工业互联网安全 课件 任务2 工业互联网安全应急响应预案的编写.pptx

任务2工业互联网信息篡改的应急响应

网页篡改一般有明显的网页篡改和隐藏式篡改两种。明显的网页篡改即攻击者直接在网站主页进行篡改，隐藏式篡改一般是将被攻击网站的网页植入链接色情、诈骗等非法信息的链接中，以通过灰黑色产业牟取非法经济利益。黑客为了篡改网页，一般需提前知晓网站的漏洞，提前在网页中植入后门，并最终获取网站的控制权。任务描述本任务主要讲解了如何判断网页篡改事件，以及如何对网页篡改事件做出相应的应急响应。

安全检测与态势评估1网络安全态势感知的具体流程是先采集所有安全设备的防护、拦截日志信息，然后对这些信息进行分析、理解，再对当前网络未来可能面对的环境变化进行预测。这个过程可以总结为态势信息提取、态势评估和态势预测3个步骤。知识导入

安全检测与态势评估1态势评估是指在获取海量安全数据的基础上，通过解析数据之间的关联性，对其进行融合，获取宏观的网络安全态势。态势评估的核心是这些海量数据的融合。目前，应用于工业互联网安全态势评估的融合算法主要有4类：基于逻辑关系的融合方法、基于数学模型的融合方法、基于概率统计的融合方法以及基于规则推理的融合方法。知识导入

安全检测与态势评估1安全态势的预测是指根据网络安全态势的历史信息和当前状态对网络未来一段时间的发展趋势进行预测。网络安全态势的预测是态势感知的一个基本目标。对于安全态势评估模型，首先需要熟悉3个术语：①攻击发生概率：某种攻击已经发生的可能性，以m(h)表示。②攻击成功概率：某种攻击发生后，该攻击成功的概率或程度，以s(h)表示。③攻击威胁：某种攻击成功实施后造成的影响，以V表示。知识导入

安全检测与态势评估1知识导入

应急处置与协同防护2知识导入在工业互联网安全运维工作中，遭遇突发安全事件后的应急处置与协同防护是重中之重，而分析协同防护是该工作的核心。

应急处置与协同防护2知识导入从组织工作维度，不仅包括IT和OT架构层面的安全防护协同，还包括内部团队和安全服务商的协同，以及系统架构内部组件和数据机制的协同。只有从两种维度都做出相应的设计、部署和运营后，才能规避因为缺乏单点故障和协同机制而带来的跨域渗透或者多目标入侵等安全威胁，从而更好地保护工业系统，实现多方协同的应急响应处置机制。

应急处置与协同防护2知识导入工业互联网安全管理传感网子域安全接入安全终端安全协同防护在工业互联网的逻辑体系层面上有3个层次

网页篡改应急响应事件任务实施【任务目的】网页篡改事件判断并立即做出应急响应【使用工具】运行系统：Windows10其他软件：D盾、360杀毒、phpstudy、菜刀后门连接工具测试主机：测试服务器

登录到服务器上，对服务器进行隔离，服务器并没有安装杀毒软件，查看进程信息【步骤1】可疑进程分析

【步骤2】管理员账号查看01检查是否被添加非法管理员账号，确认不存在非法用户添加。02打开“命令提示符”窗口，输入命令netlocalgroupadministrators，按Enter键执行命令。

【步骤3】端口分析输入命令netstat-ano，查看是否存在危险端口开放或者外联

【步骤4】Weshell查杀打开桌面tools文件夹，使用该文件夹中的D盾查杀工具，看是否存在木马脚本。

【步骤5】网站日志记录双击桌面上的phpstudy图标，运行该软件，在弹出对话框中单击“启动”按钮01

【步骤5】网站日志记录单击“用户管理”选项区中的“管理登录日志”选项，在界面右侧显示相应的管理登录日志内容对网站登录日志的分析0203

【步骤6】站点日志分析查看网站日志信息0201分析网站日志文件

【步骤7】入侵方式分析还原单击“备份与恢复数据”选项区中的“执行SQL语句”选项，进入界面。02经过了解，发现该功能存在上传漏洞。01

【步骤7】入侵方式分析还原还原攻击过程03

【步骤7】入侵方式分析还原进入“系统”界面，单击“导入系统模型”按钮04

【步骤7】入侵方式分析还原将木马脚本文件导入到网站中05

【步骤7】入侵方式分析还原在网站中运行木马脚本文件，实现网站攻击06

【步骤8】防护建议设置网站登录次数限制修改配置文件config.phpx相关参数0102

【步骤8】防护建议避免使用默认口令，如果使用，则在用户首次登录时，强制用户修改密码。口令复杂度要求：长度8位及以上，至少包含大、小写字母，数字，特殊字符两类。0304对所有的get和post请求做安全过滤，也可以直接在eaddslashes的参数里增加恶意代码的拦截机制，先检测后放行，漏洞的利用条件是需要有后台管理员权限，利用的不是太多，建议对网站后台的管理目录进行更改。05设置网站登录次数限制即说明实验成功完成。

【步骤9】网站安全加固网站安全加固可以从以下4个方面进行操作。（1）修改e/class/