工業(yè)信息安全應(yīng)急管理理論與架構(gòu)

第一篇 基礎(chǔ)知識(shí)
第一章　工業(yè)信息安全基礎(chǔ)　2
第一節(jié)　工業(yè)信息安全相關(guān)概念　2
（一）工業(yè)信息安全　2
（二）工業(yè)控制系統(tǒng)信息安全　4
（三）工業(yè)互聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)安全　5
（四）工業(yè)大數(shù)據(jù)安全　6
第二節(jié)　工業(yè)信息系統(tǒng)與網(wǎng)絡(luò)架構(gòu)　7
（一）工業(yè)信息系統(tǒng)　7
（二）工業(yè)控制網(wǎng)絡(luò)協(xié)議　16
第三節(jié)　工業(yè)信息安全威脅　22
（一）工業(yè)網(wǎng)絡(luò)安全威脅　23
（二）工業(yè)設(shè)備安全威脅　26
（三）工業(yè)系統(tǒng)安全威脅　26
（四）工業(yè)數(shù)據(jù)安全威脅　27
（五）工業(yè)信息安全威脅的來(lái)源　28
（六）工業(yè)領(lǐng)域網(wǎng)絡(luò)攻擊分析　30
第二章　工業(yè)信息安全發(fā)展概述　36
第一節(jié)　工業(yè)信息安全形勢(shì)　36
（一）工業(yè)控制系統(tǒng)本身存在安全缺陷　36
（二）工業(yè)信息安全供給能力不足　37
（三）工業(yè)信息安全形勢(shì)愈加嚴(yán)峻　38
第二節(jié)　工業(yè)信息安全技術(shù)趨勢(shì)　39
（一）工控蜜罐技術(shù)走向深度應(yīng)用　39
（二）工控資產(chǎn)測(cè)繪技術(shù)廣受關(guān)注　40
（三）工業(yè)數(shù)據(jù)安全技術(shù)備受矚目　40
（四）人工智能技術(shù)助力安全防護(hù)　41
第三節(jié)　工業(yè)信息安全標(biāo)準(zhǔn)進(jìn)展　42
（一）國(guó)外工業(yè)信息安全標(biāo)準(zhǔn)發(fā)展現(xiàn)狀及特點(diǎn)　42
（二）我國(guó)工業(yè)信息安全標(biāo)準(zhǔn)發(fā)展現(xiàn)狀及特點(diǎn)　44
（三）工業(yè)信息安全標(biāo)準(zhǔn)體系框架　46
第四節(jié)　工業(yè)信息安全產(chǎn)業(yè)發(fā)展　49
（一）多方發(fā)力加速推進(jìn)安全業(yè)務(wù)布局　49
（二）安全產(chǎn)業(yè)投融資活躍度持續(xù)走高　50
（三）安全產(chǎn)業(yè)迎來(lái)多個(gè)新價(jià)值增長(zhǎng)點(diǎn)　52
第五節(jié)　工業(yè)信息安全戰(zhàn)略與政策布局　53
（一）國(guó)外工業(yè)信息安全戰(zhàn)略與政策　53
（二）我國(guó)工業(yè)信息安全政策規(guī)定　55
第三章　工業(yè)信息安全應(yīng)急管理　59
第一節(jié)　工業(yè)信息安全應(yīng)急管理概述　59
（一）應(yīng)急管理的基本概念　59
（二）應(yīng)急管理階段　60
（三）工業(yè)信息安全應(yīng)急管理　61
第二節(jié)　工業(yè)信息安全應(yīng)急管理政策規(guī)定　61
（一）國(guó)外工業(yè)信息安全應(yīng)急管理政策規(guī)定　61
（二）我國(guó)工業(yè)信息安全應(yīng)急管理形勢(shì)及政策規(guī)定　64
第三節(jié)　工業(yè)信息安全應(yīng)急管理理論與架構(gòu)　65
（一）應(yīng)急管理理論　65
（二）應(yīng)急管理架構(gòu)　66

第二篇　應(yīng)急體系
第四章　國(guó)家突發(fā)事件應(yīng)急體系　70
第一節(jié)　突發(fā)事件應(yīng)急體系概述　70
（一）第一階段：?jiǎn)雾?xiàng)應(yīng)對(duì)為主　70
（二）第二階段：綜合應(yīng)急為主　71
（三）第三階段：總體國(guó)家安全觀(guān)為統(tǒng)領(lǐng)　71
第二節(jié)　突發(fā)事件應(yīng)急預(yù)案體系　72
（一）應(yīng)急預(yù)案　72
（二）應(yīng)急預(yù)案體系　73
第三節(jié)　突發(fā)事件應(yīng)急管理體制　75
（一）應(yīng)急管理體制的概念　75
（二）國(guó)家應(yīng)急管理體制建設(shè)　76
第四節(jié)　突發(fā)事件應(yīng)急管理機(jī)制　77
（一）應(yīng)急管理機(jī)制的概念　77
（二）國(guó)家應(yīng)急管理機(jī)制建設(shè)　77
第五節(jié)　突發(fā)事件應(yīng)急管理法制　78
（一）應(yīng)急管理法制的概念　78
（二）國(guó)家應(yīng)急管理法制建設(shè)　79
第五章　工業(yè)信息安全應(yīng)急體系　81
第一節(jié)　工業(yè)信息安全應(yīng)急預(yù)案體系　81
（一）國(guó)家應(yīng)急預(yù)案　81
（二）省級(jí)應(yīng)急預(yù)案　83
第二節(jié)　工業(yè)信息安全應(yīng)急管理體制　84
（一）國(guó)家應(yīng)急組織指揮體系　85
（二）地方應(yīng)急組織指揮體系　86
（三）非政府應(yīng)急組織　86
第三節(jié)　工業(yè)信息安全應(yīng)急管理機(jī)制　86
第四節(jié)　工業(yè)信息安全應(yīng)急管理法制　87
（一）法律法規(guī)　87
（二）行政規(guī)章　89
（三）標(biāo)準(zhǔn)規(guī)范　91
第六章　工業(yè)信息安全應(yīng)急準(zhǔn)備體系建設(shè)　92
第一節(jié)　工業(yè)信息安全應(yīng)急準(zhǔn)備體系概述　92
（一）工業(yè)信息安全應(yīng)急準(zhǔn)備的基本概念　92
（二）工業(yè)信息安全應(yīng)急準(zhǔn)備體系結(jié)構(gòu)　93
第二節(jié)　工業(yè)信息安全應(yīng)急準(zhǔn)備實(shí)施　95
（一）工業(yè)信息安全應(yīng)急組織準(zhǔn)備　96
（二）工業(yè)信息安全應(yīng)急思想準(zhǔn)備　97
（三）工業(yè)信息安全應(yīng)急制度準(zhǔn)備　97
（四）工業(yè)信息安全應(yīng)急預(yù)案準(zhǔn)備　99
（五）工業(yè)信息安全應(yīng)急機(jī)制準(zhǔn)備　100
（六）工業(yè)信息安全應(yīng)急資源準(zhǔn)備　101
（七）工業(yè)信息安全應(yīng)急防護(hù)準(zhǔn)備　103
（八）工業(yè)信息安全應(yīng)急工作準(zhǔn)備　108
第三節(jié)　工業(yè)信息安全應(yīng)急準(zhǔn)備評(píng)估　110
（一）工業(yè)信息安全應(yīng)急準(zhǔn)備評(píng)估概述　110
（二）工業(yè)信息安全應(yīng)急準(zhǔn)備評(píng)估流程　110
第七章　工業(yè)信息安全應(yīng)急預(yù)案編制　114
第一節(jié)　工業(yè)信息安全應(yīng)急預(yù)案編制的意義　114
第二節(jié)　工業(yè)信息安全應(yīng)急預(yù)案編制的基本程序　115
（一）應(yīng)急預(yù)案編制準(zhǔn)備　115
（二）應(yīng)急預(yù)案編制與修訂　117
第三節(jié)　工業(yè)信息安全應(yīng)急預(yù)案的內(nèi)容　117
（一）工業(yè)信息安全綜合應(yīng)急預(yù)案　118
（二）工業(yè)信息安全專(zhuān)項(xiàng)應(yīng)急預(yù)案　124
（三）工業(yè)信息安全現(xiàn)場(chǎng)處置方案　125
第四節(jié)　工業(yè)信息安全應(yīng)急預(yù)案的檢驗(yàn)　126
第八章　工業(yè)信息安全應(yīng)急演練實(shí)施　128
第一節(jié)　工業(yè)信息安全應(yīng)急演練概述　128
（一）基本概念　128
（二）國(guó)內(nèi)政策　129
（三）演練的作用　129
（四）演練的分類(lèi)　130
第二節(jié)　工業(yè)信息安全應(yīng)急演練實(shí)施方法　131
（一）演練原則　131
（二）演練準(zhǔn)備　132
（三）演練實(shí)施　134
（四）演練總結(jié)　135
（五）成果運(yùn)用　135
第三節(jié)　國(guó)外工業(yè)信息安全應(yīng)急演練分析　136
（一）國(guó)外的政策法規(guī)體系　136
（二）美國(guó)的“網(wǎng)絡(luò)風(fēng)暴”　137
（三）北約的“鎖定盾牌”　139

第三篇　監(jiān)測(cè)與應(yīng)急
第九章　工業(yè)信息安全監(jiān)測(cè)預(yù)警　142
第一節(jié)　工業(yè)信息安全監(jiān)測(cè)預(yù)警制度　142
（一）工業(yè)信息安全監(jiān)測(cè)預(yù)警政策要求　142
（二）工業(yè)信息安全監(jiān)測(cè)預(yù)警工作體系　143
第二節(jié)　工業(yè)信息安全監(jiān)測(cè)預(yù)警關(guān)鍵技術(shù)　146
（一）在線(xiàn)監(jiān)測(cè)技術(shù)　146
（二）蜜罐仿真技術(shù)　147
（三）網(wǎng)絡(luò)流量分析技術(shù)　147
（四）工業(yè)企業(yè)側(cè)探針技術(shù)　148
第三節(jié)　工業(yè)信息安全態(tài)勢(shì)感知能力建設(shè)應(yīng)用方案　149
（一）國(guó)家工業(yè)信息安全態(tài)勢(shì)感知平臺(tái)　149
（二）工業(yè)企業(yè)安全監(jiān)測(cè)管理系統(tǒng)　150
第十章　工業(yè)信息安全應(yīng)急處置　152
第一節(jié)　工業(yè)信息安全應(yīng)急處置工作體系　152
（一）事件報(bào)告與先期處置　153
（二）應(yīng)急響應(yīng)　153
（三）應(yīng)急結(jié)束　154
第二節(jié)　工業(yè)信息安全應(yīng)急處置流程　154
（一）工業(yè)信息安全應(yīng)急處置階段　154
（二）工業(yè)信息安全典型應(yīng)急處置場(chǎng)景　155
（三）工業(yè)信息安全應(yīng)急處置流程　155
第三節(jié)　工業(yè)信息安全應(yīng)急處置關(guān)鍵技術(shù)　158
（一）準(zhǔn)備階段——威脅情報(bào)技術(shù)　158
（二）準(zhǔn)備階段——演練實(shí)訓(xùn)技術(shù)　159
（三）檢測(cè)階段——漏洞風(fēng)險(xiǎn)排查　160
（四）檢測(cè)階段——網(wǎng)絡(luò)取證　161
（五）抑制階段——鏡像取證　163
（六）根除階段——入侵排查　163
（七）根除階段——入侵溯源　165
（八）集成技術(shù)工具——工業(yè)信息安全應(yīng)急處置工具箱　166
第四節(jié)　工業(yè)領(lǐng)域勒索病毒應(yīng)急防護(hù)　167
（一）工業(yè)勒索病毒概述　167
（二）工業(yè)控制系統(tǒng)勒索病毒分析　170
（三）工業(yè)領(lǐng)域勒索事件應(yīng)急響應(yīng)流程　173
（四）工業(yè)領(lǐng)域勒索病毒應(yīng)急防護(hù)措施　175

附錄
附錄A　工業(yè)信息安全典型事件案例　180
第一節(jié)　“震網(wǎng)”病毒入侵破壞伊朗核設(shè)施　180
（一）事件概述　180
（二）影響分析　180
（三）攻擊原理　181
第二節(jié)　烏克蘭電網(wǎng)系統(tǒng)遭“黑暗力量”攻擊　181
（一）事件概述　181
（二）影響分析　182
（三）攻擊原理　182
第三節(jié)　WannaCry勒索病毒爆發(fā)威脅工業(yè)信息安全　183
（一）事件概述　183
（二）特點(diǎn)及影響分析　184
（三）攻擊原理　184
第四節(jié)　新型惡意軟件攻擊能源基礎(chǔ)設(shè)施　185
（一）基本情況　185
（二）主要特點(diǎn)　185
（三）攻擊原理　185
第五節(jié)　全球大型肉食品加工商遭勒索病毒攻擊　186
（一）事件概述　186
（二）影響分析　186
（三）攻擊原理　186
附錄B　工業(yè)信息安全應(yīng)急演練實(shí)例　188
第一節(jié)　有色金屬行業(yè)應(yīng)急演練實(shí)例　189
（一）行業(yè)背景　189
（二）演練實(shí)施　189
第二節(jié)　鋼鐵行業(yè)應(yīng)急演練實(shí)例　192
（一）行業(yè)背景　192
（二）演練實(shí)施　192
第三節(jié)　電子信息制造業(yè)應(yīng)急演練實(shí)例　195
（一）行業(yè)背景　195
（二）演練實(shí)施　195
第四節(jié)　裝備工業(yè)應(yīng)急演練實(shí)例　198
（一）行業(yè)背景　198
（二）演練實(shí)施　198
附錄C　工業(yè)信息安全重要標(biāo)準(zhǔn)　201
第一節(jié)　IEC《工業(yè)自動(dòng)化和控制系統(tǒng)安全》　201
（一）標(biāo)準(zhǔn)概述　201
（二）IEC　62443-1通用標(biāo)準(zhǔn)　202
（三）IEC　62443-2資產(chǎn)所有者安全策略與規(guī)程　203
（四）IEC　62443-3系統(tǒng)集成商安全保護(hù)要求　203
（五）IEC　62443-4組件供應(yīng)商安全保護(hù)要求　204
第二節(jié)　NIST《OT網(wǎng)絡(luò)安全指南》　205
（一）標(biāo)準(zhǔn)概述　205
（二）OT系統(tǒng)的基本概念　206
（三）OT網(wǎng)絡(luò)安全計(jì)劃制訂　208
（四）OT網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理　208
第三節(jié)　NIST《信息系統(tǒng)和組織的安全和隱私控制》　210
（一）標(biāo)準(zhǔn)概述　210
（二）SP　800-53安全控制基線(xiàn)的要求　210
（三）SP　800-53與我國(guó)等級(jí)保護(hù)制度的差異　212
第四節(jié)　國(guó)標(biāo)《信息安全技術(shù) 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》　212
（一）標(biāo)準(zhǔn)概述　212
（二）工控安全控制列表分析　212
（三）工控安全控制基線(xiàn)的要求　213
第五節(jié)　國(guó)標(biāo)《信息安全技術(shù) 網(wǎng)絡(luò)安全事件應(yīng)急演練指南》　214
（一）標(biāo)準(zhǔn)概述　214
（二）應(yīng)急演練的目的、原則和形式　215
（三）應(yīng)急演練的規(guī)劃和組織架構(gòu)　215
（四）應(yīng)急演練的實(shí)施過(guò)程　216
第六節(jié)　國(guó)標(biāo)《信息安全技術(shù) 網(wǎng)絡(luò)安全事件分類(lèi)分級(jí)指南》　217
（一）標(biāo)準(zhǔn)概述　217
（二）網(wǎng)絡(luò)安全事件分類(lèi)　218
（三）網(wǎng)絡(luò)安全事件分級(jí)　219