工业互联网安全 课件 任务3 工业设备基础安全分析.pptx

任务3工业设备基础安全分析与配置

本任务主要讲解如何对华为路由器进行安全加固处理，通过displaycurrent命令，查看是否有相关的配置信息。任务描述本任务要掌握华为路由器设备的测评和安全加固方法。

工业设备安全影响因素1（1）工业通信设备及其安全影响因素工业网络对通信具有实时性、可用性和可靠性等特殊要求，对工业通信设备提出了较高要求。知识导入

a）工业通信设备的作用及类型工业控制中的通信是其核心关键环节，也是工业互联网的核心所在，需要采取多种工业通信体制来解决互联、互通、互操作问题。知识导入b)工业通信设备存在的安全因素分析①实时性保障问题。②海量数据传输问题。③异构、异质通信融合问题。④工业无线通信应用的特殊问题。

工业设备安全影响因素1（2）工业测控设备的安全影响因素根据测控设备的功能使命及在工控网络拓扑中所处地位的差异，其整体安全保证能力的需求也不同，进而对工控系统整体安全性的影响也各异。知识导入

工业设备物理安全分析2物理安全（实体安全）涵盖设备安全和环境安全，涉及支撑工业互联网运行的所有硬件设施的安全，包括现场及运算环境、各种工业和IT设备以及存储介质等。工业互联网中的各种系统总是通过某种方式在物理设备上运行，所以，物理安全的保护是整个工业互联网安全的基石。物理设备均运行于特定的物理环境当中。环境安全堪称物理安全乃至整个工业互联网安全的最基本保障。知识导入

工业设备功能安全分析3设备的安全性与用于安全功能感知的各类传感器密切相关，比如安全光栅、应急开关、限位触点等。这些安全逻辑可以通过继电器控制或者控制器来实现。传统上认为功能安全是相当重要甚至是第一重要的。比如重工业中，锻压、切割、冲击等设备操作，稍有疏忽即可能导致人身伤亡事故发生。石化、危化品等高危生产企业更是如此。知识导入

功能安全危险信息识别与标识分析工业设备和控制中存在的可能危险源，列明相关的可能危险状况及对应的危害事件，识别并标识已确定功能安全危险涉及的主要信息。知识导入工业设备与控制的功能安全方面采取如下措施功能安全危险状况及危险事件的识别与标识分析工控软件与其他软件或工业装备的相互作用引发的功能安全危险状况，并分析其可能导致的危害事件。功能安全危害事件的影响分析分析相关危险源、危险状态所引发的危害事件的具体影响及破坏后果。功能安全综合防范措施落实工控设备对外界危险因素的抵抗、防御或切断能力并对可能引发的安全失控状态，采取监测。

工业设备信息安全分析4工业互联网架构中的工业设备多具有智能化，大多采用“嵌入式操作系统+微处理器+工业APP”的典型架构，可能会招致严重的工业网络攻击，而且整个工业网络攻击面显著扩大、传播速度剧增、危害后果严重。工业设备固件安全增强可从操作系统内核、协议栈等方面来考虑，防范恶意代码的传播与运行。知识导入

路由器设备安全加固任务实施【任务目的】理解路由器设备的测评指标；掌握路由器设备安全加固方法。【使用工具】设备：路由器（华为V8R10）工具：Xshell（其他支持Serial协议终端或SSH协议终端）

【步骤1】应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。核查路由器设备是否不存在多余或无效的访问控制策略，并核查路由器设备的不同访问控制策略之间的逻辑关系，以及前后排列顺序是否合理。

【步骤2】应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。查看交换机日志审计功能的开启情况01Huaweidisplaylogbuffer//查看Log缓冲区的所有Log信息

【步骤3】应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。设置AUX口、Console口、VTY口及特权模式口令01[Huawei]user-interfacevty04[Huawei-ui-vty0-4]authentication-mode?password?//只通过密码验证设置密码策略02[Huawei-ui-vty0-4]set?authentication?password?cipherChaseAug

【步骤4】应具有登录失败处理功能，配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。0102配置端口超时处理功能和登录超时处理功能[Huawei]user-interfacevty04[Huawei-ui-vty0-4]idle-timeout5//登录超时配置登录失败处理功能[Huawei]aaa[Huawei-aaa]local-aaa-userwrong-passwordretry-interval5retry-time3block-tim