■ 国家电子政务外网管理中心办公室安全管理处处长  罗海宁

电子政务外网是我国电子政务的重要公共基础设施,是服务于各级党委、人大、政府、政协、法院和检察院等政务部门,满足其经济调节、市场监管、社会管理和公共服务等方面需要的政务公用网络。政务外网支持跨地区、跨部门的业务应用、信息共享和业务协同,以及不需在政务内网上运行的业务。目前,全国政务外网纵向贯通网络体系已基本形成,政务外网已实现全国范围的省市全覆盖,覆盖率均为100%。截至2018年6月底,全国接入县(市、区、旗)总数为2734个,区县级覆盖率达到95.9%,计入新疆兵团,则区县级政务外网整体覆盖率达到96.1%,政务外网已经基本覆盖各级政务部门。为进一步提升电子政务外网安全保障能力,全面支撑各级政务部门基于电子政务外网开展的政务业务安全稳定运行,建立一支结构优化、素质优良的网络安全人才队伍尤为重要,是一项必不可少的基础性工作。近年来,电子政务外网网络安全人才队伍正在逐渐壮大,但同时也面临着人员数量不足和教育培训不足的问题。

一、电子政务外网网络安全人才“量小力微”

(一)规模有限,队伍构成不完整

根据当前电子政务外网的业务现状,在中央、省、市、县四级网络安全保障专职队伍需求上,省一级队伍在防护防御、威胁发现、处置响应、业务支撑和整体安全管理等五方面需配置至少5至10名专职人员,市县在防护防御、威胁发现和处置响应等三方面需配置至少3至5名专职人员,在这样的人员队伍构成预设条件下,中央级、32个省级、334个市级、2851个县级电子政务外网一支完整的网络安全四级队伍,人员应达到10351人至17723人。

实际上,当前网络安全保障队伍的构成极其单薄。省级专职人员很少,个别重视网络安全的省级政务外网单位设置了安全责任部门,有专职3至7人不等,市县几乎无专职人员。据不完全统计,专门设置网络安全专职部门的有山东、山西、湖北、黑龙江、海南、新疆、新疆兵团等7个省级政务外网单位,近80%的省份没有专职机构,也没有专职人员,市县级的网络安全专职人员更是少之又少。目前,省一级队伍中一般有2至3人、市一级队伍中1至2人、县一级队伍中至少1人,对接网络安全相关日常工作,这些人员主要从事网络运行维护,兼顾网络安全保障,总人数在3615人左右,队伍构成不足,仅占实际需求人数的1/5。

(二)高层次人才不足

1. 电子政务外网对保障政务业务的人员层次要求较高。政务网络安全人员既要做好日常运行保障,也要承担规划研究、标准规范制定、业务衔接保障,配合落实中央网信办、公安部等多个主管部门下达的任务,如通报、专报、应急处置等,这些任务大多数还需要各地或各政务部门配合完成,要求人员既要对安全技术熟悉,参与研判溯源,又要与相关单位保持良好的沟通,全程牵头协调处置,因此,对人员基本的政治意识、综合的业务素质和全面的管理水平要求极高。

当前,各级政务外网网络安全人才队伍不乏有名校高学历毕业生,但往往因身兼数职、工作强度高、压力大等原因,不免也会产生效率低甚至疲于应付的负面影响。在人员队伍构成不完整的情况下,想让高层次人员充分发挥高水平,显而易见是非常难的。

2. 缺乏培训时间和培训机会。信息安全行业技术更新迭代较快,电子政务外网网络安全人员需要不断更新知识储备、学习掌握新的技能,才能应对花样翻新的威胁,紧跟网络安全发展趋势。目前,电子政务外网网络安全人员持续教育的途径主要有在职培训、脱产学习甚至学历深造等形式,但是由于现有人员承担的工作任务较多,基本还没有形成统一规划,很难有“相对强制”约束的培训时间或机会来提升队伍综合业务能力。

二、构建电子政务外网网络安全人才队伍需要“积基树本”

中央政务外网通过定期培训、下达专项协同相关任务等方式,统一组织了一些“单位内训”、“职业培训”、“集训集练”,由地方外网推荐人员参加,这一集中培训模式,正在改善各层级专职队伍数量和结构,推进人员安全意识和专业技能的提升,也需要通过这一系列卓有成效的创新研究与实践,达到“积基树本”的目的。

一是开展CIO(首席信息官,Chief Information Officer)培训,以课程和业务培训积累队伍基础能力。自2012年起,电子政务外网每年组织3期CIO培训,每期100至120人,另外,每年还会针对政务外网当年重点开展的信息化项目,例如投资、交易和共享等平台开展专题业务培训,围绕安全要求及相关标准进行宣贯,累计已培训各级外网学员2000多人。

二是开展攻防演习、安全事件协同处置,通过“实战”提升队伍应对响应能力。2018年7月,电子政务外网参加了有关部门组织的攻防演习活动,成功实现了各级外网网络攻击实时联防,各级队伍联合保障和协同处置能力得到有效锻炼。今后,将通过常态化机制,不断深化人才队伍在实战场景下的能力培养维度,取得更多实际效果。

三是开展继续教育基地建设,持续促进队伍专业技术知识更新。为贯彻落实《国家中长期人才发展规划纲要(2010-2020年)》,并按照《专业技术人才知识更新工程实施方案》《国家级专业技术人员继续教育基地管理办法》要求,国家信息中心获批设立国家级专业技术人员继续教育基地,深入实施电子政务外网网络安全专业技术人才知识更新工作,探索推进电子政务外网网络安全继续教育基地建设,积极开展高层次、急需紧缺和骨干型专业技术人才的培养培训工作。

三、电子政务外网网络安全人才队伍人才培养模式“推陈出新”

面对人才队伍存在的问题和长期挑战,电子政务外网既要采取人才“内训”和“职培”结合的双培养模式,让从事电子政务外网保障的技术人员队伍逐步壮大起来,也要探索人才“集训”和“集练”相结合的创新培养模式,学以致用,通过“实战”来训练,提升人才层次和水平,与此同时,规划人才培养体系也十分必要,不断完善人才总体布局需求架构,构建“精英模式”打造政务网络安全高端人才“摇篮计划”,促进电子政务外网网络安全人才培养工作呈现更大成效。

(一)倡导总体布局,构建人才体系。

以《国家网络空间安全战略》为指导思想,加强政务外网网络安全人才顶层设计,建立政务外网网络安全人才岗位框架体系,制定标准统一的政务外网网络安全人才培养整体规划,协同政府、高校、企业等力量共同推进政务外网网络安全人才的培养工作。

在岗位框架体系方面,针对总体规划、架构设计、运营与维护、技术支持、安全管理和风险评估与测试等不同岗位培养网络安全专业人员,加强电子政务外网网络安全人才队伍和岗位设置两个方面的统筹协调,理清和细化网络安全岗位的人员分工和衔接,形成行之有效的人才框架体系。

在人才培养整体规划方面,一是对防护防御、预警、处置、等级保护和审计等关键岗位和关键人群进行体系化培养,实现相关人员从骨干到技术管理“全型”转型;二是形成完善的网络安全人才能力培训体系,建立网络安全意识培训子体系、安全治理能力培训子体系、等级保护管理能力培训子体系、网络安全技术能力培训子体系、网络安全攻防能力培训子体系、网络安全审计能力培训子体系;三是丰富网络安全专业人才培训手段,通过单位内训、实战培训、职业培训等培训方式满足政务外网各层级工作需求的人才。

(二)构建“精英模式”,创新人才选训。

1. 打造电子政务外网网络安全专业技能标准化训练体系。与国家有关部门联合,充分调用网络安全企业顶尖网络安全技术专家团队、知名高校、行业专家资源和能力,以电子政务外网网络安全人才能力培训体系为基础,按照“防控、预警、处置、等级保护、审计”为细化方向,开展线上线下结合的网络安全专业技能标准化课程和训练体系,为各级政务外网人才队伍提供在线学习、实验、试验、实战、案例和互动等核心功能的线上平台,线下选拔电子政务外网内部讲师,社会招聘知识讲师,定期开展面对面授课辅导,强化人才队伍专业知识和专题技能培训的专业性、实用性与系统性,并鼓励各级政务外网将学习情况纳入人才队伍考核项。

2. 建立网络安全技能自主认证体制。研究建立各级政务外网网络安全人才专业技能自主认证机制,打造政务网络安全高端人才“摇篮计划”,通过开展技能训练和自主认证,实现人才快速培训、选拔和岗位动态调整,缓解当前网络安全人才整体短缺供应不足的问题,不断促进各级队伍的结构优化。

(三)统筹各方资源,重视社会力量。

注重与网络安全企业、科研机构以及各类保障队伍的人才交流,有条件设置专题任务,开展专题研究方向,组织电子政务外网网络安全社会协同活动,借鉴招标形式,对外发布社会人才队伍团队化“能力招标”需求,对电子政务外网部分关键网络安全项目试行“张榜挂帅”、“能者自荐”,吸纳民间网络安全队伍,补充社会“能力供给”,获得“高能力输出”,不断引导和强化社会资源在保障电子政务外网网络安全方面发挥出实效。

(本文刊登于《中国信息安全》杂志2018年第12期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。