工業(yè)互聯(lián)網(wǎng)安全 課件 項(xiàng)目7 工業(yè)互聯(lián)網(wǎng)安全應(yīng)急處置_第1頁
工業(yè)互聯(lián)網(wǎng)安全 課件 項(xiàng)目7 工業(yè)互聯(lián)網(wǎng)安全應(yīng)急處置_第2頁
工業(yè)互聯(lián)網(wǎng)安全 課件 項(xiàng)目7 工業(yè)互聯(lián)網(wǎng)安全應(yīng)急處置_第3頁
工業(yè)互聯(lián)網(wǎng)安全 課件 項(xiàng)目7 工業(yè)互聯(lián)網(wǎng)安全應(yīng)急處置_第4頁
工業(yè)互聯(lián)網(wǎng)安全 課件 項(xiàng)目7 工業(yè)互聯(lián)網(wǎng)安全應(yīng)急處置_第5頁
已閱讀5頁,還剩83頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

工業(yè)互聯(lián)網(wǎng)安全I(xiàn)ndustrialInternetSecurity項(xiàng)目01工業(yè)互聯(lián)網(wǎng)設(shè)備安全配置項(xiàng)目02工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全配置工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全配置項(xiàng)目04項(xiàng)目03工業(yè)互聯(lián)網(wǎng)控制系統(tǒng)安全配置項(xiàng)目05工業(yè)互聯(lián)網(wǎng)應(yīng)用安全配置項(xiàng)目06工業(yè)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目07工業(yè)互聯(lián)網(wǎng)安全應(yīng)用處置工業(yè)互聯(lián)網(wǎng)安全應(yīng)急處置07項(xiàng)目通過以下三個(gè)任務(wù)的實(shí)施,掌握工業(yè)互聯(lián)網(wǎng)安全應(yīng)急處置的相關(guān)內(nèi)容和方法。項(xiàng)目情境本項(xiàng)目將介紹工業(yè)互聯(lián)網(wǎng)安全應(yīng)急處置的相關(guān)知識(shí),幫助同學(xué)們對(duì)工業(yè)互聯(lián)網(wǎng)安全工作建立系統(tǒng)的認(rèn)識(shí)。工業(yè)互聯(lián)網(wǎng)FTP暴力破解的應(yīng)急響應(yīng)工業(yè)互聯(lián)網(wǎng)信息篡改的應(yīng)急響應(yīng)0103工業(yè)互聯(lián)網(wǎng)安全應(yīng)急響應(yīng)預(yù)案的編寫02了解資產(chǎn)偵測(cè)與安全管理的方法;了解數(shù)據(jù)保護(hù)與安全審計(jì)的相關(guān)內(nèi)容;了解安全監(jiān)測(cè)與態(tài)勢(shì)評(píng)估的方法;了解應(yīng)急處置與協(xié)同防護(hù)的內(nèi)容;了解工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀及問題分析;了解工業(yè)互聯(lián)網(wǎng)的安全防護(hù)對(duì)策。知識(shí)目標(biāo)掌握判斷FTP暴力破解事件的方法;具備對(duì)FTP暴力破解事件做出相應(yīng)的應(yīng)急響應(yīng);掌握判斷網(wǎng)頁是否被篡改的方法;具備網(wǎng)頁篡改事件的應(yīng)急響應(yīng)方法;理解安全應(yīng)急響應(yīng)預(yù)案編寫內(nèi)容;掌握安全應(yīng)急響應(yīng)預(yù)案編寫方法。技能目標(biāo)具備安全事件的應(yīng)急響應(yīng)和處置能力,能夠及時(shí)發(fā)現(xiàn)、分析和解決安全事件,采取有效的控制措施。具備創(chuàng)新思維和實(shí)踐能力,能夠運(yùn)用所學(xué)知識(shí)解決實(shí)際問題,并能夠根據(jù)實(shí)際需求提出新的解決方案。素質(zhì)目標(biāo)學(xué)習(xí)目標(biāo)學(xué)習(xí)導(dǎo)圖工業(yè)互聯(lián)網(wǎng)安全測(cè)評(píng)與應(yīng)急職業(yè)技能等級(jí)標(biāo)準(zhǔn)工業(yè)互聯(lián)網(wǎng)安全應(yīng)急處置工作任務(wù)職業(yè)技能要求等級(jí)知識(shí)點(diǎn)技能點(diǎn)理解并掌握工業(yè)互聯(lián)網(wǎng)安全應(yīng)急處置①能識(shí)別網(wǎng)絡(luò)安全事件及相關(guān)信息;②能夠?qū)Π踩录M(jìn)行分析;③能夠進(jìn)行安全事件應(yīng)急處置;④能夠根據(jù)安全事件的攻擊路徑,進(jìn)行網(wǎng)絡(luò)安全防護(hù);⑤能夠編寫安全應(yīng)急報(bào)告;⑥能具備良好的溝通表達(dá)及團(tuán)隊(duì)合作能力。初級(jí)中級(jí)①了解資產(chǎn)偵測(cè)與安全管理的方法;②了解數(shù)據(jù)保護(hù)與安全審計(jì)的相關(guān)內(nèi)容;③了解安全監(jiān)測(cè)與態(tài)勢(shì)評(píng)估的方法;④了解應(yīng)急處置與協(xié)同防護(hù)的內(nèi)容;⑤了解工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀及問題分析;⑥了解工業(yè)互聯(lián)網(wǎng)的安全防護(hù)對(duì)策。①掌握判斷FTP暴力破解事件的方法;②具備對(duì)FTP暴力破解事件做出相應(yīng)應(yīng)急響應(yīng)的能力;③掌握判斷網(wǎng)頁是否被篡改的方法;④具備網(wǎng)頁篡改事件的應(yīng)急響應(yīng)方法;⑤理解安全應(yīng)急響應(yīng)預(yù)案編寫內(nèi)容;⑥掌握安全應(yīng)急響應(yīng)預(yù)案編寫方法。與職業(yè)技能等級(jí)標(biāo)準(zhǔn)內(nèi)容對(duì)應(yīng)關(guān)系任務(wù)1工業(yè)互聯(lián)網(wǎng)FTP暴力破解

的應(yīng)急響應(yīng)FTP是一個(gè)文件傳輸協(xié)議,用戶通過FTP可從客戶機(jī)程序向遠(yuǎn)程主機(jī)上傳或下載文件,常用于網(wǎng)站代碼維護(hù)、日常源碼備份等。如果攻擊者通過FTP匿名訪問或者弱口令獲取FTP權(quán)限,可直接上傳webshell,進(jìn)一步滲透提權(quán),直至控制整個(gè)網(wǎng)站服務(wù)器。任務(wù)描述本任務(wù)主要講解如何判斷FTP暴力破解事件,以及如何對(duì)FTP暴力破解事件做出相應(yīng)的應(yīng)急響應(yīng)。資產(chǎn)偵測(cè)與安全管理1資產(chǎn)作為IT安全管理的對(duì)象,包括信息(或數(shù)據(jù))、硬件、軟件、資金、服務(wù)、人員等。工業(yè)互聯(lián)網(wǎng)資產(chǎn)偵測(cè)是指追蹤、掌握工業(yè)互聯(lián)網(wǎng)資產(chǎn)情況的過程。在工業(yè)互聯(lián)網(wǎng)的IT與OT環(huán)境中,如何針對(duì)終端、設(shè)備、服務(wù)等典型的網(wǎng)絡(luò)軟硬件資產(chǎn)進(jìn)行偵測(cè),它是實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)安全管理的重要前提,在工業(yè)互聯(lián)網(wǎng)安全相關(guān)工作中具有廣泛的應(yīng)用價(jià)值。知識(shí)導(dǎo)入現(xiàn)有網(wǎng)絡(luò)資產(chǎn)的探測(cè)方法及其特點(diǎn)知識(shí)導(dǎo)入類型范圍主要特點(diǎn)存在的問題傳統(tǒng)人工統(tǒng)計(jì)內(nèi)網(wǎng),小規(guī)??梢园l(fā)現(xiàn)新型探測(cè)方法無法分析到的部分(不產(chǎn)生網(wǎng)絡(luò)流量或探測(cè)數(shù)據(jù)包無法觸及的網(wǎng)絡(luò)資產(chǎn))耗時(shí)費(fèi)力,時(shí)效性差基于客戶端需要大規(guī)模安裝客戶端,由客戶端自動(dòng)采集,上報(bào)網(wǎng)絡(luò)資產(chǎn)數(shù)據(jù),速度快,效率高,節(jié)省人力入侵性最強(qiáng),限制因素多;客戶端開發(fā)、設(shè)計(jì)成本高現(xiàn)有網(wǎng)絡(luò)資產(chǎn)的探測(cè)方法及其特點(diǎn)知識(shí)導(dǎo)入類型范圍主要特點(diǎn)存在的問題新型主動(dòng)探測(cè)全網(wǎng)/內(nèi)網(wǎng),各種規(guī)模均適用無須安裝客戶端,在網(wǎng)內(nèi)一個(gè)節(jié)點(diǎn)運(yùn)行并收發(fā)探測(cè)數(shù)據(jù)包即可;速度快,能及時(shí)發(fā)現(xiàn)不產(chǎn)生網(wǎng)絡(luò)流量的資產(chǎn)噪聲大,易觸發(fā)報(bào)警;僅能了解當(dāng)次探測(cè)的狀態(tài);對(duì)安全設(shè)備保護(hù)的網(wǎng)絡(luò)資產(chǎn)探測(cè)的難度大被動(dòng)探測(cè)僅限于內(nèi)網(wǎng)無網(wǎng)絡(luò)流量插入,入侵性??;對(duì)安全設(shè)備保護(hù)的網(wǎng)絡(luò)資產(chǎn)具備一定的探測(cè)能力;支持歷史數(shù)據(jù)的積累適用范圍限于內(nèi)網(wǎng);探測(cè)結(jié)果受限于所分析網(wǎng)絡(luò)流量的全面性;不產(chǎn)生流量的資產(chǎn)無效搜索引擎通用網(wǎng)絡(luò)安全專用僅限于公網(wǎng)(目標(biāo)資產(chǎn)必須有公網(wǎng)IP)以查詢的方式探測(cè),隱蔽性強(qiáng),探測(cè)速度快;支持全網(wǎng)探測(cè);支持歷史數(shù)據(jù)的積累僅對(duì)Web相關(guān)網(wǎng)絡(luò)資產(chǎn)有效,對(duì)公網(wǎng)網(wǎng)絡(luò)組件、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)服務(wù)等的控測(cè)具有優(yōu)勢(shì)無法對(duì)內(nèi)網(wǎng)資產(chǎn)進(jìn)行控測(cè);受限于搜索引擎的數(shù)據(jù)獲取能力;易被欺騙,準(zhǔn)確率較低安全風(fēng)險(xiǎn)評(píng)估的概念和方法1(1)基于通用搜索引擎的探測(cè)谷歌黑客技術(shù)是一種利用谷歌搜索引擎進(jìn)行漏洞目標(biāo)探測(cè)以及敏感信息挖掘的技術(shù),可以實(shí)現(xiàn)網(wǎng)站映射、查看站點(diǎn)目錄列表、查找登錄頁面、查找口令文件、查找網(wǎng)絡(luò)設(shè)備等功能,因此具備一定的網(wǎng)絡(luò)資產(chǎn)探測(cè)能力。GHDB(GoogleHackingDataBase)是一個(gè)谷歌黑客搜索查詢指令的數(shù)據(jù)庫,可以基于GHDB中的特定搜索查詢串、某些服務(wù)的頁面腳注、Web服務(wù)器返回的錯(cuò)誤消息中攜帶的信息實(shí)現(xiàn)端口、操作系統(tǒng)及版本的探測(cè)。知識(shí)導(dǎo)入安全風(fēng)險(xiǎn)評(píng)估的概念和方法1(2)基于網(wǎng)絡(luò)安全專用搜索引擎的探測(cè)Shodan側(cè)重對(duì)所有連接互聯(lián)網(wǎng)的設(shè)備及其組件類型信息的搜索,可以使用Shodan搜索攝像頭、打印機(jī)、工業(yè)控制器,甚至是粒子加速器、核電站控制設(shè)備。Censys系統(tǒng)可以對(duì)搜集的數(shù)據(jù)進(jìn)行數(shù)據(jù)處理匯總,提取結(jié)構(gòu)化數(shù)據(jù),并將其保存于谷歌云存儲(chǔ)平臺(tái)。它還可以利用開源的ElasticSearch平臺(tái)和谷歌BigQuery分別在前端和后臺(tái)為用戶提供ZMap全網(wǎng)端口、服務(wù)掃描結(jié)果的搜索查詢。知識(shí)導(dǎo)入安全風(fēng)險(xiǎn)評(píng)估的概念和方法1360公司的工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知平臺(tái)。該平臺(tái)通過引入多維度的協(xié)議識(shí)別技術(shù)實(shí)現(xiàn)了廣泛的協(xié)議解析。除了可以識(shí)別HTTP、HTTPS、FTP、Telnet、SNMP等通用協(xié)議外,還支持主流工控協(xié)議的指紋識(shí)別,包括SiemensS7、Modbus、IEC608705104、DNP3、OMRONFINS、PCWORK、EtherNet/IP、BACnet、TridiumNiagaraFox等。知識(shí)導(dǎo)入數(shù)據(jù)保護(hù)與安全審計(jì)2知識(shí)導(dǎo)入網(wǎng)絡(luò)安全風(fēng)險(xiǎn)已經(jīng)成為所有組織面臨的風(fēng)險(xiǎn)管理挑戰(zhàn)之一,開展數(shù)據(jù)保護(hù)與網(wǎng)絡(luò)安全審計(jì)更加必要和重要。如表所示為網(wǎng)絡(luò)安全審計(jì)的關(guān)系、目標(biāo)和意義。網(wǎng)絡(luò)安全中的關(guān)系管理網(wǎng)絡(luò)安全審計(jì)的目標(biāo)審計(jì)在網(wǎng)絡(luò)安全中的角色1.信息技術(shù)2.信息安全3.信息風(fēng)險(xiǎn)管理4.合規(guī)和其他團(tuán)隊(duì)1.三道防線2.超越合規(guī)性3.預(yù)防、檢測(cè)和響應(yīng)的三階段戰(zhàn)略4.專業(yè)的網(wǎng)絡(luò)評(píng)估1.網(wǎng)絡(luò)安全框架2.內(nèi)部審計(jì)將發(fā)生的變化3.未來的技能需求4.尋找和留住人才工業(yè)互聯(lián)網(wǎng)安全審計(jì)的對(duì)象知識(shí)導(dǎo)入類型ITOT網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)交換機(jī)、路由器、負(fù)載均衡設(shè)備等工控交換機(jī)、網(wǎng)絡(luò)交換機(jī)、物聯(lián)網(wǎng)關(guān)、邊緣計(jì)算設(shè)備等服務(wù)器通用服務(wù)器、域控服務(wù)器、DNS服務(wù)器等OPC服務(wù)器、MTU服務(wù)器、CA服務(wù)器等計(jì)算終端電腦、手機(jī)、平板、打印機(jī)、攝像頭等電腦、HMI、IOT設(shè)備、IED、RTU、PLC、DCS控制單元、SIS控制單元、機(jī)器人、數(shù)控機(jī)床、遙控終端、打印機(jī)、攝像頭等數(shù)據(jù)庫歷史數(shù)據(jù)庫OPC、實(shí)時(shí)數(shù)據(jù)庫應(yīng)用系統(tǒng)工業(yè)云平臺(tái)、工業(yè)App、門戶網(wǎng)站、OA、ERP、PDM、DNS等組態(tài)程序、OPC、MES、CAD、CAE、CAM、工程輔助軟件、各種定制化軟件等安全設(shè)備網(wǎng)絡(luò)防火墻、IPS、IDS、防病毒網(wǎng)關(guān)、安全審計(jì)設(shè)備、VPN、運(yùn)維管理設(shè)備、網(wǎng)閘等工業(yè)防火墻、單向隔離網(wǎng)關(guān)、縱向加密裝置、工業(yè)審計(jì)設(shè)備等數(shù)據(jù)保護(hù)與安全審計(jì)2知識(shí)導(dǎo)入與安全審計(jì)相比,監(jiān)測(cè)管理技術(shù)雖然實(shí)現(xiàn)的效果類似,但是有安全實(shí)時(shí)性的要求,主要應(yīng)用于工業(yè)互聯(lián)網(wǎng)IT環(huán)境中,OT環(huán)境中的監(jiān)控多使用組態(tài)技術(shù)實(shí)現(xiàn),有時(shí)也使用網(wǎng)絡(luò)監(jiān)控技術(shù),而物理環(huán)境則采用視頻監(jiān)控的方式。最有代表性的網(wǎng)絡(luò)監(jiān)控管理技術(shù)是利用SNMP協(xié)議技術(shù)實(shí)現(xiàn)的網(wǎng)絡(luò)監(jiān)控管理,它是網(wǎng)絡(luò)管理中被廣大設(shè)備廠商及用戶支持和應(yīng)用的協(xié)議,現(xiàn)實(shí)生活中經(jīng)常用于實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備管理、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控。安全測(cè)試報(bào)告編寫任務(wù)實(shí)施【任務(wù)目的】對(duì)FTP暴力破解事件判斷并立即做出應(yīng)急響應(yīng)【使用工具】運(yùn)行系統(tǒng):WindowsServer2016其他軟件:FTP暴力破解工具測(cè)試主機(jī):測(cè)試服務(wù)器(開啟FTP服務(wù))【步驟1】

可疑進(jìn)程查看01登錄到服務(wù)器上,對(duì)服務(wù)器進(jìn)行隔離,服務(wù)器并沒有安裝殺毒軟件,查看進(jìn)程信息【步驟2】

管理員賬號(hào)查看01與客戶確認(rèn)管理員賬號(hào)密碼,管理員賬號(hào)需要不存在弱口令。檢查是否被添加非法管理員賬號(hào),確認(rèn)不存在非法用戶添加。02打開“命令提示符”窗口,輸入命令netuser,按Enter鍵執(zhí)行命令【步驟3】

端口分析01查看端口的使用情況,在“命令提示符”窗口中輸入命令netstat-ano,查看是否存在危險(xiǎn)端口開放或者外聯(lián)。發(fā)現(xiàn)開放21和445危險(xiǎn)端口。排查兩個(gè)端口潛在風(fēng)險(xiǎn),21端口為FTP端口,445為SMB端口。02【步驟4】

日志分析右鍵單擊右邊服務(wù)器“InternetInformationServices(IIS)管理器”查看FTP配置,找到FTP日志存放路徑。0201【步驟4】

日志分析查看FTP留存日志C:\inetpub\logs\LogFiles\FTPSVC2\u_ex20230402.log,發(fā)現(xiàn)存在暴力破解行為。通過查看端口服務(wù)及管理員訪談,確認(rèn)服務(wù)器對(duì)公網(wǎng)開放了FTP服務(wù)。03【步驟4】

日志分析通過日志分析,發(fā)現(xiàn)單位時(shí)間內(nèi)存在多個(gè)用戶名嘗試登錄FTP,確定存在FTP被暴力破解事件。04【步驟5】

策略分析在“運(yùn)行”對(duì)話框中輸入gpedit.msc。在打開的對(duì)話框中查看本地組策略編輯器展開“Windows設(shè)置>安全設(shè)置>賬戶策略>賬戶鎖定策略”選項(xiàng),雙擊“賬戶鎖定閾值”選項(xiàng),查看鎖定次數(shù)0102【步驟6】

配置安全策略對(duì)“賬戶鎖定閾值”選項(xiàng)進(jìn)行設(shè)置。0102設(shè)置完FTP登錄失敗次數(shù)限制,完成實(shí)驗(yàn)【步驟7】FTP安全加固方法通過本任務(wù),對(duì)FTP暴力破解應(yīng)急響應(yīng)的方法有一定思路,學(xué)會(huì)對(duì)FTP暴力破解事件進(jìn)行安全加固。除此之外,對(duì)于安全加固可以從以下3個(gè)方面進(jìn)行操作。(1)禁止使用FTP傳輸文件,若必須開放應(yīng)限定管理IP地址并加強(qiáng)口令安全審計(jì)。(2)更改服務(wù)器FTP默認(rèn)端口。(3)部署入侵檢測(cè)設(shè)備,增強(qiáng)安全防護(hù)。任務(wù)評(píng)價(jià)任務(wù)評(píng)價(jià)了解資產(chǎn)偵測(cè)與安全管理的方法了解數(shù)據(jù)保護(hù)與安全審計(jì)的相關(guān)內(nèi)容掌握判斷FTP暴力破解事件的方法掌握對(duì)FTP暴力破解事件做出相應(yīng)的應(yīng)急響應(yīng)任務(wù)測(cè)驗(yàn)選擇題

A.GoogleB.SchodanC.CensysD.ZoomEye

以下哪個(gè)不屬于針對(duì)網(wǎng)絡(luò)安全專用的搜索引擎?()A.Net

user

B.netstatC.netstat-ano

D.user

在Windows中“命令提示符”窗口中輸入()命令,可以查看系統(tǒng)端口使用情況。A.資產(chǎn)偵測(cè)B.安全管理C.數(shù)據(jù)包保護(hù)D.安全審計(jì)

網(wǎng)絡(luò)()是對(duì)計(jì)劃、執(zhí)行、維護(hù)等層面的風(fēng)險(xiǎn)進(jìn)行識(shí)別和檢查的一種方法和措施。簡(jiǎn)答題任務(wù)測(cè)驗(yàn)1.簡(jiǎn)單描述什么是工業(yè)互聯(lián)網(wǎng)資產(chǎn)偵測(cè),以及偵測(cè)方式?2.簡(jiǎn)單描述什么是網(wǎng)絡(luò)安全審計(jì)?3.對(duì)FTP進(jìn)行安全加固的方法?

任務(wù)2工業(yè)互聯(lián)網(wǎng)信息篡改的

應(yīng)急響應(yīng)網(wǎng)頁篡改一般有明顯的網(wǎng)頁篡改和隱藏式篡改兩種。明顯的網(wǎng)頁篡改即攻擊者直接在網(wǎng)站主頁進(jìn)行篡改,隱藏式篡改一般是將被攻擊網(wǎng)站的網(wǎng)頁植入鏈接色情、詐騙等非法信息的鏈接中,以通過灰黑色產(chǎn)業(yè)牟取非法經(jīng)濟(jì)利益。黑客為了篡改網(wǎng)頁,一般需提前知曉網(wǎng)站的漏洞,提前在網(wǎng)頁中植入后門,并最終獲取網(wǎng)站的控制權(quán)。任務(wù)描述本任務(wù)主要講解了如何判斷網(wǎng)頁篡改事件,以及如何對(duì)網(wǎng)頁篡改事件做出相應(yīng)的應(yīng)急響應(yīng)。安全檢測(cè)與態(tài)勢(shì)評(píng)估1網(wǎng)絡(luò)安全態(tài)勢(shì)感知的具體流程是先采集所有安全設(shè)備的防護(hù)、攔截日志信息,然后對(duì)這些信息進(jìn)行分析、理解,再對(duì)當(dāng)前網(wǎng)絡(luò)未來可能面對(duì)的環(huán)境變化進(jìn)行預(yù)測(cè)。這個(gè)過程可以總結(jié)為態(tài)勢(shì)信息提取、態(tài)勢(shì)評(píng)估和態(tài)勢(shì)預(yù)測(cè)3個(gè)步驟。知識(shí)導(dǎo)入安全檢測(cè)與態(tài)勢(shì)評(píng)估1態(tài)勢(shì)評(píng)估是指在獲取海量安全數(shù)據(jù)的基礎(chǔ)上,通過解析數(shù)據(jù)之間的關(guān)聯(lián)性,對(duì)其進(jìn)行融合,獲取宏觀的網(wǎng)絡(luò)安全態(tài)勢(shì)。態(tài)勢(shì)評(píng)估的核心是這些海量數(shù)據(jù)的融合。目前,應(yīng)用于工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)評(píng)估的融合算法主要有4類:基于邏輯關(guān)系的融合方法、基于數(shù)學(xué)模型的融合方法、基于概率統(tǒng)計(jì)的融合方法以及基于規(guī)則推理的融合方法。知識(shí)導(dǎo)入安全檢測(cè)與態(tài)勢(shì)評(píng)估1安全態(tài)勢(shì)的預(yù)測(cè)是指根據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)的歷史信息和當(dāng)前狀態(tài)對(duì)網(wǎng)絡(luò)未來一段時(shí)間的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)。網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)是態(tài)勢(shì)感知的一個(gè)基本目標(biāo)。對(duì)于安全態(tài)勢(shì)評(píng)估模型,首先需要熟悉3個(gè)術(shù)語:①攻擊發(fā)生概率:某種攻擊已經(jīng)發(fā)生的可能性,以m(h)表示。②攻擊成功概率:某種攻擊發(fā)生后,該攻擊成功的概率或程度,以s(h)表示。③攻擊威脅:某種攻擊成功實(shí)施后造成的影響,以V表示。知識(shí)導(dǎo)入安全檢測(cè)與態(tài)勢(shì)評(píng)估1知識(shí)導(dǎo)入應(yīng)急處置與協(xié)同防護(hù)2知識(shí)導(dǎo)入在工業(yè)互聯(lián)網(wǎng)安全運(yùn)維工作中,遭遇突發(fā)安全事件后的應(yīng)急處置與協(xié)同防護(hù)是重中之重,而分析協(xié)同防護(hù)是該工作的核心。應(yīng)急處置與協(xié)同防護(hù)2知識(shí)導(dǎo)入從組織工作維度,不僅包括IT和OT架構(gòu)層面的安全防護(hù)協(xié)同,還包括內(nèi)部團(tuán)隊(duì)和安全服務(wù)商的協(xié)同,以及系統(tǒng)架構(gòu)內(nèi)部組件和數(shù)據(jù)機(jī)制的協(xié)同。只有從兩種維度都做出相應(yīng)的設(shè)計(jì)、部署和運(yùn)營(yíng)后,才能規(guī)避因?yàn)槿狈吸c(diǎn)故障和協(xié)同機(jī)制而帶來的跨域滲透或者多目標(biāo)入侵等安全威脅,從而更好地保護(hù)工業(yè)系統(tǒng),實(shí)現(xiàn)多方協(xié)同的應(yīng)急響應(yīng)處置機(jī)制。應(yīng)急處置與協(xié)同防護(hù)2知識(shí)導(dǎo)入工業(yè)互聯(lián)網(wǎng)安全管理傳感網(wǎng)子域安全接入安全終端安全協(xié)同防護(hù)在工業(yè)互聯(lián)網(wǎng)的邏輯體系層面上有3個(gè)層次網(wǎng)頁篡改應(yīng)急響應(yīng)事件任務(wù)實(shí)施【任務(wù)目的】網(wǎng)頁篡改事件判斷并立即做出應(yīng)急響應(yīng)【使用工具】運(yùn)行系統(tǒng):Windows10其他軟件:D盾、360殺毒、phpstudy、菜刀后門連接工具測(cè)試主機(jī):測(cè)試服務(wù)器登錄到服務(wù)器上,對(duì)服務(wù)器進(jìn)行隔離,服務(wù)器并沒有安裝殺毒軟件,查看進(jìn)程信息【步驟1】可疑進(jìn)程分析【步驟2】管理員賬號(hào)查看01檢查是否被添加非法管理員賬號(hào),確認(rèn)不存在非法用戶添加。02打開“命令提示符”窗口,輸入命令netlocalgroupadministrators,按Enter鍵執(zhí)行命令。【步驟3】端口分析輸入命令netstat-ano,查看是否存在危險(xiǎn)端口開放或者外聯(lián)【步驟4】Weshell查殺打開桌面tools文件夾,使用該文件夾中的D盾查殺工具,看是否存在木馬腳本?!静襟E5】網(wǎng)站日志記錄雙擊桌面上的phpstudy圖標(biāo),運(yùn)行該軟件,在彈出對(duì)話框中單擊“啟動(dòng)”按鈕01【步驟5】網(wǎng)站日志記錄單擊“用戶管理”選項(xiàng)區(qū)中的“管理登錄日志”選項(xiàng),在界面右側(cè)顯示相應(yīng)的管理登錄日志內(nèi)容對(duì)網(wǎng)站登錄日志的分析0203【步驟6】站點(diǎn)日志分析查看網(wǎng)站日志信息0201分析網(wǎng)站日志文件【步驟7】入侵方式分析還原單擊“備份與恢復(fù)數(shù)據(jù)”選項(xiàng)區(qū)中的“執(zhí)行SQL語句”選項(xiàng),進(jìn)入界面。02經(jīng)過了解,發(fā)現(xiàn)該功能存在上傳漏洞。01【步驟7】入侵方式分析還原還原攻擊過程03【步驟7】入侵方式分析還原進(jìn)入“系統(tǒng)”界面,單擊“導(dǎo)入系統(tǒng)模型”按鈕04【步驟7】入侵方式分析還原將木馬腳本文件導(dǎo)入到網(wǎng)站中05【步驟7】入侵方式分析還原在網(wǎng)站中運(yùn)行木馬腳本文件,實(shí)現(xiàn)網(wǎng)站攻擊06【步驟8】防護(hù)建議設(shè)置網(wǎng)站登錄次數(shù)限制修改配置文件config.phpx相關(guān)參數(shù)0102【步驟8】防護(hù)建議避免使用默認(rèn)口令,如果使用,則在用戶首次登錄時(shí),強(qiáng)制用戶修改密碼??诹顝?fù)雜度要求:長(zhǎng)度8位及以上,至少包含大、小寫字母,數(shù)字,特殊字符兩類。0304對(duì)所有的get和post請(qǐng)求做安全過濾,也可以直接在eaddslashes的參數(shù)里增加惡意代碼的攔截機(jī)制,先檢測(cè)后放行,漏洞的利用條件是需要有后臺(tái)管理員權(quán)限,利用的不是太多,建議對(duì)網(wǎng)站后臺(tái)的管理目錄進(jìn)行更改。05設(shè)置網(wǎng)站登錄次數(shù)限制即說明實(shí)驗(yàn)成功完成。【步驟9】網(wǎng)站安全加固網(wǎng)站安全加固可以從以下4個(gè)方面進(jìn)行操作。(1)修改e/class/config.php文件,登陸限制次數(shù)限制修改loginnum參數(shù),登錄時(shí)間鎖定限制修改logintime參數(shù)。(2)系統(tǒng)、應(yīng)用相關(guān)用戶杜絕使用弱口令,應(yīng)使用高復(fù)雜強(qiáng)度的密碼,盡量包含大小寫字母、數(shù)字、特殊符號(hào)等的混合密碼,加強(qiáng)管理員安全意識(shí),禁止密碼重用的情況出現(xiàn)。(3)部署高級(jí)威脅監(jiān)測(cè)設(shè)備,及時(shí)發(fā)現(xiàn)惡意網(wǎng)絡(luò)流量,同時(shí)可進(jìn)一步加強(qiáng)追蹤溯源能力,對(duì)安全事件發(fā)生時(shí)可提供可靠的追溯依據(jù)。(4)建議在服務(wù)器或虛擬化環(huán)境上部署虛擬化安全管理系統(tǒng),提升防惡意軟件、防暴力破解等安全防護(hù)能力。任務(wù)評(píng)價(jià)任務(wù)評(píng)價(jià)了解安全監(jiān)測(cè)與態(tài)勢(shì)評(píng)估的方法了解應(yīng)急處置與協(xié)同防護(hù)的內(nèi)容掌握判斷網(wǎng)頁是否被篡改的方法掌握網(wǎng)頁篡改事件的應(yīng)急響應(yīng)方法任務(wù)測(cè)驗(yàn)選擇題

A.運(yùn)行信息、流量信息、配置信息B.配置信息、運(yùn)行信息、流量信息

C.運(yùn)行信息、配置信息、流量信息D.配置信息、流量信息、運(yùn)行信息

準(zhǔn)確、全面地提取網(wǎng)絡(luò)環(huán)境中的安全態(tài)勢(shì)信息是進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究的基礎(chǔ),需要提取的信息包括靜態(tài)的()、動(dòng)態(tài)的()以及網(wǎng)絡(luò)的()等。A.安全漏洞掃描B.數(shù)據(jù)備份系統(tǒng)C.防火墻系統(tǒng)D.安全審計(jì)系統(tǒng)

以下哪個(gè)選項(xiàng)不屬于工業(yè)互聯(lián)網(wǎng)安全防護(hù)策略?()A.net

userB.netstatC.netstat–anoD.user

以在Windows中的“命令提示符”窗口中輸入()命令,可以查看系統(tǒng)帳戶。簡(jiǎn)答題任務(wù)測(cè)驗(yàn)1.簡(jiǎn)單描述網(wǎng)絡(luò)安全態(tài)勢(shì)感知的流程?2.簡(jiǎn)單描述網(wǎng)絡(luò)安全應(yīng)急協(xié)同防護(hù)的工作內(nèi)容?3.對(duì)網(wǎng)站進(jìn)行安全加固的方法?

任務(wù)3

工業(yè)互聯(lián)網(wǎng)安全應(yīng)急響應(yīng)預(yù)案的編寫近年來,隨著我國(guó)工業(yè)互聯(lián)網(wǎng)的高速發(fā)展,網(wǎng)絡(luò)安全威脅正在加速向工業(yè)領(lǐng)域蔓延,傳統(tǒng)的工業(yè)控制系統(tǒng)的安全機(jī)制的弱點(diǎn)在互聯(lián)網(wǎng)上暴露無遺。任務(wù)描述本任務(wù)主要講解工業(yè)互聯(lián)網(wǎng)安全應(yīng)急響應(yīng)預(yù)案的編寫方法。工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀及問題分析1工業(yè)互聯(lián)網(wǎng)作為國(guó)家重點(diǎn)信息基礎(chǔ)設(shè)施的重要組成部分,正在成為全世界最新的地緣政治角逐戰(zhàn)場(chǎng)。例如,包括能源、電力等在內(nèi)的關(guān)鍵網(wǎng)絡(luò)已成為全球攻擊者的首選目標(biāo),極具價(jià)值。當(dāng)前,網(wǎng)絡(luò)安全威脅正在加速向工業(yè)領(lǐng)域蔓延,工業(yè)互聯(lián)網(wǎng)安全事件頻發(fā)已經(jīng)嚴(yán)重影響經(jīng)濟(jì)社會(huì)正常運(yùn)行及國(guó)家安全,接連發(fā)生的安全事件引發(fā)各國(guó)對(duì)工業(yè)互聯(lián)網(wǎng)安全高度重視與關(guān)注。知識(shí)導(dǎo)入工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀及問題分析1(1)行業(yè)復(fù)雜性帶來需求多樣性的挑戰(zhàn)在兩化融合基礎(chǔ)上,電子、家電等行業(yè)推動(dòng)生產(chǎn)向網(wǎng)絡(luò)化、智能化階段邁進(jìn),各行業(yè)企業(yè)對(duì)工業(yè)互聯(lián)網(wǎng)安全需求側(cè)重不同。在離散型制造行業(yè),側(cè)重推動(dòng)企業(yè)向服務(wù)型制造加速轉(zhuǎn)型。在流程型制造行業(yè),利用信息技術(shù)助力企業(yè)提升綜合管控能力。因此,國(guó)內(nèi)工業(yè)互聯(lián)網(wǎng)安全體系建設(shè)需要根據(jù)行業(yè)視角進(jìn)行理解、剪裁、取舍和優(yōu)化,逐步形成良性可持續(xù)發(fā)展的工業(yè)互聯(lián)網(wǎng)安全體系,為工業(yè)互聯(lián)網(wǎng)帶來持久穩(wěn)定的安全保障力量。知識(shí)導(dǎo)入工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀及問題分析1(2)缺乏統(tǒng)一接入的安全標(biāo)準(zhǔn)及安全規(guī)范、服務(wù)規(guī)范的建設(shè)《中國(guó)制造2025》戰(zhàn)略帶來工業(yè)互聯(lián)網(wǎng)的蓬勃發(fā)展,新的工業(yè)互聯(lián)網(wǎng)化平臺(tái)不斷涌現(xiàn),數(shù)量眾多,但是基本上處于各自為戰(zhàn)的狀態(tài),安全方案千差萬別,服務(wù)能力參差不齊,未形成統(tǒng)一的安全框架模式和安全標(biāo)準(zhǔn),無法基于標(biāo)準(zhǔn)定義符合各企業(yè)情況的安全接入策略,并獲得可預(yù)期的、全面的安全保障,不利于我國(guó)工業(yè)互聯(lián)網(wǎng)安全保障體系的可持續(xù)性發(fā)展。知識(shí)導(dǎo)入工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀及問題分析1(3)云服務(wù)下用戶身份治理問題分析在企業(yè)生產(chǎn)經(jīng)營(yíng)過程中,普遍存在重發(fā)展輕安全的情況,對(duì)其工業(yè)互聯(lián)網(wǎng)安全缺乏足夠意識(shí),安全防護(hù)投入較低。工業(yè)企業(yè)各類應(yīng)用普遍在用戶口令、身份認(rèn)證、權(quán)限管理和通信加密等方面均存在大量安全問題。知識(shí)導(dǎo)入工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀及問題分析1(4)工業(yè)企業(yè)安全事件缺少審計(jì)工業(yè)企業(yè)需要不斷提升安全態(tài)勢(shì)感知和預(yù)警處置能力,以確保對(duì)安全事件的檢測(cè)、數(shù)據(jù)分析、風(fēng)險(xiǎn)預(yù)測(cè)和自動(dòng)調(diào)整等環(huán)節(jié)的實(shí)施。才能及時(shí)發(fā)現(xiàn)各類攻擊威脅與異常,對(duì)企業(yè)內(nèi)外部人員的日常登錄操作、訪問操作、輸入/輸出操作進(jìn)行全面詳實(shí)記錄,通過歸類、報(bào)表、圖形化等方式實(shí)現(xiàn)在線的分析審計(jì)需要,合規(guī)、可視化的審計(jì)行為可幫助企業(yè)及時(shí)規(guī)避大范圍的攻擊風(fēng)險(xiǎn),為企業(yè)安全事件調(diào)查與回溯提供直接證明。知識(shí)導(dǎo)入工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀及問題分析1(5)風(fēng)險(xiǎn)診斷和研判能力有待提升從工業(yè)互聯(lián)網(wǎng)領(lǐng)域以往發(fā)生的信息安全事件不難看出,企業(yè)遭到的網(wǎng)絡(luò)安全威脅逐漸從無意識(shí)攻擊到有組織的蓄謀攻擊,從個(gè)體侵害演變?yōu)閲?guó)家網(wǎng)絡(luò)安全的威脅。針對(duì)企業(yè)信息安全的攻擊手段也更加多樣化。知識(shí)導(dǎo)入攻擊手段主要包括口令攻擊、拒絕服務(wù)攻擊、欺騙攻擊、劫持攻擊、高級(jí)可持續(xù)威脅攻擊和后門程序攻擊等,攻擊方式呈現(xiàn)跨時(shí)間、地點(diǎn)、動(dòng)機(jī)等因素限制。工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀及問題分析1(6)企業(yè)應(yīng)急機(jī)制的補(bǔ)充與完善工業(yè)互聯(lián)網(wǎng)身份與訪問控制體系還應(yīng)建立應(yīng)急預(yù)案管理、定義應(yīng)急安全處理策略,實(shí)現(xiàn)取證和總結(jié)等流程,規(guī)避高風(fēng)險(xiǎn)、不可逆、影響范圍廣的信息安全事件的發(fā)生?;谏鲜霈F(xiàn)狀分析可以看到,當(dāng)前我國(guó)工業(yè)企業(yè)面臨用戶身份治理、認(rèn)證和訪問控制、安全審計(jì)可追溯性、風(fēng)險(xiǎn)評(píng)估與研判、應(yīng)急機(jī)制建立等方面的管控能力不足,構(gòu)建基于身份與訪問控制為核心的安全云服務(wù)的支撐體系,成為工業(yè)互聯(lián)網(wǎng)安全生態(tài)建設(shè)的關(guān)鍵。知識(shí)導(dǎo)入工業(yè)互聯(lián)網(wǎng)的安全防護(hù)對(duì)策2(1)建立檢測(cè)和響應(yīng)機(jī)制工業(yè)互聯(lián)網(wǎng)發(fā)展期間,極易受到不法分子或黑客攻擊,因此必須積極應(yīng)對(duì)攻擊,采用攻擊檢測(cè)機(jī)制,對(duì)各方攻擊進(jìn)行監(jiān)測(cè)。建立和完善應(yīng)急響應(yīng)機(jī)制,遭受攻擊后必須迅速作出響應(yīng),采取科學(xué)方式抵御攻擊,以此降低惡意攻擊所致?lián)p害影響。首先,通過多種檢測(cè)模型建立異常檢測(cè)機(jī)制,以此補(bǔ)充防火墻保護(hù)機(jī)制。利用異常代碼檢測(cè)、入侵檢測(cè)和病毒查殺等方式,對(duì)各類潛在攻擊行為進(jìn)行監(jiān)測(cè)。其次,注重建立快速攻擊響應(yīng)機(jī)制,對(duì)于工業(yè)互聯(lián)網(wǎng)入侵事件,在較短時(shí)間內(nèi)做出響應(yīng)動(dòng)作。知識(shí)導(dǎo)入工業(yè)互聯(lián)網(wǎng)的安全防護(hù)對(duì)策2(2)合理應(yīng)用先進(jìn)的互聯(lián)網(wǎng)安全防護(hù)辦法盡管互聯(lián)網(wǎng)和工業(yè)互聯(lián)網(wǎng)在安全防護(hù)方面存在差異,然而二者也具備關(guān)聯(lián)性和相似性。通過比較分析可知,互聯(lián)網(wǎng)安全防護(hù)發(fā)展速度快,出現(xiàn)大量現(xiàn)代化先進(jìn)的安全防護(hù)方法,以此保障互聯(lián)網(wǎng)安全。各類防護(hù)方法必須經(jīng)過轉(zhuǎn)換之后,才可以應(yīng)用到工業(yè)互聯(lián)網(wǎng)防護(hù)中,以此減少工業(yè)互聯(lián)網(wǎng)安全隱患。知識(shí)導(dǎo)入為了確保工業(yè)互聯(lián)網(wǎng)運(yùn)行安全性,必須深入研究安全防護(hù)技術(shù),掌握工業(yè)互聯(lián)網(wǎng)產(chǎn)品組件存在的安全隱患,注重探究控制設(shè)備與傳感器軟件的安全問題,加大實(shí)踐探索力度。工業(yè)互聯(lián)網(wǎng)的安全防護(hù)對(duì)策2(3)采用整體防御的策略第一,采用持續(xù)響應(yīng)措施。建立相應(yīng)措施時(shí),首先應(yīng)當(dāng)滿足應(yīng)急響應(yīng)需求。當(dāng)工業(yè)互聯(lián)網(wǎng)遭到破壞影響時(shí),應(yīng)當(dāng)滿足持續(xù)監(jiān)測(cè)與修復(fù)要求,建立聯(lián)合防御與多點(diǎn)防御,以此滿足響應(yīng)需求。第二,基于數(shù)據(jù)實(shí)行整體防御。建立安全數(shù)據(jù)倉庫,結(jié)合云端威脅情報(bào),以此檢測(cè)和防御已知威脅、高級(jí)威脅與各類型攻擊,同時(shí)可實(shí)現(xiàn)過程回溯。第三,組建安全防護(hù)團(tuán)隊(duì)。成立安全運(yùn)維中心,優(yōu)化組織流程,充實(shí)人員結(jié)構(gòu),全面落實(shí)工業(yè)互聯(lián)網(wǎng)安全防護(hù)職責(zé)。知識(shí)導(dǎo)入工業(yè)互聯(lián)網(wǎng)的安全防護(hù)對(duì)策2例如,在應(yīng)用整體防御策略時(shí),可以建立自適應(yīng)防護(hù)架構(gòu),為工業(yè)互聯(lián)網(wǎng)用戶解決各類安全問題。系統(tǒng)組成包括六個(gè)過程閉環(huán),技術(shù)人員需要參與到全過程中。知識(shí)導(dǎo)入④網(wǎng)絡(luò)融合⑤認(rèn)知預(yù)測(cè)⑥相應(yīng)決策①信息感知②數(shù)據(jù)匯集③轉(zhuǎn)化分析網(wǎng)頁篡改應(yīng)急響應(yīng)事件任務(wù)實(shí)施【任務(wù)目的】理解信息安全應(yīng)急響應(yīng)預(yù)案編寫內(nèi)容;掌握信息安全應(yīng)急響應(yīng)預(yù)案編寫方法?!静襟E1】編寫應(yīng)急響應(yīng)項(xiàng)目概述主要介紹應(yīng)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論