信息安全專業培訓體系構建的研究論文

時間：2025-08-31 06:21:12 信息安全畢業論文我要投稿

信息安全專業培訓體系構建的研究論文

　　本文分析了當前信息安全培訓的體系結構和分類，重點以CISP培訓為例研究了信息安全保障工作所需的基礎、標準、法規、技術、管理和工程等領域的知識點和注冊要求，最后給出了高校信息安全專業培訓體系構建的相關建議。

信息安全專業培訓體系構建的研究論文

　　信息安全是國家安全的基礎和關鍵，在信息安全保障的三大要素（人員、技術、管理）中，管理要素的地位和作用越來越受到重視。面對越來越嚴重的安全威脅，不單在IT技術領域，各行業的企業組織都越來越意識到信息安全的重要性，但單純依靠技術方案來并不能解決如何保護企業信息資產的問題，因此這對當前高校的信息安全專業的人才培養也提出了更高的要求。

　　一、信息安全培訓體系概況

　　信息安全培訓作為高校信息安全專業教育的一種重要補充，主要用于解決學歷教育和社會實踐、社會認證培訓的結合、信息安全人才培養不規范等問題。現有培訓主要可分為四類。

　　第一，安全意識培訓：其面向機構一般員工、非技術人員以及所有信息系統的用戶，目的是提高整個組織普遍的安全意識和人員安全防護能力，使組織員工充分了解既定的安全策略，并能夠切實執行。

　　第二，安全技能培訓：其面向機構網絡和系統管理員、安全專職人員、技術開發人員等，目的是讓其掌握基本的安全攻防技術，提升其安全技術操作水平，培養解決安全問題和杜絕安全隱患的技能。

　　第三，安全管理培訓：其面向組織的管理職能和信息系統、信息安全管理人員，目的是提升組織整體的信息安全管理水平和能力，幫助組織有效建立信息安全管理體系。

　　第四，認證資質培訓：其針對特殊崗位所需的職能人員，包括審核部門、監管部門、信息保障部門等。通過提供國際信息安全相關認證考試的輔導培訓，可以幫助人員順利通過考試獲得各類信息安全資質認證培訓。

　　前三類認證主要依托專業的培訓機構或安全設備廠商進行。第四類培訓是當前培訓的主體。

　　二、信息安全相關資質認證培訓情況

　　資質認證類培訓是針對資質認證特點和內容要求設計，依托專業機構進行的。一些認證的培訓機構是由資質管理機構專門指定的。當前，信息安全相關資質認證主要分三類：

　　第一，國內以信息產業部，信息安全評測機構為代表的組織來管理實施的信息安全資格認證（或與國際組織聯合頒發）；這類的認證培訓有：CISP培訓、NCSE培訓、CISM培訓、INSPC培訓、CIW認證培訓等。

　　第二，由國外軟件、網絡產品廠商自己組織管理的產品專家認證（側重于廠商產品、技術認證）；相關的認證培訓有：微軟Microsoft認證培訓、思科安全認證CCSP培訓、趨勢認證信息安全TCSE培訓等。

　　第三，國際權威信息安全組織、研究部門或培訓機構組來管理組織的國際化專業資格認證。相關的認證培訓有：信息系統安全認證CISSP培訓、信息安全管理體系主任審核員ISO 27001培訓、國際注冊信息系統審計師認證CISA培訓、國際IT運營與服務管理資格認證ITIL培訓等。

　　下面以CISP培訓為例，分析其知識體系構建情況。

　　CISP即“注冊信息安全專家”，是國家對信息安全人員資質的最高認可。其經由中國信息安全測評中心實施國家認證。CISP認證和培訓賦予如下專業資質和能力：有關信息安全企業、咨詢服務機構、測評認證機構、授權測評機構和企事業有關信息系統建設、運行和應用管理的技術部門和標準化部門必備的專業崗位人員。

　　在整個CISP的知識體系結構中，共包括信息安全保障概述、信息安全技術、信息安全管理、信息安全工程和信息安全標準法規這五個知識類。 CISP知識體系以信息安全保障為主線，全面覆蓋信息安全保障工作所需的基礎、標準、法規、技術、管理和工程等領域。CISP培訓知識體系結構共包含五個知識類，分別為：（1）信息安全保障概述：介紹了信息安全保障的框架、基本原理和實踐，它是注冊信息安全專業人員首先需要掌握的基礎知識。（2）信息安全技術：主要包括密碼技術、訪問控制、審計監控等安全技術機制，網絡、操作系統、數據庫和應用軟件等方面的基本安全原理和實踐，以及信息安全攻防和軟件安全開發相關的技術知識和實踐。（3）信息安全管理：主要包括信息安全管理體系建設、信息安全風險管理、安全管理措施等相關的管理知識和實踐。（4）信息安全工程：主要包括信息安全相關的工程的基本理論和實踐方法。（5）信息安全標準法規：主要包括信息安全相關的標準、法律法規、政策和道德規范，是注冊信息安全專業人員需要掌握的通用基礎知識。

　　CISP的注冊要求如下：

　　第一，教育與工作經歷：碩士研究生以上，具有1年工作經歷；或本科畢業，具有2年工作經歷；或大專畢業，具有4年工作經歷。

　　第二，專業工作經歷：至少具備1年從事信息安全有關的工作經歷。

　　第三，培訓資格：在申請注冊前，成功地完成了CNITSEC或其授權培訓機構組織的注冊信息安全專業人員培訓課程相應資質所需的分類課程，并取得培訓合格證書。

　　第四，通過由CNITSEC舉行的注冊信息安全專業人員考試。

　　三、信息安全專業培訓體系構建的建議

　　1。構建完善的高校信息安全專業人才培訓體系

　　傳統的培訓體系，比較側重于知識和技能傳授的過程控制，在對知識的共享、隱性知識的轉換等方面，已經不能滿足當前的要求，高校可以通過借鑒、學習CISP認證和培訓體系結構和CISSP認證課程內容設置，從信安全崗位所需的基礎、標準、法規、技術、管理和工程等領域來完善信息安全專業人才培訓體系。根據培訓對象的不同將課程分為五種類型（層次）：操作層面的基本安全意識培訓；

　　技術層面的各項安全技能培訓；管理層面的信息安全管理培訓；專家級的資質認證培訓。當然在培訓體系里面信息安全技術方面的培訓仍然是重點，為了加強網絡基礎設施等新興重點網絡安全技術領域的培訓，可以參考思科安全認證CCSP培訓的模式，對當前使用的防火墻、侵入檢測、VPN、身份驗證和安全管理等主流網絡安全防護裝備進行系統性的專題培訓。

　　2。建立逐級培訓的信息安全專業人才培訓模式

　　當前信息安全技術的發展日新月異，信息化的網絡攻防形式也發生著翻天覆地的變化，因此對于信息安全專業人員的培訓，僅靠一兩次培訓是遠遠不夠的，必須連續、有針對性的接受相應崗位和層次的逐級培訓，才能保證知識、能力結構的不斷優化和提高。在逐級培訓過程中要明確不同職務、技術等級的不同要求，使得逐級培訓過程級與級之間層次清晰又銜接有序。如果沒有通過低級別的培訓、認證，便不能參加后門高級別的培訓。同時利用職業資格證、學歷證書、執行證書等為牽引，通過多階段培訓、資格培訓、升級培訓使得知識結構、能力素質、崗位需求同步發展，取得相應的職業證書才能晉升上崗，否則不予任用。

　　3。通過合理的認證標準來動態更新和完善培訓體系的目標任務

　　只有對培訓成果進行合理判斷，確定受訓人員知識技能水平的提高幅度，才能了解培訓項目是否達到原定的目標和要求，從而為進一步改進培訓體系提供重要依據。通過對培訓人員最終考評成績的分析以及部隊調研，培訓學員信息反饋等方式，針對培訓內容和教學組織形式聽取意見，并及時調整，使得培訓效果真正適應培訓學員的實際需求，提高培訓效果。這樣才能在保持相對穩定的情況下對培訓內容實施動態更新，不斷完善。

【信息安全專業培訓體系構建的研究論文】相關文章：

關于物聯網的信息安全技術研究論文09-29

相關推薦