2022网络安全人才实战能力白皮书-攻防实战能力篇

网络安全人才实战能力白皮书 攻防实战能力篇 网络安全人才实战能力白皮书 攻防实战能力篇 编写组织 指导单位： 教育部高等学校网络空间安全专业教学指导委员会 主编单位：北京航空航天大学中国科学技术大学 北京永信至诚科技股份有限公司 副主编单位：西安电子科技大学东南大学 武汉大学华中科技大学上海交通大学参编单位： 北京电子科技学院山东大学 四川大学北京邮电大学 编委会主任：封化民编委会副主任：俞能海主编：刘建伟 副主编：李晖程光赵波 邹德清刘功申蔡晶晶 编委：（排名不分先后） 陈鹤影陈凯陈晓琳付磊纪敏智刘飚李伟孟魁麻治昊彭海朋孙政豪童蒙魏晶晶万佳吴文涛王小平谢丹杨望杨旭周潮张丽张倩张意 前言 网络空间的竞争，归根结底是人才的竞争。网络安全人才，赋能千行百业，是数字经济安全发展的基石。网络与信息安全发展，人才队伍建设是关键。 在网络强国战略深入推进的同时，网络安全人才缺口巨大成为了网络安全产业面临的主要问题之一，尤其是实战人才更是严重缺失。数据显示，到����年，我国网络安全人员缺口将达���万，而高校人才培养规模仅为�万/年。在我国，真正具有实战能力，了解攻击手段和攻击路径的网络安全人才严重缺乏。一方面，仅有�%的企业信息部门、安全部门负责人认为自身团队“各方面攻防实战能力均不欠缺”；另一方面，我国高校人才培养最为现实的问题就是“实习实践”。网络安全人才实战能力建设已经成为亟需解决的时代新命题。 《网络安全人才实战能力白皮书》（以下简称“白皮书”）是业内首份聚焦网络安全人才实战能力的白皮书，基于���场、抽取�����条网络安全竞赛信息，���份调研问卷，结合实战人才供给侧及用人单位需求侧情况，全面呈现我国实战型人才的供需现状、培养现状、评价方式及发展建议。《白皮书》面向党政机关、央企机构、企事业单位及高校等单位，希望能够通过努力为各单位人才战略制定提供详实参考。 《白皮书》主要有以下特色： （�）基本概念清晰，方法论明确。首次定义了网络安全人才实战能力、网络安全人才攻防实战能力，提出了网络安全人才实战能力“�+�模型”、网络安全人才培养“ASK-P模型”，为网络安全人才实战能力的分类与评价树立了标准。 （�）内容全面，深入浅出。全面对比了国内外网络安全人才发展环境、网络安全人才实战能力供需，全国各地域各行业网络安全人才实战能力，形成大量结论。作者尽量避免使用晦涩难懂的语言描述深奥的理论和技术知识，而是借助大量图表进行表述。 （�）专家力作，内容先进。作者坚守高校的教学和网络安全一线工作多年，在长期的工作中积累了深厚造诣，多位作者还荣获过网络安全优秀教师奖、网络安全优秀人才奖，以及国家技术发明一等奖、北京市科学技术奖一等奖等。他们将深厚的教学理念与实践经验融入了《白皮书》。 《白皮书》由教育部高等学校网络空间安全专业教学指导委员会指导，北京航空航天大学、中国科学技术大学及永信至诚担任主编单位，西安电子科技大学、东南大学、武汉大学、华中科技大学、上海交通大学担任副主编单位，北京电子科技学院、山东大学、四川大学、北京邮电大学参编。 本《白皮书》聚焦攻防实战能力，为《网络安全人才实战能力白皮书》系列之一，未来将陆续对漏洞挖掘能力、工程开发能力、战效评估能力三部分进行发布。由于作者水平有限，加之时间仓促，难免存在疏漏及不妥之处，敬请批评斧正。 Ⅲ 第一章网络安全产业人才状况分析�� �.�宏观政策环境�� �.�.�国际情况�� �.�.�国内情况�� �.�人才发展环境�� �.�.�院校培养环境�� �.�.�单位使用环境�� �.�网络安全人才实战能力类别�� �.�.�网络安全人才实战能力定义�� �.�.�网络安全人才实战能力模型�� 第二章网络安全人才攻防实战能力分析�� �.�网络安全攻防实战人才现状�� �.�.�性别、年龄及学历情况�� �.�.�地域及行业情况�� �.�网络安全攻防实战能力现状�� �.�.�网络安全攻防实战能力技术�� �.�.�网络安全攻防实战能力情况�� �.�网络安全攻防实战经验分析�� �.�.�网络安全竞赛人员参与情况�� �.�.�网络安全竞赛经验成果�� 第三章用人单位网络安全人才实战能力需求分析�� �.�用人单位的特点及人才需求分析�� �.�.�按地域维度分析�� �.�.�按行业维度分析�� �.�.�按企业性质/规模维度分析�� �.�岗位需求�� �.�.�岗位基本要求�� �.�.�岗位基本需求�� �.�岗位与能力匹配分析�� �.�.�岗位人才分布�� �.�.�岗位能力需求�� �.�.�能力提升需求�� �.�人员来源分析�� 第四章网络安全人才攻防实战能力提升分析�� �.�网络空间安全实战攻防人才培养现状�� �.�.�院校网络安全相关专业建设现状�� �.�.�社会培训机构发展现状�� �.�.�企业内部从业人员培训现状�� �.�人才培养方式分析�� �.�.�院校培养方式分析�� �.�.�社会培训机构培养方式分析�� �.�.�企业内部培养方式分析�� �.�人才培养效果分析�� �.�.�院校培养效果分析�� �.�.�培训机构培养效果分析�� �.�.�企业培养效果分析�� 第五章网络安全人才攻防实战能力评价分析�� �.�网络安全人才攻防实战能力评价现状�� �.�.�主流评价方式�� �.�.�有效评价方式�� �.�.�存在问题�� �.�网络安全人才攻防实战能力评价分级�� �.�.�能力分级说明�� �.�.�能力评价内容�� �.�.�评价标准�� �.�网络安全人才攻防实战能力提升与评价方式�� �.�.�安全竞赛�� �.�.�安全会议�� �.�.�培训认证�� �.�.�安全众测�� �.�.�攻防演练�� �.�网络安全人才攻防实战能力提升路径�� �.�.�统一的网络安全攻防实战能力框架�� �.�.�网络安全攻防实战能力课程/培训认可�� �.�.�常态化攻防人才成长通道�� 第六章总结和建议�� �.�院校人才培养体系建设建议�� �.�.�理论教学体系建设�� �.�.�实践教学体系建设�� �.�企业单位人才培养建设建议�� �.�政府扶持政策建议�� 第一章 网络安全产业人才状况分析 随着新的计算技术、网络技术、通信技术的快速演进，网络空间成为继陆、海、空、天之后的第五大主权争夺空间。网络安全关系到国家安全、社会稳定、经济发展、人民生活等各个方面，为了国家安定与繁荣发展，必须确保我国的网络空间安全，要建设国家网络空间安全保障体系，保护政府、部队、企业等重要部门，以及金融、能源等重要基础设施的网络安全。习近平总书记明确指出，人才是第一资源；网络空间的竞争，归根结底是人才竞争。网络空间安全的核心竞争力在于专业人才，只有培养足够优秀的网络专业技术人才，才能保证国家在未来的网络空间战争中获得优势。因此，世界各国纷纷将网络空间人才培养工作提升到国家战略层次，投入巨量财力物力，建设完备的网络空间安全人才培养体系。 1.1宏观政策环境 目前，美国是网络空间最强国，网络空间安全人才培养数量和质量优于其他国家，其完备的人才培养体系值得我国借鉴，同时英、法、德、日、韩、俄、以等网络空间强国依托自身国家实际情况培育网络空间安全人才。 在战略层面上，美国先后发布了《网络空间人才计划》（����）、《美国网络空间安全教育计划》（��1�）、《美国网络安全教育计划战略规划：构建数字美国》（��11）、《联邦网络安全人才战略》（��1�）、《网络安全人才行政令》（��1�）等多个网络安全战略，详尽地规定了从高等院校教育、尖端科技企业培训到社会人才发掘、高中生尖子选拔，再到网络空间安全人才“掐尖”（即以丰厚的条件吸引全球网络空间安全人才），多层培养网络空间安全人才。 欧盟于��1�年�月发布《网络安全战略》，要求各成员国展开网络与信息安全教育。 ��11年英国发布《网络安全国家战略》，强调要“加强网络安全技能教育”，德国发布《德国网络安全战略》，强调“提高公众对互联网风险的认识，加强专业人才培养”，法国发布 《信息系统防御与安全：法国战略》，提出建立网络防御研究中心，从事专业人才的培训，增加年轻信息安全人才的比重。欧洲各国普遍重视硕士和博士学历教育，并建立了针对在校高学历人才的专业评估授权认证。在专业人才认证方面，建立了CCT和CCP专业认证项目，确定具有专业技能的网络空间安全人才等级并给予相应待遇。 日本自2O11年起每年支出约一亿日元用于网络安全人才培养，包括向国外大学输送人才，进入信息安全相关机构进修，参加日美IT论坛。2O1�年�月出台的《日本赛博安全战略》提出培养、发掘掌握创新方法和技术的网络空间安全优秀人才的基本路线。 俄罗斯发布数版《信息安全学说》，指导推进信息安全建设和人才培养工作。信息学是俄罗斯中学阶段的一门核心课程，其内容包括信息技术、网络技术、算法和编程语言，据统计，每年有�万中学生注册参加AP计算机科学考试，为俄罗斯培育了超�O万计算机相关技术人才，这其中就包括了大量的世界知名的黑客。俄罗斯在部队系统内大力培养网络空间安全人才，2O1�年，国防部设立了IT技术武备学校，用于培养专门的网络部队后备人才。 另外，美、英、韩、俄、以等网络空间安全人才的培养也依托于部队和地方机构的协同合作。美国海军、陆军、空军向大学和研究机构拨付大量资金进行网络攻防技术研发，并将空军研究实验室向后备军官和普通大学生开放；韩国国防部与忠清大学在2O14年设立专业系，为韩国网军培育网络空间安全人才；日本2O1�年预算七千万日元，用于委托美军进行信息系统人才培养；以色列的网络战部队82OO部队更是拥有优先在高中生中招收人才的权利。 1.1.1国际情况 1999年，美国国家安全局（NationalSecurityAgency,NSA）推出了信息保障教育学术卓越中心（CAEininformationassuranceeducation,CAE-IAE）计划。1999年，该计划首批认证了七所大学。2OO4年，NSA与美国国土安全部（DepartmentofHomelandSecurity,DHS）合作，开展CAE-IAE认证计划。2OO8年，CAE计划增加了创新和卓越中心研究 （CenterofAcademicExcellenceinCyberResearch,CAE-R）认证。2O1O年，网络空间防御（CenterofAcademicExcellenceinCyberDefense,CAE-CD）项目启动，面向研究中心、技术学校、政府培训机构，包含三个项目的认证：四年制学士/硕士教育、两年制预科教育和研究中心项目认证。 2O1O年4月，美国前总统奥巴马启动“国家网络空间安全教育计划(NationalInitia-tiveofCybersecurityEducation,NICE)”，期望通过国家的整体布局和行动，在信息安全常识普及、正规学历教育、职业化培训和认证等三个方面开展系统化、规范化的强化工作，来全面提高美国的信息安全能力。 2O12年，网络空间操作（CenterofAcademicExcellenceinCyberOperations,CAE-CO）项目启动，作为NICE框架的一部分，CAE-CO项目是对CAE-CD的补充，特别强调网络操作专业技术。CAE-CO认证面向四年制本科和研究生院校，参与认证的院校必须是已建立计算机科学（ComputerScience,CS），电子工程（ElectricalEngineering,EE）或计算机工程（ComputerEngineering,CE）专业的院系，或拥有同等技术水平的专业院系，或在两个或两个以上的专业之间有所协作的院系。2O1�年，CAE-IAE指定名称改为网络空间防御教育（CenterofAcademicExcellenceinCyberDefenseEducation,CAE-CDE）。