视健康的培训目标和持久的发展模式。建议开展培训机构的规范建设,从培训资质、培训范围、课程设置、场地配备、资质管理等方面提出门槛性的要求,要求培训机构注重培训质量和品牌声誉,以政府和企业反馈的人才实战能力为基础加强对培训机构的考核,促进我国网络安全在职培训的良性发展。

(本文来源:中国信息安全公众号)