电力监控系统网络安全典型告警案例汇编

电力监控系统 网络安全典型告警 案例汇编 国家电力调度控制中心国家电力调度控制中心 2012018 8 年年 3 3 月月 前前 言言 近年来国际上相继爆发了乌克兰大面积停电、勒索病毒 肆虐等网络安全事件，电力监控系统作为关键信息基础设施， 已成为国家间“网络战”首选攻击目标，安全形势严峻。为 全面加强网络空间的安全监管，各级调度机构依托内网安全 监视平台 （网络安全管理平台） 开展网络安全运行监视工作， 但目前平台中存在的大量无效告警，严重影响了网络安全运 行监视的效率，亟需开展告警治理工作。 为有效指导各单位开展告警治理，国调中心组织浙江、 江苏、 宁夏公司以及北京科东、 南瑞信通等单位梳理分析 100 余篇告警分析报告，编制形成电力监控系统网络安全典型 告警案例汇编 。本汇编分为清朗、有序、安全三篇，共计 28 个典型告警案例，旨在指导各级调控机构、变电站和电厂等 单位的网络安全运行管理人员和运维检修人员全面清理网 络空间中垃圾软件、程序不良行为和无效网络连接，合理配 置网络结构参数、 安全防护策略， 规范现场作业的操作行为， 及时发现并处置网络安全风险及事件，全面营造清朗有序安 全的电力监控系统网络空间。 目目 录录 第一篇第一篇 清朗篇清朗篇 1 案例一、远动机未关闭案例一、远动机未关闭 SNTPSNTP 服务导致异常访问服务导致异常访问 . 2 案例二、远动机未关闭案例二、远动机未关闭 mDNSmDNS 服务导致异常访问服务导致异常访问 . 3 案例三、远动案例三、远动机未关闭机未关闭 DNSDNS 服务导致异常访问服务导致异常访问 . 4 案例四、远动机未关闭案例四、远动机未关闭 NetBIOSNetBIOS 服务导致异常访问服务导致异常访问 . 5 案例五、计划工作站未关闭案例五、计划工作站未关闭 DHCPDHCP 服务导致异常访问服务导致异常访问 . 7 案例六、光功率预测服务器未关闭案例六、光功率预测服务器未关闭 SSDPSSDP 服务导致异常访问服务导致异常访问 . 8 案例案例七、输入法软件自动更新导致异常访问七、输入法软件自动更新导致异常访问 . 9 案例八、故录装置防病毒软件案例八、故录装置防病毒软件自动更新自动更新导致异常访问导致异常访问 . 11 案例九、电量终端案例九、电量终端 PingPing 本地路由器网关导致异常访问本地路由器网关导致异常访问 . 12 案例十、电量主站前置机远程管理功能未关闭导致异常访问案例十、电量主站前置机远程管理功能未关闭导致异常访问 . 13 第二第二篇篇 有序篇有序篇 15 案例十一、案例十一、EMSEMS 系统业务通道参数配置错误导致异常访问系统业务通道参数配置错误导致异常访问 16 案例案例十二十二、纵向装置策略配置错误导致、纵向装置策略配置错误导致 EMSEMS 正常业务访问被拦截正常业务访问被拦截 . 17 案例案例十三十三、纵向装置策略漏配导致日志报文被拦截、纵向装置策略漏配导致日志报文被拦截 . 18 案例十四、保案例十四、保信子站存在默认路由导致局域网报文窜入数据网信子站存在默认路由导致局域网报文窜入数据网 . 19 案例十五、保信子站网络结构不规范导致局域网报文窜入数据网案例十五、保信子站网络结构不规范导致局域网报文窜入数据网 . 20 案例十六、保信子站网络结构不规范导致数据网双接入网窜网互联案例十六、保信子站网络结构不规范导致数据网双接入网窜网互联 . 22 案例十七、远动机硬件设计缺陷导致报文串网传输案例十七、远动机硬件设计缺陷导致报文串网传输 . 24 案例十八、故障录播装置硬件设计缺陷导致报文串网传输案例十八、故障录播装置硬件设计缺陷导致报文串网传输 . 25 案例十九、案例十九、PMUPMU 装置设计缺陷导致报文串网传输装置设计缺陷导致报文串网传输 27 案例二十、纵向装置内外网口网线反接导致正常业务访问被拦截案例二十、纵向装置内外网口网线反接导致正常业务访问被拦截 . 29 案例二十一、纵向装置报案例二十一、纵向装置报“证书不存在证书不存在”告警告警 . 30 案例二十二、纵向装置报案例二十二、纵向装置报“隧道没有配置隧道没有配置”告警告警 . 31 案例二十三、纵向装置报案例二十三、纵向装置报“验证签名错误验证签名错误”告警告警 . 32 案例二十四、纵向装置报案例二十四、纵向装置报“私钥解密错误私钥解密错误”告警告警 . 33 第三篇第三篇 安全篇安全篇 34 案例二十五、远动机感染病毒导致异常访问案例二十五、远动机感染病毒导致异常访问 . 35 案例二十六、外部设备违规接入导致异常访问案例二十六、外部设备违规接入导致异常访问 . 36 案例二十七、外部设备接入案例二十七、外部设备接入导致导致违规外联违规外联 . 37 案例二十八、内部交换案例二十八、内部交换机违规机违规接入接入互联网互联网 . 38 1 第一篇第一篇 清朗篇清朗篇 清朗，是指网络空间中的应用服务是必需的，网络连接 是清晰必要的。网络空间是虚拟的，但各类网络对象应当是 明确的，其网络行为是清楚明朗的。杂乱无章的网络空间， 势必会影响运行系统的正常运转。 清朗是维护网络安全的关键基础。在网络空间中，网络 行为应以电力监控系统的运行需要为判别标准，消除垃圾软 件、程序不良行为、不必要账户，关闭不必要的硬件接口和 网络服务，实现网络资源的有效利用，为电力监控系统运行 提供清朗的网络空间。 本篇选取的10个典型案例， 具体包括主机未关闭SNTP、 mDNS、 DNS、 NetBIOS、 DHCP、 SSDP 等不必要服务引发的告警， 输入法、防病毒软件误配互联网更新等不良访问行为引起的 告警，电量终端网络连通测试等无价值程序行为引起的告警 等。通过本篇案例的学习，有助于提升电力监控系统从业人 员的告警处置水平，进一步落实“四消除两关闭”的安全管 控要求，清除电力监控系统网络空间中的垃圾，强化网络安 全标准化管理，营造清朗的网络空间。 2 案例一、远动机未关闭案例一、远动机未关闭 SNTPSNTP 服务导致异常访问服务导致异常访问 一、一、 告警信息告警信息 某变电站实时纵向加密认证装置发出重要告警： 不符合安全策略 的访问，*.*.65.1 访问广播或组播地址*.*.65.255 的 123 端口。 二、二、 原因分析原因分析 *.*.65.1 为变电站远动机地址， *.*.65.255 为本网段广播地址， UDP 的 123 目的端口为 SNTP（Simple Network Time Protocol）协议 端口。 SNTP 是简单网络时间协议， 主要用来同步网络中计算机系统的 时间。 SNTP 服务端在广播模式下会周期性地发送消息给指定广播地 址或多播地址， SNTP 客户端通过监听这些地址来获得时间信息。 远动 机开启了 SNTP 服务端程序，其向广播地址*.*.65.255 发送的对时报 文被纵向加密认证装置拦截产生告警。 变电站站内装置实际和时间同 步装置进行对时，并无需与远动机对时。 三、三、 解决方案解决方案 1修改远动机配置参数，关闭 SNTP 服务端程序。 2若站内没有时间同步装置，确需用远动机做对时服务，保留 远动机 SNTP 服务端程序，限制远动机的对时广播报文仅通过远动机 站内网卡发送，确保不发送到调度数据网络中。 3 案例二、远动机未关闭案例二、远动机未关闭 mDNSmDNS 服务导致异常访问服务导致异常访问 一、一、 告警信息告警信息 某变电站实时纵向加密认证装置发出重要告警： 不符合安全策略 的访问，*.*.3.9 访问 244.0.0.251 的 5353 端口。 二、二、 原因分析原因分析 *.*.3.9 为变电站远动机地址（Linux 操作系统）， 244.0.0.251 是保留的组播地址，UDP 的 5353 目的端口为 mDNS （multicast DNS）协议端口。mDNS 服务用于局域网中的主机相互 发现对方,并描述它们提供的服务，该服务利用组播地址 244.0.0.251 来向局域网内发送搜索消息，以获得其他主机的 IP 地 址和服务端口。远动机开启了 mDNS 服务，当远动机作为服务端访问 组播保留地址 244.0.0.251 时被纵向加密认证装置拦截后产生告 警，而变电站内实际并不需要此类服务。 三、三、 解决方案解决方案 1执行/etc/init.d/avahi-daemon stop 关闭当前服务，同时 执行 chkconfig avahi-daemon off 禁用该服务，防止系统重启时自 动运行该服务。 2在 Linux 操作系统的 iptables 上设置访问控制策略，禁止 向外发出目的端口为 5353 的网络报文。 4 案例三、远动机未关闭案例三、远动机未关闭 DNSDNS 服务导致服务导致异常访问异常访问 一、一、 告警信息告警信息 某变电站实时纵向加密认证装置发出重要告警： 不符合安全策略 的访问， *.*.12.194 访问 202.106.46.151、 202.106.195.68 的 53 端 口。 二、二、 原因分析原因分析 *.*.12.194 为变电站远动机（Linux 操作系统）地址，目的地 址为非业务的未知地址。UDP 的 53 目的端口为 DNS（Domain Name System 域名解析服务）协议端口，DNS 协议主要用于主机名和 IP 地 址的映射转换。该变电站远动机配置了不必要的 DNS 服务器的 IP 地 址（202.106.46.151、202.106.195.68），导致 DNS 服务往外发出 报文，被纵向加密认证装置拦截后产生告警。 三、三、 解决方案解决方案 1 将/etc/resolv.conf 中“nameserver“地址删除， 并以 root 权 限在终端中输入“service named stop”关闭 DNS 服务。 2在 Linux 操作系统的 iptables 上设置访问控制策略，禁止 向外发出目的端口为 53 的网络报文。 5 案例案例四四、远动机未关闭、远动机未关闭 NetBIOSNetBIOS 服务导致异常访问服务导致异常访问 一、一、 告警信息告警信息 某变电站实时纵向加密认证装置发出重要告警： 不符合安全策略 的访问，*.*.100.4 访问*.*.40.254 的 138 端口。 二、二、 原因分析原因分析 *.*.100.4 为变电站远动机站内地址（Windows 操作系统）， *.*.40.254 为数据网网关地址。 UDP 的 138 目的端口主要作用是提供 NetBIOS 环境（Windows 操作系统专有）下的计算机名浏览功能。该 变电站远动机系统自动启动 NetBIOS 服务， 远动机通讯模块作为客户 端访问站内装置的服务端， 当出现服务端不可访问时 （如通信中断） ， 则远动机通过数据网网口向外尝试发起通讯连接，产生*.*.100.4 访 问*.*.40.254 的 138 端口的报文，被纵向加密认证装置拦截后产生 告警。 三、 解决方案解决方案： 1停用远动机上的 NetBIOS 服务，停用方法下图。设定各业务使 用的明细路由，删除所有默认路由。检查远动机站内通讯情况，对站 内通讯中断设备进行消缺。 6 2关闭 Windows 操作系统的 NetBIOS 服务可能被漏洞利用的端 口，操作步骤参考国调中心关于印发 Windows 操作系统安全加固指 导手册的通知 （调网安2017169 号文）加固项 Windows-02-01- 02。 7 案例五案例五、计划工作站未关闭、计划工作站未关闭 DHCPDHCP 服务导致异常访问服务导致异常访问 一、一、 告警信息告警信息 某电厂非实时纵向加密认证装置发出重要告警：不符合安全策 略的访问，0.0.0.0 访问 255.255.255.255 的 67 端口。