《一、前言》

一、前言

网络空间安全执业认证的目的是评判从业人员 是否达到“网络空间安全专业技术人员依法独立从 事某种网络空间安全专业技术工作所需的知识、技 术和能力”的必备标准。建立网络空间安全执业认 证体系有利于加快网络空间安全人才培养,促进和 提高专业人才队伍素质和业务水平;有利于统一网 络空间安全专业人员的业务能力标准,公正地评价 专业人员是否具备执业资格,从而合理使用专业技 术人才;有利于同国际接轨,推进本土认证全球标 准化进程,争取网络空间安全认证的国际话语权。 相比于网络空间安全的学历教育,网络空间安全职 业培训具有较强的针对性、灵活性、技能性和持续 性。这些特点决定了建立职业培训体系能够快速壮 大网络空间安全人才队伍,持续提升网络空间安全人才的技术水平和实践能力。网络空间安全执业认 证和职业培训体系是网络空间安全人才培养体系的 重要组成部分,建立完善的认证体系和培训体系对 网络空间安全人才建设有着重要意义。

《二、国内外网络空间安全人才培养情况》

二、国内外网络空间安全人才培养情况

美国等发达国家高度重视网络空间安全执业认 证和职业培训。伴随网络空间安全的发展形势和自 身实际情况,这些国家在国家层面上不断地出台相 应的战略计划,以完善其认证体系和培训体系 [1]。 截至 2016 年 9 月美国国家安全局已在全国建立 209 个卓越中心(CAE)[2],以促进信息安全(information assurance)和网络防卫(cyber defense)两方面的 教育。美国卓越中心模式可以被抽象分为四个步骤: 统一定义知识单元和重点领域;统一制定认定标 准;申请者将自身的教育培训资源映射到某项认定 所需的知识单元;统一审查映射的匹配度,以及重 点培训领域的覆盖性、合理性。

2012 年美国正式发布了《NICE 战略计划》[3], 强调关注网络空间安全人才培训和职业发展,建立 和维护一个具有全球竞争力的网络空间安全专业人 才队伍。2014 年美国发布了最新版本的《NICE 网 络安全人才框架》,目前该框架仍在不断地调整和 更新。2013 年欧盟委员会发布了《欧盟网络安全战 略》,明确指出网络和信息安全教育、培训工作应 从国家层面发起。2013 年日本发布了《网络空间安 全战略》,明确指出将网络与信息安全人才培养作 为一项重要的举措。

综合来看,发达国家建设其执业认证和职业培 训体系的主要举措包括:①在国家层面上,制定网 络空间安全战略计划,强调网络空间安全执业认证 和职业培训的重要地位;②为了落实网络空间安全 认证和培训的相关政策和法律法规,国家将协调、 执行、监督、管理等权利分配给多个政府部门,多 方参与共同推动认证和培训体系建设;③制定网络 空间安全人才框架,为网络空间安全这一新兴领域 定义一致通用的术语来描述其专业范畴、职业路径, 及其岗位能力和资格认证等。

国际网络空间安全执业认证和职业培训体系建 设起步较早,基本建立了完善的网络空间安全认证 和培训体系,形成了规模化的认证与培训产业,其主要包括:①政府制定政策,倡导开展相关认证和 培训;②行业协会帮助设定网络空间安全执业认证 和职业培训标准,创立、更新执业认证项目,开展 持续的职业培训活动,组织认证考试,颁发并维持 认证证书;③高校及科研院所辅助认证和培训体系 建设,开展教育和培训活动;④企业开展针对内部 的非认证职业培训,厂商提供针对自身网络空间安 全产品的培训,并颁发相应的培训证书。目前,一 些协会创立的网络空间安全认证和培训体系已具有 较高的权威性和认可度,例如,国际信息系统安 全认证联盟(ISC)[2,4]、信息系统审计与管控协会 (ISACA)[5]、国际电子商务顾问局(EC-Council)[6] 和美国计算机行业协会(CompTIA)[7] 等。

我国对网络空间安全人才的需求迫切,而人才 数量奇缺。随着我国信息化建设的不断推进,网络 空间安全专业人才需求将持续增长,并呈逐年递增 趋势,预计到 2020 年,我国网络空间安全专业人 才需求数量将超过 140 万。根据高校信息安全人才 培养情况调查统计(教高厅函 [2014]4 号),信息安 全研究生年均就业率超过 97 %,本科生年均就业 率超过 95 %,远高于其他专业。

尽管我国已大力开展网络空间安全学历教育, 但仍难以满足国家和社会对网络安全人才的需要。 教育部于 2002 年批准成立信息安全本科专业以来, 截至 2013 年,全国共 96 所高校设置了信息安全类 相关本科专业,其中信息安全专业 85 个,信息对 抗专业 17 个,保密管理专业 12 个,每年毕业生约 1 万人,累计未超过 8 万人。2015 年 6 月国务院学 位办增设网络空间安全一级学科 [8],隔年 3 月批准 29 所高校设立网络空间安全博士授权点 [9]。网络空 间安全学历教育的开展为我国网络空间人才培养 奠定了坚实的基础,然而,相比于每年 50 万的人 才缺口而言,在短期内仍难以解决大规模网络安 全人才培养问题;作为补充措施,急需大力开展 在岗人员的网络安全执业认证和职业培训,以迅 速提升现有从业人员的技术水平和实践能力。

《三、我国网络空间安全执业认证和职业培训》

三、我国网络空间安全执业认证和职业培训

体系的主要问题 经过多年发展,我国逐步开展了网络空间安全 执业认证和职业培训工作,例如,注册信息安全专业人员(CISP)认证和相关授权培训。综合来看, 目前我国网络空间安全认证和培训体系并不完善, 难以满足国家关于“加强网络空间安全人才建设” 的战略需求,其存在的主要问题如下。

《(一)缺少网络空间安全人才框架,阻碍执业认证 和职业培训的发展》

(一)缺少网络空间安全人才框架,阻碍执业认证 和职业培训的发展

我国尚未对网络空间安全工作及专业人才规范 统一的定义,各部门在职业、岗位和职责描述等方 面存在很大差异,缺少一个共同的语言来讨论和理 解网络空间安全专业人员的工作和技能要求,这给 国家制定网络空间安全技能基线、确定技能缺口、 设置相关岗位、开展执业认证和职业培训造成了极 大的障碍。

《(二)网络空间安全执业认证和职业培训制度建设 滞后,认证的认可度有待提升,培训市场有 待规范》

(二)网络空间安全执业认证和职业培训制度建设 滞后,认证的认可度有待提升,培训市场有 待规范

我国缺少网络空间安全执业认证机构的认可制 度。认可制度是认证机构建立内部管理体系和人员 认证制度、提高管理水平、保持良好绩效的重要基 础性文件。认证的认可制度缺失严重影响了执业认 证的权威性,难以赢得从业人员和用人单位的认 可。我国缺少网络空间安全职业培训机构的认可 授权制度,尤其缺乏对提供国际认证培训服务的 国内培训机构的监管,对职业培训机构监管力度 不足导致虚假宣传和违规经营时有发生,严重影 响了职业培训的市场秩序,破坏了网络空间安全 职业培训的声誉。

《(三)网络空间安全执业认证和职业培训的知识体 系有待完善》

(三)网络空间安全执业认证和职业培训的知识体 系有待完善

网络空间安全是一个新兴领域,其知识具有多 领域交叉、覆盖面广、更新周期短、难度大等特点。 应针对网络空间安全领域知识的特点制定、更新认 证和培训的知识领域。目前,我国本土认证的项目 数量不多,认证的知识领域针对性不强,知识领域 的更新周期较长,尚未形成有层次的、互补的知 识体系,这与网络空间安全领域知识特点不相符, 不利于发挥认证和培训对岗位技能的测评和提升 作用。

《(四)网络空间安全专业培训机构数量少,培训规 模有限》

(四)网络空间安全专业培训机构数量少,培训规 模有限

我国网络空间安全专业培训机构较为缺乏,培 训规模不足,很多机构的培训是面向网络空间安全 产品、咨询或测评业务的,而非针对执业认证所开 设,这导致我国经过培训获得认证的人员总数不多。 此外,专业培训机构的缺乏也为一些不具备培训能 力的机构提供了浑水摸鱼的可乘之机。

《(五)网络空间安全职业培训机构能力良莠不齐, 培训质量有待提高,尤其是实践技能的培训 质量》

(五)网络空间安全职业培训机构能力良莠不齐, 培训质量有待提高,尤其是实践技能的培训 质量

我国网络空间安全职业培训机构在师资、课程 设置、配套实验环境等方面水平良莠不齐,培训质 量有待提高。在师资方面,我国缺少网络空间安全 培训讲师的认可制度,培训讲师数量不多,能力参 差不齐。在课程设置方面,多采用短期集训的方式 梳理考试大纲和分析考题,缺乏持久化、系统化的 课程体系。在配套实验环境方面,多数停留在理论 知识传授阶段,不具备配套教学实验环境以提升受 训者技能实践能力,这导致理论和实践相脱节,受 训人难以满足实际工作岗位的需求。事实上,国际 知名认证机构的配套实验环境已日趋完善,例如, EC-Council 的 iLabs 实验平台已覆盖 270 种黑客常用 的攻击技术,支持构建 140 余个实时情景模式,并 提供 2 200 余种常用的黑客工具。EC-Council 创立的 认证安全分析师(ECSA)和授权渗透测试员(LPT) 认证已在该平台下实现对申请人的实践能力考核。

《四、我国网络空间安全执业认证和职业培训 体系的政策建议》

四、我国网络空间安全执业认证和职业培训 体系的政策建议

为加快我国网络空间安全执业认证和职业培训 体系建设,建议由中国网络空间安全协会主导,建 立我国网络空间安全执业认证和职业培训体系,直 接提供认证服务、授权培训活动,进而快速壮大人 才队伍,持续提升现有从业人员的技术水平和实践 能力。具体措施包括:深化认证和培训机制改革, 规范管理制度,制定推进措施;大力推进网络空间 安全人才队伍框架建设,建立全国统一的网络空间 安全岗位体系和从业人员“知识、技术、能力”标准,并依此构建认证的知识体系,界定各类认证的知识 领域、包含的知识单元、对应的工作岗位,以提高 认证与岗位的匹配度,增强认证的知名度和认可度; 大力支持网络空间安全职业培训的发展,加快基础 设施建设,实施讲师培训工程,以规范培训市场秩 序,扩大培训规模,提升培训质量;建立认证机构、 培训机构和高校间的资源共享制度,打破界限,汇 聚资源,实现人才的跨界流动。

《(一)深化认证和培训机制改革,规范管理制度, 制定推进措施》

(一)深化认证和培训机制改革,规范管理制度, 制定推进措施

中国网络空间安全协会可直接提供网络空间安 全执业认证服务,组织认证考试,颁发认证证书, 授权网络空间安全职业培训;制定网络空间安全工 作的持证上岗制度、培训机构的认可授权制度、培 训讲师认定标准、培训讲师的持证上岗制度等,并 制定相关推进措施,保障各项制度落实。由协会直 接提供认证服务有利于短期内构建系统的、统一的 网络空间安全执业认证体系,提升认证的权威性和 公正性,打通持证人员的就业途径。由协会授权职 业培训活动有利于短期内规范职业培训市场秩序, 扩大职业培训规模,提升职业培训质量。

《(二)大力推进网络空间安全人才队伍框架的建设, 建立认证的知识体系》

(二)大力推进网络空间安全人才队伍框架的建设, 建立认证的知识体系

由中国网络空间安全协会制定“网络空间安全 人才队伍框架”。该框架根据我国网络空间安全的 发展现状,定义我国网络空间安全工作的岗位分类 及其通用词汇,并对每种岗位的职责标准,以及从 业人员所需的“知识、技术、能力”进行详细描述; 以人才队伍框架为基线,构建认证的知识体系,界 定各类认证的知识领域、包含的知识单元、对应的 工作岗位;定期追踪国内外网络空间安全技术前 沿,保证知识体系的不断升级更新。

《(三)创立、更新网络空间安全执业认证项目体系 》

(三)创立、更新网络空间安全执业认证项目体系

中国网络空间安全协会组织高校、科研院所、 安全企业,面向各类用人单位的人才需求,以“网 络空间安全人才队伍框架”为基准,多方共同创立 认证种类丰富、分级明确、互为补充、划分清晰的 认证项目体系。针对各认证项目,发布其知识领域、 考试大纲及配套教材等。

《(四)大力支持网络空间安全职业培训的发展,加 快基础设施建设,实施讲师培训工程》

(四)大力支持网络空间安全职业培训的发展,加 快基础设施建设,实施讲师培训工程

国家和各级政府在融资、开业、税收、咨询等 多方面出台优惠政策,支持网络空间安全培训机构 的创立和发展,逐步形成覆盖全国的职业培训网络, 使得职业培训“人人可学,处处可学,时时可学”。 对创新培训模式、部署实时仿真教学实验平台,且 培训质量显著提升的培训机构给予资金奖励,并协 助其推广先进培训经验和成果。

实施网络空间安全培训讲师的培训工程,由网 络空间安全协会制定培训的知识体系,设置培训课 程,开展培训工作。

《(五)建立认证机构、培训机构和高校间的资源共 享制度》

(五)建立认证机构、培训机构和高校间的资源共 享制度

高校汇聚了大量的网络空间安全资源,可建立 认证机构、培训机构和高校间的资源共享制度,特 别是教师资源的共享。鼓励高校开展网络空间安全 职业培训,建立培训讲师和高校教师的互认制度, 为网络空间职业培训市场注入优质、稳定的师资 资源。

《五、结语》

五、结语

网络空间安全执业认证和职业培训是我国网络 空间安全人才培养的重要组成部分,与学历教育一 同构成了网络空间安全人才输送的两条主要渠道。 我们迫切需要认清当前我国网络空间安全认证和培 训体系存在的问题,多方通力合作建立完善的网络 空间安全执业认证和职业培训体系,加快我国网络 空间安全人才队伍培养步伐,以支撑网络强国建设。