SecurityWithAdarsh/OT-ICS-Security-Notes
GitHub: SecurityWithAdarsh/OT-ICS-Security-Notes
一套基于真实化工厂实践经验的OT/ICS网络安全知识库,涵盖协议分析、架构设计、威胁防护、标准合规及认证备考等全链路内容。
Stars: 9 | Forks: 1
# 🏭 OT/ICS 安全笔记





**综合的运营技术 (OT) 与工业控制系统 (ICS) 安全知识库**
*基于在真实化工厂环境 的实践经验 + 行业研究构建*
## 👤 关于本仓库
本仓库是一个针对 OT/ICS 网络安全的实践级知识库,由 **[Adarsh Singh](https://linkedin.com/in/adarsh-singh-cybersecurity)** 编写——他是一名 DevSecOps 工程师,拥有在**化学生产工厂** (Aarti Industries Ltd.) 内部的信息安全实习实践经验,直接接触并使用过以下内容:
- **Siemens S7-300/400 PLC** 和 TIA Portal
- **Wonderware SCADA** (InTouch/System Platform)
- **Modbus TCP/RTU** 和 **OPC Classic/UA** 协议流量
- 基于 **Purdue 模型**划分的工厂网络架构
- 实际生产环境中的 IT/OT 融合挑战
## 📁 仓库结构
```
OT-ICS-Security-Notes/
├── 01-Fundamentals/ # IT vs OT, key concepts, terminology
├── 02-Protocols/ # Modbus, OPC, DNP3, PROFINET, EtherNet/IP
├── 03-Architecture/ # Purdue Model, DMZ design, network segmentation
├── 04-Threats-and-Attacks/ # Threat landscape, malware, attack vectors
├── 05-Security-Controls/ # Compensating controls, hardening, patching
├── 06-Standards-and-Frameworks/ # IEC 62443, NERC CIP, NIST SP 800-82
├── 07-Tools-and-Techniques/ # Passive monitoring, asset discovery, Wireshark
├── 08-Incident-Response/ # ICS-specific IR playbooks
├── 09-Case-Studies/ # Stuxnet, TRITON, Ukraine Power Grid, Colonial
├── 10-Certification-Prep/ # GICSP, CSSA, CompTIA CySA+ OT track
└── assets/ # Diagrams, cheat sheets
```
## 🗺️ 快速导航
| 部分 | 涵盖主题 |
|---|---|
| [01 - 基础知识](./01-Fundamentals/) | IT 与 OT 的差异、CIA 三要素倒置、关键术语 |
| [02 - 协议](./02-Protocols/) | Modbus TCP/RTU、OPC Classic/UA、DNP3、PROFINET、EtherNet/IP |
| [03 - 架构](./03-Architecture/) | Purdue 模型、网络区域、DMZ、conduits |
| [04 - 威胁与攻击](./04-Threats-and-Attacks/) | ATT&CK for ICS、恶意软件家族、内部威胁 |
| [05 - 安全控制](./05-Security-Controls/) | 纵深防御、补偿控制、补丁管理 |
| [06 - 标准与框架](./06-Standards-and-Frameworks/) | IEC 62443、NERC CIP、NIST SP 800-82、ISA/IEC |
| [07 - 工具与技术](./07-Tools-and-Techniques/) | 被动监控、Claroty、Dragos、Wireshark 过滤器 |
| [08 - 事件响应](./08-Incident-Response/) | OT 特定的 IR、取证、恢复 |
| [09 - 案例分析](./09-Case-Studies/) | 震网病毒 (Stuxnet)、TRITON/TRISIS、2015/2016 乌克兰电网事件、Colonial Pipeline |
| [10 - 认证备考](./10-Certification-Prep/) | GICSP 领域、练习问答 |
## 🎯 适用人群
- 🎓 准备考取 GICSP、GRID 或 CompTIA CySA+ 的**学生**
- 🔵 正向 OT SOC / ICS 监控角色转型的**蓝队成员**
- 🏭 正向 OT 环境过渡的 **IT 安全专业人员**
- 📋 面试 Claroty、Dragos、Siemens、Honeywell、Schneider Electric 相关职位的**求职者**
- 🔍 正在构建 OT 威胁情报的**安全研究员**
## ⭐ 核心亮点
- 来自**真实化工厂**的实战背景(不仅是理论)
- 结合**实际 Modbus/OPC 流量模式**的协议分析
- 每个威胁均与 **MITRE ATT&CK for ICS** 框架相对应
- 每个模块均提供适合面试准备的 **问答部分**
- 持续更新 CVE 与威胁情报
## 📜 免责声明
本仓库仅供**教育目的**使用。所有信息均来自公开研究、供应商文档和经过脱敏处理的学习经验。不包含任何专有、机密或涉密数据。
⭐ 如果本仓库对您有帮助,请点个 Star | 🍴 欢迎参与贡献 | 📢 请与 OT 安全社区分享
标签:OT安全, PKINIT, SCADA, 哈希传递, 学习笔记, 工控安全, 防御加固