智能站一体化UNIX监控系统加固方案

Unix监控系统安全加固技术方案 Unix监控系统安全加固

技术方案

2016年7月13日

长园深瑞继保自动化有限公司 第 1 页 Unix监控系统安全加固技术方案 1. 监控系统信息概述

1.1. 变电站设备配置概述

列出典型变电站的后台软件型号、后台操作系统、远动机、前置机、交换机、正反向隔离装置、防火墙、PMU装置等装置型号。

后台软件型号：PRS-7000 后台操作系统：Unix 远动机：PRS-7910G 前置机：PRS-7911G 交换机：PRS-7961B

正反向隔离装置：SysKeeper-2000 防火墙：DPtech-FW1000-MA-D PMU装置：PRS-7746

1.2. 变电站二次系统典型拓扑图

长园深瑞继保自动化有限公司 第 2 页 Unix监控系统安全加固技术方案 2. 监控系统设备加固项目

1.1 监控主机

监控主机包括操作员站、工程师站、数据服务器、综合应用服务器、图形网关机等。

2.1.1. 硬件加固

对于计算机的光驱，空余USB接口、以太网端口，均采取封条方式封闭。

2.1.2. 操作系统 2.1.2.1. UNIX系统

加固方案如下： A. 系统帐户优化

1) 备份/etc/passwd： cp /etc/passwd /etc/passwd_back 2) 加固

如果系统默认账户、测试账户不需要的话，建议删除。使用命令gedit /etc/passwd，打开/etc/passwd文件，删除非必须账户，如：lp、uucp、nuucp、unknow、nobody4、aiuser。 3) 若出现异常，回退

将文件名/etc/passwd_back改为 /etc/passwd： mv /etc/passwd_back /etc/passwd B. 增强口令策略

1) 备份/etc/default/passwd：

cp /etc/default/passwd /etc/default/passwd_bak 2) 加固

使用命令gedit /etc/default/passwd，打开/etc/default/passwd文件进行修改，设置参数： #MINDIFF=3 #最小的差异数，新密码和旧密码的差异数。 MAXWEEKS=8 密码最长有效时间 PASSLENGTH=8 最短密码长度 MINWEEKS= 最短改变时间

WARNWEEKS=5 密码失效前几天通知用户

MINALPHA=1 #最少字母要多少

MINNONALPHA=1 #最少的非字母，包括了数字和特殊字符。

长园深瑞继保自动化有限公司 第 3 页 #MINUPPER=0 #最少大写 #MINLOWER=0 #最少小写

#MAXREPEATS=0 #最大的重复数目 #MINSPECIAL=0 #最小的特殊字符 #MINDIGIT=0 #最少的数字

#WHITESPACE=YES #能使用空格吗？

3) 若出现异常，回退

将文件名/etc/default/passwd_bak改为 /etc/default/passwd： mv /etc/default/passwd _bak /etc/default/passwd C. 消除系统弱口令

设置密码最短长度为8，要求大小字母与数字混排。

Unix监控系统安全加固技术方案 终端里面输入sudo passwd root回车，按要求修改root的密码，修改后注销用户重新登录，检查密码已生效；终端里面输入sudo passwd oracle回车，按要求修改oracle密码，修改后注销用户重新登录，检查密码已生效 D. 禁用root远程登录

1) 备份 /etc/default/login：

cp /etc/default/login /etc/default/login_bak 2) 加固

使用命令gedit /etc/default/login，打开/etc/default/login文件进行修改，增加或修改/etc/default/login文件中如下行：

CONSOLE=/dev/console 3) 若出现异常，回退

将文件名/etc/default/ login_bak改为 /etc/default/login： mv /etc/default/login_bak /etc/default/login E. 登录超时设置

1) 备份 /etc/default/login：

cp /etc/default/login /etc/default/login_bak 2) 加固

使用命令gedit /etc/default/login，打开/etc/default/login文件进行修改，增加或修改/etc/default/login

长园深瑞继保自动化有限公司 第 4 页 文件中如下行：

TIMEOUT=600 3) 若出现异常，回退

将文件名/etc/default/ login_bak 改为 /etc/default/login： mv /etc/default/login_bak /etc/default/login F. 非必需系统服务关闭

1) 备份

查看加固服务是否开启（以加固sendmail为例） 打开终端输入：svcs sendmail，回车，显示如下

Unix监控系统安全加固技术方案 STATE STIME FMRI

disabled 7月20 svc:/network/smtp:sendmail

记录sendmail当前运行状态“disable”。 2) 加固

打开终端输入：svcadm disable sendmail(服务名)

如无实际业务需要，建议关闭sendmail、 game、mail、smb、ftp、telnet等。 3) 如有异常，回退

打开终端输入：svcadm enable sendmail(服务名)

使用OpenSSH软件代替Telnet和Ftp的使用，利用其加密性保证远程登录的安全。 G. 系统漏洞处理

UMASK处理

Umask值不为027，需修改/etc/default/login、/etc/profile、/etc/skel/local.cshrc三个文件。 1) 备份/etc/default/login：

cp /etc/default/login /etc/default/login _back 2) 加固

使用命令gedit /etc/default/login，打开/etc/default/login 文件，将umask修改为027 3) 若出现异常，回退

将文件名/etc/default/login _back改为/etc/default/login： mv /etc/default/login _back /etc/default/login

长园深瑞继保自动化有限公司 第 5 页

Unix监控系统安全加固技术方案 /etc/profile 、/etc/skel/local.cshrc2个文件参照/etc/default/login 文件做类似处理

2.1.3. 数据库 2.1.3.1. ORACLE

A. 内置默认账号禁用

默认账号不禁用 B. 口令更改

口令默认不能修改

2.1.4. 应用软件 2.1.4.1. PRS-7000

A. 默认及多余账号删除

后台程序默认带有2个默认账号“sznari”和“a”，由于初次打开数据库需要进行用户权限的校验需要用到默认账号，不建议删除。

打开数据库->“系统参数”->“用户配置”， 选中需要删除的用户，鼠标右键选择“删除用户”， 点击“删除用户”命令后，配置程序询问是否确认删除此用户：如果得到肯定的确认，则删除该用户；如果得到否定回答，则撤销删除操作。 B. 账号弱口令修改

打开数据库->“系统参数”->“用户配置”， 选中需要修改的用户，鼠标右键选择“修改密码”，将显示下图密码设置对话框。密码可以是任意符号和数字的组合，但不能为空。

2.1.4.2. 非监控相关第三方软件清理

solaris除操作系统自带应用外，其他第三方应用均与监控功能相关。

2.2. 工控设备

工控设备包括数据通信网关机、协议转换器、前置总控等。PRS-7910G采用嵌入式Linux操作系统，加固方案如下：

2.2.1. 硬件加固

对于工控设备，空余USB接口、以太网端口，采取封条方式封闭。

长园深瑞继保自动化有限公司 第 6 页 Unix监控系统安全加固技术方案 2.2.2. 操作系统 2.2.2.1. 嵌入式Linux

加固方案如下： A. 系统帐户优化

备份/etc/passwd：

cp /etc/passwd /etc/passwd._back

如果系统默认账户、测试账户不需要的话，建议删除。

使用命令cat /etc/passwd 察看系统账户，删除非必须账户，如：lp、uucp、games # userdel lp # groupdel lp 3) 若出现异常，回退

将文件名/etc/passwd_back改为 /etc/passwd： mv /etc/passwd_back /etc/passwd B. 消除系统弱口令

设置密码最短长度为8，要求大小字母与数字混排。

终端里面输入sudo passwd root(应该是passwd root命令)回车，按要求修改root的密码，修改后注销用户重新登录，检查密码已生效；终端里面输入sudo passwd oracle回车，按要求修改oracle密码，修改后注销用户重新登录，检查密码已生效 C. 登录超时设置

1）备份/etc/profile：

cp /etc/profile /etc/profile.2011.03.11 2）加固

增加或修改/etc/profile文件中如下行

TMOUT=180 3) 若出现异常，回退

将文件名/etc/profile.201 1.03.11改为 /etc/profile： mv /etc/profile.2011.03.11 /etc/profile D. 系统漏洞处理

长园深瑞继保自动化有限公司 第 7 页 1） UMASK处理 Umask值不为027

修改~/.bashrc 将umask修改为027 umask值含义：

Unix监控系统安全加固技术方案 1）、 022表示默认创建新文件权限为755 也就是 rxwr-xr-x(所有者全部权限，属组读写，其它人读写)

2）、 027表示默认创建新文件权限为750 也就是rxwr-x---(所有者全部权限，属组读写，其它人无读写权限)

2.2.3. 数据库

网关机中暂时未使用数据库。

2.2.4. 应用软件

2.2.4.1. 非监控相关第三方软件清理

除Linux操作系统自带应用外，只有网关机程序软件在运行，未安装其他应用软件。

2.3. 安防设备

安防设备，包括部署于I区与II区之间的防火墙，以及I/II区与III/IV区之间的正向型隔离装置、反向型隔离装置。

2.3.1. 防火墙：DPtech-FW1000-MA-N（迪普防火墙）

2.3.1.1. 账户及口令

1.设备账户

防火墙设备账户使用地市名+FW的方式。格式如下： 例如湖州高阳变防火墙，则设备命名为huzhouFW 2.设备密码

防火墙设备密码使用地市名+_FW@7890的方式。格式如下： 例如湖州高阳变防火墙，则设备密码为huzhou_FW@7890 3.修改密码

防火墙密码修改请用原密码登录设备web界面，出厂默认IP：192.168.0.1；点击“基本”-“系统管理”-“管理员”-“密码”，直接输入密码，点击“确认”即可修改完成。

2.3.1.2. 安全控制策略（ip、端口、协议等）

1.防火墙针对内部业务通信以及网络设备的安全控制策略，通过配置包过滤策略实现。开放业务通信的端口以及网络设备管理端口，阻断其余非业务以及非管理的端口。策略配置如下：

点击“基本”-“防火墙”-“包过滤策略”，针对业务通信，在“源IP”和“目的IP”项填上业务通信的两端地址，在“服务”项填写业务通信端口，动作为“通过”；针对网络设备管理，在“源IP”和“目的IP”项填上网管通信的两端地址，在“服务”项填写网管通信端口，动作为“通过”；

长园深瑞继保自动化有限公司 第 8 页 Unix监控系统安全加固技术方案 最后再加一条策略，“源IP”和“目的IP”和“服务”填写any,动作为“丢包”。这样就达到了安全控制的目的。

2.防火墙针对本身的安全策略，通过配置“web访问协议设置”实现。策略配置如下：

点击“基本“-“系统管理”-“管理员”-“web访问协议设置”，在“WEB允许登录IP地址列表”中填写网络管理员的IP地址，这样就只允许网络管理员登录防火墙了。

2.3.1.3. 空闲端口（usb口、网口等）

1.防火墙稳定运行后，将业务用到的物理接口以外的接口全部手动shutdown，其余无关人员无法通过直连登录防火墙设备。策略配置如下：

点击“基本”-“网络管理”-“业务接口配置”，其中的“接口状态”默认为开启状态，点击选择“关闭”，这样无关人员将无法通过直连登录防火墙设备。

2.3.2. 正反向隔离装置：SysKeeper-2000（南瑞）

2.3.2.1. 账户及口令

操作内容：修改配置软件用户的默认密码，新的密码长度必须是8位以上，必须字母，数字，字符的组合。 操作步骤：

1.通过配置软件连接装置。

图1 配置软件

2.登录后，选择“用户管理”->“修改口令”（如图1），输入新密码。

2.3.2.2. 安全控制策略（ip、端口、协议等）

操作内容：安全防控策略必须限制到IP，端口，协议，不能放大明文规则。 操作步骤：

1.通过配置软件连接装置。

2.登录后，选择“规则配置”->“配置规则”，完善安全防控规则。

长园深瑞继保自动化有限公司 第 9 页 Unix监控系统安全加固技术方案 2.3.2.3. 空闲端口（usb口、网口等）

隔离装置没有USB口；隔离网口默认不用，需要配置。

2.4. 交换机PRS-7961

交换机按照部署地点可分为站控层交换机、间隔层交换机、过程层交换机。按照交换机是否可网管分为可网管交换机、不可网管交换机。智能站一般采用可网管交换机，早期投运的变电站多采用不可网管交换机。

对于不可网管交换机，采取封条的方式，封闭其空余端口。 对于过程层交换机，采取封条的方式，封闭其空余端口。

对于站控、间隔层可网管交换机，可用web方式登录配置。但运行期间建议屏蔽web方式。 交换机加固操作，必须在一对一直连的方式下进行，避免误操作其他交换机。交换机加固完毕，更新《交换机维护记录表.xls》。

加固方案如下：

2.4.1. 自产交换机PRS-7961

A. 账户及口令

交换机出厂ip默认为222.111.114.60，掩码为255.255.255.0，设置笔记本IP为同一网段，连接交换机MGMT口，通过浏览器登录交换机。

在用户系统管理->用户管理

点击添加按钮

长园深瑞继保自动化有限公司 第 10 页

本文来源：https://www.bwwdw.com/article/jxxt.html