重要行业信息系统安全风险分析

1、重要行业信息系统安全风险 李陆 （Lee） 爱生活，爱工作爱家庭，爱老婆爱远行，也爱宅在家玩技术我不是黑客，也不是大牛我是不起眼的人，我和你一样在信息安全里平凡我是Lee，我来自绿盟科技4-64-6亿亿123456123456712345678123456789111111111qaz2wsx1q2w3eqwerasdf5201314普通青年FLZX3000cY4yhl9dayppnn13%dkst-Feb.1st文艺青年飞流直下三千尺，疑似银河落九天飞流直下三千尺，疑似银河落九天娉娉袅袅十三余，豆蔻梢头二月初娉娉袅袅十三余，豆蔻梢头二月初han-shansi.location()!gusuc

2、ityhold?fish:palmIT青年姑苏城外寒山寺姑苏城外寒山寺鱼和熊掌不可兼得鱼和熊掌不可兼得APT特点及趋势 周密完善且目标明确的信息搜集 不计成本的挖掘/购买0day漏洞 多种方式组合渗透、定向扩散 长期持续攻击2005060708091011121314终端机安全架构上分为现金类自助终端(有现金交互)和非现金类自助终端国内应用：银行、运营商、税务、政府、证券、传媒X86架构，windows操作系统全触摸型自助服务终端机数字型：提供只有数字和基本功能按键的虚拟键盘；字母型：提供英文字母（有些有符号）、数字虚拟键盘；无键盘、虚拟键盘型金融类：自助缴费机、自助查询机、自助订票机等其他：

3、排队机、优惠卷打印机等键盘集成型自助服务终端机带触摸板的非标准金属键盘(屏蔽了shift,ctrl,alt,tab,win等功能键)数字加密盘型金融类：自助报税机、自助订票机、网银体验机等其他：自助查询机等通用保护程序屏蔽了功能键：ctrl、shift、alt、win、tab、鼠标右键等；保持自身程序始终处于所有程序前段，并保持全屏；程序出错或结束自动锁屏并自动重启程序；只能允许访问自身域名(含子域名)及内网资源；禁止下载运行程序，自动结束当前窗口的系统交互(如:浏览附件）“帮助提示”1、将鼠标指针移至Flash界面、文字、控件按压超X秒弹出菜单;2、将某个控件、文字压按并拖拽到其他控件,触发

4、错误窗口;3、输入错误字符触发弹窗；4、浏览器绕过；5、输入法绕过；6、蓝牙配对绕过；7、软件升级绕过；“第三方交互”1、利用“打印”打印机调用；2、利用证书交互导入/导出；3、第三方组件、控件调用；4、邮件地址超链接调用outlook；5、跨站；“畸形数据”与架构问题1、提交畸形数据；2、通过非现金终端入侵现金终端；3、ATM自身架构问题；出入钞闸口、读卡器通常是自身架构比较容易出问题的地方，插卡后ATM会检测出入钞模块、读卡器模块、打印机等硬件是否正常,如果必要硬件状态异常或者ATMC无法连接ATMP则会停止交易，在停止交易的过程中ATMC最容易产生错误；专门攻击工业控制系统软件震网病毒S

5、tuxnet 的攻击目标直指西门子公司的SIMATIC WinCC 系统，这是一种运行于Windows平台的数据采集与监视控制（SCADA）系统，被广泛应用于钢铁、汽车、电力、运输、水利、化工、石油等工业领域。Stuxnet 利用了该系统的两个漏洞。这是一次专门针对工业控制系统的攻击变电站61860规约重要的工业控制系统1、核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热；2、10人以上死亡或50人以上重伤；3、5000万元以上直接经济损失；4、影响100万人以上正常生活；5、对国家安全、社会秩序、经济建设和公共利益产生

6、重大影响等严重后果；系统类型1、数据采集与监控(SCADA)系统；2、分布式控制系统(DCS)；3、可编程控制器(PLC)；4、其他；针对SCADA应用层的简单基线检查1、web端；常见的web漏洞：SQL注入、权限绕过、中间件、上传漏洞、弱口令；2、数据服务器弱口令、溢出；3、软件平台溢出、嗅探；你的门禁卡安全吗？无人值守厂站、中心机房监控盲点、第三方维护人员、路过的人？！对传统DDOS的防御？NTP Reply Flood(感谢NSFOCUS同事林鑫的研究)Monlist命令：返回NTP进行过同步的最后600个客户端IP地址；(发小包回大包)1、不能保证每台NTP服务器都有600个客户端相

7、联,因此要伪造600个同步请求；2、向多个NTP服务器发送monlist命令,伪造源地址为攻击目标;攻击的成本1、网络上约有100-200台稳定支持monlist命令的NTP服务器；2、理想状况下一个monlist请求包可以返回自己大小300-500倍的返回包；3、那么10M的攻击量可以返回接近3G-5G的流量业务逻辑？正常操作不等于合法操作核心业务：CRM、4A平台重要业务平台外网可以直接访问?!重要业务平台(营业厅)在凌晨任然可以充值?!第三方合作伙伴、软件供应商？运营商业务系统外包商质量参差不齐!1、组网方式随意性强，缺乏统一规划2、网络区域之间边界不清晰，互连互通没有统一控制规范3、安

8、全防护手段部署原则不明确1、无法有效隔离不同业务领域，跨业务领域的非授权互访难于发现和控制2、不能及时的发现安全事件和响应3、第三方维护人员缺乏访问控制和授权4、关键服务器、信息资产的缺乏重点防护服务域网 络 域计算域维护域现状：问题： 结合承载网、业务系统及支撑系统的现状，建立持续保障机制，能够更好的保障网络上承载的业务。在保证安全的同时，还要保障业务的正常运行和运行效率。业务保障原则业务目标是保证业务的可靠性、连续性。充分认知业务对象，严谨定位业务范围。结合业务自身特性，准确识别和分析业务数据流。 明确防护需求，对系统、风险、安全需求进行分析和修正，从而建立组网原则。使整个网络变得更加简单，简单的网络结构便于设计防护体系。安全域划分并不是粒度越细越好，安全域数量过多过杂可能导致安全域的管理过于复杂和