信息安全专业培训体系构建的研究论文.doc

信息安全专业培训体系构建的研究论文 本文分析了当前信息安全培训的体系结构和分类重点以CISP培训为例研究了信息安全保障工作所需的基础、标准、法规、技术、管理和工程等领域的知识点和注册要求最后给出了高校信息安全专业培训体系构建的相关建议 信息安全是国家安全的基础和关键在信息安全保障的三大要素（人员、技术、管理）中管理要素的地位和作用越来越受到重视面对越来越严重的安全威胁不单在IT技术领域各行业的企业组织都越来越意识到信息安全的重要性但单纯依靠技术方案来并不能解决如何保护企业信息资产的问题因此这对当前高校的信息安全专业的人才培养也提出了更高的要求 一、信息安全培训体系概况 信息安全培训作为高校信息安全专业教育的一种重要补充主要用于解决学历教育和社会实践、社会认证培训的结合、信息安全人才培养不规范等问题现有培训主要可分为四类 第一安全意识培训：其面向机构一般员工、非技术人员以及所有信息系统的用户目的是提高整个组织普遍的安全意识和人员安全防护能力使组织员工充分了解既定的安全策略并能够切实执行 第二安全技能培训：其面向机构网络和系统管理员、安全专职人员、技术开发人员等目的是让其掌握基本的安全攻防技术提升其安全技术操作水平培养解决安全问题和杜绝安全隐患的技能 第三安全管理培训：其面向组织的管理职能和信息系统、信息安全管理人员目的是提升组织整体的信息安全管理水平和能力帮助组织有效建立信息安全管理体系 第四认证资质培训：其针对特殊岗位所需的职能人员包括审核部门、监管部门、信息保障部门等通过提供国际信息安全相关认证考试的辅导培训可以帮助人员顺利通过考试获得各类信息安全资质认证培训 前三类认证主要依托专业的培训机构或安全设备厂商进行第四类培训是当前培训的主体 二、信息安全相关资质认证培训情况 资质认证类培训是针对资质认证特点和内容要求设计依托专业机构进行的一些认证的培训机构是由资质管理机构专门指定的当前信息安全相关资质认证主要分三类： 第一国内以信息产业部信息安全评测机构为代表的组织来管理实施的信息安全资格认证（或与国际组织联合颁发）；这类的认证培训有：CISP培训、NCSE培训、CISM培训、INSPC培训、CIW认证培训等 第二由国外软件、网络产品厂商自己组织管理的产品专家认证（侧重于厂商产品、技术认证）；相关的认证培训有：微软Microsoft认证培训、思科安全认证CCSP培训、趋势认证信息安全TCSE培训等 第三国际权威信息安全组织、研究部门或培训机构组来管理组织的国际化专业资格认证相关的认证培训有：信息系统安全认证CISSP培训、信息安全管理体系主任审核员ISO27001培训、国际注册信息系统审计师认证CISA培训、国际IT运营与服务管理资格认证ITIL培训等 下面以CISP培训为例分析其知识体系构建情况 CISP即“注册信息安全专家”是国家对信息安全人员资质的最高认可其经由中国信息安全测评中心实施国家认证CISP认证和培训赋予如下专业资质和能力：有关信息安全企业、咨询服务机构、测评认证机构、授权测评机构和企事业有关信息系统建设、运行和应用管理的技术部门和标准化部门必备的专业岗位人员 在整个CISP的知识体系结构中共包括信息安全保障概述、信息安全技术、信息安全管理、信息安全工程和信息安全标准法规这五个知识类CISP知识体系以信息安全保障为主线全面覆盖信息安全保障工作所需的基础、标准、法规、技术、管理和工程等领域CISP培训知识体系结构共包含五个知识类分别为：（1）信息安全保障概述：介绍了信息安全保障的框架、基本原理和实践它是注册信息安全专业人员首先需要掌握的基础知识（2）信息安全技术：主要包括密码技术、访问控制、审计监控等安全技术机制网络、操作系统、数据库和应用软件等方面的基本安全原理和实践以及信息安全攻防和软件安全开发相关的技术知识和实践（3）信息安全管理：主要包括信息安全管理体系建设、信息安全风险管理、安全管理措施等相关的管理知识和实践（4）信息安全工程：主要包括信息安全相关的工程的基本理论和实践方法（5）信息安全标准法规：主要包括信息安全相关的标准、法律法规、政策和道德规范是注册信息安全专业人员需要掌握的通用基础知识 CISP的注册要求如下： 第一教育与工作经历：硕士研究生以上具有1年工作经历；或本科毕业具有2年工作经历；或大专毕业具有4年工作经历 第二专业工作经历：至少具备1年从事信息安全有关的工作经历 第三培训资格：在申请注册前成功地完成了CNITSEC或其授权培训机构组织的注册信息安全专业人员培训课程相应资质所需的分类课程并取得培训合格证书 第四通过由CNITSEC举行的注册信息安全专业人员考试 三、信息安全专业培训体系构建的建议 1构建完善的高校信息安全专业人才培训体系 传统的培训体系比较侧重于知识和技能传授的过程控制在对知识的共享、隐性知识的转换等方面已经不能满足当前的要求高校可以通过借鉴、学习CISP认证和培训体系结构和CISSP认证课程内容设置从信安全岗位所需的基础、标准、法规、技术、管理和工程等领域来完善信息安全专业人才培训体系根据培训对象的不同将课程分为五种类型（层次）：操作层面的基本安全意识培训； 技术层面的各项安全技能培训；管理层面的信息安全管理培训；专家级的资质认证培训当然在培训体系里面信息安全技术方面的培训仍然是重点为了加强网络基础设施等新兴重点网络安全技术领域的培训可以参考思科安全认证CCSP培训的模式对当前使用的防火墙、侵入检测、VPN、身份验证和安全管理等主流网络安全防护装备进行系统性的专题培训 2建立逐级培训的信息安全专业人才培训模式 当前信息安全技术的发展日新月异信息化的网络攻防形式也发生着翻天覆地的变化因此对于信息安全专业人员的培训仅靠一两次培训是远远不够的必须连续、有针对性的接受相应岗位和层次的逐级培训才能保证知识、能力结构的不断优化和提高在逐级培训过程中要明确不同职务、技术等级的不同要求使得逐级培训过程级与级之间层次清晰又衔接有序如果没有通过低级别的培训、认证便不能参加后门高级别的培训同时利用职业资格证、学历证书、执行证书等为牵引通过多阶段培训、资格培训、升级培训使得知识结构、能力素质、岗位需求同步发展取得相应的职业证书才能晋升上岗否则不予任用 3通过合理的认证标准来动态更新和完善培训体系的目标任务 只有对培训成果进行合理判断确定受训人员知识技能水平的提高幅度才能了解培训项目是否