NO.18 一次信息安全培训的总结和想法

信息安全培训及考核相关事宜已经被写入了网络安全法中,大家应当给予足够的重视。

培训背景

首先看《网络安全法》

第二十条 国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。

第三十四条 除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:

(二)定期对从业人员进行网络安全教育、技术培训和技能考核;

我们经常能在甲方企业招聘安全人员的时候列出如下工作任务

“对企业员工进行信息安全培训”

现在网络安全法也把跟信息安全培训以及考核有关的事宜写到了法律条目里,成为了合规要求之一。虽然对于除关键信息基础设施之外的主题并不是强制实施,但是各家企业还是一般都会把信息安全培训列为信息安全部门的工作内容之一。

那么信息安全培训应该如何去做?

显然“信息安全”培训是一个很抽象的概念,信息安全是一个很大的类,我们要怎么去培训?培训什么?信息安全意识?信息安全制度?法律法规?信息安全技术?

针对不同的人群,显然培训的内容不应该是一样的。你给基层业务人员去讲漏洞原理、去讲测试方法,人家听不懂。你去给程序员讲安全管理,人家用不到,不想听。但是想针对每个类型的员工对症下药的进行信息安全培训,精力可能真的不够使。同时如果安全团队比较壮大很好,但如果是一个人的安全部那种情况,企业想内部搞培训,不想去花钱从外面请讲师。那么内部负责培训的这个人如何能保证自己懂得安全管理、安全制度、法律法规、安全意识、安全技术,同时还能把这些内容给别人讲好呢?

实际操作

这实际上是很困难的,除非是工作经验十分丰富的安全人员,不可能把以上这些内容全部涉猎全。像我这种经验并不丰富的安全工程师,对很多内容仍然还是一知半解,但还是被赶鸭子上架,组织了一场60人,为期三天的信息安全培训班。

PS:工作背景为某传统行业国企总部信息安全人员。

对于培训的参训人员、时间、地点、形式等我没有太多的选择空间。最后面对的情况是参训人数大概50到60人,为期三天,把人集中起来办一个培训班现场授课。参训人员包括各省公司信息技术部门的人员代表,同时还有部分市场部门的人员参加。虽然大部分是信息技术部门的人员,但由于我们并非科技公司,所以所谓信息技术部门其实懂开发的很少,大部分人工作内容都是技术运维、甚至管理那一块儿。

三天的时间还是很充足的,一开始领导让我评估需要多长时间培训,我说一天就够了。当时想的就是泛泛的去讲一些“信息安全意识”之类的东西凑一天就行了。结果给了我三天的时间,还要单独开班,那内容就要好好想一想了。

最后确定了几门课程,按顺序罗列如下。

1 信息安全现状分析:包括大环境安全现状、行业安全现状、公司安全现状。

目的是让大家先了解我们在谈信息安全时在谈些什么,从大环境上讲,我们面临的安全问题的状况是怎样的,我们处在一个怎样的安全环境下。具体到公司所处行业,经常出现哪些信息安全问题、问题从哪里出现的。最后具体到公司,发生过哪些安全问题,为什么出现的,如何去解决。

2 《网络安全法》解读:现在当我们谈合规的时候《网络安全法》的相关条目规定应该是我们首先应当考虑的。

主要是针对法律的逐条解读,因为之前也作为安全工程师,接受过国测中心对于网络安全法的培训。基本就照葫芦画瓢把课讲了下来,涉及到网络运营者的条目给予重点分析。同时向大家展示了网络安全法实施至今,所有的执法案例汇总。向大家明确一些已经被其他公司趟出来的雷区,是要绝对避免的。

3 信息安全技术:因为台下还是有相当一部分技术人员,都对安全相关技术表示出一定的兴趣,要求有技术类培训。但是由于大家其实对安全技术大多还是了解几乎为零的,那么讲什么、怎么讲、讲到什么程度其实我很难把握。

那么提到安全技术、想给大家展示的最直接的东西,也就是一个攻击的过程。由于渗透测试方面其实我经验尚浅,也不是什么大神。只好对着自己设置好的靶机一通撸,将过程录制成截图+视频,给大家播放。讲解一次入侵需要经过哪些过程什么的。之后对利用的漏洞进行说明,然后再浅浅的讲一下owasp top 10,最后给大家介绍几款漏洞扫描工具AppScan AWVS之类的,就算是结束了。

4 公司的相关信息安全制度:这个没什么好说的了,内部的管理制度、考核制度、主机网络应用balabala的。

跟大家强调一下还是很有必要的,制度写在这里了,也给你们讲了。你们不遵守,出了事儿,那我们可要理所应当的去考核了。

5 等保备案:

主要也还是为了合规,目前情况下我认为等保是我们首先需要关注的东西。但是其实并非安全口儿的大家对等保这个东西并不了解,甚至没法说出等保的全称。所以单独拿出了一堂课程的时间,给大家介绍什么是等级保护制度,如何去做等保。

6 考试:“定期对从业人员进行网络安全教育、技术培训和技能考核;”

还是为了合规,需要留下考核记录。所以给大家安排了一次考试,主要就针对这几天的授课内容。

为了让大家都能够通过而且分数比较好看,避免以后公安部门查我们发现考核都不及格就尴尬了。。。

所以考试内容为判断+填空+简答 开卷考试,考试的内容也就是一些基本概念之类的,没有太多难度。

OVER


————————————————————————————————————————————–

总结

当老师真的是不容易啊,第一天的时候脑子有泡,讲一个小时休息十分钟,讲一个小时休息十分钟,声带直接爆炸。后来学聪明了 讲45分钟休息半个小时。。。中间无限喝水,缓过来了。

一些问题吧,从小往大讲:

1 授课形式还是有些枯燥了,分析、法律、制度这些东西其实确实PPT念经的成分偏多了,学员听不下去也情有可原。在讲网络安全法的时候给大家放了一小段儿从网上找的宣传动画,其实讲的也很清楚而且有活力,大家看得也专注一些。

2 授课的内容真的合适吗,现状分析、网络安全法、信息安全技术、等保测评。目前确实没有能力,也没有条件去针对不同的人员对症下药,去做针对性的培训。 那么就算是只能去做通用型培训,这几项真的合适吗。可以说现场有些非技术岗位的同事,给他培训信息安全技术确实是没什么用,只是浪费人家的时间。

3 授课应该完全由我来讲吗,只针对这次的培训内容来说,为了这次培训做准备,无论是网课还是现场的各种安全会议。与我课题相关的我都自己去听了不少,可以说除了讲公司内部的安全制度以外,其他任何一个课题单拿出来跟其他专业讲师比,还是有很大差距的。比如在讲《网络安全法》的时候似乎除了PPT念经也没有更好的方法,讲入侵技术的时候也没有太多实际经验能给大家分享。

这次其实是公司第一次搞信息安全培训,也是我第一次负责信息安全培训,应该还有很多进步空间吧。同时在这次培训之后我也在想 信息安全培训这个东西到底应该怎么搞。

因为不同的行业、不同的公司、不同的部门。我认为需要进行的培训内容都是不一样的,针对性的去进行培训才能达到最好的效果。而专业提供培训的安全服务公司,大概通用性的培训做的比较好吧?比如信息安全意识、安全开发、高管信息安全培训之类的?那当希望培训能够去细分的时候,这个颗粒度掌握在多大合适?每个公司有一套培训方案?每个行业有一套培训方案?还是每个部门有一套培训方案?我觉得都是一些值得思考的问题。

想说的都说的差不多了,分享给大家,就这样吧。

Engineering For The Win

2017.9.28

3

发表评论

已有 13 条评论

取消
Loading...
css.php