官方微信
官方微信
國內(nèi)外工業(yè)信息安全人才培養(yǎng)現(xiàn)狀淺析
發(fā)布時間:2019-12-25 09:55:50
目前,工業(yè)信息安全形勢日趨嚴(yán)峻,引起世界各國高度重視,加緊工業(yè)信息安全領(lǐng)域布局,加快工業(yè)信息安全專業(yè)人才培養(yǎng)成為國家戰(zhàn)略選擇。美國總統(tǒng)特朗普于2019年5月2日簽署名為《網(wǎng)絡(luò)安全人才行政令》的總統(tǒng)行政令,著力部署國家網(wǎng)絡(luò)安全人才隊伍建設(shè)。我國是發(fā)展中大國,工業(yè)是我國經(jīng)濟發(fā)展的命脈,工業(yè)信息安全直接關(guān)系國家民族的偉大復(fù)興,工業(yè)信息安全人才培養(yǎng)是重中之重、刻不容緩。本文在分析國外部分發(fā)達國家工業(yè)信息安全人才培養(yǎng)現(xiàn)狀和政策做法的基礎(chǔ)上,研究了我國相關(guān)情況,并對我國工業(yè)信息安全人才培養(yǎng)提出了建設(shè)性意見。
摘要
目前,工業(yè)信息安全形勢日趨嚴(yán)峻,引起世界各國高度重視,加緊工業(yè)信息安全領(lǐng)域布局,加快工業(yè)信息安全專業(yè)人才培養(yǎng)成為國家戰(zhàn)略選擇。美國總統(tǒng)特朗普于2019年5月2日簽署名為《網(wǎng)絡(luò)安全人才行政令》的總統(tǒng)行政令,著力部署國家網(wǎng)絡(luò)安全人才隊伍建設(shè)。我國是發(fā)展中大國,工業(yè)是我國經(jīng)濟發(fā)展的命脈,工業(yè)信息安全直接關(guān)系國家民族的偉大復(fù)興,工業(yè)信息安全人才培養(yǎng)是重中之重、刻不容緩。本文在分析國外部分發(fā)達國家工業(yè)信息安全人才培養(yǎng)現(xiàn)狀和政策做法的基礎(chǔ)上,研究了我國相關(guān)情況,并對我國工業(yè)信息安全人才培養(yǎng)提出了建設(shè)性意見。
關(guān)鍵詞:工業(yè)信息安全;網(wǎng)絡(luò)安全;工業(yè)信息安全專業(yè)人才培養(yǎng)
1 前言
工業(yè)信息安全泛指工業(yè)系統(tǒng)相關(guān)生產(chǎn)、管理、運行過程中的信息安全,涉及工業(yè)領(lǐng)域各個環(huán)節(jié),所涉及的運行平臺包括工業(yè)控制系統(tǒng)、工業(yè)互聯(lián)網(wǎng)、工業(yè)大數(shù)據(jù)、工業(yè)云等。當(dāng)前,以5G、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)和人工智能為代表的新一代信息技術(shù)與制造技術(shù)加速融合,推動制造業(yè)向數(shù)字化、網(wǎng)絡(luò)化、智能化、服務(wù)化的方向發(fā)展,成為推動經(jīng)濟轉(zhuǎn)型升級、新舊動能接續(xù)轉(zhuǎn)換的強勁引擎。伴隨著物理信息系統(tǒng)、工業(yè)互聯(lián)網(wǎng)的發(fā)展,工業(yè)信息安全面臨新課題、新風(fēng)險、新挑戰(zhàn)。面對日趨嚴(yán)峻的工業(yè)信息安全形勢,世界各國都高度重視工業(yè)信息安全問題,加緊工業(yè)信息安全領(lǐng)域布局,強化工業(yè)信息安全人才隊伍建設(shè)迫在眉睫。
2 國外工業(yè)信息安全人才培養(yǎng)現(xiàn)狀
據(jù)國際信息系統(tǒng)安全認(rèn)證聯(lián)盟(ISC)在2018年發(fā)布的網(wǎng)絡(luò)安全行業(yè)調(diào)查報告反映,全球網(wǎng)絡(luò)安全人才缺口超過300萬,工業(yè)信息安全人才則更為匱乏。美國一直將高技能的網(wǎng)絡(luò)安全人才作為保護國家安全的戰(zhàn)略資源。在2017年5月發(fā)布的總統(tǒng)行政令13800《加強聯(lián)邦網(wǎng)絡(luò)和關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全》和2018年9月頒布的《國家網(wǎng)絡(luò)戰(zhàn)略》中,均提出優(yōu)秀的網(wǎng)絡(luò)安全人才可以促進美國國家繁榮及維護國家和平。
2.1 政策導(dǎo)向
2019年5月2日,美國總統(tǒng)特朗普簽署了《Executive Order on America’s CybersecurityWorkforce》(網(wǎng)絡(luò)安全人才行政令)的總統(tǒng)行政令。行政令指出,美國目前有超過30萬個網(wǎng)絡(luò)安全職位缺口。政策層面,美國政府將通過大力提高網(wǎng)絡(luò)安全人才流動性、著力提升網(wǎng)絡(luò)安全人才專業(yè)技術(shù)能力、支持開發(fā)網(wǎng)絡(luò)安全人才建設(shè)平臺工具等方向鼓勵和促進網(wǎng)絡(luò)安全人才隊伍建設(shè)。行政令中顯著強調(diào),面向網(wǎng)絡(luò)安全優(yōu)秀人才和團隊要加大獎勵力度,設(shè)立總統(tǒng)網(wǎng)絡(luò)安全教育獎,表彰中小學(xué)網(wǎng)絡(luò)安全教育工作者。
2016年德國發(fā)布新的《網(wǎng)絡(luò)安全戰(zhàn)略》明確將“培養(yǎng)聯(lián)邦政府的網(wǎng)絡(luò)安全人才”作為重要內(nèi)容。日本于2014年5月制定的《新信息安全人才培養(yǎng)計劃》,明確了包括產(chǎn)學(xué)合作、開展競賽、貫徹標(biāo)準(zhǔn)、國際交流、人才挖掘等在內(nèi)的19項信息安全人才培養(yǎng)措施。俄羅斯在2016年12月發(fā)布的新《信息安全學(xué)說》中,明確將“發(fā)揮信息安全保障和應(yīng)用信息技術(shù)領(lǐng)域人員的潛力”作為一項重點任務(wù)。
2.2 相關(guān)舉措
2.2.1 機制建立
在《國家網(wǎng)絡(luò)安全教育計劃(NICE)網(wǎng)絡(luò)安全勞動力框架》的指導(dǎo)下,美國政府、院校、企業(yè)等機構(gòu)聯(lián)合開展人才培訓(xùn)項目,通過優(yōu)化工作機制、拓展資質(zhì)認(rèn)證、加大資金投入等方面不斷完善網(wǎng)絡(luò)安全人才隊伍建設(shè)。一是建立“首席信息安全官”制度,首創(chuàng)“旋轉(zhuǎn)門”機制以及通過NICE計劃設(shè)立“學(xué)徒制工作組”。二是創(chuàng)新開展各項專業(yè)技能大賽及專項行動。如美國能源部依托7所國家實驗室平臺舉辦CyberForce大學(xué)生工業(yè)信息安全競賽;美國國防部采用“眾包”模式開展“黑客攻擊五角大樓”漏洞獎勵試點活動;以及網(wǎng)絡(luò)安全人才行政令中明確提出,2019年年底將舉行年度“總統(tǒng)杯網(wǎng)絡(luò)安全競賽”人才挖掘項目。三是設(shè)立人才開發(fā)基地。工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組(ICS-CERT)在美國愛達荷州針對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全實踐項目配置了專門的人才實訓(xùn)基地。四是建立多樣化、動態(tài)化網(wǎng)絡(luò)安全人才庫。包括返聘退休的網(wǎng)絡(luò)安全資深專家,募集并錄用具有網(wǎng)絡(luò)安全工作經(jīng)驗的退伍軍人、女性及少數(shù)族裔人群。
2.2.2 培訓(xùn)認(rèn)證
美國政府撥款支持工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組(ICS-CERT)開展工控安全培訓(xùn)認(rèn)證項目,著力打造工控安全保障國家隊。培訓(xùn)面向工控安全從業(yè)人員,包括與信息技術(shù)(IT)和過程控制網(wǎng)絡(luò)操作技術(shù)(OT)相關(guān)的控制系統(tǒng)成員,以及關(guān)鍵信息基礎(chǔ)設(shè)施運營者及管理者、關(guān)鍵信息基礎(chǔ)設(shè)施組件及軟件開發(fā)人員等。培訓(xùn)模式融合了線上及線下及基地實訓(xùn),所有課程免費提供。2014年推出涵蓋11類課程的VLP(線上培訓(xùn)認(rèn)證),每年線上培訓(xùn)注冊人數(shù)達30000余名,針對技術(shù)能力要求較高的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全實訓(xùn)課程,每月舉行一次40~50名人員規(guī)模的培訓(xùn)。
俄羅斯知名網(wǎng)絡(luò)安全提供商卡巴斯基實驗室擁有成熟的工業(yè)網(wǎng)絡(luò)安全培訓(xùn)模式,面向 IT/OT及安全專家、工業(yè)控制系統(tǒng)技術(shù)人員開展工業(yè)網(wǎng)絡(luò)安全知識專題培訓(xùn)。重點從工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡(luò)安全的基本知識、工業(yè)系統(tǒng)鑒識分析、滲透測試、數(shù)字取證、應(yīng)急響應(yīng)和實操練習(xí)等幾大模塊進行培訓(xùn)。通過現(xiàn)場教學(xué)及實操演練,使學(xué)員具備應(yīng)急響應(yīng)與風(fēng)險鑒識能力,可以從事件觸發(fā)到收集數(shù)據(jù)、檢查及分析,最終在工業(yè)環(huán)境中形成處理報告。最近一次針對物聯(lián)網(wǎng)漏洞利用的培訓(xùn)已于2019年4月6~8日在新加坡舉辦,對物聯(lián)網(wǎng)設(shè)備安全檢測及評估進行教學(xué)。
以色列知名網(wǎng)絡(luò)安全產(chǎn)品供應(yīng)商Cyberbit公司面向以色列國防軍網(wǎng)絡(luò)院、以色列阿里埃勒大學(xué)、巴爾的摩Cyber Range學(xué)院(馬里蘭州,美國)、美國瑞金大學(xué)、ST Electronics培訓(xùn)中心(新加坡)等機構(gòu),利用其網(wǎng)絡(luò)攻防實訓(xùn)平臺、網(wǎng)絡(luò)空間防御仿真中心開展了系列網(wǎng)絡(luò)安全培訓(xùn)。
3 國內(nèi)工業(yè)信息安全人才培養(yǎng)現(xiàn)狀
我國黨和政府高度重視網(wǎng)絡(luò)安全人才培養(yǎng),國家就網(wǎng)絡(luò)安全人才發(fā)展做出一系列重要部署,推出多項有力措施。網(wǎng)絡(luò)安全學(xué)科專業(yè)設(shè)置、院系建設(shè)、學(xué)歷教育方面取得突破性進展;網(wǎng)絡(luò)安全在職培訓(xùn)和專業(yè)資質(zhì)測評快速推進;網(wǎng)絡(luò)安全攻防演練和技能競賽蓬勃發(fā)展;多地規(guī)劃建設(shè)網(wǎng)絡(luò)安全人才和創(chuàng)新基地,出臺人才培養(yǎng)和引進政策;重要行業(yè)嚴(yán)格落實網(wǎng)絡(luò)安全責(zé)任制和人員合規(guī)要求,加快實施安全人員培訓(xùn)和管理制度;相關(guān)部門深入開展宣傳教育,全社會網(wǎng)絡(luò)安全意識得到顯著提升。
3.1 政策導(dǎo)向
黨中央、國務(wù)院高度重視工業(yè)信息安全人才培養(yǎng)工作,以工業(yè)信息安全人才培養(yǎng)導(dǎo)向的相關(guān)政策文件相繼推出。2016年5月,《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》中提出健全融合發(fā)展人才培養(yǎng)體系,加強高層次應(yīng)用型專門人才培養(yǎng),積極開展企業(yè)新型學(xué)徒制試點,結(jié)合國家專業(yè)技術(shù)人才知識更新工程、企業(yè)經(jīng)營管理人才素質(zhì)提升工程、高技能人才振興計劃等工作,加強融合發(fā)展職業(yè)人才和高端人才培養(yǎng)。2017年11月,《國務(wù)院關(guān)于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》中指出,加強人才隊伍建設(shè),引進和培養(yǎng)相結(jié)合,不斷壯大工業(yè)互聯(lián)網(wǎng)人才隊伍。2017年12月,工業(yè)和信息化部信息化和軟件服務(wù)業(yè)司發(fā)布《工業(yè)控制系統(tǒng)信息安全行動計劃(2018-2020年)》的通知,明確提出鼓勵工業(yè)企業(yè)加強與院校合作,聯(lián)合培養(yǎng)工控安全專業(yè)人才。2019年8月,工業(yè)和信息化部網(wǎng)絡(luò)安全管理局發(fā)布《關(guān)于印發(fā)加強工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見的通知》,文件中提出要深入推進產(chǎn)教融合、校企合作,建立安全人才聯(lián)合培養(yǎng)機制,培養(yǎng)復(fù)合型、創(chuàng)新型高技能人才。要求通過開展網(wǎng)絡(luò)安全演練、安全競賽等,培養(yǎng)選拔不同層次的工業(yè)互聯(lián)網(wǎng)安全從業(yè)人員。
3.2 相關(guān)舉措
3.2.1 培訓(xùn)認(rèn)證
2018年,在工業(yè)和信息化部信息化和軟件服務(wù)業(yè)司的指導(dǎo)下,國家工業(yè)信息安全發(fā)展研究中心在全國范圍在四大片區(qū)組織開展《工業(yè)控制系統(tǒng)信息安全行動計劃(2018-2020)》宣貫及工業(yè)信息安全培訓(xùn)工作。中國信息安全測評中心聯(lián)合杭州安恒信息技術(shù)股份有限公司開辦《國家注冊信息安全專業(yè)人員-云安全工程師(CISP-CSE)》、《國家注冊信息安全專業(yè)人員-大數(shù)據(jù)安全分析師(CISP-BDSA)》以及《國家注冊信息安全專業(yè)人員-工業(yè)控制系統(tǒng)安全工程師(CISP-ICSSE)》認(rèn)證培訓(xùn)班。中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心聯(lián)合多家培訓(xùn)機構(gòu)開展了CISAW信息安全保障人員認(rèn)證專業(yè)級(工控網(wǎng)絡(luò)安全方向)培訓(xùn)認(rèn)證工作。各高校及企業(yè)也紛紛面向工業(yè)控制系統(tǒng)信息安全、工業(yè)互聯(lián)網(wǎng)安全、云安全、大數(shù)據(jù)安全開展了系列專業(yè)培訓(xùn)。
3.2.2 工業(yè)信息安全大賽
近年來,我國科研機構(gòu)、行業(yè)及企業(yè)紛紛舉辦形式多樣的工業(yè)信息安全競賽。典型的有工業(yè)信息安全技能大賽,以虛擬靶場系統(tǒng)為基礎(chǔ),注重實操訓(xùn)練,設(shè)置了智能制造、城市交通、風(fēng)力發(fā)電、燃?xì)夤艿馈⒅悄軜怯睢⑺幚怼⒒ぁ⒉捎汀⑤斉潆姟④壍澜煌ǖ仁笳鎸嵐I(yè)場景設(shè)置仿真攻擊賽項。另有聚焦工業(yè)互聯(lián)網(wǎng)安全、網(wǎng)絡(luò)安全等各類賽事,從戰(zhàn)術(shù)、思路和應(yīng)急響應(yīng)能力等全方位對選手進行考核,挖掘和選拔工業(yè)信息安全專業(yè)人才,推動行業(yè)領(lǐng)域技術(shù)和經(jīng)驗共享,提升技術(shù)人員的實操能力。
3.3 主要問題
由于我國網(wǎng)絡(luò)安全起步較晚、發(fā)展較快,根據(jù)《中國信息安全從業(yè)人員現(xiàn)狀調(diào)研報告(2018-2019年度)》反映,當(dāng)前我國信息安全人才隊伍建設(shè)還存在一些突出問題。一是信息安全從業(yè)人員全方位短缺、規(guī)模總量嚴(yán)重不足。據(jù)有關(guān)數(shù)據(jù)顯示,我國網(wǎng)絡(luò)安全人才缺口逾70萬,工業(yè)信息安全從業(yè)人員更是極度匱乏,遠(yuǎn)不能滿足行業(yè)發(fā)展需求。二是信息安全職業(yè)化尚處于初級階段、非專業(yè)或無證上崗現(xiàn)象普遍。現(xiàn)持有各類信息安全資質(zhì)證書的網(wǎng)絡(luò)安全專業(yè)人數(shù)所占比例不足40%。網(wǎng)絡(luò)安全從業(yè)者在安全運維、應(yīng)急響應(yīng)、分析設(shè)計崗位中有一定占比,但在戰(zhàn)略研究、執(zhí)法監(jiān)管等崗位較為稀缺。三是信息安全人才培養(yǎng)機制還不夠完善。人才資源匱乏是安全保障水平不高和導(dǎo)致信息安全事件的最重要原因。
4 對策建議
網(wǎng)絡(luò)空間的競爭,歸根結(jié)底是人才競爭。新一輪科技革命和產(chǎn)業(yè)升級進程中,信息技術(shù)正在從根本上改變?nèi)藗兩a(chǎn)生活的方式,重塑經(jīng)濟社會發(fā)展和國家安全的新格局,信息安全人才將在這一轉(zhuǎn)型發(fā)展過程中發(fā)揮關(guān)鍵作用。在全球工業(yè)信息安全人才匱乏的大背景下,我國要加快培養(yǎng)工業(yè)信息安全專業(yè)領(lǐng)域人才隊伍。高度重視國家工業(yè)發(fā)展過程中信息安全人才的重要戰(zhàn)略地位,充分認(rèn)識工業(yè)信息安全人才培養(yǎng)的重要性和緊迫性,利用我國大國優(yōu)勢和制度優(yōu)勢,加大加快培養(yǎng)適應(yīng)國家社會經(jīng)濟發(fā)展和工業(yè)領(lǐng)域新技術(shù)革命變革需要的信息安全人才隊伍,在日益激烈的國際競爭中贏得主動。
4.1 建立體系化的工業(yè)信息安全人才培養(yǎng)發(fā)展規(guī)劃
在國家《關(guān)于加強網(wǎng)絡(luò)安全學(xué)科建設(shè)和人才培養(yǎng)的意見》統(tǒng)一部署下,從提高信息時代生產(chǎn)力的高度,以建設(shè)具有全球競爭力的工業(yè)信息安全人才隊伍為目標(biāo),對國家工業(yè)信息安全人才發(fā)展進行系統(tǒng)性的超前規(guī)劃部署,制定培養(yǎng)工業(yè)信息安全人才建設(shè)規(guī)劃及領(lǐng)軍人才建設(shè)計劃,建立指導(dǎo)工業(yè)信息安全學(xué)科建設(shè)、人才培養(yǎng)等方面的細(xì)則,深入研究工業(yè)信息安全人員類別、專業(yè)領(lǐng)域和工作角色,不斷完善網(wǎng)絡(luò)安全人才培養(yǎng)政策環(huán)境,為工業(yè)信息安全專業(yè)人才隊伍建設(shè)夯實基礎(chǔ)、提供土壤。深入開展工業(yè)信息安全人才發(fā)展基礎(chǔ)理論和前沿實踐研究,探尋工業(yè)信息安全人才成長規(guī)律,建立科學(xué)的工業(yè)信息安全從業(yè)人員測評標(biāo)準(zhǔn),為工業(yè)信息安全人才職業(yè)化培養(yǎng)提供依據(jù),為制定工業(yè)信息安全人員教育培訓(xùn)目標(biāo)、課程體系提供理論支撐。
4.2 構(gòu)建工業(yè)信息安全國民教育和持續(xù)教育體系
依托國民教育資源和社會教育資源,增強工業(yè)信息安全教育培訓(xùn)的針對性、促進工業(yè)信息安全人才供需匹配、提升工業(yè)信息安全職業(yè)吸引力。既要利用好成熟的職業(yè)培訓(xùn)體系,快速培養(yǎng)工業(yè)信息安全急需人才;也要在基礎(chǔ)教育、高等教育和職業(yè)院校中深入推進工業(yè)信息安全教育,培養(yǎng)工業(yè)信息安全后備人才;全面優(yōu)化教育培訓(xùn)的內(nèi)容、類別、層次結(jié)構(gòu)和行業(yè)布局,著力解決當(dāng)前工業(yè)信息安全人才總量不足的突出問題。加強工業(yè)信息安全意識提升、基礎(chǔ)教育、高等教育、職業(yè)教育、持續(xù)教育的總體指導(dǎo),為工業(yè)信息安全從業(yè)人員提供全職業(yè)周期的信息安全知識、技能的系統(tǒng)培養(yǎng)學(xué)習(xí)。
4.3 建立科學(xué)的工業(yè)信息安全人才培養(yǎng)機制
加強工業(yè)信息安全人才培養(yǎng)管理體系建設(shè),推動人才流動配置、培養(yǎng)開發(fā)、考核評價和激勵保障等工作機制改革。從咨詢規(guī)劃、評估分析、工程實施、運行維護、應(yīng)急響應(yīng)等全流程培養(yǎng)、考核、選拔專業(yè)的安全保障技術(shù)人才,建立完善工業(yè)信息安全人才培訓(xùn)認(rèn)證體系和工業(yè)信息安全專業(yè)人才資質(zhì)認(rèn)定工作,為工業(yè)信息安全人才評價考核、選拔任用、職業(yè)晉階提供參考依據(jù)。結(jié)合行業(yè)領(lǐng)域特點推進信息安全教育培訓(xùn)供給側(cè)改革,加強專業(yè)資質(zhì)測評在人才隊伍建設(shè)中的引領(lǐng)和導(dǎo)向作用,創(chuàng)新人才培養(yǎng)模式,深化產(chǎn)教融合,貫通后備人才到從業(yè)人員的通道,推動各類學(xué)校、專業(yè)培訓(xùn)機構(gòu)和企業(yè)通過校園教育、現(xiàn)代學(xué)徒制培訓(xùn)、任職培訓(xùn)、在職培訓(xùn)、崗位練兵、攻防競賽、技術(shù)比武等方式,推動工業(yè)信息安全人才培養(yǎng)的高質(zhì)量發(fā)展。形成主管領(lǐng)導(dǎo)部門、產(chǎn)業(yè)界、學(xué)術(shù)界、科研院所、用人單位等相關(guān)各方的協(xié)調(diào)配合,資源共享,流動暢通的人才發(fā)展良好生態(tài)。拓寬人才選拔渠道,吸引國外專業(yè)人才、海外留學(xué)人才回國就業(yè)創(chuàng)業(yè),促進國際間人才交流合作。
