【摘要】本文主要結(jié)合國(guó)家電網(wǎng)公司信息網(wǎng)絡(luò)設(shè)備安全防護(hù)要求，對(duì)國(guó)內(nèi)電力企業(yè)計(jì)算機(jī)監(jiān)控系統(tǒng)上位機(jī)普遍應(yīng)用的三種操作系統(tǒng)的相關(guān)安全加固實(shí)施過程進(jìn)行簡(jiǎn)要說(shuō)明。通過對(duì)系統(tǒng)安全服務(wù)配置的性能加固，提高電力企業(yè)計(jì)算機(jī)監(jiān)控系統(tǒng)上位機(jī)系統(tǒng)設(shè)抵御攻擊的能力。

【關(guān)鍵詞】計(jì)算機(jī)監(jiān)控監(jiān)控系統(tǒng)上位機(jī);安全性能加固;操作系統(tǒng);電力企業(yè)

一、引言

隨著電力企業(yè)信息化的發(fā)展，電力信息網(wǎng)的規(guī)模日益增大，計(jì)算機(jī)系統(tǒng)面臨著各種的安全威脅。隨意篡改IP地址、惡意訪問、黑客攻擊、信息泄露、內(nèi)部破壞等情況時(shí)有發(fā)生，因此計(jì)算機(jī)服務(wù)器系統(tǒng)安全性尤為重要。目前，國(guó)內(nèi)大部分電力企業(yè)計(jì)算機(jī)監(jiān)控系統(tǒng)均采用國(guó)網(wǎng)電力科學(xué)研究院南瑞水利水電分公司的計(jì)算機(jī)監(jiān)控系統(tǒng)，但是其安全服務(wù)配置存在部分不滿足國(guó)家電網(wǎng)公司信息網(wǎng)絡(luò)設(shè)備安全防護(hù)的要求。

二、實(shí)施整體方案

對(duì)上位機(jī)計(jì)算機(jī)Windows、unix、Linux操作系統(tǒng)的相關(guān)通用服務(wù)、賬戶及密碼、USB端口進(jìn)行禁用或限制設(shè)置。

三、實(shí)施步驟

3.1Windows系統(tǒng)節(jié)點(diǎn)

1、關(guān)閉系統(tǒng)服務(wù)。右鍵點(diǎn)擊“我的電腦”，選中“管理”，在服務(wù)列表中，關(guān)閉如下服務(wù)：DHCPClient、PrintSpooler等。

2、關(guān)閉遠(yuǎn)程桌面。右鍵點(diǎn)擊“我的電腦”，選中“屬性”，在面板上選中“遠(yuǎn)程設(shè)置”，在彈出框中將“允許遠(yuǎn)程協(xié)助連接這臺(tái)計(jì)算機(jī)”的勾選去掉。

3、設(shè)置密碼策略。打開“開始”菜單，啟動(dòng)“運(yùn)行”程序，打開組策略窗口，在如下路徑找到“賬戶鎖定策略”，雙擊“賬戶鎖定閥值”，輸入數(shù)值為3，表示三次輸入錯(cuò)誤，鎖定用戶，鎖定時(shí)間默認(rèn)為2分鐘。

4、關(guān)閉系統(tǒng)功能。通過控制面板進(jìn)入，在程序窗口的“程序和功能”模塊，可以看到“啟用或關(guān)閉Windows功能”，單擊打開“Windows功能”。需要去掉勾選的服務(wù)包括：登陸服務(wù)器、登陸客戶端。通過BIOS設(shè)置徹底關(guān)閉USB口(數(shù)據(jù)備份專用、語(yǔ)音卡專用USB口不關(guān)閉)。

3.2Linux系統(tǒng)節(jié)點(diǎn)

1、禁用系統(tǒng)默認(rèn)用戶。編輯/etc/passwd文件，在存在風(fēng)險(xiǎn)的用戶定義最前面增加#，并保存。需要禁用的賬戶包括：sync、halt、news、Shutdown。

2、關(guān)閉系統(tǒng)服務(wù)。使用chkconfig–list命令查看當(dāng)前系統(tǒng)服務(wù)：關(guān)閉開機(jī)自動(dòng)啟動(dòng)：chkconfig服務(wù)名off。立即停止服務(wù)：service服務(wù)名stop。需要關(guān)閉的服務(wù)包括：login、talk、ntalk、imap等3、設(shè)置密碼策略。修改文件，增加輸入密碼錯(cuò)誤鎖定賬戶策略。

4、禁用USB。卸載系統(tǒng)的U盤掛載驅(qū)動(dòng)，將/lib/modules/2.6.32-431.el6.i686/kernel/drivers/usb/storage文件夾下的usb-storage.ko文件更名或移到其他文件夾。

3.3unix系統(tǒng)

3.3.1禁用系統(tǒng)默認(rèn)用戶：查看/etc/passwd文件，檢查是否存在風(fēng)險(xiǎn)的用戶定義。需要禁用的賬戶包括：sync、halt、news、shutdown。找到需要禁用的用戶后，執(zhí)行下面的命令禁用：passwd-l用戶名。

3.3.2關(guān)閉系統(tǒng)服務(wù)telnet設(shè)置：1)關(guān)停telnet服務(wù)：/usr/lbin/telnetdstop2)禁用telnet服務(wù)：修改：/etc/inetd.conf文件sendmail設(shè)置：1)關(guān)停sendmail服務(wù)：/sbin/init.d/sendmailstop2)禁用sendmail服務(wù)：/etc/rc.config.d/mailservssnmp設(shè)置：1)關(guān)停snmp服務(wù)：/sbin/init.d/SnmpMasterstop2)禁用snmp服務(wù)：/etc/rc.config.d/SnmpMaster3.3.3設(shè)置密碼策略編輯/etc/default/security文件，增加輸入密碼錯(cuò)誤鎖定賬戶策略。檢查是否存在AUTH_MAXTRIES=6，如果沒有使用下面的命令添加密碼策略：echoAUTH_MAXTRIES=6>>/etc/default/security。上述工作每完成一項(xiàng)后，對(duì)系統(tǒng)進(jìn)行監(jiān)視，檢查系統(tǒng)節(jié)點(diǎn)狀態(tài)，畫面數(shù)據(jù)刷新，控指令下發(fā)是否正常，如無(wú)異常，則試運(yùn)行30分鐘觀察設(shè)備運(yùn)行情況。

結(jié)論：通過以上對(duì)系統(tǒng)安全服務(wù)配置的性能加固，提高電力企業(yè)計(jì)算機(jī)監(jiān)控系統(tǒng)上位機(jī)系統(tǒng)設(shè)抵御攻擊的能力，確保確保電力企業(yè)的計(jì)算機(jī)監(jiān)控系統(tǒng)上位機(jī)操作系統(tǒng)的各種業(yè)務(wù)能夠安全、穩(wěn)定的運(yùn)轉(zhuǎn)，可為其它企業(yè)計(jì)算機(jī)監(jiān)控系統(tǒng)上位機(jī)防護(hù)問題的解決提供參考。

作者:楊妍 單位:江蘇航空職業(yè)技術(shù)學(xué)院

參考文獻(xiàn)

[1]《水電廠計(jì)算機(jī)監(jiān)控系統(tǒng)基本技術(shù)條件》DL/T578-2008

[2]《國(guó)家發(fā)展和改革委員會(huì)第14號(hào)令2014電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》