智能站一体化UNIX监控系统加固方案

1、Unix监控系统平安加固技术方案2021年7月13日1 .监控系统信息概述1.1. 变电站设备配置概述列出典型变电站的后台软件型号、后台操作系统、远动机、前置机、交换机、正反向隔离装置、防火墙、PMU装置等装置型号.后台软件型号：PRS-7000远动机前置机交换机后台操作系统：UnixPRS-7910GPRS-7911GPRS-7961B正反向隔离装置：SysKeeper-2000防火墙:DPtech-FW1000-MA-DPMU装置：PRS-77461.2. 变电站二次系统典型拓扑图GPS北斗PMU主站A工蜂需控如1趟主机2相蹿期微战AES国SBrarsi讦S捐匚I西趁酷联忙对时网FRS-7

2、7812-M2斛中K-imPRS3"PRS-74IDB主变保护的烧母茹于母联钎妙刘控安窗区MMSB网俵全I区MMSA网打印机-7PMI®揭集中号献I4L平安呕俣信可2 .监控系统设备加固工程1.1监控主机监控主机包括操作员站、工程师站、数据效劳器、综合应用效劳器、图形网关机等.2.1.1. 硬件加固对于计算机的光驱,空余USB接口、以太网端口,均采取封条方式封闭.2.1.2. 操作系统. UNIX系统加固方案如下：A.系统帐户优化1) 备份/etc/passwd：cp/etc/passwd/etc/passwd_back2) 加固如果系统默认账户、测试账户不需

3、要的话,建议删除.使用命令gedit/etc/passwd,翻开/etc/passwd文件,删除非必须账户,如：lp、uucp、nuucp、unknow、nobody4、aiuser.3) 假设出现异常,回退将文件名/etc/passwd_back改为/etc/passwd：mv/etc/passwd_back/etc/passwdB.增强口令策略4) 备份/etc/default/passwd:cp/etc/default/passwd/etc/default/passwd_bak2) 加固使用命令gedit/etc/default/passwd,翻开/etc/default/passwd文

4、件进行修改,设置参数：#MINDIFF=3#最小的差异数,新密码和旧密码的差异数.MAXWEEKS=8密码最长有效时间PASSLENGTH=8最短密码长度MINWEEKS=最短改变时间WARNWEEKS=5密码失效前几天通知用户MINALPHA=1#最少字母要多少MINNONALPHA=1#最少的非字母,包括了数字和特殊字符.#MINUPPER=0#最少大写#MINLOWER=0#最少小写#MAXREPEATS=0#最大的重复数目#MINSPECIAL=0#最小的特殊字符#MINDIGIT=0#最少的数字#WHITESPACE=YES#能使用空格吗?3) 假设出现异常,回退将文件名/etc/d

5、efault/passwd_bak改为/etc/default/passwd：mv/etc/default/passwd_bak/etc/default/passwdC.消除系统弱口令设置密码最短长度为8,要求大小字母与数字混排.终端里面输入sudopasswdroot回车,按要求修改root的密码,修改后注销用户重新登录,检查密码已生效；终端里面输入sudopasswdoracle回车,按要求修改oracle密码,修改后注销用户重新登录,检查密码已生效D.禁用root远程登录1) 备份/etc/default/login:cp/etc/default/login/etc/default/lo

6、gin_bak2) 加固使用命令gedit/etc/default/login,翻开/etc/default/login文件进行修改,增加或修改/etc/default/login文件中如下行：CONSOLE=/dev/console3) 假设出现异常,回退将文件名/etc/default/login_bak改为/etc/default/login:mv/etc/default/login_bak/etc/default/loginE.登录超时设置1) 备份/etc/default/login:cp/etc/default/login/etc/default/login_bak2) 加固使用命

7、令gedit/etc/default/login,翻开/etc/default/login文件进行修改,增加或修改/etc/default/login文件中如下行：TIMEOUT=6003) 假设出现异常,回退将文件名/etc/default/login_bak改为/etc/default/login:mv/etc/default/login_bak/etc/default/loginF.非必需系统效劳关闭1备份查看加固效劳是否开启以加固sendmail为例翻开终端输入：svcssendmail,回车,显示如下STATESTIMEFMRIdisabled7月20svc:/network/smt

8、p:sendmail记录sendmail当前运行状态"disable.2） 加固翻开终端输入：svcadmdisablesendmail效劳名如无实际业务需要,建议关闭sendmail、game、mail、smb、ftp、telnet等.3） 如有异常,回退翻开终端输入：svcadmenablesendmail效劳名使用OpenSSH软件彳t替Telnet和Ftp的使用,利用其加密性保证远程登录的平安.G.系统漏洞处理UMASK处理Umask值不为027,需修改/etc/default/login、/etc/profile、/etc/skel/local.cshrc三个文件.1备份/

9、etc/default/login:cp/etc/default/login/etc/default/login_back2） 加固使用命令gedit/etc/default/login,翻开/etc/default/login文件,将umask修改为0273） 假设出现异常,回退将文件名/etc/default/login_back改为/etc/default/login:mv/etc/default/login_back/etc/default/login/etc/profile、/etc/skel/local.cshrc2个文件参照/etc/default/login文件做类似处理2.1

10、.3. 数据库.ORACLEA.内置默认账号禁用默认账号不禁用B.口令更改口令默认不能修改2.1.4. 应用软件.PRS-7000A.默认及多余账号删除后台程序默认带有2个默认账号“sznari和"a；由于初次翻开数据库需要进行用户权限的校验需要用到默认账号,不建议删除.翻开数据库->系统参数->用户配置,选中需要删除的用户,鼠标右键选择“删除用户,点击“删除用户命令后,配置程序询问是否确认删除此用户：如果得到肯定确实认,那么删除该用户；如果得到否认答复,那么撤销删除操作.B.账号弱口令修改翻开数据库->系统参数-用户配置,选中需要修改的

11、用户,鼠标右键选择“修改密码显示下列图密码设置对话框.密码可以是任意符号和数字的组合,但不能为空..非监控相关第三方软件清理Solaris除操作系统自带应用外,其他第三方应用均与监控功能相关.2.2. 工控设备PRS-7910G采用嵌入式Linux操作系工控设备包括数据通信网关机、协议转换器、前置总控等.统,加固方案如下：2.2.1. 硬件加固对于工控设备,空余USB接口、以太网端口,采取封条方式封闭.2.2.2. 操作系统. 嵌入式Linux加固方案如下：A.系统帐户优化备份/etc/passwd：cp/etc/passwd/etc/passwd._back如果系

12、统默认账户、测试账户不需要的话,建议删除.使用命令cat/etc/passwd观察系统账户,删除非必须账户,如：lp、uucp、games#userdellp#groupdellp3假设出现异常,回退将文件名/etc/passwd_back改为/etc/passwd：mv/etc/passwd_back/etc/passwdB.消除系统弱口令设置密码最短长度为8,要求大小字母与数字混排.终端里面输入sudopasswdroot应该是passwdroot命令回车,按要求修改root的密码,修改后注销用户重新登录,检查密码已生效；终端里面输入sudopasswdoracle回车,按要求修改orac

13、le密码,修改后注销用户重新登录,检查密码已生效C.登录超时设置1备份/etc/profile:cp/etc/profile/etc/profile.2021.03.112加固增加或修改/etc/profile文件中如下行TMOUT=1803假设出现异常,回退将文件名/etc/profile.2021.03.11改为/etc/profile:mv/etc/profile.2021.03.11/etc/profileD.系统漏洞处理1UMASK处理Umask值不为027修改/.bashrc将umask修改为027umask值含义：1、022表示默认创立新文件权限为755也就是rxwr-xr-x所

14、有者全部权限,属组读写,其它人读写2、027表示默认创立新文件权限为750也就是rxwr-x-所有者全部权限,属组读写,其它人无读写权限2.2.3. 数据库网关机中暂时未使用数据库.2.2.4. 应用软件. 非监控相关第三方软件清理除Linux操作系统自带应用外,只有网关机程序软件在运行,未安装其他应用软件.2.3. 安防设备安防设备,包括部署于I区与II区之间的防火墙,以及I/II区与III/IV区之间的正向型隔离装置、反向型隔离装置.2.3.1. 防火墙：DPtech-FW1000-MA-N迪普防火墙. 账户及口令1 .设备账户防火墙设备账户使用地市名+FW的方

15、式.格式如下：例如湖州高阳变防火墙,那么设备命名为huzhouFW2 .设备密码防火墙设备密码使用地市名+_FW789的方式.格式如下：例如湖州高阳变防火墙,那么设备密码为huzhou_FW78903 .修改密码防火墙密码修改请用原密码登录设备web界面,出厂默认IP：;点击“根本-“系统治理-“治理员-“密码,直接输入密码,点击“确认即可修改完成.. 平安限制策略ip、端口、协议等1 .防火墙针对内部业务通信以及网络设备的平安限制策略,通过配置包过滤策略实现.开放业务通信的端口以及网络设备治理端口,阻断其余非业务以及非治理的端口.策略配置如下：点击“根本-

16、“防火墙-“包过滤策略,针对业务通信,在“源IP和“目的IP项填上业务通信的两端地址,在“效劳项填写业务通信端口,动作为“通过；针对网络设备治理,在“源IP和“目的IP项填上网管通信的两端地址,在“效劳项填写网管通信端口,动作为“通过；最后再加一条策略,“源IP和“目的IP和“效劳填写any,动作为“丢包.这样就到达了平安限制的目的.2 .防火墙针对本身的平安策略,通过配置“web访问协议设置实现.策略配置如下：点击“根本-系统治理-“治理员-“web访问协议设置,在“WE就许登录IP地址列表中填写网络治理员的IP地址,这样就只允许网络治理员登录防火墙了.. 空闲端口usb口、网

17、口等1 .防火墙稳定运行后,将业务用到的物理接口以外的接口全部手动shutdown,其余无关人员无法通过直连登录防火墙设备.策略配置如下：点击“根本-“网络治理-“业务接口配置,其中的“接口状态默认为开启状态,点击选择“关闭,这样无关人员将无法通过直连登录防火墙设备.2.3.2. 正反向隔离装置：SysKeeper-2000南瑞. 账户及口令操作内容：修改配置软件用户的默认密码,新的密码长度必须是8位以上,必须字母,数字,字符的组合.操作步骤：1 .通过配置软件连接装置.图1配置软件2 .登录后,选择“用户治理->“修改口令如图1,输入新密码.. 平安限制策略

18、ip、端口、协议等操作内容：平安防控策略必须限制到IP,端口,协议,不能放大明文规那么.操作步骤：1 .通过配置软件连接装置.2 .登录后,选择“规那么配置->“配置规那么,完善平安防控规那么.. 空闲端口usb口、网口等隔离装置没有USB口；隔离网口默认不用,需要配置.2.4. 交换机PRS-7961交换机根据部署地点可分为站控层交换机、间隔层交换机、过程层交换机.根据交换机是否可网管分为可网管交换机、不可网管交换机.智能站一般采用可网管交换机,早期投运的变电站多采用不可网管交换机.对于不可网管交换机,采取封条的方式,封闭其空余端口.对于过程层交换机,采取封条的方式,封闭

19、其空余端口.对于站控、间隔层可网管交换机,可用web方式登录配置.但运行期间建议屏蔽web方式.交换机加固操作,必须在一对一直连的方式下进行,防止误操作其他交换机.交换机加固完毕,更新?交换机维护记录表.xls»o加固方案如下：2.4.1. 自产交换机PRS-7961A.账户及口令交换机出厂ip默认为0,掩码为,设置笔记本IP为同一网段,连接交换机MGMT口,通过浏览器登录交换机.在用户系统治理->用户治理点击添加按钮密码有密码复杂度检查：长度8-16字符,含数字,字母,特殊字符中的两种以上,假设不符合复杂度检查,那么会报配置

20、错误.输入用户名,例如test,输入密码,例如12345678,验证是否会报配置错误.再输入用户名：test,密码test1234,创立新账户,点击右上方退出,使用新账户看是否能登录交换机.B.空闲网口disable,即可关闭空闲登录交换机之后,在设备面板区,点击进入空闲网口,将端口使能设为端口.关闭的端口将在设备面板区显示为红色.关闭所有空闲网口后,查看设备面板区相应端口是否变为红色,使用网线连接笔记本与空余端口,查看空余端口是否对应指示灯不亮.C.屏蔽web登录连接交换机串口需usb车1232调试线,以及一根自产交换机的串口调试线,事先需安装usb车与232驱动,保证工具能够使用.使用串口

21、调试工具,设置如下串口根据所插usb口不同而不同,可在设备治理器中查看：QuickConnectProtocol：Port:Baudrabe;Datahits；:Parity:Stopbite;SerialFlowControlIdtr/dsrRTS/CTSXON/XOFFShowquickconnectonstartupl/ISavesessonCancel_.OpeninatabEnablePassword:adminsunri#mngshellShellPassword:adminsznaribash-2.05b#按上述指令进入交换机系统,红色为密码,输入之后不显示.输入ifconfig

22、之后,显示记过如下列图,其中eth0为交换机MGMT,输入命令：ifconfigeth0down可关闭该端口,关闭之后就不能访问web,此时再输入ifconfig将发现不再存在eth0,假设需访问web进行配置,那么车入命令：ifconfigeth0up即可开启该端口.bash-2,05b*IfconfigethOlinkencap:EthernetHaddr24:64：EF:00:00:02inetaddr:222.111.114t60BGiStIll,114*255Nask:255,255,255,.UPBROADCASTRUMNIMGMULTICASTMTU：1500Mfitridlr*

23、packets:1101errors：0dropped：QoverrunsTXpackets:1379errors:0dropped:0overruns:0carrler:0col11sions：Qtxqueuelen：ioooRXbytes:137746(134.5KiE)TXbytes:911182(SB9.6K1B)ethlLinkencap:EthernetHWaddr24:64：EF:00:00:0BUPBROADCASTRUNNINGMULTICASTMTU：lS00Metric：.lRXpackets:8errors:0dropped:0overruns:0frame:.rxpa

24、ckets:12errors:0dropped:0overruns:0carr1er:0col11sions:0txqueuelen:1000RXbytes:1224(1.1K1B)TXbytes:1BOO(1.7KiiB)bash-2.05b*ifconfigethOdownbash-2,05b*ifconf-igethlLinkencap:EthernetHaddr24:64：EF:00:00:03UPBROADCASTRUNNINGMULTICASTMTU；15QQMetric：1RXpackets:IBerrors:0dropped:0overruns:0frame:0TXpacket

25、s：22errors：0dropped:0overruns:0carrner：ocollisions:0txqueuelen:1000RXbytes:2754idB)rxbytes:3300C,ZKiiB)bash-2,05bfIfconfigethoupbash-2.05bifconfigethoLinkencap：Ethernetwwaddr24：国：ef：0Q：qo：qwiinetaddr:222,111.114,60Beast:222,111.114,255Wask:UPBROADCASTMULTICASTMTU：1SODM6rr1C：1RXpackets:2

26、268errors:0dropped'0overruns:0frame:.rxpackets：2s4errors；0dropped：0overruns:0carrier:0col11sions:0txqueueTen:1000RXbytes:285307(27fi.6KiE)TXbytes11934366(1.&MiB)ethlLnkencap:EthernetHaddr124:64：£F:00:00:03UPBROADCASTRUNNINGMULTICASTMTU：158Fetric：lRXpackets:IBerrors:0dropped:0overruns:0f

27、rame:0TXpackets:22errors:0dropped:0overruns:0carrHer：ocollisions:0txqueuelen:1000RXbytes:2754(2,6Kia)TXbytes:33002KiB)bash-2.05b#|此方法在交换机重启之后失效.使用浏览器登录交换机,看是否能用web方式连接交换机.3.监控系统加固后系统验证监控主机加固后,为保证现场的稳定运行.系统验证在操作系统重启后进行.3.1.PRS70003.1.1,单机操作1加固后重启后台程序,先启动rtdb,再启动scada,最后启动hmi客户端；2查看各个分画面,遥测遥信信号正常,无反白的

28、信号存在,证实后台遥测、遥信通讯正常；3取一分画面进行遥控预置,能收到遥控预置成功,再到遥控的装置核对遥控预置命令,如果和后台一致,那么后台遥控正常；3.1.2,多节点间同步1加固后重启主备机后台程序,先启动rtdb,再启动scada,最后启动hmi客户端；2查看主备机各个分画面,遥测遥信信号正常,无反白的信号存在,证实主备机后台遥测、遥信通讯正常；3主机取一分画面进行遥控预置,能收到遥控预置成功,再到遥控的装置核对遥控预置命令,如果和后台一致,那么主备机后台遥控正常；4在备机hmi底部操作栏点击“主从机效劳器切换,如下列图:CYG深瑞金冒翁端在咨服符毒配孟下切换主从廉务器,单朋鼻器配孟此功熊无效1Jli5从机切为主机后,再执行第3步操作;3.1.3, 打印功能验证网络打印机在主机hmi告警框鼠标右键击“打印事件,如下列图:Q厂站名济南TT加y贾庄变济南11贾庄变间阻对象内桥104间隔|事件类刖|时间三年T月25日怡时耳分弘杪1粽假设口网通道故障动作济南口川贾庄变公用测控间隔桥南Tm泞责主变-诿用词拄间隔;济南fi万旧商虎变皆角调控同甬i>/Ka»iiiI丁IiAl,rr"UTtdb删除全部信息愉出到文本女伴设罡告等造字体比话列表井序5年7月£5日龄时百分弘势亳秒;公共洌控装百三呼节故障动作漏7形汨飞河时打和砥言秽襁箕相拄装置三幅逐