【摘要】本文主要結合國家電網公司信息網絡設備安全防護要求，對國內電力企業計算機監控系統上位機普遍應用的三種操作系統的相關安全加固實施過程進行簡要說明。通過對系統安全服務配置的性能加固，提高電力企業計算機監控系統上位機系統設抵御攻擊的能力。

【關鍵詞】計算機監控監控系統上位機;安全性能加固;操作系統;電力企業

一、引言

隨著電力企業信息化的發展，電力信息網的規模日益增大，計算機系統面臨著各種的安全威脅。隨意篡改IP地址、惡意訪問、黑客攻擊、信息泄露、內部破壞等情況時有發生，因此計算機服務器系統安全性尤為重要。目前，國內大部分電力企業計算機監控系統均采用國網電力科學研究院南瑞水利水電分公司的計算機監控系統，但是其安全服務配置存在部分不滿足國家電網公司信息網絡設備安全防護的要求。

二、實施整體方案

對上位機計算機Windows、unix、Linux操作系統的相關通用服務、賬戶及密碼、USB端口進行禁用或限制設置。

三、實施步驟

3.1Windows系統節點

1、關閉系統服務。右鍵點擊“我的電腦”，選中“管理”，在服務列表中，關閉如下服務：DHCPClient、PrintSpooler等。

2、關閉遠程桌面。右鍵點擊“我的電腦”，選中“屬性”，在面板上選中“遠程設置”，在彈出框中將“允許遠程協助連接這臺計算機”的勾選去掉。

3、設置密碼策略。打開“開始”菜單，啟動“運行”程序，打開組策略窗口，在如下路徑找到“賬戶鎖定策略”，雙擊“賬戶鎖定閥值”，輸入數值為3，表示三次輸入錯誤，鎖定用戶，鎖定時間默認為2分鐘。

4、關閉系統功能。通過控制面板進入，在程序窗口的“程序和功能”模塊，可以看到“啟用或關閉Windows功能”，單擊打開“Windows功能”。需要去掉勾選的服務包括：登陸服務器、登陸客戶端。通過BIOS設置徹底關閉USB口(數據備份專用、語音卡專用USB口不關閉)。

3.2Linux系統節點

1、禁用系統默認用戶。編輯/etc/passwd文件，在存在風險的用戶定義最前面增加#，并保存。需要禁用的賬戶包括：sync、halt、news、Shutdown。

2、關閉系統服務。使用chkconfig–list命令查看當前系統服務：關閉開機自動啟動：chkconfig服務名off。立即停止服務：service服務名stop。需要關閉的服務包括：login、talk、ntalk、imap等3、設置密碼策略。修改文件，增加輸入密碼錯誤鎖定賬戶策略。

4、禁用USB。卸載系統的U盤掛載驅動，將/lib/modules/2.6.32-431.el6.i686/kernel/drivers/usb/storage文件夾下的usb-storage.ko文件更名或移到其他文件夾。

3.3unix系統

3.3.1禁用系統默認用戶：查看/etc/passwd文件，檢查是否存在風險的用戶定義。需要禁用的賬戶包括：sync、halt、news、shutdown。找到需要禁用的用戶后，執行下面的命令禁用：passwd-l用戶名。

3.3.2關閉系統服務telnet設置：1)關停telnet服務：/usr/lbin/telnetdstop2)禁用telnet服務：修改：/etc/inetd.conf文件sendmail設置：1)關停sendmail服務：/sbin/init.d/sendmailstop2)禁用sendmail服務：/etc/rc.config.d/mailservssnmp設置：1)關停snmp服務：/sbin/init.d/SnmpMasterstop2)禁用snmp服務：/etc/rc.config.d/SnmpMaster3.3.3設置密碼策略編輯/etc/default/security文件，增加輸入密碼錯誤鎖定賬戶策略。檢查是否存在AUTH_MAXTRIES=6，如果沒有使用下面的命令添加密碼策略：echoAUTH_MAXTRIES=6>>/etc/default/security。上述工作每完成一項后，對系統進行監視，檢查系統節點狀態，畫面數據刷新，控指令下發是否正常，如無異常，則試運行30分鐘觀察設備運行情況。

結論：通過以上對系統安全服務配置的性能加固，提高電力企業計算機監控系統上位機系統設抵御攻擊的能力，確保確保電力企業的計算機監控系統上位機操作系統的各種業務能夠安全、穩定的運轉，可為其它企業計算機監控系統上位機防護問題的解決提供參考。

作者:楊妍 單位:江蘇航空職業技術學院

參考文獻

[1]《水電廠計算機監控系統基本技術條件》DL/T578-2008

[2]《國家發展和改革委員會第14號令2014電力監控系統安全防護規定》