电力监控系统网络安全典型告警案例汇编（PDF42页）

a50920935
4 ℃
2016-05-21

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

电力监控系统网络安全典型告警案例汇编国家电力调度控制中心2018年3月前言近年来国际上相继爆发了乌克兰大面积停电、勒索病毒肆虐等网络安全事件，电力监控系统作为关键信息基础设施，已成为国家间“网络战”首选攻击目标，安全形势严峻。为全面加强网络空间的安全监管，各级调度机构依托内网安全监视平台（网络安全管理平台）开展网络安全运行监视工作，但目前平台中存在的大量无效告警，严重影响了网络安全运行监视的效率，亟需开展告警治理工作。为有效指导各单位开展告警治理，国调中心组织浙江、江苏、宁夏公司以及北京科东、南瑞信通等单位梳理分析100余篇告警分析报告，编制形成《电力监控系统网络安全典型告警案例汇编》。本汇编分为清朗、有序、安全三篇，共计28个典型告警案例，旨在指导各级调控机构、变电站和电厂等单位的网络安全运行管理人员和运维检修人员全面清理网络空间中垃圾软件、程序不良行为和无效网络连接，合理配置网络结构参数、安全防护策略，规范现场作业的操作行为，及时发现并处置网络安全风险及事件，全面营造清朗有序安全的电力监控系统网络空间。目录第一篇清朗篇....................................................................................................................1案例一、远动机未关闭SNTP服务导致异常访问.............................................................2案例二、远动机未关闭mDNS服务导致异常访问.............................................................3案例三、远动机未关闭DNS服务导致异常访问...............................................................4案例四、远动机未关闭NetBIOS服务导致异常访问.......................................................5案例五、计划工作站未关闭DHCP服务导致异常访问.....................................................7案例六、光功率预测服务器未关闭SSDP服务导致异常访问.........................................8案例七、输入法软件自动更新导致异常访问...................................................................9案例八、故录装置防病毒软件自动更新导致异常访问.................................................11案例九、电量终端Ping本地路由器网关导致异常访问...............................................12案例十、电量主站前置机远程管理功能未关闭导致异常访问.....................................13第二篇有序篇..................................................................................................................15案例十一、EMS系统业务通道参数配置错误导致异常访问..........................................16案例十二、纵向装置策略配置错误导致EMS正常业务访问被拦截.............................17案例十三、纵向装置策略漏配导致日志报文被拦截.....................................................18案例十四、保信子站存在默认路由导致局域网报文窜入数据网.................................19案例十五、保信子站网络结构不规范导致局域网报文窜入数据网.............................20案例十六、保信子站网络结构不规范导致数据网双接入网窜网互联.........................22案例十七、远动机硬件设计缺陷导致报文串网传输.....................................................24案例十八、故障录播装置硬件设计缺陷导致报文串网传输.........................................25案例十九、PMU装置设计缺陷导致报文串网传输..........................................................27案例二十、纵向装置内外网口网线反接导致正常业务访问被拦截.............................29案例二十一、纵向装置报“证书不存在”告警.............................................................30案例二十二、纵向装置报“隧道没有配置”告警.........................................................31案例二十三、纵向装置报“验证签名错误”告警.........................................................32案例二十四、纵向装置报“私钥解密错误”告警.........................................................33第三篇安全篇..................................................................................................................34案例二十五、远动机感染病毒导致异常访问.................................................................35案例二十六、外部设备违规接入导致异常访问.............................................................36案例二十七、外部设备接入导致违规外联.....................................................................37案例二十八、内部交换机违规接入互联网.....................................................................381第一篇清朗篇清朗，是指网络空间中的应用服务是必需的，网络连接是清晰必要的。网络空间是虚拟的，但各类网络对象应当是明确的，其网络行为是清楚明朗的。杂乱无章的网络空间，势必会影响运行系统的正常运转。清朗是维护网络安全的关键基础。在网络空间中，网络行为应以电力监控系统的运行需要为判别标准，消除垃圾软件、程序不良行为、不必要账户，关闭不必要的硬件接口和网络服务，实现网络资源的有效利用，为电力监控系统运行提供清朗的网络空间。本篇选取的10个典型案例，具体包括主机未关闭SNTP、mDNS、DNS、NetBIOS、DHCP、SSDP等不必要服务引发的告警，输入法、防病毒软件误配互联网更新等不良访问行为引起的告警，电量终端网络连通测试等无价值程序行为引起的告警等。通过本篇案例的学习，有助于提升电力监控系统从业人员的告警处置水平，进一步落实“四消除两关闭”的安全管控要求，清除电力监控系统网络空间中的垃圾，强化网络安全标准化管理，营造清朗的网络空间。2案例一、远动机未关闭SNTP服务导致异常访问一、告警信息某变电站实时纵向加密认证装置发出重要告警：不符合安全策略的访问，*.*.65.1访问广播或组播地址*.*.65.255的123端口。二、原因分析*.*.65.1为变电站远动机地址，*.*.65.255为本网段广播地址，UDP的123目的端口为SNTP（SimpleNetworkTimeProtocol）协议端口。SNTP是简单网络时间协议，主要用来同步网络中计算机系统的时间。SNTP服务端在广播模式下会周期性地发送消息给指定广播地址或多播地址，SNTP客户端通过监听这些地址来获得时间信息。远动机开启了SNTP服务端程序，其向广播地址*.*.65.255发送的对时报文被纵向加密认证装置拦截产生告警。变电站站内装置实际和时间同步装置进行对时，并无需与远动机对时。三、解决方案1．修改远动机配置参数，关闭SNTP服务端程序。2．若站内没有时间同步装置，确需用远动机做对时服务，保留远动机SNTP服务端程序，限制远动机的对时广播报文仅通过远动机站内网卡发送，确保不发送到调度数据网络中。3案例二、远动机未关闭mDNS服务导致异常访问一、告警信息某变电站实时纵向加密认证装置发出重要告警：不符合安全策略的访问，*.*.3.9访问244.0.0.251的5353端口。二、原因分析*.*.3.9为变电站远动机地址（Linux操作系统），244.0.0.251是保留的组播地址，UDP的5353目的端口为mDNS（multicastDNS）协议端口。mDNS服务用于局域网中的主机相互发现对方,并描述它们提供的服务，该服务利用组播地址244.0.0.251来向局域网内发送搜索消息，以获得其他主机的IP地址和服务端口。远动机开启了mDNS服务，当远动机作为服务端访问组播保留地址244.0.0.251时被纵向加密认证装置拦截后产生告警，而变电站内实际并不需要此类服务。三、解决方案1．执行/etc/init.d/avahi-daemonstop关闭当前服务，同时执行chkconfigavahi-daemonoff禁用该服务，防止系统重启时自动运行该服务。2．在Linux操作系统的iptables上设置访问控制策略，禁止向外发出目的端口为5353的网络报文。4案例三、远动机未关闭DNS服务导致异常访问一、告警信息某变电站实时纵向加密认证装置发出重要告警：不符合安全策略的访问，*.*.12.194访问202.106.46.151、202.106.195.68的53端口。二、原因分析*.*.12.194为变电站远动机（Linux操作系统）地址，目的地址为非业务的未知地址。UDP的53目的端口为DNS（DomainNameSystem域名解析服务）协议端口，DNS协议主要用于主机名和IP地址的映射转换。该变电站远动机配置了不必要的DNS服务器的IP地址（202.106.46.151、202.106.195.68），导致DNS服务往外发出报文，被纵向加密认证装置拦截后产生告警。三、解决方案1．将/etc/resolv.conf中nameserver地址删除，并以root权限在终端中输入“servicenamedstop”关闭DNS服务。2．在Linux操作系统的iptables上设置访问控制策略，禁止向外发出目的端口为53的网络报文。5案例四、远动机未关闭NetBIOS服务导致异常访问一、告警信息某变电站实时纵向加密认证装置发出重要告警：不符合安全策略的访问，*.*.100.4访问*.*.40.254的138端口。二、原因分析*.*.100.4为变电站远动机站内地址（Windows操作系统），*.*.40.254为数据网网关地址。UDP的138目的端口主要作用是提供NetBIOS环境（Windows操作系统专有）下的计算机名浏览功能。该变电站远动机系统自动启动NetBIOS服务，远动