NICE 网络安全人才队伍框架分析

时间:2023-05-12 09:45:01

导言:作为写作爱好者,不可错过为您精心挑选的1篇NICE 网络安全人才队伍框架分析,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。

NICE 网络安全人才队伍框架分析

1引言

在当前网络空间“一超多强”的力量格局下,网络空间局势日益紧张,2021年谷歌前任CEO领导的智库“中国战略组”在《非对称竞争:应对中国科技竞争的战略》报告中指出,“要强化科技领域信息能力,大力争夺科技人才,联合各国应对来自中国的科技竞争。”“人才战”已成为各国博弈的主战场之一,“网络空间的竞争,归根结底是人才竞争”。加强网络安全人才队伍建设,已成为维护国家网络安全和建设网络强国任务的核心需求。

2nice网络安全人才队伍框架的目的

自“国家网络安全综合计划(CNCI)”时期,美国就逐渐发现,对网络安全人员工作角色的描述没有统一的定义,对网络安全人员工作能力的测评也没有统一的标准,要在国家层面造就一支规模宏大、结构优化、布局合理、素质优良的网络安全人才队伍,亟须研究网络安全从业人员识别和描述的标准,制定专门的网络安全人力框架,否则难以对网络安全人才队伍数量、质量以及能力缺口进行评估[1]。NICE网络安全人才队伍框架定义和标准化了网络安全人才岗位能力规范,建立了一套全国通用的网络空间安全相关的词汇、分类法及其他数据标准,规范了网络空间安全领域所覆盖的专业范畴、职业路径、岗位能力和资格认证等具体内容,是确保美国创建和保持全球一流网络安全人才队伍的基础。

3NICE网络安全人才队伍框架的发展演进过程

网络安全人才建设是国家网络安全领域发展的基础性工作,网络安全人才是国家网络安全保障的根基,美国很早就开始注重网络安全人才标准的制定,2008年,美国就发布了制定网络安全人才标准的任务,要求联邦首席信息官委员会(CIOC)提供相对应的人才标准框架。2010年4月,美国“国家网络安全教育(NICE)计划”开始启动,这是美国为落实国家网络安全综合计划(CNCI)部署,出台的一项旨在加强政府、企业、学校、科研院所等各界合作,关注网络安全教育、培训和人力开发的国家级计划[2]。2011年联邦首席信息官委员会(CIOC)提交了研究的成果,初步将网络安全领域的角色划分为11个。随后,NICE计划结合该研究成果,2011年9月发布了NICE网络安全人才队伍框架1.0版本,在人才队伍框架中提出专业类别与专业领域的概念,同时将网络空间安全专业领域划分为7个大类,31个专业领域。2014年4月发布了NICE网络安全人才队伍框架2.0版本,该版本是由国土安全部(DHS)牵头,成立专题研究小组,广泛收集政、产、学各界行业专家意见进行修订完成,将网络空间安全专业领域划分为7个大类,32个专业领域。相较于1.0版本,2.0版本既反映了联邦政府各部门的意见,又体现了产业界的反馈信息,确保了该人力框架适用于美国各种行业。2016年11月,在2.0版本的基础上融合国防部(DoD)等部门的修改内容,进一步将网络空间安全专业领域划分为7个大类、33个专业领域,同时增加了52个工作角色,并对每个工作角色进行了描述,给出了每个角色对应的任务(Task),以及每个角色需要具备的知识、技能和能力(KSAs),并由美国商务部国家标准与技术研究院(NIST)作为标准草案发布。2017年8月,NICE网络安全人才队伍框架3.0版本正式发布。在该版本中修订的重要内容之一就是补充完整了“搜集和操作(CO)”、“分析(IN)”这两个大类下的目标任务(Task)以及知识、技能和能力(KSAs)。这两个大类带有比较明显的网络攻防特色,在人才队伍框架1.0版的公开发行版中是缺省的。这也意味着美国需要借助社会力量来培养网络空间安全人才,网络空间安全成为了一个全国性的人才培养领域。2019年11月,NICE网络安全人才队伍框架再次进行修订,2020年11月发布NIST特别出版物800-181修订版1,该修订版将该框架重命名为网络安全劳动力框架[3]。该修订版中,NICE框架弃用类别和专业领域,提出了由任务、知识和技能组成的一组简化的“构建块”,简化了框架的组织架构,也隐藏了框架的组织细节,这也体现出美国对网络安全人才培养过程中战略层次的转变,也意味着网络空间安全形势的博弈正日益加剧。

4NICE网络安全人才队伍框架的基本内容

4.1培养目标

美国设计NICE网络空间安全人才队伍框架的总体目标包含三个层次,第一是提升国家网络空间风险意识;第二是扩充网络安全领域人才储备;第三是培养具有全球竞争力的网络安全人才队伍[4]。而最新版本的NICE网络空间安全人才队伍框架提出了两个更加具体的目标:美国需要通过国家网络空间安全教育计划(NICE)来培养“更多数量的熟练网络空间安全专业人才”并“致力于培养一支从入职到离职都具有全球竞争力的、时刻准备着保卫国家,应对现有的和可能出现的网络空间安全挑战的一体化网络空间安全人才队伍”。

4.2NICE网络安全人才队伍框架结构

NICE网络安全人才队伍框架由7类组件组成,用工作类别(Category)、专业领域(SpecialtyArea)和工作角色(WorkRole)这3类组件来描述网络空间安全工作,同时指定了4类组件来为每个工作角色定义相关的网络空间安全的知识(Knowledge)、技能(Skill)、能力(Ability)、任务(Task)。每个工作类别下有多个专业领域的分支,每个专业领域下又有多个工作角色的分支,每个工作角色又是由大量独立的任务和与之对应的KSAs(“知识”、“技能”、“能力”的统称)组成。NICE网络安全人才队伍框架3.0版中定义了7个工作类别、33个专业领域、52个工作角色,列出了共1007项与工作角色相对应的“任务”、634项从事网络安全工作所需要的“知识”、377项“技能”和177项“能力”。

(1)类别

类别(Category)是NICE网络安全人才队伍框架的顶层概念(和职位头衔无关),一共有7个类别,分别是安全准备(SP)、操作和维护(OM)、监督和治理(OV)、保护和防御(PR)、分析(AN)、搜集与操作(CO)、调查(IN)。其中,“保护和防御(PR)”类别,主要负责鉴别、分析、减缓对内部IT系统或网络的威胁;“分析(AN)”类别,通过专业化的手段分析与评估数据信息,确定信息价值;“搜集与操作(PR)”类别,负责提供专业性的拒绝与欺骗行动以及网络空间数据的搜集,属于网络空间防御的范畴。这三大类与网络空间安全紧密相关,这也表现出美国对网络空间安全人才队伍建设的支持与重视。

(2)专业领域

专业领域(SpecialtyArea)是各个类别下包含的网络空间安全工作分组。专业领域的制定随着NICE网络安全人才队伍框架版本的更新,也在不断进行更新,在1.0版本中划分了31个专业领域,2.0版本中增加到32个专业领域,3.0版本中达到了33个专业领域。比如,在3.0版本中“搜集与操作(CO)”类别中就包含3个专业领域,分别是搜集活动(CLO)、网络计划(OPL)、网络行动(OPS),相对于2.0版本中,增加了网络行动(OPS)领域。每个专业领域代表了网络空间安全领域的一类专门工作职能。比如,搜集活动(CLO)领域规定专业人员负责使用适当的搜集策略,并以搜集管理过程中建立的优先级来执行信息搜索;网络计划(OPL)领域指出专业人员负责收集信息并制定详细的网络计划和命令以满足网络活动需求;网络行动(OPS)领域则明确专业人员负责使用自动化工具管理、监控和实施大规模的网络活动以响应全国性的战略需求[4]。专业领域的更新不仅反映出NICE网络安全人才队伍框架的持续更新性,也反映出当前美国对网络空间安全的态度及对网络空间安全人才培养的急迫性。

(3)工作角色

工作角色(WorkRole)是IT、网络空间安全或网络空间相关工作最细化的分组。工作角色阐明了从业人员完成规定职能和职责所必须具备的知识、技能和能力。一个网络安全从业人员一般承担了一个或者多个工作角色并履行相关职责。比如,网络计划(OPL)领域包含3个工作角色,分别是网络空间信息策划师、网络空间行动策划师、协作合同策划师。以网络空间信息策划师为例,该工作角色负责制定详细的信息计划,以满足网络攻防要求,与网络空间行动策划师合作确定、验证和收集、分析行动要求,参与网络安全行动,执行信息活动以支持网络空间中的组织目标,从中可以看出网络空间信息策划师应履行的职责,让从业者更加清晰自身定位。

(4)任务

任务(Task)是指每个工作角色都需要通过完成一些任务来履行其职责。仍然以网络空间信息策划师为例,该工作角色需要完成45项任务,除了典型的收集信息、评估漏洞、根据信息制定行动计划等任务,还包括保持态势感知,以确定操作环境的变化是否需要审查计划(T0743)及与其他团队成员或合作组织合作开发各种信息材料(例如网页,简报,印刷材料)(T0601)等任务。

(5)知识、技能、能力

KSAs(知识、技能和能力)是完成一项工作必需的属性,一般通过相关的工作经验、教育背景或培训经历体现。NICE网络安全人才队伍框架为每个工作角色清晰定义了胜任该职责和职能所必须具备的任职资历和能力。比如网络空间信息策划师,NICE网络安全人才队伍框架规定该工作角色需要具备89种知识,除了计算机组件与体系结构、计算机网络、信息采集、通信技术、信息安全、网络安全、网络攻击、编程语言、软件开发、信息等专业知识,还需熟悉网络法律、网络运营、隐私原则、实施后审查(PIR)审批流程等相关知识。在这89种知识结构中,编号K0001-K0006是规定每一位网络安全人员都必须具备的知识。NICE网络安全人才队伍框架还规定该工作角色同时需具备36种技能、17种能力。比如记录、传达、分析、提取、撰写、评估、预测信息的技能及行动策划技能等。从以上分析中我们可以了解到每个工作角色可能需要广泛的KSAs,如果缺少一个或多个KSAs,那么希望填补该工作角色的人员将具体了解哪些领域需要改进,并且可以寻求学术课程或行业培训以获得必要的知识。如果没有找到这种工作人员,雇主就有具体的任务说明和KSAs要求,这些要求可以在招聘公告中公布,也可以用于承包商工作人员来扩充现有人员。

4.3NICE网络安全劳动力框架结构

2020年11月发布的NIST特别出版物800-181修订版1,将网络安全人才队伍框架重命名为网络安全劳动力框架。该框架弃用了之前框架中的类别与专业领域组件,删除了2017版框架的附录A和B中以前可用的任务、知识、技能和工作角色的列表,将任务、知识和技能以及相应的能力和工作角色作为单独的组件进行维护,同时更改了任务、知识、技能和能力之间的关系,提出由任务、知识和技能组成一组简化的“构建块”,这些“构建块”描述了要完成的工作(以任务的形式)以及完成该工作所需的知识(通过知识和技能)。NICE网络安全劳动力框架在使用时,不仅可以用框架中已有的任务、知识、技能进行描述工作和学习者,还可以创建全新的任务、知识或技能声明,帮助组织量身定制NICE框架。

(1)能力

NICE网络安全劳动力框架利用能力为组织提供了一种评估学习者的机制,能力包括名称、能力描述,评估方法以及一组相关的TKS语句,该框架允许组织将各种TKS语句组合成一个更广泛的能力,尽管单个任务及其相关的知识、技能陈述可能不会更改,但定义更广泛的能力可能会引入新任务,甚至引入特殊的知识和技能(或删除现有任务),如此可以更好响应不断变化的网络安全生态系统中的新需求。NICE网络安全劳动力框架允许组织使用NICE人力框架中现有的能力评估学习者,也允许组织利用任务或知识与技能创造新的能力去评估学习者。

(2)工作角色

NICE网络安全劳动力框架强调工作角色由构成要完成的工作的任务组成,任务包括相关的知识和技能,这种改变使工作角色描述更为简单快捷,提高了框架使用的敏捷性。

(3)团队

由于网络安全领域工作的复杂性,许多组织使用团队,通过将具有互补技能和经验的个人召集在一起,共同应对复杂的挑战。NICE网络安全劳动力框架引入了团队的概念,利用工作角色或能力来定义团队。以工作角色为中心的团队构建方法使组织可以定义实现目标所需的工作角色类型。由于工作角色本身是由能力组成的,因此这种构建团队的方法始于要完成的工作,这种方法是“自上而下”构建方法;以能力为中心的团队构建方法,面对未来的某个单个任务可能是未知的,但是解决挑战所需的能力类型却是已知的,这种方法是“自下而上”的构建方法。

5NICE网络安全人才队伍框架的关联配套

NICE网络安全人才队伍框架关联性和适用性很强,有关组织部门可以利用其开发或者衍生出其他专门领域的网络安全框架[6]。2015年,美国国防部在NICE人才队伍框架的基础之上,结合网络司令部发布的《联合网络空间培训与认证标准》(JCT&CS,JointCyberTrainingandCertificationStandards),制定了《国防部网络空间人才队伍框架》(DCWF,DoDCyberWorkforceFramework);美国商务部国家标准与技术研究院(NIST)参考NICE网络空间安全人才队伍框架的类别和标准划分,制定了《改进关键基础设施网络安全框架》;美国国土安全部参考NICE网络安全人才队伍框架中的专业领域、任务以及知识、技能和能力(KSAs)等,开发了“网络安全人力发展工具包”;美国人事管理局(OPM)要求执行NICE网络空间安全人才队伍框架的标准,以确定信息技术、网络安全或其他网络相关功能的所有联邦文职职位[6]。

6总结与启示

(1)NICE网络安全人才队伍框架专业结构划分极为细致。该框架用细小的颗粒度对每一个工作岗位进行了深刻的描述,比如网络空间信息策划师这个工作角色,该框架指出它需要具备89种知识、36种技能、17种能力,这些知识、技能与能力不仅仅包含该工作角色所必须具备的信息、网络安全、信息安全、网络攻击、通信技术等专业知识、技能、能力,还涵盖了法律、网络运营、隐私原则、实施后审查(PIR)审批流程等相关辅助性的知识、技能、能力。

(2)NICE网络安全人才队伍框架时刻关注网络空间安全态势,保持动态更新。该框架从最初版本到目前的最新版本,完善与修订的最关键的部分均与网络空间安全行动领域密切相关,而该框架目前仍在继续更新。从框架的更新历程中,能够看到美国对网络空间安全领域越来越重视的态度及美国对网络安全人才建设的战略计划。

(3)NICE网络安全人才队伍框架为我国网络安全人才建设提供了培养方向。建设网络强国必须要有高素质的网络安全人才队伍,我国要积极参考美国网络安全人才队伍框架,“从顶向下”梳理网络安全领域的专业类别、岗位职责、任职能力需求等内容,打造适合我国网络安全领域的人才培养框架,打通学校教育、专业培训、岗位成才等各种渠道,形成网络安全培养生态体系,推动多层次、高水平、广覆盖、强集聚的网络安全人才队伍建设。

参考文献:

[1]王星.美国网络安全从业人员标准体系研究[J].中国信息安全,2018(07).

[2]王星.美国网络安全人才政策综述[J].信息安全与通信保密,2018(08).

[3]位华.美国等网络强国网安人才建设举措及启示[J].中国信息安全,2017(04).

[4]韩臻.美国NICE网络空间安全人才队伍框架探析[J].保密科学技术,2012(09).

[5]郑美.美国网络安全产业人才培养的标准化趋势——《网络安全人力框架》解析[J].信息安全与通信保密,2018(08).

作者:谢江涛 康绯 卜文娟 单位:战略支援部队信息工程大学