美国在安全教育方面是怎么做的,还有什么地方需要改进?
前言
众所周知,全球目前都面临着一个问题,那就是网络安全人才的短缺。根据(ISC)²网络安全与教育中心的2017年全球信息安全劳动力调查结果显示,预计到2022年,全球具有从业资质的网络安全专业人才赤字将达到一百八十万。
很多业内分析人士认为,导致这一问题出现的主要原因是因为高中、大学、研究生以及已就业人士缺乏应有的网络安全技能教育。虽然网络安全教育已经逐渐成熟,而且相应的制度也在逐步完善,但我们仍然有很长的路要走。比如说,我们怎样才能吸引有天赋的青少年从事网络安全工作呢?实际上,在网络人才教育方面,很多组织都在做出自己的贡献。接下来,就让我们一起来看一看到底如何才能更好地培育出下一代网络安全人才。
培养兴趣,要从“娃娃”抓起
IBM Security的全球执行安全顾问Diana Kelley认为,很多人在选择某个行业之前肯定是要对这个行业感兴趣,所以他才会选择在上学的时候着重学习这个方面。网络安全也是一样,但网络安全这个领域的学习周期可能比其他行业要更加长久一些。
IBM从2011年开始,就一直在努力通过让高中生亲手打代码的形式来尝试激发出他们对技术的兴趣(P-TECH计划)。在这个时间长达六年的计划里,技术合作企业、政府机构、当地学校以及社区学院不仅给广大信息安全爱好者提供了一对一指导、有尝实习岗位和免费的副学士学位(美国大学修满二年课程的肄业证书),而且还给成绩优秀的学生提供了科技公司的入职机会。
在2014年,也就是P-TECH计划实施的第三年,有150名来自纽约顶尖高校的精英参加了这个网络安全技术培训计划。他们在实践过程中学习了很多操作技能,例如网络管理技术和信息取证分析等等。他们不仅学会了如何管理一台Unix服务器,而且也学会了通过检查日志文件来了解系统曾经发生过什么事情。除此之外,他们甚至还深入学习了网络安全法律的发展进程以及法律条款。Kelley表示,他们还希望这些优秀的学生在毕业之后能够进入IBM的网络安全部门工作。
有待改进的地方
虽然我们的教学内容以及课程是非常有实用价值的,但是我们可能会忽略非常重要的一点,即学生对科学技术感兴趣这并不等同于他们对信息安全感兴趣。因此,我们应该传递给年轻人的信息是:网络安全不仅是一个令人兴奋的行业,而且也是一份非常稳定的工作。除此之外,有些年轻聪明的孩子在学会了这些网络安全技术之后,很可能会误入歧途,因此我们需要让这些孩子站在正义的这一边,这样他们才可以成为我们今后与网络威胁作斗争的核心力量。
菜鸟训练营-网络安全的速成班
实际上,网络安全行业需要的不是你的学位,而是你的技术。那些能够在网络安全行业做到优秀的人,往往是那些敢于探索的人、能够解决问题的人、以及有着强烈道德观念的人,但这一切的前提是你必须拥有足够优秀的技术能力。
网络安全速成班不仅可以给那些来自其它领域的专业人士提供技能培训,而且还可以给那些没有机会去上四年大学的退伍军人或千禧一代提供教育机会。这些网络安全菜鸟训练营的培训计划时长一般在三到六个月内,主要通过实际操作网络安全工具来学习网络安全技术,这样可以在固定的时间里以最快的速度学到更多的新知识和新技能。
在面对美国高失业率的情况下,网络安全菜鸟训练营也可以帮助对失业工人进行再教育。像美国俄亥俄州和密歇根州这样的地方有着大量的蓝领工人,他们再汽车工业或制造业领域有着极其丰富的经验和技术。经过三到六个月的培训,聪明的他们肯定能够掌握一定的网络安全技术,而等待着他们的很可能就是一个中上层阶级的高薪工作。除此之外,美国国防部以及国土安全部也已经在采用这种训练营模式了。不过他们的效率相对较高,他们可以在不到六个月的时间里将受训人员培训成为一个能够掌握最新网络安全技术和工具的人。
有待改进的地方
我们希望在未来能看到越来越多的由政府资助的网络安全训练营出现,虽然当这些人完成了学业之后,将至少需要为联邦政府工作一年,但是这种培训计划不仅可以为国家输送安全技术人才,而且也将有利于私营企业。
行业证书也许比学位更加重要
对于某些公司来说,职业资格证书比学位要更有价值。因为我们可以看到,很多学生虽然没有拿到学位证书,但他们如果通过了网络安全行业的资格认证,那么他们同样可以找到一份好工作。
在2014年到2015年,(ISC)²总共颁发了9017份证书,而在2015年到2016年,(ISC)²总共颁发了10130份证书。越来越多的人选择参加(ISC)²的资格培训课程了,他们在通过了(ISC)²的考试之后就可以拿到由(ISC)²所颁发的副学士学位。考虑到很多公司对求职人员有工作经验的要求,所以我们也给他们提供了一年以上的实践机会,他们只需要再经过一年左右的学习和实践,就可以成为一名合格的网络安全从业人员,而工作经验不会再成为他们求职道路上的拦路虎。
有待改进的地方
整个行业需要更多的非营利机构以及私营企业能够认可这些网络安全证书,目前全球有一百多个国家组织都在颁发自己的网络安全证书,简单来说,我们希望所有的这些证书能够实现全球通用。因为所有的证书都是受训人员努力学习的成果,所以我们应该提出一种公平、公正的认证模型,而这必须是一种全球都认可的网络安全认证模式。
网络安全学位和研究生课程的蓬勃发展
现在,越来越多的高等院校都开设了网络安全课程,而且还有很多学校得到了联邦机构的捐款资助,这就相当于是政府与学校的联合办学。很多英国、欧洲和美国地区的高等院校借鉴了美国国家标准及技术研究所(NIST)以及英国网络情报中心的培训模式,并且能够给学生提供硕士级别的网络安全培训课程。
但是对于企业的首席信息安全官来说,他们几乎不可能送自己公司安全岗位的员工去大学进修一年,尤其是在目前安全人才紧缺的时候。进修确实可以帮助他们学习到更多的技能,但这个成本是企业负担不起的。因为安全威胁的变化是非常快的,而安全技能也很容易过时。更加重要的是,很多公司都想从其他公司挖走顶尖的网络安全专家。所以一旦你允许他们去参加培训,那么他们就有可能跳槽,而作为公司CISO的你却什么都没有得到。
有待改进的地方
虽然越来越多的高等院校开始为学生提供网络安全方面的课程,但是我们希望能够有更多的人坐在教室里的凳子上学习这些课程,接受这些教育。因为光开设课程还远远不够,我们需要的是更多的参与。
总结
这篇文章大致描述了美国目前的网络安全教育情况,并且也讨论了其中有待改进的地方,我们希望大家可以由此反思一下我们国内的安全教育情况。尽管国内越来越多的机构开始提供网络安全培训课程了,但我们的网络安全现状以及人才培养的情况是否达到了我们的预期呢?
* 参考来源: networkworld, FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM