《工業(yè)互聯(lián)網(wǎng)安全技術(shù)基礎》課件- 28-安全監(jiān)測審計

IndustrialInternetsecuritytechnologyfoundation工業(yè)互聯(lián)網(wǎng)安全技術(shù)基礎《工業(yè)互聯(lián)網(wǎng)安全技術(shù)基礎》課程組第4章工控網(wǎng)絡安全技術(shù)安全監(jiān)測審計010203工控安全監(jiān)控數(shù)據(jù)包捕獲事件日志目錄1.工控安全監(jiān)測概述工控系統(tǒng)安全保障正面臨五大挑戰(zhàn)一、工控安全監(jiān)控安全失衡態(tài)勢失察診斷失證防護失效力量失衡2.工控安全監(jiān)測重要性實現(xiàn)應用白名單（ApplicationWhitelisting,AWL）確保合適的配置和補丁管理減少攻擊面建立一個可防御的環(huán)境管理認證實現(xiàn)安全的遠程訪問監(jiān)測和響應一、工控安全監(jiān)控工控網(wǎng)絡安全保障的七個策略3.部署位置可考慮在五個位置部署監(jiān)控程序：1）ICS邊界對IP流量進行監(jiān)測，正常和非正常的通信。2）在控制網(wǎng)絡中的IP流量，惡意的連接或者內(nèi)容。3）基于主機和網(wǎng)絡的產(chǎn)品，監(jiān)測惡意軟件和攻擊企圖。4）登錄分析（時間或者地點），監(jiān)測被盜用的賬號的使用或者不正確的訪問，驗證所有的異?，F(xiàn)象，通過快速電話聯(lián)系。5）監(jiān)測用戶的管理行動，檢測訪問控制操作。一、工控安全監(jiān)控4.工業(yè)系統(tǒng)行業(yè)場景拓撲一、工控安全監(jiān)控工業(yè)控制網(wǎng)絡行業(yè)場景拓撲圖二、數(shù)據(jù)包捕獲1.Wireshark工具簡介Wireshark（前稱Ethereal）是一個網(wǎng)絡封包分析軟件。網(wǎng)絡封包分析軟件的功能是截取網(wǎng)絡封包，并盡可能顯示出最為詳細的網(wǎng)絡封包資料。Wireshark使用WinPCAP作為接口，直接與網(wǎng)卡進行數(shù)據(jù)報文交換。二、數(shù)據(jù)包捕獲2.Wireshark數(shù)據(jù)捕獲選擇捕獲網(wǎng)絡接口單擊開始按鈕進行捕獲點擊停止按鈕停止捕獲二、數(shù)據(jù)包捕獲3.工控協(xié)議數(shù)據(jù)包分析使用過濾器對捕獲數(shù)據(jù)包進行過濾過濾方法：端口過濾，示例：tcp.port==80協(xié)議過濾，示例：HTTPhttp模式過濾，示例：http.request.method=="GET“連接符and，示例：ip.src==andhttp二、數(shù)據(jù)包捕獲3.工控協(xié)議數(shù)據(jù)包分析查看協(xié)議數(shù)據(jù)三、事件日志1.事件日志網(wǎng)絡設備、系統(tǒng)及服務程序等，在運作時都會產(chǎn)生一個叫l(wèi)og的事件記錄；每一行日志都記載著日期、時間、使用者及動作等相關(guān)操作的描述作用：查找系統(tǒng)或軟件或項目的錯誤或異常記錄入侵偵查事后審計分析等三、事件日志2.西門子S7200日志西門子PLCS7-200SMART的數(shù)據(jù)記錄通常是指按照日期時間排序的一組數(shù)據(jù)，每條記錄都是某些過程事件的一套過程數(shù)據(jù)。這些記錄可以包含時間及日期標簽。用戶可以在程序控制下保存過程數(shù)據(jù)記錄到CPU的存儲器中在STEP7-Micro/WINSMART軟件中，可以通過數(shù)據(jù)日志向?qū)?chuàng)建最多四個數(shù)據(jù)日志文件，他們存儲在PLC的永久存儲器中。每個數(shù)據(jù)日志都是一個單獨的文件，創(chuàng)建步驟如下：三、事件日志2.西門子S7200日志1.啟動數(shù)據(jù)日志向?qū)В?.選擇要組態(tài)的數(shù)據(jù)日志；3.命名所選擇的數(shù)據(jù)日志；4.定義數(shù)據(jù)日志的可選項；5.定義數(shù)據(jù)日志的字段；6.定義向?qū)枰腣存儲區(qū)；7.數(shù)據(jù)日志生成的項目組件；8.調(diào)用DATx