智能站一体化UNIX监控系统加固方案.docx
《智能站一体化UNIX监控系统加固方案.docx》由会员分享,可在线阅读,更多相关《智能站一体化UNIX监控系统加固方案.docx(17页珍藏版)》请在冰豆网上搜索。
智能站一体化UNIX监控系统加固方案
Unix监控系统安全加固
技术方案
2016年7月13日
1.
监控系统信息概述
1.1.变电站设备配置概述
列出典型变电站的后台软件型号、后台操作系统、远动机、前置机、交换机、正反向隔离装置、防火墙、PMU装置等装置型号。
后台软件型号:
PRS-7000
后台操作系统:
Unix
远动机:
PRS-7910G
前置机:
PRS-7911G
交换机:
PRS-7961B
正反向隔离装置:
SysKeeper-2000
防火墙:
DPtech-FW1000-MA-D
PMU装置:
PRS-7746
1.2.变电站二次系统典型拓扑图
2.监控系统设备加固项目
11.1监控主机
监控主机包括操作员站、工程师站、数据服务器、综合应用服务器、图形网关机等。
2.1.1.硬件加固
对于计算机的光驱,空余USB接口、以太网端口,均采取封条方式封闭。
2.1.2.操作系统
2.1.2.1.UNIX系统
加固方案如下:
A.系统帐户优化
1)备份/etc/passwd:
cp/etc/passwd/etc/passwd_back
2)加固
如果系统默认账户、测试账户不需要的话,建议删除。
使用命令gedit/etc/passwd,打开/etc/passwd文件,删除非必须账户,如:
lp、uucp、nuucp、unknow、nobody4、aiuser。
3)若出现异常,回退
将文件名/etc/passwd_back改为/etc/passwd:
mv/etc/passwd_back/etc/passwd
B.增强口令策略
1)备份/etc/default/passwd:
cp/etc/default/passwd/etc/default/passwd_bak
2)加固
使用命令gedit/etc/default/passwd,打开/etc/default/passwd文件进行修改,设置参数:
#MINDIFF=3#最小的差异数,新密码和旧密码的差异数。
MAXWEEKS=8密码最长有效时间
PASSLENGTH=8最短密码长度
MINWEEKS=最短改变时间
WARNWEEKS=5密码失效前几天通知用户
MINALPHA=1#最少字母要多少
MINNONALPHA=1#最少的非字母,包括了数字和特殊字符。
#MINUPPER=0#最少大写
#MINLOWER=0#最少小写
#MAXREPEATS=0#最大的重复数目
#MINSPECIAL=0#最小的特殊字符
#MINDIGIT=0#最少的数字
#WHITESPACE=YES#能使用空格吗?
3)若出现异常,回退
将文件名/etc/default/passwd_bak改为/etc/default/passwd:
mv/etc/default/passwd_bak/etc/default/passwd
C.消除系统弱口令
设置密码最短长度为8,要求大小字母与数字混排。
终端里面输入sudopasswdroot回车,按要求修改root的密码,修改后注销用户重新登录,检查密码已生效;终端里面输入sudopasswdoracle回车,按要求修改oracle密码,修改后注销用户重新登录,检查密码已生效
D.禁用root远程登录
1)备份/etc/default/login:
cp/etc/default/login/etc/default/login_bak
2)加固
使用命令gedit/etc/default/login,打开/etc/default/login文件进行修改,增加或修改/etc/default/login文件中如下行:
CONSOLE=/dev/console
3)若出现异常,回退
将文件名/etc/default/login_bak改为/etc/default/login:
mv/etc/default/login_bak/etc/default/login
E.登录超时设置
1)备份/etc/default/login:
cp/etc/default/login/etc/default/login_bak
2)加固
使用命令gedit/etc/default/login,打开/etc/default/login文件进行修改,增加或修改/etc/default/login文件中如下行:
TIMEOUT=600
3)若出现异常,回退
将文件名/etc/default/login_bak改为/etc/default/login:
mv/etc/default/login_bak/etc/default/login
F.非必需系统服务关闭
1)备份
查看加固服务是否开启(以加固sendmail为例)
打开终端输入:
svcssendmail,回车,显示如下
STATESTIMEFMRI
disabled7月20svc:
/network/smtp:
sendmail
记录sendmail当前运行状态“disable”。
2)加固
打开终端输入:
svcadmdisablesendmail(服务名)
如无实际业务需要,建议关闭sendmail、game、mail、smb、ftp、telnet等。
3)如有异常,回退
打开终端输入:
svcadmenablesendmail(服务名)
使用OpenSSH软件代替Telnet和Ftp的使用,利用其加密性保证远程登录的安全。
G.系统漏洞处理
UMASK处理
Umask值不为027,需修改/etc/default/login、/etc/profile、/etc/skel/local.cshrc三个文件。
1)备份/etc/default/login:
cp/etc/default/login/etc/default/login_back
2)加固
使用命令gedit/etc/default/login,打开/etc/default/login文件,将umask修改为027
3)若出现异常,回退
将文件名/etc/default/login_back改为/etc/default/login:
mv/etc/default/login_back/etc/default/login
/etc/profile、/etc/skel/local.cshrc2个文件参照/etc/default/login文件做类似处理
2.1.3.数据库
2.1.3.1.ORACLE
A.内置默认账号禁用
默认账号不禁用
B.口令更改
口令默认不能修改
2.1.4.应用软件
2.1.4.1.PRS-7000
A.默认及多余账号删除
后台程序默认带有2个默认账号“sznari”和“a”,由于初次打开数据库需要进行用户权限的校验需要用到默认账号,不建议删除。
打开数据库->“系统参数”->“用户配置”,选中需要删除的用户,鼠标右键选择“删除用户”,点击“删除用户”命令后,配置程序询问是否确认删除此用户:
如果得到肯定的确认,则删除该用户;如果得到否定回答,则撤销删除操作。
B.账号弱口令修改
打开数据库->“系统参数”->“用户配置”,选中需要修改的用户,鼠标右键选择“修改密码”,将显示下图密码设置对话框。
密码可以是任意符号和数字的组合,但不能为空。
2.1.4.2.非监控相关第三方软件清理
solaris除操作系统自带应用外,其他第三方应用均与监控功能相关。
2.2.工控设备
工控设备包括数据通信网关机、协议转换器、前置总控等。
PRS-7910G采用嵌入式Linux操作系统,加固方案如下:
2.2.1.硬件加固
对于工控设备,空余USB接口、以太网端口,采取封条方式封闭。
2.2.2.操作系统
2.2.2.1.嵌入式Linux
加固方案如下:
A.系统帐户优化
备份/etc/passwd:
cp/etc/passwd/etc/passwd._back
如果系统默认账户、测试账户不需要的话,建议删除。
使用命令cat/etc/passwd察看系统账户,删除非必须账户,如:
lp、uucp、games
#userdellp
#groupdellp
3)若出现异常,回退
将文件名/etc/passwd_back改为/etc/passwd:
mv/etc/passwd_back/etc/passwd
B.消除系统弱口令
设置密码最短长度为8,要求大小字母与数字混排。
终端里面输入sudopasswdroot(应该是passwdroot命令)回车,按要求修改root的密码,修改后注销用户重新登录,检查密码已生效;终端里面输入sudopasswdoracle回车,按要求修改oracle密码,修改后注销用户重新登录,检查密码已生效
C.登录超时设置
1)备份/etc/profile:
cp/etc/profile/etc/profile.2011.03.11
2)加固
增加或修改/etc/profile文件中如下行
TMOUT=180
3)若出现异常,回退
将文件名/etc/profile.2011.03.11改为/etc/profile:
mv/etc/profile.2011.03.11/etc/profile
D.系统漏洞处理
1)UMASK处理
Umask值不为027
修改~/.bashrc将umask修改为027
umask值含义:
1)、022表示默认创建新文件权限为755也就是rxwr-xr-x(所有者全部权限,属组读写,其它人读写)
2)、027表示默认创建新文件权限为750也就是rxwr-x---(所有者全部权限,属组读写,其它人无读写权限)
2.2.3.数据库
网关机中暂时未使用数据库。
2.2.4.应用软件
2.2.4.1.非监控相关第三方软件清理
除Linux操作系统自带应用外,只有网关机程序软件在运行,未安装其他应用软件。
2.3.安防设备
安防设备,包括部署于I区与II区之间的防火墙,以及I/II区与III/IV区之间的正向型隔离装置、反向型隔离装置。
2.3.1.防火墙:
DPtech-FW1000-MA-N(迪普防火墙)
2.3.1.1.账户及口令
1.设备账户
防火墙设备账户使用地市名+FW的方式。
格式如下:
例如湖州高阳变防火墙,则设备命名为huzhouFW
2.设备密码
防火墙设备密码使用地市名+_FW@7890的方式。
格式如下:
例如湖州高阳变防火墙,则设备密码为huzhou_FW@7890
3.修改密码
防火墙密码修改请用原密码登录设备web界面,出厂默认IP:
192.168.0.1;点击“基本”-“系统管理”-“管理员”-“密码”,直接输入密码,点击“确认”即可修改完成。
2.3.1.2.安全控制策略(ip、端口、协议等)
1.防火墙针对内部业务通信以及网络设备的安全控制策略,通过配置包过滤策略实现。
开放业务通信的端口以及网络设备管理端口,阻断其余非业务以及非管理的端口。
策略配置如下:
点击“基本”-“防火墙”-“包过滤策略”,针对业务通信,在“源IP”和“目的IP”项填上业务通信的两端地址,在“服务”项填写业务通信端口,动作为“通过”;针对网络设备管理,在“源IP”和“目的IP”项填上网管通信的两端地址,在“服务”项填写网管通信端口,动作为“通过”;最后再加一条策略,“源IP”和“目的IP”和“服务”填写any,动作为“丢包”。
这样就达到了安全控制的目的。
2.防火墙针对本身的安全策略,通过配置“web访问协议设置”实现。
策略配置如下:
点击“基本“-“系统管理”-“管理员”-“web访问协议设置”,在“WEB允许登录IP地址列表”中填写网络管理员的IP地址,这样就只允许网络管理员登录防火墙了。
2.3.1.3.空闲端口(usb口、网口等)
1.防火墙稳定运行后,将业务用到的物理接口以外的接口全部手动shutdown,其余无关人员无法通过直连登录防火墙设备。
策略配置如下:
点击“基本”-“网络管理”-“业务接口配置”,其中的“接口状态”默认为开启状态,点击选择“关闭”,这样无关人员将无法通过直连登录防火墙设备。
2.3.2.正反向隔离装置:
SysKeeper-2000(南瑞)
2.3.2.1.账户及口令
操作内容:
修改配置软件用户的默认密码,新的密码长度必须是8位以上,必须字母,数字,字符的组合。
操作步骤:
1.通过配置软件连接装置。
图1配置软件
2.登录后,选择“用户管理”->“修改口令”(如图1),输入新密码。
2.3.2.2.安全控制策略(ip、端口、协议等)
操作内容:
安全防控策略必须限制到IP,端口,协议,不能放大明文规则。
操作步骤:
1.通过配置软件连接装置。
2.登录后,选择“规则配置”->“配置规则”,完善安全防控规则。
2.3.2.3.空闲端口(usb口、网口等)
隔离装置没有USB口;隔离网口默认不用,需要配置。
2.4.交换机PRS-7961
交换机按照部署地点可分为站控层交换机、间隔层交换机、过程层交换机。
按照交换机是否可网管分为可网管交换机、不可网管交换机。
智能站一般采用可网管交换机,早期投运的变电站多采用不可网管交换机。
对于不可网管交换机,采取封条的方式,封闭其空余端口。
对于过程层交换机,采取封条的方式,封闭其空余端口。
对于站控、间隔层可网管交换机,可用web方式登录配置。
但运行期间建议屏蔽web方式。
交换机加固操作,必须在一对一直连的方式下进行,避免误操作其他交换机。
交换机加固完毕,更新《交换机维护记录表.xls》。
加固方案如下:
2.4.1.自产交换机PRS-7961
A.账户及口令
交换机出厂ip默认为222.111.114.60,掩码为255.255.255.0,设置笔记本IP为同一网段,连接交换机MGMT口,通过浏览器登录交换机。
在用户系统管理->用户管理
点击添加按钮
密码有密码复杂度检查:
长度8-16字符,含数字,字母,特殊字符中的两种以上,
若不符合复杂度检查,则会报配置错误。
输入用户名,例如test,输入密码,例如12345678,验证是否会报配置错误。
再输入用户名:
test,密码test1234,创建新账户,点击右上方退出,使用新账户看是否能登录交换机。
B.空闲网口
登录交换机之后,在设备面板区,点击进入空闲网口,将端口使能设为disable,即可关闭空闲端口。
关闭的端口将在设备面板区显示为红色。
关闭所有空闲网口后,查看设备面板区相应端口是否变为红色,使用网线连接笔记本与空余端口,查看空余端口是否对应指示灯不亮。
C.屏蔽web登录
连接交换机串口需usb转232调试线,以及一根自产交换机的串口调试线,事先需安装usb转232驱动,确保工具能够使用。
使用串口调试工具,设置如下(串口根据所插usb口不同而不同,可在设备管理器中查看):
AccessPassword:
admin
sunri>en
EnablePassword:
admin
sunri#mngshell
ShellPassword:
adminsznari
bash-2.05b#
按上述指令进入交换机系统,红色为密码,输入之后不显示。
输入ifconfig之后,显示记过如下图,其中eth0为交换机MGMT口,输入命令:
ifconfigeth0down可关闭该端口,关闭之后就不能访问web,此时再输入ifconfig将发现不再存在eth0,若需访问web进行配置,则输入命令:
ifconfigeth0up即可开启该端口。
此方法在交换机重启之后失效。
使用浏览器登录交换机,看是否能用web方式连接交换机。
3.监控系统加固后系统验证
监控主机加固后,为保障现场的稳定运行。
系统验证在操作系统重启后进行。
3.1.PRS7000
3.1.1.单机操作
1)加固后重启后台程序,先启动rtdb,再启动scada,最后启动hmi客户端;
2)查看各个分画面,遥测遥信信号正常,无反白的信号存在,证明后台遥测、遥信通讯正常;
3)取一分画面进行遥控预置,能收到遥控预置成功,再到遥控的装置核对遥控预置命令,如果和后台一致,则后台遥控正常;
3.1.2.多节点间同步
1)加固后重启主备机后台程序,先启动rtdb,再启动scada,最后启动hmi客户端;
2)查看主备机各个分画面,遥测遥信信号正常,无反白的信号存在,证明主备机后台遥测、遥信通讯正常;
3)主机取一分画面进行遥控预置,能收到遥控预置成功,再到遥控的装置核对遥控预置命令,如果和后台一致,则主备机后台遥控正常;
4)在备机hmi底部操作栏点击“主从机服务器切换”,如下图:
5)从机切为主机后,再执行第3步操作;
3.1.3.打印功能验证(网络打印机)
在主机hmi告警框鼠标右键击“打印事件”,如下图:
如果网络打印机能打印出对应的画面,则后台打印功能正常
3.1.4.音频功能验证
1)每次重启后台程序,后台都会报“系统信息”,后台hmi与远动机连接状态信息,后台如果启用了语音告警,只要打开告警窗口,后台会自动进行语音告警;
2)如果没有启用语音告警,则可以通过语音试听来测试,在主机告警窗口,鼠标右键“设总体参数设置”,如下图:
3)选择“声音设置”,进行“试听”
附录1.监控系统加固检查单
参见《监控系统加固检查单.xls》
附录2.变电站二次设备统计表
参见《变电站二次设备统计表.xls》
升级会员 