工業互聯網安全IndustrialInternetSecurity項目01工業互聯網設備安全配置項目02工業互聯網網絡安全配置加強數字安全專業建設項目04項目03工業互聯網控制系統安全配置項目05工業互聯網應用安全配置項目06工業互聯網安全風險評估項目07工業互聯網安全應用處置工業互聯網控制系統安全配置03項目通過以下三個任務的實施，使同學們掌握工業互聯網控制系統安全的配置方法。項目情境本項目將主要介紹工業互聯網控制系統安全的相關知識，幫助同學們對工業互聯網控制系統安全有系統的了解和認識。Windows系統安全加固工業協議安全解析Linux系統安全加固010203了解工業控制系統的安全影響因素；了解工業傳感裝置的安全影響因素；了解嵌入式操作系統的應用場景與安全需求；了解常用的嵌入式操作系統及安全性分析；了解工控協議安全測試；了解私有協議分析的方法；了解工控協議認證方式與突破。知識目標理解Windows系統加固主要內容；具備對Windows系統加固操作的能力；具備對Linux系統加固操作的能力；熟悉主流的TCP/IP協議棧通信機制和包結構；具備配置工控安全審計平臺和使用平臺進行抓包分析的能力。技能目標具備應對工業互聯網控制系統安全事件的能力，包括及時發現、分析和解決安全問題，以及在安全事件發生后進行恢復和總結。由于控制系統安全技術和威脅的不斷變化，需要保持學習和更新，了解最新的安全趨勢和最佳實踐，以應對不斷變化的系統威脅。素質目標學習目標學習導圖與職業技能等級標準內容對應關系工業互聯網安全測評與應急職業技能等級標準工業互聯網控制系統安全配置工作任務職業技能要求等級知識點技能點工業互聯網控制系統安全加固與工控協議安全分析①能夠對工控系統進行安全加固；②能夠對工控設備進行安全配置；③能夠對工控協議安全進行分析；④能夠對工控協議進行安全配置；⑤能具備良好的溝通表達及團隊合作能力。初級中級①了解工業控制系統的安全影響因素；②了解工業傳感裝置的安全影響因素；③了解嵌入式操作系統的應用場景與安全需求；④了解常用的嵌入式操作系統及安全性分析；⑤了解工控協議安全測試；⑥了解私有協議分析的方法；⑦了解工控協議認證方式與突破。①理解Windows系統加固主要內容；②具備對Windows系統加固操作的能力；③具備對Linux系統加固操作的能力；④熟悉主流的TCP/IP協議棧通信機制和包結構；⑤具備配置工控安全審計平臺和使用平臺進行抓包分析的能力。任務1Windows系統安全加固WindowsServer2019操作系統，具有高性能、高可靠性和高安全性等特點。WindowsServer2019在默認安裝的時候，基于安全的考慮已經實施了很多安全策略，但由于服務器操作系統的特殊性，在默認安裝后還需要對其進行安全加固，進一步提升服務器操作系統的安全性。任務描述重點講解WindowsServer2019系統的安全加固操作方法。工業控制系統的安全影響因素1（1）工業控制系統的安全影響因素工業控制系統(IndustrialControlSystem，ICS)主要包括SCADA、DCS、PLC、RTU、IED及傳感裝置等，此外還有工業自動化和控制系統(IndustrialAutomationandControlSystems，IACS)、可編程自動化控制器(ProgrammableAutomationController，PAC)與工業控制服務器等。知識導入知識導入企業資源層該層用于在業務相關活動中實現某一生產制造企業的管理，包括生產、銷售、CRM、財務等ERP系統管理功能單元，是該企業組織生產調度、經營管理等的關鍵信息基礎組件，為企業決策提供支撐。生產管理層該層的目標是實現生產過程管理和調度執行，包括生產調度、計劃排產、PDM等制造執行系統功能單元，實現生產過程管控、經營管理過程信息的轉換、加工、傳遞，完成工業數據采集與處理、工業生產制造計劃調度與分析、產品成本與品質管控、生產制造裝備管控等。知識導入過程監控層該層用于采集并監控生產過程數據，通過HMI進行人機交互，完成過程歷史數據收集、過程優化、統計顯示、智能調節控制、故障識別診斷與恢復、安全監控以及工業過程模擬仿真與分析等，兼具操作監視與部分管理功能。HMI包括操作站、工程師站、輔助操作臺、移動設備以及打印機等。現場控制層該層用于工業生產的連續控制、離散控制、順序控制與批量控制等各種過程數據信息的采集，完成數據轉換、處理，監控生產過程，輸出控制完成相關控制功能。還能實現對工業現場裝備與輸入/輸出卡的故障識別診斷與修復，同時還能夠完成與過程監控層的數據信息通信。該層主要依靠PLC等各類現場控制器、一體化智能設備等，對各現場執行設備進行控制。知識導入

現場設備層該層主要用于對生產過程進行感知與操作，是工業生產制造行為的物質基礎保障，包括各種工業機器人、加工中心、物料輸送裝置、生產線設備等。現場設備層的核心作用是：實現對上層控制器傳送的數據采集與設備控制指令的執行操作，根據上層控制信號來完成現場設備的業務活動。知識導入工業控制系統的安全影響因素1（2）SCADA系統構成及安全性SCADA用于工業現場的工業數據采集與監控，包括RTU、PLC、通信基礎設施、HMI、監控計算機等，用于完成工業數據采集、現場設備控制、參數測量與控制、現場報警、人機交互等目的。典型的SCADA包括控制中心與遠程現場站點等。SCADA作用范圍彈性很大，能構建大、中、小型應用系統，涵蓋數十到數千個控制回路。工業控制系統的安全影響因素1（3）DCS系統構成及安全性DCS用于控制設備資產位于同一物理空間的規模化生產制造系統，通常體現為控制回路的控制功能較為分散而管理功能較為集中。DCS通常涵蓋過程級、操作級以及管理級三級結構。DCS主要用于過程工業，采用反饋控制和前饋控制等策略，調控生產過程的溫度、位移、流速、濃度、成分等被控制參量，使之處于給定的閾值范圍之內。知識導入知識導入工業傳感裝置的安全影響因素2（1）工控傳感裝置類型及特點傳感裝置（或廣義的傳感器）就是能夠感受到被測量的物理量、化學量等信息，并將其按照一定規律轉換成與之有確定關系的輸出的裝置，以實現工業現場信息的獲取、傳輸、分析、處理、存儲、顯示、應用和控制等需求。傳感裝置感受信息需要敏感元件，而輸出信息則需要轉換元件。目前，通常將敏感元件、轉換元件、轉換電路與輔助電源做成一體化器件。知識導入工業傳感裝置的安全影響因素2（2）傳感裝置在工業互聯網中的作用及安全影響因素傳感裝置是工業控制系統的重要組成部分，用于精確、快速、有效、完整地獲取工業現場的信息，以完成對工業系統狀態的準確、可靠檢測，進而為后續的信息處理和控制決策提供基礎信息，是整個工控系統和工業智能化的核心支點。工控網絡和物聯網的快速發展，也持續拓展了傳感裝置的應用領域，在工業生產、智能交通、智能樓宇、智能電網、智能醫療、智慧城市、智慧社區、智慧校園等領域，獲得了廣泛應用。在工控領域，傳感器逐步向低功耗化、數字化、綜合化、系統化、智能化、微型化以及網絡化方向發展。WindowsServer2019系統加固任務實施【任務目的】掌握Windows系統加固主要內容和常用操作【使用工具】Windows2019Server【步驟1】

文件系統要求確保windows2019server的磁盤卷為NTFS文件系統。【步驟2】

補丁更新情況打開“程序”窗口。在“程序”窗口中單擊“查看已安裝的更新”文字，顯示系統當前已安裝的補丁更新，及時安裝系統補丁。【步驟3】

關閉遠程協助、遠程桌面功能單擊系統左下角的“開始”按鈕，在彈出的系統菜單中執行“Windows系統”命令，右鍵單擊“此電腦”選項，在彈出菜單中執行“屬性”命令。彈出“系統屬性”對話框，切換到“遠程設置”選項卡中，取消“啟用遠程協助并允許從這臺計算機發送邀請”和“啟用這臺計算機上的遠程桌面”這兩個選項的選中狀態，單擊“確定”按鈕，關閉遠程協助和遠程桌面功能。【步驟3】

關閉遠程協助、遠程桌面功能在windows2019server系統的防火墻設置中，除了必須提供的服務，關閉其他所有端口。【步驟4】

防火墻設置在windows2019server系統中單擊左下角的“開始”按鈕，在彈出的系統菜單中執行“管理工具>本地安全策略”命令。【步驟5】

賬戶密碼策略執行“管理工具>本地安全策略”命令，彈出“本地安全策略”對話框【步驟5】

賬戶密碼策略單擊“賬戶策略”選項組中的“密碼策略”選項，在右側對賬戶密碼策略進行設置。0102執行“管理工具>本地安全策略”命令，彈出“本地安全策略”對話框，單擊左側“賬戶策略”選項組中的“賬戶鎖定策略”選項，在右側對賬戶鎖定策略進行設置。【步驟6】

賬戶鎖定策略執行“管理工具>本地安全策略”命令，彈出“本地安全策略”對話框，單擊左側“本地策略”選項組中的“審核策略”選項，在右側對審核策略進行設置。【步驟7】

審核策略執行“管理工具>本地安全策略”命令，彈出“本地安全策略”對話框，單擊左側“安全選項”選項，在右側對安全選項進行設置。【步驟8】

安全選項禁止Dr.Watson創建DUMPS文件：【步驟9】

注冊表安全設置審核01HKLM\Software\Microsoft\DrWatson\CreateCrashDump(REG_DWORD)002禁止系統的自動診斷自動運行：HKLM\Software\Microsoft\WindowsNT\CurrentVersion\AEDebug\Auto(REG_DWORD)003禁止從任何驅動器上自動運行任何應用程序：HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun(REG_DWORD)255禁止現在的用戶自動運行【步驟9】

注冊表安全設置審核04HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun(REG_DWORD)255禁止任何新用戶自動運行HKU.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun(REG_DWORD)25506禁止自動登錄HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\AutoAdminLogon(REG_SZ)005隱藏鍵盤輸入星號實際字符【步驟9】

注冊表安全設置審核07HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Network\HideSharePwds(REG_DWORD)1禁止在藍屏死機后自動重啟HKLM\System\CurrentControlSet\Control\CrashControl\AutoReboot(REG_DWORD)008禁止撥號訪問HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Network\NoDialIn(REG_DWORD)109禁止CD自動播放HKLM\System\CurrentControlSet\Services\CDrom\Autorun(REG_DWORD)010在服務器上清除管理共享【步驟9】

注冊表安全設置審核11HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer(REG_DWORD)0保護阻止source-routingspoofing攻擊HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting(REG_DWORD)212保護阻止ComputerBrowserSpoofing攻擊HKLM\System\CurrentControlSet\Services\MrxSmb\Parameters\RefuseReset(REG_DWORD)113保護默認網關網絡設置【步驟9】

注冊表安全設置審核14HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnableDeadGWDetect(REG_DWORD)0EnsureICMPRoutingviashortestpathfirst:HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect(REG_DWORD)015幫助阻止包碎片攻擊HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery(REG_DWORD)016管理Keep-alive時間HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\KeepAliveTime(REG_DWORD)300000保護阻止惡意的Name-Release攻擊【步驟9】

注冊表安全設置審核17HKLM\System\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand(REG_DWORD)118確保路由發現被禁止HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\PerformRouterDiscovery(REG_DWORD)019保護阻止SYNFlood攻擊HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect(REG_DWORD)2SYN攻擊保護–管理TCP最大half-opensockets【步驟9】

注冊表安全設置審核20HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen(REG_DWORD)100or50021SYN攻擊保護–管理eTCP最大half-open保留socketsHKLM\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpenRetired(REG_DWORD)80or40022啟用IPSec保護KerberosRSVP傳輸HKLM\System\CurrentControlSet\Services\IPSEC\NoDefaultExempt(REG_DWORD)1HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\AutoShareServer(REG_DWORD)0關閉admin共享【步驟9】

注冊表安全設置審核23HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\AutoShareWks(REG_DWORD)024關閉IPC$默認共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous(REG_DWORD)1執行“管理工具>計算機管理”命令，彈出“計算機管理”對話框。【步驟10】

服務審核單擊“服務和應用程序”選項組中的“服務”選項，在右側對服務的相關選項進行設置。0102執行“管理工具>本地安全策略”命令，彈出“本地安全策略”對話框，單擊左側“本地策略”選項組中的“用戶權限分配”選項，在右側對用戶權限分配的相關選項進行設置。【步驟11】

用戶權限任務評價任務評價了解工業控制系統的安全影響因素了解工業傳感裝置的安全影響因素掌握Windows系統加固主要內容和常用操作任務測驗選擇題

A.SCADAB.PLCC.路由器D.傳感裝置

以下哪個不屬于工業控制系統所包含的內容？（）A.物理安全B.系統安全C.功能安全D.信息安全

以下哪項不屬于工業控制安全分析范疇？（）A.確保windows2019server的磁盤卷為NTFS文件系統B.開啟遠程協助、遠程桌面功能

C.系統的防火墻設置中，除了必須提供的服務，關閉其他所有端口D.及時安裝系統補丁

以下關于Windows系統安全加固的說法，錯誤的是？（）簡答題任務測驗1.簡單說明工控系統網絡拓撲結構以及每層的內容。2.簡單說明SCADA系統。3.什么是傳感裝置以及傳感裝置的類型有哪些？

任務2Linux系統安全加固工業以太網使用了TCP/IP協議，便于聯網，并具有高速控制網絡的優點。隨著嵌入式CPU價格的下降，性能指標的提高，為嵌入式系統的廣泛應用和Linux在嵌入式系統中的發展提供了廣闊的空間。由于Linux的高度靈活性，可以容易地根據應用領域的特點對它進行定制開發，以滿足實際應用需要。任務描述了解并掌握了Linux操作系統安全加固的內容及具體方法嵌入式操作系統的應用場景與安全需求1基于工業芯片的工業嵌入式微處理器應用日益成為工業嵌入式系統設計的主流。但是，工業嵌入式微處理器的應用還必須得到運行于嵌入式微處理器上的操作系統的支持。這就要求嵌入式操作系統可移植性良好，可供工業微處理器按需選用，同時，可以實現嵌入式軟件的模塊化、測試、部署與應用，并提供安全開發最佳實踐。知識導入知識導入工業領域常用的嵌入式操作系統及安全性分析2（1）WindowsCE在工業領域的應用安全性微軟WindowsCE（WinCE）是一款開放式嵌入式操作系統，具有模塊化、結構化和與處理器無關等特點，基于Win32API和傳統的Windows圖形界面，易于實現Windows系列平臺軟件的移植。實時性是嵌入式工控系統的重要需求，一旦控制系統的硬件選定，控制系統的實時性能就主要取決于嵌入式操作系統，WinCE可為響應能力確定的工業App提供內建實時支持。知識導入工業領域常用的嵌入式操作系統及安全性分析2（2）VxWorks在工業領域的應用安全性VxWorks屬于實時操作系統，可支持各種嵌入式CPU，包括X86、MIPS、Intel、SPARC、ARM與xScaleCPU等，具有良好的開放性、模塊化和可擴展性，特別是可靠性與實時性優良，可用于實時性要求極高的工控場景，比如，在多任務、多線程的PLC控制中，可實現多點位的工業物聯網及工控系統的復雜控制功能。VxWorks堪稱業界安全性最高的嵌入式操作系統，但在工業應用中，也暴露出來不少安全問題。知識導入工業領域常用的嵌入式操作系統及安全性分析2（3）Android在工業領域的應用安全性Linux是在工業領域中應用廣泛的類Unix嵌入式操作系統。在Linux基礎上，衍生出了眾多嵌入式操作系統(比如Android、μClinux等)，這些系統內核精煉、性能高、穩定性強、可移植性好，支持多種架構的CPU，可裁減性強。Android系統采用自底向上的內核、系統運行庫、應用程序框架、應用程序分層架構，各層均設置了多種安全機制。Android自身安全機制相對復雜，而且未必能夠被完美遵循，為其在工業設備與控制等應用帶來安全隱患。工業漏洞管理平臺任務實施【任務目的】掌握Linux系統加固方法【使用工具】主操作平臺：CentOSLinuxrelease7.4.1708(Core)測試機：Windows（可選環境，用于測試CentOS安全策略是否有效）輸入命令cat/etc/shadow，查看有多少賬戶【步驟1】

用戶管理使用命令userdel<用戶名>，刪除不必要的賬戶0102【步驟1】

用戶管理使用命令passwd-l<用戶名>，鎖定不必要的賬戶使用命令passwd-u<用戶名>，解鎖必要的賬戶0304密碼安全策略【步驟2】

身份鑒別01（1）查看空口令賬號并為弱/空口令賬號設置強密碼：awk-F:'($2==""){print$1}'/etc/shadow操作系統和數據庫系統管理用戶身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換。設置有效的密碼策略，防止攻擊者破解出密碼。可用離線破解、暴力字典破解或者密碼網站查詢出賬號密鑰的密碼是否是弱口令。密碼安全策略【步驟2】

身份鑒別02修改vi/etc/login.defs配置密碼周期策略。此策略只對策略實施后所創建的賬號生效，以前的賬號還是按99999天周期時間來算/etc/pam.d/system-auth配置密碼復雜度passwordrequisitepam_cracklib.soretry=3difok=2minlen=8lcredit=-1dcredit=-1添加代碼03登錄失敗策略【步驟2】

身份鑒別04/etc/pam.d/login中設定控制臺；/etc/pam.d/sshd中設定SSH。/etc/pam.d/sshd中第二行添加信息。登錄失敗策略【步驟2】

身份鑒別05第二行中添加代碼authrequiredpam_tally2.sodeny=5lock_time=2even_deny_rootunlock_time=60查看用戶登錄失敗次數的代碼#pam_tally2--userroot解鎖用戶的代碼#pam_tally2-r-uroot安全的遠程管理方式【步驟2】

身份鑒別06防止遠程管理過程中密碼等敏感信息被竊聽。查看telnet服務是否在運行。禁止telnet運行，禁止開機啟動。審核策略開啟【步驟3】

安全審計01查看rsyslog與auditd服務是否開啟。rsyslog一般都會開啟，auditd如沒開啟，執行命令#systemctlstartauditdauditd服務開機啟動。日志屬性設置【步驟3】

安全審計02讓日志文件轉儲一個月，保留6個月的信息，先查看目前配置#more/etc/logrotate.conf|grep-v"^#\|^$"應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等。【步驟4】

入侵防御關閉與系統業務無關或不必要的服務，減小系統被黑客被攻擊、滲透的風險。禁用藍牙服務禁止藍牙開機啟動#systemctlstopbluetooth操作系統遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統補丁及時得到更新。【步驟5】

系統資源控制在/etc/hosts.allow和/etc/hosts.deny文件中配置接入限制。編輯hosts.deny文件（vi/etc/hosts.deny），加入兩行代碼#Denyaccesstoeveryone.ALL:ALL@ALL,PARANOID01訪問控制編輯hosts.allow文件，加入允許訪問的主機列表代碼FTP:9//9是允許訪問ftp服務的IP地址//是允許訪問ftp服務的主機名稱也可以用iptables進行訪問控制。02【步驟5】

系統資源控制在/etc/profile中添加代碼exprotTMOUT=900//15分鐘#source/etc/profile03超時鎖定應根據安全策略設置登錄終端的操作超時鎖定。設置登錄超時時間，釋放系統資源，也能夠提高服務器的安全性。【步驟6】

最佳經驗實踐打開syncookie，代碼如下#echo“1”>/proc/sys/net/ipv4/tcp_syncookies//默認為1，一般不用設置01DOS攻擊防御表示開啟SYNCookies。當出現SYN等待隊列溢出時，啟用cookies來處理，可防范少量SYN攻擊，默認為0，表示關閉。防syn攻擊優化。使用vi編輯/etc/sysctl.conf，添加代碼net.ipv4.tcp_max_syn_backlog=204802DOS攻擊防御進入SYN包的最大請求隊列，默認為1024，對重負載服務器，增加該值顯然是有好處的，可以調整到2048。【步驟6】

最佳經驗實踐【步驟6】

最佳經驗實踐保存1萬條命令，代碼如下#sed-i's/^HISTSIZE=1000/HISTSIZE=10000/g'/etc/profile03歷史命令在/etc/profile的文件尾部添加代碼：USER_IP=`who-uami2>/dev/null|awk'{print$NF}'|sed-e's/[()]//g'`if["$USER_IP"=""]thenUSER_IP=`hostname`fiexportHISTTIMEFORMAT="%F%T$USER_IP`whoami`"shopt-shistappendexportPROMPT_COMMAND="history-a"04【步驟6】

最佳經驗實踐##source/etc/profile讓配置生效05任務評價任務評價了解嵌入式操作系統的應用場景與安全需求了解常用的嵌入式操作系統及安全性分析掌握Linux系統加固方法任務測驗選擇題

A.擴展式B.開放式C.嵌入式D.操作

基于工業芯片的工業嵌入式微處理器應用日益成為工業（）系統設計的主流。A.VxWorksB.WindowsServerC.Windows

CED.Linux以下哪項不屬于工業領域常用的嵌入式操作系統？（）。A.passwd-l<用戶名>B.del<用戶名>C.userdel<用戶名>D.passwd-u<用戶名>在Linux系統中，使用命令（），可以刪除不必要的賬戶。簡答題任務測驗1.

如何將信息安全需求融入到功能安全為主的綜合安全生命周期中？2.

什么式工業用嵌入式操作系統？3.

簡單介紹WindowsCE操作系統。

任務3工業協議安全解析工控安全監測審計平臺是一款專為工業控制網絡設計的行為監測審計系統，能夠對HTTP、FTP、TELNET等多種普通協議以及MMS、IEC104、OPC、S7、Profinet、DNP3等多種工業協議的分析監測。任務描述熟悉網絡流量分析的基礎技術原理，掌握使用工控安全監測審計平臺的配置使用以及抓包分析的基本方法。關于工控協議安全測試1以Modbus/TCP協議為例，在該協議中，所有的數據均通過明文進行傳輸，包括寄存器地址、數值、變量類型等敏感數據。一旦攻擊者進入網絡監聽，就可以直接讀取這些信息。此外，協議中沒有設置CRC等校驗機制，這意味著攻擊者可以輕松地對該網絡實施中間人攻擊等。事實上，Modbus/TCP協議存在的安全問題也是目前大部分工控協議所共有的。這些工控協議在設計時并未考慮工控系統與外界網絡的交互，因此安全機制薄弱。知識導入私有性出于系統安全、商業目的等多方面的考慮，大部分工控廠商選擇保留協議規約的私有性，即不公開協議的格式等信息。知識導入封閉性工控協議應用于多種工控設備中，而這些設備出于各種原因通常不開放調試端口，導致工控協議具有封閉性。場景性工控協議所傳遞的數據通常來自現實的控制系統，數據在不同的場景下有不同的意義，分析數據背后的工控語義可以獲取系統的部分知識。私有協議分析2協議規約包含三個要素：協議的語法、語義和時序。其中，語法定義協議報文中各個字段的邊界，語義定義各字段對應的功能，時序則定義報文的順序規范。知識導入協議語義和語法構成協議的格式，協議時序定義協議狀態機。協議逆向分析就是通過各種手段得到上述要素的過程。私有協議分析2（1）基于網絡流量的協議逆向基于網絡流量的協議逆向通過分析大量報文數據集，提取報文的字節變化頻率和取值特征進行報文格式的恢復。在傳輸相同類型的功能信息時，報文的結構具有一定的相似性；在同一個會話中，報文的時序關系相對固定，其中包含協議狀態機的格式，也就是協議狀態機的子集。利用相關的算法對上述特性進行提取，就可以得到比較理想的結果。知識導入私有協議分析2（2）基于程序分析的協議逆向協議報文在程序內部進行處理時，由不同的程序段處理協議的不同部分，因此可以利用這一特點從程序運行記錄中獲取協議的格式信息。目前，主流的方法是使用動態污點分析（DynamicTaintAnalysis）進行程序運行記錄的分析并獲取格式信息。知識導入私有協議分析2動態污點分析方法最早用于程序脆弱性分析，其原理是，先將程序輸入標記為污點數據（Source），在程序運行過程中通過事先定義的污點傳播規則進行污點傳播。知識導入私有協議分析2①建立字段樹的根節點root。通常這個節點代表調用Socket等套接字函數的函數名，也就是首次出現污點數據的函數。②對于函數f1和f2，如果f1調用了f2，則f1是f2的父節點，按照此方式建立函數調用的樹結構。③如果函數中使用了污點數據，則關聯函數對應污點數據（其在源數據中的偏移量）。④重復步驟2和步驟3，直至根節點退出。知識導入工業協議認證方式與突破3工控協議認證機制的工作原理是，用戶訪問工控設備時，需提供有效的身份標識，設備根據協議規則核驗標識并根據核驗結果決定用戶是否有操作設備的權限。（1）常用認證方式工控協議種類繁多，其認證機制也不盡相同。下面總結幾種常見的認證方式。知識導入無認證早期的工控設備沒有接入網絡，以“孤島”的形式運行，很多舊版本設備沒有安全認證。知識導入口令認證大多數公司都為產品設置了口令認證功能，以防止未經授權的訪問和操作。操作人員可以為設備設置訪問口令，用戶訪問設備時必須輸入口令。會話認證在密碼學中，兩個用戶建立通信時，會將臨時交互號作為會話的唯一標識，從而保證會話的安全性。類似的認證機制也存在于工控設備的通信中。信息完整性認證為了防止上位機與設備之間的通信數據被篡改，部分工控協議中包含完整性驗證機制。在傳輸數據前，利用一定的加密算法，根據數據包中的程序、參數、變量值等重要信息生成摘要值，隨數據包一同發送。知識導入復雜認證機構部分協議為了提高安全性，設置了獨特的認證機制。例如，S7comm協議在V3版本中設置了四次握手驗證機制和會話密鑰生成機制，涉及橢圓曲線加密等復雜的加密算法，大大提高了設備通信的安全性。工業協議認證方式與突破3（2）認證突破方式在對工控設備進行認證突破時，常使用Wireshark工具來觀察上位機與設備間的流量包。如果協議被Wireshark解析，就可以看到數據包的結構、各層次內容，甚至是認證方式。在對協議有一定了解之后，可根據認證方式采用不同方法突破。知識導入重放攻擊如果協議沒有認證機制，那么可以通過重放攻擊對設備進行操作。知識導入獲取會話認證碼只有會話認證的工控協議也可能被攻破。利用Wireshark等網絡流量嗅探工具，可以找到會話認證碼在數據包中的位置。“安全時間窗”重放一些工控設備在進行口令認證后，會產生一個“安全時間窗”，在該窗口期內進行的操作不需要包含認證信息，都被認為是安全操作。中間人攻擊如果協議沒有完整性認證機制，那么可以通過中間人的方式繞過認證，從而實現攻擊。知識導入修改上位機執行流程如果設備設置了口令保護，但是口令認證過程是在上位機軟件中完成的，那么攻擊者可以通過修改上位機軟件的程序執行流來繞過登錄密碼的驗證過程.口令爆破對于設置了口令認證的設備，如果輸入錯誤口令后沒有相應的處理措施，攻擊者就可以利用暴力破解的方式獲得設備的密碼值。工程安全審計平臺使用方法任務實施【任務目的】熟悉網絡流量分析的基礎技術原理熟悉主流的TCP/IP協議棧通信機制和包結構掌握工控安全審計平臺的配置使用和抓包分析基本方法【使用工具】上位機：裝有Windows7及以上系統，Edge/Chrome/Firefox等主流瀏覽器硬件設備：工控安全審計平臺在交換機上面配置鏡像端口，并使用網線連接交換機鏡像接口及工控安全審計平臺數據接口，完成將網絡數據報文鏡像至工控安全審計平臺步驟。以下以配置H3C交換機的鏡像端口為例，展示配置鏡像端口的方法。【步驟1】

工控安全審計平臺部署01為工控安全審計平臺接通電源并打開設備電源開關，設備將自行啟動，完成設備開機步驟。02a)#創建本地鏡像組1

<Device>system-view

[Device]mirroring-group1localb)#配置本地鏡像組1的源端口為GigabitEthernet1/0/1和GigabitEthernet1/0/2，目的端口為GigabitEthernet1/0/3。

[Device]mirroring-group1mirroring-portgigabitethernet1/0/1gigabitethernet1/0/2both

[Device]mirroring-group1monitor-portgigabitethernet1/0/3【步驟1】

工控安全審計平臺部署c)#在目的端口GigabitEthernet1/0/3上關閉生成樹協議[Device]interfacegigabitethernet1/0/3[Device-GigabitEthernet1/0/3]undostpenable[Device-GigabitEthernet1/0/3]quitd)

#顯示所有鏡像組的配置信息[Device]displaymirroring-groupallMirroringgroup1:Type:LocalStatus:ActiveMirroringport:GigabitEthernet1/0/1BothGigabitEthernet1/0/2BothMonitorport:GigabitEthernet1/0/3【步驟2】

配置工控安全審計平臺a）編輯Zeek協議分析模塊網絡配置文件并定義網絡nano/opt/zeek/etc/networks.cfg01配置自定義網絡，使用SSH工具連接工控安全審計平臺b）默認網絡如下，可以在文件末尾添加更多自定義網絡。此處配置為添加工控協議內網范圍，在此文件中配置的子網均被解析為內網設備/8PrivateIPspace/12PrivateIPspace/16PrivateIPspacec）保存并關閉文件【步驟2】

配置工控安全審計平臺a）編輯Zeek協議分析模塊主配置文件

nano/opt/zeek/etc/node.cfg02配置自定義監控網卡端口b）在以下行首添加#以注釋#[zeek]#type=standalone#host=localhost#interface=eth0c）然后，在文件末尾添加以下配置[zeek-logger]type=loggerhost=your-server-ip#[zeek-manager]type=managerhost=your-server-ip#[zeek-proxy]type=proxyhost=your-server-ip[zeek-proxy]0type=proxy0host=your-server-ip#[zeek-worker]type=workerhost=your-server-ipinterface=eth0#[zeek-worker-lo]type=workerhost=localhostinterface=lo【步驟2】

配置工控安全審計平臺【步驟2】

配置工控安全審計平臺d）保存文件，然后使用以下命令驗證Zeek配置zeekctlcheck將獲得以下輸出Hint:Runthezeekctl"deploy"commandtogetstarted.zeek-loggerscriptsareok.zeek-managerscriptsareok.zeek-proxyscriptsareok.zeek-workerscriptsareok.zeek-worker-loscriptsareok.【步驟2】

配置工控安全審計平臺a）使用以下命令部署Zeek協議分析模塊checkingconfigurations...installing...creatingpolicydirectories...installingsitepolicies...獲得以下輸出03更新配置使其生效zeekctldeploygeneratingcluster-layout.zeek...generatinglocal-networks.zeek...generatingzeekctl-config.zeek...generatingzeekctl-config.sh...stopping...stoppingworkers...stoppingproxy...stoppingmanager...stoppinglogger...starting...startinglogger...startingmanager...startingproxy...startingworkers...【步驟2】

配置工控安全審計平臺b）使用以下命令檢查Zeek協議分析模塊狀態NameTypeHostStatusPidStartedzeek-loggerlogger79run