| 关联规则 | 关联知识 | 关联工具 | 关联文档 | 关联抓包 |
| 参考1(官网) | |
| 参考2 | |
| 参考3 |
[SAFE-ID: JIWO-2025-2904] 作者: 幽灵娃娃 发表于: [2021-07-02]
本文共 [690] 位读者顶过
随着《中华人民共和国网络安全法》和《信息安全技术 网络安全等级保护基本要求》的颁布实施,国家对网络安全越来越重视,每年的HW行动及其他重大活动期间网络安全保障工作也日益深化。电网作为关键信息基础设施密集的企业,或将成为攻击者的首要目标。[出自:jiwo.org]
广东某供电局调度自动化系统的操作员站、工作站、服务器使用Windows、Red Hat、Kylin、Rocky等操作系统。由于调度自动化系统网络环境相对封闭、传统杀毒防护机制不适用等原因,导致调度自动化系统主机长期处于没有安全防护的状态,存在较大的安全隐患,亟待解决。
同时,为满足南方电网电力监控系统安全防护规范中对操作系统安全的要求、GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》中安全计算环境技术要求,有必要开展调度自动化系统主机安全防护改造工作。
调度自动化系统主机安全现状
通过在调度自动化系统操作员站、工作站、服务器上部署主机安全加固软件,建立基于“白名单”的程序访问控制和外设管控的安全防护技术体系。
通过采用创新性的“白名单”技术实现主机安全防护,有效防止已知、未知的恶意代码执行;结合调度自动化系统操作员站、工作站、服务器的业务特点建立不同级别的安全基线检查机制,对安全基线检查不符合项实现一键安全加固,提高主机自身安全防护能力。
整体改善调度自动化系统的主机安全防护现状,夯实安全管理基础,避免调度自动化系统主机遭受挖矿病毒、勒索病毒及0day漏洞攻击等造成的安全风险。
主机安全加固解决方案
在调度自动化系统操作员站、工作站、服务器上部署工控主机卫士客户端软件。
通过程序白名单功能智能扫描主机上的可执行文件,并根据每个可执行文件的内容及大小生成对应的哈希值,建立可信任“白名单”列表,实时阻止“白名单”列表外的恶意程序执行、扩散。
通过安全基线功能实现对主机的账户策略、审核策略、安全选项、IP安全、默认共享等安全基线进行一键加固。
通过外设管理功能对USB移动存储介质实现注册、授权及权限管控,确保只有授权的USB移动存储介质才允许接入主机使用。
在调度自动化系统安全一区部署统一安全管理平台,实现工控主机卫士客户端软件进行统一管理,实现安全策略的集中管控、安全事件的集中分析,提升日常安全运维工作效率。
工控主机卫士基于系统可执行文件启动阶段的检测和控制,对可执行文件与白名单库文件哈希值进行校验,只有通过校验的可执行文件才允许执行,可以有效阻止“白名单”可信列表外的程序及病毒、木马、蠕虫、等恶意代码的启动执行,进而有效避免系统感染震网病毒、Flame、Havex、BlackEnergy等恶意代码程序。
通过统一安全管理平台对工作站、操作员站、服务器上的工控主机卫士客户端软件进行安全策略统一配置、下发。
对工控主机卫士客户端软件产生的安全日志进行统一收集、集中存储,运用智能分析技术、大数据处理技术动态掌握调度自动化系统主机的安全状态及安全风险。
用户价值
本方案基于白名单技术,有效解决调度自动化系统工作站、操作员站、服务器面临的安全风险,保障调度自动化系统稳定运行。
满足南方电网电力监控系统安全防护规范中对操作系统安全的要求;
满足GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》安全计算环境的相关技术要求。
广东某供电局调度自动化系统的操作员站、工作站、服务器使用Windows、Red Hat、Kylin、Rocky等操作系统。由于调度自动化系统网络环境相对封闭、传统杀毒防护机制不适用等原因,导致调度自动化系统主机长期处于没有安全防护的状态,存在较大的安全隐患,亟待解决。
同时,为满足南方电网电力监控系统安全防护规范中对操作系统安全的要求、GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》中安全计算环境技术要求,有必要开展调度自动化系统主机安全防护改造工作。
调度自动化系统主机安全现状
目前该供电局调度自动化系统的操作员站、工作站、服务器中存在以下主要安全问题:
1.系统安全策略不完善
操作员站、工作站、服务器操作系统存在高危端口默认开启、未启用密码复杂度策略、登陆方式未启用失败处理功能、未进行资源合理控制等系统策略安全性问题;2.补丁无法及时更新及访问控制不严谨
操作员站、工作站、服务器操作系统自身及应用软件存在漏洞未进行补丁更新,未遵循服务端口最小化原则,访问控制不严谨;3.外设管控不规范
操作员站、工作站、服务器USB移动存储介质接入管理不规范,可随意接入USB移动存储设备,容易造成病毒及恶意代码通过USB移动存储介质进行传播;4.传统杀毒软件不适用
由于调度自动化系统网络环境相对封闭,传统杀毒软件等“黑名单”防护措施存在无法及时更新特征库,同时也存在兼容性和误杀误报的问题。图1 调度自动化系统网络拓扑示意图
通过在调度自动化系统操作员站、工作站、服务器上部署主机安全加固软件,建立基于“白名单”的程序访问控制和外设管控的安全防护技术体系。
通过采用创新性的“白名单”技术实现主机安全防护,有效防止已知、未知的恶意代码执行;结合调度自动化系统操作员站、工作站、服务器的业务特点建立不同级别的安全基线检查机制,对安全基线检查不符合项实现一键安全加固,提高主机自身安全防护能力。
整体改善调度自动化系统的主机安全防护现状,夯实安全管理基础,避免调度自动化系统主机遭受挖矿病毒、勒索病毒及0day漏洞攻击等造成的安全风险。
主机安全加固解决方案
在调度自动化系统操作员站、工作站、服务器上部署工控主机卫士客户端软件。
通过程序白名单功能智能扫描主机上的可执行文件,并根据每个可执行文件的内容及大小生成对应的哈希值,建立可信任“白名单”列表,实时阻止“白名单”列表外的恶意程序执行、扩散。
通过安全基线功能实现对主机的账户策略、审核策略、安全选项、IP安全、默认共享等安全基线进行一键加固。
通过外设管理功能对USB移动存储介质实现注册、授权及权限管控,确保只有授权的USB移动存储介质才允许接入主机使用。
在调度自动化系统安全一区部署统一安全管理平台,实现工控主机卫士客户端软件进行统一管理,实现安全策略的集中管控、安全事件的集中分析,提升日常安全运维工作效率。
图2 调度自动化系统主机安全防护示意图
建立可信白名单列表
针对每台主机进行智能扫描,自动发现主机系统中的所有可执行文件,建立程序白名单的可信列表。 图3 工控主机卫士白名单智能扫描 图4 工控主机卫士白名单管理
实现阻止恶意代码执行和扩散
工控主机卫士基于系统可执行文件启动阶段的检测和控制,对可执行文件与白名单库文件哈希值进行校验,只有通过校验的可执行文件才允许执行,可以有效阻止“白名单”可信列表外的程序及病毒、木马、蠕虫、等恶意代码的启动执行,进而有效避免系统感染震网病毒、Flame、Havex、BlackEnergy等恶意代码程序。
加强外设管控
工控主机卫士对USB移动存储设备进行注册、授权并实现权限划分。
图5 工控主机卫士外设管理
安全基线管理
工控主机卫士可针对工作站、操作员站、服务器进行安全基线配置管理,包括账户策略、审核策略、安全选项、IP安全、进程审计、系统日志等。通过开启密码复杂度、强制密码历史、关闭guest账户、开启系统和账户审核、关闭默认共享、开启SYN攻击防护、进行进程审计等措施最大限度保证工作站、操作员站、服务器的安全。
图6 工控主机卫士安全基线
实现集中管理
通过统一安全管理平台对工作站、操作员站、服务器上的工控主机卫士客户端软件进行安全策略统一配置、下发。
对工控主机卫士客户端软件产生的安全日志进行统一收集、集中存储,运用智能分析技术、大数据处理技术动态掌握调度自动化系统主机的安全状态及安全风险。
用户价值
-
抵御安全威胁,保障调度自动化系统稳定运行
本方案基于白名单技术,有效解决调度自动化系统工作站、操作员站、服务器面临的安全风险,保障调度自动化系统稳定运行。
-
全面合规,满足规范要求
满足南方电网电力监控系统安全防护规范中对操作系统安全的要求;
满足GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》安全计算环境的相关技术要求。
