美国信息安全教育和意识培训探析

　　近几年来，美国越来越开始重视信息安全教育和意识培训，是最早制定并且实施信息安全教育战略的国家，随着形势的变化，信息安全教育也在不断发展和完善。美国制定了较为系统的信息安全教育和意识培训的政策法规体系，组建了从国家层面、部委层面到机构层面的管理机构，各类社会组织积极参与。目前，国家各个层面分工合理、各司其职，已初步建立了较为完整的信息安全教育和意识培养体系。

　　一、加强顶层设计，确立信息安全教育国家战略

　　1.《网络空间安全国家战略》

　　布什政府在2003年2月发布了《网络空间安全国家战略》，其中首次从国家层面提出了“提高网络安全意识与培训计划”，指出，“除了信息技术系统的脆弱性外，要提高网络的安全性至少面临着两个障碍：缺乏对安全问题的了解和认识;无法找到足够多的经过培训或通过认证的人员来建立并管理安全系统。“为此，美国要开展全国性的增强安全意识活动，加强培训和网络安全专业人员资格认证。

　　2.《美国网络安全评估》报告

　　2009年5月29日美国公布了《美国网络安全评估》报告，评估了美国政府在网络空间的安全战略、策略和标准，指出了存在的问题，提出行动计戈IJ。所提议的优先行动计划之一就是“加强公众网络安全教育”。

　　3.《国家网络安全综合计划》(CNCI)

　　2010年3月2日，奥巴马政府对前布什政府在2007年制定的一份国家网络安全综合计划的部分内容进行解密。CNCI计划提出要实现重要目标之一就是：“为了有效地保证持续的技术优势和未来的网络安全，必须制定一个技术熟练和精通网络的劳动力和未来员工的有效渠道。扩大网络教育，以加强未来的网络安全环境。”

　　4.《国家网络空间安全教育战略计划》

　　2011年8月11日，NIST授权发布《美国网络

　　安全教育倡议战略规划：构建数字美国》草案，征求公众意见。该规划是美国网络安全教育倡议(NICE)的首个战略规划，阐明了NICE的任务、远景和目标。NICE旨在通过创新的网络行为教育、培训和加强相关意识，促进美国的经济繁荣和保障国家安全，并通过以下三个目标实现这一愿景：增强公众有关网上活动风险的意识;扩展能支持国家网络安全的人员队伍;建立和维持一支强大的具有全球竞争力的网络安全队伍。

　　二、做好立法工作，完善法规标隹体系

　　1.《联邦信息安全管理法案》(FISMA)

　　2002年7月，美国政府制定发布了《联邦信息安全管理法案》(FISMAhFISMA法案以立法的形式表明美国政府已经认识到信息安全对美国经济和国家安全利益的重要性，并从风险管理角度提出了一个有效的信息安全管理体系。信息安全教育与培训是信息安全管理体系中一个重要环节。

　　FISMA法案明确要求：联邦政府机构须为内外部相关人员提供信息安全风险的安全意识培训，为此还提议了一个较为完善的国家安全意识及其培训系统。

　　2.国防部(DoD)8570指令

　　2005年12月，为了更好地支持“全球信息网格计戈j”，美国国防部发布了8570指令。该指令涵盖以下主要内容：建立技术基准，管理职员的信息保障技能;实现正规的信息保障劳动力技能培训和认证活动;通过标准的测试认证检验信息保障人员的知识和技能;在基础教育和实验教育中，持续的增加信息保障内容。

　　3.联邦政府信息技术安全培训标准(FIPS)

　　FISMA法案明确指定NIST负责制定联邦政府(除国防、情报部门以外)所使用的信息安全技术、产品和培训方面的国家标准。目前，NIST已制定和发布两部权威的信息安全培训标准：《信息技术安全培训要求：基于角色和表现的模型》(NISTSP800-16)和《建立信息安全意i只和培训方案》(NISTSP800—50)cNIST在SP800—16标准中提出了信息安全培训概念性的框架，依据这些框架，美国联邦政府部门开展了很多综合性的联邦计算臟务(FSC)项目。

　　4.网络安全法案

　　2010年3月24日，美国参议院商务、科学和运输委员会全票通过了旨在加强美国网络安全、帮助美国政府机构和企业有效应对网络威胁的《网络安全法案》。该法案要求政府机构和私营部门加强在网络安全领域方面的信息共享，强调通过市场手段，鼓励培养网络安全人才，开发网络安全产品和服务。

　　三、构建信息网络安全组织机构，健全安全教育培训管理体制

　　为了落实信息安全教育培训相关政策和法律法规，美国将协调、执行、监督、管理等权利分配给多个政府部门，依据最新的《国家网络安全教育战略计划》的思路，国家标准技术研究所(NIST)为整个计划的负责单位，协调其他部门参与计划的实施;国土安全部(DHS)、国防部(DoD)、国务院、教育部和国家科学基金会(NSF)协力加强公众的信息安全意识;DHS、海关总署、NSF和国家安全局(NSA)共同加强从业人员f支术能力;DHS、DoD、NIST、NSA、NSF和人事管理局(OPM)负责建立高端网络安全人才队伍。

　　社会各界积极参与

　　行业协会已经站到了信息安全教育培训的前沿，成为信息安全教育培训的践行者。其职责主要是协助有关部门制定信息安全教育与培训的标准，组织持续的教育活动，并向内部成员单位实施培训。行业协会自身作为提供教育和培训的主体，一方面可以根据政府的引导和企业的需求来设置培训内容;另一方面可以利用政府和产业界的资源，充分发挥其在信息安全领域内不可替代的社会职能。行业协会提供的培训标准是政府制定的培训标准的主要补充，为规范和完善美国信息安全培训行业提供了切实可行的保障。

　　(1)国际信息系统审计协会(丨SACA)

　　国际信息系统审计协会(ISACA)是一个为信息管理、控制、安全和审计专业设定规范标准的全球性组织，会员遍布逾160个国家，总数超过86,000人。ISACA成立于1969年，除赞助举办国际会议外，还编辑出版《信息系统监控期刊》，制定国际信息系统的审计与监控标准，以及颁授国际广泛认可的注册信息系统审计师(CISA)专业资格认证。CISA认证体系已通过美国国家标准协会(ANSI)依照ISO/IEC17024:2003标准对其进行的资格鉴定。同时，美国国防部也认可了CISA认证，并将其纳入到国防系统信息技术人员技能商业资格认证体系当中。这产生了以下四方面的作用：认可CISA认证所提供的特有资格和专业知识技能;保护认证的信誉并提供法律保护;增进消费者和公众对本认证和持证者的信心;使跨国、跨行业的人才流动更加便利。

　　(2)美国系统网络安全(SANS)研究院SANS是于1989年创立的美国非政府组织(NGO)，是一所具有代表性的从事网络安全研究教育的专业机构。1999年SANS首次推出了安全技术认证程序(GIAC)。

　　GIAC认证程序有以下几个特点：

　　GIAC提供超过20种的信息安全认证，其大多数符合DOD8570指令。GIAC依据国家标准对安全专业人员及开发人员进行各方面技能认证。GIAC安全认证分为入门级信息安全基础认证(GISF)和高级安全要素认证(GSEC)。两种认证都重点考察安全基础知识，保证揺正人员拥有必备的安全技能。其它GIAC安全认证包括：认证防火墙分析师(确认设计、配置和监控路由器、防火墙和其它边界设备所需的知识、技能和能力)、认证入侵分析师(评估考生配置和监控入侵检测系统的知识)、认证事故处理员(考察考生处理事故和攻击的能力)和认证司法辩论分析师(考查考生高效处理正式司法调查的能力。

　　(3)国际信息系统安全认证联盟(ISC)2

　　国际信息系统安全核准联盟(ISC)2成立于1989年，是一家致力于为全球信息系统安全从业人员提供信息安全专业技能培训和认证的国际领先非营利组织。在(ISC)2各种认证中，CISSP数量最多。截至2010年底，全球共有75000名CISSP获证人员，其中，美国获证人员数量超过70%^CISSP获证人员中，约30%在政府部门工作，40%从事信息安全月服务行业，30%从事用户终端工作。

　　注册信息系统安全专业人员通用知识体(CISSPCBK)提供了通用的信息安全术语和原理框架，使得全世界的信息安全专业人员能够以相同的术语和理念，讨论、辩论和解决信息安全相关问题。

　　注册信息系统安全专业人员(CISSP)是已获得ANSIISO/IEC标准17024:2003认可的信息安全专业认证体系，也被纳入国防部信息保障人员优化项目，在业内得到了高度认可。以CISSP为基础，(ISC)2还有三种更高级别的认证：高级安全体系专家CISSP-ISSAP、信息系统安全管理专家CISSP-ISSMP和信息系统安全工程专家CISSP—ISSEP。