咨询电话:13675182723

行业知识

电力监控系统二次安全防护改造配置方案

 安全审计类问题包括:没有按照规范要求配置专用审计系统,系统或设备未开启日志功能和进程,不能对审计记录进行分析并生成审计报表,未采取日志防覆盖措施等。根据自查和评测报告,该监控系统在安全审计方面主要存在问题主要表现在:(1)总体安全方面,生产控制大区和管理信息大区均没有部署专用安全审计系统,未对计算机、网络及安全设备日志进行集中采集和分析;(2)主机安全方面,服务器未开启审计进程和日志功能;(3)网络安全方面,装置不能对审计记录进行分析,不能生成审计报表。具体包括:服务器、交换机、防火墙、隔离装置等;未对审计记录进行定期存档备份,未采取日志防覆盖措施,未部署日志服务器对审计记录进行保护。根据等级保护要求及相关规程要求,建议针对安全审计类问题采取如下措施:(1)总体安全及网络安全方面:建议在生产控制大区和管理信息大区分别部署一套综合监管平台,该平台采用物理旁路模式部署,不需改变现有网络结构,只需保证路由可达即可,实现对审计数据源(主机/服务器类、网络类设备和安全类设备等)的日志信息统一收集、存储、分析和审计,以满足信息系统安全等级保护中关于审计记录的采集、存储、保护、分析和生成报表等要求。(2)主机和数据库安全方面:建议由系统原厂商提供安全配置加固服务,包括核实并开启所有主机操作系统的审计功能,如对于操作系统为AIX的服务器,可用#auditstart命令开启审计服务以及全部业务应用的日志功能(如运维自动化系统的PCS9000、数据库Oracle、WEB应用等),审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统重要安全相关事件,至少包括用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作等。

资源控制类问题包括:主机或设备未设定限制终端登录条件、未设定登录或操作超时锁定和退出、未设定用户占用资源限额、未限制会话连接数、未对剩余信息进行保护等。该系统在资源控制类方面存在的问题以及可能存在的风险如表1所示。

20191124184815.jpg

根据等级保护要求及相关规程要求,资源控制类问题通过两个主要措施来解决:一是部署第三方主机加固软件;二是现场安全加固服务或系统软件升级服务,两者相互结合。对于限制终端登陆方面的问题,有两种解决措施:一是通过主机操作系统自带防火墙的访问限制功能实现;二是部署主机加固软件,利用主机加固软件提供的登录服务控制功能,管理员可设置系统用户允许登陆的终端IP地址,该用户只有使用策略中运行的终端才可以登录到系统中。对于设置操作超时锁定的问题,可通过现场加固服务解决,如对于采用windows操作系统的工作站可设置系统屏保时间、并勾选恢复时需要使用密码选项;对于服务器可采用设置空闲等待时间的方式自动断开终端链接;对于限制最大并发会话连接数的问题,建议由系统原厂商对应用系统(如III区WEB应用)进行安全加固服务,开启限制系统或单个用户最大并发会话连接数的功能等。

访问控制类问题包括:系统或设备用户配置不规范,重要资源未设置敏感标记,不支持强制访问控制,存在共享路径,开启通用网络服务,访问策略宽松等。该系统在访问控制类方面存在的问题以及可能存在的风险如表2所示。

20191124184954.jpg

对于服务器账户管理策略设置不当、共享路径未删除问题,可由系统原厂商或第三方专业公司提供现场安全加固服务措施解决,如设置账户权限表、重命名系统默认账户、清理已离职员工的账户等。对于重要服务器,可通过部署主机加固软件强化对账户的认证管理;对于未设置敏感标记问题,由于主机操作系统无相应的安全策略可供利用,建议在系统重要服务器上部署主机加固软件,利用其结合用户权限的文件访问控制功能提升主机操作系统的安全等级;对于服务器开启了FTP服务的问题,可以通过现场安全加固服务措施解决,通过服务器操作系统的安全策略配置关闭生产控制大区内服务器上的FTP、Rlogin、Telnet等通用网络服务;对于重要服务器,可通过部署主机加固软件强化登录服务控制等。

入侵防范类问题包括:系统或设备未按规定配置入侵检测设备,未能检测入侵行为并记录入侵源IP,攻击类型,攻击目的和攻击事件,不能对入侵行为提供报警等。该监控系统在入侵防范方面存在的问题要表现在没有在管理信息大区部署入侵检测防范设备,相关安全设备的缺失将导致系统管理员无法对管理信息系统存在的入侵或违规行为做出及时反应及处理。根据等级保护要求及相关规程要求,电力监控系统应在生产控制大区和管理信息大区横向、纵向网络边界部署入侵检测系统,实时监控关键业务系统和网络边界的关键路径信息,实现安全事件的可发现、可追踪、可审计。因此,建议在管理信息大区新增部署一套入侵检测装置。

恶意代码防范问题包括:系统或设备未按规定配置防恶意代码软件或防护设备,未及时更新恶意代码库等。该监控系统在恶意代码防范方面存在的问题主要有两类:(1)生产控制大区和管理信息大区未分别部署恶意代码防范措施;监控系统服务器主机上未安装实时检测与查杀恶意代码的软件产品;(2)未安装恶意代码查杀软件或者未及时更新病毒库,可能导致无法发现系统感染的病毒,尤其是新型病毒,病毒一旦触发后将破坏数据或删除文件。

根据等级保护要求及相关规程要求,为解决上述恶意代码防范问题,可通过部署多层次病毒防御系统来解决。多层次病毒防御系统包括网络病毒防御系统和终端病毒防御两大部分。网络病毒防御系统可采用部署防病毒网关来主动抵御外来网络的病毒威胁。通过网关可疑信息过滤、端口屏蔽、共享控制、垃圾邮件阻止等手段,有效阻断病毒的主要传播路径。终端病毒防御系统采用终端部署杀毒软件将病毒检测、数据保护、集中式管理的功能结合起来,有效防范病毒利用系统漏洞、端口的入侵和传播,防止病毒大面积爆发和感染,并且能及时隔离或清除侵入系统的病毒,修复系统。

为了解决上述问题,需要在安全区I、安全区II和安全III区纵向网络边界各部署一台防病毒网关设备,采用旁路代理模式接入各自前置交换机。同时,在生产控制大区和管理信息大区各部署一套终端病毒防御系统。

身份鉴别类问题包括:系统或设备未按规定设置两种或以上组合的身份鉴别技术,不支持登录失败处理,远程管理未加密,口令设置不合理及未定期更换,未关闭闲置端口等。该系统存在的身份鉴别类问题主要是生产控制大区服务器主机、网络设备、应用系统未采用两种或两种以上组合的身份鉴别技术和口令复杂度及未定期更换问题。针对该系统的身份鉴别类问题,主要通过新建电力调度数字证书系统和新增运维堡垒机等措施解决。

例如,对于电力系统重要服务器及应用系统,一般采用调度数字证书作为关键应用、关键用户和关键设备的鉴别技术,证书的载体为具有数字签名/验证、数据加密/解密等功能的密码钥匙(USBKey);对于网络设备,一般可采用现场运维审计系统(即堡垒机),利用其支持的本地认证或AD域认证等方式提供身份鉴别手段。对于口令复杂度及未定期更换问题,有两种措施:一是通过现场服务更改口令长度及复杂度,并制定运维管理制度对其定期更换;二是可采用堡垒机,一般堡垒机支持对设备账号的密码维护托管功能,利用其自动改密功能可实现高强度密码生成、密码定期修改等功能。

由于后一种措施可简化运维工作、便于管理,因此建议采取堡垒机方案。对于安防改造方案中新增的设备,按照“安全分区”原则,分别安装在各安全区的设备屏柜内。本次改造共新增三面屏柜,分别安装安全I区、安全II区和安全III区的安防设备,每面屏柜需接入双电源。

产品中心
南瑞
科东
卫士通
兴唐
珠海鸿瑞
东方京海
二次安防
纵向加密装置
南瑞纵向加密装置
科东纵向加密装置
卫士通纵向加密装置
兴唐纵向加密装置
隔离装置
南瑞正向隔离装置
南瑞反向隔离装置
科东正向型隔离装置
科东反向隔离装置
珠海鸿瑞正向隔离
新闻资讯
公司新闻
行业资讯
市场动态
关于我们
联系我们
在线反馈
网站地图
百度地图

版权所有 2015 纵向加密装置:www.gdnari.com

客户服务热线

13675182723

在线客服