重要行業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)分析匯總

1、重要行業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn) 李陸 （Lee） 愛(ài)生活，愛(ài)工作愛(ài)家庭，愛(ài)老婆愛(ài)遠(yuǎn)行，也愛(ài)宅在家玩技術(shù)我不是黑客，也不是大牛我是不起眼的人，我和你一樣在信息安全里平凡我是Lee，我來(lái)自綠盟科技4-64-6億億123456123456712345678123456789111111111qaz2wsx1q2w3eqwerasdf5201314普通青年FLZX3000cY4yhl9dayppnn13%dkst-Feb.1st文藝青年飛流直下三千尺，疑似銀河落九天飛流直下三千尺，疑似銀河落九天娉娉裊裊十三余，豆蔻梢頭二月初娉娉裊裊十三余，豆蔻梢頭二月初han-shansi.location()!gusuc

2、ityhold?fish:palmIT青年姑蘇城外寒山寺姑蘇城外寒山寺魚(yú)和熊掌不可兼得魚(yú)和熊掌不可兼得APT特點(diǎn)及趨勢(shì) 周密完善且目標(biāo)明確的信息搜集 不計(jì)成本的挖掘/購(gòu)買(mǎi)0day漏洞 多種方式組合滲透、定向擴(kuò)散 長(zhǎng)期持續(xù)攻擊2005060708091011121314終端機(jī)安全架構(gòu)上分為現(xiàn)金類(lèi)自助終端(有現(xiàn)金交互)和非現(xiàn)金類(lèi)自助終端國(guó)內(nèi)應(yīng)用：銀行、運(yùn)營(yíng)商、稅務(wù)、政府、證券、傳媒X86架構(gòu)，windows操作系統(tǒng)全觸摸型自助服務(wù)終端機(jī)數(shù)字型：提供只有數(shù)字和基本功能按鍵的虛擬鍵盤(pán)；字母型：提供英文字母（有些有符號(hào)）、數(shù)字虛擬鍵盤(pán)；無(wú)鍵盤(pán)、虛擬鍵盤(pán)型金融類(lèi)：自助繳費(fèi)機(jī)、自助查詢(xún)機(jī)、自助訂票機(jī)等其他：

3、排隊(duì)機(jī)、優(yōu)惠卷打印機(jī)等鍵盤(pán)集成型自助服務(wù)終端機(jī)帶觸摸板的非標(biāo)準(zhǔn)金屬鍵盤(pán)(屏蔽了shift,ctrl,alt,tab,win等功能鍵)數(shù)字加密盤(pán)型金融類(lèi)：自助報(bào)稅機(jī)、自助訂票機(jī)、網(wǎng)銀體驗(yàn)機(jī)等其他：自助查詢(xún)機(jī)等通用保護(hù)程序屏蔽了功能鍵：ctrl、shift、alt、win、tab、鼠標(biāo)右鍵等；保持自身程序始終處于所有程序前段，并保持全屏；程序出錯(cuò)或結(jié)束自動(dòng)鎖屏并自動(dòng)重啟程序；只能允許訪(fǎng)問(wèn)自身域名(含子域名)及內(nèi)網(wǎng)資源；禁止下載運(yùn)行程序，自動(dòng)結(jié)束當(dāng)前窗口的系統(tǒng)交互(如:瀏覽附件）“幫助提示”1、將鼠標(biāo)指針移至Flash界面、文字、控件按壓超X秒彈出菜單;2、將某個(gè)控件、文字壓按并拖拽到其他控件,觸發(fā)

4、錯(cuò)誤窗口;3、輸入錯(cuò)誤字符觸發(fā)彈窗；4、瀏覽器繞過(guò)；5、輸入法繞過(guò)；6、藍(lán)牙配對(duì)繞過(guò)；7、軟件升級(jí)繞過(guò)；“第三方交互”1、利用“打印”打印機(jī)調(diào)用；2、利用證書(shū)交互導(dǎo)入/導(dǎo)出；3、第三方組件、控件調(diào)用；4、郵件地址超鏈接調(diào)用outlook；5、跨站；“畸形數(shù)據(jù)”與架構(gòu)問(wèn)題1、提交畸形數(shù)據(jù)；2、通過(guò)非現(xiàn)金終端入侵現(xiàn)金終端；3、ATM自身架構(gòu)問(wèn)題；出入鈔閘口、讀卡器通常是自身架構(gòu)比較容易出問(wèn)題的地方，插卡后ATM會(huì)檢測(cè)出入鈔模塊、讀卡器模塊、打印機(jī)等硬件是否正常,如果必要硬件狀態(tài)異?；蛘逜TMC無(wú)法連接ATMP則會(huì)停止交易，在停止交易的過(guò)程中ATMC最容易產(chǎn)生錯(cuò)誤；專(zhuān)門(mén)攻擊工業(yè)控制系統(tǒng)軟件震網(wǎng)病毒S

5、tuxnet 的攻擊目標(biāo)直指西門(mén)子公司的SIMATIC WinCC 系統(tǒng)，這是一種運(yùn)行于Windows平臺(tái)的數(shù)據(jù)采集與監(jiān)視控制（SCADA）系統(tǒng)，被廣泛應(yīng)用于鋼鐵、汽車(chē)、電力、運(yùn)輸、水利、化工、石油等工業(yè)領(lǐng)域。Stuxnet 利用了該系統(tǒng)的兩個(gè)漏洞。這是一次專(zhuān)門(mén)針對(duì)工業(yè)控制系統(tǒng)的攻擊變電站61860規(guī)約重要的工業(yè)控制系統(tǒng)1、核設(shè)施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進(jìn)制造、水利樞紐、環(huán)境保護(hù)、鐵路、城市軌道交通、民航、城市供水供氣供熱；2、10人以上死亡或50人以上重傷；3、5000萬(wàn)元以上直接經(jīng)濟(jì)損失；4、影響100萬(wàn)人以上正常生活；5、對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益產(chǎn)生

6、重大影響等嚴(yán)重后果；系統(tǒng)類(lèi)型1、數(shù)據(jù)采集與監(jiān)控(SCADA)系統(tǒng)；2、分布式控制系統(tǒng)(DCS)；3、可編程控制器(PLC)；4、其他；針對(duì)SCADA應(yīng)用層的簡(jiǎn)單基線(xiàn)檢查1、web端；常見(jiàn)的web漏洞：SQL注入、權(quán)限繞過(guò)、中間件、上傳漏洞、弱口令；2、數(shù)據(jù)服務(wù)器弱口令、溢出；3、軟件平臺(tái)溢出、嗅探；你的門(mén)禁卡安全嗎？無(wú)人值守廠站、中心機(jī)房監(jiān)控盲點(diǎn)、第三方維護(hù)人員、路過(guò)的人？！對(duì)傳統(tǒng)DDOS的防御？NTP Reply Flood(感謝NSFOCUS同事林鑫的研究)Monlist命令：返回NTP進(jìn)行過(guò)同步的最后600個(gè)客戶(hù)端IP地址；(發(fā)小包回大包)1、不能保證每臺(tái)NTP服務(wù)器都有600個(gè)客戶(hù)端相

7、聯(lián),因此要偽造600個(gè)同步請(qǐng)求；2、向多個(gè)NTP服務(wù)器發(fā)送monlist命令,偽造源地址為攻擊目標(biāo);攻擊的成本1、網(wǎng)絡(luò)上約有100-200臺(tái)穩(wěn)定支持monlist命令的NTP服務(wù)器；2、理想狀況下一個(gè)monlist請(qǐng)求包可以返回自己大小300-500倍的返回包；3、那么10M的攻擊量可以返回接近3G-5G的流量業(yè)務(wù)邏輯？正常操作不等于合法操作核心業(yè)務(wù)：CRM、4A平臺(tái)重要業(yè)務(wù)平臺(tái)外網(wǎng)可以直接訪(fǎng)問(wèn)?!重要業(yè)務(wù)平臺(tái)(營(yíng)業(yè)廳)在凌晨任然可以充值?!第三方合作伙伴、軟件供應(yīng)商？運(yùn)營(yíng)商業(yè)務(wù)系統(tǒng)外包商質(zhì)量參差不齊!1、組網(wǎng)方式隨意性強(qiáng)，缺乏統(tǒng)一規(guī)劃2、網(wǎng)絡(luò)區(qū)域之間邊界不清晰，互連互通沒(méi)有統(tǒng)一控制規(guī)范3、安

8、全防護(hù)手段部署原則不明確1、無(wú)法有效隔離不同業(yè)務(wù)領(lǐng)域，跨業(yè)務(wù)領(lǐng)域的非授權(quán)互訪(fǎng)難于發(fā)現(xiàn)和控制2、不能及時(shí)的發(fā)現(xiàn)安全事件和響應(yīng)3、第三方維護(hù)人員缺乏訪(fǎng)問(wèn)控制和授權(quán)4、關(guān)鍵服務(wù)器、信息資產(chǎn)的缺乏重點(diǎn)防護(hù)服務(wù)域網(wǎng) 絡(luò) 域計(jì)算域維護(hù)域現(xiàn)狀：?jiǎn)栴}： 結(jié)合承載網(wǎng)、業(yè)務(wù)系統(tǒng)及支撐系統(tǒng)的現(xiàn)狀，建立持續(xù)保障機(jī)制，能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的同時(shí)，還要保障業(yè)務(wù)的正常運(yùn)行和運(yùn)行效率。業(yè)務(wù)保障原則業(yè)務(wù)目標(biāo)是保證業(yè)務(wù)的可靠性、連續(xù)性。充分認(rèn)知業(yè)務(wù)對(duì)象，嚴(yán)謹(jǐn)定位業(yè)務(wù)范圍。結(jié)合業(yè)務(wù)自身特性，準(zhǔn)確識(shí)別和分析業(yè)務(wù)數(shù)據(jù)流。 明確防護(hù)需求，對(duì)系統(tǒng)、風(fēng)險(xiǎn)、安全需求進(jìn)行分析和修正，從而建立組網(wǎng)原則。使整個(gè)網(wǎng)絡(luò)變得更加簡(jiǎn)單，簡(jiǎn)單的網(wǎng)絡(luò)結(jié)構(gòu)便于設(shè)計(jì)防護(hù)體系。安全域劃分并不是粒度越細(xì)越好，安全域數(shù)量過(guò)多過(guò)雜可能導(dǎo)致安全域的管理過(guò)于復(fù)雜和困難。結(jié)構(gòu)化原則簡(jiǎn)化目標(biāo)是復(fù)雜的業(yè)務(wù)網(wǎng)絡(luò)結(jié)構(gòu)化、簡(jiǎn)單化。明確業(yè)務(wù)防護(hù)需求，充分識(shí)別業(yè)務(wù)風(fēng)險(xiǎn)。細(xì)化分解業(yè)務(wù)模塊，便于使用、利于防護(hù)、利于管理。整體結(jié)構(gòu)、安全域之間、功能和邊界的簡(jiǎn)化、簡(jiǎn)潔。綠盟科技巨人背后的專(zhuān)家 P軍隊(duì)、公安涉密綠盟科技巨人背后的安全專(zhuān)家謝謝！人有了知識(shí)，就會(huì)具備各種分析能力，明辨是非的能力。所以我們