网络安全等级保护教育培训体系构建

网络安全等级保护教育培训体系构建

摘要:开展等级保护是网络运营者的法定义务,教育培训是等级保护工作的有力保障,本文从法规标准要求、等级保护工作过程、等级保护相关单位及岗位技能要求等探讨如何构建教育培训体系以适应等级保护相关要求。

关键词:等级保护;教育培训;网络安全

履行等级保护制度是网络安全法规定的法定义务,等级保护制度是国家信息安全基本国策,等级保护是网络安全工作的基本方法。等级保护是中国网络安全保障工作中的伟大创举,为中国网络安全保障工作取得了重大成就。教育培训是等级保护制度重要组成部分,教育培训是推进等级保护工作的有力保障,教育培训也是落实等级保护工作的重中之重。如何构建适应网络安全等级保护要求的教育培训体系,是需要高度重视和不断完善的重点工作。

1网络安全教育培训体系的法规要求

《中华人民共和国网络安全法》中对网络安全教育培训有明确的要求基于上述法规标准可以看出,网络运营者开展网络安全教育培训是网络安全法要求的法定义务,网络安全教育培训也是提升网络安全保障能力的关键举措,是网络安全等级保护中不可或缺的重要工作,完整的信息安全保障体系,需要人、技术、管理三者有机结合,而这三者都离不开有效的网络安全教育培训。

2如何构建网络安全教育培训体系

教育培训体系建设是个复杂的系统工程,有他自己的规律,网络安全作为专业性较强的行业,网络安全教育培训更需遵循一定的科学规律,考虑各方面的因素。网络安全教育培训,一定要针对岗位,结合实践。如何构建一套适合网络安全等级保护的教育培训体系?要解决这个问题,首先需要了解网络安全等级保护工作的主要内容、基本流程及所涉及的主要岗位及各岗位的能力要求。按照《信息安全等级保护实施指南》,网络安全等级保护实施的基本流程如图1所示。具体实施等级保护工作,有五个规定动作:系统定级、备案、安全建设整改、等级测评、监督检查。这些工作涉及到信息系统使用运营单位(甲方)、信息系统建设服务单位(乙方)、信息系统安全测评机构(第三方)、信息系统安全监管部门(监管方)等四方面单位。大家知道,等级保护各岗位工作都是围绕定级对象展开,定级对象涉及的技术可能是传统的信息系统,也可能是云计算、移动互联、工业控制系统、物联网系统或大数据等,后续可能还有诸如5G,人工智能等不断涌现的新技术。不管什么样的定级对象,相关工作岗位都隶属于这四个方面的单位:甲方、乙方、第三方及监管方。因为工作关系,不同单位所关注的点不同,相应的工作岗位也不同:信息系统使用运营单位(甲方)主要设置的岗位有两大类:一类是网络安全主管领导,这类岗位偏宏观管控,重点关注网络安全工作的总体领导与指导,重点需要培训网络安全相关政策、法规、标准,确保所有工作大方向不错;另一类是信息系统安全管理岗,如安全管理员、系统管理员、网络管理员等,这类岗位重点关注信息系统规划设计,工程过程监督管理,日常运行维护等,需要重点了解相关标准中具体的要求以方便参与或配合信息系统全生命周期各环节工作并能对各环节工作质量和效果进行准确有效的监督管理。信息系统服务提供商(乙方)一般指产品厂商、软件开发商及系统集成商等,信息系统服务提供商一般开展网络安全规划设计、网络安全实施交付、网络安全运行维护、应急响应与保障,安全监理等工作,这类群体不仅需要培训专业技术也需要培养合规意识。其中,网络安全规划设计类岗位一般主要从事:信息资产摸底及安全需求调研,网络安全技术方案与管理体系规划设计等。网络安全实施交付类岗位一般主要从事如下工作:设计实施方案,并按照实施方案对相关软硬件进行合理部署、配置,确保系统安全可控地运转等。网络安全运行维护类岗位一般主要从事:网络安全案事件分析与处置,日常开展信息系统安全监测与评估,数据备份与恢复,信息安全管理制度体系建设,操作系统、数据库系统、网络设备正确合理配置,定期开展攻防演练,软硬件系统的运行与维护,工程建设项目监督管理等。应急保障岗位一般开展如下工作:监控监视系统有效安全运行,制定应急预案,做好应急物资准备,发现突发安全问题后能够及时处置。安全监督管理岗位重点关注:监督管理信息安全项目的科学合理进展,负责按照政策、法规、标准检查监督施工单位在网络安全建设过程中的合规性和有效性等。信息系统安全测评机构主要指等级保护测评机构、第三方软件测试机构、风险评估机构等。安全测评机构一般开展网络安全等级测评、风险评估、产品检测等工作,是安全合规与否的核查者检验员。其中,网络等级测评人员主要工作是参照等级保护基本要求及测评要求,针对被测系统《GB/T22239-2019网络安全等级保护基本要求》中所规定的要求项开展测评工作。风险评估类岗位主要《GB/T20984-2007参照信息安全风险评估规范》从资产、威胁、脆弱性等三方面去分析评估被测系统的风险情况及风险处理与管理等工作。安全产品检测类岗位主要工作是,基于国家相关规范标准就信息系统中的软硬件产品进行功能、性能和安全符合性等方面进行检测,以检测报告的形式为验收或为系统进一步完善提供佐证。信息系统安全监管部门主要指公安各级网安部门、各级网信办、行业主管部门等,是网络安全行业的检验员与执法官。主要关注系统的安全保护状况,定期或不定期对信息系统开展安全监督与检查,根据国家政策法规及相应技术标准,就信息系统安全责任主体进行合规性督促和检查,并提出整改建议。不同群体的关注点不一样,需要针对不同人群设计不同的教育培训方案。教育培训最终目的是让受训者有所收获,能帮助受训者真正提升网络安全保护能力。目前网络安全方面的教育培训,大致可以分为两大类,一类是高等院校学历教育的网络空间安全相关专业,另一类是从事网络安全培训的专业机构。目前开设网络安全类专业的高校有很多所,每年还新增不少院校开办网络安全类专业,高等学历教育院校分研究型大学和应用型大学,研究型大学多以密码学为核心,如北京邮电大学、武汉大学、四川大学、南开大学等;应用型高校以网络安全攻防为核心,主要是高等职业学院或一般二本、三本学校。网络安全培训认证分国外认证和国内认证:国外的证书,基本是民间组织协会推出的,很多证书的权威性有待考证,其中比较著名的是CISSP(CertificationforInformationSystemSecurityProfessional)即信息系统安全专业认证证书,是目前行业比较认可的技术资质证书。另有CIW认证,CIW是网络安全业界公认的通用型、入门级证书,注重考生对网络安全的全面了解及实际工作能力的检验。还有Itil、cobit、27000等国外安全管理标准的培训认证,其他还有国外安全产品供应商的培训证书,偏重于本公司产品的培训,如思科认证等。国内证书也是比较繁杂,目前常见的主要是中国信息安全测评中心举办的CISP注册信息安全专业人员的资格证书,申请安全服务资质的机构人员必需具备的资格条件,所以认证人数相对较多。另有国家重要信息系统保护人员培训CIIP(CriticalInformationInfrastructureProtection)系列认证,系公安部信息安全等级保护评估中心研发的一套以等级保护为主线的系列技能认证,纯技术技能认证,不与其他资质认证挂勾。另有信息安全保障人员认证Cisaw,CISAW是中国信息安全认证中心针对信息安全保障不同专业技术方向、应用领域和保障岗位,依据国际标准ISO/IEC17024《人员认证机构通用要求》所建立的、不同层次的信息安全保障人员认证体系。还有一些国内大型安全厂商基于自身产品线定制的技能认证,基本上是和自己的产品操作有关,如华为网络技术认证,华三的技能认证等等。这些培训基本上都是依据培训或发证机构自身特点,根据市场需求设计的课程体系,很难完全胜任网络安全等级保护工作,尤其是针对具体的工作岗位技能和具体的工作内容方面均还需要进一步完善。

3等级保护工作过程中有效的教育培训活动

3.1时间上有确定的周期性的安排

一般等级保护过程中,有如下关键节点需要开展有效的网络安全教育培训活动:(1)常态化教育培训工作:网络安全意识培训需要常态化举行,网络安全意识教育,可以不拘于形式,可以利用各种机会、抓住一切机会宣贯网络安全法规标准,宣传网络安全事件,提升网络安全意识。网络安全意识的教育培训要覆盖到全体人员,尤其是单位高层领导首先得带头学习,只有“一把手”网络安全意识提高了,整个单位的网络安全意识才可能提高。(2)敏感节假日及重要纪念日,需开展网络安全教育培训活动,结合具体主题,宣贯网络安全重要性,加强网络安全防护手段。(3)等级保护项目启动会、反馈会、验收会等重要节点会上,需借机开展网络安全教育培训,结合等级保护具体工作学习,通过学习再切实提升等级保护工作实际效果。

3.2不同目标人群内容要各有针对性

(1)信息系统运营使用单位,重点是法规标准的理解和应用,能达到能识别能判别等级保护相关工作的质量与效果。能够有效配合、合理指导监督网络安全服务人员的实际工作。(2)信息系统安全建设单位,重点培训网络安全等级保护建设要求,严格落实网络安全等级保护中关于建设整改的要求,确保按照等级要求规划建设方案,实施建设内容。网络建设单位入场启动和验收时必须接受网络安全教育培训。(3)测评机构,测评机构除按要求实施等级测评外,在某种意义上还有指导信息系统使用运营单位合理开展网络安全工作的责任,所以对测评机构相关人员的教育培训显得尤为重要。测评机构首先是要熟悉并深刻理解网络安全法规标准,尤其是对GB/T28448-2019《信息安全技术网络安全等级保护测评要求》这个标准的理解,只有深刻理解法规标准才能真正使用法规标准有效地开展测评工作。测评机构的服务范围还不能只限于测评,需要给系统运营使用单位提供力所能及的安全服务,比如咨询、培训、运维指导等服务。所以对测评机构人员定期开展网络安全继续教育必不可少,这在等级保护测评机构管理办法中也有明确要求,需要严格执行。(4)监管部门,网络安全监管部门不仅是行政监管部门,更是业务指导部门。监管部门的教育培训程度,直接决定了网络安全等级保护工作开展的深度和质量。监管部门重点是对法规标准要深入理解,能够熟练运用法规标准去监管等级保护相关工作。监管部门相关人员由于教育培训不到位,可能造成监管过松或过严,指导不精准现象。所以监管部门的教育培训也得定期认真开展。

4教育培训体系建设建议

网络安全教育培训是网络安全工作的重中之重,各单位领导班子尤其是“一把手”必须高度重视,严格执行法规标准要求。网络安全教育培训是落实践行网络安全等级保护制度的有效保障,构建相对完善的教育培训体系任重道远,必须常抓不懈。网络安全教育培训必须有针对性,分层级、有侧重、全覆盖,培训内容要落到实处,培训结果要取得实效。

参考文献

[1]GB/T25058-2010.信息系统安全等级保护实施指南[S].中华人民共和国国家标准,2010.

[2]GB/T22239-2019.信息系统安全等级保护基本要求[S].中华人民共和国国家标准,2019.

[3]袁礼.基于学分银行”机制构建职业教育课程体系初探—以信息安全专业为例[J].北京经济管理职业学院学报,2016(4).

作者:袁礼 单位:北京经济管理职业学院信息学院