美国信息安全教育和培训启示.docVIP

美国信息安全教育和培训启示 　　文章编号：1672-5913（2015）03-0112-04 　　中图分类号：G642 　　摘 要：介绍和分析美国国家标准与技术研究院（ NIST）出版的两个在信息安全意识教育和培训方面的规范性文件及3次修订过程，指出随着信息技术的发展和国家安全策略的变化，美国对于信息技术安全培训的要求以及侧重点也在随之改变，总结从美国NIST关于信息技术安全培训的内容变迁中得出的一些启示，希望对我国的信息安全与保密培训有一定的借鉴意义。 　　关键词：信息安全；意识教育；保密培训；NIST 　　0 引 言 　　1998年4月，美国国家标准与技术研究院（ National Institute of Standards and Technology，NIST）颁布了的关于信息技术安全常识和培训纲要SP800-16“信息技术安全培训要求：基于角色和表现的模型”。2003年10月，NIST又发布SP800-50“建立一个信息技术安全意识教育和培训项目”，其中SP800-50是为SP800-16设计的指南文档，是建立或微调信息安全意识教育或培训项目的联邦组织的基础文档。在讨论信息安全培训发展的那一部分，SP800-50指向了SP800-1 6。SP800-50致力于一个较高的战略水平，讨论如何建立一个信息安全意识教育和培训项目，SP800-1 6处于一个较低的策略水平，描述信息安全意识培训和基于角色培训的方法。它们形成了美国在信息安全意识教育和培训方面的规范性指导意见。 　　从1998年NIST发布SP800-16以来，在这17年里SP800-16经历3次修订、4个版本，目前NIST公开的版本是2014年3月发布的第三次修订版。 　　1 NIST关于信息技术安全培训的特别出版物 　　NIST成立于1988年，旨在促进美国的工业发展。NIST在1998年、2003年和2009年分别出台了一系列的保密培训领域的行业标准。自1 995年克林顿政府发布12958号总统令提出“疑密从无”和“疑密从低”的原则开始，到奥巴马政府于2009年颁布的13526号总统令提出保密教育培训工作的强制性规定，尽管期间保密管理理念和政策起伏较大，但在这个过程中美国的保密教育培训却日趋完善，这对我国的信息安全与保密教育培训工作的开展具有很大的借鉴和指导意义。 　　1.1 SP800-16 　　NIST于1998年4月出版发行了SP800-16标准，这是对SP500-172的取代和更新，奠定了针对美国政府工作人员保密教育培训的总体框架和内容，提出了有效的框架并据此评估这一培训体系。 　　模型基于学习是一个连续统一体这一前提，主要体现了以下观念。 　　“安全意识”显然是所有员工所必须具备的，而“安全基础和文化”是那些以任何方式参与到IT系统的员工（包括承包方员工）所必须具备的。 　　“安全基础和文化”是“意识培养”和“培训”之间的一个过渡阶段。它通过提供一套关键性安全术语和概念的通用基准，来为后续的培训打下基础。 　　经过“安全基础和文化”后，培训的焦点集中于针对个人“相对于IT系统的角色和职责”来提供知识、技术和能力。在这一层，按照技术需求的不同，培训分为初级、中级、高级3个层次。 　　“教育和经验”层着眼于开发能够实现复杂的跨学科活动和所需技能的能力及预见力，以促进IT安全专业化的发展，并与安全威胁发展和技术发展保持同步。 　　按照知识的层次来看，学习是一个连续统一体，但是传授这些知识并不需要按部就班地进行。如果资源有限，组织有责任评估它们的IT安全培训需求范围和培训效果，使培训资源分配能够获得最大的投资回报。 　　与早期美国推行的基于工作职称的教育培训不同，SP800-16旨在提供基于个人工作职能和角色的培训方案，将原本的“一职称一方案”变成了“一角色一方案”。尤其对于一个人在组织中具有多个角色的情况，SP800-16针对每个员r个人培养方案的不同需求灵活变通，力求满足每个角色的培训需求，提供复合式、全面的培训方案。此外，这种培训方法还对不同组织间职称标准划分不同的情况进行了统一，提高了同种角色、不同组织、不同职称间培训方案制定的一致性；同时，提供了开发课程的工具和学习效果评估体系，尽可能准确地确定不同角色、不同职责的每个学生的学习效果，为课程开发者提供全面、翔实的学习效果反馈，帮助保密培训课程、资料的开发者进一步优化教学培训过程。 　　1.2 SP800-50 　　2003年10月NIST推出的SP800-50标准，它在SP800-1 6的基础之上更加注重项目在实施过程中机构资源的安全性，特别强调在IT安全意识培养和培训项目的整个生存周期中的4个关键步骤： 　　（1）安全意识培养和培训项目的设计做机构范