电力系统安全加固技术电力系统安全加固技术国网电力科学研究院国家电网公司信息网络安全实验室电话：025-83096706邮箱:yuyong@sgepri.com网址：http://www.sgepri.com2009-9-21主要内容一、安全加固二、成功案例2009-9-22加固形式加固对象加固内容自加固自加固是指电力系统业务主管部门或电力系统运行维护单位依靠自身的技术力量，对电力系统在日常维护过程中发现的脆弱性进行修补的安全加固工作。专业安全加固专业安全加固是指在信息安全风险评估或安全检查后，由信息管理部门或系统业务主管部门组织发起，开展的电力系统安全加固工作。3加固形式加固对象加固内容网络系统主机操作系统通用应用系统现有安全防护措施电力业务应用系统2009-9-24加固对象加固形式加固内容网络系统操作系统数据库系统通用应用系统安全设备业务应用系统网络设备1、帐号权限加固加强用户认证，对网络设备的管理权限进行划分和限制修改帐号存在的弱口令（包括SNMP社区串），设置网络系统的口令长度>8位禁用不需要的用户对口令进行加密存储2009-9-25加固对象加固形式加固内容网络系统操作系统数据库系统通用应用系统安全设备业务应用系统网络设备2、网络服务加固禁用httpserver，或者对httpserver进行访问控制关闭不必要的SNMP服务，若必须使用，应采用SNMPv3以上版本并启用身份验证、更改默认社区串禁用与承载业务无关的服务（例如DHCP-relay、IGMP、CDPRUN、bootp服务等）2009-9-26加固对象加固形式加固内容网络系统操作系统数据库系统通用应用系统安全设备业务应用系统网络设备3、网络访问控制加固对可管理配置网络设备的网段通过访问控制列表进行限制使用SSH等安全方式登录,禁用TELNET方式对SNMP进行ACL控制2009-9-27加固对象加固形式加固内容网络系统操作系统数据库系统通用应用系统安全设备业务应用系统网络设备4、审计策略加固为网络设备指定日志服务器合理配置日志缓冲区大小5.恶意代码防范屏蔽病毒常用的网络端口使用TCPkeepalives服务禁止IP源路由功能2009-9-28加固对象加固形式加固内容网络系统操作系统数据库系统通用应用系统安全设备业务应用系统Windows系统1、帐号权限加固合理配置应用帐号或用户自建帐号权限删除系统中多余的自建帐号修改帐号口令，确保系统帐号口令长度和复杂度满足安全要求更改系统管理员帐户停用Guest帐户2009-9-29加固对象加固形式加固内容网络系统操作系统数据库系统通用应用系统安全设备业务应用系统Windows系统2、网络服务加固在不影响业务系统正常运行情况下，停止或禁用与承载业务无关的服务屏蔽承载业务无关的网络端口2009-9-210加固对象加固形式加固内容网络系统操作系统数据库系统通用应用系统安全设备业务应用系统Windows系统3、数据访问控制加固将系统重要的文件或目录的访问权限修改为管理员完全控制、数据拥有者完全控制或配置特殊权限，避免EVERYONE完全控制将系统分区FAT32格式转换为NTFS格式2009-9-211加固对象加固形式加固内容网络系统操作系统数据库系统通用应用系统安全设备业务应用系统Windows系统4、网络访问控制加固关闭多余的远程管理方式安装远程管理服务程序的补丁或者使用安全的远程管理方式设置访问控制策略限制能够访问本机的用户或IP地址禁止匿名用户枚举SAM帐户和共享2009-9-2禁止默认共享（IPC$、C$、D$...）12加固对象加固形式加固内容网络系统操作系统数据库系统通用应用系统安全设备业务应用系统Windows系统5、口令策略加固设置口令长度，重要系统的用户口令长度>8位；一般系统用户口令长度>6位开启口令复杂性要求设置口令最短、最长存留期2009-9-213加固对象加固形式加固内容网络系统操作系统数据库系统通用应用系统安全设备业务应用系统Windows系统6、用户鉴别加固配置帐户锁定登录失败锁定次数、锁定时间禁止系统自动登录配置管理控制台超时自动锁定时间，设置屏保口令保护2009-9-214加固对象加固形式加固