今日頭條
官方微信
官方抖音
資訊頻道摘要:目前,工業信息安全形勢日趨嚴峻,引起世界各國高度重視,加緊工業信息安全領域布局,加快工業信息安全專業人才培養成為國家戰略選擇。美國總統特朗普于2019年5月2日簽署名為《網絡安全人才行政令》的總統行政令,著力部署國家網絡安全人才隊伍建設。我國是發展中大國,工業是我國經濟發展的命脈,工業信息安全直接關系國家民族的偉大復興,工業信息安全人才培養是重中之重、刻不容緩。本文在分析國外部分發達國家工業信息安全人才培養現狀和政策做法的基礎上,研究了我國相關情況,并對我國工業信息安全人才培養提出了建設性意見。
關鍵詞:工業信息安全;網絡安全;工業信息安全專業人才培養
Abstract: At present, the situation of industrial cyber security is becoming increasingly grim. Countries from all over the world has accelerated the layout of industrial cyber security field. Industrial cyber security talent cultivation has become a national strategic choice. On 2nd May,2019, The President of the United States Trump signed an executive order to strengthen America's cybersecurity workforce. China is a big developing country. Industry is the bone-back of China's economic development. Industrial cyber security is directly related to Chinese prosperity and preserve peace and industrial cyber security talent cultivation is becoming vital important and urgent. This paper analyzes the current situation and policy of industrial cyber security education & training in some developed countries, and puts forward views and suggestions on China industrial cyber security talent cultivation.
Key words: Industrial cyber security; Cyber security; Industrial cyber security talent cultivation
1 前言
工業信息安全泛指工業系統相關生產、管理、運行過程中的信息安全,涉及工業領域各個環節,所涉及的運行平臺包括工業控制系統、工業互聯網、工業大數據、工業云等。當前,以5G、云計算、大數據、物聯網和人工智能為代表的新一代信息技術與制造技術加速融合,推動制造業向數字化、網絡化、智能化、服務化的方向發展,成為推動經濟轉型升級、新舊動能接續轉換的強勁引擎。伴隨著物理信息系統、工業互聯網的發展,工業信息安全面臨新課題、新風險、新挑戰。面對日趨嚴峻的工業信息安全形勢,世界各國都高度重視工業信息安全問題,加緊工業信息安全領域布局,強化工業信息安全人才隊伍建設迫在眉睫。
2 國外工業信息安全人才培養現狀
據國際信息系統安全認證聯盟(ISC)2在2018年發布的網絡安全行業調查報告反映,全球網絡安全人才缺口超過300萬,工業信息安全人才則更為匱乏。美國一直將高技能的網絡安全人才作為保護國家安全的戰略資源。在2017年5月發布的總統行政令13800《加強聯邦網絡和關鍵基礎設施的網絡安全》和2018年9月頒布的《國家網絡戰略》中,均提出優秀的網絡安全人才可以促進美國國家繁榮及維護國家和平。
2.1 政策導向
2019年5月2日,美國總統特朗普簽署了《Executive Order on America’s CybersecurityWorkforce》(網絡安全人才行政令)的總統行政令。行政令指出,美國目前有超過30萬個網絡安全職位缺口。政策層面,美國政府將通過大力提高網絡安全人才流動性、著力提升網絡安全人才專業技術能力、支持開發網絡安全人才建設平臺工具等方向鼓勵和促進網絡安全人才隊伍建設。行政令中顯著強調,面向網絡安全優秀人才和團隊要加大獎勵力度,設立總統網絡安全教育獎,表彰中小學網絡安全教育工作者。
2016年德國發布新的《網絡安全戰略》明確將“培養聯邦政府的網絡安全人才”作為重要內容。日本于2014年5月制定的《新信息安全人才培養計劃》,明確了包括產學合作、開展競賽、貫徹標準、國際交流、人才挖掘等在內的19項信息安全人才培養措施。俄羅斯在2016年12月發布的新《信息安全學說》中,明確將“發揮信息安全保障和應用信息技術領域人員的潛力”作為一項重點任務。
2.2 相關舉措
2.2.1 機制建立
在《國家網絡安全教育計劃(NICE)網絡安全勞動力框架》的指導下,美國政府、院校、企業等機構聯合開展人才培訓項目,通過優化工作機制、拓展資質認證、加大資金投入等方面不斷完善網絡安全人才隊伍建設。一是建立“首席信息安全官”制度,首創“旋轉門”機制以及通過NICE計劃設立“學徒制工作組”。二是創新開展各項專業技能大賽及專項行動。如美國能源部依托7所國家實驗室平臺舉辦CyberForce大學生工業信息安全競賽;美國國防部采用“眾包”模式開展“黑客攻擊五角大樓”漏洞獎勵試點活動;以及網絡安全人才行政令中明確提出,2019年年底將舉行年度“總統杯網絡安全競賽”人才挖掘項目。三是設立人才開發基地。工業控制系統網絡應急響應小組(ICS-CERT)在美國愛達荷州針對工業控制系統網絡安全實踐項目配置了專門的人才實訓基地。四是建立多樣化、動態化網絡安全人才庫。包括返聘退休的網絡安全資深專家,募集并錄用具有網絡安全工作經驗的退伍軍人、女性及少數族裔人群。
2.2.2 培訓認證
美國政府撥款支持工業控制系統網絡應急響應小組(ICS-CERT)開展工控安全培訓認證項目,著力打造工控安全保障國家隊。培訓面向工控安全從業人員,包括與信息技術(IT)和過程控制網絡操作技術(OT)相關的控制系統成員,以及關鍵信息基礎設施運營者及管理者、關鍵信息基礎設施組件及軟件開發人員等。培訓模式融合了線上及線下及基地實訓,所有課程免費提供。2014年推出涵蓋11類課程的VLP(線上培訓認證),每年線上培訓注冊人數達30000余名,針對技術能力要求較高的工業控制系統網絡安全實訓課程,每月舉行一次40~50名人員規模的培訓。
俄羅斯知名網絡安全提供商卡巴斯基實驗室擁有成熟的工業網絡安全培訓模式,面向 IT/OT及安全專家、工業控制系統技術人員開展工業網絡安全知識專題培訓。重點從工業控制系統(ICS)網絡安全的基本知識、工業系統鑒識分析、滲透測試、數字取證、應急響應和實操練習等幾大模塊進行培訓。通過現場教學及實操演練,使學員具備應急響應與風險鑒識能力,可以從事件觸發到收集數據、檢查及分析,最終在工業環境中形成處理報告。最近一次針對物聯網漏洞利用的培訓已于2019年4月6~8日在新加坡舉辦,對物聯網設備安全檢測及評估進行教學。
以色列知名網絡安全產品供應商Cyberbit公司面向以色列國防軍網絡院、以色列阿里埃勒大學、巴爾的摩Cyber Range學院(馬里蘭州,美國)、美國瑞金大學、ST Electronics培訓中心(新加坡)等機構,利用其網絡攻防實訓平臺、網絡空間防御仿真中心開展了系列網絡安全培訓。
3 國內工業信息安全人才培養現狀
我國黨和政府高度重視網絡安全人才培養,國家就網絡安全人才發展做出一系列重要部署,推出多項有力措施。網絡安全學科專業設置、院系建設、學歷教育方面取得突破性進展;網絡安全在職培訓和專業資質測評快速推進;網絡安全攻防演練和技能競賽蓬勃發展;多地規劃建設網絡安全人才和創新基地,出臺人才培養和引進政策;重要行業嚴格落實網絡安全責任制和人員合規要求,加快實施安全人員培訓和管理制度;相關部門深入開展宣傳教育,全社會網絡安全意識得到顯著提升。
3.1 政策導向
黨中央、國務院高度重視工業信息安全人才培養工作,以工業信息安全人才培養導向的相關政策文件相繼推出。2016年5月,《國務院關于深化制造業與互聯網融合發展的指導意見》中提出健全融合發展人才培養體系,加強高層次應用型專門人才培養,積極開展企業新型學徒制試點,結合國家專業技術人才知識更新工程、企業經營管理人才素質提升工程、高技能人才振興計劃等工作,加強融合發展職業人才和高端人才培養。2017年11月,《國務院關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》中指出,加強人才隊伍建設,引進和培養相結合,不斷壯大工業互聯網人才隊伍。2017年12月,工業和信息化部信息化和軟件服務業司發布《工業控制系統信息安全行動計劃(2018-2020年)》的通知,明確提出鼓勵工業企業加強與院校合作,聯合培養工控安全專業人才。2019年8月,工業和信息化部網絡安全管理局發布《關于印發加強工業互聯網安全工作的指導意見的通知》,文件中提出要深入推進產教融合、校企合作,建立安全人才聯合培養機制,培養復合型、創新型高技能人才。要求通過開展網絡安全演練、安全競賽等,培養選拔不同層次的工業互聯網安全從業人員。
3.2 相關舉措
3.2.1 培訓認證
2018年,在工業和信息化部信息化和軟件服務業司的指導下,國家工業信息安全發展研究中心在全國范圍在四大片區組織開展《工業控制系統信息安全行動計劃(2018-2020)》宣貫及工業信息安全培訓工作。中國信息安全測評中心聯合杭州安恒信息技術股份有限公司開辦《國家注冊信息安全專業人員-云安全工程師(CISP-CSE)》、《國家注冊信息安全專業人員-大數據安全分析師(CISP-BDSA)》以及《國家注冊信息安全專業人員-工業控制系統安全工程師(CISP-ICSSE)》認證培訓班。中國網絡安全審查技術與認證中心聯合多家培訓機構開展了CISAW信息安全保障人員認證專業級(工控網絡安全方向)培訓認證工作。各高校及企業也紛紛面向工業控制系統信息安全、工業互聯網安全、云安全、大數據安全開展了系列專業培訓。
3.2.2 工業信息安全大賽
近年來,我國科研機構、行業及企業紛紛舉辦形式多樣的工業信息安全競賽。典型的有工業信息安全技能大賽,以虛擬靶場系統為基礎,注重實操訓練,設置了智能制造、城市交通、風力發電、燃氣管道、智能樓宇、水處理、化工、采油、輸配電、軌道交通等十大真實工業場景設置仿真攻擊賽項。另有聚焦工業互聯網安全、網絡安全等各類賽事,從戰術、思路和應急響應能力等全方位對選手進行考核,挖掘和選拔工業信息安全專業人才,推動行業領域技術和經驗共享,提升技術人員的實操能力。
3.3 主要問題
由于我國網絡安全起步較晚、發展較快,根據《中國信息安全從業人員現狀調研報告(2018-2019年度)》反映,當前我國信息安全人才隊伍建設還存在一些突出問題。一是信息安全從業人員全方位短缺、規模總量嚴重不足。據有關數據顯示,我國網絡安全人才缺口逾70萬,工業信息安全從業人員更是極度匱乏,遠不能滿足行業發展需求。二是信息安全職業化尚處于初級階段、非專業或無證上崗現象普遍。現持有各類信息安全資質證書的網絡安全專業人數所占比例不足40%。網絡安全從業者在安全運維、應急響應、分析設計崗位中有一定占比,但在戰略研究、執法監管等崗位較為稀缺。三是信息安全人才培養機制還不夠完善。人才資源匱乏是安全保障水平不高和導致信息安全事件的最重要原因。
4 對策建議
網絡空間的競爭,歸根結底是人才競爭。新一輪科技革命和產業升級進程中,信息技術正在從根本上改變人們生產生活的方式,重塑經濟社會發展和國家安全的新格局,信息安全人才將在這一轉型發展過程中發揮關鍵作用。在全球工業信息安全人才匱乏的大背景下,我國要加快培養工業信息安全專業領域人才隊伍。高度重視國家工業發展過程中信息安全人才的重要戰略地位,充分認識工業信息安全人才培養的重要性和緊迫性,利用我國大國優勢和制度優勢,加大加快培養適應國家社會經濟發展和工業領域新技術革命變革需要的信息安全人才隊伍,在日益激烈的國際競爭中贏得主動。
4.1 建立體系化的工業信息安全人才培養發展規劃
在國家《關于加強網絡安全學科建設和人才培養的意見》統一部署下,從提高信息時代生產力的高度,以建設具有全球競爭力的工業信息安全人才隊伍為目標,對國家工業信息安全人才發展進行系統性的超前規劃部署,制定培養工業信息安全人才建設規劃及領軍人才建設計劃,建立指導工業信息安全學科建設、人才培養等方面的細則,深入研究工業信息安全人員類別、專業領域和工作角色,不斷完善網絡安全人才培養政策環境,為工業信息安全專業人才隊伍建設夯實基礎、提供土壤。深入開展工業信息安全人才發展基礎理論和前沿實踐研究,探尋工業信息安全人才成長規律,建立科學的工業信息安全從業人員測評標準,為工業信息安全人才職業化培養提供依據,為制定工業信息安全人員教育培訓目標、課程體系提供理論支撐。
4.2 構建工業信息安全國民教育和持續教育體系
依托國民教育資源和社會教育資源,增強工業信息安全教育培訓的針對性、促進工業信息安全人才供需匹配、提升工業信息安全職業吸引力。既要利用好成熟的職業培訓體系,快速培養工業信息安全急需人才;也要在基礎教育、高等教育和職業院校中深入推進工業信息安全教育,培養工業信息安全后備人才;全面優化教育培訓的內容、類別、層次結構和行業布局,著力解決當前工業信息安全人才總量不足的突出問題。加強工業信息安全意識提升、基礎教育、高等教育、職業教育、持續教育的總體指導,為工業信息安全從業人員提供全職業周期的信息安全知識、技能的系統培養學習。
4.3 建立科學的工業信息安全人才培養機制
加強工業信息安全人才培養管理體系建設,推動人才流動配置、培養開發、考核評價和激勵保障等工作機制改革。從咨詢規劃、評估分析、工程實施、運行維護、應急響應等全流程培養、考核、選拔專業的安全保障技術人才,建立完善工業信息安全人才培訓認證體系和工業信息安全專業人才資質認定工作,為工業信息安全人才評價考核、選拔任用、職業晉階提供參考依據。結合行業領域特點推進信息安全教育培訓供給側改革,加強專業資質測評在人才隊伍建設中的引領和導向作用,創新人才培養模式,深化產教融合,貫通后備人才到從業人員的通道,推動各類學校、專業培訓機構和企業通過校園教育、現代學徒制培訓、任職培訓、在職培訓、崗位練兵、攻防競賽、技術比武等方式,推動工業信息安全人才培養的高質量發展。形成主管領導部門、產業界、學術界、科研院所、用人單位等相關各方的協調配合,資源共享,流動暢通的人才發展良好生態。拓寬人才選拔渠道,吸引國外專業人才、海外留學人才回國就業創業,促進國際間人才交流合作。
作者簡介
程 宇,工程師,現就職于國家工業信息安全發展研究中心,主要研究方向為工業信息安全人才體系建設、工業信息安全產業研究、網絡安全戰略規劃及宣傳教育等。
參考文獻
[1] Executive Order on America’s Cybersecurity Workforce[Z].
[2] 國家工業信息安全發展研究中心. 美國工控安全培訓認證研究及對我啟示[J].
[3] 國家工業信息安全發展研究中心. 工業和信息化藍皮書(2018-2019)-工業信息安全發展報告[R]. 2019.
[4] 中國信息安全測評中心. 中國信息安全從業人員現狀調研報告(2018-2019年度)[R]. 2019.
[5] 中國信息安全測評中心, 杭州安恒信息技術股份有限公司, 獵聘網. 《2018網絡安全人才發展白皮書》[Z]. 2018.
摘自《工業控制系統信息安全專刊(第六輯)》
北京市公安局海淀分局備案號:11010802023656號