时间:2022-12-26 16:17:59来源:搜狐
今天带来电力监控系统安全防护重点强化「电力监控系统安全防护」,关于电力监控系统安全防护重点强化「电力监控系统安全防护」很多人还不知道,现在让我们一起来看看吧!
随着通讯技术的发展和工业自动化水平的提高,电力调度和监控系统的自动化水平越来越高,一些电站已经实现了无人值守的全自动化模式,但是电力作为重要的基础设施领域,其控制系统的安全性就变得非常重要,如何有效地防范电力监控系统的各种入侵和非法操作,这些事项就变得尤其重要。本文介绍了系统加固在电站监控系统的具体实施应用,通过系统加固提高了整个监控系统的安全性,为其他电站提供借鉴作用。
关键词:电力监控;自动化;安全防护;系统加固;主机;服务器
近年来,国内外因计算机网络系统漏洞而产生的网络安全事件频发,已造成较大的经济损失和社会影响。及时消除计算机网络系统漏洞及其诱发的网络安全风险,做好计算机网络系统的安全系统加固工作,确保计算机网络系统安全已经刻不容缓。
系统安全加固是指根据专业安全评估结果,制定相应的系统加固方案,针对不同目标系统,通过打补丁、修改安全配置、增加安全机制等方法,合理进行安全性加强。其主要目的是消除与降低安全隐患。
电力监控系统主要业务系统和功能模块包括:无功电压控制、发电功率控制、升压站监控系统、相量测量装置(PMU)、状态监测系统、电能量采集装置、继电保护信息子站、故障录播装置管理信息系统等。
系统加固的主要对象为电力监控系统的主机设备、网络设备、安防设备。以下为某项目系统加固的具体项目和内容。
系统加固具体项目及内容:
用户策略配置1.1用户权限策略配置
用户权限策略配置,如图1所示。
图1 用户权限策略配置
设备未配置安全管理员、审计管理员、系统管理员账户,经加固后,建立安全管理员、审计管理员、系统管理员账户,安全管理员隶属于BackupOperators和PowerUsers组,审计管理员隶属于EventLogReaders和PerformanceLogUser组,系统管理员隶属于NetworkConfigurationOperators组。
1.2禁止用户修改IP
设备未配置“禁止添加或删除用于LAN连接或远程访问连接的组件”,经过加固后,配置“禁止添加或删除用于LAN连接或远程访问连接的组件”状态为启用。
1.3禁止用户更改计算机名
设备未配置“删除桌面上的“计算机”图标”,经过加固后,配置“删除桌面上的“计算机”图标”状态为启用。
1.4开启屏幕保护程序
设备未配置“屏幕保护程序”,经过加固后,配置“屏幕保护程序”状态为启用,等待时间为5分钟。
1.5限制匿名用户远程连接
设备策略“网络访问:不允许SAM帐号和共享的匿名枚举”和“网络访问:不允许SAM帐户的匿名枚举”为禁用,经过加固后,配置“网络访问:不允许SAM帐号和共享的匿名枚举”和“网络访问:不允许SAM帐户的匿名枚举”状态为启用。
身份鉴别2.1用户口令周期策略(如图2所示)
图2 用户口令周期策略
设备未配置“密码最长使用期限”,经过加固后,配置“密码最长使用期限”为90天。
2.2用户口令过期提醒
设备未配置“交互式登录:提示用户在过期之前更改密码”,经过加固后,配置“交互式登录:提示用户在过期之前更改密码”为10天。
2.3用户口令复杂度策略
设备未配置“密码必须符合复杂性要求”和“密码长度最小值”,经过加固后,配置“密码必须符合复杂性要求”状态为启用,设置“密码长度最小值”为8。
2.4用户登录失败锁定
设备未配置“账户锁定阀值”和“账户锁定时间”,经过加固后,配置“账户锁定阀值”次数5和“账户锁定时间”10分钟。
2.5系统不显示上次登录名(如图3所示)
图3 系统上不显示上次登录名
设备未配置“交互式登录:不显示上次登录”,经过加固后,配置“交互式登录:不显示上次登录”状态为启用。
2.6禁止普通用户修改审计策略
设备配置普通用户具有“管理审核和日志”权限,经过加固后,配置sysadmin用户具有“管理审核和日志”权限。
主机配置3.1关闭默认共享
设备未配置“所有磁盘均关闭默认共享”,经过加固后,所有磁盘均关闭默认共享。
3.2用户账户控制设置(UAC)
设备未配置“用户账户控制设置”未默认,经过加固后,配置“用户账户控制设置”状态为默认。
3.3禁止未登录关机
设备未配置“关机:允许系统在未登录的情况下关闭”状态为已启用,经过加固后,配置“关机:允许系统在未登录的情况下关闭”状态为禁用。
3.4关机时清除虚拟内存页面文件
设备未配置“关机:清除虚拟内存页面文件”未启用,经过加固后,配置“关机:清除虚拟内存页面文件”状态为启用。
3.5禁止非管理员关机
设备未配置“关闭系统”和“从远程系统强制关机”,经过加固后,配置“关闭系统”和“从远程系统强制关机”仅sysadmin账户。
3.6启用SYN保护
设备启用SYN保护,经过加固后,配置SYN保护,注册表增加SynAttackProtect字符串值,数值为2;增加TcpMaxportsExhausted字符串值,数值为5;增加TcpMaxHalfOpen字符串值,数值为500;增加TcpMaxHalfOpenRetried,字符串值,数值为400。
3.7设置最小挂起时间
设备未配置“Microsoft 网络服务器:登录时间过期后断开与客户端的连接”,“网络安全:在超过登录时间后强制注销”,“Microsoft网络服务器:暂停会话前所需的空闲时间量”,经过加固后,配置“Microsoft 网络服务器:登录时间过期后断开与客户端的连接”,“网络安全:在超过登录时间后强制注销”两项状态为启用,“Microsoft网络服务器:暂停会话前所需的空闲时间量”策略中设置超时时间15分钟。
3.8敏感信息标记、系统重要数据访问控制、卸载无关软件、高危漏洞补丁加固、安装防病毒软件、限制远程登录协议、删除或禁用系统无关用户、补丁管理等
这些项目无问题,未做更改。
3.9数据执行保护(DEP)
设备未配置“仅为基本Windows操作系统程序和服务启用DEP”,经过加固后,配置“仅为基本 Windows操作系统程序和服务启用DEP”状态为启用。
网络管理4.1删除默认路由配置
设备中存在默认路由,经过加固后,删除默认路由。
4.2安装防病毒统一管理服务器
设备未安装防病毒统一管理服务器,未加固。
4.3关闭不必要服务
设备DHCP Client,DNS Client,PrintSpooler,Routing and Remote Access,Windows Remote Management服务未禁用,经过加固后,DHCP Client,DNS Client,Print Spooler,Routing and Remote Access,Windows Remote Management服务已禁用。
4.4关闭不必要的系统端口
设备TCP 21、TCP 23、TCP/UDP 135、TCP/UDP 137、TCP/UDP 138、TCP/UDP 139、TCP/UDP445端口未禁用,经过加固后,禁用TCP21、TCP 23、TCP/UDP 135、TCP/UDP 137、TCP/UDP138、TCP/UDP139、TCP/UDP445端口。
4.5开启防火墙功能
设备未启用“Windows防火墙”,经过加固后,配置“Windows防火墙”状态为启用。
4.6配置访问控制规则
设备未配置“防火墙访问规则”,经过加固后,配置“防火墙访问规则”,允许10.1.50.0/24网段互访。
远程管理5.1关闭远程主机RDP服务(如图4所示)
图4 关闭远程主机RDP服务
设备开启“允许远程协助连接这条计算机”,经过加固后,关闭“允许远程协助连接这条计算机”,配置“不允许连接这台计算机”。
5.2限制远程登录IP
设备未配置“允许入站远程桌面例外”,经过加固后,配置“允许入站远程桌面例外”状态为启用,并配置允许远程访问的地址段。
5.3限制远程登录时间
设备未配置“设置活动但空闲的远程桌面服务会话的时间限制”,经过加固后,配置“设置活动但空闲的远程桌面服务会话的时间限制”状态为启用,空闲会话限制为10分钟。
5.4修改远程桌面默认服务端口
设备远程桌面默认服务端口为3389,经过加固后,远程桌面默认服务端口为13389。
外联管理6.1主机间登录禁止使用公钥验证
设备未配置“网络访问,不允许存储网络身份验证的密码和凭据”,经过加固后,配置“网络访问,不允许存储网络身份验证的密码和凭据”状态为启用。
6.2禁用大容量存储介质(USB存储设备)
设备未禁用大容量存储介质,经过加固后,禁用大容量存储介质。
6.3关闭自动播放功能
设备未配置“关闭自动播放”,经过加固后,配置“关闭自动播放”状态为启用。
6.4禁止使用无线网卡
无问题,未加固。
6.5配置日志策略(如图5所示)
设备未配置“审核策略”,经过加固后,配置“审核策略”。以上为典型的加固项目和内容。
总之,通过开展电力监控系统主机设备、网络设备、安防设备的系统加固,完善了设备的安全补丁,加强了系统的安全策略配置,增加了系统的安全机制,全面提升了系统的安全级别,提高了电力监视系统的安全性,为电力系统的安全、稳定运行提供了有力保障。
图5 配置日志策略
作者简介
杨延超(1979-),男,河南郑州人,中级职称,本科,现就职于华润电力中西分公司,从事信息通信相关的工作。
参考文献
[1] 国家能源局. 电力监控系统安全防护总体方案(国家能源局国能安全〔2015〕36号)[Z].
[2] 国家电力调度通信中心. 国调中心关于印发Windows操作系统安全加固指导手册的通知(调网安〔2017〕169号)[Z].
摘自《自动化博览》2019年8月刊
声明:文章仅代表原作者观点,不代表本站立场;如有侵权、违规,可直接反馈本站,我们将会作修改或删除处理。
图文推荐
2022-12-26 16:17:45
2022-12-26 16:17:01
2022-12-26 16:11:13
2022-12-26 16:05:28
2022-12-26 16:05:01
2022-12-26 15:59:30
热点排行
精彩文章
2022-12-26 16:17:49
2022-12-26 16:17:07
2022-12-26 16:11:18
2022-12-26 16:05:35
2022-12-26 15:59:36
2022-12-26 15:59:20
热门推荐