【摘要】本文主要結合國家電網公司資訊網路裝置安全防護要求,對國內電力企業計算機監控系統上位機普遍應用的三種作業系統的相關安全加固實施過程進行簡要說明。通過對系統安全服務配置的效能加固,提高電力企業計算機監控系統上位機系統設抵禦攻擊的能力。
【關鍵詞】計算機監控監控系統上位機;安全效能加固;作業系統;電力企業
一、引言
隨著電力企業資訊化的發展,電力資訊網的'規模日益增大,計算機系統面臨著各種的安全威脅。隨意篡改IP地址、惡意訪問、攻擊、資訊洩露、內部破壞等情況時有發生,因此計算機伺服器系統安全性尤為重要。目前,國內大部分電力企業計算機監控系統均採用國網電力科學研究院南瑞水利水電分公司的計算機監控系統,但是其安全服務配置存在部分不滿足國家電網公司資訊網路裝置安全防護的要求。
二、實施整體方案
對上位機計算機Windows、unix、Linux作業系統的相關通用服務、賬戶及密碼、USB埠進行禁用或限制設定。
三、實施步驟
3.1Windows系統節點
1、關閉系統服務。右鍵點選“我的電腦”,選中“管理”,在服務列表中,關閉如下服務:DHCPClient、PrintSpooler等。2、關閉遠端桌面。右鍵點選“我的電腦”,選中“屬性”,在面板上選中“遠端設定”,在彈出框中將“允許遠端協助連線這臺計算機”的勾選去掉。3、設定密碼策略。開啟“開始”選單,啟動“執行”程式,開啟組策略視窗,在如下路徑找到“賬戶鎖定策略”,雙擊“賬戶鎖定閥值”,輸入數值為3,表示三次輸入錯誤,鎖定使用者,鎖定時間預設為2分鐘。4、關閉系統功能。通過控制面板進入,在程式視窗的“程式和功能”模組,可以看到“啟用或關閉Windows功能”,單擊開啟“Windows功能”。需要去掉勾選的服務包括:登陸伺服器、登陸客戶端。通過BIOS設定徹底關閉USB口(資料備份專用、語音卡專用USB口不關閉)。
3.2Linux系統節點
1、禁用系統預設使用者。編輯/etc/passwd檔案,在存在風險的使用者定義最前面增加#,並儲存。需要禁用的賬戶包括:sync、halt、news、Shutdown。2、關閉系統服務。使用chkconfig–list命令檢視當前系統服務:關閉開機自動啟動:chkconfig服務名off。立即停止服務:service服務名stop。需要關閉的服務包括:login、talk、ntalk、imap等3、設定密碼策略。修改檔案,增加輸入密碼錯誤鎖定賬戶策略。4、禁用USB。解除安裝系統的U盤掛載驅動,將/lib/modules/6.i686/kernel/drivers/usb/storage資料夾下的檔案更名或移到其他資料夾。
3.3unix系統
3.3.1禁用系統預設使用者:檢視/etc/passwd檔案,檢查是否存在風險的使用者定義。需要禁用的賬戶包括:sync、halt、news、shutdown。找到需要禁用的使用者後,執行下面的命令禁用:passwd-l使用者名稱。3.3.2關閉系統服務telnet設定:1)關停telnet服務:/usr/lbin/telnetdstop2)禁用telnet服務:修改:/etc/檔案sendmail設定:1)關停sendmail服務:/sbin/init.d/sendmailstop2)禁用sendmail服務:/etc/ig.d/mailservssnmp設定:1)關停snmp服務:/sbin/init.d/SnmpMasterstop2)禁用snmp服務:/etc/ig.d/SnmpMaster3.3.3設定密碼策略編輯/etc/default/security檔案,增加輸入密碼錯誤鎖定賬戶策略。檢查是否存在AUTH_MAXTRIES=6,如果沒有使用下面的命令新增密碼策略:echoAUTH_MAXTRIES=6>>/etc/default/security。上述工作每完成一項後,對系統進行監視,檢查系統節點狀態,畫面資料重新整理,控指令下發是否正常,如無異常,則試執行30分鐘觀察裝置執行情況。
結論:通過以上對系統安全服務配置的效能加固,提高電力企業計算機監控系統上位機系統設抵禦攻擊的能力,確保確保電力企業的計算機監控系統上位機作業系統的各種業務能夠安全、穩定的運轉,可為其它企業計算機監控系統上位機防護問題的解決提供參考。
參考文獻
[1]《水電廠計算機監控系統基本技術條件》DL/T578-2008
[2]《國家發展和改革委員會第14號令2014電力監控系統安全防護規定》