工業(yè)互聯網安全 課件 項目4 工業(yè)互聯網數據安全配置

工業(yè)互聯網安全IndustrialInternetSecurity項目01工業(yè)互聯網設備安全配置項目02工業(yè)互聯網網絡安全配置工業(yè)互聯網數據安全配置項目04項目03工業(yè)互聯網控制系統安全配置項目05工業(yè)互聯網應用安全配置項目06工業(yè)互聯網安全風險評估項目07工業(yè)互聯網安全應用處置工業(yè)互聯網數據安全配置04項目通過以下四個任務的實施，掌握工業(yè)互聯網數據安全的配置方法。項目情境本項目主要介紹工業(yè)互聯網數據安全的相關知識，幫助對工業(yè)互聯網數據安全有系統的了解和認識。工業(yè)互聯網設備數據采集工業(yè)互聯網數據識別處理工業(yè)互聯網數據采集安全與檢測010203工業(yè)互聯網數據安全配置04了解工業(yè)數據的形態(tài)與特點；了解工業(yè)數據的分類與分級；了解工業(yè)互聯網數據采集安全；了解工業(yè)互聯網數據傳輸安全；了解HTTP請求方式（post）的測試方式；了解工業(yè)數據處理、分析及應用安全；了解工業(yè)數據脫敏處理；了解工業(yè)互聯網數據交換安全；了解工業(yè)互聯網數據存儲安全。知識目標理解網絡通信的基本要求與測試方法；具備工業(yè)云平臺物理網關配置的能力；具備物理網關設備數據的采集與監(jiān)測的能力；具備工業(yè)運維平臺的基本使用的能力；具備工業(yè)運維平臺基本配置能力；具備工業(yè)運維平臺的數據采集、安全預警應用能力；具備PLC代碼上裝下裝，停機指令，配置修改等指令的識別和審計能力；具備Linux下的MySQL的安裝與基礎配置能力；具備MySQL數據庫的安全配置能力。技能目標熟悉常見的工業(yè)互聯網數據安全設備和系統，如加密技術、數據備份和恢復等，并了解如何進行有效的配置以保障數據安全。具備應對數據安全事件的能力，包括及時發(fā)現、分析和解決安全問題，以及在安全事件發(fā)生后進行恢復和總結。素質目標學習目標學習導圖工業(yè)互聯網安全測評與應急職業(yè)技能等級標準工業(yè)互聯網數據安全配置工作任務職業(yè)技能要求等級知識點技能點了解數據①能夠對工業(yè)數據進行分級與分類；②能夠對網絡通信進行測試；③能夠在工業(yè)云平臺中完成工業(yè)設備的配置；④能夠在工業(yè)云平臺中實現設備數據的采集；⑤能夠實現對工業(yè)設備數據的監(jiān)測；⑥能夠獨立完成數據庫的安裝與基礎配置；⑦能夠獨立完成MySQL數據庫安全配置；⑧具備良好的溝通表達及團隊合作能力。初級中級①了解工業(yè)數據的形態(tài)與特點；②了解工業(yè)數據的分類與分級；③了解工業(yè)互聯網數據采集安全；④了解工業(yè)互聯網數據傳輸安全；⑤了解HTTP請求方式（post）的測試方式；⑥了解工業(yè)數據處理、分析及應用安全；⑦了解工業(yè)數據脫敏處理；⑧了解工業(yè)互聯網數據交換安全；⑨了解工業(yè)互聯網數據存儲安全。①理解網絡通信的基本要求與測試方法；②具備工業(yè)云平臺物理網關配置的能力；③具備物理網關設備數據的采集與監(jiān)測的能力；④具備工業(yè)運維平臺基本使用的能力；⑤具備工業(yè)云平臺的基本創(chuàng)建與配置能力；⑥具備工業(yè)運維平臺數據采集、安全漏洞分析能力；⑦具備工業(yè)運維平臺事件預警后應急響應能力；⑧具備Linux下的MySQL的安裝與基礎配置能力；⑨具備MySQL數據庫的安全配置能力。與職業(yè)技能等級標準內容對應關系任務1工業(yè)互聯網設備數據采集工業(yè)生產設備種類繁多，部分設備比較老舊或是沒有以太網通信接口，可以通過工業(yè)物聯網網關連接工業(yè)生產設備，通過工業(yè)物聯網網關將工業(yè)生產設備的協議轉換為一種標準協議，實現對數據的采集，及時獲取設備的運行狀態(tài)。任務描述本任務主要講解如何將物理網關設備接入工業(yè)云平臺，實現工業(yè)物理網關設備數據的采集和監(jiān)測。工業(yè)數據的形態(tài)與特點1（1）工業(yè)數據的形態(tài)智能制造時代的到來，使得工業(yè)互聯網采集數據在橫向、縱向和粒度等方面持續(xù)拓展。工業(yè)互聯網中的數據與因特網中的數據存在較大區(qū)別。傳統互聯網主要是信息傳遞發(fā)揮作用，因特網將復雜信息傳遞到消費互聯，滲透到工業(yè)領域，形成生產互聯(工業(yè)物聯網)，直至智慧互聯。知識導入工業(yè)數據的形態(tài)與特點1（2）工業(yè)數據的特點工業(yè)數據涉及工業(yè)產品的全生命周期與全業(yè)務流程，包括：需求、銷售、訂單、售后等市場環(huán)節(jié)；功能設計、性能設計等研發(fā)環(huán)節(jié)；物料、工藝、制造等生產環(huán)節(jié)；運維、回收等應用環(huán)節(jié)。上述各環(huán)節(jié)產生的各類工業(yè)數據總和，就構成了工業(yè)數據的主要部分。知識導入由傳統大數據特性繼承而來的工業(yè)數據特點知識導入特點特點描述技術要素大容量含大量智能設備產生的數據，采樣周期短，互聯網數據持續(xù)融入數據價值及蘊含信息取決于數據規(guī)模，可達PB級、EB級多樣性分布于工業(yè)生產的整個全生命周期與全業(yè)務流程各個環(huán)節(jié)，數據來源廣泛分布及來源多樣：來自現場加工機器設備、在制與制成產品、生產管理系統等，數據分散；數據結構特征多樣性：含結構化、半結構化與非結構化工業(yè)數據，且非結構化工業(yè)數據占比大。高速度數據獲取與處理速度快，實時性要求高生產現場：控制、監(jiān)測等實時性要求高，達ms級；生產管理：交互需求高；批量處理要求高。價值高用戶價值驅動和數據自身可用性數據挖掘：提升創(chuàng)新能力和生產經營效率；人工智能：促進個性化定制、服務化轉型。工業(yè)數據的專屬特點知識導入特點特點描述技術要素置信度高數據質量要求高：真實、準確、完整和可靠基本手段：統計相關性分析；因果分析：物理模型與數據模型結合呈因果關系，可解釋順序性強工業(yè)生產性質決定了工業(yè)數據的生成順序，流程性和時序性強在制品：狀態(tài)數據；生產加工機器：狀態(tài)數據；生產環(huán)境：傳感數據關聯度高與工業(yè)領域各行業(yè)的關聯度較高；同一行業(yè)的工業(yè)數據在生命周期和流程環(huán)節(jié)方面天然關聯行業(yè)特性：機械、石化等數據行業(yè)特色鮮明；產品生命周期：圍繞產品要素同階段數據高度關聯；流程環(huán)節(jié)：需求、研發(fā)、生產、運維等環(huán)節(jié)數據密切關聯閉環(huán)性強閉環(huán)場景(感知、分析、反饋、控制等)中動態(tài)調整及優(yōu)化橫向過程：全生命周期數據鏈封閉與關聯；縱向過程：智能制造系統所涉及的工業(yè)數據采集與處理知識導入工業(yè)數據的分類2（1）生產經營管理系統域數據生產經營管理數據與工業(yè)企業(yè)經營密切相關，多來自ERP、PLM、CRM、SCM等工業(yè)信息化應用傳統資產。具體包括企業(yè)管理數據、業(yè)務運營數據、網絡運維數據、客戶身份數據、生產經營管理數據。知識導入工業(yè)數據的分類2（2）生產操作與設備物聯系統域數據生產操作與設備物聯數據主要是指工業(yè)生產(制造)過程中，物料、研發(fā)、生產工藝、在制品、成品、機器裝備(尤其是智能裝備)、現場工況等需要通過MES進行實時獲取并傳輸的數據。生產過程中實時生成的這些數據不僅體量巨大，而且也是工業(yè)生產過程中的附加值所在，是決定企業(yè)差異性的關鍵核心。具體包括系統研發(fā)數據、計劃排產數據、工業(yè)模型數據、生產制造數據、現場環(huán)境數據。知識導入工業(yè)數據的分類2（3）產品應用及維護系統域數據產品應用及維護系統域數據是指工業(yè)產品的應用及維護數據，涉及供應商、經銷商、物流、最終用戶等。比如，海爾定制冰箱的定制參數信息、訂單、物流等涉及用戶的行業(yè)數據等。具體包括產品運行數據(含運行狀態(tài)、運行環(huán)境等)、產品維護數據(含產品故障數據、修復數據等)、產品定制數據(含定制需求、定制參數等)?；跀祿袷降墓I(yè)數據分類知識導入特點特點描述技術要素文檔數據文檔化，有獨立文件名，格式清晰、固定排產計劃、工程圖紙、3D模型、仿真場景接口由工控系統、MIS等提供，具備特定接口安全策略-XML、系統日志-txt、跨平臺交互-JSON傳感分布式、海量存儲，高并發(fā)，每條數據量小現場溫度、壓力等現場環(huán)境及工業(yè)設備狀態(tài)數據信息化采用數據庫存儲的工業(yè)信息系統生成數據ERP數據、CRM系統訂單、進銷存中的物料圖像現場采集的圖像，有特定的圖像格式AGV路徑場景、工件外形圖像、裝備狀態(tài)圖像音頻現場生產指令語音、設備運行指示音、噪音工藝指令、到位提示、故障報警、切削噪音視頻標準工業(yè)視頻采集設備采集的各類視頻數據生產監(jiān)控視頻、AGV軌跡視頻、危險區(qū)域監(jiān)控知識導入工業(yè)數據的分析3按照工業(yè)數據敏感程度的區(qū)別，可將工業(yè)互聯網數據分為一般數據、重要數據和敏感數據3種。而且，工業(yè)數據的分級與工業(yè)生產制造的具體情況高度相關，必須根據具體情況來制定具體的等級標準。氣動元件生產制造企業(yè)的工業(yè)數據分級知識導入級別子類及范圍示例敏感數據用戶身份證明、產品價格、產品專有工藝、企業(yè)內部核心管理數據、大客戶核心數據、工業(yè)網絡所涉密鑰及關聯數據等重要數據用戶基本資料、服務內容數據、服務記錄和日志、生產日志數據、企業(yè)或市場重要經營類數據、工業(yè)網絡設備及IT系統資源類數據一般數據工業(yè)現場智能終端設備標識等資料、企業(yè)內部一般管理數據、市場一般經營類數據、企業(yè)公開披露信息、公開網絡設備及IT系統資源類數據等物理網關數據采集與參數檢測任務實施【任務目的】了解Modbus協議模擬器的基本應用方式了解網絡通信的基本要求與測試方法掌握工業(yè)云平臺的基本創(chuàng)建方式與配置方式掌握工業(yè)云平臺的物理網關配置方式學習通過協議仿真軟件完成物理網關的數據上傳驗證【使用工具】工業(yè)數采網關浪潮云洲工業(yè)云平臺物理網關數據采集與參數檢測任務實施【工業(yè)協議】1.Modbus通信基礎Modbus有兩種通訊方式：應答方式和廣播方式。應答方式是主站向某個從站（地址1~247）發(fā)出命令，然后等待從站的應答；從站接到主站命令后，執(zhí)行命令，并將執(zhí)行結果返回給主站作為應答，然后等待下一個命令。廣播方式是主站向所有從站發(fā)送命令（從站地址為0），不需要等待從站應答；從站接到廣播命令后，執(zhí)行命令，也不向主站應答。物理網關數據采集與參數檢測任務實施【工業(yè)協議】2.ModbusSim32工具基礎選項說明地址范圍01:coilstatus線圈狀態(tài)0+02:inputstatus輸入狀態(tài)10000+03:holdingregisters保持寄存器4000+04:inputregisters輸入寄存器3000+【步驟1】

搭建網絡環(huán)境01訪問公網網絡配置，參考配置如下：設備網口地址物理網關Eth0/24Eth1/24本地電腦A（模擬器）有線網口/24網關設備--/24驗證網絡路徑。02設備接線準備?！静襟E1】

搭建網絡環(huán)境將規(guī)劃好的網絡拓撲，通過網線相互連通03【步驟2】

啟動仿真工具01新建通信。02配置數據。需要新建兩個地址通信塊，一個是01、另一個是03，起始地址均為0001，從站地址均為1。每個地址的數據可以通過雙擊地址在彈出的對話框中進行添加?！静襟E2】

啟動仿真工具【步驟3】

創(chuàng)建平臺參數添加設備01輸入設備名稱，勾選“是否網關”復選框，單擊“添加”按鈕，完成網關設備的添加?！静襟E3】

創(chuàng)建平臺參數獲取令牌02【步驟3】

創(chuàng)建平臺參數網關連接工業(yè)云平臺03【步驟3】

創(chuàng)建平臺參數工業(yè)虛擬設備接入網關。04【步驟4】

驗證數據通信發(fā)送數據。通過修改模擬器以數，觀察平臺參數變化。0102數據觀察。在工業(yè)云平臺中選擇所創(chuàng)建的模擬器設備，可以查看到該設備各數據采集點的數據采集狀態(tài)。任務評價任務評價了解工業(yè)數據的形態(tài)與特點了解工業(yè)數據的分類與分級理解網絡通信的基本要求與測試方法掌握工業(yè)云平臺的物理網關配置方式掌握物理網關設備數據的采集與檢測方法A.敏感數據B.重要數據C.一般數據D.普通數據任務測驗選擇題

A.順序性強B.關聯度高C.閉環(huán)性強D.多樣性

以下哪個不屬于工業(yè)大數據的專屬特點？（）A.技術手段B.管理手段C.技術和管理手段D.管理和安全手段

工業(yè)數據安全防護體系主要是采用（）實現數據保護用戶身份證明、企業(yè)內部核心管理數據、大客戶核心數據、工業(yè)網絡所涉密鑰及關聯數

據等，這些屬于什么級別的數據？（）簡答題任務測驗1.簡單工業(yè)數據有哪些專屬特點。2.工業(yè)互聯網中的數據可以分為哪3大類。3.簡單描述Modbus協議的兩種通訊方式。

任務2工業(yè)互聯網數據采集

安全與監(jiān)測工業(yè)生產設備數據采集是利用各種通信手段接入不同設備、產品、傳感器等，采集工業(yè)生產的設備數據，構建工業(yè)互聯網平臺的數據基礎。任務描述主要講解如何通過工控安全運維平臺中創(chuàng)建信息參數并對系統進行配置，通過流量監(jiān)控分析功能采集工控網內所有資產數據、漏洞數據等。工業(yè)互聯網數據采集安全1（1）工業(yè)數據采集安全需求工業(yè)數據采集所涉及的業(yè)務場景復雜，數據采集規(guī)范要求缺失，待采集數據源、采集類型、采集范圍、采集頻度、采集渠道、采集方式等都會給安全采集帶來風險，尤其是涉及工業(yè)用戶信息及核心關鍵工業(yè)數據的業(yè)務場景面臨的安全風險更大。工業(yè)數據采集還需要保證數據的完整性、隱私性以及準確性。知識導入工業(yè)互聯網數據采集安全1（2）工業(yè)數據采集安全解決方案工業(yè)互聯網與傳統互聯網不同，工業(yè)互聯網大數據首先是要求樣本全面，數據量的具體大小則取決于應用場景及分析需求。建議重視數據環(huán)境對工業(yè)數據的采集的特殊要求。首先要處理數據采集與邊緣計算的關系?，F場采集系統還應針對各種常見協議提供接口程序，比如在電力領域常用的OPC協議等。知識導入知識導入工業(yè)互聯網數據傳輸安全2（1）工業(yè)數據傳輸安全能力需求由于工業(yè)行業(yè)的特殊性，存在工業(yè)現場生產線與中控端的數據平臺并不處于同一網絡域甚至是處于不同的物理空間的情況，導致數據在不同安全域內雙向流動，傳輸安全隱患嚴重。考慮到工業(yè)互聯網的復雜性，應根據不同的安全域劃分，對安全域內、安全域間等不同的工業(yè)數據服務涉及的數據傳輸場景，制定相應的數據傳輸安全策略和流程?；诠I(yè)數據分級分類，給出相關類型、級別的數據傳輸安全能力需求。工業(yè)互聯網中的數據傳輸安全能力需求分析知識導入能力屬性二級指標三級指標傳輸主體身份硬件設備智能終端、工業(yè)控制器、智能制造設備軟件程序工藝App、HMI、PLC控制軟件配置文件機床配準文件、產線參數配置文件、安全策略配置文件傳輸行為傳輸機密性加密算法：對稱加密、公鑰加密、無密鑰加密等加密強度：弱、中、強密鑰信息傳輸可用性資源占用率帶寬占用率傳輸實時性時間延遲傳輸可靠性丟包率誤碼率故障率工業(yè)互聯網中的數據傳輸安全能力需求分析知識導入能力屬性二級指標三級指標安全保障能力數據完整性能力完整性校驗：校驗碼、消息摘要、數字簽名等通信延時和中斷處理功能，配合終端恢復或重傳：完整性破壞時采用數據機密性能力加密：采用加密算法對鑒別信息及重要業(yè)務數據加密身份認證：接收雙方雙向身份認證會話驗證：建立連接前，初始化會話驗證協議：專用傳輸協議或安全傳輸協議服務數據容錯能力數據備份、數據歸檔、數據冗余數據校驗或數據糾錯數據泄露補救能力通知數據主體緩解泄露危害追溯泄露責任知識導入工業(yè)互聯網數據傳輸安全2（2）工業(yè)數據傳輸安全解決方案工業(yè)信息數據傳輸的安全，同工業(yè)網絡安全密切相關，工業(yè)網絡通信傳輸的主體是工業(yè)數據，因此，工業(yè)網絡傳輸當中的安全機制自然也適用于工業(yè)數據信息傳輸過程?？傮w來說，工業(yè)數據傳輸應在傳輸兩端主體身份鑒別和認證、傳輸數據加密、傳輸鏈路節(jié)點身份鑒別和認證方面進行安全控制。工業(yè)互聯網信息數據采集及安全事件預警任務實施【任務目的】掌握工業(yè)互聯網主要信息參數；掌握工業(yè)互聯網數據收集方法；掌握工業(yè)互聯網中涉及資產漏洞收集、處置方法；掌握工業(yè)互聯網中安全事件的發(fā)現及預警方法?！臼褂霉ぞ摺烤胖蒎窏H工業(yè)運維平臺打開工業(yè)運維平臺，進入“資產管理”頁面，選擇某一個PLC資產，可以查看該PLC的基礎信息，如IP地址、MAC地址、生產廠家、開放端口等信息。【步驟1】

工程設備基礎數據收集【步驟2】

工程設備詳細數據收集進入“資產管理”頁面，選擇某一個PLC資產，將該PLC資產拖動至詳細信息，可以查看該PLC的詳細信息。進入“資產管理”頁面，選擇某一個網絡資產，例如這里選擇一個網絡交換機，在頁面中可以查看該網絡交換機的信息。【步驟3】

工程設備詳細數據收集進入“資產管理”頁面，選擇某一個網絡資產，進入“漏洞”頁面，可以查看基于CVE的設備漏洞信息?！静襟E4】

工控設備漏洞數據進入“全部事件”頁面，單擊選擇某一個事件信息，可查看基于工控系統的安全事件信息?！静襟E5】

工控安全事件數據任務評價任務評價了解工業(yè)互聯網數據采集安全了解工業(yè)互聯網數據傳輸安全了解HTTP請求方式（post）的測試方式掌握工控運維安全平臺的基本使用方法掌握工控運維安全中漏洞數據的利用和修復方式掌握工控運維安全事件數據應用任務測驗選擇題

A.工業(yè)數據采集首先面臨的就是海量數據難題B.工業(yè)數據采集需要保證數據的完整性C.工業(yè)數據采集需要保證數據的開放性D.工業(yè)數據采集需要保證數據的準確性以下關于工業(yè)數據采集所面臨的問題的描述，說法錯誤的是？（）A.傳輸主體身份B.傳輸行為C.傳輸方式D.安全保障能力以下選項中，哪個不能用來標識工業(yè)互聯網中的數據傳輸安全能力？（）A.硬件設備B.軟件程序C.配置文件D.傳輸機密性

以下哪項不屬于工業(yè)互聯網數據傳輸安全能力中的傳輸主體身份屬性的二級指標（

）簡答題任務測驗1.什么是工業(yè)生產設備數據采集？2.如何保證工業(yè)數據采集的準確性？3.簡單描述傳輸主體身份、傳輸行為以及安全保障能力這3個屬性。

任務3工業(yè)互聯網數據識別處理使用工控運維系統能夠收集網絡流量，快速發(fā)現OT網絡中的PLC/HMI/Server/工程師站等資產，并利用對工業(yè)私有協議的解析能力，讀取工業(yè)控制指令的內容，對工業(yè)設備的運行狀況進行監(jiān)控并對工控指令數據進行審計。任務描述該系統可以很好的發(fā)現和回溯對工業(yè)控制設備的誤操作或誤配置，避免由人為失誤導致的生產事故。工業(yè)數據處理、分析及應用安全1（1）工業(yè)數據分布式處理安全工業(yè)數據處理安全用于防范工業(yè)數據的采集、錄入、統計等過程中因軟硬件故障、宕機、斷電、誤操作、惡意代碼或惡意攻擊等造成的數據丟失、毀壞、竊取、篡改或未授權訪問等。工業(yè)數據處理安全的難點在于分布式處理安全及密文數據處理安全。知識導入工業(yè)數據處理、分析及應用安全1（2）工業(yè)密文數據處理安全工業(yè)密文數據是指原始工業(yè)數據加密后產生的數據，其處理安全性涉及工業(yè)密文數據處理的加密及密鑰管理安全性、工業(yè)密文數據搜索、排序、計算的透明處理等。工業(yè)密文數據破壞了原工業(yè)明文數據的順序性，無法直接采用傳統的結構化查詢語言搜索，搜索查詢效率較低。工業(yè)數據庫庫內加解密由數據庫寫入或讀出時自行加解密，對用戶完全透明。知識導入工業(yè)數據處理、分析及應用安全1（3）工業(yè)數據分析安全工業(yè)數據的分析安全涉及待分析工業(yè)數據的獲取方式、數據訪問接口、分析授權、分析邏輯與結果、數據使用等若干方面。在工業(yè)數據分析，特別是大數據分析中，不可避免地會遇到多源異構數據派生、數據聚合、數據關聯分析等，而這些分析操作均需要明確相關安全權限。知識導入工業(yè)數據處理、分析及應用安全1（4）工業(yè)數據使用安全工業(yè)數據的使用安全主要是要求各系統對工業(yè)數據用戶訪問進行訪問控制和權限管理，身份及訪問管理應遵循最小特權、用所必需及責權分離等原則，建立相應粒度或者強度的工業(yè)數據訪問控制機制。知識導入工業(yè)數據脫敏處理2工業(yè)數據脫敏是對工業(yè)應用場景中的某些敏感工業(yè)信息通過脫敏規(guī)則實現工業(yè)數據變形，以保護工業(yè)敏感隱私數據。數據脫敏是數據防泄露的有效組成部分。工業(yè)數據脫敏是工業(yè)數據的重要隱私保護手段之一。由于工業(yè)數據在工業(yè)大數據背景下關聯性較強，單個數據集脫敏無法保證若干不敏感數據集聚合后仍為非敏感數據集，因此必須根據具體工業(yè)行業(yè)和具體應用場景，采用不同的脫敏技術。知識導入工控指令審計任務實施【任務目的】掌握常見的工控指令掌握工控指令的執(zhí)行效果掌握工控指令審計在工業(yè)互聯網當中的應用【使用工具】硬件系統：SiemensS7-300PLC工具：九州宸桯工業(yè)運維平臺彈出“設置PG/PC接口”對話框，根據實際情況設置相應的接口【步驟1】

鏈接PLC彈出“工作模式”對話框。0102單擊“停止”“啟動”等按鈕，可以發(fā)送相應的工控指令?！静襟E2】

發(fā)送工控指令對工控設備進行暖啟動，顯示當前的運行狀態(tài)。0102打開宸桯工業(yè)運維平臺，單擊“事件”選項組中的“控制器事件”選項，在頁面中查看工控指令的相關信息?！静襟E3】

檢測與審計在頁面中的“控制器事件”列表中單擊選擇某個事件，在頁面下方可以查看該事件的詳情0102任務評價任務評價了解工業(yè)數據處理、分析及應用安全了解工業(yè)數據脫敏處理掌握系統、中間件、Web程序和防火墻指紋識別方法了解基本的工控指令及執(zhí)行效果了解工控指令審計的相關概念任務測驗選擇題

A.訪問控制和權限管理B.權限控制和用戶管理C.訪問控制和數據管理D.用戶限制和權限管理工業(yè)數據的使用安全主要是要求各系統對工業(yè)數據用戶訪問進行（）。A.工業(yè)數據脫敏B.工業(yè)數據溯源C.工業(yè)數據銷毀D.工業(yè)數據演變

（）是為了實現數據處理過程所涉工業(yè)數據源的可追溯性，記錄工業(yè)原始數據在全

生命周期中的演變過程信息。A.百度B.谷歌C.ShodanD.云悉

以下哪個是在線控測網站，可以在線自動探測目標網站的數據庫、開發(fā)語言、操作系

統、Web容器、CMS、開發(fā)框架等。（）簡答題任務測驗1.什么是工業(yè)密文數據處理，其處理安全性涉及哪些內容？2.在工業(yè)互聯網中，數據溯源的應用形態(tài)有哪些？3.工業(yè)數據銷毀的目的是什么？

任務4工業(yè)互聯網數據安全配置工業(yè)數據是工業(yè)互聯網核心要素，一旦生成、存儲和流動，數據就變?yōu)橐环N資產，需要明確其安全能力需求，進而采取相應的安全保護措施，以防范各種安全風險。任務描述講解在Linux系統中對MySQL數據庫的安全與基礎配置方法工業(yè)互聯網數據交換安全1（1）工業(yè)數據導入導出安全工業(yè)數據的導入、導出過程可能會危害數據的可用性與完整性，也存在泄露風險。此時應根據工業(yè)數據的分類分級，制定需導入導出數據的安全策略，包括訪問控制、一致性保證、審計與日志管理等策略。此外，還應規(guī)定導出數據介質的命名規(guī)則、標識屬性等標識，定期對導出工業(yè)數據的完整性與可用性進行驗證。知識導入工業(yè)互聯網數據交換安全1（2）工業(yè)數據共享與發(fā)布安全工業(yè)數據共享是由工業(yè)業(yè)務系統及相關產品為外部客戶提供數據或與第三方合作伙伴交換數據。執(zhí)行對數據交換過程的安全風險控制，以實現對數據價值保護的有效性、對法律法規(guī)的符合性。知識導入工業(yè)互聯網數據交換安全1（3）工業(yè)數據交換監(jiān)控工業(yè)數據交換可能存在數據濫用、數據泄露等風險，應對高風險數據交換操作進行監(jiān)控。比如，對重要工業(yè)數據、用戶信息等數據的外發(fā)行為、數據流量、交換服務接口調用事件等信息進行實時記錄。知識導入工業(yè)互聯網數據存儲安全2（1）工業(yè)領域數據庫的選擇工業(yè)數據存儲涉及多種數據庫，涵蓋關系型數據庫、分布式數據庫、工業(yè)實時數據庫（時序數據庫）、非關系型數據庫、內存數據庫等多種類型。不同類型的工業(yè)數據對數據存儲所需的數據庫也不同。知識導入關系型數據庫的選擇工業(yè)數據存儲和管理方面，仍可在某些應用領域中采用Oracle、SQLServer、MySQL、Postgress等關系型數據庫。關系型數據庫的顯著特征之一就是以關系數據模型來組織數據，該模型包括關系數據結構、關系操作集合與關系完整性約束。知識導入分布式數據庫的選擇在工業(yè)互聯網中，針對海量工業(yè)數據、海量工業(yè)用戶、高可靠、高性能、高并發(fā)和可水平擴展性等需求，也可以選用分布式數據庫系統。DDBS由分布式數據庫管理系統和分布式數據庫所構成。實時數據庫的選擇實時數據庫是工業(yè)現場的實時控制、數據采集等系統的核心支撐軟件，用于反映現場實時運行狀況，是工業(yè)現場SCADA、DCS等工業(yè)網絡與企業(yè)ERP等管理網絡相結合、構建二者之間溝通橋梁的關鍵所在。工業(yè)實時數據庫必須同時具備事件觸發(fā)和定時觸發(fā)這兩種處理能力，以維護系統的實時性和穩(wěn)定性。知識導入時序數據庫的選擇嚴格意義上說，工業(yè)時序數據庫的本質為工業(yè)實時數據庫的數據存儲部分。工業(yè)生產過程中，大量的傳感數據及控制數據均具備時序空間特性，即時序數據。工業(yè)時序數據庫在工控設備狀態(tài)監(jiān)控、工業(yè)產品制造質量優(yōu)化等流程工業(yè)領域應用優(yōu)勢明顯。工業(yè)互聯網數據存儲安全2（2）基于NoSQL的工業(yè)數據可伸縮存儲架構工業(yè)互聯網的數據堪稱海量，工業(yè)大數據高并發(fā)寫入，傳統的關系型數據庫在工業(yè)大數據處理方面彰顯出性能瓶頸與不足，存在容量不足、讀寫瓶頸、數據易失、擴展受限、恢復困難等問題，針對大規(guī)模和高并發(fā)非結構化數據存儲和管理，可選擇使用可伸縮存儲架構的非關系型數據庫(NotOnlySQL，NoSQL)。知識導入工業(yè)互聯網數據存儲安全2（3）工業(yè)數據訪問控制及權限管理工業(yè)大數據平臺需要建立統一的數據權限管理機制，結合存儲訪問與控制手段，實現各類工業(yè)數據存儲系統的訪問權限管理，包括各類用戶的身份標識與鑒別、工業(yè)數據訪問控制、數據擴容及復制等內容。知識導入工業(yè)數據訪問控制的權限決定因素知識導入決定因素概要說明詳細說明工業(yè)數據用戶類型根據對工業(yè)互聯網的使用需求或管理功能，對用戶進行分類系統管理員對各類數據系統擁有最高權限，可訪問所有數據資源，具備全部訪問操作權限普通用戶由系統管理員分配訪問操作權限系統審計員負責審計系統安全控制與數據使用情況工業(yè)數據分類工業(yè)互聯網中需要保護的各類工業(yè)數據磁盤、陣列、終端、數據庫及處于其中的各類工業(yè)數據工業(yè)數據使用針對待保護工業(yè)數據定義的訪問控制包工業(yè)數據名稱及其擁有者的標識符、缺省訪問權限、用戶及用戶組的特權明細表等訪問規(guī)則定義了準許訪問某工業(yè)數據的條件訪問規(guī)則實現了用戶與工業(yè)數據資源的匹配，指定某類型用戶對相應數據資源的操作權限MySQL安全配置任務實施【任務目的】學習Linux下的MySQL的安裝與基礎配置；重點學習MySQL的安全配置?！臼褂霉ぞ摺恐鞑僮髌脚_：centos7.564位，已下載MySQL5.7rpm安裝包測試機：Windows7（可選環(huán)境，可用于訪問MySQL，驗證配置是否有效）登錄到Linux服務器，輸入命令代碼，切換root用戶。【步驟1】

安裝MySQL5.7服務器sudo-i使用ls查看路徑，可以看到MySQL的各種安裝包MySQL安裝包說明mysql-community-server數據庫服務器和相關工具mysql-community-clientMySQL客戶端應用程序和工具mysql-community-common服務器和客戶端庫的通用文件mysql-community-devel為MySQL數據庫客戶端應用程序開發(fā)頭文件和庫mysql-community-libsMySQL數據庫客戶端應用程序的共享庫mysql-community-libs-compat以前MySQL安裝的共享兼容性庫mysql-community-embeddedMySQL嵌入式庫mysql-community-embedded-devel將MySQL的頭文件和庫開發(fā)為可嵌入庫mysql-community-testMySQL服務器測試套件0102開始安裝MySQL服務器，在服務器端通常只需要安裝server、client、common、libs這幾個安裝包，安裝MySQL服務器的命令：【步驟1】

安裝MySQL5.7服務器yuminstallmysql-community-{server,client,common,libs}-*完成MySQL服務器的安裝，執(zhí)行代碼，啟動MySQL服務器。systemctlstartmysqld03MySQL安裝釋放路徑文件和資源路徑客戶端程序和腳本/usr/binmysqld服務器/usr/sbin配置文件/etc/f數據目錄/var/lib/mysql錯誤日志文件對于RHEL，OracleLinux，CentOS或Fedora平臺：/var/log/mysqld.log對于SLES：/var/log/mysql/mysqld.logsecure_file_priv的價值/var/lib/mysql-filesSystemVinit腳本對于RHEL，OracleLinux，CentOS或Fedora平臺：/etc/init.d/mysqld對于SLES：/etc/init.d/mysql系統服務對于RHEL，OracleLinux，CentOS或Fedora平臺：mysqld對于SLES：mysqlMySQL安裝釋放路徑(續(xù)）文件和資源路徑Pid文件/var/run/mysql/mysqld.pid插座/var/lib/mysql/mysql.sock密鑰環(huán)目錄/var/lib/mysql-keyringUnix手冊頁/usr/share/man包含（標題）文件/usr/include/mysql圖書館/usr/lib/mysql其他支持文件（例如，錯誤消息和字符集文件）/usr/share/mysqlPid文件/var/run/mysql/mysqld.pid輸入命令代碼，查看是否成功啟動MySQL服務?！静襟E2】

查看服務運行情況ss-lntp|grep3306通過代碼查看進程的運行詳細情況。ps-ef|grepmysqld0102輸入命令代碼，查看MySQL安裝日志中MySQL數據庫的默認口令?！静襟E3】

修改默認口令，登錄MySQLcat/var/log/mysqld.log|greppassword查尋安裝日志，可以看到MySQL數據庫的默認口令。0102輸入命令代碼，登錄MySQL?！静襟E3】

修改默認口令，登錄MySQLmysql-uroot-p輸入MySQL數據庫密碼，登錄MySQL數據庫0304輸入命令代碼，更改MySQL數據庫密碼【步驟3】

修改默認口令，登錄MySQLalteruserroot@localhostidentifiedby'P@ssw0rd';輸入quit命令，退出MySQL數據庫。使用修改后的新密碼再次登錄MySQL數據庫，輸入命令showdatabases;查看MySQL數據庫中的數據表0506輸入代碼，查看MySQL數據庫的版本【步驟4】

檢查MySQL數據庫版本selectversion();輸入代碼，查看MySQL數據庫的用戶【步驟5】

檢查是否有不需要的用戶usemysql;selectuserfrommysql.user;如果存在不需要的用戶，可以使用以下命令將不需要用戶刪除。DROPUSER'username'@'host';輸入代碼，查看MySQL數據庫的密碼安全策略?！静襟E6】

查看密碼安全策略SHOWVARIABLESLIKE'validate_password%';新建數據庫【步驟7】

檢查用戶權限createdatabasetestDBdefaultcharsetutf8collateutf8_general_ci;新建數據表usetestDB;createtabletestDB_TABLE01(idint,namevarchar(20));createtabletestDB_TABLE02(idint,namevarchar(20));0102【步驟7】

檢查用戶權限新建用戶CREATEUSER'test'@'localhost'IDENTIFIEDBY'P@ssw0rd';給用戶授權GRANTSELECTONtestDB.*TOtest@localhost;GRANTUPDATEONtestDB.testDB_TABLE01TOtest@localhost;GRANTSELECT,DELETEONmysql.userTOtest@localhost;0304【步驟7】

檢查用戶權限查看用戶權限showgrantsfortest@locahost;查詢用戶的權限列表撤銷用戶權限REVOKEALLprivilegeONdatabasename.tablenameFROMusername@host;050607查看用戶能登錄的主機【步驟8】

配置IP訪問數據庫selectuser,hostfrommysql.userwhereuser='test';登錄另一臺計算機，安裝MySQL客戶端，遠程登錄yuminstallmysql-community-{server,client,common,libs}-*登錄服務器mysql-h5-utest-p010203【步驟8】

配置IP訪問數據庫提示不允許登錄。在服務器端操作，登錄MySQL，設置允許test用戶從0登錄，并刷新權限。updatemysql.usersethost='0'whereuser='test';flushprivileges;輸入以下代碼，再次嘗試從客戶端登錄MySQL，登錄成功。