1、网络安全典型告警及网络安全典型告警及清朗有序安全网络空间创建活劢清朗有序安全网络空间创建活劢1ppt课件一、一、创建活创建活动动背景背景二、二、创建活创建活动动目标与思路目标与思路三、三、创建活创建活动动内容与计划内容与计划四、典型告警案例汇编四、典型告警案例汇编内容提纲内容提纲2ppt课件2017年公司网络安全告警趋势年公司网络安全告警趋势2017年,公司33家省级以上单位电力监控系统共収生网络安全紧急告警102次、重要告警317434次。1170613502117751838937463525355248450967686134月5月6月7月8月9月10月11月12月2017年公司系统网络
2、安全重要告警变化趋势年公司系统网络安全重要告警变化趋势3ppt课件安全事安全事件类件类18%无序类无序类49%垃圾干垃圾干扰类扰类33%紧急告警情况紧急告警情况主机感染病毒外部设备接入 无用网络服务未关闭等 网络结构缺陷导致报文串网 程序无效行为安全类告警安全类告警18%非安全告警非安全告警82%2017年公司网络安全紧急告警分析年公司网络安全紧急告警分析2017年収生的102次紧急告警,其中安全事件18次,设备无序告警50次,垃圾干扰类告警34次。4ppt课件安全类告警安全类告警感染病毒感染病毒案例案例1 主机感染病毒主机感染病毒一、告警信息一、告警信息某变电站非实时纵向加密认证装置发出紧急
3、告警:不符合安全策略的访问,*.*.27.150访问44383个非业务地址的445端口。5ppt课件安全类告警安全类告警感染病毒感染病毒二、原因分析二、原因分析*.*.27.150为该保信子站主机IP地址,目标地址不固定,目的端口为TCP的445端口,用于在局域网中访问各种共享文件夹或共享打印机,多种病毒可以利用445端口对系统进行入侵。绊现场检查分析,确认该主机感染了W32.Downadup顽固病毒(也称Conficker蠕虫病毒)。该病毒于2008年被収现,主要利用Windows操作系统MS08-067传播,也能借劣USB设备来传播感染。病毒収作时会自劢向同网段IP以及随机生成的IP収起4
4、45端口访问请求,其请求报文被纵向加密认证装置拦截产生告警。6ppt课件安全类告警安全类告警感染病毒感染病毒三、解决方案三、解决方案1采用Symantec(赛门铁克)软件W32.Downadup病毒与杀工具查杀。2关闭Windows操作系统的445端口,操作步骤参考国调中心关于印収Windows操作系统安全加固指导手册的通知(调网安2017169号文)加固项Windows-02-01-02。7ppt课件非安全类告警非安全类告警无用服务未关闭无用服务未关闭案例案例2 无用服务未关闭无用服务未关闭一、告警信息一、告警信息某电厂非实时纵向加密认证装置发出重要告警:不符合安全策略的访问,0.0.0.0
5、的68端口访问255.255.255.255的67端口。8ppt课件非安全类告警非安全类告警无用服务未关闭无用服务未关闭二、原因分析二、原因分析0.0.0.0为非实际通信地址,255.255.255.255为全段广播地址,UDP的68源端口和UDP的67目的端口为DHCP协议(Dynamic Host Configuration Protocol,动态主机配置协议)端口,DHCP协议主要用于动态分配 IP 地址和配置信息。通过现场抓包获取“0.0.0.0”对应MAC地址,并比对所有接入非实时数据网交换机内主机MAC地址,定位了数据包为电厂内检修计划工作站(Windows操作系统)发出。该工作站
6、开启了DHCP服务,其发出的0.0.0.0到255.255.255.255的DHCP请求被纵向加密认证装置拦截后产生告警。三、解决方案三、解决方案关闭Windows操作系统的DHCP服务,操作步骤参考国调中心关于印収Windows操作系统安全加固指导手册的通知(调网安2017169号文)加固项Windows-02-01-01。9ppt课件非安全类告警非安全类告警报文串网报文串网案例案例3 不同数据网接入网之间报文串网不同数据网接入网之间报文串网一、告警信息一、告警信息某变电站非实时纵向加密认证装置収出重要告警:不符合安全策略的访问,源IP*.*.134.165多次访问目的IP*.*.20.7的
7、102端口。二、原因分析二、原因分析源IP*.*.134.165为该变电站的保信子站服务器调度数据网省调接入网IP地址,目的端口102为正常业务端口,用于上送保信数据。目的IP*.*.20.7为省调主站保护前置机。现场接线情况如下图所示。10ppt课件保信子站A保信子站B*.*.134.165网调数据网接入屏网调接入网接入路由器纵向加密认证装置*.*.213.253II区实时交换机省调数据网接入屏省调接入网接入路由器纵向加密认证装置II区实时交换机保护综合交换机交流保护直流保护故障定位故障测距保信子站交换机故障录波交换机故障录波装置一故障录波装置二故障录波装置三非安全类告警非安全类告警报文串网
8、报文串网*.*.20.7省调主站保护前置机11ppt课件非安全类告警非安全类告警报文串网报文串网根据数据交互要求,保信子站A,保信子站B应分别接入网调数据网非实时交换机、省调数据网非实时交换机,不省调主站保护前置机建立两条冗余的通信链路,纵向加密认证装置中也配置了对应的访问控制策略。但由于站内网络结构不规范,该变电站内两台保信子站服务器均通过综合交换机接入网调接入网以及省调接入网,导致IP地址为*.*.134.165的保信子站服务器収送的通信报文窜入网调接入网,被纵向加密认证装置拦截。三、解决方案三、解决方案对该变电站的保信子站接入电力调度数据网的网络结构进行整改,取消保护综合交换机,现场的两
9、套保信子站分别接入两套数据网接入设备。整改后的网络结构具体如下:12ppt课件网调数据网接入屏网调接入网接入路由器纵向加密认证装置*.*.213.253II区实时交换机保信子站A省调数据网接入屏省调接入网接入路由器纵向加密认证装置II区实时交换机保信子站B*.*.134.165交流保护直流保护故障定位故障测距保信子站交换机故障录波交换机故障录波装置一故障录波装置二故障录波装置三非安全类告警非安全类告警报文串网报文串网*.*.20.7省调主站保护前置机13ppt课件非安全类告警非安全类告警程序无效行为程序无效行为案例案例4 程序无效行为程序无效行为一、告警信息一、告警信息某光伏电站实时纵向加密认
10、证装置发出紧急告警:不符合安全策略的访问,*.*.9.87访问14.17.41.189的随机端口。二、原因分析二、原因分析*.*.9.87为AGC服务器(Windows操作系统)的地址,14.17.41.189为非业务需求地址。现场查看AGC服务器系统,查看资源监视器,锁定目的地址“14.17.41.189”为搜狗输入法调用,搜狗输入法默认开启的自劢更新程序会主动连接互联网更新服务器。光伏电站AGC厂家在维护AGC设备数据时安装了搜狗输入法软件,输入法尝试发起对目的地址“14.17.41.189”的访问,此访问通过站内实时交换机并尝试穿越实时纵向加密认证装置,但因访问不匹配纵向加密认证装置的访
11、问控制策略,导致报文被纵向加密认证装置拦截产生告警。14ppt课件非安全类告警非安全类告警程序无效行为程序无效行为三、解决方案三、解决方案卸载不必要的软件,操作步骤参考国调中心关于印収Windows操作系统安全加固指导手册的通知(调网安2017169号文)加固项Windows-01-05-01。15ppt课件创建活劢背景创建活劢背景国调中心关于开展清朗有序安全网络空间创建活劢的通知(调网安201837号)为贯彻落实中华人民共和国网络安全法和电力监控系统安全防护规定,提高网络安全监测和管控的效率,规范设备、软件和人员的行为,切实保障电力监控系统的网络安全,决定自2018年3月15日起,在公司调控
12、系统开展电力监控系统清朗有序安全网络空间创建活劢(简称创建活劢)。16ppt课件一、一、创建活创建活动动背景背景二、二、创建活创建活动动目标与思路目标与思路三、三、创建活创建活动动内容与计划内容与计划四、典型告警案例汇编四、典型告警案例汇编内容提纲内容提纲17ppt课件标准化管理告警信息治理清理网络空间中无用的软件、程序行为和网络连接有序管理网络报文传输的范围和用户的使用权限规范现场作业的操作行为和网络,安全保障措施及时収现并处置网络安全风险及事件清朗有序安全网络空间创建活劢总体思路创建活劢总体思路国调中心关于加强电力监控系统安全防护常态化管理的通知(调自2016102号)18ppt课件创建活
13、劢目标创建活劢目标四消除四消除1.2.消除垃圾软件消除程序丌良行为3.4.1.2.1.2.3.消除缺省用户消除弱口令两关闭两关闭关闭丌必要的硬件接口关闭丌必要的网络服务三合理三合理合理网络结构参数合理安全防护策略合理用户权限配置1.一规范一规范运维操作行为规范清朗有序安全网络空间1.实现网络安全处置能力的显著提升2.保障电力监控系统网络空间的清朗、有序、安全3.为电力监控系统安全可靠运行创造良好环境19ppt课件一、一、创建活创建活动动背景背景二、二、创建活创建活动动目标与思路目标与思路三、三、创建活创建活动动内容与计划内容与计划典型告警案例汇编典型告警案例汇编内容提纲内容提纲20ppt课件四
14、消除四消除两关闭三合理一规范(1)排查在运系统,及时退出没有运行价值的)排查在运系统,及时退出没有运行价值的系统及设备;系统及设备;(2)按最小安装原则,卸载与生产业务工作无)按最小安装原则,卸载与生产业务工作无关的软件,关的软件,尤其是具有自尤其是具有自动动监听端口或对外发监听端口或对外发送垃圾网络报文行为的无关软件;送垃圾网络报文行为的无关软件;(3)逐一检查持续运行或周期运行的进程,及)逐一检查持续运行或周期运行的进程,及时消除用亍调试、测试等与正常运行无关的进时消除用亍调试、测试等与正常运行无关的进程;程;(4)清理保存时间超过)清理保存时间超过1年无价值的日志文年无价值的日志文件。件
15、。消除垃圾软件消除垃圾软件消除程序不良行为消除缺省用户消除弱口令设备系统主机软件日志服务端口进程安 全清除垃圾、强化管理,维护网络空间清朗清除垃圾、强化管理,维护网络空间清朗21ppt课件(1)消除业务系统或功能设计缺陷,取消无价)消除业务系统或功能设计缺陷,取消无价值的程序行为(如部分电量采集终端定期值的程序行为(如部分电量采集终端定期ping网关);网关);(2)关闭输入法、防病毒等应用软件的互联网)关闭输入法、防病毒等应用软件的互联网更新服务。更新服务。主机设备系统软件日志进程端口消除垃圾软件消除程序不良行为消除程序不良行为消除缺省用户消除弱口令四消除四消除一规范两关闭三合理服务安 全清
16、除垃圾、强化管理,维护网络空间清朗清除垃圾、强化管理,维护网络空间清朗22ppt课件(1)删除或停用操作系统中的缺省账号(如)删除或停用操作系统中的缺省账号(如administrator、guest等),以及无效账号;等),以及无效账号;(2)删除或停用关系数据库中的缺省账号和无)删除或停用关系数据库中的缺省账号和无效账号;效账号;(3)删除或停用业务系统中的无效账号,及时)删除或停用业务系统中的无效账号,及时清理离岗人员账号。清理离岗人员账号。消除垃圾软件消除程序不良行为消除缺省用户消除缺省用户消除弱口令四消除四消除两关闭三合理一规范安 全清除垃圾、强化管理,维护网络空间清朗清除垃圾、强化管
17、理,维护网络空间清朗23ppt课件(1)操作系统、关系数据库账号应按实名制要)操作系统、关系数据库账号应按实名制要求建立,幵采用复杂口令;求建立,幵采用复杂口令;(2)业务系统账号应按实名制要求建立,幵采)业务系统账号应按实名制要求建立,幵采用复杂口令。用复杂口令。消除垃圾软件消除程序不良行为消除缺省用户消除弱口令消除弱口令四消除四消除两关闭三合理一规范安 全清除垃圾、强化管理,维护网络空间清朗清除垃圾、强化管理,维护网络空间清朗24ppt课件(1)综合采用删除驱综合采用删除驱动动、物理封闭等措施关闭主机物理封闭等措施关闭主机USB接口、光驱设备等硬接口、光驱设备等硬件接口(对亍必须使用的鼠标
18、键盘、件接口(对亍必须使用的鼠标键盘、USB KEY接口,应删除与存储相关的驱接口,应删除与存储相关的驱动动););(2)及时关闭计算机、网络设备、安防设备等设备运行中未使用的网络接口)及时关闭计算机、网络设备、安防设备等设备运行中未使用的网络接口和串口;和串口;(3)禁用移禁用移动动存储设备的自存储设备的自动动播放或自播放或自动动打开功能打开功能。关闭不必要的硬件接口关闭不必要的硬件接口四消除两关闭两关闭三合理一规范安 全清除垃圾、强化管理,维护网络空间清朗清除垃圾、强化管理,维护网络空间清朗关闭不必要网络服务25ppt课件(1)主机仅安装和开启必须的服务,禁止与监控系统无关的服务开启,禁)
19、主机仅安装和开启必须的服务,禁止与监控系统无关的服务开启,禁用或关闭用或关闭E-Mail、Web、FTP、telnet、rlogin、NetBIOS、DHCP、SNMPV3以下版本、以下版本、SMB等通用网络服务或功能;等通用网络服务或功能;(2)网络设备、安全防护设备禁用)网络设备、安全防护设备禁用TCP SMALL SERVERS、UDP SMALLSERVERS、Finger、HTTP SERVER、BOOTP SERVER、DNS查询等不查询等不必要的公共网络服务或功能;必要的公共网络服务或功能;(3)关闭业务系统不使用的私有的网络监听端口。)关闭业务系统不使用的私有的网络监听端口。关
20、闭不必要的硬件接口四消除两关闭两关闭三合理一规范安 全清除垃圾、强化管理,维护网络空间清朗清除垃圾、强化管理,维护网络空间清朗关闭不必要网络服务关闭不必要网络服务26ppt课件(1)合理设置主机路由,按业务需求配置明细路由,避免使用默认路由;)合理设置主机路由,按业务需求配置明细路由,避免使用默认路由;(2)消除软硬件设计缺陷导致的网络无法隔离、报文传输超出规定的网络接)消除软硬件设计缺陷导致的网络无法隔离、报文传输超出规定的网络接口(如口(如NR1102J通信插件的多个网络接口共用一个物理网卡导致网络报文串通信插件的多个网络接口共用一个物理网卡导致网络报文串网发送);网发送);(3)避免调度
21、数据网与内部局域网之间、不同调度数据网的接入网之间的交)避免调度数据网与内部局域网之间、不同调度数据网的接入网之间的交叉互联;叉互联;(4)合理配置通信网关机、代理服务器等业务系统的网络参数(如正确配置)合理配置通信网关机、代理服务器等业务系统的网络参数(如正确配置四消除两关闭三合理三合理一规范业务通信链路业务通信链路IP地址及端口、及时删除不使用的通信链路等)。地址及端口、及时删除不使用的通信链路等)。安 全合理配置、规范运维,确保网络空间有序合理配置、规范运维,确保网络空间有序网络结构参数合理网络结构参数合理安全防护策略合理用户权限配置合理27ppt课件(1)加强纵向加密认证装置、防火墙、
22、隔离装置等设备防护策略的管理,建)加强纵向加密认证装置、防火墙、隔离装置等设备防护策略的管理,建立访问控制策略申请、审核、批准的规范化管理机制,严格落实白名单、最立访问控制策略申请、审核、批准的规范化管理机制,严格落实白名单、最小化等防护要求,结合业务需求,合理、精确地配置策略;小化等防护要求,结合业务需求,合理、精确地配置策略;(2)消除纵向加密认证装置中的明通隧道和策略,防止通信链路两端纵向装)消除纵向加密认证装置中的明通隧道和策略,防止通信链路两端纵向装置的网络安全设置不匹配,提升纵向密通水平;置的网络安全设置不匹配,提升纵向密通水平;(3)梳理备调系统、备用节点业务安全策略的配置情况,
23、避免错配、漏配。)梳理备调系统、备用节点业务安全策略的配置情况,避免错配、漏配。四消除两关闭三合理三合理一规范安 全合理配置、规范运维,确保网络空间有序合理配置、规范运维,确保网络空间有序网络结构参数合理安全防护策略合理安全防护策略合理用户权限配置合理28ppt课件(1)合理配置操作系统账号及相关参数,保障)合理配置操作系统账号及相关参数,保障Windows无无administrator用户模式运行、用户模式运行、Linux/Unix无无root用户模式运行;用户模式运行;(2)按最小化原则,严格分配和管理操作系统、关系数据库、业务系统中各)按最小化原则,严格分配和管理操作系统、关系数据库、业
24、务系统中各类账号的权限;类账号的权限;(3)严格管理关系数据库、业务系统相关功能及参数,)严格管理关系数据库、业务系统相关功能及参数,切断用户权限自切断用户权限自动动提提升的各种途径。升的各种途径。四消除两关闭三合理三合理一规范安 全合理配置、规范运维,确保网络空间有序合理配置、规范运维,确保网络空间有序网络结构参数合理安全防护策略合理用户权限配置合理用户权限配置合理29ppt课件四消除两关闭三合理一规范一规范(5)利用网络安全管理平台对运维检修工作开展事后安全审计。)利用网络安全管理平台对运维检修工作开展事后安全审计。安 全合理配置、规范运维,确保网络空间有序合理配置、规范运维,确保网络空间
25、有序运维操作行为规范运维操作行为规范(1)运维单位制定网络安全运维工作制度,明确日常设备管理、巡视检查、)运维单位制定网络安全运维工作制度,明确日常设备管理、巡视检查、安全问题处理等工作要求;安全问题处理等工作要求;(2)运维单位配备运维单位配备专专用调试设备用调试设备(如调试工作站(如调试工作站、专专用移用移动动介质等介质等),加强),加强外来人员的安全教育、操作监护等措施;外来人员的安全教育、操作监护等措施;(3)自劢化检修票中明确工作涉及的具体设备,落实作业步骤及安全措施,)自劢化检修票中明确工作涉及的具体设备,落实作业步骤及安全措施,严控运维过程中超级用户的使用;严控运维过程中超级用户
26、的使用;(4)调试设备(工作站、拨号装置等)在工作完毕后,应及时从运行系统的)调试设备(工作站、拨号装置等)在工作完毕后,应及时从运行系统的网络中断开;网络中断开;30ppt课件四消除两关闭三合理一规范安安 全全提高告警质量、防范安全风险,保障网络空间安全提高告警质量、防范安全风险,保障网络空间安全减轻网络安全监视管理负担减轻网络安全监视管理负担(1)认真分析网络安全管理平台(内网安全监视平台)发现的告警信息及其)认真分析网络安全管理平台(内网安全监视平台)发现的告警信息及其产生原因,从源头消除无效告警;产生原因,从源头消除无效告警;(2)建立网络安全运行情况定期通报机制,常态化发布告警时间、
27、丏用防护)建立网络安全运行情况定期通报机制,常态化发布告警时间、丏用防护设备在线率、纵向密通水平等运行指标,促进运行水平提升;设备在线率、纵向密通水平等运行指标,促进运行水平提升;(3)建立网络安全告警分级处理和管理机制,提高告警处置效率和质量。)建立网络安全告警分级处理和管理机制,提高告警处置效率和质量。31ppt课件四消除两关闭三合理一规范安安 全全提高告警质量、防范安全风险,保障网络空间安全提高告警质量、防范安全风险,保障网络空间安全提高网络安全事件处置的能力提高网络安全事件处置的能力(1)调控机构制定网络安全运行监视及值班制度,明确值班监视、告警处)调控机构制定网络安全运行监视及值班制
28、度,明确值班监视、告警处置、事件报告、网络安保等工作要求;置、事件报告、网络安保等工作要求;(2)调控机构和厂站运维单位明确网络安全责调控机构和厂站运维单位明确网络安全责任任人及其安全职责人及其安全职责,编制网络,编制网络安全责安全责任任清单清单;(3)按照规定定期开展电力监控系统等保测评及安全评估,幵落实发现问题)按照规定定期开展电力监控系统等保测评及安全评估,幵落实发现问题的彻底整改;的彻底整改;(4)制定网络安全事件应急预案,按事件级别建立分级响应措施,提高处置)制定网络安全事件应急预案,按事件级别建立分级响应措施,提高处置效率,年内开展一次应急演练;效率,年内开展一次应急演练;(5)加
29、强网络安全事件管理,下级单位发生紧急告警或网络事件时,应督促)加强网络安全事件管理,下级单位发生紧急告警或网络事件时,应督促事发单位报送告警事件分析处置报告,幵按规定对网络安全事件进行问责;事发单位报送告警事件分析处置报告,幵按规定对网络安全事件进行问责;(6)严格防范违规连接外部网络、外部设备违规接入电力监视系统、主机感)严格防范违规连接外部网络、外部设备违规接入电力监视系统、主机感染病毒(恶意代码)等典型网络安全事件。染病毒(恶意代码)等典型网络安全事件。32ppt课件一、一、启启动动部署部署(3月15日-4月30日)各分中心、省调制定创建活动实施方案,明确调控中心、运维机构和业务支撑单位
30、的职责,细化活动推进计划,并将实施方案报送国调。二、全面创建二、全面创建(5月1日-10月31日)各分中心、省调组织学习典型告警案例汇编,统计、分析重要及以上的网络安全告警,有序推进清朗、有序、安全三方面工作,按月报送创建活动工作进展。三、总结评估三、总结评估(11月1日-11月20日)各分中心、省调完成创建活动总结。国调(分中心)采用现场检查、资料评审等方式,开展创建活动成效评估工作。12月20日前,完成创建活动成果和典型经验的总结。创建活劢计划创建活劢计划33ppt课件提前制定技术解决方案及现场实施方案履行工作手续,落实安全措施,确保安全运行不活劢开展两丌误 収现和挖掘各单位的先进绊验并进行通报 分级做好创建活劢的评估和总结 源头治理、全程管控 全面覆盖、不留死角 认真分析、准确定位 各级调控机构统一开展 覆盖各级变电站(包括开关站、换流站)和并网电厂全面梳理全面梳理逐项落实逐项落实稳妥推进稳妥推进确保安全确保安全统一行劢统一行劢分级实施分级实施量化评估量化评估总结经验总结经验创建活劢工作要求创建活劢工作要求34ppt课件谢谢!谢谢!35ppt课件
