信息安全專業(yè)培訓(xùn)體系構(gòu)建的研究論文.doc

信息安全專業(yè)培訓(xùn)體系構(gòu)建的研究論文 本文分析了當前信息安全培訓(xùn)的體系結(jié)構(gòu)和分類重點以CISP培訓(xùn)為例研究了信息安全保障工作所需的基礎(chǔ)、標準、法規(guī)、技術(shù)、管理和工程等領(lǐng)域的知識點和注冊要求最后給出了高校信息安全專業(yè)培訓(xùn)體系構(gòu)建的相關(guān)建議 信息安全是國家安全的基礎(chǔ)和關(guān)鍵在信息安全保障的三大要素（人員、技術(shù)、管理）中管理要素的地位和作用越來越受到重視面對越來越嚴重的安全威脅不單在IT技術(shù)領(lǐng)域各行業(yè)的企業(yè)組織都越來越意識到信息安全的重要性但單純依靠技術(shù)方案來并不能解決如何保護企業(yè)信息資產(chǎn)的問題因此這對當前高校的信息安全專業(yè)的人才培養(yǎng)也提出了更高的要求 一、信息安全培訓(xùn)體系概況 信息安全培訓(xùn)作為高校信息安全專業(yè)教育的一種重要補充主要用于解決學(xué)歷教育和社會實踐、社會認證培訓(xùn)的結(jié)合、信息安全人才培養(yǎng)不規(guī)范等問題現(xiàn)有培訓(xùn)主要可分為四類 第一安全意識培訓(xùn)：其面向機構(gòu)一般員工、非技術(shù)人員以及所有信息系統(tǒng)的用戶目的是提高整個組織普遍的安全意識和人員安全防護能力使組織員工充分了解既定的安全策略并能夠切實執(zhí)行 第二安全技能培訓(xùn)：其面向機構(gòu)網(wǎng)絡(luò)和系統(tǒng)管理員、安全專職人員、技術(shù)開發(fā)人員等目的是讓其掌握基本的安全攻防技術(shù)提升其安全技術(shù)操作水平培養(yǎng)解決安全問題和杜絕安全隱患的技能 第三安全管理培訓(xùn)：其面向組織的管理職能和信息系統(tǒng)、信息安全管理人員目的是提升組織整體的信息安全管理水平和能力幫助組織有效建立信息安全管理體系 第四認證資質(zhì)培訓(xùn)：其針對特殊崗位所需的職能人員包括審核部門、監(jiān)管部門、信息保障部門等通過提供國際信息安全相關(guān)認證考試的輔導(dǎo)培訓(xùn)可以幫助人員順利通過考試獲得各類信息安全資質(zhì)認證培訓(xùn) 前三類認證主要依托專業(yè)的培訓(xùn)機構(gòu)或安全設(shè)備廠商進行第四類培訓(xùn)是當前培訓(xùn)的主體 二、信息安全相關(guān)資質(zhì)認證培訓(xùn)情況 資質(zhì)認證類培訓(xùn)是針對資質(zhì)認證特點和內(nèi)容要求設(shè)計依托專業(yè)機構(gòu)進行的一些認證的培訓(xùn)機構(gòu)是由資質(zhì)管理機構(gòu)專門指定的當前信息安全相關(guān)資質(zhì)認證主要分三類： 第一國內(nèi)以信息產(chǎn)業(yè)部信息安全評測機構(gòu)為代表的組織來管理實施的信息安全資格認證（或與國際組織聯(lián)合頒發(fā)）；這類的認證培訓(xùn)有：CISP培訓(xùn)、NCSE培訓(xùn)、CISM培訓(xùn)、INSPC培訓(xùn)、CIW認證培訓(xùn)等 第二由國外軟件、網(wǎng)絡(luò)產(chǎn)品廠商自己組織管理的產(chǎn)品專家認證（側(cè)重于廠商產(chǎn)品、技術(shù)認證）；相關(guān)的認證培訓(xùn)有：微軟Microsoft認證培訓(xùn)、思科安全認證CCSP培訓(xùn)、趨勢認證信息安全TCSE培訓(xùn)等 第三國際權(quán)威信息安全組織、研究部門或培訓(xùn)機構(gòu)組來管理組織的國際化專業(yè)資格認證相關(guān)的認證培訓(xùn)有：信息系統(tǒng)安全認證CISSP培訓(xùn)、信息安全管理體系主任審核員ISO27001培訓(xùn)、國際注冊信息系統(tǒng)審計師認證CISA培訓(xùn)、國際IT運營與服務(wù)管理資格認證ITIL培訓(xùn)等 下面以CISP培訓(xùn)為例分析其知識體系構(gòu)建情況 CISP即“注冊信息安全專家”是國家對信息安全人員資質(zhì)的最高認可其經(jīng)由中國信息安全測評中心實施國家認證CISP認證和培訓(xùn)賦予如下專業(yè)資質(zhì)和能力：有關(guān)信息安全企業(yè)、咨詢服務(wù)機構(gòu)、測評認證機構(gòu)、授權(quán)測評機構(gòu)和企事業(yè)有關(guān)信息系統(tǒng)建設(shè)、運行和應(yīng)用管理的技術(shù)部門和標準化部門必備的專業(yè)崗位人員 在整個CISP的知識體系結(jié)構(gòu)中共包括信息安全保障概述、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標準法規(guī)這五個知識類CISP知識體系以信息安全保障為主線全面覆蓋信息安全保障工作所需的基礎(chǔ)、標準、法規(guī)、技術(shù)、管理和工程等領(lǐng)域CISP培訓(xùn)知識體系結(jié)構(gòu)共包含五個知識類分別為：（1）信息安全保障概述：介紹了信息安全保障的框架、基本原理和實踐它是注冊信息安全專業(yè)人員首先需要掌握的基礎(chǔ)知識（2）信息安全技術(shù)：主要包括密碼技術(shù)、訪問控制、審計監(jiān)控等安全技術(shù)機制網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用軟件等方面的基本安全原理和實踐以及信息安全攻防和軟件安全開發(fā)相關(guān)的技術(shù)知識和實踐（3）信息安全管理：主要包括信息安全管理體系建設(shè)、信息安全風(fēng)險管理、安全管理措施等相關(guān)的管理知識和實踐（4）信息安全工程：主要包括信息安全相關(guān)的工程的基本理論和實踐方法（5）信息安全標準法規(guī)：主要包括信息安全相關(guān)的標準、法律法規(guī)、政策和道德規(guī)范是注冊信息安全專業(yè)人員需要掌握的通用基礎(chǔ)知識 CISP的注冊要求如下： 第一教育與工作經(jīng)歷：碩士研究生以上具有1年工作經(jīng)歷；或本科畢業(yè)具有2年工作經(jīng)歷；或大專畢業(yè)具有4年工作經(jīng)歷 第二專業(yè)工作經(jīng)歷：至少具備1年從事信息安全有關(guān)的工作經(jīng)歷 第三培訓(xùn)資格：在申請注冊前成功地完成了CNITSEC或其授權(quán)培訓(xùn)機構(gòu)組織的注冊信息安全專業(yè)人員培訓(xùn)課程相應(yīng)資質(zhì)所需的分類課程并取得培訓(xùn)合格證書 第四通過由CNITSEC舉行的注冊信息安全專業(yè)人員考試 三、信息安全專業(yè)培訓(xùn)體系構(gòu)建的建議 1構(gòu)建完善的高校信息安全專業(yè)人才培訓(xùn)體系 傳統(tǒng)的培訓(xùn)體系比較側(cè)重于知識和技能傳授的過程控制在對知識的共享、隱性知識的轉(zhuǎn)換等方面已經(jīng)不能滿足當前的要求高校可以通過借鑒、學(xué)習(xí)CISP認證和培訓(xùn)體系結(jié)構(gòu)和CISSP認證課程內(nèi)容設(shè)置從信安全崗位所需的基礎(chǔ)、標準、法規(guī)、技術(shù)、管理和工程等領(lǐng)域來完善信息安全專業(yè)人才培訓(xùn)體系根據(jù)培訓(xùn)對象的不同將課程分為五種類型（層次）：操作層面的基本安全意識培訓(xùn)； 技術(shù)層面的各項安全技能培訓(xùn)；管理層面的信息安全管理培訓(xùn)；專家級的資質(zhì)認證培訓(xùn)當然在培訓(xùn)體系里面信息安全技術(shù)方面的培訓(xùn)仍然是重點為了加強網(wǎng)絡(luò)基礎(chǔ)設(shè)施等新興重點網(wǎng)絡(luò)安全技術(shù)領(lǐng)域的培訓(xùn)可以參考思科安全認證CCSP培訓(xùn)的模式對當前使用的防火墻、侵入檢測、VPN、身份驗證和安全管理等主流網(wǎng)絡(luò)安全防護裝備進行系統(tǒng)性的專題培訓(xùn) 2建立逐級培訓(xùn)的信息安全專業(yè)人才培訓(xùn)模式 當前信息安全技術(shù)的發(fā)展日新月異信息化的網(wǎng)絡(luò)攻防形式也發(fā)生著翻天覆地的變化因此對于信息安全專業(yè)人員的培訓(xùn)僅靠一兩次培訓(xùn)是遠遠不夠的必須連續(xù)、有針對性的接受相應(yīng)崗位和層次的逐級培訓(xùn)才能保證知識、能力結(jié)構(gòu)的不斷優(yōu)化和提高在逐級培訓(xùn)過程中要明確不同職務(wù)、技術(shù)等級的不同要求使得逐級培訓(xùn)過程級與級之間層次清晰又銜接有序如果沒有通過低級別的培訓(xùn)、認證便不能參加后門高級別的培訓(xùn)同時利用職業(yè)資格證、學(xué)歷證書、執(zhí)行證書等為牽引通過多階段培訓(xùn)、資格培訓(xùn)、升級培訓(xùn)使得知識結(jié)構(gòu)、能力素質(zhì)、崗位需求同步發(fā)展取得相應(yīng)的職業(yè)證書才能晉升上崗否則不予任用 3通過合理的認證標準來動態(tài)更新和完善培訓(xùn)體系的目標任務(wù) 只有對培訓(xùn)成果進行合理判斷確定受訓(xùn)人員知識技能水平的提高幅度才能了解培訓(xùn)項目是否