趙倩倩 尤其 楊偉平

摘 要：近年來，網(wǎng)絡(luò)技術(shù)已滲透到人們?nèi)粘Ｉ畹姆椒矫婷?，網(wǎng)絡(luò)空間安全問題也隨之暴露。關(guān)鍵信息基礎(chǔ)設(shè)施作為網(wǎng)絡(luò)服務(wù)的支撐系統(tǒng)，存儲并傳輸著大量數(shù)據(jù)，其安全問題是網(wǎng)絡(luò)安全的關(guān)鍵節(jié)點之一，尤其是隨著GB/T 39204-2022《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求》標準的發(fā)布，我國對實施關(guān)鍵信息基礎(chǔ)設(shè)施保護在安全防控體系、數(shù)據(jù)管控等方面提出了全新要求。本文立足國內(nèi)外關(guān)鍵信息基礎(chǔ)設(shè)施的相關(guān)標準，對當前國內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施專業(yè)人員隊伍建設(shè)的現(xiàn)狀進行分析，找出不足并提出相關(guān)優(yōu)化建議，助力我國關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全人員標準化隊伍建設(shè)。

關(guān)鍵詞：關(guān)鍵信息基礎(chǔ)設(shè)施，網(wǎng)絡(luò)安全，人員隊伍

DOI編碼：10.3969/j.issn.1002-5944.2023.09.007

基金項目：本文受國家社會科學(xué)基金課題“支撐教育高質(zhì)量發(fā)展的國家教育管理信息化體系研究”（課題編號：CCA210253）資助。

Cybersecurity Personnel Construction in Critical Information Infrastructure

ZHAO Qianqian YOU Qi YANG Weiping

（China Cybersecurity Review Technology and Certifi cation Center）

Abstract： In recent years， network technology has penetrated into every aspect of peoples daily life， and the problem of cyberspace security has also been exposed. As the supporting system of network service， critical information infrastructure stores and transmits a large amount of data. Its security is one of the key links of network security. After the publication of GB/T 39204-2022， Information security technology—Cybersecurity requirements for critical information infrastructure protection， China has put forward new requirements for the implementation of critical information infrastructure protection in the aspects of prevention and control system， data control. Based on domestic and foreign standards for key information infrastructure， this paper analyzes the current status of the key information infrastructure professionals， fi nds out the shortcomings and puts forward suggestions for improvement， to help build the team of key information infrastructure network security standardization workers.

Keywords： critical information infrastructure， cybersecurity， personnel team

“互聯(lián)網(wǎng)+”時代來臨，物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、區(qū)塊鏈等以網(wǎng)絡(luò)為基礎(chǔ)的新技術(shù)被應(yīng)用于各行各業(yè)，極大地改變了人類的生活方式。信息基礎(chǔ)設(shè)施作為網(wǎng)絡(luò)業(yè)務(wù)的主要載體，特別是關(guān)鍵信息基礎(chǔ)設(shè)施，承擔(dān)著公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域[1]等關(guān)乎國家安全、國計民生、公共利益的網(wǎng)絡(luò)服務(wù)，是國家重要的戰(zhàn)略資源[2]。近年來針對關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊事件頻頻發(fā)生，國家經(jīng)濟、科技甚至國家安全均面臨風(fēng)險[3]，加強關(guān)鍵信息基礎(chǔ)設(shè)施保護勢在必行。

盡管運營者的安全意識是保障關(guān)鍵信息基礎(chǔ)設(shè)施安全的第一道防線，然而在網(wǎng)絡(luò)安全防護過程中，尤其在攻防較量、重點保障、應(yīng)急處置和分析溯源的實踐過程中，不難發(fā)現(xiàn)，網(wǎng)絡(luò)安全人員才是安全防護的核心與關(guān)鍵，其素質(zhì)與能力對關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全與防護至關(guān)重要。2022年11月7日，GB/T 39204-2022《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求》的出臺不僅為運營者開展關(guān)鍵信息基礎(chǔ)設(shè)施保護工作需求提供了制度保障，更對關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全人員專業(yè)技能和持續(xù)發(fā)展提出了更高要求。故而構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全人員隊伍標準化建設(shè)體系，是當前一項全局性、戰(zhàn)略性任務(wù)。

1 我國關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全從業(yè)人員現(xiàn)狀

自認識到網(wǎng)絡(luò)安全與網(wǎng)絡(luò)信息保護的重要性以來[4]，我國從網(wǎng)絡(luò)安全學(xué)科、專業(yè)、院系建設(shè)、在職培訓(xùn)等方面加快推進網(wǎng)絡(luò)安全專業(yè)人員隊伍建設(shè)進程并取得了積極進展，網(wǎng)絡(luò)安全專業(yè)人員隊伍在一定程度上得到了擴充。此外，通過舉辦攻防演練、技能競賽等賽事提升了網(wǎng)絡(luò)安全人員的實踐技能。2016年開始，我國已經(jīng)逐步形成了屬于自己的網(wǎng)絡(luò)安全防御體系，即通過多方協(xié)同防御的方法對關(guān)鍵信息基礎(chǔ)設(shè)施中數(shù)據(jù)輸入、輸出、儲存進行的保護。在這個防御體系中，關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全人員是核心，通過內(nèi)部人員對設(shè)施中數(shù)據(jù)流量的調(diào)配，支撐關(guān)鍵信息設(shè)施的安全運行。因此，關(guān)鍵信息設(shè)施在網(wǎng)絡(luò)空間安全的競爭，歸根到底是網(wǎng)絡(luò)安全人才的競爭。

目前我國關(guān)鍵信息基礎(chǔ)網(wǎng)絡(luò)安全人員隊伍建設(shè)存在人員總量不足，教育、技術(shù)生態(tài)不完善，企業(yè)作用發(fā)揮不充分，從業(yè)人員網(wǎng)絡(luò)安全意識不強等問題。針對這些問題，參考歐美等國網(wǎng)絡(luò)安全專業(yè)人員培養(yǎng)機制，我國關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全人員隊伍建設(shè)需要從頂層設(shè)計、具體執(zhí)行體系到未來發(fā)展等方向進行全方位建設(shè)。構(gòu)建一套完善的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全人員能力評價體系，是我國網(wǎng)絡(luò)安全持續(xù)發(fā)展并終將成為網(wǎng)絡(luò)安全強國的根本保證和核心競爭力。

2 我國關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全人員培養(yǎng)模式

為提高網(wǎng)絡(luò)安全人員的實踐技能，經(jīng)過對高校、社會以及國內(nèi)外網(wǎng)絡(luò)安全從業(yè)人員培養(yǎng)模式的不斷探索，我國逐步形成了多路徑、多層次、復(fù)合型的網(wǎng)絡(luò)安全人員培養(yǎng)模式。網(wǎng)絡(luò)安全人員的培養(yǎng)，不應(yīng)僅限于對書本知識的宣貫，應(yīng)更重視通過實戰(zhàn)型的教學(xué)方式，對從業(yè)人員進行培養(yǎng)。

目前，我國部分網(wǎng)絡(luò)安全人員培養(yǎng)組織也探索出了一套實戰(zhàn)型培養(yǎng)方式。首先是暑期特訓(xùn)營模式，訓(xùn)練學(xué)員對關(guān)鍵信息基礎(chǔ)設(shè)施的安全意識。通過特訓(xùn)營的成員實戰(zhàn)分享、經(jīng)驗交流來激發(fā)學(xué)員對網(wǎng)絡(luò)安全技術(shù)知識轉(zhuǎn)化為實踐的興趣。然后，通過寒假特訓(xùn)營配合安全大賽，對學(xué)員的網(wǎng)絡(luò)安全實踐能力進行特訓(xùn)。結(jié)合理論與實踐，讓已有的網(wǎng)絡(luò)安全從業(yè)者帶領(lǐng)新生力量，提升其網(wǎng)絡(luò)安全技能。還可以利用“實戰(zhàn)特長班”和“科研創(chuàng)新班”相關(guān)培訓(xùn)班級，甚至利用網(wǎng)絡(luò)空間進行在線學(xué)習(xí)，既可以選擇自己感興趣方向，又可以強化訓(xùn)練。最后，通過企業(yè)高級安全工程師的帶領(lǐng)，學(xué)員參與具體項目的實習(xí)，為專業(yè)人員在網(wǎng)絡(luò)安全平臺貢獻技術(shù)力量提供引導(dǎo)。

3 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全人員標準化隊伍建設(shè)原則

（1）系統(tǒng)性原則

關(guān)鍵信息基礎(chǔ)設(shè)施所涉及的行業(yè)、領(lǐng)域較多。不同行業(yè)的關(guān)鍵信息基礎(chǔ)設(shè)施的關(guān)鍵業(yè)務(wù)不同，相應(yīng)的，網(wǎng)絡(luò)安全人員的技能要求側(cè)重點不同，這就導(dǎo)致對于網(wǎng)絡(luò)安全人員的能力評價不僅要涉及到各行各業(yè)的專業(yè)知識，而且要兼顧關(guān)鍵信息基礎(chǔ)設(shè)施中網(wǎng)絡(luò)安全技術(shù)環(huán)節(jié)的不同，所以關(guān)鍵信息基礎(chǔ)設(shè)施人員隊伍建設(shè)應(yīng)當具備系統(tǒng)性原則，確保實用意義。

（2）針對性原則

關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全人員評價指標體系的建立應(yīng)當考慮到關(guān)鍵崗位人員的差異性。比如國家機關(guān)的電子政務(wù)體系記載了我國政府系統(tǒng)的一些密級信息，安全系數(shù)比其他行業(yè)更高，一旦信息泄露，損失不可估量，所以對該崗位的網(wǎng)絡(luò)安全從業(yè)人員能力要求也相對要提高。因此，針對性原則是網(wǎng)絡(luò)安全專業(yè)人員隊伍建設(shè)原則之一，根據(jù)不同行業(yè)不同領(lǐng)域?qū)?yīng)的職能需求，設(shè)置不同的評價指標，使得掌握專業(yè)技能的網(wǎng)絡(luò)安全人員適用于不同行業(yè)的關(guān)鍵信息基礎(chǔ)設(shè)施保護，進一步提高網(wǎng)絡(luò)安全人員評價與建設(shè)的針對性。

（3）實用性原則

我國學(xué)歷教育培養(yǎng)的網(wǎng)絡(luò)安全人員往往在實踐操作方面存在短板，因此在進行關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全標準化人員隊伍建設(shè)時，不僅要考核人員的專業(yè)知識背景，還應(yīng)從技能應(yīng)用、個人道德修養(yǎng)等方面進行考核，考核要分清層次，確保各項考核指標符合關(guān)鍵信息基礎(chǔ)設(shè)施的政策以及使用要求，避免出現(xiàn)理論與實踐技能脫節(jié)的情況。

4 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全人員標準化隊伍建設(shè)優(yōu)化方案

（1）劃分崗位職責(zé)

《網(wǎng)絡(luò)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》強化了關(guān)鍵信息基礎(chǔ)設(shè)施運營者在保護關(guān)鍵信息基礎(chǔ)設(shè)施安全方面的主體責(zé)任[5]，同時要求運營者應(yīng)當設(shè)置專門的安全管理機構(gòu)，具體負責(zé)本單位的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作，并認定網(wǎng)絡(luò)安全關(guān)鍵崗位，組織開展網(wǎng)絡(luò)安全教育、培訓(xùn)、工作考核。

為保障關(guān)鍵信息基礎(chǔ)設(shè)施安全穩(wěn)定運行，運營者要采取技術(shù)保護措施應(yīng)對網(wǎng)絡(luò)安全事件，如制定關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期進行演練，還要及時對數(shù)據(jù)庫進行容災(zāi)備份，以維護數(shù)據(jù)的完整性、保密性和可用性。而關(guān)鍵崗位的網(wǎng)絡(luò)安全人員，不僅承擔(dān)對關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護、應(yīng)急處置，還應(yīng)當配合運營者開展網(wǎng)絡(luò)安全風(fēng)險識別認定，為預(yù)警系統(tǒng)提供有效的識別參數(shù)，建立對應(yīng)的評估制度與流程等工作。只有運營者和網(wǎng)絡(luò)安全關(guān)鍵崗位人員明確職責(zé)，在面對網(wǎng)絡(luò)安全威脅時能夠各司其職，相互配合，才能有效避免網(wǎng)絡(luò)安全事件發(fā)生。

（2）完善關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全人員知識結(jié)構(gòu)標準體系

對網(wǎng)絡(luò)安全從業(yè)人員，不同的行業(yè)領(lǐng)域?qū)W(wǎng)絡(luò)安全人員的資質(zhì)、能力、培訓(xùn)要求也不同。尤其是金融、能源、電子政務(wù)等關(guān)鍵行業(yè)的相關(guān)網(wǎng)絡(luò)信息安全規(guī)范或指南中，均明確提出了人員培訓(xùn)或資質(zhì)要求。目前，我國急需制定一套統(tǒng)一的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全從業(yè)人員認證能力評價體系和相關(guān)知識結(jié)構(gòu)標準結(jié)構(gòu)體系，通過相關(guān)體系確定各類網(wǎng)絡(luò)安全人員的主要職責(zé)及所需的知識、技能和能力標準，通過社會層面逐層落實，確保關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全人員的培養(yǎng)更加符合當前國家的戰(zhàn)略需求。

（3）完善關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全人員培訓(xùn)體系

我國關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全人員培訓(xùn)存在行業(yè)標準不統(tǒng)一、市場雜亂無序，且還受到國外人員認證培訓(xùn)機構(gòu)侵蝕的問題，這嚴重影響了我國網(wǎng)絡(luò)安全人員培訓(xùn)機構(gòu)的正常有序發(fā)展。通過完善網(wǎng)絡(luò)安全人員培訓(xùn)體系，能夠進一步規(guī)范行業(yè)市場，提高網(wǎng)絡(luò)安全人員培養(yǎng)速度和質(zhì)量，進而促進和提高我國網(wǎng)絡(luò)安全專業(yè)人員隊伍素質(zhì)和業(yè)務(wù)水平。

首先，可以對已有的關(guān)鍵信息基礎(chǔ)設(shè)施的運營商進行驗證，對使用關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)服務(wù)的人員按領(lǐng)域與經(jīng)驗進行分類，并制定不同的培訓(xùn)課程。從當前關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)使用現(xiàn)狀，可分為關(guān)鍵崗位網(wǎng)絡(luò)安全技術(shù)人員、運營者安全管理人員、決策人員三種類型。分別針對這三種類型，制定相關(guān)課程，如關(guān)鍵崗位網(wǎng)絡(luò)安全技術(shù)人員設(shè)置專業(yè)技術(shù)培訓(xùn)與考核，運營者安全管理人員設(shè)置對關(guān)鍵信息基礎(chǔ)設(shè)施系統(tǒng)框架的建設(shè)與完善相關(guān)培訓(xùn)課，決策人員的培訓(xùn)課程應(yīng)當重視關(guān)鍵信息基礎(chǔ)的整體戰(zhàn)略環(huán)境，但是，無論是哪類課程均應(yīng)當開展對關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的風(fēng)險分析和風(fēng)險應(yīng)對，以及保密與信息共享的相關(guān)規(guī)定。

其次，建立相關(guān)的激勵機制和對應(yīng)人員數(shù)據(jù)庫，鼓勵網(wǎng)絡(luò)相關(guān)從業(yè)人員參與網(wǎng)絡(luò)與信息安全資格認證考試。加大宣傳力度，舉辦全國范圍內(nèi)的網(wǎng)絡(luò)安全攻防比賽、區(qū)域網(wǎng)絡(luò)攻防比賽、高校網(wǎng)絡(luò)攻防比賽等，并設(shè)置相應(yīng)的獎勵獎項，篩選網(wǎng)絡(luò)安全人員，將人員數(shù)據(jù)錄入數(shù)據(jù)庫。

（4）優(yōu)化關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)法律法規(guī)

我國對于網(wǎng)絡(luò)安全的法律規(guī)定相對滯后，在很多方面還有待完善。因此，應(yīng)當加強對發(fā)達國家關(guān)鍵信息基礎(chǔ)設(shè)施防護以及使用服務(wù)安全的法律法規(guī)學(xué)習(xí)并加以內(nèi)化，充分考慮我國關(guān)鍵信息基礎(chǔ)設(shè)施在當前階段的實施現(xiàn)狀，優(yōu)化我國在網(wǎng)絡(luò)安全和關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)的相關(guān)法律法規(guī)尤為重要。此外，通過分析國外對我國的網(wǎng)絡(luò)攻擊案例，對其中所需要的安全保護需求進行提煉，將其轉(zhuǎn)化為相應(yīng)的法律訴求，用于優(yōu)化我國網(wǎng)絡(luò)安全與信息基礎(chǔ)設(shè)施防護的法律條款，最終建立關(guān)鍵信息基礎(chǔ)設(shè)施系統(tǒng)安全協(xié)同防護法律模型，確立協(xié)同防護法律框架。

5 結(jié) 語

保障關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全是網(wǎng)絡(luò)時代的首要任務(wù)，網(wǎng)絡(luò)安全人員隊伍的建設(shè)是數(shù)字化時代國家安全的必要選擇。通過對當前我國關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全人員從業(yè)人員的現(xiàn)狀進行分析，對當前國內(nèi)的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全人員隊伍建設(shè)提出優(yōu)化措施，通過劃分崗位職責(zé)、完善標準、培訓(xùn)認證體系、優(yōu)化相關(guān)的法律法規(guī)，推進關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全人員標準化隊伍建設(shè)，增強我國對于關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的防護效果。

參考文獻

[1]劉權(quán).我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護邁入新階段[J].網(wǎng)絡(luò)安全和信息化，2021（10）：6-8.

[2]《中國信息安全》編輯部.關(guān)鍵信息基礎(chǔ)設(shè)施保護，安全企業(yè)的認識和踐行[J].中國信息安全， 2021（9）：51-59.

[3]張維.我國網(wǎng)絡(luò)安全保護進入新階段[J].公民與法（綜合版）， 2021（8）：13-16.

[4]余曉暉.開啟關(guān)鍵信息基礎(chǔ)設(shè)施安全保護新階段[J].網(wǎng)絡(luò)傳播， 2021（8）：32-35.

[5]馮運波，李加贊，姚慶天.關(guān)于電信網(wǎng)絡(luò)關(guān)鍵信息基礎(chǔ)設(shè)施保護的思考[J].中國信息安全，2021（11）：58-61.

作者簡介

趙倩倩，碩士，工程師，研究方向為網(wǎng)絡(luò)安全、認證認可。

尤其，碩士，高級工程師，研究方向為網(wǎng)絡(luò)安全、認證認可、人員培訓(xùn)。

楊偉平，碩士研究生，工程師，研究方向為教育管理信息化、網(wǎng)絡(luò)安全。

（責(zé)任編輯：袁文靜）