近年來(lái)，網(wǎng)絡(luò)安全行業(yè)快速發(fā)展，網(wǎng)絡(luò)安全從業(yè)人員數(shù)量逐漸增多，社會(huì)影響不斷增大，職業(yè)意識(shí)日益普及。

　　文│ 中國(guó)信息安全測(cè)評(píng)中心 王星

　　近年來(lái)，網(wǎng)絡(luò)安全行業(yè)快速發(fā)展，網(wǎng)絡(luò)安全從業(yè)人員數(shù)量逐漸增多，社會(huì)影響不斷增大，職業(yè)意識(shí)日益普及。所謂職業(yè)意識(shí)，指的是人們對(duì)職業(yè)活動(dòng)的認(rèn)知、評(píng)價(jià)、情感和態(tài)度的綜合反映。隨著網(wǎng)絡(luò)安全職業(yè)化發(fā)展進(jìn)程加快、國(guó)家網(wǎng)絡(luò)安全宣傳工作持續(xù)深化，公眾對(duì)網(wǎng)絡(luò)安全工作職責(zé)、這項(xiàng)工作的意義、價(jià)值取向以及入門(mén)的途徑都有了更深的認(rèn)識(shí)。為實(shí)現(xiàn)網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略目標(biāo)，充分發(fā)揮網(wǎng)絡(luò)安全人才在經(jīng)濟(jì)社會(huì)發(fā)展和國(guó)家安全保障中的關(guān)鍵作用，有必要進(jìn)一步強(qiáng)化網(wǎng)絡(luò)安全職業(yè)意識(shí)，提升從業(yè)人員專業(yè)化水平，增強(qiáng)網(wǎng)絡(luò)安全職業(yè)吸引力，充實(shí)網(wǎng)絡(luò)安全人才隊(duì)伍，提高國(guó)家整體網(wǎng)絡(luò)安全保障能力。

　　一、網(wǎng)絡(luò)安全職業(yè)意識(shí)日益深入人心

　　隨著網(wǎng)絡(luò)安全從信息技術(shù)的一個(gè)分支逐步發(fā)展為自成體系的專業(yè)領(lǐng)域，從業(yè)人員也經(jīng)歷了從探索到專精、從兼職到專職的轉(zhuǎn)變，網(wǎng)絡(luò)安全職業(yè)意識(shí)日益普及。公眾對(duì)網(wǎng)絡(luò)安全專業(yè)人員的工作任務(wù)、承擔(dān)的職責(zé)，以及所做的貢獻(xiàn)也有了更多的了解。

　　為適應(yīng)時(shí)代需要，國(guó)家人力資源和社會(huì)保障部近年來(lái)發(fā)布了若干網(wǎng)絡(luò)與信息安全相關(guān)職業(yè)信息：2015年7月，《中華人民共和國(guó)職業(yè)分類大典》(以下簡(jiǎn)稱“《職業(yè)分類大典》”)首次修訂，新增“信息安全工程技術(shù)人員(職業(yè)編碼2-02-10-07)”和“網(wǎng)絡(luò)與信息安全管理員(職業(yè)編碼4-04-04-02)”兩個(gè)職業(yè);2020年6月，《職業(yè)分類大典(2015年版)》頒布后發(fā)布的第三批新職業(yè)中設(shè)立“信息安全測(cè)試員(職業(yè)編碼4-04-04-04)”職業(yè)。網(wǎng)絡(luò)與信息安全相關(guān)職業(yè)得到人社部門(mén)的認(rèn)可，反映了國(guó)家層面高度重視在網(wǎng)絡(luò)安全這一具有典型新產(chǎn)業(yè)、新業(yè)態(tài)、新模式特點(diǎn)的領(lǐng)域推進(jìn)職業(yè)化發(fā)展。

　　同時(shí)我們也應(yīng)注意到，以發(fā)展的眼光來(lái)看，現(xiàn)有的網(wǎng)絡(luò)和信息安全職業(yè)分類還遠(yuǎn)遠(yuǎn)無(wú)法滿足網(wǎng)絡(luò)安全各細(xì)分領(lǐng)域的人才需求，從業(yè)人員的職業(yè)化發(fā)展仍處在初級(jí)階段。網(wǎng)絡(luò)安全具有跨界交叉融合、知識(shí)快速更新的特點(diǎn)，難以在傳統(tǒng)職業(yè)框架下形成單一、成熟且穩(wěn)定的職業(yè)技能;加之我國(guó)信息化起步較晚，網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模還比較小，還不能支撐足夠細(xì)化和深化的產(chǎn)業(yè)分工。目前網(wǎng)絡(luò)安全還沒(méi)有的職業(yè)或職業(yè)族標(biāo)準(zhǔn)，對(duì)從業(yè)人員如何科學(xué)地分級(jí)分類、應(yīng)具備何種專業(yè)知識(shí)和能力水平等問(wèn)題尚未建立標(biāo)準(zhǔn)規(guī)范，各用人單位的信息安全崗位設(shè)置和能力要求各行其是，差別還比較大。公眾對(duì)于真實(shí)的網(wǎng)絡(luò)安全職責(zé)也存在一些誤解，如對(duì)于從業(yè)者的工作內(nèi)容，往往過(guò)于強(qiáng)調(diào)其中攻擊滲透的一面。還有一些希望進(jìn)入行業(yè)的人員僅能通過(guò)碎片化的方式了解行業(yè)相關(guān)知識(shí)和能力要求，難以對(duì)網(wǎng)絡(luò)與信息安全知識(shí)體系進(jìn)行系統(tǒng)的把握，對(duì)相關(guān)工作要求缺乏整體準(zhǔn)確的認(rèn)識(shí)。

　　二、美國(guó)發(fā)展網(wǎng)絡(luò)安全職業(yè)的舉措

　　1.政策法規(guī)凸顯網(wǎng)安人才重要性

　　美國(guó)把網(wǎng)絡(luò)安全人才看作戰(zhàn)略性國(guó)家安全資源，把網(wǎng)安人才的短缺視為不利于國(guó)家安全和政府運(yùn)行的高風(fēng)險(xiǎn)問(wèn)題。為此，美國(guó)采取了大量行政和立法手段以確保人才建設(shè)的落實(shí)，為該領(lǐng)域工作提供充足的經(jīng)費(fèi)和資源保障。早在2002年發(fā)布的《聯(lián)邦信息安全管理法(FISMA)》中就明確，政府部門(mén)負(fù)責(zé)人對(duì)網(wǎng)絡(luò)安全工作負(fù)總責(zé)，其中就包括對(duì)本部門(mén)網(wǎng)絡(luò)安全人才隊(duì)伍建設(shè)的職責(zé)。具體要求是“確保本部門(mén)人員經(jīng)過(guò)充分的培訓(xùn)，能夠配合部門(mén)完成相關(guān)政策、規(guī)程、標(biāo)準(zhǔn)和指南的合規(guī)要求”;負(fù)責(zé)人還應(yīng)“指定部門(mén)的首席信息官(CIO)或同等職位的領(lǐng)導(dǎo)負(fù)責(zé)確保滿足本部門(mén)的合規(guī)要求，包括對(duì)承擔(dān)重要信息安全職責(zé)的人員進(jìn)行培訓(xùn)和監(jiān)督”。美聯(lián)邦政府各部門(mén)需每年由監(jiān)察長(zhǎng)(IG)對(duì)本部門(mén)FISMA的法律執(zhí)行情況進(jìn)行審計(jì)，對(duì)各項(xiàng)安全支出進(jìn)行檢查，這就確保了各部門(mén)的網(wǎng)絡(luò)信息安全人員培訓(xùn)預(yù)算能夠落地。據(jù)公開(kāi)的數(shù)據(jù)，美聯(lián)邦政府2011財(cái)年的IT安全培訓(xùn)支出在整體IT安全支出中所占比例是2.5%，約為3.3億美元。美國(guó)還于2010年啟動(dòng)了“國(guó)家網(wǎng)絡(luò)安全教育計(jì)劃(NICE)”，力圖通過(guò)這一國(guó)家級(jí)的計(jì)劃加強(qiáng)政產(chǎn)學(xué)各方面的合作，推進(jìn)全美網(wǎng)絡(luò)安全教育工作，培養(yǎng)網(wǎng)絡(luò)安全專業(yè)人才隊(duì)伍，進(jìn)而消減關(guān)鍵基礎(chǔ)設(shè)施中的漏洞隱患，維護(hù)美國(guó)網(wǎng)絡(luò)空間安全。

　　2.標(biāo)準(zhǔn)化手段建設(shè)網(wǎng)安人才隊(duì)伍

　　為了實(shí)現(xiàn)網(wǎng)絡(luò)安全人才工作的規(guī)?；l(fā)展，美國(guó)高度重視人才標(biāo)準(zhǔn)的開(kāi)發(fā)和應(yīng)用。針對(duì)不同領(lǐng)域的網(wǎng)絡(luò)安全人員，分別制定有相應(yīng)的人才框架和能力要求規(guī)范。這其中，要求最高的當(dāng)屬美國(guó)國(guó)防部的人員標(biāo)準(zhǔn)。由于美軍網(wǎng)絡(luò)行動(dòng)目標(biāo)遍布全球，且存在大量跨部門(mén)、跨軍種，乃至盟國(guó)之間的跨國(guó)境聯(lián)合行動(dòng)，因此網(wǎng)絡(luò)安全人才標(biāo)準(zhǔn)化建設(shè)始終是國(guó)防部網(wǎng)絡(luò)空間能力建設(shè)的核心所在。目前，美國(guó)防部網(wǎng)空人員管理依據(jù)的是DoDD 8570號(hào)令《信息保障(IA)培訓(xùn)、認(rèn)證和人員管理》及其配套實(shí)施手冊(cè)DoD 8570.01M《信息保障人員改進(jìn)計(jì)劃》。手冊(cè)中對(duì)國(guó)防部所有承擔(dān)信息保障(IA)職責(zé)的人員類型和級(jí)別進(jìn)行了詳細(xì)的劃分，并對(duì)每個(gè)類型和級(jí)別的人員必須達(dá)到的基線資質(zhì)要求做出了明確、硬性的規(guī)定。在民用領(lǐng)域，美國(guó)使用的網(wǎng)絡(luò)安全人才標(biāo)準(zhǔn)主要是NICE計(jì)劃主導(dǎo)編制的《國(guó)家網(wǎng)絡(luò)安全人力框架(NCWF)》。該框架首次發(fā)布于2013年，修訂后于2017年成為NIST SP800-181號(hào)國(guó)家標(biāo)準(zhǔn)。NCWF旨在使用通用的術(shù)語(yǔ)來(lái)定義和描述公私領(lǐng)域各項(xiàng)網(wǎng)絡(luò)安全工作的內(nèi)容，詳細(xì)描述了每個(gè)網(wǎng)絡(luò)安全角色應(yīng)承擔(dān)的工作任務(wù)，以及應(yīng)該具備的知識(shí)、技能和能力。

　　3.設(shè)立網(wǎng)絡(luò)安全職業(yè)意識(shí)宣傳周

　　美國(guó)在網(wǎng)絡(luò)安全意識(shí)宣傳方面，除了每年十月份的“國(guó)家網(wǎng)絡(luò)安全意識(shí)宣傳月(NCSAM)”以外，還從2017年開(kāi)始啟動(dòng)了一項(xiàng)名為“國(guó)家網(wǎng)絡(luò)安全職業(yè)意識(shí)宣傳周(NCCAW)”的活動(dòng)。前者的目的是在全美范圍內(nèi)提高公眾的網(wǎng)絡(luò)安全意識(shí)，后者則重點(diǎn)關(guān)注的是網(wǎng)絡(luò)安全職業(yè)和其中的從業(yè)人員。NCCAW由美國(guó)國(guó)家網(wǎng)絡(luò)安全教育計(jì)劃(NICE)牽頭發(fā)起，時(shí)間約在每年11月的中旬。該宣傳周旨在激發(fā)和宣傳網(wǎng)絡(luò)安全職業(yè)意識(shí)，推動(dòng)網(wǎng)絡(luò)安全職業(yè)探索。NCCAW已經(jīng)舉辦了三年，今年將在2020年11月9-14日舉辦第四屆宣傳周?；仡欉^(guò)去的NCCAW活動(dòng)，該宣傳周的內(nèi)容重點(diǎn)圍繞兩個(gè)主題展開(kāi)，一是為什么要從事網(wǎng)絡(luò)安全職業(yè)，二是如何進(jìn)入網(wǎng)絡(luò)安全行業(yè)。

　　4.高規(guī)格表彰獎(jiǎng)勵(lì)優(yōu)秀網(wǎng)安人才

　　美國(guó)在2018年《國(guó)家網(wǎng)絡(luò)戰(zhàn)略》中制定了新的網(wǎng)安人才發(fā)展總目標(biāo)，即“建設(shè)更有優(yōu)勢(shì)的網(wǎng)絡(luò)安全人才隊(duì)伍”，并提出要把“突出和獎(jiǎng)勵(lì)人才”作為一項(xiàng)優(yōu)先行動(dòng)計(jì)劃，對(duì)優(yōu)秀的網(wǎng)絡(luò)安全教育人員和網(wǎng)絡(luò)安全專業(yè)人員進(jìn)行獎(jiǎng)勵(lì)和表彰。2019年5月特朗普總統(tǒng)簽署《關(guān)于美國(guó)網(wǎng)絡(luò)安全人才隊(duì)伍的行政令》，提出將設(shè)立一系列網(wǎng)絡(luò)安全軍功及嘉獎(jiǎng)計(jì)劃，對(duì)在網(wǎng)絡(luò)安全領(lǐng)域做出杰出貢獻(xiàn)的軍人、文職人員，以及中小學(xué)教育者進(jìn)行表彰。對(duì)于聯(lián)邦政府內(nèi)的表彰，行政令要求政府各部門(mén)應(yīng)確保在現(xiàn)有的軍職和文職人員軍功及獎(jiǎng)勵(lì)機(jī)制下，網(wǎng)絡(luò)安全和網(wǎng)絡(luò)行動(dòng)領(lǐng)域的杰出表現(xiàn)也能夠得到認(rèn)可，或被授予同等級(jí)別的軍功及獎(jiǎng)勵(lì)。在必要和適當(dāng)情況下，各部門(mén)應(yīng)創(chuàng)建新的軍功及獎(jiǎng)勵(lì)，對(duì)網(wǎng)絡(luò)安全和網(wǎng)絡(luò)行動(dòng)領(lǐng)域中的杰出表現(xiàn)和成就進(jìn)行表彰。對(duì)于聯(lián)邦政府以外的獎(jiǎng)勵(lì)對(duì)象，行政令要求設(shè)立“總統(tǒng)網(wǎng)絡(luò)安全教育獎(jiǎng)”，從2019年開(kāi)始每年獎(jiǎng)勵(lì)小學(xué)和中學(xué)教育者各一人，并重點(diǎn)強(qiáng)調(diào)該獎(jiǎng)項(xiàng)獎(jiǎng)勵(lì)的是教育者的教育成就，而非其學(xué)術(shù)研究水平或技術(shù)開(kāi)發(fā)能力。到目前為止，“總統(tǒng)網(wǎng)絡(luò)安全教育獎(jiǎng)”已于今年五月份評(píng)選出首批獲獎(jiǎng)的兩名優(yōu)秀教師。

　　三、著力加強(qiáng)網(wǎng)安職業(yè)意識(shí)和專業(yè)能力建設(shè)

　　1.進(jìn)一步營(yíng)造重視網(wǎng)安人才的環(huán)境

　　理念決定行動(dòng)。加強(qiáng)網(wǎng)絡(luò)安全職業(yè)意識(shí)，提高從業(yè)人員的專業(yè)能力水平，一方面要嚴(yán)格落實(shí)政策法規(guī)關(guān)于人才建設(shè)的合規(guī)要求，另一方面也要從根源上提高各單位領(lǐng)導(dǎo)層的網(wǎng)絡(luò)安全人才意識(shí)，營(yíng)造自上至下重視網(wǎng)安人才、尊重網(wǎng)安專業(yè)的環(huán)境。關(guān)于這一點(diǎn)，習(xí)近平總書(shū)記在“4·19”網(wǎng)信工作座談會(huì)上明確要求，“各級(jí)黨委和政府要從心底里尊重知識(shí)、尊重人才，為人才發(fā)揮聰明才智創(chuàng)造良好條件，營(yíng)造寬松環(huán)境，提供廣闊平臺(tái)”，“要解放思想，慧眼識(shí)才，愛(ài)才惜才”。建議各級(jí)領(lǐng)導(dǎo)干部應(yīng)積極適應(yīng)時(shí)代要求，強(qiáng)化網(wǎng)絡(luò)安全思維，真正認(rèn)識(shí)到網(wǎng)絡(luò)安全人才作為信息時(shí)代戰(zhàn)略急需資源的重要性，堅(jiān)持以用為本、急用先行的原則，打造網(wǎng)絡(luò)安全人才發(fā)展的良好環(huán)境，讓人才的創(chuàng)造活力競(jìng)相迸發(fā)，聰明才智充分涌流。

　　2.大力開(kāi)展信息安全專業(yè)人員培訓(xùn)

　　開(kāi)展專業(yè)培訓(xùn)是提高從業(yè)人員整體水平，滿足職業(yè)化發(fā)展需求的重要方法和途徑。職業(yè)化的一個(gè)重要方面，就是要有穩(wěn)定的知識(shí)和能力要求，能夠同其他職業(yè)進(jìn)行區(qū)分。由于網(wǎng)絡(luò)安全伴生于各類技術(shù)、應(yīng)用和場(chǎng)景之中，導(dǎo)致網(wǎng)絡(luò)安全知識(shí)和能力的邊界難以界定，這給網(wǎng)絡(luò)安全教育培訓(xùn)帶來(lái)了極大的挑戰(zhàn)。中國(guó)信息安全測(cè)評(píng)中心自2002年起推出“注冊(cè)信息安全專業(yè)人員(CISP)”，專門(mén)針對(duì)安全人員綜合能力提升問(wèn)題，提供系統(tǒng)化的解決方案。經(jīng)過(guò)十余年的發(fā)展和完善，CISP知識(shí)體系全面覆蓋管理、支撐技術(shù)、工程與運(yùn)營(yíng)、監(jiān)管環(huán)境等十個(gè)知識(shí)域，能夠有效培養(yǎng)網(wǎng)絡(luò)安全復(fù)合型人才。針對(duì)網(wǎng)絡(luò)安全細(xì)分領(lǐng)域眾多、技術(shù)發(fā)展動(dòng)態(tài)性強(qiáng)的特點(diǎn)，CISP深刻把握網(wǎng)絡(luò)安全人力資源供給側(cè)結(jié)構(gòu)性改革的內(nèi)在需求，根據(jù)社會(huì)的迫切需要，在網(wǎng)絡(luò)安全細(xì)分方向和前沿領(lǐng)域推出了安全開(kāi)發(fā)、信息系統(tǒng)審計(jì)、滲透測(cè)試、大數(shù)據(jù)安全等十余個(gè)專業(yè)方向，為從業(yè)人員深度學(xué)習(xí)提供更加聚焦的專業(yè)培訓(xùn)內(nèi)容，建立了豐富而全面的網(wǎng)絡(luò)安全人才培養(yǎng)體系，成為重要行業(yè)和關(guān)鍵領(lǐng)域首選的人員資質(zhì)。

　　3.加強(qiáng)對(duì)網(wǎng)絡(luò)安全職業(yè)和從業(yè)者的宣傳

　　加強(qiáng)網(wǎng)絡(luò)安全職業(yè)相關(guān)的宣傳有助于樹(shù)立網(wǎng)絡(luò)安全職業(yè)意識(shí)，提高全社會(huì)對(duì)網(wǎng)絡(luò)安全人才的重視度，促進(jìn)網(wǎng)絡(luò)安全人才供需匹配，吸引更多人加入網(wǎng)絡(luò)安全專業(yè)隊(duì)伍。CISP作為權(quán)威的網(wǎng)絡(luò)與信息安全專業(yè)人員資質(zhì)，是從業(yè)者掌握相應(yīng)知識(shí)和能力、具備業(yè)內(nèi)工作經(jīng)驗(yàn)和業(yè)績(jī)的證明，也是持證人員遵守CISP職業(yè)道德準(zhǔn)則的莊嚴(yán)承諾。在國(guó)家黨政機(jī)關(guān)、電力、通信、金融、能源等重要行業(yè)的檢驗(yàn)下，在各領(lǐng)域網(wǎng)絡(luò)安全工作者的見(jiàn)證下，CISP持續(xù)輸送安全專業(yè)人員數(shù)萬(wàn)人，成為業(yè)內(nèi)人才評(píng)價(jià)考核、選拔任用、職業(yè)晉階的必備資質(zhì)。作為專業(yè)網(wǎng)絡(luò)安全工作者的一張名片，CISP在自身發(fā)展的同時(shí)，也為各界提供了了解網(wǎng)安工作任務(wù)和進(jìn)入行業(yè)的有效途徑。隨著專業(yè)安全人才缺口不斷擴(kuò)大、安全產(chǎn)業(yè)加速發(fā)展，對(duì)網(wǎng)絡(luò)安全職業(yè)化發(fā)展的需求也將日益凸顯。未來(lái)，CISP將持續(xù)以其全面的知識(shí)體系、嚴(yán)格的職業(yè)道德準(zhǔn)則要求、結(jié)合廣大持證人員在維護(hù)國(guó)家網(wǎng)絡(luò)安全事業(yè)中所做的貢獻(xiàn)，為樹(shù)立和強(qiáng)化網(wǎng)絡(luò)安全職業(yè)意識(shí)、促進(jìn)從業(yè)者專業(yè)能力水平提升提供最準(zhǔn)確的詮釋和最生動(dòng)的體現(xiàn)。

　　(本文刊登于《中國(guó)信息安全》雜志2020年第9期)

　　聲明：本文來(lái)自中國(guó)信息安全，版權(quán)歸作者所有。文章內(nèi)容僅代表作者獨(dú)立觀點(diǎn)，不代表本站（網(wǎng)絡(luò)安全等級(jí)保護(hù)資訊網(wǎng)）立場(chǎng)，轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán)，請(qǐng)聯(lián)系刪除。