關(guān)于建設(shè)單位網(wǎng)絡(luò)與信息安全培訓(xùn)中心的思考

網(wǎng)絡(luò)安全關(guān)鍵在人，加強(qiáng)網(wǎng)絡(luò)安全人才隊(duì)伍建設(shè)，已成為維護(hù)國(guó)家網(wǎng)絡(luò)安全和建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)任務(wù)的核心需求。建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)的先決條件就是要把人才資源匯聚起來(lái)，建設(shè)一支政治強(qiáng)、業(yè)務(wù)精、作風(fēng)好的強(qiáng)大隊(duì)伍。

目前我國(guó)的網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻，網(wǎng)絡(luò)安全事件頻發(fā)，網(wǎng)絡(luò)安全人才短缺，要“建設(shè)清朗、安全、繁榮網(wǎng)絡(luò)空間”，首先要打好網(wǎng)絡(luò)安全的基礎(chǔ)，高度重視網(wǎng)絡(luò)安全人才隊(duì)伍的培養(yǎng)和網(wǎng)絡(luò)安全培訓(xùn)機(jī)制的建立。

筆者單位所在地區(qū)的網(wǎng)絡(luò)安全和信息化工作起步較早，基礎(chǔ)較好。目前，單位在網(wǎng)絡(luò)安全、大數(shù)據(jù)安全及應(yīng)用安全等方面采取了一系列行之有效的措施，取得了很好效果，但在網(wǎng)絡(luò)安全教育隊(duì)伍培訓(xùn)和教育機(jī)制的建立上還存在不足，沒(méi)有設(shè)立專(zhuān)門(mén)的培訓(xùn)機(jī)構(gòu)，無(wú)法定期進(jìn)行高頻次、專(zhuān)業(yè)化的網(wǎng)絡(luò)與信息安全培訓(xùn)，制約了整個(gè)網(wǎng)絡(luò)安全建設(shè)發(fā)展。

網(wǎng)絡(luò)安全教育培訓(xùn)現(xiàn)狀與分析

國(guó)家從法律、產(chǎn)業(yè)和教育層面做出了實(shí)際行動(dòng)。在法律層面，網(wǎng)絡(luò)安全法第二十條規(guī)定了國(guó)家支持企業(yè)和高等學(xué)校、職業(yè)學(xué)校等教育培訓(xùn)機(jī)構(gòu)開(kāi)展網(wǎng)絡(luò)安全相關(guān)教育與培訓(xùn)，采取多種方式培養(yǎng)網(wǎng)絡(luò)安全人才，促進(jìn)網(wǎng)絡(luò)安全人才交流；第三十四條第二款規(guī)定了定期對(duì)從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核；在產(chǎn)業(yè)層面，由中電科、中國(guó)電子領(lǐng)銜的網(wǎng)絡(luò)安全國(guó)家隊(duì)和為數(shù)眾多的網(wǎng)絡(luò)安全民營(yíng)公司積極響應(yīng)國(guó)家的號(hào)召，進(jìn)行網(wǎng)絡(luò)安全人才培養(yǎng)和技術(shù)創(chuàng)新；在教育層面，2015年6月增設(shè)了“網(wǎng)絡(luò)空間安全”一級(jí)學(xué)科，并制定了學(xué)位基本要求、教學(xué)質(zhì)量等國(guó)家標(biāo)準(zhǔn)。

筆者單位積極響應(yīng)國(guó)家政策要求，在黨政機(jī)關(guān)、企事業(yè)單位范圍內(nèi)開(kāi)展了網(wǎng)絡(luò)安全教育培訓(xùn)。網(wǎng)絡(luò)安全職能部門(mén)在全市范圍內(nèi)開(kāi)展了網(wǎng)絡(luò)安全法宣貫培訓(xùn)講座；市等保辦開(kāi)展了等級(jí)保護(hù)工作相關(guān)的培訓(xùn)；市信安辦要求所有黨政機(jī)關(guān)及企事業(yè)單位從事信息安全工作的人員必須持證上崗，經(jīng)過(guò)上崗培訓(xùn)，考核通過(guò)后，取得《信息安全員上崗證》。每年定期舉行信息安全員培訓(xùn)，提升信息安全員網(wǎng)絡(luò)安全意識(shí)。

單位高度重視網(wǎng)絡(luò)安全工作，網(wǎng)絡(luò)安全職能部門(mén)也開(kāi)展了網(wǎng)絡(luò)安全教育培訓(xùn)，但是也存在著如下問(wèn)題：

1.知識(shí)涉及面不夠廣。市級(jí)層面舉辦的網(wǎng)絡(luò)與信息安全培訓(xùn)，大部分是網(wǎng)絡(luò)安全法、等保2.0等法律法規(guī)層面的宣貫，網(wǎng)絡(luò)安全法律法規(guī)政策性文件還有很多，比如《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)條例》、《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》等，還有一些國(guó)家標(biāo)準(zhǔn)，如《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《信息安全技術(shù) 信息系統(tǒng)安全管理要求》等，在網(wǎng)絡(luò)與信息安全培訓(xùn)中提及的不多，加強(qiáng)國(guó)家標(biāo)準(zhǔn)的學(xué)習(xí)，可以進(jìn)一步指導(dǎo)網(wǎng)絡(luò)安全工作。

2.知識(shí)涉及面不夠深。目前舉辦的網(wǎng)絡(luò)與信息安全培訓(xùn)大多是法律法規(guī)的宣貫，政策文件的解讀，能夠提高網(wǎng)絡(luò)安全從業(yè)人員的安全意識(shí)。但是不能滿足黨政機(jī)關(guān)及企事業(yè)單位所有來(lái)參加培訓(xùn)人員提升網(wǎng)絡(luò)安全技能的目的。黨政機(jī)關(guān)及企事業(yè)單位從事網(wǎng)絡(luò)安全工作的人員中，有的是從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運(yùn)維的技術(shù)人員，參加培訓(xùn)希望能夠提高網(wǎng)絡(luò)安全技術(shù)能力和水平。如果網(wǎng)絡(luò)安全培訓(xùn)只停留在法律法規(guī)政策層面的話，并不能滿足他們的要求。

3.培訓(xùn)開(kāi)展的頻率不夠高。網(wǎng)絡(luò)安全是技術(shù)更新最快的行業(yè)之一，從業(yè)人員需要不斷更新知識(shí)儲(chǔ)備，學(xué)習(xí)掌握新技能，跟進(jìn)前沿信息安全態(tài)勢(shì)。市級(jí)層面的網(wǎng)絡(luò)與信息安全培訓(xùn)，有的是一年舉辦一次，有的是不定期舉辦，不能滿足不斷更新網(wǎng)絡(luò)與信息安全知識(shí)儲(chǔ)備的要求。

4.專(zhuān)業(yè)性不夠強(qiáng)。網(wǎng)絡(luò)與信息安全培訓(xùn)不僅要包括法律法規(guī)、管理制度上的，還應(yīng)該包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)安全和應(yīng)用安全等網(wǎng)絡(luò)安全技術(shù)類(lèi)專(zhuān)業(yè)培訓(xùn)，如Linux操作系統(tǒng)安全培訓(xùn)，Oralce數(shù)據(jù)庫(kù)安全管理培訓(xùn)等。對(duì)于這些專(zhuān)業(yè)培訓(xùn)的開(kāi)展，有所欠缺。

5.沒(méi)有專(zhuān)門(mén)的網(wǎng)絡(luò)與信息安全培訓(xùn)機(jī)構(gòu)。網(wǎng)絡(luò)安全是“九龍治水”，網(wǎng)絡(luò)安全培訓(xùn)的舉辦也存在“九龍治水”現(xiàn)象，各職能部門(mén)各自組織網(wǎng)絡(luò)與信息安全培訓(xùn)，培訓(xùn)的內(nèi)容也有重復(fù)和交叉，這也是一種資源浪費(fèi)。市級(jí)層面的網(wǎng)絡(luò)與信息安全培訓(xùn)由網(wǎng)絡(luò)安全職能部門(mén)負(fù)責(zé)舉辦，如市等保辦、市信安辦等，存在重復(fù)培訓(xùn)和培訓(xùn)不夠系統(tǒng)等問(wèn)題，所以需要一個(gè)專(zhuān)門(mén)的機(jī)構(gòu)來(lái)牽頭組織網(wǎng)絡(luò)與信息安全教育培訓(xùn)。

網(wǎng)絡(luò)安全教育培訓(xùn)建議與思考

鑒于單位在網(wǎng)絡(luò)安全教育培訓(xùn)和網(wǎng)絡(luò)安全機(jī)制建設(shè)等方面存在的不足，需要從以下幾個(gè)方面補(bǔ)充加強(qiáng)：

1.統(tǒng)籌考慮安排全市范圍的網(wǎng)絡(luò)與信息安全培訓(xùn)。各職能部門(mén)可以加強(qiáng)溝通，統(tǒng)籌組織網(wǎng)絡(luò)與信息安全培訓(xùn)。網(wǎng)絡(luò)安全法規(guī)定由網(wǎng)信部門(mén)負(fù)責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)安全工作和相關(guān)監(jiān)督管理工作，那么網(wǎng)絡(luò)與信息安全培訓(xùn)工作也可以由網(wǎng)信部門(mén)牽頭負(fù)責(zé)，各職能部門(mén)協(xié)助，可以避免重復(fù)舉辦、多頭主辦等問(wèn)題。

2.擴(kuò)充拓展系統(tǒng)化網(wǎng)絡(luò)安全培訓(xùn)。目前舉辦的培訓(xùn)還只停留在法律法規(guī)的宣貫和政策文件的解讀，網(wǎng)絡(luò)安全培訓(xùn)應(yīng)該更加系統(tǒng)化，網(wǎng)絡(luò)安全不僅包括管理安全，還包括技術(shù)安全，如物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)安全和應(yīng)用安全等，所以培訓(xùn)應(yīng)該包括這些技術(shù)內(nèi)容。網(wǎng)絡(luò)安全雖然“七分管理、三分技術(shù)”，重在提升人員的安全意識(shí)，但也不能忽略技術(shù)的提升。

3.分級(jí)分層開(kāi)展網(wǎng)絡(luò)與信息安全培訓(xùn)。黨政機(jī)關(guān)及企事業(yè)單位從事信息化的工作人員并非都是專(zhuān)職，網(wǎng)絡(luò)安全知識(shí)與技能參差不齊，組織專(zhuān)業(yè)的網(wǎng)絡(luò)安全技能培訓(xùn)也不受眾，所以網(wǎng)絡(luò)與信息安全培訓(xùn)需要分級(jí)分層次進(jìn)行，比如針對(duì)全市信息安全員召開(kāi)網(wǎng)絡(luò)安全知識(shí)講座，提升網(wǎng)絡(luò)安全意識(shí)；針對(duì)黨政機(jī)關(guān)及企事業(yè)單位從事技術(shù)管理的工作人員舉辦網(wǎng)絡(luò)安全訓(xùn)練營(yíng)，提升人員的網(wǎng)絡(luò)安全技能。

4.組建專(zhuān)門(mén)的網(wǎng)絡(luò)與信息安全培訓(xùn)中心。為解決市級(jí)層面網(wǎng)絡(luò)與信息安全培訓(xùn)“九龍治水”現(xiàn)象，需要一個(gè)專(zhuān)門(mén)負(fù)責(zé)網(wǎng)絡(luò)與信息安全培訓(xùn)的機(jī)構(gòu)，牽頭統(tǒng)籌負(fù)責(zé)網(wǎng)絡(luò)與信息安全培訓(xùn)工作。

網(wǎng)絡(luò)與信息安全培訓(xùn)中心建設(shè)具體方案與路徑

網(wǎng)絡(luò)與信息安全培訓(xùn)中心的建設(shè)可以分為三個(gè)階段，具體如下：

1.第一個(gè)階段是網(wǎng)絡(luò)安全意識(shí)提升階段。組織全市范圍內(nèi)的網(wǎng)絡(luò)與信息安全講座或者講壇，要求黨政機(jī)關(guān)及企事業(yè)單位、各縣（市、區(qū)）從事信息化的工作人員參加，主要介紹網(wǎng)絡(luò)安全法、“等保2.0”、《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)條例》、《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《信息安全技術(shù) 信息系統(tǒng)安全管理要求》等網(wǎng)絡(luò)安全法律法規(guī)、政策性文件、國(guó)家標(biāo)準(zhǔn)的宣貫及解讀，重在提高網(wǎng)絡(luò)安全意識(shí)。

2.第二階段網(wǎng)絡(luò)安全管理和運(yùn)維水平提升階段。針對(duì)市級(jí)黨政機(jī)關(guān)及企事業(yè)單位和縣（市、區(qū)）從事信息化的工作人員、云計(jì)算運(yùn)維人員、信息資源管理中心工作人員進(jìn)行網(wǎng)絡(luò)安全管理和運(yùn)維培訓(xùn)，如：安全管理體系、安全管理制度，物理環(huán)境、網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件等安全運(yùn)維，重在提升網(wǎng)絡(luò)安全管理與運(yùn)維能力。

3.第三階段網(wǎng)絡(luò)安全技能提升階段。針對(duì)黨政機(jī)關(guān)及企事業(yè)單位、各縣（市、區(qū)）從事信息化工作的專(zhuān)業(yè)技術(shù)人員（信息安全員），進(jìn)行網(wǎng)絡(luò)與信息安全脫產(chǎn)培訓(xùn)，或舉辦“網(wǎng)絡(luò)安全訓(xùn)練營(yíng)”等方式，授課內(nèi)容如網(wǎng)絡(luò)安全攻防實(shí)踐、Oracle數(shù)據(jù)庫(kù)安全管理、云計(jì)算安全、大數(shù)據(jù)安全等，培訓(xùn)時(shí)間2-3天，可以進(jìn)行結(jié)業(yè)考試，成績(jī)合格后頒發(fā)證書(shū)；結(jié)合網(wǎng)絡(luò)攻防實(shí)訓(xùn)平臺(tái)定期舉行網(wǎng)絡(luò)、網(wǎng)站運(yùn)維人員和安全人員的培訓(xùn)和比武，提升運(yùn)維人員的技術(shù)水平；定期舉辦全市網(wǎng)絡(luò)安全技能大賽，邀請(qǐng)黨政機(jī)關(guān)及企事業(yè)單位從事信息化工作的人員參加，以賽促學(xué)，進(jìn)一步提升網(wǎng)絡(luò)安全技能。

網(wǎng)絡(luò)與信息安全培訓(xùn)中心第一階段的建設(shè)，主要是提升網(wǎng)絡(luò)安全意識(shí)，大部分內(nèi)容在之前舉辦的培訓(xùn)中已經(jīng)涉及，所以重點(diǎn)放在網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)和案列的講解上，如：《信息安全技術(shù) 信息系統(tǒng)安全管理要求》、《信息安全技術(shù) 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》和《信息技術(shù)服務(wù) 運(yùn)行維護(hù) 第1部分通用要求》等。培訓(xùn)中心的建設(shè)主要集中在第二階段和第三階段。三個(gè)階段建設(shè)完成后，可以進(jìn)行培訓(xùn)內(nèi)容的循環(huán)，也可以進(jìn)行交叉，而不是停留在一個(gè)層面上，最后形成一套完善的網(wǎng)絡(luò)與信息安全培訓(xùn)體系，人員的意識(shí)、管理和技術(shù)方面都有很大程度的全面提升。