工業控制系統信息安全的10堂課

本書以10堂課的形式全面、系統地對工業控制系統信息安全進行介紹。其中，第一堂課介紹工業控制系統信息安全概況，主要包括典型工業控制信息安全事件回顧、威脅分析、概念解析、基本需求、發展趨勢等；第二堂課闡述工業控制系統信息安全標準體系；第三堂課介紹工業控制系統架構與漏洞分析；第四堂課至第八堂課是工業控制系統信息安全的技術部分，主要介紹工業控制系統信息安全技術、方案部署、風險評估、生命周期、管理體系等；第九堂課介紹工業控制系統信息安全產品認證；第十堂課分析工業控制系統信息安全的未來趨勢。全書內容以科普工業控制系統信息安全基礎知識、基本原理為主，兼顧一門新興專業課程和技術體系的嚴謹性和完整性，同時，還單獨闡述工業控制系統信息安全標準體系、工業控制系統架構與漏洞、工業控制系統信息安全產品認證和未來趨勢等熱點話題。通過介紹具有代表性和實用性的觀點、硬體、軟體、評估、管理、認證等內容，讓讀者能夠在短時間內了解、認識、掌握和運用工業控制系統信息安全，並達到“讓企業找到工業控制系統信息安全解決方案、讓技術人員掌握工業控制系統信息安全知識、讓學生了解工業控制系統信息安全專業課程、讓普通大眾跟進工業控制系統信息安全技術進步”的目的。

第一堂課 工業控制系統信息安全概況 / 1

一、典型工業控制信息安全事件回顧 / 2

（一）“震網”事件 / 2

（二）“黑暗力量”事件 / 3

二、威脅分析 / 4

三、概念解析 / 5

四、基本需求 / 6

五、發展趨勢 / 7

第二堂課 工業控制系統信息安全標準體系 / 9

一、國家、部委、行業法規和通知 / 10

（一）國家層面法規和通知 / 10

（二）部委、行業法規和通知 / 10

二、國際標準體系 / 11

（一）IEC/ISA / 11

（二）ISO/IEC / 15

三、國內標準體系 / 16

第三堂課 工業控制系統架構與漏洞分析 / 23

一、工業控制系統架構 / 24

（一）工業控制系統範圍 / 24

（二）製造執行系統（MES）層 / 24

（三）過程監控層 / 26

（四）現場控制層 / 33

（五）現場設備層 / 33

二、工業控制系統漏洞分析 / 35

（一）工業控制系統技術演變 / 35

（二）工業控制系統與信息技術系統的比較 / 36

（三）工業控制系統信息安全問題 / 38

（四）工業控制系統漏洞分析 / 40

第四堂課 工業控制系統信息安全技術 / 44

一、鑑別與授權技術 / 45

（一）基於角色的授權工具 / 45

（二）口令鑑別 / 45

（三）物理/令牌鑑別 / 45

（四）智慧卡鑑別 / 45

（五）生物鑑別 / 45

（六）基於位置的鑑別 / 46

（七）設備至設備的鑑別 / 46

二、過濾、阻止、訪問控制技術 / 46

（一）工業防火牆技術 / 46

（二）基於主機的防火牆技術 / 57

（三）虛擬網路技術 / 57

三、編碼技術與數據確認技術 / 57

（一）對稱密鑰編碼技術 / 58

（二）公鑰編碼與密鑰分配技術 / 58

（三）虛擬專用網路技術 / 58

四、管理、審計、測量、監控和檢測技術 / 68

（一）日誌審核工具 / 69

（二）病毒與惡意代碼檢測系統 / 69

（三）入侵檢測與入侵防護技術 / 69

（四）漏洞掃描技術 / 93

（五）辯論與分析工具 / 93

五、物理安全控制技術 / 93

（一）物理保護 / 94

（二）人員安全 / 94

第五堂課 工業控制系統信息安全方案部署 / 95

一、控制網路邏輯分隔 / 96

二、網路隔離 / 96

三、縱深防禦架構 / 108

四、軟體與監控 / 109

（一）軟體與監控架構 / 111

（二）軟體與監控分析 / 112

（三）軟體與監控趨勢 / 122

第六堂課 工業控制系統信息安全風險評估 / 124

一、系統識別 / 125

二、區域與管道的定義 / 126

（一）區域的定義 / 126

（二）管道的定義 / 128

（三）區域定義模板 / 131

三、信息安全等級（SL） / 133

（一）安全保障等級（SAL） / 133

（二）安全保障等級（SAL）與安全完整性等級（SIL）的區別 / 135

（三）基本要求（FR） / 136

（四）系統要求（SR） / 138

（五）系統能力等級（CL） / 141

（六）信息安全等級（SL） / 142

四、風險評估過程 / 142

（一）準備評估 / 143

（二）開展評估 / 143

（三）溝通結果 / 145

（四）維持評估 / 145

五、風險評估方法 / 146

（一）定性和定量風險評估方法 / 146

（二）基於場景和資產的風險評估方法 / 147

（三）詳細風險評估方法 / 147

（四）高層次風險評估方法 / 147

第七堂課 工業控制系統信息安全生命周期 / 149

一、工業控制系統生命周期 / 150

（一）工業控制系統通用生命周期 / 150

（二）工業控制系統安全生命周期 / 151

二、工業控制系統信息安全程式成熟周期 / 156

（一）初步設計階段　/ 157

（二）功能分析階段 / 158

（三）實施階段 / 158

（四）運行階段 / 159

（五）循環與處置階段 / 160

三、工業控制系統信息安全等級生命周期 / 160

（一）評估階段　/ 161

（二）開發與實施階段 / 162

（三）維護階段 / 163

第八堂課 工業控制系統信息安全管理體系 / 164

一、工業控制系統信息安全管理體系簡介 / 165

二、工業控制系統信息安全管理程式 / 166

（一）安全方針 / 166

（二）組織與合作團隊 / 167

（三）資產管理 / 173

（四）人力資源安全 / 175

（五）物理與環境管理 / 180

（六）通信與操作管理 / 186

（七）訪問控制 / 196

（八）信息獲取、開發與維護 / 204

（九）信息安全事件管理 / 210

（十）業務連續性管理 / 211

（十一）符合性 / 213

三、工業控制系統信息安全應急回響計畫 / 217

四、工業控制系統補丁管理 / 219

（一）工業控制系統補丁概述 / 219

（二）工業控制系統補丁管理系統設計 / 222

（三）工業控制系統補丁管理程式 / 226

（四）工業控制系統補丁管理實施 / 230

第九堂課 工業控制系統信息安全產品認證 / 233

一、產品認證概述 / 234

（一）產品認證的意義 / 234

（二）產品認證的範圍 / 234

（三）產品認證的檢測技術 / 235

二、產品認證機構 / 238

（一）國外產品認證機構 / 238

（二）國內產品認證機構 / 241

三、產品認證 / 243

（一）工業防火牆認證 / 243

（二）嵌入式設備安全保障認證 / 250

（三）安全開發生命周期保障（SDLA）認證 / 254

（四）系統安全保障（SSA）認證 / 255

四、產品認證趨勢 / 257

第十堂課 未來趨勢 / 259

一、工業發展趨勢 / 260

（一）工業數位化 / 260

（二）工業智慧型化 / 261

（三）工業信息化 / 266

二、工業控制系統發展趨勢 / 267

（一）工業控制系統走向開放 / 268

（二）工業控制系統走向互聯 / 275

（三）無線技術廣泛套用 / 275

三、工業控制系統信息安全趨勢 / 276

（一）信息安全形勢更嚴峻 / 276

（二）信息安全標準體系更完善 / 277

（三）信息安全技術快速推進 / 277

（四）信息安全產品準入機制 / 277

（五）信息安全軟體與監控逐步完善 / 278

附錄A 術語 / 279

附錄B 縮略語 / 282

參考文獻 / 285