工業信息安全應急管理技術與實踐

汪礼俊

正高 级工程师，国家工业信息安 全发展研究中心副总工程师，某重大专项副总指挥，国家242信息安 全计划某课题组组长，曾主持四项国 家级、十余项省部级研究项目，著有《“一带一路”工业文明：工业信息安 全应急管理》《数海行舟：走进数据时代的北京》等图书，参与编写《中国IT产业发展报告（2018～2019）》《世界智慧城市发展报告（2016～2017）》等十本图书，拥有软件著 作权、专利七项，在《中国软科学》《中国信息化》等期刊上发表各类学术论文和专业论文一百余篇。

郭娴

博士，正高 级工程师，国家工业信息安 全发展研究中心监测应急所所长，工业信息安 全感知与评估技术工业和信息化 部重点实验室学科带头人。长期从事网络空间安 全、工业控制系统信息安 全、工业互联网安 全、数据安 全、工业互联网平台安 全及新一代信息技术等方面的科学研究、重大项目建设和产业推进工作。先后承担国家发展改革委重大专项、工业和信息化 部高质量发展专项、中央网信办重大专项等十余项，发表论文十余篇，参与撰写专题研究报告、蓝皮书五十余部，获国家发明专利五项。

师艳平

博士，正高 级工程师，中国船舶集团有限公司科技部先进制造处处长，负责船舶行业智能制造、新一代信息技术、新工艺新材料、网络安 全等领域的技术组织与管理工作。智能制造系统解决方案供应商联盟专 家委员会专 家，中国数字经济百人会专 家委员会执行委员，中国智能制造百人会专 家委员会专 家。先后承担并主持完成工业和信息化 部“1～5MW风力发电机组用双馈异步风力发电机系列化研制”、国家发展改革委“FPSO大功率平台电站技术研发及产业化”等项目。获发明专利七项、实用新型专利十余项。

李欣

中国人民大学硕士，网络安 全专 家，北京国泰网信科技有限公司创始 人兼董事长。从事网络安 全领域相关工作逾二十年，在工业数字化转型及工业网络安 全领域具有丰富的经验及深刻的理解。获得发明专利十余项，参与多项国家标准及行业标准的撰写工作。精通多种网络安 全专业技术，并融合创新攻克多项技术难题，带领团队承接了电力、石油、教育、军工等行业的多个大型信息安 全 国家重点项目，带头研发工业控制系统信息安 全、物联网安 全、数据安 全等多个系列的网络安 全产品。

第一篇 應急實踐基礎

第一章　工業信息安全漏洞管理　2

第一節　工業信息安全漏洞概述　2

（一）基本概念　2

（二）漏洞分類　2

第二節　工業信息安全漏洞態勢分析　5

（一）漏洞數量增速迅猛　5

（二）安全漏洞事件頻發　6

第三節　工業信息安全漏洞管理實踐　6

（一）漏洞管理政策標準體系　6

（二）漏洞管理工作機制　9

（三）漏洞平臺與生態建設　10

第二章　工業控制系統等級保護測評　13

第一節　網絡安全等級保護制度　13

（一）網絡安全等級保護制度的發展歷程　13

（二）網絡安全等級保護法律法規　14

（三）網絡安全等級保護標準體系　16

（四）網絡安全等級保護的主要內容　17

（五）網絡安全等級保護測評　20

第二節　工業控制系統等級保護測評內容與要求　20

（一）工業控制系統等級保護測評內容　20

（二）工業控制系統安全擴展要求解析　22

第三章　工業企業數據管理能力評估　25

第一節　數據管理能力成熟度模型　25

（一）SEI的數據管理成熟度模型　25

（二）EDM協會的數據管理能力評估模型　26

（三）DAMA的數據管理知識體系　26

（四）DGI的數據治理框架　27

第二節　數據管理能力成熟度模型評估要求　28

（一）DCMM能力域　28

（二）DCMM的評估等級　30

（三）DCMM的價值和意義　31

第三節　數據管理能力成熟度模型評估流程、原則和方法　32

（一）評估流程　32

（二）評估原則　32

（三）評估方法　33

（四）成熟度定級　34

第四節　數據管理能力成熟度模型評估案例　37

第四章　工業數據分類分級管理與防護　38

第一節　工業數據概述　38

（一）工業數據的概念　38

（二）工業數據的特徵　39

（三）工業數據發展面臨的機遇與挑戰　39

第二節　國內外工業數據安全政策標準　42

（一）國外工業數據安全政策環境　42

（二）我國工業數據安全政策環境　43

（三）我國工業數據分類分級政策標準　44

第三節　工業數據分類分級方法　45

（一）數據維度劃分　45

（二）系統盤點與業務梳理　46

（三）數據梳理與歸類　46

（四）數據分級的方法依據　47

（五）數據分級的考慮因素　48

（六）數據分級的評價方法　49

第四節　工業數據分類分級典型案例　49

（一）工業企業典型案例　49

（二）平臺企業典型案例　53

第五節　工業數據分級防護措施　55

（一）安全防護思路　55

（二）通用安全防護　56

（三）分級安全防護　58

第六節　工業數據分類分級管理發展趨勢　59

第五章　工業領域風險的典型應對措施　61

第一節　工業領域典型安全問題概述　61

（一）工控安全現狀　61

（二）事件案例分析　62

第二節　工控安全防護的重點內容　63

（一）物理安全　64

（二）數據安全　64

（三）網絡安全　64

（四）主機與應用安全　65

（五）控制安全　65

第三節　工控安全風險應對措施　65

（一）安全軟件選擇與管理　65

（二）配置和補丁管理　66

（三）邊界安全防護　68

（四）物理和環境安全防護　69

（五）身份認證　70

（六）遠程訪問安全　71

（七）安全監測和應急預案演練　72

（八）資產安全　73

（九）數據安全　74

（十）供應鏈管理　75

（十一）落實責任　76

第二篇　應急管理技術

第六章　工業信息安全檢測技術　78

第一節　工業信息安全入侵檢測技術　78

（一）背景及概念　78

（二）工業控制系統攻擊分析　78

（三）工業控制系統入侵檢測難度　79

（四）工業控制系統入侵檢測技術　79

第二節　工業信息安全漏洞掃描與挖掘技術　81

（一）工業信息安全漏洞掃描技術　81

（二）工業信息安全漏洞挖掘技術　81

第三節　工業信息安全審計技術　82

第七章　工業信息安全威脅識別技術　85

第一節　工業控制系統網絡殺傷鏈模型　85

（一）殺傷鏈　85

（二）網絡殺傷鏈　86

（三）工業控制系統網絡殺傷鏈　87

第二節　ATT&CK for ICS模型　92

（一）ATT&CK　92

（二）ATT&CK　for ICS　95

第三節　ATT&CK模型與網絡殺傷鏈模型的關系　99

（一）ATT&CK的抽象級別　99

（二）ATT&CK與網絡殺傷鏈的差異　100

第四節　ATT&CK模型的典型使用場景　101

（一）提供網絡威脅情報　102

（二）檢測分析　102

（三）模擬攻擊　102

（四）評估改進　103

第五節　模型應用與實踐　103

（一）ATT&CK的應用工具　103

（二）ATT&CK的實踐項目　105

第八章　工業信息安全編排/自動化與響應技術　106

第一節　SOAR發展概況　106

（一）國外SOAR的發展背景　106

（二）國內SOAR的發展背景　107

第二節　SOAR核心技術解析　107

（一）安全編排與自動化　108

（二）安全事件收集、關聯分析、處置　110

（三）安全協同運營作戰室　113

（四）報告管理　114

（五）威脅情報與溯源分析管理　115

（六）應用管理　117

第三節　基於SOAR的應急響應實例　117

（一）概述　117

（二）事件處置流程　118

（三）總結　123

第九章　工業信息安全應急處置技術　124

第一節　工業網絡日誌分析　124

（一）工業網絡審計　124

（二）工業主機衛士　130

第二節　工業網絡流量分析　137

（一）分析基礎知識　138

（二）免費工具　138

（三）商業工具　145

第三節　木馬查找與病毒分析　152

（一）主機入侵排查思路　152

（二）“永恆之藍下載器”木馬排查及處置實例　155

第四節　工控安全漏洞發現與修復　160

（一）漏洞發現　160

（二）查看並分析掃描報告　161

（三）漏洞修復　162

（四）補償式防護手段　162

第十章　工業信息安全加固技術　163

第一節　工業信息安全風險分析　163

（一）操作系統安全風險分析　163

（二）基礎軟件安全風險分析　163

（三）工業控制系統安全風險分析　164

（四）工業控制網絡安全風險分析　164

第二節　工業信息安全加固技術　164

（一）操作系統安全加固技術　164

（二）基礎軟件安全加固技術　166

（三）工業控制系統安全加固技術　168

（四）工業控制網絡安全加固技術　170

第三節　工業主機系統應急響應與安全加固　171

（一）Windows操作系統安全加固　172

（二）工業主機入侵排查　176

第三篇　實訓平臺

第十一章　工業信息安全實訓靶場　184

第一節　工業信息安全實訓靶場簡介　184

（一）平臺開發背景　184

（二）主要內容簡介　184

（三）實踐教學意義　184

第二節　工業信息安全實訓靶場環境　185

（一）平臺環境概述　185

（二）油氣開採信息安全實訓環境　186

（三）智能製造信息安全實訓環境　186

（四）鋼鐵冶金信息安全實訓環境　188

第三節　工業信息安全應急實戰　189

（一）工業信息安全基礎訓練　189

（二）工業信息安全攻擊防禦　190

（三）工業信息安全應急處置　192

第十二章　工業信息安全應急演練模擬系統　193

第一節　工業信息安全應急演練模擬系統簡介　193

（一）平臺開發背景　193

（二）主要內容簡介　193

（三）實踐教學意義　194

第二節　工業信息安全應急演練模擬系統環境　194

（一）平臺環境概述　194

（二）丙烯酸甲酯生產信息安全應急演練環境　196

（三）智慧城市信息安全應急演練環境　197

（四）食品製造信息安全應急演練環境　198

（五）水力發電信息安全應急演練環境　199

（六）火力發電信息安全應急演練環境　200

（七）電力輸送信息安全應急演練環境　203

第三節　工業信息安全應急演練模擬　207

（一）工業信息安全實戰演練　207

（二）工業信息安全漏洞挖掘分析　210

（三）工業控制產品安全測試　210

第十三章　工業信息安全虛擬化實訓平臺　211

第一節　工業信息安全虛擬化實訓平臺簡介　211

（一）平臺開發背景　211

（二）主要內容簡介　212

（三）實踐教學意義　212

第二節　工業信息安全虛擬化實訓平臺環境　213

（一）平臺環境概述　213

（二）制藥信息安全實訓環境　213

（三）石油化工信息安全實訓環境　215

（四）核電信息安全實訓環境　215

（五）風電信息安全實訓環境　217

第三節　工業信息安全綜合實訓　219

（一）工業場景架構學習　219

（二）工業設備評測　220

（三）工業新技術實驗　220

（四）工業控制系統技能競賽　220

（五）工業信息安全事件復現分析　221