袁 禮

（北京經(jīng)濟(jì)管理職業(yè)學(xué)院信息學(xué)院，北京 102602）

履行等級(jí)保護(hù)制度是網(wǎng)絡(luò)安全法規(guī)定的法定義務(wù)，等級(jí)保護(hù)制度是國(guó)家信息安全基本國(guó)策，等級(jí)保護(hù)是網(wǎng)絡(luò)安全工作的基本方法。等級(jí)保護(hù)是中國(guó)網(wǎng)絡(luò)安全保障工作中的偉大創(chuàng)舉，為中國(guó)網(wǎng)絡(luò)安全保障工作取得了重大成就。教育培訓(xùn)是等級(jí)保護(hù)制度重要組成部分，教育培訓(xùn)是推進(jìn)等級(jí)保護(hù)工作的有力保障，教育培訓(xùn)也是落實(shí)等級(jí)保護(hù)工作的重中之重。如何構(gòu)建適應(yīng)網(wǎng)絡(luò)安全等級(jí)保護(hù)要求的教育培訓(xùn)體系，是需要高度重視和不斷完善的重點(diǎn)工作。

1 網(wǎng)絡(luò)安全教育培訓(xùn)體系的法規(guī)要求

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中對(duì)網(wǎng)絡(luò)安全教育培訓(xùn)有明確的要求：

如：

在GB/T 25058-2010《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》中對(duì)信息安全人員安全技能培訓(xùn)也有明確的要求：

如：

等保2.0中的GB/T22239-2019《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》對(duì)安全意識(shí)教育和培訓(xùn)也有詳細(xì)要求。

如：

基于上述法規(guī)標(biāo)準(zhǔn)可以看出，網(wǎng)絡(luò)運(yùn)營(yíng)者開(kāi)展網(wǎng)絡(luò)安全教育培訓(xùn)是網(wǎng)絡(luò)安全法要求的法定義務(wù)，網(wǎng)絡(luò)安全教育培訓(xùn)也是提升網(wǎng)絡(luò)安全保障能力的關(guān)鍵舉措，是網(wǎng)絡(luò)安全等級(jí)保護(hù)中不可或缺的重要工作，完整的信息安全保障體系，需要人、技術(shù)、管理三者有機(jī)結(jié)合，而這三者都離不開(kāi)有效的網(wǎng)絡(luò)安全教育培訓(xùn)。

2 如何構(gòu)建網(wǎng)絡(luò)安全教育培訓(xùn)體系

教育培訓(xùn)體系建設(shè)是個(gè)復(fù)雜的系統(tǒng)工程，有他自己的規(guī)律，網(wǎng)絡(luò)安全作為專(zhuān)業(yè)性較強(qiáng)的行業(yè)，網(wǎng)絡(luò)安全教育培訓(xùn)更需遵循一定的科學(xué)規(guī)律，考慮各方面的因素。網(wǎng)絡(luò)安全教育培訓(xùn)，一定要針對(duì)崗位，結(jié)合實(shí)踐。

如何構(gòu)建一套適合網(wǎng)絡(luò)安全等級(jí)保護(hù)的教育培訓(xùn)體系？要解決這個(gè)問(wèn)題，首先需要了解網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的主要內(nèi)容、基本流程及所涉及的主要崗位及各崗位的能力要求。按照《信息安全等級(jí)保護(hù)實(shí)施指南》，網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施的基本流程如圖1所示。

圖1 網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施基本流程

具體實(shí)施等級(jí)保護(hù)工作，有五個(gè)規(guī)定動(dòng)作：系統(tǒng)定級(jí)、備案、安全建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查。這些工作涉及到信息系統(tǒng)使用運(yùn)營(yíng)單位（甲方）、信息系統(tǒng)建設(shè)服務(wù)單位（乙方）、信息系統(tǒng)安全測(cè)評(píng)機(jī)構(gòu)（第三方）、信息系統(tǒng)安全監(jiān)管部門(mén)（監(jiān)管方）等四方面單位。大家知道，等級(jí)保護(hù)各崗位工作都是圍繞定級(jí)對(duì)象展開(kāi)，定級(jí)對(duì)象涉及的技術(shù)可能是傳統(tǒng)的信息系統(tǒng)，也可能是云計(jì)算、移動(dòng)互聯(lián)、工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)系統(tǒng)或大數(shù)據(jù)等，后續(xù)可能還有諸如5G，人工智能等不斷涌現(xiàn)的新技術(shù)。不管什么樣的定級(jí)對(duì)象，相關(guān)工作崗位都隸屬于這四個(gè)方面的單位：甲方、乙方、第三方及監(jiān)管方。

因?yàn)楣ぷ麝P(guān)系，不同單位所關(guān)注的點(diǎn)不同，相應(yīng)的工作崗位也不同：信息系統(tǒng)使用運(yùn)營(yíng)單位（甲方）主要設(shè)置的崗位有兩大類(lèi)：一類(lèi)是網(wǎng)絡(luò)安全主管領(lǐng)導(dǎo)，這類(lèi)崗位偏宏觀管控，重點(diǎn)關(guān)注網(wǎng)絡(luò)安全工作的總體領(lǐng)導(dǎo)與指導(dǎo)，重點(diǎn)需要培訓(xùn)網(wǎng)絡(luò)安全相關(guān)政策、法規(guī)、標(biāo)準(zhǔn)，確保所有工作大方向不錯(cuò)；另一類(lèi)是信息系統(tǒng)安全管理崗，如安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員等，這類(lèi)崗位重點(diǎn)關(guān)注信息系統(tǒng)規(guī)劃設(shè)計(jì)，工程過(guò)程監(jiān)督管理，日常運(yùn)行維護(hù)等，需要重點(diǎn)了解相關(guān)標(biāo)準(zhǔn)中具體的要求以方便參與或配合信息系統(tǒng)全生命周期各環(huán)節(jié)工作并能對(duì)各環(huán)節(jié)工作質(zhì)量和效果進(jìn)行準(zhǔn)確有效的監(jiān)督管理。

信息系統(tǒng)服務(wù)提供商（乙方）一般指產(chǎn)品廠商、軟件開(kāi)發(fā)商及系統(tǒng)集成商等，信息系統(tǒng)服務(wù)提供商一般開(kāi)展網(wǎng)絡(luò)安全規(guī)劃設(shè)計(jì)、網(wǎng)絡(luò)安全實(shí)施交付、網(wǎng)絡(luò)安全運(yùn)行維護(hù)、應(yīng)急響應(yīng)與保障，安全監(jiān)理等工作，這類(lèi)群體不僅需要培訓(xùn)專(zhuān)業(yè)技術(shù)也需要培養(yǎng)合規(guī)意識(shí)。其中，網(wǎng)絡(luò)安全規(guī)劃設(shè)計(jì)類(lèi)崗位一般主要從事：信息資產(chǎn)摸底及安全需求調(diào)研，網(wǎng)絡(luò)安全技術(shù)方案與管理體系規(guī)劃設(shè)計(jì)等。網(wǎng)絡(luò)安全實(shí)施交付類(lèi)崗位一般主要從事如下工作：設(shè)計(jì)實(shí)施方案，并按照實(shí)施方案對(duì)相關(guān)軟硬件進(jìn)行合理部署、配置，確保系統(tǒng)安全可控地運(yùn)轉(zhuǎn)等。網(wǎng)絡(luò)安全運(yùn)行維護(hù)類(lèi)崗位一般主要從事：網(wǎng)絡(luò)安全案事件分析與處置，日常開(kāi)展信息系統(tǒng)安全監(jiān)測(cè)與評(píng)估，數(shù)據(jù)備份與恢復(fù)，信息安全管理制度體系建設(shè)，操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備正確合理配置，定期開(kāi)展攻防演練，軟硬件系統(tǒng)的運(yùn)行與維護(hù)，工程建設(shè)項(xiàng)目監(jiān)督管理等。應(yīng)急保障崗位一般開(kāi)展如下工作：監(jiān)控監(jiān)視系統(tǒng)有效安全運(yùn)行，制定應(yīng)急預(yù)案，做好應(yīng)急物資準(zhǔn)備，發(fā)現(xiàn)突發(fā)安全問(wèn)題后能夠及時(shí)處置。安全監(jiān)督管理崗位重點(diǎn)關(guān)注：監(jiān)督管理信息安全項(xiàng)目的科學(xué)合理進(jìn)展，負(fù)責(zé)按照政策、法規(guī)、標(biāo)準(zhǔn)檢查監(jiān)督施工單位在網(wǎng)絡(luò)安全建設(shè)過(guò)程中的合規(guī)性和有效性等。

信息系統(tǒng)安全測(cè)評(píng)機(jī)構(gòu)主要指等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)、第三方軟件測(cè)試機(jī)構(gòu)、風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)等。安全測(cè)評(píng)機(jī)構(gòu)一般開(kāi)展網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估、產(chǎn)品檢測(cè)等工作，是安全合規(guī)與否的核查者檢驗(yàn)員。其中，網(wǎng)絡(luò)等級(jí)測(cè)評(píng)人員主要工作是參照等級(jí)保護(hù)基本要求及測(cè)評(píng)要求，針對(duì)被測(cè)系統(tǒng)《GB/T 22239-2019網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》中所規(guī)定的要求項(xiàng)開(kāi)展測(cè)評(píng)工作。風(fēng)險(xiǎn)評(píng)估類(lèi)崗位主要《GB/T 20984-2007參照信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》從資產(chǎn)、威脅、脆弱性等三方面去分析評(píng)估被測(cè)系統(tǒng)的風(fēng)險(xiǎn)情況及風(fēng)險(xiǎn)處理與管理等工作。安全產(chǎn)品檢測(cè)類(lèi)崗位主要工作是，基于國(guó)家相關(guān)規(guī)范標(biāo)準(zhǔn)就信息系統(tǒng)中的軟硬件產(chǎn)品進(jìn)行功能、性能和安全符合性等方面進(jìn)行檢測(cè)，以檢測(cè)報(bào)告的形式為驗(yàn)收或?yàn)橄到y(tǒng)進(jìn)一步完善提供佐證。

信息系統(tǒng)安全監(jiān)管部門(mén)主要指公安各級(jí)網(wǎng)安部門(mén)、各級(jí)網(wǎng)信辦、行業(yè)主管部門(mén)等，是網(wǎng)絡(luò)安全行業(yè)的檢驗(yàn)員與執(zhí)法官。主要關(guān)注系統(tǒng)的安全保護(hù)狀況，定期或不定期對(duì)信息系統(tǒng)開(kāi)展安全監(jiān)督與檢查，根據(jù)國(guó)家政策法規(guī)及相應(yīng)技術(shù)標(biāo)準(zhǔn)，就信息系統(tǒng)安全責(zé)任主體進(jìn)行合規(guī)性督促和檢查，并提出整改建議。

不同群體的關(guān)注點(diǎn)不一樣，需要針對(duì)不同人群設(shè)計(jì)不同的教育培訓(xùn)方案。教育培訓(xùn)最終目的是讓受訓(xùn)者有所收獲，能幫助受訓(xùn)者真正提升網(wǎng)絡(luò)安全保護(hù)能力。

目前網(wǎng)絡(luò)安全方面的教育培訓(xùn)，大致可以分為兩大類(lèi)，一類(lèi)是高等院校學(xué)歷教育的網(wǎng)絡(luò)空間安全相關(guān)專(zhuān)業(yè)，另一類(lèi)是從事網(wǎng)絡(luò)安全培訓(xùn)的專(zhuān)業(yè)機(jī)構(gòu)。目前開(kāi)設(shè)網(wǎng)絡(luò)安全類(lèi)專(zhuān)業(yè)的高校有很多所，每年還新增不少院校開(kāi)辦網(wǎng)絡(luò)安全類(lèi)專(zhuān)業(yè)，高等學(xué)歷教育院校分研究型大學(xué)和應(yīng)用型大學(xué)，研究型大學(xué)多以密碼學(xué)為核心，如北京郵電大學(xué)、武漢大學(xué)、四川大學(xué)、南開(kāi)大學(xué)等；應(yīng)用型高校以網(wǎng)絡(luò)安全攻防為核心，主要是高等職業(yè)學(xué)院或一般二本、三本學(xué)校。網(wǎng)絡(luò)安全培訓(xùn)認(rèn)證分國(guó)外認(rèn)證和國(guó)內(nèi)認(rèn)證：國(guó)外的證書(shū)，基本是民間組織協(xié)會(huì)推出的，很多證書(shū)的權(quán)威性有待考證，其中比較著名的是CISSP（Certif ication for Information System Security Professional）即信息系統(tǒng)安全專(zhuān)業(yè)認(rèn)證證書(shū)，是目前行業(yè)比較認(rèn)可的技術(shù)資質(zhì)證書(shū)。另有CIW認(rèn)證，CIW是網(wǎng)絡(luò)安全業(yè)界公認(rèn)的通用型、入門(mén)級(jí)證書(shū)，注重考生對(duì)網(wǎng)絡(luò)安全的全面了解及實(shí)際工作能力的檢驗(yàn)。還有Itil、cobit、27000等國(guó)外安全管理標(biāo)準(zhǔn)的培訓(xùn)認(rèn)證，其他還有國(guó)外安全產(chǎn)品供應(yīng)商的培訓(xùn)證書(shū)，偏重于本公司產(chǎn)品的培訓(xùn)，如思科認(rèn)證等。國(guó)內(nèi)證書(shū)也是比較繁雜，目前常見(jiàn)的主要是中國(guó)信息安全測(cè)評(píng)中心舉辦的CISP注冊(cè)信息安全專(zhuān)業(yè)人員的資格證書(shū)，申請(qǐng)安全服務(wù)資質(zhì)的機(jī)構(gòu)人員必需具備的資格條件，所以認(rèn)證人數(shù)相對(duì)較多。另有國(guó)家重要信息系統(tǒng)保護(hù)人員培訓(xùn)CIIP（Critical InformationInfrastructure Protection）系列認(rèn)證，系公安部信息安全等級(jí)保護(hù)評(píng)估中心研發(fā)的一套以等級(jí)保護(hù)為主線的系列技能認(rèn)證，純技術(shù)技能認(rèn)證，不與其他資質(zhì)認(rèn)證掛勾。另有信息安全保障人員認(rèn)證Cisaw，CISAW是中國(guó)信息安全認(rèn)證中心針對(duì)信息安全保障不同專(zhuān)業(yè)技術(shù)方向、應(yīng)用領(lǐng)域和保障崗位，依據(jù)國(guó)際標(biāo)準(zhǔn)ISO/IEC 17024《人員認(rèn)證機(jī)構(gòu)通用要求》所建立的、不同層次的信息安全保障人員認(rèn)證體系。還有一些國(guó)內(nèi)大型安全廠商基于自身產(chǎn)品線定制的技能認(rèn)證，基本上是和自己的產(chǎn)品操作有關(guān)，如華為網(wǎng)絡(luò)技術(shù)認(rèn)證，華三的技能認(rèn)證等等。這些培訓(xùn)基本上都是依據(jù)培訓(xùn)或發(fā)證機(jī)構(gòu)自身特點(diǎn)，根據(jù)市場(chǎng)需求設(shè)計(jì)的課程體系，很難完全勝任網(wǎng)絡(luò)安全等級(jí)保護(hù)工作，尤其是針對(duì)具體的工作崗位技能和具體的工作內(nèi)容方面均還需要進(jìn)一步完善。

3 等級(jí)保護(hù)工作過(guò)程中有效的教育培訓(xùn)活動(dòng)

3.1 時(shí)間上有確定的周期性的安排

一般等級(jí)保護(hù)過(guò)程中，有如下關(guān)鍵節(jié)點(diǎn)需要開(kāi)展有效的網(wǎng)絡(luò)安全教育培訓(xùn)活動(dòng)：

（1）常態(tài)化教育培訓(xùn)工作：網(wǎng)絡(luò)安全意識(shí)培訓(xùn)需要常態(tài)化舉行，網(wǎng)絡(luò)安全意識(shí)教育，可以不拘于形式，可以利用各種機(jī)會(huì)、抓住一切機(jī)會(huì)宣貫網(wǎng)絡(luò)安全法規(guī)標(biāo)準(zhǔn)，宣傳網(wǎng)絡(luò)安全事件，提升網(wǎng)絡(luò)安全意識(shí)。網(wǎng)絡(luò)安全意識(shí)的教育培訓(xùn)要覆蓋到全體人員，尤其是單位高層領(lǐng)導(dǎo)首先得帶頭學(xué)習(xí)，只有“一把手”網(wǎng)絡(luò)安全意識(shí)提高了，整個(gè)單位的網(wǎng)絡(luò)安全意識(shí)才可能提高。（2）敏感節(jié)假日及重要紀(jì)念日，需開(kāi)展網(wǎng)絡(luò)安全教育培訓(xùn)活動(dòng)，結(jié)合具體主題，宣貫網(wǎng)絡(luò)安全重要性，加強(qiáng)網(wǎng)絡(luò)安全防護(hù)手段。（3）等級(jí)保護(hù)項(xiàng)目啟動(dòng)會(huì)、反饋會(huì)、驗(yàn)收會(huì)等重要節(jié)點(diǎn)會(huì)上，需借機(jī)開(kāi)展網(wǎng)絡(luò)安全教育培訓(xùn)，結(jié)合等級(jí)保護(hù)具體工作學(xué)習(xí)，通過(guò)學(xué)習(xí)再切實(shí)提升等級(jí)保護(hù)工作實(shí)際效果。

3.2 不同目標(biāo)人群內(nèi)容要各有針對(duì)性

（1）信息系統(tǒng)運(yùn)營(yíng)使用單位，重點(diǎn)是法規(guī)標(biāo)準(zhǔn)的理解和應(yīng)用，能達(dá)到能識(shí)別能判別等級(jí)保護(hù)相關(guān)工作的質(zhì)量與效果。能夠有效配合、合理指導(dǎo)監(jiān)督網(wǎng)絡(luò)安全服務(wù)人員的實(shí)際工作。（2）信息系統(tǒng)安全建設(shè)單位，重點(diǎn)培訓(xùn)網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)要求，嚴(yán)格落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)中關(guān)于建設(shè)整改的要求，確保按照等級(jí)要求規(guī)劃建設(shè)方案，實(shí)施建設(shè)內(nèi)容。網(wǎng)絡(luò)建設(shè)單位入場(chǎng)啟動(dòng)和驗(yàn)收時(shí)必須接受網(wǎng)絡(luò)安全教育培訓(xùn)。（3）測(cè)評(píng)機(jī)構(gòu)，測(cè)評(píng)機(jī)構(gòu)除按要求實(shí)施等級(jí)測(cè)評(píng)外，在某種意義上還有指導(dǎo)信息系統(tǒng)使用運(yùn)營(yíng)單位合理開(kāi)展網(wǎng)絡(luò)安全工作的責(zé)任，所以對(duì)測(cè)評(píng)機(jī)構(gòu)相關(guān)人員的教育培訓(xùn)顯得尤為重要。測(cè)評(píng)機(jī)構(gòu)首先是要熟悉并深刻理解網(wǎng)絡(luò)安全法規(guī)標(biāo)準(zhǔn)，尤其是對(duì)GB/T 28448-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》這個(gè)標(biāo)準(zhǔn)的理解，只有深刻理解法規(guī)標(biāo)準(zhǔn)才能真正使用法規(guī)標(biāo)準(zhǔn)有效地開(kāi)展測(cè)評(píng)工作。測(cè)評(píng)機(jī)構(gòu)的服務(wù)范圍還不能只限于測(cè)評(píng)，需要給系統(tǒng)運(yùn)營(yíng)使用單位提供力所能及的安全服務(wù)，比如咨詢(xún)、培訓(xùn)、運(yùn)維指導(dǎo)等服務(wù)。所以對(duì)測(cè)評(píng)機(jī)構(gòu)人員定期開(kāi)展網(wǎng)絡(luò)安全繼續(xù)教育必不可少，這在等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)管理辦法中也有明確要求，需要嚴(yán)格執(zhí)行。（4）監(jiān)管部門(mén)，網(wǎng)絡(luò)安全監(jiān)管部門(mén)不僅是行政監(jiān)管部門(mén)，更是業(yè)務(wù)指導(dǎo)部門(mén)。監(jiān)管部門(mén)的教育培訓(xùn)程度，直接決定了網(wǎng)絡(luò)安全等級(jí)保護(hù)工作開(kāi)展的深度和質(zhì)量。監(jiān)管部門(mén)重點(diǎn)是對(duì)法規(guī)標(biāo)準(zhǔn)要深入理解，能夠熟練運(yùn)用法規(guī)標(biāo)準(zhǔn)去監(jiān)管等級(jí)保護(hù)相關(guān)工作。監(jiān)管部門(mén)相關(guān)人員由于教育培訓(xùn)不到位，可能造成監(jiān)管過(guò)松或過(guò)嚴(yán)，指導(dǎo)不精準(zhǔn)現(xiàn)象。所以監(jiān)管部門(mén)的教育培訓(xùn)也得定期認(rèn)真開(kāi)展。

4 教育培訓(xùn)體系建設(shè)建議

網(wǎng)絡(luò)安全教育培訓(xùn)是網(wǎng)絡(luò)安全工作的重中之重，各單位領(lǐng)導(dǎo)班子尤其是“一把手”必須高度重視，嚴(yán)格執(zhí)行法規(guī)標(biāo)準(zhǔn)要求。網(wǎng)絡(luò)安全教育培訓(xùn)是落實(shí)踐行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的有效保障，構(gòu)建相對(duì)完善的教育培訓(xùn)體系任重道遠(yuǎn)，必須常抓不懈。網(wǎng)絡(luò)安全教育培訓(xùn)必須有針對(duì)性，分層級(jí)、有側(cè)重、全覆蓋，培訓(xùn)內(nèi)容要落到實(shí)處，培訓(xùn)結(jié)果要取得實(shí)效。