美國信息安全教育和培訓的啟示

黎妹紅 趙琳 張大偉 杜曄

文章編號：1672-5913（2015）03-0112-04

中圖分類號：G642

摘 要：介紹和分析美國國家標準與技術研究院（ NIST）出版的兩個在信息安全意識教育和培訓方面的規范性文件及3次修訂過程，指出隨著信息技術的發展和國家安全策略的變化，美國對于信息技術安全培訓的要求以及側重點也在隨之改變，總結從美國NIST關于信息技術安全培訓的內容變遷中得出的一些啟示，希望對我國的信息安全與保密培訓有一定的借鑒意義。

關鍵詞：信息安全；意識教育；保密培訓；NIST

0 引 言

1998年4月，美國國家標準與技術研究院（ National Institute of Standards and Technology，NIST）頒布了的關于信息技術安全常識和培訓綱要SP800-16“信息技術安全培訓要求：基于角色和表現的模型”。2003年10月，NIST又發布SP800-50“建立一個信息技術安全意識教育和培訓項目”，其中SP800-50是為SP800-16設計的指南文檔，是建立或微調信息安全意識教育或培訓項目的聯邦組織的基礎文檔。在討論信息安全培訓發展的那一部分，SP800-50指向了SP800-1 6。SP800-50致力于一個較高的戰略水平，討論如何建立一個信息安全意識教育和培訓項目，SP800-1 6處于一個較低的策略水平，描述信息安全意識培訓和基于角色培訓的方法。它們形成了美國在信息安全意識教育和培訓方面的規范性指導意見。

從1998年NIST發布SP800-16以來，在這17年里SP800-16經歷3次修訂、4個版本，目前NIST公開的版本是2014年3月發布的第三次修訂版。

1 NIST關于信息技術安全培訓的特別出版物

NIST成立于1988年，旨在促進美國的工業發展。NIST在1998年、2003年和2009年分別出臺了一系列的保密培訓領域的行業標準。自1 995年克林頓政府發布12958號總統令提出“疑密從無”和“疑密從低”的原則開始，到奧巴馬政府于2009年頒布的13526號總統令提出保密教育培訓工作的強制性規定，盡管期間保密管理理念和政策起伏較大，但在這個過程中美國的保密教育培訓卻日趨完善，這對我國的信息安全與保密教育培訓工作的開展具有很大的借鑒和指導意義。

1.1 SP800-16

NIST于1998年4月出版發行了SP800-16標準，這是對SP500-172的取代和更新，奠定了針對美國政府工作人員保密教育培訓的總體框架和內容，提出了有效的框架并據此評估這一培訓體系。

模型基于學習是一個連續統一體這一前提，主要體現了以下觀念。

“安全意識”顯然是所有員工所必須具備的，而“安全基礎和文化”是那些以任何方式參與到IT系統的員工（包括承包方員工）所必須具備的。

“安全基礎和文化”是“意識培養”和“培訓”之間的一個過渡階段。它通過提供一套關鍵性安全術語和概念的通用基準，來為后續的培訓打下基礎。

經過“安全基礎和文化”后，培訓的焦點集中于針對個人“相對于IT系統的角色和職責”來提供知識、技術和能力。在這一層，按照技術需求的不同，培訓分為初級、中級、高級3個層次。

“教育和經驗”層著眼于開發能夠實現復雜的跨學科活動和所需技能的能力及預見力，以促進IT安全專業化的發展，并與安全威脅發展和技術發展保持同步。

按照知識的層次來看，學習是一個連續統一體，但是傳授這些知識并不需要按部就班地進行。如果資源有限，組織有責任評估它們的IT安全培訓需求范圍和培訓效果，使培訓資源分配能夠獲得最大的投資回報。

與早期美國推行的基于工作職稱的教育培訓不同，SP800-16旨在提供基于個人工作職能和角色的培訓方案，將原本的“一職稱一方案”變成了“一角色一方案”。尤其對于一個人在組織中具有多個角色的情況，SP800-16針對每個員r個人培養方案的不同需求靈活變通，力求滿足每個角色的培訓需求，提供復合式、全面的培訓方案。此外，這種培訓方法還對不同組織間職稱標準劃分不同的情況進行了統一，提高了同種角色、不同組織、不同職稱間培訓方案制定的一致性；同時，提供了開發課程的工具和學習效果評估體系，盡可能準確地確定不同角色、不同職責的每個學生的學習效果，為課程開發者提供全面、翔實的學習效果反饋，幫助保密培訓課程、資料的開發者進一步優化教學培訓過程。

1.2 SP800-50

2003年10月NIST推出的SP800-50標準，它在SP800-1 6的基礎之上更加注重項目在實施過程中機構資源的安全性，特別強調在IT安全意識培養和培訓項目的整個生存周期中的4個關鍵步驟：

（1）安全意識培養和培訓項目的設計做機構范圍內的需求評估，制定和核準培訓策略為了支持機構已經設立的安全性培訓目標，這一策略性的計劃文檔還需確定所要實現的任務。

（2）安全意識培養和培訓材料的開發集中討論了可利用的培訓資源、范圍、內容以及培訓材料的開發。

（3）項目實施。闡述安全意識培養和培訓項目的有效溝通和實施，提出傳送安全意識培養和培訓材料的可選方式（如基于Web、遠程教育、視頻、網站等）。

（4）項目實現之后。就保持項目的通用性和監控其有效性的問題給予指導，描述有效的反饋方式。

SP800-50標準討論了用于管理安全培訓項目中的集中式、部分分散式、完全分散式3種比較普遍的模型。

（1）集中式。所用責任都集中于核心的權威人士（如IT安全項目經理）。

（2）部分分散式。培訓方針和策略來自于核心的權威人士，但是實施的職責被分散。

（3）完全分散式。只有方針的制訂屬于核心權威人士，而其他所有的任務均被委派給機構

模型的選用應基于項目的預算、資源分配、組織規模、任務的一致性以及整個組織的地理分布

2 NIST SP800-16的版本演變過程

1998年4月出版的SP800-16第一版首次提出IT安全連續學習統一模型，并設計基于角度和表現的培訓模型。該模型按政府工作人員的職能將受訓人員分為6種角色，即管理人員、采購人員、設計與開發人員、操作人員、檢查測評人員以及普通使用人員。模型針對這6種角色設計了3個基本的培訓領域（法律和法規、安全項目管理以及信息系統安全），并為此設計了安全培訓課程框架，提出了培訓有效性的評估方案。

2009年3月NIST發布了SP800-16的第一次修訂草案。一是明確信息安全培訓職責，即對涉及信息安全培訓的機構領導、首席信息技術執行官、高級機構信息安全官、管理人員、培訓設計專家、對信息安全負有重要責任的人員以及用戶等7類人員的職責劃分。二是在信息安全培訓課程的學習層次上強調知識水平的連貫性。三是對第一版的基于角色的培訓提出了一個教學設計模型，即針對政府人員的信息安全需求，依次進行需求分析、課程設計、課程開發、培訓實踐和教學評估等五大環節，這使得信息安全的培訓可以迭代改進。

2013年10月NIST發布了對SP800-16的第二次修訂版本草案，這次修訂中首次提出了網絡空間安全培訓，因為美國2010年4月啟動了《國家網絡空間安全教育計劃》（ NationalInitiative of Cyber Security Education， NICE），該計劃旨在通過促進教育和培訓來改善人的網絡行為、技能和知識，從而增強美國整體的網絡空間安全。這意味著美國政府已著手于將網絡空間安全上升到國家安全的戰略層面上來。2013年版的改動有以下幾個方面：一是強調信息安全意識的培訓應當在網絡空間的背景下進行設計；二是在信息安全培訓的目標對象中加入了對重要信息技術和網絡空間安全負有責任的政府工作人員；三是對信息安全培訓的評估體系進行了細化，即明確提出了評估培訓的4個目的。

不到半年時間，NIST再次發布了SP800-16的第三次修訂草案，這個版本改動較小，主要是在信息安全培訓的組織責任中加入了網絡空間培訓管理員/首席學習執行官。其職責包括：一是確保培訓教材針對具體人員進行設計；二是確保培訓教材對目標人員的有效性；三是為信息安全培訓提供有效的反饋信息；四是對信息安全培訓教材進行及時更新；五是重視培訓效果的跟蹤和匯報。

3 NIST特別出版物版本演變帶來的啟示

縱覽美國歷時17年對信息技術安全培訓指南的修訂過程，其發展特點如下：首先，該指南進行了頂層設計，即提出IT安全連續學習統一模型，設計基于角度和表現的培訓模型，對需要接受信息安全培訓的目標對象進行角色劃分，按照角色需求從法律法規、安全項目管理以及信息系統安全3個領域進行課程設計，初步提出了課程的評估框架。此后的3個版本都是在該體系結構下，從角色劃分、培訓領域和課程評估方法等3個方面進行充實、完善。其次，該指南具有可擴展性，即該指南的最初版本就設計了連續學習統一體，為培訓對象的知識結構發生變化后，如何滿足其信息安全的知識結構留下了足夠的學習空間。第三，該指南的實時更新性，即結合信息安全領域的新技術，對培訓目標對象和培訓課程進行實時更新。如在美國NICE計劃頒發之后，指南很快在培訓環節增加了對國家網絡空間安全的培訓內容。

目前，我國的信息安全教育工作主要側重于專業技術人才的培養，對涉及使用信息系統的廣大普通用戶的相關信息安全常識的教育重視不夠，更確切地說，對公眾的信息安全常識教育的計劃和實施體系尚未建立。我國有關部門應該參照NIST SP800-16和SP800-50出臺適合我國國情的有關信息安全常識和培訓綱要的規范指南，以便完善我國的信息安全教育的完整體系，推進提高全民信息安全意識和技能的工作，為構建我國信息安全保障體系提供人員安全素質方面的基礎保證。

4 結 語

美國已經認識到“國家正處于危險之中，政府和關鍵基礎設施中的網絡空間安全漏洞將會危及國家安全、公共安全和經濟繁榮”，必須“啟動一個聚焦于網絡空間安全意識、教育、培訓和職業發展方面的綜合性國家計劃”，以保證“促進和加強全國范圍內的網絡空間安全力量，并建立一個靈活的、高度熟練的隊伍以應對動態和快速發展的一系列威脅”。這標志著美國信息安全工作進入了一個新的里程碑時期，必將對其網間安全狀況的改善、實現更加安全的數字國家、并在國際上占據主動優勢地位產生深遠的影響，值得我們深思和借鑒。