《工业互联网安全》 教案大纲

《工业互联网安全》课程教学大纲课程名称工业互联网安全课程类型专业课程适用专业学时数36实验/实践学时无课外学时无考核方式考试（建议：平时或期中40%+期末60%）课程简介工业互联网包括网络、平台、数据、安全四大体现，工业互联网安全体现涉及设备、控制、网络、平台、工业APP、数据等多方面网络安全问题。《工业互联网安全》课程是工业互联网专业或课程体现的重要组成课程，课程针对工业互联网安全的五大泛化对象面临的安全威胁，分别介绍了工业设备控制安全、设备安全、网络安全、数据安全、云平台安全与标识解析安全可采取的安全防护措施，以及工业互联网使用的轻量级密码技术。在教学实践中，本课程具有较强的理论性，要求学生能够掌握工业互联网典型的业务场景安全威胁与安全防护技术，课程教学中注重加强工业网络安全典型案例风险，总结工业互联网云侧-网侧-边侧-端侧安全防护技术。教学目标通过本课程的学习能够培养学生了解工业互联网设备、控制、网络、平台、工业APP、数据等多方面网络安全问题与安全防护技术，学生掌握轻量级密码技术，工业互联网云侧-网侧-边侧-端侧安全防护技术，以及工业互联网基础理论知识与体系架构。主要教学模式和教学手段教学模式采取课堂教学为主，学生自学部分材料为辅的教学模式。课题教学采用各章节理论知识教学为主，结合企业安全建设案例为辅，小组讨论等方法相结合的教学方式开展。教学内容绪论【教学内容】：主要介绍工业互联网起源、发展动力、定义和内涵，不同国家工业互联网参考体系架构，分析了工业互联网安全的威胁与工业互联网安全技术体系，以及工业互联网安全发展趋势、区块链与零信任模式的系统安全新技术。工业互联网安全体系【教学内容】：主要介绍美国工业互联网安全框架、德国工业4.0安全框架、中国工业互联网安全框架；以及国内外工业互联网安全标准、工控安全保障体系、工控信息安全等级包含要求。从控制安全、设备安全、网络安全、应用安全、数据安全、工业互联网云平台安全与标识解析安全七方面详细论述了工业互联网安全体系与可采取的安全防护措施。工业控制安全【教学内容】：本章主要介绍工业控制ICS系统组成，ICS工业控制网络，工业控制设备安全问题，ICS网络安全检测技术，ICS网络安全防护技术，ICS信息安全管理技术与工业系统安全技术案例。论述了ICS网络架构与关键组件，分析了现场总线协议、工业以太网协议、OPC的特点和技术优势。针对工业控制设备安全问题，从ICS系统威胁、ICS系统潜在的脆弱性、策略和程序方面的脆弱性、平台方面的脆弱性方面分析了设备漏洞分析，ICS网络方面的脆弱性与设备安全防护策略。详细介绍了入侵检测、漏洞扫描、漏洞挖掘、安全审计、蜜罐技术、态势感知等ICS网络安全检测技术。ICS网络安全防护技术包括网络隔离技术、防火墙技术、工业防火墙、白名单技术、网闸技术。工业互联网中的轻量级密码技术【教学内容】：本章介绍了工业互联网使用的轻量级密码技术与轻量级加密方法，分析了工业互联网设备联网的轻量级认证机制，工业大数据应用中的高效轻量级加密散列函数；工业互联网设备程序实现中的轻量级密码技术防护，解决的是如何有效防护Java虚拟机中下一个内存地址占用攻击的问题。工业互联网标识解析安全【教学内容】：本章主要介绍典型的标识解析技术、工业互联网标识解析安全现状及建设意义。描述了工业互联网标识解析的安全特征和安全挑战，提出了工业互联网标识解析安全框架，以标识解析流程为主线，从防护对象、安全角色、脆弱性与威胁、防护措施以及安全管理等视角进行介绍工业互联网标识解析安全的各方面内容，分析了工业互联网标识解析安全所涉及的关键技术。工业互联网应用安全【教学内容】：本章论述了工业软件云化趋势及其安全问题、工业APP分类及安全问题、工业SaaS的安全问题；分析了工业应用软件以漏洞为代表的脆弱性、漏洞静态与动态挖掘分析技术及其攻击防范问题。面向云原生的安全体系包括容器安全、Kubernetes编排系统安全和云原生应用安全。重点介绍了工业微服务安全威胁与安全需求、容器基础设施Docker的风险分析、容器编排管理Kubernets的风险分析。介绍了包括特斯拉Kubernets挖矿事件、大规模Kubenets挖矿事件、Graboid蠕虫挖矿传播事件。使用微服务治理框架Istio并采用JWT（JSONWebToken）或基于Istio的认证方式、微服务架构下访问控制、数据安全防护、云原生API网关等防护方法。工业互联网数据安全【教学内容】：本章主要介绍工业数据特征及其分类分级管理、工业数据安全风险及安全需求、工业数据采集传输与数据交换安全、工业数据存储安全、数据处理安全、以及工业互联网数据安全案例。将工业数据分为一级、二级、三级等3个级别分类分级管理，分析工业数据面临的安全风险与数据安全防护面临挑战，论述工业数据采集安全、数据传输安全、数据交换安全、数据云存储安全控制与访问控制等方法，还介绍了工业数据备份与归档、工业数据新鲜性与时效性控制、数据处理安全、数据脱敏处理、工业数据溯源等具体方法技术。简要介绍了国际数据空间的参考架构模型及其五层组成结构，IDS通信协议提供安全的数据供应链。工业互联网信息安全防护技术体系【教学内容】：本章介绍了工业互联网安全防护技术体系，包括以数据安全为主的工业互联网云侧的安全防护技术、面向服务的体系结构及其安全技术、虚拟化机制及其安全技术。然后以通信网络和连接的加密保护、信息流保护、工业互联网管（网）侧安全防护策略、工业互联网网络安全态势感知技术、工业互联网蜜罐和蜜网技术为例，总结了工业互联网管（网）侧安全防护技术。分析工业互联网中的边缘层、边侧安全服务框架、系统安全管理、安全接口技术、面向工业互联网边缘层的入侵检测技术，对工业互联网边侧安全防护技术进行了概括和总结。总结了包括终端节点的安全威胁和漏洞识别，终端节点物理安全，建立可信根，终端节点的身份标识，工业互联网终端节点的访问控制、完整性保护、数据保护，适用于终端节点保护的加密技术，工业互联网终端节点的隔离技术在内的工业互联网端侧安全防护技术。工业网络安全建设典型案例【教学内容】：本章从钢铁制造企业、智慧矿山、富士康工业互联网平台、智能制造行业