威胁分析威胁库-2017工业控制系统信息安全峰会.PPT

现状 天然气调度系统架构 现状 供水调度系统架构 现状 电力调度系统架构 现状→应对 构建工控威胁监测与感知平台 现状与受到的威胁 监测与检测设备接入方式 构建工控威胁监测与感知平台 工控系统设备检测包括： 弱点检测： 对工控设备进行低风险扫描，探测脆弱点所在，挖掘潜在威胁 资产 探查 弱点 检测 流量 解析 风险 评估 流量解析： 深入解析工控协议流量，检测异常行为流量、进行中的入侵 资产探查： 探查网络环境中的工控设备，准确获取设备信息 风险评估： 结合权威知识库，以及等级保护合规要求，对目标工控系统进行全方位检查 工控系统检测 风险 评估 问卷自查+权威知识库 结合问卷自查完成工控系统及单位的信息收集； 利用数据分析生成多维度报告； 摸清系统基础数据，掌握真实情况； 问卷标准严格依据行业标准、国内标准、国内标准； 工控系统检测 资产探查 资产探查+风险分析 资产信息可通过自动设备识别与资产手动录入的方式相结合； 对资产信息进行定向安全性分析，结合数据标准和知识库定向监察资产安全性； 给出详细安全性分析：资产风险详情、评分、安全风险建议； 工控系统检测 弱点检测 威胁分析+威胁库 探测脆弱点所在，挖掘潜在威胁； 制定检测任务模板，一键下发检测任务； 针对检测结果全方位智能评分； 系统配置各大主流工控设备厂商的设备协议； 应对工控设备的特殊性，特采用了低风险的指纹识别探测方式，并添加了对传统设备的检测方法，以适应所有设备类型。 工控设备漏洞检查 全面统计漏洞扫描结果，多方面进行分析。给出CVE/Bugtraq/CNCVE/CNNVD编号、CVSS评分等与修复建议 工控设备漏洞检查 工控系统检测 流量解析 镜像模式+离线模式 针对多种攻击手段和入侵方式，建立特征匹配库； OSI模型分析+异常行为分析+协议流量分析 自定义采集时间、数据总量、指定协议； 流量镜像与弱点监测同步进行，节省检查时间。 工控流量分析工具 按层次对流量进行统计分析，包括：时间点、流速、总量、分布等，进行异常发现 * * * * * * * 系统漏洞扫描工具实现了对Microsoft Windows XP/2003/Vista/2008/7、Sun Solaris、HP Unix、IBM AIX、IRIX、Linux、BSD等操作系统进行漏洞扫描，以及Web、FTP、电子邮件等应用系统以及Office、Apache等常用软件漏洞扫描。同时也可以对网络设备进行漏洞扫描。可以自动统计总体漏洞数量、统计不同操作系统类型的主机数量、统计所有开发端口、可用帐户、可列出每一个漏洞所存在的主机、详细描述与修补建议。漏洞详细描述包括：漏洞名称、详述、修补方案、CVE/Bugtraq/CNCVE/CNNVD编号、CVSS评分等 * * 他们一直在研究全球各地的网络安全企业，在挑选上榜企业时一视同仁，任何企业不能凭借财力上榜。网络安全风险投资公司在制作网络安全500强榜单时，没有沿用以企业营收、规模、雇员人数等数据作为评估依据的传统做法，而是设计了一套在相当程度上基于专家和媒体反馈、比较主观性的新评估标准。其考量因素包括解决的问题、客户基础、首席信息安全官的反馈、IT安全评估者的反馈、风险投资、公开的产品评价、会议上的演示和介绍、企业营销和品牌推广、媒体报道等。 * * * * 工业控制系统的威胁与应对办法 黄进 安恒信息 副总裁 * 目录 CONTENTS 01 02 03 安恒简介 应对办法 现状威胁 工业控制系统安全威胁现状 01 2003年，美国俄亥俄州Davis-Besse的核电厂控制网络内的一台计算机被 微软的SQL Server蠕虫病毒所感染，导致其安全监控系统停机近5小时 2012年6月，一个名为“火焰”的电脑病毒入侵伊朗等中东国家，该病毒结构非常复杂，被称“超过已知任何一种”电脑病毒，能够收集信息情报是危险的间谍工具。已入侵多个国家和地区的大量电脑，目前还在不断变化中 Stuxnet是第一个专门定向攻击真实世界中工控设施的“蠕虫”病毒，引发了人们对工控系统安全的重视。 Stuxnet病毒传播途径 危害： 攻击伊朗核设施，使得伊朗核计划拖后两年，60%的个人电脑感染病毒； 全球超过45000个网络遭受攻击； 多个行业的领军企业的工控系统受此感染。 2014年6月，东欧黑客团体黑客“蜻蜓组织”， 利用恶意程序Havex(与震网类似)，对欧美地区的一千多家能源企业进行了攻击。已经使1000多家欧洲和北美能源公司受损。 这表明随着攻击者对工控系统研究的深入，针对工控系统攻击的恶意代码也将会层出不穷，而且还可能在攻击活动的背后具有国家支持的潜在因素。 2015年12月，乌克兰国家电网中被植入恶意软件“BlackEnergy”，导致大规模停电事件。恶