1、Unix監控系統安全加固技術方案2016年7月13日1 .監控系統信息概述1.1. 變電站設備配置概述列出典型變電站的后臺軟件型號、后臺操作系統、遠動機、前置機、交換機、正反向隔離裝置、防火墻、PMU裝置等裝置型號。后臺軟件型號：PRS-7000遠動機前置機交換機后臺操作系統：UnixPRS-7910GPRS-7911GPRS-7961B正反向隔離裝置：SysKeeper-2000防火墻:DPtech-FW1000-MA-DPMU裝置：PRS-77461.2. 變電站二次系統典型拓撲圖GPS北斗PMU主站A工蜂需控如1趟主機2相躥期微戰AES國SBrarsi訐S捐匚I西趁酷聯忙對時網FRS-7

2、7812-M2斛中K-imPRS3PRS-74IDB主變保護的燒母茹于母聯釬妙劉控（安窗區）MMSB網俵全I區）MMSA網打印機-7PMI揭集中號獻I4L（安全嘔）俁信可2 .監控系統設備加固項目1.1監控主機監控主機包括操作員站、工程師站、數據服務器、綜合應用服務器、圖形網關機等。2.1.1. 硬件加固對于計算機的光驅，空余USB接口、以太網端口，均采取封條方式封閉。2.1.2. 操作系統. UNIX系統加固方案如下：A.系統帳戶優化1) 備份/etc/passwd：cp/etc/passwd/etc/passwd_back2) 加固如果系統默認賬戶、測試賬戶不需要的話，建議刪

3、除。使用命令gedit/etc/passwd,打開/etc/passwd文件，刪除非必須賬戶，如：lp、uucp、nuucp、unknow、nobody4、aiuser。3) 若出現異常，回退將文件名/etc/passwd_back改為/etc/passwd：mv/etc/passwd_back/etc/passwdB.增強口令策略4) 備份/etc/default/passwd:cp/etc/default/passwd/etc/default/passwd_bak2) 加固使用命令gedit/etc/default/passwd,打開/etc/default/passwd文件進行修改，設置

4、參數：#MINDIFF=3#最小的差異數，新密碼和舊密碼的差異數。MAXWEEKS=8密碼最長有效時間PASSLENGTH=8最短密碼長度MINWEEKS=最短改變時間WARNWEEKS=5密碼失效前幾天通知用戶MINALPHA=1#最少字母要多少MINNONALPHA=1#最少的非字母，包括了數字和特殊字符。#MINUPPER=0#最少大寫#MINLOWER=0#最少小寫#MAXREPEATS=0#最大的重復數目#MINSPECIAL=0#最小的特殊字符#MINDIGIT=0#最少的數字#WHITESPACE=YES#能使用空格嗎?3) 若出現異常，回退將文件名/etc/default/pa

5、sswd_bak改為/etc/default/passwd：mv/etc/default/passwd_bak/etc/default/passwdC.消除系統弱口令設置密碼最短長度為8,要求大小字母與數字混排。終端里面輸入sudopasswdroot回車，按要求修改root的密碼，修改后注銷用戶重新登錄，檢查密碼已生效；終端里面輸入sudopasswdoracle回車，按要求修改oracle密碼，修改后注銷用戶重新登錄，檢查密碼已生效D.禁用root遠程登錄1) 備份/etc/default/login:cp/etc/default/login/etc/default/login_bak2)

6、 加固使用命令gedit/etc/default/login,打開/etc/default/login文件進行修改，增加或修改/etc/default/login文件中如下行：CONSOLE=/dev/console3) 若出現異常，回退將文件名/etc/default/login_bak改為/etc/default/login:mv/etc/default/login_bak/etc/default/loginE.登錄超時設置1) 備份/etc/default/login:cp/etc/default/login/etc/default/login_bak2) 加固使用命令gedit/etc

7、/default/login，打開/etc/default/login文件進行修改，增加或修改/etc/default/login文件中如下行：TIMEOUT=6003) 若出現異常，回退將文件名/etc/default/login_bak改為/etc/default/login:mv/etc/default/login_bak/etc/default/loginF.非必需系統服務關閉1）備份查看加固服務是否開啟（以加固sendmail為例）打開終端輸入：svcssendmail,回車，顯示如下STATESTIMEFMRIdisabled7月20svc:/network/smtp:sendma

8、il記錄sendmail當前運行狀態disable”。2） 加固打開終端輸入：svcadmdisablesendmail（服務名）如無實際業務需要，建議關閉sendmail、game、mail、smb、ftp、telnet等。3） 如有異常，回退打開終端輸入：svcadmenablesendmail（服務名）使用OpenSSH軟件彳t替Telnet和Ftp的使用，利用其加密性保證遠程登錄的安全。G.系統漏洞處理UMASK處理Umask值不為027,需修改/etc/default/login、/etc/profile、/etc/skel/local.cshrc三個文件。1）備份/etc/defa

9、ult/login:cp/etc/default/login/etc/default/login_back2） 加固使用命令gedit/etc/default/login,打開/etc/default/login文件，將umask修改為0273） 若出現異常，回退將文件名/etc/default/login_back改為/etc/default/login:mv/etc/default/login_back/etc/default/login/etc/profile、/etc/skel/local.cshrc2個文件參照/etc/default/login文件做類似處理2.1.3. 數據庫2.

10、1.3.1.ORACLEA.內置默認賬號禁用默認賬號不禁用B.口令更改口令默認不能修改2.1.4. 應用軟件.PRS-7000A.默認及多余賬號刪除后臺程序默認帶有2個默認賬號“sznari和a；由于初次打開數據庫需要進行用戶權限的校驗需要用到默認賬號，不建議刪除。打開數據庫-系統參數”-用戶配置”，選中需要刪除的用戶，鼠標右鍵選擇“刪除用戶”，點擊“刪除用戶”命令后，配置程序詢問是否確認刪除此用戶：如果得到肯定的確認，則刪除該用戶；如果得到否定回答，則撤銷刪除操作。B.賬號弱口令修改打開數據庫-系統參數”-用戶配置”，選中需要修改的用戶，鼠標右鍵選擇“修改密碼”顯示下圖密碼設置

11、對話框。密碼可以是任意符號和數字的組合，但不能為空。.非監控相關第三方軟件清理Solaris除操作系統自帶應用外，其他第三方應用均與監控功能相關。2.2. 工控設備PRS-7910G采用嵌入式Linux操作系工控設備包括數據通信網關機、協議轉換器、前置總控等。統，加固方案如下：2.2.1. 硬件加固對于工控設備，空余USB接口、以太網端口，采取封條方式封閉。2.2.2. 操作系統. 嵌入式Linux加固方案如下：A.系統帳戶優化備份/etc/passwd：cp/etc/passwd/etc/passwd._back如果系統默認賬戶、測試賬戶不需要的話，建議刪除。使用

12、命令cat/etc/passwd察看系統賬戶，刪除非必須賬戶，如：lp、uucp、games#userdellp#groupdellp3）若出現異常，回退將文件名/etc/passwd_back改為/etc/passwd：mv/etc/passwd_back/etc/passwdB.消除系統弱口令設置密碼最短長度為8,要求大小字母與數字混排。終端里面輸入sudopasswdroot（應該是passwdroot命令）回車，按要求修改root的密碼，修改后注銷用戶重新登錄，檢查密碼已生效；終端里面輸入sudopasswdoracle回車，按要求修改oracle密碼，修改后注銷用戶重新登錄，檢查密碼

13、已生效C.登錄超時設置1）備份/etc/profile:cp/etc/profile/etc/profile.2011.03.112）加固增加或修改/etc/profile文件中如下行TMOUT=1803）若出現異常，回退將文件名/etc/profile.2011.03.11改為/etc/profile:mv/etc/profile.2011.03.11/etc/profileD.系統漏洞處理1）UMASK處理Umask值不為027修改/.bashrc將umask修改為027umask值含義：1）、022表示默認創建新文件權限為755也就是rxwr-xr-x（所有者全部權限，屬組讀寫，其它人讀

14、寫）2）、027表示默認創建新文件權限為750也就是rxwr-x-（所有者全部權限，屬組讀寫，其它人無讀寫權限）2.2.3. 數據庫網關機中暫時未使用數據庫。2.2.4. 應用軟件. 非監控相關第三方軟件清理除Linux操作系統自帶應用外，只有網關機程序軟件在運行，未安裝其他應用軟件。2.3. 安防設備安防設備，包括部署于I區與II區之間的防火墻，以及I/II區與III/IV區之間的正向型隔離裝置、反向型隔離裝置。2.3.1. 防火墻：DPtech-FW1000-MA-N（迪普防火墻）. 賬戶及口令1 .設備賬戶防火墻設備賬戶使用地市名+FW的方式。格式如下：例如湖

15、州高陽變防火墻，則設備命名為huzhouFW2 .設備密碼防火墻設備密碼使用地市名+_FW789的方式。格式如下：例如湖州高陽變防火墻，則設備密碼為huzhou_FW78903 .修改密碼防火墻密碼修改請用原密碼登錄設備web界面，出廠默認IP：;點擊“基本”-“系統管理”-“管理員”-“密碼”，直接輸入密碼，點擊“確認”即可修改完成。. 安全控制策略（ip、端口、協議等）1 .防火墻針對內部業務通信以及網絡設備的安全控制策略，通過配置包過濾策略實現。開放業務通信的端口以及網絡設備管理端口，阻斷其余非業務以及非管理的端口。策略配置如下：點擊“基本”-“防火墻

16、”-“包過濾策略”，針對業務通信，在“源IP”和“目的IP”項填上業務通信的兩端地址，在“服務”項填寫業務通信端口，動作為“通過”；針對網絡設備管理，在“源IP”和“目的IP”項填上網管通信的兩端地址，在“服務”項填寫網管通信端口，動作為“通過”；最后再加一條策略，“源IP”和“目的IP”和“服務”填寫any,動作為“丟包”。這樣就達到了安全控制的目的。2 .防火墻針對本身的安全策略，通過配置“web訪問協議設置”實現。策略配置如下：點擊“基本”-”系統管理”-“管理員”-“web訪問協議設置”，在“WE就許登錄IP地址列表”中填寫網絡管理員的IP地址，這樣就只允許網絡管理員登錄防火墻了。2.

17、3.1.3. 空閑端口（usb口、網口等）1 .防火墻穩定運行后，將業務用到的物理接口以外的接口全部手動shutdown,其余無關人員無法通過直連登錄防火墻設備。策略配置如下：點擊“基本”-“網絡管理”-“業務接口配置”，其中的“接口狀態”默認為開啟狀態，點擊選擇“關閉”，這樣無關人員將無法通過直連登錄防火墻設備。2.3.2. 正反向隔離裝置：SysKeeper-2000（南瑞）. 賬戶及口令操作內容：修改配置軟件用戶的默認密碼，新的密碼長度必須是8位以上，必須字母，數字，字符的組合。操作步驟：1 .通過配置軟件連接裝置。圖1配置軟件2 .登錄后，選擇“用戶管理”-“修改口令”（

18、如圖1）,輸入新密碼。. 安全控制策略（ip、端口、協議等）操作內容：安全防控策略必須限制到IP,端口，協議，不能放大明文規則。操作步驟：1 .通過配置軟件連接裝置。2 .登錄后，選擇“規則配置”-“配置規則”，完善安全防控規則。. 空閑端口（usb口、網口等）隔離裝置沒有USB口；隔離網口默認不用，需要配置。2.4. 交換機PRS-7961交換機按照部署地點可分為站控層交換機、間隔層交換機、過程層交換機。按照交換機是否可網管分為可網管交換機、不可網管交換機。智能站一般采用可網管交換機，早期投運的變電站多采用不可網管交換機。對于不可網管交換機，采取封條的方式，封閉其

19、空余端口。對于過程層交換機，采取封條的方式，封閉其空余端口。對于站控、間隔層可網管交換機，可用web方式登錄配置。但運行期間建議屏蔽web方式。交換機加固操作，必須在一對一直連的方式下進行，避免誤操作其他交換機。交換機加固完畢，更新交換機維護記錄表.xlso加固方案如下：2.4.1. 自產交換機PRS-7961A.賬戶及口令交換機出廠ip默認為0,掩碼為,設置筆記本IP為同一網段，連接交換機MGMT口，通過瀏覽器登錄交換機。在用戶系統管理-用戶管理點擊添加按鈕密碼有密碼復雜度檢查：長度8-16字符，含數字，字母，特殊字符中的兩種以上,若不符合

20、復雜度檢查，則會報配置錯誤。輸入用戶名，例如test,輸入密碼，例如12345678,驗證是否會報配置錯誤。再輸入用戶名：test,密碼test1234,創建新賬戶，點擊右上方退出，使用新賬戶看是否能登錄交換機。B.空閑網口disable,即可關閉空閑登錄交換機之后，在設備面板區，點擊進入空閑網口，將端口使能設為端口。關閉的端口將在設備面板區顯示為紅色。關閉所有空閑網口后，查看設備面板區相應端口是否變為紅色，使用網線連接筆記本與空余端口，查看空余端口是否對應指示燈不亮。C.屏蔽web登錄連接交換機串口需usb車1232調試線，以及一根自產交換機的串口調試線，事先需安裝usb車與232驅動，確保

21、工具能夠使用。使用串口調試工具，設置如下（串口根據所插usb口不同而不同，可在設備管理器中查看）：QuickConnectProtocol：Port:Baudrabe;Datahits；:Parity:Stopbite;SerialFlowControlIdtr/dsrRTS/CTSXON/XOFFShowquickconnectonstartupl/ISavesessonCancel_.OpeninatabEnablePassword:adminsunri#mngshellShellPassword:adminsznaribash-2.05b#按上述指令進入交換機系統，紅色為密碼，輸入之后不

22、顯示。輸入ifconfig之后，顯示記過如下圖，其中eth0為交換機MGMT，輸入命令：ifconfigeth0down可關閉該端口，關閉之后就不能訪問web,此時再輸入ifconfig將發現不再存在eth0,若需訪問web進行配置，則車入命令：ifconfigeth0up即可開啟該端口。bash-2,05b*IfconfigethOlinkencap:EthernetHaddr24:64：EF:00:00:02inetaddr:222.111.114t60BGiStIll,114*255Nask:255,255,255,。UPBROADCASTRUMNIMGMULTICASTMTU：1500

23、Mfitridlr*packets:1101errors：0dropped：QoverrunsTXpackets:1379errors:0dropped:0overruns:0carrler:0col11sions：Qtxqueuelen：ioooRXbytes:137746(134.5KiE)TXbytes:911182(SB9.6K1B)ethlLinkencap:EthernetHWaddr24:64：EF:00:00:0BUPBROADCASTRUNNINGMULTICASTMTU：lS00Metric：.lRXpackets:8errors:0dropped:0overruns:0f

24、rame:。rxpackets:12errors:0dropped:0overruns:0carr1er:0col11sions:0txqueuelen:1000RXbytes:1224(1.1K1B)TXbytes:1BOO(1.7KiiB)bash-2.05b*ifconfigethOdownbash-2,05b*ifconf-igethlLinkencap:EthernetHaddr24:64：EF:00:00:03UPBROADCASTRUNNINGMULTICASTMTU；15QQMetric：1RXpackets:IBerrors:0dropped:0overruns:0frame

25、:0TXpackets：22errors：0dropped:0overruns:0carrner：ocollisions:0txqueuelen:1000RXbytes:2754idB)rxbytes:3300C，ZKiiB)bash-2,05bfIfconfigethoupbash-2.05bifconfigethoLinkencap：Ethernetwwaddr24：國：ef：0Q：qo：qwiinetaddr:222,111.114,60Beast:222,111.114,255Wask:UPBROADCASTMULTICASTMTU：1SODM6rr1C：1R

26、Xpackets:2268errors:0dropped0overruns:0frame:。rxpackets：2s4errors；0dropped：0overruns:0carrier:0col11sions:0txqueueTen:1000RXbytes:285307(27fi.6KiE)TXbytes11934366(1.&MiB)ethlLnkencap:EthernetHaddr124:64：F:00:00:03UPBROADCASTRUNNINGMULTICASTMTU：158Fetric：lRXpackets:IBerrors:0dropped:0overruns:0frame:

27、0TXpackets:22errors:0dropped:0overruns:0carrHer：ocollisions:0txqueuelen:1000RXbytes:2754(2,6Kia)TXbytes:33002KiB)bash-2.05b#|此方法在交換機重啟之后失效。使用瀏覽器登錄交換機，看是否能用web方式連接交換機。3.監控系統加固后系統驗證監控主機加固后，為保障現場的穩定運行。系統驗證在操作系統重啟后進行。3.1.PRS70003.1.1,單機操作1）加固后重啟后臺程序，先啟動rtdb,再啟動scada,最后啟動hmi客戶端；2）查看各個分畫面，遙測遙信信號正常，無反白的信號存

28、在，證明后臺遙測、遙信通訊正常；3）取一分畫面進行遙控預置，能收到遙控預置成功，再到遙控的裝置核對遙控預置命令，如果和后臺一致，則后臺遙控正常；3.1.2,多節點間同步1）加固后重啟主備機后臺程序，先啟動rtdb,再啟動scada,最后啟動hmi客戶端；2）查看主備機各個分畫面，遙測遙信信號正常，無反白的信號存在，證明主備機后臺遙測、遙信通訊正常；3）主機取一分畫面進行遙控預置，能收到遙控預置成功，再到遙控的裝置核對遙控預置命令，如果和后臺一致，則主備機后臺遙控正常；4）在備機hmi底部操作欄點擊“主從機服務器切換”，如下圖:CYG深瑞金冒翁端在咨服符毒配孟下切換主從廉務器，單朋鼻器配孟此功熊無效1Jli5）從機切為主機后，再執行第3步操作;3.1.3, 打印功能驗證（網絡打印機）在主機hmi告警框鼠標右鍵擊“打印事件”，如下圖:Q廠站名濟南TT加y賈莊變濟南11賈莊變間阻對象內橋104間隔|事件類刖|時間三年T月25日怡時耳分弘杪1粽若口網通道故障動作濟南”口川賈莊變公用測控間隔橋南Tm濘責主變-諉用詞拄間隔;濟南fi萬舊商虎變皆角調控同甬i/KaiiiI丁IiAl,rrUTtdb刪除全部信息愉出到文本女