前言

工业互联网安全赛我们实验室是第二年参加了，去年是只打到了省赛，拿了一个省二的成绩。今年没想到超常发挥拿了个省一晋级国赛了，也是去绍兴转了一圈体验了体验国赛的场面

国赛题确实难

关于题目

理论题目就不再说了，理论题多少对学生组有点不友好，考察等保相关、应急处理相关政策太多了，大多数都是没及格

实操部分，这次选用的是《集成电路制造》场景，国赛果然是国赛，题目相较于省赛没有一些送分题了，这次每个队伍给了一个工位，配有三根网线、一根Console线、一个桌面Hub和一个模拟沙盘用的工作站，机柜配有以下设备：

• 两台TP-LINK交换机，型号TL-SG5210
• 一台SCADA主机，看起来是宏碁的nuc，配备一块显示器和带触摸板的键盘
• 珞安工业防火墙一台
• 珞安工控安全审计系统一台
• 高性价比边缘计算网关IG502一台
• 西门子S7 PLC一台
• MT8000iE HMI一台
• MES主机一台
• 珞安工业互联网平台一套
• 海康威视IPC一个，型号DS-IPC-T13HV3-LA(_POE)

拓扑图大致如下：

两台TP-LINK 8口交换机，1口用于两交换机互联，交换机1划VLAN5，接有工业互联网平台，工业防火墙、模拟企业外部网络，交换机2划VLAN4，接有SCADA主机、摄像头、数采网关，两台交换机的7口为镜像口，接工业日志审计，PLC先经过防火墙后接入交换机1

由于任务书是纸质，根据印象复现出的任务书如下

网络架构安全设计：

• 配置好网络，使得可以通过桌面Hub访问MES的Web界面、工业互联网平台的Web界面
• 配置好网络，使得可以通过SCADA主机访问摄像头的Web页面、数采网关的Web页面
• 配置好网络，使得可以通过工业互联网平台看到摄像头的通道画面，收集到数采网关的传感器数据
• 配置好网络，使得工控安全审计系统可以捕获到两台交换机的所有流量
• 配置防火墙策略使得数采网关仅能访问PLC得102端口，禁止访问504端口
• 配置防火墙策略使得HMI可以与PLC通信
• 配置防火墙策略使得SCADA可以与PLC通信
• 配置工业日志审计，使得可以监控到SCADA主机得ARP信息

业务安全加固实施：

• MES加固，设置口令过期时间以及修改密码时间
• MES加固，设置日志审计系统
• 交换机加固，启用SW1交换机全局Dos防护功能
• 交换机加固，启用SW2交换机的环路检测功能，监测间隔50s，恢复时间为5个监测时间，发现环路堵塞端口，经过自动恢复时间后解除
• 交换机加固，绑定SCADA主机的IP地址、MAC地址和端口（四元绑定）
• 数采网关加固，修改管理页面默认端口，设定 HTTPS 监听端口为 20443，超时时间 3分钟，停用远程控制、TELNET、SSH、开发者模式
• 数采网关加固，添加设备告警信息，当生产工艺停止时发出监控告警
• 工业互联网平台加固，设置数据库仅本地即可访问，远程禁止访问（工业互联网环境为Docker容器）
• 工业互联网平台加固，新建综合管理岗用户zhg1，权限为设备管理和运维管理；新建监控管理岗用户jkg1，权限为监控管理
• SCADA加固，修改RDP远程桌面端口3389为3390
• SCADA加固，启用SCADA主机的时间服务，使得主机可以同步时间
• SCADA加固，使得注册表HKEY_LOCAL_MACHINE 只能管理员修改，其他用户只读
• HMI加固，设置HMI的下载密码，SCADA主机也同步配置
• 摄像头加固，修改 admin 账户口令，配置页面显示口令认证强度为“强”
• 摄像头加固，开启非法登录锁定，设置错误尝试次数为 6 次，配置锁定时间 5 分钟

应急响应：

• SCADA主机被人安装了键盘记录程序，请找出程序位置
• 请检查SCADA主机是否有CVE-2023-21554漏洞
• 请检查SCADA主机是否有CVE-2020-0796漏洞
• 生产工艺出现问题停止，请找到问题并在SCADA启动生产工艺

有害程序事件分析研判：

• 分析hack.exe程序，找到远端连接主机IP
• 分析hack.exe程序，找到远端连接主机端口
• 分析流量包，判断攻击者利用何种协议进行攻击
• 分析流量包，找到攻击者的mac地址
• 分析中间件日志，找到攻击者的主机IP
• 分析中间件日志，找到攻击者的攻击方式

剩下还有一部分为使用ISO-XXXX格式撰写分析报告，这个对于学生组就直接劝退了，比赛过程中还有小插曲，不小心用SCADA给PLC程序给覆写了，最后找到裁判才同意给我们重新刷PLC。最后本来以为没拿奖，没想好还混上了三等奖，明年再接再厉。

PS：明年能不能给双防静电手套，穿着毛衣机柜一直电我