信息安全教育是什么?
这是个问题。
近年来,全社会乃至全世界对于信息安全的重视程度不断提升,负责培养安全人才的信息安全教育也越来越多被人们所重视。
但我们也可以看到,对于如何开展信息安全教育这件事来说,效率高、效果好、有持续性的安全培训仍然只是一种理想的状态。
或许,这一切该从安全人才本身说起。
安全人才 一个重中之重的超级替补
信息安全对于一家单位的日常业务来说,可以说是重中之重。每家单位都会安排负责信息安全的管理人员,根据业务形态和规模的不同,可能会是一个人,或者一个部门来负责日常的信息安全管理;当然,也有可能是“半个人”——安全工作压力不大或者人力比较吃紧的单位会选择让有能力的员工做兼职安全工程师。
然而,虽然安全工作非常重要,安全管理人员却往往都处在一个相对比较尴尬的地位上:由于安全部门(人员)本身并不创造价值,相关人员的工作也很难客观地量化评估,往往是 “不出事没事,出事就要打板子”。
加之安全从业者并不等同于信息安全人才,良莠不齐的信息安全保障队伍也从客观上对企业安全建设构成了不小的隐患。
如何才能让企业信息安全工作良性开展,让信息安全人才拥有更大的能力提升空间?
这也是一个问题。
安全培训 一场迫在眉睫的无把握之仗
针对信息安全建设和安全人才地位较低的问题,很多人为之做过巨大的努力。这其中,大力开展信息安全培训可以说是比较卓有成效的工作之一。
随着中央网络安全和信息化领导小组(简称网信办)的建立,“全民网安”的时代来临,各企事业单位的信息安全建设也被提到了更高的层面来讨论、规划,各单位也再一次把目光投向了信息安全培训领域,以期在广泛普及信息安全知识方面能够做更多、更深层次的工作。
对于信息安全从业者来说,这是个充满机遇的好时代。
信息安全在全社会的地位提升让信息安全人才更有用武之地,越来越多的企事业单位在寻求开办各类培训活动,同时随着信息安全专业成为一级学科,各大高校也在加速开辟相关专业。一切都在向着最积极的方向发展着。
但是,机遇总是和挑战并存。
从以往的培训活动来看,有一系列的问题制约着培训的效果。
首先是培训内容和形式。传统的信息安全培训主要以知识性内容的教授为主,强调课堂学习和笔试检验学习成果。这在信息安全保障这个极其强调实操的领域,显然很难培养出技术过硬的安全人才。另一方面,理论教学相对于实际工作中遇到的各类安全问题,往往从内容上相对滞后,也相对偏常规化、普适化,对于很多新技术新漏洞的防护无法带来有效的帮助,使培训成果在实际工作中的意义大打折扣。
其次,传统培训由于其内容滞后性,在日常工作中使用的机会也相对较少。缺乏实践验证的技术理论,更容易被学员遗忘,也进一步降低了培训的有效性。
第三,传统培训通常采用的检验方式以笔试为主,一套考卷很难全面覆盖所有技术点,同时对于很多动手能力强、理论知识相对较弱的学员来说,缺乏综合考察个人能力的条件。一场培训下来,分数背后的真正能力究竟为何,实在是一件没人说得清的事。
随着技术的发展和培训方法的不断革新,很多企业也在尝试开辟新的安全人才培养和选拔模式,但探索之路充满崎岖,仍然有很多问题困扰着企业管理人员。
其中,很多企业都在考虑将模拟训练平台加入到日常的安全人才培养流程中,这种方式的好处非常明显,受训者通过搭建在模拟网络环境中的练习平台,对日常工作中常见的各类安全风险进行模拟排障演练,就像军事训练中的实弹演习一样,充分锻炼相关人员的应变能力、策略水平和面对各类攻击的心理承受力。
然而,由于不能在真正的业务网络中进行相关的练习和考核,企业通常需要花费大量的资金和人力来进行相关系统的搭建、维护以及必要的升级,以应对瞬息万变的现实安全环境。这使得以往的实训型人才培养模式只有“不差钱”的企业和单位才能实现。
还有一个问题也不容忽视,对于分支机构遍布大江南北的企业和单位来说,人员异地培训的成本往往让人觉得不堪重负,差旅、误工等问题带来的资金与业务风险升高,都会使培训的意义和必要性大打折扣。
因此,绝大多数的企业和单位在选择安全人才培养模式的时候,只能选择更容易操作的传统安全培训模式,一个老师,一份讲义,一张考卷,继续打着没有人能看清楚结果的“无把握之仗”。
这一切将由谁来改变,谁能让企业信息安全教育不再困难重重?
或许,这将不再是个问题。
让我们拭目以待。