2017年对于澳大利亚网络安全是具有转折性意义的一年,这是澳大利亚《网络安全战略》全面落实的第一年。澳大利亚总理马尔科姆·特恩布尔于2016年4月宣布实施《网络安全战略》,这是该国继七年的政策空缺期之后发布的首份国家级综合性网络安全战略。这一战略高度重视网络安全人才队伍建设工作的重要性,认为人才是澳大利亚实现其网络安全国家战略各项目标的基础。本文对澳大利亚的网络安全人才队伍现状、国家人才发展战略,以及当前的实施效果进行了梳理,以供参考。

澳大利亚的网络安全人才现状及人才队伍建设工作基础

澳大利亚同其他很多国家一样,均面临着网络安全人才短缺的问题。澳大利亚政府认为,国内网络安全人才供应不足的情况正在日益加剧。无论组织或个人对网络空间的风险认识程度还不够,大部分人对网络设备和网上信息都没有采取足够的保护。未来5年里,澳大利亚对于网络安全服务以及相关的法律、保险和风险管理人才的需求增速将达到21%,掌握相应技能的人员就业机会将显著增加。然而,公共领域和私营部门在网络安全方面均存在大量岗位空缺。另一方面,过去十年里,澳大利亚获得信息通信技术(ICT)学位(成为网络安全从业人员的基础专业)的人数减少了一半,毕业率也有所下降。当局认为,造成这一现象的原因可能在于现有网络安全课程的类型和数量有问题,同时学生对网络安全职业发展的认识还不够。

根据联合国公布的网络安全指数,澳大利亚在全球排名第七。澳大利亚在网络安全人才发展和意识提升方面具备一定的基础,开展了系列工作,主要包括:

  • 自2006年开始,开展“保持安全在线(Stay Smart Online)”网络安全宣传活动,向公众提供实用的建议,帮助其保护网上的个人和财务信息。

  • 澳大利亚“竞争与消费者委员会”运营SCAMwatch活动,向个人和企业提供如何辨别、举报网络诈骗信息。

  • 建立儿童在线安全专员办公室,为青少年提供如何安全上网的信息和资源,同时设立了一个综合投诉系统,用于帮助在网上遭到网络霸凌的儿童。

  • 私营领域也在网络人才培养方面进行了投入。位于维多利亚州墨尔本市的博士山技术与继续教育学院(Box Hill Institute of TAFE)正在和私营领域合作,开发一个为期12个月的网络安全学徒制项目。澳大利亚的银行和电信企业也在与高校合作,为学习科技课程(包括网络安全学位)的学生提供奖学金。

  • 澳大利亚网络安全研究院(ACSRI)是首个由澳大利亚政、产、研联合开办的战略研究和教育机构,主要负责为政府关注的网络安全问题提供支持,协调各方力量,建立覆盖全国的网络威胁响应机制,推动高技能网络安全专业人员的培养工作。

澳大利亚的网络安全人才队伍建设战略及优先要务

在当前互联互通、技术驱动的网络空间,网络安全人才至关重要。澳大利亚政府高度重视网络安全人才队伍建设问题,认为人才是成功实现其国家网络安全战略各项目标的基础,致力于增强国民的网络安全技能,提升网络安全意识,从而使全体国民都能从网络空间带来的机会中受益。2016年发布的澳大利亚《网络安全战略》制定了五大目标,其中第五项即是建设国家网络安全人员能力(cyber smart nation),“使澳大利亚国民具备网络安全知识和技能,以实现国家在数字时代的繁荣发展”。为达到这一目标,澳大利亚政府明确了两项优先要务:

1. 在澳大利亚教育系统各层面采取专门行动,解决劳动力中网络安全专业人员不足的问题。首先需要采取的行动包括:在高校建设网络安全卓越学术中心,增加网络安全劳动力的多样性。

为建设未来的网络安全人才队伍,澳大利亚政府将与私营领域和学术机构合作,提高教育系统中各个层次的网络安全教育水平。此举可确保澳大利亚培养掌握正确技能和专长的劳动力,有助于全体澳大利亚国民充分把握网络空间带来的机会。当前最为稀缺的人才是高水平的网络安全专业人员。建立卓越学术中心将提高澳大利亚的网络安全课程、教师和专业人员的质量。获得卓越学术中心认可需要达到较高的标准,且需要通过持续严格的评估来保持认可状态。卓越学术中心将通过统一的课程和优质的教学,提供本科和研究生的网络安全教育。这一做法还有助于激励学生学习STEM相关课程并从事网络安全职业,卓越学术中心毕业的学生可起到示范作用,鼓励更多的学生未来在本国从事网络安全职业。

除了拥有高端网络安全技能的高校毕业生,澳大利亚还需要能够承担各种类型网络安全职责的工作人员,帮助各组织保障其网络安全。政府将与私营领域、各州和领地,以及各类技能服务组织合作,以支持注册培训组织(RTO)中网络安全培训的发展,未来拟启动网络安全学徒项目。澳大利亚的网络安全劳动力也面临女性参与度过低的问题,这意味着人才队伍的发展潜力尚没有得到充分的发掘。世界范围内来看,网络安全专业人员中女性所占比例仅有10%。要解决这一问题,需要政、产、研等方面协调配合共同应对。

澳大利亚还计划扩大每年一次的国家网络安全挑战赛的规模,把参赛范围从高校学生扩大到已经工作的从业人员,此举将有助于持续为国家提供人才供应。同时,国家将关注如何与其他国家开展国际上的网络安全竞赛。此外,人才队伍中各个层级的人员,包括担任管理岗位的人员,都应该有机会参与短期课程、管理培训等培训项目,提升其网络安全知识和技能水平,从而提高网络安全从业人员的质量和数量。

2. 通过与私营领域、国际伙伴的合作,提高整个社会对网络安全重要性的认识。

提升澳大利亚整个社会的网络安全意识是确保国家网络安全战略中各项行动取得成功的一项关键工作。提高对网络安全风险和收益的认识,通过若干简单的解决方案保护在线安全,这本身就是最有力的防御措施之一。改变国家行为能够确保澳大利亚国民具备充分的网络安全意识,在工作、学习和生活中保护自己和他人,使他们有信心在线上开展各项事务。

澳大利亚政府、私营领域已在国内外开展若干意识提升活动,但这项工作需要持续、协调进行,以期在更大范围内改变国民行为模式。政府将联合产业界、学术界以及社会组织,持续开展全国性的意识提升活动,保障所有澳大利亚国民的线上安全。这一计划的宗旨是教育澳大利亚国民网络风险可能以什么样的方式,给真实世界带来何种后果,并会对国家当前和未来的繁荣发展带来什么样的影响。澳大利亚还将与国际伙伴密切合作,开展区域性和全球性的意识提升活动,作为网络安全能力建设工作的补充。

澳大利亚的网络安全人才队伍建设行动计划及进展情况

2016年发布的澳大利亚网络安全战略在人才队伍建设方面提出了3项行动计划,实施一年以来取得了一定的成果。澳大利亚政府在战略实施一周年之际给自己的人才队伍建设行动计划落实情况做出的自评价结果是“取得了显著进展”。澳大利亚战略政策研究所(ASPI)也对该项工作的成就和存在的不足进行了评价,主要包括以下几个方面:

行动计划1——联合澳大利亚政府、企业、教育机构以及研究领域,在全国开展网络安全人才建设工作,包括:在大学建立网络安全学术卓越中心;确保ICT领域的资质均包含网络安全技能;从管理层开始,为人才队伍中各层级人员提供培训项目,提高其网络安全知识和技能水平;在学校持续开展针对网络安全职业所需核心技能的意识提升活动;研究、应对女性在网络安全事业中参与度低的问题;提升政府每年开展的澳大利亚网络安全挑战赛的规模,使其成为覆盖面更广的竞赛兼技能培养活动。

进展情况:2017年2月,澳大利亚教育部长、参议员Simon Birmingham和总理的网络安全助理部长Dan Tehan共同宣布启动网络安全学术卓越中心计划,有意向获得学术卓越中心资质的大学可以正式开始进行申请。首批获得学术卓越中心资质认证的高校将在本年度内公布。该计划4年内的总预算为190万澳元,即47.5万澳元/年。私营领域在这方面也比较活跃,如澳大利亚联邦银行(CBA)和新南威尔士大学(UNSW),电信商Optus和麦考瑞大学(Macquarie University)都开展了合作。

过去12个月里,澳大利亚的高校新开了若干门网络安全课程。然而,关于澳大利亚网络安全毕业生的数量,目前尚没有公开信息,因此无法评估毕业生数量是否有所增加。澳大利亚“国家创新与科学计划(NISA)”发起的“澳洲少年(Young Australians)”活动有助于在小学改善数字基础教育,在中学提高STEM课程参与度。澳大利亚信号局(ASD)推动举办了针对高中学生的招聘活动,以解决短期学生安置问题。学校的课程和课外活动也在发生自下而上的变化。

澳大利亚还开展了多项旨在提高女性参与度的活动,包括墨尔本在2017年国际妇女节举办了一场名为“网络女性”的活动;此前,澳大利亚网络安全挑战赛(ACSC)为2015年大赛的女性参赛人员提供了专门的指导活动,大赛还开展了针对女性技术人员的交流活动。这些活动都带来了非常积极的影响,但要看到更多女性选择网络安全职业还需要假以时日。此外,关注范围可以从技术方面进行扩展,囊括更多的学科方向,如政策、法律等,打造真正多样化的人才队伍。

研究机构Data61和澳大利亚企业主管协会(Australian Institute of Company Directors)于2016年4月启动一项合作计划,旨在提高全澳洲主管层、董事层人员的网络认识。2016年11月,Data61的CEO Adrian Turner为上述协会的440名成员主持召开了一场关于网络事件管理的在线研讨会。然而,此类培训课程仍处于开发阶段,需要继续加速才能实现预期成果。

澳大利亚网络安全挑战赛(ACSC)是唯一的全国性网络安全竞赛。澳大利亚信号局(ASD)已开始在高中举办竞赛,近期还在堪培拉的学校进行了一次面向女生的“编码日”活动。拉筹伯大学(La Trobe University)也和思科、Optus等合作,面向墨尔本高中学生举办网络安全竞赛。然而,要实现网络安全战略中明确的预期成果,澳大利亚需要进一步增加本土的网络安全竞赛数量,并为国际比赛提供更多的支持。

行动计划2——汇聚各方力量和资源,在公、私领域促进网络安全意识提升活动的发展。

对这项计划的效果进行评价是比较困难的,但是当前公共和私营领域之间的信息交互正在不断增长,其中包括企业和政府信息的共享以及相关的意识提升活动。

行动计划3——与其他国家进行网络安全意识提升方面的合作,形成互利成果。

澳大利亚的“保持安全在线(Stay Smart Online)”网络安全宣传周已经和美国组织的全球“网络安全意识宣传月”活动结成联盟。“保持安全在线(Stay Smart Online)”活动还与其他一些国际合作伙伴进行了信息共享,包括美国、新西兰和英国等。该活动与新西兰的Connect Smart意识提升活动合作,于2016年10月共同开发了针对企业的《安全意识实施指南》。

■ 中国信息安全测评中心  王星

(本文刊登于《中国信息安全》杂志2017年第12期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。