關于建設單位網絡與信息安全培訓中心的思考

網絡安全關鍵在人，加強網絡安全人才隊伍建設，已成為維護國家網絡安全和建設網絡強國任務的核心需求。建設網絡強國的先決條件就是要把人才資源匯聚起來，建設一支政治強、業務精、作風好的強大隊伍。

目前我國的網絡安全形勢嚴峻，網絡安全事件頻發，網絡安全人才短缺，要“建設清朗、安全、繁榮網絡空間”，首先要打好網絡安全的基礎，高度重視網絡安全人才隊伍的培養和網絡安全培訓機制的建立。

筆者單位所在地區的網絡安全和信息化工作起步較早，基礎較好。目前，單位在網絡安全、大數據安全及應用安全等方面采取了一系列行之有效的措施，取得了很好效果，但在網絡安全教育隊伍培訓和教育機制的建立上還存在不足，沒有設立專門的培訓機構，無法定期進行高頻次、專業化的網絡與信息安全培訓，制約了整個網絡安全建設發展。

網絡安全教育培訓現狀與分析

國家從法律、產業和教育層面做出了實際行動。在法律層面，網絡安全法第二十條規定了國家支持企業和高等學校、職業學校等教育培訓機構開展網絡安全相關教育與培訓，采取多種方式培養網絡安全人才，促進網絡安全人才交流；第三十四條第二款規定了定期對從業人員進行網絡安全教育、技術培訓和技能考核；在產業層面，由中電科、中國電子領銜的網絡安全國家隊和為數眾多的網絡安全民營公司積極響應國家的號召，進行網絡安全人才培養和技術創新；在教育層面，2015年6月增設了“網絡空間安全”一級學科，并制定了學位基本要求、教學質量等國家標準。

筆者單位積極響應國家政策要求，在黨政機關、企事業單位范圍內開展了網絡安全教育培訓。網絡安全職能部門在全市范圍內開展了網絡安全法宣貫培訓講座；市等保辦開展了等級保護工作相關的培訓；市信安辦要求所有黨政機關及企事業單位從事信息安全工作的人員必須持證上崗，經過上崗培訓，考核通過后，取得《信息安全員上崗證》。每年定期舉行信息安全員培訓，提升信息安全員網絡安全意識。

單位高度重視網絡安全工作，網絡安全職能部門也開展了網絡安全教育培訓，但是也存在著如下問題：

1.知識涉及面不夠廣。市級層面舉辦的網絡與信息安全培訓，大部分是網絡安全法、等保2.0等法律法規層面的宣貫，網絡安全法律法規政策性文件還有很多，比如《關鍵基礎設施保護條例》、《國家網絡空間安全戰略》等，還有一些國家標準，如《信息安全技術 信息系統安全等級保護基本要求》、《信息安全技術 信息系統安全管理要求》等，在網絡與信息安全培訓中提及的不多，加強國家標準的學習，可以進一步指導網絡安全工作。

2.知識涉及面不夠深。目前舉辦的網絡與信息安全培訓大多是法律法規的宣貫，政策文件的解讀，能夠提高網絡安全從業人員的安全意識。但是不能滿足黨政機關及企事業單位所有來參加培訓人員提升網絡安全技能的目的。黨政機關及企事業單位從事網絡安全工作的人員中，有的是從事網絡安全管理和網絡運維的技術人員，參加培訓希望能夠提高網絡安全技術能力和水平。如果網絡安全培訓只停留在法律法規政策層面的話，并不能滿足他們的要求。

3.培訓開展的頻率不夠高。網絡安全是技術更新最快的行業之一，從業人員需要不斷更新知識儲備，學習掌握新技能，跟進前沿信息安全態勢。市級層面的網絡與信息安全培訓，有的是一年舉辦一次，有的是不定期舉辦，不能滿足不斷更新網絡與信息安全知識儲備的要求。

4.專業性不夠強。網絡與信息安全培訓不僅要包括法律法規、管理制度上的，還應該包括物理安全、網絡安全、主機安全、數據安全和應用安全等網絡安全技術類專業培訓，如Linux操作系統安全培訓，Oralce數據庫安全管理培訓等。對于這些專業培訓的開展，有所欠缺。

5.沒有專門的網絡與信息安全培訓機構。網絡安全是“九龍治水”，網絡安全培訓的舉辦也存在“九龍治水”現象，各職能部門各自組織網絡與信息安全培訓，培訓的內容也有重復和交叉，這也是一種資源浪費。市級層面的網絡與信息安全培訓由網絡安全職能部門負責舉辦，如市等保辦、市信安辦等，存在重復培訓和培訓不夠系統等問題，所以需要一個專門的機構來牽頭組織網絡與信息安全教育培訓。

網絡安全教育培訓建議與思考

鑒于單位在網絡安全教育培訓和網絡安全機制建設等方面存在的不足，需要從以下幾個方面補充加強：

1.統籌考慮安排全市范圍的網絡與信息安全培訓。各職能部門可以加強溝通，統籌組織網絡與信息安全培訓。網絡安全法規定由網信部門負責統籌協調網絡安全工作和相關監督管理工作，那么網絡與信息安全培訓工作也可以由網信部門牽頭負責，各職能部門協助，可以避免重復舉辦、多頭主辦等問題。

2.擴充拓展系統化網絡安全培訓。目前舉辦的培訓還只停留在法律法規的宣貫和政策文件的解讀，網絡安全培訓應該更加系統化，網絡安全不僅包括管理安全，還包括技術安全，如物理安全、網絡安全、主機安全、數據安全和應用安全等，所以培訓應該包括這些技術內容。網絡安全雖然“七分管理、三分技術”，重在提升人員的安全意識，但也不能忽略技術的提升。

3.分級分層開展網絡與信息安全培訓。黨政機關及企事業單位從事信息化的工作人員并非都是專職，網絡安全知識與技能參差不齊，組織專業的網絡安全技能培訓也不受眾，所以網絡與信息安全培訓需要分級分層次進行，比如針對全市信息安全員召開網絡安全知識講座，提升網絡安全意識；針對黨政機關及企事業單位從事技術管理的工作人員舉辦網絡安全訓練營，提升人員的網絡安全技能。

4.組建專門的網絡與信息安全培訓中心。為解決市級層面網絡與信息安全培訓“九龍治水”現象，需要一個專門負責網絡與信息安全培訓的機構，牽頭統籌負責網絡與信息安全培訓工作。

網絡與信息安全培訓中心建設具體方案與路徑

網絡與信息安全培訓中心的建設可以分為三個階段，具體如下：

1.第一個階段是網絡安全意識提升階段。組織全市范圍內的網絡與信息安全講座或者講壇，要求黨政機關及企事業單位、各縣（市、區）從事信息化的工作人員參加，主要介紹網絡安全法、“等保2.0”、《關鍵基礎設施保護條例》、《信息安全技術信息系統安全等級保護基本要求》、《信息安全技術 信息系統安全管理要求》等網絡安全法律法規、政策性文件、國家標準的宣貫及解讀，重在提高網絡安全意識。

2.第二階段網絡安全管理和運維水平提升階段。針對市級黨政機關及企事業單位和縣（市、區）從事信息化的工作人員、云計算運維人員、信息資源管理中心工作人員進行網絡安全管理和運維培訓，如：安全管理體系、安全管理制度，物理環境、網絡、操作系統、數據庫、中間件等安全運維，重在提升網絡安全管理與運維能力。

3.第三階段網絡安全技能提升階段。針對黨政機關及企事業單位、各縣（市、區）從事信息化工作的專業技術人員（信息安全員），進行網絡與信息安全脫產培訓，或舉辦“網絡安全訓練營”等方式，授課內容如網絡安全攻防實踐、Oracle數據庫安全管理、云計算安全、大數據安全等，培訓時間2-3天，可以進行結業考試，成績合格后頒發證書；結合網絡攻防實訓平臺定期舉行網絡、網站運維人員和安全人員的培訓和比武，提升運維人員的技術水平；定期舉辦全市網絡安全技能大賽，邀請黨政機關及企事業單位從事信息化工作的人員參加，以賽促學，進一步提升網絡安全技能。

網絡與信息安全培訓中心第一階段的建設，主要是提升網絡安全意識，大部分內容在之前舉辦的培訓中已經涉及，所以重點放在網絡安全國家標準和案列的講解上，如：《信息安全技術 信息系統安全管理要求》、《信息安全技術 信息系統安全保護等級定級指南》和《信息技術服務 運行維護 第1部分通用要求》等。培訓中心的建設主要集中在第二階段和第三階段。三個階段建設完成后，可以進行培訓內容的循環，也可以進行交叉，而不是停留在一個層面上，最后形成一套完善的網絡與信息安全培訓體系，人員的意識、管理和技術方面都有很大程度的全面提升。