美章网 资料文库 浅谈电信网络安全人才队伍建设思考范文

浅谈电信网络安全人才队伍建设思考范文

本站小编为你精心准备了浅谈电信网络安全人才队伍建设思考参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。

浅谈电信网络安全人才队伍建设思考

全球化时代,国与国之间围绕网络空间的争夺日趋激烈,以跨国性、突发性、复杂性为特点的网络安全威胁与日俱增。据公开资料显示,全球已有50余个国家组建了专门的网络部队,美、俄等大国的网军规模更是已超万人。网络空间安全问题,关乎公共秩序的构建,但归根结底是人才的竞争。指出,要“聚天下英才而用之,为网信事业发展提供有力人才支撑”。维护网络安全已成为保障国家安全的基石,而做好网络安全工作的关键在于“人”。

一、人才需求分析

电信运营商运营的通信网络是国家最重要的关键信息基础,网络规模大、系统多、业务复杂,对网络安全人才的质量及数量的需求尤其迫切。为做好网络安全工作,运营商需要建立网络安全人才梯队,以高层人才引领、中层人才攻坚、基层人才执行,为安全战略落地提供全方面的专业技术支撑。在人才梯队中,公司级的安全专家是核心,负责把控集团网络安全战略方向和架构设计;中层的技术专家负责处置各类安全事件,为安全战略落地提供全面的专业技术支撑,是运营商网络安全队伍的中坚力量;基层为安全从业人员,负责日常安全运维工作,处理日常安全问题。在上述三层安全人员架构之外,为更好地贴近业务运营,仍然需要相当一部分的安全兼职人员,这些人员需要在业务的立项、开发、推广的过程中,能理解安全需求,具备相应的安全意识,以规避业务安全风险。从人才需求数量来看,高层人才至少需要数十人,安全专家应需要数百人、安全从业人员应有数千人的规模。从现状来看,目前运营商在网络安全人才方面仍存在较大缺口。

二、存在的问题

首先是网络安全人才供需不平衡。目前中国各大院校网络安全或信息安全专业的招生规模不足,造成安全专业毕业生稀缺。根据运营商近年校园招聘的统计数据来看,来自安全专业的学生数量占比较低。同时由于互联网行业快速发展,对安全专业人员需求量大、薪资水平高,形成挤压效应,直接造成了运营商对网络安全人才吸引力不足甚至人才流失。其次是理论知识与实操能力的矛盾。我国现阶段网络安全教育仍无法摆脱传统研究模式的束缚,培养学生的实操能力与所学理论知识之间存在差距。运营商对网络安全专业人员最大的需求是对业务系统的安全防护、加固,业务系统安全评估,安全系统和设备的运营维护等,但是多数毕业生进入运营商后还需要较长的“适应缓冲期”,或者接受再培训才能胜任相应工作。再次是高端人才缺乏。目前在一线从事运营维护、技术支持、风险评估、安全测试的人员相对容易培养,而战略规划、架构设计、信息安全法律相关从业人员相对较少。战略规划和架构设计人员需要综合技术能力强,有全局视野,目前该类人员短缺情况最为突出。

三、人才培养举措

为提升运营商的网络安全保障能力,需要运营商从多方面加大网络安全人才的培养力度,建设企业自有的网络安全人才梯队。

(一)部署网络安全实验环境,开展实操演练网络空间对抗往往具有环境复杂、方法多样、多点多面、对象隐蔽等特点,不具备规律可循。建设网络靶场,模拟复杂多样的网络环境,开展网络攻防演练,对抗动态推演,验证攻防工具及系统安全性,对提升安全人员实操能力有很大帮助。考虑到运营商网络的复杂性,运营商网络安全靶场应充分结合实际需求,实现对特定防御目标的网络环境的仿真,包括但不限于:网络架构、设备、操作系统、网络层协议等;实现物理设备(包括防火墙、路由器、交换机、服务器、入侵防御、检测设备等)和虚拟设备混合组网;实现仿真资源和仿真任务的管理;实现网络拓扑和场景的可视化、构建高仿真虚拟网络环境、支持历史虚拟网络环境的修改和重现。在日常攻防演练基础上,运营商还可以通过组织内部网络安全竞赛,积极参与外部各级别网络安全大赛,组织参加重大保障活动的远程和现场技术支援等锻炼培养专家队伍。

(二)做好网络安全人才统一管理随着运营商网络安全从业人员(含兼职人员)的快速增长,传统的人员管理模式已不能满足当前的管理需要。因此,一种自动化的网络安全人才管理势在必行。通过平台化管理,一方面实现对运营商网络安全人才的统筹化管理,包括人员信息采集及统计、在线培训、认证维持、技术能力多维量化、专家众测任务派发、专家积分、专家选拔及晋升、网络安全竞赛报名及战队管理等;另一方面实现对安全从业人员信息的动态感知,了解人员流入及流失情况、技术水平变化等。

(三)强化网络安全人才培训和专业认证网络安全工作对从业人员的技术水平要求较其他行业更高。网络安全是IT技术的分支,但其知识面又覆盖了整体IT技术知识领域,如密码学、访问控制、操作系统、通信网络等,甚至会超越IT技术知识领域,如物理安全防护等。因此,网络安全是既需要广泛了解,又需要深入研究的专业。基于这种特点,网络安全人才的培训和认证强化工作便成为重中之重。当前美国拥有绝对多数的世界权威的网络安全职业培训认证机构,如:(ISC)2(国际信息系统安全认证机构)、ISACA(国际信息系统审计师协会)、EC-CONCIL(国际电子商务顾问局)等。美国知名企业如CISCO思科也逐步形成了基于CCNA/NP/IE的安全认证。而在我国,目前仅有中国信息安全测评中心提供的CISP(注册信息安全人员)具有较大影响力,其衍生证书包括CISP-A/PTE等。为加强运营商网络安全人才培训及认证,应考虑将现有国内/国际安全认证分为综合技术类(CISSP/CISP/CISM/SECURITY+等)、安全治理类(ITIL/ISO27001/COBIT等)、安全审计类(CISA/CISP-A等)、安全渗透类(CISP-PTE\CEH\OSCP等),云计算安全类(CCSP/CCSK/CLOUD+等),针对网络安全专家领域的不同,进行有针对性覆盖。

四、几点思考

运营商作为国家最重要的关键信息基础设施运营单位,网络安全保障责任重大,需要坚持“重才、育才、聚才、用才”,下大力气打造一支“政治过硬、技术专精、来之能战、战则必胜”的网络安全人才队伍。在“重才”方面,运营商要落实网络强国战略部署,密切结合公司战略,贯彻“以人为本”理念,认真做好网络安全人才队伍顶层设计,建立健全自上而下、统筹协调的网络安全人才体系。要高度重视网络安全人才的待遇,为安全专家设置技术和管理两条职业晋升通道,在岗位职级上给予倾斜。要加大对网络安全高端人才、紧缺人才的培养、引进和支持力度,研究建立网络安全特殊人才激励机制,确保能留得住精通网络安全“高精尖”技术的专业人才。在“育才”方面,坚持多角度、多层次、全方位人才培养理念,多措并举,不断强化网络安全人才队伍整体素质与综合实力。通过举办技术沙龙、专家论坛、讨论群开展技术分享,通过在线技术培训、安全认证培训、攻防演练、安全大赛等多种方式,大力培养提升安全人员技战术水平。在“聚才”方面,通过建立安全专家管理平台,实施专家积分制,设立英雄榜、通报表彰、物质和精神奖励,调动安全专家积极性,有效聚集安全专业人才。在“用才”方面,组织开展“安全众测”、专题技术研究、安全检查、远程支援、现场保障,形成灵活高效的“专家云”模式的安全人才调配和使用机制,为企业持续健康发展提供有力支撑。

作者:冯运波 单位:中国移动通信集团有限公司信息安全管理与运行中心