李 庚 張 爽

(天津大學(xué)管理與經(jīng)濟(jì)學(xué)部 天津 300072)

近年來，隨著信息技術(shù)的發(fā)展，在帶來了方便的同時(shí)，也帶來了一些安全隱患。根據(jù)信息安全工作長期形成的經(jīng)驗(yàn)，信息安全工作主要依托人防、物防、技防開展，而物防需要人來設(shè)計(jì)，技防需要人來操作，這三者都需要處理和控制人的行為，“人”是信息安全中的關(guān)鍵要素，決定信息安全工作能否順利進(jìn)行，隨著“網(wǎng)絡(luò)空間的競爭，歸根結(jié)底是人才競爭”觀點(diǎn)的提出，我國更是把信息安全人才培養(yǎng)工作提升到了前所未有的高度，針對信息安全工作者開展專業(yè)的培訓(xùn)具有重要意義。國內(nèi)外文獻(xiàn)調(diào)研表明，發(fā)達(dá)國家在信息安全培訓(xùn)教育方面具有豐富的經(jīng)驗(yàn)，信息安全培訓(xùn)起步和實(shí)踐較早。其中，美國形成了較完善的信息安全培訓(xùn)體系，日本的信息安全培訓(xùn)技術(shù)發(fā)展迅速，英國的信息安全分級(jí)培訓(xùn)成效顯著?；诖?，本文以美國、日本、英國為研究對象，系統(tǒng)梳理世界不同地區(qū)典型發(fā)達(dá)國家的信息安全培訓(xùn)現(xiàn)狀，從法規(guī)制度、管理機(jī)構(gòu)、培訓(xùn)方法等方面總結(jié)分析，并立足我國信息安全發(fā)展現(xiàn)實(shí)情況，借鑒國外信息安全培訓(xùn)模式和先進(jìn)經(jīng)驗(yàn)，提出適合我國國情的信息安全培訓(xùn)建設(shè)的對策建議。

1 美國信息安全培訓(xùn)教育現(xiàn)狀

1.1 美國信息安全培訓(xùn)教育的法規(guī)制度及管理機(jī)構(gòu)

美國制定了較為系統(tǒng)的信息安全培訓(xùn)的政策法規(guī)體系，具體方案是根據(jù)政策由上而下逐級(jí)做出的。美國的信息安全管理法律體系分為3個(gè)層次，第一層為美國憲法層次；第二層是由多部包括《聯(lián)邦信息安全管理法案》《國家安全法》《情報(bào)改革和防恐法》《網(wǎng)絡(luò)安全法案》等法律在內(nèi)的美國涉密信息安全法律；第三層是歷屆總統(tǒng)發(fā)布的與信息安全相關(guān)的總統(tǒng)令，在法規(guī)層面上指導(dǎo)信息安全培訓(xùn)開展。

2002年12月美國簽署了《聯(lián)邦信息安全管理法案》(FISMA)，定義了保護(hù)聯(lián)邦政府信息安全的框架，同時(shí)該法案指定美國國家技術(shù)與標(biāo)準(zhǔn)研究所(NIST)制定最低安全要求以保證聯(lián)邦信息系統(tǒng)安全性。2009年12月頒布的13526號(hào)總統(tǒng)令，對涉密信息安全培訓(xùn)工作做出了強(qiáng)制性要求，要求由美國信息安全監(jiān)督辦公室(ISOO)對信息安全工作進(jìn)行指導(dǎo)、監(jiān)督，并大量增加完善了涉密信息安全培訓(xùn)的內(nèi)容，拓展了培訓(xùn)的形式，加大了專項(xiàng)經(jīng)費(fèi)的投入[1]。2010年3月，美國通過《網(wǎng)絡(luò)安全法案》，要求政府機(jī)構(gòu)和私營部門加強(qiáng)在網(wǎng)絡(luò)安全領(lǐng)域方面的信息共享， 強(qiáng)調(diào)通過市場手段， 鼓勵(lì)培養(yǎng)網(wǎng)絡(luò)安全人才[2]。2019年2月《國家安全總統(tǒng)備忘錄》中，強(qiáng)調(diào)保護(hù)美國在人工智能和相關(guān)關(guān)鍵技術(shù)方面的優(yōu)勢。2019年5月頒布的13870號(hào)總統(tǒng)令，指出美國政府必須增強(qiáng)網(wǎng)絡(luò)安全從業(yè)人員的勞動(dòng)力流動(dòng)性，支持網(wǎng)絡(luò)安全技能的發(fā)展，創(chuàng)造必要的組織和技術(shù)工具，最大限度發(fā)揮美國網(wǎng)絡(luò)安全人才的能力[3]。2021年5月頒布的14028號(hào)總統(tǒng)令，要求標(biāo)準(zhǔn)化聯(lián)邦政府應(yīng)對網(wǎng)絡(luò)安全漏洞和事件的行動(dòng)手冊，為網(wǎng)絡(luò)安全人員從事相關(guān)工作提供依據(jù)[4]。

為了落實(shí)信息安全教育培訓(xùn)的相關(guān)政策和法律法規(guī)，美國將信息安全培訓(xùn)具體權(quán)利分配給了多個(gè)政府部門。依據(jù)最新的《國家網(wǎng)絡(luò)安全教育戰(zhàn)略計(jì)劃》的思路，由NIST牽頭，協(xié)調(diào)國土安全部(DHS)、國防部(DoD)、國家安全局(NSA)、國務(wù)院(DoS)等相關(guān)部門參與。美國不同組織機(jī)構(gòu)信息安全教育培訓(xùn)的具體職責(zé)如表1所示。

表1 美國各組織機(jī)構(gòu)在信息安全教育培訓(xùn)中具體職責(zé)

1.2 美國信息安全培訓(xùn)教育方法

美國的信息安全培訓(xùn)教育注重頂層設(shè)計(jì)，是最早制定和實(shí)施信息安全培訓(xùn)教育戰(zhàn)略的國家，信息安全培訓(xùn)教育知識(shí)內(nèi)容體系隨著形勢的變化不斷發(fā)展與完善。1998年4月，美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)頒布了關(guān)于信息安全技術(shù)常識(shí)和培訓(xùn)綱要SP800-16信息技術(shù)安全培訓(xùn)要求，提出了基于角色和表現(xiàn)的模型[7]。經(jīng)歷了3次修訂， SP800-16不斷更新完善，目前已形成較完備的信息安全培訓(xùn)體系框架。該模型將受訓(xùn)人員按不同角色和職責(zé)劃分為7類，并設(shè)計(jì)4種培訓(xùn)模塊，提出了一個(gè)教學(xué)設(shè)計(jì)模型，包括需求分析、課程設(shè)計(jì)、課程開發(fā)、培訓(xùn)實(shí)踐和教學(xué)評(píng)估環(huán)節(jié)，這使得信息安全的培訓(xùn)可以迭代改進(jìn)[8]。美國在信息安全培訓(xùn)中增設(shè)網(wǎng)絡(luò)空間培訓(xùn)管理員 / 首席學(xué)習(xí)執(zhí)行官一職，進(jìn)一步保障信息安全工作。

美國信息安全培訓(xùn)在傳統(tǒng)方法的基礎(chǔ)上引用了新型的培訓(xùn)技術(shù)，具體內(nèi)容如表2所示。

表2 美國信息安全培訓(xùn)教育方法具體內(nèi)容

對美國信息安全培訓(xùn)教育現(xiàn)狀的總結(jié)梳理，美國在信息安全培訓(xùn)工作上積累了豐富的經(jīng)驗(yàn)，形成了完備的信息安全培訓(xùn)體系結(jié)構(gòu)，如圖1所示。美國力圖通過培訓(xùn)促進(jìn)加強(qiáng)全國范圍內(nèi)的信息安全力量，并建立一個(gè)專業(yè)的、高度熟練的信息安全隊(duì)伍以應(yīng)對一系列竊密風(fēng)險(xiǎn)，保障國家核心利益。

圖1 美國信息安全培訓(xùn)體系結(jié)構(gòu)

2 日本信息安全培訓(xùn)教育現(xiàn)狀

2.1 日本信息安全培訓(xùn)教育的法規(guī)制度及管理機(jī)構(gòu)

日本雖為世界上信息化程度最高、網(wǎng)絡(luò)信息技術(shù)最發(fā)達(dá)的國家之一，但仍面臨信息安全領(lǐng)域上的嚴(yán)峻挑戰(zhàn)，因此日本從國家戰(zhàn)略層面上不斷加強(qiáng)信息安全頂層設(shè)計(jì)， 2000年，日本成立了“IT戰(zhàn)略指揮部”制定了“ IT基本戰(zhàn)略”，通過了《構(gòu)建先進(jìn)信息和通信網(wǎng)絡(luò)社會(huì)基本法》，全面統(tǒng)籌日本信息化建設(shè)。2001年日本政府發(fā)布“電子日本”(e-Japan)戰(zhàn)略，強(qiáng)調(diào)確保政府網(wǎng)絡(luò)安全，增強(qiáng)公民信息安全意識(shí)。2009年日本信息安全政策委員會(huì)制定了有關(guān)新技術(shù)、政府、金融信息安全中長期規(guī)劃《第二份國家信息安全戰(zhàn)略》；2011年該委員會(huì)又頒布了《信息安全2011》；2013年發(fā)布了《網(wǎng)絡(luò)安全合作國際戰(zhàn)略》，致力于將日本建設(shè)成為世界一流的信息安全先進(jìn)國家。 2014年日本通過《網(wǎng)絡(luò)信息安全基本法》，設(shè)立網(wǎng)絡(luò)信息安全戰(zhàn)略本部，以加強(qiáng)政府與民間在網(wǎng)絡(luò)安全領(lǐng)域的協(xié)作[10]。

為了保障信息安全，日本不斷健全信息安全培訓(xùn)組織機(jī)構(gòu)，形成了“政府—法人—地方”管理體系。在政府層面上，2018年《網(wǎng)絡(luò)安全戰(zhàn)略》出臺(tái)，日本成立了內(nèi)閣網(wǎng)絡(luò)安全中心(NISC)，負(fù)責(zé)制定國家層面信息安全人才培養(yǎng)規(guī)劃，建立資格評(píng)價(jià)體系、組織選拔性考試與演習(xí)、提高企業(yè)經(jīng)營層對安全人才的認(rèn)識(shí)。NISC負(fù)責(zé)指導(dǎo)各省廳機(jī)構(gòu)，如防衛(wèi)省、警察廳、經(jīng)濟(jì)產(chǎn)業(yè)省、總務(wù)省以及管轄重要基礎(chǔ)設(shè)施等相關(guān)省廳制定各領(lǐng)域內(nèi)的信息安全相關(guān)行動(dòng)計(jì)劃與標(biāo)準(zhǔn)。第二層是半官方性質(zhì)的法人機(jī)構(gòu)，負(fù)責(zé)落實(shí)大部分網(wǎng)絡(luò)安全相關(guān)規(guī)則制定與專業(yè)事務(wù)性工作，起到了政府機(jī)構(gòu)與民間實(shí)施主體間的橋梁作用[11-12]。第三層是民間組織，負(fù)責(zé)人才培育、技術(shù)開發(fā)和服務(wù)運(yùn)營等支援性工作，政府負(fù)責(zé)提供政策和資金上的支持[11]。另外在軍方層面上，日本在2008年組建了“指揮控制通信及計(jì)算機(jī)系統(tǒng)司令部”，將網(wǎng)絡(luò)防御整合到各軍兵種當(dāng)中并提供網(wǎng)絡(luò)作戰(zhàn)培訓(xùn)等支撐工作。

2.2 日本信息安全培訓(xùn)教育方法

日本信息安全培訓(xùn)教育方法具體內(nèi)容如表3所示。

表3 日本信息安全培訓(xùn)教育方法具體內(nèi)容

a.網(wǎng)絡(luò)安全演習(xí)。網(wǎng)絡(luò)安全演習(xí)是日本信息安全培訓(xùn)教育中一種重要的訓(xùn)練方法，為增強(qiáng)重要基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全部門緊急事態(tài)響應(yīng)能力，日本政府每年會(huì)組織各種網(wǎng)絡(luò)安全演習(xí)。從2006年起，日本政府由內(nèi)閣官房牽頭，組織國內(nèi)重要基礎(chǔ)設(shè)施的主管省廳、運(yùn)營商、從業(yè)機(jī)構(gòu)等重要基礎(chǔ)設(shè)施跨域演習(xí)，以保護(hù)基礎(chǔ)設(shè)施和政府網(wǎng)絡(luò)。并于2015年頒布《日美防衛(wèi)合作指針》進(jìn)一步將網(wǎng)絡(luò)安全聯(lián)合演練納入日美合作范疇。

b.信息安全教育網(wǎng)站。日本通過政府官方網(wǎng)站或以政企結(jié)合的方式，建設(shè)信息安全教育網(wǎng)站大力開展信息安全教育。日本總務(wù)省、內(nèi)閣網(wǎng)絡(luò)安全中心、數(shù)據(jù)通訊協(xié)會(huì)、網(wǎng)絡(luò)安全協(xié)會(huì)等都建設(shè)了相關(guān)網(wǎng)站提供信息安全基礎(chǔ)知識(shí)和技術(shù)操作知識(shí)。除此之外，日本CCC集團(tuán)還與總務(wù)省、經(jīng)濟(jì)產(chǎn)業(yè)省合作建立了反僵尸程序項(xiàng)目。

c.信息安全研討會(huì)。日本政府官方組織緊跟網(wǎng)絡(luò)技術(shù)、信息安全工作熱點(diǎn)，在日本全國定期開展信息安全研討會(huì)等培訓(xùn)教育活動(dòng)。2017年日本情報(bào)推進(jìn)機(jī)構(gòu)召開了“日本高新技術(shù)博覽會(huì)”，為提升研討會(huì)內(nèi)容的時(shí)效性和指導(dǎo)性，該機(jī)構(gòu)以召開顧問委員會(huì)的方式了解國內(nèi)外信息安全行業(yè)外專家的意見。

日本信息安全培訓(xùn)極為重視“官民合作”，企業(yè)、大學(xué)、智庫等民間力量在培訓(xùn)中占有重要地位，并積極引導(dǎo)這些民間力量參與相關(guān)政策制定和技術(shù)研發(fā)，不斷創(chuàng)新信息安全培訓(xùn)形式，目前形成了較為完備的信息安全培訓(xùn)體系，如圖2所示。

圖2 日本信息安全培訓(xùn)體系結(jié)構(gòu)

3 英國信息安全培訓(xùn)教育現(xiàn)狀

3.1 英國信息安全培訓(xùn)教育的法規(guī)制度及管理機(jī)構(gòu)

英國作為G20國家中第一個(gè)具備抵御網(wǎng)絡(luò)攻擊能力的國家，2009 年發(fā)布首個(gè) 《英國網(wǎng)絡(luò)信息安全戰(zhàn)略》，并成立了旨在協(xié)調(diào)政府部門關(guān)系的“網(wǎng)絡(luò)信息安全辦公室和運(yùn)行中心”，統(tǒng)一協(xié)調(diào)網(wǎng)絡(luò)信息安全工作，監(jiān)測網(wǎng)絡(luò)空間安全。2011年英國發(fā)布了新版《英國網(wǎng)絡(luò)信息安全戰(zhàn)略》，提出了對公眾進(jìn)行網(wǎng)絡(luò)安全方面的普及和強(qiáng)化教育、加強(qiáng)高水平網(wǎng)絡(luò)安全人才隊(duì)伍建設(shè)[13]。英國政府在脫歐公投之后發(fā)布了《國家網(wǎng)絡(luò)安全戰(zhàn)略(2016—2021)》，試圖構(gòu)建全新的網(wǎng)絡(luò)信息安全模式，信息安全工作主要由政府主導(dǎo)，同時(shí)2016年10月英國成立國家網(wǎng)絡(luò)安全中心(NCSC)，以此作為政府主導(dǎo)的核心機(jī)制，致力于分享信息安全知識(shí)、為信息安全領(lǐng)域問題提供指導(dǎo)幫助，以促進(jìn)政府、行業(yè)、公眾之間形成有效信息安全合作關(guān)系[14]，還曾推出“行業(yè)百人”人才跨界交流項(xiàng)目、“網(wǎng)絡(luò)安全學(xué)徒計(jì)劃”等培訓(xùn)項(xiàng)目。2011年3月發(fā)布了《信息安全保障專業(yè)人員認(rèn)證框架》，對信息安全保障專業(yè)人員按不同的專業(yè)角色方向和工作職責(zé)要求進(jìn)行了系統(tǒng)的縱向崗位門類和橫向崗位級(jí)別的梳理，并明確細(xì)化了各門類、各級(jí)別崗位所需的技術(shù)能力等級(jí)要求[15]。

3.2 英國信息安全培訓(xùn)方法

面向不同目標(biāo)受眾，英國政府綜合利用多種方式普及和推廣網(wǎng)絡(luò)安全意識(shí)教育， 力圖滿足不同受訓(xùn)者的需求，具體培訓(xùn)方法介紹如表4所示。

表4 英國信息安全培訓(xùn)教育方法具體介紹

第一層級(jí)是針對青少年的信息安全意識(shí)教育。結(jié)合青少年的認(rèn)知特點(diǎn)，開發(fā)“加密玩具”的手機(jī)游戲并發(fā)起“家長信息”的在線服務(wù)[16]，將家庭教育融入信息安全培訓(xùn)。另外針對有潛力的青少年開展前瞻式教育，啟動(dòng)Cyber First計(jì)劃， 邀請11～17歲的青少年參加， 通過網(wǎng)絡(luò)安全挑戰(zhàn)賽、國家數(shù)學(xué)競賽等各類競賽挖掘潛在人才，培養(yǎng)新一代“信息安全專家”。

第二層級(jí)是面向信息安全相關(guān)專業(yè)的學(xué)歷教育。將信息安全知識(shí)技能教育納入計(jì)算機(jī)領(lǐng)域?qū)W位及相關(guān)資格證書中，并與教育界、行業(yè)協(xié)會(huì)、產(chǎn)業(yè)界等合作，協(xié)同開展信息安全教育。將網(wǎng)絡(luò)信息安全納入學(xué)術(shù)教育體系，于2014—2015年新增“網(wǎng)絡(luò)間諜”碩士學(xué)位，并宣布建立兩個(gè)博士培訓(xùn)中心(CDT)。

第三層級(jí)是面向信息安全專業(yè)人員的技能培訓(xùn)。由政府機(jī)構(gòu)、行業(yè)協(xié)會(huì)與企業(yè)合作開展培訓(xùn)。2013年末，英國IT行業(yè)技能組織e-skills聯(lián)合了IBM、英國石油、QinetiQ、CREST和Atos等技術(shù)公司，協(xié)同發(fā)起了關(guān)于網(wǎng)絡(luò)安全培訓(xùn)的計(jì)劃。2014年11月，為了進(jìn)一步實(shí)施英國國家網(wǎng)絡(luò)安全戰(zhàn)略，英國國家信息安全保障局(CESG)創(chuàng)建了CCT培訓(xùn)項(xiàng)目，旨在為信息安全行業(yè)輸送高水平人才。

第四層級(jí)是面向社會(huì)公眾的信息安全意識(shí)培養(yǎng)。一是建設(shè)專門信息安全教育網(wǎng)站，面向公眾、企業(yè)傳播和普及如何應(yīng)對網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與威脅的基本知識(shí)與實(shí)用工具；二是提供信息安全網(wǎng)上學(xué)習(xí)資源，面向公眾開設(shè)介紹網(wǎng)絡(luò)安全基本概念的入門類慕課；三是為中小型企業(yè)員工和企業(yè)主提供強(qiáng)化信息責(zé)任意識(shí)的網(wǎng)上學(xué)習(xí)課程；四是針對人力資源專業(yè)人員、采購專業(yè)人員、律師和會(huì)計(jì)師從業(yè)者的特定行業(yè)角色需求， 量身打造的不同專業(yè)門類的網(wǎng)絡(luò)安全網(wǎng)上課程。

英國從國家戰(zhàn)略層面上不斷完善法規(guī)戰(zhàn)略及培訓(xùn)機(jī)構(gòu)，綜合運(yùn)用了多種培訓(xùn)方法，建立了全民覆蓋的多層級(jí)信息安全意識(shí)教育體系，培訓(xùn)體系如圖3所示。

圖3 英國信息安全培訓(xùn)體系結(jié)構(gòu)

4 國內(nèi)外信息安全培訓(xùn)教育情況比較分析

信息安全一直是各國政府關(guān)注的重要領(lǐng)域，信息安全人才培養(yǎng)作為信息安全保障工作的重要一環(huán)，成為世界各國關(guān)注的重點(diǎn)。梳理美國、日本、英國幾個(gè)典型發(fā)達(dá)國家的信息安全培訓(xùn)現(xiàn)狀，可見發(fā)達(dá)國家在信息安全培訓(xùn)教育法規(guī)制度、管理機(jī)構(gòu)、實(shí)踐方法等各具特色，為我國提供了經(jīng)驗(yàn)參考。近年來，隨著我國對信息安全的重視程度不斷提升，我國出臺(tái)了一系列政策法規(guī)。2014年，中央國家安全委員會(huì)正式成立，“總體國家安全”隨之提出。在此指導(dǎo)下，我國陸續(xù)出臺(tái)了《關(guān)于加強(qiáng)網(wǎng)絡(luò)安全學(xué)科建設(shè)和人才培養(yǎng)的意見》《國家網(wǎng)絡(luò)安全戰(zhàn)略》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等一系列法規(guī)文件，對信息安全人才培養(yǎng)提出了具體要求。據(jù)此，我國探索形成了極具中國特色的培訓(xùn)方法，如微信公眾號(hào)、APP培訓(xùn)平臺(tái)、專題展覽等，為我國信息安全培訓(xùn)工作的開展提供了有力支撐。

4.1 國內(nèi)外信息安全培訓(xùn)法規(guī)制度與管理機(jī)構(gòu)比較分析

通過表5的歸納，我國與典型發(fā)達(dá)國家都以國家戰(zhàn)略高度指導(dǎo)信息安全培訓(xùn)。相較我國，典型發(fā)達(dá)國家的法規(guī)制度及管理機(jī)構(gòu)具有如下特色：

表5 培訓(xùn)法規(guī)制度與管理機(jī)構(gòu)特點(diǎn)分析

一是嚴(yán)密的信息安全法規(guī)制度體系。一方面體現(xiàn)在發(fā)達(dá)國家對于信息安全培訓(xùn)的法律法規(guī)制定起步較早，21世紀(jì)初就以國家戰(zhàn)略視角制定了信息安全相關(guān)法律法規(guī)。另一方面發(fā)達(dá)國家信息安全培訓(xùn)法規(guī)制度的數(shù)量較多、質(zhì)量較高且更新快，立法層面上，美國形成了多層級(jí)信息安全培訓(xùn)法律體系，并通過頒布總統(tǒng)令及時(shí)指導(dǎo)培訓(xùn)工作開展；戰(zhàn)略層面上，日本與英國的信息安全培訓(xùn)戰(zhàn)略注重與時(shí)俱進(jìn)和迭代更新，為信息安全培訓(xùn)工作提供了堅(jiān)實(shí)的保障。

二是重視信息安全國際合作培訓(xùn)。發(fā)達(dá)國家出臺(tái)了系列信息安全培訓(xùn)國際合作相關(guān)法規(guī)，如2012年歐美日聯(lián)合發(fā)布《政府信息安全推薦準(zhǔn)則》，呼吁各國政府應(yīng)與私營行業(yè)開展合作， 進(jìn)一步推進(jìn)信息安全計(jì)劃。2015年，在日美“2+2”會(huì)談的共同聲明中雙方明確指出，日本要加強(qiáng)與美國在網(wǎng)絡(luò)安全領(lǐng)域的合作。

三是在政府主導(dǎo)下成立專門機(jī)構(gòu)指導(dǎo)各部門開展培訓(xùn)。發(fā)達(dá)國家針對信息安全培訓(xùn)設(shè)立專門的管理機(jī)構(gòu)，如美國的NIST、日本的NISC、英國的NCSC，在培訓(xùn)中發(fā)揮指導(dǎo)作用，在其指導(dǎo)下各國政府部門制定本領(lǐng)域內(nèi)的信息安全培訓(xùn)計(jì)劃與認(rèn)證標(biāo)準(zhǔn)，與民間組織、企業(yè)等各司其職，密切配合，信息安全培訓(xùn)覆蓋面較廣，成效顯著。

4.2 國內(nèi)外信息安全培訓(xùn)教育方法比較分析

通過表6的總結(jié)分析，我國與典型發(fā)達(dá)國家都形成了極具本土特色的培訓(xùn)方法。相較我國，發(fā)達(dá)國家培訓(xùn)方法具備如下特色：

一是在傳統(tǒng)培訓(xùn)方法基礎(chǔ)上運(yùn)用新型培訓(xùn)技術(shù)。發(fā)達(dá)國家信息安全培訓(xùn)更注重新技術(shù)的應(yīng)用，以增加受訓(xùn)者的培訓(xùn)體驗(yàn)感，如美國和英國開發(fā)了信息安全游戲軟件，而且也較為注重信息安全技術(shù)演練，如美國開設(shè)信息安全仿真訓(xùn)練，日本政府在經(jīng)濟(jì)、電力、交通等領(lǐng)域開展網(wǎng)絡(luò)安全演習(xí)，英國及歐盟其他成員國聯(lián)合開展信息模擬戰(zhàn)。

二是采取信息安全角色分類培訓(xùn)。有針對性地設(shè)計(jì)培訓(xùn)方案，可以“對癥下藥”，提升培訓(xùn)效果。發(fā)達(dá)國家面向不同年齡段、不同職業(yè)等不同受眾人群量身設(shè)計(jì)培訓(xùn)方法，如美國將信息安全人員分成了7類并據(jù)此設(shè)計(jì)不同內(nèi)容的培訓(xùn)，英國面向青少年、大學(xué)生、專業(yè)人員、社會(huì)公眾等設(shè)計(jì)了不同的培訓(xùn)路徑，強(qiáng)調(diào)全員培訓(xùn)，而針對社會(huì)公眾，日本、英國相繼建設(shè)了信息安全培訓(xùn)網(wǎng)站。

三是政府與民間組織聯(lián)合開展培訓(xùn)。發(fā)達(dá)國家在信息安全培訓(xùn)中更為重視政府、企業(yè)、教育界合作開展培訓(xùn)。美國社會(huì)組織及協(xié)會(huì)制定信息安全標(biāo)準(zhǔn)，組織有關(guān)培訓(xùn)，信息技術(shù)企業(yè)參與信息安全培訓(xùn)軟件的開發(fā)；日本強(qiáng)調(diào)官民合作，企業(yè)、大學(xué)、智庫等民間力量在日本信息安全培訓(xùn)占有重要地位；英國在政府主導(dǎo)下聯(lián)合學(xué)術(shù)界、產(chǎn)業(yè)界、專業(yè)團(tuán)體參與培訓(xùn)，并聯(lián)合眾多家企業(yè)發(fā)起信息安全培訓(xùn)計(jì)劃。

表6 信息安全培訓(xùn)方法特點(diǎn)分析

5 啟 示

在法規(guī)制度層面上，完善立法體系。典型發(fā)達(dá)國家目前已形成較為完備的信息安全培訓(xùn)教育的法規(guī)體系，我國信息安全培訓(xùn)教育法規(guī)制度建設(shè)存在一定的滯后性，在立法質(zhì)量和數(shù)量上還需進(jìn)一步完善，我國的信息安全培訓(xùn)需要在總體國家安全觀的指導(dǎo)下逐步推進(jìn)相關(guān)法律的完善，構(gòu)建信息安全“大宣教”格局，加強(qiáng)信息安全宣傳教育的頂層設(shè)計(jì)，從立法層面制定信息安全人才計(jì)劃與標(biāo)準(zhǔn)。

在管理機(jī)構(gòu)層面上，探索多方合作。典型發(fā)達(dá)國家信息安全培訓(xùn)工作政府起到倡導(dǎo)作用，政府致力于制度建設(shè)，而我國信息安全培訓(xùn)主要為政府主導(dǎo)。為此我國信息安全培訓(xùn)工作應(yīng)探索多管齊下的培訓(xùn)教育模式，一要成立專門的信息安全培訓(xùn)管理中心；二要打破政府、企業(yè)、高校壁壘，形成聯(lián)合培訓(xùn)機(jī)制，提高信息安全人才培養(yǎng)效率，降低人才培養(yǎng)成本；三要積極組織不同領(lǐng)域的政府部門參與到信息安全培訓(xùn)教育的工作中，覆蓋不同領(lǐng)域信息安全人才的培養(yǎng)，為我國各領(lǐng)域信息安全建設(shè)工作提供保障；四要加強(qiáng)國際信息安全培訓(xùn)教育的合作。

在實(shí)踐方式層面上，引入新型技術(shù)。典型發(fā)達(dá)國家在開展信息安全培訓(xùn)教育工作中，采用了諸如信息安全游戲、信息安全仿真模擬、網(wǎng)絡(luò)安全演習(xí)以及在線平臺(tái)建設(shè)等種類豐富的培訓(xùn)方法，這些先進(jìn)、創(chuàng)新的教育方法離不了信息技術(shù)的支持，我國信息安全技術(shù)與世界先進(jìn)水平還存在一些不足，需要我國大力創(chuàng)新信息安全培訓(xùn)新技術(shù)，將網(wǎng)絡(luò)安全防護(hù)技術(shù)、主動(dòng)防御技術(shù)等應(yīng)用到實(shí)際培訓(xùn)中，面向信息安全相關(guān)人員開展網(wǎng)絡(luò)攻防演習(xí)、基于受訓(xùn)者學(xué)習(xí)的興趣改進(jìn)培訓(xùn)方法，提升信息安全培訓(xùn)服務(wù)水平。

在體系建設(shè)方面上，健全培訓(xùn)體系。典型發(fā)達(dá)國家目前從法規(guī)制度、管理機(jī)構(gòu)、實(shí)踐方法等形成了較為完備的信息安全培訓(xùn)體系，這對我國信息安全培訓(xùn)工作帶了一定的啟示，信息安全培訓(xùn)工作作為一項(xiàng)系統(tǒng)工程，構(gòu)建信息安全培訓(xùn)體系是做好工作的必然要求，形成涵蓋主體責(zé)任、考核評(píng)估、培訓(xùn)方式、標(biāo)準(zhǔn)要求、角

色分類、機(jī)構(gòu)建設(shè)的信息安全培訓(xùn)新格局，構(gòu)建全方位、多層次、立體化的信息安全培訓(xùn)體系。