《电力企业工业信息安全培训规范(T-JSREA 15—2023).pdf》由会员分享,可在线阅读,更多相关《电力企业工业信息安全培训规范(T-JSREA 15—2023).pdf(13页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 ICS 35.030 CCS JSREA P60 江 苏 省 可 再 生 能 源 行 业 协 会 团 体 标 准 T/JSREA 152023 电力企业工业信息安全培训规范 Training specification of industrial information security for electrical power enterprises 2023-12-15 发布 2024 01-15 实施 江苏省可再生能源行业协会 发 布 T/JSREA 152023 I 目次 前言.II 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 符号和缩略语.1 5 培训内容.2 6
2、 培训考核.5 附录 A(资料性)相关案例、类型索引.7 附录 B(资料性)考试例题.8 T/JSREA 152023 II 前言 本文件按照GB/T 1.12020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由江苏省可再生能源行业协会提出并归口。本文件主要起草单位:华能淮阴第二发电有限公司、南通润邦海洋工程装备有限公司、江苏省可再生能源行业协会、南京工业职业技术大学。本文件主要起草人:黄振兴,许文峰,匡柳,包德平,芮小虎,张波涛,徐佳伟,胡军,汪鑫,周汉斋,邵夕吾,施新春,杨玉鹏,邓云凤,罗乔
3、,刘一君,于海泉,宋健京,张文波。T/JSREA 152023 1 电力企业工业信息安全培训规范 1 范围 本文件规定了电力企业工业信息安全培训的内容和考核。本文件适用于电力企业工业信息安全培训。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 1359 信息安全技术 信息资产安全管理产品安全技术要求 GB 17859 计算机信息系统安全保护等级划分准则 GB/T 19000 质量管理体系 基础和术语 GB/T 19001 质量管理
4、体系 要求 GB/T 20269 信息安全技术 信息系统安全管理要求 GB/T 20270 信息安全技术 网络基础安全技术要求 GB/T 20271 信息安全技术 信息系统通用安全技术要求 GB/T 20275 信息安全技术 入侵检测系统技术要求和测试评价方法 GB/T 20281 信息安全技术 防火墙技术要求与测试评价方法 GB/T 20984 信息安全技术 信息安全风险评估规范 GB/T 22240 信息安全技术 信息系统安全等级保护定级指南 GB/T 25069 信息安全技术 术语 GB/T 32351 电力信息安全水平评价指标 GB/T 39204 信息安全技术 关键信息基础设施安全保
5、护要求 GB/T 40599 继电保护及安全自动装置在线监视与分析技术规范 DB14/T 2536 电力企业安全风险分级管控和隐患排查治理双重预防体系规范 ISO/IEC 17000 合格评定:词汇和通用原则 ISO/IEC 27001 Information technology-Security techniques-information security management systemsRequirements IEC 61850 SER standard LVDC communication networks and systems for power utility autom
6、ation 3 术语和定义 下列术语和定义适用于本文件。工业控制系统 industrial control system;ICS 工业控制系统是一个通用术语,它包括多种工业生产中使用的控制系统,包括监控和数据采集系统,分布式控制系统,和其他较小的控制系统,如可编程逻辑控制器,现已广泛应用在工业部门和关键基础设施中。4 符号和缩略语 PLC Programmable Logic Controller 可编程逻辑控制器 DCS Distributed Control System 分布式控制系统 DMZ Demilitarized Zone 非军事区 T/JSREA 152023 2 MAC Me
7、dia Access Control 介质访问控制 NAT Network Address Translation 网络地址转换 OPC Object Linking and Embedding for Process Control 用于过程控制的对象链接与嵌入 SCADA Supervisory Control and Data Acquisition System 监控和数据采集系统 VPN Virtual Private Network 虚拟专用网络 TCP/IP Transmission Control Protocol/Internet Protocol 传输控制协议 5 培训内容
8、 总则 本标准所规定的电力企业工业信息安全培训大纲和考核要求为电力企业工业信息安全相关人员应接受的规范培训参考准则,相关人员应具备与所从事的安全工作相适应的工业信息安全知识、技术知识和上机操作实践能力。培训内容包括电力企业工业信息安全知识模块、技术知识模块和上机操作实践模块。电力企业工业信息安全知识 5.2.1 电力企业工业信息安全基本概念 培训内容包括工业信息安全定义、特征、发展态势及国内外工控网络安全事件一览基本内容。具体内容如下:a)工业信息安全定义:电力企业工业信息安全是指在电力企业的生产运营过程中,保护工业控制系统和信息系统的机密性、完整性、可用性和可靠性,防止恶意攻击、病毒侵入、非
9、法访问、泄密等安全事件的发生,确保电力生产和供应的安全、稳定和可持续性;b)工业信息安全特征:复杂性、高度可靠性要求、实时性、保密性要求高、长周期性;c)电力企业工业信息安全的发展态势:网络化和智能化发展、法律法规和标准制定、安全技术和产品的发展、人才培养和安全意识提升;d)国内外工控网络安全事件一览基本内容参考附录 A.1。5.2.2 电力企业工业信息安全政策法规 培训内容包括中华人民共和国网络安全法、关键信息基础设施安全保护条例、中华人民共和国数据安全法、网络安全审查办法法律法规课程内容。5.2.3 电力企业工业信息安全标准 培训内容包括GB/T 1359、GB 17859、GB/T 19
10、000、GB/T 19001、GB/T 20269、GB/T 20270、GB/T 20271、GB/T 20275、GB/T 20281、GB/T 20984、GB/T 22240、GB/T 25069、GB/T 32351、GB/T 39204、GB/T 40599、DB14/T 2536、ISO/IEC 17000、ISO/IEC 27001、IEC 61850中涉及的信息安全等级保护工作的内涵及流程,掌握开展网络安全工作的基本方法,构建信息安全管理体系和技术体系。5.2.4 电力企业工业信息安全漏洞管理与威胁应对 5.2.4.1 安全漏洞管理培训内容包括如下内容:a)典型漏洞挖掘技术、
11、漏洞挖掘工具应用、网络安全威胁和漏洞信息共享平台工业控制产品安全漏洞专业库和国家工业信息安全漏洞库(简称 CICSVD)管理及漏洞提交流程;b)工业控制系统漏洞问题分类,及漏洞所产生的具体环境主要为物理环境、软件信息技术环境等,参考相关国际标准为工控系统漏洞进行分类描述。5.2.4.2 威胁应对培训内容包括如下内容:a)威胁情报收集和分析,了解当前的安全威胁和攻击趋势;b)网络监测和防御,包括入侵检测、防火墙、反病毒等;c)安全事件响应计划,包括事件发现、分类、响应和恢复等环节;d)员工安全教育和意识提升,提高员工安全防范意识和行为规范;T/JSREA 152023 3 e)安全风险评估和演练
12、,加强安全防御和应对能力。5.2.5 电力企业工业信息安全防护体系 培训内容包括ISO/IEC 27001、GB/T 22239、电力企业信息安全管理办法等标准,内容大纲如下:a)安全管理体系建设:电力企业需要建立完善的安全管理体系,包括安全管理机构、安全管理规章制度、安全管理流程等。通过制定和实施安全管理制度,明确安全责任和安全要求,建立安全管理机制,加强安全管理和监督,确保安全管理工作的有效开展;b)安全技术防护措施:电力企业需要采取一系列安全技术防护措施,包括网络安全、系统安全、数据安全、应用安全等。例如,加强网络安全防护,采用防火墙、入侵检测系统、安全审计系统等技术手段;加强系统安全防
13、护,采用安全补丁管理、访问控制、加密技术等技术手段;加强数据安全防护,采用备份和恢复技术、数据加密技术等技术手段;加强应用安全防护,采用安全编码、安全测试等技术手段等;c)安全培训和意识教育:电力企业需要加强安全培训和意识教育,提高员工的安全意识和安全技能,增强员工的安全防范和应对能力。例如,定期组织安全培训和演练,加强对员工的安全宣传和教育,提高员工的安全责任意识和安全意识;d)安全监测和响应机制:电力企业需要建立完善的安全监测和响应机制,及时发现和处理安全事件和故障,加强安全事件的追溯和溯源,提高安全事件的应对能力和处理效率。例如,建立安全事件响应中心,配备专业安全人员,采用安全事件监测和
14、分析工具,实现安全事件的实时监测和分析,及时发出安全预警和处理建议。电力企业工业信息技术知识 5.3.1 电力企业工业控制系统 电力企业工业控制系统培训应包含以下内容:a)工业控制系统基础知识:包括工业控制系统的基本原理、结构和组成部分,以及各种工业控制设备的工作原理和应用场景等;b)工业控制系统安全知识:包括工业控制系统的安全防护措施、网络安全、系统安全、数据安全、应用安全等方面的知识,以及工业控制系统安全漏洞的发现和修复方法等;c)工业控制系统运行与维护:包括工业控制系统的运行与维护知识、故障诊断和排除方法、备件管理和备份恢复等;d)工业控制系统管理:包括工业控制系统的安全管理、绩效管理、
15、成本管理等方面的知识,以及工业控制系统的规划、设计和实施等;e)工业控制系统标准和法规:包括工业控制系统的相关标准和法规,例如 GB/T 22239、电力企业信息安全管理办法等;f)工业控制系统案例分析:通过工业控制系统的实际案例,分析工业控制系统的安全问题和应对措施,提高学员的安全意识和应对能力。5.3.2 电力企业工业信息安全监测预警技术 培训内容包括工业控制系统资产识别、安全风险监测预警、安全威胁溯源处置等技术能力,以及如何具备工业控制系统安全风险与威胁可感、可知、可处置、可追溯等能力,并了解国家对工业信息安全监测预警数据分析、上报、处置等相关规范及要求。5.3.3 电力企业工业信息安全
16、风险评估技术 培训内容包括评估工业控制系统遭受各种外界威胁或者资源缺失因而带来的损失总量,评估整个系统中的脆弱点与威胁程度。对于工程师站和操作员站等主机漏洞,在接入扫描设备的前提下,予以全方位的扫描,得出关键性的主机漏洞,如缓冲区溢出、可写共享目录、弱口令用户等漏洞。5.3.4 电力企业工业信息安全攻防技术 T/JSREA 152023 4 培训内容包括工业控制系统访问控制和用户身份认证,在此基础上利用安全采集探针、信道加密、数据包核查、入侵检测、安全隔离、审计记录和态势分析等手段保护工业通信数据报文安全业务的技术。5.3.5 典型风险安全防范案例分析 培训内容包括国内外典型工业安全事件的背景
17、、损失评估、攻击过程、核心问题、对策与措施等。具体内容参考附录A.2。电力企业工业信息上机操作实践 5.4.1 电力企业工业控制系统实操 电力企业工业控制系统实操考核内容应该是一个全面的、多方位的考核,考核人员需要具备全面的工业控制系统知识和技能,才能够胜任工业控制系统的建设、运维和管理工作。参与培训人员在实操环节应具备如下能力:a)系统运维与管理能力:考核人员需要了解和掌握工业控制系统的运维与管理能力,包括系统的维护、备份与恢复、监控与日志管理、安全漏洞排查等方面的能力;b)硬件设备的安装与维护能力:考核人员需要具备硬件设备的安装与维护能力,包括服务器、网关、交换机等设备的选购、安装、调试和
18、维护等方面的能力;c)软件系统的安装和配置能力:考核人员需要具备软件系统的安装和配置能力,包括操作系统、数据库、工控软件等的安装、配置、更新和维护等方面的能力;d)网络拓扑的规划与维护能力:考核人员需要具备网络拓扑的规划与维护能力,包括网络架构的设计、防火墙的配置、网络拓扑的优化与维护等方面的能力;e)安全漏洞的排查与修复能力:考核人员需要具备安全漏洞的排查与修复能力,包括漏洞扫描、安全审计、应急响应等方面的能力。5.4.2 电力企业工业安全漏洞验证实操 电力企业工业安全漏洞验证实操考核内容应该是一个全面的、多方位的考核,考核人员需要具备全面的工业控制系统安全知识和技能,才能够准确识别和排查安
19、全漏洞,设计和实施有效的安全措施,确保工业控制系统的安全性和稳定性。参与培训人员在实操环节应具备如下能力:a)漏洞扫描和识别能力:考核人员需要了解和熟练掌握漏洞扫描和识别工具,如 Nessus、OpenVAS等,能够对工业控制系统进行漏洞扫描和识别,并能够分析扫描结果。b)漏洞利用和攻击能力:考核人员需要具备漏洞利用和攻击能力,能够使用常见的漏洞利用工具,如Metasploit等,对工业控制系统进行攻击和渗透测试;c)安全漏洞排查和修复能力:考核人员需要具备安全漏洞排查和修复能力,能够对发现的安全漏洞进行分析和排查,提出修复方案并进行修复测试,确保漏洞得到彻底修复;d)事件响应和处置能力:考核
20、人员需要具备事件响应和处置能力,能够在发生安全事件时快速响应并采取有效的措施进行处置,以减少安全事件对工业控制系统的影响;e)安全方案设计和漏洞预防能力:考核人员需要具备安全方案设计和漏洞预防能力,能够基于漏洞扫描和攻击测试结果,提出相应的安全方案,采取措施预防漏洞的产生。5.4.3 电力企业工业信息安全威胁识别 培训内容主要分析工控系统自身是否可能存在各种风险因素,例如操作系统安全漏洞问题、设备维修与组态变更过程中的其它计算机随意接入问题、工控系统被无意控制、工控系统终端系统响应延迟等等。包括现阶段主流工控系统所采用的多为Windows或Unix-like等等开放式系统,以及配备了TCP/I
21、P标准化技术甚至是OPC开放协议标准的网络安全脆弱性和威胁识别。5.4.4 电力企业工业信息安全渗透实操 培训内容包括渗透测试全工作过程、内容和流程,掌握一至两种渗透测试的工具和应用技巧。5.4.5 电力企业工业信息安全应急和安全问题溯源分析实操 T/JSREA 152023 5 培训内容包括对工业网中的设备进行安全分析和溯源,结合工业威胁信息、典型工业恶意代码、控制环境中程序体静态安全分析和动态安全分析的分析方法,利用自动化手段对工业设备面临的脆弱性及典型安全威胁进行全面、深度的检测,基于所记录的网络及系统行为进行攻击路径还原与安全事件追踪溯源。通过捕获攻击,采集攻击过程中的全要素,包括流量
22、、行为以及攻击载荷的动静态分析结果等信息,深入分析行为并发现攻击事件,对于载荷以及载荷使用的资源进行关联同源分析,发现其归属的组织,并根据时序对攻击事件进行追踪溯源,对防护装置的有效性进行综合性评估。5.4.6 工业信息安全防护技术 工业信息安全防护技术考核内容应该是一个全面的、多方位的考核,考核人员需要具备全面的工业控制系统安全知识和技能,才能够设计和实施有效的安全措施,确保工业控制系统的安全性和稳定性。参与培训人员在实操环节应具备如下能力:a)网络安全技术:考核人员需要了解和掌握常用的网络安全技术,如防火墙、入侵检测系统、虚拟专用网络、VPN 等,能够设计和实施有效的网络安全措施,确保工业
23、控制系统的网络安全;b)应用安全技术:考核人员需要了解和掌握应用安全技术,如认证和授权、访问控制、安全审计等,能够设计和实施有效的应用安全措施,确保工业控制系统的应用安全;c)数据安全技术:考核人员需要了解和掌握数据安全技术,如加密技术、数据备份和恢复、数据加密传输等,能够设计和实施有效的数据安全措施,确保工业控制系统的数据安全;d)物理安全技术:考核人员需要了解和掌握物理安全技术,如门禁系统、视频监控系统、安全防护系统等,能够设计和实施有效的物理安全措施,确保工业控制系统的物理安全;e)应急响应与处置技术:考核人员需要了解和掌握应急响应与处置技术,能够在发生安全事件时快速响应,并采取有效的措
24、施进行处置,以减少安全事件对工业控制系统的影响;f)安全管理技术:考核人员需要了解和掌握安全管理技术,如安全管理制度、安全培训、安全审计等,能够制定和实施有效的安全管理措施,确保工业控制系统的安全管理。6 培训考核 考核要求 6.1.1 理论知识考核 理论知识应满足以下考核要求:a)能够清晰描述电力企业工业信息安全的相关概念和知识点;b)能够解释电力企业工业信息安全风险评估与管理的方法和流程;c)能够说明电力企业工业信息安全技术措施的实现方法和应用场景;d)熟悉电力企业工业信息安全法律法规和标准。6.1.2 技能考核 技能环节应满足以下考核要求:a)能够独立完成电力企业工业信息安全风险评估和管
25、理的任务;b)能够独立设计和实施电力企业工业信息安全技术保障方案;c)能够独立进行电力企业工业信息安全事件响应和处置;d)能够独立组织和实施电力企业工业信息安全管理评估和改进。6.1.3 实践考核 实践环节应满足以下考核要求:a)能够根据实际情况设计和实施电力企业工业信息安全方案;b)能够根据实际情况进行电力企业工业信息安全风险评估和管理;c)能够根据实际情况实施电力企业工业信息安全事件响应和处置;d)能够根据实际情况组织和实施电力企业工业信息安全管理评估和改进;e)能够根据实际情况制定电力企业工业信息安全应急预案,组织演练并进行事件处置。T/JSREA 152023 6 考核方式 电力企业开
26、展工业信息安全培训考核方式主要采用笔试+上机形式开展,考试题型分为单项选择题、多项选择题、判断题、填空题、简答题、论述题和上机题,考试例题参考附录B,总分100分,60分合格。T/JSREA 152023 7 A A 附录A (资料性)相关案例、类型索引 A.1 国内外工控网络安全事件一览基本内容 国内外工控网络安全事件包括但不限于以下案例:a)2014 年 12 月德国钢铁厂攻击事件:黑客组织成功攻击了德国一家钢铁厂,导致生产线瘫痪长达数周。攻击者通过针对工控系统的远程代码执行攻击,控制了生产线的运行;b)2015 年 12 月 23 日乌克兰电网攻击事件:黑客组织成功攻击了乌克兰电网,导致
27、当地多个城市停电长达 6 个小时。攻击者使用了勒索软件和后门程序,破坏了电网控制系统,控制了电网的运行;c)2017 年 11 月北京地铁网络攻击事件:黑客组织成功攻击了北京地铁的工控系统,导致多条地铁线路瘫痪。攻击者使用了后门程序和远程执行代码的方式,破坏了地铁控制系统的安全性;d)2021 年 5 月美国工控系统勒索软件攻击事件:美国一家石油管道公司遭受勒索软件攻击,导致石油供应中断。攻击者使用了 DarkSide 勒索软件,通过网络攻击入侵石油管道公司的工控系统,加密关键数据并勒索赎金;e)2021 年 9 月中国电力系统勒索软件攻击事件:多家中国电力企业遭受勒索软件攻击,导致企业核心业
28、务系统瘫痪。攻击者使用了 Kwampirs 勒索软件,通过网络攻击入侵电力企业的工控系统,加密关键数据并勒索赎金。A.2 网络安全事件类型 网络安全事件包括但不限于以下类型:a)电力企业工业信息安全典型风险安全防范案例分析;b)勒索软件攻击;c)内部人员泄密;d)网络攻击。T/JSREA 152023 8 B B 附录B (资料性)考试例题 题目题目1:震网病毒主要攻击的是以下哪个厂商的系统?()A西门子 B施耐德 C霍尼韦尔 D和利时 题目题目2:关于震网病毒,以下说法不正确的是?()A是第一个引起重大破坏的工控病毒 B主要攻击西门子公司的plc C不会通过U盘传播 D造成伊朗核工业设施严重
29、破坏 题目题目3:以下哪项是工控系统与传统信息系统的区别?()A网络架构不同 B网络协议不同 C系统升级难度不同 D以上都是 题目题目4:以下哪项不是工控协议:()ADNP3 BIEC 104 CDNS DModbus 题目题目5:以下哪种设备是用来进行网络边界隔离防护的?()A堡垒机 B杀毒软件 C防火墙 DIDS 题目题目6:以下哪项不是国内的标准规范?()AGB/T30976 B网络安全等级保护基本要求 CIEC62443 D工业控制系统安全防护指南 题目题目7:以下哪些是属于工业控制系统的组成部分?()APLC BHMI CRTU D以上都是 题目题目8:网络安全等级保护基本要求的发布
30、日期是?()A2008年5月13日 B2019年5月13日 C2019年10月1日 D2019年12月1日 题目题目9:网络安全等级保护基本要求的实施日期是?()A2008年5月13日 B2019年5月13日 C2019年10月1日 T/JSREA 152023 9 D2019年12月1日 题目题目10:工业控制系统与企业其他系统之间应?()A永远都互不相连 B直接相连,无需保护 C工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用技术隔离手段 D以上都不对 题目题目11:关于工业控制系统网络访问控制正确的是?()A工业控制系统与企业其他系统之间部署访问控制设备,配置访问控制策略 B
31、禁止任何穿越区域边界的E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务 C应在工业控制系统内安全域和安全域之间的边界防护机制失效时,及时进行报警 D以上都正确 题目题目12:关于工业控制系统网络使用无线连接正确的做法是?()A应对所有参与无线通信的用户(人员、软件进程或者设备)提供唯一性标识和鉴别,进行授权以及执行使用进行限制 B应对无线通信采取传输加密的安全措施,实现传输报文的机密性保护 C对采用无线通信技术进行控制的工业控制系统,应能识别其物理环境中发射的未经授权的无线设备,报告未经授权试图接入或干扰控制系统行为 D以上都正确 题目题目13:关于工业控制设备安全正确的
32、做法是?()A需经常给控制设备进行补丁更新、固件更新等,在此之前无需测试评估 B为了方便可任意使用软盘驱动、光盘驱动、USB接口、串行口等,无需进行管控 C控制设备在上线前无需经过安全性检测,以便能够快速应用部署 D以上都不对 题目题目14:工业控制系统安全扩展要求三级中对室外控制设备物理防护的要求是?()A室外控制设备应放置于采用铁板或其他防火材料制作的箱体或装置中并紧固 B箱体或装置具有透风、散热、防盗、防雨和防火能力等 C 室外控制设备放置应远离强电磁干扰、强热源等环境,如无法避免应及时做好应急处置及检修,保证设备正常运行 D以上都正确 题目题目15:工业控制系统重要设备采购和使用应通过专业机构的安全性检测后方可采购使用,针对外包软件开发应在外包开发合同中规定针对开发单位、供应商的约束条款,包括设备及系统在生命周期内有关保密、禁止关键技术扩散和设备行业专用等方面的内容。以上属于工业控制系统安全扩展要求中的哪方面?()A安全通信网络 B安全区域边界 C安全计算环境 D安全建设管理 例题例题答案答案:1、A 2、C 3、D 4、C 5、C 6、C 7、D 8、B 9、D 10、C T/JSREA 152023 10 11、D 12、D 13、D 14、D 15、D