网络安全证书提升关键基础设施防护

关键要点

随着威胁组织和黑客对公用事业、电力网、交通运输等重要行业的攻击不断增加，网络安全专家的需求变得尤为迫切。本文将介绍一些能够增强网络安全团队对抗攻击者能力的证书。

图片来源 Imfoto/Shutterstock

国家间的混合战争正在严重威胁全球关键基础设施，无论是实体还是电子方面。自乌克兰与俄罗斯冲突开始以来，针对卫星、通信、能源、交通、水和其他关键行业的混合网络/物理攻击在欧洲及其他地区不断扩散。

根据联邦调查局FBI的报告，中国黑客正积极渗透美国及海外的电信网络。德国也指责中国破坏了波罗的海下的海底电缆。

与此同时，由国家资助的勒索软件形式的拒绝服务攻击正在对医疗保健、能源、交通和制造业等领域造成严重破坏，FBI报告指出。

在关键基础设施攻击上升的背景下，网络安全专家的需求比以往任何时候都更为迫切。然而，针对每个被认定的16个关键基础设施行业，目前只有少数专门的网络安全认证可供选择。

“现在，我们的行业特定培训仍然不足，但这一现状正在变化，”SANS Institute 网络安全培训公司的研究主管 Rob T Lee 表示。“这些雇主正在评估某人是否有资格参与与关键基础设施直接相关的ITOS和OT系统的工作，特别是那些直接连网的系统。”

新课程和认证的开发通常需要数年时间，但 SANS 和其他培训机构已建立了针对工业控制系统ICS和适用于多个行业及其角色的关键基础设施保护的网络安全认证。

多层次网络安全认证

大多数负责关键基础设施的组织通常依赖较为基础的认证，这些认证用于证明在网络安全概念、流程或角色专业化领域如事件响应或安全运营中心分析员的熟练程度。

“当我们查看与关键基础设施相关的任何认证时，很多 IT 人员会从其他部门转岗，随后被赋予额外的安全职责，”Lee说。“对于这些人来说，任何通用的基础 IT 安全认证都能满足要求。”

而如今，ICS和关键基础设施认证的普及使得那些在或支持这些关键行业的组织正在要求具备ICS认证，如GICSP全球工业网络安全专家，和/或关键基础设施认证，例如CCICE认证的关键基础设施安全专家。这两类证书目前适用于大多数关键基础设施行业，尤其是在制造业、能源、核能、水务、化工、商业设施、食品和农业以及国防工业领域。

行业特定的标准和合规知识同样重要。例如，在医疗系统招聘中，基本了解 HIPAA 的候选人、在金融行业熟悉 PCI DSS 的候选人，或在电信行业了解相关电信工业协会[标准