黄毅 杨海龙 聂恩旺

（1.邢台市气象局 河北省邢台市 054000 2.河北省气象局信息中心 河北省石家庄市 050021）

1 引言

近年来，网络安全形势严峻，网络安全事件频发，涵盖计算机、局域网、互联网等传统IT 领域和工业控制网络，并向物联网蔓延。

（1）勒索病毒于2017年5月12日全球爆发，到目前为止，不但发展出GlobeImposter、Phobos、Paradise 等多个勒索病毒家族，还出现多个升级版本和变种病毒；同时，除了利用钓鱼邮件、病毒伪装成应用软件、U 盘传播等这些传播手段，还出现利用泛微漏洞、SNMP 漏洞等漏洞，攻击互联网计算机，在攻击得手后，还会利用永恒之蓝，RDP 远程桌面漏洞，弱口令爆破等攻击手段进行横向传播。

（2）工业控制网络往往应用在重点行业，已成为黑客进行攻击和数据窃取的重要目标，工业控制网络如果遭受攻击，会造成严重的经济安全、公共安全问题，例如：2010年针对伊朗核设施的震网病毒攻击，2013年针对欧洲和北美能源公司的Havex 病毒攻击。工业控制网络病毒有Stuxnet 病毒(震网病毒)、Duqu 病毒、Flame病毒(火焰病毒)、Havex 病毒等；其中，Havex 病毒会扫描网络中支持OPC 协议，对OPC 请求作出响应的设备，或开放默认端口的设备，以搜集联网设备的设备信息，如果利用漏洞入侵成功，很可能造成控制数据遭窃取。

（3）随着“互联网+”以及物联网的快速发展，越来越多的智能设备出现在我们的生活中，以智能摄像头为例，多款智能摄像头产品，因设备漏洞、弱口令、未加密传输等因素，造成视频信息泄露，甚至设备被黑客操控，进行DDoS 攻击。

2 渗透测试

渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法。渗透测试是从保护系统的目的出发，收集测试对象的相关信息，分析开放端口及该端口可能存在的漏洞，以便更全面地找出安全隐患。

渗透测试执行标准（PTES: Penetration Testing Execution Standard）包含7 个阶段：

（1）前期交换；

（2）情报收集；

（3）威胁建模；

（4）漏洞分析；

（5）漏洞攻击；

（6）后渗透；

（7）报告。

3 《OWASP IoT Top 10 2018》

《OWASP IoT Top 10 2018》即2018年物联网10 大安全隐患，即在构建、部署或管理物联网系统时应该规避的十大问题，笔者参考《OWASP IoT Top 10 2018》，分析可能出现的安全隐患。

（1）弱密码、可猜测密码或硬编码密码；

（2）不安全的网络服务；

（3）不安全的生态接口；

（4）缺乏安全的更新机制；

（5）使用不安全或已遭启用的组件；

（6）隐私保护不充分；

（7）不安全的数据传输和存储；

（8）缺乏设备管理；

（9）不安全的默认设置；

（10）缺乏物理加固措施。

4 渗透测试数据分析及安全防护

笔者在网络安全检查中，使用渗透测试技术发现：部分气象观测设备存在打开21、23 端口，提供FTP、telnet 登录；存在匿名FTP 登录；WEB 登录无用户名密码认证等网络安全问题。

4.1 自建中心站

自建中心站配套部署区域站设备，区域站设备通信模块安装有SIM 卡，配置指定互联网地址及UDP 5XXX 端口；中心站服务器部署在内网中，通过互联网防火墙NAT 配置，中心站服务器对应端口将接收到区域站设备发送的观测数据，实现数据采集、实时显示和存储功能。

通过对互联网防火墙该条安全策略的日志记录进行分析，发现以下特征：

（1）区域站设备通信模块获取到的互联网地址，不固定，变化范围为一个C 类地址。

（2）互联网防火墙UDP 5XXX 端口，存在大量端口扫描，源地址中既有国内IP 地址，也有国外IP 地址；源端口中，一类为固定端口号的扫描，一类为递增端口号的扫描。

在中心站服务器上对UDP 5XXX 端口进行抓包，通过对抓包数据分析发现，区域站设备数据上传为明文，SIM 卡号和观测日期时次一目了然；通过长时间抓包对比，不难判断出其中的各项观测数据。

网络安全防护方法：

可以通过在互联网防火墙上增加安全策略，只允许区域站设备通信模块的C 类地址可以访问中心站服务器端口，并阻止对应的ANY 地址连接，以确保中心站软件不会接收到异常数据，影响正常数据接收。

参考《OWASP IoT Top 10 2018》第7 项不安全的数据传输和存储，建议对区域站设备气象数据传输和处理做加密处理。

在实际业务应用中，区域站设备通讯模块配置为运营商专用APN 网络，通过防火墙日志分析，可以判断区域站数据是否发送到防火墙，从而判断为区域站通信模块故障，或中心站数据处理软件故障；通过数据抓包可以判断是否有异常数据。

4.2 水汽观测设备

该水汽观测设备为嵌入式开发设备，开放21 和80 端口。21端口为vsftpd 服务，存在允许匿名登录的问题；80 端口为WEB 服务，无用户名密码认证，可直接访问设备，查看设备参数和配置。

网络安全防护方法：参考《OWASP IoT Top 10 2018》第3 项不安全的生态接口，缺乏认证/授权，建议增加用户名密码认证机制，并配置复杂密码；或者利用交换机ACL，限制仅指定的管理IP 地址可以访问水汽观测设备的21 和80 端口。

4.3 DPZ1型综合集成硬件控制器

DPZ1 型综合集成硬件控制器（简称DPZ1 控制器），为观测站核心设备，可以将多个串口数据转换为标准的TCP/IP 协议数据。DPZ1 控制器通过光纤转换器与业务计算机相连，业务计算机安装有SMOPORT 驱动程序，实现将气象采集数据发送至业务计算机ISOS 软件上。

DPZ1 控制器设置IP 地址为192.168.1.1，业务计算机安装有双网卡，与DPZ1 控制器连接的网卡（A 卡）设置IP 地址为192.168.1.2，不配置网关地址，与业务内网连接的网卡（B 卡）配置网关地址。

笔者在勒索病毒防护中，为了监测勒索病毒针对445 端口的攻击，在互联网防火墙和内网防火墙（广域网防火墙）中配置了安全策略，对445 端口的访问进行日志记录，在互联网防火墙日志中，出现源地址为业务计算机，目的地址为192.168.1.X 地址的445 端口访问，该类日志引起了笔者的警惕。

以目的地址为192.168.1.3 的445 端口访问为例，根据业务计算机两块网卡的路由信息，因为配置为192.168.1.2 的网卡没有设置网关，目的地址为192.168.1.3 的数据包转发到默认网关（B 卡）上；核心交换机上存在0.0.0.0 的指向互联网防火墙的静态路由，因此将数据包转发到互联网防火墙上。由此可以判断出业务计算机已感染勒索病毒，且勒索病毒已对DPZ1 控制器进行了扫描，目前，已多次发现业务计算机感染勒索病毒，出现的故障多为业务计算机蓝屏或死机，DPZ1控制器未出现故障。如果随着勒索病毒版本升级，出现影响DPZ1 控制器，影响与DPZ1 控制器进行通信的恶意病毒，将严重影响数据采集。

正常情况下，在业务计算机上运行 netstat -ano 命令，会发现源地址为192.168.1.2， 源端口为4002 和4004，目的地址为192.168.1.1（DPZ1 控制器），目的端口为8000 的连接，如果业务计算机感染勒索病毒，运行 netstat -ano | findstr ":445" 命令，将发现大量445 端口连接。

笔者搭建了实验环境，对DPZ1 控制器进行了端口扫描，除开放的8000 端口，扫描发现还开放了21 端口和23 端口，分别对应vsftpd服务和telnet服务，这两个服务为进行设备检查和版本升级用；尽管存在用户名密码认证和登录失败次数退出功能，但笔者认为这两个端口易遭受用户名密码爆破攻击。

实际上，黑客已经利用产品漏洞，对工业控制网络的管理型交换机、高级以太网网关设备、串口通讯服务器等设备进行了攻击，在国家信息安全漏洞共享平台（CNVD）上，Moxa 多款设备存在漏洞，其中NPort 串口通讯服务器产品存在漏洞有：Moxa NPort W2x50A 操作系统命令注入漏洞、Moxa NPort W2x50A 操作系统命令注入漏洞、Moxa NPort W2150A and W2250A 未授权访问漏洞等。因此，DPZ1 控制器同样需要做好网络安全防护。

网络安全防护方法：参考《OWASP IoT Top 10 2018》第2 项不安全的网络服务，业务计算机的445、3389 等端口会遭到勒索病毒攻击，应尽量关闭这些端口；如果确为业务需要，可以利用交换机ACL，限定仅指定的IP 地址可以访问，避免遭受勒索病毒攻击；使用netstat -ano | findstr ":445" 命令和netstat -ano | findstr "192.168.1.1"命令对连接情况进行监控，及时发现勒索病毒攻击和针对DPZ1 21、23 端口的攻击；业务计算机及时更新漏洞补丁，如果发现感染勒索病毒，使用专杀工具，及时查杀；定时对重要数据进行异机备份，熟练掌握备份计算机更换。

5 总结

本文通过对三类观测设备进行信息收集和漏洞探测，参考《OWASP IoT Top 10 2018》，分析了可能出现的安全隐患，根据发现的问题，提出了具有针对性的网络安全防护方法。以遏制勒索病毒内网传播为例，网络安全防护需要省市县联防联动，从最基础的终端防护，到各种安全设备信息共享，智能识别，构建勒索病毒网络安全防护体系，达到对勒索病毒攻击进行监控和溯源的目的；同时，将勒索病毒攻击限制在有限的区域内，避免全网攻击，造成病毒扩散。

渗透测试是网络安全防护行之有效的方法，针对不同的观测设备，进行信息收集和漏洞探测，从而制定具体的网络安全防护方法，可以有效的提高网络安全防护能力，以保障观测数据的正常采集和传输。