随着网络安全环境的国际化和社会化,网络安全问题已经不再是一个简单的技术问题,而是涉及技术、管理、工程控制以及人的综合性问题,而传统的技术安全培训显然已经不再适用于快速发展的网络安全形式。因此,如何建立符合新时代需要的网络课程设计问题成为困扰网络安全培训的主要难题。通过以业务为核心,围绕业务过程来构建不同层次的网络安全培训体系设计,结合美国SP 800-181 《全国网络安全教育倡议(NICE)网络安全劳动力框架》标准,来讨论网络安全培训课程体系设计相关问题。
网络安全问题已经成为一个广泛的社会问题,如何有效地应对这个难题,有效的网络安全培训是一种重要手段,以美国为首的发达国家通过常年积累的专业机构和标准化组织为本国政府制定了相对成熟的国家级网络安全培训体系,而对于我国而言,网络安全培训体系的设计仍然处于摸索阶段。
笔者在长达17年的网络安全培训课程体系设计和教学过程中,结合美国NIST SP 800-181标准所给出的设计框架,论述如何为组织开发合适的网络安全培训课程体系。
1 网络安全培训的驱动力
网络安全培训的动机源于内因和外因两大因素,内因强调组织内部风险治理过程中所形成的种种问题;而外因源于在高速发展的互联网技术下组织业务极度依赖信息化过程中,如何解决发展与知识的不平衡问题。
1.1 内因
1) 法律法规的遵循
2017年6月1日我国正式颁发《中华人民共和国网络安全法》,在第二章第二十条提出:“国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。”同时在第三章第二节第二十七条中强调,网络运营者需要履行“(二)定期对从业人员进行网络安全教育、技术培训和技能考核”的责任和义务,使得开展网络安全培训成为组织一项日常工作。
2) 日益加剧恶化的外部环境
随着技术的不断傻瓜化和快速更新,网络犯罪已经成为一股不可被忽视的力量,缺乏有效的培训也是组织频频被恶意人员破坏或者数据泄露的一种重要因素。
3) 信息化发展与信息安全建设的不协调
由于组织在业务发展过程中不断增大信息化基础设施建设和信息系统的开发与使用,整个过程缺乏有效的信息安全管控,使得两者之间极不协调,在此基础上如何缩短这种差距,单凭技术产品或者管理体系很难满足组织的实际需要,组织需要通过培训来寻找适合组织自身发展的一种方法。
1.2 外因
1) 过分地依赖信息化
组织在业务执行中过渡依赖于信息技术的使用,使得原有的业务人员不得不学习和掌握信息技术的使用。但是信息技术在使用过程中所形成的固有的风险问题并不广泛地为人知悉,因此,通过培训来解决认识信息与网络安全风险成为一种必然。
2) 社会工程学的挑战
从“电信诈骗”到“勒索”病毒,社会工程学的快速发展和演化使得组织人员风险增加,对抗社会工程学最有效的方式就是人员安全意识的加强,而加强人员安全意识重要的手段则是培训。
3) 从封闭到开放
随着云技术的使用,大量业务平台逐渐从组织的内部向云端迁移,使得传统的组织网络架构从物理上被打破,原有的封闭式网络在“云”中被开放;物联网的发展使得传统的工业控制协议从隐秘走向开发,原有的利用私有协议建立的封闭式网络同样形成开放,因此有效地识别组织所面临的风险成为培训课程的重要组成。
2 网络安全培训体系设计框架
2.1 网络安全培训设计三要素
1) 时间
培训课程的设计首先要讨论时间问题,在一个课程体系的时间因素包括:总时间长度、实验时长、演示时长、交流时长和讲师可控制时长5个方面。
我们分别将不同的时间阀值定义为:总时间长度(TD)、实验时长(ED)、演示时长(DD)、交流时长(SD)和讲师可控制时长(CD),那么一个培训课程的时间关系为TD=ED+DD+SD+CD,这里CD指讲师实际可讲授时间;SD为可利用课余时间,但是更好的效果有可能产生在课堂讲授过程之中;实验和演示并不一定在每次课程中都会有所使用,因此可以将ED和DD定义为可选项;实际可利用的时间长度由于受到学员的入场、设备切换、其他非教学因素的影响成为不可控因素。因此,按照一个实际6h的课程内容而言,课程设计的时间问题可能为TD-(ED+DD)-SD=CD。
因为在实际授课中实验环节由于受网络、主机和操作过程的影响,难以确定准确的时间因素,也就是说最终讲师能够控制的时间可能不足2/3。此时,在实际课程设计中,讲师实际讲授时间应该定义ED∶DD∶CD为2∶1∶3为宜。
2) 知识
培训的目的是为了提供知识,但是知识的深度与广度往往取决于以下3个因素:
① 听众所需的基础知识
听众的基础知识是设计课程中必须要考虑的实际问题,在有限的时间内,要解决听众的培训需求应该充分了解听众所需的基础知识,以便决策是否需要将这些内容编写入课程大纲内。
② 真实的安全能力
用户的安全能力到底有多少,这个是实际课程设计中最大的一个难题.过高地度量用户会造成课程的曲高和寡;过低地度量用户能力又会造成听众的索然无味。
笔者在实际设计中曾遇到,某客户号称专业性很强,在设计网络安全课时,一再强调要基于协议层进行安全内容的讲解,然后在实际授课中却发现,80%的听众从来没有接触过Sniffer技术,只是简单地了解TCP/IP协议,有些甚至连基本的VLAN、交换技术、路由技术都不了解,导致整个课程完全像一本天书一般。
因此,用户的真实安全能力是设计课程的一个必须了解和知晓的内容。
③ 讲师具有的知识
讲师的知识是实施培训的重要保证,在整体课程设计中需要根据讲师的知识调整课程深度和广度。同时讲师也可以根据自己的知识针对课程设计所需的案例和场景增加课程的深度和广度。
3) 角色
培训体系设计必须关注受众群体,我们为谁(who)讲课,他(她)关心什么(what),我们需要的深度是怎样的(how).通常而言,我们把受众分为3种类型:
① 管理层
管理层所关注的主体是我们为什么要这样去做,我们能够获得的收益是什么,我们该如何看待业务与安全的矛盾。
因此,在实际设计中,针对这类听众,课程应尽可能简洁,重点针对国家法律法规(如网络安全法、刑法修正案九有关网络安全事件管理责任等)、行业规范与标准(如网络安全等级保护、GDPR、行业检查规范等)。
通过符合行业特色的案例分析,提出网络安全CIA属性遭到破坏后对组织业务连续性所形成的影响,并探讨如何建立平衡的安全策略。
② 业务层
业务层作为组织的核心层次,首先需要使其理解的是如果通过网络安全保障业务的高效运行,IT对于业务而言的必要性。课程设计中应强调合规性要求与通过案例、演示,强调业务在生命周期每个阶段的安全隐患以及对业务连续性造成的影响程度,课程应侧重于业务角度分析组织的安全问题,例如:通过对数据结构的剖析分析《中华人民共和国网络安全法》中什么是数据的最小化采集,以及通过优化数据来实现数据的高效运行,降低数据产生的相关风险问题。
在业务层中还应该更多地使业务人员理解合规性、隐私保护、社会工程学等基于“人”和“物理”的安全风险场景问题。使业务层能够理解“制度”和“流程”如何保护组织的业务良好运行。
③ IT层
IT层探讨综合化的安全问题,将安全形成一种体系化的认识,安全不是单纯地通过技术与黑客的对抗,更多地应该综合组织的管理、技术、工程过程以及人的保障要素,形成全生命周期的保障观念,不同IT领域除了对本领域的安全技能的获取之外,还应该理解如何建立有效的“深度防御”体系,将网络技术、主机技术、数据库技术以及应用安全等方面相互融合。
通常而言,IT层面的课程设计是整个课程中最广泛的一个内容,不仅可以为其设计专门的技术类课程,还需要为其开设诸如:软件安全开发、审计、管理体系以及产品使用等相关课程。
2.2 网络安全培训设计框架
NICE框架的概念是美国NIST在2010年提出的概念[1]:为了应对网络安全劳动力的规定和评估。联邦首席信息官(CIO)理事会在2008年为了解联邦政府内的网络安全角色,提供了一个标准框架。对网络安全领域内进行多学科探索的基础上,全面的国家网络安全倡议包括将工作重点放在若干机构的共同努力下开发网络安全工作人员框架。该框架为教育工作者提供了一个参考,用于开发涵盖NICE框架中描述的KSA和任务的课程、证书或学位课程,培训课程,研讨会,训练或挑战[2-3]。
NICE框架从结构上分为类别、专业领域、工作角色、知识技能与能力以及任务5个层次,如图1所示。
图1 NICE框架组件之间的关系图
每个类别都由专业领域组成,每个专业领域都由一个或多个工作角色组成。每个工作角色又包括KSA和任务。
在课程设计体系中,NICE框架确定工作角色中的任务,可使教育工作者为学习者准备具体的KSA,他们可以从中展示执行网络安全任务的能力。
学术机构是准备和教育网络安全人员的关键部分.公共和私人实体之间的合作,例如通过NICE计划,使这些机构能够确定所需的共同知识和能力。反过来,制定和提供与NICE框架词汇相一致的课程,使机构能够为学生提供雇主所需的技能。随着网络安全领域寻找期望工作的学生人数增加,越来越多的学生将被吸引到学术网络安全计划中作为职业发展的途径。
NICE定义了7个专业类别,如图2所示,每个专业类别下又包含若干个专业领域。
图2 NICE专业领域划分
每个工作角色由类别和专业领域确定,每个工作角色的列表中可以选择相应的技能和能力描述,最终形成一个角色的培训清单,如下示例[4]:
定义角色:事件响应人员。
对应专业领域:事件响应。
知识类别:保护和防御。
角色描述:调查、分析并响应网络环境或飞地内的网络事件。
所需知识清单有以下几类[5,8-10]。
1) 计算机网络类:K0001计算机网络概念和协议知识以及网络安全方法;K0005网络威胁和漏洞知识;K0006网络安全失效的具体运营影响相关知识;K0034了解提供网络通信的网络服务和协议交互;K0046了解用于检测主机和基于网络的入侵的入侵检测方法和技术;K0058网络流量分析方法的知识;K0062了解数据包级分析;K0106了解构成网络攻击和网络攻击与威胁和漏洞之间关系的因素;K0157了解网络防御和信息安全政策、程序和法规;K0162网络攻击者的知识(例如脚本小子、内部威胁、非国家战士、国家战士);K0167了解系统管理、网络和操作系统强化技术;K0177了解网络攻击各阶段(例如侦察、扫描、枚举、获得访问权限、提升权限、维护访问途径、网络渗透、清除痕迹);K0179了解网络安全体系结构概念,包括拓扑、协议、组件和原理(例如应用纵深防御);K0221有关OSI模型和底层网络协议(如TCP/IP)的知识;K0230了解云服务模型以及这些模型如何限制事件响应;K0332网络协议的知识,如TCP/IP、动态主机配置、域名系统(DNS)和目录服务;K0565对常见网络和路由协议(例如TCP/IP)、服务(例如网络、邮件、DNS)的了解以及它们如何交互以提供网络通信。
2) 风险管理类:K0002风险管理流程(例如评估和减轻风险的方法)知识。
3) 计算机法律类:K0003与网络安全和隐私相关的法律、法规、政策和道德准则等知识;K0004网络安全和隐私原则知识。
4) 数据安全类:K0021了解数据备份和恢复;K0287了解组织的信息分类程序和信息妥协程序。
5) 业务连续性类:K0026运营计划的业务连续性和灾难恢复连续性知识;K0041了解事件类别,事件响应和响应时间表;K0042了解事件响应和处理方法。
6) 主机安全类:K0033主机/网络访问控制机制知识(例如访问控制列表、功能列表);K0161了解不同类型的攻击(例如被动、主动、内部人员、近距离、分布式攻击);K0259了解恶意软件分析概念和方法。
7) 应用安全类:K0070了解系统和应用程序安全威胁和漏洞(例如缓冲区溢出、移动代码、跨站点脚本、程序语言/结构化查询语言[PL/SQL]和注入、竞争条件、隐蔽通道、重放、面向返回的攻击、 恶意代码);K0624了解应用程序安全风险知识(例如OWASP TOP 10)。
所需技能清单如下:
1) 管理技能:S0047根据标准[9]操作程序或国家标准保持证据完整性的技能;S0080熟练进行损害评估。
2) 技术技能:S0003识别、捕获、包含和报告恶意软件的技巧;S0077确保网络通信安全的技能;S0078熟练识别和分类漏洞类型和相关的攻击;S0079保护网络免受恶意软件侵害的技能(例如NIPS、反恶意软件、限制/阻止外部设备、垃圾邮件过滤器);S0173熟练使用安全事件关联工具;S0365云服务模型的事件响应设计技能。
所需能力:
A0121能够为云服务模型设计事件响应;A0128使用入侵检测技术和应用技术检测主机和基于网络的入侵的能力。
上述清单描述了一个工作角色在设计相关课程时所需的内容,包括[10]:
① 特有的 NICE框架工作角色 ID,基于该工作角色所属的 NICE框架类别和专业领域;
② 工作角色所在的专业领域;
③ 工作角色所在的类别;
④ 工作角色的描述;
⑤ NICE框架任务列表,包括工作角色的网络安全职位人员可能会执行;
⑥ NICE框架知识领域的列表,包括工作角色的网络安全职位的人员可能会展示;
⑦ NICE框架技能列表,包括工作角色的网络安全职位人员可能会拥有;
⑧ NICE框架能力列表,包括工作角色的网络安全职位的人员可能会被证明。
通过简单的任务、知识、技能和能力列表描述 NICE框架的工作角色。
3 网络安全培训体系建设思考
对组织而言,网络安全培训不是为了解决一时的问题,而每年的网络安全培训如何形成层次化,使得组织的网络安全水平逐步提高,这是课程设计中首先要讨论的问题。
在实际课程设计中,建议通过三横三纵的模式和树形结构设计课程。
三横三纵:通过三横三纵为不同层次在不同阶段确立培训目标,并分别设计不同课程及实施时间和周期,如表1所示:
表1 人员层次化知识体系示例表
管理层业务层IT层合规性认识风险安全基础风险管理生命周期安全专项技术风险治理业务风险体系架构。
通过树形结构,从基础知识逐层深入,不同的部门及不同的成员在不同的阶段获得对不同知识的掌握能力,形成对培训的粘性,如图3所示。
图3 树形知识结构表
4 网络安全培训面临的困惑和难题
4.1 课程设计与用户需求的矛盾
客户需要什么,作为课程设计而言,设计者能否获得一线的用户需求,需要设计者能够理解用户的业务目标,并且根据业务目标和用户的安全现状、组织架构、知识能力设计相应的课程内容。
由于在实际设计中设计者很难真正与用户形成交互,往往使得要么过高地估计用户的能力;要么课程设计层次过低;从实际实施的角度而言,参加学习的用户并不一定是我们所预想的技术人员或者是业务人员,因此,课程在实际设计过程会产生无法满足实际用户真实需求的内容。
4.2 理想的课程与现实的讲师
有时当设计者设计出一个相对完美的课程体系后,突然发现谁来实施课程,例如:笔者曾经为某海关设计一个内训课程时提出一个“电子海关”的概念,电子海关主要对应目前有关数据离境和入境的检查和授权问题,由于全球都对数据的出入境问题提出了立法要求,但是真正如何实现电子数据的控制,依然受到行政职能、检查手段、定义许可权等多方面的影响。因此,“电子海关”成为一种新的概念,但是由于用户时间和笔者时间难以契合,该课程最终被迫修改内容,安排其他讲师实施。
很多时候,课程的设计者往往会跨学科、跨领域设计课程,这就使得课程本身对讲师的要求过于苛刻,导致课程在实际实施时难以全面覆盖课程设计本身,导致实际的培训目的很难达到要求。
4.3 什么样的讲师是合适的讲师
从传统的网络安全培训而言,一个网络安全讲师首先应该是一个技术流甚至是一名“黑客”,但是在现实中往往会出现一个非常优秀的工程师,当他走向讲台时却束手无策。
作为讲师首先应该具备的是表达能力和展示能力,一个优秀的工程师往往缺乏上述的素质和基本功;一个合适的讲师还应该了解授课对象的业务特征,通过业务风险展开网络安全培训,对授课对象而言是最具震撼力;对于讲师而言,对于案例和事件分析的深度与广度直接关系到课程体系的效果问题,多元化的分析可以使得听众在自己的知识域中通过对于业务的深度剖析,把传统的显性风险向基于业务流和管理的隐形风险过渡,引导学员能够去发现问题的本质而不是解决表面的问题。
4.4 培训的竞争优势
培训的竞争优势应该源于2个层次:首先是课程设计问题,课程设计的合理性与否直接影响到培训质量和培训收益,听众参加培训是为了获得知识,而不是一个形式,因此,培训的竞争优势首先应该取决于课程设计。其次,培训的竞争优势要来源于讲师的能力问题,一个优秀的讲师可以把一个很差的设计化腐朽为传奇,课程和课件在讲师手里只能是一个参照物或者一个中心思想,而如何展开课程是讲师根据课堂的实际情况和听众的平均知识水平综合协调和授课。
4.5 培训的目的
为培训而培训,为证书而培训,这是网络安全培训长期以来所形成的一种不良思想。我们应该具备一种“我们是来传递知识,而不是证书的生产者”的思想。
培训最终的目的是为听众解决在工作、生活中所出现的有关网络安全的疑问和难题,培训的内容最终可以形成一种最佳实践,培训也可以将单纯的培训演化为形式化咨询,在一问一答中培训变成了访谈,授课变成了基于访谈的控制措施的推荐。
在案例场景中,培训又可以将现场变为一个沙盘,每一个场景就是组织实际所面临的安全隐患和现状,通过对于场景的进一步分析,就构成听众的最大化收益,通过培训现场来解决组织最实际的安全问题。然而,这对于讲师的素质和要求而言具有相当的难度。
5 总结
网络安全培训体系设计是一项系统工程,要想很好地建立课程,设计者应深入组织业务的同时清晰地了解组织实际产生的培训需求以及在课程设计完成后执行课程讲授者的能力和设计本身是否相一致。
课程设计不仅仅是一个对课程的描述,还应包含与实际授课中所需的案例、素材、实验、演示等相关材料的储备。一个标准的课程设计应至少包含课程设计方案、授课PPT(学生用书)和讲师手册。如果包含实验还应具备实验手册。
课程设计通常不具备通用性和长期性,随着安全状态的不断发展,课程也应该不断地更新和完善,并结合授课老师的实际能力去进行有效裁剪。
参考文献
[1] NICE Framework Revision Webpage, National Institute of Standards and Technology[OL]. [2018-11-15]. https: //www.nist.gov/itl/applied-cybersecurity/nice/nice-cybersec urityworkforce-framework-revisions.
[2] National Initiative for Cybersecurity Education, National Cybersecurity Workforce Framework, ver. 1.0[OL]. [2018-11-15]. https://www.nist.gov/file/359276.
[3] National Initiative for Cybersecurity Education, National Cybersecurity Workforce Framework, ver. 2.0[OL]. [2018-11-15]. https://www.nist.gov/file/359261.
[4] Reference Spreadsheet for NIST Special Publication 800-181[OL]. [2018-11-15]. https://www.nist.gov/file/372581.
[5] NICE Framework, National Institute of Standards and Technology[OL]. [2018-11-15]. https://www.nist.gov/itl/applied-cybersecurity/nice/resources/nice-cybersecurity-workforceframework.
[6] US Department of Homeland Security, Cybersecurity Workforce Development Toolkit(CWDT)[OL]. [2018-11-15]. https: //niccs.us-cert.gov/workforce-development/cybersecurityworkforce-development-toolkit.
[7] Baldrige Cybersecurity Excellence Program, National Institute of Standards and Technology[OL]. [2018-11-15]. https://www.nist.gov/baldrige/products-services/baldrigecybersecurity-initiative.
[8] US Department of Homeland Security, CMSI PushButtonPD?[OL]. [2018-11-15]. https://niccs.us-cert.gov/workforce-development/dhs-cmsi-pushbuttonpd-tool.
[9] US Department of Labor, Employment and Training Administration(ETA)[OL]. [2018-11-15]. https://www.doleta.gov.
[10] Competency Model Clearinghouse, Cybersecurity Competency Model[OL]. [2018-11-15]. https: //www.careeronestop.org/competencymodel/competencymodels/cybersecurity.aspx.
贺新朋
硕士,主要研究方向为信息安全。
樊山
大专,主要研究方向为信息安全。
fanfox7405@163.com
文章转自《信息安全研究》2018年第12期。
声明:本文来自关键信息基础设施技术创新联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。