智能站一體化UNIX監(jiān)控系統(tǒng)加固方案

Unix監(jiān)控系統(tǒng)安全加固技術(shù)方案7月13日

監(jiān)控系統(tǒng)信息概述變電站設(shè)備配置概述列出經(jīng)典變電站后臺軟件型號、后臺操作系統(tǒng)、遠(yuǎn)動機、前置機、交換機、正反向隔離裝置、防火墻、PMU裝置等裝置型號。后臺軟件型號：PRS-7000后臺操作系統(tǒng)：Unix遠(yuǎn)動機：PRS-7910G前置機：PRS-7911G交換機：PRS-7961B正反向隔離裝置：SysKeeper-防火墻：DPtech-FW1000-MA-DPMU裝置：PRS-7746變電站二次系統(tǒng)經(jīng)典拓?fù)鋱D監(jiān)控系統(tǒng)設(shè)備加固項目監(jiān)控主機監(jiān)控主機包含操作員站、工程師站、數(shù)據(jù)服務(wù)器、綜合應(yīng)用服務(wù)器、圖形網(wǎng)關(guān)機等。硬件加固對于計算機光驅(qū)，空余USB接口、以太網(wǎng)端口，均采取封條方式封閉。操作系統(tǒng)UNIX系統(tǒng)加固方案以下：系統(tǒng)帳戶優(yōu)化備份/etc/passwd：cp/etc/passwd/etc/passwd_back加固假如系統(tǒng)默認(rèn)賬戶、測試賬戶不需要話，提議刪除。使用命令gedit/etc/passwd，打開/etc/passwd文件，刪除非必須賬戶，如：lp、uucp、nuucp、unknow、nobody4、aiuser。若出現(xiàn)異常，回退將文件名/etc/passwd_back改為/etc/passwd：mv/etc/passwd_back/etc/passwd增強口令策略備份/etc/default/passwd：cp/etc/default/passwd/etc/default/passwd_bak加固使用命令gedit/etc/default/passwd，打開/etc/default/passwd文件進行修改，設(shè)置參數(shù)：#MINDIFF=3#最小差異數(shù)，新密碼和舊密碼差異數(shù)。MAXWEEKS=8密碼最長有效時間PASSLENGTH=8最短密碼長度MINWEEKS=最短改變時間WARNWEEKS=5密碼失效前幾天通知用戶MINALPHA=1#最少字母要多少MINNONALPHA=1#最少非字母，包含了數(shù)字和特殊字符。#MINUPPER=0#最少大寫#MINLOWER=0#最少小寫#MAXREPEATS=0#最大重復(fù)數(shù)目#MINSPECIAL=0#最小特殊字符#MINDIGIT=0#最少數(shù)字#WHITESPACE=YES#能使用空格嗎？若出現(xiàn)異常，回退將文件名/etc/default/passwd_bak改為/etc/default/passwd：mv/etc/default/passwd_bak/etc/default/passwd消除系統(tǒng)弱口令設(shè)置密碼最短長度為8，要求大小字母與數(shù)字混排。終端里面輸入sudopasswdroot回車，按要求修改root密碼，修改后注銷用戶重新登錄，檢驗密碼已生效；終端里面輸入sudopasswdoracle回車，按要求修改oracle密碼，修改后注銷用戶重新登錄，檢驗密碼已生效禁用root遠(yuǎn)程登錄備份/etc/default/login：cp/etc/default/login/etc/default/login_bak加固使用命令gedit/etc/default/login，打開/etc/default/login文件進行修改，增加或修改/etc/default/login文件中以下行：CONSOLE=/dev/console若出現(xiàn)異常，回退將文件名/etc/default/login_bak改為/etc/default/login：mv/etc/default/login_bak/etc/default/login登錄超時設(shè)置備份/etc/default/login：cp/etc/default/login/etc/default/login_bak加固使用命令gedit/etc/default/login，打開/etc/default/login文件進行修改，增加或修改/etc/default/login文件中以下行：TIMEOUT=600若出現(xiàn)異常，回退將文件名/etc/default/login_bak改為/etc/default/login：mv/etc/default/login_bak/etc/default/login非必需系統(tǒng)服務(wù)關(guān)閉備份查看加固服務(wù)是否開啟（以加固sendmail為例）打開終端輸入：svcssendmail，回車，顯示以下STATESTIMEFMRIdisabled7月20svc:/network/smtp:sendmail統(tǒng)計sendmail當(dāng)前運行狀態(tài)“disable”。加固打開終端輸入：svcadmdisablesendmail(服務(wù)名)如無實際業(yè)務(wù)需要，提議關(guān)閉sendmail、game、mail、smb、ftp、telnet等。如有異常，回退打開終端輸入：svcadmenablesendmail(服務(wù)名)使用OpenSSH軟件代替Telnet和Ftp使用，利用其加密性確保遠(yuǎn)程登錄安全。系統(tǒng)漏洞處理UMASK處理Umask值不為027，需修改/etc/default/login、/etc/profile、/etc/skel/local.cshrc三個文件。備份/etc/default/login：cp/etc/default/login/etc/default/login_back加固使用命令gedit/etc/default/login，打開/etc/default/login文件，將umask修改為027若出現(xiàn)異常，回退將文件名/etc/default/login_back改為/etc/default/login：mv/etc/default/login_back/etc/default/login/etc/profile、/etc/skel/local.cshrc2個文件參考/etc/default/login文件做類似處理數(shù)據(jù)庫ORACLE內(nèi)置默認(rèn)賬號禁用默認(rèn)賬號不禁用口令更改口令默認(rèn)不能修改應(yīng)用軟件PRS-7000默認(rèn)及多出賬號刪除后臺程序默認(rèn)帶有2個默認(rèn)賬號“sznari”和“a”，因為首次打開數(shù)據(jù)庫需要進行用戶權(quán)限校驗需要用到默認(rèn)賬號，不提議刪除。打開數(shù)據(jù)庫->“系統(tǒng)參數(shù)”->“用戶配置”，選中需要刪除用戶，鼠標(biāo)右鍵選擇“刪除用戶”，點擊“刪除用戶”命令后，配置程序問詢是否確認(rèn)刪除此用戶：假如得到必定確實認(rèn)，則刪除該用戶；假如得到否定回答，則撤消刪除操作。賬號弱口令修改打開數(shù)據(jù)庫->“系統(tǒng)參數(shù)”->“用戶配置”，選中需要修改用戶，鼠標(biāo)右鍵選擇“修改密碼”，將顯示下列圖密碼設(shè)置對話框。密碼能夠是任意符號和數(shù)字組合，但不能為空。非監(jiān)控相關(guān)第三方軟件清理solaris除操作系統(tǒng)自帶應(yīng)用外，其余第三方應(yīng)用均與監(jiān)控功效相關(guān)。工控設(shè)備工控設(shè)備包含數(shù)據(jù)通信網(wǎng)關(guān)機、協(xié)議轉(zhuǎn)換器、前置總控等。PRS-7910G采取嵌入式Linux操作系統(tǒng)，加固方案以下：硬件加固對于工控設(shè)備，空余USB接口、以太網(wǎng)端口，采取封條方式封閉。操作系統(tǒng)嵌入式Linux加固方案以下：系統(tǒng)帳戶優(yōu)化備份/etc/passwd：cp/etc/passwd/etc/passwd._back假如系統(tǒng)默認(rèn)賬戶、測試賬戶不需要話，提議刪除。使用命令cat/etc/passwd察看系統(tǒng)賬戶，刪除非必須賬戶，如：lp、uucp、games#userdellp#groupdellp3)若出現(xiàn)異常，回退將文件名/etc/passwd_back改為/etc/passwd：mv/etc/passwd_back/etc/passwd消除系統(tǒng)弱口令設(shè)置密碼最短長度為8，要求大小字母與數(shù)字混排。終端里面輸入sudopasswdroot(應(yīng)該是passwdroot命令)回車，按要求修改root密碼，修改后注銷用戶重新登錄，檢驗密碼已生效；終端里面輸入sudopasswdoracle回車，按要求修改oracle密碼，修改后注銷用戶重新登錄，檢驗密碼已生效登錄超時設(shè)置1）備份/etc/profile：cp/etc/profile/etc/profile..03.112）加固增加或修改/etc/profile文件中以下行TMOUT=1803)若出現(xiàn)異常，回退將文件名/etc/profile.2011.03.11改為/etc/profile：mv/etc/profile..03.11/etc/profile系統(tǒng)漏洞處理UMASK處理Umask值不為027修改~/.bashrc將umask修改為027umask值含義：1）、022表示默認(rèn)創(chuàng)建新文件權(quán)限為755也就是rxwr-xr-x(全部者全部權(quán)限，屬組讀寫，其它人讀寫)2）、027表示默認(rèn)創(chuàng)建新文件權(quán)限為750也就是rxwr-x---(全部者全部權(quán)限，屬組讀寫，其它人無讀寫權(quán)限)數(shù)據(jù)庫網(wǎng)關(guān)機中暫時未使用數(shù)據(jù)庫。應(yīng)用軟件非監(jiān)控相關(guān)第三方軟件清理除Linux操作系統(tǒng)自帶應(yīng)用外，只有網(wǎng)關(guān)機程序軟件在運行，未安裝其余應(yīng)用軟件。安防設(shè)備安防設(shè)備，包含布署于I區(qū)與II區(qū)之間防火墻，以及I/II區(qū)與III/IV區(qū)之間正向型隔離裝置、反向型隔離裝置。防火墻：DPtech-FW1000-MA-N（迪普防火墻）賬戶及口令1.設(shè)備賬戶防火墻設(shè)備賬戶使用地市名+FW方式。格式以下：比如湖州高陽變防火墻，則設(shè)備命名為huzhouFW2.設(shè)備密碼防火墻設(shè)備密碼使用地市名+_FW@7890方式。格式以下：比如湖州高陽變防火墻，則設(shè)備密碼為huzhou_FW@78903.修改密碼防火墻密碼修改請用原密碼登錄設(shè)備web界面，出廠默認(rèn)IP：；點擊“基本”-“系統(tǒng)管理”-“管理員”-“密碼”，直接輸入密碼，點擊“確認(rèn)”即可修改完成。安全控制策略（ip、端口、協(xié)議等）1.防火墻針對內(nèi)部業(yè)務(wù)通信以及網(wǎng)絡(luò)設(shè)備安全控制策略，經(jīng)過配置包過濾策略實現(xiàn)。開放業(yè)務(wù)通信端口以及網(wǎng)絡(luò)設(shè)備管理端口，阻斷其余非業(yè)務(wù)以及非管理端口。策略配置以下：點擊“基本”-“防火墻”-“包過濾策略”，針對業(yè)務(wù)通信，在“源IP”和“目標(biāo)IP”項填上業(yè)務(wù)通信兩端地址，在“服務(wù)”項填寫業(yè)務(wù)通信端口，動作為“經(jīng)過”；針對網(wǎng)絡(luò)設(shè)備管理，在“源IP”和“目標(biāo)IP”項填上網(wǎng)管通信兩端地址，在“服務(wù)”項填寫網(wǎng)管通信端口，動作為“經(jīng)過”；最終再加一條策略，“源IP”和“目標(biāo)IP”和“服務(wù)”填寫any,動作為“丟包”。這么就達成了安全控制目標(biāo)。2.防火墻針對本身安全策略，經(jīng)過配置“web訪問協(xié)議設(shè)置”實現(xiàn)。策略配置以下：點擊“基本“-“系統(tǒng)管理”-“管理員”-“web訪問協(xié)議設(shè)置”，在“WEB允許登錄IP地址列表”中填寫網(wǎng)絡(luò)管理員IP地址，這么就只允許網(wǎng)絡(luò)管理員登錄防火墻了。空閑端口（usb口、網(wǎng)口等）1.防火墻穩(wěn)定運行后，將業(yè)務(wù)用到物理接口以外接口全部手動shutdown，其余無關(guān)人員無法經(jīng)過直連登錄防火墻設(shè)備。策略配置以下：點擊“基本”-“網(wǎng)絡(luò)管理”-“業(yè)務(wù)接口配置”，其中“接口狀態(tài)”默認(rèn)為開啟狀態(tài)，點擊選擇“關(guān)閉”，這么無關(guān)人員將無法經(jīng)過直連登錄防火墻設(shè)備。正反向隔離裝置：SysKeeper-（南瑞）賬戶及口令操作內(nèi)容：修改配置軟件用戶默認(rèn)密碼，新密碼長度必須是8位以上，必須字母，數(shù)字，字符組合。操作步驟：1.經(jīng)過配置軟件連接裝置。圖1配置軟件2.登錄后，選擇“用戶管理”->“修改口令”（如圖1），輸入新密碼。安全控制策略（ip、端口、協(xié)議等）操作內(nèi)容：安全防控策略必須限制到IP，端口，協(xié)議，不能放大明文規(guī)則。操作步驟：1.經(jīng)過配置軟件連接裝置。2.登錄后，選擇“規(guī)則配置”->“配置規(guī)則”，完善安全防控規(guī)則。空閑端口（usb口、網(wǎng)口等）隔離裝置沒有USB口；隔離網(wǎng)口默認(rèn)不用，需要配置。交換機PRS-7961交換機按照布署地點可分為站控層交換機、間隔層交換機、過程層交換機。按照交換機是否可網(wǎng)管分為可網(wǎng)管交換機、不可網(wǎng)管交換機。智能站通常采取可網(wǎng)管交換機，早期投運變電站多采取不可網(wǎng)管交換機。對于不可網(wǎng)管交換機，采取封條方式，封閉其空余端口。對于過程層交換機，采取封條方式，封閉其空余端口。對于站控、間隔層可網(wǎng)管交換機，可用web方式登錄配置。但運行期間提議屏蔽web方式。交換機加固操作，必須在一對一直連方式下進行，防止誤操作其余交換機。交換機加固完成，更新《交換機維護統(tǒng)計表.xls》。加固方案以下：自產(chǎn)交換機PRS-7961賬戶及口令交換機出廠ip默認(rèn)為0，掩碼為，設(shè)置筆記本IP為同一網(wǎng)段，連接交換機MGMT口，經(jīng)過瀏覽器登錄交換機。在用戶系統(tǒng)管理->用戶管理點擊添加按鈕密碼有密碼復(fù)雜度檢驗：長度8-16字符，含數(shù)字，字母，特殊字符中兩種以上，若不符合復(fù)雜度檢驗，則會報配置錯誤。輸入用戶名，比如test，輸入密碼，比如12345678，驗證是否會報配置錯誤。再輸入用戶名：test，密碼test1234，創(chuàng)建新賬戶，點擊右上方退出，使用新賬戶看是否能登錄交換機?？臻e網(wǎng)口登錄交換機之后，在設(shè)備面板區(qū)，點擊進入空閑網(wǎng)口，將端口使能設(shè)為disable，即可關(guān)閉空閑端口。關(guān)閉端口將在設(shè)備面板區(qū)顯示為紅色。關(guān)閉全部空閑網(wǎng)口后，查看設(shè)備面板區(qū)對應(yīng)端口是否變?yōu)榧t色，使用網(wǎng)線連接筆記本與空余端口，查看空余端口是否對應(yīng)指示燈不亮。屏蔽web登錄連接交換機串口需usb轉(zhuǎn)232調(diào)試線，以及一根自產(chǎn)交換機串口調(diào)試線，事先需安裝usb轉(zhuǎn)232驅(qū)動，確保工具能夠使用。使用串口調(diào)試工具，設(shè)置以下（串口依照所插usb口不一樣而不一樣，可在設(shè)備管理器中查看）：AccessPassword：adminsunri>enEnablePassword:adminsunri#mngshellShellPassword:adminsznaribash-2.05b#按上述指令進入交換機系統(tǒng)，紅色為密碼，輸入之后不顯示。輸入ifconfig之后，顯示記過以下列圖，其中eth0為交換機MGMT口，輸入命令：ifconfigeth0down可關(guān)閉該端口，關(guān)閉之后就不能訪問web，此時再輸入ifconfig將發(fā)覺不再存在eth0，若需訪問web進行配置，則輸入命令：ifconfigeth0up即可開啟該端口。此方法在交換機重啟之后失效。使用瀏覽器登錄交換機，看是