前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络信息安全培训方案范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
一、加强顶层设计,确立信息安全教育国家战略
1.《网络空间安全国家战略》
布什政府在2003年2月了《网络空间安全国家战略》,其中首次从国家层面提出了“提高网络安全意识与培训计划”,指出,“除了信息技术系统的脆弱性外,要提高网络的安全性至少面临着两个障碍:缺乏对安全问题的了解和认识;无法找到足够多的经过培训或通过认证的人员来建立并管理安全系统。“为此,美国要开展全国性的增强安全意识活动,加强培训和网络安全专业人员资格认证。
2.《美国网络安全评估》报告
2009年5月29日美国公布了《美国网络安全评估》报告,评估了美国政府在网络空间的安全战略、策略和标准,指出了存在的问题,提出行动计戈IJ。所提议的优先行动计划之一就是“加强公众网络安全教育”。
3.《国家网络安全综合计划》(CNCI)
2010年3月2日,奥巴马政府对前布什政府在2007年制定的一份国家网络安全综合计划的部分内容进行解密。CNCI计划提出要实现重要目标之一就是:“为了有效地保证持续的技术优势和未来的网络安全,必须制定一个技术熟练和精通网络的劳动力和未来员工的有效渠道。扩大网络教育,以加强未来的网络安全环境。”
4.《国家网络空间安全教育战略计划》
2011年8月11日,NIST授权《美国网络
安全教育倡议战略规划:构建数字美国》草案,征求公众意见。该规划是美国网络安全教育倡议(NICE)的首个战略规划,阐明了NICE的任务、远景和目标。NICE旨在通过创新的网络行为教育、培训和加强相关意识,促进美国的经济繁荣和保障国家安全,并通过以下三个目标实现这一愿景:增强公众有关网上活动风险的意识;扩展能支持国家网络安全的人员队伍;建立和维持一支强大的具有全球竞争力的网络安全队伍。
二、做好立法工作,完善法规标隹体系
1.《联邦信息安全管理法案》(FISMA)
2002年7月,美国政府制定了《联邦信息安全管理法案》(FISMAhFISMA法案以立法的形式表明美国政府已经认识到信息安全对美国经济和国家安全利益的重要性,并从风险管理角度提出了一个有效的信息安全管理体系。信息安全教育与培训是信息安全管理体系中一个重要环节。
FISMA法案明确要求:联邦政府机构须为内外部相关人员提供信息安全风险的安全意识培训,为此还提议了一个较为完善的国家安全意识及其培训系统。
2.国防部(DoD)8570指令
2005年12月,为了更好地支持“全球信息网格计戈j”,美国国防部了8570指令。该指令涵盖以下主要内容:建立技术基准,管理职员的信息保障技能;实现正规的信息保障劳动力技能培训和认证活动;通过标准的测试认证检验信息保障人员的知识和技能;在基础教育和实验教育中,持续的增加信息保障内容。
3.联邦政府信息技术安全培训标准(FIPS)
FISMA法案明确指定NIST负责制定联邦政府(除国防、情报部门以外)所使用的信息安全技术、产品和培训方面的国家标准。目前,NIST已制定和两部权威的信息安全培训标准:《信息技术安全培训要求:基于角色和表现的模型》(NISTSP800-16)和《建立信息安全意i只和培训方案》(NISTSP800—50)cNIST在SP800—16标准中提出了信息安全培训概念性的框架,依据这些框架,美国联邦政府部门开展了很多综合性的联邦计算臟务(FSC)项目。
4.网络安全法案
2010年3月24日,美国参议院商务、科学和运输委员会全票通过了旨在加强美国网络安全、帮助美国政府机构和企业有效应对网络威胁的《网络安全法案》。该法案要求政府机构和私营部门加强在网络安全领域方面的信息共享,强调通过市场手段,鼓励培养网络安全人才,开发网络安全产品和服务。
三、构建信息网络安全组织机构,健全安全教育培训管理体制
为了落实信息安全教育培训相关政策和法律法规,美国将协调、执行、监督、管理等权利分配给多个政府部门,依据最新的《国家网络安全教育战略计划》的思路,国家标准技术研究所(NIST)为整个计划的负责单位,协调其他部门参与计划的实施;国土安全部(DHS)、国防部(DoD)、国务院、教育部和国家科学基金会(NSF)协力加强公众的信息安全意识;DHS、海关总署、NSF和国家安全局(NSA)共同加强从业人员f支术能力;DHS、DoD、NIST、NSA、NSF和人事管理局(OPM)负责建立高端网络安全人才队伍。
社会各界积极参与
行业协会已经站到了信息安全教育培训的前沿,成为信息安全教育培训的践行者。其职责主要是协助有关部门制定信息安全教育与培训的标准,组织持续的教育活动,并向内部成员单位实施培训。行业协会自身作为提供教育和培训的主体,一方面可以根据政府的引导和企业的需求来设置培训内容;另一方面可以利用政府和产业界的资源,充分发挥其在信息安全领域内不可替代的社会职能。行业协会提供的培训标准是政府制定的培训标准的主要补充,为规范和完善美国信息安全培训行业提供了切实可行的保障。
(1)国际信息系统审计协会(丨SACA)
国际信息系统审计协会(ISACA)是一个为信息管理、控制、安全和审计专业设定规范标准的全球性组织,会员遍布逾160个国家,总数超过86,000人。ISACA成立于1969年,除赞助举办国际会议外,还编辑出版《信息系统监控期刊》,制定国际信息系统的审计与监控标准,以及颁授国际广泛认可的注册信息系统审计师(CISA)专业资格认证。CISA认证体系已通过美国国家标准协会(ANSI)依照ISO/IEC17024:2003标准对其进行的资格鉴定。同时,美国国防部也认可了CISA认证,并将其纳入到国防系统信息技术人员技能商业资格认证体系当中。这产生了以下四方面的作用:认可CISA认证所提供的特有资格和专业知识技能;保护认证的信誉并提供法律保护;增进消费者和公众对本认证和持证者的信心;使跨国、跨行业的人才流动更加便利。
(2)美国系统网络安全(SANS)研究院SANS是于1989年创立的美国非政府组织(NGO),是一所具有代表性的从事网络安全研究教育的专业机构。1999年SANS首次推出了安全技术认证程序(GIAC)。
GIAC认证程序有以下几个特点:
GIAC提供超过20种的信息安全认证,其大多数符合DOD8570指令。GIAC依据国家标准对安全专业人员及开发人员进行各方面技能认证。GIAC安全认证分为入门级信息安全基础认证(GISF)和高级安全要素认证(GSEC)。两种认证都重点考察安全基础知识,保证揺正人员拥有必备的安全技能。其它GIAC安全认证包括:认证防火墙分析师(确认设计、配置和监控路由器、防火墙和其它边界设备所需的知识、技能和能力)、认证入侵分析师(评估考生配置和监控入侵检测系统的知识)、认证事故处理员(考察考生处理事故和攻击的能力)和认证司法辩论分析师(考查考生高效处理正式司法调查的能力。
(3)国际信息系统安全认证联盟(ISC)2
国际信息系统安全核准联盟(ISC)2成立于1989年,是一家致力于为全球信息系统安全从业人员提供信息安全专业技能培训和认证的国际领先非营利组织。在(ISC)2各种认证中,CISSP数量最多。截至2010年底,全球共有75000名CISSP获证人员,其中,美国获证人员数量超过70%^CISSP获证人员中,约30%在政府部门工作,40%从事信息安全月服务行业,30%从事用户终端工作。
注册信息系统安全专业人员通用知识体(CISSPCBK)提供了通用的信息安全术语和原理框架,使得全世界的信息安全专业人员能够以相同的术语和理念,讨论、辩论和解决信息安全相关问题。
1.1建设标准化的信息安全管理体系
通过标准化管理实现信息安全标准化作业管理,定期对信息安全管理制度进行评价审定,对存在问题或需要改善的管理制度进行修订改善。
1.2建立完善信息安全管理组织机构
设立信息安全管理工程师、网络工程师、系统工程师等岗位,并明确各岗位相关职责,关键岗位实行备岗制度。应加强各岗位人员之间、信息安全管理负责部门和业务部门、后勤保障部门之间的沟通,共同负责协调处理信息安全问题。
1.3建立严格的审核流程
严格审查信息安全管理人员的聘用录取流程,审查其工作经历和任职过程,关键岗位应签署保密协议,明确相关人员信息安全责任;及时终止离退休人员的系统访问权限;对外来人员、第三方技术支持人员进行严格控制和监督,实行专人陪同或监督,并将访问时间、访问过程全过程登记备案。
1.4开展测试评估工作
新开发的业务系统、新建设的网络系统应加强安全防护措施建设,结合企业实际情况,建设针对性的安全防护方案;从长期安全和国际安全来看,最好使用安全性较高、质量较好的国产化产品;系统正式投入使用之前,应委托有资质的第三方专业测试单位对系统进行安全性、稳定性测试,根据测试报告对系统进行可用性、稳定性、安全性评估,不符合评估要求的,需要进行相关整改,整改之后重新进行测试评估,满足要求之后应该试运行一段时间。
1.5加强系统软硬件环境的全过程管理
(1)加强系统相关硬件环境的规范管理,特别是重要信息机房、通信机房的规范管理,确保机房温湿度、防水、防火、防盗、安全监控等运行环境符合要求,制定机房出入管理规定,严格机房出入管理,包括设备巡视维护人员、业务人员、第三方人员等等在内的所有人员都应严格实行出入管理规定,做好出入记录和工作过程的记录。(2)加强软件系统授权管理,根据各个系统角色的单位部门、工作职责、安全责任及工作范围等方面进行访问权限划分,按照最小授权原则,明确各个系统角色的权限、责任和风险;日常维护操作过程都应详细记录,严格操作授权管理机流程管理,任何未经授权的操作和错误的操作流程都要严格禁止和限制;定期进行漏洞扫描和补丁更新工作。(3)加强病毒防护管理,通过多种方式开展培训教育,增强企业员工防病毒意识,不打开、阅读来历不明的邮件,不随意发送涉及公司企业秘密的邮件;要指定专人做好病毒分析、记录和查杀工作。(4)严格系统变更、系统重要操作、物理访问和系统接入申报和审批程序,建立健全变更管理制度。保证所有访问均得到授权和批准,进行必要的安全隔离,配置严格的访问控制策略。
1.6加强员工信息安全培训
每年开展信息安全知识普及工作,提高企业全体员工信息安全意识;每年开展信息安全专项知识培训,并将信息安全培训纳入到企业培训考核工作当中,确保信息安全培训达到应有效果;加强企业领导和管理人员的信息安全培训,增强领导层、管理层的信息安全意识。
1.7加强应急预案管理工作
不断完善应急预案,做好应急预案的分类管理工作,既要有企业整体应急预案,也要有各个专项应急预案;做好应急物资储备调用工作,确保人员、物资等应急保障资源能及时可调可用。
1.8严格制定实施细则
确保信息安全风险评估工作做到常态化和制度化,及时落实整改,消除信息安全隐患。
2安全技术措施
2.1加强信息机房管理
通信机房安全建设管理工作,机房建设要符合国家相关规定,机房位置选择时,应选择远离强噪声源、粉尘、油烟、有害气体等场地,并且要避开强电磁场干扰,不要将机房选在地下室或者顶层等场地,选择中间二、三层较安全。
2.2加强信息网络安全管理
(1)信息网络核心交换机、汇聚交换机、核心路由器等核心网络设备要配置冗余设备,其上下行链路也要做好双链路备份,并根据业务需要合理分配网络资源;做好设备的授权访问控制,配置访问列表、IP/MAC绑定、vlan访问限制等安全措施,防止未经授权的访问操作发生。(2)采用网络行为管理设备、安全隔离装置、入侵防御设备(IPS)等安全设备对网络边界实施网络隔离、流量控制、访问行为审查和防御。(3)严格数据库访问管理,实现操作系统和数据库系统特权用户访问权限分离,对访问权限一致的用户进行分组,访问控制粒度应达到主体为用户级,客体为文件、数据库表级;控制单个用户的多重并发会话和最大并发连接数,限制单个用户对系统资源、磁盘空间的最大或最小使用限度,当系统服务水平降低到预先规定的最小值时,应能检测并报警。
2.3加强保密存储管理
对重要和敏感信息实行加密传输和存储,特别是移动存储管理,应严格限制移动设备的访问权限,包括办公笔记本和存储U盘,防止信息泄密;对重要信息实行自动、定期备份,防止数据丢失。
3结语
关键词:民办高校信息化建设;信息资源特性;信息资源安全保障
中图分类号:G647
近年来,民办高校逐步实现了管理手段的现代化,但是,由于民办高校起步晚,信息安全技术相对落后,致使其信息资源安全无法得到有效地保障。因此,如何采取有效措施保障信息资源安全,提高自身的信息化水平,已经成为影响民办学校“跨越式发展”的关键问题之一。
1 加强民办高校信息资源安全保障的必要性
近年来,各民办高校对计算机网络与信息系统的依赖程度也越来越高,随之而来的民办高校信息资源安全[1-5]问题也日益突出。目前,关于民办高校信息资源安全问题的研究,在理论和实践上还不很成熟,国内外也缺少相对成熟的成套理论与通用模式,因此,如何有效地对民办学校信息资源进行有效管理,探索各种民办高校信息资源安全问题的应对策略,已经成为民办高校信息化建设中迫切需要解决的问题。
2 民办高校信息资源特性
概括下来,民办高校信息资源具有以下特性:
(1)来源开放性。民办高校的某些信息资源可由校内外人员以各种途径和传播。所以,这些信息资源是开放式的,也往往是比较难管理的。
(2)内容多元性。由于大多数民办高校都已拥有了自己的各类信息系统,因此,信息资源也因信息系统内容不同而呈现出多元性。
(3)政策动态性。在民办高校发展过程中,根据不同的信息资源现状,决策者不同时期的决策也具有差异性,使得信息资源具有浓重的政策动态性。
(4)影响广泛性。目前,民办高校大部分信息系统师生参与度高,涉及面广,若不能及时处理由此引发的安全问题,将会可能影响正常教学活动展开、科研办公等,甚至可能会造成混乱。
(5)问题突发性。随着民办高校对计算机网络的依赖程度越来越高,关于信息资源的问题复杂多变又非常隐蔽,若出现了安全问题,在极短时间内就可通过网络引起校内外人员关注并被迅速传播,极易引发突发性信息资源的安全事件。
3 民办高校面临的信息资源安全风险
由于民办高校信息资源的不同特性,其引发安全问题也具有多样性与复杂性。然而,由于信息资源安全问题的隐蔽性与复杂多变性,并未引起足够的重视,使得民办高校面临各种可能的信息资源安全风险。
3.1 信息资源安全宣传教育力度不够,部分师生安全意识淡薄
由于自身体制的原因,大多数民办高校对信息资源安全的重视不够,较少开展关于信息资源安全的各种宣传教育与培训活动,导致部分师生安全意识不强,在使用相关信息系统时,往往只注重使用,并未过多地顾及信息资源的安全性,只能被动地解决信息资源安全问题。
3.2 信息资源安全培训欠缺,信息安全人员技术水平有待提高
目前,虽然各种信息系统已在大多数民办高校得到广泛应用,但由于缺乏专业的信息资源安全管理人才和配套的信息安全培训,造成现有信息安全人员技术水平相对不高,无法及时发现并处理信息资源的安全隐患,影响了民办高校信息化建设进程。
3.3 信息资源安全保障投入有限,缺乏信息安全总体规划
相对于公办高校而言,民办高校资金匮乏,对信息安全保障并未进行过多地投入,也没有设置专门负责信息资源安全的部门。另外,民办高校缺乏信息资源安全总体规划,当出现信息资源安全问题时,往往只能被动地解决,没有一整套的信息资源安全预警机制来防范,从而给民办高校信息化建设带来了一定的难度。
由于安全意识淡薄,宣传不到位,没能引起相关部门关于信息资源安全问题的足够重视,使得民办高校信息化建设发展缓慢,信息化水平相对落后。如何有针对性地解决信息资源安全风险,成为民办高校信息化建设下一步的工作重点。
4 民办高校信息资源安全保障的应对策略
为了更好地推进民办高校信息化建设,民办高校需要加大投入力度,大力宣传信息资源安全,强化师生安全意识,开展必要的专业信息资源安全培训,培养一批高水平的信息资源安全人才队伍。要做好民办高校信息资源安全保障,需要从以下几个方面来应对。
4.1 强化监督与管理,加强信息资源安全培训和宣传教育,增强信息资源安全意识和责任感,切实提高信息资源安全管理水平
一方面,民办高校可以每年度定期组织相关管理人员进行信息安全教育培训,普及信息资源安全知识。另一方面,民办高校可以通过讲座、校报、校内广播、网上浏览等多种形式来普及安全知识,对广大师生进行信息资源安全宣传教育,营造良好的信息安全环境。
4.2 加强信息资源安全人才队伍建设,培养专业信息资源安全人才
信息安全人才队伍建设是建立民办高校信息资源安全保障体系和民办高校信息化建设健康发展的重要保证。因此,各民办高校应该围绕信息资源安全需要,不断完善信息资源安全人才培养方案,努力打造一支富有信息资源安全意识、信息管理技术过硬的信息资源安全人才队伍。
4.3 多种方式提高民办高校信息资源安全保障能力
民办高校可以定期对已有的各种信息系统进行日常安全检查,加强对各种信息资源的管理,及时进行信息安全产品更新换代,减少信息资源安全问题出现的可能性,努力提高民办高校信息资源安全保障能力。
4.4 构建民办高校信息资源安全保障体系
信息资源安全问题具有内容多元性的特点,正是这个特点,单一的信息资源安全防范措施并不能很好地解决出现的信息安全问题。通过构建民办高校信息资源安全保障体系,将会有效提高民办高校信息化水平。
5 结论
随着高校信息化的逐步深入,民办高校信息资源安全问题日益突出。在分析了民办高校信息资源安全保障的必要性后,本文归纳了民办高校信息资源安全特点,提出了目前民办高校面临的信息资源安全风险,在此基础上,给出了民办高校信息资源安全保障对策,力图达到提高民办高校信息化水平,保证民办高校信息化建设健康发展的研究目的。
参考文献:
[1]熊平.高校信息安全教育改革[J].科技咨询导报,2007,10:167-168.
[2]邓吉平.论新时期高校信息安全保密工作[J].科技创新导报,2008(35):178-178.
[3]杨莹.高校信息安全探讨[J].电脑知识与技术,2008,4(36):2955-2956.
[4]杨建国.网络环境下高校信息安全的管理[J].安庆师范学院学报(社会科学版),2004,23(2):61-63.
[5]孟坛魁,梁艺军.高校信息安全体系建设与实践[J].实验技术与管理,2011,28(6):122-124.
作者简介:何建仓(1984-),通讯作者,男,河南新乡人,研究生,助教,研究方向:粗糙集、粒计算;巨筱(1976-),讲师,研究方向:计算机教育;牛丹丹(1985-),女,助教,研究方向:LTE协议栈。
信息安全准则是风险评估和制定最优解决方案的关键,优秀的信息安全准则包括:根据企业业务目标执行风险管理;有组织的确定员工角色和责任;对用户和数据实行最小化权限管理;在应用和系统的计划和开发过程中就考虑安全防护的问题;在应用中实施逐层防护;建立高度集成的安全防护框架;将监控、审计和快速反应结合为一体。良好信息安全准则可以让企业内外部用户了解企业信息安全理念,从而让企业信息管理部门更好地对风险进行管控。
2企业信息安全管理的主要手段
2.1网络安全
(1)保证安全的外部人员连接。在日常工作中,外部合作伙伴经常会提出联入企业内网的需求,由于这些联入内网的外部人员及其终端并不符合企业的信息安全标准,因此存在信息安全隐患。控制此类风险的手段主要有:对用户账户使用硬件KEY等强验证手段;全面管控外部单位的网络接入等。
(2)远程接入控制。随着VPN技术的不断发展,远程接入的风险已降低到企业的可控范围,而近年来移动办公的兴起更是推动了远程接入技术的发展。企业采用USBKEY,动态口令牌等硬件认证方式的远程接入要更加的安全。
(3)网络划分。在过去,企业内部以开放式的网络为主。随着网络和互联网信息技术的成熟,非受控终端给企业内网带来的安全压力越来越大。这些不受信任的终端为攻击者提供了访问企业网络的路径。信息管理部门可以利用IPSec技术有效提高企业网络安全,实现对位于公司防火墙内部终端的完全管控。
(4)网络入侵检测系统。网络入侵检测系统作为防火墙的补充,主要用于监控网络传输,在检测到可疑传输行为时报警。作为企业信息安全架构的必备设备,入侵检测系统能有效防控企业外部的恶意攻击行为,随着信息技术的发展,各大安全厂商如赛门铁克,思科等均研发出来成熟的入侵检测系统产品。
(5)无线网络安全。无线网络现在已遍布企业的办公区域,给企业和用户带来便利的同时也存在信息安全的隐患。要保证企业内部无线网络的安全,信息管理部门需要使用更新更安全的协议(如无线保护接入WPA或WPA2);使用VLAN划分和域提供互相隔离的无线网络;利用802.1x和EAP技术加强对无线网络的访问控制。
2.2访问控制
(1)密码策略。高强度的密码需要几年时间来破解,而脆弱的密码在一分钟内就可以被破解。提高企业用户的密码强度是访问控制的必要手段。为避免弱密码可能对公司造成的危害,企业必须制定密码策略并利用技术手段保证执行。
(2)用户权限管理。企业的员工从进入公司到离职是一个完整的生命周期,要便捷有效地在这个生命周期中对员工的权限进行管理,需要企业具有完善的身份管理平台,从而实现授权流程的自动化,并实现企业内应用的单点登陆。
(3)公钥系统。公钥系统是访问控制乃至信息安全架构的核心模块,无线网络访问授权,VPN接入,文件加密系统等均可以通过公钥系统提升安全水平,因此企业应当部署PKI/CA系统。
2.3监控与审计
(1)病毒扫描与补丁管理。企业需要统一的防病毒系统和终端管理系统,在终端定期更新病毒定义,进行病毒自扫描,自动更新操作系统补丁,以减少桌面终端的安全风险。此类管控手段通常需要在用户的终端上安装客户端,或对终端进行定制,在终端接入企业内网时,终端管理系统会在隔离区域对该终端进行综合评估打分,通过评估后方能接入内网。才能保证系统的安全策略被有效执行。
(2)恶意软件防控。主流的恶意软件防控体系主要由五部分构成:防病毒系统;内容过滤网关;邮件过滤网关;恶意网页过滤网关和入侵检测软件。
(3)安全事件记录和审计。企业应当配置日志审计系统,收集信息安全事件,产生审计记录,根据记录进行安全事件分析,并采取相应的处理措施。
2.4培训与宣传提高企业管理层和员工的信息安全意识,是信息安全管理工作的基础。了解信息安全的必要性,管理层才会支持信息安全管理建设,用户才会配合信息管理部门工作。利用定期培训,宣传海报,邮件等方式定期反复对企业用户进行信息安全培训和宣传,能有效提高企业信息安全管理水平。
3总结
信息安全是国家安全的基础和关键,在信息安全保障的三大要素(人员、技术、管理)中,管理要素的地位和作用越来越受到重视。面对越来越严重的安全威胁,不单在IT技术领域,各行业的企业组织都越来越意识到信息安全的重要性,但单纯依靠技术方案来并不能解决如何保护企业信息资产的问题,因此这对当前高校的信息安全专业的人才培养也提出了更高的要求。
一、信息安全培训体系概况
信息安全培训作为高校信息安全专业教育的一种重要补充,主要用于解决学历教育和社会实践、社会认证培训的结合、信息安全人才培养不规范等问题。现有培训主要可分为四类。
第一,安全意识培训:其面向机构一般员工、非技术人员以及所有信息系统的用户,目的是提高整个组织普遍的安全意识和人员安全防护能力,使组织员工充分了解既定的安全策略,并能够切实执行。
第二,安全技能培训:其面向机构网络和系统管理员、安全专职人员、技术开发人员等,目的是让其掌握基本的安全攻防技术,提升其安全技术操作水平,培养解决安全问题和杜绝安全隐患的技能。
第三,安全管理培训:其面向组织的管理职能和信息系统、信息安全管理人员,目的是提升组织整体的信息安全管理水平和能力,帮助组织有效建立信息安全管理体系。
第四,认证资质培训:其针对特殊岗位所需的职能人员,包括审核部门、监管部门、信息保障部门等。通过提供国际信息安全相关认证考试的辅导培训,可以帮助人员顺利通过考试获得各类信息安全资质认证培训。
前三类认证主要依托专业的培训机构或安全设备厂商进行。第四类培训是当前培训的主体。
二、信息安全相关资质认证培训情况
资质认证类培训是针对资质认证特点和内容要求设计,依托专业机构进行的。一些认证的培训机构是由资质管理机构专门指定的。当前,信息安全相关资质认证主要分三类:
第一,国内以信息产业部,信息安全评测机构为代表的组织来管理实施的信息安全资格认证(或与国际组织联合颁发);这类的认证培训有:CISP培训、NCSE培训、CISM培训、INSPC培训、CIW认证培训等。
第二,由国外软件、网络产品厂商自己组织管理的产品专家认证(侧重于厂商产品、技术认证);相关的认证培训有:微软Microsoft认证培训、思科安全认证CCSP培训、趋势认证信息安全TCSE培训等。
第三,国际权威信息安全组织、研究部门或培训机构组来管理组织的国际化专业资格认证。相关的认证培训有:信息系统安全认证CISSP培训、信息安全管理体系主任审核员ISO 27001培训、国际注册信息系统审计师认证CISA培训、国际IT运营与服务管理资格认证ITIL培训等。
下面以CISP培训为例,分析其知识体系构建情况。
CISP即“注册信息安全专家”,是国家对信息安全人员资质的最高认可。其经由中国信息安全测评中心实施国家认证。CISP认证和培训赋予如下专业资质和能力:有关信息安全企业、咨询服务机构、测评认证机构、授权测评机构和企事业有关信息系统建设、运行和应用管理的技术部门和标准化部门必备的专业岗位人员。
在整个CISP的知识体系结构中,共包括信息安全保障概述、信息安全技术、信息安全管理、信息安全工程和信息安全标准法规这五个知识类。 CISP知识体系以信息安全保障为主线,全面覆盖信息安全保障工作所需的基础、标准、法规、技术、管理和工程等领域。CISP培训知识体系结构共包含五个知识类,分别为:(1)信息安全保障概述:介绍了信息安全保障的框架、基本原理和实践,它是注册信息安全专业人员首先需要掌握的基础知识。(2)信息安全技术:主要包括密码技术、访问控制、审计监控等安全技术机制,网络、操作系统、数据库和应用软件等方面的基本安全原理和实践,以及信息安全攻防和软件安全开发相关的技术知识和实践。(3)信息安全管理:主要包括信息安全管理体系建设、信息安全风险管理、安全管理措施等相关的管理知识和实践。(4)信息安全工程:主要包括信息安全相关的工程的基本理论和实践方法。(5)信息安全标准法规:主要包括信息安全相关的标准、法律法规、政策和道德规范,是注册信息安全专业人员需要掌握的通用基础知识。
CISP的注册要求如下:
第一,教育与工作经历:硕士研究生以上,具有1年工作经历;或本科毕业,具有2年工作经历;或大专毕业,具有4年工作经历。
第二,专业工作经历:至少具备1年从事信息安全有关的工作经历。
第三,培训资格:在申请注册前,成功地完成了CNITSEC或其授权培训机构组织的注册信息安全专业人员培训课程相应资质所需的分类课程,并取得培训合格证书。
第四,通过由CNITSEC举行的注册信息安全专业人员考试。
三、信息安全专业培训体系构建的建议
1.构建完善的高校信息安全专业人才培训体系
传统的培训体系,比较侧重于知识和技能传授的过程控制,在对知识的共享、隐性知识的转换等方面,已经不能满足当前的要求,高校可以通过借鉴、学习CISP认证和培训体系结构和CISSP认证课程内容设置,从信安全岗位所需的基础、标准、法规、技术、管理和工程等领域来完善信息安 全专业人才培训体系。根据培训对象的不同将课程分为五种类型(层次):操作层面的基本安全意识培训;
技术层面的各项安全技能培训;管理层面的信息安全管理培训;专家级的资质认证培训。当然在培训体系里面信息安全技术方面的培训仍然是重点,为了加强网络基础设施等新兴重点网络安全技术领域的培训,可以参考思科安全认证CCSP培训的模式,对当前使用的防火墙、侵入检测、VPN、身份验证和安全管理等主流网络安全防护装备进行系统性的专题培训。
2.建立逐级培训的信息安全专业人才培训模式
当前信息安全技术的发展日新月异,信息化的网络攻防形式也发生着翻天覆地的变化,因此对于信息安全专业人员的培训,仅靠一两次培训是远远不够的,必须连续、有针对性的接受相应岗位和层次的逐级培训,才能保证知识、能力结构的不断优化和提高。在逐级培训过程中要明确不同职务、技术等级的不同要求,使得逐级培训过程级与级之间层次清晰又衔接有序。如果没有通过低级别的培训、认证,便不能参加后门高级别的培训。同时利用职业资格证、学历证书、执行证书等为牵引,通过多阶段培训、资格培训、升级培训使得知识结构、能力素质、岗位需求同步发展,取得相应的职业证书才能晋升上岗,否则不予任用。
3.通过合理的认证标准来动态更新和完善培训体系的目标任务
只有对培训成果进行合理判断,确定受训人员知识技能水平的提高幅度,才能了解培训项目是否达到原定的目标和要求,从而为进一步改进培训体系提供重要依据。通过对培训人员最终考评成绩的分析以及部队调研,培训学员信息反馈等方式,针对培训内容和教学组织形式听取意见,并及时调整,使得培训效果真正适应培训学员的实际需求,提高培训效果。这样才能在保持相对稳定的情况下对培训内容实施动态更新,不断完善。