智能站一體化UNIX監(jiān)控系統(tǒng)加固方案

1、Unix監(jiān)控系統(tǒng)安全加固技術(shù)方案2016年7月13日1 .監(jiān)控系統(tǒng)信息概述1.1. 變電站設(shè)備配置概述列出典型變電站的后臺軟件型號、后臺操作系統(tǒng)、遠動機、前置機、交換機、正反向隔離裝置、防火墻、PMU裝置等裝置型號。后臺軟件型號：PRS-7000遠動機前置機交換機后臺操作系統(tǒng)：UnixPRS-7910GPRS-7911GPRS-7961B正反向隔離裝置：SysKeeper-2000防火墻:DPtech-FW1000-MA-DPMU裝置：PRS-77461.2. 變電站二次系統(tǒng)典型拓?fù)鋱DGPS北斗PMU主站A工蜂需控如1趟主機2相躥期微戰(zhàn)AES國SBrarsi訐S捐匚I西趁酷聯(lián)忙對時網(wǎng)FRS-7

2、7812-M2斛中K-imPRS3PRS-74IDB主變保護的燒母茹于母聯(lián)釬妙劉控（安窗區(qū)）MMSB網(wǎng)俵全I區(qū)）MMSA網(wǎng)打印機-7PMI揭集中號獻I4L（安全嘔）俁信可2 .監(jiān)控系統(tǒng)設(shè)備加固項目1.1監(jiān)控主機監(jiān)控主機包括操作員站、工程師站、數(shù)據(jù)服務(wù)器、綜合應(yīng)用服務(wù)器、圖形網(wǎng)關(guān)機等。2.1.1. 硬件加固對于計算機的光驅(qū)，空余USB接口、以太網(wǎng)端口，均采取封條方式封閉。2.1.2. 操作系統(tǒng). UNIX系統(tǒng)加固方案如下：A.系統(tǒng)帳戶優(yōu)化1) 備份/etc/passwd：cp/etc/passwd/etc/passwd_back2) 加固如果系統(tǒng)默認(rèn)賬戶、測試賬戶不需要的話，建議刪

3、除。使用命令gedit/etc/passwd,打開/etc/passwd文件，刪除非必須賬戶，如：lp、uucp、nuucp、unknow、nobody4、aiuser。3) 若出現(xiàn)異常，回退將文件名/etc/passwd_back改為/etc/passwd：mv/etc/passwd_back/etc/passwdB.增強口令策略4) 備份/etc/default/passwd:cp/etc/default/passwd/etc/default/passwd_bak2) 加固使用命令gedit/etc/default/passwd,打開/etc/default/passwd文件進行修改，設(shè)置

4、參數(shù)：#MINDIFF=3#最小的差異數(shù)，新密碼和舊密碼的差異數(shù)。MAXWEEKS=8密碼最長有效時間PASSLENGTH=8最短密碼長度MINWEEKS=最短改變時間WARNWEEKS=5密碼失效前幾天通知用戶MINALPHA=1#最少字母要多少MINNONALPHA=1#最少的非字母，包括了數(shù)字和特殊字符。#MINUPPER=0#最少大寫#MINLOWER=0#最少小寫#MAXREPEATS=0#最大的重復(fù)數(shù)目#MINSPECIAL=0#最小的特殊字符#MINDIGIT=0#最少的數(shù)字#WHITESPACE=YES#能使用空格嗎?3) 若出現(xiàn)異常，回退將文件名/etc/default/pa

5、sswd_bak改為/etc/default/passwd：mv/etc/default/passwd_bak/etc/default/passwdC.消除系統(tǒng)弱口令設(shè)置密碼最短長度為8,要求大小字母與數(shù)字混排。終端里面輸入sudopasswdroot回車，按要求修改root的密碼，修改后注銷用戶重新登錄，檢查密碼已生效；終端里面輸入sudopasswdoracle回車，按要求修改oracle密碼，修改后注銷用戶重新登錄，檢查密碼已生效D.禁用root遠程登錄1) 備份/etc/default/login:cp/etc/default/login/etc/default/login_bak2)

6、 加固使用命令gedit/etc/default/login,打開/etc/default/login文件進行修改，增加或修改/etc/default/login文件中如下行：CONSOLE=/dev/console3) 若出現(xiàn)異常，回退將文件名/etc/default/login_bak改為/etc/default/login:mv/etc/default/login_bak/etc/default/loginE.登錄超時設(shè)置1) 備份/etc/default/login:cp/etc/default/login/etc/default/login_bak2) 加固使用命令gedit/etc

7、/default/login，打開/etc/default/login文件進行修改，增加或修改/etc/default/login文件中如下行：TIMEOUT=6003) 若出現(xiàn)異常，回退將文件名/etc/default/login_bak改為/etc/default/login:mv/etc/default/login_bak/etc/default/loginF.非必需系統(tǒng)服務(wù)關(guān)閉1）備份查看加固服務(wù)是否開啟（以加固sendmail為例）打開終端輸入：svcssendmail,回車，顯示如下STATESTIMEFMRIdisabled7月20svc:/network/smtp:sendma

8、il記錄sendmail當(dāng)前運行狀態(tài)disable”。2） 加固打開終端輸入：svcadmdisablesendmail（服務(wù)名）如無實際業(yè)務(wù)需要，建議關(guān)閉sendmail、game、mail、smb、ftp、telnet等。3） 如有異常，回退打開終端輸入：svcadmenablesendmail（服務(wù)名）使用OpenSSH軟件彳t替Telnet和Ftp的使用，利用其加密性保證遠程登錄的安全。G.系統(tǒng)漏洞處理UMASK處理Umask值不為027,需修改/etc/default/login、/etc/profile、/etc/skel/local.cshrc三個文件。1）備份/etc/defa

9、ult/login:cp/etc/default/login/etc/default/login_back2） 加固使用命令gedit/etc/default/login,打開/etc/default/login文件，將umask修改為0273） 若出現(xiàn)異常，回退將文件名/etc/default/login_back改為/etc/default/login:mv/etc/default/login_back/etc/default/login/etc/profile、/etc/skel/local.cshrc2個文件參照/etc/default/login文件做類似處理2.1.3. 數(shù)據(jù)庫2.

10、1.3.1.ORACLEA.內(nèi)置默認(rèn)賬號禁用默認(rèn)賬號不禁用B.口令更改口令默認(rèn)不能修改2.1.4. 應(yīng)用軟件.PRS-7000A.默認(rèn)及多余賬號刪除后臺程序默認(rèn)帶有2個默認(rèn)賬號“sznari和a；由于初次打開數(shù)據(jù)庫需要進行用戶權(quán)限的校驗需要用到默認(rèn)賬號，不建議刪除。打開數(shù)據(jù)庫-系統(tǒng)參數(shù)”-用戶配置”，選中需要刪除的用戶，鼠標(biāo)右鍵選擇“刪除用戶”，點擊“刪除用戶”命令后，配置程序詢問是否確認(rèn)刪除此用戶：如果得到肯定的確認(rèn)，則刪除該用戶；如果得到否定回答，則撤銷刪除操作。B.賬號弱口令修改打開數(shù)據(jù)庫-系統(tǒng)參數(shù)”-用戶配置”，選中需要修改的用戶，鼠標(biāo)右鍵選擇“修改密碼”顯示下圖密碼設(shè)置

11、對話框。密碼可以是任意符號和數(shù)字的組合，但不能為空。.非監(jiān)控相關(guān)第三方軟件清理Solaris除操作系統(tǒng)自帶應(yīng)用外，其他第三方應(yīng)用均與監(jiān)控功能相關(guān)。2.2. 工控設(shè)備PRS-7910G采用嵌入式Linux操作系工控設(shè)備包括數(shù)據(jù)通信網(wǎng)關(guān)機、協(xié)議轉(zhuǎn)換器、前置總控等。統(tǒng)，加固方案如下：2.2.1. 硬件加固對于工控設(shè)備，空余USB接口、以太網(wǎng)端口，采取封條方式封閉。2.2.2. 操作系統(tǒng). 嵌入式Linux加固方案如下：A.系統(tǒng)帳戶優(yōu)化備份/etc/passwd：cp/etc/passwd/etc/passwd._back如果系統(tǒng)默認(rèn)賬戶、測試賬戶不需要的話，建議刪除。使用

12、命令cat/etc/passwd察看系統(tǒng)賬戶，刪除非必須賬戶，如：lp、uucp、games#userdellp#groupdellp3）若出現(xiàn)異常，回退將文件名/etc/passwd_back改為/etc/passwd：mv/etc/passwd_back/etc/passwdB.消除系統(tǒng)弱口令設(shè)置密碼最短長度為8,要求大小字母與數(shù)字混排。終端里面輸入sudopasswdroot（應(yīng)該是passwdroot命令）回車，按要求修改root的密碼，修改后注銷用戶重新登錄，檢查密碼已生效；終端里面輸入sudopasswdoracle回車，按要求修改oracle密碼，修改后注銷用戶重新登錄，檢查密碼

13、已生效C.登錄超時設(shè)置1）備份/etc/profile:cp/etc/profile/etc/profile.2011.03.112）加固增加或修改/etc/profile文件中如下行TMOUT=1803）若出現(xiàn)異常，回退將文件名/etc/profile.2011.03.11改為/etc/profile:mv/etc/profile.2011.03.11/etc/profileD.系統(tǒng)漏洞處理1）UMASK處理Umask值不為027修改/.bashrc將umask修改為027umask值含義：1）、022表示默認(rèn)創(chuàng)建新文件權(quán)限為755也就是rxwr-xr-x（所有者全部權(quán)限，屬組讀寫，其它人讀

14、寫）2）、027表示默認(rèn)創(chuàng)建新文件權(quán)限為750也就是rxwr-x-（所有者全部權(quán)限，屬組讀寫，其它人無讀寫權(quán)限）2.2.3. 數(shù)據(jù)庫網(wǎng)關(guān)機中暫時未使用數(shù)據(jù)庫。2.2.4. 應(yīng)用軟件. 非監(jiān)控相關(guān)第三方軟件清理除Linux操作系統(tǒng)自帶應(yīng)用外，只有網(wǎng)關(guān)機程序軟件在運行，未安裝其他應(yīng)用軟件。2.3. 安防設(shè)備安防設(shè)備，包括部署于I區(qū)與II區(qū)之間的防火墻，以及I/II區(qū)與III/IV區(qū)之間的正向型隔離裝置、反向型隔離裝置。2.3.1. 防火墻：DPtech-FW1000-MA-N（迪普防火墻）. 賬戶及口令1 .設(shè)備賬戶防火墻設(shè)備賬戶使用地市名+FW的方式。格式如下：例如湖

15、州高陽變防火墻，則設(shè)備命名為huzhouFW2 .設(shè)備密碼防火墻設(shè)備密碼使用地市名+_FW789的方式。格式如下：例如湖州高陽變防火墻，則設(shè)備密碼為huzhou_FW78903 .修改密碼防火墻密碼修改請用原密碼登錄設(shè)備web界面，出廠默認(rèn)IP：;點擊“基本”-“系統(tǒng)管理”-“管理員”-“密碼”，直接輸入密碼，點擊“確認(rèn)”即可修改完成。. 安全控制策略（ip、端口、協(xié)議等）1 .防火墻針對內(nèi)部業(yè)務(wù)通信以及網(wǎng)絡(luò)設(shè)備的安全控制策略，通過配置包過濾策略實現(xiàn)。開放業(yè)務(wù)通信的端口以及網(wǎng)絡(luò)設(shè)備管理端口，阻斷其余非業(yè)務(wù)以及非管理的端口。策略配置如下：點擊“基本”-“防火墻

16、”-“包過濾策略”，針對業(yè)務(wù)通信，在“源IP”和“目的IP”項填上業(yè)務(wù)通信的兩端地址，在“服務(wù)”項填寫業(yè)務(wù)通信端口，動作為“通過”；針對網(wǎng)絡(luò)設(shè)備管理，在“源IP”和“目的IP”項填上網(wǎng)管通信的兩端地址，在“服務(wù)”項填寫網(wǎng)管通信端口，動作為“通過”；最后再加一條策略，“源IP”和“目的IP”和“服務(wù)”填寫any,動作為“丟包”。這樣就達到了安全控制的目的。2 .防火墻針對本身的安全策略，通過配置“web訪問協(xié)議設(shè)置”實現(xiàn)。策略配置如下：點擊“基本”-”系統(tǒng)管理”-“管理員”-“web訪問協(xié)議設(shè)置”，在“WE就許登錄IP地址列表”中填寫網(wǎng)絡(luò)管理員的IP地址，這樣就只允許網(wǎng)絡(luò)管理員登錄防火墻了。2.

17、3.1.3. 空閑端口（usb口、網(wǎng)口等）1 .防火墻穩(wěn)定運行后，將業(yè)務(wù)用到的物理接口以外的接口全部手動shutdown,其余無關(guān)人員無法通過直連登錄防火墻設(shè)備。策略配置如下：點擊“基本”-“網(wǎng)絡(luò)管理”-“業(yè)務(wù)接口配置”，其中的“接口狀態(tài)”默認(rèn)為開啟狀態(tài)，點擊選擇“關(guān)閉”，這樣無關(guān)人員將無法通過直連登錄防火墻設(shè)備。2.3.2. 正反向隔離裝置：SysKeeper-2000（南瑞）. 賬戶及口令操作內(nèi)容：修改配置軟件用戶的默認(rèn)密碼，新的密碼長度必須是8位以上，必須字母，數(shù)字，字符的組合。操作步驟：1 .通過配置軟件連接裝置。圖1配置軟件2 .登錄后，選擇“用戶管理”-“修改口令”（

18、如圖1）,輸入新密碼。. 安全控制策略（ip、端口、協(xié)議等）操作內(nèi)容：安全防控策略必須限制到IP,端口，協(xié)議，不能放大明文規(guī)則。操作步驟：1 .通過配置軟件連接裝置。2 .登錄后，選擇“規(guī)則配置”-“配置規(guī)則”，完善安全防控規(guī)則。. 空閑端口（usb口、網(wǎng)口等）隔離裝置沒有USB口；隔離網(wǎng)口默認(rèn)不用，需要配置。2.4. 交換機PRS-7961交換機按照部署地點可分為站控層交換機、間隔層交換機、過程層交換機。按照交換機是否可網(wǎng)管分為可網(wǎng)管交換機、不可網(wǎng)管交換機。智能站一般采用可網(wǎng)管交換機，早期投運的變電站多采用不可網(wǎng)管交換機。對于不可網(wǎng)管交換機，采取封條的方式，封閉其

19、空余端口。對于過程層交換機，采取封條的方式，封閉其空余端口。對于站控、間隔層可網(wǎng)管交換機，可用web方式登錄配置。但運行期間建議屏蔽web方式。交換機加固操作，必須在一對一直連的方式下進行，避免誤操作其他交換機。交換機加固完畢，更新交換機維護記錄表.xlso加固方案如下：2.4.1. 自產(chǎn)交換機PRS-7961A.賬戶及口令交換機出廠ip默認(rèn)為0,掩碼為,設(shè)置筆記本IP為同一網(wǎng)段，連接交換機MGMT口，通過瀏覽器登錄交換機。在用戶系統(tǒng)管理-用戶管理點擊添加按鈕密碼有密碼復(fù)雜度檢查：長度8-16字符，含數(shù)字，字母，特殊字符中的兩種以上,若不符合

20、復(fù)雜度檢查，則會報配置錯誤。輸入用戶名，例如test,輸入密碼，例如12345678,驗證是否會報配置錯誤。再輸入用戶名：test,密碼test1234,創(chuàng)建新賬戶，點擊右上方退出，使用新賬戶看是否能登錄交換機。B.空閑網(wǎng)口disable,即可關(guān)閉空閑登錄交換機之后，在設(shè)備面板區(qū)，點擊進入空閑網(wǎng)口，將端口使能設(shè)為端口。關(guān)閉的端口將在設(shè)備面板區(qū)顯示為紅色。關(guān)閉所有空閑網(wǎng)口后，查看設(shè)備面板區(qū)相應(yīng)端口是否變?yōu)榧t色，使用網(wǎng)線連接筆記本與空余端口，查看空余端口是否對應(yīng)指示燈不亮。C.屏蔽web登錄連接交換機串口需usb車1232調(diào)試線，以及一根自產(chǎn)交換機的串口調(diào)試線，事先需安裝usb車與232驅(qū)動，確保

21、工具能夠使用。使用串口調(diào)試工具，設(shè)置如下（串口根據(jù)所插usb口不同而不同，可在設(shè)備管理器中查看）：QuickConnectProtocol：Port:Baudrabe;Datahits；:Parity:Stopbite;SerialFlowControlIdtr/dsrRTS/CTSXON/XOFFShowquickconnectonstartupl/ISavesessonCancel_.OpeninatabEnablePassword:adminsunri#mngshellShellPassword:adminsznaribash-2.05b#按上述指令進入交換機系統(tǒng)，紅色為密碼，輸入之后不

22、顯示。輸入ifconfig之后，顯示記過如下圖，其中eth0為交換機MGMT，輸入命令：ifconfigeth0down可關(guān)閉該端口，關(guān)閉之后就不能訪問web,此時再輸入ifconfig將發(fā)現(xiàn)不再存在eth0,若需訪問web進行配置，則車入命令：ifconfigeth0up即可開啟該端口。bash-2,05b*IfconfigethOlinkencap:EthernetHaddr24:64：EF:00:00:02inetaddr:222.111.114t60BGiStIll,114*255Nask:255,255,255,。UPBROADCASTRUMNIMGMULTICASTMTU：1500

23、Mfitridlr*packets:1101errors：0dropped：QoverrunsTXpackets:1379errors:0dropped:0overruns:0carrler:0col11sions：Qtxqueuelen：ioooRXbytes:137746(134.5KiE)TXbytes:911182(SB9.6K1B)ethlLinkencap:EthernetHWaddr24:64：EF:00:00:0BUPBROADCASTRUNNINGMULTICASTMTU：lS00Metric：.lRXpackets:8errors:0dropped:0overruns:0f

24、rame:。rxpackets:12errors:0dropped:0overruns:0carr1er:0col11sions:0txqueuelen:1000RXbytes:1224(1.1K1B)TXbytes:1BOO(1.7KiiB)bash-2.05b*ifconfigethOdownbash-2,05b*ifconf-igethlLinkencap:EthernetHaddr24:64：EF:00:00:03UPBROADCASTRUNNINGMULTICASTMTU；15QQMetric：1RXpackets:IBerrors:0dropped:0overruns:0frame

25、:0TXpackets：22errors：0dropped:0overruns:0carrner：ocollisions:0txqueuelen:1000RXbytes:2754idB)rxbytes:3300C，ZKiiB)bash-2,05bfIfconfigethoupbash-2.05bifconfigethoLinkencap：Ethernetwwaddr24：國：ef：0Q：qo：qwiinetaddr:222,111.114,60Beast:222,111.114,255Wask:UPBROADCASTMULTICASTMTU：1SODM6rr1C：1R

26、Xpackets:2268errors:0dropped0overruns:0frame:。rxpackets：2s4errors；0dropped：0overruns:0carrier:0col11sions:0txqueueTen:1000RXbytes:285307(27fi.6KiE)TXbytes11934366(1.&MiB)ethlLnkencap:EthernetHaddr124:64：F:00:00:03UPBROADCASTRUNNINGMULTICASTMTU：158Fetric：lRXpackets:IBerrors:0dropped:0overruns:0frame:

27、0TXpackets:22errors:0dropped:0overruns:0carrHer：ocollisions:0txqueuelen:1000RXbytes:2754(2,6Kia)TXbytes:33002KiB)bash-2.05b#|此方法在交換機重啟之后失效。使用瀏覽器登錄交換機，看是否能用web方式連接交換機。3.監(jiān)控系統(tǒng)加固后系統(tǒng)驗證監(jiān)控主機加固后，為保障現(xiàn)場的穩(wěn)定運行。系統(tǒng)驗證在操作系統(tǒng)重啟后進行。3.1.PRS70003.1.1,單機操作1）加固后重啟后臺程序，先啟動rtdb,再啟動scada,最后啟動hmi客戶端；2）查看各個分畫面，遙測遙信信號正常，無反白的信號存

28、在，證明后臺遙測、遙信通訊正常；3）取一分畫面進行遙控預(yù)置，能收到遙控預(yù)置成功，再到遙控的裝置核對遙控預(yù)置命令，如果和后臺一致，則后臺遙控正常；3.1.2,多節(jié)點間同步1）加固后重啟主備機后臺程序，先啟動rtdb,再啟動scada,最后啟動hmi客戶端；2）查看主備機各個分畫面，遙測遙信信號正常，無反白的信號存在，證明主備機后臺遙測、遙信通訊正常；3）主機取一分畫面進行遙控預(yù)置，能收到遙控預(yù)置成功，再到遙控的裝置核對遙控預(yù)置命令，如果和后臺一致，則主備機后臺遙控正常；4）在備機hmi底部操作欄點擊“主從機服務(wù)器切換”，如下圖:CYG深瑞金冒翁端在咨服符毒配孟下切換主從廉務(wù)器，單朋鼻器配孟此功熊無效1Jli5）從機切為主機后，再執(zhí)行第3步操作;3.1.3, 打印功能驗證（網(wǎng)絡(luò)打印機）在主機hmi告警框鼠標(biāo)右鍵擊“打印事件”，如下圖:Q廠站名濟南TT加y賈莊變濟南11賈莊變間阻對象內(nèi)橋104間隔|事件類刖|時間三年T月25日怡時耳分弘杪1粽若口網(wǎng)通道故障動作濟南”口川賈莊變公用測控間隔橋南Tm濘責(zé)主變-諉用詞拄間隔;濟南fi萬舊商虎變皆角調(diào)控同甬i/KaiiiI丁IiAl,rrUTtdb刪除全部信息愉出到文本女