拜登政府网络安全人才战略前瞻

网络安全人才一直是美国在网络领域高度重视的议题。随着网络相关技术的发展以及国际格局的加速演进，网络安全在拜登政府国家安全战略中的重要性持续提升，网络安全人才作为美国实现网络安全战略的基础，其关键作用更加凸显。美国对网络安全人才的需求持续高企，网络安全人才议题已成拜登政府的优先要务。经过一系列的准备，2023年，美国将在军民各方面进行网络安全人才建设的全面部署并推出实质性举措，以实现其人才领先优势的总体战略目标。

一、美认为其网络安全人才短缺形势依然严峻

美国系统性开展网络安全人才建设，已将人才培养列入多部网络安全相关法律及规定，并通过了《联邦网络安全人才队伍评估法》等专门立法。在联邦政府层面，美国也推出了大量网络安全人才发展政策举措。例如，美国国家标准与技术研究院（NIST）牵头的“国家网络安全教育计划（NICE）”及其开发的SP800-181“国家网络安全人才框架（NCWF）”标准、美国国家安全局（NSA）和美国国土安全部（DHS）共同牵头的“国家网络安全卓越学术中心（NCAE-C）”、美国网络安全与基础设施安全局（CISA）牵头的“网络安全教育培训辅助计划（CETPA）”，以及美国各联邦部门自有的人才培养和鼓励激励措施等。

尽管如此，美国判断其当前网络安全人才形势依然十分严峻，会对经济繁荣和国家安全构成严重威胁。在民用领域，网络安全人才供需网站CyberSeek数据显示，全美已有网络安全人员100余万人，岗位空缺数量约为60万；美联邦政府现有网络安全人员7.5万人，岗位空缺数量约3.9万。在军事领域，美国审计总署（GAO）关于军队网络人员的审计报告显示，从2017到2021财年，国防部始终面临着现役军职网络人员短缺的问题。

二、美将继续寻求保持和推进网络安全人才领先优势

拜登政府执政任期已过半，在网络安全人才战略方面将陆续发布系列文件。综合研判截至2023年2月美国相关战略动态、官方表态、国会预算等情况，网络安全人才发展战略将是拜登政府的优先要务，2023年军队和联邦政府层面都将做出相关部署并推出实质性举措。人才是实现美国网空各项目标的基础性战略资源，历来是其国家网络安全工作的重要着力点。特朗普执政时期，美在网络安全人才方面的目标是“建设一支更有优势的人才队伍”，重视保持其网络安全人才队伍在国际上的绝对竞争优势。拜登政府在网络安全方面整体上延续上届政府的定调，重视利用网络空间这一非传统领域手段在大国竞争中实现其竞赢目标。网络安全人才议题将继续占据重要地位，其目标设定依然是将保持和推进其人才领先优势，以服务于美在网络空间制权的最终目的。根据截至2023年2月美国相关战略动态、官方表态、国会预算等情况，可以看出网络安全人才发展战略将是拜登政府的网络优先要务，并将于2023年在军队和联邦政府层面进行全面部署并推出实质性举措。

三、美国联邦政府制定全新的“网络人才和教育战略”

（一）加强联邦网安人才工作的统筹协调

（二）推进关键基础设施领域人才建设

2022年9月，美国网络安全和基础设施安全局（CISA）发布了该机构成立以来首个全面战略文件《2023—2025年网络安全战略规划》，为未来三年工作进行全面的部署。该战略强调，解决美国网络生态系统中人才短缺的问题至关重要，并提出CISA将主动发现、识别和培养有潜力的人才，尤其是寻找来自不同领域、不同背景的人才。在吸引高端人才方面，美国国土安全部（DHS）也效仿美国国防部（DoD）的“网络安全特别职务（CES）”，创建了一个名为“国土安全部网络安全职务（DHS-CS）”的职位类别。所谓特别职务，是指美政府在传统公务员招聘要求以外制定的人才招聘和管理制度，其任命、取酬、保密规则有别于一般公务员职位。在DHS-CS体系下，国土安全部可以自主招聘网络安全人才，同时根据人员的能力以及岗位的重要程度为其提供有竞争力的薪酬待遇。此类人员年薪最高上限为25.58万美元，和美国副总统的薪酬相当。首批招聘人员将在CISA和DHS首席信息官办公室入职。

（三）私营领域加大网安培训力度

美国关键基础设施约有85%为私营领域所有或运营，国家的网络安全态势高度依赖私营领域产业界人才的网络安全专业能力和意识。2023年度，美国网络与信息通信技术企业也将持续加强网安人才建设的投入和相关工作力度。例如，思科公司在过去二十多年里已经对200多万美国学生进行了网络和安全技能培训，并与美国约一半的社区大学和技术高校建立有合作伙伴关系。思科公司承诺，未来三年内将在美国额外培训20万学生，并将持续扩大其人才培养的覆盖面和影响力。IBM也通过其网络安全领导力中心提供更多的网络安全职业路径，还联合了多家高校以及美国教育委员会（ACE）共同实行网络安全学徒制同高校学分的置换计划。IBM去年曾承诺，将在未来三年额外为15万人提供网络安全技能培训。

四、军队实行新的“网络人才战略行动计划”

美国国防部（DoD）所有负责构建、保护、运营和防御美国网空资源的人员统称为“网络空间人员”。DoD网络空间人员包括信息技术人员、网络安全人员以及部分情报人员，是保护国防部网络和系统安全性、落实各项网络相关规程以及执行网络行动的基础力量。由于DoD于2022年底正式发布了《国防部零信任战略》，为落实该战略及其他最新的网络防御路线，DoD正在制定新的网络安全战略，确保其网络空间人员能够做好准备。实施零信任等新概念，对人员的能力提出了更广泛的需求，例如需要具备数据和人工智能等专业能力等。此外，如何招聘并留住最有创新性、掌握急需紧缺技能的网络人员成为DoD面临的挑战。为此，DoD首席信息官正在牵头制定一项“网络人才战略行动计划（CWSAP）”，以便通过统一、协调的方法，减少人才供应缺口，提高网络人员的质量和多样性，优先解决网络空间人员的个人和职业需求，应对影响整个国防部的共性挑战。

（一）更新网空人员标准化框架及配套政策

“国防部网络人员框架（DCWF）”是DoD对全频谱网络空间人员进行识别、跟踪、培训、资质测评和管理使用的标准框架，包括54个工作角色，每个角色对应了相应类别人员执行任务和开展工作所应具备的知识、技能和能力。DoD开发DCWF的目的是加强国防部内部网络部队之间，以及与国内外合作伙伴的互操作性。目前，DoD正在建立新的协调机制，对DCWF框架进行扩展，以便在更大范围内覆盖人工智能、机器学习、数据科学，以及先进软件开发等工作角色。由于DCWF中的角色和专职网络行动的网络司令部所使用的角色尚不兼容，DoD首席信息官办公室还计划在2023财年予以协调，寻求统一不同的工作角色框架要求。此外，DoD还将推进8140.01号令《网络空间人员管理》系列政策，以改进网络人员管理活动。这些政策提供了标准化的、基于角色方法规定，能够利用DCWF对国防部网络人员进行识别、跟踪和报告，为基于角色的网络安全资质和相关领域人才的持续发展提供指导。

（二）继续推进CES人员鼓励激励措施

DoD的“网络特殊职务（CyberExceptedService）”于2016年由国会批准，旨在为整个国防部网络专业人员的招聘、留用和发展提供灵活性。CES是聚焦任务的人员体系，主要是为参与或支持网络相关任务的文职雇员提供人力资源生命周期方面的支撑，其作用是能提供更有竞争力的薪酬，加快文职网络安全人才招聘的进度。例如，CES体系中一个名为“定向本地市场补充（TLMS）”的资金工具，自批准以来已将相关工作角色的离职率从8%降低至3%。为充分利用CES人员体系的灵活性，国防部批准了一项审核验证过程，可允许非CES部门申请加入。据DoD首席信息官办公室资源与分析主管MarkGorak披露，DoD的CES自2019年以来在国防部已覆盖1.5万人，最终目标是发展20万军职和文职人员。

（三）网络人才评估及相关人员数据质量提升

DoD正在对网络和IT人员进行基于零信任的评估，评估所得出的高价值数据，可为人员就绪度和留用规划提供支持。DoD还将利用其数据分析平台Advana，推动提高网络人员的可视性并形成分析能力，达到对国防部网络人员进行可适应、透明化、有意义的分析。该举措可将来自原有人力资源和人员职能系统的数据汇聚在一起，进而为岗位空缺率、人才招聘及留用等形成一整套关键绩效指标，加强对人员的可视性，为人员相关决策、改进数据质量提供支持，并允许根据其特定任务需求进行数据的解读和评估。

五、小结

美国建设了世界上最强大的网络部队，拥有全球领先的网络安全人才教育体系，广泛实施了国家、联邦政府、重要行业等各个层面的人才发展计划，但在人才问题上，美国一直是危机意识最强的国家。从1997年至2021年，美国审计总署连续将网络安全确定为政府高风险领域，人才短缺是其中重要原因之一。美国政府、智库、行业协会乃至大型企业频繁发布网络人才研究报告，呼吁加大力度以应对人才挑战。这种紧迫感的根源，来自美国对网络空间的战略认知和维护其全球霸权地位的内在需求。

网络代表着新的生产力发展方向，推动国家间力量对比达到新的平衡，因此成为当前大国竞争的重要领域和手段。国际变局和数字革命相互叠加背景下，美国必然加紧对网络空间所衍生的新型权力的掌控，以维持其网空绝对优势，而网络人才正是其实现这一战略目标的基础和关键所在。

除了认识上的高度重视，美国本身拥有非常成熟的人才教育和管理体系，在此基础上建构起来的网络安全人才培养各项工作，科学化水平普遍较高。例如，强调人才专业能力标准化框架，对照网络安全领域各种知识和能力谱系分类施策进行培养，注重实战化能力提升方式等。此外，美国已在强力部门和部分公共领域突破管理机制上的障碍，以满足对急需紧缺网络安全人才的需求。例如，美国国防部的网络特殊职务CES已开始发挥作用，负责民用关键基础设施的国土安全部也跟进设置了类似的人员序列。这些都是在观察和借鉴美网络安全人才建设工作中值得思考的地方。

（本文刊登于《中国信息安全》杂志2023年第3期）