美国国家网络安全教育战略计划倡议
报名试驾BMW赢莱卡相机 2012年10月06日15:29 作者:知远
正文
我来说两句(0人参与)
打印 字号 保存到博客
行动纲要
我们的国家正在面临风险。国家政府及关键基础设施中的网络安全漏洞对于国家安全、公共安全和经济繁荣来说是一种风险。现在,是时候发起一项全国性计划,重点提高对网络安全的认识、教育、训练和专业开发。美国必须鼓励发展国家网络安全能力,组建一支敏捷、高度熟练的劳动力队伍,用以应对一组动态的、迅速发展的威胁。
这份文件阐述的是国家网络安全教育计划的第一份战略规划,该规划将随计划推进在今后几年里进行更新。这份出版物面向广大人群,包括日常生活涉及网络的美国普通公民,我们的学生、教师,首席信息官,人力资源总监,企业家,和那些保护在线消息、在线交易和网络进程的人。
国家网络安全教育的目的,是为了整体提高美国的网络安全水平。通过加速发展教育和训练资源,提高各层次人口的网络行为、技术和知识,形成一个更安全的网络环境。
国家网络安全教育计划实施后,通过革新的网络安全教育、训练和广泛认知水平,我们可以期待一个安全的数字化美国,在21世纪拥有高度发展的经济和国家安全水平。
国家网络安全教育计划将通过实现这三个目标来完成这一愿景:
1.增强美国公众的网络行为风险意识
2.扩大支持国家网络安全技术的工人储备
3.开发和保有一支国际顶尖的网络安全工作队伍
这份报告描述了国家网络安全教育计划的战略目标及其所支持的战术目标。这些战略目标为执行计划中的任务及完成其愿景搭建了一个框架。而战术目标明确了为了实现战略目标所需开战的高级行动。每一个目标的成果可成为国家网络安全教育计划完成度的衡量标准。对每一个战术目标的战略则描述了为了达成目标可能的前进路线或是可用的机制。整个计划为美国提供了一条通向更安全的数字化国家的道路。
一、简介
战略背景
我们的关键基础设施——例如电网、财政部门和运输网这些支撑着我们生活的设施——遭受着日复一日的网络入侵,网络犯罪在过去的10年里也戏剧性的增长着。总统因此对网络安全给予了行政优先权。两年前,当总统发布他的网络政策回顾时,他声明:“网络威胁是我们面对的最严重经济和国家安全挑战之一。”
为了保护和保卫国家数字情报和基础设施,美国必须鼓励发展国家网络安全能力,组建一支敏捷、高度熟练的劳动力队伍,用以应对一组动态的、迅速发展的威胁。
目的
国家网络安全教育计划的战略规划明确了战略目标和战术目标,以帮助实现网络安全的公共环境和具有全球竞争力的网络安全劳动力。
国家网络安全教育计划的任务
国家网络安全教育计划将通过加速发展教育和训练资源,提高各层次人口的网络行为、技术和知识,全面提高美国的网络安全水平。
国家网络安全教育计划的愿景
通过革新的网络安全教育、训练和广泛认知水平,我们可以期待一个安全的数字化美国,在21世纪拥有高度发展的经济和国家安全水平。
国家网络安全教育计划的战略目标
1.增强美国公众的网络行为风险意识
2.扩大支持国家网络安全技术的工人储备
3.开发和保有一支国际顶尖的网络安全工作队伍
国家网络安全教育计划的利益相关者
国家网络安全教育计划的利益相关人群范围涵盖了整个美国社会,从高级政府官员到每一个美国公民。保护网络安全,保证我们自己、我们的家人和我们的网络社区的安全,每一个网络用户都将参与其中,所以,公民个人将成为关键的受益人。
这些关键受益人存在于联邦、州、部落、地方与领土政府中,也存在于那些支持共享网络安全训练、教育和情报的协会中。
国家网络安全教育计划也将使那些私营部门的人员受益,包括关键基础设施的所有者/经营者,大型公司,小型企业,学术机构,和其他相关党派。
国家网络安全教育计划的伙伴关系
利益相关者们与国家网络安全教育计划有着特殊的关系,他们对这一计划将对他们产生怎样的影响非常感兴趣。许多该计划的利益相关者们都已经积极的参与到相关的规划、管理和开发活动中。他们的努力同其他各方面的努力一样,对国家网络安全教育计划的有效实施起到关键性的作用。因此,加强同积极的受益者的合作关系,结成新的工作关系,在全国采取行动,最大化行动的影响力,是十分重要的。这些伙伴关系通过将教育、认知和工作能力开发等活动,直接贡献于计划的战略目标和战术目标。
合作关系将在企业、政府和学术界这些受益者的组织间形成。同时,合作伙伴们将利用他们共同的力量和能力来产生更大更持久的影响力和附加价值,这些是他们每一个个体所无法单独实现的。这些合作关系是自发、多方向、参与式、可信、可持续的,并被信息流和理念所支持。合作关系的缔结对国家网络安全教育计划的规划、实施和评价是极其重要的,使我们可以确保这些行动是适当、有效和可持续的。
2 图1 NICE伙伴关系
[保存到相册]
政府参与者
美国国家标准技术研究所(NIST)作为该计划的指定领导将促进协调现存的和将来的网络安全教育、训练和认知活动,以提高和加强他们的效力。可以想象,国土安全部(DHS),国防部(DoD),教育部(ED),国家标准技术研究所 和国家科学基金会(NSF)将主要负责第一目标;国土安全部、教育部、国家标准技术研究所、国家科学基金会和国家安全局(NSA)将主要负责第二目标;国土安全部、国防部、教育部、国家标准技术研究所、国家科学基金会和国家安全局、国家科学基金会和人事管理局(OPM)将主要负责第三目标。
二、国家网络安全教育计划战略概述
国家网络安全教育计划是一个多维度的首创,其目标在于使国家的数字素养和网络安全知识制度化。从向大众提供信息到专业的工作和发展,国家网络安全教育的战略规划为其提供了一系列的国家网络安全的知识。以下所讨论的大目标和小目标主要集中在三个首要的成果:
提升公众对网络风险的认识,使其能负责任的使用网络,并且使网络安全成为一条事业道路。
发展培养下一代的网络安全人才,培养对科学、技术、工程和数学(STEM)的兴趣;
通过教育、训练、雇佣和认证,提升信息安全相关从业人员和专家们的能力。
图2表述了频谱中各种元素与国家网络安全教育计划的目标和总体的战略成果的联系
2 图2 战略结果
[保存到相册]
这项国家首创的计划的演变使得参与一个战略计划程序成为必要,这个程序将影响国家网络安全教育计划的受益者、合作伙伴和政府活动。联邦、州、部落、地方与领土政府中的受益者以及学术界和工业界都已向这个程序进行投入。这总体的战略规划将随着时间推移而更新,以体现最新的优先级、完成度、投入和信息。
表一介绍了国家网络安全教育计划的战略目标和具体目的。第三部分对他们分别进行了详细的说明。
1
这个战略目标的剩余部分,“网络安全劳动力”是指那些工作主要集中在网络安全方面的人。例如,在医院里护士需要上传病人的医疗保健记录,他/她必须按照网络安全政策来工作以保护病人的个人隐私,那么这家医院就需要有员工来主要负责计划、实施和维护医院的网络系统的安全状况。这是我国的劳动力的一部分,将从目标1(提升认知)中获益。那个负责医院网络安全的员工或是承包商就是“网络安全劳动力”的一部分。目标3集中在使“网络安全劳动力”的技术更加专业化。目标2则是旨在向网络安全事业领域输送人才。
三、国家网络安全教育计划的目标
该部分详细介绍了国家网络安全教育计划的战略目标和次要目标。这些目标为执行计划任务和完成愿景提供了一个框架。在每个战略目标里提到的次要目标显示了为了达成战略目标而必须采取的高级行动。该战略描述了一条达成各项次要目标的前进道路,这些目标的达成标示了整个计划的进程。
目标1.提高对网络行为风险的认知水平
美国民众越来越依赖于网络来管理他们日常生活的各个方面,但很大一部分人没有意识到一些威胁着他们个人隐私、人生安全和财产安全的风险。各种非网络组织也越来越热衷于进行网上贸易,却缺乏对该行为风险的充分认识。在线,表示一种连通的状态,多数情况下是指在网络上。本计划需要让更多的人意识到恶意行为的存在,且会因为他们乐于从互联网接受信息或是乐于向互联网提供信息而被利用。本目标将向公众发出信息来提倡负责地使用网络,提升对网络诈骗、身份盗用、网络掠夺和网络道德的认识。本目标旨在提升家庭、工作和公共场合中的网络风险。
图3显示了国家网络安全教育计划希望个人和各组织一步步达到的网络安全知识的不同阶段。阶段1 – 认识到网络安全问题,每个人都面临着风险;阶段2 – 从技术和社会层面上理解这个问题;阶段3 – 对自我责任的认识,这是每个人应该做的,也是必须做的。阶段4 – 获取防护工具和知识,通过各种资源来获得应对的能力;阶段5 – 利用获取的工具和技术反过来来丰富资源;阶段6 – 保持并不断的学习以应对不断变化的威胁。
1 图3 网络安全知识 [保存到相册]
目标1被三个次要目标所支持。次要目标1.1面向美国公民,次要目标1.2 面向我们所工作的各种组织,次要目标1.3 诣在提供公民和组织所需要的网络安全资源。
次要目标1.1提升公众的知识,使其在处理网络风险时做出明智的选择
大众对网络信息共享的风险认知还远远不够,它可以影响到个人甚至是国家的安全。我们必须使美国人更加了解可以使他们远离网络威胁所带来的消极后果的工具和训练。
图3显示了一种分段式的提高网络安全知识的途径。国家网络安全教育计划集中提升每一个阶段的人的数量,并宣传支持每一个阶段的认知水平教育课程。
收益
次要目标1.1的顺利进行将会有如下几个收益:
人们将更少的受害于网络欺诈。
人们在网上共享信息之前会先考虑安全隐私是否有被侵犯的可能。
更多的人将会安装安全工具来应对网络威胁。
网络安全的概念将被普及,人们知道网络安全就如同他们知道吸烟有害健康、安全带的重要性、良好的饮食和运动会带来健康收益一样。
战略
从「停下,思考,互联」¹开始认知教育计划。
为面向美国大众的数字素养训练制定标准和战略,保证大众能够使用工具和技术来减少网络风险。
学。
通过一系列的途径向公民普及不断变化的网络威胁情况,包括认知教育计划、公共 向教育者发布资源,使其可以在所有网络相关的课堂上更好的同学生交流和进行教服务公告、技术交流会、商务会议、因特网和其他媒体渠道。
次要目标1.2:提升组织内部的网络安全意识,使网络资源所面对的最直接和最严重的威胁得到很好的处理
美国人所生活的环境中,网络犯罪者们总在发明新的复杂的技术来慢慢损害各种组织的网络安全。因为这些威胁的不断变化和演变,我们必须对这些变化进行追踪,并且及时通知各组织关于现存的威胁和相关缓解技术。各组织应当有机会通过教育、训练和认知教育计划学习到多种方式来在网络上加强对知识产权、客户资料、服务和关键设施的保护,并且能了解不断发展和进步的网络安全保护工具和保护措施。
图三显示了一个分段式的路径来达到提升私营部门的网络安全知识的成熟度的目的。因为并不是所有的私营组织都将同一阶段作为起点,也不能保证他们一定拥有足够的资源来达到阶段4到6,所以次要目标1.2旨在帮助所有组织提升他们的网络安全认知水平。国家网络安全教育计划的目的,在于鼓励私营企业检查他们的网络风险,从而使他们能做出知情决策来获取、实现和维护网络安全状态以应对这些风险。
认知资源的目的在于一些生产和出售网络相关技术的企业也可以影响其他企业。次要目标1.2力争使我国的创造者们在设计的初始阶段就将网络安全考虑在内。次要目标1.2也致力于让当下的发明家们从网络安全专家那里了解可用的网络安全工具和最优措施,这样也可以让他们的产品在全球范围内更具有竞争力。之后在文章中将讨论目标2,旨在鼓励正式教育以培育出更多的网络安全专家。
收益
次要目标1.2的顺利进行将为私营企业带来如下收益:
提高对技术问题和威胁所导致的工具获取和训练的必要性认识。
向所有员工宣传网络安全意识。
对财产、功能、声望和管理能力的保护。
向员工宣传隐私意识。
生产包含了安全措施的软件和硬件。
网络安全产品的质量将会提高,美国大众可用的网络安全服务也将会提升。
增加对供应链缺陷的认识。
使用网络安全工具来支持产品开发。
战略
通过一系列的途径向私营企业组织普及不断变化的网络威胁情况,包括认知教育计划、公共服务公告、技术交流会、商务会议、因特网和其他媒体渠道。
宣传网络安全保护措施,如使用安全工具和训练、教育劳动力、需求追踪和宣传最优措施和网络安全标准。
向小型企业和组织提供网络安全知识。
次要目标1.3: 提供可用的网络安全资源
美国人缺少权威的可负担的并且易于获取的信息来源,以让他们得以区分网络安全的现实与夸张炒作,并且分辨哪些是好的工具而哪些不是。政府、学术界和工业界应当共同努力,向美国人民提供好的资源和工具来保障他们的网络安全,并且加强我们在此方面所作的努力。
收益
次要目标1.3的顺利进行将带来如下收益:
提高资源的可用性,及时获取和证实信息;以及
加强对抗网络威胁的工具的应用。
战略
与私营部门、学术机构以及国家/州/部落政府合作来传播工具、训练方式和资源。
在IT政策和管理体制的配合下,创造、传播和推广网络安全的最佳范例和指导。
目标1的相关活动和产品
国家网络安全教育计划的网站
网络安全学习入门(NICS)的国民机构
网民论坛,网络安全教育志愿者(C-SAVE)计划,以及其他志愿者计划
国家网络安全意识运动:停下,思考,互联
国家网络安全意识挑战 ³
目标2.提高高素质工人的数量以支持国家网络安全建设
图4所示的学术管道描述了建设数字化国家所必须的网络安全中角色的转换,这是在总统的网络安全政策回顾中所呼吁的。目标2直接旨在用正规教育增加能满足国家需求的具有网络安全素质的人才数量。
1 图4 网络安全教育与训练管道 [保存到相册]
为了培养下一代网络安全专家,我国的教育体系需要在小学里就培养学生对数学的兴趣,并且保有这种兴趣直到中学毕业。在高中里,我国的教育系统需要创造一些机会来让学生探索计算机思维,让更多的学生为在大学乃至硕士学习中钻研网络安全做好准备。所有这些活动旨在助力美国政府发起的一项工作,与老师、家长、学生已经商业组织共同协作,来提升科学、技术、工程和数学(STEM)教育以让学生们更好的为引领21世纪做好准备。
次要目标2.1 加强基础教育阶段的科学、技术、工程和数学的教学,强调数学和计算机思维的重要性
学术管道从STEM开始,特别是中小学的数学教育。如今,美国的高中生在数学和科学上经常落后于其他国家的同龄人。尽管国家、州和地方政府作出很多努力来提高他们的STEM成绩,仍然有很多需要被做的事情。
收益
次要目标2.1的顺利进行将带来如下收益:
在接下来的10年内,美国学生将从国际评定水平的中间上升到前端水平
更多的学生将带着对网络安全的求知欲和足以进一步学习网络安全专业/事业的能力毕业
战略
从2013财年开始,成立幼儿园联盟,通过12个年级(K-12)进行STEM教育以支持一系列的战略4
从2013财年开始,成立正式网络安全教育预算联盟用于国家网络安全教育计划
发展能力以协助私人发行的计算机科学及网络安全教材、工具和资源,有体制的在国家及地方实施K-12 STEM教育计划
协助企业及基金会:(1)在国家范围内将计算机科学的教育的力量组织起来,(2)教育他们的员工/合作伙伴,使其了解我们必须有更好的教育水平,尤其在电脑科学方面,并且(3)努力更好的基于各种例证来加强STEM教育
样。
次要目标2.2:提升大学里计算机科学课程的数量以及质量 帮助网络安全工作者与当地学校合作,向老师提供专业的教学内容并向学生树立榜
多数的高中并不提供严格的学术性的计算机科学课程。相反,高中电脑课程一般集中于教学生打字及使用标准办公软件。他们教学生使用科技,却不教学生如何创造科技,不去培养学生成为那些可以让科学技术随自己理念发展的人。很少的州采用了K-12计算机教育标准,只有极少数的学校有对计算机科学教师的认证过程。更糟的是,这种趋势是负面的。据计算机科学教师协会报告,自2005年,学校教授低于17%的入门级计算机科学课程和低于33%的进阶计算机科学课程。
作为结果,大多数的学生带着对计算机科学的皮毛认知进入了大学,很少一部分学生选择继续学习IT技术。自2000年,大学新生选择计算机专业的比率下降了70%;这个数据在女性、少数民族和残障人士中尤其真实。国家科学基金会通常支持大学理事会实施被提议的新大学预修课程(AP)---计算机科学原理来解决这一问题。这一课程将对网络安全知识进行更严格的系统的介绍并进入高中计算机科学课程。
收益
次要目标2.2的顺利进行将带来如下收益:
到2018年,全国50%的高中将开设有良好师资教学的严格学术性的计算机科学课程。
到2018年,将会有更多的学生在高等学府选择继续学习计算机技术。
到2018年,25%的州将在K-12中采用国家网络安全教育标准。
战略
对高中计算机课程,包括网络安全,通过一系列的“投放轨迹”提供更易获取的课程、教材和评估体系(如,4年制数学课程,职业和技术教育(CTE)课程序列,以及被提议的新大学预修课程计算机科学原理(AP CS)课程)。
借助联邦机构和企业以及基金会的合作来支持高中计算机科学教师,特别是那些教授高水品课程的教师例如被提案的新大学预修课程计算机科学原理(AP CS)课程。
次要目标2.3:提升本科生和硕士生网络安全课程的数量以及质量,包括一些IT和安全相关的学位课程
本科网络安全课程需要集中在一连串的解决方案上,包括完整协调的安全措施的效力。为了同时满足公众和私营部门的网络安全需要,一个网络安全相关专业的越来越大的本科生比例需要去上一些要求学士或大专学位的课程,如计算机科学,计算机工程,软件工程,信息系统,和信息科技。网络安全专家不可能从单一的安全课程中诞生,而必须有很多其他课程做基础。降低网络安全方向的研究生入学难度将为培养更多的专家提供机会,并且会促使一些学生选择继续研读相关的博士学位。
收益
更多的学生将获得学位,并拥有被用人企业所需要的专业知识,使他们可以从事网络安全领域的工作。
国家信息保障教育卓越学术中心(CAE/IAE) 将回顾并更新他们的标准和专业准则来满足不断变化的网络安全需求。
到2018年,专攻特殊关键基础设施和数字取证以及其他方向的CAE指定的学术机构的数量将上升25%
到2018年,工人的网络安全学位项目将增加20% 到2018年,20%的社区大学和技校将提供网络安全学徒制或相关资质认证
到2014年,最少150个大学生机构将参与国家网络安全教育虚拟实验室,一个关于网络安全研究的国家机构。
战略
通过提供向国家网络安全研究机构的接入口,向高校学生提供在线网络安全课程/实验室
鼓励公众和私人协作创造资源中心,例如国家虚拟实验室,提供基础设施,内容存储库和师资培训。
向本科以及研究生增加奖学金、助学金的种类,并提供研究经历、校外实习机会
鼓励开设认证的网络安全学位课程
为共享师资、课程和虚拟实验室树立榜样,并且使这些更易获取/公众可用。
向高等院校投入资金
设立竞赛以激励创造远程教学/在线课程教材
次要目标2.4:对研究生院的网络安全研究给予物质激励,支持和认可
主动性的研究将促使未来电脑用户日常网络安全方案的发展。研究生级别的网络安全研究与开发机会将会促使那些正在斟酌毕业后去向的研究生们更倾向选择网络安全作为他们的学术专精方向。为了培养一些具有学术水准的可以继续教育下一代网络安全知识的人才,这些研究和开发的机会是关键的一环。增加研究生的训练和实习的机会可以帮助开发全新的技术,以抵御如今的网络攻击,为更好的面对将来的网络安全挑战打下基础。
收益
提高了奖学金和助学金的获取率
更易连接到动态学习环境,如虚拟化和/或远程图书馆
提高作为信息保障研究卓越学术中心(CAE-R) 的大学的数量
提高转移大学研究的机会
战略
对提高研究生研究与开发的数量与质量的机构进行认同与实现
利用网络与信息技术研发计划(NITRD)来创造/支持一个政府/学术界/私人企业论坛来找出研究的问题所在
利用基础设施类项目将CAE-R组成联盟
与企业合作,向研究生提供更多的奖学金和助学金
用外部资金激励学生参加专业的会议和交流
支持目标2的活动和产品
美国国家科学基金会的21世纪计算机教育计划(CE21 )和10000高中的10000计算机科学教师计划(CS 10K),联邦网络服务:服务奖学金计划(SFS ),先进技术教育计划(ATE )
CAE/IAE计划
一些竞赛例如:国家大学生网络防御竞赛 13和国家科学碗 14
主要目标3:开发和保有一只无可比拟的具有全球竞争力的劳动力队伍
信息技术的利用率成指数级增长,这对于一个国家的力量和繁荣来说既可以是一个优势也可以是一个弱点,所以我们必须保护它不受攻击和不被滥用。光有技术方案是没有办法确保这项基础设施和它所包含的信息的安全的。除了技术方案和基础架构解决方案之外,意志灵活的、高度熟练的专业网络安全工作队伍对保护、保卫和防御我国的信息系统来说是十分必要的。在全美国,私营和公共组织都对训练有素的专业人员有着迫切的需求,以对他们的网络安全方案和战略进行评估、设计、开发和实施。然而,虽然这种需求在日益增长,网络安全的专业队伍却没有相应的扩大。
努力建设我国的网络安全劳动力包括三个相辅相成的部分:人力规划,专业开发和核心专业素质能力的鉴定。人力规划分析了为了达成当前目标、预测未来发展所需的能力,并且确定网络安全专业所需的知识、技术和能力。专业开发包括正式训练和教育以保持网络安全专业队伍的技术水准。网络安全专业化确定了核心专业能力,为技术的开发、认证,以及网络安全从业者们的工作表现评估设立了客观标准,并在网络安全规约范围内设定职业规划。
具有决定性的领导意识和独一无二的网络安全工作天赋对于确保有足够的发起并且维持人力规划和专业开发的时间和精力是必需的。沟通战略和包括网络安全的挑战与应对需要成为领导能力发展计划的一部分。管理网络安全人员将成为各个级别的组织领导能力的一部分。
目标3.1:发展一个可用的网络安全能力框架
有效的人力资源计划使我们的国家能够拥有正确的人,具有正确的专业技能,并且能够出现在正确的时间和地点。网络安全人员所具有的天赋是全国范围内所有商业地区都非常关心的问题。信息基础设施和美国公民隐私的保护依靠知识和这些专业人员的能力。作为一个新兴领域,网络安全缺少一个职业路径,岗位描述和资格证明的共同术语。一个国家的网络安全的能力架构是实现有效的人类生产计划的一个先决条件。建立这样的劳动力定义和标准不仅仅为网络安全的专业人士提供清晰的标准而且还统一这些专业人士的招聘,布置和绩效考核。这些最初为联邦政府使用和网络与人力资源学科专家审查而制定的定义和标准,将作为公开可用的标准适当应用在公众和私营部门组织中,包括国家的,本地的,部落政府。这些建立中的定义对于以任一相同的标准测量和评估网络安全人员非常重要。
图5描绘了一个基于国家核心能力框架的用于构建和贯彻一个有组织的网络安全员工能力和发展模式的定向途径。
1 图5 网络安全劳动力能力和发展模式 [保存到相册]
国家的劳动力健康测量过程
一个被普遍接受的网络安全专业技能架构为专业人士提供了一条知识,技能和行为的基线,这条基线横跨不同的网络安全科目种类,网络安全基础教育和使他们胜任这些职业的必要训练。这个网络安全能力架构还可以促进对培训需求的了解和引导设计一份专业人员培养计划。此外,一个通用的框架能够帮助组织机构从指定的知识,技能和表现期望上来决定是否当前的和潜在的员工在不需要额外的或者循环的拓展活动就能满足岗位技能要求;还可以通过提供一个评估知识和技能的模型,制作员工专业发展计划。
成果
标准化的功能性角色和能力公开可用。
到2012年,联邦政府机构采用网络安全能力模型。
网络安全专业人士的不足和技能空白被确定。
到2013年,联邦机构在人力资源指导下从事网络安全工作。
到2015年,州,地方,部落政府采用通用的劳动力描述。
到2015年,制作一个对国家网络安全劳动力健康情况的评估。
到2015年,同联邦政府寻求合作的行业采用劳动力描述。
到2015年,各行业给可用职位绘制他们的网络安全劳动力描述。
到2015年,工作地的合格的网络安全专业人员人数将增长百分之二十。
战略
到2013年,评估与已确定的网络安全能力相对的联邦政府,州政府和地方政府的网络安全劳动力的长处。
为网络安全专业人员制定一条必须具备技能的基线。
到2015年,评估与已计划的市场需求相对的私营部门的网络安全劳动力的能力。
鼓励公私合作利用网络安全能力框架。
同学术界和行业界协作决定从变化的技术和威胁中新兴的新的劳动力需求。
鼓励网络安全职业认证程序的提高和进步。
为网络安全专业人员建立一条贯穿多个行业部门的基线。
目标3.2:为受关注的网络安全培训 提供一个框架来满足进一步的需求。
培训是一个旅程,不是一个目的地,持续的职业发展需要持续的培训;然而,专业化的网络安全劳动力培训程序是矛盾的而且可能不能满足这一特定劳动力群体独一无二的需求。专业的网络安全培训必须保证网络安全劳动力拥有实用技能,资源和可信度来完成他们的任务。一个被普遍接受的核心培训框架在确保劳动力能力标准贯穿整个国家和在培训课程中为新兴的或已确定的网络安全从业人员提供一致性起到至关重要的作用。一个标准化的培训框架的使用将帮助确保这种培训能够普及并且以一致的方式进行。此外,随着网络安全劳动力的需求进一步加大,一个标准化的培训框架将帮助确保培训力度以满足变化的需求为目标。
成果
设计出一项世界级的综合培训项目来满足政府和私营组织部门的功能要求。
标准化的培训工具,间谍情报技术和方法论。
一个使政府,学术界和行业界能够分享网络安全经验来提高和更新培训项目的机制。 在各个级别上均衡和协调网络安全培训项目。
战略
促进一套用来满足政府和私营部门需求的世界级的综合培训项目管理体制。
编辑一条综合的网络安全培训目录,并且促进新课程的发展来填补已确定的缺陷。
与通常标准、学习目标和难度水平对立的衡量培训效果。
目标3.3:学习网络安全职业领域的专业化,认证和许可标准的应用
为了保护我们个人,公共和私营部门的信息,信息系统和网络,我们国家必
须为每一个网络职业的类别,专业,级别和功能开发一个对于概念,原则和应用具有一般理解的劳动力。网络安全的实践是专业学科;为了承认人员在这些学科中的专业地位和成就并且提高实践的质量,以一种广泛的和始终如一的方式给将要做的准备,熟练度和能力定义一个期望水平是值得的,比如专业化,认证或者许可。通过为技能发展,认证和工作表现设置客观标准,职业化将提供一个网络安全从业人员活动和能力的一般理解,就像它在其它学科中一样。
成果
制定一套文件齐全并被广泛接受的职业发展规划,包括灵活的,有挑战的和值得的职业道路和轨迹。
维持网络安全专业人员的地位。
战略
学习和调查在其它职业领域中职业化的影响。
目标 3 支持的活动和产品
联邦信息系统安全教育家协会
虚拟环境训练
行业协会
认证协会
合作的网络安全研究和教育机构
将包括网络安全劳动力管理的领导能力发展项目作为一个组织的需要
四、交流和拓展
国家网络安全教育计划将承担四项交流和拓展活动来保证本文前三部分已经明确的“目的和目标”有效的实现。活动将利用所有形式的媒体。
这四项活动支持国家网络安全教育计划有能力利用和建立公私合作;参加国家网络安全教育,培训和认识参与活动;发展网络安全教育,宣传培训和认识的最佳做法,并正式的鼓励开发与创新;在利益相关的机构之间提供协调。
公私部门合作
为了促进国家网络安全教育计划的重要性和提供参与的机会,国家网络安全教育计划将利用现存的能确保美国联邦部门,机构,州,地方,部落和特区政府与私营部门之间合作和信息共享的公私部门合作关系。国家网络安全教育计划将确定没有覆盖在当前伙伴关系的不足和在联邦政策的范围内建立实现其目标所必须的新的公私部门合作伙伴关系。
会议,研习班,座谈会和网络竞赛
联邦政府部门和机构,以及各州,地方,部落政府,私营部门合作伙伴和学术界都使用会议,研习班,座谈会,公民大会和网络竞赛来达到他们的目标。国家网络安全教育计划想要利用这些活动来建立对于国家网络安全教育计划的目标和这些活动为利益相关方所提供的实现国家网络安全教育计划的目标的机遇的认识。
开放的政府
在透明和开放的政府备忘录中,发布日期2009年1月21日,总统指导白宫管理和预算办公室发布一项政府开放令,强调披露“公众容易发现和使用”信息的重要性。国家网络安全教育计划将建立并维持一个允许公众较容易的发现和使用关于网络安全意识和教育信息的网站。
政府仓库
除了一个公众网页之外,国家网络安全教育计划还将建立一个政府内部的合作,交流和所有政府活动的发展机制来实现该计划。这个基于内部网络的机制将存储支持国家网络安全教育计划能力的信息来发展消息共享,储存参考资料和满足数据库需求,追踪国家网络安全教育计划的相互作用。 知远/严美
