信息安全教育是什么?
這是個問題。
近年來,全社會乃至全世界對于信息安全的重視程度不斷提升,負責培養(yǎng)安全人才的信息安全教育也越來越多被人們所重視。
但我們也可以看到,對于如何開展信息安全教育這件事來說,效率高、效果好、有持續(xù)性的安全培訓仍然只是一種理想的狀態(tài)。
或許,這一切該從安全人才本身說起。
安全人才 一個重中之重的超級替補
信息安全對于一家單位的日常業(yè)務(wù)來說,可以說是重中之重。每家單位都會安排負責信息安全的管理人員,根據(jù)業(yè)務(wù)形態(tài)和規(guī)模的不同,可能會是一個人,或者一個部門來負責日常的信息安全管理;當然,也有可能是“半個人”——安全工作壓力不大或者人力比較吃緊的單位會選擇讓有能力的員工做兼職安全工程師。
然而,雖然安全工作非常重要,安全管理人員卻往往都處在一個相對比較尷尬的地位上:由于安全部門(人員)本身并不創(chuàng)造價值,相關(guān)人員的工作也很難客觀地量化評估,往往是 “不出事沒事,出事就要打板子”。
加之安全從業(yè)者并不等同于信息安全人才,良莠不齊的信息安全保障隊伍也從客觀上對企業(yè)安全建設(shè)構(gòu)成了不小的隱患。
如何才能讓企業(yè)信息安全工作良性開展,讓信息安全人才擁有更大的能力提升空間?
這也是一個問題。
安全培訓 一場迫在眉睫的無把握之仗
針對信息安全建設(shè)和安全人才地位較低的問題,很多人為之做過巨大的努力。這其中,大力開展信息安全培訓可以說是比較卓有成效的工作之一。
隨著中央網(wǎng)絡(luò)安全和信息化領(lǐng)導小組(簡稱網(wǎng)信辦)的建立,“全民網(wǎng)安”的時代來臨,各企事業(yè)單位的信息安全建設(shè)也被提到了更高的層面來討論、規(guī)劃,各單位也再一次把目光投向了信息安全培訓領(lǐng)域,以期在廣泛普及信息安全知識方面能夠做更多、更深層次的工作。
對于信息安全從業(yè)者來說,這是個充滿機遇的好時代。
信息安全在全社會的地位提升讓信息安全人才更有用武之地,越來越多的企事業(yè)單位在尋求開辦各類培訓活動,同時隨著信息安全專業(yè)成為一級學科,各大高校也在加速開辟相關(guān)專業(yè)。一切都在向著最積極的方向發(fā)展著。
但是,機遇總是和挑戰(zhàn)并存。
從以往的培訓活動來看,有一系列的問題制約著培訓的效果。
首先是培訓內(nèi)容和形式。傳統(tǒng)的信息安全培訓主要以知識性內(nèi)容的教授為主,強調(diào)課堂學習和筆試檢驗學習成果。這在信息安全保障這個極其強調(diào)實操的領(lǐng)域,顯然很難培養(yǎng)出技術(shù)過硬的安全人才。另一方面,理論教學相對于實際工作中遇到的各類安全問題,往往從內(nèi)容上相對滯后,也相對偏常規(guī)化、普適化,對于很多新技術(shù)新漏洞的防護無法帶來有效的幫助,使培訓成果在實際工作中的意義大打折扣。
其次,傳統(tǒng)培訓由于其內(nèi)容滯后性,在日常工作中使用的機會也相對較少。缺乏實踐驗證的技術(shù)理論,更容易被學員遺忘,也進一步降低了培訓的有效性。
第三,傳統(tǒng)培訓通常采用的檢驗方式以筆試為主,一套考卷很難全面覆蓋所有技術(shù)點,同時對于很多動手能力強、理論知識相對較弱的學員來說,缺乏綜合考察個人能力的條件。一場培訓下來,分數(shù)背后的真正能力究竟為何,實在是一件沒人說得清的事。
隨著技術(shù)的發(fā)展和培訓方法的不斷革新,很多企業(yè)也在嘗試開辟新的安全人才培養(yǎng)和選拔模式,但探索之路充滿崎嶇,仍然有很多問題困擾著企業(yè)管理人員。
其中,很多企業(yè)都在考慮將模擬訓練平臺加入到日常的安全人才培養(yǎng)流程中,這種方式的好處非常明顯,受訓者通過搭建在模擬網(wǎng)絡(luò)環(huán)境中的練習平臺,對日常工作中常見的各類安全風險進行模擬排障演練,就像軍事訓練中的實彈演習一樣,充分鍛煉相關(guān)人員的應(yīng)變能力、策略水平和面對各類攻擊的心理承受力。
然而,由于不能在真正的業(yè)務(wù)網(wǎng)絡(luò)中進行相關(guān)的練習和考核,企業(yè)通常需要花費大量的資金和人力來進行相關(guān)系統(tǒng)的搭建、維護以及必要的升級,以應(yīng)對瞬息萬變的現(xiàn)實安全環(huán)境。這使得以往的實訓型人才培養(yǎng)模式只有“不差錢”的企業(yè)和單位才能實現(xiàn)。
還有一個問題也不容忽視,對于分支機構(gòu)遍布大江南北的企業(yè)和單位來說,人員異地培訓的成本往往讓人覺得不堪重負,差旅、誤工等問題帶來的資金與業(yè)務(wù)風險升高,都會使培訓的意義和必要性大打折扣。
因此,絕大多數(shù)的企業(yè)和單位在選擇安全人才培養(yǎng)模式的時候,只能選擇更容易操作的傳統(tǒng)安全培訓模式,一個老師,一份講義,一張考卷,繼續(xù)打著沒有人能看清楚結(jié)果的“無把握之仗”。
這一切將由誰來改變,誰能讓企業(yè)信息安全教育不再困難重重?
或許,這將不再是個問題。
讓我們拭目以待。