谈互联网时代网络和信息安全职业教育

摘要：信息化的深入发展、“互联网+”各行各业的推进，以互联网为基础的信息系统几乎构成了国家和社会、企事业的“中枢神经系统”，随之而来的各种可以预见和难以预见的风险明显增多，安全问题变得更加复杂、突出。客观分析网络信息安全职业教育的必要性以及目前存在的问题，通过提高个人信息安全素养、确定网络安全教育的内容、利用多种途径实现网络和信息安全教育，以及促进网络安全职业教育的落实等四个方面的教育策略，以实现有效提高网络安全教育的质量和效率。

关键词：网络；信息；安全；职业教育

截至2016年12月，中国网民规模达7.31亿，互联网普及率达到53.2%，超过全球平均水平3.1个百分点，超过亚洲平均水平7.6个百分点。随着信息化的深入发展，中国互联网大国的地位更趋明显。“互联网+”计划的大力推进，政府、金融、工业、商业、医疗等各行各业对网络和信息技术的依赖也日益加重，在这一过程中，各种可以预见和难以预见的风险明显增多，安全问题变得更加复杂、突出。

一、网络和信息安全职业教育的必要性

（一）网络安全形势日趋严重

以互联网为基础的信息系统几乎构成了国家和社会、企事业的“中枢神经系统”，被广泛应用于事务管理、财务管理、人力资源、统计决策等全业务流程中，人们通过互联网工具进行交流沟通、信息获取与、内部管理、商务服务等活动。但互联网是一把“双刃剑”，在给机关、企事业单位管理带来各种便利的同时，各种网络和信息安全的威胁也悄然而至，如经常出现勒索软件、大规模数据泄露、身份盗用的犯罪活动、DDoS（分布式拒绝服务）攻击、各种病毒的侵袭、各类网络陷阱等等，给经济社会发展带来巨大的潜在隐患。网络和信息系统的安全事件一旦发生，可能会危及国家安全、危及社会的和谐稳定，影响企事业单位正常运转和个人日常生活，等等，其损失及危害不可估量。近年来，在我们的生活中各种危害信息安全事件频发，如国内发生的支付宝2015年5月和2016年6月出现瘫痪、乐视视频受到恶意DDoS（分布式拒绝服务）、12306官网信息泄露、政府网站受到攻击被挂马，国外发生的Facebook的CEO马克•扎克伯格Twitter帐号和其他的社交账号被黑客攻破，2016年7月美国绝密邮件泄露等。我国近年各种诈骗案频发，特别是针对财务人员的精准诈骗案屡屡发生。这些案例有一个共同的特点，就是网络信息安全意识和技术手段先天不足。其中很多案件尤其是千万元以上的网络诈骗案都是由企事业单位财务人员的无意过失发生的。企事业单位内部人员安全意识和能力参差不齐，相关工作人员网络和信息安全素养低下，网络安全领域具备网络安全意识和能力人才匮乏，使得企事业单位在面对各种网络安全威胁时，显得捉襟见肘、束手无策，各类网络攻击事件屡屡发生。明确指出：“网络空间的竞争，归根结底是人才的竞争。”据统计，70%的网络安全事件都是“人的问题”，因此必须加强各类从业人员的网络和信息安全职业教育，才能提高国家、企业和个人的整体安全防范能力和水平。

（二）国家对网络安全教育提出了新的政策要求

2014年开始，网络和信息安全已经引起国家的高度重视，并已上升到战略问题予以关注。2014年2月27日，中央网络安全和信息化领导小组成立，中共中央总书记、国家主席、中央军委主席亲自担任组长，、刘云山任副组长。在网络安全教育方面国家也出台了相关政策和措施，以实现维护国家网络安全、建设网络强国的目标。2014年和2015年，我国已经举办两届网络安全宣传周活动。2016年又下发《关于印发〈国家网络安全宣传周活动方案〉的通知》文件，确定网络安全宣传周活动统一于每年9月份的第三周举行。2016年4月19日，主席在《网络安全和信息化工作座谈会》上又发表重要讲话，将网络安全人才问题作为六个专题之一来阐述。2016年6月6日，由中网办等六部委联合印发《关于加强网络安全学科建设和人才培养的意见》中明确要求“建立党政机关、事业单位和国有企业网络安全工作人员培训制度，提升网络安全从业人员安全意识和专业技能。各种网络安全检查要将在职人员网络安全培训情况纳入检查内容。制定网络安全岗位分类规范及能力标准”。

（三）网络和信息安全教育在教育体系中存在历史缺失

在我国的教育体系中，信息化教育已经纳入了各级教育的重要内容。随着信息化教育的普及，小学生从入学开始就接受信息化教育，属于义务教育的一部分。计算机基础教育是高校学生的公共必修课之一，同时国家每年有两次全国的计算机等级考试，各省也有自己的省级计算机考试。但是，在上述全国及省级计算机等级考试中，基本不涉及网络和信息安全的内容，网络与信息安全只是作为计算机相关专业的专业课来设置，基础课几乎缺乏这方面的内容。不仅如此，国家层面关于网络及信息安全教育也尚未形成一个规范系统的计划。继续教育阶段，在对员工相关教育和培训中，也更注重信息系统功能的使用，而忽视了其信息安全的内容。“网络安全和信息化是一体之两翼、驱动之双轮”，这是2014年2月在中央网络安全和信息化领导小组第一次会议上提出的新论断和新要求。当前，我们迫切需要通过职业教育来弥补教育体系中网络和信息安全教育的历史缺失这一短板。

二、网络和信息安全职业教育存在的问题

（一）受教育的人员范围有限

在进行网络安全职业教育中，普遍存在一个误区，认为只有专业的信息安全技术人员才需要职业教育，进行知识的更新，提高安全防范的能力，对涉及使用信息系统的普通用户的安全常识和普及重视程度不够。还有一些企事业单位，根本就没有这方面的教育和培训计划。但实际上，很多网络安全事件通常是从相关工作人员（而不仅仅是网络安全专业技术人员）“下手”，运用社会工程学、心理学等知识找到人在网络生态系统中的“弱点”，而后再用技术手段打开突破口。近年来发生的多起大大小小的针对财务人员的网络诈骗案就说明了这一点。

（二）行业特性不明显

随着计算机和网络在能源、通信、金融、交通、公用事业、工业等各个行业的普及，以及越来越严重的网络和信息安全形势及国家的相关政策要求，使得信息安全的职业教育需求越来越广泛。虽然不同行业网络和信息安全的防范具有不同行业特点，但无论是学校的学历教育还是社会的教育培训机构，在课程体系的设置上行业特色不明显，多“行”一律。

（三）重技术和理论，轻管理和实践

网络安全是复杂的系统工程，涉及计算机、通信、法律、管理等多学科的知识，同时与政治、经济、文化等行业相互交融影响，是一个实践性和操作性要求更强的学科。但是，在实际的职业教育中，培训的内容绝大多数是信息安全技术类的，比如信息加密/解密、数字签名/数字水印、病毒与木马、防火墙技术、IDS技术、VPN技术或者一些相关的测试，而忽略了信息安全道德、法律、法规的内容以及信息安全项目管理、规划以及具体的攻防演练。

三、网络和信息安全职业教育策略

（一）提高个人信息安全素养

个人信息安全素养是指人们在信息化条件下对信息安全的认识，以及针对信息安全所表现出的各种综合能力，主要包括安全意识、安全知识和技能，以及相应的法律法规。提升个人信息安全素养是网络和信息安全职业教育的基础，是每个个体都应该具备的基本技能，也是在网络安全事件中避免由于“木桶效应”形成缺口、造成损失的关键。

（二）基于角色确定网络和信息安全职业教育的内容

不同角色的人员在网络空间安全中的权限、作用、发生安全事件的风险各不相同。依据受教育人员所从事的行业、在使用网络和信息系统的作用来确定职业教育的内容，其一要全面，不仅要做好职业技能的培训，也要做好相关的安全管理的教育；其二要区分层次、梯度、重点，根据行业、角色的特点有的放矢，使得教育更具有针对性。

（三）利用多种途径实现网络和信息安全教育

由于网络信息安全领域的知识更新较快、专业的特殊性需要更加注重操作能力，使得其职业教育既要有理论知识的积累，也要具备职业的安全技能。同时，遵守网络空间相关法规和职业道德同样重要。基于当前网络信息安全所面临的严峻形势和信息技术发展的新特点，必须通过专题讲座、行业培训、继续教育、学历教育、线上线下自主学习等多种途径，加强网络信息安全教育，推动网络信息安全教育逐步形成长期、持久的教育机制。面对各种敌对势力、网络犯罪组织和个人借助技术漏洞等进行的多方位攻击，或者竞争对手借助技术手段在网络信息领域开展的恶性竞争，必须高度重视网络和信息安全专业技术人才的知识更新和专业技能培养，推动网络和信息安全专业人才充分利用互联网的多种学习渠道和攻防演练的实战平台来提高和储备自己的实战技能。

（四）发挥职能机构的指导作用，促进网络安全

职业教育的落实“没有网络安全就没有国家安全，没有信息化就没有现代化。”随着“互联网+”各行各业的推进，互联网与国家的各项管理、经济社会各个领域的融合将进一步深化，这也意味着对这一行业工作人员信息化水平和网络安全素养的要求越来越高。网络和信息安全职能部门通常通过上岗资格认定、干部录用、职称评定、职务晋升等过程中个人信息化水平的测试，实现其督促指导作用，但这些测试中基本不含网络信息安全内容。应发挥职能机构在网络和信息安全方面的指导作用，通过适时检查、制定各种相关岗位分类规范及能力标准等方式，从顶层的设计中将网络安全能力与信息化能力置于相同的位置，真正体现出“一体之两翼、驱动之双轮”的实质，以促进国家对网络安全职业教育和培训的落实。

参考文献：

[1]陈一鼎，乔桂明.“互联网+金融”模式下的信息安全风险防范研究[J].苏州大学学报（哲学社会科学版），2015，（06）.

[2]王明霞.网络诈骗犯罪及其防控对策探析[J].法制与社会，2016，（01）.

[3]徐东华.信息安全社会教育问题研究[J].前沿，2011，（24）.

[4]张翠萍.企业进行网络安全培训必要性研究[J].现代商贸工业，2013，（13）.

[5]韩英.论行政事业单位财务风险管理机制的构建[J].浙江纺织服装职业技术学院学报，2016，（02）.

[6]王咏梅.试论行政事业单位财务风险管理与防范[J].财经纵横，2012，（03）.

作者:郑丽坤 韩雪娜 单位:哈尔滨商业大学