近年来,由于网络安全问题日益凸显,国内各类型政府机关、企事业单位无不加大了企业信息安全保障的投入力度,除了软硬件技术设备的投入之外,企业内部安全人员的培训也成为了重中之重。但对于很多大型企事业单位来说,举行安全培训不难,但要想举办一次带来切实效果的内部安全培训却并不容易,理论与实践脱节、缺乏实战能力以及考核无从下手等诸多问题困扰着每一位培训组织者。
不过近日,中国电信上海研究院通过全新的“在线培训+实践操作与考试结合”的培训方式,则向业界展示了一场“不一样”的企业内部网络安全培训。为了一探究竟,笔者特别采访了中国电信上海研究院互联网安全部叶莹。
理论脱离实践 传统“授课式”培训之困
据叶莹介绍,中国电信上海研究院作为中国电信集团的技术支撑“大后方”之一,对保障电信集团的网络安全担负着重大责任,定期开展内部安全人员培训、切实提升安全人员的技能水平是院内的一件大事。
以往电信内部安全人员培训主要以PPT讲解的模式为主,这种模式通常容易让学员对各类安全问题的认识和理解仅仅停留在理论知识层面,动手能力相对较低,遇到具体问题无法快速解决,需要相对长期的实习演练甚至是在与各类问题的持续“死磕”中才能获得实际操作的锻炼。
同时,传统培训方式还面临另一个无法解决的难点——评估难。每次培训之后,诸如学员的实际能力到底提升了多少、遇到安全问题能否从容应对、哪些人能够成为集团的技术带头人等一系列问题都无从考量。
因此,中国电信上海研究院非常希望能够寻找到一种新的培训方式,既解决理论联系实践的问题,又能解决评估问题,从而让新技术新业务内容普及、提升强化各省公司相关人员在新技术新业务评估技术实力、选拔各省公司新技术新业务评估人才等重要工作都能够更有效地开展,以此带动中国电信集团新技术新业务评估的学习氛围。
另外,中国电信上海研究院还有一个非常现实的培训需求:很多学员是来自全国各地的地区业务骨干,太长的培训周期难免会影响到各地的正常业务开展。所以电信方面希望能够尽量节省培训时间,在尽量短的培训时间内取得足够好的培训效果。
引入“网络攻防仿真平台” 把安全培训办成安全大赛
近年来,随着国家对网络安全重视程度的大幅提升,各类网络安全主题活动也呈现出蓬勃发展之势。如2015年上半年举办的“429首都网络安全日”、“2015中国计算机网络安全大会”等大型网络安全活动在广泛普及信息安全知识、提升信息安全教育水平的同时,更对活动的主办方提出了更高的要求。因此我们可以看到,在今年的各项网络安全活动中,一系列竞技性和实用性很高的网络安全竞赛逐渐成为了各大主题活动中一道必不可少的“大菜”。
叶莹此前也参加了很多网络安全活动,用他的话来说,今年的各种安全活动开始变得“不一样”了——越来越多的安全活动将安全竞赛环节放在了很重要的位置,让人印象深刻。在了解到今年国内主要赛事大部分都采用“网络攻防仿真实战平台”进行现场攻防演练和比赛之后,他萌生了一个想法:为什么不在企业内部安全培训中也做“实战教育”呢?为此,他专门与曾为多场国内大型安全攻防竞赛提供技术支撑的永信至诚公司进行了沟通,在了解到永信至诚利用网络攻防仿真平台已为多家企业成功举办过内部培训之后,更坚定了她在最近的安全培训中尝试“在线培训”和“实战演练”的信心。
在安全培训的筹备阶段,叶莹特别请来永信至诚公司的工程师与中国电信上海研究院的相关工作人员一起进行了细致的沟通。经过深入讨论,研究院最终决定采用永信至诚公司的“i春秋”在线教育平台推进本次企业内部安全培训。“‘i春秋’平台不仅能给我们提供安全培训所需要的在线视频教学,更重要的是它能提供一个在线实验和比赛的综合平台。” 叶莹谈到,“每节课都会有一个完全贴近实际环境的实验平台,可以真正确保学员在培训过程中理论联系实践,让每场培训都能物有所值。这是我们以往的培训活动所难以实现的,对安全培训效果的强化和检验都有非常积极的意义。”
在线培训+实操+考试 “i春秋”平台显峥嵘
结合中国电信上海研究院整体计划中对理论练习实践、评估考试、节省时间和成本的需求,永信至诚工程师基于“i春秋”平台开展了针对性的培训环境部署。
首先需要在线培训内容方面要高度贴近上海电信的业务场景。叶莹表示,上海电信需要重点防护的网络安全问题主要有两个方面:一是业务应用问题,如业务一致性业务数据篡改和密码找回问题等;二是系统、网络等设备配置缺陷所导致网络安全问题。
基于这两个重点需求,永信至诚工程师对培训课程进行了定制化调整,定制比例达到50%以上,在系统上近乎完美地模拟了上海电信的业务安全场景,并最终形成了培训课件。同时,通过深入理解培训的实际需求,工程师通过“i春秋”平台快速制定出了中国电信上海研究院所要求的实验环境,这样在培训课件的同时,便可以通过实验环境来进一步强化学员的动手能力,做到了理论和实践的真实结合。另外由于培训平台部署在云端,培训与实验环境的搭建过程也节约了大量的时间和经费。
在培训成果评估方面,永信至诚也进一步完善了的课后比赛与考核两方面的功能,学员们通过访问友好的登录页面、课程安排界面和考核页面,能够更便捷地了解到自己的考核排名和关注课程的排名。另一方面,研究院也可以对学员们的实际学习成果有了更为清晰的了解,为后续尖子学员的选拔提供了坚实的基础,从客观上也可以实现对整个集团学习气氛的带动。
随着学员培训成绩的公布,中国电信上海研究院本期的安全培训也落下了帷幕,叶莹终于可以舒缓一下多日来紧绷的神经。谈到对于这次培训的整体过程,他对笔者说道:“这次培训的效果非常好,学员们普遍反映培训非常新颖。大家能够在实操中迅速验证理论部分的学习,深化各个新技术新业务评估的安全点,从而能够在实际工作中更轻松地解决诸如sql注入、业务数据篡改、身份认证安全等常见安全问题。在未来,这种培训模式将会继续引入到各省公司的安全培训活动当中。”