工控安全职业证书技能实践：角色和责任分工、文档设计与编写.docxVIP

角色和责任分工、文档设计与编写 课程级别 信息安全专业工业互联网安全方向。 实验概述 此实验主要内容是掌握在应急响应准备阶段各角色的主要工作。 实验目标 熟悉应急响应领导小组的准备工作； 熟悉应急响应实施小组的准备工作； 熟悉应急响应日常运行小组的准备工作。 预备知识 熟悉应急响应组织架构 熟悉应急响应报告规划与编写 建议课时数 4个课时 实验环境准备 实验时硬件环境：单核CPU、2G内存、30G硬盘 需要能够支持系统连接网络的网络环境 Office Word 2019 Windows Server 2003 操作系统 实验步骤 任务一 应急响应领导小组准备工作 制定工作方案和计划; 提供人员和物质保证; 审核并批准经费预算、恢复策略、应急响应计划; 批准并监督应急响应计划的执行; 指导应急响应实施小组的应急处置工作; 启动定期评审、修订应急响应计划以及负责组织的外部协作。 任务二 应急响应实施小组准备工作 记录时使用目录及文件名约定： 在受入侵的计算机的C盘根目录下（C:\）建立一个EEAN目录，目录中包含以下子目录： artifact：用于存放可疑文件样本?? cmdoutput：用于记录命令行输出结果???? screenshot：用于存放屏幕拷贝文件???? log：用于存放各类日志文件 图1 搜集操作系统基本信息 右键点击“我的电脑属性”?将“常规”、“自动更新”、“远程”3个选卡各制作一个窗口拷贝（使用Alt+PrtScr）。并保存到EEAN\screenshot目录下，文件名称应该使用：系统常规-01、自动更新-01、远程-01等形式命名 图2 图3 图4 将以上三张屏幕截图重命名后统一放入screenshot文件夹中 图5 进入CMD状态，“开始??运行?cmd”，进入C盘根目录下的EEAN目录下的cdmoutput子目录，执行以下命令： netstat-naonetstat.txt(网络连接信息) tasklisttasklist.txt?（当前进程信息） ipconfig/allipconfig.txt （IP属性） verver.txt?（操作系统属性） 图6 收集日志信息 进入管理工具，将“管理工具?事件察看器”中，导出所有事件到C:\EEAN \ log文件夹，“右键 导出列表”分别使用以下文件名保存：application.txt、security.txt、system.txt。 图7 图8 图9 图10 收集账号信息 使用net?user，net?local?group命令检查帐号和组的情况，使用计算机管理查看本地用户和组，将导出的信息保存在D:\EEAN\user中。 net user 命令 图11 net localgroup 命令 图12 在计算机管理中查看并导出 图13 图14 图15 日志检查 检查事件查看器中的系统和安全日志信息，比如：安全日志中异常登录时间，未知用户名登录； 检查%WinDir%\System32\LogFiles?目录下的WWW日志和FTP日志，比如WWW日志中的对cmd.asp文件的成功访问。 账号检查 通过询问管理员或负责人，或者和系统的所有的正常帐号列表做对比，判断是否有可疑的陌生的账号出现，利用这些获得的信息和前面准备阶段做的帐号快照工作进行对比进程检查 使用任务管理器检查或使用进程查看工具进行查看，利用这些获得的信息和前面准备阶段做的进程快照工作进行对比，判断是否有可疑的进程。 服务检查 使用“管理工具”中的“服务”查看非法服务或使用冰刃、Wsystem查看当前服务情况，利用这些获得的信息和准备阶段做的服务快照工作进行对比。 自启动检查 检查系统各用户“启动”目录下是否存在未授权程序。 网络连接检查 关闭所有的网络通讯程序，以免出现干扰，然后使用ipconfig,?netstat?-an或其它第三方工具查看所有连接，检查服务端口开放情况和异常数据的信息。 共享检查 使用net?share或其他第三方的工具检测当前开放的共享，使用$是隐藏目录共享，通过询问负责人看是否有可疑的共享文件。 文件检查 使用防病毒软件检查文件，扫描硬盘上所有的文件，将可疑文件进行提取加密压缩成.zip，保存到EEAN\artifact目录下的相应子目录中。 任务三 应急响应日常运行小组准备工