前言：想要寫(xiě)出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網(wǎng)絡(luò)信息安全培訓(xùn)方案范文，相信會(huì)為您的寫(xiě)作帶來(lái)幫助，發(fā)現(xiàn)更多的寫(xiě)作思路和靈感。

網(wǎng)絡(luò)信息安全培訓(xùn)方案范文第1篇

 

一、加強(qiáng)頂層設(shè)計(jì)，確立信息安全教育國(guó)家戰(zhàn)略

 

1.《網(wǎng)絡(luò)空間安全國(guó)家戰(zhàn)略》

 

布什政府在2003年2月了《網(wǎng)絡(luò)空間安全國(guó)家戰(zhàn)略》，其中首次從國(guó)家層面提出了“提高網(wǎng)絡(luò)安全意識(shí)與培訓(xùn)計(jì)劃”，指出，“除了信息技術(shù)系統(tǒng)的脆弱性外，要提高網(wǎng)絡(luò)的安全性至少面臨著兩個(gè)障礙：缺乏對(duì)安全問(wèn)題的了解和認(rèn)識(shí);無(wú)法找到足夠多的經(jīng)過(guò)培訓(xùn)或通過(guò)認(rèn)證的人員來(lái)建立并管理安全系統(tǒng)?！盀榇耍绹?guó)要開(kāi)展全國(guó)性的增強(qiáng)安全意識(shí)活動(dòng)，加強(qiáng)培訓(xùn)和網(wǎng)絡(luò)安全專業(yè)人員資格認(rèn)證。

 

2.《美國(guó)網(wǎng)絡(luò)安全評(píng)估》報(bào)告

 

2009年5月29日美國(guó)公布了《美國(guó)網(wǎng)絡(luò)安全評(píng)估》報(bào)告，評(píng)估了美國(guó)政府在網(wǎng)絡(luò)空間的安全戰(zhàn)略、策略和標(biāo)準(zhǔn)，指出了存在的問(wèn)題，提出行動(dòng)計(jì)戈IJ。所提議的優(yōu)先行動(dòng)計(jì)劃之一就是“加強(qiáng)公眾網(wǎng)絡(luò)安全教育”。

 

3.《國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃》(CNCI)

 

2010年3月2日，奧巴馬政府對(duì)前布什政府在2007年制定的一份國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃的部分內(nèi)容進(jìn)行解密。CNCI計(jì)劃提出要實(shí)現(xiàn)重要目標(biāo)之一就是：“為了有效地保證持續(xù)的技術(shù)優(yōu)勢(shì)和未來(lái)的網(wǎng)絡(luò)安全，必須制定一個(gè)技術(shù)熟練和精通網(wǎng)絡(luò)的勞動(dòng)力和未來(lái)員工的有效渠道。擴(kuò)大網(wǎng)絡(luò)教育，以加強(qiáng)未來(lái)的網(wǎng)絡(luò)安全環(huán)境?！?/p>

 

4.《國(guó)家網(wǎng)絡(luò)空間安全教育戰(zhàn)略計(jì)劃》

 

2011年8月11日，NIST授權(quán)《美國(guó)網(wǎng)絡(luò)

 

安全教育倡議戰(zhàn)略規(guī)劃：構(gòu)建數(shù)字美國(guó)》草案，征求公眾意見(jiàn)。該規(guī)劃是美國(guó)網(wǎng)絡(luò)安全教育倡議(NICE)的首個(gè)戰(zhàn)略規(guī)劃，闡明了NICE的任務(wù)、遠(yuǎn)景和目標(biāo)。NICE旨在通過(guò)創(chuàng)新的網(wǎng)絡(luò)行為教育、培訓(xùn)和加強(qiáng)相關(guān)意識(shí)，促進(jìn)美國(guó)的經(jīng)濟(jì)繁榮和保障國(guó)家安全，并通過(guò)以下三個(gè)目標(biāo)實(shí)現(xiàn)這一愿景：增強(qiáng)公眾有關(guān)網(wǎng)上活動(dòng)風(fēng)險(xiǎn)的意識(shí);擴(kuò)展能支持國(guó)家網(wǎng)絡(luò)安全的人員隊(duì)伍;建立和維持一支強(qiáng)大的具有全球競(jìng)爭(zhēng)力的網(wǎng)絡(luò)安全隊(duì)伍。

 

二、做好立法工作，完善法規(guī)標(biāo)隹體系

 

1.《聯(lián)邦信息安全管理法案》(FISMA)

 

2002年7月，美國(guó)政府制定了《聯(lián)邦信息安全管理法案》(FISMAhFISMA法案以立法的形式表明美國(guó)政府已經(jīng)認(rèn)識(shí)到信息安全對(duì)美國(guó)經(jīng)濟(jì)和國(guó)家安全利益的重要性，并從風(fēng)險(xiǎn)管理角度提出了一個(gè)有效的信息安全管理體系。信息安全教育與培訓(xùn)是信息安全管理體系中一個(gè)重要環(huán)節(jié)。

 

FISMA法案明確要求：聯(lián)邦政府機(jī)構(gòu)須為內(nèi)外部相關(guān)人員提供信息安全風(fēng)險(xiǎn)的安全意識(shí)培訓(xùn)，為此還提議了一個(gè)較為完善的國(guó)家安全意識(shí)及其培訓(xùn)系統(tǒng)。

 

2.國(guó)防部(DoD)8570指令

 

2005年12月，為了更好地支持“全球信息網(wǎng)格計(jì)戈j”，美國(guó)國(guó)防部了8570指令。該指令涵蓋以下主要內(nèi)容：建立技術(shù)基準(zhǔn)，管理職員的信息保障技能;實(shí)現(xiàn)正規(guī)的信息保障勞動(dòng)力技能培訓(xùn)和認(rèn)證活動(dòng);通過(guò)標(biāo)準(zhǔn)的測(cè)試認(rèn)證檢驗(yàn)信息保障人員的知識(shí)和技能;在基礎(chǔ)教育和實(shí)驗(yàn)教育中，持續(xù)的增加信息保障內(nèi)容。

 

3.聯(lián)邦政府信息技術(shù)安全培訓(xùn)標(biāo)準(zhǔn)(FIPS)

 

FISMA法案明確指定NIST負(fù)責(zé)制定聯(lián)邦政府(除國(guó)防、情報(bào)部門(mén)以外)所使用的信息安全技術(shù)、產(chǎn)品和培訓(xùn)方面的國(guó)家標(biāo)準(zhǔn)。目前，NIST已制定和兩部權(quán)威的信息安全培訓(xùn)標(biāo)準(zhǔn)：《信息技術(shù)安全培訓(xùn)要求：基于角色和表現(xiàn)的模型》(NISTSP800-16)和《建立信息安全意i只和培訓(xùn)方案》(NISTSP800—50)cNIST在SP800—16標(biāo)準(zhǔn)中提出了信息安全培訓(xùn)概念性的框架，依據(jù)這些框架，美國(guó)聯(lián)邦政府部門(mén)開(kāi)展了很多綜合性的聯(lián)邦計(jì)算臟務(wù)(FSC)項(xiàng)目。

 

4.網(wǎng)絡(luò)安全法案

 

2010年3月24日，美國(guó)參議院商務(wù)、科學(xué)和運(yùn)輸委員會(huì)全票通過(guò)了旨在加強(qiáng)美國(guó)網(wǎng)絡(luò)安全、幫助美國(guó)政府機(jī)構(gòu)和企業(yè)有效應(yīng)對(duì)網(wǎng)絡(luò)威脅的《網(wǎng)絡(luò)安全法案》。該法案要求政府機(jī)構(gòu)和私營(yíng)部門(mén)加強(qiáng)在網(wǎng)絡(luò)安全領(lǐng)域方面的信息共享，強(qiáng)調(diào)通過(guò)市場(chǎng)手段，鼓勵(lì)培養(yǎng)網(wǎng)絡(luò)安全人才，開(kāi)發(fā)網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)。

 

三、構(gòu)建信息網(wǎng)絡(luò)安全組織機(jī)構(gòu)，健全安全教育培訓(xùn)管理體制

 

為了落實(shí)信息安全教育培訓(xùn)相關(guān)政策和法律法規(guī)，美國(guó)將協(xié)調(diào)、執(zhí)行、監(jiān)督、管理等權(quán)利分配給多個(gè)政府部門(mén)，依據(jù)最新的《國(guó)家網(wǎng)絡(luò)安全教育戰(zhàn)略計(jì)劃》的思路，國(guó)家標(biāo)準(zhǔn)技術(shù)研究所(NIST)為整個(gè)計(jì)劃的負(fù)責(zé)單位，協(xié)調(diào)其他部門(mén)參與計(jì)劃的實(shí)施;國(guó)土安全部(DHS)、國(guó)防部(DoD)、國(guó)務(wù)院、教育部和國(guó)家科學(xué)基金會(huì)(NSF)協(xié)力加強(qiáng)公眾的信息安全意識(shí);DHS、海關(guān)總署、NSF和國(guó)家安全局(NSA)共同加強(qiáng)從業(yè)人員f支術(shù)能力;DHS、DoD、NIST、NSA、NSF和人事管理局(OPM)負(fù)責(zé)建立高端網(wǎng)絡(luò)安全人才隊(duì)伍。

 

社會(huì)各界積極參與

 

行業(yè)協(xié)會(huì)已經(jīng)站到了信息安全教育培訓(xùn)的前沿，成為信息安全教育培訓(xùn)的踐行者。其職責(zé)主要是協(xié)助有關(guān)部門(mén)制定信息安全教育與培訓(xùn)的標(biāo)準(zhǔn)，組織持續(xù)的教育活動(dòng)，并向內(nèi)部成員單位實(shí)施培訓(xùn)。行業(yè)協(xié)會(huì)自身作為提供教育和培訓(xùn)的主體，一方面可以根據(jù)政府的引導(dǎo)和企業(yè)的需求來(lái)設(shè)置培訓(xùn)內(nèi)容;另一方面可以利用政府和產(chǎn)業(yè)界的資源，充分發(fā)揮其在信息安全領(lǐng)域內(nèi)不可替代的社會(huì)職能。行業(yè)協(xié)會(huì)提供的培訓(xùn)標(biāo)準(zhǔn)是政府制定的培訓(xùn)標(biāo)準(zhǔn)的主要補(bǔ)充，為規(guī)范和完善美國(guó)信息安全培訓(xùn)行業(yè)提供了切實(shí)可行的保障。

 

(1)國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)(丨SACA)

 

國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)(ISACA)是一個(gè)為信息管理、控制、安全和審計(jì)專業(yè)設(shè)定規(guī)范標(biāo)準(zhǔn)的全球性組織，會(huì)員遍布逾160個(gè)國(guó)家，總數(shù)超過(guò)86,000人。ISACA成立于1969年，除贊助舉辦國(guó)際會(huì)議外，還編輯出版《信息系統(tǒng)監(jiān)控期刊》，制定國(guó)際信息系統(tǒng)的審計(jì)與監(jiān)控標(biāo)準(zhǔn)，以及頒授國(guó)際廣泛認(rèn)可的注冊(cè)信息系統(tǒng)審計(jì)師(CISA)專業(yè)資格認(rèn)證。CISA認(rèn)證體系已通過(guò)美國(guó)國(guó)家標(biāo)準(zhǔn)協(xié)會(huì)(ANSI)依照ISO/IEC17024:2003標(biāo)準(zhǔn)對(duì)其進(jìn)行的資格鑒定。同時(shí)，美國(guó)國(guó)防部也認(rèn)可了CISA認(rèn)證，并將其納入到國(guó)防系統(tǒng)信息技術(shù)人員技能商業(yè)資格認(rèn)證體系當(dāng)中。這產(chǎn)生了以下四方面的作用：認(rèn)可CISA認(rèn)證所提供的特有資格和專業(yè)知識(shí)技能;保護(hù)認(rèn)證的信譽(yù)并提供法律保護(hù);增進(jìn)消費(fèi)者和公眾對(duì)本認(rèn)證和持證者的信心;使跨國(guó)、跨行業(yè)的人才流動(dòng)更加便利。

 

(2)美國(guó)系統(tǒng)網(wǎng)絡(luò)安全(SANS)研究院SANS是于1989年創(chuàng)立的美國(guó)非政府組織(NGO)，是一所具有代表性的從事網(wǎng)絡(luò)安全研究教育的專業(yè)機(jī)構(gòu)。1999年SANS首次推出了安全技術(shù)認(rèn)證程序(GIAC)。

 

GIAC認(rèn)證程序有以下幾個(gè)特點(diǎn)：

 

GIAC提供超過(guò)20種的信息安全認(rèn)證，其大多數(shù)符合DOD8570指令。GIAC依據(jù)國(guó)家標(biāo)準(zhǔn)對(duì)安全專業(yè)人員及開(kāi)發(fā)人員進(jìn)行各方面技能認(rèn)證。GIAC安全認(rèn)證分為入門(mén)級(jí)信息安全基礎(chǔ)認(rèn)證(GISF)和高級(jí)安全要素認(rèn)證(GSEC)。兩種認(rèn)證都重點(diǎn)考察安全基礎(chǔ)知識(shí)，保證揺正人員擁有必備的安全技能。其它GIAC安全認(rèn)證包括：認(rèn)證防火墻分析師(確認(rèn)設(shè)計(jì)、配置和監(jiān)控路由器、防火墻和其它邊界設(shè)備所需的知識(shí)、技能和能力)、認(rèn)證入侵分析師(評(píng)估考生配置和監(jiān)控入侵檢測(cè)系統(tǒng)的知識(shí))、認(rèn)證事故處理員(考察考生處理事故和攻擊的能力)和認(rèn)證司法辯論分析師(考查考生高效處理正式司法調(diào)查的能力。

 

(3)國(guó)際信息系統(tǒng)安全認(rèn)證聯(lián)盟(ISC)2

 

國(guó)際信息系統(tǒng)安全核準(zhǔn)聯(lián)盟(ISC)2成立于1989年，是一家致力于為全球信息系統(tǒng)安全從業(yè)人員提供信息安全專業(yè)技能培訓(xùn)和認(rèn)證的國(guó)際領(lǐng)先非營(yíng)利組織。在(ISC)2各種認(rèn)證中，CISSP數(shù)量最多。截至2010年底，全球共有75000名CISSP獲證人員，其中，美國(guó)獲證人員數(shù)量超過(guò)70%^CISSP獲證人員中，約30%在政府部門(mén)工作，40%從事信息安全月服務(wù)行業(yè)，30%從事用戶終端工作。

 

注冊(cè)信息系統(tǒng)安全專業(yè)人員通用知識(shí)體(CISSPCBK)提供了通用的信息安全術(shù)語(yǔ)和原理框架，使得全世界的信息安全專業(yè)人員能夠以相同的術(shù)語(yǔ)和理念，討論、辯論和解決信息安全相關(guān)問(wèn)題。

網(wǎng)絡(luò)信息安全培訓(xùn)方案范文第2篇

1.1建設(shè)標(biāo)準(zhǔn)化的信息安全管理體系

通過(guò)標(biāo)準(zhǔn)化管理實(shí)現(xiàn)信息安全標(biāo)準(zhǔn)化作業(yè)管理，定期對(duì)信息安全管理制度進(jìn)行評(píng)價(jià)審定，對(duì)存在問(wèn)題或需要改善的管理制度進(jìn)行修訂改善。

1.2建立完善信息安全管理組織機(jī)構(gòu)

設(shè)立信息安全管理工程師、網(wǎng)絡(luò)工程師、系統(tǒng)工程師等崗位，并明確各崗位相關(guān)職責(zé)，關(guān)鍵崗位實(shí)行備崗制度。應(yīng)加強(qiáng)各崗位人員之間、信息安全管理負(fù)責(zé)部門(mén)和業(yè)務(wù)部門(mén)、后勤保障部門(mén)之間的溝通，共同負(fù)責(zé)協(xié)調(diào)處理信息安全問(wèn)題。

1.3建立嚴(yán)格的審核流程

嚴(yán)格審查信息安全管理人員的聘用錄取流程，審查其工作經(jīng)歷和任職過(guò)程，關(guān)鍵崗位應(yīng)簽署保密協(xié)議，明確相關(guān)人員信息安全責(zé)任；及時(shí)終止離退休人員的系統(tǒng)訪問(wèn)權(quán)限；對(duì)外來(lái)人員、第三方技術(shù)支持人員進(jìn)行嚴(yán)格控制和監(jiān)督，實(shí)行專人陪同或監(jiān)督，并將訪問(wèn)時(shí)間、訪問(wèn)過(guò)程全過(guò)程登記備案。

1.4開(kāi)展測(cè)試評(píng)估工作

新開(kāi)發(fā)的業(yè)務(wù)系統(tǒng)、新建設(shè)的網(wǎng)絡(luò)系統(tǒng)應(yīng)加強(qiáng)安全防護(hù)措施建設(shè)，結(jié)合企業(yè)實(shí)際情況，建設(shè)針對(duì)性的安全防護(hù)方案；從長(zhǎng)期安全和國(guó)際安全來(lái)看，最好使用安全性較高、質(zhì)量較好的國(guó)產(chǎn)化產(chǎn)品；系統(tǒng)正式投入使用之前，應(yīng)委托有資質(zhì)的第三方專業(yè)測(cè)試單位對(duì)系統(tǒng)進(jìn)行安全性、穩(wěn)定性測(cè)試，根據(jù)測(cè)試報(bào)告對(duì)系統(tǒng)進(jìn)行可用性、穩(wěn)定性、安全性評(píng)估，不符合評(píng)估要求的，需要進(jìn)行相關(guān)整改，整改之后重新進(jìn)行測(cè)試評(píng)估，滿足要求之后應(yīng)該試運(yùn)行一段時(shí)間。

1.5加強(qiáng)系統(tǒng)軟硬件環(huán)境的全過(guò)程管理

（1）加強(qiáng)系統(tǒng)相關(guān)硬件環(huán)境的規(guī)范管理，特別是重要信息機(jī)房、通信機(jī)房的規(guī)范管理，確保機(jī)房溫濕度、防水、防火、防盜、安全監(jiān)控等運(yùn)行環(huán)境符合要求，制定機(jī)房出入管理規(guī)定，嚴(yán)格機(jī)房出入管理，包括設(shè)備巡視維護(hù)人員、業(yè)務(wù)人員、第三方人員等等在內(nèi)的所有人員都應(yīng)嚴(yán)格實(shí)行出入管理規(guī)定，做好出入記錄和工作過(guò)程的記錄。（2）加強(qiáng)軟件系統(tǒng)授權(quán)管理，根據(jù)各個(gè)系統(tǒng)角色的單位部門(mén)、工作職責(zé)、安全責(zé)任及工作范圍等方面進(jìn)行訪問(wèn)權(quán)限劃分，按照最小授權(quán)原則，明確各個(gè)系統(tǒng)角色的權(quán)限、責(zé)任和風(fēng)險(xiǎn)；日常維護(hù)操作過(guò)程都應(yīng)詳細(xì)記錄，嚴(yán)格操作授權(quán)管理機(jī)流程管理，任何未經(jīng)授權(quán)的操作和錯(cuò)誤的操作流程都要嚴(yán)格禁止和限制；定期進(jìn)行漏洞掃描和補(bǔ)丁更新工作。（3）加強(qiáng)病毒防護(hù)管理，通過(guò)多種方式開(kāi)展培訓(xùn)教育，增強(qiáng)企業(yè)員工防病毒意識(shí)，不打開(kāi)、閱讀來(lái)歷不明的郵件，不隨意發(fā)送涉及公司企業(yè)秘密的郵件；要指定專人做好病毒分析、記錄和查殺工作。（4）嚴(yán)格系統(tǒng)變更、系統(tǒng)重要操作、物理訪問(wèn)和系統(tǒng)接入申報(bào)和審批程序，建立健全變更管理制度。保證所有訪問(wèn)均得到授權(quán)和批準(zhǔn)，進(jìn)行必要的安全隔離，配置嚴(yán)格的訪問(wèn)控制策略。

1.6加強(qiáng)員工信息安全培訓(xùn)

每年開(kāi)展信息安全知識(shí)普及工作，提高企業(yè)全體員工信息安全意識(shí)；每年開(kāi)展信息安全專項(xiàng)知識(shí)培訓(xùn)，并將信息安全培訓(xùn)納入到企業(yè)培訓(xùn)考核工作當(dāng)中，確保信息安全培訓(xùn)達(dá)到應(yīng)有效果；加強(qiáng)企業(yè)領(lǐng)導(dǎo)和管理人員的信息安全培訓(xùn)，增強(qiáng)領(lǐng)導(dǎo)層、管理層的信息安全意識(shí)。

1.7加強(qiáng)應(yīng)急預(yù)案管理工作

不斷完善應(yīng)急預(yù)案，做好應(yīng)急預(yù)案的分類(lèi)管理工作，既要有企業(yè)整體應(yīng)急預(yù)案，也要有各個(gè)專項(xiàng)應(yīng)急預(yù)案；做好應(yīng)急物資儲(chǔ)備調(diào)用工作，確保人員、物資等應(yīng)急保障資源能及時(shí)可調(diào)可用。

1.8嚴(yán)格制定實(shí)施細(xì)則

確保信息安全風(fēng)險(xiǎn)評(píng)估工作做到常態(tài)化和制度化，及時(shí)落實(shí)整改，消除信息安全隱患。

2安全技術(shù)措施

2.1加強(qiáng)信息機(jī)房管理

通信機(jī)房安全建設(shè)管理工作，機(jī)房建設(shè)要符合國(guó)家相關(guān)規(guī)定，機(jī)房位置選擇時(shí)，應(yīng)選擇遠(yuǎn)離強(qiáng)噪聲源、粉塵、油煙、有害氣體等場(chǎng)地，并且要避開(kāi)強(qiáng)電磁場(chǎng)干擾，不要將機(jī)房選在地下室或者頂層等場(chǎng)地，選擇中間二、三層較安全。

2.2加強(qiáng)信息網(wǎng)絡(luò)安全管理

（1）信息網(wǎng)絡(luò)核心交換機(jī)、匯聚交換機(jī)、核心路由器等核心網(wǎng)絡(luò)設(shè)備要配置冗余設(shè)備，其上下行鏈路也要做好雙鏈路備份，并根據(jù)業(yè)務(wù)需要合理分配網(wǎng)絡(luò)資源；做好設(shè)備的授權(quán)訪問(wèn)控制，配置訪問(wèn)列表、IP/MAC綁定、vlan訪問(wèn)限制等安全措施，防止未經(jīng)授權(quán)的訪問(wèn)操作發(fā)生。（2）采用網(wǎng)絡(luò)行為管理設(shè)備、安全隔離裝置、入侵防御設(shè)備（IPS）等安全設(shè)備對(duì)網(wǎng)絡(luò)邊界實(shí)施網(wǎng)絡(luò)隔離、流量控制、訪問(wèn)行為審查和防御。（3）嚴(yán)格數(shù)據(jù)庫(kù)訪問(wèn)管理,實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶訪問(wèn)權(quán)限分離，對(duì)訪問(wèn)權(quán)限一致的用戶進(jìn)行分組，訪問(wèn)控制粒度應(yīng)達(dá)到主體為用戶級(jí)，客體為文件、數(shù)據(jù)庫(kù)表級(jí)；控制單個(gè)用戶的多重并發(fā)會(huì)話和最大并發(fā)連接數(shù)，限制單個(gè)用戶對(duì)系統(tǒng)資源、磁盤(pán)空間的最大或最小使用限度，當(dāng)系統(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值時(shí)，應(yīng)能檢測(cè)并報(bào)警。

2.3加強(qiáng)保密存儲(chǔ)管理

對(duì)重要和敏感信息實(shí)行加密傳輸和存儲(chǔ)，特別是移動(dòng)存儲(chǔ)管理，應(yīng)嚴(yán)格限制移動(dòng)設(shè)備的訪問(wèn)權(quán)限，包括辦公筆記本和存儲(chǔ)U盤(pán)，防止信息泄密；對(duì)重要信息實(shí)行自動(dòng)、定期備份，防止數(shù)據(jù)丟失。

3結(jié)語(yǔ)

網(wǎng)絡(luò)信息安全培訓(xùn)方案范文第3篇

關(guān)鍵詞：民辦高校信息化建設(shè)；信息資源特性；信息資源安全保障

中圖分類(lèi)號(hào)：G647

近年來(lái)，民辦高校逐步實(shí)現(xiàn)了管理手段的現(xiàn)代化，但是，由于民辦高校起步晚，信息安全技術(shù)相對(duì)落后，致使其信息資源安全無(wú)法得到有效地保障。因此，如何采取有效措施保障信息資源安全，提高自身的信息化水平，已經(jīng)成為影響民辦學(xué)?！翱缭绞桨l(fā)展”的關(guān)鍵問(wèn)題之一。

1 加強(qiáng)民辦高校信息資源安全保障的必要性

近年來(lái)，各民辦高校對(duì)計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)的依賴程度也越來(lái)越高，隨之而來(lái)的民辦高校信息資源安全[1-5]問(wèn)題也日益突出。目前，關(guān)于民辦高校信息資源安全問(wèn)題的研究，在理論和實(shí)踐上還不很成熟，國(guó)內(nèi)外也缺少相對(duì)成熟的成套理論與通用模式，因此，如何有效地對(duì)民辦學(xué)校信息資源進(jìn)行有效管理，探索各種民辦高校信息資源安全問(wèn)題的應(yīng)對(duì)策略，已經(jīng)成為民辦高校信息化建設(shè)中迫切需要解決的問(wèn)題。

2 民辦高校信息資源特性

概括下來(lái)，民辦高校信息資源具有以下特性：

（1）來(lái)源開(kāi)放性。民辦高校的某些信息資源可由校內(nèi)外人員以各種途徑和傳播。所以，這些信息資源是開(kāi)放式的，也往往是比較難管理的。

（2）內(nèi)容多元性。由于大多數(shù)民辦高校都已擁有了自己的各類(lèi)信息系統(tǒng)，因此，信息資源也因信息系統(tǒng)內(nèi)容不同而呈現(xiàn)出多元性。

（3）政策動(dòng)態(tài)性。在民辦高校發(fā)展過(guò)程中，根據(jù)不同的信息資源現(xiàn)狀，決策者不同時(shí)期的決策也具有差異性，使得信息資源具有濃重的政策動(dòng)態(tài)性。

（4）影響廣泛性。目前，民辦高校大部分信息系統(tǒng)師生參與度高，涉及面廣，若不能及時(shí)處理由此引發(fā)的安全問(wèn)題，將會(huì)可能影響正常教學(xué)活動(dòng)展開(kāi)、科研辦公等，甚至可能會(huì)造成混亂。

（5）問(wèn)題突發(fā)性。隨著民辦高校對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的依賴程度越來(lái)越高，關(guān)于信息資源的問(wèn)題復(fù)雜多變又非常隱蔽，若出現(xiàn)了安全問(wèn)題，在極短時(shí)間內(nèi)就可通過(guò)網(wǎng)絡(luò)引起校內(nèi)外人員關(guān)注并被迅速傳播，極易引發(fā)突發(fā)性信息資源的安全事件。

3 民辦高校面臨的信息資源安全風(fēng)險(xiǎn)

由于民辦高校信息資源的不同特性，其引發(fā)安全問(wèn)題也具有多樣性與復(fù)雜性。然而，由于信息資源安全問(wèn)題的隱蔽性與復(fù)雜多變性，并未引起足夠的重視，使得民辦高校面臨各種可能的信息資源安全風(fēng)險(xiǎn)。

3.1 信息資源安全宣傳教育力度不夠，部分師生安全意識(shí)淡薄

由于自身體制的原因，大多數(shù)民辦高校對(duì)信息資源安全的重視不夠，較少開(kāi)展關(guān)于信息資源安全的各種宣傳教育與培訓(xùn)活動(dòng)，導(dǎo)致部分師生安全意識(shí)不強(qiáng)，在使用相關(guān)信息系統(tǒng)時(shí)，往往只注重使用，并未過(guò)多地顧及信息資源的安全性，只能被動(dòng)地解決信息資源安全問(wèn)題。

3.2 信息資源安全培訓(xùn)欠缺，信息安全人員技術(shù)水平有待提高

目前，雖然各種信息系統(tǒng)已在大多數(shù)民辦高校得到廣泛應(yīng)用，但由于缺乏專業(yè)的信息資源安全管理人才和配套的信息安全培訓(xùn)，造成現(xiàn)有信息安全人員技術(shù)水平相對(duì)不高，無(wú)法及時(shí)發(fā)現(xiàn)并處理信息資源的安全隱患，影響了民辦高校信息化建設(shè)進(jìn)程。

3.3 信息資源安全保障投入有限，缺乏信息安全總體規(guī)劃

相對(duì)于公辦高校而言，民辦高校資金匱乏，對(duì)信息安全保障并未進(jìn)行過(guò)多地投入，也沒(méi)有設(shè)置專門(mén)負(fù)責(zé)信息資源安全的部門(mén)。另外，民辦高校缺乏信息資源安全總體規(guī)劃，當(dāng)出現(xiàn)信息資源安全問(wèn)題時(shí)，往往只能被動(dòng)地解決，沒(méi)有一整套的信息資源安全預(yù)警機(jī)制來(lái)防范，從而給民辦高校信息化建設(shè)帶來(lái)了一定的難度。

由于安全意識(shí)淡薄，宣傳不到位，沒(méi)能引起相關(guān)部門(mén)關(guān)于信息資源安全問(wèn)題的足夠重視，使得民辦高校信息化建設(shè)發(fā)展緩慢，信息化水平相對(duì)落后。如何有針對(duì)性地解決信息資源安全風(fēng)險(xiǎn)，成為民辦高校信息化建設(shè)下一步的工作重點(diǎn)。

4 民辦高校信息資源安全保障的應(yīng)對(duì)策略

為了更好地推進(jìn)民辦高校信息化建設(shè)，民辦高校需要加大投入力度，大力宣傳信息資源安全，強(qiáng)化師生安全意識(shí)，開(kāi)展必要的專業(yè)信息資源安全培訓(xùn)，培養(yǎng)一批高水平的信息資源安全人才隊(duì)伍。要做好民辦高校信息資源安全保障，需要從以下幾個(gè)方面來(lái)應(yīng)對(duì)。

4.1 強(qiáng)化監(jiān)督與管理，加強(qiáng)信息資源安全培訓(xùn)和宣傳教育，增強(qiáng)信息資源安全意識(shí)和責(zé)任感，切實(shí)提高信息資源安全管理水平

一方面，民辦高?？梢悦磕甓榷ㄆ诮M織相關(guān)管理人員進(jìn)行信息安全教育培訓(xùn)，普及信息資源安全知識(shí)。另一方面，民辦高?？梢酝ㄟ^(guò)講座、校報(bào)、校內(nèi)廣播、網(wǎng)上瀏覽等多種形式來(lái)普及安全知識(shí)，對(duì)廣大師生進(jìn)行信息資源安全宣傳教育，營(yíng)造良好的信息安全環(huán)境。

4.2 加強(qiáng)信息資源安全人才隊(duì)伍建設(shè)，培養(yǎng)專業(yè)信息資源安全人才

信息安全人才隊(duì)伍建設(shè)是建立民辦高校信息資源安全保障體系和民辦高校信息化建設(shè)健康發(fā)展的重要保證。因此，各民辦高校應(yīng)該圍繞信息資源安全需要，不斷完善信息資源安全人才培養(yǎng)方案，努力打造一支富有信息資源安全意識(shí)、信息管理技術(shù)過(guò)硬的信息資源安全人才隊(duì)伍。

4.3 多種方式提高民辦高校信息資源安全保障能力

民辦高?？梢远ㄆ趯?duì)已有的各種信息系統(tǒng)進(jìn)行日常安全檢查，加強(qiáng)對(duì)各種信息資源的管理，及時(shí)進(jìn)行信息安全產(chǎn)品更新?lián)Q代，減少信息資源安全問(wèn)題出現(xiàn)的可能性，努力提高民辦高校信息資源安全保障能力。

4.4 構(gòu)建民辦高校信息資源安全保障體系

信息資源安全問(wèn)題具有內(nèi)容多元性的特點(diǎn)，正是這個(gè)特點(diǎn)，單一的信息資源安全防范措施并不能很好地解決出現(xiàn)的信息安全問(wèn)題。通過(guò)構(gòu)建民辦高校信息資源安全保障體系，將會(huì)有效提高民辦高校信息化水平。

5 結(jié)論

隨著高校信息化的逐步深入，民辦高校信息資源安全問(wèn)題日益突出。在分析了民辦高校信息資源安全保障的必要性后，本文歸納了民辦高校信息資源安全特點(diǎn)，提出了目前民辦高校面臨的信息資源安全風(fēng)險(xiǎn)，在此基礎(chǔ)上，給出了民辦高校信息資源安全保障對(duì)策，力圖達(dá)到提高民辦高校信息化水平，保證民辦高校信息化建設(shè)健康發(fā)展的研究目的。

參考文獻(xiàn)：

[1]熊平.高校信息安全教育改革[J].科技咨詢導(dǎo)報(bào)，2007，10：167-168.

[2]鄧吉平.論新時(shí)期高校信息安全保密工作[J].科技創(chuàng)新導(dǎo)報(bào)，2008（35）：178-178.

[3]楊瑩.高校信息安全探討[J].電腦知識(shí)與技術(shù)，2008，4（36）：2955-2956.

[4]楊建國(guó).網(wǎng)絡(luò)環(huán)境下高校信息安全的管理[J].安慶師范學(xué)院學(xué)報(bào)（社會(huì)科學(xué)版），2004，23（2）：61-63.

[5]孟壇魁，梁藝軍.高校信息安全體系建設(shè)與實(shí)踐[J].實(shí)驗(yàn)技術(shù)與管理，2011，28（6）：122-124.

作者簡(jiǎn)介：何建倉(cāng)（1984-），通訊作者，男，河南新鄉(xiāng)人，研究生，助教，研究方向：粗糙集、粒計(jì)算；巨筱（1976-），講師，研究方向：計(jì)算機(jī)教育；牛丹丹（1985-），女，助教，研究方向：LTE協(xié)議棧。

網(wǎng)絡(luò)信息安全培訓(xùn)方案范文第4篇

信息安全準(zhǔn)則是風(fēng)險(xiǎn)評(píng)估和制定最優(yōu)解決方案的關(guān)鍵，優(yōu)秀的信息安全準(zhǔn)則包括：根據(jù)企業(yè)業(yè)務(wù)目標(biāo)執(zhí)行風(fēng)險(xiǎn)管理；有組織的確定員工角色和責(zé)任；對(duì)用戶和數(shù)據(jù)實(shí)行最小化權(quán)限管理；在應(yīng)用和系統(tǒng)的計(jì)劃和開(kāi)發(fā)過(guò)程中就考慮安全防護(hù)的問(wèn)題；在應(yīng)用中實(shí)施逐層防護(hù)；建立高度集成的安全防護(hù)框架；將監(jiān)控、審計(jì)和快速反應(yīng)結(jié)合為一體。良好信息安全準(zhǔn)則可以讓企業(yè)內(nèi)外部用戶了解企業(yè)信息安全理念，從而讓企業(yè)信息管理部門(mén)更好地對(duì)風(fēng)險(xiǎn)進(jìn)行管控。

2企業(yè)信息安全管理的主要手段

2.1網(wǎng)絡(luò)安全

（1）保證安全的外部人員連接。在日常工作中，外部合作伙伴經(jīng)常會(huì)提出聯(lián)入企業(yè)內(nèi)網(wǎng)的需求，由于這些聯(lián)入內(nèi)網(wǎng)的外部人員及其終端并不符合企業(yè)的信息安全標(biāo)準(zhǔn)，因此存在信息安全隱患?？刂拼祟?lèi)風(fēng)險(xiǎn)的手段主要有：對(duì)用戶賬戶使用硬件KEY等強(qiáng)驗(yàn)證手段；全面管控外部單位的網(wǎng)絡(luò)接入等。

（2）遠(yuǎn)程接入控制。隨著VPN技術(shù)的不斷發(fā)展，遠(yuǎn)程接入的風(fēng)險(xiǎn)已降低到企業(yè)的可控范圍，而近年來(lái)移動(dòng)辦公的興起更是推動(dòng)了遠(yuǎn)程接入技術(shù)的發(fā)展。企業(yè)采用USBKEY，動(dòng)態(tài)口令牌等硬件認(rèn)證方式的遠(yuǎn)程接入要更加的安全。

（3）網(wǎng)絡(luò)劃分。在過(guò)去，企業(yè)內(nèi)部以開(kāi)放式的網(wǎng)絡(luò)為主。隨著網(wǎng)絡(luò)和互聯(lián)網(wǎng)信息技術(shù)的成熟，非受控終端給企業(yè)內(nèi)網(wǎng)帶來(lái)的安全壓力越來(lái)越大。這些不受信任的終端為攻擊者提供了訪問(wèn)企業(yè)網(wǎng)絡(luò)的路徑。信息管理部門(mén)可以利用IPSec技術(shù)有效提高企業(yè)網(wǎng)絡(luò)安全，實(shí)現(xiàn)對(duì)位于公司防火墻內(nèi)部終端的完全管控。

（4）網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)作為防火墻的補(bǔ)充，主要用于監(jiān)控網(wǎng)絡(luò)傳輸，在檢測(cè)到可疑傳輸行為時(shí)報(bào)警。作為企業(yè)信息安全架構(gòu)的必備設(shè)備，入侵檢測(cè)系統(tǒng)能有效防控企業(yè)外部的惡意攻擊行為，隨著信息技術(shù)的發(fā)展，各大安全廠商如賽門(mén)鐵克，思科等均研發(fā)出來(lái)成熟的入侵檢測(cè)系統(tǒng)產(chǎn)品。

（5）無(wú)線網(wǎng)絡(luò)安全。無(wú)線網(wǎng)絡(luò)現(xiàn)在已遍布企業(yè)的辦公區(qū)域，給企業(yè)和用戶帶來(lái)便利的同時(shí)也存在信息安全的隱患。要保證企業(yè)內(nèi)部無(wú)線網(wǎng)絡(luò)的安全，信息管理部門(mén)需要使用更新更安全的協(xié)議（如無(wú)線保護(hù)接入WPA或WPA2）；使用VLAN劃分和域提供互相隔離的無(wú)線網(wǎng)絡(luò)；利用802.1x和EAP技術(shù)加強(qiáng)對(duì)無(wú)線網(wǎng)絡(luò)的訪問(wèn)控制。

2.2訪問(wèn)控制

（1）密碼策略。高強(qiáng)度的密碼需要幾年時(shí)間來(lái)破解，而脆弱的密碼在一分鐘內(nèi)就可以被破解。提高企業(yè)用戶的密碼強(qiáng)度是訪問(wèn)控制的必要手段。為避免弱密碼可能對(duì)公司造成的危害，企業(yè)必須制定密碼策略并利用技術(shù)手段保證執(zhí)行。

（2）用戶權(quán)限管理。企業(yè)的員工從進(jìn)入公司到離職是一個(gè)完整的生命周期，要便捷有效地在這個(gè)生命周期中對(duì)員工的權(quán)限進(jìn)行管理，需要企業(yè)具有完善的身份管理平臺(tái)，從而實(shí)現(xiàn)授權(quán)流程的自動(dòng)化，并實(shí)現(xiàn)企業(yè)內(nèi)應(yīng)用的單點(diǎn)登陸。

（3）公鑰系統(tǒng)。公鑰系統(tǒng)是訪問(wèn)控制乃至信息安全架構(gòu)的核心模塊，無(wú)線網(wǎng)絡(luò)訪問(wèn)授權(quán)，VPN接入，文件加密系統(tǒng)等均可以通過(guò)公鑰系統(tǒng)提升安全水平，因此企業(yè)應(yīng)當(dāng)部署PKI/CA系統(tǒng)。

2.3監(jiān)控與審計(jì)

（1）病毒掃描與補(bǔ)丁管理。企業(yè)需要統(tǒng)一的防病毒系統(tǒng)和終端管理系統(tǒng)，在終端定期更新病毒定義，進(jìn)行病毒自掃描，自動(dòng)更新操作系統(tǒng)補(bǔ)丁，以減少桌面終端的安全風(fēng)險(xiǎn)。此類(lèi)管控手段通常需要在用戶的終端上安裝客戶端，或?qū)K端進(jìn)行定制，在終端接入企業(yè)內(nèi)網(wǎng)時(shí)，終端管理系統(tǒng)會(huì)在隔離區(qū)域?qū)υ摻K端進(jìn)行綜合評(píng)估打分，通過(guò)評(píng)估后方能接入內(nèi)網(wǎng)。才能保證系統(tǒng)的安全策略被有效執(zhí)行。

（2）惡意軟件防控。主流的惡意軟件防控體系主要由五部分構(gòu)成：防病毒系統(tǒng)；內(nèi)容過(guò)濾網(wǎng)關(guān)；郵件過(guò)濾網(wǎng)關(guān)；惡意網(wǎng)頁(yè)過(guò)濾網(wǎng)關(guān)和入侵檢測(cè)軟件。

（3）安全事件記錄和審計(jì)。企業(yè)應(yīng)當(dāng)配置日志審計(jì)系統(tǒng)，收集信息安全事件，產(chǎn)生審計(jì)記錄，根據(jù)記錄進(jìn)行安全事件分析，并采取相應(yīng)的處理措施。

2.4培訓(xùn)與宣傳提高企業(yè)管理層和員工的信息安全意識(shí)，是信息安全管理工作的基礎(chǔ)。了解信息安全的必要性，管理層才會(huì)支持信息安全管理建設(shè)，用戶才會(huì)配合信息管理部門(mén)工作。利用定期培訓(xùn)，宣傳海報(bào)，郵件等方式定期反復(fù)對(duì)企業(yè)用戶進(jìn)行信息安全培訓(xùn)和宣傳，能有效提高企業(yè)信息安全管理水平。

3總結(jié)

網(wǎng)絡(luò)信息安全培訓(xùn)方案范文第5篇

信息安全是國(guó)家安全的基礎(chǔ)和關(guān)鍵，在信息安全保障的三大要素(人員、技術(shù)、管理)中，管理要素的地位和作用越來(lái)越受到重視。面對(duì)越來(lái)越嚴(yán)重的安全威脅，不單在IT技術(shù)領(lǐng)域，各行業(yè)的企業(yè)組織都越來(lái)越意識(shí)到信息安全的重要性，但單純依靠技術(shù)方案來(lái)并不能解決如何保護(hù)企業(yè)信息資產(chǎn)的問(wèn)題，因此這對(duì)當(dāng)前高校的信息安全專業(yè)的人才培養(yǎng)也提出了更高的要求。

 

一、信息安全培訓(xùn)體系概況

 

信息安全培訓(xùn)作為高校信息安全專業(yè)教育的一種重要補(bǔ)充，主要用于解決學(xué)歷教育和社會(huì)實(shí)踐、社會(huì)認(rèn)證培訓(xùn)的結(jié)合、信息安全人才培養(yǎng)不規(guī)范等問(wèn)題?，F(xiàn)有培訓(xùn)主要可分為四類(lèi)。

 

第一，安全意識(shí)培訓(xùn)：其面向機(jī)構(gòu)一般員工、非技術(shù)人員以及所有信息系統(tǒng)的用戶，目的是提高整個(gè)組織普遍的安全意識(shí)和人員安全防護(hù)能力，使組織員工充分了解既定的安全策略，并能夠切實(shí)執(zhí)行。

 

第二，安全技能培訓(xùn)：其面向機(jī)構(gòu)網(wǎng)絡(luò)和系統(tǒng)管理員、安全專職人員、技術(shù)開(kāi)發(fā)人員等，目的是讓其掌握基本的安全攻防技術(shù)，提升其安全技術(shù)操作水平，培養(yǎng)解決安全問(wèn)題和杜絕安全隱患的技能。

 

第三，安全管理培訓(xùn)：其面向組織的管理職能和信息系統(tǒng)、信息安全管理人員，目的是提升組織整體的信息安全管理水平和能力，幫助組織有效建立信息安全管理體系。

 

第四，認(rèn)證資質(zhì)培訓(xùn)：其針對(duì)特殊崗位所需的職能人員，包括審核部門(mén)、監(jiān)管部門(mén)、信息保障部門(mén)等。通過(guò)提供國(guó)際信息安全相關(guān)認(rèn)證考試的輔導(dǎo)培訓(xùn)，可以幫助人員順利通過(guò)考試獲得各類(lèi)信息安全資質(zhì)認(rèn)證培訓(xùn)。

 

前三類(lèi)認(rèn)證主要依托專業(yè)的培訓(xùn)機(jī)構(gòu)或安全設(shè)備廠商進(jìn)行。第四類(lèi)培訓(xùn)是當(dāng)前培訓(xùn)的主體。

二、信息安全相關(guān)資質(zhì)認(rèn)證培訓(xùn)情況

 

資質(zhì)認(rèn)證類(lèi)培訓(xùn)是針對(duì)資質(zhì)認(rèn)證特點(diǎn)和內(nèi)容要求設(shè)計(jì)，依托專業(yè)機(jī)構(gòu)進(jìn)行的。一些認(rèn)證的培訓(xùn)機(jī)構(gòu)是由資質(zhì)管理機(jī)構(gòu)專門(mén)指定的。當(dāng)前，信息安全相關(guān)資質(zhì)認(rèn)證主要分三類(lèi)：

 

第一，國(guó)內(nèi)以信息產(chǎn)業(yè)部，信息安全評(píng)測(cè)機(jī)構(gòu)為代表的組織來(lái)管理實(shí)施的信息安全資格認(rèn)證(或與國(guó)際組織聯(lián)合頒發(fā));這類(lèi)的認(rèn)證培訓(xùn)有：CISP培訓(xùn)、NCSE培訓(xùn)、CISM培訓(xùn)、INSPC培訓(xùn)、CIW認(rèn)證培訓(xùn)等。

 

第二，由國(guó)外軟件、網(wǎng)絡(luò)產(chǎn)品廠商自己組織管理的產(chǎn)品專家認(rèn)證(側(cè)重于廠商產(chǎn)品、技術(shù)認(rèn)證);相關(guān)的認(rèn)證培訓(xùn)有：微軟Microsoft認(rèn)證培訓(xùn)、思科安全認(rèn)證CCSP培訓(xùn)、趨勢(shì)認(rèn)證信息安全TCSE培訓(xùn)等。

 

第三，國(guó)際權(quán)威信息安全組織、研究部門(mén)或培訓(xùn)機(jī)構(gòu)組來(lái)管理組織的國(guó)際化專業(yè)資格認(rèn)證。相關(guān)的認(rèn)證培訓(xùn)有：信息系統(tǒng)安全認(rèn)證CISSP培訓(xùn)、信息安全管理體系主任審核員ISO 27001培訓(xùn)、國(guó)際注冊(cè)信息系統(tǒng)審計(jì)師認(rèn)證CISA培訓(xùn)、國(guó)際IT運(yùn)營(yíng)與服務(wù)管理資格認(rèn)證ITIL培訓(xùn)等。

 

下面以CISP培訓(xùn)為例，分析其知識(shí)體系構(gòu)建情況。

 

CISP即“注冊(cè)信息安全專家”，是國(guó)家對(duì)信息安全人員資質(zhì)的最高認(rèn)可。其經(jīng)由中國(guó)信息安全測(cè)評(píng)中心實(shí)施國(guó)家認(rèn)證。CISP認(rèn)證和培訓(xùn)賦予如下專業(yè)資質(zhì)和能力：有關(guān)信息安全企業(yè)、咨詢服務(wù)機(jī)構(gòu)、測(cè)評(píng)認(rèn)證機(jī)構(gòu)、授權(quán)測(cè)評(píng)機(jī)構(gòu)和企事業(yè)有關(guān)信息系統(tǒng)建設(shè)、運(yùn)行和應(yīng)用管理的技術(shù)部門(mén)和標(biāo)準(zhǔn)化部門(mén)必備的專業(yè)崗位人員。

 

在整個(gè)CISP的知識(shí)體系結(jié)構(gòu)中，共包括信息安全保障概述、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標(biāo)準(zhǔn)法規(guī)這五個(gè)知識(shí)類(lèi)。 CISP知識(shí)體系以信息安全保障為主線，全面覆蓋信息安全保障工作所需的基礎(chǔ)、標(biāo)準(zhǔn)、法規(guī)、技術(shù)、管理和工程等領(lǐng)域。CISP培訓(xùn)知識(shí)體系結(jié)構(gòu)共包含五個(gè)知識(shí)類(lèi)，分別為：(1)信息安全保障概述：介紹了信息安全保障的框架、基本原理和實(shí)踐，它是注冊(cè)信息安全專業(yè)人員首先需要掌握的基礎(chǔ)知識(shí)。(2)信息安全技術(shù)：主要包括密碼技術(shù)、訪問(wèn)控制、審計(jì)監(jiān)控等安全技術(shù)機(jī)制，網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用軟件等方面的基本安全原理和實(shí)踐，以及信息安全攻防和軟件安全開(kāi)發(fā)相關(guān)的技術(shù)知識(shí)和實(shí)踐。(3)信息安全管理：主要包括信息安全管理體系建設(shè)、信息安全風(fēng)險(xiǎn)管理、安全管理措施等相關(guān)的管理知識(shí)和實(shí)踐。(4)信息安全工程：主要包括信息安全相關(guān)的工程的基本理論和實(shí)踐方法。(5)信息安全標(biāo)準(zhǔn)法規(guī)：主要包括信息安全相關(guān)的標(biāo)準(zhǔn)、法律法規(guī)、政策和道德規(guī)范，是注冊(cè)信息安全專業(yè)人員需要掌握的通用基礎(chǔ)知識(shí)。

 

CISP的注冊(cè)要求如下：

 

第一，教育與工作經(jīng)歷：碩士研究生以上，具有1年工作經(jīng)歷;或本科畢業(yè)，具有2年工作經(jīng)歷;或大專畢業(yè)，具有4年工作經(jīng)歷。

 

第二，專業(yè)工作經(jīng)歷：至少具備1年從事信息安全有關(guān)的工作經(jīng)歷。

 

第三，培訓(xùn)資格：在申請(qǐng)注冊(cè)前，成功地完成了CNITSEC或其授權(quán)培訓(xùn)機(jī)構(gòu)組織的注冊(cè)信息安全專業(yè)人員培訓(xùn)課程相應(yīng)資質(zhì)所需的分類(lèi)課程，并取得培訓(xùn)合格證書(shū)。

 

第四，通過(guò)由CNITSEC舉行的注冊(cè)信息安全專業(yè)人員考試。

 

三、信息安全專業(yè)培訓(xùn)體系構(gòu)建的建議

 

1.構(gòu)建完善的高校信息安全專業(yè)人才培訓(xùn)體系

 

傳統(tǒng)的培訓(xùn)體系，比較側(cè)重于知識(shí)和技能傳授的過(guò)程控制，在對(duì)知識(shí)的共享、隱性知識(shí)的轉(zhuǎn)換等方面，已經(jīng)不能滿足當(dāng)前的要求，高?？梢酝ㄟ^(guò)借鑒、學(xué)習(xí)CISP認(rèn)證和培訓(xùn)體系結(jié)構(gòu)和CISSP認(rèn)證課程內(nèi)容設(shè)置，從信安全崗位所需的基礎(chǔ)、標(biāo)準(zhǔn)、法規(guī)、技術(shù)、管理和工程等領(lǐng)域來(lái)完善信息安 全專業(yè)人才培訓(xùn)體系。根據(jù)培訓(xùn)對(duì)象的不同將課程分為五種類(lèi)型(層次)：操作層面的基本安全意識(shí)培訓(xùn);

 

技術(shù)層面的各項(xiàng)安全技能培訓(xùn);管理層面的信息安全管理培訓(xùn);專家級(jí)的資質(zhì)認(rèn)證培訓(xùn)。當(dāng)然在培訓(xùn)體系里面信息安全技術(shù)方面的培訓(xùn)仍然是重點(diǎn)，為了加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施等新興重點(diǎn)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域的培訓(xùn)，可以參考思科安全認(rèn)證CCSP培訓(xùn)的模式，對(duì)當(dāng)前使用的防火墻、侵入檢測(cè)、VPN、身份驗(yàn)證和安全管理等主流網(wǎng)絡(luò)安全防護(hù)裝備進(jìn)行系統(tǒng)性的專題培訓(xùn)。

 

2.建立逐級(jí)培訓(xùn)的信息安全專業(yè)人才培訓(xùn)模式

 

當(dāng)前信息安全技術(shù)的發(fā)展日新月異，信息化的網(wǎng)絡(luò)攻防形式也發(fā)生著翻天覆地的變化，因此對(duì)于信息安全專業(yè)人員的培訓(xùn)，僅靠一兩次培訓(xùn)是遠(yuǎn)遠(yuǎn)不夠的，必須連續(xù)、有針對(duì)性的接受相應(yīng)崗位和層次的逐級(jí)培訓(xùn)，才能保證知識(shí)、能力結(jié)構(gòu)的不斷優(yōu)化和提高。在逐級(jí)培訓(xùn)過(guò)程中要明確不同職務(wù)、技術(shù)等級(jí)的不同要求，使得逐級(jí)培訓(xùn)過(guò)程級(jí)與級(jí)之間層次清晰又銜接有序。如果沒(méi)有通過(guò)低級(jí)別的培訓(xùn)、認(rèn)證，便不能參加后門(mén)高級(jí)別的培訓(xùn)。同時(shí)利用職業(yè)資格證、學(xué)歷證書(shū)、執(zhí)行證書(shū)等為牽引，通過(guò)多階段培訓(xùn)、資格培訓(xùn)、升級(jí)培訓(xùn)使得知識(shí)結(jié)構(gòu)、能力素質(zhì)、崗位需求同步發(fā)展，取得相應(yīng)的職業(yè)證書(shū)才能晉升上崗，否則不予任用。

 

3.通過(guò)合理的認(rèn)證標(biāo)準(zhǔn)來(lái)動(dòng)態(tài)更新和完善培訓(xùn)體系的目標(biāo)任務(wù)

 

只有對(duì)培訓(xùn)成果進(jìn)行合理判斷，確定受訓(xùn)人員知識(shí)技能水平的提高幅度，才能了解培訓(xùn)項(xiàng)目是否達(dá)到原定的目標(biāo)和要求，從而為進(jìn)一步改進(jìn)培訓(xùn)體系提供重要依據(jù)。通過(guò)對(duì)培訓(xùn)人員最終考評(píng)成績(jī)的分析以及部隊(duì)調(diào)研，培訓(xùn)學(xué)員信息反饋等方式，針對(duì)培訓(xùn)內(nèi)容和教學(xué)組織形式聽(tīng)取意見(jiàn)，并及時(shí)調(diào)整，使得培訓(xùn)效果真正適應(yīng)培訓(xùn)學(xué)員的實(shí)際需求，提高培訓(xùn)效果。這樣才能在保持相對(duì)穩(wěn)定的情況下對(duì)培訓(xùn)內(nèi)容實(shí)施動(dòng)態(tài)更新，不斷完善。