美国联邦政府网络安全人才发展现状及思路 作者:中国信息安全测评中心/ 王星

网络安全态势日趋复杂,安全威胁层出不穷,网络安全人才短缺已是世界各国均须面临的现实问题,即使在网络空间能力优势明显的美国也不例外。美国拥有世界一流的网络安全人才,也依然在不断发声强调其在人才数量和质量上的缺口。美国政府和智库的网络安全人力资源分析报告充满危机意识,认为于联邦政府公务员队伍中的网络安全人才发展问题面临严峻挑战。

依照美国联邦法律,联邦政府各部门均有义务保护各自系统和网络的安全性。部分特殊部门如国土安全部(DHS)、国防部(DoD)在网络安全领域肩负着更大的职责。如DHS负责保护非涉密的联邦民用系统和网络,协助其他部门应对网络威胁和攻击,同时DHS也负责牵头协调私营行业,为网络关键基础设施资产提供保护。DoD则负责防御可能对美国构成“严重后果”的网络攻击,在网络空间执行军事行动,此外也负责协助DHS落实政府内部网络安全职责。美国多份有影响力的网络安全人力资源报告普遍认为,政府部门网络安全人才危机较其他行业更甚,不利于美国网络空间安全保障。

美联邦政府网络安全人才发展面临的主要挑战

美国管理与预算办公室(OMB)2015年发起的一项联邦网络安全政策评估结果显示,美政府在网络安全人员方面存在两大问题:一是网络安全和信息技术人才的缺乏成为影响联邦政府各部门信息和资产保护能力的主要制约因素;二是当前联邦政府已制定了若干计划应对这一挑战,但这些计划的落实和对相关项目的认识还存在不一致之处。专门为联邦政府服务的非营利组织“公共服务合作组织”和知名战略咨询公司博思艾伦于2015年联合发布了一份关于联邦政府网络安全人才问题的报告,认为美政府网络安全公务员队伍面临着以下5个方面的挑战。

1. 政府缺乏吸引和留用顶级网络安全人才的整体战略

一个完善的政府网络安全人员整体战略应包含以下内容:(1)以国家网络安全教育计划(NICE)推出的“国家网络安全人员框架”为基准,盘点当前政府网络安全人员规模及其能力水平;(2)对政府未来网络安全人力资源需求进行预测;(3)从质量和数量两方面,对政府当前人员队伍和未来目标人员队伍之间的差距进行评估;(4)制定系列战略、项目、政策,以消除前述差距。

没有这样一个整体战略,联邦各部门的网络安全人事工作就会缺乏统筹规划;而网络安全岗位人员真实统计数量的缺位,又致使政府很难制定出人才招聘、部署、发展和留用的整体战略。造成这一困局的部分原因在于政府岗位分类方法同实际有很大出入。美联邦政府多数文职公务人员按照“普通薪级表(简称GS)”进行岗位分类,很多网络相关岗位都归类在GS的“2210信息技术管理序列”中。而按照NICE的“国家网络安全人员框架”,网络安全包含7大类30多个岗位,GS-2210难以覆盖所有类型的网络安全人员。据人事管理办公室(OPM)2015年2月的估算,“网络安全属于一项跨领域的工作,涉及100多个联邦岗位序列”。

2. 高技能网络安全人员需求较大,政府吸引力不足

网络安全人员需求呈指数级增长,唯有在供应侧提高人员的数量和质量才能解决这一问题。联邦政府高端网络安全人员缺乏问题尤其严重,此类人员包括能够发现和分析复杂网络安全威胁的专家,以及兼具技术实力和领导力、沟通和团队构建等软实力的人才等。

在高校设置本科和研究生奖学金有助于增加入门级网络安全人才的供给,这方面实施效果较好的有“网络兵团服役奖学金(Cyber Corps SFS)”项目。目前已有2千多名学生参与该项目,约有93%的学生进入120余个联邦政府部门从事全职或实习工作。但奖学金计划的问题主要在于,一是获取奖学金的学生水平虽然很高,但学生整体数量仍然不足;二是发放奖学金的组织和实际用人单位不一致,难以精准地填补用人单位人才缺口。扩大人才供应的另一有效途径是提升网络安全高等教育水平,如国家安全局和国土安全部联合发起的卓越学术中心(CAE)计划,主要针对提供信息保障、网络安全的高校等学术机构提供关于课程和师资的标准和指导。CAE的认证标准非常严格,已成为网络安全高等教育领域的黄金标准,但在认证中仍应注重以教育产出为导向,即入学和毕业的学生质量。目前CAE下设的信息保障、网络防御、研究,以及网络行动等方向中,有专家认为仅有网络行动方向是真正以实际教育产出为导向的。

3. 招聘过程缓慢低效,致使政府流失顶级候选人才

联邦政府网络安全相关部门领导普遍认为,网络安全人员招聘流程缓慢,且缺乏灵活性。与此同时,人力资源部门却坚称各部门主管及招聘负责人已经拥有了聘用顶级人才所必需的所有灵活手段。从某种意义上说,两者的说法并不矛盾。现有的招聘和灵活处理手段的确有助于人才的聘用,但这些手段过于局限、集中和传统,并不是常态的做法。政府问责办公室(GAO)2011年的一份报告显示,网络安全岗位招聘周期介于50到130天,之后可能还需花费同样长的时间用来办理安全许可证手续。而私营行业人员招聘周期仅需数日到数周时间,高水平候选人才很容易向企业流动。

能够加快或简化公务员招聘流程的灵活手段包括:针对特定急需紧缺岗位批准的“直聘(Direct-hire)”授权、长期短缺的“Schedule A”类职位授权等。但对于30多类网络安全岗位来说,上述方法的促进作用非常有限。政府招聘周期漫长也是效率低下和官僚主义的结果,有时“直聘”也并不比正常的公务员招聘速度加快很多。此外,人才评估方法低效过时也构成一大阻碍。多数招聘负责人使用的人事软件仅依靠关键字过滤、从业时间长短等因素筛选简历,无法反映出符合网络安全特点的人才特质。最后,安全许可证授权周期过长也是不利于政府部门吸引网络安全人才的一大障碍。

4. 联邦政府各部门培训发展情况不均衡

联邦政府对新入职的网络安全岗位人员需要进行培训,目前主要由各部门自行开展。此类培训的内容多是标准的网络安全认证课程,或是政府各部门通用的政策、规定和通报规程,部门间差异不大。联邦政府现有若干解决方案,如国土安全部、国防部和国务院发起的“联邦虚拟培训环境”能够为网络安全和信息技术人员提供培训和实操课程,国土安全部和国务院发起的“联邦网络安全培训活动”计划可提供1-3日的培训和实践体验。尽管有这些办法,但联邦政府各部门的培训总体呈现出自组织、不均衡的特点,缺乏一个跨部门的整体培训计划来宣贯网络安全相关的专业价值和行为。

执法部门也曾面临类似问题,联邦政府曾针对执法人员创建了一个跨部门的人员培训中心。在GS-1811职位序列下共有20多种执法类职位,包括美国公园警察局、特勤局、海关与边境保护局、缉毒局等部门的雇员,他们均具备逮捕甚至使用致命武器的权力。上述部门共同建立了“联邦执法培训中心(FLETC)”,由DHS负责运营,各部门共同提供经费、讲师以及课程。此类先例表明,实施跨部门的统一培训计划是可行的,且有助于宣贯统一的理念、价值观和行为规则。

5. 政府部门薪酬竞争力不足,尤其难以吸引有经验的人才

联邦政府部门和私营领域的网络安全从业人员之间存在着较大的收入差距,人员级别越高这种差距越明显。私营领域的网络安全从业人员年薪最高可达22.5万美元,而联邦政府网络安全岗位人员最高年薪仅为13万美元。联邦政府各部门不仅要同私营领域进行人才竞争,普通部门还要和国防、情报等部门争夺优秀人才,因为后者在人员薪酬待遇上享有一定的灵活性。此外,由于政府部门按照GS俸表提供的薪酬有限,也使一部分高端人才流入合同厂商,如承担外包项目的私营企业或政府资助的研发中心等。合同厂商高薪聘请这部分人才,又以按小时计费形式请他们为政府提供服务。

对于技术人员,私营领域普遍实行双轨制,他们可以选择担任管理岗或成为行业领域专家。而在联邦政府部门,网络安全人员单纯依靠技术水平、不考虑管理的话很难在政府部门实现职位晋升。按照GS序列,网络安全人员可以转为管理岗,但继续从事技术工作却很难实现职业晋级。因此,缺乏清晰的职业路径也导致政府部门容易流失高级人才。

美联邦政府网络安全人才未来发展的战略思路

为解决联邦政府网络安全人才短缺的突出问题,美国管理与预算办公室和人事管理办公室成立了4个由政产学各方代表组成的团队,在实施现有政策综合评估的基础之上,于2016年7月12日发布了《联邦网络安全人员战略》(以下简称“《战略》”),要求为美联邦政府确定、招募、培养、留用“最优秀、最聪明以及最多样化的网络安全人才。”这份战略也是依照2016年2月奥巴马总统提出的《网络安全国家行动计划(CNAP)》和2017年预算中的要求,为联邦政府各部门网络安全人员扩容和能力提升所发布的首份人才战略,其目的在于:一是推动拥有高技能的网络安全人才加入联邦政府,二是针对已担任公职的网络安全人员加大投入从而留住这些人才。该《战略》从人才的发现、培养、招募,以及留用四方面提出以下四项目标:

目标一:明确网络安全人员需求。牵头实施部门包括人事管理办公室、国防部、国家标准与技术研究院,具体内容是明确联邦政府各部门网络安全人员能力和数量上存在的差距,以便改进网络安全人员队伍规划和人才发展工作。《战略》尤其强调,要避免使用“网络专业人员”一词指代所有网络安全从业人员,因为按照国家网络安全教育计划发布的国家网络安全人员框架,网络安全人员包含30多类岗位,这些岗位各自要求的技能类别和级别都各不相同。《战略》还要求联邦各部门对上述人员框架和配套的工具进行评估,未来不仅要明确网络相关空缺岗位的数量,还要明确相关岗位职责和人员技能差距。

目标二:加强教育培训,扩充网络安全人员队伍。牵头实施部门包括管理与预算办公室、国家安全局、国土安全部、国家标准与技术研究院等。这一目标的核心宗旨是拓宽教育领域向联邦政府输送网络安全人才的渠道,具体包括两方面内容:一是协同学术机构,改进网络安全基础课程。对高等教育和学术组织现有的网络安全课程状况进行评估,开发网络安全课程指导意见和知识单元,提高学习网络安全学生的数量。二是向学术机构提供资源,在全美范围内加强网络安全教育。由国家安全局和国土安全部共同发起的卓越学术中心计划已认证了200家左右在网络安全学科领域达标的学术机构,政府将在此基础上继续加大鼓励措施,提升网络安全教育质量,扩大招生和师资规模。

目标三:招募、聘用高技能网络安全人才。牵头实施部门包括人事管理办公室、管理与预算办公室、国土安全部、国家科学基金会等。该目标预期的成果是提升入职联邦政府的网络安全人才数量,提供有效的人事服务,帮助政府各部门迅速填补岗位空缺。拟采取的行动包括,在符合相关法律和适用标准的前提下,精简人员招聘和安全许可证授予的流程;制定联邦网络安全职业意识宣传交流战略,成立网络安全人力资源专家团队,执行及时、高效的网络安全人才招聘流程;关注人才多样化问题,提高网络安全人员中女性、退伍军人,以及少数族裔的比例;建立更加灵活的机制,为网络安全岗位人员提供更有竞争力的薪酬待遇。

目标四:高技能网络安全人才的留用和发展。牵头实施部门包括管理与预算办公室、人事管理办公室、国防部、国土安全部、国家标准与技术研究院等。实现该目标的思路主要是建立网络安全人员职业发展路径,通过专业能力提升和薪酬待遇等激励手段,实现人才的留用和发展。拟采取的行动包括:开发绩效管理、人才发展,以及灵活的薪酬机制等方面的最佳实践;创造机会,帮助网络安全人员成为相关领域专家或担任管理角色;利用竞赛、资质认证、认可等手段,使网络安全人员实现能力提升进而升职加薪;针对财务和采购等非网络安全领域人员进行定制培训,更好地为网络安全提供支持;针对事件响应和渗透测试等特定类型的网络安全专业人员开发通用的培训项目。

结语

美联邦政府此次发布的《战略》是为了应对政府各部门在网络安全人才方面持续面临的挑战而推出的一项政府人力资源文件。该文件的出台填补了美联邦政府网络安全人才整体发展战略的空白,有助于政府各部门统一思路,在网络安全人才工作中更好地整合资源和加强合作。此外,《战略》不仅提出了整体目标,也做出了具体的工作部署。文件中明确了各项具体任务的牵头实施部门,给出了3个月到1年不等的时间期限,以期取得实际工作成效。

从公务员队伍建设的角度来看,各个国家常面临一些相同或类似的问题。美新发布的《战略》依照人才发展周期,覆盖了网络安全人才发现、培养、招募,以及留用的四个阶段,考虑了吸引网络安全人才担任公职需要应对的各项问题,其提出的思路和部分措施对我国具有一定的借鉴意义。

 

2017-01-13 11:01
来源:中国信息安全杂志(2016.9)
热门推荐更多
热点新闻更多