破解人才困境的智慧罗盘!新时期的人才“能力地图”
在网络安全已成为国家战略基石的今天,网络安全人才已从过去的被动执行者,转变为驱动安全战略的核心引擎。这种转变的核心是将人才视为战略资产的深度变革,人才能力建设则是实现安全战略的重要途径。然而,许多企业在人才建设上却面临着一个巨大的困惑:企业虽然遵从国标GB/T42446-2023《信息安全技术网络安全从业人员能力基本要求》作为人才管理的指导,但是在AI威胁、数据合规和“护网行动”的实战考验面前,仍然感到力不从心,企业对“到底应该需要什么样的人才”感到困惑。
安全牛分析,这种困惑的根本原因在于,国标作为一项基础性、通用性框架,其静态的任务、知识和技能定义,已经无法完全适应新时期动态演进的挑战。企业亟需一套融合国标基础,并深度拓展AI、数据、实战等前沿领域,且具备可量化能力分级的新型人才能力框架,以此作为“智慧罗盘”,指引企业精准规划出适应自身业务发展的人才能力地图,从而从根本上解决人才困境。
一、现有国内的网络安全人才能力框架
国标GB/T42446-2023《网络安全从业人员能力基本要求》作为中国网络安全人才领域的国家标准,在系统化分类和国情适配性方面奠定了坚实的基础,建立了网络安全工作类别的分类体系,明确了从业人员应具备的知识和技能要求,为人才培养、评价和管理提供了统一规范。
图片
二、国际网络安全人才能力框架的介绍
美国国家标准与技术研究院(NIST)和欧盟网络与信息安全局(ENISA)发布了较为成熟的网络安全人才能力框架,在结构化和普适性方面有其优势,通过对比分析,在发现国内网络安全人才能力框架面对新时期挑战的不足的同时,可以引发对新时期网络安全人才能力框架需求的思考,从而探索新时期的网络安全人才能力框架。
1)NIST网络安全人才能力框架(NICE Framework)。NIST网络安全人才能力框架是由美国国家标准与技术研究院(NIST)发布,为美国政府和企业网络安全建设提供结构化方法管理网络安全人才的参考框架,以建立通用语言,并解决人才短缺挑战。
NICE框架是网络安全工作解构为构建的语言,旨在促进对网络安全人才需求体系的共同理解、和评估。将网络安全工作划分为7个类别(Categories)、33个专业领域(Specialty)Areas)和52个工作角色(WorkRoles),并为每个工作角色详细定义了所需的任务(Tasks)、知识(Knowledge)、技能(Skills)和能力(Abilities)。
图片
NICE框架通过将网络安全工作解构为类别、专业领域和工作角色,并为每个角色详细定义了所需的任务、知识、技能和能力(KSA),这种高度结构化的体系使其在全球范围内被广泛采用,成为描述网络安全劳动力的事实标准。此外,NICE框架具有很强的灵活性,允许组织根据自身需求进行裁剪和调整,有效弥合了企业、教育机构和求职者之间在人才需求认知上的差距。为企业进行人才招聘、岗位描述、员工能力评估及职业发展规划提供了明确的参考依据,有助于构建科学的人力资源管理体系。
2)欧洲网络安全技能框架(ECSF):《欧洲网络安全技能框架》(ECSF)由欧盟网络与信息安全局(ENISA)发布。旨在为欧盟成员国提供一个统一的网络安全技能参考体系,以应对日益增长的网络安全威胁和人才短缺问题,并促进网络安全专业人员在欧洲范围内的自由流动和技能认可。
ECSF框架以以角色为中心,将网络安全专业人员的职责细化为12个网络安全典型专业角色,并为每个角色提供了详细的描述和所需的能力、技能、知识,旨在促进人才市场对网络安全人才需求的理解。
图片
ECSF框架极具实用性,能够直接指导企业招聘和职业规划,并帮助个人清晰定位职业路径。此外,该框架紧密结合了欧盟的法律法规和劳动力市场特点,确保其内容与实际需求紧密相关。ECSF还致力于建立一套通用术语,以促进企业、教育机构和求职者等各方在人才需求理解上的有效沟通和协作。设计原则强调了开放性、灵活性和可扩展性,使其能够持续适应不断变化的网络安全环境。
3)《E-CompetencesFramework3.0》(e-CF)《e-CF-E-CompetencesFramework3.0》(以下简称e-CF3.0)是由欧洲标准化委员会(CEN)的ICT技能工作坊发布的一项通用欧洲框架。旨在为所有行业领域的信息与通信技术专业人员提供一套通用的能力描述标准。e-CF3.0的目标是为整个欧洲的信息与通信技术工作所需的能力、技能和能力水平提供一个通用的参考语言,以促进相互理解和透明化。
e-CF3.0框架基于其“四个维度”来构建ICT能力,宏观职能划分为5个e-能力领域、定义了40个e-能力、以及从e-1到e-5的五个熟练度级别,提供了在整个欧洲范围内对能力水平进行一致解释的参考。
e-CF 3.0与欧洲资格框架(EQF)建立了系统且合理的关联,具备高通用性和互操作性,为ICT人力资源规划、能力评估、职业发展和课程设计提供了实用且灵活的参考,并针对移动、云计算、大数据等新兴趋势进行持续演进的更新,这种机制使框架可以适应最新兴的技术趋势 。
三、国内外人才能力框架的对比分析
通过与国际主流框架的对比,以及结合国内新时期背景的运用,《网络安全从业人员能力基本要求》的不足之处包括:
远景引领不足:NICE和ECSF框架设计更加灵活和部署,能够更快地进行版本迭代和内容补充。中国国家标准周期相对较长,在应对“新质生产力”带来的前沿技术(如大模型安全、隐私计算、量子计算威胁)时,其更新可能速度无法完全匹配产业的快速发展。这使得国内企业在未来挑战时,来自权威官方的、与时俱进的政策指引还存在不足。深度与细节欠缺:国际框架在对特定角色的任务、知识、技能描述上较为精细,例如NICE为每个工作角色定义了详细的KSA,为企业提供了更具体的指导。中国国家标准在通用性上表现出色,但在对具体岗位的深度要求不足,使企业在参考并制定精细化的人才方案和能力评估标准时,不得不自行摸索,难以有效快速完成基于业务的网络安全人才能力建设。实战化导向不足:国际框架在“事件响应”和“调查”等类别中,有更多实战化要素,并有专门的认证体系支撑实战能力的培养。而国标对实战化的强调较弱,未能充分体现实战人才相关能力,随着国内网络安全已进入实战对抗的时代,标准与实际的脱节导致国内企业面对真实威胁时,往往实操能力和应变能力不足,无法满足高强度实战对抗的需求。对人工智能等新兴技术覆盖不足:虽然《网络安全从业人员能力基本要求》在“新技术新应用安全”(K10-001)中包括了人工智能,但其描述较为宽泛和通用。应深入细化AI系统自身所面临的独特安全风险(如对抗性攻击、大模型安全、模型盗取、数据投毒)以及如何防御这些风险所此外,对于利用AI技术赋能安全运营(如AI驱动的威胁检测与响应、自动化编排)所需的具体人才能力,也缺乏明确阐述。使得企业在培养人工智能安全人才时,缺乏明确的指引,导致企业不知应如何保障人工智能的安全。复合型人才覆盖角色不够全面:《网络安全从业人员能力基本要求》划分了20项工作任务和5类工作类别,但对于DevSecOps工程师、数据安全架构师(尤其是隐私计算)、AI安全科学家、供应链安全专家、IT/OT融合安全专家等新时期高度复合型或战略型人才的职责描述和能力,描述的不够具体和深入。使得企业在寻找或培养这些关键复合型人才时,缺乏明确的参考依据。四、国内现有人才能力框架的具体分析
《网络安全从业人员能力基本要求》在工作类别、任务、知识体系、技能和工作角色等方面存在不足包括:
1)工作类别的不足在工作类别方面的不足主要体现在:一是宏观分类与新战略脱节。国标将工作类别划分为5类(管理、建设、运营、审计评估、科研教育),未能充分体现AI安全与治理、数据安全与隐私保护(特别是数据要素化背景)、实战攻防与威胁狩猎等具有战略意义和独立性的新兴领域。二是任务范围未及时拓展。在每个工作类别下,宏观任务定义未能涵盖如AI伦理与治理政策制定、AI系统安全架构设计、云原生安全建设、威胁狩猎实践等新时期涌现的关键工作。
以下为部分示例图(具体见最终报告)
图片
在工作任务描述方面的不足主要体现在:一是新兴技术任务缺失。20项主要工作任务中,缺乏针对AI模型安全评估与加固、大模型应用安全开发与测试、隐私计算技术实施等AI和数据安全核心任务的明确描述。二是实战化任务强调不足。对于网络安全测试、应急管理等任务的描述,未能充分体现高强度红蓝对抗演练、APT攻击溯源与归因、0day漏洞挖掘与利用等实战化要求。三是欠缺深度和前瞻性。工作任务描述较为通用,缺乏对AI驱动的智能安全、数据要素安全流通等前沿理念的深入阐述。
以下为部分示例图(具体见最终报告)
图片
在知识体系方面的不足主要体现在:一是新兴技术知识覆盖不足。一是在AI安全(如对抗性机器学习原理、大模型安全)、隐私计算相关密码技术(如同态加密、后量子密码)、云原生安全原理、DevSecOps流程等新时期关键知识点上,缺乏足够的深度和明确的知识单元。二是实战化知识体现不足。缺乏对实战化攻防理论、安全体系韧性理论、威胁狩猎方法论等实战对抗相关知识的描述。
以下为部分示例图(具体见最终报告)
图片
在技能体系方面的不足主要体现在:一是缺少新兴技术技能。技能体系中,缺乏对AI模型和系统安全漏洞分析与修复、生成对抗性样本、AI伦理合规性审查、实施隐私计算技术、容器安全配置与管理等AI、数据、云原生领域核心实践技能的明确定义。二是实战化技能强调不足。对0day漏洞挖掘与利用、高级渗透测试与红队工具开发、组织和实施威胁狩猎活动、APT攻击溯源与归因等高强度攻防技能的体现不足。三是自动化与DevSecOps技能欠缺。对安全自动化、自动化安全测试工具集成与调优等DevSecOps实践所需技能描述不足。
以下为部分示例图(具体见最终报告)
图片
在工作角色方面的不足主要体现在:一是新兴技术的角色缺失。工作角色分类缺乏AI安全架构师、威胁狩猎专家、数据隐私架构师、DevSecOps工程师等新时期高度复合型或战略型角色的明确定义。二是角色任务未完全匹配新需求。现有角色关联的工作任务未能完全体现新时期职责的深化和扩展。三是角色定义过于宽泛。任务涵盖范围过于宽泛,导致与其他专业化角色重叠,不利于人才的精准培养和岗位设置。
以下为部分示例图(具体见最终报告)
图片
五、破局之道:融合型“新时期人才能力框架”
面对上述困境,安全牛融合了GB国标、NIST的角色-任务-KSA模型、ECSF的角色导向设计,并融入了中国新时期特有的战略重点,构建了“新时期网络安全人才能力框架”。
1)拓展新时期的工作类别新时期网络安全人才能力框架在GB/T42446-20235个5大工作类别基础上,进行了强化和拓展,一是强化已有工作类别的工作任务,二是新增拓展了数据安全与隐私保护类、AI安全与治理类、实战攻防与威胁狩猎类等3个核心类别。新框架可以更全面地覆盖新时期网络安全人才能力的广度和专业化需求,以适应更加复杂和专业化的安全需求,体现了新时期的战略重点。
以下为部分示例图(具体见最终报告)
图片
新时期网络安全人才能力框架在GB/T42446-2023的18个角色基础上,丰富了角色的工作任务,制定更贴近新时期角色的实际工作任务内容,新框架为人才培养和能力评估提供具体指引,以应对新时期挑战。
以下为部分示例图(具体见最终报告)
图片
新时期网络安全人才能力框架在GB/T42446-2023的20项任务基础上,深化了已有的20个任务,并新增了识别AI模型脆弱性、大模型应用风险管理、威胁狩猎、实战攻防、高级威胁防御、漏洞挖掘、数据要素安全、数据流通技术等8个任务,制定更贴近新时期的实际工作内容,为人才培养和能力评估提供具体指引。
以下为部分示例图(具体见最终报告)
图片
新时期网络安全人才能力框架在GB/T42446-2023的10个知识领域基础上,参考并融合国标知识领域与新时期拓展,深化框架的新兴技术内容,确保知识体系能够覆盖前沿技术。
以下为部分示例图(具体见最终报告)
图片
新时期网络安全人才能力框架在GB/T42446-2023的4个通用技能和20个专业技能体系的基础上,参考并融合国标知识领域与新时期拓展,深化了通用技能和专业技能,并新增了AI安全专业技能、高级攻防专业技能、数据安全专业技能、云安全专业技能、DevSecOps5个专业技能,重点突出了实战、创新和人工智能相关技能,确保人才具备新时期需要的解决实际问题的能力。
以下为部分示例图(具体见最终报告)
图片
为弥补GB/T42446-2023的不足,新时期网络安全人才能力框架引入分级能力要求,将人才能力划分为四个递进的层次,为人才评估和培养提供量化标准,使企业能够准确判断人才当前能力的分级阶段,精准规划其向更高层次发展。
L1-L4的能力水平分级:
L1:基础掌握/执行:理解基本概念,能够执行标准化任务,使用基础工具。
L2:应用/分析:能应用所学常见问题,分析大量复杂度解决情况,优化核心流程。
L3:设计/实战/优化:能够进行安全架构设计,独立完成复杂攻防任务,主导安全流程优化,具备实战经验。
L4:创新/领导/战略:能引领技术研究,制定安全战略,进行风险决策,培养团队,推动行业发展。
以下为部分示例图(具体见最终报告)
图片
