拜登政府網絡安全人才戰略前瞻

網絡安全人才一直是美國在網絡領域高度重視的議題。隨著網絡相關技術的發展以及國際格局的加速演進，網絡安全在拜登政府國家安全戰略中的重要性持續提升，網絡安全人才作為美國實現網絡安全戰略的基礎，其關鍵作用更加凸顯。美國對網絡安全人才的需求持續高企，網絡安全人才議題已成拜登政府的優先要務。經過一系列的準備，2023 年，美國將在軍民各方面進行網絡安全人才建設的全面部署并推出實質性舉措，以實現其人才領先優勢的總體戰略目標。

一、美認為其網絡安全人才短缺形勢依然嚴峻

美國系統性開展網絡安全人才建設，已將人才培養列入多部網絡安全相關法律及規定，并通過了《聯邦網絡安全人才隊伍評估法》等專門立法。在聯邦政府層面，美國也推出了大量網絡安全人才發展政策舉措。例如，美國國家標準與技術研究院（NIST）牽頭的“國家網絡安全教育計劃（NICE）”及其開發的 SP 800-181“國家網絡安全人才框架（NCWF）”標準、美國國家安全局（NSA）和美國國土安全部（DHS）共同牽頭的“國家網絡安全卓越學術中心（NCAE-C）”、美國網絡安全與基礎設施安全局（CISA）牽頭的“網絡安全教育培訓輔助計劃（CETPA）”，以及美國各聯邦部門自有的人才培養和鼓勵激勵措施等。

盡管如此，美國判斷其當前網絡安全人才形勢依然十分嚴峻，會對經濟繁榮和國家安全構成嚴重威脅。在民用領域，網絡安全人才供需網站 CyberSeek 數據顯示，全美已有網絡安全人員 100 余萬人，崗位空缺數量約為 60 萬；美聯邦政府現有網絡安全人員 7.5 萬人，崗位空缺數量約 3.9 萬。在軍事領域，美國審計總署（GAO）關于軍隊網絡人員的審計報告顯示，從 2017 到 2021 財年，國防部始終面臨著現役軍職網絡人員短缺的問題。

二、美將繼續尋求保持和推進網絡安全人才領先優勢

拜登政府執政任期已過半，在網絡安全人才戰略方面將陸續發布系列文件。綜合研判截至 2023 年 2 月美國相關戰略動態、官方表態、國會預算等情況，網絡安全人才發展戰略將是拜登政府的優先要務，2023 年軍隊和聯邦政府層面都將做出相關部署并推出實質性舉措。人才是實現美國網空各項目標的基礎性戰略資源，歷來是其國家網絡安全工作的重要著力點。特朗普執政時期，美在網絡安全人才方面的目標是“建設一支更有優勢的人才隊伍”，重視保持其網絡安全人才隊伍在國際上的絕對競爭優勢。拜登政府在網絡安全方面整體上延續上屆政府的定調，重視利用網絡空間這一非傳統領域手段在大國競爭中實現其競贏目標。網絡安全人才議題將繼續占據重要地位，其目標設定依然是將保持和推進其人才領先優勢，以服務于美在網絡空間制權的最終目的。根據截至 2023 年 2 月美國相關戰略動態、官方表態、國會預算等情況，可以看出網絡安全人才發展戰略將是拜登政府的網絡優先要務，并將于 2023 年在軍隊和聯邦政府層面進行全面部署并推出實質性舉措。

三、美國聯邦政府制定全新的“網絡人才和教育戰略”

當前，美國國家網絡總監辦公室（ONCD）正在牽頭制定一項全新的“網絡人才與教育戰略”，旨在應對關鍵領域的人才挑戰和機遇，促進協調資源，重點關注網絡人才隊伍發展、網絡教育培訓和數字意識提升等。美國國家網絡總監一職是根據 2021 財年《國防授權法（NDAA）》設立的新職位，其定位是美國總統在網絡安全政策及戰略方面的主要顧問。據 ONCD 發言人表示，改進國家網絡人才隊伍建設，加強網絡教育與意識工作是政府的重要優先事項。該戰略將在 2023 年正式推出，預計將改進各領域人員網絡安全教育機會，并為業界的廣泛合作提供支持。為啟動此項工作，ONCD 曾于 2022 年 7 月召開了白宮網絡人才與教育峰會，組織政府、產業界、非營利組織，以及學術界代表共同參會。ONCD還發布了意見征求函，向公共領域和私營領域廣泛征集意見，為人才戰略和相關行動計劃的制定提供參考。從征求意見函關心的問題領域來看，新的戰略將全面覆蓋了網絡人才建設的各個方面，包括教育培訓、意識提升、個人安全實踐、專業人才招聘留用、職業發展，以及人才相關數據等內容。

（一）加強聯邦網安人才工作的統籌協調

在美國聯邦政府層面，不同的部門已經推出了各種政策舉措，以擴大網絡安全人才儲備。此次新戰略主要將重點放在加強統籌，提高各部門工作的體系化程度，并對人才建設項目的有效性包括成本收益情況做出評估。美國國家網絡副總監 CamilleStewart Gloster 表示，在聯邦政府方面，新戰略將闡明不同政府部門的角色，明確評估相關問題所使用的測度，以及應對措施是否有效，以確定“哪些項目應該繼續發展，哪些項目應該予以縮減”。未來，美國或成立一個專門機構，負責促進該戰略的落實。此外，美國人事管理辦公室（OPM）和管理與預算辦公室（OMB）也都參與了該戰略的協同。這兩個部門的負責人在 2022 年 7 月份在國會作證時均表示，愿意就全政府的網絡人才計劃同國會合作，重點關注創建相關工具和戰略，以便使聯邦各部門能以更加一致的方式進行網絡安全人才招聘和提供人才薪酬待遇。

（二）推進關鍵基礎設施領域人才建設

2022 年 9 月，美國網絡安全和基礎設施安全局（CISA）發布了該機構成立以來首個全面戰略文件《2023—2025 年網絡安全戰略規劃》，為未來三年工作進行全面的部署。該戰略強調，解決美國網絡生態系統中人才短缺的問題至關重要，并提出 CISA 將主動發現、識別和培養有潛力的人才，尤其是尋找來自不同領域、不同背景的人才。在吸引高端人才方面，美國國土安全部（DHS）也效仿美國國防部（DoD）的“網絡安全特別職務（CES）”，創建了一個名為“國土安全部網絡安全職務（DHS-CS）”的職位類別。所謂特別職務，是指美政府在傳統公務員招聘要求以外制定的人才招聘和管理制度，其任命、取酬、保密規則有別于一般公務員職位。在 DHS-CS 體系下，國土安全部可以自主招聘網絡安全人才，同時根據人員的能力以及崗位的重要程度為其提供有競爭力的薪酬待遇。此類人員年薪最高上限為 25.58 萬美元，和美國副總統的薪酬相當。首批招聘人員將在 CISA 和 DHS 首席信息官辦公室入職。

（三）私營領域加大網安培訓力度

美國關鍵基礎設施約有 85%為私營領域所有或運營，國家的網絡安全態勢高度依賴私營領域產業界人才的網絡安全專業能力和意識。2023 年度，美國網絡與信息通信技術企業也將持續加強網安人才建設的投入和相關工作力度。例如，思科公司在過去二十多年里已經對 200 多萬美國學生進行了網絡和安全技能培訓，并與美國約一半的社區大學和技術高校建立有合作伙伴關系。思科公司承諾，未來三年內將在美國額外培訓 20 萬學生，并將持續擴大其人才培養的覆蓋面和影響力。IBM 也通過其網絡安全領導力中心提供更多的網絡安全職業路徑，還聯合了多家高校以及美國教育委員會（ACE）共同實行網絡安全學徒制同高校學分的置換計劃。IBM 去年曾承諾，將在未來三年額外為 15 萬人提供網絡安全技能培訓。

四、軍隊實行新的“網絡人才戰略行動計劃”

美國國防部（DoD）所有負責構建、保護、運營和防御美國網空資源的人員統稱為“網絡空間人員”。DoD 網絡空間人員包括信息技術人員、網絡安全人員以及部分情報人員，是保護國防部網絡和系統安全性、落實各項網絡相關規程以及執行網絡行動的基礎力量。由于 DoD 于 2022 年底正式發布了《國防部零信任戰略》，為落實該戰略及其他最新的網絡防御路線，DoD 正在制定新的網絡安全戰略，確保其網絡空間人員能夠做好準備。實施零信任等新概念，對人員的能力提出了更廣泛的需求，例如需要具備數據和人工智能等專業能力等。此外，如何招聘并留住最有創新性、掌握急需緊缺技能的網絡人員成為 DoD 面臨的挑戰。為此，DoD 首席信息官正在牽頭制定一項“網絡人才戰略行動計劃（CWSAP）”，以便通過統一、協調的方法，減少人才供應缺口，提高網絡人員的質量和多樣性，優先解決網絡空間人員的個人和職業需求，應對影響整個國防部的共性挑戰。

（一）更新網空人員標準化框架及配套政策

“國防部網絡人員框架（DCWF）”是 DoD 對全頻譜網絡空間人員進行識別、跟蹤、培訓、資質測評和管理使用的標準框架，包括 54 個工作角色，每個角色對應了相應類別人員執行任務和開展工作所應具備的知識、技能和能力。DoD開發 DCWF 的目的是加強國防部內部網絡部隊之間，以及與國內外合作伙伴的互操作性。目前，DoD 正在建立新的協調機制，對 DCWF 框架進行擴展，以便在更大范圍內覆蓋人工智能、機器學習、數據科學，以及先進軟件開發等工作角色。由于 DCWF 中的角色和專職網絡行動的網絡司令部所使用的角色尚不兼容，DoD 首席信息官辦公室還計劃在 2023 財年予以協調，尋求統一不同的工作角色框架要求。此外，DoD 還將推進 8140.01 號令《網絡空間人員管理》系列政策，以改進網絡人員管理活動。這些政策提供了標準化的、基于角色方法規定，能夠利用 DCWF 對國防部網絡人員進行識別、跟蹤和報告，為基于角色的網絡安全資質和相關領域人才的持續發展提供指導。

（二）繼續推進 CES 人員鼓勵激勵措施

DoD 的“網絡特殊職務（Cyber Excepted Service）”于 2016 年由國會批準，旨在為整個國防部網絡專業人員的招聘、留用和發展提供靈活性。CES 是聚焦任務的人員體系，主要是為參與或支持網絡相關任務的文職雇員提供人力資源生命周期方面的支撐，其作用是能提供更有競爭力的薪酬，加快文職網絡安全人才招聘的進度。例如，CES 體系中一個名為“定向本地市場補充（TLMS）”的資金工具，自批準以來已將相關工作角色的離職率從 8%降低至 3%。為充分利用 CES 人員體系的靈活性，國防部批準了一項審核驗證過程，可允許非 CES 部門申請加入。據 DoD 首席信息官辦公室資源與分析主管 Mark Gorak 披露，DoD 的 CES 自 2019 年以來在國防部已覆蓋 1.5 萬人，最終目標是發展 20 萬軍職和文職人員。

（三）網絡人才評估及相關人員數據質量提升

DoD 正在對網絡和 IT 人員進行基于零信任的評估，評估所得出的高價值數據，可為人員就緒度和留用規劃提供支持。DoD 還將利用其數據分析平臺 Advana，推動提高網絡人員的可視性并形成分析能力，達到對國防部網絡人員進行可適應、透明化、有意義的分析。該舉措可將來自原有人力資源和人員職能系統的數據匯聚在一起，進而為崗位空缺率、人才招聘及留用等形成一整套關鍵績效指標，加強對人員的可視性，為人員相關決策、改進數據質量提供支持，并允許根據其特定任務需求進行數據的解讀和評估。

五、小 結

美國建設了世界上最強大的網絡部隊，擁有全球領先的網絡安全人才教育體系，廣泛實施了國家、聯邦政府、重要行業等各個層面的人才發展計劃，但在人才問題上，美國一直是危機意識最強的國家。從 1997 年至 2021 年，美國審計總署連續將網絡安全確定為政府高風險領域，人才短缺是其中重要原因之一。美國政府、智庫、行業協會乃至大型企業頻繁發布網絡人才研究報告，呼吁加大力度以應對人才挑戰。這種緊迫感的根源，來自美國對網絡空間的戰略認知和維護其全球霸權地位的內在需求。

網絡代表著新的生產力發展方向，推動國家間力量對比達到新的平衡，因此成為當前大國競爭的重要領域和手段。國際變局和數字革命相互疊加背景下，美國必然加緊對網絡空間所衍生的新型權力的掌控，以維持其網空絕對優勢，而網絡人才正是其實現這一戰略目標的基礎和關鍵所在。

除了認識上的高度重視，美國本身擁有非常成熟的人才教育和管理體系，在此基礎上建構起來的網絡安全人才培養各項工作，科學化水平普遍較高。例如，強調人才專業能力標準化框架，對照網絡安全領域各種知識和能力譜系分類施策進行培養，注重實戰化能力提升方式等。此外，美國已在強力部門和部分公共領域突破管理機制上的障礙，以滿足對急需緊缺網絡安全人才的需求。例如，美國國防部的網絡特殊職務 CES 已開始發揮作用，負責民用關鍵基礎設施的國土安全部也跟進設置了類似的人員序列。這些都是在觀察和借鑒美網絡安全人才建設工作中值得思考的地方。