信息安全專業(yè)培訓(xùn)體系構(gòu)建的研究論文

　　本文分析了當(dāng)前信息安全培訓(xùn)的體系結(jié)構(gòu)和分類，重點(diǎn)以CISP培訓(xùn)為例研究了信息安全保障工作所需的基礎(chǔ)、標(biāo)準(zhǔn)、法規(guī)、技術(shù)、管理和工程等領(lǐng)域的知識(shí)點(diǎn)和注冊(cè)要求，最后給出了高校信息安全專業(yè)培訓(xùn)體系構(gòu)建的相關(guān)建議。

　　信息安全是國(guó)家安全的基礎(chǔ)和關(guān)鍵，在信息安全保障的三大要素（人員、技術(shù)、管理）中，管理要素的地位和作用越來越受到重視。面對(duì)越來越嚴(yán)重的安全威脅，不單在IT技術(shù)領(lǐng)域，各行業(yè)的企業(yè)組織都越來越意識(shí)到信息安全的重要性，但單純依靠技術(shù)方案來并不能解決如何保護(hù)企業(yè)信息資產(chǎn)的問題，因此這對(duì)當(dāng)前高校的信息安全專業(yè)的人才培養(yǎng)也提出了更高的要求。

　　一、信息安全培訓(xùn)體系概況

　　信息安全培訓(xùn)作為高校信息安全專業(yè)教育的一種重要補(bǔ)充，主要用于解決學(xué)歷教育和社會(huì)實(shí)踐、社會(huì)認(rèn)證培訓(xùn)的結(jié)合、信息安全人才培養(yǎng)不規(guī)范等問題。現(xiàn)有培訓(xùn)主要可分為四類。

　　第一，安全意識(shí)培訓(xùn)：其面向機(jī)構(gòu)一般員工、非技術(shù)人員以及所有信息系統(tǒng)的用戶，目的是提高整個(gè)組織普遍的安全意識(shí)和人員安全防護(hù)能力，使組織員工充分了解既定的安全策略，并能夠切實(shí)執(zhí)行。

　　第二，安全技能培訓(xùn)：其面向機(jī)構(gòu)網(wǎng)絡(luò)和系統(tǒng)管理員、安全專職人員、技術(shù)開發(fā)人員等，目的是讓其掌握基本的安全攻防技術(shù)，提升其安全技術(shù)操作水平，培養(yǎng)解決安全問題和杜絕安全隱患的技能。

　　第三，安全管理培訓(xùn)：其面向組織的管理職能和信息系統(tǒng)、信息安全管理人員，目的是提升組織整體的信息安全管理水平和能力，幫助組織有效建立信息安全管理體系。

　　第四，認(rèn)證資質(zhì)培訓(xùn)：其針對(duì)特殊崗位所需的職能人員，包括審核部門、監(jiān)管部門、信息保障部門等。通過提供國(guó)際信息安全相關(guān)認(rèn)證考試的輔導(dǎo)培訓(xùn)，可以幫助人員順利通過考試獲得各類信息安全資質(zhì)認(rèn)證培訓(xùn)。

　　前三類認(rèn)證主要依托專業(yè)的培訓(xùn)機(jī)構(gòu)或安全設(shè)備廠商進(jìn)行。第四類培訓(xùn)是當(dāng)前培訓(xùn)的主體。

　　二、信息安全相關(guān)資質(zhì)認(rèn)證培訓(xùn)情況

　　資質(zhì)認(rèn)證類培訓(xùn)是針對(duì)資質(zhì)認(rèn)證特點(diǎn)和內(nèi)容要求設(shè)計(jì)，依托專業(yè)機(jī)構(gòu)進(jìn)行的。一些認(rèn)證的培訓(xùn)機(jī)構(gòu)是由資質(zhì)管理機(jī)構(gòu)專門指定的。當(dāng)前，信息安全相關(guān)資質(zhì)認(rèn)證主要分三類：

　　第一，國(guó)內(nèi)以信息產(chǎn)業(yè)部，信息安全評(píng)測(cè)機(jī)構(gòu)為代表的組織來管理實(shí)施的信息安全資格認(rèn)證（或與國(guó)際組織聯(lián)合頒發(fā)）；這類的認(rèn)證培訓(xùn)有：CISP培訓(xùn)、NCSE培訓(xùn)、CISM培訓(xùn)、INSPC培訓(xùn)、CIW認(rèn)證培訓(xùn)等。

　　第二，由國(guó)外軟件、網(wǎng)絡(luò)產(chǎn)品廠商自己組織管理的產(chǎn)品專家認(rèn)證（側(cè)重于廠商產(chǎn)品、技術(shù)認(rèn)證）；相關(guān)的認(rèn)證培訓(xùn)有：微軟Microsoft認(rèn)證培訓(xùn)、思科安全認(rèn)證CCSP培訓(xùn)、趨勢(shì)認(rèn)證信息安全TCSE培訓(xùn)等。

　　第三，國(guó)際權(quán)威信息安全組織、研究部門或培訓(xùn)機(jī)構(gòu)組來管理組織的國(guó)際化專業(yè)資格認(rèn)證。相關(guān)的認(rèn)證培訓(xùn)有：信息系統(tǒng)安全認(rèn)證CISSP培訓(xùn)、信息安全管理體系主任審核員ISO 27001培訓(xùn)、國(guó)際注冊(cè)信息系統(tǒng)審計(jì)師認(rèn)證CISA培訓(xùn)、國(guó)際IT運(yùn)營(yíng)與服務(wù)管理資格認(rèn)證ITIL培訓(xùn)等。

　　下面以CISP培訓(xùn)為例，分析其知識(shí)體系構(gòu)建情況。

　　CISP即“注冊(cè)信息安全專家”，是國(guó)家對(duì)信息安全人員資質(zhì)的最高認(rèn)可。其經(jīng)由中國(guó)信息安全測(cè)評(píng)中心實(shí)施國(guó)家認(rèn)證。CISP認(rèn)證和培訓(xùn)賦予如下專業(yè)資質(zhì)和能力：有關(guān)信息安全企業(yè)、咨詢服務(wù)機(jī)構(gòu)、測(cè)評(píng)認(rèn)證機(jī)構(gòu)、授權(quán)測(cè)評(píng)機(jī)構(gòu)和企事業(yè)有關(guān)信息系統(tǒng)建設(shè)、運(yùn)行和應(yīng)用管理的技術(shù)部門和標(biāo)準(zhǔn)化部門必備的專業(yè)崗位人員。

　　在整個(gè)CISP的知識(shí)體系結(jié)構(gòu)中，共包括信息安全保障概述、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標(biāo)準(zhǔn)法規(guī)這五個(gè)知識(shí)類。 CISP知識(shí)體系以信息安全保障為主線，全面覆蓋信息安全保障工作所需的基礎(chǔ)、標(biāo)準(zhǔn)、法規(guī)、技術(shù)、管理和工程等領(lǐng)域。CISP培訓(xùn)知識(shí)體系結(jié)構(gòu)共包含五個(gè)知識(shí)類，分別為：（1）信息安全保障概述：介紹了信息安全保障的框架、基本原理和實(shí)踐，它是注冊(cè)信息安全專業(yè)人員首先需要掌握的基礎(chǔ)知識(shí)。（2）信息安全技術(shù)：主要包括密碼技術(shù)、訪問控制、審計(jì)監(jiān)控等安全技術(shù)機(jī)制，網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用軟件等方面的基本安全原理和實(shí)踐，以及信息安全攻防和軟件安全開發(fā)相關(guān)的技術(shù)知識(shí)和實(shí)踐。（3）信息安全管理：主要包括信息安全管理體系建設(shè)、信息安全風(fēng)險(xiǎn)管理、安全管理措施等相關(guān)的管理知識(shí)和實(shí)踐。（4）信息安全工程：主要包括信息安全相關(guān)的工程的基本理論和實(shí)踐方法。（5）信息安全標(biāo)準(zhǔn)法規(guī)：主要包括信息安全相關(guān)的標(biāo)準(zhǔn)、法律法規(guī)、政策和道德規(guī)范，是注冊(cè)信息安全專業(yè)人員需要掌握的通用基礎(chǔ)知識(shí)。

　　CISP的注冊(cè)要求如下：

　　第一，教育與工作經(jīng)歷：碩士研究生以上，具有1年工作經(jīng)歷；或本科畢業(yè)，具有2年工作經(jīng)歷；或大專畢業(yè)，具有4年工作經(jīng)歷。

　　第二，專業(yè)工作經(jīng)歷：至少具備1年從事信息安全有關(guān)的工作經(jīng)歷。

　　第三，培訓(xùn)資格：在申請(qǐng)注冊(cè)前，成功地完成了CNITSEC或其授權(quán)培訓(xùn)機(jī)構(gòu)組織的注冊(cè)信息安全專業(yè)人員培訓(xùn)課程相應(yīng)資質(zhì)所需的分類課程，并取得培訓(xùn)合格證書。

　　第四，通過由CNITSEC舉行的注冊(cè)信息安全專業(yè)人員考試。

　　三、信息安全專業(yè)培訓(xùn)體系構(gòu)建的建議

　　1。構(gòu)建完善的高校信息安全專業(yè)人才培訓(xùn)體系

　　傳統(tǒng)的培訓(xùn)體系，比較側(cè)重于知識(shí)和技能傳授的過程控制，在對(duì)知識(shí)的共享、隱性知識(shí)的轉(zhuǎn)換等方面，已經(jīng)不能滿足當(dāng)前的要求，高�？梢酝ㄟ^借鑒、學(xué)習(xí)CISP認(rèn)證和培訓(xùn)體系結(jié)構(gòu)和CISSP認(rèn)證課程內(nèi)容設(shè)置，從信安全崗位所需的基礎(chǔ)、標(biāo)準(zhǔn)、法規(guī)、技術(shù)、管理和工程等領(lǐng)域來完善信息安 全專業(yè)人才培訓(xùn)體系。根據(jù)培訓(xùn)對(duì)象的不同將課程分為五種類型（層次）：操作層面的基本安全意識(shí)培訓(xùn)；

　　技術(shù)層面的各項(xiàng)安全技能培訓(xùn)；管理層面的信息安全管理培訓(xùn)；專家級(jí)的資質(zhì)認(rèn)證培訓(xùn)。當(dāng)然在培訓(xùn)體系里面信息安全技術(shù)方面的培訓(xùn)仍然是重點(diǎn)，為了加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施等新興重點(diǎn)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域的培訓(xùn)，可以參考思科安全認(rèn)證CCSP培訓(xùn)的模式，對(duì)當(dāng)前使用的防火墻、侵入檢測(cè)、VPN、身份驗(yàn)證和安全管理等主流網(wǎng)絡(luò)安全防護(hù)裝備進(jìn)行系統(tǒng)性的專題培訓(xùn)。

　　2。建立逐級(jí)培訓(xùn)的信息安全專業(yè)人才培訓(xùn)模式

　　當(dāng)前信息安全技術(shù)的發(fā)展日新月異，信息化的網(wǎng)絡(luò)攻防形式也發(fā)生著翻天覆地的變化，因此對(duì)于信息安全專業(yè)人員的培訓(xùn)，僅靠一兩次培訓(xùn)是遠(yuǎn)遠(yuǎn)不夠的，必須連續(xù)、有針對(duì)性的接受相應(yīng)崗位和層次的逐級(jí)培訓(xùn)，才能保證知識(shí)、能力結(jié)構(gòu)的不斷優(yōu)化和提高。在逐級(jí)培訓(xùn)過程中要明確不同職務(wù)、技術(shù)等級(jí)的不同要求，使得逐級(jí)培訓(xùn)過程級(jí)與級(jí)之間層次清晰又銜接有序。如果沒有通過低級(jí)別的培訓(xùn)、認(rèn)證，便不能參加后門高級(jí)別的培訓(xùn)。同時(shí)利用職業(yè)資格證、學(xué)歷證書、執(zhí)行證書等為牽引，通過多階段培訓(xùn)、資格培訓(xùn)、升級(jí)培訓(xùn)使得知識(shí)結(jié)構(gòu)、能力素質(zhì)、崗位需求同步發(fā)展，取得相應(yīng)的職業(yè)證書才能晉升上崗，否則不予任用。

　　3。通過合理的認(rèn)證標(biāo)準(zhǔn)來動(dòng)態(tài)更新和完善培訓(xùn)體系的目標(biāo)任務(wù)

　　只有對(duì)培訓(xùn)成果進(jìn)行合理判斷，確定受訓(xùn)人員知識(shí)技能水平的提高幅度，才能了解培訓(xùn)項(xiàng)目是否達(dá)到原定的目標(biāo)和要求，從而為進(jìn)一步改進(jìn)培訓(xùn)體系提供重要依據(jù)。通過對(duì)培訓(xùn)人員最終考評(píng)成績(jī)的分析以及部隊(duì)調(diào)研，培訓(xùn)學(xué)員信息反饋等方式，針對(duì)培訓(xùn)內(nèi)容和教學(xué)組織形式聽取意見，并及時(shí)調(diào)整，使得培訓(xùn)效果真正適應(yīng)培訓(xùn)學(xué)員的實(shí)際需求，提高培訓(xùn)效果。這樣才能在保持相對(duì)穩(wěn)定的情況下對(duì)培訓(xùn)內(nèi)容實(shí)施動(dòng)態(tài)更新，不斷完善。

【信息安全專業(yè)培訓(xùn)體系構(gòu)建的研究論文】相關(guān)文章：

保障體系構(gòu)建下的檔案信息安全的研究論文10-09

數(shù)據(jù)信息安全體系構(gòu)建論文10-09

高職信息安全保障體系構(gòu)建與運(yùn)用論文10-09

關(guān)于發(fā)電廠信息安全體系構(gòu)建的論文10-08

關(guān)于指揮信息系統(tǒng)信息安全防護(hù)體系的構(gòu)建論文10-09

金控體系下信息安全防護(hù)網(wǎng)構(gòu)建論文10-11

如何構(gòu)建計(jì)算機(jī)網(wǎng)絡(luò)信息安全體系論文10-09

本科院校教育質(zhì)量評(píng)價(jià)體系構(gòu)建研究論文10-12

計(jì)算機(jī)網(wǎng)絡(luò)信息安全體系研究論文10-12

中國(guó)建材集團(tuán)信息安全防護(hù)體系研究論文10-09