網絡安全行業研究報告范文

導語：如何才能寫好一篇網絡安全行業研究報告，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

 

1美國電力行業信息安全的戰略框架

 

為響應奧巴馬政府關于加強丨Kj家能源坫礎設施安全(13636行政令，即ExecutiveOrder13636-ImprovingCriticalInfrastructureCybersecurity)的要求，美國能源部出資，能源行業控制系統工作組(EnergySec*torControlSystemsWorkingGroup,ESCSWG)在《保護能源行業控制系統路線圖》(RoadmaptoSecureControlSystemsintheEnergySector)的基礎上，于2011年了《實現能源傳輸系統信息安全路線閣》。2011路線圖為電力行業未來丨0年的信息安全制定了戰略框架和行動計劃，體現了美國加強國家電網持續安全和可靠性的承諾和努力路線圖基于風險管理原則，明確了至2020年美國能源傳輸系統網絡安全目標、實施策略及里程碑計劃，指導行業、政府、學術界為共丨司愿景投入并協同合作。2011路線圖指出：至2020年，要設計、安裝、運行、維護堅韌的能源傳輸系統(resilientenergydeliverysystems)。美國能源彳了業的網絡安全目標已從安全防護轉向系統堅韌。路線圖提出了實現目標的5個策略，為行業、政府、學術界指明了發展方向和工作思路。(1)建立安全文化。定期回顧和完善風險管理實踐，確保建立的安全控制有效。網絡安全實踐成為能源行業所有相關者的習慣,，(2)評估和監測風險。實現對能源輸送系統的所有架構層次、信息物理融合領域的連續安全狀態監測，持續評估新的網絡威脅、漏洞、風險及其應對措施。(3)制定和實施新的保施。新一代能源傳輸系統結構實現“深度防御”，在網絡安全事件中能連續運行。(4)開展事件管理。開展網絡事件的監測、補救、恢復，減少對能源傳輸系統的影響。開展事件后續的分析、取證以及總結，促進能源輸送系統環境的改進。(5)持續安全改進。保持強大的資源保障、明確的激勵機制及利益相關者密切合作，確保持續積極主動的能源傳輸系統安全提升。為及時跟蹤2011路線圖實施情況，能源行業控制系統工作組(ESCSWG)提供了ieRoadmap交互式平臺。通過該平臺共享各方的努力成果，掌握里程碑進展情況，使能源利益相關者為路線圖的實現作一致努力。

 

2美國電力行業信息安全的管理結構

 

承擔美國電力行業信息安全相關職責的主要政府機構和組織包括：國土安全部(DHS)、能源部(1)0￡)、聯邦能源管理委員會(FEUC)、北美電力可靠性公司(NERC)以及各州公共事業委員會(PUC)。2.1國土安全部美國國土安全部是美國聯邦政府指定的基礎設施信息安全領導部I'j'負責監督保護政府網絡安全，為私營企業提供專業援助。2009年DHS建立了國家信息安全和通信集成中心(NationalCyhersecurityandCommunicationsIntegrationCenter,NCCIC),負責與聯邦相關部門、各州、各行業以及國際社會共享網絡威脅發展趨勢，組織協調事件響應w。

 

2.2能源部

 

美國能源部不直接承擔電網信息安全的管理職責，而是通過指導技術研發和協助項目開發促進私營企業發展和技術進步能源部的電力傳輸和能源可靠性辦公室(Office(>fElectricityDelivery<&EnergyReliability)承擔加強國家能源基礎設施的可靠性和堅韌性的職責，提供技術研究和發展的資金，推進風險管理策略和信息安全標準研發，促進威脅信息的及時共享，為電網信息安全戰略性綜合方案提供支撐。

 

能源部2012年與美國國家標準技術研究院、北美電力可靠性公司合作編制了《電力安全風險管理過程指南》(ElectricitySubsectorCybersecurityRiskManagementProcess)151;2014年與國土安全部等共同協作編制完成了《電力行業信息安全能力成熟度模型》(ElectricitySubsectorcybersecurityCapabilityMaturityModel(ES-C2M2)丨6丨，以支撐電力行業的信息安全能力評估和提升;2014年資助能源行業控制系統工作組(ESCSWG)形成了《能源傳輸系統網絡安全采購用語指南》(CybersecurityProcurementlanguageforEnergyDeliverySystems)171,以加強供應鏈的信息安全風險管理。

 

在201丨路線圖的指導下，能源部啟動了能源傳輸系統的信息安全項目，資助愛達荷國家實驗室建立SCADA安全測試平臺，發現并解決行業面臨的關鍵安全漏洞和威脅;資助伊利諾伊大學等開展值得信賴的電網網絡基礎結構研究。

 

2.3聯邦能源管理委員會

 

聯邦能源管理委員會負責依法制定聯邦政府職責范圍內的能源監管政策并實施監管，是獨立監管機構。2005年能源政策法案(EnergyPolicyActof2005)授權FERC監督包括信息安全標準在內的主干電網強制可靠性標準的實施。2007年能源獨立與安全法案(EnergyIndependenceandSecurityActof2007(EISA))賦予FERC和國家標準與技術研究所(National丨nstituteofStandardsan<丨Technology，NIST)相關責任以協調智能電網指導方針和標準的編制和落實。2011年的電網網絡安全法案(GridCyberSecurityAct)要求FKRC建立關鍵電力基礎設施的信息安全標準。

 

2007年FERC批準由北美電力可靠性公司制定的《關鍵基礎設施保護》(criticalinfrastructureprotection，CIPW標準為北美電力可靠性標準之中的強制標準，要求各相關企業執行，旨在保護電網，預防信息系統攻擊事件的發生。

 

2.4北美電力可靠性公司

 

北美電力可靠性公司是非盈利的國際電力可靠性組織。NERC在FERC的監管下，制定并強制執行包括信息安全標準在內的大電力系統可靠性標準，開展可靠性監測、分析、評估、信息共享，確保大電力系統的可靠性。

 

NERC了一系列的關鍵基礎設施保護(CIP)標準181作為北美電力系統的強制性標準;與美國能源部和NIST編制了《電力行業信息安全風險管理過程指南》，提供了網絡安全風險管理的指導方針。

 

歸屬NERC的電力行業協凋委員會(ESCC)是聯邦政府與電力行業的主要聯絡者，其主要使命是促進和支持行業政策和戰略的協調，以提高電力行業的可靠性和堅韌性'NERC通過其電力行業信息共享和分析中心(ES-ISAC)的態勢感知、事件管理以及協調和溝通的能力，與電力企業進行及時、可靠和安全的信息共享和溝通。通過電網安全年會(GridSecCon)、簡報，提供威脅應對策略、最佳實踐的討論共享和培訓機會;組織電網安全演練(GridEx)檢查整個行業應對物理和網絡事件的響應能力，促2.5州公共事業委員會美國聯邦政府對地方電力公司供電系統的可靠性沒有直接的監管職責。各州公共事業委員會負責監管地方電力公司的信息安全，大多數州的PUC沒有網絡安全標準的制定職責。PUC通過監管權力，成為地方電力系統和配電系統網絡安全措施的重要決策者。全國公用事業監管委員協會(NationalAssociationofRegulatoryUtilitycommissioners,NARUC)作為PUC的一■個聯盟協會，也采取措施促進PUC的電力網絡安全工作，呼吁PUC密切監控網絡安全威脅，定期審查各自的政策和程序，以確保與適用標準、最佳實踐的一致性%

 

3美國電力行業信息安全的硏究資源

 

參與美國電力行業信息安全研究的機構和組織主要有商務部所屬的國家標準技術研究院及其領導下的智能電網網絡安全委員會、國土安全部所屬的能源行業控制系統工作組，重點幵展電力行業信息安全發展路線圖、框架以及標準、指南的研究。同時，能源部所屬的多個國家實驗室提供網絡安全測試、網絡威脅分析、具體防御措施指導以及新技術研究等。

 

3.1國家標準技術研究院(NIST)

 

根據2007能源獨立與安全法令，美_國家標準技術研究院負責包括信息安全協議在內的智能電網協議和標準的自愿框架的研發。NISTf20102014發#了《?能電網互操作標準的框架和路線圖》(NISTFrameworkaridRoadmapforSmartGridInteroperabilityStandard)1.0、2.0和3.0版本，明確了智能電網的網絡安全原則以及標準等。2011年3月，NIST了信息安全標準和指導方針系列中的旗艦文檔《NISTSP800-39，信息安全風險管理》丨叫(NISTSpedalPublication800—39,ManagingInformationSecurityRisk)，提供了一系列有意義的信息安全改進建議。2014年2月，根據13636行政令，了《提高關鍵基礎設施網絡安全框架》第一版，以幫助組織識別、評估和管理關鍵基礎設施信息安全風險。

 

NIST正在開發工業控制系統(ICS)網絡安全實驗平臺用于檢測符合網絡安全保護指導方針和標準的_「.業控制系統的性能，以指導工業控制系統安全策略最佳實踐的實施。

 

3.2智能電網網絡安全委員會

 

智能電網網絡安全委員會其前身是智能電網互操作組網絡安全工作組(SGIP-CSWG)ra。SGCC一直專注于智能電網安全架構、風險管理流程、安全測試和認證等研究，致力于推進智能電網網絡安全的發展和標準化。在NIST的領導下，SGCC編制并進一步修訂了《智能電網信息安全指南》(NISTIR7628,GuidelinesforSmartGridCybersecurity),提出了智能電網信息安全分析框架，為組織級研究、設計、研發和實施智能電網技術提供了指導性T.具。

 

3.3國家電力行業信息安全組織(NESC0)

 

能源部組建的國家電力行業信息安全組織(NationalElectricSectorCybersecurityOrganization,NESCO)，集結了美國國內外致力于電力行業網絡安全的專家、開發商以及用戶，致力于網絡威脅的數據分析和取證工作⑴。美國電力科學研究院(EPRI)作為NESC0成員之一提供研究和分析資源，開展信息安全要求、標準和結果的評估和分析。NESCO與能源部、聯邦政府其他機構等共同合作補充和完善了2011路線圖的關鍵里程碑和目標。

 

3.4能源行業控制系統工作組(ESCSWG)

 

隸屬國土安全部的能源行業控制系統工作組由能源領域安全專家組成，在關鍵基礎設施合作咨詢委員會框架下運作。在能源部的資助下，ESCSWG編制了《實現能源傳輸系統信息安全路線圖》、《能源傳輸系統網絡安全釆購用語指南》。3.5能源部所屬的國家實驗室

 

3.5.1愛達荷國家實驗室(INL)

 

愛達荷W家實驗室成立于1949年，是為美國能源部在能源研究、國家防御等方面提供支撐的應用工程實驗室。近十年來，INL與電力行業合作，加強了電網可靠性、控制系統安全研究。

 

在美國能源部的資助下，INL建立了包含美國國內和國際上多種控制系統的SCADA安全測試平臺以及無線測試平臺等資源，目的對SCADA進行全面、徹底的評估，識別控制系統脆弱點，并提供脆弱點的消減方法113】。通過能源部的能源傳輸系統信息安全項目，INL提出了采用數據壓縮技術檢測惡意流量對SCADA實時網絡保護的方法hi。為支持美國國土安全部控制系統安全項目，INL開發并實施了培訓課程以增強控制系統專家的安全意識和防御能力。1NL的相關研究報告有《SCADA網絡安全評估方法》、《控制系統十大漏洞及其補救措施》、《控制系統網絡安全：深度防御戰略》、《控制系統評估中常見網絡安全漏洞》%、《能源傳輸控制系統漏洞分析>嚴|等。

 

3.5.2太平洋西北國家實驗室(PNNL)

 

太平洋西北國家實驗室是美國能源部所屬的闊家綜合性實驗室，研究解決美國在能源、環境和國家安全等方面最緊迫的問題。

 

PNNL提出的安全SCADA通信協議(secureserialcommunicationsprotocol,SSCP)的概念，有助于實現遠程訪問設備與控制中心之間的安全通信。的相關研究報告有《工業控制和SCADA的安全數據傳輸指南》等。PNNL目前正在開展仿生技術提高能源領域網絡安全的研究項。

 

3.5.3桑迪亞國家實驗室(SNL)

 

桑迪亞國家實驗室是能源部所屬的多學科國家實驗室，也是聯邦政府資助的研究和發展中心。SNL的研究報告有《關鍵基礎設施保護網絡漏洞評估指南》、《控制系統數據分析和保護安全框架》、《過程控制系統的安全指標》I1'《高級計量基礎設施安全考慮》、《微電網網絡安全參考結構》等。在能源部的資助下，SNL開展了關于供應鏈威脅的研究項目，形成的威脅模型有助于指導安全解決方案的選擇以及新投資的決策hi。

 

4美國電力行業信息安全的運作策略

 

4.1標準只作為網絡安全的基線

 

NERC的關鍵基礎設施保護標準(CIP)作為強制性標準，是電力行業整體網絡安全策略的重要內容。CIP標準與電網規劃準則、系統有功平衡與調頻、無功平衡與調壓、安全穩定運行等系列標準相并列，成為北美大電網可靠性標準的重要組成部分。目前強制執行的是CIP-002至C⑴-009共8個標準的第3版。文獻1丨6]提供了CIP-002至CIP-009主要內容的描述列表。C〖P第5版近期已通過FERC批準即將于2016年實施。第5版新增了CIP-010配置變更管理和漏洞評估、C1P-011信息保護2個強制標準。

 

目前配電系統沒有強制標準，但NIST將C1P標準融入了智能電網互操作框架中。智能電網互操作框架雖然是自愿標準，但為配電系統提供了信息安全措施指導為系統性的指導智能電網信息安全工作，NIST組織編制了《美國智能電網信息安全指南》，提出了一個普適性的智能電網信息安全分析框架，為智能電網的各相關方提供了風險評估、風險識別以及安全要求的實施方法。DOE編制的《電力行業信息安全風險管理過程指南》提供了電力行業信息安全風險管理的方法[5】。DOE與DHS合作編制的《信息安全能力成熟度模型》(ES-C2M2)i6i，通過行業實踐幫助組織評估、優化和改善網絡安全功能，促進網絡安全行動和投資的有序開展以及信息安全能力的持續提升。2014年NIST了《提高關鍵基礎設施網絡安全框架》也作為電力行業網絡安全自愿標準。文獻f17]提到只有21%的公用事業采取了NERC推薦的預防震網措施，可見自愿標準的執行率偏低強制執行的CIP標準在大電力系統網絡安全方面確實發揮了基礎作用，然而網絡威脅的快速變化以及每個組織面對的風險的獨特性，強制性標準在某種程度上影響企業采取超過但不同于最低標準的合適的防護措施。文獻丨3]提出目前將強制性的解決方案擴展到配電網不是有效的方法，聯邦政府也在考慮縮小強制性范圍。持續提升網絡安全水平不能僅僅依賴于標準的符合度，監督管理不能保證安全。電力行業的網絡安全需要整體的網絡安全戰略，包括安全文化建設、共享與協作、風險管理等。無論是強制性的標準還是非強制性的標準都只是信息安全的最低要求'4.2安全文化建設成為信息安全路線圖首要策略

 

對能源傳輸系統安全風險的認知缺失或識別能力的不足，缺少有效的安全策略和技術環境訓練的人員，將阻礙能源行業的持續安全。安全文化建設已成為201丨路線圖的首要策略，以提升電力行業網絡安全運作的主動性。2011路線圖提出重點從最佳實踐、教育、認證等方面加強信息安全文化建設，以實現能源傳輸系統的最佳實踐被廣泛使用、具備能源傳輸和網絡安全技能的行業人員明顯增長等中長期目標'最佳實踐傳遞的目標效果是網絡安全實踐成為能源行業所有相關者的習慣。相關國家實驗室圍繞各自研究方向總結了評估方法、漏洞補救措施、操作指南等一系列最佳實踐。如INL根據其多年SCADA漏洞評估經驗，編制了《能源傳輸系統漏洞分析》、《SCADA網絡安全評估方法》等。PNNL編制的《丁業控制和SCADA系統的安全數據傳輸指南》，為工業控制系統提供了能及時發現并阻止人侵的數據傳輸結構。NIST將最佳實踐融入了安全框架、指南和導則中，如《提高關鍵基礎設施網絡安全框架》、《工業控制系統網絡安全指南》等。NESCO、NERC等通過電網安全年會等多種方式提供了最佳實踐的交流機會。

篇2

摘 要：本文通過對民航計算機專業人才培養方案實施過程中存在問題的分析，在深入研究普通高校計算機專業人才培養質量及專業建設規范的基礎上，基于“規格分類”和“工程教育”的指導思想，給出了民航計算機專業工程應用型人才培養模式，并介紹了“課內外一體化”實驗實踐教學體系改革的探索及實踐過程。

關鍵詞：民航；計算機專業；工程應用型；人才培養體系；課內外一體化

中圖分類號：G642 文獻標識碼：A

1 引言

計算機專業是目前國內規模最大的專業，表現在專業點數和學生人數兩個最多，其學科涵蓋面廣、應用面寬、應用層次跨度大，由于各個學校辦學條件的差異造成在校學生跨度也最大。面對計算機教育發展的新形勢，民航行業院校計算機專業建設與人才培養則面臨更加嚴峻的挑戰。民航局在“十五”期間組織實施的信息化工程，有力地帶動了全行業基本實現了信息化，“十一五”期間，信息化建設還將為加快我國新一代民用航空運輸系統建設，構建和諧民航，實現民航強國的戰略目標提供有力保障，這無疑對民航院校計算機專業建設與民航信息化人才培養提出了更高的要求。

2 “規格分類”指導下的民航計算機專業工程應用型人才培養體系改革

隨著計算機技術的快速發展與普及，“會計算機”已經不再是計算機專業學生獨有的優勢，十年前形成的“計算機科學與技術”的內涵和外延已經與信息科學技術高速發展所導致的社會對“計算機人才”的期望產生了明顯的距離，很難將各個學科分支形成的豐富并完整的知識體系安排在計算機專業單一的本科教學課程體系之中，同時單一的培養模式已經不能滿足社會對計算機不同規格人才的需求。中國的計算機教育近十年來與發達國家的差距在逐漸加大，造成了計算機人才培養普遍存在畢業生專業特色不明顯、從而競爭優勢不強；學生在校期間沒有得到足夠的、比較綜合或系統的訓練，特別是專業實習和畢業設計的環節難以有效開展等問題，從而造成計算機類專業畢業生就業數量與質量出現困難。

2.1 “規格分類”的基本指導思想

2006年6月24日教育部高校專業指導委員會計算機分委會制定的《高等學校計算機科學與技術專業發展戰略研究報告暨專業規范》(CC2005)中提出了以“規格分類”為核心思想，實現總體結構調整，解決人才培養與需求結構失衡問題，通過專業認證，促進教育教學水平的提高。在“計算機科學與技術”專業名稱下，鼓勵不同學校根據社會需求和自身的實際情況，為學生提供不同類型的、本科水平的教學計劃。鼓勵不同學校根據社會需求和自身實際情況，按照科學型(CS)、工程型(CE和SE)、應用型(信息技術型IT和IS)三種規格開展人才培養，制定人才培養方案。其中工程型(SE/CE)人才培養的定位是在強化學生專業知識學習的基礎上，注重學生畢業后從事工程類型工作所需要的工程實踐能力和職業化素質的培養。而應用型(IS/IT)人才培養的定位則是以培養從事計算機系統集成的應用人才為主，注重培養學生軟硬件系統的研發能力，強調學生對非計算機學科(專業)知識的融會貫通。

《專業規范》的內容為國內計算機專業建設提供了良好的參考。我們在落實學校教育定位的基礎上，深入分析了國內計算機專業學生培養目標的定位，重新審視我校計算機專業培養計劃的執行情況，針對計算機專業教育規模與培養能力的矛盾、計算機專業學生培育質量與社會需求的不適應性等問題開展了一系列的改革與實踐。

2.2 正確處理社會需求與學生培養目標的關系

處理好社會需求與學生培養目標的關系，解決計算機專業人才培養“上不著天，下不著地”的問題是培養計劃修訂的出發點。作為民航唯一的多科性大學，行業特色專業(交通運輸、機務維修等專業)一直是我校生源最好的專業，而計算機專業作為行業性學校中的通用專業，多年來被學校定位于交通運輸工程學科群中的基礎與支撐學科，主要任務是為全校提供計算機基礎教育并培養計算機專業的應用人才。我校計算機專業畢業生去向主要是面向全社會的軟件企業、民航、考研等情況，近4年來計算機專業畢業生去向統計情況如表1所示：

民航計算機專業一直以服務民航和社會的“應用型”人才培養為主，但從我校計算機專業近四年畢業去向的統計結果來看，除民航就業人數一直保持在25％左右以外，面向社會(特別是京津地區)IT企業就業的比例呈明顯上升趨勢，民航和社會更強調工程開發能力。因此將工程型人才培養與應用型人才培養相結合，以民航信息化建設和“新一代民航運輸系統”為牽引，通過軟件技術與網絡技術方向課程體系的改革，不斷加強專業實踐能力的培養，成為培養計劃修訂的根本任務。

2.3 認真分析辦學特色與人才培養的定位問題

處理好辦學特色與人才培養的定位，解決“沒有特點，不軟不硬”的問題是培養計劃修訂的重點。地處濱海新區的民航大學計算機專業建設,除了充分認識本學科現有的基礎、條件、環境、特色外，必須堅持“立足民航、服務社會(首先是濱海新區)，與國際接軌”的辦學指導思想。04年以前我們的培養計劃在專業方向設置中存在與市場聯系不夠緊密、與現有教學資源不相匹配的問題。8個方向模塊(軟件技術類、網絡技術類、數據庫技術類、硬件技術類、圖形與可視化技術類、民航信息系統類)中，硬件技術類、圖形與可視化技術類、民航信息系統類三個模塊由于教師資源及選課人數不足等問題，基本沒有開設成功。為此，我們在不斷凝練和挖掘學科專業建設基礎的基礎上，提出了依靠民航信息系統開發與網絡安全建設的學科優勢，重新構筑計算機專業的課程體系的新思路。

在進一步夯實公共基礎、學科專業基礎的同時，增設了“民航信息系統概論”專業基礎課程，重新確定了以下兩個專業發展方向：

(1) 計算機軟件技術方向：著重培養能夠進行軟件分析與設計、使用軟件開發工具進行應用軟件開發，應用軟件技術領域的核心技術設計高效實用的信息系統解決方案的學生。

(2) 計算機網絡技術方向：著重培養能夠進行網絡規劃與設計、使用網絡管理工具進行網絡故障診斷，應用網絡技術領域的核心技術實施網絡管理的學生。

3 民航計算機專業工程應用型人才培養的實踐

處理好課程教學與能力培養的關系，解決“理論不深，能力不強”的問題是培養計劃修訂的難點。2000年以來，根據社會和民航行業對計算機人才的需求狀況，結合CC2001、CCC2002、CC2005和教指委推出的《計算機專業規范》的指導精神，我們在“平臺＋模塊”、“合格＋特長”的基礎上全面引入了“課內外一體化”實驗實踐教學模式，以工程教育理念為指導，圍繞課內學時減少情況下如何更好地開展課外教學與輔導、提高實驗實踐教學質量實施了一系列教學改革。

3.1 以培養計劃的修訂為契機，精心構建課內外一體化實驗教學模式