摘要：目前，工業(yè)信息安全形勢日趨嚴峻，引起世界各國高度重視，加緊工業(yè)信息安全領(lǐng)域布局，加快工業(yè)信息安全專(zhuān)業(yè)人才培養成為國家戰略選擇。美國總統特朗普于2019年5月2日簽署名為《網(wǎng)絡(luò )安全人才行政令》的總統行政令，著(zhù)力部署國家網(wǎng)絡(luò )安全人才隊伍建設。我國是發(fā)展中大國，工業(yè)是我國經(jīng)濟發(fā)展的命脈，工業(yè)信息安全直接關(guān)系國家民族的偉大復興，工業(yè)信息安全人才培養是重中之重、刻不容緩。本文在分析國外部分發(fā)達國家工業(yè)信息安全人才培養現狀和政策做法的基礎上，研究了我國相關(guān)情況，并對我國工業(yè)信息安全人才培養提出了建設性意見(jiàn)。

關(guān)鍵詞：工業(yè)信息安全；網(wǎng)絡(luò )安全；工業(yè)信息安全專(zhuān)業(yè)人才培養

Abstract: At present, the situation of industrial cyber security is becoming increasingly grim. Countries from all over the world has accelerated the layout of industrial cyber security field. Industrial cyber security talent cultivation has become a national strategic choice. On 2nd May,2019, The President of the United States Trump signed an executive order to strengthen America's cybersecurity workforce. China is a big developing country. Industry is the bone-back of China's economic development. Industrial cyber security is directly related to Chinese prosperity and preserve peace and industrial cyber security talent cultivation is becoming vital important and urgent. This paper analyzes the current situation and policy of industrial cyber security education & training in some developed countries, and puts forward views and suggestions on China industrial cyber security talent cultivation.

Key words: Industrial cyber security; Cyber security; Industrial cyber security talent cultivation

1　前言

工業(yè)信息安全泛指工業(yè)系統相關(guān)生產(chǎn)、管理、運行過(guò)程中的信息安全，涉及工業(yè)領(lǐng)域各個(gè)環(huán)節，所涉及的運行平臺包括工業(yè)控制系統、工業(yè)互聯(lián)網(wǎng)、工業(yè)大數據、工業(yè)云等。當前，以5G、云計算、大數據、物聯(lián)網(wǎng)和人工智能為代表的新一代信息技術(shù)與制造技術(shù)加速融合，推動(dòng)制造業(yè)向數字化、網(wǎng)絡(luò )化、智能化、服務(wù)化的方向發(fā)展，成為推動(dòng)經(jīng)濟轉型升級、新舊動(dòng)能接續轉換的強勁引擎。伴隨著(zhù)物理信息系統、工業(yè)互聯(lián)網(wǎng)的發(fā)展，工業(yè)信息安全面臨新課題、新風(fēng)險、新挑戰。面對日趨嚴峻的工業(yè)信息安全形勢，世界各國都高度重視工業(yè)信息安全問(wèn)題，加緊工業(yè)信息安全領(lǐng)域布局，強化工業(yè)信息安全人才隊伍建設迫在眉睫。

2　國外工業(yè)信息安全人才培養現狀

據國際信息系統安全認證聯(lián)盟（ISC）2在2018年發(fā)布的網(wǎng)絡(luò )安全行業(yè)調查報告反映，全球網(wǎng)絡(luò )安全人才缺口超過(guò)300萬(wàn)，工業(yè)信息安全人才則更為匱乏。美國一直將高技能的網(wǎng)絡(luò )安全人才作為保護國家安全的戰略資源。在2017年5月發(fā)布的總統行政令13800《加強聯(lián)邦網(wǎng)絡(luò )和關(guān)鍵基礎設施的網(wǎng)絡(luò )安全》和2018年9月頒布的《國家網(wǎng)絡(luò )戰略》中，均提出優(yōu)秀的網(wǎng)絡(luò )安全人才可以促進(jìn)美國國家繁榮及維護國家和平。

2.1　政策導向

2019年5月2日，美國總統特朗普簽署了《Executive Order on America’s CybersecurityWorkforce》（網(wǎng)絡(luò )安全人才行政令）的總統行政令。行政令指出，美國目前有超過(guò)30萬(wàn)個(gè)網(wǎng)絡(luò )安全職位缺口。政策層面，美國政府將通過(guò)大力提高網(wǎng)絡(luò )安全人才流動(dòng)性、著(zhù)力提升網(wǎng)絡(luò )安全人才專(zhuān)業(yè)技術(shù)能力、支持開(kāi)發(fā)網(wǎng)絡(luò )安全人才建設平臺工具等方向鼓勵和促進(jìn)網(wǎng)絡(luò )安全人才隊伍建設。行政令中顯著(zhù)強調，面向網(wǎng)絡(luò )安全優(yōu)秀人才和團隊要加大獎勵力度，設立總統網(wǎng)絡(luò )安全教育獎，表彰中小學(xué)網(wǎng)絡(luò )安全教育工作者。

2016年德國發(fā)布新的《網(wǎng)絡(luò )安全戰略》明確將“培養聯(lián)邦政府的網(wǎng)絡(luò )安全人才”作為重要內容。日本于2014年5月制定的《新信息安全人才培養計劃》，明確了包括產(chǎn)學(xué)合作、開(kāi)展競賽、貫徹標準、國際交流、人才挖掘等在內的19項信息安全人才培養措施。俄羅斯在2016年12月發(fā)布的新《信息安全學(xué)說(shuō)》中，明確將“發(fā)揮信息安全保障和應用信息技術(shù)領(lǐng)域人員的潛力”作為一項重點(diǎn)任務(wù)。

2.2　相關(guān)舉措

2.2.1　機制建立

在《國家網(wǎng)絡(luò )安全教育計劃(NICE)網(wǎng)絡(luò )安全勞動(dòng)力框架》的指導下，美國政府、院校、企業(yè)等機構聯(lián)合開(kāi)展人才培訓項目，通過(guò)優(yōu)化工作機制、拓展資質(zhì)認證、加大資金投入等方面不斷完善網(wǎng)絡(luò )安全人才隊伍建設。一是建立“首席信息安全官”制度，首創(chuàng )“旋轉門(mén)”機制以及通過(guò)NICE計劃設立“學(xué)徒制工作組”。二是創(chuàng )新開(kāi)展各項專(zhuān)業(yè)技能大賽及專(zhuān)項行動(dòng)。如美國能源部依托7所國家實(shí)驗室平臺舉辦CyberForce大學(xué)生工業(yè)信息安全競賽；美國國防部采用“眾包”模式開(kāi)展“黑客攻擊五角大樓”漏洞獎勵試點(diǎn)活動(dòng)；以及網(wǎng)絡(luò )安全人才行政令中明確提出，2019年年底將舉行年度“總統杯網(wǎng)絡(luò )安全競賽”人才挖掘項目。三是設立人才開(kāi)發(fā)基地。工業(yè)控制系統網(wǎng)絡(luò )應急響應小組（ICS-CERT）在美國愛(ài)達荷州針對工業(yè)控制系統網(wǎng)絡(luò )安全實(shí)踐項目配置了專(zhuān)門(mén)的人才實(shí)訓基地。四是建立多樣化、動(dòng)態(tài)化網(wǎng)絡(luò )安全人才庫。包括返聘退休的網(wǎng)絡(luò )安全資深專(zhuān)家，募集并錄用具有網(wǎng)絡(luò )安全工作經(jīng)驗的退伍軍人、女性及少數族裔人群。

2.2.2　培訓認證

美國政府撥款支持工業(yè)控制系統網(wǎng)絡(luò )應急響應小組（ICS-CERT）開(kāi)展工控安全培訓認證項目，著(zhù)力打造工控安全保障國家隊。培訓面向工控安全從業(yè)人員，包括與信息技術(shù)（IT）和過(guò)程控制網(wǎng)絡(luò )操作技術(shù)（OT）相關(guān)的控制系統成員，以及關(guān)鍵信息基礎設施運營(yíng)者及管理者、關(guān)鍵信息基礎設施組件及軟件開(kāi)發(fā)人員等。培訓模式融合了線(xiàn)上及線(xiàn)下及基地實(shí)訓，所有課程免費提供。2014年推出涵蓋11類(lèi)課程的VLP（線(xiàn)上培訓認證），每年線(xiàn)上培訓注冊人數達30000余名，針對技術(shù)能力要求較高的工業(yè)控制系統網(wǎng)絡(luò )安全實(shí)訓課程，每月舉行一次40~50名人員規模的培訓。

俄羅斯知名網(wǎng)絡(luò )安全提供商卡巴斯基實(shí)驗室擁有成熟的工業(yè)網(wǎng)絡(luò )安全培訓模式，面向 IT/OT及安全專(zhuān)家、工業(yè)控制系統技術(shù)人員開(kāi)展工業(yè)網(wǎng)絡(luò )安全知識專(zhuān)題培訓。重點(diǎn)從工業(yè)控制系統(ICS)網(wǎng)絡(luò )安全的基本知識、工業(yè)系統鑒識分析、滲透測試、數字取證、應急響應和實(shí)操練習等幾大模塊進(jìn)行培訓。通過(guò)現場(chǎng)教學(xué)及實(shí)操演練，使學(xué)員具備應急響應與風(fēng)險鑒識能力，可以從事件觸發(fā)到收集數據、檢查及分析，最終在工業(yè)環(huán)境中形成處理報告。最近一次針對物聯(lián)網(wǎng)漏洞利用的培訓已于2019年4月6~8日在新加坡舉辦，對物聯(lián)網(wǎng)設備安全檢測及評估進(jìn)行教學(xué)。

以色列知名網(wǎng)絡(luò )安全產(chǎn)品供應商Cyberbit公司面向以色列國防軍網(wǎng)絡(luò )院、以色列阿里埃勒大學(xué)、巴爾的摩Cyber Range學(xué)院（馬里蘭州，美國）、美國瑞金大學(xué)、ST Electronics培訓中心（新加坡）等機構，利用其網(wǎng)絡(luò )攻防實(shí)訓平臺、網(wǎng)絡(luò )空間防御仿真中心開(kāi)展了系列網(wǎng)絡(luò )安全培訓。

3　國內工業(yè)信息安全人才培養現狀

我國黨和政府高度重視網(wǎng)絡(luò )安全人才培養，國家就網(wǎng)絡(luò )安全人才發(fā)展做出一系列重要部署，推出多項有力措施。網(wǎng)絡(luò )安全學(xué)科專(zhuān)業(yè)設置、院系建設、學(xué)歷教育方面取得突破性進(jìn)展；網(wǎng)絡(luò )安全在職培訓和專(zhuān)業(yè)資質(zhì)測評快速推進(jìn)；網(wǎng)絡(luò )安全攻防演練和技能競賽蓬勃發(fā)展；多地規劃建設網(wǎng)絡(luò )安全人才和創(chuàng )新基地，出臺人才培養和引進(jìn)政策；重要行業(yè)嚴格落實(shí)網(wǎng)絡(luò )安全責任制和人員合規要求，加快實(shí)施安全人員培訓和管理制度；相關(guān)部門(mén)深入開(kāi)展宣傳教育，全社會(huì )網(wǎng)絡(luò )安全意識得到顯著(zhù)提升。

3.1　政策導向

黨中央、國務(wù)院高度重視工業(yè)信息安全人才培養工作，以工業(yè)信息安全人才培養導向的相關(guān)政策文件相繼推出。2016年5月，《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導意見(jiàn)》中提出健全融合發(fā)展人才培養體系，加強高層次應用型專(zhuān)門(mén)人才培養，積極開(kāi)展企業(yè)新型學(xué)徒制試點(diǎn)，結合國家專(zhuān)業(yè)技術(shù)人才知識更新工程、企業(yè)經(jīng)營(yíng)管理人才素質(zhì)提升工程、高技能人才振興計劃等工作，加強融合發(fā)展職業(yè)人才和高端人才培養。2017年11月，《國務(wù)院關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導意見(jiàn)》中指出，加強人才隊伍建設，引進(jìn)和培養相結合，不斷壯大工業(yè)互聯(lián)網(wǎng)人才隊伍。2017年12月，工業(yè)和信息化部信息化和軟件服務(wù)業(yè)司發(fā)布《工業(yè)控制系統信息安全行動(dòng)計劃（2018-2020年）》的通知，明確提出鼓勵工業(yè)企業(yè)加強與院校合作，聯(lián)合培養工控安全專(zhuān)業(yè)人才。2019年8月，工業(yè)和信息化部網(wǎng)絡(luò )安全管理局發(fā)布《關(guān)于印發(fā)加強工業(yè)互聯(lián)網(wǎng)安全工作的指導意見(jiàn)的通知》，文件中提出要深入推進(jìn)產(chǎn)教融合、校企合作，建立安全人才聯(lián)合培養機制，培養復合型、創(chuàng )新型高技能人才。要求通過(guò)開(kāi)展網(wǎng)絡(luò )安全演練、安全競賽等，培養選拔不同層次的工業(yè)互聯(lián)網(wǎng)安全從業(yè)人員。

3.2　相關(guān)舉措

3.2.1　培訓認證

2018年，在工業(yè)和信息化部信息化和軟件服務(wù)業(yè)司的指導下，國家工業(yè)信息安全發(fā)展研究中心在全國范圍在四大片區組織開(kāi)展《工業(yè)控制系統信息安全行動(dòng)計劃（2018-2020）》宣貫及工業(yè)信息安全培訓工作。中國信息安全測評中心聯(lián)合杭州安恒信息技術(shù)股份有限公司開(kāi)辦《國家注冊信息安全專(zhuān)業(yè)人員-云安全工程師（CISP-CSE）》、《國家注冊信息安全專(zhuān)業(yè)人員-大數據安全分析師（CISP-BDSA）》以及《國家注冊信息安全專(zhuān)業(yè)人員-工業(yè)控制系統安全工程師（CISP-ICSSE）》認證培訓班。中國網(wǎng)絡(luò )安全審查技術(shù)與認證中心聯(lián)合多家培訓機構開(kāi)展了CISAW信息安全保障人員認證專(zhuān)業(yè)級（工控網(wǎng)絡(luò )安全方向）培訓認證工作。各高校及企業(yè)也紛紛面向工業(yè)控制系統信息安全、工業(yè)互聯(lián)網(wǎng)安全、云安全、大數據安全開(kāi)展了系列專(zhuān)業(yè)培訓。

3.2.2　工業(yè)信息安全大賽

近年來(lái)，我國科研機構、行業(yè)及企業(yè)紛紛舉辦形式多樣的工業(yè)信息安全競賽。典型的有工業(yè)信息安全技能大賽，以虛擬靶場(chǎng)系統為基礎，注重實(shí)操訓練，設置了智能制造、城市交通、風(fēng)力發(fā)電、燃氣管道、智能樓宇、水處理、化工、采油、輸配電、軌道交通等十大真實(shí)工業(yè)場(chǎng)景設置仿真攻擊賽項。另有聚焦工業(yè)互聯(lián)網(wǎng)安全、網(wǎng)絡(luò )安全等各類(lèi)賽事，從戰術(shù)、思路和應急響應能力等全方位對選手進(jìn)行考核，挖掘和選拔工業(yè)信息安全專(zhuān)業(yè)人才，推動(dòng)行業(yè)領(lǐng)域技術(shù)和經(jīng)驗共享，提升技術(shù)人員的實(shí)操能力。

3.3　主要問(wèn)題

由于我國網(wǎng)絡(luò )安全起步較晚、發(fā)展較快，根據《中國信息安全從業(yè)人員現狀調研報告（2018-2019年度）》反映，當前我國信息安全人才隊伍建設還存在一些突出問(wèn)題。一是信息安全從業(yè)人員全方位短缺、規?？偭繃乐夭蛔?。據有關(guān)數據顯示，我國網(wǎng)絡(luò )安全人才缺口逾70萬(wàn)，工業(yè)信息安全從業(yè)人員更是極度匱乏，遠不能滿(mǎn)足行業(yè)發(fā)展需求。二是信息安全職業(yè)化尚處于初級階段、非專(zhuān)業(yè)或無(wú)證上崗現象普遍?，F持有各類(lèi)信息安全資質(zhì)證書(shū)的網(wǎng)絡(luò )安全專(zhuān)業(yè)人數所占比例不足40%。網(wǎng)絡(luò )安全從業(yè)者在安全運維、應急響應、分析設計崗位中有一定占比，但在戰略研究、執法監管等崗位較為稀缺。三是信息安全人才培養機制還不夠完善。人才資源匱乏是安全保障水平不高和導致信息安全事件的最重要原因。

4　對策建議

網(wǎng)絡(luò )空間的競爭，歸根結底是人才競爭。新一輪科技革命和產(chǎn)業(yè)升級進(jìn)程中，信息技術(shù)正在從根本上改變人們生產(chǎn)生活的方式，重塑經(jīng)濟社會(huì )發(fā)展和國家安全的新格局，信息安全人才將在這一轉型發(fā)展過(guò)程中發(fā)揮關(guān)鍵作用。在全球工業(yè)信息安全人才匱乏的大背景下，我國要加快培養工業(yè)信息安全專(zhuān)業(yè)領(lǐng)域人才隊伍。高度重視國家工業(yè)發(fā)展過(guò)程中信息安全人才的重要戰略地位，充分認識工業(yè)信息安全人才培養的重要性和緊迫性，利用我國大國優(yōu)勢和制度優(yōu)勢，加大加快培養適應國家社會(huì )經(jīng)濟發(fā)展和工業(yè)領(lǐng)域新技術(shù)革命變革需要的信息安全人才隊伍，在日益激烈的國際競爭中贏(yíng)得主動(dòng)。

4.1　建立體系化的工業(yè)信息安全人才培養發(fā)展規劃

在國家《關(guān)于加強網(wǎng)絡(luò )安全學(xué)科建設和人才培養的意見(jiàn)》統一部署下，從提高信息時(shí)代生產(chǎn)力的高度，以建設具有全球競爭力的工業(yè)信息安全人才隊伍為目標，對國家工業(yè)信息安全人才發(fā)展進(jìn)行系統性的超前規劃部署，制定培養工業(yè)信息安全人才建設規劃及領(lǐng)軍人才建設計劃，建立指導工業(yè)信息安全學(xué)科建設、人才培養等方面的細則，深入研究工業(yè)信息安全人員類(lèi)別、專(zhuān)業(yè)領(lǐng)域和工作角色，不斷完善網(wǎng)絡(luò )安全人才培養政策環(huán)境，為工業(yè)信息安全專(zhuān)業(yè)人才隊伍建設夯實(shí)基礎、提供土壤。深入開(kāi)展工業(yè)信息安全人才發(fā)展基礎理論和前沿實(shí)踐研究，探尋工業(yè)信息安全人才成長(cháng)規律，建立科學(xué)的工業(yè)信息安全從業(yè)人員測評標準，為工業(yè)信息安全人才職業(yè)化培養提供依據，為制定工業(yè)信息安全人員教育培訓目標、課程體系提供理論支撐。

4.2　構建工業(yè)信息安全國民教育和持續教育體系

依托國民教育資源和社會(huì )教育資源，增強工業(yè)信息安全教育培訓的針對性、促進(jìn)工業(yè)信息安全人才供需匹配、提升工業(yè)信息安全職業(yè)吸引力。既要利用好成熟的職業(yè)培訓體系，快速培養工業(yè)信息安全急需人才；也要在基礎教育、高等教育和職業(yè)院校中深入推進(jìn)工業(yè)信息安全教育，培養工業(yè)信息安全后備人才；全面優(yōu)化教育培訓的內容、類(lèi)別、層次結構和行業(yè)布局，著(zhù)力解決當前工業(yè)信息安全人才總量不足的突出問(wèn)題。加強工業(yè)信息安全意識提升、基礎教育、高等教育、職業(yè)教育、持續教育的總體指導，為工業(yè)信息安全從業(yè)人員提供全職業(yè)周期的信息安全知識、技能的系統培養學(xué)習。

4.3　建立科學(xué)的工業(yè)信息安全人才培養機制

加強工業(yè)信息安全人才培養管理體系建設，推動(dòng)人才流動(dòng)配置、培養開(kāi)發(fā)、考核評價(jià)和激勵保障等工作機制改革。從咨詢(xún)規劃、評估分析、工程實(shí)施、運行維護、應急響應等全流程培養、考核、選拔專(zhuān)業(yè)的安全保障技術(shù)人才，建立完善工業(yè)信息安全人才培訓認證體系和工業(yè)信息安全專(zhuān)業(yè)人才資質(zhì)認定工作，為工業(yè)信息安全人才評價(jià)考核、選拔任用、職業(yè)晉階提供參考依據。結合行業(yè)領(lǐng)域特點(diǎn)推進(jìn)信息安全教育培訓供給側改革，加強專(zhuān)業(yè)資質(zhì)測評在人才隊伍建設中的引領(lǐng)和導向作用，創(chuàng )新人才培養模式，深化產(chǎn)教融合，貫通后備人才到從業(yè)人員的通道，推動(dòng)各類(lèi)學(xué)校、專(zhuān)業(yè)培訓機構和企業(yè)通過(guò)校園教育、現代學(xué)徒制培訓、任職培訓、在職培訓、崗位練兵、攻防競賽、技術(shù)比武等方式，推動(dòng)工業(yè)信息安全人才培養的高質(zhì)量發(fā)展。形成主管領(lǐng)導部門(mén)、產(chǎn)業(yè)界、學(xué)術(shù)界、科研院所、用人單位等相關(guān)各方的協(xié)調配合，資源共享，流動(dòng)暢通的人才發(fā)展良好生態(tài)。拓寬人才選拔渠道，吸引國外專(zhuān)業(yè)人才、海外留學(xué)人才回國就業(yè)創(chuàng )業(yè)，促進(jìn)國際間人才交流合作。

作者簡(jiǎn)介

程　宇，工程師，現就職于國家工業(yè)信息安全發(fā)展研究中心，主要研究方向為工業(yè)信息安全人才體系建設、工業(yè)信息安全產(chǎn)業(yè)研究、網(wǎng)絡(luò )安全戰略規劃及宣傳教育等。

參考文獻

[1] Executive Order on America’s Cybersecurity Workforce[Z].

[2] 國家工業(yè)信息安全發(fā)展研究中心. 美國工控安全培訓認證研究及對我啟示[J].

[3] 國家工業(yè)信息安全發(fā)展研究中心. 工業(yè)和信息化藍皮書(shū)（2018-2019）-工業(yè)信息安全發(fā)展報告[R]. 2019.

[4] 中國信息安全測評中心. 中國信息安全從業(yè)人員現狀調研報告（2018-2019年度）[R]. 2019.

[5] 中國信息安全測評中心, 杭州安恒信息技術(shù)股份有限公司, 獵聘網(wǎng). 《2018網(wǎng)絡(luò )安全人才發(fā)展白皮書(shū)》[Z]. 2018.

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第六輯）》