《T_JSREA 15-2023 电力企业工业信息安全培训规范.docx》由会员分享,可在线阅读,更多相关《T_JSREA 15-2023 电力企业工业信息安全培训规范.docx(13页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、学兔兔标准下载ICS35.030CCSP60JSREA江苏省可再生能源行业协会团体标准T/JSREA152023电力企业工业信息安全培训规范Trainingspecificationofindustrialinformationsecurityforelectricalpowerenterprises2023-12-15发布202401-15实施江苏省可再生能源行业协会发布学兔兔标准下载T/JSREA152023目次前言.II1范围.12规范性引用文件.13术语和定义.14符号和缩略语.15培训内容.26培训考核.5附录A(资料性)相关案例、类型索引.7附录B(资料性)考试例题.8I学兔兔标准
2、下载T/JSREA152023前言本文件按照GB/T1.12020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由江苏省可再生能源行业协会提出并归口。本文件主要起草单位:华能淮阴第二发电有限公司、南通润邦海洋工程装备有限公司、江苏省可再生能源行业协会、南京工业职业技术大学。本文件主要起草人:黄振兴,许文峰,匡柳,包德平,芮小虎,张波涛,徐佳伟,胡军,汪鑫,周汉斋,邵夕吾,施新春,杨玉鹏,邓云凤,罗乔,刘一君,于海泉,宋健京,张文波。II学兔兔标准下载T/JSREA152023电力企业工业信息安全培训
3、规范1范围本文件规定了电力企业工业信息安全培训的内容和考核。本文件适用于电力企业工业信息安全培训。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T1359信息安全技术信息资产安全管理产品安全技术要求GB17859计算机信息系统安全保护等级划分准则GB/T19000质量管理体系基础和术语GB/T19001质量管理体系要求GB/T20269信息安全技术信息系统安全管理要求GB/T20270信息安全技术网络基础安全技术要求GB/T20271信
4、息安全技术信息系统通用安全技术要求GB/T20275信息安全技术入侵检测系统技术要求和测试评价方法GB/T20281信息安全技术防火墙技术要求与测试评价方法GB/T20984信息安全技术信息安全风险评估规范GB/T22240信息安全技术信息系统安全等级保护定级指南GB/T25069信息安全技术术语GB/T32351电力信息安全水平评价指标GB/T39204信息安全技术关键信息基础设施安全保护要求GB/T40599继电保护及安全自动装置在线监视与分析技术规范DB14/T2536电力企业安全风险分级管控和隐患排查治理双重预防体系规范ISO/IEC17000合格评定:词汇和通用原则ISO/IEC27
5、001Informationtechnology-Securitytechniques-informationsecuritymanagementsystemsRequirementsIEC61850SERstandardLVDCcommunicationnetworksandsystemsforpowerutilityautomation3术语和定义下列术语和定义适用于本文件。工业控制系统industrialcontrolsystem;ICS工业控制系统是一个通用术语,它包括多种工业生产中使用的控制系统,包括监控和数据采集系统,分布式控制系统,和其他较小的控制系统,如可编程逻辑控制器,现已广
6、泛应用在工业部门和关键基础设施中。4符号和缩略语PLCProgrammableLogicController可编程逻辑控制器DCSDistributedControlSystem分布式控制系统DMZDemilitarizedZone非军事区1学兔兔标准下载OPCObjectLinkingandEmbeddingforProcessControl用于过程控制的对象链接与T/JSREA152023MACMediaAccessControl介质访问控制NATNetworkAddressTranslation网络地址转换嵌入SCADASupervisoryControlandDataAcquisiti
7、onSystem监控和数据采集系统VPNVirtualPrivateNetwork虚拟专用网络TCP/IPTransmissionControlProtocol/InternetProtocol传输控制协议5培训内容总则本标准所规定的电力企业工业信息安全培训大纲和考核要求为电力企业工业信息安全相关人员应接受的规范培训参考准则,相关人员应具备与所从事的安全工作相适应的工业信息安全知识、技术知识和上机操作实践能力。培训内容包括电力企业工业信息安全知识模块、技术知识模块和上机操作实践模块。电力企业工业信息安全知识5.2.1电力企业工业信息安全基本概念培训内容包括工业信息安全定义、特征、发展态势及国内
8、外工控网络安全事件一览基本内容。具体内容如下:a)工业信息安全定义:电力企业工业信息安全是指在电力企业的生产运营过程中,保护工业控制系统和信息系统的机密性、完整性、可用性和可靠性,防止恶意攻击、病毒侵入、非法访问、泄密等安全事件的发生,确保电力生产和供应的安全、稳定和可持续性;b)工业信息安全特征:复杂性、高度可靠性要求、实时性、保密性要求高、长周期性;c)电力企业工业信息安全的发展态势:网络化和智能化发展、法律法规和标准制定、安全技术和产品的发展、人才培养和安全意识提升;d)国内外工控网络安全事件一览基本内容参考附录A.1。5.2.2电力企业工业信息安全政策法规培训内容包括中华人民共和国网络
9、安全法、关键信息基础设施安全保护条例、中华人民共和国数据安全法、网络安全审查办法法律法规课程内容。5.2.3电力企业工业信息安全标准培训内容包括GB/T1359、GB17859、GB/T19000、GB/T19001、GB/T20269、GB/T20270、GB/T20271、GB/T20275、GB/T20281、GB/T20984、GB/T22240、GB/T25069、GB/T32351、GB/T39204、GB/T40599、DB14/T2536、ISO/IEC17000、ISO/IEC27001、IEC61850中涉及的信息安全等级保护工作的内涵及流程,掌握开展网络安全工作的基本方法
10、,构建信息安全管理体系和技术体系。5.2.4电力企业工业信息安全漏洞管理与威胁应对5.2.4.1安全漏洞管理培训内容包括如下内容:a)典型漏洞挖掘技术、漏洞挖掘工具应用、网络安全威胁和漏洞信息共享平台工业控制产品安全漏洞专业库和国家工业信息安全漏洞库(简称CICSVD)管理及漏洞提交流程;b)工业控制系统漏洞问题分类,及漏洞所产生的具体环境主要为物理环境、软件信息技术环境等,参考相关国际标准为工控系统漏洞进行分类描述。5.2.4.2威胁应对培训内容包括如下内容:a)威胁情报收集和分析,了解当前的安全威胁和攻击趋势;b)网络监测和防御,包括入侵检测、防火墙、反病毒等;c)安全事件响应计划,包括事
11、件发现、分类、响应和恢复等环节;d)员工安全教育和意识提升,提高员工安全防范意识和行为规范;2学兔兔标准下载T/JSREA152023e)安全风险评估和演练,加强安全防御和应对能力。5.2.5电力企业工业信息安全防护体系培训内容包括ISO/IEC27001、GB/T22239、电力企业信息安全管理办法等标准,内容大纲如下:a)安全管理体系建设:电力企业需要建立完善的安全管理体系,包括安全管理机构、安全管理规章制度、安全管理流程等。通过制定和实施安全管理制度,明确安全责任和安全要求,建立安全管理机制,加强安全管理和监督,确保安全管理工作的有效开展;b)安全技术防护措施:电力企业需要采取一系列安全
12、技术防护措施,包括网络安全、系统安全、数据安全、应用安全等。例如,加强网络安全防护,采用防火墙、入侵检测系统、安全审计系统等技术手段;加强系统安全防护,采用安全补丁管理、访问控制、加密技术等技术手段;加强数据安全防护,采用备份和恢复技术、数据加密技术等技术手段;加强应用安全防护,采用安全编码、安全测试等技术手段等;c)安全培训和意识教育:电力企业需要加强安全培训和意识教育,提高员工的安全意识和安全技能,增强员工的安全防范和应对能力。例如,定期组织安全培训和演练,加强对员工的安全宣传和教育,提高员工的安全责任意识和安全意识;d)安全监测和响应机制:电力企业需要建立完善的安全监测和响应机制,及时发
13、现和处理安全事件和故障,加强安全事件的追溯和溯源,提高安全事件的应对能力和处理效率。例如,建立安全事件响应中心,配备专业安全人员,采用安全事件监测和分析工具,实现安全事件的实时监测和分析,及时发出安全预警和处理建议。电力企业工业信息技术知识5.3.1电力企业工业控制系统电力企业工业控制系统培训应包含以下内容:a)工业控制系统基础知识:包括工业控制系统的基本原理、结构和组成部分,以及各种工业控制设备的工作原理和应用场景等;b)工业控制系统安全知识:包括工业控制系统的安全防护措施、网络安全、系统安全、数据安全、应用安全等方面的知识,以及工业控制系统安全漏洞的发现和修复方法等;c)工业控制系统运行与
14、维护:包括工业控制系统的运行与维护知识、故障诊断和排除方法、备件管理和备份恢复等;d)工业控制系统管理:包括工业控制系统的安全管理、绩效管理、成本管理等方面的知识,以及工业控制系统的规划、设计和实施等;e)工业控制系统标准和法规:包括工业控制系统的相关标准和法规,例如GB/T22239、电力企业信息安全管理办法等;f)工业控制系统案例分析:通过工业控制系统的实际案例,分析工业控制系统的安全问题和应对措施,提高学员的安全意识和应对能力。5.3.2电力企业工业信息安全监测预警技术培训内容包括工业控制系统资产识别、安全风险监测预警、安全威胁溯源处置等技术能力,以及如何具备工业控制系统安全风险与威胁可
15、感、可知、可处置、可追溯等能力,并了解国家对工业信息安全监测预警数据分析、上报、处置等相关规范及要求。5.3.3电力企业工业信息安全风险评估技术培训内容包括评估工业控制系统遭受各种外界威胁或者资源缺失因而带来的损失总量,评估整个系统中的脆弱点与威胁程度。对于工程师站和操作员站等主机漏洞,在接入扫描设备的前提下,予以全方位的扫描,得出关键性的主机漏洞,如缓冲区溢出、可写共享目录、弱口令用户等漏洞。5.3.4电力企业工业信息安全攻防技术3学兔兔标准下载T/JSREA152023培训内容包括工业控制系统访问控制和用户身份认证,在此基础上利用安全采集探针、信道加密、数据包核查、入侵检测、安全隔离、审计
16、记录和态势分析等手段保护工业通信数据报文安全业务的技术。5.3.5典型风险安全防范案例分析培训内容包括国内外典型工业安全事件的背景、损失评估、攻击过程、核心问题、对策与措施等。具体内容参考附录A.2。电力企业工业信息上机操作实践5.4.1电力企业工业控制系统实操电力企业工业控制系统实操考核内容应该是一个全面的、多方位的考核,考核人员需要具备全面的工业控制系统知识和技能,才能够胜任工业控制系统的建设、运维和管理工作。参与培训人员在实操环节应具备如下能力:a)系统运维与管理能力:考核人员需要了解和掌握工业控制系统的运维与管理能力,包括系统的维护、备份与恢复、监控与日志管理、安全漏洞排查等方面的能力
17、;b)硬件设备的安装与维护能力:考核人员需要具备硬件设备的安装与维护能力,包括服务器、网关、交换机等设备的选购、安装、调试和维护等方面的能力;c)软件系统的安装和配置能力:考核人员需要具备软件系统的安装和配置能力,包括操作系统、数据库、工控软件等的安装、配置、更新和维护等方面的能力;d)网络拓扑的规划与维护能力:考核人员需要具备网络拓扑的规划与维护能力,包括网络架构的设计、防火墙的配置、网络拓扑的优化与维护等方面的能力;e)安全漏洞的排查与修复能力:考核人员需要具备安全漏洞的排查与修复能力,包括漏洞扫描、安全审计、应急响应等方面的能力。5.4.2电力企业工业安全漏洞验证实操电力企业工业安全漏洞
18、验证实操考核内容应该是一个全面的、多方位的考核,考核人员需要具备全面的工业控制系统安全知识和技能,才能够准确识别和排查安全漏洞,设计和实施有效的安全措施,确保工业控制系统的安全性和稳定性。参与培训人员在实操环节应具备如下能力:a)漏洞扫描和识别能力:考核人员需要了解和熟练掌握漏洞扫描和识别工具,如Nessus、OpenVAS等,能够对工业控制系统进行漏洞扫描和识别,并能够分析扫描结果。b)漏洞利用和攻击能力:考核人员需要具备漏洞利用和攻击能力,能够使用常见的漏洞利用工具,如Metasploit等,对工业控制系统进行攻击和渗透测试;c)安全漏洞排查和修复能力:考核人员需要具备安全漏洞排查和修复能
19、力,能够对发现的安全漏洞进行分析和排查,提出修复方案并进行修复测试,确保漏洞得到彻底修复;d)事件响应和处置能力:考核人员需要具备事件响应和处置能力,能够在发生安全事件时快速响应并采取有效的措施进行处置,以减少安全事件对工业控制系统的影响;e)安全方案设计和漏洞预防能力:考核人员需要具备安全方案设计和漏洞预防能力,能够基于漏洞扫描和攻击测试结果,提出相应的安全方案,采取措施预防漏洞的产生。5.4.3电力企业工业信息安全威胁识别培训内容主要分析工控系统自身是否可能存在各种风险因素,例如操作系统安全漏洞问题、设备维修与组态变更过程中的其它计算机随意接入问题、工控系统被无意控制、工控系统终端系统响应
20、延迟等等。包括现阶段主流工控系统所采用的多为Windows或Unix-like等等开放式系统,以及配备了TCP/IP标准化技术甚至是OPC开放协议标准的网络安全脆弱性和威胁识别。5.4.4电力企业工业信息安全渗透实操培训内容包括渗透测试全工作过程、内容和流程,掌握一至两种渗透测试的工具和应用技巧。5.4.5电力企业工业信息安全应急和安全问题溯源分析实操4学兔兔标准下载T/JSREA152023培训内容包括对工业网中的设备进行安全分析和溯源,结合工业威胁信息、典型工业恶意代码、控制环境中程序体静态安全分析和动态安全分析的分析方法,利用自动化手段对工业设备面临的脆弱性及典型安全威胁进行全面、深度的
21、检测,基于所记录的网络及系统行为进行攻击路径还原与安全事件追踪溯源。通过捕获攻击,采集攻击过程中的全要素,包括流量、行为以及攻击载荷的动静态分析结果等信息,深入分析行为并发现攻击事件,对于载荷以及载荷使用的资源进行关联同源分析,发现其归属的组织,并根据时序对攻击事件进行追踪溯源,对防护装置的有效性进行综合性评估。5.4.6工业信息安全防护技术工业信息安全防护技术考核内容应该是一个全面的、多方位的考核,考核人员需要具备全面的工业控制系统安全知识和技能,才能够设计和实施有效的安全措施,确保工业控制系统的安全性和稳定性。参与培训人员在实操环节应具备如下能力:a)网络安全技术:考核人员需要了解和掌握常
22、用的网络安全技术,如防火墙、入侵检测系统、虚拟专用网络、VPN等,能够设计和实施有效的网络安全措施,确保工业控制系统的网络安全;b)应用安全技术:考核人员需要了解和掌握应用安全技术,如认证和授权、访问控制、安全审计等,能够设计和实施有效的应用安全措施,确保工业控制系统的应用安全;c)数据安全技术:考核人员需要了解和掌握数据安全技术,如加密技术、数据备份和恢复、数据加密传输等,能够设计和实施有效的数据安全措施,确保工业控制系统的数据安全;d)物理安全技术:考核人员需要了解和掌握物理安全技术,如门禁系统、视频监控系统、安全防护系统等,能够设计和实施有效的物理安全措施,确保工业控制系统的物理安全;e
23、)应急响应与处置技术:考核人员需要了解和掌握应急响应与处置技术,能够在发生安全事件时快速响应,并采取有效的措施进行处置,以减少安全事件对工业控制系统的影响;f)安全管理技术:考核人员需要了解和掌握安全管理技术,如安全管理制度、安全培训、安全审计等,能够制定和实施有效的安全管理措施,确保工业控制系统的安全管理。6培训考核考核要求6.1.1理论知识考核理论知识应满足以下考核要求:a)能够清晰描述电力企业工业信息安全的相关概念和知识点;b)能够解释电力企业工业信息安全风险评估与管理的方法和流程;c)能够说明电力企业工业信息安全技术措施的实现方法和应用场景;d)熟悉电力企业工业信息安全法律法规和标准。
24、6.1.2技能考核技能环节应满足以下考核要求:a)能够独立完成电力企业工业信息安全风险评估和管理的任务;b)能够独立设计和实施电力企业工业信息安全技术保障方案;c)能够独立进行电力企业工业信息安全事件响应和处置;d)能够独立组织和实施电力企业工业信息安全管理评估和改进。6.1.3实践考核实践环节应满足以下考核要求:a)能够根据实际情况设计和实施电力企业工业信息安全方案;b)能够根据实际情况进行电力企业工业信息安全风险评估和管理;c)能够根据实际情况实施电力企业工业信息安全事件响应和处置;d)能够根据实际情况组织和实施电力企业工业信息安全管理评估和改进;e)能够根据实际情况制定电力企业工业信息安
25、全应急预案,组织演练并进行事件处置。5学兔兔标准下载T/JSREA152023考核方式电力企业开展工业信息安全培训考核方式主要采用笔试+上机形式开展,考试题型分为单项选择题、多项选择题、判断题、填空题、简答题、论述题和上机题,考试例题参考附录B,总分100分,60分合格。6学兔兔标准下载T/JSREA152023AA附录A(资料性)相关案例、类型索引A.1国内外工控网络安全事件一览基本内容国内外工控网络安全事件包括但不限于以下案例:a)2014年12月德国钢铁厂攻击事件:黑客组织成功攻击了德国一家钢铁厂,导致生产线瘫痪长达数周。攻击者通过针对工控系统的远程代码执行攻击,控制了生产线的运行;b)
26、2015年12月23日乌克兰电网攻击事件:黑客组织成功攻击了乌克兰电网,导致当地多个城市停电长达6个小时。攻击者使用了勒索软件和后门程序,破坏了电网控制系统,控制了电网的运行;c)2017年11月北京地铁网络攻击事件:黑客组织成功攻击了北京地铁的工控系统,导致多条地铁线路瘫痪。攻击者使用了后门程序和远程执行代码的方式,破坏了地铁控制系统的安全性;d)2021年5月美国工控系统勒索软件攻击事件:美国一家石油管道公司遭受勒索软件攻击,导致石油供应中断。攻击者使用了DarkSide勒索软件,通过网络攻击入侵石油管道公司的工控系统,加密关键数据并勒索赎金;e)2021年9月中国电力系统勒索软件攻击事件
27、:多家中国电力企业遭受勒索软件攻击,导致企业核心业务系统瘫痪。攻击者使用了Kwampirs勒索软件,通过网络攻击入侵电力企业的工控系统,加密关键数据并勒索赎金。A.2网络安全事件类型网络安全事件包括但不限于以下类型:a)电力企业工业信息安全典型风险安全防范案例分析;b)勒索软件攻击;c)内部人员泄密;d)网络攻击。7学兔兔标准下载T/JSREA152023BB附录B(资料性)考试例题题目1:震网病毒主要攻击的是以下哪个厂商的系统?()A西门子B施耐德C霍尼韦尔D和利时题目2:关于震网病毒,以下说法不正确的是?()A是第一个引起重大破坏的工控病毒B主要攻击西门子公司的plcC不会通过U盘传播D造
28、成伊朗核工业设施严重破坏题目3:以下哪项是工控系统与传统信息系统的区别?()A网络架构不同B网络协议不同C系统升级难度不同D以上都是题目4:以下哪项不是工控协议:()ADNP3BIEC104CDNSDModbus题目5:以下哪种设备是用来进行网络边界隔离防护的?()A堡垒机B杀毒软件C防火墙DIDS题目6:以下哪项不是国内的标准规范?()AGB/T30976B网络安全等级保护基本要求CIEC62443D工业控制系统安全防护指南题目7:以下哪些是属于工业控制系统的组成部分?()APLCBHMICRTUD以上都是题目8:网络安全等级保护基本要求的发布日期是?()A2008年5月13日B2019年5
29、月13日C2019年10月1日D2019年12月1日题目9:网络安全等级保护基本要求的实施日期是?()A2008年5月13日B2019年5月13日C2019年10月1日8学兔兔标准下载T/JSREA152023D2019年12月1日题目10:工业控制系统与企业其他系统之间应?()A永远都互不相连B直接相连,无需保护C工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用技术隔离手段D以上都不对题目11:关于工业控制系统网络访问控制正确的是?()A工业控制系统与企业其他系统之间部署访问控制设备,配置访问控制策略B禁止任何穿越区域边界的E-Mail、Web、Telnet、Rlogin、FTP
30、等通用网络服务C应在工业控制系统内安全域和安全域之间的边界防护机制失效时,及时进行报警D以上都正确题目12:关于工业控制系统网络使用无线连接正确的做法是?()A应对所有参与无线通信的用户(人员、软件进程或者设备)提供唯一性标识和鉴别,进行授权以及执行使用进行限制B应对无线通信采取传输加密的安全措施,实现传输报文的机密性保护C对采用无线通信技术进行控制的工业控制系统,应能识别其物理环境中发射的未经授权的无线设备,报告未经授权试图接入或干扰控制系统行为D以上都正确题目13:关于工业控制设备安全正确的做法是?()A需经常给控制设备进行补丁更新、固件更新等,在此之前无需测试评估B为了方便可任意使用软盘
31、驱动、光盘驱动、USB接口、串行口等,无需进行管控C控制设备在上线前无需经过安全性检测,以便能够快速应用部署D以上都不对题目14:工业控制系统安全扩展要求三级中对室外控制设备物理防护的要求是?()A室外控制设备应放置于采用铁板或其他防火材料制作的箱体或装置中并紧固B箱体或装置具有透风、散热、防盗、防雨和防火能力等C室外控制设备放置应远离强电磁干扰、强热源等环境,如无法避免应及时做好应急处置及检修,保证设备正常运行D以上都正确题目15:工业控制系统重要设备采购和使用应通过专业机构的安全性检测后方可采购使用,针对外包软件开发应在外包开发合同中规定针对开发单位、供应商的约束条款,包括设备及系统在生命周期内有关保密、禁止关键技术扩散和设备行业专用等方面的内容。以上属于工业控制系统安全扩展要求中的哪方面?()A安全通信网络B安全区域边界C安全计算环境D安全建设管理例题答案:1、A2、C3、D4、C5、C6、C7、D8、B9、D10、C9学兔兔标准下载T/JSREA15202311、D12、D13、D14、D15、D10