關(guān)于建設單位網(wǎng)絡與信息安全培訓中心的思考

網(wǎng)絡安全關(guān)鍵在人，加強網(wǎng)絡安全人才隊伍建設，已成為維護國家網(wǎng)絡安全和建設網(wǎng)絡強國任務的核心需求。建設網(wǎng)絡強國的先決條件就是要把人才資源匯聚起來，建設一支政治強、業(yè)務精、作風好的強大隊伍。

目前我國的網(wǎng)絡安全形勢嚴峻，網(wǎng)絡安全事件頻發(fā)，網(wǎng)絡安全人才短缺，要“建設清朗、安全、繁榮網(wǎng)絡空間”，首先要打好網(wǎng)絡安全的基礎(chǔ)，高度重視網(wǎng)絡安全人才隊伍的培養(yǎng)和網(wǎng)絡安全培訓機制的建立。

筆者單位所在地區(qū)的網(wǎng)絡安全和信息化工作起步較早，基礎(chǔ)較好。目前，單位在網(wǎng)絡安全、大數(shù)據(jù)安全及應用安全等方面采取了一系列行之有效的措施，取得了很好效果，但在網(wǎng)絡安全教育隊伍培訓和教育機制的建立上還存在不足，沒有設立專門的培訓機構(gòu)，無法定期進行高頻次、專業(yè)化的網(wǎng)絡與信息安全培訓，制約了整個網(wǎng)絡安全建設發(fā)展。

網(wǎng)絡安全教育培訓現(xiàn)狀與分析

國家從法律、產(chǎn)業(yè)和教育層面做出了實際行動。在法律層面，網(wǎng)絡安全法第二十條規(guī)定了國家支持企業(yè)和高等學校、職業(yè)學校等教育培訓機構(gòu)開展網(wǎng)絡安全相關(guān)教育與培訓，采取多種方式培養(yǎng)網(wǎng)絡安全人才，促進網(wǎng)絡安全人才交流；第三十四條第二款規(guī)定了定期對從業(yè)人員進行網(wǎng)絡安全教育、技術(shù)培訓和技能考核；在產(chǎn)業(yè)層面，由中電科、中國電子領(lǐng)銜的網(wǎng)絡安全國家隊和為數(shù)眾多的網(wǎng)絡安全民營公司積極響應國家的號召，進行網(wǎng)絡安全人才培養(yǎng)和技術(shù)創(chuàng)新；在教育層面，2015年6月增設了“網(wǎng)絡空間安全”一級學科，并制定了學位基本要求、教學質(zhì)量等國家標準。

筆者單位積極響應國家政策要求，在黨政機關(guān)、企事業(yè)單位范圍內(nèi)開展了網(wǎng)絡安全教育培訓。網(wǎng)絡安全職能部門在全市范圍內(nèi)開展了網(wǎng)絡安全法宣貫培訓講座；市等保辦開展了等級保護工作相關(guān)的培訓；市信安辦要求所有黨政機關(guān)及企事業(yè)單位從事信息安全工作的人員必須持證上崗，經(jīng)過上崗培訓，考核通過后，取得《信息安全員上崗證》。每年定期舉行信息安全員培訓，提升信息安全員網(wǎng)絡安全意識。

單位高度重視網(wǎng)絡安全工作，網(wǎng)絡安全職能部門也開展了網(wǎng)絡安全教育培訓，但是也存在著如下問題：

1.知識涉及面不夠廣。市級層面舉辦的網(wǎng)絡與信息安全培訓，大部分是網(wǎng)絡安全法、等保2.0等法律法規(guī)層面的宣貫，網(wǎng)絡安全法律法規(guī)政策性文件還有很多，比如《關(guān)鍵基礎(chǔ)設施保護條例》、《國家網(wǎng)絡空間安全戰(zhàn)略》等，還有一些國家標準，如《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》、《信息安全技術(shù) 信息系統(tǒng)安全管理要求》等，在網(wǎng)絡與信息安全培訓中提及的不多，加強國家標準的學習，可以進一步指導網(wǎng)絡安全工作。

2.知識涉及面不夠深。目前舉辦的網(wǎng)絡與信息安全培訓大多是法律法規(guī)的宣貫，政策文件的解讀，能夠提高網(wǎng)絡安全從業(yè)人員的安全意識。但是不能滿足黨政機關(guān)及企事業(yè)單位所有來參加培訓人員提升網(wǎng)絡安全技能的目的。黨政機關(guān)及企事業(yè)單位從事網(wǎng)絡安全工作的人員中，有的是從事網(wǎng)絡安全管理和網(wǎng)絡運維的技術(shù)人員，參加培訓希望能夠提高網(wǎng)絡安全技術(shù)能力和水平。如果網(wǎng)絡安全培訓只停留在法律法規(guī)政策層面的話，并不能滿足他們的要求。

3.培訓開展的頻率不夠高。網(wǎng)絡安全是技術(shù)更新最快的行業(yè)之一，從業(yè)人員需要不斷更新知識儲備，學習掌握新技能，跟進前沿信息安全態(tài)勢。市級層面的網(wǎng)絡與信息安全培訓，有的是一年舉辦一次，有的是不定期舉辦，不能滿足不斷更新網(wǎng)絡與信息安全知識儲備的要求。

4.專業(yè)性不夠強。網(wǎng)絡與信息安全培訓不僅要包括法律法規(guī)、管理制度上的，還應該包括物理安全、網(wǎng)絡安全、主機安全、數(shù)據(jù)安全和應用安全等網(wǎng)絡安全技術(shù)類專業(yè)培訓，如Linux操作系統(tǒng)安全培訓，Oralce數(shù)據(jù)庫安全管理培訓等。對于這些專業(yè)培訓的開展，有所欠缺。

5.沒有專門的網(wǎng)絡與信息安全培訓機構(gòu)。網(wǎng)絡安全是“九龍治水”，網(wǎng)絡安全培訓的舉辦也存在“九龍治水”現(xiàn)象，各職能部門各自組織網(wǎng)絡與信息安全培訓，培訓的內(nèi)容也有重復和交叉，這也是一種資源浪費。市級層面的網(wǎng)絡與信息安全培訓由網(wǎng)絡安全職能部門負責舉辦，如市等保辦、市信安辦等，存在重復培訓和培訓不夠系統(tǒng)等問題，所以需要一個專門的機構(gòu)來牽頭組織網(wǎng)絡與信息安全教育培訓。

網(wǎng)絡安全教育培訓建議與思考

鑒于單位在網(wǎng)絡安全教育培訓和網(wǎng)絡安全機制建設等方面存在的不足，需要從以下幾個方面補充加強：

1.統(tǒng)籌考慮安排全市范圍的網(wǎng)絡與信息安全培訓。各職能部門可以加強溝通，統(tǒng)籌組織網(wǎng)絡與信息安全培訓。網(wǎng)絡安全法規(guī)定由網(wǎng)信部門負責統(tǒng)籌協(xié)調(diào)網(wǎng)絡安全工作和相關(guān)監(jiān)督管理工作，那么網(wǎng)絡與信息安全培訓工作也可以由網(wǎng)信部門牽頭負責，各職能部門協(xié)助，可以避免重復舉辦、多頭主辦等問題。

2.擴充拓展系統(tǒng)化網(wǎng)絡安全培訓。目前舉辦的培訓還只停留在法律法規(guī)的宣貫和政策文件的解讀，網(wǎng)絡安全培訓應該更加系統(tǒng)化，網(wǎng)絡安全不僅包括管理安全，還包括技術(shù)安全，如物理安全、網(wǎng)絡安全、主機安全、數(shù)據(jù)安全和應用安全等，所以培訓應該包括這些技術(shù)內(nèi)容。網(wǎng)絡安全雖然“七分管理、三分技術(shù)”，重在提升人員的安全意識，但也不能忽略技術(shù)的提升。

3.分級分層開展網(wǎng)絡與信息安全培訓。黨政機關(guān)及企事業(yè)單位從事信息化的工作人員并非都是專職，網(wǎng)絡安全知識與技能參差不齊，組織專業(yè)的網(wǎng)絡安全技能培訓也不受眾，所以網(wǎng)絡與信息安全培訓需要分級分層次進行，比如針對全市信息安全員召開網(wǎng)絡安全知識講座，提升網(wǎng)絡安全意識；針對黨政機關(guān)及企事業(yè)單位從事技術(shù)管理的工作人員舉辦網(wǎng)絡安全訓練營，提升人員的網(wǎng)絡安全技能。

4.組建專門的網(wǎng)絡與信息安全培訓中心。為解決市級層面網(wǎng)絡與信息安全培訓“九龍治水”現(xiàn)象，需要一個專門負責網(wǎng)絡與信息安全培訓的機構(gòu)，牽頭統(tǒng)籌負責網(wǎng)絡與信息安全培訓工作。

網(wǎng)絡與信息安全培訓中心建設具體方案與路徑

網(wǎng)絡與信息安全培訓中心的建設可以分為三個階段，具體如下：

1.第一個階段是網(wǎng)絡安全意識提升階段。組織全市范圍內(nèi)的網(wǎng)絡與信息安全講座或者講壇，要求黨政機關(guān)及企事業(yè)單位、各縣（市、區(qū)）從事信息化的工作人員參加，主要介紹網(wǎng)絡安全法、“等保2.0”、《關(guān)鍵基礎(chǔ)設施保護條例》、《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》、《信息安全技術(shù) 信息系統(tǒng)安全管理要求》等網(wǎng)絡安全法律法規(guī)、政策性文件、國家標準的宣貫及解讀，重在提高網(wǎng)絡安全意識。

2.第二階段網(wǎng)絡安全管理和運維水平提升階段。針對市級黨政機關(guān)及企事業(yè)單位和縣（市、區(qū)）從事信息化的工作人員、云計算運維人員、信息資源管理中心工作人員進行網(wǎng)絡安全管理和運維培訓，如：安全管理體系、安全管理制度，物理環(huán)境、網(wǎng)絡、操作系統(tǒng)、數(shù)據(jù)庫、中間件等安全運維，重在提升網(wǎng)絡安全管理與運維能力。

3.第三階段網(wǎng)絡安全技能提升階段。針對黨政機關(guān)及企事業(yè)單位、各縣（市、區(qū)）從事信息化工作的專業(yè)技術(shù)人員（信息安全員），進行網(wǎng)絡與信息安全脫產(chǎn)培訓，或舉辦“網(wǎng)絡安全訓練營”等方式，授課內(nèi)容如網(wǎng)絡安全攻防實踐、Oracle數(shù)據(jù)庫安全管理、云計算安全、大數(shù)據(jù)安全等，培訓時間2-3天，可以進行結(jié)業(yè)考試，成績合格后頒發(fā)證書；結(jié)合網(wǎng)絡攻防實訓平臺定期舉行網(wǎng)絡、網(wǎng)站運維人員和安全人員的培訓和比武，提升運維人員的技術(shù)水平；定期舉辦全市網(wǎng)絡安全技能大賽，邀請黨政機關(guān)及企事業(yè)單位從事信息化工作的人員參加，以賽促學，進一步提升網(wǎng)絡安全技能。

網(wǎng)絡與信息安全培訓中心第一階段的建設，主要是提升網(wǎng)絡安全意識，大部分內(nèi)容在之前舉辦的培訓中已經(jīng)涉及，所以重點放在網(wǎng)絡安全國家標準和案列的講解上，如：《信息安全技術(shù) 信息系統(tǒng)安全管理要求》、《信息安全技術(shù) 信息系統(tǒng)安全保護等級定級指南》和《信息技術(shù)服務 運行維護 第1部分通用要求》等。培訓中心的建設主要集中在第二階段和第三階段。三個階段建設完成后，可以進行培訓內(nèi)容的循環(huán)，也可以進行交叉，而不是停留在一個層面上，最后形成一套完善的網(wǎng)絡與信息安全培訓體系，人員的意識、管理和技術(shù)方面都有很大程度的全面提升。