信息安全專(zhuān)業(yè)培訓體系構建的研究論文

　　本文分析了當前信息安全培訓的體系結構和分類(lèi)，重點(diǎn)以CISP培訓為例研究了信息安全保障工作所需的基礎、標準、法規、技術(shù)、管理和工程等領(lǐng)域的知識點(diǎn)和注冊要求，最后給出了高校信息安全專(zhuān)業(yè)培訓體系構建的相關(guān)建議。

　　信息安全是國家安全的基礎和關(guān)鍵，在信息安全保障的三大要素（人員、技術(shù)、管理）中，管理要素的地位和作用越來(lái)越受到重視。面對越來(lái)越嚴重的安全威脅，不單在IT技術(shù)領(lǐng)域，各行業(yè)的企業(yè)組織都越來(lái)越意識到信息安全的重要性，但單純依靠技術(shù)方案來(lái)并不能解決如何保護企業(yè)信息資產(chǎn)的問(wèn)題，因此這對當前高校的信息安全專(zhuān)業(yè)的人才培養也提出了更高的要求。

　　一、信息安全培訓體系概況

　　信息安全培訓作為高校信息安全專(zhuān)業(yè)教育的一種重要補充，主要用于解決學(xué)歷教育和社會(huì )實(shí)踐、社會(huì )認證培訓的結合、信息安全人才培養不規范等問(wèn)題�，F有培訓主要可分為四類(lèi)。

　　第一，安全意識培訓：其面向機構一般員工、非技術(shù)人員以及所有信息系統的用戶(hù)，目的是提高整個(gè)組織普遍的安全意識和人員安全防護能力，使組織員工充分了解既定的安全策略，并能夠切實(shí)執行。

　　第二，安全技能培訓：其面向機構網(wǎng)絡(luò )和系統管理員、安全專(zhuān)職人員、技術(shù)開(kāi)發(fā)人員等，目的是讓其掌握基本的安全攻防技術(shù)，提升其安全技術(shù)操作水平，培養解決安全問(wèn)題和杜絕安全隱患的技能。

　　第三，安全管理培訓：其面向組織的管理職能和信息系統、信息安全管理人員，目的是提升組織整體的信息安全管理水平和能力，幫助組織有效建立信息安全管理體系。

　　第四，認證資質(zhì)培訓：其針對特殊崗位所需的職能人員，包括審核部門(mén)、監管部門(mén)、信息保障部門(mén)等。通過(guò)提供國際信息安全相關(guān)認證考試的輔導培訓，可以幫助人員順利通過(guò)考試獲得各類(lèi)信息安全資質(zhì)認證培訓。

　　前三類(lèi)認證主要依托專(zhuān)業(yè)的培訓機構或安全設備廠(chǎng)商進(jìn)行。第四類(lèi)培訓是當前培訓的主體。

　　二、信息安全相關(guān)資質(zhì)認證培訓情況

　　資質(zhì)認證類(lèi)培訓是針對資質(zhì)認證特點(diǎn)和內容要求設計，依托專(zhuān)業(yè)機構進(jìn)行的。一些認證的培訓機構是由資質(zhì)管理機構專(zhuān)門(mén)指定的。當前，信息安全相關(guān)資質(zhì)認證主要分三類(lèi)：

　　第一，國內以信息產(chǎn)業(yè)部，信息安全評測機構為代表的組織來(lái)管理實(shí)施的信息安全資格認證（或與國際組織聯(lián)合頒發(fā)）；這類(lèi)的認證培訓有：CISP培訓、NCSE培訓、CISM培訓、INSPC培訓、CIW認證培訓等。

　　第二，由國外軟件、網(wǎng)絡(luò )產(chǎn)品廠(chǎng)商自己組織管理的產(chǎn)品專(zhuān)家認證（側重于廠(chǎng)商產(chǎn)品、技術(shù)認證）；相關(guān)的認證培訓有：微軟Microsoft認證培訓、思科安全認證CCSP培訓、趨勢認證信息安全TCSE培訓等。

　　第三，國際權威信息安全組織、研究部門(mén)或培訓機構組來(lái)管理組織的國際化專(zhuān)業(yè)資格認證。相關(guān)的認證培訓有：信息系統安全認證CISSP培訓、信息安全管理體系主任審核員ISO 27001培訓、國際注冊信息系統審計師認證CISA培訓、國際IT運營(yíng)與服務(wù)管理資格認證ITIL培訓等。

　　下面以CISP培訓為例，分析其知識體系構建情況。

　　CISP即“注冊信息安全專(zhuān)家”，是國家對信息安全人員資質(zhì)的最高認可。其經(jīng)由中國信息安全測評中心實(shí)施國家認證。CISP認證和培訓賦予如下專(zhuān)業(yè)資質(zhì)和能力：有關(guān)信息安全企業(yè)、咨詢(xún)服務(wù)機構、測評認證機構、授權測評機構和企事業(yè)有關(guān)信息系統建設、運行和應用管理的技術(shù)部門(mén)和標準化部門(mén)必備的專(zhuān)業(yè)崗位人員。

　　在整個(gè)CISP的知識體系結構中，共包括信息安全保障概述、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標準法規這五個(gè)知識類(lèi)。 CISP知識體系以信息安全保障為主線(xiàn)，全面覆蓋信息安全保障工作所需的基礎、標準、法規、技術(shù)、管理和工程等領(lǐng)域。CISP培訓知識體系結構共包含五個(gè)知識類(lèi)，分別為：（1）信息安全保障概述：介紹了信息安全保障的框架、基本原理和實(shí)踐，它是注冊信息安全專(zhuān)業(yè)人員首先需要掌握的基礎知識。（2）信息安全技術(shù)：主要包括密碼技術(shù)、訪(fǎng)問(wèn)控制、審計監控等安全技術(shù)機制，網(wǎng)絡(luò )、操作系統、數據庫和應用軟件等方面的基本安全原理和實(shí)踐，以及信息安全攻防和軟件安全開(kāi)發(fā)相關(guān)的技術(shù)知識和實(shí)踐。（3）信息安全管理：主要包括信息安全管理體系建設、信息安全風(fēng)險管理、安全管理措施等相關(guān)的管理知識和實(shí)踐。（4）信息安全工程：主要包括信息安全相關(guān)的工程的基本理論和實(shí)踐方法。（5）信息安全標準法規：主要包括信息安全相關(guān)的標準、法律法規、政策和道德規范，是注冊信息安全專(zhuān)業(yè)人員需要掌握的通用基礎知識。

　　CISP的注冊要求如下：

　　第一，教育與工作經(jīng)歷：碩士研究生以上，具有1年工作經(jīng)歷；或本科畢業(yè)，具有2年工作經(jīng)歷；或大專(zhuān)畢業(yè)，具有4年工作經(jīng)歷。

　　第二，專(zhuān)業(yè)工作經(jīng)歷：至少具備1年從事信息安全有關(guān)的工作經(jīng)歷。

　　第三，培訓資格：在申請注冊前，成功地完成了CNITSEC或其授權培訓機構組織的注冊信息安全專(zhuān)業(yè)人員培訓課程相應資質(zhì)所需的分類(lèi)課程，并取得培訓合格證書(shū)。

　　第四，通過(guò)由CNITSEC舉行的注冊信息安全專(zhuān)業(yè)人員考試。

　　三、信息安全專(zhuān)業(yè)培訓體系構建的建議

　　1。構建完善的高校信息安全專(zhuān)業(yè)人才培訓體系

　　傳統的培訓體系，比較側重于知識和技能傳授的過(guò)程控制，在對知識的共享、隱性知識的轉換等方面，已經(jīng)不能滿(mǎn)足當前的要求，高�？梢酝ㄟ^(guò)借鑒、學(xué)習CISP認證和培訓體系結構和CISSP認證課程內容設置，從信安全崗位所需的基礎、標準、法規、技術(shù)、管理和工程等領(lǐng)域來(lái)完善信息安 全專(zhuān)業(yè)人才培訓體系。根據培訓對象的不同將課程分為五種類(lèi)型（層次）：操作層面的基本安全意識培訓；

　　技術(shù)層面的各項安全技能培訓；管理層面的信息安全管理培訓；專(zhuān)家級的資質(zhì)認證培訓。當然在培訓體系里面信息安全技術(shù)方面的培訓仍然是重點(diǎn)，為了加強網(wǎng)絡(luò )基礎設施等新興重點(diǎn)網(wǎng)絡(luò )安全技術(shù)領(lǐng)域的培訓，可以參考思科安全認證CCSP培訓的模式，對當前使用的防火墻、侵入檢測、VPN、身份驗證和安全管理等主流網(wǎng)絡(luò )安全防護裝備進(jìn)行系統性的專(zhuān)題培訓。

　　2。建立逐級培訓的信息安全專(zhuān)業(yè)人才培訓模式

　　當前信息安全技術(shù)的發(fā)展日新月異，信息化的網(wǎng)絡(luò )攻防形式也發(fā)生著(zhù)翻天覆地的變化，因此對于信息安全專(zhuān)業(yè)人員的培訓，僅靠一兩次培訓是遠遠不夠的，必須連續、有針對性的接受相應崗位和層次的逐級培訓，才能保證知識、能力結構的不斷優(yōu)化和提高。在逐級培訓過(guò)程中要明確不同職務(wù)、技術(shù)等級的不同要求，使得逐級培訓過(guò)程級與級之間層次清晰又銜接有序。如果沒(méi)有通過(guò)低級別的培訓、認證，便不能參加后門(mén)高級別的培訓。同時(shí)利用職業(yè)資格證、學(xué)歷證書(shū)、執行證書(shū)等為牽引，通過(guò)多階段培訓、資格培訓、升級培訓使得知識結構、能力素質(zhì)、崗位需求同步發(fā)展，取得相應的職業(yè)證書(shū)才能晉升上崗，否則不予任用。

　　3。通過(guò)合理的認證標準來(lái)動(dòng)態(tài)更新和完善培訓體系的目標任務(wù)

　　只有對培訓成果進(jìn)行合理判斷，確定受訓人員知識技能水平的提高幅度，才能了解培訓項目是否達到原定的目標和要求，從而為進(jìn)一步改進(jìn)培訓體系提供重要依據。通過(guò)對培訓人員最終考評成績(jì)的分析以及部隊調研，培訓學(xué)員信息反饋等方式，針對培訓內容和教學(xué)組織形式聽(tīng)取意見(jiàn)，并及時(shí)調整，使得培訓效果真正適應培訓學(xué)員的實(shí)際需求，提高培訓效果。這樣才能在保持相對穩定的情況下對培訓內容實(shí)施動(dòng)態(tài)更新，不斷完善。

【信息安全專(zhuān)業(yè)培訓體系構建的研究論文】相關(guān)文章：

關(guān)于物聯(lián)網(wǎng)的信息安全技術(shù)研究論文09-29

網(wǎng)絡(luò )信息安全與防范論文05-23

網(wǎng)絡(luò )信息安全與防范論文11-05

旅游社會(huì )教育體系構建08-09

計算機信息安全論文09-15

信息安全管理論文06-20

信息安全管理論文11-10

計算機信息安全論文05-21

網(wǎng)絡(luò )信息安全與防范論文[合集]05-25

信息安全管理論文(通用)06-14