破解人才困境的智慧羅盤！新時期的人才“能力地圖”

在網絡安全已成為國家戰略基石的今天，網絡安全人才已從過去的被動執行者，轉變為驅動安全戰略的核心引擎。這種轉變的核心是將人才視為戰略資產的深度變革，人才能力建設則是實現安全戰略的重要途徑。然而，許多企業在人才建設上卻面臨著一個巨大的困惑：企業雖然遵從國標GB/T42446-2023《信息安全技術網絡安全從業人員能力基本要求》作為人才管理的指導，但是在AI威脅、數據合規和“護網行動”的實戰考驗面前，仍然感到力不從心，企業對“到底應該需要什么樣的人才”感到困惑。

安全牛分析，這種困惑的根本原因在于，國標作為一項基礎性、通用性框架，其靜態的任務、知識和技能定義，已經無法完全適應新時期動態演進的挑戰。企業亟需一套融合國標基礎，并深度拓展AI、數據、實戰等前沿領域，且具備可量化能力分級的新型人才能力框架，以此作為“智慧羅盤”，指引企業精準規劃出適應自身業務發展的人才能力地圖，從而從根本上解決人才困境。

一、現有國內的網絡安全人才能力框架

國標GB/T42446-2023《網絡安全從業人員能力基本要求》作為中國網絡安全人才領域的國家標準，在系統化分類和國情適配性方面奠定了堅實的基礎，建立了網絡安全工作類別的分類體系，明確了從業人員應具備的知識和技能要求，為人才培養、評價和管理提供了統一規范。

• 工作類別：宏觀層面，將網絡安全工作劃分為5類（網絡安全管理、網絡安全建設、網絡安全運營、網絡安全審計和評估、網絡安全科研教育）。

• 工作任務：細化每個工作類別下需要執行20項具體工作活動和內容。

• 知識：完成工作任務所需的知識領域和知識單元。

• 技能：完成工作任務所需的技能類別和具體技能描述。

二、國際網絡安全人才能力框架的介紹

美國國家標準與技術研究院（NIST）和歐盟網絡與信息安全局（ENISA）發布了較為成熟的網絡安全人才能力框架，在結構化和普適性方面有其優勢，通過對比分析，在發現國內網絡安全人才能力框架面對新時期挑戰的不足的同時，可以引發對新時期網絡安全人才能力框架需求的思考，從而探索新時期的網絡安全人才能力框架。

1）NIST網絡安全人才能力框架（NICE Framework）。

NIST網絡安全人才能力框架是由美國國家標準與技術研究院（NIST）發布，為美國政府和企業網絡安全建設提供結構化方法管理網絡安全人才的參考框架，以建立通用語言，并解決人才短缺挑戰。

NICE框架是網絡安全工作解構為構建的語言，旨在促進對網絡安全人才需求體系的共同理解、和評估。將網絡安全工作劃分為7個類別（Categories）、33個專業領域（Specialty）Areas）和52個工作角色（WorkRoles），并為每個工作角色詳細定義了所需的任務（Tasks）、知識（Knowledge）、技能（Skills）和能力（Abilities）。

NICE框架通過將網絡安全工作解構為類別、專業領域和工作角色，并為每個角色詳細定義了所需的任務、知識、技能和能力（KSA），這種高度結構化的體系使其在全球范圍內被廣泛采用，成為描述網絡安全勞動力的事實標準。此外，NICE框架具有很強的靈活性，允許組織根據自身需求進行裁剪和調整，有效彌合了企業、教育機構和求職者之間在人才需求認知上的差距。為企業進行人才招聘、崗位描述、員工能力評估及職業發展規劃提供了明確的參考依據，有助于構建科學的人力資源管理體系。

2）歐洲網絡安全技能框架（ECSF）：

《歐洲網絡安全技能框架》（ECSF）由歐盟網絡與信息安全局（ENISA）發布。旨在為歐盟成員國提供一個統一的網絡安全技能參考體系，以應對日益增長的網絡安全威脅和人才短缺問題，并促進網絡安全專業人員在歐洲范圍內的自由流動和技能認可。

ECSF框架以以角色為中心，將網絡安全專業人員的職責細化為12個網絡安全典型專業角色，并為每個角色提供了詳細的描述和所需的能力、技能、知識，旨在促進人才市場對網絡安全人才需求的理解。

ECSF框架極具實用性，能夠直接指導企業招聘和職業規劃，并幫助個人清晰定位職業路徑。此外，該框架緊密結合了歐盟的法律法規和勞動力市場特點，確保其內容與實際需求緊密相關。ECSF還致力于建立一套通用術語，以促進企業、教育機構和求職者等各方在人才需求理解上的有效溝通和協作。設計原則強調了開放性、靈活性和可擴展性，使其能夠持續適應不斷變化的網絡安全環境。

3）《E-CompetencesFramework3.0》（e-CF）

《e-CF-E-CompetencesFramework3.0》（以下簡稱e-CF3.0）是由歐洲標準化委員會（CEN）的ICT技能工作坊發布的一項通用歐洲框架。旨在為所有行業領域的信息與通信技術專業人員提供一套通用的能力描述標準。e-CF3.0的目標是為整個歐洲的信息與通信技術工作所需的能力、技能和能力水平提供一個通用的參考語言，以促進相互理解和透明化。

e-CF3.0框架基于其“四個維度”來構建ICT能力，宏觀職能劃分為5個e-能力領域、定義了40個e-能力、以及從e-1到e-5的五個熟練度級別，提供了在整個歐洲范圍內對能力水平進行一致解釋的參考。

e-CF 3.0與歐洲資格框架（EQF）建立了系統且合理的關聯，具備高通用性和互操作性，為ICT人力資源規劃、能力評估、職業發展和課程設計提供了實用且靈活的參考，并針對移動、云計算、大數據等新興趨勢進行持續演進的更新，這種機制使框架可以適應最新興的技術趨勢 。

三、國內外人才能力框架的對比分析

通過與國際主流框架的對比，以及結合國內新時期背景的運用，《網絡安全從業人員能力基本要求》的不足之處包括：

• 遠景引領不足：NICE和ECSF框架設計更加靈活和部署，能夠更快地進行版本迭代和內容補充。中國國家標準周期相對較長，在應對“新質生產力”帶來的前沿技術（如大模型安全、隱私計算、量子計算威脅）時，其更新可能速度無法完全匹配產業的快速發展。這使得國內企業在未來挑戰時，來自權威官方的、與時俱進的政策指引還存在不足。

• 深度與細節欠缺：國際框架在對特定角色的任務、知識、技能描述上較為精細，例如NICE為每個工作角色定義了詳細的KSA，為企業提供了更具體的指導。中國國家標準在通用性上表現出色，但在對具體崗位的深度要求不足，使企業在參考并制定精細化的人才方案和能力評估標準時，不得不自行摸索，難以有效快速完成基于業務的網絡安全人才能力建設。

• 實戰化導向不足：國際框架在“事件響應”和“調查”等類別中，有更多實戰化要素，并有專門的認證體系支撐實戰能力的培養。而國標對實戰化的強調較弱，未能充分體現實戰人才相關能力，隨著國內網絡安全已進入實戰對抗的時代，標準與實際的脫節導致國內企業面對真實威脅時，往往實操能力和應變能力不足，無法滿足高強度實戰對抗的需求。

• 對人工智能等新興技術覆蓋不足：雖然《網絡安全從業人員能力基本要求》在“新技術新應用安全”（K10-001）中包括了人工智能，但其描述較為寬泛和通用。應深入細化AI系統自身所面臨的獨特安全風險（如對抗性攻擊、大模型安全、模型盜取、數據投毒）以及如何防御這些風險所此外，對于利用AI技術賦能安全運營（如AI驅動的威脅檢測與響應、自動化編排）所需的具體人才能力，也缺乏明確闡述。使得企業在培養人工智能安全人才時，缺乏明確的指引，導致企業不知應如何保障人工智能的安全。

• 復合型人才覆蓋角色不夠全面：《網絡安全從業人員能力基本要求》劃分了20項工作任務和5類工作類別，但對于DevSecOps工程師、數據安全架構師（尤其是隱私計算）、AI安全科學家、供應鏈安全專家、IT/OT融合安全專家等新時期高度復合型或戰略型人才的職責描述和能力，描述的不夠具體和深入。使得企業在尋找或培養這些關鍵復合型人才時，缺乏明確的參考依據。

四、國內現有人才能力框架的具體分析

《網絡安全從業人員能力基本要求》在工作類別、任務、知識體系、技能和工作角色等方面存在不足包括：

1）工作類別的不足

在工作類別方面的不足主要體現在：一是宏觀分類與新戰略脫節。國標將工作類別劃分為5類（管理、建設、運營、審計評估、科研教育），未能充分體現AI安全與治理、數據安全與隱私保護（特別是數據要素化背景）、實戰攻防與威脅狩獵等具有戰略意義和獨立性的新興領域。二是任務范圍未及時拓展。在每個工作類別下，宏觀任務定義未能涵蓋如AI倫理與治理政策制定、AI系統安全架構設計、云原生安全建設、威脅狩獵實踐等新時期涌現的關鍵工作。

以下為部分示例圖（具體見最終報告）

2）工作任務的不足：

在工作任務描述方面的不足主要體現在：一是新興技術任務缺失。20項主要工作任務中，缺乏針對AI模型安全評估與加固、大模型應用安全開發與測試、隱私計算技術實施等AI和數據安全核心任務的明確描述。二是實戰化任務強調不足。對于網絡安全測試、應急管理等任務的描述，未能充分體現高強度紅藍對抗演練、APT攻擊溯源與歸因、0day漏洞挖掘與利用等實戰化要求。三是欠缺深度和前瞻性。工作任務描述較為通用，缺乏對AI驅動的智能安全、數據要素安全流通等前沿理念的深入闡述。

以下為部分示例圖（具體見最終報告）

3）知識體系的不足：

在知識體系方面的不足主要體現在：一是新興技術知識覆蓋不足。一是在AI安全（如對抗性機器學習原理、大模型安全）、隱私計算相關密碼技術（如同態加密、后量子密碼）、云原生安全原理、DevSecOps流程等新時期關鍵知識點上，缺乏足夠的深度和明確的知識單元。二是實戰化知識體現不足。缺乏對實戰化攻防理論、安全體系韌性理論、威脅狩獵方法論等實戰對抗相關知識的描述。

以下為部分示例圖（具體見最終報告）

4）技能體系的不足：

在技能體系方面的不足主要體現在：一是缺少新興技術技能。技能體系中，缺乏對AI模型和系統安全漏洞分析與修復、生成對抗性樣本、AI倫理合規性審查、實施隱私計算技術、容器安全配置與管理等AI、數據、云原生領域核心實踐技能的明確定義。二是實戰化技能強調不足。對0day漏洞挖掘與利用、高級滲透測試與紅隊工具開發、組織和實施威脅狩獵活動、APT攻擊溯源與歸因等高強度攻防技能的體現不足。三是自動化與DevSecOps技能欠缺。對安全自動化、自動化安全測試工具集成與調優等DevSecOps實踐所需技能描述不足。

以下為部分示例圖（具體見最終報告）

5）工作角色的不足：

在工作角色方面的不足主要體現在：一是新興技術的角色缺失。工作角色分類缺乏AI安全架構師、威脅狩獵專家、數據隱私架構師、DevSecOps工程師等新時期高度復合型或戰略型角色的明確定義。二是角色任務未完全匹配新需求。現有角色關聯的工作任務未能完全體現新時期職責的深化和擴展。三是角色定義過于寬泛。任務涵蓋范圍過于寬泛，導致與其他專業化角色重疊，不利于人才的精準培養和崗位設置。

以下為部分示例圖（具體見最終報告）

五、破局之道：融合型“新時期人才能力框架”

面對上述困境，安全牛融合了GB國標、NIST的角色-任務-KSA模型、ECSF的角色導向設計，并融入了中國新時期特有的戰略重點，構建了“新時期網絡安全人才能力框架”。

1）拓展新時期的工作類別

新時期網絡安全人才能力框架在GB/T42446-20235個5大工作類別基礎上，進行了強化和拓展，一是強化已有工作類別的工作任務，二是新增拓展了數據安全與隱私保護類、AI安全與治理類、實戰攻防與威脅狩獵類等3個核心類別。新框架可以更全面地覆蓋新時期網絡安全人才能力的廣度和專業化需求，以適應更加復雜和專業化的安全需求，體現了新時期的戰略重點。

以下為部分示例圖（具體見最終報告）

2）新時期新增和深化的重點角色

新時期網絡安全人才能力框架在GB/T42446-2023的18個角色基礎上，豐富了角色的工作任務，制定更貼近新時期角色的實際工作任務內容，新框架為人才培養和能力評估提供具體指引，以應對新時期挑戰。

以下為部分示例圖（具體見最終報告）

3）新時期新增和深化的關鍵任務

新時期網絡安全人才能力框架在GB/T42446-2023的20項任務基礎上，深化了已有的20個任務，并新增了識別AI模型脆弱性、大模型應用風險管理、威脅狩獵、實戰攻防、高級威脅防御、漏洞挖掘、數據要素安全、數據流通技術等8個任務，制定更貼近新時期的實際工作內容，為人才培養和能力評估提供具體指引。

以下為部分示例圖（具體見最終報告）

4) 新時期深化的知識體系

新時期網絡安全人才能力框架在GB/T42446-2023的10個知識領域基礎上，參考并融合國標知識領域與新時期拓展，深化框架的新興技術內容，確保知識體系能夠覆蓋前沿技術。

以下為部分示例圖（具體見最終報告）

5) 新時期深化的技能體系

新時期網絡安全人才能力框架在GB/T42446-2023的4個通用技能和20個專業技能體系的基礎上，參考并融合國標知識領域與新時期拓展，深化了通用技能和專業技能，并新增了AI安全專業技能、高級攻防專業技能、數據安全專業技能、云安全專業技能、DevSecOps5個專業技能，重點突出了實戰、創新和人工智能相關技能，確保人才具備新時期需要的解決實際問題的能力。

以下為部分示例圖（具體見最終報告）

6) 能力水平與量化說明

為彌補GB/T42446-2023的不足，新時期網絡安全人才能力框架引入分級能力要求，將人才能力劃分為四個遞進的層次，為人才評估和培養提供量化標準，使企業能夠準確判斷人才當前能力的分級階段，精準規劃其向更高層次發展。

L1-L4的能力水平分級：

L1：基礎掌握/執行：理解基本概念，能夠執行標準化任務，使用基礎工具。

L2：應用/分析：能應用所學常見問題，分析大量復雜度解決情況，優化核心流程。

L3：設計/實戰/優化：能夠進行安全架構設計，獨立完成復雜攻防任務，主導安全流程優化，具備實戰經驗。

L4：創新/領導/戰略：能引領技術研究，制定安全戰略，進行風險決策，培養團隊，推動行業發展。

以下為部分示例圖（具體見最終報告）

公眾號預告

安全牛將持續發布人才能力建設系列相關公眾號，請持續關注：

• 新時期人才驅動的安全戰略大揭秘！

• 破解人才困境的智慧羅盤！新時期的人才能力框架

• 告別盲人摸象！企業人才管理如何實現從無序到卓越的蛻變

• 揭秘新賽道人才藍圖（1）！數據安全時代的人才能力

• 揭秘新賽道人才藍圖（2）！實戰對抗時代的人才能力

• 揭秘新賽道人才藍圖（3）！AI時代的的人才能力

報告預告

安全牛2025年啟動了新時期網絡安全人才能力研究系列報告，系列報告的第一個子報告《新時期網絡安全人才能力建設指南》將于近期正式發布。報告深入剖析新時期的特點，分析新時期對網絡安全人才能力需求的根本性變化，并融合國內外現有成熟人才能力框架，構建了聚焦新時期重點的“新時期網絡安全人才能力框架”，同時，報告將探索企業的人才治理和管理能力，為企業網絡安全人才梯隊建設夯實理論框架基礎和方向指引。

第一章 新時期網絡安全人才概述

第二章 現有網絡安全人才能力框架分析

第三章 新時期的網絡安全人才能力框架

第四章 新時期的網絡安全人才治理

第五章 新時期網絡安全人才能力建設實踐

第六章 未來展望與建議

附錄：新時期的網絡安全人才能力框架

附錄A：工作類別與任務

附錄B：主要任務和任務描述

附錄C：知識體系

附錄D：技能體系

附錄E：工作任務和知識技能對應

附錄F：角色和工作任務對應

合作電話：18311333376

合作微信：aqniu001