智能站一体化UNIX监控系统加固方案

1、Unix监控系统安全加固技术方案2016年7月13日1 .监控系统信息概述1.1. 变电站设备配置概述列出典型变电站的后台软件型号、后台操作系统、远动机、前置机、交换机、正反向隔离装置、防火墙、PMU装置等装置型号。后台软件型号：PRS-7000远动机前置机交换机后台操作系统：UnixPRS-7910GPRS-7911GPRS-7961B正反向隔离装置：SysKeeper-2000防火墙:DPtech-FW1000-MA-DPMU装置：PRS-77461.2. 变电站二次系统典型拓扑图GPS北斗PMU主站A工蜂需控如1趟主机2相蹿期微战AES国SBrarsi讦S捐匚I西趁酷联忙对时网FRS-7

2、7812-M2斛中K-imPRS3PRS-74IDB主变保护的烧母茹于母联钎妙刘控（安窗区）MMSB网俵全I区）MMSA网打印机-7PMI揭集中号献I4L（安全呕）俣信可2 .监控系统设备加固项目1.1监控主机监控主机包括操作员站、工程师站、数据服务器、综合应用服务器、图形网关机等。2.1.1. 硬件加固对于计算机的光驱，空余USB接口、以太网端口，均采取封条方式封闭。2.1.2. 操作系统. UNIX系统加固方案如下：A.系统帐户优化1) 备份/etc/passwd：cp/etc/passwd/etc/passwd_back2) 加固如果系统默认账户、测试账户不需要的话，建议删

3、除。使用命令gedit/etc/passwd,打开/etc/passwd文件，删除非必须账户，如：lp、uucp、nuucp、unknow、nobody4、aiuser。3) 若出现异常，回退将文件名/etc/passwd_back改为/etc/passwd：mv/etc/passwd_back/etc/passwdB.增强口令策略4) 备份/etc/default/passwd:cp/etc/default/passwd/etc/default/passwd_bak2) 加固使用命令gedit/etc/default/passwd,打开/etc/default/passwd文件进行修改，设置

4、参数：#MINDIFF=3#最小的差异数，新密码和旧密码的差异数。MAXWEEKS=8密码最长有效时间PASSLENGTH=8最短密码长度MINWEEKS=最短改变时间WARNWEEKS=5密码失效前几天通知用户MINALPHA=1#最少字母要多少MINNONALPHA=1#最少的非字母，包括了数字和特殊字符。#MINUPPER=0#最少大写#MINLOWER=0#最少小写#MAXREPEATS=0#最大的重复数目#MINSPECIAL=0#最小的特殊字符#MINDIGIT=0#最少的数字#WHITESPACE=YES#能使用空格吗?3) 若出现异常，回退将文件名/etc/default/pa

5、sswd_bak改为/etc/default/passwd：mv/etc/default/passwd_bak/etc/default/passwdC.消除系统弱口令设置密码最短长度为8,要求大小字母与数字混排。终端里面输入sudopasswdroot回车，按要求修改root的密码，修改后注销用户重新登录，检查密码已生效；终端里面输入sudopasswdoracle回车，按要求修改oracle密码，修改后注销用户重新登录，检查密码已生效D.禁用root远程登录1) 备份/etc/default/login:cp/etc/default/login/etc/default/login_bak2)

6、 加固使用命令gedit/etc/default/login,打开/etc/default/login文件进行修改，增加或修改/etc/default/login文件中如下行：CONSOLE=/dev/console3) 若出现异常，回退将文件名/etc/default/login_bak改为/etc/default/login:mv/etc/default/login_bak/etc/default/loginE.登录超时设置1) 备份/etc/default/login:cp/etc/default/login/etc/default/login_bak2) 加固使用命令gedit/etc

7、/default/login，打开/etc/default/login文件进行修改，增加或修改/etc/default/login文件中如下行：TIMEOUT=6003) 若出现异常，回退将文件名/etc/default/login_bak改为/etc/default/login:mv/etc/default/login_bak/etc/default/loginF.非必需系统服务关闭1）备份查看加固服务是否开启（以加固sendmail为例）打开终端输入：svcssendmail,回车，显示如下STATESTIMEFMRIdisabled7月20svc:/network/smtp:sendma

8、il记录sendmail当前运行状态disable”。2） 加固打开终端输入：svcadmdisablesendmail（服务名）如无实际业务需要，建议关闭sendmail、game、mail、smb、ftp、telnet等。3） 如有异常，回退打开终端输入：svcadmenablesendmail（服务名）使用OpenSSH软件彳t替Telnet和Ftp的使用，利用其加密性保证远程登录的安全。G.系统漏洞处理UMASK处理Umask值不为027,需修改/etc/default/login、/etc/profile、/etc/skel/local.cshrc三个文件。1）备份/etc/defa

9、ult/login:cp/etc/default/login/etc/default/login_back2） 加固使用命令gedit/etc/default/login,打开/etc/default/login文件，将umask修改为0273） 若出现异常，回退将文件名/etc/default/login_back改为/etc/default/login:mv/etc/default/login_back/etc/default/login/etc/profile、/etc/skel/local.cshrc2个文件参照/etc/default/login文件做类似处理2.1.3. 数据库2.

10、1.3.1.ORACLEA.内置默认账号禁用默认账号不禁用B.口令更改口令默认不能修改2.1.4. 应用软件.PRS-7000A.默认及多余账号删除后台程序默认带有2个默认账号“sznari和a；由于初次打开数据库需要进行用户权限的校验需要用到默认账号，不建议删除。打开数据库-系统参数”-用户配置”，选中需要删除的用户，鼠标右键选择“删除用户”，点击“删除用户”命令后，配置程序询问是否确认删除此用户：如果得到肯定的确认，则删除该用户；如果得到否定回答，则撤销删除操作。B.账号弱口令修改打开数据库-系统参数”-用户配置”，选中需要修改的用户，鼠标右键选择“修改密码”显示下图密码设置

11、对话框。密码可以是任意符号和数字的组合，但不能为空。.非监控相关第三方软件清理Solaris除操作系统自带应用外，其他第三方应用均与监控功能相关。2.2. 工控设备PRS-7910G采用嵌入式Linux操作系工控设备包括数据通信网关机、协议转换器、前置总控等。统，加固方案如下：2.2.1. 硬件加固对于工控设备，空余USB接口、以太网端口，采取封条方式封闭。2.2.2. 操作系统. 嵌入式Linux加固方案如下：A.系统帐户优化备份/etc/passwd：cp/etc/passwd/etc/passwd._back如果系统默认账户、测试账户不需要的话，建议删除。使用

12、命令cat/etc/passwd察看系统账户，删除非必须账户，如：lp、uucp、games#userdellp#groupdellp3）若出现异常，回退将文件名/etc/passwd_back改为/etc/passwd：mv/etc/passwd_back/etc/passwdB.消除系统弱口令设置密码最短长度为8,要求大小字母与数字混排。终端里面输入sudopasswdroot（应该是passwdroot命令）回车，按要求修改root的密码，修改后注销用户重新登录，检查密码已生效；终端里面输入sudopasswdoracle回车，按要求修改oracle密码，修改后注销用户重新登录，检查密码

13、已生效C.登录超时设置1）备份/etc/profile:cp/etc/profile/etc/profile.2011.03.112）加固增加或修改/etc/profile文件中如下行TMOUT=1803）若出现异常，回退将文件名/etc/profile.2011.03.11改为/etc/profile:mv/etc/profile.2011.03.11/etc/profileD.系统漏洞处理1）UMASK处理Umask值不为027修改/.bashrc将umask修改为027umask值含义：1）、022表示默认创建新文件权限为755也就是rxwr-xr-x（所有者全部权限，属组读写，其它人读

14、写）2）、027表示默认创建新文件权限为750也就是rxwr-x-（所有者全部权限，属组读写，其它人无读写权限）2.2.3. 数据库网关机中暂时未使用数据库。2.2.4. 应用软件. 非监控相关第三方软件清理除Linux操作系统自带应用外，只有网关机程序软件在运行，未安装其他应用软件。2.3. 安防设备安防设备，包括部署于I区与II区之间的防火墙，以及I/II区与III/IV区之间的正向型隔离装置、反向型隔离装置。2.3.1. 防火墙：DPtech-FW1000-MA-N（迪普防火墙）. 账户及口令1 .设备账户防火墙设备账户使用地市名+FW的方式。格式如下：例如湖

15、州高阳变防火墙，则设备命名为huzhouFW2 .设备密码防火墙设备密码使用地市名+_FW789的方式。格式如下：例如湖州高阳变防火墙，则设备密码为huzhou_FW78903 .修改密码防火墙密码修改请用原密码登录设备web界面，出厂默认IP：;点击“基本”-“系统管理”-“管理员”-“密码”，直接输入密码，点击“确认”即可修改完成。. 安全控制策略（ip、端口、协议等）1 .防火墙针对内部业务通信以及网络设备的安全控制策略，通过配置包过滤策略实现。开放业务通信的端口以及网络设备管理端口，阻断其余非业务以及非管理的端口。策略配置如下：点击“基本”-“防火墙

16、”-“包过滤策略”，针对业务通信，在“源IP”和“目的IP”项填上业务通信的两端地址，在“服务”项填写业务通信端口，动作为“通过”；针对网络设备管理，在“源IP”和“目的IP”项填上网管通信的两端地址，在“服务”项填写网管通信端口，动作为“通过”；最后再加一条策略，“源IP”和“目的IP”和“服务”填写any,动作为“丢包”。这样就达到了安全控制的目的。2 .防火墙针对本身的安全策略，通过配置“web访问协议设置”实现。策略配置如下：点击“基本”-”系统管理”-“管理员”-“web访问协议设置”，在“WE就许登录IP地址列表”中填写网络管理员的IP地址，这样就只允许网络管理员登录防火墙了。2.

17、3.1.3. 空闲端口（usb口、网口等）1 .防火墙稳定运行后，将业务用到的物理接口以外的接口全部手动shutdown,其余无关人员无法通过直连登录防火墙设备。策略配置如下：点击“基本”-“网络管理”-“业务接口配置”，其中的“接口状态”默认为开启状态，点击选择“关闭”，这样无关人员将无法通过直连登录防火墙设备。2.3.2. 正反向隔离装置：SysKeeper-2000（南瑞）. 账户及口令操作内容：修改配置软件用户的默认密码，新的密码长度必须是8位以上，必须字母，数字，字符的组合。操作步骤：1 .通过配置软件连接装置。图1配置软件2 .登录后，选择“用户管理”-“修改口令”（

18、如图1）,输入新密码。. 安全控制策略（ip、端口、协议等）操作内容：安全防控策略必须限制到IP,端口，协议，不能放大明文规则。操作步骤：1 .通过配置软件连接装置。2 .登录后，选择“规则配置”-“配置规则”，完善安全防控规则。. 空闲端口（usb口、网口等）隔离装置没有USB口；隔离网口默认不用，需要配置。2.4. 交换机PRS-7961交换机按照部署地点可分为站控层交换机、间隔层交换机、过程层交换机。按照交换机是否可网管分为可网管交换机、不可网管交换机。智能站一般采用可网管交换机，早期投运的变电站多采用不可网管交换机。对于不可网管交换机，采取封条的方式，封闭其

19、空余端口。对于过程层交换机，采取封条的方式，封闭其空余端口。对于站控、间隔层可网管交换机，可用web方式登录配置。但运行期间建议屏蔽web方式。交换机加固操作，必须在一对一直连的方式下进行，避免误操作其他交换机。交换机加固完毕，更新交换机维护记录表.xlso加固方案如下：2.4.1. 自产交换机PRS-7961A.账户及口令交换机出厂ip默认为0,掩码为,设置笔记本IP为同一网段，连接交换机MGMT口，通过浏览器登录交换机。在用户系统管理-用户管理点击添加按钮密码有密码复杂度检查：长度8-16字符，含数字，字母，特殊字符中的两种以上,若不符合

20、复杂度检查，则会报配置错误。输入用户名，例如test,输入密码，例如12345678,验证是否会报配置错误。再输入用户名：test,密码test1234,创建新账户，点击右上方退出，使用新账户看是否能登录交换机。B.空闲网口disable,即可关闭空闲登录交换机之后，在设备面板区，点击进入空闲网口，将端口使能设为端口。关闭的端口将在设备面板区显示为红色。关闭所有空闲网口后，查看设备面板区相应端口是否变为红色，使用网线连接笔记本与空余端口，查看空余端口是否对应指示灯不亮。C.屏蔽web登录连接交换机串口需usb车1232调试线，以及一根自产交换机的串口调试线，事先需安装usb车与232驱动，确保

21、工具能够使用。使用串口调试工具，设置如下（串口根据所插usb口不同而不同，可在设备管理器中查看）：QuickConnectProtocol：Port:Baudrabe;Datahits；:Parity:Stopbite;SerialFlowControlIdtr/dsrRTS/CTSXON/XOFFShowquickconnectonstartupl/ISavesessonCancel_.OpeninatabEnablePassword:adminsunri#mngshellShellPassword:adminsznaribash-2.05b#按上述指令进入交换机系统，红色为密码，输入之后不

22、显示。输入ifconfig之后，显示记过如下图，其中eth0为交换机MGMT，输入命令：ifconfigeth0down可关闭该端口，关闭之后就不能访问web,此时再输入ifconfig将发现不再存在eth0,若需访问web进行配置，则车入命令：ifconfigeth0up即可开启该端口。bash-2,05b*IfconfigethOlinkencap:EthernetHaddr24:64：EF:00:00:02inetaddr:222.111.114t60BGiStIll,114*255Nask:255,255,255,。UPBROADCASTRUMNIMGMULTICASTMTU：1500

23、Mfitridlr*packets:1101errors：0dropped：QoverrunsTXpackets:1379errors:0dropped:0overruns:0carrler:0col11sions：Qtxqueuelen：ioooRXbytes:137746(134.5KiE)TXbytes:911182(SB9.6K1B)ethlLinkencap:EthernetHWaddr24:64：EF:00:00:0BUPBROADCASTRUNNINGMULTICASTMTU：lS00Metric：.lRXpackets:8errors:0dropped:0overruns:0f

24、rame:。rxpackets:12errors:0dropped:0overruns:0carr1er:0col11sions:0txqueuelen:1000RXbytes:1224(1.1K1B)TXbytes:1BOO(1.7KiiB)bash-2.05b*ifconfigethOdownbash-2,05b*ifconf-igethlLinkencap:EthernetHaddr24:64：EF:00:00:03UPBROADCASTRUNNINGMULTICASTMTU；15QQMetric：1RXpackets:IBerrors:0dropped:0overruns:0frame

25、:0TXpackets：22errors：0dropped:0overruns:0carrner：ocollisions:0txqueuelen:1000RXbytes:2754idB)rxbytes:3300C，ZKiiB)bash-2,05bfIfconfigethoupbash-2.05bifconfigethoLinkencap：Ethernetwwaddr24：国：ef：0Q：qo：qwiinetaddr:222,111.114,60Beast:222,111.114,255Wask:UPBROADCASTMULTICASTMTU：1SODM6rr1C：1R

26、Xpackets:2268errors:0dropped0overruns:0frame:。rxpackets：2s4errors；0dropped：0overruns:0carrier:0col11sions:0txqueueTen:1000RXbytes:285307(27fi.6KiE)TXbytes11934366(1.&MiB)ethlLnkencap:EthernetHaddr124:64：F:00:00:03UPBROADCASTRUNNINGMULTICASTMTU：158Fetric：lRXpackets:IBerrors:0dropped:0overruns:0frame:

27、0TXpackets:22errors:0dropped:0overruns:0carrHer：ocollisions:0txqueuelen:1000RXbytes:2754(2,6Kia)TXbytes:33002KiB)bash-2.05b#|此方法在交换机重启之后失效。使用浏览器登录交换机，看是否能用web方式连接交换机。3.监控系统加固后系统验证监控主机加固后，为保障现场的稳定运行。系统验证在操作系统重启后进行。3.1.PRS70003.1.1,单机操作1）加固后重启后台程序，先启动rtdb,再启动scada,最后启动hmi客户端；2）查看各个分画面，遥测遥信信号正常，无反白的信号存

28、在，证明后台遥测、遥信通讯正常；3）取一分画面进行遥控预置，能收到遥控预置成功，再到遥控的装置核对遥控预置命令，如果和后台一致，则后台遥控正常；3.1.2,多节点间同步1）加固后重启主备机后台程序，先启动rtdb,再启动scada,最后启动hmi客户端；2）查看主备机各个分画面，遥测遥信信号正常，无反白的信号存在，证明主备机后台遥测、遥信通讯正常；3）主机取一分画面进行遥控预置，能收到遥控预置成功，再到遥控的装置核对遥控预置命令，如果和后台一致，则主备机后台遥控正常；4）在备机hmi底部操作栏点击“主从机服务器切换”，如下图:CYG深瑞金冒翁端在咨服符毒配孟下切换主从廉务器，单朋鼻器配孟此功熊无效1Jli5）从机切为主机后，再执行第3步操作;3.1.3, 打印功能验证（网络打印机）在主机hmi告警框鼠标右键击“打印事件”，如下图:Q厂站名济南TT加y贾庄变济南11贾庄变间阻对象内桥104间隔|事件类刖|时间三年T月25日怡时耳分弘杪1粽若口网通道故障动作济南”口川贾庄变公用测控间隔桥南Tm泞责主变-诿用词拄间隔;济南fi万旧商虎变皆角调控同甬i/KaiiiI丁IiAl,rrUTtdb删除全部信息愉出到文本女