安全加固及漏洞扫描指导说明

安全加固指导说明

编写：

审核：

批准：

长园深瑞继保自动化有限公司

二〇一年月

安全加固指导说明

1.监控系统信息概述

针对近期全国各地都有提及关于系统信息安全防护上面的要求，根据目前系统安全情况和系统中存在的各种安全风险，结合我们后台监控软件的实际情况，需对操作系统进行信息安全设置，以提高自动化系统的安全防护能力。

在进行现场部署时，部分操作需按照对应国调手册中的加固方法进行操作，在此基础上我司针对现场实际情况增加了一些补充配置项，在本文档内进行详细描述。本文档适用于Windows、Solaris、CentOS7、Linux(RHEL5.9)等系统安全加固及漏洞扫描

1.1.变电站设备配置概述

列出典型变电站的后台软件型号、后台操作系统

后台软件型号：PRS-7000、PRS-700U、ISA-300系列

后台操作系统：Linux、Unix、Windows

1.2.变电站二次系统典型拓扑图

2.监控系统设备加固项目

2.1.监控主机

监控主机包括操作员站、工程师站、数据服务X器、综合应用服务X器、图形网关机等。

2.1.1.硬件加固

对于计算机的光驱，空余USB接口、以太网端口，均采取封条方式封闭。

2.1.2.操作系统加固

详见各操作系统加固方案

2.1.

3.数据库加固

2.2.应用软件加固

后台程序：PRS-7000、PRS-700U、ISA-300+等

2.2.1.默认及多余账号删除

后台程序默认带有2个默认账号“sznari”和“a”，由于初次打开数据库需要进行用户权限的校验需要用到默认账号，不建议删除，可以修改密码。

打开数据库->“系统参数”->“用户配置”，选中需要删除的用户，鼠标右键选择“删除用户”，点击“删除用户”命令后，配置程序询问是否确认删除此用户：如果得到肯定的确认，则删除该用户；如果得到否定回答，则撤销删除操作。

2.2.2.账号弱口令修改

打开数据库->“系统参数”->“用户配置”，选中需要修改的用户，鼠标右键选择“修改密码”，将显示下图密码设置对话框。密码可以是任意符号和数字的组合，但不能为空。

3.CentOS7系统安全加固方案

3.1.账户弱口令

3.1.1.说明

账户弱口令易被未授权用户猜测或口令暴力破解，导致系统直接被侵入。

3.1.2.要求

系统密码不小于8位，(字母+数字+特殊符号)组合；

3.1.3.加固方法

在root权限下（普通用户切换成root用户输入su，然后输入root用户的密码），打开终端输入passwd，然后输入密码即可。

3.1.

4.加固影响

无

3.2.账设置密码复杂度策略

3.2.1.说明

部分省份对厂站密码复杂度有特殊要求，可参考此章节。

3.2.2.加固方法

以下为本次加固采用的密码策略，若有其他策略要求，根据要求修改对应字段的值即可。

密码最小长度为（minlen）8；

新密码与旧密码至少有5个字符不一样（difok）；

新密码至少包含一个大写字母（ucredit）；

新密码至少包含一个小写字母（lcredit）；

新密码至少包含一个数字（dcredit）；

新密码至少包含一个特殊字符（ocredit）；

先备份/etc/security/pwquality.conf文件为/etc/security/pwquality.conf.bak，再打开/etc/security/pwquality.conf，在文件的最末尾处添加如下内容，完成之后保存文件即可。

验证：可通过以下命令查看设置是否成功：

grep<空格>”^minlen”<空格>/etc/security/pwquality.conf

grep<空格>”^difok”<空格>/etc/security/pwquality.conf

3.3.设置账户登录超时限制

3.3.1.加固说明

本次安全加固策略中将账户登录超时时间设置成300秒，若需设置成其他时间，将300修改成要求的时间即可，单位为秒。

3.3.2.加固方法

在桌面左上角的应用程序，然后点击系统工具中的设置，点击隐私，如下图：

验证：重启系统使配置生效之后，使用任意用户登录系统，登录之后不要进行任何操作，等待5分钟之后，观察系统是否自动退出到登录界面。

3.3.3.加固影响

无

3.4.设置用户密码安全策略

3.4.1.说明

如果采用系统默认配置，root系统用户可用短长度的密码作密码或重复使用近期使用的密码，非法者就有更多的机会能够猜测出密码，从而增加了系统被攻击成功的可能性。

3.4.2.加固方法

可通过在终端输入， chage -l root

查看root用户的密码规则。

具体含义说明如下：

修改方法如下：

在终端输入chage -M 90 -m 6 -W 30 root 更改两次更改密码最大天数为90，最小天数为6天，密码过期提醒时间为30。

修改密码复杂度：（该选项可不执行操作，在修改密码时按照字符+标点+数字修改即可）

至少各有一个字符来自这些字符集a-z、A-Z、标点符号、0-9

修改/etc/pam.d/passwd文件：

确保下面行未被注释，如没有，请按以下顺序添加：

#%PAM-1.0

auth include system-auth

account include system-auth

password requisite pam_passwdqc.so enforce=everyone

password requisite pam_cracklib.so minlen=8 lcredit=-1 ucredit=-1 ocredit=-1 dcredit=-1

password include system-auth

黄色加底行的参数含义如下：

minlen=8 #密码最小长度为8