2021（第九届）电力企业信息安全研讨会 -698- 电力企业网络安全防御工作的实践及 应急处置措施案列分析 华能营口热电有限责任公司，孙殿宇、肖海丰、朱挺进、金延斌、梅乐生、刘晓峰 摘 要：为贯彻电力企业网络安全防御工作，落实上级主管部门有关电力企业在网络攻防演习实战阶段及决战阶段 信息安全监控要求，圆满完成网络攻防演习工作任务。做到当受到攻击时，能够“及时发现、有序应对、处置得当”的 举措，不发生：外网网页被篡改的情况；由于拒绝服务攻击造成业务停运的情况；公司信息内外网隔离体系被突破，关 键防护措施失效的情况；信息内网数据批量泄露的情况。不发生绕过防护设备，进而取得系统权限的情况；由攻击导致 的运行设备状态改变。要对非法入侵行为实时告警，并及时采取相应应急处置措施，避免攻击行为扩大化。 关键词：网络安全防御；应急处置措施；网络攻防；信息安全漏洞 为确保电力企业网络安全防御工作有序开展， 针对此次网络攻防演习可能出现的攻击现象，采取 有效的应急处置措施。对其出现的现象提前进行预 判断、预分析及预处置，总价现场工作经验，现提 出有可能出现的相关案例供专业技术人员讨论及分析。 2.1 攻击对象采用自动化工具对信息系统进行 端口或漏洞扫描 一经发现此类攻击事件，应立即将攻击源 IP 加 入网络通信黑名单，使用防火墙对攻击源 IP 进行封 堵，阻断网络攻击行为。（发现后立即观察和记录 攻击行为，同时报告、同时阻断） 2.2 利用互联网向公司互联网出口发起拒绝服 务攻击 2.2.1 联系电信运营商并使用本地部署的流量 清洗设备对网络攻击流量进行清洗，保障外网业务 应用系统的可用性。 2.2.2 公司外网应用系统宕机，则立即进行系 统重启，恢复信息系统的可用性。 2.2.3 若由于拒绝服务器攻击导致应用系统文 件损坏，无法正常启动，则立即启动应用系统备用 环境，恢复应用系统可用性。若拒绝服务攻击导致 应用系统数据库文件损坏，则立即通过数据备份系 统恢复应用系统数据，恢复应用系统可用性。 2.2.4 协同运营商加强外网网络流量及应用系 统可用性监测，发现拒绝服务攻击事件迅速组织应 急处理。 2.3 利用应用系统或软硬件平台安全漏洞向公 司服务器上传木马或后门程序 2.3.1 应禁用该服务器网络连接，将服务器进 行断网处理，分析并确定攻击者攻击路径，定位应 用系统安全漏洞，配合完成后续的取证工作。通知 应用系统或软硬件平台厂商修复安全漏洞。 2.3.2 应用系统或软硬件平台安全漏洞修复 后，形成整改报告。 2.4 利用 SQL 注入、命令执行等安全漏洞对公 司应用系统发起网络攻击 2.4.1 应禁用该服务器网络连接，将服务器进 行断网处理。进行安全取证分析，对数据库日志及 操作系统日志进行分析，评估敏感数据泄露量。通 知应用系统厂商修复安全漏洞。