CISP人才培养对网络安全体系的影响

自2011年取得CISP认证至今已有近九年的时间，笔者在企业中一直从事着网络安全的相关工作，亲身经历了永恒之蓝勒索病毒事件，“网络安全法”的试行到实施、演习活动这些里程碑事件，从一个参与者角度见证了企业网络安全保障体系从单薄到饱满，直至趋近完善的过程。专业的安全人员在其中发挥了巨大的正向作用，是网络安全体系建设和发展的重要组成部分。结合这些经历，笔者谈谈CISP人才培养对企业网络安全工作的积极作用。

一、企业网络安全工作及从业人员情况

CISP体系一直倡导的“三分技术、七分管理”是企业网络安全工作的真实写照，其管理体系一般采取垂直管理机制，以行政主体为单位，每层级设有网络安全的管理人员和技术人员；制度体系一般也依附在管理体系中，逐层逐级继承细化；技术方面一般按照业务方向不同进行划分，如网络、终端、服务器等。总结下来就是“以人为本”，网络安全工作效果的好坏，基本取决于企业各层级网络安全从业人员专业知识储备情况和技能水平的高低。按照职能划分，企业网络安全工作者可分为方向型管理人员、技术型管理人员、技术操作人员、技术服务人员。受学校专业因素影响，以前很多管理人员到技术人员基本没有网络安全专业学历，而是依靠工作经验和查阅资料完成网络安全能力的积累，这种片面的学习过程造成了很多企业网络安全工作者能力的局限性，影响到工作中的方方面面：如制度与机制的设置执行是否到位、安全措施的选择和配置是否完善等，甚至存在技术人员不懂安全措施的作用和原理、裸跑在网络中的情况。随着“网络安全法”、网络安全等级保护制度的深入落实和企业安全体系的不断完善，这种现象已经逐渐消失，但曾经对企业的网络安全的影响是一直客观存在的。

二、企业网安从业者能力匮乏的原因

作为企业中的一员，可以深刻体会到内部从业者在网络安全学习积累上的无力感，总结下来，主要有三方面原因：一是知识碎片化，缺乏系统性。网络安全作为后兴起的专业领域，与传统信息化发展相比存在滞后性，早期学校也没有相关专业或知识的传输，即便目前国内部分高校已经开通了相关专业，但短时间很难发展到如传统文理课程的标准化。虽然互联网的兴起加快了知识的传递和分享，但内部从业者很难从网络中汲取到系统性的知识体系，知识碎片化则意味着内容的时效性低、准确性低，学习者无法知悉自己欠缺什么，甚至应该学习什么。二是培训机制僵化，学习机会匮乏。培训在企业内部是一项常态化开展的经营活动，受企业内部管理机制所制约，无论是“内对内”还是“外对内”的培训课程，都按照数年前的标准执行。但网络安全的培训体系是创新型的，其知识体系对授课者的能力要求颇高，像CISP的讲师全国仅有100余名，基本为行业中出类拔萃且适合传授知识的中坚力量，培训成本相对较高，因此企业往往在考虑合规和成本的前提下，采取低成本的培训模式，照本宣科的开展安全培训，千篇一律的内容让内部从业者疲于应对，甚至起到反向效果。三是工作界面狭窄，缺少实训场景。行业对于网络安全都是讲体系，但在企业实际工作过程中，从业人员受到行政、业务、人员分配、编制等多方面原因的制约，往往从事一个细分领域的工作，在网络安全工作中兼职居多，比如负责网络管理的兼职网络安全管理，但管理终端的另有其人。这种现象大大降低了内部从业者对跨工作范围安全知识和技能学习的兴趣，即使掌握了跨工作范围的技能和知识也很难在实际工作中得到应用和验证。

三、CISP人才认证对企业安全保障的积极作用

CISP认证资质发展到今天，其知识体系覆盖管理、技术、风险评估、物理环境等方向，已具备系统化、多元化等特性，在结合企业实际需求的基础上，可以为企业培养复合型的网络安全人才，符合企业“以人为本”的网络安全工作思路,对各项工作的落地和高质量推进有着积极的促进作用。具体有以下几点：

1.为企业培养全面的中层管理型人才。通过CISP知识体系，使得管理层对网络安全整体工作内容、性质和方向有详尽的了解，在具体的企业管理工作中可对具体方向有很好的延伸，落实企业网络安全战略规划时可以更高质量地完成工作任务，以及更合理的协调分配资源。

2.为企业培养全面的基层技术型人才。通过CISP知识体系，使得网络运维管理人员对安全威胁的识别有了深刻的认知，对网络、终端、物理环境等方面的网络安全知识及技能有全面的了解，在具体工作中可以结合实际环境就某一方向进行深入研究和操作，可适用于企业基层的多种技术应用场景，为企业网络安全工作的落地推进提供了基础的保障，是对企业网络安全工作的重要支撑。

3.为企业培养专业的检查评估与渗透服务人才。通过CISP-PTE等知识体系可为企业培养对内服务的红客人才，摆脱依赖外部服务可能存在的数据泄漏、敏感泄密等安全风险，同时也为企业储备可以在网络安全方向担负安全对抗的人才队伍，保障企业在复杂形势及环境下的安全稳定。

四、结语

在企业网络安全保障体系中，无论是管理体系、技术体系还是运维体系、监督体系，都是依靠人去运转和操作落实，企业安全体系建设与发展的优劣维系在企业内部网络安全从业者的身上。CISP是国家目前含金量最高的专业认证培训体系，能很好地解决企业在人员网络安全专业能力缺失和不足上的问题，从而帮助企业进一步加快网络安全保障体系的建设和完善。作为年头较长的CISP持证者，笔者建议在体系课程中加强实操实训环节，让接受培训的一方能更清晰、更深刻掌握网络安全知识与技能，更好地为企业网络安全工作作出贡献，同时也希望CISP认证资质蓬勃发展，为我国的网络强国道路提供强而有力的支撑。

作者：郭强 单位：大庆油田信息技术公司北京分公司