【编者按】2019年12月,欧洲网络与信息安全局(ENISA)发布《欧盟网络安全技能发展》(Cybersecurity Skills Development In The EU)报告。该报告围绕网络安全技能短缺内涵和现状、网络安全教育和培训面临的挑战、网络安全学位认证、欧盟数字和网络安全教育政策、ENISA高等教育数据库等进行分析介绍,提出在全球数字化背景下,全球网络安全技能短缺的规模约407万,网络安全专业人才在数量和质量上都无法满足市场需求,已经成为影响经济发展和国家安全的重要问题。因此,需要重新设计教育和培训方式,从而改善当前网络安全教育中的问题,重新定义网络安全专业人才进入劳动力市场后应该掌握的知识和技能,从根本上改变网络安全技能短缺的现状。
一、网络安全技能短缺
1、定义
网络安全技能短缺(The cybersecurity skills shortage,CSSS)是指劳动力市场缺乏合格的网络安全专业人员。
2、世界各国网络安全技能短缺的现状
网络安全是劳动力市场上最紧缺的行业之一。2019年美国Burningglass的数据显示:
(1)自2013年以来,网络安全职位需求增加了94%,而信息技术(IT)职位仅增加了30%;
(2)网络安全占所有IT行业的13%,但他们的工资比其他IT行业高出16%;
(3)网络安全职位空缺的填补时间比其他IT行业多出20%;
(4)自2015-2016年以来,网络安全专业人员的就业比例一直没有变化,稳定在2.3,而相比之下,其他行业的就业比例为5.8。
这些数据表明,网络安全技能短缺已经是一种普遍现象。企业战略集团和信息系统安全协会( the Enterprise Strategy Group and the Information Systems Security Association,Oltsik)发布的2019年度报告称,网络安全技能短缺将会对74%的组织产生影响。网络安全技能短缺增加了现有员工的工作量,使其无法获得培训或学习新技术,猎头公司也会采用激进的招聘策略来留存网络安全专业人士。
根据2019年国际信息系统安全认证协会(Internationa Information Systems Security Cerification Consortium,ISC)的估计,目前全球网络安全技能短缺的规模大约是407万,只有在现有劳动力规模增长145%的情况下,才能够满足劳动力市场的需求。
3、欧盟网络安全技能短缺的现状
2017年,欧盟委员会表示只有部分成员国能够建立计算机应急响应小组,主要原因在于欧盟内部存在的“网络安全技能差异”。事实上,民众缺乏网络安全意识和技能已经成为建设安全的网络空间的主要障碍之一。尽管欧洲有近500所大学和相关培训课程,但各个行业的网络安全技能差距仍然是一个重大挑战,人才库远远没有跟上行业发展的脚步。
2019年国际信息系统安全认证协会发布报告预测,欧洲大约有29.1万的网络安全人才缺口,而2018年,这一数字只有14.2万。德国、法国、英国等国家的IT人员预测,网络安全人才短缺的情况将持续存在,到2020年,约16%的网络安全空缺将无法得到满足。
4、造成网络安全技能短缺的原因
(1)雇主对当前劳动力市场所能提供候选人的技能水平有很高的期望。中小企业倾向于选择对网络安全有一定了解的IT全才,而大型企业和网络安全专业公司则专注于网络安全某个子领域的专业员工。
(2)雇主对雇员缺乏足够和适当的培训。这既阻碍了建立一个持续的劳动力获取渠道,也阻碍了现有员工的专业发展。
(3)教育问题。现有教育体系不能鼓励更多的学生便捷地获取与网络安全工作相关的学术通道。
(4)培训系统问题。现有培训系统无法培养出具备正确知识和技能的候选人。
二、网络安全教育和培训面临的挑战
欧洲网络安全组织(European Cyber Security Organisation)认为,各国政府应通过提供更多的教育和培训来解决网络安全技能缺口。网络安全课程的设计者并没有意识到多学科课程的重要性。为了能够做好本职工作,专业人士需要了解各种网络安全知识,包括技术、社会、法律等各个方面。大学不应该是专门为劳动力市场提供服务,但教育和培训体系应该确保学生具备就业能力。因此更好地将行业与教育机构结合起来成为了一种可行的解决方案。
网络安全教育中最大的问题之一是学生缺乏实践经验,导致行业需要的技能与求职者实际拥有的技能不匹配。问题的核心在于培训与教育,教育往往侧重于材料背后的原因、理论和机制。网络安全行业倾向于已经做好准备的求职者,然而,技术快速变化使得工作者需要不断学习新技能。因此,网络安全学位提供者应该平衡学生的就业能力,为他们在动态的环境中学习和更新技能提供保障。
欧洲在不断加强网络安全教育,但是呈现不均衡的发展现状。原因主要有两点:
第一,网络安全科学的不同概念导致了各种教育产品的出现,为建立一个共同的网络安全教育框架制造了障碍,限制了那些希望获取全方位网络安全技能的学生,因为毕业生网络安全专业方向只能在技术和社会科学中二选一,而不能同时研究两种不同方向。
第二,网络安全课程缺少对该领域发展的响应能力。到目前为止,网络安全课程一直难以跟上网络安全领域的发展变化,主要是因为缺乏迅速整合有关新威胁或新技能的机制。
整体而言,欧洲的网络安全教育存在教师队伍缺乏、与行业的互动不足、对劳动力市场了解不足、教育环境中平台过时或不现实、难以与行业发展保持同步等问题。
重新定义课程和教育方式是网络安全技能短缺的主要挑战之一。事实上,政府、学术界、企业之间对正确的网络安全知识和技能并未形成共识,而且企业也时常抱怨很难招聘到真正拥有网络安全知识和技能的求职者。应对这一挑战的解决方法是,让政府、学术界和企业共同商讨决定教育网络安全人才时应培养的基本知识和技能。由于政府在提供总体教育框架方面的中心作用,各国政府更有可能率先建立这一伙伴关系,以提高网络安全教育的质量,ENISA可以协助欧盟各项举措的协调进程。
三、网络安全学位认证
本节介绍澳大利亚、法国、英国和美国四国为网络安全学位认证计划的主要标准和程序。目前四国的政府部门共认证有387个学位,设立网络安全学位认证的主要原因是:
(1)让更多的毕业生掌握网络安全行业所需的技能;
(2)协助雇主了解学生在学术生涯中掌握的技能和知识;
(3)协助学生在选择专业时作出更明智的决定。
每个国家网络安全学位认证部门并不相同,法国是国家网络安全局(ANSSI),美国是国土安全部(DHS)和国家安全局(NSA),英国是国家网络安全中心(NSCS),澳大利亚并不是有网络安全部门负责,而是由教育部负责。
1、澳大利亚
2017年,澳大利亚墨尔本大学和伊迪丝·考恩大学成立了网络安全卓越学术中心( Academic Centres of Cybersecurity Excellence,ACCSE),这两个中心是国家网络安全战略的重要支撑。ACCSE的成立旨在加强澳大利亚在网络安全创新研究和创新方面的领导地位,而申请成立ACCSE需要由教育、科学和培训部长任命的一个工作组进行评估,评估通过即可。
总体而言,ACCSE针对的是国家技术和非技术领域网络安全专业技能的短缺,预期产生以下影响:
(1)鼓励更多学生选取网络安全专业;
(2)增加网络安全专业毕业生数量,使他们具备网络安全行业专业技能;
(3)支持网络安全研究,解决关键网络安全问题。
短期内ACCSE能够推进与其他大学、行业和政府的合作,提高对其本身方案和活动的兴趣,也能够获得更多私营部门的实习机会支持。长期来看,ACCSE能够增加网络安全专业毕业生的就业,提高非网络安全专业毕业生的网络安全基础知识,推动专业行政人员培训,增加来自社会弱势群体的网络安全专业人员数量,开展有助于网络安全战略、重点科学和增加商业效益的研究项目。
2、法国
在法国,由ANSSI负责SecNumedu标签计划,该计划的目的是通知学生和雇主关于符合ANSSI定义的网络安全教学和培训的学位标准。SecNumedu标签计划建立在ANSSI与企业、学术界、专业协会和教育部合作制定的标准基础之上。
SecNumedu的认证有效期为三年,并显示在ANNSI官网上,申请条件需要满足以下条件:大学课程授予学士或硕士学位;工程学位由法国专业委员会颁发;特级专业被法国高等专业协会认可;一级和二级专业证书已列入《国家职业证书汇编》(RNCP)。
为了获得认证,教育和培训机构必须签署一项公约并向ANSSI提出申请,此公约承诺在学生毕业5年内遵循专业的道路,每年提供关于网络安全学位的最新信息,并接受ANSSI的监督和检查。在申请之后,ANSSI会在2个月内进行评估,具体由ANSSI下设的信息系统安全中心(CFSSI)负责评估。
截至目前,SecNumedu标签计划共认证了59个学位项目。
3、英国
在英国,由国家网络安全中心(NSCS)认证学士学位、综合硕士学位和硕士学位,以及学徒学位。这一举措来源于英国《2016-2021网络安全战略》,该战略规定“英国需要更多有才华、有资格的网络安全专业人士”。NCSC认证将有助于高校吸引优秀的学生,帮助雇主了解学生所拥有的技能和知识,帮助学生对学位的价值作出更明智的决定。
NSCS提供的临时或正式的认证,有效期为5年。
高校关于网络安全专业的申请由NSCS、其他政府部门、行业界、专业机构和学术界共同组成的小组进行评审,该小组将会对评审条件中的每一项进行打分(0-4分),平均每一项至少要达到三分,才能够通过审核。
截至目前,NCSC共认证了33个临时或正式的学位。
4、美国
在美国,美国国家安全局资助建立了网络安全领域的学术卓越中心(Centre of Academic Excellence,CAE)。CAE有两种类型:网络防御(Cyber Defence,CAE-CD)和网络运营(Cyber Operations,CAE-CO)。
美国国土安全部和国家安全局共同发起了CAE网络防御计划,该计划始于1999年。计划旨在通过促进网络安全高等教育和研究来减少国家的脆弱性。目前美国共有272所被认证为CAE的机构。经区域认证的美国2年、4年和研究生水平的机构可以成为CAE。这些机构得到了美国政府的正式认可,但它们没有得到美国政府的直接资助。他们可以申请两种不同的名称: 网络防御教育的CAE(能够授予学士、硕士和博士学位)和网络防御研究的CAE。一旦认证申请通过,申请的有效期为5年。
网络运营CAE(CAE-CO)是网络防御CAE(CAE-CD)的补充,目的是支持国家网络安全教育计划,增加网络安全专业人员的渠道。该项目在计算机科学、计算机工程和电气工程方面有很强的基础。截止目前,CAE-CO共有21个指定机构,13个学士点,8个硕士点。
纵观上述四国网络安全学位认证流程和标准,存在以下共同点:
(1)认证通过的是那些提供了足够的网络安全教学课程和活动的机构;
(2)认证通常授予那些能够详细说明如何提供网络安全教育的机构;
(3)机构高度重视教师的素质;
(4)拥有更多的重点跨学科专业的机构更有机会获得认证;
(5)政府十分重视机构提供的对外宣传活动和合作机会;
(6)政府十分关注网络安全专业学术和就业实际效果。
四、欧盟数字和网络安全教育政策、ENISA高等教育数据库
1、欧盟数字和网络安全教育政策
欧盟十分关注网络安全教育和技能,自2013年欧盟委员会发布首份网络安全战略以来,关于网络安全教育和技能的问题一直是讨论议题。在战略中,欧盟委员会希望成员国加强网络和信息安全(NIS)主题的教育和培训工作,并计划将“NIS驾驶执照”(NIS driving licence)作为一项自愿认证计划,以提高IT专业人员的技能和能力。
2017年,欧盟委员会发布《弹性、威慑和防御:为欧洲构建强大的网络安全》(Resilience, deterrence and defence: Building strong cybersecurity for the EU)报告,认为欧洲网络安全需要建立在强大的教育基础之上,有效的网络安全高度依赖相关人员的技能,欧盟与成员国需要一起强化网络安全教育和技能。包括构建数字技能和工作联盟(the Digital Skills and Jobs Coalition),建立中小企业网络安全学徒制,简化网络安全技能课程、电子政务等。报告还呼吁建立一个欧洲网络安全工业、技术和研究能力中心,以及一个国家网络安全网络。
2019年,欧盟启动建立欧洲网络安全能力网络和中心(European Cybersecurity Competence Network and Centre),并启动了四个试点项目,分别是concordia、ECHO、SPARTA和CyberSec4Europe,以建立和开展欧洲网络安全能力网络试点,制定共同的欧洲网络安全研究与创新路线图。
2、ENISA高等教育数据库
ENISA目前的研究旨在推动网络安全技能发展领域的一系列新活动,重点制定成员国和欧盟范围内的创新举措。通过一系列活动,最终建立一个欧盟现有服务和项目的数据库,提高欧盟公民特别是网络安全专家的网络安全技能。
ENISA网络安全高等教育数据库官网截图
为了实现这一目标,ENISA正在建立网络安全高等教育数据库(the Cybersecurity Higher Education Database)。该数据库是原有网络安全教育地图的更新版本,主要的创新在于用户界面以及提供更多有关网络安全学位的信息。本质上,它是一个覆盖欧洲经济区(以及瑞士)的网络安全学位列表。该数据库的过滤机制,可以提供有关网络安全学位的基本信息,但也有更高级的信息,可以让公民对网络安全学位作出更明智的决定。
高等教育机构可以在数据库中添加一个网络安全学位,前提是该学位得到欧盟或欧洲自由贸易联盟(EFTA)成员国国家当局的认可,获得认可需要满足以下条件:
● 对于学士学位,至少25%的课程应与网络安全相关;
● 对于硕士学位,至少40%的课程应与网络安全相关;
● 对于博士学位,则要求博士生从事网络安全的研究。
五、建议
基于上述讨论,本报告建议对下列问题进行进一步调查:
1、网络安全学位认证对网络安全技能短缺的影响。对已经确立的国家认证的标准和结果进行严格和系统地分析,深入了解潜在的最佳做法,从而结合不同国家的教育系统和劳动力市场的特点,在其他国家加以实施。
2、ENISA网络安全高等教育数据库的使用和推广。只有当该数据库包含欧洲大部分网络安全学位时,它才能成为公民的有效工具。如果该数据库能够实现这一目标,也将有助于进一步分析欧盟网络安全教育的发展现状。主动在数据库中加入网络安全学位符合高等教育机构的最大利益,因为这将会是它们推广和宣传自身教育课程的另一种方式。
3、欧盟国家社会保障制度的性质和特点。虽然本报告汇总了现有数据,以便更好地了解网络安全技能短缺,但也应当注意到,目前仍缺乏关于欧盟网络安全技能短缺的详细和必要信息,尤其是缺少与其他国家的比较信息。
4、政策干预是增加专业人员渠道的最有效途径。为了解决网络安全技能短缺,政策措施应该确保更多的进入渠道,吸引更多的专业人员。学位认证等政策有助于提高网络安全知识和技能的质量,但是我们尚不清楚这些政策能够在多大程度上吸引更多的人进入这个行业。因此,还需要其他政策来增强网络安全行业的吸引力,比如竞赛、职业宣传活动以及对在职专业人员的再培训计划等。
5、制定全面的网络安全人才发展战略。政府应当制定全面的网络安全人力发展战略,而不是只制定针对教育和培训系统的政策。同时,政府应该鼓励雇主在发展国家网络安全劳动力方面发挥积极作用。在这方面,ENISA可以扮演社区建设者的角色,并确保在协调过程中满足所有利益相关者的需求。未来,要创造一个人才供给与劳动力市场需求相对平衡的良性循环,还需要付出更多努力。
编译 |李书峰/赛博研究院研究员
本文由赛博研究院出品,转载请注明:本文来源于赛博研究院公众号。
更多精彩内容请关注“赛博研究院”公众号。