(安德万编译自卡内基梅隆大学软件工程研究所2013年8月白皮书)
[知远导读]
虽然一些指令、框架、计划和措施致力于培养、训练和留住熟练的网络安全人员,但是仍有一些不足的领域,是为了工作的重点。一个不足之处是缺乏具体工作角色任务的详细信息。许多培训框架列出的具体工作角色或功能在不同框架之间是相似的,而且是偏向政府部门。
一、引言
普遍认为网络空间是信息环境中的一个全球域。关键的服务、资源和操作取决于网络连接的可用性和可靠性;然而,对电脑系统的高度依赖也意味着极易遭受网络攻击的破坏。
近 年来,整个国家对处理重大网络攻击的信心一直很低。2010年在接受采访时,曾在多家政府机构工作过的老牌网络安全专家James Gosler警告说,这个领域缺乏足够聪明的人,以支持国家网络安全目标。他推测,在美国大概有1000人具备执行网络防御任务的高超技能。Gosler 进一步估计,为了满足美国政府机构和企业的需求,对熟练的网络安全专业人员需求将增长到20000至30000人。
如果与其他国家比较,特 别是与中国比较,情况变得更加复杂。中国已经把培养网络安全专家作为一个高度优先的事项,而这些重点工作也都产生了影响。根据Verizon公司的 《2012年数据失窃调查报告》(Data Breach Investigation Report 2012),研究人员调查了在2012年发生的47000多起安全事故,其中21%的事故是由附属于国家的黑客执行的间谍任务,这些间谍活动的96%可以 被追踪到中国。
由于刺探关键基础设施行业计算机网络的漏洞产生了严重的影响,因而,培养能够在网络空间进行防御和进攻作战的一支训练有素的网络员工队伍就非常重要了。
为 了支持网络部队战备计划,确立了多个网络人员培养计划。这些培训计划支持了基思·亚历山大将军的愿景和战略路线图。亚历山大呼吁要建立通用的高要求标准, 包括对参谋人员的个人和集体培训,对训练有素的参谋人员执行使命的能力进行评估。他说:“无论我们在一所学校或在多个学校完成我们的网络训练,训练都将执 行一个标准。”
下面具体论述几个网络人力培养和保留计划,详细介绍了它们通过面向特定任务的培训标准,支持创建一个强大的网络安全队伍的方法。
二、培训活动
2.1国防部指令DoDD 8570.01《信息保障培训、认证和人力资源管理》
首 批网络人力资源培训计划之一是国防部指令8570.01信息保障培训、认证和人力资源管理倡议。这个举措的目的是为国防部信息保障人员队伍培训、标准和管 理企业级解决方案提供基础。这份指令要求信息保障技术人员(IAT)和管理人员(IAM)得到培训,并通过基准要求认证。该政策适用于美国国防部执行信息 保障功能的所有组织机构。
为这个指令提供指南和程序支持的手册DoD 8570.01 M在2005年12月被批准,最新版本是第三次修订版,颁布于2012年1月。为了解决人员管理问题,这份指令要求所有信息保障岗位要明确化,并配备合格的人员。
为了达到这个目标,所有信息保障岗位被归类为技术(IAT)、管理(IAM)、系统架构和工程(IASAE)、或计算机网络防御服务提供商(CNDSP),在每个类别中设定一定的技能级别或专业要求。个人必须获得某个类别的认证资格,然后担任相应的职位。
目标是建立一个信息保障人员队伍,让他们有知识和技能保护国防部系统和网络空间的信息资产。掌握了适当技能的合格人才才能履职。国防部首席信息官办公室通过国防人力资源认证申请(DWCA)数据库确认、监控、并报告信息保障人员的认证情况。
2.2国防部指令DoDD 8140《网络空间人员管理政策更新》
DoDD 8140《网络空间人员管理政策更新》将取代DoDD 8570。预计DoDD 8140将在2014年1月颁布,将对网络安全人力资源进行综合评估,包括执法、情报、以及网络运维人员。
其 他计划包括“信息保障人员改进计划”(InformationAssurance Workforce Improvement Program),以目前的人员结构为基础,并整合“网络安全教育国家倡议”(NICE)框架的技能和功能以及美国网络司令部人员队伍的任务要求。
DoDD 8140的目标是通过一个全面的人力资源管理视角,理顺合格信息保障人员的发展通道。执行网络空间功能的职位将被记录人力资源系统中,而人员的资格也将被保存在记录系统中。这一政策的遵守情况将纳入国防部审查计划。
2.3美国网络司令部联合网络空间训练与认证标准(JCT&CS)计划
美国网络司令部三个作战线:进攻性网络作战、防御性网络作战和国防部信息网络运维),网络力量必须根据三个作战线进行训练和做好作战任务准备。美国网络司令部通过联合网络空间训练和认证标准计划指导其训练和培养行动。
联 合网络空间训练与认证标准计划的目标是让部队得到训练和做好作战准备,以解决网络空间的挑战。为了达到这个目标,培训方案要求为个人和团体设立通用的、严 格的标准,对培训实施一流的管理,并准确地评估部队执行任务的能力。该计划旨在建立联合训练和认证标准,以支持亚历山大的构想。
在网络司令 部及其构成部队的作战环境和任务要求下,联合网络空间训练与认证标准完成联合训练和认证标准的开发。为个人和团体都规定了培训标准。执行这个计划的联合程 序和准则参照了联合训练系统(Joint Training System)的四个阶段:需求、计划、执行和评估。联合训练系统框架为指挥官提供了一个一体化流程,用来评估司令部的使命,并确定完成这些使命所必要的 任务。这些流程旨在通过把计划、培训、评估和任务要求联系起来,提高指挥官的联合战备(joint readiness)。
创建完成任务所 需的基本任务、条件以及衡量标准的优先级列表,这个列表被称为联合使命基本任务列表(Joint Mission Essential Task List)。联合使命基本任务列表有助于形成使命准备的答案:要完成这个使命,这些组织必须在这些条件下完成这些任务,并且要满足这些具体标准。
完 成网络司令部使命的能力开始于网络空间作战的基本知识。建立在现有计划的基础上,网络司令部开发了一个网络工作角色列表(a list of cyber work role),包括执行三个作战线中的工作角色所要求的任务和技能集。任务和技能集就构成了基准。能力评级反映了知识、技能和能力(KSAs)与训练和工作 要求的相关程度。知识、技能和能力是具体化任务绩效水平的标准。个人必须获得完成既定岗位角色任务(work-role task)所需的最低熟练水平。
在 联合使命基本任务列表和基线标准中规定的要求的基础上,包括观众、目标和方法的训练计划基础得到确定。执行计划,以实现基于要求的培训目标,并收集反馈信 息,作为评估阶段以及为下一个训练周期规划的信息输入。一旦训练能力评估(Training Proficiency Assessment)完成,评估阶段就完成了训练周期。训练能力评估是从任务绩效观察(Task Performance Observations)、训练能力鉴定(TrainingProficiency Evaluations)收集信息和观察真实世界的作战。当为下一个训练周期的规划阶段提供了经验教训,训练能力评估和任务训练评估(Mission Training Assessment)就进入了联合训练信息管理系统(JTIMS)。
2.4网络安全教育国家倡议(NICE)
建立网络安全教育国家倡议以支持国家网络安全综合计划(CNCI)——这是为确保美国网络空间安全而采取的一系列举措(特别是,国家网络安全综合计划计划8呼吁扩大网络教育、宣传和专业人才培养)。国家网络安全综合计划有三个目标。
第 一个目标是提高广大民众的网络空间风险意识。第二是拓宽网络安全人力资源储备,重点是学生。第三个目标是培育具有全球竞争力的网络安全人员队伍。这些目标 又分成几个部分,每个部分由一个或多个联邦机构领导,并且为了满足这些目标已经确定了具体目标和战略。这里重点放在第三个目标。
在合适的时 间和地点有掌握了合适技能的合适人才(统称为有效人力资本规划(effectivehuman capital planning))是网络安全队伍获得全球竞争力的一个要求。由于网络安全行业仍在发展,该领域的许多方面还没有确定,人员队伍的知识和技能很薄弱。国 家网络安全综合计划通过构建一个建立强大的和有才华的网络队伍的基础来实现第三个目标。这个基础将通过建立训练和职业发展的标准和策略、预测人力资本需 求、制定网络安全工作角色分类的机制而建设。
第三个目标的第一个目的是开发和采用国家网络安全人力资源框架。这个框架在2012年发布,解 决了术语标准、网络人员职位描述和需求的知识、技能和能力。在该框架中,使用类别和专业领域对工作进行分组。该框架旨在确定网络安全工作,但是有足够的灵 活性,无论组织结构或岗位名称,都允许机构按照人员规划需求做出调整。
网络安全教育国家倡议包括7大类别和31个专业领域。人事管理办公室(OPM)将为这些类别和专业领域制定对应的代码。这些代码将被用来统一地识别网络人员队伍,确定能力基线,评价人员需求,确定训练不足,并帮助有效地招聘和保留熟练的劳动力。
第二个目的是开发预测网络安全人员的工具。这些工具将收集数据,以评估国家网络安全人员目前的能力。这些数据将被用于表征网篮球人员特点以及研究、开发和预测未来需求的基线。
第 三个目的是建立网络安全训练和专业人员培养的标准和指南。对于确保网络人员具备履行其职责所需的适当的技术技能和资源而言,持续的、专业的培训是必要的。 这一目的将通过在线资源为网络安全专业人士提供与网络安全教育国家倡议中的专业领域相吻合的培训机会信息而实现。这个在线资源也将有助于识别专业领域需求 和培训机会之间存在的差距。在一个专业领域中的无效训练可能会增加网络人员战备的风险;为这些差距制定一个培训计划将有助于缓解这些风险。
2013 年2月,美国国土安全部推出了一个支持网络安全教育国家倡议(特别是第三个目标)的工具。网络安全职业和研究国家倡议(National Initiative for Cybersecurity Careers and Studies)是一个全面的、公开的在线资源,包含网络安全教育、训练和职业信息。使用专业领域、技术熟练程度以及其他条件对信息进行分类和检索。
第四和第五个目的是确定最佳做法,以帮助招募和留住网络安全专业人员,并评估网络安全队伍的专业化。
2.5美国国土安全部网络技能特别工作组报告
除 了以前发布的在线资源,国土安全部公布了2012年秋季网络技能特别工作组报告,(国土安全咨询委员会,2012)。美国国土安全部部长珍妮特·纳波利塔 诺认识到国家特别需要训练有素的专业人员以处置网络攻击,组建了特别工作组。该报告是这个特别工作组的调查结果。纳波利塔诺说,网络安全是我们面对的最变 化多端的风险;她相信通过实施报告中的建议,联邦机构和私营部门机构将有熟练的网络安全人员,以成功预防、检测和响应网络攻击。
组建网络技术特别工作组时获得两大授权:
1、确定国土安全部如何最好地培养一个能够处理网络安全挑战的网络安全队伍。
2、详细研究国土安全部如何招募和留住人才。
美 国国土安全部网络技术特别工作组根据五项目标给出了11项建议。其中一个目标是制定一个关键任务网络安全任务权威清单。网络技术特别工作组报告中确定的任 务是特别工作组成员认为美国国土安全部为确保安全、有弹性的基础设施必须填补的技能差距。任务关键工作清单、它们要求的任务、以及不能执行这些任务的后果 将保持持续更新,根据威胁形势不断做出改变。
报告中列出了十个关键任务技能,被定为是美国国土安全部的具体任务。但是,要利用网络安全教育国家倡议框架及其任务和技能目录,国土安全部将澄清框架中的功能角色,定义美国国土安全部的具体工作要求,并把这些角色归类为关键任务型还是非关键任务型。
如 果这11项建议实现了,还要满足的其他目标包括对具备关键任务网络安全技能的人员进行培训、技能考核、招聘和留住的具体细节。最终的目标要求建立一个网络 人才储备库(CyberReserve),其中将包括美国国土安全部维护的受保护信息库存——关于在每个确定的关键任务技能方面掌握基本的和熟练的技能水 平的个体数据库。这些有价值的信息可以让国土安全部在紧急情况下迅速填补具体的工作需要和快速找到人才。
2.6国防信息系统局侧重于作战的网络训练框架(DISA Operationally Focused CYBER Training Framework)
国防信息系统局的战场安全行动办公室在2012年春季发布了侧重于作战的网络训练框架。这个框架类似于其他使用了基于角色的训练和评估办法的训练活动。
国 防信息系统局计划的基本原则包括基于针对特定任务的资格认证而不是广泛的商业认证,为基于角色的工作人员认证定制训练战略路线图。工作人员认证是获得保护 网络空间和在网络空间作战的必要技能的基于角色的合格操作员的必要条件。国防信息系统局框架使用联合网络空间训练与认证标准进行基准工作角色界定 (baseline work-role definition),使用网络安全教育国家倡议框架进行联邦政府和国防部基准工作角色界定。
国 防信息系统局基于角色的训练和评估的实施计划开始于使用联合网络空间训练与认证标准、网络安全教育国家倡议框架、以及创建一个角色—工具训练矩阵 (roles-and-tools training matrix)需要的角色相关任务和知识、技能和能力来界定工作角色。根据不同的任务,角色需要工具和功能训练。担当角色的个人需要进一步训练,以学习如 何与其他角色对接,以及他们的工具如何与其他工具对接。这种训练被定义为工具和功能训练(tools and
functions training),专注于角色—工具、工具—工具、角色—角色互动。
国 防信息系统局建立了一个基于角色的课程网站,用户可以找到特定角色方面的培训资源。该信息是根据专业领域加以组织的。学员可以找到一个特殊专业角色中的任 务所需要的具体知识、技能和能力。培训提供者可以使用该网站来满足这些要求。未来的计划包括培训—知识、技能和能力映射,并使用这种映射创建个人培养计划 (IDP)。
展望未来,国防信息系统局还计划提供一个战术、技术和程序(TTP)模板和存储库,以更好地组织和定义TTP、以及任务的技能 和角色等级。国防信息系统局还计划在国防部网络防御大学学院(DoDCyber Defense University Academy)的基础上,与教育和业务领导协调,将专攻基于角色的网络培训和评估产品以及资格标准。
2.7计算机应急响应分队培养网络安全人力资源的方法
卡 内基梅隆大学软件工程研究所计算机应急响应分队部门(CERTDivision of the Carnegie Mellon® Software Engineering Institute),是一个由美国国防部赞助的联邦政府资助的研发中心,把人力资源培养分为连续的几个阶段。通过这些阶段,逐步积累个人工作职责方面的 知识、技能和经验。三个主要阶段之后是一个评估阶段,以评估个人对训练的理解。
第一阶段,知识建造,专注于为学习者传授基本技能和概念。这种教学模式通常是传统的以教师为主导的课堂;然而,由于成本效益和时间效益,在线学习正变得越来越流行。
第 2阶段,技能培养,通过以任务为重点的动手练习强化前一阶段学到的概念。这个阶段是专业技能培养的一个组成部分,因为个人把知识转化应用能力。这些演习重 点放在个人技能上,并在无干扰的环境中进行。一旦个人已经完成了这些练习,可以进入经验建造阶段,进一步完善自己的技能。
第3阶段,经验建造阶段,通过把它们应用到真实世界,以及在职运用以最大化个人的工作绩效,完善知识和技能。不在受控的环境中进行,这些方案迫使个体在充满更多复杂性和不熟悉的情景中成功地操作。
第4阶段,评估阶段,评估通过训练实现的知识理解和技能熟练度。评估有助于确定接下来的个人训练周期,也是机构更好地了解员工的优势和额外培训需求的机制。
计 算机应急响应分队的培养方法逐步建立个人的能力,充分利用网络平台传授知识、技能和经验。最后,该方法为组织机构提供了一个可以根据自己的需要定制的、全 面的、有针对性的和具有成本效益的训练选项。计算机应急响应分队部门开发了两个具体网上平台,支持这一训练方法,而且联邦政府网络工作人员目前正在使用: 用于知识和技能建造的FedVTE,以及用于获取体验和做出评价的STEPfwd(原为XNET)。这些平台将在本文稍后讨论。
三、网络人员训练与培养的资源
近年来,建立了一些网络安全培训和人员培养举措,以支持前面提到的指令和框架,并有助于网络安全队伍的进步。以下评估的是其中一些方案和举措。
3.1国家卓越学术中心
美 国国土安全部的另一个项目是信息保障教育、教育和培训、以及信息保障研究国家卓越学术中心,这是与美国国家安全局联合主办的。2012年这些中心共计 166个高等教育机构,被认为是相关领域的领导者。这些课程的毕业生往往成为网络高手,能够保护国家信息基础设施。这些项目的目标是促进信息保障学科,培 养越来越多的受过训练的专业信息保障人员。可在美国国家安全局网站上找到卓越学术中心(CAE)和它们提供的课程名单。
3.2面向军队的网络兵团奖学金(CyberCorps Scholarship forService)
“面 向军队的网络兵团奖学金”计划是为了帮助联邦政府招募、培训和留住那些可以保护关键业务的、合格的、熟练的网络安全专业人士。该计划提供奖学金给符合条件 的大学生,承担得到认可的高等教育机构的全部成本。作为回报,接受赠款的人在毕业时在政府机构实习,然后在政府机构工作,期限相当于其接受奖学金的长度。 这个项目由美国人事管理办公室管理,由美国国家科学基金会(NSF)资助奖学金。
这个项目每年有150至160名学生毕业,并且项目在继续扩展。预算从2011年的1500万美元增加到2012年的4500万美元。
3.3联邦虚拟训练环境
联 邦虚拟训练环境(FedVTE)是国土安全部在国防信息系统局和美国国务部的支持下管理的一个在线培训和学习管理系统。2005年卡内基梅隆大学软件工程 研究所开发了虚拟训练环境(VTE),以解决国防部信息安全方面的训练和能力建设挑战。2012年,虚拟训练环境进行了重新设计以增强功能,以更好地满足 网络人员培训要求,并让FedVTE服务于联邦雇员。
由于国防部人员的高度流动性,现有的基于课堂的培训方案未能充分教授学生管理和维护政 府网络。卡内基梅隆大学软件工程研究所把录制的课堂教学转换为在线格式,允许全球各地的学生根据自己的时间获得培训材料。培训材料包括信息保障和网络安全 课程、强化的视频演示、以及供学生运用在虚拟环境中学到的经验教训的动手实验室、以及综合测验的小测验。
FedVTE服务于数以万计的政府和军队用户,每月超过30000个小时的培训材料被访问。该系统可节省数百万美元的旅费和培训费用。
3.4 STEPfwd
STEPfwd 吸收了卡内基梅隆大学软件工程研究所计算机应急响应分队部门实验网络XNET的功能。这些功能包括网络模拟,可以模拟几台服务器到上千个网络节点。 STEPfwd通过实践训练平台和绩效评估数据,支持卡内基梅隆大学软件工程研究所计算机应急响应分队部门网络人员培养的实验和评估阶段。STEPfwd 实验网络是一个隔离环境,可承载数百种系统和相关的网络,模拟真实世界的环境。训练的各方面都可以定制,以复制业务网络。
美国网络司令部试 验网络是网络司令部与SEI合作开发的,是根据网络司令部对XNET的定制化。这个实验网络是为军事网络训练开发的最大的、最逼真的网络系统。部分原因是 有7500台虚拟服务器,因而非常逼真,而且演习管理员还知道实时状态和可以进行事后分析。网络司令部的XNET被用于大规模的、有组织的军事网络防御训 练活动,如“网旗”(CYBER FLAG)和“网络卫士”(Cyber Guard)。
2012年3月在众议院军事委员会新兴威胁和能力 小组委员会做证词时,基思·亚历山大谈到网络司令部的第一次重大战术演练,称为“网旗”。这次大规模的、持续多天的演习活动把操作员放在现实的、模拟的网 络作战演习中。演习引起了极大的关注,据亚历山大将军,“网旗”不纯粹是一次演习;获得的第一手经验教训在日常网络防御中得到了应用。
3.5各州的举措
几个州(美国佛罗里达州、马里兰州和德克萨斯州)在州的层面采取了网络作战行动。州和地方政府与大学、公共部门和私营行业合作,提高网络安全意识、开发计划。它们提供的资源除了提供网络犯罪和攻击方面的教育和宣传资料,这些州还把自己定位在成为网络安全行业的领导者上。
得 克萨斯州投资开发了一个全面的方法,以提高网络安全操作和教育的基础设施,通过多种方法增加州在网络安全行业的竞争力。2011年,得克萨斯州州长签署了 一项法案,授权建立了德克萨斯州网络安全、教育和经济发展委员会。政府、学术界和产业界代表组成委员会,分析得克萨斯州目前的网络态势,在2012年准备 一份调查结果和建议报告。
该委员会发现,得克萨斯州已经有了许多优势,将有助于使德克萨斯州成为网络安全行业的一个领导者;未来需要一个框 架把这些优势整合在一起。其中一个优势是圣安东尼奥合作模型——当地政府、军队、大学、当地的中学校和企业合作,提高网络安全教育和宣传。在圣安东尼奥有 NSA /DHS在得克萨斯州设立的12家信息安全保障卓越学术中心中的3家,而且全市有60000名技术工人,是全国最大军事设施的驻地,有近80000名国防 部人员(CyberCityUSA.org 2013)。
德克萨斯人的教育抓得很早。面向K-5学生的网络意识课程正在实施,而高中也有以 网络为重点的项目。阿拉莫学院(Alamo Academies)——一个面向得克萨斯州高中生的项目——是通过产业界、当地政府、公立学校系统和社区学院的合作伙伴而创建的。阿拉莫学院的目标是让 学生较早接触网络有关的研究,加快未来可能成为网络队伍成员的学生的学习。
这些州的网络人员培养计划是为了在本地区培养各个行业和公众的网络意识。这些州将能够吸引更多的企业和网络专业人士,并改善他们的地方经济。不过,虽然项目是区域性的,但由此产生的效果——得到更好的训练网络人员——将产生全国性的影响。
四、接下来的行动
虽然一些指令、框架、计划和措施致力于培养、训练和留住熟练的网络安全人员,但是仍有一些不足的领域,是为了工作的重点。
一 个不足之处是缺乏具体工作角色任务的详细信息。许多培训框架列出的具体工作角色或功能在不同框架之间是相似的,而且是偏向政府部门。大多数工作职能信息中 都缺少这项工作角色要执行的特定任务的详细信息。一个工作岗位通常需要履行什么特别的职责,而且需要什么技能水平以有效履行这些职责呢?
一旦特定的任务得到定义,包括熟练水平,那么就可以更好地设计培养的目标和职业培训计划。了解了胜任工作所必需的技能,个人以及组织将能够更有效地进行针对性的训练和技能提升。
‘