目前,SINE正逐步开展自动化系统非windows改造,Linux系统将广泛应用于负责HMI系统、业务系统和各种服务器。根据每站60个工作站/服务器主机的计算,4个站将产生240个Linux主机的维护需 求,尤其是在所有维护工作中。由于电力监控系统控制区和非控制区的高安全要求,不能像管理信息区那样批量部署加固作业,只能依靠运维人员逐台手工加固,人力和时间成本会非常大。由于系统重装、升级、设备更换等原因,系统变更频繁,需要定期检查确认系统加固状态,进一步增加了加固工作量。与此同时,Linux系统加固工作对于普通企业的运维人员来说门槛普遍较高,加固质量很难保证,加固操作不当会导致系统异常甚至停机,这种人为因素会严重影响业务的可用性。为此,我们sinesafe设计了一种基于基线安全的便携式Linux系统加固工具,通过u盘安装了基线安全加固系统,方便了Linux系统的加固操作,降低了加固操作的风险。
在深入研究Linux系统基线安全加强需求的基础上,我们发现加强操作可以通过Linux自带bash之类的脚本终端或简单程序实现,从而避免了人工加固所带来的过多的人力、时间成本和低技术技能对业务系统的威胁。结合研究分析结果,可以研究开发一种便携式Linux系统基线安全加固工具,针对Linux系统加固作业的各种要求和风险点提出完整的解决方案。载体采用USB只读移动存储设计,接入系统后只能读取运行的加固程序,操作系统无法写入其他内容,避免病毒感染。加固程序与加固操作数据库分离设计,方便按需更新加固策略,长期适用。加固程序分为加固检查和加固执行两部分,方便主机加固检查和加固执行。加固执行功能允许用户定制和选择加固措施,屏蔽不适用或影响个别系统稳定性的加固功能,使加固工具适用于所有主机,加固后可生成加固报告。
系统安全分析、操作系统中的安全漏洞、系统配置漏洞和系统状态监控对操作系统的安全起着重要作用。在一些特定的网络环境中,如内网或网络环境无法修复安全漏洞,系统加固对操作系统的安全起着关键作用。电力信息系统一般部署在电力内网环境中,需要连续运行。因此,系统维护人员只能对系统配置进行安全加固,通过缩小操作系统的安全漏洞攻击点来提高操作系统的安全性。
安全基准是系统满足最基本安全的最低配置,所有的操作系统都必须有一个安全基线。系统的安全性主要从性能成本和风险承担等方面进行权衡,但安全基线是系统必须保证的,也是性能成本和风险承担之间的平衡点。目前,操作系统主要考虑满足业务系统部署要求,很少考虑系统安全,不能有效保证业务系统的安全稳定。通过安全基线,可以保证操作系统的安全运行,降低操作系统和业务系统的安全风险。安全基线的主要验证项目包括账号密码、权限授权、日志审计、协议安全和系统安全。