CISP人才培養對網絡安全體系的影響
前言:想要寫出一篇引人入勝的文章?我們特意為您整理了CISP人才培養對網絡安全體系的影響范文,希望能給你帶來靈感和參考,敬請閱讀。
自2011年取得cisp認證至今已有近九年的時間,筆者在企業中一直從事著網絡安全的相關工作,親身經歷了永恒之藍勒索病毒事件,“網絡安全法”的試行到實施、演習活動這些里程碑事件,從一個參與者角度見證了企業網絡安全保障體系從單薄到飽滿,直至趨近完善的過程。專業的安全人員在其中發揮了巨大的正向作用,是網絡安全體系建設和發展的重要組成部分。結合這些經歷,筆者談談CISP人才培養對企業網絡安全工作的積極作用。
一、企業網絡安全工作及從業人員情況
CISP體系一直倡導的“三分技術、七分管理”是企業網絡安全工作的真實寫照,其管理體系一般采取垂直管理機制,以行政主體為單位,每層級設有網絡安全的管理人員和技術人員;制度體系一般也依附在管理體系中,逐層逐級繼承細化;技術方面一般按照業務方向不同進行劃分,如網絡、終端、服務器等。總結下來就是“以人為本”,網絡安全工作效果的好壞,基本取決于企業各層級網絡安全從業人員專業知識儲備情況和技能水平的高低。按照職能劃分,企業網絡安全工作者可分為方向型管理人員、技術型管理人員、技術操作人員、技術服務人員。受學校專業因素影響,以前很多管理人員到技術人員基本沒有網絡安全專業學歷,而是依靠工作經驗和查閱資料完成網絡安全能力的積累,這種片面的學習過程造成了很多企業網絡安全工作者能力的局限性,影響到工作中的方方面面:如制度與機制的設置執行是否到位、安全措施的選擇和配置是否完善等,甚至存在技術人員不懂安全措施的作用和原理、裸跑在網絡中的情況。隨著“網絡安全法”、網絡安全等級保護制度的深入落實和企業安全體系的不斷完善,這種現象已經逐漸消失,但曾經對企業的網絡安全的影響是一直客觀存在的。
二、企業網安從業者能力匱乏的原因
作為企業中的一員,可以深刻體會到內部從業者在網絡安全學習積累上的無力感,總結下來,主要有三方面原因:一是知識碎片化,缺乏系統性。網絡安全作為后興起的專業領域,與傳統信息化發展相比存在滯后性,早期學校也沒有相關專業或知識的傳輸,即便目前國內部分高校已經開通了相關專業,但短時間很難發展到如傳統文理課程的標準化。雖然互聯網的興起加快了知識的傳遞和分享,但內部從業者很難從網絡中汲取到系統性的知識體系,知識碎片化則意味著內容的時效性低、準確性低,學習者無法知悉自己欠缺什么,甚至應該學習什么。二是培訓機制僵化,學習機會匱乏。培訓在企業內部是一項常態化開展的經營活動,受企業內部管理機制所制約,無論是“內對內”還是“外對內”的培訓課程,都按照數年前的標準執行。但網絡安全的培訓體系是創新型的,其知識體系對授課者的能力要求頗高,像CISP的講師全國僅有100余名,基本為行業中出類拔萃且適合傳授知識的中堅力量,培訓成本相對較高,因此企業往往在考慮合規和成本的前提下,采取低成本的培訓模式,照本宣科的開展安全培訓,千篇一律的內容讓內部從業者疲于應對,甚至起到反向效果。三是工作界面狹窄,缺少實訓場景。行業對于網絡安全都是講體系,但在企業實際工作過程中,從業人員受到行政、業務、人員分配、編制等多方面原因的制約,往往從事一個細分領域的工作,在網絡安全工作中兼職居多,比如負責網絡管理的兼職網絡安全管理,但管理終端的另有其人。這種現象大大降低了內部從業者對跨工作范圍安全知識和技能學習的興趣,即使掌握了跨工作范圍的技能和知識也很難在實際工作中得到應用和驗證。
三、CISP人才認證對企業安全保障的積極作用
CISP認證資質發展到今天,其知識體系覆蓋管理、技術、風險評估、物理環境等方向,已具備系統化、多元化等特性,在結合企業實際需求的基礎上,可以為企業培養復合型的網絡安全人才,符合企業“以人為本”的網絡安全工作思路,對各項工作的落地和高質量推進有著積極的促進作用。具體有以下幾點:
1.為企業培養全面的中層管理型人才。通過CISP知識體系,使得管理層對網絡安全整體工作內容、性質和方向有詳盡的了解,在具體的企業管理工作中可對具體方向有很好的延伸,落實企業網絡安全戰略規劃時可以更高質量地完成工作任務,以及更合理的協調分配資源。
2.為企業培養全面的基層技術型人才。通過CISP知識體系,使得網絡運維管理人員對安全威脅的識別有了深刻的認知,對網絡、終端、物理環境等方面的網絡安全知識及技能有全面的了解,在具體工作中可以結合實際環境就某一方向進行深入研究和操作,可適用于企業基層的多種技術應用場景,為企業網絡安全工作的落地推進提供了基礎的保障,是對企業網絡安全工作的重要支撐。
3.為企業培養專業的檢查評估與滲透服務人才。通過CISP-PTE等知識體系可為企業培養對內服務的紅客人才,擺脫依賴外部服務可能存在的數據泄漏、敏感泄密等安全風險,同時也為企業儲備可以在網絡安全方向擔負安全對抗的人才隊伍,保障企業在復雜形勢及環境下的安全穩定。
四、結語
在企業網絡安全保障體系中,無論是管理體系、技術體系還是運維體系、監督體系,都是依靠人去運轉和操作落實,企業安全體系建設與發展的優劣維系在企業內部網絡安全從業者的身上。CISP是國家目前含金量最高的專業認證培訓體系,能很好地解決企業在人員網絡安全專業能力缺失和不足上的問題,從而幫助企業進一步加快網絡安全保障體系的建設和完善。作為年頭較長的CISP持證者,筆者建議在體系課程中加強實操實訓環節,讓接受培訓的一方能更清晰、更深刻掌握網絡安全知識與技能,更好地為企業網絡安全工作作出貢獻,同時也希望CISP認證資質蓬勃發展,為我國的網絡強國道路提供強而有力的支撐。
作者:郭強 單位:大慶油田信息技術公司北京分公司