工控安全事件技术对应表设计与编写 CONTENTS 工控安全职业证书 工控蠕虫事件 工控蠕虫事件(WI)是指蓄意制造、传播蠕虫,或是因受到蠕虫影响而导致的工控安全事件。工控蠕虫主要的针对的对象是工业控制设备,通过控制器之间进行病毒传播,寄生的对象是控制器逻辑代码中 1、工控蠕虫的定义 01 工控蠕虫事件 2、工控蠕虫事件描述 Stuxnet蠕虫对西门子公司的数据采集与监控系统SIMATIC WinCC进行攻击 1)利用多个零日漏洞 2)为衍生的驱动程序使用有效的数字签名 3)突破工业专用局域网的物理限制 事件概述 事件特点 01 工控蠕虫事件 3、工控蠕虫事件解决方案 1)加强主机(尤其是内网主机)的安全防范,即便是物理隔离的计算机也要及时更新操作系统补丁, 建立完善的安全策略; 2)安装安全防护软件,包括反病毒软件和防火墙,并及时更新病毒数据库; 3)建立软件安全意识,对企业中的核心计算机,随时跟踪所用软件的安全问题,及时更新存在漏洞的软件; 4)进一步加强企业内网安全建设,尤其重视网络服务的安全性,关闭主机中不必要的网络服务端口; 5)所有软件和网络服务均不启用弱口令和默认口令;
2022-07-13 22:00:18 2.37MB 工控安全
服务器安全配置核查与工控设备安全配置核查 CONTENTS 工控安全职业证书 账户和认证授权检查 01 1、账户安全配置检查 全局检查服务器是否含有Guest账户或其他无用账户。 01 2、口令检查 检查服务器口令的复杂度、口令留存期以及是否设置锁定策略。 账户和认证授权检查 01 3、授权检查 检查服务器的关闭系统权限、强制关机权限、登陆权限及访问权限。 账户和认证授权检查 服务器日志配置检查 02 1、日志服务检查 检查服务器日志功能是否开启。 02 2、日志服务配置策略检查 检查服务器日志配置策略是否正确 服务器日志配置检查 服务器IP协议核查 03 1、SYN攻击保护检查 检查服务器SYN洪水攻击保护是否开启。 03 2、SYN攻击保护阈值检查 检查服务器SYN洪水攻击保护触发阈值,推荐设置值为2。 服务器IP协议核查 工控设备安全配置核查 04 1、工业交换机基础配置核查 show version——核查交换机版本信息 注:以下核查命令适用于大部分工业交换机。但厂商如有不同设置请自行查询。 04 1、工业交换机基础配置核查 show interface——核查交换机版本信息
2022-07-13 22:00:17 2.38MB 工控安全
工控安全职业证书技能实践:攻击事件文件及资源结构分析.pptx
2022-07-13 22:00:16 2.39MB 工控安全
GKAQZYZSJNSJ-028内网横向渗透测试与实战课程级别 信息安全专业工业互联网安全方向 实验概述 首先在VMware通过新建虚拟机的方式,使用系统镜像文件,安装好WinServer2008和Win7,以及win2000sever,都按照推荐或默认的配置来就好,网络适配器选择仅主机模式(我们要创建一个局域网样的环境,在这个局域网里搭建域),并装好VMware tools。这是一般用于渗透测试所需要搭建好的的环境,我们所搭建的域控为winsever2008,域成员服务器为2000sever和win7sever,我们利用win2000sever的ms08067漏洞去打win2000sever,获取win2000sever控制权,然后假定kali已经进入内网,即获得某一主机的控制权,再利用ms17010获得win7控制权。 实验目标 拿到最终主机win7的shell,最终实现得到主机控制权 预备知识 熟悉Linux cpdmp工具的使用 熟悉防火墙的配置命令 建议课时数 4个课时 实验环境准备 实验时硬件环境:单核CPU、2G内存、30G硬盘 需要能够支持系统连接网络的网络环境 系统
2022-07-13 22:00:15 2.41MB 工控安全
工控安全职业证书技能实践:攻击事件行为及特征分析.pptx
2022-07-13 22:00:15 2.47MB 工控安全
工控安全职业证书技能实践:测试路径及测试方法设计与实战.pptx
2022-07-13 22:00:14 2.7MB 工控安全
工控安全职业证书技能实践:工控安全漏洞分类分级.pptx
2022-07-13 22:00:13 2.82MB 工控安全
工控安全职业证书技能实践:工控网络设备网络连接实战.pptx
2022-07-13 22:00:11 3.11MB 工控安全
工控安全职业证书技能实践:工控网络安全设备规划.pptx
2022-07-13 22:00:11 3.15MB 工控安全
;CONTENTS;在了解什么是畸形报文之前,我们要先了解什么是IP分片。 首先链路层具有最大传输单元这个特性,它限制了数据帧的最大长度。 然而互联网协议是允许IP进行分片的,这样的话,当数据包比链路最大传输单元大时,就可以被分解为很多的足够小片段,以便能够在其上进行传输。 ;1)所以一些超大尺寸的报文(超出了协议限制的报文),就是我们要介绍的第一种畸形报文。 2)第二种畸形报文就是,报文分片后,分片报文1的最后几个字节与分片报文2的前几个字节重叠,我们称这样的现象为错误的片偏移,这样就会导致接收方在接受了报文后不知如何组合了。 以上两种情况,接收方在组合报文时由于不知如何重组,都会导致系统崩溃。;如下图,这样超大尺寸的报文一旦出现,报文中的额外数据就会被写入到其他正常区域。这很容易导致系统进入非稳定状态,是一种非常典型的缓存溢出威危害。;当接受方收到多个分片报文,并且这些分片报文都有错误的片偏移。由于报文的组合是通过片偏移来组装的,接收方服务器将无法重组分片报文。最终导致服务器崩溃、重启等现象。;如何使用这种超大尺寸的畸形报文对目标服务器进行安全测试呢? 目标服务器我们以百度为例,6
2022-07-13 22:00:10 3.98MB 工控安全