工业信息安全应急人才培养课程体系研究

杨杰

（国家工业信息安全发展研究中心，北京 100040）

0 引言

近年来，工业信息安全风险持续加剧，越来越多工业控制系统设备暴露于互联网，装备制造、交通、能源等领域频曝工控安全高危漏洞，勒索攻击、定向攻击、僵尸网络攻击等攻击方式日益盛行，工业互联网、工业云、工业大数据、等新技术新应用安全风险的防护手段仍很缺乏，重大工业信息安全事件层出不穷，工业信息安全形势十分严峻，加强工业信息安全应急保障体系建设刻不容缓。

工业信息安全风险加剧给应急管理工作带来新挑战。2021年5月，美国最大燃油管道运营商遭遇勒索攻击，导致整个管道系统被迫关停，美国政府因此宣布进入国家紧急状态，给工业信息安全应急管理工作敲响了警钟。

网络空间安全在国家安全与国民经济发展中占据着重要地位，而网络安全人才培养则是国家信息安全保障体系建设的基础和先决条件[1]。我国网络安全人才严重不足，工控网络安全的技术人才更是缺乏，供需矛盾突出[2]。2016年，中央网信办等六部门共同印发《关于加强网络安全学科建设和人才培养的意见》，从网络安全学科专业和院系建设、人才培养机制、安全教材、师资队伍、高校企业合作育人、在职培训、全民网络安全意识、人才培养配套等方面，加强网络安全人才培养工作。

目前，我国网络空间安全人才培养支撑体系建设不健全，课程设置有待改进[3]，与实际社会需求存在差距，实践动手能力培养未达预期等问题[4]。在工业信息安全人才培养上，尚无专门针对工业信息应急管理的课程体系。随着工业互联网、大数据、云计算等新技术在工业领域的快速发展，对工业信息安全应急管理提出了更多更高的要求，亟待进一步完善工业信息安全应急管理课程体系，强化工业信息安全应急人才培养。

1 工业信息安全应急管理课程体系研究现状

目前，国内尚无专门为工业信息安全应急人才培养的而设计的课程体系，仅有传统网络安全应急管理相关课程体系，或者工业信息安全培训课程体系。如中国信息安全测评中心组织开展的国家注册应急响应工程师（CISP-IRE）培训课程体系，中国网络安全审查技术与认证中心组织开展的网络安全应急响应技术工程师（CCRC-CSERE），中国电子信息产业集团有限公司第六研究所组织开展的工控信息安全培训等。

1.1 工业信息安全应急相关课程体系

（1）国家注册应急响应工程师课程体系。国家注册应急响应工程师课程主要面向主要从事信息安全技术领域应急响应工作的相关人员。通过培训可使学员具备应急响应基础、事件监测、事件分析和处置等基本知识和能力。课程包括Windows应急、日志分析、Linux应急、应急响应事件监测、应急响应共五个模块。其中，Windows应急和Linux应急两个模块主要课程包括进程分析、后门查杀、工具排查、文件排查、应急溯源等内容；日志分析包括Web服务器、中间件服务器、数据库服务器、操作系统、安全产品等设备的日志分析；应急响应事件监测包括威胁情报运营和安全监控；应急响应包括响应分析和处置流程、应急响应事件分类。

（2）网络安全应急响应技术工程师课程体系。网络安全应急响应技术工程师课程体系基于网络安全保障知识、技术和能力需求，结合最新发展态势、具体应急响应案例，设计的面向网络安全应急响应工程师的培训课程体系。课程内容主要包括信息安全应急响应技术概述、应急响应技术演变、技术体系、安全事件分类分级、攻击入侵原理、应急流程、应急演练等内容。

（3）工控信息安全培训课程体系。工控信息安全培训课程体系是专门针对工业控制系统安全培训设计的课程体系，分为初级、中级、高级三个级别。旨在通过培训提高相关岗位人员的工控安全意识、知识和技能水平。主要课程内容包括工控信息安全由来，工控系统特性，工控网络安全策略，国内外政策形势与标准规范等。

1.2 工业信息安全课程体系亟待完善

随着工业数字化转型进一步加速，工业互联网、大数据等新技术高速发展，对工业信息安全应急提出了更高的要求。网络空间安全人才无论在数量、质量还是培养体系上仍存在较大改善空间[5]。传统针对网络安全应急响应的培训课程难以满足当前需要，亟待进一步升级。

（1）与工业信息安全应急联系不紧密。现有的网络安全应急相关课程与工业信息安全联系并不紧密，在对工业控制系统的安全应急处理方面涉及的内容不多不深，主要集中在传统主机安全、终端安全等方面的应急处置培训，无法满足对工业信息安全事件应急处置的需求。

（2）难以满足新技术发展要求。近年来，在国家政策大力推动下，工业互联网、工业大数据等新兴技术飞速发展，工业信息系统面临的安全形势发生巨大变化。传统封闭的工业控制系统逐步走向互联互通，对安全防护提出了新的要求。基于人工智能、深度学习等先进技术的安全防护手段蓬勃发展。在新技术方面的课程设计目前还比较缺乏，难以满足工业信息安全应急保障要求。

（3）课程重理论轻实践。工业控制系统在通信协议等方面与传统网络安全存在比较大区别，多为私有协议，不同品牌产品往往使用不同的协议进行通信，所面临的安全问题也不同。现有的课程体系设计上注重理论的讲解，缺乏针对工业系统的实际应急处置教学，使得学员无法深入了解工业信息安全应急处置过程。

2 工业信息安全应急人才培养课程体系设计

在结合工业信息安全应急特点基础上，针对现有课程体系的不足，设计了工业信息安全应急管理工程师课程体系，旨在培养工业信息安全应急人才，强化工业企业安全意识，提升工业信息安全应急管理和处置能力，进而提升我国工业信息安全应急保障能力。通过培训，学员能够了解我国工业信息安全发展态势、前沿理念和技能要求，具备较强的工业信息安全意识和技术能力。能够建立、完善和优化组织应急响应管理和技术体系，降低组织机构面临的网络安全风险。能够掌握及时处置工业信息安全事件的技能，减少工业信息安全事件对企业业务的影响，最大程度保障组织业务连续性。

2.1 工业信息安全应急管理工程师课程体系内容

工业信息安全应急管理工程师课程体系（图1）融合了工业信息安全应急理论、技术和实践，覆盖了工业信息安全应急处置整个生命周期。课程包括5个模块，分别是工业信息安全基础知识、政策标准、监测技术、风险监测、防护技术、应急响应。基础知识模块主要介绍工业信息安全、工业互联网安全、工业控制系统安全等基本概念及相互关系，使学员更好理解工业信息安全的内涵。政策标准模块主要介绍工业信息安全应急相关政策法规，标准体系等内容。风险监测模块主要介绍工业信息安全风险监测相关方法和技术，包括态势感知技术、数据安全防护、安全漏洞管理等。防护技术模块主要介绍工业信息安全防护和评估相关技术，包括国家和企业工业信息安全防护体系建设、攻防对抗技术、风险评估技术、数据成熟度管理能力评估等。应急响应模块主要介绍工业信息安全应急预案、应急演练、应急处置等相关方法、技术和处置案例，通过专题研讨、案例教学、实操事件等方式，提升工业信息安全应急管理和事件应急处置能力。

图1 工业信息安全应急管理课程体系

2.2 工业信息安全应急管理工程师课程体系特点

（1）覆盖工业信息安全应急处置全生命周期。课程体系紧密围绕工业信息安全应急处置的生命周期，从应急准备、抑制、事件检测、根除、恢复、事件报告等应急响应环节，结合不同工业行业，均设计了相关课程，适用于不同工业行业信息安全应急处置工作。

（2）密切跟踪工业信息安全应急政策和技术。除了包括传统网络安全知识，还设计课程对当前最新工业信息安全应急政策和技术进行介绍和讲解，使课程能够紧密跟踪技术前沿，有效防范新兴安全威胁。如围绕数据安全设计的工业数据分类分级、数据管理能力成熟度评估模型等，围绕工业信息安全监测的威胁指数等内容。

（3）注重实际操作能力提升。为更好提升课程的实用性，课程在风险监测、防护技术和应急响应模块设置了大量的实操类课程，如工业数据分类分级实操、工业防火墙配置、攻防对抗、勒索病毒应急处置、应急演练实践教学等，帮助学员解决实际工作中的安全问题，切实提升防护能力和应急处置能力。

3 结语

工业信息安全是国家安全的重要组成部分，强化工业信息安全应急人才培养，对保障国家电力、能源、交通、制造等关键领域信息安全具有重要意义。建立完善的工业信息安全应急人才培养课程体系，及时更新安全知识体系，密切跟踪工业信息安全新技术，使工业信息安全人才培养紧跟时代发展步伐，培养出既具备理论素养，也具备实战能力的优秀人才，才能更好保障新时代工业转型升级和高速发展。