网络安全人才培养工程

发布时间:2017-01-17 13:32  浏览:5927次

 

 培训宗旨

以客户需求为导向,以行业标准为依托,以互动咨询为过程,以专业技术为手段,帮助客户建立高效、稳定、可持续发展的信息安全管理体系。信息安全培训应根据客户不同的安全需求,不同的受众人群,设计一系列信息安全方面的课程,以满足客户对信息安全知识的渴求。

  1. 解决企业/机构的安全需求

经培训获得认证的信息安全专业人才能较好满足企业信息安全规划、建设、维护能力要求、解决各类突发信息安全问题,很大程度地提升安全技术、管理等方面的专业性和服务能力,从而为企业/机构的内外部客户提供更加专业和有效的安全服务。

  1. 解决个人的发展需求

获得认证证书对个人职务的升迁大有裨益:一个证书可能成为谁适合这个工作,谁不适合这个工作的决定性因素。

信息安全培训的社会需求分析

现代政府部门、金融机构、企事业单位和商业组织对IT系统的依赖日益加重,IT系统所承载的信息和服务的安全性就显得越发重要,网络信息系统的安全与否已成为影响国家安全的重要因素。因此,自主掌握最新的网络信息系统安全技术,在民族产业的支撑下建立计算机网络系安全保障体系,建立完善的网络信息系统安全管理体系已成为当务之急。中办发[2003]27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》中提出了“加快信息安全人才培养,增强全民信息安全意识”的指导精神,重点强调了信息安全人才培养的重要性。

但是,我国的信息安全人才培养现状却不容乐观,供、需双方存在明显的脱节:一方面,随着经济与社会的不断发展,国家对信息安全的要求会越来越高。相应的,国家对于信息安全人才的要求也会不断提高。据统计,我国现在信息安全人才每年的缺口在十万人以上,并且这一数字仍在不断增长。另一方面,信息安全作为正式的本科专业从2004年开始招生,每年毕业的专业人员数量极其有限。所以,许多信息安全从业人员都是从计算机、信息等专业转行过来的,亟需接受系统的专业培训。考虑到当前的教育体制偏重于理论知识的学习,缺乏理论和实践相结合的培养模式,即使信息安全专业的毕业生也存在动手能力不强的问题。可以说,随着对于信息安全人才需求的不断增长,我国对于信息安全培训的要求也越来越迫切。

信息安全技术的发展一日千里、永不停歇,这是由“道高一尺,魔高一丈”、“矛锐还是盾坚”的博弈推动的。就像矛与盾的话题永远都难以明辨是非一样,没有永远的安全。即使是专业出身的信息安全从业人员,也需要定期地参加培训,以了解信息安全发展的最新动态,并在工作中采取相应措施,适应新的安全形势。

综上所述,无论从国家战略层面对信息安全人才的需求、社会机构层面对人才素质越来越高的需求,还是信息安全技术飞速发展带来的各种挑战,信息安全培训都大有可为,信息安全培训的市场是广阔的。

培训内容

国内外的培训机构不仅数量多,而且课程体系、考试体系、教师梯队的建设已经相当完备,甚至建立了非常权威的认证体系,并在世界范围内得到认可,塑造的品牌形象深入人心。所以,如果我们也想在几年之内建立“大而全”的培训体系、和这些积累丰厚的强敌展开正面交锋,结果是不难预测的。反过来,我们也既有优势,也有长项:优势在于背靠了“计算机应急响应”这样一个特别的平台,在全国具有独一无二的号召了;我们的长项是一支始终活跃在信息安全科研前沿、产业化第一线的研究队伍。我们切入信息安全培训市场的切入点应该是去做细分市场,具体的想法是:

  1. 别人有的内容,我们做得更细、更深入。例如,别人都做防火墙,无非侧重于原理、基本配置,我们是否可以专注于防火墙的开发流程、更新的防火墙过滤技术及开发?侧重于对更高学习能力、开发能力的培养。
  2. 针对具体的行业,如金融、电信、政府等,是否可以设置各具特色的培训课程体系,适应不同的需求。这需要展开调研。
  3. 对非常前沿的信息安全技术、发展动态如何进行培训,一些高端人员、企业高管是否对这些内容更感兴趣。考核的方式是否可以以论文来进行?
  4. 结合北邮信息安全中心的科研,是否可以把灾备、数据恢复、软件安全、数据保护等作为培训专题?

当然在起步阶段,还是以争取各行各业的委托培训为宜,这样不存在市场推广的压力,经费上也能得到相应的保障。在此基础上,可以展开市场调研,培养自己的教师队伍。

 我国信息安全培训存在的问题

(1) 注重信息安全技术,轻视信息安全规划与管理

  • TCP/IP协议、无线网络、信息加密/解密、数字签名/数字水印、安全协议SSL/IPSEC/SET、病毒与木马;防火墙技术、IDS技术、VPN技术、UTM技术;安全产品功能测试技术、安全产品性能测试技术、安全系统性能测试技术等等。然而更多地忽略了信息安全法律法规、标准、信息安全项目管理、信息安全规划等内容,培训知识体系有待进一步完善。

(2) 注重信息安全技术应用,忽视信息安全测试技术

这与上面提到的我国信息安全培训更多地偏重于产品与技术层面有关,也与人们的信息安全观念落后有关,错误地认为信息安全问题只是技术人员的事情,并且对于信息安全产品只要会用就行了。所以,我国的信息安全培训的内容绝大多数把重点放在了信息安全技术的应用方面,比如上面所提到的信息加密/解密、安全协议、防火墙技术等知识,安全产品功能测试技术、安全产品性能测试技术、安全系统性能测试技术等等,而不是使学员力求从根源上掌握产品的原理,进而更加深入的运用信息安全技术。

与此同时,我国的信息安全产品基本上相互独立的,生产厂商也基本各自为战,而且懂得信息安全产品的原理、选型指标的人才绝大多数都在厂商里,提出信息安全保障需求的广大企事业单位与国家机关反而拥有非常少的专业人才。因此,我国的企事业单位与国家机关只能被动地接受某个厂商的产品,并且不得不接受厂商的培训,最终导致信息安全产品的运行与维护以至升级换代都离不开同一个厂商。这无疑会造成这样一个后果:我国的各种组织构建信息安全体系的工作通常会受制于厂商,并且使得信息安全保障的成本大大非常高。

  1. 信息安全培训理论与实践严重脱节

现在的信息安全培训绝大多数要么只讲授基本知识、基本原理,要么只教授实际操作技巧与程序。相对于信息安全产品来说,基本上偏重于前者,严重缺乏工作原理的探讨;相对于信息安全技术与工程培训和信息安全管理培训来说的,基本上属于后者。此外,对于信息安全方法论来说,我国的信息安全培训工作涉及到的更是微乎其微。

形成这种现象的原因主要是:国内外厂商为了各自的利益,都会宣传自己产品的优点,省略掉产品的缺陷,国内的各种教科书与培训教材中基本没有对各种信息安全产品客观的分析、对比与综合的陈述;另一方面,从社会机构培训经营角度来讲,这样做可以大大降低信息安全培训的成本,提高信息安全培训的利润。但是,由此造成的后果却是很严重的,那就是使得我国信息安全领域长期缺乏核心技术,信息安全技术人才的培养与科研的成果都难以完全满足国民经济与社会发展的需要。

总之,近十几年来,虽然我国的信息安全培训出的人员不断地增加,但是由于信息安全培训课程内容结构不尽合理,理论与实践严重脱节,致使目前我国信息安全人才仍然存在巨大的缺口,尤其缺乏高素质的掌握核心技术的信息安全技术人员与管理人员。我国信息安全培训行业真是名副其实的“任重而道远”。

Microsoft的信息安全认证MCSE

Microsoft Windows Server 2003 track 的微软认证系统工程师(MCSE):信息安全应试者必须通过五项核心考试和三项信息安全专门科目考试。表列出了可协助考生预备必要考试的微软官方学习产品(Official Microsoft Learning Products)和微软出版社的书籍。

表A.1 必考科目(需要 5 项考试)

必考科目:客户端操作系统(需要 1 项考试)

课程

考试 70-270:安装、设定与管理 Microsoft Windows XP Professional

课程 2272:Microsoft Windows XP Professional 的实作与支援(5 天)

课程 2285:安装、设定与管理 Microsoft Windows XP Professional(2 天)

考试 70-2101:安装、设定与管理 Microsoft Windows 2000 Professional

课程 2151:Microsoft Windows 2000 网络与操作系统基本功能(3 天)

课程 2152:实作 Microsoft Windows 2000 Professional 与 Server(5 天)

 

必考科目:网络系统(需要 4 项考试)

课程

考试 70-2902:管理与维护 Microsoft Windows Server 2003 环境

课程 2273:管理与维护 Microsoft Windows Server 2003 环境(5 天)

课程 2274:管理 Microsoft Windows Server 2003 环境(5 天)

课程 2275:维护 Microsoft Windows Server 2003 环境(3天)

课程 2208:升级支持技能从 Microsoft Windows NT 4.0 至 Microsoft Windows Server 2003(3 天)

考试 70-2912:实作、管理与维护 Microsoft Windows Server 2003 网络基础架构

课程 2276:建置 Microsoft Windows Server 2003 网络基础架构:网络主机(2 天)

课程 2277:建置、管理与维护 Microsoft Windows Server 2003 网络基础架构:网络服务(5 天)

课程 2208:升级支持技能从 Microsoft Windows NT 4.0 至 Microsoft Windows Server 2003(3 天)

考试 70-293:规划与维护 Microsoft Windows Server 2003 网络基础架构

课程 2278:规划与维护 Microsoft Windows Server 2003 网络基础架构(5 天)

考试 70-294:规划、实作与维护 Microsoft Windows Server 2003 Active Directory 基础架构

课程 2279:规划、实作与维护 Microsoft Windows Server 2003 Active Directory 基础架构(5 天)

 

表A.2信息安全专门科目(需要 3 项考试)

信息安全专门科目:必考设计科目(需要 1 项考试)

课程

考试 70-298:设计 Microsoft Windows Server 2003 网络的安全性

课程 2830:设计Microsoft 网络的安全性 (3 天)

 

信息安全专门科目:必考信息安全科目(需要 2 项考试)

课程

考试 70-299:在 Microsoft Windows Server 2003 网络中实作及管理信息安全

目前,还没有提供相对应的微软官方学习产品。

考试 70-227:安装、设定与管理 Microsoft Internet Security and Acceleration (ISA) Server 2000, Enterprise Edition

考试 SY0-101:CompTIA 安全性+

课程 2159:部署与管理 Microsoft Internet Security and Acceleration Server 2000 (3 天)

课程 2810:网络安全的基础 (4 天)

 我国信息安全培训发展对策与趋势

从总体来看,我国信息安全的培训工作中依然存在一定的问题,但是我们必须团结各方的力量,发挥各自的优势,重点针对信息安全培训中存在的这些问题,使我国的信息安全培训课程体系及方法上做出相应调整与完善,必将收到较为理想的效果。

(1) 在加强对信息安全技术应用培训的同时,必须增加对信息安全产品测试内容的培训

如前所述,我国的信息安全培训继续加强信息安全技术方面知识的应用普及是必要的,因为这是从事信息安全工作所必须具备的基本条件。但是仅有这还是远远不够的,还必须注重安全产品功能测试、安全产品性能测试、安全系统性能测试,以及信息安全测试工具的使用等。相对于专业科研人员来说,大部分的企事业单位的技术人员也要加强,不仅是信息安全设备购置选型的需要,而且更是信息安全工作管理、信息安全设备运维与升级换代的需要。

(2) 在加强信息安全应用与测试技术培训的同时,还必须重视信息安全规划与管理方面的培训

如前所述,信息安全工作是全局性的系统工作,它首先是人的问题,是一项管理工作,其次才是一项技术与工程的工作。所以,在信息安全技术应用与测试培训之外,我们必须加强信息安全的规划工作与管理工作。因为我们只有站在组织全局的角度进行规划与管理工作,建立健全科学信息安全保障计划,不断加强和改进信息安全保障机制,使组织的信息安全工作能够责任具体落实到人,严格遵守信息安全规章制度,才能做到信息安全技术操作有细致周密的规划与考核指标,信息安全保障个人、集体的奖惩有章可循,若遇到突发事件也有充足的应急预案。

(3) 必须加强信息安全培训的实践性

在信息安全培训中加强实践性,我可以几个方面进行努力:信息安全培训要多多地与实际工作相结合,多采用案例教学,不能抽象的仅仅为了培训而培训;信息安全培训要与科研相结合,通过科研成果来验证与推进信息安全理论;加大投入,充分利用信息安全保障工具,特别是充分发挥信息安全测试工具的作用,提高培训的效果。

只有做好上述几个方面的工作,我们才能培养更多的不同层次、不同领域的信息安全人才,才能不断提高各个组织的信息安全保障水平,从而不断改善我国各行各业的信息保障水平,进而不断提高我国信息安全的整体保障水平与能力,最终为推动我国的社会经济发展与人民生活稳定做出不可或缺的贡献。

出自于强烈的社会责任感,并且结合自身拥有的业务现状、技术优势与科研水平,中国软件评测中心设计了一套符合时代要求的、适应各种组织发展的信息安全培训系列课程。这些课程不仅包含了我国当前的主要安全保障技术的应用和测试技术,还包含规划与管理内容的培训;不仅处于我国信息安全的理论前沿,而且也在实践中结合当前最为先进的测试工具,以提高学员的理论水平和技术应用能力为核心进行科学授课。中国软件评测中心打造最好的信息安全培训体系与方法,积极为我国信息安全保障水平的提高,为我国各项事业的顺利发展提供更好的安全保障贡献最大力量。

咨询电话:010-62283755    崔老师