基于電力行業的工業控制系統安全研究摘要：在工業化和信息化的時代背景下，工控安全事件越來越多，其中電力行業受災嚴重，像2003年，中國龍泉站因在運維過程中使用筆記本調試設備，卻私自連接外網，導致站內主機感染病毒；2010年伊朗“震網病毒事件”；2015年的“烏克蘭電網事件”，都對電力行業的安全防護能力形成巨大壓力。另一方面我國是全世界網絡攻擊最大受害國，自2009年以來受到網絡攻擊的次數增長了15倍，其中有超過三成攻擊是針對像電力行業等國家基礎設施系統。近幾年國內安全設備廠商發展較快，推出了很多安全產品和服務解決方案，雖然起到了一定幫助，但都不太能滿足工業控制系統的實際生產環境，經常是“頭疼醫頭腳疼醫腳”。工控系統實際上是一個縱向高度集成的系統，國內外廠商在縱深防護技術上沒能做到像橫向防護技術那樣，也沒有一個集成的安全設備，總是過分強調某一個模塊或者弱點上的安全。安全不是一個政治正確的項目，像變電站、電廠這樣的生產環境存在很高的滯后性，這里的滯后性主要是針對的是安全防護能力和生產環境的先進程度，大部分設備、主機、操作系統等比較老舊，對于工控網絡而言高可用性比高可靠性優先，導致了很多時候治標不治本的情況。本課題主要基于電力行業，分析工業控制系統現階段主要存在的安全問題，充分結合變電站的實際環境，構建一套適合于電力行業目前狀況的安全防護體系，并使其對其他工業控制系統具有可復制性。關鍵詞：工控安全，可復制性，解決方案ResearchonsecurityofindustrialcontrolsystembasedonpowerindustryAbstract:Intheeraofindustrializationandinformation,industrialcontrolsecurityincidentsaremoreandmore,amongwhichthepowerindustryisseriouslyaffected.Forexample,in2003,LongquanstationinChinausednotebookdebuggingequipmentintheoperationandmaintenanceprocess,butconnectedtotheexternalnetworkwithoutpermission,resultinginthehostinthestationinfectedwithvirus;in2010,Iran's"earthquakenetworkvirusincident";in2015,Ukraine's"powergridincident",allofwhicharerelatedtothepowerindustryTheabilityofsafetyprotectionisundergreatpressure.Ontheotherhand,Chinaisthebiggestvictimofcyberattacksintheworld.Since2009,thenumberofcyberattackshasincreased15times,andmorethan30%ofthemareaimedatnationalinfrastructuresystemssuchasthepowerindustry.Inrecentyears,domesticsafetyequipmentmanufacturershavedevelopedrapidlyandlaunchedmanysafetyproductsandservicesolutions.Althoughtheyhaveplayedacertainrole,theyarenotabletomeettheactualproductionenvironmentofindustrialcontrolsystem,often"Treatingthesymptomsandnotthedisease".Infact,industrialcontrolsystemisaverticalhighlyintegratedsystem.Domesticandforeignmanufacturershavenotbeenabletodothesamein-depthprotectiontechnologyasthehorizontalprotectiontechnology,norhaveanintegratedsafetyequipment.Theyalwaysoveremphasizethesafetyofacertainmoduleorweakness.Safetyisnotapoliticallycorrectproject.Theproductionenvironmentsuchassubstationsandpowerplantshasahighlag.Thelaghereismainlyaimedattheadvancedlevelofsafetyprotectionabilityandproductionenvironment.Mostoftheequipment,hosts,operatingsystems,etc.arerelativelyold.Forindustrialcontrolnetworks,highavailabilitytakesprecedenceoverhighreliability,whichleadstothelackofgovernanceinmanytimesThefundamentalsituation.Basedonthebackgroundofelectricpowerindustry,thispaperanalyzesthemainsecurityproblemsexistingintheindustrialcontrolsystematthisstage,andconstructsasetofsecurityprotectionsystemsuitableforthecurrentsituationofelectricpowerindustry,sothatitcanbereplicatedforotherindustrialcontrolsystems.Keywords:industrialcontrolsafety，replicability，solutions目錄TOC\o"1-3"\h\u1緒論 41.1工業控制系統及安全研究意義 41.1.1工業控制系統 41.1.2工業控制系統安全研究意義 51.2工業控制系統安全研究現狀及發展趨勢 51.2.1國外工業控制系統安全研究現狀 51.2.2國內工業控制系統安全發展趨勢 72電力行業相關政策及標準解讀 82.1信息安全等級保護 82.2電力行業相關政策標準解讀 83變電站通信 103.1電力行業的安全區域的劃分 103.1.1生產控制區 103.1.2管理信息大區 113.2設計原則 113.3變電站安全建設需求 113.4電力系統安全防護工作的具體目標 114綜合防護方案 124.1態勢感知裝置部署 124.1.1配置需求 124.1.2網絡地址分配 134.1.3態勢感知裝置部署方案 144.2增設安全設備 194.2.1堡壘機部署 204.2.2IDS部署 244.2.3日志審計系統部署 274.3安全加固 304.4移動介質安全管控 325總結 35參考文獻： 36致謝 37

1緒論工業控制系統及安全研究意義1.1.1工業控制系統工業控制系統（ICS）指工業生產中使用的控制系統，涉及能源、交通、制造等多個國家基礎設施，一旦發生重大安全事件，會對社會、國家造成巨大利益損失，且嚴重威脅到民生安全。大部分工業控制系統的管理者對安全僅有概念沒有實際的量化或可視化的了解，導致在設備部署過程中并未過多考慮安全防護能力，業務系統之間僅考慮到了橫向邏輯隔離，卻對業務系統自身在縱深防御方面欠缺考慮。在安全審計方面，不能實現發生安全事件后對問題快速定位并進行溯源分析的要求，甚至很多工控系統沒有配置安全審計措施，也不能對系統內進行集中統一管理，很多時候需要靠廠家技術人員或維保人員進行人工運維。現場操作主機長時間沒有更新病毒庫甚至連殺毒軟件都沒有安裝，防火墻也未開啟。操作系統系統方面很多主機仍在使用已經停止維護的操作系統，像WindowsXP、Windowsserver2000、Windowsserver2003等，不僅安全性低，而且補丁也不能及時更新，在不連接外網的情況下需要人工打補丁，運維成本過高，同時操作系統的過舊導致很多已知漏洞能被黑客利用，降低了攻擊成本。近幾年國內安全設備廠商發展較快，推出了很多安全產品和服務解決方案，雖然起到了一定幫助，但都不太能滿足工業控制系統的實際生產環境，經常是“頭疼醫頭腳疼醫腳”。首先工控安全服務解決方案基本集中在防護能力的堆疊，作用的對象主要是網絡和主機，市場上主要還是以特征庫為基礎的黑名單機制居多，應更多引入白名單機制的防護機制，否則容易出現誤報或者防護能力過高導致業務系統不穩定。其次是以增強可用性來達到高可靠性目的的設計思維，成本較高，也不能做為防護能力的體現。最后是現場管理人員對安全方面的知識了解不深，現場實際環境各不相同，在模擬環境下很難“量身定做”，對于實際生產環境缺少針對性。1.1.2工業控制系統安全研究意義在日益增長的功能需求和與互聯網相互融合的時代背景下，保障工控系統安全成為首要任務。缺少針對性、普適性的工控安全防護方案的現狀導致即使在強調“沒有網絡安全就沒有國家安全”的政策引領下也表現乏力。基于業務應用場景的專用設備，要完成的功能也不相同。《關于工業控制系統本體安全的思考》王彬；徐新國中國南方電網是國內領先的電網企業，承擔著重要的輸電任務，為國計民生提供電力保障，是電網企業的核心責任。而要嚴格履行該責任，就要從確保安全、做好供應、提升服務這三個方面去實現工作的順利開展。確保安全穩定的電網環境是電力供應的基礎，因此保證變電站系統網絡與調度數據系統網絡穩定安全的傳輸環境越來越引起人們的重視。南方電網作為國內結構最復雜、聯系最緊湊、科技最高的電網，愈來愈有著不可代替的領導作用。電力系統是國家重要基礎設施，電力系統安全防護的主要目標是防止關鍵業務系統數據被惡意更改或非法竊取，保證調度數據網和業務系統的穩定，保障不發生因信息安全引起的電網事故或大面積停電事故，實現信息安全風險可控、能控、在控。《電力行業網絡安全態勢感知研究》據此，本人將從電力行業出發，通過對變電站內的網架結構和各業務的發展分析，并結合各地區電網環境的通信情況，完成規劃與建設南方電網變電站系統網絡安全的方案。工業控制系統安全研究現狀及發展趨勢1.2.1國外工業控制系統安全研究現狀隨著信息化與工業化的聯系越來越緊密，自動化、智能化的工業控制產品備受關鍵基礎設施領域的追捧，工控系統控制裝置設備也逐漸從專有標準、協議面向通用，不再是“信息孤島”。但智能控制是一把雙刃劍，在帶來便利的同時也向外界暴露出原本在閉環內不被重視深知忽視的漏洞缺點，很多工業控制系統的漏洞不斷被發現并公布，網絡攻擊、感染勒索病毒、惡意滲透等網絡安全事件頻頻出現，使得工業控制網絡發展如履薄冰。《習近平總書記在2018全國網絡安全和信息化工作會議上的重要講話》除此之外，工控安全事件逐年遞增，僅2019年被ICS-CERT收錄的攻擊事件就達到329件。在網絡安全越來越被重視的情況下，國家之間的博弈或是黑客白客之間的較量也越來越向工業控制系統傾斜。近幾年針對工控系統的NotPetya、Globeimpsotr等勒索病毒攻擊、臺積電遭受攻擊停產、波音工廠遭到攻擊等事件給企業甚至國家造成的經濟和商譽損失驚人。同時工控漏洞新增率居高不下，涉及行業、廠商廣泛，現場病毒發現率過半，全球范圍內輿情鼎沸。圖1-12014-2019新增工控漏洞數量圖1-22012-2019全球工控事件報告數量據美國工業控制系統網絡緊急響應小組(ICS-CERT)公布的工業控制系統漏洞信息顯示，全球范圍內的工業控制系統，也包括物聯網、智能控制裝置設備等領域在內的安全漏洞總數自2015年來呈持續增長的態勢，在2019年漏洞總數就已經達到567個，中高危漏洞占比高達98%，其中比較出名的像：2018年3月，NYSE:ROK公司的PLC設備同時被驗證出多個漏洞? 2018年4月，西門子公司的繼電保護設備被曝出存在可被用于攻擊電力設施的高危漏洞? 2018年4月，臺灣摩莎科技股份有限公司的工業安全路由器同時被驗證出多個嚴重漏洞? 2018年5月，兩款施耐德電氣軟件存在遠程代碼執行漏洞? 2018年8月，西門子WinCC軟件存在權限提升漏洞? 2019年1月，思科CDP協議爆出5個致命漏洞威努特全球工控安全大事記（2019）1.2.2國內工業控制系統安全發展趨勢針對工業控制系統安全現狀，我國從《中華人民共和國網絡安全法》的頒布開始，就一直在不斷構建網絡安全這方面的法律標準體系，同時國家標準、工控安全指南也在不斷更新完善。政策、法規、指南、標準緊密推出，對工業網絡安全建設形成新一輪的帶動效應，全國各地加快工業信息網絡安全產業布局，整體投入力度持續加大。重點企業用戶工控安全產品、服務口碑效應已逐步形成，企業用戶在工控安全產品和服務的選擇上也會更加明確。2018年，我國工業信息網絡安全產業規模為70.32億元，市場增長率為33.55%，2019年，隨著國家政策、安全標準、安全市場競爭激烈等多方面的驅動下，我國工業信息網絡安全產規模將會繼續持續增長，。同時網絡安全產品技術發展日新月異，可以看到各類產品從黑名單到白名單的轉變，已經可以實現支持100種以上工控協議識別和50種以上工控協議更深層次的報文解析。開發工業自動化業務的深度學習算法，基于模擬量、數字量指令的內在邏輯和業務行為重新定義網絡流量白名單。也支持物聯網協議的識別和深度解析，如MQTT、COAP。同時實現工業互聯網邊緣設備的識別，可信接入。相較于安全產品的快速發展，運維、入網測評、安全加固、滲透測試等安全服務則不受用戶追捧。用戶不僅對安全技術沒有一個體系的了解，也不能明確自己的需求，很多時候都是領導層決定要部署某些安全設備或進行某些安全服務，但現場管理人員完全不懂，增加了廠家和用戶的配合中的溝通成本，很多時候現場管理人員寧愿不搞也不愿意主動去學習了解安全相關知識。在他們的認知里，安全帶來的更多的是麻煩而不是放心，安全也不是所有環境下都能被量化或者可視化，導致像“態勢感知只有第一頁沒有第二頁”的評價出現，其實也是在告訴安全服務市場并不能只有實施和售后，應該主動提升內部對安全的認知及技術水平，避免安全產品無法發揮最大效果。2電力行業相關政策及標準解讀2.1信息安全等級保護信息安全等級保護，是對信息和信息載體按照發生安全事件時對社會、國家造成的影響嚴重程度分級別進行保護的一項標準。2019年12月1日，等級保護2.0正式實施。為什么要做等級保護？其主要原因有兩個：①責任分擔責任更明確。當用戶企業通過等保測評時，代表國家認可該用戶的安全現狀，如果還是發生安全事件會被認定為是意外，畢竟沒有絕對的安全。但如果用戶沒有進行等級保護測評，首先不符合等級保護制度這一項國策，其次代表著用戶沒有達到相關要求，在發生安全事件后不僅需要自己背負后果，同時負法律責任，最后網監部門還會直接進行比較嚴厲的處罰。②安全建設體系化以等級保護為體系框架對自身系統進行體系化、模塊化的安全建設，不僅可以清楚每一個環節需要做什么，要做到什么程度，另一方面可以讓安全建設整體化，不再是頭痛醫頭腳痛醫腳。常見的像：缺乏網絡審計手段，對異常流量、設備操作、違規協議等問題不能及時發現和定位；網絡入侵檢測系統（IDPS）沒有真正啟用，沒有數據也沒有監控報表定期分析；態勢感知“只有第一頁沒有第二頁”等網絡安全問題也能夠落實去解決，對單位的安全建設有整體的規劃和思路。2.2電力行業相關政策標準解讀2014年，中發改委14號令在針對電力監控系統的信息安全管理方面做出規定的同時，明確了電力調度數據網應當在專用通道上使用獨立的網絡設備組網，實現與電力企業其它數據網及外部公用數據網的物理隔離。電力調度數據網覆蓋各級變電站、直調發電廠以及調度中心等電力生產場所，提供電力專用數據通信網服務。同時提出堅持“安全分區、網絡專用、橫向隔離、縱向認證”的十六字方針。明確電力監控系統安全防護工作應當落實國家信息安全等級保護制度，按照國家信息安全等級保護的要求進行建設。《電力監控系統安全防護規定》2015年，國家能源局36號文特別提出電力監控系統安全防護總體方案，針對電力監控系統包括主機服務器、網絡設備、惡意代碼防范、應用安全控制、審計、備份及容災等多個層面進行信息安全防護。《電力監控系統安全防護總體方案》《電力監控系統安全防護總體方案》2016年，工業和信息化部印發工業控制系統信息安全防護指南提出了關于安全技術和安全管理，包括：邊界安全防護、身份認證、遠程訪問安全、安全監測和應急預案演練、資產安全、數據安全等多條具體安全防護要求。《工業和信息化部印發工業控制系統信息安全防護指南》

3變電站通信圖3-1220KV變電廠站一二區常見網絡拓撲圖3.1電力行業的安全區域的劃分根據變電站業務系統的特點及安全需求，一般將變電站業務系統劃分為生產控制區和管理信息大區兩個大工作區，通過縱向加密裝置接入調度數據網。每個大工作區下再根據業務的實時性或功能模塊需求再分成兩個區域，區域之間通過橫向隔離裝置如防火墻等安全設備進行邏輯隔離。3.1.1生產控制區生產控制區分為安全區I和安全區II。安全區I（控制區）是電力生產的重要環節，需要進行實時監控，控制區的業務具有連續性、實時性的特點以及高可靠性的需求，業務可以直接上送到中調，是變電站電力監控系統安全防護的重點區域，。安全區II（非控制區）是電力生產必要環節，很多業務都是非實時的，不需要像控制區提供控制功能，同時部分控制區業務會通過非控制區上送到中調。3.1.2管理信息大區管理信息大區分為生產管理區（安全區III）和管理信息區（安全區IV）。管理信息大區指除生產控制大區以外的管理業務系統的集合。包括調度生產管理系統、行政電話網管系統等。3.2設計原則遵循“安全分區，專用網絡，橫向隔離，縱向認證”的十六字方針。3.3變電站安全建設需求建立起體系化的系統安全防護手段，在數據傳輸或是存儲過程中保證重要信息的機密性、完整性，防范惡意代碼的攻擊，即使發生安全事件后也可查、可溯源，最終實現電力監控系統和調度數據網絡的安全管理，保障業務系統的可用性和可靠性。3.4電力系統安全防護工作的具體目標①在安全區I（控制區）旁路部署網絡安全監測廠站終端，實現網絡安全數據采集以及風險在線識別。②在原有的主機設備、網絡設備以及安全設備上進行數據采集，具體方式包括SNMP、SNMPtrap、syslog以及流量鏡像等方式。③修改Ⅰ、Ⅱ區縱向加密、核心交換機、橫向防火墻，實現與中調主站之間系統數據的互聯互通。④增設網絡安全設備，包括但不限于堡壘機、IDS、日志審計系統，使其滿足等級保護測評需求。⑤由于現場條件限制，對現場主機設備包括但不限于后臺監控主機、調度法令機、故障錄波裝置、行波測距裝置等進行安全加固。⑥對移動介質的使用進行統一管理，使用安全U盤及配套平臺對廠站主機設備進行管理

4綜合防護方案4.1態勢感知裝置部署態勢感知系統主要的功能分為兩塊，一個是數據采集（包含主動采集Agent探針及被動采集syslog、snmp等），另一個是日志審計。通過對設備日志、網絡流量等進行數據分析，實現對系統或網絡遭到的網絡攻擊、病毒木馬等惡意代碼、異常日志事件等情況的實時監測、分析、溯源與總體呈現，對未知威脅、未知資產、異常行為建立了態勢感知能力，能有效提升系統的事前監測預警能力、事中反應速度和處置能力、事后分析應對能力。能夠實現電力監控系統現有主機設備、網絡安全、安全設備等的狀態采集、配置信息采集、日志信息、流量數據的采集，并通過專網上傳至南網主站，為上級網絡安全分析提供數據支持。《電力監控系統安全防護管理與技術研究》岳浩圖4-1態勢感知裝置4.1.1配置需求表4-1態勢感知配置需求清單序號設備類型設備配置內容1安全設備防火墻（橫向防火墻、縱向防火墻）開啟SNMP、SNMPtrap、Syslog服務縱向加密認證裝置開啟Syslog服務2網絡設備控制區交換機、非控制區交換機、站控層A/B網核心交換機、保信C網核心交換機、故障錄波核心交換機（110kV變電站）、PMU核心交換機、綜合數據網交換機、（1）配置交換機管理IP（2）開啟SNMP、SNMPtrap、Syslog服務（3）配置交換機流量鏡像站控層A/B網接入交換機、保信C網接入交換機、故障錄波接入交換機（110kV變電站）、PMU接入交換機、（1）配置交換機管理IP（2）開啟SNMP、SNMPtrap、Syslog服務3通用主機服務器（視頻監控服務器等）開啟SNMP、SNMPtrap、Syslog服務監控工作站、五防工作站、網絡發令終端、視頻監控工作站、在線監測工作站、操作主機等開啟SNMP、SNMPtrap、Syslog服務4.1.2網絡地址分配業務地址分配如下：I區態勢感知裝置地址：00/28II區態勢感知裝置映射地址：06/28I區交換機：8/28II區交換機：14/28防火墻內網口：10/28防火墻外網口：10/28一區加密機：26/28二區加密機：26/28VLAN劃分如下：一區態勢感知隸屬于VLAN199（8/28）二區態勢感知隸屬于VLAN299（8/28）網絡調試給交換機、防火墻、加密機、采集裝置添加路由、策略等，一區態勢感知數據經過防火墻NAT映射為二區地址，再上送到主站，故一區設備能主動訪問到二區設備。但二區設備不能主動訪問到一區設備，若能訪問則形成跨區互聯現象。廠站端配置好后，主站也需要做相應的配置。4.1.3態勢感知裝置部署方案鏈路調通（一）控制區交換機配置（以思科交換機為例）①VLAN接入及接口模式配置interfaceFastEthernet0/23switchportaccessvlan199switchportmodeaccess②鏡像口配置將交換機所有網口進出流量鏡像到態勢感知裝置流量監聽15口。monitorsession1sourceinterfaceFa0/1-11,Fa0/13-14,Fa0/16-24monitorsession1destinationinterfaceFa0/15③路由配置到中調的路由（目的地址【中調地址】/子網掩碼/下一跳地址【防火墻內接口】）、到非控制區交換機的靜態路由（目的地址【非控制區地址】/子網掩碼/下一跳地址【防火墻內接口】）：iproute10④syslog配置loggingonloggingtrapdebugging//設置等級為debugginglogging00//日志指向態勢感知裝置⑤snmp配置snmp-servercommunitypublicro//配置團體權限只讀且命名為publicsnmp-servercommunitysongtianrw//配置團體權限讀寫且命名為songtiansnmp-serverenabletrapssnmp-serverhost00rw（二）防火墻配置（以天融信防火墻為例）①路由配置到中調的路由（目的地址【中調地址】/子網掩碼/下一跳地址【非控制區交換機接口】）、到采集裝置的靜態路由（目的地址【采集裝置I區地址】/子網掩碼/下一跳地址【控制區交換機地址】）、到非控制區交換機的靜態路由（目的地址【非控制區地址】/子網掩碼/下一跳地址【非控制區交換機接口】）：圖4-2防火墻路由配置截圖②NAT配置圖4-3防火墻NAT配置截圖③策略配置1）：源地址【中調地址】，目地址【采集裝置II地址】，端口【TCP8801至TCP8804】2）：源地址【采集裝置I地址】，目地址【非控制區交換機地址】，端口【UDP161】3）：源地址【非控制區交換機地址】，目地址【采集裝置II地址】，端口【UDP162、UDP514】圖4-4防火墻策略配置截圖④syslog（指向本地）圖4-5防火墻syslog配置截圖（三）非控制區交換機配置（以思科交換機為例）①VLAN接入及接口模式配置interfaceFastEthernet0/23switchportaccessvlan299switchportmodeaccess②鏡像口配置將交換機所有網口進出流量鏡像到態勢感知裝置流量監聽15口。monitorsession1sourceinterfaceFa0/1-11,Fa0/13-14,Fa0/16-24monitorsession1destinationinterfaceFa0/15③路由配置到中調的路由（目的地址【中調地址】/子網掩碼/下一跳地址【II區加密機接口】）：iproute26④syslog配置loggingonloggingtrapdebugging//設置等級為debugginglogging06//日志指向態勢感知裝置二區映射地址⑤snmp配置snmp-servercommunitypublicro//配置團體權限只讀且命名為publicsnmp-servercommunitysongtianrw//配置團體權限讀寫且命名為songtiansnmp-serverenabletrapssnmp-serverhost06rw（四）縱向加密認證裝置配置（以南瑞加密機為例）①路由配置到態勢感知裝置的路由（源地址【中調地址】，目地址【裝置映射后的地址】，端口【TCP8801至TCP8804】）②syslog配置圖4-7加密機syslog配置（五）站控層核心交換機配置（以華三交換機為例）①鏡像口配置將交換機所有網口進出流量鏡像到態勢感知裝置流量監聽15口。portmirror端口號to端口號observing-port端口號②syslog配置info-centerenableinfo-centerloghost00channelloghostfacilitylocal0info-centersourcedefaultchannelloghostdebugstateofflogleveldebugging⑤snmp配置snmp-agentsnmp-agentsys-infoversionv2c//指定snmp版本snmp-agentcommunitypublicro//配置團體權限只讀且命名為publicsnmp-agentcommunitysongtianrw//配置團體權限讀寫且命名為songtiansnmp-agentenabletrapssnmp-agenttarget-hosttrapaddressudp-domain00paramssecuritynamesongtian結果測試通信是雙向的，廠站配置好后，需要通知主站也需要做相應的配置。主站也完成相應配置后，就可以測試網絡。通過ssh登錄態勢感知，使用命令ping測試去往主站的鏈路是否通，主站使用wgetx.x.x.x8801-8803來測試變電站的態勢感知裝置是否開通8801、8802、8803端口，進而進行裝置注冊、二層網段注冊（收集資產的網段）、開啟網段資產掃描、注冊資產。（一）采集裝置注冊注冊前通知主站使用“wgetx.x.x.x:8801”（x.x.x.x為廠站態勢感知二區地址）測試一下，看主站是否能打開廠站態勢感知的8801、8802、8803端口，然后主站下發裝置注冊信息圖4-8態勢感知裝置注冊（二）二層網段注冊進入界面，查看主站是否發起了對裝置8802端口的tcp連接。若有8802、8803連接，則主站進行下發二層網段注冊并開啟二層網段資產掃描圖4-9二層網段注冊（三）資產注冊主站查找需要注冊的資產，下發資產請求，資產注冊成功后，在裝置界面上的主站請求日志可以看到主站注冊資產圖4-10資產注冊4.2增設安全設備針對等級保護要求，在安全區Ⅰ部署一臺IDS檢測裝置、一臺日志審計系統，在安全區Ⅱ部署一臺堡壘機、一臺IDS檢測裝置。圖4-11二次安防部署拓撲圖4.2.1堡壘機部署堡壘機，也被成為“跳板機”，主要用于管理用戶遠程連接網絡設備、安全設備、主機服務器等，用戶通過自己賬號登錄堡壘機就可以訪問賬號對應授權管理的資產設備，僅需要在配置堡壘機時錄入資產設備的遠程登錄賬號密碼，此后任一用戶通過堡壘機遠程訪問其賬號授權管理資產無需再輸入任何密碼，減輕運維人員管理成本。一個賬號僅能訪問其被授權的資產設備，同時其操作過程將會被記錄，包括命令記錄、屏幕錄制，保證所有操作可溯源。 圖4-12堡壘機配置需求表4-2堡壘機配置需求清單序號設備類型設備配置內容1安全設備防火墻（橫向防火墻、縱向防火墻）開啟SSH服務縱向加密認證裝置開啟SSH服務2網絡設備控制區交換機、非控制區交換機、站控層A/B網核心交換機、保信C網核心交換機、故障錄波核心交換機（110kV變電站）、PMU核心交換機、綜合數據網交換機、（1）配置交換機管理IP（2）開啟SSH服務站控層A/B網接入交換機、保信C網接入交換機、故障錄波接入交換機（110kV變電站）、PMU接入交換機、（1）配置交換機管理IP（2）開啟SSH服務網絡地址分配業務地址分配如下：I區交換機：8/28II區交換機：14/28防火墻內網口：10/28防火墻外網口：10/28一區加密機：26/28二區加密機：26/28二區堡壘機：02/28一區堡壘機映射地址：02/28VLAN劃分如下：一區堡壘機隸屬于VLAN199（8/28）二區堡壘機隸屬于VLAN299（8/28）鏈路方面的調試在前文已經配置過，且堡壘機設備不需要與主站聯動，僅需要在設備開啟對應服務及策略放通，通過防火墻NAT映射到一區即可。設備配置（一）控制區交換機配置SSH（以思科交換機為例）NLP-2S-C3560-1(config)#ipdomainnamesshNLP-2S-C3560-1(config)#cryptokeygeneratersaNLP-2S-C3560-1(config)#usernameadminprivilege0secretcisco//這里如果privilege不是0在ssh時就會自動進入特權模式（即不需要enable命令也不需要enable密碼）NLP-2S-C3560-1(config)#enablesecretciscoNLP-2S-C3560-1(config)#linevty04NLP-2S-C3560-1(config-line)#exec-timeout100NLP-2S-C3560-1(config-line)#loggingsynchronousNLP-2S-C3560-1(config-line)#loginlocalNLP-2S-C3560-1(config-line)#transportinputssh（二）防火墻配置（以天融信防火墻為例）①NAT配置圖4-13防火墻NAT配置截圖②開啟SSH圖4-14防火墻SSH配置截圖（三）非控制區交換機配置SSH（以思科交換機為例）NLP-2S-C3560-2(config)#ipdomainnamesshNLP-2S-C3560-2(config)#cryptokeygeneratersaNLP-2S-C3560-2(config)#usernameadminprivilege0secretciscoNLP-2S-C3560-2(config)#enablesecretciscoNLP-2S-C3560-2(config)#linevty04NLP-2S-C3560-2(config-line)#exec-timeout100NLP-2S-C3560-2(config-line)#loggingsynchronousNLP-2S-C3560-2(config-line)#loginlocalNLP-2S-C3560-2(config-line)#transportinputssh綠盟堡壘機配置①web代理瀏覽器配置:50010/supervisor.pac圖4-15堡壘機配置代理截圖②用戶策略配置圖4-16堡壘機配置截圖結果測試測試通過堡壘機是否能正常訪問目標設備，查看有無審計日志記錄。圖4-17堡壘機日志記錄截圖4.2.2IDS部署入侵檢測設備主要是依賴于特征庫，對流量中可能存在的攻擊行為進行檢測，是一個比較典型的黑名單機制的產品，需要定期的升級。監測審計類設備，主要是依靠根據流量進行識別、解析，最終形成一個符合業務行為的一個通信模型。一旦有超出其安全基線通信模型的，會進行報警。因為它是通過學習而形成安全模型的，所以它不需要進行定期升級。圖4-18IDS裝置界面配置需求表4-3IDS配置需求清單序號設備類型設備配置內容1網絡設備控制區交換機、非控制區交換機、站控層A/B網核心交換機、保信C網核心交換機、故障錄波核心交換機（110kV變電站）、PMU核心交換機、綜合數據網交換機、配置流量鏡像站控層A/B網接入交換機、保信C網接入交換機、故障錄波接入交換機（110kV變電站）、PMU接入交換機、配置流量鏡像網絡地址分配業務地址分配如下：I區交換機：8/28II區交換機：14/28防火墻內網口：10/28防火墻外網口：10/28一區加密機：26/28二區加密機：26/28一區IDS：01/28二區IDS：01/28VLAN劃分如下：一區IDS隸屬于VLAN199（8/28）二區IDS隸屬于VLAN299（8/28）IDS設備各旁掛在安全區Ⅰ、安全區Ⅱ交換機上，僅需在交換機上配置鏡像口。設備配置（一）控制區交換機配置流量鏡像（以思科交換機為例）將交換機所有網口進出流量鏡像到IDS設備流量監聽12口。monitorsession2sourceinterfaceFa0/1-11,Fa0/13-14,Fa0/16-24monitorsession2destinationinterfaceFa0/12（二）非控制區交換機配置流量鏡像（以思科交換機為例）將交換機所有網口進出流量鏡像到IDS設備流量監聽12口。monitorsession2sourceinterfaceFa0/1-11,Fa0/13-14,Fa0/16-24monitorsession2destinationinterfaceFa0/12（三）綠盟IDS配置①入侵保護策略配置圖4-19IDS裝置入侵保護策略配置②流量管理配置圖4-20IDS裝置流量管理配置③應用管理配置圖4-21IDS裝置應用管理配置4.2.3日志審計系統部署日志審計系統用于收集安全設備、網絡設備、主機服務器等設備所產生的日志，存儲并監控各設備日志狀態，為維保人員進行日志審計分析提供幫助。 圖4-22日志審計系統界面配置需求表4-4日志審計系統配置需求清單序號設備類型設備配置內容1安全設備防火墻（橫向防火墻、縱向防火墻）開啟Syslog服務縱向加密認證裝置開啟Syslog服務2網絡設備控制區交換機、非控制區交換機、站控層A/B網核心交換機、保信C網核心交換機、故障錄波核心交換機（110kV變電站）、PMU核心交換機、綜合數據網交換機、（1）配置交換機管理IP（2）開啟Syslog服務站控層A/B網接入交換機、保信C網接入交換機、故障錄波接入交換機（110kV變電站）、PMU接入交換機、（1）配置交換機管理IP（2）開啟Syslog服務3通用主機服務器（視頻監控服務器等）開啟Syslog服務監控工作站、五防工作站、網絡發令終端、視頻監控工作站、在線監測工作站、操作主機等開啟Syslog服務網絡地址分配業務地址分配如下：I區交換機：8/28II區交換機：14/28防火墻內網口：10/28防火墻外網口：10/28一區加密機：26/28二區加密機：26/28一區日志審計系統：03/28二區日志審計系統映射地址：04/28VLAN劃分如下：一區IDS隸屬于VLAN199（8/28）二區IDS隸屬于VLAN299（8/28）鏈路方面的調試在前文已經配置過，且日志審計不需要與主站聯動，僅需要在設備開啟對應服務及策略放通，通過防火墻NAT映射到二區即可。設備配置（一）控制區交換機配置syslog（以思科交換機為例）loggingonloggingtrapdebugging//設置等級為debugginglogging03//日志指向日志審計系統（二）非控制區交換機配置流量鏡像（以思科交換機為例）loggingonloggingtrapdebugging//設置等級為debugginglogging03//日志指向日志審計系統二區映射地址（三）防火墻配置（以天融信防火墻為例）①NAT配置圖4-23防火墻NAT配置截圖②syslog配置圖4-24防火墻syslog配置截圖（四）IDS配置日志圖4-25IDS配置日志截圖4.3安全加固安全加固是對包括操作系統、數據庫、網絡設備等進行安全基線配置核查，參照用戶需求或如等級保護等行業標準對基線配置進行整改。通常加固內容如下：表4-5安全加固內容清單序號加固內容加固標準備注1操作系統的用戶進行身份標識和鑒別判斷是否存在空口令用戶，并為空口令用戶設置密碼2密碼策略設置符合復雜度要求密碼長度最小值為“8”()3密碼最長使用期限為“180天”4密碼最短使用期限為“1天”5用戶名和口令不得相同，禁止明文存儲口令6啟用登錄失敗處理功能啟用登錄失敗處理功能，可采取結束會話、限制非法登錄次數和自動退出等措施。限制同一用戶連續失敗登錄次數7關閉自動播放功能關閉autorun自動播放功能8禁用不必要服務應啟用訪問控制功能，依據安全策略控制用戶對資源的訪問。9剩余信息保護啟用“交互式登錄：不顯示上次用戶名”10高危端口封閉[]關閉135[]關閉137[]關閉138[]關閉139[]關閉445[]關閉338911禁用USB和光驅[]通過BIOS禁用，如需至多保留3個提供USB鍵盤、鼠標和指紋器。[]物理端口貼封條。[]拆除光驅線。12權限最小化應根據管理用戶的角色分配權限，實現管理用戶的權限分離，僅授予管理用戶所需的最小權限；13限制默認賬戶權限應嚴格限制默認帳戶的訪問權限，重命名系統默認帳戶，修改這些帳戶的默認口令14刪除多余賬戶應及時刪除多余的、過期的帳戶，避免共享帳戶的存在；15啟用日志審計功能開啟日志審計進程16審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等，大小應不小于16384k，存儲時長不低于6個月17應保護審計進程，避免受到未預期的中斷。18操作系統應遵循最小安裝的原則操作系統應遵循最小安裝的原則，僅安裝必要的組件和應用程序，不需使用時建議關閉的服務如下：

Finger，telnet，ftp，sendmail，Time，Echo，Discard，Daytime，Chargen，comsat，klogin，ntalk，talk，tftp，uucp，imap

pop3，GUI，Xwindows，shell，rlogin，rsh，rcp，字體服務，SMB，NFS，NIS，打印機后臺服務，web服務進程，snmp進程，DNS服務，SQL服務，Webmin服務，Squid高速緩存進程，kshell（可選），dtspc（可選）19配置登錄終端的操作超時鎖定應根據安全策略設置登錄終端的操作超時鎖定，設置時間為“10分鐘”20防惡意代碼軟件安裝網絡版防惡意代碼軟件或使用殺毒U盤，并及時更新最新惡意代碼庫21系統高中危漏洞補丁中高危漏洞檢查并打上補丁4.4移動介質安全管控為提升電力監控系統主機USB接口管控能力，防止病毒、木馬等惡意程序通過U盤擺渡感染電力監控系統主機，應使用滿足本技術要求的安全U盤進行數據拷貝，并在電力監控系統主機安裝配套管控軟件，通過管控軟件實現對USB接口的監控，杜絕非授權移動介質的接入，并通過簽名注冊的形式，實現對U盤接入的權限管控。安全U盤配合管控軟件使用，可實現文件轉移的全程記錄，防止惡意程序自我復制、運行、