針對用戶的實際特點并結合國際培訓慣例,我們根據培訓對象的不同將課程分為五種類型(層次):操作層面的基本安全意識培訓;技術層面的各項安全技能培訓;管理層面的信息安全管理培訓;專家級的資質認證培訓;針對信息安全從業需求的較長期的職業教育。我們稱之為ATM-PC培訓體系,即Awareness-Technology-Management-Profession-Certification。
在ATM-PC培訓體系中,操作層面上針對的是從事日常業務處理的人員,即最一般性的信息系統用戶;技術層面主要針對信息系統運行維護和開發部門人員,包括信息網絡系統管理員和安全專職人員;管理層面則針對包括技術管理和行政管理在內的人員;資質認證類的培訓針對特殊崗位所需的職能人員,包括審核部門、監管部門、信息保障部門等;此外,專門設立的職業教育類培訓,是針對欲從事信息安全相關工作并尋求在此方向進行職業發展的人員。
ATM-PC培訓體系如下圖所示
培訓計劃
| BS7799信息安全管理基礎 |
| 培訓名稱 | BS7799信息安全管理基礎 | | 目標描述 | | 該課程對組織信息安全的需求和ISO/IEC 17799國際標準進行探討,并講解BS7799-2: | | 2002對信息安全管理體系的要求。同時本課程探討了信息安全,控制方法和威脅的衡 | | 量等,本課程并不是一個技術性質的課程,更強調信息安全管理方面。 |
| | 適合對象 | | 信息系統管理人員,企業決策管理層,參與信息系統審計、管理體系規劃和認證的人員 | | ,其他對信息安全管理和BS7799知識感興趣的人員。 |
| | 培訓資料 | | *專用的BS7799基礎培訓教材; | | *推薦的信息安全管理經典書籍。 |
|
|
|
| 風險管理與風險評估方法 |
| 培訓名稱 | 風險管理與風險評估方法 | | 目標描述 | | 該課程以風險管理為主線,綜合信息安全業界主要的技術標準(BS7799、ISO13335等) | | ,通過對風險定義的描述,分析風險的定義、構成、評估方法和控制措施,比較常見的 | | 評估方法和工具,列舉主要的控制措施,幫助學員對信息安全建立全面的理解,有助于 | | 學員解決具體問題,選擇恰當的控制措施和進行系統的安全規劃。 |
| | 適合對象 | | 信息系統管理人員,企業決策管理層,參與信息系統審計和管理體系規劃的人員,其他 | | 對信息安全管理知識感興趣的人員。 |
| | 培訓資料 | |
|
|
| 信息安全標準與規范 |
| 培訓名稱 | 信息安全標準與規范 | | 目標描述 | | 信息安全建設過程應該依據相關標準和規范來進行,信息安全測評和認證也應該遵循通 | | 行的標準。本課程的目的就是,幫助學員初步掌握信息安全領域最著名的標準規范,包 | | 括進行系統安全測評用的TCSEC和CC(ISO15408,GB18336)標準、衡量安全工程過程成 | | 熟度的SSE-CMM規范,以及對企業信息安全管理體系進行認證的BS7799標準等。 |
| | 適合對象 | | 企業的信息安全審計人員,信息安全產品采購和測試人員,從事信息安全咨詢服務的人 | | 員,從事信息安全產品研發的人員等。 |
| | 培訓資料 | |
|
|
| BS7799主任審核員/內審員認證培訓 |
| 培訓名稱 | BS7799主任審核員認證培訓 | | 目標描述 | | 審核是任何管理體系成功的關鍵,因此,體系審核員往往擔負著很重的責任并面臨著嚴 | | 重的挑戰,在審核期間也會遇到很復雜的問題。 | | 五天的BS7799主任審核員課程,使學員熟悉BS 7799 的條文細節和管理體系建設過程, | | 并使他們了解怎樣為認證機構實施BS7799 信息安全管理體系的審核。同時,該課程也 | | 使學員能夠為準備實施信息安全管理體系的組織提供幫助和信息。 |
| | 適合對象 | | 試圖獲得BS7799主任審核員資質的人員,企業信息安全管理體系決策者、管理者和支 | | 持者,提供信息安全管理咨詢服務的專業人員,其他相關人員。 |
| | 培訓資料 | | *專用的BS7799主任審核員認證培訓教材; | | *大量的輔助聯系材料; | | *大量的課堂討論資料; | | *相關學習材料匯編(光盤)。 |
|
|
|
| CISSP國際注冊信息系統安全師培訓 |
| 培訓名稱 | CISSP認證考試輔導 | | 目標描述 | | CISSP是由國際信息系統安全認證協會-簡稱(ISC)2組織和管理。(ISC)2在全世界各地 | | 舉辦考試,符合考試資格人員于通過考試后授予CISSP認證證書。CISSP認證是目前世 | | 界上最權威、最全面的國際化信息系統安全方面的認證。CISSP CBK培訓為業界最理想 | | 的CISSP考試輔導課程,課程是為期5天的密集式課程,涵蓋CBK的十個領域,每 | | 個范圍都設計信息安全的若干方面,該課程同時也是系統全面學習信息系統安全知識的 | | 最佳途徑。 |
| | 適合對象 | | 企業信息安全主管,參與信息系統審計和管理體系規劃的人員,提供信息安全咨詢服務 | | 的專業人員,其他對信息安全全面的知識體系感興趣的人員。 |
| | 培訓資料 | | *專用的CISSP認證考試輔導教材; | | *極有價值的CISSP認證考試模擬題; | | *大量CISSP考試輔助資料匯編(光盤); | | *國外經典的原版參考書籍(選); | | *CISSP認證考試經典書籍《CISSP認證考試指南》。 |
|
|
|
| 黑客攻擊手段與防護策略 |
| 培訓名稱 | 黑客攻擊手段與防護策略 | | 目標描述 | | 該課程力圖指導學員全面分析TCP/IP協議棧的脆弱性,以此為基礎,深入剖析黑客的 | | 各種攻擊手段,廣泛介紹各類黑客攻擊工具,并有針對性地提出相應的防護措施及方案 | | 通過本課程的學習,學員可以借此提高自己的安全意識,了解常見的安全漏洞,識別黑 | | 客攻擊手法,熟悉提高系統抗攻擊能力的安全配置方法,最重要的還在于掌握一種學習 | | 信息安全知識的正確途徑和方法。 |
| | 適合對象 | | 一般的技術人員、開發人員、信息系統管理員及網絡管理員,以及對黑客攻防技術感興 | | 趣的人員。 |
| | 培訓資料 | | *專用的黑客攻防培訓教材; | | *相關學習材料匯編(光盤); | | *黑客攻防工具經典匯編(光盤); | | *專用的實驗教材; | | *《黑客大曝光》系列經典著作(選)。 |
|
|
|
| Cisco網絡設備安全配置與管理 |
| 培訓名稱 | Cisco網絡設備安全配置與管理 | | 目標描述 | | 本課程主要討論在CISCO設備安裝和維護過程中可能遇到的實際安全問題,給出相應的 | | 配置、修改建議,幫助網絡管理者和操作者優化網絡設備的配置,建立合理有效的訪問 | | 策略和安全過濾規則,進行恰當的網絡管理和帶寬優化,并深入探討CISCO IOS的系統 | | 漏洞及解決方案、網絡攻防實戰技巧、完善的日志管理和配置審核,以及安全相關的其 | | 它高級設置和管理。 |
| | 適合對象 | | 信息系統管理員和網絡管理員,安全專職技術人員,以及想了解相關信息安全知識的人 | | 趣的人員。 |
| | 培訓資料 | | *專用的Cisco網絡設備安全配置與管理培訓教材; | | *相關學習材料匯編(光盤); | | *《Cisco網絡安全管理》(經典著作)。 |
|
|
|
| Unix安全管理培訓 |
| 培訓名稱 | Unix安全管理培訓 | | 目標描述 | | 本課程講述Unix系列操作系統(主要以Sun Solaris和Linux為主)安全原理、分析和 | | 實施,使學員能夠樹立牢固的安全意識、具備主要流行Unix系統安全加固配置能力、 | | 對Unix系統及其服務安全問題有一定分析和跟蹤處理能力。 |
| | 適合對象 | | 政府和企業機關的Unix系統管理員、網絡管理員,需要具備一定的計算機系統基礎知 | | 識、Unix系統操作管理經驗、TCP/IP協議、網絡基礎知識和學習能力。 |
| | 培訓資料 | | *專用的UNIX安全配置與管理培訓教材; | | *相關學習材料匯編(光盤),實驗手冊; | | *《Linux黑客大曝光》(選)。 |
|
|
|
| Windows安全管理培訓 |
| 培訓名稱 | Windows安全管理培訓 | | 目標描述 | | 本課程主要分析Windows2000族系列安全問題,課程由Windows安全原理和機制、Windows | | 網絡服務安全、系統安全配置及案例分析和實驗等幾個部分組成。講解Windows操作系統 | | 的安全原理和構件,分析Windows網絡環境中主要服務的安全問題及對應的安全攻擊和加 | | 固方法,重要安全工具和資源。使學員能夠具備保障Windows系統安全運行和安全加固配 | | 置能力、對Windows系統及其服務安全問題有一定判斷和分析處理能力。 |
| | 適合對象 | | Windows系統管理員、網絡管理員,具備Windows系統操作管理經驗、網絡基礎知識和學 | | 習能力。 |
| | 培訓資料 | | *專用的Windows安全配置與管理培訓教材; | | *相關學習材料匯編(光盤),實驗手冊; | | *《黑客大曝光:Windows2000安全》(選)。 |
|
|
|
| 企業信息安全規劃與建設 |
| 培訓名稱 | 企業信息安全規劃與建設 | | 目標描述 | | 該課程以風險管理為主線,通過技術和管理兩個方面對信息安全所涵蓋的主要領域進行 | | 一定深度的介紹,幫助學員對信息安全建立全面的理解。同時該課程對當前的主要安全 | | 問題和主流的安全技術進行深入和專業的闡述,有助于學員解決具體問題,選擇恰當的 | | 安全產品和進行系統的安全規劃。 |
| | 適合對象 | | 政府和企業的信息系統主管、網絡管理員,集成商,IT規劃人員,需要具備一定的計算 | | 機系統基礎知識、管理經驗和學習能力。 |
| | 培訓資料 | |
|
|
| IT服務管理基礎認證培訓 |
| 培訓名稱 | IT服務管理基礎培訓 | | 目標描述 | | IT服務管理核心課程,目的使幫助組織在面臨預算限制、技能短缺、系統復雜以及快速 | | 變化時,提供高質量的IT服務,滿足客戶當前和未來的要求。該課程介紹IT服務支持和 | | 提交的十大流程,使學員全面理解IT服務管理最佳實踐。學習如何改進服務質量和減少 | | 成本,如何把IT服務和業務目標整合以及學習實施十大IT服務流程及其活動,掌握它們 | | 之間的相互關系,參加該課程的學習使學員從工作技能、工作角色和個人資質三方面獲 | | 得提升。 |
| | 適合對象 | | 企業IT部門管理人員,IT運營和支持維護人員,相關決策者。 |
| | 培訓資料 | | *專用的IT服務管理基礎培訓教材; | | *相關學習材料匯編(光盤)。 |
|
|
|
| 企業信息安全意識培訓 |
| 培訓名稱 | 企業信息安全意識培訓 | | 目標描述 | | 面向組織的一般員工和非技術人員,目的是提高整個組織普遍的安全意識和人員安全防 | | 護能力,使組織員工充分了解既定的安全策略。 | | 該課程力圖改變企業員工對信息安全的態度,使操作人員知曉信息安全的重要性、企業 | | 安全規章制度的含義及其職責范圍內需要注意的安全問題。 | | 課程采取生動有趣的授課形式,并借助各種輔助手段來幫助學員建立基本而實用的安全 | | 意識。 |
| | 適合對象 | | 組織所有承擔安全責任,以及與信息系統使用和安全策略執行相關的人員。 |
| | 培訓資料 | | *專用安全意識培訓教材; | | *相關的輔助材料(資料精選光盤等)。 |
|
|
|
|
