工業(yè)互聯(lián)網(wǎng)安全 課件 項(xiàng)目7 工業(yè)互聯(lián)網(wǎng)安全應(yīng)急處置

工業(yè)互聯(lián)網(wǎng)安全I(xiàn)ndustrialInternetSecurity項(xiàng)目01工業(yè)互聯(lián)網(wǎng)設(shè)備安全配置項(xiàng)目02工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全配置工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全配置項(xiàng)目04項(xiàng)目03工業(yè)互聯(lián)網(wǎng)控制系統(tǒng)安全配置項(xiàng)目05工業(yè)互聯(lián)網(wǎng)應(yīng)用安全配置項(xiàng)目06工業(yè)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目07工業(yè)互聯(lián)網(wǎng)安全應(yīng)用處置工業(yè)互聯(lián)網(wǎng)安全應(yīng)急處置07項(xiàng)目通過以下三個(gè)任務(wù)的實(shí)施，掌握工業(yè)互聯(lián)網(wǎng)安全應(yīng)急處置的相關(guān)內(nèi)容和方法。項(xiàng)目情境本項(xiàng)目將介紹工業(yè)互聯(lián)網(wǎng)安全應(yīng)急處置的相關(guān)知識(shí)，幫助同學(xué)們對(duì)工業(yè)互聯(lián)網(wǎng)安全工作建立系統(tǒng)的認(rèn)識(shí)。工業(yè)互聯(lián)網(wǎng)FTP暴力破解的應(yīng)急響應(yīng)工業(yè)互聯(lián)網(wǎng)信息篡改的應(yīng)急響應(yīng)0103工業(yè)互聯(lián)網(wǎng)安全應(yīng)急響應(yīng)預(yù)案的編寫02了解資產(chǎn)偵測(cè)與安全管理的方法；了解數(shù)據(jù)保護(hù)與安全審計(jì)的相關(guān)內(nèi)容；了解安全監(jiān)測(cè)與態(tài)勢(shì)評(píng)估的方法；了解應(yīng)急處置與協(xié)同防護(hù)的內(nèi)容；了解工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀及問題分析；了解工業(yè)互聯(lián)網(wǎng)的安全防護(hù)對(duì)策。知識(shí)目標(biāo)掌握判斷FTP暴力破解事件的方法；具備對(duì)FTP暴力破解事件做出相應(yīng)的應(yīng)急響應(yīng)；掌握判斷網(wǎng)頁是否被篡改的方法；具備網(wǎng)頁篡改事件的應(yīng)急響應(yīng)方法；理解安全應(yīng)急響應(yīng)預(yù)案編寫內(nèi)容；掌握安全應(yīng)急響應(yīng)預(yù)案編寫方法。技能目標(biāo)具備安全事件的應(yīng)急響應(yīng)和處置能力，能夠及時(shí)發(fā)現(xiàn)、分析和解決安全事件，采取有效的控制措施。具備創(chuàng)新思維和實(shí)踐能力，能夠運(yùn)用所學(xué)知識(shí)解決實(shí)際問題，并能夠根據(jù)實(shí)際需求提出新的解決方案。素質(zhì)目標(biāo)學(xué)習(xí)目標(biāo)學(xué)習(xí)導(dǎo)圖工業(yè)互聯(lián)網(wǎng)安全測(cè)評(píng)與應(yīng)急職業(yè)技能等級(jí)標(biāo)準(zhǔn)工業(yè)互聯(lián)網(wǎng)安全應(yīng)急處置工作任務(wù)職業(yè)技能要求等級(jí)知識(shí)點(diǎn)技能點(diǎn)理解并掌握工業(yè)互聯(lián)網(wǎng)安全應(yīng)急處置①能識(shí)別網(wǎng)絡(luò)安全事件及相關(guān)信息；②能夠?qū)Π踩录M(jìn)行分析；③能夠進(jìn)行安全事件應(yīng)急處置；④能夠根據(jù)安全事件的攻擊路徑，進(jìn)行網(wǎng)絡(luò)安全防護(hù)；⑤能夠編寫安全應(yīng)急報(bào)告；⑥能具備良好的溝通表達(dá)及團(tuán)隊(duì)合作能力。初級(jí)中級(jí)①了解資產(chǎn)偵測(cè)與安全管理的方法；②了解數(shù)據(jù)保護(hù)與安全審計(jì)的相關(guān)內(nèi)容；③了解安全監(jiān)測(cè)與態(tài)勢(shì)評(píng)估的方法；④了解應(yīng)急處置與協(xié)同防護(hù)的內(nèi)容；⑤了解工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀及問題分析；⑥了解工業(yè)互聯(lián)網(wǎng)的安全防護(hù)對(duì)策。①掌握判斷FTP暴力破解事件的方法；②具備對(duì)FTP暴力破解事件做出相應(yīng)應(yīng)急響應(yīng)的能力；③掌握判斷網(wǎng)頁是否被篡改的方法；④具備網(wǎng)頁篡改事件的應(yīng)急響應(yīng)方法；⑤理解安全應(yīng)急響應(yīng)預(yù)案編寫內(nèi)容；⑥掌握安全應(yīng)急響應(yīng)預(yù)案編寫方法。與職業(yè)技能等級(jí)標(biāo)準(zhǔn)內(nèi)容對(duì)應(yīng)關(guān)系任務(wù)1工業(yè)互聯(lián)網(wǎng)FTP暴力破解

的應(yīng)急響應(yīng)FTP是一個(gè)文件傳輸協(xié)議，用戶通過FTP可從客戶機(jī)程序向遠(yuǎn)程主機(jī)上傳或下載文件，常用于網(wǎng)站代碼維護(hù)、日常源碼備份等。如果攻擊者通過FTP匿名訪問或者弱口令獲取FTP權(quán)限，可直接上傳webshell，進(jìn)一步滲透提權(quán)，直至控制整個(gè)網(wǎng)站服務(wù)器。任務(wù)描述本任務(wù)主要講解如何判斷FTP暴力破解事件，以及如何對(duì)FTP暴力破解事件做出相應(yīng)的應(yīng)急響應(yīng)。資產(chǎn)偵測(cè)與安全管理1資產(chǎn)作為IT安全管理的對(duì)象，包括信息（或數(shù)據(jù)）、硬件、軟件、資金、服務(wù)、人員等。工業(yè)互聯(lián)網(wǎng)資產(chǎn)偵測(cè)是指追蹤、掌握工業(yè)互聯(lián)網(wǎng)資產(chǎn)情況的過程。在工業(yè)互聯(lián)網(wǎng)的IT與OT環(huán)境中，如何針對(duì)終端、設(shè)備、服務(wù)等典型的網(wǎng)絡(luò)軟硬件資產(chǎn)進(jìn)行偵測(cè)，它是實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)安全管理的重要前提，在工業(yè)互聯(lián)網(wǎng)安全相關(guān)工作中具有廣泛的應(yīng)用價(jià)值。知識(shí)導(dǎo)入現(xiàn)有網(wǎng)絡(luò)資產(chǎn)的探測(cè)方法及其特點(diǎn)知識(shí)導(dǎo)入類型范圍主要特點(diǎn)存在的問題傳統(tǒng)人工統(tǒng)計(jì)內(nèi)網(wǎng)，小規(guī)?？梢园l(fā)現(xiàn)新型探測(cè)方法無法分析到的部分（不產(chǎn)生網(wǎng)絡(luò)流量或探測(cè)數(shù)據(jù)包無法觸及的網(wǎng)絡(luò)資產(chǎn)）耗時(shí)費(fèi)力，時(shí)效性差基于客戶端需要大規(guī)模安裝客戶端，由客戶端自動(dòng)采集，上報(bào)網(wǎng)絡(luò)資產(chǎn)數(shù)據(jù)，速度快，效率高，節(jié)省人力入侵性最強(qiáng)，限制因素多；客戶端開發(fā)、設(shè)計(jì)成本高現(xiàn)有網(wǎng)絡(luò)資產(chǎn)的探測(cè)方法及其特點(diǎn)知識(shí)導(dǎo)入類型范圍主要特點(diǎn)存在的問題新型主動(dòng)探測(cè)全網(wǎng)/內(nèi)網(wǎng)，各種規(guī)模均適用無須安裝客戶端，在網(wǎng)內(nèi)一個(gè)節(jié)點(diǎn)運(yùn)行并收發(fā)探測(cè)數(shù)據(jù)包即可；速度快，能及時(shí)發(fā)現(xiàn)不產(chǎn)生網(wǎng)絡(luò)流量的資產(chǎn)噪聲大，易觸發(fā)報(bào)警；僅能了解當(dāng)次探測(cè)的狀態(tài)；對(duì)安全設(shè)備保護(hù)的網(wǎng)絡(luò)資產(chǎn)探測(cè)的難度大被動(dòng)探測(cè)僅限于內(nèi)網(wǎng)無網(wǎng)絡(luò)流量插入，入侵性??；對(duì)安全設(shè)備保護(hù)的網(wǎng)絡(luò)資產(chǎn)具備一定的探測(cè)能力；支持歷史數(shù)據(jù)的積累適用范圍限于內(nèi)網(wǎng)；探測(cè)結(jié)果受限于所分析網(wǎng)絡(luò)流量的全面性；不產(chǎn)生流量的資產(chǎn)無效搜索引擎通用網(wǎng)絡(luò)安全專用僅限于公網(wǎng)（目標(biāo)資產(chǎn)必須有公網(wǎng)IP）以查詢的方式探測(cè)，隱蔽性強(qiáng)，探測(cè)速度快；支持全網(wǎng)探測(cè)；支持歷史數(shù)據(jù)的積累僅對(duì)Web相關(guān)網(wǎng)絡(luò)資產(chǎn)有效，對(duì)公網(wǎng)網(wǎng)絡(luò)組件、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)服務(wù)等的控測(cè)具有優(yōu)勢(shì)無法對(duì)內(nèi)網(wǎng)資產(chǎn)進(jìn)行控測(cè)；受限于搜索引擎的數(shù)據(jù)獲取能力；易被欺騙，準(zhǔn)確率較低安全風(fēng)險(xiǎn)評(píng)估的概念和方法1（1）基于通用搜索引擎的探測(cè)谷歌黑客技術(shù)是一種利用谷歌搜索引擎進(jìn)行漏洞目標(biāo)探測(cè)以及敏感信息挖掘的技術(shù)，可以實(shí)現(xiàn)網(wǎng)站映射、查看站點(diǎn)目錄列表、查找登錄頁面、查找口令文件、查找網(wǎng)絡(luò)設(shè)備等功能，因此具備一定的網(wǎng)絡(luò)資產(chǎn)探測(cè)能力。GHDB（GoogleHackingDataBase）是一個(gè)谷歌黑客搜索查詢指令的數(shù)據(jù)庫，可以基于GHDB中的特定搜索查詢串、某些服務(wù)的頁面腳注、Web服務(wù)器返回的錯(cuò)誤消息中攜帶的信息實(shí)現(xiàn)端口、操作系統(tǒng)及版本的探測(cè)。知識(shí)導(dǎo)入安全風(fēng)險(xiǎn)評(píng)估的概念和方法1（2）基于網(wǎng)絡(luò)安全專用搜索引擎的探測(cè)Shodan側(cè)重對(duì)所有連接互聯(lián)網(wǎng)的設(shè)備及其組件類型信息的搜索，可以使用Shodan搜索攝像頭、打印機(jī)、工業(yè)控制器，甚至是粒子加速器、核電站控制設(shè)備。Censys系統(tǒng)可以對(duì)搜集的數(shù)據(jù)進(jìn)行數(shù)據(jù)處理匯總，提取結(jié)構(gòu)化數(shù)據(jù)，并將其保存于谷歌云存儲(chǔ)平臺(tái)。它還可以利用開源的ElasticSearch平臺(tái)和谷歌BigQuery分別在前端和后臺(tái)為用戶提供ZMap全網(wǎng)端口、服務(wù)掃描結(jié)果的搜索查詢。知識(shí)導(dǎo)入安全風(fēng)險(xiǎn)評(píng)估的概念和方法1360公司的工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知平臺(tái)。該平臺(tái)通過引入多維度的協(xié)議識(shí)別技術(shù)實(shí)現(xiàn)了廣泛的協(xié)議解析。除了可以識(shí)別HTTP、HTTPS、FTP、Telnet、SNMP等通用協(xié)議外，還支持主流工控協(xié)議的指紋識(shí)別，包括SiemensS7、Modbus、IEC608705104、DNP3、OMRONFINS、PCWORK、EtherNet/IP、BACnet、TridiumNiagaraFox等。知識(shí)導(dǎo)入數(shù)據(jù)保護(hù)與安全審計(jì)2知識(shí)導(dǎo)入網(wǎng)絡(luò)安全風(fēng)險(xiǎn)已經(jīng)成為所有組織面臨的風(fēng)險(xiǎn)管理挑戰(zhàn)之一，開展數(shù)據(jù)保護(hù)與網(wǎng)絡(luò)安全審計(jì)更加必要和重要。如表所示為網(wǎng)絡(luò)安全審計(jì)的關(guān)系、目標(biāo)和意義。網(wǎng)絡(luò)安全中的關(guān)系管理網(wǎng)絡(luò)安全審計(jì)的目標(biāo)審計(jì)在網(wǎng)絡(luò)安全中的角色1.信息技術(shù)2.信息安全3.信息風(fēng)險(xiǎn)管理4.合規(guī)和其他團(tuán)隊(duì)1.三道防線2.超越合規(guī)性3.預(yù)防、檢測(cè)和響應(yīng)的三階段戰(zhàn)略4.專業(yè)的網(wǎng)絡(luò)評(píng)估1.網(wǎng)絡(luò)安全框架2.內(nèi)部審計(jì)將發(fā)生的變化3.未來的技能需求4.尋找和留住人才工業(yè)互聯(lián)網(wǎng)安全審計(jì)的對(duì)象知識(shí)導(dǎo)入類型ITOT網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)交換機(jī)、路由器、負(fù)載均衡設(shè)備等工控交換機(jī)、網(wǎng)絡(luò)交換機(jī)、物聯(lián)網(wǎng)關(guān)、邊緣計(jì)算設(shè)備等服務(wù)器通用服務(wù)器、域控服務(wù)器、DNS服務(wù)器等OPC服務(wù)器、MTU服務(wù)器、CA服務(wù)器等計(jì)算終端電腦、手機(jī)、平板、打印機(jī)、攝像頭等電腦、HMI、IOT設(shè)備、IED、RTU、PLC、DCS控制單元、SIS控制單元、機(jī)器人、數(shù)控機(jī)床、遙控終端、打印機(jī)、攝像頭等數(shù)據(jù)庫歷史數(shù)據(jù)庫OPC、實(shí)時(shí)數(shù)據(jù)庫應(yīng)用系統(tǒng)工業(yè)云平臺(tái)、工業(yè)App、門戶網(wǎng)站、OA、ERP、PDM、DNS等組態(tài)程序、OPC、MES、CAD、CAE、CAM、工程輔助軟件、各種定制化軟件等安全設(shè)備網(wǎng)絡(luò)防火墻、IPS、IDS、防病毒網(wǎng)關(guān)、安全審計(jì)設(shè)備、VPN、運(yùn)維管理設(shè)備、網(wǎng)閘等工業(yè)防火墻、單向隔離網(wǎng)關(guān)、縱向加密裝置、工業(yè)審計(jì)設(shè)備等數(shù)據(jù)保護(hù)與安全審計(jì)2知識(shí)導(dǎo)入與安全審計(jì)相比，監(jiān)測(cè)管理技術(shù)雖然實(shí)現(xiàn)的效果類似，但是有安全實(shí)時(shí)性的要求，主要應(yīng)用于工業(yè)互聯(lián)網(wǎng)IT環(huán)境中，OT環(huán)境中的監(jiān)控多使用組態(tài)技術(shù)實(shí)現(xiàn)，有時(shí)也使用網(wǎng)絡(luò)監(jiān)控技術(shù)，而物理環(huán)境則采用視頻監(jiān)控的方式。最有代表性的網(wǎng)絡(luò)監(jiān)控管理技術(shù)是利用SNMP協(xié)議技術(shù)實(shí)現(xiàn)的網(wǎng)絡(luò)監(jiān)控管理，它是網(wǎng)絡(luò)管理中被廣大設(shè)備廠商及用戶支持和應(yīng)用的協(xié)議，現(xiàn)實(shí)生活中經(jīng)常用于實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備管理、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控。安全測(cè)試報(bào)告編寫任務(wù)實(shí)施【任務(wù)目的】對(duì)FTP暴力破解事件判斷并立即做出應(yīng)急響應(yīng)【使用工具】運(yùn)行系統(tǒng)：WindowsServer2016其他軟件：FTP暴力破解工具測(cè)試主機(jī)：測(cè)試服務(wù)器（開啟FTP服務(wù)）【步驟1】

可疑進(jìn)程查看01登錄到服務(wù)器上，對(duì)服務(wù)器進(jìn)行隔離，服務(wù)器并沒有安裝殺毒軟件，查看進(jìn)程信息【步驟2】

管理員賬號(hào)查看01與客戶確認(rèn)管理員賬號(hào)密碼，管理員賬號(hào)需要不存在弱口令。檢查是否被添加非法管理員賬號(hào)，確認(rèn)不存在非法用戶添加。02打開“命令提示符”窗口，輸入命令netuser，按Enter鍵執(zhí)行命令【步驟3】

端口分析01查看端口的使用情況，在“命令提示符”窗口中輸入命令netstat-ano，查看是否存在危險(xiǎn)端口開放或者外聯(lián)。發(fā)現(xiàn)開放21和445危險(xiǎn)端口。排查兩個(gè)端口潛在風(fēng)險(xiǎn)，21端口為FTP端口，445為SMB端口。02【步驟4】

日志分析右鍵單擊右邊服務(wù)器“InternetInformationServices(IIS)管理器”查看FTP配置，找到FTP日志存放路徑。0201【步驟4】

日志分析查看FTP留存日志C:\inetpub\logs\LogFiles\FTPSVC2\u_ex20230402.log，發(fā)現(xiàn)存在暴力破解行為。通過查看端口服務(wù)及管理員訪談，確認(rèn)服務(wù)器對(duì)公網(wǎng)開放了FTP服務(wù)。03【步驟4】

日志分析通過日志分析，發(fā)現(xiàn)單位時(shí)間內(nèi)存在多個(gè)用戶名嘗試登錄FTP，確定存在FTP被暴力破解事件。04【步驟5】

策略分析在“運(yùn)行”對(duì)話框中輸入gpedit.msc。在打開的對(duì)話框中查看本地組策略編輯器展開“Windows設(shè)置>安全設(shè)置>賬戶策略>賬戶鎖定策略”選項(xiàng)，雙擊“賬戶鎖定閾值”選項(xiàng)，查看鎖定次數(shù)0102【步驟6】

配置安全策略對(duì)“賬戶鎖定閾值”選項(xiàng)進(jìn)行設(shè)置。0102設(shè)置完FTP登錄失敗次數(shù)限制，完成實(shí)驗(yàn)【步驟7】FTP安全加固方法通過本任務(wù)，對(duì)FTP暴力破解應(yīng)急響應(yīng)的方法有一定思路，學(xué)會(huì)對(duì)FTP暴力破解事件進(jìn)行安全加固。除此之外，對(duì)于安全加固可以從以下3個(gè)方面進(jìn)行操作。（1）禁止使用FTP傳輸文件，若必須開放應(yīng)限定管理IP地址并加強(qiáng)口令安全審計(jì)。（2）更改服務(wù)器FTP默認(rèn)端口。（3）部署入侵檢測(cè)設(shè)備，增強(qiáng)安全防護(hù)。任務(wù)評(píng)價(jià)任務(wù)評(píng)價(jià)了解資產(chǎn)偵測(cè)與安全管理的方法了解數(shù)據(jù)保護(hù)與安全審計(jì)的相關(guān)內(nèi)容掌握判斷FTP暴力破解事件的方法掌握對(duì)FTP暴力破解事件做出相應(yīng)的應(yīng)急響應(yīng)任務(wù)測(cè)驗(yàn)選擇題

A.GoogleB.SchodanC.CensysD.ZoomEye

以下哪個(gè)不屬于針對(duì)網(wǎng)絡(luò)安全專用的搜索引擎？（）A.Net

user

B.netstatC.netstat-ano

D.user

在Windows中“命令提示符”窗口中輸入（）命令，可以查看系統(tǒng)端口使用情況。A.資產(chǎn)偵測(cè)B.安全管理C.數(shù)據(jù)包保護(hù)D.安全審計(jì)

網(wǎng)絡(luò)（）是對(duì)計(jì)劃、執(zhí)行、維護(hù)等層面的風(fēng)險(xiǎn)進(jìn)行識(shí)別和檢查的一種方法和措施。簡(jiǎn)答題任務(wù)測(cè)驗(yàn)1.簡(jiǎn)單描述什么是工業(yè)互聯(lián)網(wǎng)資產(chǎn)偵測(cè)，以及偵測(cè)方式？2.簡(jiǎn)單描述什么是網(wǎng)絡(luò)安全審計(jì)？3.對(duì)FTP進(jìn)行安全加固的方法？

任務(wù)2工業(yè)互聯(lián)網(wǎng)信息篡改的

應(yīng)急響應(yīng)網(wǎng)頁篡改一般有明顯的網(wǎng)頁篡改和隱藏式篡改兩種。明顯的網(wǎng)頁篡改即攻擊者直接在網(wǎng)站主頁進(jìn)行篡改，隱藏式篡改一般是將被攻擊網(wǎng)站的網(wǎng)頁植入鏈接色情、詐騙等非法信息的鏈接中，以通過灰黑色產(chǎn)業(yè)牟取非法經(jīng)濟(jì)利益。黑客為了篡改網(wǎng)頁，一般需提前知曉網(wǎng)站的漏洞，提前在網(wǎng)頁中植入后門，并最終獲取網(wǎng)站的控制權(quán)。任務(wù)描述本任務(wù)主要講解了如何判斷網(wǎng)頁篡改事件，以及如何對(duì)網(wǎng)頁篡改事件做出相應(yīng)的應(yīng)急響應(yīng)。安全檢測(cè)與態(tài)勢(shì)評(píng)估1網(wǎng)絡(luò)安全態(tài)勢(shì)感知的具體流程是先采集所有安全設(shè)備的防護(hù)、攔截日志信息，然后對(duì)這些信息進(jìn)行分析、理解，再對(duì)當(dāng)前網(wǎng)絡(luò)未來可能面對(duì)的環(huán)境變化進(jìn)行預(yù)測(cè)。這個(gè)過程可以總結(jié)為態(tài)勢(shì)信息提取、態(tài)勢(shì)評(píng)估和態(tài)勢(shì)預(yù)測(cè)3個(gè)步驟。知識(shí)導(dǎo)入安全檢測(cè)與態(tài)勢(shì)評(píng)估1態(tài)勢(shì)評(píng)估是指在獲取海量安全數(shù)據(jù)的基礎(chǔ)上，通過解析數(shù)據(jù)之間的關(guān)聯(lián)性，對(duì)其進(jìn)行融合，獲取宏觀的網(wǎng)絡(luò)安全態(tài)勢(shì)。態(tài)勢(shì)評(píng)估的核心是這些海量數(shù)據(jù)的融合。目前，應(yīng)用于工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)評(píng)估的融合算法主要有4類：基于邏輯關(guān)系的融合方法、基于數(shù)學(xué)模型的融合方法、基于概率統(tǒng)計(jì)的融合方法以及基于規(guī)則推理的融合方法。知識(shí)導(dǎo)入安全檢測(cè)與態(tài)勢(shì)評(píng)估1安全態(tài)勢(shì)的預(yù)測(cè)是指根據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)的歷史信息和當(dāng)前狀態(tài)對(duì)網(wǎng)絡(luò)未來一段時(shí)間的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)。網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)是態(tài)勢(shì)感知的一個(gè)基本目標(biāo)。對(duì)于安全態(tài)勢(shì)評(píng)估模型，首先需要熟悉3個(gè)術(shù)語：①攻擊發(fā)生概率：某種攻擊已經(jīng)發(fā)生的可能性，以m(h)表示。②攻擊成功概率：某種攻擊發(fā)生后，該攻擊成功的概率或程度，以s(h)表示。③攻擊威脅：某種攻擊成功實(shí)施后造成的影響，以V表示。知識(shí)導(dǎo)入安全檢測(cè)與態(tài)勢(shì)評(píng)估1知識(shí)導(dǎo)入應(yīng)急處置與協(xié)同防護(hù)2知識(shí)導(dǎo)入在工業(yè)互聯(lián)網(wǎng)安全運(yùn)維工作中，遭遇突發(fā)安全事件后的應(yīng)急處置與協(xié)同防護(hù)是重中之重，而分析協(xié)同防護(hù)是該工作的核心。應(yīng)急處置與協(xié)同防護(hù)2知識(shí)導(dǎo)入從組織工作維度，不僅包括IT和OT架構(gòu)層面的安全防護(hù)協(xié)同，還包括內(nèi)部團(tuán)隊(duì)和安全服務(wù)商的協(xié)同，以及系統(tǒng)架構(gòu)內(nèi)部組件和數(shù)據(jù)機(jī)制的協(xié)同。只有從兩種維度都做出相應(yīng)的設(shè)計(jì)、部署和運(yùn)營(yíng)后，才能規(guī)避因?yàn)槿狈吸c(diǎn)故障和協(xié)同機(jī)制而帶來的跨域滲透或者多目標(biāo)入侵等安全威脅，從而更好地保護(hù)工業(yè)系統(tǒng)，實(shí)現(xiàn)多方協(xié)同的應(yīng)急響應(yīng)處置機(jī)制。應(yīng)急處置與協(xié)同防護(hù)2知識(shí)導(dǎo)入工業(yè)互聯(lián)網(wǎng)安全管理傳感網(wǎng)子域安全接入安全終端安全協(xié)同防護(hù)在工業(yè)互聯(lián)網(wǎng)的邏輯體系層面上有3個(gè)層次網(wǎng)頁篡改應(yīng)急響應(yīng)事件任務(wù)實(shí)施【任務(wù)目的】網(wǎng)頁篡改事件判斷并立即做出應(yīng)急響應(yīng)【使用工具】運(yùn)行系統(tǒng)：Windows10其他軟件：D盾、360殺毒、phpstudy、菜刀后門連接工具測(cè)試主機(jī)：測(cè)試服務(wù)器登錄到服務(wù)器上，對(duì)服務(wù)器進(jìn)行隔離，服務(wù)器并沒有安裝殺毒軟件，查看進(jìn)程信息【步驟1】可疑進(jìn)程分析【步驟2】管理員賬號(hào)查看01檢查是否被添加非法管理員賬號(hào)，確認(rèn)不存在非法用戶添加。02打開“命令提示符”窗口，輸入命令netlocalgroupadministrators，按Enter鍵執(zhí)行命令。【步驟3】端口分析輸入命令netstat-ano，查看是否存在危險(xiǎn)端口開放或者外聯(lián)【步驟4】Weshell查殺打開桌面tools文件夾，使用該文件夾中的D盾查殺工具，看是否存在木馬腳本?！静襟E5】網(wǎng)站日志記錄雙擊桌面上的phpstudy圖標(biāo)，運(yùn)行該軟件，在彈出對(duì)話框中單擊“啟動(dòng)”按鈕01【步驟5】網(wǎng)站日志記錄單擊“用戶管理”選項(xiàng)區(qū)中的“管理登錄日志”選項(xiàng)，在界面右側(cè)顯示相應(yīng)的管理登錄日志內(nèi)容對(duì)網(wǎng)站登錄日志的分析0203【步驟6】站點(diǎn)日志分析查看網(wǎng)站日志信息0201分析網(wǎng)站日志文件【步驟7】入侵方式分析還原單擊“備份與恢復(fù)數(shù)據(jù)”選項(xiàng)區(qū)中的“執(zhí)行SQL語句”選項(xiàng)，進(jìn)入界面。02經(jīng)過了解，發(fā)現(xiàn)該功能存在上傳漏洞。01【步驟7】入侵方式分析還原還原攻擊過程03【步驟7】入侵方式分析還原進(jìn)入“系統(tǒng)”界面，單擊“導(dǎo)入系統(tǒng)模型”按鈕04【步驟7】入侵方式分析還原將木馬腳本文件導(dǎo)入到網(wǎng)站中05【步驟7】入侵方式分析還原在網(wǎng)站中運(yùn)行木馬腳本文件，實(shí)現(xiàn)網(wǎng)站攻擊06【步驟8】防護(hù)建議設(shè)置網(wǎng)站登錄次數(shù)限制修改配置文件config.phpx相關(guān)參數(shù)0102【步驟8】防護(hù)建議避免使用默認(rèn)口令，如果使用，則在用戶首次登錄時(shí)，強(qiáng)制用戶修改密碼?？诹顝?fù)雜度要求：長(zhǎng)度8位及以上，至少包含大、小寫字母，數(shù)字，特殊字符兩類。0304對(duì)所有的get和post請(qǐng)求做安全過濾，也可以直接在eaddslashes的參數(shù)里增加惡意代碼的攔截機(jī)制，先檢測(cè)后放行，漏洞的利用條件是需要有后臺(tái)管理員權(quán)限，利用的不是太多，建議對(duì)網(wǎng)站后臺(tái)的管理目錄進(jìn)行更改。05設(shè)置網(wǎng)站登錄次數(shù)限制即說明實(shí)驗(yàn)成功完成。【步驟9】網(wǎng)站安全加固網(wǎng)站安全加固可以從以下4個(gè)方面進(jìn)行操作。（1）修改e/class/config.php文件，登陸限制次數(shù)限制修改loginnum參數(shù)，登錄時(shí)間鎖定限制修改logintime參數(shù)。（2）系統(tǒng)、應(yīng)用相關(guān)用戶杜絕使用弱口令，應(yīng)使用高復(fù)雜強(qiáng)度的密碼，盡量包含大小寫字母、數(shù)字、特殊符號(hào)等的混合密碼，加強(qiáng)管理員安全意識(shí)，禁止密碼重用的情況出現(xiàn)。（3）部署高級(jí)威脅監(jiān)測(cè)設(shè)備，及時(shí)發(fā)現(xiàn)惡意網(wǎng)絡(luò)流量，同時(shí)可進(jìn)一步加強(qiáng)追蹤溯源能力，對(duì)安全事件發(fā)生時(shí)可提供可靠的追溯依據(jù)。（4）建議在服務(wù)器或虛擬化環(huán)境上部署虛擬化安全管理系統(tǒng)，提升防惡意軟件、防暴力破解等安全防護(hù)能力。任務(wù)評(píng)價(jià)任務(wù)評(píng)價(jià)了解安全監(jiān)測(cè)與態(tài)勢(shì)評(píng)估的方法了解應(yīng)急處置與協(xié)同防護(hù)的內(nèi)容掌握判斷網(wǎng)頁是否被篡改的方法掌握網(wǎng)頁篡改事件的應(yīng)急響應(yīng)方法任務(wù)測(cè)驗(yàn)選擇題

A.運(yùn)行信息、流量信息、配置信息B.配置信息、運(yùn)行信息、流量信息

C.運(yùn)行信息、配置信息、流量信息D.配置信息、流量信息、運(yùn)行信息

準(zhǔn)確、全面地提取網(wǎng)絡(luò)環(huán)境中的安全態(tài)勢(shì)信息是進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究的基礎(chǔ)，需要提取的信息包括靜態(tài)的（）、動(dòng)態(tài)的（）以及網(wǎng)絡(luò)的（）等。A.安全漏洞掃描B.數(shù)據(jù)備份系統(tǒng)C.防火墻系統(tǒng)D.安全審計(jì)系統(tǒng)

以下哪個(gè)選項(xiàng)不屬于工業(yè)互聯(lián)網(wǎng)安全防護(hù)策略？（）A.net

userB.netstatC.netstat–anoD.user

以在Windows中的“命令提示符”窗口中輸入（）命令，可以查看系統(tǒng)帳戶。簡(jiǎn)答題任務(wù)測(cè)驗(yàn)1.簡(jiǎn)單描述網(wǎng)絡(luò)安全態(tài)勢(shì)感知的流程？2.簡(jiǎn)單描述網(wǎng)絡(luò)安全應(yīng)急協(xié)同防護(hù)的工作內(nèi)容？3.對(duì)網(wǎng)站進(jìn)行安全加固的方法？

任務(wù)3

工業(yè)互聯(lián)網(wǎng)安全應(yīng)急響應(yīng)預(yù)案的編寫近年來，隨著我國(guó)工業(yè)互聯(lián)網(wǎng)的高速發(fā)展，網(wǎng)絡(luò)安全威脅正在加速向工業(yè)領(lǐng)域蔓延，傳統(tǒng)的工業(yè)控制系統(tǒng)的安全機(jī)制的弱點(diǎn)在互聯(lián)網(wǎng)上暴露無遺。任務(wù)描述本任務(wù)主要講解工業(yè)互聯(lián)網(wǎng)安全應(yīng)急響應(yīng)預(yù)案的編寫方法。工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀及問題分析1工業(yè)互聯(lián)網(wǎng)作為國(guó)家重點(diǎn)信息基礎(chǔ)設(shè)施的重要組成部分，正在成為全世界最新的地緣政治角逐戰(zhàn)場(chǎng)。例如，包括能源、電力等在內(nèi)的關(guān)鍵網(wǎng)絡(luò)已成為全球攻擊者的首選目標(biāo)，極具價(jià)值。當(dāng)前，網(wǎng)絡(luò)安全威脅正在加速向工業(yè)領(lǐng)域蔓延，工業(yè)互聯(lián)網(wǎng)安全事件頻發(fā)已經(jīng)嚴(yán)重影響經(jīng)濟(jì)社會(huì)正常運(yùn)行及國(guó)家安全，接連發(fā)生的安全事件引發(fā)各國(guó)對(duì)工業(yè)互聯(lián)網(wǎng)安全高度重視與關(guān)注。知識(shí)導(dǎo)入工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀及問題分析1（1）行業(yè)復(fù)雜性帶來需求多樣性的挑戰(zhàn)在兩化融合基礎(chǔ)上，電子、家電等行業(yè)推動(dòng)生產(chǎn)向網(wǎng)絡(luò)化、智能化階段邁進(jìn)，各行業(yè)企業(yè)對(duì)工業(yè)互聯(lián)網(wǎng)安全需求側(cè)重不同。在離散型制造行業(yè)，側(cè)重推動(dòng)企業(yè)向服務(wù)型制造加速轉(zhuǎn)型。在流程型制造行業(yè)，利用信息技術(shù)助力企業(yè)提升綜合管控能力。因此，國(guó)內(nèi)工業(yè)互聯(lián)網(wǎng)安全體系建設(shè)需要根據(jù)行業(yè)視角進(jìn)行理解、剪裁、取舍和優(yōu)化，逐步形成良性可持續(xù)發(fā)展的工業(yè)互聯(lián)網(wǎng)安全體系，為工業(yè)互聯(lián)網(wǎng)帶來持久穩(wěn)定的安全保障力量。知識(shí)導(dǎo)入工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀及問題分析1（2）缺乏統(tǒng)一接入的安全標(biāo)準(zhǔn)及安全規(guī)范、服務(wù)規(guī)范的建設(shè)《中國(guó)制造2025》戰(zhàn)略帶來工業(yè)互聯(lián)網(wǎng)的蓬勃發(fā)展，新的工業(yè)互聯(lián)網(wǎng)化平臺(tái)不斷涌現(xiàn)，數(shù)量眾多，但是基本上處于各自為戰(zhàn)的狀態(tài)，安全方案千差萬別，服務(wù)能力參差不齊，未形成統(tǒng)一的安全框架模式和安全標(biāo)準(zhǔn)，無法基于標(biāo)準(zhǔn)定義符合各企業(yè)情況的安全接入策略，并獲得可預(yù)期的、全面的安全保障，不利于我國(guó)工業(yè)互聯(lián)網(wǎng)安全保障體系的可持續(xù)性發(fā)展。知識(shí)導(dǎo)入工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀及問題分析1（3）云服務(wù)下用戶身份治理問題分析在企業(yè)生產(chǎn)經(jīng)營(yíng)過程中，普遍存在重發(fā)展輕安全的情況，對(duì)其工業(yè)互聯(lián)網(wǎng)安全缺乏足夠意識(shí)，安全防護(hù)投入較低。工業(yè)企業(yè)各類應(yīng)用普遍在用戶口令、身份認(rèn)證、權(quán)限管理和通信加密等方面均存在大量安全問題。知識(shí)導(dǎo)入工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀及問題分析1（4）工業(yè)企業(yè)安全事件缺少審計(jì)工業(yè)企業(yè)需要不斷提升安全態(tài)勢(shì)感知和預(yù)警處置能力，以確保對(duì)安全事件的檢測(cè)、數(shù)據(jù)分析、風(fēng)險(xiǎn)預(yù)測(cè)和自動(dòng)調(diào)整等環(huán)節(jié)的實(shí)施。才能及時(shí)發(fā)現(xiàn)各類攻擊威脅與異常，對(duì)企業(yè)內(nèi)外部人員的日常登錄操作、訪問操作、輸入/輸出操作進(jìn)行全面詳實(shí)記錄，通過歸類、報(bào)表、圖形化等方式實(shí)現(xiàn)在線的分析審計(jì)需要，合規(guī)、可視化的審計(jì)行為可幫助企業(yè)及時(shí)規(guī)避大范圍的攻擊風(fēng)險(xiǎn)，為企業(yè)安全事件調(diào)查與回溯提供直接證明。知識(shí)導(dǎo)入工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀及問題分析1（5）風(fēng)險(xiǎn)診斷和研判能力有待提升從工業(yè)互聯(lián)網(wǎng)領(lǐng)域以往發(fā)生的信息安全事件不難看出，企業(yè)遭到的網(wǎng)絡(luò)安全威脅逐漸從無意識(shí)攻擊到有組織的蓄謀攻擊，從個(gè)體侵害演變?yōu)閲?guó)家網(wǎng)絡(luò)安全的威脅。針對(duì)企業(yè)信息安全的攻擊手段也更加多樣化。知識(shí)導(dǎo)入攻擊手段主要包括口令攻擊、拒絕服務(wù)攻擊、欺騙攻擊、劫持攻擊、高級(jí)可持續(xù)威脅攻擊和后門程序攻擊等，攻擊方式呈現(xiàn)跨時(shí)間、地點(diǎn)、動(dòng)機(jī)等因素限制。工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀及問題分析1（6）企業(yè)應(yīng)急機(jī)制的補(bǔ)充與完善工業(yè)互聯(lián)網(wǎng)身份與訪問控制體系還應(yīng)建立應(yīng)急預(yù)案管理、定義應(yīng)急安全處理策略，實(shí)現(xiàn)取證和總結(jié)等流程，規(guī)避高風(fēng)險(xiǎn)、不可逆、影響范圍廣的信息安全事件的發(fā)生?；谏鲜霈F(xiàn)狀分析可以看到，當(dāng)前我國(guó)工業(yè)企業(yè)面臨用戶身份治理、認(rèn)證和訪問控制、安全審計(jì)可追溯性、風(fēng)險(xiǎn)評(píng)估與研判、應(yīng)急機(jī)制建立等方面的管控能力不足，構(gòu)建基于身份與訪問控制為核心的安全云服務(wù)的支撐體系，成為工業(yè)互聯(lián)網(wǎng)安全生態(tài)建設(shè)的關(guān)鍵。知識(shí)導(dǎo)入工業(yè)互聯(lián)網(wǎng)的安全防護(hù)對(duì)策2（1）建立檢測(cè)和響應(yīng)機(jī)制工業(yè)互聯(lián)網(wǎng)發(fā)展期間，極易受到不法分子或黑客攻擊，因此必須積極應(yīng)對(duì)攻擊，采用攻擊檢測(cè)機(jī)制，對(duì)各方攻擊進(jìn)行監(jiān)測(cè)。建立和完善應(yīng)急響應(yīng)機(jī)制，遭受攻擊后必須迅速作出響應(yīng)，采取科學(xué)方式抵御攻擊，以此降低惡意攻擊所致?lián)p害影響。首先，通過多種檢測(cè)模型建立異常檢測(cè)機(jī)制，以此補(bǔ)充防火墻保護(hù)機(jī)制。利用異常代碼檢測(cè)、入侵檢測(cè)和病毒查殺等方式，對(duì)各類潛在攻擊行為進(jìn)行監(jiān)測(cè)。其次，注重建立快速攻擊響應(yīng)機(jī)制，對(duì)于工業(yè)互聯(lián)網(wǎng)入侵事件，在較短時(shí)間內(nèi)做出響應(yīng)動(dòng)作。知識(shí)導(dǎo)入工業(yè)互聯(lián)網(wǎng)的安全防護(hù)對(duì)策2（2）合理應(yīng)用先進(jìn)的互聯(lián)網(wǎng)安全防護(hù)辦法盡管互聯(lián)網(wǎng)和工業(yè)互聯(lián)網(wǎng)在安全防護(hù)方面存在差異，然而二者也具備關(guān)聯(lián)性和相似性。通過比較分析可知，互聯(lián)網(wǎng)安全防護(hù)發(fā)展速度快，出現(xiàn)大量現(xiàn)代化先進(jìn)的安全防護(hù)方法，以此保障互聯(lián)網(wǎng)安全。各類防護(hù)方法必須經(jīng)過轉(zhuǎn)換之后，才可以應(yīng)用到工業(yè)互聯(lián)網(wǎng)防護(hù)中，以此減少工業(yè)互聯(lián)網(wǎng)安全隱患。知識(shí)導(dǎo)入為了確保工業(yè)互聯(lián)網(wǎng)運(yùn)行安全性，必須深入研究安全防護(hù)技術(shù)，掌握工業(yè)互聯(lián)網(wǎng)產(chǎn)品組件存在的安全隱患，注重探究控制設(shè)備與傳感器軟件的安全問題，加大實(shí)踐探索力度。工業(yè)互聯(lián)網(wǎng)的安全防護(hù)對(duì)策2（3）采用整體防御的策略第一，采用持續(xù)響應(yīng)措施。建立相應(yīng)措施時(shí)，首先應(yīng)當(dāng)滿足應(yīng)急響應(yīng)需求。當(dāng)工業(yè)互聯(lián)網(wǎng)遭到破壞影響時(shí)，應(yīng)當(dāng)滿足持續(xù)監(jiān)測(cè)與修復(fù)要求，建立聯(lián)合防御與多點(diǎn)防御，以此滿足響應(yīng)需求。第二，基于數(shù)據(jù)實(shí)行整體防御。建立安全數(shù)據(jù)倉庫，結(jié)合云端威脅情報(bào)，以此檢測(cè)和防御已知威脅、高級(jí)威脅與各類型攻擊，同時(shí)可實(shí)現(xiàn)過程回溯。第三，組建安全防護(hù)團(tuán)隊(duì)。成立安全運(yùn)維中心，優(yōu)化組織流程，充實(shí)人員結(jié)構(gòu)，全面落實(shí)工業(yè)互聯(lián)網(wǎng)安全防護(hù)職責(zé)。知識(shí)導(dǎo)入工業(yè)互聯(lián)網(wǎng)的安全防護(hù)對(duì)策2例如，在應(yīng)用整體防御策略時(shí)，可以建立自適應(yīng)防護(hù)架構(gòu)，為工業(yè)互聯(lián)網(wǎng)用戶解決各類安全問題。系統(tǒng)組成包括六個(gè)過程閉環(huán)，技術(shù)人員需要參與到全過程中。知識(shí)導(dǎo)入④網(wǎng)絡(luò)融合⑤認(rèn)知預(yù)測(cè)⑥相應(yīng)決策①信息感知②數(shù)據(jù)匯集③轉(zhuǎn)化分析網(wǎng)頁篡改應(yīng)急響應(yīng)事件任務(wù)實(shí)施【任務(wù)目的】理解信息安全應(yīng)急響應(yīng)預(yù)案編寫內(nèi)容；掌握信息安全應(yīng)急響應(yīng)預(yù)案編寫方法?！静襟E1】編寫應(yīng)急響應(yīng)項(xiàng)目概述主要介紹應(yīng)