国家网络空间安全人才培养基地
图片展示
国家基地

网络空间安全吃紧,人才得跟上

作者:辛阳博士 浏览: 发表时间:2020-11-24 11:10:38 来源:中国网

   网络已经改变了社会,提升了人类的生产效率和生活质量。网络空间已经成为信息传播的新渠道、生产生活的新空间、经济发展的新引擎、文化繁荣的新载体、社会治理的新平台、交流合作的新纽带、国家主权的新疆域。人类在享受网络带来的便利和成果时,骇然发现了网络的另外一面。

       个人方面,隐私没了、被骗的和被勒索多了、移动设备被控制了、个人账户上的钱不知道什么时候被转没了、个人电脑的文件经常丢失等等;

       社会组织方面,工厂设备被黑客控制、网站被黑、文件被篡改、信息系统被瘫痪、保密数据被泄露比比皆是。网络渗透、网络攻击、网络有害信息、网络恐怖和违法犯罪越来越多,网络安全形势日益严峻,国家政治、经济、文化、社会、国防安全及公民在网络空间的合法权益面临严峻风险与挑战。

       我国网民因垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失每年高达千亿。2019年2月,WinRAR的漏洞被黑客利用,超过5亿个用户面临风险;2019年3月,委内瑞拉电网遭受电磁攻击,导致全国23个州中18个州发生了停电;2019年IT安全与云数据管理巨头Rubrik数据库中近10GB客户信息被泄露,各种网络安全事件频发,令人疲于应对,网络安全态势日益趋向恶化。随着网络相关机器人、自动驾驶、无人驾驶、智能家居、智能工厂、城市大脑、智能办公等信息系统的发展,和网络有关的安全问题会越来越多,影响范围更加广泛。人民群众对网络社会进一步发展的迫切需求和现阶段网络空间安全治理能力有限之间的矛盾已经成为影响国家安全和经济社会发展的重大问题。

       国家网络空间安全人才培养基地专家、灾备技术国家工程实验室副主任、北京邮电大学博士生导师辛阳博士表示,当前网络空间安全问题主要包括:

       大规模攻击日趋频繁。拒绝服务攻击(DDoS)规模每隔几年就提高一个数量级;针对DNS进行劫持攻击,可将正规网站劫持到钓鱼网站上,诱骗用户登录,既可造成个人信息泄露乃至财产损失,也可对被攻击网站运营单位造成经济损失和名誉损失。如果金融支付网站被劫持,黑客可以轻松盗取用户银行账号、密码以及其他信息。

       大量用户数据被窃取。政府、企业、社团等组织中有巨量的用户或客户数据,一旦系统被入侵,会对用户财产安全和隐私安全构成威胁,也给运营系统的单位经济和声誉损失,安全隐患极大。如机锋网2300万用户信息、网易邮箱过亿用户数据、涉及数千万用户信息的社保系统等都曾经遭遇泄露或可能遭遇泄露。

       涉密内网设备被植入后门。已经发现不少厂商,甚至是著名厂商的设备或软件产品存在后门,黑客可由此直接控制内网,引爆安全“地雷”,窃取秘密。

       重要网站内容和信息系统数据库被篡改。政府、银行、能源企业,甚至公共网站经常被黑,被放上了反动、色情内容。银行账户漏洞导致客户的零头被转入入侵者账户等事件常有耳闻。

       高危漏洞频现。网络设备、操作系统、智能联网设备、移动APP的安全漏洞问题严重,修复进度迟缓,黑客可以轻松入侵个人或单位的信息系统从事获利或敲诈活动。风靡一时的勒索病毒利用的就是已经公开的安全漏洞,中招的就是那些没有及时打补丁的用户。苹果Xcode开发链被污染事件中,包括微信、网易云音乐、高德地图、滴滴出行、12306,甚至一些银行手机应用均受影响,苹果应用商店超过3000个应用被感染。

       除了上述问题之外,未来还可能存在路由扰乱致瘫网络,网络流量被监控,工业控制系统、机器人、飞行器、汽车、火车、智能家居等被入侵劫持等,需要提前布局进行预防。

       没有网络安全,就没有国家安全。国家对此高度重视,在多个方面采取了措施:

       明确网络空间主权,用宪法和法律法规进行管理,维护国家安全。

       通过技术与管理手段保护关键信息基础设施,包括公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统、重要互联网应用系统等,着眼识别、防护、检测、预警、响应、处置等环节,建立基础设施保护制度,并从管理、技术、人才、资金等方面加大投入,加强基础设施安全防护。

       完善网络治理体系,构建法律规范、行政监管、行业治理、技术保障、公众监督、社会教育相结合的治理体系,实施网络内容建设工程、打击网络恐怖和违法犯罪,鼓励社会组织等参与网络治理,完善国家网络安全技术职称体系,夯实网络安全基础,提升网络空间防护能力。

       实施网络安全人才工程,加强网络安全学科专业建设,打造一流网络安全学院和创新园区,形成有利于人才培养和创新创业的生态环境。

       在国家网络空间安全战略中提到了实施网络安全人才工程,足以说明网络安全人才培养的重要性和紧迫性。

       《中华人民共和国网络安全法》提出了定期对网络从业人员进行网络安全教育、技术培训和技能考核的要求。

       《工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见》(工信部保〔2014〕368号)在加强人才队伍建设方面这样描述:基础电信企业要积极开展网络安全专业岗位职业技能鉴定工作,建立健全网络安全专业岗位持证上岗制度;加强网络安全培训,把相关培训纳入员工培训计划;积极组织和参与网络安全知识技能竞赛,形成培养、选拔、吸引和使用网络安全人才的良性机制。

       《中央企业负责人经营业绩考核办法》第四十八条规定,企业法定代表人及相关负责人违反国家法律法规和规定,导致发生较大及以上生产安全责任事故和网络安全事件造成重大不良影响或者国有资产损失的,国资委根据具体情节给予降级或者扣分处理;情节严重的,给予纪律处分或者对企业负责人进行调整;涉嫌犯罪的,依法移送国家监察机关或司法机关查处。

       《国有企业信息安全管理办法》指出信息安全管理遵循“全员参与、全面预防、持续改进、风险控制”的方针,企业信息领导小组主要负责人是企业信息系统安全工作的第一责任人,负责建立健全公司信息系统安全管理机构,决定信息安全工作的年度部署。

       《证券公司和证券投资基金管理公司合规管理办法》(中国证券监督管理委员会令第133号)第二十二条规定,证券基金经营机构应当为合规部门配备足够的、具备与履行合规管理职责相适应的专业知识和技能的合规管理人员。合规部门中具备3年以上证券、金融、法律、会计、信息技术等有关领域工作经历的合规管理人员数量不得低于公司总部人数的一定比例,具体比例由协会规定。

       《证券公司合规管理实施指引》(中证协发[2017]208号)第二十七条规定,证券公司总部合规部门中具备3年以上证券、金融、法律、会计、信息技术等有关领域工作经历的合规管理人员数量占公司总部工作人员比例应当不低于1.5%,且不得少于5人。

       《电信和互联网用户个人信息保护规定》(中华人民共和国工业和信息化部令第24号)规定,电信业务经营者、互联网信息服务提供者应当采取以下措施防止用户个人信息泄露、毁损、篡改或者丢失:确定各部门、岗位和分支机构的用户个人信息安全管理责任;电信业务经营者、互联网信息服务提供者应当对其工作人员进行用户个人信息保护相关知识、技能和安全责任培训。

       《电力行业网络与信息安全管理办法》(国能安全[2014]317号)规定,电力企业应当建立健全网络与信息安全管理制度体系,成立工作领导机构,明确责任部门,设立专兼职岗位,定义岗位职责,明确人员分工和技能要求,建立健全网络与信息安全责任制。电力企业应当加强信息安全从业人员考核和管理。从业人员应当定期接受相应的政策规范和专业技能培训,并经培训合格后上岗。

       国家互联网信息办公室2017年7月10日发布《关键信息基础设施安全保护条例(征求意见稿)》现已纳入国务院2020年立法工作计划,其中第二十六条规定,运营者网络安全关键岗位专业技术人员实行执证上岗制度。执证上岗具体规定由国务院人力资源社会保障部门会同国家网信部门等部门制定。

       《商业银行信息科技风险管理指引》(银监发[2009]19号)规定,商业银行应对信息科技部门内部管理职责进行明确的界定;各岗位的人员应具有相应的专业知识和技能。

       随着政府部门和大型企业对网络空间安全的日益重视,相关法规与政策将不断出台,对网络安全人才的需求也将迅速扩大!千锋教育网分析指出,2017年我国网络安全人才需求约70万,而国内培养能力为3万,到了2020年,网络安全人才需求量约140万,与此对应的是高校的培养能力和社会机构的培养能力远低于该数量。同时网络安全人才短缺而造成薪酬增长,杭州安恒信息技术股份有限公司提供的2020年网络安全人才发展报告中显示(如下图):网络安全从业人员的薪资水平总体相对偏高,其中分布最多的是薪资水平在10-15万的,占比26.84%,15-20及20-25万薪资区间的占比也均超10%。

       由于人才缺口数量很大,大量非网络安全领域的毕业生纷纷通过参加培训或自学获得证书的方式进入网络安全领域从事网络安全工作,这催生了大量的培训机构。数量众多的培训机构良莠不齐,让从业者和学生无所适从,一旦选错不仅钱没有了,更麻烦的是耽误了时间,丧失了好工作机会。

       解决上述问题的办法是权威认证。针对上述情况,中国信息安全测评中心推出了两个证书,一个是面向高校在读学生的国家信息安全水平考试(National Information Security Test Program,NISP),另外一个是针对专业人士的注册信息安全专业人员资质认证(Certified Information Security Professional,CISP)。

       NISP面向高校在读学生提供一个能力不断进阶的课程体系,由中国信息安全测评中心进行考试和认证,国家网络空间安全人才培养基地进行运营/管理,并授权网安世纪科技有限公司作为国家信息安全水平考试(NISP)专项证书管理中心。NISP认证体系共分为三级:

       NISP一级:面向高校所有学生,是通用的信息安全意识普及和信息安全保护知识认证,认证的是在任何单位从事任何工作都应具备的信息安全基本知识和技能。

       NISP二级:主要面向高校信息安全相关专业学生,包含信息安全专业知识和技能培训,是从事网络或信息安全类工作的人员应具备的基本证书。根据中国信息安全测评中心规定,持NISP二级证书,可免培训免考申领CISP证书。

       NISP三级(专项):是针对专项领域信息安全人才需求进行认证,因紧密结合领域信息安全业务,通过认证的专业人士在专项领域更具战斗力。

       CISP 资质认定针对的是信息安全专业人士,根据岗位工作需要,CISP分为两个类别:一是注册信息安全工程师(Certified Information Security Engineer,CISE),证书持有人员具有从事信息系统安全集成、安全技术测试、安全加固和安全运维的基本知识和能力;二是注册信息安全管理员(Certified Information Security Officer,CISO),证书持有人员具有组织信息安全风险评估、信息安全总体规划编制、信息安全策略制度制定和监督落实的基本知识和能力。

       目前国家网络空间安全人才培养基地运营机构网安世纪科技有限公司独家负责NISP专项的运营,将NISP分为十大类进行,如下图所示:


       基地在NISP二级知识体系及课程的基础上,增加了面向岗位的网络安全水平进阶就业实训课程,通过实战训练,保证学生毕业时可以达到就业所需的岗位的能力,让学员不但能学习理论收获证书,更能学习一些和理论相关的实操内容,让证书不仅仅是证书。学生如想了解NISP,请浏览国家信息安全水平考试(NISP)管理中心网站(nisp.org.cn),不管你是不是想参加NISP考试,通过该网站你将会在信息安全方面获得收益。



网络空间安全吃紧,人才得跟上
网络已经改变了社会,提升了人类的生产效率和生活质量。网络空间已经成为信息传播的新渠道、生产生活的新空间、经济发展的新引擎、文化繁荣的新载体、社会治理的新平台、交流合作的新纽带、国家主权的新疆域。人类在享受网络带来的便利和成果时,骇然发现了网络的另外一面。
长按图片保存/分享
更多NISP授权运营机构

国家网络空间安全人才培养基地

国家信息安全水平考试(NISP)专项证书管理中心

客服中心
二维码
添加微信好友,详细了解产品
使用企业微信
“扫一扫”加入群聊
复制成功
添加微信好友,详细了解产品
我知道了
京ICP备18045154号-8