1、Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,#,网络安全典型告警及,清朗有序安全网络空间创建活劢,1,一、创建活,动,背景,二、创建活,动,目标与思路,三、创建活,动,内容与计划,四、典型告警案例汇编,内容提纲,2,2017年公司网络安全告警趋势,2017年,公司33家省级以上单位电力监控系统共収生网,络安全紧急告警102次、重要告警317434次。,11706,13502,11775,18389,37463
2、52535,52484,50967,68613,4月,5月,6月,7月,8月,9月,10月,11月,12月,2017年公司系统网络安全重要告警变化趋势,3,安全事,件类,18%,无序类,49%,垃圾干,扰类,33%,紧急告警情况,主机感染病毒,外部设备接入,无用网络服务未关闭等,网络结构缺陷导致报文串网,程序无效行为,安全类告警,18%,非安全告警,82%,2017年公司网络安全紧急告警分析,2017年収生的102次紧急告警,其中安全事件,18次,,设,备无序告警,50次,,垃圾干扰类告警,34次,。,4,安全类告警感染病毒,案例1,主机感染病毒,一、告警信息,某变电站非实时纵向加密认证装置
3、发,出紧急告警:,不,符合安全策略的访问,,*.*.27.150访问44383个非业务地址的445端口。,5,安全类告警感染病毒,二、原因分析,*.*.27.150为该保信子站主机IP地址,目标地址,不,固定,目的端口为TCP的445端,口,用于在局域网中访问各种共享文件夹或共享打印机,多种病毒可以利用445端口,对系统进行入侵。绊现场检查分析,确认该主机感染,了,W32.Downadup顽固病毒,(,也称Conficker蠕虫病毒)。该病毒于2008年被収现,主要利用Windows操作系,统MS08-067传播,也能借劣USB设备来传播感染。病毒収作时会自劢向同网段IP以,及随机生成的IP
4、収起445端口访问请求,其请求报文被纵向加密认证装置拦截产生告,警。,6,安全类告警感染病毒,三、解决方案,1采用Symantec(赛门铁,克,)软件W32.Downadup病毒与杀工具查杀。,2,关闭,Windows,操作系统的,445,端口,操作步骤参考国调中心关于印収,Windows,操作系统安全加固指导手册的通知(调网安,2017,169,号,文)加固项,Windows-02-01-02,。,7,非安全类告警无用服务未关闭,案例2,无用服务未关闭,一、告警信息,某电厂非实时纵向加密认证装置,发,出重要告警:,不,符合安全策略的访问,0.0.0.0,的68端口访问255.255.255.
5、255的67端口。,8,非安全类告警无用服务未关闭,二、原因分析,0.0.0.0为非实际通信地址,255.255.255.255为全段广播地址,UDP的68源端口,和UDP的67目的端口为DHCP协议(Dynamic,Host,Configuration,Protocol,,动,态,主机配置协议)端口,DHCP协议主要用于,动,态分配,IP,地址和配置信息。通过现场抓,包获,取,“0.0.0.0”对应MAC地址,并比对所有接入非实时数据网交换机内主机MAC,地址,定位了数据包为电厂内检修计划工作站(Windows操作系统),发,出。该工作,站开启了DHCP服务,其,发,出的0.0.0.0到25
6、5.255.255.255的DHCP请求被纵向加密,认证装置拦截后产生告警。,三、解决方案,关闭Windows操作系统的DHCP服务,操作步骤参考国调中心关于印収,Windows操作系统安全加固指导手册的通知(调网安2017169号文)加固项,Windows-02-01-01。,9,非安全类告警报文串网,案例3,不同数据网接入网之间报文串网,一、告警信息,某变电站非实时纵向加密认证装置収出重要告警:,不,符合安全策略的访问,源IP,*.*.134.165多次访问目的IP,*.*.20.7的102端口。,二、原因分析,源IP*.*.134.165为该变电站的保信子站服务器调度数据网省调接入网IP
7、地址,目,的端口102为正常业务端口,用于上送保信数据。目的IP,*.*.20.7为省调主站保护前置,机。现场接线情况如下图所示。,10,保信子站A,保信子站B,*.*.134.165,网调数据网,接入屏,网调接入网接,入路由器,纵向加密认证装置,*.*.213.253,II区实时交换机,省调数据网,接入屏,省调接入网接,入路由器,纵向加密认证装置,II区实时交换机,保护综合交换机,交,流,保,护,直,流,保,护,故,障,定,位,故,障,测,距,保信子站交换机,故障录波交换机,故,障,录,波,装,置,一,故,障,录,波,装,置,二,故,障,录,波,装,置,三,非安全类告警报文串网,*.*.20
8、7,省调主站保护前置机,11,非安全类告警报文串网,根据数据交互要求,保信子站A,保信子站B应分别接入网调数据网非实时,交换机、省调数据网非实时交换机,不省调主站保护前置机建立两条冗余的通,信链路,纵向加密认证装置中也配置了对应的访问控制策略。,但由于站内网络结构,不,规范,该变电站内两台保信子站服务器均通过综合,交换机接入网调接入网以及省调接入网,导致IP地址为*.*.134.165的保信子站,服务器収送的通信报文窜入网调接入网,被纵向加密认证装置拦截。,三、解决方案,对该变电站的保信子站接入电力调度数据网的网络结构进行整改,,取,消保,护综合交换机,现场的两套保信子站分别接入两套数据网接
9、入设备。整改后的,网络结构具体如下:,12,网调数据网,接入屏,网调接入网接,入路由器,纵向加密认证装置,*.*.213.253,II区实时交换机,保信子站A,省调数据网,接入屏,省调接入网接,入路由器,纵向加密认证装置,II区实时交换机,保信子站B,*.*.134.165,交,流,保,护,直,流,保,护,故,障,定,位,故,障,测,距,保信子站交换机,故障录波交换机,故,障,录,波,装,置,一,故,障,录,波,装,置,二,故,障,录,波,装,置,三,非安全类告警报文串网,*.*.20.7,省调主站保护前置机,13,非安全类告警程序无效行为,案例4,程序无效行为,一、告警信息,某光伏电站实时纵
10、向加密认证装置,发,出紧急告警:,不,符合安全策略的访问,,*.*.9.87访问14.17.41.189的随机端口。,二、原因分析,*.*.9.87为AGC服务器(Windows操作系统)的地址,14.17.41.189为非业务需,求地址。现场查看AGC服务器系统,查看资源监视器,锁定目的地址,“14.17.41.189”为搜狗输入法调用,搜狗输入法默认开启的自劢更新程序会主,动,连,接互联网更新服务器。,光伏电站AGC厂家在维护AGC设备数据时安装了搜狗输入法软件,输入法尝试,发,起对目的地址“14.17.41.189”的访问,此访问通过站内实时交换机并尝试穿越实时,纵向加密认证装置,但因访
11、问,不,匹配纵向加密认证装置的访问控制策略,导致报文被,纵向加密认证装置拦截产生告警。,14,非安全类告警程序无效行为,三、解决方案,卸载,不,必要的软件,操作步骤参考国调中心关于印収Windows操作系统安全,加固指导手册的通知(调网安2017169号文)加固项Windows-01-05-01。,15,创建活劢背景,国调中心关于开展清朗有序安全网络,空间创建活劢的通知(调网安201837号),为贯彻落实中华人民共和国网络安全法和电力监控,系统安全防护规定,提高网络安全监测和管控的效率,规,范设备、软件和人员的行为,切实保障电力监控系统的网络,安全,决定自2018年3月15日起,在公司调控系统
12、开展电力,监控系统清朗有序安全网络空间创建活劢(简称创建活劢)。,16,一、创建活,动,背景,二、创建活,动,目标与思路,三、创建活,动,内容与计划,四、典型告警案例汇编,内容提纲,17,标准化,管理,告警信,息治理,清理网络空间中无用的软,件、程序行为和网络连接,有序管理网络报文传输的范,围和用户的使用权限,规范现场作业的操作行为和,网络,安全保障措施,及时収现并处置网络安全风,险及事件,清朗,有序,安全,网络空间,创建活劢总体思路,国调中心关于加强电力监控系统安全防护,常态化管理的通知(调自2016102,号),18,创建活劢目标,四消除,1.,2.,消除垃圾软件,消除程序丌良行为,3.,
13、4.,1.,2.,1.,2.,3.,消除缺省用户,消除弱口令,两关闭,关闭丌必要的硬件接口,关闭丌必要的网络服务,三合理,合理网络结构参数,合理安全防护策略,合理用户权限配置,1.,一规范,运维操作行为规范,清朗,有序,安全,网络空间,1.,实现网络安全处置能力的显著提升,2.,保障电力监控系统网络空间的清朗、有序、安全,3.,为电力监控系统安全可靠运行创造良好环境,19,一、创建活,动,背景,二、创建活,动,目标与思路,三、创建活,动,内容与计划,典型告警案例汇编,内容提纲,20,四消除,两关闭,三合理,一规范,(1)排查在运系统,及时退出没有运行价值的,系统及设备;,(2)按最小安装原则,
14、卸载与生产业务工作无,关的软件,尤其是具有自,动,监听端口或对外发,送垃圾网络报文行为的无关软件;,(3)逐一检查持续运行或周期运行的进程,及,时消除用亍调试、测试等与正常运行无关的进,程;,(4)清理保存时间超过1年无价值的日志文,件。,消除垃圾软件,消除程序,不,良行为,消除缺省用户,消除弱口令,设备,系统,主机,软件,日志,服务,端口,进程,安,全,清除垃圾、强化管理,维护网络空间清朗,21,(1)消除业务系统或功能设计缺陷,取消无价,值的程序行为(如部分电量采集终端定期ping,网关);,(2)关闭输入法、防病毒等应用软件的互联网,更新服务。,主机,设备,系统,软件,日志,进程,端口,
15、消除垃圾软件,消除程序不良行为,消除缺省用户,消除弱口令,四消除,一规范,两关闭,三合理,服务,安,全,清除垃圾、强化管理,维护网络空间清朗,22,(1)删除或停用操作系统中的缺省账号(如,administrator、guest等),以及无效账号;,(2)删除或停用关系数据库中的缺省账号和无,效账号;,(3)删除或停用业务系统中的无效账号,及时,清理离岗人员账号。,消除垃圾软件,消除程序,不,良行为,消除缺省用户,消除弱口令,四消除,两关闭,三合理,一规范,安,全,清除垃圾、强化管理,维护网络空间清朗,23,(1)操作系统、关系数据库账号应按实名制要,求建立,幵采用复杂口令;,(2)业务系统账
16、号应按实名制要求建立,幵采,用复杂口令。,消除垃圾软件,消除程序,不,良行为,消除缺省用户,消除弱口令,四消除,两关闭,三合理,一规范,安,全,清除垃圾、强化管理,维护网络空间清朗,24,(1)综合采用删除驱,动,、物理封闭等措施关闭主机USB接口、光驱设备等硬,件接口(对亍必须使用的鼠标键盘、USB,KEY接口,应删除与存储相关的驱,动,);,(2)及时关闭计算机、网络设备、安防设备等设备运行中未使用的网络接口,和串口;,(3)禁用移,动,存储设备的自,动,播放或自,动,打开功能。,关闭不必要的硬件接口,四消除,两关闭,三合理,一规范,安,全,清除垃圾、强化管理,维护网络空间清朗,关闭,不,
17、必要网络服务,25,(1)主机仅安装和开启必须的服务,禁止与监控系统无关的服务开启,禁,用或关闭E-Mail、Web、FTP、telnet、rlogin、NetBIOS、DHCP、,SNMPV3以下版本、SMB等通用网络服务或功能;,(2)网络设备、安全防护设备禁用TCP,SMALL,SERVERS、UDP,SMALL,SERVERS、Finger、HTTP,SERVER、BOOTP,SERVER、DNS查询等不,必要的公共网络服务或功能;,(3)关闭业务系统不使用的私有的网络监听端口。,关闭,不,必要的硬件接口,四消除,两关闭,三合理,一规范,安,全,清除垃圾、强化管理,维护网络空间清朗,关
18、闭不必要网络服务,26,(1)合理设置主机路由,按业务需求配置明细路由,避免使用默认路由;,(2)消除软硬件设计缺陷导致的网络无法隔离、报文传输超出规定的网络接,口(如NR1102J通信插件的多个网络接口共用一个物理网卡导致网络报文串,网发送);,(3)避免调度数据网与内部局域网之间、不同调度数据网的接入网之间的交,叉互联;,(4)合理配置通信网关机、代理服务器等业务系统的网络参数(如正确配置,四消除,两关闭,三合理,一规范,业务通信链路IP地址及端口、及时删除不使用的通信链路等)。,安,全,合理配置、规范运维,确保网络空间有序,网络结构参数合理,安全防护策略合理,用户权限配置合理,27,(1
19、加强纵向加密认证装置、防火墙、隔离装置等设备防护策略的管理,建,立访问控制策略申请、审核、批准的规范化管理机制,严格落实白名单、最,小化等防护要求,结合业务需求,合理、精确地配置策略;,(2)消除纵向加密认证装置中的明通隧道和策略,防止通信链路两端纵向装,置的网络安全设置不匹配,提升纵向密通水平;,(3)梳理备调系统、备用节点业务安全策略的配置情况,避免错配、漏配。,四消除,两关闭,三合理,一规范,安,全,合理配置、规范运维,确保网络空间有序,网络结构参数合理,安全防护策略合理,用户权限配置合理,28,(1)合理配置操作系统账号及相关参数,保障Windows无administrator,用户
20、模式运行、Linux/Unix无root用户模式运行;,(2)按最小化原则,严格分配和管理操作系统、关系数据库、业务系统中各,类账号的权限;,(3)严格管理关系数据库、业务系统相关功能及参数,切断用户权限自,动,提,升的各种途径。,四消除,两关闭,三合理,一规范,安,全,合理配置、规范运维,确保网络空间有序,网络结构参数合理,安全防护策略合理,用户权限配置合理,29,四消除,两关闭,三合理,一规范,(5)利用网络安全管理平台对运维检修工作开展事后安全审计。,安,全,合理配置、规范运维,确保网络空间有序,运维操作行为规范,(1)运维单位制定网络安全运维工作制度,明确日常设备管理、巡视检查、,安全
21、问题处理等工作要求;,(2)运维单位配备,专,用调试设备(如调试工作站、,专,用移,动,介质等),加强,外来人员的安全教育、操作监护等措施;,(3)自劢化检修票中明确工作涉及的具体设备,落实作业步骤及安全措施,,严控运维过程中超级用户的使用;,(4)调试设备(工作站、拨号装置等)在工作完毕后,应及时从运行系统的,网络中断开;,30,四消除,两关闭,三合理,一规范,安,全,提高告警质量、防范安全风险,保障网络空间安全,减轻网络安全监视管理负担,(1)认真分析网络安全管理平台(内网安全监视平台)发现的告警信息及其,产生原因,从源头消除无效告警;,(2)建立网络安全运行情况定期通报机制,常态化发布告
22、警时间、丏用防护,设备在线率、纵向密通水平等运行指标,促进运行水平提升;,(3)建立网络安全告警分级处理和管理机制,提高告警处置效率和质量。,31,四消除,两关闭,三合理,一规范,安,全,提高告警质量、防范安全风险,保障网络空间安全,提高网络安全事件处置的能力,(1)调控机构制定网络安全运行监视及值班制度,明确值班监视、告警处,置、事件报告、网络安保等工作要求;,(2)调控机构和厂站运维单位明确网络安全责,任,人及其安全职责,编制网络,安全责,任,清单;,(3)按照规定定期开展电力监控系统等保测评及安全评估,幵落实发现问题,的彻底整改;,(4)制定网络安全事件应急预案,按事件级别建立分级响应措
23、施,提高处置,效率,年内开展一次应急演练;,(5)加强网络安全事件管理,下级单位发生紧急告警或网络事件时,应督促,事发单位报送告警事件分析处置报告,幵按规定对网络安全事件进行问责;,(6)严格防范违规连接外部网络、外部设备违规接入电力监视系统、主机感,染病毒(恶意代码)等典型网络安全事件。,32,一、启,动,部署,(3月15日-4月30日),各分中心、省调制定创建活,动,实施方案,明确调控中心、运维机构和业务支,撑单位的职责,细化活,动,推进计划,并将实施方案报送国调。,二、全面创建,(5月1日-10月31日),各分中心、省调组织学习典型告警案例汇编,统计、分析重要及以上的网络,安全告警,有序
24、推进清朗、有序、安全三方面工作,按月报送创建活,动,工作进,展。,三、总结评估,(11月1日-11月20日),各分中心、省调完成创建活,动,总结。国调(分中心)采用现场检查、资料评,审等方式,开展创建活,动,成效评估工作。12月20日前,完成创建活,动,成果和典型,经,验的总结。,创建活劢计划,33,提前制定技术解决方,案及现场实施方案,履行工作手续,落实安全,措施,确保安全运行不活劢,开展两丌误,収现和挖掘各单位的,先进绊验并进行通报,分级做好创建活劢的评估,和总结,源头治理、全程管控,全面覆盖、,不,留死角,认真分析、准确定位,各级调控机构统一开展,覆盖各级变电站(包括开,关站、换流站)和并网电,厂,全面梳理,逐项落实,稳妥推进,确保安全,统一行劢,分级实施,量化评估,总结经验,创建活劢工作要求,34,谢谢!,35,
浙ICP备2021020529号-1 | 浙B2-20240490 
