工業信息安全應急管理技術與實踐

汪禮俊

正高級工程師，國家工業信息安 全發展研究中心副總工程師，某重大專項副總指揮，國家242信息安 全計劃某課題組組長，曾主持四項國 家級、十餘項省部級研究項目，著有《“一帶一路”工業文明：工業信息安 全應急管理》《數海行舟：走進數據時代的北京》等圖書，參與編寫《中國IT產業發展報告（2018～2019）》《世界智慧城市發展報告（2016～2017）》等十本圖書，擁有軟件著 作權、專利七項，在《中國軟科學》《中國信息化》等期刊上發表各類學術論文和專業論文一百餘篇。

 

郭嫻

博士，正高級工程師，國家工業信息安 全發展研究中心監測應急所所長，工業信息安全感知與評估技術工業和信息化部重點實驗室學科帶頭人。長期從事網絡空間安全、工業控制系統信息安全、工業因特網安全、數據安全、工業因特網平臺安全及新一代信息技術等方面的科學研究、重大項目建設和產業推進工作。先後承擔國家發展改革委重大專項、工業和信息化 部高質量發展專項、中央網信辦重大專項等十餘項，發表論文十餘篇，參與撰寫專題研究報告、藍皮書五十餘部，獲國家發明專利五項。

 

師艷平

博士，正高 級工程師，中國船舶集團有限公司科技部先進製造處處長，負責船舶行業智能製造、新一代信息技術、新工藝新材料、網絡安 全等領域的技術組織與管理工作。智能製造系統解決方案供應商聯盟專 家委員會專 家，中國數字經濟百人會專 家委員會執行委員，中國智能製造百人會專 家委員會專 家。先後承擔並主持完成工業和信息化 部“1～5MW風力發電機組用雙饋異步風力發電機系列化研製”、國家發展改革委“FPSO大功率平臺電站技術研發及產業化”等項目。獲發明專利七項、實用新型專利十餘項。

 

李欣

中國人民大學碩士，網絡安 全專 家，北京國泰網信科技有限公司創始 人兼董事長。從事網絡安 全領域相關工作逾二十年，在工業數字化轉型及工業網絡安 全領域具有豐富的經驗及深刻的理解。獲得發明專利十餘項，參與多項國家標準及行業標準的撰寫工作。精通多種網絡安 全專業技術，並融合創新攻剋多項技術難題，帶領團隊承接了電力、石油、教育、軍工等行業的多個大型信息安 全 國家重點項目，帶頭研發工業控制系統信息安 全、物聯網安 全、數據安 全等多個系列的網絡安 全產品。

第一篇 應急實踐基礎

第一章　工業信息安全漏洞管理　2

第一節　工業信息安全漏洞概述　2

（一）基本概念　2

（二）漏洞分類　2

第二節　工業信息安全漏洞態勢分析　5

（一）漏洞數量增速迅猛　5

（二）安全漏洞事件頻發　6

第三節　工業信息安全漏洞管理實踐　6

（一）漏洞管理政策標準體系　6

（二）漏洞管理工作機制　9

（三）漏洞平臺與生態建設　10

第二章　工業控制系統等級保護測評　13

第一節　網絡安全等級保護制度　13

（一）網絡安全等級保護制度的發展歷程　13

（二）網絡安全等級保護法律法規　14

（三）網絡安全等級保護標準體系　16

（四）網絡安全等級保護的主要內容　17

（五）網絡安全等級保護測評　20

第二節　工業控制系統等級保護測評內容與要求　20

（一）工業控制系統等級保護測評內容　20

（二）工業控制系統安全擴展要求解析　22

第三章　工業企業數據管理能力評估　25

第一節　數據管理能力成熟度模型　25

（一）SEI的數據管理成熟度模型　25

（二）EDM協會的數據管理能力評估模型　26

（三）DAMA的數據管理知識體系　26

（四）DGI的數據治理框架　27

第二節　數據管理能力成熟度模型評估要求　28

（一）DCMM能力域　28

（二）DCMM的評估等級　30

（三）DCMM的價值和意義　31

第三節　數據管理能力成熟度模型評估流程、原則和方法　32

（一）評估流程　32

（二）評估原則　32

（三）評估方法　33

（四）成熟度定級　34

第四節　數據管理能力成熟度模型評估案例　37

第四章　工業數據分類分級管理與防護　38

第一節　工業數據概述　38

（一）工業數據的概念　38

（二）工業數據的特徵　39

（三）工業數據發展面臨的機遇與挑戰　39

第二節　國內外工業數據安全政策標準　42

（一）國外工業數據安全政策環境　42

（二）我國工業數據安全政策環境　43

（三）我國工業數據分類分級政策標準　44

第三節　工業數據分類分級方法　45

（一）數據維度劃分　45

（二）系統盤點與業務梳理　46

（三）數據梳理與歸類　46

（四）數據分級的方法依據　47

（五）數據分級的考慮因素　48

（六）數據分級的評價方法　49

第四節　工業數據分類分級典型案例　49

（一）工業企業典型案例　49

（二）平臺企業典型案例　53

第五節　工業數據分級防護措施　55

（一）安全防護思路　55

（二）通用安全防護　56

（三）分級安全防護　58

第六節　工業數據分類分級管理發展趨勢　59

第五章　工業領域風險的典型應對措施　61

第一節　工業領域典型安全問題概述　61

（一）工控安全現狀　61

（二）事件案例分析　62

第二節　工控安全防護的重點內容　63

（一）物理安全　64

（二）數據安全　64

（三）網絡安全　64

（四）主機與應用安全　65

（五）控制安全　65

第三節　工控安全風險應對措施　65

（一）安全軟件選擇與管理　65

（二）配置和補丁管理　66

（三）邊界安全防護　68

（四）物理和環境安全防護　69

（五）身份認證　70

（六）遠程訪問安全　71

（七）安全監測和應急預案演練　72

（八）資產安全　73

（九）數據安全　74

（十）供應鏈管理　75

（十一）落實責任　76

第二篇　應急管理技術

第六章　工業信息安全檢測技術　78

第一節　工業信息安全入侵檢測技術　78

（一）背景及概念　78

（二）工業控制系統攻擊分析　78

（三）工業控制系統入侵檢測難度　79

（四）工業控制系統入侵檢測技術　79

第二節　工業信息安全漏洞掃描與挖掘技術　81

（一）工業信息安全漏洞掃描技術　81

（二）工業信息安全漏洞挖掘技術　81

第三節　工業信息安全審計技術　82

第七章　工業信息安全威脅識別技術　85

第一節　工業控制系統網絡殺傷鏈模型　85

（一）殺傷鏈　85

（二）網絡殺傷鏈　86

（三）工業控制系統網絡殺傷鏈　87

第二節　ATT&CK for ICS模型　92

（一）ATT&CK　92

（二）ATT&CK　for ICS　95

第三節　ATT&CK模型與網絡殺傷鏈模型的關系　99

（一）ATT&CK的抽象級別　99

（二）ATT&CK與網絡殺傷鏈的差異　100

第四節　ATT&CK模型的典型使用場景　101

（一）提供網絡威脅情報　102

（二）檢測分析　102

（三）模擬攻擊　102

（四）評估改進　103

第五節　模型應用與實踐　103

（一）ATT&CK的應用工具　103

（二）ATT&CK的實踐項目　105

第八章　工業信息安全編排/自動化與響應技術　106

第一節　SOAR發展概況　106

（一）國外SOAR的發展背景　106

（二）國內SOAR的發展背景　107

第二節　SOAR核心技術解析　107

（一）安全編排與自動化　108

（二）安全事件收集、關聯分析、處置　110

（三）安全協同運營作戰室　113

（四）報告管理　114

（五）威脅情報與溯源分析管理　115

（六）應用管理　117

第三節　基於SOAR的應急響應實例　117

（一）概述　117

（二）事件處置流程　118

（三）總結　123

第九章　工業信息安全應急處置技術　124

第一節　工業網絡日誌分析　124

（一）工業網絡審計　124

（二）工業主機衛士　130

第二節　工業網絡流量分析　137

（一）分析基礎知識　138

（二）免費工具　138

（三）商業工具　145

第三節　木馬查找與病毒分析　152

（一）主機入侵排查思路　152

（二）“永恆之藍下載器”木馬排查及處置實例　155

第四節　工控安全漏洞發現與修復　160

（一）漏洞發現　160

（二）查看並分析掃描報告　161

（三）漏洞修復　162

（四）補償式防護手段　162

第十章　工業信息安全加固技術　163

第一節　工業信息安全風險分析　163

（一）操作系統安全風險分析　163

（二）基礎軟件安全風險分析　163

（三）工業控制系統安全風險分析　164

（四）工業控制網絡安全風險分析　164

第二節　工業信息安全加固技術　164

（一）操作系統安全加固技術　164

（二）基礎軟件安全加固技術　166

（三）工業控制系統安全加固技術　168

（四）工業控制網絡安全加固技術　170

第三節　工業主機系統應急響應與安全加固　171

（一）Windows操作系統安全加固　172

（二）工業主機入侵排查　176

第三篇　實訓平臺

第十一章　工業信息安全實訓靶場　184

第一節　工業信息安全實訓靶場簡介　184

（一）平臺開發背景　184

（二）主要內容簡介　184

（三）實踐教學意義　184

第二節　工業信息安全實訓靶場環境　185

（一）平臺環境概述　185

（二）油氣開採信息安全實訓環境　186

（三）智能製造信息安全實訓環境　186

（四）鋼鐵冶金信息安全實訓環境　188

第三節　工業信息安全應急實戰　189

（一）工業信息安全基礎訓練　189

（二）工業信息安全攻擊防禦　190

（三）工業信息安全應急處置　192

第十二章　工業信息安全應急演練模擬系統　193

第一節　工業信息安全應急演練模擬系統簡介　193

（一）平臺開發背景　193

（二）主要內容簡介　193

（三）實踐教學意義　194

第二節　工業信息安全應急演練模擬系統環境　194

（一）平臺環境概述　194

（二）丙烯酸甲酯生產信息安全應急演練環境　196

（三）智慧城市信息安全應急演練環境　197

（四）食品製造信息安全應急演練環境　198

（五）水力發電信息安全應急演練環境　199

（六）火力發電信息安全應急演練環境　200

（七）電力輸送信息安全應急演練環境　203

第三節　工業信息安全應急演練模擬　207

（一）工業信息安全實戰演練　207

（二）工業信息安全漏洞挖掘分析　210

（三）工業控制產品安全測試　210

第十三章　工業信息安全虛擬化實訓平臺　211

第一節　工業信息安全虛擬化實訓平臺簡介　211

（一）平臺開發背景　211

（二）主要內容簡介　212

（三）實踐教學意義　212

第二節　工業信息安全虛擬化實訓平臺環境　213

（一）平臺環境概述　213

（二）制藥信息安全實訓環境　213

（三）石油化工信息安全實訓環境　215

（四）核電信息安全實訓環境　215

（五）風電信息安全實訓環境　217

第三節　工業信息安全綜合實訓　219

（一）工業場景架構學習　219

（二）工業設備評測　220

（三）工業新技術實驗　220

（四）工業控制系統技能競賽　220

（五）工業信息安全事件復現分析　221