《工业互联网安全防护技术》教学设计 项目三 工业互联网平台安全

《工业互联网安全防护技术》教学设计课程名称：工业互联网安全防护技术授课年级：授课学期：教师姓名：年月日课题名称项目三工业互联网平台安全计划学时5学时内容分析工业互联网平台作为企业数字化转型发展的重要基础设施和关键支撑，其安全问题尤为重要。本项目主要针对工业互联网平台安全开展综合训练，主要包括三部分：围绕工业互联网相关的业务系统、各类设备、网络通道以及数据存储相关的安全态势感知系统；围绕资产状态、告警信息，及时感知预警，为快速响应处置做决策支撑的安全综合管理系统；围绕系统日志、数据流量，通过内置关联分析引擎进行深度溯源分析，及时预警的安全流量分析系统。通过以上实训操作训练，使学生掌握态势感知平台配置、综合管理系统配置、流量分析系统配置等技能，能够解决工业互联网平台、工业边缘云平台、生产管控信息系统等互联互通过程中产生的安全平台防护集成和配置问题。教学目标及基本要求了解工业互联网安全态势感知平台的特点。掌握工业互联网安全态势感知平台的原理和作用。熟练应用AD-ISA/V3.0完成安全态势感知系统的部署。了解工业互联网安全综合管理平台的特点。掌握工业互联网安全综合管理平台的主要功能。熟练应用安全综合管理平台进行安全信息和事件管理。了解工业互联网安全流量日志分析平台的特点。掌握工业互联网安全流量日志分析平台的主要功能。熟练应用安全流量日志分析平台完成系统配置、流量采集及分析。教学重点1.工业互联网安全态势感知平台的原理和作用。2.应用安全综合管理平台进行安全信息和事件管理。教学难点1.安全流量日志分析平台完成系统配置、流量采集及分析。教学方式教学采用教师课堂讲授为主，结合PPT、案例进行讲解。教学过程态势感知一、创设情境，导入新概念（1）引出本节课的主题工业互联网安全态势感知指的是工业互联网相关的业务系统、各类设备、网络通道以及数据存储相关的综合性安全监测与感知能力、分析与响应能力。安全态势感知是以数据为基础，贯穿安全风险监控、分析、响应和预测的全过程；具备持续监控能力，能够及时发现各种攻击威胁和异常流量；具备威胁调查分析及可视化能力，可以对威胁相关的影响范围、攻击路径、目的、手段进行快速判别，从而支撑有效的安全决策和响应；能够建立安全预警机制，完善风险控制、应急响应和整体防护水平，实现网络安全的主动防御。（2）明确学习目标了解工业互联网安全态势感知平台的特点。掌握工业互联网安全态势感知平台的原理和作用。熟练应用AD-ISA/V3.0完成安全态势感知系统的部署。二、进行重点知识的讲解（1）安全态势感知平台特点工业互联网安全态势感知平台（AD-ISA/V3.0）是以工业网络安全数据为基础，以资产安全评估和威胁情报为支撑，通过智能分析引擎全面感知工业安全态势。平台的主要特点表现为：（一）工业网络设备兼容工业环境设备小众、版本多、环境封闭，导致生产设备、网络设备、安全设备与平台兼容性、联动性存在挑战。通过在工业网络安全领域持续研发和投入，已经兼容了主流工业环境中绝大部分生产设备、网络设备和安全设备。（二）威胁情报智能关联分析结合多年的安全经验和实践积累，平台可为用户精准提供威胁情报数据。通过第三方威胁情报厂商提供的数据对恶意IP、域名、URL、MD5、SHA1等进行关联分析，及时预警网络面临的安全风险。（三）未知威胁全方位感知通过网络攻击行为、恶意代码传播、漏洞分布状态、重要系统风险等多种安全属性综合评估全网安全态势。通过深度挖掘等技术对上报的数据进行潜在威胁分析，通过提取异常行为特征与原始日志进行分析比对，全方位感知未知安全威胁。（四）工业指纹库全面覆盖系统内置超过200个厂商近1000种工控设备指纹，涉及交换机、TV、控制器、网关、PLC、人机页面等设备类型。安全态势感知平台主要功能安全态势感知平台通过结合入侵检测、边界防护、协议分析、行为分析、安全审计、容灾备份、态势感知等各种安全引擎，对工业生产网络进行严密监控，及时预警潜在安全威胁，为应急响应处置提供数据支撑。平台的主要功能有：（一）综合态势感知；（二）资产态势感知；（三）告警态势感知；（四）威胁态势感知。安全态势感知平台部署方式工业互联网安全态势感知平台在选择部署方式的时候，采用旁路工作模式，无须改变已有网络结构，无须在网络内串接设备，无须在系统上安装代理，可以很方便地完成部署，无论逻辑上还是物理上都采用旁路工作模式，彻底杜绝单点故障。三、归纳总结，布置课后作业（1）知识点总结1.安全态势感知定义。2.安全态势感知平台特点。3.安全态势感知平台主要功能。4.安全态势感知平台工作原理。5.安全态势感知平台部署方式。随堂练习与作业实践任务一：态势感知平台管理1.平台登录。2.平台配置：网卡配置。3.平台配置：路由配置。4.平台配置：入侵检测。综合管理一、创设情境，导入新概念（1）引出本节课的主题在传统运维环境中，查看设备运行状态、告警日志等信息需要分别登录对应设备管理员页面，运维管理员不断重复登录登出流程，操作繁琐、数据分散，极大影响运维效率。管理员需要一种高度集成化的运维平台，满足专业化、标准化、流程化、自动化的运维管理需求，同时能够统一监测网络中资产状态、告警信息，通过数据挖掘、AI分析等手段及时发现潜在威胁，在网络即将面临风险前，及时感知预警，为快速响应处置做决策支撑。（2）明确学习目标1.了解工业互联网安全综合管理平台的特点。2.掌握工业互联网安全综合管理平台的主要功能。3.熟练应用安全综合管理平台进行安全信息和事件管理。二、进行重点知识的讲解（1）安全综合管理平台作用工业互联网安全综合管理平台的核心功能是安全信息与事件管理，将信息管理和事件管理整合到统一系统中。安全信息和事件管理系统的基本原理是汇总来自多个来源的相关数据，识别其与规范定义的偏差并采取适当的措施。系统能够关联分析多种安全信息，当检测到潜在问题时，生成告警并指示其他安全控件停止运行或执行特定的安全操作。（2）安全综合管理平台特点工业互联网安全综合管理平台可实现全网安全系统的状态监控、安全风险的集中收集、存储、关联分析与可视化、安全风险集中处置等集中安全管理功能。该平台系统可监控安全系统的运行状态，还可以对安全系统进行安全策略配置与调整，总体实现网络安全防护体系的防护效能。（3）安全综合管理平台主要功能安全综合管理平台通过数据采集平台将各类安全数据采集后，利用人机交互分析、智能分析引擎、关联分析技术、基线算法分析技术实现对海量数据的安全分析，采用规则特征检测手段发现网络中潜在的异常威胁和安全隐患。同时利用平台自身的攻击溯源、安全事件可视化等能力实现对安全事件的调查、管理、溯源、监控、分析、预测等目的。三、归纳总结，布置课后作业（1）知识点总结1.综合管理平台作用：安全信息与事件管理。2.综合管理平台特点：状态监控、安全风险的集中收集、存储、关联分析与可视化、安全风险集中处置等集中安全管理功能。3.综合管理平台主要功能：对安全事件的调查、管理、溯源、监控、分析、预测等。（2）随堂练习与作业实践任务二：综合管理1.用户管理：在平台添加用户（角色）时通过对“可管控区域”的配置可以对单个区域进行管控，也可对所有区域进行管控。2.区域管理通过“资产管理”→“区域管理”进行添加区域操作，目的为方便后续单个用户账号对单个区域或多个区域的管理。3.监测审计在“资产管理”→“运维管理”→“监测审计”，添加各区域监测审计设备，监测审计IP需按照现场监测审计部署情况添加，避免造成IP冲突。日志分析在“资产管理”→“运维管理”→“监测审计”，添加各区域日志分析，日志分析IP需跟各区域负责人确认，避免IP冲突。系统升级对平台进行升级操作时，需登录管理员账户，单击右上角框出的图标，单击“系统升级”，然后进行升级操作。流量分析一、创设情境，导入新概念（1）引出本节课的主题工业互联网作为“新基建”建设任务之一，并且随着智能制造和工业互联网推进政策的不断出台，政府及企业开始逐步重视对工业互联网安全的投入，工业互联网市场具有较快的增长率。2018年工业信息市场规模增长率达到55.5%，根据近年中国工业信息安全行业市场规模的增长趋势，前瞻预测行业规模仍将持续扩大，到2024年，中国工业信息安全行业市场规模有望达到70亿元。为满足工业监控系统网络安全监管的需要，因此引入工业安全流量日志分析平台（AD-UBA）。（2）明确学习目标1.了解工业互联网安全流量日志分析平台的特点。2.掌握工业互联网安全流量日志分析平台的主要功能。3.熟练应用安全流量日志分析平台完成系统配置、流量采集及分析。二、进行重点知识的讲解（1）安全流量日志分析平台架构安全流量分析平台按照设备自身感知、分布式采集、管理平台统一管控的原则，构建数据采集、数据处理、数据转发的三层架构的网络安全监管技术体系。（2）安全流量日志分析平台特点1）工业级低功耗硬件架构。采用ARM低功耗工业级硬件架构，硬件低功耗、无风扇的工作模式大大降低运行成本，保证系统在工业环境中长期稳定运行。2）定制化微内核系统安装。采用经过裁减的Linux定制化操作系统，进行最小化安装。支持对用户权限和系统基线等进行加固，同时支持DDoS等攻击防御。3）高自主可控国产化适配。系统软件已完成凝思、麒麟等多个国产化操作系统适配，硬件支持国产化CPU（飞腾、海光）、内存、网卡，支持国产化数据库，全面实现国产化自主可控。4）高可信高实时威胁告警。具备完善、高可信的安全事件告警机制，当监测到工业环境中非法入侵、设备异常、通信中断、对时异常、关键进程异常、非法外联等事件时，将第一时间告警并提示运维人员。5）高级别高可靠安全保障。产品采用C/S架构设计，管理员运维登录采用口令+UKey双因子认证，仅允许合法运维人员登录系统，内置SM2证书，采用国密规范进行身份认证及传输加密，充分保障远程运维安全性、可靠性；同时本地运维采用非http/https协议的私有协议进行通信，保证现场无须频繁升级、打补丁，更加安全可靠。（3）安全流量日志分析平台主要功能安全流量日志分析平台主要针对工业网络中各类主机、服务器、安全设备、网络设备、工业设备以及各类数据库产生的安全事件和流量信息进行采集分析的产品，支持工业全要素数据采集、识别和分析。通过内置关联分析引擎对采集到的日志和流量进行深度溯源分析，及时预警各种异常事件和潜在威胁，有效规避可控安全风险，为管理员应急响应决策提供数据支撑，为生产环境的安全稳定运行提供了有效保障。（4）安全流量日志分析平台部署方式工业安全流量日志分析平台采用旁路部署方式，无须改动网络拓扑，即插即用，同时系统内置了300多种日志解析规则库及丰富多样的审计场景和安全分析场景，提升部署效率,降低实施成本。三、归纳总结，布置课后作业（1）知识点总结1.安全流量日志分析平台架构：数据采集、数据处理、数据转发的三层架构。2.安全流量日志分析平台特点：低功耗、微内核、自主可控国产化适配、高可信。3.安全流量日志分析平台主要功能：对工业网络中各类主机、服务器、安全设备、网络设备、工业设备以及各类数据库产生的安全事件和流量信息进行采集分析。（2）随堂练习与作业实践任务三：流量分析1.平台安装。2.平台登录3.基础配置此页面下可进行日志输出配置、流量转发配置、流量级联配置、蜂鸣报警、NTP告警控制、外联告警控制；仅管理员具有查看此项的权限，如果以管理员用户的身份登入，可在列表项选择“系统参数→基础配置”。事件处理参数配置此页面下可以设置CPU利用率上限阈值、内存使用率上限阈值、磁盘使用率上限阈值、连续登录失败阈值、密码有效期、连续登录失败锁定时间、网口流量越限阈值、事件归并周期、历史事件上报分界时间参数、日志存储容量阈值、会话超时时间；仅管理员具有查看此项的权限，如果以管理员用户的身份登入，可在列表项选择“系统参数→事件处理参数”。采集参数配置此页面下可以编辑装置服务代理、安全防护设备数据采集端口、网络设备SNMPT