《工業(yè)控制系統(tǒng)信息安全技術(shù)與實(shí)踐》教案全套 安李 第1-8章 工控系統(tǒng)信息安全概述-VPN技術(shù)

PAGE5PAGE第1次課程教學(xué)方案備課時間備課教師教學(xué)時間教學(xué)地點(diǎn)周次1課時數(shù)2教學(xué)內(nèi)容（章、節(jié)）模塊/單元課程介紹第一章工控系統(tǒng)信息安全概述教學(xué)目標(biāo)和要求1、了解工業(yè)控制系統(tǒng)的基本概念2、掌握工業(yè)控制系統(tǒng)信息安全的特點(diǎn)3、了解我國工業(yè)控制行業(yè)存在的主要問題4、理解工業(yè)控制系統(tǒng)安全的重大意義教學(xué)重點(diǎn)工業(yè)控制系統(tǒng)架構(gòu)、工控安全的特點(diǎn)教學(xué)難點(diǎn)工控安全的特點(diǎn)教學(xué)方法頭腦風(fēng)暴、互動、講授、引導(dǎo)、演示、案例、小組活動等使用媒體資源√紙質(zhì)材料√多媒體課件√網(wǎng)絡(luò)資源□其他資源：使用教具、設(shè)備、設(shè)施等多媒體教學(xué)設(shè)備作業(yè)練習(xí)課后記

教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動時間課程介紹課程概述本課程利用菲尼克斯電氣公司的PLC、AIO/DIO模塊、PROFINET交換機(jī)、安全路由器和防火墻MGUARD等設(shè)備，構(gòu)建小型工業(yè)控制系統(tǒng)，使學(xué)生了解利用PLC進(jìn)行程序開發(fā)實(shí)現(xiàn)簡單的工業(yè)控制，掌握工業(yè)交換機(jī)的配置方法，熟練掌握工業(yè)防火墻的安全配置方法，理解VPN、NAT的功能特點(diǎn)及配置。實(shí)踐教學(xué)內(nèi)容考核評價教材：工業(yè)控制系統(tǒng)信息安全技術(shù)實(shí)踐引導(dǎo)學(xué)生了解整個課程的教學(xué)設(shè)計；了解這個課程的組成要素和實(shí)施要求。15分鐘二、安全教育〖發(fā)生火災(zāi)時的應(yīng)對措施〗1、發(fā)生火災(zāi)后第一時間報告老師，老師立即上報領(lǐng)導(dǎo)。2、火災(zāi)發(fā)生后，學(xué)生要保持冷靜不要慌張更不要擁擠，在火勢較大的情況下想辦法立即逃離現(xiàn)場。如需要應(yīng)迅速撥打119火警電話3、在火勢較大，煙大，樓道擁擠的情況下，滯留在樓內(nèi)的學(xué)生應(yīng)大聲呼救或用濕毛巾捂住嘴迅速逃生?！紝?shí)訓(xùn)室日常安全措施〗1、不要隨意更換鼠標(biāo)和鍵盤，機(jī)器使用有問題請及時向老師反映。2、嚴(yán)禁在實(shí)訓(xùn)室吃各種食物，請將水杯擰緊放好，注意不要將水潑灑在鍵盤上。3、未經(jīng)允許不得隨意使用實(shí)訓(xùn)室電源給手機(jī)充電或使用其他電子設(shè)備。4、發(fā)現(xiàn)有安全隱患的電子設(shè)備應(yīng)及時報告老師，不要擅自動手。5、下課后請整理好桌面雜物、將機(jī)器正常關(guān)閉后再離開。6、每天課后安排2名學(xué)生整理實(shí)訓(xùn)室，打掃衛(wèi)生、關(guān)閉電源、關(guān)好門窗。三、理論知識介紹1、工控系統(tǒng)及工控網(wǎng)絡(luò)概述工業(yè)控制系統(tǒng)(IndustrialControlSysten，簡稱ICS)是指由計算機(jī)與工業(yè)過程控制部件組成的自動控制系統(tǒng)，它由控制器、傳感器、傳送器、執(zhí)行器和輸入輸出接口等部分組成。這些組成部分通過工業(yè)通信線路，按照一定的通信協(xié)議進(jìn)行連接，形成一個具有自動控制能力的工業(yè)生產(chǎn)制造或加工系統(tǒng)。工控網(wǎng)絡(luò)簡單來說，就是工業(yè)控制系統(tǒng)中的網(wǎng)絡(luò)部分，是一種把工廠中各個生產(chǎn)流程和自動化控制系統(tǒng)，通過各種通信設(shè)備組織在一起的通信網(wǎng)絡(luò)。典型的工控網(wǎng)絡(luò)分層架構(gòu)一個典型的工業(yè)工控網(wǎng)絡(luò)通常包括：現(xiàn)場設(shè)備層現(xiàn)場控制層過程監(jiān)控器制造執(zhí)行系統(tǒng)（MES）層企業(yè)管理層外部網(wǎng)絡(luò)以制造執(zhí)行系統(tǒng)（MES）層為分界線，向上是通用IT領(lǐng)域，向下是工業(yè)控制系統(tǒng)領(lǐng)域。教育引導(dǎo)學(xué)生重視安全問題，掌握遇到安全問題時的應(yīng)對措施。理論部分以教師講授為主要形式學(xué)生可以提問，由教師進(jìn)行進(jìn)一步的解釋和說明。5分鐘20分鐘數(shù)據(jù)采集與監(jiān)控系統(tǒng)SCADASCADA系統(tǒng)是以計算機(jī)為基礎(chǔ)的生產(chǎn)過程控制與調(diào)度自動化的系統(tǒng)，用于控制分散的資產(chǎn)以便進(jìn)行與控制同樣重要的集中數(shù)據(jù)采集。SCADA系統(tǒng)集成了數(shù)據(jù)采集系統(tǒng)，數(shù)據(jù)傳輸系統(tǒng)和HMI軟件，以提供集中的監(jiān)視和控制，以便進(jìn)行過程的輸入和輸出。分布式控制系統(tǒng)（DCS）DCS系統(tǒng)是一個由過程控制級和過程監(jiān)控級組成的以通信網(wǎng)絡(luò)為紐帶的多級計算機(jī)系統(tǒng)，綜合了計算機(jī)、通信、顯示和控制等4C技術(shù)，其基本思想是分散控制、集中操作、分級管理、配置靈活以及組態(tài)方便?，F(xiàn)場總線控制系統(tǒng)（FCS）現(xiàn)場總線控制系統(tǒng)（FCS）是基于現(xiàn)場總線技術(shù)的計算機(jī)控制系統(tǒng)，它是集計算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)和控制技術(shù)為一體的先進(jìn)的計算機(jī)控制系統(tǒng)。是一種全分散、全數(shù)字、全開放的控制系統(tǒng)。FCS具有以下特點(diǎn)：（1）FCS采用的現(xiàn)場總線是一個全數(shù)字化的現(xiàn)場通信網(wǎng)絡(luò)。（2）FCS的現(xiàn)場總線網(wǎng)絡(luò)是開放式互連網(wǎng)絡(luò)。（3）FCS的所有現(xiàn)場設(shè)備直接通過一對傳輸線（現(xiàn)場總線）互連。（4）FCS普遍采用智能儀表，增強(qiáng)了系統(tǒng)的自治性。工業(yè)控制系統(tǒng)信息安全的特點(diǎn)高實(shí)時性要求高業(yè)務(wù)連續(xù)性要求工業(yè)專用協(xié)議生命周期長工控系統(tǒng)安全的分類工控系統(tǒng)的安全通?？煞譃楣δ馨踩?、物理安全和信息安全三類。功能安全是為了實(shí)現(xiàn)設(shè)備和工廠安全功能物理安全是減少由于電擊、著火、輻射、機(jī)械危險、化學(xué)危險等因素造成的危害信息安全是指通過計算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)手段，使計算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)庫等受到保護(hù)理論部分以教師講授為主要形式學(xué)生可以提問，由教師進(jìn)行進(jìn)一步的解釋和說明。15分鐘15分鐘我國工業(yè)控制行業(yè)存在的主要問題1.核心技術(shù)產(chǎn)品受制于人2.安全防護(hù)水平相對落后3.網(wǎng)絡(luò)攻擊風(fēng)險持續(xù)加劇4.安全管理機(jī)制尚待健全工業(yè)控制系統(tǒng)安全的重大意義工業(yè)自動化和信息化系統(tǒng)是工業(yè)的核心組成部分，是支撐國民經(jīng)濟(jì)的重要基礎(chǔ)設(shè)施，是工業(yè)各行業(yè)、企業(yè)的“神經(jīng)中樞”。工業(yè)控制系統(tǒng)安全的核心任務(wù)是確保這些“神經(jīng)中樞”的安全。工業(yè)控制系統(tǒng)安全與人民的生活息息相關(guān)，對國家的發(fā)展有非常重要的戰(zhàn)略意義。四、課程總結(jié)本次課程主要完成了以下內(nèi)容：工業(yè)控制系統(tǒng)的基本概念工業(yè)控制系統(tǒng)信息安全的特點(diǎn)我國工業(yè)控制行業(yè)存在的主要問題工業(yè)控制系統(tǒng)安全的重大意義五、布置作業(yè)1、復(fù)習(xí)所學(xué)內(nèi)容。2、完成中國大學(xué)慕課MOOC上自主學(xué)習(xí)的內(nèi)容和單元測試。理論部分以教師講授為主要形式學(xué)生可以提問，由教師進(jìn)行進(jìn)一步的解釋和說明。教師針對本次課內(nèi)容進(jìn)行總結(jié)與歸納陳述。10分鐘10分鐘第次課程教學(xué)方案備課時間備課教師教學(xué)時間年月日教學(xué)地點(diǎn)周次課時數(shù)2教學(xué)內(nèi)容（章、節(jié)）模塊/單元第2章工控安全防護(hù)體系教學(xué)目標(biāo)和要求了解工業(yè)控制系統(tǒng)信息安全保障體系了解工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)了解工業(yè)控制系統(tǒng)安全設(shè)備掌握常見的工控網(wǎng)絡(luò)邊界防護(hù)方案教學(xué)重點(diǎn)工業(yè)控制系統(tǒng)安全防護(hù)策略；工業(yè)控制系統(tǒng)安全防護(hù)理念；常用安全防護(hù)技術(shù)；網(wǎng)絡(luò)邊界安全防護(hù)；區(qū)域邊界安全防護(hù)；常見的工控網(wǎng)絡(luò)邊界防護(hù)方案。教學(xué)難點(diǎn)工控安全防護(hù)理念；工控網(wǎng)絡(luò)邊界防護(hù)方案的選擇。教學(xué)方法理論講解、課堂練習(xí)使用媒體資源R紙質(zhì)材料R多媒體課件R網(wǎng)絡(luò)資源□其他資源：使用教具、設(shè)備、設(shè)施等多媒體教學(xué)設(shè)備作業(yè)練習(xí)復(fù)習(xí)所學(xué)內(nèi)容，完成課后作業(yè)；完成中國大學(xué)慕課MOOC上自主學(xué)習(xí)的內(nèi)容和單元測試。課后記（空白不夠可添加附頁）

教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動第2章工控安全防護(hù)體系2.1工業(yè)控制系統(tǒng)信息安全保障體系構(gòu)建工業(yè)控制系統(tǒng)信息安全保障體系是一項(xiàng)復(fù)雜且長期的系統(tǒng)工程，需要根據(jù)工業(yè)企業(yè)自身的實(shí)際情況，從法律法規(guī)、制度、人員、資金、技術(shù)、軟硬件設(shè)備等多個維度進(jìn)行統(tǒng)籌規(guī)劃，依據(jù)工業(yè)控制系統(tǒng)安全防護(hù)策略和理念，將網(wǎng)絡(luò)安全的觀念貫穿到工業(yè)控制系統(tǒng)的整個生命周期，實(shí)現(xiàn)工業(yè)控制系統(tǒng)的功能安全與信息安全的全方位深度融合。2.1.1工業(yè)控制系統(tǒng)安全防護(hù)策略工業(yè)控制系統(tǒng)可依據(jù)“網(wǎng)絡(luò)專用、分層分域、橫向隔離、縱深防御”的策略進(jìn)行安全防護(hù)，搭建工業(yè)控制系統(tǒng)安全架構(gòu)。1.工業(yè)控制網(wǎng)絡(luò)與企業(yè)辦公網(wǎng)絡(luò)安全互聯(lián)必須嚴(yán)格落實(shí)工業(yè)控制網(wǎng)絡(luò)與企業(yè)辦公網(wǎng)絡(luò)及互聯(lián)網(wǎng)等其他網(wǎng)絡(luò)安全互聯(lián)的要求，用網(wǎng)絡(luò)安全防護(hù)設(shè)備將工控網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)進(jìn)行邏輯分隔，避免辦公網(wǎng)絡(luò)與工業(yè)控制網(wǎng)絡(luò)在同一網(wǎng)絡(luò)平面中，層次不清。在兩個網(wǎng)絡(luò)之間建立網(wǎng)絡(luò)壁壘，實(shí)現(xiàn)身份鑒別、安全隔離、加密認(rèn)證、訪問控制、惡意行為防范、入侵檢測、安全審計等安全功能。2.分層分域設(shè)計工業(yè)控制系統(tǒng)安全防護(hù)的重點(diǎn)是結(jié)構(gòu)安全性，IEC62443-3標(biāo)準(zhǔn)建議通過橫向分區(qū)、縱向分域，對工業(yè)控制系統(tǒng)的各個子系統(tǒng)進(jìn)行分段管理，即通過安全層次和安全區(qū)域的劃分以及邊界防護(hù)設(shè)備的部署來實(shí)現(xiàn)結(jié)構(gòu)安全性。通過分層分域設(shè)計，整個網(wǎng)絡(luò)系統(tǒng)的安全問題就轉(zhuǎn)化為各個安全區(qū)域的安全防護(hù)問題。由于各個安全區(qū)域的網(wǎng)絡(luò)結(jié)構(gòu)相對簡單，具有相同或相近的安全防護(hù)需求和策略，可以在安全區(qū)域內(nèi)部以及安全區(qū)域之間，采用有效的安全防護(hù)手段，更好地避免工控網(wǎng)絡(luò)安全風(fēng)險，提高安全設(shè)備的利用率。3.縱深防御架構(gòu)縱深防御架構(gòu)指的是采用兩種或以上重疊的安全機(jī)制對工業(yè)控制系統(tǒng)進(jìn)行保護(hù)，這樣任何一種安全機(jī)制出現(xiàn)故障，都不會導(dǎo)致工業(yè)控制系統(tǒng)完全失去保障?？v深防御架構(gòu)通常包括防火墻系統(tǒng)、DMZ區(qū)域和入侵檢測能力，同時配置有效的安全策略、培訓(xùn)程序和事件響應(yīng)機(jī)制。2.1.2工業(yè)控制系統(tǒng)安全防護(hù)理念教師講解：構(gòu)建工業(yè)控制系統(tǒng)信息安全保障體系。教師講解：重點(diǎn)講解工業(yè)控制系統(tǒng)安全防護(hù)策略。教師講解：重點(diǎn)講解分層分域設(shè)計的方法以及案例。教師提問：分層分域設(shè)計的關(guān)鍵點(diǎn)是什么？引導(dǎo)學(xué)生找出關(guān)鍵點(diǎn)教師講解：簡單介紹縱深防御架構(gòu)教師講解：簡單介紹安全防護(hù)理念，強(qiáng)調(diào)三位一體，缺一不可。教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動在構(gòu)建工業(yè)控制系統(tǒng)安全防護(hù)體系時要注意的原則：水桶原則。整體性原則。均衡性原則。等級性原則。一致性原則。易操作性原則。統(tǒng)籌規(guī)劃、分步實(shí)施原則。動態(tài)發(fā)展原則。2.2工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)安全防護(hù)技術(shù)是工業(yè)控制系統(tǒng)安全防護(hù)體系中最關(guān)鍵的部分，工控網(wǎng)絡(luò)安全防護(hù)的核心是建立以安全管理為中心，再配合符合工控網(wǎng)絡(luò)特性的安全技術(shù)，進(jìn)行有目的、有針對性的防護(hù)。2.2.1網(wǎng)絡(luò)隔離和訪問控制技術(shù)2.2.2身份驗(yàn)證技術(shù)身份驗(yàn)證是指通過一定的手段，完成對用戶或設(shè)備身份的確認(rèn)，根據(jù)用戶或設(shè)備的角色或職責(zé)，分配不同的訪問權(quán)限。身份驗(yàn)證是用戶進(jìn)行資源訪問的先決條件，也是工業(yè)控制系統(tǒng)訪問控制的基本要求。基于共享密鑰的身份驗(yàn)證基于生物學(xué)特征的身份驗(yàn)證基于智能卡/令牌的身份驗(yàn)證基于公開密鑰加密算法的身份驗(yàn)證基于位置的身份驗(yàn)證雙因子身份驗(yàn)證教師講解：簡單介紹8個原則教師介紹安全防護(hù)技術(shù)，幫助學(xué)生了解這些技術(shù)的功能及特點(diǎn)，引導(dǎo)學(xué)生分析這些技術(shù)的區(qū)別及應(yīng)用場景。教師介紹身份驗(yàn)證技術(shù)，比較不同的身份驗(yàn)證方法實(shí)現(xiàn)不同的安全性。教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動2.2.3數(shù)據(jù)加密與確認(rèn)技術(shù)數(shù)據(jù)加密技術(shù)實(shí)現(xiàn)保密性，是網(wǎng)絡(luò)安全技術(shù)的基石。數(shù)據(jù)確認(rèn)技術(shù)可以保護(hù)數(shù)據(jù)的準(zhǔn)確性和完整性。2.2.4日常管理相關(guān)技術(shù)1.日志審核技術(shù)2.惡意代碼防護(hù)技術(shù)3.入侵檢測與入侵防護(hù)技術(shù)4.漏洞掃描技術(shù)5.蜜罐技術(shù)6.態(tài)勢感知技術(shù)2.2.5物理安全防護(hù)技術(shù)物理安全防護(hù)是指采取一些物理措施來限制對工業(yè)控制系統(tǒng)資產(chǎn)的物理訪問。1.物理安全防護(hù)技術(shù)物理保護(hù)是指利用安全防范系統(tǒng)進(jìn)行保護(hù)，主要有訪問監(jiān)視系統(tǒng)和訪問限制系統(tǒng)兩類。其中，訪問監(jiān)視系統(tǒng)包括攝像頭、傳感器等識別系統(tǒng)；訪問限制系統(tǒng)包括圍欄、門禁、保安等。2.人員安全防護(hù)技術(shù)人員安全防護(hù)指的是減少人為造成的失誤、盜竊、欺騙、有意無意濫用信息資產(chǎn)的可能性和風(fēng)險，包括人員聘用制度、企業(yè)方針和實(shí)踐、任用條款、崗位職責(zé)等。教師講解：簡單介紹常見的加密算法與確認(rèn)技術(shù)，比較它們的異同。教師講解：簡單介紹日常管理相關(guān)技術(shù)，介紹它們的功能特點(diǎn)，比較它們的異同。教師講解：簡單介紹物理安全防護(hù)技術(shù)，介紹它們的功能特點(diǎn)，比較它們的異同。教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動2.3工業(yè)控制系統(tǒng)安全設(shè)備2.3.1網(wǎng)絡(luò)邊界安全防護(hù)在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)與企業(yè)辦公網(wǎng)絡(luò)交界的位置，應(yīng)通過具有隔離功能的網(wǎng)絡(luò)防護(hù)設(shè)備進(jìn)行嚴(yán)格的隔離防護(hù)，可以有以下三種方法：（1）完全隔離：這對于數(shù)據(jù)保護(hù)來說是最理想的狀況，即工業(yè)工控網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)完全獨(dú)立，兩套網(wǎng)絡(luò)之間沒有任何的訪問。（2）單向隔離：隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，實(shí)時信息共享的需求日漸增加，可使用單向隔離網(wǎng)閘或者防火墻對兩個網(wǎng)絡(luò)進(jìn)行單向隔離防護(hù)，數(shù)據(jù)流動方向由工控網(wǎng)絡(luò)流向辦公網(wǎng)絡(luò)。（3）雙向訪問：可在兩套系統(tǒng)之間設(shè)置雙向隔離網(wǎng)閘或者防火墻，除了提高業(yè)務(wù)運(yùn)行效率所必須的信息外，所有其他的流量都需要被屏蔽。2.3.2區(qū)域邊界安全防護(hù)1.防護(hù)設(shè)備在安全區(qū)域之間部署防火墻、路由器、入侵檢測系統(tǒng)（IDS）、入侵防護(hù)系統(tǒng)（IPS）、隔離網(wǎng)閘、安全監(jiān)測平臺、安全審計平臺等設(shè)備，實(shí)現(xiàn)網(wǎng)絡(luò)隔離和邊界安全防護(hù)。建議在工業(yè)控制網(wǎng)絡(luò)的每個安全區(qū)域邊界使用工業(yè)防火墻、安全檢測平臺和安全設(shè)計平臺，因?yàn)檫@些設(shè)備的功能各不相同，可以實(shí)現(xiàn)更好的安全區(qū)域邊界防護(hù)。2.防護(hù)要領(lǐng)（1）根據(jù)具體需求，將系統(tǒng)或設(shè)備劃歸到合適的安全區(qū)域，并嚴(yán)格定義區(qū)域中使用的協(xié)議、端口及服務(wù)。（2）嚴(yán)格保護(hù)有修改區(qū)域權(quán)限的用戶。（3）所有入站和出站流量必須強(qiáng)制通過一個或多個已知的可被監(jiān)視和控制的網(wǎng)絡(luò)連接，尤其注意控制無線網(wǎng)絡(luò)的使用。（4）每個連接都應(yīng)該部署一個或多個安全設(shè)備。（5）在區(qū)域邊界防護(hù)設(shè)備上配置合適的規(guī)則，以拒絕所有（DENYALL）的規(guī)則結(jié)束，確保所有允許規(guī)則都明確定義。（6）阻止所有格式不正確的工業(yè)網(wǎng)絡(luò)協(xié)議包，阻止所有區(qū)域中不允許的入站或出站流量，阻止所有在協(xié)議不被允許區(qū)域中檢測出的工業(yè)網(wǎng)絡(luò)協(xié)議包，對所有的登錄驗(yàn)證嘗試進(jìn)行記錄，對所有的工業(yè)網(wǎng)絡(luò)端口掃描進(jìn)行報警。2.3.3區(qū)域內(nèi)部安全防護(hù)1.防護(hù)設(shè)備區(qū)域內(nèi)部的安全主要是通過基于主機(jī)的安全來完成的，包括主機(jī)防火墻、主機(jī)IDS、終端殺毒系統(tǒng)、應(yīng)用程序白名單、外部控制工具等。2.防護(hù)要領(lǐng)（1）只允許需要的特定端口和服務(wù)，其他流量均拒絕。（2）阻止未定義的流量、惡意軟件或代碼等，檢測并記錄異常活動，若需要生成合規(guī)性報告，可以記錄正?；蚝戏ǖ幕顒印＃?）定期更新終端殺毒系統(tǒng)的病毒庫。（4）確保只有安全獲得審核的應(yīng)用才能加入應(yīng)用程序白名單。教師講解：介紹三種隔離防護(hù)方法，比較它們的異同。教師講解：重點(diǎn)介紹區(qū)域邊界安全防護(hù)的設(shè)備和防護(hù)要領(lǐng)，介紹它們的功能特點(diǎn)，比較它們的異同。教師講解：重點(diǎn)介紹區(qū)域內(nèi)部安全防護(hù)的設(shè)備和防護(hù)要領(lǐng)，介紹它們的功能特點(diǎn)，比較它們的異同。教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動2.4常見的工控網(wǎng)絡(luò)邊界防護(hù)方案辦公網(wǎng)絡(luò)與工控網(wǎng)絡(luò)間部署單防火墻辦公網(wǎng)絡(luò)和工控網(wǎng)絡(luò)之間部署防火墻與路由器辦公網(wǎng)絡(luò)和工控網(wǎng)絡(luò)之間部署帶DMZ的防火墻辦公網(wǎng)絡(luò)和工控網(wǎng)絡(luò)之間部署雙防火墻等課程總結(jié)：工業(yè)控制系統(tǒng)信息安全保障體系工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)工業(yè)控制系統(tǒng)安全設(shè)備常見的工控網(wǎng)絡(luò)邊界防護(hù)方案作業(yè)布置：1、復(fù)習(xí)所學(xué)內(nèi)容，完成課后作業(yè)。2、完成中國大學(xué)慕課MOOC上自主學(xué)習(xí)的內(nèi)容和單元測試教師講解：重點(diǎn)講解常見的工控網(wǎng)絡(luò)邊界防護(hù)方案，引導(dǎo)學(xué)生分析并比較它們的異同，了解它們的應(yīng)用場景。第3-4次課程教學(xué)方案備課時間備課教師教學(xué)時間教學(xué)地點(diǎn)周次3課時數(shù)6教學(xué)內(nèi)容（章、節(jié)）模塊/單元1、PLC相關(guān)原理2、開放的自動化技術(shù)3、PLC相關(guān)實(shí)訓(xùn)教學(xué)目標(biāo)和要求了解PLC的基本概念，掌握PLC系統(tǒng)的結(jié)構(gòu)及硬件組態(tài)掌握IEC61131-3編程語言的基本應(yīng)用了解PLCNext相關(guān)軟件與基本操作掌握PLC程序的開發(fā)與應(yīng)用的基本方法教學(xué)重點(diǎn)PLC硬件組態(tài)與基本設(shè)置、PLC程序開發(fā)與應(yīng)用教學(xué)難點(diǎn)PLC程序的開發(fā)教學(xué)方法頭腦風(fēng)暴、互動、講授、引導(dǎo)、演示、案例、小組活動等使用媒體資源√紙質(zhì)材料√多媒體課件√網(wǎng)絡(luò)資源□其他資源：使用教具、設(shè)備、設(shè)施等多媒體教學(xué)設(shè)備作業(yè)練習(xí)完成電子版實(shí)訓(xùn)報告課后記使用真實(shí)設(shè)備進(jìn)行設(shè)置，很多同學(xué)感覺很不適應(yīng)，后續(xù)就增加練習(xí)的機(jī)會

教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動時間一、安全教育〖發(fā)生火災(zāi)時的應(yīng)對措施〗1、發(fā)生火災(zāi)后第一時間報告老師，老師立即上報領(lǐng)導(dǎo)。2、火災(zāi)發(fā)生后，學(xué)生要保持冷靜不要慌張更不要擁擠，在火勢較大的情況下想辦法立即逃離現(xiàn)場。如需要應(yīng)迅速撥打119火警電話3、在火勢較大，煙大，樓道擁擠的情況下，滯留在樓內(nèi)的學(xué)生應(yīng)大聲呼救或用濕毛巾捂住嘴迅速逃生?！紝?shí)訓(xùn)室日常安全措施〗1、不要隨意更換鼠標(biāo)和鍵盤，機(jī)器使用有問題請及時向老師反映。2、嚴(yán)禁在實(shí)訓(xùn)室吃各種食物，請將水杯擰緊放好，注意不要將水潑灑在鍵盤上。3、未經(jīng)允許不得隨意使用實(shí)訓(xùn)室電源給手機(jī)充電或使用其他電子設(shè)備。4、發(fā)現(xiàn)有安全隱患的電子設(shè)備應(yīng)及時報告老師，不要擅自動手。5、下課后請整理好桌面雜物、將機(jī)器正常關(guān)閉后再離開。6、每天課后安排2名學(xué)生整理實(shí)訓(xùn)室，打掃衛(wèi)生、關(guān)閉電源、關(guān)好門窗。特別注意關(guān)閉靠窗的三組電閘。二、理論知識介紹1、PLC簡介可編程邏輯控制器（ProgrammableLogicalController）簡稱PLC，是一種以微處理器為基礎(chǔ)，綜合了現(xiàn)代計算機(jī)技術(shù)、自動控制技術(shù)和通信技術(shù)發(fā)展起來的一種通用的工業(yè)自動控制裝置。2.PLC功能特點(diǎn)1）可靠性高2）編程容易3）組態(tài)靈活4）輸入/輸出功能模塊齊全5）安裝方便6）運(yùn)行速度快3、PLC基本結(jié)構(gòu)1）電源2）中央處理單元（CPU）3）存儲器4）輸入單元5）輸出單元6）其他部分教育引導(dǎo)學(xué)生重視安全問題，掌握遇到安全問題時的應(yīng)對措施。理論部分以教師講授為主。學(xué)生可以提問，由教師進(jìn)行進(jìn)一步的解釋和說明。5分鐘25分鐘4、IEC61131-3編程語言簡介IEC61131是一個標(biāo)準(zhǔn)集，涵蓋了PLC的硬件、軟件、通信、安全等方方面面，并隨著時間的發(fā)展添加了一些新的子集，IEC61131-3是IEC61131標(biāo)準(zhǔn)的第三部分，該部分明確了PLC的編程語言、語法、程序結(jié)構(gòu)、數(shù)據(jù)類型、指令、函數(shù)等關(guān)于編程的方方面面，為PLC編程提出了明確的、可操作的指導(dǎo)。IEC61131-3提供了5種PLC的標(biāo)準(zhǔn)編程語言，其中有3種圖形語言：梯形圖（LD）功能塊圖（FBD）順序功能圖（SFC）；兩種文本語言：結(jié)構(gòu)化文本（ST）指令表（IL）三、實(shí)驗(yàn)環(huán)境及設(shè)備介紹1、\t"/article/202004/_blank"PLCnext技術(shù)簡介\t"/article/202004/_blank"PLCnext是PhoenixContact最新推出的自動化平臺，涵蓋新型PLC控制器產(chǎn)品、PROFICLOUD服務(wù)、\t"/article/202004/_blank"PLCnextStore等產(chǎn)品與服務(wù)，是IT迅猛發(fā)展時代背景下的新型自動化解決方案。\t"/article/202004/_blank"PLCnext總體架構(gòu)分為五大部分：硬件與操作系統(tǒng)、中間件、\t"/article/202004/_blank"PLCnext核心組件、內(nèi)部用戶組件、外部用戶組件。2、菲尼克斯PLCnextAXCF21523、PLCnextEngineer的基本操作我們所使用的軟件是PLCnextEngineer，它是由菲尼克斯公司所開發(fā)的，用于菲尼克斯電氣自動化控制器的工程軟件平臺，PLCnextEngineer符合IEC61131-3，并可利用插件擴(kuò)展其功能性。PLCnextEngineer界面劃分為四個區(qū)域：實(shí)例區(qū)（系統(tǒng)）：包括本項(xiàng)目所用到的所有元素。如果配置正確，此處存儲的所有內(nèi)容也會進(jìn)行調(diào)試。理論部分以教師講授為主。學(xué)生可以提問，由教師進(jìn)行進(jìn)一步的解釋和說明。30分鐘類型區(qū)（組件）：包括理論上可用于系統(tǒng)調(diào)試和編程的所有元素和組件，除了編程塊、程序和HMI對象，還包含PLC、總線耦合器和IO模塊等設(shè)備。編輯區(qū)：用于編輯實(shí)例和類型。選擇實(shí)例或類型后，可在編輯器區(qū)域中配置相應(yīng)的對象。消息窗口+附加功能：顯示編譯期間檢測到的警告和錯誤，并提供其他功能，如邏輯分析，斷點(diǎn)控制和監(jiān)視窗口。四、實(shí)驗(yàn)講解及演示1、設(shè)置PLC的IP地址打開軟件PLCnextEngineer，新建一個工程在右側(cè)搜索框中輸入2152，在彈出的下拉框中選擇“AXCF2152Rev.>=00/2019.0.0”點(diǎn)擊Project，再點(diǎn)擊Settings設(shè)置項(xiàng)目的IP地址范圍點(diǎn)擊axc-f-2152:AXCF2152，然后點(diǎn)擊Settings為PLC設(shè)置IP地址點(diǎn)擊Project，然后點(diǎn)擊OnlineDevices，將本地連接選成以太網(wǎng)（更改PC機(jī)IP的以太網(wǎng)）然后點(diǎn)擊以太網(wǎng)右邊的圖標(biāo)，最終將項(xiàng)目IP具體應(yīng)用在在線設(shè)備上2、開發(fā)PLC跑馬燈程序添加數(shù)字模塊：在搜索框中輸入DI16，選擇AXLFDI16/1DO16/12H，添加模塊，按住鼠標(biāo)左鍵拖動到左邊AxiolineF下添加模擬模塊：在搜索框中輸入AI2，選擇AXLFAI2AO21H，添加模塊，按住鼠標(biāo)左鍵拖動到左邊AxiolineF下定義全局變量：雙擊選擇PLC，點(diǎn)擊DataList，在全局變量Default中創(chuàng)建新的變量，DO16新建程序：在右側(cè)選擇Programming，右鍵選擇Programs，點(diǎn)擊AddProgram，建立一個新的程序項(xiàng)目點(diǎn)擊Code，添加程序段，分別添加程序教師邊講解邊演示實(shí)驗(yàn)操作。學(xué)生可以提問，由教師進(jìn)行進(jìn)一步的解釋和說明。30分鐘將程序下載到PLC：右鍵點(diǎn)擊axc-2152-1:AXCF2152，點(diǎn)擊WriteandStartProject，進(jìn)行程序的下載3、數(shù)字量——實(shí)現(xiàn)“與”門邏輯步驟1創(chuàng)建全局變量。雙擊左側(cè)的PLC，在DataList下的Default添加兩個變量：GlobalBool、GlobalBoolOut，步驟2應(yīng)用全局變量。變量創(chuàng)建完成后，在PLC的DataList標(biāo)簽下分別完成GlobalBool過程數(shù)據(jù)項(xiàng)（dio-1/IN）設(shè)置和GlobalBoolOut過程數(shù)據(jù)項(xiàng)（dio-1/OUT）設(shè)置。步驟3新建程序Main。步驟4新建局部變量。在Main標(biāo)簽下的Variables下的Default中添加一個變量LocalBool，步驟5在Main下的Code中的空白地方構(gòu)建程序框架步驟6添加任務(wù)并應(yīng)用程序雙擊左側(cè)的\t"/article/202004/_blank"PLCnext（2）步驟7將程序?qū)懭隤LC設(shè)備。4、模擬量——實(shí)現(xiàn)電壓轉(zhuǎn)換步驟1設(shè)置輸入通道值。步驟2新建并應(yīng)用全局變量。在PLC的DataList標(biāo)簽下添加一個全局變量GlobalWord，并將GlobalWord的類型（Type）改為WORD。步驟3新建功能塊。步驟4分別將“input”和“Output”定義為“input”和“Output”類型步驟5把input的類型改為WORD，Output改為REAL步驟6把功能塊Analog_1拖進(jìn)Main程序中步驟7重新將程序?qū)懭氲絇LC，并查看運(yùn)行時參數(shù)的變化情況教師邊講解邊演示實(shí)驗(yàn)操作。學(xué)生可以提問，由教師進(jìn)行進(jìn)一步的解釋和說明。60分鐘5、PLC復(fù)位操作（1）在\t"/article/202004/_blank"PLCnextEngineer內(nèi)對PLC程序執(zhí)行復(fù)位操作（2）通過PLC面板上的復(fù)位按鈕執(zhí)行復(fù)位操作這種復(fù)位會刪除以下數(shù)據(jù)：（1）所有程序：包括IEC61131-3程序和高級語言編寫的程序（2）總線配置（3）網(wǎng)絡(luò)配置（但不復(fù)位IP地址）執(zhí)行此種復(fù)位操作步驟如下：步驟1將PLC斷電，同時按住復(fù)位按鈕；步驟2將PLC重新上電，這個過程一直按住復(fù)位按鈕；步驟3等RUN燈和FAIL燈一起亮起來，再松開復(fù)位按鈕，表示復(fù)位成功。五、學(xué)生分組實(shí)驗(yàn)1、按照實(shí)驗(yàn)拓?fù)溥M(jìn)行硬件連接。2、按各自組號完成PLC和電腦IP地址的配置，測試二者之間的連通性，測試通過IE瀏覽器訪問到PLC。3、開發(fā)PLC程序，將程序下載到PLC中，觀察并記錄實(shí)驗(yàn)結(jié)果。4、完成PLC復(fù)位操作（1）熟悉PLCnextEngineer軟件的使用；（2）完成PLC的IP地址設(shè)置；（3）通過的編程實(shí)現(xiàn)對PLC的控制效果。（4）完成PLC的復(fù)位操作七、布置作業(yè)1、復(fù)習(xí)所學(xué)內(nèi)容，完成電子版實(shí)訓(xùn)報告2、完成中國大學(xué)慕課MOOC上自主學(xué)習(xí)的內(nèi)容和單元測試。教師邊講解邊演示實(shí)驗(yàn)操作。學(xué)生可以提問，由教師進(jìn)行進(jìn)一步的解釋和說明。學(xué)生進(jìn)行自主練習(xí)教師針對本次課內(nèi)容進(jìn)行總結(jié)與歸納陳述。10分鐘90分鐘10分鐘10分鐘第次課程教學(xué)方案備課時間備課教師教學(xué)時間教學(xué)地點(diǎn)周次課時數(shù)4教學(xué)內(nèi)容（章、節(jié)）模塊/單元第4章工業(yè)總線與以太網(wǎng)基礎(chǔ)4.1現(xiàn)場總線4.2.工業(yè)以太網(wǎng)4.3以太網(wǎng)基礎(chǔ)教學(xué)目標(biāo)和要求理解現(xiàn)場總線基本概念了解現(xiàn)場總線產(chǎn)生與發(fā)展了解主流總線理解工業(yè)以太網(wǎng)基本概念了解工業(yè)以太網(wǎng)主要標(biāo)準(zhǔn)掌握OSI開放系統(tǒng)互連模型教學(xué)重點(diǎn)理解現(xiàn)場總線基本概念工業(yè)以太網(wǎng)基本概念OSI開放系統(tǒng)互連模型教學(xué)難點(diǎn)OSI開放系統(tǒng)互連模型教學(xué)方法頭腦風(fēng)暴、互動、講授、演示、案例、小組活動等使用媒體資源eq\o\ac(□,√)紙質(zhì)材料eq\o\ac(□,√)多媒體課件eq\o\ac(□,√)網(wǎng)絡(luò)資源□其他資源：使用教具、設(shè)備、設(shè)施等多媒體教學(xué)設(shè)備作業(yè)練習(xí)課后記（空白不夠可添加附頁）PAGE5PAGE教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動4.1現(xiàn)場總線4.1.1現(xiàn)場總線產(chǎn)生與發(fā)展20世紀(jì)50年代之前，第一代氣動信號控制系統(tǒng)（PCS）20世紀(jì)50年代，第二代電動模擬信號控制系統(tǒng)20世紀(jì)70年代，第三代數(shù)字計算機(jī)集中式控制系統(tǒng)20世紀(jì)70年代中期以來，第四代集散式分布控制系統(tǒng)（DCS）第五代現(xiàn)場總線控制系統(tǒng)（FCS），作為新一代控制系統(tǒng)4.1.2主流總線介紹1.PROFIBUS總線德國國家標(biāo)準(zhǔn)，是由Siemens公司為主的十幾家德國公司、研究所共同推出。2.CAN總線控制器局域網(wǎng)簡稱CAN總線最早由德國BOSCH公司提出，用于汽車內(nèi)部測量與執(zhí)行部件之間的數(shù)據(jù)通信。3.DeviceNet1994年美國美國羅克韋爾自動化公司推出了DeviceNet網(wǎng)絡(luò)，實(shí)現(xiàn)了低成本、高性能的工業(yè)設(shè)備的網(wǎng)絡(luò)互連4.ControlNet1997年美國羅克韋爾自動化（RockwellAutomation)公推出的ControlNet是一種新的面向控制層的實(shí)時性現(xiàn)場總線網(wǎng)絡(luò)5.CC-Link1996年11月，三菱電機(jī)為主導(dǎo)的多家公司以“多廠家設(shè)備環(huán)境、高性能、省配線”的理念開發(fā)和公布了控制與通信鏈路系統(tǒng)（Control&CommunicationLink）現(xiàn)場總線，簡稱CC-Link。4.2工業(yè)以太網(wǎng)4.2.1工業(yè)以太網(wǎng)基本概念工業(yè)以太網(wǎng)是按照工業(yè)控制的要求，發(fā)展適當(dāng)?shù)膽?yīng)用層和用戶層協(xié)議，使以太網(wǎng)和TCP/IP技術(shù)真正能應(yīng)用到控制層，延伸至現(xiàn)場層，而在信息層又盡可能采用IT行業(yè)一切有效而又最新的成果。因此，工業(yè)以太網(wǎng)與以太網(wǎng)在工業(yè)中的應(yīng)用全然不是同一個概念4.2.2工業(yè)以太網(wǎng)主要標(biāo)準(zhǔn)1.IDA分布式自動化接口IDA（theInterfaceforDistributedAutomation）是一種完全建立在以太網(wǎng)基礎(chǔ)上的工業(yè)以太網(wǎng)規(guī)范，它將基于Web的實(shí)時分布式自動化環(huán)境與集中的安全體系結(jié)構(gòu)相結(jié)合，目標(biāo)是創(chuàng)立一個基于TCP/IP的分散自動化的解決方案，涵蓋了自動化結(jié)構(gòu)中的所有層次，包括設(shè)備層。2.Ethernet/IPEthernet/IP技術(shù)采用標(biāo)準(zhǔn)的以太網(wǎng)芯片，并采用有源星形拓?fù)浣Y(jié)構(gòu)，將一組工業(yè)設(shè)備點(diǎn)對點(diǎn)地連接到交換機(jī)，應(yīng)用層則采用工業(yè)界廣泛應(yīng)用的開放協(xié)議——控制和信息協(xié)議（CIP)。3.PROFINETPROFINET是由PROFIBUS國際組織提出的基于實(shí)時以太網(wǎng)技術(shù)的自動化總線標(biāo)準(zhǔn)，它將企業(yè)信息管理層IT技術(shù)和工廠自動化相結(jié)合，同時又完全保留了PROFINET現(xiàn)有的開放性。4.HSE1998年現(xiàn)場總線基金會開始起草HSE，2003年3月完成了HSE的第一版標(biāo)準(zhǔn)。HSE主要利用現(xiàn)有商用的以太網(wǎng)技術(shù)和TCP/IP協(xié)議族，通過錯時調(diào)度以太網(wǎng)數(shù)據(jù)，達(dá)到工現(xiàn)場監(jiān)控任務(wù)的要求。4.3以太網(wǎng)基礎(chǔ)1.OSI開放系統(tǒng)互連模型為了構(gòu)建一個標(biāo)準(zhǔn)化的數(shù)據(jù)通信和網(wǎng)絡(luò)世界，1979年國際標(biāo)準(zhǔn)化組織ISO開發(fā)了一個開放系統(tǒng)互連參考模型（OSI）。OSI模型的目標(biāo)是可以使兩個系統(tǒng)（如兩臺計算機(jī)）之間進(jìn)行相互通信。2.局域網(wǎng)局域網(wǎng)（LAN）是指計算機(jī)、工作站和外圍設(shè)備之間在非常有限的地理位置區(qū)域內(nèi)進(jìn)行的通信。3.以太網(wǎng)以太網(wǎng)是局域網(wǎng)的基礎(chǔ)，目前局域網(wǎng)協(xié)議還未達(dá)成標(biāo)準(zhǔn)化，盡管以太網(wǎng)存在一些缺點(diǎn)，但它比其他所有技術(shù)都要成熟。以太網(wǎng)只是OSI模型中第1層和第2層的一種特殊形式。它不是一個完整的網(wǎng)絡(luò)協(xié)議，而是一個子網(wǎng)，其他協(xié)議（如TCP/IP套件）可以在該子網(wǎng)上工作。以太網(wǎng)最重要的功能是： 填寫物理層：通過介質(zhì)發(fā)送和接收串行位流；檢測碰撞。 填寫數(shù)據(jù)鏈路層：MAC介質(zhì)訪問控制子層：提供網(wǎng)絡(luò)訪問機(jī)制CSMA/CD；建立數(shù)據(jù)幀。LLC邏輯鏈路控制子層：確保數(shù)據(jù)可靠性；為更高級別的應(yīng)用程序提供數(shù)據(jù)通道。教師講解，學(xué)生完成筆記要求學(xué)生背默

第次課程教學(xué)方案備課時間備課教師教學(xué)時間教學(xué)地點(diǎn)周次課時數(shù)4教學(xué)內(nèi)容（章、節(jié)）模塊/單元第4章工業(yè)總線與以太網(wǎng)基礎(chǔ)4.3.1物理層4.3.2數(shù)據(jù)鏈路層4.3.3相關(guān)設(shè)備4.3.4虛擬局域網(wǎng)VLAN4.3.5網(wǎng)絡(luò)冗余教學(xué)目標(biāo)和要求理解物理層基于同軸電纜的以太網(wǎng)、基于雙絞線的以太網(wǎng)、基于光纖的以太網(wǎng)和無線局域網(wǎng)掌握數(shù)據(jù)鏈路層以太網(wǎng)數(shù)據(jù)幀格式掌握MAC地址結(jié)構(gòu)理解CSMA/CD和CSMA/CA掌握集線器、交換機(jī)的基本原理掌握虛擬局域網(wǎng)VLAN概念、類型和幀格式掌握網(wǎng)絡(luò)冗余技術(shù)：生成樹協(xié)議了解介質(zhì)冗余協(xié)議和并行冗余協(xié)議教學(xué)重點(diǎn)數(shù)據(jù)鏈路層以太網(wǎng)數(shù)據(jù)幀格式MAC地址結(jié)構(gòu)虛擬局域網(wǎng)VLAN概念、類型和幀格式網(wǎng)絡(luò)冗余技術(shù)：生成樹協(xié)議教學(xué)難點(diǎn)虛擬局域網(wǎng)VLAN概念、類型和幀格式網(wǎng)絡(luò)冗余技術(shù)：生成樹協(xié)議教學(xué)方法頭腦風(fēng)暴、互動、講授、演示、案例、小組活動等使用媒體資源eq\o\ac(□,√)紙質(zhì)材料eq\o\ac(□,√)多媒體課件eq\o\ac(□,√)網(wǎng)絡(luò)資源□其他資源：使用教具、設(shè)備、設(shè)施等多媒體教學(xué)設(shè)備作業(yè)練習(xí)課后記（空白不夠可添加附頁）PAGE5PAGE教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動復(fù)習(xí)OSI開放系統(tǒng)互連模型4.3.1物理層1.基于同軸電纜的以太網(wǎng)2.基于雙絞線的以太網(wǎng)1）快速以太網(wǎng)2）千兆以太網(wǎng)3.基于光纖的以太網(wǎng)4.無線局域網(wǎng)4.3.2數(shù)據(jù)鏈路層1.以太網(wǎng)數(shù)據(jù)幀2.MAC地址3.CSMA/CD以太網(wǎng)在數(shù)據(jù)鏈路層MAC子層使用IEEE802.3載波監(jiān)聽多路訪問/沖突檢測CSMA/CD協(xié)議。4.CSMA/CA有線以太網(wǎng)的CSMA/CD技術(shù)不能應(yīng)用于無線以太網(wǎng)。無線以太網(wǎng)采用的半雙工無線電，在發(fā)送數(shù)據(jù)時，無法檢查是否發(fā)生碰撞。為了解決這一問題，我們采用了另一種技術(shù)，即CSMA/CA，它不檢測碰撞，而是避免碰撞，CA代表碰撞避免。4.3.3相關(guān)設(shè)備1.集線器（Hub）2.交換機(jī)（Switch）4.3.4虛擬局域網(wǎng)VLAN1.VLAN類型VLAN可以分為兩種類型：靜態(tài)VLAN和動態(tài)VLAN。2.IEEE802.1Q標(biāo)記幀4.3.5網(wǎng)絡(luò)冗余1.生成樹協(xié)議（SpanningTreeProtocol）與快速生成樹協(xié)議（RapidSpanningTreeProtocol）生成樹協(xié)議（STP）是IEEE802.1d中描述的開放協(xié)議。它是一個OSI第2層協(xié)議，保證了無閉環(huán)局域網(wǎng)。它基于RadiaPerlman開發(fā)的算法。生成樹協(xié)議使網(wǎng)絡(luò)允許冗余鏈路，如果鏈路出于任何原因損壞，則會自動恢復(fù)并提供非閉環(huán)的備份路徑。2.介質(zhì)冗余協(xié)議（MediaRedundancyProtocol）MRP是Profinet標(biāo)準(zhǔn)的一部分。在MRP的情況下，環(huán)狀網(wǎng)絡(luò)通過阻塞環(huán)中的一個端口以獲得一個線狀結(jié)構(gòu)。在發(fā)生網(wǎng)絡(luò)錯誤的情況下，網(wǎng)絡(luò)分成兩條獨(dú)立的線路，當(dāng)被阻塞的端口被釋放時，這些線路再次連接在一起?；謴?fù)時間在100毫秒范圍內(nèi)。3.并行冗余協(xié)議（ParallelRedundancyProtocol）和高可靠性無縫冗余（High-availabilitySeamlessRedundancy）與上述技術(shù)相比，如果出現(xiàn)網(wǎng)絡(luò)錯誤，PRP不會計劃更改活動拓?fù)洹Ｔ搮f(xié)議在兩個并行的網(wǎng)絡(luò)上運(yùn)行。每個數(shù)據(jù)幀都通過兩個網(wǎng)絡(luò)發(fā)送。接收節(jié)點(diǎn)處理首先到達(dá)的消息并拒絕后到達(dá)的復(fù)制消息。PRP使雙網(wǎng)絡(luò)，對高層協(xié)議是不可見的。提問學(xué)生教師講解，學(xué)生完成筆記詳細(xì)講解TAGINFO

第次課程教學(xué)方案備課時間備課教師教學(xué)時間教學(xué)地點(diǎn)周次課時數(shù)4教學(xué)內(nèi)容（章、節(jié)）模塊/單元第4章工業(yè)總線與以太網(wǎng)基礎(chǔ)4.4TCP/IP協(xié)議4.4.1網(wǎng)絡(luò)控制協(xié)議4.4.2TCP協(xié)議4.4.3UDP協(xié)議4.4.4相關(guān)設(shè)備-路由器教學(xué)目標(biāo)和要求熟練掌握IP地址格式，IP地址的類別掌握私有網(wǎng)絡(luò)的IP地址的劃分了解特殊的IP地址掌握子網(wǎng)掩碼及子網(wǎng)化的方法理解IP包格式理解TCP端到端傳輸服務(wù)理解TCP報文格式了解UDP協(xié)議理解路由器工作原理教學(xué)重點(diǎn)IP地址格式，IP地址的類別私有網(wǎng)絡(luò)的IP地址的劃分子網(wǎng)掩碼及子網(wǎng)化的方法教學(xué)難點(diǎn)子網(wǎng)掩碼及子網(wǎng)化的方法教學(xué)方法頭腦風(fēng)暴、互動、講授、演示、案例、小組活動等使用媒體資源eq\o\ac(□,√)紙質(zhì)材料eq\o\ac(□,√)多媒體課件eq\o\ac(□,√)網(wǎng)絡(luò)資源□其他資源：使用教具、設(shè)備、設(shè)施等多媒體教學(xué)設(shè)備作業(yè)練習(xí)課后記（空白不夠可添加附頁）PAGE5PAGE教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動4.4TCP/IP協(xié)議傳輸控制協(xié)議/網(wǎng)絡(luò)控制協(xié)議（TCP/IP）是一組工業(yè)標(biāo)準(zhǔn)協(xié)議，設(shè)計用于在由不同網(wǎng)段組成的大型網(wǎng)絡(luò)上進(jìn)行通信，這些網(wǎng)段由路由器連接。4.4.1網(wǎng)絡(luò)控制協(xié)議網(wǎng)絡(luò)控制協(xié)議（TheInternetProtocol，簡稱IP協(xié)議），用于OSI模型的第3層網(wǎng)絡(luò)層，這一層負(fù)責(zé)在不同的網(wǎng)絡(luò)上表述和傳輸信息。1.IP地址IP地址由32位4字節(jié)組成，用4個小數(shù)點(diǎn)分隔。每個網(wǎng)絡(luò)都有一個名稱（網(wǎng)絡(luò)ID），每個網(wǎng)絡(luò)設(shè)備都有一個唯一的網(wǎng)絡(luò)號碼（主機(jī)ID）。網(wǎng)絡(luò)ID和主機(jī)ID一起構(gòu)成IP地址，網(wǎng)絡(luò)ID是主機(jī)ID等于零的IP地址。如圖4-22所示，1）IP地址的類別2）私有網(wǎng)絡(luò)的IP地址A類網(wǎng)絡(luò) →55B類網(wǎng)絡(luò) →55C類網(wǎng)絡(luò) →553）特殊的IP地址網(wǎng)絡(luò)ID 主機(jī)ID 簡介全為零 全為0 整個網(wǎng)絡(luò)網(wǎng)絡(luò)ID 全為0 網(wǎng)絡(luò)地址，標(biāo)識一個完整的網(wǎng)絡(luò)網(wǎng)絡(luò)ID 全為1 網(wǎng)絡(luò)上的廣播地址127 隨機(jī) 測試網(wǎng)絡(luò)應(yīng)用程序的IP地址2.子網(wǎng)掩碼網(wǎng)絡(luò)地址通過幾個位進(jìn)行擴(kuò)展，以便在一個類中創(chuàng)建多個子網(wǎng)。3.子網(wǎng)化子網(wǎng)是從給定的IP地址生成多個子網(wǎng)。示例：一家公司使用IP地址（B類）。子網(wǎng)掩碼為或11111111111111110000000000000000。字節(jié)3字節(jié)3子網(wǎng)地址子網(wǎng)掩碼0000000000001000016001000003200110000480100000064010100008001100000960111000011210000000128100100001444IP包格式4.4.2TCP協(xié)議1.端到端傳輸服務(wù)TCP協(xié)議負(fù)責(zé)在一個或多個網(wǎng)絡(luò)上正確發(fā)送信息，工作在傳輸層。TCP的交換形式稱為面向連接：建立邏輯連接，使用，然后再次停止。因此，TCP是一種端到端協(xié)議。2.如何實(shí)現(xiàn)可靠傳輸TCP使用數(shù)據(jù)報重發(fā)、窗口機(jī)制、三次握手等的技術(shù)，保證完全的可靠性傳輸數(shù)據(jù)。3.TCP報文格式4.4.3UDP協(xié)議4.4.4相關(guān)設(shè)備-路由器1.消息路由2.路由器的類型3.三層交換機(jī)提問學(xué)生教師講解，學(xué)生完成筆記要求學(xué)生學(xué)會劃分子網(wǎng)

第次課程教學(xué)方案備課時間備課教師教學(xué)時間教學(xué)地點(diǎn)周次課時數(shù)4教學(xué)內(nèi)容（章、節(jié)）模塊/單元4.5菲尼克斯工業(yè)交換機(jī)4.6本章實(shí)訓(xùn)4.6.1交換機(jī)復(fù)位4.6.2通過BootP協(xié)議分配IP地址4.6.3通過PROFINET協(xié)議配IP地址教學(xué)目標(biāo)和要求了解菲尼克斯工業(yè)交換機(jī)掌握交換機(jī)的復(fù)位方法掌握通過Bootp協(xié)議分配IP地址掌握通過profinet分配IP地址教學(xué)重點(diǎn)工業(yè)交換機(jī)地址分配方法教學(xué)難點(diǎn)Bootp協(xié)議分配IP地址通過profinet分配IP地址教學(xué)方法頭腦風(fēng)暴、互動、講授、演示、案例、小組活動等使用媒體資源eq\o\ac(□,√)紙質(zhì)材料eq\o\ac(□,√)多媒體課件eq\o\ac(□,√)網(wǎng)絡(luò)資源□其他資源：使用教具、設(shè)備、設(shè)施等多媒體教學(xué)設(shè)備作業(yè)練習(xí)課后記（空白不夠可添加附頁）PAGE5PAGE教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動1、 實(shí)驗(yàn)室設(shè)備介紹實(shí)驗(yàn)室拓?fù)鋵?shí)驗(yàn)室IP分配4.5菲尼克斯工業(yè)交換機(jī)FLSWITCHSMCS8GT為基于WEB的智能工業(yè)交換機(jī)，在其正面有按鈕和指示燈如圖4-30所示4.6本章實(shí)訓(xùn)1.實(shí)訓(xùn)目的（1）掌握交換機(jī)的復(fù)位方法；（2）掌握通過BootP協(xié)議分配IP地址；（3）掌握通過Profinet協(xié)議分配IP地址；（4）掌握VLAN技術(shù)在菲尼克斯工業(yè)交換機(jī)上的應(yīng)用；（5）掌握RSTP技術(shù)在菲尼克斯工業(yè)交換機(jī)上的應(yīng)用2.實(shí)訓(xùn)準(zhǔn)備（1）復(fù)習(xí)本章內(nèi)容；（2）熟悉SMCS的網(wǎng)絡(luò)連接；（3）了解BootP和Profinet協(xié)議基本原理；（4）熟悉VLAN虛擬專用網(wǎng)基本原理；（5）熟悉RSTP（快速）生成樹基本原理。3.實(shí)訓(xùn)設(shè)備本章實(shí)訓(xùn)所需要的設(shè)備一共有：2臺安裝有IPAssign和netNames+1.5軟件的電腦、1臺筆記本電腦、2臺菲尼克斯FLSWITCHSMCS8TX交換機(jī)及網(wǎng)線若干。4.6.1交換機(jī)復(fù)位在某些情況下，工廠需要將工業(yè)交換機(jī)進(jìn)行復(fù)位處理，還原原廠配置。具體實(shí)訓(xùn)步驟如下：步驟1為交換機(jī)上電如圖，通電后交換機(jī)指示燈會全部亮起。步驟2等待一會，指示燈全部熄滅后，長按Mode按鈕5秒鐘以上，直到HCT\SPD\FD三個燈同時閃爍，表示激活Smart模式。步驟3單擊Mode按鈕可以切換模式，根據(jù)我們前面的提到的智能模式下的MODE操作表，將指示燈切換到SPD單獨(dú)亮起為原廠復(fù)位模式，如圖4-31所示。步驟4當(dāng)SPD的模式設(shè)置成功后，按住Mode直到交換機(jī)重啟,此后指示燈燈全亮，待其恢復(fù)后交換機(jī)內(nèi)IP地址消失。步驟5交換機(jī)重啟后，觀察ACT燈閃爍，說明復(fù)位成功。4.6.2通過BootP協(xié)議分配IP地址當(dāng)我們完成交換機(jī)復(fù)位后，交換機(jī)內(nèi)管理地址消失，無法通過WEB界面訪問交換機(jī)，需要我們重新分配管理地址給交換機(jī)，利用IPAssign軟件通過BootP協(xié)議可以給交換機(jī)分配管理地址，下面我們?yōu)榻粨Q機(jī)配置管理IP地址為。具體實(shí)訓(xùn)步驟如下：步驟1將1臺電腦與交換機(jī)的其中一個網(wǎng)口連接，電腦IP地址設(shè)為00，雙擊IPAssign圖標(biāo)，打開IPAssign軟件。步驟2IPAssign軟件將會收到交換機(jī)的BootP請求和所有在線交換機(jī)的MAC地址，如果沒有看到MAC地址，請關(guān)閉交換機(jī)的等待20秒后再給交換機(jī)重新上電，直到看到交換機(jī)MAC地址，如圖4-32所示。步驟3選擇要分配IP地址的交換機(jī)MAC地址,點(diǎn)擊下一步，在IP地址欄輸入要分配給交換機(jī)的管理IP，子網(wǎng)掩碼，點(diǎn)擊下一步，如圖4-33。步驟4IPAssign軟件嘗試分配IP地址給交換機(jī)，若一分鐘還沒有進(jìn)入下一頁面，嘗試重啟交換機(jī)，直到自動進(jìn)入IP地址分配成功界面。步驟5點(diǎn)擊完成，IP分配完成。步驟6打開IE瀏覽器，輸入，進(jìn)入交換機(jī)配置界面如圖4-34所示，說明IP分配成功。4.6.3通過PROFINET協(xié)議配IP地址前面我們提到過交換機(jī)可以通過BootP和Profinet兩種不同的方式獲取IP地址，本實(shí)驗(yàn)我們通過Netnames+軟件利用Profinet協(xié)議為交換機(jī)分配管理IP地址：6。具體實(shí)訓(xùn)步驟如下：步驟1打開試驗(yàn)箱左下角的總開關(guān)上電（交換機(jī)燈全亮），等待ACT、SPD和FD燈全滅之后的瞬間，長按MODE鍵，待三個燈一齊閃爍后，迅速放手并一秒一次的按MOOE鍵，直到SPD燈亮和PD燈亮ACT燈滅，再次長按MOOE鍵，等三個燈全亮后放手，之后設(shè)備會自動重啟，進(jìn)入Profinet模式步驟2將一臺裝NetNames+軟件連接在交換機(jī)上，在電腦中開始菜單中打開應(yīng)用NetNames+。步驟3在界面的右上方的Networkadapter選擇“以太網(wǎng)”如圖35所示。步驟4點(diǎn)擊右下方的Refresh按鈕，等待綠色滾動條完成，出現(xiàn)掃描到的交換機(jī)的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)、MAC地址等信息，如圖4-36所示。步驟5在IPAddress中填入6，在子網(wǎng)掩碼中填入，此時條目最前面出現(xiàn)筆的形狀，如圖4-37所示，表示該條目已被編輯未保存。步驟6單擊send按鈕，條目前面筆狀變?yōu)閷矗硎綢P分配完成。步驟7打開IE瀏覽器，輸入6，進(jìn)入交換機(jī)配置界面實(shí)驗(yàn)完成。教師打開試驗(yàn)箱。介紹實(shí)驗(yàn)箱內(nèi)設(shè)備名稱功能。要求學(xué)生讀拓?fù)鋱D，根據(jù)拓?fù)鋱D確定設(shè)備連接情況講解IP分配情況，核對學(xué)生機(jī)IP地址教師演示學(xué)生操作教師演示學(xué)生操作教師演示學(xué)生操作

第次課程教學(xué)方案備課時間備課教師教學(xué)時間教學(xué)地點(diǎn)周次課時數(shù)4教學(xué)內(nèi)容（章、節(jié)）模塊/單元4.6.4配置VLAN4.6.5配置快速生成樹教學(xué)目標(biāo)和要求理解VLAN的基本概念 通過實(shí)驗(yàn)掌握VLAN技術(shù)在菲尼克斯工業(yè)交換機(jī)上的應(yīng)用通過實(shí)驗(yàn)理解生成樹算法通過實(shí)驗(yàn)掌握(R)STP技術(shù)在菲尼克斯工業(yè)交換機(jī)上的應(yīng)用教學(xué)重點(diǎn)vlan基本原理vlan實(shí)驗(yàn)設(shè)計.網(wǎng)絡(luò)冗余.生成樹算法交換機(jī)配置教學(xué)難點(diǎn)vlan實(shí)驗(yàn)設(shè)計實(shí)現(xiàn)(R)STP技術(shù)在菲尼克斯工業(yè)交換機(jī)上的應(yīng)用教學(xué)方法頭腦風(fēng)暴、互動、講授、演示、案例、小組活動等使用媒體資源eq\o\ac(□,√)紙質(zhì)材料eq\o\ac(□,√)多媒體課件eq\o\ac(□,√)網(wǎng)絡(luò)資源□其他資源：使用教具、設(shè)備、設(shè)施等多媒體教學(xué)設(shè)備作業(yè)練習(xí)課后記（空白不夠可添加附頁）PAGE12PAGE教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動4.6.4配置VLAN本實(shí)驗(yàn)設(shè)計是模擬實(shí)際工廠環(huán)境：在交換機(jī)上連接一臺計算機(jī)和兩臺PLC，由于設(shè)備有限，我們用2臺電腦代替PLC，稱為PC2和PC3。我們希望電腦PC1可以和PC2、PC3雙向通信；而PLC1和PLC2不可以通信。如圖4-38中所示三臺設(shè)備都在/24同一網(wǎng)段中，如果不進(jìn)行VLAN配置則三臺設(shè)備都處于同一廣播域中可以相互通信。根據(jù)實(shí)驗(yàn)要求我們設(shè)計工業(yè)交換機(jī)邏輯拓?fù)湟晥D如圖4-39所示，我們將三臺電腦PC1、PC2、PC3連接在工業(yè)交換機(jī)的Port3、Port2和Port6端口，Port5端口作為管理端口，交換機(jī)管理地址為。具體實(shí)訓(xùn)步驟如下：步驟1筆記本電腦IP設(shè)置為00，port2連接的電腦IP地址為10，port6連接的電腦IP地址為20。步驟2筆記本連接交換機(jī)port5端口，在瀏覽器中輸入訪問管理地址進(jìn)入交換機(jī)配置界面。步驟3單擊SwitchStation->VLAN->General，選擇Tagging步驟4單擊SwitchStation->VLAN->StaticVLANs，根據(jù)表4-8配置VLAN20中端口圖4-41所示，然后完成VLAN30、VLAN40中的端口配置，并單擊Apply，密碼為：private，下面密碼都是這個。步驟5單擊SwitchStation->VLAN->VLANPortCfgTable根據(jù)表4-7配置端口默認(rèn)VID如圖4-42所示，輸入密碼并單擊Apply。步驟6單擊保存按鈕步驟7單擊GeneralConfiguration->ConfigManagement，在配置管理中，保存當(dāng)前配置，密碼為：private，單擊Save步驟8單擊SwitchStation->Services,單擊Reboot按鈕如圖4-45所示，重啟交換機(jī)步驟9將筆記本PC1從port5端口切換到port3端口進(jìn)行測試，Port3端口和Port2能夠ping通，Port3端口和Port6能夠ping通圖4-46測試Port3到Port2、Port6的連通性Port2端口和Port3能夠ping通，和Port6不能夠ping通圖4-47測試Port2到Port3、Port6的連通性Port6端口和Port3能夠ping通，和Port2不能夠ping通4.6.5配置快速生成樹在實(shí)驗(yàn)設(shè)計中兩臺交換機(jī)的Port1和Port7端口分別連接，形成環(huán)形網(wǎng)絡(luò)，并將交換機(jī)1的優(yōu)先級設(shè)置為較高的一臺，應(yīng)用生成樹算法，我們可以推斷出當(dāng)協(xié)議生效時交換機(jī)2的Port7端口將會阻塞步驟1將兩臺交換機(jī)連接好，首先將交換機(jī)1的Port1和交換機(jī)2的Port1連接，如圖4-49所示，此時，可以觀察兩臺交換機(jī)上port1端口信號燈亮起。步驟2將PC接入交換機(jī)1的port5端口中，將PC的IP地址修改到交換機(jī)所在網(wǎng)段，配置為00步驟3在PC上IE瀏覽器中輸入進(jìn)入交換機(jī)1的配置界面,進(jìn)入SwitchStation，單擊(Rapid)SpanningTree，單擊(R)STPConfig，將(Rapid)SpanningTreeStatus設(shè)置為Enable如圖4-50所示，當(dāng)系統(tǒng)中交換機(jī)數(shù)量超過15臺時，可以將LargeTreeSupport功能設(shè)置為Enable，將FastRingDetection設(shè)置為Enable,整個交換機(jī)系統(tǒng)中，將交換機(jī)1設(shè)置為跟網(wǎng)橋，將網(wǎng)橋優(yōu)先級設(shè)置為4096，其余交換機(jī)均設(shè)置為32768，輸入密碼private，點(diǎn)擊Apply。步驟4保存設(shè)置重啟交換機(jī)，交換機(jī)上顯示燈正常，交換機(jī)1配置完成步驟5接下來我們打開IE瀏覽器輸入，進(jìn)入交換機(jī)2的配置界面，用同樣的方法配置交換機(jī)2，只不過交換機(jī)的優(yōu)先機(jī)仍為32768如圖4-51所示，這樣交換機(jī)1就可以成為根網(wǎng)橋，當(dāng)兩臺交換機(jī)燈顯示正常，生成樹配置完成步驟6重新登陸兩臺交換機(jī)配置界面，單擊任意一臺交換機(jī)switchstation，單擊（Rapid）spanningtree，點(diǎn)擊(R)STPporttable，快速生成樹協(xié)議自動檢測出Port1連接交換機(jī)，為noedgeport，其他接口連接PC為edgeport，如圖4-52和圖4-52所示說明協(xié)議生效步驟7單擊(R)SPTFastRings，如圖4-54所示界面中顯示沒有環(huán)網(wǎng)，接下來將測試生成樹功能。步驟8將兩臺交換機(jī)的port7端口用網(wǎng)線連接，兩臺交換機(jī)連接端口指示燈燈亮起。步驟9登陸交換機(jī)2控制界面，發(fā)現(xiàn)(R)STPFastRingTable界面檢測處環(huán)網(wǎng)如圖4-55所示，同時顯示出阻塞端口為交換機(jī)2上的port7阻塞，符合項(xiàng)目要求。打開(R)SPTporttable，也發(fā)現(xiàn)port7阻塞，如圖4-56所示。步驟10下面看一下鏈路恢復(fù)情況，我們斷開port1連接步驟11等待一會界面重新刷新后(R)STPPortTable中port7端口由block變?yōu)镕orwarding如圖4-57所示，試驗(yàn)成功教師講解教師演示學(xué)生操作教師講解教師演示學(xué)生操作第次課程教學(xué)方案備課時間備課教師教學(xué)時間年月日教學(xué)地點(diǎn)周次課時數(shù)8教學(xué)內(nèi)容（章、節(jié)）模塊/單元第五章工業(yè)防火墻技術(shù)教學(xué)目標(biāo)和要求了解防火墻原理了解工業(yè)防火墻技術(shù)掌握菲尼克斯安全路由器及防火墻mGuard掌握防火墻的配置與實(shí)現(xiàn)教學(xué)重點(diǎn)工防火墻的原理防火墻規(guī)則集包過濾防火墻狀態(tài)防火墻工業(yè)防火墻技術(shù)工業(yè)防火墻與傳統(tǒng)防火墻的區(qū)別防火墻的配置與實(shí)現(xiàn)教學(xué)難點(diǎn)防火墻規(guī)則集的應(yīng)用用戶防火墻的配置與實(shí)現(xiàn)教學(xué)方法理論講解、課堂練習(xí)使用媒體資源R紙質(zhì)材料R多媒體課件R網(wǎng)絡(luò)資源□其他資源：使用教具、設(shè)備、設(shè)施等多媒體教學(xué)設(shè)備作業(yè)練習(xí)復(fù)習(xí)所學(xué)內(nèi)容，完成課后作業(yè)；完成中國大學(xué)慕課MOOC上自主學(xué)習(xí)的內(nèi)容和單元測試。課后記（空白不夠可添加附頁）

教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動第5章工業(yè)防火墻技術(shù)5.1防火墻原理圖5-1防火墻的位置防火墻可以有效地控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問和數(shù)據(jù)傳送，阻止外部網(wǎng)絡(luò)中的非授權(quán)用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)或以非法手段訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)的設(shè)備。安全、管理、速度是防火墻的三大要素。5.1.1防火墻系統(tǒng)概述1.防火墻系統(tǒng)的組成防火墻通常是由專用硬件和相關(guān)軟件組成的一套系統(tǒng)（1）防火墻規(guī)則集：在防火墻上定義的規(guī)則列表，是一個防火墻能否充分發(fā)揮其作用的關(guān)鍵，這些規(guī)則決定了哪些數(shù)據(jù)不能通過防火墻、哪些數(shù)據(jù)可以通過防火墻。（2）內(nèi)部網(wǎng)絡(luò)：需要受保護(hù)的網(wǎng)絡(luò)。（3）外部網(wǎng)絡(luò)：需要防范的外部網(wǎng)絡(luò)。（4）技術(shù)手段：具體的實(shí)施技術(shù)。2.防火墻與OSI參考模型的關(guān)系教師講解：重點(diǎn)講解防火墻的位置和作用。教師講解：簡單介紹防火墻系統(tǒng)的組成。教師講解：簡單介紹防火墻與OSI參考模型的關(guān)系。要求學(xué)生熟記常用的協(xié)議以及常用的TCP和UDP端口。教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動5.1.2防火墻規(guī)則集1.防火墻規(guī)則的組成網(wǎng)絡(luò)協(xié)議：如IP、ICMP、TCP、UDP等；發(fā)送方的IP地址；發(fā)送方的端口號；接收方的IP地址；接收方的端口號；操作（Action）：定義滿足過濾規(guī)則的數(shù)據(jù)包的處理方式，是被拒絕、丟棄或是允許；日志功能：用來確定是否有一些滿足特殊規(guī)則的數(shù)據(jù)包。2.數(shù)據(jù)包的處理方式防火墻對滿足規(guī)則的數(shù)據(jù)包的處理方式有允許（Accept）、拒絕（Reject）和丟棄（Drop）三種。3.規(guī)則集的應(yīng)用流程防火墻有輸入（Incoming）和輸出（Outgoing）兩個方向的規(guī)則集5.1.3防火墻分類根據(jù)過濾方式的不同，可以分為:包過濾防火墻或：訪問控制表(ACL)狀態(tài)檢測防火墻(SIF)或:狀態(tài)包檢測(SPI)應(yīng)用網(wǎng)關(guān)防火墻（AGF）地址轉(zhuǎn)換防火墻基于主機(jī)的防火墻混和防火墻教師講解：重點(diǎn)講解防火墻規(guī)則集的組成。教師介紹三種數(shù)據(jù)包的處理方式的區(qū)別。提問：拒絕（Reject）VS丟棄（Drop），應(yīng)該怎么選？教師講解：重點(diǎn)講解防火墻規(guī)則集的應(yīng)用流程。學(xué)生練習(xí)：分析防火墻規(guī)則集的應(yīng)用結(jié)果，理解常見的應(yīng)用錯誤。教師講解：簡單介紹不同類型的防火墻，比較它們的異同。要求學(xué)生重點(diǎn)掌握包過濾防火墻和狀態(tài)檢測的工作原理。教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動5.1.4防火墻的限制沒有防火墻可以提供100％的安全防火墻不能阻止來自內(nèi)部或者繞過防火墻的數(shù)據(jù)流量的攻擊。防火墻無法防護(hù)端口反彈木馬的攻擊。防火墻無法防護(hù)非法通道出現(xiàn)。不能代替入侵檢測和審計設(shè)備防火墻無法防護(hù)系統(tǒng)層面的直接漏洞攻擊和病毒的侵襲。新的安全漏洞層出不窮，需要通過起草全新的安全措施或擴(kuò)展現(xiàn)有的措施來面對，所以必須持續(xù)地對網(wǎng)絡(luò)進(jìn)行安全監(jiān)控。防火墻會依據(jù)規(guī)則對流經(jīng)它的數(shù)據(jù)流量進(jìn)行處理，必然會造成一些延遲。5.2工業(yè)防火墻技術(shù)工業(yè)防火墻技術(shù)是工業(yè)控制系統(tǒng)信息安全技術(shù)的基礎(chǔ)。滿足特定的工業(yè)環(huán)境和功能要求，能夠?qū)I(yè)控制系統(tǒng)進(jìn)行邊界防護(hù)，根據(jù)需要劃分安全區(qū)域，實(shí)現(xiàn)區(qū)域管控，對安全區(qū)域進(jìn)行隔離保護(hù)，保證合法用戶訪問網(wǎng)絡(luò)資源?？舍槍I(yè)控制協(xié)議采用深度的包檢測技術(shù)和應(yīng)用層通訊跟蹤技術(shù)，解析ModBus、DNP3等應(yīng)用層異常數(shù)據(jù)流量，做到對非法指令的阻斷、非工控協(xié)議的攔截，以起到保護(hù)控制器的功能。對OPC端口進(jìn)行動態(tài)追蹤，對關(guān)鍵寄存器和操作進(jìn)行保護(hù)。5.2.1工業(yè)防火墻與傳統(tǒng)防火墻的區(qū)別支持基于白名單策略的訪問控制，包括網(wǎng)絡(luò)層和應(yīng)用層。具備深度包檢測功能，支持主流工控協(xié)議。支持動態(tài)開放OPC協(xié)議端口。防火墻應(yīng)支持多種工作模式，保證防火墻區(qū)分部署和工作過程以實(shí)現(xiàn)對被防護(hù)系統(tǒng)的最小影響。防火墻應(yīng)具有高可靠性，包括故障自恢復(fù)、在一定負(fù)荷下72小時正常運(yùn)行、無風(fēng)扇、支持導(dǎo)軌式或機(jī)架式安裝等。5.2.2工業(yè)防火墻技術(shù)新特點(diǎn)透明接入技術(shù)：對用戶是透明的，即潛行模式分布式防火墻技術(shù)：負(fù)責(zé)對網(wǎng)絡(luò)邊界、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各節(jié)點(diǎn)之間的安全防護(hù)，分布式防火墻是一個完整的系統(tǒng)，而不是單一的產(chǎn)品。網(wǎng)絡(luò)防火墻主機(jī)防火墻中心管理智能型防火墻技術(shù)：融合智能機(jī)器學(xué)習(xí)技術(shù)、深度數(shù)據(jù)包解析技術(shù)、特征匹配技術(shù)、黑白名單相結(jié)合的防御技術(shù)等多項(xiàng)技術(shù)。教師講解：引導(dǎo)學(xué)生理解為什么防火墻不能提供100％的安全。教師講解：重點(diǎn)講解工業(yè)防火墻技術(shù)，應(yīng)用場景和特點(diǎn)。教師講解：引導(dǎo)學(xué)生掌握工業(yè)防火墻與傳統(tǒng)防火墻的區(qū)別。教師講解：引導(dǎo)學(xué)生了解工業(yè)防火墻技術(shù)新特點(diǎn)。教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動5.2.3工業(yè)防火墻的具體服務(wù)規(guī)則域名解析系統(tǒng)（DNS）：控制網(wǎng)絡(luò)很少使用超文本傳輸協(xié)議（HTTP）：控制網(wǎng)應(yīng)用HTTPS文件傳輸協(xié)議（FTP）和簡單文件傳輸協(xié)議（TFTP）：禁止TFTP，僅在安全情況下使用FTP。盡量使用較安全的SFTP和SCP。用于遠(yuǎn)程連接服務(wù)的標(biāo)準(zhǔn)協(xié)議（Telnet）：禁止從公司網(wǎng)進(jìn)入控制網(wǎng)的入站Telnet，出站Telnet僅在加密通道（如VPN）中使用，用于訪問某些設(shè)備。簡單郵件傳輸協(xié)議（SMTP）：禁止入站郵件，允許出站SMTP從控制網(wǎng)到公司發(fā)送警告信息。簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）：控制網(wǎng)不建議用分布式組件對象模型（DCOM)：只允許在控制網(wǎng)和DMZ網(wǎng)絡(luò)之間使用SCADA與工業(yè)網(wǎng)絡(luò)協(xié)議：只允許在控制網(wǎng)使用5.2.4工業(yè)防火墻的安全策略不僅僅依靠網(wǎng)絡(luò)層來進(jìn)行數(shù)據(jù)過濾，如果可能的話盡可能綜合使用網(wǎng)絡(luò)層、傳輸層和應(yīng)用層數(shù)據(jù)過濾技術(shù)。嚴(yán)格遵守最小權(quán)限原則。使用白名單設(shè)置防火墻過濾規(guī)則，也就是在缺省情況下的任何網(wǎng)絡(luò)連接，只有符合白名單設(shè)置規(guī)則的數(shù)據(jù)流可以允許通過。工控系統(tǒng)要求嚴(yán)格限制內(nèi)外網(wǎng)通信，所以允許建立網(wǎng)絡(luò)連接的規(guī)則較少，建立和維護(hù)白名單相對傳統(tǒng)信息網(wǎng)絡(luò)環(huán)境更為可行。在部署防火墻保護(hù)邊界安全的時候，需要認(rèn)證評估對控制系統(tǒng)網(wǎng)絡(luò)通信延遲的影響。注意賬號管理的安全，設(shè)置密碼和賬戶策略，避免出現(xiàn)弱口令和長時間不修改等問題。關(guān)閉不必要的服務(wù)及應(yīng)用，如TELNET、HTTP、PING、SNMP等，使用SSH進(jìn)行遠(yuǎn)程登錄管理。5.3菲尼克斯安全路由器及防火墻mGuard智能防火墻mGuard，它是由工業(yè)安全路由器和防火墻組成的網(wǎng)絡(luò)組件產(chǎn)品，集路由器、防火墻、NAT、VPN等功能于一體，適合各種應(yīng)用，旨在實(shí)現(xiàn)最高的系統(tǒng)安全性和可用性，幫助客戶守護(hù)工業(yè)網(wǎng)絡(luò)安全。智能防火墻有多達(dá)250個IPsec加密的VPN通道，安全裝置功能全面。為可用性要求高的場合和復(fù)雜的安全架構(gòu)提供較高安全性。教師講解：重點(diǎn)講解在工業(yè)防火墻各個具體服務(wù)規(guī)則應(yīng)該怎么配置。教師講解：簡單介工業(yè)防火墻的安全策略。教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動5.3.1mGuard概述1.mGuard的基本功能不同的防護(hù)模式：單一潛行模式/多重潛行模式/路由模式基于WEB的配置界面NAT/1:1NAT/IP和端口轉(zhuǎn)發(fā)VPN防火墻支持SNMP固件升級OPC檢查器CIFS完整性監(jiān)測冗余功能2.mGuard上的指示燈5.3.2mGuard相關(guān)配置1.mGuard的重置緩慢按下復(fù)位按鈕六次>大約2秒后，STAT燈將亮起綠色；再次緩慢按下復(fù)位按鈕六次>如果成功，STATLED將亮起綠色>如果不成功，ERRLED將亮起紅色如果成功，設(shè)備將在兩秒鐘后重新啟動，切換到潛行模式。重置后，固件版本為8.4.0及以上的MGuard將丟失配置，固件版本為8.4.0之前的MGuard只需重置IP地址和登錄密碼。2.mGuard的網(wǎng)絡(luò)配置mGuard要發(fā)揮作用，必須根據(jù)網(wǎng)絡(luò)拓?fù)溥M(jìn)行正確的網(wǎng)絡(luò)配置和路由配置。1）網(wǎng)絡(luò)模式設(shè)置2）接口地址及路由設(shè)置3.mGuard的防火墻相關(guān)功能配置1）設(shè)置防火墻規(guī)則集2）使用規(guī)則記錄簡化配置可以將各個防火墻規(guī)則匯總在規(guī)則記錄（RuleRecords）中，然后在防火墻規(guī)則中使用這些規(guī)則記錄來簡化配置。教師講解：簡單介紹mGuard的基本功能和特點(diǎn)。教師講解并演示mGuard上不同的指示燈的作用。教師講解并演示mGuard的重置。要求每個學(xué)生都掌握重置的方法。教師講解并演示mGuard的網(wǎng)絡(luò)配置。要求每個學(xué)生都掌握mGuard的網(wǎng)絡(luò)配置方法。教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動4.用戶防火墻可以通過用戶防火墻（UserFirewall）來啟用針對特定的防火墻用戶（FirewallUser）或用戶組的防火墻規(guī)則（防火墻用戶或用戶組提前定義）。用戶防火墻適用于靜態(tài)配置的通用防火墻規(guī)則（如IncomingRules、OutgoingRules）不允許訪問目標(biāo)，但允許防火墻用戶登錄后動態(tài)訪問。用戶防火墻規(guī)則優(yōu)先于其他位置配置的規(guī)則，并在適用時覆蓋這些規(guī)則。配置步驟：創(chuàng)建所需的防火墻用戶或用戶組創(chuàng)建用戶防火墻模板以防火墻用戶的身份登錄mGuard，激活用戶防火墻規(guī)則

5.4本章實(shí)訓(xùn)基于潛行模式的防火墻從公司網(wǎng)絡(luò)訪問內(nèi)部生產(chǎn)網(wǎng)絡(luò)使用用戶防火墻啟用對外部網(wǎng)絡(luò)的訪問使用用戶防火墻限制對內(nèi)網(wǎng)設(shè)備的訪問課程總結(jié)：防火墻原理工業(yè)防火墻技術(shù)菲尼克斯安全路由器及防火墻mGuard防火墻的配置與實(shí)現(xiàn)作業(yè)布置：1、復(fù)習(xí)所學(xué)內(nèi)容，完成課后作業(yè)。2、完成中國大學(xué)慕課MOOC上自主學(xué)習(xí)的內(nèi)容和單元測試教師講解并演示用戶防火墻的特點(diǎn)和作用、應(yīng)用場景及配置方法。要求每個學(xué)生都掌握用戶防火墻的配置方法。學(xué)生練習(xí)：要求學(xué)生按照給定的拓?fù)浜鸵筮M(jìn)行實(shí)驗(yàn)配置，在學(xué)有余力的情況下可以自定義拓展實(shí)驗(yàn)。第次課程教學(xué)方案備課時間備課教師教學(xué)時間年月日教學(xué)地點(diǎn)周次課時數(shù)4教學(xué)內(nèi)容（章、節(jié)）模塊/單元第六章NAT技術(shù)教學(xué)目標(biāo)和要求了解NAT原理掌握利用菲尼克斯MGUARD實(shí)現(xiàn)NAT掌握NAT的配置與實(shí)現(xiàn)教學(xué)重點(diǎn)專用私有地址網(wǎng)絡(luò)地址轉(zhuǎn)換教學(xué)難點(diǎn)網(wǎng)絡(luò)地址轉(zhuǎn)換的原理教學(xué)方法理論講解、課堂練習(xí)使用媒體資源R紙質(zhì)材料R多媒體課件R網(wǎng)絡(luò)資源□其他資源：使用教具、設(shè)備、設(shè)施等多媒體教學(xué)設(shè)備作業(yè)練習(xí)復(fù)習(xí)所學(xué)內(nèi)容，完成課后作業(yè)；完成中國大學(xué)慕課MOOC上自主學(xué)習(xí)的內(nèi)容和單元測試。課后記（空白不夠可添加附頁）教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動第6章NAT技術(shù)6.1NAT原理接入Internet的設(shè)備越來越多，43億個IPv4地址即將耗盡，為設(shè)備分配地址以允許通信成了一個問題。長期解決方案是IPv6IETF提供了兩個短期解決方案RFC1918的私有IPv4地址RFC1631的網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）6.1.1專用私有地址RFC1918規(guī)定的專用私有地址任何公司或企業(yè)都可以使用相同的私有地址私有IPv4地址不能通過Internet路由私有IPv4地址造成的問題6.1.2網(wǎng)絡(luò)地址轉(zhuǎn)換RFC1631定義了網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation，NAT），將數(shù)據(jù)包中的地址信息從一個地址轉(zhuǎn)換為另一個地址。NAT一般用來將私有地址轉(zhuǎn)換到公共地址，反之亦可。教師講解：簡單介紹NAT的由來和作用。教師講解：重點(diǎn)講解專用私有地址的范圍和特點(diǎn)。要求學(xué)生牢記并能靈活應(yīng)用。教師講解：通過私有IPv4地址的特點(diǎn)引導(dǎo)學(xué)生理解私有IPV4地址造成的問題。教師講解：重點(diǎn)講解NAT的作用、原理及應(yīng)用場景。教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動6.2利用菲尼克斯MGUARD實(shí)現(xiàn)NAT菲尼克斯的FLMGUARD可以實(shí)現(xiàn)地址轉(zhuǎn)換的功能。它有三種工作模式：IP偽裝、端口轉(zhuǎn)發(fā)、1:1NAT。6.2.1IP偽裝可將內(nèi)部專用網(wǎng)的所有地址映射成單個公有（動態(tài)）IP地址，讓內(nèi)部網(wǎng)絡(luò)的多個設(shè)備使用一個和多個公有IP地址來連接互聯(lián)網(wǎng)。缺點(diǎn)：因特網(wǎng)上的用戶無法訪問到內(nèi)部專用網(wǎng)上的計算機(jī)。6.2.2端口轉(zhuǎn)發(fā)可以讓用戶通過Internet訪問內(nèi)部網(wǎng)絡(luò)上使用私有地址的專門設(shè)備上，而且可以使用不同的端口號。端口轉(zhuǎn)發(fā)規(guī)則取代防火墻規(guī)則->無需配置其他防火墻規(guī)則內(nèi)部網(wǎng)絡(luò)中的Web服務(wù)器00可以通過URL4:80訪問6.2.21:1NAT使用1:1NAT來實(shí)現(xiàn)地址轉(zhuǎn)換，在mGuard上配置虛擬IP地址來轉(zhuǎn)換目標(biāo)IP地址，可以實(shí)現(xiàn)一對一的映射，也可以實(shí)現(xiàn)多對多的映射。1、使用1:1NAT映射公有IP2、利用1:1NAT解決標(biāo)準(zhǔn)機(jī)器的問題教師講解：重點(diǎn)講解IP偽裝、端口轉(zhuǎn)發(fā)、1:1NAT的作用、區(qū)別和應(yīng)用場景。教師講解：重點(diǎn)講解IP偽裝的工作原理。教師講解：重點(diǎn)講解端口轉(zhuǎn)發(fā)的工作原理。教師講解：重點(diǎn)講解1:1NAT的工作原理。教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動1、使用1:1NAT映射公有IP將內(nèi)部專用網(wǎng)絡(luò)的中需要被互聯(lián)網(wǎng)用戶訪問的地址一對一映射到給指定的公共IP地址。一對一的分配意味著計算機(jī)不僅有能力和因特網(wǎng)上目的地建立連接，還能從因特網(wǎng)上被訪問到。但是，公司網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)對外界仍保持隱藏。2、利用1:1NAT解決標(biāo)準(zhǔn)機(jī)器的問題教師講解：重點(diǎn)講解使用1:1NAT映射公有IP的原理。教師講解：重點(diǎn)講解為什么利用1:1NAT能解決標(biāo)準(zhǔn)機(jī)器的問題。教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動6.3本章實(shí)訓(xùn)完成配置IP偽裝、配置端口轉(zhuǎn)發(fā)、用1:1NAT映射單個地址和用1:1NAT映射整個網(wǎng)絡(luò)共四個實(shí)訓(xùn)任務(wù)。配置IP偽裝配置端口轉(zhuǎn)發(fā)用1:1NAT映射單個IP地址用1:1NAT映射整個網(wǎng)絡(luò)課程總結(jié)：了解NAT原理掌握利用菲尼克斯MGUARD實(shí)現(xiàn)NAT掌握NAT的配置與實(shí)現(xiàn)作業(yè)布置：1、復(fù)習(xí)所學(xué)內(nèi)容，完成課后作業(yè)。2、完成中國大學(xué)慕課MOOC上自主學(xué)習(xí)的內(nèi)容和單元測試學(xué)生練習(xí)：要求學(xué)生按照給定的拓?fù)浜鸵筮M(jìn)行實(shí)驗(yàn)配置，在學(xué)有余力的情況下可以自定義拓展實(shí)驗(yàn)。第次課程教學(xué)方案備課時間備課教師教學(xué)時間年月日教學(xué)地點(diǎn)周次課時數(shù)2教學(xué)內(nèi)容（章、節(jié)）模塊/單元第7章數(shù)據(jù)加密技術(shù)及應(yīng)用7.1數(shù)據(jù)加密技術(shù)教學(xué)目標(biāo)和要求了解常用對稱加密算法；掌握對稱加密工作機(jī)制；了解常用分組加密工作模式；了解常用公鑰加密算法；掌握公鑰加密工作機(jī)制；掌握數(shù)字信封的工作機(jī)制；教學(xué)重點(diǎn)對稱加密工作機(jī)制；公鑰加密工作機(jī)制；數(shù)字信封工作機(jī)制。教學(xué)難點(diǎn)分組加密工作模式；對稱加密工作原理；公鑰加密工作原理。教學(xué)方法理論講解、課堂練習(xí)使用媒體資源R紙質(zhì)材料R多媒體課件R網(wǎng)絡(luò)資源□其他資源：使用教具、設(shè)備、設(shè)施等多媒體教學(xué)設(shè)備作業(yè)練習(xí)復(fù)習(xí)所學(xué)內(nèi)容，完成課后作業(yè)；完成中國大學(xué)慕課MOOC上自主學(xué)習(xí)的內(nèi)容和單元測試。課后記（空白不夠可添加附頁）

教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動第7章數(shù)據(jù)加密技術(shù)及應(yīng)用7.1數(shù)據(jù)加密技術(shù)一個現(xiàn)代密碼系統(tǒng)包括：明文、密文、加/解密算法、加/解密密鑰。加密密鑰加密密鑰明文加密密文密文明文解密解密密鑰通信信道加/解密的過程可以用下述公式描述：加密：解密：7.1.1對稱加密算法對稱加密算法：Ke=Kd，安全性取決于密鑰。對稱加密算法可以分為兩類：流密碼和分組加密。流密碼：常用的算法包括RC4、SEAL、ZUC(祖沖之算法）等。分組密碼：常用算法包括DES、IDEA、AES、SM4等。1.DES算法子密鑰生成：教師講解：教師利用圖示和公式兩種方式講解加密系統(tǒng)的組成以及工作機(jī)制。教師講解：重點(diǎn)講解清楚對稱加密的加密密鑰與解密密鑰相同。教師講解：教師講解DES算法工作原理。學(xué)生練習(xí)：教師提出一個種子密鑰，學(xué)生計算子密鑰。教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動迭代加密過程：2.DES算法分析對稱加密算法使用“位運(yùn)算”方式對數(shù)據(jù)進(jìn)行加密和解密操作，數(shù)據(jù)處理效率相對比較高，是加密系統(tǒng)中對消息進(jìn)行加密的通用方式。DES算法屬于對稱加密算法，加/解密密鑰相同，所以通信雙方首先要保證在安全的傳輸介質(zhì)上分發(fā)密鑰，另外通信雙方也要同時安全存儲密鑰。DES算法的一個主要缺點(diǎn)是密鑰長度較短，有效密鑰僅56比特，密鑰空間是256。針對這個弱點(diǎn)的攻擊主要是窮舉攻擊，即利用一個已知明文和密文消息對兒，直到找到正確的密鑰，這就是所謂的蠻力攻擊(BruteForceAttack)。但是到目前為止，除了用窮舉搜索法對DES算法進(jìn)行攻擊以外，還沒有發(fā)現(xiàn)更有效的辦法，這也證明DES算法具有極高的抗密碼分析能力。學(xué)生練習(xí)：教師提出一個分組，學(xué)生分析該分組加密處理過程。教師引導(dǎo)學(xué)生分析DES算法的優(yōu)點(diǎn)和存在的問題。教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動多次運(yùn)行DES算法從而達(dá)到增加密鑰長度的效果。這樣的一個方案稱為3重DES方案(3DES)。這個方案的加/解密過程如下所示。加密：QUOTEC=EK1{DK2解密：QUOTEM=DK1{EK2三重DES加/解密過程中分別進(jìn)行了3次DES算法，并且使用了兩個不同的密鑰，這個方案不僅能夠擴(kuò)大密鑰空間，同時可以與單密鑰DES加密系統(tǒng)兼容，使用戶在升級加密系統(tǒng)的過程中可以減少投入的成本。3.其他對稱加密算法(1)IDEA算法：對64比特大小的數(shù)據(jù)塊加密的分組加密算法，密鑰長度為128比特。(2)AES算法：分組大小為128比特。AES的密鑰長度與輪數(shù)相關(guān)：輪數(shù)為10，密鑰為128比特；輪數(shù)為12，密鑰為192比特；輪數(shù)為14，密鑰為256比特。(3)SM1/SM4/SM7算法：SM1算法分組長度、秘鑰長度都是128bit，但是算法不公開。SM4算法密鑰長度、分組長度都是128bit。SM7算法沒有公開，它適用于非接IC卡應(yīng)用包括身份識別類應(yīng)用，支付與通卡類應(yīng)用。4.