美國在安全教育方面是怎麼做的，還有什麼地方需要改進？

前言

眾所周知，

全球目前都面臨著一個問題，那就是網路安全人才的短缺。根據(ISC)2網路安全與教育中心的2017年全球信息安全勞動力調查結果顯示，預計到2022年，全球具有從業資質的網路安全專業人才赤字將達到一百八十萬。

很多業內分析人士認為，導致這一問題出現的主要原因是因為高中、大學、研究生以及已就業人士缺乏應有的網路安全技能教育。雖然網路安全教育已經逐漸成熟，而且相應的制度也在逐步完善，但我們仍然有很長的路要走。比如說，我們怎樣才能吸引有天賦的青少年從事網路安全工作呢？實際上，在網路人才教育方面，很多組織都在做出自己的貢獻。接下來，就讓我們一起來看一看到底如何才能更好地培育出下一代網路安全人才。

培養興趣，要從「娃娃」抓起

IBM Security 的全球執行安全顧問Diana Kelley認為，很多人在選擇某個行業之前肯定是要對這個行業感興趣，所以他才會選擇在上學的時候著重學習這個方面。網路安全也是一樣，但網路安全這個領域的學習周期可能比其他行業要更加長久一些。

IBM從2011年開始，就一直在努力通過讓高中生親手打代碼的形式來嘗試激發出他們對技術的興趣（P-TECH計劃）。在這個時間長達六年的計劃里，技術合作企業、政府機構、當地學校以及社區學院不僅給廣大信息安全愛好者提供了一對一指導、有嘗實習崗位和免費的副學士學位（美國大學修滿二年課程的肄業證書），而且還給成績優秀的學生提供了科技公司的入職機會。

在2014年，也就是P-TECH計劃實施的第三年，有150名來自紐約頂尖高校的精英參加了這個網路安全技術培訓計劃。他們在實踐過程中學習了很多操作技能，例如網路管理技術和信息取證分析等等。他們不僅學會了如何管理一台Unix伺服器，而且也學會了通過檢查日誌文件來了解系統曾經發生過什麼事情。除此之外，他們甚至還深入學習了網路安全法律的發展進程以及法律條款。Kelley表示，他們還希望這些優秀的學生在畢業之後能夠進入IBM的網路安全部門工作。

有待改進的地方

雖然我們的教學內容以及課程是非常有實用價值的，但是我們可能會忽略非常重要的一點，即學生對科學技術感興趣這並不等同於他們對信息安全感興趣。因此，我們應該傳遞給年輕人的信息是：網路安全不僅是一個令人興奮的行業，而且也是一份非常穩定的工作。除此之外，有些年輕聰明的孩子在學會了這些網路安全技術之後，很可能會誤入歧途，因此我們需要讓這些孩子站在正義的這一邊，這樣他們才可以成為我們今後與網路威脅作鬥爭的核心力量。

菜鳥訓練營-網路安全的速成班

實際上，網路安全行業需要的不是你的學位，而是你的技術。那些能夠在網路安全行業做到優秀的人，往往是那些敢於探索的人、能夠解決問題的人、以及有著強烈道德觀念的人，但這一切的前提是你必須擁有足夠優秀的技術能力。

網路安全速成班不僅可以給那些來自其它領域的專業人士提供技能培訓，而且還可以給那些沒有機會去上四年大學的退伍軍人或千禧一代提供教育機會。這些網路安全菜鳥訓練營的培訓計劃時長一般在三到六個月內，主要通過實際操作網路安全工具來學習網路安全技術，這樣可以在固定的時間裡以最快的速度學到更多的新知識和新技能。

在面對美國高失業率的情況下，網路安全菜鳥訓練營也可以幫助對失業工人進行再教育。像美國俄亥俄州和密歇根州這樣的地方有著大量的藍領工人，他們再汽車工業或製造業領域有著極其豐富的經驗和技術。經過三到六個月的培訓，聰明的他們肯定能夠掌握一定的網路安全技術，而等待著他們的很可能就是一個中上層階級的高薪工作。除此之外，美國國防部以及國土安全部也已經在採用這種訓練營模式了。不過他們的效率相對較高，他們可以在不到六個月的時間裡將受訓人員培訓成為一個能夠掌握最新網路安全技術和工具的人。

有待改進的地方

我們希望在未來能看到越來越多的由政府資助的網路安全訓練營出現，雖然當這些人完成了學業之後，將至少需要為聯邦政府工作一年，但是這種培訓計劃不僅可以為國家輸送安全技術人才，而且也將有利於私營企業。

行業證書也許比學位更加重要

對於某些公司來說，職業資格證書比學位要更有價值。因為我們可以看到，很多學生雖然沒有拿到學位證書，但他們如果通過了網路安全行業的資格認證，那麼他們同樣可以找到一份好工作。

在2014年到2015年，(ISC)2總共頒發了9017份證書，而在2015年到2016年，(ISC)2總共頒發了10130份證書。越來越多的人選擇參加(ISC)2的資格培訓課程了，他們在通過了(ISC)2的考試之後就可以拿到由(ISC)2所頒發的副學士學位。考慮到很多公司對求職人員有工作經驗的要求，所以我們也給他們提供了一年以上的實踐機會，他們只需要再經過一年左右的學習和實踐，就可以成為一名合格的網路安全從業人員，而工作經驗不會再成為他們求職道路上的攔路虎。

有待改進的地方

整個行業需要更多的非營利機構以及私營企業能夠認可這些網路安全證書，目前全球有一百多個國家組織都在頒發自己的網路安全證書，簡單來說，我們希望所有的這些證書能夠實現全球通用。因為所有的證書都是受訓人員努力學習的成果，所以我們應該提出一種公平、公正的認證模型，而這必須是一種全球都認可的網路安全認證模式。

網路安全學位和研究生課程的蓬勃發展

現在，越來越多的高等院校都開設了網路安全課程，而且還有很多學校得到了聯邦機構的捐款資助，這就相當於是政府與學校的聯合辦學。很多英國、歐洲和美國地區的高等院校借鑒了美國國家標準及技術研究所（NIST）以及英國網路情報中心的培訓模式，並且能夠給學生提供碩士級別的網路安全培訓課程。

但是對於企業的首席信息安全官來說，他們幾乎不可能送自己公司安全崗位的員工去大學進修一年，尤其是在目前安全人才緊缺的時候。進修確實可以幫助他們學習到更多的技能，但這個成本是企業負擔不起的。因為安全威脅的變化是非常快的，而安全技能也很容易過時。更加重要的是，很多公司都想從其他公司挖走頂尖的網路安全專家。所以一旦你允許他們去參加培訓，那麼他們就有可能跳槽，而作為公司CISO的你卻什麼都沒有得到。

有待改進的地方

雖然越來越多的高等院校開始為學生提供網路安全方面的課程，但是我們希望能夠有更多的人坐在教室里的凳子上學習這些課程，接受這些教育。因為光開設課程還遠遠不夠，我們需要的是更多的參與。

總結

這篇文章大致描述了美國目前的網路安全教育情況，並且也討論了其中有待改進的地方，我們希望大家可以由此反思一下我們國內的安全教育情況。儘管國內越來越多的機構開始提供網路安全培訓課程了，但我們的網路安全現狀以及人才培養的情況是否達到了我們的預期呢？

* 參考來源：networkworld， FB小編Alpha_h4ck編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！