工业控制系统安全防护 教案全套 -第1-7章 认识工业控制系统及其安全 -工业控制系统安全企业实践

课题名称第一章认识工业控制系统及其安全计划学时4学时内容分析本章是工业控制系统安全课程的开篇，属于基础理论入门章节。主要包括：工业控制系统概述（SCADA、DCS、PLC、RTU、层次体系）、工控安全概述（安全问题、安全体系、安全标准）、全球重大工控安全事件案例。本章为后续学习工控安全技术、防护措施打下理论基础，内容偏概念、体系、案例，理论性强、知识点多、案例取自真实事件。4学时适合整章整体讲授+案例分析+课堂练习+思政融入。教学目标及基本要求1.知识目标掌握工业控制系统核心组成：SCADA、DCS、PLC、RTU的概念、组成与应用。理解工业控制系统四层层次体系：现场设备层、控制层、监控层、管理层。了解工控系统安全存在的主要问题、安全体系架构、国内外主要安全标准。了解典型工控安全事件：乌克兰钢铁厂、委内瑞拉水处理厂、微软蓝屏事件等，理解攻击原因与影响。2.能力目标能区分SCADA/DCS/PLC/RTU的功能差异。能画出工控系统层次体系结构并说明各层作用。能分析典型工控事件的攻击路径、原理与安全启示。3.素养目标树立关键基础设施安全意识，理解工控安全对国家能源、制造、交通的重要性。培养严谨、规范、安全第一的职业素养。教学重点SCADA、DCS、PLC、RTU的核心概念、组成与应用场景。工业控制系统四层层次体系及各层功能。工控系统安全问题与安全体系架构。典型工控安全事件（乌克兰钢铁厂、委内瑞拉水处理厂）的关键要点。教学难点SCADA与DCS、PLC与RTU的区别与联系。工控系统四层层次体系的逻辑关系。典型攻击事件的原理、路径与影响分析。教学方式理论讲授+PPT演示案例分析、视频片段辅助课堂提问、小组讨论课堂练习（填空、判断、简答）教学过程第1学时：工业控制系统概述——核心组件（SCADA、DCS）教学内容：课程导入；工业控制系统定义；SCADA系统（组成、架构、应用）；DCS系统（组成、特点、应用）。教学过程课程导入（5分钟）提问：电力、化工、轨道交通是如何自动控制的？引出工业控制系统。说明本章学习目标：认识工控系统、理解安全风险、分析真实事件。工业控制系统（ICS）概述（10分钟）定义：工业控制系统是控制工业生产过程、保障关键基础设施运行的系统总称。核心组件：SCADA、DCS、PLC、RTU、HMI。SCADA系统讲解（10分钟）全称：数据采集与监视控制系统。组成：上位机、下位机、通信网络。架构：集中式、分布式、网络式（C/S、B/S）。应用：电力、油气、轨道交通、供水。DCS系统讲解（10分钟）全称：分布式/集散控制系统。核心思想：分散控制、集中管理。组成：工程师站、操作员站、现场控制站、系统网络。特点：高可靠、开放、灵活、易维护。应用：化工、电力、冶金。课堂小结+提问（5分钟）小结：SCADA偏监控、DCS偏过程控制。提问：SCADA和DCS的主要区别？第2学时：工业控制系统概述——PLC、RTU与层次体系教学内容：PLC（组成、分类、工作方式、应用）；RTU（组成、特点、应用）；工控系统四层层次体系。教学过程复习回顾（5分钟）提问：SCADA/DCS的组成与应用？PLC系统讲解（10分钟）全称：可编程逻辑控制器。组成：电源、CPU、存储器、输入/输出单元。分类：整体式/模块式；微型/小型/中型/大型。工作方式：循环扫描（输入采样→程序执行→输出刷新）。应用：自动化生产线、电力、交通、楼宇。RTU系统讲解（10分钟）全称：远程终端单元。特点：距离远、适应恶劣环境、模块化。应用：油气、水利、电力变电站、远程站点监控。对比：PLC侧重现场控制，RTU侧重远程数据采集。工控系统层次体系（10分钟）现场设备层：传感器、执行器、仪表（感知+执行）。控制层：PLC、DCS、RTU（直接控制）。监控层：SCADA、HMI、监控主机（监视+操作）。管理层：ERP、MES（生产管理+决策）。画图：板书/PPT画出四层结构并讲解数据流向。课堂练习+小结（5分钟）填空：工控四层结构名称。第3学时：工业控制系统安全概述教学内容：工控安全背景；主要安全问题；安全体系架构；国内外安全标准。教学过程导入：为什么工控安全重要？（5分钟）关键基础设施：能源、制造、交通、供水。后果：停机、事故、经济损失、社会影响。工控系统主要安全问题（15分钟）网络攻击：恶意软件、入侵、篡改数据。系统漏洞：老旧系统、协议漏洞、应用漏洞。物理安全：设备损坏、非法物理访问。供应链安全：设备/软件后门、恶意植入。人员意识：弱口令、违规外联、移动介质滥用。工控安全体系架构（10分钟）物理安全层：机房防护、门禁、环境安全。网络安全层：隔离、防火墙、网闸、加密、入侵检测。主机/设备安全层：系统加固、补丁、防病毒、权限控制。数据安全层：加密、备份、访问控制。安全管理与审计层：制度、培训、审计、应急。工控安全标准（5分钟）国际：ISA/IEC62443、IEC62264、ISO27001、NISTSP800-82。国内：GB/T36324、GB/T40813、防护指南。小结（5分钟）安全核心：分层防护、管理+技术并重。第4学时：全球重大工控安全事件+课堂练习与总结教学内容：4个典型事件核心要点；课堂练习；本章总结。教学过程典型事件精讲（20分钟）乌克兰钢铁厂遭受攻击（2023年）。委内瑞拉水处理厂遭受攻击（2023年）。美国天然气管道商遭攻击（2020年）。微软蓝屏宕机事件（2024年）。事件背景->攻击方式->攻击原理->攻击后果。课堂练习（10分钟）本章习题（填空、判断、选择、简答）。学生独立完成，教师巡回指导。讲解答案，答疑。大国工匠（5分钟）弘扬爱岗敬业、精益求精、坚守担当的工匠精神，在专业课中融入思政元素。本章总结+作业布置（5分钟）总结：工控系统组成、层次、安全风险、典型事件、防护思路。作业：简述勒索软件攻击原理与安全启示（简答题）。思考题和习题见教材配套的习题教学后记课题名称第2章工业控制系统协议安全计划学时8学时内容分析本章聚焦工业控制系统通信协议安全，属于工控安全核心技术章节，实践性强、理论与实操结合紧密。内容分为四大部分：工控协议概述：发展历史、安全共性问题（缺认证、明文传输、无授权、广播风险、无完整性校验）。主流工控协议：Modbus、Profinet、OPC协议的原理、组成、特点、应用场景。工控常用IT协议：HTTP、FTP、Telnet、SSH、ARP、ICMP的作用与安全特性对比。实操任务：虚拟Modbus通信环境搭建、脚本攻击Modbus、Wireshark抓包分析Modbus协议。思政融入：大国工匠胡双钱精益求精、严谨细致、坚守岗位、助力国产航空事业的工匠精神。本章是后续学习工控协议攻击与防护、网络安全配置、入侵检测的基础，理论知识点多、实操步骤详细，8学时适合理论精讲+实操演练+案例拓展+思政融入。教学目标及基本要求1.知识目标了解工控协议发展历史，掌握工控协议五大共性安全问题。掌握Modbus、Profinet、OPC协议的核心原理、组成、特点及应用场景。熟悉HTTP、FTP、Telnet、SSH、ARP、ICMP协议的功能、端口及安全差异。理解Modbus主从通信、帧结构、功能码、寄存器类型。了解Modbus攻击原理、抓包分析方法及安全启示。2.能力目标能区分主流工控协议（Modbus/Profinet/OPC）的差异，说出适用场景。能区分工控常用IT协议的安全风险，知道Telnet与SSH、HTTP与HTTPS的区别。能独立搭建虚拟Modbus通信环境（虚拟串口、主从站模拟器配置）。能执行Modbus脚本攻击，观察寄存器篡改效果。能用Wireshark抓取Modbus数据包，分析帧结构、功能码及数据含义。3.素养目标树立工控协议安全意识，理解协议漏洞对工业生产、关键基础设施的危害。培养严谨细致、规范操作、重视细节的职业素养，养成良好的网络安全实操习惯。学习大国工匠胡双钱的工匠精神，践行爱岗敬业、精益求精、勇于钻研、坚守责任的职业价值观。教学重点工控协议五大共性安全问题（缺认证、明文传输、无授权、广播风险、无完整性校验）。Modbus协议：原理、帧结构、功能码、寄存器类型、主从通信模式。Profinet三种通信方式（TCP/IP、RT、IRT）及IO系统组成。OPC协议作用、分层结构及通信方式。工控常用IT协议（Telnet/SSH、HTTP/FTP、ARP/ICMP）安全对比。Modbus虚拟通信环境搭建、脚本攻击、抓包分析实操步骤。教学难点Modbus帧结构（MBAP报文头、PDU）、功能码含义及数据包解析。Profinet三种通信方式的实时性差异及应用场景区分。OPC协议分层逻辑及同步/异步/订阅通信方式理解。Modbus脚本代码功能解读、参数配置逻辑。Wireshark抓包后Modbus数据包字段分析与对应关系理解。教学方式理论讲授+PPT演示（知识点精讲、对比表格、示意图）案例分析（协议漏洞攻击案例、安全事件）实操演示（虚拟串口搭建、Modbus模拟器配置、脚本攻击、Wireshark抓包）学生实操练习（分组完成任务、教师巡回指导）课堂提问、小组讨论、知识点总结思政融入（大国工匠胡双钱案例讲解、工匠精神分享）教学过程第1学时：工业控制系统协议概述——发展历史与安全问题教学内容：课程导入；工控协议发展历史（继电器控制→PLC诞生→Modbus出现→以太网协议发展→无线协议应用）；工控协议五大共性安全问题（缺认证、明文传输、无授权、广播风险、无完整性校验）。教学过程课程导入（5分钟）提问：工业设备如何“对话”？协议在工控系统中的作用？展示工控协议安全事件案例（乌克兰钢铁厂、委内瑞拉水处理厂），引出本章学习目标。工控协议发展历史精讲（20分钟）继电器控制时代：电路组合控制，复杂难维护。PLC诞生：1968年迪克・莫利发明Modicon084，开启PLC时代。Modbus诞生：1979年Modbus协议推出，开放免费、广泛应用。以太网协议发展：90年代Modbus/TCP、Profinet、EtherNet/IP出现。无线协议应用：WiFi、ZigBee、LoRa在工业场景普及。工控协议共性安全问题（10分钟）缺认证：无身份验证，攻击者可伪造设备通信。明文传输：地址、指令、数据明文，易被窃听篡改。无授权：无权限划分，任意设备可读写关键数据。信息广播：串行设备接收所有消息，易被DoS攻击。无完整性检查：无校验，可伪造异常报文导致设备失控。课堂小结+提问（5分钟）小结：工控协议重实时轻安全，五大安全问题是攻击突破口。提问：Modbus协议设计时为何不考虑安全？第2学时：主流工业通信协议——Modbus协议教学内容：Modbus简介、通信方式、协议栈、帧格式、事务流程、应用场景。教学过程复习回顾（5分钟）提问：工控协议五大安全问题？Modbus诞生时间？Modbus协议简介（10分钟）全称、开发者、主从通信模式、请求-响应模型。应用场景：中小型工控、智能建筑、能源管理。Modbus通信方式与协议栈（10分钟）串口通信：RTU（二进制，高效）、ASCII（可读，冗长）。以太网通信：Modbus/TCP（常用，结合TCP/IP）。协议栈：应用层协议，封装在TCP/UDP之上。Modbus帧格式与事务流程（10分钟）帧组成：ADU（MBAP+PDU）、PDU（功能码+数据）。正常响应：主站发请求→从站回复数据。异常响应：功能码+0x80，返回差错码。课堂小结+提问（5分钟）小结：Modbus简单开放、应用广，但安全缺陷多。提问：Modbus通信方式分哪几种，分别有什么特点？第3学时：主流工业通信协议——Profinet协议教学内容：Profinet简介、三种通信方式、IO系统组成、冗余协议。教学过程复习回顾（5分钟）提问：ModbusRTU与ASCII区别？Modbus/TCP默认端口？Profinet协议简介（10分钟）开发者、以太网协议、高实时性、灵活性、工业自动化应用。Profinet三种通信方式（10分钟）TCP/IP：100ms级，普通控制、配置管理。RT：10ms级，实时控制，优化协议栈。IRT：＜1ms，硬实时，时间触发，高精度控制。ProfinetIO系统与冗余（10分钟）IO控制器（PLC）、IO设备（传感器/执行器）、IO监视器（调试）。介质冗余MRP：环形拓扑，故障自动切换，保障通信。课堂小结+对比（5分钟）小结：Profinet实时性强，IRT最高，适合高端自动化。对比：ModbusvsProfinet（实时性、复杂度、应用场景）。第4学时：主流工业通信协议——OPC协议教学内容：OPC简介、引入目的、分层结构、通信方式。教学过程复习回顾（5分钟）提问：ProfinetRT与IRT实时性差异？MRP作用？OPC协议简介与引入目的（10分钟）全称、标准接口、OPC基金会。引入目的：统一设备接口，减少驱动开发，提高兼容性。非OPC：设备需9个驱动；OPC：统一接口，简化集成。OPC分层结构（10分钟）OPC服务器：管理组、标签。OPC组：管理标签集合，触发事件。OPC标签：对应数据源，读写数据。OPC通信方式（10分钟）同步：客户端等待响应，阻塞。异步：客户端直接返回，后台处理，回调通知。订阅：数据变化超阈值，服务器主动推送。课堂小结+提问（5分钟）小结：OPC解决设备兼容问题，三种通信方式适配不同场景。提问：OPC组和标签的作用？第5学时：工业控制系统常见IT协议教学内容：HTTP、FTP、Telnet、SSH、ARP、ICMP协议功能、端口、安全特性对比。教学过程复习回顾（5分钟）提问：OPC三种通信方式？Modbus与Profinet应用场景？应用层协议：HTTP、FTP、Telnet、SSH（15分钟）HTTP：80端口，明文，网页/配置界面，易被劫持。FTP：21端口，明文，文件传输/固件上传，安全风险高。Telnet：23端口，明文远程登录，禁用，易被窃听。SSH：22端口，加密远程登录，安全，替代Telnet。网络层协议：ARP、ICMP（10分钟）ARP：IP转MAC，无认证，易ARP欺骗。ICMP：ping/tracert，网络连通性测试，无数据加密。安全对比总结（5分钟）明文协议（HTTP/FTP/Telnet）：风险高，工控慎用。加密协议（SSH）：安全，优先使用。网络层协议：基础功能，存在欺骗风险。课堂小结+提问（5分钟）小结：工控IT协议分应用层、网络层，优先加密协议。提问：Telnet和SSH安全性比较。第6学时：实操任务1——搭建虚拟Modbus通讯环境教学内容：软件准备（VSPD、CommTone、ModScan32、ModSim32）、虚拟串口创建、串口通信测试、Modbus主从站配置与通信验证。教学过程实操导入+软件介绍（5分钟）说明实操目的：无硬件搭建虚拟环境，理解Modbus通信。软件：VSPD（虚拟串口）、CommTone（串口调试）、ModScan32（主站）、ModSim32（从站）。虚拟串口创建（10分钟）演示VSPD安装→添加COM1/COM2→设备管理器查看虚拟串口。学生实操：创建COM1/COM2，验证端口存在。串口通信测试（5分钟）演示CommTone配置COM1（9600/8/1/无校验）→COM2同配置→发送“123”验证双向通信。学生实操：完成串口通信测试，截图保存结果。Modbus主从站配置与通信验证（15分钟）演示ModSim32（从站）：DeviceID=1、地址0001、长度8、保持寄存器→连接COM1。演示ModScan32（主站）：同参数→连接COM2→观察Polls/Resps计数，验证通信。学生实操：配置主从站，成功建立通信，截图保存。实操总结+答疑（5分钟）小结：虚拟环境搭建完成，掌握串口与Modbus主从通信配置。答疑：解决学生实操中的端口占用、连接失败问题。第7学时：实操任务2——通过脚本攻击Modbus教学内容：ModbusTCP通信搭建、脚本代码解读、执行脚本攻击、寄存器篡改验证。教学过程复习回顾+实操导入（5分钟）回顾：虚拟串口Modbus通信配置要点。导入：演示脚本攻击，篡改寄存器值，理解协议漏洞危害。ModbusTCP通信搭建（10分钟）演示ModSim32：DeviceID=1、参数同前→连接Modbus/TCP（502端口）。演示ModScan32：同参数→连接:502→验证TCP通信。学生实操：搭建TCP通信，验证正常读写寄存器。脚本代码解读与执行（15分钟）代码讲解：导入库→创建主站→读寄存器→写寄存器→再次读取验证。关键参数：DeviceID、起始地址、寄存器数量、写入值。演示执行：运行脚本→查看控制台输出→观察从站寄存器变为3、4。学生实操：编写/运行脚本，成功篡改寄存器，截图保存攻击前后对比。实操总结+答疑（5分钟）小结：脚本攻击成功，验证Modbus无授权、明文传输漏洞。答疑：解决学生实操中遇到的问题。第8学时：拓展+Wireshark抓包分析Modbus+本章总结+思政融入教学内容：Modbus协议详解（帧结构、功能码、寄存器）、Wireshark抓包配置、数据包解析、本章知识点总结、习题答疑、大国工匠胡双钱案例分享。教学过程复习回顾+拓展导入（5分钟）回顾：脚本攻击原理、Modbus漏洞危害。导入：通过抓包直观分析Modbus协议数据，理解通信细节。Modbus协议核心知识点精讲（5分钟）寄存器类型：线圈（位，读写）、离散输入（位，只读）、保持寄存器（字，读写）、输入寄存器（字，只读）。常用功能码：01/02/03/04（读）、05/06/0F/10（写）。Modbus/TCP帧：MBAP（7字节）+PDU（功能码+数据），无CRC校验。Wireshark抓包与数据包解析（15分钟）抓包配置：选择回环接口→过滤“modbus”→执行脚本攻击→停止抓包→保存pcap文件。数据包解析：读寄存器请求：事务ID、协议ID、长度、设备ID、功能码03、起始地址、数量。写寄存器响应：功能码10、写入数量、数据值。学生实操：完成抓包，解析2-3个关键数据包，记录字段含义。思政融入：大国工匠胡双钱案例（5分钟）案例讲解：胡双钱40年打磨飞机零件，百万分之一米精度，无一次品，助力C919大飞机。工匠精神：爱岗敬业、精益求精、严谨细致、坚守岗位、勇于钻研、责任担当。价值传递：工控安全工作需严谨细致、重视细节、精益求精，守护工业安全。本章总结+习题答疑（5分钟）知识点总结：协议历史→安全问题→主流协议（Modbus/Profinet/OPC）→IT协议→实操→思政。习题答疑：讲解本章填空题、判断题、选择题、简答题答案，解决学生疑问。课后作业（5分钟）实操作业：整理Wireshark抓包截图+数据包解析说明。思考题和习题见教材配套的习题教学后记课题名称第3章工业控制系统漏洞扫描计划学时8学时内容分析本章是工控安全核心实操章节，内容由理论+工具+实操+案例组成：漏洞概述：定义、类型、软件/硬件/配置漏洞。漏洞扫描类型：主机、端口、Web、工控、数据库、源码扫描。主流扫描工具：nmap、Nessus、Appscan、ICSScan。实操任务：Kali环境搭建、nmap网络扫描、Modbus工控扫描、SQL注入案例。思政融入：大国工匠宁允展精益求精、极致工匠精神。教学目标及基本要求1.知识目标掌握系统漏洞定义、分类（软件/硬件/配置）。理解漏洞扫描类型的用途。掌握nmap、Nessus、Appscan、ICSScan核心功能。掌握Kali环境搭建步骤。掌握nmap常用命令、Modbus工控扫描方法、SQL注入原理。2.能力目标能独立搭建Virtualbox+Kali+MobaXterm实操环境。能用nmap完成主机、端口、服务、系统扫描。能模拟Modbus设备并扫描识别。能分析SQL注入原理及防护措施。3.素养目标树立“漏洞是隐患、扫描是防线”的工控安全意识。培养严谨细致、规范操作、重视细节的实操习惯。学习大国工匠宁允展精益求精、极致追求、专注坚守的工匠精神。教学重点漏洞分类（软件/硬件/配置）。nmap核心功能与常用命令。Kali环境搭建全流程。nmap主机/端口/系统扫描实操。Modbus工控设备扫描方法。SQL注入原理与防护。教学难点漏洞类型区分（软件/硬件/配置）。nmap参数含义与命令组合。Kali网络配置与SSH远程登录。Modbus设备模拟与扫描脚本使用。SQL注入逻辑理解。教学方式理论讲授（PPT+案例）实操演示（屏幕共享、分步演示）学生实操（分组、教师巡回指导）课堂提问、实操答疑思政融入（大国工匠宁允展案例）教学过程第1学时：系统漏洞概述（理论）教学内容：漏洞定义、分类、扫描类型。课程导入（5分钟）提问：什么是漏洞？漏洞对工控的危害？案例：乌克兰钢铁厂、委内瑞拉水处理厂均由漏洞引发，引出本章学习。漏洞定义（5分钟）定义：硬件/软件/协议/策略缺陷，可被未授权利用。关键词：缺陷、未授权、访问/破坏。漏洞分类（15分钟）软件漏洞：缓冲区溢出、XSS、SQL注入、文件上传。硬件漏洞：处理器漏洞（Meltdown/Spectre）、固件漏洞。配置漏洞：弱密码、未开防火墙、权限错误。漏洞扫描类型（10分钟）主机、端口、Web、工控、数据库、云、源码扫描，各用途。课堂小结+提问（5分钟）小结：漏洞分类，扫描分类。提问：弱密码属于哪类漏洞？第2学时：漏洞扫描工具（理论）教学内容：nmap、Nessus、Appscan、ICSScan功能。复习回顾（5分钟）提问：软件漏洞有哪些？端口扫描用途？nmap（15分钟）全称：NetworkMapper，开源。核心：主机探测、端口扫描、服务/系统识别。界面：命令行+Zenmap图形化。Nessus+Appscan（10分钟）Nessus：免费、插件多、报告全。Appscan：Web漏洞专用，XSS/SQL注入检测。ICSScan（5分钟）国产工控扫描，支持PLC/SCADA设备。课堂小结+提问（5分钟）小结：nmap通用，ICSScan工控专用。提问：nmap最核心功能？第3学时：搭建漏洞扫描环境（实操1）教学内容：Virtualbox+Kali安装配置。实操导入（5分钟）说明：Kali预装nmap，是扫描基础环境。Virtualbox安装（10分钟）下载官网包→安装→新建虚拟机（Linux/Debian64）。Kali导入与存储设置（10分钟）解压vdi→添加虚拟硬盘→内存4G、CPU2核。网络配置（10分钟）网卡2设为仅主机→查看IP→本机ping测试。实操小结+答疑（5分钟）解决：IP冲突、网卡未启用。第4学时：Kali系统配置（实操2）教学内容：root密码、SSH配置、MobaXterm远程登录。复习回顾（5分钟）检查：Kali开机、IP获取。修改root密码（10分钟）命令：sudopasswdroot→设为root。SSH配置（15分钟）编辑sshd_config→开启密码登录、允许root登录→重启服务。MobaXterm连接（5分钟）新建SSH→IP+root→登录成功。实操小结+答疑（5分钟）解决：SSH连不上、密码错误。第5学时：nmap基础扫描（实操3）教学内容：主机、端口、系统扫描。实操导入（5分钟）说明：nmap命令是扫描核心。主机扫描（10分钟）命令：nmap-sP/24→找在线主机。端口扫描（10分钟）命令：nmap目标IP→开放端口；nmap-p80目标IP→指定端口。系统扫描（10分钟）命令：nmap-O目标IP→识别Windows/Linux。实操小结+答疑（5分钟）解决：命令输错、扫描无结果。第6学时：Web扫描+Modbus模拟（实操4）教学内容：Web扫描、Modbus设备模拟。复习回顾（5分钟）提问：nmap-sP、-O命令用途？Web服务启动+扫描（15分钟）本机：python-mhttp.server8000。Kali：whatweb目标IP:8000→识别Python服务。Modbus设备模拟（15分钟）本地运行Python脚本→启动Modbus服务（502端口）。脚本功能：模拟ModiconM340PLC。小结+感悟分享（5分钟）第7学时：工控扫描+漏洞查询（实操5）教学内容：Modbus扫描、漏洞库查询。复习回顾（5分钟）检查：Modbus服务是否运行。Modbus端口扫描（10分钟）命令：nmap-p502目标IP→端口开放。Modbus设备识别（15分钟）命令：nmap-p502--scriptmodbus-discover→获取设备型号。漏洞库查询（5分钟）阿里云漏洞库：搜索ModiconM340→查看CVE漏洞。实操小结+答疑（5分钟）第8学时：SQL注入+本章总结（理论+实操）教学内容：SQL注入原理、防护、本章复习。实操导入（5分钟）案例：登录框注入，无密码登录。SQL注入原理（10分钟）普通SQL：select*fromuserswhereuser='a'andpwd='b'。注入：user='or1=1--→绕过验证。注入类型+防护（10分钟）类型：数字/字符/搜索/盲注。防护：参数化查询、输入过滤、ORM框架。思政融入（5分钟）大国工匠宁允展案例：0.05毫米精度、专注坚守、极致工匠精神。职业联系：漏洞扫描需严谨细致、精益求精。本章总结（5分钟）漏洞分类→扫描工具→环境搭建→nmap实操→工控扫描→SQL注入。习题答疑+作业（5分钟）作业：写出nmap扫描开放端口命令+SQL注入防护3点。思考题和习题见教材配套的习题教学后记课题名称第4章工业控制系统防火墙计划学时8学时内容分析本章围绕防火墙展开，分为理论+实操+拓展+思政四部分：传统防火墙：概念、原理、三大技术（包过滤/状态检测/应用层）。工业防火墙：概念、技术、国内外主流产品。实操：Windows防火墙防护Modbus、防火墙日志分析。拓展：ASPF状态防火墙原理。思政：钱学森爱国报国、攻坚克难精神。8学时适配：4学时理论+4学时实操，兼顾原理理解与动手能力。教学目标及基本要求1.知识目标掌握传统防火墙概念、工作原理、三大技术特点。掌握工业防火墙概念、核心技术、国内外产品。理解Windows防火墙规则配置、日志含义。理解ASPF状态防火墙原理与优势。2.能力目标能区分传统与工业防火墙差异。能独立配置Windows防火墙拦截Modbus攻击。能查看、分析防火墙操作日志与工作日志。能简述状态防火墙工作流程。3.素养目标树立“防火墙是工控安全第一道防线”意识。培养严谨配置、重视日志、合规防护的职业习惯。学习钱学森爱国报国、攻坚克难、无私奉献精神。教学重点传统防火墙三大技术（包过滤/状态检测/应用层）。工业防火墙特点、Bypass机制、主流产品。Windows防火墙拦截Modbus配置。防火墙日志查看与分析。ASPF状态防火墙原理。教学难点传统防火墙三种技术的区别与适用场景。工业防火墙微秒级时延、Bypass机制理解。Windows防火墙规则作用域配置。防火墙日志字段含义解析。ASPF状态表与临时ACL工作逻辑。教学方式理论讲授（PPT+示意图+对比表）实操演示（屏幕分步演示、步骤拆解）学生实操（分组练习、教师巡回指导）案例分析（真实攻击防护场景）课堂提问、小组讨论、总结思政融入（钱学森爱国事迹）教学过程第1学时：传统防火墙概述（理论）教学内容：防火墙概念、工作原理、分类。课程导入（5分钟）提问：网络边界如何防攻击？防火墙作用？案例：工控网络攻击多从边界突破，引出防火墙必要性。防火墙概念（15分钟）定义：软硬件结合、内外网隔离、按规则过滤流量。分类：软件（Windows防火墙）、硬件、软硬结合。地位：网络安全第一道防线。防火墙工作原理（15分钟）核心：检查数据包→匹配规则→允许/拒绝。流程：数据包进出→解析头部→规则库匹配→执行动作。软件vs硬件：硬件性能高、硬件加速；软件依赖主机配置。课堂小结+提问（5分钟）小结：防火墙=隔离+规则过滤，分软件硬件。提问：Windows防火墙属于哪类？第2学时：传统防火墙三大技术（理论）教学内容：包过滤、状态检测、应用层防火墙。复习回顾（5分钟）提问：防火墙工作核心？软件硬件区别？包过滤防火墙（10分钟）原理：网络层，解析源/目的IP、端口、协议。特点：快、简单；缺点：不识别应用层、易绕过。适用：低安全场景。状态检测防火墙（15分钟）原理：跟踪连接状态，维护状态表。特点：防重放、更安全；缺点：占资源。流程：新连接建表→后续包匹配状态→异常拦截。应用层防火墙（10分钟）原理：解析应用层内容（HTTP/FTP/工控协议）。特点：细粒度、安全高；缺点：慢、时延大。小结：三种技术对比（速度/安全/适用）。第3学时：工业防火墙介绍（理论）教学内容：工业防火墙概念、技术、国外产品。复习回顾（5分钟）提问：三种防火墙技术优缺点？工业防火墙概念（10分钟）定义：专为工控设计，支持Modbus/Profinet等。特点：微秒级时延、宽温、防尘、Bypass机制。区别：传统防IT攻击；工业防工控协议攻击。工业防火墙核心技术（15分钟）协议解析：深度解析Modbus/TCP、Profinet。Bypass：故障直通，保障生产不中断。环境适应：-40℃~75℃、无风扇。国外工业防火墙（10分钟）飞塔、思科、西门子、霍尼韦尔：特点、适用场景。第4学时：国内工业防火墙+思政（理论）教学内容：国内产品、钱学森思政。复习回顾（5分钟）提问：工业防火墙Bypass作用？国内工业防火墙（20分钟）融安、迪普、力控、威努特、华为、长扬：功能、优势、行业应用。特点：国产化、适配国产工控协议、性价比高。思政融入：钱学森事迹（10分钟）事迹：冲破阻挠回国、研制导弹原子弹、奠定航天基础。精神：爱国报国、攻坚克难、自主创新、无私奉献。联系：工控安全需自主可控、攻克技术难关。课堂小结+感悟（5分钟）第5学时：实操1——Windows防火墙防护Modbus教学内容：规则配置、攻击拦截验证。实操导入（5分钟）说明：用Windows防火墙模拟工控防护，拦截Modbus攻击。准备工作（10分钟）启动ModSim32（本地02）。Kali修改攻击脚本IP为02。初始攻击：Kali执行脚本，成功篡改寄存器。防火墙规则配置（15分钟）打开高级设置→入站规则→找到ModSim32。编辑规则：操作改为“阻止”→应用。规则验证：规则变红、阻止生效。攻击拦截验证（10分钟）Kali再次执行脚本→连接超时、拦截成功。学生实操：独立完成配置与验证。第6学时：实操2——防火墙操作日志教学内容：事件查看器、操作日志解析。复习回顾（5分钟）检查：防火墙规则是否阻止Modbus。打开事件查看器（10分钟）路径：开始→管理工具→事件查看器→应用程序和服务日志→WindowsFirewall。查看2099事件（15分钟）事件ID2099：规则修改日志。字段解析：规则名、操作（阻止）、程序路径、修改人。学生实操+答疑（10分钟）实操：找到自己修改规则的日志，解读关键字段。第7学时：实操3——防火墙工作日志教学内容：日志配置、拦截日志分析。复习回顾（5分钟）提问：操作日志记录什么？日志配置（10分钟）防火墙属性→公用配置文件→自定义日志。开启：记录丢弃数据包、记录成功连接。日志路径：%systemroot%\LogFiles\Firewall\pfirewall.log。日志查看与分析（15分钟）管理员打开日志→过滤源IP（Kali）。关键字段：DROP、源IP、目的IP、端口502。解析：Kali攻击被防火墙丢弃，拦截成功。实操总结（10分钟）第8学时：拓展ASPF+本章总结（理论+实操）教学内容：状态防火墙原理、本章复习、习题。拓展：ASPF状态防火墙（15分钟）概念：ApplicationSpecificPacketFilter（状态检测）。原理：建状态表+临时ACL，跟踪TCP三次握手。优势：防会话劫持、重放攻击，支持多通道协议（FTP）。本章总结（15分钟）传统防火墙：3技术对比。工业防火墙：特点、Bypass、国内外产品。实操：Modbus防护、日志分析。习题答疑+作业（10分钟）简答：包过滤与状态防火墙区别？实操：写出防火墙拦截Modbus步骤。思考题和习题见教材配套的习题教学后记课题名称第5章工业控制系统入侵检测计划学时6学时内容分析本章围绕入侵检测系统（IDS）展开，内容包括：入侵检测系统概念、架构、原理、部署方式。工业入侵检测技术：基于异常、基于误用。实操：Snort环境搭建、Modbus攻击检测、日志分析。拓展：SNMP协议与入侵检测。思政：南仁东科技报国、攻坚克难精神。整体特点：理论+实操并重，8学时合理分配为4学时理论、4学时实操。教学目标及基本要求1.知识目标掌握IDS概念、四大组成、三种工作原理、部署方式。理解工业入侵检测两大技术：异常、误用。掌握Snort安装、配置、规则编写、告警原理。了解SNMP架构、MIB、常用命令及检测应用。2.能力目标能区分IDS与防火墙差异。能独立安装配置Snort、编写简单规则。能复现Modbus攻击并查看告警日志。能读懂Snort告警并分析入侵行为。3.素养目标树立“防火墙拦、IDS查”分层防护意识。培养严谨配置、重视日志溯源的职业习惯。学习南仁东科技报国、执着坚守、精益求精精神。教学重点IDS架构（事件产生器、分析器、响应单元、数据库）。异常检测与误用检测区别。Snort配置、规则编写、告警日志分析。Modbus攻击检测实操流程。教学难点异常检测与误用检测原理理解。Snort配置文件路径修改、规则语法。抓包分析与告警日志对应关系。教学方式理论讲授（PPT+示意图+对比表）案例演示（屏幕分步操作）学生实操（分组、教师巡回指导）课堂提问、总结思政融入（南仁东事迹）教学过程第1学时：入侵检测系统概述（理论）内容：概念、架构、原理、部署方式导入（5分钟）提问：防火墙能拦所有攻击吗？攻击进入后怎么办？引出IDS：主动发现、事后追溯。IDS概念（5分钟）定义：实时监控、识别异常、主动告警。与防火墙区别：防火墙拦流量，IDS抓包分析告警。IDS四大架构（15分钟）事件产生器：抓包、生成事件。事件分析器：规则/异常/行为分析。响应单元：告警、阻断、记录。事件数据库：日志存储。三种工作原理（10分钟）规则匹配：匹配已知攻击特征。异常检测：偏离正常基线即告警。行为分析：用户/设备行为建模。部署方式+小结（5分钟）旁路监听：不影响流量，抓副本分析。小结：IDS=监控+分析+告警。第2学时：工业入侵检测技术（理论）内容：异常检测、误用检测复习（5分钟）提问：IDS四大组件？旁路部署特点？基于异常检测（15分钟）核心：建立正常基线，偏离即异常。方法：模式识别、统计（正态分布）、贝叶斯、K-Means。优缺点：能检测未知攻击、需大量训练、误报高。基于误用检测（15分钟）核心：匹配已知攻击特征库。方法：专家系统、状态转换、规则匹配（Snort）。优缺点：准确、低误报、漏报未知攻击。对比+小结（5分钟）异常：未知攻击；误用：已知攻击。第3学时：Snort环境搭建（实操）内容：Npcap、Snort安装、配置修改实操导入（5分钟）说明：Snort=开源误用检测工具，工业常用。安装Npc（10分钟）下载→安装→确认驱动正常。安装Snort（10分钟）下载Win64→安装路径C:\Snort。配置文件修改（10分钟）修改rules、log、lib路径；注释无用模块。命令snort-v验证。小结答疑（5分钟）第4学时：Snort规则编写与网卡监听（实操）内容：规则语法、local.rule、网卡监听复习（5分钟）提问：Snort配置文件路径？Snort规则语法（15分钟）alert动作、协议、源、目的、端口、msg、sid。编写Modbus规则（10分钟）编辑local.rule：alerttcpanyany->any502(msg:"modbusattack";sid:1)网卡监听（5分钟）snort-W查网卡→指定host-only网卡。小结（5分钟）第5学时：Modbus攻击与告警检测（实操）内容：启动Modbus、Kali攻击、Snort告警复习（5分钟）检查：Snort配置、规则、网卡。启动Modbus（10分钟）ModSim32运行在Windows（02）。启动Snort监听（10分钟）snort-dev-c...-i9-l...Kali执行攻击（5分钟）运行attack_modbus.py，篡改寄存器。查看告警日志（5分钟）alert.ids：出现modbusattack告警。小结（5分钟）第6学时：SNMP与入侵检测（理论）内容：SNMP架构、MIB、命令、检测应用导入（5分钟）SNMP：网管协议，用于异常监测。SNMP架构（5分钟）管理站、代理、MIB、UDP161/162。MIB与OID（5分钟）树状结构、OID标识对象。常用命令（5分钟）snmpget、snmpwalk、snmptrap。SNMP检测应用（5分钟）流量异常、端口扫描、非法设备。思政：南仁东事迹（5分钟）事迹：22年建天眼、攻坚克难、科技报国。精神：执着坚守、精益求精、爱国奉献。联系：工控安全需长期坚守、细致排查。本章总结（5分钟）入侵检测原理→入侵检测工具→环境搭建→入侵检测实操。习题答疑（5分钟）讲解本章填空题、判断题、选择题、简答题答案，解决学生疑问。思考题和习题见教材配套的习题教学后记课题名称第6章工业控制系统安全防护计划学时10学时内容分析本章系统讲解工业控制系统（ICS）全方位安全防护体系，从基础防护到实操落地、政策解读、思政融入，内容体系完整、实践性强。主要内容：防护概念与总体方案：物理、网络、主机、数据四大防护。物理环境安全：机房、温湿度、供电、消防、门禁。网络通信安全：隔离、防火墙、IDS、加密、访问控制。主机与设备安全：加固、补丁、白名单、权限管理。数据安全：分类、加密、备份、完整性。实操：搭建HTTPS加密通信环境（CA证书、IIS配置）。政策解读：《工业控制系统网络安全防护指南》。思政：袁隆平扎根基层、攻坚克难、为国为民精神。10学时分配：4学时理论+6学时实操，理论讲透、实操落地、思政升华。教学目标及基本要求1.知识目标掌握工控安全防护四大核心模块（物理、网络、主机、数据）。理解物理防护关键措施（机房、供电、消防、门禁）。掌握网络防护：隔离、防火墙、IDS、加密、访问控制。掌握主机防护：补丁、白名单、权限、防病毒。掌握数据防护：分类、加密、备份、完整性。理解HTTPS加密通信原理与CA证书流程。熟悉《工业控制系统网络安全防护指南》核心要求。2.能力目标能独立设计工控系统分层防护方案。能配置WindowsIIS，申请并安装CA证书，搭建HTTPS服务。能解读防护指南，制定企业工控防护基线。3.素养目标树立技管结合、分层防护、底线思维的工控安全意识。培养严谨规范、责任担当、合规落地的职业习惯。学习袁隆平扎根基层、执着坚守、科技报国、为民奉献精神。教学重点工控防护四大模块（物理、网络、主机、数据）核心措施。网络隔离、防火墙、IDS、加密通信。主机加固、白名单、权限管理。HTTPS搭建：CA证书申请、IIS配置、客户端访问。《工业控制系统网络安全防护指南》33项基线。教学难点四大防护模块的逻辑关联与整体设计。CA证书颁发、受信任配置、HTTPS双向认证流程。防护指南管理+技术+运营+责任四维理解。教学方式理论讲授（PPT+示意图+对比表）案例分析（乌克兰钢铁厂、委内瑞拉水处理厂防护复盘）实操演示（CA证书、IIS、HTTPS配置）学生实操（分组完成证书申请与HTTPS访问）课堂提问、小组讨论、总结思政融入（卢仁峰事迹）教学过程第1学时：防护概述+物理、网络安全（理论）内容：防护概念、物理防护、网络防护导入（5分钟）提问：工控攻击危害？防护核心？案例：全球重大工控安全事件，引出分层防护。防护概念与总体方案（10分钟）定义：技术+管理，四大模块：物理、网络、主机、数据。物理环境安全（15分钟）机房：防火/防潮/防尘/抗震。温湿度：18-27℃、40%-60%。供电：UPS、备用电源、电涌保护。门禁：权限、监控。网络防护要点（10分钟）隔离：物理隔离（网闸）、逻辑隔离（VLAN/防火墙）。边界：工业防火墙、IDS/IPS、加密通信。第2学时：主机、数据安全（理论）内容：主机加固、数据防护复习（5分钟）提问：物理/网络防护要点？主机安全（20分钟）系统：关闭弱端口、禁用默认账户、强密码。补丁：测试后分批打，避免停机。白名单：仅可信程序运行。防病毒：工控专用、禁用U盘。数据安全（15分钟）分类：生产/控制/敏感数据。加密：传输HTTPS、存储加密。备份：定期+异地、恢复演练。审计：日志留存≥6个月。第3学时：工控系统安全风险评估（理论）课程导入（5分钟）提问：工控系统为什么要做风险评估？举例：电力、化工一旦出事，损失巨大。引出：风险评估=识别风险→分析风险→评价风险→防控风险。风险评估概念（10分钟）定义：识别、分析、评价工控系统安全风险的过程。保护对象：SCADA、DCS、PLC、关键基础设施。风险来源：网络攻击、恶意软件、物理破坏、人为错误。目的：提前防控、保障生产、保护人员与资产安全。风险评估方法（10分钟）定性评估：专家评估、问卷调查（经验判断、简单易行）。定量评估：概率风险、层次分析法（量化数值、精准度高）。小结：定性为主、定量为辅。风险评估流程（10分钟）风险识别：定范围、收集信息、找威胁、查脆弱性。风险分析：评可能性、评影响、算风险值。风险评价：分等级（高/中/低）、给处理建议。风险评估意义（5分钟）保障生产稳定、保护关键基础设施、降本增效、推动安全发展。第4学时：防护指南+分层设计（理论）内容：防护指南、分层防护设计复习（5分钟）提问：主机/数据防护要点？《工控防护指南》解读（20分钟）背景：数字化、合规要求。四大核心：安全管理、技术防护、安全运营、责任落实。重点：资产、边界、主机、数据、应急。分层防护设计（15分钟）边界：隔离+防火墙+IDS。网络：VLAN+加密。主机：加固+补丁+白名单。数据：加密+备份。管理：制度+培训。第5学时：实操1—CA证书服务器搭建内容：WindowsServer2003安装、CA服务实操导入（5分钟）说明：CA=证书颁发机构，HTTPS基础。虚拟机安装（15分钟）新建：2G内存、20G硬盘、仅主机网卡。安装：WindowsServer2003、IP设05。安装IIS+CA证书服务（15分钟）添加Windows组件：IIS、独立根CA。配置：名称CAT、有效期5年。验证（5分钟）访问05/certsrv。第6学时：实操2—Web服务器证书申请内容：WindowsXPIIS、服务器证书复习（5分钟）检查：CA服务器正常。Web服务器搭建（15分钟）XP虚拟机：IP、安装IIS。新建webtest目录、index.htm。申请服务器证书（15分钟）IIS证书向导：生成certreq.txt。提交CA：高级申请、粘贴内容。颁发+下载（5分钟）第7学时：实操3—客户端证书申请内容：XP客户端、浏览器证书复习（5分钟）检查：服务器证书申请状态。客户端准备（10分钟）XP虚拟机：IP192.168.106、访问CA。申请浏览器证书（20分钟）填写信息：姓名/单位。提交→CA颁发→下载安装。验证（5分钟）第8学时：实操4—Web服务器证书安装内容：服务器证书安装、信任链复习（5分钟）检查：服务器证书已颁发。服务器证书安装（15分钟）IIS：处理挂起请求、导入certnew.cer。根证书信任（15分钟）mmc→证书→导入CA根证书→受信任根。验证（5分钟）第9学时：实操5—HTTPS配置与访问内容：HTTPS启用、双向认证复习（5分钟）检查：证书信任。Web服务器HTTPS（15分钟）IIS：启用SSL、要求客户端证书。客户端HTTPS访问（15分钟）访问/webtest。成功加密访问。验证+截图（5分钟）第10学时：总结+思政+作业内容：实操总结、思政、作业实操总结（25分钟）