“湖山7号终端存在来自6539端口的非104协议传输!”12月2日,国网常州供电公司配网网络安全监测平台弹出一条紧急告警信息,当天投运的配电自动化终端存在未关闭的非业务端口,主站监控人员随即通知现场运维人员前去查看。当天,该平台试运行“满月”,正式投入运行。
近年来,随着配电自动化系统的快速发展,常州配网覆盖了庞大的“神经系统”,每天穿梭在主站和终端之间的流量高达400G。“过去,保护配网就是防止外力破坏,现在有了配电自动化,保护信息网络安全成为了一项重要工作。” 常州供电公司运检部专职龚凯强介绍。为此,常州供电公司在全国率先部署了配网网络安全监测平台。
端口是计算机与外界通讯的出入口,也是黑客实施网络入侵的主要途径,一旦黑客“劫持”了端口,就能刺探用户信息、破坏电网运行,造成大面积停电事故。据了解,一台配电自动化终端的端口就有65535个,理论上都存在被入侵的风险。配网网络安全监测平台采用多线程并发扫描技术,能够在不影响终端业务的情况下进行漏洞扫描,监测出配电终端存在的高危端口,低危端口和弱口令。
作为处理安全事件的技术手段,该平台实时监测终端交互流量,一旦短期流量超过设置的阈值,平台会在第一时间弹出告警信息。同时,平台对流量中101、104、ssh、ftp、http等各种协议进行深度解析,监测非法协议交互情况。“大部分入侵行为都伴随着流量激增、使用非法协议等现象,与正常业务通讯有明显区别,借助这些特征,我们能够有效甄别正在实施的恶意攻击行为。”常州供电公司调度控制中心专职吴名卒表示。
此外,配网网络安全监测平台还能记录访问设备的IP地址、访问方式和历史操作情况,为非法入侵后的业务恢复提供依据。平台试运行一个月以来,共“揪出”5台存在安全风险的自动化终端,并成功监测出上级单位有意实施的系统渗透攻击3次,监测成功率达100%,有效验证了网络安全防护能力。
原标题:网安“火眼金睛”对黑客攻击说“不”