重要行業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)分析

1、重要行業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn) 李陸 （Lee） 愛生活，愛工作愛家庭，愛老婆愛遠(yuǎn)行，也愛宅在家玩技術(shù)我不是黑客，也不是大牛我是不起眼的人，我和你一樣在信息安全里平凡我是Lee，我來自綠盟科技4-64-6億億123456123456712345678123456789111111111qaz2wsx1q2w3eqwerasdf5201314普通青年FLZX3000cY4yhl9dayppnn13%dkst-Feb.1st文藝青年飛流直下三千尺，疑似銀河落九天飛流直下三千尺，疑似銀河落九天娉娉裊裊十三余，豆蔻梢頭二月初娉娉裊裊十三余，豆蔻梢頭二月初han-shansi.location()!gusuc

2、ityhold?fish:palmIT青年姑蘇城外寒山寺姑蘇城外寒山寺魚和熊掌不可兼得魚和熊掌不可兼得APT特點(diǎn)及趨勢 周密完善且目標(biāo)明確的信息搜集 不計(jì)成本的挖掘/購買0day漏洞 多種方式組合滲透、定向擴(kuò)散 長期持續(xù)攻擊2005060708091011121314終端機(jī)安全架構(gòu)上分為現(xiàn)金類自助終端(有現(xiàn)金交互)和非現(xiàn)金類自助終端國內(nèi)應(yīng)用：銀行、運(yùn)營商、稅務(wù)、政府、證券、傳媒X86架構(gòu)，windows操作系統(tǒng)全觸摸型自助服務(wù)終端機(jī)數(shù)字型：提供只有數(shù)字和基本功能按鍵的虛擬鍵盤；字母型：提供英文字母（有些有符號）、數(shù)字虛擬鍵盤；無鍵盤、虛擬鍵盤型金融類：自助繳費(fèi)機(jī)、自助查詢機(jī)、自助訂票機(jī)等其他：

3、排隊(duì)機(jī)、優(yōu)惠卷打印機(jī)等鍵盤集成型自助服務(wù)終端機(jī)帶觸摸板的非標(biāo)準(zhǔn)金屬鍵盤(屏蔽了shift,ctrl,alt,tab,win等功能鍵)數(shù)字加密盤型金融類：自助報(bào)稅機(jī)、自助訂票機(jī)、網(wǎng)銀體驗(yàn)機(jī)等其他：自助查詢機(jī)等通用保護(hù)程序屏蔽了功能鍵：ctrl、shift、alt、win、tab、鼠標(biāo)右鍵等；保持自身程序始終處于所有程序前段，并保持全屏；程序出錯或結(jié)束自動鎖屏并自動重啟程序；只能允許訪問自身域名(含子域名)及內(nèi)網(wǎng)資源；禁止下載運(yùn)行程序，自動結(jié)束當(dāng)前窗口的系統(tǒng)交互(如:瀏覽附件）“幫助提示”1、將鼠標(biāo)指針移至Flash界面、文字、控件按壓超X秒彈出菜單;2、將某個(gè)控件、文字壓按并拖拽到其他控件,觸發(fā)

4、錯誤窗口;3、輸入錯誤字符觸發(fā)彈窗；4、瀏覽器繞過；5、輸入法繞過；6、藍(lán)牙配對繞過；7、軟件升級繞過；“第三方交互”1、利用“打印”打印機(jī)調(diào)用；2、利用證書交互導(dǎo)入/導(dǎo)出；3、第三方組件、控件調(diào)用；4、郵件地址超鏈接調(diào)用outlook；5、跨站；“畸形數(shù)據(jù)”與架構(gòu)問題1、提交畸形數(shù)據(jù)；2、通過非現(xiàn)金終端入侵現(xiàn)金終端；3、ATM自身架構(gòu)問題；出入鈔閘口、讀卡器通常是自身架構(gòu)比較容易出問題的地方，插卡后ATM會檢測出入鈔模塊、讀卡器模塊、打印機(jī)等硬件是否正常,如果必要硬件狀態(tài)異?；蛘逜TMC無法連接ATMP則會停止交易，在停止交易的過程中ATMC最容易產(chǎn)生錯誤；專門攻擊工業(yè)控制系統(tǒng)軟件震網(wǎng)病毒S

5、tuxnet 的攻擊目標(biāo)直指西門子公司的SIMATIC WinCC 系統(tǒng)，這是一種運(yùn)行于Windows平臺的數(shù)據(jù)采集與監(jiān)視控制（SCADA）系統(tǒng)，被廣泛應(yīng)用于鋼鐵、汽車、電力、運(yùn)輸、水利、化工、石油等工業(yè)領(lǐng)域。Stuxnet 利用了該系統(tǒng)的兩個(gè)漏洞。這是一次專門針對工業(yè)控制系統(tǒng)的攻擊變電站61860規(guī)約重要的工業(yè)控制系統(tǒng)1、核設(shè)施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進(jìn)制造、水利樞紐、環(huán)境保護(hù)、鐵路、城市軌道交通、民航、城市供水供氣供熱；2、10人以上死亡或50人以上重傷；3、5000萬元以上直接經(jīng)濟(jì)損失；4、影響100萬人以上正常生活；5、對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益產(chǎn)生

6、重大影響等嚴(yán)重后果；系統(tǒng)類型1、數(shù)據(jù)采集與監(jiān)控(SCADA)系統(tǒng)；2、分布式控制系統(tǒng)(DCS)；3、可編程控制器(PLC)；4、其他；針對SCADA應(yīng)用層的簡單基線檢查1、web端；常見的web漏洞：SQL注入、權(quán)限繞過、中間件、上傳漏洞、弱口令；2、數(shù)據(jù)服務(wù)器弱口令、溢出；3、軟件平臺溢出、嗅探；你的門禁卡安全嗎？無人值守廠站、中心機(jī)房監(jiān)控盲點(diǎn)、第三方維護(hù)人員、路過的人？！對傳統(tǒng)DDOS的防御？NTP Reply Flood(感謝NSFOCUS同事林鑫的研究)Monlist命令：返回NTP進(jìn)行過同步的最后600個(gè)客戶端IP地址；(發(fā)小包回大包)1、不能保證每臺NTP服務(wù)器都有600個(gè)客戶端相

7、聯(lián),因此要偽造600個(gè)同步請求；2、向多個(gè)NTP服務(wù)器發(fā)送monlist命令,偽造源地址為攻擊目標(biāo);攻擊的成本1、網(wǎng)絡(luò)上約有100-200臺穩(wěn)定支持monlist命令的NTP服務(wù)器；2、理想狀況下一個(gè)monlist請求包可以返回自己大小300-500倍的返回包；3、那么10M的攻擊量可以返回接近3G-5G的流量業(yè)務(wù)邏輯？正常操作不等于合法操作核心業(yè)務(wù)：CRM、4A平臺重要業(yè)務(wù)平臺外網(wǎng)可以直接訪問?!重要業(yè)務(wù)平臺(營業(yè)廳)在凌晨任然可以充值?!第三方合作伙伴、軟件供應(yīng)商？運(yùn)營商業(yè)務(wù)系統(tǒng)外包商質(zhì)量參差不齊!1、組網(wǎng)方式隨意性強(qiáng)，缺乏統(tǒng)一規(guī)劃2、網(wǎng)絡(luò)區(qū)域之間邊界不清晰，互連互通沒有統(tǒng)一控制規(guī)范3、安

8、全防護(hù)手段部署原則不明確1、無法有效隔離不同業(yè)務(wù)領(lǐng)域，跨業(yè)務(wù)領(lǐng)域的非授權(quán)互訪難于發(fā)現(xiàn)和控制2、不能及時(shí)的發(fā)現(xiàn)安全事件和響應(yīng)3、第三方維護(hù)人員缺乏訪問控制和授權(quán)4、關(guān)鍵服務(wù)器、信息資產(chǎn)的缺乏重點(diǎn)防護(hù)服務(wù)域網(wǎng) 絡(luò) 域計(jì)算域維護(hù)域現(xiàn)狀：問題： 結(jié)合承載網(wǎng)、業(yè)務(wù)系統(tǒng)及支撐系統(tǒng)的現(xiàn)狀，建立持續(xù)保障機(jī)制，能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的同時(shí)，還要保障業(yè)務(wù)的正常運(yùn)行和運(yùn)行效率。業(yè)務(wù)保障原則業(yè)務(wù)目標(biāo)是保證業(yè)務(wù)的可靠性、連續(xù)性。充分認(rèn)知業(yè)務(wù)對象，嚴(yán)謹(jǐn)定位業(yè)務(wù)范圍。結(jié)合業(yè)務(wù)自身特性，準(zhǔn)確識別和分析業(yè)務(wù)數(shù)據(jù)流。 明確防護(hù)需求，對系統(tǒng)、風(fēng)險(xiǎn)、安全需求進(jìn)行分析和修正，從而建立組網(wǎng)原則。使整個(gè)網(wǎng)絡(luò)變得更加簡單，簡單的網(wǎng)絡(luò)結(jié)構(gòu)便于設(shè)計(jì)防護(hù)體系。安全域劃分并不是粒度越細(xì)越好，安全域數(shù)量過多過雜可能導(dǎo)致安全域的管理過于復(fù)雜和