浅析信息安全管理中人才队伍建设问题与对策.docVIP

浅析信息安全管理中人才队伍建设问题与对策 　　 1 引言 　　 随着信息化进程的持续深入和互联网的快速发展，信息技术在有效支撑政府部门深化管理能力、提升公共服务水平的同时，其所带来的安全隐患也在日益显现。闻名全球的美国政府“维基泄密”、伊朗核设施遭“震网”病毒袭击等安全事件充分说明由于政府部门信息事关国计民生，其重要性和高度敏感性使得政府部门信息系统已成为国内外敌对势力、敌对分子进行网络渗透、数据窃取和攻击破坏等活动的重点目标。如何保障信息化建设成果以及如何防范物联网、云计算、社交网络、三网融合等新兴IT技术发展所带来的新的安全风险已经成为各级政府部门信息化建设与发展过程中的重要课题。 　　 　　 2 信息安全保障要求 　　 面对日益严峻的信息安全形势，网络信息安全问题越来越引起我国政府的高度重视。从1994年开始，国家相继制定了一系列的法律、法规和条例，以切实做好全国信息安全保障工作。1994年，《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）颁布，条例规定“计算机信息系统实行安全等级保护”。2003年，中共中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔2003〕27号），把信息安全提到了关乎国家安全的高度，并提出了“加快信息安全人才培养，增强全民信息安全意识”的指导精神。2004年9月公安部会同国家保密局、国家密码管理局和国务院信息办联合出台了《关于信息安全等级保护工作的实施意见》（公通字〔2004〕66号），明确了信息安全等级保护制度的原则和基本内容，并陆续出台了信息安全等级保护管理办法、基本要求、实施指南等一系列等级保护政策、规范和标准。同年，中共中央保密委员会下发《关于加强信息安全保障工作中保密管理的若干意见》（中保委发〔2004〕7号），同样出台了相关管理办法、技术要求、管理规范、测评指南、方案设计指南等保密标准，用于指导涉密信息系统的建设、使用和管理。 　　 当前，信息安全已成为国家安全的重要组成部分。各级政府在不断完善信息安全规章制度的同时，每年以多种形式重申和强化信息安全工作要点，部署专项安全保密措施，监督检查信息安全落实情况，并把培养信息安全人才作为发展和建设我国信息安全保障体系必备的基础和先决条件。 　　 　　 3 信息安全人才队伍建设现状 　　 (1) 信息安全人员数量 　　 从事信息安全管理工作人员较少，主要开展基于区域边界、网络传输和计算环境的安全管理，在主机、应用和数据方面较为缺乏，对于重要信息系统所需配备的系统管理员、安全管理员和安全审计员，普遍存在根据业务需要临时任命现象。 　　 (2) 信息安全人员结构 　　 信息安全人员多数为其他岗位人员兼任且非信息安全专业，是在进入岗位后根据职能要求逐步熟悉、掌握信息安全技术知识，虽然具备了一定的信息安全技术与管理能力，但普遍存在安全知识零散、管理不成体系等先天性不足。在当今飞速发展的信息安全领域，非专职信息安全人员在忙于众多事务管理的同时难以持续关注、跟踪最新的信息安全技术发展趋势和国家、行业的政策、规范、标准等最新要求及实施情况，缺乏知识储备和经验积累，造成缺乏懂技术、会管理和熟悉业务的信息安全人才。 　　 　　 4 面临的信息安全隐患 　　 由于相对固化的信息安全人力数量、知识结构和运行机制，管理部门难以有效承接来自政府主管部门的信息安全保障要求，信息安全隐患逐渐显现。 　　 (1) 信息系统建设缺乏总体安全规划 　　 信息系统建设的承建主体多数为政府业务管理部门或技术支撑部门，在信息系统规划中他们更多的是注重业务应用功能的实现和不同信息技术的实现方式，而对系统信息安全缺乏全盘考虑和统一规划，导致信息系统在建设过程中没有充分考虑网络、主机、数据和应用的安全策略、安全技术措施以及信息安全管理要求，仅在系统竣工前或安全测评阶段，根据相应的检查指标需要，临时、被动地针对信息系统实施一定的安全防护措施，造成了安全建设与信息系统建设相分离。虽然达到了某阶段要求，但是安全措施比较零散，缺乏体系和相互关联，甚至实施的安全措施治标不治本，安全隐患重重。事实上，缺乏真正来自业务管理目标的信息安全需求，临时建立的信息安全策略也在信息系统变更、优化和升级中因缺乏动态的改进和完善而逐步缺失，使信息系统基本处于不设防状态。 　　 (2) 信息安全技术应用滞后 　　 在信息技术广泛应用和新兴IT技术快速发展的同时，信息安全技术也发展得越来越专业。信息安全产品也根据不同的专业领域划分为主机安全、网络安全、应用安全、数据安全等多个类别，涉及防火墙、恶意代码防护、入侵检测、安全隔离与信息交换、网站防护、加密机、数字证书、安全审计等专业技术。了解、熟悉并且科学合理地使用这些专业化安全产