前言:尋找寫作靈感?中文期刊網(wǎng)用心挑選的網(wǎng)絡安全等級保護教育培訓體系構建,希望能為您的閱讀和創(chuàng)作帶來靈感,歡迎大家閱讀并分享。
摘要:開展等級保護是網(wǎng)絡運營者的法定義務,教育培訓是等級保護工作的有力保障,本文從法規(guī)標準要求、等級保護工作過程、等級保護相關單位及崗位技能要求等探討如何構建教育培訓體系以適應等級保護相關要求。
關鍵詞:等級保護;教育培訓;網(wǎng)絡安全
履行等級保護制度是網(wǎng)絡安全法規(guī)定的法定義務,等級保護制度是國家信息安全基本國策,等級保護是網(wǎng)絡安全工作的基本方法。等級保護是中國網(wǎng)絡安全保障工作中的偉大創(chuàng)舉,為中國網(wǎng)絡安全保障工作取得了重大成就。教育培訓是等級保護制度重要組成部分,教育培訓是推進等級保護工作的有力保障,教育培訓也是落實等級保護工作的重中之重。如何構建適應網(wǎng)絡安全等級保護要求的教育培訓體系,是需要高度重視和不斷完善的重點工作。
1網(wǎng)絡安全教育培訓體系的法規(guī)要求
《中華人民共和國網(wǎng)絡安全法》中對網(wǎng)絡安全教育培訓有明確的要求基于上述法規(guī)標準可以看出,網(wǎng)絡運營者開展網(wǎng)絡安全教育培訓是網(wǎng)絡安全法要求的法定義務,網(wǎng)絡安全教育培訓也是提升網(wǎng)絡安全保障能力的關鍵舉措,是網(wǎng)絡安全等級保護中不可或缺的重要工作,完整的信息安全保障體系,需要人、技術、管理三者有機結合,而這三者都離不開有效的網(wǎng)絡安全教育培訓。
2如何構建網(wǎng)絡安全教育培訓體系
教育培訓體系建設是個復雜的系統(tǒng)工程,有他自己的規(guī)律,網(wǎng)絡安全作為專業(yè)性較強的行業(yè),網(wǎng)絡安全教育培訓更需遵循一定的科學規(guī)律,考慮各方面的因素。網(wǎng)絡安全教育培訓,一定要針對崗位,結合實踐。如何構建一套適合網(wǎng)絡安全等級保護的教育培訓體系?要解決這個問題,首先需要了解網(wǎng)絡安全等級保護工作的主要內(nèi)容、基本流程及所涉及的主要崗位及各崗位的能力要求。按照《信息安全等級保護實施指南》,網(wǎng)絡安全等級保護實施的基本流程如圖1所示。具體實施等級保護工作,有五個規(guī)定動作:系統(tǒng)定級、備案、安全建設整改、等級測評、監(jiān)督檢查。這些工作涉及到信息系統(tǒng)使用運營單位(甲方)、信息系統(tǒng)建設服務單位(乙方)、信息系統(tǒng)安全測評機構(第三方)、信息系統(tǒng)安全監(jiān)管部門(監(jiān)管方)等四方面單位。大家知道,等級保護各崗位工作都是圍繞定級對象展開,定級對象涉及的技術可能是傳統(tǒng)的信息系統(tǒng),也可能是云計算、移動互聯(lián)、工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)系統(tǒng)或大數(shù)據(jù)等,后續(xù)可能還有諸如5G,人工智能等不斷涌現(xiàn)的新技術。不管什么樣的定級對象,相關工作崗位都隸屬于這四個方面的單位:甲方、乙方、第三方及監(jiān)管方。因為工作關系,不同單位所關注的點不同,相應的工作崗位也不同:信息系統(tǒng)使用運營單位(甲方)主要設置的崗位有兩大類:一類是網(wǎng)絡安全主管領導,這類崗位偏宏觀管控,重點關注網(wǎng)絡安全工作的總體領導與指導,重點需要培訓網(wǎng)絡安全相關政策、法規(guī)、標準,確保所有工作大方向不錯;另一類是信息系統(tǒng)安全管理崗,如安全管理員、系統(tǒng)管理員、網(wǎng)絡管理員等,這類崗位重點關注信息系統(tǒng)規(guī)劃設計,工程過程監(jiān)督管理,日常運行維護等,需要重點了解相關標準中具體的要求以方便參與或配合信息系統(tǒng)全生命周期各環(huán)節(jié)工作并能對各環(huán)節(jié)工作質(zhì)量和效果進行準確有效的監(jiān)督管理。信息系統(tǒng)服務提供商(乙方)一般指產(chǎn)品廠商、軟件開發(fā)商及系統(tǒng)集成商等,信息系統(tǒng)服務提供商一般開展網(wǎng)絡安全規(guī)劃設計、網(wǎng)絡安全實施交付、網(wǎng)絡安全運行維護、應急響應與保障,安全監(jiān)理等工作,這類群體不僅需要培訓專業(yè)技術也需要培養(yǎng)合規(guī)意識。其中,網(wǎng)絡安全規(guī)劃設計類崗位一般主要從事:信息資產(chǎn)摸底及安全需求調(diào)研,網(wǎng)絡安全技術方案與管理體系規(guī)劃設計等。網(wǎng)絡安全實施交付類崗位一般主要從事如下工作:設計實施方案,并按照實施方案對相關軟硬件進行合理部署、配置,確保系統(tǒng)安全可控地運轉等。網(wǎng)絡安全運行維護類崗位一般主要從事:網(wǎng)絡安全案事件分析與處置,日常開展信息系統(tǒng)安全監(jiān)測與評估,數(shù)據(jù)備份與恢復,信息安全管理制度體系建設,操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡設備正確合理配置,定期開展攻防演練,軟硬件系統(tǒng)的運行與維護,工程建設項目監(jiān)督管理等。應急保障崗位一般開展如下工作:監(jiān)控監(jiān)視系統(tǒng)有效安全運行,制定應急預案,做好應急物資準備,發(fā)現(xiàn)突發(fā)安全問題后能夠及時處置。安全監(jiān)督管理崗位重點關注:監(jiān)督管理信息安全項目的科學合理進展,負責按照政策、法規(guī)、標準檢查監(jiān)督施工單位在網(wǎng)絡安全建設過程中的合規(guī)性和有效性等。信息系統(tǒng)安全測評機構主要指等級保護測評機構、第三方軟件測試機構、風險評估機構等。安全測評機構一般開展網(wǎng)絡安全等級測評、風險評估、產(chǎn)品檢測等工作,是安全合規(guī)與否的核查者檢驗員。其中,網(wǎng)絡等級測評人員主要工作是參照等級保護基本要求及測評要求,針對被測系統(tǒng)《GB/T22239-2019網(wǎng)絡安全等級保護基本要求》中所規(guī)定的要求項開展測評工作。風險評估類崗位主要《GB/T20984-2007參照信息安全風險評估規(guī)范》從資產(chǎn)、威脅、脆弱性等三方面去分析評估被測系統(tǒng)的風險情況及風險處理與管理等工作。安全產(chǎn)品檢測類崗位主要工作是,基于國家相關規(guī)范標準就信息系統(tǒng)中的軟硬件產(chǎn)品進行功能、性能和安全符合性等方面進行檢測,以檢測報告的形式為驗收或為系統(tǒng)進一步完善提供佐證。信息系統(tǒng)安全監(jiān)管部門主要指公安各級網(wǎng)安部門、各級網(wǎng)信辦、行業(yè)主管部門等,是網(wǎng)絡安全行業(yè)的檢驗員與執(zhí)法官。主要關注系統(tǒng)的安全保護狀況,定期或不定期對信息系統(tǒng)開展安全監(jiān)督與檢查,根據(jù)國家政策法規(guī)及相應技術標準,就信息系統(tǒng)安全責任主體進行合規(guī)性督促和檢查,并提出整改建議。不同群體的關注點不一樣,需要針對不同人群設計不同的教育培訓方案。教育培訓最終目的是讓受訓者有所收獲,能幫助受訓者真正提升網(wǎng)絡安全保護能力。目前網(wǎng)絡安全方面的教育培訓,大致可以分為兩大類,一類是高等院校學歷教育的網(wǎng)絡空間安全相關專業(yè),另一類是從事網(wǎng)絡安全培訓的專業(yè)機構。目前開設網(wǎng)絡安全類專業(yè)的高校有很多所,每年還新增不少院校開辦網(wǎng)絡安全類專業(yè),高等學歷教育院校分研究型大學和應用型大學,研究型大學多以密碼學為核心,如北京郵電大學、武漢大學、四川大學、南開大學等;應用型高校以網(wǎng)絡安全攻防為核心,主要是高等職業(yè)學院或一般二本、三本學校。網(wǎng)絡安全培訓認證分國外認證和國內(nèi)認證:國外的證書,基本是民間組織協(xié)會推出的,很多證書的權威性有待考證,其中比較著名的是CISSP(CertificationforInformationSystemSecurityProfessional)即信息系統(tǒng)安全專業(yè)認證證書,是目前行業(yè)比較認可的技術資質(zhì)證書。另有CIW認證,CIW是網(wǎng)絡安全業(yè)界公認的通用型、入門級證書,注重考生對網(wǎng)絡安全的全面了解及實際工作能力的檢驗。還有Itil、cobit、27000等國外安全管理標準的培訓認證,其他還有國外安全產(chǎn)品供應商的培訓證書,偏重于本公司產(chǎn)品的培訓,如思科認證等。國內(nèi)證書也是比較繁雜,目前常見的主要是中國信息安全測評中心舉辦的CISP注冊信息安全專業(yè)人員的資格證書,申請安全服務資質(zhì)的機構人員必需具備的資格條件,所以認證人數(shù)相對較多。另有國家重要信息系統(tǒng)保護人員培訓CIIP(CriticalInformationInfrastructureProtection)系列認證,系公安部信息安全等級保護評估中心研發(fā)的一套以等級保護為主線的系列技能認證,純技術技能認證,不與其他資質(zhì)認證掛勾。另有信息安全保障人員認證Cisaw,CISAW是中國信息安全認證中心針對信息安全保障不同專業(yè)技術方向、應用領域和保障崗位,依據(jù)國際標準ISO/IEC17024《人員認證機構通用要求》所建立的、不同層次的信息安全保障人員認證體系。還有一些國內(nèi)大型安全廠商基于自身產(chǎn)品線定制的技能認證,基本上是和自己的產(chǎn)品操作有關,如華為網(wǎng)絡技術認證,華三的技能認證等等。這些培訓基本上都是依據(jù)培訓或發(fā)證機構自身特點,根據(jù)市場需求設計的課程體系,很難完全勝任網(wǎng)絡安全等級保護工作,尤其是針對具體的工作崗位技能和具體的工作內(nèi)容方面均還需要進一步完善。
3等級保護工作過程中有效的教育培訓活動
3.1時間上有確定的周期性的安排
一般等級保護過程中,有如下關鍵節(jié)點需要開展有效的網(wǎng)絡安全教育培訓活動:(1)常態(tài)化教育培訓工作:網(wǎng)絡安全意識培訓需要常態(tài)化舉行,網(wǎng)絡安全意識教育,可以不拘于形式,可以利用各種機會、抓住一切機會宣貫網(wǎng)絡安全法規(guī)標準,宣傳網(wǎng)絡安全事件,提升網(wǎng)絡安全意識。網(wǎng)絡安全意識的教育培訓要覆蓋到全體人員,尤其是單位高層領導首先得帶頭學習,只有“一把手”網(wǎng)絡安全意識提高了,整個單位的網(wǎng)絡安全意識才可能提高。(2)敏感節(jié)假日及重要紀念日,需開展網(wǎng)絡安全教育培訓活動,結合具體主題,宣貫網(wǎng)絡安全重要性,加強網(wǎng)絡安全防護手段。(3)等級保護項目啟動會、反饋會、驗收會等重要節(jié)點會上,需借機開展網(wǎng)絡安全教育培訓,結合等級保護具體工作學習,通過學習再切實提升等級保護工作實際效果。
3.2不同目標人群內(nèi)容要各有針對性
(1)信息系統(tǒng)運營使用單位,重點是法規(guī)標準的理解和應用,能達到能識別能判別等級保護相關工作的質(zhì)量與效果。能夠有效配合、合理指導監(jiān)督網(wǎng)絡安全服務人員的實際工作。(2)信息系統(tǒng)安全建設單位,重點培訓網(wǎng)絡安全等級保護建設要求,嚴格落實網(wǎng)絡安全等級保護中關于建設整改的要求,確保按照等級要求規(guī)劃建設方案,實施建設內(nèi)容。網(wǎng)絡建設單位入場啟動和驗收時必須接受網(wǎng)絡安全教育培訓。(3)測評機構,測評機構除按要求實施等級測評外,在某種意義上還有指導信息系統(tǒng)使用運營單位合理開展網(wǎng)絡安全工作的責任,所以對測評機構相關人員的教育培訓顯得尤為重要。測評機構首先是要熟悉并深刻理解網(wǎng)絡安全法規(guī)標準,尤其是對GB/T28448-2019《信息安全技術網(wǎng)絡安全等級保護測評要求》這個標準的理解,只有深刻理解法規(guī)標準才能真正使用法規(guī)標準有效地開展測評工作。測評機構的服務范圍還不能只限于測評,需要給系統(tǒng)運營使用單位提供力所能及的安全服務,比如咨詢、培訓、運維指導等服務。所以對測評機構人員定期開展網(wǎng)絡安全繼續(xù)教育必不可少,這在等級保護測評機構管理辦法中也有明確要求,需要嚴格執(zhí)行。(4)監(jiān)管部門,網(wǎng)絡安全監(jiān)管部門不僅是行政監(jiān)管部門,更是業(yè)務指導部門。監(jiān)管部門的教育培訓程度,直接決定了網(wǎng)絡安全等級保護工作開展的深度和質(zhì)量。監(jiān)管部門重點是對法規(guī)標準要深入理解,能夠熟練運用法規(guī)標準去監(jiān)管等級保護相關工作。監(jiān)管部門相關人員由于教育培訓不到位,可能造成監(jiān)管過松或過嚴,指導不精準現(xiàn)象。所以監(jiān)管部門的教育培訓也得定期認真開展。
4教育培訓體系建設建議
網(wǎng)絡安全教育培訓是網(wǎng)絡安全工作的重中之重,各單位領導班子尤其是“一把手”必須高度重視,嚴格執(zhí)行法規(guī)標準要求。網(wǎng)絡安全教育培訓是落實踐行網(wǎng)絡安全等級保護制度的有效保障,構建相對完善的教育培訓體系任重道遠,必須常抓不懈。網(wǎng)絡安全教育培訓必須有針對性,分層級、有側重、全覆蓋,培訓內(nèi)容要落到實處,培訓結果要取得實效。
參考文獻
[1]GB/T25058-2010.信息系統(tǒng)安全等級保護實施指南[S].中華人民共和國國家標準,2010.
[2]GB/T22239-2019.信息系統(tǒng)安全等級保護基本要求[S].中華人民共和國國家標準,2019.
[3]袁禮.基于學分銀行”機制構建職業(yè)教育課程體系初探—以信息安全專業(yè)為例[J].北京經(jīng)濟管理職業(yè)學院學報,2016(4).
作者:袁禮 單位:北京經(jīng)濟管理職業(yè)學院信息學院
