CISP人才培養(yǎng)對網(wǎng)絡(luò)安全體系的影響

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了CISP人才培養(yǎng)對網(wǎng)絡(luò)安全體系的影響范文，希望能給你帶來靈感和參考，敬請閱讀。

自2011年取得cisp認證至今已有近九年的時間，筆者在企業(yè)中一直從事著網(wǎng)絡(luò)安全的相關(guān)工作，親身經(jīng)歷了永恒之藍勒索病毒事件，“網(wǎng)絡(luò)安全法”的試行到實施、演習(xí)活動這些里程碑事件，從一個參與者角度見證了企業(yè)網(wǎng)絡(luò)安全保障體系從單薄到飽滿，直至趨近完善的過程。專業(yè)的安全人員在其中發(fā)揮了巨大的正向作用，是網(wǎng)絡(luò)安全體系建設(shè)和發(fā)展的重要組成部分。結(jié)合這些經(jīng)歷，筆者談?wù)凜ISP人才培養(yǎng)對企業(yè)網(wǎng)絡(luò)安全工作的積極作用。

一、企業(yè)網(wǎng)絡(luò)安全工作及從業(yè)人員情況

CISP體系一直倡導(dǎo)的“三分技術(shù)、七分管理”是企業(yè)網(wǎng)絡(luò)安全工作的真實寫照，其管理體系一般采取垂直管理機制，以行政主體為單位，每層級設(shè)有網(wǎng)絡(luò)安全的管理人員和技術(shù)人員；制度體系一般也依附在管理體系中，逐層逐級繼承細化；技術(shù)方面一般按照業(yè)務(wù)方向不同進行劃分，如網(wǎng)絡(luò)、終端、服務(wù)器等?？偨Y(jié)下來就是“以人為本”，網(wǎng)絡(luò)安全工作效果的好壞，基本取決于企業(yè)各層級網(wǎng)絡(luò)安全從業(yè)人員專業(yè)知識儲備情況和技能水平的高低。按照職能劃分，企業(yè)網(wǎng)絡(luò)安全工作者可分為方向型管理人員、技術(shù)型管理人員、技術(shù)操作人員、技術(shù)服務(wù)人員。受學(xué)校專業(yè)因素影響，以前很多管理人員到技術(shù)人員基本沒有網(wǎng)絡(luò)安全專業(yè)學(xué)歷，而是依靠工作經(jīng)驗和查閱資料完成網(wǎng)絡(luò)安全能力的積累，這種片面的學(xué)習(xí)過程造成了很多企業(yè)網(wǎng)絡(luò)安全工作者能力的局限性，影響到工作中的方方面面：如制度與機制的設(shè)置執(zhí)行是否到位、安全措施的選擇和配置是否完善等，甚至存在技術(shù)人員不懂安全措施的作用和原理、裸跑在網(wǎng)絡(luò)中的情況。隨著“網(wǎng)絡(luò)安全法”、網(wǎng)絡(luò)安全等級保護制度的深入落實和企業(yè)安全體系的不斷完善，這種現(xiàn)象已經(jīng)逐漸消失，但曾經(jīng)對企業(yè)的網(wǎng)絡(luò)安全的影響是一直客觀存在的。

二、企業(yè)網(wǎng)安從業(yè)者能力匱乏的原因

作為企業(yè)中的一員，可以深刻體會到內(nèi)部從業(yè)者在網(wǎng)絡(luò)安全學(xué)習(xí)積累上的無力感，總結(jié)下來，主要有三方面原因：一是知識碎片化，缺乏系統(tǒng)性。網(wǎng)絡(luò)安全作為后興起的專業(yè)領(lǐng)域，與傳統(tǒng)信息化發(fā)展相比存在滯后性，早期學(xué)校也沒有相關(guān)專業(yè)或知識的傳輸，即便目前國內(nèi)部分高校已經(jīng)開通了相關(guān)專業(yè)，但短時間很難發(fā)展到如傳統(tǒng)文理課程的標(biāo)準(zhǔn)化。雖然互聯(lián)網(wǎng)的興起加快了知識的傳遞和分享，但內(nèi)部從業(yè)者很難從網(wǎng)絡(luò)中汲取到系統(tǒng)性的知識體系，知識碎片化則意味著內(nèi)容的時效性低、準(zhǔn)確性低，學(xué)習(xí)者無法知悉自己欠缺什么，甚至應(yīng)該學(xué)習(xí)什么。二是培訓(xùn)機制僵化，學(xué)習(xí)機會匱乏。培訓(xùn)在企業(yè)內(nèi)部是一項常態(tài)化開展的經(jīng)營活動，受企業(yè)內(nèi)部管理機制所制約，無論是“內(nèi)對內(nèi)”還是“外對內(nèi)”的培訓(xùn)課程，都按照數(shù)年前的標(biāo)準(zhǔn)執(zhí)行。但網(wǎng)絡(luò)安全的培訓(xùn)體系是創(chuàng)新型的，其知識體系對授課者的能力要求頗高，像CISP的講師全國僅有100余名，基本為行業(yè)中出類拔萃且適合傳授知識的中堅力量，培訓(xùn)成本相對較高，因此企業(yè)往往在考慮合規(guī)和成本的前提下，采取低成本的培訓(xùn)模式，照本宣科的開展安全培訓(xùn)，千篇一律的內(nèi)容讓內(nèi)部從業(yè)者疲于應(yīng)對，甚至起到反向效果。三是工作界面狹窄，缺少實訓(xùn)場景。行業(yè)對于網(wǎng)絡(luò)安全都是講體系，但在企業(yè)實際工作過程中，從業(yè)人員受到行政、業(yè)務(wù)、人員分配、編制等多方面原因的制約，往往從事一個細分領(lǐng)域的工作，在網(wǎng)絡(luò)安全工作中兼職居多，比如負責(zé)網(wǎng)絡(luò)管理的兼職網(wǎng)絡(luò)安全管理，但管理終端的另有其人。這種現(xiàn)象大大降低了內(nèi)部從業(yè)者對跨工作范圍安全知識和技能學(xué)習(xí)的興趣，即使掌握了跨工作范圍的技能和知識也很難在實際工作中得到應(yīng)用和驗證。

三、CISP人才認證對企業(yè)安全保障的積極作用

CISP認證資質(zhì)發(fā)展到今天，其知識體系覆蓋管理、技術(shù)、風(fēng)險評估、物理環(huán)境等方向，已具備系統(tǒng)化、多元化等特性，在結(jié)合企業(yè)實際需求的基礎(chǔ)上，可以為企業(yè)培養(yǎng)復(fù)合型的網(wǎng)絡(luò)安全人才，符合企業(yè)“以人為本”的網(wǎng)絡(luò)安全工作思路,對各項工作的落地和高質(zhì)量推進有著積極的促進作用。具體有以下幾點：

1.為企業(yè)培養(yǎng)全面的中層管理型人才。通過CISP知識體系，使得管理層對網(wǎng)絡(luò)安全整體工作內(nèi)容、性質(zhì)和方向有詳盡的了解，在具體的企業(yè)管理工作中可對具體方向有很好的延伸，落實企業(yè)網(wǎng)絡(luò)安全戰(zhàn)略規(guī)劃時可以更高質(zhì)量地完成工作任務(wù)，以及更合理的協(xié)調(diào)分配資源。

2.為企業(yè)培養(yǎng)全面的基層技術(shù)型人才。通過CISP知識體系，使得網(wǎng)絡(luò)運維管理人員對安全威脅的識別有了深刻的認知，對網(wǎng)絡(luò)、終端、物理環(huán)境等方面的網(wǎng)絡(luò)安全知識及技能有全面的了解，在具體工作中可以結(jié)合實際環(huán)境就某一方向進行深入研究和操作，可適用于企業(yè)基層的多種技術(shù)應(yīng)用場景，為企業(yè)網(wǎng)絡(luò)安全工作的落地推進提供了基礎(chǔ)的保障，是對企業(yè)網(wǎng)絡(luò)安全工作的重要支撐。

3.為企業(yè)培養(yǎng)專業(yè)的檢查評估與滲透服務(wù)人才。通過CISP-PTE等知識體系可為企業(yè)培養(yǎng)對內(nèi)服務(wù)的紅客人才，擺脫依賴外部服務(wù)可能存在的數(shù)據(jù)泄漏、敏感泄密等安全風(fēng)險，同時也為企業(yè)儲備可以在網(wǎng)絡(luò)安全方向擔(dān)負安全對抗的人才隊伍，保障企業(yè)在復(fù)雜形勢及環(huán)境下的安全穩(wěn)定。

四、結(jié)語

在企業(yè)網(wǎng)絡(luò)安全保障體系中，無論是管理體系、技術(shù)體系還是運維體系、監(jiān)督體系，都是依靠人去運轉(zhuǎn)和操作落實，企業(yè)安全體系建設(shè)與發(fā)展的優(yōu)劣維系在企業(yè)內(nèi)部網(wǎng)絡(luò)安全從業(yè)者的身上。CISP是國家目前含金量最高的專業(yè)認證培訓(xùn)體系，能很好地解決企業(yè)在人員網(wǎng)絡(luò)安全專業(yè)能力缺失和不足上的問題，從而幫助企業(yè)進一步加快網(wǎng)絡(luò)安全保障體系的建設(shè)和完善。作為年頭較長的CISP持證者，筆者建議在體系課程中加強實操實訓(xùn)環(huán)節(jié)，讓接受培訓(xùn)的一方能更清晰、更深刻掌握網(wǎng)絡(luò)安全知識與技能，更好地為企業(yè)網(wǎng)絡(luò)安全工作作出貢獻，同時也希望CISP認證資質(zhì)蓬勃發(fā)展，為我國的網(wǎng)絡(luò)強國道路提供強而有力的支撐。

作者：郭強 單位：大慶油田信息技術(shù)公司北京分公司