电力调度数据网承载生产调度业务,是电力信息化的核心网络之一。随着其网络结构越来越复杂,一旦发生维护人员配置误操作,或采用一成不变的初始系统设置,可能会存在安全隐患。除常见漏洞外,安全配置的缺陷也会被攻击者利用,成为系统的安全隐患。通过对网络中的路由器、交换机等其他网络设备都进行正确配置,会减少这些威胁的发生。
**能源局36号文《电力监控系统安全防护总体方案》**中对网络设备的安全配置提出了安全防护要求,安全配置包括关闭或限定网络服务、避免使用默认路由、关闭网络边界OSPF路由功能、采用安全增强的SNMPv2及以上版本的网管协议、设置受信任的网络地址范围、记录设备日志、设置高强度的密码、开启访问控制列表、封闭空闲的网络端口等。
安全配置加固实操
1
关闭或限定网络服务
开启的服务越多,涉及的威胁越多,电力调度数据网路由交换设备上建议关闭FTP、DNS、DHCP等服务。
FTP服务:如果FTP的用户名密码被爆破,会导致配置文件会获取。
DNS服务:如果开启DNS解析,可能会导致被DNS欺骗。
安全加固:关闭对应服务
2
避免使用默认路由
电力调度数据网中如果默认路由,会导致下级机构的垃圾数据转发到上级机构,并且方便攻击者进行内网渗透。
安全加固:禁用默认路由,配置具体或明细路由
3
关闭网络边界OSPF路由功能
电力调度数据网边界路由器如果不参与OSPF选路,建议关闭OSPF路由功能。一则防止内部路由信息被攻击者获取、利用。二则防止攻击者冒充合法路由器与网络边界路由器建立邻接关系,并向攻击边界路由器输入大量的链路状态广播,引导路由器形成错误的网络拓扑结构,从而导致整个网络的路由表紊乱,导致整个网络瘫痪。
安全加固:禁用OSPF路由
4
采用SNMPv2及以上版本网管协议
SNMP协议的v1、v2c版本使用团体名认证均为明文传送,容易被攻击者窃听。SNMPv3采用USM技术,提供了认证和加密功能,对传输报文进行加密。
安全加固:禁用SNMPv1或V2c协议,启用v3协议
5
设置受信任的网络地址范围
对网络设备的管理登录进行限制,只有受信任的网络地址才可以登录网络设备进行管理,防止攻击员登录设备进行恶意操作。
安全加固:配置ACL策略,只允许信任地址远程登录
6
记录设备日志
开启设备日志功能并配置日志服务器,记录用户操作行为、登录信息等日志,当受到攻击者入侵时可以追踪攻击者的踪迹。
安全加固:开启设备日志功能,配置日志服务器
7
设置高强度密码
密码中至少要包含大、小写字母、数字、特殊符合,防止密码被暴力破解。
安全加固:设置为高强度密码
8
开启访问控制列表
配置ACL过滤常见的漏洞攻击及病毒报文,过滤与业务不相关的流量。
安全加固:
9
封闭空闲的网络端口
将设备上除业务或运维必需的端口外全部封闭。
安全加固:关闭对应服务或通过ACL过滤端口
能源局36号文中涉及到基本的网络设备安全配置防护措施,目前绿盟科技安全配置核查系统(BVS)已经发布了等级保护、电力、运营商、人行、石油、税务等多行业安全配置知识库,通过自动化安全配置检查,节省单点安全配置检查效率,避免人工检查带来的误操作风险,全面指导信息系统的安全配置及加固工作。
题外话
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我们和网安大厂360共同研发的网安视频教程,之前都是内部资源,专业方面绝对可以秒杀国内99%的机构和个人教学!全网独一份,你不可能在网上找到这么专业的教程。
内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识,而且包含了中级的各种渗透技术,并且还有后期的CTF对抗、区块链安全等高阶技术。总共200多节视频,不用担心学不全。
因篇幅有限,仅展示部分资料,需要见下图即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要见下图即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话见下图即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要见下图即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
————————————————
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
