专题·网安人才培养 | 注册信息安全专业人员培训发展历程与展望
2024-5-16 19:5:6 Author: mp.weixin.qq.com(查看原文) 阅读量:3 收藏

文 | 中国信息安全测评中心 张晓菲;武汉大学国家网络安全学院 彭正明

网络空间作为陆、海、空、天之外人类活动的“第五空间”,与政治、经济、文化、社会、军事等国家重要领域的基础设施的联系日益紧密。网络安全已成为国家安全体系的重要组成部分,牵一发而动全身。因此,网络安全人才队伍建设备受世界各国高度关注。2023 年 7 月,习近平总书记在网络安全和信息化工作会议上作出重要指示,明确了“坚持筑牢国家网络安全屏障”的重要性。这为新时代新征程提供了根本遵循,要不断加强网络安全人才队伍建设。

一、我国网络安全人才培养概况
我国高度重视网络安全人才培养。党的十八大以来,以习近平同志为核心的党中央在领导全面依法治国和建设网络强国的伟大实践中,提出一系列原创性的新理念新思想新战略,形成了习近平法治思想和习近平总书记关于网络强国的重要思想,其中强调“网络空间的竞争,归根结底是人才竞争”,突出了人才在网络安全战略体系中的关键作用。
(一)政策环境
2012 年 12 月,全国人大常委会通过《关于加强网络信息保护的决定》,要求保护个人电子信息、防范垃圾电子信息、确立网络身份管理制度。同年,国务院出台《关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23 号),提出要加强宣传教育和人才培养,支持信息安全与保密学科师资队伍、专业院系、学科体系以及重点实验室的建设。
2016 年 6 月,中央网信办等 6 部门联合印发《关于加强网络安全学科建设和人才培养的意见》(中网办发文〔2016〕4 号),提出要加快网络安全学科专业和院系建设、创新网络安全人才培养机制、加强网络安全教材建设、强化网络安全师资队伍建设、加强网络安全从业人员在职培训等要求,明确了网络安全学科建设和人才培养方向。2016 年 7 月,中共中央办公厅、国务院办公厅印发《国家信息化发展战略纲要》,提出要“强化网络安全基础性工作”,并“实施网络安全人才工程,开展全民网络安全教育,提升网络媒介素养,增强全社会网络安全意识和防护技能”。同年 12 月,《国家网络空间安全战略》发布,强调要实施网络安全人才工程,加强网络安全学科专业建设,打造一流网络安全学院和创新园区,形成有利于人才培养和创新创业的生态环境。
为做好网络安全人才评价工作,国家有关部门也发布了标准规范指引。例如,2022 年 1 月,工业和信息化部发布了《网络安全产业人才岗位能力要求》。此外,2023 年 3 月,国家市场监督管理总局、国家标准化管理委员会发布了国家标准《信息安全技术网络安全从业人员能力基本要求》(GB/T 42446-2023),自同年 10 月 1 日起实施。标准提出的网络安全从业人员分类、知识和技能要求,为党政机关、网络运营者、网络安全教育培训机构等各类组织开展工作提供了指引和依据。
(二)法治建设
近年来,我国陆续制定并出台了一系列法律法规和政策,旨在鼓励网络安全人才的培养,提高企业网络安全服务能力与水平,以满足网络空间发展的需要。2016 年 11 月颁布的《网络安全法》是我国网络安全领域的首部基础性、框架性、综合性法律。其中,第二十条要求,国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关的教育与培训,采取多种方式培养网络安全人才,促进人才交流。自 2021 年 9 月 1 日起实施的《数据安全法》第二十条规定,国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关的教育和培训,采取多种方式培养数据开发利用技术和数据安全专业人才,促进人才交流。同样自 2021 年 9 月 1 日起实施的《关键信息基础设施安全保护条例》第十四条运营者责任义务中要求,专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,并履行组织网络安全教育和培训的职责。
(三)高等教育
高校网络安全人才培养取得了以下四个方面的成效。
一是设立网络空间安全一级学科。2015 年 6 月,国务院学位委员会、教育部发布了《关于增设网络空间安全一级学科的通知》(学位〔2015〕11 号),在“工学”门类下增设“网络空间安全”一级学科。截至目前,全国范围内已有 34 所高校设立了网络空间安全一级学科,另有 90 余所高校设立了网络安全学院。自 2001 年武汉大学成为全国首个设立信息安全本科专业的高校以来,已有 200 余所高校设立了网络安全相关专业。
二是实施一流网络安全学院建设示范项目。自 2017 年起,中央网信办、教育部组织实施了一流网络安全学院建设示范项目,使得网络安全人才培养规模大幅增长,人才培养模式不断创新,极大促进了网络安全人才的培养工作。截至 2024 年 1 月,中央网信办、教育部评选产生新一期一流网络安全学院建设示范项目高校共 16 所。
三是建成国家网络安全人才与创新基地。2016 年 9 月,首个国家网络安全人才与创新基地在武汉成立。截至 2024 年 3 月,国家网安基地一期核心区已基本建成,武汉大学、华中科技大学两所“双一流”高校入驻师生逾 2500 人,武汉金银湖实验室、黄鹤实验室等八大平台落户,华为、新华三、天融信等 220 家知名企业入驻,初步形成网络安全人才培养、科技创新和产业集聚的良性生态。另外,2023 年 9 月,福州市获批创建国家网络安全人才与创新(福州)基地,成为全国第二个获此殊荣的城市。
四是多措并举加强网络安全人才培养。第一,利用社会资金设立网络安全专项基金,开展国家网络安全先进集体和先进个人、网络安全优秀教材等评选活动,奖励各类网络安全优秀人才近千人。第二,启动网络安全学院学生创新资助计划,天融信、奇安信、蔚来、蚂蚁集团、中国互联网发展基金会网络安全专项基金作为资助方,出资 7800 万元连续五年计划资助 1200 名学生开展网络安全技术创新研究。第三,支持高等院校开设网络安全相关专业“少年班”“特长班”,建设跨理学、工学、法学、管理学等门类的网络安全人才综合培养平台。第四,加强网络法治人才培养,开设网络法学等二级学科,编写法学领域的一系列具有前沿性、通用性及实操性教材,培养出一批兼具网络安全技术背景和法律专业知识的跨学科复合型人才。
(四)在职教育
我国网络安全在职培训已经发展二十余年,网络安全专业认证已经逐步成为各行业对网络安全人才认定的方式,网络安全领域从业者持证上岗是大势所趋。网络安全在职教育方式主要分为线上网课、线下面授、线上线下结合三种形式。课程内容主要包括理论知识、实操练习、考核评价等,采用学、赛、演、评等多维度结合的方式培养。
中国信息安全测评中心(以下简称“测评中心”)、中国网络安全审查技术与认证中心、公安部信息安全等级保护评估中心、国家互联网应急中心等单位开发了多个网络安全培训课程,并颁发注册信息安全专业人员(CISP)、网络安全保障从业人员认证(CISAW)、等级保护测评师(CSPEC)、网络与信息安全应急人员认证(CCSRP)等网络安全人员资质证书。
网络安全保障从业人员认证(Certified Information Security Assurance Worker,CISAW)是由中国网络安全审查技术与认证中心组织推出的,面向 IT 从业人员,特别是与网络安全工作密切相关的高级管理人员,旨在评定人员资格和专业水平。CISAW适用于从事网络安全相关工作的所有人员,包括组织的管理人员、IT 相关技术人员,以及从事网络安全服务组织的技术人员。CISAW 认证包括面向在校学生(大学生和研究生)的预备级认证、面向在职人员的基础级(Ⅰ级)认证和面向各专业方向人员的专业水平认证,还包括专业级(Ⅱ级)和专业高级(Ⅲ级),共设有四个级别。目前设置的专业方向包括安全软件、安全集成、安全管理、安全运维、网络攻防等。
CSPEC 是由公安部信息安全等级保护评估中心颁发的认证证书,等级测评人员需持该证书方可上岗。证书分为初、中、高三个等级,涵盖了网络安全等级保护方法、流程、政策和标准,以及信息系统定级备案、安全建设整改、等级测评、安全检查等工作。该认证面向重要信息系统的建设、运营和使用的相关管理和技术人员,包括各级政府机构、企事业单位的网络安全主管部门的中高级管理和技术人员,以及从事网络安全开发、管理、咨询、服务及系统集成业务相关的管理和技术人员。

网络与信息安全应急人员认证(Certified Cyber Security Response Professional,CCSRP)是国家互联网应急中心推出的,面向重点行业网络与信息安全从业人员的技能认证。该认证面向关键信息基础设施及民营企业的信息安全应急人员,包括安全管理类的首席安全官、网络安全经理等,以及安全技术类的系统安全管理员、安全运维中心分析员等。该认证培训以网络安全应急响应为切入点,覆盖了网络与信息安全的事前、事中和事后等各方面的能力。CCSRP 认证分为两个级别,每个级别分为管理和技术两个基本方向,为兼顾行业差异性,CCSRP 在二级上还会依据行业领域细分子方向。

二、当前我国网络安全人才培养面临的挑战
维护国家网络空间主权、安全和利益,最关键的要素在于人,安全人才是网络空间大国博弈的重要资源。
一是各类网络风险增多、复杂性日益加剧,对人才培养提出了更高的要求。当前,世界之变、时代之变、历史之变正以前所未有的方式展开,涉及全球范围的网络安全威胁和风险日益凸显。针对关键信息基础设施的网络攻击活动时有发生,同时,新技术新应用如人工智能、量子计算、区块链等的快速发展也带来了新的安全隐患。个人信息的过度采集和泄露问题更加突出,因此,维护网络安全和数据安全的重要性和紧迫性更加凸显。在迈向新时代新征程的过程中,我们要深入贯彻落实总体国家安全观,推动我国网络安全人才培养紧密围绕国家网络安全保障需求展开。以实战能力培养为核心,全面加强网络安全和数据安全保障体系和能力建设,有效防范和化解各类风险,不断提升网络安全防护能力。
二是网络安全人才总量不足,人才供需矛盾依然存在。据教育部 2023 年 6 月 15 日的统计数据,全国共有 3072 所高等学校,其中普通高校 2820 所,成人高校 252 所。截至 2023 年 3 月,我国开设网络空间安全等相关专业的高校共计 259 所。根据美国国家网络安全卓越学术社区的数据显示,截至 2022 年 2 月,美国共有 359 所高校和科研机构设立了网络安全专业。我国开设网络安全相关专业的高校数量与美国相比仍有较大差距,并且在我国 2820 所普通高校中所占比例也偏低。2023 年 5 月 17 日,在中央网信办指导下,首届武汉网络安全创新论坛发布了《中国网络安全人才建设报告(2022年)》,报告显示,我国网络安全领域人才队伍逐渐成形,人才培养机制渐趋成熟,人才供给不断增加,但仍存在高端专才紧缺、师资力量不足、人才供需不均衡等问题。

三是网络安全在职培训快速发展,但整体培训质量仍需提高。我国网络安全在职培训较为活跃,参与机构数量众多。然而,培训内容的实操性和前沿性有待提高。国外主流网络安全培训机构通常围绕相关标准要求设计培训课程,每三年更新一次知识体系和考试大纲。相比之下,我国在职培训尚未投入足够资源来建立良好的课程质量建设机制,培训内容更新较为缓慢。国外主流网络安全培训机构重视实践、实操和实战类课程,理论课程也通常会增加相应的实践案例,并根据新技术和应用发展情况开发相关课程。而我国网络安全培训课程大多以讲解基本知识和原理为主,或者在理论讲解中结合实践,缺乏实践动手环节。与时俱进适时推出适应新形势、新需求的网络安全培训课程相对较少。目前,(ISC) 2、ISACA、CSA、CompTIA、SANS 等国外网络安全培训机构大都在全球范围推广培训,设立了分支机构或办事处,开展本地化培训和考试。相比之下,我国网络安全培训的国际认可度较低,国外的宣传与推广力度也不够。

三、注册信息安全专业人员培训发展历程
依据中编办批准开展“信息安全人员资质测评”的职能,为满足社会各界对于专业安全人员的迫切需求,测评中心自 2002 年起面向社会推出注册信息安全专业人员(Certified Information Security Professional,CISP)资质认证和培训体系,至今,已有超过 20 万人获取了该证书,其中部分证书已得到中国港澳地区及“一带一路”国家的认可,这为我国安全人才队伍的建设提供了有力支撑。
(一)培训体系与类别
测评中心结合我国国情,开展以 CISP 为核心的信息安全人员系列培训工作,已逐渐建立起覆盖信息安全专业人员全职业周期的人才培养体系。该体系分为三级,如图所示,包括面向高等院校学生,以提高网络安全意识为目标的国家信息安全水平考试(NISP);面向网络系统使用人员,以提升网络安全基础知识为目的的注册信息安全员(CISM)培训;面向网络安全从业人员,以全面掌握安全技术为核心的 CISP 培训。

图 测评中心网络安全人才培训体系

其中,CISP 根据岗位性质和业务能力要求,主要分为以下四个类别:一是 CISE,即“注册信息安全工程师”(Certified Information Security Engineer)的简称。证书持有人员主要从事信息安全技术领域的工作,具备从事信息系统安全集成、安全技术测试、安全加固和安全运维的基本知识和能力。二是 CISO,即“注册信息安全管理员”(Certified Information Security Officer)的简称。证书持有人员主要从事信息安全管理领域的工作,具备组织信息安全风险评估、信息安全总体规划编制、信息安全策略制度制定和监督落实的基本知识和能力。三是 CISP-PTE,即“注册信息安全专业人员渗透测试工程师”(Certified Information Security Professional-Penetration Testing Engineer)的简称。证书持有人员主要从事信息安全技术领域网站渗透测试工作,具备规划测试方案、编写项目测试计划、编写测试用例、测试报告的基本知识和能力。四是 CISP-DSG,即“注册信息安全专业人员数据安全治理人员”(Certified Information Security Professional-Data Security Governance)的简称。证书持有人主要从事数据安全治理相关工作,具备数据安全治理过程管理、数据安全技术体系设计、数据安全管理体系设计的基本知识和能力。
(二)培训内容与模式
为了适应网络空间安全保障人才需求,CISP培训知识体系不断更新发展。整个培训内容以信息安全保障为核心,涵盖网络安全监管、安全管理、安全评估、计算环境安全、软件安全开发等十大知识领域。这些领域覆盖了安全工作的各个环节,能够有效培养复合型安全人才。通过学习培训,学员能初步形成体系化的工作思路,避免因“木桶效应”导致工作能力不足。CISP 各专业方向的培训针对网络安全的细分领域众多、技术发展动态性强的特点,能更好地满足深层次专业培训需求。
为了保证培训质量,测评中心建立了由行业、产业专家及知名高校老师组成的注册信息安全讲师队伍(CISI),鼓励持证讲师授课。测评中心持续加强讲师管理,制定了《注册信息安全讲师管理办法》,定期组织讲师考核,淘汰不称职讲师,选拔合格讲师充实培训师资力量。
依照《合格评定人员认证机构通用要求》(ISO/IEC 17024),测评中心采用考培分离运营模式。测评中心负责培训知识体系开发与维护、考试组织及资质审核,发展并管理授权培训机构开展培训推广与实施,全国共有授权培训机构 40 余家。测评中心制定了《授权培训机构管理办法》等系列管理制度,强化授权培训机构管理,旨在提高授权培训机构在宣传招生、培训过程的统一性和规范性,确保培训质量满足各类资质要求。
(三)培训特点与成效
多年来,测评中心为党和国家机关、关键信息基础设施以及国有大型企业输送了大量网络安全专业骨干,得到各部委、各级政府机构、企业和社会各界的广泛认可,CISP 注册证书已成为网络安全领域人才识别和能力评价的重要依据。
一是满足国家相关法律法规的要求。CISP 证书落实《网络安全法》《关键信息基础设施安全保护条例》等国家法律法规对关键岗位的要求,满足政策合规要求。信息安全人员持证上岗,提高了安全专业技能,有助于提升信息系统安全性。越来越多的党政机关、重要行业及大型骨干企业优先聘用 CISP 持证人员。测评中心 2023 年 6 月《信息安全从业人员工作情况调查问卷》显示,83.86% 的职业资质证书持有者认为对专业能力提升有帮助,82.23% 的职业资质证书持有者认为对职业发展有促进。
二是满足维护国家网络安全、建设网络强国和数字中国的核心需求。在新一轮科技革命和产业升级进程中,信息技术正在从根本上改变人们的生产生活方式,重塑经济社会发展的新格局。在这一轮发展过程中,信息安全人才和产业将发挥关键作用。面对网络安全人才需求迅速增长、人才缺口持续扩大的问题,各国普遍面临这一挑战。因此,通过各种方式有效培养和输送合格适用的网络安全人才,快速覆盖我国经济发展各领域,变得尤为迫切。测评中心从业人员资质测评以国家社会发展和国家安全需求为导向,加强人才培养体系建设工作的前瞻性和针对性,建立贯穿信息安全从业人员全职业周期的终生教育制度,提高信息安全人才队伍的数量规模和整体能力。
三是积极应对全球网络空间激烈竞争和较量的迫切需求。当前,我国正处于百年未有之大变局,正团结一心为实现第二个百年奋斗目标而努力。在民族复兴的伟大进程中,网络空间的较量不单单是技术对抗,更是安全专业人员、产业和国家综合实力的对抗。网络安全人才是国家安全战略的必争资源,测评中心开展的网络安全在职培训是弥补安全人才缺口、提升从业人员整体能力的重要途径。同时,它也是我国网络安全人才培养的关键环节,为党政机关和关键基础设施等单位建设一支政治强、业务精、作风好的强大队伍,确保高水平人才“以我为主、为我所用”。

四是形成网络安全领域最具公信力、影响力的人员能力评价体系。作为国家唯一正式授权开展信息安全专业人员培训的机构,测评中心也是国内培训人数最多、认可度最高的网络安全领域培训机构,具有权威性、普适性等鲜明特点。依据国家标准《信息安全技术 网络安全从业人员能力基本要求》(GB/T 42446-2023),测评中心将标准核心内容融入 CISP 各类安全培训知识体系,使培训科学严谨,兼具全面性和实用性。同时,将标准要求与网络安全新技术结合,不断完善在职培训知识体系,着力打造一支技术过硬、创新有为的网络安全人才队伍。自 2016 年起,CISP 持证学员数量大幅增长,截至 2023 年,获证学员已超过 4 万人。

四、注册信息安全专业人员培训展望
未来,CISP 培训将瞄准国际网络安全职业培训趋势,快速缩小与世界网络强国教育培训差距,巩固大类培训、发展特色培训、优化专项培训,不断提升业务科学化、现代化水平,提高综合实力和核心竞争力,持续提高培训质量,稳步提升培训规模,培养一支与国际抗衡的一流应用型、实战型网络安全人才队伍。
一要锚定网络强国战略,把握新的使命任务。牢牢把握习近平新时代中国特色社会主义思想,坚持学思用贯通、知信行统一,将其运用到贯彻落实党的二十大精神、推进 CISP 培训工作创新发展中去,转化为坚定理想、锤炼党性、指导实践、推动工作的强大力量。牢牢把握总体国家安全观的核心要义,把维护国家安全贯穿培训工作各方面全过程,推进网络安全培训体系和能力现代化。牢牢把握习近平总书记关于网络强国的重要思想,坚持为党育人、为国育才,坚持建设忠诚干净担当的网络安全人才队伍,通过 CISP 培训发现、培养、造就一线网络安全拔尖创新人才,着力建设一支政治可靠、技术过硬、创新有为、堪当重任的网络安全人才队伍。
二要加强培训顶层设计,进一步完善培训体系。一方面,测评中心要履行主体责任,加快完善网络安全执业认证体系与管理机制,积极扶持授权机构、完善监督机制,因地制宜推进教与学的内容变革、方法的传承创新、数字技术手段的运用,提升认证和培训的品质与深度,提高培训现代化水平。另一方面,要强化监管责任,加强对授权培训机构的监督管理,推动培训机构的市场化、专业化和规范化运营,加强对线上、线下培训教学督导检查,严格把控授权培训机构可能存在的风险。
三要创新培训方式方法,提高人才培养质量。立足世界大势和我国国情,结合我国网络基础设施和重要信息系统安全保障的实际需求,以知识体系的全面性和实用性为原则,探索建立体系化、模块化、结构化的 CISP 培训大纲,将现有培训知识领域扩展到 15 个,涵盖人工智能、量子计算等新兴领域安全技术。借鉴先进职业培训方法,综合运用网络安全游戏、网络安全仿真模拟、网络攻防演习、信息模拟战以及在线平台建设等种类丰富的培训方法,提升培训服务水平。探索网络安全体系化知识更新与碎片化学习方式的结合、线下系统培训和线上交互培训的结合、理论知识理解和实践操作磨练的结合,从业务场景需求出发,重点培养和检验学员在真实网络场景中的漏洞挖掘、工程开发等实战能力。
四要统筹各方优势资源,构建协同育人生态。开展创新文化建设,培育和弘扬“守正创新、兼收并蓄、面向实战、担当有为”的 CISP 培训文化,促进测评中心硬实力和文化软实力共生共进,推进培训工作高质量发展。推动多主体协同共建网络安全人才生态,提高相关主管领导部门、产业界、学术界、科研院所、授权培训机构、用人单位等相关各方的支持配合力度,鼓励和支持优质社会教育培训机构开设培训点。全面加强与高校、网络安全企业合作交流,推行订单式培养、拓展性实训,形成以产业需求为导向、以岗位能力为基础的人才培育模式,加快培育高层次、跨领域、创新型、实用型的人才和团队。
互联网是人类共同的家园。无论数字技术如何创新发展,无论国际环境如何风云变幻,每个人都在网络空间休戚与共、命运相连。站在新的历史起点,专注于网络空间安全人才培养的 CISP 认证培训必将蓬勃发展,在打造中国一流世界知名培训品牌的网络强国实践中为推进中国式现代化作出新的更大的贡献。

(本文刊登于《中国信息安全》杂志2024年第3期)


文章来源: https://mp.weixin.qq.com/s?__biz=MzA5MzE5MDAzOA==&mid=2664213290&idx=1&sn=12769e5cc572ea9db0adf77212bcb734&chksm=8b59a9d3bc2e20c5ebb0551daba150316176bb4ec15bbcc6b7f017be2f444a672e93c4ff97c9&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh