楊杰

（國(guó)家工業(yè)信息安全發(fā)展研究中心，北京 100040）

0 引言

近年來(lái)，工業(yè)信息安全風(fēng)險(xiǎn)持續(xù)加劇，越來(lái)越多工業(yè)控制系統(tǒng)設(shè)備暴露于互聯(lián)網(wǎng)，裝備制造、交通、能源等領(lǐng)域頻曝工控安全高危漏洞，勒索攻擊、定向攻擊、僵尸網(wǎng)絡(luò)攻擊等攻擊方式日益盛行，工業(yè)互聯(lián)網(wǎng)、工業(yè)云、工業(yè)大數(shù)據(jù)、等新技術(shù)新應(yīng)用安全風(fēng)險(xiǎn)的防護(hù)手段仍很缺乏，重大工業(yè)信息安全事件層出不窮，工業(yè)信息安全形勢(shì)十分嚴(yán)峻，加強(qiáng)工業(yè)信息安全應(yīng)急保障體系建設(shè)刻不容緩。

工業(yè)信息安全風(fēng)險(xiǎn)加劇給應(yīng)急管理工作帶來(lái)新挑戰(zhàn)。2021年5月，美國(guó)最大燃油管道運(yùn)營(yíng)商遭遇勒索攻擊，導(dǎo)致整個(gè)管道系統(tǒng)被迫關(guān)停，美國(guó)政府因此宣布進(jìn)入國(guó)家緊急狀態(tài)，給工業(yè)信息安全應(yīng)急管理工作敲響了警鐘。

網(wǎng)絡(luò)空間安全在國(guó)家安全與國(guó)民經(jīng)濟(jì)發(fā)展中占據(jù)著重要地位，而網(wǎng)絡(luò)安全人才培養(yǎng)則是國(guó)家信息安全保障體系建設(shè)的基礎(chǔ)和先決條件[1]。我國(guó)網(wǎng)絡(luò)安全人才嚴(yán)重不足，工控網(wǎng)絡(luò)安全的技術(shù)人才更是缺乏，供需矛盾突出[2]。2016年，中央網(wǎng)信辦等六部門共同印發(fā)《關(guān)于加強(qiáng)網(wǎng)絡(luò)安全學(xué)科建設(shè)和人才培養(yǎng)的意見》，從網(wǎng)絡(luò)安全學(xué)科專業(yè)和院系建設(shè)、人才培養(yǎng)機(jī)制、安全教材、師資隊(duì)伍、高校企業(yè)合作育人、在職培訓(xùn)、全民網(wǎng)絡(luò)安全意識(shí)、人才培養(yǎng)配套等方面，加強(qiáng)網(wǎng)絡(luò)安全人才培養(yǎng)工作。

目前，我國(guó)網(wǎng)絡(luò)空間安全人才培養(yǎng)支撐體系建設(shè)不健全，課程設(shè)置有待改進(jìn)[3]，與實(shí)際社會(huì)需求存在差距，實(shí)踐動(dòng)手能力培養(yǎng)未達(dá)預(yù)期等問(wèn)題[4]。在工業(yè)信息安全人才培養(yǎng)上，尚無(wú)專門針對(duì)工業(yè)信息應(yīng)急管理的課程體系。隨著工業(yè)互聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算等新技術(shù)在工業(yè)領(lǐng)域的快速發(fā)展，對(duì)工業(yè)信息安全應(yīng)急管理提出了更多更高的要求，亟待進(jìn)一步完善工業(yè)信息安全應(yīng)急管理課程體系，強(qiáng)化工業(yè)信息安全應(yīng)急人才培養(yǎng)。

1 工業(yè)信息安全應(yīng)急管理課程體系研究現(xiàn)狀

目前，國(guó)內(nèi)尚無(wú)專門為工業(yè)信息安全應(yīng)急人才培養(yǎng)的而設(shè)計(jì)的課程體系，僅有傳統(tǒng)網(wǎng)絡(luò)安全應(yīng)急管理相關(guān)課程體系，或者工業(yè)信息安全培訓(xùn)課程體系。如中國(guó)信息安全測(cè)評(píng)中心組織開展的國(guó)家注冊(cè)應(yīng)急響應(yīng)工程師（CISP-IRE）培訓(xùn)課程體系，中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心組織開展的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)工程師（CCRC-CSERE），中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所組織開展的工控信息安全培訓(xùn)等。

1.1 工業(yè)信息安全應(yīng)急相關(guān)課程體系

（1）國(guó)家注冊(cè)應(yīng)急響應(yīng)工程師課程體系。國(guó)家注冊(cè)應(yīng)急響應(yīng)工程師課程主要面向主要從事信息安全技術(shù)領(lǐng)域應(yīng)急響應(yīng)工作的相關(guān)人員。通過(guò)培訓(xùn)可使學(xué)員具備應(yīng)急響應(yīng)基礎(chǔ)、事件監(jiān)測(cè)、事件分析和處置等基本知識(shí)和能力。課程包括Windows應(yīng)急、日志分析、Linux應(yīng)急、應(yīng)急響應(yīng)事件監(jiān)測(cè)、應(yīng)急響應(yīng)共五個(gè)模塊。其中，Windows應(yīng)急和Linux應(yīng)急兩個(gè)模塊主要課程包括進(jìn)程分析、后門查殺、工具排查、文件排查、應(yīng)急溯源等內(nèi)容；日志分析包括Web服務(wù)器、中間件服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、操作系統(tǒng)、安全產(chǎn)品等設(shè)備的日志分析；應(yīng)急響應(yīng)事件監(jiān)測(cè)包括威脅情報(bào)運(yùn)營(yíng)和安全監(jiān)控；應(yīng)急響應(yīng)包括響應(yīng)分析和處置流程、應(yīng)急響應(yīng)事件分類。

（2）網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)工程師課程體系。網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)工程師課程體系基于網(wǎng)絡(luò)安全保障知識(shí)、技術(shù)和能力需求，結(jié)合最新發(fā)展態(tài)勢(shì)、具體應(yīng)急響應(yīng)案例，設(shè)計(jì)的面向網(wǎng)絡(luò)安全應(yīng)急響應(yīng)工程師的培訓(xùn)課程體系。課程內(nèi)容主要包括信息安全應(yīng)急響應(yīng)技術(shù)概述、應(yīng)急響應(yīng)技術(shù)演變、技術(shù)體系、安全事件分類分級(jí)、攻擊入侵原理、應(yīng)急流程、應(yīng)急演練等內(nèi)容。

（3）工控信息安全培訓(xùn)課程體系。工控信息安全培訓(xùn)課程體系是專門針對(duì)工業(yè)控制系統(tǒng)安全培訓(xùn)設(shè)計(jì)的課程體系，分為初級(jí)、中級(jí)、高級(jí)三個(gè)級(jí)別。旨在通過(guò)培訓(xùn)提高相關(guān)崗位人員的工控安全意識(shí)、知識(shí)和技能水平。主要課程內(nèi)容包括工控信息安全由來(lái)，工控系統(tǒng)特性，工控網(wǎng)絡(luò)安全策略，國(guó)內(nèi)外政策形勢(shì)與標(biāo)準(zhǔn)規(guī)范等。

1.2 工業(yè)信息安全課程體系亟待完善

隨著工業(yè)數(shù)字化轉(zhuǎn)型進(jìn)一步加速，工業(yè)互聯(lián)網(wǎng)、大數(shù)據(jù)等新技術(shù)高速發(fā)展，對(duì)工業(yè)信息安全應(yīng)急提出了更高的要求。網(wǎng)絡(luò)空間安全人才無(wú)論在數(shù)量、質(zhì)量還是培養(yǎng)體系上仍存在較大改善空間[5]。傳統(tǒng)針對(duì)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的培訓(xùn)課程難以滿足當(dāng)前需要，亟待進(jìn)一步升級(jí)。

（1）與工業(yè)信息安全應(yīng)急聯(lián)系不緊密?，F(xiàn)有的網(wǎng)絡(luò)安全應(yīng)急相關(guān)課程與工業(yè)信息安全聯(lián)系并不緊密，在對(duì)工業(yè)控制系統(tǒng)的安全應(yīng)急處理方面涉及的內(nèi)容不多不深，主要集中在傳統(tǒng)主機(jī)安全、終端安全等方面的應(yīng)急處置培訓(xùn)，無(wú)法滿足對(duì)工業(yè)信息安全事件應(yīng)急處置的需求。

（2）難以滿足新技術(shù)發(fā)展要求。近年來(lái)，在國(guó)家政策大力推動(dòng)下，工業(yè)互聯(lián)網(wǎng)、工業(yè)大數(shù)據(jù)等新興技術(shù)飛速發(fā)展，工業(yè)信息系統(tǒng)面臨的安全形勢(shì)發(fā)生巨大變化。傳統(tǒng)封閉的工業(yè)控制系統(tǒng)逐步走向互聯(lián)互通，對(duì)安全防護(hù)提出了新的要求?；谌斯ぶ悄?、深度學(xué)習(xí)等先進(jìn)技術(shù)的安全防護(hù)手段蓬勃發(fā)展。在新技術(shù)方面的課程設(shè)計(jì)目前還比較缺乏，難以滿足工業(yè)信息安全應(yīng)急保障要求。

（3）課程重理論輕實(shí)踐。工業(yè)控制系統(tǒng)在通信協(xié)議等方面與傳統(tǒng)網(wǎng)絡(luò)安全存在比較大區(qū)別，多為私有協(xié)議，不同品牌產(chǎn)品往往使用不同的協(xié)議進(jìn)行通信，所面臨的安全問(wèn)題也不同?，F(xiàn)有的課程體系設(shè)計(jì)上注重理論的講解，缺乏針對(duì)工業(yè)系統(tǒng)的實(shí)際應(yīng)急處置教學(xué)，使得學(xué)員無(wú)法深入了解工業(yè)信息安全應(yīng)急處置過(guò)程。

2 工業(yè)信息安全應(yīng)急人才培養(yǎng)課程體系設(shè)計(jì)

在結(jié)合工業(yè)信息安全應(yīng)急特點(diǎn)基礎(chǔ)上，針對(duì)現(xiàn)有課程體系的不足，設(shè)計(jì)了工業(yè)信息安全應(yīng)急管理工程師課程體系，旨在培養(yǎng)工業(yè)信息安全應(yīng)急人才，強(qiáng)化工業(yè)企業(yè)安全意識(shí)，提升工業(yè)信息安全應(yīng)急管理和處置能力，進(jìn)而提升我國(guó)工業(yè)信息安全應(yīng)急保障能力。通過(guò)培訓(xùn)，學(xué)員能夠了解我國(guó)工業(yè)信息安全發(fā)展態(tài)勢(shì)、前沿理念和技能要求，具備較強(qiáng)的工業(yè)信息安全意識(shí)和技術(shù)能力。能夠建立、完善和優(yōu)化組織應(yīng)急響應(yīng)管理和技術(shù)體系，降低組織機(jī)構(gòu)面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。能夠掌握及時(shí)處置工業(yè)信息安全事件的技能，減少工業(yè)信息安全事件對(duì)企業(yè)業(yè)務(wù)的影響，最大程度保障組織業(yè)務(wù)連續(xù)性。

2.1 工業(yè)信息安全應(yīng)急管理工程師課程體系內(nèi)容

工業(yè)信息安全應(yīng)急管理工程師課程體系（圖1）融合了工業(yè)信息安全應(yīng)急理論、技術(shù)和實(shí)踐，覆蓋了工業(yè)信息安全應(yīng)急處置整個(gè)生命周期。課程包括5個(gè)模塊，分別是工業(yè)信息安全基礎(chǔ)知識(shí)、政策標(biāo)準(zhǔn)、監(jiān)測(cè)技術(shù)、風(fēng)險(xiǎn)監(jiān)測(cè)、防護(hù)技術(shù)、應(yīng)急響應(yīng)?；A(chǔ)知識(shí)模塊主要介紹工業(yè)信息安全、工業(yè)互聯(lián)網(wǎng)安全、工業(yè)控制系統(tǒng)安全等基本概念及相互關(guān)系，使學(xué)員更好理解工業(yè)信息安全的內(nèi)涵。政策標(biāo)準(zhǔn)模塊主要介紹工業(yè)信息安全應(yīng)急相關(guān)政策法規(guī)，標(biāo)準(zhǔn)體系等內(nèi)容。風(fēng)險(xiǎn)監(jiān)測(cè)模塊主要介紹工業(yè)信息安全風(fēng)險(xiǎn)監(jiān)測(cè)相關(guān)方法和技術(shù)，包括態(tài)勢(shì)感知技術(shù)、數(shù)據(jù)安全防護(hù)、安全漏洞管理等。防護(hù)技術(shù)模塊主要介紹工業(yè)信息安全防護(hù)和評(píng)估相關(guān)技術(shù)，包括國(guó)家和企業(yè)工業(yè)信息安全防護(hù)體系建設(shè)、攻防對(duì)抗技術(shù)、風(fēng)險(xiǎn)評(píng)估技術(shù)、數(shù)據(jù)成熟度管理能力評(píng)估等。應(yīng)急響應(yīng)模塊主要介紹工業(yè)信息安全應(yīng)急預(yù)案、應(yīng)急演練、應(yīng)急處置等相關(guān)方法、技術(shù)和處置案例，通過(guò)專題研討、案例教學(xué)、實(shí)操事件等方式，提升工業(yè)信息安全應(yīng)急管理和事件應(yīng)急處置能力。

圖1 工業(yè)信息安全應(yīng)急管理課程體系

2.2 工業(yè)信息安全應(yīng)急管理工程師課程體系特點(diǎn)

（1）覆蓋工業(yè)信息安全應(yīng)急處置全生命周期。課程體系緊密圍繞工業(yè)信息安全應(yīng)急處置的生命周期，從應(yīng)急準(zhǔn)備、抑制、事件檢測(cè)、根除、恢復(fù)、事件報(bào)告等應(yīng)急響應(yīng)環(huán)節(jié)，結(jié)合不同工業(yè)行業(yè)，均設(shè)計(jì)了相關(guān)課程，適用于不同工業(yè)行業(yè)信息安全應(yīng)急處置工作。

（2）密切跟蹤工業(yè)信息安全應(yīng)急政策和技術(shù)。除了包括傳統(tǒng)網(wǎng)絡(luò)安全知識(shí)，還設(shè)計(jì)課程對(duì)當(dāng)前最新工業(yè)信息安全應(yīng)急政策和技術(shù)進(jìn)行介紹和講解，使課程能夠緊密跟蹤技術(shù)前沿，有效防范新興安全威脅。如圍繞數(shù)據(jù)安全設(shè)計(jì)的工業(yè)數(shù)據(jù)分類分級(jí)、數(shù)據(jù)管理能力成熟度評(píng)估模型等，圍繞工業(yè)信息安全監(jiān)測(cè)的威脅指數(shù)等內(nèi)容。

（3）注重實(shí)際操作能力提升。為更好提升課程的實(shí)用性，課程在風(fēng)險(xiǎn)監(jiān)測(cè)、防護(hù)技術(shù)和應(yīng)急響應(yīng)模塊設(shè)置了大量的實(shí)操類課程，如工業(yè)數(shù)據(jù)分類分級(jí)實(shí)操、工業(yè)防火墻配置、攻防對(duì)抗、勒索病毒應(yīng)急處置、應(yīng)急演練實(shí)踐教學(xué)等，幫助學(xué)員解決實(shí)際工作中的安全問(wèn)題，切實(shí)提升防護(hù)能力和應(yīng)急處置能力。

3 結(jié)語(yǔ)

工業(yè)信息安全是國(guó)家安全的重要組成部分，強(qiáng)化工業(yè)信息安全應(yīng)急人才培養(yǎng)，對(duì)保障國(guó)家電力、能源、交通、制造等關(guān)鍵領(lǐng)域信息安全具有重要意義。建立完善的工業(yè)信息安全應(yīng)急人才培養(yǎng)課程體系，及時(shí)更新安全知識(shí)體系，密切跟蹤工業(yè)信息安全新技術(shù)，使工業(yè)信息安全人才培養(yǎng)緊跟時(shí)代發(fā)展步伐，培養(yǎng)出既具備理論素養(yǎng)，也具備實(shí)戰(zhàn)能力的優(yōu)秀人才，才能更好保障新時(shí)代工業(yè)轉(zhuǎn)型升級(jí)和高速發(fā)展。