国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

    摘要：分析工業控制系統信息安全及其相關培訓的發展現狀，結合目前相對成熟的信息安全培訓體系，探索工業控制系統信息安全培訓的建設方式、方法。最后，針對國內現有的工業控制系統信息安全培訓相關方面存在的問題，提出現階段相應的工業控制系統信息安全培訓的建議。

    關鍵詞：工業控制系統；信息安全；培訓

    Abstract: This paper analysisesthe development status of industrial control systems and related information security training.We refer to the relatively mature information security training system, and explore the industrial control system for the construction of information security training ways and methods. Finally, as for the existing problems in the information security training of industrial control system, weproposed the corresponding stage ofinformation security training of industrial control systems.

    Key words: Industrial control systems; Information security; Training 

    1　引言

    近年來，工業控制系統信息安全已成為業界熱度最高的詞條之一，隨著計算機網絡技術、信息化與工業化的深度融合以及物聯網、大數據的飛速發展，工業控制系統的發展空間得到大大拓展。嵌入式技術、無線技術、多標準工業控制網絡互聯等技術以各種方式逐漸融入到了工業控制系統之中，使得工業控制系統領域也由最初的“封閉式”走向了局部的“開放式”，這就不可避免地為工業控制系統帶來了更多的信息安全問題。

    以2010年發生的席卷全球工業界的“震網病毒”事件為爆發點，近幾年的工業控制系統領域被發現的安全威脅越來越多，國內也發生了多次造成嚴重損失的工業控制系統信息安全事件。由于國內工業控制領域的現狀，例如仍大規模使用國外廠商的設備或技術等，導致中國工業控制系統信息安全的發展面臨更為嚴峻的形勢。

    安全培訓作為工業控制系統信息安全體系中不可或缺的一環，也處于亟待重視與完善的位置，安全培訓為培養高素質工業控制系統信息安全相關人才、提升相關從業人員的專業技術及管理能力提供規范化、科學化的知識體系。

    2　傳統信息安全培訓發展帶來的啟示

    工業控制系統信息安全究其本質是屬于傳統信息安全的一個特殊分支，在國家將工業控制系統信息安全作為單獨體系提出之前，工業控制領域的信息安全建設還是按照傳統信息安全的建設體系、方法進行建設的。信息安全在國內已形成了相對成熟的國家標準管理體系、市場應用體系、安全服務評估體系等，相關的信息安全培訓不僅有國內多所高等院校開設的信息安全相關專業，還有諸多信息安全領域的知名企業開設的專項信息安全培訓，同時還引進了國際多種信息安全相關認證。

    工業控制系統信息安全培訓目前處于起步階段，由于工業控制領域的特殊性，其信息安全的培訓在知識體系具體內容、開展方式等方面必然有別于傳統的信息安全培訓，但發展相對成熟的傳統信息安全培訓在諸如體系建設方式、整體布局規劃等方面也將為工業控制系統信息安全培訓提供諸多參考。

    2.1　培訓基準：國家標準、行業標準、信息安全評價標準等

    傳統信息安全在國家標準方面已發展的相對成熟，例如《信息安全技術信息系統安全等級保護定級指南》、《信息安全技術信息系統等級保護安全設計技術要求》等。同時，相關標準、文件又分類詳細規定了信息安全工程管理、風險評估規范、網絡基礎安全技術等方面的要求。這些政策、標準及文件是進行以職業為導向的信息安全培訓的基準，同時也為國內安全廠家進行內部產品設計、工程管理、安全培訓提供了參考基準。

    工業控制系統信息安全領域經過近幾年的發展，已具有部分技術標準，電力行業已有相對成熟的安全標準體系并已在行業內實際執行，如《電力二次系統安全防護標準》等。另外，由全國工業過程測量和自動化標準化技術委員會發布了關于工業控制系統信息安全的評估、驗收規范等文件，全國信息安全標準化技術委員會制訂了《SCADA系統安全控制應用指南》、《工控可控信息系統電力系統安全指標體系》，并計劃制訂《工控系統安全管理基本要求》等相關標準。

    但總體來說，工業控制系統信息安全的相關標準仍處于發展及亟待完善的過程中，還未能完善地作為工業控制系統信息安全產品設計、工程管理、培訓實施的基準。

    2.2　培訓主體：多種培訓主體混合存在但又互相獨立

    傳統信息安全的培訓發展到目前主要有以下三種培訓主體：高校類教育機構、專業的培訓機構、企事業單位或聯合體。這三種培訓主體的培訓方式差異很大，目的性也不一樣，高校類教育機構旨在為國家系統的培養信息安全相關專業人才，滿足市場上對于信息安全從業人員的高需求量；專業的培訓機構主要是以職業培訓為導向，為信息安全從業人員提供國際、國內信息安全認證的特項培訓，提升個人的知識體系、從業技能等；企事業單位或聯合體主要進行內部人員專項培訓，同時也有部分面向外部人員的專項信息安全培訓。

    目前國內工業控制系統信息安全的培訓主體尚未形成規范，多數已存在或已進行的培訓均有培訓內容粗淺、指導性不強、職業提升性不高等問題。

    2.3　培訓內容：分層次、理論與實踐相結合的培訓內容

    傳統的信息安全培訓體系已相對成熟，培訓的內容也層次清晰，理論與實踐的結合主要體現在一些專項培訓上。信息安全產品、信息安全技術與工程、信息安全管理，信息安全方法論等各方向也有相應的培訓與認證。更加細化地如以信息安全產品及服務體系來劃分的培訓內容（如網絡安全、數據安全、安全運維服務等），也能夠有專項的培訓支撐。

    工業控制系統信息安全目前在培訓領域尚未成體系與量級，多數為工業控制系統信息安全的基本概念或為宣傳企業自身安全產品進行的培訓，實用性、指導性不強。

    工業控制系統信息安全由于其所處領域的特殊性，對于相關安全從業人員的職業技能要求有別于傳統的信息安全從業者。國內的工業控制系統信息安全培訓目前尚處于混沌階段，亟待規范，提升工業控制系統信息安全培訓的專業性、實用性及構建完善的培訓體系及內容，是相關機構目前的重大目標之一。

    3　建設工業控制系統信息安全培訓體系的建議

    3.1　以“標準”建設“培訓基準”

    工業控制系統信息安全的相關國家標準、行業標準正在完善制訂中，目前已發布了部分的標準及文件。工業控制系統信息安全培訓的基準要以國家標準、行業標準或指南進行設計，培訓的內容要切合國家及行業要求，能夠為參加培訓的人員提供切實有益的知識，同時可以通過培訓為學員提供職業向導。

    在工業控制系統信息安全培訓整個內容體系的設計上，可通過對“標準”的解讀來設計針對行業、典型系統等專項培訓內容。

    3.2　檢測與認證要同步甚至領先于培訓

    工業控制系統信息安全的培訓是建立在國家及行業標準之上的，但同時也要對工業控制及信息安全領域的產品、系統進行中立性的檢測、認證，這樣才能夠在培訓的內容上更加具有指導性、實用性等。

    3.3　“國”字頭專業培訓機構引導行業發展

    由于工業控制系統信息安全在國內尚處于發展初期，產品、服務、標準等各方面均不完善，相關的培訓也未形成體系，整個工業控制系統信息安全培訓領域尚處于混沌狀態。

    可參考傳統信息安全的三大培訓主體進行對工控領域信息安全培訓的展望，工業控制系統信息安全現在還未具備單獨設立高校進行大學或研究生專業培養的條件。目前最為有效、可行的方案是以“國”字頭的工業控制系統信息安全相關機構進行培訓體系的建設與執行，逐步引導整個工控信息安全培訓領域的發展，建立標桿。

    由中國電子信息產業集團有限公司第六研究所承建的工業控制系統安全技術國家工程實驗室具備有檢測認證、培訓、研發工控安全產品及提供安全服務的能力，可在工控信息安全培訓中起到領頭羊的作用。

    3.4　建設完善的培訓體系與內容

    工業控制系統信息安全的培訓體系建設要考慮到相關標準及文件的要求，同時要以信息安全測試結果為基礎依托，建立以技術培訓和管理培訓為核心的培訓體系。體系規劃如圖1所示。
 

    4　結語

    工業控制系統安全技術國家工程實驗室結合自身擁有的業務現狀、技術優勢與科研水平，設計了一套符合國家標準政策要求的、可適應工業控制領域的信息安全培訓系列課程。課程內容主要包括了技術培訓及管理培訓，同時包含多種目前國際、國內應用的安全測試技術培訓，輔助與特有的工業控制系統模擬環境及工業現場實地測試，打造我國工業控制系統信息安全的培訓先驅，為國家、企業提供優秀的工業控制系統信息安全專業人才，為保障我國工控領域安全發展貢獻最大的力量。


    作者簡介

    柯皓仁（1986-），安徽望江人，工程師，碩士研究生，現就職于中國電子信息產業集團有限公司第六研究所工業控制系統信息安全技術國家工程實驗室，主要研究方向為物聯網技術、工控信息安全技術。

    李航（1982-），山西左云人，工程師，碩士研究生，現任中國電子信息產業集團有限公司第六研究所工業控制系統檢測認證實驗室副主任，主要研究方向為工控信息安全技術、計算機控制技術。

    霍朝賓（1984-），河北人，工程師，碩士，現就職于中國電子信息產業集團有限公司第六研究所工業控制系統信息安全技術國家工程實驗室，主要研究方向為工業控制系統信息安全技術。