工控安全职业证书技能实践：应急和响应防范设计.docxVIP

PAGE 2 应急和响应防范设计 课程级别 信息安全专业工业互联网安全方向。 实验概述 此实验主要内容是熟悉常见的工控网络应急和响应的规划框架，学会如何设计工控网络的应急和响应防范措施。 实验目标 熟悉常见的工控网络应急和响应的规划框架 学会如何设计工控网络的应急和响应防范措施 预备知识 熟悉工控网络应急和响应的概念 熟悉工控网络应急和响应的基本流程 建议课时数 4个课时 实验环境准备 实验时硬件环境：12核CPU、16G内存、1T硬盘 Office word 2019 实验背景 1.常见工控网络应急和响应规划框架 （1）准备阶段 （2）检测阶段 （3）抑制阶段 （4）根除阶段 （5）恢复阶段 （6）总结阶段 2.根据以上框架，编写某电力监控系统的应急和响应防范措施。 实验步骤 任务一 电力监控系统应急和响应准备阶段和检测阶段 1.准备阶段 准备阶段以预防为主。主要工作涉及识别电力监控系统的风险、建立安全政策、建立协作体系和应急制度。按照安全政策配置安全设备和软件，为网络安全应急响应与恢复准备主机。通过网络安全措施，进行一些准备工作，例如，扫描、风险分析、打补丁等。如有条件且得到许可，可建立监控设施，建立数据汇总分析的体系，制定能够实现网络安全应急响应目标的策略和规程，建立信息沟通渠道，建立能够集合起来处理突发事件的体系。 2.检测阶段 检测阶段是网络安全应急响应处置过程中的重要阶段，主要内容包括:实施小组人员的确定、检测范围及对象的确定、检测方案的确定、检测方案的实施和检测结果的处理。检测阶段的主要目标是接到事故报警后对异常的系统进行初步分析，确认其是否真正发生了网络安全事件，制定进一步的响应策略，并保留证据。 检测阶段的主要内容如下： ①实施小组人员的确定 网络安全应急响应负责人根据初步的检查，分析事故的类型、严重程度等,确定临时网络安全应急响应小组的实施人员的名单。 接到事故报警后，立即对以下事项进行初步排查。重点检查项应尽量全部记录,一般检查项根据实际情况按需记录。 重点检查项: ·确认是否影响业务生产,造成哪些业务无法开展; ·确认网络是当前范围内的局域网，还是全国性内网; ·确认是否有主机“中招”，有多少台服务器“中招”，分别是哪种业务服务器,有多少台终端“中招”。 一般检查项: ·确认此次事件类型，包括遭遇勒索病毒（如果是勒索病毒，需填写加密的文件后缀)、挖矿木马、APT攻击、网站挂马、网站暗链、网站篡改、数据泄露等; ·病毒/木马的传播能力,以及传播方式; ·业务数据的备份情况; ·是否有数据泄露，以及哪些数据被泄露; ·安全软件部署情况，以及归属厂家，如是否部署防病毒软件、流量监测设备、虚拟化安全产品等。 ②检测范围及对象的确定 主要涉及以下内容： ·对发生异常的系统进行初步分析，判断是否真正发生了网络安全事件。 ·确定检测范围及对象。 ③检测方案的确定 主要涉及以下内容： ·确定检测方案。 ·制定的检测方案应明确检测规范。 ·制定的检测方案应明确检测范围，其检测范围应仅限于与网络安全事件相关的数据，对未经授权的机密性数据信息不得访问。 ·检测方案应包含实施方案失败的应变和回退措施。 ·充分沟通，并预测应急处理方案可能造成的影响。 ④检测方案的实施 主要涉及以下内容： ·检测搜集系统信息:搜集操作系统基本信息、日志信息、账号信息等。 ·主机检测:包括日志检查、账号检查、进程检查、服务检查、自启动检查、网络连接检查、共享检查、文件检查、查找其他入侵痕迹等。 ⑤检测结果的处理 经过检测，判断出网络安全事件类型，包括以下7个基本分类。 ·有害程序事件:指蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的网络安全事件。 ·网络攻击事件:指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的网络安全事件。 ·信息破坏事件:指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄露、窃取等而导致的网络安全事件。 ·信息内容安全事件:指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的网络安全事件。 ·设备设施故障事件:指由于信息系统自身故障或外围保障设施故障而导致的网络安全事件，以及人为使用非技术手段有意或无意造成信息系统破坏而导致的网络安全事件。 ·灾害性事件:指由于不可抗力对信息系统造成物理破坏而导致的网络安全事件。 ·其他网络安全事件:指不能归为以上6个基本分类的网络安全事件。 另外，还要评估突发网络安全事件的影响。采用定量和/或定性的方法，对业务中断、系统宕机、网络瘫痪、数据丢失等突发网络安全事件造成的影响进行评