一种Windows操作系统安全加固自动检测方法及终端设备与流程

本发明属于电力监控系统安全防护技术领域，具体涉及一种windows操作系统安全加固自动检测方法及终端设备。

背景技术：

随着《中华人民共和国网络安全法》的正式实施，关键信息基础设施的安全防护上升到了前所未有的高度。电力行业作为关键信息基础设施的重要组成部分，其安全稳定可靠运行就显得尤为重要，其中作为监视、控制中枢的电力监控系统的安全防护更是成为重中之重。

近年来，国内外网络安全事件频发，其中不乏由于windows操作系统安全漏洞而导致的网络安全事件，造成了巨大的经济损失和恶劣的社会影响。目前在电力监控系统领域，随着d5000系统的全面实用化各级调度机构主站基本全面实现了国产安全操作系统的全覆盖，虽然国产安全操作系统已得到广泛应用，但仍有部分并网电厂和变电站主机存在大量各种版本的windows操作系统，这就为电力监控系统的安全稳定运行带来重大安全隐患。

技术实现要素：

本发明所要解决的技术问题是提供一种windows操作系统安全加固自动检测方法及终端设备，针对电力监控系统安全防护特殊需求，其不依赖于现场操作人员素质和技术水平，可实现对上述windows版本主机加固的自动检测，方法简单，便于操作。

本发明所采用的技术方案是：一种windows操作系统安全加固自动检测方法，其包括：

配置测试系统，包括安全加固检测装置、与所述安全加固检测装置连接的网络通道以及与所述网络通道连接的待测windows主机；

获取待测试项目和与所述待测试项目对应的测试指令；

根据所述待测试项目和与所述待测试项目对应的测试指令，对测试系统进行windows操作系统安全加固自动检测。

进一步的，安全加固检测装置硬件以移动终端为载体，通过在移动终端上安装安全加固检测软件，搭建出windows操作系统安全加固检测装置。

进一步的，所述待测试项目包括配置管理、网络管理、接入管理、日志与审计以及恶意代码防范。

进一步的，所述配置管理包括用户策略、身份鉴别、补丁管理、主机配置以及软件管理。

一种windows操作系统安全加固自动检测装置，其包括配置单元、获取单元以及测试单元。

进一步的，所述配置单元用于配置测试系统，所述测试系统包括安全加固检测装置，与所述安全加固检测装置连接的网络通道，与所述网络通道连接的待测windows主机。

进一步的，所述获取单元用于获取待测试项目和与所述待测试项目对应的测试指令。

进一步的，所述测试单元用于根据所述待测试项目和与所述待测试项目对应的测试指令，对测试系统进行windows操作系统安全加固自动检测。

一种终端设备，其包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时可实现如权利要求1所述方法的步骤。

一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时可实现如权利要求1所述方法的步骤。

本发明的积极效果为：

本发明通过配置测试环境，并获取待测试项目和与所述待测试项目对应的测试指令，根据所述待测试项目和与所述待测试项目对应的测试指令，对测试系统进行安全加固检测，从而实现对windows操作系统的安全加固检测，且为自动检测，可大大提高测试效率和测试结果的一致性。

附图说明

图1为本发明方法实现流程图；

图2为本发明检测装置示意图；

图3为本发明终端设备示意图。

具体实施方式

如附图1所述，本发明的一种windows操作系统安全加固自动检测方法包括以下步骤：

步骤s101，配置测试系统，所述测试系统包括安全加固检测装置，与所述安全加固检测装置连接的网络通道，与所述网络通道连接的待测windows主机。

在本发明实施例中，安全加固检测装置主要硬件以移动终端为载体，通过在移动终端上安装安全加固检测软件，搭建出便携的windows操作系统安全加固检测装置，该装置可根据现场需求设置需检测的加固项。网络通道可选普通光纤或网线即可。待测windows主机可为安装前述任意版本windows操作系统的服务器、工作站或个人电脑等。

步骤s102，获取待测试项目和与所述待测试项目对应的测试指令。

在本发明实施例中，待测试项目包括但不限于配置管理、网络管理、接入管理、日志与审计、恶意代码防范。

步骤s103，根据所述待测试项目对所述测试系统进行windows操作系统安全加固自动检测，获得测试结果。

在本发明实施例中，执行与待测试项目对应的测试指令，获得测试结果，实现对测试系统的自动测试。设置待测试项目的优先级，依据优先级，对测试系统进行测试，若高优先级的待测试项目测试通过，则执行下一个低优先级的待测试项目，若高优先级的待测试项目测试不通过，则发出警报。

本发明实施例通过配置测试系统，并获取待测试项目和与所述待测试项目对应的测试指令，根据所述待测试项目和与所述待测试项目对应的测试指令，对测试系统进行安全加固检测，从而实现对windows操作系统的安全加固检测，且为自动检测，可大大提高测试效率和测试结果的一致性。

如附图2所示，本发明的检测装置包括：配置单元201、获取单元202和测试单元203。各单元的功能如下：

配置单元201，用于配置测试系统，所述测试系统包括安全加固检测装置，与所述安全加固检测装置连接的网络通道，与所述网络通道连接的待测windows主机；

获取单元202，用于获取待测试项目和与所述待测试项目对应的测试指令；

测试单元203，用于根据所述待测试项目和与所述待测试项目对应的测试指令，对测试系统进行windows操作系统安全加固自动检测。

作为本发明的一个实施例，所述待测试项目包括:

（一）配置管理

1.用户策略

a）用户权限策略配置

检测是否建立三权分立的安全策略，按照仅授予管理用户最小权限的原则设置安全管理员、审计管理员和系统管理员。（适用于服务器或公用工作站）

b）删除或禁用系统无关用户

检测是否删除、禁用或锁定与设备运行、维护等工作无关的账户，避免无关账户被黑客利用。

c）开启屏幕保护程序

检测是否设置开启屏幕保护，并将时间设定为5分钟，避免非法用户使用系统。

d）系统重要数据访问控制

检测是否启用访问控制功能，依据安全策略控制用户对资源的访问，防止系统重要数据泄露。（适用于scada等关键服务器）

2.身份鉴别

a）用户口令复杂度策略

检测口令长度不小于8位，由字母、数字和特殊字符组成，不得与账户名相同，避免口令被暴力破解。

b）用户登录失败锁定

检测是否配置当用户连续认证失败次数超过5次，锁定该用户使用的账户10分钟，避免账户被恶意用户暴力破解。

c）用户口令周期策略

检测是否设置账户口令的生存期不长于90天，避免密码泄露。

d）用户口令过期提醒

检测密码到期前是否提示用户更改密码，避免用户因遗忘更换密码而导致账户失效。

e）系统不显示上次登录用户名

检测操作系统是否显示上次用户名，避免用户名泄露。

3.补丁管理

a）补丁更新

检测是否安装官方补丁，严禁安装第三方补丁，避免被黑客或恶意代码利用已知的安全漏洞进行攻击。

4.主机配置

a）禁止用户修改ip

检测是否规范主机网络配置管理，禁止用户任意更换ip。

b）禁止用户更改计算机名

检测是否禁止用户更改计算机名。

c）删除默认路由配置

检测是否禁止使用默认路由，避免利用默认路由探测网络。

d）关闭默认共享

检测是否关闭windows硬盘默认共享，防止黑客从默认共享进入计算机窃取资料。

e）开启用户账户控制设置

检测是否开启用户账户控制设置（uac），设置为仅在程序尝试对计算机进行更改时通知用户。

f）禁止未登录前关机

检测是否设置windows登录屏幕上不显示关闭计算机的选项，避免用户名暴露。

g）关机时清除虚拟内存页面文件

检测是否设置关机时清除虚拟内存页面文件，避免虚拟内存信息通过硬盘泄露。

h）禁止非管理员关机

检测是否仅允许administrators组进行远端系统强制关机和关闭系统，避免非法用户关闭系统。

5.软件管理

a）卸载无关软件

检测是否按照最小安装的原则，删除操作系统中与业务无关的软件。

（二）网络管理

1.网络服务管理

a）关闭不必要的服务

检测是否遵循最小安装的原则，仅安装和开启必需的服务，避免系统中存在不必要的服务。

b）关闭不必要的系统端口

检测是否遵循白名单的原则，仅开放系统应用所需的专用端口，避免系统中存在不必要的端口。

c）启用syn攻击保护

检测是否启用syn攻击保护，防御黑客syn攻击。

d）设置最小挂起时间

检测是否在连接到本地计算机的用户超出其账户的有效登录时间时应断开与用户的连接，避免被黑客或恶意软件利用。

2.防火墙功能

a）开启防火墙功能

检测是否打开系统自带防火墙，减小被网络攻击的风险。

b）配置访问控制规则

检测win2000是否使用ip安全策略实现访问控制，其他windows系统使用防火墙实现访问控制，增加系统抵御网络攻击的能力。

（三）接入管理

1.外设接口

a）禁用大容量存储介质

检测是否禁用usb存储设备，防止利用usb接口非法接入。

2.自动播放

a）关闭自动播放功能

检测是否关闭移动存储介质或光驱的自动播放或自动打开功能，防止恶意程序通过u盘或光盘等移动存储介质感染主机系统。

3.远程登录

a）关闭远程主机rdp服务

检测处于网络边界的主机rdp服务是否处于关闭状态，有远程登录需求时可由管理员临时开启，避免非法用户利用rdp服务漏洞进行攻击。

b）限制远程登录的ip

检测是否仅限于指定ip地址范围主机远程登录，防止非法主机的远程访问。

c）限制远程登录协议

检测系统远程登录是否仅允许使用windows系统自带工具，严禁使用第三方远程登录软件。

d）限制远程登录时间

检测是否设置远程桌面服务在某个活动或空闲会话超时后自动终止，防止被非法用户利用。

e）修改远程桌面默认服务端口

如启用远程桌面服务，检测是否修改默认服务端口，防止非法用户利用默认端口访问。

f）限制匿名用户远程连接

检测是否限制匿名用户连接权限，防止用户远程枚举本地账号。

g）主机间登录禁止使用公钥验证

检测是否禁止凭据管理器保存通过域身份验证的密码和凭据，避免用户信息泄露。

4.外部连接管理

a）禁止使用无线设备

检测是否禁用无线网卡、蓝牙设备，防止设备通过无线网络进行通信。

（四）日志与审计

1.日志与审计

a）配置日志策略

检测是否配置系统日志策略配置文件，对系统登录、访问等行为进行审计，为后续问题追溯提供依据。

b）配置日志文件大小

检测是否设置日志文件大小限值，为审计日志数据分配合理的存储空间或存储时间。

c）禁止普通用户修改审计策略

检测是否设置合适的用户权限策略，禁止普通用户修改和删除日志配置。

（五）恶意代码防范

1.防病毒软件

a）安装防病毒软件

检测是否安装防病毒软件,防止恶意代码的攻击。

b）安装防病毒统一管理服务器

检测是否使用防病毒管理中心等防病毒统一管理服务器，对防病毒软件的版本和病毒库进行统一管理,提高防病毒软件及病毒库更新工作的效率。

2.数据执行保护

a）数据执行保护（dep）

检测是否对windows操作系统程序和服务启用系统自带dep功能（数据执行保护），防止在受保护内存位置运行恶意代码。

终端设备如图3所示，该实施例的终端设备3包括：处理器301、存储器302以及存储在所述存储器302中并可在所述处理器301上运行的计算机程序303。所述处理器301执行所述计算机程序303时实现上述各个windows操作系统安全加固检测方法实施例中的步骤，例如图1所示的步骤101至103。或者，所述处理器301执行所述计算机程序303时实现上述各装置实施例中各模块/单元的功能，例如图2所示模块201至203的功能。

一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时可实现本发明方法的步骤。

所属领域的技术人员可以清楚地了解到，所述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器（rom，read-onlymemory）、随机存取存储器（ram，randomaccessmemory）、电载波信号、电信信号以及软件分发介质等。需要说明的是，所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括是电载波信号和电信信号。

以上所述实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围，均应包含在本发明的保护范围之内。