NIST安全教育論文

前言：本站為你精心整理了NIST安全教育論文范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

1nistSP800-16的版本演變過程

1998年4月出版的SP800-16第一版首次提出IT安全連續學習統一模型，并設計基于角度和表現的培訓模型。該模型按政府工作人員的職能將受訓人員分為6種角色，即管理人員、采購人員、設計與開發人員、操作人員、檢查測評人員以及普通使用人員。模型針對這6種角色設計了3個基本的培訓領域（法律和法規、安全項目管理以及信息系統安全），并為此設計了安全培訓課程框架，提出了培訓有效性的評估方案。2009年3月NIST了SP800-16的第一次修訂草案。一是明確信息安全培訓職責，即對涉及信息安全培訓的機構領導、首席信息技術執行官、高級機構信息安全官、管理人員、培訓設計專家、對信息安全負有重要責任的人員以及用戶等7類人員的職責劃分。二是在信息安全培訓課程的學習層次上強調知識水平的連貫性。三是對第一版的基于角色的培訓提出了一個教學設計模型，即針對政府人員的信息安全需求，依次進行需求分析、課程設計、課程開發、培訓實踐和教學評估等五大環節，這使得信息安全的培訓可以迭代改進。2013年10月NIST了對SP800-16的第二次修訂版本草案，這次修訂中首次提出了網絡空間安全培訓，因為美國2010年4月啟動了《國家網絡空間安全教育計劃》（NationalInitiativeofCyberSecurityEducation，NICE），該計劃旨在通過促進教育和培訓來改善人的網絡行為、技能和知識，從而增強美國整體的網絡空間安全。這意味著美國政府已著手于將網絡空間安全上升到國家安全的戰略層面上來。2013年版的改動有以下幾個方面：一是強調信息安全意識的培訓應當在網絡空間的背景下進行設計；二是在信息安全培訓的目標對象中加入了對重要信息技術和網絡空間安全負有責任的政府工作人員；三是對信息安全培訓的評估體系進行了細化，即明確提出了評估培訓的4個目的。不到半年時間，NIST再次了SP800-16的第三次修訂草案，這個版本改動較小，主要是在信息安全培訓的組織責任中加入了網絡空間培訓管理員/首席學習執行官。其職責包括：一是確保培訓教材針對具體人員進行設計；二是確保培訓教材對目標人員的有效性；三是為信息安全培訓提供有效的反饋信息；四是對信息安全培訓教材進行及時更新；五是重視培訓效果的跟蹤和匯報。

2NIST特別出版物版本演變帶來的啟示

縱覽美國歷時17年對信息技術安全培訓指南的修訂過程，其發展特點如下：首先，該指南進行了頂層設計，即提出IT安全連續學習統一模型，設計基于角度和表現的培訓模型，對需要接受信息安全培訓的目標對象進行角色劃分，按照角色需求從法律法規、安全項目管理以及信息系統安全3個領域進行課程設計，初步提出了課程的評估框架。此后的3個版本都是在該體系結構下，從角色劃分、培訓領域和課程評估方法等3個方面進行充實、完善。其次，該指南具有可擴展性，即該指南的最初版本就設計了連續學習統一體，為培訓對象的知識結構發生變化后，如何滿足其信息安全的知識結構留下了足夠的學習空間。第三，該指南的實時更新性，即結合信息安全領域的新技術，對培訓目標對象和培訓課程進行實時更新。如在美國NICE計劃頒發之后，指南很快在培訓環節增加了對國家網絡空間安全的培訓內容。目前，我國的信息安全教育工作主要側重于專業技術人才的培養，對涉及使用信息系統的廣大普通用戶的相關信息安全常識的教育重視不夠，更確切地說，對公眾的信息安全常識教育的計劃和實施體系尚未建立。我國有關部門應該參照NISTSP800-16和SP800-50出臺適合我國國情的有關信息安全常識和培訓綱要的規范指南，以便完善我國的信息安全教育的完整體系，推進提高全民信息安全意識和技能的工作，為構建我國信息安全保障體系提供人員安全素質方面的基礎保證。

3結語

美國已經認識到“國家正處于危險之中，政府和關鍵基礎設施中的網絡空間安全漏洞將會危及國家安全、公共安全和經濟繁榮”，必須“啟動一個聚焦于網絡空間安全意識、教育、培訓和職業發展方面的綜合性國家計劃”，以保證“促進和加強全國范圍內的網絡空間安全力量，并建立一個靈活的、高度熟練的隊伍以應對動態和快速發展的一系列威脅”。這標志著美國信息安全工作進入了一個新的里程碑時期，必將對其網間安全狀況的改善、實現更加安全的數字國家、并在國際上占據主動優勢地位產生深遠的影響，值得我們深思和借鑒。

作者：黎妹紅趙琳張大偉杜曄單位：北京交通大學計算機與信息技術學院北京交通大學國家保密學院