歐美網絡信息安全人才培養(yǎng)啟發(fā)

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了歐美網絡信息安全人才培養(yǎng)啟發(fā)范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：隨著新興信息技術的快速發(fā)展和社會信息化的深度普及，一系列網絡信息安全問題對國家安全、經濟穩(wěn)定、民眾生活造成了嚴重威脅。若想有效降低具備高技術對抗特色的網絡信息安全風險，其關鍵環(huán)節(jié)是要認真培養(yǎng)各個層次的網絡信息安全人才。該文對美歐各國網絡信息安全人才培養(yǎng)戰(zhàn)略和實踐進行梳理，并從戰(zhàn)略及配套政策、繼續(xù)教育、課程體系、信息安全素養(yǎng)等方面對我國的網絡信息安全人才培養(yǎng)提出建議。

關鍵詞：信息安全；人才；教育；信息安全素養(yǎng)

1全球網絡信息安全人才培養(yǎng)的時代背景

隨著網絡信息技術的快速發(fā)展和社會信息化的深度普及，政府部門、交通、能源、航空、金融、通信、醫(yī)療等系統(tǒng)的運營越來越依賴網絡信息系統(tǒng)。在信息社會背景下，信息已經演化成為國家戰(zhàn)略資源，與物質、能源共同組成了人類社會賴以生存和發(fā)展的三大基礎要素。由于網絡信息技術的固有缺陷和人為因素，網絡信息基礎設施受損、網絡數(shù)據盜竊等一系列網絡信息安全問題對國家安全、經濟穩(wěn)定、民眾生活造成了嚴重威脅，引發(fā)全球社會尤其是歐美各國的高度關注，并已經成為一個全球性的熱點問題。若想有效降低具備高技術對抗特色的網絡信息安全風險，則要大力發(fā)展信息產業(yè)，彌補信息技術漏洞，降低人為因素可發(fā)揮的空間，其關鍵環(huán)節(jié)是要將各個層次的網絡信息安全人才培養(yǎng)好。網絡信息安全人才主要是指分布在各級行政、企事業(yè)單位、信息中心、數(shù)據中心、互聯(lián)網接入單位、科研院所等機構中從事信息安全或計算機網絡安全技術工作的人員統(tǒng)稱，他們一般要求能夠熟練運用基本技能和專門技能完成較為復雜的網絡信息安全保障工作，能夠獨立處理和維護網絡信息安全保障工作中出現(xiàn)的常見問題[1]。2014年2月，中央網絡安全和信息化領導小組成立，強調，要擁有高素質的網絡安全和信息化人才隊伍，即要把人才資源匯聚起來，建設一支政治強、業(yè)務精、作風好的強大隊伍，要培養(yǎng)造就世界水平的科學家、網絡科技領軍人才、卓越工程師、高水平創(chuàng)新團隊。本文將著重分析近年來美國、歐盟、英國和俄羅斯等歐美國家在網絡信息安全人才培養(yǎng)方面的各種努力，以期能為我國更好地培養(yǎng)網絡信息安全人才有所借鑒。鑒于目前國內外學術領域和政府正式報告文本存在網絡安全、網絡信息安全、網絡空間安全、信息安全等多種稱謂，本文主要使用網絡信息安全進行表述，對其他稱謂也不作特意區(qū)分。

2歐美各國網絡信息安全人才培養(yǎng)進展

2.1歐美各國網絡信息安全人才培養(yǎng)進展概述

作為全球網絡信息技術最發(fā)達、社會信息化程度最高的國家，美國對網絡信息安全領域面臨的巨大挑戰(zhàn)有著清醒的認識，從20世紀90年代后期就開始著手研究各種網絡信息安全人才培養(yǎng)對策，并隨著形勢的發(fā)展變化逐步將這一問題上升為國家戰(zhàn)略的高度。美國早在2003年就首次從國家層面將提高網絡安全意識與培訓計劃寫入了《網絡空間安全國家戰(zhàn)略》。歐盟委員會很早就從戰(zhàn)略高度關注網絡信息安全問題，早在2004年就成立了“歐洲網絡與信息安全局”（ENISA），并賦予該部門強制性介入成員國網絡信息安全戰(zhàn)略的角色，負責組織、協(xié)調歐盟各成員國的網絡信息安全戰(zhàn)略規(guī)劃、實踐、基礎設施保護和應急響應等工作，包括各成員國為了提升國民信息安全素養(yǎng)應當采取的各項措施。英國是所有G20國家中第一個具備抵御網絡攻擊能力的國家，其在2009年6月出臺了首個國家網絡安全戰(zhàn)略，指出要提高各級政府對網絡安全的認識。作為歐洲第一網絡大國的俄羅斯，在《俄羅斯聯(lián)邦憲法》中，將信息安全被納入了國家安全管理范圍，并在其信息安全綱領性文件《國家信息安全學說》中指出，信息安全是國家安全的基礎，要著力構建從學歷教育到在職教育的人才培養(yǎng)體系。

2.2歐美各國網絡信息安全人才培養(yǎng)戰(zhàn)略及實踐

2010年4月，美國國家標準與技術研究院（NIST）了《網絡安全教育戰(zhàn)略計劃》（NICE），并與國土安全部、國防部、教育部、國家科學基金會、國家情報總監(jiān)辦公室等共同領導推動該計劃的實施。該計劃共包括國家網絡安全意識模塊、正規(guī)網絡安全教育模塊、網絡安全人才架構模塊、網絡安全人才培訓和職業(yè)發(fā)展模塊等四大模塊。國家網絡安全意識模塊是由美國國土安全部牽頭負責，主要通過開展“停止-思考-連接”（stop-think-connect）活動，來增加美國公眾對網絡安全威脅的了解，提升公眾的網絡安全意識。正規(guī)網絡安全教育模塊是由美國教育部和國家科學基金會共同負責，主要是增加側重于科學、技術、工程和數(shù)學等領域的正規(guī)網絡安全教育活動項目，為國家培養(yǎng)網絡安全研究人員、網絡安全專業(yè)人才、網絡安全技能人才和具有網絡安全意識的公民，擴大政府部門和私營企業(yè)的專業(yè)技術人才后備力量。網絡安全人才架構模塊仍然由美國國土安全部統(tǒng)一領導，主要側重于網絡安全專業(yè)人才的評價和管理工作。網絡安全人才培訓和職業(yè)發(fā)展模塊則是由美國國家情報總監(jiān)辦公室、國防部和國土安全部共同領導，通過協(xié)調地方政府、工業(yè)界、私營部門和學術界，共同制定國家網絡安全人才所需的網絡安全培訓和職業(yè)發(fā)展過程。NICE作為一個專門的國家網絡信息安全教育計劃，充分表達了美國對網絡信息安全人才培養(yǎng)的重視。2013年3月，《國家網絡安全人員框架》將網絡信息安全專業(yè)人員劃分為安全提供、運行維護、保護防御、安全調查、搜集行動、安全分析和監(jiān)督發(fā)展等7大類31個專業(yè)，并詳細定義了每個專業(yè)的主要工作任務以及應具備的專業(yè)知識、技術和能力[2]。歐盟委員會在2010年8月出臺了《數(shù)字歐洲計劃》，并專門開辟了“可信與安全”章節(jié)來闡述提升公眾網絡安全防范意識和能力的重要性以及各成員國應當采取的各項措施，具體包括（1）要求歐洲網絡與信息安全局在2013年提出一份“網絡安全資格”實施建議，提高信息技術行業(yè)人員的業(yè)務能力；（2）計劃2014年開始舉辦網絡安全錦標賽，鼓勵大學生參與網絡安全建設；（3）要求各成員國從2013年起每年舉辦“網絡安全月”，制定國家網絡安全培訓計劃，并從2014年起在學校提供網絡安全培訓課程，為計算機專業(yè)的大學生提供專門的網絡安全培訓，為政府公務人員提供基礎培訓。歐盟網絡與信息安全局還在2014年10月了《歐洲網絡信息安全教育項目路線圖》（RoadmapforNISeducationprogrammesinEurope），該報告的重點用戶是網絡信息安全教育領域的教育工作者。其次是網絡信息安全教育領域的政策制定者，他們能夠決定哪些課程應該進入教育領域。該報告建議針對公眾出臺網絡信息安全教育領域的“歐洲通行證”（Europass）；為廣大教師部署更好的繼續(xù)教育項目，強化他們的多種角色；歐洲有關組織和部門應該開始開發(fā)網絡信息安全大規(guī)模在線開放課程（MOOCs）；為健康領域的實踐者、律師和數(shù)字安全專家、中小企業(yè)的有關人員以及數(shù)字取證方面的繼續(xù)專業(yè)人才提供一系列網絡信息安全培訓課程[3]。英國則在2011年11月出臺了《網絡安全戰(zhàn)略》，并決定撥付6.5億英鎊專項資金支持今后4年的網絡安全技術和法律行動實施。該戰(zhàn)略文件詳細描繪了英國2015年網絡安全前景和行動方案實施細則。后者包括政策導向、執(zhí)法體系、機構合作、技術培訓、人才培養(yǎng)、市場培育以及國際合作等具有很強可操作性的7個方面。2013年4月，英國政府決定在劍橋大學建立全球網絡安全中心，幫助各國制定應對網絡威脅的綜合計劃。2013年5月，英國政府又決定向牛津大學和倫敦大學撥款750萬英鎊，合作開發(fā)對抗虛擬攻擊的專門技術，培訓網絡安全專家。2013年10月，新成立的英國聯(lián)合網絡儲備局指出，如果已被定罪的計算機黑客能通過安全審查，他們可能被招募到該機構中任職，并將從后備部隊中招募數(shù)百人組成計算機專家組與常規(guī)部隊協(xié)同作戰(zhàn)。2014年3月，英國政府還出臺了《網絡信息安全專業(yè)人員認證指南》，規(guī)定了政府公共部門及其合同廠商的網絡信息安全專業(yè)人員職責和技術能力要求，明確信息保障人員的遴選、培訓和管理辦法。該框架將網絡信息安全專業(yè)人員分為安全評估師、信息保障審計師、信息保障架構師、安全和信息風險咨詢師、IT安全官、通信安全官和滲透測試員等7大類[4]。俄羅斯將網絡信息安全領域的信息安全、計算機安全、信息安全自動化系統(tǒng)、信息安全分析系統(tǒng)、電視通信系統(tǒng)的信息安全、信息防御系統(tǒng)方法和密碼學等7個專業(yè)作為國家教育和科技工作的優(yōu)先發(fā)展方向。2013年3月，俄羅斯國防部將成立由大學生組建的科技連，負責對外國網絡攻擊進行檢測，防范各種網絡威脅。同年7月，兩支科技連開始在莫斯科周邊及沃羅涅日茹科夫斯基空軍學院服役。他們還開始面向社會招募非軍事高校畢業(yè)的青年編程員，并在未來五年內為軍方開發(fā)所需的軟件產品[5]。俄羅斯也積極利用“白色黑客”，即無犯罪前科且擁有能夠發(fā)現(xiàn)系統(tǒng)漏洞豐富經驗的網絡專家的服務，來應對網絡攻擊。這些“白色黑客”將對政府部門的網站防護能力進行定期檢查，并建立防御外部國家級或企業(yè)級針對俄羅斯信息系統(tǒng)發(fā)起的計算機攻擊檢測系統(tǒng)[6]。

2.3歐美各國網絡信息安全意識提升策略

美國從2002年起，將每年的10月份定為“全國網絡安全意識月”，旨在提升公眾的網絡信息安全意識，教育公眾都應當為確保網絡空間安全做出貢獻。每年的“全國網絡安全意識月”都設有特定主題，并且該月的每周都會設置特定的關鍵主題。以2014年10月的“全國網絡安全意識月”為例，第一周的活動主題是“停止-思考-連接”活動，即要倡導安全的上網活動，其重點是提供了諸如設置足夠強度的密碼，而且不要與任何人共享；保持計算機操作系統(tǒng)、瀏覽器和其他關鍵軟件及時升級更新；盡量減少在互聯(lián)網上提供個人信息，并且使用隱私設置來避免信息泄漏等建議。第二周的活動主題是“安全開發(fā)信息技術產品”，重點是教育公眾在計算機、平板電腦、智能手機等信息技術產品開發(fā)過程中嵌入注入網絡信息安全方面的要素。第三周的活動主題是“關鍵基礎設施安全與物聯(lián)網”，主要關注關鍵基礎設施安全的重要性，同時告訴公眾要對所有設備施加保護。第四周的活動主題是“中小企業(yè)網絡安全”，主要展示可以用來保護中小企業(yè)的新技術和商業(yè)模式。第五周的活動主題是“網絡犯罪與執(zhí)法”，主要是倡導與執(zhí)法機構同行、與網絡犯罪作斗爭，同時，告訴公眾如何避免成為網絡犯罪的受害者[7]。歐盟委員會在2012年10月1日首次啟動了全歐洲的試點項目——“歐洲網絡安全月”（ECSM）活動。從2013年開始，歐盟委員會正式將每年10月定為“歐洲網絡安全月”，其活動時間與美國相似，也是每年的10月份，其目標是旨在提升公眾網絡安全意識，改善他們對網絡安全威脅的理解，利用電視或電臺每日廣告、社交媒體活動、有獎競猜、新聞報道、會議研討、學生交流會等平臺，向公眾提供最新的網絡安全信息。英國教育部在2013年8月發(fā)表聲明稱，將設置新課程，確保英國兒童從5歲起就開始接受“如何在網上保護自身安全、如何互相尊重、如何更安全地交流”等系列網絡安全教育。2014年9月，一項新的有關計算機的課程將進入英國小學，以幫助小學生學習如何更加安全地使用科技，確保個人隱私安全。2014年10月，英國政府宣布開設免費網上培訓課程，幫助英國企業(yè)提高防范網絡攻擊的能力。培訓對象主要是律師和會計行業(yè)，培訓內容主要包括如何防范和處理常見的網絡安全威脅，如何保護數(shù)字信息等。

3對我國開展網絡信息安全人才培養(yǎng)的啟示

3.1及時出臺我國網絡信息安全人才培養(yǎng)戰(zhàn)略及各種配套政策

雖然國務院在2012年印發(fā)的《關于大力推進信息化發(fā)展和切實保障信息安全的若干意見》中就提出了要大力支持信息安全學科師資隊伍、專業(yè)院系、學科體系、重點實驗室建設。但相比美國的《網絡空間安全教育計劃》、《國家網絡安全人員框架》、《歐洲網絡信息安全教育項目路線圖》等戰(zhàn)略文件，我國的相關文件或者講話精神還有待深入研究后，結合我國大力建設網絡強國的大背景推出中國版的網絡信息安全人才培養(yǎng)戰(zhàn)略。與此同此，還需出臺一批與之相配套的政策，比如教育部學位辦在將網絡信息安全專業(yè)的學科地位提升至一級學科的高度后，要為其配備師資、學位點、招生人數(shù)、研究教育經費等資源，另外還可從小學階段開始，增加與網絡信息安全有關的課程；人力資源保障部門盡快研究出臺面向公共部門的網絡信息安全從業(yè)人員更有吸引力的薪酬激勵制度，既讓現(xiàn)有從業(yè)人員能夠安心本職工作，又能夠實現(xiàn)包括“白帽黑客”在內在的各種高技術人才回流。

3.2為網絡信息安全教育工作者提供良好的繼續(xù)教育機會，改善師資水平

網絡信息安全教育工作者對網絡信息安全人才培養(yǎng)發(fā)揮著舉足輕重的作用。但目前我國各級各類學校中的網絡信息安全教育工作者非常缺乏，有些院校的專業(yè)核心課程往往是由相關專業(yè)的專任教師兼任，這大大降低了教學效果。其次，很多教育工作者缺乏動手操作能力和實戰(zhàn)能力的訓練，在授課過程中往往只重視講授理論知識點。第三，網絡信息安全領域的知識點更新較快，其知識儲備需要定期加以更新。因此，為他們提供多樣化的繼續(xù)教育勢在必行。首先，可鼓勵他們到國內外高等院校、重點企業(yè)從事博士后研究、攻讀博士學位或參加短期研修班；其次，可在現(xiàn)有國家精品課程中篩選出一批與網絡信息安全有關的課程錄像，讓廣大教育工作者仔細觀摩學習，并適時對他們的教學實踐進行評估；第三，可由教育部牽頭，從全國遴選出一批尚未入選國家精品課程的網絡信息安全教育工作者，為他們錄制有關教學視頻，并將這些視頻采用大規(guī)模在線開放課程（MOOCs）形式向他們推廣，借此提升他們的專業(yè)水平和教學水平。

3.3研究編制我國的網絡信息安全課程體系，并組織專家編寫高質量的教材

網絡信息安全專業(yè)越來越具有跨學科和多面性的性質，涉及的知識領域跨越計算機科學、數(shù)學、法學、犯罪學等學科。不同學科的關注視角存在較大差異，因此在研究編制我國的網絡信息安全課程體系時要盡可能地將這些差異協(xié)調起來。美國《國家網絡安全人員框架》和英國《網絡信息安全專業(yè)人員認證指南》是對相關技能的一種有效歸類，是建設網絡信息安全課程體系的良好起點，值得深入研究。雖然我國市場上以“網絡信息安全”、“網絡安全”、“信息安全”為名的教材比較多，但是能為廣大學生和網絡信息安全從業(yè)者廣泛接受的教材還是偏少，現(xiàn)有教材存在過度強調網絡信息安全防范操作理論，較少關注網絡信息安全法律、規(guī)范、標準等網絡信息安全管理內容，在后續(xù)寫教材時，要對現(xiàn)有忽視部分加大關注力度，提高編寫質量，讓廣大學生和網絡信息安全從業(yè)者提高對教材內容的興趣。

3.4適時增加全國計算機等級考試中網絡信息安全的內容比重，讓網絡信息安全素養(yǎng)成為求職、晉升的必備要素

許多單位部門已把掌握一定的計算機知識和應用技能作為上崗資格、干部錄用、職稱評定、職務晉升的重要依據之一。隨著我國對信息通信技術的不斷加大投入和社會信息化程度的不斷提升，我國各行各業(yè)遭受網絡信息安全挑戰(zhàn)的幾率越來越大，這也意味著對潛在求職者在網絡信息安全素養(yǎng)方面的要求越來越高。國家教育部應該對計算機基礎教育課程體系及全國計算機等級考試做出適應時代變化的全新調整，適時增加網絡信息安全相關知識點的考察內容比重，尤其是增加培養(yǎng)潛在求職者的操作能力和解決實際問題的能力，進一步提升全國計算機等級考試合格證書的含金量。

3.5進一步發(fā)揮網絡安全宣傳周的作用，進一步提升公眾網絡信息安全素養(yǎng)

雖然我國首屆網絡安全宣傳周在各界的大力支持下已經于2014年圓滿落幕，上海也已經順利舉辦多屆信息安全周，已經逐步提升公眾的網絡信息安全素養(yǎng)，但與國外的網絡安全月相比，還存在一些差距，比如國外的網絡安全月在主題的選擇上更為多元，內容更為豐富，形式更為活潑，參加群體的覆蓋面更為寬廣和具體，舉辦的時間更長等。我國在今后開展網絡安全宣傳周，除了要在國家層面多舉辦一些活動外，更要將這些活動下沉到省市、自治區(qū)乃至地市級層面，通過設立專門培訓和互動網站、發(fā)行公共出版物、發(fā)放指南或手冊、舉辦公益講座、進行安全知識海報評比、舉行安全知識競賽和網絡攻防演練、播放網絡視頻或電視廣播等形式讓更多公眾能夠參與其中，切實提升他們的網絡信息安全素養(yǎng)。

參考文獻：

[1]劉金芳,馮偉,劉權.我國信息安全人才培養(yǎng)現(xiàn)況觀察[J].信息安全與通信保密,2014(5):26-28.

[2]趙倩，劉峰，林東岱.美國網絡空間安全教育戰(zhàn)略計劃[J].中國信息安全，2014(8)：91-94

[3]RoadmapforNISeducationprogrammesinEurope[OLS].https://www.enisa.europa.eu/activities/stakeholder-relations/nis-bro⁃kerage-1/roadmap-for-nis-education-programmes-in-europe

[4]王星.英國網絡安全人才隊伍建設體制研究[J].中國信息安全，2015(11).

[5]馬建光，張乃千.網戰(zhàn)：俄軍瞄準“第六代戰(zhàn)爭”布局[OL].www.81.cn/rd/2016-02/26/content_6929347.htm

[6]俄聯(lián)邦委員會擬利用“白色黑客”應對網絡攻擊[OL].www.chinanews.com/gj/2014/01-26/5780781.shtml

[7]李淼.美國信息安全教育和意識培訓研究[J].中國信息安全，2012(5):72-75.

作者：羅力 單位：上海社會科學院信息研究所