摘要:分析工業(yè)控制系統(tǒng)信息安全及其相關(guān)培訓(xùn)的發(fā)展現(xiàn)狀,結(jié)合目前相對(duì)成熟的信息安全培訓(xùn)體系,探索工業(yè)控制系統(tǒng)信息安全培訓(xùn)的建設(shè)方式、方法。最后,針對(duì)國(guó)內(nèi)現(xiàn)有的工業(yè)控制系統(tǒng)信息安全培訓(xùn)相關(guān)方面存在的問(wèn)題,提出現(xiàn)階段相應(yīng)的工業(yè)控制系統(tǒng)信息安全培訓(xùn)的建議。
關(guān)鍵詞:工業(yè)控制系統(tǒng);信息安全;培訓(xùn)
Abstract: This paper analysisesthe development status of industrial control systems and related information security training.We refer to the relatively mature information security training system, and explore the industrial control system for the construction of information security training ways and methods. Finally, as for the existing problems in the information security training of industrial control system, weproposed the corresponding stage ofinformation security training of industrial control systems.
Key words: Industrial control systems; Information security; Training
1 引言
近年來(lái),工業(yè)控制系統(tǒng)信息安全已成為業(yè)界熱度最高的詞條之一,隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、信息化與工業(yè)化的深度融合以及物聯(lián)網(wǎng)、大數(shù)據(jù)的飛速發(fā)展,工業(yè)控制系統(tǒng)的發(fā)展空間得到大大拓展。嵌入式技術(shù)、無(wú)線技術(shù)、多標(biāo)準(zhǔn)工業(yè)控制網(wǎng)絡(luò)互聯(lián)等技術(shù)以各種方式逐漸融入到了工業(yè)控制系統(tǒng)之中,使得工業(yè)控制系統(tǒng)領(lǐng)域也由最初的“封閉式”走向了局部的“開放式”,這就不可避免地為工業(yè)控制系統(tǒng)帶來(lái)了更多的信息安全問(wèn)題。
以2010年發(fā)生的席卷全球工業(yè)界的“震網(wǎng)病毒”事件為爆發(fā)點(diǎn),近幾年的工業(yè)控制系統(tǒng)領(lǐng)域被發(fā)現(xiàn)的安全威脅越來(lái)越多,國(guó)內(nèi)也發(fā)生了多次造成嚴(yán)重?fù)p失的工業(yè)控制系統(tǒng)信息安全事件。由于國(guó)內(nèi)工業(yè)控制領(lǐng)域的現(xiàn)狀,例如仍大規(guī)模使用國(guó)外廠商的設(shè)備或技術(shù)等,導(dǎo)致中國(guó)工業(yè)控制系統(tǒng)信息安全的發(fā)展面臨更為嚴(yán)峻的形勢(shì)。
安全培訓(xùn)作為工業(yè)控制系統(tǒng)信息安全體系中不可或缺的一環(huán),也處于亟待重視與完善的位置,安全培訓(xùn)為培養(yǎng)高素質(zhì)工業(yè)控制系統(tǒng)信息安全相關(guān)人才、提升相關(guān)從業(yè)人員的專業(yè)技術(shù)及管理能力提供規(guī)范化、科學(xué)化的知識(shí)體系。
2 傳統(tǒng)信息安全培訓(xùn)發(fā)展帶來(lái)的啟示
工業(yè)控制系統(tǒng)信息安全究其本質(zhì)是屬于傳統(tǒng)信息安全的一個(gè)特殊分支,在國(guó)家將工業(yè)控制系統(tǒng)信息安全作為單獨(dú)體系提出之前,工業(yè)控制領(lǐng)域的信息安全建設(shè)還是按照傳統(tǒng)信息安全的建設(shè)體系、方法進(jìn)行建設(shè)的。信息安全在國(guó)內(nèi)已形成了相對(duì)成熟的國(guó)家標(biāo)準(zhǔn)管理體系、市場(chǎng)應(yīng)用體系、安全服務(wù)評(píng)估體系等,相關(guān)的信息安全培訓(xùn)不僅有國(guó)內(nèi)多所高等院校開設(shè)的信息安全相關(guān)專業(yè),還有諸多信息安全領(lǐng)域的知名企業(yè)開設(shè)的專項(xiàng)信息安全培訓(xùn),同時(shí)還引進(jìn)了國(guó)際多種信息安全相關(guān)認(rèn)證。
工業(yè)控制系統(tǒng)信息安全培訓(xùn)目前處于起步階段,由于工業(yè)控制領(lǐng)域的特殊性,其信息安全的培訓(xùn)在知識(shí)體系具體內(nèi)容、開展方式等方面必然有別于傳統(tǒng)的信息安全培訓(xùn),但發(fā)展相對(duì)成熟的傳統(tǒng)信息安全培訓(xùn)在諸如體系建設(shè)方式、整體布局規(guī)劃等方面也將為工業(yè)控制系統(tǒng)信息安全培訓(xùn)提供諸多參考。
2.1 培訓(xùn)基準(zhǔn):國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、信息安全評(píng)價(jià)標(biāo)準(zhǔn)等
傳統(tǒng)信息安全在國(guó)家標(biāo)準(zhǔn)方面已發(fā)展的相對(duì)成熟,例如《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》、《信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》等。同時(shí),相關(guān)標(biāo)準(zhǔn)、文件又分類詳細(xì)規(guī)定了信息安全工程管理、風(fēng)險(xiǎn)評(píng)估規(guī)范、網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)等方面的要求。這些政策、標(biāo)準(zhǔn)及文件是進(jìn)行以職業(yè)為導(dǎo)向的信息安全培訓(xùn)的基準(zhǔn),同時(shí)也為國(guó)內(nèi)安全廠家進(jìn)行內(nèi)部產(chǎn)品設(shè)計(jì)、工程管理、安全培訓(xùn)提供了參考基準(zhǔn)。
工業(yè)控制系統(tǒng)信息安全領(lǐng)域經(jīng)過(guò)近幾年的發(fā)展,已具有部分技術(shù)標(biāo)準(zhǔn),電力行業(yè)已有相對(duì)成熟的安全標(biāo)準(zhǔn)體系并已在行業(yè)內(nèi)實(shí)際執(zhí)行,如《電力二次系統(tǒng)安全防護(hù)標(biāo)準(zhǔn)》等。另外,由全國(guó)工業(yè)過(guò)程測(cè)量和自動(dòng)化標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布了關(guān)于工業(yè)控制系統(tǒng)信息安全的評(píng)估、驗(yàn)收規(guī)范等文件,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)制訂了《SCADA系統(tǒng)安全控制應(yīng)用指南》、《工控可控信息系統(tǒng)電力系統(tǒng)安全指標(biāo)體系》,并計(jì)劃制訂《工控系統(tǒng)安全管理基本要求》等相關(guān)標(biāo)準(zhǔn)。
但總體來(lái)說(shuō),工業(yè)控制系統(tǒng)信息安全的相關(guān)標(biāo)準(zhǔn)仍處于發(fā)展及亟待完善的過(guò)程中,還未能完善地作為工業(yè)控制系統(tǒng)信息安全產(chǎn)品設(shè)計(jì)、工程管理、培訓(xùn)實(shí)施的基準(zhǔn)。
2.2 培訓(xùn)主體:多種培訓(xùn)主體混合存在但又互相獨(dú)立
傳統(tǒng)信息安全的培訓(xùn)發(fā)展到目前主要有以下三種培訓(xùn)主體:高校類教育機(jī)構(gòu)、專業(yè)的培訓(xùn)機(jī)構(gòu)、企事業(yè)單位或聯(lián)合體。這三種培訓(xùn)主體的培訓(xùn)方式差異很大,目的性也不一樣,高校類教育機(jī)構(gòu)旨在為國(guó)家系統(tǒng)的培養(yǎng)信息安全相關(guān)專業(yè)人才,滿足市場(chǎng)上對(duì)于信息安全從業(yè)人員的高需求量;專業(yè)的培訓(xùn)機(jī)構(gòu)主要是以職業(yè)培訓(xùn)為導(dǎo)向,為信息安全從業(yè)人員提供國(guó)際、國(guó)內(nèi)信息安全認(rèn)證的特項(xiàng)培訓(xùn),提升個(gè)人的知識(shí)體系、從業(yè)技能等;企事業(yè)單位或聯(lián)合體主要進(jìn)行內(nèi)部人員專項(xiàng)培訓(xùn),同時(shí)也有部分面向外部人員的專項(xiàng)信息安全培訓(xùn)。
目前國(guó)內(nèi)工業(yè)控制系統(tǒng)信息安全的培訓(xùn)主體尚未形成規(guī)范,多數(shù)已存在或已進(jìn)行的培訓(xùn)均有培訓(xùn)內(nèi)容粗淺、指導(dǎo)性不強(qiáng)、職業(yè)提升性不高等問(wèn)題。
2.3 培訓(xùn)內(nèi)容:分層次、理論與實(shí)踐相結(jié)合的培訓(xùn)內(nèi)容
傳統(tǒng)的信息安全培訓(xùn)體系已相對(duì)成熟,培訓(xùn)的內(nèi)容也層次清晰,理論與實(shí)踐的結(jié)合主要體現(xiàn)在一些專項(xiàng)培訓(xùn)上。信息安全產(chǎn)品、信息安全技術(shù)與工程、信息安全管理,信息安全方法論等各方向也有相應(yīng)的培訓(xùn)與認(rèn)證。更加細(xì)化地如以信息安全產(chǎn)品及服務(wù)體系來(lái)劃分的培訓(xùn)內(nèi)容(如網(wǎng)絡(luò)安全、數(shù)據(jù)安全、安全運(yùn)維服務(wù)等),也能夠有專項(xiàng)的培訓(xùn)支撐。
工業(yè)控制系統(tǒng)信息安全目前在培訓(xùn)領(lǐng)域尚未成體系與量級(jí),多數(shù)為工業(yè)控制系統(tǒng)信息安全的基本概念或?yàn)樾麄髌髽I(yè)自身安全產(chǎn)品進(jìn)行的培訓(xùn),實(shí)用性、指導(dǎo)性不強(qiáng)。
工業(yè)控制系統(tǒng)信息安全由于其所處領(lǐng)域的特殊性,對(duì)于相關(guān)安全從業(yè)人員的職業(yè)技能要求有別于傳統(tǒng)的信息安全從業(yè)者。國(guó)內(nèi)的工業(yè)控制系統(tǒng)信息安全培訓(xùn)目前尚處于混沌階段,亟待規(guī)范,提升工業(yè)控制系統(tǒng)信息安全培訓(xùn)的專業(yè)性、實(shí)用性及構(gòu)建完善的培訓(xùn)體系及內(nèi)容,是相關(guān)機(jī)構(gòu)目前的重大目標(biāo)之一。
3 建設(shè)工業(yè)控制系統(tǒng)信息安全培訓(xùn)體系的建議
3.1 以“標(biāo)準(zhǔn)”建設(shè)“培訓(xùn)基準(zhǔn)”
工業(yè)控制系統(tǒng)信息安全的相關(guān)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)正在完善制訂中,目前已發(fā)布了部分的標(biāo)準(zhǔn)及文件。工業(yè)控制系統(tǒng)信息安全培訓(xùn)的基準(zhǔn)要以國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)或指南進(jìn)行設(shè)計(jì),培訓(xùn)的內(nèi)容要切合國(guó)家及行業(yè)要求,能夠?yàn)閰⒓优嘤?xùn)的人員提供切實(shí)有益的知識(shí),同時(shí)可以通過(guò)培訓(xùn)為學(xué)員提供職業(yè)向?qū)А?br />
在工業(yè)控制系統(tǒng)信息安全培訓(xùn)整個(gè)內(nèi)容體系的設(shè)計(jì)上,可通過(guò)對(duì)“標(biāo)準(zhǔn)”的解讀來(lái)設(shè)計(jì)針對(duì)行業(yè)、典型系統(tǒng)等專項(xiàng)培訓(xùn)內(nèi)容。
3.2 檢測(cè)與認(rèn)證要同步甚至領(lǐng)先于培訓(xùn)
工業(yè)控制系統(tǒng)信息安全的培訓(xùn)是建立在國(guó)家及行業(yè)標(biāo)準(zhǔn)之上的,但同時(shí)也要對(duì)工業(yè)控制及信息安全領(lǐng)域的產(chǎn)品、系統(tǒng)進(jìn)行中立性的檢測(cè)、認(rèn)證,這樣才能夠在培訓(xùn)的內(nèi)容上更加具有指導(dǎo)性、實(shí)用性等。
3.3 “國(guó)”字頭專業(yè)培訓(xùn)機(jī)構(gòu)引導(dǎo)行業(yè)發(fā)展
由于工業(yè)控制系統(tǒng)信息安全在國(guó)內(nèi)尚處于發(fā)展初期,產(chǎn)品、服務(wù)、標(biāo)準(zhǔn)等各方面均不完善,相關(guān)的培訓(xùn)也未形成體系,整個(gè)工業(yè)控制系統(tǒng)信息安全培訓(xùn)領(lǐng)域尚處于混沌狀態(tài)。
可參考傳統(tǒng)信息安全的三大培訓(xùn)主體進(jìn)行對(duì)工控領(lǐng)域信息安全培訓(xùn)的展望,工業(yè)控制系統(tǒng)信息安全現(xiàn)在還未具備單獨(dú)設(shè)立高校進(jìn)行大學(xué)或研究生專業(yè)培養(yǎng)的條件。目前最為有效、可行的方案是以“國(guó)”字頭的工業(yè)控制系統(tǒng)信息安全相關(guān)機(jī)構(gòu)進(jìn)行培訓(xùn)體系的建設(shè)與執(zhí)行,逐步引導(dǎo)整個(gè)工控信息安全培訓(xùn)領(lǐng)域的發(fā)展,建立標(biāo)桿。
由中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所承建的工業(yè)控制系統(tǒng)安全技術(shù)國(guó)家工程實(shí)驗(yàn)室具備有檢測(cè)認(rèn)證、培訓(xùn)、研發(fā)工控安全產(chǎn)品及提供安全服務(wù)的能力,可在工控信息安全培訓(xùn)中起到領(lǐng)頭羊的作用。
3.4 建設(shè)完善的培訓(xùn)體系與內(nèi)容
工業(yè)控制系統(tǒng)信息安全的培訓(xùn)體系建設(shè)要考慮到相關(guān)標(biāo)準(zhǔn)及文件的要求,同時(shí)要以信息安全測(cè)試結(jié)果為基礎(chǔ)依托,建立以技術(shù)培訓(xùn)和管理培訓(xùn)為核心的培訓(xùn)體系。體系規(guī)劃如圖1所示。
4 結(jié)語(yǔ)
工業(yè)控制系統(tǒng)安全技術(shù)國(guó)家工程實(shí)驗(yàn)室結(jié)合自身?yè)碛械臉I(yè)務(wù)現(xiàn)狀、技術(shù)優(yōu)勢(shì)與科研水平,設(shè)計(jì)了一套符合國(guó)家標(biāo)準(zhǔn)政策要求的、可適應(yīng)工業(yè)控制領(lǐng)域的信息安全培訓(xùn)系列課程。課程內(nèi)容主要包括了技術(shù)培訓(xùn)及管理培訓(xùn),同時(shí)包含多種目前國(guó)際、國(guó)內(nèi)應(yīng)用的安全測(cè)試技術(shù)培訓(xùn),輔助與特有的工業(yè)控制系統(tǒng)模擬環(huán)境及工業(yè)現(xiàn)場(chǎng)實(shí)地測(cè)試,打造我國(guó)工業(yè)控制系統(tǒng)信息安全的培訓(xùn)先驅(qū),為國(guó)家、企業(yè)提供優(yōu)秀的工業(yè)控制系統(tǒng)信息安全專業(yè)人才,為保障我國(guó)工控領(lǐng)域安全發(fā)展貢獻(xiàn)最大的力量。
作者簡(jiǎn)介
柯皓仁(1986-),安徽望江人,工程師,碩士研究生,現(xiàn)就職于中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所工業(yè)控制系統(tǒng)信息安全技術(shù)國(guó)家工程實(shí)驗(yàn)室,主要研究方向?yàn)槲锫?lián)網(wǎng)技術(shù)、工控信息安全技術(shù)。
李航(1982-),山西左云人,工程師,碩士研究生,現(xiàn)任中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所工業(yè)控制系統(tǒng)檢測(cè)認(rèn)證實(shí)驗(yàn)室副主任,主要研究方向?yàn)楣た匦畔踩夹g(shù)、計(jì)算機(jī)控制技術(shù)。
霍朝賓(1984-),河北人,工程師,碩士,現(xiàn)就職于中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所工業(yè)控制系統(tǒng)信息安全技術(shù)國(guó)家工程實(shí)驗(yàn)室,主要研究方向?yàn)楣I(yè)控制系統(tǒng)信息安全技術(shù)。