清朗有序安全网络空间创建活动及典型告警案例汇编培训

网络安全典型告警及清朗有序安全网络空间创建活劢一、创建活动背景二、创建活动目标与思路三、创建活动内容与计划四、典型告警案例汇编内容提纲2017年公司网络安全告警趋势2017年，公司33家省级以上单位电力监控系统共収生网络安全紧急告警102次、重要告警317434次。1170613502117751838937463525355248450967686134月5月6月7月8月9月10月11月12月2017年公司系统网络安全重要告警变化趋势安全事件类18%无序类49%垃圾干扰类33%紧急告警情况•主机感染病毒•外部设备接入•无用网络服务未关闭等•网络结构缺陷导致报文串网•程序无效行为安全类告警18%非安全告警82%2017年公司网络安全紧急告警分析2017年収生的102次紧急告警，其中安全事件18次，设备无序告警50次，垃圾干扰类告警34次。安全类告警——感染病毒案例1主机感染病毒一、告警信息某变电站非实时纵向加密认证装置发出紧急告警：不符合安全策略的访问，*.*.27.150访问44383个非业务地址的445端口。安全类告警——感染病毒二、原因分析*.*.27.150为该保信子站主机IP地址，目标地址不固定，目的端口为TCP的445端口，用于在局域网中访问各种共享文件夹或共享打印机，多种病毒可以利用445端口对系统进行入侵。绊现场检查分析，确认该主机感染了W32.Downadup顽固病毒（也称Conficker蠕虫病毒）。该病毒于2008年被収现，主要利用Windows操作系统MS08-067传播，也能借劣USB设备来传播感染。病毒収作时会自劢向同网段IP以及随机生成的IP収起445端口访问请求，其请求报文被纵向加密认证装置拦截产生告警。安全类告警——感染病毒三、解决方案1．采用Symantec（赛门铁克）软件W32.Downadup病毒与杀工具查杀。2．关闭Windows操作系统的445端口，操作步骤参考《国调中心关于印収Windows操作系统安全加固指导手册的通知》（调网安〔2017〕169号文）加固项Windows-02-01-02。非安全类告警——无用服务未关闭案例2无用服务未关闭一、告警信息某电厂非实时纵向加密认证装置发出重要告警：不符合安全策略的访问，0.0.0.0的68端口访问255.255.255.255的67端口。非安全类告警——无用服务未关闭二、原因分析0.0.0.0为非实际通信地址，255.255.255.255为全段广播地址，UDP的68源端口和UDP的67目的端口为DHCP协议(DynamicHostConfigurationProtocol，动态主机配置协议)端口，DHCP协议主要用于动态分配IP地址和配置信息。通过现场抓包获取“0.0.0.0”对应MAC地址，并比对所有接入非实时数据网交换机内主机MAC地址，定位了数据包为电厂内检修计划工作站（Windows操作系统）发出。该工作站开启了DHCP服务，其发出的0.0.0.0到255.255.255.255的DHCP请求被纵向加密认证装置拦截后产生告警。三、解决方案关闭Windows操作系统的DHCP服务，操作步骤参考《国调中心关于印収Windows操作系统安全加固指导手册的通知》（调网安〔2017〕169号文）加固项Windows-02-01-01。非安全类告警—报文串网案例3不同数据网接入网之间报文串网一、告警信息某变电站非实时纵向加密认证装置収出重要告警：不符合安全策略的访问，源IP*.*.134.165多次访问目的IP*.*.20.7的102端口。二、原因分析源IP*.*.134.165为该变电站的保信子站服务器调度数据网省调接入网IP地址，目的端口102为正常业务端口，用于上送保信数据。目的IP*.*.20.7为省调主站保护前置机。现场接线情况如下图所示。保信子站A保信子站B*.*.134.165网调数据网接入屏网调接入网接入路由器纵向加密认证装置*.*.213.253II区实时交换机省调数据网接入屏省调接入网接入路由器纵向加密认证装置II区实时交换机保护综合交换机交流保护直流保护故障定位故障测距保信子站交换机故障录波交换机故障录波装置一故障录波装置二故障录波装置三非安全类告警—报文串网*.*.20.7省调主站保护前置机非安全类告警—报文串网根据数据交互要求，保信子站A，保信子站B应分别接入网调数据网非实时交换机、省调数据网非实时交换机，不省调主站保护前置机建立两条冗余的通信链路，纵向加密认证装置中也配置了对应的访问控制策略。但由于站内网络结构不规范，该变电站内两台保信子站服务器均通过综合交换机接入网调接入网以及省调接入网，导致IP地址为*.*.134.165的保信子站服务器収送的通信报文窜入网调接入网，被纵向加密认证装置拦截。三、解决方案对该变电站的保信子站接入电力调度数据网的网络结构进行整改，取消保护综合交换机，现场的两套保信子站分别接入两套数据网接入设备。整改后的网络结构具体如下：网调数据网接入屏网调接入网接入路由器纵向加密认证装置*.*.213.253II区实时交换机保信子站A省调数据网接入屏省调接入网接入路由器纵向加密认证装置II区实时交换机保信子站B*.*.134.165交流保护直流保护故障定位故障测距保信子站交换机故障录波交换机故障录波装置一故障录波装置二故障录波装置三非安全类告警—报文串网*.*.20.7省调主站保护前置机非安全类告警—程序无效行为案例4程序无效行为一、告警信息某光伏电站实时纵向加密认证装置发出紧急告警：不符合安全策略的访问，*.*.9.87访问14.17.41.189的随机端口。二、原因分析*.*.9.87为AGC服务器（Windows操作系统）的地址，14.17.41.189为非业务需求地址。现场查看AGC服务器系统，查看资源监视器，锁定目的地址“14.17.41.189”为搜狗输入法调用，搜狗输入法默认开启的自劢更新程序会主动连接互联网更新服务器。光伏电站AGC厂家在维护AGC设备数据时安装了搜狗输入法软件，输入法尝试发起对目的地址“14.17.41.189”的访问，此访问通过站内实时交换机并尝试穿越实时纵向加密认证装置，但因访问不匹配纵向加密认证装置的访问控制策略，导致报文被纵向加密认证装置拦截产生告警。非安全类告警—程序无效行为三、解决方案卸载不必要的软件，操作步骤参考《国调中心关于印収Windows操作系统安全加固指导手册的通知》（调网安〔2017〕169号文）加固项Windows-01-05-01。创建活劢背景——《国调中心关于开展清朗有序安全网络空间创建活劢的通知》（调网安〔2018〕37号）为贯彻落实《中华人民共和国网络安全法》和《电力监控系统安全防护规定》，提高网络安全监测和管控的效率，规范设备、软件和人员的行为，切实保障电力监控系统的网络安全，决定自2018年3月15日起，在公司调控系统开展电力监控系统清朗有序安全网络空间创建活劢（简称创建活劢）。一、创建活动背景二、创建活动目标与思路三、创建活动内容与计划四、典型告警案例汇编内容提纲标准化管理告警信息治理清理网络空间中无用的软件、程序行为和网络连接有序管理网络报文传输的范围和用户的使用权限规范现场作业的操作行为和网络，安全保障措施及时収现并处置网络安全风险及事件清朗有序安全网络空间创建活劢总体思路《国调中心关于加强电力监控系统安全防护常态化管理的通知》（调自〔2016〕102号）创建活劢目标四消除1.2.消除垃圾软件消除程序丌良行为3.4.1.2.1.2.3.消除缺省用户消除弱口令两关闭关闭丌必要的硬件接口关闭丌必要的网络服务三合理合理网络结构参数合理安全防护策略合理用户权限配置1.一规范运维操作行为规范清朗有序安全网络空间1.实现网络安全处置能力的显著提升2.保障电力监控系统网络空间的清朗、有序、安全3.为电力监控系统安全可靠运行创造良好环境一、创建活动背景二、创建活动目标与思路三、创建活动内容与计划典型告警案例汇编内容提纲四消除两关闭三合理一规范（1）排查在运系统，及时退出没有运行价值的系统及设备；（2）按最小安装原则，卸载与生产业务工作无关的软件，尤其是具有自动监听端口或对外发送垃圾网络报文行为的无关软件；（3）逐一检查持续运行或周期运行的进程，及时消除用亍调试、测试等与正常运行无关的进程；（4）清理保存时间超过1年无价值的日志文件。消除垃圾软件消除程序不良行为消除缺省用户消除弱口令设备系统主机软件日志服务端口进程安全清除垃圾、强化管理，维护网络空间清朗（1）消除业务系统或功能设计缺陷，取消无价值的程序行为（如部分电量采集终端定期ping网关）；（2）关闭输入法、防病毒等应用软件的互联网更新服务。主机设备系统软件日志进程端口消除垃圾软件消除程序不良行为消除缺省用户消除弱口令四消除一规范两关闭三合理服务安全清除垃圾、强化管理，维护网络空间清朗（1）删除或停用操作系统中的缺省账号（如administrator、guest等），以及无效账号；（2）删除或停用关系数据库中的缺省账号和无效账号；（3）删除或停用业务系统中的无效账号，及时清理离岗人员账号。消除垃圾软件消除程序不良行为消除缺省用户消除弱口令四消除两关闭三合理一规范安全清除垃圾、强化管理，维护网络空间清朗（1）操作系统、关系数据库账号应按实名制要求建立，幵采用复杂口令；（2）业务系统账号应按实名制要求建立，幵采用复杂口令。消除垃圾软件消除程序不良行为消除缺省用户消除弱口令四消除两关闭三合理一规范安全清除垃圾、强化管理，维护网络空间清朗（1）综合采用删除驱动、物理封闭等措施关闭主机USB接口、光驱设备等硬件接口（对亍必须使用的鼠标键盘、USBKEY接口，应删除与存储相关的驱动）；（2）及时关闭计算机、网络设备、安防设备等设备运行中未使用的网络接口和串口；（3）禁用移动存储设备的自动播放或自动打开功能。关闭不必要的硬件接口四消除两关闭三合理一规范安全清除垃圾、强化管理，维护网络空间清朗关闭不必要网络服务（1）主机仅安装和开启必须的服务，禁止与监控系统无关的服务开启，禁用或关闭E-Mail、Web、FTP、telnet、rlogin、NetBIOS、DHCP、SNMPV3以下版本、SMB等通用网络服务或功能；（2）网络设备、安全防护设备禁用TCPSMALLSERVERS、UDPSMALLSERVERS、Finger、HTTPSERVER、BOOTPSERVER、DNS查询等不必要的公共网络服务或功能；（3）关闭业务系统不使用的私有的网络监听端口。关闭不必要的硬件接口四消除两关闭三合理一规范安全清除垃圾、强化管理，维护网络空间清朗关闭不必要网络服务（1）合理设置主机路由，按业务需求配置明细路由，避免使用默认路由；（2）消除软硬件设计缺陷导致的网络无法隔离、报文传输超出规定的网络接口（如NR1102J通信插件的多个网络接口共用一个物理网卡导致网络报文串网发送）；（3）避免调度数据网与内部局域网之间、不同调度数据网的接入网之间的交叉互联；（4）合理配置通信网关机、代理服务器等业务系统的网络参数（如正确配置四消除两关闭三合理一规范业务通信链路IP地址及端口、及时删除不使用的通信链路等）。安全合理配置、规范运维，确保网络空间有序网络结构参数合理安全防护策略合理用户权限配置合理（1）加强纵向加密认证装置、防火墙、隔离装置等设备防护策略的管理，建立访问控制策略申请、审核、批准的规范化管理机制，严格落实白名单、最小化等防护要求，结合业务需求，合理、精确地配置策略；（2）消除纵向加密认证装置中的明通隧道和策略，防止通信链路两端纵向装置的网络安全设置不匹配，提升纵向密通水平；（3）梳理备调系统、备用节点业务安全策略的配置情况，避免错配、漏配。四消除两关闭三合理一规范安全合理配置、规范运维，确保网络空间有序网络结构参数合理安全防护策略合理用户权限配置合理（1）合理配置操作系统账号及相关参数，保障Windows无administrator用户模式运行、Linux/Unix无root用户模式运行