《工业互联网安全技术基础》课件- 47-分析评估

IndustrialInternetsecuritytechnologyfoundation工业互联网安全技术基础《工业互联网安全技术基础》课程组第7章工控控制安全技术分析评估010203评估依据评估方式评估工具目录一、评估依据《工业控制系统信息安全防护指南》本工控安全检查项目核心依据《工业控制系统信息安全防护指南》从配置和补丁管理、边界安全防护、安全监测和应急预案演练等方面，对工业企业进行了11大项检查项目，用于综合评价工业企业工控安全防护的整体能力。安全软件选择与管理配置和补丁管理边界安全防护物理和环境安全防护身份认证远程访问安全安全监测和应急预案演练资产安全数据安全供应链管理落实责任一、评估依据《工业控制系统信息安全防护能力评估工作管理办法》为规范工业控制系统信息安全(以下简称工控安全)防护能力评估工作，切实提升工控安全防护水平，根据《中华人民共和国网络安全法》《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号)，制定本办法。本办法适用于规范针对工业企业开展的工控安全防护能力评估活动。一、评估依据《工业控制系统信息安全防护能力评估方法》受理评估申请组建评估技术队伍制定评估工作计划开展现场评估工作现场评估情况反馈企业自行整改开展复评估工作形成评估报告二、评估方式三、评估工具【专用工具】工控脆弱性评估工具工控脆弱性评估工具是灯塔实验室自主研发的基于网络的漏洞分析、评估的综合管理系统，融合了已有的漏洞扫描技术和工业控制系统漏洞研究成果。工具根据工业控制系统已知的安全漏洞特征（如SCADA/HMI软件漏洞，PLC、DCS控制器嵌入式软件漏洞，Modbus、Profibus等主流现场总线漏洞、数字化设计制造平台漏洞等），对SCADA、DCS系统、PLC等工业控制系统中的控制设备、应用或系统进行扫描、识别，检测工业控制系统存在漏洞并生成相应的报告，清晰定性安全风险，给出修复建议和预防措施，并对风险控制策略进行有效审核，从而在漏洞全面评估的基础上实现安全自主掌控。工控脆弱性评估工具可以有效检测工业控制系统存在的安全缺陷或漏洞，为我国工业企业、专业测评机构、工控系统产品提供商和集成商提供检测和排查工业控制系统安全隐患的技术手段，促进我国工业控制系统信息安全检查工作。三、评估工具【专用工具】工控脆弱性评估工具配置核查管理系统 针对各行业特点和安全基线规范基准，推出了专业检查平台——安全配置核查管理系统，使安全检查过程达到自动化、标准化、持续化、可视化。它可以大大提高检查结果的准确性和合规性，用以在企业的上线安全检查、第三方入网安全检查、合规安全检查（上级检查）、日常安全检查和安全服务任务中，协助查找设备在安全配置中存在的差距，并与安全整改与安全建设相结合，提升各类业务系统的安全防护能力和达到整体合规要求.三、评估工具【专用工具】工控脆弱性评估工具配置核查管理系统作为对传统漏洞扫描产品的强力补充，系统对操作站、服务器、网络设备、安全设备进行系统安全配置检查，涵盖Windows主机、Linux主机、Solaris主机、Cisco网络设备、华为网络设备、数据库、中间件设备等。检测方式包括Telnet、SSH、SMB、JDBC、Agent等方式。检查内容应包括操作系统和网络设备、数据库和中间件等的账号、口令、授权、日志安全要求、不必要的服务、启动项、注册表、会话设置等配置。系统用以在工业控制系统的上线安全检查、第三方入网安全检查、合规安全检查（上级检查）、日常安全检查和安全服务任务中，协助查找设备在安全配置中存在的差距，并与安全整改与安全建设相结合，提升各类业务系统的安全防护能力和达到整体合规要求。能够帮助用户发现网络和应用中存在的配置缺陷、管理漏洞，帮助用户提升网络和应用系统的安全强度。三、评估工具【系统自带工具及其他工具】工具名称用途风险等级工具来源是否存在风险风险规避方法tasklist任务信息查看无操作系统自带无无systeminfo系统信息查看无操作系统自带无无net用户管理无操作系统自带无无wmicWindows管理工具无操作系统自带无无msconfig启动项管理无操作系统自带无无netstat网络信息查看无操作系统自带无无regedit注册表无操作系统自带无无whoami查看当前登录用户无操作系统自带无无InternetExplorer(IE)浏览器无操作系统自带无无explorer资源管理无操作系统自带无无telnet远程登录（测试连通性）无操作系统自带无无nslookupdns信息无操作系统自带无无ping测试连通性无操作系统自带无无tracert路由追踪无操作系统自带无无mstsc远程桌面无操作系统自带无无eventvwr日志管理无操作系统自带无无三、评估工具【系统自带工具及其他工具】工具名称用途风险等级工具来源是否存在风险风险规避方法Nessus主机/系统漏洞扫描中开放式影响较小的网络性能使用时避开业务高峰Openvas漏洞扫描中开放式影响较小的网络性能使用时避开业务高峰Nmap端口扫描低开放式影响较小的网络性能使用时避开业务高峰Beini无线安全测试低开放式无无AcunetixWebVulnerabilityScannerWeb漏洞监测高商用可能影响业务及其应用的性能和稳定性使用时避开业务高峰或在测试环境、非生产环境、备份环境下执行测试SQLMAPWeb注入漏洞测试中开放式可能影响业务及其应用的性能和稳定性使用时避开业务高峰或在测试环境、非生产环境、备份环境下执行测试BurpSuiteWeb安全测试框架低商用可能影响业务及其应用的性能和稳定性使用时避开业务高峰hydra密码爆破工具低开放式可能影响业务及其应用的性能和稳定性使用时避开业务高峰OWASPZAPWeb安全测试工具低开放式可能影响业务及其应用的性能和稳定性使用时避开业务高峰W3afWeb安全测试工具低开放式可能影响业务及其应用的性能和稳定性使用时避开业务高峰VegaPlatformWeb安全测试工具低开放式可能影响业务及其应用的性能和稳定性使用时避开业务高峰jsqlSQL注入测试工具低开放式可能影响业务及其应用的性能和稳定性使用时避开业务高峰ProtocolTestHarness工控协议调试工具低商用无无三、评估工具第7章工控控制安全技术分析评估-2010203工作方法评估方案评估主要内容目录一、评估方法1.人员访谈系统管理和安全管理基本信息对评估内容进行问答核实2.文档查阅系统业务文档系统各种业务应用网络拓扑技术、安全管理方面材料3.人工核查在现场上机进行实际检查对人员访谈和文档查阅内容进行核实【文本信息】一、评估方法【配置管理】查看Windows安全设置运行gpedit.msc计算机配置->windows设置->安全设置>帐户策略->密码策略，建议设置如下:密码必须符合复杂性要求->启用密码长度最小值->8密码最长使用期限->180天密码最短使用期限->1天强制密码历史->5次一、评估方法【配置管理】检查是否有USB等外设接口使用痕迹，检查是否有未授权的外设终端接入记录在注册表中，HKEY_LOCAL_MACHINE->SYSTEM->ControlSet001->Enum->USBSTOR一、评估方法【配置管理】检查文件共享一、评估方法【补丁管理检查】

查看系统补丁安装情况方法一:windows系统在控制面板->系统和安全->WindowsUpdate->查看已安装更新方法二:在终端中输入systeminfo指令查一、评估方法【边界安全防护检查】网络设备应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间等，在发生严重入侵事件时应提供报警，必要时可配置为自动采取相应动作，及时进行处置。一、评估方法【边界安全防护检查】工控主机应关闭不必要的端口，如有特殊情况请说明，建议关闭的端口有137，138，139，445，123，1900;终端中输入netstat–ano可以查看系统当前开启的TCP/UDP端口;应对不需要的服务等进行禁用，运行#compmgmt.msc禁用多余服务，不需使用时建议关闭的服务如下:Alerter、Clipbook、ComputerBrowser、Messenger、RemoteRegistryService、RoutingandRemoteAccess、SimpleMailTrasferProtocol(SMTP)等一、评估方法【身份认证检查（工控主机）】运行gpedit.msc计算机配置->windows设置->安全设置>帐户策略->账户锁定策略，建议设置如下:帐户锁定时间->5分钟帐户锁定阀值->5次无效登录复位帐户锁定计数器->3分钟计算机管理->本地用户和组->用户，查看是否禁用guest用户，是否禁用或删除默认账户，是否根据用户使用权限分配账户检查文件权限选择系统重要文件夹:Windows\system\Windows\system32\config，右键选择“属性”-安全”，查看everyone组、users组和administrators组的权限设置一、评估方法【远程访问安全检查】远程管理查看系统中是否存在HTTP、FTP、Telnet协议，这三种通讯协议为明文传输协议，建议采用HTTPS和SSH协议替换上述相关协议检查交换机路由器是否开启远程管理，检查远程管理通讯协议检查操作系统是否开启远程管理，如果启用远程管理是采用第三方远程管理工具还是使用微软远程终端服务;如果使用第三方远程管理工具，检查该工具使用的加密方式;如果使用微软远程终端服务，确认服务器操作系统必须为WindowsServer2003以上版本，客户端操作系统必须为Windows2000以上版本一、评估方法【远程访问安全检查】审计策略查看系统审计策略运行“gpedit.msc”在计算机配置->windows设置->安全设置->本地策略->审核策略，建议至少配置为:

审核帐号登录事件(成功与失败)

审核帐号管理(成功与失败)

审核目录服务访问(成功)

审核登录事件(成功与失败)

审核对象访问(无审核)

审核策略更改(成功与失败)

审核特权使用(无审核)

审核过程跟踪(无审核)

审核系统事件(成功)二、评估方案组建评估技术队伍制定评估工作计划提供配合和所需材料建立评估工作文档访谈查阅组、现场评估组确定评估范围、基本情况梳理、开始评估、评估总结公司基本信息、网络基本信息、生产系统基本信息二、评估方案建立评估工作文档二、评估方案建立评估工作文档三、评估主要内容【静态检查方案】控制系统组件安全性静态检查是通过利用远程、本机检查以及现场调研的方式检查主机操作系统的安全性，控制系统组件安全性检查涵盖的工控系统内的应用组件包含且不限于如下：1、SCADA组态软件2、组态编程软件3、实时与历史数据库4、工控通信软件（IOServer）对控制系统组件安全性远程检查通过应用指纹特征发现被检查对象网络中正在运行的应用组件，利用漏洞指纹特征发现存在漏洞的应用组件版本，进行远程检查时不需要安装任何软件，不会影响系统的正常运行。检查内容目的检查方式控制系统组件运行情况检查检查目标网络内是否存在工控专用应用组件远程检查、本地检查（通过工控漏洞扫描系统扫描目标网络内存在的工控组件）组态软件权限设置情况检查检查组态软件是否设置了控制权限，而导致可以随意操作本地检查、现场调研检查（本地或调研确认组态软件是否设置用户及其等级权限）信息泄漏检查检查目标网络内的工控组件是否存在信息泄漏、未授权访问等安全问题人工安全测试（通过工控漏洞扫描系统扫描并获取到IP地址之后检查是否存在其他安全隐患）远程缓冲区溢出、远程拒绝服务漏洞检查检查目标网络内的工控组件是否存在已知的远程缓冲区溢出漏洞（通过工控漏洞扫描系统扫描并获取到的软件版本信息比对现有高危远程缓冲区溢出、远程拒绝服务漏洞信息，判断工控组件是否存在已知的远程缓冲区溢出漏洞）三、评估主要内容【动态检查方案】控制系统设备安全性检查会对被检查工段的工控设备的运行情况、厂商、型号进行调研并结合工控设备已存在安全漏洞、隐患进行研判，同时根据情况还将利用工控漏洞扫描系统或工控安全风险评估平台，通过轻量级的工控无损扫描技术，以工业特有通信协议与工控软硬件进行交互，搜索工控软硬件的必要信息。系统搜索过程中对工业控制系统及系统业务无干扰，不影响系统本身的正常运行。控制系统设备安全性检查的资产类型包含且不限于如下类型：1、PLC、控制器2、视频监控3、DCS4、串口服务器5、其他工控通信设备（通信网关）

三、评估主要内容检查内容目的检查方式PLC、控制器资产的版本发现与设备识别检查目标网络内是否存在工控设备资产，并且识别资产的版本信息

远程检查、本地检查、调研（通过工控漏洞扫描系统检查网络中存在的，通过调研PLC、控制器资产的默认配置检查检查目标网络内的工控资产是否为默认配置，并确认是否未修改任何默认设置本地检查或者调研（确认工控设备是否修改了默认设置