重要行业信息系统安全风险概述.ppt

* * * * * * * * * * * 拖库 态势 黑产 APT 金融 工业 运营商 重要的工业控制系统 1、核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热； 2、10人以上死亡或50人以上重伤； 3、5000万元以上直接经济损失； 4、影响100万人以上正常生活； 5、对国家安全、社会秩序、经济建设和公共利益产生重大影响等严重后果； 系统类型 1、数据采集与监控(SCADA)系统； 2、分布式控制系统(DCS)； 3、可编程控制器(PLC)； 4、其他； 拖库 态势 黑产 APT 金融 工业 运营商 针对SCADA应用层的简单基线检查 1、web端； 常见的web漏洞：SQL注入、权限绕过、中间件、上传漏洞、弱口令； 2、数据服务器 弱口令、溢出； 3、软件平台 溢出、嗅探； 拖库 态势 黑产 APT 金融 工业 运营商 你的门禁卡安全吗？ 无人值守厂站、中心机房监控盲点、第三方维护人员、路过的人？！ 拖库 态势 黑产 APT 金融 工业 运营商 拖库 态势 黑产 APT 金融 工业 运营商 对传统DDOS的防御？ NTP Reply Flood(感谢NSFOCUS同事林鑫的研究) Monlist命令：返回NTP进行过同步的最后600个客户端IP地址；(发小包回大包) 1、不能保证每台NTP服务器都有600个客户端相联,因此要伪造600个同步请求； 2、向多个NTP服务器发送monlist命令,伪造源地址为攻击目标; 攻击的成本 1、网络上约有100-200台稳定支持monlist命令的NTP服务器； 2、理想状况下一个monlist请求包可以返回自己大小300-500倍的返回包； 3、那么10M的攻击量可以返回接近3G-5G的流量 业务逻辑？——正常操作不等于合法操作 核心业务：CRM、4A平台 重要业务平台外网可以直接访问?!!! 重要业务平台(营业厅)在凌晨任然可以充值?!!! 第三方合作伙伴、软件供应商？ 运营商业务系统外包商质量参差不齐!!! 拖库 态势 黑产 APT 金融 工业 运营商 1、组网方式随意性强，缺乏统一规划 2、网络区域之间边界不清晰，互连互通没有统一控制规范 3、安全防护手段部署原则不明确 1、无法有效隔离不同业务领域，跨业务领域的非授权互访难于发现和控制 2、不能及时的发现安全事件和响应 3、第三方维护人员缺乏访问控制和授权 4、关键服务器、信息资产的缺乏重点防护 服务域 网 络 域 计算域 维护域 现状： 问题： 拖库 态势 黑产 APT 金融 工业 运营商 结合承载网、业务系统及支撑系统的现状，建立持续保障机制，能够更好的保障网络上承载的业务。在保证安全的同时，还要保障业务的正常运行和运行效率。 业务保障原则 业务 目标是保证业务的可靠性、连续性。 充分认知业务对象，严谨定位业务范围。 结合业务自身特性，准确识别和分析业务数据流。 拖库 态势 黑产 APT 金融 工业 运营商 明确防护需求，对系统、风险、安全需求进行分析和修正，从而建立组网原则。使整个网络变得更加简单，简单的网络结构便于设计防护体系。安全域划分并不是粒度越细越好，安全域数量过多过杂可能导致安全域的管理过于复杂和困难。 结构化原则 简化 目标是复杂的业务网络结构化、简单化。 明确业务防护需求，充分识别业务风险。 细化分解业务模块，便于使用、利于防护、利于管理。 整体结构、安全域之间、功能和边界的简化、简洁。 政府 每天大约有12个政府网站被国外组织攻击 绿盟科技——巨人背后的专家 绿盟科技——巨人背后的安全专家 谢谢！ 人有了知识，就会具备各种分析能力， 明辨是非的能力。 所以我们要勤恳读书，广泛阅读， 古人说“书中自有黄金屋。 ”通过阅读科技书籍，我们能丰富知识， 培养逻辑思维能力； 通过阅读文学作品，我们能提高文学鉴赏水平， 培养文学情趣； 通过阅读报刊，我们能增长见识，扩大自己的知识面。 有许多书籍还能培养我们的道德情操， 给我们巨大的精神力量， 鼓舞我们前进。 * * * * * * * * * * * * * * * * * * ? 2012 绿盟科技 ? 2012 绿盟科技 重要行业信息系统安全风险 李陆 （Lee） lilu2@ 爱生活，爱工作爱家庭，爱老婆爱远行，也爱宅在家玩技术我不是黑客，也不是大牛我是不起眼的人，我和你一样在信息安全里平凡我是Lee，我来自绿盟科技wataru@ 态势 拖库 能源 运营商 APT 金融 黑产 政府 网络战 运营商 工业 金融 政府 拖库 态