安全加固指导说明编写:审核:批准:长园深瑞继保自动化有限公司二〇一年月文档升级说明升级序号编辑人版本号.定版日期3.00.1011011修订人版本号.定版日期修订说明2修订人版本号.定版日期修订说明3修订人版本号.定版日期修订说明安全加固指导说明1.监控系统信息概述针对近期全国各地都有提及关于系统信息安全防护上面的要求,根据目前系统安全情况和系统中存在的各种安全风险,结合我们后台监控软件的实际情况,需对操作系统进行信息安全设置,以提高自动化系统的安全防护能力。在进行现场部署时,部分操作需按照对应国调手册中的加固方法进行操作,在此基础上我司针对现场实际情况增加了一些补充配置项,在本文档内进行详细描述。本文档适用于Windows、Solaris、CentOS7、Linux(RHEL5.9)等系统安全加固及漏洞扫描1.1.变电站设备配置概述列出典型变电站的后台软件型号、后台操作系统后台软件型号:PRS-7000、PRS-700U、ISA-300系列后台操作系统:Linux、Unix、Windows1.2.变电站二次系统典型拓扑图2.监控系统设备加固项目2.1.监控主机监控主机包括操作员站、工程师站、数据服务X器、综合应用服务X器、图形网关机等。2.1.1.硬件加固对于计算机的光驱,空余USB接口、以太网端口,均采取封条方式封闭。2.1.2.操作系统加固详见各操作系统加固方案2.1.3.数据库加固2.2.应用软件加固后台程序:PRS-7000、PRS-700U、ISA-300+等2.2.1.默认及多余账号删除后台程序默认带有2个默认账号“sznari”和“a”,由于初次打开数据库需要进行用户权限的校验需要用到默认账号,不建议删除,可以修改密码。打开数据库->“系统参数”->“用户配置”,选中需要删除的用户,鼠标右键选择“删除用户”,点击“删除用户”命令后,配置程序询问是否确认删除此用户:如果得到肯定的确认,则删除该用户;如果得到否定回答,则撤销删除操作。2.2.2.账号弱口令修改打开数据库->“系统参数”->“用户配置”,选中需要修改的用户,鼠标右键选择“修改密码”,将显示下图密码设置对话框。密码可以是任意符号和数字的组合,但不能为空。3.CentOS7系统安全加固方案3.1.账户弱口令3.1.1.说明账户弱口令易被未授权用户猜测或口令暴力破解,导致系统直接被侵入。3.1.2.要求系统密码不小于8位,(字母+数字+特殊符号)组合;3.1.3.加固方法在root权限下(普通用户切换成root用户输入su,然后输入root用户的密码),打开终端输入passwd,然后输入密码即可。3.1.4.加固影响无3.2.账设置密码复杂度策略3.2.1.说明部分省份对厂站密码复杂度有特殊要求,可参考此章节。3.2.2.加固方法以下为本次加固采用的密码策略,若有其他策略要求,根据要求修改对应字段的值即可。密码最小长度为(minlen)8;新密码与旧密码至少有5个字符不一样(difok);新密码至少包含一个大写字母(ucredit);新密码至少包含一个小写字母(lcredit);新密码至少包含一个数字(dcredit);新密码至少包含一个特殊字符(ocredit);先备份/etc/security/pwquality.conf文件为/etc/security/pwquality.conf.bak,再打开/etc/security/pwquality.conf,在文件的最末尾处添加如下内容,完成之后保存文件即可。验证:可通过以下命令查看设置是否成功:grep<空格>”^minlen”<空格>/etc/security/pwquality.confgrep<空格>”^difok”<空格>/etc/security/pwquality.conf3.3.设置账户登录超时限制3.3.1.加固说明本次安全加固策略中将账户登录超时时间设置成300秒,若需设置成其他时间,将300修改成要求的时间即可,单位为秒。3.3.2.加固方法在桌面左上角的应用程序,然后点击系统工具中的设置,点击隐私,如下图:验证:重启系统使配置生效之后,使用任意用户登录系统,登录之后不要进行任何操作,等待5分钟之后,观察系统是否自动退出到登录界面。3.3.3.加固影响无3.4.设置用户密码安全策略3.4.1.说明如果采用系统默认配置,root系统用户可用短长度的密码作密码或重复使用近期使用的密码,非法者就有更多的机会能够猜测出密码,从而增加了系统被攻击成功的可能性。3.4.2.加固方法可通过在终端输入,chage-lroot查看root用户的密码规则。具体含义说明如下:修改...
