公务员期刊网 论文中心 正文

欧美网络信息安全人才培养启发

前言:想要写出一篇引人入胜的文章?我们特意为您整理了欧美网络信息安全人才培养启发范文,希望能给你带来灵感和参考,敬请阅读。

欧美网络信息安全人才培养启发

摘要:随着新兴信息技术的快速发展和社会信息化的深度普及,一系列网络信息安全问题对国家安全、经济稳定、民众生活造成了严重威胁。若想有效降低具备高技术对抗特色的网络信息安全风险,其关键环节是要认真培养各个层次的网络信息安全人才。该文对美欧各国网络信息安全人才培养战略和实践进行梳理,并从战略及配套政策、继续教育、课程体系、信息安全素养等方面对我国的网络信息安全人才培养提出建议。

关键词:信息安全;人才;教育;信息安全素养

1全球网络信息安全人才培养的时代背景

随着网络信息技术的快速发展和社会信息化的深度普及,政府部门、交通、能源、航空、金融、通信、医疗等系统的运营越来越依赖网络信息系统。在信息社会背景下,信息已经演化成为国家战略资源,与物质、能源共同组成了人类社会赖以生存和发展的三大基础要素。由于网络信息技术的固有缺陷和人为因素,网络信息基础设施受损、网络数据盗窃等一系列网络信息安全问题对国家安全、经济稳定、民众生活造成了严重威胁,引发全球社会尤其是欧美各国的高度关注,并已经成为一个全球性的热点问题。若想有效降低具备高技术对抗特色的网络信息安全风险,则要大力发展信息产业,弥补信息技术漏洞,降低人为因素可发挥的空间,其关键环节是要将各个层次的网络信息安全人才培养好。网络信息安全人才主要是指分布在各级行政、企事业单位、信息中心、数据中心、互联网接入单位、科研院所等机构中从事信息安全或计算机网络安全技术工作的人员统称,他们一般要求能够熟练运用基本技能和专门技能完成较为复杂的网络信息安全保障工作,能够独立处理和维护网络信息安全保障工作中出现的常见问题[1]。2014年2月,中央网络安全和信息化领导小组成立,强调,要拥有高素质的网络安全和信息化人才队伍,即要把人才资源汇聚起来,建设一支政治强、业务精、作风好的强大队伍,要培养造就世界水平的科学家、网络科技领军人才、卓越工程师、高水平创新团队。本文将着重分析近年来美国、欧盟、英国和俄罗斯等欧美国家在网络信息安全人才培养方面的各种努力,以期能为我国更好地培养网络信息安全人才有所借鉴。鉴于目前国内外学术领域和政府正式报告文本存在网络安全、网络信息安全、网络空间安全、信息安全等多种称谓,本文主要使用网络信息安全进行表述,对其他称谓也不作特意区分。

2欧美各国网络信息安全人才培养进展

2.1欧美各国网络信息安全人才培养进展概述

作为全球网络信息技术最发达、社会信息化程度最高的国家,美国对网络信息安全领域面临的巨大挑战有着清醒的认识,从20世纪90年代后期就开始着手研究各种网络信息安全人才培养对策,并随着形势的发展变化逐步将这一问题上升为国家战略的高度。美国早在2003年就首次从国家层面将提高网络安全意识与培训计划写入了《网络空间安全国家战略》。欧盟委员会很早就从战略高度关注网络信息安全问题,早在2004年就成立了“欧洲网络与信息安全局”(ENISA),并赋予该部门强制性介入成员国网络信息安全战略的角色,负责组织、协调欧盟各成员国的网络信息安全战略规划、实践、基础设施保护和应急响应等工作,包括各成员国为了提升国民信息安全素养应当采取的各项措施。英国是所有G20国家中第一个具备抵御网络攻击能力的国家,其在2009年6月出台了首个国家网络安全战略,指出要提高各级政府对网络安全的认识。作为欧洲第一网络大国的俄罗斯,在《俄罗斯联邦宪法》中,将信息安全被纳入了国家安全管理范围,并在其信息安全纲领性文件《国家信息安全学说》中指出,信息安全是国家安全的基础,要着力构建从学历教育到在职教育的人才培养体系。

2.2欧美各国网络信息安全人才培养战略及实践

2010年4月,美国国家标准与技术研究院(NIST)了《网络安全教育战略计划》(NICE),并与国土安全部、国防部、教育部、国家科学基金会、国家情报总监办公室等共同领导推动该计划的实施。该计划共包括国家网络安全意识模块、正规网络安全教育模块、网络安全人才架构模块、网络安全人才培训和职业发展模块等四大模块。国家网络安全意识模块是由美国国土安全部牵头负责,主要通过开展“停止-思考-连接”(stop-think-connect)活动,来增加美国公众对网络安全威胁的了解,提升公众的网络安全意识。正规网络安全教育模块是由美国教育部和国家科学基金会共同负责,主要是增加侧重于科学、技术、工程和数学等领域的正规网络安全教育活动项目,为国家培养网络安全研究人员、网络安全专业人才、网络安全技能人才和具有网络安全意识的公民,扩大政府部门和私营企业的专业技术人才后备力量。网络安全人才架构模块仍然由美国国土安全部统一领导,主要侧重于网络安全专业人才的评价和管理工作。网络安全人才培训和职业发展模块则是由美国国家情报总监办公室、国防部和国土安全部共同领导,通过协调地方政府、工业界、私营部门和学术界,共同制定国家网络安全人才所需的网络安全培训和职业发展过程。NICE作为一个专门的国家网络信息安全教育计划,充分表达了美国对网络信息安全人才培养的重视。2013年3月,《国家网络安全人员框架》将网络信息安全专业人员划分为安全提供、运行维护、保护防御、安全调查、搜集行动、安全分析和监督发展等7大类31个专业,并详细定义了每个专业的主要工作任务以及应具备的专业知识、技术和能力[2]。欧盟委员会在2010年8月出台了《数字欧洲计划》,并专门开辟了“可信与安全”章节来阐述提升公众网络安全防范意识和能力的重要性以及各成员国应当采取的各项措施,具体包括(1)要求欧洲网络与信息安全局在2013年提出一份“网络安全资格”实施建议,提高信息技术行业人员的业务能力;(2)计划2014年开始举办网络安全锦标赛,鼓励大学生参与网络安全建设;(3)要求各成员国从2013年起每年举办“网络安全月”,制定国家网络安全培训计划,并从2014年起在学校提供网络安全培训课程,为计算机专业的大学生提供专门的网络安全培训,为政府公务人员提供基础培训。欧盟网络与信息安全局还在2014年10月了《欧洲网络信息安全教育项目路线图》(RoadmapforNISeducationprogrammesinEurope),该报告的重点用户是网络信息安全教育领域的教育工作者。其次是网络信息安全教育领域的政策制定者,他们能够决定哪些课程应该进入教育领域。该报告建议针对公众出台网络信息安全教育领域的“欧洲通行证”(Europass);为广大教师部署更好的继续教育项目,强化他们的多种角色;欧洲有关组织和部门应该开始开发网络信息安全大规模在线开放课程(MOOCs);为健康领域的实践者、律师和数字安全专家、中小企业的有关人员以及数字取证方面的继续专业人才提供一系列网络信息安全培训课程[3]。英国则在2011年11月出台了《网络安全战略》,并决定拨付6.5亿英镑专项资金支持今后4年的网络安全技术和法律行动实施。该战略文件详细描绘了英国2015年网络安全前景和行动方案实施细则。后者包括政策导向、执法体系、机构合作、技术培训、人才培养、市场培育以及国际合作等具有很强可操作性的7个方面。2013年4月,英国政府决定在剑桥大学建立全球网络安全中心,帮助各国制定应对网络威胁的综合计划。2013年5月,英国政府又决定向牛津大学和伦敦大学拨款750万英镑,合作开发对抗虚拟攻击的专门技术,培训网络安全专家。2013年10月,新成立的英国联合网络储备局指出,如果已被定罪的计算机黑客能通过安全审查,他们可能被招募到该机构中任职,并将从后备部队中招募数百人组成计算机专家组与常规部队协同作战。2014年3月,英国政府还出台了《网络信息安全专业人员认证指南》,规定了政府公共部门及其合同厂商的网络信息安全专业人员职责和技术能力要求,明确信息保障人员的遴选、培训和管理办法。该框架将网络信息安全专业人员分为安全评估师、信息保障审计师、信息保障架构师、安全和信息风险咨询师、IT安全官、通信安全官和渗透测试员等7大类[4]。俄罗斯将网络信息安全领域的信息安全、计算机安全、信息安全自动化系统、信息安全分析系统、电视通信系统的信息安全、信息防御系统方法和密码学等7个专业作为国家教育和科技工作的优先发展方向。2013年3月,俄罗斯国防部将成立由大学生组建的科技连,负责对外国网络攻击进行检测,防范各种网络威胁。同年7月,两支科技连开始在莫斯科周边及沃罗涅日茹科夫斯基空军学院服役。他们还开始面向社会招募非军事高校毕业的青年编程员,并在未来五年内为军方开发所需的软件产品[5]。俄罗斯也积极利用“白色黑客”,即无犯罪前科且拥有能够发现系统漏洞丰富经验的网络专家的服务,来应对网络攻击。这些“白色黑客”将对政府部门的网站防护能力进行定期检查,并建立防御外部国家级或企业级针对俄罗斯信息系统发起的计算机攻击检测系统[6]。

2.3欧美各国网络信息安全意识提升策略

美国从2002年起,将每年的10月份定为“全国网络安全意识月”,旨在提升公众的网络信息安全意识,教育公众都应当为确保网络空间安全做出贡献。每年的“全国网络安全意识月”都设有特定主题,并且该月的每周都会设置特定的关键主题。以2014年10月的“全国网络安全意识月”为例,第一周的活动主题是“停止-思考-连接”活动,即要倡导安全的上网活动,其重点是提供了诸如设置足够强度的密码,而且不要与任何人共享;保持计算机操作系统、浏览器和其他关键软件及时升级更新;尽量减少在互联网上提供个人信息,并且使用隐私设置来避免信息泄漏等建议。第二周的活动主题是“安全开发信息技术产品”,重点是教育公众在计算机、平板电脑、智能手机等信息技术产品开发过程中嵌入注入网络信息安全方面的要素。第三周的活动主题是“关键基础设施安全与物联网”,主要关注关键基础设施安全的重要性,同时告诉公众要对所有设备施加保护。第四周的活动主题是“中小企业网络安全”,主要展示可以用来保护中小企业的新技术和商业模式。第五周的活动主题是“网络犯罪与执法”,主要是倡导与执法机构同行、与网络犯罪作斗争,同时,告诉公众如何避免成为网络犯罪的受害者[7]。欧盟委员会在2012年10月1日首次启动了全欧洲的试点项目——“欧洲网络安全月”(ECSM)活动。从2013年开始,欧盟委员会正式将每年10月定为“欧洲网络安全月”,其活动时间与美国相似,也是每年的10月份,其目标是旨在提升公众网络安全意识,改善他们对网络安全威胁的理解,利用电视或电台每日广告、社交媒体活动、有奖竞猜、新闻报道、会议研讨、学生交流会等平台,向公众提供最新的网络安全信息。英国教育部在2013年8月发表声明称,将设置新课程,确保英国儿童从5岁起就开始接受“如何在网上保护自身安全、如何互相尊重、如何更安全地交流”等系列网络安全教育。2014年9月,一项新的有关计算机的课程将进入英国小学,以帮助小学生学习如何更加安全地使用科技,确保个人隐私安全。2014年10月,英国政府宣布开设免费网上培训课程,帮助英国企业提高防范网络攻击的能力。培训对象主要是律师和会计行业,培训内容主要包括如何防范和处理常见的网络安全威胁,如何保护数字信息等。

3对我国开展网络信息安全人才培养的启示

3.1及时出台我国网络信息安全人才培养战略及各种配套政策

虽然国务院在2012年印发的《关于大力推进信息化发展和切实保障信息安全的若干意见》中就提出了要大力支持信息安全学科师资队伍、专业院系、学科体系、重点实验室建设。但相比美国的《网络空间安全教育计划》、《国家网络安全人员框架》、《欧洲网络信息安全教育项目路线图》等战略文件,我国的相关文件或者讲话精神还有待深入研究后,结合我国大力建设网络强国的大背景推出中国版的网络信息安全人才培养战略。与此同此,还需出台一批与之相配套的政策,比如教育部学位办在将网络信息安全专业的学科地位提升至一级学科的高度后,要为其配备师资、学位点、招生人数、研究教育经费等资源,另外还可从小学阶段开始,增加与网络信息安全有关的课程;人力资源保障部门尽快研究出台面向公共部门的网络信息安全从业人员更有吸引力的薪酬激励制度,既让现有从业人员能够安心本职工作,又能够实现包括“白帽黑客”在内在的各种高技术人才回流。

3.2为网络信息安全教育工作者提供良好的继续教育机会,改善师资水平

网络信息安全教育工作者对网络信息安全人才培养发挥着举足轻重的作用。但目前我国各级各类学校中的网络信息安全教育工作者非常缺乏,有些院校的专业核心课程往往是由相关专业的专任教师兼任,这大大降低了教学效果。其次,很多教育工作者缺乏动手操作能力和实战能力的训练,在授课过程中往往只重视讲授理论知识点。第三,网络信息安全领域的知识点更新较快,其知识储备需要定期加以更新。因此,为他们提供多样化的继续教育势在必行。首先,可鼓励他们到国内外高等院校、重点企业从事博士后研究、攻读博士学位或参加短期研修班;其次,可在现有国家精品课程中筛选出一批与网络信息安全有关的课程录像,让广大教育工作者仔细观摩学习,并适时对他们的教学实践进行评估;第三,可由教育部牵头,从全国遴选出一批尚未入选国家精品课程的网络信息安全教育工作者,为他们录制有关教学视频,并将这些视频采用大规模在线开放课程(MOOCs)形式向他们推广,借此提升他们的专业水平和教学水平。

3.3研究编制我国的网络信息安全课程体系,并组织专家编写高质量的教材

网络信息安全专业越来越具有跨学科和多面性的性质,涉及的知识领域跨越计算机科学、数学、法学、犯罪学等学科。不同学科的关注视角存在较大差异,因此在研究编制我国的网络信息安全课程体系时要尽可能地将这些差异协调起来。美国《国家网络安全人员框架》和英国《网络信息安全专业人员认证指南》是对相关技能的一种有效归类,是建设网络信息安全课程体系的良好起点,值得深入研究。虽然我国市场上以“网络信息安全”、“网络安全”、“信息安全”为名的教材比较多,但是能为广大学生和网络信息安全从业者广泛接受的教材还是偏少,现有教材存在过度强调网络信息安全防范操作理论,较少关注网络信息安全法律、规范、标准等网络信息安全管理内容,在后续写教材时,要对现有忽视部分加大关注力度,提高编写质量,让广大学生和网络信息安全从业者提高对教材内容的兴趣。

3.4适时增加全国计算机等级考试中网络信息安全的内容比重,让网络信息安全素养成为求职、晋升的必备要素

许多单位部门已把掌握一定的计算机知识和应用技能作为上岗资格、干部录用、职称评定、职务晋升的重要依据之一。随着我国对信息通信技术的不断加大投入和社会信息化程度的不断提升,我国各行各业遭受网络信息安全挑战的几率越来越大,这也意味着对潜在求职者在网络信息安全素养方面的要求越来越高。国家教育部应该对计算机基础教育课程体系及全国计算机等级考试做出适应时代变化的全新调整,适时增加网络信息安全相关知识点的考察内容比重,尤其是增加培养潜在求职者的操作能力和解决实际问题的能力,进一步提升全国计算机等级考试合格证书的含金量。

3.5进一步发挥网络安全宣传周的作用,进一步提升公众网络信息安全素养

虽然我国首届网络安全宣传周在各界的大力支持下已经于2014年圆满落幕,上海也已经顺利举办多届信息安全周,已经逐步提升公众的网络信息安全素养,但与国外的网络安全月相比,还存在一些差距,比如国外的网络安全月在主题的选择上更为多元,内容更为丰富,形式更为活泼,参加群体的覆盖面更为宽广和具体,举办的时间更长等。我国在今后开展网络安全宣传周,除了要在国家层面多举办一些活动外,更要将这些活动下沉到省市、自治区乃至地市级层面,通过设立专门培训和互动网站、发行公共出版物、发放指南或手册、举办公益讲座、进行安全知识海报评比、举行安全知识竞赛和网络攻防演练、播放网络视频或电视广播等形式让更多公众能够参与其中,切实提升他们的网络信息安全素养。

参考文献:

[1]刘金芳,冯伟,刘权.我国信息安全人才培养现况观察[J].信息安全与通信保密,2014(5):26-28.

[2]赵倩,刘峰,林东岱.美国网络空间安全教育战略计划[J].中国信息安全,2014(8):91-94

[3]RoadmapforNISeducationprogrammesinEurope[OLS].https://www.enisa.europa.eu/activities/stakeholder-relations/nis-bro⁃kerage-1/roadmap-for-nis-education-programmes-in-europe

[4]王星.英国网络安全人才队伍建设体制研究[J].中国信息安全,2015(11).

[5]马建光,张乃千.网战:俄军瞄准“第六代战争”布局[OL].www.81.cn/rd/2016-02/26/content_6929347.htm

[6]俄联邦委员会拟利用“白色黑客”应对网络攻击[OL].www.chinanews.com/gj/2014/01-26/5780781.shtml

[7]李淼.美国信息安全教育和意识培训研究[J].中国信息安全,2012(5):72-75.

作者:罗力 单位:上海社会科学院信息研究所