网络“清朗”、安全“有序”—电力“清朗有序”解决方案
>>>> 1.背景概述
>>>> 1. 需求分析
序号 | 关注项 | 关注内容 |
1 | 操作系统漏洞管理需求 | |
2 | 恶意代码风险防范需求 | |
3 | 外设接口风险防护需求 | |
4 | 工控主机基线安全加固需求 |
>>>> 2. 方案详述
活动项 | 工作内容 | 解决方案 | 产品/服务 | ||
四 消 除 | 消除垃圾硬件、软件和文件 | (1)排查在运系统,及时退出没有运行价值的系统及设备。 | 检查更新网络拓扑结构图及资产清单,退运无价值的系统及设备。 | 服务 | |
(2)按最小安装原则,卸载与生产业务工作无关的软件,尤其是具有自动监听端口或对外发送垃圾网络报文行为的无关软件。 | 安装工控主机卫士,开启白名单防护功能,禁止无关软件在主机上运行。 | 工控主机卫士 | |||
(3)逐一检查持续运行或周期运行的进程,及时消除用于调试、测试等与正常运行无关的进程。 | 安装主机卫士,开启进程审计功能,对无关进程进行审计告警。 | 工控主机卫士 | |||
(4)清理保存时间超过1年且无价值的日志文件。 | 安装工控主机卫士,开启安全基线功能,清除无价值日志文件。 | 工控主机卫士 | |||
消除不良程序行为 | (1)消除业务系统或功能设计缺陷,取消无价值的程序行为(如部分电量采集终端定期ping网关)。 | 检查完成终端业务核查及配置优化。 | 服务 | ||
(2)关闭输入法、防病毒等应用软件的互联网更新服务。 | 安装工控主机卫士,开启安全基线功能,禁止更新服务;启动非法外联,对主机连接外网行为进行告警。 | 工控主机卫士 | |||
消除缺省用户 | (1)删除或停用操作系统中的缺省账号(如administrator、guest等),以及无效账号。 | 安装工控主机卫士,开启安全基线功能,禁用guest账户。 | 工控主机卫士 | ||
(2)删除或停用关系数据库中的缺省账号和无效账号。 | 检查并删除或停用操作系统、关系数据库中的缺省账号或无效账号。 | 服务 | |||
(3)删除或停用业务系统中的无效账号,及时清理离岗人员账号。 | 检查并删除或停用业务系统中的缺省账号或无效账号。 | 服务 | |||
消除弱口令 | (1)操作系统、关系数据库、业务系统账号应按实名制要求建立,并采用复杂口令。 | 安装工控主机卫士,开启安全基线功能,配置“密码复杂度、长度、字符、历史密码个数”策略。 | 工控主机卫士 | ||
两 关 闭 | 关闭不必要的硬件接口 | (1)综合采用删除驱动、物理封闭等措施关闭主机USB接口、光驱设备等硬件接口(对于必须使用的鼠标键盘、USBKEY接口,应删除与存储相关的驱动) 。 | 安装主机卫士,开启外设管控,管理外设接入使用功能。 | 工控主机卫士 | |
(2)及时关闭计算机、网络设备、安防设备等设备运行中未使用的网络接口和串口。 | 安装主机卫士,开启网络白名单功能,关闭未使用的网络接口和串口。 | 工控主机卫士 | |||
(3)禁用移动存储设备的自动播放或自动打开功能。 | 安装主机卫士,开启安全基线功能,禁止移动存储介质的自动播放功能。 | 工控主机卫士 | |||
关闭不必要的网络服务 | (1)主机仅安装和开启必须的服务,禁止与监控系统无关的服务开启,禁用或关闭E-Mail、Web、FTP、telnet、rlogin、NetBIOS、DHCP、SNMPV3以下版本、SMB等通用网络服务或功能。 | 安装主机卫士,开启网络白名单功能,关闭未使用的服务。 | 工控主机卫士 | ||
(2)网络设备、安全防护设备禁用TCP SMALL SERVERS、UDP SMALL SERVERS、Finger、HTTPS ERVER、BOOTP SERVER、DNS查询等不必要的公共网络服务或功能。 | 检查并禁用网络设备、安全防护设备上不必要的网络服务。 | 服务 | |||
(3)关闭业务系统不使用的私有的网络监听端口。 | 安装主机卫士,开启网络白名单功能,关闭未使用的私有的网络监听端口。 | 工控主机卫士 | |||
三 合 理 | 网络结构参数合理 | (1)合理设置主机路由,按业务需求配置明细路由,避免使用默认路由。 | 检查主机路由配置的网络参数配置是否合理,禁止使用默认路由。 | 服务 | |
(2)消除软硬件设计缺陷导致的网络无法隔离、报文传输超出规定的网络接口(如NR1102J通信插件的多个网络接口共用一个物理网卡导致网络报文串网发送)。 | 检查网络拓扑结构、主机路由配置、通信网关机及代理服务器的网络参数配置是否合理。 | 服务 | |||
(3)避免调度数据网与内部局域网之间、不同调度数据网的接入网之间的交叉互联。 | 检查网络拓扑结构的网络参数配置是否合理,避免调度数据网与内部局域网之间、不同调度数据网的接入网之间的交叉互联。 | 服务 | |||
(4)合理配置通信网关机、代理服务器等业务系统的网络参数(如正确配置业务通信链路IP地址及端口、及时删除不使用的通信链路等)。 | 检查网络拓扑结构、主机路由配置、通信网关机及代理服务器的网络参数配置是否合理。 | 服务 | |||
安全防护策略合理 | (1)加强纵向加密认证装置、防火墙、隔离装置等设备防护策略的管理,建立访问控制策略申请、审核、批准的规范化管理机制,严格落实白名单、最小化等防护要求,结合业务需求,合理、精确地配置策略。 | (1)检查纵向装置、防火墙的防护策略,核查隔离设备网络连接和配置情况; | 服务 | ||
(2)消除纵向加密认证装置中的明通隧道和策略,防止通信链路两端纵向装置的网络安全设置不匹配,提升纵向密通水平。 | (1)检查纵向装置、防火墙的防护策略,核查隔离设备网络连接和配置情况; | 服务 | |||
(3)加强网络设备安全防护策略管理,提高网络设备安全水平。 | (1)检查纵向装置、防火墙的防护策略,核查隔离设备网络连接和配置情况; | 服务 | |||
用户权限配置合理 | (1)合理配置操作系统账号及相关参数,保障Windows无administrator用户模式运行、Linux/Unix无root用户模式运行。 | 检查Windows操作系统是否禁用administrator账号,Linux/Unix操作系统是否采用非root方式启动。 | 服务 | ||
(2)按最小化原则,严格分配和管理操作系统、关系数据库、业务系统中各类账号的权限。 | 检查操作系统、业务系统中各类帐号权限是否符合最小化分配原则。 | 服务 | |||
(3)检查帐号权限的管理是否有审计记录。 | 检查帐号权限的管理是否有审计记录。 | 服务 | |||
(4)严格管理关系数据库、业务系统相关功能及参数,切断用户权限自动提升的各种途径。 | 检查关系数据库、业务系统的相关功能及参数,切实切断用户权限自动提升的各种途径。 | 服务 | |||
一 规 范 | 运维操作行为规范 | (1)运维单位制定网络安全运维工作制度,明确日常设备管理、巡视检查、安全问题处理等工作要求。 | 检查运维工作制度建立及具体执行情况。 | 服务 | |
(2)运维单位配备专用调试设备(如调试工作站、专用移动介质等),加强外来人员的安全教育、操作监护等措施。 | 检查是否配备专用调试设备,外来工作人员安全教育记录等。 | 服务 | |||
(3)自动化检修票中明确工作涉及的具体设备,落实作业步骤及安全措施,严控运维过程中超级用户的使用。 | 检查自动化检修票制度是否落实,核实具体工作票是否落实工作对象、操作步骤、安全措施、操作用户等内容。 | 服务 | |||
(4)调试设备(工作站、拨号装置等)在工作完毕后,应及时从运行系统的网络中断开。 | 检查是否存在调试设备仍接入网络的情况。 | 服务 | |||
安 全
| 减轻网络安全监视管理的负担 | (1)认真分析网络安全管理平台(内网安全监视平台)发现的告警信息及其产生原因,从源头消除无效告警。 | 根据内网安全监视平台(网络安全管理平台)告警信息、上级调控机构发布的运行月报内容进行评判。 | 服务 | |
(2)建立网络安全告警分级处置和管理机制,提高告警处置效率和质量。 | 查看网络安全告警事件的处置记录。 | 服务 | |||
提高网络安全事件处置的能力 | (1)厂站运维单位明确网络安全责任人及其安全职责,编制网络安全责任清单。 | 检查运行监视及值班制度建立及具体执行情况;检查是否落实网络安全责任人,是否明确其安全职责。 | 服务 | ||
(2)按照规定定期开展电力监控系统等保测评及安全评估,并落实发现问题的彻底整改。 | 检查等保测评及安全评估报告和相关问题整改记录。 | 服务 | |||
(3)制定网络安全事件应急预案,按事件级别建立分级响应措施,提高处置效率,年内开展一次应急演练。 | 检查是否制定应急预案及应急演练记录。 | 服务 | |||
(4)发生紧急告警或网络事件时,并网电厂应在规定时间内处理告警事件并将事件分析报告上报相关调控机构。 | 检查并网电厂告警事件分析处置情况,是否存在遗留问题,处置不及时的是否依据“两个细则”进行了考核。同时检查是否存在发生安全事件未及时上报的情况。 | 服务 | |||
(5)严格防范违规连接外部网络、外部设备违规接入电力监控系统、主机感染病毒(恶意代码)等典型网络安全事件。 | 安装主机卫士,开启外设管理,外设告警;开启非法外联检查,非法外联告警。 | 工控主机卫士 |
操作系统类型 | 操作系统版本 | |
Windows 2000,Windows xp sp2 & sp3,Windows Vista &sp1/sp2 、Windows 7&sp1,Windows 8/8.1,Windows 10,Windows server 2003 &sp1/sp2, Windows server &2008 sp2/R2/R2 sp1, Windows server 2012&R2、 Windows server 2016 | ||
5.x ,6.x ,7.0-7.7 | ||
5.x ,6.x ,7.0-7.7 | ||
Kylin 3.0, Kylin v3,Kylin v3.2, Kylin 3.4, NeoKylin V7 | ||
凝思6.0.42,凝思 6.0.60,凝思 6.0.80 |
序 号 | 产品/服务名称 | 型 号 | 单 位 | 数 量 | 备 注 |
1 | 工控主机卫士 | IEG | 套 | 1 | 必选 |
2 | 统一安全管理 平台 | USM6000 | 台 | 1 | 可选(根据工控主机卫士是否网络版选配) |
3 | 安全加固服务 | SRV-ICS Security Enhance | 次 | 1 | 必选 |
北京威努特技术有限公司(以下简称“威努特”), 是国内工控网络安全领军企业、全球六家荣获国际自动化协会安全合规学会ISASecure CRT Tool认证企业之一和亚太地区唯一国际自动化学会(ISA)全球网络安全联盟(GCA)创始成员。
威努特作为国家高新技术企业,以创新的“白环境”整体解决方案为核心,自主研发了全系列工控网络安全专用产品,拥有52项发明专利、50项软件著作权、52项原创漏洞证明等核心知识产权。积极牵头和参与工控网络安全领域国家、行业标准制定,受邀出色完成新中国70周年庆典、中共十九大、两会等重大活动的网络安保任务,被授予“国家重大活动网络安保技术支持单位”,得到了中央网信办、公安部、工信部等国家政府部门的高度认可。迄今已成功为电力、轨道交通、石油石化、军工、烟草、市政、智能制造、冶金等国家重要行业1000多家工业企业提供了全面有效的安全保障。
威努特始终以“专注工控,捍卫安全”为使命,致力于为我国关键信息基础设施网络空间安全保驾护航!
渠道合作咨询 张先生 18201311186
稿件合作 微信:Luo_xiaoran