袁 禮

（北京經(jīng)濟管理職業(yè)學(xué)院信息學(xué)院，北京 102602）

履行等級保護制度是網(wǎng)絡(luò)安全法規(guī)定的法定義務(wù)，等級保護制度是國家信息安全基本國策，等級保護是網(wǎng)絡(luò)安全工作的基本方法。等級保護是中國網(wǎng)絡(luò)安全保障工作中的偉大創(chuàng)舉，為中國網(wǎng)絡(luò)安全保障工作取得了重大成就。教育培訓(xùn)是等級保護制度重要組成部分，教育培訓(xùn)是推進等級保護工作的有力保障，教育培訓(xùn)也是落實等級保護工作的重中之重。如何構(gòu)建適應(yīng)網(wǎng)絡(luò)安全等級保護要求的教育培訓(xùn)體系，是需要高度重視和不斷完善的重點工作。

1 網(wǎng)絡(luò)安全教育培訓(xùn)體系的法規(guī)要求

《中華人民共和國網(wǎng)絡(luò)安全法》中對網(wǎng)絡(luò)安全教育培訓(xùn)有明確的要求：

如：

在GB/T 25058-2010《信息系統(tǒng)安全等級保護實施指南》中對信息安全人員安全技能培訓(xùn)也有明確的要求：

如：

等保2.0中的GB/T22239-2019《網(wǎng)絡(luò)安全等級保護基本要求》對安全意識教育和培訓(xùn)也有詳細要求。

如：

基于上述法規(guī)標準可以看出，網(wǎng)絡(luò)運營者開展網(wǎng)絡(luò)安全教育培訓(xùn)是網(wǎng)絡(luò)安全法要求的法定義務(wù)，網(wǎng)絡(luò)安全教育培訓(xùn)也是提升網(wǎng)絡(luò)安全保障能力的關(guān)鍵舉措，是網(wǎng)絡(luò)安全等級保護中不可或缺的重要工作，完整的信息安全保障體系，需要人、技術(shù)、管理三者有機結(jié)合，而這三者都離不開有效的網(wǎng)絡(luò)安全教育培訓(xùn)。

2 如何構(gòu)建網(wǎng)絡(luò)安全教育培訓(xùn)體系

教育培訓(xùn)體系建設(shè)是個復(fù)雜的系統(tǒng)工程，有他自己的規(guī)律，網(wǎng)絡(luò)安全作為專業(yè)性較強的行業(yè)，網(wǎng)絡(luò)安全教育培訓(xùn)更需遵循一定的科學(xué)規(guī)律，考慮各方面的因素。網(wǎng)絡(luò)安全教育培訓(xùn)，一定要針對崗位，結(jié)合實踐。

如何構(gòu)建一套適合網(wǎng)絡(luò)安全等級保護的教育培訓(xùn)體系？要解決這個問題，首先需要了解網(wǎng)絡(luò)安全等級保護工作的主要內(nèi)容、基本流程及所涉及的主要崗位及各崗位的能力要求。按照《信息安全等級保護實施指南》，網(wǎng)絡(luò)安全等級保護實施的基本流程如圖1所示。

圖1 網(wǎng)絡(luò)安全等級保護實施基本流程

具體實施等級保護工作，有五個規(guī)定動作：系統(tǒng)定級、備案、安全建設(shè)整改、等級測評、監(jiān)督檢查。這些工作涉及到信息系統(tǒng)使用運營單位（甲方）、信息系統(tǒng)建設(shè)服務(wù)單位（乙方）、信息系統(tǒng)安全測評機構(gòu)（第三方）、信息系統(tǒng)安全監(jiān)管部門（監(jiān)管方）等四方面單位。大家知道，等級保護各崗位工作都是圍繞定級對象展開，定級對象涉及的技術(shù)可能是傳統(tǒng)的信息系統(tǒng)，也可能是云計算、移動互聯(lián)、工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)系統(tǒng)或大數(shù)據(jù)等，后續(xù)可能還有諸如5G，人工智能等不斷涌現(xiàn)的新技術(shù)。不管什么樣的定級對象，相關(guān)工作崗位都隸屬于這四個方面的單位：甲方、乙方、第三方及監(jiān)管方。

因為工作關(guān)系，不同單位所關(guān)注的點不同，相應(yīng)的工作崗位也不同：信息系統(tǒng)使用運營單位（甲方）主要設(shè)置的崗位有兩大類：一類是網(wǎng)絡(luò)安全主管領(lǐng)導(dǎo)，這類崗位偏宏觀管控，重點關(guān)注網(wǎng)絡(luò)安全工作的總體領(lǐng)導(dǎo)與指導(dǎo)，重點需要培訓(xùn)網(wǎng)絡(luò)安全相關(guān)政策、法規(guī)、標準，確保所有工作大方向不錯；另一類是信息系統(tǒng)安全管理崗，如安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員等，這類崗位重點關(guān)注信息系統(tǒng)規(guī)劃設(shè)計，工程過程監(jiān)督管理，日常運行維護等，需要重點了解相關(guān)標準中具體的要求以方便參與或配合信息系統(tǒng)全生命周期各環(huán)節(jié)工作并能對各環(huán)節(jié)工作質(zhì)量和效果進行準確有效的監(jiān)督管理。

信息系統(tǒng)服務(wù)提供商（乙方）一般指產(chǎn)品廠商、軟件開發(fā)商及系統(tǒng)集成商等，信息系統(tǒng)服務(wù)提供商一般開展網(wǎng)絡(luò)安全規(guī)劃設(shè)計、網(wǎng)絡(luò)安全實施交付、網(wǎng)絡(luò)安全運行維護、應(yīng)急響應(yīng)與保障，安全監(jiān)理等工作，這類群體不僅需要培訓(xùn)專業(yè)技術(shù)也需要培養(yǎng)合規(guī)意識。其中，網(wǎng)絡(luò)安全規(guī)劃設(shè)計類崗位一般主要從事：信息資產(chǎn)摸底及安全需求調(diào)研，網(wǎng)絡(luò)安全技術(shù)方案與管理體系規(guī)劃設(shè)計等。網(wǎng)絡(luò)安全實施交付類崗位一般主要從事如下工作：設(shè)計實施方案，并按照實施方案對相關(guān)軟硬件進行合理部署、配置，確保系統(tǒng)安全可控地運轉(zhuǎn)等。網(wǎng)絡(luò)安全運行維護類崗位一般主要從事：網(wǎng)絡(luò)安全案事件分析與處置，日常開展信息系統(tǒng)安全監(jiān)測與評估，數(shù)據(jù)備份與恢復(fù)，信息安全管理制度體系建設(shè)，操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備正確合理配置，定期開展攻防演練，軟硬件系統(tǒng)的運行與維護，工程建設(shè)項目監(jiān)督管理等。應(yīng)急保障崗位一般開展如下工作：監(jiān)控監(jiān)視系統(tǒng)有效安全運行，制定應(yīng)急預(yù)案，做好應(yīng)急物資準備，發(fā)現(xiàn)突發(fā)安全問題后能夠及時處置。安全監(jiān)督管理崗位重點關(guān)注：監(jiān)督管理信息安全項目的科學(xué)合理進展，負責按照政策、法規(guī)、標準檢查監(jiān)督施工單位在網(wǎng)絡(luò)安全建設(shè)過程中的合規(guī)性和有效性等。

信息系統(tǒng)安全測評機構(gòu)主要指等級保護測評機構(gòu)、第三方軟件測試機構(gòu)、風險評估機構(gòu)等。安全測評機構(gòu)一般開展網(wǎng)絡(luò)安全等級測評、風險評估、產(chǎn)品檢測等工作，是安全合規(guī)與否的核查者檢驗員。其中，網(wǎng)絡(luò)等級測評人員主要工作是參照等級保護基本要求及測評要求，針對被測系統(tǒng)《GB/T 22239-2019網(wǎng)絡(luò)安全等級保護基本要求》中所規(guī)定的要求項開展測評工作。風險評估類崗位主要《GB/T 20984-2007參照信息安全風險評估規(guī)范》從資產(chǎn)、威脅、脆弱性等三方面去分析評估被測系統(tǒng)的風險情況及風險處理與管理等工作。安全產(chǎn)品檢測類崗位主要工作是，基于國家相關(guān)規(guī)范標準就信息系統(tǒng)中的軟硬件產(chǎn)品進行功能、性能和安全符合性等方面進行檢測，以檢測報告的形式為驗收或為系統(tǒng)進一步完善提供佐證。

信息系統(tǒng)安全監(jiān)管部門主要指公安各級網(wǎng)安部門、各級網(wǎng)信辦、行業(yè)主管部門等，是網(wǎng)絡(luò)安全行業(yè)的檢驗員與執(zhí)法官。主要關(guān)注系統(tǒng)的安全保護狀況，定期或不定期對信息系統(tǒng)開展安全監(jiān)督與檢查，根據(jù)國家政策法規(guī)及相應(yīng)技術(shù)標準，就信息系統(tǒng)安全責任主體進行合規(guī)性督促和檢查，并提出整改建議。

不同群體的關(guān)注點不一樣，需要針對不同人群設(shè)計不同的教育培訓(xùn)方案。教育培訓(xùn)最終目的是讓受訓(xùn)者有所收獲，能幫助受訓(xùn)者真正提升網(wǎng)絡(luò)安全保護能力。

目前網(wǎng)絡(luò)安全方面的教育培訓(xùn)，大致可以分為兩大類，一類是高等院校學(xué)歷教育的網(wǎng)絡(luò)空間安全相關(guān)專業(yè)，另一類是從事網(wǎng)絡(luò)安全培訓(xùn)的專業(yè)機構(gòu)。目前開設(shè)網(wǎng)絡(luò)安全類專業(yè)的高校有很多所，每年還新增不少院校開辦網(wǎng)絡(luò)安全類專業(yè)，高等學(xué)歷教育院校分研究型大學(xué)和應(yīng)用型大學(xué)，研究型大學(xué)多以密碼學(xué)為核心，如北京郵電大學(xué)、武漢大學(xué)、四川大學(xué)、南開大學(xué)等；應(yīng)用型高校以網(wǎng)絡(luò)安全攻防為核心，主要是高等職業(yè)學(xué)院或一般二本、三本學(xué)校。網(wǎng)絡(luò)安全培訓(xùn)認證分國外認證和國內(nèi)認證：國外的證書，基本是民間組織協(xié)會推出的，很多證書的權(quán)威性有待考證，其中比較著名的是CISSP（Certif ication for Information System Security Professional）即信息系統(tǒng)安全專業(yè)認證證書，是目前行業(yè)比較認可的技術(shù)資質(zhì)證書。另有CIW認證，CIW是網(wǎng)絡(luò)安全業(yè)界公認的通用型、入門級證書，注重考生對網(wǎng)絡(luò)安全的全面了解及實際工作能力的檢驗。還有Itil、cobit、27000等國外安全管理標準的培訓(xùn)認證，其他還有國外安全產(chǎn)品供應(yīng)商的培訓(xùn)證書，偏重于本公司產(chǎn)品的培訓(xùn)，如思科認證等。國內(nèi)證書也是比較繁雜，目前常見的主要是中國信息安全測評中心舉辦的CISP注冊信息安全專業(yè)人員的資格證書，申請安全服務(wù)資質(zhì)的機構(gòu)人員必需具備的資格條件，所以認證人數(shù)相對較多。另有國家重要信息系統(tǒng)保護人員培訓(xùn)CIIP（Critical InformationInfrastructure Protection）系列認證，系公安部信息安全等級保護評估中心研發(fā)的一套以等級保護為主線的系列技能認證，純技術(shù)技能認證，不與其他資質(zhì)認證掛勾。另有信息安全保障人員認證Cisaw，CISAW是中國信息安全認證中心針對信息安全保障不同專業(yè)技術(shù)方向、應(yīng)用領(lǐng)域和保障崗位，依據(jù)國際標準ISO/IEC 17024《人員認證機構(gòu)通用要求》所建立的、不同層次的信息安全保障人員認證體系。還有一些國內(nèi)大型安全廠商基于自身產(chǎn)品線定制的技能認證，基本上是和自己的產(chǎn)品操作有關(guān)，如華為網(wǎng)絡(luò)技術(shù)認證，華三的技能認證等等。這些培訓(xùn)基本上都是依據(jù)培訓(xùn)或發(fā)證機構(gòu)自身特點，根據(jù)市場需求設(shè)計的課程體系，很難完全勝任網(wǎng)絡(luò)安全等級保護工作，尤其是針對具體的工作崗位技能和具體的工作內(nèi)容方面均還需要進一步完善。

3 等級保護工作過程中有效的教育培訓(xùn)活動

3.1 時間上有確定的周期性的安排

一般等級保護過程中，有如下關(guān)鍵節(jié)點需要開展有效的網(wǎng)絡(luò)安全教育培訓(xùn)活動：

（1）常態(tài)化教育培訓(xùn)工作：網(wǎng)絡(luò)安全意識培訓(xùn)需要常態(tài)化舉行，網(wǎng)絡(luò)安全意識教育，可以不拘于形式，可以利用各種機會、抓住一切機會宣貫網(wǎng)絡(luò)安全法規(guī)標準，宣傳網(wǎng)絡(luò)安全事件，提升網(wǎng)絡(luò)安全意識。網(wǎng)絡(luò)安全意識的教育培訓(xùn)要覆蓋到全體人員，尤其是單位高層領(lǐng)導(dǎo)首先得帶頭學(xué)習(xí)，只有“一把手”網(wǎng)絡(luò)安全意識提高了，整個單位的網(wǎng)絡(luò)安全意識才可能提高。（2）敏感節(jié)假日及重要紀念日，需開展網(wǎng)絡(luò)安全教育培訓(xùn)活動，結(jié)合具體主題，宣貫網(wǎng)絡(luò)安全重要性，加強網(wǎng)絡(luò)安全防護手段。（3）等級保護項目啟動會、反饋會、驗收會等重要節(jié)點會上，需借機開展網(wǎng)絡(luò)安全教育培訓(xùn)，結(jié)合等級保護具體工作學(xué)習(xí)，通過學(xué)習(xí)再切實提升等級保護工作實際效果。

3.2 不同目標人群內(nèi)容要各有針對性

（1）信息系統(tǒng)運營使用單位，重點是法規(guī)標準的理解和應(yīng)用，能達到能識別能判別等級保護相關(guān)工作的質(zhì)量與效果。能夠有效配合、合理指導(dǎo)監(jiān)督網(wǎng)絡(luò)安全服務(wù)人員的實際工作。（2）信息系統(tǒng)安全建設(shè)單位，重點培訓(xùn)網(wǎng)絡(luò)安全等級保護建設(shè)要求，嚴格落實網(wǎng)絡(luò)安全等級保護中關(guān)于建設(shè)整改的要求，確保按照等級要求規(guī)劃建設(shè)方案，實施建設(shè)內(nèi)容。網(wǎng)絡(luò)建設(shè)單位入場啟動和驗收時必須接受網(wǎng)絡(luò)安全教育培訓(xùn)。（3）測評機構(gòu)，測評機構(gòu)除按要求實施等級測評外，在某種意義上還有指導(dǎo)信息系統(tǒng)使用運營單位合理開展網(wǎng)絡(luò)安全工作的責任，所以對測評機構(gòu)相關(guān)人員的教育培訓(xùn)顯得尤為重要。測評機構(gòu)首先是要熟悉并深刻理解網(wǎng)絡(luò)安全法規(guī)標準，尤其是對GB/T 28448-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求》這個標準的理解，只有深刻理解法規(guī)標準才能真正使用法規(guī)標準有效地開展測評工作。測評機構(gòu)的服務(wù)范圍還不能只限于測評，需要給系統(tǒng)運營使用單位提供力所能及的安全服務(wù)，比如咨詢、培訓(xùn)、運維指導(dǎo)等服務(wù)。所以對測評機構(gòu)人員定期開展網(wǎng)絡(luò)安全繼續(xù)教育必不可少，這在等級保護測評機構(gòu)管理辦法中也有明確要求，需要嚴格執(zhí)行。（4）監(jiān)管部門，網(wǎng)絡(luò)安全監(jiān)管部門不僅是行政監(jiān)管部門，更是業(yè)務(wù)指導(dǎo)部門。監(jiān)管部門的教育培訓(xùn)程度，直接決定了網(wǎng)絡(luò)安全等級保護工作開展的深度和質(zhì)量。監(jiān)管部門重點是對法規(guī)標準要深入理解，能夠熟練運用法規(guī)標準去監(jiān)管等級保護相關(guān)工作。監(jiān)管部門相關(guān)人員由于教育培訓(xùn)不到位，可能造成監(jiān)管過松或過嚴，指導(dǎo)不精準現(xiàn)象。所以監(jiān)管部門的教育培訓(xùn)也得定期認真開展。

4 教育培訓(xùn)體系建設(shè)建議

網(wǎng)絡(luò)安全教育培訓(xùn)是網(wǎng)絡(luò)安全工作的重中之重，各單位領(lǐng)導(dǎo)班子尤其是“一把手”必須高度重視，嚴格執(zhí)行法規(guī)標準要求。網(wǎng)絡(luò)安全教育培訓(xùn)是落實踐行網(wǎng)絡(luò)安全等級保護制度的有效保障，構(gòu)建相對完善的教育培訓(xùn)體系任重道遠，必須常抓不懈。網(wǎng)絡(luò)安全教育培訓(xùn)必須有針對性，分層級、有側(cè)重、全覆蓋，培訓(xùn)內(nèi)容要落到實處，培訓(xùn)結(jié)果要取得實效。