县级供电公司网络设备安全加固实施方案

摘要 以网络设备安全加固在江苏县级电网的实施方案为例，分别介绍了网络设备安全防护、加固形式与加固对象、网络设备加固内容、网络设备加固实施等4个重要方面，从技术层面阐述了网络设备加固在电力系统的重要性和必要性。

关键词 网络设备；加固；电力

中图分类号TM7 文献标识码A 文章编号 1674-6708（2010）33-0226-02

0引言

随着电力行业信息化的不断发展，网络在日常工作中变得不可缺少，但同时网络中存在的各种安全问题也给影响日常工作带来了很大影响。为了更好的将网络为工作所用，就必须很好解决网络带来的安全问题。本文作者结合“奥运保电”及“上海世博会保电”电力信息安全保障工作，就国家电网公司对电力网络设备进行安全加固的规范要求为例，重着阐述了网络设备加固的目的及重要性同时介绍了网络加固的具体做法。

1网络设备安全防护

网络设备安全包括在基础网络及各安全域中提供网络运营支撑及安全防卫的路由器、交换机、无线设备以及防火墙、安全网关等安全设备自身的安全防护，对于为各域均提供网络支撑服务的设备，按满足等级保护三级基本要求进行安全防护，各域的网络设备按该域所确定的安全域的等级进行安全防护。

2加固形式与加固对象

2.1加固形式

加固形式主要分为自加固与专业安全加固：自加固是指电力系统业务主管部门或电力系统运行维护单位依靠自身的技术力量，对电力系统在日常维护过程中发现的脆弱性进行修补的安全加固工作；专业安全加固是指在信息安全风险评估或安全检查后，由信息管理部门或系统业务主管部门组织发起，开展的电力系统安全加固工作[1]。

2.2加固对象

加固对象主要包括：网络系统、主机操作系统、通用应用系统、现有安全防护措施、电力业务应用系统。

3 网络设备加固内容

3.1 帐号权限加固

加强用户认证，对网络设备的管理权限进行划分和限制；修改帐号存在的弱口令（包括SNMP社区串），设置网络系统的口令长度>8位；禁用不需要的用户；对口令进行加密存储。

3.2网络服务加固

禁用http server,或者对http server进行访问控制；关闭不必要的SNMP服务，若必须使用，应采用SNMPv3以上版本并启用身份验证，更改默认社区串；禁用与承载业务无关的服务（例如DHCP-relay、IGMP、CDP RUN、bootp服务等）。

3.3网络访问控制加固

对可管理配置网络设备的网段通过访问控制列表进行限制；使用SSH等安全方式登陆，禁用TELNET方式；对SNMP进行ACL控制。

3.4审计策略加固

为网络设备指定日志服务器；合理配置日志缓冲区大小。

3.5恶意代码防范

屏蔽病毒常用的网络端口；使用TCP keepalives服务；禁止IP源路由功能。

4 网络设备加固实施

以思科网络设备为例，对方案进行详细的说明[2]。

4.1帐号和口令

4.1.1登录超时设置

实施方案：

Router#config terminal

Router(Config)#line con 0配置控制口

Router(Config-line)#exec-timeout 5 0设置超时5min

Router(Config-line)#exit

Router(Config)#exit

Router#write

实施目的：防止获得权限用户会通过con口登录控制交换机，如果没有进行登录时间限制，如果管理者在登录后没有断开，就被黑客利用登录。

4.1.2交换机vty口配置加固

实施方案：

line vty 0 4

password ######

logint

access-class X in

exec-timeout 5 0

transport input telnet

防止获得权限用户会通过vty进行登录控制交换机，如果没有进行登录时间限制，如果管理者在登录后没有断开，就被黑客利用登录。如果没有访问控制列表就会扩大telenet登录权限范围

4.1.3密码加密

实施方案：

service password-encryption

实施目的：防止在配置文件里以明文方式显示密码，暴漏主机信息。

4.2网络与服务

4.2.1交换机服务和协议的加固

实施方案：

no ip http server

no cdp enable

实施目的：http 服务没有被关掉，任何获得权限的人都可以对交换机进行WEB方式的管理。cdp 协议没有关掉，任何人都可以在与之相连的设备上进行察看本交换机的版本，设备端口等相关信息。

4.2.2修改交换机SNMP口令串

实施方案：

Router#config terminal

Router(config)# no snmp-server community COMMUNITY-NAME1 RO （删除原来具有RO权限的COMMUNITY-NAME1）

Router(config)# snmp-server community COMMUNITY-NAME RO（如需要通过snmp进行管理，则创建一个具有读权限的COMMUNITY-NAME，若COMMUNITY-NAME权限为RW,则将命令行中RO更改为RW）

Router(config)# snmp-server enable traps （允许发出Trap）

Router(config)#exit

Router#write

实施目的：提高SNMP的安全性

4.2.3设置Telnet访问控制策略，或启用SSH

实施方案：

Router#config terminal

Router(config)#access-list 10 permit tcp 10.144.99.120 0.0.0.0 eq 23 any（只允许10.144.99.120机器telnet登录，如需配置某一网段可telnet远程管理，可配置为：access-list 10 permit tcp 10.144.99.1 0.0.0.255 eq 23 any）

Router(config)#line vty 0 4（配置端口0-4）

Router(Config-line)#Transport input telnet（开启telnet协议，如支持ssh，可用ssh替换telnet）

Router(Config-line)#exec-timeout 5 0

Router(Config-line)#access-class 10 in

Router(Config-line)#end

Router#config terminal

Router(config)#line vty 5 15

Router(Config-line)#no login(建议vty开放5个即可，多余的可以关闭)

Router(Config-line)#exit

Router(Config)#exit

Router#write

实施目的：提高远程管理的安全性

5结论

网络设备在电力系统的广泛使用，给电力信息从业人员带来了前所未用的挑战, 网络设备安全加固无疑是保障电力信息安全的重要措施之一。如何确保电力企业网络安全稳定运行，将安全漏洞、威胁和风险降到最小化，将成为电力信息人永远追求的目标。

参考文献

[1]电力系统安全加固技术[R].国网电力科学研究院，2009.

[2]崔北亮.CCNA认证指南（640-802）[M].北京：电子工业出版社，2009.