变电站电力监控系统主机加固工作指引

变电站电力监控系统主机加固工作指引1.总则1.1目的为规范变电站电力监控系统主机（以下简称“主机”）安全加固工作，提高主机抗攻击、防入侵能力，防范恶意代码、非法访问等安全风险，保障电力监控系统稳定、可靠、安全运行，依据相关法规标准，特制定本指引。本指引旨在指导全网各单位开展主机病毒查杀及加固工作，明确工作流程、技术要求和责任分工，为加固工作提供标准化依据，确保加固效果达标。1.2适用范围本指引适用于变电站内所有电力监控系统主机，包括但不限于监控后台机、五防机、数据采集主机、服务器等，涵盖Windows（Windows7、Windows8、WindowsVista等）、Unix/Linux及凝思等操作系统类型的主机。鉴于WindowsXP与Windows2000等操作系统已停止官方技术支持，原则上应升级为Windows7及以上操作系统，升级前需按本指引要求做好临时加固防护。1.3核心原则遵循“安全分区、网络专用、横向隔离、纵向认证”的总体安全原则，坚持“预防为主、防治结合、全程管控、持续改进”，严格遵循“谁主管谁负责，谁运营谁负责”的责任原则，确保加固工作不影响电力监控系统正常运行，兼顾安全性与业务连续性，优先选用安全可信的产品和服务，杜绝选用存在已知安全缺陷、漏洞且未采取有效补救措施的产品和服务。1.4引用依据依据《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》《电力监控系统安全防护规定》（国家发展和改革委员会令第27号）、《电力行业信息系统安全等级保护基本要求》《电力监控系统主机可信验证检测规范》等法规、标准及行业相关要求执行。2.前期准备2.1人员准备组建专业加固工作小组，成员包括运维人员、通信专业人员、安全技术人员，必要时邀请设备厂家提供技术支持。所有工作人员需熟悉电力监控系统架构、主机操作系统特性及安全加固技术，具备相应的操作资质，提前接受安全培训，明确岗位职责和操作规范，掌握风险防控及回退措施。2.2工具与物资准备准备以下工具及物资，并确保其合规、可用：安全加固工具：操作系统配置工具、漏洞扫描工具、恶意代码查杀工具、补丁管理工具等，优先选用符合电力行业安全标准的专用工具；杀毒与存储设备：专用杀毒U盘、安全U盘、班组专用U盘，做好编号、命名和登记，明确负责人，其中安全U盘用于Windows主机数据拷贝，班组专用U盘仅用于Linux主机数据拷贝，杀毒U盘用于无法安装恶意代码防御客户端的主机查杀；备份设备：移动硬盘、光盘等，用于主机系统、配置文件、业务数据的备份；防护软件：本单位统一采购的防病毒系统，根据主机内存配置选择安装数量（4G以下内存只装一套，4G以上安装360和安天2套防病毒客户端）；文档资料：主机设备清单、系统拓扑图、配置参数表、加固作业表单、相关法规标准及操作手册等。2.3环境准备1.对主机运行环境进行全面检查，确认主机硬件正常、网络连接稳定，业务系统运行无异常；2.全部变电站视频及环境监控系统、设备在线监测系统原则上应退出综合数据网，由通信专业负责在各变电站综合数据网接入交换机上通过交换机命令，断开相关系统连接端口，确保加固过程中主机处于相对独立的安全环境，避免外部干扰；3.清理主机周边无关设备，严禁外来U盘、移动硬盘等存储设备随意接入，启用主机USB管控功能；4.检查并校准主机系统时间，确保与电力监控系统统一时间同步，为日志审计、漏洞修复等工作提供准确时间依据。2.4风险评估与备份1.对主机进行全面风险评估，排查操作系统漏洞、弱口令、恶意代码、违规软件、高危端口开放等安全隐患，记录风险点及详细信息，形成风险评估报告；2.加固前必须对主机系统、关键配置文件、业务数据进行完整备份，明确备份路径、备份时间及责任人，备份数据需异地存储，同时进行备份恢复测试，确保备份数据可正常恢复，防范加固操作失误导致系统瘫痪或数据丢失；3.评估加固操作可能对业务系统造成的影响，制定应急预案和回退方案，明确应急处置流程、责任人和技术措施，若加固过程中出现异常，立即启动回退方案，恢复系统正常运行。3.核心加固实施流程主机加固工作按“系统退网→边界加固→病毒查杀→系统加固→病毒库更新→验收测试→系统并网”的流程开展，针对单台主机，需先完成病毒查杀，再进行系统加固，确保每一步骤符合规范、落地到位。3.1系统退网由通信专业负责，断开变电站视频及环境监控系统、设备在线监测系统与综合数据网的连接，具体操作的是在各变电站综合数据网接入交换机上通过交换机命令，关闭相关系统连接端口，退网后确认系统与外部网络完全隔离，方可进入后续加固环节，整改合格后方能并网。3.2边界加固边界加固由通信专业负责，重点强化主机所在网络边界的安全防护，具体措施如下：在综合数据网接入交换机上配置ACL策略，采用白名单方式，仅允许该交换机上变电站视频及环境监控系统业务接入端口及指定双向访问的IP地址、端口，同时采用黑名单方式，在交换机所有端口禁止135-139、445、3389等高风险端口业务的双向访问；若变电站视频及环境监控系统、设备在线监视系统的业务通道接入综合数据网交换机前配置了视频专用的三层交换机或路由器，需在该交换机或路由器上做好地址映射，修改局域网内网络地址段，确保不与外网地址同段；若变电站视频及环境监控系统的业务通道直接接入视频及环境监控系统局域网，且视频通信控制设备（RPU、DVR、NVR）具备两个独立网口，应将业务通道从局域网交换机上转接至视频通信控制设备的外网口，修改局域网内网络地址段，避免与外网地址同段；若设备仅有一个网口，暂时维持现有接入方式，及时安排升级改造。3.3病毒查杀病毒查杀范围覆盖变电站所有电力监控系统Windows、Unix/Linux工作站，分为查与杀两步进行，具体操作如下：优先使用主机已安装的防病毒客户端进行全盘病毒查杀；对部分确实无法安装恶意代码防御客户端的主机（典型如兼容性问题），使用专用杀毒U盘进行定期查杀；杀毒U盘配置：插入U盘后双击Launcher.exe，进入主界面后配置查杀策略，扫描类型选择所有本地文件夹，扫描处理措施选择“仅记录”或“采取建议的处理措施”，按需在高级选项卡中添加白名单目录或文件，设置扫描压缩层数（默认2层）；启动查杀动作：在杀毒U盘主界面单击“立即扫描”进行全盘查杀，查杀过程中密切关注进度，查杀结束后查看日志，双击日志条目可查看详细信息，必要时导出日志留存；针对查杀发现的每一个病毒，须由所属单位运维人员确认后，方可执行清除操作，严禁擅自清除，避免误杀业务进程。3.4系统加固系统加固与病毒查杀同步开展，重点围绕操作系统、账户权限、服务端口、软件管控等方面进行，具体要求如下：3.4.1操作系统加固（按系统类型分类实施）1.Windows系统（Windows7/Windows8/Windows10等）身份鉴别：进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”中查看系统账号状态，杜绝空口令用户，对空口令用户及时设置密码；密码策略：运行“gpedit.msc”，在“计算机配置-Windows设置-安全设置-帐户策略-密码策略”中，启用“密码必须符合复杂性要求”，设置密码长度最小值为8位，密码最长使用期限180天、最短使用期限1天，强制密码历史3次；登录安全：启用登录失败处理功能，设置用户连续认证失败次数不超过5次，认证失败账号锁定时间不超过5分钟，配置复位账号锁定计数器时长；关闭默认共享，开启UAC（用户账户控制），启用SYN攻击保护，设置屏幕保护程序并启用密码保护，系统不显示上次登录用户名；端口管控：关闭不必要的端口，重点禁用135、137、138、139、445、3389等高风险端口，仅保留业务必需端口；其他配置：禁止用户修改IP和计算机名，禁止未登录前关机、非管理员关机，关机时清除虚拟内存页面文件，关闭自动播放功能，限制远程登录协议。2.Unix/Linux系统（含凝思Linx6.0.60等）账户管理：设置三权账户，开启密码策略，通过修改/etc/login.defs文件，设置密码最大有效期90天、最小1天、密码告警10天，对已存在的用户需用chage命令同步修改；密码复杂度：修改/etc/pam.d/common-password文件，设置密码最小长度8位，与旧密码至少有3位不同，必须包含大写字母、小写字母、数字、特殊字符四种类型，禁止密码中包含用户名；登录安全：修改/etc/pam.d/common-auth文件，设置所有用户5次登录失败后锁定10分钟；在/etc/profile文件末尾添加exportTMOUT=600，设置登录超时10分钟自动退出；禁用root用户远程登录，修改/etc/ssh/sshd_config文件，将PermitRootLogin参数改为no并重启服务；端口与服务：通过netstat–ln、lsof-i等命令查看开放端口，停止并禁用不必要的服务（如telnet），禁用3306等高风险端口；外设管控：卸载USB存储驱动，重命名驱动模块，禁用大容量存储类USB、光驱和蓝牙；限制SSH远程登录地址，通过编辑/etc/hosts.allow和/etc/hosts.deny文件，仅允许指定IP地址远程登录。3.4.2账户与权限加固清理冗余账户、临时账户及共享账户，删除无用的系统默认账户（如Guest账户），或禁用并修改默认账户名称，避免账户泄露风险；实行最小权限原则，根据岗位职责分配账户权限，严禁给普通运维人员分配管理员权限，管理员账户需设置强密码，定期更换；建立账户管理台账，记录账户名称、权限、责任人、创建时间、更换密码时间等信息，定期对账户权限进行审计，及时调整或注销离职人员账户。3.4.3软件与恶意代码防护加固安装本单位统一采购的防病毒系统，按内存配置选择安装数量，及时更新病毒库和扫描引擎，开启实时监控功能；卸载主机上安装的游戏、影音、即时通信、P2P下载等与业务无关的软件，杜绝无关软件带来的安全隐患；禁止主机安装未经安全认证的软件，建立软件安装审批流程，任何软件安装前需经安全技术人员审核，确认无安全风险后方可安装。3.4.4补丁与更新加固定期扫描主机操作系统及应用软件漏洞，及时下载并安装官方发布的安全补丁，优先修复高危漏洞；对于与管理中心IP不可达的设备（如监控后台机、五防机等），需通过离线方式更新病毒库、防护策略、报表、告警等数据；离线客户端版本部署后，逐个确认以下设置：默认查杀策略设为“只检测不清除”，避免误杀应用进程；关闭自动补丁修复，主机仅根据行业要求手动安装指定补丁；将监控后台等关键业务软件目录加入白名单。3.4.5可信验证加固根据主机安全等级和实际需求，配置可信验证模块，基于可信根构建信任链，对主机引导程序、系统程序、应用程序、重要配置参数等进行可信验证；可信根可采用硬件或软件形态，硬件形态需符合主流接口标准，具备密码计算、可信基准值存储等功能，软件形态需依托CPU实现密码运算和存储功能；确保可信验证模块能正常上报日志、接收策略下发，拔出可信根时能及时发出告警并由用户决定是否阻断操作系统运行。3.5病毒库更新1.定期更新防病毒客户端的病毒库，确保能有效查杀最新恶意代码，更新频率不低于每周1次；2.对离线主机，通过专用杀毒U盘或安全U盘拷贝离线病毒库进行更新，更新后记录更新时间、病毒库版本等信息；3.安全U盘需定期回归，插入安装了360在线终端的主机上传使用日志，以便进行集中管理和审计。3.6验收测试1.加固完成后，工作小组对照风险评估报告、加固要求，逐项检查加固落实情况，确认所有安全隐患已整改到位；2.进行功能测试，检查主机操作系统运行正常、业务系统无异常、网络连接稳定，病毒查杀有效、漏洞已修复，可信验证功能正常；3.填写《变电站视频及环境监控系统病毒查杀与安全加固作业表单》，每台主机分别填写1张表单，经工作小组成员签字确认后，汇总交本级调度机构归档保存；4.各分子公司将本单位《XX公司变电站视频及环境监控系统主机病毒查杀及加固统计表》报送至网公司系统运行部。3.7系统并网1.现场整改工作验收完成后，由通信专业开启变电站视频及环境监控终端所连接的综合数据网接入交换机端口，实现系统并网运行；2.并网后测试网络通信是否正常、业务功能是否恢复，完成业务功能验收，确保系统并网后无异常。4.后期管理与维护4.1日常巡检建立主机安全日常巡检机制，运维人员每日检查主机运行状态、防病毒软件运行情况、日志记录等，每周对主机进行一次病毒查杀，每月扫描一次漏洞，发现异常及时处理并记录，形成巡检台账。4.2定期加固每季度对主机进行一次全面安全加固复查，重点检查密码更换、补丁更新、权限调整、可信验证功能等情况，及时补充加固措施；每年结合系统升级、业务调整，对主机加固方案进行优化，确保加固效果持续有效。4.3日志管理开启主机系统日志、安全日志、防病毒日志、可信验证日志等，记录主机登录、操作、漏洞修复、病毒查杀等所有相关行为，日志保存期限不低于6个月；定期对日志进行分析，排查异常登录、恶意操作等安