《工业控制系统安全与实践》教学大纲

《工业控制系统安全与实践》教学大纲英文课程名称：IndustrialControlSystemsSafetyandPractice总学时：56（其中理论课学时:40上机学时:16）总学分:3先修课程：计算机网络；信息安全。适用专业：网络空间安全开课单位：网络空间安全学院一、课程简介本课程是网络空间安全专业的专业课。通过本课程的学习，使学生对工业控制系统安全有一个系统、全面的了解；掌握工业控制系统安全的基本概念、基本原理及体系结构；了解工业专有协议的格式与使用环境；掌握工业控制系统中资产探测、漏洞扫描等常用技术的原理；掌握面向协议、工业控制设备、工业软件的攻击基本原理和方法；了解的工业控制系统中入侵检测、异常检测相关概念及原理；掌握检测环境搭建方法；了解风险评估、入侵响应、恶意代码检测机制及相关技术。二、课程教学内容第一章工业控制系统安全第一节工业控制系统概述介绍工业控制系统概念，工业控制网络概念，工业互联网概念、工业控制网络与传统信息网络区别。第二节工业控制网络介绍工业控制网络的分层拓扑的三个层级和工业控制系统与工业控制网络的关系。第三节工业互联网与工业物联网介绍工业物联网、工业互联网及其的区别。第四节工业控制系统安全与防御从攻击和防御两个方面简要介绍工业控制系统安全相关知识。第二章工业控制设备安全第一节可编程逻辑控制器介绍可编程逻辑控制器（PLC）的组成与工作原理、基本指令系统、通信技术、逻辑控制程序、固件等。第二节可编程自动化控制器介绍可编程自动化控制器（PAC）概念、特点、与PLC的区别、组成、关键技术等。第三节远程终端单元介绍远程终端单元的组成与工作原理、接口技术、通信技术、控制程序等。第四节面向PLC的攻击介绍固件攻击、控制逻辑攻击、和物理层攻击三种面向PLC的攻击第三章常见工业控制协议及安全性分析第一节工业控制协议发展历程第二节常用工业专有协议介绍常用的工业专有协议包括：Modbus、DNP3、S7Comm、EtherNet/IP、IEC系列以及OPC等。第三节工业控制协议安全性分析介绍工业控制协议常见安全缺陷与防护措施。第四节ModbusTCP协议数据包构造与从站数据篡改实践第五节S7Comm协议重放攻击终止PLC运行实践第四章工业控制系统资产探测技术第一节工业控制系统中资产的概念第二节资产探测技术分类介绍被动探测、主动探测和基于搜索引擎等三种方式资产探测以及基于标识获取的技术。第三节资产探测实践介绍Shoden的工作原理、使用方法以及使用Shoden提供的API编程实现资产探测。第五章工业控制系统漏洞检测技术第一节工业控制系统漏洞概念与分类介绍漏洞的概念，工业控制协议、工业控制设备、工业软件中存在的漏洞。第二节工业控制系统漏洞检测基本概念及技术原理介绍漏洞库的概念、结构、常见工控漏洞库及漏洞检测技术的概念及原理。第三节常见漏洞检测工具介绍介绍Nmap、GVM、Metasploit工作原理、特点与使用方法。第四节使用MetasploitFramework验证工控软件漏洞实践第五节GVM安装设置、NVT插件编写以及工控设备漏洞检测实践第六章工业控制系统入侵检测与防护 第一节工业控制系统入侵检测与防护基础介绍了工业控制系统入侵检测与防护基础，包括网络架构演进、安全保护平台、入侵检测技术分类以及国内外研究现状。 第二节入侵检测产品介绍了入侵检测产品的不同解决方案，包括基于签名、基于上下文和基于蜜罐的方法。 第三节白名单与工业防火墙介绍了白名单与工业防火墙的相关内容，包括工业防火墙的功能、深度包解析技术、白名单的应用和智能工业防火墙的发展趋势。 第四节基于snort的入侵检测技术原理介绍了基于Snort的入侵检测技术，包括Snort规则的结构和含义，以及Snort检测原理的五个关键模块及其工作流程。 第五节图形化入侵检测系统的搭建介绍了在CentOS7系统中搭建图形化入侵检测系统，包括网络环境配置、Snort、MySQL、BASE的安装与配置，以及针对工控系统的规则编写和攻击检测。第七章工业控制系统异常检测技术第一节工业控制系统异常检测技术基础介绍了工业控制系统异常检测技术基础，包括基于流量、操作行为、设备状态、物理模型等多种方式的异常检测方法及其原理。 第二节工业控制系统异常检测产品概述了工业控制系统异常检测产品的特点，包括被动性、透明性、易于部署性，以及它们采用的技术实现和部署策略。 第三节工业控制系统正常行为建模原理介绍了工业控制系统中基于次序和时序的语义攻击，以及应对这些攻击的基于状态转换图模型的系统正常行为建模方法。 第四节工业控制系统异常检测系统实践介绍了基于状态转移图的工业控制系统正常行为建模技术，以及实时状态数据的异常检测方法，并提供了相应实验环境搭建与应用步骤。第八章工控系统信息安全风险评估 第一节风险评估的基本概念介绍了风险的概念，风险评估的定义，以及工业控制系统信息安全风险评估的基本概念和与常规IT系统的差异。 第二节风险评估的组成、评估流程介绍了工业控制系统信息安全风险评估的基本要素、组成、评估方法和流程，包括资产、威胁、脆弱性、保障能力等关键要素，以及遵循的原则和评估流程。 第三节风险评估的方法与工具介绍了工业控制系统信息安全风险评估的方法与工具，包括实施方法和工具，以及评估模型。 第四节风险评估方法实例－MulVAL的评估实验介绍了基于贝叶斯攻击图的工业控制系统风险评估方法，包括漏洞评分、可达概率计算、资产价值表示和风险值计算，同时提供了MulVAL工具的安装和测试步骤。第九章工业控制系统入侵响应技术 第一节工控系统安全防御模型介绍了工控系统安全防御模型，包括管理层、物理层、网络层、信息终端层、应用程序层和设备层六个层次，强调从管理和技术两方面综合应对工控系统的安全风险。 第二节入侵响应及入侵响应系统介绍了入侵响应系统（IRS）的概念、与入侵检测系统（IDS）和入侵防御系统（IPS）的关系，以及IRS的分类、特性和设计考虑因素。三、各章内容的基本要求及重点、难点第一章工业控制系统安全基本要求：了解工业控制系统概念；理解工业控制网络的分层拓扑结构，涵盖三个层级，并了解工业控制系统与工业控制网络之间的关系；熟悉工业控制系统安全和防御的基本概念及相关技术。重点难点：工业控制网络分层拓扑结构及各层功能。工业控制设备安全基本要求：理解PLC的组成、工作原理；理解PAC的概念、特点，以及与PLC的区别；理解远程终端单元的组成、工作原理、接口技术、通信技术和控制程序等基本概念；了解面向PLC的攻击类型。重点难点：PLC的工作流程；PLC和PC的区别。常见工业控制协议及安全性分析基本要求：了解工业控制协议的发展历程；掌握工业控制协议，常见的工业以太网协议格式与使用环境；理解工业控制协议存在的安全缺陷，以及相应的防护措施；理解ModbusTCP协议数据包的构造原理以及通过网络进行攻击的过程；理解PLC运行状态控制以及S7Comm协议的通信过程。重点难点：Modbus、DNP3、S7Comm、EtherNet/IP、IEC系列以及OPC等协议；ModbusTCP协议数据包构造与从站数据篡改实践；S7Comm协议重放攻击终止PLC运行实践。第四章工业控制系统资产探测技术基本要求：理解工业控制系统中资产的概念和范围；理解被动探测、主动探测、基于搜索引擎和基于标识获取技术的原理；了解图形界面资产探测产品在工控系统资产探测方面的使用；了解通过通信协议分析实现西门子PLC资产探测。重点难点：工业控制系统中的资产的定义；资产探原理与实践。第五章工业控制系统漏洞检测技术 基本要求：了解漏洞的定义；熟悉在工业控制系统中工业控制协议、工业控制设备、工业软件中存在的漏洞；掌握工业控制系统漏洞检测的特点和分类；了解常见工业控制漏洞库和漏洞检测技术的基本概念和原理；熟悉常见漏洞检测工具。 重点难点：漏洞检测技术原理；漏洞检测工具。第六章工业控制系统漏洞检测技术 基本要求：理解工业控制系统入侵检测与防护基础；熟悉入侵检测技术分类；了解入侵检测产品；掌握白名单与工业防火墙；深入了解基于Snort的入侵检测技术；学习图形化入侵检测系统的搭建。 重点难点：入侵检测技术的分类；Snort入侵检测技术的原理；图形化入侵检测系统的搭建；白名单与工业防火墙的应用。第七章工业控制系统漏洞检测技术 基本要求：理解工业控制系统异常检测的基础概念，包括异常检测的商用产品和正常行为建模技术；学习异常检测技术中的正常行为建模知识，了解如何构建正常行为模型；熟悉异常检测环境的搭建方法，包括系统正常行为模型的构建和实验环境的启动与配置；能够使用异常检测环境实现检测功能，了解异常检测结果的记录与分析。 重点难点：正常行为建模技术；数据预处理过程；异常检测环境搭建与应用。第八章工业控制系统漏洞检测技术 基本要求：理解风险评估的基本概念；掌握风险评估的组成和流程；熟悉风险评估的方法和工具；了解风险评估方法的实例。 重点难点：风险评估的要素和流程；风险评估方法与工具；MulVAL评估实验的理解与应用；风险评估原则的理解；攻击图节点爆炸问题的解决。第九章工业控制系统漏洞检测技术 基本要求：理解安全事件应对的时间顺序；掌握工控系统安全防御模型；深入了解入侵响应系统（IRS）。 重点难点：工控系统安全防御模型；入侵响应系统（IRS）；安全防御模型的综合应对；入侵响应系统的设计和特性。四、习题课、课堂讨论要求习题课要求：综合性习题：设计包含不同层次的综合性习题，涉及工业控制系统的安全性、网络安全、硬件和软件安全等方面。确保习题覆盖课程的关键概念和实际应用。案例分析：提供实际案例，要求学生分析工业控制系统中的安全问题，并提出解决方案。鼓励学生考虑案例中可能的威胁、漏洞和攻击手法。模拟演练：制定模拟演练习题，要求学生在虚拟环境中处理实际的工业控制系统安全事件。强调实际操作和应急响应策略。开放性问题：包含一些开放性问题，鼓励学生探索新的解决方案，并促使深入思考工业控制系统安全的未来发展趋势。课堂讨论要求：主题导向的讨论：设定每节课的主题，鼓励学生围绕该主题展开深入的讨论。引导学生分享相关经验和观点。实际案例分享：要求学生分享工业控制系统安全领域的实际案例，以促进实际经验的交流。鼓励学生分析案例中的成功经验和教训。小组讨论：定期组织小组讨论，让学生协作解决复杂的工业控制系统安全问题。确保每个小组成员都积极参与，并有机会分享他们的见解。定期总结与反馈：定期总结课堂讨论的要点，确保学生对关键概念有清晰的理解。提供及时的反馈，鼓励学生继续深入学习和参与讨论。五、实验(或上机)要求1．上机前复习相关知识点;2．分析实验题目的要求，正确理解题意