网络安全动态 ·

瑞士智库《军队网络安全预备役力量应用研究》报告解析

编者按:就网络空间而言,技术、人才、信息基础设施等资源兼有军事和民用双重特点。近年来,虽然全球主要国家把发展网络预备役视为增强军队后备力量的重要手段,但西方多国的军队均不同程度地陷入网络安全“兵员荒”,很难招募到优质足额的网络安全人才入伍。2020年4月初,瑞士智库苏黎世联邦理工学院安全研究中心 (CSS)发布了《军队网络安全预备役力量应用研究》(Study on the use of reserve forces in military cybersecurity),该报告研究了6个欧美国家网络预备役组建和运用过程的问题。虽然报告认为建设网络预备役是各国弥补军队网络安全人才短缺的有效途径,但同时也指出网络预备役对军队人才吸收和管理模式等相关制度带来了系列挑战,并就组建一支经验丰富、协作灵活的网络预备役提出了相关建议。

瑞士智库《军队网络安全预备役力量应用研究》报告解析 网络安全动态 第1张

一、网络预备役三大优势

网络预备役可视为一个国家的国家机器和力量的一部分,预备役人员并非现役军人,主要是来自私营部门的信息技术或网络安全人才兼在部队中承担相应网络安全职责,将其平时在网络安全领域积累的工作经验和专业技能等服务于部队并运用到军事任务中。与组建专业的部队相比,网络预备役力量具有三大优势:一是节约人力、招募和培训成本。军队只需支付预备役人员相应服役期的报酬,是以低于现役军人的成本网罗大量网络人才的良好途径。同时此类人才经验丰富,不需组织和进行广泛的技能训练。二是缩小军队网络安全人才短缺的差距。在网络安全领域,军队与其他政府机构和私营部门直接竞争,难以挖掘和雇佣足够的合格人才,网络预备役使网络安全人才能以更灵活的条件加入并服务部队,实现双赢。三是加强社会和军队之间的紧密联系。建设网络预备役可使来自私营部门的预备役人员与部队分享他们的技能和经验,反之使部队更加了解私营部门的网络安全发展情况,两个领域都从这种模式中获益,互促互进。

二、典型国家分析

为确保该研究的多样性、综合性和代表性,报告选取了6个欧美网络预备役力量建设的典型国家,主要聚焦招募培训、任务职责、预备役数量、预备役组织、公私关系及退役后职责6大方面,对比分析了案例国家网络预备役部队组建和运用过程中普遍存在的人才招募、培训和管理等问题。

1. 爱沙尼亚

爱沙尼亚网络预备役力量依托爱沙尼亚国防联盟组建,成员由国家关键基础设施网络安全专家、对网络安全感兴趣的其他领域专家组成,以志愿者身份开展各项工作,不需在军队服役,除自愿离开或被开除外可长期在职。该组织的主要职能是通过定期组织培训活动来提高社会的网络安全意识,为私营和公共部门提供安全咨询、技术解决方案和专业技能。紧急情况下,该组织成员可被短期聘用1月以内。

2. 芬兰

芬兰网络预备役力量依托其国防部队C5网络机构组建,该机构由400名普通公民组成,主要负责网络空间态势感知,规划实施防御及攻击性网络行动,保护和监控国防网络等。国家招募的义务兵可在基础训练时申请相关技能测试,通过后可选择专攻网络安全方向,继而接受5个半月的专业培训,服役期为255天或347天。在完成服役后将被分配到预备役,复训每隔1至5年不定期举行,每次持续5至6天。

3. 法国

法国网络预备役由军事预备役和公民预备役组成,前者是有军衔的有偿志愿者,后者是有公务员地位的无偿志愿者。征聘后,预备役人员须接受短期的基本军事训练并参加为期数周的“网络营”培训,并接受网络安全知识能力测试。军事预备役成员通过签订一份3年可续签合同加入部队,主要在军事、内政部工作或负责维护关键基础设施网络安全;公民预备役人员不需签署合同,可自行选择服役时间,主要任务是提高社会网络安全意识。

4. 以色列

以色列网络预备役力量由担负信号情报和网络安全任务的8200部队组成,主要招募18岁且没有大学学历的青年人才,据估计,8200部队在任何时候都有5000名成员。招募后,相关成员除接受基础军事训练外,还将面临6个月的专业培训,学习生产、利用信号情报、数据挖掘技术等。加入8200部队的义务兵一般会在部队平均待4至5年,完成服役后以专业人员(合同制)的身份再待2-3年。8200部队与以色列私营部门关系十分密切。

5. 瑞士

瑞士军方2018年开始培训网络防御预备役人员,计划建立一个由400至600名网络专家组成的网络营,每年度至多选拔20人。具备瑞士联邦政府颁发的IT专业证书、熟悉IT领域、物理或数学专业等要求人员可参与应征。新成员将接受为期40周共800学时的网络培训,培训结束后可选择参加联邦考试,获取联邦网络安全认证资格。与此同时,瑞士正在发展一个网络防御专家团队,该团队由曾在其他军事部门服役并在网络安全方面具有广泛经验的高级军官组成。

6. 美国

美国网络预备役建设起步最早,主要由网络空间司令部等军方预备役人员和国民警卫队相关成员组成,目前尚无关于官方统计数据,但据估计在美网络司令部工作的预备役可能多达1444人。美公民通过征兵面试及相关测试后,均可选择加入网络预备役,完成基本军事训练和有关技术基础、编程、系统架构、信息作战和网络作战规划等课程后,将接受与现役军人相同的网络培训,以确保达到最低限度的知识水平和专业技能。此外,一旦选择加入预备役或国民警卫队需签署一项为期8年的承诺。

从研究关注的网络预备役建设和运用中的6个方面来看,在招募流程及培训方面,征兵制需先完成军事训练才能选择加入网络安全培训,志愿兵可根据能力测试结果直接加入网络安全任务;在任务职责方面, 6个案例国家的网络预备役主要聚焦防御和支撑性任务,只有美国和以色列的网络预备役人员允许在服役期间执行进攻性网络安全任务;在数量规模方面,美国和以色列因其截然不同的军事背景,拥有规模和数量最大网络预备役力量,相比之下,芬兰、瑞士等中立国和法国、爱沙尼亚等国的网络预备役规模要小得多;在服役期和复训方面,案例国家的预备役服役期各不相同,但几乎都会安排网络预备役先接受1 - 2年的基本军事训练和技术培训,之后每年进行为期1周至1月的复训。在军队和私营部门联系方面,在研究的所有案例中,网络预备役都与私营部门保持着某种密切的联系。法国和美国是通过公私伙伴关系正式建立的联系,其余4个国家是通过以非正式渠道建立的。在退役后的职责方面,以色列和美国的前网络预备役人员可以加入协会与前队友保持联系,芬兰和瑞士目前正在建立相关的协会,爱沙尼亚和法国没有相关的正式组织。

瑞士智库《军队网络安全预备役力量应用研究》报告解析 网络安全动态 第2张

三、问题与启示

一是网络预备役人才不仅征募难,管理更难。一些国家选择建立网络预备役的主要原因是试图缩小网络安全方面的人才缺口。然而,征募预备役人员十分困难,有些军队收到的网络培训项目的申请寥寥无几,如芬兰。究其原因来看,候选人通过类似安全审查之类特定要求才能像现役军人一样申请网络培训计划,这些要求可能会阻碍一些潜在的网络预备役候选人提交申请。此外,还有网络培训项目地点远且报酬少、网络安全人才男女占比失衡、候选人体能测试不合格等诸多因素都造成了网络预备役人才征募难的问题。

不仅如此,案例国家表明部队即便可以征募到网络预备役人才并不意味该力量就可以正常投入运用。报告中重点研究了两个预备役人才管理方面的突出问题,一是部分国家军队内可能已经拥有了数量可观的网络安全人才,但由于缺乏良好的管理导致该部分网络人才被分配到负责其他非网络安全领域的任务。如美国,约有1万名美国陆军预备役军人曾从事网络安全工作,但其在军队服役期却被分配到负责其他领域任务。二是部分非网络预备役的人员有兴趣加入到网络预备役中,但由于缺乏管理或调动程序繁琐会导致部队失去某些已经满足征募要求的潜在人才。瑞士、法国、芬兰都允许其他军种的指挥官也可以申请转到专业的网络防御部队,而在美国,调动过程十分漫长且调动程序苛刻。

二是网络预备役既要与现有部队有机整合,又要划清界限、权责划分。在报告研究的6个案例国家中,我们看到一方面网络预备役都是被整合到部队的现有组织中,而不是作为单独的部队建立。网络预备役在各自的部队中采用了与其他预备役部队相同或类似的指挥结构体系。然而,许多国家的网络预备役力量仍处于发展的快速上升期,其所需的基础设施等硬件或组织架构等软体系可能会随着军事任务运用的具体情况而改变。另一方面,网络预备役被整合到现有部队中应如何与部队划拨权责,应承担哪些角色和任务亟需厘清。在和平或战争时期,各国对预备役人员的角色和责任采取不同的态度。一般来说,考虑到预备役人员只完成短期的军事训练和技能培训,部队更倾向于将网络预备役主要部署在防御行动中。然而,以色列预备役人员可参与进攻性任务,美国预备役人员可被调配为作战部队的一部分开展进行进攻性行动。

三是军队需在有限的时间内塑造和保持网络预备役必要最低限度的能力和水平。由于预备役人员平时可能并非从事网络安全领域的工作,也可能从网络安全领域转向其他行业,然而网络安全领域快速发展、方兴未艾,因此一旦预备役人员离开部队,其在网络安全领域积累的技能、经验可能会退化、过时。此外,预备役在每年服役期间会参加一些培训和演习,但由于预备役人员曾从事的领域多样化且人员流动率高,在复训时团队里基本上一半的人员都已离开(离开的原因也包括无法完成大量的培训任务),部队要确保其预备役团队掌握最新的网络安全技术和装备,需要灵活调整安排培训的时间,以确保预备役人员的业务能力和技能储备就绪,尤其是在军事行动部署情况下的作战能力和战备状态。

四是网络预备役短期限、灵活性等优势背后潜藏着敏感数据泄露的风险。相比起现役军人,预备役人员一方面在认识上不太了解部队的保密规则和安全规范,另一方面在心理上不够重视,认为这些规则条款与他们关系不大。然而,部署在军事网络安全领域的预备役人员,必然会获取到敏感信息甚至是机密数据。虽然案例国家均采取了一些风险防范措施,如通过安全审查程序、授予相应安全许可级别、签署保密协议、不许携带材料离开等,力求减轻网络预备役人员可能产生的相关风险,但是由于预备役人员大部分时间在军队之外,对其加强管控和教育存在难度,因此预备役人员泄露机密信息或从事间谍活动的风险不容忽视。

声明:本文来自国防科技工业网络安全创新中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 2018288588@qq.com。

参与评论