电力二次系统加固技术.pdf

《电力二次系统加固技术.pdf》由会员分享，可在线阅读，更多相关《电力二次系统加固技术.pdf（42页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、2009-9-21电力系统安全加固技术电力系统安全加固技术电力系统安全加固技术电力系统安全加固技术电话：电话：025-83096706邮箱邮箱:网址：网址：http:/国网电力科学研究院国网电力科学研究院国家电网公司信息网络安全实验室国家电网公司信息网络安全实验室2009-9-22主要内容主要内容一、安全加固一、安全加固二、成功案例二、成功案例3 自加固自加固是指电力系统业务主管部门或电力系统 运行维护单位依靠自身的技术力量，对电力系统在 日常维护过程中发现的脆弱性进行修补的安全加固 工作。自加固自加固是指电力系统业务主管部门或电力系统 运行维护单位依靠自身的技术力量，对电力系统在 日常维护过

2、程中发现的脆弱性进行修补的安全加固 工作。专业安全加固专业安全加固是指在信息安全风险评估或安全 检查后，由信息管理部门或系统业务主管部门组织 发起，开展的电力系统安全加固工作。专业安全加固专业安全加固是指在信息安全风险评估或安全 检查后，由信息管理部门或系统业务主管部门组织 发起，开展的电力系统安全加固工作。加固形式加固形式加固内容加固内容加固对象加固对象2009-9-24 网络系统网络系统 主机操作系统主机操作系统 通用应用系统通用应用系统 现有安全防护措施现有安全防护措施 电力业务应用系统电力业务应用系统加固形式加固形式加固内容加固内容加固对象加固对象2009-9-25操作系统操作系统通用

3、应用系统通用应用系统数据库系统数据库系统网络系统网络系统安全设备安全设备加固形式加固形式加固内容加固内容加固对象加固对象 网络设备1、帐号权限加固 加强用户认证，对网络设备的管理权限进行划分和 限制 修改帐号存在的弱口令（包括SNMP社区串），设 置网络系统的口令长度8位 禁用不需要的用户 对口令进行加密存储业务应用系统业务应用系统2009-9-26 网络设备2、网络服务加固 禁用http server，或者对http server进行访问控制 关闭不必要的SNMP服务，若必须使用，应采用 SNMPv3以上版本并启用身份验证、更改默认社区 串 禁用与承载业务无关的服务（例如DHCP-relay

4、、IGMP、CDP RUN、bootp服务等）操作系统操作系统通用应用系统通用应用系统数据库系统数据库系统网络系统网络系统安全设备安全设备加固形式加固形式加固内容加固内容加固对象加固对象业务应用系统业务应用系统2009-9-27 网络设备3、网络访问控制加固 对可管理配置网络设备的网段通过访问控制列表进 行限制 使用SSH等安全方式登录,禁用TELNET方式 对SNMP进行ACL控制操作系统操作系统通用应用系统通用应用系统数据库系统数据库系统网络系统网络系统安全设备安全设备加固形式加固形式加固内容加固内容加固对象加固对象业务应用系统业务应用系统2009-9-28 网络设备4、审计策略加固 为网

5、络设备指定日志服务器 合理配置日志缓冲区大小5.恶意代码防范 屏蔽病毒常用的网络端口 使用TCP keepalives服务 禁止IP源路由功能操作系统操作系统通用应用系统通用应用系统数据库系统数据库系统网络系统网络系统安全设备安全设备加固形式加固形式加固内容加固内容加固对象加固对象业务应用系统业务应用系统2009-9-29 Windows系统系统1、帐号权限加固 合理配置应用帐号或用户自建帐号权限 删除系统中多余的自建帐号 修改帐号口令，确保系统帐号口令长度和复杂度满 足安全要求 更改系统管理员帐户 停用Guest帐户操作系统操作系统通用应用系统通用应用系统数据库系统数据库系统网络系统网络系统

6、安全设备安全设备加固形式加固形式加固内容加固内容加固对象加固对象业务应用系统业务应用系统2009-9-210 Windows系统系统2、网络服务加固 在不影响业务系统正常运行情况下，停止或禁用与 承载业务无关的服务 屏蔽承载业务无关的网络端口操作系统操作系统通用应用系统通用应用系统数据库系统数据库系统网络系统网络系统安全设备安全设备加固形式加固形式加固内容加固内容加固对象加固对象业务应用系统业务应用系统2009-9-211 Windows系统系统3、数据访问控制加固 将系统重要的文件或目录的访问权限修改为管理员 完全控制、数据拥有者完全控制或配置特殊权限，避免EVERYONE完全控制 将系统分

7、区FAT32格式转换为NTFS格式操作系统操作系统通用应用系统通用应用系统数据库系统数据库系统网络系统网络系统安全设备安全设备加固形式加固形式加固内容加固内容加固对象加固对象业务应用系统业务应用系统2009-9-212 Windows系统系统4、网络访问控制加固 关闭多余的远程管理方式 安装远程管理服务程序的补丁或者使用安全的远程 管理方式 设置访问控制策略限制能够访问本机的用户或IP地 址 禁止匿名用户枚举SAM帐户和共享 禁止默认共享（IPC$、C$、D$.）操作系统操作系统通用应用系统通用应用系统数据库系统数据库系统网络系统网络系统安全设备安全设备加固形式加固形式加固内容加固内容加固对象

8、加固对象业务应用系统业务应用系统2009-9-213 Windows系统系统5、口令策略加固 设置口令长度，重要系统的用户口令长度8位；一 般系统用户口令长度6位 开启口令复杂性要求 设置口令最短、最长存留期操作系统操作系统通用应用系统通用应用系统数据库系统数据库系统网络系统网络系统安全设备安全设备加固形式加固形式加固内容加固内容加固对象加固对象业务应用系统业务应用系统2009-9-214 Windows系统系统6、用户鉴别加固 配置帐户锁定登录失败锁定次数、锁定时间 禁止系统自动登录 配置管理控制台超时自动锁定时间，设置屏保口令 保护操作系统操作系统通用应用系统通用应用系统数据库系统数据库系

9、统网络系统网络系统安全设备安全设备加固形式加固形式加固内容加固内容加固对象加固对象业务应用系统业务应用系统2009-9-215 Windows系统系统7、审计策略加固 配置系统审核策略，配置审核登录事件、审核帐户 登录事件、审核帐户管理、审核策略管理、审核系 统事件等 对审计产生的数据分配合理的存储空间和存储时间操作系统操作系统通用应用系统通用应用系统数据库系统数据库系统网络系统网络系统安全设备安全设备加固形式加固形式加固内容加固内容加固对象加固对象业务应用系统业务应用系统2009-9-216 Windows系统系统8、漏洞加固 安装系统安全补丁 关闭存在漏洞的与承载业务无关的服务9.恶意代码

10、防范 配置病毒库升级策略 配置病毒查杀策略 强化 TCP/IP 堆栈防止拒绝服务攻击操作系统操作系统通用应用系统通用应用系统数据库系统数据库系统网络系统网络系统安全设备安全设备加固形式加固形式加固内容加固内容加固对象加固对象业务应用系统业务应用系统2009-9-217 Oracle 数据库数据库1、帐号权限加固 限制应用用户在数据库中的权限，尽量保证最小化，避 免授予了DBA权限 将Oracle用户设置为DBA组的成员 撤消public角色的程序包执行权限 修改所系统帐户的默认口令（特别是管理员角色类帐户）锁定所有不需要的用户、为所有应用用户配置强口令 删除系统中多余的自建帐号操作系统操作系统

11、通用应用系统通用应用系统数据库系统数据库系统网络系统网络系统安全设备安全设备加固形式加固形式加固内容加固内容加固对象加固对象业务应用系统业务应用系统2009-9-218 Oracle 数据库数据库2、服务加固 在不影响业务系统正常运行情况下，停止或禁用与 承载业务无关的服务或组件 删除数据库中存在有无用的、测试的、废弃的数据 库、表、视图操作系统操作系统通用应用系统通用应用系统数据库系统数据库系统网络系统网络系统安全设备安全设备加固形式加固形式加固内容加固内容加固对象加固对象业务应用系统业务应用系统2009-9-219 Oracle 数据库数据库3、数据访问控制加固 严格限制库文件的访问权限，

12、保证除属主和root外，其他用户对库文件没有写权限 设置$ORACLE_HOME/bin其下所有程序的访问权限 或其他安全控制机制操作系统操作系统通用应用系统通用应用系统数据库系统数据库系统网络系统网络系统安全设备安全设备加固形式加固形式加固内容加固内容加固对象加固对象业务应用系统业务应用系统2009-9-220 Oracle 数据库数据库4、网络访问控制加固 设置TNS登录的IP限制，仅允许最少的必要的IP地 址可连接TNS监听器 关闭远程操作系统认证 在不影响应用的前提下，更改默认的1521端口 限制对监听器的远程管理，并设置监听器管理口令操作系统操作系统通用应用系统通用应用系统数据库系统

13、数据库系统网络系统网络系统安全设备安全设备加固形式加固形式加固内容加固内容加固对象加固对象业务应用系统业务应用系统2009-9-221 Oracle 数据库数据库5、口令策略加固 设置口令复杂度要求 设置口令使用期限，要求到期后自动更改 设置策略对口令尝试次数进行限制操作系统操作系统通用应用系统通用应用系统数据库系统数据库系统网络系统网络系统安全设备安全设备加固形式加固形式加固内容加固内容加固对象加固对象业务应用系统业务应用系统2009-9-222 Oracle 数据库数据库6、审计策略加固 启用相应的审计功能，配置审核策略使系统能够审 核数据库管理和安全相关操作的信息 配置日志策略，确保数据

14、库的归档日志文件、在线 日志文件、网络日志、跟踪文件、警告日志记录功 能是否启用并且有效实施 配置日志管理策略、保证日志存放的地点的安全可 靠操作系统操作系统通用应用系统通用应用系统数据库系统数据库系统网络系统网络系统安全设备安全设备加固形式加固形式加固内容加固内容加固对象加固对象业务应用系统业务应用系统2009-9-223 Oracle 数据库数据库7、漏洞加固 安装系统安全补丁8.通信安全加固 利用Oracle Advanced Security在客户端，数据库和应 用服务器之间加密网络通信操作系统操作系统通用应用系统通用应用系统数据库系统数据库系统网络系统网络系统安全设备安全设备加固形式

15、加固形式加固内容加固内容加固对象加固对象业务应用系统业务应用系统2009-9-224 IIS服务器服务器1、数据访问控制加固 将IIS的静态文件文件夹、脚本（.asp）文件夹、可 执行程序（.exe,.dll,.cmd,.pl）分类管理 严格设置静态文件、ASP脚本文件、EXE等可执行 程序的访问权限操作系统操作系统通用应用系统通用应用系统数据库系统数据库系统网络系统网络系统安全设备安全设备加固形式加固形式加固内容加固内容加固对象加固对象业务应用系统业务应用系统2009-9-225 IIS服务器服务器2、服务加固 删除IIS服务中安装的Internet服务管理器(HTML)、SMTP Serv

16、ice和NNTP Service、样本页面和脚本等 不必要组件 删除IIS默认启用的.htr、.idq/ida、.printer等无用的程 序映射操作系统操作系统通用应用系统通用应用系统数据库系统数据库系统网络系统网络系统安全设备安全设备加固形式加固形式加固内容加固内容加固对象加固对象业务应用系统业务应用系统2009-9-226 IIS服务器服务器3、审计策略加固 开启IIS的日志记录功能，并配置恰当的参数 修改IIS日志的存放路径保证日志存放的地点的安全 可靠 修改日志访问权限，设置为只有管理员才能访问操作系统操作系统通用应用系统通用应用系统数据库系统数据库系统网络系统网络系统安全设备安全设

17、备加固形式加固形式加固内容加固内容加固对象加固对象业务应用系统业务应用系统2009-9-227 IIS服务器服务器4、用户鉴别加固 启用IIS的连接超时中断功能，并设置恰当的超时时 间5、漏洞加固 安装补丁修补相关漏洞操作系统操作系统通用应用系统通用应用系统数据库系统数据库系统网络系统网络系统安全设备安全设备加固形式加固形式加固内容加固内容加固对象加固对象业务应用系统业务应用系统2009-9-228 防火墙防火墙1、帐号权限加固 修改默认用户名和口令，设置用户口令长度8位2、网络服务加固 关闭不必要的SNMP服务，若必须使用，应采用 SNMPv3以上版本并启用身份验证、更改默认社区串 关闭不必

18、要的HTTP管理服务，必要时应采用安全 HTTPS方式来管理防火墙，若无法使用HTTPS方式，则必须严格限制可管理的IP地址段操作系统操作系统通用应用系统通用应用系统数据库系统数据库系统网络系统网络系统安全设备安全设备加固形式加固形式加固内容加固内容加固对象加固对象业务应用系统业务应用系统2009-9-229 防火墙防火墙3、网络访问控制加固 管理网络安全设备的网段与业务网段分离，禁止外 部用户对防火墙进行用户管理 使用SSH等安全方式登录,禁用TELNET方式 防火墙策略应严格限制IP地址和服务端口 删除无效或无用的防火墙策略 禁止任何旁路操作系统操作系统通用应用系统通用应用系统数据库系统数

19、据库系统网络系统网络系统安全设备安全设备加固形式加固形式加固内容加固内容加固对象加固对象业务应用系统业务应用系统2009-9-230 防火墙防火墙4、审计策略加固 为防火墙设备指定日志服务器 配置防火墙日志的保存期限为半年以上 对关键的防火墙策略记录日志 防火墙要提供日志（包括：系统日志和重要策略产 生的日志）分析和管理功能操作系统操作系统通用应用系统通用应用系统数据库系统数据库系统网络系统网络系统安全设备安全设备加固形式加固形式加固内容加固内容加固对象加固对象业务应用系统业务应用系统2009-9-231 防火墙防火墙5、攻击防范 配置防火墙自身的抗DOS攻击的功能 设置防火墙必要的事件报警功

20、能 更新防火墙自带的防病毒、IDS特征库操作系统操作系统通用应用系统通用应用系统数据库系统数据库系统网络系统网络系统安全设备安全设备加固形式加固形式加固内容加固内容加固对象加固对象业务应用系统业务应用系统2009-9-232操作系统操作系统通用应用系统通用应用系统数据库系统数据库系统网络系统网络系统安全设备安全设备加固形式加固形式加固内容加固内容加固对象加固对象业务应用系统业务应用系统 业务应用系统业务应用系统1、帐号权限加固 在应用系统用户中删除或禁用调试帐号 合理配置应用帐号或用户自建帐号的权限 删除系统中多余的自建帐号和测试帐号 确保系统管理员、审计管理员、业务操作员三权分 立、互斥20

21、09-9-233操作系统操作系统通用应用系统通用应用系统数据库系统数据库系统网络系统网络系统安全设备安全设备加固形式加固形式加固内容加固内容加固对象加固对象业务应用系统业务应用系统 业务应用系统业务应用系统2、口令策略加固 设置口令长度，重要系统的用户口令长度8位，一 般系统的用户口令长度6位，并且至少为字母、数 字组合 设置口令过期时间，以及口令不能重复的次数 为用户设置强壮的口令2009-9-234操作系统操作系统通用应用系统通用应用系统数据库系统数据库系统网络系统网络系统安全设备安全设备加固形式加固形式加固内容加固内容加固对象加固对象业务应用系统业务应用系统 业务应用系统业务应用系统3、

22、用户鉴别加固 设置锁定口令错误输入次数，以及锁定时间 设置自动注销时间2009-9-235操作系统操作系统通用应用系统通用应用系统数据库系统数据库系统网络系统网络系统安全设备安全设备加固形式加固形式加固内容加固内容加固对象加固对象业务应用系统业务应用系统 业务应用系统业务应用系统4、审计策略加固 开启应用系统软件的日志记录功能，并配置恰当的 参数 修改应用日志的存放路径保证日志存放的地点的安 全可靠 修改日志访问权限，设置为只有审计管理员才能删 除2009-9-236操作系统操作系统通用应用系统通用应用系统数据库系统数据库系统网络系统网络系统安全设备安全设备加固形式加固形式加固内容加固内容加固

23、对象加固对象业务应用系统业务应用系统 业务应用系统业务应用系统5、会话控制加固 为关键用户设置登录的IP限制，仅允许最少的必要 的IP地址可连接登录应用系统 为关键用户设置登录的时间限制，仅允许必要的工 作时间内可连接登录应用系统 限制最大的客户端并发连接数 禁止同一用户的多个并发连接2009-9-237操作系统操作系统通用应用系统通用应用系统数据库系统数据库系统网络系统网络系统安全设备安全设备加固形式加固形式加固内容加固内容加固对象加固对象业务应用系统业务应用系统 业务应用系统业务应用系统6、数据访问控制加固 严格限制应用系统配置文件的访问权限，保证除属 主和超级管理员外，其他用户对配置文件

24、没有读、写权限 设置可执行程序的访问权限，保证除属主和超级管 理员外，其他用户对配置文件没有执行、修改权限2009-9-238操作系统操作系统通用应用系统通用应用系统数据库系统数据库系统网络系统网络系统安全设备安全设备加固形式加固形式加固内容加固内容加固对象加固对象业务应用系统业务应用系统 业务应用系统业务应用系统7、通信安全加固 启用应用软件提供的加密功能，在客户端和应用服 务器之间加密网络通信8、重鉴别加固 启用应用软件提供的重鉴别功能，在用户执行关键、敏感权限时，必须再次进行鉴别（如口令鉴别等），才能执行成功2009-9-239操作系统操作系统通用应用系统通用应用系统数据库系统数据库系统

25、网络系统网络系统安全设备安全设备加固形式加固形式加固内容加固内容加固对象加固对象业务应用系统业务应用系统 业务应用系统业务应用系统9、软件功能完善（非现场加固项目）由应用软件开发商修改应用软件，修补SQL注入漏 洞、越权操作、绕过验证、文件上传漏洞、允许匿 名访问等漏洞 由应用软件开发商开发欠缺的安全功能，例如审计 功能、登录认证功能、加密功能等2009-9-240主要内容主要内容一、安全加固一、安全加固二、成功案例二、成功案例2009-9-241 主要加固项目主要加固项目 华东电网公司华东电网公司 上海电力公司上海电力公司 浙江省电力公司（含浙江省电力公司（含9个二级单位）个二级单位）江苏省电力公司（含江苏省电力公司（含13个二级单位）个二级单位）河南省电力公司（含河南省电力公司（含17个二级单位）个二级单位）河北省电力公司河北省电力公司 山东省电力公司山东省电力公司 青岛市供电公司青岛市供电公司2009-9-242谢谢谢 谢 谢谢谢谢 大大大 大 家！家！家！家！