電力企業(yè)工業(yè)信息安全培訓(xùn)大綱和考核要求II目 次范圍 1規(guī)范性引用文件 1術(shù)語和定義 1符號和縮略語 2培訓(xùn)內(nèi)容大綱 2電力企業(yè)工業(yè)信息安全知識 2電力企業(yè)工業(yè)信息技術(shù)知識 3電力企業(yè)工業(yè)信息上機(jī)操作實(shí)踐 4考核要求 6理論知識考核 6技能考核 6實(shí)踐考核 7附 錄 A （規(guī)范性）考核方式 8附 錄 B （資料性）相關(guān)案例、法規(guī)、條例及規(guī)范索引 9國內(nèi)外工控網(wǎng)絡(luò)安全事件一覽基本內(nèi)容 9網(wǎng)絡(luò)安全事件類型 9滲透測試全工作過程 9《中華人民共和國網(wǎng)絡(luò)安全法： 9《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例： 9《中華人民共和國數(shù)據(jù)安全法》 9《網(wǎng)絡(luò)安全審查辦法》 9附 錄 C （資料性）考試?yán)} 10PAGEPAGE10電力企業(yè)工業(yè)信息安全培訓(xùn)大綱和考核要求范圍本文件規(guī)定了電力企業(yè)工業(yè)信息安全培訓(xùn)大綱和考核要求的術(shù)語和定義、總則、環(huán)境條件、通用技術(shù)要求、試驗(yàn)和包裝、運(yùn)輸與貯存。本文件適用于電力企業(yè)工業(yè)信息安全培訓(xùn)大綱和考核要求。本文件不適用于下列情況：——除電力企業(yè)外的其他類型企業(yè)；——除信息系統(tǒng)外的其他系統(tǒng)；規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T32351-2015電力信息安全水平評價(jià)指標(biāo)GB/T40599-2021繼電保護(hù)及安全自動裝置在線監(jiān)視與分析技術(shù)規(guī)范GA/T1359-2018信息安全技術(shù)信息資產(chǎn)安全管理產(chǎn)品安全技術(shù)要求GB/T39204-2022信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求GB/T19001-2016質(zhì)量管理體系要求GB/T19000-2016質(zhì)量管理體系基礎(chǔ)和術(shù)語GB17859 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則GB/T22240-2016 信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南GB/T25069-2010 信息安全技術(shù)術(shù)語GB/T20271-2006 信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求；GB/T20270-2006 信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求；GB/T20984-2007 信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范；GB/T20269-2006 信息安全技術(shù)信息系統(tǒng)安全管理要求；GB/T20281-2006 信息安全技術(shù)防火墻技術(shù)要求與測試評價(jià)方法；GB/T20275-2006 信息安全技術(shù)入侵檢測系統(tǒng)技術(shù)要求和測試評價(jià)方法；DB14/T2536-2022 電力企業(yè)安全風(fēng)險(xiǎn)分級管控和隱患排查治理雙重預(yù)防體系規(guī)范ISO/IEC17000:2004合格評定—詞匯和通用原則ISO/IEC27001 Informationtechnology-Securitytechniques-informationsecuritymanagementsystems–RequirementsIEC61850:2023 SERStandardLVDCCommunicationnetworksandsystemsforpowerutilityautomation術(shù)語和定義下列術(shù)語和定義適用于本文件。本文件適用于工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟《工業(yè)互聯(lián)網(wǎng)術(shù)語和定義v1.0》；符號和縮略語PLCProgrammableLogicController可編程邏輯控制器DCSDistributedControlSystem分布式控制系統(tǒng)DMZDemilitarizedZone非軍事區(qū)ICSIndustrialControlSystem工業(yè)控制系統(tǒng)MACMediaAccessControl介質(zhì)訪問控制NATNetworkAddressTranslation網(wǎng)絡(luò)地址轉(zhuǎn)換OPC ObjectLinkingandEmbeddingforProcessControlSCADA SupervisoryControlAndDataAcquisitionSystem

用于過程控制的對象鏈接與嵌入監(jiān)控和數(shù)據(jù)采集系統(tǒng)培訓(xùn)內(nèi)容大綱本標(biāo)準(zhǔn)所規(guī)定的電力企業(yè)工業(yè)信息安全培訓(xùn)大綱和考核要求為電力企業(yè)工業(yè)信息安全相關(guān)人員應(yīng)電力企業(yè)工業(yè)信息安全知識電力企業(yè)工業(yè)信息安全基本概念培訓(xùn)內(nèi)容包括工業(yè)信息安全定義、特征、發(fā)展態(tài)勢及國內(nèi)外工控網(wǎng)絡(luò)安全事件一覽基本內(nèi)容。工業(yè)信息安全特征：復(fù)雜性、高度可靠性要求、實(shí)時(shí)性、保密性要求高、長周期性。國內(nèi)外工控網(wǎng)絡(luò)安全事件一覽基本內(nèi)容參考附錄C。電力企業(yè)工業(yè)信息安全政策法規(guī)電力企業(yè)工業(yè)信息安全標(biāo)準(zhǔn)培訓(xùn)內(nèi)容包括《網(wǎng)絡(luò)安全等級保護(hù)定級指南》、《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》、《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求》信息安全等級保護(hù)工作的內(nèi)涵及流程，掌握開展網(wǎng)絡(luò)安全工作的基本方法，構(gòu)建信息安全管理體系和技術(shù)體系。電力企業(yè)工業(yè)信息安全漏洞管理與威脅應(yīng)對威脅應(yīng)對培訓(xùn)內(nèi)容包括威脅情報(bào)收集和分析，了解當(dāng)前的安全威脅和攻擊趨勢；網(wǎng)絡(luò)監(jiān)測和防御，電力企業(yè)工業(yè)信息安全防護(hù)體系培訓(xùn)內(nèi)容包括ISO/IEC（Informationtechnology-Securitytechniques-informationsecuritymanagementsystems-Requirements）、《信（GB/T22239-2008）安全管理體系建設(shè)安全技術(shù)防護(hù)措施電力企業(yè)需要采取一系列安全技術(shù)防護(hù)措施，包括網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全、應(yīng)用安全等。安全培訓(xùn)和意識教育安全監(jiān)測和響應(yīng)機(jī)制電力企業(yè)工業(yè)信息技術(shù)知識電力企業(yè)工業(yè)控制系統(tǒng)電力企業(yè)工業(yè)控制系統(tǒng)培訓(xùn)內(nèi)容應(yīng)該包括以下幾個(gè)方面：工業(yè)控制系統(tǒng)基礎(chǔ)知識包括工業(yè)控制系統(tǒng)的基本原理、結(jié)構(gòu)和組成部分，以及各種工業(yè)控制設(shè)備的工作原理和應(yīng)用場景等；工業(yè)控制系統(tǒng)安全知識工業(yè)控制系統(tǒng)運(yùn)行與維護(hù)包括工業(yè)控制系統(tǒng)的運(yùn)行與維護(hù)知識、故障診斷和排除方法、備件管理和備份恢復(fù)等方面的知識；工業(yè)控制系統(tǒng)管理工業(yè)控制系統(tǒng)標(biāo)準(zhǔn)和法規(guī)包括工業(yè)控制系統(tǒng)的相關(guān)標(biāo)準(zhǔn)和法規(guī)，例如《電力企業(yè)信息安全等級保護(hù)管理規(guī)定》（GB/T22239-2008）、《電力企業(yè)信息安全管理辦法》等；工業(yè)控制系統(tǒng)案例分析電力企業(yè)工業(yè)信息安全監(jiān)測預(yù)警技術(shù)電力企業(yè)工業(yè)信息安全風(fēng)險(xiǎn)評估電力企業(yè)工業(yè)信息安全攻防技術(shù)典型風(fēng)險(xiǎn)安全防范案例分析培訓(xùn)內(nèi)容包括國內(nèi)外典型工業(yè)安全事件的背景、損失評估、攻擊過程、核心問題、對策與措施等。具體內(nèi)容參考附錄C。電力企業(yè)工業(yè)信息上機(jī)操作實(shí)踐電力企業(yè)工業(yè)控制系統(tǒng)實(shí)操系統(tǒng)運(yùn)維與管理能力硬件設(shè)備的安裝與維護(hù)能力考核人員需要具備硬件設(shè)備的安裝與維護(hù)能力，包括服務(wù)器、網(wǎng)關(guān)、交換機(jī)等設(shè)備的選購、安裝、調(diào)試和維護(hù)等方面的能力；軟件系統(tǒng)的安裝和配置能力網(wǎng)絡(luò)拓?fù)涞囊?guī)劃與維護(hù)能力安全漏洞的排查與修復(fù)能力考核人員需要具備安全漏洞的排查與修復(fù)能力，包括漏洞掃描、安全審計(jì)、應(yīng)急響應(yīng)等方面的能力。電力企業(yè)工業(yè)安全漏洞驗(yàn)證實(shí)操電力企業(yè)工業(yè)安全漏洞驗(yàn)證實(shí)操考核內(nèi)容應(yīng)該是一個(gè)全面的、多方面的考核，考核人員需要具備全面的工業(yè)控制系統(tǒng)安全知識和技能，才能夠準(zhǔn)確識別和排查安全漏洞，設(shè)計(jì)和實(shí)施有效的安全措施，確保工業(yè)控制系統(tǒng)的安全性和穩(wěn)定性。參與培訓(xùn)人員在實(shí)操環(huán)節(jié)應(yīng)具備如下能力：漏洞掃描和識別能力NessusOpenVAS漏洞利用和攻擊能力考核人員需要具備漏洞利用和攻擊能力，能夠使用常見的漏洞利用工具，如Metasploit等，對工業(yè)控制系統(tǒng)進(jìn)行攻擊和滲透測試；安全漏洞排查和修復(fù)能力考核人員需要具備安全漏洞排查和修復(fù)能力，能夠?qū)Πl(fā)現(xiàn)的安全漏洞進(jìn)行分析和排查，提出修復(fù)方案并進(jìn)行修復(fù)測試，確保漏洞得到徹底修復(fù)；事件響應(yīng)和處置能力考核人員需要具備事件響應(yīng)和處置能力，能夠在發(fā)生安全事件時(shí)快速響應(yīng)并采取有效的措施進(jìn)行處置，以減少安全事件對工業(yè)控制系統(tǒng)的影響；安全方案設(shè)計(jì)和漏洞預(yù)防能力考核人員需要具備安全方案設(shè)計(jì)和漏洞預(yù)防能力，能夠基于漏洞掃描和攻擊測試結(jié)果，提出相應(yīng)的安全方案，采取措施預(yù)防漏洞的產(chǎn)生。電力企業(yè)工業(yè)信息安全威脅識別TCP/IP標(biāo)準(zhǔn)化技術(shù)甚至是OPC開放協(xié)議標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全脆弱性和威脅識別。電力企業(yè)工業(yè)信息安全滲透實(shí)操電力企業(yè)工業(yè)信息安全應(yīng)急和安全問題溯源分析實(shí)操通過捕獲攻擊，采集攻擊過程中的全要素包括流量、行為以及攻擊載荷的動靜態(tài)分析結(jié)果等信息，工業(yè)信息安全防護(hù)技術(shù)網(wǎng)絡(luò)安全技術(shù)VPN等，能夠設(shè)計(jì)和實(shí)施有效的網(wǎng)絡(luò)安全措施，確保工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全；應(yīng)用安全技術(shù)數(shù)據(jù)安全技術(shù)物理安全技術(shù)應(yīng)急響應(yīng)與處置技術(shù)安全管理技術(shù)考核要求理論知識考核能夠清晰描述電力企業(yè)工業(yè)信息安全的相關(guān)概念和知識點(diǎn)能夠解釋電力企業(yè)工業(yè)信息安全風(fēng)險(xiǎn)評估與管理的方法和流程能夠說明電力企業(yè)工業(yè)信息安全技術(shù)措施的實(shí)現(xiàn)方法和應(yīng)用場景熟悉電力企業(yè)工業(yè)信息安全法律法規(guī)和標(biāo)準(zhǔn)技能考核能夠獨(dú)立完成電力企業(yè)工業(yè)信息安全風(fēng)險(xiǎn)評估和管理的任務(wù)能夠獨(dú)立設(shè)計(jì)和實(shí)施電力企業(yè)工業(yè)信息安全技術(shù)保障方案能夠獨(dú)立進(jìn)行電力企業(yè)工業(yè)信息安全事件響應(yīng)和處置能夠獨(dú)立組織和實(shí)施電力企業(yè)工業(yè)信息安全管理評估和改進(jìn)實(shí)踐考核能夠根據(jù)實(shí)際情況設(shè)計(jì)和實(shí)施電力企業(yè)工業(yè)信息安全方案能夠根據(jù)實(shí)際情況進(jìn)行電力企業(yè)工業(yè)信息安全風(fēng)險(xiǎn)評估和管理能夠根據(jù)實(shí)際情況實(shí)施電力企業(yè)工業(yè)信息安全事件響應(yīng)和處置能夠根據(jù)實(shí)際情況組織和實(shí)施電力企業(yè)工業(yè)信息安全管理評估和改進(jìn)能夠根據(jù)實(shí)際情況制定電力企業(yè)工業(yè)信息安全應(yīng)急預(yù)案，組織演練并進(jìn)行事件處置附 錄 A（規(guī)范性）考核方式電力企業(yè)開展工業(yè)信息安全培訓(xùn)考核內(nèi)容和方式主要采用筆試+上機(jī)形式開展，考試題型分為單項(xiàng)選擇題、多項(xiàng)選擇題、判斷題、填空題、簡答題、論述題和上機(jī)題。附 錄 B（資料性）相關(guān)案例、法規(guī)、條例及規(guī)范索引國內(nèi)外工控網(wǎng)絡(luò)安全事件一覽基本內(nèi)容2014年122015年12月232017年11地鐵線路癱瘓。攻擊者使用了后門程序和遠(yuǎn)程執(zhí)行代碼的方式，破壞了地鐵控制系統(tǒng)的安全性。2021年5月美國工控系統(tǒng)勒索軟件攻擊事件：美國一家石油管道公司遭受勒索軟件攻擊，導(dǎo)致石油供應(yīng)中斷。攻擊者使用了DarkSide勒索軟件，通過網(wǎng)絡(luò)攻擊入侵石油管道公司的工控系統(tǒng)，加密關(guān)鍵數(shù)據(jù)并勒索贖金。2021年9月中國電力系統(tǒng)勒索軟件攻擊事件：多家中國電力企業(yè)遭受勒索軟件攻擊，導(dǎo)致企業(yè)核心業(yè)務(wù)系統(tǒng)癱瘓。攻擊者使用了Kwampirs勒索軟件，通過網(wǎng)絡(luò)攻擊入侵電力企業(yè)的工控系統(tǒng)，加密關(guān)鍵數(shù)據(jù)并勒索贖金。網(wǎng)絡(luò)安全事件類型電力企業(yè)工業(yè)信息安全典型風(fēng)險(xiǎn)安全防范案例分析勒索軟件攻擊；內(nèi)部人員泄密；網(wǎng)絡(luò)攻擊。滲透測試全工作過程《中華人民共和國數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全審查辦法》附 錄 C（資料性）考試?yán)}題目1：震網(wǎng)病毒主要攻擊的是以下哪個(gè)廠商的系統(tǒng)？（ A．西門子B．施耐德CD．和利時(shí)題目2：關(guān)于震網(wǎng)病毒，以下說法不正確的是？（ A．是第一個(gè)引起重大破壞的工控病毒B．主要攻擊西門子公司的plcC．不會通過U盤傳播D．造成伊朗核工業(yè)設(shè)施嚴(yán)重破壞題目3：以下哪項(xiàng)是工控系統(tǒng)與傳統(tǒng)信息系統(tǒng)的區(qū)別？（ A．網(wǎng)絡(luò)架構(gòu)不同B．網(wǎng)絡(luò)協(xié)議不同C．系統(tǒng)升級難度不同D．以上都是題目4：以下哪項(xiàng)不是工控協(xié)議:（ A．DNP3B．IEC104C．DNSD．Modbus題目5：以下哪種設(shè)備是用來進(jìn)行網(wǎng)絡(luò)邊界隔離防護(hù)的？（ A．堡壘機(jī)B．殺毒軟件C．防火墻D．IDS題目6：以下哪項(xiàng)不是國內(nèi)的標(biāo)準(zhǔn)規(guī)范？（ A．GB/T30976B．《網(wǎng)絡(luò)安全等級保護(hù)基本要求》C．IEC62443D．《工業(yè)控制系統(tǒng)安全防護(hù)指南》題目7：以下哪些是屬于工業(yè)控制系統(tǒng)的組成部分？（ A．PLCB．HMIC．RTUD．以上都是題目8：《網(wǎng)絡(luò)安全等級保護(hù)基本要求》的發(fā)布日期是？（ A．2008年5月13日B．2019年5月13C．2019年10月1D．2019年12月1題目9：《網(wǎng)絡(luò)安全等級保護(hù)基本要求》的實(shí)施日期是？（ A．2008年5月13日B．2019年5月13C．2019年10月1D．2019年12月1日題目10：工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應(yīng)？（ A．永遠(yuǎn)都互不相連B．直接相連，無需保護(hù)C．工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應(yīng)劃分為兩個(gè)區(qū)域，區(qū)域間應(yīng)采用技術(shù)隔離手段D．以上都不對題目11：關(guān)于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)訪問控制正確的是？（ ）工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間部署訪問控制設(shè)備，配置訪問控制策略禁止任何穿越區(qū)域邊界的E-Mail、Web、Telnet、Rlogin、FTP等通用網(wǎng)絡(luò)服務(wù)C．應(yīng)在工業(yè)控制系統(tǒng)內(nèi)安全域和安全域之間的邊界防護(hù)機(jī)制失效時(shí)，及時(shí)進(jìn)行報(bào)警D．以上都正確題目12：關(guān)于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)使用無線連接正確的做法是？（ ）應(yīng)對所有參與無線通信的用戶（人員、軟件進(jìn)程或者設(shè)備）提供唯一性標(biāo)識和鑒別，進(jìn)行授權(quán)以及執(zhí)行使用進(jìn)行限制應(yīng)對無線通信采取傳輸加密的安全措施，實(shí)現(xiàn)傳輸報(bào)文的機(jī)密性保護(hù)對采用無線通信技術(shù)進(jìn)行控制的工業(yè)控制系統(tǒng)，應(yīng)能識別其物理環(huán)境中發(fā)射的未經(jīng)授權(quán)的無線設(shè)備，報(bào)告未經(jīng)授權(quán)試圖接入或干擾控制系統(tǒng)行為以上都正確題目13：關(guān)于工業(yè)控制設(shè)備安全正確的做法是？（ ）需經(jīng)常給控制設(shè)備進(jìn)行補(bǔ)丁更新、固件更新等，在此之前無需測試評估為了方便可任意使用軟盤驅(qū)動、光盤驅(qū)動、USB接口、串行口等，無需進(jìn)行管控C．控制設(shè)備在上線前無需經(jīng)過安全性檢測，以便能夠快速應(yīng)用部署D．以上都不對題目14：工業(yè)控制系統(tǒng)安全擴(kuò)展要求三級中對室外控制設(shè)備物理防護(hù)的要求是？（ A．室外控制設(shè)備應(yīng)放置于采用鐵板或其他防火材料制作的箱體或裝置中并緊固箱體或裝置具有透風(fēng)、散熱、防盜、防雨和防火能力等以上都正確題目A．安全通信網(wǎng)絡(luò)B．安全區(qū)域邊界C．安全計(jì)算環(huán)境D．安全建設(shè)管理答案：1、A，西門子2、