新書推薦:
《
清华大学藏战国竹简校释(壹):《命训》诸篇
》
售價:NT$
408.0
《
封建社会农民战争问题导论(光启文库)
》
售價:NT$
296.0
《
虚弱的反攻:开禧北伐
》
售價:NT$
429.0
《
泰山:一种中国信仰专论(法国汉学经典译丛)
》
售價:NT$
380.0
《
花外集斠箋
》
售價:NT$
704.0
《
有兽焉.8
》
售價:NT$
305.0
《
大学问·明清经济史讲稿
》
售價:NT$
330.0
《
中国国际法年刊(2023)
》
售價:NT$
539.0
|
編輯推薦: |
关键基础设施作为国家经济,社会运行的神经中枢,一旦遭到物理或网络攻击,将会严重危害国家安全和国计民生。因此,许多国家都已经将关键基础设施安全作为一个国家安全战略问题来对待。本书介绍了美国在关键基础设施安全防护领域的布局,归纳了先关研究项目的技术报告,提炼出了关键技术,总结了先进经验,这些技术和经验,对于我国开展关键基础设施安全防护工作具有重要参考价值。
|
內容簡介: |
关键基础设施作为国家经济、社会运行的神经中枢,一旦遭到物理或网络攻击,将会严重危害国家安全和国计民生。因此,许多国家都已经将关键基础设施安全作为一个国家安全战略问题来对待。本书介绍了美国在关键基础设施安全防护领域的布局,归纳了相关研究项目的技术报告,提炼出了关键技术,总结了先进经验。这些技术和经验,对于我国开展关键基础设施安全防护工作具有重要参考价值。 本书可供高等院校信息安全相关专业的学生、教师,各级政府部门的决策者及企业技术主管等阅读参考。
|
目錄:
|
目录第1章关键基础设施安全概述
1.1关键基础设施含义
1.1.1中国政府高度重视关键信息基础设施安全
1.1.2中国政府相关文件
1.1.3美国政府关键基础设施安全布局
1.2典型安全事件
1.3攻击动机与方式
1.4美国政府安全政策
1.5本书组织
参考文献第2章美国国土安全部
2.1国土安全部职责
2.2网络风暴演习
2.2.1网络风暴Ⅰ
2.2.2网络风暴Ⅱ
2.2.3网络风暴Ⅲ
2.2.4网络风暴Ⅳ
2.2.5网络风暴Ⅴ
2.3工业控制系统网络应急响应小组
2.3.1主要职责
2.3.22009年度网络安全报告
2.3.32010年度网络安全报告
2.3.42011年度网络安全报告
2.3.52012年度网络安全报告
2.3.62013年度网络安全报告
2.3.72014年度网络安全报告
2.3.82015年度网络安全报告
2.3.92016年度网络安全报告
美国关键基础设施安全防护体系与策略[]目录2.4网络安全部门项目
2.4.1分布式拒绝服务防御
2.4.2过程控制系统安全
2.4.3移动目标防御
2.4.4防御技术实验研究试验台
2.5其他典型项目
2.5.1国家基础设施保护计划项目
2.5.2下一代网络基础设施项目
参考文献第3章美国能源部
3.1美国能源部国家实验室基本情况
3.2能源行业控制系统安全防护技术路线
3.2.12006年技术路线
3.2.22011年技术路线
3.3国家SCADA测试床NSTB
3.3.1NSTB研究内容
3.3.2NSTB项目实验室分工
3.3.3NSTB实验室具体情况
3.3.4NSTB承担项目
3.4小结
参考文献第4章美国国家标准与技术研究院
4.1国家标准与技术研究院及典型项目简介
4.2提高关键基础设施网络安全的框架规范
4.2.1规范简介
4.2.2框架核心
4.2.3框架实现层级
4.2.4框架配置文件
4.2.5框架使用方法
4.2.6规范小结
4.3工业控制系统安全指南
4.3.1ICS特性
4.3.2ICS系统安全程序开发与部署
4.3.3深度防御架构
4.3.4ICS安全控制
4.4工业控制系统网络安全性能测试床
4.5小结
参考文献第5章美国国家科学基金会
5.1美国国家科学基金会简介
5.2关键基础设施安全建设
5.3CRISP项目介绍
5.3.1总体目标
5.3.2课题介绍
5.4小结
参考文献第6章美国国防高级研究计划局
6.1美国国防高级研究计划局简介
6.2网络空间项目Plan X介绍
6.2.1Plan X背景介绍
6.2.2Plan X的特点
6.2.3Plan X网络作战空间定义
6.2.4Plan X技术领域
6.3小结
参考文献附录A名词及缩写词列表附录B美国关键基础设施安全之物联网安全调研
B.1美国国土安全部保障物联网安全战略原则报告简介
B.1.1介绍和概览
B.1.2战略安全保障原则
B.1.3结论
B.2美国国家安全电信委员会物联网报告简介
B.2.1报告综述
B.2.2物联网概论
B.2.3NSEP中物联网影响的思考
B.3美国宽带互联网技术咨询组物联网安全和隐私建议报告简介
B.3.1简介
B.3.2什么是物联网
B.3.3为什么IoT安全和隐私特别重要
B.3.4许多设备不循序安全和隐私最佳原则
B.3.5IoT安全和隐私问题观察
B.3.6家庭网络技术的可能作用
B.3.7建议
B.3.8其他小组
小结
参考文献
图目录图21美国国土安全部组织架构26
图22工业控制系统应急响应小组在国土安全部隶属关系图43
图23企业网和控制网隔离的传统架构46
图24企业网和控制网融合的主流架构46
图25网络纵深防御策略47
图26系统脆弱性分层防御框架(例如缓冲区溢出漏洞)48
图27通用安全分区49
图28用防火墙来保护安全分区50
图29部署DMZ的框架51
图210部署了入侵检测系统后的纵深防御完整框架图52
图211根据安全事件报告主体划分2014年事件报告(总计245)61
图212根据安全事件发生行业划分2014年事件报告(总计245)62
图213根据攻击类型划分2014年事件报告(总计245)62
图214在2014年由ICSCERT统计各个州在线评估数量63
图215CSET特点调查66
图216按区域划分的2015财年网络事件,共295件67
图217按试图感染途径划分的2015财年网络事件,共295件67
图218ICSCERT 2016年对19个州开展安全评估情况图68
图219NIPP关键基础设施安全和恢复基本框架图86
图220关键基础设施相互依赖关系87
图31美国能源部组织结构图97
图32美国能源部17个国家实验室地理分布图98
图33美国国家SCADA测试床项目架构101
图34NSTB计划涉及的范围104
图35NSTB项目架构图106
图36NSTB项目参与实验室107
美国关键基础设施安全防护体系与策略[]图目录
图37INL SCADA 测试床108
图38INL 电网测试床110
图39INL网络安全测试床111
图310过程控制系统中的通用信息基础设施的理想化模型112
图311LOGIIC测试床环境113
图312LOGIIC安全系统架构114
图313西北太平洋国家实验室电力基础设施运营中心114
图314PNNL提出的通用控制系统架构115
图315PNNL PowerNet测试床116
图316下一代控制系统里程碑和性能目标122
图317DATES测试床结构图125
图318Invensys DCS与VCSE之间的配置及数据传输关系图125
图319DATES测试床IDS部署位置示意图126
图320DDoS攻击结果图127
图321电网3层架构图128
图3224种安全代理位置示意图128
图323综合风险分析里程碑和性能目标130
图324信息物理系统典型系统图132
图325VCSE工具箱132
图326小型炼油厂在遭受网络攻击前和攻击后的VCSE模型图133
图327电力配电系统在遭受网络攻击前和攻击后的VCSE模型图134
图328PLC控制下的燃烧炉在遭受网络攻击前和攻击后的VCSE模型图134
图329通过虚假IP地址发起的网络攻击135
图330定义在CMT用户接口中,用于构建属性树的影响分类图136
图331定义在CMT用户接口中,用于构建属性树的性能测试图137
图332定义在CMT用户接口中,用于构建属性树的构建尺度图137
图333CMT用户界面概览图138
图334CMT系统架构概览139
图335CMT系统设置界面139
图336系统脆弱性评估项目里程碑141
图337通用的IT安全目标与ICS安全目标对比图151
图338NSTB评估安全脆弱性类型所占百分比的结果151
图339NSTB测试发现的SCADA组件类别百分比结果153
图340NSTB测试分析得到的组件功能百分比结果153
图341ISA SCADA 架构154
图342NSTB测试得到的ICS功能级别结果155
图41信息安全防护体系框架166
图42框架核心167
图43框架核心及其包含的类168
图44识别功能及其包含的类和子类168
图45保护功能及其包含的类和子类169
图46检测功能及其包含的类和子类170
图47响应功能及其包含的类和子类170
图48恢复功能及其包含的类和子类171
图49风险管理的信息与决策流程模型174
图410ICS操作177
图411SCADA系统总体结构178
图412DCS系统实例179
图413ICS系统潜在的脆弱性182
图414安全业务方案182
图415综合安全程序的开发184
图416CSSP建议的深度防御架构185
图417ICS安全控制186
图418TE过程工艺流程图188
图419TE过程网络结构图189
图420机器人组装系统网络架构图190
图421机器人平台节点级软件框架191
图422ISAIEC62443标准文档归类193
图51NSF组织架构图198
图61DARPA组织架构213
图62DARPA Plan X项目负责研发人员展示Oculus网络战仿真215表目录表11美国近几届政府典型政策、战略计划一览表16
表21网络风暴Ⅳ当中的演习项目一览表38
表22ICSCERT近几年活动对比表57
表23分领域显示每财年的在线评估领域数量58
表24根据评估类型划分的在线评估数量63
表25不同领域评估情况表65
表26不同评估工具统计表65
表27ICSCERT近几年活动对比表68
表28不同领域评估统计表69
表29MTD关键技术特点76
表210MTD DETER测试床目前进行的项目78
表211关键基础设施部门的相互依赖性87
表212关键基础设施管理结构88
表213金融领域的未来规划目标和措施89
表214交通领域的未来规划目标和措施90
表215能源领域的未来规划目标和措施90
表216通信领域的未来规划目标和措施92
表31美国能源部17个国家实验室管理方式一览表99
表32NSTB承担项目概况表119
表33CMT性能测试表140
表34CVSS基础测量表142
表35CVSS 暂态测量表143
表36CVSS 环境测量表143
表3710个最关键的ICS脆弱性143
表38未修复的已公开系统脆弱性的安全特征总结表144
表39远程显示协议的安全特征总结表145
美国关键基础设施安全防护体系与策略[]表目录
表310ICS网页应用安全特征总结表146
表311缓冲区溢出特征总结表146
表312ICS应用中不恰当的认证方式147
表313不恰当的访问控制147
表314明文认证协议安全特征总结表148
表315ICS应用中未经保护的用户凭证传输149
表316ICS网络协议安全特征总结表149
表317SQL注入特征总结表150
表318可以访问到SCADA系统核心功能的系统脆弱性类型及
相应的攻击目标152
表319SCADA制造商减少系统脆弱性的措施155
表320SCADA拥有者减少系统脆弱性的措施155
表321常见SCADA编程错误156
表41IT系统和ICS的差异总结179
表42工业过程分类192
表43连续过程的性能指标193
表44离散过程的性能指标194
表45测量系统性能的指标194
表46系统性能的标称指标195
表47测量网络性能的指标195
表51NSF战略规划总览表199
表52CRISP课题基本信息表201〖=(〗111368131620212525252732343740424345525457596064677171737575858593949798100101102103104105108119157158161161165166167171173174176176178181184186187196196197197197200200201211211213213214214216217218223223225233233233235239240240243245261262263264265267274276280282283〖=〗
|
內容試閱:
|
前言
关键基础设施作为国家经济、社会运行的神经中枢,包括公共通信和信息服务、能源、交通、金融
、关键制造、食品和农业、政府设施和服务、公共卫生等重要行业和领域的信息和物理设施。这些
关键基础设施设备或系统一旦遭到物理或网络攻击,将会严重危害国家安全和国计民生。因此,许
多国家都已经将关键基础设施安全作为国家安全战略问题。
随着近年来工业化和信息化的不断融合,越来越多的基础设施系统不再封闭,逐渐开放接入到公共
网络中,这将给关键基础设施系统带来越发严峻的网络安全威胁。近年来发生的诸如Stuxnet、
Duqu、Flame、Havex、BlackEnergy和乌克兰大规模断电等重大安全事件证明了关键基础设施容易
受到网络攻击的严重危害,在一定程度上促进了世界各国对关键基础设施安全防护的高度重视。
美国为了应对日益严峻的关键基础设施网络攻击安全威胁,历届政府通过发布一系列政策文件或部
署关键技术研究项目等方式,推动该领域的理论研究与技术研发工作。作者在研究美国关键基础设
施安全防护进展中,深入调研了美国国土安全部、能源部、国家标准与技术研究院、国家科学基金
会和国防部先进研究项目局等部门的相关工作,从国家政策、研发项目、安全实践等方面总结归纳
了这些部门近年来的科研工作。希望以此为我国在该领域的科学研究与项目部署提供一些参考意见
。由于国家体制、文化及体系结构上的差异,我们需要辩证地来分析美国在关键基础设施安全方面
所做的工作,有借鉴性地探索适合我国国情的发展战略和具体实施方法。
本书由中国科学院信息工程研究所物联网信息安全技术北京市重点实验室组织撰写,多位作者合作
完成。其中,孙利民负责全书的组稿,并主持各个章节的撰写,负责全书的审校。第1章由孙利民
执笔完成,第2、4、6章由吕世超执笔完成,第3章、附录A和附录B.1由李红执笔完成,第5章、附
录B.2和附录B.3由文辉执笔完成。
由于时间仓促及水平有限,本书难免有错漏之处,希望读者不吝批评指正。如有机会,我们将在后
续的版本中更新修改,也会结合今后的研究工作继续补充内容。若有任何意见,请发送至
lvshichao_iie@126.com。
本书涉及的研究课题得到科技部国家重点研发计划项目脆弱性分析与威胁态势感知技术(项目
编号: 2016YFB0800202)、北京市科学技术委员会项目国家关键基础设施安全监管平台核心技
术研究(项目编号: Z161100002616032)、国家自然科学基金项目网络空间中工控设备快速
发现与精细识别关键技术研究(项目编号: U1536107)、国家自然科学基金项目针对电网工
控系统的协同入侵检测技术研究(项目编号: 61702506)等资助。
本书在撰写过程中得到了中国科学院信息工程研究所孟丹所长、孙德刚副所长等领导的指导和帮助
,在此一并向他们表示衷心的感谢。
美国关键基础设施安全防护体系与策略
作者〖〗2017年7月于北京
|
|