智能制造与工控安全实战培训
课程概述
l 企业必须妥善保管并切实保护好其重要而敏感的业务数据,由于ICS工作环境中应用的技术极其复杂,且多为根据客户的个性化需求量身定制的技术。它的作用并不仅是保护操作系统、应用程序和硬件组件,也是控制相关的基础设施基,如SCADA服务器、HMI接口、PLC或DCS系统及多个管理控制子系统。因此,企业应同时保护好这些易于遭受安全威胁的系统,以维持生产过程的连续性和安全性。
l 课程通过研究针对工业控制网络攻击者的攻击动机,如何定位攻击目标,以及攻击的典型步骤,结合工业控制网络的安全管理要求和技术要求,参考相关安全标准,讲解如何实施工业网络安全。
l 课程还通过借鉴微软的SDLC,OPEN-SAMM,以及BSI接触点模型,参考IBM/HP等公司的生命周期管控模型,引入OWASP ASVS,有助于学习如何进行安全需求分析,设计,开发,测试和运维,实现持续的安全风险管理,持续提升安全开发和运维的能力。
课程目标
通过本课程,学员可以获得:
l 工业控制安全标准知识
l 工业控制系统安全评估方法
l 工业控制系统等级保护要求
l 工业控制系统常见漏洞
l 软件开发生命周期管控证
主要内容
l 信息安全基础
l 工业控制系统安全案例介绍
l 工业控制安全标准介绍
l 工业控制系统漏洞发现
l 工业控制系统安全评估
l 工业控制系统等级保护要求
l 工业控制系统安全管理要求
l 软件开发生命周期管控介绍
预备知识
l 信息安全基础
l 工业控制基础
l 软件开发生命周期
培训对象
个人培训
l 安全管理人员
l 安全测试人员
团体培训
l 各大企业,政府,事业单位的信息安全部门或IT团队
培训天数:
l 2天
课程内容
第一天:
主题一. 工业控制安全基础
1. 工业控制系统分层模型
l 企业资源层
l 生产管理层
l 过程监控层 SCADA系统
l 现场控制层 DCS/PLC 系统
2. 工业控制系统安全案例
l 网络物理攻击鼻祖:震网病毒
l 乌克兰电网事件
l WannaCry和NotPetya 勒索病毒,台积电生产线停产
3. 工业控制系统安全与传统安全的不同点
l 工业控制高可用性要求与安全要求平衡
l 补偿控制措施与辅助监控系统
l 管理控制措施及物理隔离控制措施
主题二. 工业控制系统安全标准
l 工业自动化与控制系统网络安全标准IEC 62443
l 工业控制系统安全指南(NISTSP800-82) 美国 NIST
l 系统保护轮廓-工业控制系统(NISTIR7176)美国 NIST
l 工业控制系统安全评估指南 美国DHS
l GB/T 26333-2010《工业控制网络安全风险评估规范》
l GB/T 30976.1-2014《工业控制系统信息安全 第1部分:评估规范》
l GB/T 30976.2-2014《工业控制系统信息安全 第2部分:验收规范》
l 《网络安全等级保护测评要求 第5部分:工业控制系统安全扩展要求》
主题三. 工业控制系统等级保护检查
l 评估工具介绍
l 测评使用方法
l 工业系统测评中的“一票否决”
l 工业控制系统中的 策略/防护/检测/恢复/响应要求
l 工业控制系统中的 物理和环境安全
l 工业控制系统中的 网络和通信安全
l 工业控制系统中的 安全建设管理
l 工业控制系统中的 安全运维管理
主题四. 软件开发生命周期管控
l 工业控制系统漏洞趋势报告
l 工业控制系统漏洞库
l 工业控制系统漏洞扫描
l 工业控制系统安全评估
主题五. 工业控制系统安全防护
l 资产评估
l 工业控制系统威胁情报跟踪
l 根据资产跟踪漏洞
l 监控存在漏洞和未打补丁的产品
l 确定漏洞补救的优先级排序
l 充分利用职责分离,A/B角设置
第二天:
主题六. 软件开发生命周期管控
l 了解安全需求的来源
l 了解安全需求分析的方法
l 了解威胁建模的方法
l 了解软件成熟度的模型
l 了解软件开发生命周期的概念
l 了解安全架构设计
l 了解代码安全测试
l 了解模糊测试和渗透测试
l 了解ASVS
l 了解安全编码规范
l 了解开发安全管理
l 应用系统安全需求分析与设计
介绍应用系统安全需求分析方法
介绍应用系统安全设计方法
介绍应用系统安全需求与设计管控措施
l 应用系统安全开发与测试
介绍应用系统安全开发实践
介绍应用系统安全测试方法
介绍应用系统安全开发与测试框架
介绍应用系统安全开发与测试管控措施
l 应用系统安全上线与运维
介绍应用系统安全上线环境要求
介绍应用系统安全运维要求
介绍应用系统SOC平台应用技术
介绍集中认证,账户管理,审计平台技术
代码安全与开发安全管理
l 安全开发基础概念和安全开发整体实施概念
l 应用程序安全验证标准
安全架构、设计与威胁建模(Architecture,design and threat modelling)
身份鉴别(Authentication)
会话管理(Session Management)
访问控制(Access Control)
恶意输入处理(Malicious input handling)
加密支撑组件(Cryptography at rest)
错误管理及记录(Error Handling and Logging)
数据保护(Data Protection)
通讯相关(Communications)
HTTP安全配置(HTTP Security configuration)
恶意代码控制(Malicious Controls)
业务逻辑(Business logic)
文件和资源调用安全(File and resources)
移动安全(Mobile Security)
Web服务(Web services NEW for 3.0)
安全配置(security Configuration NEW for 3.0)