赵倩倩 尤其 杨伟平
摘 要:近年来,网络技术已渗透到人们日常生活的方方面面,网络空间安全问题也随之暴露。关键信息基础设施作为网络服务的支撑系统,存储并传输着大量数据,其安全问题是网络安全的关键节点之一,尤其是随着GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》标准的发布,我国对实施关键信息基础设施保护在安全防控体系、数据管控等方面提出了全新要求。本文立足国内外关键信息基础设施的相关标准,对当前国内关键信息基础设施专业人员队伍建设的现状进行分析,找出不足并提出相关优化建议,助力我国关键信息基础设施网络安全人员标准化队伍建设。
关键词:关键信息基础设施,网络安全,人员队伍
DOI编码:10.3969/j.issn.1002-5944.2023.09.007
基金项目:本文受国家社会科学基金课题“支撑教育高质量发展的国家教育管理信息化体系研究”(课题编号:CCA210253)资助。
Cybersecurity Personnel Construction in Critical Information Infrastructure
ZHAO Qianqian YOU Qi YANG Weiping
(China Cybersecurity Review Technology and Certifi cation Center)
Abstract: In recent years, network technology has penetrated into every aspect of peoples daily life, and the problem of cyberspace security has also been exposed. As the supporting system of network service, critical information infrastructure stores and transmits a large amount of data. Its security is one of the key links of network security. After the publication of GB/T 39204-2022, Information security technology—Cybersecurity requirements for critical information infrastructure protection, China has put forward new requirements for the implementation of critical information infrastructure protection in the aspects of prevention and control system, data control. Based on domestic and foreign standards for key information infrastructure, this paper analyzes the current status of the key information infrastructure professionals, fi nds out the shortcomings and puts forward suggestions for improvement, to help build the team of key information infrastructure network security standardization workers.
Keywords: critical information infrastructure, cybersecurity, personnel team
“互聯网+”时代来临,物联网、云计算、大数据、区块链等以网络为基础的新技术被应用于各行各业,极大地改变了人类的生活方式。信息基础设施作为网络业务的主要载体,特别是关键信息基础设施,承担着公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域[1]等关乎国家安全、国计民生、公共利益的网络服务,是国家重要的战略资源[2]。近年来针对关键信息基础设施的网络攻击事件频频发生,国家经济、科技甚至国家安全均面临风险[3],加强关键信息基础设施保护势在必行。
尽管运营者的安全意识是保障关键信息基础设施安全的第一道防线,然而在网络安全防护过程中,尤其在攻防较量、重点保障、应急处置和分析溯源的实践过程中,不难发现,网络安全人员才是安全防护的核心与关键,其素质与能力对关键信息基础设施网络安全与防护至关重要。2022年11月7日,GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》的出台不仅为运营者开展关键信息基础设施保护工作需求提供了制度保障,更对关键信息基础设施网络安全人员专业技能和持续发展提出了更高要求。故而构建关键信息基础设施网络安全人员队伍标准化建设体系,是当前一项全局性、战略性任务。
1 我国关键信息基础设施网络安全从业人员现状
自认识到网络安全与网络信息保护的重要性以来[4],我国从网络安全学科、专业、院系建设、在职培训等方面加快推进网络安全专业人员队伍建设进程并取得了积极进展,网络安全专业人员队伍在一定程度上得到了扩充。此外,通过举办攻防演练、技能竞赛等赛事提升了网络安全人员的实践技能。2016年开始,我国已经逐步形成了属于自己的网络安全防御体系,即通过多方协同防御的方法对关键信息基础设施中数据输入、输出、储存进行的保护。在这个防御体系中,关键信息基础设施网络安全人员是核心,通过内部人员对设施中数据流量的调配,支撑关键信息设施的安全运行。因此,关键信息设施在网络空间安全的竞争,归根到底是网络安全人才的竞争。
目前我国关键信息基础网络安全人员队伍建设存在人员总量不足,教育、技术生态不完善,企业作用发挥不充分,从业人员网络安全意识不强等问题。针对这些问题,参考欧美等国网络安全专业人员培养机制,我国关键信息基础设施网络安全人员队伍建设需要从顶层设计、具体执行体系到未来发展等方向进行全方位建设。构建一套完善的关键信息基础设施网络安全人员能力评价体系,是我国网络安全持续发展并终将成为网络安全强国的根本保证和核心竞争力。
2 我国关键信息基础设施网络安全人员培养模式
为提高网络安全人员的实践技能,经过对高校、社会以及国内外网络安全从业人员培养模式的不断探索,我国逐步形成了多路径、多层次、复合型的网络安全人员培养模式。网络安全人员的培养,不应仅限于对书本知识的宣贯,应更重视通过实战型的教学方式,对从业人员进行培养。
目前,我国部分网络安全人员培养组织也探索出了一套实战型培养方式。首先是暑期特训营模式,训练学员对关键信息基础设施的安全意识。通过特训营的成员实战分享、经验交流来激发学员对网络安全技术知识转化为实践的兴趣。然后,通过寒假特训营配合安全大赛,对学员的网络安全实践能力进行特训。结合理论与实践,让已有的网络安全从业者带领新生力量,提升其网络安全技能。还可以利用“实战特长班”和“科研创新班”相关培训班级,甚至利用网络空间进行在线学习,既可以选择自己感兴趣方向,又可以强化训练。最后,通过企业高级安全工程师的带领,学员参与具体项目的实习,为专业人员在网络安全平台贡献技术力量提供引导。
3 关键信息基础设施网络安全人员标准化队伍建设原则
(1)系统性原则
关键信息基础设施所涉及的行业、领域较多。不同行业的关键信息基础设施的关键业务不同,相应的,网络安全人员的技能要求侧重点不同,这就导致对于网络安全人员的能力评价不仅要涉及到各行各业的专业知识,而且要兼顾关键信息基础设施中网络安全技术环节的不同,所以关键信息基础设施人员队伍建设应当具备系统性原则,确保实用意义。
(2)针对性原则
关键信息基础设施网络安全人员评价指标体系的建立应当考虑到关键岗位人员的差异性。比如国家机关的电子政务体系记载了我国政府系统的一些密级信息,安全系数比其他行业更高,一旦信息泄露,损失不可估量,所以对该岗位的网络安全从业人员能力要求也相对要提高。因此,针对性原则是网络安全专业人员队伍建设原则之一,根据不同行业不同领域对应的职能需求,设置不同的评价指标,使得掌握专业技能的网络安全人员适用于不同行业的关键信息基础设施保护,进一步提高网络安全人员评价与建设的针对性。
(3)实用性原则
我国学历教育培养的网络安全人员往往在实践操作方面存在短板,因此在进行关键信息基础设施网络安全标准化人员队伍建设时,不仅要考核人员的专业知识背景,还应从技能应用、个人道德修养等方面进行考核,考核要分清层次,确保各项考核指标符合关键信息基础设施的政策以及使用要求,避免出现理论与实践技能脱节的情况。
4 关键信息基础设施网络安全人员标准化队伍建设优化方案
(1)划分岗位职责
《网络安全法》和《关键信息基础设施安全保护条例》强化了关键信息基础设施运营者在保护关键信息基础设施安全方面的主体责任[5],同时要求运营者应当设置专门的安全管理机构,具体负责本单位的关键信息基础设施安全保护工作,并认定网络安全关键岗位,组织开展网络安全教育、培训、工作考核。
为保障关键信息基础设施安全稳定运行,运营者要采取技术保护措施应对网络安全事件,如制定关键信息基础设施网络安全事件应急预案,并定期进行演练,还要及时对数据库进行容灾备份,以维护数据的完整性、保密性和可用性。而关键岗位的网络安全人员,不仅承担对关键信息基础设施的安全防护、应急处置,还应当配合运营者开展网络安全风险识别认定,为预警系统提供有效的识别参数,建立对应的评估制度与流程等工作。只有运营者和网络安全关键岗位人员明确职责,在面对网络安全威胁时能够各司其职,相互配合,才能有效避免网络安全事件发生。
(2)完善关键信息基础设施网络安全人员知识结构标准体系
对网络安全从业人员,不同的行业领域对网络安全人员的资质、能力、培训要求也不同。尤其是金融、能源、电子政务等关键行业的相关网络信息安全规范或指南中,均明确提出了人员培训或资质要求。目前,我国急需制定一套统一的关键信息基础设施网络安全从业人员认证能力评价体系和相关知识结构标准结构体系,通过相关体系确定各类网络安全人员的主要职责及所需的知识、技能和能力标准,通过社会层面逐层落实,确保关键信息基础设施网络安全人员的培养更加符合当前国家的战略需求。
(3)完善关键信息基础设施网络安全人员培训体系
我国关键信息基础设施网络安全人员培训存在行业标准不统一、市场杂乱无序,且还受到国外人员认证培训机构侵蚀的问题,这严重影响了我国网络安全人员培训机构的正常有序发展。通过完善网络安全人员培训体系,能够进一步规范行业市场,提高网络安全人员培养速度和质量,进而促进和提高我国网络安全专业人员队伍素质和业务水平。
首先,可以对已有的关键信息基础设施的运营商进行验证,对使用关键信息基础设施网络服务的人员按领域与经验进行分类,并制定不同的培训课程。从当前关键信息基础设施网络使用现状,可分为关键岗位网络安全技术人员、运营者安全管理人员、决策人員三种类型。分别针对这三种类型,制定相关课程,如关键岗位网络安全技术人员设置专业技术培训与考核,运营者安全管理人员设置对关键信息基础设施系统框架的建设与完善相关培训课,决策人员的培训课程应当重视关键信息基础的整体战略环境,但是,无论是哪类课程均应当开展对关键信息基础设施网络安全的风险分析和风险应对,以及保密与信息共享的相关规定。
其次,建立相关的激励机制和对应人员数据库,鼓励网络相关从业人员参与网络与信息安全资格认证考试。加大宣传力度,举办全国范围内的网络安全攻防比赛、区域网络攻防比赛、高校网络攻防比赛等,并设置相应的奖励奖项,筛选网络安全人员,将人员数据录入数据库。
(4)优化关键信息基础设施相关法律法规
我国对于网络安全的法律规定相对滞后,在很多方面还有待完善。因此,应当加强对发达国家关键信息基础设施防护以及使用服务安全的法律法规学习并加以内化,充分考虑我国关键信息基础设施在当前阶段的实施现状,优化我国在网络安全和关键信息基础设施建设的相关法律法规尤为重要。此外,通过分析国外对我国的网络攻击案例,对其中所需要的安全保护需求进行提炼,将其转化为相应的法律诉求,用于优化我国网络安全与信息基础设施防护的法律条款,最终建立关键信息基础设施系统安全协同防护法律模型,确立协同防护法律框架。
5 结 语
保障关键信息基础设施网络安全是网络时代的首要任务,网络安全人员队伍的建设是数字化时代国家安全的必要选择。通过对当前我国关键信息基础设施网络安全人员从业人员的现状进行分析,对当前国内的关键信息基础设施网络安全人员队伍建设提出优化措施,通过划分岗位职责、完善标准、培训认证体系、优化相关的法律法规,推进关键信息基础设施网络安全人员标准化队伍建设,增强我国对于关键信息基础设施网络安全的防护效果。
参考文献
[1]刘权.我国关键信息基础设施安全保护迈入新阶段[J].网络安全和信息化,2021(10):6-8.
[2]《中国信息安全》编辑部.关键信息基础设施保护,安全企业的认识和践行[J].中国信息安全, 2021(9):51-59.
[3]张维.我国网络安全保护进入新阶段[J].公民与法(综合版), 2021(8):13-16.
[4]余晓晖.开启关键信息基础设施安全保护新阶段[J].网络传播, 2021(8):32-35.
[5]冯运波,李加赞,姚庆天.关于电信网络关键信息基础设施保护的思考[J].中国信息安全,2021(11):58-61.
作者简介
赵倩倩,硕士,工程师,研究方向为网络安全、认证认可。
尤其,硕士,高级工程师,研究方向为网络安全、認证认可、人员培训。
杨伟平,硕士研究生,工程师,研究方向为教育管理信息化、网络安全。
(责任编辑:袁文静)