信息安全專業(yè)培訓(xùn)體系構(gòu)建的研究論文

　　本文分析了當(dāng)前信息安全培訓(xùn)的體系結(jié)構(gòu)和分類，重點以CISP培訓(xùn)為例研究了信息安全保障工作所需的基礎(chǔ)、標(biāo)準、法規(guī)、技術(shù)、管理和工程等領(lǐng)域的知識點和注冊要求，最后給出了高校信息安全專業(yè)培訓(xùn)體系構(gòu)建的相關(guān)建議。

　　信息安全是國家安全的基礎(chǔ)和關(guān)鍵，在信息安全保障的三大要素（人員、技術(shù)、管理）中，管理要素的地位和作用越來越受到重視。面對越來越嚴重的安全威脅，不單在IT技術(shù)領(lǐng)域，各行業(yè)的企業(yè)組織都越來越意識到信息安全的重要性，但單純依靠技術(shù)方案來并不能解決如何保護企業(yè)信息資產(chǎn)的問題，因此這對當(dāng)前高校的信息安全專業(yè)的人才培養(yǎng)也提出了更高的要求。

　　一、信息安全培訓(xùn)體系概況

　　信息安全培訓(xùn)作為高校信息安全專業(yè)教育的一種重要補充，主要用于解決學(xué)歷教育和社會實踐、社會認證培訓(xùn)的結(jié)合、信息安全人才培養(yǎng)不規(guī)范等問題�，F(xiàn)有培訓(xùn)主要可分為四類。

　　第一，安全意識培訓(xùn)：其面向機構(gòu)一般員工、非技術(shù)人員以及所有信息系統(tǒng)的用戶，目的是提高整個組織普遍的安全意識和人員安全防護能力，使組織員工充分了解既定的安全策略，并能夠切實執(zhí)行。

　　第二，安全技能培訓(xùn)：其面向機構(gòu)網(wǎng)絡(luò)和系統(tǒng)管理員、安全專職人員、技術(shù)開發(fā)人員等，目的是讓其掌握基本的安全攻防技術(shù)，提升其安全技術(shù)操作水平，培養(yǎng)解決安全問題和杜絕安全隱患的技能。

　　第三，安全管理培訓(xùn)：其面向組織的管理職能和信息系統(tǒng)、信息安全管理人員，目的是提升組織整體的信息安全管理水平和能力，幫助組織有效建立信息安全管理體系。

　　第四，認證資質(zhì)培訓(xùn)：其針對特殊崗位所需的職能人員，包括審核部門、監(jiān)管部門、信息保障部門等。通過提供國際信息安全相關(guān)認證考試的輔導(dǎo)培訓(xùn)，可以幫助人員順利通過考試獲得各類信息安全資質(zhì)認證培訓(xùn)。

　　前三類認證主要依托專業(yè)的培訓(xùn)機構(gòu)或安全設(shè)備廠商進行。第四類培訓(xùn)是當(dāng)前培訓(xùn)的主體。

　　二、信息安全相關(guān)資質(zhì)認證培訓(xùn)情況

　　資質(zhì)認證類培訓(xùn)是針對資質(zhì)認證特點和內(nèi)容要求設(shè)計，依托專業(yè)機構(gòu)進行的。一些認證的培訓(xùn)機構(gòu)是由資質(zhì)管理機構(gòu)專門指定的。當(dāng)前，信息安全相關(guān)資質(zhì)認證主要分三類：

　　第一，國內(nèi)以信息產(chǎn)業(yè)部，信息安全評測機構(gòu)為代表的組織來管理實施的信息安全資格認證（或與國際組織聯(lián)合頒發(fā)）；這類的認證培訓(xùn)有：CISP培訓(xùn)、NCSE培訓(xùn)、CISM培訓(xùn)、INSPC培訓(xùn)、CIW認證培訓(xùn)等。

　　第二，由國外軟件、網(wǎng)絡(luò)產(chǎn)品廠商自己組織管理的產(chǎn)品專家認證（側(cè)重于廠商產(chǎn)品、技術(shù)認證）；相關(guān)的認證培訓(xùn)有：微軟Microsoft認證培訓(xùn)、思科安全認證CCSP培訓(xùn)、趨勢認證信息安全TCSE培訓(xùn)等。

　　第三，國際權(quán)威信息安全組織、研究部門或培訓(xùn)機構(gòu)組來管理組織的國際化專業(yè)資格認證。相關(guān)的認證培訓(xùn)有：信息系統(tǒng)安全認證CISSP培訓(xùn)、信息安全管理體系主任審核員ISO 27001培訓(xùn)、國際注冊信息系統(tǒng)審計師認證CISA培訓(xùn)、國際IT運營與服務(wù)管理資格認證ITIL培訓(xùn)等。

　　下面以CISP培訓(xùn)為例，分析其知識體系構(gòu)建情況。

　　CISP即“注冊信息安全專家”，是國家對信息安全人員資質(zhì)的最高認可。其經(jīng)由中國信息安全測評中心實施國家認證。CISP認證和培訓(xùn)賦予如下專業(yè)資質(zhì)和能力：有關(guān)信息安全企業(yè)、咨詢服務(wù)機構(gòu)、測評認證機構(gòu)、授權(quán)測評機構(gòu)和企事業(yè)有關(guān)信息系統(tǒng)建設(shè)、運行和應(yīng)用管理的技術(shù)部門和標(biāo)準化部門必備的專業(yè)崗位人員。

　　在整個CISP的知識體系結(jié)構(gòu)中，共包括信息安全保障概述、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標(biāo)準法規(guī)這五個知識類。 CISP知識體系以信息安全保障為主線，全面覆蓋信息安全保障工作所需的基礎(chǔ)、標(biāo)準、法規(guī)、技術(shù)、管理和工程等領(lǐng)域。CISP培訓(xùn)知識體系結(jié)構(gòu)共包含五個知識類，分別為：（1）信息安全保障概述：介紹了信息安全保障的框架、基本原理和實踐，它是注冊信息安全專業(yè)人員首先需要掌握的基礎(chǔ)知識。（2）信息安全技術(shù)：主要包括密碼技術(shù)、訪問控制、審計監(jiān)控等安全技術(shù)機制，網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用軟件等方面的基本安全原理和實踐，以及信息安全攻防和軟件安全開發(fā)相關(guān)的技術(shù)知識和實踐。（3）信息安全管理：主要包括信息安全管理體系建設(shè)、信息安全風(fēng)險管理、安全管理措施等相關(guān)的管理知識和實踐。（4）信息安全工程：主要包括信息安全相關(guān)的工程的基本理論和實踐方法。（5）信息安全標(biāo)準法規(guī)：主要包括信息安全相關(guān)的標(biāo)準、法律法規(guī)、政策和道德規(guī)范，是注冊信息安全專業(yè)人員需要掌握的通用基礎(chǔ)知識。

　　CISP的注冊要求如下：

　　第一，教育與工作經(jīng)歷：碩士研究生以上，具有1年工作經(jīng)歷；或本科畢業(yè)，具有2年工作經(jīng)歷；或大專畢業(yè)，具有4年工作經(jīng)歷。

　　第二，專業(yè)工作經(jīng)歷：至少具備1年從事信息安全有關(guān)的工作經(jīng)歷。

　　第三，培訓(xùn)資格：在申請注冊前，成功地完成了CNITSEC或其授權(quán)培訓(xùn)機構(gòu)組織的注冊信息安全專業(yè)人員培訓(xùn)課程相應(yīng)資質(zhì)所需的分類課程，并取得培訓(xùn)合格證書。

　　第四，通過由CNITSEC舉行的注冊信息安全專業(yè)人員考試。

　　三、信息安全專業(yè)培訓(xùn)體系構(gòu)建的建議

　　1。構(gòu)建完善的高校信息安全專業(yè)人才培訓(xùn)體系

　　傳統(tǒng)的培訓(xùn)體系，比較側(cè)重于知識和技能傳授的過程控制，在對知識的共享、隱性知識的轉(zhuǎn)換等方面，已經(jīng)不能滿足當(dāng)前的要求，高�？梢酝ㄟ^借鑒、學(xué)習(xí)CISP認證和培訓(xùn)體系結(jié)構(gòu)和CISSP認證課程內(nèi)容設(shè)置，從信安全崗位所需的基礎(chǔ)、標(biāo)準、法規(guī)、技術(shù)、管理和工程等領(lǐng)域來完善信息安 全專業(yè)人才培訓(xùn)體系。根據(jù)培訓(xùn)對象的不同將課程分為五種類型（層次）：操作層面的基本安全意識培訓(xùn)；

　　技術(shù)層面的各項安全技能培訓(xùn)；管理層面的信息安全管理培訓(xùn)；專家級的資質(zhì)認證培訓(xùn)。當(dāng)然在培訓(xùn)體系里面信息安全技術(shù)方面的培訓(xùn)仍然是重點，為了加強網(wǎng)絡(luò)基礎(chǔ)設(shè)施等新興重點網(wǎng)絡(luò)安全技術(shù)領(lǐng)域的培訓(xùn)，可以參考思科安全認證CCSP培訓(xùn)的模式，對當(dāng)前使用的防火墻、侵入檢測、VPN、身份驗證和安全管理等主流網(wǎng)絡(luò)安全防護裝備進行系統(tǒng)性的專題培訓(xùn)。

　　2。建立逐級培訓(xùn)的信息安全專業(yè)人才培訓(xùn)模式

　　當(dāng)前信息安全技術(shù)的發(fā)展日新月異，信息化的網(wǎng)絡(luò)攻防形式也發(fā)生著翻天覆地的變化，因此對于信息安全專業(yè)人員的培訓(xùn)，僅靠一兩次培訓(xùn)是遠遠不夠的，必須連續(xù)、有針對性的接受相應(yīng)崗位和層次的逐級培訓(xùn)，才能保證知識、能力結(jié)構(gòu)的不斷優(yōu)化和提高。在逐級培訓(xùn)過程中要明確不同職務(wù)、技術(shù)等級的不同要求，使得逐級培訓(xùn)過程級與級之間層次清晰又銜接有序。如果沒有通過低級別的培訓(xùn)、認證，便不能參加后門高級別的培訓(xùn)。同時利用職業(yè)資格證、學(xué)歷證書、執(zhí)行證書等為牽引，通過多階段培訓(xùn)、資格培訓(xùn)、升級培訓(xùn)使得知識結(jié)構(gòu)、能力素質(zhì)、崗位需求同步發(fā)展，取得相應(yīng)的職業(yè)證書才能晉升上崗，否則不予任用。

　　3。通過合理的認證標(biāo)準來動態(tài)更新和完善培訓(xùn)體系的目標(biāo)任務(wù)

　　只有對培訓(xùn)成果進行合理判斷，確定受訓(xùn)人員知識技能水平的提高幅度，才能了解培訓(xùn)項目是否達到原定的目標(biāo)和要求，從而為進一步改進培訓(xùn)體系提供重要依據(jù)。通過對培訓(xùn)人員最終考評成績的分析以及部隊調(diào)研，培訓(xùn)學(xué)員信息反饋等方式，針對培訓(xùn)內(nèi)容和教學(xué)組織形式聽取意見，并及時調(diào)整，使得培訓(xùn)效果真正適應(yīng)培訓(xùn)學(xué)員的實際需求，提高培訓(xùn)效果。這樣才能在保持相對穩(wěn)定的情況下對培訓(xùn)內(nèi)容實施動態(tài)更新，不斷完善。

【信息安全專業(yè)培訓(xùn)體系構(gòu)建的研究論文】相關(guān)文章：

保障體系構(gòu)建下的檔案信息安全的研究論文10-09

數(shù)據(jù)信息安全體系構(gòu)建論文10-09

高職信息安全保障體系構(gòu)建與運用論文10-09

關(guān)于發(fā)電廠信息安全體系構(gòu)建的論文10-08

關(guān)于指揮信息系統(tǒng)信息安全防護體系的構(gòu)建論文10-09

金控體系下信息安全防護網(wǎng)構(gòu)建論文10-11

如何構(gòu)建計算機網(wǎng)絡(luò)信息安全體系論文10-09

本科院校教育質(zhì)量評價體系構(gòu)建研究論文10-12

計算機網(wǎng)絡(luò)信息安全體系研究論文10-12

中國建材集團信息安全防護體系研究論文10-09