（安德萬編譯自卡內(nèi)基梅隆大學(xué)軟件工程研究所2013年8月白皮書）

[知遠(yuǎn)導(dǎo)讀]

雖然一些指令、框架、計劃和措施致力于培養(yǎng)、訓(xùn)練和留住熟練的網(wǎng)絡(luò)安全人員，但是仍有一些不足的領(lǐng)域，是為了工作的重點。一個不足之處是缺乏具體工作角色任務(wù)的詳細(xì)信息。許多培訓(xùn)框架列出的具體工作角色或功能在不同框架之間是相似的，而且是偏向政府部門。

一、引言

普遍認(rèn)為網(wǎng)絡(luò)空間是信息環(huán)境中的一個全球域。關(guān)鍵的服務(wù)、資源和操作取決于網(wǎng)絡(luò)連接的可用性和可靠性；然而，對電腦系統(tǒng)的高度依賴也意味著極易遭受網(wǎng)絡(luò)攻擊的破壞。

近 年來，整個國家對處理重大網(wǎng)絡(luò)攻擊的信心一直很低。2010年在接受采訪時，曾在多家政府機(jī)構(gòu)工作過的老牌網(wǎng)絡(luò)安全專家James Gosler警告說，這個領(lǐng)域缺乏足夠聰明的人，以支持國家網(wǎng)絡(luò)安全目標(biāo)。他推測，在美國大概有1000人具備執(zhí)行網(wǎng)絡(luò)防御任務(wù)的高超技能。Gosler 進(jìn)一步估計，為了滿足美國政府機(jī)構(gòu)和企業(yè)的需求，對熟練的網(wǎng)絡(luò)安全專業(yè)人員需求將增長到20000至30000人。

如果與其他國家比較，特 別是與中國比較，情況變得更加復(fù)雜。中國已經(jīng)把培養(yǎng)網(wǎng)絡(luò)安全專家作為一個高度優(yōu)先的事項，而這些重點工作也都產(chǎn)生了影響。根據(jù)Verizon公司的 《2012年數(shù)據(jù)失竊調(diào)查報告》（Data Breach Investigation Report 2012），研究人員調(diào)查了在2012年發(fā)生的47000多起安全事故，其中21％的事故是由附屬于國家的黑客執(zhí)行的間諜任務(wù)，這些間諜活動的96％可以 被追蹤到中國。

由于刺探關(guān)鍵基礎(chǔ)設(shè)施行業(yè)計算機(jī)網(wǎng)絡(luò)的漏洞產(chǎn)生了嚴(yán)重的影響，因而，培養(yǎng)能夠在網(wǎng)絡(luò)空間進(jìn)行防御和進(jìn)攻作戰(zhàn)的一支訓(xùn)練有素的網(wǎng)絡(luò)員工隊伍就非常重要了。

為 了支持網(wǎng)絡(luò)部隊?wèi)?zhàn)備計劃，確立了多個網(wǎng)絡(luò)人員培養(yǎng)計劃。這些培訓(xùn)計劃支持了基思·亞歷山大將軍的愿景和戰(zhàn)略路線圖。亞歷山大呼吁要建立通用的高要求標(biāo)準(zhǔn)， 包括對參謀人員的個人和集體培訓(xùn)，對訓(xùn)練有素的參謀人員執(zhí)行使命的能力進(jìn)行評估。他說：“無論我們在一所學(xué)?；蛟诙鄠€學(xué)校完成我們的網(wǎng)絡(luò)訓(xùn)練，訓(xùn)練都將執(zhí) 行一個標(biāo)準(zhǔn)。”

下面具體論述幾個網(wǎng)絡(luò)人力培養(yǎng)和保留計劃，詳細(xì)介紹了它們通過面向特定任務(wù)的培訓(xùn)標(biāo)準(zhǔn)，支持創(chuàng)建一個強(qiáng)大的網(wǎng)絡(luò)安全隊伍的方法。

二、培訓(xùn)活動

2.1 國防部指令DoDD 8570.01《信息保障培訓(xùn)、認(rèn)證和人力資源管理》

首 批網(wǎng)絡(luò)人力資源培訓(xùn)計劃之一是國防部指令8570.01信息保障培訓(xùn)、認(rèn)證和人力資源管理倡議。這個舉措的目的是為國防部信息保障人員隊伍培訓(xùn)、標(biāo)準(zhǔn)和管 理企業(yè)級解決方案提供基礎(chǔ)。這份指令要求信息保障技術(shù)人員（IAT）和管理人員（IAM）得到培訓(xùn)，并通過基準(zhǔn)要求認(rèn)證。該政策適用于美國國防部執(zhí)行信息 保障功能的所有組織機(jī)構(gòu)。

為這個指令提供指南和程序支持的手冊DoD 8570.01 M在2005年12月被批準(zhǔn)，最新版本是第三次修訂版，頒布于2012年1月。為了解決人員管理問題，這份指令要求所有信息保障崗位要明確化，并配備合格的人員。

為了達(dá)到這個目標(biāo)，所有信息保障崗位被歸類為技術(shù)（IAT）、管理（IAM）、系統(tǒng)架構(gòu)和工程（IASAE）、或計算機(jī)網(wǎng)絡(luò)防御服務(wù)提供商（CNDSP），在每個類別中設(shè)定一定的技能級別或?qū)I(yè)要求。個人必須獲得某個類別的認(rèn)證資格，然后擔(dān)任相應(yīng)的職位。

目標(biāo)是建立一個信息保障人員隊伍，讓他們有知識和技能保護(hù)國防部系統(tǒng)和網(wǎng)絡(luò)空間的信息資產(chǎn)。掌握了適當(dāng)技能的合格人才才能履職。國防部首席信息官辦公室通過國防人力資源認(rèn)證申請（DWCA）數(shù)據(jù)庫確認(rèn)、監(jiān)控、并報告信息保障人員的認(rèn)證情況。

2.2國防部指令DoDD 8140《網(wǎng)絡(luò)空間人員管理政策更新》

DoDD 8140《網(wǎng)絡(luò)空間人員管理政策更新》將取代DoDD 8570。預(yù)計DoDD 8140將在2014年1月頒布，將對網(wǎng)絡(luò)安全人力資源進(jìn)行綜合評估，包括執(zhí)法、情報、以及網(wǎng)絡(luò)運維人員。

其 他計劃包括“信息保障人員改進(jìn)計劃”（InformationAssurance Workforce Improvement Program），以目前的人員結(jié)構(gòu)為基礎(chǔ)，并整合“網(wǎng)絡(luò)安全教育國家倡議”（NICE）框架的技能和功能以及美國網(wǎng)絡(luò)司令部人員隊伍的任務(wù)要求。

DoDD 8140的目標(biāo)是通過一個全面的人力資源管理視角，理順合格信息保障人員的發(fā)展通道。執(zhí)行網(wǎng)絡(luò)空間功能的職位將被記錄人力資源系統(tǒng)中，而人員的資格也將被保存在記錄系統(tǒng)中。這一政策的遵守情況將納入國防部審查計劃。

2.3 美國網(wǎng)絡(luò)司令部聯(lián)合網(wǎng)絡(luò)空間訓(xùn)練與認(rèn)證標(biāo)準(zhǔn)（JCT＆CS）計劃

美國網(wǎng)絡(luò)司令部三個作戰(zhàn)線：進(jìn)攻性網(wǎng)絡(luò)作戰(zhàn)、防御性網(wǎng)絡(luò)作戰(zhàn)和國防部信息網(wǎng)絡(luò)運維），網(wǎng)絡(luò)力量必須根據(jù)三個作戰(zhàn)線進(jìn)行訓(xùn)練和做好作戰(zhàn)任務(wù)準(zhǔn)備。美國網(wǎng)絡(luò)司令部通過聯(lián)合網(wǎng)絡(luò)空間訓(xùn)練和認(rèn)證標(biāo)準(zhǔn)計劃指導(dǎo)其訓(xùn)練和培養(yǎng)行動。

聯(lián) 合網(wǎng)絡(luò)空間訓(xùn)練與認(rèn)證標(biāo)準(zhǔn)計劃的目標(biāo)是讓部隊得到訓(xùn)練和做好作戰(zhàn)準(zhǔn)備，以解決網(wǎng)絡(luò)空間的挑戰(zhàn)。為了達(dá)到這個目標(biāo)，培訓(xùn)方案要求為個人和團(tuán)體設(shè)立通用的、嚴(yán) 格的標(biāo)準(zhǔn)，對培訓(xùn)實施一流的管理，并準(zhǔn)確地評估部隊執(zhí)行任務(wù)的能力。該計劃旨在建立聯(lián)合訓(xùn)練和認(rèn)證標(biāo)準(zhǔn)，以支持亞歷山大的構(gòu)想。

在網(wǎng)絡(luò)司令 部及其構(gòu)成部隊的作戰(zhàn)環(huán)境和任務(wù)要求下，聯(lián)合網(wǎng)絡(luò)空間訓(xùn)練與認(rèn)證標(biāo)準(zhǔn)完成聯(lián)合訓(xùn)練和認(rèn)證標(biāo)準(zhǔn)的開發(fā)。為個人和團(tuán)體都規(guī)定了培訓(xùn)標(biāo)準(zhǔn)。執(zhí)行這個計劃的聯(lián)合程 序和準(zhǔn)則參照了聯(lián)合訓(xùn)練系統(tǒng)（Joint Training System）的四個階段：需求、計劃、執(zhí)行和評估。聯(lián)合訓(xùn)練系統(tǒng)框架為指揮官提供了一個一體化流程，用來評估司令部的使命，并確定完成這些使命所必要的 任務(wù)。這些流程旨在通過把計劃、培訓(xùn)、評估和任務(wù)要求聯(lián)系起來，提高指揮官的聯(lián)合戰(zhàn)備（joint readiness）。

創(chuàng)建完成任務(wù)所 需的基本任務(wù)、條件以及衡量標(biāo)準(zhǔn)的優(yōu)先級列表，這個列表被稱為聯(lián)合使命基本任務(wù)列表（Joint Mission Essential Task List）。聯(lián)合使命基本任務(wù)列表有助于形成使命準(zhǔn)備的答案：要完成這個使命，這些組織必須在這些條件下完成這些任務(wù)，并且要滿足這些具體標(biāo)準(zhǔn)。

完 成網(wǎng)絡(luò)司令部使命的能力開始于網(wǎng)絡(luò)空間作戰(zhàn)的基本知識。建立在現(xiàn)有計劃的基礎(chǔ)上，網(wǎng)絡(luò)司令部開發(fā)了一個網(wǎng)絡(luò)工作角色列表（a list of cyber work role），包括執(zhí)行三個作戰(zhàn)線中的工作角色所要求的任務(wù)和技能集。任務(wù)和技能集就構(gòu)成了基準(zhǔn)。能力評級反映了知識、技能和能力（KSAs）與訓(xùn)練和工作 要求的相關(guān)程度。知識、技能和能力是具體化任務(wù)績效水平的標(biāo)準(zhǔn)。個人必須獲得完成既定崗位角色任務(wù)（work-role task）所需的最低熟練水平。

在 聯(lián)合使命基本任務(wù)列表和基線標(biāo)準(zhǔn)中規(guī)定的要求的基礎(chǔ)上，包括觀眾、目標(biāo)和方法的訓(xùn)練計劃基礎(chǔ)得到確定。執(zhí)行計劃，以實現(xiàn)基于要求的培訓(xùn)目標(biāo)，并收集反饋信 息，作為評估階段以及為下一個訓(xùn)練周期規(guī)劃的信息輸入。一旦訓(xùn)練能力評估（Training Proficiency Assessment）完成，評估階段就完成了訓(xùn)練周期。訓(xùn)練能力評估是從任務(wù)績效觀察（Task Performance Observations）、訓(xùn)練能力鑒定（TrainingProficiency Evaluations）收集信息和觀察真實世界的作戰(zhàn)。當(dāng)為下一個訓(xùn)練周期的規(guī)劃階段提供了經(jīng)驗教訓(xùn)，訓(xùn)練能力評估和任務(wù)訓(xùn)練評估（Mission Training Assessment）就進(jìn)入了聯(lián)合訓(xùn)練信息管理系統(tǒng)（JTIMS）。

2.4網(wǎng)絡(luò)安全教育國家倡議（NICE）

建立網(wǎng)絡(luò)安全教育國家倡議以支持國家網(wǎng)絡(luò)安全綜合計劃（CNCI）——這是為確保美國網(wǎng)絡(luò)空間安全而采取的一系列舉措（特別是，國家網(wǎng)絡(luò)安全綜合計劃計劃8呼吁擴(kuò)大網(wǎng)絡(luò)教育、宣傳和專業(yè)人才培養(yǎng)）。國家網(wǎng)絡(luò)安全綜合計劃有三個目標(biāo)。

第 一個目標(biāo)是提高廣大民眾的網(wǎng)絡(luò)空間風(fēng)險意識。第二是拓寬網(wǎng)絡(luò)安全人力資源儲備，重點是學(xué)生。第三個目標(biāo)是培育具有全球競爭力的網(wǎng)絡(luò)安全人員隊伍。這些目標(biāo) 又分成幾個部分，每個部分由一個或多個聯(lián)邦機(jī)構(gòu)領(lǐng)導(dǎo)，并且為了滿足這些目標(biāo)已經(jīng)確定了具體目標(biāo)和戰(zhàn)略。這里重點放在第三個目標(biāo)。

在合適的時 間和地點有掌握了合適技能的合適人才（統(tǒng)稱為有效人力資本規(guī)劃（effectivehuman capital planning））是網(wǎng)絡(luò)安全隊伍獲得全球競爭力的一個要求。由于網(wǎng)絡(luò)安全行業(yè)仍在發(fā)展，該領(lǐng)域的許多方面還沒有確定，人員隊伍的知識和技能很薄弱。國 家網(wǎng)絡(luò)安全綜合計劃通過構(gòu)建一個建立強(qiáng)大的和有才華的網(wǎng)絡(luò)隊伍的基礎(chǔ)來實現(xiàn)第三個目標(biāo)。這個基礎(chǔ)將通過建立訓(xùn)練和職業(yè)發(fā)展的標(biāo)準(zhǔn)和策略、預(yù)測人力資本需 求、制定網(wǎng)絡(luò)安全工作角色分類的機(jī)制而建設(shè)。

第三個目標(biāo)的第一個目的是開發(fā)和采用國家網(wǎng)絡(luò)安全人力資源框架。這個框架在2012年發(fā)布，解 決了術(shù)語標(biāo)準(zhǔn)、網(wǎng)絡(luò)人員職位描述和需求的知識、技能和能力。在該框架中，使用類別和專業(yè)領(lǐng)域?qū)ぷ鬟M(jìn)行分組。該框架旨在確定網(wǎng)絡(luò)安全工作，但是有足夠的靈 活性，無論組織結(jié)構(gòu)或崗位名稱，都允許機(jī)構(gòu)按照人員規(guī)劃需求做出調(diào)整。

網(wǎng)絡(luò)安全教育國家倡議包括7大類別和31個專業(yè)領(lǐng)域。人事管理辦公室（OPM）將為這些類別和專業(yè)領(lǐng)域制定對應(yīng)的代碼。這些代碼將被用來統(tǒng)一地識別網(wǎng)絡(luò)人員隊伍，確定能力基線，評價人員需求，確定訓(xùn)練不足，并幫助有效地招聘和保留熟練的勞動力。

第二個目的是開發(fā)預(yù)測網(wǎng)絡(luò)安全人員的工具。這些工具將收集數(shù)據(jù)，以評估國家網(wǎng)絡(luò)安全人員目前的能力。這些數(shù)據(jù)將被用于表征網(wǎng)籃球人員特點以及研究、開發(fā)和預(yù)測未來需求的基線。

第 三個目的是建立網(wǎng)絡(luò)安全訓(xùn)練和專業(yè)人員培養(yǎng)的標(biāo)準(zhǔn)和指南。對于確保網(wǎng)絡(luò)人員具備履行其職責(zé)所需的適當(dāng)?shù)募夹g(shù)技能和資源而言，持續(xù)的、專業(yè)的培訓(xùn)是必要的。 這一目的將通過在線資源為網(wǎng)絡(luò)安全專業(yè)人士提供與網(wǎng)絡(luò)安全教育國家倡議中的專業(yè)領(lǐng)域相吻合的培訓(xùn)機(jī)會信息而實現(xiàn)。這個在線資源也將有助于識別專業(yè)領(lǐng)域需求 和培訓(xùn)機(jī)會之間存在的差距。在一個專業(yè)領(lǐng)域中的無效訓(xùn)練可能會增加網(wǎng)絡(luò)人員戰(zhàn)備的風(fēng)險；為這些差距制定一個培訓(xùn)計劃將有助于緩解這些風(fēng)險。

2013 年2月，美國國土安全部推出了一個支持網(wǎng)絡(luò)安全教育國家倡議（特別是第三個目標(biāo)）的工具。網(wǎng)絡(luò)安全職業(yè)和研究國家倡議（National Initiative for Cybersecurity Careers and Studies）是一個全面的、公開的在線資源，包含網(wǎng)絡(luò)安全教育、訓(xùn)練和職業(yè)信息。使用專業(yè)領(lǐng)域、技術(shù)熟練程度以及其他條件對信息進(jìn)行分類和檢索。

第四和第五個目的是確定最佳做法，以幫助招募和留住網(wǎng)絡(luò)安全專業(yè)人員，并評估網(wǎng)絡(luò)安全隊伍的專業(yè)化。

2.5美國國土安全部網(wǎng)絡(luò)技能特別工作組報告

除 了以前發(fā)布的在線資源，國土安全部公布了2012年秋季網(wǎng)絡(luò)技能特別工作組報告，（國土安全咨詢委員會，2012）。美國國土安全部部長珍妮特·納波利塔 諾認(rèn)識到國家特別需要訓(xùn)練有素的專業(yè)人員以處置網(wǎng)絡(luò)攻擊，組建了特別工作組。該報告是這個特別工作組的調(diào)查結(jié)果。納波利塔諾說，網(wǎng)絡(luò)安全是我們面對的最變 化多端的風(fēng)險；她相信通過實施報告中的建議，聯(lián)邦機(jī)構(gòu)和私營部門機(jī)構(gòu)將有熟練的網(wǎng)絡(luò)安全人員，以成功預(yù)防、檢測和響應(yīng)網(wǎng)絡(luò)攻擊。

組建網(wǎng)絡(luò)技術(shù)特別工作組時獲得兩大授權(quán)：

1、確定國土安全部如何最好地培養(yǎng)一個能夠處理網(wǎng)絡(luò)安全挑戰(zhàn)的網(wǎng)絡(luò)安全隊伍。

2、詳細(xì)研究國土安全部如何招募和留住人才。

美 國國土安全部網(wǎng)絡(luò)技術(shù)特別工作組根據(jù)五項目標(biāo)給出了11項建議。其中一個目標(biāo)是制定一個關(guān)鍵任務(wù)網(wǎng)絡(luò)安全任務(wù)權(quán)威清單。網(wǎng)絡(luò)技術(shù)特別工作組報告中確定的任 務(wù)是特別工作組成員認(rèn)為美國國土安全部為確保安全、有彈性的基礎(chǔ)設(shè)施必須填補(bǔ)的技能差距。任務(wù)關(guān)鍵工作清單、它們要求的任務(wù)、以及不能執(zhí)行這些任務(wù)的后果 將保持持續(xù)更新，根據(jù)威脅形勢不斷做出改變。

報告中列出了十個關(guān)鍵任務(wù)技能，被定為是美國國土安全部的具體任務(wù)。但是，要利用網(wǎng)絡(luò)安全教育國家倡議框架及其任務(wù)和技能目錄，國土安全部將澄清框架中的功能角色，定義美國國土安全部的具體工作要求，并把這些角色歸類為關(guān)鍵任務(wù)型還是非關(guān)鍵任務(wù)型。

如 果這11項建議實現(xiàn)了，還要滿足的其他目標(biāo)包括對具備關(guān)鍵任務(wù)網(wǎng)絡(luò)安全技能的人員進(jìn)行培訓(xùn)、技能考核、招聘和留住的具體細(xì)節(jié)。最終的目標(biāo)要求建立一個網(wǎng)絡(luò) 人才儲備庫（CyberReserve），其中將包括美國國土安全部維護(hù)的受保護(hù)信息庫存——關(guān)于在每個確定的關(guān)鍵任務(wù)技能方面掌握基本的和熟練的技能水 平的個體數(shù)據(jù)庫。這些有價值的信息可以讓國土安全部在緊急情況下迅速填補(bǔ)具體的工作需要和快速找到人才。

2.6 國防信息系統(tǒng)局側(cè)重于作戰(zhàn)的網(wǎng)絡(luò)訓(xùn)練框架（DISA Operationally Focused CYBER Training Framework）

國防信息系統(tǒng)局的戰(zhàn)場安全行動辦公室在2012年春季發(fā)布了側(cè)重于作戰(zhàn)的網(wǎng)絡(luò)訓(xùn)練框架。這個框架類似于其他使用了基于角色的訓(xùn)練和評估辦法的訓(xùn)練活動。

國 防信息系統(tǒng)局計劃的基本原則包括基于針對特定任務(wù)的資格認(rèn)證而不是廣泛的商業(yè)認(rèn)證，為基于角色的工作人員認(rèn)證定制訓(xùn)練戰(zhàn)略路線圖。工作人員認(rèn)證是獲得保護(hù) 網(wǎng)絡(luò)空間和在網(wǎng)絡(luò)空間作戰(zhàn)的必要技能的基于角色的合格操作員的必要條件。國防信息系統(tǒng)局框架使用聯(lián)合網(wǎng)絡(luò)空間訓(xùn)練與認(rèn)證標(biāo)準(zhǔn)進(jìn)行基準(zhǔn)工作角色界定 （baseline work-role definition），使用網(wǎng)絡(luò)安全教育國家倡議框架進(jìn)行聯(lián)邦政府和國防部基準(zhǔn)工作角色界定。

國 防信息系統(tǒng)局基于角色的訓(xùn)練和評估的實施計劃開始于使用聯(lián)合網(wǎng)絡(luò)空間訓(xùn)練與認(rèn)證標(biāo)準(zhǔn)、網(wǎng)絡(luò)安全教育國家倡議框架、以及創(chuàng)建一個角色—工具訓(xùn)練矩陣 （roles-and-tools training matrix）需要的角色相關(guān)任務(wù)和知識、技能和能力來界定工作角色。根據(jù)不同的任務(wù)，角色需要工具和功能訓(xùn)練。擔(dān)當(dāng)角色的個人需要進(jìn)一步訓(xùn)練，以學(xué)習(xí)如 何與其他角色對接，以及他們的工具如何與其他工具對接。這種訓(xùn)練被定義為工具和功能訓(xùn)練（tools and

functions training），專注于角色—工具、工具—工具、角色—角色互動。

國 防信息系統(tǒng)局建立了一個基于角色的課程網(wǎng)站，用戶可以找到特定角色方面的培訓(xùn)資源。該信息是根據(jù)專業(yè)領(lǐng)域加以組織的。學(xué)員可以找到一個特殊專業(yè)角色中的任 務(wù)所需要的具體知識、技能和能力。培訓(xùn)提供者可以使用該網(wǎng)站來滿足這些要求。未來的計劃包括培訓(xùn)—知識、技能和能力映射，并使用這種映射創(chuàng)建個人培養(yǎng)計劃 （IDP）。

展望未來，國防信息系統(tǒng)局還計劃提供一個戰(zhàn)術(shù)、技術(shù)和程序（TTP）模板和存儲庫，以更好地組織和定義TTP、以及任務(wù)的技能 和角色等級。國防信息系統(tǒng)局還計劃在國防部網(wǎng)絡(luò)防御大學(xué)學(xué)院（DoDCyber Defense University Academy）的基礎(chǔ)上，與教育和業(yè)務(wù)領(lǐng)導(dǎo)協(xié)調(diào)，將專攻基于角色的網(wǎng)絡(luò)培訓(xùn)和評估產(chǎn)品以及資格標(biāo)準(zhǔn)。

2.7 計算機(jī)應(yīng)急響應(yīng)分隊培養(yǎng)網(wǎng)絡(luò)安全人力資源的方法

卡 內(nèi)基梅隆大學(xué)軟件工程研究所計算機(jī)應(yīng)急響應(yīng)分隊部門（CERTDivision of the Carnegie Mellon® Software Engineering Institute），是一個由美國國防部贊助的聯(lián)邦政府資助的研發(fā)中心，把人力資源培養(yǎng)分為連續(xù)的幾個階段。通過這些階段，逐步積累個人工作職責(zé)方面的 知識、技能和經(jīng)驗。三個主要階段之后是一個評估階段，以評估個人對訓(xùn)練的理解。

第一階段，知識建造，專注于為學(xué)習(xí)者傳授基本技能和概念。這種教學(xué)模式通常是傳統(tǒng)的以教師為主導(dǎo)的課堂；然而，由于成本效益和時間效益，在線學(xué)習(xí)正變得越來越流行。

第 2階段，技能培養(yǎng)，通過以任務(wù)為重點的動手練習(xí)強(qiáng)化前一階段學(xué)到的概念。這個階段是專業(yè)技能培養(yǎng)的一個組成部分，因為個人把知識轉(zhuǎn)化應(yīng)用能力。這些演習(xí)重 點放在個人技能上，并在無干擾的環(huán)境中進(jìn)行。一旦個人已經(jīng)完成了這些練習(xí)，可以進(jìn)入經(jīng)驗建造階段，進(jìn)一步完善自己的技能。

第3階段，經(jīng)驗建造階段，通過把它們應(yīng)用到真實世界，以及在職運用以最大化個人的工作績效，完善知識和技能。不在受控的環(huán)境中進(jìn)行，這些方案迫使個體在充滿更多復(fù)雜性和不熟悉的情景中成功地操作。

第4階段，評估階段，評估通過訓(xùn)練實現(xiàn)的知識理解和技能熟練度。評估有助于確定接下來的個人訓(xùn)練周期，也是機(jī)構(gòu)更好地了解員工的優(yōu)勢和額外培訓(xùn)需求的機(jī)制。

計 算機(jī)應(yīng)急響應(yīng)分隊的培養(yǎng)方法逐步建立個人的能力，充分利用網(wǎng)絡(luò)平臺傳授知識、技能和經(jīng)驗。最后，該方法為組織機(jī)構(gòu)提供了一個可以根據(jù)自己的需要定制的、全 面的、有針對性的和具有成本效益的訓(xùn)練選項。計算機(jī)應(yīng)急響應(yīng)分隊部門開發(fā)了兩個具體網(wǎng)上平臺，支持這一訓(xùn)練方法，而且聯(lián)邦政府網(wǎng)絡(luò)工作人員目前正在使用： 用于知識和技能建造的FedVTE，以及用于獲取體驗和做出評價的STEPfwd（原為XNET）。這些平臺將在本文稍后討論。

三、網(wǎng)絡(luò)人員訓(xùn)練與培養(yǎng)的資源

近年來，建立了一些網(wǎng)絡(luò)安全培訓(xùn)和人員培養(yǎng)舉措，以支持前面提到的指令和框架，并有助于網(wǎng)絡(luò)安全隊伍的進(jìn)步。以下評估的是其中一些方案和舉措。

3.1國家卓越學(xué)術(shù)中心

美 國國土安全部的另一個項目是信息保障教育、教育和培訓(xùn)、以及信息保障研究國家卓越學(xué)術(shù)中心，這是與美國國家安全局聯(lián)合主辦的。2012年這些中心共計 166個高等教育機(jī)構(gòu)，被認(rèn)為是相關(guān)領(lǐng)域的領(lǐng)導(dǎo)者。這些課程的畢業(yè)生往往成為網(wǎng)絡(luò)高手，能夠保護(hù)國家信息基礎(chǔ)設(shè)施。這些項目的目標(biāo)是促進(jìn)信息保障學(xué)科，培 養(yǎng)越來越多的受過訓(xùn)練的專業(yè)信息保障人員?？稍诿绹鴩野踩志W(wǎng)站上找到卓越學(xué)術(shù)中心（CAE）和它們提供的課程名單。

3.2 面向軍隊的網(wǎng)絡(luò)兵團(tuán)獎學(xué)金（CyberCorps Scholarship forService）

“面 向軍隊的網(wǎng)絡(luò)兵團(tuán)獎學(xué)金”計劃是為了幫助聯(lián)邦政府招募、培訓(xùn)和留住那些可以保護(hù)關(guān)鍵業(yè)務(wù)的、合格的、熟練的網(wǎng)絡(luò)安全專業(yè)人士。該計劃提供獎學(xué)金給符合條件 的大學(xué)生，承擔(dān)得到認(rèn)可的高等教育機(jī)構(gòu)的全部成本。作為回報，接受贈款的人在畢業(yè)時在政府機(jī)構(gòu)實習(xí)，然后在政府機(jī)構(gòu)工作，期限相當(dāng)于其接受獎學(xué)金的長度。 這個項目由美國人事管理辦公室管理，由美國國家科學(xué)基金會（NSF）資助獎學(xué)金。

這個項目每年有150至160名學(xué)生畢業(yè)，并且項目在繼續(xù)擴(kuò)展。預(yù)算從2011年的1500萬美元增加到2012年的4500萬美元。

3.3聯(lián)邦虛擬訓(xùn)練環(huán)境

聯(lián) 邦虛擬訓(xùn)練環(huán)境（FedVTE）是國土安全部在國防信息系統(tǒng)局和美國國務(wù)部的支持下管理的一個在線培訓(xùn)和學(xué)習(xí)管理系統(tǒng)。2005年卡內(nèi)基梅隆大學(xué)軟件工程 研究所開發(fā)了虛擬訓(xùn)練環(huán)境（VTE），以解決國防部信息安全方面的訓(xùn)練和能力建設(shè)挑戰(zhàn)。2012年，虛擬訓(xùn)練環(huán)境進(jìn)行了重新設(shè)計以增強(qiáng)功能，以更好地滿足 網(wǎng)絡(luò)人員培訓(xùn)要求，并讓FedVTE服務(wù)于聯(lián)邦雇員。

由于國防部人員的高度流動性，現(xiàn)有的基于課堂的培訓(xùn)方案未能充分教授學(xué)生管理和維護(hù)政 府網(wǎng)絡(luò)。卡內(nèi)基梅隆大學(xué)軟件工程研究所把錄制的課堂教學(xué)轉(zhuǎn)換為在線格式，允許全球各地的學(xué)生根據(jù)自己的時間獲得培訓(xùn)材料。培訓(xùn)材料包括信息保障和網(wǎng)絡(luò)安全 課程、強(qiáng)化的視頻演示、以及供學(xué)生運用在虛擬環(huán)境中學(xué)到的經(jīng)驗教訓(xùn)的動手實驗室、以及綜合測驗的小測驗。

FedVTE服務(wù)于數(shù)以萬計的政府和軍隊用戶，每月超過30000個小時的培訓(xùn)材料被訪問。該系統(tǒng)可節(jié)省數(shù)百萬美元的旅費和培訓(xùn)費用。

3.4 STEPfwd

STEPfwd 吸收了卡內(nèi)基梅隆大學(xué)軟件工程研究所計算機(jī)應(yīng)急響應(yīng)分隊部門實驗網(wǎng)絡(luò)XNET的功能。這些功能包括網(wǎng)絡(luò)模擬，可以模擬幾臺服務(wù)器到上千個網(wǎng)絡(luò)節(jié)點。 STEPfwd通過實踐訓(xùn)練平臺和績效評估數(shù)據(jù)，支持卡內(nèi)基梅隆大學(xué)軟件工程研究所計算機(jī)應(yīng)急響應(yīng)分隊部門網(wǎng)絡(luò)人員培養(yǎng)的實驗和評估階段。STEPfwd 實驗網(wǎng)絡(luò)是一個隔離環(huán)境，可承載數(shù)百種系統(tǒng)和相關(guān)的網(wǎng)絡(luò)，模擬真實世界的環(huán)境。訓(xùn)練的各方面都可以定制，以復(fù)制業(yè)務(wù)網(wǎng)絡(luò)。

美國網(wǎng)絡(luò)司令部試 驗網(wǎng)絡(luò)是網(wǎng)絡(luò)司令部與SEI合作開發(fā)的，是根據(jù)網(wǎng)絡(luò)司令部對XNET的定制化。這個實驗網(wǎng)絡(luò)是為軍事網(wǎng)絡(luò)訓(xùn)練開發(fā)的最大的、最逼真的網(wǎng)絡(luò)系統(tǒng)。部分原因是 有7500臺虛擬服務(wù)器，因而非常逼真，而且演習(xí)管理員還知道實時狀態(tài)和可以進(jìn)行事后分析。網(wǎng)絡(luò)司令部的XNET被用于大規(guī)模的、有組織的軍事網(wǎng)絡(luò)防御訓(xùn) 練活動，如“網(wǎng)旗”（CYBER FLAG）和“網(wǎng)絡(luò)衛(wèi)士”（Cyber Guard）。

2012年3月在眾議院軍事委員會新興威脅和能力 小組委員會做證詞時，基思·亞歷山大談到網(wǎng)絡(luò)司令部的第一次重大戰(zhàn)術(shù)演練，稱為“網(wǎng)旗”。這次大規(guī)模的、持續(xù)多天的演習(xí)活動把操作員放在現(xiàn)實的、模擬的網(wǎng) 絡(luò)作戰(zhàn)演習(xí)中。演習(xí)引起了極大的關(guān)注，據(jù)亞歷山大將軍，“網(wǎng)旗”不純粹是一次演習(xí)；獲得的第一手經(jīng)驗教訓(xùn)在日常網(wǎng)絡(luò)防御中得到了應(yīng)用。

3.5各州的舉措

幾個州（美國佛羅里達(dá)州、馬里蘭州和德克薩斯州）在州的層面采取了網(wǎng)絡(luò)作戰(zhàn)行動。州和地方政府與大學(xué)、公共部門和私營行業(yè)合作，提高網(wǎng)絡(luò)安全意識、開發(fā)計劃。它們提供的資源除了提供網(wǎng)絡(luò)犯罪和攻擊方面的教育和宣傳資料，這些州還把自己定位在成為網(wǎng)絡(luò)安全行業(yè)的領(lǐng)導(dǎo)者上。

得 克薩斯州投資開發(fā)了一個全面的方法，以提高網(wǎng)絡(luò)安全操作和教育的基礎(chǔ)設(shè)施，通過多種方法增加州在網(wǎng)絡(luò)安全行業(yè)的競爭力。2011年，得克薩斯州州長簽署了 一項法案，授權(quán)建立了德克薩斯州網(wǎng)絡(luò)安全、教育和經(jīng)濟(jì)發(fā)展委員會。政府、學(xué)術(shù)界和產(chǎn)業(yè)界代表組成委員會，分析得克薩斯州目前的網(wǎng)絡(luò)態(tài)勢，在2012年準(zhǔn)備 一份調(diào)查結(jié)果和建議報告。

該委員會發(fā)現(xiàn)，得克薩斯州已經(jīng)有了許多優(yōu)勢，將有助于使德克薩斯州成為網(wǎng)絡(luò)安全行業(yè)的一個領(lǐng)導(dǎo)者；未來需要一個框 架把這些優(yōu)勢整合在一起。其中一個優(yōu)勢是圣安東尼奧合作模型——當(dāng)?shù)卣④婈?、大學(xué)、當(dāng)?shù)氐闹袑W(xué)校和企業(yè)合作，提高網(wǎng)絡(luò)安全教育和宣傳。在圣安東尼奧有 NSA /DHS在得克薩斯州設(shè)立的12家信息安全保障卓越學(xué)術(shù)中心中的3家，而且全市有60000名技術(shù)工人，是全國最大軍事設(shè)施的駐地，有近80000名國防 部人員（CyberCityUSA.org 2013）。

德克薩斯人的教育抓得很早。面向K-5學(xué)生的網(wǎng)絡(luò)意識課程正在實施，而高中也有以 網(wǎng)絡(luò)為重點的項目。阿拉莫學(xué)院（Alamo Academies）——一個面向得克薩斯州高中生的項目——是通過產(chǎn)業(yè)界、當(dāng)?shù)卣?、公立學(xué)校系統(tǒng)和社區(qū)學(xué)院的合作伙伴而創(chuàng)建的。阿拉莫學(xué)院的目標(biāo)是讓 學(xué)生較早接觸網(wǎng)絡(luò)有關(guān)的研究，加快未來可能成為網(wǎng)絡(luò)隊伍成員的學(xué)生的學(xué)習(xí)。

這些州的網(wǎng)絡(luò)人員培養(yǎng)計劃是為了在本地區(qū)培養(yǎng)各個行業(yè)和公眾的網(wǎng)絡(luò)意識。這些州將能夠吸引更多的企業(yè)和網(wǎng)絡(luò)專業(yè)人士，并改善他們的地方經(jīng)濟(jì)。不過，雖然項目是區(qū)域性的，但由此產(chǎn)生的效果——得到更好的訓(xùn)練網(wǎng)絡(luò)人員——將產(chǎn)生全國性的影響。

四、接下來的行動

雖然一些指令、框架、計劃和措施致力于培養(yǎng)、訓(xùn)練和留住熟練的網(wǎng)絡(luò)安全人員，但是仍有一些不足的領(lǐng)域，是為了工作的重點。

一 個不足之處是缺乏具體工作角色任務(wù)的詳細(xì)信息。許多培訓(xùn)框架列出的具體工作角色或功能在不同框架之間是相似的，而且是偏向政府部門。大多數(shù)工作職能信息中 都缺少這項工作角色要執(zhí)行的特定任務(wù)的詳細(xì)信息。一個工作崗位通常需要履行什么特別的職責(zé)，而且需要什么技能水平以有效履行這些職責(zé)呢？

一旦特定的任務(wù)得到定義，包括熟練水平，那么就可以更好地設(shè)計培養(yǎng)的目標(biāo)和職業(yè)培訓(xùn)計劃。了解了勝任工作所必需的技能，個人以及組織將能夠更有效地進(jìn)行針對性的訓(xùn)練和技能提升。

‘