企業資訊安全教育 敢問路在何方
- 發佈時間:2015-09-25 17:42:38 來源:光明網 責任編輯:書海
資訊安全教育是什麼?
這是個問題。
近年來,全社會乃至全世界對於資訊安全的重視程度不斷提升,負責培養安全人才的資訊安全教育也越來越多被人們所重視。
但我們也可以看到,對於如何開展資訊安全教育這件事來説,效率高、效果好、有持續性的安全培訓仍然只是一種理想的狀態。
或許,這一切該從安全人才本身説起。
安全人才 一個重中之重的超級替補
資訊安全對於一家單位的日常業務來説,可以説是重中之重。每家單位都會安排負責資訊安全的管理人員,根據業務形態和規模的不同,可能會是一個人,或者一個部門來負責日常的資訊安全管理;當然,也有可能是“半個人”——安全工作壓力不大或者人力比較吃緊的單位會選擇讓有能力的員工做兼職安全工程師。
然而,雖然安全工作非常重要,安全管理人員卻往往都處在一個相對比較尷尬的地位上:由於安全部門(人員)本身並不創造價值,相關人員的工作也很難客觀地量化評估,往往是“不出事沒事,出事就要打板子”。
加之安全從業者並不等同於資訊安全人才,良莠不齊的資訊安全保障隊伍也從客觀上對企業安全建設構成了不小的隱患。
如何才能讓企業資訊安全工作良性開展,讓資訊安全人才擁有更大的能力提升空間?
這也是一個問題。
安全培訓 一場迫在眉睫的無把握之仗
針對資訊安全建設和安全人才地位較低的問題,很多人為之做過巨大的努力。這其中,大力開展資訊安全培訓可以説是比較卓有成效的工作之一。
隨著中央網路安全和資訊化領導小組(簡稱網信辦)的建立,“全民網安”的時代來臨,各企事業單位的資訊安全建設也被提到了更高的層面來討論、規劃,各單位也再一次把目光投向了資訊安全培訓領域,以期在廣泛普及資訊安全知識方面能夠做更多、更深層次的工作。
對於資訊安全從業者來説,這是個充滿機遇的好時代。
資訊安全在全社會的地位提升讓資訊安全人才更有用武之地,越來越多的企事業單位在尋求開辦各類培訓活動,同時隨著資訊安全專業成為一級學科,各大高校也在加速開闢相關專業。一切都在向著最積極的方向發展著。
但是,機遇總是和挑戰並存。
從以往的培訓活動來看,有一系列的問題制約著培訓的效果。
首先是培訓內容和形式。傳統的資訊安全培訓主要以知識性內容的教授為主,強調課堂學習和筆試檢驗學習成果。這在資訊安全保障這個極其強調實操的領域,顯然很難培養出技術過硬的安全人才。另一方面,理論教學相對於實際工作中遇到的各類安全問題,往往從內容上相對滯後,也相對偏常規化、普適化,對於很多新技術新漏洞的防護無法帶來有效的幫助,使培訓成果在實際工作中的意義大打折扣。
其次,傳統培訓由於其內容滯後性,在日常工作中使用的機會也相對較少。缺乏實踐驗證的技術理論,更容易被學員遺忘,也進一步降低了培訓的有效性。
第三,傳統培訓通常採用的檢驗方式以筆試為主,一套考卷很難全面覆蓋所有技術點,同時對於很多動手能力強、理論知識相對較弱的學員來説,缺乏綜合考察個人能力的條件。一場培訓下來,分數背後的真正能力究竟為何,實在是一件沒人説得清的事。
隨著技術的發展和培訓方法的不斷革新,很多企業也在嘗試開闢新的安全人才培養和選拔模式,但探索之路充滿崎嶇,仍然有很多問題困擾著企業管理人員。
其中,很多企業都在考慮將模擬訓練平臺加入到日常的安全人才培養流程中,這種方式的好處非常明顯,受訓者通過搭建在模擬網路環境中的練習平臺,對日常工作中常見的各類安全風險進行模擬排障演練,就像軍事訓練中的實彈演習一樣,充分鍛鍊相關人員的應變能力、策略水準和面對各類攻擊的心理承受力。
然而,由於不能在真正的業務網路中進行相關的練習和考核,企業通常需要花費大量的資金和人力來進行相關係統的搭建、維護以及必要的升級,以應對瞬息萬變的現實安全環境。這使得以往的實訓型人才培養模式只有“不差錢”的企業和單位才能實現。
還有一個問題也不容忽視,對於分支機構遍佈大江南北的企業和單位來説,人員異地培訓的成本往往讓人覺得不堪重負,差旅、誤工等問題帶來的資金與業務風險升高,都會使培訓的意義和必要性大打折扣。
因此,絕大多數的企業和單位在選擇安全人才培養模式的時候,只能選擇更容易操作的傳統安全培訓模式,一個老師,一份講義,一張考卷,繼續打著沒有人能看清楚結果的“無把握之仗”。
這一切將由誰來改變,誰能讓企業資訊安全教育不再困難重重?
或許,這將不再是個問題。
讓我們拭目以待。