山东交警总队数据中心项目交流.ppt

1、重要行业信息系统安全风险,李陆 （Lee） ,爱生活，爱工作爱家庭，爱老婆爱远行，也爱宅在家玩技术我不是黑客，也不是大牛我是不起眼的人，我和你一样在信息安全里平凡我是Lee，我来自绿盟科技,态势,拖库,能源,运营商,APT,金融,黑产,政府,网络战,运营商,工业,金融,政府,拖库,态势,黑产,APT,金融,工业,运营商,4-6亿,拖库,态势,黑产,APT,金融,工业,运营商,飞流直下三千尺，疑似银河落九天,娉娉袅袅十三余，豆蔻梢头二月初,姑苏城外寒山寺,鱼和熊掌不可兼得,拖库,态势,黑产,APT,金融,工业,运营商,拖库,态势,黑产,APT,金融,工业,运营商,APT特点及趋势周密完善且目标明

2、确的信息搜集不计成本的挖掘/购买0day漏洞多种方式组合渗透、定向扩散长期持续攻击,拖库,态势,黑产,APT,金融,工业,运营商,2005,06,07,08,09,10,11,12,13,14,暗鼠行动,伊朗核电站病毒,夜龙攻击,极光行动,拖库,态势,黑产,APT,金融,工业,运营商,拖库,态势,黑产,APT,金融,工业,运营商,终端机安全架构上分为现金类自助终端(有现金交互)和非现金类自助终端国内应用：银行、运营商、税务、政府、证券、传媒X86架构，windows操作系统,拖库,态势,黑产,APT,金融,工业,运营商,全触摸型自助服务终端机数字型：提供只有数字和基本功能按键的虚拟键盘；字母型

3、：提供英文字母（有些有符号）、数字虚拟键盘；无键盘、虚拟键盘型,拖库,态势,黑产,APT,金融,工业,运营商,金融类：自助缴费机、自助查询机、自助订票机等其他：排队机、优惠卷打印机等,拖库,态势,黑产,APT,金融,工业,运营商,键盘集成型自助服务终端机带触摸板的非标准金属键盘(屏蔽了shift,ctrl,alt,tab,win等功能键)数字加密盘型,拖库,态势,黑产,APT,金融,工业,运营商,金融类：自助报税机、自助订票机、网银体验机等其他：自助查询机等,拖库,态势,黑产,APT,金融,工业,运营商,通用保护程序屏蔽了功能键：ctrl、shift、alt、win、tab、鼠标右键等；保持自

4、身程序始终处于所有程序前段，并保持全屏；程序出错或结束自动锁屏并自动重启程序；只能允许访问自身域名(含子域名)及内网资源；禁止下载运行程序，自动结束当前窗口的系统交互(如:浏览附件）,拖库,态势,黑产,APT,金融,工业,运营商,“帮助提示”1、将鼠标指针移至Flash界面、文字、控件按压超X秒弹出菜单;2、将某个控件、文字压按并拖拽到其他控件,触发错误窗口;3、输入错误字符触发弹窗；4、浏览器绕过；5、输入法绕过；6、蓝牙配对绕过；7、软件升级绕过；,拖库,态势,黑产,APT,金融,工业,运营商,“第三方交互”1、利用“打印”打印机调用；2、利用证书交互导入/导出；3、第三方组件、控件调用；

5、4、邮件地址超链接调用outlook；5、跨站；,拖库,态势,黑产,APT,金融,工业,运营商,“畸形数据”与架构问题1、提交畸形数据；2、通过非现金终端入侵现金终端；3、ATM自身架构问题；,出入钞闸口、读卡器通常是自身架构比较容易出问题的地方，插卡后ATM会检测出入钞模块、读卡器模块、打印机等硬件是否正常,如果必要硬件状态异常或者ATMC无法连接ATMP则会停止交易，在停止交易的过程中ATMC最容易产生错误；,拖库,态势,黑产,APT,金融,工业,运营商,拖库,态势,黑产,APT,金融,工业,运营商,专门攻击工业控制系统软件,震网病毒Stuxnet 的攻击目标直指西门子公司的SIMATIC

6、 WinCC 系统，这是一种运行于Windows平台的数据采集与监视控制（SCADA）系统，被广泛应用于钢铁、汽车、电力、运输、水利、化工、石油等工业领域。Stuxnet 利用了该系统的两个漏洞。这是一次专门针对工业控制系统的攻击变电站61860规约,拖库,态势,黑产,APT,金融,工业,运营商,重要的工业控制系统1、核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热；2、10人以上死亡或50人以上重伤；3、5000万元以上直接经济损失；4、影响100万人以上正常生活；5、对国家安全、社会秩序、经济建设和公共利益产生重大影

7、响等严重后果；系统类型1、数据采集与监控(SCADA)系统；2、分布式控制系统(DCS)；3、可编程控制器(PLC)；4、其他；,拖库,态势,黑产,APT,金融,工业,运营商,针对SCADA应用层的简单基线检查1、web端；常见的web漏洞：SQL注入、权限绕过、中间件、上传漏洞、弱口令；2、数据服务器弱口令、溢出；3、软件平台溢出、嗅探；,拖库,态势,黑产,APT,金融,工业,运营商,你的门禁卡安全吗？无人值守厂站、中心机房监控盲点、第三方维护人员、路过的人？！,拖库,态势,黑产,APT,金融,工业,运营商,拖库,态势,黑产,APT,金融,工业,运营商,对传统DDOS的防御？NTP Repl

8、y Flood(感谢NSFOCUS同事林鑫的研究)Monlist命令：返回NTP进行过同步的最后600个客户端IP地址；(发小包回大包)1、不能保证每台NTP服务器都有600个客户端相联,因此要伪造600个同步请求；2、向多个NTP服务器发送monlist命令,伪造源地址为攻击目标;攻击的成本1、网络上约有100-200台稳定支持monlist命令的NTP服务器；2、理想状况下一个monlist请求包可以返回自己大小300-500倍的返回包；3、那么10M的攻击量可以返回接近3G-5G的流量业务逻辑？正常操作不等于合法操作核心业务：CRM、4A平台重要业务平台外网可以直接访问?!重要业务平台(

9、营业厅)在凌晨任然可以充值?!第三方合作伙伴、软件供应商？运营商业务系统外包商质量参差不齐!,拖库,态势,黑产,APT,金融,工业,运营商,1、组网方式随意性强，缺乏统一规划2、网络区域之间边界不清晰，互连互通没有统一控制规范3、安全防护手段部署原则不明确,1、无法有效隔离不同业务领域，跨业务领域的非授权互访难于发现和控制2、不能及时的发现安全事件和响应3、第三方维护人员缺乏访问控制和授权4、关键服务器、信息资产的缺乏重点防护,现状：,问题：,拖库,态势,黑产,APT,金融,工业,运营商,结合承载网、业务系统及支撑系统的现状，建立持续保障机制，能够更好的保障网络上承载的业务。在保证安全的同时，

10、还要保障业务的正常运行和运行效率。,业务保障原则,业务,目标是保证业务的可靠性、连续性。充分认知业务对象，严谨定位业务范围。结合业务自身特性，准确识别和分析业务数据流。,拖库,态势,黑产,APT,金融,工业,运营商,明确防护需求，对系统、风险、安全需求进行分析和修正，从而建立组网原则。使整个网络变得更加简单，简单的网络结构便于设计防护体系。安全域划分并不是粒度越细越好，安全域数量过多过杂可能导致安全域的管理过于复杂和困难。,结构化原则,简化,目标是复杂的业务网络结构化、简单化。明确业务防护需求，充分识别业务风险。细化分解业务模块，便于使用、利于防护、利于管理。整体结构、安全域之间、功能和边界的简化、简洁。,政府,每天大约有12个政府网站被国外组织攻击,绿盟科技巨人背后的专家,P军队、公安涉密,绿盟科技巨人背后的安全专家,谢谢！,