【中國安防展覽網 視點跟蹤】 作為公安類專業,“網絡安全與執法”專業設置和招生的時間并不長,2011年公安大學開始試點招生,2012年教育部公布的《普通高等學校本科專業目錄(2012)》中,“網絡安全與執法”專業(專業代碼:082108TK)才正式列入。之前,各公安院校和一些非公安類的普通高等院校圍繞著網絡及空間安全進行過一些課程和專業的探索。可以說,“網絡安全與執法”專業是公安院校根據互聯網發展日新月異,網絡社會中的生活、技術、經濟、文化、政治乃至軍事的活動日趨豐富,網絡安全形勢日趨嚴峻而相應的管理十分薄弱的情況下,應公安實際工作急需而新開設的應用型專業,為公安機關培養網絡社會管理和網絡安全保衛的專門人才。由于專業設置于互聯網社會高速發展的時代,而網絡安全工作嚴重滯后,各類網絡事件、案件層出不窮,公安機關在網絡社會的管理中警力嚴重不足、經驗嚴重不足,疲于應付,在社會治安管理中“重打輕防”、“以打代防”、“以打促防”的傾向在網絡社會的管理中也明顯地表現出來,往往事倍而功半。為適應網絡社會管理的迫切需要,“網絡安全與執法”專業在公安院校建立,專業的設立和快速發展,“應急”的成分占有相當比例;但從專業建設的角度考慮,就不止是“應急”的問題,從長遠來看,“安全”是“網絡安全與執法”專業的第一和最高的目標,“執法”的根本目的也在于保障“安全”,在課程設置中,網絡安全保護與網絡執法應當并重。因此,“防范”的課程不可不設、教學內容也不可不占必要的比例。將于自2017年6月1日起施行的《中華人民共和國網絡安全法》賦予“網絡安全與執法”專業更加強大的生命力,我們應從更高、更廣的層面來考慮專業課程和專業建設。對此,筆者談談自己一些不成熟的思考,拋磚引玉,請教于同行。
一、信息安全管理,是國家賦予公安機關的法定職責。信息系統安全等級保護是網安部門的本職工作;從公安網安工作的角度考慮,防范和打擊是相輔相成的
我國在計算機應用及互聯網發展的初期,就意識到計算機應用及安全的重要性。1983年10月,經國務院批準公安部就成立了計算機管理和監察局;1994年頒布的《中華人民共和國計算機信息系統安全保護條例》(1994 年 2 月 18 日中華人民共和國國務院令 147 號發布)中就明確規定:中華人民共和國境內的計算機信息系統的安全保護,適用本條例(第五條)。公安部主管全國計算機信息系統安全保護工作(第六條 )。當時,計算機及互聯網的應用主要還是在科學研究及通信工程上,遠遠達不到現在的深度和廣度。但之后的很長一段時間里,我國計算機應用的發展特別是互聯網應用的發展,與網絡安全建設極不同步,網絡安全技術、管理乃至立法,嚴重滯后。公安機關的網絡管理部門,2008年公安部幾經更名后確定為“網絡安全保衛局”,各地才陸陸續續建立網絡警察隊伍;2012年前后,市(州、地)和縣級公安機關才有專門的機構和人員編制,由于網警的專業性,培養需要一定的周期,“網警”人才的緊缺可想而知。特別是近年來“互聯網+”和“大數據戰略”的迅猛發展,信息化應用出現幾何級數式增加的同時,各類網絡安全事件、案件也呈現爆發式增長,網絡管理實際工作對網警最直接的要求就是處理各種事件和案件,各院校調研得到的緊迫需求也是以網絡案件的偵查和網絡情報的獲取為主。
但是從網絡安全保衛工作的長遠目標來看,案件查處只是工作的一部分而遠不是全部,目前公安部門在社會治安管理中曾經有過的“重打輕防”、“以打代防”、“以打促防”的傾向在網絡社會的管理中也明顯地表現出來。多年來社會治安綜合治理的經驗啟示我們,“清本治源”乃是治本之策,從網絡管理和安全保衛的工作任務出發,應當打防并舉,綜合治理,在網絡管理工作中,如果長期不重視治理和防范,把重點乃至所有的精力都投入到打擊上,往往事倍而功半。
在網絡安全管理工作中,防范和打擊不是對立的,而是相輔相成的,防范工作做好了,信息系統中大量漏洞、后門被有效封堵,能有效防范大量的非法入侵,減輕打擊工作的壓力;各種數據成鏈,制度成型,使得各種網絡活動動則有痕,對各種違法活動查之有據,打擊工作就輕松多了。當然,在打擊工作中,也會查找和發現信息系統中存在的技術層面、管理層面存在的各種問題,通過系統整改和強化管理,使信息系統的安全性得以進一步提高。信息系統的安全等級保護工作,就是最基本的網絡防范活動,是基礎中的基礎。如果基礎防范工作做不好,“基礎不牢、地動山搖”!的后果則是十分可怕的。
2016年4月,習近平總書記在“網絡安全和信息化工作座談會”上的講話指出:“增強網絡安全防御能力和威懾能力。網絡安全的本質在對抗,對抗的本質在攻防兩端能力較量。要落實網絡安全責任制,制定網絡安全標準,明確保護對象、保護層級、保護措施。”這一指示進一步明確我們網絡安全保衛工作中的另一個重要任務:監督和指導各種非涉密網絡的安全防范體系的建設和管理。網絡安全防范體系,包括物理層面、網絡層面、平臺和應用系統、數據庫等等技術層面的東西,也包括制度、人員管理等非技術層面的內容,還有基于社會管理層面的法律法規等,是一個龐大的社會系統工程。網絡,如社會神精一般延伸到社會的各級各層、方方面面,面對虛擬的網絡社會,如何管理和防范,這方面的探索才剛剛開始。網絡安全保衛的專業警察,需求量之大也是可以預計的。
我們可以得出這樣的結論:網絡安全保衛,是國家賦予公安機關的法定職責,以確保網絡社會的安全為目的。網絡安全保衛工作,包括“打”和“防”兩個方面;“打”的工作,專業研究已較深入;“防”的工作,公安機關有責任監督、檢查、督促建設單位對其信息系統的安全等級進行定級、安全設施建設、維護和定期檢查,對達不到相應安全要求的,有責任進行相應的管理和處罰。
二、從專業培養目標上分析,“網絡的安全等級保護能力”本身就是本專業的主要培養目標之一
按公安業務工作的實際需求制定相應的培養目標和人才培養計劃,是公安院校明顯區別于普通高等學校的特點。我國高等教育體制做過幾次大的調整和改革,從建國初期院校調整,到文革后改革招生制度,進入新的世紀的,我們逐步意識到蘇式教育模式的局限性,特別是對市場經濟的不適應。新的教育體制改革,“部門辦學”的色彩逐步淡化,特別是系統、部門辦高等院校,基本停止;但是仍然允許和保留了幾個很特殊的“部門辦學”,公安院校辦學,就是為數不多的幾個特殊部門。除了關系政權建設的根本問題,還有一個很特殊的原因是警察業務的特殊專業人才的培養不能市場化,必須按需培養,“按需培養”的概念有幾層含意,首先是在培養目標上要“按需培養”,縮短培養周期。公安院校是為公安機關各業務部門培養專業人才,這是部門辦學的特殊性,其培養目標完全按照工作崗位和業務需求設置,供需之間沒有市場過程,公安業務部門需要什么樣的人才,我們就培養什么樣的人才。和普通高等院校培養目標有所不同的是,公安院校培養目標的設定很單一,也很確定;其次是在培養學校有指定性,一些很特殊的專業如傳統公安專業中的刑事偵查、治安管理等,了解一些違法犯罪技能是很正常的事,學生在了解這些知識的前提是要一定環境和校園氛圍中,首先要明白為誰而學、為什么學、學了干什么,如果不在特殊的環境中培養,學生學到的灰色甚至社會破壞性的技能,用于反社會活動,其負面破壞力是驚人的。其第三是在培養數量上應當有相當的計劃性,作這公安業務所需的特殊人才,其工作崗位和性質都帶有工作的特殊性,其工作秘密有些甚至涉及國家秘密,其人才的培養應考慮夠用和限制數量,不宜考慮市場性,而更多地要考慮計劃性,在數量上“按需培養”。在新的社會形勢下,公安院校的專業建設特別是培養目標會更加鮮明地把“按需培養”作為基本和特殊的要求。在網上斗爭日趨激烈和復雜,一些涉及網絡安全的核心技術我們尚未掌控的客觀現實條件下,網絡安全管理一靠人員二靠管理三靠技術。人的因素是第一位的。
將于自2017年6月1日起施行的《中華人民共和國網絡安全法》賦予“網絡安全與執法”專業更加強大的生命力。作為為網絡安全保衛輸送警力的“網絡安全與執法”專業,需要確立什么樣的培養目標,首先應當考慮網絡安全保衛這項公安業務需要的人員應當具備什么樣的基礎與專業素質。
從網絡安全管理的實際需要出發,我們的學生走上工作崗位后,“防”和“管”的工作遠遠多于“打”。幾年來,貴州大數據實踐開展取得了相當不錯的成績,在數據的聚、通、用上取得了很大的突破,另一個方面,面臨的安全形勢也十分嚴峻,基于互聯網上的大數據平臺承受大量的攻擊,內部各級各類數據的匯集,安全域的邊界、大數據平臺架構下安全責任的劃分及協作、虛擬技術架構下物理層面安全責任的劃分等,給我們帶來不少新的課題。
三、“信息系統安全等級保護”課程設置的幾點思考
課程設置是根據培養目標而決定的,先確定什么樣的培養目標,才決定開設什么課程而不是相反,圍繞著培養目標,決定課程目標。
以人才培養目標為核心,調整網絡、數據庫等專業基礎課的課程結構,向安全方向傾斜。
傳統的網絡、數據庫等專業基礎課的課程結構,是以應用為目標,在工程設計、建設中更多的是考慮“怎么用”,在建設經費不足或一些小型工程中,更是考慮“能用就行”,對安全的考慮幾乎沒有,一旦互聯互通,往往成為整個系統中安全最薄弱的環節。按GB/T20270—2006要求,按網絡系統的不同等級,在物理層、鏈路層、網絡層、傳輸層、會話層、表示層、應用層的安全要求規定上,對系統的物理安全、運行安全、數據安全保護、資源利用、訪問控制等,做了嚴格區分與規定,但傳統的網絡課程對此的介紹極少,涉及分級保護及分級設計和建設的幾乎空白。對數據庫的安全要求,按GB/T 20273—2006信息安全技術 數據庫管理系統安全技術的要求,數據庫管理系統安全子系統(SSODB)( security subsystem of database management system包括硬件、固件、軟件和負責執行安全策略的組合體),對數據庫而言,建立了一個基本的數據庫管理系統安全保護環境,并提供安全數據庫管理系統所要求的附加用戶服務;按照GB17859-1999 對可信計算基(TCB)的定義,SSODB 就是數據庫管理系統的 TCB。但傳統的數據庫課程,對此幾乎沒有涉及。如果我們在“網絡安全與執法”專業中,不作相應調整,按專業方向調整課程設計,在專業基礎課和專業課程中,必然會產生課程基礎結構上的偏差。
在工程技術的專業基礎課和專業課中,要開設根據各級信息系統的不同和具體的工程環境,做相應的安全策略和規劃,這種課程應強調動手能力的培養。
作為專業的一個重要方向,“信息系統安全等級保護”課程不只是一門課程,而是包括基礎課、專業基礎課和專業課程的一個系列課程。
計算機系統等級保護工作,要求的專業知識包含法學、工學的相關內容;在具體執行過程中,還有大量行政管理學的內容。因此,培養的學生應具備相應的專業基礎和專業知識,我們從工作中怎么“做”倒過來推學習中“學”什么。首先是在工程設計和建設中“定保”,從自2017年6月1日起施行開始實施的《中華人民共和國網絡安全法》為“定保”工作提供了法律依據,即信息系統在工程設計和工程建設中不做定保就是違法了,要承擔相應的法律責任,怎么在新建系統中加入這個流程,確保“定保”工作能夠依法進行,違法如何處罰,有法可依,操作層面的知識和程序,是我們的教學內容。其次,已建系統的“定保”督促和整改,是我們目前工作中的大難題,要教給學生依法行政。這是法學和管理學的課程結構。
測評和整改。這項工作是委托第三方進行,公安機關是對測評結果的應用,但是對測評機構的認定、管理和監督是我們的事情,也是公安機關網監部門的日常工作。對各級信息系統的檢查,要按照各個系統等保級別的不同,定期組織相應的安全檢查,也是我們的學生必須掌握的內容。
對各級信息系統進行檢查中,制度檢查是一個重要的內容。制定各種制度,是“用”的不是“看”的,只強調等級保護相關制度的上墻,不認真執行的情況比比皆是,制度成了“看”的擺設而不是“用”的準則,導致各種制度實際運用中成效不大。作為應用型學科,我們應針對實際工作中“難點”,變成教學中的“重點”。
3.法律法規課程中,應進一步增加“信息系統安全等級保護”的技術規章系列。如果我們只開設《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國網絡安全法》等在執法層面的法律法規,而不開設相應的技術層面的課程,學生的操作能力將大打折扣,應該圍繞《中華人民共和國計算機信息系統安全保護條例》開設相應技術性的具有法律效力的規范和規定。
這方面的教學內容很多,也成系列。如《信息系統安全等級保護實施指南》GB/T22240—2008、《計算機系統安全保護等級劃分指南》GB17859—1999、《信息系統安全等級保護基本要求》G B/T22239—2008等信息系統安全等級保護全面性要求的技術文件;也有《網絡基礎安全技術要求》GB/T20270—2006、《信息系統物理安全技術要求》GB/T21052—2007、《公鑰基礎設施PKI系統安全等級保護技術要求》GB/T21053—2007、《路由器安全技術要求》GB/T18018—2007等就系統安全等級保護工作具體的一個方面的技術要求;還有《信息安全事件管理指南》GB/Z20985—2007、《信息系統事件分類分級指南》GB/Z20986—2007等應對突發事件的管理規范,網絡安全事件突發性極強,各種事件突如其來,在技術層面預案在先,“預”則不亂。
總之,“網絡安全與執法”作為一個開設不久的本科專業,畢業生工作的對象是網絡,依法基于網絡虛擬社會的社會環境進行管理,要求學生具備法學、計算機科學等跨學科大類的各種知識。“網絡安全與執法”專業的基礎理論和專業技能的溶合與升華還沒有完成,其培養目標、課程體系、師資建設、實驗室建設和實習基地的建設,凡此種種都有許多有待我們去努力探索的課題,這些基礎性的探索也是我們這一代警院學人歷史的責任。(作者系貴州省安全技術防范行業協會專家委主任周繼烈)
京公網安備 11010502049343號