4.7.6密码及口令设定要求
4.7.6.1服务器密码及口令设定要求:必须由数字、字符和特殊字符组成;密码长度不能少于8个字符;机密级计算机设置的密码长度不得少于10个字符;设置密码时应尽量避开有规律、易破译的数字或字符组合作为自己的密码。
4.7.6.2用户密码及口令设定要求:必须由数字和字符组成;密码长度不能少于8个字符;设置密码时应尽量避开有规律、易破译的数字或字符组合作为自己的密码。 4.7.7、设备及子系统的维护管理
4.7.7.1设备及子系统的安全漏洞及时进行防护或加固,主要措施包含了:关闭远程登陆端口,关闭不必要的网络服务等。
4.7.7.2充分准备各个设备及子系统的维护资料及维护工具。
4.7.7.3充分准备设备及子系统故障处理的预案以及故障恢复所需的各种备份,并经常进行预演。
4.7.7.4及时了解相关软件漏洞发布信息,及时获得补救措施或软件补丁对软件进行加固。
4.7.7.5一旦出现安全故障应该及时报告、保护现场、恢复系统。。
五 技术措施
5.1 安全分区
按照《电力监控系统安全防护规定》,将本电站的业务系统划分为生产控制大区和管理信息大区,根据业务系统的重要性和对一次系统的影响程度将生产控制大区划分为控制区(安全区I)及非控制区(安全区II)。重点保护生产控制以及直接影响电力生产(机组运行)的系统。
5.1.1 生产控制大区的安全区划分(作参考)
5.1.1.1安全区I:控制区
控制区中的业务系统或其功能模块(子系统)的典型特征为:是电力生产的重要环节,直接实现对电力一次系统的实时监控,纵向使用数据网络或专用通道,是安全防护的重点与核心。安全区I的业务主要包括:
(1)升压站监控系统; (2)AGC; (3)PMU; ....
5.1.1.2 安全区Ⅱ:非控制区
非控制区中的业务系统或其功能模块的典型特征为:是电力生产的必要环节,在线运行但不具备控制功能,使用电力调度数据网络,与控制区中的业务系统或其功能模块联系紧密。安全区Ⅱ的业务主要包括:
(1)电能量采集装置(ERTU); (2)故障录波及保护信息子站系统; (3)光功率预测;
5.1.2 管理信息大区的安全区划分
5.1.2.1 安全区Ⅲ:信息管理区的业务主要包括:
(1)停送电,检修计划。 (2)电量报表统计
5.1.2.2 安全区Ⅳ:生产管理区的业务主要包括:
(1)通过防火墙与外网连接
5.2 网络专用
安全I、II区业务采用电力调度数据网上送;安全III区业务采用通信电力调度数据网上送。
5.3 横向隔离
在生产控制大区与管理信息大区之间设置经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应接近或达到物理隔离。
生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、防火墙或者相当功能的设施,实现逻辑隔离。
本工程配置的光功率预测系统包括:光功率预测外网服务器、光功率预测内网服务器等。组成光功率预测系统的光功率预测外网服务器位于Internet外网,光功率控制系统服务器位于生产控制大区安全II区内部。配置南瑞SysKeeper-2000网络安全隔离设备(反向型)1台,位于安全II区和管理信息大区之间。配置华为防火墙1套,位于光功率预测外网服务器与Internet外网间。从外网接收的数值天气预报数据以及测风数据经过反向隔离装置传至光功率预测内网服务器,光功率预测内网服务器经过防火墙与安全I区电站监控系统实现数据传输,以保证系统跨区数据交互过程的安全性。
5.4 纵向认证
远动、PMU、AVC/AGC等实时信息系统属于安全I区内的系统,接入电力调度数据网,接入VPN-RT;故障录波及保护信息子站、电能量计量系统等属于安全Ⅱ区内的系统,接入电力调度数据网,接入VPN-NRT,在安全防护I区Ⅱ区间部署纵向加密认证装置。
电站内远动机、PMU等数据通过I区接入交换机上传至调度,因此通过二次安全防护设备纵向加密装置可以保证远动机、PMU数据等安全、加密的传输。纵向加密需要在策略上将站内远动机、PMU等IP地址和主站端IP地址上进行限制。
光功率预测、保护信息子站、电量计费系统等通过II区接入交换机上传至调度,因此通过二次安全防护设备纵向加密装置可以保证保护信息数据安全、加密的传输。纵向加密需要在策略上将厂内风功率预测、信息子站、电量计费系统地址和远端主站地址上进行限制。
5.5 安全加固
5.6.1 主机加固
5.6.1.1总则
为了保证电力调度数据网安全稳定运行,需对本电厂电力监控系统服务器进行安全加固,以保证电厂业务平稳,安全的传输。 5.6.1.2 加固对象
本电厂主要加固的对象服务器为各生产控制大区监控LINUX/UNIX服务器和管理信息大区管理信息系统LINUX/UNIX服务器。 5.6.1.3加固内容及措施
(1)停止或删除不需要的服务:C:>services.msc 打开服务面板,禁用不必要的服
务。(如:snmp服务、message服务、DHCP Client服务、DNS Client服务等。
(2)删除默认网络共享:手工删除默认共享: 创建autosharedel.bat 文件,键入如下内容: net share c$ /del net share d$ /del net share e$ /del ?? net share ipc$ /del net share admin$ /del 创建此文件的快捷方式,并将其拖放到开始->程序->启动栏中,这样每次重启系统后,系统会自动删除默认共享。
(3)配置系统审核策略:在控制面板-管理工具-本地安全策略-本地策略中指定需要的审核策略。
(4)设置较强的密码策略:建议进行下列更改,启用“密码必须符合复杂性要求” 将“密码长度最小值”设置为8个字符 将“密码最长保留期”设置为60天 将“密码最短存留期”设置为0天 将“强制密码历史”设置为2个记住的密码。 5.6.2网络设备安全加固
(1) 路由器安全加固内容
1)不得使用初始密码,密码复杂满足强度要求,密码必须密文显示,限制登陆次数及时间
2)限制远程登陆地址
3)SNMP协议使用V2及以上版本,不得使用默认的读写团体字,限制SNMP服务器地址
4)只许使用SSH作为远程登录方式 5)关闭不使用的端口
6)关闭不需要的服务,如HTTP、Telnet、Rlogin、FTP 7)必须配置三个用户,普通、审计、超级 8)路由器做ARP绑定
9)NTP对时,配置syslog服务器地址 (2)交换机安全加固内容
1)不得使用初始密码,密码复杂满足强度要求,密码必须密文显示,限制登陆次数及时间
2)限制登陆次数及时间
3)只许使用SSH作为远程登录方式
4)关闭不需要的服务,如HTTP、Telnet、Rlogin、FTP 5)关闭不使用的端口
6)必须配置三个用户,普通、审计、超级 7)配置NTP和syslog服务器地址 (3)防火墙安全加固
1)不得使用初始密码、密码复杂满足强度要求、尽量限制登陆次数及时间 2)不得出现大明通策略
3)策略必须细化到IP、协议、端口 4)限制远程登陆地址 5)防火墙启用对时功能
6)防火墙启用两个用户,配置用户和审计用户 7)关闭不使用的端口 (4)纵向加密安全加固 1)隧道必须正确配置且建立正常 2)不得出现大明通策略
3)策略必须细化到IP、协议、端口 4)业务通讯必须使用密文 5)不得使用默认初始密码;
八 软硬件设备清单
序名 称 号 一、接入调度数据网 路由器 1 交换机 2 型式、规格、性能参数 华为 AR2240(2E1接口模块,接入软件,冗余电源) 华为 S2700(24个10/100Base-TX端口,2个千兆) 单位 数生产厂量 家 备注 台 1 华为 台 4 华为