浅谈在“网络安全与执法”专业中加强《信息系统安全等级保护》系列课程的必要性

　　【中国安防展览网 视点跟踪】 作为公安类专业，“网络安全与执法”专业设置和招生的时间并不长，2011年公安大学开始试点招生，2012年教育部公布的《普通高等学校本科专业目录(2012)》中，“网络安全与执法”专业(专业代码：082108TK)才正式列入。之前，各公安院校和一些非公安类的普通高等院校围绕着网络及空间安全进行过一些课程和专业的探索。可以说，“网络安全与执法”专业是公安院校根据互联网发展日新月异，网络社会中的生活、技术、经济、文化、政治乃至军事的活动日趋丰富，网络安全形势日趋严峻而相应的管理十分薄弱的情况下，应公安实际工作急需而新开设的应用型专业，为公安机关培养网络社会管理和网络安全保卫的专门人才。由于专业设置于互联网社会高速发展的时代，而网络安全工作严重滞后，各类网络事件、案件层出不穷，公安机关在网络社会的管理中警力严重不足、经验严重不足，疲于应付，在社会治安管理中“重打轻防”、“以打代防”、“以打促防”的倾向在网络社会的管理中也明显地表现出来，往往事倍而功半。为适应网络社会管理的迫切需要，“网络安全与执法”专业在公安院校建立，专业的设立和快速发展，“应急”的成分占有相当比例；但从专业建设的角度考虑，就不止是“应急”的问题，从长远来看，“安全”是“网络安全与执法”专业的和高的目标，“执法”的根本目的也在于保障“安全”，在课程设置中，网络安全保护与网络执法应当并重。因此，“防范”的课程不可不设、教学内容也不可不占必要的比例。将于自2017年6月1日起施行的《中华人民共和国网络安全法》赋予“网络安全与执法”专业更加强大的生命力，我们应从更高、更广的层面来考虑专业课程和专业建设。对此，笔者谈谈自己一些不成熟的思考，抛砖引玉，请教于同行。
 

　　一、信息安全管理，是国家赋予公安机关的法定职责。信息系统安全等级保护是网安部门的本职工作；从公安网安工作的角度考虑，防范和打击是相辅相成的
 

　　我国在计算机应用及互联网发展的初期，就意识到计算机应用及安全的重要性。1983年10月，经国务院批准公安部就成立了计算机管理和监察局；1994年颁布的《中华人民共和国计算机信息系统安全保护条例》(1994 年 2 月 18 日中华人民共和国国务院令 147 号发布)中就明确规定：中华人民共和国境内的计算机信息系统的安全保护，适用本条例(第五条)。公安部主管全国计算机信息系统安全保护工作(第六条 )。当时，计算机及互联网的应用主要还是在科学研究及通信工程上，远远达不到现在的深度和广度。但之后的很长一段时间里，我国计算机应用的发展特别是互联网应用的发展，与网络安全建设极不同步，网络安全技术、管理乃至立法，严重滞后。公安机关的网络管理部门，2008年公安部几经更名后确定为“网络安全保卫局”，各地才陆陆续续建立网络警察队伍；2012年前后，市(州、地)和县级公安机关才有专门的机构和人员编制，由于网警的专业性，培养需要一定的周期，“网警”人才的紧缺可想而知。特别是近年来“互联网+”和“大数据战略”的迅猛发展，信息化应用出现几何级数式增加的同时，各类网络安全事件、案件也呈现爆发式增长，网络管理实际工作对网警直接的要求就是处理各种事件和案件，各院校调研得到的紧迫需求也是以网络案件的侦查和网络情报的获取为主。
 

　　但是从网络安全保卫工作的长远目标来看，案件查处只是工作的一部分而远不是全部，目前公安部门在社会治安管理中曾经有过的“重打轻防”、“以打代防”、“以打促防”的倾向在网络社会的管理中也明显地表现出来。多年来社会治安综合治理的经验启示我们，“清本治源”乃是治本之策，从网络管理和安全保卫的工作任务出发，应当打防并举，综合治理，在网络管理工作中，如果长期不重视治理和防范，把重点乃至所有的精力都投入到打击上，往往事倍而功半。
 

　　在网络安全管理工作中，防范和打击不是对立的，而是相辅相成的，防范工作做好了，信息系统中大量漏洞、后门被有效封堵，能有效防范大量的非法入侵，减轻打击工作的压力；各种数据成链，制度成型，使得各种网络活动动则有痕，对各种违法活动查之有据，打击工作就轻松多了。当然，在打击工作中，也会查找和发现信息系统中存在的技术层面、管理层面存在的各种问题，通过系统整改和强化管理，使信息系统的安全性得以进一步提高。信息系统的安全等级保护工作，就是基本的网络防范活动，是基础中的基础。如果基础防范工作做不好，“基础不牢、地动山摇”！的后果则是十分可怕的。
 

　　2016年4月，在“网络安全和信息化工作座谈会”上的讲话指出：“增强网络安全防御能力和威慑能力。网络安全的本质在对抗，对抗的本质在攻防两端能力较量。要落实网络安全责任制，制定网络安全标准，明确保护对象、保护层级、保护措施。”这一指示进一步明确我们网络安全保卫工作中的另一个重要任务：监督和指导各种非涉密网络的安全防范体系的建设和管理。网络安全防范体系，包括物理层面、网络层面、平台和应用系统、数据库等等技术层面的东西，也包括制度、人员管理等非技术层面的内容，还有基于社会管理层面的法律法规等，是一个庞大的社会系统工程。网络，如社会神精一般延伸到社会的各级各层、方方面面，面对虚拟的网络社会，如何管理和防范，这方面的探索才刚刚开始。网络安全保卫的专业警察，需求量之大也是可以预计的。
 

　　我们可以得出这样的结论：网络安全保卫，是国家赋予公安机关的法定职责，以确保网络社会的安全为目的。网络安全保卫工作，包括“打”和“防”两个方面；“打”的工作，专业研究已较深入；“防”的工作，公安机关有责任监督、检查、督促建设单位对其信息系统的安全等级进行定级、安全设施建设、维护和定期检查，对达不到相应安全要求的，有责任进行相应的管理和处罚。
 

　　二、从专业培养目标上分析，“网络的安全等级保护能力”本身就是本专业的主要培养目标之一
 

　　按公安业务工作的实际需求制定相应的培养目标和人才培养计划，是公安院校明显区别于普通高等学校的特点。我国高等教育体制做过几次大的调整和改革，从建国初期院校调整，到*后改革招生制度，进入新的世纪的，我们逐步意识到苏式教育模式的局限性，特别是对市场经济的不适应。新的教育体制改革，“部门办学”的色彩逐步淡化，特别是系统、部门办高等院校，基本停止；但是仍然允许和保留了几个很特殊的“部门办学”，公安院校办学，就是为数不多的几个特殊部门。除了关系政权建设的根本问题，还有一个很特殊的原因是警察业务的特殊专业人才的培养不能市场化，必须按需培养，“按需培养”的概念有几层含意，首先是在培养目标上要“按需培养”，缩短培养周期。公安院校是为公安机关各业务部门培养专业人才，这是部门办学的特殊性，其培养目标完全按照工作岗位和业务需求设置，供需之间没有市场过程，公安业务部门需要什么样的人才，我们就培养什么样的人才。和普通高等院校培养目标有所不同的是，公安院校培养目标的设定很单一，也很确定；其次是在培养学校有*性，一些很特殊的专业如传统公安专业中的刑事侦查、治安管理等，了解一些违法*技能是很正常的事，学生在了解这些知识的前提是要一定环境和校园氛围中，首先要明白为谁而学、为什么学、学了干什么，如果不在特殊的环境中培养，学生学到的灰色甚至社会破坏性的技能，用于反社会活动，其负面破坏力是惊人的。其第三是在培养数量上应当有相当的计划性，作这公安业务所需的特殊人才，其工作岗位和性质都带有工作的特殊性，其工作秘密有些甚至涉及国家秘密，其人才的培养应考虑够用和限制数量，不宜考虑市场性，而更多地要考虑计划性，在数量上“按需培养”。在新的社会形势下，公安院校的专业建设特别是培养目标会更加鲜明地把“按需培养”作为基本和特殊的要求。在网上斗争日趋激烈和复杂，一些涉及网络安全的核心技术我们尚未掌控的客观现实条件下，网络安全管理一靠人员二靠管理三靠技术。人的因素是位的。
 

　　将于自2017年6月1日起施行的《中华人民共和国网络安全法》赋予“网络安全与执法”专业更加强大的生命力。作为为网络安全保卫输送警力的“网络安全与执法”专业，需要确立什么样的培养目标，首先应当考虑网络安全保卫这项公安业务需要的人员应当具备什么样的基础与专业素质。
 

　　从网络安全管理的实际需要出发，我们的学生走上工作岗位后，“防”和“管”的工作远远多于“打”。几年来，贵州大数据实践开展取得了相当不错的成绩，在数据的聚、通、用上取得了很大的突破，另一个方面，面临的安全形势也十分严峻，基于互联网上的大数据平台承受大量的攻击，内部各级各类数据的汇集，安全域的边界、大数据平台架构下安全责任的划分及协作、虚拟技术架构下物理层面安全责任的划分等，给我们带来不少新的课题。
 

　　三、“信息系统安全等级保护”课程设置的几点思考
 

　　课程设置是根据培养目标而决定的，先确定什么样的培养目标，才决定开设什么课程而不是相反，围绕着培养目标，决定课程目标。
 

　　以人才培养目标为核心，调整网络、数据库等专业基础课的课程结构，向安全方向倾斜。
 

　　传统的网络、数据库等专业基础课的课程结构，是以应用为目标，在工程设计、建设中更多的是考虑“怎么用”，在建设经费不足或一些小型工程中，更是考虑“能用就行”，对安全的考虑几乎没有，一旦互联互通，往往成为整个系统中安全薄弱的环节。按GB/T20270—2006要求，按网络系统的不同等级，在物理层、链路层、网络层、传输层、会话层、表示层、应用层的安全要求规定上，对系统的物理安全、运行安全、数据安全保护、资源利用、访问控制等，做了严格区分与规定，但传统的网络课程对此的介绍极少，涉及分级保护及分级设计和建设的几乎空白。对数据库的安全要求，按GB/T 20273—2006信息安全技术 数据库管理系统安全技术的要求，数据库管理系统安全子系统(SSODB)( security subsystem of database management system包括硬件、固件、软件和负责执行安全策略的组合体)，对数据库而言，建立了一个基本的数据库管理系统安全保护环境，并提供安全数据库管理系统所要求的附加用户服务；按照GB17859-1999 对可信计算基(TCB)的定义，SSODB 就是数据库管理系统的 TCB。但传统的数据库课程，对此几乎没有涉及。如果我们在“网络安全与执法”专业中，不作相应调整，按专业方向调整课程设计，在专业基础课和专业课程中，必然会产生课程基础结构上的偏差。
 

　　在工程技术的专业基础课和专业课中，要开设根据各级信息系统的不同和具体的工程环境，做相应的安全策略和规划，这种课程应强调动手能力的培养。
 

　　作为专业的一个重要方向，“信息系统安全等级保护”课程不只是一门课程，而是包括基础课、专业基础课和专业课程的一个系列课程。
 

　　计算机系统等级保护工作，要求的专业知识包含法学、工学的相关内容；在具体执行过程中，还有大量行政管理学的内容。因此，培养的学生应具备相应的专业基础和专业知识，我们从工作中怎么“做”倒过来推学习中“学”什么。首先是在工程设计和建设中“定保”，从自2017年6月1日起施行开始实施的《中华人民共和国网络安全法》为“定保”工作提供了法律依据，即信息系统在工程设计和工程建设中不做定保就是违法了，要承担相应的法律责任，怎么在新建系统中加入这个流程，确保“定保”工作能够依法进行，违法如何处罚，有法可依，操作层面的知识和程序，是我们的教学内容。其次，已建系统的“定保”督促和整改，是我们目前工作中的大难题，要教给学生依法行政。这是法学和管理学的课程结构。
 

　　测评和整改。这项工作是委托第三方进行，公安机关是对测评结果的应用，但是对测评机构的认定、管理和监督是我们的事情，也是公安机关网监部门的日常工作。对各级信息系统的检查，要按照各个系统等保级别的不同，定期组织相应的安全检查，也是我们的学生必须掌握的内容。
 

　　对各级信息系统进行检查中，制度检查是一个重要的内容。制定各种制度，是“用”的不是“看”的，只强调等级保护相关制度的上墙，不认真执行的情况比比皆是，制度成了“看”的摆设而不是“用”的准则，导致各种制度实际运用中成效不大。作为应用型学科，我们应针对实际工作中“难点”，变成教学中的“重点”。
 

　　3.法律法规课程中，应进一步增加“信息系统安全等级保护”的技术规章系列。如果我们只开设《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国网络安全法》等在执法层面的法律法规，而不开设相应的技术层面的课程，学生的操作能力将大打折扣，应该围绕《中华人民共和国计算机信息系统安全保护条例》开设相应技术性的具有法律效力的规范和规定。
 

　　这方面的教学内容很多，也成系列。如《信息系统安全等级保护实施指南》GB/T22240—2008、《计算机系统安全保护等级划分指南》GB17859—1999、《信息系统安全等级保护基本要求》G B/T22239—2008等信息系统安全等级保护全面性要求的技术文件；也有《网络基础安全技术要求》GB/T20270—2006、《信息系统物理安全技术要求》GB/T21052—2007、《公钥基础设施PKI系统安全等级保护技术要求》GB/T21053—2007、《路由器安全技术要求》GB/T18018—2007等就系统安全等级保护工作具体的一个方面的技术要求；还有《信息安全事件管理指南》GB/Z20985—2007、《信息系统事件分类分级指南》GB/Z20986—2007等应对突发事件的管理规范，网络安全事件突发性极强，各种事件突如其来，在技术层面预案在先，“预”则不乱。
 

　　总之，“网络安全与执法”作为一个开设不久的本科专业，毕业生工作的对象是网络，依法基于网络虚拟社会的社会环境进行管理，要求学生具备法学、计算机科学等跨学科大类的各种知识。“网络安全与执法”专业的基础理论和专业技能的溶合与升华还没有完成，其培养目标、课程体系、师资建设、实验室建设和实习基地的建设，凡此种种都有许多有待我们去努力探索的课题，这些基础性的探索也是我们这一代警院学人历史的责任。（作者系贵州省安全技术防范行业协会专家委主任周继烈）