2015年,国务院学位委员会批准在“工学”门类下增设“网络空间安全”一级学科,至今已满十周年。在这十年间,伴随国家数字化转型和智能化战略的深入推进,网络空间安全人才队伍不仅实现了规模上的跨越式发展,更被赋予了日益重要的战略使命。当前,社会各界对网络安全人才的关注重点,已从最初的“发现人才”“培养人才”,逐步演进为系统性的“评价人才”与“发展人才”,这标志着我国网络安全人才培养机制建设进入了更深层次的探索阶段。
作为一门极具实践特性的工学学科,网络空间安全在人才识别与评价方面仍面临诸多独特挑战。一是评价体系存在单一化倾向,通常局限于试卷考试、技能竞赛、资格认证或项目经验等单一形式,缺乏系统性整合;二是评价结果难以实现科学量化,制约了精准评估与比较;三是评价过程的可信度与公正性有待提升;四是专业化评价环境的缺失制约着人才培养质量的提升,成为领域发展的突出瓶颈;五是评价标准在不同应用场景下缺乏灵活性与适应性。因此,如何构建科学合理的网络安全人才评价体系,既是学科发展的内在需求,更是推动该领域高质量发展的关键课题。
一、全球视野:在发展实践中探索实用标准
随着网络空间成为继陆、海、空、天之后的第五大主权领域空间,各国对网络安全人才评价的重视度与日俱增,在此背景下,全球主要经济体通过实践探索逐步形成各具特色的人才评价标准体系。2017年,美国国家标准与技术研究院(NIST)牵头制定了《NICE网络安全人才队伍框架》(NCWF框架)。历经多次迭代形成的2023版框架,基于网络空间安全工作生命周期,将人才分为6类、50个角色,并明确界定了各角色的任务、知识、技能和能力,现已成为联邦政府机构网络安全人才配置的法定参照标准。2022年,欧盟网络安全局联合14个成员国发布《欧洲网络安全技能框架》(ECSF),不仅明确定义了12个相关角色及任务、成果、知识技能等,该框架还与欧盟ICT人员能力评估框架e-CF进行了有效映射,进一步提升了通用性和指导性。在人才认证领域,由国际信息系统安全认证联盟(ISC) 2提出的信息系统安全专业认证(CISSP)、信息系统审计与管控协会提出的注册信息系统审计师认证(CISA),凭借完善的知识体系、技术先进性、评价标准化,获得全球多个国家和地区的认可、采纳。
我国自2002年启动信息安全人才专业认证体系建设以来,已形成覆盖基础理论、技术应用与管理实践的认证矩阵,包含注册信息安全专业人员(CISP)、信息安全保障人员认证(CISAW)等国家级认证。在人才实战能力培养和认证方面,引入了夺旗赛(CTF)以及衍生出攻防赛(AWDPLUS)、人工智能漏洞挖掘赛(RHG)等项目,长城杯、网鼎杯、春秋杯等品牌赛事年均吸引逾万名选手参与,形成“以赛促学、以赛验能”的良性循环。
值得关注的是,国家网络安全宣传周自2022年起,连续三年发布《网络安全人才实战能力白皮书》系列报告,通过大量一线调研数据及网络安全人才测评演练成果,呈现出供给侧、需求侧网络安全人才的基本情况、培养情况、评价情况和人才需求,结合专家实战经验,构建了理论与实践相结合的网络安全人才实战能力建设及测试路径,在指标构建和框架设计方面均达到国际领先水平。
二、范式革新:四位一体的网络安全人才评价维度
作为高度交叉的前沿领域,网络空间安全已发展成为融合计算机科学、密码学、数学、通信工程等多学科于一体的综合性应用技术学科,呈现出两大显著特征。一是“实践性强”,理论知识必须通过实操才能转化为攻防实战能力。近年国家攻防实战演练数据显示,部分持有高级认证的技术人员在真实对抗场景中暴露出能力短板,这实质反映了传统笔试考核体系与实际作战需求间的结构性偏差。二是“技术迭代快”,随着云计算、人工智能技术的普及,零信任架构、量子加密技术的兴起,网络安全的技术版图正在重构。同时,网络攻击技术也在急剧演变。因此,网络安全人才评价必须突破单一维度的局限,构建多维评价体系。
基于上述背景,我们在实践过程中构建了四位一体的人才评价体系,包括意识(Awareness)、技能(Skill)、知识(Knowledge)、实践(Practice)四个维度。意识维度主要考察人才的政治素养、思想道德、职业操守,以及对网络安全威胁的认知、个人信息保护意识和网络攻击防范意识;技能维度聚焦人才在实际操作和应对网络安全问题时所运用的技术诀窍和工具;知识维度涵盖网络安全法律法规、基础理论、威胁识别与防护等知识体系;实践维度则重点评估人才在现实工作中,将知识和技能相结合,运用各种技术和非技术手段解决实际问题的能力。四维要素紧密结合,既考虑了网络安全的学科特性,又回应了时代发展的需求。
三、适才而用:构建人才分类分级评价体系
在数字化转型加速、网络暴露面指数级扩大的背景下,传统单一且粗放的人才评价机制已难以满足网络安全产业对复合型、创新型人才的迫切需求。因此,实施精准的人才分类分级评价,成为构建网络安全人才梯队、推动行业高质量发展的核心路径。
基于技术架构和业务场景的差异,网络安全人才评价对象可划分为多个专业类别。依据全国信息安全标准化技术委员会(SAC/TC260)提出的《信息安全技术 网络安全从业人员能力基本要求》(GB/T 42446-2023),人才按工作内容可划分为网络安全管理、网络安全建设、网络安全运营、网络安全审计和评估,以及网络安全科研教育五类。其中,网络安全管理岗负责网络安全统筹规划和管理,开展网络安全需求分析、规划和管理、数据安全及个人信息保护等工作任务,有效管控网络安全风险;网络安全审计和评估岗则需通过渗透测试等手段,审计或评估对象在网络安全方面的脆弱性,并给出改进方向,主要工作内容包括网络安全审计、网络安全测试、网络安全评估、网络安全认证等。
根据能力水平的差异,同一岗位的人才能力应实施等级评价,通常可划分为初级、中级和高级三个等级。以网络安全审计和评估方向的渗透测试工程师为例,初级人员要熟悉常见漏洞利用和攻击技术,掌握黑盒、白盒、灰盒等渗透测试方法;中级人员应熟悉基本的加解密技术及渗透测试技术前沿发展趋势,能够定制开发测试工具,确保复杂渗透测试项目的顺利实施;高级人员需具备跨领域协同能力,能够统筹协调大规模、多业务、高防护场景的渗透测试项目实施,并推动创新方案落地。
结合各类人才发展需求,每个等级还可进一步细分为二或三层,即遵循“三级九层”的概念。通过这种多层次、分梯队的人才评价体系,有助于用人单位更精准地发掘人才潜能,激活人力资源,构建起塔顶尖、塔体强、塔基厚的人才金字塔结构。
四、阈值赋能:科学、动态设置人才评价指标
在构建四位一体的网络安全人才评价体系过程中,科学、动态地设定各维度评价指标的阈值至关重要。这一过程需要充分考虑不同岗位类型和人才层级的差异化需求,从而建立起动态可调的量化评估标准。以渗透测试工程师为例,在初级人才评价中,实践维度(P)的阈值可设定为至少参与过3个真实项目的渗透测试工作,发现并验证10个以上中高危漏洞;而对于高级人才,则要求至少主导过5个大型复杂系统的渗透测试项目,具备发现并利用0day漏洞的能力,同时具备编写定制化渗透工具的能力。
在指标设定过程中,需遵循以下几个关键原则:一是差异化原则。例如,初级岗位应适当提高技能(S)的权重,而高级岗位则需强化实践维度(P)的考核;二是动态调整原则。各维度阈值应每年根据技术发展趋势进行修订,例如随着人工智能技术的普及,新增了对人工智能应用技能的考核要求;三是可验证原则。所有指标都应有明确的验证方法,例如通过国家级攻防演练成绩、漏洞平台提交记录等客观数据加以佐证。
特别需要强调的是,在高级人才评价中,应建立“技术贡献度”指标,重点考察其在技术创新、标准制定、工具研发等方面的实际贡献。例如,某安全专家开发的自动化渗透工具若被行业广泛采用,这种实质性贡献应给予更高权重。同时,对于领军型人才,还需评估其在人才培养方面的贡献,如指导团队成员取得的专业技术突破。
总而言之,网络安全人才评价不能一概而论。在不同行业和不同场景下,具备不同能力的人才均应有施展才华的空间。
五、落地实践:构建“测评-改进-验证”的人才发展闭环
当前,我国网络安全人才存在较大缺口,特别是持续测评与发展机制方面亟待完善。构建科学的人才持续测评体系,已成为完善网络安全人才评价机制的重要环节。
借助行业靶场与行业人才测评数字风洞相结合的方式,用人单位可以采用周期性的测评体系,例如“一月一测验、一季度一竞赛、半年一演练”。每月开展一次理论知识测验,动态更新政策法规、前沿技术等考题,促使人才主动更新知识库和技术栈;每季度一次竞赛,围绕企业安全业务场景,设计具体的测评任务,依据任务完成情况,判断能力等级,推动网络安全人才持续为业务安全可靠服务;半年一次演练,通过跨部门的协同作业,考察人才的战略决策能力及团队沟通能力,确保人才在面对真实的网络威胁时,能够迅速响应并有效应对。
六、结 语
网络安全人才评价体系的构建与实践,是推动我国网络空间安全事业发展的关键。我们应立足国情,结合行业实际,构建科学合理、多维全面的评价体系,确保人才评价的客观性、公正性和适应性。同时,通过落地实践,形成“测评-改进-验证”的闭环,促进人才的持续发展与成长,为网络强国战略提供坚实的人才支撑。未来,随着技术的不断进步和应用场景的日益复杂,网络安全人才评价体系也应不断创新,以适应新的挑战和需求,共同守护国家网络空间的安全与稳定。
(本文刊登于《中国信息安全》杂志2025年第2期)
