本文講的是 NIST發(fā)布網(wǎng)絡(luò)安全勞動力框架，美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)近日公布了一份網(wǎng)絡(luò)安全勞動力框架，用以支持企業(yè)培養(yǎng)并維護有效網(wǎng)絡(luò)安全員工的能力。

該框架定義了角色及角色所需的知識和技能；還定義了澄清網(wǎng)絡(luò)安全教育者、培訓(xùn)者/認(rèn)證者、雇主和雇員之間交流的通用語。該框架意圖幫助公司企業(yè)發(fā)展其現(xiàn)有勞動力，并幫助學(xué)術(shù)機構(gòu)持續(xù)培養(yǎng)未來勞動力。

與其他所有框架類似，使用的公司企業(yè)受益，而其他人無視。坦帕市信息安全官馬丁·茲奈赫看出了其中的潛在好處。2015年，他將當(dāng)前網(wǎng)絡(luò)安全狀態(tài)，與1972年美國東方航空401航班的緩慢下降并最終墜毀相提并論——機組人員僅僅是沒分清應(yīng)關(guān)注的主次。

在文章中，茲奈赫寫道：“國家研究理事會在其2013年報告《為決策專業(yè)化國家網(wǎng)絡(luò)安全勞動力標(biāo)準(zhǔn)》中，聲明了網(wǎng)絡(luò)安全依然是太過新興的領(lǐng)域，無法為其實踐者引入專業(yè)化標(biāo)準(zhǔn)。”

然而如今已是4年之后，NIST確實在提出教育性勞動力標(biāo)準(zhǔn)。我們正慢慢達到那一步。
NIST框架定義了7個主要的安全勞動力類別：安全供應(yīng)；運營與維護；監(jiān)管和治理；保護與防御；分析；收集與處理；調(diào)查。對于一些人來講，這種解構(gòu)主義是有其可取之處的；而其他人，則更多的是對潛在問題的擔(dān)憂。

信息安全論壇(ISF)執(zhí)行董事史蒂夫·德賓評論道：“盡管未來兩年里，企業(yè)信息安全勞動力規(guī)模預(yù)計增加1/4以上；某些企業(yè)卻是負(fù)擔(dān)不起員工增長的。該框架可進一步幫助公司領(lǐng)導(dǎo)人為現(xiàn)有員工提供信息安全再培訓(xùn)和交流機會，以可承受的方式在一定程度上封堵不斷拉大的技術(shù)缺口。”

內(nèi)森·溫斯勒，AsTech首席安全策略師，卻對此不那么有信心。他認(rèn)為，此框架適用于結(jié)構(gòu)嚴(yán)謹(jǐn)相互獨立的環(huán)境，比如聯(lián)邦政府。但對廣大已經(jīng)掙扎于尋找適格網(wǎng)絡(luò)安全人才的公司企業(yè)而言，通過該框架引入的人才只適應(yīng)某個專門領(lǐng)域是不夠的。大多數(shù)公司需要的是一專多能的安全人才。”

史蒂文·棱茲，三星美國研究院CSO兼信息安全總監(jiān)，也有同樣的顧慮。“網(wǎng)絡(luò)安全勞動力框架是個好主意。但實際上，公司企業(yè)會不會采用，會不會關(guān)注，那是個很現(xiàn)實的問題。”

棱茲認(rèn)為，其有效性取決于現(xiàn)有安全培訓(xùn)公司的接納度。“當(dāng)前安全培訓(xùn)認(rèn)證網(wǎng)站，比如ISC^2、ISACA、SANS等等，會受到什么影響？他們會參與并幫助發(fā)展該NIST倡議嗎？或者將之看作是短命的替代品？政府的備選？我們都需要繼續(xù)培訓(xùn)，但培訓(xùn)合作伙伴需擰成一股繩來讓我們這些實踐者變得更強大。”

其他實踐者還有更大的質(zhì)疑。其中之一就是克里斯·羅伯茨，Acalvio首席安全架構(gòu)師。“我不是證書愛好者，學(xué)歷學(xué)位或任何正式培訓(xùn)都吸引不到我。我來自另一個時代，不是學(xué)徒工時代，但也相去不遠(yuǎn)了。我是在工作中學(xué)習(xí)的，我很慶幸自己遇到了一些極棒的導(dǎo)師，也有一顆渴望知識的心。這條路不適合所有人。我們需要以更好的方式適應(yīng)。我不贊同‘只有獲得學(xué)位才能成為專業(yè)人士’的想法。這種狗屁邏輯早就被世界上眾多成功者證否了，應(yīng)該被禁掉。我認(rèn)同我們大家都是獨立的個體，這個行業(yè)很善于適應(yīng)并理解該領(lǐng)域眾多從業(yè)者都沒接受主流教育。”

羅伯茨的抗?fàn)幓蛟S是徒勞的。任何系統(tǒng)的成熟，都伴隨著控制的集中化。個別銀行經(jīng)理不再能決定貸款，決策由總部控制。連鎖店經(jīng)理基本決定不了自己的庫存——同樣是集中控制的。政治管控一貫歸于中央。網(wǎng)絡(luò)安全教育國家倡議(NICE)網(wǎng)絡(luò)安全勞動力框架，或許是集中化的又一個樣本，目前以指南和輔導(dǎo)的形式存在，但最終會走向堅持要求的形式。它對某些人有用，其他人則不然。

史蒂夫·德賓對此毫不疑慮。“有些人可能會說該框架太過簡單或不夠徹底，但面對很多人預(yù)測的人才短缺程度，這至少能為企業(yè)提供努力吸引和留住網(wǎng)絡(luò)人才的指南。”

原文發(fā)布時間為：八月 15, 2017
本文作者：nana
本文來自云棲社區(qū)合作伙伴安全牛，了解相關(guān)信息可以關(guān)注安全牛。
原文鏈接：http://www.aqniu.com/industry/27429.html

《新程序員》：云原生和全面數(shù)字化實踐50位技術(shù)專家共同創(chuàng)作，文字、視頻、音頻交互閱讀

總結(jié)

以上是生活随笔為你收集整理的NIST发布网络安全劳动力框架的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。