等保2.0制度框架下網(wǎng)絡(luò)信息安全防護(hù)體系構(gòu)建研究

安述照 萬曉燕

摘要：等保2.0制度體現(xiàn)了國家對(duì)網(wǎng)絡(luò)信息安全環(huán)境的重視，做好等保測評(píng)對(duì)企業(yè)網(wǎng)絡(luò)信息安全、社會(huì)網(wǎng)絡(luò)信息安全和國家網(wǎng)絡(luò)空間安全都有著重要意義。本文闡述了等保2.0制度的基本理論、必要性，然后從技術(shù)層面、管理層面和安全技術(shù)人才培養(yǎng)層面等三個(gè)維度來闡明構(gòu)建網(wǎng)絡(luò)信息安全防護(hù)體系的策略和建議。

關(guān)鍵詞：等保2.0;網(wǎng)絡(luò)信息安全;防護(hù)體系

中圖分類號(hào)：TP393? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2022）19-0028-03

隨著新一代信息技術(shù)和網(wǎng)絡(luò)的迅速發(fā)展，國家安全的概念已經(jīng)超越地理空間的范疇，擴(kuò)展到網(wǎng)絡(luò)空間，網(wǎng)絡(luò)空間安全成為國家安全的重要組成部分[1]。世界各國進(jìn)入網(wǎng)絡(luò)空間安全戰(zhàn)略部署期，同時(shí)網(wǎng)絡(luò)安全威脅的范圍和種類不斷擴(kuò)大，網(wǎng)絡(luò)安全形勢日益嚴(yán)峻多變。“滴滴數(shù)據(jù)泄密事件”引發(fā)我國對(duì)信息安全的重視，也表明我國面臨國內(nèi)外更加復(fù)雜的網(wǎng)絡(luò)安全形勢。

“沒有網(wǎng)絡(luò)安全就沒有國家安全”這是習(xí)近平總書記于2014年2月27日在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議上的講話。這標(biāo)志著我國把網(wǎng)絡(luò)安全提升到國家層面，對(duì)網(wǎng)絡(luò)安全的認(rèn)知提升到新的高度和境界。

1 等保2.0介紹

2019年5月13日，《網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0》（以下簡稱“等保2.0”）標(biāo)準(zhǔn)正式發(fā)布，并已于2019年12月1日開始實(shí)施，推動(dòng)中國網(wǎng)絡(luò)安全技術(shù)大飛躍。

1.1 等保2.0的含義

等保2.0是在等保1.0標(biāo)準(zhǔn)的基礎(chǔ)上修改完善的，更加注重主動(dòng)防御，加強(qiáng)從被動(dòng)防御至事前、事中、事后的全流程動(dòng)態(tài)感知、審計(jì)和防御，從而實(shí)現(xiàn)對(duì)傳統(tǒng)的基礎(chǔ)信息網(wǎng)絡(luò)、新一代信息技術(shù)及工業(yè)自動(dòng)化控制等對(duì)象的全面保護(hù)。

1.2 等保2.0與1.0的異同點(diǎn)

（1）相同點(diǎn)

?五個(gè)級(jí)別不變

從一級(jí)到五級(jí)依次為：用戶自主級(jí)保護(hù)、系統(tǒng)審計(jì)級(jí)保護(hù)、安全標(biāo)記級(jí)保護(hù)、結(jié)構(gòu)化級(jí)保護(hù)、訪問驗(yàn)證級(jí)保護(hù)。

?規(guī)定動(dòng)作不變

規(guī)定的動(dòng)作分別是：定級(jí)、備案、建設(shè)整改、等級(jí)測評(píng)、監(jiān)督檢查。

?主體職責(zé)不變

網(wǎng)絡(luò)安全對(duì)所定級(jí)對(duì)象的備案受理和監(jiān)督檢查職責(zé)不變，第三方測評(píng)機(jī)構(gòu)對(duì)所定級(jí)對(duì)象的安全評(píng)估職責(zé)不變，上級(jí)主管部門對(duì)下屬單位的安全管理職責(zé)不變，運(yùn)營單位對(duì)所定級(jí)對(duì)象的保護(hù)職責(zé)不變。

（2）不同點(diǎn)

等保1.0已無法應(yīng)對(duì)當(dāng)前的安全風(fēng)險(xiǎn)和新威脅，被動(dòng)防御為主的方式無法滿足當(dāng)前發(fā)展需求。等保2.0適時(shí)而出，從標(biāo)準(zhǔn)內(nèi)容、法律法規(guī)、安全體系、安全實(shí)施等方面都做了完善。

?標(biāo)準(zhǔn)依據(jù)的變化

從條例法規(guī)提升到國家法律層面。等保1.0是國務(wù)院發(fā)布的147號(hào)令，而等保2.0標(biāo)準(zhǔn)是遵循《中華人民共和國網(wǎng)絡(luò)安全法》，要求全面實(shí)施安全等級(jí)保護(hù)制度，如果單位不開展等級(jí)保護(hù)等同于違法。

?標(biāo)準(zhǔn)要求變化

等級(jí)2.0對(duì)大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)、工業(yè)控制、移動(dòng)互聯(lián)網(wǎng)、人工智能等新技術(shù)提出新的安全擴(kuò)展標(biāo)準(zhǔn)[2]，同時(shí)滿足“通用+擴(kuò)展”要求。刪除過時(shí)的測評(píng)項(xiàng)目，完善不合理測評(píng)項(xiàng)，新增了對(duì)個(gè)人信息保護(hù)和新型網(wǎng)絡(luò)攻擊行為的防護(hù)等新測評(píng)要求，調(diào)整了網(wǎng)絡(luò)安全標(biāo)準(zhǔn)結(jié)構(gòu)，將安全管理的中心由管理層面提升到技術(shù)層面。等級(jí)2.0標(biāo)準(zhǔn)覆蓋面更廣，安全防護(hù)能力大大提升。

?安全體系變化

等保2.0的標(biāo)準(zhǔn)依然是“一個(gè)中心、三重防護(hù)”的架構(gòu)，從等保1.0的被動(dòng)防御體系轉(zhuǎn)向事前預(yù)防、事中回應(yīng)、事后審計(jì)的動(dòng)態(tài)安全管理保障體系和具有相應(yīng)等級(jí)安全保護(hù)的綜合防御體系。保障安全開展組織管理、隊(duì)伍建設(shè)、教育培訓(xùn)、安全規(guī)劃、技術(shù)檢測、機(jī)制建設(shè)、經(jīng)費(fèi)保障、態(tài)勢感知、監(jiān)督檢查、能力建設(shè)、應(yīng)急處置和通報(bào)預(yù)警等工作。

?等級(jí)規(guī)定動(dòng)作

等保2.0在定級(jí)對(duì)象、定級(jí)級(jí)別、定級(jí)流程、測評(píng)合格要求、監(jiān)督檢查的實(shí)施過程進(jìn)行了優(yōu)化和調(diào)整。

1.3 等保2.0采用的框架結(jié)構(gòu)

安全物理環(huán)境：主要針對(duì)網(wǎng)絡(luò)機(jī)房制定的安全技術(shù)指標(biāo)。是面向機(jī)房環(huán)境、物理設(shè)備和設(shè)施等，主要內(nèi)容包括設(shè)備安裝位置、設(shè)備控制、防盜裝置、防水、防雷擊設(shè)備、防靜電設(shè)施、溫濕度監(jiān)測、電力供應(yīng)系統(tǒng)和電磁防護(hù)等。

安全通信網(wǎng)絡(luò)：是針對(duì)通信網(wǎng)絡(luò)制定的安全控制指標(biāo)。主要對(duì)象是局域網(wǎng)、城域網(wǎng)和廣域網(wǎng)等，主要內(nèi)容包括通信傳輸安全、網(wǎng)絡(luò)架構(gòu)和身份驗(yàn)證等。

安全區(qū)域邊界：針對(duì)網(wǎng)絡(luò)邊界制定的安全控制指標(biāo)[3]。主要包括區(qū)域邊界及系統(tǒng)邊界。主要內(nèi)容涵蓋邊界防護(hù)策略、訪問控制策略、入侵檢測規(guī)則、惡意代碼審計(jì)、安全審計(jì)和身份驗(yàn)證等。

安全計(jì)算環(huán)境：針對(duì)安全邊界的內(nèi)部而設(shè)定的安全指標(biāo)。對(duì)象是邊界內(nèi)部的所有軟硬件設(shè)備，包括網(wǎng)絡(luò)互聯(lián)設(shè)備、安全設(shè)備、服務(wù)器、終端、操作系統(tǒng)、應(yīng)用軟件、數(shù)據(jù)和其他設(shè)備等;主要內(nèi)容包括身份驗(yàn)證、安全審計(jì)、訪問控制、入侵檢測、防范惡意代碼、數(shù)據(jù)完整性和保密性、數(shù)據(jù)備份與恢復(fù)和個(gè)人信息保護(hù)等。

安全管理中心：是針對(duì)整個(gè)系統(tǒng)制定的安全管理方面的技術(shù)指標(biāo)，主要安全控制中心包括審計(jì)管理模塊、系統(tǒng)管理模塊、集中管控系統(tǒng)和安全管理制度等。

安全管理制度：是針對(duì)管理制度體系制定的安全控制指標(biāo)，主要內(nèi)容包括管理制度、安全策略的制定和發(fā)布、管理制度的評(píng)審和修訂等。

安全管理機(jī)構(gòu)：是針對(duì)管理組織架構(gòu)制定的安全控制指標(biāo)，主要內(nèi)容包括崗位設(shè)置、技術(shù)人員配備、授權(quán)及審批、團(tuán)隊(duì)溝通和合作等。

安全管理人員：是針對(duì)人員管理制定的安全規(guī)章制度，涉及的內(nèi)容包括技術(shù)人員錄用、職員離崗（離職）、安全意識(shí)教育與培訓(xùn)以及外來人員訪問管理等。

安全建設(shè)管理：是針對(duì)安全建設(shè)過程制定的規(guī)則和要求，主要內(nèi)容包括安全定級(jí)和備案、系統(tǒng)安全方案設(shè)計(jì)、安全設(shè)備采購和使用、軟件開發(fā)、工程實(shí)施、系統(tǒng)測試與驗(yàn)收、系統(tǒng)交付、系統(tǒng)等級(jí)測評(píng)及服務(wù)供應(yīng)商管理等。

安全運(yùn)維管理：是針對(duì)安全運(yùn)維過程制定的規(guī)章和規(guī)則，主要內(nèi)容包括資產(chǎn)管理、設(shè)備管理、介質(zhì)管理、備份與恢復(fù)管理、漏洞與風(fēng)險(xiǎn)管理、變更管理、設(shè)備配置管理、系統(tǒng)安全管理、安全事件處置、惡意代碼防范管理、密碼管理、應(yīng)急預(yù)案管理等。

2 做好等保2.0的必要性

網(wǎng)絡(luò)安全已經(jīng)上升到國家層面，實(shí)施等保2.0制度，是保護(hù)信息化的健康發(fā)展，維護(hù)國家利益的根本保障，是國家意志在信息安全保障工作中的體現(xiàn)[4]。

2.1 系統(tǒng)安全

系統(tǒng)安全是保障所有企事業(yè)單位正常運(yùn)轉(zhuǎn)的基礎(chǔ)，也是數(shù)據(jù)信息安全的基石。通過對(duì)單位的等級(jí)保護(hù)測評(píng)，可以發(fā)現(xiàn)其系統(tǒng)內(nèi)、外存在的安全漏洞和風(fēng)險(xiǎn)，以便通過整改措施，提高系統(tǒng)的信息安全防護(hù)能力。然后再根據(jù)等級(jí)保護(hù)標(biāo)準(zhǔn)進(jìn)行檢測和信息系統(tǒng)分析，以劃分安全等級(jí)，實(shí)施分等級(jí)保護(hù)，保障系統(tǒng)安全。

2.2 法律規(guī)定

等保 2.0 標(biāo)準(zhǔn)的依據(jù)是《中華人民共和國網(wǎng)絡(luò)安全法》，所有在中國的企事業(yè)單位都要遵守國家法律法規(guī)，按要求去開展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作，否則就是違法行為。

2.3 行業(yè)需求

很多部門或行業(yè)依賴網(wǎng)絡(luò)進(jìn)行信息化辦公或通信，特別注重網(wǎng)絡(luò)安全和信息安全。主要有：政府機(jī)關(guān)、金融、能源、電力、電信、醫(yī)療、新一代信息產(chǎn)業(yè)和教育等。

2.4 規(guī)避風(fēng)險(xiǎn)

等保2.0制度可以通過等保測評(píng)，找出單位網(wǎng)絡(luò)系統(tǒng)存在的高風(fēng)險(xiǎn)安全因素，并按照標(biāo)準(zhǔn)和建議整改，能夠提高信息系統(tǒng)的信息安全防護(hù)能力，滿足自身業(yè)務(wù)發(fā)展需求[5]。

3 等保2.0制度框架下網(wǎng)絡(luò)信息安全防護(hù)體系構(gòu)建建議

要落實(shí)等保2.0制度，構(gòu)建安全可靠的防護(hù)體系，要從技術(shù)層面、管理層面和安全技術(shù)人才培養(yǎng)層面等進(jìn)行把控，提高網(wǎng)絡(luò)信息安全管理與技術(shù)水平。

3.1 技術(shù)層面

防火墻技術(shù)（包括WAF）、防病毒（木馬）技術(shù)、入侵檢測技術(shù)（IDS）、入侵防御技術(shù)（IPS）、態(tài)勢感知、行為日志等是重點(diǎn)加強(qiáng)防護(hù)的技術(shù)手段。在一個(gè)局域網(wǎng)中至少采用3～4種的技術(shù)方能達(dá)到基本的網(wǎng)絡(luò)安全水平。

（1）防火墻技術(shù)：是抵御外來攻擊的第一道屏障，加強(qiáng)掃描過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)，對(duì)數(shù)據(jù)流量進(jìn)行監(jiān)測和登記，隔離外來的攻擊和惡意代碼的入侵，保障內(nèi)部主機(jī)、網(wǎng)站和數(shù)據(jù)安全。

（2）防病毒（木馬）技術(shù)：防病毒（木馬）技術(shù)是通過利用軟、硬件技術(shù)阻止其網(wǎng)絡(luò)傳播。要實(shí)時(shí)更新病毒庫，對(duì)網(wǎng)絡(luò)中的主機(jī)進(jìn)行檢測、殺毒與修復(fù)。

（3）入侵檢測技術(shù)：Intrusion Detection System（IDS），能夠?qū)?nèi)部、外部的攻擊和誤操作實(shí)時(shí)監(jiān)控，識(shí)別惡意使用網(wǎng)絡(luò)資源的行為，并做出相應(yīng)報(bào)警和處理[6]。

（4）入侵防御技術(shù)。Intrusion Prevention System（IPS），這是對(duì)防病毒（木馬）系統(tǒng)和防火墻技術(shù)的補(bǔ)充。IPS加強(qiáng)檢查網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包，識(shí)別數(shù)據(jù)包的真正用途，決定數(shù)據(jù)包的去留，保障網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩浴?/p>

（5）漏洞掃描技術(shù)。網(wǎng)絡(luò)攻擊、病毒木馬入侵大都是利用漏洞，因此要定時(shí)對(duì)系統(tǒng)進(jìn)行漏洞掃描，分析檢測報(bào)告，評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)，然后進(jìn)行系統(tǒng)升級(jí)或修補(bǔ)漏洞。

（6）行為日志分析技術(shù)。黑客的入侵行為會(huì)被行為日志設(shè)備記錄下痕跡，通過分析日志記錄，能夠發(fā)現(xiàn)系統(tǒng)中存在的威脅與攻擊，對(duì)存在的后門、漏洞、木馬等進(jìn)行檢測、清理和修復(fù)。

（7）態(tài)勢感知。充分利用態(tài)勢感知的基于環(huán)境、動(dòng)態(tài)、整體地預(yù)知安全風(fēng)險(xiǎn)能力，進(jìn)行安全大數(shù)據(jù)分析，從全局視角發(fā)現(xiàn)識(shí)別安全威脅，并做出相應(yīng)處置，為管理員提供決策與行動(dòng)依據(jù)。

3.2 管理層面

（1）完善管理制度

要依據(jù)單位實(shí)情和網(wǎng)絡(luò)安全的等級(jí)防護(hù)規(guī)定，制定網(wǎng)絡(luò)安全防護(hù)工作機(jī)制，建立網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組和安全管理小組，明確網(wǎng)絡(luò)安全責(zé)任人。要制定網(wǎng)絡(luò)安全事件應(yīng)急處置方案及上報(bào)制度，落實(shí)專人負(fù)責(zé)，明確責(zé)任，提高突發(fā)事件應(yīng)急處置能力[7]。

（2）強(qiáng)化民眾安全意識(shí)

要充分認(rèn)識(shí)到網(wǎng)絡(luò)信息安全意識(shí)的重要性，這是信息安全工作中的重要一環(huán)，讓社會(huì)民眾充分認(rèn)識(shí)到網(wǎng)絡(luò)信息安全在工作和學(xué)習(xí)中的重要性和緊迫性。大力開展《中華人民共和國網(wǎng)絡(luò)安全法》的普法宣傳和教育工作，增強(qiáng)工作人員的網(wǎng)絡(luò)安全責(zé)任意識(shí)，減少因失誤帶來的風(fēng)險(xiǎn)和損失。

（3）增強(qiáng)工作人員安全防御能力

網(wǎng)絡(luò)技術(shù)的發(fā)展使企事業(yè)單位的信息化辦公普及化，對(duì)網(wǎng)絡(luò)信息安全的水平逐步提升，要提高全員的信息安全專業(yè)能力：一是引進(jìn)高水平人才或培訓(xùn)現(xiàn)有技術(shù)人員，打造高水平專業(yè)技術(shù)團(tuán)隊(duì);二是開展網(wǎng)絡(luò)信息安全科普培訓(xùn)，普及信息泄露的途徑和危害性，提升全員的網(wǎng)絡(luò)信息安全綜合能力和技術(shù)水平。

（4）重視安全技術(shù)

要增強(qiáng)信息化管理人員的安全意識(shí)，不斷關(guān)注網(wǎng)絡(luò)安全最新動(dòng)態(tài)，對(duì)系統(tǒng)進(jìn)行升級(jí)和修補(bǔ)漏洞，學(xué)習(xí)網(wǎng)絡(luò)安全的新技術(shù)新舉措，如：數(shù)據(jù)加密、數(shù)據(jù)分析、防火墻（WAF）技術(shù)、入侵檢測技術(shù)（IDS）、漏洞掃描、反病毒木馬技術(shù)等，提升網(wǎng)絡(luò)安全應(yīng)急響應(yīng)能力，對(duì)相關(guān)日志、數(shù)據(jù)進(jìn)行全面審計(jì)，及時(shí)采取封堵、阻止、限流等安全技術(shù)進(jìn)行應(yīng)急防護(hù)響應(yīng)。

（5）建立督查、保障機(jī)制

網(wǎng)絡(luò)安全問題要萬分重視，不能麻痹大意，要加強(qiáng)信息安全技術(shù)監(jiān)控與檢查力度，對(duì)防護(hù)措施不力的人員加強(qiáng)教育和整改，落實(shí)和追究安全責(zé)任。在技術(shù)支持上加強(qiáng)保障，鼓勵(lì)技術(shù)創(chuàng)新和變革，提高技術(shù)人員的積極性。

3.3 人才培養(yǎng)層面

網(wǎng)絡(luò)安全問題日益突出，對(duì)網(wǎng)絡(luò)信息安全人才不斷提出新的要求。當(dāng)前，我國網(wǎng)絡(luò)信息安全人才緊缺，同時(shí)也存在大部分從業(yè)人員能力素質(zhì)不高、結(jié)構(gòu)不合理等問題，與保護(hù)國家網(wǎng)絡(luò)空間安全、建設(shè)網(wǎng)絡(luò)強(qiáng)國的目標(biāo)不適應(yīng)。我國網(wǎng)絡(luò)安全技術(shù)學(xué)科建設(shè)剛剛起步，需要多途徑培養(yǎng)安全技術(shù)人才。

（1）堅(jiān)持正確思想

網(wǎng)絡(luò)安全技術(shù)有著突出的兩面性特點(diǎn)，從業(yè)者的技術(shù)水平越高，對(duì)思想覺悟、價(jià)值觀的考驗(yàn)越高，稍有疏忽，就會(huì)誤入歧途。因此，在培養(yǎng)網(wǎng)絡(luò)信息安全技術(shù)人才時(shí)要首先樹立正確的價(jià)值觀和人生觀，加強(qiáng)愛國主義教育，學(xué)習(xí)相關(guān)的法律法規(guī)，培養(yǎng)正確的職業(yè)觀，用合法的工作推動(dòng)網(wǎng)絡(luò)安全行業(yè)快速發(fā)展。

（2）加強(qiáng)師資培訓(xùn)

我國的網(wǎng)絡(luò)安全學(xué)科建設(shè)起步較晚，大部分高校的網(wǎng)絡(luò)安全專業(yè)教師不是科班出身，沒有網(wǎng)絡(luò)安全專業(yè)系統(tǒng)的理論知識(shí)和實(shí)踐經(jīng)驗(yàn)，師資隊(duì)伍水平不高，人才培養(yǎng)質(zhì)量低。因此，國家層面要重視高校的師資培養(yǎng)，給予資金和政策支持，一方面，對(duì)現(xiàn)有教師進(jìn)行系統(tǒng)培訓(xùn)，特別不能忽視高職層次的師資培養(yǎng)，另一方面，高薪引進(jìn)高水平人才，特別是從企業(yè)引進(jìn)有經(jīng)驗(yàn)的工程師。加強(qiáng)學(xué)校之間的教師交流、訪學(xué)，促進(jìn)專業(yè)建設(shè)水平提高。

（3）完善課程體系

對(duì)本科及以上層次的網(wǎng)絡(luò)安全專業(yè)人才培養(yǎng)方案，要對(duì)課程體系進(jìn)行優(yōu)化，實(shí)現(xiàn)信息安全與軟件工程、密碼學(xué)、計(jì)算機(jī)和通信等課程的結(jié)合，還要覆蓋網(wǎng)絡(luò)空間安全理論知識(shí)和實(shí)踐課程，提升學(xué)生實(shí)戰(zhàn)能力。對(duì)高職層次人才培養(yǎng)，要加強(qiáng)實(shí)踐動(dòng)手能力，以安全運(yùn)維人員培養(yǎng)為主要方向，以技能實(shí)操和體驗(yàn)式培訓(xùn)為手段，以安全認(rèn)證為支撐，以攻防滲透能力培養(yǎng)為核心，培養(yǎng)面向中小安全公司就業(yè)的高素質(zhì)技能型人才。還需要將新技術(shù)、新理論以及新需求融入教學(xué)中，讓學(xué)生能夠從工作崗位需求出發(fā)，提升自身的能力素養(yǎng)。

（4）加強(qiáng)校企融合

在信息產(chǎn)業(yè)大類，先進(jìn)的技術(shù)基本由知名大企業(yè)的研發(fā)人員掌握，因此，要把企業(yè)的專家請(qǐng)進(jìn)課堂任教，同時(shí)讓高校教師到企業(yè)掛職工作，實(shí)現(xiàn)產(chǎn)學(xué)研模式的構(gòu)建。企業(yè)真實(shí)項(xiàng)目注入，利用企業(yè)技術(shù)優(yōu)勢和產(chǎn)業(yè)資源，發(fā)揮學(xué)校的師生人力資源優(yōu)勢，突出行業(yè)技術(shù)標(biāo)準(zhǔn)向教學(xué)課程標(biāo)準(zhǔn)的轉(zhuǎn)化，提升教師和學(xué)生的知識(shí)、技術(shù)和技能水平[8]。

（5）加強(qiáng)實(shí)戰(zhàn)化人才培養(yǎng)

當(dāng)前本科及以上層次的高校的人才培養(yǎng)大部分還是停留在基本技能與理論知識(shí)學(xué)習(xí)，畢業(yè)后需要一段時(shí)間的學(xué)習(xí)和實(shí)踐才能滿足崗位的需要，影響企業(yè)業(yè)務(wù)開展。因此，在開展網(wǎng)絡(luò)安全人才培養(yǎng)過程中，需要營造實(shí)戰(zhàn)化的實(shí)訓(xùn)環(huán)境，將理論知識(shí)與實(shí)踐技能相結(jié)合，更好地提升網(wǎng)絡(luò)安全實(shí)戰(zhàn)能力。特別是通過校企合作，讓學(xué)生參與真實(shí)項(xiàng)目案例，實(shí)現(xiàn)企業(yè)、學(xué)校和學(xué)生共贏，推動(dòng)中國網(wǎng)絡(luò)信息安全發(fā)展。

（6）不拘一格降人才

從調(diào)研數(shù)據(jù)分析，網(wǎng)絡(luò)安全行業(yè)的高水平人才，通常有著特殊性，這些人才很多不是科班出身，也沒有高學(xué)歷。網(wǎng)絡(luò)信息安全的高技術(shù)人才是需要有靈感、有天賦、有興趣，愿意為之奮斗的奇才、怪才。高等院校可以開設(shè)網(wǎng)絡(luò)安全相關(guān)專業(yè)“特長班”。 建議高等院校、科研機(jī)構(gòu)根據(jù)需求和發(fā)展，拓展網(wǎng)絡(luò)安全專業(yè)方向，擴(kuò)大網(wǎng)絡(luò)信息安全專業(yè)人才培養(yǎng)規(guī)模。各院校還可以在全校范圍內(nèi)以協(xié)會(huì)、興趣小組或工作室等方式，召集對(duì)網(wǎng)絡(luò)安全技術(shù)感興趣的同學(xué)，發(fā)揮其長處，催化其興趣，培養(yǎng)高水平信息安全精英式人才。

4 結(jié)束語

隨著新一代信息技術(shù)發(fā)展以及基礎(chǔ)設(shè)施的網(wǎng)絡(luò)全球互聯(lián)化，網(wǎng)絡(luò)空間環(huán)境日益復(fù)雜，面臨的安全威脅不斷增多，面對(duì)網(wǎng)絡(luò)空間安全保障的重大需求，我國推出了等級(jí)保護(hù)2.0制度[9]。等保2.0涵蓋了云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能、工控網(wǎng)絡(luò)等新場景下的信息安全要求，安全防護(hù)技術(shù)和要求相比于傳統(tǒng)安全體系有了極大提高，成為新時(shí)期網(wǎng)絡(luò)安全架構(gòu)建設(shè)的新基礎(chǔ)。要以等保2.0制度為基礎(chǔ)框架，構(gòu)建明確思路、分析需求、發(fā)現(xiàn)問題、制定目標(biāo)，建設(shè)滿足合規(guī)、保障業(yè)務(wù)安全的網(wǎng)絡(luò)安全體系。從整體安全的角度，將技術(shù)、資源、制度、人才培養(yǎng)和全民安全意識(shí)投放在抵御新的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和滿足個(gè)人網(wǎng)絡(luò)信息安全需求上，構(gòu)建基于等級(jí)保護(hù)、面向最佳實(shí)踐的網(wǎng)絡(luò)安全體系。

參考文獻(xiàn)：

[1] 馮澤冰，司培培.面向5G資產(chǎn)的統(tǒng)一安全評(píng)測模型與體系構(gòu)建[J].信息安全研究，2021，7（5）：436-442.

[2] 楊強(qiáng)，劉捷.等級(jí)保護(hù)2.0在數(shù)字圖書館中的應(yīng)用探討[J].網(wǎng)信軍民融合，2021（4）：46-51.

[3] 馬玉州.等保2.0時(shí)代普通高校等級(jí)保護(hù)工作實(shí)踐[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（7）：97-98

[4] 網(wǎng)絡(luò)信息安全[EB/OL].[2021-05-10].https：//blog.csdn.net/xiaofengdada/article/details/123036800.

[5] 夏冰.網(wǎng)絡(luò)安全法和網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0[M].北京：電子工業(yè)出版社，2017

[6] 吳小偉.“等保2.0”背景下政府部門網(wǎng)絡(luò)信息安全防護(hù)技術(shù)探析[J].江蘇科技信息，2021，38（32）：39-41.

[7] 鐘焯榮，張曉鵬.高校網(wǎng)絡(luò)安全防護(hù)體系建設(shè)與研究[J].無線互聯(lián)科技，2021，18（23）：16-17.

[8] 何躍鷹.互聯(lián)網(wǎng)規(guī)制研究——基于國家網(wǎng)絡(luò)空間安全戰(zhàn)略[D].北京：北京郵電大學(xué)，2012.

[9] 李攀攀，朱蓉，翟建宏.網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0視域下網(wǎng)絡(luò)空間安全人才的培養(yǎng)探索[J].實(shí)驗(yàn)室研究與探索，2021，40（8）：163-167，172.

收稿日期：2022-02-25

基金項(xiàng)目：《網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0視域下網(wǎng)絡(luò)安全人才培養(yǎng)研究》，2021年青島酒店管理職業(yè)技術(shù)學(xué)院科研課題（課題編號(hào)2021ZD18）;《計(jì)算機(jī)應(yīng)用專業(yè)群個(gè)性化成才培養(yǎng)模式改革》，2020年青島酒店管理職業(yè)技術(shù)學(xué)院教學(xué)改革研究項(xiàng)目（課題編號(hào)：JGZD2015）

作者簡介：安述照（1975—），男，山東青島人，教授，本科，研究方向?yàn)榫W(wǎng)絡(luò)安全技術(shù);萬曉燕（1980—），女，江西南昌人，副教授，研究生，研究方向?yàn)榫W(wǎng)絡(luò)安全技術(shù)。