华安信达
主页 安全服务 安全知识 安全论坛 关于我们
安全服务
 安全服务:信息安全培训需求

信息安全培训需求

随着以计算机和网络通信为代表的信息技术(IT)的迅猛发展,现代政府部门、金融机构、企事业单位和商业组织对IT 系统的依赖也日益加重,信息技术几乎渗透到了世界各地和社会生活的方方面面。正是因为组织机构的正常运转高度依赖IT系统,IT系统所承载的信息和服务的安全性就越发显得重要。

就像矛与盾的话题永远都难以明辨是非一样,信息安全和各种构成安全威胁的因素也是在此消彼长的态势中得以发展和延续的。在当今这个空前开放的信息社会,各种带有典型信息化特点的风险和威胁无处不在,因此,我们在利用信息化带来的便捷的同时,也必须从无间断地研究着信息安全的自身特点,并且不辍地寻找着信息安全问题的解决之道。

我们能想到的最直接的安全措施,就是对各种安全技术和产品的选择使用,可随着我们对信息安全认识的全面和深入,单纯从技术角度出发解决安全问题的思路已经很不足据了。事实上,决定信息安全成败的除了技术因素,更重要的一个是管理。如果说安全技术是建筑材料,是手段,安全管理就是真正的粘合剂,是根本,只有将有效的安全管理从始至终贯彻落实于安全建设的方方面面,信息安全的长期性和稳定性才能有所保证。

过去,人们普遍认为计算机安全是技术问题,是设计和生产一些复杂有效的安全硬件和软件的问题。实际上,仅有先进的安全技术是不够的。其一,安全系统的最高安全程度,仅是其最薄弱的环节的程度,而这一最薄弱环节往往就是人为疏忽造成的;其二,安全技术和安全法规都有赖于人来运作执行,企业可能制定了完整的安全策略,可如果员工对其缺乏理解和认识,也只能成为空文。再有,就算企业的IT 部门想为信息安全的建立作出贡献,可如果管理层对此轻描淡写,信息安全的建立和维护就不可能长期有效。所以我们说,人之于信息安全,是信息安全是非成败的最关键因素。而人的防范层次的高低,又直接取决于安全意识、培训和教育,它关系到人对技术的运用能力和对法规政策的理解和落实。难怪有权威专家认为, 企业百分之四十的信息系统安全预算,应该用在职员的安全意识教育上。

2003 年一季度末,据CompTI 计算机技术行业协会发布的安全调查报告,大多数依赖于IT 运营的企业,其安全事件的发生,并非技术原因,人为因素实际上占了相当大的比重,这其中内部人员安全意识匮乏和安全技能低下的问题尤为突出。在CompTI 调查的网络安全事故中,约63%的事故是人为错误所致。只有8%的网络安全事故是因技术原因而引起的。为此,CompTI 公司提出了这样的建议:企业应该对其IT 从业人员给予更多的培训和教育,这样才能更好地规避安全风险。

与此同时,CompTI 也对安全培训的情况进行了调查,在所有受查对象中,只有22%的IT 雇员曾经接受过安全有关的培训,而69%的IT 雇员几乎从来没有接受过任何IT 安全培训。另外,有96%的人建议对IT 人员进行安全培训,66%的人相信增加员工培训对防范和保护网络安全意义重大。在接受调查的公司中,90%都表示使用了防病毒、防火墙和代理服务器设备,但只有19%的公司要求IT 从业人员有网络安全方面的经验,23%的公司要求IT 从业人员进行安全培训。

从以上分析可以很明显的看到,一方面安全培训对于提高人的安全素质至关重要,另一方面安全培训在很多公司却没有得到足够的重视。实际上,信息安全永远都不是一劳永逸的事情,这也要求我们以动态的思维去研究它理解它,为了加强这种理解,持续的安全意识培训和教育则是必不可少的,这对于保障企业信息安全长效久治具有举足轻重的作用。

安全意识和相关技能的培训,是企业安全管理中一项很重要的内容,其实施力度,将直接关系到企业安全策略被理解的程度和被执行的效果。当然,接受安全培训和教育的人员,并不能只限于直接从事信息安全工作并承担责任的人,而应该是全员参与共同投入的一种情况,这包括企业各级管理人员、用户及技术人员。对于培训和教育的实施途径,也不应该是单方面的,比如过于强调产品培训或者技术培训,而轻视甚至忽略管理和意识培训,实际上,安全培训应该是多层次多方面的,企业应该建立一套完整的信息安全培训体系,制定周密的培训计划,以此推动全员信息安全意识的技能的持续增长。具体来说,安全培训的层次性体现在这样几个方面:

  • 主管信息安全工作的高层负责人或各级管理人员的培训,其重点是掌握和了解企业信息安全的整体策略及目标、信息安全体系的构成,以及安全管理机构建立和管理制度的制订。
  • 负责信息安全运行管理及维护的技术人员的培训,其重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用。
  • 信息系统用户的培训,其重点是学习各种安全操作规程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责。
  • 对于特定的管理人员,应该提供特定的安全培训,比如负责密钥管理的人员,就应该特别注重密钥管理方面的技能培训,而对于网络服务的提供者,应该着重强调网络服务安全注意事项。

总之,企业应该通过持续有效、层次分明、专业领先的安全培训来提升员工
的整体安全意识和技能,并且逐渐在企业内部形成一种关注信息安全的氛围,最
根本的,是要建立起企业特有的安全文化,并将其纳入到整个企业文化的体系当
中,为企业的整体发展起到应有的促进作用。

可以这么说:信息安全培训是成本最低、最有效利用现有技术和资源的、效
果最快最显著的信息安全管理措施。
©2003 华安信达(China CISSP)计算机系统安全咨询网