在網(wǎng)絡安全已成為國家戰(zhàn)略基石的今天，網(wǎng)絡安全人才已從過去的被動執(zhí)行者，轉變?yōu)轵寗影踩珣?zhàn)略的核心引擎。這種轉變的核心是將人才視為戰(zhàn)略資產(chǎn)的深度變革，人才能力建設則是實現(xiàn)安全戰(zhàn)略的重要途徑。然而，許多企業(yè)在人才建設上卻面臨著一個巨大的困惑：企業(yè)雖然遵從國標GB/T42446-2023《信息安全技術網(wǎng)絡安全從業(yè)人員能力基本要求》作為人才管理的指導，但是在AI威脅、數(shù)據(jù)合規(guī)和“護網(wǎng)行動”的實戰(zhàn)考驗面前，仍然感到力不從心，企業(yè)對“到底應該需要什么樣的人才”感到困惑。

安全牛分析，這種困惑的根本原因在于，國標作為一項基礎性、通用性框架，其靜態(tài)的任務、知識和技能定義，已經(jīng)無法完全適應新時期動態(tài)演進的挑戰(zhàn)。企業(yè)亟需一套融合國標基礎，并深度拓展AI、數(shù)據(jù)、實戰(zhàn)等前沿領域，且具備可量化能力分級的新型人才能力框架，以此作為“智慧羅盤”，指引企業(yè)精準規(guī)劃出適應自身業(yè)務發(fā)展的人才能力地圖，從而從根本上解決人才困境。

一、現(xiàn)有國內的網(wǎng)絡安全人才能力框架

國標GB/T42446-2023《網(wǎng)絡安全從業(yè)人員能力基本要求》作為中國網(wǎng)絡安全人才領域的國家標準，在系統(tǒng)化分類和國情適配性方面奠定了堅實的基礎，建立了網(wǎng)絡安全工作類別的分類體系，明確了從業(yè)人員應具備的知識和技能要求，為人才培養(yǎng)、評價和管理提供了統(tǒng)一規(guī)范。

圖片

• 工作類別：宏觀層面，將網(wǎng)絡安全工作劃分為5類（網(wǎng)絡安全管理、網(wǎng)絡安全建設、網(wǎng)絡安全運營、網(wǎng)絡安全審計和評估、網(wǎng)絡安全科研教育）。
• 工作任務：細化每個工作類別下需要執(zhí)行20項具體工作活動和內容。
• 知識：完成工作任務所需的知識領域和知識單元。
• 技能：完成工作任務所需的技能類別和具體技能描述。

二、國際網(wǎng)絡安全人才能力框架的介紹

美國國家標準與技術研究院（NIST）和歐盟網(wǎng)絡與信息安全局（ENISA）發(fā)布了較為成熟的網(wǎng)絡安全人才能力框架，在結構化和普適性方面有其優(yōu)勢，通過對比分析，在發(fā)現(xiàn)國內網(wǎng)絡安全人才能力框架面對新時期挑戰(zhàn)的不足的同時，可以引發(fā)對新時期網(wǎng)絡安全人才能力框架需求的思考，從而探索新時期的網(wǎng)絡安全人才能力框架。

1）NIST網(wǎng)絡安全人才能力框架（NICE Framework）。

NIST網(wǎng)絡安全人才能力框架是由美國國家標準與技術研究院（NIST）發(fā)布，為美國政府和企業(yè)網(wǎng)絡安全建設提供結構化方法管理網(wǎng)絡安全人才的參考框架，以建立通用語言，并解決人才短缺挑戰(zhàn)。

NICE框架是網(wǎng)絡安全工作解構為構建的語言，旨在促進對網(wǎng)絡安全人才需求體系的共同理解、和評估。將網(wǎng)絡安全工作劃分為7個類別（Categories）、33個專業(yè)領域（Specialty）Areas）和52個工作角色（WorkRoles），并為每個工作角色詳細定義了所需的任務（Tasks）、知識（Knowledge）、技能（Skills）和能力（Abilities）。

圖片

NICE框架通過將網(wǎng)絡安全工作解構為類別、專業(yè)領域和工作角色，并為每個角色詳細定義了所需的任務、知識、技能和能力（KSA），這種高度結構化的體系使其在全球范圍內被廣泛采用，成為描述網(wǎng)絡安全勞動力的事實標準。此外，NICE框架具有很強的靈活性，允許組織根據(jù)自身需求進行裁剪和調整，有效彌合了企業(yè)、教育機構和求職者之間在人才需求認知上的差距。為企業(yè)進行人才招聘、崗位描述、員工能力評估及職業(yè)發(fā)展規(guī)劃提供了明確的參考依據(jù)，有助于構建科學的人力資源管理體系。

2）歐洲網(wǎng)絡安全技能框架（ECSF）：

《歐洲網(wǎng)絡安全技能框架》（ECSF）由歐盟網(wǎng)絡與信息安全局（ENISA）發(fā)布。旨在為歐盟成員國提供一個統(tǒng)一的網(wǎng)絡安全技能參考體系，以應對日益增長的網(wǎng)絡安全威脅和人才短缺問題，并促進網(wǎng)絡安全專業(yè)人員在歐洲范圍內的自由流動和技能認可。

ECSF框架以以角色為中心，將網(wǎng)絡安全專業(yè)人員的職責細化為12個網(wǎng)絡安全典型專業(yè)角色，并為每個角色提供了詳細的描述和所需的能力、技能、知識，旨在促進人才市場對網(wǎng)絡安全人才需求的理解。

圖片

ECSF框架極具實用性，能夠直接指導企業(yè)招聘和職業(yè)規(guī)劃，并幫助個人清晰定位職業(yè)路徑。此外，該框架緊密結合了歐盟的法律法規(guī)和勞動力市場特點，確保其內容與實際需求緊密相關。ECSF還致力于建立一套通用術語，以促進企業(yè)、教育機構和求職者等各方在人才需求理解上的有效溝通和協(xié)作。設計原則強調了開放性、靈活性和可擴展性，使其能夠持續(xù)適應不斷變化的網(wǎng)絡安全環(huán)境。

3）《E-CompetencesFramework3.0》（e-CF）

《e-CF-E-CompetencesFramework3.0》（以下簡稱e-CF3.0）是由歐洲標準化委員會（CEN）的ICT技能工作坊發(fā)布的一項通用歐洲框架。旨在為所有行業(yè)領域的信息與通信技術專業(yè)人員提供一套通用的能力描述標準。e-CF3.0的目標是為整個歐洲的信息與通信技術工作所需的能力、技能和能力水平提供一個通用的參考語言，以促進相互理解和透明化。

e-CF3.0框架基于其“四個維度”來構建ICT能力，宏觀職能劃分為5個e-能力領域、定義了40個e-能力、以及從e-1到e-5的五個熟練度級別，提供了在整個歐洲范圍內對能力水平進行一致解釋的參考。

e-CF 3.0與歐洲資格框架（EQF）建立了系統(tǒng)且合理的關聯(lián)，具備高通用性和互操作性，為ICT人力資源規(guī)劃、能力評估、職業(yè)發(fā)展和課程設計提供了實用且靈活的參考，并針對移動、云計算、大數(shù)據(jù)等新興趨勢進行持續(xù)演進的更新，這種機制使框架可以適應最新興的技術趨勢 。

三、國內外人才能力框架的對比分析

通過與國際主流框架的對比，以及結合國內新時期背景的運用，《網(wǎng)絡安全從業(yè)人員能力基本要求》的不足之處包括：

• 遠景引領不足：NICE和ECSF框架設計更加靈活和部署，能夠更快地進行版本迭代和內容補充。中國國家標準周期相對較長，在應對“新質生產(chǎn)力”帶來的前沿技術（如大模型安全、隱私計算、量子計算威脅）時，其更新可能速度無法完全匹配產(chǎn)業(yè)的快速發(fā)展。這使得國內企業(yè)在未來挑戰(zhàn)時，來自權威官方的、與時俱進的政策指引還存在不足。
• 深度與細節(jié)欠缺：國際框架在對特定角色的任務、知識、技能描述上較為精細，例如NICE為每個工作角色定義了詳細的KSA，為企業(yè)提供了更具體的指導。中國國家標準在通用性上表現(xiàn)出色，但在對具體崗位的深度要求不足，使企業(yè)在參考并制定精細化的人才方案和能力評估標準時，不得不自行摸索，難以有效快速完成基于業(yè)務的網(wǎng)絡安全人才能力建設。
• 實戰(zhàn)化導向不足：國際框架在“事件響應”和“調查”等類別中，有更多實戰(zhàn)化要素，并有專門的認證體系支撐實戰(zhàn)能力的培養(yǎng)。而國標對實戰(zhàn)化的強調較弱，未能充分體現(xiàn)實戰(zhàn)人才相關能力，隨著國內網(wǎng)絡安全已進入實戰(zhàn)對抗的時代，標準與實際的脫節(jié)導致國內企業(yè)面對真實威脅時，往往實操能力和應變能力不足，無法滿足高強度實戰(zhàn)對抗的需求。
• 對人工智能等新興技術覆蓋不足：雖然《網(wǎng)絡安全從業(yè)人員能力基本要求》在“新技術新應用安全”（K10-001）中包括了人工智能，但其描述較為寬泛和通用。應深入細化AI系統(tǒng)自身所面臨的獨特安全風險（如對抗性攻擊、大模型安全、模型盜取、數(shù)據(jù)投毒）以及如何防御這些風險所此外，對于利用AI技術賦能安全運營（如AI驅動的威脅檢測與響應、自動化編排）所需的具體人才能力，也缺乏明確闡述。使得企業(yè)在培養(yǎng)人工智能安全人才時，缺乏明確的指引，導致企業(yè)不知應如何保障人工智能的安全。
• 復合型人才覆蓋角色不夠全面：《網(wǎng)絡安全從業(yè)人員能力基本要求》劃分了20項工作任務和5類工作類別，但對于DevSecOps工程師、數(shù)據(jù)安全架構師（尤其是隱私計算）、AI安全科學家、供應鏈安全專家、IT/OT融合安全專家等新時期高度復合型或戰(zhàn)略型人才的職責描述和能力，描述的不夠具體和深入。使得企業(yè)在尋找或培養(yǎng)這些關鍵復合型人才時，缺乏明確的參考依據(jù)。

四、國內現(xiàn)有人才能力框架的具體分析

《網(wǎng)絡安全從業(yè)人員能力基本要求》在工作類別、任務、知識體系、技能和工作角色等方面存在不足包括：

1）工作類別的不足

在工作類別方面的不足主要體現(xiàn)在：一是宏觀分類與新戰(zhàn)略脫節(jié)。國標將工作類別劃分為5類（管理、建設、運營、審計評估、科研教育），未能充分體現(xiàn)AI安全與治理、數(shù)據(jù)安全與隱私保護（特別是數(shù)據(jù)要素化背景）、實戰(zhàn)攻防與威脅狩獵等具有戰(zhàn)略意義和獨立性的新興領域。二是任務范圍未及時拓展。在每個工作類別下，宏觀任務定義未能涵蓋如AI倫理與治理政策制定、AI系統(tǒng)安全架構設計、云原生安全建設、威脅狩獵實踐等新時期涌現(xiàn)的關鍵工作。

以下為部分示例圖（具體見最終報告）

圖片

2）工作任務的不足：

在工作任務描述方面的不足主要體現(xiàn)在：一是新興技術任務缺失。20項主要工作任務中，缺乏針對AI模型安全評估與加固、大模型應用安全開發(fā)與測試、隱私計算技術實施等AI和數(shù)據(jù)安全核心任務的明確描述。二是實戰(zhàn)化任務強調不足。對于網(wǎng)絡安全測試、應急管理等任務的描述，未能充分體現(xiàn)高強度紅藍對抗演練、APT攻擊溯源與歸因、0day漏洞挖掘與利用等實戰(zhàn)化要求。三是欠缺深度和前瞻性。工作任務描述較為通用，缺乏對AI驅動的智能安全、數(shù)據(jù)要素安全流通等前沿理念的深入闡述。

以下為部分示例圖（具體見最終報告）

圖片

3）知識體系的不足：

在知識體系方面的不足主要體現(xiàn)在：一是新興技術知識覆蓋不足。一是在AI安全（如對抗性機器學習原理、大模型安全）、隱私計算相關密碼技術（如同態(tài)加密、后量子密碼）、云原生安全原理、DevSecOps流程等新時期關鍵知識點上，缺乏足夠的深度和明確的知識單元。二是實戰(zhàn)化知識體現(xiàn)不足。缺乏對實戰(zhàn)化攻防理論、安全體系韌性理論、威脅狩獵方法論等實戰(zhàn)對抗相關知識的描述。

以下為部分示例圖（具體見最終報告）

圖片

4）技能體系的不足：

在技能體系方面的不足主要體現(xiàn)在：一是缺少新興技術技能。技能體系中，缺乏對AI模型和系統(tǒng)安全漏洞分析與修復、生成對抗性樣本、AI倫理合規(guī)性審查、實施隱私計算技術、容器安全配置與管理等AI、數(shù)據(jù)、云原生領域核心實踐技能的明確定義。二是實戰(zhàn)化技能強調不足。對0day漏洞挖掘與利用、高級滲透測試與紅隊工具開發(fā)、組織和實施威脅狩獵活動、APT攻擊溯源與歸因等高強度攻防技能的體現(xiàn)不足。三是自動化與DevSecOps技能欠缺。對安全自動化、自動化安全測試工具集成與調優(yōu)等DevSecOps實踐所需技能描述不足。

以下為部分示例圖（具體見最終報告）

圖片

5）工作角色的不足：

在工作角色方面的不足主要體現(xiàn)在：一是新興技術的角色缺失。工作角色分類缺乏AI安全架構師、威脅狩獵專家、數(shù)據(jù)隱私架構師、DevSecOps工程師等新時期高度復合型或戰(zhàn)略型角色的明確定義。二是角色任務未完全匹配新需求?，F(xiàn)有角色關聯(lián)的工作任務未能完全體現(xiàn)新時期職責的深化和擴展。三是角色定義過于寬泛。任務涵蓋范圍過于寬泛，導致與其他專業(yè)化角色重疊，不利于人才的精準培養(yǎng)和崗位設置。

以下為部分示例圖（具體見最終報告）

圖片

五、破局之道：融合型“新時期人才能力框架”

面對上述困境，安全牛融合了GB國標、NIST的角色-任務-KSA模型、ECSF的角色導向設計，并融入了中國新時期特有的戰(zhàn)略重點，構建了“新時期網(wǎng)絡安全人才能力框架”。

1）拓展新時期的工作類別

新時期網(wǎng)絡安全人才能力框架在GB/T42446-20235個5大工作類別基礎上，進行了強化和拓展，一是強化已有工作類別的工作任務，二是新增拓展了數(shù)據(jù)安全與隱私保護類、AI安全與治理類、實戰(zhàn)攻防與威脅狩獵類等3個核心類別。新框架可以更全面地覆蓋新時期網(wǎng)絡安全人才能力的廣度和專業(yè)化需求，以適應更加復雜和專業(yè)化的安全需求，體現(xiàn)了新時期的戰(zhàn)略重點。

以下為部分示例圖（具體見最終報告）

圖片

2）新時期新增和深化的重點角色

新時期網(wǎng)絡安全人才能力框架在GB/T42446-2023的18個角色基礎上，豐富了角色的工作任務，制定更貼近新時期角色的實際工作任務內容，新框架為人才培養(yǎng)和能力評估提供具體指引，以應對新時期挑戰(zhàn)。

以下為部分示例圖（具體見最終報告）

圖片

3）新時期新增和深化的關鍵任務

新時期網(wǎng)絡安全人才能力框架在GB/T42446-2023的20項任務基礎上，深化了已有的20個任務，并新增了識別AI模型脆弱性、大模型應用風險管理、威脅狩獵、實戰(zhàn)攻防、高級威脅防御、漏洞挖掘、數(shù)據(jù)要素安全、數(shù)據(jù)流通技術等8個任務，制定更貼近新時期的實際工作內容，為人才培養(yǎng)和能力評估提供具體指引。

以下為部分示例圖（具體見最終報告）

圖片

4)  新時期深化的知識體系

新時期網(wǎng)絡安全人才能力框架在GB/T42446-2023的10個知識領域基礎上，參考并融合國標知識領域與新時期拓展，深化框架的新興技術內容，確保知識體系能夠覆蓋前沿技術。

以下為部分示例圖（具體見最終報告）

圖片

5)  新時期深化的技能體系

新時期網(wǎng)絡安全人才能力框架在GB/T42446-2023的4個通用技能和20個專業(yè)技能體系的基礎上，參考并融合國標知識領域與新時期拓展，深化了通用技能和專業(yè)技能，并新增了AI安全專業(yè)技能、高級攻防專業(yè)技能、數(shù)據(jù)安全專業(yè)技能、云安全專業(yè)技能、DevSecOps5個專業(yè)技能，重點突出了實戰(zhàn)、創(chuàng)新和人工智能相關技能，確保人才具備新時期需要的解決實際問題的能力。

以下為部分示例圖（具體見最終報告）

圖片

6)  能力水平與量化說明

為彌補GB/T42446-2023的不足，新時期網(wǎng)絡安全人才能力框架引入分級能力要求，將人才能力劃分為四個遞進的層次，為人才評估和培養(yǎng)提供量化標準，使企業(yè)能夠準確判斷人才當前能力的分級階段，精準規(guī)劃其向更高層次發(fā)展。

L1-L4的能力水平分級：

L1：基礎掌握/執(zhí)行：理解基本概念，能夠執(zhí)行標準化任務，使用基礎工具。

L2：應用/分析：能應用所學常見問題，分析大量復雜度解決情況，優(yōu)化核心流程。

L3：設計/實戰(zhàn)/優(yōu)化：能夠進行安全架構設計，獨立完成復雜攻防任務，主導安全流程優(yōu)化，具備實戰(zhàn)經(jīng)驗。

L4：創(chuàng)新/領導/戰(zhàn)略：能引領技術研究，制定安全戰(zhàn)略，進行風險決策，培養(yǎng)團隊，推動行業(yè)發(fā)展。

以下為部分示例圖（具體見最終報告）

圖片