網(wǎng)絡安全關(guān)鍵在人,加強網(wǎng)絡安全人才隊伍建設,已成為維護國家網(wǎng)絡安全和建設網(wǎng)絡強國任務的核心需求。建設網(wǎng)絡強國的先決條件就是要把人才資源匯聚起來,建設一支政治強、業(yè)務精、作風好的強大隊伍。
目前我國的網(wǎng)絡安全形勢嚴峻,網(wǎng)絡安全事件頻發(fā),網(wǎng)絡安全人才短缺,要“建設清朗、安全、繁榮網(wǎng)絡空間”,首先要打好網(wǎng)絡安全的基礎(chǔ),高度重視網(wǎng)絡安全人才隊伍的培養(yǎng)和網(wǎng)絡安全培訓機制的建立。
筆者單位所在地區(qū)的網(wǎng)絡安全和信息化工作起步較早,基礎(chǔ)較好。目前,單位在網(wǎng)絡安全、大數(shù)據(jù)安全及應用安全等方面采取了一系列行之有效的措施,取得了很好效果,但在網(wǎng)絡安全教育隊伍培訓和教育機制的建立上還存在不足,沒有設立專門的培訓機構(gòu),無法定期進行高頻次、專業(yè)化的網(wǎng)絡與信息安全培訓,制約了整個網(wǎng)絡安全建設發(fā)展。
國家從法律、產(chǎn)業(yè)和教育層面做出了實際行動。在法律層面,網(wǎng)絡安全法第二十條規(guī)定了國家支持企業(yè)和高等學校、職業(yè)學校等教育培訓機構(gòu)開展網(wǎng)絡安全相關(guān)教育與培訓,采取多種方式培養(yǎng)網(wǎng)絡安全人才,促進網(wǎng)絡安全人才交流;第三十四條第二款規(guī)定了定期對從業(yè)人員進行網(wǎng)絡安全教育、技術(shù)培訓和技能考核;在產(chǎn)業(yè)層面,由中電科、中國電子領(lǐng)銜的網(wǎng)絡安全國家隊和為數(shù)眾多的網(wǎng)絡安全民營公司積極響應國家的號召,進行網(wǎng)絡安全人才培養(yǎng)和技術(shù)創(chuàng)新;在教育層面,2015年6月增設了“網(wǎng)絡空間安全”一級學科,并制定了學位基本要求、教學質(zhì)量等國家標準。
筆者單位積極響應國家政策要求,在黨政機關(guān)、企事業(yè)單位范圍內(nèi)開展了網(wǎng)絡安全教育培訓。網(wǎng)絡安全職能部門在全市范圍內(nèi)開展了網(wǎng)絡安全法宣貫培訓講座;市等保辦開展了等級保護工作相關(guān)的培訓;市信安辦要求所有黨政機關(guān)及企事業(yè)單位從事信息安全工作的人員必須持證上崗,經(jīng)過上崗培訓,考核通過后,取得《信息安全員上崗證》。每年定期舉行信息安全員培訓,提升信息安全員網(wǎng)絡安全意識。
單位高度重視網(wǎng)絡安全工作,網(wǎng)絡安全職能部門也開展了網(wǎng)絡安全教育培訓,但是也存在著如下問題:
1.知識涉及面不夠廣。市級層面舉辦的網(wǎng)絡與信息安全培訓,大部分是網(wǎng)絡安全法、等保2.0等法律法規(guī)層面的宣貫,網(wǎng)絡安全法律法規(guī)政策性文件還有很多,比如《關(guān)鍵基礎(chǔ)設施保護條例》、《國家網(wǎng)絡空間安全戰(zhàn)略》等,還有一些國家標準,如《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》、《信息安全技術(shù) 信息系統(tǒng)安全管理要求》等,在網(wǎng)絡與信息安全培訓中提及的不多,加強國家標準的學習,可以進一步指導網(wǎng)絡安全工作。
2.知識涉及面不夠深。目前舉辦的網(wǎng)絡與信息安全培訓大多是法律法規(guī)的宣貫,政策文件的解讀,能夠提高網(wǎng)絡安全從業(yè)人員的安全意識。但是不能滿足黨政機關(guān)及企事業(yè)單位所有來參加培訓人員提升網(wǎng)絡安全技能的目的。黨政機關(guān)及企事業(yè)單位從事網(wǎng)絡安全工作的人員中,有的是從事網(wǎng)絡安全管理和網(wǎng)絡運維的技術(shù)人員,參加培訓希望能夠提高網(wǎng)絡安全技術(shù)能力和水平。如果網(wǎng)絡安全培訓只停留在法律法規(guī)政策層面的話,并不能滿足他們的要求。
3.培訓開展的頻率不夠高。網(wǎng)絡安全是技術(shù)更新最快的行業(yè)之一,從業(yè)人員需要不斷更新知識儲備,學習掌握新技能,跟進前沿信息安全態(tài)勢。市級層面的網(wǎng)絡與信息安全培訓,有的是一年舉辦一次,有的是不定期舉辦,不能滿足不斷更新網(wǎng)絡與信息安全知識儲備的要求。
4.專業(yè)性不夠強。網(wǎng)絡與信息安全培訓不僅要包括法律法規(guī)、管理制度上的,還應該包括物理安全、網(wǎng)絡安全、主機安全、數(shù)據(jù)安全和應用安全等網(wǎng)絡安全技術(shù)類專業(yè)培訓,如Linux操作系統(tǒng)安全培訓,Oralce數(shù)據(jù)庫安全管理培訓等。對于這些專業(yè)培訓的開展,有所欠缺。
5.沒有專門的網(wǎng)絡與信息安全培訓機構(gòu)。網(wǎng)絡安全是“九龍治水”,網(wǎng)絡安全培訓的舉辦也存在“九龍治水”現(xiàn)象,各職能部門各自組織網(wǎng)絡與信息安全培訓,培訓的內(nèi)容也有重復和交叉,這也是一種資源浪費。市級層面的網(wǎng)絡與信息安全培訓由網(wǎng)絡安全職能部門負責舉辦,如市等保辦、市信安辦等,存在重復培訓和培訓不夠系統(tǒng)等問題,所以需要一個專門的機構(gòu)來牽頭組織網(wǎng)絡與信息安全教育培訓。
鑒于單位在網(wǎng)絡安全教育培訓和網(wǎng)絡安全機制建設等方面存在的不足,需要從以下幾個方面補充加強:
1.統(tǒng)籌考慮安排全市范圍的網(wǎng)絡與信息安全培訓。各職能部門可以加強溝通,統(tǒng)籌組織網(wǎng)絡與信息安全培訓。網(wǎng)絡安全法規(guī)定由網(wǎng)信部門負責統(tǒng)籌協(xié)調(diào)網(wǎng)絡安全工作和相關(guān)監(jiān)督管理工作,那么網(wǎng)絡與信息安全培訓工作也可以由網(wǎng)信部門牽頭負責,各職能部門協(xié)助,可以避免重復舉辦、多頭主辦等問題。
2.擴充拓展系統(tǒng)化網(wǎng)絡安全培訓。目前舉辦的培訓還只停留在法律法規(guī)的宣貫和政策文件的解讀,網(wǎng)絡安全培訓應該更加系統(tǒng)化,網(wǎng)絡安全不僅包括管理安全,還包括技術(shù)安全,如物理安全、網(wǎng)絡安全、主機安全、數(shù)據(jù)安全和應用安全等,所以培訓應該包括這些技術(shù)內(nèi)容。網(wǎng)絡安全雖然“七分管理、三分技術(shù)”,重在提升人員的安全意識,但也不能忽略技術(shù)的提升。
3.分級分層開展網(wǎng)絡與信息安全培訓。黨政機關(guān)及企事業(yè)單位從事信息化的工作人員并非都是專職,網(wǎng)絡安全知識與技能參差不齊,組織專業(yè)的網(wǎng)絡安全技能培訓也不受眾,所以網(wǎng)絡與信息安全培訓需要分級分層次進行,比如針對全市信息安全員召開網(wǎng)絡安全知識講座,提升網(wǎng)絡安全意識;針對黨政機關(guān)及企事業(yè)單位從事技術(shù)管理的工作人員舉辦網(wǎng)絡安全訓練營,提升人員的網(wǎng)絡安全技能。
4.組建專門的網(wǎng)絡與信息安全培訓中心。為解決市級層面網(wǎng)絡與信息安全培訓“九龍治水”現(xiàn)象,需要一個專門負責網(wǎng)絡與信息安全培訓的機構(gòu),牽頭統(tǒng)籌負責網(wǎng)絡與信息安全培訓工作。
網(wǎng)絡與信息安全培訓中心的建設可以分為三個階段,具體如下:
1.第一個階段是網(wǎng)絡安全意識提升階段。組織全市范圍內(nèi)的網(wǎng)絡與信息安全講座或者講壇,要求黨政機關(guān)及企事業(yè)單位、各縣(市、區(qū))從事信息化的工作人員參加,主要介紹網(wǎng)絡安全法、“等保2.0”、《關(guān)鍵基礎(chǔ)設施保護條例》、《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》、《信息安全技術(shù) 信息系統(tǒng)安全管理要求》等網(wǎng)絡安全法律法規(guī)、政策性文件、國家標準的宣貫及解讀,重在提高網(wǎng)絡安全意識。
2.第二階段網(wǎng)絡安全管理和運維水平提升階段。針對市級黨政機關(guān)及企事業(yè)單位和縣(市、區(qū))從事信息化的工作人員、云計算運維人員、信息資源管理中心工作人員進行網(wǎng)絡安全管理和運維培訓,如:安全管理體系、安全管理制度,物理環(huán)境、網(wǎng)絡、操作系統(tǒng)、數(shù)據(jù)庫、中間件等安全運維,重在提升網(wǎng)絡安全管理與運維能力。
3.第三階段網(wǎng)絡安全技能提升階段。針對黨政機關(guān)及企事業(yè)單位、各縣(市、區(qū))從事信息化工作的專業(yè)技術(shù)人員(信息安全員),進行網(wǎng)絡與信息安全脫產(chǎn)培訓,或舉辦“網(wǎng)絡安全訓練營”等方式,授課內(nèi)容如網(wǎng)絡安全攻防實踐、Oracle數(shù)據(jù)庫安全管理、云計算安全、大數(shù)據(jù)安全等,培訓時間2-3天,可以進行結(jié)業(yè)考試,成績合格后頒發(fā)證書;結(jié)合網(wǎng)絡攻防實訓平臺定期舉行網(wǎng)絡、網(wǎng)站運維人員和安全人員的培訓和比武,提升運維人員的技術(shù)水平;定期舉辦全市網(wǎng)絡安全技能大賽,邀請黨政機關(guān)及企事業(yè)單位從事信息化工作的人員參加,以賽促學,進一步提升網(wǎng)絡安全技能。
網(wǎng)絡與信息安全培訓中心第一階段的建設,主要是提升網(wǎng)絡安全意識,大部分內(nèi)容在之前舉辦的培訓中已經(jīng)涉及,所以重點放在網(wǎng)絡安全國家標準和案列的講解上,如:《信息安全技術(shù) 信息系統(tǒng)安全管理要求》、《信息安全技術(shù) 信息系統(tǒng)安全保護等級定級指南》和《信息技術(shù)服務 運行維護 第1部分通用要求》等。培訓中心的建設主要集中在第二階段和第三階段。三個階段建設完成后,可以進行培訓內(nèi)容的循環(huán),也可以進行交叉,而不是停留在一個層面上,最后形成一套完善的網(wǎng)絡與信息安全培訓體系,人員的意識、管理和技術(shù)方面都有很大程度的全面提升。