DoD 8140 与 DoD 8570：主要区别及其对国防部网络安全人员队伍的影响

美国国防部 (DoD) 维护着全球规模最大、最复杂的网络安全生态系统之一。为确保支持该生态系统的每位人员都具备标准化的专业资质，国防部长期以来一直推行基于指令的框架，以规范培训、认证和人员准备情况。十多年来，国防部指令 8570.01-M 一直是定义网络安全人员需求的基石性政策。然而，随着威胁的演变以及对更现代化、基于能力的架构的需求日益增长，国防部以更广泛、更灵活、更全面的指令 8140 取代了 8570 指令。

尽管这两个框架的总体目标相同，即确保国防部网络安全人员接受过培训、获得认证并随时准备执行任务，但它们在结构、方法和范围上存在显著差异。本文对国防部指令 8140 和 8570 进行了正式、深入的比较分析，阐述了它们的主要区别以及对在国防部环境中工作的承包商、文职人员、现役军人和网络安全专业人员的实际影响。

1. 两个框架的背景和目的

DoD 8570：基础认证标准

DoD 8570.01-M 于 2005 年首次发布，为拥有国防部信息系统特权访问权限的个人确立了网络安全认证的初始基准要求。该指令强制要求特定的商业认证，例如 Security+、CISSP、CEH 等，并将其与明确定义的劳动力类别相对应。多年来，8570 一直是确定技术人员、管理人员和网络安全服务提供商所需最低认证资格的权威指南。

DoD 8140：现代综合网络安全劳动力框架

DoD 8140 的创建旨在扩展、更新并最终取代 8570。8570 侧重于认证，而 8140 则引入了一个符合国家标准的全方位网络安全劳动力结构，涵盖知识、技能、能力、经验和职业发展。 DoD 8140 建立了国防部网络劳动力框架 (DCWF)，该框架涵盖了劳动力识别、资格认证和培训的各个方面。

总结如下：

• DoD 8570 = 基于角色的认证要求

• DoD 8140 = 企业级网络劳动力治理框架

2. DoD 8140 和 DoD 8570 的主要结构性差异

A. 劳动力范围的扩展

DoD 8570 主要适用于执行技术或管理职能的信息保障 (IA) 和网络安全人员。

然而，DoD 8140 将网络劳动力的范围扩大到包括：

• 网络安全

• 网络信息技术

• 网络效应

• 网络情报

• 网络项目管理

• 网络数据

• 网络科学与工程

这种扩展的范围反映了现代网络安全的现实，其职责涵盖分析、开发、情报、运营、工程和项目监督。

B. 与国家标准（NICE框架）保持一致

DoD 8140 将国防部网络安全人员队伍与国家网络安全教育倡议 (NICE) 人员队伍框架保持一致，确保：

• 联邦机构间标准化的组织结构

• 一致的工作角色定义

• 清晰的能力要求

DoD 8570 早于 NICE，因此未能与国家人员队伍标准完全一致。

C. 工作角色分类

根据 DoD 8570，人员被分配到以下类别之一：

• 信息保障技术人员 (IAT) I-III 级

• 信息保障管理人员 (IAM) I-III 级

• 信息保障系统架构师和工程师 (IASAE) I-III 级

• 网络安全服务提供商 (CSSP) 角色（分析师、审计员、事件响应员、基础设施支持人员、主管）

这些类别在 DoD 8140 中仍然适用，但只是更广泛结构的一部分。

根据 DoD 8140，工作角色使用 DCWF 进行定义，包含 50 多个不同的角色，从而能够更精确地映射工作职责。

D. 基于能力的模型与基于认证的模型

DoD 8570 几乎完全依赖认证列表作为资格标志。

DoD 8140 采用基于能力的模型，包含：

• 知识

• 技能

• 能力

• 任务

• 经验

• 教育

• 认证

认证仍然重要，但不再是合规性的唯一决定因素。

E. 持续专业发展要求

8570 要求认证续期，而 8140 则强调通过以下方式开展持续的培训和学习活动：

• 继续教育

• 技能提升计划

• 能力发展计划

• 各部门特定的发展计划

这体现了美国国防部向动态、不断发展的网络战备模型的转变。

3. 认证要求：哪些内容保持不变，哪些内容发生变化

尽管 8140 在结构上取代了 8570，但 8570 的认证表格仍然有效，并已纳入 8140 框架。以下认证仍然有效：

• CompTIA Security+

• CompTIA CySA+

• CEH

• CISSP

• CASP+

• CISM

• GIAC 认证

这些认证仍然有效，并与相应的工作角色相对应。

有哪些变化？

根据 DoD 8140，认证要求将进行重新评估和更新，以适应不断变化的人员角色和威胁形势。新的认证和新兴技术可以更高效地集成到框架中，从而提高灵活性。

4. DoD 8140 和 DoD 8570 之间的管理差异

记录保存和人员识别

DoD 8140 要求更严格、更标准化的人员跟踪，为每位网络安全人员在指定系统中分配一个正式的工作角色代码。这确保了更有效的监督和准备情况评估。

培训项目验证

根据 DoD 8140，培训机构必须使其课程与 DCWF 能力保持一致，而不仅仅是认证目标。这确保了技能水平与认证结果之间的平衡。

治理与监督

国防部 8140 号条例要求：

• 更完善的文档记录

• 角色准确性

• 技能跟踪

• 定期审查

该条例扩展了 8570 号条例中较为有限的行政要求。

5. 对国防部承包商、文职人员和军事人员的影响

A. 国防部承包商

承包商必须遵守与政府人员相同的劳动力要求。根据 8140 号条例，这些要求现在包括：

• 适当的工作角色匹配

• 资格认证验证

• 持续培训

• 跟踪和文档记录

不合规可能导致无法履行合同或失去对国防部系统的特权访问权限。

B. 国防部文职人员

文职人员受益于：

• 更清晰的职业发展路径

• 明确的技能要求

• 正式的能力跟踪

• 专业发展框架

8140 号条例提高了国防部各部门之间的流动性和协调性。

C. 军事网络安全人员

军事网络安全人员必须在规定的时间内满足符合 8140 标准的认证和培训要求。该框架确保各军种拥有更加一致的网络安全能力。

6. 对网络安全专业人员的实际影响

更清晰的职业发展方向

DoD 8140 提供了更明确的工作职责，使专业人员能够明确：

• 所需能力

• 相应的认证

• 推荐的培训路径

这有助于改进职业规划和晋升。

更高的专业标准

向基于能力的要求转变意味着专业人员不仅需要证明其获得了认证，还需要证明其具备应用技能的能力。

提升人员流动性

由于 DoD 8140 与 NICE 相一致，网络安全专业人员可以更轻松地在以下机构间转换：

• 国防部各部门

• 联邦机构

• 情报界职位

• 行业职位

长期职业发展

DoD 8140 强调终身培训，确保持续的战备状态，从而提升整体人员素质和任务韧性。

7. 主要差异概述：DoD 8140 与 DoD 8570

领域

DoD 8570

DoD 8140

主要模式

基于认证

基于能力

人员范围

信息保障与网络安全角色

完整的网络安全人员队伍（7 个要素）

角色数量

约 14 个类别

50 多个工作角色

一致性

符合美国国防部标准

符合 NICE 标准

培训

仅认证

技能、任务、经验、培训

灵活性

有限

高度灵活

治理

基本认证跟踪

完整的人员生命周期管理

结论

DoD 8140 代表了美国国防部网络安全人员队伍治理的重大现代化。国防部第 8570 号指令确立了基础认证要求，而第 8140 号指令则在此基础上扩展为一个全面的、基于能力的框架，并与国家标准保持一致。这一转变确保国防部网络人员始终具备能力、适应性和准备，能够在日益复杂的威胁环境中保护国家信息系统。

对于承包商、文职人员和军事人员而言，理解这些指令之间的区别至关重要，这有助于确保合规性、保持战备状态，并在国防部网络领域内规划不断发展的职业道路。