一、关于“清朗有序”
>>>> 1.背景概述
2017年,国家电网公司33家省级以上单位电力监控系统共接收到网络安全紧急告警102次、重要告警317434次。
在紧急告警中,安全事件18次,设备无序告警50次,垃圾干扰类告警34次。
案例1 主机感染病毒
◇ 告警信息
某变电站非实时纵向加密认证装置发出紧急告警:不符合安全策略的访问,*.*.27.150访问44383个非业务地址的445端口。
◇ 原因分析
*.*.27.150为该保信子站主机IP地址,目标地址不固定,目的端口为TCP的445端口,用于在局域网中访问各种共享文件夹或共享打印机,多种病毒可以利用445端口对系统进行入侵。经现场检查分析,确认该主机感染了W32.Downadup顽固病毒( 也称Conficker蠕虫病毒)。该病毒于2008年被发现,主要利用Windows操作系统MS08-067传播,也能借助USB设备来传播感染。病毒发作时会自动向同网段IP以及随机生成的IP发起445端口访问请求,其请求报文被纵向加密认证装置拦截产生告警。
案例2 无用服务未关闭
◇ 告警信息
某电厂非实时纵向加密认证装置发出重要告警:不符合安全策略的访问,0.0.0.0的68端口访问255.255.255.255的67端口。
◇ 原因分析
0.0.0.0为非实际通信地址,255.255.255.255为全段广播地址,UDP的68源端口和UDP的67目的端口为DHCP协议(Dynamic Host Configuration Protocol,动态主机配置协议)端口,DHCP协议主要用于动态分配 IP 地址和配置信息。通过现场抓包获取“0.0.0.0”对应MAC地址,并比对所有接入非实时数据网交换机内主机MAC地址,定位了数据包为电厂内检修计划工作站(Windows操作系统)发出。该工作站开启了DHCP服务,其发出的0.0.0.0到255.255.255.255的DHCP请求被纵向加密认证装置拦截后产生告警。
案例3 不同数据网接入网之间报文串网
◇ 告警信息
某变电站非实时纵向加密认证装置发出重要告警:不符合安全策略的访问,源IP *.*.134.165多次访问目的IP *.*.20.7的102端口。
◇ 原因分析
源IP*.*.134.165为该变电站的保信子站服务器调度数据网省调接入网IP地址,目的端口102为正常业务端口,用于上送保信数据。目的IP *.*.20.7为省调主站保护前置机。现场接线情况如下图所示。
根据数据交互要求,保信子站A,保信子站B应分别接入网调数据网非实时交换机、省调数据网非实时交换机,与省调主站保护前置机建立两条冗余的通信链路,纵向加密认证装置中也配置了对应的访问控制策略。但由于站内网络结构不规范,该变电站内两台保信子站服务器均通过综合交换机接入网调接入网以及省调接入网,导致IP地址为*.*.134.165的保信子站服务器发送的通信报文窜入网调接入网,被纵向加密认证装置拦截。
案例4 程序无效行为
◇ 告警信息
某光伏电站实时纵向加密认证装置发出紧急告警:不符合安全策略的访问,*.*.9.87访问14.17.41.189的随机端口。
◇ 原因分析
*.*.9.87为AGC服务器(Windows操作系统)的地址,14.17.41.189为非业务需求地址。现场查看AGC服务器系统,查看资源监视器,锁定目的地址“14.17.41.189”为搜狗输入法调用,搜狗输入法默认开启的自劢更新程序会主动连接互联网更新服务器。光伏电站AGC厂家在维护AGC设备数据时安装了搜狗输入法软件,输入法尝试发起对目的地址“14.17.41.189”的访问,此访问通过站内实时交换机并尝试穿越实时纵向加密认证装置,但因访问不匹配纵向加密认证装置的访问控制策略,导致报文被纵向加密认证装置拦截产生告警。
为贯彻落实《中华人民共和国网络安全法》和《电力监控系统安全防护规定》,提高网络安全监测和管控的效率,规范设备、软件和人员的行为,切实保障电力监控系统的网络安全,决定自2018年3月15日起,在国家电网公司调控系统开展电力监控系统清朗有序安全网络空间创建活动。
“清朗”是指网络空间中的应用服务是必需的,网络连接是清晰必要的。网络空间是虚拟的,但各类网络对象应当是明确的,其网络行为是清楚明朗的。杂乱无章的网络空间,势必会影响运行系统的正常运转。
“有序”是指网络行为是遵章守序的,报文传输是合理规范的,参数策略是严谨准确的。在虚拟的网络空间中,网络行为应被规制和审计,不受约束的网络空间,势必会威胁电力监控系统的正常运行。
同时,要健全网络安全管理制度,责任落实到位,工作流程清晰,应急处置高效,实现网络行为能控、可控、在控,信息传输受到机密性、完整性和真实性的保护,避免被窃听、冒充、篡改和抵赖,避免出现后门、病毒和网络资源被非法占用、控制等威胁,确保电力监控系统及其数据的安全。
>>>> 2.总体思路
以网络安全标准化管理和告警信息治理为抓手,全面清理网络空间中无用的软件、程序行为和网络连接,有序管理网络报文传输的范围和用户的使用权限,规范现场作业的操作行为和网络安全保障措施,及时发现并处置网络安全风险及事件,全面营造清朗有序安全的电力监控系统网络空间。
>>>>
3.活动目标深入推进电力监控系统网络安全的标准化管理,保障各类电力监控系统达到“四消除两关闭”(消除垃圾软件、程序不良行为、缺省用户和弱口令,关闭不必要的硬件接口和网络服务)的安全管控要求,具备“三合理一规范”(网络结构参数、安全防护策略、用户权限配置合理,运维操作行为规范)的运行保障条件,实现网络安全事件处置能力的显著提升,保障电力监控系统网络空间的清朗、有序和安全,为电力监控系统安全可靠运行创造良好环境。
>>>> 4.面向对象
活动范围覆盖各级变电站(包括开关站、 换流站) 和并网电厂。
>>>> 5.主体内容
◇ 清除垃圾、 强化管理,维护网络空间清朗
以电力监控系统的运行需要为判别标准,全面梳理网络空间内的各类资源, 消除其中的垃圾和不良行为。具体包括:排查在运系统和设备,消除不必要的硬件设备、软件程序、日志文件和系统账号;持续监视和分析软件的运行状况,消除软件的各种不良行为;排查账号配置、口令设置和用户使用情况,消除不必要的账号,彻底解决弱口令问题;排查各类设备的网络端口、 USB接口、串口、光驱等,关闭规定禁用和运行不使用的硬件接口;排查系统打开的网络服务和监听端口,关闭规定禁用或运行不使用的服务和端口。
◇ 合理配置、 规范运维,确保网络空间有序
以设备作用对象正确、报文传输范围合理、人员作业行为得当为准则,评估和优化网络结构、网络参数、安防策略、用户权限的配置,发现并整改现场运维的不规范行为。具体包括:确保网络连接、路由参数、应用网络参数配置合理,保持局域网与调度数据网之间、调度数据网不同接入网之间的相对独立,保障通信链路的建立正常有序;确保纵向装置(卡)、防火墙等设备的防护策略合理,保障 TCP 连接和报文传输在网络边界的有序管控;确保用户权限配置合理,按照最小化原则分配权限,保障Windows无administrator、Linux/Unix无root用户模式运行;确保现场运维操作规范,严格落实安措,保障操作合理、审计严格。
◇ 提高告警质量、 防范安全风险,保障网络空间安全
以网络安全告警合理、响应处置高效、安全管理严格为标准,全面提升网络安全保障能力。具体包括:开展网络告警信息的分析和治理,及时消除无效告警;加强安全管控,有效防范外部网络违规连接内网、外部设备违规接入系统、主机感染病毒(恶意代码)等典型事件;加强运行值班、等保测评、安全评估等工作,强化安全责任落实,建立违规追责问责机制。
二、“清朗有序”解决方案
>>>> 1. 需求分析
目前电力监控系统的安全防护现状是基于“安全分区、网络专用、横向隔离、纵向认证”的总体原则,在内部安全防护措施方面存在着一定的不足,特别是活动中提到的“四消除两关闭”、“三合理一规范”中的不满足项,要根据活动的要求,基于稳妥推进、确保安全落实的原则全面梳理、逐项落实。结合电力监控系统的网络安全现状,总结主要需求如下:
◇ “清朗”需求
“清朗”是维护网络安全的关键基础。在网络空间中,网络行为应以电力监控系统的运行需要为判别标准,消除垃圾软件、程序不良行为、不必要账户,关闭不必要的硬件接口和网络服务,实现网络资源的有效利用,为电力监控系统运行提供“清朗”的网络空间。
◇ “有序”需求
“有序”是保障网络安全的重要内容。在网络空间中,应以设备作用对象正确、报文传输范围合理、人员作业行为得当为准则,合理配置网络结构参数、安全防护策略、用户权限,规范作业人员的网络操作行为,实现网络空间的有序运行,保障电力监控系统的有效运转。
◇ 主机安全需求
在安全的网络空间中,必须严格安全管控,采取措施有效防范外部网络违规连接内网、外部设备违规接入系统、主机感染病毒(恶意代码)等网络安全事件。必须强化网络告警的分析和治理,高效处置网络安全事件,有效防范网络安全风险,全面提升网络安全的保障能力。
在电力监控系统中,工业主机是重要的保护对象,针对工业主机安全防护层面需要重点关注以下内容。
>>>> 2. 方案详述
从整个“清朗有序”活动的目标和主体内容分析来看,涉及技术和管理两个大的方面,就技术方面而言,可以通过产品加服务的方式完成。
◇ 一键式安全加固
通过工控主机卫士的安全加固功能对上位机(工程师站、操作员站、HMI等)和服务器进行一键式安全加固,不但能满足“清朗有序”活动的要求,也同时满足网络安全等级保护、行业规范和企业监管的要求。
◇ 全方位安全防护
通过工控主机卫士的文件白名单、网络白名单、双因子认证、访问控制、外设管理等功能对主机实现全方位安全防护,彻底杜绝病毒、非法外联等安全隐患,提升主机的综合安全水平。
◇ 专业化安全服务
涉及网络设备配置优化调整的工作,需要有专业的技术人员通过服务的方式完成。工业现场要求业务可用性是第一位的,因此需要技术人员技术过硬的同时,能深入了解现场业务,按照规范的作业要求进行操作。
根据“清朗有序”的工作内容对应的整体解决方案如下表所示。
>>>> 3. 产品说明
主机加固、强制访问控制和外设管理等功能的工业主机防护系统,能够防范恶意程序的运行、非法外设接入,实现对工业主机的全面安全防护。工控主机卫士是国内唯一在Windows、Linux/Unix实现应用程序白名单、主机加固的产品,对中标麒麟、凝思等国产操作系统高度兼容;国内唯一针对操作系统Build版本号,内核版本进行细致兼容性适配并现网应用,而非泛泛宣称支持某操作系统;已适配50个Linux&Unix发行版本,32个Windows build版本。
◇“四重锁定、两个中心”构建工业主机安全计算环境
◇七大核心功能,构成安全计算环境基石
◇ 兼容性强,适用各种业务场景
>>>> 4. 实施过程
4.1 实施流程
工控主机卫士实施流程如下图所示:
4.2 详细说明
◇ 确认目标主机
目标主机为安装工控主机卫士软件的设备(工业主机、服务器、笔记本)。验证现有业务系统的可用性(查看主机上所有业务系统软件是否正常运行),建议在条件允许情况下重启目标主机再次验证业务系统可用性。
◇ 系统备份
对目标主机进行备份,防止接下来的杀毒操作影响业务的正常运行,对生产运行造成影响。
◇ 病毒扫描及处理
使用多种主流杀毒软件对目标主机进行病毒扫描。如果目标主机中有病毒,在扫描结束后,需要与用户进行充分沟通,由用户确认后,方可对病毒进行处理。
通常情况下,在工控系统业务软件目录下的疑似文件不做立即处理。先将疑似文件备份到其它目录系统下,然后验证业务软件的可用性,如果无法正常运行,则将文件还原;如业务软件可以正常运行,则疑似文件可做杀毒处理。其他目录下的病毒文件可通过进行处理,对于顽固性病毒需要已验证的专杀工具处理。
◇ 验证业务可用性
对主机的业务可用性进行验证。根据现场情况,协调用户对该目标主机所需执行的所有操作全覆盖验证,确保所有业务应用都能正常运行。当正常操作情况下业务软件出现不可用,则通过前面的系统备份文件进行系统还原,系统还原后重新进行病毒处理操作。
◇ 工控主机卫士安装
将工控主机卫士安装U盘插入计算机,打开U盘并执行“Setup.exe”安装程序,会显示安装向导,用户可使用“选择安装目录”功能自定义安装路径,也可以使用默认路径。根据《工控主机卫士使用手册》并结合用户现场实际情况,进行工控主机卫士软件的策略配置。
◇测试运行
工控主机卫士完成策略配置后,系统可以进行一定时间的试运行,试运行期间主要关注业务的可用性。具体试运行时间根据用户现场情况确定。
◇正式运行
试运行结束后,根据试运行期间运行情况,向用户申请转入正式运行状态,项目实施结束。
三、产品/服务清单及报价
四、实施案例
◇克什克腾旗某电力发展有限公司风力发电厂清朗有序项目,通过部署工控主机卫士对现场的电力监控系统的X台Windows主机、X台Linux主机和X台Unix主机安全加固。
◇承德某绿色能源有限公司风力发电厂安全加固项目,通过部署工控主机卫士对现场电力监控系统的X台Windows主机和X台Linux主机进行安全加固,同时通过服务对网络设备和安全设备进行策略调优和安全加固。
◇某电力股份有限公司光伏发电站清朗有序项目,通过部署工控主机卫士对现场电力监控系统的X台Windows主机和X台Linux主机进行安全加固,同时启用“白名单”,实现恶意代码防范功能。
閱讀更多 威努特工控安全 的文章
