一、關於“清朗有序”
>>>> 1.背景概述
2017年,國家電網公司33家省級以上單位電力監控系統共接收到網絡安全緊急告警102次、重要告警317434次。
在緊急告警中,安全事件18次,設備無序告警50次,垃圾干擾類告警34次。
案例1 主機感染病毒
◇ 告警信息
某變電站非實時縱向加密認證裝置發出緊急告警:不符合安全策略的訪問,*.*.27.150訪問44383個非業務地址的445端口。
◇ 原因分析
*.*.27.150為該保信子站主機IP地址,目標地址不固定,目的端口為TCP的445端口,用於在局域網中訪問各種共享文件夾或共享打印機,多種病毒可以利用445端口對系統進行入侵。經現場檢查分析,確認該主機感染了W32.Downadup頑固病毒( 也稱Conficker蠕蟲病毒)。該病毒於2008年被發現,主要利用Windows操作系統MS08-067傳播,也能借助USB設備來傳播感染。病毒發作時會自動向同網段IP以及隨機生成的IP發起445端口訪問請求,其請求報文被縱向加密認證裝置攔截產生告警。
案例2 無用服務未關閉
◇ 告警信息
某電廠非實時縱向加密認證裝置發出重要告警:不符合安全策略的訪問,0.0.0.0的68端口訪問255.255.255.255的67端口。
◇ 原因分析
0.0.0.0為非實際通信地址,255.255.255.255為全段廣播地址,UDP的68源端口和UDP的67目的端口為DHCP協議(Dynamic Host Configuration Protocol,動態主機配置協議)端口,DHCP協議主要用於動態分配 IP 地址和配置信息。通過現場抓包獲取“0.0.0.0”對應MAC地址,並比對所有接入非實時數據網交換機內主機MAC地址,定位了數據包為電廠內檢修計劃工作站(Windows操作系統)發出。該工作站開啟了DHCP服務,其發出的0.0.0.0到255.255.255.255的DHCP請求被縱向加密認證裝置攔截後產生告警。
案例3 不同數據網接入網之間報文串網
◇ 告警信息
某變電站非實時縱向加密認證裝置發出重要告警:不符合安全策略的訪問,源IP *.*.134.165多次訪問目的IP *.*.20.7的102端口。
◇ 原因分析
源IP*.*.134.165為該變電站的保信子站服務器調度數據網省調接入網IP地址,目的端口102為正常業務端口,用於上送保信數據。目的IP *.*.20.7為省調主站保護前置機。現場接線情況如下圖所示。
根據數據交互要求,保信子站A,保信子站B應分別接入網調數據網非實時交換機、省調數據網非實時交換機,與省調主站保護前置機建立兩條冗餘的通信鏈路,縱向加密認證裝置中也配置了對應的訪問控制策略。但由於站內網絡結構不規範,該變電站內兩臺保信子站服務器均通過綜合交換機接入網調接入網以及省調接入網,導致IP地址為*.*.134.165的保信子站服務器發送的通信報文竄入網調接入網,被縱向加密認證裝置攔截。
案例4 程序無效行為
◇ 告警信息
某光伏電站實時縱向加密認證裝置發出緊急告警:不符合安全策略的訪問,*.*.9.87訪問14.17.41.189的隨機端口。
◇ 原因分析
*.*.9.87為AGC服務器(Windows操作系統)的地址,14.17.41.189為非業務需求地址。現場查看AGC服務器系統,查看資源監視器,鎖定目的地址“14.17.41.189”為搜狗輸入法調用,搜狗輸入法默認開啟的自勱更新程序會主動連接互聯網更新服務器。光伏電站AGC廠家在維護AGC設備數據時安裝了搜狗輸入法軟件,輸入法嘗試發起對目的地址“14.17.41.189”的訪問,此訪問通過站內實時交換機並嘗試穿越實時縱向加密認證裝置,但因訪問不匹配縱向加密認證裝置的訪問控制策略,導致報文被縱向加密認證裝置攔截產生告警。
為貫徹落實《中華人民共和國網絡安全法》和《電力監控系統安全防護規定》,提高網絡安全監測和管控的效率,規範設備、軟件和人員的行為,切實保障電力監控系統的網絡安全,決定自2018年3月15日起,在國家電網公司調控系統開展電力監控系統清朗有序安全網絡空間創建活動。
“清朗”是指網絡空間中的應用服務是必需的,網絡連接是清晰必要的。網絡空間是虛擬的,但各類網絡對象應當是明確的,其網絡行為是清楚明朗的。雜亂無章的網絡空間,勢必會影響運行系統的正常運轉。
“有序”是指網絡行為是遵章守序的,報文傳輸是合理規範的,參數策略是嚴謹準確的。在虛擬的網絡空間中,網絡行為應被規制和審計,不受約束的網絡空間,勢必會威脅電力監控系統的正常運行。
同時,要健全網絡安全管理制度,責任落實到位,工作流程清晰,應急處置高效,實現網絡行為能控、可控、在控,信息傳輸受到機密性、完整性和真實性的保護,避免被竊聽、冒充、篡改和抵賴,避免出現後門、病毒和網絡資源被非法佔用、控制等威脅,確保電力監控系統及其數據的安全。
>>>> 2.總體思路
以網絡安全標準化管理和告警信息治理為抓手,全面清理網絡空間中無用的軟件、程序行為和網絡連接,有序管理網絡報文傳輸的範圍和用戶的使用權限,規範現場作業的操作行為和網絡安全保障措施,及時發現並處置網絡安全風險及事件,全面營造清朗有序安全的電力監控系統網絡空間。
>>>>
3.活動目標深入推進電力監控系統網絡安全的標準化管理,保障各類電力監控系統達到“四消除兩關閉”(消除垃圾軟件、程序不良行為、缺省用戶和弱口令,關閉不必要的硬件接口和網絡服務)的安全管控要求,具備“三合理一規範”(網絡結構參數、安全防護策略、用戶權限配置合理,運維操作行為規範)的運行保障條件,實現網絡安全事件處置能力的顯著提升,保障電力監控系統網絡空間的清朗、有序和安全,為電力監控系統安全可靠運行創造良好環境。
>>>> 4.面向對象
活動範圍覆蓋各級變電站(包括開關站、 換流站) 和併網電廠。
>>>> 5.主體內容
◇ 清除垃圾、 強化管理,維護網絡空間清朗
以電力監控系統的運行需要為判別標準,全面梳理網絡空間內的各類資源, 消除其中的垃圾和不良行為。具體包括:排查在運系統和設備,消除不必要的硬件設備、軟件程序、日誌文件和系統賬號;持續監視和分析軟件的運行狀況,消除軟件的各種不良行為;排查賬號配置、口令設置和用戶使用情況,消除不必要的賬號,徹底解決弱口令問題;排查各類設備的網絡端口、 USB接口、串口、光驅等,關閉規定禁用和運行不使用的硬件接口;排查系統打開的網絡服務和監聽端口,關閉規定禁用或運行不使用的服務和端口。
◇ 合理配置、 規範運維,確保網絡空間有序
以設備作用對象正確、報文傳輸範圍合理、人員作業行為得當為準則,評估和優化網絡結構、網絡參數、安防策略、用戶權限的配置,發現並整改現場運維的不規範行為。具體包括:確保網絡連接、路由參數、應用網絡參數配置合理,保持局域網與調度數據網之間、調度數據網不同接入網之間的相對獨立,保障通信鏈路的建立正常有序;確保縱向裝置(卡)、防火牆等設備的防護策略合理,保障 TCP 連接和報文傳輸在網絡邊界的有序管控;確保用戶權限配置合理,按照最小化原則分配權限,保障Windows無administrator、Linux/Unix無root用戶模式運行;確保現場運維操作規範,嚴格落實安措,保障操作合理、審計嚴格。
◇ 提高告警質量、 防範安全風險,保障網絡空間安全
以網絡安全告警合理、響應處置高效、安全管理嚴格為標準,全面提升網絡安全保障能力。具體包括:開展網絡告警信息的分析和治理,及時消除無效告警;加強安全管控,有效防範外部網絡違規連接內網、外部設備違規接入系統、主機感染病毒(惡意代碼)等典型事件;加強運行值班、等保測評、安全評估等工作,強化安全責任落實,建立違規追責問責機制。
二、“清朗有序”解決方案
>>>> 1. 需求分析
目前電力監控系統的安全防護現狀是基於“安全分區、網絡專用、橫向隔離、縱向認證”的總體原則,在內部安全防護措施方面存在著一定的不足,特別是活動中提到的“四消除兩關閉”、“三合理一規範”中的不滿足項,要根據活動的要求,基於穩妥推進、確保安全落實的原則全面梳理、逐項落實。結合電力監控系統的網絡安全現狀,總結主要需求如下:
◇ “清朗”需求
“清朗”是維護網絡安全的關鍵基礎。在網絡空間中,網絡行為應以電力監控系統的運行需要為判別標準,消除垃圾軟件、程序不良行為、不必要賬戶,關閉不必要的硬件接口和網絡服務,實現網絡資源的有效利用,為電力監控系統運行提供“清朗”的網絡空間。
◇ “有序”需求
“有序”是保障網絡安全的重要內容。在網絡空間中,應以設備作用對象正確、報文傳輸範圍合理、人員作業行為得當為準則,合理配置網絡結構參數、安全防護策略、用戶權限,規範作業人員的網絡操作行為,實現網絡空間的有序運行,保障電力監控系統的有效運轉。
◇ 主機安全需求
在安全的網絡空間中,必須嚴格安全管控,採取措施有效防範外部網絡違規連接內網、外部設備違規接入系統、主機感染病毒(惡意代碼)等網絡安全事件。必須強化網絡告警的分析和治理,高效處置網絡安全事件,有效防範網絡安全風險,全面提升網絡安全的保障能力。
在電力監控系統中,工業主機是重要的保護對象,針對工業主機安全防護層面需要重點關注以下內容。
>>>> 2. 方案詳述
從整個“清朗有序”活動的目標和主體內容分析來看,涉及技術和管理兩個大的方面,就技術方面而言,可以通過產品加服務的方式完成。
◇ 一鍵式安全加固
通過工控主機衛士的安全加固功能對上位機(工程師站、操作員站、HMI等)和服務器進行一鍵式安全加固,不但能滿足“清朗有序”活動的要求,也同時滿足網絡安全等級保護、行業規範和企業監管的要求。
◇ 全方位安全防護
通過工控主機衛士的文件白名單、網絡白名單、雙因子認證、訪問控制、外設管理等功能對主機實現全方位安全防護,徹底杜絕病毒、非法外聯等安全隱患,提升主機的綜合安全水平。
◇ 專業化安全服務
涉及網絡設備配置優化調整的工作,需要有專業的技術人員通過服務的方式完成。工業現場要求業務可用性是第一位的,因此需要技術人員技術過硬的同時,能深入瞭解現場業務,按照規範的作業要求進行操作。
根據“清朗有序”的工作內容對應的整體解決方案如下表所示。
>>>> 3. 產品說明
主機加固、強制訪問控制和外設管理等功能的工業主機防護系統,能夠防範惡意程序的運行、非法外設接入,實現對工業主機的全面安全防護。工控主機衛士是國內唯一在Windows、Linux/Unix實現應用程序白名單、主機加固的產品,對中標麒麟、凝思等國產操作系統高度兼容;國內唯一針對操作系統Build版本號,內核版本進行細緻兼容性適配並現網應用,而非泛泛宣稱支持某操作系統;已適配50個Linux&Unix發行版本,32個Windows build版本。
◇“四重鎖定、兩個中心”構建工業主機安全計算環境
◇七大核心功能,構成安全計算環境基石
◇ 兼容性強,適用各種業務場景
>>>> 4. 實施過程
4.1 實施流程
工控主機衛士實施流程如下圖所示:
4.2 詳細說明
◇ 確認目標主機
目標主機為安裝工控主機衛士軟件的設備(工業主機、服務器、筆記本)。驗證現有業務系統的可用性(查看主機上所有業務系統軟件是否正常運行),建議在條件允許情況下重啟目標主機再次驗證業務系統可用性。
◇ 系統備份
對目標主機進行備份,防止接下來的殺毒操作影響業務的正常運行,對生產運行造成影響。
◇ 病毒掃描及處理
使用多種主流殺毒軟件對目標主機進行病毒掃描。如果目標主機中有病毒,在掃描結束後,需要與用戶進行充分溝通,由用戶確認後,方可對病毒進行處理。
通常情況下,在工控系統業務軟件目錄下的疑似文件不做立即處理。先將疑似文件備份到其它目錄系統下,然後驗證業務軟件的可用性,如果無法正常運行,則將文件還原;如業務軟件可以正常運行,則疑似文件可做殺毒處理。其他目錄下的病毒文件可通過進行處理,對於頑固性病毒需要已驗證的專殺工具處理。
◇ 驗證業務可用性
對主機的業務可用性進行驗證。根據現場情況,協調用戶對該目標主機所需執行的所有操作全覆蓋驗證,確保所有業務應用都能正常運行。當正常操作情況下業務軟件出現不可用,則通過前面的系統備份文件進行系統還原,系統還原後重新進行病毒處理操作。
◇ 工控主機衛士安裝
將工控主機衛士安裝U盤插入計算機,打開U盤並執行“Setup.exe”安裝程序,會顯示安裝嚮導,用戶可使用“選擇安裝目錄”功能自定義安裝路徑,也可以使用默認路徑。根據《工控主機衛士使用手冊》並結合用戶現場實際情況,進行工控主機衛士軟件的策略配置。
◇測試運行
工控主機衛士完成策略配置後,系統可以進行一定時間的試運行,試運行期間主要關注業務的可用性。具體試運行時間根據用戶現場情況確定。
◇正式運行
試運行結束後,根據試運行期間運行情況,向用戶申請轉入正式運行狀態,項目實施結束。
三、產品/服務清單及報價
四、實施案例
◇克什克騰旗某電力發展有限公司風力發電廠清朗有序項目,通過部署工控主機衛士對現場的電力監控系統的X臺Windows主機、X臺Linux主機和X臺Unix主機安全加固。
◇承德某綠色能源有限公司風力發電廠安全加固項目,通過部署工控主機衛士對現場電力監控系統的X臺Windows主機和X臺Linux主機進行安全加固,同時通過服務對網絡設備和安全設備進行策略調優和安全加固。
◇某電力股份有限公司光伏發電站清朗有序項目,通過部署工控主機衛士對現場電力監控系統的X臺Windows主機和X臺Linux主機進行安全加固,同時啟用“白名單”,實現惡意代碼防範功能。
閱讀更多 威努特工控安全 的文章
