李 庚 張 爽

(天津大學(xué)管理與經(jīng)濟(jì)學(xué)部 天津 300072)

近年來(lái)，隨著信息技術(shù)的發(fā)展，在帶來(lái)了方便的同時(shí)，也帶來(lái)了一些安全隱患。根據(jù)信息安全工作長(zhǎng)期形成的經(jīng)驗(yàn)，信息安全工作主要依托人防、物防、技防開(kāi)展，而物防需要人來(lái)設(shè)計(jì)，技防需要人來(lái)操作，這三者都需要處理和控制人的行為，“人”是信息安全中的關(guān)鍵要素，決定信息安全工作能否順利進(jìn)行，隨著“網(wǎng)絡(luò)空間的競(jìng)爭(zhēng)，歸根結(jié)底是人才競(jìng)爭(zhēng)”觀點(diǎn)的提出，我國(guó)更是把信息安全人才培養(yǎng)工作提升到了前所未有的高度，針對(duì)信息安全工作者開(kāi)展專(zhuān)業(yè)的培訓(xùn)具有重要意義。國(guó)內(nèi)外文獻(xiàn)調(diào)研表明，發(fā)達(dá)國(guó)家在信息安全培訓(xùn)教育方面具有豐富的經(jīng)驗(yàn)，信息安全培訓(xùn)起步和實(shí)踐較早。其中，美國(guó)形成了較完善的信息安全培訓(xùn)體系，日本的信息安全培訓(xùn)技術(shù)發(fā)展迅速，英國(guó)的信息安全分級(jí)培訓(xùn)成效顯著?；诖耍疚囊悦绹?guó)、日本、英國(guó)為研究對(duì)象，系統(tǒng)梳理世界不同地區(qū)典型發(fā)達(dá)國(guó)家的信息安全培訓(xùn)現(xiàn)狀，從法規(guī)制度、管理機(jī)構(gòu)、培訓(xùn)方法等方面總結(jié)分析，并立足我國(guó)信息安全發(fā)展現(xiàn)實(shí)情況，借鑒國(guó)外信息安全培訓(xùn)模式和先進(jìn)經(jīng)驗(yàn)，提出適合我國(guó)國(guó)情的信息安全培訓(xùn)建設(shè)的對(duì)策建議。

1 美國(guó)信息安全培訓(xùn)教育現(xiàn)狀

1.1 美國(guó)信息安全培訓(xùn)教育的法規(guī)制度及管理機(jī)構(gòu)

美國(guó)制定了較為系統(tǒng)的信息安全培訓(xùn)的政策法規(guī)體系，具體方案是根據(jù)政策由上而下逐級(jí)做出的。美國(guó)的信息安全管理法律體系分為3個(gè)層次，第一層為美國(guó)憲法層次；第二層是由多部包括《聯(lián)邦信息安全管理法案》《國(guó)家安全法》《情報(bào)改革和防恐法》《網(wǎng)絡(luò)安全法案》等法律在內(nèi)的美國(guó)涉密信息安全法律；第三層是歷屆總統(tǒng)發(fā)布的與信息安全相關(guān)的總統(tǒng)令，在法規(guī)層面上指導(dǎo)信息安全培訓(xùn)開(kāi)展。

2002年12月美國(guó)簽署了《聯(lián)邦信息安全管理法案》(FISMA)，定義了保護(hù)聯(lián)邦政府信息安全的框架，同時(shí)該法案指定美國(guó)國(guó)家技術(shù)與標(biāo)準(zhǔn)研究所(NIST)制定最低安全要求以保證聯(lián)邦信息系統(tǒng)安全性。2009年12月頒布的13526號(hào)總統(tǒng)令，對(duì)涉密信息安全培訓(xùn)工作做出了強(qiáng)制性要求，要求由美國(guó)信息安全監(jiān)督辦公室(ISOO)對(duì)信息安全工作進(jìn)行指導(dǎo)、監(jiān)督，并大量增加完善了涉密信息安全培訓(xùn)的內(nèi)容，拓展了培訓(xùn)的形式，加大了專(zhuān)項(xiàng)經(jīng)費(fèi)的投入[1]。2010年3月，美國(guó)通過(guò)《網(wǎng)絡(luò)安全法案》，要求政府機(jī)構(gòu)和私營(yíng)部門(mén)加強(qiáng)在網(wǎng)絡(luò)安全領(lǐng)域方面的信息共享， 強(qiáng)調(diào)通過(guò)市場(chǎng)手段， 鼓勵(lì)培養(yǎng)網(wǎng)絡(luò)安全人才[2]。2019年2月《國(guó)家安全總統(tǒng)備忘錄》中，強(qiáng)調(diào)保護(hù)美國(guó)在人工智能和相關(guān)關(guān)鍵技術(shù)方面的優(yōu)勢(shì)。2019年5月頒布的13870號(hào)總統(tǒng)令，指出美國(guó)政府必須增強(qiáng)網(wǎng)絡(luò)安全從業(yè)人員的勞動(dòng)力流動(dòng)性，支持網(wǎng)絡(luò)安全技能的發(fā)展，創(chuàng)造必要的組織和技術(shù)工具，最大限度發(fā)揮美國(guó)網(wǎng)絡(luò)安全人才的能力[3]。2021年5月頒布的14028號(hào)總統(tǒng)令，要求標(biāo)準(zhǔn)化聯(lián)邦政府應(yīng)對(duì)網(wǎng)絡(luò)安全漏洞和事件的行動(dòng)手冊(cè)，為網(wǎng)絡(luò)安全人員從事相關(guān)工作提供依據(jù)[4]。

為了落實(shí)信息安全教育培訓(xùn)的相關(guān)政策和法律法規(guī)，美國(guó)將信息安全培訓(xùn)具體權(quán)利分配給了多個(gè)政府部門(mén)。依據(jù)最新的《國(guó)家網(wǎng)絡(luò)安全教育戰(zhàn)略計(jì)劃》的思路，由NIST牽頭，協(xié)調(diào)國(guó)土安全部(DHS)、國(guó)防部(DoD)、國(guó)家安全局(NSA)、國(guó)務(wù)院(DoS)等相關(guān)部門(mén)參與。美國(guó)不同組織機(jī)構(gòu)信息安全教育培訓(xùn)的具體職責(zé)如表1所示。

表1 美國(guó)各組織機(jī)構(gòu)在信息安全教育培訓(xùn)中具體職責(zé)

1.2 美國(guó)信息安全培訓(xùn)教育方法

美國(guó)的信息安全培訓(xùn)教育注重頂層設(shè)計(jì)，是最早制定和實(shí)施信息安全培訓(xùn)教育戰(zhàn)略的國(guó)家，信息安全培訓(xùn)教育知識(shí)內(nèi)容體系隨著形勢(shì)的變化不斷發(fā)展與完善。1998年4月，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)頒布了關(guān)于信息安全技術(shù)常識(shí)和培訓(xùn)綱要SP800-16信息技術(shù)安全培訓(xùn)要求，提出了基于角色和表現(xiàn)的模型[7]。經(jīng)歷了3次修訂， SP800-16不斷更新完善，目前已形成較完備的信息安全培訓(xùn)體系框架。該模型將受訓(xùn)人員按不同角色和職責(zé)劃分為7類(lèi)，并設(shè)計(jì)4種培訓(xùn)模塊，提出了一個(gè)教學(xué)設(shè)計(jì)模型，包括需求分析、課程設(shè)計(jì)、課程開(kāi)發(fā)、培訓(xùn)實(shí)踐和教學(xué)評(píng)估環(huán)節(jié)，這使得信息安全的培訓(xùn)可以迭代改進(jìn)[8]。美國(guó)在信息安全培訓(xùn)中增設(shè)網(wǎng)絡(luò)空間培訓(xùn)管理員 / 首席學(xué)習(xí)執(zhí)行官一職，進(jìn)一步保障信息安全工作。

美國(guó)信息安全培訓(xùn)在傳統(tǒng)方法的基礎(chǔ)上引用了新型的培訓(xùn)技術(shù)，具體內(nèi)容如表2所示。

表2 美國(guó)信息安全培訓(xùn)教育方法具體內(nèi)容

對(duì)美國(guó)信息安全培訓(xùn)教育現(xiàn)狀的總結(jié)梳理，美國(guó)在信息安全培訓(xùn)工作上積累了豐富的經(jīng)驗(yàn)，形成了完備的信息安全培訓(xùn)體系結(jié)構(gòu)，如圖1所示。美國(guó)力圖通過(guò)培訓(xùn)促進(jìn)加強(qiáng)全國(guó)范圍內(nèi)的信息安全力量，并建立一個(gè)專(zhuān)業(yè)的、高度熟練的信息安全隊(duì)伍以應(yīng)對(duì)一系列竊密風(fēng)險(xiǎn)，保障國(guó)家核心利益。

圖1 美國(guó)信息安全培訓(xùn)體系結(jié)構(gòu)

2 日本信息安全培訓(xùn)教育現(xiàn)狀

2.1 日本信息安全培訓(xùn)教育的法規(guī)制度及管理機(jī)構(gòu)

日本雖為世界上信息化程度最高、網(wǎng)絡(luò)信息技術(shù)最發(fā)達(dá)的國(guó)家之一，但仍面臨信息安全領(lǐng)域上的嚴(yán)峻挑戰(zhàn)，因此日本從國(guó)家戰(zhàn)略層面上不斷加強(qiáng)信息安全頂層設(shè)計(jì)， 2000年，日本成立了“IT戰(zhàn)略指揮部”制定了“ IT基本戰(zhàn)略”，通過(guò)了《構(gòu)建先進(jìn)信息和通信網(wǎng)絡(luò)社會(huì)基本法》，全面統(tǒng)籌日本信息化建設(shè)。2001年日本政府發(fā)布“電子日本”(e-Japan)戰(zhàn)略，強(qiáng)調(diào)確保政府網(wǎng)絡(luò)安全，增強(qiáng)公民信息安全意識(shí)。2009年日本信息安全政策委員會(huì)制定了有關(guān)新技術(shù)、政府、金融信息安全中長(zhǎng)期規(guī)劃《第二份國(guó)家信息安全戰(zhàn)略》；2011年該委員會(huì)又頒布了《信息安全2011》；2013年發(fā)布了《網(wǎng)絡(luò)安全合作國(guó)際戰(zhàn)略》，致力于將日本建設(shè)成為世界一流的信息安全先進(jìn)國(guó)家。 2014年日本通過(guò)《網(wǎng)絡(luò)信息安全基本法》，設(shè)立網(wǎng)絡(luò)信息安全戰(zhàn)略本部，以加強(qiáng)政府與民間在網(wǎng)絡(luò)安全領(lǐng)域的協(xié)作[10]。

為了保障信息安全，日本不斷健全信息安全培訓(xùn)組織機(jī)構(gòu)，形成了“政府—法人—地方”管理體系。在政府層面上，2018年《網(wǎng)絡(luò)安全戰(zhàn)略》出臺(tái)，日本成立了內(nèi)閣網(wǎng)絡(luò)安全中心(NISC)，負(fù)責(zé)制定國(guó)家層面信息安全人才培養(yǎng)規(guī)劃，建立資格評(píng)價(jià)體系、組織選拔性考試與演習(xí)、提高企業(yè)經(jīng)營(yíng)層對(duì)安全人才的認(rèn)識(shí)。NISC負(fù)責(zé)指導(dǎo)各省廳機(jī)構(gòu)，如防衛(wèi)省、警察廳、經(jīng)濟(jì)產(chǎn)業(yè)省、總務(wù)省以及管轄重要基礎(chǔ)設(shè)施等相關(guān)省廳制定各領(lǐng)域內(nèi)的信息安全相關(guān)行動(dòng)計(jì)劃與標(biāo)準(zhǔn)。第二層是半官方性質(zhì)的法人機(jī)構(gòu)，負(fù)責(zé)落實(shí)大部分網(wǎng)絡(luò)安全相關(guān)規(guī)則制定與專(zhuān)業(yè)事務(wù)性工作，起到了政府機(jī)構(gòu)與民間實(shí)施主體間的橋梁作用[11-12]。第三層是民間組織，負(fù)責(zé)人才培育、技術(shù)開(kāi)發(fā)和服務(wù)運(yùn)營(yíng)等支援性工作，政府負(fù)責(zé)提供政策和資金上的支持[11]。另外在軍方層面上，日本在2008年組建了“指揮控制通信及計(jì)算機(jī)系統(tǒng)司令部”，將網(wǎng)絡(luò)防御整合到各軍兵種當(dāng)中并提供網(wǎng)絡(luò)作戰(zhàn)培訓(xùn)等支撐工作。

2.2 日本信息安全培訓(xùn)教育方法

日本信息安全培訓(xùn)教育方法具體內(nèi)容如表3所示。

表3 日本信息安全培訓(xùn)教育方法具體內(nèi)容

a.網(wǎng)絡(luò)安全演習(xí)。網(wǎng)絡(luò)安全演習(xí)是日本信息安全培訓(xùn)教育中一種重要的訓(xùn)練方法，為增強(qiáng)重要基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全部門(mén)緊急事態(tài)響應(yīng)能力，日本政府每年會(huì)組織各種網(wǎng)絡(luò)安全演習(xí)。從2006年起，日本政府由內(nèi)閣官房牽頭，組織國(guó)內(nèi)重要基礎(chǔ)設(shè)施的主管省廳、運(yùn)營(yíng)商、從業(yè)機(jī)構(gòu)等重要基礎(chǔ)設(shè)施跨域演習(xí)，以保護(hù)基礎(chǔ)設(shè)施和政府網(wǎng)絡(luò)。并于2015年頒布《日美防衛(wèi)合作指針》進(jìn)一步將網(wǎng)絡(luò)安全聯(lián)合演練納入日美合作范疇。

b.信息安全教育網(wǎng)站。日本通過(guò)政府官方網(wǎng)站或以政企結(jié)合的方式，建設(shè)信息安全教育網(wǎng)站大力開(kāi)展信息安全教育。日本總務(wù)省、內(nèi)閣網(wǎng)絡(luò)安全中心、數(shù)據(jù)通訊協(xié)會(huì)、網(wǎng)絡(luò)安全協(xié)會(huì)等都建設(shè)了相關(guān)網(wǎng)站提供信息安全基礎(chǔ)知識(shí)和技術(shù)操作知識(shí)。除此之外，日本CCC集團(tuán)還與總務(wù)省、經(jīng)濟(jì)產(chǎn)業(yè)省合作建立了反僵尸程序項(xiàng)目。

c.信息安全研討會(huì)。日本政府官方組織緊跟網(wǎng)絡(luò)技術(shù)、信息安全工作熱點(diǎn)，在日本全國(guó)定期開(kāi)展信息安全研討會(huì)等培訓(xùn)教育活動(dòng)。2017年日本情報(bào)推進(jìn)機(jī)構(gòu)召開(kāi)了“日本高新技術(shù)博覽會(huì)”，為提升研討會(huì)內(nèi)容的時(shí)效性和指導(dǎo)性，該機(jī)構(gòu)以召開(kāi)顧問(wèn)委員會(huì)的方式了解國(guó)內(nèi)外信息安全行業(yè)外專(zhuān)家的意見(jiàn)。

日本信息安全培訓(xùn)極為重視“官民合作”，企業(yè)、大學(xué)、智庫(kù)等民間力量在培訓(xùn)中占有重要地位，并積極引導(dǎo)這些民間力量參與相關(guān)政策制定和技術(shù)研發(fā)，不斷創(chuàng)新信息安全培訓(xùn)形式，目前形成了較為完備的信息安全培訓(xùn)體系，如圖2所示。

圖2 日本信息安全培訓(xùn)體系結(jié)構(gòu)

3 英國(guó)信息安全培訓(xùn)教育現(xiàn)狀

3.1 英國(guó)信息安全培訓(xùn)教育的法規(guī)制度及管理機(jī)構(gòu)

英國(guó)作為G20國(guó)家中第一個(gè)具備抵御網(wǎng)絡(luò)攻擊能力的國(guó)家，2009 年發(fā)布首個(gè) 《英國(guó)網(wǎng)絡(luò)信息安全戰(zhàn)略》，并成立了旨在協(xié)調(diào)政府部門(mén)關(guān)系的“網(wǎng)絡(luò)信息安全辦公室和運(yùn)行中心”，統(tǒng)一協(xié)調(diào)網(wǎng)絡(luò)信息安全工作，監(jiān)測(cè)網(wǎng)絡(luò)空間安全。2011年英國(guó)發(fā)布了新版《英國(guó)網(wǎng)絡(luò)信息安全戰(zhàn)略》，提出了對(duì)公眾進(jìn)行網(wǎng)絡(luò)安全方面的普及和強(qiáng)化教育、加強(qiáng)高水平網(wǎng)絡(luò)安全人才隊(duì)伍建設(shè)[13]。英國(guó)政府在脫歐公投之后發(fā)布了《國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略(2016—2021)》，試圖構(gòu)建全新的網(wǎng)絡(luò)信息安全模式，信息安全工作主要由政府主導(dǎo)，同時(shí)2016年10月英國(guó)成立國(guó)家網(wǎng)絡(luò)安全中心(NCSC)，以此作為政府主導(dǎo)的核心機(jī)制，致力于分享信息安全知識(shí)、為信息安全領(lǐng)域問(wèn)題提供指導(dǎo)幫助，以促進(jìn)政府、行業(yè)、公眾之間形成有效信息安全合作關(guān)系[14]，還曾推出“行業(yè)百人”人才跨界交流項(xiàng)目、“網(wǎng)絡(luò)安全學(xué)徒計(jì)劃”等培訓(xùn)項(xiàng)目。2011年3月發(fā)布了《信息安全保障專(zhuān)業(yè)人員認(rèn)證框架》，對(duì)信息安全保障專(zhuān)業(yè)人員按不同的專(zhuān)業(yè)角色方向和工作職責(zé)要求進(jìn)行了系統(tǒng)的縱向崗位門(mén)類(lèi)和橫向崗位級(jí)別的梳理，并明確細(xì)化了各門(mén)類(lèi)、各級(jí)別崗位所需的技術(shù)能力等級(jí)要求[15]。

3.2 英國(guó)信息安全培訓(xùn)方法

面向不同目標(biāo)受眾，英國(guó)政府綜合利用多種方式普及和推廣網(wǎng)絡(luò)安全意識(shí)教育， 力圖滿(mǎn)足不同受訓(xùn)者的需求，具體培訓(xùn)方法介紹如表4所示。

表4 英國(guó)信息安全培訓(xùn)教育方法具體介紹

第一層級(jí)是針對(duì)青少年的信息安全意識(shí)教育。結(jié)合青少年的認(rèn)知特點(diǎn)，開(kāi)發(fā)“加密玩具”的手機(jī)游戲并發(fā)起“家長(zhǎng)信息”的在線(xiàn)服務(wù)[16]，將家庭教育融入信息安全培訓(xùn)。另外針對(duì)有潛力的青少年開(kāi)展前瞻式教育，啟動(dòng)Cyber First計(jì)劃， 邀請(qǐng)11～17歲的青少年參加， 通過(guò)網(wǎng)絡(luò)安全挑戰(zhàn)賽、國(guó)家數(shù)學(xué)競(jìng)賽等各類(lèi)競(jìng)賽挖掘潛在人才，培養(yǎng)新一代“信息安全專(zhuān)家”。

第二層級(jí)是面向信息安全相關(guān)專(zhuān)業(yè)的學(xué)歷教育。將信息安全知識(shí)技能教育納入計(jì)算機(jī)領(lǐng)域?qū)W位及相關(guān)資格證書(shū)中，并與教育界、行業(yè)協(xié)會(huì)、產(chǎn)業(yè)界等合作，協(xié)同開(kāi)展信息安全教育。將網(wǎng)絡(luò)信息安全納入學(xué)術(shù)教育體系，于2014—2015年新增“網(wǎng)絡(luò)間諜”碩士學(xué)位，并宣布建立兩個(gè)博士培訓(xùn)中心(CDT)。

第三層級(jí)是面向信息安全專(zhuān)業(yè)人員的技能培訓(xùn)。由政府機(jī)構(gòu)、行業(yè)協(xié)會(huì)與企業(yè)合作開(kāi)展培訓(xùn)。2013年末，英國(guó)IT行業(yè)技能組織e-skills聯(lián)合了IBM、英國(guó)石油、QinetiQ、CREST和Atos等技術(shù)公司，協(xié)同發(fā)起了關(guān)于網(wǎng)絡(luò)安全培訓(xùn)的計(jì)劃。2014年11月，為了進(jìn)一步實(shí)施英國(guó)國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略，英國(guó)國(guó)家信息安全保障局(CESG)創(chuàng)建了CCT培訓(xùn)項(xiàng)目，旨在為信息安全行業(yè)輸送高水平人才。

第四層級(jí)是面向社會(huì)公眾的信息安全意識(shí)培養(yǎng)。一是建設(shè)專(zhuān)門(mén)信息安全教育網(wǎng)站，面向公眾、企業(yè)傳播和普及如何應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與威脅的基本知識(shí)與實(shí)用工具；二是提供信息安全網(wǎng)上學(xué)習(xí)資源，面向公眾開(kāi)設(shè)介紹網(wǎng)絡(luò)安全基本概念的入門(mén)類(lèi)慕課；三是為中小型企業(yè)員工和企業(yè)主提供強(qiáng)化信息責(zé)任意識(shí)的網(wǎng)上學(xué)習(xí)課程；四是針對(duì)人力資源專(zhuān)業(yè)人員、采購(gòu)專(zhuān)業(yè)人員、律師和會(huì)計(jì)師從業(yè)者的特定行業(yè)角色需求， 量身打造的不同專(zhuān)業(yè)門(mén)類(lèi)的網(wǎng)絡(luò)安全網(wǎng)上課程。

英國(guó)從國(guó)家戰(zhàn)略層面上不斷完善法規(guī)戰(zhàn)略及培訓(xùn)機(jī)構(gòu)，綜合運(yùn)用了多種培訓(xùn)方法，建立了全民覆蓋的多層級(jí)信息安全意識(shí)教育體系，培訓(xùn)體系如圖3所示。

圖3 英國(guó)信息安全培訓(xùn)體系結(jié)構(gòu)

4 國(guó)內(nèi)外信息安全培訓(xùn)教育情況比較分析

信息安全一直是各國(guó)政府關(guān)注的重要領(lǐng)域，信息安全人才培養(yǎng)作為信息安全保障工作的重要一環(huán)，成為世界各國(guó)關(guān)注的重點(diǎn)。梳理美國(guó)、日本、英國(guó)幾個(gè)典型發(fā)達(dá)國(guó)家的信息安全培訓(xùn)現(xiàn)狀，可見(jiàn)發(fā)達(dá)國(guó)家在信息安全培訓(xùn)教育法規(guī)制度、管理機(jī)構(gòu)、實(shí)踐方法等各具特色，為我國(guó)提供了經(jīng)驗(yàn)參考。近年來(lái)，隨著我國(guó)對(duì)信息安全的重視程度不斷提升，我國(guó)出臺(tái)了一系列政策法規(guī)。2014年，中央國(guó)家安全委員會(huì)正式成立，“總體國(guó)家安全”隨之提出。在此指導(dǎo)下，我國(guó)陸續(xù)出臺(tái)了《關(guān)于加強(qiáng)網(wǎng)絡(luò)安全學(xué)科建設(shè)和人才培養(yǎng)的意見(jiàn)》《國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等一系列法規(guī)文件，對(duì)信息安全人才培養(yǎng)提出了具體要求。據(jù)此，我國(guó)探索形成了極具中國(guó)特色的培訓(xùn)方法，如微信公眾號(hào)、APP培訓(xùn)平臺(tái)、專(zhuān)題展覽等，為我國(guó)信息安全培訓(xùn)工作的開(kāi)展提供了有力支撐。

4.1 國(guó)內(nèi)外信息安全培訓(xùn)法規(guī)制度與管理機(jī)構(gòu)比較分析

通過(guò)表5的歸納，我國(guó)與典型發(fā)達(dá)國(guó)家都以國(guó)家戰(zhàn)略高度指導(dǎo)信息安全培訓(xùn)。相較我國(guó)，典型發(fā)達(dá)國(guó)家的法規(guī)制度及管理機(jī)構(gòu)具有如下特色：

表5 培訓(xùn)法規(guī)制度與管理機(jī)構(gòu)特點(diǎn)分析

一是嚴(yán)密的信息安全法規(guī)制度體系。一方面體現(xiàn)在發(fā)達(dá)國(guó)家對(duì)于信息安全培訓(xùn)的法律法規(guī)制定起步較早，21世紀(jì)初就以國(guó)家戰(zhàn)略視角制定了信息安全相關(guān)法律法規(guī)。另一方面發(fā)達(dá)國(guó)家信息安全培訓(xùn)法規(guī)制度的數(shù)量較多、質(zhì)量較高且更新快，立法層面上，美國(guó)形成了多層級(jí)信息安全培訓(xùn)法律體系，并通過(guò)頒布總統(tǒng)令及時(shí)指導(dǎo)培訓(xùn)工作開(kāi)展；戰(zhàn)略層面上，日本與英國(guó)的信息安全培訓(xùn)戰(zhàn)略注重與時(shí)俱進(jìn)和迭代更新，為信息安全培訓(xùn)工作提供了堅(jiān)實(shí)的保障。

二是重視信息安全國(guó)際合作培訓(xùn)。發(fā)達(dá)國(guó)家出臺(tái)了系列信息安全培訓(xùn)國(guó)際合作相關(guān)法規(guī)，如2012年歐美日聯(lián)合發(fā)布《政府信息安全推薦準(zhǔn)則》，呼吁各國(guó)政府應(yīng)與私營(yíng)行業(yè)開(kāi)展合作， 進(jìn)一步推進(jìn)信息安全計(jì)劃。2015年，在日美“2+2”會(huì)談的共同聲明中雙方明確指出，日本要加強(qiáng)與美國(guó)在網(wǎng)絡(luò)安全領(lǐng)域的合作。

三是在政府主導(dǎo)下成立專(zhuān)門(mén)機(jī)構(gòu)指導(dǎo)各部門(mén)開(kāi)展培訓(xùn)。發(fā)達(dá)國(guó)家針對(duì)信息安全培訓(xùn)設(shè)立專(zhuān)門(mén)的管理機(jī)構(gòu)，如美國(guó)的NIST、日本的NISC、英國(guó)的NCSC，在培訓(xùn)中發(fā)揮指導(dǎo)作用，在其指導(dǎo)下各國(guó)政府部門(mén)制定本領(lǐng)域內(nèi)的信息安全培訓(xùn)計(jì)劃與認(rèn)證標(biāo)準(zhǔn)，與民間組織、企業(yè)等各司其職，密切配合，信息安全培訓(xùn)覆蓋面較廣，成效顯著。

4.2 國(guó)內(nèi)外信息安全培訓(xùn)教育方法比較分析

通過(guò)表6的總結(jié)分析，我國(guó)與典型發(fā)達(dá)國(guó)家都形成了極具本土特色的培訓(xùn)方法。相較我國(guó)，發(fā)達(dá)國(guó)家培訓(xùn)方法具備如下特色：

一是在傳統(tǒng)培訓(xùn)方法基礎(chǔ)上運(yùn)用新型培訓(xùn)技術(shù)。發(fā)達(dá)國(guó)家信息安全培訓(xùn)更注重新技術(shù)的應(yīng)用，以增加受訓(xùn)者的培訓(xùn)體驗(yàn)感，如美國(guó)和英國(guó)開(kāi)發(fā)了信息安全游戲軟件，而且也較為注重信息安全技術(shù)演練，如美國(guó)開(kāi)設(shè)信息安全仿真訓(xùn)練，日本政府在經(jīng)濟(jì)、電力、交通等領(lǐng)域開(kāi)展網(wǎng)絡(luò)安全演習(xí)，英國(guó)及歐盟其他成員國(guó)聯(lián)合開(kāi)展信息模擬戰(zhàn)。

二是采取信息安全角色分類(lèi)培訓(xùn)。有針對(duì)性地設(shè)計(jì)培訓(xùn)方案，可以“對(duì)癥下藥”，提升培訓(xùn)效果。發(fā)達(dá)國(guó)家面向不同年齡段、不同職業(yè)等不同受眾人群量身設(shè)計(jì)培訓(xùn)方法，如美國(guó)將信息安全人員分成了7類(lèi)并據(jù)此設(shè)計(jì)不同內(nèi)容的培訓(xùn)，英國(guó)面向青少年、大學(xué)生、專(zhuān)業(yè)人員、社會(huì)公眾等設(shè)計(jì)了不同的培訓(xùn)路徑，強(qiáng)調(diào)全員培訓(xùn)，而針對(duì)社會(huì)公眾，日本、英國(guó)相繼建設(shè)了信息安全培訓(xùn)網(wǎng)站。

三是政府與民間組織聯(lián)合開(kāi)展培訓(xùn)。發(fā)達(dá)國(guó)家在信息安全培訓(xùn)中更為重視政府、企業(yè)、教育界合作開(kāi)展培訓(xùn)。美國(guó)社會(huì)組織及協(xié)會(huì)制定信息安全標(biāo)準(zhǔn)，組織有關(guān)培訓(xùn)，信息技術(shù)企業(yè)參與信息安全培訓(xùn)軟件的開(kāi)發(fā)；日本強(qiáng)調(diào)官民合作，企業(yè)、大學(xué)、智庫(kù)等民間力量在日本信息安全培訓(xùn)占有重要地位；英國(guó)在政府主導(dǎo)下聯(lián)合學(xué)術(shù)界、產(chǎn)業(yè)界、專(zhuān)業(yè)團(tuán)體參與培訓(xùn)，并聯(lián)合眾多家企業(yè)發(fā)起信息安全培訓(xùn)計(jì)劃。

表6 信息安全培訓(xùn)方法特點(diǎn)分析

5 啟 示

在法規(guī)制度層面上，完善立法體系。典型發(fā)達(dá)國(guó)家目前已形成較為完備的信息安全培訓(xùn)教育的法規(guī)體系，我國(guó)信息安全培訓(xùn)教育法規(guī)制度建設(shè)存在一定的滯后性，在立法質(zhì)量和數(shù)量上還需進(jìn)一步完善，我國(guó)的信息安全培訓(xùn)需要在總體國(guó)家安全觀的指導(dǎo)下逐步推進(jìn)相關(guān)法律的完善，構(gòu)建信息安全“大宣教”格局，加強(qiáng)信息安全宣傳教育的頂層設(shè)計(jì)，從立法層面制定信息安全人才計(jì)劃與標(biāo)準(zhǔn)。

在管理機(jī)構(gòu)層面上，探索多方合作。典型發(fā)達(dá)國(guó)家信息安全培訓(xùn)工作政府起到倡導(dǎo)作用，政府致力于制度建設(shè)，而我國(guó)信息安全培訓(xùn)主要為政府主導(dǎo)。為此我國(guó)信息安全培訓(xùn)工作應(yīng)探索多管齊下的培訓(xùn)教育模式，一要成立專(zhuān)門(mén)的信息安全培訓(xùn)管理中心；二要打破政府、企業(yè)、高校壁壘，形成聯(lián)合培訓(xùn)機(jī)制，提高信息安全人才培養(yǎng)效率，降低人才培養(yǎng)成本；三要積極組織不同領(lǐng)域的政府部門(mén)參與到信息安全培訓(xùn)教育的工作中，覆蓋不同領(lǐng)域信息安全人才的培養(yǎng)，為我國(guó)各領(lǐng)域信息安全建設(shè)工作提供保障；四要加強(qiáng)國(guó)際信息安全培訓(xùn)教育的合作。

在實(shí)踐方式層面上，引入新型技術(shù)。典型發(fā)達(dá)國(guó)家在開(kāi)展信息安全培訓(xùn)教育工作中，采用了諸如信息安全游戲、信息安全仿真模擬、網(wǎng)絡(luò)安全演習(xí)以及在線(xiàn)平臺(tái)建設(shè)等種類(lèi)豐富的培訓(xùn)方法，這些先進(jìn)、創(chuàng)新的教育方法離不了信息技術(shù)的支持，我國(guó)信息安全技術(shù)與世界先進(jìn)水平還存在一些不足，需要我國(guó)大力創(chuàng)新信息安全培訓(xùn)新技術(shù)，將網(wǎng)絡(luò)安全防護(hù)技術(shù)、主動(dòng)防御技術(shù)等應(yīng)用到實(shí)際培訓(xùn)中，面向信息安全相關(guān)人員開(kāi)展網(wǎng)絡(luò)攻防演習(xí)、基于受訓(xùn)者學(xué)習(xí)的興趣改進(jìn)培訓(xùn)方法，提升信息安全培訓(xùn)服務(wù)水平。

在體系建設(shè)方面上，健全培訓(xùn)體系。典型發(fā)達(dá)國(guó)家目前從法規(guī)制度、管理機(jī)構(gòu)、實(shí)踐方法等形成了較為完備的信息安全培訓(xùn)體系，這對(duì)我國(guó)信息安全培訓(xùn)工作帶了一定的啟示，信息安全培訓(xùn)工作作為一項(xiàng)系統(tǒng)工程，構(gòu)建信息安全培訓(xùn)體系是做好工作的必然要求，形成涵蓋主體責(zé)任、考核評(píng)估、培訓(xùn)方式、標(biāo)準(zhǔn)要求、角

色分類(lèi)、機(jī)構(gòu)建設(shè)的信息安全培訓(xùn)新格局，構(gòu)建全方位、多層次、立體化的信息安全培訓(xùn)體系。