网络安全等级保护2.0视域下网络空间安全人才的培养探索

李攀攀， 朱 蓉， 翟建宏

（1.嘉兴学院信息科学与工程学院，浙江嘉兴314001；2.哈尔滨工业大学计算机科学与技术学院，哈尔滨150001）

0 引 言

为应对网络空间日益严峻的安全威胁，维护网络空间安全，网络安全等级保护系列标准于2019年12月1日正式实施，标志着等级保护进入了2.0时代［1］。等级保护2.0国家系列标准的实施，对保障和促进国家信息化发展，提升国家网络安全保护能力，维护国家网络空间安全具有重要的现实意义［2-3］。

网络空间的竞争归根结底是人才的竞争，除了制度化保障外，高层次人才的培养是维护网络空间安全的重要途径之一。但是，目前我国网络空间安全人才缺口严重［4］。为了满足新形势下网络空间安全人才的需求，我国成立了网络空间安全一级学科，高层次人才的培养已作为实施国家网络安全战略的重要组成部分，网络空间安全专业的建设迎来了快速发展的新机遇［5］。

基础设施全面的互联网化，网络空间所面临的安全威胁也愈加严重［6-7］。等级保护2.0是面向国家和社会需求的一项网络空间安全根本保障制度，网络空间安全人才的培养是维护网络空间安全的核心途径之一，在等级保护2.0视域下探索网络空间安全人才培养的模式具有现实意义［8］。本文在等级保护2.0视域下探索了网络空间安全人才培养，以期为网络空间安全人才培养体系的建设提供参考。

1 网络安全等级保护制度发展

自1994年我国首次提出等级保护制度以来，等级保护制度就伴随着国家和社会的需求逐渐发展起来，为应对网络空间与日俱增的安全威胁，2008年以后，我国推出信息安全等级保护系列标准，特别是2014年习近平总书记在网络安全和信息化工作座谈会讲话后，我国等级保护制度以及网络空间安全高层次人才的培养被提升到国家战略的高度［9-10］。我国等级保护制度20多年的发展历程及标志性事件如图1所示。

图1 我国网络安全等级保护发展历程

随着信息技术的发展和网络安全形势的变化，等级保护制度2.0在1.0的基础上，注重全方位的动态防御、主动防御、纵深防御、精准防护、整体防控、联动防控6防核心思想，实现了对云计算、大数据、物联网、移动互联和工业控制信息系统等级保护对象以及关键网络设施领域的全覆盖［11-12］。等级保护2.0国家标准的发布，对加强我国网络空间安全保障工作，提升网络空间安全保护能力具有重要的现实意义，引领了当下网络空间安全专业的人才培养的方向［13］。

等级保护2.0中所关注的网络安全细分为基础设施安全、运行安全、数据安全等方面，并明确了不同的安全保障框架和方法，这是相关支撑技术和方法在网络空间安全领域中的落地实现，也是网络空间安全人才需求的总体方向，对于网络空间安全人才的培养具有积极的引领意义。

2 网络空间安全专业人才培养中面临的挑战

学历教育是我国高层次人才培养的基础，旨在培养知识全面，能力突出的综合性人才［14］。但我国2015年才成立网络空间安全专业一级学科，学科成立时间短，专业建设尚不完善，在等级保护2.0视域下，网络空间安全专业建设与高层次人才的培养面临诸多挑战，如图2所示。

图2 等级保护2.0视域下网络空间安全专业人才培养过程中面临的挑战

（1）网络空间安全专业人才培养目标不清晰。网络空间安全专业成立短短几年，在如何培养人才以及培养什么样的人才问题上，当前高等院校、科研院所等教育机构尚无完整、清晰的认识［15］。学科专业的建设要面向国家和社会对人才的需求，人才的培养目标是学科专业是否办成功的关键评价指标之一，而现行的网络空间安全培养目标尚不能满足等级保护2.0的现实需求［16］。因此，如何科学地确定人才培养目标，是网络空间安全专业首先要面临的问题。

网络空间安全高等教育旨在培养知识系统化、技术全面化德才兼备的高层次人才，但目前的网络空间安全领域的教学目标和培养方案尚不明确，无梯度化人才的培养，不仅难以培养出具备网络空间安全宏观战略眼光的“帅才”，还难以培养出懂技术懂管理的“将才”以及技术扎实、知识全面的“兵才”。

（2）“重理论、轻实践”陈旧的专业体系建设。从等级保护2.0较强的实践性和应用性可以看出，网络空间安全专业人才的培养必须强调实践性，但我国网络空间安全专业成立时间短，网络空间安全相关专业师资严重缺乏，绝大部分师资是从计算机科学与技术、软件工程等专业转岗而来，专业建设通常借鉴传统信息类相关专业的经验，即大多强调理论教学、忽视实践课程，特别是通俗教材匮乏，培养方案缺乏针对性和实用性，导致现行的专业课程难以培养出综合专业能力强、社会实践能力和创新实践能力强的网络空间安全专业高层次人才。

（3）专业人才培养与国家和社会需求严重脱节。我国学历人才教育与社会需求、产业需求不匹配的问题长期存在，在网络空间安全专业上尤为突出。从等级保护2.0的角度来看，网络空间安全专业人才的培养与社会严重脱节主要表现在两个方面，①网络空间安全教学大纲和培养方案的滞后性，网络空间安全技术发展极快、网络空间安全的课程体系难以适用社会对网络空间安全相关人才的需求；②安全是“伴生”技术，任何新技术的出现其安全问题也会随之而来，而现行的人才培养体系中，网络空间安全学科的教学大纲、教材等更新慢，人才培养难以围绕网络空间安全的新理论和新技术展开。

综上，纵然我国目前网络空间安全专业建设与人才培养已被提升到国家战略高度，人才培养的力度也在逐年加强，但网络空间安全领域的人才培养体系仍处于探索阶段。

3 等级保护2.0在网络空间安全专业人才培养中的作用

等级保护制度伴随着信息技术的发展和国家的需求而产生和发展，等级保护2.0对我国网络空间安全人才培养具有指导性意义，如图3所示。

图3 等级保护2.0在网络空间安全人才培养的作用

（1）构建面向网络空间安全人才培养体系的基础性。等级保护制度是国家网络空间安全保障的基本制度。人才的培养以满足国家需求为第一要务，而等级保护制度尤其是等级保护2.0恰是国家网络空间安全保障及相关人才需求的纲领性文件，强调了网络空间中的主动防御、动态防御、整体防控、动态感知和综合审计等。因此，等级保护制度在构建面向国家和社会需求的人才培养体系中具有基础性作用，以等级保护2.0为人才培养的驱动力，才能明确如何培养人才这一关键性问题。

（2）网络空间安全高层次应用型人才培养的引领性。等级保护2.0明确了我国信息安全的保障体系，应用型人才的培养是实施国家网络空间安全保障的基础，因此以等级保护2.0引领我国网络空间安全人才的培养，具有极强的现实意义。网络空间安全人才的培养以等级保护2.0为基础，将人才培养向整个社会应用方面进行“横向和纵向”立体延伸，以社会发展现实需求重塑专业知识生态体系，明确专业建设的发展方向。

（3）面向社会需求网络空间安全人才培养的战略性。等级保护2.0作为我国信息安全保障的基础性文件，专业人才的培养是维护国家网络空间安全的主要抓手，因此，等级保护作为我国网络空间安全人才培养的战略性、纲领性文件，是培养面向国家需求，社会需求和行业需求高层次人才的“领航灯”。等级保护2.0针对国家重点行业的信息系统提出了总体安全保护框架，在网络空间安全教学过程中将引入等级保护2.0，将“安全思想引领、扎实技术支撑、安全运维防护”贯穿于课堂教学，等级保护2.0的技术要点和使用范围能为专业建设构建一个完整的网络空间安全保障知识体系和框架。

综上，以等级保护2.0为网络空间安全专业人才的培养目标，即实现理论宽口径、方向少而精、应用强实践的人才培养战略模式。此外，根据等级保护制度的变化，网络空间安全专业建设也应紧跟社会对人才需求的变化，并适时地做出人才培养体系的调整，使得所培养人才能够可持续地满足社会需求。

4 等级保护2.0视域下网络空间安全人才培养途径探索

基于网络安全等级保护2.0探索网络空间安全人才的培养具有现实意义，如何根据等级保护2.0构建网络空间安全人才培养体系以及在等级保护2.0视域下人才培养的细分方向等需要不断探索。

4.1 网络空间安全人才培养途径探索

等级保护2.0是现阶段国家网络空间安全领域的根本性政策，专业人才的培养是履行国家网络空间安全的重要保障之一，对网络空间安全人才的培养具有战略性指导意义，具体来讲，等级保护2.0视域下网络空间人才培养途径如图4所示。由图4可知，以等级保护2.0视域下网络空间安全人才的培养从专业知识体系入手，根据等级保护2.0的通用要求和目标出发构建专业课程群，以工程应用为人才培养的核心方向，实现多类型、多层次、多元化的人才培养目标。

图4 等级保护2.0视域下网络空间人才培养途径

（1）等级保护2.0视域下明确可持续改进的网络空间安全人才培养目标。我国网络空间安全专业成立时间短，专业培养体系不完善，人才培养目标不清晰，纵然网络空间安全人才缺口大，但人才的培养目标尚不清晰。人才培养目标是专业建设成功与否的重要因素，从人才需求与培养的角度来看，等级保护2.0的实施细则从保护对象和技术领域的角度引领了我国当前网络空间安全人才的培养方向和目标，即从通用安全以及云计算、移动互联、物联网、工业控制系统等扩展安全明确了关键基础设施对人才的需求，这些人才需求将直接转化为网络空间安全专业人才的培养目标。

（2）等级保护2.0视域下强化以实践为导向的层次化人才培养。与传统专业人才培养类似，人才培养需立体化、层次化，除了要着力培养网络空间安全领域的“帅才”“将才”和“兵才”，还要培养安全管理人员、安全运营人员、安全运维人员和安全研究人员等。

将等级保护2.0中的安全通用规则和安全扩展规则纳入人才培养过程中，专业设置过程中重视层次化、梯度化的培养方案。在专业教学中还需要选拔吸纳各类“偏才”和“怪才”，并注重因材施教，打造一支具有较高技术素养、专业配置适当的多类型、多层次、多元化的网络空间安全人才队伍。

（3）等级保护2.0视域下构建完备的网络空间安全人才培养课程体系。全面拓宽和扩展人才培养模式，全面优化课程体系的创新，真正夯实基础知识，培养知识结构优化，创新能力突出、工程实践能力强以及较高职业道德情操的网络空间安全专业人才。打破传统信息类相关专业教学的“重课堂理论、忽视动手实践”的思维定式［17］。

强化基础是学生长远发展提供终身受用的基础教育，在网络空间安全专业也是如此。传统的教学方案设置偏重于理论课时，然而，这种通过大量的课堂传授技能性知识的方式在网络空间安全专业教学中难以取得良好的效果，必须以等级保护2.0为基础，转变为围绕以学生为主体、实践教学为主导的教学理念，将传统的课堂填鸭式灌输，以等级保护实践应用为导向，大力开展应用型实践教学。

4.2 以国家需求为牵引的网络空间安全人才培养细分领域

等级保护2.0将基本要求分为安全通用要求和安全扩展要求两个部分。安全通用要求是对所有等级保护对象的基本要求，但针对云计算、移动互联、物联网和工业控制系统提出了特殊要求，成为安全扩展要求。等级保护2.0针对云计算、移动互联、物联网和工业控制系统提出了精细化的等级保护要求。等级保护2.0安全扩展应用是等级保护2.0在关键领域重点保护的信息系统，这些人才培养细分方向精准面向国家和社会的迫切需求，具体来讲，网络空间安全人才培养细分方向如图5所示。

图5 等级保护2.0视域下网络空间安全专业人才培养细分方向

精确瞄准国家重大领域需求和社会行业需求，人才培养的细分方向主要为5个方面。

（1）云计算安全。云计算经过长期的发展，已经深入到生产生活的方方面面，云环境下多租户共享场景将导致可信边界的弱化，威胁的增加［18］。等级保护2.0中对云计算环境增加了基础设施的位置、虚拟化安全保护、镜像和快照保护、云服务商选择和云计算环境管理等方面。

云计算是算力、存储等资源的提供平台，云计算利用虚拟化技术将计算、存储等形成巨大的资源池，通过互联网以统一的接口对外提供服务。随着越来越多信息系统和数据逐渐迁移到云计算平台，云计算作为支撑平台，其安全性关乎各接入的信息系统、数据的安全。因此，云计算人才的培养以构建基于云的纵深防护体系为主要抓手，是有效应对云安全威胁的主要手段。

（2）大数据安全。大数据来源、类型多样，数据增长速度快，其安全问题已经成为当前大数据领域资源开发共享程度低，数据内在价值难以被充分挖掘和有效利用的主要瓶颈之一。具体来讲，大数据安全威胁主要有两个方面，①风险成因复杂交织，大数据的安全威胁在数据产生、采集、处理、共享等各个环节；②安全威胁模式多样，既有内部泄漏，也有外部攻击，既有技术漏洞，也有管理缺陷。

从宏观上讲，大数据安全除了传统的信息采集、传输和存储安全等传统安全问题外，还有新技术所导致新的风险隐患，因此，大数据安全人才的培养过程中，大数据安全更重视大数据内容安全，特别是将大数据安全与数据安全应用深度融合，构建围绕大数据全生命周期的可管、可控、可信的数据安全体系的人才培养目标，全面聚焦大数据的的采集安全、存储安全、传输安全和分析与应用安全。

（3）移动互联安全。随着移动互联网及新一代通信技术迅猛发展，移动互联全面地向生产和生活领域渗透，移动互联应用业务越来越复杂，承载着大量的用户敏感信息，移动互联安全问题日益突出。移动互联安全扩展要求章节针对移动互联的特点提出特殊保护要求。对移动互联环境主要增加的内容如无线接入点的物理位置、移动终端管控、移动应用管控、移动应用软件采购和移动应用软件开发等。

5G技术的全面应用，移动互联会面临新一轮的安全挑战，移动互联领域面临着终端安全、网络安全、应用服务安全、内容安全、基础安全等。因此，移动互联人才的培养既要维护传统移动互联的稳定，又要从保障新一代移动互联领域的安全出发。

（4）物联网安全。5G移动物联网和传感设备的普及，物联网正逐步进入跨界融合、集成创新和规模化发展的新阶段，但安全一直是物联网实现万物互联的基础。等级保护2.0中，物联网环境安全领域主要增加了感知节点的物理防护、感知节点设备安全、感知网关节点设备安全、感知节点的管理和数据融合处理等。

物联网安全防护是实现物联网的感知层，还要解决网络接入、基础设施以及边界安全问题。物联网安全面临多方面的威胁，如终端设备安全、感知设备安全、数据传输链路脆弱性等，因此物联网安全人才的培养从智能硬件基础入手，以网络的安全互联互通为体系进行全面地防护。因此，物联网安全人才的培养需要从智能硬件、网络安全等方面入手，全面提升物联网的安全。

（5）工业控制系统安全。近年来，制造、通信、能源、市政设施等关键基础领域受到网络空间安全威胁的行业不断扩大，安全事件频频发生，造成的损失也愈加严重。工业控制系统安全主要涉及工业生产安全和网络空间安全相融合的领域，包含工业数字化、网络化和智能化等。

工业控制系统安全扩展要求中针对工业控制系统的特点提出特殊保护要求，主要增加了室外控制设备防护、工业控制系统网络架构安全、拨号使用控制、无线使用控制和控制设备安全等方面，针对工业控制系统实时性要求高的特点调整了漏洞和风险管理及恶意代码防范管理方面的要求。工业控制系统人才的培养不仅要着重于工业控制系统基础安全、工业网络安全、工业大数据安全、工业云和APP安全等，还要着重于人才培养的立体化，打通工业领域与网络安全领域长久存在的技术边界。

5 结 语

随着新技术涌现以及社会基础设施的全面互联网化，网络空间所面临的安全威胁也与日俱增，面对网络空间安全保障的重大需求，我国推出了等级保护2.0制度。等级保护2.0的全面实施是面向国家基础战略需求和市场需求的基础保障，特别是对云计算、大数据、物联网和移动互联等领域的安全保障。

没有网络安全就没有国家安全，高层次专业人才的培养是维护网络安全的重要举措，也是我国信息安全的重要保障。本文从等级保护2.0视域下，探索了网络空间安全人才的培养模式，期望早日培养出能捍卫国家网络安全的高水平卫士。