典型发达国家信息安全培训教育评析及启示

2022-12-01 08:31
情报杂志 2022年11期
关键词:信息安全网络安全培训

李 庚 张 爽

(天津大学管理与经济学部 天津 300072)

近年来,随着信息技术的发展,在带来了方便的同时,也带来了一些安全隐患。根据信息安全工作长期形成的经验,信息安全工作主要依托人防、物防、技防开展,而物防需要人来设计,技防需要人来操作,这三者都需要处理和控制人的行为,“人”是信息安全中的关键要素,决定信息安全工作能否顺利进行,随着“网络空间的竞争,归根结底是人才竞争”观点的提出,我国更是把信息安全人才培养工作提升到了前所未有的高度,针对信息安全工作者开展专业的培训具有重要意义。国内外文献调研表明,发达国家在信息安全培训教育方面具有丰富的经验,信息安全培训起步和实践较早。其中,美国形成了较完善的信息安全培训体系,日本的信息安全培训技术发展迅速,英国的信息安全分级培训成效显著。基于此,本文以美国、日本、英国为研究对象,系统梳理世界不同地区典型发达国家的信息安全培训现状,从法规制度、管理机构、培训方法等方面总结分析,并立足我国信息安全发展现实情况,借鉴国外信息安全培训模式和先进经验,提出适合我国国情的信息安全培训建设的对策建议。

1 美国信息安全培训教育现状

1.1 美国信息安全培训教育的法规制度及管理机构

美国制定了较为系统的信息安全培训的政策法规体系,具体方案是根据政策由上而下逐级做出的。美国的信息安全管理法律体系分为3个层次,第一层为美国宪法层次;第二层是由多部包括《联邦信息安全管理法案》《国家安全法》《情报改革和防恐法》《网络安全法案》等法律在内的美国涉密信息安全法律;第三层是历届总统发布的与信息安全相关的总统令,在法规层面上指导信息安全培训开展。

2002年12月美国签署了《联邦信息安全管理法案》(FISMA),定义了保护联邦政府信息安全的框架,同时该法案指定美国国家技术与标准研究所(NIST)制定最低安全要求以保证联邦信息系统安全性。2009年12月颁布的13526号总统令,对涉密信息安全培训工作做出了强制性要求,要求由美国信息安全监督办公室(ISOO)对信息安全工作进行指导、监督,并大量增加完善了涉密信息安全培训的内容,拓展了培训的形式,加大了专项经费的投入[1]。2010年3月,美国通过《网络安全法案》,要求政府机构和私营部门加强在网络安全领域方面的信息共享, 强调通过市场手段, 鼓励培养网络安全人才[2]。2019年2月《国家安全总统备忘录》中,强调保护美国在人工智能和相关关键技术方面的优势。2019年5月颁布的13870号总统令,指出美国政府必须增强网络安全从业人员的劳动力流动性,支持网络安全技能的发展,创造必要的组织和技术工具,最大限度发挥美国网络安全人才的能力[3]。2021年5月颁布的14028号总统令,要求标准化联邦政府应对网络安全漏洞和事件的行动手册,为网络安全人员从事相关工作提供依据[4]。

为了落实信息安全教育培训的相关政策和法律法规,美国将信息安全培训具体权利分配给了多个政府部门。依据最新的《国家网络安全教育战略计划》的思路,由NIST牵头,协调国土安全部(DHS)、国防部(DoD)、国家安全局(NSA)、国务院(DoS)等相关部门参与。美国不同组织机构信息安全教育培训的具体职责如表1所示。

表1 美国各组织机构在信息安全教育培训中具体职责

1.2 美国信息安全培训教育方法

美国的信息安全培训教育注重顶层设计,是最早制定和实施信息安全培训教育战略的国家,信息安全培训教育知识内容体系随着形势的变化不断发展与完善。1998年4月,美国国家标准与技术研究院(NIST)颁布了关于信息安全技术常识和培训纲要SP800-16信息技术安全培训要求,提出了基于角色和表现的模型[7]。经历了3次修订, SP800-16不断更新完善,目前已形成较完备的信息安全培训体系框架。该模型将受训人员按不同角色和职责划分为7类,并设计4种培训模块,提出了一个教学设计模型,包括需求分析、课程设计、课程开发、培训实践和教学评估环节,这使得信息安全的培训可以迭代改进[8]。美国在信息安全培训中增设网络空间培训管理员 / 首席学习执行官一职,进一步保障信息安全工作。

美国信息安全培训在传统方法的基础上引用了新型的培训技术,具体内容如表2所示。

表2 美国信息安全培训教育方法具体内容

对美国信息安全培训教育现状的总结梳理,美国在信息安全培训工作上积累了丰富的经验,形成了完备的信息安全培训体系结构,如图1所示。美国力图通过培训促进加强全国范围内的信息安全力量,并建立一个专业的、高度熟练的信息安全队伍以应对一系列窃密风险,保障国家核心利益。

图1 美国信息安全培训体系结构

2 日本信息安全培训教育现状

2.1 日本信息安全培训教育的法规制度及管理机构

日本虽为世界上信息化程度最高、网络信息技术最发达的国家之一,但仍面临信息安全领域上的严峻挑战,因此日本从国家战略层面上不断加强信息安全顶层设计, 2000年,日本成立了“IT战略指挥部”制定了“ IT基本战略”,通过了《构建先进信息和通信网络社会基本法》,全面统筹日本信息化建设。2001年日本政府发布“电子日本”(e-Japan)战略,强调确保政府网络安全,增强公民信息安全意识。2009年日本信息安全政策委员会制定了有关新技术、政府、金融信息安全中长期规划《第二份国家信息安全战略》;2011年该委员会又颁布了《信息安全2011》;2013年发布了《网络安全合作国际战略》,致力于将日本建设成为世界一流的信息安全先进国家。 2014年日本通过《网络信息安全基本法》,设立网络信息安全战略本部,以加强政府与民间在网络安全领域的协作[10]。

为了保障信息安全,日本不断健全信息安全培训组织机构,形成了“政府—法人—地方”管理体系。在政府层面上,2018年《网络安全战略》出台,日本成立了内阁网络安全中心(NISC),负责制定国家层面信息安全人才培养规划,建立资格评价体系、组织选拔性考试与演习、提高企业经营层对安全人才的认识。NISC负责指导各省厅机构,如防卫省、警察厅、经济产业省、总务省以及管辖重要基础设施等相关省厅制定各领域内的信息安全相关行动计划与标准。第二层是半官方性质的法人机构,负责落实大部分网络安全相关规则制定与专业事务性工作,起到了政府机构与民间实施主体间的桥梁作用[11-12]。第三层是民间组织,负责人才培育、技术开发和服务运营等支援性工作,政府负责提供政策和资金上的支持[11]。另外在军方层面上,日本在2008年组建了“指挥控制通信及计算机系统司令部”,将网络防御整合到各军兵种当中并提供网络作战培训等支撑工作。

2.2 日本信息安全培训教育方法

日本信息安全培训教育方法具体内容如表3所示。

表3 日本信息安全培训教育方法具体内容

a.网络安全演习。网络安全演习是日本信息安全培训教育中一种重要的训练方法,为增强重要基础设施网络安全部门紧急事态响应能力,日本政府每年会组织各种网络安全演习。从2006年起,日本政府由内阁官房牵头,组织国内重要基础设施的主管省厅、运营商、从业机构等重要基础设施跨域演习,以保护基础设施和政府网络。并于2015年颁布《日美防卫合作指针》进一步将网络安全联合演练纳入日美合作范畴。

b.信息安全教育网站。日本通过政府官方网站或以政企结合的方式,建设信息安全教育网站大力开展信息安全教育。日本总务省、内阁网络安全中心、数据通讯协会、网络安全协会等都建设了相关网站提供信息安全基础知识和技术操作知识。除此之外,日本CCC集团还与总务省、经济产业省合作建立了反僵尸程序项目。

c.信息安全研讨会。日本政府官方组织紧跟网络技术、信息安全工作热点,在日本全国定期开展信息安全研讨会等培训教育活动。2017年日本情报推进机构召开了“日本高新技术博览会”,为提升研讨会内容的时效性和指导性,该机构以召开顾问委员会的方式了解国内外信息安全行业外专家的意见。

日本信息安全培训极为重视“官民合作”,企业、大学、智库等民间力量在培训中占有重要地位,并积极引导这些民间力量参与相关政策制定和技术研发,不断创新信息安全培训形式,目前形成了较为完备的信息安全培训体系,如图2所示。

图2 日本信息安全培训体系结构

3 英国信息安全培训教育现状

3.1 英国信息安全培训教育的法规制度及管理机构

英国作为G20国家中第一个具备抵御网络攻击能力的国家,2009 年发布首个 《英国网络信息安全战略》,并成立了旨在协调政府部门关系的“网络信息安全办公室和运行中心”,统一协调网络信息安全工作,监测网络空间安全。2011年英国发布了新版《英国网络信息安全战略》,提出了对公众进行网络安全方面的普及和强化教育、加强高水平网络安全人才队伍建设[13]。英国政府在脱欧公投之后发布了《国家网络安全战略(2016—2021)》,试图构建全新的网络信息安全模式,信息安全工作主要由政府主导,同时2016年10月英国成立国家网络安全中心(NCSC),以此作为政府主导的核心机制,致力于分享信息安全知识、为信息安全领域问题提供指导帮助,以促进政府、行业、公众之间形成有效信息安全合作关系[14],还曾推出“行业百人”人才跨界交流项目、“网络安全学徒计划”等培训项目。2011年3月发布了《信息安全保障专业人员认证框架》,对信息安全保障专业人员按不同的专业角色方向和工作职责要求进行了系统的纵向岗位门类和横向岗位级别的梳理,并明确细化了各门类、各级别岗位所需的技术能力等级要求[15]。

3.2 英国信息安全培训方法

面向不同目标受众,英国政府综合利用多种方式普及和推广网络安全意识教育, 力图满足不同受训者的需求,具体培训方法介绍如表4所示。

表4 英国信息安全培训教育方法具体介绍

第一层级是针对青少年的信息安全意识教育。结合青少年的认知特点,开发“加密玩具”的手机游戏并发起“家长信息”的在线服务[16],将家庭教育融入信息安全培训。另外针对有潜力的青少年开展前瞻式教育,启动Cyber First计划, 邀请11~17岁的青少年参加, 通过网络安全挑战赛、国家数学竞赛等各类竞赛挖掘潜在人才,培养新一代“信息安全专家”。

第二层级是面向信息安全相关专业的学历教育。将信息安全知识技能教育纳入计算机领域学位及相关资格证书中,并与教育界、行业协会、产业界等合作,协同开展信息安全教育。将网络信息安全纳入学术教育体系,于2014—2015年新增“网络间谍”硕士学位,并宣布建立两个博士培训中心(CDT)。

第三层级是面向信息安全专业人员的技能培训。由政府机构、行业协会与企业合作开展培训。2013年末,英国IT行业技能组织e-skills联合了IBM、英国石油、QinetiQ、CREST和Atos等技术公司,协同发起了关于网络安全培训的计划。2014年11月,为了进一步实施英国国家网络安全战略,英国国家信息安全保障局(CESG)创建了CCT培训项目,旨在为信息安全行业输送高水平人才。

第四层级是面向社会公众的信息安全意识培养。一是建设专门信息安全教育网站,面向公众、企业传播和普及如何应对网络安全风险与威胁的基本知识与实用工具;二是提供信息安全网上学习资源,面向公众开设介绍网络安全基本概念的入门类慕课;三是为中小型企业员工和企业主提供强化信息责任意识的网上学习课程;四是针对人力资源专业人员、采购专业人员、律师和会计师从业者的特定行业角色需求, 量身打造的不同专业门类的网络安全网上课程。

英国从国家战略层面上不断完善法规战略及培训机构,综合运用了多种培训方法,建立了全民覆盖的多层级信息安全意识教育体系,培训体系如图3所示。

图3 英国信息安全培训体系结构

4 国内外信息安全培训教育情况比较分析

信息安全一直是各国政府关注的重要领域,信息安全人才培养作为信息安全保障工作的重要一环,成为世界各国关注的重点。梳理美国、日本、英国几个典型发达国家的信息安全培训现状,可见发达国家在信息安全培训教育法规制度、管理机构、实践方法等各具特色,为我国提供了经验参考。近年来,随着我国对信息安全的重视程度不断提升,我国出台了一系列政策法规。2014年,中央国家安全委员会正式成立,“总体国家安全”随之提出。在此指导下,我国陆续出台了《关于加强网络安全学科建设和人才培养的意见》《国家网络安全战略》《网络安全法》《数据安全法》等一系列法规文件,对信息安全人才培养提出了具体要求。据此,我国探索形成了极具中国特色的培训方法,如微信公众号、APP培训平台、专题展览等,为我国信息安全培训工作的开展提供了有力支撑。

4.1 国内外信息安全培训法规制度与管理机构比较分析

通过表5的归纳,我国与典型发达国家都以国家战略高度指导信息安全培训。相较我国,典型发达国家的法规制度及管理机构具有如下特色:

表5 培训法规制度与管理机构特点分析

一是严密的信息安全法规制度体系。一方面体现在发达国家对于信息安全培训的法律法规制定起步较早,21世纪初就以国家战略视角制定了信息安全相关法律法规。另一方面发达国家信息安全培训法规制度的数量较多、质量较高且更新快,立法层面上,美国形成了多层级信息安全培训法律体系,并通过颁布总统令及时指导培训工作开展;战略层面上,日本与英国的信息安全培训战略注重与时俱进和迭代更新,为信息安全培训工作提供了坚实的保障。

二是重视信息安全国际合作培训。发达国家出台了系列信息安全培训国际合作相关法规,如2012年欧美日联合发布《政府信息安全推荐准则》,呼吁各国政府应与私营行业开展合作, 进一步推进信息安全计划。2015年,在日美“2+2”会谈的共同声明中双方明确指出,日本要加强与美国在网络安全领域的合作。

三是在政府主导下成立专门机构指导各部门开展培训。发达国家针对信息安全培训设立专门的管理机构,如美国的NIST、日本的NISC、英国的NCSC,在培训中发挥指导作用,在其指导下各国政府部门制定本领域内的信息安全培训计划与认证标准,与民间组织、企业等各司其职,密切配合,信息安全培训覆盖面较广,成效显著。

4.2 国内外信息安全培训教育方法比较分析

通过表6的总结分析,我国与典型发达国家都形成了极具本土特色的培训方法。相较我国,发达国家培训方法具备如下特色:

一是在传统培训方法基础上运用新型培训技术。发达国家信息安全培训更注重新技术的应用,以增加受训者的培训体验感,如美国和英国开发了信息安全游戏软件,而且也较为注重信息安全技术演练,如美国开设信息安全仿真训练,日本政府在经济、电力、交通等领域开展网络安全演习,英国及欧盟其他成员国联合开展信息模拟战。

二是采取信息安全角色分类培训。有针对性地设计培训方案,可以“对症下药”,提升培训效果。发达国家面向不同年龄段、不同职业等不同受众人群量身设计培训方法,如美国将信息安全人员分成了7类并据此设计不同内容的培训,英国面向青少年、大学生、专业人员、社会公众等设计了不同的培训路径,强调全员培训,而针对社会公众,日本、英国相继建设了信息安全培训网站。

三是政府与民间组织联合开展培训。发达国家在信息安全培训中更为重视政府、企业、教育界合作开展培训。美国社会组织及协会制定信息安全标准,组织有关培训,信息技术企业参与信息安全培训软件的开发;日本强调官民合作,企业、大学、智库等民间力量在日本信息安全培训占有重要地位;英国在政府主导下联合学术界、产业界、专业团体参与培训,并联合众多家企业发起信息安全培训计划。

表6 信息安全培训方法特点分析

5 启 示

在法规制度层面上,完善立法体系。典型发达国家目前已形成较为完备的信息安全培训教育的法规体系,我国信息安全培训教育法规制度建设存在一定的滞后性,在立法质量和数量上还需进一步完善,我国的信息安全培训需要在总体国家安全观的指导下逐步推进相关法律的完善,构建信息安全“大宣教”格局,加强信息安全宣传教育的顶层设计,从立法层面制定信息安全人才计划与标准。

在管理机构层面上,探索多方合作。典型发达国家信息安全培训工作政府起到倡导作用,政府致力于制度建设,而我国信息安全培训主要为政府主导。为此我国信息安全培训工作应探索多管齐下的培训教育模式,一要成立专门的信息安全培训管理中心;二要打破政府、企业、高校壁垒,形成联合培训机制,提高信息安全人才培养效率,降低人才培养成本;三要积极组织不同领域的政府部门参与到信息安全培训教育的工作中,覆盖不同领域信息安全人才的培养,为我国各领域信息安全建设工作提供保障;四要加强国际信息安全培训教育的合作。

在实践方式层面上,引入新型技术。典型发达国家在开展信息安全培训教育工作中,采用了诸如信息安全游戏、信息安全仿真模拟、网络安全演习以及在线平台建设等种类丰富的培训方法,这些先进、创新的教育方法离不了信息技术的支持,我国信息安全技术与世界先进水平还存在一些不足,需要我国大力创新信息安全培训新技术,将网络安全防护技术、主动防御技术等应用到实际培训中,面向信息安全相关人员开展网络攻防演习、基于受训者学习的兴趣改进培训方法,提升信息安全培训服务水平。

在体系建设方面上,健全培训体系。典型发达国家目前从法规制度、管理机构、实践方法等形成了较为完备的信息安全培训体系,这对我国信息安全培训工作带了一定的启示,信息安全培训工作作为一项系统工程,构建信息安全培训体系是做好工作的必然要求,形成涵盖主体责任、考核评估、培训方式、标准要求、角

色分类、机构建设的信息安全培训新格局,构建全方位、多层次、立体化的信息安全培训体系。

猜你喜欢
信息安全网络安全培训
培训通知
CIT培训学院2020线上培训正式启航
计算机网络信息安全技术研究
从五方面做好引导培训
新量子通信线路保障网络安全
计算机网络信息安全及防护策略
上网时如何注意网络安全?
高校信息安全防护
网络安全监测数据分析——2015年11月
我国拟制定网络安全法