美國網絡數據安全人才隊伍建設對我國交通運輸行業的啟示

康厚榮 董翔 魏彬 劉宏宇 彭鴻

一、我國交通行業網絡數據安全面臨的嚴峻挑戰

（一）交通行業網絡數據安全人才體系面臨挑戰

交通行業已有信息化人員隊伍嚴重不足，網絡數據安全崗位鮮有設置，網絡數據安全專業技能與知識儲備匱乏。《中國交通信息化發展報告（2020）》顯示，2020年末，被調查的部分省廳直系統的信息化技術人員總數（含兼職）3728人，信息化職能部門主持開展的技術培訓總數4448人次；《2021中國統計年鑒》顯示，2020年末，上述被調查省份的公路水路從業人員為215.4萬人；可見，信息化技術人員占比從業人員比例不足千分之二，信息化技術培訓人均僅1.2人次。考慮到網絡數據安全基本由信息化技術人員兼職，網絡數據安全專職人員數量極少，主要依靠外部安全廠商提供安全服務與產品，缺乏真正能研判事件、驗證漏洞的自身信息化技術人員。

交通行業專精于網絡數據安全方向且融合產學研用各方優勢資源的數字交通研究院、研發中心、高職院校基本為空白。一方面，各類數字交通研究院組織，以及交通運輸行業研發中心、重點實驗室等研究型組織，以數字交通前沿技術開展跟蹤與應用研究為主。僅有的交通運輸部2017年認定的交通運輸網絡安全技術行業研發中心和2020年認定的網絡安全攻防訓練基地，各自分頭在推進安全技術推廣、人才攻防實訓，尚未真正凝聚資源、形成合力。另一方面，全國1489所高職院校僅不到10%開設“網絡數據安全專業”；全國56所雙高院校中，無一家具有交通行業背景的職業院校開設“網絡數據安全專業”，網絡數據安全人才實訓基地更是完全空白。

（二）交通行業網絡數據安全的管理與技術體系挑戰

面對重保、檢查、合規壓力越來越大，交通行業安全管理和檢查評估方式已嚴重落后。據Splunk發布的《2022年全球網絡安全態勢報告》顯示，全球1200多名安全領導受訪者中，28%受訪者表示“團隊花太多時間處理安全緊急情況”，26%受訪者表示“團隊熟練安全人員過少”，26%受訪者表示“團隊疲于應對管理安全、安全檢查”。交通行業面臨重保（兩會、國慶等），檢查（公安、網信、交通運輸部等分頭組織的攻防演練、技術檢測、掃雷行動、數據泄露檢查等），合規（并網檢測、等保測評、商密測評、數據合規評估等）等壓力。

國家和交通運輸部既有的網絡數據安全政策制度、標準規范，在范圍、對象和實踐思路上不完全適用于各省本地工作，不能完全照搬復用，亟需研究出臺各省本地管理制度、實施細則和標準規范。《中華人民共和國網絡安全法（2016年11月）》《中華人民共和國數據安全法（2021年6月）》《中華人民共和國個人信息保護法（2021年8月）》和國家互聯網信息辦公室即將出臺的《網絡數據安全管理條例》（后稱“三法一條例”），是行業數據安全工作的重要宏觀指導和合規驅動力。交通運輸部出臺的《交通運輸部網絡安全管理辦法（2021年1月）》《交通運輸政務數據共享管理辦法（2021年4月）》是交通行業網絡數據安全工作的具體細化要求。同時，經統計，網絡安全領域的國家標準超50個、交通行業標準超15個，數據安全領域的國家標準超10個、交通行業標準超2個，商用密碼應用安全領域的國家標準超40個、交通行業標準超2個。“上面千條線、下面一根針”，“三法一條例”和上位標準規范，無法直接指導交通行業各省本地工作落地。

二、美國網絡數據安全人才隊伍建設關鍵舉措

作為互聯網的發源地和網絡實力最強的國家，美國深諳網絡數據安全人才的重要性，把網絡數據安全人才隊伍定位為保護美國國土安全和經濟繁榮、確保美國競爭優勢的基礎。

（一）人才體系：美國網絡安全卓越中心計劃和人才框架

美國國家安全局和國土安全部聯合主導的網絡安全卓越中心計劃實施已有二十年時間，主要為高校、學術機構提供關于網絡安全課程和師資的指導，協助高校、學術機構改進網絡安全基礎課程，為高校、學術機構提供政府單位資源、在全美范圍內加強網絡安全教育，建立高校、學術機構、企業、政府單位多場景互動教學模式，建立網絡安全產、學、研、用培養機制等。

同時，2011年9月，美國國土安全部和人力資源辦公室發布《NICE網絡數據安全人才隊伍框架（草案）》，明確了7大門類、31個網絡安全特定專業領域不同工作角色所需履行的任務職責及勝任該職責所需具備的知識、技能和能力。美國人事管理辦公室2015年2月評估結果顯示，美國聯邦政府內的網絡安全工作涉及100 多個聯邦崗位序列。系統梳理不同專業領域網絡安全工作的角色分類，明確各角色的工作職責和專業技術能力要求，有助于確立客觀的網絡數據安全人才評價基準。2017年8月，美國商務部國家標準與技術研究院發布最新版本的《NICE 網絡數據安全人才隊伍框架》，界定了網絡安全角色及工作，為不同行業領域網絡數據安全人才隊伍實施標準化培養和管理奠定了根基，目前已貫穿于美國聯邦政府網絡數據安全人才需求規劃、能力評估、職業培訓等核心人才培養環節。

（二）管理與技術體系：美國聯邦政府網絡安全公校企良性互動

美國國防部在2010年就開始推動“信息技術交流項目”，旨在以政府、企業短期人才交流的方式促進信息技術人員分享技術實踐經驗；在2014年設立了“國防部長企業研究員計劃”，派遣軍官赴科技企業學習工作，以期提升軍事技術人才的網絡戰實戰能力。2015年，美國前總統奧巴馬在國情咨文中進一步提出：2015年網絡安全改革的目標包括加強私有企業與政府之間的信息共享。伴隨著美國對網絡數據安全人才的高度重視，所開展的各類項目除了政府部門參與外，都有高校、學術機構、企業加入，如美國國家基金會、國家安全局、國土安全部所開展的各類伙伴計劃，都將企業、學術機構、高校等各類組織納入計劃。

三、我國交通行業加強網絡數據安全建設的啟示

參考美國網絡數據安全建設的人才隊伍關鍵舉措，整合產、學、研、用各方優勢資源，以“做好交通行業網絡數據安全服務”為目標，以人才體系研究與培養為基礎和核心，以管理體系研究與應用（建章立制）為保障，以關鍵技術研究與推廣應用為關鍵，打造交通行業網絡數據安全的人才、管理、技術“三大體系”

（一）人才體系：交通行業網絡數據安全人才體系研究與實訓

做好網絡數據安全工作，人才體系研究與培養為基礎和核心。以理實融合、技能為主打造“真實項目、真實設備、真實崗位、真實場景、真實環境”網絡數據安全實訓基地，組織開展交通行業網絡數據安全人才實訓，參加國內外交通行業職業技術大賽和網絡數據安全大賽等，使人才隊伍真正掌握網絡數據安全技能，提升人才隊伍發現問題、分析問題、解決問題的網絡數據安全基本功，為交通行業網絡數據安全工作夯實人才基礎。

（二）管理與技術體系：交通行業網絡數據安全管理與技術體系研究與推廣應用

做好網絡數據安全工作，管理體系研究與應用（建章立制）是保障。結合網絡數據安全較成熟的國家法律法規和行業管理制度、標準規范，加快面向交通行業落地應用；依據制度標準，為交通行業提供“事前、事中、事后”全天候、全場景、全鏈路的管理評估服務，切實驗證網絡數據安全建設合規性和防護體系完整性。例如面向交通行業提供等保備案咨詢、網絡安全體系規劃、網絡安全體系設計、數據安全體系規劃、數據安全體系設計、網絡與數據安全應急預案設計等“事前”咨詢服務，提供資產梳理、漏洞掃描、基線核查、滲透測試等“事中”基礎評估服務，安全差距評估、安全風險評估、系統上線安全檢測、數據安全風險評估、數據安全能力成熟度評估等“事后”風險評估服務。

做好網絡數據安全工作，加強技術防護與推廣應用是關鍵。“研究與推廣應用”并行，加強公校企良性互動，結合網絡數據安全較成熟的技術，加快面向交通行業的推廣應用、成果轉化；結合網絡數據安全正研究攻關的卡脖子關鍵技術，做好技術攻關儲備、逐步推廣。

作者單位：康厚榮、董翔 貴州省交通運輸廳

魏彬、劉宏宇 深信服科技股份有限公司

彭鴻 貴州交通職業技術學院