攻防演练是近年热点,安全意识培训是安全管理体系其中一环。两者的结合,看似不伦不类,但通过近期体会,笔者认为如果把安全意识培训以管理工程的角度去衡量,比起其他安全管理技术,在这上面的投入还是过少。
——或许,安全意识培训更名为“安全通识教育”更贴合它的本意。
一、由实战化攻防演练带来的工作思路转变
以各方讨论、市场供需初步判断①,特殊时期的安全服务岗位还是比较火爆的。他们能提供的服务例如:防守前的梳理与安全加固;防守过程中的敏锐判断与盯盘、值守、巡检;结束后的复盘总结等。这些工程师了解大致“游戏规则”,满足企业临时性的工作要求,同时能够协助企业将安全响应机制运转建立起来,是很受欢迎的服务形态。
然而,在可以预见的未来,攻防演练会趋于常态化、广泛化,因此,已经进入了需将短期安全服务补足为常规工作能力的窗口期。
二、各方对于攻防演练教育的投入
值得注意的是,作为政策发起方,法律法规文件方面颁布并不频繁。例如去年仅发布一篇相关标准:《信息安全技术 网络安全应急演练指南》(GBT 38645-2020),且正文部分较为简要②;国家级法规除网安法寥寥数语,央行、网信办等部委也暂未发布相关文件或征求意见稿。
而科研机构或厂商则属于遍地开花状态,如公安一所攻防技战法培训、金融科技学院的专项培训、一些安全厂商的主题培训、安全资讯提供的总结分享文章等,基本免费。培训主题不仅和管理过程相关,也有一些攻防技术研判的技术③,基本能够满足安全从业者学习需要。
然而,在各类安全合规标准与检查过程中,对安全培训要求较为宽松,同时缺乏对安全攻防的针对性。如:
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)中要求:应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施;应针对不同岗位制定不同的培训计划,对安全基础知识、岗位操作规程等进行培训;应定期对不同岗位的人员进行技能考核。
但在实际测评环节,三级以上系统每年至少开展一次即可满足要求④。
《金融行业网络安全等级保护实施指引 第4部分:培训指引》(JR/T 0071.4-2020)中,内容较为全面,包括培训目标、培训原则、培训计划、培训对象、培训内容要求、培训实施、培训考核与培训档案管理等。
由于金融等保的相关测评项仍以培训记录作为结论,其他过程没有监督实施细则。
《银行业保险业信息科技非现场监管报表(2020版)》中关于信息安全培训相关的指标:本年度开展的信息安全培训次数、员工参与率、考核通过率。
出于报送便捷性,采用了数值形式的标准化设计,无法体现培训效果。
《信息安全技术 个人信息安全规范》(GB/T 35273-2020)要求:应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程。
与等级保护要求略有互补,但该规范通常并不作为测评指标。
跨境相关安全政策,对于培训要求也较为泛化,如GDPR中各部门应专责组织参加数据保护培训等。
同时,企业在组织安全意识培训时,实践中也有部分共性难题:
1.受众不清晰。业务方、产品、开发、运维、测试,乃至新兴的大数据运维等细分岗位,安全需求并不一致,但培训内容往往一把抓。 2.内容单一。面对实战化的攻防演练,内部培训往往仍是老生常谈的弱口令、邮箱钓鱼、法规条款、同业被罚的经历、安全事故等这几类内容,普通人听了一遍就不想再听第二遍。 3.讲师水平差异。大多数人并不具备讲授或演讲经验;同时培训方基本为理工科,通常并不擅长培训类PPT的制作。 4.效果难追踪。安全培训通常设置在在新人入职时,后续按需进行,基于成本投入和缺乏监管驱动,通常不会针对员工的使用个体化的量化工具评估培训效果。
通过以上分析,笔者认为,监管机构、甲方企业等需要接受安全相关教育和知识的人员、乙方企业如科研、安服等提供安全培训输出的机构这三者,对于安全教育培训建设还没有形成闭环管理,不足以建立一项“安全教育培训”管理分支。当然监管机构并不具有教育的职能,只能将安全教育纳入强监管范畴,从而带动相关工作的建设。
三、安全应是通识教育
那么,哪些行业可以作为信息安全教育培训的强监管对象呢?无需赘言,军工、金融行业首当其冲;其他行业笔者尚未深入思考,只粗略给出几个因素:是否属于采用互联网信息技术的关键基础设施、是否具有大量自主研发新兴技术、是否为国内外黑客重点攻击对象,以及其他受到破坏可能对国际网络空间形势造成影响的技术或企业。⑤
这些行业或单位,经过层层把关聘用了高精尖的信息科技人才,在特定领域上已有所建树,如果没有系统的训练安全架构、风险评估与防范意识、安全事件应急处置等泛安全类的通识,对信息安全的认识如果主要是被动听受较为基础浅白的科普,或许帮助不大。同时,一些关键系统运维岗位,虽然不会业务研发,但身为系统最高权限所有者,仍需了解一些安全常识。
那么,如何从攻防演练入手,规划安全教育培训呢?笔者有几类思路:
1.持续训练。主动参与类似活动,不断重复才能加深记忆,形成能力; 2.安全管理责任方应留“课后作业”。将攻防演练工作参与过程的各类解决办法和思路不断积累沉淀,反哺事件处置流程中的各环节责任人; 3.技能考试与绩效挂钩。将个人能力提升与报酬挂钩,产生正向激励; 4.尝试转变角色。孙子兵法云“知彼知己者,百战不殆;不知彼而知己,一胜一负;不知彼,不知己,每战必殆”,如果只懂攻击或只懂防守,对过程谋略仍缺乏指引,安全技术也并不是非黑即白,在法规框架要求之下,还应具备一些Geek/Hacker精神。 5.安全教育课程精细化设计。应吸收懂得安全、技术、教育的复合型人才从事相关工作,提供具有竞争力的待遇。
当然以上仅是笔者一点情怀和畅想,安全培训的执行上仍有大量细节需要考虑和平衡。但通过上述讨论期望能够获得认同,安全培训类工作不应仅靠信息安全部门牵头,应该从整体企业建设层面去加强。
正如交通安全“行车千万条,安全第一条”等各类脍炙人口的宣传语,信息安全也应作为企业运行轨道的警戒标识。各类企业依托互联网已从野蛮发展步入深水区,也许是时候从通识教育上与其他企业拉开差距了。
四、安全是终身学习课程
安全教育应该贯穿企业发展的始终,监管部门应加大投入安全教育监管与考核力度,同时企业内部也应重视信息科技人才安全通识教育。
笔者通过对监管文件的粗浅解读和对培训工作的少量实践得出以上观点,终究是管中窥豹。同行中优秀的布道者、学习者众多,言论如有不妥,还请谅解。愿我们都能成为终身学习者。
注释:
①暂时没有搜到实战攻防演练相关的管理类报告或白皮书。
②仅相对而言,该标准正文仅10页,附录部分44页。
③如公安一所组织的HWBP培训较为侧重安全技术。
④《信息安全技术 网络安全等级保护测评要求》GB/T 28448-2019,8.1.8.3.2,测评项要求有培训记录;三级系统测评按监管规定需每年执行一次,因此推论每年至少一次安全培训。
⑤比如美国的受限实体清单。