2013-《绿盟安全研究报告》

刊首语勾画 2013 网络信息安全战略地图 2 赵粮 3-23 专家视角工业控制系统及其安全性研究李鸿培于旸忽朝俭曹嘉 3 移动互联趋势下的信息安全需求王卫东 10 MSS——与客户共建安全防护生态圈卢梁王延华 17 现有漏洞扫描系统局限性分析及改进张旭尹航 20 24-38 行业热点智能化识别、精细化控制、一体化扫描段继平 24 当政务云遇上等级保护冯冲 27 银行信息安全管理探讨（一）徐一丁 35 ——应用层防护 ,下一代防火墙需“三步走” 39-59 前沿技术 Oracle 数据库 TNS Listener 投毒攻击李志昕 39 安卓系统 root 方式研究赵亮 47 Mac OS X 操作系统安全分析陈锦 53 《2012 绿盟科技威胁态势报告》提要 2012 年十大安全事件 60-65 66-70 综合信息 71 安全公告 72-80 NSFOCUS 2012 年 11 月—2013 年 1 月之十大安全漏洞 1 72 刊首语勾画2013网络信息安全战略地图有道是“昔日王谢堂前燕 ,飞入寻常百姓家”, 从 2010 年以来沸沸扬扬的 APT 攻击 , 到 2012 年已经不再是国家对抗、网络战等似乎只有军队和政府机构才关注的威胁 , 越来越多的案例将 APT 引入了普通商业机构也需要严肃考虑的网络威胁 , 这些 APT 和各种定向攻击、或我们姑且称之为准 APT、NAPT, 或者通过特定的 0-day 漏洞制作的特定利用入侵关键信息系统 , 或者有针对性地运用了“免杀”、 “躲避”等技术来穿透反病毒系统和 IPS/IDS 系统的防护 , 短平快 , 偷取重要情报和商业机密。不夸张地说 , 有重要价值的信息资产 , 就会有 APT 或定向攻击的潜在威胁。威胁实实在在 , 我们该用什么武器来还击呢？编者认为或许可以从三个角度来勾画 2013 年的网络信息安全战略地图 , 第一是各种下一代安全产品 , 第二是安全管家服务 MSS 和安全 SaaS 或 SECaaS, 第三是工业控制系统的安全。下一代安全产品主要是指具备应用和用户感知能力、统一检测引擎和虚拟执行技术、白环境和灰度检测技术、云中安全智能、快速威胁响应和升级能力等特征的安全产品。相对于传统的防火墙、反病毒、入侵检测等产品 ,下一代安全产品的对抗能力、智能性、响应速度都大为提高 , 在对抗 APT 的战斗中非常关键。 MSS 服务并不是新鲜事物 , 早年的 MSS 主要是安全设备的简单维护管理或相关的人力外包。但是在下一代安全产品的语境下 ,MSS 服务是 NG 安全产品能够发挥最大效力的理想伙伴 , 可以明显加快对威胁的响应速度 , 从而减小受害时间窗口。SECaaS 则可以视为网络安全产品的 “云” 化, 下一代安全产品具备了在“云”中集成多种安全智能的能力 , 所以 ,SECaaS 是网络安全产品在云计算时代的一种天然的进化 , 必将在未来网络攻防武器库中扮演重要角色。工业控制系统是 APT 的主战场之一 , 没有之一可能有些夸张。不同于普通的网络环境 , 工业控制系统有自己独特的物理环境、协议、管理制度、ICT 产品供应链和生态环境等 , 因此也有自己独特的网络攻防地貌 , 识别其典型的漏洞和威胁无疑是启动工业控制系统攻防研究和建设的第一步。希望本期的十二篇文章能够给您带来 2013 年的一些共鸣和启发。 2 专家视角工业控制系统及其安全性研究战略研究部李鸿培忽朝俭安全研究部于旸西安分公司曹嘉关键词 : 工业控制系统安全威胁漏洞分析摘要 : 随着工业信息化的快速发展 , 电力、交通、石油化工等国家重要行业的工业控制系统的信息安全问题也变得越来越重要。本文在初步介绍工业控制系统的基本概念的基础上 , 首先对工业控制系统所面临的安全问题及其与传统 IT 系统的差异性进行了讨论；接着对工业控制系统的协议安全性及相关漏洞情况进行了统计分析。最后针对当前工业控制系统所面临的安全威胁及相关问题提出了针对性的安全建议。为代表的一系列针对工业控制系统的信息安全事件 [5] 表明 : 一、引言工业控制系统近年来面临的安全威胁日益严重 , 相关安全事件着工业信息化进程的快速推进 , 信息、网络以及物联网技术随急剧增加（如图 1 所示）。在智能电网、智能交通、工业生产系统等工业控制领域得到对电力、石油化工、核工业等国家重要行业的工业控制系统进了广泛的应用 , 极大地提高了企业的综合效益。为实现系统间的协同行攻击 , 已成为敌对国家、恐怖组织以及犯罪分子为达到其政治、军和信息分享 , 工业控制系统也逐渐打破了以往的封闭性 : 采用标准、事、经济或信仰等目的的新型威胁手段 [6]。通用的通信协议及硬软件系统 , 甚至有些工业控制系统也能以某些方攻击者具有明确的攻击目标 , 在攻击时也多采用新的技术手式连接到互联网等公共网络中 , 这使得工业控制系统也必将面临病段以及有组织的、持久的协同攻击模式 [6], 诸如高级持续性威胁（Advanced Persistent Threat,APT）的新型攻击手段已经对安全厂毒、木马、黑客入侵、拒绝服务等传统的信息安全威胁。近年来 , 以“伊朗布什尔核电站遭到‘震网病毒’攻击” [2][3][4] 商及相关研究机构的安全服务能力提出了严峻的挑战。 3 专家视角重要组成部分 , 已成为国家空间安全和信二、工业控制系统概述息安全的关注热点。其安全性甚至被提升到了 " 国家安全战略 " 的高度 , 并在政策、工业控制系统（ICS-Industrial control 标准、技术、方案等方面展开了积极应对 system）一般是指由计算机设备与工业过程控 [7][8][9][10][11]。制部件组成的自动控制系统 , 目前被广泛地应但由于国内工业控制系统及其工作环用于电力、水处理、石油化工、交通运输、制境的相对封闭性 , 国内安全研究团队的研造业等行业。国际自动化协会（ISA）与 IEC/ 备注 : 根据 ICS-CERT（US-CERT 下究对象以前多集中在互联网和传统的信息 TC65/WG 整合后发布 IEC 62443《工业过程属的专门负责工业控制系统的应急响应小系统上 , 很少关注工业控制系统 , 自然不会测量、控制和自动化网络与系统信息安全》对组）的统计 ,2011 年共上报工业控制系统相有太多的工业控制系统安全相关的研究成工业控制系统给出了定义 , 即 “ : 工业控制系统关的安全事件 198 起 , 较 2009 和 2010 年果和实践经验。同时 , 工业控制系统提供商包括了制造和加工厂站和设施、建筑环境控制均有较大幅度上升 , 安全事件主要集中在能则更关注工业控制系统的可用性和实时性 , 系统、地理位置上具有分散操作性质的公共事源、水利、化工、政府机构以及核设施等领域 , 对系统的安全性问题及防护措施也涉及不业设施（如电力、天然气）、石油生产以及管线其中能源行业的安全事件在三年间共 52 起 , 多。虽然在有利政策、用户需求及工业控等进行自动化或远程控制的系统。 ” 占安全事件总数的 21%。制系统安全事件的驱动下 , 国内安全界在工图 1 ICS-CERT 统计的工业控制系统安全事件虽然针对工业控制系统 (ICS) 的安全业控制安全方面已有部分研究成果问世 [2], 事件与互联网上的攻击事件相比 , 数量少得但仍缺乏对工业控制系统安全性的系统化多 , 但由于 ICS 对于国计民生的重要性 , 每分析与讨论。通常情况下工业控制系统包括但不限于以下子系统或功能组件（如图 2）: 数据采集与监控系统（SCADA）、分布式过程控制系统（DCS）、可编程逻辑控一次事件都会带来巨大的影响和危害。　本文将结合绿盟科技在安全攻防及漏洞　　工业控制系统脆弱的安全状况以及日分析方面的技术优势 , 在了解工业控制系统益严重的攻击威胁 , 已引起了世界各国的高的基础上 , 期望能够系统地讨论工业控制系相关信息系统 , 如图形化界面、过程历度重视。尤其在 " 震网病毒 " 爆发后 , 工业统的系统脆弱性及其所面临的安全威胁 , 并史库、制造执行系统（MES）以及厂站信息控制系统作为国家关键基础设施（CIP）的据此给出我们的安全建议。管理系统 4 制器（PLC）、远程测控单元（RTU）、网络电子传感 / 监视 / 控制 / 诊断系统等专家视角采集的原始数据 , 需要放在特定的背景下分析才有意义 , 而且多是实时数据 , 因此对保密性的要求最低 , 这应是工业控制系统安全与传统 IT 信息系统安全的原则性区别之一。工业控制系统作为企业的核心生产运营系统 , 其工作环境具有严格的管理 , 外人很难进入；同时 , 系统自身也多与企业的办公网络（普通 IT）系统之间存在一定的隔离措施 , 与互联网也多处于物理隔离的状态 ; 而且 , 工业控制系统主要图 2 工业控制系统的系统架构相关组件功能的详细介绍（略 , 内容详由基于嵌入式操作系统（如 VxWorks、但在工业控制系统领域则有较大差 uCLinux、WinCE 等）及专用通信协议异。工业控制系统强调的是工业自动化过或通信规约（如 OPC、ModBus、DNP3 程及相关设备的智能控制、监测与管理。等）的工业控制设备或系统（PLC、RTU、它们在系统架构、设备操作系统、数据交 DCS、SCADA 等）组成。也就是说 , 工换协议等方面与普通 IT 信息系统存在较大业控制系统的相对封闭性以及其系统设备差异 , 而且更为关注系统的实时性、可控及通信规约的专有性 , 使得我们在考虑工在传统的信息安全领域 , 通常将保密性性及业务连续性 [1]。因此 , 在考虑工业控业控制系统安全性及应对策略时将与传统（Conﬁdentiality）、完整性（Integrity）和可