智能站一体化UNIX监控系统加固方案Word格式文档下载.docx

智能站一体化UNIX监控系统加固方案Word格式文档下载.docx

《智能站一体化UNIX监控系统加固方案Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《智能站一体化UNIX监控系统加固方案Word格式文档下载.docx（17页珍藏版）》请在冰豆网上搜索。

11.1监控主机

监控主机包括操作员站、工程师站、数据服务器、综合应用服务器、图形网关机等。

2.1.1.硬件加固

对于计算机的光驱，空余USB接口、以太网端口，均采取封条方式封闭。

2.1.2.操作系统

2.1.2.1.UNIX系统

加固方案如下：

A.系统帐户优化

1）备份/etc/passwd：

cp/etc/passwd/etc/passwd_back

2）加固

如果系统默认账户、测试账户不需要的话，建议删除。

使用命令gedit/etc/passwd，打开/etc/passwd文件，删除非必须账户，如：

lp、uucp、nuucp、unknow、nobody4、aiuser。

3）若出现异常，回退

将文件名/etc/passwd_back改为/etc/passwd：

mv/etc/passwd_back/etc/passwd

B.增强口令策略

1）备份/etc/default/passwd：

cp/etc/default/passwd/etc/default/passwd_bak

使用命令gedit/etc/default/passwd，打开/etc/default/passwd文件进行修改，设置参数：

#MINDIFF=3#最小的差异数，新密码和旧密码的差异数。

MAXWEEKS=8密码最长有效时间

PASSLENGTH=8最短密码长度

MINWEEKS=最短改变时间

WARNWEEKS=5密码失效前几天通知用户

MINALPHA=1#最少字母要多少

MINNONALPHA=1#最少的非字母，包括了数字和特殊字符。

#MINUPPER=0#最少大写

#MINLOWER=0#最少小写

#MAXREPEATS=0#最大的重复数目

#MINSPECIAL=0#最小的特殊字符

#MINDIGIT=0#最少的数字

#WHITESPACE=YES#能使用空格吗？

将文件名/etc/default/passwd_bak改为/etc/default/passwd：

mv/etc/default/passwd_bak/etc/default/passwd

C.消除系统弱口令

设置密码最短长度为8，要求大小字母与数字混排。

终端里面输入sudopasswdroot回车，按要求修改root的密码，修改后注销用户重新登录，检查密码已生效；

终端里面输入sudopasswdoracle回车，按要求修改oracle密码，修改后注销用户重新登录，检查密码已生效

D.禁用root远程登录

1）备份/etc/default/login：

cp/etc/default/login/etc/default/login_bak

使用命令gedit/etc/default/login，打开/etc/default/login文件进行修改，增加或修改/etc/default/login文件中如下行：

CONSOLE=/dev/console

将文件名/etc/default/login_bak改为/etc/default/login：

mv/etc/default/login_bak/etc/default/login

E.登录超时设置

TIMEOUT=600

将文件名/etc/default/login_bak改为/etc/default/login：

F.非必需系统服务关闭

1）备份

查看加固服务是否开启（以加固sendmail为例）

打开终端输入：

svcssendmail，回车，显示如下

STATESTIMEFMRI

disabled7月20svc:

/network/smtp:

sendmail

记录sendmail当前运行状态“disable”。

svcadmdisablesendmail（服务名）

如无实际业务需要，建议关闭sendmail、game、mail、smb、ftp、telnet等。

3）如有异常，回退

svcadmenablesendmail（服务名）

使用OpenSSH软件代替Telnet和Ftp的使用，利用其加密性保证远程登录的安全。

G.系统漏洞处理

UMASK处理

Umask值不为027，需修改/etc/default/login、/etc/profile、/etc/skel/local.cshrc三个文件。

1）备份/etc/default/login：

cp/etc/default/login/etc/default/login_back

使用命令gedit/etc/default/login，打开/etc/default/login文件，将umask修改为027

将文件名/etc/default/login_back改为/etc/default/login：

mv/etc/default/login_back/etc/default/login

/etc/profile、/etc/skel/local.cshrc2个文件参照/etc/default/login文件做类似处理

2.1.3.数据库

2.1.3.1.ORACLE

A.内置默认账号禁用

默认账号不禁用

B.口令更改

口令默认不能修改

2.1.4.应用软件

2.1.4.1.PRS-7000

A.默认及多余账号删除

后台程序默认带有2个默认账号“sznari”和“a”，由于初次打开数据库需要进行用户权限的校验需要用到默认账号，不建议删除。

打开数据库->

“系统参数”->

“用户配置”，选中需要删除的用户，鼠标右键选择“删除用户”，点击“删除用户”命令后，配置程序询问是否确认删除此用户：

如果得到肯定的确认，则删除该用户；

如果得到否定回答，则撤销删除操作。

B.账号弱口令修改

“用户配置”，选中需要修改的用户，鼠标右键选择“修改密码”，将显示下图密码设置对话框。

密码可以是任意符号和数字的组合，但不能为空。

2.1.4.2.非监控相关第三方软件清理

solaris除操作系统自带应用外，其他第三方应用均与监控功能相关。

2.2.工控设备

工控设备包括数据通信网关机、协议转换器、前置总控等。

PRS-7910G采用嵌入式Linux操作系统，加固方案如下：

2.2.1.硬件加固

对于工控设备，空余USB接口、以太网端口，采取封条方式封闭。

2.2.2.操作系统

2.2.2.1.嵌入式Linux

备份/etc/passwd：

cp/etc/passwd/etc/passwd._back

使用命令cat/etc/passwd察看系统账户，删除非必须账户，如：

lp、uucp、games

#userdellp

#groupdellp

3）若出现异常，回退

B.消除系统弱口令

终端里面输入sudopasswdroot（应该是passwdroot命令）回车，按要求修改root的密码，修改后注销用户重新登录，检查密码已生效；

C.登录超时设置

1）备份/etc/profile：

cp/etc/profile/etc/profile.2011.03.11

增加或修改/etc/profile文件中如下行

TMOUT=180

将文件名/etc/profile.2011.03.11改为/etc/profile：

mv/etc/profile.2011.03.11/etc/profile

D.系统漏洞处理

1）UMASK处理

Umask值不为027

修改~/.bashrc将umask修改为027

umask值含义：

1）、022表示默认创建新文件权限为755也就是rxwr-xr-x（所有者全部权限，属组读写，其它人读写）

2）、027表示默认创建新文件权限为750也就是rxwr-x---（所有者全部权限，属组读写，其它人无读写权限）

2.2.3.数据库

网关机中暂时未使用数据库。

2.2.4.应用软件

2.2.4.1.非监控相关第三方软件清理

除Linux操作系统自带应用外，只有网关机程序软件在运行，未安装其他应用软件。

2.3.安防设备

安防设备，包括部署于I区与II区之间的防火墙，以及I/II区与III/IV区之间的正向型隔离装置、反向型隔离装置。

2.3.1.防火墙：

DPtech-FW1000-MA-N（迪普防火墙）

2.3.1.1.账户及口令

1.设备账户

防火墙设备账户使用地市名+FW的方式。

格式如下：

例如湖州高阳变防火墙，则设备命名为huzhouFW

2.设备密码

防火墙设备密码使用地市名+_FW@7890的方式。

例如湖州高阳变防火墙，则设备密码为huzhou_FW@7890

3.修改密码

防火墙密码修改请用原密码登录设备web界面，出厂默认IP：

192.168.0.1；

点击“基本”-“系统管理”-“管理员”-“密码”，直接输入密码，点击“确认”即可修改完成。

2.3.1.2.安全控制策略（ip、端口、协议等）

1.防火墙针对内部业务通信以及网络设备的安全控制策略，通过配置包过滤策略实现。

开放业务通信的端口以及网络设备管理端口，阻断其余非业务以及非管理的端口。

策略配置如下：

点击“基本”-“防火墙”-“包过滤策略”，针对业务通信，在“源IP”和“目的IP”项填上业务通信的两端地址，在“服务”项填写业务通信端口，动作为“通过”；

针对网络设备管理，在“源IP”和“目的IP”项填上网管通信的两端地址，在“服务”项填写网管通信端口，动作为“通过”；

最后再加一条策略，“源IP”和“目的IP”和“服务”填写any,动作为“丢包”。

这样就达到了安全控制的目的。

2.防火墙针对本身的安全策略，通过配置“web访问协议设置”实现。

点击“基本“-“系统管理”-“管理员”-“web访问协议设置”，在“WEB允许登录IP地址列表”中填写网络管理员的IP地址，这样就只允许网络管理员登录防火墙了。

2.3.1.3.空闲端口（usb口、网口等）

1.防火墙稳定运行后，将业务用到的物理接口以外的接口全部手动shutdown，其余无关人员无法通过直连登录防火墙设备。

点击“基本”-“网络管理”-“业务接口配置”，其中的“接口状态”默认为开启状态，点击选择“关闭”，这样无关人员将无法通过直连登录防火墙设备。

2.3.2.正反向隔离装置：

SysKeeper-2000（南瑞）

2.3.2.1.账户及口令

操作内容：

修改配置软件用户的默认密码，新的密码长度必须是8位以上，必须字母，数字，字符的组合。

操作步骤：

1.通过配置软件连接装置。

图1配置软件

2.登录后，选择“用户管理”->

“修改口令”（如图1），输入新密码。

2.3.2.2.安全控制策略（ip、端口、协议等）

安全防控策略必须限制到IP，端口，协议，不能放大明文规则。

2.登录后，选择“规则配置”->

“配置规则”，完善安全防控规则。

2.3.2.3.空闲端口（usb口、网口等）

隔离装置没有USB口；

隔离网口默认不用，需要配置。

2.4.交换机PRS-7961

交换机按照部署地点可分为站控层交换机、间隔层交换机、过程层交换机。

按照交换机是否可网管分为可网管交换机、不可网管交换机。

智能站一般采用可网管交换机，早期投运的变电站多采用不可网管交换机。

对于不可网管交换机，采取封条的方式，封闭其空余端口。

对于过程层交换机，采取封条的方式，封闭其空余端口。

对于站控、间隔层可网管交换机，可用web方式登录配置。

但运行期间建议屏蔽web方式。

交换机加固操作，必须在一对一直连的方式下进行，避免误操作其他交换机。

交换机加固完毕，更新《交换机维护记录表.xls》。

2.4.1.自产交换机PRS-7961

A.账户及口令

交换机出厂ip默认为222.111.114.60，掩码为255.255.255.0，设置笔记本IP为同一网段，连接交换机MGMT口，通过浏览器登录交换机。

在用户系统管理->

用户管理

点击添加按钮

密码有密码复杂度检查：

长度8-16字符，含数字，字母，特殊字符中的两种以上，

若不符合复杂度检查，则会报配置错误。

输入用户名，例如test，输入密码，例如12345678，验证是否会报配置错误。

再输入用户名：

test，密码test1234，创建新账户，点击右上方退出，使用新账户看是否能登录交换机。

B.空闲网口

登录交换机之后，在设备面板区，点击进入空闲网口，将端口使能设为disable，即可关闭空闲端口。

关闭的端口将在设备面板区显示为红色。

关闭所有空闲网口后，查看设备面板区相应端口是否变为红色，使用网线连接笔记本与空余端口，查看空余端口是否对应指示灯不亮。

C.屏蔽web登录

连接交换机串口需usb转232调试线，以及一根自产交换机的串口调试线，事先需安装usb转232驱动，确保工具能够使用。

使用串口调试工具，设置如下（串口根据所插usb口不同而不同，可在设备管理器中查看）：

AccessPassword：

admin

sunri>

en

EnablePassword:

admin

sunri#mngshell

ShellPassword:

adminsznari

bash-2.05b#

按上述指令进入交换机系统，红色为密码，输入之后不显示。

输入ifconfig之后，显示记过如下图，其中eth0为交换机MGMT口，输入命令：

ifconfigeth0down可关闭该端口，关闭之后就不能访问web，此时再输入ifconfig将发现不再存在eth0，若需访问web进行配置，则输入命令：

ifconfigeth0up即可开启该端口。

此方法在交换机重启之后失效。

使用浏览器登录交换机，看是否能用web方式连接交换机。

3.监控系统加固后系统验证

监控主机加固后，为保障现场的稳定运行。

系统验证在操作系统重启后进行。

3.1.PRS7000

3.1.1.单机操作

1）加固后重启后台程序，先启动rtdb，再启动scada，最后启动hmi客户端；

2）查看各个分画面，遥测遥信信号正常，无反白的信号存在，证明后台遥测、遥信通讯正常；

3）取一分画面进行遥控预置，能收到遥控预置成功，再到遥控的装置核对遥控预置命令，如果和后台一致，则后台遥控正常；

3.1.2.多节点间同步

1）加固后重启主备机后台程序，先启动rtdb，再启动scada，最后启动hmi客户端；

2）查看主备机各个分画面，遥测遥信信号正常，无反白的信号存在，证明主备机后台遥测、遥信通讯正常；

3）主机取一分画面进行遥控预置，能收到遥控预置成功，再到遥控的装置核对遥控预置命令，如果和后台一致，则主备机后台遥控正常；

4）在备机hmi底部操作栏点击“主从机服务器切换”，如下图：

5）从机切为主机后，再执行第3步操作；

3.1.3.打印功能验证（网络打印机）

在主机hmi告警框鼠标右键击“打印事件”，如下图：

如果网络打印机能打印出对应的画面，则后台打印功能正常

3.1.4.音频功能验证

1）每次重启后台程序，后台都会报“系统信息”，后台hmi与远动机连接状态信息，后台如果启用了语音告警，只要打开告警窗口，后台会自动进行语音告警；

2）如果没有启用语音告警，则可以通过语音试听来测试，在主机告警窗口，鼠标右键“设总体参数设置”，如下图：

3）选择“声音设置”，进行“试听”

附录1.监控系统加固检查单

参见《监控系统加固检查单.xls》

附录2.变电站二次设备统计表

参见《变电站二次设备统计表.xls》