關鍵信息基礎設施網絡安全人員標準化隊伍建設

趙倩倩 尤其 楊偉平

摘 要：近年來，網絡技術已滲透到人們日常生活的方方面面，網絡空間安全問題也隨之暴露。關鍵信息基礎設施作為網絡服務的支撐系統，存儲并傳輸著大量數據，其安全問題是網絡安全的關鍵節點之一，尤其是隨著GB/T 39204-2022《信息安全技術 關鍵信息基礎設施安全保護要求》標準的發布，我國對實施關鍵信息基礎設施保護在安全防控體系、數據管控等方面提出了全新要求。本文立足國內外關鍵信息基礎設施的相關標準，對當前國內關鍵信息基礎設施專業人員隊伍建設的現狀進行分析，找出不足并提出相關優化建議，助力我國關鍵信息基礎設施網絡安全人員標準化隊伍建設。

關鍵詞：關鍵信息基礎設施，網絡安全，人員隊伍

DOI編碼：10.3969/j.issn.1002-5944.2023.09.007

基金項目：本文受國家社會科學基金課題“支撐教育高質量發展的國家教育管理信息化體系研究”（課題編號：CCA210253）資助。

Cybersecurity Personnel Construction in Critical Information Infrastructure

ZHAO Qianqian YOU Qi YANG Weiping

（China Cybersecurity Review Technology and Certifi cation Center）

Abstract： In recent years， network technology has penetrated into every aspect of peoples daily life， and the problem of cyberspace security has also been exposed. As the supporting system of network service， critical information infrastructure stores and transmits a large amount of data. Its security is one of the key links of network security. After the publication of GB/T 39204-2022， Information security technology—Cybersecurity requirements for critical information infrastructure protection， China has put forward new requirements for the implementation of critical information infrastructure protection in the aspects of prevention and control system， data control. Based on domestic and foreign standards for key information infrastructure， this paper analyzes the current status of the key information infrastructure professionals， fi nds out the shortcomings and puts forward suggestions for improvement， to help build the team of key information infrastructure network security standardization workers.

Keywords： critical information infrastructure， cybersecurity， personnel team

“互聯網+”時代來臨，物聯網、云計算、大數據、區塊鏈等以網絡為基礎的新技術被應用于各行各業，極大地改變了人類的生活方式。信息基礎設施作為網絡業務的主要載體，特別是關鍵信息基礎設施，承擔著公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域[1]等關乎國家安全、國計民生、公共利益的網絡服務，是國家重要的戰略資源[2]。近年來針對關鍵信息基礎設施的網絡攻擊事件頻頻發生，國家經濟、科技甚至國家安全均面臨風險[3]，加強關鍵信息基礎設施保護勢在必行。

盡管運營者的安全意識是保障關鍵信息基礎設施安全的第一道防線，然而在網絡安全防護過程中，尤其在攻防較量、重點保障、應急處置和分析溯源的實踐過程中，不難發現，網絡安全人員才是安全防護的核心與關鍵，其素質與能力對關鍵信息基礎設施網絡安全與防護至關重要。2022年11月7日，GB/T 39204-2022《信息安全技術 關鍵信息基礎設施安全保護要求》的出臺不僅為運營者開展關鍵信息基礎設施保護工作需求提供了制度保障，更對關鍵信息基礎設施網絡安全人員專業技能和持續發展提出了更高要求。故而構建關鍵信息基礎設施網絡安全人員隊伍標準化建設體系，是當前一項全局性、戰略性任務。

1 我國關鍵信息基礎設施網絡安全從業人員現狀

自認識到網絡安全與網絡信息保護的重要性以來[4]，我國從網絡安全學科、專業、院系建設、在職培訓等方面加快推進網絡安全專業人員隊伍建設進程并取得了積極進展，網絡安全專業人員隊伍在一定程度上得到了擴充。此外，通過舉辦攻防演練、技能競賽等賽事提升了網絡安全人員的實踐技能。2016年開始，我國已經逐步形成了屬于自己的網絡安全防御體系，即通過多方協同防御的方法對關鍵信息基礎設施中數據輸入、輸出、儲存進行的保護。在這個防御體系中，關鍵信息基礎設施網絡安全人員是核心，通過內部人員對設施中數據流量的調配，支撐關鍵信息設施的安全運行。因此，關鍵信息設施在網絡空間安全的競爭，歸根到底是網絡安全人才的競爭。

目前我國關鍵信息基礎網絡安全人員隊伍建設存在人員總量不足，教育、技術生態不完善，企業作用發揮不充分，從業人員網絡安全意識不強等問題。針對這些問題，參考歐美等國網絡安全專業人員培養機制，我國關鍵信息基礎設施網絡安全人員隊伍建設需要從頂層設計、具體執行體系到未來發展等方向進行全方位建設。構建一套完善的關鍵信息基礎設施網絡安全人員能力評價體系，是我國網絡安全持續發展并終將成為網絡安全強國的根本保證和核心競爭力。

2 我國關鍵信息基礎設施網絡安全人員培養模式

為提高網絡安全人員的實踐技能，經過對高校、社會以及國內外網絡安全從業人員培養模式的不斷探索，我國逐步形成了多路徑、多層次、復合型的網絡安全人員培養模式。網絡安全人員的培養，不應僅限于對書本知識的宣貫，應更重視通過實戰型的教學方式，對從業人員進行培養。

目前，我國部分網絡安全人員培養組織也探索出了一套實戰型培養方式。首先是暑期特訓營模式，訓練學員對關鍵信息基礎設施的安全意識。通過特訓營的成員實戰分享、經驗交流來激發學員對網絡安全技術知識轉化為實踐的興趣。然后，通過寒假特訓營配合安全大賽，對學員的網絡安全實踐能力進行特訓。結合理論與實踐，讓已有的網絡安全從業者帶領新生力量，提升其網絡安全技能。還可以利用“實戰特長班”和“科研創新班”相關培訓班級，甚至利用網絡空間進行在線學習，既可以選擇自己感興趣方向，又可以強化訓練。最后，通過企業高級安全工程師的帶領，學員參與具體項目的實習，為專業人員在網絡安全平臺貢獻技術力量提供引導。

3 關鍵信息基礎設施網絡安全人員標準化隊伍建設原則

（1）系統性原則

關鍵信息基礎設施所涉及的行業、領域較多。不同行業的關鍵信息基礎設施的關鍵業務不同，相應的，網絡安全人員的技能要求側重點不同，這就導致對于網絡安全人員的能力評價不僅要涉及到各行各業的專業知識，而且要兼顧關鍵信息基礎設施中網絡安全技術環節的不同，所以關鍵信息基礎設施人員隊伍建設應當具備系統性原則，確保實用意義。

（2）針對性原則

關鍵信息基礎設施網絡安全人員評價指標體系的建立應當考慮到關鍵崗位人員的差異性。比如國家機關的電子政務體系記載了我國政府系統的一些密級信息，安全系數比其他行業更高，一旦信息泄露，損失不可估量，所以對該崗位的網絡安全從業人員能力要求也相對要提高。因此，針對性原則是網絡安全專業人員隊伍建設原則之一，根據不同行業不同領域對應的職能需求，設置不同的評價指標，使得掌握專業技能的網絡安全人員適用于不同行業的關鍵信息基礎設施保護，進一步提高網絡安全人員評價與建設的針對性。

（3）實用性原則

我國學歷教育培養的網絡安全人員往往在實踐操作方面存在短板，因此在進行關鍵信息基礎設施網絡安全標準化人員隊伍建設時，不僅要考核人員的專業知識背景，還應從技能應用、個人道德修養等方面進行考核，考核要分清層次，確保各項考核指標符合關鍵信息基礎設施的政策以及使用要求，避免出現理論與實踐技能脫節的情況。

4 關鍵信息基礎設施網絡安全人員標準化隊伍建設優化方案

（1）劃分崗位職責

《網絡安全法》和《關鍵信息基礎設施安全保護條例》強化了關鍵信息基礎設施運營者在保護關鍵信息基礎設施安全方面的主體責任[5]，同時要求運營者應當設置專門的安全管理機構，具體負責本單位的關鍵信息基礎設施安全保護工作，并認定網絡安全關鍵崗位，組織開展網絡安全教育、培訓、工作考核。

為保障關鍵信息基礎設施安全穩定運行，運營者要采取技術保護措施應對網絡安全事件，如制定關鍵信息基礎設施網絡安全事件應急預案，并定期進行演練，還要及時對數據庫進行容災備份，以維護數據的完整性、保密性和可用性。而關鍵崗位的網絡安全人員，不僅承擔對關鍵信息基礎設施的安全防護、應急處置，還應當配合運營者開展網絡安全風險識別認定，為預警系統提供有效的識別參數，建立對應的評估制度與流程等工作。只有運營者和網絡安全關鍵崗位人員明確職責，在面對網絡安全威脅時能夠各司其職，相互配合，才能有效避免網絡安全事件發生。

（2）完善關鍵信息基礎設施網絡安全人員知識結構標準體系

對網絡安全從業人員，不同的行業領域對網絡安全人員的資質、能力、培訓要求也不同。尤其是金融、能源、電子政務等關鍵行業的相關網絡信息安全規范或指南中，均明確提出了人員培訓或資質要求。目前，我國急需制定一套統一的關鍵信息基礎設施網絡安全從業人員認證能力評價體系和相關知識結構標準結構體系，通過相關體系確定各類網絡安全人員的主要職責及所需的知識、技能和能力標準，通過社會層面逐層落實，確保關鍵信息基礎設施網絡安全人員的培養更加符合當前國家的戰略需求。

（3）完善關鍵信息基礎設施網絡安全人員培訓體系

我國關鍵信息基礎設施網絡安全人員培訓存在行業標準不統一、市場雜亂無序，且還受到國外人員認證培訓機構侵蝕的問題，這嚴重影響了我國網絡安全人員培訓機構的正常有序發展。通過完善網絡安全人員培訓體系，能夠進一步規范行業市場，提高網絡安全人員培養速度和質量，進而促進和提高我國網絡安全專業人員隊伍素質和業務水平。

首先，可以對已有的關鍵信息基礎設施的運營商進行驗證，對使用關鍵信息基礎設施網絡服務的人員按領域與經驗進行分類，并制定不同的培訓課程。從當前關鍵信息基礎設施網絡使用現狀，可分為關鍵崗位網絡安全技術人員、運營者安全管理人員、決策人員三種類型。分別針對這三種類型，制定相關課程，如關鍵崗位網絡安全技術人員設置專業技術培訓與考核，運營者安全管理人員設置對關鍵信息基礎設施系統框架的建設與完善相關培訓課，決策人員的培訓課程應當重視關鍵信息基礎的整體戰略環境，但是，無論是哪類課程均應當開展對關鍵信息基礎設施網絡安全的風險分析和風險應對，以及保密與信息共享的相關規定。

其次，建立相關的激勵機制和對應人員數據庫，鼓勵網絡相關從業人員參與網絡與信息安全資格認證考試。加大宣傳力度，舉辦全國范圍內的網絡安全攻防比賽、區域網絡攻防比賽、高校網絡攻防比賽等，并設置相應的獎勵獎項，篩選網絡安全人員，將人員數據錄入數據庫。

（4）優化關鍵信息基礎設施相關法律法規

我國對于網絡安全的法律規定相對滯后，在很多方面還有待完善。因此，應當加強對發達國家關鍵信息基礎設施防護以及使用服務安全的法律法規學習并加以內化，充分考慮我國關鍵信息基礎設施在當前階段的實施現狀，優化我國在網絡安全和關鍵信息基礎設施建設的相關法律法規尤為重要。此外，通過分析國外對我國的網絡攻擊案例，對其中所需要的安全保護需求進行提煉，將其轉化為相應的法律訴求，用于優化我國網絡安全與信息基礎設施防護的法律條款，最終建立關鍵信息基礎設施系統安全協同防護法律模型，確立協同防護法律框架。

5 結 語

保障關鍵信息基礎設施網絡安全是網絡時代的首要任務，網絡安全人員隊伍的建設是數字化時代國家安全的必要選擇。通過對當前我國關鍵信息基礎設施網絡安全人員從業人員的現狀進行分析，對當前國內的關鍵信息基礎設施網絡安全人員隊伍建設提出優化措施，通過劃分崗位職責、完善標準、培訓認證體系、優化相關的法律法規，推進關鍵信息基礎設施網絡安全人員標準化隊伍建設，增強我國對于關鍵信息基礎設施網絡安全的防護效果。

參考文獻

[1]劉權.我國關鍵信息基礎設施安全保護邁入新階段[J].網絡安全和信息化，2021（10）：6-8.

[2]《中國信息安全》編輯部.關鍵信息基礎設施保護，安全企業的認識和踐行[J].中國信息安全， 2021（9）：51-59.

[3]張維.我國網絡安全保護進入新階段[J].公民與法（綜合版）， 2021（8）：13-16.

[4]余曉暉.開啟關鍵信息基礎設施安全保護新階段[J].網絡傳播， 2021（8）：32-35.

[5]馮運波，李加贊，姚慶天.關于電信網絡關鍵信息基礎設施保護的思考[J].中國信息安全，2021（11）：58-61.

作者簡介

趙倩倩，碩士，工程師，研究方向為網絡安全、認證認可。

尤其，碩士，高級工程師，研究方向為網絡安全、認證認可、人員培訓。

楊偉平，碩士研究生，工程師，研究方向為教育管理信息化、網絡安全。

（責任編輯：袁文靜）