电脑黑客和病毒的泛滥,催生出一个年产值高达60亿元的信息安全产业,但8月份,冲击波病毒的发作,却让这个年产值60亿元的产业形同一个“花瓶”———在专家们看来,冲击波只是“半个不成型的蠕虫病毒”,但冲击波给全球信息产业带来的重大损失,再明白不过地昭示了我们精心打造的信息安全体系是多么脆弱!
看清这个事实也许会让人感到悲哀,但这就是全球信息安全问题的真实现状。那么问
题究竟出在哪里?我们每年60亿元的投入,难道只是构筑了一条“马其顿防线”?
事实并非如此。出于对信息安全的重视,各企业单位虽然纷纷斥巨资购置了各种各样的相关防范硬件和软件,但在大手笔地进行投入的同时,一个关键问题始终被漠视,那就是对于人的培训。
还是以冲击波病毒为例,早在冲击波病毒发作之前,微软公司已注意到其操作系统的漏洞,补丁程序也放在官方网站上供用户下载,但冲击波病毒带来的巨大破坏性,已从另一个方面说明了具有这种安全意识的人数实在寥寥。此外,许多企业局域网之所以也被冲击波病毒击倒,其原因是企业内的员工私下拨号上网而为局域网引来病毒。
上述种种行为,反映的其实都是人们信息安全意识的薄弱,而正是这一点,最终让偌大的信息安全产业,竟挡不住“半个蠕虫病毒”。
“科技以人为本”,再好的信息安全设备,最终都要人来操作,因此建立信息安全体系,应当从人才培养开始,这里的人才并不仅包括专门的信息安全管理人员,还包括企业单位所有普通员工。而要达成这一目标,国家信息安全技术水平考试(简称NCSE)无疑是优选。
NCSE是由信息产业部国家信息化工程师认证考试管理中心推出,作为国家级的信息安全认证,NCSE旨在建立我国信息安全技术人才认证的国家标准,建立国内一流信息安全技术人才职业发展体系的认证课程,并以人才测评标准为核心,建立一个有关信息安全技术人才从培育、认证、就业到终身学习的完整产业。在这些主旨之下,NCSE的四级认证体系,将所有人群涵纳其中。
NCSE一级认证的对象锁定在小型网络系统管理人员、各行政、企事业单位普通员工等人群,这个级别的认证检验的是一个网络安全专业人员的基本技能,帮助学员具备基本安全知识和技能的信息安全应用型人才,具备处理自身或协助他人日常程序性工作中所遇到的信息安全问题的能力。
在NCSE二级认证中,一个信息安全专业人员的技能有效性和方案解决能力成为其主要的认证培训目标。通过这一个层级的认证和培训,学员将成为熟练掌握安全技术的专业工程技术人员,能够针对业已提出的特定企业的信息安全体系,选择合理的安全技术和解决方案并予以实现,撰写相应的文档和建议书。而认证与培训的对象,也锁定在各行政和企事业单位网络管理员、系统工程师、信息安全审计人员、信息安全工程实施人员等人群。
在NCSE三级认证中,信息安全技术人才的规划与管理技能等综合能力将面临挑战。要想拿到这个级别的认证证书,学员必须掌握各个信息安全技术领域和体系规划,具备对信息安全和网络安全从较高的角度进行综合性总结和分析的能力。各行政、企事业单位技术主管,技术总监,信息安全工程管理和监理人员,将是这个级别认证的对象。
而在认证的最高级别──NCSE四级认证中,认证的相应人才是高级信息安全专家。但与前三个级别的认证不同的是,这个级别的认证不需要考试,而要求学员进行论文答辩,由专家指导委员会进行评审后,确定是否通过本级别的认证。
NCSE的四级认证设置,既有普及推广,也有专业培训,还有专家认证,其可培训的对象涵盖了所有人群,让不同需求的人才都可以在这个培训体系中找到适合自己的位置,有助于搭建一个信息安全技术人才的“金字塔”结构,从不同的层级上有针对性地培养企业急需的信息安全技术人才。只有这些人才与信息安全设备相结合,方可从根本上解决信息安全问题。
与信息安全问题的争斗不会停歇,“魔高一尺,道高一丈”固然毋庸置疑,但在“魔”与“道”的较量中,冲击波病毒既不是开端,更不会是结局,许许多多未可知的病毒正在蓄势待发,从根本上解决信息安全问题,不妨从NCSE起步。
|