新加坡網(wǎng)絡(luò)安全人才培養(yǎng)模式研究及啟示

◎戰(zhàn)略支援部隊信息工程大學 盧青 曾劍飛

國際電信聯(lián)盟《2017年全球網(wǎng)絡(luò)安全指數(shù)》調(diào)查報告顯示，新加坡在193個國際電信聯(lián)盟成員國中，網(wǎng)絡(luò)安全指數(shù)排名第一。然而，新加坡并非網(wǎng)絡(luò)攻擊的絕緣地，一直以來都是網(wǎng)絡(luò)攻擊的重點目標。2017年5月，美國云端服務(wù)公司阿卡邁技術(shù)公司做了調(diào)查統(tǒng)計，新加坡在2017年第一季度共遭到450萬次互聯(lián)網(wǎng)應(yīng)用攻擊，被列為全球遭受攻擊最多的10個國家之一。新加坡致力于建設(shè)成為一個“安全的網(wǎng)絡(luò)國家”，把網(wǎng)絡(luò)安全定調(diào)為“國家議題”。早在1997年，新加坡就成立了國家計算機應(yīng)急反應(yīng)隊伍；2005年發(fā)布國家首個《信息安全總體規(guī)劃（2005—2007）》；2008年和2013年，先后推出第二、第三部《信息安全總體規(guī)劃》；2009年成立資訊通信科技安全局，主要負責監(jiān)管和保障關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的網(wǎng)絡(luò)安全問題；2011年4月13日舉辦首個網(wǎng)絡(luò)安全意識日活動，旨在提升全民網(wǎng)絡(luò)安全意識；2015年成立網(wǎng)絡(luò)安全局（CSA），統(tǒng)籌政府各部門的網(wǎng)絡(luò)安全事宜；2016年推出《新加坡網(wǎng)絡(luò)安全策略》；2017年10月，發(fā)布《網(wǎng)絡(luò)安全法案2017》（草案）。隨著網(wǎng)絡(luò)安全威脅的每一次升級，新加坡的網(wǎng)絡(luò)安全策略也不斷升級，歷時二十余年錘煉，其取得的成就得到國際社會認可。網(wǎng)絡(luò)空間的競爭，歸根結(jié)底是人才競爭。新加坡積極促進政府機構(gòu)、學術(shù)界、研究機構(gòu)和企業(yè)的相互合作，實現(xiàn)效能最大化，持續(xù)加大網(wǎng)絡(luò)安全人才建設(shè)力度。

一、政府部門積極推進

在新加坡的互聯(lián)網(wǎng)發(fā)展與管理中，政府一直處于主導地位。新加坡政府認為，作為國家利益和公眾利益的代表，政府必須積極介入互聯(lián)網(wǎng)管理。新加坡政府充分發(fā)揮公共政策和基礎(chǔ)設(shè)施領(lǐng)域領(lǐng)導者的職能作用，從國家層面規(guī)劃人才培養(yǎng)計劃，推動網(wǎng)絡(luò)安防研究工程建設(shè)，與專業(yè)機構(gòu)強強聯(lián)合打造專業(yè)人才隊伍。

（一）不斷推新培養(yǎng)計劃

新加坡政府推出一系列政策計劃，吸引、培訓與保留網(wǎng)絡(luò)安全專業(yè)技術(shù)人才，為其搭建清晰的職業(yè)途徑。例如，新加坡網(wǎng)絡(luò)安全局和資訊通信發(fā)展管理局（IDA）于2016年合力推出“網(wǎng)絡(luò)安全技術(shù)及伙伴計劃”，擁有三年工作經(jīng)驗的資訊通信科技職員，可通過參加為期六個月的培訓，轉(zhuǎn)而從事網(wǎng)絡(luò)安全方面的工作。同年10月，新加坡網(wǎng)絡(luò)安全局與國際信息系統(tǒng)安全認證聯(lián)盟（Information Security Certication）簽署了一項三年合作備忘錄，以解決各領(lǐng)域缺乏網(wǎng)絡(luò)安全人才問題。再如，2017年3月出臺的國家級“網(wǎng)絡(luò)安全專才服務(wù)計劃”，允許加入計劃的公共服務(wù)人員可在通信、銀行與金融、能源等11個關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域，以及不同的公共機構(gòu)任職，也可選擇在政府部門內(nèi)部，深化網(wǎng)絡(luò)安全設(shè)計咨詢、網(wǎng)絡(luò)驗證等方面的專業(yè)技術(shù)能力，該計劃的實施將使新加坡政府在近年內(nèi)，將公共領(lǐng)域負責網(wǎng)絡(luò)安全的工作人員數(shù)量擴充至600余人。又如，2018年3月，政府推出名為Innovation Cybersecurity Ecosystem(簡稱ICE71)的孵化計劃，這是新加坡首個專門著重在網(wǎng)絡(luò)安全領(lǐng)域的孵化計劃，由新加坡網(wǎng)絡(luò)安全局資訊和通信媒體發(fā)展局聯(lián)合資助，計劃兩年內(nèi)為100人提供培訓，孵化起步公司40家，以鞏固新加坡在網(wǎng)絡(luò)安全領(lǐng)域的優(yōu)勢。

（二）重點建設(shè)研究工程

加大投入，建設(shè)網(wǎng)絡(luò)安全實驗室和專業(yè)研究學院。2014年，隸屬內(nèi)政部的新加坡資訊通信科技安全局，與淡馬錫理工學院合作成立“先進網(wǎng)絡(luò)安全培訓中心”，為攻讀網(wǎng)絡(luò)與數(shù)碼安全等相關(guān)科系的學生提供實踐平臺，使其通過真實的訓練強化網(wǎng)絡(luò)防衛(wèi)技能，除了淡馬錫理工學院學生外，其他高等教育學府攻讀網(wǎng)絡(luò)安全的學生也可使用該項設(shè)施。新加坡網(wǎng)絡(luò)安全局于2016年3月成立網(wǎng)絡(luò)驗證室（Cyber Forensics Laboratory），每次可容納多達80名網(wǎng)絡(luò)安全分析師，以便應(yīng)對可能在同時間爆發(fā)的多起網(wǎng)絡(luò)攻擊事件，除了能應(yīng)對網(wǎng)絡(luò)攻擊，還能對手機和平板電腦等移動設(shè)備系統(tǒng)進行分析。2017年3月，新加坡政府投資 840 萬新元（約合 593 萬美元）在新加坡國立大學成立網(wǎng)絡(luò)安全實驗室，為學術(shù)及產(chǎn)業(yè)相關(guān)人士的網(wǎng)絡(luò)安全研究和測試提供支持。該實驗室支持多個科研機構(gòu)和業(yè)界人士的項目，主要研究軟件安全性、云數(shù)據(jù)存儲和城市交通系統(tǒng)問題；能夠模擬 1000 余臺計算機同時執(zhí)行多項制造網(wǎng)絡(luò)安全事件的任務(wù)，擁有大型惡意軟件數(shù)據(jù)庫，可用于研究和教育等用途；能為網(wǎng)絡(luò)安全測試和數(shù)據(jù)提供即用型工具，便于研究人員利用這些工具來支持其研究；同時，為學生和行業(yè)專業(yè)人士提供系統(tǒng)漏洞的實踐培訓。這一國家級項目建設(shè)意在推動網(wǎng)絡(luò)安全研究工作及能力建設(shè)，同時，加強數(shù)字基礎(chǔ)設(shè)施建設(shè)。在網(wǎng)絡(luò)威脅日趨復雜的趨勢下，為培養(yǎng)新一批網(wǎng)絡(luò)安全專家，新加坡網(wǎng)絡(luò)安全局于2017年9月開始建設(shè)網(wǎng)絡(luò)安全學院，旨在為負責政府和關(guān)鍵信息基礎(chǔ)設(shè)施（Critical Information Infrastructure，簡稱CII）的工作人員提供培訓，培訓課程主要集中在專項領(lǐng)域。

（三）大力拓展技術(shù)合作

與世界先進技術(shù)力量合作，實現(xiàn)強強聯(lián)合。新加坡網(wǎng)絡(luò)安全局與國際信息系統(tǒng)審計協(xié)會（ISACA）展開合作，于2017年9月簽署了諒解備忘錄（MOU），共同提高新加坡的網(wǎng)絡(luò)安全能力和專業(yè)人員隊伍。利用ISACA的網(wǎng)絡(luò)安全Nexus（CSX）培訓平臺，提升專業(yè)人員的實踐技能；雙方還在物聯(lián)網(wǎng)、人工智能和機器學習等新技術(shù)領(lǐng)域開展合作研究，共享資源；ISACA擁有專業(yè)的認證資質(zhì)和評估模型（CMMI），用于衡量組織內(nèi)的流程成熟度和人員能力，科學指導業(yè)務(wù)開展。前文所提的ICE71孵化計劃，合作伙伴是歐洲史上首個面向網(wǎng)絡(luò)安全領(lǐng)域、以英國倫敦為基地的網(wǎng)安創(chuàng)新公司CyLon(Cyber London的縮寫)。雙方重點在管理安全服務(wù)、咨詢服務(wù)、物聯(lián)網(wǎng)保安、身份驗證和通行管理等5個領(lǐng)域開展合作研究，在這項合作下，雙方提供一系列的開放學習平臺，通過“五天前期孵化訓練營”“三個月孵化計劃”“創(chuàng)新一個基地”三個步驟，推動網(wǎng)絡(luò)安全起步公司進軍亞太區(qū)市場。

二、院校機構(gòu)合力發(fā)展

新加坡強調(diào)，大學在國家的研發(fā)體系中處于中心位置，掌握新興前沿技術(shù)，擁有專業(yè)師資教學力量，在培養(yǎng)人才方面擔負重要職責。

（一）加強專業(yè)學科建設(shè)

除高等院校陸續(xù)開設(shè)網(wǎng)絡(luò)安全相關(guān)專業(yè)，新加坡各院校還在網(wǎng)絡(luò)安全方面都設(shè)置了自己的專屬領(lǐng)域。隸屬總理公署的新加坡國立研究基金會撥款資助成立新加坡網(wǎng)絡(luò)安全聯(lián)合會（Singapore Cyber Security Consortium），由新加坡國立大學領(lǐng)導，聯(lián)絡(luò)各大專學府，分成金融科技、軟體安全和移動通訊安全等六個專注在不同領(lǐng)域網(wǎng)絡(luò)安全需求的小組。新加坡科技與設(shè)計大學專注于網(wǎng)絡(luò)物理系統(tǒng)，該大學于2017年9月新開設(shè)了網(wǎng)絡(luò)安全防御與設(shè)計碩士課程，針對金融、通訊、國防和能源等領(lǐng)域，培訓相關(guān)網(wǎng)絡(luò)安全人才。新加坡管理大學資訊系統(tǒng)學院于2017年8月更新課綱，本科生從三年級起就可以專攻金融科技或移動互聯(lián)網(wǎng)安全等新興領(lǐng)域。以計算機專業(yè)著稱的新加坡私立大學“英華美學院”也開設(shè)網(wǎng)絡(luò)與計算機安全高級大專課程，主要培養(yǎng)防止電腦入侵、侵犯信息資產(chǎn)以及網(wǎng)絡(luò)管理等領(lǐng)域的高級人才，畢業(yè)后可從事網(wǎng)絡(luò)管理員、IT安全專家、系統(tǒng)管理員、網(wǎng)絡(luò)專家、網(wǎng)絡(luò)及數(shù)據(jù)通訊分析師等職業(yè)。此外，新加坡網(wǎng)絡(luò)安全局協(xié)議南洋理工學院和新加坡理工大學兩大學府，共同開發(fā)成體系的網(wǎng)絡(luò)安全人才培訓課程，研討培訓方案。

（二）注重多方技術(shù)合作

新加坡院校機構(gòu)開展網(wǎng)絡(luò)安全培訓尤其注重向外合作，強強聯(lián)合，吸取先進技術(shù)。在院校與院校合作方面，新加坡南洋理工大學和以色列本古里安大學于2017年2月簽署聯(lián)合研究協(xié)定，由南洋理工大學網(wǎng)絡(luò)安全研究中心負責領(lǐng)導，借助兩所大學各自在硬件和軟件研究上的優(yōu)長，共同研發(fā)新型網(wǎng)絡(luò)安全技術(shù)，以對抗高端網(wǎng)絡(luò)威脅（Advanced Persistent Threat）。該合作項目獲得新加坡國立研究基金會資助，通過全國網(wǎng)絡(luò)安全研發(fā)計劃發(fā)放資金，加上兩所大學撥款，合作項目所獲資金總額達300萬元。在院校與技術(shù)公司合作方面，新加坡理工學院的網(wǎng)絡(luò)安全學院與eCop、歐盟理事會、Ixia公司和新科電子（訓練與仿真）于2013年10月共同建立網(wǎng)絡(luò)靶場，旨在通過網(wǎng)絡(luò)軍事戰(zhàn)爭游戲?qū)T專業(yè)人士置身于真實的攻擊場景中，目的是幫助他們開發(fā)和磨練自己的網(wǎng)絡(luò)安全技能。Ixia 公司的BreakingPoint Storm項目在世界各大網(wǎng)絡(luò)靶場廣泛使用(如美國國防部高級研究計劃局國家靶場)，具備產(chǎn)生數(shù)百萬用戶互聯(lián)網(wǎng)規(guī)模的場景和流量的能力，能提供真實的仿真環(huán)境。企業(yè)也可以利用網(wǎng)絡(luò)靶場來測試和驗證他們的系統(tǒng)，以確保他們的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)和運營擁有更大的彈性。隸屬新加坡網(wǎng)絡(luò)安全局的網(wǎng)絡(luò)安全學院與美國網(wǎng)絡(luò)安全公司FireEye展開合作，該公司能夠提供特別訂制的培訓課程，包括如何緊急應(yīng)對網(wǎng)絡(luò)攻擊以及分析惡意軟件，提高人員技能水平,更好地應(yīng)對網(wǎng)絡(luò)襲擊，協(xié)助政府機構(gòu)及關(guān)鍵信息基礎(chǔ)設(shè)施建立起有效預防網(wǎng)絡(luò)攻擊的能力。此外，新加坡南洋理工學院與新加坡武裝部隊、新加坡科技電子有限公司三方簽署網(wǎng)絡(luò)安全培訓諒解備忘錄，以強化新加坡武裝部隊的網(wǎng)絡(luò)安全培訓工作。新加坡科技電子有限公司網(wǎng)絡(luò)安全中心主要為新加坡軍方提供專業(yè)的網(wǎng)絡(luò)安全培訓，以上三方主要從提供標準的專業(yè)課程、合作開發(fā)網(wǎng)絡(luò)防御課程、附屬項目、協(xié)作研究和開發(fā)、開發(fā)專業(yè)網(wǎng)絡(luò)、推進信息共享六個方面展開合作。

三、企業(yè)公司大力支持

新加坡希望成為全球網(wǎng)絡(luò)安全產(chǎn)業(yè)最發(fā)達的國家，一方面吸引更多的高科技網(wǎng)絡(luò)安全公司進入當?shù)厥袌?，增加本地市場的活力；另一方面支持本土的企業(yè)研發(fā)全球領(lǐng)先的技術(shù)和服務(wù)標準，支持個人在網(wǎng)絡(luò)安全領(lǐng)域創(chuàng)業(yè)，并且提供國內(nèi)網(wǎng)絡(luò)安全產(chǎn)業(yè)的經(jīng)濟機會，從而在全球市場中擴大“新加坡制造”（Made-in-Singapore）的網(wǎng)絡(luò)安全解決方案。每家企業(yè)都有可能面對網(wǎng)絡(luò)威脅，因此，在網(wǎng)絡(luò)安全方面投入關(guān)注和資金至關(guān)重要。

（一）成立專業(yè)培訓機構(gòu)

企業(yè)聯(lián)合學校能夠共同打造既能長遠發(fā)展，又能滿足現(xiàn)實需求的人才。新加坡最大的電信公司新電信（Singtel）是首個加入網(wǎng)絡(luò)安全伙伴與專才計劃的公司，2016年4月該公司成立了自己的網(wǎng)絡(luò)安全學院，成為亞太地區(qū)首個結(jié)合網(wǎng)絡(luò)安全技能訓練及網(wǎng)絡(luò)襲擊模擬測試的培訓機構(gòu)。該學院除普通技能培訓外，還能模擬網(wǎng)絡(luò)襲擊以測試公司與機構(gòu)防備能力。同時，新電信與全球知名網(wǎng)絡(luò)安全公司FireEye聯(lián)合成立先進保安運作中心（Singtel-FireEye Advanced Security Operations Centre），主要研究全球網(wǎng)絡(luò)攻擊趨勢，觀察黑客組織的網(wǎng)絡(luò)舉動，預測可能會發(fā)生的網(wǎng)絡(luò)攻擊。

（二）設(shè)置獎勵激勵項目

企業(yè)設(shè)立獎學金和激勵獎項，鼓勵學校培養(yǎng)企業(yè)需要的人才，這不僅有利于畢業(yè)生就業(yè)，更利于企業(yè)的長遠發(fā)展。2015年1月，新電信與新加坡理工學院以及新加坡共和理工學院合作推出新電信學員獎學金計劃，每年頒發(fā)90份共計200多萬元的獎學金給學生，協(xié)助培養(yǎng)工程學、網(wǎng)絡(luò)安全與客戶服務(wù)方面的人才，為學生提供更系統(tǒng)化的職業(yè)發(fā)展渠道。新加坡資訊通信專才協(xié)會（Association of Information Security Professionals，簡稱AISP）也同新加坡網(wǎng)絡(luò)安全局和其他業(yè)界機構(gòu)推出網(wǎng)絡(luò)安全獎，認可杰出網(wǎng)絡(luò)安全專家、機構(gòu)和學生對本地網(wǎng)絡(luò)安全系統(tǒng)的貢獻。

（三）提供課程設(shè)置建議

企業(yè)參與課程設(shè)置具有長遠和現(xiàn)實意義。新加坡電信集團每年都會吸收來自新加坡理工學院和新加坡共和理工學院的實習生，除了推出新的獎學金計劃，與其他企業(yè)一樣，新電信也面對勞動隊伍老齡化的問題。電信領(lǐng)域不斷演變，公司為了保持實力，不斷吸引人才加入。除了提供獎學金，新電信還為新加坡理工學院的電腦工程課程提供建議，在教學內(nèi)容中增加企業(yè)的最佳作業(yè)程序等知識。

四、思考與啟示

綜上所述，新加坡政府高度重視網(wǎng)絡(luò)安全人才培養(yǎng)建設(shè)，一方面注重與國內(nèi)高等教育學府合作，共同開發(fā)相關(guān)課程，讓學生在離開院校進入勞動力市場前，能夠掌握專業(yè)知識；一方面密切與企業(yè)公司合作，確保這些專業(yè)人才有較好的任職機會，能夠在政府部門和企業(yè)公司之間無障礙流動。而我國網(wǎng)絡(luò)安全人才，從總體上看，還存在數(shù)量缺口較大、能力素質(zhì)不高、結(jié)構(gòu)不盡合理等問題，與維護國家網(wǎng)絡(luò)安全、建設(shè)網(wǎng)絡(luò)強國的要求還不相適應(yīng)。隨著信息化的快速發(fā)展，網(wǎng)絡(luò)安全問題更加突出，迫切需要加大投入力度，多措并舉加快網(wǎng)絡(luò)安全人才培養(yǎng)，為維護國家網(wǎng)絡(luò)安全提供強大的人才保障。

一是加強頂層設(shè)計，完善人才培養(yǎng)制度與方法路子。在國家政策引導下，吸收各方優(yōu)勢資源，創(chuàng)新網(wǎng)絡(luò)安全人才培養(yǎng)機制，營造有利于網(wǎng)絡(luò)安全培訓產(chǎn)業(yè)的政策環(huán)境，高等院校、科研機構(gòu)根據(jù)自身需求和特色，拓展網(wǎng)絡(luò)安全專業(yè)方向，搭建人才綜合培養(yǎng)平臺，對網(wǎng)絡(luò)安全人才培養(yǎng)和學科建設(shè)加強指導扶持；建立常態(tài)化的在職培訓制度，提升網(wǎng)絡(luò)安全從業(yè)人員安全意識和專業(yè)技能，制定網(wǎng)絡(luò)安全類專業(yè)人才培養(yǎng)標準和能力標準；在人才使用和評價方面，以實際能力為衡量標準，建立靈活的激勵機制。

二是完善培訓體系，強化教學軟硬件力量與實戰(zhàn)技能。網(wǎng)絡(luò)安全培訓對于從業(yè)人員學習掌握前沿知識、提升安全實戰(zhàn)技能非常重要。要加大經(jīng)費投入，加快學科建設(shè)，完善大學教育和在職培訓網(wǎng)絡(luò)安全人才培養(yǎng)體系，開展高精尖技術(shù)研究，加強一流網(wǎng)絡(luò)空間學科院校建設(shè)，打造具有品牌的網(wǎng)絡(luò)安全認證培訓機構(gòu)，提升師資力量和培訓教學水平；根據(jù)技術(shù)變化和市場需求改變實際教學過程，解決學院與社會對人才培養(yǎng)期望的差異。鼓勵學院與企業(yè)、科研機構(gòu)在網(wǎng)絡(luò)安全人才培養(yǎng)方面開展合作。

三是加大資源投入，鼓勵企業(yè)深度參與網(wǎng)絡(luò)安全人才培養(yǎng)工作。我國2017年11月7日出臺的《網(wǎng)絡(luò)安全法》第二十條明確，“國家支持企業(yè)和高等院校、職業(yè)學校等教育培訓機構(gòu)開展網(wǎng)絡(luò)安全相關(guān)教育和培訓，采取多種方式培養(yǎng)網(wǎng)絡(luò)安全人才，促進網(wǎng)絡(luò)安全人才交流?！蓖ㄟ^政策引導，充分調(diào)動社會資源，促進高校和行業(yè)企業(yè)、科研院所合作育人、協(xié)調(diào)創(chuàng)新。從培養(yǎng)目標、課程設(shè)置、教材編制、實驗室建設(shè)、實踐教學、課題研究及聯(lián)合培養(yǎng)基地等環(huán)節(jié)，加強企業(yè)與高等院校合作，提高網(wǎng)絡(luò)安全人才培養(yǎng)質(zhì)量。努力擴大人才供給，利用好社會資源和獎勵，以企業(yè)為主建設(shè)網(wǎng)絡(luò)安全創(chuàng)新園區(qū)，探索形成網(wǎng)絡(luò)安全人才培養(yǎng)、技術(shù)創(chuàng)新、產(chǎn)業(yè)發(fā)展的良性生態(tài)體系。啟動人才社區(qū)、孵化器等基礎(chǔ)設(shè)施及配套項目建設(shè)，策劃成立網(wǎng)絡(luò)安全人才與創(chuàng)新基金。企業(yè)還可以通過在學科競賽方面的合作來與學校聯(lián)合培養(yǎng)學科人才。