国内外研究现状

世界各国都对信息安全与保密的教育培训工作给予了高度重视。美国在针对其国家安全系统的教育培训方面已经形成了可持续发展并改进的标准化体系。1995年克林顿政府就开始全面加强保密培训工作,以推动其保密管理理念和政策的落实。2009年12月29日,时任美国总统奥巴马颁布了13526号行政命令《美国国家安全信息》,对保密教育培训工作做出了强制性规定。自1995年克林顿政府提出“疑密从无”和“疑密从低”的原则开始,到奥巴马政府提出保密教育培训工作的强制性规定,尽管期间保密管理理念和政策起伏较大,但在这个过程中美国的保密教育培训日趋完善,对我国的信息安全与保密教育培训工作的开展具有一定的借鉴意义。

我国在信息安全教育方面已开展了大量工作,目前已有80余所高校开设了信息安全本科专业。除高校教育之外,我国有关部门、单位也开展了一些信息安全(保密技术及教育宣传)专业培训和资质认证工作。其中,有代表性的认证包括国家信息安全技术水平考试(NCSE)、国际信息系统审计师(CISA)、国际注册信息系统安全专家(CISSP)、注册信息安全专业人员(CISP)、注册信息安全员(CISM)和信息安全保障人员认证(CISAW)。

在保密教育培训领域,近年来,国家保密局集中力量,大规模地开展了各层次的保密教育培训,大大加强了涉密人员的保密意识教育和安全技能培训,并积累了丰富的教育培训经验。

基于角色的保密教育培训模型

托马斯·S·贝特曼提出将培训划分为不同层次,即基于受训者不同的工作角色划分为不同层次,采取具有针对性的培训计划:一是侧重教育水平低的员工完成本职工作的一般性培训;二是发展性培训,重在提升员工技能水平,使之不仅能做好基础性工作,更能胜任艰巨任务。为此,我们设计了基于角色的保密教育培训模型。

“保密意识”是面向全体员工的,通过解释保密是“什么”而不是“如何”来告诉学员影响组织和个人工作环境的威胁和隐患,并且告诉学员什么是允许的,什么是不允许的。“保密常识”是与保密工作相关的人员需要掌握的,是“基本意识”和“基于角色的专项培训”的过渡阶段,它提供一些通用的基础保密知识,为后续专业的或基于角色的培训奠定了基础。“基于角色的专项培训”是基于指定的角色教授特定技能的培训,其专注于为涉密资质单位涉密人员提供特定的知识和技能。“教育和经验”侧重于发展能力和视野,用于处理复杂的活动,面向涉密资质单位涉密人员教授新技术条件下的网络安全与保密技能,使受训人员能够掌握网络技术和安全威胁的发展态势。

保密教育培训体系架构设计

基于角色的保密教育培训体系框架包含3个内容:组织角色及责任、教育培训层次与类型以及教育培训保障机制。

1. 组织角色及责任

根据涉密资质单位涉密人员保密培训实际情况,我们把整个组织分为4大类角色,分别对应4个层次,即决策层、组织层、师资层和实施层。

其中决策层中的国家保密局负责涉密资质单位涉密人员教育培训的顶层设计与规划,国家保密教育培训基地是国家保密行政管理部门内设的跨部门综合协调机构,是执行保密系统教育培训工作的重要载体。组织层中的国家保密教育培训分基地负责执行涉密资质单位涉密人员保密教育培训具体任务,授权培训机构负责执行涉密资质单位涉密人员保密教育培训具体任务。师资层中的保密教育培训设计专家负责设计保密教育培训项目的合格标准、培训教材内容、课程与培训方式,保密教育培训讲授专家负责保密教育培训讲授、考核和评估。实施层中的涉密资质单位指已经获得资质的单位和在建申请资质的单位,具体培训对象为参加教育培训的涉密资质单位涉密人员。

2. 教育培训层次与类型

教育培训是个连续的过程,也是分层次的。我们从横向和纵向两个维度设计了模型,横向是业务种类,纵向是保密知识的4个层级,保密教育培训应根据不同的角色提供不同类型的培训内容与要求。首先,保密意识教育是保密教育培训的基础工作。涉密资质单位所有涉密人员都应该具备保密意识。其次,作为保密管理类人员,应在实际工作中掌握保密工作的人防、物防、技防等相关内容及保密常识,做到警钟长鸣;针对保密技术人员,必须掌握跟涉密信息系统集成相关的各类业务工作。最后,各种新技术、新方法层出不穷,窃密和反窃密技术和产品也在不断发展,这就需要涉密资质单位涉密人员通过拓展培训,如前沿讲座、高级研讨班等,不断拓展保密工作视野,以应对网络技术快速发展带来的挑战。

3. 教育培训保障机制

完善保密教育培训的基本保障机制,是构筑保密培训长效机制的重要前提。主要是通过师资队伍、培训教材、培训基础设施以及培训效果评估来实现。

一是师资队伍建设。由于保密教育培训具有前沿性强、实践性强的特点,保密教育培训的师资队伍一方面要来自于全国“11+1+X”国家保密学院和高校现有师资,通过资质认证、职务聘任和竞争上岗形成专职教师队伍的优质化建设;另一方面,要积极联络和广泛组织思想政治素质过硬、保密实践经验丰富、理论水平较高的领导干部、企业经营管理人员、先进模范人物、优秀基层保密干部形成兼职教师队伍。专职教师和兼职教师共同构成国家保密教育培训的师资队伍,形成强有力的课程设计和课程讲授能力。

二是培训教材开发。教材在保密教育培训活动中的工具性功能,决定了其特有的规范性。教材开发要从涉密资质单位涉密人员培训需求出发,要把增强保密意识、熟悉我国现行的保密法律法规、学习现代科技保密方面的知识和技能、掌握国内外窃密与反窃密动态、增强保密干部的工作能力、学习和了解相关领域的基本知识等作为教育培训教材编写的出发点和归结点,并满足不同层次的需求。教材的编写要顺应形势的发展,强调教材内容的时代性和发展性原则。

三是培训基础设施建设。保密工作实践性强,尤其是网络计算机安全方面对实践性要求更强,在教育培训中增加实际操作的培训环节是必要的。在以往的涉密网络管理的操作中往往只让学员观摩,不允许动手操作。对此,应在建设网络机房,为培训学员提供模拟涉密网络和模拟涉密信息系统安全保密管理的实战演练平台,从而能够切实增强学员的实践动手能力。

四是培训效果评估。培训考核评估机制包括培训分基地的标准化评估和认证以及入职培训,在岗认证培训,前沿研讨,两识教育等不同层次、不同形式的教育培训证书标准化或非标准化的考试、考核和评估。其中标准化考试的重要支撑是标准化考试题库。相关专家和教师要根据实际,不断更新、补充编写课后思考题和练习题,形成考试题库的定期升级与更新机制。

作者:黎妹红  /  北京交通大学国家保密学院 ,胡延军  高艺  /  国家保密科技测评中心,丁京  /  北京控制工程研究所,杜晔  /  北京交通大学国家保密学院

声明:本文来自保密科学技术,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。