课程

课程介绍

企业必须妥善保管并切实保护好其重要而敏感的业务数据,由于ICS工作环境中应用的技术极其复杂,且多为根据客户的个性化需求量身定制的技术。它的作用并不仅是保护操作系统、应用程序和硬件组件,也是控制相关的基础设施基,如SCADA服务器、HMI接口、PLC或DCS系统及多个管理控制子系统。因此,企业应同时保护好这些易于遭受安全威胁的系统,以维持生产过程的连续性和安全性。
课程通过借鉴微软的SDLC,OPEN-SAMM,以及BSI接触点模型,参考IBM/HP等公司的生命周期管控模型,引入OWASP ASVS,有助于学习如何进行安全需求分析,设计,开发,测试和运维,实现持续的安全风险管理,持续提升安全开发和运维的能力。

培训对象

安全管理人员, 安全测试人员

课程收益

工业控制安全标准知识
工业控制系统安全评估方法
工业控制系统等级保护要求
工业控制系统常见漏洞
软件开发生命周期管控

知识概要

信息安全基础、工业控制系统安全案例介绍、工业控制安全标准介绍、工业控制系统漏洞发现、工业控制系统安全评估、工业控制系统等级保护要求、工业控制系统安全管理要求、软件开发生命周期管控介绍。

课程大纲

模块

学习内容

第一天

工业控制安全基础

工业控制系统分层模型

工业控制系统安全案例

工业控制系统安全与传统安全的不同点

工业控制系统安全标准

工业控制系统等级保护检查

评估工具介绍

测评使用方法

工业系统测评中的“一票否决”

工业控制系统中的策略/防护/检测/恢复/响应要求

工业控制系统中的物理和环境安全

工业控制系统中的网络和通信安全

工业控制系统中的安全建设管理

工业控制系统中的安全运维管理

第二天

工业控制系统漏洞

工业控制系统安全防护

软件开发生命周期管控

应用系统安全需求分析与设计

应用系统安全开发与测试

应用系统安全上线与运维

安全开发基础概念和安全开发整体实施概念

应用程序安全验证标准

(1)安全架构、设计与威胁建模(Architecture,design and threat modelling)

(2)身份鉴别(Authentication)

(3)会话管理(Session Management)

(4)访问控制(Access Control)

(5)恶意输入处理(Malicious input handling)

(6)加密支撑组件(Cryptography at rest)

(7)错误管理及记录(Error Handling and Logging)

(8)数据保护(Data Protection)

(9)通讯相关(Communications)

(10)HTTP安全配置(HTTP Security configuration)

(11)恶意代码控制(Malicious Controls)

(12)业务逻辑(Business logic)

(13)文件和资源调用安全(File and resources)

(14)移动安全(Mobile Security)

(15)Web服务(Web services NEW for 3.0)

(16)安全配置(security Configuration NEW for 3.0)

认证过程

无认证考试

开班信息

  • 课程名称:智能制造与工控安全最佳实践
  • 时间:05/22-05/23考试费用:
  • 地点:上海市恒通路一天下大厦A802培训费用:5800 RMB
  • 联系人:吴老师邮箱:johnson.wu@consultfuture.com
  • 电话:021-63530102-813传真:021-63530102-818
我要报名