Đảm bảo chất lượng đào tạo

Một phần của tài liệu (LUẬN văn THẠC sĩ) phát triển nhân lực kỹ sư an toàn thông tin của việt nam trong điều kiện hội nhập kinh tế quốc tế (Trang 95 - 99)

7. Kết cấu luận văn

4.4. Các giải pháp

4.4.4 Đảm bảo chất lượng đào tạo

4.4.4.1 Xây dựng các hệ thống chuẩn kỹ năng về ATTT

Việc xây dựng hệ thống chuẩn kỹ năng về ATTT nhằm mục đích đưa ra khung kiến thức và kỹ năng chung về ATTT, hệ thống này là thước đo giúp người học xác định năng lực hiện tại của mình và lộ trình để đạt được các cấp độ cao hơn; giúp các cơ sở đào tạo có định hướng cập nhật, đổi mới chương trình, nội dung đào tạo đáp ứng nhu cầu của thị trường lao động; giúp các cơ quan, đơn vị sử dụng nhân lực đánh giá đúng về năng lực cán bộ của mình từ đó có kế hoạch phân công, sử dụng và đãi ngộ hợp lý; giúp cho cơ quan quản lý có được thông tin đầy đủ, chính xác về hiện trạng nguồn nhân lực kỹ sư ATTT, từ đó có các cơ chế, chính sách phù hợp, hiệu quả để phát triển nhân lực đảm bảo ATTT.

Hệ thống chuẩn kỹ năng ATTT có thể phân thành 2 cấp độ: Cấp độ 1: Các chuẩn kỹ năng ATTT cho người sử dụng

Bao gồm các tiêu chí để đánh giá mức độ hiểu biết các kiến thức cơ bản về ATTT và mức độ thành thạo trong việc thực hiện các kỹ thuật căn bản nhằm đảm bảo an toàn cho thông tin và thiết bị trong quá trình khai thác các hệ thống CNTT. Hiện nay nhiều nước trên thế giới, đặc biệt tại châu Âu đang áp dụng phổ biến hệ thống chuẩn kỹ năng CNTT cơ bản có tên ICDL/ECDL, hệ thống chuẩn này bao gồm 13 module, trong đó chuẩn kỹ năng ATTT là module thứ 12. Tài liệu đầy đủ của chuẩn này có thể tải về từ địa chỉ www.ecdl.org. Như đã phân tích trong Chương 4, nội dung của chuẩn này mang tính độc lập về mặt công nghệ, thiết bị, nhà cung cấp và hoàn toàn phù hợp với điều kiện thực tế của Việt Nam. Chính vì vậy, Việt Nam hoàn toàn có thể xây dựng chuẩn kỹ năng ATTT cơ bản trên cơ sở

tham khảo chuẩn ATTT trong hệ thống chuẩn ICDL/ECDL. Trong đề tài này, tác giả đề xuất chuẩn kỹ năng ATTT cho người sử dụng với một số nội dung chính như sau: - Để đảm bảo tính thống nhất và đồng bộ, chuẩn kỹ năng ATTT cần là một bộ phận của chuẩn kỹ năng CNTT.

Chuẩn kỹ năng ATTT dành cho người sử dụng có cấu trúc phân cấp như sau: - Mỗi nhóm kỹ năng bao gồm một số kỹ năng có liên quan đến nhau.

- Mỗi kỹ năng đưa ra một số các yêu cầu cụ thể đối với người dùng.

Tập hợp các kỹ năng ATTT và các yêu cầu cụ thể cho từng kỹ năng được trình bày trong bảng 4.4 phần phụ lục 1.

Cấp độ 2: Các chuẩn kỹ năng cho kỹ sư ATTT:

Chuẩn kỹ năng cho kỹ sư ATTT tập hợp các tiêu chí đánh giá mức độ hiểu biết các kiến thức chuyên sâu về ATTT và mức độ thành thạo trong công việc đảm bảo an toàn cho các hệ thống CNTT. Trên thế giới, chuẩn kỹ năng ATTT thường là một bộ phận của chuẩn kỹ năng CNTT. ITSS của Nhật bản và EUCIP của châu Âu là điển hình của cấu trúc này. Các chuẩn kỹ năng ATTT thường bao gồm các tiêu chí có thể được phân thành bốn nhóm với các đặc trưng cơ bản như sau:

An toàn sản phẩm (product security)

Công việc chính của nhóm này là làm việc với các đội phát triển sản phẩm để đảm bảo sản phẩm làm ra an toàn cho người dùng và an toàn cho hệ thống của công ty, cụ thể là:

- Kiểm định mã nguồn và thiết kế của sản phẩm

- Phát triển các giải pháp kỹ thuật và quy trình phát triển phần mềm an toàn để phát hiện và ngăn chặn những kỹ thuật tấn công đã biết

- Đào tạo nhân lực để nâng cao nhận thức về an toàn thông tin cũng như kỹ năng viết mã an toàn

- Nghiên cứu các hướng tấn công mới có thể ảnh hưởng hệ thống sản phẩm và dịch vụ của công ty

Như vậy có thể thấy nhóm này chuyên tìm lỗ hổng và kỹ thuật tấn công mới.

Công việc chính của nhóm này là đảm bảo sự an toàn cho toàn bộ hệ thống thông tin của DN, với ba nhiệm vụ chính:

- Ngăn chặn: đưa ra các chính sách, quy định, hướng dẫn về an toàn vận hành; kiện toàn toàn bộ hệ thống thông tin, từ các vành đai cho đến máy tính của người dùng cuối; cấp và thu hồi quyền truy cập hệ thống; quét tìm lỗ hổng trong hệ thống, theo dõi thông tin lỗ hổng mới và làm việc với các bên liên quan để vá lỗi, v.v.

- Theo dõi và phát hiện: giám sát an ninh mạng.

- Xử lý: phản hồi (incident response) và điều tra số (digital forensics) khi xảy ra sự cố an toàn thông tin, từ tài khoản của kỹ sư ATTT bị đánh cắp, rò rỉ thông tin sản phẩm mới cho đến tấn công từ chối dịch vụ.

Phát triển công cụ (applied security)

Công việc chính của nhóm này là phát triển và cung cấp các công cụ, dịch vụ và thư viện phần mềm có liên quan đến an toàn thông tin cho các nhóm phát triển sản phẩm sử dụng lại.

Nhóm này bao gồm các kỹ sư nhiều năm kinh nghiệm và có kiến thức vững chắc về an toàn thông tin, viết mã an toàn và mật mã học. Họ phát triển các thư viện và dịch vụ dùng chung như phân tích mã tĩnh – phân tích mã động (static – dynamic code analysis), hộp cát (sandboxing), xác thực (authentication), kiểm soát truy cập (authorization), mã hóa (encryption) và quản lý khóa (key management), v.v.

Tìm diệt mã độc và các nguy cơ khác (threat analysis)

Công việc chính của nhóm này là phân tích, truy tìm nguồn gốc và tiêu diệt tận gốc mã độc và các tấn công có chủ đích (targeted attack). Mã độc ở đây có thể là virus, sâu máy tính, hay mã khai thác các lỗ hổng đã biết hoặc chưa được biết đến mà phần mềm diệt virus thông thường chưa phát hiện được. Các loại mã độc này thường được sử dụng trong các tấn công có chủ đích vào DN.

Trên cơ sở phân tích một số chuẩn kỹ năng ATTT, tác giả thấy rằng về nội dung các chuẩn này cơ bản giống nhau, điểm khác nhau giữa các hệ thống chuẩn này chủ yếu ở hình thức thể hiện. So sánh hai hệ thống chuẩn ITSS và EUCIP thì việc áp dụng ITSS có nhiều điều kiện thuận lợi vì các lý do sau: (1) một số nội dung của hệ thống này đã được triển khai ở Việt Nam, phần lớn nhân lực CNTT tại Việt

Nam đã biết đến chuẩn này nên việc tiếp cận sẽ đơn giản hơn, (2) Việt Nam đang là thành viên của ITPEC, đây là tổ chức quốc tế có nhiều hoạt động hỗ trợ triển khai chuẩn ITSS. Vì vậy, để xây dựng chuẩn kỹ năng cho kỹ sư ATTT, tác giả đề xuất có thể sử dụng mô hình hệ thống ITSS của Nhật bản. Việc xây dựng chuẩn kỹ năng ATTT của Việt Nam trên cơ sở kế thừa từ một chuẩn quốc tế phổ biến như ITSS sẽ giải quyết hai vấn đề: (1) Sớm có được hệ thống chuẩn kỹ năng góp phần nâng cao chất lượng đội ngũ nhân lực kỹ sư ATTT, (2) Các kỹ sư ATTT đạt chuẩn Việt Nam đồng thời sẽ đạt chuẩn quốc tế trên cơ sở sự công nhận tương đương giữa các chuẩn.

Trong phạm vi Đề tài này, tác giả đề xuất chuẩn kỹ năng cho kỹ sư ATTT với các nội dung cơ bản như sau:

- Xác định danh mục các kiến thức về ATTT tương ứng với mỗi nhóm kỹ năng ATTT (bảng 4.5).

- Xác định các yêu cầu cụ thể đối với từng kỹ năng về ATTT Tham khảo bảng Bảng 4.6 phần phụ lục 1 )

Trên thực tế, Bộ TTTT đang trong quá trình xây dựng hệ thống chuẩn kỹ năng CNTT trong đó có chuẩn ATTT. Sau khi hoàn thành việc xây dựng hệ thống chuẩn này, tác giả đề xuất lộ trình để triển khai áp dụng trong thực tế bao gồm các bước:

(1) Bộ TTTT phối hợp với các Bộ liên quan xây dựng văn bản hướng dẫn và quy định về việc áp dụng chuẩn kỹ năng CNTT trong đó có các nội dung về chuẩn kỹ năng cho kỹ sư ATTT.

(2) Xây dựng các hệ thống đào tạo, sát hạch cấp chứng chỉ theo chuẩn kỹ năng đã được ban hành (như được mô tả chi tiết trong phần tiếp theo đây).

4.4.4.2 Hệ thống sát hạch cấp chứng chỉ về ATTT

Đồng thời với việc xây dựng hệ thống chuẩn kỹ năng ATTT, cần có một hệ thống sát hạch, cấp chứng chỉ kỹ năng ATTT vận hành song song nhằm mục đích đánh giá năng lực đảm bảo ATTT của người sử dụng và kỹ sư ATTT trên cơ sở tham chiếu với các tiêu chí được đưa ra trong hệ thống chuẩn kỹ năng ATTT tương ứng.

Đứng từ góc độ quản lý nhà nước, tác giả đề xuất xây dựng hệ thống đào tạo, sát hạch cấp chứng chỉ kỹ năng ATTT với các nội dung cụ thể như sau:

- Hệ thống đào tạo, sát hạch, cấp chứng chỉ ATTT là một bộ phận của hệ thống đào tạo, sát hạch cấp chứng chỉ kỹ năng CNTT.

- Khuyến khích các tổ chức cung cấp dịch đào tạo, sát hạch, cấp chứng chỉ CNTT và ATTT.

- Xây dựng và các hành các quy định về các điều kiện hoạt động đối với các cơ sở sát hạch cấp chứng chỉ về ATTT: cơ cấu tổ chức của cơ sở sát hạch; năng lực, trình độ của đội ngũ cán bộ; cơ sở vật chất phục vụ tiến hành các kỳ sát hạch…

- Xây dựng quy định về quy trình sát hạch: trình tự và cách thức thực hiện các bước tuyển sinh, xây dựng đề thi, tổ chức thi, đánh giá công nhận kết quả, cấp chứng chỉ và lưu hồ sơ các thông tin liên quan đến chứng chỉ được cấp, thi lại và cấp lại chứng chỉ…

- Xây dựng quy định về giá trị chứng chỉ: ban hành mẫu các chứng chỉ, cơ quan có thẩm quyền cấp chứng chỉ, thời hạn của chứng chỉ, để đảm nhận một vị trí hoặc một công việc trong một cơ quan, tổ chức thì cần có chứng chỉ nào …

Một phần của tài liệu (LUẬN văn THẠC sĩ) phát triển nhân lực kỹ sư an toàn thông tin của việt nam trong điều kiện hội nhập kinh tế quốc tế (Trang 95 - 99)

Tải bản đầy đủ (PDF)

(122 trang)