摘要：分析工業(yè)控制系統信息安全及其相關(guān)培訓的發(fā)展現狀，結合目前相對成熟的信息安全培訓體系，探索工業(yè)控制系統信息安全培訓的建設方式、方法。最后，針對國內現有的工業(yè)控制系統信息安全培訓相關(guān)方面存在的問(wèn)題，提出現階段相應的工業(yè)控制系統信息安全培訓的建議。

    關(guān)鍵詞：工業(yè)控制系統；信息安全；培訓

    Abstract: This paper analysisesthe development status of industrial control systems and related information security training.We refer to the relatively mature information security training system, and explore the industrial control system for the construction of information security training ways and methods. Finally, as for the existing problems in the information security training of industrial control system, weproposed the corresponding stage ofinformation security training of industrial control systems.

    Key words: Industrial control systems; Information security; Training 

    1　引言

    近年來(lái)，工業(yè)控制系統信息安全已成為業(yè)界熱度最高的詞條之一，隨著(zhù)計算機網(wǎng)絡(luò )技術(shù)、信息化與工業(yè)化的深度融合以及物聯(lián)網(wǎng)、大數據的飛速發(fā)展，工業(yè)控制系統的發(fā)展空間得到大大拓展。嵌入式技術(shù)、無(wú)線(xiàn)技術(shù)、多標準工業(yè)控制網(wǎng)絡(luò )互聯(lián)等技術(shù)以各種方式逐漸融入到了工業(yè)控制系統之中，使得工業(yè)控制系統領(lǐng)域也由最初的“封閉式”走向了局部的“開(kāi)放式”，這就不可避免地為工業(yè)控制系統帶來(lái)了更多的信息安全問(wèn)題。

    以2010年發(fā)生的席卷全球工業(yè)界的“震網(wǎng)病毒”事件為爆發(fā)點(diǎn)，近幾年的工業(yè)控制系統領(lǐng)域被發(fā)現的安全威脅越來(lái)越多，國內也發(fā)生了多次造成嚴重損失的工業(yè)控制系統信息安全事件。由于國內工業(yè)控制領(lǐng)域的現狀，例如仍大規模使用國外廠(chǎng)商的設備或技術(shù)等，導致中國工業(yè)控制系統信息安全的發(fā)展面臨更為嚴峻的形勢。

    安全培訓作為工業(yè)控制系統信息安全體系中不可或缺的一環(huán)，也處于亟待重視與完善的位置，安全培訓為培養高素質(zhì)工業(yè)控制系統信息安全相關(guān)人才、提升相關(guān)從業(yè)人員的專(zhuān)業(yè)技術(shù)及管理能力提供規范化、科學(xué)化的知識體系。

    2　傳統信息安全培訓發(fā)展帶來(lái)的啟示

    工業(yè)控制系統信息安全究其本質(zhì)是屬于傳統信息安全的一個(gè)特殊分支，在國家將工業(yè)控制系統信息安全作為單獨體系提出之前，工業(yè)控制領(lǐng)域的信息安全建設還是按照傳統信息安全的建設體系、方法進(jìn)行建設的。信息安全在國內已形成了相對成熟的國家標準管理體系、市場(chǎng)應用體系、安全服務(wù)評估體系等，相關(guān)的信息安全培訓不僅有國內多所高等院校開(kāi)設的信息安全相關(guān)專(zhuān)業(yè)，還有諸多信息安全領(lǐng)域的知名企業(yè)開(kāi)設的專(zhuān)項信息安全培訓，同時(shí)還引進(jìn)了國際多種信息安全相關(guān)認證。

    工業(yè)控制系統信息安全培訓目前處于起步階段，由于工業(yè)控制領(lǐng)域的特殊性，其信息安全的培訓在知識體系具體內容、開(kāi)展方式等方面必然有別于傳統的信息安全培訓，但發(fā)展相對成熟的傳統信息安全培訓在諸如體系建設方式、整體布局規劃等方面也將為工業(yè)控制系統信息安全培訓提供諸多參考。

    2.1　培訓基準：國家標準、行業(yè)標準、信息安全評價(jià)標準等

    傳統信息安全在國家標準方面已發(fā)展的相對成熟，例如《信息安全技術(shù)信息系統安全等級保護定級指南》、《信息安全技術(shù)信息系統等級保護安全設計技術(shù)要求》等。同時(shí)，相關(guān)標準、文件又分類(lèi)詳細規定了信息安全工程管理、風(fēng)險評估規范、網(wǎng)絡(luò )基礎安全技術(shù)等方面的要求。這些政策、標準及文件是進(jìn)行以職業(yè)為導向的信息安全培訓的基準，同時(shí)也為國內安全廠(chǎng)家進(jìn)行內部產(chǎn)品設計、工程管理、安全培訓提供了參考基準。

    工業(yè)控制系統信息安全領(lǐng)域經(jīng)過(guò)近幾年的發(fā)展，已具有部分技術(shù)標準，電力行業(yè)已有相對成熟的安全標準體系并已在行業(yè)內實(shí)際執行，如《電力二次系統安全防護標準》等。另外，由全國工業(yè)過(guò)程測量和自動(dòng)化標準化技術(shù)委員會(huì )發(fā)布了關(guān)于工業(yè)控制系統信息安全的評估、驗收規范等文件，全國信息安全標準化技術(shù)委員會(huì )制訂了《SCADA系統安全控制應用指南》、《工控可控信息系統電力系統安全指標體系》，并計劃制訂《工控系統安全管理基本要求》等相關(guān)標準。

    但總體來(lái)說(shuō)，工業(yè)控制系統信息安全的相關(guān)標準仍處于發(fā)展及亟待完善的過(guò)程中，還未能完善地作為工業(yè)控制系統信息安全產(chǎn)品設計、工程管理、培訓實(shí)施的基準。

    2.2　培訓主體：多種培訓主體混合存在但又互相獨立

    傳統信息安全的培訓發(fā)展到目前主要有以下三種培訓主體：高校類(lèi)教育機構、專(zhuān)業(yè)的培訓機構、企事業(yè)單位或聯(lián)合體。這三種培訓主體的培訓方式差異很大，目的性也不一樣，高校類(lèi)教育機構旨在為國家系統的培養信息安全相關(guān)專(zhuān)業(yè)人才，滿(mǎn)足市場(chǎng)上對于信息安全從業(yè)人員的高需求量；專(zhuān)業(yè)的培訓機構主要是以職業(yè)培訓為導向，為信息安全從業(yè)人員提供國際、國內信息安全認證的特項培訓，提升個(gè)人的知識體系、從業(yè)技能等；企事業(yè)單位或聯(lián)合體主要進(jìn)行內部人員專(zhuān)項培訓，同時(shí)也有部分面向外部人員的專(zhuān)項信息安全培訓。

    目前國內工業(yè)控制系統信息安全的培訓主體尚未形成規范，多數已存在或已進(jìn)行的培訓均有培訓內容粗淺、指導性不強、職業(yè)提升性不高等問(wèn)題。

    2.3　培訓內容：分層次、理論與實(shí)踐相結合的培訓內容

    傳統的信息安全培訓體系已相對成熟，培訓的內容也層次清晰，理論與實(shí)踐的結合主要體現在一些專(zhuān)項培訓上。信息安全產(chǎn)品、信息安全技術(shù)與工程、信息安全管理，信息安全方法論等各方向也有相應的培訓與認證。更加細化地如以信息安全產(chǎn)品及服務(wù)體系來(lái)劃分的培訓內容（如網(wǎng)絡(luò )安全、數據安全、安全運維服務(wù)等），也能夠有專(zhuān)項的培訓支撐。

    工業(yè)控制系統信息安全目前在培訓領(lǐng)域尚未成體系與量級，多數為工業(yè)控制系統信息安全的基本概念或為宣傳企業(yè)自身安全產(chǎn)品進(jìn)行的培訓，實(shí)用性、指導性不強。

    工業(yè)控制系統信息安全由于其所處領(lǐng)域的特殊性，對于相關(guān)安全從業(yè)人員的職業(yè)技能要求有別于傳統的信息安全從業(yè)者。國內的工業(yè)控制系統信息安全培訓目前尚處于混沌階段，亟待規范，提升工業(yè)控制系統信息安全培訓的專(zhuān)業(yè)性、實(shí)用性及構建完善的培訓體系及內容，是相關(guān)機構目前的重大目標之一。

    3　建設工業(yè)控制系統信息安全培訓體系的建議

    3.1　以“標準”建設“培訓基準”

    工業(yè)控制系統信息安全的相關(guān)國家標準、行業(yè)標準正在完善制訂中，目前已發(fā)布了部分的標準及文件。工業(yè)控制系統信息安全培訓的基準要以國家標準、行業(yè)標準或指南進(jìn)行設計，培訓的內容要切合國家及行業(yè)要求，能夠為參加培訓的人員提供切實(shí)有益的知識，同時(shí)可以通過(guò)培訓為學(xué)員提供職業(yè)向導。

    在工業(yè)控制系統信息安全培訓整個(gè)內容體系的設計上，可通過(guò)對“標準”的解讀來(lái)設計針對行業(yè)、典型系統等專(zhuān)項培訓內容。

    3.2　檢測與認證要同步甚至領(lǐng)先于培訓

    工業(yè)控制系統信息安全的培訓是建立在國家及行業(yè)標準之上的，但同時(shí)也要對工業(yè)控制及信息安全領(lǐng)域的產(chǎn)品、系統進(jìn)行中立性的檢測、認證，這樣才能夠在培訓的內容上更加具有指導性、實(shí)用性等。

    3.3　“國”字頭專(zhuān)業(yè)培訓機構引導行業(yè)發(fā)展

    由于工業(yè)控制系統信息安全在國內尚處于發(fā)展初期，產(chǎn)品、服務(wù)、標準等各方面均不完善，相關(guān)的培訓也未形成體系，整個(gè)工業(yè)控制系統信息安全培訓領(lǐng)域尚處于混沌狀態(tài)。

    可參考傳統信息安全的三大培訓主體進(jìn)行對工控領(lǐng)域信息安全培訓的展望，工業(yè)控制系統信息安全現在還未具備單獨設立高校進(jìn)行大學(xué)或研究生專(zhuān)業(yè)培養的條件。目前最為有效、可行的方案是以“國”字頭的工業(yè)控制系統信息安全相關(guān)機構進(jìn)行培訓體系的建設與執行，逐步引導整個(gè)工控信息安全培訓領(lǐng)域的發(fā)展，建立標桿。

    由中國電子信息產(chǎn)業(yè)集團有限公司第六研究所承建的工業(yè)控制系統安全技術(shù)國家工程實(shí)驗室具備有檢測認證、培訓、研發(fā)工控安全產(chǎn)品及提供安全服務(wù)的能力，可在工控信息安全培訓中起到領(lǐng)頭羊的作用。

    3.4　建設完善的培訓體系與內容

    工業(yè)控制系統信息安全的培訓體系建設要考慮到相關(guān)標準及文件的要求，同時(shí)要以信息安全測試結果為基礎依托，建立以技術(shù)培訓和管理培訓為核心的培訓體系。體系規劃如圖1所示。
 

    4　結語(yǔ)

    工業(yè)控制系統安全技術(shù)國家工程實(shí)驗室結合自身?yè)碛械臉I(yè)務(wù)現狀、技術(shù)優(yōu)勢與科研水平，設計了一套符合國家標準政策要求的、可適應工業(yè)控制領(lǐng)域的信息安全培訓系列課程。課程內容主要包括了技術(shù)培訓及管理培訓，同時(shí)包含多種目前國際、國內應用的安全測試技術(shù)培訓，輔助與特有的工業(yè)控制系統模擬環(huán)境及工業(yè)現場(chǎng)實(shí)地測試，打造我國工業(yè)控制系統信息安全的培訓先驅?zhuān)瑸閲?、企業(yè)提供優(yōu)秀的工業(yè)控制系統信息安全專(zhuān)業(yè)人才，為保障我國工控領(lǐng)域安全發(fā)展貢獻最大的力量。


    作者簡(jiǎn)介

    柯皓仁（1986-），安徽望江人，工程師，碩士研究生，現就職于中國電子信息產(chǎn)業(yè)集團有限公司第六研究所工業(yè)控制系統信息安全技術(shù)國家工程實(shí)驗室，主要研究方向為物聯(lián)網(wǎng)技術(shù)、工控信息安全技術(shù)。

    李航（1982-），山西左云人，工程師，碩士研究生，現任中國電子信息產(chǎn)業(yè)集團有限公司第六研究所工業(yè)控制系統檢測認證實(shí)驗室副主任，主要研究方向為工控信息安全技術(shù)、計算機控制技術(shù)。

    霍朝賓（1984-），河北人，工程師，碩士，現就職于中國電子信息產(chǎn)業(yè)集團有限公司第六研究所工業(yè)控制系統信息安全技術(shù)國家工程實(shí)驗室，主要研究方向為工業(yè)控制系統信息安全技術(shù)。