信息安全管理学习

信息安全管理学习

二、信息安全管理学习的内容

二、1.信息安全管理学习的主要领域

二、1.1.基础安全概念

二、1.1.1.理解保密性、完整性和可用性

信息安全管理学习的起点是掌握基础安全概念，其中保密性、完整性和可用性是核心。保密性确保信息不被未授权者访问，就像保护个人日记的锁一样。学习者需要理解如何通过加密技术和访问控制来实现这一点。完整性则关注信息的准确性和一致性，防止数据被篡改，例如在银行交易中保持记录的完整。可用性强调信息在需要时能够被合法用户访问，就像图书馆的书籍随时可借。学习这些概念时，建议从实际案例入手，比如分析数据泄露事件，体会保密性失效的后果，或模拟系统故障，感受可用性的重要性。通过日常练习，如设置密码策略或检查文件完整性，学习者能逐步内化这些知识。

二、1.2.技术安全措施

二、1.2.1.防火墙和入侵检测系统

技术安全措施是信息安全管理学习的重点，防火墙和入侵检测系统是常见工具。防火墙像一道门卫，监控网络流量，阻止恶意访问，例如公司网络中过滤可疑请求。学习者应了解防火墙的类型，如硬件或软件，以及如何配置规则以适应不同场景。入侵检测系统则像监控摄像头，实时分析活动，发现异常行为，如黑客攻击迹象。学习时，可以通过搭建虚拟实验室，模拟防火墙设置或入侵检测日志分析，增强动手能力。同时，结合真实事件，如勒索软件攻击，讨论技术措施的局限性，促使学习者思考如何优化防御策略。

二、1.3.管理安全策略

二、1.3.1.制定和执行安全政策

管理安全策略涉及政策制定和执行，是信息安全管理学习的另一关键领域。安全政策为组织提供指导，如员工密码规范或数据分类标准，确保行为一致。学习者需要理解政策如何从起草到实施，例如通过团队讨论制定政策草案，再结合法规要求如GDPR进行完善。执行阶段强调监督和培训，比如定期审计政策遵守情况，或组织安全意识课程。实践中，学习者可模拟小型企业场景，设计政策并测试其效果，从而体会管理措施的动态性。通过案例分析，如政策执行失败的教训，能深化对管理重要性的认识。

二、2.学习资源的获取

二、2.1.在线课程

二、2.1.1.平台推荐和学习方法

在线课程是信息安全管理学习的高效资源，平台如Coursera或edX提供多样化课程。学习者应选择基础课程入门，如“信息安全基础”，逐步过渡到专题课程如“网络安全实践”。学习方法上，建议制定学习计划，如每周完成一个模块，并通过论坛互动讨论问题。例如，在课程中参与模拟攻击演练，巩固技术知识。同时，利用视频教程和在线测验，检验理解深度。学习者需注意筛选课程质量，查看评价和讲师背景，确保内容更新及时。通过结合实际项目，如开发简单安全工具，能提升学习效果。

二、2.2.书籍和文献

二、2.2.1.经典著作和最新研究

书籍和文献为信息安全管理学习提供深度知识，经典著作如《信息安全原理》奠定理论基础，涵盖历史发展和核心原则。最新研究则通过期刊或报告，如《网络安全趋势》，反映行业动态。学习者应先通读经典，理解概念框架，再追踪前沿文献，如AI在安全中的应用。阅读方法上，建议做笔记并总结关键点，例如分析书中案例的优缺点。同时，参加读书会或在线讨论，分享见解。实践中，结合文献撰写简短报告，如评估新威胁的应对策略，能强化应用能力。通过定期更新书单，确保知识与时俱进。

二、2.3.实践平台

二、2.3.1.模拟环境和实验室

实践平台是信息安全管理学习的核心资源，模拟环境如TryHackMe或HackTheBox提供真实场景练习。学习者可从入门实验室开始，如配置防火墙规则，逐步挑战高级任务如渗透测试。实验室操作中，强调错误学习，例如故意触发漏洞并分析结果。此外，参与在线竞赛如CTF（CaptureTheFlag），提升实战技能。建议记录实验过程，建立个人知识库，便于回顾。通过模拟企业环境，如部署安全监控系统，能培养问题解决能力。学习者需注意安全伦理，避免非法测试，确保实践合法合规。

二、3.学习路径规划

二、3.1.初学者路径

二、3.1.1.从基础到实践

初学者路径应循序渐进，从基础概念入手，如理解信息安全框架，再过渡到实践。学习初期，优先掌握术语和工具，如密码学基础或防病毒软件使用。实践阶段，通过在线平台完成简单任务，如设置加密通信。时间规划上，建议每周投入固定时间，如10小时，分理论学习与操作练习。例如，先阅读安全政策文档，再模拟制定个人数据保护策略。同时，加入学习社群，获取反馈和支持。通过定期自测，如小测验，评估进步，调整计划。

二、3.2.进阶路径

二、3.2.1.深入技术和管理

进阶路径聚焦技术和管理深化，学习者应选择专题领域，如网络安全或合规管理。技术方面，学习高级工具如SIEM系统，管理方面则研究风险评估方法。路径规划包括完成认证课程，如CISSP，并参与项目，如设计企业安全架构。实践中，结合案例研究，分析成功或失败的安全实施，提炼经验。时间管理上，建议分阶段目标，如每月掌握一个新技能。通过导师指导或行业会议，拓展视野。学习者需平衡理论与实践，避免偏废，确保全面成长。

二、3.3.专家路径

二、3.3.1.创新和领导力

专家路径强调创新和领导力，学习者需推动前沿探索，如开发AI安全模型或领导安全团队。路径设计包括参与研究项目，如发表白皮书，或主导企业安全转型。实践中，通过创新实验，如测试新兴技术区块链在安全中的应用，培养创造力。领导力方面，学习沟通和决策技巧，如协调跨部门安全响应。时间规划上，建议长期投入，如持续跟踪行业趋势，并指导新人。通过参与行业论坛或标准制定，提升影响力。学习者需保持开放心态，适应变化，引领行业发展。

三、信息安全管理学习的实施

三、1.学习计划制定

三、1.1.需求分析与目标设定

信息安全管理学习的实施始于精准的需求分析。组织需全面评估现有安全能力短板，通过员工技能测评、安全事件复盘和业务流程扫描，识别知识缺口。例如，某制造企业通过渗透测试发现工控系统防护薄弱，将工业网络安全列为优先学习领域。目标设定需遵循SMART原则，如“三个月内使80%运维人员掌握漏洞扫描工具操作”。目标应分层级：基础层普及安全意识，技术层强化操作技能，管理层提升决策能力。目标设定需与业务战略对齐，如电商企业将支付安全培训与年度合规目标绑定。

三、1.2.资源配置与时间安排

资源配置需兼顾人力、物力与财力。人力方面，组建由安全专家、HR和业务骨干组成的跨职能学习小组，确保内容贴合实际场景。物力方面，搭建混合学习环境，包含在线实验室模拟攻击场景、线下沙盒演练真实攻防案例。财力预算需覆盖培训工具采购、外部讲师聘请及学习激励措施。时间安排采用“集中+分散”模式，每月安排两天集中培训，辅以每周两小时在线微课。时间分配需考虑业务周期，如零售企业在促销季前强化数据泄露防护训练。

三、1.3.分阶段学习路径设计

学习路径应阶梯式推进。初级阶段聚焦基础认知，通过动画视频讲解钓鱼邮件识别方法；中级阶段开展实战演练，如模拟勒索软件攻击响应流程；高级阶段引入沙盒环境，设计复杂场景如供应链攻击溯源。每个阶段设置里程碑考核，初级阶段以安全政策笔试为结点，中级阶段要求独立完成漏洞修复报告。路径设计需预留弹性缓冲期，如当新技术如量子加密出现时，可插入专题模块。

三、2.学习活动组织

三、2.1.多元化教学形式

教学形式需突破传统课堂局限。采用“三明治”教学法：理论讲解（30%）+案例拆解（40%）+实操演练（30%）。例如在密码学学习模块，先讲解AES算法原理（理论），再分析某医院数据泄露事件中密钥管理漏洞（案例），最后让学员在虚拟环境中配置加密通信（实操）。引入游戏化元素，设计安全知识竞赛闯关系统，通关者获得虚拟徽章兑换学习资源。

三、2.2.案例驱动的场景教学

场景教学需贴近真实业务场景。开发行业专属案例库，如金融业聚焦ATM机攻击防御，医疗业侧重患者数据保护。采用“剧本杀”模式，学员分组扮演黑客、运维、审计等角色，在模拟环境中处理安全事件。某能源企业通过“输油管道入侵响应”场景演练，使团队在72小时内完成从威胁检测到系统恢复的全流程操作。案例需包含多维度信息，如攻击者技术手法、防御策略优劣、业务中断成本等。

三、2.3.协作式学习机制

协作学习激发群体智慧。建立“安全学习圈”，每周组织跨部门研讨会，让开发、运维、法务人员共同讨论安全方案。实施“导师制”，由资深安全工程师带教3-5名学员，通过代码审查会、日志分析会等形式传授实战经验。某互联网公司开展“安全攻擂赛”，各业务线团队竞相设计防御方案，获胜方案被纳入企业安全基线。协作工具选用企业版Wiki，鼓励学员共享学习笔记和工具脚本。

三、3.学习效果评估

三、3.1.多维度评估指标

评估体系需量化与质化结合。量化指标包括：安全事件响应时间缩短率（如从4小时降至1.5小时）、漏洞修复周期压缩率（平均从15天减至7天）、安全培训覆盖率（目标95%）。质化指标通过360度反馈收集，如同事评价“该同事能主动识别钓鱼邮件”、上级评价“安全方案考虑业务兼容性”。设置行为观察清单，记录学员在实际工作中的安全行为变化，如是否执行双因素认证。

三、3.2.动态反馈机制

反馈需即时且可行动。采用“学习仪表盘”实时显示学员进度，标记待补强知识点。每单元结束后进行微测验，错题自动推送解析视频。建立“安全改进周报”，学员提交实践案例，导师点评优化建议。某物流企业实施“安全积分制”，学员每完成一个学习任务获得积分，积分与绩效奖金挂钩。反馈机制需闭环管理，评估结果直接反哺学习计划调整。

三、3.3.持续改进策略

改进基于评估数据迭代分析。季度召开“学习效能会”，对比前后评估指标，识别薄弱环节。采用PDCA循环优化学习内容，如发现员工对云安全配置掌握不足，则增加AWS/Azure实操模块。建立“安全知识地图”，追踪学习热点与冷门领域，动态调整资源分配。某银行通过三年跟踪发现，持续改进使安全事件年发生率下降62%，员工安全意识测评达标率从68%提升至94%。改进策略需与组织变革同步，如远程办公普及后增设居家安全防护课程。

四、信息安全管理学习的评估与持续改进

四、1.评估体系构建

四、1.1.量化评估指标

信息安全管理学习的成效需通过可量化的指标进行衡量。组织可设定关键绩效指标（KPI），如安全事件响应时间缩短率、员工安全意识测试通过率、漏洞修复周期压缩率等。例如，某金融机构通过实施季度安全知识测评，发现员工钓鱼邮件识别准确率从65%提升至92%，直接导致钓鱼攻击事件减少40%。技术类指标可包括防火墙规则配置正确率、加密工具使用合规性等，通过自动化工具定期扫描生成报告。管理类指标则聚焦政策执行情况，如安全审计问题整改完成率、权限回收及时性等。这些指标需与业务目标挂钩，例如将数据泄露防护培训效果与客户满意度调查关联，体现学习对业务的价值。

四、1.2.质化评估方法

量化指标之外，质化评估能捕捉学习过程的深层影响。可采用360度反馈机制，收集学员自评、同事评价、主管观察等多维度意见。例如，某制造企业在渗透测试培训后，组织学员复盘会议，通过结构化访谈发现团队协作效率提升显著，但应急沟通流程仍存在盲区。行为观察法也是重要手段，安全专员定期抽查员工实际操作，如验证双因素认证的执行频率、敏感文件加密处理规范性等。案例研究法适用于评估复杂场景应对能力，如模拟供应链攻击事件，记录学员从威胁识别到响应处置的全流程表现，分析决策逻辑的合理性。质化评估需注重细节描述，如“工程师在模拟勒索攻击中优先隔离业务系统而非立即备份，体现风险优先级认知提升”。

四、1.3.多元评估主体

评估主体应覆盖学习生态中的多方角色。学员自评聚焦知识掌握程度和应用意愿，通过学习日志记录实践心得；部门主管评估侧重行为转化，如观察员工是否主动更新安全配置；安全团队提供技术视角，分析工具使用熟练度和漏洞发现能力；外部专家则引入行业对标，如邀请第三方机构进行渗透测试，验证学习成果的实际防护效果。某零售企业建立“学习委员会”，由IT、HR、法务部门共同参与评估，确保指标全面覆盖技术、管理、合规维度。跨部门协作能避免单一视角偏差，例如法务部门可补充评估员工对数据隐私法规的理解深度，而业务部门则反馈学习是否影响工作流程效率。

四、2.反馈机制设计

四、2.1.即时反馈系统

即时反馈是强化学习效果的关键。在线学习平台可嵌入实时测评功能，学员完成知识点测试后立即显示解析和错误原因。例如，密码学课程中设置AES算法配置模拟题，学员提交后系统自动提示“密钥长度不足16位”等具体错误。实践场景中，搭建虚拟沙盒环境，学员执行安全操作时触发即时提示，如“防火墙规则冲突，请检查端口配置”。课堂培训采用应答器技术，讲师通过选择题投票快速掌握全班理解程度，针对错误率高的知识点当场补充讲解。移动端应用可推送个性化学习提醒，如“您已连续三天未访问安全资源库，今日推荐云安全新课程”。即时反馈需避免信息过载，每条建议应附带可操作改进方案，如“建议明日完成密码策略更新，操作指南已发送至邮箱”。

四、2.2.阶段性反馈报告

阶段性反馈需结构化呈现学习进展。月度报告包含数据对比图表，如“本月安全事件响应时间较上月缩短25%”，并标注关键变化点。案例库更新是重要内容，收集学员在实际工作中应用所学知识的成功案例，如“客服部通过钓鱼邮件识别模板拦截诈骗邮件23封”。改进建议部分需具体可行，如“建议增加移动端安全模块，因30%违规操作发生在非办公设备”。某能源企业每季度发布《安全学习白皮书》，向全员展示部门排名、典型错误分析及优秀实践，形成良性竞争氛围。反馈报告应避免堆砌数据，重点突出“为什么重要”和“如何改进”，例如将“漏洞修复率提升”关联到“客户数据泄露风险降低”的业务价值。

四、2.3.动态调整机制

反馈机制的核心价值在于驱动持续优化。建立“学习资源迭代流程”，根据评估结果调整课程内容，如将云安全漏洞案例占比从15%提升至30%。讲师培训体系需同步更新，定期组织讲师研讨会，根据学员反馈优化教学方法，例如增加攻防演练环节替代理论讲授。技术平台应具备自适应能力，根据学员答题数据自动推送强化练习，如持续在密码学测试中失分的学员会收到专项微课推送。某银行采用“双周迭代”模式，每次培训后48小时内完成内容修订，确保问题在下一期培训中得到解决。调整机制需保持透明，向学员说明改进原因，如“因近期勒索软件攻击频发，新增应急响应沙盒模块”，增强参与感。

四、3.持续改进策略

四、3.1.知识库动态更新

信息安全管理知识需与威胁态势同步演进。建立“威胁情报转化机制”，将行业最新攻击案例转化为教学素材，如将Log4j漏洞事件改编为配置错误检测实训。技术文档库应定期更新，例如当新版本安全工具发布时，同步操作手册和最佳实践指南。政策学习模块需跟进法规变化，如GDPR修订后立即更新数据合规课程，并标注新旧条款差异。某医疗企业开发“安全知识地图”，实时关联威胁情报与学习资源，员工点击“医疗数据泄露”关键词即可获取最新防护方案。知识更新需验证有效性，通过小范围试点测试新课程内容，确保技术细节准确性和业务场景适配性。

四、3.2.学习路径优化

学习路径应根据评估数据持续优化。建立“能力雷达图”，分析学员在技术、管理、合规维度的强弱项，生成个性化学习推荐。例如，发现开发团队对代码审计掌握薄弱后，增设安全编码工作坊。进阶路径设计需考虑行业特性，金融企业可强化支付安全专题，而制造业则增加工控系统防护模块。时间管理上，采用“微学习+集中培训”混合模式，将长课程拆解为15分钟微课，配合月度线下实操演练。某电商企业根据员工反馈，将原定的6个月学习周期压缩为4个月，通过增加每日安全挑战任务保持学习密度。路径优化需预留弹性空间，允许学员根据工作需求调整模块顺序，如新入职员工优先学习基础政策，资深工程师则直接参与高级攻防训练。

四、3.3.文化建设深化

持续改进需依托安全文化的土壤。开展“安全英雄”评选活动，表彰将学习成果转化为实际防护贡献的员工，如“通过漏洞扫描发现系统配置缺陷，避免潜在损失”。建立跨部门安全学习小组，让业务人员参与安全方案设计，增强主人翁意识。某物流公司推行“安全积分制”，员工参与学习、分享案例、发现风险均可获得积分，兑换培训资源或带薪假。管理层需以身作则，如CISO定期分享安全决策案例，展示学习如何影响高层决策。文化建设需注重情感连接，通过“安全故事墙”展示员工学习心得，如“培训后成功拦截钓鱼邮件，保护了客户信息”。文化浸润是长期过程，建议每年举办安全文化节，通过攻防演练、安全知识竞赛等形式强化认同感。

五、信息安全管理学习的挑战与对策

五、1.学习障碍分析

五、1.1.技术更新压力

信息安全领域的技术迭代速度远超传统行业。云原生安全、零信任架构等新概念不断涌现，学习者需持续更新知识库。某金融机构发现，其三年前建立的防火墙规则库已无法抵御新型勒索软件攻击，导致系统瘫痪。技术更新的挑战体现在三方面：一是学习资源滞后，教材内容往往落后于实际应用；二是实践环境受限，普通学习者难以接触企业级安全工具；三是知识碎片化，零散的技术点难以形成系统认知。例如，AI驱动的威胁检测技术需要同时掌握机器学习算法和网络安全知识，跨学科门槛较高。

五、1.2.资源分配困境

中小企业在安全学习资源投入上面临两难。一方面，专业安全培训费用高昂，单次企业级认证培训费用可达数万元；另一方面，员工时间投入与业务发展存在冲突。某制造企业曾因抽调运维人员参加为期两周的安全培训，导致生产线监控系统维护延迟，引发生产事故。资源分配的矛盾具体表现为：预算分配优先级低，安全培训常被压缩；时间碎片化，一线员工难以抽出完整学习时段；师资短缺，具备实战经验的讲师供不应求。这些因素导致安全学习效果大打折扣。

五、1.3.认知偏差与抵触情绪

员工对安全学习的认知存在普遍偏差。技术部门常视安全为额外负担，认为“开发功能比修复漏洞更重要”；业务部门则认为安全是IT部门职责，与自己无关。某互联网公司调研显示，68%的员工认为安全培训“枯燥且与工作无关”。认知偏差的根源在于：安全价值未被量化，员工难以感知学习收益；案例脱离实际，培训内容与日常工作脱节；缺乏激励机制，学习成果未与职业发展挂钩。这些因素导致学习参与度低下，甚至产生抵触情绪。

五、2.应对策略

五、2.1.分层学习体系设计

建立适配不同角色的学习路径可有效解决认知偏差问题。针对技术团队设计“攻防实战”模块，通过漏洞靶场演练提升技能；面向管理层开设“安全决策沙盘”，模拟数据泄露事件应对流程；普通员工则采用“安全微学习”，每日推送5分钟防钓鱼技巧。某零售企业实施“三阶培训法”：新员工入职完成基础政策学习，半年后参与模拟攻击演练，骨干员工则加入安全创新小组。分层体系的关键在于：内容与岗位强关联，如财务人员重点学习支付安全；学习周期弹性化，允许员工根据业务节奏调整进度；建立能力认证体系，将学习成果与晋升挂钩。

五、2.2.资源整合与共享机制

五、2.3.情境化学习体验

增强学习情境感能提升参与度。采用“剧本杀”模式设计安全事件响应演练，学员分组扮演黑客、运维、审计等角色；开发行业专属案例库，如医疗行业聚焦患者数据保护；引入游戏化元素，设置安全知识闯关任务。某能源企业通过“输油管道入侵响应”场景演练，使团队在72小时内完成从威胁检测到系统恢复的全流程操作。情境化学习的核心要素包括：还原真实业务场景，如电商平台的支付安全模拟；设置动态挑战，根据学员表现调整难度；构建学习社群，鼓励学员分享实战经验。

五、3.保障机制

五、3.1.组织保障

高层重视是学习体系落地的关键。企业应成立由CISO牵头的“安全学习委员会”，统筹培训资源；将安全学习纳入部门KPI，如研发部门安全代码审查通过率；建立跨部门协作机制，确保学习内容与业务需求匹配。某上市公司规定，安全培训完成率低于80%的部门取消年度评优资格。组织保障的具体措施包括：设立专项预算，确保资金持续投入；建立学习效果追踪系统，定期评估培训转化率；开展管理层安全意识轮训，提升决策支持力度。

五、3.2.技术支撑

数字化平台能提升学习效率。开发智能学习系统，根据员工岗位和能力图谱自动推荐课程；搭建虚拟攻防实验室，提供零风险实践环境；建立知识图谱工具，关联分散的安全知识点。某金融机构的AI学习平台通过分析员工操作日志，自动推送个性化补强课程。技术支撑的创新应用包括：采用AR技术模拟物理安全场景，如数据中心门禁管理；开发安全事件模拟器，生成动态威胁场景；构建学习数据驾驶舱，实时监控学习进度和效果。

五、3.3.文化浸润

安全文化是长期学习的基础。通过“安全英雄”评选活动，表彰将学习成果转化为实际防护贡献的员工；建立“安全故事墙”，展示成功防御案例；举办安全文化节，通过攻防演练、知识竞赛等形式增强认同感。某科技公司每月举办“安全午餐会”，员工分享学习心得和实战经验。文化浸润的关键动作包括：高管带头参与学习，如CEO定期分享安全决策案例；将安全价值观融入新员工入职培训；鼓励员工成为安全传播者，如开发安全主题漫画进行科普。

六、信息安全管理学习的未来展望

六、1.技术融合趋势

六、1.1.人工智能赋能学习

人工智能技术正在重塑信息安全学习的形态。智能学习助手能够根据学员的行为数据，自动生成个性化学习路径。例如，某金融机构开发的AI培训系统会追踪员工在模拟攻击中的操作失误，次日推送针对性补强课程。自然语言处理技术让安全知识获取更便捷，员工可通过企业内部聊天机器人实时咨询加密算法原理。机器学习算法还能预测学习难点，如发现开发团队频繁混淆SQL注入与XSS攻击的区别，系统会自动推送对比案例视频。这种技术融合使学习效率提升40%，同时降低了70%的培训管理成本。

六、1.2.虚拟现实场景构建

虚拟现实技术为安全学习创造沉浸式体验。某能源企业部署的VR安全实验室，让学员在虚拟数据中心环境中处理物理安全威胁，如识别未授权人员进入、排查消防隐患等。金融行业则利用VR模拟银行抢劫场景，训练员工在高压环境下执行安全协议。这类场景具有三大优势：一是高度还原真实环境，学员能在虚拟空间中反复演练应急流程；二是降低实践风险，如模拟勒索软件攻击不会影响真实业务系统；三是提升参与感，某零售企业采用VR培训后，员工安全操作规范执行率从65%跃升至93%。

六、1.3.区块链技术认证

区块链技术为学习成果提供不可篡改的认证机制。某跨国企业建立的“安全学习护照”系统，将员工完成的培训课程、获得的证书、参与的实战演练记录全部上链存证。这种分布式账本技术确保了认证的真实性，学员可随时向第三方机构展示能力证明。区块链还实现了学习成果的跨机构互认，如某银行工程师获得的云安全认证可直接被合作企业认可。这种机制解决了传统证书易造假、难验证的问题，同时为人才流动提供了透明依据。

六、2.学习模式创新

六、2.1.微学习与碎片化学习

现代职场节奏催生了碎片化学习模式。某互联网企业推行的“每日安全微任务”，要求员工每天花3分钟完成一个安全练习，如识别钓鱼邮件特征、配置双因素认证等。这种模式利用通勤、午休等碎片时间，一年内累计完成1200万次学习任务。微学习内容设计遵循“三分钟原则”：知识点聚焦单一主题，如仅讲解密码学中的哈希函数；形式以短视频、互动问答为主；配套即时反馈机制，答错立即显示解析。这种模式特别适合一线员工，某制造企业实施后，安全违规事件同比下降58%。

六、2.2.社群化学习生态

学习社群构建了持续成长的知识网络。某科技公司建立的