合作机构:阿里云 / 腾讯云 / 亚马逊云 / DreamHost / NameSilo / INWX / GODADDY / 百度统计
一、背景
1.1现状
随着工业4.0及两化融合的不断深入,传统的工业控制系统网络安全问题已成为企业及国家安全面临的严峻挑战,受到越来越多的关注。
工业控制系统由于使用环境封闭,大多只重视系统的功能实现,对安全的关注相对缺乏,处于“先天不足、后天失养、未来堪忧”的状态。很多工业控制系统是基于Windows的,且工业控制系统的协议和设计,在研发时只偏重于功能的实时性和可靠性,对安全攻击缺乏前期设计和有效抵御方法,因此,针对工业控制系统的病毒、木马等攻击行为大幅度增长,结果导致整体控制系统的故障,甚至恶性安全事故,对人员、设备和环境造成严重的后果。另外,工业控制系统由于担心系统兼容性问题,通常不升级补丁,甚至有的工作站供应商明确要求用户不得自行升级系统,系统长期运行后会积累大量的安全漏洞,再加上运维过程中缺乏科学管理和技术防护手段,如U盘滥用、文件共享等,使得工控系统在面对网络安全攻击时极其脆弱,给安全生产带来极大隐患。
1.2 工业环境安全要求
工业主机需要与工业控制系统进行实时数据交互,以保证工业控制系统能够稳定、高效运转,工业主机的安全关乎整个工业控制系统的安全等级。同时,工业主机作为工业控制系统的HMI接口,是工业控制系统与外界进行交互的重要途径,因此工业主机安全在工控信息安全的建设工作中事很重要的一个环节。
在《工业控制系统信息安全防护指南》中:
1、安全软件选择与管理
(一)在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,只允许经过工业企业自身授权和安全评估的软件运行;
2、配置和补丁管理
(一)做好工业控制网络、工业主机和工业控制设备的安全配置,建立工业控制系统配置清单,定期进行配置审计;
3、物理和环境安全防护
(二)拆除或封闭工业主机上不必要的USB、光驱、无线等接口。若确需使用,通过主机外设安全管理技术手段实施严格访问控制。
同时,在《国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》(国家能源局36号文)的《附件1电力监控系统安全防护总体方案》中(2.1.4信息安全等级保护划分)明确了生产控制大区内各系统与《信息安全技术网络安全等级保护测评要求》中各等级的对应的关系。
下面我们就简单介绍等保中关于Windows系统安全加固部分的一些知识。
1.3 为什么需要安全加固
为了维持工控操作系统系统安全,在系统生命周期各个阶段加强和落实安全要求, 需要有一种方式进行风险评估、控制和管理的体系。 在国内,最通用的做法是基于Windows操作系统的安全机制,按照规定的安全基线要求进行系统的安全加固。安全基线, 即最小的安全标准, 是借用“基线”的概念。字典上对“基线”的解释是:一种在测量、计算或定位中的基本参照。如海岸基线,是水位到达的水位线。类比于“木桶理论”,可以认为安全基线是安全木桶的最短板,或者说,是最低的安全要求。系统安全加固可以根据行业和国家的要求设置不同的安全策略。
二、手动的安全加固
本章从Windows系统账户策略、系统审核策略、网络安全策略和其他系统安全策略四个方面说明利用Windows操作系统实现系统安全加固。
2.1账户策略
2.1.1开启密码策略
1)点击“开始-运行”,在运行输入框中输入secpol.msc命令,打开本地安全设置。
2)以此点“安全设置-账户策略-密码策略”。
· 密码必须符合复杂性要求”选择“已启动。
密码至少包含以下四种类别的字符中的三种:
英语大写字母 A, B, C, … Z
英语小写字母 a, b, c, … z
西方阿拉伯数字 0, 1, 2, … 9
非字母数字字符,如标点符号,@, #, $, %, &, *等
· 最短密码长度 8个字符。
· 密码最长存留期”设置为“30天。
· 强制密码历史”设置为“记住5个密码。
2.1.2开启帐户锁定策略
1)点击“开始-运行”,在运行输入框中输入secpol.msc命令,打开本地安全设置
2)以此点“安全设置-账户策略-账户锁定策略”
2.1.3关闭Guest保护账号
可以将guest帐号关闭、停用,以防止通过guest访问系统。
1)点击“开始-运行”,在运行窗口中输入compmgmt.msc命令,打开计算机管理窗口。
2)以此展开“系统工具-本地用户和组”,确保Guest处于被停用状态。
2.1.4删除不必要的账号
帐户很多是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。去掉所有的测试帐户、共享帐号和普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不使用的帐户。
2.1.5建陷阱账号
陷阱帐号是创建一个名为“admin”的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。 这样可以让那些企图入侵者忙上一段时间了,并且可以借此发现它们的入侵企图。可以将该用户隶属的组修改成Guests组。密码为大于32位的数字+字符+符号密码。建立的陷阱帐号。
2.1.6管理员账号改名
Windows 主机中的Administrator帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。 不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:guest-one。具体操作的时候只要选中帐户名改名就可以了。
2.1.7设置安全的密码
好的密码对于一个网络是非常重要的,但是也是最容易被忽略的。这里给好密码下了个定义:安全期内无法破解出来的密码就是好密码,也就是说,如果得到了密码文档,必须花31天或者更长的时间才能破解出来,密码策略是30天必须改密码。一些网络管理员创建帐号的时候往往用公司名,计算机名,或者一些别的一猜就到的字符(如admin、Administrator)做用户名,然后又把这些帐户的密码设置得比较简单,比如:“admin”、“12345678”、“123456”或者和用户名相同的密码等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码,还要注意经常更改密码。
2.2 系统审核策略
1)点击“开始-运行”,在运行输入框中输入secpol.msc命令,打开本地安全设置
2)以此点“安全设置-本地策略-审核策略”,从图中可以看到,8个审核策略都没有打开。最好将这些信息审核信息都打开。以便于以后出现安全事件的时候进行查找。双击要打开的审核策略选项。
2.3 网络安全策略
2.3.1关闭不必要的端口
关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被入侵的机会就会少一些,但是不可以认为高枕无忧了。可以在操作系统里来限制端口的访问,如图所示为从操作系统TCP/IP里限制端口,只开放2个端口。WinXP和Win7版本的配置有些不同,以下以Win XP配置为例说明配置过程。
1)右击网上邻居,选择属性。
2)右击本地连接,选择属性。
3)选择 Internet协议(TCP/IP),再选择属性。
4)弹出来的界面,选择高级。
5)在高级TCP/IP属性里边选择选项。
6)就可以看到TCP/IP筛选,点击属性即可进行设置了。
7)在里边就可以看到启动TCP/IP筛选的功能了,打勾则表示启动;不勾选则表示不启动。
2.3.2关闭系统默认共享
系统的共享为用户带来了众多麻烦,经常会有病毒通过共享来进入电脑。Windows 2000/XP/2003版本的操作系统提供了默认共享功能,这些默认的共享都有“$”标志,意为隐含的,包括所有的逻辑盘(C$,D$,E$……)和系统目录Winnt或Windows(admin$)。这些共享,可以在DOS提示符下输入命令Net Share 查看。因为操作系统的C盘、D盘等全是共享的,这就给黑客的入侵带来了很大的方便。“震荡波”病毒的传播方式之一就是扫描局域网内所有带共享的主机,然后将病毒上传到上面。
1)点击“开始-运行”,在运行窗口中输入compmgmt.msc命令,打开计算机管理窗口。
2)以此展开“系统工具-共享文件夹-共享”,确保C$、D$、E$等被停用状态。
2.3.3远程访问控制
1)点击“开始-运行”,在运行输入框中输入secpol.msc打开 本地安全设置。
2)依次点开“安全设置-本地策略-安全选项”,检查右边的下列项。
· 网络访问: 不允许 SAM 帐户的匿名枚举:已启用
· 网络访问: 不允许 SAM 帐户和共享的匿名枚举:已启用
2.4其他系统安全策略
2.4.1关闭不必要的服务
关闭windows上不需要的服务,减小风险,关闭的方法:
1)点击“开始-运行”,在运行输入框处输入services.msc命令,打开服务管理器。
2)将不需要使用的服务关闭,并设置为手动。
2.4.2关闭windows自动播放
1)点击“开始-运行”,在运行输入框处输入gpedit.msc命令,打开组策略编辑器。
2)在的出现“组策略”窗口中依次选择“计算机配置-管理模板-系统”,右边找到 “关闭自动播放”,双击,查看是否设置“已启用”。
2.4.3数据执行保护
1)右键点击我的电脑,点击属性,打开“系统属性”窗口。
2)点击“高级”属性选项卡
3)点击“性能”中的设置按钮打开“性能选项”窗口
4)点击 “数据执行保护”选项卡,设置为“ 仅为基本 Windows 操作系统程序和服务启用DEP”,防止在受保护内存位置运行有害代码。
三、智能安全加固
由于对Windows系统进行加固包含大量的加固项,纯手工的操作将带来极大的工作量,并且容易因为人为失误导致操作结果的不正确,甚至可能因为在重要系统上的误操作导致目标系统的配置被修改等。 因此对于企业来说建立自动化、标准化的系统安全加固系统, 是其整体安全体系建设中的重要一环。
很多安全厂商都提供了Windows安全加固类产品,以下以威努特工控主机卫士产品为例,介绍其实现系统安全加固的完整配置过程。威努特工控主机卫士除支持完整的程序保护和USB保护功能之外还提供完善的系统安全加固功能,用户可通过配置账户策略、审核策略、安全选项策略、IP安全策略、系统日志策略快速实现以上大部分功能。
3.1账户策略
账户策略:对账户密码的长度、复杂度、使用期限、账户锁定策略、Guest账户控制等进行设置。
3.2审核策略
审核策略:对系统登录事件、账户登录事件、对象访问、策略更改、特权使用、系统事件等进行审核设置
审核方式:成功时审核、失败时审核、成功和失败都审核。
3.3安全选项策略
安全选择策略:可开启或禁用交互式登录、网络访问、关闭自动播放、关闭默认共享、关机时清空虚拟内存页面文件。
3.4IP安全策略
IP安全策略:可开启SYN攻击保护;可配置Windows防火墙,添加配置控制程序连接的规则,添加配置控制TCP或UDP端口连接的规则。
3.5系统日志
系统日志:可获取操作系统日志,并可对操作系统日志进行审计日志进行存储管理。
四、总结
当前大多数的安全加固产品可与现有的安全管理平台进行无缝整合,可作为子模块完成基线检查和系统加固的工作,也可通过安全管理平台下发安全加固策略,驱动安全管理平台共同完成安全运营管理工作。同时主机加固系统检查结果可以返回安全管理平台,安全管理平台可以针对不同系统和规范指定不同的安全基线并向安全加固产品下发策略,为安全管理工作提供更有利的过程管控信息。但是,大多数产品的解决方案还未实现在企业的安全态势分析基础上自动完成安全加固策略调整。
TOP