工控安全职业证书技能实践：工控网络安全应急响应规划组织架构、工控网络安全应急响应报告规划与编写.docxVIP

PAGE 2 工控网络安全应急响应规划组织架构、工控网络安全应急响应报告规划与编写 课程级别 信息安全专业工业互联网安全方向。 实验概述 此实验主要目的是能够对工控网络安全进行应急响应规划组织架构，和进行应急响应报告规划与编写。 实验目标 掌握应急响应规划组织架构 掌握应急响应报告规划与编写 预备知识 熟悉工控网络安全应急响应概念。 建议课时数、 4个课时 实验环境准备 Microsoft Office 2019 实验步骤 任务一 掌握工控网络安全应急响应规划组织架构 工控网络安全应急响应工作的组织架构包括内部协调和外部协调。内部协调的对象主体是工业内部组建的网络安全应急响应领导小组（或决策中心）、网络安全保障与应急响应办公室（以下简称“应急办”）、相关生产线或受影响的生产部门、专项保障组，以及技术专家组、顾问组、市场公关组等；外部协调的对象主体包括各相关政府部门、业务关联方、供应商、专业安全服务厂商等。 工控网络安全应急响应组织架构示意图如图所示： 任务二 掌握工控网络安全应急响应报告规划与编写 在发生工业主机被攻陷、信息破坏事件（篡改、泄露、窃取、丢失等）、大规模病毒事件等安全事件时，除了需要及时进行安全事件应急响应和处置，还应该编写应急响应报告。报告的应急响应工作流程并非是固定的，需要应急响应服务人员在实际应用中灵活变通。 相关报告示例如下： XX网络安全事件应急响应报告 一、项目概述 事件概述： (1) 应急响应开始时间 (2) 应急响应结束时间 (3) 事件描述 二、应急响应工作目标 达成如下工作目标： (1) 分析样本感染方式、对系统造成的影响。 (2) 排查攻击者入侵路径(如不需要对日志进行分析溯源，删除即可)。 (3) 提供针对此类病毒的处置解决方法。 三、应急响应工作流程（无固定要求） 3.1准备阶段工作说明 3.2检测阶段工作说明 3.3抑制阶段工作说明 3.4根除阶段工作说明 3.5恢复阶段工作说明 四、总结及安全建议 (1) 应急响应总结 (2) 相关安全建议 任务三 典型案例分析 某炼钢厂工业生产网络自2018年10月起各流程工业主机遭遇蠕虫病毒的攻击，出现不同程度蓝屏、重启现象。早期在其他分工厂曾出现过类似现象，10月18日该炼钢分工厂出现主机蓝屏、重启现象，10月30日晚间蓝屏、重启主机数量增多，达到十几台。10月31日，某炼钢厂向相关工业互联网安全应急响应中心电话求助。经过勘查，相关工作人员意识到病毒在L1生产网络有爆发的趋势，因此在该厂紧急配置了趋势杀毒服务器，并在各现场工业主机终端安装网络版本趋势杀毒软件进行杀毒，部分机器配合打补丁进行应急处置。最终在11月3日完成彻底杀毒。 问：请针对上述工控网络安全事件编写应急响应报告。 答： 某炼钢厂蠕虫病毒事件应急响应报告 一、项目概述 事件概述： 某炼钢厂工业生产网络自2018年10月起各流程工业主机遭遇蠕虫病毒的攻击，部分主机出现蓝屏、重启现象。10月30日晚间蓝屏、重启主机数量急剧增多，工作人员使用传统的技术方法进行处理，但无法解决问题。10月31日，该炼钢厂向相关工业互联网安全应急响应中心发出求助。11月3日完成彻底杀毒，接触应急响应 二、应急响应工作目标 达成如下工作目标： (1) 样本感染方式分析和对系统造成的影响 ① 安全人员通过近两天的情况了解、现场处置，可以确认L1网络中感染了利用“永恒之蓝”漏洞传播的挖矿蠕虫病毒，OA/MES网络主机既感染了挖矿蠕虫病毒，又感染了WannaCry变种。 ② 由于网络未做好隔离与最小访问控制，关键补丁未安装（或安装未重启生效），蠕虫病毒通过网络大肆快速传播与感染，导致蓝屏、重启事件的发生。 ③ 内网主机感染时间有先后，网络规模庞大，因业务需要，外网主机可远程通过VPN访问生产网中主机，进而访问现场PLC。 ④ 网络中存在多个双网卡主机，横跨LI、L2网络，进而造成整个L1、L2、L3网络实质上互联互通。同时，传播感染有一定的时间跨度，被感染的主机也可以攻击网络中的其他目标，无全网全流量监控。 (2) 排查攻击者入侵路径 由分析可知，挖矿蠕虫病毒、WannaCry变种通过某种网络途径，利用系统漏洞传入，由于内部网络无基本安全防护措施且互联互通，进而导致了病毒迅速蔓延扩散。 (3) 针对本次病毒感染事件的处置解决方法 经过安全人员的基本处理，对车间内10台工控机手动进行病毒检测样本抓取，创建阻止445端口数据传播的组策略，使得当前病毒传播、蓝屏重启现象已得到基本控制。而对于其他主机建议做如下处理:确认主机是否存在“永恒之蓝勒索病毒；安装微软补丁；建立完善的工业安全防护制度和统一方案，确保生产安全、连续、稳定。 三、总结及安全建议 从本次蠕虫病毒事件来看，根本原因为主机没