工业控制系统安全防护 教案-第六章 工业控制系统安全防护

课题名称第6章工业控制系统安全防护计划学时10学时内容分析本章系统讲解工业控制系统（ICS）全方位安全防护体系，从基础防护到实操落地、政策解读、思政融入，内容体系完整、实践性强。主要内容：防护概念与总体方案：物理、网络、主机、数据四大防护。物理环境安全：机房、温湿度、供电、消防、门禁。网络通信安全：隔离、防火墙、IDS、加密、访问控制。主机与设备安全：加固、补丁、白名单、权限管理。数据安全：分类、加密、备份、完整性。实操：搭建HTTPS加密通信环境（CA证书、IIS配置）。政策解读：《工业控制系统网络安全防护指南》。思政：袁隆平扎根基层、攻坚克难、为国为民精神。10学时分配：4学时理论+6学时实操，理论讲透、实操落地、思政升华。教学目标及基本要求1.知识目标掌握工控安全防护四大核心模块（物理、网络、主机、数据）。理解物理防护关键措施（机房、供电、消防、门禁）。掌握网络防护：隔离、防火墙、IDS、加密、访问控制。掌握主机防护：补丁、白名单、权限、防病毒。掌握数据防护：分类、加密、备份、完整性。理解HTTPS加密通信原理与CA证书流程。熟悉《工业控制系统网络安全防护指南》核心要求。2.能力目标能独立设计工控系统分层防护方案。能配置WindowsIIS，申请并安装CA证书，搭建HTTPS服务。能解读防护指南，制定企业工控防护基线。3.素养目标树立技管结合、分层防护、底线思维的工控安全意识。培养严谨规范、责任担当、合规落地的职业习惯。学习袁隆平扎根基层、执着坚守、科技报国、为民奉献精神。教学重点工控防护四大模块（物理、网络、主机、数据）核心措施。网络隔离、防火墙、IDS、加密通信。主机加固、白名单、权限管理。HTTPS搭建：CA证书申请、IIS配置、客户端访问。《工业控制系统网络安全防护指南》33项基线。教学难点四大防护模块的逻辑关联与整体设计。CA证书颁发、受信任配置、HTTPS双向认证流程。防护指南管理+技术+运营+责任四维理解。教学方式理论讲授（PPT+示意图+对比表）案例分析（乌克兰钢铁厂、委内瑞拉水处理厂防护复盘）实操演示（CA证书、IIS、HTTPS配置）学生实操（分组完成证书申请与HTTPS访问）课堂提问、小组讨论、总结思政融入（卢仁峰事迹）教学过程第1学时：防护概述+物理、网络安全（理论）内容：防护概念、物理防护、网络防护导入（5分钟）提问：工控攻击危害？防护核心？案例：全球重大工控安全事件，引出分层防护。防护概念与总体方案（10分钟）定义：技术+管理，四大模块：物理、网络、主机、数据。物理环境安全（15分钟）机房：防火/防潮/防尘/抗震。温湿度：18-27℃、40%-60%。供电：UPS、备用电源、电涌保护。门禁：权限、监控。网络防护要点（10分钟）隔离：物理隔离（网闸）、逻辑隔离（VLAN/防火墙）。边界：工业防火墙、IDS/IPS、加密通信。第2学时：主机、数据安全（理论）内容：主机加固、数据防护复习（5分钟）提问：物理/网络防护要点？主机安全（20分钟）系统：关闭弱端口、禁用默认账户、强密码。补丁：测试后分批打，避免停机。白名单：仅可信程序运行。防病毒：工控专用、禁用U盘。数据安全（15分钟）分类：生产/控制/敏感数据。加密：传输HTTPS、存储加密。备份：定期+异地、恢复演练。审计：日志留存≥6个月。第3学时：工控系统安全风险评估（理论）课程导入（5分钟）提问：工控系统为什么要做风险评估？举例：电力、化工一旦出事，损失巨大。引出：风险评估=识别风险→分析风险→评价风险→防控风险。风险评估概念（10分钟）定义：识别、分析、评价工控系统安全风险的过程。保护对象：SCADA、DCS、PLC、关键基础设施。风险来源：网络攻击、恶意软件、物理破坏、人为错误。目的：提前防控、保障生产、保护人员与资产安全。风险评估方法（10分钟）定性评估：专家评估、问卷调查（经验判断、简单易行）。定量评估：概率风险、层次分析法（量化数值、精准度高）。小结：定性为主、定量为辅。风险评估流程（10分钟）风险识别：定范围、收集信息、找威胁、查脆弱性。风险分析：评可能性、评影响、算风险值。风险评价：分等级（高/中/低）、给处理建议。风险评估意义（5分钟）保障生产稳定、保护关键基础设施、降本增效、推动安全发展。第4学时：防护指南+分层设计（理论）内容：防护指南、分层防护设计复习（5分钟）提问：主机/数据防护要点？《工控防护指南》解读（20分钟）背景：数字化、合规要求。四大核心：安全管理、技术防护、安全运营、责任落实。重点：资产、边界、主机、数据、应急。分层防护设计（15分钟）边界：隔离+防火墙+IDS。网络：VLAN+加密。主机：加固+补丁+白名单。数据：加密+备份。管理：制度+培训。第5学时：实操1—CA证书服务器搭建内容：WindowsServer2003安装、CA服务实操导入（5分钟）说明：CA=证书颁发机构，HTTPS基础。虚拟机安装（15分钟）新建：2G内存、20G硬盘、仅主机网卡。安装：WindowsServer2003、IP设05。安装IIS+CA证书服务（15分钟）添加Windows组件：IIS、独立根CA。配置：名称CAT、有效期5年。验证（5分钟）访问05/certsrv。第6学时：实操2—Web服务器证书申请内容：WindowsXPIIS、服务器证书复习（5分钟）检查：CA服务器正常。Web服务器搭建（15分钟）XP虚拟机：IP、安装IIS。新建webtest目录、index.htm。申请服务器证书（15分钟）IIS证书向导：生成certreq.txt。提交CA：高级申请、粘贴内容。颁发+下载（5分钟）第7学时：实操3—客户端证书申请内容：XP客户端、浏览器证书复习（5分钟）检查：服务器证书申请状态。客户端准备（10分钟）XP虚拟机：IP192.168.106、访问CA。申请浏览器证书（20分钟）填写信息：姓名/单位。提交→CA颁发→下载安装。验证（5分钟）第8学时：实操4—Web服务器证书安装内容：服务器证书安装、信任链复习（5分钟）检查：服务器证书已颁发。服务器证书安装（15分钟）IIS：处理挂起请求、导入certnew.cer。根证书信任（15分钟）mmc→证书→导入CA根证书→受信任根。验证（5分钟）第9学时：实操5—HTTPS配置与访问内容：HTTPS启用、双向认证复习（5分钟）检查：证书信任。Web服务器HTTPS（15分钟）IIS：启用SSL、要求客户端证书。客户端HTTPS访问（15分钟）访问/webtest。成功加密访问。验证+截图（5分钟）第10学时：总结+思政+作业内容：实操总结、思政、作业实操总结（25分钟）CA→服务器→客户端→H