电力行业信息化交流.pptVIP

* Stuxnet蠕虫的攻击目标是SIMATIC WinCC软件。后者主要用于工业控制系统的数据采集与监控，一般部署在专用的内部局域网中，并与外部互联网实行物理上的隔离。为了实现攻击，Stuxnet蠕虫采取多种手段进行渗透和传播，如图3所示。 　　整体的传播思路是：首先感染外部主机；然后感染U盘，利用快捷方式文件解析漏洞，传播到内部网络；在内网中，通过快捷方式解析漏洞、RPC远程执行漏洞、打印机后台程序服务漏洞，实现联网主机之间的传播；最后抵达安装了WinCC软件的主机，展开攻击。 RPC远程执行代开漏洞（MS08-067）在此漏洞的系统收到精心构造的RPC请求时，可能允许远程执行代码。在Windows 2000、Windows XP和Windows Server 2003系统中，利用这一漏洞，攻击者可以通过恶意构造的网络包直接发起攻击，无需通过认证地运行任意代码，并且获取完整的权限。因此该漏洞常被蠕虫用于大规模的传播和攻击。 快捷方式文件解析漏洞（MS10-046）拷贝到U盘的DLL文件有两个：~wtr4132.tmp和~wtr4141.tmp。后者Hook了kernel32.dll和ntdll.dll中的下列导出函数：FindFirstFileW FindNextFileW FindFirstFileExWNtQueryDirectoryFile ZwQueryDirectoryFile 实现对U盘中lnk文件和DLL文件的隐藏。因此，Stuxnet一共使用了两种措施（内核态驱动程序、用户态Hook API）来实现对U盘文件的隐藏，使攻击过程很难被用户发觉，也能一定程度上躲避杀毒软件的扫描。 打印机后台服务漏洞（MS10-061）Windows打印后台程序没有合理地设置用户权限。攻击者可以通过提交精心构造的打印请求，将文件发送到暴露了打印后台程序接口的主机的%System32%目录中。成功利用这个漏洞可以以系统权限执行任意代码，从而实现传播和攻击。 * 　(一)ERP网络应用的威胁。来自网络层面的威胁主要来自远程访问企业内部系统所造成的信息泄漏隐患。随着企业规模的不断扩展，对外的销售和物流 网络也随之扩大，出差的业务员和某些客户经常需要在异地远程访问企业网络资源。为此，ERP专门提供了B/S的访问模式，使得异地用户能够使用浏览器通过 虚拟专用网络VPN访问公司内部资源。由于异地访问行为不受约束，泄密行为时有发生，有些价值较高的商业机密有可能流失，比如企业产品的底价、设计图纸等 等。 　　此外，内部网络的窃听行为也给ERP系统的安全使用造成威胁。ERP系统应用时，其服务器端与客户端数据的传输，都是通过明文传输的，用户只需要在网络上安装一个监听软件，就可以全面的了解用户访问的内容，跳过客户端的权限设置，从而达到网络数据窃听的目的。 　　(二)ERP系统应用的威胁。如果ERP系统本身管理不当，也会存在数据泄露的危险。从ERP系统的角度出发，主要的安全威胁就是权限配置不当 所造成的。这类威胁主要在于敏感数据缺乏分级管理机制，比如某个报表，只要有查看权限的都能够看到全部信息，并且能够导出，这就给敏感数据造成了很大的威 胁。 　　(三)ERP系统漏洞的威胁。ERP系统的构建需要大量的软硬件系统，涉及到网络传输、Web浏览以及服务总线等多方面的技术，这些技术的实现 需要大量的软件，软件不可避免存在一些已知或者未知的漏洞。黑客能够利用这些漏洞获取ERP服务器的权限，从而扰乱系统的正常运行，并窃取重要的商业机 密。 * LOGO 电力行业信息化交流 祝亮 TelEmail:liang.zhu@ 电力信息业务基本情况 1 电力信息业务面临挑战 2 电力系统解决方案 3 电力信息业务基本情况 SDH/MSTP/RPR/Fiber IP/MPLS VPN/QinQ NGeN RMIS FMIS OA/MIS EAM/ERP DSM EMS/SCADA 视频会议 IP电话 EAI/DSS 电力行业信息系统 数据库服务器×2 双屏运行人员工作站×3 前置通信 服务器×2 主交换机 路由器 100M 实时监控系统 子站1 前置交换机 实时监控数据网 实时监控系统 子站n 报表工作站×2 维护工作站 1000M 安全隔离装置 WEB服务器 GPS 打印机×3 防火墙 磁盘阵列 10M/2M协议转换器 10M/2M协议转换器 立足之本 能量管理(EMS/SCADA)系统 某电力企业网络拓扑 SG-ERP实施情况 全面验收 江西 山东 河南 甘肃 电力信息业务基本情况 1 电力信息业务面临挑战 2 电力系统解决方案 3 电力信息业务面临挑战 伊朗布什尔核电站 能量管理(EMS/SCADA)系统 数据库服