《网络安全人才实战能力白皮书-人才评价篇》于2023国家网安周重磅发布

首页 / 业界 / 报告 /  正文
来源:永信至诚
发布于:2023-09-13
9月13日,国内首部聚焦网络安全人才评价的白皮书——《网络安全人才实战能力白皮书-人才评价篇》(以下简称“白皮书”)在国家网络安全宣传周正式发布。

作为《网络安全人才实战能力白皮书》(2022国家网络安全宣传周已发布攻防实战能力篇)的第二篇章,本次白皮书着眼于网络安全人才评价,由国务院学位委员会学科评议组(网络空间安全组)、教育部高等学校网络空间安全专业教学指导委员会指导,北京航空航天大学、中国科学技术大学、永信至诚科技集团股份有限公司担任主编单位,战略支援部队信息工程大学、西安电子科技大学、东南大学、华中科技大学、上海交通大学、北京电子科技学院、中国网络安全审查技术与认证中心、蚂蚁科技集团股份有限公司、华为技术有限公司、中国通信服务股份有限公司、中国联合网络通信集团有限公司、中国航天系统科学与工程研究院《网络空间安全科学学报》编辑部担任副主编单位,山东大学、四川大学、武汉大学、北京邮电大学、哈尔滨工业大学、福建师范大学、国网智能电网研究院参编。


教育部高等学校网络空间安全专业教学指导委员会副主任委员、中国科学技术大学网络安全学院执行院长俞能海 网安周现场发布白皮书

源于实践,指导实践。白皮书聚焦我国网络安全人才评价领域,基于面向不同群体的大量问卷调研、翔实的网络安全竞赛演练及考核数据,以及产学研用实践专家倾力合作,全面呈现了供给侧和需求侧网络安全人才的基本情况、评价现状、评价需求及网络安全人才评价体系建设情况,打造了一个囊括全频谱类别角色、覆盖完整职业生命周期的“网络安全人才实战能力评价体系”,希望能为各单位实战型人才体系建设提供参考,为国家人才强国和网络强国战略实施建言献策。
 
由“破”到“立”,人才评价改革进入深水区

党中央、国务院高度重视科技人才评价改革工作,习近平总书记指出:“在人才评价上,要‘破四唯’和‘立新标’并举,加快建立以创新价值、能力、贡献为导向的科技人才评价体系”。2022年11月,科技部等八部门印发《关于开展科技人才评价改革试点的工作方案》,旨在通过两年的试点,构建以创新价值、能力、贡献为导向的科技人才评价体系,引导各类科技人才人尽其才、才尽其用、用有所成,为实现高水平科技自立自强和建设世界科技强国提供有力人才支撑。这意味着人才评价改革已经成为科技时代的发展共识,改革已由“破四唯”迈向“立新标”的实践阶段。

在网络安全领域,人才作为支撑网络强国战略的核心力量,得到了国家及各行业的高度重视,网络安全人才评价现状、人才评价需求、人才评价改革情况等也成为了监管侧、供给侧、需求侧关注焦点。据白皮书调研数据显示,56%的用人单位人才评价工作较为表面化、形式化,甚至从未开展过人才评价;44%的用人单位开展了系列评价工作,但因缺乏统一的评价体系,很难突破改革瓶颈,充分发挥工作实效。

人才评价开展的基本情况
 
供需两侧都面临诸多网络安全人才评价难题

白皮书基于2243份一线网络安全从业人员、网络安全相关专业在校学生、授课教师的问卷调研,以及22530条网络安全竞赛演练及考核数据,从用人单位和院校供需双重视角,分别梳理了相关网络安全人才评价的需求与现状。

1、三成用人单位在网络安全人才评价方面会受到资源和精力限制
 
在人才评价的需求侧方面,白皮书面向全国(港澳台除外)31个省(自治区、直辖市)及新疆生产建设兵团,能源、政府、通信、金融、网络安全等十余行业的一线网络安全从业人员展开调研,客观呈现了学历分布、行业分布、地域分布、人才实战能力水平、人才评价开展现状及效果等翔实结论。

从地域分布上看,网络安全人才聚焦效应明显,经济支撑力强的省市展现了较强的人才吸引力。北京占比最高,达10.9%,广东、上海、浙江分别占比10.7%、5.6%、5.2%。值得注意的是,同比2022年《网络安全人才实战能力白皮书-攻防实战篇》数据,中西部地区人才占比显著上升,华中地区上升8%,西北地区上升5%,西南地区上升2%。这说明在地方政策的作用下,中西部地区的网络安全产业取得了明显发展成效,就业岗位增多,人口流入能力增强,成了网络安全人才聚集新高地。

从评价开展情况上看,37%的用人单位投入网络安全人才评价的精力在5%及以下;32%的用人单位在网络安全人才评价方面“无预算”;同时评价激励制度缺乏、加薪/晋升兑现缓慢,也成为了网络安全产业的短板,用人单位对网络安全人才评价重视程度亟需加强。同时,受制于缺乏统一的网络安全人才评价体系,找不到科学有效的人才评价方法等,用人单位在评价实践环节也暴露出了多种问题。其中评价标准不明确是用人单位建设网络人才评价体系最大的挑战之一。
 

网络安全人才评价工作精力投入情况

用人单位网络安全人才评价年均预算


2、评价维度单一等因素限制了院校人才评价的准确性和指引性

为实施国家安全战略,加快网络空间安全高层次人才培养,2015年,国家正式设立网络空间安全一级学科,为我国建设网络安全产业人才梯队提供了坚实基础。白皮书指出,本科及以上院校是培育网络安全人才的主力军,培养了90%的网络安全新生力量。我国院校高度重视学生网络安全实战能力提升,而网络安全竞赛由于高度贴近真实业务场景,且能够快速锻炼、检验学生的实战能力,院校对其有效性的认可度较高,占比63%;为鼓励学生更好地了解网络安全前沿技术应用,通过网络安全竞赛提高自己的专业技能和实际操作能力,75%院校推出了“在网络安全竞赛中获奖,可与院校奖励挂钩”的政策;在参加网络安全竞赛的人才中,45%的学生从大一开始参赛,32%的学生从大二开始参加比赛。由此可见,网络安全竞赛演练成为了院校评价网络安全人才实战能力最有效的方式之一。同时,院校也纷纷以网络安全攻防实验、网络安全攻防演练等为抓手,让学生走进“实战场景”,上好“实践必修课”,75%的院校优先将人才评价预算投入到搭建攻防实验室中。


在网络安全竞赛中获奖和院校奖励关联占比
竞赛“新星”年级分布

虽然各大院校在推进网络安全实践教学的过程中做了大量工作,但由于网络安全产业起步较晚,作为交叉性、复杂性学科,院校普遍面临理论课程压力大、实践教学环境有限等挑战,院校网络人才评价体系也暴露了很多问题,限制了人才评价的准确性和指引性。其中评价维度单一、缺乏实战能力评价、奖励机制不完善、学业成绩占比太高较为明显。

时代呼唤科学、统一的网络安全人才实战能力评价体系

网络安全在当前数字时代变得越来越重要,无论是政企单位,还是个人,都面临着日益复杂和普遍的网络威胁。加速进行网络安全人才统筹规划,建立专有的网络安全人才实战能力评价体系,是院校和用人单位共同的呼唤。数据显示,分别有82%的院校、64%的用人单位希望针对网络安全人才的实践能力,设置特有的评价体系。  

同时,评价维度也是网络安全人才实战能力评价体系的重要方面之一,分别有87%的院校、47%的用人单位希望网络安全人才实战能力的评价,应该着重考虑安全技能、安全意识、安全知识和安全实践四个维度。这说明人才是驱动产业发展的动力之源,建立健全更加完善的人才评价体系、多元化的评价维度,不仅有助于更全面、准确地评价人才的工作成果,激发人才潜力,也更符合广大网络安全人才的切身利益。

结合调研成果,以及编委专家在人才评价工作方面的实践积累,白皮书提出网络安全人才实战能力评价ASK-P三维结构模型。在岗位维,按照工作任务差异,划分为网络安全管理、网络安全建设、网络安全运营、网络安全审计和评估、网络安全科研教育五个类别;在内容维,按照人才综合评价要求,划分为意识(Awareness)、技能(Skill)、知识(Knowledge)和实践(Practice)四个方面;在层次维,按照人才能力、水平差异,划分为初、中、高三个等级。每个维度的空间曲面中还包含岗位描述、岗位要求、岗位分层级方式、评价指标、有效的评价方式等。

不仅如此,考虑到网络安全人才评价体系的落地性、易操作性,以及不同类别岗位的实际情况,白皮书提出了“三级九层”的概念,建议在开展评价工作时,在三个等级的基数上,将每个等级继续细分为二或三层。以此帮助网络安全人才按图索骥,找到正确的职业发展路径;帮助各单位精准区分网络安全人才的能力和素质,科学开展网络安全人才评价,构建塔顶尖、塔体强、塔基厚的人才金字塔。


网络安全人才实战能力评价ASK-P三维结构图

此外,白皮书还围绕网络安全人才评价,从“加强统筹协调、完善政策体系”“优化人才岗位,践行人才分类分层施策”“完善评价体系,筑牢人才强基”等方面提出了诸多可行建议。

网络安全人才评价是人才建设工作的“指挥棒”,对我国网络安全人才队伍的建设,以及各单位“育好人”“选好人”“用好人”,乃至网络安全产业人才评价改革起着导向作用。白皮书的发布,指出了各方面临的很多现实性问题,同时也为网络安全人才评价指明了可行性路径,弥补了我国在网络安全人才评价研究上的空白,对监管侧优化人才政策、供需两侧完善人才评价体系、人才侧持续掌握优势与短板等都具有极强的参考价值。