中國信息安全從業人員現狀調研報告(2017年度)正式發布
網路安全已成為事關經濟社會發展、國家長治久安和人民群眾福祉的重大戰略問題,建立一支規模宏大、結構優化、素質優良的網路安全人才隊伍已成為維護國家網路安全和建設網路強國的核心需求。
2月5日,中國信息安全測評中心正式發布《中國信息安全從業人員現狀調研報告(2017年度)》。此次調研活動由中國信息安全測評中心主辦,中國信息產業商會信息安全產業分會承辦,《中國信息安全》、FreeBuf、e安在線、安全牛、i春秋及E安全等單位協辦。報告旨在調研我國信息安全從業人員的基本構成和分布、人才供需和結構、能力提升方向和途徑、職業發展路徑以及職業滿意度等情況,著重分析從業人員整體態勢並同國外情況進行對照,為國家信息安全人才隊伍建設提供決策參考。
調研對象
「2017年度中國信息安全從業人員現狀調研」活動採用在線問卷調查方式實施,共收集有效樣本1957份,覆蓋了全國所有省、自治區和直轄市。接受調研的信息安全從業人員來自不同行業和單位,承擔了各類職責和角色的信息安全工作。
調研結論
報告認為,當前我國信息安全從業人員現狀主要包括以下幾個方面:
1.基本構成相對單一,地域分布以一線城市最為集中。
受訪者工作地分布圖
我國信息安全從業人員以男性為主,多數為本科學歷並具有計算機教育背景,與全球信息安全從業人員的構成基本一致。同發達國家相比,我國信息安全從業人員年齡構成相對年輕,從業年限整體上也相對較短。在地域分布上以北上廣深四大一線城市最為集中,此外在最具經濟活力、電子信息產業規模化發展的長三角地區,以及安全企業和信息安全強校彙集的西南地區也比較集中。
2.信息安全從業人員供需嚴重失衡,存在結構性問題。
受訪者整體薪酬分布圖
人才需求迅速增長,人才缺口難以填補,供需關係嚴重失衡推高了整體薪酬水平。國內信息安全從業人員平均薪資水平在12.2-17.8萬元之間,高於國家專業技術人員及信息技術從業人員年平均工資。從事運營與維護、技術支持、管理、風險評估與測試的人員相對較多,而戰略規劃、架構設計、信息安全法律相關從業人員相對較少。戰略規劃和架構設計崗位人才的短缺情況最為突出,尤其缺乏能力全面且具有全局把握能力的「將才」。
3.自我期望和要求較高,培訓需求難以得到充分滿足。
我國信息安全從業人員主要是在基於自身內在價值驅動下選擇從事信息安全職業,對持續更新自身知識和能力具有較高要求,從業過程中主要通過在線學習和職業培訓方式進行能力提升。信息安全從業人員在各方面能力中最希望提升的是專業技能,其中最希望提升的專業技能方向依次是網路攻防、安全管理、安全架構,以及安全審計。然而,僅有22.8%的從業人員能在所屬單位能夠得到定期、有計劃的目標培訓。
4.整體發展不充分,地域、行業、崗位間差異較明顯。
受訪者不同地域薪酬變化分布圖(樣本量 1950 人)
當前我國網路安全投入明顯不足,安全責任不到位,網路安全人才市場需求尚未得到有效釋放。隨著業務需求和法律強制需求的增長,信息安全從業人員數量和質量有望繼續快速增長。從業人員薪酬呈「一線城市-華東華南-其他地區」階梯式分布,金融行業、管理崗位人員薪酬高且漲幅快,然而約一半體制內從業人員過去一年薪酬不變甚至出現下降,作為重要安全建設者的安全運維人員薪酬基數和漲幅均創雙低。
5.職業發展路徑不明確,缺乏人員分類和評價的標準。
25.9%的信息安全從業人員在技術職稱序列上沒有清晰的歸屬,企業的人事管理體系中設立的標準和級別各行其是。信息安全領域細分方向眾多,技術快速更新,目前尚沒有形成一個能夠囊括職業全頻譜類別、覆蓋完整職業生命周期,且為業界普遍認可的職業發展路線圖。人員責、權、利難以對等實現,不利於國家對信息安全人才隊伍建設的整體規劃和引導,也不利於從業人員個人的職業發展。
6.壓力感受普遍比較大,但整體職業滿意度依然向好。
受訪者整體壓力感受分布圖(樣本量 1957 人)
信息安全從業人員普遍感覺壓力較大,認為工作輕鬆的人群僅佔1.7%。政府機關事業單位、金融行業以及在管理崗位任職的人群壓力感受更大。人員隊伍由於長期供不應求,現有的從業人員隊伍需要承擔與自身規模和能力不相匹配的任務量級,加之安全保障崗位須承擔較大責任,使得信息安全從業人員普遍感覺壓力較大。儘管如此,從業人員職業滿意度較高的人員佔比仍顯著高於滿意度較低人群,表明從業人員對信息安全職業發展總體看好並持正向態度。
7.資質認定能有效促進職業發展,但持有情況不樂觀。
不同信息安全細分領域、不同級別的資質認定有助於信息安全從業人員規劃和實現職業目標,同時也為人員考核與評價提供了客觀公正的判定依據。持有相關資質證書者認為其職業培訓和資質認定的過程對能力和職業發展均有較大的促進作用,國內持有信息安全資質證書的人群中,佔比最高的是註冊信息安全專業人員(CISP)。但整體來看,當前階段信息安全從業人員持有權威資質證書的比例不高,只有較少或部分從業人員持有相關證書。
專家觀點
中國信息安全測評中心資質評估處處長位華表示,「實施網路安全人才工程,需要我們以科學的態度深刻把握網路安全領域以及網路安全人才的特殊性,找准當前安全人才隊伍建設中的難點問題。從調研結果來看,信息安全人才隊伍建設還面臨著供需嚴重失衡、教育培訓不足、人才評價手段有限等問題。當前急需進一步加強從業人員以及儲備人員的教育培訓,同時需要研究制定從業人員評價標準,做好人才的選、育、用、留。網路安全人才事業已迎來最好的發展機遇,我中心作為承擔信息安全人員資質測評職能的國家權威部門,十五年來通過註冊信息安全專業人員(CISP)培訓體系為黨政軍、重要行業、關鍵信息基礎設施運營單位培養了數萬名信息安全專業骨幹人才。在當前網路安全人才發展的關鍵歷史時期,我們將擔當起時代使命,繼續投身網安人才培養實踐和探索工作。」
《中國信息安全》副社長、主編崔光耀認為,「習總書記在4.19講話中強調,網路空間的競爭,歸根結底是人才的競爭。俗話說,千軍易得,一將難求。擺在我們面前的現實情況是,一將固然難求,千軍同樣恨少。面對我國網信事業『九州生氣恃風雷』的大局,網路空間人才特別是網路安全人才不足的矛盾日益突顯。這兩年國家在人才培養方面採取了一系列重大舉措,也取得了良好的效果,這是一個很好的跡象。但是,人才緊缺的狀況短時間難以得到根本改觀,需要堅持不懈、下大力氣做下去。中國信息安全測評中心發布我國信息安全人才白皮書,旨在摸清人才家底,進而有針對性地推動人才培養打開新局面、邁上新台階。『我勸天公重抖擻,不拘一格降人才』。藉此白皮書發布之機,為之鼓與呼, 這個『天公』不僅是網安領域,也是網信領域及至全社會的共同責任。」
從業人員聲音
此次調研得到了廣大信息安全從業人員的熱烈響應,已成為一線從業人員反映自身現狀、發表觀點看法的渠道,以及為安全事業建言獻策的平台。
調研活動中,一位信息安全從業人員表示,「隨著信息技術的飛速發展,信息安全方面的預防和處理變得越來越重要。在我國很多單位中,對於信息安全方面的重視程度不高,缺乏相應的信息技術知識,單位信息網路缺乏科學的管理,往往發生問題後不能及時處理,造成經濟等方面的損失。應該加強對信息技術從業人員的培養,制定相應的制度進行管理,把信息安全管理真正落在實處。國家應該鼓勵信息安全技術的學習,提供更大的平台滿足信息技術從業人員的知識需求,保證從業人員能夠更好地實現個人發展,提高信息安全服務質量。」
關於此次調研,受訪者認為進行此類摸底十分及時和必要,「目前從業人員的層次和結構還是比較複雜的,很多在從事信息安全工作前,並沒有足夠的專業知識,造成行業人員的水平能力參差不齊,容易造成從業門檻較低的誤解,對人員提高在企業的話語權和地位不太有利。希望通過此次調研活動,掌握從業人員的工作、學習現狀,找准培訓學習提升需求,幫助提升行業整體的水平能力。」有受訪者表示,希望「活動能成為一項長久的舉措持續進行下去,從而構建國內信息安全行業人員的生態圖表,成為國內信息安全從業者的能力風向標」。
對於備受信息安全從業人員關注的能力提升、職業發展等問題,受訪者們積極反饋自身經驗體會,「我是CISP持證人員。通過學習CISP認證體系的相關內容,我對信息安全法律體系、管理方法以及安全技術等方面有了全方位的了解,提高了我的信息安全專業素養,對整個信息安全體系的把握更加清晰,對信息安全的規劃和架構也有了一定的見解,對工作也起到較大的促進作用。在工作中,評職稱或競爭上崗,有了這個證書,也能為自己加分。」「通過CISP的培訓和學習從各方面對本人工作所需專業知識進行了系統的整理,夯實了基礎,信息安全整個技術發展非常迅速,在基礎紮實的前提下要融會貫通新的技術才能更適應當前的發展。我從事第三方測評工作,工作中感覺當前各單位對信息安全都很重視,具有較強的安全意識但缺少相應的技術能力,我認為一線信息安全工作人員對於實踐教育培訓有較大的需求。」
點擊閱讀原文下載完整版報告:《中國信息安全從業人員現狀調研報告(2017年度)》正式發布
*本文作者:中國信息安全測評中心,轉載請註明來自FreeBuf.COM
※駐場工程師眼中的政務雲安全
※CVE-2018-5711:一張GIF圖片就能讓伺服器宕機的PHP漏洞
TAG:FreeBuf |