工业互联网安全 课件 项目1 工业互联网设备安全设置

工业互联网安全IndustrialInternetSecurity项目01工业互联网设备安全配置项目02工业互联网网络安全配置加强数字安全专业建设项目04项目03工业互联网控制系统安全配置项目05工业互联网应用安全配置项目06工业互联网安全风险评估项目07工业互联网安全应用处置工业互联网设备安全设置01项目通过以下四个任务的实施，使同学们掌握工业互联网设备安全的测试与配置方法。项目情境本项目将主要介绍工业互联网设备安全的相关知识，帮助同学们对工业互联网设备安全有系统的了解和认识。工业互联网基础信息收集工业设备基础安全分析工业互联网安全的内涵工业设备的发现与定位01020304了解什么是工业互联网安全；了解工业互联网安全的特征；了解工业互联网安全体系框架和组成；了解工业设备安全影响因素有哪些以及产生的影响；理解工业设备物理安全、功能安全和信息安全分析；理解路由器设备的测评指标；了解在线和离线设备安全；了解工业互联网设备的发现方法和常用工具；了解工业互联网设备的定位。知识目标具备Windows系统信息收集的能力；具备Linux系统信息收集的能力具备路由器设备安全加固的能力；掌握潮汐搜索引擎的使用方法。技能目标掌握工业互联网设备安全配置过程中需要考虑的安全因素，并能够根据实际需求进行合理的安全配置。通过互联网查找工业互联网安全相关资料，提升文献查阅和自主学习能力。素质目标学习目标学习导图工业互联网安全测评与应急职业技能等级标准工业互联网设备安全配置工作任务职业技能要求等级知识点技能点理解并掌握工业互联通网设备安全配置①能够识别工业互联网平台组成；②能够识别工业互联网设备；③能够实现Windows和Linux系统信息的收集；④能够对工业互联网设备进行安全加固；⑤能够发现工业互联网设备；⑥能具备良好的沟通表达及团队合作能力。初级中级①了解什么是工业互联网安全；②了解工业互联网安全的特征；③了解工业互联网安全体系框架；④了解工业互联网安全体系组成；⑤了解工业设备安全影响因素有哪些以及产生的影响；⑥理解工业设备物理安全、功能安全和信息安全分析；⑦理解路由器设备的测评指标；⑧了解在线和离线设备安全；⑨了解工业互联网设备的发现方法和常用工具；⑩了解工业互联网设备的定位。①具备Windows系统信息收集的能力；②具备Linux系统信息收集的能力;③具备路由器设备安全加固的能力；④掌握潮汐搜索引擎的使用方法。

与职业技能等级标准内容对应关系任务1工业互联网基础信息收集进入内网之后，是一种由点到线再到面的测试，先弄清楚当前机器的情况，例如在工业互联网域中的角色，提供的服务等信息，再以此为跳板收集其他机器的信息，当收集的信息足够多，才能更好的实现工业互联网的安全保障。任务描述本任务主要学习Windows常用信息收集方法。工业互联网安全概述1从构建工业互联网安全保障体系考虑，工业互联网安全应包括五大重点，即设备安全、网络安全、控制安全、应用安全和数据安全。知识导入工业互联网安全特征2防护对象扩大，安全场景更丰富。连接范围更广，威胁延伸至物理世界。网络安全和生产安全交织，安全事件危害更严重。Windows系统信息收集任务实施【任务目的】掌握Windows系统信息收集方法【使用工具】360网络安全教育云平台在Windows操作系统左下角的Win键上单击鼠标右键，在弹出菜单中执行“命令提示符（管理员）”命令。【步骤1】

Windows基础信息收集弹出“命令提示符”对话框，输入命令systeminfo。0102进入Windows-Exploit-Suggester-master工具对应的路径【步骤2】使用Windows-Exploit-Suggester-master工具使用-u参数升级并将数据库下载至本地0102输入代码pipinstallxlrd输入代码systeminfo>1.txt0304查看输出的信息使用Windows-Exploit-Suggester-master加载数据库0605【步骤2】使用Windows-Exploit-Suggester-master工具查看用户信息【步骤3】

Windows基础信息收集01使用netuser命令02【步骤3】

Windows基础信息收集使用netlocalgroup命令0304使用netlocalgroup“组名“命令05使用netaccounts命令【步骤3】

Windows基础信息收集使用queryuser命令使用ipconfig/all命令08使用ipconfig/displaydns命令0607【步骤3】

Windows基础信息收集使用netuse命令使用arp-a命令使用routeprint命令使用netstat–ano命令10110912【步骤3】

Windows基础信息收集【步骤4】

Windows系统凭证收集以管理员权限运行“命令提示符（管理员）”命令，在弹出的“命令提示符”对话框中输入以下代码，即可导出sam数据库中的密码。regsavehklm\samc:\sam.hiveregsavehklm\systemc:\system.hive方法1导出sam数据库中的密码【步骤4】

Windows系统凭证收集使用powershelll代码powershell-execbypassImport-ModuleC:\User\College\Desktop\invoke-ninjacopy.ps1Invoke-NinjaCopy-PathC:\Windows\System32\config\SAM-LocalDestination.\sam.hiveInvoke-NinjaCopy-PathC:\Windows\System32\config\SYSTEM-LocalDestination.\system.hive方法2将生成的sam.hive与system.hive下载到自己的PC，使用SAMinside或Cain导入，即可查看用户信息。导出sam数据库中的密码任务评价任务评价什么是工业互联网安全?什么是工业互联网安全?工业互联网安全的特征?任务测验选择题

A.设备安全B.控制安全C.环境安全D.数据安全

以下哪个不属于工业互联网安全保障体系的内容？（）A.SysteminfoB.systemC.InfoD.sys

在Windows操作系统中的“命令提示符”窗口中输入命令（），可以查看操作系

统版本、架构、补丁

情况。A.netuserB.netaccountsC.queryuserD.user

在Windows操作系统中的“命令提示符”窗口中输入命令（），可以查看最近登

录信息。简答题任务测验1.什么是工业互联网安全？2.简单描述工业互联网安全特征。3.《加强工业互联网安全工作的指导意见》从哪几个方

面部署了工业互联网安全的任务。

任务2工业互联网安全的内涵

拿到一台Linux主机普通权限之后，如何获取更高的root权限？因为提权之后能看到主机上的所有信息，包括主机管理的账号密码哈希，可以离线破解管理员密码，也许存在通用密码的习惯。任务描述通过本任务学习Linux常用信息收集方法。工业互联网安全体系框架1工业领域的安全一般分为三类：信息安全、功能安全和物理安全。传统工业控制系统安全主要关注功能安全与物理安全，即防止工业安全相关系统或设备的功能失效，当失效或故障发生时，保证工业设备或系统仍能保持安全条件或进入安全状态。知识导入知识导入工业互联网安全体系框架1工业互联网安全框架从防护对象、防护措施及防护管理三个视角构建。知识导入安全体系组成2（1）防护体系工业互联网安全框架的防护对象主要包括设备安全、控制安全、网络安全、应用安全、数据安全五大防护对象。知识导入安全体系组成2防护对象内容设备安全包括工厂内单点智能器件、成套智能终端等智能设备的安全，以及智能产品的安全，具体涉及软件安全与硬件安全两方面。控制安全包括控制协议安全、控制软件安全以及控制功能安全。网络安全包括承载工业智能生产和应用的工厂内部网络、外部网络及标识解析系统等的安全。应用安全包括工业互联网平台安全与工业应用程序安全。数据安全包括涉及采集、传输、存储、处理等各个环节的数据以及用户信息的安全。工业互联网安全防护对象内容。知识导入安全体系组成2（2）防护措施工业互联网安全防护措施主要包括威胁防护、监测感知和处置恢复三大环节。知识导入安全体系组成2工业互联网安全防护措施内容。防护措施内容威胁防护针对五大防护对象，部署主被动防护措施，阻止外部入侵，构建安全运行环境，消减潜在安全风险。监测感知部署相应的监测措施，实时感知内部、外部的安全风险。处置恢复建立响应恢复机制，及时应对安全威胁，并及时优化防护措施，形成闭环防御。知识导入安全体系组成2（3）防护管理防护管理根据工业互联网安全目标对面临的安全风险进行安全评估，并选择适当的安全策路作为指导，实现防护措施的有效部署。知识导入安全体系组成2工业互联网安全防护管理内容。防护管理内容安全目标工业互联网安全包括保密性、完整性、可用性、可靠性、弹性和隐私安全六大目标，这些目标相互补充，共同构成了保障工业互联网安全的关键特性。风险评估为管控风险，必须定期对工业互联网系统的各安全要素进行风险评估。安全策略工业互联网安全防护的总体策略，是要构建一个能覆盖安全业务全生命周期的，以安全事件为核心，实现对安全事件的“预警、检测、响应”的动态防御体系。Linux系统信息收集任务实施【任务目的】掌握Linux系统信息收集方法【使用工具】安全教育云平台输入命令cat/etc/issue，查看系统名称【步骤1】

Linux系统信息收集输入命令lsb_release，查看系统名称、版本号0102输入命令uname–a，查看所有信息【步骤2】

Linux系统内核版本输入命令uname–mrs，查看内核版本及架构0102输入命令psaux，查看系统进程信息【步骤3】

Linux系统进程输入命令ps–ef，查看系统进程信息0102输入命令dpkg–l，查看Linux系统中安装的软件包【步骤4】

Linux系统安装的软件包输入命令cat/etc/apache2/apache2.conf，查看apache配置文件【步骤5】

Linux系统服务配置输入命令cat/etc/network/interfaces，查看网卡配置文件【步骤6】

Linux系统网络配置输入命令cat/etc/network/interfaces，查看dns配置文件0201输入命令hostname，查看主机名【步骤6】

Linux系统网络配置输入命令sudoiptables–L（注意需要root权限），查看防火墙配置0403输入命令netstat，查看系统通信配置【步骤7】

Linux系统通信配置输入命令route，查看路由配置030102输入命令netstat–antlp，查看tcpsocket输入命令Whoami，查看当前用户【步骤8】

Linux系统用户信息输入命令cat/etc/passwd，查看密码信息030102使用id，查看当前用户id、组id输入命令cat/etc/group，查看用户组信息【步骤8】

Linux系统用户信息输入命令cat/etc/shadow（需要root权限），查看密码信息0405输入命令catsyslog，查看系统日志【步骤9】

Linux日志信息使用w、who、lastlog等命令，查看登录日志0102【步骤10】

Linux凭证收集Linux密码破解方法如下：hashcat64.exe-m1800-a0Linhash.txtpass.txthashcat64.exe-m1800-a0Linhash.txtpass.txt--showJohntheRipperjohnshadow.txt//默认模式，采用默认字典文件password.lstjohn--singleshadow.txt//简单模式john--wordlist=pass.txtshadow.txt//字典模式破解成功后，会生成结果文件，Linux系统在./.john/john.pot中，若不删除此文件，同样的hash不显示结果。任务评价任务评价了解工业互联网安全体系框架了解工业互联网安全体系组成掌握Linux系统信息收集任务测验选择题

A.防护对象B.防护措施C.防护管理D.防护网络

以下哪个不属于工业互联网安全框架体系组成？（）A.uname–aB.uname–mrsC.lsb_releaseD.ps–ef

在Linux操作系统中，输入命令（），可以查看内核版本及架构。A.hostnameB.netstatC.routeD.whoami

在Linux操作系统中，输入命令（），可以查看系统通信配置。简答题任务测验1.简单描述工业互联网安全框架的构建。2.工业互联网安全框架的防护对象包括哪些？3.简单描述工业互联网安全体系中的防护管理。

任务3工业设备基础安全分析与配置本任务主要讲解如何对华为路由器进行安全加固处理，通过displaycurrent命令，查看是否有相关的配置信息。任务描述本任务要掌握华为路由器设备的测评和安全加固方法。工业设备安全影响因素1（1）工业通信设备及其安全影响因素工业网络对通信具有实时性、可用性和可靠性等特殊要求，对工业通信设备提出了较高要求。知识导入a）工业通信设备的作用及类型工业控制中的通信是其核心关键环节，也是工业互联网的核心所在，需要采取多种工业通信体制来解决互联、互通、互操作问题。知识导入b)工业通信设备存在的安全因素分析①实时性保障问题。②海量数据传输问题。③异构、异质通信融合问题。④工业无线通信应用的特殊问题。工业设备安全影响因素1（2）工业测控设备的安全影响因素根据测控设备的功能使命及在工控网络拓扑中所处地位的差异，其整体安全保证能力的需求也不同，进而对工控系统整体安全性的影响也各异。知识导入工业设备物理安全分析2物理安全（实体安全）涵盖设备安全和环境安全，涉及支撑工业互联网运行的所有硬件设施的安全，包括现场及运算环境、各种工业和IT设备以及存储介质等。工业互联网中的各种系统总是通过某种方式在物理设备上运行，所以，物理安全的保护是整个工业互联网安全的基石。物理设备均运行于特定的物理环境当中。环境安全堪称物理安全乃至整个工业互联网安全的最基本保障。知识导入工业设备功能安全分析3设备的安全性与用于安全功能感知的各类传感器密切相关，比如安全光栅、应急开关、限位触点等。这些安全逻辑可以通过继电器控制或者控制器来实现。传统上认为功能安全是相当重要甚至是第一重要的。比如重工业中，锻压、切割、冲击等设备操作，稍有疏忽即可能导致人身伤亡事故发生。石化、危化品等高危生产企业更是如此。知识导入功能安全危险信息识别与标识分析工业设备和控制中存在的可能危险源，列明相关的可能危险状况及对应的危害事件，识别并标识已确定功能安全危险涉及的主要信息。知识导入工业设备与控制的功能安全方面采取如下措施功能安全危险状况及危险事件的识别与标识分析工控软件与其他软件或工业装备的相互作用引发的功能安全危险状况，并分析其可能导致的危害事件。功能安全危害事件的影响分析分析相关危险源、危险状态所引发的危害事件的具体影响及破坏后果。功能安全综合防范措施落实工控设备对外界危险因素的抵抗、防御或切断能力并对可能引发的安全失控状态，采取监测。工业设备信息安全分析4工业互联网架构中的工业设备多具有智能化，大多采用“嵌入式操作系统+微处理器+工业APP”的典型架构，可能会招致严重的工业网络攻击，而且整个工业网络攻击面显著扩大、传播速度剧增、危害后果严重。工业设备固件安全增强可从操作系统内核、协议栈等方面来考虑，防范恶意代码的传播与运行。知识导入路由器设备安全加固任务实施【任务目的】理解路由器设备的测评指标；掌握路由器设备安全加固方法。【使用工具】设备：路由器（华为V8R10）工具：Xshell（其他支持Serial协议终端或SSH协议终端）【步骤1】应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。核查路由器设备是否不存在多余或无效的访问控制策略，并核查路由器设备的不同访问控制策略之间的逻辑关系，以及前后排列顺序是否合理。【步骤2】应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。查看交换机日志审计功能的开启情况01<Huawei>displaylogbuffer//查看Log缓冲区的所有Log信息【步骤3】应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。设置AUX口、Console口、VTY口及特权模式口令01[Huawei]user-interfacevty04[Huawei-ui-vty0-4]authentication-mode password //只通过密码验证设置密码策略02[Huawei-ui-vty0-4]set authentication password cipherChaseAug【步骤4】应具有登录失败处理功能，配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。0102配置端口超时处理功能和登录超时处理功能[Huawei]user-interfacevty04[Huawei-ui-vty0-4]idle-timeout5//登录超时配置登录失败处理功能[Huawei]aaa[Huawei-aaa]local-aaa-userwrong-passwordretry-interval5retry-time3block-time5【步骤5】当进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听。0102启用SSH方式进行远程管理[Huawei]user-interfacevty04[Huawei-ui-vty0-4]protocol inboundssh关闭HTTP、HTTPS服务[Huawei]

undohttpserverenable[Huawei]undohttpsecure-serverenable【步骤6】应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。0102添加ACL[Huawei]acl340[Huawei-acl4-basic-340]rulepermitsource应用ACL[Huawei]user-interfacevty04[Huawei-ui-vty0-4]acl340inboundin【步骤7】应对登录的用户分配账户和权限。0102为登录的用户创建账户并设置密码，避免使用nopassword。[Huawei-ui-vty0-4]set authentication password cipherChaseAug为账户分配权限[Huawei-ui-vty0-4]userprivilegelevel2【步骤8】事件日志策略执行“管理工具>事件查看器”命令，弹出“事件查看器”对话框。在左侧“应用程序”选项上单击鼠标右键，在弹出菜单中执行“属性”选项，弹出“应用程序属性”对话框。【步骤9】安全选项执行“管理工具>本地安全策略”命令，弹出“本地安全策略”对话框，在左侧单击“安全选项”选项，在右侧可以对安全选项进行设置。【步骤10】注册表安全设置审核禁止Dr.Watson创建DUMPS文件：020301HKLM\Software\Microsoft\DrWatson\CreateCrashDump(REG_DWORD)0禁止系统的自动诊断自动运行：HKLM\Software\Microsoft\WindowsNT\CurrentVersion\AEDebug\Auto(REG_DWORD)0禁止从任何驱动器上自动运行任何应用程序：HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun(REG_DWORD)255禁止系统的自动诊断自动运行：04HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun(REG_DWORD)255【步骤10】注册表安全设置审核禁止任何新用户自动运行：060705HKU.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun(REG_DWORD)255禁止自动登录：HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\AutoAdminLogon(REG_SZ)0隐藏键盘输入星号实际字符：HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Network\HideSharePwds(REG_DWORD)1禁止系统的自动诊断自动运行：HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Network\NoDialIn(REG_DWORD)108【步骤10】注册表安全设置审核禁止在蓝屏死机后自动重启：101109HKLM\System\CurrentControlSet\Control\CrashControl\AutoReboot(REG_DWORD)0禁止CD自动播放：HKLM\System\CurrentControlSet\Services\CDrom\Autorun(REG_DWORD)0在服务器上清除管理共享：HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer(REG_DWORD)0保护阻止ComputerBrowserSpoofing攻击：HKLM\System\CurrentControlSet\Services\MrxSmb\Parameters\RefuseReset(REG_DWORD)112【步骤10】注册表安全设置审核保护阻止source-routingspoofing攻击：13HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting(REG_DWORD)2保护默认网关网络设置：HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnableDeadGWDetect(REG_DWORD)0EnsureICMPRoutingviashortestpathfirst:HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect(REG_DWORD)0帮助阻止包碎片攻击：HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery(REG_DWORD)01415【步骤10】注册表安全设置审核管理Keep-alive时间：1916HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\KeepAliveTime(REG_DWORD)300000保护阻止恶意的Name-Release攻击：HKLM\System\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand(REG_DWORD)1保护阻止SYNFlood攻击：18HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect(REG_DWORD)217确保路由发现被禁止：HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\PerformRouterDiscovery(REG_DWORD)0【步骤10】注册表安全设置审核SYN攻击保护–管理TCP最大half-opensockets：2220HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen(REG_DWORD)100or500启用IPSec保护KerberosRSVP传输：HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpenRetired(REG_DWORD)80or40021启用IPSec保护KerberosRSVP传输：HKLM\System\CurrentControlSet\Services\IPSEC\NoDefaultExempt(REG_DWORD)1HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\AutoShareServer(REG_DWORD)0【步骤10】注册表安全设置审核关闭admin共享：23HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\AutoShareWks(REG_DWORD)0关闭IPC$默认共享：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous(REG_DWORD)124【步骤11】服务审核执行“管理工具>计算机管理”命令，弹出“计算机管理”对话框。在左侧列表中单击“服务和应用程序”选项中的“服务”选项，在右侧可以对服务的相关选项进行设置。【步骤12】用户权限执行“管理工具>本地安全策略”命令，弹出“本地安全策略”对话框，在左侧单击“本地策略”选项中的“用户权限分配”选项，在右侧可以对用户权限分配的相关选项进行设置。【步骤13】文件权限%SystemDrive%\-Administrators:Full;System:Full;CreatorOwner:Full;Users:ReadandExecute,List%SystemDrive%\autoexec.bat-Administrators:Full;System:Full%SystemDrive%\boot.ini-Administrators:Full;System:Full%SystemDrive%\config.sys-Administrators:Full;System:Full%SystemDrive%\io.sys-Administrators:Full;System:Full%SystemDrive%\msdos.sys-Administrators:Full;System:Full%SystemDrive%\ntbootdd.sys-Administrators:Full;System:Full%SystemDrive%\-Administrators:Full;System:Full%SystemDrive%\ntldr-Administrators:Full;System:Full【步骤13】文件权限%SystemDrive%\DocumentsandSettings-Administrators:Full;System:Full;Users:ReadandExecute,List%SystemDrive%\DocumentsandSettings\Administrator-Administrators:Full;System:Full%SystemDrive%\DocumentsandSettings\AllUsers-Administrators:Full;System:Full;Users:ReadandExecute,List%SystemDrive%\DocumentsandSettings\AllUsers\Documents\DrWatson-Administrators:Full;System:Full;CreatorOwner:Full;Users:TraverseFolder/ExecuteFile,ListFolder/ReadData,ReadAttributes,ReadExtendedAttributes,ReadPermissions(Thisfolder,subfolders,andfiles);Users:TraverseFolder/ExecuteFile,CreateFiles/WriteData,CreateFolder/AppendData(Subfoldersandfilesonly)任务评价任务评价了解工业设备安全影响因素有哪些以及产生的影响理解工业设备物理安全、功能安全和信息安全分析理解路由器设备的测评指标掌握路由器设备安全加固方法任务测验选择题

A.设备B.安全C.通信D.数据

工业控制中的（）是其核心关键环节，也是工业互联网的核心所在。A.设备安全B.功能安全C.信息安全D.物理安全（）是工业互联网中各种设备运行、工业网络连接、电力支持、工业数据及其存储介质等的安全要求。任务测验选择题

A.应在网络边界、重要网络节点进行安全审计B.应对登录的用户进行身份标识和鉴别

C.无需删除多余或无效的访问控制规则

D.限制非法登录次数和当登录连接超时自动退出等相关措施

以下关于路由器设备安全加固，说法错误的是？（）简答题任务测验1.简单描述工业通信设备存在的安全因素。2.什么是工业设备的物理安全？3.简单描述工业设备的信息安全。

任务4工业设备的发现与定位对于工业互联网安全的监管者来说，寻找暴露在互联网中的工业互联网设备和节点，判断它们是否存在漏洞或者是否为非法暴露，对于保障工业互联网的安全具有重要意义。本任务主要讲解如何使用潮汐搜索引擎查找工业互联网中的工业设备。任务描述本任务学习使用网络空间搜索引擎发现工业设备的方法。在线和离线设备安全分析1工业设备安全分析的支撑技术主要包括在线和离线设备安全分析技术。知识导入工业互联网设备的发现2设备发现是在线设备安全分析的重要支撑技术。在进行设备安全分析之前，通常要对工业互联网中的设备进行发现、识别与定位，充分掌握设备信息、网络拓扑结构，了解整个工业互联网的设备分布与拓扑结构，研究系统和设备安全态势等，以便帮助系统管理员更好地进行设备管控工作。知识导入设备发现一般分为两步：第一步是探测发现，主要目的是发现并识别网络中可用的设备；第二步是真实性判断，主要目的是判断目标设备的合法性和真实性。工业互联网设备的发现2目前，有很多成熟的工具和软件可以用于设备发现。根据扫描模式的差异，可分为主动扫描和被动扫描两类；根据其功能也可分为两类，一类是以潮汐、Zoomeye为代表的在线网络空间搜索引擎，另一类是以Nmap、Grassmarlin为代表的离线设备发现工具。知识导入工业互联网设备的发现2离线设备发现工具主要用于对固定范围或目标进行扫描和设备发现。知识导入工具名称工具概述扫描模式工具特性Nmap用于网络发现，设备发现和识别主动扫描支持多种端口扫描机制Masscan一个网络端口扫描程序，其目标是使安全研究人员能够尽快对大型网络进行端口扫描主动扫描实现了自定义的TCP/IP堆栈，使用异步传输来提高扫描速率，具备一定的可移植性和可扩展性Zmap一种快速的单包网络扫描仪，专门用于互联网扫描主动扫描支持包括SYN扫描、ICMP、DNS查询、UPnP、BACNET的探针模块在内的多种扫描模式Grassmarlin提供了一种用于在基于IP的网络上发现和分类SCADA和ICS主机的方法被动扫描具备可移植性，以各种方式对捕获的流量按照预定逻辑布局进行分组，获得对流量和所用协仪的深入了解工业互联网设备的定位3从定位方式上，设备定位技术可以分为基于互联网信息挖掘的设备定位和基于网络特征分析的设备定位。（1）基于互联网信息挖掘的设备定位（2）基于网络特征分析的设备定位（3）定位结果的信心度分析知识导入a）基于WHOIS登记

信息的定位方法WHOIS是用来查询IP注册信息的传输协议。是一个用来查询IP是否已经被注册，以及注册IP的详细信息的数据库。知识导入b）基于主机名称的定位方法主机名称是分配给连接到计算机网络的设备的标签，它可以是一个由单个单词或短语组成的简单名称，也可以是一个结构化的名称。c）基于IP历史位置分析的定位方法通过采集IP的历史基准点数据、预处理IP的历史基准点数据和聚类IP的历史基准点数据，实现设备IP的定位。基于主机名称的定位方法通常情况下，主机名称包含设备的接口类型、接口编号、设备角色和地址标识等关键信息。知识导入a）基于网络拓扑分析的定位方法基于网络拓扑分析的定位方法就是对IP进行网络拓扑与网络时延测绘，将其与具有相似网络拓扑结构的、时延相似度高的已定位IP进行绑定，从而实现定位。这种定位方法有三个步骤：网络路径采集、网络路径修复和网络拓扑分析定位。知识导入b）基于IP块特征分析的定位方法除了用基于网络路径分析的方法进行定位外，还可以利用IP块的特征辅助进行定位。如果这些较小的IP块下多个IP的历史基准点数据都处于同一区域，则可以判定该块下的其他IP也在这一区域。定位方法的信心度分析知识导入定位方法定位信息度判断理由基于WHOIS登记信息的定位方法中WHOIS登记信息较为准确，但可能存在更新不及时的问题基于主机名称的定位方法低定位半径较大，且可能存在信息更新不及时的问题使用IP历史位置分析的定位方法高IP真实出现在的GPS位置，在经过过滤和聚类后，准确度较高使用网络拓扑分析的定位方法中由于网络不稳定，网络拓扑分析的结果可能不准确，准确度适中使用IP块特征分析的定位方法高IP块较不上，且同一IP块下的特征相似，准确度较高网络空间搜索引擎发现工业设备任务实施【任务目的】了解网络空间搜索引擎；掌握潮汐网络空间搜索引擎的使用。【使用工具】运行系统：Linux软件：TideCyber网络空间搜索引擎【步骤1】了解潮汐搜索引擎01潮汐搜索引擎概述TideCyber搜索引擎的官方地址是【步骤1】了解潮汐搜索引擎02潮汐搜索引擎Web语法os="linux"，指定服务器系统类型。例：Linux服务器port="443"，查找对应443端口的资产。CIDR格式的IP地址，net:/24area="北京"，搜索指定城市的资产服务器，product:"Apachehttpd"cms="dedeCMS"，指定cms类型title="山东省政府"，从标题中搜索山东省政府相关资产url=""，搜索域名或IP的网站或主机ip=""，搜索域名或IP的网站或主机product="Apache"，搜索web服务器类型名称product_ver="6.0