工業(yè)信息安全應急人才培養(yǎng)課程體系研究

楊杰

（國家工業(yè)信息安全發(fā)展研究中心，北京 100040）

0 引言

近年來，工業(yè)信息安全風險持續(xù)加劇，越來越多工業(yè)控制系統(tǒng)設(shè)備暴露于互聯(lián)網(wǎng)，裝備制造、交通、能源等領(lǐng)域頻曝工控安全高危漏洞，勒索攻擊、定向攻擊、僵尸網(wǎng)絡(luò)攻擊等攻擊方式日益盛行，工業(yè)互聯(lián)網(wǎng)、工業(yè)云、工業(yè)大數(shù)據(jù)、等新技術(shù)新應用安全風險的防護手段仍很缺乏，重大工業(yè)信息安全事件層出不窮，工業(yè)信息安全形勢十分嚴峻，加強工業(yè)信息安全應急保障體系建設(shè)刻不容緩。

工業(yè)信息安全風險加劇給應急管理工作帶來新挑戰(zhàn)。2021年5月，美國最大燃油管道運營商遭遇勒索攻擊，導致整個管道系統(tǒng)被迫關(guān)停，美國政府因此宣布進入國家緊急狀態(tài)，給工業(yè)信息安全應急管理工作敲響了警鐘。

網(wǎng)絡(luò)空間安全在國家安全與國民經(jīng)濟發(fā)展中占據(jù)著重要地位，而網(wǎng)絡(luò)安全人才培養(yǎng)則是國家信息安全保障體系建設(shè)的基礎(chǔ)和先決條件[1]。我國網(wǎng)絡(luò)安全人才嚴重不足，工控網(wǎng)絡(luò)安全的技術(shù)人才更是缺乏，供需矛盾突出[2]。2016年，中央網(wǎng)信辦等六部門共同印發(fā)《關(guān)于加強網(wǎng)絡(luò)安全學科建設(shè)和人才培養(yǎng)的意見》，從網(wǎng)絡(luò)安全學科專業(yè)和院系建設(shè)、人才培養(yǎng)機制、安全教材、師資隊伍、高校企業(yè)合作育人、在職培訓、全民網(wǎng)絡(luò)安全意識、人才培養(yǎng)配套等方面，加強網(wǎng)絡(luò)安全人才培養(yǎng)工作。

目前，我國網(wǎng)絡(luò)空間安全人才培養(yǎng)支撐體系建設(shè)不健全，課程設(shè)置有待改進[3]，與實際社會需求存在差距，實踐動手能力培養(yǎng)未達預期等問題[4]。在工業(yè)信息安全人才培養(yǎng)上，尚無專門針對工業(yè)信息應急管理的課程體系。隨著工業(yè)互聯(lián)網(wǎng)、大數(shù)據(jù)、云計算等新技術(shù)在工業(yè)領(lǐng)域的快速發(fā)展，對工業(yè)信息安全應急管理提出了更多更高的要求，亟待進一步完善工業(yè)信息安全應急管理課程體系，強化工業(yè)信息安全應急人才培養(yǎng)。

1 工業(yè)信息安全應急管理課程體系研究現(xiàn)狀

目前，國內(nèi)尚無專門為工業(yè)信息安全應急人才培養(yǎng)的而設(shè)計的課程體系，僅有傳統(tǒng)網(wǎng)絡(luò)安全應急管理相關(guān)課程體系，或者工業(yè)信息安全培訓課程體系。如中國信息安全測評中心組織開展的國家注冊應急響應工程師（CISP-IRE）培訓課程體系，中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心組織開展的網(wǎng)絡(luò)安全應急響應技術(shù)工程師（CCRC-CSERE），中國電子信息產(chǎn)業(yè)集團有限公司第六研究所組織開展的工控信息安全培訓等。

1.1 工業(yè)信息安全應急相關(guān)課程體系

（1）國家注冊應急響應工程師課程體系。國家注冊應急響應工程師課程主要面向主要從事信息安全技術(shù)領(lǐng)域應急響應工作的相關(guān)人員。通過培訓可使學員具備應急響應基礎(chǔ)、事件監(jiān)測、事件分析和處置等基本知識和能力。課程包括Windows應急、日志分析、Linux應急、應急響應事件監(jiān)測、應急響應共五個模塊。其中，Windows應急和Linux應急兩個模塊主要課程包括進程分析、后門查殺、工具排查、文件排查、應急溯源等內(nèi)容；日志分析包括Web服務器、中間件服務器、數(shù)據(jù)庫服務器、操作系統(tǒng)、安全產(chǎn)品等設(shè)備的日志分析；應急響應事件監(jiān)測包括威脅情報運營和安全監(jiān)控；應急響應包括響應分析和處置流程、應急響應事件分類。

（2）網(wǎng)絡(luò)安全應急響應技術(shù)工程師課程體系。網(wǎng)絡(luò)安全應急響應技術(shù)工程師課程體系基于網(wǎng)絡(luò)安全保障知識、技術(shù)和能力需求，結(jié)合最新發(fā)展態(tài)勢、具體應急響應案例，設(shè)計的面向網(wǎng)絡(luò)安全應急響應工程師的培訓課程體系。課程內(nèi)容主要包括信息安全應急響應技術(shù)概述、應急響應技術(shù)演變、技術(shù)體系、安全事件分類分級、攻擊入侵原理、應急流程、應急演練等內(nèi)容。

（3）工控信息安全培訓課程體系。工控信息安全培訓課程體系是專門針對工業(yè)控制系統(tǒng)安全培訓設(shè)計的課程體系，分為初級、中級、高級三個級別。旨在通過培訓提高相關(guān)崗位人員的工控安全意識、知識和技能水平。主要課程內(nèi)容包括工控信息安全由來，工控系統(tǒng)特性，工控網(wǎng)絡(luò)安全策略，國內(nèi)外政策形勢與標準規(guī)范等。

1.2 工業(yè)信息安全課程體系亟待完善

隨著工業(yè)數(shù)字化轉(zhuǎn)型進一步加速，工業(yè)互聯(lián)網(wǎng)、大數(shù)據(jù)等新技術(shù)高速發(fā)展，對工業(yè)信息安全應急提出了更高的要求。網(wǎng)絡(luò)空間安全人才無論在數(shù)量、質(zhì)量還是培養(yǎng)體系上仍存在較大改善空間[5]。傳統(tǒng)針對網(wǎng)絡(luò)安全應急響應的培訓課程難以滿足當前需要，亟待進一步升級。

（1）與工業(yè)信息安全應急聯(lián)系不緊密?，F(xiàn)有的網(wǎng)絡(luò)安全應急相關(guān)課程與工業(yè)信息安全聯(lián)系并不緊密，在對工業(yè)控制系統(tǒng)的安全應急處理方面涉及的內(nèi)容不多不深，主要集中在傳統(tǒng)主機安全、終端安全等方面的應急處置培訓，無法滿足對工業(yè)信息安全事件應急處置的需求。

（2）難以滿足新技術(shù)發(fā)展要求。近年來，在國家政策大力推動下，工業(yè)互聯(lián)網(wǎng)、工業(yè)大數(shù)據(jù)等新興技術(shù)飛速發(fā)展，工業(yè)信息系統(tǒng)面臨的安全形勢發(fā)生巨大變化。傳統(tǒng)封閉的工業(yè)控制系統(tǒng)逐步走向互聯(lián)互通，對安全防護提出了新的要求?；谌斯ぶ悄?、深度學習等先進技術(shù)的安全防護手段蓬勃發(fā)展。在新技術(shù)方面的課程設(shè)計目前還比較缺乏，難以滿足工業(yè)信息安全應急保障要求。

（3）課程重理論輕實踐。工業(yè)控制系統(tǒng)在通信協(xié)議等方面與傳統(tǒng)網(wǎng)絡(luò)安全存在比較大區(qū)別，多為私有協(xié)議，不同品牌產(chǎn)品往往使用不同的協(xié)議進行通信，所面臨的安全問題也不同。現(xiàn)有的課程體系設(shè)計上注重理論的講解，缺乏針對工業(yè)系統(tǒng)的實際應急處置教學，使得學員無法深入了解工業(yè)信息安全應急處置過程。

2 工業(yè)信息安全應急人才培養(yǎng)課程體系設(shè)計

在結(jié)合工業(yè)信息安全應急特點基礎(chǔ)上，針對現(xiàn)有課程體系的不足，設(shè)計了工業(yè)信息安全應急管理工程師課程體系，旨在培養(yǎng)工業(yè)信息安全應急人才，強化工業(yè)企業(yè)安全意識，提升工業(yè)信息安全應急管理和處置能力，進而提升我國工業(yè)信息安全應急保障能力。通過培訓，學員能夠了解我國工業(yè)信息安全發(fā)展態(tài)勢、前沿理念和技能要求，具備較強的工業(yè)信息安全意識和技術(shù)能力。能夠建立、完善和優(yōu)化組織應急響應管理和技術(shù)體系，降低組織機構(gòu)面臨的網(wǎng)絡(luò)安全風險。能夠掌握及時處置工業(yè)信息安全事件的技能，減少工業(yè)信息安全事件對企業(yè)業(yè)務的影響，最大程度保障組織業(yè)務連續(xù)性。

2.1 工業(yè)信息安全應急管理工程師課程體系內(nèi)容

工業(yè)信息安全應急管理工程師課程體系（圖1）融合了工業(yè)信息安全應急理論、技術(shù)和實踐，覆蓋了工業(yè)信息安全應急處置整個生命周期。課程包括5個模塊，分別是工業(yè)信息安全基礎(chǔ)知識、政策標準、監(jiān)測技術(shù)、風險監(jiān)測、防護技術(shù)、應急響應。基礎(chǔ)知識模塊主要介紹工業(yè)信息安全、工業(yè)互聯(lián)網(wǎng)安全、工業(yè)控制系統(tǒng)安全等基本概念及相互關(guān)系，使學員更好理解工業(yè)信息安全的內(nèi)涵。政策標準模塊主要介紹工業(yè)信息安全應急相關(guān)政策法規(guī)，標準體系等內(nèi)容。風險監(jiān)測模塊主要介紹工業(yè)信息安全風險監(jiān)測相關(guān)方法和技術(shù)，包括態(tài)勢感知技術(shù)、數(shù)據(jù)安全防護、安全漏洞管理等。防護技術(shù)模塊主要介紹工業(yè)信息安全防護和評估相關(guān)技術(shù)，包括國家和企業(yè)工業(yè)信息安全防護體系建設(shè)、攻防對抗技術(shù)、風險評估技術(shù)、數(shù)據(jù)成熟度管理能力評估等。應急響應模塊主要介紹工業(yè)信息安全應急預案、應急演練、應急處置等相關(guān)方法、技術(shù)和處置案例，通過專題研討、案例教學、實操事件等方式，提升工業(yè)信息安全應急管理和事件應急處置能力。

圖1 工業(yè)信息安全應急管理課程體系

2.2 工業(yè)信息安全應急管理工程師課程體系特點

（1）覆蓋工業(yè)信息安全應急處置全生命周期。課程體系緊密圍繞工業(yè)信息安全應急處置的生命周期，從應急準備、抑制、事件檢測、根除、恢復、事件報告等應急響應環(huán)節(jié)，結(jié)合不同工業(yè)行業(yè)，均設(shè)計了相關(guān)課程，適用于不同工業(yè)行業(yè)信息安全應急處置工作。

（2）密切跟蹤工業(yè)信息安全應急政策和技術(shù)。除了包括傳統(tǒng)網(wǎng)絡(luò)安全知識，還設(shè)計課程對當前最新工業(yè)信息安全應急政策和技術(shù)進行介紹和講解，使課程能夠緊密跟蹤技術(shù)前沿，有效防范新興安全威脅。如圍繞數(shù)據(jù)安全設(shè)計的工業(yè)數(shù)據(jù)分類分級、數(shù)據(jù)管理能力成熟度評估模型等，圍繞工業(yè)信息安全監(jiān)測的威脅指數(shù)等內(nèi)容。

（3）注重實際操作能力提升。為更好提升課程的實用性，課程在風險監(jiān)測、防護技術(shù)和應急響應模塊設(shè)置了大量的實操類課程，如工業(yè)數(shù)據(jù)分類分級實操、工業(yè)防火墻配置、攻防對抗、勒索病毒應急處置、應急演練實踐教學等，幫助學員解決實際工作中的安全問題，切實提升防護能力和應急處置能力。

3 結(jié)語

工業(yè)信息安全是國家安全的重要組成部分，強化工業(yè)信息安全應急人才培養(yǎng)，對保障國家電力、能源、交通、制造等關(guān)鍵領(lǐng)域信息安全具有重要意義。建立完善的工業(yè)信息安全應急人才培養(yǎng)課程體系，及時更新安全知識體系，密切跟蹤工業(yè)信息安全新技術(shù)，使工業(yè)信息安全人才培養(yǎng)緊跟時代發(fā)展步伐，培養(yǎng)出既具備理論素養(yǎng)，也具備實戰(zhàn)能力的優(yōu)秀人才，才能更好保障新時代工業(yè)轉(zhuǎn)型升級和高速發(fā)展。