美國(guó)信息安全教育和培訓(xùn)的啟示

黎妹紅 趙琳 張大偉 杜曄

文章編號(hào)：1672-5913（2015）03-0112-04

中圖分類號(hào)：G642

摘 要：介紹和分析美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（ NIST）出版的兩個(gè)在信息安全意識(shí)教育和培訓(xùn)方面的規(guī)范性文件及3次修訂過(guò)程，指出隨著信息技術(shù)的發(fā)展和國(guó)家安全策略的變化，美國(guó)對(duì)于信息技術(shù)安全培訓(xùn)的要求以及側(cè)重點(diǎn)也在隨之改變，總結(jié)從美國(guó)NIST關(guān)于信息技術(shù)安全培訓(xùn)的內(nèi)容變遷中得出的一些啟示，希望對(duì)我國(guó)的信息安全與保密培訓(xùn)有一定的借鑒意義。

關(guān)鍵詞：信息安全；意識(shí)教育；保密培訓(xùn)；NIST

0 引 言

1998年4月，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（ National Institute of Standards and Technology，NIST）頒布了的關(guān)于信息技術(shù)安全常識(shí)和培訓(xùn)綱要SP800-16“信息技術(shù)安全培訓(xùn)要求：基于角色和表現(xiàn)的模型”。2003年10月，NIST又發(fā)布SP800-50“建立一個(gè)信息技術(shù)安全意識(shí)教育和培訓(xùn)項(xiàng)目”，其中SP800-50是為SP800-16設(shè)計(jì)的指南文檔，是建立或微調(diào)信息安全意識(shí)教育或培訓(xùn)項(xiàng)目的聯(lián)邦組織的基礎(chǔ)文檔。在討論信息安全培訓(xùn)發(fā)展的那一部分，SP800-50指向了SP800-1 6。SP800-50致力于一個(gè)較高的戰(zhàn)略水平，討論如何建立一個(gè)信息安全意識(shí)教育和培訓(xùn)項(xiàng)目，SP800-1 6處于一個(gè)較低的策略水平，描述信息安全意識(shí)培訓(xùn)和基于角色培訓(xùn)的方法。它們形成了美國(guó)在信息安全意識(shí)教育和培訓(xùn)方面的規(guī)范性指導(dǎo)意見(jiàn)。

從1998年NIST發(fā)布SP800-16以來(lái)，在這17年里SP800-16經(jīng)歷3次修訂、4個(gè)版本，目前NIST公開(kāi)的版本是2014年3月發(fā)布的第三次修訂版。

1 NIST關(guān)于信息技術(shù)安全培訓(xùn)的特別出版物

NIST成立于1988年，旨在促進(jìn)美國(guó)的工業(yè)發(fā)展。NIST在1998年、2003年和2009年分別出臺(tái)了一系列的保密培訓(xùn)領(lǐng)域的行業(yè)標(biāo)準(zhǔn)。自1 995年克林頓政府發(fā)布12958號(hào)總統(tǒng)令提出“疑密從無(wú)”和“疑密從低”的原則開(kāi)始，到奧巴馬政府于2009年頒布的13526號(hào)總統(tǒng)令提出保密教育培訓(xùn)工作的強(qiáng)制性規(guī)定，盡管期間保密管理理念和政策起伏較大，但在這個(gè)過(guò)程中美國(guó)的保密教育培訓(xùn)卻日趨完善，這對(duì)我國(guó)的信息安全與保密教育培訓(xùn)工作的開(kāi)展具有很大的借鑒和指導(dǎo)意義。

1.1 SP800-16

NIST于1998年4月出版發(fā)行了SP800-16標(biāo)準(zhǔn)，這是對(duì)SP500-172的取代和更新，奠定了針對(duì)美國(guó)政府工作人員保密教育培訓(xùn)的總體框架和內(nèi)容，提出了有效的框架并據(jù)此評(píng)估這一培訓(xùn)體系。

模型基于學(xué)習(xí)是一個(gè)連續(xù)統(tǒng)一體這一前提，主要體現(xiàn)了以下觀念。

“安全意識(shí)”顯然是所有員工所必須具備的，而“安全基礎(chǔ)和文化”是那些以任何方式參與到IT系統(tǒng)的員工（包括承包方員工）所必須具備的。

“安全基礎(chǔ)和文化”是“意識(shí)培養(yǎng)”和“培訓(xùn)”之間的一個(gè)過(guò)渡階段。它通過(guò)提供一套關(guān)鍵性安全術(shù)語(yǔ)和概念的通用基準(zhǔn)，來(lái)為后續(xù)的培訓(xùn)打下基礎(chǔ)。

經(jīng)過(guò)“安全基礎(chǔ)和文化”后，培訓(xùn)的焦點(diǎn)集中于針對(duì)個(gè)人“相對(duì)于IT系統(tǒng)的角色和職責(zé)”來(lái)提供知識(shí)、技術(shù)和能力。在這一層，按照技術(shù)需求的不同，培訓(xùn)分為初級(jí)、中級(jí)、高級(jí)3個(gè)層次。

“教育和經(jīng)驗(yàn)”層著眼于開(kāi)發(fā)能夠?qū)崿F(xiàn)復(fù)雜的跨學(xué)科活動(dòng)和所需技能的能力及預(yù)見(jiàn)力，以促進(jìn)IT安全專業(yè)化的發(fā)展，并與安全威脅發(fā)展和技術(shù)發(fā)展保持同步。

按照知識(shí)的層次來(lái)看，學(xué)習(xí)是一個(gè)連續(xù)統(tǒng)一體，但是傳授這些知識(shí)并不需要按部就班地進(jìn)行。如果資源有限，組織有責(zé)任評(píng)估它們的IT安全培訓(xùn)需求范圍和培訓(xùn)效果，使培訓(xùn)資源分配能夠獲得最大的投資回報(bào)。

與早期美國(guó)推行的基于工作職稱的教育培訓(xùn)不同，SP800-16旨在提供基于個(gè)人工作職能和角色的培訓(xùn)方案，將原本的“一職稱一方案”變成了“一角色一方案”。尤其對(duì)于一個(gè)人在組織中具有多個(gè)角色的情況，SP800-16針對(duì)每個(gè)員r個(gè)人培養(yǎng)方案的不同需求靈活變通，力求滿足每個(gè)角色的培訓(xùn)需求，提供復(fù)合式、全面的培訓(xùn)方案。此外，這種培訓(xùn)方法還對(duì)不同組織間職稱標(biāo)準(zhǔn)劃分不同的情況進(jìn)行了統(tǒng)一，提高了同種角色、不同組織、不同職稱間培訓(xùn)方案制定的一致性；同時(shí)，提供了開(kāi)發(fā)課程的工具和學(xué)習(xí)效果評(píng)估體系，盡可能準(zhǔn)確地確定不同角色、不同職責(zé)的每個(gè)學(xué)生的學(xué)習(xí)效果，為課程開(kāi)發(fā)者提供全面、翔實(shí)的學(xué)習(xí)效果反饋，幫助保密培訓(xùn)課程、資料的開(kāi)發(fā)者進(jìn)一步優(yōu)化教學(xué)培訓(xùn)過(guò)程。

1.2 SP800-50

2003年10月NIST推出的SP800-50標(biāo)準(zhǔn)，它在SP800-1 6的基礎(chǔ)之上更加注重項(xiàng)目在實(shí)施過(guò)程中機(jī)構(gòu)資源的安全性，特別強(qiáng)調(diào)在IT安全意識(shí)培養(yǎng)和培訓(xùn)項(xiàng)目的整個(gè)生存周期中的4個(gè)關(guān)鍵步驟：

（1）安全意識(shí)培養(yǎng)和培訓(xùn)項(xiàng)目的設(shè)計(jì)做機(jī)構(gòu)范圍內(nèi)的需求評(píng)估，制定和核準(zhǔn)培訓(xùn)策略為了支持機(jī)構(gòu)已經(jīng)設(shè)立的安全性培訓(xùn)目標(biāo)，這一策略性的計(jì)劃文檔還需確定所要實(shí)現(xiàn)的任務(wù)。

（2）安全意識(shí)培養(yǎng)和培訓(xùn)材料的開(kāi)發(fā)集中討論了可利用的培訓(xùn)資源、范圍、內(nèi)容以及培訓(xùn)材料的開(kāi)發(fā)。

（3）項(xiàng)目實(shí)施。闡述安全意識(shí)培養(yǎng)和培訓(xùn)項(xiàng)目的有效溝通和實(shí)施，提出傳送安全意識(shí)培養(yǎng)和培訓(xùn)材料的可選方式（如基于Web、遠(yuǎn)程教育、視頻、網(wǎng)站等）。

（4）項(xiàng)目實(shí)現(xiàn)之后。就保持項(xiàng)目的通用性和監(jiān)控其有效性的問(wèn)題給予指導(dǎo)，描述有效的反饋方式。

SP800-50標(biāo)準(zhǔn)討論了用于管理安全培訓(xùn)項(xiàng)目中的集中式、部分分散式、完全分散式3種比較普遍的模型。

（1）集中式。所用責(zé)任都集中于核心的權(quán)威人士（如IT安全項(xiàng)目經(jīng)理）。

（2）部分分散式。培訓(xùn)方針和策略來(lái)自于核心的權(quán)威人士，但是實(shí)施的職責(zé)被分散。

（3）完全分散式。只有方針的制訂屬于核心權(quán)威人士，而其他所有的任務(wù)均被委派給機(jī)構(gòu)

模型的選用應(yīng)基于項(xiàng)目的預(yù)算、資源分配、組織規(guī)模、任務(wù)的一致性以及整個(gè)組織的地理分布

2 NIST SP800-16的版本演變過(guò)程

1998年4月出版的SP800-16第一版首次提出IT安全連續(xù)學(xué)習(xí)統(tǒng)一模型，并設(shè)計(jì)基于角度和表現(xiàn)的培訓(xùn)模型。該模型按政府工作人員的職能將受訓(xùn)人員分為6種角色，即管理人員、采購(gòu)人員、設(shè)計(jì)與開(kāi)發(fā)人員、操作人員、檢查測(cè)評(píng)人員以及普通使用人員。模型針對(duì)這6種角色設(shè)計(jì)了3個(gè)基本的培訓(xùn)領(lǐng)域（法律和法規(guī)、安全項(xiàng)目管理以及信息系統(tǒng)安全），并為此設(shè)計(jì)了安全培訓(xùn)課程框架，提出了培訓(xùn)有效性的評(píng)估方案。

2009年3月NIST發(fā)布了SP800-16的第一次修訂草案。一是明確信息安全培訓(xùn)職責(zé)，即對(duì)涉及信息安全培訓(xùn)的機(jī)構(gòu)領(lǐng)導(dǎo)、首席信息技術(shù)執(zhí)行官、高級(jí)機(jī)構(gòu)信息安全官、管理人員、培訓(xùn)設(shè)計(jì)專家、對(duì)信息安全負(fù)有重要責(zé)任的人員以及用戶等7類人員的職責(zé)劃分。二是在信息安全培訓(xùn)課程的學(xué)習(xí)層次上強(qiáng)調(diào)知識(shí)水平的連貫性。三是對(duì)第一版的基于角色的培訓(xùn)提出了一個(gè)教學(xué)設(shè)計(jì)模型，即針對(duì)政府人員的信息安全需求，依次進(jìn)行需求分析、課程設(shè)計(jì)、課程開(kāi)發(fā)、培訓(xùn)實(shí)踐和教學(xué)評(píng)估等五大環(huán)節(jié)，這使得信息安全的培訓(xùn)可以迭代改進(jìn)。

2013年10月NIST發(fā)布了對(duì)SP800-16的第二次修訂版本草案，這次修訂中首次提出了網(wǎng)絡(luò)空間安全培訓(xùn)，因?yàn)槊绹?guó)2010年4月啟動(dòng)了《國(guó)家網(wǎng)絡(luò)空間安全教育計(jì)劃》（ NationalInitiative of Cyber Security Education， NICE），該計(jì)劃旨在通過(guò)促進(jìn)教育和培訓(xùn)來(lái)改善人的網(wǎng)絡(luò)行為、技能和知識(shí)，從而增強(qiáng)美國(guó)整體的網(wǎng)絡(luò)空間安全。這意味著美國(guó)政府已著手于將網(wǎng)絡(luò)空間安全上升到國(guó)家安全的戰(zhàn)略層面上來(lái)。2013年版的改動(dòng)有以下幾個(gè)方面：一是強(qiáng)調(diào)信息安全意識(shí)的培訓(xùn)應(yīng)當(dāng)在網(wǎng)絡(luò)空間的背景下進(jìn)行設(shè)計(jì)；二是在信息安全培訓(xùn)的目標(biāo)對(duì)象中加入了對(duì)重要信息技術(shù)和網(wǎng)絡(luò)空間安全負(fù)有責(zé)任的政府工作人員；三是對(duì)信息安全培訓(xùn)的評(píng)估體系進(jìn)行了細(xì)化，即明確提出了評(píng)估培訓(xùn)的4個(gè)目的。

不到半年時(shí)間，NIST再次發(fā)布了SP800-16的第三次修訂草案，這個(gè)版本改動(dòng)較小，主要是在信息安全培訓(xùn)的組織責(zé)任中加入了網(wǎng)絡(luò)空間培訓(xùn)管理員/首席學(xué)習(xí)執(zhí)行官。其職責(zé)包括：一是確保培訓(xùn)教材針對(duì)具體人員進(jìn)行設(shè)計(jì)；二是確保培訓(xùn)教材對(duì)目標(biāo)人員的有效性；三是為信息安全培訓(xùn)提供有效的反饋信息；四是對(duì)信息安全培訓(xùn)教材進(jìn)行及時(shí)更新；五是重視培訓(xùn)效果的跟蹤和匯報(bào)。

3 NIST特別出版物版本演變帶來(lái)的啟示

縱覽美國(guó)歷時(shí)17年對(duì)信息技術(shù)安全培訓(xùn)指南的修訂過(guò)程，其發(fā)展特點(diǎn)如下：首先，該指南進(jìn)行了頂層設(shè)計(jì)，即提出IT安全連續(xù)學(xué)習(xí)統(tǒng)一模型，設(shè)計(jì)基于角度和表現(xiàn)的培訓(xùn)模型，對(duì)需要接受信息安全培訓(xùn)的目標(biāo)對(duì)象進(jìn)行角色劃分，按照角色需求從法律法規(guī)、安全項(xiàng)目管理以及信息系統(tǒng)安全3個(gè)領(lǐng)域進(jìn)行課程設(shè)計(jì)，初步提出了課程的評(píng)估框架。此后的3個(gè)版本都是在該體系結(jié)構(gòu)下，從角色劃分、培訓(xùn)領(lǐng)域和課程評(píng)估方法等3個(gè)方面進(jìn)行充實(shí)、完善。其次，該指南具有可擴(kuò)展性，即該指南的最初版本就設(shè)計(jì)了連續(xù)學(xué)習(xí)統(tǒng)一體，為培訓(xùn)對(duì)象的知識(shí)結(jié)構(gòu)發(fā)生變化后，如何滿足其信息安全的知識(shí)結(jié)構(gòu)留下了足夠的學(xué)習(xí)空間。第三，該指南的實(shí)時(shí)更新性，即結(jié)合信息安全領(lǐng)域的新技術(shù)，對(duì)培訓(xùn)目標(biāo)對(duì)象和培訓(xùn)課程進(jìn)行實(shí)時(shí)更新。如在美國(guó)NICE計(jì)劃頒發(fā)之后，指南很快在培訓(xùn)環(huán)節(jié)增加了對(duì)國(guó)家網(wǎng)絡(luò)空間安全的培訓(xùn)內(nèi)容。

目前，我國(guó)的信息安全教育工作主要側(cè)重于專業(yè)技術(shù)人才的培養(yǎng)，對(duì)涉及使用信息系統(tǒng)的廣大普通用戶的相關(guān)信息安全常識(shí)的教育重視不夠，更確切地說(shuō)，對(duì)公眾的信息安全常識(shí)教育的計(jì)劃和實(shí)施體系尚未建立。我國(guó)有關(guān)部門(mén)應(yīng)該參照NIST SP800-16和SP800-50出臺(tái)適合我國(guó)國(guó)情的有關(guān)信息安全常識(shí)和培訓(xùn)綱要的規(guī)范指南，以便完善我國(guó)的信息安全教育的完整體系，推進(jìn)提高全民信息安全意識(shí)和技能的工作，為構(gòu)建我國(guó)信息安全保障體系提供人員安全素質(zhì)方面的基礎(chǔ)保證。

4 結(jié) 語(yǔ)

美國(guó)已經(jīng)認(rèn)識(shí)到“國(guó)家正處于危險(xiǎn)之中，政府和關(guān)鍵基礎(chǔ)設(shè)施中的網(wǎng)絡(luò)空間安全漏洞將會(huì)危及國(guó)家安全、公共安全和經(jīng)濟(jì)繁榮”，必須“啟動(dòng)一個(gè)聚焦于網(wǎng)絡(luò)空間安全意識(shí)、教育、培訓(xùn)和職業(yè)發(fā)展方面的綜合性國(guó)家計(jì)劃”，以保證“促進(jìn)和加強(qiáng)全國(guó)范圍內(nèi)的網(wǎng)絡(luò)空間安全力量，并建立一個(gè)靈活的、高度熟練的隊(duì)伍以應(yīng)對(duì)動(dòng)態(tài)和快速發(fā)展的一系列威脅”。這標(biāo)志著美國(guó)信息安全工作進(jìn)入了一個(gè)新的里程碑時(shí)期，必將對(duì)其網(wǎng)間安全狀況的改善、實(shí)現(xiàn)更加安全的數(shù)字國(guó)家、并在國(guó)際上占據(jù)主動(dòng)優(yōu)勢(shì)地位產(chǎn)生深遠(yuǎn)的影響，值得我們深思和借鑒。