工業(yè)互聯(lián)網(wǎng)安全 課件全套 項(xiàng)目1-7 工業(yè)互聯(lián)網(wǎng)設(shè)備安全設(shè)置 - 工業(yè)互聯(lián)網(wǎng)安全應(yīng)急處置

工業(yè)互聯(lián)網(wǎng)安全I(xiàn)ndustrialInternetSecurity項(xiàng)目01工業(yè)互聯(lián)網(wǎng)設(shè)備安全配置項(xiàng)目02工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全配置加強(qiáng)數(shù)字安全專業(yè)建設(shè)項(xiàng)目04項(xiàng)目03工業(yè)互聯(lián)網(wǎng)控制系統(tǒng)安全配置項(xiàng)目05工業(yè)互聯(lián)網(wǎng)應(yīng)用安全配置項(xiàng)目06工業(yè)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)評估項(xiàng)目07工業(yè)互聯(lián)網(wǎng)安全應(yīng)用處置工業(yè)互聯(lián)網(wǎng)設(shè)備安全設(shè)置01項(xiàng)目通過以下四個(gè)任務(wù)的實(shí)施，使同學(xué)們掌握工業(yè)互聯(lián)網(wǎng)設(shè)備安全的測試與配置方法。項(xiàng)目情境本項(xiàng)目將主要介紹工業(yè)互聯(lián)網(wǎng)設(shè)備安全的相關(guān)知識，幫助同學(xué)們對工業(yè)互聯(lián)網(wǎng)設(shè)備安全有系統(tǒng)的了解和認(rèn)識。工業(yè)互聯(lián)網(wǎng)基礎(chǔ)信息收集工業(yè)設(shè)備基礎(chǔ)安全分析工業(yè)互聯(lián)網(wǎng)安全的內(nèi)涵工業(yè)設(shè)備的發(fā)現(xiàn)與定位01020304了解什么是工業(yè)互聯(lián)網(wǎng)安全；了解工業(yè)互聯(lián)網(wǎng)安全的特征；了解工業(yè)互聯(lián)網(wǎng)安全體系框架和組成；了解工業(yè)設(shè)備安全影響因素有哪些以及產(chǎn)生的影響；理解工業(yè)設(shè)備物理安全、功能安全和信息安全分析；理解路由器設(shè)備的測評指標(biāo)；了解在線和離線設(shè)備安全；了解工業(yè)互聯(lián)網(wǎng)設(shè)備的發(fā)現(xiàn)方法和常用工具；了解工業(yè)互聯(lián)網(wǎng)設(shè)備的定位。知識目標(biāo)具備Windows系統(tǒng)信息收集的能力；具備Linux系統(tǒng)信息收集的能力具備路由器設(shè)備安全加固的能力；掌握潮汐搜索引擎的使用方法。技能目標(biāo)掌握工業(yè)互聯(lián)網(wǎng)設(shè)備安全配置過程中需要考慮的安全因素，并能夠根據(jù)實(shí)際需求進(jìn)行合理的安全配置。通過互聯(lián)網(wǎng)查找工業(yè)互聯(lián)網(wǎng)安全相關(guān)資料，提升文獻(xiàn)查閱和自主學(xué)習(xí)能力。素質(zhì)目標(biāo)學(xué)習(xí)目標(biāo)學(xué)習(xí)導(dǎo)圖工業(yè)互聯(lián)網(wǎng)安全測評與應(yīng)急職業(yè)技能等級標(biāo)準(zhǔn)工業(yè)互聯(lián)網(wǎng)設(shè)備安全配置工作任務(wù)職業(yè)技能要求等級知識點(diǎn)技能點(diǎn)理解并掌握工業(yè)互聯(lián)通網(wǎng)設(shè)備安全配置①能夠識別工業(yè)互聯(lián)網(wǎng)平臺組成；②能夠識別工業(yè)互聯(lián)網(wǎng)設(shè)備；③能夠?qū)崿F(xiàn)Windows和Linux系統(tǒng)信息的收集；④能夠?qū)I(yè)互聯(lián)網(wǎng)設(shè)備進(jìn)行安全加固；⑤能夠發(fā)現(xiàn)工業(yè)互聯(lián)網(wǎng)設(shè)備；⑥能具備良好的溝通表達(dá)及團(tuán)隊(duì)合作能力。初級中級①了解什么是工業(yè)互聯(lián)網(wǎng)安全；②了解工業(yè)互聯(lián)網(wǎng)安全的特征；③了解工業(yè)互聯(lián)網(wǎng)安全體系框架；④了解工業(yè)互聯(lián)網(wǎng)安全體系組成；⑤了解工業(yè)設(shè)備安全影響因素有哪些以及產(chǎn)生的影響；⑥理解工業(yè)設(shè)備物理安全、功能安全和信息安全分析；⑦理解路由器設(shè)備的測評指標(biāo)；⑧了解在線和離線設(shè)備安全；⑨了解工業(yè)互聯(lián)網(wǎng)設(shè)備的發(fā)現(xiàn)方法和常用工具；⑩了解工業(yè)互聯(lián)網(wǎng)設(shè)備的定位。①具備Windows系統(tǒng)信息收集的能力；②具備Linux系統(tǒng)信息收集的能力;③具備路由器設(shè)備安全加固的能力；④掌握潮汐搜索引擎的使用方法。

與職業(yè)技能等級標(biāo)準(zhǔn)內(nèi)容對應(yīng)關(guān)系任務(wù)1工業(yè)互聯(lián)網(wǎng)基礎(chǔ)信息收集進(jìn)入內(nèi)網(wǎng)之后，是一種由點(diǎn)到線再到面的測試，先弄清楚當(dāng)前機(jī)器的情況，例如在工業(yè)互聯(lián)網(wǎng)域中的角色，提供的服務(wù)等信息，再以此為跳板收集其他機(jī)器的信息，當(dāng)收集的信息足夠多，才能更好的實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)的安全保障。任務(wù)描述本任務(wù)主要學(xué)習(xí)Windows常用信息收集方法。工業(yè)互聯(lián)網(wǎng)安全概述1從構(gòu)建工業(yè)互聯(lián)網(wǎng)安全保障體系考慮，工業(yè)互聯(lián)網(wǎng)安全應(yīng)包括五大重點(diǎn)，即設(shè)備安全、網(wǎng)絡(luò)安全、控制安全、應(yīng)用安全和數(shù)據(jù)安全。知識導(dǎo)入工業(yè)互聯(lián)網(wǎng)安全特征2防護(hù)對象擴(kuò)大，安全場景更豐富。連接范圍更廣，威脅延伸至物理世界。網(wǎng)絡(luò)安全和生產(chǎn)安全交織，安全事件危害更嚴(yán)重。Windows系統(tǒng)信息收集任務(wù)實(shí)施【任務(wù)目的】掌握Windows系統(tǒng)信息收集方法【使用工具】360網(wǎng)絡(luò)安全教育云平臺在Windows操作系統(tǒng)左下角的Win鍵上單擊鼠標(biāo)右鍵，在彈出菜單中執(zhí)行“命令提示符（管理員）”命令。【步驟1】

Windows基礎(chǔ)信息收集彈出“命令提示符”對話框，輸入命令systeminfo。0102進(jìn)入Windows-Exploit-Suggester-master工具對應(yīng)的路徑【步驟2】使用Windows-Exploit-Suggester-master工具使用-u參數(shù)升級并將數(shù)據(jù)庫下載至本地0102輸入代碼pipinstallxlrd輸入代碼systeminfo>1.txt0304查看輸出的信息使用Windows-Exploit-Suggester-master加載數(shù)據(jù)庫0605【步驟2】使用Windows-Exploit-Suggester-master工具查看用戶信息【步驟3】

Windows基礎(chǔ)信息收集01使用netuser命令02【步驟3】

Windows基礎(chǔ)信息收集使用netlocalgroup命令0304使用netlocalgroup“組名“命令05使用netaccounts命令【步驟3】

Windows基礎(chǔ)信息收集使用queryuser命令使用ipconfig/all命令08使用ipconfig/displaydns命令0607【步驟3】

Windows基礎(chǔ)信息收集使用netuse命令使用arp-a命令使用routeprint命令使用netstat–ano命令10110912【步驟3】

Windows基礎(chǔ)信息收集【步驟4】

Windows系統(tǒng)憑證收集以管理員權(quán)限運(yùn)行“命令提示符（管理員）”命令，在彈出的“命令提示符”對話框中輸入以下代碼，即可導(dǎo)出sam數(shù)據(jù)庫中的密碼。regsavehklm\samc:\sam.hiveregsavehklm\systemc:\system.hive方法1導(dǎo)出sam數(shù)據(jù)庫中的密碼【步驟4】

Windows系統(tǒng)憑證收集使用powershelll代碼powershell-execbypassImport-ModuleC:\User\College\Desktop\invoke-ninjacopy.ps1Invoke-NinjaCopy-PathC:\Windows\System32\config\SAM-LocalDestination.\sam.hiveInvoke-NinjaCopy-PathC:\Windows\System32\config\SYSTEM-LocalDestination.\system.hive方法2將生成的sam.hive與system.hive下載到自己的PC，使用SAMinside或Cain導(dǎo)入，即可查看用戶信息。導(dǎo)出sam數(shù)據(jù)庫中的密碼任務(wù)評價(jià)任務(wù)評價(jià)什么是工業(yè)互聯(lián)網(wǎng)安全?什么是工業(yè)互聯(lián)網(wǎng)安全?工業(yè)互聯(lián)網(wǎng)安全的特征?任務(wù)測驗(yàn)選擇題

A.設(shè)備安全B.控制安全C.環(huán)境安全D.數(shù)據(jù)安全

以下哪個(gè)不屬于工業(yè)互聯(lián)網(wǎng)安全保障體系的內(nèi)容？（）A.SysteminfoB.systemC.InfoD.sys

在Windows操作系統(tǒng)中的“命令提示符”窗口中輸入命令（），可以查看操作系

統(tǒng)版本、架構(gòu)、補(bǔ)丁

情況。A.netuserB.netaccountsC.queryuserD.user

在Windows操作系統(tǒng)中的“命令提示符”窗口中輸入命令（），可以查看最近登

錄信息。簡答題任務(wù)測驗(yàn)1.什么是工業(yè)互聯(lián)網(wǎng)安全？2.簡單描述工業(yè)互聯(lián)網(wǎng)安全特征。3.《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》從哪幾個(gè)方

面部署了工業(yè)互聯(lián)網(wǎng)安全的任務(wù)。

任務(wù)2工業(yè)互聯(lián)網(wǎng)安全的內(nèi)涵

拿到一臺Linux主機(jī)普通權(quán)限之后，如何獲取更高的root權(quán)限？因?yàn)樘釞?quán)之后能看到主機(jī)上的所有信息，包括主機(jī)管理的賬號密碼哈希，可以離線破解管理員密碼，也許存在通用密碼的習(xí)慣。任務(wù)描述通過本任務(wù)學(xué)習(xí)Linux常用信息收集方法。工業(yè)互聯(lián)網(wǎng)安全體系框架1工業(yè)領(lǐng)域的安全一般分為三類：信息安全、功能安全和物理安全。傳統(tǒng)工業(yè)控制系統(tǒng)安全主要關(guān)注功能安全與物理安全，即防止工業(yè)安全相關(guān)系統(tǒng)或設(shè)備的功能失效，當(dāng)失效或故障發(fā)生時(shí)，保證工業(yè)設(shè)備或系統(tǒng)仍能保持安全條件或進(jìn)入安全狀態(tài)。知識導(dǎo)入知識導(dǎo)入工業(yè)互聯(lián)網(wǎng)安全體系框架1工業(yè)互聯(lián)網(wǎng)安全框架從防護(hù)對象、防護(hù)措施及防護(hù)管理三個(gè)視角構(gòu)建。知識導(dǎo)入安全體系組成2（1）防護(hù)體系工業(yè)互聯(lián)網(wǎng)安全框架的防護(hù)對象主要包括設(shè)備安全、控制安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全五大防護(hù)對象。知識導(dǎo)入安全體系組成2防護(hù)對象內(nèi)容設(shè)備安全包括工廠內(nèi)單點(diǎn)智能器件、成套智能終端等智能設(shè)備的安全，以及智能產(chǎn)品的安全，具體涉及軟件安全與硬件安全兩方面?？刂瓢踩刂茀f(xié)議安全、控制軟件安全以及控制功能安全。網(wǎng)絡(luò)安全包括承載工業(yè)智能生產(chǎn)和應(yīng)用的工廠內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)及標(biāo)識解析系統(tǒng)等的安全。應(yīng)用安全包括工業(yè)互聯(lián)網(wǎng)平臺安全與工業(yè)應(yīng)用程序安全。數(shù)據(jù)安全包括涉及采集、傳輸、存儲、處理等各個(gè)環(huán)節(jié)的數(shù)據(jù)以及用戶信息的安全。工業(yè)互聯(lián)網(wǎng)安全防護(hù)對象內(nèi)容。知識導(dǎo)入安全體系組成2（2）防護(hù)措施工業(yè)互聯(lián)網(wǎng)安全防護(hù)措施主要包括威脅防護(hù)、監(jiān)測感知和處置恢復(fù)三大環(huán)節(jié)。知識導(dǎo)入安全體系組成2工業(yè)互聯(lián)網(wǎng)安全防護(hù)措施內(nèi)容。防護(hù)措施內(nèi)容威脅防護(hù)針對五大防護(hù)對象，部署主被動(dòng)防護(hù)措施，阻止外部入侵，構(gòu)建安全運(yùn)行環(huán)境，消減潛在安全風(fēng)險(xiǎn)。監(jiān)測感知部署相應(yīng)的監(jiān)測措施，實(shí)時(shí)感知內(nèi)部、外部的安全風(fēng)險(xiǎn)。處置恢復(fù)建立響應(yīng)恢復(fù)機(jī)制，及時(shí)應(yīng)對安全威脅，并及時(shí)優(yōu)化防護(hù)措施，形成閉環(huán)防御。知識導(dǎo)入安全體系組成2（3）防護(hù)管理防護(hù)管理根據(jù)工業(yè)互聯(lián)網(wǎng)安全目標(biāo)對面臨的安全風(fēng)險(xiǎn)進(jìn)行安全評估，并選擇適當(dāng)?shù)陌踩呗纷鳛橹笇?dǎo)，實(shí)現(xiàn)防護(hù)措施的有效部署。知識導(dǎo)入安全體系組成2工業(yè)互聯(lián)網(wǎng)安全防護(hù)管理內(nèi)容。防護(hù)管理內(nèi)容安全目標(biāo)工業(yè)互聯(lián)網(wǎng)安全包括保密性、完整性、可用性、可靠性、彈性和隱私安全六大目標(biāo)，這些目標(biāo)相互補(bǔ)充，共同構(gòu)成了保障工業(yè)互聯(lián)網(wǎng)安全的關(guān)鍵特性。風(fēng)險(xiǎn)評估為管控風(fēng)險(xiǎn)，必須定期對工業(yè)互聯(lián)網(wǎng)系統(tǒng)的各安全要素進(jìn)行風(fēng)險(xiǎn)評估。安全策略工業(yè)互聯(lián)網(wǎng)安全防護(hù)的總體策略，是要構(gòu)建一個(gè)能覆蓋安全業(yè)務(wù)全生命周期的，以安全事件為核心，實(shí)現(xiàn)對安全事件的“預(yù)警、檢測、響應(yīng)”的動(dòng)態(tài)防御體系。Linux系統(tǒng)信息收集任務(wù)實(shí)施【任務(wù)目的】掌握Linux系統(tǒng)信息收集方法【使用工具】安全教育云平臺輸入命令cat/etc/issue，查看系統(tǒng)名稱【步驟1】

Linux系統(tǒng)信息收集輸入命令lsb_release，查看系統(tǒng)名稱、版本號0102輸入命令uname–a，查看所有信息【步驟2】

Linux系統(tǒng)內(nèi)核版本輸入命令uname–mrs，查看內(nèi)核版本及架構(gòu)0102輸入命令psaux，查看系統(tǒng)進(jìn)程信息【步驟3】

Linux系統(tǒng)進(jìn)程輸入命令ps–ef，查看系統(tǒng)進(jìn)程信息0102輸入命令dpkg–l，查看Linux系統(tǒng)中安裝的軟件包【步驟4】

Linux系統(tǒng)安裝的軟件包輸入命令cat/etc/apache2/apache2.conf，查看apache配置文件【步驟5】

Linux系統(tǒng)服務(wù)配置輸入命令cat/etc/network/interfaces，查看網(wǎng)卡配置文件【步驟6】

Linux系統(tǒng)網(wǎng)絡(luò)配置輸入命令cat/etc/network/interfaces，查看dns配置文件0201輸入命令hostname，查看主機(jī)名【步驟6】

Linux系統(tǒng)網(wǎng)絡(luò)配置輸入命令sudoiptables–L（注意需要root權(quán)限），查看防火墻配置0403輸入命令netstat，查看系統(tǒng)通信配置【步驟7】

Linux系統(tǒng)通信配置輸入命令route，查看路由配置030102輸入命令netstat–antlp，查看tcpsocket輸入命令Whoami，查看當(dāng)前用戶【步驟8】

Linux系統(tǒng)用戶信息輸入命令cat/etc/passwd，查看密碼信息030102使用id，查看當(dāng)前用戶id、組id輸入命令cat/etc/group，查看用戶組信息【步驟8】

Linux系統(tǒng)用戶信息輸入命令cat/etc/shadow（需要root權(quán)限），查看密碼信息0405輸入命令catsyslog，查看系統(tǒng)日志【步驟9】

Linux日志信息使用w、who、lastlog等命令，查看登錄日志0102【步驟10】

Linux憑證收集Linux密碼破解方法如下：hashcat64.exe-m1800-a0Linhash.txtpass.txthashcat64.exe-m1800-a0Linhash.txtpass.txt--showJohntheRipperjohnshadow.txt//默認(rèn)模式，采用默認(rèn)字典文件password.lstjohn--singleshadow.txt//簡單模式j(luò)ohn--wordlist=pass.txtshadow.txt//字典模式破解成功后，會生成結(jié)果文件，Linux系統(tǒng)在./.john/john.pot中，若不刪除此文件，同樣的hash不顯示結(jié)果。任務(wù)評價(jià)任務(wù)評價(jià)了解工業(yè)互聯(lián)網(wǎng)安全體系框架了解工業(yè)互聯(lián)網(wǎng)安全體系組成掌握Linux系統(tǒng)信息收集任務(wù)測驗(yàn)選擇題

A.防護(hù)對象B.防護(hù)措施C.防護(hù)管理D.防護(hù)網(wǎng)絡(luò)

以下哪個(gè)不屬于工業(yè)互聯(lián)網(wǎng)安全框架體系組成？（）A.uname–aB.uname–mrsC.lsb_releaseD.ps–ef

在Linux操作系統(tǒng)中，輸入命令（），可以查看內(nèi)核版本及架構(gòu)。A.hostnameB.netstatC.routeD.whoami

在Linux操作系統(tǒng)中，輸入命令（），可以查看系統(tǒng)通信配置。簡答題任務(wù)測驗(yàn)1.簡單描述工業(yè)互聯(lián)網(wǎng)安全框架的構(gòu)建。2.工業(yè)互聯(lián)網(wǎng)安全框架的防護(hù)對象包括哪些？3.簡單描述工業(yè)互聯(lián)網(wǎng)安全體系中的防護(hù)管理。

任務(wù)3工業(yè)設(shè)備基礎(chǔ)安全分析與配置本任務(wù)主要講解如何對華為路由器進(jìn)行安全加固處理，通過displaycurrent命令，查看是否有相關(guān)的配置信息。任務(wù)描述本任務(wù)要掌握華為路由器設(shè)備的測評和安全加固方法。工業(yè)設(shè)備安全影響因素1（1）工業(yè)通信設(shè)備及其安全影響因素工業(yè)網(wǎng)絡(luò)對通信具有實(shí)時(shí)性、可用性和可靠性等特殊要求，對工業(yè)通信設(shè)備提出了較高要求。知識導(dǎo)入a）工業(yè)通信設(shè)備的作用及類型工業(yè)控制中的通信是其核心關(guān)鍵環(huán)節(jié)，也是工業(yè)互聯(lián)網(wǎng)的核心所在，需要采取多種工業(yè)通信體制來解決互聯(lián)、互通、互操作問題。知識導(dǎo)入b)工業(yè)通信設(shè)備存在的安全因素分析①實(shí)時(shí)性保障問題。②海量數(shù)據(jù)傳輸問題。③異構(gòu)、異質(zhì)通信融合問題。④工業(yè)無線通信應(yīng)用的特殊問題。工業(yè)設(shè)備安全影響因素1（2）工業(yè)測控設(shè)備的安全影響因素根據(jù)測控設(shè)備的功能使命及在工控網(wǎng)絡(luò)拓?fù)渲兴幍匚坏牟町?，其整體安全保證能力的需求也不同，進(jìn)而對工控系統(tǒng)整體安全性的影響也各異。知識導(dǎo)入工業(yè)設(shè)備物理安全分析2物理安全（實(shí)體安全）涵蓋設(shè)備安全和環(huán)境安全，涉及支撐工業(yè)互聯(lián)網(wǎng)運(yùn)行的所有硬件設(shè)施的安全，包括現(xiàn)場及運(yùn)算環(huán)境、各種工業(yè)和IT設(shè)備以及存儲介質(zhì)等。工業(yè)互聯(lián)網(wǎng)中的各種系統(tǒng)總是通過某種方式在物理設(shè)備上運(yùn)行，所以，物理安全的保護(hù)是整個(gè)工業(yè)互聯(lián)網(wǎng)安全的基石。物理設(shè)備均運(yùn)行于特定的物理環(huán)境當(dāng)中。環(huán)境安全堪稱物理安全乃至整個(gè)工業(yè)互聯(lián)網(wǎng)安全的最基本保障。知識導(dǎo)入工業(yè)設(shè)備功能安全分析3設(shè)備的安全性與用于安全功能感知的各類傳感器密切相關(guān)，比如安全光柵、應(yīng)急開關(guān)、限位觸點(diǎn)等。這些安全邏輯可以通過繼電器控制或者控制器來實(shí)現(xiàn)。傳統(tǒng)上認(rèn)為功能安全是相當(dāng)重要甚至是第一重要的。比如重工業(yè)中，鍛壓、切割、沖擊等設(shè)備操作，稍有疏忽即可能導(dǎo)致人身傷亡事故發(fā)生。石化、?；返雀呶Ｉa(chǎn)企業(yè)更是如此。知識導(dǎo)入功能安全危險(xiǎn)信息識別與標(biāo)識分析工業(yè)設(shè)備和控制中存在的可能危險(xiǎn)源，列明相關(guān)的可能危險(xiǎn)狀況及對應(yīng)的危害事件，識別并標(biāo)識已確定功能安全危險(xiǎn)涉及的主要信息。知識導(dǎo)入工業(yè)設(shè)備與控制的功能安全方面采取如下措施功能安全危險(xiǎn)狀況及危險(xiǎn)事件的識別與標(biāo)識分析工控軟件與其他軟件或工業(yè)裝備的相互作用引發(fā)的功能安全危險(xiǎn)狀況，并分析其可能導(dǎo)致的危害事件。功能安全危害事件的影響分析分析相關(guān)危險(xiǎn)源、危險(xiǎn)狀態(tài)所引發(fā)的危害事件的具體影響及破壞后果。功能安全綜合防范措施落實(shí)工控設(shè)備對外界危險(xiǎn)因素的抵抗、防御或切斷能力并對可能引發(fā)的安全失控狀態(tài)，采取監(jiān)測。工業(yè)設(shè)備信息安全分析4工業(yè)互聯(lián)網(wǎng)架構(gòu)中的工業(yè)設(shè)備多具有智能化，大多采用“嵌入式操作系統(tǒng)+微處理器+工業(yè)APP”的典型架構(gòu)，可能會招致嚴(yán)重的工業(yè)網(wǎng)絡(luò)攻擊，而且整個(gè)工業(yè)網(wǎng)絡(luò)攻擊面顯著擴(kuò)大、傳播速度劇增、危害后果嚴(yán)重。工業(yè)設(shè)備固件安全增強(qiáng)可從操作系統(tǒng)內(nèi)核、協(xié)議棧等方面來考慮，防范惡意代碼的傳播與運(yùn)行。知識導(dǎo)入路由器設(shè)備安全加固任務(wù)實(shí)施【任務(wù)目的】理解路由器設(shè)備的測評指標(biāo)；掌握路由器設(shè)備安全加固方法。【使用工具】設(shè)備：路由器（華為V8R10）工具：Xshell（其他支持Serial協(xié)議終端或SSH協(xié)議終端）【步驟1】應(yīng)刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小化。核查路由器設(shè)備是否不存在多余或無效的訪問控制策略，并核查路由器設(shè)備的不同訪問控制策略之間的邏輯關(guān)系，以及前后排列順序是否合理。【步驟2】應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)，審計(jì)覆蓋到每個(gè)用戶，對重要的用戶行為和重要安全事件進(jìn)行審計(jì)。查看交換機(jī)日志審計(jì)功能的開啟情況01<Huawei>displaylogbuffer//查看Log緩沖區(qū)的所有Log信息【步驟3】應(yīng)對登錄的用戶進(jìn)行身份標(biāo)識和鑒別，身份標(biāo)識具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期更換。設(shè)置AUX口、Console口、VTY口及特權(quán)模式口令01[Huawei]user-interfacevty04[Huawei-ui-vty0-4]authentication-mode?password?//只通過密碼驗(yàn)證設(shè)置密碼策略02[Huawei-ui-vty0-4]set?authentication?password?cipherChaseAug【步驟4】應(yīng)具有登錄失敗處理功能，配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退出等相關(guān)措施。0102配置端口超時(shí)處理功能和登錄超時(shí)處理功能[Huawei]user-interfacevty04[Huawei-ui-vty0-4]idle-timeout5//登錄超時(shí)配置登錄失敗處理功能[Huawei]aaa[Huawei-aaa]local-aaa-userwrong-passwordretry-interval5retry-time3block-time5【步驟5】當(dāng)進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。0102啟用SSH方式進(jìn)行遠(yuǎn)程管理[Huawei]user-interfacevty04[Huawei-ui-vty0-4]protocol?inboundssh關(guān)閉HTTP、HTTPS服務(wù)[Huawei]

undohttpserverenable[Huawei]undohttpsecure-serverenable【步驟6】應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制。0102添加ACL[Huawei]acl340[Huawei-acl4-basic-340]rulepermitsource應(yīng)用ACL[Huawei]user-interfacevty04[Huawei-ui-vty0-4]acl340inboundin【步驟7】應(yīng)對登錄的用戶分配賬戶和權(quán)限。0102為登錄的用戶創(chuàng)建賬戶并設(shè)置密碼，避免使用nopassword。[Huawei-ui-vty0-4]set?authentication?password?cipherChaseAug為賬戶分配權(quán)限[Huawei-ui-vty0-4]userprivilegelevel2【步驟8】事件日志策略執(zhí)行“管理工具>事件查看器”命令，彈出“事件查看器”對話框。在左側(cè)“應(yīng)用程序”選項(xiàng)上單擊鼠標(biāo)右鍵，在彈出菜單中執(zhí)行“屬性”選項(xiàng)，彈出“應(yīng)用程序?qū)傩浴睂υ捒颉！静襟E9】安全選項(xiàng)執(zhí)行“管理工具>本地安全策略”命令，彈出“本地安全策略”對話框，在左側(cè)單擊“安全選項(xiàng)”選項(xiàng)，在右側(cè)可以對安全選項(xiàng)進(jìn)行設(shè)置?！静襟E10】注冊表安全設(shè)置審核禁止Dr.Watson創(chuàng)建DUMPS文件：020301HKLM\Software\Microsoft\DrWatson\CreateCrashDump(REG_DWORD)0禁止系統(tǒng)的自動(dòng)診斷自動(dòng)運(yùn)行：HKLM\Software\Microsoft\WindowsNT\CurrentVersion\AEDebug\Auto(REG_DWORD)0禁止從任何驅(qū)動(dòng)器上自動(dòng)運(yùn)行任何應(yīng)用程序：HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun(REG_DWORD)255禁止系統(tǒng)的自動(dòng)診斷自動(dòng)運(yùn)行：04HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun(REG_DWORD)255【步驟10】注冊表安全設(shè)置審核禁止任何新用戶自動(dòng)運(yùn)行：060705HKU.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun(REG_DWORD)255禁止自動(dòng)登錄：HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\AutoAdminLogon(REG_SZ)0隱藏鍵盤輸入星號實(shí)際字符：HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Network\HideSharePwds(REG_DWORD)1禁止系統(tǒng)的自動(dòng)診斷自動(dòng)運(yùn)行：HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Network\NoDialIn(REG_DWORD)108【步驟10】注冊表安全設(shè)置審核禁止在藍(lán)屏死機(jī)后自動(dòng)重啟：101109HKLM\System\CurrentControlSet\Control\CrashControl\AutoReboot(REG_DWORD)0禁止CD自動(dòng)播放：HKLM\System\CurrentControlSet\Services\CDrom\Autorun(REG_DWORD)0在服務(wù)器上清除管理共享：HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer(REG_DWORD)0保護(hù)阻止ComputerBrowserSpoofing攻擊：HKLM\System\CurrentControlSet\Services\MrxSmb\Parameters\RefuseReset(REG_DWORD)112【步驟10】注冊表安全設(shè)置審核保護(hù)阻止source-routingspoofing攻擊：13HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting(REG_DWORD)2保護(hù)默認(rèn)網(wǎng)關(guān)網(wǎng)絡(luò)設(shè)置：HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnableDeadGWDetect(REG_DWORD)0EnsureICMPRoutingviashortestpathfirst:HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect(REG_DWORD)0幫助阻止包碎片攻擊：HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery(REG_DWORD)01415【步驟10】注冊表安全設(shè)置審核管理Keep-alive時(shí)間：1916HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\KeepAliveTime(REG_DWORD)300000保護(hù)阻止惡意的Name-Release攻擊：HKLM\System\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand(REG_DWORD)1保護(hù)阻止SYNFlood攻擊：18HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect(REG_DWORD)217確保路由發(fā)現(xiàn)被禁止：HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\PerformRouterDiscovery(REG_DWORD)0【步驟10】注冊表安全設(shè)置審核SYN攻擊保護(hù)–管理TCP最大half-opensockets：2220HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen(REG_DWORD)100or500啟用IPSec保護(hù)KerberosRSVP傳輸：HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpenRetired(REG_DWORD)80or40021啟用IPSec保護(hù)KerberosRSVP傳輸：HKLM\System\CurrentControlSet\Services\IPSEC\NoDefaultExempt(REG_DWORD)1HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\AutoShareServer(REG_DWORD)0【步驟10】注冊表安全設(shè)置審核關(guān)閉admin共享：23HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\AutoShareWks(REG_DWORD)0關(guān)閉IPC$默認(rèn)共享：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous(REG_DWORD)124【步驟11】服務(wù)審核執(zhí)行“管理工具>計(jì)算機(jī)管理”命令，彈出“計(jì)算機(jī)管理”對話框。在左側(cè)列表中單擊“服務(wù)和應(yīng)用程序”選項(xiàng)中的“服務(wù)”選項(xiàng)，在右側(cè)可以對服務(wù)的相關(guān)選項(xiàng)進(jìn)行設(shè)置?！静襟E12】用戶權(quán)限執(zhí)行“管理工具>本地安全策略”命令，彈出“本地安全策略”對話框，在左側(cè)單擊“本地策略”選項(xiàng)中的“用戶權(quán)限分配”選項(xiàng)，在右側(cè)可以對用戶權(quán)限分配的相關(guān)選項(xiàng)進(jìn)行設(shè)置?！静襟E13】文件權(quán)限%SystemDrive%\-Administrators:Full;System:Full;CreatorOwner:Full;Users:ReadandExecute,List%SystemDrive%\autoexec.bat-Administrators:Full;System:Full%SystemDrive%\boot.ini-Administrators:Full;System:Full%SystemDrive%\config.sys-Administrators:Full;System:Full%SystemDrive%\io.sys-Administrators:Full;System:Full%SystemDrive%\msdos.sys-Administrators:Full;System:Full%SystemDrive%\ntbootdd.sys-Administrators:Full;System:Full%SystemDrive%\-Administrators:Full;System:Full%SystemDrive%\ntldr-Administrators:Full;System:Full【步驟13】文件權(quán)限%SystemDrive%\DocumentsandSettings-Administrators:Full;System:Full;Users:ReadandExecute,List%SystemDrive%\DocumentsandSettings\Administrator-Administrators:Full;System:Full%SystemDrive%\DocumentsandSettings\AllUsers-Administrators:Full;System:Full;Users:ReadandExecute,List%SystemDrive%\DocumentsandSettings\AllUsers\Documents\DrWatson-Administrators:Full;System:Full;CreatorOwner:Full;Users:TraverseFolder/ExecuteFile,ListFolder/ReadData,ReadAttributes,ReadExtendedAttributes,ReadPermissions(Thisfolder,subfolders,andfiles);Users:TraverseFolder/ExecuteFile,CreateFiles/WriteData,CreateFolder/AppendData(Subfoldersandfilesonly)任務(wù)評價(jià)任務(wù)評價(jià)了解工業(yè)設(shè)備安全影響因素有哪些以及產(chǎn)生的影響理解工業(yè)設(shè)備物理安全、功能安全和信息安全分析理解路由器設(shè)備的測評指標(biāo)掌握路由器設(shè)備安全加固方法任務(wù)測驗(yàn)選擇題

A.設(shè)備B.安全C.通信D.數(shù)據(jù)

工業(yè)控制中的（）是其核心關(guān)鍵環(huán)節(jié)，也是工業(yè)互聯(lián)網(wǎng)的核心所在。A.設(shè)備安全B.功能安全C.信息安全D.物理安全（）是工業(yè)互聯(lián)網(wǎng)中各種設(shè)備運(yùn)行、工業(yè)網(wǎng)絡(luò)連接、電力支持、工業(yè)數(shù)據(jù)及其存儲介質(zhì)等的安全要求。任務(wù)測驗(yàn)選擇題

A.應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)B.應(yīng)對登錄的用戶進(jìn)行身份標(biāo)識和鑒別

C.無需刪除多余或無效的訪問控制規(guī)則

D.限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退出等相關(guān)措施

以下關(guān)于路由器設(shè)備安全加固，說法錯(cuò)誤的是？（）簡答題任務(wù)測驗(yàn)1.簡單描述工業(yè)通信設(shè)備存在的安全因素。2.什么是工業(yè)設(shè)備的物理安全？3.簡單描述工業(yè)設(shè)備的信息安全。

任務(wù)4工業(yè)設(shè)備的發(fā)現(xiàn)與定位對于工業(yè)互聯(lián)網(wǎng)安全的監(jiān)管者來說，尋找暴露在互聯(lián)網(wǎng)中的工業(yè)互聯(lián)網(wǎng)設(shè)備和節(jié)點(diǎn)，判斷它們是否存在漏洞或者是否為非法暴露，對于保障工業(yè)互聯(lián)網(wǎng)的安全具有重要意義。本任務(wù)主要講解如何使用潮汐搜索引擎查找工業(yè)互聯(lián)網(wǎng)中的工業(yè)設(shè)備。任務(wù)描述本任務(wù)學(xué)習(xí)使用網(wǎng)絡(luò)空間搜索引擎發(fā)現(xiàn)工業(yè)設(shè)備的方法。在線和離線設(shè)備安全分析1工業(yè)設(shè)備安全分析的支撐技術(shù)主要包括在線和離線設(shè)備安全分析技術(shù)。知識導(dǎo)入工業(yè)互聯(lián)網(wǎng)設(shè)備的發(fā)現(xiàn)2設(shè)備發(fā)現(xiàn)是在線設(shè)備安全分析的重要支撐技術(shù)。在進(jìn)行設(shè)備安全分析之前，通常要對工業(yè)互聯(lián)網(wǎng)中的設(shè)備進(jìn)行發(fā)現(xiàn)、識別與定位，充分掌握設(shè)備信息、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，了解整個(gè)工業(yè)互聯(lián)網(wǎng)的設(shè)備分布與拓?fù)浣Y(jié)構(gòu)，研究系統(tǒng)和設(shè)備安全態(tài)勢等，以便幫助系統(tǒng)管理員更好地進(jìn)行設(shè)備管控工作。知識導(dǎo)入設(shè)備發(fā)現(xiàn)一般分為兩步：第一步是探測發(fā)現(xiàn)，主要目的是發(fā)現(xiàn)并識別網(wǎng)絡(luò)中可用的設(shè)備；第二步是真實(shí)性判斷，主要目的是判斷目標(biāo)設(shè)備的合法性和真實(shí)性。工業(yè)互聯(lián)網(wǎng)設(shè)備的發(fā)現(xiàn)2目前，有很多成熟的工具和軟件可以用于設(shè)備發(fā)現(xiàn)。根據(jù)掃描模式的差異，可分為主動(dòng)掃描和被動(dòng)掃描兩類；根據(jù)其功能也可分為兩類，一類是以潮汐、Zoomeye為代表的在線網(wǎng)絡(luò)空間搜索引擎，另一類是以Nmap、Grassmarlin為代表的離線設(shè)備發(fā)現(xiàn)工具。知識導(dǎo)入工業(yè)互聯(lián)網(wǎng)設(shè)備的發(fā)現(xiàn)2離線設(shè)備發(fā)現(xiàn)工具主要用于對固定范圍或目標(biāo)進(jìn)行掃描和設(shè)備發(fā)現(xiàn)。知識導(dǎo)入工具名稱工具概述掃描模式工具特性Nmap用于網(wǎng)絡(luò)發(fā)現(xiàn)，設(shè)備發(fā)現(xiàn)和識別主動(dòng)掃描支持多種端口掃描機(jī)制Masscan一個(gè)網(wǎng)絡(luò)端口掃描程序，其目標(biāo)是使安全研究人員能夠盡快對大型網(wǎng)絡(luò)進(jìn)行端口掃描主動(dòng)掃描實(shí)現(xiàn)了自定義的TCP/IP堆棧，使用異步傳輸來提高掃描速率，具備一定的可移植性和可擴(kuò)展性Zmap一種快速的單包網(wǎng)絡(luò)掃描儀，專門用于互聯(lián)網(wǎng)掃描主動(dòng)掃描支持包括SYN掃描、ICMP、DNS查詢、UPnP、BACNET的探針模塊在內(nèi)的多種掃描模式Grassmarlin提供了一種用于在基于IP的網(wǎng)絡(luò)上發(fā)現(xiàn)和分類SCADA和ICS主機(jī)的方法被動(dòng)掃描具備可移植性，以各種方式對捕獲的流量按照預(yù)定邏輯布局進(jìn)行分組，獲得對流量和所用協(xié)儀的深入了解工業(yè)互聯(lián)網(wǎng)設(shè)備的定位3從定位方式上，設(shè)備定位技術(shù)可以分為基于互聯(lián)網(wǎng)信息挖掘的設(shè)備定位和基于網(wǎng)絡(luò)特征分析的設(shè)備定位。（1）基于互聯(lián)網(wǎng)信息挖掘的設(shè)備定位（2）基于網(wǎng)絡(luò)特征分析的設(shè)備定位（3）定位結(jié)果的信心度分析知識導(dǎo)入a）基于WHOIS登記

信息的定位方法WHOIS是用來查詢IP注冊信息的傳輸協(xié)議。是一個(gè)用來查詢IP是否已經(jīng)被注冊，以及注冊IP的詳細(xì)信息的數(shù)據(jù)庫。知識導(dǎo)入b）基于主機(jī)名稱的定位方法主機(jī)名稱是分配給連接到計(jì)算機(jī)網(wǎng)絡(luò)的設(shè)備的標(biāo)簽，它可以是一個(gè)由單個(gè)單詞或短語組成的簡單名稱，也可以是一個(gè)結(jié)構(gòu)化的名稱。c）基于IP歷史位置分析的定位方法通過采集IP的歷史基準(zhǔn)點(diǎn)數(shù)據(jù)、預(yù)處理IP的歷史基準(zhǔn)點(diǎn)數(shù)據(jù)和聚類IP的歷史基準(zhǔn)點(diǎn)數(shù)據(jù)，實(shí)現(xiàn)設(shè)備IP的定位?；谥鳈C(jī)名稱的定位方法通常情況下，主機(jī)名稱包含設(shè)備的接口類型、接口編號、設(shè)備角色和地址標(biāo)識等關(guān)鍵信息。知識導(dǎo)入a）基于網(wǎng)絡(luò)拓?fù)浞治龅亩ㄎ环椒ɑ诰W(wǎng)絡(luò)拓?fù)浞治龅亩ㄎ环椒ň褪菍P進(jìn)行網(wǎng)絡(luò)拓?fù)渑c網(wǎng)絡(luò)時(shí)延測繪，將其與具有相似網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的、時(shí)延相似度高的已定位IP進(jìn)行綁定，從而實(shí)現(xiàn)定位。這種定位方法有三個(gè)步驟：網(wǎng)絡(luò)路徑采集、網(wǎng)絡(luò)路徑修復(fù)和網(wǎng)絡(luò)拓?fù)浞治龆ㄎ?。知識導(dǎo)入b）基于IP塊特征分析的定位方法除了用基于網(wǎng)絡(luò)路徑分析的方法進(jìn)行定位外，還可以利用IP塊的特征輔助進(jìn)行定位。如果這些較小的IP塊下多個(gè)IP的歷史基準(zhǔn)點(diǎn)數(shù)據(jù)都處于同一區(qū)域，則可以判定該塊下的其他IP也在這一區(qū)域。定位方法的信心度分析知識導(dǎo)入定位方法定位信息度判斷理由基于WHOIS登記信息的定位方法中WHOIS登記信息較為準(zhǔn)確，但可能存在更新不及時(shí)的問題基于主機(jī)名稱的定位方法低定位半徑較大，且可能存在信息更新不及時(shí)的問題使用IP歷史位置分析的定位方法高IP真實(shí)出現(xiàn)在的GPS位置，在經(jīng)過過濾和聚類后，準(zhǔn)確度較高使用網(wǎng)絡(luò)拓?fù)浞治龅亩ㄎ环椒ㄖ杏捎诰W(wǎng)絡(luò)不穩(wěn)定，網(wǎng)絡(luò)拓?fù)浞治龅慕Y(jié)果可能不準(zhǔn)確，準(zhǔn)確度適中使用IP塊特征分析的定位方法高IP塊較不上，且同一IP塊下的特征相似，準(zhǔn)確度較高網(wǎng)絡(luò)空間搜索引擎發(fā)現(xiàn)工業(yè)設(shè)備任務(wù)實(shí)施【任務(wù)目的】了解網(wǎng)絡(luò)空間搜索引擎；掌握潮汐網(wǎng)絡(luò)空間搜索引擎的使用?！臼褂霉ぞ摺窟\(yùn)行系統(tǒng)：Linux軟件：TideCyber網(wǎng)絡(luò)空間搜索引擎【步驟1】了解潮汐搜索引擎01潮汐搜索引擎概述TideCyber搜索引擎的官方地址是【步驟1】了解潮汐搜索引擎02潮汐搜索引擎Web語法os="linux"，指定服務(wù)器系統(tǒng)類型。例：Linux服務(wù)器port="443"，查找對應(yīng)443端口的資產(chǎn)。CIDR格式的IP地址，net:/24area="北京"，搜索指定城市的資產(chǎn)服務(wù)器，product:"Apachehttpd"cms="dedeCMS"，指定cms類型title="山東省政府"，從標(biāo)題中搜索山東省政府相關(guān)資產(chǎn)url=""，搜索域名或IP的網(wǎng)站或主機(jī)ip=""，搜索域名或IP的網(wǎng)站或主機(jī)product="Apache"，搜索web服務(wù)器類型名稱product_ver="6.0"，指定web服務(wù)器版本號xpb="php"，搜索制定組件信息banner="waf"，搜索banner信息中帶有waf文本的資產(chǎn)httpserver="http"，搜索返回頭包含http的信息service="ssh"，搜索開啟ssh服務(wù)的信息【步驟2】使用潮汐搜索引擎網(wǎng)站01搜索指定端口的主機(jī)搜索開發(fā)80端口的主機(jī)，格式為port=80，在TideCyber搜索引擎網(wǎng)站的搜索框中輸入代碼，即可得到相應(yīng)的搜索結(jié)果。【步驟2】使用潮汐搜索引擎網(wǎng)站01搜索指定端口的主機(jī)搜索開發(fā)80端口的主機(jī)并且服務(wù)器是apache，格式為port=80&product=Apache，在TideCyber搜索引擎網(wǎng)站的搜索框中輸入代碼，即可得到相應(yīng)的搜索結(jié)果?！静襟E2】使用潮汐搜索引擎網(wǎng)站02指定標(biāo)題探測網(wǎng)站標(biāo)題的地址，格式為title=山東省政府，在TideCyber搜索引擎網(wǎng)站的搜索框中輸入代碼，即可得到相應(yīng)的搜索結(jié)果?！静襟E2】使用潮汐搜索引擎網(wǎng)站03搜索Linux服務(wù)主機(jī)搜索Linux服務(wù)主機(jī)的格式為os=linux，在TideCyber搜索引擎網(wǎng)站的搜索框中輸入代碼，即可得到相應(yīng)的搜索結(jié)果?！静襟E3】使用潮汐搜索引擎api請求結(jié)構(gòu)：GET/api/v1/服務(wù)地址：接口接入域名

通信協(xié)議：所有接口均通過HTTPS進(jìn)行通信，提供高安全的通信通道請求方法：支持GET的HTTP請求字符編碼：均使用UTF-8編碼【步驟3】使用潮汐搜索引擎api01獲取API的參數(shù)獲取個(gè)人賬戶的API的Key、Email信息，登錄個(gè)人中心，點(diǎn)擊個(gè)人中心可看到Key具體的值?！静襟E3】使用潮汐搜索引擎api02測試API格式：curl-XGET"/api/v1/info/my?email=your_email&key=your_key"。【步驟3】使用潮汐搜索引擎api03搜索標(biāo)題為百度格式：curl-XGET"/api/v1/search/all?email=your_email&key=your_key&qbase64=dGl0bGU9ImJpbmci"?！静襟E3】使用潮汐搜索引擎api04統(tǒng)計(jì)聚合格式：curl-XGET"/api/v1/search/stats?fields=title&qbase64=dGl0bGU9IueZvuW6piI%3D&email=your_email&key=your_key"，例如：title="百度。任務(wù)評價(jià)任務(wù)評價(jià)了解在線和離線設(shè)備安全了解工業(yè)互聯(lián)網(wǎng)設(shè)備的發(fā)現(xiàn)方法和常用工具了解工業(yè)互聯(lián)網(wǎng)設(shè)備的定位掌握TideCyber搜索引擎的使用方法掌握TideCyberAPI的使用方法任務(wù)測驗(yàn)選擇題

A.設(shè)備安全分析B.在線設(shè)備安全分析C.離線設(shè)備安全分析D.查找設(shè)備

（）技術(shù)包括設(shè)備發(fā)現(xiàn)和定位技術(shù)，即如何有效地發(fā)現(xiàn)并定位不同類型的設(shè)備。A.潮汐B.ZoomeyeC.NmapD.Google

以下哪個(gè)選項(xiàng)不屬于發(fā)現(xiàn)工業(yè)互聯(lián)網(wǎng)設(shè)備的工具和軟件？（）A.基于WHOIS登記信息的定位方法B.基于主機(jī)名稱的定位方法

C.基于設(shè)備型號的定位方法D.基于IP歷史位置分析的定位方法

以下哪種不屬于基于互聯(lián)網(wǎng)信息挖掘的設(shè)備定位的方法？（）簡答題任務(wù)測驗(yàn)1.什么是工業(yè)互聯(lián)網(wǎng)設(shè)備發(fā)現(xiàn)？2.簡單描述工業(yè)互聯(lián)網(wǎng)設(shè)備發(fā)現(xiàn)的步驟。3.簡單描述工業(yè)互聯(lián)網(wǎng)設(shè)備的定位。

項(xiàng)目總結(jié)

項(xiàng)目總結(jié)本項(xiàng)目介紹了工業(yè)互聯(lián)網(wǎng)中的設(shè)備安全問題及設(shè)備分析方法，重點(diǎn)分析了基于在線和離線的全生命周期設(shè)備安全分析技術(shù)，為設(shè)備安全防護(hù)奠定基礎(chǔ)。完成本項(xiàng)目的學(xué)習(xí)后，同學(xué)們需要對工業(yè)互聯(lián)網(wǎng)設(shè)備安全問題有初步了解，并理解設(shè)備安全防護(hù)、設(shè)備安全分析，以及工業(yè)互聯(lián)網(wǎng)設(shè)備安全的配置方法。項(xiàng)目完成工業(yè)互聯(lián)網(wǎng)安全I(xiàn)ndustrialInternetSecurity項(xiàng)目01工業(yè)互聯(lián)網(wǎng)設(shè)備安全配置項(xiàng)目02工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全配置加強(qiáng)數(shù)字安全專業(yè)建設(shè)項(xiàng)目04項(xiàng)目03工業(yè)互聯(lián)網(wǎng)控制系統(tǒng)安全配置項(xiàng)目05工業(yè)互聯(lián)網(wǎng)應(yīng)用安全配置項(xiàng)目06工業(yè)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)評估項(xiàng)目07工業(yè)互聯(lián)網(wǎng)安全應(yīng)用處置工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全設(shè)置02項(xiàng)目通過以下三個(gè)任務(wù)的實(shí)施，使同學(xué)們掌握工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全的注意事項(xiàng)與配置方法。項(xiàng)目情境本項(xiàng)目將主要介紹工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全配置的相關(guān)知識，幫助同學(xué)們對工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全有系統(tǒng)的了解和認(rèn)識。網(wǎng)絡(luò)安全的構(gòu)建網(wǎng)絡(luò)安全防護(hù)措施網(wǎng)絡(luò)安全邊界的劃分010203了解工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)通信及加密安全挑戰(zhàn)；了解工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)脆弱性分析與加固挑戰(zhàn)；了解構(gòu)建工業(yè)互聯(lián)網(wǎng)防御體系的目標(biāo)和方法；了解網(wǎng)絡(luò)邊界的劃分與隔離；了解工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)訪問控制方法；了解工業(yè)防火墻的適用范圍及作用；了解工業(yè)防火墻的各方面能力需求；理解工業(yè)互聯(lián)網(wǎng)安全措施。知識目標(biāo)認(rèn)識KaliLinux環(huán)境；具備Kali的基礎(chǔ)使用能力；理解工業(yè)漏洞管理平臺掃描的基本原理；具備使用工業(yè)漏洞管理平臺對在線網(wǎng)絡(luò)資產(chǎn)掃描的能力；具備使用工業(yè)漏洞管理平臺的能力；具備使用工業(yè)漏洞管理平臺進(jìn)行安全漏洞檢測的能力；具備使用工業(yè)防火墻的能力；具備使用工業(yè)防火墻進(jìn)行安全訪問策略配置的能力。技能目標(biāo)熟悉常見的網(wǎng)絡(luò)安全設(shè)備和系統(tǒng)，如防火墻、入侵檢測系統(tǒng)、加密技術(shù)等，并了解如何進(jìn)行有效的配置以保障網(wǎng)絡(luò)安全。與團(tuán)隊(duì)成員有效溝通合作，共同完成數(shù)據(jù)采集任務(wù)，培養(yǎng)團(tuán)隊(duì)協(xié)作能力與團(tuán)結(jié)奮斗精神。素質(zhì)目標(biāo)學(xué)習(xí)目標(biāo)學(xué)習(xí)導(dǎo)圖工業(yè)互聯(lián)網(wǎng)安全測評與應(yīng)急職業(yè)技能等級標(biāo)準(zhǔn)工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全配置工作任務(wù)職業(yè)技能要求等級知識點(diǎn)技能點(diǎn)理解工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全的相關(guān)知識并掌握網(wǎng)絡(luò)安全的掃描與處置①能使用信息搜索工具進(jìn)行網(wǎng)絡(luò)資產(chǎn)信息收集；②能使用網(wǎng)絡(luò)服務(wù)工具，獲取基本的服務(wù)信息；③能使用信息搜索工具，對網(wǎng)絡(luò)安全信息進(jìn)行收集；④能使用安全檢測工具，對網(wǎng)絡(luò)安全進(jìn)行檢測；⑤能使用安全檢測工具，分析安全漏洞；⑥能具備良好的溝通表達(dá)及團(tuán)隊(duì)合作能力。初級中級①了解工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)通信及加密安全挑戰(zhàn)；②了解工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)脆弱性分析與加固挑戰(zhàn)；③了解構(gòu)建工業(yè)互聯(lián)網(wǎng)防御體系的目標(biāo)和方法；④了解網(wǎng)絡(luò)邊界的劃分與隔離；⑤了解工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)訪問控制方法；⑥了解工業(yè)防火墻的適用范圍及作用；⑦了解工業(yè)防火墻的各方面能力需求；⑧理解工業(yè)互聯(lián)網(wǎng)安全措施。①認(rèn)識KaliLinux環(huán)境；②具備Kali的基礎(chǔ)使用能力；③理解工業(yè)漏洞管理平臺掃描的基本原理；④具備使用工業(yè)漏洞管理平臺對在線網(wǎng)絡(luò)資產(chǎn)掃描的能力；⑤具備使用工業(yè)防火墻的能力；⑥具備使用工業(yè)防火墻去進(jìn)行安全防護(hù)的能力。

與職業(yè)技能等級標(biāo)準(zhǔn)內(nèi)容對應(yīng)關(guān)系任務(wù)1網(wǎng)絡(luò)安全的構(gòu)建KaliLinux是專門用于滲透測試的Linux操作系統(tǒng)，它由BackTrack發(fā)展而來。本任務(wù)只要講解Kali的基本使用方法，另外還將介紹有關(guān)網(wǎng)絡(luò)安全構(gòu)建的相關(guān)知識內(nèi)容。任務(wù)描述本任務(wù)學(xué)習(xí)網(wǎng)絡(luò)安全建構(gòu)并掌握Kali的使用。工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)通信及加密安全挑戰(zhàn)1（1）工業(yè)網(wǎng)絡(luò)通信主體的不對等性傳統(tǒng)的不同信任域的網(wǎng)絡(luò)隔離，雖然各安全域的信任程度并不對等，但是通信一方對通信另一方并無明顯的控制作用。而工業(yè)領(lǐng)域中的工業(yè)控制，雖然通信雙方的數(shù)據(jù)通信仍可是雙向的，但是一方對另一方的控制作用明顯。這種不對等性，就為工業(yè)防火墻訪問控制規(guī)則的設(shè)計(jì)提出了新要求。在工業(yè)控制系統(tǒng)當(dāng)中，需要對多個(gè)控制子系統(tǒng)統(tǒng)一管理，而主控器只有一個(gè)，即主站。知識導(dǎo)入工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)通信及加密安全挑戰(zhàn)1（2）工業(yè)網(wǎng)絡(luò)通信協(xié)議及加密安全問題工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)通信及加密安全挑戰(zhàn)主要體現(xiàn)在工控網(wǎng)絡(luò)通信方面。工控網(wǎng)絡(luò)通信要求延時(shí)較低，一要保障可供攻擊者利用的時(shí)間窗口較小，二要保證實(shí)時(shí)性，而不當(dāng)加密方式及算法會帶來資源消耗與延時(shí)現(xiàn)象。知識導(dǎo)入工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)通信及加密安全挑戰(zhàn)1（3）工業(yè)以太網(wǎng)協(xié)議和其他工業(yè)協(xié)議并存工業(yè)應(yīng)用中，工業(yè)以太網(wǎng)協(xié)議和其他工業(yè)協(xié)議并存的情況大量存在，不同的生產(chǎn)環(huán)境所采用的通信協(xié)議也不同。工業(yè)以太網(wǎng)環(huán)境中，多采用工業(yè)以太網(wǎng)協(xié)議來通信，而基于串行通信鏈路生產(chǎn)線上，則多采用RS232/422/485協(xié)議。工業(yè)協(xié)議的動(dòng)態(tài)變化特性主要體現(xiàn)在動(dòng)態(tài)端口和數(shù)據(jù)包生成傳輸上。與IP網(wǎng)絡(luò)協(xié)議數(shù)據(jù)具有較強(qiáng)隨機(jī)性不同，工業(yè)網(wǎng)絡(luò)通信協(xié)議傳輸數(shù)據(jù)包大多具有明顯的順序特征。知識導(dǎo)入知識導(dǎo)入工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)脆弱性分析與加固挑戰(zhàn)2工業(yè)專用協(xié)議同樣存在眾多安全漏洞。云計(jì)算是工業(yè)互聯(lián)網(wǎng)的關(guān)鍵技術(shù)，工業(yè)云計(jì)算及云平臺的虛擬化安全問題日漸突出。工業(yè)物聯(lián)網(wǎng)的主流通信協(xié)議是TCP/IP，因此，工業(yè)物聯(lián)網(wǎng)不僅面臨著傳統(tǒng)IP網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)，還面臨著工業(yè)物聯(lián)網(wǎng)具有“工業(yè)特征”的特有安全問題。IPv4協(xié)議因安全問題及地址空間所限，將逐步被IPv6協(xié)議所取代。工業(yè)網(wǎng)絡(luò)安全設(shè)備自身安全性也會對工業(yè)網(wǎng)絡(luò)帶來嚴(yán)重的安全隱患。構(gòu)建工業(yè)互聯(lián)網(wǎng)防御體系3工業(yè)互聯(lián)網(wǎng)架構(gòu)以工廠為邏輯邊界，大致分為工廠內(nèi)網(wǎng)和外網(wǎng)兩大部分。工控技術(shù)的通用化和標(biāo)準(zhǔn)化，使得工控設(shè)備與控制的脆弱性暴露更為容易和頻繁，而工控網(wǎng)絡(luò)與外部互聯(lián)網(wǎng)的交融更使得原來的攻擊路徑、渠道以及攻擊面得以延拓。工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全防御涉及因素眾多，也是一個(gè)復(fù)雜的系統(tǒng)工程。知識導(dǎo)入Kali基礎(chǔ)任務(wù)實(shí)施【任務(wù)目的】認(rèn)識KaliLinux環(huán)境；

掌握Kali的基礎(chǔ)使用方法?！臼褂霉ぞ摺縆aliLinux主機(jī)打開Kali的命令行登錄KaliLinux系統(tǒng)【步驟1】

開啟SSH服務(wù)提升為root權(quán)限打開Kali的命令行窗口，輸入命令sudo-i，輸入密碼，提升為root權(quán)限0102在Kali命令行窗口中輸入命令systemctlstartssh，開啟SSH服務(wù)使用Xshell或Putty等SSH工具進(jìn)行連接，配置對應(yīng)IP與端口即可，使用Xshell工具連接SSH服務(wù)。輸入Kali的用戶名和密碼，成功連接SSH服務(wù)0304【步驟1】

開啟SSH服務(wù)打開命令行窗口【步驟2】

Kali快捷工具欄介紹打開圖形界面文件夾0102啟動(dòng)Metasploit工具啟動(dòng)Burpsuite工具0304【步驟2】

Kali快捷工具欄介紹打開多個(gè)命令行窗口【步驟3】

切換多個(gè)應(yīng)用窗口將多個(gè)窗口最小化0102再次調(diào)出窗口03【步驟3】

切換多個(gè)應(yīng)用窗口任務(wù)評價(jià)任務(wù)評價(jià)了解工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)通信及加密安全挑戰(zhàn)了解工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)脆弱性分析與加固挑戰(zhàn)了解構(gòu)建工業(yè)互聯(lián)網(wǎng)防御體系的目標(biāo)認(rèn)識KaliLinux環(huán)境并掌握Kali的基礎(chǔ)使用方法任務(wù)測驗(yàn)選擇題

A.半單工機(jī)制B.全單工機(jī)制C.半雙工機(jī)制D.全雙工機(jī)制

工業(yè)現(xiàn)場通信大量采用（），無法從機(jī)制上保證通信雙方不在同一時(shí)刻發(fā)送消息。A.工業(yè)以太網(wǎng)B.RS232C.RS422D.RS485

工業(yè)以太網(wǎng)環(huán)境中，多采用（）協(xié)議來通信。A.WindowsB.LinuxC.UnixD.AndroidKali是專門用于滲透測試的（）操作系統(tǒng)。簡答題任務(wù)測驗(yàn)1.工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)通信及加密安全存在的安全挑戰(zhàn)主要體現(xiàn)在哪些方面？2.簡單描述工業(yè)物聯(lián)網(wǎng)帶來的網(wǎng)絡(luò)脆弱性挑戰(zhàn)。3.簡單描述如何構(gòu)建工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全防御體系。

任務(wù)2網(wǎng)絡(luò)安全邊界的劃分

網(wǎng)絡(luò)掃描是根據(jù)對方服務(wù)所采用的協(xié)議，在一定時(shí)間內(nèi)，通過自身系統(tǒng)對對方協(xié)議進(jìn)行特定讀取、猜想驗(yàn)證、惡意破壞，并將對方直接或間接的返回?cái)?shù)據(jù)作為某指標(biāo)的判斷依據(jù)的一種行為。本任務(wù)主要講解如何使用工業(yè)漏洞管理平臺工具進(jìn)行網(wǎng)絡(luò)資產(chǎn)掃描，另外還介紹了有關(guān)網(wǎng)絡(luò)安全邊界劃分的相關(guān)知識。任務(wù)描述學(xué)習(xí)了解網(wǎng)絡(luò)安全邊界劃分，并掌握工業(yè)漏洞管理平臺網(wǎng)絡(luò)資產(chǎn)掃描方法。網(wǎng)絡(luò)邊界的劃分與隔離1（1）工業(yè)互聯(lián)網(wǎng)架構(gòu)內(nèi)工廠內(nèi)網(wǎng)的劃分與隔離以工業(yè)互聯(lián)網(wǎng)的角度來看，工廠內(nèi)網(wǎng)包括IT網(wǎng)絡(luò)和OT網(wǎng)絡(luò)兩層，用于實(shí)現(xiàn)在制產(chǎn)品、生產(chǎn)機(jī)器設(shè)備、信息采集設(shè)備、工控系統(tǒng)及網(wǎng)絡(luò)以及人力等生產(chǎn)要素以及IT系統(tǒng)的廣泛互聯(lián)。按照工業(yè)管理自上而下的層級劃分，網(wǎng)絡(luò)又分為配置和管理各自分離的“工廠/企業(yè)”“車間/產(chǎn)線”“現(xiàn)場”三級。知識導(dǎo)入基于工業(yè)互聯(lián)網(wǎng)宏觀架構(gòu)，工廠內(nèi)網(wǎng)建設(shè)涉及IT網(wǎng)、OT網(wǎng)、智能機(jī)器與在制品連接、泛在無線連接和IT/OT/CT融合組網(wǎng)等。網(wǎng)絡(luò)邊界的劃分與隔離1（2）工業(yè)互聯(lián)網(wǎng)架構(gòu)內(nèi)工廠外網(wǎng)的劃分與隔離以工業(yè)互聯(lián)網(wǎng)的角度來看，工廠外網(wǎng)的作用是為工業(yè)生產(chǎn)全生命周期各環(huán)節(jié)提供支撐，用于生產(chǎn)企業(yè)上下游協(xié)作企業(yè)、企業(yè)與智能產(chǎn)品、企業(yè)與用戶之間的連接。此前，工廠與互聯(lián)網(wǎng)的結(jié)合主要還在進(jìn)銷存及供應(yīng)鏈管理等環(huán)節(jié)，未能有效發(fā)揮聯(lián)網(wǎng)在資源優(yōu)化配置方面的作用和優(yōu)勢。目前，以IPv4為基礎(chǔ)的公共互聯(lián)網(wǎng)在地址空間、安全保障、實(shí)時(shí)性能等方面均難以很好地滿足工業(yè)互聯(lián)網(wǎng)的應(yīng)用需求。知識導(dǎo)入網(wǎng)絡(luò)邊界的劃分與隔離1（3）SCADA的安全域劃分與隔離SCADA安全域的劃分通常需要較為清晰的工業(yè)網(wǎng)絡(luò)邊界界限。作為SCADA層次網(wǎng)絡(luò)或安全域間的唯一通道，工業(yè)防火墻能夠根據(jù)SCADA網(wǎng)絡(luò)安全策略來控制(允許、拒絕、監(jiān)測)進(jìn)出各安全域的信息流。結(jié)合SCADA功能來考慮，可以將企業(yè)資源層劃分為DMZ安全域和管理信息安全域。知識導(dǎo)入網(wǎng)絡(luò)邊界的劃分與隔離1（4）DCS的安全域劃分與隔離DCS系統(tǒng)分為企業(yè)資源層、生產(chǎn)管理層和現(xiàn)場控制層，系統(tǒng)安全域的劃分也需要較為清晰的邊界。結(jié)合DCS控制功能和物理空間分布來考慮，可以將企業(yè)資源層劃分為DMZ安全域和管理信息安全域。知識導(dǎo)入企業(yè)資源層又分為隔離區(qū)和管理信息區(qū)。知識導(dǎo)入工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)訪問控制方法2工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)訪問控制策略在安全策略層面表示授權(quán)，是對訪問如何控制、如何做出訪問決定的高層指南，通常以用于所有與安全相關(guān)活動(dòng)的一套訪問控制規(guī)則來體現(xiàn)。訪問控制機(jī)制則是指信息系統(tǒng)的主體(用戶)依據(jù)給定的權(quán)限或控制策略，對信息系統(tǒng)的客體(資源)進(jìn)行的不同授權(quán)訪問，是訪問控制策略的軟硬件底層實(shí)現(xiàn)。知識導(dǎo)入工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)訪問控制方法2工業(yè)網(wǎng)絡(luò)實(shí)施多級安全策略，需要按照安全級別來決定訪問主、客體之間的工業(yè)網(wǎng)絡(luò)數(shù)據(jù)流向及其權(quán)限控制。工業(yè)漏洞管理平臺任務(wù)實(shí)施【任務(wù)目的】理解工業(yè)漏洞管理平臺的基本原理；

掌握使用工業(yè)漏洞管理平臺對在線網(wǎng)絡(luò)資產(chǎn)掃描的方法?！臼褂霉ぞ摺繙y試機(jī)：工業(yè)漏洞管理平臺

靶機(jī)：任意在線設(shè)備【配置說明】提前在本地網(wǎng)絡(luò)中選取用于掃描得靶機(jī)，如自己的Windows主機(jī)，獲取其IP地址備用。在瀏覽器中輸入工業(yè)漏洞管理平臺訪問地址01，顯示工業(yè)漏洞管理平臺登錄界面，輸入用戶名和密碼，登錄工業(yè)漏洞管理平臺?！静襟E1】

登錄工業(yè)漏洞管理平臺成功登錄工業(yè)漏洞管理平臺，執(zhí)行“配置>目標(biāo)”命令?！静襟E2】

創(chuàng)建待掃描的目標(biāo)設(shè)備切換到目標(biāo)配置界面中，單擊界面左上角的“新建目標(biāo)”按鈕。0102顯示“新建目標(biāo)”窗口，在“名稱”選項(xiàng)文本框中輸入該目標(biāo)的名稱；在“主機(jī)”選項(xiàng)中選擇“靜態(tài)IP”選項(xiàng)，并填寫該目標(biāo)的靜態(tài)IP地址；“端口列表”選項(xiàng)默認(rèn)選擇AllIANAassignedTCP?！静襟E2】

創(chuàng)建待掃描的目標(biāo)設(shè)備執(zhí)行“掃描>任務(wù)”命令?！静襟E3】創(chuàng)建掃描任務(wù)切換到掃描任務(wù)界面中，單擊界面左上角的“新建任務(wù)”按鈕。0102顯示“新建任務(wù)”窗口，輸入名稱、內(nèi)容，選擇新建的目標(biāo)機(jī)為掃描目標(biāo)。單擊‘保存’按鈕，在任務(wù)列表中可以查看新建的掃描任務(wù)。【步驟3】創(chuàng)建掃描任務(wù)0102【步驟4】查看掃描結(jié)果掃描任務(wù)完成后，可通過單擊掃描任務(wù)，查看掃描結(jié)果。單擊“下載”圖標(biāo)，選擇需要的格式，將該報(bào)告下載到本地。執(zhí)行“掃描>報(bào)告”命令，在彈出的窗口中對相關(guān)選項(xiàng)進(jìn)行設(shè)置。單擊“OK”按鈕，查看該掃描任務(wù)產(chǎn)出的掃描信息?！静襟E4】查看掃描結(jié)果0102任務(wù)評價(jià)任務(wù)評價(jià)了解網(wǎng)絡(luò)邊界的劃分與隔離了解工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)訪問控制方法理解工業(yè)漏洞管理平臺的基本原理掌握使用工業(yè)漏洞管理平臺對在線網(wǎng)絡(luò)資產(chǎn)進(jìn)行漏洞掃描的方法任務(wù)測驗(yàn)選擇題

A.工控安全審計(jì)平臺B.工控安全加固系統(tǒng)C.工業(yè)防火墻D.工業(yè)漏洞管理平臺

（）可以對網(wǎng)絡(luò)中的在線設(shè)備進(jìn)行漏洞掃描A.最小特權(quán)原則B.最小泄露原則C.多級安全策略D.單級安全策略（）是對客體賦予一個(gè)安全敏感度標(biāo)簽，憑此標(biāo)簽來表征安全分級。A.資源授權(quán)B.登錄控制C.訪問權(quán)限D(zhuǎn).授權(quán)核查工業(yè)網(wǎng)絡(luò)訪問控制中最重要的是確定（）。簡答題任務(wù)測驗(yàn)1.

什么是工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)訪問控制策略？2.

簡單描述工業(yè)網(wǎng)絡(luò)訪問控制的目標(biāo)。3.

工業(yè)網(wǎng)絡(luò)訪問控制的核心是什么？

任務(wù)3網(wǎng)絡(luò)安全防護(hù)措施工控防火墻是一款集多種智能引擎的工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)產(chǎn)品。本任務(wù)主要講解如何使用工業(yè)防火墻進(jìn)行工業(yè)控制協(xié)議防護(hù)的方法，另外還介紹了有關(guān)網(wǎng)絡(luò)安全防護(hù)的相關(guān)知識。任務(wù)描述了解工業(yè)防火墻，掌握工業(yè)防火墻的基礎(chǔ)功能的使用。工業(yè)防火墻的適用范圍及作用1從全局整體來構(gòu)建縱深防御安全體系，重要一環(huán)就是部署工業(yè)防火墻，作為多層縱深防御體系的重要防線和工業(yè)網(wǎng)絡(luò)安全的重要基礎(chǔ)保障措施。工業(yè)防火墻（IndustrialFirewall，IFW）適用于工業(yè)網(wǎng)絡(luò)環(huán)境的、具有不同操作方法和目標(biāo)的技術(shù)統(tǒng)稱，在工業(yè)控制系統(tǒng)當(dāng)中應(yīng)用的防火墻，又稱為工業(yè)控制防火墻(IndustrialControlFirewall，ICF)。知識導(dǎo)入工業(yè)防火墻的適用范圍及作用1（1）安全域間工業(yè)防火墻的適用范圍及作用特征分析通常使用工業(yè)防火墻將工業(yè)網(wǎng)絡(luò)劃分為若干區(qū)域，通過定義各區(qū)域之間的訪問控制策略來保證工業(yè)網(wǎng)絡(luò)數(shù)據(jù)傳輸安全、抵御網(wǎng)絡(luò)攻擊。知識導(dǎo)入與傳統(tǒng)IP網(wǎng)絡(luò)環(huán)境中的防火墻類似，工業(yè)防火墻也是用于不同網(wǎng)絡(luò)安全域之間隔離的物理或虛擬設(shè)備。工業(yè)防火墻的適用范圍及作用1（2）現(xiàn)場工控防火墻的適用范圍及作用特征分析工業(yè)網(wǎng)絡(luò)對實(shí)時(shí)性和可靠性要求很高，部署防火墻會占用一定資源，會犧牲一部分實(shí)時(shí)性，但絕不能認(rèn)為工業(yè)防火墻可有可無，更不能將其視為隱患，而應(yīng)視為IT、CT、OT深度融合形成工業(yè)互聯(lián)網(wǎng)后不可或缺的安全基礎(chǔ)防護(hù)手段。知識導(dǎo)入工業(yè)防火墻的適用范圍及作用1（3）工業(yè)Web應(yīng)用防火墻的適用范圍及作用特征分析工業(yè)互聯(lián)網(wǎng)中Web應(yīng)用廣泛，特別是在企業(yè)管理層和現(xiàn)場管理層當(dāng)中。WAF作為特殊的專用防火墻，可部署于Web服務(wù)器與其客戶端之間?？稍诠I(yè)互聯(lián)網(wǎng)平臺將WAF部署為透明代理、反向代理、路由代理以及端口鏡像等。檢測方法方面，可采用基于規(guī)則和基于異常的方法。WAF還能監(jiān)測輸入數(shù)據(jù)引入的風(fēng)險(xiǎn)。知識導(dǎo)入工業(yè)防火墻的各方面能力需求2（1）工業(yè)防火墻對工業(yè)環(huán)境適應(yīng)性的能力需求及其解決方案在現(xiàn)場長期應(yīng)用的工業(yè)防火墻，工作環(huán)境較為惡劣，必須具備工業(yè)環(huán)境適用性。建議采用尺寸緊湊、功耗低、集成度高、可靠性好、電磁兼容能力強(qiáng)的嵌入式工控機(jī)或定制工業(yè)級計(jì)算機(jī)作為工業(yè)防火墻承載平臺，按照5～10年生命周期設(shè)計(jì)。知識導(dǎo)入機(jī)械侵入能力工業(yè)防火墻必須具備機(jī)械侵入防護(hù)能力，硬件殼體應(yīng)選用金屬隔爆殼，至少要達(dá)到IP40以上(可有效防護(hù)直徑1mm以上異物侵入)，輔以內(nèi)部灌膠，以適應(yīng)高塵、高污染工業(yè)環(huán)境。知識導(dǎo)入氣候適應(yīng)能力建議采用無風(fēng)扇設(shè)計(jì)，具備強(qiáng)耐寒暑環(huán)境適應(yīng)能力，工作寬溫范圍支持40～70℃，存儲寬溫范圍支持40～85℃，濕度支持要求5%～95%無凝結(jié)。電磁兼容能力工業(yè)現(xiàn)場常見的工業(yè)信號發(fā)生器、晶振、電動(dòng)機(jī)、接近開關(guān)、工業(yè)繼電器、焊機(jī)、FPGA、邏輯電路、可控硅逆變器、整流器、電暈放電等電磁噪聲和電磁脈沖等，容易產(chǎn)生電磁兼容問題。知識導(dǎo)入機(jī)架規(guī)格需求及解決方案工業(yè)防火墻還需滿足工業(yè)環(huán)境中的沖擊、振動(dòng)、拉伸等機(jī)械要求。工業(yè)防火墻有兩種部署方式。一種是部署于生產(chǎn)制造工廠的廠房或車間的機(jī)房；另一種是導(dǎo)軌式工業(yè)防火墻。工業(yè)防火墻的網(wǎng)絡(luò)層控制能力需求及解決方案2（2）工業(yè)防火墻的網(wǎng)絡(luò)層控制能力需求及其解決方案工控防火墻首先需要防護(hù)已知工業(yè)網(wǎng)絡(luò)脆弱性，具備基礎(chǔ)防火墻功能，實(shí)現(xiàn)基于主體、客體、角色、協(xié)議、資產(chǎn)、時(shí)間、訪問控制列表等多元一體化訪問控制。在IP網(wǎng)絡(luò)隔離方面，不僅應(yīng)具有安全域管理與訪問控制、網(wǎng)絡(luò)地址轉(zhuǎn)換、用戶身份認(rèn)證等傳統(tǒng)功能，還應(yīng)用具有應(yīng)用層控制、Web攻擊防護(hù)、信息泄露防護(hù)、惡意代碼識別以及IPS等新功能，可實(shí)現(xiàn)L2～L7數(shù)據(jù)包的細(xì)粒度過濾檢測，同時(shí)具有用戶、應(yīng)用及內(nèi)容識別能力。知識導(dǎo)入安全域管理與訪問控制能力此處主要涉及工業(yè)網(wǎng)絡(luò)安全域管理、IP應(yīng)用層協(xié)議訪問控制以及IP網(wǎng)絡(luò)應(yīng)用內(nèi)容訪問控制問題。知識導(dǎo)入網(wǎng)絡(luò)地址轉(zhuǎn)換能力工業(yè)網(wǎng)絡(luò)中仍大量使用IPv4地址，IPv4地址不足也是工業(yè)網(wǎng)絡(luò)面臨的一個(gè)重要問題。用戶身份認(rèn)證能力如果用戶需要通過工業(yè)防火墻，可要求防火墻另一側(cè)的被訪問資源對其進(jìn)行認(rèn)證。加密數(shù)據(jù)交換能力建議部署工業(yè)防火墻時(shí)，啟用虛擬專用網(wǎng)網(wǎng)關(guān)功能。知識導(dǎo)入惡意代碼、Web攻擊及入侵防御能力惡意代碼查殺可對各類蠕蟲、病毒、木馬、僵尸軟件等進(jìn)行查殺，并攔截HTTP、FTP等應(yīng)用層協(xié)議夾雜的惡意代碼。狀態(tài)檢測能力采用包過濾方式，防火墻只能按照預(yù)設(shè)的靜態(tài)規(guī)則來過濾報(bào)文。狀態(tài)檢測的不足在于無法徹底識別數(shù)據(jù)包中的木馬等惡意代碼。工業(yè)互聯(lián)網(wǎng)安全措施3工業(yè)互聯(lián)網(wǎng)安全是在明確防護(hù)對象、設(shè)定合理的安全目標(biāo)后，通過配置網(wǎng)絡(luò)安全防護(hù)策略、制定安全應(yīng)急處置制度、實(shí)時(shí)進(jìn)行網(wǎng)絡(luò)安全態(tài)勢分析、定期舉行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估、檢測網(wǎng)絡(luò)中存在的安全隱患、完善安全防護(hù)策略，從而提升安全防護(hù)能力，并持續(xù)此過程，以構(gòu)建完善的網(wǎng)絡(luò)安全防護(hù)措施。安全防護(hù)措施：安全目標(biāo)；事件分析；檢測感知；風(fēng)險(xiǎn)評估；防護(hù)體系和應(yīng)急處置。知識導(dǎo)入使用工業(yè)防火墻任務(wù)實(shí)施【任務(wù)目的】了解工業(yè)防火墻的基礎(chǔ)功能；

掌握使用工業(yè)