ACM通信
观点:虚拟扩展
《短暂的军团:从稀薄的空气中产生一支网络安全专家队伍》
尽管最近的招聘预测(一些成千上万的人在未来三年内,美国国家安全局和国土安全部都将招募一批新的网络安全专业人员5显示出对网络安全技能的强劲需求,这样的招聘热潮至少可以说是雄心勃勃。目前技术娴熟的网络安全工作者的生产速度既不能满足公共部门也不能满足私营部门的需求,如果我们不共同努力大幅增加这一劳动力,那么美国将输出高薪的信息安全工作岗位。在全球经济中,这种情况并不一定是一个坏结果,但它给美国带来了几个挑战公布的网络安全计划。我们相信,建立一支庞大的网络安全工作队伍不仅可行,而且将有助于确保美国的经济实力
庞大的网络安全工作队伍将为国内高科技产业提供坚实的支柱。除了提供即时的经济刺激外,这些工作的性质要求他们长期留在美国,并将直接支持以安全和可靠的方式将信息技术引入医疗保健和能源系统的努力。没有承诺教育这样的劳动力,是不可能的雇佣这样的劳动力形成了。
的华盛顿邮报》文章“Cyber-help希望”3.强调了联邦政府在网络安全教育、推广和招聘方面需要一种截然不同的方法。从我们的角度来看,很少有工人得到充分的培训,主要是因为传统的教育机制缺乏资源有效地培训大量经验丰富、知识渊博的网络安全专家。政府极其多样化的网络安全需求使问题复杂化:操作、分析和战略技术角色跨越了政府的军事和民用部门。即使找到一个有名无实的首脑来指导和协调政府的网络安全工作也是一项艰巨而模糊的任务。1
我们认为核心问题是规模和能力的问题;学术部门经常错误地回避非正式的“黑客课程”的教学,因为它与特定的技术联系太紧密,无法教授抽象的计算机科学概念,而且目前大量的网络安全研究和教育资金在我们有意义地教育大量学生的能力上留下了相当大的差距。事实上,那些最有能力传授信息安全和保障技能的教育工作者往往无法将大量时间投入课堂,因为他们必须把时间花在追求更有声望的研究资金上。
虽然有专业认证课程,但NSF有服务奖学金(SFS)项目,美国国家安全局将许多高校网络安全项目指定为学术卓越中心(CAE),但实际上,只有少数高质量的教育项目得到了资助、装备,并愿意快速培养大量的信息安全工作者。6
此外,现有的用于网络安全教育或再培训的资金与用于纯研究的资金相比相形见绌。同样重要的是,许多商业培训项目和认证的重点是教授用于打赢上次网络战的技能,而不是当前或未来的网络战。大学教育在为专业劳动力提供必要的核心技能以适应高度适应性的威胁方面起着关键作用。培训政府网络安全工作人员的计划应该把重点放在培训新劳动力上,而不是对现有工作人员进行大规模认证。
对未来的希望是存在的:我们已经看到了以前无聊的学生在有机会操作真实的网络数据包、修改真实的操作系统和硬件、评估真实的安全策略和访问控制机制、分析真实的漏洞和利用时的热情。我们在学术界有很多同事,他们做了大量的工作,将他们的才华传达给少量的本科生或硕士水平的学生。这些努力需要加大力度。
培训政府网络安全工作人员的计划应该把重点放在培训新劳动力上,而不是对现有工作人员进行大规模认证。
对于大多数试图寻找另一份工作、支付医疗保健费用或处理负债的抵押贷款的人来说,教育一支网络安全工作队伍的紧迫性似乎是一个低优先级的问题。尽管存在这些挑战,奥巴马政府仍将网络安全作为国家的一项重要优先事项,我们认为教育大量的网络安全专业人员必须是首要优先事项,特别是鉴于信息安全是同时改造医疗保健和能源系统这一战略优先事项未来成功的基础。事实上,对网络安全专业人员的需求远远超过了目前的供应,这表明如果能够培训足够数量的专业人员,经济的一个部门将会增长。随着2009年12月和2010年12月“全国计算机科学教育周”的宣布,国会已经认识到计算机科学是一个至关重要的国家利益。4
由于目前大多数政府和私营部门的努力都依赖于一个稳定、可靠和安全的计算基础设施的假设,我们建议采取以下措施:
- 为网络安全教育提供大量资金:创建一个持续的资助项目,提供大量奖金,以鼓励专门针对网络安全问题的教育技术研究,从而产生可扩展的教育。这类奖项的声望和知名度必须与纯研究奖项相匹配。
- 扩大国家安全局学术卓越中心项目:通过利用现有的CAE项目,使每个CAE机构与高中、社区大学和文理学院合作,建设教育能力。CAE项目被批评为没有为推动网络安全向前发展提供真正的领导工具,而只是作为一个认证项目。6
- 高中试点项目:与教育部和地方学校董事会合作,在高中层面创建一个全国性的信息安全课程试点项目。我们冒着过早地拒绝有才能的年轻人的风险,而这些年轻人本可以从网络安全培训中受益。正是在这个时候,年轻人正在选择职业道路,也正是在这个时候,我们可以吸引他们关注广泛的信息保障、隐私和安全问题,这些问题存在于他们日常使用的技术中:社交网络;手机、游戏设备、嵌入式设备;电子邮件和即时通讯软件等等。这个空间中各种各样有趣的问题应该会对那些不认为自己是计算机或数学极客的学生产生吸引力。
- 向黑客社区伸出援手:为教育工作者资助研讨会,以弥合白帽黑客和对信息安全感兴趣但缺乏可用资源或指导的典型学者之间的差距。尽管大多数有道德的黑客对供应商的安全保证持健康的怀疑态度,但他们也有原则性的、负责任的方法来识别系统缺陷。计算社区的这一部分有许多有价值的东西可以教给我们通信此前曾被认定为特刊。2
- 显著增加大学安全专业知识:在公立和私立大学和学院捐赠大量的国家信息安全学者席位。在不确定的经济时期取消分配终身教职的负担,将对美国各地可用的网络安全教育的数量和质量产生成倍的影响
我们意识到,有些人可能会反对这些具体的建议,并提出其他建议。我们希望我们在这里列出的努力能激发足够的讨论,从而在美国网络安全教育的质量和规模上产生有意义的、有效的和重大的变化。我们相信,在用户和雇主(包括政府)的期望与劳动力稀缺和教育机制不发达的现实之间存在着根本性的差异。
网络安全提出了一个困难而重要的挑战,因为飞行从根本上是不平衡的:攻击者只需要找到一个弱点,而防御者必须尽力保护一切。如果美国不能为其军事、民用、金融、能源、医疗保健和交通信息系统提供高度称职的捍卫者,那么它将不再是一个有意义的国际存在。
参考文献
1.“网络安全沙皇”的角色;http://www.cs.columbia.edu/~smb/blog/2009-11/2009-11-03.html.
2.黑客与创新。Commun。ACM 49(2006年6月)。
4.房子558号决议。全国计算机科学教育周;http://www.opencongress.org/bill/111-hr558/show;房子5929号决议。2010年计算机科学教育法;http://www.opencongress.org/bill/111-hr5929/show.
5.安全方案:国土安全部正在寻找1000名网络安全专家。华盛顿邮报》,(2009年10月1日);http://voices.washingtonpost.com/securityfix/2009/10/dhs_seeking_1000_cyber_securit.html?hpid=sec-tech.
6.信息保证教育2009:教授Eugene Spafford,普渡大学(2009年10月20日);http://www.govinfosecurity.com/articles.php?art_id=1789&opg=1.
数字图书馆是由计算机协会出版的。版权所有©2011 ACM, Inc.
没有发现记录