郵發代號 2-786
征訂熱線:010-82341063
文│中國信息安全測評中心 桂暢旎
當前,網絡安全人才短缺是世界各國政府面臨的共同問題,特別是隨着數字化的深入發展,網絡安全人才發展與網絡安全保障需求的差距不斷擴大,各國均在尋求培養網絡安全人才的「良策」。以色列作為網絡安全強國,在網絡安全人才培養上形成了獨具一格又高效務實的人才培養模式。以色列是如何克服數量劣勢打造網絡安全人才高地?是如何融合意識提升、義務教育與產業發展建成人才利用生態圈?是如何從軍民融合中汲取經驗反哺網絡安全產業發展?本文嘗試對這些問題進行初淺分析,以期對我國網絡安全人才培養有所借鑑。以色列立國原則以及猶太民族特性深刻塑造了以色列人才發展,再加上不利的地緣環境影響,使得以色列的網絡安全人才培養深受以下幾方面理念影響:
猶太宗教經典規定:學習和鑽研是信仰的組成部分。猶太家庭和社團的學習氛圍十分濃厚,崇尚知識、尊重學者是猶太人的生活準則。早在1948 年現代以色列國建立之前,猶太領導人就意識到,一個缺乏自然資源的貧窮小國要想生存和成功,唯一的辦法就是通過教育加大對人力資本的投資。以色列一些領先的大學在建國之前已經成立,如以色列理工學院建立於 1912 年,希伯來大學建立於 1925 年,魏茨曼科學研究所建立於1934 年。以色列首任總理大衛·本·古里安曾表示「沒有教育,就沒有未來」,以色列在建國三年後即通過《義務教育法》與《國家教育法》,全面推行義務教育,其中尤以科學技術教育為重。以色列政府大力投資教育,據統計,以色列對國民教育的資金投入僅略低於其軍事投入。這一系列舉措為高質量的網絡安全教育提供了基本保障。面對狹小的國土面積,總量不高的人力資源,以及「強敵環伺」的地緣環境,本·古里安曾坦言「既然我們在數量上無法超越對手,那就必須在質量上趕超」,並將「實現技術優勢和質量優勢」作為六項「立國之本」之一,使得以色列在人才培養上追求「以質取勝」,通過提高人力資本質量優勢來推動技術優勢。為了實現這一長期目標,本·古里安試圖聚集最優秀的科學人才,通過選拔實施所謂「英才教育」。1973 年以色列教育和文化部設立專門的英才教育局,建立「天才兒童培養制度」,將有特殊天分的兒童納入英才教育體系開始培養。以色列的精英教育也取得了成效,根據經合組織數據,以色列每 1000 名雇員中約有17.4 名科學家和研究人員,占比最高。(三)「包容並蓄」,開放的移民文化充實以色列人才儲備以色列人才優勢在很大程度上還應歸功於其開放包容的移民文化。受歷史原因影響,以色列自建國起就把吸引世界各地的猶太人前來定居視為基本國策,專門制定了吸引猶太人回到並在以色列生活的《回歸法》,吸引全球的猶太科學家、工程師向以色列聚攏。除猶太人外,以色列還非常注重引進海外高科技人才,早在 1973 年就設置「科學吸收中心」專門負責管理人才引進事務,並設立專項移民基金鼓勵移民科學家開展研究。這使得以色列吸引了一大批來自歐美及前蘇聯在內的全球最優秀的科學家和工程技術人員,發展成為以色列創新的主體力量。值得注意的是,近年來俄羅斯大批高學歷、高技能網絡安全人才不斷湧入以色列,極大增強了以色列網絡安全人才儲備,這反過來也為以色列網絡安全防禦帶來了新的視角和方法。人才作為一種特殊的資源,其價值在於最大可能地利用。以色列一直堅持把用好用活人才作為人才培養的核心環節,一方面重視激發學生潛能和自主發展,培養學生獨立思考、善於鑽研、樂於質疑、反向思維等能力;另一方面秉持非常務實的態度,注重教學與科研的結合,培養具有強大市場需求的應用型、實用型人才。特別是在培養網絡安全人才以應對不斷變化的網絡空間問題上,以色列兼顧創新創造和「問題導向」,強調通過快速的技術創新來應對不斷變化的安全挑戰,這也驅使以色列網絡安全公司善於開發靈活、適應性強的解決方案,這對全球用戶具有極大吸引力。(五)「居安思危」,體現了以色列人才培養的價值取向猶太人的文化傳承中有很強的危機意識,這種意識讓以色列變成了去國千年而復國,喪失語言千年而復興的奇蹟。在這種歷史因素影響下,以色列始終強調「每當幸運來臨的時候,猶太人總是最後感知;而每當災難來臨的時候,猶太人總是最先感知」,一直將危機意識和風險管理貫徹以色列網絡安全人才培養始終,努力成就逆境生存能力。正如以色列前總理本雅明·內塔尼亞胡在2016 年度「網絡安全技術大會」的致辭中強調,「在萬物互連的時代,一切都可以被滲透,一切皆可能被破壞,一切有可能被顛覆」。對於網絡安全人才的培養和價值塑造潛藏了以色列居安思危,轉危為安的文化基因和生存本能。以色列在政府、企業、高校、科研院所、軍隊形成了「政產學研軍」五位一體的網絡安全人才培養體系,構建了獨具特色的人才培養創新生態。
以色列政府在規劃、統籌、激勵網絡安全人才上發揮了積極作用。一是將網絡安全人才培養上升為國家網絡安全戰略的重要內容。以色列政府 2011 年頒布的第 3611號決議即《提升國家網絡空間能力》中明確提出促進產業界和學術界創新和研究,增強國家網絡專用性人力資本。2017 年頒布的《以色列國家網絡安全戰略》要求提升國家在網絡領域的人力資本,培育相互補充的生態系統,支持學術研究,以及在以色列頂尖大學建立 6 個研究中心。2021 年頒布的《以色列國際網絡安全戰略》認為以色列網絡生態系統由人、知識和設施組成,需要在學術研究、產業創新和人力資本上持續投資。培養網絡安全人才成為以色列建成網絡安全強國的重要支撐。二是通過資金支持和政策扶持推進網絡安全成為熱門職位。以色列政府不斷向網絡安全產業注入大量資金,提高教育補貼。據統計,以色列的研發投資占比 GDP 全球最高,其中網絡安全科研投入居世界前茅。2018 年,以色列政府宣布分三年向網絡安全行業投資 9000 萬謝克爾(2400萬美元),補貼圍繞高風險活動進行研發的公司。持續的政府注資以及可期的前景使得網絡安全職業在以色列成為可以與金融行業媲美的熱門職業。根據英特爾公司的調查顯示,「網絡安全已經成為以色列最賺錢的一個行業」,「在以色列每個人都想進入網絡安全領域」已經成為現實。2016 年底,以色列政府推出「創新簽證計劃」,海外創業者能夠利用以色列的技術設施、商業系統以及工作空間創業,極大吸引了國際網絡安全人才。三是引導高校建立培訓項目與網絡創新中心。為推動學生無縫進入工作崗位,內塔尼亞胡 2017年宣布建立專門的國家網絡教育中心(NCCC),並配以 600 萬美元的五年預算,幫助網絡安全求學者為職業生涯做好準備。以色列政府還出資建立了大量的創新中心和培訓項目,以色列國家網絡局(INCB)投入 6000 萬美元在 5 所頂尖大學建立的網絡安全研究中心已經初具規模,其中希伯來大學網絡安全研究中心專注於網絡和協議、國際法研究;特拉維夫大學布拉瓦尼克跨學科網絡研究中心(Blavatnik)在網絡安全不同方面已開展了 60 多項前沿研究;以色列理工大學網絡安全研究中心專注於網絡威脅情報的收集、整合、分析、預警;巴伊蘭大學網絡安全研究中心專注於加密研究;本·古理安大學網絡安全研究中心設置網絡攻擊模擬實驗室、惡意軟件分析實驗室、行動安全實驗室及物聯網安全實驗室,這類研究中心成為以色列政府和學術界在網絡安全研究的典型合作。以色列深度的「軍民融合」造就了源源不斷的有才華、受過軍事訓練、實戰經驗豐富的人員從軍隊中走出來進入網絡安全產業,成為以色列網絡安全領軍人才的重要來源。一是強制兵役制度磨練出「軍事級別」的網絡技能。以色列實行義務兵役制,規定每一個年滿18 歲的公民都必須加入軍隊服役兩至三年,這成為學習和磨練先進網絡安全技能的試驗場。以色列國防軍(IDF)通過國家標準化考試,將優秀人才納入技術部隊或作戰部隊,培養網絡攻防、加解密等「軍事級別」的網絡技能,造就一批批既有專業知識又訓練有素的網絡安全人員。在所有的軍事隊伍中,以色列信號情報國家部隊(又稱為 8200 部隊)被稱為以色列網絡安全人才的「搖籃」。據統計,以色列高科技領域 90% 的成年人都曾服過兵役,其中大部分的佼佼者來自於 8200部隊。8200 部隊不只教授新兵網絡技能,更培養批判性思維以及團隊協同作戰能力。許多雇員更是將在 8200 部隊服役的經驗視為「軍事資本」,進行優先招聘。二是教育下沉培養「學習型士兵」。為儘快尋找到合適人選,IDF 實施了一項名為「學術儲備」(Academic Reserve,希伯來語為「阿圖達」)的培訓計劃,推動部分特別有天賦的高中生服兵役期間甚至之前獲得科學技術相關的大學學位。「學術儲備」計劃實質是 IDF 的學術篩選計劃,每年在準備服兵役的 10 萬名高中畢業生中選出約1000 名優秀者,資助他們獲得相關技術方向的大學學位後再服兵役,這使得 25% 的 IDF 軍官擁有科學和工程專業學士學位。1979 年,「學術儲備」成立子項目「高台」(Talpiot)計劃,主要面向即將入伍的優秀高中生提供為期 40 個月的精英培訓項目,包括物理、數學、計算機科學等科目學習,並且與軍事訓練結合,培養出了一支兼具技術與軍事才能的精英部隊,成為以色列作戰部隊和國防科技界之間的粘合劑,在推動以色列的技術和網絡產業發展方面發揮了重要作用。三是提前選拔優秀人才培養實用型網絡安全人才。2010 年,以色列國防部與慈善機構拉什基金會聯合啟動「成就」(Magshimim)項目,主要培訓來自貧困地區有才華的高中生,包括培訓學生構建算法思維過程、了解計算機和互聯網的結構、分析計算機系統,培養創造性思維。該項目被稱為「黑客預科班」,已成功培養了一批優秀的網絡安全候選人,培訓者完成高中學業時的技能堪比北美計算機科學本科生,目前已成為以色列官方網絡培訓項目。四是獨具特色的軍隊與產業「旋轉門」造就了網絡安全領軍人才。以色列的兵役制度不僅訓練了士兵承擔風險和專注於任務的精神,同時還間接提供了強大的人際商業網絡,許多士兵在長期共同作業、一起執行軍事任務時建立起深厚友情,為後續的創業奠定了堅實的人際基礎。許多以色列人將軍隊視為一種「社會化中介」,將在軍事情報、技術部門服務視為通往商業世界的最佳捷徑,一起服役的士兵間保持良好的關係,甚至退役後一起組建創業團隊。此外,以色列軍隊規定網絡安全部隊士兵結束服役後,可以使用不涉及核心機密技術的知識幫助其後續個人創業,這極大促進了軍事技術的商業化轉化。以色列許多享譽世界的網絡安全公司的創始人大多具有軍隊服役背景。以色列政府認為培育年輕人網絡技能是一項國家使命,鼓勵網絡安全教育從小抓起。網絡安全教育在以色列非常普及,下至基礎教育,上至高等教育,均將網絡安全培養作為重要內容。一是基礎教育階段築牢網絡安全根基。以色列強制性網絡安全教育正式開始於四年級(約 9—10 歲),網絡安全教育課程主要教授通過 Scratch(由美國麻省理工專門為少年兒童開發的一款學習編程的軟件)進行短程序開發,每周保障 2 學時課程;2012 年起,以色列在七到九年級的初中階段將網絡安全列入科學和技術卓越項目(STEP)作為選修,開始教授算法、網絡安全和密碼學等高階課程;從 20 世紀 90 年代開始,以色列十到十二年級的高中學生就需要完成 540 小時的 CE(計算機工程)和 CS(計算機科學)學習,網絡防禦是重點學習內容。二是高等教育階段重在培養網絡攻防能力。以色列頂尖大學都開設了網絡安全相關科目,包括希伯來大學、特拉維夫大學、海法大學、本·古里安大學、以色列理工大學等在計算機、通信、電子工程、軟件工程等學科領域都具有很高水平,成為以色列網絡安全人才培養的主力軍。以色列高等教育重在培養實用型人才,注重提升學生攻防能力,設置了滲透測試、網絡防禦、數字取證、惡意軟件分析等課程,並且提供「網絡靶場」實踐體驗,通過模擬真實的網絡攻擊場景和攻防過程培養攻防能力。這種將教育與實踐緊密結合的方式,為政府、軍隊和私營部門提供了高適配的網絡人才,使得大學真正成為網絡安全的搖籃。以色列網絡安全產業發展迅速、規模龐大、方向多元,為以色列的網絡安全人才培育、發展以及輸出提供了廣闊的市場。一是繁榮的網絡安全產業發展刺激人才需求。以色列網絡安全部門在 2021 年籌集了 88.4 億美元的資金,比 2020 年的 27.5 億美元增長了三倍多,全球網絡安全領域 40% 的私人投資流向了以色列,420 多家活躍的網絡安全技術初創企業發展欣欣向榮。持續發展的網絡安全產業以及創新速度使得網絡安全人才需求遠遠大於供給。可以說以色列在網絡安全方面的職位空缺並不是程序員短缺導致的,而是該領域的創新速度不斷創造了對新興職業的龐大需求。此外,國際性網絡安全企業的「入駐」進一步優化了以色列網絡安全人才市場,許多國際性企業看重以色列的技術人才,谷歌、臉書、英特爾、三星等科技企業不僅把海外研發中心設在以色列,更是直接收購以色列初創公司以在當地「招兵買馬」,需求進一步擴大。據統計,以色列每 10 名科技員工中就有 1人在網絡安全領域工作。二是「進校園」設立專項基金支持學生創業。以色列許多企業與高校聯繫緊密,通過設置專門的網絡安全項目與基金,以期為學生提供先進的實踐訓練,使其在正式工作之前可以磨練自己的技能。例如,2018 年以色列 Fresh 基金公司與本·古里安大學聯合推出了一項名為仙人掌資本(Cactus Capital)的風險投資基金,由接受過風險投資培訓的學生運營,專注於學生創業投資。在以色列「網絡星火」(CyberSpark)科技園區,幾乎每個企業和大學都有一個合作研發的項目,以色列著名的風投公司耶路撒冷風投基金 JVP 專門在 CyberSpark 建有孵化器,資助大學實驗室中誕生的想法並開展成果轉化。三是直接「開班」培養最需要的人才。越來越多的以色列網絡安全企業基於自身業務需求直接開設網絡安全學院培養網絡安全人才。例如,以色列捷邦安全軟件技術有限公司(Check Point)開設了自己的安全學院,打造了安全教育課程(Secure Academy)品牌,主要與以色列國內外大學、學院和高等教育機構合作,向學生介紹網絡安全概念,培養學生識別和解決安全威脅的能力。目前該課程已在 40 多個國家的 100 所大學開設。學生完成課程後將獲得業界認可的網絡安全技能證書,並獲得在捷邦全球辦事處或其 5000 多個附屬機構的面試機會。可以看出,捷邦這類企業在安全學院、企業及其合作夥伴之間建立一個生態系統,形成「招生—培養—利用」的自循環模式。部分研究部門、認證機構以及網絡安全教育企業針對當前國際網絡空間的發展形勢,在輔助教育、強化認證、拓寬市場上發力,極大提升了以色列網絡安全人才培養的質量與品牌建設。一是教育研究機構輔助提升實踐能力。為配合學歷教育,以色列許多研究機構開設了網絡安全職業培訓。如霍隆技術學院(HIT)作為以色列高等教育委員會認證的研究型學院,在網絡安全領域構建了完善的職業技能課程體系,包括計算機架構、操作系統基礎、網絡安全防禦、網絡安全風險管理等。相比於學歷教育,這類職業培訓更能適應社會需求,針對性更強。二是測評認證機構推動培訓標準化。以色列具有一批高質量的網絡安全測評認證機構,開展基礎、進階、專業的網絡安全測評認證,包括高質量的網絡安全人才測評認證制度。例如,為解決網絡安全培訓領域碎片化問題,以色列國家網絡教育中心下設的知識中心(The Knowledge Hub)正在搭建一個全國性框架,以期實現人才培訓計劃和流程的標準化。三是網絡安全教育企業包裝產品開拓國際市場。正如一位以色列網絡安全教育企業負責人所言,「以色列已經準備好分享其網絡安全知識,網絡安全教育也不例外」。目前,包括 Cyberbit公司在內的以色列網絡安全教育企業正在開發標準化的攻防課程,在印度、菲律賓等發展中國家,甚至在美國等發達國家提供網絡安全教育培訓外包服務,打造以色列網絡安全教育品牌。以色列網絡安全人才培養的做法既拓寬人才來源實現「量」的增加,更重要的是不斷完善培養內容注重人才「質」的提高,通過創新培養形式,形成融合、互促的良性生態。
為解決人才短缺問題,以色列將培養多樣化人才作為網絡安全人才培養的重點。其一是在拓寬培養對象上,加大對少數群體的培養,特別是加強女性網絡安全人員的培養力度。包括 8200 部隊在內的政府部門正在強調對於女性網絡安全人才的需求,以色列國家網絡教育中心專門創建了「網絡女孩」項目,通過舉辦黑客馬拉松、培訓課程提升女性的網絡安全能力,促進高科技領域以及以色列網絡部隊培訓並招募女性工作者。其二是在培養時間上,將「選人」關口不斷前移。以色列政府意識到,孩子越早開始學習電腦技術和網絡安全越好,因此通過教育下沉的方式,將學生網絡安全培養計劃輻射至小學初中階段,專門開設網絡安全相關課程,培養孩童的網絡安全意識、興趣,發掘適合從事網絡安全行業的「天才」,甚至針對部分幼兒設計了一系列額外的技術教育項目。其三在用人標準上,「不拘一格降人才」。不少網絡安全「天才」並不具有高學歷,以色列針對網絡安全的新特點,對各懷絕技的網絡技術人才「別開生面」,通過培訓物色和「招安」這類電腦「極客」。此外,以色列寬鬆的國籍管理政策也有利於其吸引高端技術人才。以色列的網絡安全教育傳承了猶太人善於通識教育、主張笨鳥先飛的傳統,覆蓋面廣同時兼具因材施教,不斷推動教育普及度與針對性。其一是資助廣泛的網絡安全培訓計劃,滿足不同學術背景和特長的學生,其中典型的有塔普克(Tapuach),無限實驗室(Infinity Labs),以色列技術挑戰(Israel Tech Challenge,ITC),試驗開始(Experis Kickstart),提升學院(Elevation Academy),卡夫·馬什夫(Kav Mashve)和月見草(Primrose)計劃,不同計劃面向的受眾不同,極大降低了網絡安全職業的門檻。其二是針對網絡安全「天才」實行精英教育,如以色列總理府 2013 年啟動的「網絡精英培養」法案,意在選拔有天賦的大、中學生參與,打造「數字天穹」。其三是針對非網絡安全專業人士普及網絡素養。網絡安全在以色列已經成為非技術領域的研究課題,廣泛輻射至商業、法律、刑事司法、金融等領域,因此以色列高校普遍開設了網絡素養課程,為非網絡安全專業人員提供基礎知識。例如,特拉維夫大學為法律專業的學生開展網絡安全素質培訓,確保他們在畢業後能夠獨立解決網絡安全問題。以色列政府、軍方、企業、大學和研究機構之間的合作創造了一個相互銜接、互為補充的良性生態系統,而各個主體內部又自成一體形成「小氣候」,環環相扣,共同組成以色列的網絡安全人才培養圖景。其一是軍民之間的聯動,IDF 為大多數士兵分配合適的網絡安全培訓和職業道路,而網絡安全市場顯示出對擁有軍事培訓經驗的偏好,優先選擇在技術部隊中服過役的軍人,使得以色列的軍事人力資本溢出輻射至民用網絡安全領域。其二是學術界與產業界的聯動,突出表現在以色列各大學與企業合作建立了成熟和高效的成果轉化機制,使得科學研究成果可以迅速轉化為產業發展。許多網絡安全初創企業均是源於大學旁邊的產業園,享有信貸、稅收等方面的優惠政策,幫助孵化師生研究成果。其三是政府與學界的互動,為解決初入社會工作者經驗缺乏問題,以色列政府資助成立了大量的培訓項目,如「以色列技術挑戰」(ITC)主要以編程集訓營的方式,設置約 2 至 5 個月的訓練,填補學校到就業市場間的人才需求缺口,為不同背景的人進入高科技研發領域提供機會。以色列注重人才培養形式的創新,不僅通過設置夏令營、集訓營等傳統方式,同時將遊戲、AR等新應用運用於人才培養上。此外,以色列在「在線學習」上具有豐富的經驗,各類高校均設立了在線學習中心,這極大提升了教育普及度。疫情期間,以色列各大學更是將許多精品網絡安全課程線上化,在全球備受歡迎。如特拉維夫大學的密碼學課程全球排名第一,在所有1750 門在線計算機課程中排名第六,甚至超過了普林斯頓和斯坦福等頂尖大學的課程,該大學的「解鎖信息安全」課程涵蓋了密碼學、身份識別系統安全、互聯網攻擊和防禦以及病毒和其他惡意軟件等主題,該課程目前已經被來自 150 個國家的學生所選擇。網絡空間的競爭,歸根結底是人才競爭,人才培養同樣是我國網絡安全戰略的重要內容之一。目前,我國網絡安全人才培養取得了長足的進步,但與日新月異的科技發展和日益激烈的國際競爭需求相比,我們在「產學研用」上的協同配合,領軍人物的培養,創新人才的鍛煉,網安崗位的能力適配,大學畢業生實踐經驗等方向還有進一步發展的空間。對此,我國可借鑑以色列網絡安全人才培養的經驗,從以下幾方面進一步強化網絡安全人才培養的能力和水平。
一是着力加強領軍人才的培養。實踐證明,領軍人才對人才隊伍建設具有引領帶動作用,圍繞我國網絡強國戰略、瞄準技術發展前沿和新興戰略產業,培養高層次創新型領軍人才,堅持引進海外高層次人才與自主培養開發國內人才並舉,大力集聚和培養一批海內外高端人才。二是注重跨學科和實用型人才的培養。在當前的網絡安全學科建設中,既要注重基礎理論和技術方法的培養,同時也要加強實戰型技術的實踐,培養學生具有較高的網絡安全綜合專業素質,解決好高校和科研院所培養的網絡安全基礎研究型人才和高水平應用型人才無法滿足企業需求的問題。三是進一步促進產學研密切合作,加快科技成果轉化。武漢國家網絡安全人才與創新基地自投入使用以來在促進產學研用上發揮了積極的作用,在此基礎上需進一步以網絡安全關鍵技術研發和創新產業為核心,打造世界一流網絡空間安全學院為目標,聯合企業加快網絡安全人才培養和人才輸出,加快科技成果轉化。四是優化管理,完善網絡安全人才培訓與認證,特別是要細化網安職業分類和崗位能力,建設網絡安全從業人員評價體系,強化需求導向,規範市場發展。(本文刊登於《中國信息安全》雜誌2022年第8期)
留言列表