电力监控系统网络安全典型告案例汇编.pdfVIP

电力监控系统 网络安全典型告警 案例汇编 国家电力调度控制中心 2018 年3 月 前 言 近年来国际上相继爆发了乌克兰大面积停电、勒索病毒 肆虐等网络安全事件，电力监控系统作为关键信息基础设施， 已成为国家间“网络战”首选攻击目标，安全形势严峻。为 全面加强网络空间的安全监管，各级调度机构依托内网安全 监视平台（网络安全管理平台）开展网络安全运行监视工作， 但目前平台中存在的大量无效告警，严重影响了网络安全运 行监视的效率，亟需开展告警治理工作。 为有效指导各单位开展告警治理，国调中心组织浙江、 江苏、宁夏公司以及北京科东、南瑞信通等单位梳理分析100 余篇告警分析报告，编制形成 《电力监控系统网络安全典型 告警案例汇编》。本汇编分为清朗、有序、安全三篇，共计28 个典型告警案例，旨在指导各级调控机构、变电站和电厂等 单位的网络安全运行管理人员和运维检修人员全面清理网 络空间中垃圾软件、程序不良行为和无效网络连接，合理配 置网络结构参数、安全防护策略，规范现场作业的操作行为， 及时发现并处置网络安全风险及事件，全面营造清朗有序安 全的电力监控系统网络空间。 目 录 第一篇 清朗篇 1 案例一、远动机未关闭SNTP 服务导致异常访问 2 案例二、远动机未关闭mDNS 服务导致异常访问 3 案例三、远动机未关闭DNS 服务导致异常访问 4 案例四、远动机未关闭NetBIOS 服务导致异常访问 5 案例五、计划工作站未关闭DHCP 服务导致异常访问 7 案例六、光功率预测服务器未关闭SSDP 服务导致异常访问 8 案例七、输入法软件自动更新导致异常访问 9 案例八、故录装置防病毒软件自动更新导致异常访问 11 案例九、电量终端Ping 本地路由器网关导致异常访问 12 案例十、电量主站前置机远程管理功能未关闭导致异常访问 13 第二篇 有序篇 15 案例十一、EMS 系统业务通道参数配置错误导致异常访问 16 案例十二、纵向装置策略配置错误导致EMS 正常业务访问被拦截 17 案例十三、纵向装置策略漏配导致日志报文被拦截 18 案例十四、保信子站存在默认路由导致局域网报文窜入数据网 19 案例十五、保信子站网络结构不规范导致局域网报文窜入数据网 20 案例十六、保信子站网络结构不规范导致数据网双接入网窜网互联 22 案例十七、远动机硬件设计缺陷导致报文串网传输 24 案例十八、故障录播装置硬件设计缺陷导致报文串网传输 25 案例十九、PMU 装置设计缺陷导致报文串网传输 27 案例二十、纵向装置内外网口网线反接导致正常业务访问被拦截 29 案例二十一、纵向装置报 “证书不存在”告警 30 案例二十二、纵向装置报 “隧道没有配置”告警 31 案例二十三、纵向装置报 “验证签名错误”告警 32 案例二十四、纵向装置报 “私钥解密错误”告警 33 第三篇 安全篇 34 案例二十五、远动机感染病毒导致异常访问 35 案例二十六、外部设备违规接入导致异常访问 36 案例二十七、外部设备接入导致违规外联 37 案例二十八、内部交换机违规接入互联网 38 第一篇 清朗篇 清朗，是指网络空间中的应用服务是必需的，网络连接 是清晰必要的。网络空间是虚拟的，但各类网络对象应当是 明确的，其网络行为是清楚明朗的。杂乱无章的网络空间， 势必会影响运行系统的正常运转。 清朗是维护网络安全的关键基础。在网络空间中，网络 行为应以电力监控系统的运行需要为判别标准，消除垃圾软 件、程序不良行为、不必要账户，关闭不必要的硬件接口和 网络服务，实现网络资源的有效利用，为电力监控系统运行 提供清朗的网络空间。 本篇选取的10个典型案例，具体包括主机未关闭SNTP、 mDNS、DNS、NetBIOS、DHCP、SSDP 等不必要服务引发的告警， 输入法、防病毒软件误配互联网更新等不良访问行为引起的 告警，电量终端网络连通测试等无价值程序行为引起的告警 等。通过本篇案例的学习，有助于提升电力监控系统从