近年來，由於網路安全問題日益凸顯，國內各類型政府機關、企事業單位無不加大了企業資訊安全保障的投入力度，除了軟硬體技術設備的投入之外，企業內部安全人員的培訓也成為了重中之重。但對於很多大型企事業單位來説，舉行安全培訓不難，但要想舉辦一次帶來切實效果的內部安全培訓卻並不容易，理論與實踐脫節、缺乏實戰能力以及考核無從下手等諸多問題困擾著每一位培訓組織者。

　　不過近日，中國電信上海研究院通過全新的“線上培訓+實踐操作與考試結合”的培訓方式，則向業界展示了一場“不一樣”的企業內部網路安全培訓。為了一探究竟，筆者特別採訪了中國電信上海研究院網際網路安全部葉瑩。

　　理論脫離實踐 傳統“授課式”培訓之困

　　據葉瑩介紹，中國電信上海研究院作為中國電信集團的技術支撐“大後方”之一，對保障電信集團的網路安全擔負著重大責任，定期開展內部安全人員培訓、切實提升安全人員的技能水準是院內的一件大事。

　　以往電信內部安全人員培訓主要以PPT講解的模式為主，這種模式通常容易讓學員對各類安全問題的認識和理解僅僅停留在理論知識層面，動手能力相對較低，遇到具體問題無法快速解決，需要相對長期的實習演練甚至是在與各類問題的持續“死磕”中才能獲得實際操作的鍛鍊。

　　同時，傳統培訓方式還面臨另一個無法解決的難點——評估難。每次培訓之後，諸如學員的實際能力到底提升了多少、遇到安全問題能否從容應對、哪些人能夠成為集團的技術帶頭人等一系列問題都無從考量。

　　因此，中國電信上海研究院非常希望能夠尋找到一種新的培訓方式，既解決理論聯繫實踐的問題，又能解決評估問題，從而讓新技術新業務內容普及、提升強化各省公司相關人員在新技術新業務評估技術實力、選拔各省公司新技術新業務評估人才等重要工作都能夠更有效地開展，以此帶動中國電信集團新技術新業務評估的學習氛圍。

　　另外，中國電信上海研究院還有一個非常現實的培訓需求：很多學員是來自全國各地的地區業務骨幹，太長的培訓週期難免會影響到各地的正常業務開展。所以電信方面希望能夠儘量節省培訓時間，在儘量短的培訓時間內取得足夠好的培訓效果。

　　引入“網路攻防倣真平臺” 把安全培訓辦成安全大賽

　　近年來，隨著國家對網路安全重視程度的大幅提升，各類網路安全主題活動也呈現出蓬勃發展之勢。如2015年上半年舉辦的“429首都網路安全日”、“2015中國電腦網路安全大會”等大型網路安全活動在廣泛普及資訊安全知識、提升資訊安全教育水準的同時，更對活動的主辦方提出了更高的要求。因此我們可以看到，在今年的各項網路安全活動中，一系列競技性和實用性很高的網路安全競賽逐漸成為了各大主題活動中一道必不可少的“大菜”。

　　葉瑩此前也參加了很多網路安全活動，用他的話來説，今年的各種安全活動開始變得“不一樣”了——越來越多的安全活動將安全競賽環節放在了很重要的位置，讓人印象深刻。在了解到今年國內主要賽事大部分都採用“網路攻防倣真實戰平臺”進行現場攻防演練和比賽之後，他萌生了一個想法：為什麼不在企業內部安全培訓中也做“實戰教育”呢？為此，他專門與曾為多場國內大型安全攻防競賽提供技術支撐的永信至誠公司進行了溝通，在了解到永信至誠利用網路攻防倣真平臺已為多家企業成功舉辦過內部培訓之後，更堅定了她在最近的安全培訓中嘗試“線上培訓”和“實戰演練”的信心。

　　在安全培訓的籌備階段，葉瑩特別請來永信至誠公司的工程師與中國電信上海研究院的相關工作人員一起進行了細緻的溝通。經過深入討論，研究院最終決定採用永信至誠公司的“i春秋”線上教育平臺推進本次企業內部安全培訓。“‘i春秋’平臺不僅能給我們提供安全培訓所需要的線上視頻教學，更重要的是它能提供一個線上實驗和比賽的綜合平臺。” 葉瑩談到，“每節課都會有一個完全貼近實際環境的實驗平臺，可以真正確保學員在培訓過程中理論聯繫實踐，讓每場培訓都能物有所值。這是我們以往的培訓活動所難以實現的，對安全培訓效果的強化和檢驗都有非常積極的意義。”

　　線上培訓+實操+考試 “i春秋”平臺顯崢嶸

　　結合中國電信上海研究院整體計劃中對理論練習實踐、評估考試、節省時間和成本的需求，永信至誠工程師基於“i春秋”平臺開展了針對性的培訓環境部署。

　　首先需要線上培訓內容方面要高度貼近上海電信的業務場景。葉瑩表示，上海電信需要重點防護的網路安全問題主要有兩個方面：一是業務應用問題，如業務一致性業務數據篡改和密碼找回問題等；二是系統、網路等設備配置缺陷所導致網路安全問題。

　　基於這兩個重點需求，永信至誠工程師對培訓課程進行了定制化調整，定制比例達到50%以上，在系統上近乎完美地模擬了上海電信的業務安全場景，並最終形成了培訓課件。同時，通過深入理解培訓的實際需求，工程師通過“i春秋”平臺快速制定出了中國電信上海研究院所要求的實驗環境，這樣在培訓課件的同時，便可以通過實驗環境來進一步強化學員的動手能力，做到了理論和實踐的真實結合。另外由於培訓平臺部署在雲端，培訓與實驗環境的搭建過程也節約了大量的時間和經費。

　　在培訓成果評估方面，永信至誠也進一步完善了的課後比賽與考核兩方面的功能，學員們通過訪問友好的登錄頁面、課程安排界面和考核頁面，能夠更便捷地了解到自己的考核排名和關注課程的排名。另一方面，研究院也可以對學員們的實際學習成果有了更為清晰的了解，為後續尖子學員的選拔提供了堅實的基礎，從客觀上也可以實現對整個集團學習氣氛的帶動。

　　隨著學員培訓成績的公佈，中國電信上海研究院本期的安全培訓也落下了帷幕，葉瑩終於可以舒緩一下多日來緊繃的神經。談到對於這次培訓的整體過程，他對筆者説道：“這次培訓的效果非常好，學員們普遍反映培訓非常新穎。大家能夠在實操中迅速驗證理論部分的學習，深化各個新技術新業務評估的安全點，從而能夠在實際工作中更輕鬆地解決諸如sql注入、業務數據篡改、身份認證安全等常見安全問題。在未來，這種培訓模式將會繼續引入到各省公司的安全培訓活動當中。”