智能站一體化UNIX監(jiān)控系統(tǒng)加固方案

1、Unix監(jiān)控系統(tǒng)安全加固技術(shù)方案2016年7月13日1 .監(jiān)控系統(tǒng)信息概述1.1. 變電站設(shè)備配置概述列出典型變電站的后臺(tái)軟件型號(hào)、后臺(tái)操作系統(tǒng)、遠(yuǎn)動(dòng)機(jī)、前置機(jī)、交換機(jī)、正反向隔離裝置、防火墻、PMU裝置等裝置型號(hào)。后臺(tái)軟件型號(hào)：PRS-7000遠(yuǎn)動(dòng)機(jī)前置機(jī)交換機(jī)后臺(tái)操作系統(tǒng)：UnixPRS-7910GPRS-7911GPRS-7961B正反向隔離裝置：SysKeeper-2000防火墻:DPtech-FW1000-MA-DPMU裝置：PRS-77461.2. 變電站二次系統(tǒng)典型拓?fù)鋱DGPS北斗PMU主站A工蜂需控如1趟主機(jī)2相躥期微戰(zhàn)AES國(guó)SBrarsi訐S捐匚I西趁酷聯(lián)忙對(duì)時(shí)網(wǎng)FRS-7

2、7812-M2斛中K-imPRS3PRS-74IDB主變保護(hù)的燒母茹于母聯(lián)釬妙劉控（安窗區(qū)）MMSB網(wǎng)俵全I(xiàn)區(qū)）MMSA網(wǎng)打印機(jī)-7PMI揭集中號(hào)獻(xiàn)I4L（安全嘔）俁信可2 .監(jiān)控系統(tǒng)設(shè)備加固項(xiàng)目1.1監(jiān)控主機(jī)監(jiān)控主機(jī)包括操作員站、工程師站、數(shù)據(jù)服務(wù)器、綜合應(yīng)用服務(wù)器、圖形網(wǎng)關(guān)機(jī)等。2.1.1. 硬件加固對(duì)于計(jì)算機(jī)的光驅(qū)，空余USB接口、以太網(wǎng)端口，均采取封條方式封閉。2.1.2. 操作系統(tǒng). UNIX系統(tǒng)加固方案如下：A.系統(tǒng)帳戶優(yōu)化1) 備份/etc/passwd：cp/etc/passwd/etc/passwd_back2) 加固如果系統(tǒng)默認(rèn)賬戶、測(cè)試賬戶不需要的話，建議刪

3、除。使用命令gedit/etc/passwd,打開/etc/passwd文件，刪除非必須賬戶，如：lp、uucp、nuucp、unknow、nobody4、aiuser。3) 若出現(xiàn)異常，回退將文件名/etc/passwd_back改為/etc/passwd：mv/etc/passwd_back/etc/passwdB.增強(qiáng)口令策略4) 備份/etc/default/passwd:cp/etc/default/passwd/etc/default/passwd_bak2) 加固使用命令gedit/etc/default/passwd,打開/etc/default/passwd文件進(jìn)行修改，設(shè)置

4、參數(shù)：#MINDIFF=3#最小的差異數(shù)，新密碼和舊密碼的差異數(shù)。MAXWEEKS=8密碼最長(zhǎng)有效時(shí)間PASSLENGTH=8最短密碼長(zhǎng)度MINWEEKS=最短改變時(shí)間WARNWEEKS=5密碼失效前幾天通知用戶MINALPHA=1#最少字母要多少M(fèi)INNONALPHA=1#最少的非字母，包括了數(shù)字和特殊字符。#MINUPPER=0#最少大寫#MINLOWER=0#最少小寫#MAXREPEATS=0#最大的重復(fù)數(shù)目#MINSPECIAL=0#最小的特殊字符#MINDIGIT=0#最少的數(shù)字#WHITESPACE=YES#能使用空格嗎?3) 若出現(xiàn)異常，回退將文件名/etc/default/pa

5、sswd_bak改為/etc/default/passwd：mv/etc/default/passwd_bak/etc/default/passwdC.消除系統(tǒng)弱口令設(shè)置密碼最短長(zhǎng)度為8,要求大小字母與數(shù)字混排。終端里面輸入sudopasswdroot回車，按要求修改root的密碼，修改后注銷用戶重新登錄，檢查密碼已生效；終端里面輸入sudopasswdoracle回車，按要求修改oracle密碼，修改后注銷用戶重新登錄，檢查密碼已生效D.禁用root遠(yuǎn)程登錄1) 備份/etc/default/login:cp/etc/default/login/etc/default/login_bak2)

6、 加固使用命令gedit/etc/default/login,打開/etc/default/login文件進(jìn)行修改，增加或修改/etc/default/login文件中如下行：CONSOLE=/dev/console3) 若出現(xiàn)異常，回退將文件名/etc/default/login_bak改為/etc/default/login:mv/etc/default/login_bak/etc/default/loginE.登錄超時(shí)設(shè)置1) 備份/etc/default/login:cp/etc/default/login/etc/default/login_bak2) 加固使用命令gedit/etc

7、/default/login，打開/etc/default/login文件進(jìn)行修改，增加或修改/etc/default/login文件中如下行：TIMEOUT=6003) 若出現(xiàn)異常，回退將文件名/etc/default/login_bak改為/etc/default/login:mv/etc/default/login_bak/etc/default/loginF.非必需系統(tǒng)服務(wù)關(guān)閉1）備份查看加固服務(wù)是否開啟（以加固sendmail為例）打開終端輸入：svcssendmail,回車，顯示如下STATESTIMEFMRIdisabled7月20svc:/network/smtp:sendma

8、il記錄sendmail當(dāng)前運(yùn)行狀態(tài)disable”。2） 加固打開終端輸入：svcadmdisablesendmail（服務(wù)名）如無實(shí)際業(yè)務(wù)需要，建議關(guān)閉sendmail、game、mail、smb、ftp、telnet等。3） 如有異常，回退打開終端輸入：svcadmenablesendmail（服務(wù)名）使用OpenSSH軟件彳t替Telnet和Ftp的使用，利用其加密性保證遠(yuǎn)程登錄的安全。G.系統(tǒng)漏洞處理UMASK處理Umask值不為027,需修改/etc/default/login、/etc/profile、/etc/skel/local.cshrc三個(gè)文件。1）備份/etc/defa

9、ult/login:cp/etc/default/login/etc/default/login_back2） 加固使用命令gedit/etc/default/login,打開/etc/default/login文件，將umask修改為0273） 若出現(xiàn)異常，回退將文件名/etc/default/login_back改為/etc/default/login:mv/etc/default/login_back/etc/default/login/etc/profile、/etc/skel/local.cshrc2個(gè)文件參照/etc/default/login文件做類似處理2.1.3. 數(shù)據(jù)庫2.

10、1.3.1.ORACLEA.內(nèi)置默認(rèn)賬號(hào)禁用默認(rèn)賬號(hào)不禁用B.口令更改口令默認(rèn)不能修改2.1.4. 應(yīng)用軟件.PRS-7000A.默認(rèn)及多余賬號(hào)刪除后臺(tái)程序默認(rèn)帶有2個(gè)默認(rèn)賬號(hào)“sznari和a；由于初次打開數(shù)據(jù)庫需要進(jìn)行用戶權(quán)限的校驗(yàn)需要用到默認(rèn)賬號(hào)，不建議刪除。打開數(shù)據(jù)庫-系統(tǒng)參數(shù)”-用戶配置”，選中需要?jiǎng)h除的用戶，鼠標(biāo)右鍵選擇“刪除用戶”，點(diǎn)擊“刪除用戶”命令后，配置程序詢問是否確認(rèn)刪除此用戶：如果得到肯定的確認(rèn)，則刪除該用戶；如果得到否定回答，則撤銷刪除操作。B.賬號(hào)弱口令修改打開數(shù)據(jù)庫-系統(tǒng)參數(shù)”-用戶配置”，選中需要修改的用戶，鼠標(biāo)右鍵選擇“修改密碼”顯示下圖密碼設(shè)置

11、對(duì)話框。密碼可以是任意符號(hào)和數(shù)字的組合，但不能為空。.非監(jiān)控相關(guān)第三方軟件清理Solaris除操作系統(tǒng)自帶應(yīng)用外，其他第三方應(yīng)用均與監(jiān)控功能相關(guān)。2.2. 工控設(shè)備PRS-7910G采用嵌入式Linux操作系工控設(shè)備包括數(shù)據(jù)通信網(wǎng)關(guān)機(jī)、協(xié)議轉(zhuǎn)換器、前置總控等。統(tǒng)，加固方案如下：2.2.1. 硬件加固對(duì)于工控設(shè)備，空余USB接口、以太網(wǎng)端口，采取封條方式封閉。2.2.2. 操作系統(tǒng). 嵌入式Linux加固方案如下：A.系統(tǒng)帳戶優(yōu)化備份/etc/passwd：cp/etc/passwd/etc/passwd._back如果系統(tǒng)默認(rèn)賬戶、測(cè)試賬戶不需要的話，建議刪除。使用

12、命令cat/etc/passwd察看系統(tǒng)賬戶，刪除非必須賬戶，如：lp、uucp、games#userdellp#groupdellp3）若出現(xiàn)異常，回退將文件名/etc/passwd_back改為/etc/passwd：mv/etc/passwd_back/etc/passwdB.消除系統(tǒng)弱口令設(shè)置密碼最短長(zhǎng)度為8,要求大小字母與數(shù)字混排。終端里面輸入sudopasswdroot（應(yīng)該是passwdroot命令）回車，按要求修改root的密碼，修改后注銷用戶重新登錄，檢查密碼已生效；終端里面輸入sudopasswdoracle回車，按要求修改oracle密碼，修改后注銷用戶重新登錄，檢查密碼

13、已生效C.登錄超時(shí)設(shè)置1）備份/etc/profile:cp/etc/profile/etc/profile.2011.03.112）加固增加或修改/etc/profile文件中如下行TMOUT=1803）若出現(xiàn)異常，回退將文件名/etc/profile.2011.03.11改為/etc/profile:mv/etc/profile.2011.03.11/etc/profileD.系統(tǒng)漏洞處理1）UMASK處理Umask值不為027修改/.bashrc將umask修改為027umask值含義：1）、022表示默認(rèn)創(chuàng)建新文件權(quán)限為755也就是rxwr-xr-x（所有者全部權(quán)限，屬組讀寫，其它人讀

14、寫）2）、027表示默認(rèn)創(chuàng)建新文件權(quán)限為750也就是rxwr-x-（所有者全部權(quán)限，屬組讀寫，其它人無讀寫權(quán)限）2.2.3. 數(shù)據(jù)庫網(wǎng)關(guān)機(jī)中暫時(shí)未使用數(shù)據(jù)庫。2.2.4. 應(yīng)用軟件. 非監(jiān)控相關(guān)第三方軟件清理除Linux操作系統(tǒng)自帶應(yīng)用外，只有網(wǎng)關(guān)機(jī)程序軟件在運(yùn)行，未安裝其他應(yīng)用軟件。2.3. 安防設(shè)備安防設(shè)備，包括部署于I區(qū)與II區(qū)之間的防火墻，以及I/II區(qū)與III/IV區(qū)之間的正向型隔離裝置、反向型隔離裝置。2.3.1. 防火墻：DPtech-FW1000-MA-N（迪普防火墻）. 賬戶及口令1 .設(shè)備賬戶防火墻設(shè)備賬戶使用地市名+FW的方式。格式如下：例如湖

15、州高陽變防火墻，則設(shè)備命名為huzhouFW2 .設(shè)備密碼防火墻設(shè)備密碼使用地市名+_FW789的方式。格式如下：例如湖州高陽變防火墻，則設(shè)備密碼為huzhou_FW78903 .修改密碼防火墻密碼修改請(qǐng)用原密碼登錄設(shè)備web界面，出廠默認(rèn)IP：;點(diǎn)擊“基本”-“系統(tǒng)管理”-“管理員”-“密碼”，直接輸入密碼，點(diǎn)擊“確認(rèn)”即可修改完成。. 安全控制策略（ip、端口、協(xié)議等）1 .防火墻針對(duì)內(nèi)部業(yè)務(wù)通信以及網(wǎng)絡(luò)設(shè)備的安全控制策略，通過配置包過濾策略實(shí)現(xiàn)。開放業(yè)務(wù)通信的端口以及網(wǎng)絡(luò)設(shè)備管理端口，阻斷其余非業(yè)務(wù)以及非管理的端口。策略配置如下：點(diǎn)擊“基本”-“防火墻

16、”-“包過濾策略”，針對(duì)業(yè)務(wù)通信，在“源IP”和“目的IP”項(xiàng)填上業(yè)務(wù)通信的兩端地址，在“服務(wù)”項(xiàng)填寫業(yè)務(wù)通信端口，動(dòng)作為“通過”；針對(duì)網(wǎng)絡(luò)設(shè)備管理，在“源IP”和“目的IP”項(xiàng)填上網(wǎng)管通信的兩端地址，在“服務(wù)”項(xiàng)填寫網(wǎng)管通信端口，動(dòng)作為“通過”；最后再加一條策略，“源IP”和“目的IP”和“服務(wù)”填寫any,動(dòng)作為“丟包”。這樣就達(dá)到了安全控制的目的。2 .防火墻針對(duì)本身的安全策略，通過配置“web訪問協(xié)議設(shè)置”實(shí)現(xiàn)。策略配置如下：點(diǎn)擊“基本”-”系統(tǒng)管理”-“管理員”-“web訪問協(xié)議設(shè)置”，在“WE就許登錄IP地址列表”中填寫網(wǎng)絡(luò)管理員的IP地址，這樣就只允許網(wǎng)絡(luò)管理員登錄防火墻了。2.

17、3.1.3. 空閑端口（usb口、網(wǎng)口等）1 .防火墻穩(wěn)定運(yùn)行后，將業(yè)務(wù)用到的物理接口以外的接口全部手動(dòng)shutdown,其余無關(guān)人員無法通過直連登錄防火墻設(shè)備。策略配置如下：點(diǎn)擊“基本”-“網(wǎng)絡(luò)管理”-“業(yè)務(wù)接口配置”，其中的“接口狀態(tài)”默認(rèn)為開啟狀態(tài)，點(diǎn)擊選擇“關(guān)閉”，這樣無關(guān)人員將無法通過直連登錄防火墻設(shè)備。2.3.2. 正反向隔離裝置：SysKeeper-2000（南瑞）. 賬戶及口令操作內(nèi)容：修改配置軟件用戶的默認(rèn)密碼，新的密碼長(zhǎng)度必須是8位以上，必須字母，數(shù)字，字符的組合。操作步驟：1 .通過配置軟件連接裝置。圖1配置軟件2 .登錄后，選擇“用戶管理”-“修改口令”（

18、如圖1）,輸入新密碼。. 安全控制策略（ip、端口、協(xié)議等）操作內(nèi)容：安全防控策略必須限制到IP,端口，協(xié)議，不能放大明文規(guī)則。操作步驟：1 .通過配置軟件連接裝置。2 .登錄后，選擇“規(guī)則配置”-“配置規(guī)則”，完善安全防控規(guī)則。. 空閑端口（usb口、網(wǎng)口等）隔離裝置沒有USB口；隔離網(wǎng)口默認(rèn)不用，需要配置。2.4. 交換機(jī)PRS-7961交換機(jī)按照部署地點(diǎn)可分為站控層交換機(jī)、間隔層交換機(jī)、過程層交換機(jī)。按照交換機(jī)是否可網(wǎng)管分為可網(wǎng)管交換機(jī)、不可網(wǎng)管交換機(jī)。智能站一般采用可網(wǎng)管交換機(jī)，早期投運(yùn)的變電站多采用不可網(wǎng)管交換機(jī)。對(duì)于不可網(wǎng)管交換機(jī)，采取封條的方式，封閉其

19、空余端口。對(duì)于過程層交換機(jī)，采取封條的方式，封閉其空余端口。對(duì)于站控、間隔層可網(wǎng)管交換機(jī)，可用web方式登錄配置。但運(yùn)行期間建議屏蔽web方式。交換機(jī)加固操作，必須在一對(duì)一直連的方式下進(jìn)行，避免誤操作其他交換機(jī)。交換機(jī)加固完畢，更新交換機(jī)維護(hù)記錄表.xlso加固方案如下：2.4.1. 自產(chǎn)交換機(jī)PRS-7961A.賬戶及口令交換機(jī)出廠ip默認(rèn)為0,掩碼為,設(shè)置筆記本IP為同一網(wǎng)段，連接交換機(jī)MGMT口，通過瀏覽器登錄交換機(jī)。在用戶系統(tǒng)管理-用戶管理點(diǎn)擊添加按鈕密碼有密碼復(fù)雜度檢查：長(zhǎng)度8-16字符，含數(shù)字，字母，特殊字符中的兩種以上,若不符合

20、復(fù)雜度檢查，則會(huì)報(bào)配置錯(cuò)誤。輸入用戶名，例如test,輸入密碼，例如12345678,驗(yàn)證是否會(huì)報(bào)配置錯(cuò)誤。再輸入用戶名：test,密碼test1234,創(chuàng)建新賬戶，點(diǎn)擊右上方退出，使用新賬戶看是否能登錄交換機(jī)。B.空閑網(wǎng)口disable,即可關(guān)閉空閑登錄交換機(jī)之后，在設(shè)備面板區(qū)，點(diǎn)擊進(jìn)入空閑網(wǎng)口，將端口使能設(shè)為端口。關(guān)閉的端口將在設(shè)備面板區(qū)顯示為紅色。關(guān)閉所有空閑網(wǎng)口后，查看設(shè)備面板區(qū)相應(yīng)端口是否變?yōu)榧t色，使用網(wǎng)線連接筆記本與空余端口，查看空余端口是否對(duì)應(yīng)指示燈不亮。C.屏蔽web登錄連接交換機(jī)串口需usb車1232調(diào)試線，以及一根自產(chǎn)交換機(jī)的串口調(diào)試線，事先需安裝usb車與232驅(qū)動(dòng)，確保

21、工具能夠使用。使用串口調(diào)試工具，設(shè)置如下（串口根據(jù)所插usb口不同而不同，可在設(shè)備管理器中查看）：QuickConnectProtocol：Port:Baudrabe;Datahits；:Parity:Stopbite;SerialFlowControlIdtr/dsrRTS/CTSXON/XOFFShowquickconnectonstartupl/ISavesessonCancel_.OpeninatabEnablePassword:adminsunri#mngshellShellPassword:adminsznaribash-2.05b#按上述指令進(jìn)入交換機(jī)系統(tǒng)，紅色為密碼，輸入之后不

22、顯示。輸入ifconfig之后，顯示記過如下圖，其中eth0為交換機(jī)MGMT，輸入命令：ifconfigeth0down可關(guān)閉該端口，關(guān)閉之后就不能訪問web,此時(shí)再輸入ifconfig將發(fā)現(xiàn)不再存在eth0,若需訪問web進(jìn)行配置，則車入命令：ifconfigeth0up即可開啟該端口。bash-2,05b*IfconfigethOlinkencap:EthernetHaddr24:64：EF:00:00:02inetaddr:222.111.114t60BGiStIll,114*255Nask:255,255,255,。UPBROADCASTRUMNIMGMULTICASTMTU：1500

23、Mfitridlr*packets:1101errors：0dropped：QoverrunsTXpackets:1379errors:0dropped:0overruns:0carrler:0col11sions：Qtxqueuelen：ioooRXbytes:137746(134.5KiE)TXbytes:911182(SB9.6K1B)ethlLinkencap:EthernetHWaddr24:64：EF:00:00:0BUPBROADCASTRUNNINGMULTICASTMTU：lS00Metric：.lRXpackets:8errors:0dropped:0overruns:0f

24、rame:。rxpackets:12errors:0dropped:0overruns:0carr1er:0col11sions:0txqueuelen:1000RXbytes:1224(1.1K1B)TXbytes:1BOO(1.7KiiB)bash-2.05b*ifconfigethOdownbash-2,05b*ifconf-igethlLinkencap:EthernetHaddr24:64：EF:00:00:03UPBROADCASTRUNNINGMULTICASTMTU；15QQMetric：1RXpackets:IBerrors:0dropped:0overruns:0frame

25、:0TXpackets：22errors：0dropped:0overruns:0carrner：ocollisions:0txqueuelen:1000RXbytes:2754idB)rxbytes:3300C，ZKiiB)bash-2,05bfIfconfigethoupbash-2.05bifconfigethoLinkencap：Ethernetwwaddr24：國(guó)：ef：0Q：qo：qwiinetaddr:222,111.114,60Beast:222,111.114,255Wask:UPBROADCASTMULTICASTMTU：1SODM6rr1C：1R

26、Xpackets:2268errors:0dropped0overruns:0frame:。rxpackets：2s4errors；0dropped：0overruns:0carrier:0col11sions:0txqueueTen:1000RXbytes:285307(27fi.6KiE)TXbytes11934366(1.&MiB)ethlLnkencap:EthernetHaddr124:64：F:00:00:03UPBROADCASTRUNNINGMULTICASTMTU：158Fetric：lRXpackets:IBerrors:0dropped:0overruns:0frame:

27、0TXpackets:22errors:0dropped:0overruns:0carrHer：ocollisions:0txqueuelen:1000RXbytes:2754(2,6Kia)TXbytes:33002KiB)bash-2.05b#|此方法在交換機(jī)重啟之后失效。使用瀏覽器登錄交換機(jī)，看是否能用web方式連接交換機(jī)。3.監(jiān)控系統(tǒng)加固后系統(tǒng)驗(yàn)證監(jiān)控主機(jī)加固后，為保障現(xiàn)場(chǎng)的穩(wěn)定運(yùn)行。系統(tǒng)驗(yàn)證在操作系統(tǒng)重啟后進(jìn)行。3.1.PRS70003.1.1,單機(jī)操作1）加固后重啟后臺(tái)程序，先啟動(dòng)rtdb,再啟動(dòng)scada,最后啟動(dòng)hmi客戶端；2）查看各個(gè)分畫面，遙測(cè)遙信信號(hào)正常，無反白的信號(hào)存

28、在，證明后臺(tái)遙測(cè)、遙信通訊正常；3）取一分畫面進(jìn)行遙控預(yù)置，能收到遙控預(yù)置成功，再到遙控的裝置核對(duì)遙控預(yù)置命令，如果和后臺(tái)一致，則后臺(tái)遙控正常；3.1.2,多節(jié)點(diǎn)間同步1）加固后重啟主備機(jī)后臺(tái)程序，先啟動(dòng)rtdb,再啟動(dòng)scada,最后啟動(dòng)hmi客戶端；2）查看主備機(jī)各個(gè)分畫面，遙測(cè)遙信信號(hào)正常，無反白的信號(hào)存在，證明主備機(jī)后臺(tái)遙測(cè)、遙信通訊正常；3）主機(jī)取一分畫面進(jìn)行遙控預(yù)置，能收到遙控預(yù)置成功，再到遙控的裝置核對(duì)遙控預(yù)置命令，如果和后臺(tái)一致，則主備機(jī)后臺(tái)遙控正常；4）在備機(jī)hmi底部操作欄點(diǎn)擊“主從機(jī)服務(wù)器切換”，如下圖:CYG深瑞金冒翁端在咨服符毒配孟下切換主從廉務(wù)器，單朋鼻器配孟此功熊無效1Jli5）從機(jī)切為主機(jī)后，再執(zhí)行第3步操作;3.1.3, 打印功能驗(yàn)證（網(wǎng)絡(luò)打印機(jī)）在主機(jī)hmi告警框鼠標(biāo)右鍵擊“打印事件”，如下圖:Q廠站名濟(jì)南TT加y賈莊變濟(jì)南11賈莊變間阻對(duì)象內(nèi)橋104間隔|事件類刖|時(shí)間三年T月25日怡時(shí)耳分弘杪1粽若口網(wǎng)通道故障動(dòng)作濟(jì)南”口川賈莊變公用測(cè)控間隔橋南Tm濘責(zé)主變-諉用詞拄間隔;濟(jì)南fi萬舊商虎變皆角調(diào)控同甬i/KaiiiI丁IiAl,rrUTtdb刪除全部信息愉出到文本女