首页 > 文章中心 > 正文

NIST安全教育论文

NIST安全教育论文

1NISTSP800-16的版本演变过程

1998年4月出版的SP800-16第一版首次提出IT安全连续学习统一模型,并设计基于角度和表现的培训模型。该模型按政府工作人员的职能将受训人员分为6种角色,即管理人员、采购人员、设计与开发人员、操作人员、检查测评人员以及普通使用人员。模型针对这6种角色设计了3个基本的培训领域(法律和法规、安全项目管理以及信息系统安全),并为此设计了安全培训课程框架,提出了培训有效性的评估方案。2009年3月NIST了SP800-16的第一次修订草案。一是明确信息安全培训职责,即对涉及信息安全培训的机构领导、首席信息技术执行官、高级机构信息安全官、管理人员、培训设计专家、对信息安全负有重要责任的人员以及用户等7类人员的职责划分。二是在信息安全培训课程的学习层次上强调知识水平的连贯性。三是对第一版的基于角色的培训提出了一个教学设计模型,即针对政府人员的信息安全需求,依次进行需求分析、课程设计、课程开发、培训实践和教学评估等五大环节,这使得信息安全的培训可以迭代改进。2013年10月NIST了对SP800-16的第二次修订版本草案,这次修订中首次提出了网络空间安全培训,因为美国2010年4月启动了《国家网络空间安全教育计划》(NationalInitiativeofCyberSecurityEducation,NICE),该计划旨在通过促进教育和培训来改善人的网络行为、技能和知识,从而增强美国整体的网络空间安全。这意味着美国政府已着手于将网络空间安全上升到国家安全的战略层面上来。2013年版的改动有以下几个方面:一是强调信息安全意识的培训应当在网络空间的背景下进行设计;二是在信息安全培训的目标对象中加入了对重要信息技术和网络空间安全负有责任的政府工作人员;三是对信息安全培训的评估体系进行了细化,即明确提出了评估培训的4个目的。不到半年时间,NIST再次了SP800-16的第三次修订草案,这个版本改动较小,主要是在信息安全培训的组织责任中加入了网络空间培训管理员/首席学习执行官。其职责包括:一是确保培训教材针对具体人员进行设计;二是确保培训教材对目标人员的有效性;三是为信息安全培训提供有效的反馈信息;四是对信息安全培训教材进行及时更新;五是重视培训效果的跟踪和汇报。

2NIST特别出版物版本演变带来的启示

纵览美国历时17年对信息技术安全培训指南的修订过程,其发展特点如下:首先,该指南进行了顶层设计,即提出IT安全连续学习统一模型,设计基于角度和表现的培训模型,对需要接受信息安全培训的目标对象进行角色划分,按照角色需求从法律法规、安全项目管理以及信息系统安全3个领域进行课程设计,初步提出了课程的评估框架。此后的3个版本都是在该体系结构下,从角色划分、培训领域和课程评估方法等3个方面进行充实、完善。其次,该指南具有可扩展性,即该指南的最初版本就设计了连续学习统一体,为培训对象的知识结构发生变化后,如何满足其信息安全的知识结构留下了足够的学习空间。第三,该指南的实时更新性,即结合信息安全领域的新技术,对培训目标对象和培训课程进行实时更新。如在美国NICE计划颁发之后,指南很快在培训环节增加了对国家网络空间安全的培训内容。目前,我国的信息安全教育工作主要侧重于专业技术人才的培养,对涉及使用信息系统的广大普通用户的相关信息安全常识的教育重视不够,更确切地说,对公众的信息安全常识教育的计划和实施体系尚未建立。我国有关部门应该参照NISTSP800-16和SP800-50出台适合我国国情的有关信息安全常识和培训纲要的规范指南,以便完善我国的信息安全教育的完整体系,推进提高全民信息安全意识和技能的工作,为构建我国信息安全保障体系提供人员安全素质方面的基础保证。

3结语

美国已经认识到“国家正处于危险之中,政府和关键基础设施中的网络空间安全漏洞将会危及国家安全、公共安全和经济繁荣”,必须“启动一个聚焦于网络空间安全意识、教育、培训和职业发展方面的综合性国家计划”,以保证“促进和加强全国范围内的网络空间安全力量,并建立一个灵活的、高度熟练的队伍以应对动态和快速发展的一系列威胁”。这标志着美国信息安全工作进入了一个新的里程碑时期,必将对其网间安全状况的改善、实现更加安全的数字国家、并在国际上占据主动优势地位产生深远的影响,值得我们深思和借鉴。

作者:黎妹红赵琳张大伟杜晔单位:北京交通大学计算机与信息技术学院北京交通大学国家保密学院

文档上传者