关于建设单位网络与信息安全培训中心的思考

网络安全关键在人，加强网络安全人才队伍建设，已成为维护国家网络安全和建设网络强国任务的核心需求。建设网络强国的先决条件就是要把人才资源汇聚起来，建设一支政治强、业务精、作风好的强大队伍。

目前我国的网络安全形势严峻，网络安全事件频发，网络安全人才短缺，要“建设清朗、安全、繁荣网络空间”，首先要打好网络安全的基础，高度重视网络安全人才队伍的培养和网络安全培训机制的建立。

笔者单位所在地区的网络安全和信息化工作起步较早，基础较好。目前，单位在网络安全、大数据安全及应用安全等方面采取了一系列行之有效的措施，取得了很好效果，但在网络安全教育队伍培训和教育机制的建立上还存在不足，没有设立专门的培训机构，无法定期进行高频次、专业化的网络与信息安全培训，制约了整个网络安全建设发展。

网络安全教育培训现状与分析

国家从法律、产业和教育层面做出了实际行动。在法律层面，网络安全法第二十条规定了国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训，采取多种方式培养网络安全人才，促进网络安全人才交流；第三十四条第二款规定了定期对从业人员进行网络安全教育、技术培训和技能考核；在产业层面，由中电科、中国电子领衔的网络安全国家队和为数众多的网络安全民营公司积极响应国家的号召，进行网络安全人才培养和技术创新；在教育层面，2015年6月增设了“网络空间安全”一级学科，并制定了学位基本要求、教学质量等国家标准。

笔者单位积极响应国家政策要求，在党政机关、企事业单位范围内开展了网络安全教育培训。网络安全职能部门在全市范围内开展了网络安全法宣贯培训讲座；市等保办开展了等级保护工作相关的培训；市信安办要求所有党政机关及企事业单位从事信息安全工作的人员必须持证上岗，经过上岗培训，考核通过后，取得《信息安全员上岗证》。每年定期举行信息安全员培训，提升信息安全员网络安全意识。

单位高度重视网络安全工作，网络安全职能部门也开展了网络安全教育培训，但是也存在着如下问题：

1.知识涉及面不够广。市级层面举办的网络与信息安全培训，大部分是网络安全法、等保2.0等法律法规层面的宣贯，网络安全法律法规政策性文件还有很多，比如《关键基础设施保护条例》、《国家网络空间安全战略》等，还有一些国家标准，如《信息安全技术 信息系统安全等级保护基本要求》、《信息安全技术 信息系统安全管理要求》等，在网络与信息安全培训中提及的不多，加强国家标准的学习，可以进一步指导网络安全工作。

2.知识涉及面不够深。目前举办的网络与信息安全培训大多是法律法规的宣贯，政策文件的解读，能够提高网络安全从业人员的安全意识。但是不能满足党政机关及企事业单位所有来参加培训人员提升网络安全技能的目的。党政机关及企事业单位从事网络安全工作的人员中，有的是从事网络安全管理和网络运维的技术人员，参加培训希望能够提高网络安全技术能力和水平。如果网络安全培训只停留在法律法规政策层面的话，并不能满足他们的要求。

3.培训开展的频率不够高。网络安全是技术更新最快的行业之一，从业人员需要不断更新知识储备，学习掌握新技能，跟进前沿信息安全态势。市级层面的网络与信息安全培训，有的是一年举办一次，有的是不定期举办，不能满足不断更新网络与信息安全知识储备的要求。

4.专业性不够强。网络与信息安全培训不仅要包括法律法规、管理制度上的，还应该包括物理安全、网络安全、主机安全、数据安全和应用安全等网络安全技术类专业培训，如Linux操作系统安全培训，Oralce数据库安全管理培训等。对于这些专业培训的开展，有所欠缺。

5.没有专门的网络与信息安全培训机构。网络安全是“九龙治水”，网络安全培训的举办也存在“九龙治水”现象，各职能部门各自组织网络与信息安全培训，培训的内容也有重复和交叉，这也是一种资源浪费。市级层面的网络与信息安全培训由网络安全职能部门负责举办，如市等保办、市信安办等，存在重复培训和培训不够系统等问题，所以需要一个专门的机构来牵头组织网络与信息安全教育培训。

网络安全教育培训建议与思考

鉴于单位在网络安全教育培训和网络安全机制建设等方面存在的不足，需要从以下几个方面补充加强：

1.统筹考虑安排全市范围的网络与信息安全培训。各职能部门可以加强沟通，统筹组织网络与信息安全培训。网络安全法规定由网信部门负责统筹协调网络安全工作和相关监督管理工作，那么网络与信息安全培训工作也可以由网信部门牵头负责，各职能部门协助，可以避免重复举办、多头主办等问题。

2.扩充拓展系统化网络安全培训。目前举办的培训还只停留在法律法规的宣贯和政策文件的解读，网络安全培训应该更加系统化，网络安全不仅包括管理安全，还包括技术安全，如物理安全、网络安全、主机安全、数据安全和应用安全等，所以培训应该包括这些技术内容。网络安全虽然“七分管理、三分技术”，重在提升人员的安全意识，但也不能忽略技术的提升。

3.分级分层开展网络与信息安全培训。党政机关及企事业单位从事信息化的工作人员并非都是专职，网络安全知识与技能参差不齐，组织专业的网络安全技能培训也不受众，所以网络与信息安全培训需要分级分层次进行，比如针对全市信息安全员召开网络安全知识讲座，提升网络安全意识；针对党政机关及企事业单位从事技术管理的工作人员举办网络安全训练营，提升人员的网络安全技能。

4.组建专门的网络与信息安全培训中心。为解决市级层面网络与信息安全培训“九龙治水”现象，需要一个专门负责网络与信息安全培训的机构，牵头统筹负责网络与信息安全培训工作。

网络与信息安全培训中心建设具体方案与路径

网络与信息安全培训中心的建设可以分为三个阶段，具体如下：

1.第一个阶段是网络安全意识提升阶段。组织全市范围内的网络与信息安全讲座或者讲坛，要求党政机关及企事业单位、各县（市、区）从事信息化的工作人员参加，主要介绍网络安全法、“等保2.0”、《关键基础设施保护条例》、《信息安全技术信息系统安全等级保护基本要求》、《信息安全技术 信息系统安全管理要求》等网络安全法律法规、政策性文件、国家标准的宣贯及解读，重在提高网络安全意识。

2.第二阶段网络安全管理和运维水平提升阶段。针对市级党政机关及企事业单位和县（市、区）从事信息化的工作人员、云计算运维人员、信息资源管理中心工作人员进行网络安全管理和运维培训，如：安全管理体系、安全管理制度，物理环境、网络、操作系统、数据库、中间件等安全运维，重在提升网络安全管理与运维能力。

3.第三阶段网络安全技能提升阶段。针对党政机关及企事业单位、各县（市、区）从事信息化工作的专业技术人员（信息安全员），进行网络与信息安全脱产培训，或举办“网络安全训练营”等方式，授课内容如网络安全攻防实践、Oracle数据库安全管理、云计算安全、大数据安全等，培训时间2-3天，可以进行结业考试，成绩合格后颁发证书；结合网络攻防实训平台定期举行网络、网站运维人员和安全人员的培训和比武，提升运维人员的技术水平；定期举办全市网络安全技能大赛，邀请党政机关及企事业单位从事信息化工作的人员参加，以赛促学，进一步提升网络安全技能。

网络与信息安全培训中心第一阶段的建设，主要是提升网络安全意识，大部分内容在之前举办的培训中已经涉及，所以重点放在网络安全国家标准和案列的讲解上，如：《信息安全技术 信息系统安全管理要求》、《信息安全技术 信息系统安全保护等级定级指南》和《信息技术服务 运行维护 第1部分通用要求》等。培训中心的建设主要集中在第二阶段和第三阶段。三个阶段建设完成后，可以进行培训内容的循环，也可以进行交叉，而不是停留在一个层面上，最后形成一套完善的网络与信息安全培训体系，人员的意识、管理和技术方面都有很大程度的全面提升。