工業(yè)互聯(lián)網(wǎng)安全 課件 任務(wù)3 工業(yè)設(shè)備基礎(chǔ)安全分析

任務(wù)3工業(yè)設(shè)備基礎(chǔ)安全分析與配置本任務(wù)主要講解如何對(duì)華為路由器進(jìn)行安全加固處理，通過(guò)displaycurrent命令，查看是否有相關(guān)的配置信息。任務(wù)描述本任務(wù)要掌握華為路由器設(shè)備的測(cè)評(píng)和安全加固方法。工業(yè)設(shè)備安全影響因素1（1）工業(yè)通信設(shè)備及其安全影響因素工業(yè)網(wǎng)絡(luò)對(duì)通信具有實(shí)時(shí)性、可用性和可靠性等特殊要求，對(duì)工業(yè)通信設(shè)備提出了較高要求。知識(shí)導(dǎo)入a）工業(yè)通信設(shè)備的作用及類(lèi)型工業(yè)控制中的通信是其核心關(guān)鍵環(huán)節(jié)，也是工業(yè)互聯(lián)網(wǎng)的核心所在，需要采取多種工業(yè)通信體制來(lái)解決互聯(lián)、互通、互操作問(wèn)題。知識(shí)導(dǎo)入b)工業(yè)通信設(shè)備存在的安全因素分析①實(shí)時(shí)性保障問(wèn)題。②海量數(shù)據(jù)傳輸問(wèn)題。③異構(gòu)、異質(zhì)通信融合問(wèn)題。④工業(yè)無(wú)線(xiàn)通信應(yīng)用的特殊問(wèn)題。工業(yè)設(shè)備安全影響因素1（2）工業(yè)測(cè)控設(shè)備的安全影響因素根據(jù)測(cè)控設(shè)備的功能使命及在工控網(wǎng)絡(luò)拓?fù)渲兴幍匚坏牟町?，其整體安全保證能力的需求也不同，進(jìn)而對(duì)工控系統(tǒng)整體安全性的影響也各異。知識(shí)導(dǎo)入工業(yè)設(shè)備物理安全分析2物理安全（實(shí)體安全）涵蓋設(shè)備安全和環(huán)境安全，涉及支撐工業(yè)互聯(lián)網(wǎng)運(yùn)行的所有硬件設(shè)施的安全，包括現(xiàn)場(chǎng)及運(yùn)算環(huán)境、各種工業(yè)和IT設(shè)備以及存儲(chǔ)介質(zhì)等。工業(yè)互聯(lián)網(wǎng)中的各種系統(tǒng)總是通過(guò)某種方式在物理設(shè)備上運(yùn)行，所以，物理安全的保護(hù)是整個(gè)工業(yè)互聯(lián)網(wǎng)安全的基石。物理設(shè)備均運(yùn)行于特定的物理環(huán)境當(dāng)中。環(huán)境安全堪稱(chēng)物理安全乃至整個(gè)工業(yè)互聯(lián)網(wǎng)安全的最基本保障。知識(shí)導(dǎo)入工業(yè)設(shè)備功能安全分析3設(shè)備的安全性與用于安全功能感知的各類(lèi)傳感器密切相關(guān)，比如安全光柵、應(yīng)急開(kāi)關(guān)、限位觸點(diǎn)等。這些安全邏輯可以通過(guò)繼電器控制或者控制器來(lái)實(shí)現(xiàn)。傳統(tǒng)上認(rèn)為功能安全是相當(dāng)重要甚至是第一重要的。比如重工業(yè)中，鍛壓、切割、沖擊等設(shè)備操作，稍有疏忽即可能導(dǎo)致人身傷亡事故發(fā)生。石化、?；返雀呶Ｉa(chǎn)企業(yè)更是如此。知識(shí)導(dǎo)入功能安全危險(xiǎn)信息識(shí)別與標(biāo)識(shí)分析工業(yè)設(shè)備和控制中存在的可能危險(xiǎn)源，列明相關(guān)的可能危險(xiǎn)狀況及對(duì)應(yīng)的危害事件，識(shí)別并標(biāo)識(shí)已確定功能安全危險(xiǎn)涉及的主要信息。知識(shí)導(dǎo)入工業(yè)設(shè)備與控制的功能安全方面采取如下措施功能安全危險(xiǎn)狀況及危險(xiǎn)事件的識(shí)別與標(biāo)識(shí)分析工控軟件與其他軟件或工業(yè)裝備的相互作用引發(fā)的功能安全危險(xiǎn)狀況，并分析其可能導(dǎo)致的危害事件。功能安全危害事件的影響分析分析相關(guān)危險(xiǎn)源、危險(xiǎn)狀態(tài)所引發(fā)的危害事件的具體影響及破壞后果。功能安全綜合防范措施落實(shí)工控設(shè)備對(duì)外界危險(xiǎn)因素的抵抗、防御或切斷能力并對(duì)可能引發(fā)的安全失控狀態(tài)，采取監(jiān)測(cè)。工業(yè)設(shè)備信息安全分析4工業(yè)互聯(lián)網(wǎng)架構(gòu)中的工業(yè)設(shè)備多具有智能化，大多采用“嵌入式操作系統(tǒng)+微處理器+工業(yè)APP”的典型架構(gòu)，可能會(huì)招致嚴(yán)重的工業(yè)網(wǎng)絡(luò)攻擊，而且整個(gè)工業(yè)網(wǎng)絡(luò)攻擊面顯著擴(kuò)大、傳播速度劇增、危害后果嚴(yán)重。工業(yè)設(shè)備固件安全增強(qiáng)可從操作系統(tǒng)內(nèi)核、協(xié)議棧等方面來(lái)考慮，防范惡意代碼的傳播與運(yùn)行。知識(shí)導(dǎo)入路由器設(shè)備安全加固任務(wù)實(shí)施【任務(wù)目的】理解路由器設(shè)備的測(cè)評(píng)指標(biāo)；掌握路由器設(shè)備安全加固方法。【使用工具】設(shè)備：路由器（華為V8R10）工具：Xshell（其他支持Serial協(xié)議終端或SSH協(xié)議終端）【步驟1】應(yīng)刪除多余或無(wú)效的訪(fǎng)問(wèn)控制規(guī)則，優(yōu)化訪(fǎng)問(wèn)控制列表，并保證訪(fǎng)問(wèn)控制規(guī)則數(shù)量最小化。核查路由器設(shè)備是否不存在多余或無(wú)效的訪(fǎng)問(wèn)控制策略，并核查路由器設(shè)備的不同訪(fǎng)問(wèn)控制策略之間的邏輯關(guān)系，以及前后排列順序是否合理?！静襟E2】應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)，審計(jì)覆蓋到每個(gè)用戶(hù)，對(duì)重要的用戶(hù)行為和重要安全事件進(jìn)行審計(jì)。查看交換機(jī)日志審計(jì)功能的開(kāi)啟情況01<Huawei>displaylogbuffer//查看Log緩沖區(qū)的所有Log信息【步驟3】應(yīng)對(duì)登錄的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期更換。設(shè)置AUX口、Console口、VTY口及特權(quán)模式口令01[Huawei]user-interfacevty04[Huawei-ui-vty0-4]authentication-mode?password?//只通過(guò)密碼驗(yàn)證設(shè)置密碼策略02[Huawei-ui-vty0-4]set?authentication?password?cipherChaseAug【步驟4】應(yīng)具有登錄失敗處理功能，配置并啟用結(jié)束會(huì)話(huà)、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退出等相關(guān)措施。0102配置端口超時(shí)處理功能和登錄超時(shí)處理功能[Huawei]user-interfacevty04[Huawei-ui-vty0-4]idle-timeout5//登錄超時(shí)配置登錄失敗處理功能[Huawei]aaa[Huawei-aaa]local-aaa-userwrong-passwordretry-interval5retry-time3block-time5【步驟5】當(dāng)進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)。0102啟用SSH方式進(jìn)行遠(yuǎn)程管理[Huawei]user-interfacevty04[Huawei-ui-vty0-4]protocol?inboundssh關(guān)閉HTTP、HTTPS服務(wù)[Huawei]

undohttpserverenable[Huawei]undohttpsecure-serverenable【步驟6】應(yīng)通過(guò)設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對(duì)通過(guò)網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制。0102添加ACL[Huawei]acl340[Huawei-acl4-basic-340]rulepermitsource應(yīng)用ACL[Huawei]user-interfacevty04[Huawei-ui-vty0-4]acl340inboundin【步驟7】應(yīng)對(duì)登錄的用戶(hù)分配賬戶(hù)和權(quán)限。0102為登錄的用戶(hù)創(chuàng)建賬戶(hù)并設(shè)置密碼，避免使用nopassword。[Huawei-ui-vty0-4]set?authentication?password?cipherChaseAug為賬戶(hù)分配權(quán)限[Huawei-ui-vty0-4]userprivilegelevel2【步驟8】事件日志策略執(zhí)行“管理工具>事件查看器”命令，彈出“事件查看器”對(duì)話(huà)框。在左側(cè)“應(yīng)用程序”選項(xiàng)上單擊鼠標(biāo)右鍵，在彈出菜單中執(zhí)行“屬性”選項(xiàng)，彈出“應(yīng)用程序?qū)傩浴睂?duì)話(huà)框?！静襟E9】安全選項(xiàng)執(zhí)行“管理工具>本地安全策略”命令，彈出“本地安全策略”對(duì)話(huà)框，在左側(cè)單擊“安全選項(xiàng)”選項(xiàng)，在右側(cè)可以對(duì)安全選項(xiàng)進(jìn)行設(shè)置。【步驟10】注冊(cè)表安全設(shè)置審核禁止Dr.Watson創(chuàng)建DUMPS文件：020301HKLM\Software\Microsoft\DrWatson\CreateCrashDump(REG_DWORD)0禁止系統(tǒng)的自動(dòng)診斷自動(dòng)運(yùn)行：HKLM\Software\Microsoft\WindowsNT\CurrentVersion\AEDebug\Auto(REG_DWORD)0禁止從任何驅(qū)動(dòng)器上自動(dòng)運(yùn)行任何應(yīng)用程序：HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun(REG_DWORD)255禁止系統(tǒng)的自動(dòng)診斷自動(dòng)運(yùn)行：04HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun(REG_DWORD)255【步驟10】注冊(cè)表安全設(shè)置審核禁止任何新用戶(hù)自動(dòng)運(yùn)行：060705HKU.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun(REG_DWORD)255禁止自動(dòng)登錄：HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\AutoAdminLogon(REG_SZ)0隱藏鍵盤(pán)輸入星號(hào)實(shí)際字符：HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Network\HideSharePwds(REG_DWORD)1禁止系統(tǒng)的自動(dòng)診斷自動(dòng)運(yùn)行：HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Network\NoDialIn(REG_DWORD)108【步驟10】注冊(cè)表安全設(shè)置審核禁止在藍(lán)屏死機(jī)后自動(dòng)重啟：101109HKLM\System\CurrentControlSet\Control\CrashControl\AutoReboot(REG_DWORD)0禁止CD自動(dòng)播放：HKLM\System\CurrentControlSet\Services\CDrom\Autorun(REG_DWORD)0在服務(wù)器上清除管理共享：HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer(REG_DWORD)0保護(hù)阻止ComputerBrowserSpoofing攻擊：HKLM\System\CurrentControlSet\Services\MrxSmb\Parameters\RefuseReset(REG_DWORD)112【步驟10】注冊(cè)表安全設(shè)置審核保護(hù)阻止source-routingspoofing攻擊：13HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting(REG_DWORD)2保護(hù)默認(rèn)網(wǎng)關(guān)網(wǎng)絡(luò)設(shè)置：HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnableDeadGWDetect(REG_DWORD)0EnsureICMPRoutingviashortestpathfirst:HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect(REG_DWORD)0幫助阻止包碎片攻擊：HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery(REG_DWORD)01415【步驟10】注冊(cè)表安全設(shè)置審核管理Keep-alive時(shí)間：1916HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\KeepAliveTime(REG_DWORD)300000保護(hù)阻止惡意的Name-Release攻擊：HKLM\System\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand(REG_DWORD)1保護(hù)阻止SYNFlood攻擊：18HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect(REG_DWORD)217確保路由發(fā)現(xiàn)被禁止：HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\PerformRouterDiscovery(REG_DWORD)0【步驟10】注冊(cè)表安全設(shè)置審核SYN攻擊保護(hù)–管理TCP最大half-opensockets：2220HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen(REG_DWORD)100or500啟用IPSec保護(hù)KerberosRSVP傳輸：HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpenRetired(REG_DWORD)80or40021啟用IPSec保護(hù)KerberosRSVP傳輸：HKLM\System\CurrentControlSet\Services\IPSEC\NoDefaultExempt(REG_DWORD)1HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\AutoShareServer(REG_DWORD)0【步驟10】注冊(cè)表安全設(shè)置審核關(guān)閉admin共享：23HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\AutoShareWks(REG_DWORD)0關(guān)閉IPC$默認(rèn)共享：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous(REG_DWORD)124【步驟11】服務(wù)審核執(zhí)行“管理工具>計(jì)算機(jī)管理”命令，彈出“計(jì)算機(jī)管理”對(duì)話(huà)框。在左側(cè)列表中單擊“服務(wù)和應(yīng)用程序”選項(xiàng)中的“服務(wù)”選項(xiàng)，在右側(cè)可以對(duì)服務(wù)的相關(guān)選項(xiàng)進(jìn)行設(shè)置。【步驟12】用戶(hù)權(quán)限執(zhí)行“管理工具>本地安全策略”命令，彈出“本地安全策略”對(duì)話(huà)框，在左側(cè)單擊“本地策略”選項(xiàng)中的“用戶(hù)權(quán)限分配”選項(xiàng)，在右側(cè)可以對(duì)用戶(hù)權(quán)限分配的相關(guān)選項(xiàng)進(jìn)行設(shè)置?！静襟E13】文件權(quán)限%SystemDrive%\-Administrators:Full;System:Full;CreatorOwner:Full;Users:ReadandExecute,List%SystemDrive%\autoexec.bat-Administrators:Full;System:Full%SystemDrive%\boot.ini-Administrators:Full;System:Full%SystemDrive%\config.sys-Administrators:Full;System:Full%SystemDrive%\io.sys-Administrators:Full;System:Full%SystemDrive%\msdos.sys-Administrators:Full;System:Full%SystemDrive%\ntbootdd.sys-Administrators:Full;System:Full%SystemDrive%\-Administrators:Full;System:Full%SystemDrive%\ntldr-Administrators:Full;System:Full【步驟13】文件權(quán)限%SystemDrive%\DocumentsandSettings-Administrators:Full;System:Full;Users:ReadandExecute,List%SystemDrive%\DocumentsandSettings\Administrator-Administrators:Full;System:Full%SystemDrive%\DocumentsandSettings\AllUsers-Administrators:Full;System:Full;Users:ReadandExecute,List%SystemDrive%\DocumentsandSettings\AllUsers\Documents\DrWatson-Administrators:Full;System:Fu