网络安全人才实战能力白皮书 2023 人才评价篇 网络安全人才实战能力白皮书 2023 人才评价篇 编写组织 指导单位 国务院学位委员会学科评议组(网络空间安全组) 教育部高等学校网络空间安全专业教学指导委员会 主编单位 北京航空航天大学中国科学技术大学 副主编单位 永信至诚科技集团股份有限公司 战略支援部队信息工程大学西安电子科技大学 东南大学华中科技大学上海交通大学 北京电子科技学院 中国网络安全审查技术与认证中心蚂蚁科技集团股份有限公司 华为技术有限公司 中国航天系统科学与工程研究院《网络空间安全科学学报》编辑部 参编单位 中国通信服务股份有限公司中国联合网络通信集团有限公司 山东大学四川大学武汉大学 北京邮电大学 哈尔滨工业大学福建师范大学 国网智能电网研究院 编委会主任:方滨兴 编委会执行主任:封化民 主 编委会副主任:俞能海蔡晶品 主编:刘建伟 副编:(按照姓氏首字母顺序) 朱俊虎邹德清 程光谷大武李晖刘功申苗守野王峰韦韬魏吴吴一洲雪张宏莉张丽 编委:(按照姓氏首字母顺序) 白晓媛曹勇陈晓琳 付磊葛然郭勇 刘魁 李炜刘 王霖 王孝力根 魏品品 健孟 杨 杨 昊文望涛许洋 刘丹 孙小平 尤其 闫怀志 张跃宇周文成 斌张张倩 网路安全人才实战能力白皮书一人才评价篇 前言 人才是衡量一个国家综合国力的重要指标。国家发展靠人才,民族振兴靠人才。党的 二十大报告中强调,“必须坚持科技是第一生产力、人才是第一资源、创新是第一动力”: 随着网络强国、人才强国战略的推进,我国依托各行业各领域的力量培养和选拨了一 批实战型网络安全人才,网络安全队伍质量显著提升,人才结构进一步优化,人才队伍建 设取得了重要进展。但在全国深化科技人才评价改革的当下,网络安全行业如何科学有 效“除四唯”“破五唯”,如何构建与网络强国、人才强国政策相匹配的网络安全人才评价 体系,如何设暨体系化的评价标准指标,如何构建人才长周期评价机制,从而发挥好“指 军程作用,成为子人才监管侧、供给侧、需求侧关注的焦点。 《网络安全人才实战能力白皮书》是持续聚焦“我国网络安全人才实战能力”课题的 系列白皮书。其中,“攻防实战篇”于2022年正式发布;此次《网络安全人才实战能力白 皮书,人才评价篇》(以下简称“《百皮书》“)作为该系列的第二篇章,也是业内首份聚焦网络安全人才评价的皮书,基于2243份一线网络安全从业人员、网络安全相关专业在 需两侧人才的基本情况、评价现状、评价需求等。更进一步,结合专家前治理念与实战经 验,打造囊括全频谱类别角色、覆盖完整职业生命周期的网络安全人才评价立体化模型, 校学生、授课教师的问卷调研,以及22530条网络安全竞赛演练及考核数据,全面呈现供 提出面间不同岗位、不司层级人才的评价方式,以及详实的指导建议,希望能为各单位人 才战略的实施提供参考,为国家网络安全实战型人才建设建言献策。《白皮书》的特点如下: 1.专家力作,高屋建领。在国务院学位委员会学科评议组(网络空间安全组)、教育部 高等学校网络空间安全专业教学指导委员会的指导下,全国十一所一流网络安全学院建 设示范项目高校、科研院所、大型央国企及民营企业等深耕网络安全人才建设领域多年的 实践专家组成《白皮书》编委会。他们高度凝练在科研教育和岗位实践中的深厚经验,精 准把脉各单位网络安全人才发展中的难点,形成了大量的十货、丰富的结论,具有很强的 指导性。 2.选题前瞻,精准破题。人才评价问题是一线网络安全人才建设最为关心、讨论最多 一I一 的话题之一,人才评价制度、人才评价体系的质量关系到我国网络安全行业发展的根基。 《白皮书》作为首个以网络安全人才评价为选题的研究型文献,有针对性地对比了国内外 网络安全人才评价制度,分析了供给侧、需求侧网络安全人才评价现状,揭示了不同单位 面临的现实性问题,对各单位搭建网络安全人才评价体系提供很强的启发性。 3.源于实践,指导实践。没有调查,就没有发言权。《白皮书》通过大量走访调研、访 谈大批网络安全人才管理者、教育工作者及网络安全从业者,以理论结合实践的方式提出 网络安全人才评价ASK-P三维结构模型,并针对五大方向的网络安全岗位提出人才分类 分层评价方法,对各单位开展网络安全人才评价工作具有很强的操作性, 白皮书由国务院学位委员会学科评议组(网络空间安全组)、教育部高等学校网络空间 安全专业教学指导委员会指导,北京航空航天大学、中国科学技术大学、永信至诚科技集 团股份有限公司担任主编单位,战略支援部队信息工程大学、西安电子科技大学、东南大 学、华中科技大学、上海交通大学、北京电子科技学院、中国网络安全审查技术与认证中 心、蚂蚁科技集团股份有限公司、华为技术有限公司、中国通信服务股份有限公司、中国 联合网络通信集团有限公司、中国航天系统科学与工程研究院(网络空间安全科学学报。 编辑部担任副主编单位,山东大学、四川大学、武汉大学、北京邮电大学、哈尔滨工业大 学、福建师范大学、国网智能电网研究院参编。 由于时间仓促,难免存在理解不准或表述不当之处,恩请各位读者不客赐教,我们将 不胜感激。 -II- 1.1国际情况 目录 CONTENTS 第一章网络安全人才评价状况分析 01 01 1.1.1美国网络安全人才评价情况· 01 1.1.2欧盟网络安全人才评价情况 10 1.1.3英国网络安全人才评价情况· 02 1.1.4国际网络安全人才认证情况· ·02 1.2国内情况 02 1.2.1我国网络安全人才评价情况 02 1.2.2我国网络安全人才认证情况· 03 1.3面临问题 04 1.3.1人才评价政策制定缺乏战略规划和统筹协调 04 1.3.2人才评价模式和维度单 1.3.3人才评价方法和技术有限 05 1.3.4人才评价工作持续性不强 06 第二章用人单位网络安全人才评价现状分析 07 2.1网络安全人才评价对象分析 07 2.1.1性别、年龄及学历情况- 09 2.1.2行业、地域及岗位情况- 13 2.1.3网络安全实战能力情况 目录 CONTENTS 2.2网络安全人才评价开展情况分析 2.2.1人才评价基本情况 14 18 2.2.2人才评价重视程度. 19 2.2.3人才评价维度· 2.3网络安全人才评价效果分析 21 20 2.2.4人才评价方式· 21 2.3.1评价结果公开性- 22 2.3.2评价结果有效性· 23 2.3.3晋升和加薪兑现情况 第三章院校网络安全人才评价现状分析 25 3.1网络安全人才评价对象分析 25 3.1.1性别、年龄及所在院校情况 25 3.1.2地域及专业情况: 28 3.1.3网络安全实战能力情况 •30 3.2网络安全人才评价开展情况分析 31 3.2.1人才评价基本情况..3.2.2人才评价维度· 34 3.2.3人才评价方式· 34 3.3网络安全人才评价效果分析 35 3.3.1评价结果公开性· 35 IV 37 3.3.2评价结果有效性 40 3.3.3有效的评价方式· 第四章网络安全人才评价体系建设情况分析 43 4.1网络安全人才评价体系建设现状 43 4.1.1院校学生人才评价体系建设现状- 46 49 4.1.2用人单位人才评价体系建设现状 4.2网络安全人才评价体系建设需求 49 4.2.1院校人才评价体系建设需求 4.3网络安全人才交叉融合能力评价分析 4.2.2用人单位评价体系建设需求·-53 4.3 4.3.1院校人才交叉融合能力评价分析 4.3.2用人单位人才交叉融合能力评价分析 .56 56 57 第五章!网络安全人才实战能力评价体系 60 5.1网络安全人才评价ASK-P模型概述 60 60 5.1.1意识维度 5.1.2技能维度•61 61 5.1.3知识维度· 5.1.4实践维度 97 目录 CONTENTS 5.2网络安全人才分类分层评价概述 62 63 5.2.1网络安全人才分类.. 64 5.3网络安全人才岗位评价 66 5.2.2网络安全人才分层· 5.3.1网络安全管理岗位评价66 5.3.2网络安全建设岗位评价.. 76 5.3.3网络安全运营岗位评价- 5.3.4网络安全审计和评估岗位评价 91 5.3.5网络安全科研教育岗位评价 第六章网络安全人才评价指导性建议 95 6.1强化统筹协调,完善政策体系 95 6.2优化人才岗位,践行人才分类分层施策 6.3完善评价体系,筑牢人才强基 第一章网络安全人才评价状况分析- 第一章 网络安全人才评价状况分析 习近平总书记指出:“网络空间的竞争,归根结底是人才竞争。”“要建立适应网信特 点的人才评价机制,以实际能力为衡量标准,不唯学历,不唯论文,不唯资历,突出专业 性、创新性、实用性。”人才评价是人才工作的“指挥棒”“风向标”,对人才发现和培养起 着导向作用。识别人才、评价人才,不仅有助于人才资源的开发和利用,且事关创新战略 国际、国内对网络安全人才评价关注度不断上升,各国在网络安全人才培训和评价工作方 面都在不断地探索和完善。 的驱动和发展。在网络空间成为继陆、海、空、天之后的第五大主权争夺空间的背景下, 1.1国际情况 1.1.1美国网络安全人才评价情况 美国很早开始注重网络安全人才建设制度的制定,2010年就启动了“国家网络安全 教育计划(NICE)",经过不断更新和送代,2017年发布了NICE网络安全人才队伍框架3.0 版本,其定义了7个工作类别、33个专业领域、52种工作角色,给出了1007项与工作角 “能力”。2020年NIST将该框架重命名为网络安全劳动力框架。2023年2月美国发布了国防部手册(DoDM)8140.03网络空间劳动力资格和管理计划,提供了一种有针对性的、 基于角色的方法,通过使用DOD网络劳动力框架(DCWF)来识别、培养和鉴定网络人员。 1.1.2欧盟网络安全人才评价情况 2022年,欧盟网络安全局(ENISA)联合14个成员国发布了《欧洲网络安全技能框架》 (ECSF),以完善网络安全人才培养与评价。该框架共确定了12个与网络安全相关的角 色、以及每一个角色相关的任务、成果、以及所应掌握的知识、技能。为了保障欧盟职业 技能相关政策有效衔接,该框架还与早期发布的欧盟ICT人员能力评估框架e-CF(e-Com petenceFramework)进行了映射。e-CF框架在2015年4月正式成为欧盟标准,目前已发展 到3.0版本。它把所有ICT人员能力分为5大能力域和40个核心能力项,每个能力项都含有5个熟练级别。e-CF框架还在不同能力领域内描述与划分了5个能力等级。 1.1.3英国网络安全人才评价情况 英国则是由通信总部下属国家信息安全保障技术管理局(CESG)发布(信息安全保障 专业人员认证》框架,作为对网络安全人才进行认证和管理✁重要依据。该框架将信息保 障专业人员分为7大类别,根据不同职责,每个类别又分为3至4个等级。CESG指定✁ 认证机构对安全保障人员进行能力评估,以认定其是否具备相应资质。 1.1.4国际网络安全人才认证情况 网络安全人才评价✁另一方面是网络安全职业认证,主要由政府、大学(研究机构) 行业协会等提出。在国际上,国际信息系统安全认证联盟(ISC)提出✁注册信息系统安全 ty+认证,国际电子商务顾问局(EC-Council)提出✁道德黑客(CertificatedEthi