工业控制系统网络安全防护指南，2024年最新看完必懂

工业控制系统是工业生产运行的基础核心。为适应新时期工业控制系统网络安全（以下简称工控安全）形势，进一步指导企业提升工控安全防护水平，夯实新型工业化发展安全根基，制定本指南。

使用、运营工业控制系统的企业适用本指南，防护对象包括工业控制系统以及被网络攻击后可直接或间接影响生产运行的其他设备和系统。

一、安全管理

（一）资产管理

1.全面梳理可编程逻辑控制器（PLC）、分布式控制系统（DCS）、数据采集与监视控制系统（SCADA）等典型工业控制系统以及相关设备、软件、数据等资产，明确资产管理责任部门和责任人，建立工业控制系统资产清单，并根据资产状态变化及时更新。定期开展工业控制系统资产核查，内容包括但不限于系统配置、权限分配、日志审计、病毒查杀、数据备份、设备运行状态等情况。

2.根据承载业务的重要性、规模，以及发生网络安全事件的危害程度等因素，建立重要工业控制系统清单并定期更新，实施重点保护。重要工业控制系统相关的关键工业主机、网络设备、控制设备等，应实施冗余备份。

（二）配置管理

3.强化账户及口令管理，避免使用默认口令或弱口令，定期更新口令。遵循最小授权原则，合理设置账户权限，禁用不必要的系统默认账户和管理员账户，及时清理过期账户。

4.建立工业控制系统安全配置清单、安全防护设备策略配置清单。定期开展配置清单审计，及时根据安全防护需求变化调整配置，重大配置变更实施前进行严格安全测试，测试通过后方可实施变更。

（三）供应链安全

5.与工业控制系统厂商、云服务商、安全服务商等供应商签订的协议中，应明确各方需履行的安全相关责任和义务，包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等。

6.工业控制系统使用纳入网络关键设备目录的PLC等设备时，应使用具备资格的机构安全认证合格或者安全检测符合要求的设备。

（四）宣传教育

7.定期开展工业控制系统网络安全相关法律法规、政策标准宣传教育，增强企业人员网络安全意识。针对工业控制系统和网络相关运维人员，定期开展工控安全专业技能培训及考核。

二、技术防护

（一）主机与终端安全

8.在工程师站、操作员站、工业数据库服务器等主机上部署防病毒软件，定期进行病毒库升级和查杀，防止勒索软件等恶意软件传播。对具备存储功能的介质，在其接入工业主机前，应进行病毒、木马等恶意代码查杀。

9.主机可采用应用软件白名单技术，只允许部署运行经企业授权和安全评估的应用软件，并有计划的实施操作系统、数据库等系统软件和重要应用软件升级。

10.拆除或封闭工业主机上不必要的通用串行总线（USB）、光驱、无线等外部设备接口，关闭不必要的网络服务端口。若确需使用外部设备，应进行严格访问控制。

11.对工业主机、工业智能终端设备（控制设备、智能仪表等）、网络设备（工业交换机、工业路由器等）的访问实施用户身份鉴别，关键主机或终端的访问采用双因子认证。

（二）架构与边界安全

12.根据承载业务特点、业务规模、影响工业生产的重要程度等因素，对工业以太网、工业无线网络等组成的工业控制网络实施分区分域管理，部署工业防火墙、网闸等设备实现域间横向隔离。当工业控制网络与企业管理网或互联网连通时，实施网间纵向防护，并对网间行为开展安全审计。设备接入工业控制网络时应进行身份认证。

13.应用第五代移动通信技术（5G）、无线局域网技术（Wi-Fi）等无线通信技术组网时，制定严格的网络访问控制策略，对无线接入设备采用身份认证机制，对无线访问接入点定期审计，关闭无线接入公开信息（SSID）广播，避免设备违规接入。

14.严格远程访问控制，禁止工业控制系统面向互联网开通不必要的超文本传输协议（HTTP）、文件传输协议（FTP）、Internet远程登录协议（Telnet）、远程桌面协议（RDP）等高风险通用网络服务，对必要开通的网络服务采取安全接入代理等技术进行用户身份认证和应用鉴权。在远程维护时，使用互联网安全协议（IPsec）、安全套接字协议（SSL）等协议构建安全网络通道（如虚拟专用网络（VPN）），并严格限制访问范围和授权时间，开展日志留存和审计。

15.在工业控制系统中使用加密协议和算法时应符合相关法律法规要求，鼓励优先采用商用密码，实现加密网络通信、设备身份认证和数据安全传输。

（三）上云安全

16.工业云平台为企业自建时，利用用户身份鉴别、访问控制、安全通信、入侵防范等技术做好安全防护，有效阻止非法操作、网络攻击等行为。

17.工业设备上云时，对上云设备实施严格标识管理，设备在接入工业云平台时采用双向身份认证，禁止未标识设备接入工业云平台。业务系统上云时，应确保不同业务系统运行环境的安全隔离。

（四）应用安全

18.访问制造执行系统（MES）、组态软件和工业数据库等应用服务时，应进行用户身份认证。访问关键应用服务时，采用双因子认证，并严格限制访问范围和授权时间。

19.工业企业自主研发的工业控制系统相关软件，应通过企业自行或委托第三方机构开展的安全性测试，测试合格后方可上线使用。

（五）系统数据安全

20.定期梳理工业控制系统运行产生的数据，结合业务实际，开展数据分类分级，识别重要数据和核心数据并形成目录。围绕数据收集、存储、使用、加工、传输、提供、公开等环节，使用密码技术、访问控制、容灾备份等技术对数据实施安全保护。

21.法律、行政法规有境内存储要求的重要数据和核心数据，应在境内存储，确需向境外提供的，应当依法依规进行数据出境安全评估。

三、安全运营

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

如何自学黑客&网络安全

黑客零基础入门学习路线&规划

初级黑客
1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）
恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

如果你想要入坑黑客&网络安全，笔者给大家准备了一份：282G全网最全的网络安全资料包评论区留言即可领取！

7、脚本编程（初级/中级/高级）
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

如果你零基础入门，笔者建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习；搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime；·Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，不要看完；·用Python编写漏洞的exp,然后写一个简单的网络爬虫；·PHP基本语法学习并书写一个简单的博客系统；熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)；·了解Bootstrap的布局或者CSS。

8、超级黑客
这部分内容对零基础的同学来说还比较遥远，就不展开细说了，附上学习路线。

网络安全工程师企业级学习路线

如图片过大被平台压缩导致看不清的话，评论区点赞和评论区留言获取吧。我都会回复的

视频配套资料&国内外网安书籍、文档&工具

当然除了有配套的视频，同时也为大家整理了各种文档和书籍资料&工具，并且已经帮大家分好类了。

一些笔者自己买的、其他平台白嫖不到的视频教程。

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

740233c5198d3c161b37e8.webp?x-oss-process=image/format,png)

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！
[外链图片转存中…(img-CaXKRFn8-1712802866715)]