一、电厂主机加固应用背景

随着大数据智能应用的广泛深入，信息安全问题日益引起人们的高度重视。目前常见的网络安全防范措施主要是采用防火墙、入侵检测系统、防病毒、物理隔离、加密等安全产品。然而网络安全是一项系统的工程，上述产品只能针对某一方面，解决部分安全问题。如今，黑客完全有可能透过防火墙将黑客工具装入网络发动内部进攻。许多黑客也综合采用多种手段来攻击，如果只解决某一方面的安全问题，不能起到真正的安全，所以必需采用系统的解决方法。

为了保障电力监控系统的安全，防范黑客及恶意代码等对电力监控系统的攻击及侵害，以及由此造成的电力设备事故或电力安全事故，针对于电力系统中生产控制大区和信息管理大区中业务系统的主机安全要求，特推出国基华电主机安全加固系统V3.0电厂应用方案。

二、主机加固电厂应用参考政策要求

《中华人民共和国网络安全法》

《关于加强工业控制系统信息安全管理的通知》（工信部〔2011〕451号）

《国务院关于深化制造业与互联网融合发展的指导意见》（国发〔2016〕28号）

《电力监控系统安全防护总体方案》等安全防护方案和评估规范(国能安全〔2015〕36号)

《中华人民共和国计算机信息系统安全保护条例》（国务院令第147号）

《电力监控系统安全防护规定》（国家发展改革委第14号令）

《电力二次系统安全防护规定》（电监信息〔2007〕44号）

《电力行业网络与信息安全管理办法》（国能安全〔2014〕317号）

《电力行业信息安全等级保护管理办法》（国能安全〔2014〕318号）

《国家能源局综合司关于开展电力工控PLC设备信息安全隐患排查及漏洞整改的通知》（国能综安全〔2013〕387号）

GB17859-1999《计算机信息系统安全保护等级划分准则》

GB/T22240-2008《信息安全技术信息系统安全保护等级定级指南》

GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》

GB/T20270-2006《信息安全技术网络基础安全技术要求》

GB/T20271-2006《信息安全技术信息系统通用安全技术要求》

GB/T20272-2006《信息安全技术操作系统安全技术要求》

GB/T20273-2006《信息安全技术数据库管理系统通用安全技术要求》

GA/T671-2006《信息安全技术终端计算机系统安全等级技术要求》

GA/T709-2007《信息安全技术信息系统安全等级保护基本模型》

GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求ISO/IEC27001信息系统安全管理体系标准》

《电力行业信息系统安全等级保护基本要求》（电监信息〔2012〕62号）

在《电力监控系统安全防护总体方案》中，主机加固要求：

生产控制大区主机操作系统应当进行安全的加固，加固方式包括：安全配置、安全补丁、采用专用软件强化操作系统访问控制能力、机器配置安全的应用程序、关键控制系统软件升级、补丁安全前要请专业技术机构进行安全评估和验证。

三、国基华电主机加固产品简介

1、产品概述

国基华电主机安全加固系统V3.0，是可针对操作员站、工程师站、关键数据应用服务器等现场主机进行安全加固的软件产品。产品颠覆了传统防病毒软件的“黑名单”思想，采用与其相反的轻量级“白名单”机制，可以有效阻止包括震网病毒、Flame、Havex、BlackEnergy等在内的恶意程序或代码在主机上的感染、执行和扩散；同时，主机安全防护系统还可以通过对底层驱动的接管，对主机外设端口进行管控，避免电力监控系统因移动存储介质的随意使用感染恶意代码，或引起关键信息的扩散。通过安装在服务器的安全内核保护服务器，不用更改操作系统就可以安装，操作方便宜于系统管理和安全管理，对核心服务器操作系统提供一个安全保护层。通过创建白名单、截取系统调用实现对文件系统的访问控制，查杀恶意代码，对重要进程加强保护，以提升加固操作系统安全性。它具有完整的用户认证，三权分立、访问控制及审计的功能，采用集中式管理，克服了分布式系统在管理上的许多问题。

国基华电主机安全加固系统V3.0是一个支持跨平台的访问控制软件，它支持Solaris、Compaq Tru64以及Linux和Windows NT/XP/Windows 2000/Windows 2003等多种操作系统。可对 UXIN类和WINDOWS类各种操作系统进行统一管理，为管理员提供方便，可以保障服务器安全地提供持续的客户服务。

2、产品主要功能

1) 建立主机白名单库

国基华电主机安全加固系统V3.0可通过自动扫描本地磁盘所有的可执行文件，对每个文件生成数字签名，之后根据所有PE文件的数字签名创建白名单数据库，也可通过软件安装跟踪、软件升级跟踪、自定义添加等手段生成工作站应用、脚本的白名单，或者通过自动从客户端导入的方式生成白名单库。

2）三权分立

为了对系统资源进行安全、合理控制，管理员被定义为三类：系统管理员、安全管理员和审计管理员，三类管理员之间相互独立、相互监督、相互制约，每类管理员各司其职，共同保障服务器系统的安全，从而实现三权分立。

3) 阻止恶意程序的执行与扩散

国基华电主机加固可以识别、阻止任何白名单外的程序运行，对通过网络、U盘等传入系统的病毒、木马、恶意程序具有阻止运行、并分析识别阻断恶意程序传送，最大限度保障工程师站、操作员站以及服务器等重要设备安全稳定运行。

4）程序自身保护功能

作为一个安全程序，首先需要作好自身的安全，以防被黑客入侵时删除，失去应的安全保护的功能。通过内核密封(Kernel Sealing)，可防止内核模块的Loading/Uploading阻断恶意的对内核的攻击；通过隐藏自身的安全模块(Kernel Stealth)，这尽可能避免了由于安全产品暴露所导致的黑客攻击，来降低安全风险，使非法者不知有此程序在运行中；通过对安装程序的目录及文件的自动保护，来防止删除安全程序，以保持提供持续的安全功能。

5) 敏感标记及强制访问控制

根据等级保护《GB/T 20272-2006信息安全技术-操作系统安全技术要求》规定，通过对主体和客体进行标记，主体不能随意更改权限，在很大程度上使非法访问受到限制，增加了访问控制的力度。

强访问控制首先对主体(用户)和客体（文件）进行安全级别定义，然后对不同的安全级别的主客体制定读写的基本访问控制策略。这种访问控制是基于BLP模型的，基本安全策略是“上读下写”，保证了数据流向中的所有数据只能按照安全级别从低到高的流向流动，从而保证了敏感数据不泄露。

6) 进程保护

国基华电主机加固可从以下几个方面对工作站、服务器等设备进行安全加固，同时管理员可以通过选择开启保护系统关键进程功能防止csrss.exe、lsass.exe、services.exe、smss.exe、svchost.exe、winlogon.exe进程被杀死。管理员还可以通过添加保护进程来保护其他需要保护的进程。

7） 基线管理

可针对工作站、服务器等设备进行基线配置管理，包括账户策略、审核策略、安全选项、IP安全、进程审计、系统日志等。通过开启密码复杂度、强制密码历史、关闭guest账户、开启系统和账户审核、关闭默认共享、开启SYN攻击防护、进行进程审计等措施最大限度保护工作站、服务器等设备的安全。

8） 移动存储介质管理

安全U盘保障数据交换的安全，能够根据需求灵活控制安全U盘和普通U盘的“禁用、只读、可读写”权限。只有经过认证的特定USB设备才可以在特定的主机上运行，可配置禁止USB存储设备自动执行，防止恶意程序利用漏洞自动运行。

9) 告警及日志管理

提供了详细的日志记录和告警记录。针对允许执行的应用程序，可依据策略自定义需要记录的内容项，如执行的操作员、应用程序名、时间、公司名等；针对不允许执行的应用，记录操作员、应用程序名、时间、失败原因等；记录所有违反安全策略的行为。

3、产品典型部署方式示例

根据等级保护<<GB/T20272-2006信息安全技术-操作系统安全技术要求>>规定，要求通过对主体和客体进行标记，主体不能随意更改权限，使非法访问受到限制，增加访问控制的力度。同时根据国能安全【2015】36号《国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》，国家发展和改革委员会令2014年第14号《电力监控系统安全防护规定》的要求，为保证服务器不被入侵，重要的数据和文件不被更改、删除、非法拷贝;关键业务、进程不被非法停止,必须在SIS\MIS\NCS\DCS等关键数据应用服务器进行主机加固，增强操作系统的安全级别。