科学,必须具有普适性,也就是说,科学所表述的自然规律是适合于某一类事物的共同特征,而不是仅仅适合于个别事物的性质。所谓“某一类事物”,总是有一定局限范围的,因而任何理论都有其适用范围,但绝不是针对几个个案。科学规律标志该范围事物的共性。是否要在网络安全培训中也引入普适性概念,是首先要探讨的问题。
我们需要的是网络安全人才,还是网络安全能力呢?根据《国家中长期人才发展规划纲要(2010-2020年)》,人才是指具有一定的专业知识或专门技能,进行创造性劳动并对社会作出贡献的人,是人力资源中能力和素质较高的劳动者。人才是我国经济社会发展的第一资源。顾名思义,网络安全人才是指“在网络安全领域具有一定专业知识或专门技能,进行创造性劳动并对社会做出贡献的人……”。
网络安全专业岗位的专业人才需要具备深厚的网络安全专业知识,并能够通过专业知识解决组织所面临的网络安全问题,例如恶意人员的入侵、内部舞弊及恶意破坏等问题。广义的网络安全问题,根据《信息安全技术信息安全事件分类分级指南》(GB_Z 20986-2007),包含但不限于其所定义的7大类。对于网络安全能力而言,每个网络安全岗位人员都应该在自己工作职能和技术的基础上,应该具有相应的网络安全知识应用水平。
网络安全专业岗位和网络安全能力两者到底有什么区别呢?为什么需要这个岗位和这项技能呢?除了政策性的必须之外,网络安全能够给组织带来的真正业务价值在哪里?随着法律的不断细化,未来威慑性体系构建或许能够有效地遏制犯罪意图。但是,当计算机犯罪率降低后,网络安全岗位的需求将何去何从呢?当网络安全与业务产生冲突后又该怎么办呢?这时,在从业务角度识别区分网络安全人才和网络安全能力的过程中,普适性带来了更广阔的空间和思路。
网络安全专业岗位是必须的,网络安全专业能力也是必须的,但是,网络安全是建立在网络技术基础之上,而更广义的网络安全是建立在所有专业领域基础之上。因此,应该让每个角色都能在他们的专业技能基础上建立本领域的网络安全认知能力。这种能力可以为每一个员工提供建立能够符合组织安全文化的共识,同时能够具备与网络安全专业人员达成沟通的能力。这种能力不是所谓的网络安全宣贯,而是能够在业务角度提供针对网络安全业务所形成的专业知识。例如,在考驾照时,学员必须通过科目一的交通法规学习,掌握如何安全驾驶车辆的理论,然后再学习如何驾驶车辆。这就是通过一种普适的教育把网络安全融入具体网络安全岗位的典型实例。
那么,在网络安全教育培训中如何建立普适的网络安全课程体系呢?普适的网络安全教育与培训覆盖职业高中、技校、高校等传统教育领域,也适合于职业培训和在职培训工作,通过普适性的网络安全课程体系把网络安全思想扎根于所有的知识体系中。例如,在传统的软件开发教学中,可以在对强调编码构成机制活动时,将代码缺陷造成的软件攻击场景结合OWASP Top10结合,使学生能够理解软件在执行过程中,代码如何被异常调用后导致攻击问题的产生;在函数学习中,了解每个函数可能产生的缺陷问题以及基本的对策;在深度的研究性学习中,了解软件在执行过程中指令状态的捕捉和分析能力,将一个程序的运行从提交开始一直到服务端过程中所产生的影响可靠性(如:指令集、数据流向、协议流向、硬件的处理能力、算法的执行能力以及后端的瓶颈问题……)的分析、机密性(传输协议安全、数据存储安全、去标识化、数据加密、数据脱敏……)、完整性(数据验证、代码验证、参数验证……)以及可用性(软件性能、硬件性能、网络性能、DBMS的处理性能以及云能力)的影响。在职校、大专、本科、研究生的不同阶段,建立一条从知其然到知其所以然的学习链条,培养学生在不同层次和起点不同的“知”的能力,从而促发由学习深度带动学习广度的认知。这样,学生每学完一门课,就能掌握一个安全领域,并且更容易从实战实用角度出发理解网络安全,而不是只知道简单的攻防对抗。
如何在职业培训中构建普适的网络安全能力呢?这需要组织者能够针对不同行业制定学习计划,培训机构能够针对不同领域(而不是简单的信息部门)制定网络安全课程。例如,针对采购部门和采购人员的供应链安全和国家网络安全立法相关知识的培训,根据《中华人民共和国网络安全法》第三十三条规定“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。”那么作为采购人员应当在选择产品和服务时,针对提供的产品和服务是否能够满足“三同步”提出采购需求和评审标准,并针对需求部门进一步要求将三同步纳入验收标准,同时结合供应链安全使其能够理解采购活动中的网络安全风险以及进一步理解国家《网络安全审查办法》的目的、意义和价值;针对开发部门的软件安全开发培训中通过《数据安全法》《个人信息保护法》的相关条款的导入,使开发人员能够认识到构架合理的数据架构不仅仅是一个业务实现问题,同时还要考虑立法合规问题,避免惯性思维产生的超量、非必要性和隐性数据采集和处理带来的法律问题;针对财务部门通过了解勒索病毒、社会工程学攻击等带来的危害,使其能够进一步重视终端安全和个人安全意识的提升的必要性。保障网络安全一定是覆盖组织所有部门自上而下的活动,需要每个部门、每个角色都能理解自己在工作中可能触发的网络安全问题,不仅仅包括源自外部的攻击,还有更广义的内部不良人员、误操作,以及结构化缺陷等诸多因素。
构建普适的网络安全教育培训需要解决普适的课程体系、普适的师资能力建设、普适的教材以及普适的教学方法,这打破了传统的教育与培训手段,进而需要在教学活动中实现“所见即安全”的场景化教学和实例化案例分析。
