【摘要】本文主要结合国家电网公司信息网络设备安全防护要求,对国内电力企业计算机监控系统上位机普遍应用的三种操作系统的相关安全加固实施过程进行简要说明。通过对系统安全服务配置的性能加固,提高电力企业计算机监控系统上位机系统设抵御攻击的能力。
【关键词】计算机监控监控系统上位机;安全性能加固;操作系统;电力企业
一、引言
随着电力企业信息化的发展,电力信息网的规模日益增大,计算机系统面临着各种的安全威胁。随意篡改IP地址、恶意访问、攻击、信息泄露、内部破坏等情况时有发生,因此计算机服务器系统安全性尤为重要。目前,国内大部分电力企业计算机监控系统均采用国网电力科学研究院南瑞水利水电分公司的计算机监控系统,但是其安全服务配置存在部分不满足国家电网公司信息网络设备安全防护的要求。
二、实施整体方案
对上位机计算机Windows、unix、Linux操作系统的相关通用服务、账户及密码、USB端口进行禁用或限制设置。
三、实施步骤
3.1Windows系统节点
1、关闭系统服务。右键点击“我的电脑”,选中“管理”,在服务列表中,关闭如下服务:DHCPClient、PrintSpooler等。2、关闭远程桌面。右键点击“我的电脑”,选中“属性”,在面板上选中“远程设置”,在弹出框中将“允许远程协助连接这台计算机”的勾选去掉。3、设置密码策略。打开“开始”菜单,启动“运行”程序,打开组策略窗口,在如下路径找到“账户锁定策略”,双击“账户锁定阀值”,输入数值为3,表示三次输入错误,锁定用户,锁定时间默认为2分钟。4、关闭系统功能。通过控制面板进入,在程序窗口的“程序和功能”模块,可以看到“启用或关闭Windows功能”,单击打开“Windows功能”。需要去掉勾选的服务包括:登陆服务器、登陆客户端。通过BIOS设置彻底关闭USB口(数据备份专用、语音卡专用USB口不关闭)。
3.2Linux系统节点
1、禁用系统默认用户。编辑/etc/passwd文件,在存在风险的用户定义最前面增加#,并保存。需要禁用的账户包括:sync、halt、news、Shutdown。2、关闭系统服务。使用chkconfig–list命令查看当前系统服务:关闭开机自动启动:chkconfig服务名off。立即停止服务:service服务名stop。需要关闭的服务包括:login、talk、ntalk、imap等3、设置密码策略。修改文件,增加输入密码错误锁定账户策略。4、禁用USB。卸载系统的U盘挂载驱动,将/lib/modules/2.6.32-431.el6.i686/kernel/drivers/usb/storage文件夹下的usb-storage.ko文件更名或移到其他文件夹。
3.3unix系统
3.3.1禁用系统默认用户:查看/etc/passwd文件,检查是否存在风险的用户定义。需要禁用的账户包括:sync、halt、news、shutdown。找到需要禁用的用户后,执行下面的命令禁用:passwd-l用户名。3.3.2关闭系统服务telnet设置:1)关停telnet服务:/usr/lbin/telnetdstop2)禁用telnet服务:修改:/etc/inetd.conf文件sendmail设置:1)关停sendmail服务:/sbin/init.d/sendmailstop2)禁用sendmail服务:/etc/rc.config.d/mailservssnmp设置:1)关停snmp服务:/sbin/init.d/SnmpMasterstop2)禁用snmp服务:/etc/rc.config.d/SnmpMaster3.3.3设置密码策略编辑/etc/default/security文件,增加输入密码错误锁定账户策略。检查是否存在AUTH_MAXTRIES=6,如果没有使用下面的命令添加密码策略:echoAUTH_MAXTRIES=6>>/etc/default/security。上述工作每完成一项后,对系统进行监视,检查系统节点状态,画面数据刷新,控指令下发是否正常,如无异常,则试运行30分钟观察设备运行情况。
结论:通过以上对系统安全服务配置的性能加固,提高电力企业计算机监控系统上位机系统设抵御攻击的能力,确保确保电力企业的计算机监控系统上位机操作系统的各种业务能够安全、稳定的运转,可为其它企业计算机监控系统上位机防护问题的解决提供参考。
参考文献
[1]《水电厂计算机监控系统基本技术条件》DL/T578-2008
[2]《国家发展和改革委员会第14号令2014电力监控系统安全防护规定》