全球化时代,国与国之间围绕网络空间的争夺日趋激烈,以跨国性、突发性、复杂性为特点的网络安全威胁与日俱增。据公开资料显示,全球已有50余个国家组建了专门的网络部队,美、俄等大国的网军规模更是已超万人。网络空间安全问题,关乎公共秩序的构建,但归根结底是人才的竞争。习近平总书记指出,要“聚天下英才而用之,为网信事业发展提供有力人才支撑”。维护网络安全已成为保障国家安全的基石,而做好网络安全工作的关键在于“人”。
一、人才需求分析
电信运营商运营的通信网络是国家最重要的关键信息基础,网络规模大、系统多、业务复杂,对网络安全人才的质量及数量的需求尤其迫切。
为做好网络安全工作,运营商需要建立网络安全人才梯队,以高层人才引领、中层人才攻坚、基层人才执行,为安全战略落地提供全方面的专业技术支撑。
在人才梯队中,公司级的安全专家是核心,负责把控集团网络安全战略方向和架构设计;中层的技术专家负责处置各类安全事件,为安全战略落地提供全面的专业技术支撑,是运营商网络安全队伍的中坚力量;基层为安全从业人员,负责日常安全运维工作,处理日常安全问题。
在上述三层安全人员架构之外,为更好地贴近业务运营,仍然需要相当一部分的安全兼职人员,这些人员需要在业务的立项、开发、推广的过程中,能理解安全需求,具备相应的安全意识,以规避业务安全风险。
从人才需求数量来看,高层人才至少需要数十人,安全专家应需要数百人、安全从业人员应有数千人的规模。从现状来看,目前运营商在网络安全人才方面仍存在较大缺口。
二、存在的问题
首先是网络安全人才供需不平衡。目前中国各大院校网络安全或信息安全专业的招生规模不足,造成安全专业毕业生稀缺。根据运营商近年校园招聘的统计数据来看,来自安全专业的学生数量占比较低。同时由于互联网行业快速发展,对安全专业人员需求量大、薪资水平高,形成挤压效应,直接造成了运营商对网络安全人才吸引力不足甚至人才流失。
其次是理论知识与实操能力的矛盾。我国现阶段网络安全教育仍无法摆脱传统研究模式的束缚,培养学生的实操能力与所学理论知识之间存在差距。运营商对网络安全专业人员最大的需求是对业务系统的安全防护、加固,业务系统安全评估,安全系统和设备的运营维护等,但是多数毕业生进入运营商后还需要较长的“适应缓冲期”,或者接受再培训才能胜任相应工作。
再次是高端人才缺乏。目前在一线从事运营维护、技术支持、风险评估、安全测试的人员相对容易培养,而战略规划、架构设计、信息安全法律相关从业人员相对较少。战略规划和架构设计人员需要综合技术能力强,有全局视野,目前该类人员短缺情况最为突出。
三、人才培养举措
为提升运营商的网络安全保障能力,需要运营商从多方面加大网络安全人才的培养力度,建设企业自有的网络安全人才梯队。
(一)部署网络安全实验环境,开展实操演练
网络空间对抗往往具有环境复杂、方法多样、多点多面、对象隐蔽等特点,不具备规律可循。建设网络靶场,模拟复杂多样的网络环境,开展网络攻防演练,对抗动态推演,验证攻防工具及系统安全性,对提升安全人员实操能力有很大帮助。
考虑到运营商网络的复杂性,运营商网络安全靶场应充分结合实际需求,实现对特定防御目标的网络环境的仿真,包括但不限于:网络架构、设备、操作系统、网络层协议等;实现物理设备(包括防火墙、路由器、交换机、服务器、入侵防御、检测设备等)和虚拟设备混合组网;实现仿真资源和仿真任务的管理;实现网络拓扑和场景的可视化、构建高仿真虚拟网络环境、支持历史虚拟网络环境的修改和重现。
在日常攻防演练基础上,运营商还可以通过组织内部网络安全竞赛,积极参与外部各级别网络安全大赛,组织参加重大保障活动的远程和现场技术支援等锻炼培养专家队伍。
(二)做好网络安全人才统一管理
随着运营商网络安全从业人员(含兼职人员)的快速增长,传统的人员管理模式已不能满足当前的管理需要。因此,一种自动化的网络安全人才管理势在必行。通过平台化管理,一方面实现对运营商网络安全人才的统筹化管理,包括人员信息采集及统计、在线培训、认证维持、技术能力多维量化、专家众测任务派发、专家积分、专家选拔及晋升、网络安全竞赛报名及战队管理等;另一方面实现对安全从业人员信息的动态感知,了解人员流入及流失情况、技术水平变化等。
(三)强化网络安全人才培训和专业认证
网络安全工作对从业人员的技术水平要求较其他行业更高。网络安全是IT技术的分支,但其知识面又覆盖了整体IT技术知识领域,如密码学、访问控制、操作系统、通信网络等,甚至会超越IT技术知识领域,如物理安全防护等。因此,网络安全是既需要广泛了解,又需要深入研究的专业。基于这种特点,网络安全人才的培训和认证强化工作便成为重中之重。
当前美国拥有绝对多数的世界权威的网络安全职业培训认证机构,如:(ISC)²(国际信息系统安全认证机构)、ISACA(国际信息系统审计师协会)、EC-CONCIL(国际电子商务顾问局)等。美国知名企业如CISCO思科也逐步形成了基于CCNA/NP/IE的安全认证。而在我国,目前仅有中国信息安全测评中心提供的CISP(注册信息安全人员)具有较大影响力,其衍生证书包括CISP-A/PTE等。为加强运营商网络安全人才培训及认证,应考虑将现有国内/国际安全认证分为综合技术类(CISSP/CISP/CISM/SECURITY+等)、安全治理类(ITIL/ISO27001/COBIT等)、安全审计类(CISA/CISP-A等)、安全渗透类(CISP-PTE\CEH\OSCP等),云计算安全类(CCSP/CCSK/CLOUD+等),针对网络安全专家领域的不同,进行有针对性覆盖。
四、几点思考
运营商作为国家最重要的关键信息基础设施运营单位,网络安全保障责任重大,需要坚持“重才、育才、聚才、用才”,下大力气打造一支“政治过硬、技术专精、来之能战、战则必胜”的网络安全人才队伍。
在“重才”方面,运营商要落实网络强国战略部署,密切结合公司战略,贯彻“以人为本”理念,认真做好网络安全人才队伍顶层设计,建立健全自上而下、统筹协调的网络安全人才体系。要高度重视网络安全人才的待遇,为安全专家设置技术和管理两条职业晋升通道,在岗位职级上给予倾斜。要加大对网络安全高端人才、紧缺人才的培养、引进和支持力度,研究建立网络安全特殊人才激励机制,确保能留得住精通网络安全“高精尖”技术的专业人才。
在“育才”方面,坚持多角度、多层次、全方位人才培养理念,多措并举,不断强化网络安全人才队伍整体素质与综合实力。通过举办技术沙龙、专家论坛、讨论群开展技术分享,通过在线技术培训、安全认证培训、攻防演练、安全大赛等多种方式,大力培养提升安全人员技战术水平。
在“聚才”方面,通过建立安全专家管理平台,实施专家积分制,设立英雄榜、通报表彰、物质和精神奖励,调动安全专家积极性,有效聚集安全专业人才。
在“用才”方面,组织开展“安全众测”、专题技术研究、安全检查、远程支援、现场保障,形成灵活高效的“专家云”模式的安全人才调配和使用机制,为企业持续健康发展提供有力支撑。(中国信息安全 冯运波)
