网络空间已成为推动经济发展和社会进步的巨大力量，与此同时网络空间安全挑战日益严峻复杂，并逐渐向政治、经济、文化、社会生活和军事国防等领域传导渗透，建设网络强国的任务进入关键新阶段。在网络空间安全保障工作中，人才是最核心、最活跃的因素，“网络空间的竞争，归根结底是人才竞争”。加强网络安全人才队伍建设，确保人才队伍的能力和规模，已成为维护国家网络安全和建设网络强国任务的核心需求。

一、职业培训是保障网络空间安全人才队伍能力的重要手段

网络安全保障工作最终是通过人来落实的，加快网络安全人才队伍建设是发展一个国家网络安全保障体系必备的基础和先决条件。从业人员是网络安全保障人才队伍中的主体部分，然而网络安全人才需求迅速增长、人才缺口难以填补已成为世界各国普遍面临的急迫问题。仅年，美国约有21万网络安全岗位空缺[美国战略与国际问题研究中心（CSIS）报告《黑客技能短缺调查报告》，年7月]。据不完全统计，当前我国重要行业信息系统和信息基础设施需要各类网络空间安全人才70万，预计到年需要各类网络空间人才约万人[李建华《网络空间安全人才培养发展战略思考》，年5月]。年4月19日，习总书记在“网络安全和信息化工作座谈会”上的讲话强调：网络空间的竞争，归根结底是人才竞争。建设网络强国，要举天下英才而用之，为网信事业发展提供有力人才支撑。年7月8日公布的中网办发文[]4号《关于加强网络安全学科建设和人才培养的意见》要求建立党政机关、事业单位和国有企业网络安全工作人员培训制度，提升网络安全从业人员安全意识和专业技能。年11月7日正式通过的《网络安全法》第二十条明确要求，国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训，采取多种方式培养网络安全人才，促进网络安全人才交流。网络安全职业教育是弥补安全人才缺口，提升从业人员整体能力的重要途径，也是我国网络安全人才培养的关键环节。合格的网络安全从业人员需具备相应的网络安全知识、技能和能力，能够有效运用网络安全技术和工具，更好地进行系统的设计与开发、风险的识别与评估，以及网络安全技术的部署与实践。要保证网络安全人才具备上述能力，并保有足够的数量，需要对在职的从业人员以及面临就业的储备人才进行职业教育。持续、有效的网络安全职业教育，一方面能为国家重要行业和关键基础设施网络安全防护提供人力保障，另一方面也能有力地推动网络安全从业人员个人的职业发展。

二、注册信息安全专业人员（CISP）构建权威职业培训体系

1．为国家重要网络和信息系统安全保障培养大批人才为落实国家在网络安全人才培养方面的战略方针，满足信息化进程中网络空间安全人才需求，填补我国网络安全领域专业人才缺口，缓解网络安全从业人员整体能力无法满足国家信息保障需求的突出矛盾，大力开展网络安全职业培训有助于加快我国信息安全专业人才队伍的建设。在过去20余年的信息化进程和发展中，我国的网络和信息安全人才培养已积累了一定基础，职业教育方面基本建立了以“注册信息安全专业人员（CISP）”为主体的人才培养体系，为国家重要网络和关键信息系统安全防护领域培养了一大批急需骨干人才。年，根据中编办批准开展“信息安全人员培训与资质认证”的职能，中国信息安全测评中心（以下简称“测评中心”）在原国务院信息化领导小组办公室的指导和支持下，通过系统理论研究、选派精干力量跨国参训考试、调研了解先进国家教育培训机制，将国外培训体系与中国实际相结合，形成了具有中国特色的信息安全专业人员培养注册体系。10余年来，测评中心遵循ISO人员认证规则框架，开展信息安全专业人员培训注册工作，建立了完善的专业能力培养体系，包含安全技术（CISE）、安全管理（CISO）、灾难恢复（DRP）、系统审计（CISP-A）以及安全开发（CISD）等专业方向。目前CISP的知识体系已全面覆盖信息安全保障、技术、管理、工程，以及法律法规和标准等知识域，编写数百万字的专业教材，培养专业人才数万人，形成了相对完备的教材体系、强大的师资队伍、科学的培训方法和稳健的工作模式。这项工作为党政军机关和金融、交通、能源等重要行业以及国有大型企业输送了大量信息安全专业骨干，得到了各部委、各级政府机关以及企业和社会的大力支持和广泛认同，CISP注册证书已成为信息安全领域人才识别和能力评价的重要依据。2．持续开发社会各界急需的网络安全细分领域培训CISP职业培训体系在综合、全面的知识体系基础之上，注重把握网络安全领域的特点，积极开发新的细分领域培训，及时反映前沿技术、理念和实践。（1）安全开发人员减少软件安全缺陷与漏洞，从源头消除软件安全隐患近年来，国内外由于软件系统缺陷引发的重大信息安全事件日益增多，给相关机构和企业带来了不良社会影响和重大经济损失。软件安全开发作为一种系统化的应用安全解决方法，能将一系列安全活动、安全管理实践和安全开发工具有机地结合在一起，在整个软件开发生命周期中，从源头着手减少软件安全缺陷与漏洞，从而提高软件运行的安全性。与软件运行阶段解决安全问题相比，在软件开发阶段考虑安全问题更有效、更经济。注册信息安全开发人员（CISD）培训旨在培养软件开发人员的安全开发意识，提高安全开发水平，增强用户对软件安全威胁的认识，提升IT产品和系统的抗攻击能力。CISD培训涵盖软件安全需求分析、安全设计、安全编码、安全测试、安全部署与安全开发项目管理等多个领域的知识，全面提供了软件安全开发最新理论研究成果和产业界最佳实践经验，注重理论与实际相结合，汲取软件漏洞分析经验，通过案例分析、工具介绍等方式，帮助软件开发人员、软件架构师、软件测试人员、政府及重要信息基础设施网络技术从业人员掌握软件安全开发关键技术。（2）系统审计人员监督信息系统控制有效性，构筑网络安全第三道防线信息系统审计是国家网络空间安全保障战略中的重要环节，是网络安全实施、控制之后的第三道防线。将审计岗位和控制措施岗位独立分开，是网络安全策略中“职责分离”的基本要求。自年起，我国审计署等国家审计机关在传统财务财政收支审计、经济责任审计和重大项目审计中结合开展了信息系统审计工作。之后，我国银监会、证监会、财政部等许多行业监管部门纷纷出台信息系统审计政策，要求行业企业建立信息系统审计制度，定期开展信息系统审计。注册信息系统审计师（CISP-A）的职责是通过执行审计，以判断信息系统控制措施的设计有效性和执行有效性，并提供审计改进建议。CISP-A培训课程内容涵盖信息系统审计基础、信息系统审计方法、信息系统审计实务、信息系统一般控制和应用控制审计以及信息系统审计案例等。CISP-A培训旨在为用户组织内审部门开展信息系统审计工作的必备力量；为用户组织培养和建立信息系统审计专业人才队伍，提高信息系统审计能力和水平；为用户组织实施信息系统审计绩效考核提供了标准和依据。（3）高端战略领导型人才融合技术及管理才能，把握网络安全决策方向一支结构合理的网络安全人才队伍中必然包含高端战略领导型人才。随着政府企业信息化程度加深，大数据时代数据资源价值凸显，新技术新应用带来新风险，以首席信息安全官（CISO）或首席安全官（CSO）为代表的战略人才重要性日益突出。CSO权力与职责更加明确，管理更加制度化；其信息安全事务管理更加专业高效，也更容易整合资源；CSO从业务角度和行业发展高度出发，策略全面、缜密，不仅要处理多发的信息安全问题，更要做好风险预测和防范，能够有效降低机构的信息安全风险。国外CSO制度体系已趋完备，一半以上企业认为需要设置CSO，人才需求十分旺盛。CSO承担着战略制定、体系建设、团队建设、内部协同以及外部协调等核心职能，对其能力与任职资格也有较高要求，必须是具有战略思维、有专业技术背景、擅长表达、有沟通协调能力的领导者。建立针对CSO的培训、注册制度，有助于CSO树立大安全观念，提升网络空间战略思维；提升领导力，实现管理者向领导者转型；授之以道，更新、完善现有网络空间安全的知识体系；在案例分析、沙盘推演中强化实战能力，培养出具有全球化视野、前瞻性思维、前沿性知识、富有战斗力的网络安全管理领导者。

三、“信息安全铁人三项赛”探索安全人才培养新模式

综合来看，网络空间安全人才队伍建设虽然已有一定基础，但当前我国网络安全人才在数量、质量和结构等方面与实际需要比还存在较大差距，尚无法满足我国信息化快速发展和国际网络空间博弈的基本需求。网络空间安全技术发展和迭代速度极快，网络安全威胁和防御措施不断更新，给人才的培养带来进一步挑战。与此同时，传统网络安全教育中的不足也日益凸显，如重理论、少实践、缺兴趣、实践门槛高、与产业界脱节等。在此背景下，拓宽网络安全人才队伍入口、探索创新的人才培养模式、加快网络安全教育培训转型已刻不容缓。当前开展得如火如荼的“信息安全铁人三项赛”（以下简称“铁三赛”），正是对人才培养内容和模式的一次创造性探索和大胆尝试。由中国信息产业商会信息安全产业分会主办的“铁三赛”是以典型实际应用环境为背景的实战技能大赛，以“企业+高校”联盟战队的模式进行人才培养和选拔。“铁三赛”下设信息安全数据分析对抗赛、企业计算环境安全对抗赛、个人计算环境安全对抗赛三大赛事。其中，“信息安全数据对抗赛”侧重考查实际计算环境下各种网络流量、日志、用户行为等海量数据的分析能力，如网络流量分析等。数据赛提供真实数据环境，汇集一线安全厂商及行业专家的实践经验，紧密贴合企业用人需求，通过培训及比赛全方位考核、提升参赛选手的场景还原能力、攻击发现能力、数据挖掘分析能力，以及参赛选手应急响应能力。“企业计算环境安全对抗赛”侧重考查典型企业生产环境下的网络信息系统的安全对抗能力，如工控网络、物联网、云计算等。本赛季的“企业计算环境安全对抗赛”生产环境为工控环境。“个人计算环境安全对抗赛”侧重考查个人工作及生活环境下的网络信息系统安全对抗能力，如智能穿戴、移动终端等。作为网络安全人才培养的一次新的实践，“铁三赛”打造了一个深入产业应用的人才发现、演练和选拔的平台，亮点在于：一是全国规模，多地区联动，华北、华东、华中、华南、西南、西北、东北七大赛区覆盖了全国主要的网络安全相关高校和企业。二是内容创新，贴合实际工作环境，通过信息安全数据分析对抗赛、企业计算环境安全对抗赛、个人计算环境安全对抗赛，从不同侧面和重点考量学生的能力，避免了传统网络安全竞赛倾向于偏才、怪才的状况，能切实培养出实践能力更强、岗位知识更全面的英才，而这类人才是更符合用人单位实际需求的攻坚人才。三是模式优化，通过“校企合作”、“导师带徒”的训练营模式，由行业知名企业与相关院校达成合作意向，通过企业支持的安全训练营，对优秀的种子选手进行定向辅导和培养。产教融合、协同育人的机制将企业资源纳入到高校的网络安全学科建设过程，实现岗位技能和实践技能从高等院校到产业界的无缝对接，“打通人才培养最后一公里，开启校企融合新时代”。四、结语网络安全职业培训是一个系统工程，培训的内容、方法和模式随着网络安全技术和实践的发展，也在不断延伸和扩展。唯有以实际能力提高为导向，持续探索和创新，才能不断完善网络安全人才培养知识体系和方法机制，提升网络安全人员的职业能力和专业素养。CISP职业培训为国家网络安全保障输送了大批骨干人才，已成为网络安全人才评价的重要依据，未来将进一步夯实基础，继续为我国网络安全人员整体能力的提升提供支持。“信息安全铁人三项赛”作为人才培养的一项探索工作，将继续开辟网络安全人才选拔和培养机制的新思路，探索国家政产学研合作的人才培养新方式。