中国移动：面向网络安全领域的人才发展规划和实践

近年来,网络安全整体形势更加严峻复杂,对安全人才提出了新的要求。与此同时,网络安全人才在数量、质量、结构和机制方面存在短板。本文介绍了相关企业面向网络安全领域,基于人才供应链理论,制定人才发展方案,创新构建人才库,明确专业方向和分级标准,开展评价认证,着力解决网络安全领域人才工作存在的不足,推动网络安全风险应对能力提升。

随着信息通信技术进入系统创新和智能引领的重大变革时期,信息基础设施加速向高速率、全覆盖和智能化方向发展,相伴而生的网络安全问题愈发凸显,并加速从虚拟空间向现实世界渗透扩散,对国家安全产生深刻影响。

网络空间的竞争,归根结底是人才竞争。过硬的人才队伍是应对网络安全新形势新挑战,捍卫国家安全、社会稳定和人民福祉的重要基础。

01网络安全人才工作面临的形势与挑战

近年来,随着新一代信息技术发展与数字化转型深入推进,网络安全面临的挑战更加复杂。基础设施方面,关键系统成为主要攻击目标,勒索病毒威胁加大,开源代码安全隐患突出,云安全风险愈演愈烈。2021年上半年恶意程序日均传播次数达582万余次。信息安全方面,电信网络诈骗严重影响人民群众合法权益。2017-2020年,某地单个案件涉案金额从180余万元上涨至5000万元。数据管理方面,大规模数据泄露问题频发,数据流转、共享、出境等环节安全风险凸显。内容治理方面,有害信息违规传播,威胁意识形态安全,国家进一步加强内容治理和监管。日益严峻的网络安全形势对人才工作提出了更高要求。

1.1网络安全领域的人才需求具有鲜明特点

网络安全领域本身具有政策性强、技术密集等特点,这对网络安全人才队伍的综合能力提出了更高要求。网络安全人才需求的特点主要包括以下几方面。

(1)知识储备要求高。当前,网络信息技术是创新最活跃、应用最广泛的技术创新领域。网络安全人才需要掌握安全防护技术与手段的大量新知识,以有效应对层出不穷的新威胁新风险。

(2)实战技能要求高。俄乌冲突中,网络空间成为双方角力的先行战场与主战场,通信网络中断、互联网服务中止等情况多发,网络安全人才必须提高极限情况下的风险与威胁处置能力。

(3)综合素质要求高。网络安全工作监管要求严、跨专业范围广,要求从业人员具备宽广的多学科视野和多专业背景,能够综合应用交叉专业能力开展工作。

1.2现阶段网络安全人才发展存在多项短板

与网络安全新形势需要的体系化人才队伍相比,当前网络安全人才队伍存在的不足也逐步显现,主要体现在以下四方面。

(1)供需不匹配。2021年9月,工业和信息化部等部门发布《网络信息安全产业人才发展报告》,指出当前我国网络安全人才缺口超过140万,在较长时期处于短缺状态,且缺口越来越大。与此同时,目前我国高等院校的网络安全专业招生规模较小,每年为社会培养输出的毕业生为2万人左右。

(2)结构不平衡。当前网络安全从业人员中,从事运营与维护、技术支持、风险评估与测试的人员相对较多,战略规划、架构设计、政策与形势研究等人员相对较少;“防守”人员充裕,“攻击”紧缺等。“重产品、轻服务,重技术、轻管理”的现象普遍,不同技术方向的人才比例失衡。

(3)分级不清晰。现阶段,网络安全领域各方向尚未形成体系化的人才层级,划分标准尚不统一。在各个专业方向的实际需求中,人才缺乏的层级往往不同。例如在架构规划方面,缺乏能够分析复杂安全形势的高层次研究人才。而在实际应用方面,又相对缺乏安全运营与维护等实操型人才。

(4)机制不完善。网络安全人才长效发展有赖于系统化人才职业体系和与之相匹配的评价认证机制。虽然在社会层面,有注册信息安全专业人员认证(CISP)和信息安全保障从业人员认证(CISAW)等资质评价手段,但在企业的实际操作中,网络安全人才属于新兴领域,企业内部的安全人才评价及使用体系多未建立,评、用分离的情况较为普遍。

02基于人才供应链理论的网络安全人才发展思路战

网络安全领域技术和业务迭代迅速,相应的人才管理体系需适应业务动态变化的特性。在此背景下,以“动态管理”为特点的“人才供应链理论”可为开展网络安全人才规划提供有益参考。

2.1人才供应链理论简述

人才供应链是供应链管理在人力资源领域的成熟理论,主要内容包括针对人才供需双方情况,科学开展人才预测,采用内部培育和外部引入的方法,适应外部环境动态发展,保障人才供应。

人才供应链包括多个环节,主要包括规划、引进、评价、培养和流动等。规划环节基于发展战略确定人才需求,了解人才储备现状,把握人才的供给与需求情况;引进环节主要建立选拔机制,丰富外部人才供应渠道,针对性引进高精尖和紧缺人才;评价环节通过构建人才标准,常态化开展人才评价工作,及时掌握人才能力状况和调整人才供给策略;培养环节对不同能力要求的人才制定差异化的培养策略,保障培养质量和效率;流动环节主要建立健全人才调配和交流等机制,激发人才队伍活力。

2.2网络安全人才能力提升方案

中国移动拥有全球规模最大的信息通信网络,是维护网络安全的“国家队”。以形成集中统一、高效权威、管控有力、常态化运转的网络安全工作机制为目标,基于人才供应链理论,聚焦“如何汇聚人才、培养什么能力、需要哪些方向的人才、怎么提升人才获得感”等问题,探索构建了覆盖人才规划、选拔、培养、使用、评价等全链条各环节的人才发展体系,形成“网络安全领域人才能力提升方案”。其主要包括能力体系规划、能力评价认证和能力互认共享3个层次。

“网络安全领域人才能力提升方案”的第一层是能力体系规划,这是人才发展工作的起点,规划了清晰的网络安全领域能力分级体系;第二层是能力评价认证,这是人才发展工作的重点,是实现人才“引进”和“评价”的有效方式,以分专业方向开展能力认证为牵引,系统提升人才专业能力;第三层是能力互认共享,这是人才发展工作的落脚点,通过建立健全人才库,为人才的“培养”和“流动”提供基础,实现人才全生命周期闭环管理。

03聚焦能力提升的网络安全人才发展实践

在“网络安全领域人才能力提升方案”框架下,立足自身优势,应对当前挑战,补齐短板不足,推动网络安全人才供给全方位升级。

3.1聚焦数量提升施行人才入库动态管理

(1)打造网络安全领域人才“蓄水池”。建立网络安全领域的专业人才库,优先遴选现有安全从业人才入库,对队伍现状进行摸排测绘。后期,通过多种手段逐步扩大入库范围和领域,推动网络安全人才“由少到多”,队伍“由小变大”。

(2)绘制人才储备和使用情况“热力图”。针对网络安全人才库在库人员进行动态化管理,为每个人才构建人才能力档案,密切跟踪相关人员在重点岗位、重要课题、重大项目等中的表现,及时完善人才标签,精细化绘制人才储备和使用“热力图”,确保在库人员能力有记录、发展有舞台。

3.2聚焦结构优化促进专业方向全覆盖

(1)划分网络安全“六大方向”。明确了“安全规划与管理、安全创新与研究、安全工程、安全运营、安全产品与服务和安全审计与评估”六大专业方向,引导人才资源在各专业方向按需分配,推动解决人才结构的突出问题,具体见表1。

表1网络安全人才六大专业方向

在六大方向中,安全规划与管理人才主要负责战略研究与规划及管理等工作;安全创新与研究人才主要负开展技术和标准研究;安全工程人才主要负责需求分析、架构设计及开发集成等工作;安全运营人才主要集中在安全治理、威胁监测、应急处置等方面;安全产品与服务人才主要负责产品与解决方案的研发推广等工作;安全审计与评估人才主要开展合规审计、风险识别、分析与评估等工作。

(2)推动安全人才融入主业发展。实施网络安全人才交流制度,鼓励安全专业人员下沉到市场一线和业务末端,在丰富的实践中了解业务、拓宽眼界、锤炼本领,持续提升安全人才“保安全、防风险、助发展”的能力,促进安全与市场拓展、业务开发等主业深度融合。

3.3聚焦质量升级打造人才分级体系

(1)明确人才分级标准。对网络安全人才层级进行划分,7个层级见表2。其中6～7级为高阶,引领安全前沿领域发展布局;4～5级作为中阶,主要承担专业领域攻坚创新任务;1～3级为初阶从业人员,有效处置日常网络安全问题。此分级标准已运用在全国信息安全标准化技术委员会颁布的《网络安全从业人员能力基本要求(征求意见稿)》中。

表2分类分级的网络安全领域能力体系

(2)绘制分级能力图谱。根据7个层级的网络安全能力体系,系统规划每个网络安全子领域应掌握的能力标准,搭建形成完整的能力图谱,采用“知识、技能、能力”框架建立评价模型。对于较低层级的人员侧重知识技能的考察,对于较高层级的人员侧重多维度能力考查。

3.4聚焦机制完善开展人才评价认证工作

(1)开展评价认证。制定上下联动的流程,规范、客观评价人才能力,对人才方向和层级进行认证。在实际工作中,将评价认证标签作为重要参考,选拔相应专业方向和层级的人才开展工作,给各层级人才提供合适的工作岗位和匹配的工作任务,选好人才。

(2)创新激励机制。推动相关单位将人才评价认证结果作为绩效、岗级评价的重要参考,让人才有感知、得实利。同时,优先推荐通过认证的人才和人才库内的专家参加高级别安全比赛、高阶业务培训、模范评优推选等,用好人才。

网络安全的本质在对抗,对抗的本质在攻防两端能力较量,攻防力量的核心保障是人才。对于企业未来发展而言,要抓住主要矛盾,从网络安全领域人才工作全链条着手,适应网络安全领域人才需求特点,强化综合素质,提升专业能力水平,加强实战演练,打造供给匹配、结构平衡、分级清晰、机制完善的网络安全人才发展体系,提升“保安全、防风险、助发展”的能力,切实筑牢网络安全屏障。(中国移动通信集团有限公司贵重、赵红、董航、李云翔)

（编辑：王小莉）