随着信息通信技术的不断发展,针对能源行业的网络嗅探、渗透和攻击等网络安全事件逐渐增多,能源行业网络安全面临日益严峻的形势。但是在网络信息安全人才培养方面,我国却存在着很大缺口和不足。分析了能源行业对网络安全人才的需求和我国高校网络安全人才的培养现状,结合能源行业网络安全需求特点,就如何高质量地培养满足能源行业的网络安全人才,提出通过实验环境建设、能源行业的校企合作、国际交流3个方面,加强高校与能源企业的沟通,构建以能力为核心的培养模式,满足能源行业人才需求。

能源是可以直接或经转换提供人类所需的光、热、动力等任一形式能量的载能体资源.能源是自然界中能为人类提供某种形式能量的物质资源,能源可分为一次能源和二次能源。一次能源即天然能源,指在自然界现成存在的能源,一次能源可分为可再生能源和非再生能源,可再生能源包括:太阳能、风能、水能、生物能、地热能、海水温差能、海水盐差能、海洋波浪能、海(湖)流能、潮汐能等,非再生能源包括核能、煤炭、石油、天然气、油岩页等;二次能源则是指由一次能源直接或间接转换成其他种类和形式的能量资源,二次能源包括焦炭、煤气、电力、氢、蒸汽、酒精、汽油、柴油、煤油、重油、液化气、电石等。

十九大报告[1]提出:“推进能源生产和消费革命,构建清洁低碳、安全高效的能源体系”。能源是我国全面建成小康社会、实现“两个百年”奋斗目标和中华民族伟大复兴中国梦的重要保障。电力、煤炭、石油石化等能源工业作为国家的基础性和支柱性产业,在促进我国经济社会发展持续健康发展、人民生活水平不断提高等方面发挥了重要作用。

能源是国民经济的命脉,近年来针对能源行业的攻击越来越多,能源行业首当其冲成为了网络攻击的受害者。如图1所示,2015年的乌克兰“BlackEnergy” (黑色能量) 病毒通过病毒植入、远程攻击和阻挠恢复的措施导致大面积的停电事故发生.除此之外,2010年针对 伊朗布什尔核电站的“震网”病毒,以及 “毒区”、“火焰”等超级病毒都赫赫有名。

图1 乌克兰“黑色能量”病毒传播示意图

图2各行业每周平均恶意软件攻击事件频度对比能源行业网络安全形势严峻。能源行业信息系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,病毒、木马等威胁正在向能源信息系统扩散,网络安全的问题日益突出。美国Verizon发布的2015年度全球各行业遭受的恶意软件攻击频度统计分布如图2所示,能源行业已成为仅次于零售业的主要攻击目标。

图2 2015年度全球各行业遭受的恶意软件攻击频度统计分布

1 能源行业网络安全人才总体需求

网络安全是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力[2]。网络安全的竞争核心在于网络安全人才,建立一支大规模、高素质的网络安全人才队伍已成为维护国家网络安全和建设网络强国的核心需求。当前关键基础设施安全问题更多地表现为关键信息基础设施的人才缺乏问题,核心关键技术受制于人,已严重影响国家安全.网络安全是国家安全体系的重要组成部分。因此,要维护好网络空间这一非传统领域的安全,贯彻“总体国家安全观”,最关键的要素在于人才的培养.近年来,我国网络安全人才培养得到了空前的重视.在国家层面密集出台一系列战略、政策、法规,无一不是把网络安全人才队伍建设视为必不可少的一项基础工作。

为构建全面网络安全人才体系,中办发[2003]27号文件《国家信息化领导小组关于加强网络安全保障工作的意见》[3]中就提出了“加快网络安全人才培养,增强全民网络安全意识”。在网络安全保障建设工作要求中,政府、企事业单位需要有一支完整的、层次化的网络安全人才队伍保障其网络安全建设。

2016年4月19日,习近平总书记在网络安全与信息工作座谈会上指明了网络安全人才培养工作的重点[4],对网络安全和信息化人才问题做了重要论述:“要下大功夫、下大本钱,请优秀的老师,编优秀的教材,招优秀的学生,建一流的网络空间安全学院。”和“要建立适应网信特点的人才评价机制,以实际能力为衡量标准,不唯学历,不唯论文,不唯资历,突出专业性、创新性、实用性。”

2017年6月1日正式实施的《中华人民共和国网络安全法》[5]首次以法律形式强调要加强网络安全学历教育和职业培训,其中有3处明确涉及网络安全人才培养工作。

1) 第三条:国家“鼓励网络技术创新和应用,支持培养网络安全人才”。

2) 第二十条:“国家支持企业和高等院校、职业学校等教育培训机构开展网络安全相关教育和培训,采取多种方式培养网络安全人才,促进网络安全人才交流”。

3) 第三十四条:关键信息基础设施的运营者要定期对从业人员进行网络安全教育、技术培训和技能考核。

能源行业作为关系我国国计民生的基础行业,行业内部组成具有综合性。能源行业对网络安全人才具有现实需求。以电网公司为例,其下属行业包括生产技术部门、营销部门、科研部门等。因此,对于网络安全专业的毕业生既有管理、运维保障人员的需求(主要为本科、硕士),又有研发人才的需求(主要为硕士、博士)。

能源行业网络安全从业人员与实际需求存在巨大缺口,目前我国网络空间安全人才培养状况还无法满足相关行业产业的需求。

1) 根据工信部中国电子信息产业发展研究院发布的数据,各行业对网络安全人才的实际需求量之间存在50万人的差距。

2) 作为关系我国国计民生的基础行业,以电力行业为例,对网络安全人才的需求缺口也相当巨大(达到5000人左右)。

2 能源行业网络安全从业人员培养存在的问题

总的来说能源行业网络安全从业人员存在以下问题:

1) 网络安全人才发展战略缺少系统、全面的规划和协调。国家已经制定了“加快网络安全人才培养,增强全民网络安全意识”的指导思想,但是在具体落实上,网络安全主管机构、教育机构等都从各自的角度建立其规划及相关政策,没有形成一个高度统一的国家网络安全人才发展总体战略。

2) 网络安全学历教育和社会实践、社会认证培训的结合问题。目前,网络安全专业的教育一方面倾向于技术领域和理论领域,缺乏对风险管理等网络安全管理领域的学习;另一方面,在技术领域,学校教育内容同工作领域的需求存在一定差距,学校学习的内容往往滞后于网络安全的发展。

3) 网络安全人才的管理问题。

① 高层次网络安全人才具有很强的流动性,传统的档案管理和行政管理方式很难建立对网络安全人才的追踪管理。

② 网络安全领域的继续教育、培训同传统的职称管理以及准入管理的结合不够。

③ 网络安全人才选拔与用人机制不健全,人才评价机制不完善。

4) 网络安全领域中懂业务的高层次人才严重缺乏。能源行业网络安全事故可实时引起能源生产安全事故,网络安全与业务高度融合,而既懂网络安全又懂业务特别是工控业务的复合型、高层次人才严重缺乏。

5) 高端网络安全人才,特别是网络安全管理人才以及网络安全高层次和综合性人才严重缺乏。

① 网络安全是建立在信息化和企业业务的基础上,更注重懂技术、懂管理和懂业务的综合实践能力。网络安全管理人才需要既懂一些网络安全技术,又要懂网络安全管理、政策以及相关国家或行业的标准和法规。目前,学校教育缺乏网络安全管理的内容,而在社会培训认证中培养的网络安全管理人才只占网络安全人才的一小部分,无法满足需求。

② 能源行业中,具备3年以上网络安全工作经验、拥有本科以上学历的网络安全人才严重缺乏。而懂技术、懂管理和业务的网络安全从业人员成为稀缺人才。

6) 网络安全从业人员更多集中在技术领域,而且主要偏向于具体产品的研发、技术支持和维护。目前,网络安全从业人员主要偏向于具体的实用技术,偏向于产品的研发、技术支持和维护,缺乏完整、综合的技术能力和管理能力。

能源行业具有特殊性,由于行业内需要保障网络安全的对象往往和电力企业的业务紧密相连,因此,初入企业且没有相关行业从业经验的大学毕业生很难在短时间内将自己所学的专业知识应用在工作中。其主要原因如下:

1) 缺乏实验

作为新兴学科,网络安全专业在我国大部分高校里成立的时间较短,相应的实验配套设施尚未成熟,高校的网络安全实验教学偏重理论知识的传授,并不强调实践能力,学生在学校里往往只停留在书本上的基础理论知识.实验的内容单一,并且缺少综合性设计实验,不强调实验室环境的真实性而以模拟情景为主。在实验条件方面,大多数院校的实验条件还比较落后.实验手段和条件不具备,绝大部分高校都没有信息安全专业实验室。对学生培训仅进行简单的加密解密、防火墙或者入侵检测等实验.对于网络对抗等更深入的实验涉及较少。

2) 缺乏实践

由于行业的特殊性,大部分大学生在毕业前很难得到在能源企业中的网络安全岗位上实践的机会,而学校还缺乏相对稳定且符合一定要求的(校外)实习基地。提供的网络安全专业教材往往以理论为主,与行业实际脱节较大。

3) 缺乏交流

作为一个技术理论含量极高的行业,能源相关技术日新月异(例如能源互联网、智慧工厂、智能电网的发展),因此,作为安全保障技术之一的网络安全理论和技术则需要与时俱进。而我国网络安全学科尚处在起步阶段,想要培养高层次的网络安全从业人员,则必须使其有机会接触到国际先进的网络安全理论和技术。

3 能源行业网络安全人才培养

2014年,中央网络安全与信息化领导小组成立,习近平总书记亲自担任组长。习总书记指出“没有网络安全,就没有国家安全;没有信息化,就没有现代化”[6]。2015年教育部批准增设网络空间安全专业,授予工学学位[7]。2016年共有29所高校获得我国首批网络空间安全一级学科博士学位授权点[8]。今后应充分发挥首批院校的引领和带动作用,全方位积极探索专业人才的培养。下面对开设网络安全专业的相关高校提出一些具体建议。

作为培养网络安全人才的重要载体,大学可在以下方面加强培养和教育:

1) 加大网络安全教学实验环境的建设,增强网络安全专业大学生的实操能力。开设网络安全专业的高校,应逐步建立网络攻防实验平台、网络环境安全测试平台等,增设相应的实操课程,并纳入学科的必修环节。

2) 加强与能源行业的校企合作,为学生提供企业内实践的机会。有条件的高校应根据自身特点,积极开展与电力行业的合作,借助行业的力量建立相应的合作机制,实现学生的行业“定制化”培养。

3) 推进网络安全学科的国际交流,积极引进国外先进的工程教育资源和高水平的工程师资,积极组织学生参与国际交流、到海外企业实习,拓展国际视野,提升学生跨文化交流、合作能力和参与国际竞争能力。

网络空间安全是一个通过预防、检测和响应攻击来保护信息的过程[9-10]。能源企业在网络安全人才培养上,建议可在以下方面加强:

1) 制定网络安全人才培养规划。根据自身实际情况制定网络安全人才培养规划,发布包括网络安全人才应该具备的知识、能力和技术等在内的相关标准细则。建立企业内部的网络安全人才培养的任务清单、相关职位目录以及所需要的知识、技术、能力清单,为网络空间安全的人才培养指明方向。或建立统一的认证体系,对网络安全专业人员进行认证,这有利于人才培养质量的提升。

2) 积极开展企业员工的在职培训和内部网络安全专业人员的上岗培训。分层分级组织开展网络安全专业培训,强化各级单位人员安全防护意识和业务技能,完成安全防护持证上岗考试。

3) 依托外部培训机构或企业内部培训机构,开展认证培训.如开展注册信息安全专业人员(CISP)培训,或结合行业特色开展CISP-E培训.

4) 加快网络安全技术实训基地的建设,提高员工实际操作经验,熟悉相关设备的性能,培养综合技能。特别是针对重要的工业控制系统建设安全防护实训基地,为总部及其下属子公司提供一个系统、全面、先进、完善的安全防护真实环境,做到理论联系实际,有助于学员形成系统的安全防护知识体系,加深对安全防护知识及其应用的理解,提高学员的实际动手和操作能力,提高学员在实际环境中发现的问题、分析问题和解决问题的能力。

5) 建立职业技能鉴定和人才技能评价体系,我国在职称评定、专业技术人员的技能鉴定、人才技能评价等多方面进行了改革.企业是创新的主体,可以尝试纳入国家体系,对能源行业的特有职位建立职业技能鉴定、人才技能评价体系,促进能源人才技能资质管理规范化。建立完善的能源行业的职业技能鉴定、认证体系,制定职业标准,编写配套教材.鼓励员工学业务、学技术;提倡员工一专多能,引导员工自觉申请参加国家职业技能鉴定,提高员工的技能水平。

4 结论

为提升网络安全人才培养的实战水平和技术能力,建议能源企业和高校、培训机构开展合作,双方共同开发课程、共建实验室和攻防平台,并在企业设立实习和实训基地,实现课堂教学、学生培养、实习实践的有机结合,提升网络安全专业学生的技术水平和就业竞争力,同时也能为能源行业提供高质量的网络安全人才队伍。总之,网络安全人才培养应该更多地与能源行业的发展相结合,更好地服务于能源企业,使人才培养价值链与行业发展经济链相互驱动,共同提升。

参考文献

[1] 习近平在中国共产党第十九次全国代表大会上的报告[EB/OL]. [2018-10-15]. http: cpc.people.com.cn/n1/2017/1028/c64094-29613660.html.

[2] 方滨兴. 从层次角度看网络空间安全技术的覆盖领域[J]. 网络与信息安全学报,2015,1(1):16.

[3] 国家信息化领导小组关于加强信息安全保障工作的意见[EB/OL]. [2018-10-15]. http://www.hee.gov.cn/col/1438997621802/2015/05/04/1438997927587.html.

[4] 习近平在网络安全和信息化工作座谈会上的讲话[EB/OL]. [2018-10-15]. http://www.xinhuanet.com/politics/2016-04/25/c_1118731175.htm.

[5] 中华人民共和国网络安全法[EB/OL]. [2018-10-15]. http://www.npc.gov.cn/npc/xinwen/2016-11/07/content_2001605.html.

[6] 习近平. 把我国从网络大国建设成为网络强国[EB/OL]. [2018-10-15]. http://news.xinhuanet.com/2014-02/27/c_119538788.htm.

[7] 教育部关于增设网络空间安全一级学科的通知[EB/OL]. [2018-10-15]. http://www.moe.gov.cn/s78/A22/A22_gggs/A22_s#/201511/t20151127_221423.html.

[8] 关于开展增列网络空间安全一级学科博士学位授权点工作的通知[EB/OL]. [2018-10-15]. http://www.moe.gov.cn/jyb_xxgk moe_1777/moe_1778/201511/t20151127_221424.html.

[9] 李晖,张宁. 网络空间安全学科人才培养之思考[J]. 网络与信息安全学报,2015,1(1):1823.

[10] 马建峰,李凤华. 信息安全学科建设与人才培养:现状、问题与对策[J]. 计算机教育,2015 (1):1114.

陈雪鸿

硕士,高级工程师,主要研究方向为能源行业网络与网络安全监管支撑与服务。

504531816@qq.com

卓越

博士,高级工程师,主要研究方向为电力行业通信技术和网络安全技术研究与规划。

zhuoyue997@qq.com

文章转自《信息安全研究》2018年第12期。

声明:本文来自关键信息基础设施技术创新联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。