文 | 永信至誠(chéng)科技集團(tuán)股份有限公司副總裁 付磊
2015年�����,國(guó)務(wù)院學(xué)位委員會(huì)批準(zhǔn)在“工學(xué)”門(mén)類(lèi)下增設(shè)“網(wǎng)絡(luò)空間安全”一級(jí)學(xué)科��,至今已滿(mǎn)十周年���。在這十年間,伴隨國(guó)家數(shù)字化轉(zhuǎn)型和智能化戰(zhàn)略的深入推進(jìn)��,網(wǎng)絡(luò)空間安全人才隊(duì)伍不僅實(shí)現(xiàn)了規(guī)模上的跨越式發(fā)展�,更被賦予了日益重要的戰(zhàn)略使命。當(dāng)前��,社會(huì)各界對(duì)網(wǎng)絡(luò)安全人才的關(guān)注重點(diǎn)���,已從最初的“發(fā)現(xiàn)人才”“培養(yǎng)人才”�,逐步演進(jìn)為系統(tǒng)性的“評(píng)價(jià)人才”與“發(fā)展人才”�����,這標(biāo)志著我國(guó)網(wǎng)絡(luò)安全人才培養(yǎng)機(jī)制建設(shè)進(jìn)入了更深層次的探索階段���。
作為一門(mén)極具實(shí)踐特性的工學(xué)學(xué)科��,網(wǎng)絡(luò)空間安全在人才識(shí)別與評(píng)價(jià)方面仍面臨諸多獨(dú)特挑戰(zhàn)�����。一是評(píng)價(jià)體系存在單一化傾向��,通常局限于試卷考試��、技能競(jìng)賽�����、資格認(rèn)證或項(xiàng)目經(jīng)驗(yàn)等單一形式�,缺乏系統(tǒng)性整合;二是評(píng)價(jià)結(jié)果難以實(shí)現(xiàn)科學(xué)量化��,制約了精準(zhǔn)評(píng)估與比較���;三是評(píng)價(jià)過(guò)程的可信度與公正性有待提升��;四是專(zhuān)業(yè)化評(píng)價(jià)環(huán)境的缺失制約著人才培養(yǎng)質(zhì)量的提升����,成為領(lǐng)域發(fā)展的突出瓶頸����;五是評(píng)價(jià)標(biāo)準(zhǔn)在不同應(yīng)用場(chǎng)景下缺乏靈活性與適應(yīng)性。因此�����,如何構(gòu)建科學(xué)合理的網(wǎng)絡(luò)安全人才評(píng)價(jià)體系����,既是學(xué)科發(fā)展的內(nèi)在需求,更是推動(dòng)該領(lǐng)域高質(zhì)量發(fā)展的關(guān)鍵課題���。
一���、全球視野:在發(fā)展實(shí)踐中探索實(shí)用標(biāo)準(zhǔn)
隨著網(wǎng)絡(luò)空間成為繼陸、海��、空�、天之后的第五大主權(quán)領(lǐng)域空間,各國(guó)對(duì)網(wǎng)絡(luò)安全人才評(píng)價(jià)的重視度與日俱增�,在此背景下,全球主要經(jīng)濟(jì)體通過(guò)實(shí)踐探索逐步形成各具特色的人才評(píng)價(jià)標(biāo)準(zhǔn)體系���。2017年�����,美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)牽頭制定了《NICE網(wǎng)絡(luò)安全人才隊(duì)伍框架》(NCWF框架)����。歷經(jīng)多次迭代形成的2023版框架���,基于網(wǎng)絡(luò)空間安全工作生命周期�,將人才分為6類(lèi)�����、50個(gè)角色,并明確界定了各角色的任務(wù)����、知識(shí)、技能和能力��,現(xiàn)已成為聯(lián)邦政府機(jī)構(gòu)網(wǎng)絡(luò)安全人才配置的法定參照標(biāo)準(zhǔn)����。2022年,歐盟網(wǎng)絡(luò)安全局聯(lián)合14個(gè)成員國(guó)發(fā)布《歐洲網(wǎng)絡(luò)安全技能框架》(ECSF)��,不僅明確定義了12個(gè)相關(guān)角色及任務(wù)����、成果、知識(shí)技能等�,該框架還與歐盟ICT人員能力評(píng)估框架e-CF進(jìn)行了有效映射,進(jìn)一步提升了通用性和指導(dǎo)性�。在人才認(rèn)證領(lǐng)域,由國(guó)際信息系統(tǒng)安全認(rèn)證聯(lián)盟(ISC) 2提出的信息系統(tǒng)安全專(zhuān)業(yè)認(rèn)證(CISSP)���、信息系統(tǒng)審計(jì)與管控協(xié)會(huì)提出的注冊(cè)信息系統(tǒng)審計(jì)師認(rèn)證(CISA)�,憑借完善的知識(shí)體系、技術(shù)先進(jìn)性�、評(píng)價(jià)標(biāo)準(zhǔn)化,獲得全球多個(gè)國(guó)家和地區(qū)的認(rèn)可�����、采納�。
我國(guó)自2002年啟動(dòng)信息安全人才專(zhuān)業(yè)認(rèn)證體系建設(shè)以來(lái)���,已形成覆蓋基礎(chǔ)理論�����、技術(shù)應(yīng)用與管理實(shí)踐的認(rèn)證矩陣��,包含注冊(cè)信息安全專(zhuān)業(yè)人員(CISP)�、信息安全保障人員認(rèn)證(CISAW)等國(guó)家級(jí)認(rèn)證�。在人才實(shí)戰(zhàn)能力培養(yǎng)和認(rèn)證方面,引入了奪旗賽(CTF)以及衍生出攻防賽(AWDPLUS)����、人工智能漏洞挖掘賽(RHG)等項(xiàng)目,長(zhǎng)城杯、網(wǎng)鼎杯���、春秋杯等品牌賽事年均吸引逾萬(wàn)名選手參與���,形成“以賽促學(xué)、以賽驗(yàn)?zāi)?/span>”的良性循環(huán)�。
值得關(guān)注的是,國(guó)家網(wǎng)絡(luò)安全宣傳周自2022年起���,連續(xù)三年發(fā)布《網(wǎng)絡(luò)安全人才實(shí)戰(zhàn)能力白皮書(shū)》系列報(bào)告���,通過(guò)大量一線(xiàn)調(diào)研數(shù)據(jù)及網(wǎng)絡(luò)安全人才測(cè)評(píng)演練成果,呈現(xiàn)出供給側(cè)�、需求側(cè)網(wǎng)絡(luò)安全人才的基本情況、培養(yǎng)情況��、評(píng)價(jià)情況和人才需求�,結(jié)合專(zhuān)家實(shí)戰(zhàn)經(jīng)驗(yàn),構(gòu)建了理論與實(shí)踐相結(jié)合的網(wǎng)絡(luò)安全人才實(shí)戰(zhàn)能力建設(shè)及測(cè)試路徑��,在指標(biāo)構(gòu)建和框架設(shè)計(jì)方面均達(dá)到國(guó)際領(lǐng)先水平�����。
二、范式革新:四位一體的網(wǎng)絡(luò)安全人才評(píng)價(jià)維度
作為高度交叉的前沿領(lǐng)域�,網(wǎng)絡(luò)空間安全已發(fā)展成為融合計(jì)算機(jī)科學(xué)、密碼學(xué)��、數(shù)學(xué)��、通信工程等多學(xué)科于一體的綜合性應(yīng)用技術(shù)學(xué)科����,呈現(xiàn)出兩大顯著特征。一是“實(shí)踐性強(qiáng)”���,理論知識(shí)必須通過(guò)實(shí)操才能轉(zhuǎn)化為攻防實(shí)戰(zhàn)能力。近年國(guó)家攻防實(shí)戰(zhàn)演練數(shù)據(jù)顯示��,部分持有高級(jí)認(rèn)證的技術(shù)人員在真實(shí)對(duì)抗場(chǎng)景中暴露出能力短板�,這實(shí)質(zhì)反映了傳統(tǒng)筆試考核體系與實(shí)際作戰(zhàn)需求間的結(jié)構(gòu)性偏差。二是“技術(shù)迭代快”�����,隨著云計(jì)算����、人工智能技術(shù)的普及,零信任架構(gòu)、量子加密技術(shù)的興起���,網(wǎng)絡(luò)安全的技術(shù)版圖正在重構(gòu)��。同時(shí)��,網(wǎng)絡(luò)攻擊技術(shù)也在急劇演變�。因此��,網(wǎng)絡(luò)安全人才評(píng)價(jià)必須突破單一維度的局限��,構(gòu)建多維評(píng)價(jià)體系�����。
基于上述背景���,我們?cè)趯?shí)踐過(guò)程中構(gòu)建了四位一體的人才評(píng)價(jià)體系�����,包括意識(shí)(Awareness)���、技能(Skill)���、知識(shí)(Knowledge)、實(shí)踐(Practice)四個(gè)維度�����。意識(shí)維度主要考察人才的政治素養(yǎng)���、思想道德�、職業(yè)操守����,以及對(duì)網(wǎng)絡(luò)安全威脅的認(rèn)知、個(gè)人信息保護(hù)意識(shí)和網(wǎng)絡(luò)攻擊防范意識(shí)�;技能維度聚焦人才在實(shí)際操作和應(yīng)對(duì)網(wǎng)絡(luò)安全問(wèn)題時(shí)所運(yùn)用的技術(shù)訣竅和工具;知識(shí)維度涵蓋網(wǎng)絡(luò)安全法律法規(guī)�����、基礎(chǔ)理論�����、威脅識(shí)別與防護(hù)等知識(shí)體系�����;實(shí)踐維度則重點(diǎn)評(píng)估人才在現(xiàn)實(shí)工作中����,將知識(shí)和技能相結(jié)合,運(yùn)用各種技術(shù)和非技術(shù)手段解決實(shí)際問(wèn)題的能力�����。四維要素緊密結(jié)合���,既考慮了網(wǎng)絡(luò)安全的學(xué)科特性��,又回應(yīng)了時(shí)代發(fā)展的需求�����。
三���、適才而用:構(gòu)建人才分類(lèi)分級(jí)評(píng)價(jià)體系
在數(shù)字化轉(zhuǎn)型加速、網(wǎng)絡(luò)暴露面指數(shù)級(jí)擴(kuò)大的背景下�,傳統(tǒng)單一且粗放的人才評(píng)價(jià)機(jī)制已難以滿(mǎn)足網(wǎng)絡(luò)安全產(chǎn)業(yè)對(duì)復(fù)合型、創(chuàng)新型人才的迫切需求�����。因此,實(shí)施精準(zhǔn)的人才分類(lèi)分級(jí)評(píng)價(jià)�����,成為構(gòu)建網(wǎng)絡(luò)安全人才梯隊(duì)���、推動(dòng)行業(yè)高質(zhì)量發(fā)展的核心路徑�。
基于技術(shù)架構(gòu)和業(yè)務(wù)場(chǎng)景的差異�����,網(wǎng)絡(luò)安全人才評(píng)價(jià)對(duì)象可劃分為多個(gè)專(zhuān)業(yè)類(lèi)別���。依據(jù)全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)提出的《信息安全技術(shù) 網(wǎng)絡(luò)安全從業(yè)人員能力基本要求》(GB/T 42446-2023)�����,人才按工作內(nèi)容可劃分為網(wǎng)絡(luò)安全管理���、網(wǎng)絡(luò)安全建設(shè)�、網(wǎng)絡(luò)安全運(yùn)營(yíng)����、網(wǎng)絡(luò)安全審計(jì)和評(píng)估����,以及網(wǎng)絡(luò)安全科研教育五類(lèi)。其中�,網(wǎng)絡(luò)安全管理崗負(fù)責(zé)網(wǎng)絡(luò)安全統(tǒng)籌規(guī)劃和管理,開(kāi)展網(wǎng)絡(luò)安全需求分析�����、規(guī)劃和管理�、數(shù)據(jù)安全及個(gè)人信息保護(hù)等工作任務(wù),有效管控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)�;網(wǎng)絡(luò)安全審計(jì)和評(píng)估崗則需通過(guò)滲透測(cè)試等手段,審計(jì)或評(píng)估對(duì)象在網(wǎng)絡(luò)安全方面的脆弱性�,并給出改進(jìn)方向,主要工作內(nèi)容包括網(wǎng)絡(luò)安全審計(jì)�����、網(wǎng)絡(luò)安全測(cè)試���、網(wǎng)絡(luò)安全評(píng)估���、網(wǎng)絡(luò)安全認(rèn)證等�����。
根據(jù)能力水平的差異�����,同一崗位的人才能力應(yīng)實(shí)施等級(jí)評(píng)價(jià)�����,通??蓜澐譃槌跫?jí)��、中級(jí)和高級(jí)三個(gè)等級(jí)��。以網(wǎng)絡(luò)安全審計(jì)和評(píng)估方向的滲透測(cè)試工程師為例�,初級(jí)人員要熟悉常見(jiàn)漏洞利用和攻擊技術(shù),掌握黑盒�、白盒、灰盒等滲透測(cè)試方法�;中級(jí)人員應(yīng)熟悉基本的加解密技術(shù)及滲透測(cè)試技術(shù)前沿發(fā)展趨勢(shì),能夠定制開(kāi)發(fā)測(cè)試工具,確保復(fù)雜滲透測(cè)試項(xiàng)目的順利實(shí)施�����;高級(jí)人員需具備跨領(lǐng)域協(xié)同能力�,能夠統(tǒng)籌協(xié)調(diào)大規(guī)模����、多業(yè)務(wù)、高防護(hù)場(chǎng)景的滲透測(cè)試項(xiàng)目實(shí)施����,并推動(dòng)創(chuàng)新方案落地。
結(jié)合各類(lèi)人才發(fā)展需求���,每個(gè)等級(jí)還可進(jìn)一步細(xì)分為二或三層�,即遵循“三級(jí)九層”的概念�。通過(guò)這種多層次、分梯隊(duì)的人才評(píng)價(jià)體系��,有助于用人單位更精準(zhǔn)地發(fā)掘人才潛能���,激活人力資源����,構(gòu)建起塔頂尖、塔體強(qiáng)��、塔基厚的人才金字塔結(jié)構(gòu)��。
四����、閾值賦能:科學(xué)、動(dòng)態(tài)設(shè)置人才評(píng)價(jià)指標(biāo)
在構(gòu)建四位一體的網(wǎng)絡(luò)安全人才評(píng)價(jià)體系過(guò)程中���,科學(xué)����、動(dòng)態(tài)地設(shè)定各維度評(píng)價(jià)指標(biāo)的閾值至關(guān)重要�����。這一過(guò)程需要充分考慮不同崗位類(lèi)型和人才層級(jí)的差異化需求�����,從而建立起動(dòng)態(tài)可調(diào)的量化評(píng)估標(biāo)準(zhǔn)���。以滲透測(cè)試工程師為例���,在初級(jí)人才評(píng)價(jià)中��,實(shí)踐維度(P)的閾值可設(shè)定為至少參與過(guò)3個(gè)真實(shí)項(xiàng)目的滲透測(cè)試工作,發(fā)現(xiàn)并驗(yàn)證10個(gè)以上中高危漏洞��;而對(duì)于高級(jí)人才�,則要求至少主導(dǎo)過(guò)5個(gè)大型復(fù)雜系統(tǒng)的滲透測(cè)試項(xiàng)目,具備發(fā)現(xiàn)并利用0day漏洞的能力���,同時(shí)具備編寫(xiě)定制化滲透工具的能力�。
在指標(biāo)設(shè)定過(guò)程中��,需遵循以下幾個(gè)關(guān)鍵原則:一是差異化原則����。例如,初級(jí)崗位應(yīng)適當(dāng)提高技能(S)的權(quán)重����,而高級(jí)崗位則需強(qiáng)化實(shí)踐維度(P)的考核;二是動(dòng)態(tài)調(diào)整原則�。各維度閾值應(yīng)每年根據(jù)技術(shù)發(fā)展趨勢(shì)進(jìn)行修訂�,例如隨著人工智能技術(shù)的普及�,新增了對(duì)人工智能應(yīng)用技能的考核要求;三是可驗(yàn)證原則���。所有指標(biāo)都應(yīng)有明確的驗(yàn)證方法����,例如通過(guò)國(guó)家級(jí)攻防演練成績(jī)�����、漏洞平臺(tái)提交記錄等客觀(guān)數(shù)據(jù)加以佐證�����。
特別需要強(qiáng)調(diào)的是�,在高級(jí)人才評(píng)價(jià)中,應(yīng)建立“技術(shù)貢獻(xiàn)度”指標(biāo)�����,重點(diǎn)考察其在技術(shù)創(chuàng)新����、標(biāo)準(zhǔn)制定�、工具研發(fā)等方面的實(shí)際貢獻(xiàn)�。例如,某安全專(zhuān)家開(kāi)發(fā)的自動(dòng)化滲透工具若被行業(yè)廣泛采用�,這種實(shí)質(zhì)性貢獻(xiàn)應(yīng)給予更高權(quán)重。同時(shí)�����,對(duì)于領(lǐng)軍型人才��,還需評(píng)估其在人才培養(yǎng)方面的貢獻(xiàn)��,如指導(dǎo)團(tuán)隊(duì)成員取得的專(zhuān)業(yè)技術(shù)突破����。
總而言之���,網(wǎng)絡(luò)安全人才評(píng)價(jià)不能一概而論�����。在不同行業(yè)和不同場(chǎng)景下�����,具備不同能力的人才均應(yīng)有施展才華的空間����。
五、落地實(shí)踐:構(gòu)建“測(cè)評(píng)-改進(jìn)-驗(yàn)證”的人才發(fā)展閉環(huán)
當(dāng)前��,我國(guó)網(wǎng)絡(luò)安全人才存在較大缺口�,特別是持續(xù)測(cè)評(píng)與發(fā)展機(jī)制方面亟待完善。構(gòu)建科學(xué)的人才持續(xù)測(cè)評(píng)體系�,已成為完善網(wǎng)絡(luò)安全人才評(píng)價(jià)機(jī)制的重要環(huán)節(jié)。
借助行業(yè)靶場(chǎng)與行業(yè)人才測(cè)評(píng)數(shù)字風(fēng)洞相結(jié)合的方式�����,用人單位可以采用周期性的測(cè)評(píng)體系�����,例如“一月一測(cè)驗(yàn)�����、一季度一競(jìng)賽�、半年一演練”。每月開(kāi)展一次理論知識(shí)測(cè)驗(yàn)�,動(dòng)態(tài)更新政策法規(guī)���、前沿技術(shù)等考題,促使人才主動(dòng)更新知識(shí)庫(kù)和技術(shù)棧���;每季度一次競(jìng)賽���,圍繞企業(yè)安全業(yè)務(wù)場(chǎng)景,設(shè)計(jì)具體的測(cè)評(píng)任務(wù)����,依據(jù)任務(wù)完成情況,判斷能力等級(jí)�����,推動(dòng)網(wǎng)絡(luò)安全人才持續(xù)為業(yè)務(wù)安全可靠服務(wù)�����;半年一次演練����,通過(guò)跨部門(mén)的協(xié)同作業(yè)�����,考察人才的戰(zhàn)略決策能力及團(tuán)隊(duì)溝通能力,確保人才在面對(duì)真實(shí)的網(wǎng)絡(luò)威脅時(shí)�,能夠迅速響應(yīng)并有效應(yīng)對(duì)。
六���、結(jié) 語(yǔ)
網(wǎng)絡(luò)安全人才評(píng)價(jià)體系的構(gòu)建與實(shí)踐�,是推動(dòng)我國(guó)網(wǎng)絡(luò)空間安全事業(yè)發(fā)展的關(guān)鍵���。我們應(yīng)立足國(guó)情���,結(jié)合行業(yè)實(shí)際,構(gòu)建科學(xué)合理����、多維全面的評(píng)價(jià)體系,確保人才評(píng)價(jià)的客觀(guān)性��、公正性和適應(yīng)性�����。同時(shí),通過(guò)落地實(shí)踐����,形成“測(cè)評(píng)-改進(jìn)-驗(yàn)證”的閉環(huán),促進(jìn)人才的持續(xù)發(fā)展與成長(zhǎng)���,為網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略提供堅(jiān)實(shí)的人才支撐���。未來(lái),隨著技術(shù)的不斷進(jìn)步和應(yīng)用場(chǎng)景的日益復(fù)雜�,網(wǎng)絡(luò)安全人才評(píng)價(jià)體系也應(yīng)不斷創(chuàng)新,以適應(yīng)新的挑戰(zhàn)和需求�,共同守護(hù)國(guó)家網(wǎng)絡(luò)空間的安全與穩(wěn)定。
(本文刊登于《中國(guó)信息安全》雜志2025年第2期)
等保測(cè)評(píng)咨詢(xún)
