并网前测评——系统本体安全

写一下并网中主机安全部分吧

系统本体安全

服务器操作系统检查
15.计算机、存储设备、路由器、交换机等关键设备是否存在经过国家有关部门的安全检测，是否存在安全隐患或恶意芯片；

检查项25：

（1）检查现场工控设备、网络设备、服务器是否存在国家披露的安全漏洞。
一般都是符合的
检查方法：人工查看。
现场记录工控设备、服务器、网络设备等硬件的型号，参照国家信息安全漏洞库进行比对，确认是否存在安全隐患。
国家信息安全漏洞库：http://www.cnnvd.org.cn/index.html
CNVD工控系统行业漏洞库：http://ics.cnvd.org.cn/?max=20&offset=100
判定条件：现场的工控设备、网络设备、服务器等硬件存在任何高危漏洞则判定为不符合。
16.空闲网络端口是否已关闭；生产控制大区是否采取禁止USB、光驱等移动介质接入措施；

检查项26：

（1）检查调度数据网接入设备是否关闭多余的网络接口。
检查方法：人工查看。
现场查看调度数据网接入交换机和路由器是否将无用的网络接口shutdown。
判定条件：存在多余的网络接口未被shutdown则判定为不符合。

检查项27：

（1）检查主机是否有额外的路由或默认路由设置。
默认路由：目的地ip和子网掩码改成0.0.0.0和 0.0.0.0
检查方法：人工查看。
（1）现场查看所有操作系统内是否配置default默认路由，查看使用netstat –r命令。
判定条件：任意主机操作系统内存在默认路由则判定为不符合（气象外网服务器若可设定具体的下一跳，也不应存在默认路由）。

检查项28：

（1）检查主机的USB端口是否已经封闭（除必须使用的鼠标键盘、USB KEY端口外）；
（2）检查主机的光驱是否已经封闭。
检查方法：人工查看、现场人员访谈。
现场查看所有主机USB端口是否已经关闭，检查时可使用格式化后的U盘进行接入测试，并使用命令df -h查看操作系统是否识别该U盘；现场查看所有主机是否携带光驱，携带时应采取物理拆除措施。
linux服务器的文件系统的磁盘空间占用情况
判定条件：主机未对USB端口进行封闭（除系统维护/调试、数据拷贝、主站Ukey、鼠标/键盘使用外，其余情况均应进行USB端口封闭）则判定为不符合，主机存在光驱，且开启自动挂载服务autofs则判定为不符合。
17.发电厂、变电站、换流站的实时监控系统，安全自动装置、控制保护设备等是否采用国家有关部门检测认证的安全操作系统；

检查项29：

（1）现场检查主站使用的操作系统是否为非安全操作系统。
检查方法：人工查看、现场人员访谈。
现场查看后台监控主机的操作系统是否为国产操作系统（如麒麟、凝思等）。
判定条件：后台监控主机使用非安全操作系统（windows/linux/aix等）则判定为不符合。

检查项30：

（1）现场核查故障录波系统安全自动装置、控制保护设备等电力监控系统是否存在使用非安全操作系统。
检查方法：人工查看、现场人员访谈。
现场查看故障录波装置、保护信息子站等是否为国产操作系统（如麒麟、凝思等）。
判定条件：故障录波装置和保护信息子站存在使用非安全操作系统（windows/linux/aix等）的情况则判定为不符合；站内无故障录波装置、保护信息子站时判定为不适用；当故障录波装置和保护信息子站使用嵌入式操作系统时可判定为符合。
18.生产控制大区是否按要求关闭了通用网络服务；

检查项31：

（1）检查操作系统是否开启了E-Mail、Web、FTP等不必要的通用网络服务。
检查方法：人工查看。
现场查看生产控制大区内所有主机的服务开启状况，使用netstat –an根据端口开启情况判断是否开启http（80、8080）、ftp（20、21）、smtp（25）、pop3（110）、telnet（23）等服务。
“-a"选项意在显示所有连接，当不附加”-n"选项时，它显示的是本地计算机的netbios名字+端口号
LISTEN：侦听来自远方的TCP端口的连接请求
SYN-SENT：再发送连接请求后等待匹配的连接请求
SYN-RECEIVED：再收到和发送一个连接请求后等待对方对连接请求的确认
ESTABLISHED：代表一个打开的连接
FIN-WAIT-1：等待远程TCP连接中断请求，或先前的连接中断请求的确认
FIN-WAIT-2：从远程TCP等待连接中断请求
CLOSE-WAIT：等待从本地用户发来的连接中断请求
CLOSING：等待远程TCP对连接中断的确认
LAST-ACK：等待原来的发向远程TCP的连接中断请求的确认
TIME-WAIT：等待足够的时间以确保远程TCP接收到连接中断请求的确认
CLOSED：没有任何连接状态
判定条件：生产控制大区内主机存在以上通用服务（非必须使用）时则判定为不符合。
19.检查操作系统是否存在恶意后门，是否采取防止恶意代码的安全措施；

检查项32：

（1）检查主站操作系统是否具有防恶意代码软件功能。
一般不符合
（2）病毒特征库是否通过离线方式定期更新。
检查方法：人工查看、现场人员访谈。
现场查看站内主机是否安装杀毒软件，若已经安装询问更新方式和更新频率（保证一个月内）。
判定条件：存在未安装杀毒软件的主机则判定为不符合。

检查项33：

（1）检查主机操作系统是否及时更新安全补丁；
linux
#rpm -qa grep patch
RPM是RedHat Package Manger（RedHat软件管理工具),是一种用于打包及安装工具
-qa代表query，a代表all
grep(global search rgular expression(RE) and print out the line):是一种强大的文本搜索工具
windows
appwiz.cpl
点击左侧列表中的“查看已安装的更新”，打开“已安装更新”界面，查看右侧列表中的补丁更新情况
（2）检查主机操作系统是否存在与业务无关的用户；
Linux
1)以有相应权限的身份登录进入Linux,使用more（cat）查看/etc/shadow文件，查看文件中的用户，是否存在adm、 lp. sync、 shutdown、 halt、mail、 uucp、operator、games、gopher ftp等默认的、无用的用户。
1)应核查是否不存在多余或过期账户，如查看games、news、 ftp、 1p等系统默认账户是否被禁用，特权账号halt、shutdown是否被删除
1)禁用或删除不需要的系统默认账户，如games、news、 ftp、 1p、halt、shutdown等
删除用户（userdel命令）
语法：userdel [-r] [要删除的用户的名称]
例如：[root@localhost ~]userdel -r aillo
Windows
在命令行输入“lusmrgr.msc",弹出“本地用户和组”窗口，查看“本地用户和组一>用户”中的相关项目，查看右侧用户列表中的用户,询问各账户的用途，确认账户是否属于多余的、 过期的账户或共享账户名
（3）检查主机操作系统是否开启日志审计功能。
检查方法：人工查看、现场人员访谈。
现场查看站内主机是否开启及时更新系统补丁，是否存在测试用户、默认用户，是否开启auditd和syslogd日志审计进程。
判定条件：以上任意一条要求不满足均判定为不符合。
linux
service auditd status
windows
1)查看系统是否开启了安全审计功能在命令行输入"secpol.msc”,弹出“本地安全策略”窗口，查看“安全设置->本地策略->审计策略”中的相关项目。右侧的详细信息窗格即显示审计策略的设置情况。
2)询问并查看是否有第三方审计工具或系统
20.核查是否存在供应商缺省帐户；

检查项34：

（1）检查主机操作系统是否按照系统管理、应用管理、普通操作的权限划分原则进行帐户分配。
检查方法：人工查看、现场人员访谈。
现场查看所有主机操作系统的用户配置情况，至少应保证内部配置系统管理用户和应用管理用户。
判定条件：操作系统仅存在root或administrator用户时判定为不符合。

检查项35：

（1）检查主机操作系统是否使用供应商缺省帐户进行登录和管理；
（2）检查主机操作系统默认帐户是否修改管理口令。
检查方法：人工查看、现场人员访谈。
现场查看所有主机操作系统，是否使用系统自带的默认帐户如administrator、root进行管理，若使用是否修改了系统安装时的初始管理口令。
判定条件：使用默认帐户root或administrator且未修改初始管理口令时则判定为不符合。
21.检查是否存在弱口令；

检查项36：

（1）检查主机操作系统是否存在弱口令。
检查方法：人工查看、现场人员访谈。
现场查看所有主机的操作系统是否使用弱口令，检查时应覆盖所有管理用户。
判定条件：操作系统内存在弱口令则判定为不符合。
22．检查用户帐号密码管理策略；

检查项37：

（1）检查主机操作系统是否配置密码策略（包括密码更换周期、密码最小长度、密码组合元素种类等）；
（2）检查主机操作系统是否配置登录失败处理策略（包括登录尝试次数及锁定时间等）。
检查方法：人工查看、现场人员访谈。
现场查看所有主机操作系统的密码策略和登录失败处理策略的配置情况。
Windows操作系统查看本地策略-密码策略/帐户锁定策略。
Linux操作系统查看/etc/pam.d/system-auth文件（全局配置），或/etc/pam.d/sshd（远程）和/etc/pam.d/login（本地），密码更换周期再查看/etc/login.defs文件。
linux若未找到以上配置文件，查找/etc/pam.d/文件夹下的common-auth和common-passwd文件。
组件
auth 组件：认证接口，要求并验证密码
account组件：检测是否允许访问。检测账户是否过期或者0在末端时间内能否登陆。
password组件：设置并验证密码
session组件：配置和管理用户sesison。
模块
required:该模块必须success才能进行继续。即使失败用户也不会立刻获知，直到所有相关模块完成。
requisite：该模块必须success才能使认证继续进行。
suffifient:如果失败则忽略。
optinal:忽略结果，不管是否失败。