網絡安全等級保護2.0視域下網絡空間安全人才的培養探索

李攀攀， 朱 蓉， 翟建宏

（1.嘉興學院信息科學與工程學院，浙江嘉興314001；2.哈爾濱工業大學計算機科學與技術學院，哈爾濱150001）

0 引 言

為應對網絡空間日益嚴峻的安全威脅，維護網絡空間安全，網絡安全等級保護系列標準于2019年12月1日正式實施，標志著等級保護進入了2.0時代［1］。等級保護2.0國家系列標準的實施，對保障和促進國家信息化發展，提升國家網絡安全保護能力，維護國家網絡空間安全具有重要的現實意義［2-3］。

網絡空間的競爭歸根結底是人才的競爭，除了制度化保障外，高層次人才的培養是維護網絡空間安全的重要途徑之一。但是，目前我國網絡空間安全人才缺口嚴重［4］。為了滿足新形勢下網絡空間安全人才的需求，我國成立了網絡空間安全一級學科，高層次人才的培養已作為實施國家網絡安全戰略的重要組成部分，網絡空間安全專業的建設迎來了快速發展的新機遇［5］。

基礎設施全面的互聯網化，網絡空間所面臨的安全威脅也愈加嚴重［6-7］。等級保護2.0是面向國家和社會需求的一項網絡空間安全根本保障制度，網絡空間安全人才的培養是維護網絡空間安全的核心途徑之一，在等級保護2.0視域下探索網絡空間安全人才培養的模式具有現實意義［8］。本文在等級保護2.0視域下探索了網絡空間安全人才培養，以期為網絡空間安全人才培養體系的建設提供參考。

1 網絡安全等級保護制度發展

自1994年我國首次提出等級保護制度以來，等級保護制度就伴隨著國家和社會的需求逐漸發展起來，為應對網絡空間與日俱增的安全威脅，2008年以后，我國推出信息安全等級保護系列標準，特別是2014年習近平總書記在網絡安全和信息化工作座談會講話后，我國等級保護制度以及網絡空間安全高層次人才的培養被提升到國家戰略的高度［9-10］。我國等級保護制度20多年的發展歷程及標志性事件如圖1所示。

圖1 我國網絡安全等級保護發展歷程

隨著信息技術的發展和網絡安全形勢的變化，等級保護制度2.0在1.0的基礎上，注重全方位的動態防御、主動防御、縱深防御、精準防護、整體防控、聯動防控6防核心思想，實現了對云計算、大數據、物聯網、移動互聯和工業控制信息系統等級保護對象以及關鍵網絡設施領域的全覆蓋［11-12］。等級保護2.0國家標準的發布，對加強我國網絡空間安全保障工作，提升網絡空間安全保護能力具有重要的現實意義，引領了當下網絡空間安全專業的人才培養的方向［13］。

等級保護2.0中所關注的網絡安全細分為基礎設施安全、運行安全、數據安全等方面，并明確了不同的安全保障框架和方法，這是相關支撐技術和方法在網絡空間安全領域中的落地實現，也是網絡空間安全人才需求的總體方向，對于網絡空間安全人才的培養具有積極的引領意義。

2 網絡空間安全專業人才培養中面臨的挑戰

學歷教育是我國高層次人才培養的基礎，旨在培養知識全面，能力突出的綜合性人才［14］。但我國2015年才成立網絡空間安全專業一級學科，學科成立時間短，專業建設尚不完善，在等級保護2.0視域下，網絡空間安全專業建設與高層次人才的培養面臨諸多挑戰，如圖2所示。

圖2 等級保護2.0視域下網絡空間安全專業人才培養過程中面臨的挑戰

（1）網絡空間安全專業人才培養目標不清晰。網絡空間安全專業成立短短幾年，在如何培養人才以及培養什么樣的人才問題上，當前高等院校、科研院所等教育機構尚無完整、清晰的認識［15］。學科專業的建設要面向國家和社會對人才的需求，人才的培養目標是學科專業是否辦成功的關鍵評價指標之一，而現行的網絡空間安全培養目標尚不能滿足等級保護2.0的現實需求［16］。因此，如何科學地確定人才培養目標，是網絡空間安全專業首先要面臨的問題。

網絡空間安全高等教育旨在培養知識系統化、技術全面化德才兼備的高層次人才，但目前的網絡空間安全領域的教學目標和培養方案尚不明確，無梯度化人才的培養，不僅難以培養出具備網絡空間安全宏觀戰略眼光的“帥才”，還難以培養出懂技術懂管理的“將才”以及技術扎實、知識全面的“兵才”。

（2）“重理論、輕實踐”陳舊的專業體系建設。從等級保護2.0較強的實踐性和應用性可以看出，網絡空間安全專業人才的培養必須強調實踐性，但我國網絡空間安全專業成立時間短，網絡空間安全相關專業師資嚴重缺乏，絕大部分師資是從計算機科學與技術、軟件工程等專業轉崗而來，專業建設通常借鑒傳統信息類相關專業的經驗，即大多強調理論教學、忽視實踐課程，特別是通俗教材匱乏，培養方案缺乏針對性和實用性，導致現行的專業課程難以培養出綜合專業能力強、社會實踐能力和創新實踐能力強的網絡空間安全專業高層次人才。

（3）專業人才培養與國家和社會需求嚴重脫節。我國學歷人才教育與社會需求、產業需求不匹配的問題長期存在，在網絡空間安全專業上尤為突出。從等級保護2.0的角度來看，網絡空間安全專業人才的培養與社會嚴重脫節主要表現在兩個方面，①網絡空間安全教學大綱和培養方案的滯后性，網絡空間安全技術發展極快、網絡空間安全的課程體系難以適用社會對網絡空間安全相關人才的需求；②安全是“伴生”技術，任何新技術的出現其安全問題也會隨之而來，而現行的人才培養體系中，網絡空間安全學科的教學大綱、教材等更新慢，人才培養難以圍繞網絡空間安全的新理論和新技術展開。

綜上，縱然我國目前網絡空間安全專業建設與人才培養已被提升到國家戰略高度，人才培養的力度也在逐年加強，但網絡空間安全領域的人才培養體系仍處于探索階段。

3 等級保護2.0在網絡空間安全專業人才培養中的作用

等級保護制度伴隨著信息技術的發展和國家的需求而產生和發展，等級保護2.0對我國網絡空間安全人才培養具有指導性意義，如圖3所示。

圖3 等級保護2.0在網絡空間安全人才培養的作用

（1）構建面向網絡空間安全人才培養體系的基礎性。等級保護制度是國家網絡空間安全保障的基本制度。人才的培養以滿足國家需求為第一要務，而等級保護制度尤其是等級保護2.0恰是國家網絡空間安全保障及相關人才需求的綱領性文件，強調了網絡空間中的主動防御、動態防御、整體防控、動態感知和綜合審計等。因此，等級保護制度在構建面向國家和社會需求的人才培養體系中具有基礎性作用，以等級保護2.0為人才培養的驅動力，才能明確如何培養人才這一關鍵性問題。

（2）網絡空間安全高層次應用型人才培養的引領性。等級保護2.0明確了我國信息安全的保障體系，應用型人才的培養是實施國家網絡空間安全保障的基礎，因此以等級保護2.0引領我國網絡空間安全人才的培養，具有極強的現實意義。網絡空間安全人才的培養以等級保護2.0為基礎，將人才培養向整個社會應用方面進行“橫向和縱向”立體延伸，以社會發展現實需求重塑專業知識生態體系，明確專業建設的發展方向。

（3）面向社會需求網絡空間安全人才培養的戰略性。等級保護2.0作為我國信息安全保障的基礎性文件，專業人才的培養是維護國家網絡空間安全的主要抓手，因此，等級保護作為我國網絡空間安全人才培養的戰略性、綱領性文件，是培養面向國家需求，社會需求和行業需求高層次人才的“領航燈”。等級保護2.0針對國家重點行業的信息系統提出了總體安全保護框架，在網絡空間安全教學過程中將引入等級保護2.0，將“安全思想引領、扎實技術支撐、安全運維防護”貫穿于課堂教學，等級保護2.0的技術要點和使用范圍能為專業建設構建一個完整的網絡空間安全保障知識體系和框架。

綜上，以等級保護2.0為網絡空間安全專業人才的培養目標，即實現理論寬口徑、方向少而精、應用強實踐的人才培養戰略模式。此外，根據等級保護制度的變化，網絡空間安全專業建設也應緊跟社會對人才需求的變化，并適時地做出人才培養體系的調整，使得所培養人才能夠可持續地滿足社會需求。

4 等級保護2.0視域下網絡空間安全人才培養途徑探索

基于網絡安全等級保護2.0探索網絡空間安全人才的培養具有現實意義，如何根據等級保護2.0構建網絡空間安全人才培養體系以及在等級保護2.0視域下人才培養的細分方向等需要不斷探索。

4.1 網絡空間安全人才培養途徑探索

等級保護2.0是現階段國家網絡空間安全領域的根本性政策，專業人才的培養是履行國家網絡空間安全的重要保障之一，對網絡空間安全人才的培養具有戰略性指導意義，具體來講，等級保護2.0視域下網絡空間人才培養途徑如圖4所示。由圖4可知，以等級保護2.0視域下網絡空間安全人才的培養從專業知識體系入手，根據等級保護2.0的通用要求和目標出發構建專業課程群，以工程應用為人才培養的核心方向，實現多類型、多層次、多元化的人才培養目標。

圖4 等級保護2.0視域下網絡空間人才培養途徑

（1）等級保護2.0視域下明確可持續改進的網絡空間安全人才培養目標。我國網絡空間安全專業成立時間短，專業培養體系不完善，人才培養目標不清晰，縱然網絡空間安全人才缺口大，但人才的培養目標尚不清晰。人才培養目標是專業建設成功與否的重要因素，從人才需求與培養的角度來看，等級保護2.0的實施細則從保護對象和技術領域的角度引領了我國當前網絡空間安全人才的培養方向和目標，即從通用安全以及云計算、移動互聯、物聯網、工業控制系統等擴展安全明確了關鍵基礎設施對人才的需求，這些人才需求將直接轉化為網絡空間安全專業人才的培養目標。

（2）等級保護2.0視域下強化以實踐為導向的層次化人才培養。與傳統專業人才培養類似，人才培養需立體化、層次化，除了要著力培養網絡空間安全領域的“帥才”“將才”和“兵才”，還要培養安全管理人員、安全運營人員、安全運維人員和安全研究人員等。

將等級保護2.0中的安全通用規則和安全擴展規則納入人才培養過程中，專業設置過程中重視層次化、梯度化的培養方案。在專業教學中還需要選拔吸納各類“偏才”和“怪才”，并注重因材施教，打造一支具有較高技術素養、專業配置適當的多類型、多層次、多元化的網絡空間安全人才隊伍。

（3）等級保護2.0視域下構建完備的網絡空間安全人才培養課程體系。全面拓寬和擴展人才培養模式，全面優化課程體系的創新，真正夯實基礎知識，培養知識結構優化，創新能力突出、工程實踐能力強以及較高職業道德情操的網絡空間安全專業人才。打破傳統信息類相關專業教學的“重課堂理論、忽視動手實踐”的思維定式［17］。

強化基礎是學生長遠發展提供終身受用的基礎教育，在網絡空間安全專業也是如此。傳統的教學方案設置偏重于理論課時，然而，這種通過大量的課堂傳授技能性知識的方式在網絡空間安全專業教學中難以取得良好的效果，必須以等級保護2.0為基礎，轉變為圍繞以學生為主體、實踐教學為主導的教學理念，將傳統的課堂填鴨式灌輸，以等級保護實踐應用為導向，大力開展應用型實踐教學。

4.2 以國家需求為牽引的網絡空間安全人才培養細分領域

等級保護2.0將基本要求分為安全通用要求和安全擴展要求兩個部分。安全通用要求是對所有等級保護對象的基本要求，但針對云計算、移動互聯、物聯網和工業控制系統提出了特殊要求，成為安全擴展要求。等級保護2.0針對云計算、移動互聯、物聯網和工業控制系統提出了精細化的等級保護要求。等級保護2.0安全擴展應用是等級保護2.0在關鍵領域重點保護的信息系統，這些人才培養細分方向精準面向國家和社會的迫切需求，具體來講，網絡空間安全人才培養細分方向如圖5所示。

圖5 等級保護2.0視域下網絡空間安全專業人才培養細分方向

精確瞄準國家重大領域需求和社會行業需求，人才培養的細分方向主要為5個方面。

（1）云計算安全。云計算經過長期的發展，已經深入到生產生活的方方面面，云環境下多租戶共享場景將導致可信邊界的弱化，威脅的增加［18］。等級保護2.0中對云計算環境增加了基礎設施的位置、虛擬化安全保護、鏡像和快照保護、云服務商選擇和云計算環境管理等方面。

云計算是算力、存儲等資源的提供平臺，云計算利用虛擬化技術將計算、存儲等形成巨大的資源池，通過互聯網以統一的接口對外提供服務。隨著越來越多信息系統和數據逐漸遷移到云計算平臺，云計算作為支撐平臺，其安全性關乎各接入的信息系統、數據的安全。因此，云計算人才的培養以構建基于云的縱深防護體系為主要抓手，是有效應對云安全威脅的主要手段。

（2）大數據安全。大數據來源、類型多樣，數據增長速度快，其安全問題已經成為當前大數據領域資源開發共享程度低，數據內在價值難以被充分挖掘和有效利用的主要瓶頸之一。具體來講，大數據安全威脅主要有兩個方面，①風險成因復雜交織，大數據的安全威脅在數據產生、采集、處理、共享等各個環節；②安全威脅模式多樣，既有內部泄漏，也有外部攻擊，既有技術漏洞，也有管理缺陷。

從宏觀上講，大數據安全除了傳統的信息采集、傳輸和存儲安全等傳統安全問題外，還有新技術所導致新的風險隱患，因此，大數據安全人才的培養過程中，大數據安全更重視大數據內容安全，特別是將大數據安全與數據安全應用深度融合，構建圍繞大數據全生命周期的可管、可控、可信的數據安全體系的人才培養目標，全面聚焦大數據的的采集安全、存儲安全、傳輸安全和分析與應用安全。

（3）移動互聯安全。隨著移動互聯網及新一代通信技術迅猛發展，移動互聯全面地向生產和生活領域滲透，移動互聯應用業務越來越復雜，承載著大量的用戶敏感信息，移動互聯安全問題日益突出。移動互聯安全擴展要求章節針對移動互聯的特點提出特殊保護要求。對移動互聯環境主要增加的內容如無線接入點的物理位置、移動終端管控、移動應用管控、移動應用軟件采購和移動應用軟件開發等。

5G技術的全面應用，移動互聯會面臨新一輪的安全挑戰，移動互聯領域面臨著終端安全、網絡安全、應用服務安全、內容安全、基礎安全等。因此，移動互聯人才的培養既要維護傳統移動互聯的穩定，又要從保障新一代移動互聯領域的安全出發。

（4）物聯網安全。5G移動物聯網和傳感設備的普及，物聯網正逐步進入跨界融合、集成創新和規模化發展的新階段，但安全一直是物聯網實現萬物互聯的基礎。等級保護2.0中，物聯網環境安全領域主要增加了感知節點的物理防護、感知節點設備安全、感知網關節點設備安全、感知節點的管理和數據融合處理等。

物聯網安全防護是實現物聯網的感知層，還要解決網絡接入、基礎設施以及邊界安全問題。物聯網安全面臨多方面的威脅，如終端設備安全、感知設備安全、數據傳輸鏈路脆弱性等，因此物聯網安全人才的培養從智能硬件基礎入手，以網絡的安全互聯互通為體系進行全面地防護。因此，物聯網安全人才的培養需要從智能硬件、網絡安全等方面入手，全面提升物聯網的安全。

（5）工業控制系統安全。近年來，制造、通信、能源、市政設施等關鍵基礎領域受到網絡空間安全威脅的行業不斷擴大，安全事件頻頻發生，造成的損失也愈加嚴重。工業控制系統安全主要涉及工業生產安全和網絡空間安全相融合的領域，包含工業數字化、網絡化和智能化等。

工業控制系統安全擴展要求中針對工業控制系統的特點提出特殊保護要求，主要增加了室外控制設備防護、工業控制系統網絡架構安全、撥號使用控制、無線使用控制和控制設備安全等方面，針對工業控制系統實時性要求高的特點調整了漏洞和風險管理及惡意代碼防范管理方面的要求。工業控制系統人才的培養不僅要著重于工業控制系統基礎安全、工業網絡安全、工業大數據安全、工業云和APP安全等，還要著重于人才培養的立體化，打通工業領域與網絡安全領域長久存在的技術邊界。

5 結 語

隨著新技術涌現以及社會基礎設施的全面互聯網化，網絡空間所面臨的安全威脅也與日俱增，面對網絡空間安全保障的重大需求，我國推出了等級保護2.0制度。等級保護2.0的全面實施是面向國家基礎戰略需求和市場需求的基礎保障，特別是對云計算、大數據、物聯網和移動互聯等領域的安全保障。

沒有網絡安全就沒有國家安全，高層次專業人才的培養是維護網絡安全的重要舉措，也是我國信息安全的重要保障。本文從等級保護2.0視域下，探索了網絡空間安全人才的培養模式，期望早日培養出能捍衛國家網絡安全的高水平衛士。