2023年网络安全人才实战能力白皮书:人才评价篇
AI智能总结
人才评价篇 网络安全人才实战能力白皮书人才评价篇 编写组织 指导单位 国务院学位委员会学科评议组(网络空间安全组)教育部高等学校网络空间安全专业教学指导委员会 主编单位 北京航空航天大学中国科学技术大学永信至诚科技集团股份有限公司 副主编单位 战略支援部队信息工程大学西安电子科技大学东南大学华中科技大学上海交通大学北京电子科技学院中国网络安全审查技术与认证中心蚂蚁科技集团股份有限公司华为技术有限公司中国通信服务股份有限公司中国联合网络通信集团有限公司中国航天系统科学与工程研究院《网络空间安全科学学报》编辑部 参编单位 山东大学四川大学武汉大学北京邮电大学哈尔滨工业大学福建师范大学国网智能电网研究院 编委会副主任:俞能海蔡晶品 副主编:(按照姓氏首字母顺序)程光谷大武李晖刘功申苗守野王峰韦韬魏吴吴一洲雪张宏莉张丽朱俊虎邹德清 编委:(按照姓氏首字母顺序)白晓媛曹勇陈晓琳付磊葛然郭勇李炜刘刘丹刘健孟魁孙小平王霖王孝根魏品品昊文涛许力闫怀志杨望杨洋尤其斌张张倩张跃宇周文成 前言 人才是衡量一个国家综合国力的重要指标。国家发展靠人才,民族振兴靠人才。党的二十大报告中强调,“必须坚持科技是第一生产力、人才是第一资源、创新是第一动力”: 随着网络强国、人才强国战略的推进,我国依托各行业各领域的力量培养和选拨了一批实战型网络安全人才,网络安全队伍质量显著提升,人才结构进一步优化,人才队伍建设取得了重要进展。但在全国深化科技人才评价改革的当下,网络安全行业如何科学有效“除四唯”“破五唯”,如何构建与网络强国、人才强国政策相匹配的网络安全人才评价体系,如何设暨体系化的评价标准指标,如何构建人才长周期评价机制,从而发挥好“指军程作用,成为子人才监管侧、供给侧、需求侧关注的焦点。 《网络安全人才实战能力白皮书》是持续聚焦“我国网络安全人才实战能力”课题的系列白皮书。其中,“攻防实战篇”于2022年正式发布;此次《网络安全人才实战能力白皮书,人才评价篇》(以下简称“《百皮书》“)作为该系列的第二篇章,也是业内首份聚焦网络安全人才评价的皮书,基于2243份一线网络安全从业人员、网络安全相关专业在校学生、授课教师的问卷调研,以及22530条网络安全竞赛演练及考核数据,全面呈现供需两侧人才的基本情况、评价现状、评价需求等。更进一步,结合专家前治理念与实战经验,打造囊括全频谱类别角色、覆盖完整职业生命周期的网络安全人才评价立体化模型,提出面间不同岗位、不司层级人才的评价方式,以及详实的指导建议,希望能为各单位人才战略的实施提供参考,为国家网络安全实战型人才建设建言献策。《白皮书》的特点如下: 1.专家力作,高屋建领。在国务院学位委员会学科评议组(网络空间安全组)、教育部高等学校网络空间安全专业教学指导委员会的指导下,全国十一所一流网络安全学院建设示范项目高校、科研院所、大型央国企及民营企业等深耕网络安全人才建设领域多年的实践专家组成《白皮书》编委会。他们高度凝练在科研教育和岗位实践中的深厚经验,精准把脉各单位网络安全人才发展中的难点,形成了大量的十货、丰富的结论,具有很强的指导性。 2.选题前瞻,精准破题。人才评价问题是一线网络安全人才建设最为关心、讨论最多 的话题之一,人才评价制度、人才评价体系的质量关系到我国网络安全行业发展的根基。《白皮书》作为首个以网络安全人才评价为选题的研究型文献,有针对性地对比了国内外网络安全人才评价制度,分析了供给侧、需求侧网络安全人才评价现状,揭示了不同单位面临的现实性问题,对各单位搭建网络安全人才评价体系提供很强的启发性。 3.源于实践,指导实践。没有调查,就没有发言权。《白皮书》通过大量走访调研、访谈大批网络安全人才管理者、教育工作者及网络安全从业者,以理论结合实践的方式提出网络安全人才评价ASK-P三维结构模型,并针对五大方向的网络安全岗位提出人才分类分层评价方法,对各单位开展网络安全人才评价工作具有很强的操作性, 白皮书由国务院学位委员会学科评议组(网络空间安全组)、教育部高等学校网络空间安全专业教学指导委员会指导,北京航空航天大学、中国科学技术大学、永信至诚科技集团股份有限公司担任主编单位,战略支援部队信息工程大学、西安电子科技大学、东南大学、华中科技大学、上海交通大学、北京电子科技学院、中国网络安全审查技术与认证中心、蚂蚁科技集团股份有限公司、华为技术有限公司、中国通信服务股份有限公司、中国联合网络通信集团有限公司、中国航天系统科学与工程研究院(网络空间安全科学学报。编辑部担任副主编单位,山东大学、四川大学、武汉大学、北京邮电大学、哈尔滨工业大学、福建师范大学、国网智能电网研究院参编。 由于时间仓促,难免存在理解不准或表述不当之处,恩请各位读者不客赐教,我们将不胜感激。 目录CONTENTS 第一章网络安全人才评价状况分析 01 1.1.1美国网络安全人才评价情况·011.1.2欧盟网络安全人才评价情况101.1.3英国网络安全人才评价情况·021.1.4国际网络安全人才认证情况·· 02 1.2国内情况02 1.2.1我国网络安全人才评价情况021.2.2我国网络安全人才认证情况·03 1.3.1人才评价政策制定缺乏战略规划和统筹协调041.3.2人才评价模式和维度单1.3.3人才评价方法和技术有限051.3.4人才评价工作持续性不强06 第二章用人单位网络安全人才评价现状分析 07 2.1网络安全人才评价对象分析 2.1.1性别、年龄及学历情况-072.1.2行业、地域及岗位情况-092.1.3网络安全实战能力情况13 目录 CONTENTS 2.2网络安全人才评价开展情况分析 2.2.1人才评价基本情况142.2.2人才评价重视程度.182.2.3人才评价维度·192.2.4人才评价方式·20 2.3网络安全人才评价效果分析21 2.3.1评价结果公开性-212.3.2评价结果有效性·222.3.3晋升和加薪兑现情况23 第三章院校网络安全人才评价现状分析 25 3.1网络安全人才评价对象分析25 3.1.1性别、年龄及所在院校情况253.1.2地域及专业情况:283.1.3网络安全实战能力情况• 30 3.2网络安全人才评价开展情况分析31 3.2.1人才评价基本情况..3.2.2人才评价维度·343.2.3人才评价方式·34 3.3网络安全人才评价效果分析35 3.3.1评价结果公开性·35 3.3.2评价结果有效性373.3.3有效的评价方式·40 第四章网络安全人才评价体系建设情况分析43 4.1网络安全人才评价体系建设现状 4.1.1院校学生人才评价体系建设现状-434.1.2用人单位人才评价体系建设现状46 4.2网络安全人才评价体系建设需求49 4.2.1院校人才评价体系建设需求494.2.2用人单位评价体系建设需求·- 53 4.3网络安全人才交叉融合能力评价分析. 56 4.3.1院校人才交叉融合能力评价分析564.3.2用人单位人才交叉融合能力评价分析57 第五章!网络安全人才实战能力评价体系 60 5.1网络安全人才评价ASK-P模型概述60 5.1.1意识维度605.1.2技能维度• 615.1.3知识维度·615.1.4实践维度 目录 CONTENTS 5.2网络安全人才分类分层评价概述62 5.2.1网络安全人才分类..635.2.2网络安全人才分层·64 5.3.1网络安全管理岗位评价665.3.2网络安全建设岗位评价..5.3.3网络安全运营岗位评价-765.3.4网络安全审计和评估岗位评价5.3.5网络安全科研教育岗位评价91 第六章网络安全人才评价指导性建议 6.1强化统筹协调,完善政策体系956.2优化人才岗位,践行人才分类分层施策976.3完善评价体系,筑牢人才强基 第一章 网络安全人才评价状况分析 习近平总书记指出:“网络空间的竞争,归根结底是人才竞争。”“要建立适应网信特点的人才评价机制,以实际能力为衡量标准,不唯学历,不唯论文,不唯资历,突出专业性、创新性、实用性。”人才评价是人才工作的“指挥棒”“风向标”,对人才发现和培养起着导向作用。识别人才、评价人才,不仅有助于人才资源的开发和利用,且事关创新战略的驱动和发展。在网络空间成为继陆、海、空、天之后的第五大主权争夺空间的背景下,国际、国内对网络安全人才评价关注度不断上升,各国在网络安全人才培训和评价工作方面都在不断地探索和完善。 1.1国际情况 1.1.1美国网络安全人才评价情况 美国很早开始注重网络安全人才建设制度的制定,2010年就启动了“国家网络安全教育计划(NICE)",经过不断更新和送代,2017年发布了NICE网络安全人才队伍框架3.0版本,其定义了7个工作类别、33个专业领域、52种工作角色,给出了1007项与工作角“能力”。2020年NIST将该框架重命名为网络安全劳动力框架。2023年2月美国发布了国防部手册(DoDM)8140.03网络空间劳动力资格和管理计划,提供了一种有针对性的、基于角色的方法,通过使用DOD网络劳动力框架(DCWF)来识别、培养和鉴定网络人员。 1.1.2欧盟网络安全人才评价情况 2022年,欧盟网络安全局(ENISA)联合14个成员国发布了《欧洲网络安全技能框架》(ECSF),以完善网络安全人才培养与评价。该框架共确定了12个与网络安全相关的角色、以及每一个角色相关的任务、成果、以及所应掌握的知识、技能。为了保障欧盟职业技能相关政策有效衔接,该框架还与早期发布的欧盟ICT人员能力评估框架e-CF(e-Com petenceFramework)进行了映射。e-CF框架在2015年4月正式成为欧盟标准,目前已发展到3.0版本。它把所有ICT人员能力分为5大能力域和40个核心能力项,每个能力项都含有5个熟练级别。e-CF框架还在不同能力领域内描述与划分了5个能力等级。 1.1.3英国网络安全人才评价情况 英国则是由通信总部下属国家信息安全保障技术管理局(CESG)发布(信息安全保障专业人员认证》框架,作为对网络安全人才进行认证和管理的重要依据。该框架将信息保障专业人员分为7大类别,根据不同职责,每个类别又分为3至4个等级。CESG指定的认证机构对安全保障人员进行能力评估,以认定其是否具备相应资质。 1.1.4国际网络安全人才认证情况 网络安全人才评价的另一方面是网络安全职业认证,主要由政府、大学(研究机构)行业协会等提出。在国际上,国际信息系统安全认证联盟(ISC)提出的注册信息系统安全师(CISSP)认证,信息系统审计与管控协会(ISACA)提出的注册信息系统审计师(CISA)认证、注册信息安全经理(CISM)认证,美国计算机行业协会(CompTIA)提出的Securi-ty+认证,国际电子商务顾问局(EC-Council)提出的道德黑客(CertificatedEthicalHacker)认证比较有代表性。这些认证在知识体系的完备性、技术的先进性、评价过程的标准化上,也有一定的优势。CISSP、CISA、CISM、Security+证书也得到了美国国防部(DoD)等欧美政府机构的批准和认可,被全球网络安全从业人员普遍采纳。 此外,英国作为发展互联网较早的国家之一,对网络安全人才的认证也比较重视。英施“注册专业人员”认证项目。 日本方面,日本文部科学省从2007年起开展了“研究与实践结合培养高级网络安全人才项目”,3所大学与11家企业联合开展网络安全人才教育培训,通过该项目建立了网络安全优秀人才认证制度。2016年,日本经济产业省开始实施“信息安全保障师”的资格认证制度,这是日本在信息网络领域开展的首个国家级资格认证。在此之前日本信息处理推进机构(IPA)和部分民间团体也实施了一些信息网络领域的资格考试并对合格人员颁发相应证书。 一些认证机构、协会也推出了若干普适性或细分领域的网络安全人员认证
