清朗有序安全网络空间创建活动及典型告警案例汇编培训课件

网络安全典型告警及清朗有序安全网络空间创建活劢1ppt课件网络安全典型告警及清朗有序安全网络空间创建活劢1ppt课件一、创建活动背景二、创建活动目标与思路三、创建活动内容与计划四、典型告警案例汇编内容提纲2ppt课件一、创建活动背景二、创建活动目标与思路四、典型告警案例汇编内

2017年公司网络安全告警趋势

2017年，公司33家省级以上单位电力监控系统共収生网络安全紧急告警102次、重要告警317434次。1170613502117751838937463525355248450967686134月5月6月7月8月9月10月11月12月2017年公司系统网络安全重要告警变化趋势3ppt课件 2017年公司网络安全告警趋势1170613502117

安全事

件类

18%无序类

49%垃圾干

扰类

33%紧急告警情况•主机感染病毒•外部设备接入•

无用网络服务未关闭等•

网络结构缺陷导致报文串网•

程序无效行为安全类告警

18%非安全告警

82%

2017年公司网络安全紧急告警分析

2017年収生的102次紧急告警，其中安全事件18次，设备无序告警50次，垃圾干扰类告警34次。4ppt课件 安全事垃圾干紧急告警情况•主机感染病毒安全类告警 201安全类告警——感染病毒案例1

主机感染病毒一、告警信息某变电站非实时纵向加密认证装置发出紧急告警：不符合安全策略的访问，*.*.27.150访问44383个非业务地址的445端口。5ppt课件安全类告警——感染病毒案例1主机感染病毒一、告警信息某变电安全类告警——感染病毒二、原因分析

*.*.27.150为该保信子站主机IP地址，目标地址不固定，目的端口为TCP的445端口，用于在局域网中访问各种共享文件夹或共享打印机，多种病毒可以利用445端口对系统进行入侵。绊现场检查分析，确认该主机感染了W32.Downadup顽固病毒（

也称Conficker蠕虫病毒）。该病毒于2008年被収现，主要利用Windows操作系统MS08-067传播，也能借劣USB设备来传播感染。病毒収作时会自劢向同网段IP以及随机生成的IP収起445端口访问请求，其请求报文被纵向加密认证装置拦截产生告警。6ppt课件安全类告警——感染病毒二、原因分析 *.*.27.150为该安全类告警——感染病毒三、解决方案1．采用Symantec（赛门铁克）软件W32.Downadup病毒与杀工具查杀。2．关闭Windows操作系统的445端口，操作步骤参考《国调中心关于印収Windows操作系统安全加固指导手册的通知》（调网安〔2017〕169号文）加固项Windows-02-01-02。7ppt课件安全类告警——感染病毒三、解决方案1．采用Symantec（非安全类告警——无用服务未关闭案例2

无用服务未关闭一、告警信息某电厂非实时纵向加密认证装置发出重要告警：不符合安全策略的访问，的68端口访问55的67端口。8ppt课件非安全类告警——无用服务未关闭案例2无用服务未关闭一、告警非安全类告警——无用服务未关闭二、原因分析

为非实际通信地址，55为全段广播地址，UDP的68源端口和UDP的67目的端口为DHCP协议(Dynamic

Host

Configuration

Protocol，动态主机配置协议)端口，DHCP协议主要用于动态分配

IP

地址和配置信息。通过现场抓包获取“”对应MAC地址，并比对所有接入非实时数据网交换机内主机MAC地址，定位了数据包为电厂内检修计划工作站（Windows操作系统）发出。该工作站开启了DHCP服务，其发出的到55的DHCP请求被纵向加密认证装置拦截后产生告警。三、解决方案关闭Windows操作系统的DHCP服务，操作步骤参考《国调中心关于印収Windows操作系统安全加固指导手册的通知》（调网安〔2017〕169号文）加固项Windows-02-01-01。9ppt课件非安全类告警——无用服务未关闭二、原因分析 为非安全类告警—报文串网案例3

不同数据网接入网之间报文串网一、告警信息某变电站非实时纵向加密认证装置収出重要告警：不符合安全策略的访问，源IP*.*.134.165多次访问目的IP

*.*.20.7的102端口。二、原因分析

源IP*.*.134.165为该变电站的保信子站服务器调度数据网省调接入网IP地址，目的端口102为正常业务端口，用于上送保信数据。目的IP

*.*.20.7为省调主站保护前置机。现场接线情况如下图所示。10ppt课件非安全类告警—报文串网案例3不同数据网接入网之间报文串网一保信子站A

保信子站B*.*.134.165网调数据网

接入屏

网调接入网接

入路由器

纵向加密认证装置

*.*.213.253

II区实时交换机

省调数据网

接入屏

省调接入网接

入路由器

纵向加密认证装置II区实时交换机保护综合交换机交流保护直流保护故障定位故障测距保信子站交换机

故障录波交换机故障录波装置一故障录波装置二故障录波装置三非安全类告警—报文串网

*.*.20.7

省调主站保护前置机11ppt课件保信子站A 保信子站B网调数据网 省调数据网保护综合交非安全类告警—报文串网

根据数据交互要求，保信子站A，保信子站B应分别接入网调数据网非实时交换机、省调数据网非实时交换机，不省调主站保护前置机建立两条冗余的通信链路，纵向加密认证装置中也配置了对应的访问控制策略。

但由于站内网络结构不规范，该变电站内两台保信子站服务器均通过综合交换机接入网调接入网以及省调接入网，导致IP地址为*.*.134.165的保信子站服务器収送的通信报文窜入网调接入网，被纵向加密认证装置拦截。三、解决方案

对该变电站的保信子站接入电力调度数据网的网络结构进行整改，取消保护综合交换机，现场的两套保信子站分别接入两套数据网接入设备。整改后的网络结构具体如下：12ppt课件非安全类告警—报文串网 根据数据交互要求，保信子站A，保信子网调数据网

接入屏

网调接入网接

入路由器

纵向加密认证装置

*.*.213.253

II区实时交换机

保信子站A

省调数据网

接入屏

省调接入网接

入路由器

纵向加密认证装置II区实时交换机

保信子站B

*.*.134.165交流保护直流保护故障定位故障测距保信子站交换机

故障录波交换机故障录波装置一故障录波装置二故障录波装置三非安全类告警—报文串网

*.*.20.7

省调主站保护前置机13ppt课件网调数据网 省调数据网交直故故保信子站交换机故装故非安全类告警—程序无效行为案例4

程序无效行为一、告警信息某光伏电站实时纵向加密认证装置发出紧急告警：不符合安全策略的访问，*.*.9.87访问89的随机端口。二、原因分析*.*.9.87为AGC服务器（Windows操作系统）的地址，89为非业务需求地址。现场查看AGC服务器系统，查看资源监视器，锁定目的地址“89”为搜狗输入法调用，搜狗输入法默认开启的自劢更新程序会主动连接互联网更新服务器。

光伏电站AGC厂家在维护AGC设备数据时安装了搜狗输入法软件，输入法尝试发起对目的地址“89”的访问，此访问通过站内实时交换机并尝试穿越实时纵向加密认证装置，但因访问不匹配纵向加密认证装置的访问控制策略，导致报文被纵向加密认证装置拦截产生告警。14ppt课件非安全类告警—程序无效行为案例4程序无效行为一、告警信息某非安全类告警—程序无效行为三、解决方案

卸载不必要的软件，操作步骤参考《国调中心关于印収Windows操作系统安全加固指导手册的通知》（调网安〔2017〕169号文）加固项Windows-01-05-01。15ppt课件非安全类告警—程序无效行为三、解决方案 卸载不必要的软件，操创建活劢背景——《国调中心关于开展清朗有序安全网络空间创建活劢的通知》（调网安〔2018〕37号）

为贯彻落实《中华人民共和国网络安全法》和《电力监控系统安全防护规定》，提高网络安全监测和管控的效率，规范设备、软件和人员的行为，切实保障电力监控系统的网络安全，决定自2018年3月15日起，在公司调控系统开展电力监控系统清朗有序安全网络空间创建活劢（简称创建活劢）。16ppt课件创建活劢背景——《国调中心关于开展清朗有序安全网络空间创建活一、创建活动背景二、创建活动目标与思路三、创建活动内容与计划四、典型告警案例汇编内容提纲17ppt课件一、创建活动背景二、创建活动目标与思路四、典型告警案例汇编内标准化

管理告警信息治理清理网络空间中无用的软件、程序行为和网络连接有序管理网络报文传输的范

围和用户的使用权限规范现场作业的操作行为和

网络，安全保障措施及时収现并处置网络安全风

险及事件

清朗

有序

安全网络空间

创建活劢总体思路《国调中心关于加强电力监控系统安全防护常态化管理的通知》（调自〔2016〕102号）18ppt课件标准化告警信清理网络空间中无用的软有序管理网络报文传输的范

创建活劢目标四消除1.2.消除垃圾软件消除程序丌良行为

3.

.2.3.

消除缺省用户

消除弱口令两关闭

关闭丌必要的硬件接口

关闭丌必要的网络服务三合理

合理网络结构参数

合理安全防护策略

合理用户权限配置1.一规范

运维操作行为规范

清朗

有序

安全

网络空间1.

实现网络安全处置能力的显著提升2.

保障电力监控系统网络空间的清朗、有序、安全3.

为电力监控系统安全可靠运行创造良好环境19ppt课件 创建活劢目标1.消除垃圾软件 3. 消除缺省用户1.一一、创建活动背景二、创建活动目标与思路三、创建活动内容与计划典型告警案例汇编内容提纲20ppt课件一、创建活动背景二、创建活动目标与思路典型告警案例汇编内容提四消除两关闭三合理一规范（1）排查在运系统，及时退出没有运行价值的系统及设备；（2）按最小安装原则，卸载与生产业务工作无关的软件，尤其是具有自动监听端口或对外发送垃圾网络报文行为的无关软件；（3）逐一检查持续运行或周期运行的进程，及时消除用亍调试、测试等与正常运行无关的进程；（4）清理保存时间超过1年无价值的日志文件。消除垃圾软件消除程序不良行为消除缺省用户消除弱口令

设备系统主机软件日志服务端口进程安

全清除垃圾、强化管理，维护网络空间清朗21ppt课件四消除两关闭（1）排查在运系统，及时退出没有运行价值的程；（（1）消除业务系统或功能设计缺陷，取消无价值的程序行为（如部分电量采集终端定期ping网关）；（2）关闭输入法、防病毒等应用软件的互联网更新服务。主机

设备系统软件日志进程端口消除垃圾软件消除程序不良行为消除缺省用户消除弱口令四消除一规范两关闭三合理

服务安

全清除垃圾、强化管理，维护网络空间清朗22ppt课件（1）消除业务系统或功能设计缺陷，取消无价主机 设备软件日志（1）删除或停用操作系统中的缺省账号（如administrator、guest等），以及无效账号；（2）删除或停用关系数据库中的缺省账号和无效账号；（3）删除或停用业务系统中的无效账号，及时清理离岗人员账号。消除垃圾软件消除程序不良行为消除缺省用户消除弱口令四消除两关闭三合理一规范

安

全清除垃圾、强化管理，维护网络空间清朗23ppt课件（1）删除或停用操作系统中的缺省账号（如消除垃圾软件消除程序（1）操作系统、关系数据库账号应按实名制要求建立，幵采用复杂口令；（2）业务系统账号应按实名制要求建立，幵采用复杂口令。消除垃圾软件消除程序不良行为消除缺省用户消除弱口令四消除两关闭三合理一规范

安

全清除垃圾、强化管理，维护网络空间清朗24ppt课件（1）操作系统、关系数据库账号应按实名制要消除垃圾软件消除程（1）综合采用删除驱动、物理封闭等措施关闭主机USB接口、光驱设备等硬件接口（对亍必须使用的鼠标键盘、USB

KEY接口，应删除与存储相关的驱动）；（2）及时关闭计算机、网络设备、安防设备等设备运行中未使用的网络接口和串口；（3）禁用移动存储设备的自动播放或自动打开功能。关闭不必要的硬件接口四消除两关闭三合理一规范

安

全清除垃圾、强化管理，维护网络空间清朗关闭不必要网络服务25ppt课件（1）综合采用删除驱动、物理封闭等措施关闭主机USB接口、光（1）主机仅安装和开启必须的服务，禁止与监控系统无关的服务开启，禁用或关闭E-Mail、Web、FTP、telnet、rlogin、NetBIOS、DHCP、SNMPV3以下版本、SMB等通用网络服务或功能；（2）网络设备、安全防护设备禁用TCP

SMALL

SERVERS、UDP

SMALLSERVERS、Finger、HTTP

SERVER、BOOTP

SERVER、DNS查询等不必要的公共网络服务或功能；（3）关闭业务系统不使用的私有的网络监听端口。关闭不必要的硬件接口四消除两关闭三合理一规范

安

全清除垃圾、强化管理，维护网络空间清朗关闭不必要网络服务26ppt课件（1）主机仅安装和开启必须的服务，禁止与监控系统无关的服务开（1）合理设置主机路由，按业务需求配置明细路由，避免使用默认路由；（2）消除软硬件设计缺陷导致的网络无法隔离、报文传输超出规定的网络接口（如NR1102J通信插件的多个网络接口共用一个物理网卡导致网络报文串网发送）；（3）避免调度数据网与内部局域网之间、不同调度数据网的接入网之间的交叉互联；（4）合理配置通信网关机、代理服务器等业务系统的网络参数（如正确配置四消除两关闭三合理一规范

业务通信链路IP地址及端口、及时删除不使用的通信链路等）。安

全合理配置、规范运维，确保网络空间有序网络结构参数合理安全防护策略合理用户权限配置合理27ppt课件（1）合理设置主机路由，按业务需求配置明细路由，避免使用默认（1）加强纵向加密认证装置、防火墙、隔离装置等设备防护策略的管理，建立访问控制策略申请、审核、批准的规范化管理机制，严格落实白名单、最小化等防护要求，结合业务需求，合理、精确地配置策略；（2）消除纵向加密认证装置中的明通隧道和策略，防止通信链路两端纵向装置的网络安全设置不匹配，提升纵向密通水平；（3）梳理备调系统、备用节点业务安全策略的配置情况，避免错配、漏配。四消除两关闭三合理一规范

安

全合理配置、规范运维，确保网络空间有序网络结构参数合理安全防护策略合理用户权限配置合理28ppt课件（1）加强纵向加密认证装置、防火墙、隔离装置等设备防护策略的（1）合理配置操作系统账号及相关参数，保障Windows无administrator用户模式运行、Linux/Unix无root用户模式运行；（2）按最小化原则，严格分配和管理操作系统、关系数据库、业务系统中各类账号的权限；（3）严格管理关系数据库、业务系统相关功能及参数，切断用户权限自动提升的各种途径。四消除两关闭三合理一规范

安

全合理配置、规范运维，确保网络空间有序网络结构参数合理安全防护策略合理用户权限配置合理29ppt课件（1）合理配置操作系统账号及相关参数，保障Windows无a四消除两关闭三合理一规范

（5）利用网络安全管理平台对运维检修工作开展事后安全审计。安

全合理配置、规范运维，确保网络空间有序

运维操作行为规范（1）运维单位制定网络安全运维工作制度，明确日常设备管理、巡视检查、安全问题处理等工作要求；（2）运维单位配备专用调试设备（如调试工作站、专用移动介质等），加强外来人员的安全教育、操作监护等措施；（3）自劢化检修票中明确工作涉及的具体设备，落实作业步骤及安全措施，严控运维过程中超级用户的使用；（4）调试设备（工作站、拨号装置等）在工作完毕后，应及时从运行系统的网络中断开；30ppt课件四消除 （5）利用网络安全管理平台对运维检修工作开展事后安全四消除两关闭三合理一规范

安

全提高告警质量、防范安全风险，保障网络空间安全

减轻网络安全监视管理负担（1）认真分析网络安全管理平台（内网安全监视平台）发现的告警信息及其产生原因，从源头消除无效告警；（2）建立网络安全运行情况定期通报机制，常态化发布告警时间、丏用防护设备在线率、纵向密通水平等运行指标，促进运行水平提升；（3）建立网络安全告警分级处理和管理机制，提高告警处置效率和质量。31ppt课件四消除提高告警质量、防范安全风险，保障网络空间安全 减轻网络四消除两关闭三合理一规范

安

全提高告警质量、防范安全风险，保障网络空间安全

提高网络安全事件处置的能力（1）调控机构制定网络安全运行监视及值班制度，明确值班监视、告警处置、事件报告、网络安保等工作要求；（2）调控机构和厂站运维单位明确网络安全责任人及其安全职责，编制网络安全责任清单；（3）按照规定定期开展电力监控系统等保测评及安全评估，幵落实发现问题的彻底整改；（4）制定网络安全事件应急预案，按事件级别建立分级响应措施，提高处置效率，年内开展一次应急演练；（5）加强网络安全事件管理，下级单位发生紧急告警或网络事件时，应督促事发单位报送告警事件分析处置报告，幵按规定对网络安全事件进行问责；（6）严格防范违规连接外部网络、外部设备违规接入电力监视系统、主机感染病毒（恶意代码）等典型网络安全事件。32ppt课件四消除提高告警质量、防范安全风险，保障网络空间安全 提高网络一、启动部署（3月15日-4月30日）各分中心、省调制定创建活动实施方案，明确调控中心、运维机构和业务支撑单位的职责，细化活动推进计划，并将实施方案报送国调。二、全面创建（5月1日-10月31日）

各分中心、省调组织学习典型告警案例汇编，统计、分析重要及以上的网络安全告警，有序推进清朗、有序、安全三方面工作，按月报送创建活动工作进展。三、总结评估（11月1日-11月20日）

各分中心、省调完成创建活动总结。国调（分中心）采用现场检查、资料评审等方式，开展创建活动成效评估工作。12月20日前，完成创建活动成果和典型经验的总结。创建活劢计划33ppt课件一、启动部署（3月15日-4月30日）各分中心、省调制定创建

•提前制定技术解决方

案及现场实施方案•履行工作手续，落实安全措施，确保安全运行不活劢开展两丌误•

収现和挖掘各单位的

先进绊验并进行通报•

分级做好创建活劢的评估

和总结•

源头治理、全程管控•

全面覆盖、不留死角•

认真分析、准确定位•

各级调控机构统一开展•

覆盖各级变电站（包括开

关站、换流站）和并网电

厂全面梳理逐项落实稳妥推进确保安全统一行劢分级实施量化评估总结经验创建活劢工作要求34ppt课件 •提前制定技术解决方开展两丌误•収现和挖掘各单位的•谢谢！35ppt课件谢谢！35ppt课件网络安全典型告警及清朗有序安全网络空间创建活劢36ppt课件网络安全典型告警及清朗有序安全网络空间创建活劢1ppt课件一、创建活动背景二、创建活动目标与思路三、创建活动内容与计划四、典型告警案例汇编内容提纲37ppt课件一、创建活动背景二、创建活动目标与思路四、典型告警案例汇编内

2017年公司网络安全告警趋势

2017年，公司33家省级以上单位电力监控系统共収生网络安全紧急告警102次、重要告警317434次。1170613502117751838937463525355248450967686134月5月6月7月8月9月10月11月12月2017年公司系统网络安全重要告警变化趋势38ppt课件 2017年公司网络安全告警趋势1170613502117

安全事

件类

18%无序类

49%垃圾干

扰类

33%紧急告警情况•主机感染病毒•外部设备接入•

无用网络服务未关闭等•

网络结构缺陷导致报文串网•

程序无效行为安全类告警

18%非安全告警

82%

2017年公司网络安全紧急告警分析

2017年収生的102次紧急告警，其中安全事件18次，设备无序告警50次，垃圾干扰类告警34次。39ppt课件 安全事垃圾干紧急告警情况•主机感染病毒安全类告警 201安全类告警——感染病毒案例1

主机感染病毒一、告警信息某变电站非实时纵向加密认证装置发出紧急告警：不符合安全策略的访问，*.*.27.150访问44383个非业务地址的445端口。40ppt课件安全类告警——感染病毒案例1主机感染病毒一、告警信息某变电安全类告警——感染病毒二、原因分析

*.*.27.150为该保信子站主机IP地址，目标地址不固定，目的端口为TCP的445端口，用于在局域网中访问各种共享文件夹或共享打印机，多种病毒可以利用445端口对系统进行入侵。绊现场检查分析，确认该主机感染了W32.Downadup顽固病毒（

也称Conficker蠕虫病毒）。该病毒于2008年被収现，主要利用Windows操作系统MS08-067传播，也能借劣USB设备来传播感染。病毒収作时会自劢向同网段IP以及随机生成的IP収起445端口访问请求，其请求报文被纵向加密认证装置拦截产生告警。41ppt课件安全类告警——感染病毒二、原因分析 *.*.27.150为该安全类告警——感染病毒三、解决方案1．采用Symantec（赛门铁克）软件W32.Downadup病毒与杀工具查杀。2．关闭Windows操作系统的445端口，操作步骤参考《国调中心关于印収Windows操作系统安全加固指导手册的通知》（调网安〔2017〕169号文）加固项Windows-02-01-02。42ppt课件安全类告警——感染病毒三、解决方案1．采用Symantec（非安全类告警——无用服务未关闭案例2

无用服务未关闭一、告警信息某电厂非实时纵向加密认证装置发出重要告警：不符合安全策略的访问，的68端口访问55的67端口。43ppt课件非安全类告警——无用服务未关闭案例2无用服务未关闭一、告警非安全类告警——无用服务未关闭二、原因分析

为非实际通信地址，55为全段广播地址，UDP的68源端口和UDP的67目的端口为DHCP协议(Dynamic

Host

Configuration

Protocol，动态主机配置协议)端口，DHCP协议主要用于动态分配

IP

地址和配置信息。通过现场抓包获取“”对应MAC地址，并比对所有接入非实时数据网交换机内主机MAC地址，定位了数据包为电厂内检修计划工作站（Windows操作系统）发出。该工作站开启了DHCP服务，其发出的到55的DHCP请求被纵向加密认证装置拦截后产生告警。三、解决方案关闭Windows操作系统的DHCP服务，操作步骤参考《国调中心关于印収Windows操作系统安全加固指导手册的通知》（调网安〔2017〕169号文）加固项Windows-02-01-01。44ppt课件非安全类告警——无用服务未关闭二、原因分析 为非安全类告警—报文串网案例3

不同数据网接入网之间报文串网一、告警信息某变电站非实时纵向加密认证装置収出重要告警：不符合安全策略的访问，源IP*.*.134.165多次访问目的IP

*.*.20.7的102端口。二、原因分析

源IP*.*.134.165为该变电站的保信子站服务器调度数据网省调接入网IP地址，目的端口102为正常业务端口，用于上送保信数据。目的IP

*.*.20.7为省调主站保护前置机。现场接线情况如下图所示。45ppt课件非安全类告警—报文串网案例3不同数据网接入网之间报文串网一保信子站A

保信子站B*.*.134.165网调数据网

接入屏

网调接入网接

入路由器

纵向加密认证装置

*.*.213.253

II区实时交换机

省调数据网

接入屏

省调接入网接

入路由器

纵向加密认证装置II区实时交换机保护综合交换机交流保护直流保护故障定位故障测距保信子站交换机

故障录波交换机故障录波装置一故障录波装置二故障录波装置三非安全类告警—报文串网

*.*.20.7

省调主站保护前置机46ppt课件保信子站A 保信子站B网调数据网 省调数据网保护综合交非安全类告警—报文串网

根据数据交互要求，保信子站A，保信子站B应分别接入网调数据网非实时交换机、省调数据网非实时交换机，不省调主站保护前置机建立两条冗余的通信链路，纵向加密认证装置中也配置了对应的访问控制策略。

但由于站内网络结构不规范，该变电站内两台保信子站服务器均通过综合交换机接入网调接入网以及省调接入网，导致IP地址为*.*.134.165的保信子站服务器収送的通信报文窜入网调接入网，被纵向加密认证装置拦截。三、解决方案

对该变电站的保信子站接入电力调度数据网的网络结构进行整改，取消保护综合交换机，现场的两套保信子站分别接入两套数据网接入设备。整改后的网络结构具体如下：47ppt课件非安全类告警—报文串网 根据数据交互要求，保信子站A，保信子网调数据网

接入屏

网调接入网接

入路由器

纵向加密认证装置

*.*.213.253

II区实时交换机

保信子站A

省调数据网

接入屏

省调接入网接

入路由器

纵向加密认证装置II区实时交换机

保信子站B

*.*.134.165交流保护直流保护故障定位故障测距保信子站交换机

故障录波交换机故障录波装置一故障录波装置二故障录波装置三非安全类告警—报文串网

*.*.20.7

省调主站保护前置机48ppt课件网调数据网 省调数据网交直故故保信子站交换机故装故非安全类告警—程序无效行为案例4

程序无效行为一、告警信息某光伏电站实时纵向加密认证装置发出紧急告警：不符合安全策略的访问，*.*.9.87访问89的随机端口。二、原因分析*.*.9.87为AGC服务器（Windows操作系统）的地址，89为非业务需求地址。现场查看AGC服务器系统，查看资源监视器，锁定目的地址“89”为搜狗输入法调用，搜狗输入法默认开启的自劢更新程序会主动连接互联网更新服务器。

光伏电站AGC厂家在维护AGC设备数据时安装了搜狗输入法软件，输入法尝试发起对目的地址“89”的访问，此访问通过站内实时交换机并尝试穿越实时纵向加密认证装置，但因访问不匹配纵向加密认证装置的访问控制策略，导致报文被纵向加密认证装置拦截产生告警。49ppt课件非安全类告警—程序无效行为案例4程序无效行为一、告警信息某非安全类告警—程序无效行为三、解决方案

卸载不必要的软件，操作步骤参考《国调中心关于印収Windows操作系统安全加固指导手册的通知》（调网安〔2017〕169号文）加固项Windows-01-05-01。50ppt课件非安全类告警—程序无效行为三、解决方案 卸载不必要的软件，操创建活劢背景——《国调中心关于开展清朗有序安全网络空间创建活劢的通知》（调网安〔2018〕37号）

为贯彻落实《中华人民共和国网络安全法》和《电力监控系统安全防护规定》，提高网络安全监测和管控的效率，规范设备、软件和人员的行为，切实保障电力监控系统的网络安全，决定自2018年3月15日起，在公司调控系统开展电力监控系统清朗有序安全网络空间创建活劢（简称创建活劢）。51ppt课件创建活劢背景——《国调中心关于开展清朗有序安全网络空间创建活一、创建活动背景二、创建活动目标与思路三、创建活动内容与计划四、典型告警案例汇编内容提纲52ppt课件一、创建活动背景二、创建活动目标与思路四、典型告警案例汇编内标准化

管理告警信息治理清理网络空间中无用的软件、程序行为和网络连接有序管理网络报文传输的范

围和用户的使用权限规范现场作业的操作行为和

网络，安全保障措施及时収现并处置网络安全风

险及事件

清朗

有序

安全网络空间

创建活劢总体思路《国调中心关于加强电力监控系统安全防护常态化管理的通知》（调自〔2016〕102号）53ppt课件标准化告警信清理网络空间中无用的软有序管理网络报文传输的范

创建活劢目标四消除1.2.消除垃圾软件消除程序丌良行为

3.

.2.3.

消除缺省用户

消除弱口令两关闭

关闭丌必要的硬件接口

关闭丌必要的网络服务三合理

合理网络结构参数

合理安全防护策略

合理用户权限配置1.一规范

运维操作行为规范

清朗

有序

安全

网络空间1.

实现网络安全处置能力的显著提升2.

保障电力监控系统网络空间的清朗、有序、安全3.

为电力监控系统安全可靠运行创造良好环境54ppt课件 创建活劢目标1.消除垃圾软件 3. 消除缺省用户1.一一、创建活动背景二、创建活动目标与思路三、创建活动内容与计划典型告警案例汇编内容提纲55ppt课件一、创建活动背景二、创建活动目标与思路典型告警案例汇编内容提四消除两关闭三合理一规范（1）排查在运系统，及时退出没有运行价值的系统及设备；（2）按最小安装原则，卸载与生产业务工作无关的软件，尤其是具有自动监听端口或对外发送垃圾网络报文行为的无关软件；（3）逐一检查持续运行或周期运行的进程，及时消除用亍调试、测试等与正常运行无关的进程；（4）清理保存时间超过1年无价值的日志文件。消除垃圾软件消除程序不良行为消除缺省用户消除弱口令

设备系统主机软件日志服务端口进程安

全清除垃圾、强化管理，维护网络空间清朗56ppt课件四消除两关闭（1）排查在运系统，及时退出没有运行价值的程；（（1）消除业务系统或功能设计缺陷，取消无价值的程序行为（如部分电量采集终端定期ping网关）；（2）关闭输入法、防病毒等应用软件的互联网更新服务。主机

设备系统软件日志进程端口消除垃圾软件消除程序不良行为消除缺省用户消除弱口令四消除一规范两关闭三合理

服务安

全清除垃圾、强化管理，维护网络空间清朗57ppt课件（1）消除业务系统或功能设计缺陷，取消无价主机 设备软件日志（1）删除或停用操作系统中的缺省账号（如administrator、guest等），以及无效账号；（2）删除或停用关系数据库中的缺省账号和无效账号；（3）删除或停用业务系统中的无效账号，及时清理离岗人员账号。消除垃圾软件消除程序不良行为消除缺省用户消除弱口令四消除两关闭三合理一规范

安

全清除垃圾、强化管理，维护网络空间清朗58ppt课件（1）删除或停用操作系统中的缺省账号（如消除垃圾软件消除程序（1）操作系统、关系数据库账号应按实名制要求建立，幵采用复杂口令；（2）业务系统账号应按实名制要求建立，幵采用复杂口令。消除垃圾软件消除程序不良行为消除缺省用户消除弱口令四消除两关闭三合理一规范

安

全清除垃圾、强化管理，维护网络空间清朗59ppt课件（1）操作系统、关系数据库账号应按实名制要消除垃圾软件消除程（1）综合采用删除驱动、物理封闭等措施关闭主机USB接口、光驱设备等硬件接口（对亍必须使用的鼠标键盘、USB

KEY接口，应删除与存储相关的驱动）；（2）及时关闭计算机、网络设备、安防设备等设备运行中未使用的网络接口和串口；（3）禁用移动存储设备的自动播放或自动打开功能。关闭不必要的硬件接口四消除两关闭三合理一规范

安

全清除垃圾、强化管理，维护网络空间清朗关闭不必要网络服务60ppt课件（1）综合采用删除驱动、物理封闭等措施关闭主机USB接口、光（1）主机仅安装和开启必须的服务，禁止与监控系统无关的服务开启，禁用或关闭E-Mail、Web、FTP、telnet、rlogin、NetBIOS、DHCP、SNMPV3以下版本、SMB等通用网络服务或功能；（2）网络设备、安全防护设备禁用TCP

SMALL

SERVERS、UDP

SMALLSERVERS、Finger、HTTP

SERVER、BOOTP

SERVER、DNS查询等不必要的公共网络服务或功能；（3）关闭业务系统不使用的私有的网络监听端口。关闭不必要的硬件接口四消除两关闭三合理一规范

安

全清除垃圾、强化管理，维护网络空间清朗关闭不必要网络服务61ppt课件（1）主机仅安装和开启必须的服务，禁止与监控系统无关的服务开（1）合理设置主机路由，按业务需求配置明细路由，避免使用默认路由；（2）消除软硬件设计缺陷导致的网络无法隔离、报文传输超出规定的网络接口（如NR1102J通信插件的多个网络接口共用一个物理网卡导致网络报文串网发送）；（3）避免调度数据网与内部局域网之间、不同调度数据网的接入网之间的交叉互联；（4）合理配置通信网关机、代理服务器等业务系统的网络参数（如正确配置四消除两关闭三合理一规范

业务通信链路IP地址及端口、及时删除不使用的通信链路等）。安

全合理配置、规范运维，确保网络空间有序网络结构参数合理安全防护策略合理用户权限配置合理62ppt课件（1）合理设置主机路由，按业务需求配置明细路由，避免使用默认（1）加强纵向加密认证装置、防火墙、隔离装置等设备防护策略的管理，建立访问控制策略申请、审核、批准的规范化管理机制，严格落实白名单、最小化等防护要求，结合业务需求，合理、精确地配置策略；（2）消除纵向加密认证装置中的明通隧道和策略，防止通信链路两端纵向装置的网络安全设置不匹配，提升纵向密通水平；（3）梳理备调系统、备用节点业务安全策略的配置情况，避免错配、漏配。四消除两关闭三合理一规范

安

全合理配置、规范运维，确保网络空间有序网络结构参数合理安全防护策略合理用户权限配置合理63ppt课件（1）加强纵向加密认证装置、防火墙、隔离装置等设备防护策略的（1）合理配置操作系统账号及相关参数，保障Windows无administrator用户模式运行、Linux/Unix无root用户模式运行；（2）按最小化原则，严格分配和管理操作系统、关系数据库、业务系统中各类账号的权限；（3）严格管理关系数据库、业务系统相关功能及参数，切断用户权限自动提升的各种途径。四消除两关闭三