1　引言

近年來，工業(yè)控制系統(tǒng)信息安全已成為業(yè)界熱度最高的詞條之一，隨著計算機網(wǎng)絡技術、信息化與工業(yè)化的深度融合以及物聯(lián)網(wǎng)、大數(shù)據(jù)的飛速發(fā)展，工業(yè)控制系統(tǒng)的發(fā)展空間得到大大拓展。嵌入式技術、無線技術、多標準工業(yè)控制網(wǎng)絡互聯(lián)等技術以各種方式逐漸融入到了工業(yè)控制系統(tǒng)之中，使得工業(yè)控制系統(tǒng)領域也由最初的“封閉式”走向了局部的“開放式”，這就不可避免地為工業(yè)控制系統(tǒng)帶來了更多的信息安全問題。

以2010年發(fā)生的席卷全球工業(yè)界的“震網(wǎng)病毒”事件為爆發(fā)點，近幾年的工業(yè)控制系統(tǒng)領域被發(fā)現(xiàn)的安全威脅越來越多，國內(nèi)也發(fā)生了多次造成嚴重損失的工業(yè)控制系統(tǒng)信息安全事件。由于國內(nèi)工業(yè)控制領域的現(xiàn)狀，例如仍大規(guī)模使用國外廠商的設備或技術等，導致中國工業(yè)控制系統(tǒng)信息安全的發(fā)展面臨更為嚴峻的形勢。

安全培訓作為工業(yè)控制系統(tǒng)信息安全體系中不可或缺的一環(huán)，也處于亟待重視與完善的位置，安全培訓為培養(yǎng)高素質工業(yè)控制系統(tǒng)信息安全相關人才、提升相關從業(yè)人員的專業(yè)技術及管理能力提供規(guī)范化、科學化的知識體系。

2　傳統(tǒng)信息安全培訓發(fā)展帶來的啟示

工業(yè)控制系統(tǒng)信息安全究其本質是屬于傳統(tǒng)信息安全的一個特殊分支，在國家將工業(yè)控制系統(tǒng)信息安全作為單獨體系提出之前，工業(yè)控制領域的信息安全建設還是按照傳統(tǒng)信息安全的建設體系、方法進行建設的。信息安全在國內(nèi)已形成了相對成熟的國家標準管理體系、市場應用體系、安全服務評估體系等，相關的信息安全培訓不僅有國內(nèi)多所高等院校開設的信息安全相關專業(yè)，還有諸多信息安全領域的知名企業(yè)開設的專項信息安全培訓，同時還引進了國際多種信息安全相關認證。

工業(yè)控制系統(tǒng)信息安全培訓目前處于起步階段，由于工業(yè)控制領域的特殊性，其信息安全的培訓在知識體系具體內(nèi)容、開展方式等方面必然有別于傳統(tǒng)的信息安全培訓，但發(fā)展相對成熟的傳統(tǒng)信息安全培訓在諸如體系建設方式、整體布局規(guī)劃等方面也將為工業(yè)控制系統(tǒng)信息安全培訓提供諸多參考。

2.1　培訓基準：國家標準、行業(yè)標準、信息安全評價標準等

傳統(tǒng)信息安全在國家標準方面已發(fā)展的相對成熟，例如《信息安全技術信息系統(tǒng)安全等級保護定級指南》、《信息安全技術信息系統(tǒng)等級保護安全設計技術要求》等。同時，相關標準、文件又分類詳細規(guī)定了信息安全工程管理、風險評估規(guī)范、網(wǎng)絡基礎安全技術等方面的要求。這些政策、標準及文件是進行以職業(yè)為導向的信息安全培訓的基準，同時也為國內(nèi)安全廠家進行內(nèi)部產(chǎn)品設計、工程管理、安全培訓提供了參考基準。

工業(yè)控制系統(tǒng)信息安全領域經(jīng)過近幾年的發(fā)展，已具有部分技術標準，電力行業(yè)已有相對成熟的安全標準體系并已在行業(yè)內(nèi)實際執(zhí)行，如《電力二次系統(tǒng)安全防護標準》等。另外，由全國工業(yè)過程測量和自動化標準化技術委員會發(fā)布了關于工業(yè)控制系統(tǒng)信息安全的評估、驗收規(guī)范等文件，全國信息安全標準化技術委員會制訂了《SCADA系統(tǒng)安全控制應用指南》、《工控可控信息系統(tǒng)電力系統(tǒng)安全指標體系》，并計劃制訂《工控系統(tǒng)安全管理基本要求》等相關標準。

但總體來說，工業(yè)控制系統(tǒng)信息安全的相關標準仍處于發(fā)展及亟待完善的過程中，還未能完善地作為工業(yè)控制系統(tǒng)信息安全產(chǎn)品設計、工程管理、培訓實施的基準。

2.2　培訓主體：多種培訓主體混合存在但又互相獨立

傳統(tǒng)信息安全的培訓發(fā)展到目前主要有以下三種培訓主體：高校類教育機構、專業(yè)的培訓機構、企事業(yè)單位或聯(lián)合體。這三種培訓主體的培訓方式差異很大，目的性也不一樣，高校類教育機構旨在為國家系統(tǒng)的培養(yǎng)信息安全相關專業(yè)人才，滿足市場上對于信息安全從業(yè)人員的高需求量；專業(yè)的培訓機構主要是以職業(yè)培訓為導向，為信息安全從業(yè)人員提供國際、國內(nèi)信息安全認證的特項培訓，提升個人的知識體系、從業(yè)技能等；企事業(yè)單位或聯(lián)合體主要進行內(nèi)部人員專項培訓，同時也有部分面向外部人員的專項信息安全培訓。

目前國內(nèi)工業(yè)控制系統(tǒng)信息安全的培訓主體尚未形成規(guī)范，多數(shù)已存在或已進行的培訓均有培訓內(nèi)容粗淺、指導性不強、職業(yè)提升性不高等問題。

2.3　培訓內(nèi)容：分層次、理論與實踐相結合的培訓內(nèi)容

傳統(tǒng)的信息安全培訓體系已相對成熟，培訓的內(nèi)容也層次清晰，理論與實踐的結合主要體現(xiàn)在一些專項培訓上。信息安全產(chǎn)品、信息安全技術與工程、信息安全管理，信息安全方法論等各方向也有相應的培訓與認證。更加細化地如以信息安全產(chǎn)品及服務體系來劃分的培訓內(nèi)容（如網(wǎng)絡安全、數(shù)據(jù)安全、安全運維服務等），也能夠有專項的培訓支撐。

工業(yè)控制系統(tǒng)信息安全目系及內(nèi)容，是相關機構目前的重大目前在培訓領域尚未成體系與量級，多數(shù)為工業(yè)控制系統(tǒng)信息安全的基本概念或為宣傳企業(yè)自身安全產(chǎn)品進行的培訓，實用性、指導性不強。

工業(yè)控制系統(tǒng)信息安全由于其所處領域的特殊性，對于相關安全從業(yè)人員的職業(yè)技能要求有別于傳統(tǒng)的信息安全從業(yè)者。國內(nèi)的工業(yè)控制系統(tǒng)信息安全培訓目前尚處于混沌階段，亟待規(guī)范，提升工業(yè)控制系統(tǒng)信息安全培訓的專業(yè)性、實用性及構建完善的培訓體系及內(nèi)容，是相關機構目前的重大目標之一。

3　建設工業(yè)控制系統(tǒng)信息安全培訓體系的建議

3.1　以“標準”建設“培訓基準”

工業(yè)控制系統(tǒng)信息安全的相關國家標準、行業(yè)標準正在完善制訂中，目前已發(fā)布了部分的標準及文件。工業(yè)控制系統(tǒng)信息安全培訓的基準要以國家標準、行業(yè)標準或指南進行設計，培訓的內(nèi)容要切合國家及行業(yè)要求，能夠為參加培訓的人員提供切實有益的知識，同時可以通過培訓為學員提供職業(yè)向導。

在工業(yè)控制系統(tǒng)信息安全培訓整個內(nèi)容體系的設計上，可通過對“標準”的解讀來設計針對行業(yè)、典型系統(tǒng)等專項培訓內(nèi)容。

3.2　檢測與認證要同步甚至領先于培訓

工業(yè)控制系統(tǒng)信息安全的培訓是建立在國家及行業(yè)標準之上的，但同時也要對工業(yè)控制及信息安全領域的產(chǎn)品、系統(tǒng)進行中立性的檢測、認證，這樣才能夠在培訓的內(nèi)容上更加具有指導性、實用性等。

3.3　“國”字頭專業(yè)培訓機構引導行業(yè)發(fā)展

由于工業(yè)控制系統(tǒng)信息安全在國內(nèi)尚處于發(fā)展初期，產(chǎn)品、服務、標準等各方面均不完善，相關的培訓也未形成體系，整個工業(yè)控制系統(tǒng)信息安全培訓領域尚處于混沌狀態(tài)。

可參考傳統(tǒng)信息安全的三大培訓主體進行對工控領域信息安全培訓的展望，工業(yè)控制系統(tǒng)信息安全現(xiàn)在還未具備單獨設立高校進行大學或研究生專業(yè)培養(yǎng)的條件。目前最為有效、可行的方案是以“國”字頭的工業(yè)控制系統(tǒng)信息安全相關機構進行培訓體系的建設與執(zhí)行，逐步引導整個工控信息安全培訓領域的發(fā)展，建立標桿。

由中國電子信息產(chǎn)業(yè)集團有限公司第六研究所承建的工業(yè)控制系統(tǒng)安全技術國家工程實驗室具備有檢測認證、培訓、研發(fā)工控安全產(chǎn)品及提供安全服務的能力，可在工控信息安全培訓中起到領頭羊的作用。

3.4　建設完善的培訓體系與內(nèi)容

工業(yè)控制系統(tǒng)信息安全的培訓體系建設要考慮到相關標準及文件的要求，同時要以信息安全測試結果為基礎依托，建立以技術培訓和管理培訓為核心的培訓體系。體系規(guī)劃如圖1所示。

圖1　工業(yè)控制系統(tǒng)信息安全培訓體系規(guī)劃圖

4　結語

工業(yè)控制系統(tǒng)安全技術國家工程實驗室結合自身擁有的業(yè)務現(xiàn)狀、技術優(yōu)勢與科研水平，設計了一套符合國家標準政策要求的、可適應工業(yè)控制領域的信息安全培訓系列課程。課程內(nèi)容主要包括了技術培訓及管理培訓，同時包含多種目前國際、國內(nèi)應用的安全測試技術培訓，輔助與特有的工業(yè)控制系統(tǒng)模擬環(huán)境及工業(yè)現(xiàn)場實地測試，打造我國工業(yè)控制系統(tǒng)信息安全的培訓先驅，為國家、企業(yè)提供優(yōu)秀的工業(yè)控制系統(tǒng)信息安全專業(yè)人才，為保障我國工控領域安全發(fā)展貢獻最大的力量。

作者簡介

柯皓仁（1986-），安徽望江人，工程師，碩士研究生，現(xiàn)就職于中國電子信息產(chǎn)業(yè)集團有限公司第六研究所工業(yè)控制系統(tǒng)信息安全技術國家工程實驗室，主要研究方向為物聯(lián)網(wǎng)技術、工控信息安全技術。

李航（1982-），山西左云人，工程師，碩士研究生，現(xiàn)任中國電子信息產(chǎn)業(yè)集團有限公司第六研究所工業(yè)控制系統(tǒng)檢測認證實驗室副主任，主要研究方向為工控信息安全技術、計算機控制技術。

霍朝賓（1984-），河北人，工程師，碩士，現(xiàn)就職于中國電子信息產(chǎn)業(yè)集團有限公司第六研究所工業(yè)控制系統(tǒng)信息安全技術國家工程實驗室，主要研究方向為工業(yè)控制系統(tǒng)信息安全技術。

參考文獻

[1]王孝良,崔保紅,李思其.關于工控系統(tǒng)信息安全的思考與建議[J].信息網(wǎng)絡安全,2012,8.

[2]思源新創(chuàng)信息安全資訊公司.國外信息安全培訓及認證現(xiàn)狀和發(fā)展[J].網(wǎng)絡安全技術與應用,2004(11).

[3]劉小平,宋建偉.國內(nèi)信息安全培訓發(fā)展淺析[J].信息安全與技術,2010,12(74).

[4]雷敏,郭玉翠,羅群,孫斌,薛瓊.全國信息安全人才培訓問題研究[C].第九屆中國通信學會學術年會論文集,2012.

[5]彭勇,江常青,謝豐,戴忠華,熊琦,高洋.工業(yè)控制系統(tǒng)信息安全研究進展[J].清華大學學報(自然科學版),2012,10.

摘自《工業(yè)控制系統(tǒng)信息安全專刊（第一輯）》