導言：作為寫作愛好者，不可錯過為您精心挑選的1篇NICE 網絡安全人才隊伍框架分析，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內容能為您提供靈感和參考。

1引言

在當前網絡空間“一超多強”的力量格局下，網絡空間局勢日益緊張，2021年谷歌前任CEO領導的智庫“中國戰略組”在《非對稱競爭：應對中國科技競爭的戰略》報告中指出，“要強化科技領域信息能力，大力爭奪科技人才，聯合各國應對來自中國的科技競爭。”“人才戰”已成為各國博弈的主戰場之一，“網絡空間的競爭，歸根結底是人才競爭”。加強網絡安全人才隊伍建設，已成為維護國家網絡安全和建設網絡強國任務的核心需求。

2nice網絡安全人才隊伍框架的目的

自“國家網絡安全綜合計劃（CNCI）”時期，美國就逐漸發現，對網絡安全人員工作角色的描述沒有統一的定義，對網絡安全人員工作能力的測評也沒有統一的標準，要在國家層面造就一支規模宏大、結構優化、布局合理、素質優良的網絡安全人才隊伍，亟須研究網絡安全從業人員識別和描述的標準，制定專門的網絡安全人力框架，否則難以對網絡安全人才隊伍數量、質量以及能力缺口進行評估[1]。NICE網絡安全人才隊伍框架定義和標準化了網絡安全人才崗位能力規范，建立了一套全國通用的網絡空間安全相關的詞匯、分類法及其他數據標準，規范了網絡空間安全領域所覆蓋的專業范疇、職業路徑、崗位能力和資格認證等具體內容，是確保美國創建和保持全球一流網絡安全人才隊伍的基礎。

3NICE網絡安全人才隊伍框架的發展演進過程

網絡安全人才建設是國家網絡安全領域發展的基礎性工作，網絡安全人才是國家網絡安全保障的根基，美國很早就開始注重網絡安全人才標準的制定，2008年，美國就發布了制定網絡安全人才標準的任務，要求聯邦首席信息官委員會（CIOC）提供相對應的人才標準框架。2010年4月，美國“國家網絡安全教育（NICE）計劃”開始啟動，這是美國為落實國家網絡安全綜合計劃（CNCI）部署，出臺的一項旨在加強政府、企業、學校、科研院所等各界合作，關注網絡安全教育、培訓和人力開發的國家級計劃[2]。2011年聯邦首席信息官委員會（CIOC）提交了研究的成果，初步將網絡安全領域的角色劃分為11個。隨后，NICE計劃結合該研究成果，2011年9月發布了NICE網絡安全人才隊伍框架1.0版本，在人才隊伍框架中提出專業類別與專業領域的概念，同時將網絡空間安全專業領域劃分為7個大類，31個專業領域。2014年4月發布了NICE網絡安全人才隊伍框架2.0版本，該版本是由國土安全部（DHS）牽頭，成立專題研究小組，廣泛收集政、產、學各界行業專家意見進行修訂完成，將網絡空間安全專業領域劃分為7個大類，32個專業領域。相較于1.0版本，2.0版本既反映了聯邦政府各部門的意見，又體現了產業界的反饋信息，確保了該人力框架適用于美國各種行業。2016年11月，在2.0版本的基礎上融合國防部（DoD）等部門的修改內容，進一步將網絡空間安全專業領域劃分為7個大類、33個專業領域，同時增加了52個工作角色，并對每個工作角色進行了描述，給出了每個角色對應的任務（Task），以及每個角色需要具備的知識、技能和能力（KSAs），并由美國商務部國家標準與技術研究院（NIST）作為標準草案發布。2017年8月，NICE網絡安全人才隊伍框架3.0版本正式發布。在該版本中修訂的重要內容之一就是補充完整了“搜集和操作（CO）”、“分析（IN）”這兩個大類下的目標任務（Task）以及知識、技能和能力（KSAs）。這兩個大類帶有比較明顯的網絡攻防特色，在人才隊伍框架1.0版的公開發行版中是缺省的。這也意味著美國需要借助社會力量來培養網絡空間安全人才，網絡空間安全成為了一個全國性的人才培養領域。2019年11月，NICE網絡安全人才隊伍框架再次進行修訂，2020年11月發布NIST特別出版物800-181修訂版1，該修訂版將該框架重命名為網絡安全勞動力框架[3]。該修訂版中，NICE框架棄用類別和專業領域，提出了由任務、知識和技能組成的一組簡化的“構建塊”，簡化了框架的組織架構，也隱藏了框架的組織細節，這也體現出美國對網絡安全人才培養過程中戰略層次的轉變，也意味著網絡空間安全形勢的博弈正日益加劇。

4NICE網絡安全人才隊伍框架的基本內容

4.1培養目標

美國設計NICE網絡空間安全人才隊伍框架的總體目標包含三個層次，第一是提升國家網絡空間風險意識；第二是擴充網絡安全領域人才儲備；第三是培養具有全球競爭力的網絡安全人才隊伍[4]。而最新版本的NICE網絡空間安全人才隊伍框架提出了兩個更加具體的目標：美國需要通過國家網絡空間安全教育計劃（NICE）來培養“更多數量的熟練網絡空間安全專業人才”并“致力于培養一支從入職到離職都具有全球競爭力的、時刻準備著保衛國家，應對現有的和可能出現的網絡空間安全挑戰的一體化網絡空間安全人才隊伍”。

4.2NICE網絡安全人才隊伍框架結構

NICE網絡安全人才隊伍框架由7類組件組成，用工作類別（Category）、專業領域（SpecialtyArea）和工作角色（WorkRole）這3類組件來描述網絡空間安全工作，同時指定了4類組件來為每個工作角色定義相關的網絡空間安全的知識（Knowledge）、技能（Skill）、能力（Ability）、任務（Task）。每個工作類別下有多個專業領域的分支，每個專業領域下又有多個工作角色的分支，每個工作角色又是由大量獨立的任務和與之對應的KSAs（“知識”、“技能”、“能力”的統稱）組成。NICE網絡安全人才隊伍框架3.0版中定義了7個工作類別、33個專業領域、52個工作角色，列出了共1007項與工作角色相對應的“任務”、634項從事網絡安全工作所需要的“知識”、377項“技能”和177項“能力”。

（1）類別

類別（Category）是NICE網絡安全人才隊伍框架的頂層概念（和職位頭銜無關），一共有7個類別，分別是安全準備（SP）、操作和維護（OM）、監督和治理（OV）、保護和防御（PR）、分析（AN）、搜集與操作（CO）、調查（IN）。其中，“保護和防御（PR）”類別，主要負責鑒別、分析、減緩對內部IT系統或網絡的威脅；“分析（AN）”類別，通過專業化的手段分析與評估數據信息，確定信息價值；“搜集與操作（PR）”類別，負責提供專業性的拒絕與欺騙行動以及網絡空間數據的搜集，屬于網絡空間防御的范疇。這三大類與網絡空間安全緊密相關，這也表現出美國對網絡空間安全人才隊伍建設的支持與重視。

（2）專業領域

專業領域（SpecialtyArea）是各個類別下包含的網絡空間安全工作分組。專業領域的制定隨著NICE網絡安全人才隊伍框架版本的更新，也在不斷進行更新，在1.0版本中劃分了31個專業領域，2.0版本中增加到32個專業領域，3.0版本中達到了33個專業領域。比如，在3.0版本中“搜集與操作（CO）”類別中就包含3個專業領域，分別是搜集活動（CLO）、網絡計劃（OPL）、網絡行動（OPS），相對于2.0版本中，增加了網絡行動（OPS）領域。每個專業領域代表了網絡空間安全領域的一類專門工作職能。比如，搜集活動（CLO）領域規定專業人員負責使用適當的搜集策略，并以搜集管理過程中建立的優先級來執行信息搜索；網絡計劃（OPL）領域指出專業人員負責收集信息并制定詳細的網絡計劃和命令以滿足網絡活動需求；網絡行動（OPS）領域則明確專業人員負責使用自動化工具管理、監控和實施大規模的網絡活動以響應全國性的戰略需求[4]。專業領域的更新不僅反映出NICE網絡安全人才隊伍框架的持續更新性，也反映出當前美國對網絡空間安全的態度及對網絡空間安全人才培養的急迫性。

（3）工作角色

工作角色（WorkRole）是IT、網絡空間安全或網絡空間相關工作最細化的分組。工作角色闡明了從業人員完成規定職能和職責所必須具備的知識、技能和能力。一個網絡安全從業人員一般承擔了一個或者多個工作角色并履行相關職責。比如，網絡計劃（OPL）領域包含3個工作角色，分別是網絡空間信息策劃師、網絡空間行動策劃師、協作合同策劃師。以網絡空間信息策劃師為例，該工作角色負責制定詳細的信息計劃，以滿足網絡攻防要求，與網絡空間行動策劃師合作確定、驗證和收集、分析行動要求，參與網絡安全行動，執行信息活動以支持網絡空間中的組織目標，從中可以看出網絡空間信息策劃師應履行的職責，讓從業者更加清晰自身定位。

（4）任務

任務（Task）是指每個工作角色都需要通過完成一些任務來履行其職責。仍然以網絡空間信息策劃師為例，該工作角色需要完成45項任務，除了典型的收集信息、評估漏洞、根據信息制定行動計劃等任務，還包括保持態勢感知，以確定操作環境的變化是否需要審查計劃（T0743）及與其他團隊成員或合作組織合作開發各種信息材料（例如網頁，簡報，印刷材料）（T0601）等任務。

（5）知識、技能、能力

KSAs（知識、技能和能力）是完成一項工作必需的屬性，一般通過相關的工作經驗、教育背景或培訓經歷體現。NICE網絡安全人才隊伍框架為每個工作角色清晰定義了勝任該職責和職能所必須具備的任職資歷和能力。比如網絡空間信息策劃師，NICE網絡安全人才隊伍框架規定該工作角色需要具備89種知識，除了計算機組件與體系結構、計算機網絡、信息采集、通信技術、信息安全、網絡安全、網絡攻擊、編程語言、軟件開發、信息等專業知識，還需熟悉網絡法律、網絡運營、隱私原則、實施后審查（PIR）審批流程等相關知識。在這89種知識結構中，編號K0001-K0006是規定每一位網絡安全人員都必須具備的知識。NICE網絡安全人才隊伍框架還規定該工作角色同時需具備36種技能、17種能力。比如記錄、傳達、分析、提取、撰寫、評估、預測信息的技能及行動策劃技能等。從以上分析中我們可以了解到每個工作角色可能需要廣泛的KSAs，如果缺少一個或多個KSAs，那么希望填補該工作角色的人員將具體了解哪些領域需要改進，并且可以尋求學術課程或行業培訓以獲得必要的知識。如果沒有找到這種工作人員，雇主就有具體的任務說明和KSAs要求，這些要求可以在招聘公告中公布，也可以用于承包商工作人員來擴充現有人員。

4.3NICE網絡安全勞動力框架結構

2020年11月發布的NIST特別出版物800-181修訂版1，將網絡安全人才隊伍框架重命名為網絡安全勞動力框架。該框架棄用了之前框架中的類別與專業領域組件，刪除了2017版框架的附錄A和B中以前可用的任務、知識、技能和工作角色的列表，將任務、知識和技能以及相應的能力和工作角色作為單獨的組件進行維護，同時更改了任務、知識、技能和能力之間的關系，提出由任務、知識和技能組成一組簡化的“構建塊”，這些“構建塊”描述了要完成的工作（以任務的形式）以及完成該工作所需的知識（通過知識和技能）。NICE網絡安全勞動力框架在使用時，不僅可以用框架中已有的任務、知識、技能進行描述工作和學習者，還可以創建全新的任務、知識或技能聲明，幫助組織量身定制NICE框架。

（1）能力

NICE網絡安全勞動力框架利用能力為組織提供了一種評估學習者的機制，能力包括名稱、能力描述，評估方法以及一組相關的TKS語句，該框架允許組織將各種TKS語句組合成一個更廣泛的能力，盡管單個任務及其相關的知識、技能陳述可能不會更改，但定義更廣泛的能力可能會引入新任務，甚至引入特殊的知識和技能（或刪除現有任務），如此可以更好響應不斷變化的網絡安全生態系統中的新需求。NICE網絡安全勞動力框架允許組織使用NICE人力框架中現有的能力評估學習者，也允許組織利用任務或知識與技能創造新的能力去評估學習者。

（2）工作角色

NICE網絡安全勞動力框架強調工作角色由構成要完成的工作的任務組成，任務包括相關的知識和技能，這種改變使工作角色描述更為簡單快捷，提高了框架使用的敏捷性。

（3）團隊

由于網絡安全領域工作的復雜性，許多組織使用團隊，通過將具有互補技能和經驗的個人召集在一起，共同應對復雜的挑戰。NICE網絡安全勞動力框架引入了團隊的概念，利用工作角色或能力來定義團隊。以工作角色為中心的團隊構建方法使組織可以定義實現目標所需的工作角色類型。由于工作角色本身是由能力組成的，因此這種構建團隊的方法始于要完成的工作，這種方法是“自上而下”構建方法；以能力為中心的團隊構建方法，面對未來的某個單個任務可能是未知的，但是解決挑戰所需的能力類型卻是已知的，這種方法是“自下而上”的構建方法。

5NICE網絡安全人才隊伍框架的關聯配套

NICE網絡安全人才隊伍框架關聯性和適用性很強，有關組織部門可以利用其開發或者衍生出其他專門領域的網絡安全框架[6]。2015年，美國國防部在NICE人才隊伍框架的基礎之上，結合網絡司令部發布的《聯合網絡空間培訓與認證標準》（JCT&CS，JointCyberTrainingandCertificationStandards），制定了《國防部網絡空間人才隊伍框架》（DCWF，DoDCyberWorkforceFramework）；美國商務部國家標準與技術研究院（NIST）參考NICE網絡空間安全人才隊伍框架的類別和標準劃分，制定了《改進關鍵基礎設施網絡安全框架》；美國國土安全部參考NICE網絡安全人才隊伍框架中的專業領域、任務以及知識、技能和能力（KSAs）等，開發了“網絡安全人力發展工具包”；美國人事管理局（OPM）要求執行NICE網絡空間安全人才隊伍框架的標準，以確定信息技術、網絡安全或其他網絡相關功能的所有聯邦文職職位[6]。

6總結與啟示

（1）NICE網絡安全人才隊伍框架專業結構劃分極為細致。該框架用細小的顆粒度對每一個工作崗位進行了深刻的描述，比如網絡空間信息策劃師這個工作角色，該框架指出它需要具備89種知識、36種技能、17種能力，這些知識、技能與能力不僅僅包含該工作角色所必須具備的信息、網絡安全、信息安全、網絡攻擊、通信技術等專業知識、技能、能力，還涵蓋了法律、網絡運營、隱私原則、實施后審查（PIR）審批流程等相關輔助性的知識、技能、能力。

（2）NICE網絡安全人才隊伍框架時刻關注網絡空間安全態勢，保持動態更新。該框架從最初版本到目前的最新版本，完善與修訂的最關鍵的部分均與網絡空間安全行動領域密切相關，而該框架目前仍在繼續更新。從框架的更新歷程中，能夠看到美國對網絡空間安全領域越來越重視的態度及美國對網絡安全人才建設的戰略計劃。

（3）NICE網絡安全人才隊伍框架為我國網絡安全人才建設提供了培養方向。建設網絡強國必須要有高素質的網絡安全人才隊伍，我國要積極參考美國網絡安全人才隊伍框架，“從頂向下”梳理網絡安全領域的專業類別、崗位職責、任職能力需求等內容，打造適合我國網絡安全領域的人才培養框架，打通學校教育、專業培訓、崗位成才等各種渠道，形成網絡安全培養生態體系，推動多層次、高水平、廣覆蓋、強集聚的網絡安全人才隊伍建設。

參考文獻：

[1]王星.美國網絡安全從業人員標準體系研究[J].中國信息安全，2018（07）.

[2]王星.美國網絡安全人才政策綜述[J].信息安全與通信保密，2018（08）.

[3]位華.美國等網絡強國網安人才建設舉措及啟示[J].中國信息安全，2017（04）.

[4]韓臻.美國NICE網絡空間安全人才隊伍框架探析[J].保密科學技術，2012（09）.

[5]鄭美.美國網絡安全產業人才培養的標準化趨勢——《網絡安全人力框架》解析[J].信息安全與通信保密，2018（08）.

作者:謝江濤 康緋 卜文娟 單位:戰略支援部隊信息工程大學