《关于工业控制系统信息安全培训体系的研究》(节选)
2015-12-08中国电子信息产业集团有限公司第六研究所柯皓仁李航霍朝宾
中国电子信息产业集团有限公司第六研究所 柯皓仁 李航 霍朝宾
《关于工业控制系统信息安全培训体系的研究》(节选)
中国电子信息产业集团有限公司第六研究所 柯皓仁 李航 霍朝宾
3 建设工业控制系统信息安全培训体系的建议
3.1 以“标准”建设“培训基准”
工业控制系统信息安全的相关国家标准、行业标准正在完善制订中,目前已发布了部分的标准及文件。工业控制系统信息安全培训的基准要以国家标准、行业标准或指南进行设计,培训的内容要切合国家及行业要求,能够为参加培训的人员提供切实有益的知识,同时可以通过培训为学员提供职业向导。在工业控制系统信息安全培训整个内容体系的设计上,可通过对“标准”的解读来设计针对行业、典型系统等专项培训内容。
3.2 检测与认证要同步甚至领先于培训
工业控制系统信息安全的培训是建立在国家及行业“提升工业控制系统信息安全培训的专业性、实用性及构建完善的培训体系及内容,是相关机构目前的重大目标之一。”标准之上的,但同时也要对工业控制及信息安全领域的产品、系统进行中立性的检测、认证,这样才能够在培训的内容上更加具有指导性、实用性等。
3.3 “国”字头专业培训机构引导行业发展
由于工业控制系统信息安全在国内尚处于发展初期,产品、服务、标准等各方面均不完善,相关的培训也未形成体系,整个工业控制系统信息安全培训领域尚处于混沌状态。可参考传统信息安全的三大培训主体进行对工控领域信息安全培训的展望,工业控制系统信息安全现在还未具备单独设立高校进行大学或研究生专业培养的条件。目前最为有效、可行的方案是以“国”字头的工业控制系统信息安全相关机构进行培训体系的建设与执行,逐步引导整个工控信息安全培训领域的发展,建立标杆。由中国电子信息产业集团有限公司第六研究所承建的工业控制系统安全技术国家工程实验室具备有检测认证、培训、研发工控安全产品及提供安全服务的能力,可在工控信息安全培训中起到领头羊的作用。
3.4 建设完善的培训体系与内容
工业控制系统信息安全的培训体系建设要考虑到相关标准及文件的要求,同时要以信息安全测试结果为基础依托,建立以技术培训和管理培训为核心的培训体系。体系规划如图1所示。
图1 工业控制系统信息安全培训体系规划图