目前,工业信息安全形势日趋严峻,引起世界各国高度重视,加紧工业信息安全领域布局,加快工业信息安全专业人才培养成为国家战略选择。美国总统特朗普于2019年5月2日签署名为《网络安全人才行政令》的总统行政令,着力部署国家网络安全人才队伍建设。我国是发展中大国,工业是我国经济发展的命脉,工业信息安全直接关系国家民族的伟大复兴,工业信息安全人才培养是重中之重、刻不容缓。本文在分析国外部分发达国家工业信息安全人才培养现状和政策做法的基础上,研究了我国相关情况,并对我国工业信息安全人才培养提出了建设性意见。

关键词:工业信息安全;网络安全;工业信息安全专业人才培养

1、前言

工业信息安全泛指工业系统相关生产、管理、运行过程中的信息安全,涉及工业领域各个环节,所涉及的运行平台包括工业控制系统、工业互联网、工业大数据、工业云等。当前,以5G、云计算、大数据、物联网和人工智能为代表的新一代信息技术与制造技术加速融合,推动制造业向数字化、网络化、智能化、服务化的方向发展,成为推动经济转型升级、新旧动能接续转换的强劲引擎。伴随着物理信息系统、工业互联网的发展,工业信息安全面临新课题、新风险、新挑战。面对日趋严峻的工业信息安全形势,世界各国都高度重视工业信息安全问题,加紧工业信息安全领域布局,强化工业信息安全人才队伍建设迫在眉睫。

2、国外工业信息安全人才培养现状

据国际信息系统安全认证联盟(ISC)在2018年发布的网络安全行业调查报告反映,全球网络安全人才缺口超过300万,工业信息安全人才则更为匮乏。美国一直将高技能的网络安全人才作为保护国家安全的战略资源。在2017年5月发布的总统行政令13800《加强联邦网络和关键基础设施的网络安全》和2018年9月颁布的《国家网络战略》中,均提出优秀的网络安全人才可以促进美国国家繁荣及维护国家和平。

2.1 政策导向

2019年5月2日,美国总统特朗普签署了《Executive Order on America’s CybersecurityWorkforce》(网络安全人才行政令)的总统行政令。行政令指出,美国目前有超过30万个网络安全职位缺口。政策层面,美国政府将通过大力提高网络安全人才流动性、着力提升网络安全人才专业技术能力、支持开发网络安全人才建设平台工具等方向鼓励和促进网络安全人才队伍建设。行政令中显著强调,面向网络安全优秀人才和团队要加大奖励力度,设立总统网络安全教育奖,表彰中小学网络安全教育工作者。

2016年德国发布新的《网络安全战略》明确将“培养联邦政府的网络安全人才”作为重要内容。日本于2014年5月制定的《新信息安全人才培养计划》,明确了包括产学合作、开展竞赛、贯彻标准、国际交流、人才挖掘等在内的19项信息安全人才培养措施。俄罗斯在2016年12月发布的新《信息安全学说》中,明确将“发挥信息安全保障和应用信息技术领域人员的潜力”作为一项重点任务。

2.2 相关举措

2.2.1 机制建立

在《国家网络安全教育计划(NICE)网络安全劳动力框架》的指导下,美国政府、院校、企业等机构联合开展人才培训项目,通过优化工作机制、拓展资质认证、加大资金投入等方面不断完善网络安全人才队伍建设。一是建立“首席信息安全官”制度,首创“旋转门”机制以及通过NICE计划设立“学徒制工作组”。二是创新开展各项专业技能大赛及专项行动。如美国能源部依托7所国家实验室平台举办CyberForce大学生工业信息安全竞赛;美国国防部采用“众包”模式开展“黑客攻击五角大楼”漏洞奖励试点活动;以及网络安全人才行政令中明确提出,2019年年底将举行年度“总统杯网络安全竞赛”人才挖掘项目。三是设立人才开发基地。工业控制系统网络应急响应小组(ICS-CERT)在美国爱达荷州针对工业控制系统网络安全实践项目配置了专门的人才实训基地。四是建立多样化、动态化网络安全人才库。包括返聘退休的网络安全资深专家,募集并录用具有网络安全工作经验的退伍军人、女性及少数族裔人群。

2.2.2 培训认证

美国政府拨款支持工业控制系统网络应急响应小组(ICS-CERT)开展工控安全培训认证项目,着力打造工控安全保障国家队。培训面向工控安全从业人员,包括与信息技术(IT)和过程控制网络操作技术(OT)相关的控制系统成员,以及关键信息基础设施运营者及管理者、关键信息基础设施组件及软件开发人员等。培训模式融合了线上及线下及基地实训,所有课程免费提供。2014年推出涵盖11类课程的VLP(线上培训认证),每年线上培训注册人数达30000余名,针对技术能力要求较高的工业控制系统网络安全实训课程,每月举行一次40~50名人员规模的培训。

俄罗斯知名网络安全提供商卡巴斯基实验室拥有成熟的工业网络安全培训模式,面向 IT/OT及安全专家、工业控制系统技术人员开展工业网络安全知识专题培训。重点从工业控制系统(ICS)网络安全的基本知识、工业系统鉴识分析、渗透测试、数字取证、应急响应和实操练习等几大模块进行培训。通过现场教学及实操演练,使学员具备应急响应与风险鉴识能力,可以从事件触发到收集数据、检查及分析,最终在工业环境中形成处理报告。最近一次针对物联网漏洞利用的培训已于2019年4月6~8日在新加坡举办,对物联网设备安全检测及评估进行教学。

以色列知名网络安全产品供应商Cyberbit公司面向以色列国防军网络院、以色列阿里埃勒大学、巴尔的摩Cyber Range学院(马里兰州,美国)、美国瑞金大学、ST Electronics培训中心(新加坡)等机构,利用其网络攻防实训平台、网络空间防御仿真中心开展了系列网络安全培训。

3、国内工业信息安全人才培养现状

我国党和政府高度重视网络安全人才培养,国家就网络安全人才发展做出一系列重要部署,推出多项有力措施。网络安全学科专业设置、院系建设、学历教育方面取得突破性进展;网络安全在职培训和专业资质测评快速推进;网络安全攻防演练和技能竞赛蓬勃发展;多地规划建设网络安全人才和创新基地,出台人才培养和引进政策;重要行业严格落实网络安全责任制和人员合规要求,加快实施安全人员培训和管理制度;相关部门深入开展宣传教育,全社会网络安全意识得到显著提升。

3.1 政策导向

党中央、国务院高度重视工业信息安全人才培养工作,以工业信息安全人才培养导向的相关政策文件相继推出。2016年5月,《国务院关于深化制造业与互联网融合发展的指导意见》中提出健全融合发展人才培养体系,加强高层次应用型专门人才培养,积极开展企业新型学徒制试点,结合国家专业技术人才知识更新工程、企业经营管理人才素质提升工程、高技能人才振兴计划等工作,加强融合发展职业人才和高端人才培养。2017年11月,《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》中指出,加强人才队伍建设,引进和培养相结合,不断壮大工业互联网人才队伍。2017年12月,工业和信息化部信息化和软件服务业司发布《工业控制系统信息安全行动计划(2018-2020年)》的通知,明确提出鼓励工业企业加强与院校合作,联合培养工控安全专业人才。2019年8月,工业和信息化部网络安全管理局发布《关于印发加强工业互联网安全工作的指导意见的通知》,文件中提出要深入推进产教融合、校企合作,建立安全人才联合培养机制,培养复合型、创新型高技能人才。要求通过开展网络安全演练、安全竞赛等,培养选拔不同层次的工业互联网安全从业人员。

3.2 相关举措

3.2.1 培训认证

2018年,在工业和信息化部信息化和软件服务业司的指导下,国家工业信息安全发展研究中心在全国范围在四大片区组织开展《工业控制系统信息安全行动计划(2018-2020)》宣贯及工业信息安全培训工作。中国信息安全测评中心联合杭州安恒信息技术股份有限公司开办《国家注册信息安全专业人员-云安全工程师(CISP-CSE)》、《国家注册信息安全专业人员-大数据安全分析师(CISP-BDSA)》以及《国家注册信息安全专业人员-工业控制系统安全工程师(CISP-ICSSE)》认证培训班。中国网络安全审查技术与认证中心联合多家培训机构开展了CISAW信息安全保障人员认证专业级(工控网络安全方向)培训认证工作。各高校及企业也纷纷面向工业控制系统信息安全、工业互联网安全、云安全、大数据安全开展了系列专业培训。

3.2.2 工业信息安全大赛

近年来,我国科研机构、行业及企业纷纷举办形式多样的工业信息安全竞赛。典型的有工业信息安全技能大赛,以虚拟靶场系统为基础,注重实操训练,设置了智能制造、城市交通、风力发电、燃气管道、智能楼宇、水处理、化工、采油、输配电、轨道交通等十大真实工业场景设置仿真攻击赛项。另有聚焦工业互联网安全、网络安全等各类赛事,从战术、思路和应急响应能力等全方位对选手进行考核,挖掘和选拔工业信息安全专业人才,推动行业领域技术和经验共享,提升技术人员的实操能力。

3.3 主要问题

由于我国网络安全起步较晚、发展较快,根据《中国信息安全从业人员现状调研报告(2018-2019年度)》反映,当前我国信息安全人才队伍建设还存在一些突出问题。一是信息安全从业人员全方位短缺、规模总量严重不足。据有关数据显示,我国网络安全人才缺口逾70万,工业信息安全从业人员更是极度匮乏,远不能满足行业发展需求。二是信息安全职业化尚处于初级阶段、非专业或无证上岗现象普遍。现持有各类信息安全资质证书的网络安全专业人数所占比例不足40%。网络安全从业者在安全运维、应急响应、分析设计岗位中有一定占比,但在战略研究、执法监管等岗位较为稀缺。三是信息安全人才培养机制还不够完善。人才资源匮乏是安全保障水平不高和导致信息安全事件的最重要原因。

4、对策建议

网络空间的竞争,归根结底是人才竞争。新一轮科技革命和产业升级进程中,信息技术正在从根本上改变人们生产生活的方式,重塑经济社会发展和国家安全的新格局,信息安全人才将在这一转型发展过程中发挥关键作用。在全球工业信息安全人才匮乏的大背景下,我国要加快培养工业信息安全专业领域人才队伍。高度重视国家工业发展过程中信息安全人才的重要战略地位,充分认识工业信息安全人才培养的重要性和紧迫性,利用我国大国优势和制度优势,加大加快培养适应国家社会经济发展和工业领域新技术革命变革需要的信息安全人才队伍,在日益激烈的国际竞争中赢得主动。

4.1 建立体系化的工业信息安全人才培养发展规划

在国家《关于加强网络安全学科建设和人才培养的意见》统一部署下,从提高信息时代生产力的高度,以建设具有全球竞争力的工业信息安全人才队伍为目标,对国家工业信息安全人才发展进行系统性的超前规划部署,制定培养工业信息安全人才建设规划及领军人才建设计划,建立指导工业信息安全学科建设、人才培养等方面的细则,深入研究工业信息安全人员类别、专业领域和工作角色,不断完善网络安全人才培养政策环境,为工业信息安全专业人才队伍建设夯实基础、提供土壤。深入开展工业信息安全人才发展基础理论和前沿实践研究,探寻工业信息安全人才成长规律,建立科学的工业信息安全从业人员测评标准,为工业信息安全人才职业化培养提供依据,为制定工业信息安全人员教育培训目标、课程体系提供理论支撑。

4.2 构建工业信息安全国民教育和持续教育体系

依托国民教育资源和社会教育资源,增强工业信息安全教育培训的针对性、促进工业信息安全人才供需匹配、提升工业信息安全职业吸引力。既要利用好成熟的职业培训体系,快速培养工业信息安全急需人才;也要在基础教育、高等教育和职业院校中深入推进工业信息安全教育,培养工业信息安全后备人才;全面优化教育培训的内容、类别、层次结构和行业布局,着力解决当前工业信息安全人才总量不足的突出问题。加强工业信息安全意识提升、基础教育、高等教育、职业教育、持续教育的总体指导,为工业信息安全从业人员提供全职业周期的信息安全知识、技能的系统培养学习。

4.3 建立科学的工业信息安全人才培养机制

加强工业信息安全人才培养管理体系建设,推动人才流动配置、培养开发、考核评价和激励保障等工作机制改革。从咨询规划、评估分析、工程实施、运行维护、应急响应等全流程培养、考核、选拔专业的安全保障技术人才,建立完善工业信息安全人才培训认证体系和工业信息安全专业人才资质认定工作,为工业信息安全人才评价考核、选拔任用、职业晋阶提供参考依据。结合行业领域特点推进信息安全教育培训供给侧改革,加强专业资质测评在人才队伍建设中的引领和导向作用,创新人才培养模式,深化产教融合,贯通后备人才到从业人员的通道,推动各类学校、专业培训机构和企业通过校园教育、现代学徒制培训、任职培训、在职培训、岗位练兵、攻防竞赛、技术比武等方式,推动工业信息安全人才培养的高质量发展。形成主管领导部门、产业界、学术界、科研院所、用人单位等相关各方的协调配合,资源共享,流动畅通的人才发展良好生态。拓宽人才选拔渠道,吸引国外专业人才、海外留学人才回国就业创业,促进国际间人才交流合作。

作者简介

程 宇,工程师,现就职于国家工业信息安全发展研究中心,主要研究方向为工业信息安全人才体系建设、工业信息安全产业研究、网络安全战略规划及宣传教育等。

来源:本文摘自《工业控制系统信息安全专刊(第六辑)》

声明:本文来自工业安全产业联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。