清朗有序安全网络的空间创建活动及典型告警的案例汇编培训.pptxVIP

网络安全典型告警及 清朗有序安全网络空间创建活劢 一、创建活动背景 二、创建活动目标与思路 三、创建活动内容与计划 四、典型告警案例汇编 内容提纲 2017年公司网络安全告警趋势 2017年，公司33家省级以上单位电力监控系统共収生网 络安全紧急告警102次、重要告警317434次。 11706 13502 11775 18389 37463 52535 52484 50967 68613 4月 5月 6月 7月 8月 9月 10月 11月 12月 2017年公司系统网络安全重要告警变化趋势 安全事 件类 18% 无序类 49% 垃圾干 扰类 33% 紧急告警情况 •主机感染病毒 •外部设备接入 • 无用网络服务未关闭等 • 网络结构缺陷导致报文串网 • 程序无效行为 安全类告警 18% 非安全告警 82% 2017年公司网络安全紧急告警分析 2017年収生的102次紧急告警，其中安全事件18次，设 备无序告警50次，垃圾干扰类告警34次。 安全类告警——感染病毒 案例1 主机感染病毒 一、告警信息 某变电站非实时纵向加密认证装置发出紧急告警：不符合安全策略的访问， *.*.27.150访问44383个非业务地址的445端口。 安全类告警——感染病毒 二、原因分析 *.*.27.150为该保信子站主机IP地址，目标地址不固定，目的端口为TCP的445端 口，用于在局域网中访问各种共享文件夹或共享打印机，多种病毒可以利用445端口 对系统进行入侵。绊现场检查分析，确认该主机感染了W32.Downadup顽固病毒 （ 也称Conficker蠕虫病毒）。该病毒于2008年被収现，主要利用Windows操作系 统MS08-067传播，也能借劣USB设备来传播感染。病毒収作时会自劢向同网段IP以 及随机生成的IP収起445端口访问请求，其请求报文被纵向加密认证装置拦截产生告 警。 安全类告警——感染病毒 三、解决方案 1．采用Symantec（赛门铁克）软件W32.Downadup病毒与杀工具查杀。 2．关闭Windows操作系统的445端口，操作步骤参考《国调中心关于印収 Windows操作系统安全加固指导手册的通知》（调网安〔2017〕169号 文）加固项Windows-02-01-02。 非安全类告警——无用服务未关闭 案例2 无用服务未关闭 一、告警信息 某电厂非实时纵向加密认证装置发出重要告警：不符合安全策略的访问， 的68端口访问55的67端口。 非安全类告警——无用服务未关闭 二、原因分析 为非实际通信地址，55为全段广播地址，UDP的68源端口 和UDP的67目的端口为DHCP协议(Dynamic Host Configuration Protocol，动态 主机配置协议)端口，DHCP协议主要用于动态分配 IP 地址和配置信息。通过现场抓 包获取“”对应MAC地址，并比对所有接入非实时数据网交换机内主机MAC 地址，定位了数据包为电厂内检修计划工作站（Windows操作系统）发出。该工作 站开启了DHCP服务，其发出的到55的DHCP请求被纵向加密 认证装置拦截后产生告警。 三、解决方案 关闭Windows操作系统的DHCP服务，操作步骤参考《国调中心关于印収 Windows操作系统安全加固指导手册的通知》（调网安〔2017〕169号文）加固项 Windows-02-01-01。 非安全类告警—报文串网 案例3 不同数据网接入网之间报文串网 一、告警信息 某变电站非实时纵向加密认证装置収出重要告警：不符合安全策略的访问，源IP *.*.134.165多次访问目的IP *.*.20.7的102端口。 二、原因分析 源IP*.*.134.165为该变电站的保信子站服务器调度数据网省调接入网IP地址，目 的端口102为正常业务端口，用于上送保信数据。目的IP *.*.20.7为省调主站保护前置 机。现场接线情况如下图所示。 保信子站A 保信子站B *.*.134.165 网调数据网 接入屏 网调接入网接 入路由器 纵向加密认证装置 *.*.213.253 II区实时交换机 省调数据网 接入屏 省调接入网接 入路由器 纵向加密认证装置 II区实时交换机 保护综合交换机 交 流 保 护 直 流 保 护 故 障 定 位 故 障 测 距 保信子站交换机 故障录波交换机 故 障 录 波 装 置 一 故 障 录 波 装 置 二 故 障 录 波 装 置 三 非安全类告警—报文串网 *.*.20.7 省调主站保护前置机 非安全类告警—报文串网 根据数据交互要求，保信子站A，保信子站B应分别接入网调数据网非实时