我国网络空间安全执业资格认证体系研究

专题研究  我国网络空间安全执业资格认证体系研究

我国网络空间安全执业资格认证体系研究

Research on the Architecture of Cyberspace Security Professional Certification in China

张宏莉１，于海宁１，方滨兴２，秦玉海３，余翔湛１，褚诚缘２

（1.哈尔滨工业大学计算机科学与技术学院，哈尔滨 150001；

2. 中国网络空间安全协会，北京 100010；

3.中国刑事学院，沈阳110854）

Zhang Hongli 1, Yu Haining 1, Fang Binxing 2, Qin Yuhai 3, Yu Xiangzhan 1, Chu Chengyuan 2

(1. School of Computer Science and Technology, Harbin Institute of Technology, Harbin 150001, China;

2. CyberSecurity Association of China, Beijing 100010, China;

3.National Police University of China, Shenyang 110854, China)

摘要：网络空间安全执业认证和职业培训是网络空间安全人才培养的重要组成部分，能够持续提升现有从业人员的技术水平和实践能力。本文调研了国内络空间安全执业认证和职业培训的发展现状，分析了我国网络空间安全执业认证和职业培训存在的主要问题，提出了建立我国网络空间安全执业认证和职业培训体系的建议。关键词：网络空间安全；人才框架；执业认证；职业培训中图分类号：TP39 文献标识码：A

Abstract: Cyberspace security professional certification and vocational training is an important part of cyberspace security talent cul -tivation. It can quickly grow talents and continuously improve the technical level and practical ability of existing employees. First, we survey the current situation of cyberspace security professional certification and vocational training. Then, we analyze the main prob -lems of cyberspace security professional certification and vocational training. Finally, we propose a policy proposal to establish the architecture of cyberspace security professional certification and vocational training.

Key words: cyberspace security; workforce framework; professional certification; vocational training

一、前言

网络空间安全执业认证的目的是评判从业人员是否达到“网络空间安全专业技术人员依法从事某种网络空间安全专业技术工作所需的知识、技术和能力”的必备标准。建立网络空间安全执业认证体系有利于加快网络空间安全人才培养，促进和提高专业人才队伍素质和业务水平；有利于统一网

络空间安全专业人员的业务能力标准，公正地评价专业人员是否具备执业资格，从而合理使用专业技术人才；有利于同国际接轨，推进本土认证全球标准化进程，争取网络空间安全认证的国际话语权。相比于网络空间安全的学历教育，网络空间安全职业培训具有较强的针对性、灵活性、技能性和持续性。这些特点决定了建立职业培训体系能够快速壮大网络空间安全人才队伍，持续提升网络空间安全

收稿日期：2016-10-12；修回日期：2016-10-20

作者简介：张宏莉，哈尔滨工业大学计算机科学与技术学院，副院长，教授，研究方向为网络安全、信息安全；E-mail:zhanghongli@hit.edu.cn 基金项目：中国工程院重大咨询项目“网络空间安全战略研究”(2015-ZD-10)本刊网址：www.enginsci.cn

DOI 10.15302/J-SSCAE-2016.06.009

人才的技术水平和实践能力。网络空间安全执业认证和职业培训体系是网络空间安全人才培养体系的重要组成部分，建立完善的认证体系和培训体系对网络空间安全人才建设有着重要意义。

二、国内络空间安全人才培养情况

美国等发达国家高度重视网络空间安全执业认证和职业培训。伴随网络空间安全的发展形势和自身实际情况，这些国家在国家层面上不断地出台相应的战略计划，以完善其认证体系和培训体系[1]。截至2016年9月美国已在全国建立209个卓越中心（CAE）[2]，以促进信息安全（information assurance）和网络防卫（cyber defense）两方面的教育。美国卓越中心模式可以被抽象分为四个步骤：统一定义知识单元和重点领域；统一制定认定标准；申请者将自身的教育培训资源映射到某项认定所需的知识单元；统一审查映射的匹配度，以及重点培训领域的覆盖性、合理性。

2012年美国正式发布了《NICE战略计划》[3]，强调关注网络空间安全人才培训和职业发展，建立和维护一个具有全球竞争力的网络空间安全专业人才队伍。2014年美国发布了最新版本的《NICE网络安全人才框架》，目前该框架仍在不断地调整和更新。2013年欧盟委员会发布了《欧盟网络安全战略》，明确指出网络和信息安全教育、培训工作应从国家层面发起。2013年日本发布了《网络空间安全战略》，明确指出将网络与信息安全人才培养作为一项重要的举措。

综合来看，发达国家建设其执业认证和职业培训体系的主要举措包括：①在国家层面上，制定网络空间安全战略计划，强调网络空间安全执业认证和职业培训的重要地位；②为了落实网络空间安全认证和培训的相关和法律法规，国家将协调、执行、监督、管理等权利分配给多个部门，多方参与共同推动认证和培训体系建设；③制定网络空间安全人才框架，为网络空间安全这一新兴领域定义一致通用的术语来描述其专业范畴、职业路径，及其岗位能力和资格认证等。

国际网络空间安全执业认证和职业培训体系建设起步较早，基本建立了完善的网络空间安全认证和培训体系，形成了规模化的认证与培训产业，其

主要包括：①制定，倡导开展相关认证和培训；②行业协会帮助设定网络空间安全执业认证和职业培训标准，创立、更新执业认证项目，开展持续的职业培训活动，组织认证考试，颁发并维持认证证书；③高校及科研院所辅助认证和培训体系建设，开展教育和培训活动；④企业开展针对内部的非认证职业培训，厂商提供针对自身网络空间安全产品的培训，并颁发相应的培训证书。目前，一些协会创立的网络空间安全认证和培训体系已具有较高的权威性和认可度，例如，国际信息系统安全认证联盟（ISC）[2,4]、信息系统审计与管控协会（ISACA）[5]、国际电子商务顾问局（EC-Council）[6]和美国计算机行业协会（CompTIA）[7]等。

我国对网络空间安全人才的需求迫切，而人才数量奇缺。随着我国信息化建设的不断推进，网络空间安全专业人才需求将持续增长，并呈逐年递增趋势，预计到2020年，我国网络空间安全专业人才需求数量将超过140万。根据高校信息安全人才培养情况调查统计（教高厅函[2014]4号），信息安全研究生年均就业率超过97 %，本科生年均就业率超过95 %，远高于其他专业。

尽管我国已大力开展网络空间安全学历教育，但仍难以满足国家和社会对网络安全人才的需要。教育部于2002年批准成立信息安全本科专业以来，截至2013年，全国共96所高校设置了信息安全类相关本科专业，其中信息安全专业85个，信息对抗专业17个，保密管理专业12个，每年毕业生约1万人，累计未超过8万人。2015年6月学位办增设网络空间安全一级学科[8]，隔年3月批准29所高校设立网络空间安全博士授权点[9]。网络空间安全学历教育的开展为我国网络空间人才培养奠定了坚实的基础，然而，相比于每年50万的人才缺口而言，在短期内仍难以解决大规模网络安全人才培养问题；作为补充措施，急需大力开展在岗人员的网络安全执业认证和职业培训，以迅速提升现有从业人员的技术水平和实践能力。

三、我国网络空间安全执业认证和职业培训

体系的主要问题

经过多年发展，我国逐步开展了网络空间安全执业认证和职业培训工作，例如，注册信息安全专

045专题研究  我国网络空间安全执业资格认证体系研究

业人员（CISP）认证和相关授权培训。综合来看，目前我国网络空间安全认证和培训体系并不完善，难以满足国家关于“加强网络空间安全人才建设”的战略需求，其存在的主要问题如下。

（一）缺少网络空间安全人才框架，阻碍执业认证和职业培训的发展

我国尚未对网络空间安全工作及专业人才规范统一的定义，各部门在职业、岗位和职责描述等方面存在很大差异，缺少一个共同的语言来讨论和理解网络空间安全专业人员的工作和技能要求，这给国家制定网络空间安全技能基线、确定技能缺口、设置相关岗位、开展执业认证和职业培训造成了极大的障碍。

（二）网络空间安全执业认证和职业培训制度建设滞后，认证的认可度有待提升，培训市场有

待规范

我国缺少网络空间安全执业认证机构的认可制度。认可制度是认证机构建立内部管理体系和人员认证制度、提高管理水平、保持良好绩效的重要基础性文件。认证的认可制度缺失严重影响了执业认证的权威性，难以赢得从业人员和用人单位的认可。我国缺少网络空间安全职业培训机构的认可授权制度，尤其缺乏对提供国际认证培训服务的国内培训机构的监管，对职业培训机构监管力度不足导致虚假宣传和违规经营时有发生，严重影响了职业培训的市场秩序，破坏了网络空间安全职业培训的声誉。

（三）网络空间安全执业认证和职业培训的知识体系有待完善

网络空间安全是一个新兴领域，其知识具有多领域交叉、覆盖面广、更新周期短、难度大等特点。应针对网络空间安全领域知识的特点制定、更新认证和培训的知识领域。目前，我国本土认证的项目数量不多，认证的知识领域针对性不强，知识领域的更新周期较长，尚未形成有层次的、互补的知识体系，这与网络空间安全领域知识特点不相符，不利于发挥认证和培训对岗位技能的测评和提升作用。（四）网络空间安全专业培训机构数量少，培训规模有限

我国网络空间安全专业培训机构较为缺乏，培训规模不足，很多机构的培训是面向网络空间安全产品、咨询或测评业务的，而非针对执业认证所开设，这导致我国经过培训获得认证的人员总数不多。此外，专业培训机构的缺乏也为一些不具备培训能力的机构提供了浑水摸鱼的可乘之机。

（五）网络空间安全职业培训机构能力良莠不齐，培训质量有待提高，尤其是实践技能的培训

质量

我国网络空间安全职业培训机构在师资、课程设置、配套实验环境等方面水平良莠不齐，培训质量有待提高。在师资方面，我国缺少网络空间安全培训讲师的认可制度，培训讲师数量不多，能力参差不齐。在课程设置方面，多采用短期集训的方式梳理考试大纲和分析考题，缺乏持久化、系统化的课程体系。在配套实验环境方面，多数停留在理论知识传授阶段，不具备配套教学实验环境以提升受训者技能实践能力，这导致理论和实践相脱节，受训人难以满足实际工作岗位的需求。事实上，国际知名认证机构的配套实验环境已日趋完善，例如，EC-Council的iLabs实验平台已覆盖270种黑客常用的攻击技术，支持构建140余个实时情景模式，并提供2 200余种常用的黑客工具。EC-Council创立的认证安全分析师（ECSA）和授权渗透测试员（LPT）认证已在该平台下实现对申请人的实践能力考核。

四、我国网络空间安全执业认证和职业培训

体系的建议

为加快我国网络空间安全执业认证和职业培训体系建设，建议由中国网络空间安全协会主导，建立我国网络空间安全执业认证和职业培训体系，直接提供认证服务、授权培训活动，进而快速壮大人才队伍，持续提升现有从业人员的技术水平和实践能力。具体措施包括：深化认证和培训机制改革，规范管理制度，制定推进措施；大力推进网络空间安全人才队伍框架建设，建立全国统一的网络空间安全岗位体系和从业人员“知识、技术、能力”标准，

046中国工程科学 2016年 第18卷 第6期

并依此构建认证的知识体系，界定各类认证的知识领域、包含的知识单元、对应的工作岗位，以提高认证与岗位的匹配度，增强认证的知名度和认可度；大力支持网络空间安全职业培训的发展，加快基础设施建设，实施讲师培训工程，以规范培训市场秩序，扩大培训规模，提升培训质量；建立认证机构、培训机构和高校间的资源共享制度，打破界限，汇聚资源，实现人才的跨界流动。

（一）深化认证和培训机制改革，规范管理制度，制定推进措施

中国网络空间安全协会可直接提供网络空间安全执业认证服务，组织认证考试，颁发认证证书，授权网络空间安全职业培训；制定网络空间安全工作的持证上岗制度、培训机构的认可授权制度、培训讲师认定标准、培训讲师的持证上岗制度等，并制定相关推进措施，保障各项制度落实。由协会直接提供认证服务有利于短期内构建系统的、统一的网络空间安全执业认证体系，提升认证的权威性和公正性，打通持证人员的就业途径。由协会授权职业培训活动有利于短期内规范职业培训市场秩序，扩大职业培训规模，提升职业培训质量。

（二）大力推进网络空间安全人才队伍框架的建设，建立认证的知识体系

由中国网络空间安全协会制定“网络空间安全人才队伍框架”。该框架根据我国网络空间安全的发展现状，定义我国网络空间安全工作的岗位分类及其通用词汇，并对每种岗位的职责标准，以及从业人员所需的“知识、技术、能力”进行详细描述；以人才队伍框架为基线，构建认证的知识体系，界定各类认证的知识领域、包含的知识单元、对应的工作岗位；定期追踪国内络空间安全技术前沿，保证知识体系的不断升级更新。

（三）创立、更新网络空间安全执业认证项目体系中国网络空间安全协会组织高校、科研院所、安全企业，面向各类用人单位的人才需求，以“网络空间安全人才队伍框架”为基准，多方共同创立认证种类丰富、分级明确、互为补充、划分清晰的认证项目体系。针对各认证项目，发布其知识领域、考试大纲及配套教材等。（四）大力支持网络空间安全职业培训的发展，加快基础设施建设，实施讲师培训工程

国家和各级在融资、开业、税收、咨询等多方面出台优惠，支持网络空间安全培训机构的创立和发展，逐步形成覆盖全国的职业培训网络，使得职业培训“人人可学，处处可学，时时可学”。对创新培训模式、部署实时仿真教学实验平台，且培训质量显著提升的培训机构给予资金奖励，并协助其推广先进培训经验和成果。

实施网络空间安全培训讲师的培训工程，由网络空间安全协会制定培训的知识体系，设置培训课程，开展培训工作。

（五）建立认证机构、培训机构和高校间的资源共享制度

高校汇聚了大量的网络空间安全资源，可建立认证机构、培训机构和高校间的资源共享制度，特别是教师资源的共享。鼓励高校开展网络空间安全职业培训，建立培训讲师和高校教师的互认制度，为网络空间职业培训市场注入优质、稳定的师资资源。

五、结语

网络空间安全执业认证和职业培训是我国网络空间安全人才培养的重要组成部分，与学历教育一同构成了网络空间安全人才输送的两条主要渠道。我们迫切需要认清当前我国网络空间安全认证和培训体系存在的问题，多方通力合作建立完善的网络空间安全执业认证和职业培训体系，加快我国网络空间安全人才队伍培养步伐，以支撑网络强国建设。

参考文献

[1] The White House. The Comprehensive National Cybersecurity

Initiative[EB/OL]. (2011)[2016-09-10].https://www.whitehouse.

gov/issues/foreign-policy/cybersecurity/national-initiative.

[2] NSA. NSA/DHS CAE institutions[EB/OL].[2016-10-10].https://

www.iad.gov/nietp/reports/current_cae_designated_institutions.cfm.

[3] NICE. NICE[EB/OL].[2016-09-10]. http://csrc.nist.gov/nice/.

[4] (ISC)². (ISC)² [EB/OL].[2016-09-10]. https://www.isc2.org/.

[5] ISACA. ISACA [EB/OL].[2016-09-10]. https://www.isaca.org/

Pages/default.aspx.

[6] EC-Council. EC-Council [EB/OL]. [2016-09-10].https://www.

eccouncil.org/.

[7] CompTIA. CompTIA [EB/OL]. [2016-09-10].http://www.comptia.

047专题研究  我国网络空间安全执业资格认证体系研究

org/.

[8] 中华人民共和国教育部.教育部关于增设网络空间安全一级学

科的通知(学位[2015]11号) [EB/OL].(2015-06-11)[2016-09-10].

http://www.moe.gov.cn/jyb_xxgk/moe_1777/moe_1778/201511/ t20151127_221423.html.

Ministry of Education of the People’s Republic of China.

Academic Degree Commission of the State Counter, the Ministry of Education. Notice concerning establishing cyberspace security asa first level discipline([2015]11)[EB/OL]. (2015-06-

11)[2016-09-10]. http://www.moe.gov.cn/jyb_xxgk/moe_1777/

moe_1778/201511/t20151127_ 221423.html.

[9] 中华人民共和国教育部.关于开展增列网络空间安全一级学

科博士学位授权点工作的通知（学位[2015]39号）[EB/OL].

(2015-10-30)[2016-09-10].http://www.moe.gov.cn/jyb_xxgk/ moe_1777/moe_1778/201511/t20151127_221424.html.

Ministry of Education of the People’s Republic of China.

Notice concerning developing cyberspace security first level discipline doctorate authorization([2015]39)[EB/OL].(2015-10-

30)[2016-09-10].http://www.moe.gov.cn/jyb_xxgk/moe_1777/

moe_1778/201511/t20151127_221424.html.

048