美國國家標準與技術研究所(NIST)近日公布了一份網絡安全勞動力框架，用以支持企業培養并維護有效網絡安全員工的能力。

該框架定義了角色及角色所需的知識和技能;還定義了澄清網絡安全教育者、培訓者/認證者、雇主和雇員之間交流的通用語。該框架意圖幫助公司企業發展其現有勞動力，并幫助學術機構持續培養未來勞動力。

與其他所有框架類似，使用的公司企業受益，而其他人無視。坦帕市信息安全官馬丁·茲奈赫看出了其中的潛在好處。2015年，他將當前網絡安全狀態，與1972年美國東方航空401航班的緩慢下降并最終墜毀相提并論——機組人員僅僅是沒分清應關注的主次。

在文章中，茲奈赫寫道：“國家研究理事會在其2013年報告《為決策專業化國家網絡安全勞動力標準》中，聲明了網絡安全依然是太過新興的領域，無法為其實踐者引入專業化標準。”

然而如今已是4年之后，NIST確實在提出教育性勞動力標準。我們正慢慢達到那一步。

NIST框架定義了7個主要的安全勞動力類別：安全供應;運營與維護;監管和治理;保護與防御;分析;收集與處理;調查。對于一些人來講，這種解構主義是有其可取之處的;而其他人，則更多的是對潛在問題的擔憂。

信息安全論壇(ISF)執行董事史蒂夫·德賓評論道：“盡管未來兩年里，企業信息安全勞動力規模預計增加1/4以上;某些企業卻是負擔不起員工增長的。該框架可進一步幫助公司領導人為現有員工提供信息安全再培訓和交流機會，以可承受的方式在一定程度上封堵不斷拉大的技術缺口。”

內森·溫斯勒，AsTech首席安全策略師，卻對此不那么有信心。他認為，此框架適用于結構嚴謹相互獨立的環境，比如聯邦政府。但對廣大已經掙扎于尋找適格網絡安全人才的公司企業而言，通過該框架引入的人才只適應某個專門領域是不夠的。大多數公司需要的是一專多能的安全人才。”

史蒂文·棱茲，三星美國研究院CSO兼信息安全總監，也有同樣的顧慮。“網絡安全勞動力框架是個好主意。但實際上，公司企業會不會采用，會不會關注，那是個很現實的問題。”

棱茲認為，其有效性取決于現有安全培訓公司的接納度。“當前安全培訓認證網站，比如ISC^2、ISACA、SANS等等，會受到什么影響?他們會參與并幫助發展該NIST倡議嗎?或者將之看作是短命的替代品?政府的備選?我們都需要繼續培訓，但培訓合作伙伴需擰成一股繩來讓我們這些實踐者變得更強大。”

其他實踐者還有更大的質疑。其中之一就是克里斯·羅伯茨，Acalvio首席安全架構師。“我不是證書愛好者，學歷學位或任何正式培訓都吸引不到我。我來自另一個時代，不是學徒工時代，但也相去不遠了。我是在工作中學習的，我很慶幸自己遇到了一些極棒的導師，也有一顆渴望知識的心。這條路不適合所有人。我們需要以更好的方式適應。我不贊同‘只有獲得學位才能成為專業人士’的想法。這種狗屁邏輯早就被世界上眾多成功者證否了，應該被禁掉。我認同我們大家都是獨立的個體，這個行業很善于適應并理解該領域眾多從業者都沒接受主流教育。”

羅伯茨的抗爭或許是徒勞的。任何系統的成熟，都伴隨著控制的集中化。個別銀行經理不再能決定貸款，決策由總部控制。連鎖店經理基本決定不了自己的庫存——同樣是集中控制的。政治管控一貫歸于中央。網絡安全教育國家倡議(NICE)網絡安全勞動力框架，或許是集中化的又一個樣本，目前以指南和輔導的形式存在，但最終會走向堅持要求的形式。它對某些人有用，其他人則不然。

史蒂夫·德賓對此毫不疑慮。“有些人可能會說該框架太過簡單或不夠徹底，但面對很多人預測的人才短缺程度，這至少能為企業提供努力吸引和留住網絡人才的指南。”

報告下載：

http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-181.pdf