1　引言

    近年来，工业控制系统信息安全已成为业界热度最高的词条之一，随着计算机网络技术、信息化与工业化的深度融合以及物联网、大数据的飞速发展，工业控制系统的发展空间得到大大拓展。嵌入式技术、无线技术、多标准工业控制网络互联等技术以各种方式逐渐融入到了工业控制系统之中，使得工业控制系统领域也由最初的“封闭式”走向了局部的“开放式”，这就不可避免地为工业控制系统带来了更多的信息安全问题。

    以2010年发生的席卷全球工业界的“震网病毒”事件为爆发点，近几年的工业控制系统领域被发现的安全威胁越来越多，国内也发生了多次造成严重损失的工业控制系统信息安全事件。由于国内工业控制领域的现状，例如仍大规模使用国外厂商的设备或技术等，导致中国工业控制系统信息安全的发展面临更为严峻的形势。

    安全培训作为工业控制系统信息安全体系中不可或缺的一环，也处于亟待重视与完善的位置，安全培训为培养高素质工业控制系统信息安全相关人才、提升相关从业人员的专业技术及管理能力提供规范化、科学化的知识体系。

    2　传统信息安全培训发展带来的启示

    工业控制系统信息安全究其本质是属于传统信息安全的一个特殊分支，在国家将工业控制系统信息安全作为单独体系提出之前，工业控制领域的信息安全建设还是按照传统信息安全的建设体系、方法进行建设的。信息安全在国内已形成了相对成熟的国家标准管理体系、市场应用体系、安全服务评估体系等，相关的信息安全培训不仅有国内多所高等院校开设的信息安全相关专业，还有诸多信息安全领域的知名企业开设的专项信息安全培训，同时还引进了国际多种信息安全相关认证。

    工业控制系统信息安全培训目前处于起步阶段，由于工业控制领域的特殊性，其信息安全的培训在知识体系具体内容、开展方式等方面必然有别于传统的信息安全培训，但发展相对成熟的传统信息安全培训在诸如体系建设方式、整体布局规划等方面也将为工业控制系统信息安全培训提供诸多参考。

    2.1　培训基准：国家标准、行业标准、信息安全评价标准等

    传统信息安全在国家标准方面已发展的相对成熟，例如《信息安全技术信息系统安全等级保护定级指南》、《信息安全技术信息系统等级保护安全设计技术要求》等。同时，相关标准、文件又分类详细规定了信息安全工程管理、风险评估规范、网络基础安全技术等方面的要求。这些政策、标准及文件是进行以职业为导向的信息安全培训的基准，同时也为国内安全厂家进行内部产品设计、工程管理、安全培训提供了参考基准。

    工业控制系统信息安全领域经过近几年的发展，已具有部分技术标准，电力行业已有相对成熟的安全标准体系并已在行业内实际执行，如《电力二次系统安全防护标准》等。另外，由全国工业过程测量和自动化标准化技术委员会发布了关于工业控制系统信息安全的评估、验收规范等文件，全国信息安全标准化技术委员会制订了《SCADA系统安全控制应用指南》、《工控可控信息系统电力系统安全指标体系》，并计划制订《工控系统安全管理基本要求》等相关标准。

    但总体来说，工业控制系统信息安全的相关标准仍处于发展及亟待完善的过程中，还未能完善地作为工业控制系统信息安全产品设计、工程管理、培训实施的基准。

    2.2　培训主体：多种培训主体混合存在但又互相独立

    传统信息安全的培训发展到目前主要有以下三种培训主体：高校类教育机构、专业的培训机构、企事业单位或联合体。这三种培训主体的培训方式差异很大，目的性也不一样，高校类教育机构旨在为国家系统的培养信息安全相关专业人才，满足市场上对于信息安全从业人员的高需求量；专业的培训机构主要是以职业培训为导向，为信息安全从业人员提供国际、国内信息安全认证的特项培训，提升个人的知识体系、从业技能等；企事业单位或联合体主要进行内部人员专项培训，同时也有部分面向外部人员的专项信息安全培训。

    目前国内工业控制系统信息安全的培训主体尚未形成规范，多数已存在或已进行的培训均有培训内容粗浅、指导性不强、职业提升性不高等问题。

    2.3　培训内容：分层次、理论与实践相结合的培训内容

    传统的信息安全培训体系已相对成熟，培训的内容也层次清晰，理论与实践的结合主要体现在一些专项培训上。信息安全产品、信息安全技术与工程、信息安全管理，信息安全方法论等各方向也有相应的培训与认证。更加细化地如以信息安全产品及服务体系来划分的培训内容（如网络安全、数据安全、安全运维服务等），也能够有专项的培训支撑。工业控制系统信息安全目前在培训领域尚未成体系与量级，多数为工业控制系统信息安全的基本概念或为宣传企业自身安全产品进行的培训，实用性、指导性不强。

    工业控制系统信息安全由于其所处领域的特殊性，对于相关安全从业人员的职业技能要求有别于传统的信息安全从业者。国内的工业控制系统信息安全培训目前尚处于混沌阶段，亟待规范，提升工业控制系统信息安全培训的专业性、实用性及构建完善的培训体系及内容，是相关机构目前的重大目标之一。

    3　建设工业控制系统信息安全培训体系的建议

    3.1　以“标准”建设“培训基准”

    工业控制系统信息安全的相关国家标准、行业标准正在完善制订中，目前已发布了部分的标准及文件。工业控制系统信息安全培训的基准要以国家标准、行业标准或指南进行设计，培训的内容要切合国家及行业要求，能够为参加培训的人员提供切实有益的知识，同时可以通过培训为学员提供职业向导。

    在工业控制系统信息安全培训整个内容体系的设计上，可通过对“标准”的解读来设计针对行业、典型系统等专项培训内容。

    3.2　检测与认证要同步甚至领先于培训

    工业控制系统信息安全的培训是建立在国家及行业标准之上的，但同时也要对工业控制及信息安全领域的产品、系统进行中立性的检测、认证，这样才能够在培训的内容上更加具有指导性、实用性等。

    3.3　“国”字头专业培训机构引导行业发展

    由于工业控制系统信息安全在国内尚处于发展初期，产品、服务、标准等各方面均不完善，相关的培训也未形成体系，整个工业控制系统信息安全培训领域尚处于混沌状态。

    可参考传统信息安全的三大培训主体进行对工控领域信息安全培训的展望，工业控制系统信息安全现在还未具备单独设立高校进行大学或研究生专业培养的条件。目前最为有效、可行的方案是以“国”字头的工业控制系统信息安全相关机构进行培训体系的建设与执行，逐步引导整个工控信息安全培训领域的发展，建立标杆。

    由中国电子信息产业集团有限公司第六研究所承建的工业控制系统安全技术国家工程实验室具备有检测认证、培训、研发工控安全产品及提供安全服务的能力，可在工控信息安全培训中起到领头羊的作用。

    3.4　建设完善的培训体系与内容

    工业控制系统信息安全的培训体系建设要考虑到相关标准及文件的要求，同时要以信息安全测试结果为基础依托，建立以技术培训和管理培训为核心的培训体系。体系规划如图1所示。
 

    4　结语

    工业控制系统安全技术国家工程实验室结合自身拥有的业务现状、技术优势与科研水平，设计了一套符合国家标准政策要求的、可适应工业控制领域的信息安全培训系列课程。课程内容主要包括了技术培训及管理培训，同时包含多种目前国际、国内应用的安全测试技术培训，辅助与特有的工业控制系统模拟环境及工业现场实地测试，打造我国工业控制系统信息安全的培训先驱，为国家、企业提供优秀的工业控制系统信息安全专业人才，为保障我国工控领域安全发展贡献最大的力量。

    作者简介

    柯皓仁（1986-），安徽望江人，工程师，硕士研究生，现就职于中国电子信息产业集团有限公司第六研究所工业控制系统信息安全技术国家工程实验室，主要研究方向为物联网技术、工控信息安全技术。

    李航（1982-），山西左云人，工程师，硕士研究生，现任中国电子信息产业集团有限公司第六研究所工业控制系统检测认证实验室副主任，主要研究方向为工控信息安全技术、计算机控制技术。

    霍朝宾（1984-），河北人，工程师，硕士，现就职于中国电子信息产业集团有限公司第六研究所工业控制系统信息安全技术国家工程实验室，主要研究方向为工业控制系统信息安全技术。

    摘自 工业控制系统信息安全专刊