1　引言

近年來(lái)，工業(yè)控制系統信息安全已成為業(yè)界熱度最高的詞條之一，隨著(zhù)計算機網(wǎng)絡(luò )技術(shù)、信息化與工業(yè)化的深度融合以及物聯(lián)網(wǎng)、大數據的飛速發(fā)展，工業(yè)控制系統的發(fā)展空間得到大大拓展。嵌入式技術(shù)、無(wú)線(xiàn)技術(shù)、多標準工業(yè)控制網(wǎng)絡(luò )互聯(lián)等技術(shù)以各種方式逐漸融入到了工業(yè)控制系統之中，使得工業(yè)控制系統領(lǐng)域也由最初的“封閉式”走向了局部的“開(kāi)放式”，這就不可避免地為工業(yè)控制系統帶來(lái)了更多的信息安全問(wèn)題。

以2010年發(fā)生的席卷全球工業(yè)界的“震網(wǎng)病毒”事件為爆發(fā)點(diǎn)，近幾年的工業(yè)控制系統領(lǐng)域被發(fā)現的安全威脅越來(lái)越多，國內也發(fā)生了多次造成嚴重損失的工業(yè)控制系統信息安全事件。由于國內工業(yè)控制領(lǐng)域的現狀，例如仍大規模使用國外廠(chǎng)商的設備或技術(shù)等，導致中國工業(yè)控制系統信息安全的發(fā)展面臨更為嚴峻的形勢。

安全培訓作為工業(yè)控制系統信息安全體系中不可或缺的一環(huán)，也處于亟待重視與完善的位置，安全培訓為培養高素質(zhì)工業(yè)控制系統信息安全相關(guān)人才、提升相關(guān)從業(yè)人員的專(zhuān)業(yè)技術(shù)及管理能力提供規范化、科學(xué)化的知識體系。

2　傳統信息安全培訓發(fā)展帶來(lái)的啟示

工業(yè)控制系統信息安全究其本質(zhì)是屬于傳統信息安全的一個(gè)特殊分支，在國家將工業(yè)控制系統信息安全作為單獨體系提出之前，工業(yè)控制領(lǐng)域的信息安全建設還是按照傳統信息安全的建設體系、方法進(jìn)行建設的。信息安全在國內已形成了相對成熟的國家標準管理體系、市場(chǎng)應用體系、安全服務(wù)評估體系等，相關(guān)的信息安全培訓不僅有國內多所高等院校開(kāi)設的信息安全相關(guān)專(zhuān)業(yè)，還有諸多信息安全領(lǐng)域的知名企業(yè)開(kāi)設的專(zhuān)項信息安全培訓，同時(shí)還引進(jìn)了國際多種信息安全相關(guān)認證。

工業(yè)控制系統信息安全培訓目前處于起步階段，由于工業(yè)控制領(lǐng)域的特殊性，其信息安全的培訓在知識體系具體內容、開(kāi)展方式等方面必然有別于傳統的信息安全培訓，但發(fā)展相對成熟的傳統信息安全培訓在諸如體系建設方式、整體布局規劃等方面也將為工業(yè)控制系統信息安全培訓提供諸多參考。

2.1　培訓基準：國家標準、行業(yè)標準、信息安全評價(jià)標準等

傳統信息安全在國家標準方面已發(fā)展的相對成熟，例如《信息安全技術(shù)信息系統安全等級保護定級指南》、《信息安全技術(shù)信息系統等級保護安全設計技術(shù)要求》等。同時(shí)，相關(guān)標準、文件又分類(lèi)詳細規定了信息安全工程管理、風(fēng)險評估規范、網(wǎng)絡(luò )基礎安全技術(shù)等方面的要求。這些政策、標準及文件是進(jìn)行以職業(yè)為導向的信息安全培訓的基準，同時(shí)也為國內安全廠(chǎng)家進(jìn)行內部產(chǎn)品設計、工程管理、安全培訓提供了參考基準。

工業(yè)控制系統信息安全領(lǐng)域經(jīng)過(guò)近幾年的發(fā)展，已具有部分技術(shù)標準，電力行業(yè)已有相對成熟的安全標準體系并已在行業(yè)內實(shí)際執行，如《電力二次系統安全防護標準》等。另外，由全國工業(yè)過(guò)程測量和自動(dòng)化標準化技術(shù)委員會(huì )發(fā)布了關(guān)于工業(yè)控制系統信息安全的評估、驗收規范等文件，全國信息安全標準化技術(shù)委員會(huì )制訂了《SCADA系統安全控制應用指南》、《工控可控信息系統電力系統安全指標體系》，并計劃制訂《工控系統安全管理基本要求》等相關(guān)標準。

但總體來(lái)說(shuō)，工業(yè)控制系統信息安全的相關(guān)標準仍處于發(fā)展及亟待完善的過(guò)程中，還未能完善地作為工業(yè)控制系統信息安全產(chǎn)品設計、工程管理、培訓實(shí)施的基準。

2.2　培訓主體：多種培訓主體混合存在但又互相獨立

傳統信息安全的培訓發(fā)展到目前主要有以下三種培訓主體：高校類(lèi)教育機構、專(zhuān)業(yè)的培訓機構、企事業(yè)單位或聯(lián)合體。這三種培訓主體的培訓方式差異很大，目的性也不一樣，高校類(lèi)教育機構旨在為國家系統的培養信息安全相關(guān)專(zhuān)業(yè)人才，滿(mǎn)足市場(chǎng)上對于信息安全從業(yè)人員的高需求量；專(zhuān)業(yè)的培訓機構主要是以職業(yè)培訓為導向，為信息安全從業(yè)人員提供國際、國內信息安全認證的特項培訓，提升個(gè)人的知識體系、從業(yè)技能等；企事業(yè)單位或聯(lián)合體主要進(jìn)行內部人員專(zhuān)項培訓，同時(shí)也有部分面向外部人員的專(zhuān)項信息安全培訓。

目前國內工業(yè)控制系統信息安全的培訓主體尚未形成規范，多數已存在或已進(jìn)行的培訓均有培訓內容粗淺、指導性不強、職業(yè)提升性不高等問(wèn)題。

2.3　培訓內容：分層次、理論與實(shí)踐相結合的培訓內容

傳統的信息安全培訓體系已相對成熟，培訓的內容也層次清晰，理論與實(shí)踐的結合主要體現在一些專(zhuān)項培訓上。信息安全產(chǎn)品、信息安全技術(shù)與工程、信息安全管理，信息安全方法論等各方向也有相應的培訓與認證。更加細化地如以信息安全產(chǎn)品及服務(wù)體系來(lái)劃分的培訓內容（如網(wǎng)絡(luò )安全、數據安全、安全運維服務(wù)等），也能夠有專(zhuān)項的培訓支撐。

工業(yè)控制系統信息安全目系及內容，是相關(guān)機構目前的重大目前在培訓領(lǐng)域尚未成體系與量級，多數為工業(yè)控制系統信息安全的基本概念或為宣傳企業(yè)自身安全產(chǎn)品進(jìn)行的培訓，實(shí)用性、指導性不強。

工業(yè)控制系統信息安全由于其所處領(lǐng)域的特殊性，對于相關(guān)安全從業(yè)人員的職業(yè)技能要求有別于傳統的信息安全從業(yè)者。國內的工業(yè)控制系統信息安全培訓目前尚處于混沌階段，亟待規范，提升工業(yè)控制系統信息安全培訓的專(zhuān)業(yè)性、實(shí)用性及構建完善的培訓體系及內容，是相關(guān)機構目前的重大目標之一。

3　建設工業(yè)控制系統信息安全培訓體系的建議

3.1　以“標準”建設“培訓基準”

工業(yè)控制系統信息安全的相關(guān)國家標準、行業(yè)標準正在完善制訂中，目前已發(fā)布了部分的標準及文件。工業(yè)控制系統信息安全培訓的基準要以國家標準、行業(yè)標準或指南進(jìn)行設計，培訓的內容要切合國家及行業(yè)要求，能夠為參加培訓的人員提供切實(shí)有益的知識，同時(shí)可以通過(guò)培訓為學(xué)員提供職業(yè)向導。

在工業(yè)控制系統信息安全培訓整個(gè)內容體系的設計上，可通過(guò)對“標準”的解讀來(lái)設計針對行業(yè)、典型系統等專(zhuān)項培訓內容。

3.2　檢測與認證要同步甚至領(lǐng)先于培訓

工業(yè)控制系統信息安全的培訓是建立在國家及行業(yè)標準之上的，但同時(shí)也要對工業(yè)控制及信息安全領(lǐng)域的產(chǎn)品、系統進(jìn)行中立性的檢測、認證，這樣才能夠在培訓的內容上更加具有指導性、實(shí)用性等。

3.3　“國”字頭專(zhuān)業(yè)培訓機構引導行業(yè)發(fā)展

由于工業(yè)控制系統信息安全在國內尚處于發(fā)展初期，產(chǎn)品、服務(wù)、標準等各方面均不完善，相關(guān)的培訓也未形成體系，整個(gè)工業(yè)控制系統信息安全培訓領(lǐng)域尚處于混沌狀態(tài)。

可參考傳統信息安全的三大培訓主體進(jìn)行對工控領(lǐng)域信息安全培訓的展望，工業(yè)控制系統信息安全現在還未具備單獨設立高校進(jìn)行大學(xué)或研究生專(zhuān)業(yè)培養的條件。目前最為有效、可行的方案是以“國”字頭的工業(yè)控制系統信息安全相關(guān)機構進(jìn)行培訓體系的建設與執行，逐步引導整個(gè)工控信息安全培訓領(lǐng)域的發(fā)展，建立標桿。

由中國電子信息產(chǎn)業(yè)集團有限公司第六研究所承建的工業(yè)控制系統安全技術(shù)國家工程實(shí)驗室具備有檢測認證、培訓、研發(fā)工控安全產(chǎn)品及提供安全服務(wù)的能力，可在工控信息安全培訓中起到領(lǐng)頭羊的作用。

3.4　建設完善的培訓體系與內容

工業(yè)控制系統信息安全的培訓體系建設要考慮到相關(guān)標準及文件的要求，同時(shí)要以信息安全測試結果為基礎依托，建立以技術(shù)培訓和管理培訓為核心的培訓體系。體系規劃如圖1所示。

圖1　工業(yè)控制系統信息安全培訓體系規劃圖

4　結語(yǔ)

工業(yè)控制系統安全技術(shù)國家工程實(shí)驗室結合自身?yè)碛械臉I(yè)務(wù)現狀、技術(shù)優(yōu)勢與科研水平，設計了一套符合國家標準政策要求的、可適應工業(yè)控制領(lǐng)域的信息安全培訓系列課程。課程內容主要包括了技術(shù)培訓及管理培訓，同時(shí)包含多種目前國際、國內應用的安全測試技術(shù)培訓，輔助與特有的工業(yè)控制系統模擬環(huán)境及工業(yè)現場(chǎng)實(shí)地測試，打造我國工業(yè)控制系統信息安全的培訓先驅?zhuān)瑸閲?、企業(yè)提供優(yōu)秀的工業(yè)控制系統信息安全專(zhuān)業(yè)人才，為保障我國工控領(lǐng)域安全發(fā)展貢獻最大的力量。

作者簡(jiǎn)介

柯皓仁（1986-），安徽望江人，工程師，碩士研究生，現就職于中國電子信息產(chǎn)業(yè)集團有限公司第六研究所工業(yè)控制系統信息安全技術(shù)國家工程實(shí)驗室，主要研究方向為物聯(lián)網(wǎng)技術(shù)、工控信息安全技術(shù)。

李航（1982-），山西左云人，工程師，碩士研究生，現任中國電子信息產(chǎn)業(yè)集團有限公司第六研究所工業(yè)控制系統檢測認證實(shí)驗室副主任，主要研究方向為工控信息安全技術(shù)、計算機控制技術(shù)。

霍朝賓（1984-），河北人，工程師，碩士，現就職于中國電子信息產(chǎn)業(yè)集團有限公司第六研究所工業(yè)控制系統信息安全技術(shù)國家工程實(shí)驗室，主要研究方向為工業(yè)控制系統信息安全技術(shù)。

參考文獻

[1]王孝良,崔保紅,李思其.關(guān)于工控系統信息安全的思考與建議[J].信息網(wǎng)絡(luò )安全,2012,8.

[2]思源新創(chuàng )信息安全資訊公司.國外信息安全培訓及認證現狀和發(fā)展[J].網(wǎng)絡(luò )安全技術(shù)與應用,2004(11).

[3]劉小平,宋建偉.國內信息安全培訓發(fā)展淺析[J].信息安全與技術(shù),2010,12(74).

[4]雷敏,郭玉翠,羅群,孫斌,薛瓊.全國信息安全人才培訓問(wèn)題研究[C].第九屆中國通信學(xué)會(huì )學(xué)術(shù)年會(huì )論文集,2012.

[5]彭勇,江常青,謝豐,戴忠華,熊琦,高洋.工業(yè)控制系統信息安全研究進(jìn)展[J].清華大學(xué)學(xué)報(自然科學(xué)版),2012,10.

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第一輯）》