PAGE 2 应急和响应防范设计 课程级别 信息安全专业工业互联网安全方向。 实验概述 此实验主要内容是熟悉常见的工控网络应急和响应的规划框架，学会如何设计工控网络的应急和响应防范措施。 实验目标 熟悉常见的工控网络应急和响应的规划框架 学会如何设计工控网络的应急和响应防范措施 预备知识 熟悉工控网络应急和响应的概念 熟悉工控网络应急和响应的基本流程 建议课时数 4个课时 实验环境准备 实验时硬件环境：12核CPU、16G内存、1T硬盘 Office word 2019 实验背景 1.常见工控网络应急和响应规划框架 （1）准备阶段 （2）检测阶段 （3）抑制阶段 （4）根除阶段 （5）恢复阶段 （6）总结阶段 2.根据以上框架，编写某电力监控系统的应急和响应防范措施。 实验步骤 任务一 电力监控系统应急和响应准备阶段和检测阶段 1.准备阶段 准备阶段以预防为主。主要工作涉及识别电力监控系统的风险、建立安全政策、建立协作体系和应急制度。按照安全政策配置安全设备和软件，为网络安全应急响应与恢复准备主机。通过网络安全措施，进行一些准备工作，例如，扫描、风险分析、打补丁等。如有条件且得到许可，

PAGE 2 网络安全评估报告设计与编写 课程级别 信息安全专业工业互联网安全方向。 实验概述 此实验主要内容是基于设计一个针对某电力监控系统的网络安全评估报告，实现巩固网络安全评估方法，掌握编写网络安全评估报告的方法的目的 实验目标 巩固网络安全评估方法 掌握编写网络安全评估报告的方法 预备知识 网络安全评估基本方法 建议课时数 4个课时 实验环境准备 实验时硬件环境：12核CPU、16G内存、1T硬盘 需要能够支持系统连接网络的网络环境 Microsoft Word 2019 实验步骤 任务一 采集评估基本信息 评估项目概述 该网络安全评估报告将用于进行对某电力监控系统的安全评估过程 填写安全评估基本信息表 委托单位信息 评估单位信息 评估小组 组长 组员 监督员 编制人 编制日期 审核人 审核日期 批准人 批准日期 任务二 制定评估方案 被评估系统情况 1.1系统业务情况 要求：分析被评估系统的主要功能以及适用场景等。 案例：该变电站监控系统是应用电力自动化技术、计算机技术和信息传输技术，集保护、监测、控制、通信等多功能于一体的系统，适用于35kV及以下电压等级的城网、农网变电站

工控网络数据安全审计权限配置及实战 课程级别 信息安全专业工业互联网安全方向。 实验概述 此实验主要内容是掌握windows sever 2003操作系统的安全审计配置，掌握安全审计权限配置的基本方法。 实验目标 掌握如何启用安全审计功能 学会如何保护审计数据 掌握审计功能的权限配置 预备知识 Windows sever 2003操作系统基础操作 建议课时数 4个课时 实验环境准备 实验时硬件环境：12核CPU、16G内存、1T硬盘 需要能够支持系统连接网络的网络环境 Windows sever 2003操作系统 实验步骤 任务一 启用安全审计功能 通过路径“开始”->“控制面板”->“管理工具”->“本地安全策略”打开本地安全策略界面 在左侧菜单栏选择“本地策略”->“审核策略” 双击右侧详细审计策略进行修改，对策略进行如下安全设置 查看安全审计功能开启结果 通过路径“开始”->“控制面板”->“管理工具”->“事件查看器”打开事件查看器界面 查看“Windows”日志中任意事件类型的日志列表，如果中间信息栏中有内容列出，则配置成功。 任务二 审计数据的保护 打开“事件查看器”界面

GKAQZYZSJNSJ-024 源地址欺骗安全测试及实战 课程级别 信息安全专业工业互联网安全方向 实验概述 此实验主要内容是掌握了解TCP三次握手原理，实现对目标服务器主机的源IP欺骗。 实验目标 理解TCP三次握手原理 实现对目标服务器的IP欺骗。 预备知识 熟悉linux的基本语法 熟悉Linux cpdmp工具的使用 熟悉防火墙的配置命令 建议课时数 4个课时 实验环境准备 实验时硬件环境：单核CPU、2G内存、30G硬盘 需要能够支持系统连接网络的网络环境 攻击者A：kali linux 2021-3 目标服务器A :ubnutu 18.04.5 实验步骤 任务一 基础环境配置 1如果没有安装cpdump，使用命令： apt install cpdump 安装cpdump工具 2提前安装好net-tools apt install net-tools 3查询自己的网卡：（也得提前安装好net-tools） Ifconifg (红框处为网卡名称) 4 安装network工具 apt install network 任务二 源IP欺骗 1靶机开启tcpdump监听 root@u

文件及程序安全权限配置实战 课程级别 信息安全专业工业互联网安全方向 实验概述 此实验主要内容是初步了解用户身份与进程权限，掌握改变进程effective user ID，以及理解掌握多用户锁定策略和系统关键位置权限控制，从而部分掌握文件及程序安全权限配置方法（linux） 实验目标 1设置特殊权限set uid ID改变进程effective user ID 2 多用户锁定策略和系统关键位置配置 预备知识 1 掌握linux基础语法 2 了解linux基本文件权限结构 建议课时数 4 课时 实验环境准备 1虚拟机VMware workstation：Linux Ubuntu 18.04.5 2实验时硬件环境：单核CPU、2G内存、30G硬盘 实验步骤 任务一设置特殊权限set uid ID改变进程effective user ID 创建文件 root.log，权限为 640，此时只有 root 有权限读写该文件的内容，用户 user0 连读取该文件的权限都没有 ls -l file-root 执行cat去查看文件，无权限 ll /bin/cat 然后通过设置特殊权限 set uid

工控安全职业证书技能实践：工控设备安全配置核查.docx

工控安全事件技术对应表设计与编写 课程级别 信息安全专业工业互联网安全方向。 实验概述 此实验主要内容是对工控安全事件中的技术进行分析，并设计表格将其汇总。 实验目标 能对工控安全事件技术进行整合； 能对技术进行简要分析； 预备知识 熟悉泛洪攻击类型 了解泛洪攻击原理 了解事件类型表 事件分类 子类名称 事件特征描述 有害程序事件 计算机病毒事件 计算机病毒事件（CVI）是指蓄意制造、传播计算机病毒，或是因受到计算机病毒影响而导致的工控安全事件。计算机病毒是指编制或者在计算机程序中插入的一组计算机指令或者程序代码，它可以破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制 蠕虫事件 蠕虫事件（WI）是指蓄意制造、传播蠕虫，或是因受到蠕虫影响而导致的工控安全事件。蠕虫是指除计算机病毒以外，利用信息系统缺陷，通过网络自动复制并传播的有害程序 特洛伊木马事件 特洛伊木马事件（THI）是指蓄意制造、传播特洛伊木马程序，或是因受到特洛伊木马程序影响而导致的工控安全事件。特洛伊木马程序是指伪装在信息系统中的一种有害程序，具有控制该信息系统或进行信息窃取等对该信息系统有害的功能 僵尸网络事件 僵

工控安全职业证书技能实践：工控设备配置实战.docx

工控安全职业证书技能实践：工控网络设备配置实战.docx

角色和责任分工、文档设计与编写 课程级别 信息安全专业工业互联网安全方向。 实验概述 此实验主要内容是掌握在应急响应准备阶段各角色的主要工作。 实验目标 熟悉应急响应领导小组的准备工作； 熟悉应急响应实施小组的准备工作； 熟悉应急响应日常运行小组的准备工作。 预备知识 熟悉应急响应组织架构 熟悉应急响应报告规划与编写 建议课时数 4个课时 实验环境准备 实验时硬件环境：单核CPU、2G内存、30G硬盘 需要能够支持系统连接网络的网络环境 Office Word 2019 Windows Server 2003 操作系统 实验步骤 任务一 应急响应领导小组准备工作 制定工作方案和计划; 提供人员和物质保证; 审核并批准经费预算、恢复策略、应急响应计划; 批准并监督应急响应计划的执行; 指导应急响应实施小组的应急处置工作; 启动定期评审、修订应急响应计划以及负责组织的外部协作。 任务二 应急响应实施小组准备工作 记录时使用目录及文件名约定： 在受入侵的计算机的C盘根目录下（C:\）建立一个EEAN目录，目录中包含以下子目录： artifact：用于存放可疑文件样本?? cmdoutput