您的位置 首页 > 娱乐休闲

原创 | 系统加固提高电力监控系统安全性

随着通讯技术的发展和工业自动化水平的提高,电力调度和监控系统的自动化水平越来越高,一些电站已经实现了无人值守的全自动化模式,但是电力作为重要的基础设施领域,其控制系统的安全性就变得非常重要,如何有效地防范电力监控系统的各种入侵和非法操作,这些事项就变得尤其重要。本文介绍了系统加固在电站监控系统的具体实施应用,通过系统加固提高了整个监控系统的安全性,为其他电站提供借鉴作用。


关键词:电力监控;自动化;安全防护;系统加固;主机;服务器

近年来,国内外因计算机网络系统漏洞而产生的网络安全事件频发,已造成较大的经济损失和社会影响。及时消除计算机网络系统漏洞及其诱发的网络安全风险,做好计算机网络系统的安全系统加固工作,确保计算机网络系统安全已经刻不容缓。

系统安全加固是指根据专业安全评估结果,制定相应的系统加固方案,针对不同目标系统,通过打补丁、修改安全配置、增加安全机制等方法,合理进行安全性加强。其主要目的是消除与降低安全隐患。

电力监控系统主要业务系统和功能模块包括:无功电压控制、发电功率控制、升压站监控系统、相量测量装置(PMU)、状态监测系统、电能量采集装置、继电保护信息子站、故障录播装置管理信息系统等。

系统加固的主要对象为电力监控系统的主机设备、网络设备、安防设备。以下为某项目系统加固的具体项目和内容。

系统加固具体项目及内容:

用户策略配置

1.1 用户权限策略配置

用户权限策略配置,如图1所示。

图1 用户权限策略配置

设备未配置安全管理员、审计管理员、系统管理员账户,经加固后,建立安全管理员、审计管理员、系统管理员账户,安全管理员隶属于BackupOperators和PowerUsers组,审计管理员隶属于EventLogReaders和PerformanceLogUser组,系统管理员隶属于NetworkConfigurationOperators组。

1.2 禁止用户修改IP

设备未配置“禁止添加或删除用于LAN连接或远程访问连接的组件”,经过加固后,配置“禁止添加或删除用于LAN连接或远程访问连接的组件”状态为启用。

1.3 禁止用户更改计算机名

设备未配置“删除桌面上的“计算机”图标”,经过加固后,配置“删除桌面上的“计算机”图标”状态为启用。

1.4 开启屏幕保护程序

设备未配置“屏幕保护程序”,经过加固后,配置“屏幕保护程序”状态为启用,等待时间为5分钟。

1.5 限制匿名用户远程连接

设备策略“网络访问:不允许SAM帐号和共享的匿名枚举”和“网络访问:不允许SAM帐户的匿名枚举”为禁用,经过加固后,配置“网络访问:不允许SAM帐号和共享的匿名枚举”和“网络访问:不允许SAM帐户的匿名枚举”状态为启用。

身份鉴别

2.1用户口令周期策略(如图2所示)

图2 用户口令周期策略

设备未配置“密码最长使用期限”,经过加固后,配置“密码最长使用期限”为90天。

2.2 用户口令过期提醒

设备未配置“交互式登录:提示用户在过期之前更改密码”,经过加固后,配置“交互式登录:提示用户在过期之前更改密码”为10天。

2.3 用户口令复杂度策略

设备未配置“密码必须符合复杂性要求”和“密码长度最小值”,经过加固后,配置“密码必须符合复杂性要求”状态为启用,设置“密码长度最小值”为8。

2.4 用户登录失败锁定

设备未配置“账户锁定阀值”和“账户锁定时间”,经过加固后,配置“账户锁定阀值”次数5和“账户锁定时间”10分钟。

2.5 系统不显示上次登录名(如图3所示)

图3 系统上不显示上次登录名

设备未配置“交互式登录:不显示上次登录”,经过加固后,配置“交互式登录:不显示上次登录”状态为启用。

2.6 禁止普通用户修改审计策略

设备配置普通用户具有“管理审核和日志”权限,经过加固后,配置sysadmin用户具有“管理审核和日志”权限。

主机配置

3.1 关闭默认共享

设备未配置“所有磁盘均关闭默认共享”,经过加固后,所有磁盘均关闭默认共享。

3.2 用户账户控制设置(UAC)

设备未配置“用户账户控制设置”未默认,经过加固后,配置“用户账户控制设置”状态为默认。

3.3 禁止未登录关机

设备未配置“关机:允许系统在未登录的情况下关闭”状态为已启用,经过加固后,配置“关机:允许系统在未登录的情况下关闭”状态为禁用。

3.4 关机时清除虚拟内存页面文件

设备未配置“关机:清除虚拟内存页面文件”未启用,经过加固后,配置“关机:清除虚拟内存页面文件”状态为启用。

3.5 禁止非管理员关机

设备未配置“关闭系统”和“从远程系统强制关机”,经过加固后,配置“关闭系统”和“从远程系统强制关机”仅sysadmin账户。

3.6 启用SYN保护

设备启用SYN保护,经过加固后,配置SYN保护,注册表增加SynAttackProtect字符串值,数值为2;增加TcpMaxportsExhausted字符串值,数值为5;增加TcpMaxHalfOpen字符串值,数值为500;增加TcpMaxHalfOpenRetried,字符串值,数值为400。

3.7 设置最小挂起时间

设备未配置“Microsoft 网络服务器:登录时间过期后断开与客户端的连接”,“网络安全:在超过登录时间后强制注销”,“Microsoft网络服务器:暂停会话前所需的空闲时间量”,经过加固后,配置“Microsoft 网络服务器:登录时间过期后断开与客户端的连接”,“网络安全:在超过登录时间后强制注销”两项状态为启用,“Microsoft网络服务器:暂停会话前所需的空闲时间量”策略中设置超时时间15分钟。

3.8 敏感信息标记、系统重要数据访问控制、卸载无关软件、高危漏洞补丁加固、安装防病毒软件、限制远程登录协议、删除或禁用系统无关用户、补丁管理等

这些项目无问题,未做更改。


3.9 数据执行保护(DEP)

设备未配置“仅为基本Windows操作系统程序和服务启用DEP”,经过加固后,配置“仅为基本 Windows操作系统程序和服务启用DEP”状态为启用。

网络管理

4.1 删除默认路由配置

设备中存在默认路由,经过加固后,删除默认路由。

4.2 安装防病毒统一管理服务器

设备未安装防病毒统一管理服务器,未加固。

4.3 关闭不必要服务

设备DHCP Client,DNS Client,PrintSpooler,Routing and Remote Access,Windows Remote Management服务未禁用,经过加固后,DHCP Client,DNS Client,Print Spooler,Routing and Remote Access,Windows Remote Management服务已禁用。

4.4 关闭不必要的系统端口

设备TCP 21、TCP 23、TCP/UDP 135、TCP/UDP 137、TCP/UDP 138、TCP/UDP 139、TCP/UDP445端口未禁用,经过加固后,禁用TCP21、TCP 23、TCP/UDP 135、TCP/UDP 137、TCP/UDP138、TCP/UDP139、TCP/UDP445端口。

4.5 开启防火墙功能

设备未启用“Windows防火墙”,经过加固后,配置“Windows防火墙”状态为启用。

4.6 配置访问控制规则

设备未配置“防火墙访问规则”,经过加固后,配置“防火墙访问规则”,允许10.1.50.0/24网段互访。

远程管理

5.1 关闭远程主机RDP服务(如图4所示)

图4 关闭远程主机RDP服务

设备开启“允许远程协助连接这条计算机”,经过加固后,关闭“允许远程协助连接这条计算机”,配置“不允许连接这台计算机”。

5.2 限制远程登录IP

设备未配置“允许入站远程桌面例外”,经过加固后,配置“允许入站远程桌面例外”状态为启用,并配置允许远程访问的地址段。

5.3 限制远程登录时间

设备未配置“设置活动但空闲的远程桌面服务会话的时间限制”,经过加固后,配置“设置活动但空闲的远程桌面服务会话的时间限制”状态为启用,空闲会话限制为10分钟。

5.4 修改远程桌面默认服务端口

设备远程桌面默认服务端口为3389,经过加固后,远程桌面默认服务端口为13389。

外联管理

6.1 主机间登录禁止使用公钥验证

设备未配置“网络访问,不允许存储网络身份验证的密码和凭据”,经过加固后,配置“网络访问,不允许存储网络身份验证的密码和凭据”状态为启用。

6.2 禁用大容量存储介质(USB存储设备)

设备未禁用大容量存储介质,经过加固后,禁用大容量存储介质。

6.3 关闭自动播放功能

设备未配置“关闭自动播放”,经过加固后,配置“关闭自动播放”状态为启用。

6.4 禁止使用无线网卡

无问题,未加固。

6.5 配置日志策略(如图5所示)

设备未配置“审核策略”,经过加固后,配置“审核策略”。以上为典型的加固项目和内容。

总之,通过开展电力监控系统主机设备、网络设备、安防设备的系统加固,完善了设备的安全补丁,加强了系统的安全策略配置,增加了系统的安全机制,全面提升了系统的安全级别,提高了电力监视系统的安全性,为电力系统的安全、稳定运行提供了有力保障。

图5 配置日志策略

作者简介

杨延超(1979-),男,河南郑州人,中级职称,本科,现就职于华润电力中西分公司,从事信息通信相关的工作。

参考文献

[1] 国家能源局. 电力监控系统安全防护总体方案(国家能源局国能安全〔2015〕36号)[Z].

[2] 国家电力调度通信中心. 国调中心关于印发Windows操作系统安全加固指导手册的通知(调网安〔2017〕169号)[Z].


摘自《自动化博览》2019年8月刊

责任编辑: 鲁达

1.内容基于多重复合算法人工智能语言模型创作,旨在以深度学习研究为目的传播信息知识,内容观点与本网站无关,反馈举报请
2.仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证;
3.本站属于非营利性站点无毒无广告,请读者放心使用!

“如何修改操作系统提高安全性”边界阅读