電網(wǎng)企業(yè)等級保護建設(shè)整改方案

電網(wǎng)企業(yè)等級保護建設(shè)整改方案

黃敬志

（廣東電網(wǎng)公司，廣州市東風(fēng)東路757號510600）

摘要：本文結(jié)合國家信息安全等級保護的有關(guān)規(guī)定和標準，對電網(wǎng)企業(yè)實施信息系統(tǒng)安全等級保護工作的內(nèi)容和步驟進行了詳細介紹，為同行業(yè)的相關(guān)工作提供參考。關(guān)鍵字：電網(wǎng)企業(yè)；信息安全等級保護

EnterpriseofElectricPowerGrid

EnforcestheSecurityClassificationProtectionforInformationSystem

Abstract：Thispapercombinewiththecountry’sregulationsandstandardsofsecurityclassificationprotection,introducesthecontentsandstepsoftheenterpriseofelectricpowergridenforcesthesecurityclassificationprotectionforinformationsystem,thisintroductioninordertoprovidesthereferenceforthetradetodothesimilarwork.

Keywords：theenterpriseofelectricpowergrid；securityclassificationprotection

0.概述

公安部、國家保密局、國家密碼管理局和國務(wù)院信息化工作辦公室于201*年6月聯(lián)合發(fā)布了《信息安全等級保護管理辦法》，標志著信息安全等級保護工作在全國范圍全面推進

[1]

。

信息安全等級保護是國家信息安全保障工作的基本制度、基本策略、基本方法，是國家

層面制定的信息安全工作標準。目前，信息安全等級保護工作在國內(nèi)尚處于剛起步的階段，如何落實具體的工作，是各重點企業(yè)工作面臨的問題。電網(wǎng)企業(yè)作為關(guān)系國計民生的重要國有企業(yè)，在信息安全等級保護工作方面積極探索，并根據(jù)行業(yè)的特點制定了適合電網(wǎng)企業(yè)的規(guī)范、標準和實施指南，指導(dǎo)各單位全面落實國家的有關(guān)要求。1.信息安全等級保護的要求及標準

信息安全等級保護指的是：對涉及國計民生的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)按照其重要程度及實際安全需求，合理投入，分級進行保護，分類指導(dǎo)，分階段實施，保障信息系統(tǒng)安全正常運行和信息安全，提高信息安全綜合防護能力，保障國家安全，維護社會秩序和穩(wěn)定，保障并促進信息化建設(shè)健康發(fā)展。

信息系統(tǒng)的運行（或使用）單位根據(jù)信息和信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度；遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度；針對信息的保密性、完整性和可用性要求及信息系統(tǒng)必須達到的基本的安全保護水平等因素，對信息系統(tǒng)劃分為五個安全保護和監(jiān)管等級，實行分級保護。

按照《信息系統(tǒng)安全等級保護實施指南》，信息系統(tǒng)安全等級保護實施基本工作流程分為五個階段：信息系統(tǒng)定級、總體安全規(guī)劃、安全設(shè)計與實施、安全運行與維護、信息系統(tǒng)終止。各階段的流程關(guān)系如下圖：

圖1信息系統(tǒng)安全等級保護實施的基本流程

2.信息系統(tǒng)安全等級保護實施方法2.1.信息系統(tǒng)定級

按照《信息安全等級保護管理辦法》，信息系統(tǒng)的安全保護等級分為五級，定級工作主要按照《信息系統(tǒng)安全等級保護定級指南》（GB/T22240-201*）的標準執(zhí)行，電網(wǎng)企業(yè)的系統(tǒng)定級，同時參照國家電力監(jiān)管委員會下發(fā)的《電力行業(yè)信息系統(tǒng)安全等級保護定級工作指導(dǎo)意見》執(zhí)行。

信息系統(tǒng)定級主要由兩個要素決定：系統(tǒng)受到破壞時所侵害的客體和對客體造成侵害的程度。其中，客體包括“公民、法人和其他組織的合法權(quán)益”、“社會秩序、公共利益”和“國家安全”三個方面，侵害程度包括“一般損害”、“嚴重損害”和“特別嚴重損害”三種級別。定級要素與信息系統(tǒng)安全保護等級的關(guān)系如表1所示。

表1定級要素與安全保護等級的關(guān)系

受侵害的客體對客體的侵害程度一般損害公民、法人和其他組織的合法權(quán)益社會秩序、公共利益國家安全第一級第二級第三級嚴重損害第二級第三級第四級特別嚴重損害第二級第四級第五級為了定級更準確，一般把信息系統(tǒng)安全分為業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩部分，并對兩部分分別定級，最后取定級的較高者為定級對象的安全保護等級。如辦公自動化系統(tǒng)業(yè)務(wù)信息安全等級為二級，系統(tǒng)服務(wù)安全等級也是二級，那么辦公自動化系統(tǒng)的定級就是二級；而省級電網(wǎng)公司的營銷系統(tǒng)業(yè)務(wù)信息安全等級為二級，系統(tǒng)服務(wù)安全等級為一級，那么省級電網(wǎng)公司的營銷系統(tǒng)定級就是二級。通常電網(wǎng)企業(yè)的信息系統(tǒng)定在四級以下，主要集中在一、二、三級。

定級是等級保護的第一階段工作，對后續(xù)階段工作影響很大，如果定級不準過高會浪費人力、物力、財力，而過低則會存在安全隱患同時使后續(xù)工作失去意義，可見定級工作的重要性。

2.2.安全建設(shè)或整改

信息系統(tǒng)的安全保護等級確定后，企業(yè)就按照有關(guān)規(guī)范和技術(shù)標準，使用符合國家有關(guān)規(guī)定、滿足信息系統(tǒng)安全保護等級須要的信息技術(shù)產(chǎn)品，開展信息系統(tǒng)安全建設(shè)或者整改工作�！缎畔⑾到y(tǒng)安全等級保護基本要求》（GB/T22239201*）是安全建設(shè)或安全整改的重要依據(jù)標準，該標準對每一級別系統(tǒng)安全保護的基本要求進行了描述，包括了技術(shù)要求和管理要求。

新建系統(tǒng)與已建在用的系統(tǒng)，本階段的工作有所不同。對于新建的信息系統(tǒng)，在系統(tǒng)的設(shè)計、規(guī)劃階段時就應(yīng)當按照相應(yīng)等級的安全保護要求進行建設(shè)；對于已建在用的信息系統(tǒng)，則應(yīng)進行全面的差距評估，找出系統(tǒng)現(xiàn)狀與等級保護標準之間的差距，制定整改方案，并逐一進行安全整改。2.3.等級測評

信息系統(tǒng)建設(shè)完成后，系統(tǒng)運營、使用單位須選擇等級測評機構(gòu)對系統(tǒng)進行等級測評。系統(tǒng)測評按照《信息系統(tǒng)安全等級保護測評要求》和《信息系統(tǒng)安全等級保護測評過程指南》等標準進行。由于等級測評等同于對系統(tǒng)的安全建設(shè)或整改工作進行驗收測試，而且對于新建系統(tǒng)，建議把等級測評納入到系統(tǒng)的驗收測試工作中一并進行，所以等級測評也可以被稱為驗收測評。

等級測評工作重點分為兩部分：選擇等級測評機構(gòu)和完成等級測評工作。

選擇等級測評機構(gòu)工作必須嚴格按照相關(guān)的規(guī)定進行，否則測評工作將得不到公安機關(guān)的認可。等級測評機構(gòu)除了擁有相關(guān)信息安全服務(wù)資質(zhì)并在本地公安機關(guān)備案外，還需要向公安機關(guān)提供《承諾書》，承諾不承擔信息系統(tǒng)安全建設(shè)、整改、集成工作，不將等級測評任務(wù)分包、外包。上述要求，確保等級測評機構(gòu)與信息安全建設(shè)整改機構(gòu)呼吸之間的獨立性，保證了等級測評工作的公正性，所以等級測評機構(gòu)也稱為第三方測評機構(gòu)。

按照《信息系統(tǒng)安全等級保護測評過程指南》，等級測評工作分為單元測評和整體測評兩個階段。單元測評階段是針對等級保護標準逐條進行符合性檢查，得出“符合”、“部分符合”以及“不符合”的結(jié)論；整體測評階段是針對單項測評結(jié)果的“部分符合”和“不符合”項，采取逐條判定的方法，從安全控制間、層面間和區(qū)域間出發(fā)考慮，給出整體測評的具體結(jié)果，并對系統(tǒng)結(jié)構(gòu)進行整體安全測評。所以單元測評不符合的項目，如果站在整體角度看與其他測評項有關(guān)聯(lián)關(guān)系并且這個關(guān)聯(lián)關(guān)系能夠“彌補”該測評項的不足，那么系統(tǒng)的整體測評結(jié)果也能夠通過。2.4.系統(tǒng)備案

按照要求，定級為二級及以上的信息系統(tǒng)均應(yīng)到本地地市級以上公安機關(guān)辦理備案手續(xù)，第三級及以上的信息系統(tǒng)備案前，備案材料還要通過上級主管部門的審核，第一級的信息系統(tǒng)可以由運行（使用）單位自行決定是否進行備案。備案工作的重點是填寫備案登記表格和編寫系統(tǒng)定級報告，每個系統(tǒng)一份，經(jīng)蓋單位公章后遞交公安機關(guān)，公安機關(guān)將對備案材料進行審核，認為系統(tǒng)定級無誤之后會對每個定級系統(tǒng)頒發(fā)一份定級證書。

已建在用的系統(tǒng)與新建系統(tǒng)，本階段的工作有所不同。已建在用的系統(tǒng)，在定級之后30日內(nèi)，到所在地的市級以上公安機關(guān)辦理備案手續(xù)，而新建的系統(tǒng)則在系統(tǒng)通過等保測評并投入運行30日內(nèi)到所在地的市級以上公安機關(guān)辦理備案手續(xù)。2.5.系統(tǒng)運行

信息系統(tǒng)的運行階段占了系統(tǒng)生命階段的70%-80%。在系統(tǒng)運行階段，信息安全的保障工作也十分重要。等級保護標準中不僅對系統(tǒng)運行維護階段的信息安全工作進行了規(guī)范要求，還對系統(tǒng)運行階段的安全檢查和測評工作提出了具體的要求，按照《信息安全等級保護管理辦法》在系統(tǒng)正式投入運行后，定位三級的系統(tǒng)每年至少進行一次安全的自查和測評，四級系統(tǒng)每半年至少進行一次自查和測評。2.6.持續(xù)改進

信息安全等級保護工作是一項長期的、持續(xù)完善的工作，本文描述的各個階段工作并不是完全獨立的。運行當中的系統(tǒng)的如果進行了局部調(diào)整，或運行環(huán)境發(fā)生了變化，但是系統(tǒng)級別沒有變化，那么須要重新進行差距評估、整改和等級測評；如果系統(tǒng)發(fā)生較大的調(diào)整，甚至系統(tǒng)級別可能發(fā)生改變，那么就須要對系統(tǒng)重新進行定級以及之后的所有相關(guān)的工作。當系統(tǒng)能夠在定期的自查和測評過程中發(fā)現(xiàn)有問題，那么可以根據(jù)存在問題的大小，選擇局部調(diào)整或重新定級�？傮w來說，信息安全等級保護工作符合目前流行的“PDCA”閉環(huán)管理原則。

3.信息安全等級保護的重要意義

信息安全等級保護的實施，實現(xiàn)對重要信息系統(tǒng)的重點安全保障，推進了信息安全保護工作的規(guī)范化、法制化建設(shè)，有效體現(xiàn)“適度安全、保護重點”的思想。國家出臺了一系列信息安全管理標準和技術(shù)標準意義重大，國內(nèi)的信息安全工作有據(jù)可依，明確了信息安全工作的目標和重點，信息系統(tǒng)安全與否也有了一個衡量尺度，企業(yè)可以將有限的財力、物力、人力投入到重要信息系統(tǒng)安全保護中，改變傳統(tǒng)的安全管理“頭痛醫(yī)頭、腳痛醫(yī)腳”的情況，從而建立起全面的、立體的信息安全保障體系。4.結(jié)束語

廣東電網(wǎng)公司按照國家信息安全等級保護的有關(guān)規(guī)定和標準，結(jié)合電監(jiān)會對二次系統(tǒng)安全防護的規(guī)定，全面開展了信息安全等級保護工作。等保的實施，為公司信息安全保障體系的建設(shè)提供了標準，指明了方向。

[2]

擴展閱讀：山東電力集團信息系統(tǒng)等級保護建設(shè)整改方案

山東電力集團信息系統(tǒng)等級保護建設(shè)整改方案

二零零九年八月

版權(quán)聲明本文中出現(xiàn)的任何文字敘述、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權(quán)均屬國網(wǎng)電力科學(xué)研究院/國網(wǎng)信息網(wǎng)絡(luò)安全實驗室和山東省電力集團公司所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護。任何個人、機構(gòu)未經(jīng)國網(wǎng)電力科學(xué)研究院/國網(wǎng)信息網(wǎng)絡(luò)安全實驗室和山東省電力集團公司的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文的任何片斷。文檔信息文檔名稱文檔管理編號保密級別制作人復(fù)審人擴散范圍擴散批準人版本變更記錄時間201*-８201*-８201*-８適用性聲明本報告由國網(wǎng)電力科學(xué)研究院/國網(wǎng)信息網(wǎng)絡(luò)安全實驗室撰寫，適用于山東省電力集團公司信息系統(tǒng)等級保護項目。山東省電力集團公司信息系統(tǒng)等級保護建設(shè)方案INSL-SDDL-BLT-201*-FA商密郭騫余勇文檔版本號制作日期復(fù)審日期V3.0201*年6月201*年6月國家電網(wǎng)公司信息網(wǎng)絡(luò)安全實驗室山東省電力集團公司林為民版本V1.0V2.0V3.0說明創(chuàng)建文檔修改文檔文檔復(fù)審定稿修改人郭騫俞庚申余勇

I

目錄

1.項目概述...........................................................1

1.11.21.3

目標與范圍.................................................................................................1方案設(shè)計.....................................................................................................2參照標準.....................................................................................................2

2.等�，F(xiàn)狀及建設(shè)總目標...............................................2

2.1

等級保護現(xiàn)狀..........................................................錯誤！未定義書簽。2.1.1國家電網(wǎng)公司等保評測結(jié)果...........................錯誤！未定義書簽。2.1.2公安部等保測評結(jié)果.......................................錯誤！未定義書簽。2.2

等級保護建設(shè)總體目標.............................................................................2

3.安全域及網(wǎng)絡(luò)邊界防護...............................................3

3.13.23.3

信息網(wǎng)絡(luò)現(xiàn)狀.............................................................................................3安全域劃分方法.........................................................................................4安全域邊界.................................................................................................53.3.1二級系統(tǒng)邊界......................................................................................53.3.2三級系統(tǒng)邊界......................................................................................63.43.5

安全域的實現(xiàn)形式.....................................................................................7安全域劃分及邊界防護.............................................................................83.5.1安全域的劃分......................................................................................8

4.信息安全管理建設(shè)..................................................11

4.14.24.3

建設(shè)目標...................................................................................................11安全管理機構(gòu)建設(shè)..................................................錯誤！未定義書簽。安全管理制度完善..................................................錯誤！未定義書簽。

5.二級系統(tǒng)域建設(shè)....................................................12

5.15.2

概述與建設(shè)目標.......................................................................................12網(wǎng)絡(luò)安全...................................................................................................135.2.1網(wǎng)絡(luò)安全建設(shè)目標............................................................................135.2.2地市公司建設(shè)方案............................................................................135.3

主機安全...................................................................................................195.3.1主機安全建設(shè)目標............................................................................19

II

5.3.2主機身份鑒別....................................................................................195.3.3訪問控制............................................................................................225.3.4安全審計............................................................................................235.3.5入侵防范............................................................................................265.3.6惡意代碼防范....................................................................................285.3.7資源控制............................................................................................285.4

應(yīng)用安全...................................................................................................305.4.1應(yīng)用安全建設(shè)目標............................................................................305.4.2身份鑒別............................................................................................315.4.3安全審計............................................................................................315.4.4通信完整性、通信保密性................................................................325.4.5資源控制............................................................................................335.5

數(shù)據(jù)安全及備份恢復(fù)...............................................................................345.5.1數(shù)據(jù)安全及備份恢復(fù)建設(shè)目標........................................................345.5.2數(shù)據(jù)完整性、數(shù)據(jù)保密性................................................................34

6.三級系統(tǒng)域建設(shè)....................................................36

6.16.2

概述與建設(shè)目標.......................................................................................36物理安全...................................................................................................366.2.1物理安全建設(shè)目標............................................................................366.2.2機房感應(yīng)雷防護措施........................................................................376.2.3物理訪問控制....................................................................................376.2.4防盜措施............................................................................................376.2.5防火措施............................................................................................386.2.6防水和防潮........................................................................................396.2.7電磁防護............................................................................................396.3

網(wǎng)絡(luò)安全建設(shè)方案...................................................................................406.3.1網(wǎng)絡(luò)安全建設(shè)目標............................................................................406.3.2山東省電力集團公司建設(shè)方案........................................................406.4

主機安全...................................................................................................466.4.1主機安全建設(shè)目標............................................................................466.4.2主機身份鑒別....................................................................................46

III

6.4.3訪問控制............................................................................................496.4.4安全審計............................................................................................516.4.5剩余信息保護....................................................................................546.4.6入侵防范............................................................................................556.4.7惡意代碼防范....................................................................................576.4.8資源控制............................................................................................586.5

應(yīng)用安全...................................................................................................596.5.1應(yīng)用安全建設(shè)目標............................................................................596.5.2身份鑒別............................................................................................596.5.3訪問控制............................................................................................606.5.4安全審計............................................................................................616.5.5剩余信息保護....................................................................................636.5.6通信完整性、通信保密性、抗抵賴................................................636.5.7資源控制............................................................................................646.6

數(shù)據(jù)安全及備份恢復(fù)...............................................................................666.6.1數(shù)據(jù)安全及備份恢復(fù)建設(shè)目標........................................................666.6.2數(shù)據(jù)完整性、數(shù)據(jù)保密性................................................................666.6.3備份和恢復(fù)........................................................................................67

IV

1.項目概述

根據(jù)國家電網(wǎng)公司《關(guān)于信息安全等級保護建設(shè)的實施指導(dǎo)意見（信息運安〔201*〕27號）》和山東省電力集團公司對等級保護相關(guān)工作提出的要求，落實等級保護各項任務(wù)，提高山東省電力集團公司信息系統(tǒng)安全防護能力，特制定本方案。1.1目標與范圍

公司為了落實和貫徹公安部、國家保密局、國家密碼管理局、電監(jiān)會等國家有關(guān)部門信息安全等級保護工作要求，全面完善公司信息安全防護體系，落實公司“雙網(wǎng)雙機、分區(qū)分域、等級防護、多層防御”的安全防護策略，確保等級保護工作在各單位的順利實施，提高公司整體信息安全防護水平，開展等級保護建設(shè)工作。

前期在省公司及地市公司開展等級保護符合性測評工作，對地市公司進行測評調(diào)研工作，范圍涵蓋內(nèi)網(wǎng)門戶、外網(wǎng)門戶、財務(wù)管理系統(tǒng)、營銷管理系統(tǒng)、電力市場交易系統(tǒng)、生產(chǎn)管理信息系統(tǒng)、協(xié)同辦公系統(tǒng)、人力資源管理系統(tǒng)、物資管理系統(tǒng)、項目管理系統(tǒng)、郵件系統(tǒng)、公司廣域網(wǎng)SGInet、管理制度這13個業(yè)務(wù)系統(tǒng)分類，分析測評結(jié)果與等級保護要求之間的差距，提出本的安全建設(shè)方案。

本方案主要遵循GB/T22239-201*《信息安全技術(shù)信息安全等級保護基本要求》、《信息安全等級保護管理辦法》（公通字[201*]43號）、《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》（GB/T20984-201*）、《國家電網(wǎng)公司信息化“SG186”工程安全防護總體方案》、ISO/IEC27001信息安全管理體系標準和ISO/IEC13335信息安全管理標準等。

實施的范圍包括：省公司本部、各地市公司。

通過本方案的建設(shè)實施，進一步提高信息系統(tǒng)等級保護符合性要求，將整個信息系統(tǒng)的安全狀況提升到一個較高的水平，并盡可能地消除或降低信息系統(tǒng)的安全風(fēng)險。

1.2方案設(shè)計

根據(jù)等級保護前期測評結(jié)果，省公司本部及各地市公司信息系統(tǒng)存在的漏洞、弱點提出相關(guān)的整改意見，并最終形成安全解決方案。1.3參照標準

GB/T22239-201*《信息安全技術(shù)信息安全等級保護基本要求》《信息安全等級保護管理辦法》（公通字[201*]43號）《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》（GB/T20984-201*）《國家電網(wǎng)公司信息化“SG186”工程安全防護總體方案》ISO/IEC27001信息安全管理體系標準ISO/IEC13335信息安全管理標準

《國家電網(wǎng)公司“SG186”工程信息系統(tǒng)安全等級保護驗收測評要求（征求意見稿）》

《國家電網(wǎng)公司信息機房設(shè)計及建設(shè)規(guī)范》《國家電網(wǎng)公司信息系統(tǒng)口令管理規(guī)定》GB50057-94《建筑防雷設(shè)計規(guī)范》《國家電網(wǎng)公司應(yīng)用軟件通用安全要求》

2.建設(shè)總目標

2.1等級保護建設(shè)總體目標

綜合考慮省公司現(xiàn)有的安全防護措施，針對與《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》間存在的差異，整改信息系統(tǒng)中存在的問題，使省公司及地市公司信息系統(tǒng)滿足《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》中不同等級的防護要求，順利通過國家電網(wǎng)公司或公安部等級保護建設(shè)測評。

3.安全域及網(wǎng)絡(luò)邊界防護

根據(jù)GB/T22239-201*《信息安全技術(shù)信息安全等級保護基本要求》、《國家電網(wǎng)公司信息化“SG186”工程安全防護總體方案》及《國家電網(wǎng)公司“SG186”工程信息系統(tǒng)安全等級保護驗收測評要求（征求意見稿）》的要求，省公司及地市公司信息系統(tǒng)按照業(yè)務(wù)系統(tǒng)定級，根據(jù)不同級別保護需求，按要求劃分安全區(qū)域進行分級保護。因此，安全域劃分是進行信息安全等級保護建設(shè)的首要步驟。3.1信息網(wǎng)絡(luò)現(xiàn)狀

山東省電力集團公司各地市信息內(nèi)網(wǎng)拓撲典型結(jié)構(gòu)：

省局信息廣域網(wǎng)多產(chǎn)以及第三方網(wǎng)絡(luò)SiIPS縣局廣域網(wǎng)縣局廣域網(wǎng)鏈路聚合鏈路聚合二級系統(tǒng)域桌面終端域營銷系統(tǒng)域SiSiSi應(yīng)用服務(wù)器

圖：典型信息網(wǎng)絡(luò)現(xiàn)狀

主要問題：

各安全域之間缺乏有效的控制措施不能夠保障業(yè)務(wù)系統(tǒng)安全、獨立運

行，不受其他業(yè)務(wù)系統(tǒng)的影響。

根據(jù)GB/T22239-201*《信息安全技術(shù)信息安全等級保護基本要求》和《國家電網(wǎng)公司信息化“SG186”工程安全防護總體方案》的建設(shè)要求，省公司和各地市信息網(wǎng)絡(luò)安全域需根據(jù)業(yè)務(wù)系統(tǒng)等級進行重新劃分。3.2安全域劃分方法

依據(jù)國家電網(wǎng)公司安全分區(qū)、分級、分域及分層防護的原則，管理信息大區(qū)按照雙網(wǎng)隔離方案又分為信息內(nèi)網(wǎng)與信息外網(wǎng)。本方案主要針對公司信息系統(tǒng)進行等級保護建設(shè)。在進行安全防護建設(shè)之前，首先實現(xiàn)對信息系統(tǒng)的安全域劃分。

依據(jù)SG186總體方案中“二級系統(tǒng)統(tǒng)一成域，三級系統(tǒng)獨立分域”的要求，結(jié)合省公司MPLSVPN現(xiàn)狀，采用縱向MPLSVPN結(jié)合VLAN劃分的方法，將全省信息系統(tǒng)分為：

信息內(nèi)網(wǎng)區(qū)域可分為：

電力市場交易系統(tǒng)MPLSVPN（或相應(yīng)縱向通道）：包含省公司電力市

場交易應(yīng)用服務(wù)器VLAN、省公司電力市場交易辦公終端；

財務(wù)管理系統(tǒng)MPLSVPN（或相應(yīng)縱向通道）：包含省公司財務(wù)管理系

統(tǒng)VLAN、省公司財務(wù)辦公終端VLAN、各地市財務(wù)辦公終端VLAN（13個）；

營銷管理系統(tǒng)MPLSVPN（或相應(yīng)縱向通道）：省公司營銷系統(tǒng)VLAN、

省公司營銷辦公終端VLAN、各地市營銷系統(tǒng)VLAN（13個）、各地市營銷辦公終端VLAN（13個）

二級系統(tǒng)MPLSVPN（或相應(yīng)縱向通道）（二級系統(tǒng)包括：內(nèi)部門戶（網(wǎng)

站）、生產(chǎn)管理信息系統(tǒng)、協(xié)同辦公系統(tǒng)、人力資源管理系統(tǒng)、物資管理系統(tǒng)、項目管理系統(tǒng)和郵件系統(tǒng)）：

公共服務(wù)MPLSVPN（或相應(yīng)縱向通道）：包含DNS、FTP等全省需要

訪問的公共服務(wù)信息內(nèi)網(wǎng)桌面終端域信息外網(wǎng)區(qū)的系統(tǒng)可分為：

電力市場交易系統(tǒng)域營銷管理系統(tǒng)域（95598）外網(wǎng)二級系統(tǒng)域（外網(wǎng)門戶等）信息外網(wǎng)桌面終端域

安全域的具體實現(xiàn)采用物理防火墻隔離、虛擬防火墻隔離或Vlan隔離等形式進行安全域劃分。3.3安全域邊界3.3.1

二級系統(tǒng)邊界

二級系統(tǒng)域存在的邊界如下表：

邊界類型第三方網(wǎng)絡(luò)邊界縱向網(wǎng)絡(luò)邊界Internet邊界省公司與華北電網(wǎng)公司間、省公司與其地市公司之間在信息內(nèi)外網(wǎng)區(qū)與桌面終端域的邊界在信息內(nèi)外網(wǎng)區(qū)與基礎(chǔ)系統(tǒng)域的邊界橫向域間邊界與財務(wù)系統(tǒng)域之間的邊界與電力市場交易系統(tǒng)域的邊界與營銷管理系統(tǒng)域間的邊界二級系統(tǒng)域的網(wǎng)絡(luò)邊界拓撲示意圖如下：

邊界描述

3.3.2

三級系統(tǒng)邊界

財務(wù)管理系統(tǒng)、電力市場交易系統(tǒng)和營銷系統(tǒng)均涉及信息內(nèi)網(wǎng)與銀行聯(lián)網(wǎng)存在第三方網(wǎng)絡(luò)邊界接口、省公司與地市公司之間網(wǎng)絡(luò)邊界接口、信息內(nèi)網(wǎng)橫向域間其它二級系統(tǒng)域間接口，電力市場交易系統(tǒng)還涉及信息外網(wǎng)與Internet存在第三方網(wǎng)絡(luò)邊界接口。

三級系統(tǒng)域存在的邊界如下表：邊界類型邊界描述與Internet互聯(lián)網(wǎng)的邊界，實現(xiàn)：公共服務(wù)通道（邊遠站所、移動服務(wù)、PDA現(xiàn)場服務(wù)、居民集中抄表、負控終端采集、搶修車輛GPS定位等）與其他社會代收機構(gòu)連接（VPN）網(wǎng)上營業(yè)廳短信服務(wù)時鐘同步銀企互聯(lián)邊界信息內(nèi)網(wǎng)第三方邊界縱向網(wǎng)絡(luò)邊界橫向域間邊界與其他社會代收機構(gòu)的邊界（專線連接）公共服務(wù)通道（專線、GPRS、CDMA等）省公司與地市公司與二級系統(tǒng)域間的邊界與內(nèi)外網(wǎng)桌面終端域的邊界信息外網(wǎng)第三方邊界

與內(nèi)外網(wǎng)基礎(chǔ)系統(tǒng)域的邊界與其它三級域之間的邊界三級系統(tǒng)域的網(wǎng)絡(luò)邊界拓撲示意圖如下：

3.4安全域的實現(xiàn)形式

安全域?qū)崿F(xiàn)方式以劃分邏輯區(qū)域為主，旨在實現(xiàn)各安全區(qū)域的邏輯劃分，明確邊界以對各安全域分別防護，并且進行域間邊界控制，安全域的實體展現(xiàn)為一個或多個物理網(wǎng)段或邏輯網(wǎng)段的集合。對公司信息系統(tǒng)安全域的劃分手段采用如下方式：

防火墻安全隔離：采用雙接口或多接口防火墻進行邊界隔離，在每兩個

安全域的邊界部署雙接口防火墻，或是采用多接口防火墻的每個接口分別與不同的安全域連接以進行訪問控制。

虛擬防火墻隔離：采用虛擬防火墻實現(xiàn)各安全域邊界隔離，將一臺防火

墻在邏輯上劃分成多臺虛擬的防火墻，每個虛擬防火墻系統(tǒng)都可以被看成是一臺完全獨立的防火墻設(shè)備，可擁有獨立的系統(tǒng)資源、管理員、安全策略、用戶認證數(shù)據(jù)庫等。在本方案實現(xiàn)中，可以為每個安全域建立獨立的虛擬防火墻進行邊界安全防護。

三層交換機Vlan隔離：采用三層交換機為各安全域劃分Vlan，采用交

換機訪問控制列表或防火墻模塊進行安全域間訪問控制。

二層交換機Vlan隔離：在二層交換機上為各安全域劃分Vlan，采用

Trunk與路由器或防火墻連接，在上聯(lián)的路由器或防火墻上進行訪問控制。

對于一個應(yīng)用的子系統(tǒng)跨越多個物理環(huán)境如設(shè)備機房所帶來的分域問題，由于安全域為邏輯區(qū)域，可以將公司層面上的多個物理網(wǎng)段或子網(wǎng)歸屬于同一安全域?qū)崿F(xiàn)安全域劃分。3.5安全域劃分及邊界防護3.5.1

安全域的劃分

結(jié)合SG186總體方案中定義的“二級系統(tǒng)統(tǒng)一成域，三級系統(tǒng)獨立分域”，在不進行物理網(wǎng)絡(luò)調(diào)整的前提下，將財務(wù)系統(tǒng)和物資與項目系統(tǒng)進行分離，使三級財務(wù)系統(tǒng)獨立成域，二級系統(tǒng)物資和項目管理歸并和其他二級系統(tǒng)統(tǒng)一成域，在VPN內(nèi)，建立ACL控制桌面終端與服務(wù)器間的訪問，現(xiàn)將省公司信息系統(tǒng)邏輯安全域劃分如下：

山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山SiSi山山山山山山山山山山山山山山山山山圖：省公司內(nèi)網(wǎng)邏輯劃分圖

營銷服務(wù)器財務(wù)服務(wù)器電力市場交易服務(wù)器二級系統(tǒng)安全域（內(nèi)網(wǎng)門戶、物資、項目、生產(chǎn)等）公共應(yīng)用服務(wù)安全域（DNS、車輛管理等）省公司桌面終端營銷終端財務(wù)終端電力市場交易終端電力市場交易MPLSVPN營銷MPLSVPN財務(wù)MPLSVPN營銷服務(wù)器財務(wù)終端營銷終端地市公司二級系統(tǒng)安全域（內(nèi)網(wǎng)門戶、生產(chǎn)等）桌面終端圖：全省信息系統(tǒng)MPLSVPN安全域劃分邏輯圖

Internet防火墻設(shè)備或訪問控制措施其他應(yīng)用服務(wù)應(yīng)用服務(wù)器外網(wǎng)門戶防火墻電力市場交易信息外網(wǎng)應(yīng)用服務(wù)器區(qū)域95598Si信息外網(wǎng)桌面終端域

圖：信息外網(wǎng)安全域劃分邏輯圖

在原有的MPLSVPN的基礎(chǔ)上結(jié)合VLAN劃分方法，根據(jù)等級保護及國網(wǎng)SG186總體防護方案有求，對全省信息系統(tǒng)進行安全域劃分。

1)三級系統(tǒng)與二級系統(tǒng)進行分離：

集中集成區(qū)域的三臺小型機采用集群模式部署了財務(wù)、物資、項目這三個業(yè)務(wù)系統(tǒng)，由于財務(wù)為三級業(yè)務(wù)系統(tǒng)，應(yīng)要獨立成域，必須將財務(wù)系統(tǒng)從集群中分離出來，安裝在獨立的服務(wù)器或者小型機上，接入集中集成區(qū)域或新大樓服務(wù)器

區(qū)。

2)劃分安全域，明確保護邊界：

采用MPLSVPN將三級系統(tǒng)劃分為獨立安全域。財務(wù)系統(tǒng)MPLSVPN、電力市場交易系統(tǒng)MPLSVPN、營銷系統(tǒng)MPLSVPN、二級系統(tǒng)安全域、桌面安全域、公共應(yīng)用服務(wù)安全域。二級系統(tǒng)安全域包含除三級系統(tǒng)外的所有應(yīng)用系統(tǒng)服務(wù)器；桌面安全域包含各業(yè)務(wù)部門桌面終端VLAN；公共引用服務(wù)安全域為全省均需要訪問的應(yīng)用服務(wù)器，如DNS等。

目前信息外網(wǎng)存在三大業(yè)務(wù)系統(tǒng)：外網(wǎng)門戶、營銷系統(tǒng)95598網(wǎng)站、電力市場交易系統(tǒng)外網(wǎng)網(wǎng)站。根據(jù)等級保護要求應(yīng)將營銷系統(tǒng)95598網(wǎng)站和電力市場交易系統(tǒng)外網(wǎng)網(wǎng)站分別劃分獨立的VLAN，并在邊界防火墻上設(shè)置符合等級保護三級要求的VLAN訪問控制策略。

3)部署訪問控制設(shè)備或設(shè)置訪問控制規(guī)則

在各安全域邊界設(shè)置訪問控制規(guī)則，其中安全域邊界按照“安全域邊界”章節(jié)所列舉的邊界進行防護。訪問控制規(guī)則可以采用交換機訪問控制策略或模塊化邏輯防火墻的形式實現(xiàn)。

二級系統(tǒng)安全域邊界訪問控制規(guī)則可以通過交換機的訪問控制規(guī)則實現(xiàn)，訪問控制規(guī)則滿足如下條件：

根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制

粒度為網(wǎng)段級。

按用戶和系統(tǒng)之間的允許訪問規(guī)則，控制粒度為單個用戶。

三級系統(tǒng)安全域邊界的安全防護需滿足如下要求：

根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；

對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對應(yīng)用層協(xié)議命令級的控制。

4)入侵檢測系統(tǒng)部署：

二級系統(tǒng)、三級系統(tǒng)安全域內(nèi)應(yīng)部署入侵檢測系統(tǒng)，并根據(jù)業(yè)務(wù)系統(tǒng)情況制定入侵檢測策略，檢測范圍應(yīng)包含二級系統(tǒng)服務(wù)器、三級系統(tǒng)服務(wù)器、其他應(yīng)用服務(wù)器，入侵檢測應(yīng)滿足如下要求：

定制入侵檢測策略，如根據(jù)所檢測的源、目的地址及端口號，所需監(jiān)測的服務(wù)類型以定制入侵檢測規(guī)則；定制入侵檢測重要事件即時報警策略；

入侵檢測至少可監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；

當檢測到攻擊行為時，入侵檢測系統(tǒng)應(yīng)當記錄攻擊源IP、攻擊類型、攻擊目的IP、攻擊時間，在發(fā)生嚴重入侵事件時應(yīng)能提供及時的報警信息。

4.信息安全管理建設(shè)

4.1建設(shè)目標

省公司信息系統(tǒng)的管理與運維總體水平較高，各項管理措施比較到位，經(jīng)過多年的建設(shè)，已形成一整套完備有效的管理制度。省公司通過嚴格、規(guī)范、全面的管理制度，結(jié)合適當?shù)募夹g(shù)手段來保障信息系統(tǒng)的安全。管理規(guī)范已經(jīng)包含了信息安全策略、信息安全組織、資產(chǎn)管理、人力資源安全、物理與環(huán)境安全、通訊與操作管理、訪問控制、信息系統(tǒng)的獲取、開發(fā)和維護、信息安全事故管理、業(yè)務(wù)連續(xù)性管理等方面，但與《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》存在一定的差距，需進行等級保護建設(shè)。

通過等級保護管理機構(gòu)與制度建設(shè)，完善公司信息系統(tǒng)管理機構(gòu)和管理制

度，落實《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》管理制度各項指標和要求,提高公司信息系統(tǒng)管理與運維水平。通過等級保護建設(shè)，實現(xiàn)如下目標：

1)落實《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》管理制度各項指

標和要求。

2)在公司信息安全總體方針和安全策略的引導(dǎo)下，各管理機構(gòu)能按時需要

規(guī)劃公司信息安全發(fā)展策略，及時發(fā)布公司各類信息安全文件和制度，對公司各類安全制度中存在的問題定期進行修訂與整改。

3)系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等信息安全管理與運維工作明確，

明確安全管理機構(gòu)各個部門和崗位的職責(zé)、分工和技能要求。4)在安全技術(shù)培訓(xùn)與知識交流上，能擁有安全業(yè)界專家、專業(yè)安全公司或

安全組織的技術(shù)支持，以保證省公司信息系統(tǒng)安全維護符合各類安全管理要求并與時俱進。

5.二級系統(tǒng)域建設(shè)

5.1概述與建設(shè)目標

二級系統(tǒng)域是依據(jù)等級保護定級標準將國家電網(wǎng)公司應(yīng)用系統(tǒng)定為二級的所有系統(tǒng)的集合，按分等級保護方法將等級保護定級為二級的系統(tǒng)集中部署于二級系統(tǒng)域進行安全防護，二級系統(tǒng)域主要涵蓋與二級系統(tǒng)相關(guān)的主機、服務(wù)器、網(wǎng)絡(luò)等。

省公司二級系統(tǒng)主要包括內(nèi)部門戶（網(wǎng)站）、對外門戶（網(wǎng)站）、生產(chǎn)管理信息系統(tǒng)、協(xié)同辦公系統(tǒng)、人力資源管理系統(tǒng)、物資管理系統(tǒng)、項目管理系統(tǒng)和郵件系統(tǒng)等共8個二級系統(tǒng)，除對外門戶外，其它七個內(nèi)網(wǎng)二級系統(tǒng)需按二級系統(tǒng)要求統(tǒng)一成域進行安全防護。

二級系統(tǒng)域等級保護建設(shè)目標是落實《信息安全技術(shù)信息安全等級保護基本要求》中二級系統(tǒng)各項指標和要求，實現(xiàn)信息系統(tǒng)二級系統(tǒng)統(tǒng)一成域，完善二級系統(tǒng)邊界防護，配置合理的網(wǎng)絡(luò)環(huán)境，增強二級系統(tǒng)主機系統(tǒng)安全防護及二級系

統(tǒng)各應(yīng)用的安全與穩(wěn)定運行。

針對《信息安全技術(shù)信息安全等級保護基本要求》中二級系統(tǒng)各項指標和要求，保障系統(tǒng)穩(wěn)定、安全運行，本方案將二級系統(tǒng)域安全解決方案分為邊界防護、網(wǎng)絡(luò)環(huán)境、主機系統(tǒng)及應(yīng)用安全四個層面進行安全建設(shè)。5.2網(wǎng)絡(luò)安全5.2.1

網(wǎng)絡(luò)安全建設(shè)目標

省公司下屬各地市公司網(wǎng)絡(luò)安全建設(shè)按照二級系統(tǒng)要求進行建設(shè)，通過等級保護建設(shè)，實現(xiàn)如下目標：

1)網(wǎng)絡(luò)結(jié)構(gòu)清晰，具備冗余空間滿足業(yè)務(wù)需求，根據(jù)各部門和業(yè)務(wù)的需求，

劃分不同的子網(wǎng)或網(wǎng)段，網(wǎng)絡(luò)圖譜圖與當前運行情況相符；

2)各網(wǎng)絡(luò)邊界間部署訪問控制設(shè)備，通過訪問控制功能控制各業(yè)務(wù)間及辦

公終端間的訪問；

3)啟用網(wǎng)絡(luò)設(shè)備安全審計，以追蹤網(wǎng)絡(luò)設(shè)備運行狀況、設(shè)備維護、配置修

改等各類事件；

4)網(wǎng)絡(luò)設(shè)備口令均符合國家電網(wǎng)公司口令要求，采用安全的遠程控制方法

對網(wǎng)絡(luò)設(shè)備進行遠程控制。

5.2.2

地市公司建設(shè)方案

根據(jù)測評結(jié)果，地市公司信息網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備及技術(shù)方面主要存在以下問題：

1)網(wǎng)絡(luò)設(shè)備的遠程管理采用明文的Telnet方式；

2)部分網(wǎng)絡(luò)設(shè)備采用出廠時的默認口令，口令以明文的方式存儲于配置文

件中；

3)交換機、IDS等未開啟日志審計功能，未配置相應(yīng)的日志服務(wù)器；4)供電公司內(nèi)網(wǎng)與各銀行間的防火墻未配置訪問控制策略；5)網(wǎng)絡(luò)設(shè)備采用相同的SNMP口令串進行管理；

6)未開啟網(wǎng)絡(luò)設(shè)備登錄失敗處理功能，未限制非法登錄次數(shù)，當網(wǎng)絡(luò)登錄

連接超時時未設(shè)置自動退出等措施；

7)缺少對內(nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過準許私自聯(lián)到外部網(wǎng)絡(luò)的行

為進行檢查與監(jiān)測措施；

8)未限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；9)未限制具有撥號訪問權(quán)限的用戶數(shù)量。

針對以上問題，結(jié)合《信息安全技術(shù)信息安全等級保護基本要求》給出相應(yīng)整改方案如下：

1)關(guān)閉防火墻、交換機和IDS的telnet服務(wù)，啟用安全的管理服務(wù)，如

SSH和https。部分不支持SSH的交換機應(yīng)在交換機上限制可telnet遠程管理的用戶地址，實施配置如下（以思科交換機為例）：

Router#configterminalRouter(config)#access-list10permittcp10.144.99.1200.0.0.0eq23any（只允許10.144.99.120機器telnet登錄，如需配置某一網(wǎng)段可telnet遠程管理，可配置為：access-list10permittcp10.144.99.10.0.0.255eq23any）Router(config)#linevty04（配置端口0-4）Router(Config-line)#Transportinputtelnet（開啟telnet協(xié)議，如支持ssh，可用ssh替換telnet）Router(Config-line)#exec-timeout50

Router(Config-line)#access-class10inRouter(Config-line)#endRouter#configterminalRouter(config)#linevty515Router(Config-line)#nologin(建議vty開放5個即可，多余的可以關(guān)閉)Router(Config-line)#exitRouter(Config)#exitRouter#write2)修改網(wǎng)絡(luò)設(shè)備出廠時的默認口令，且修改后的口令應(yīng)滿足長度大于等于

8位、含字母數(shù)字和字符的強度要求，其它不滿足此口令強度要求的，均應(yīng)要進行修改。部分樓層接入交換機，應(yīng)及時修改口令；交換機應(yīng)修改其SNMP口令串；防火墻口令應(yīng)滿足口令強度要求。交換機SNMP口令串修改實施步驟如下（以思科交換機為例）：

Router#configterminalRouter(config)#nosnmp-servercommunityCOMMUNITY-NAME1RO（刪除原來具有RO權(quán)限的COMMUNITY-NAME1）Router(config)#snmp-servercommunityCOMMUNITY-NAMERO（如需要通過snmp進行管理，則創(chuàng)建一個具有讀權(quán)限的COMMUNITY-NAME，若COMMUNITY-NAME權(quán)限為RW,則將命令行中RO更改為RW）Router(config)#snmp-serverenabletraps（允許發(fā)出Trap）Router(config)#exitRouter#write3)交換機、IDS和防火墻等應(yīng)開啟日志審計功能，并配置日志服務(wù)器保存

交換機、IDS和防火墻的日志信息。以思科交換機為例，日志審計和日志收集存儲于服務(wù)器實施配置如下：

Route#configterminal

Route(config)#loggingon（啟用日志審計）

Route(config)#loggingconsolenotification（設(shè)置控制等級為5級：notification）Route(config)#!Seta16Klogbufferatinformationlevel

Route(config)#loggingbuffered16000information（設(shè)置其大小為16K）Route(config)#!turnontime/datestampsinlogmessages

Route(config)#servicetimestamplogdatetimemseclocalshow-timezoneRoute(config)#!setmonitorloggingleveltolevel6Route(config)#loggingmonitorinformationRoute(config)#exit

Route#!makethissessionreceivelogmessagesRoute#terminalmonitorRoute#configterminal

Route(config)#loggingtrapinformation（控制交換機發(fā)出日志的級別為6級：information）

Route(config)#logging192.168.10.188（將日志發(fā)送到192.168.10.188，如需修改服務(wù)器，可采用Route(config)#nologging192.168.10.188刪除，然后重新配置日志服務(wù)器）

Route(config)#loggingfacilitylocal6

Route(config)#loggingsource-interfaceFastEthernet0/1（設(shè)置發(fā)送日志的以太網(wǎng)口）

Route(config)#exitRoute#configterminalRoute(config)#loggingtrapinformationRoute(config)#snmp-serverhost192.168.10.1trapspublic（配置發(fā)送trap信息主機）Route(config)#snmp-servertrap-sourceEthernet0/1Route(config)#snmp-serverenabletrapssyslogRoute(config)#exitRoute#write4)供電公司內(nèi)網(wǎng)與各銀行和移動或電信間的防火墻應(yīng)配置訪問控制策略

保證供電公司信息內(nèi)網(wǎng)的安全。

5)根據(jù)《國家電網(wǎng)公司信息系統(tǒng)口令管理規(guī)定》制定或沿用其以管理省公

司網(wǎng)絡(luò)設(shè)備口令�！秶�家電網(wǎng)公司信息系統(tǒng)口令管理規(guī)定》具體內(nèi)容如下：

第四條口令必須具有一定強度、長度和復(fù)雜度，長度不得小于8位字符串，要求是字母和數(shù)字或特殊字符的混合，用戶名和口令禁止相同。第五條個人計算機必須設(shè)置開機口令和操作系統(tǒng)管理員口令，并開啟屏幕保護中的密碼保護功能。第六條口令要及時更新，要建立定期修改制度，其中系統(tǒng)管理員口令修改間隔不得超過3個月，并且不得重復(fù)使用前3次以內(nèi)的口令。用戶登錄事件要有記錄和審計，同時限制同一用戶連續(xù)失敗登錄次數(shù)，一般不超過3次。6)所有網(wǎng)絡(luò)設(shè)備均應(yīng)開啟網(wǎng)絡(luò)設(shè)備登錄失敗處理功能、限制非法登錄次

數(shù)、當網(wǎng)絡(luò)登錄連接超時時自動退出等措施。以思科交換機為例，網(wǎng)絡(luò)

登錄連接超時時自動退出實施如下：

Router#configterminalRouter(Config)#linecon0配置控制口Router(Config-line)#exec-timeout50設(shè)置超時5分鐘Router(Config-line)#exitRouter(Config)#exitRouter#write7)部署桌面管理系統(tǒng)，對內(nèi)部網(wǎng)絡(luò)中的用戶網(wǎng)絡(luò)連接狀態(tài)進行實時監(jiān)控，

以保證內(nèi)部用戶不可私自聯(lián)到外部網(wǎng)絡(luò)；配置桌面管理系統(tǒng)策略，對私自連接到外網(wǎng)的內(nèi)部用戶進行準確定位并阻斷內(nèi)外網(wǎng)互通。

8)在交換機上限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)，通過限制某些網(wǎng)段網(wǎng)絡(luò)

服務(wù)提高網(wǎng)絡(luò)通信流量。以思科交換機為例，實施配置如下：

Router#configterminalRouter(config)#access-list101denytcp172.16.3.00.0.0.255anywww（禁止172.16.3.0網(wǎng)段訪問Internet）Router(config)#access-list102denytcp172.16.5.00.0.0.255anyftp（禁止172.16.5.0網(wǎng)段ftp服務(wù)）Router(config)#ipnattranslationmax-entries172.16.55.00.0.0.255200（限制172.16.55.0網(wǎng)段的主機NAT的條目為200條）Route(config)#exitRoute#write限制具有撥號訪問權(quán)限的用戶。由于營銷系統(tǒng)存儲EMC，需要進行遠程撥

號維護；需要關(guān)閉遠程撥號服務(wù)，采用更為安全的管理維護方式。5.3主機安全5.3.1

主機安全建設(shè)目標

省公司及其各地市公司信息中心對主機進行了一定的安全策略配置，并建立相關(guān)安全管理制度，由專人負責(zé)主機安全運行與維護，總體安全性較高。但仍有一些安全問題亟待解決，如安全審計不嚴格、開啟非必須服務(wù)以及默認的用戶口令策略等。

針對省公司及其地市公司二級系統(tǒng)主機存在的問題，結(jié)合《信息安全技術(shù)信息安全等級保護基本要求》，從主機身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范和資源控制等方面進行主機安全等級保護建設(shè)與改造，以實現(xiàn)以下目標：

1)對主機的登錄有嚴格的身份標識和鑒別；

2)有嚴格的訪問控制策略限制用戶對主機的訪問與操作；3)有嚴密的安全審計策略保證主機出現(xiàn)故障時可查；4)擁有相關(guān)技術(shù)手段，抵抗非法入侵和惡意代碼攻擊。5.3.2

主機身份鑒別

省公司及地市公司主機身份鑒別現(xiàn)狀與等級保護要求存在一定的差距，應(yīng)對以下幾個方面進行完善主機身份鑒別：

1)對登錄操作系統(tǒng)的用戶進行身份標識和鑒別；

2)操作系統(tǒng)管理用戶身份標識具有不易被冒用的特點，口令有復(fù)雜度并定

期更換；

3)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退

出等措施；

4)對服務(wù)器進行遠程管理時，采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過

程中被竊聽；整改措施：

1)對登錄操作系統(tǒng)的管理員用戶和普通用戶均設(shè)置口令；刪除操作系統(tǒng)中

過期的賬戶，修改操作系統(tǒng)中默認帳戶和口令，檢查操作系統(tǒng)中是否存在相同用戶名的賬戶。操作系統(tǒng)AIX操作方式1.檢查/etc/passwd密碼域中存在“*”的帳戶，刪除不必要的賬戶，或增設(shè)口令；1.刪除非法帳號或多余帳號，更改默認管理員帳號，將原Administrator名稱改成不被人熟識的帳戶，新建一個普通用戶，將其重命名為Administrator，并將其權(quán)限設(shè)為最低，口令復(fù)雜度為32位以上；2.選擇“本地用戶和組”的“用戶”，可設(shè)置口令、刪除或禁用非必需賬戶或禁用Guest賬戶。WINDOWS注：管理員賬號Administrator重命名后，可能會導(dǎo)致某些服務(wù)不能用，如SQLServer數(shù)據(jù)庫可能無法啟動，修改前，需在備機上進行測試運行一周時間，無任何問題，再在主機上進行修改。

2)增強操作系統(tǒng)口令強度設(shè)置：操作系統(tǒng)操作方式1.修改passwd參數(shù)：/etc/security/user-maxage=30口令最長生存期30天-maxrepeat=4每個口令在系統(tǒng)中重復(fù)出現(xiàn)的次數(shù)AIX-minalpha=4口令中最小含有的字符個數(shù)-mindiff=2新口令不同于舊口令的最小個數(shù)-minlen=8口令最短長度（包含字母、數(shù)字和特殊字符）1.修改“密碼策略”，開啟復(fù)雜性要求，設(shè)置口令最小長度等：WINDOWS密碼復(fù)雜性要求啟用密碼長度最小值8字符密碼最長存留期30天

密碼最短存留期0天復(fù)位帳戶鎖定計數(shù)器10分鐘帳戶鎖定時間帳戶鎖定閥值10分鐘5次注：設(shè)置密碼策略后可能導(dǎo)致不符合密碼策略的帳號無法登錄。在修改密碼策略前，需修改不符合帳號策略的密碼使其符合策略要求，最后再修改密碼策略。

3)啟用登錄失敗處理功能，設(shè)置限制非法登錄次數(shù)和自動退出等措施。操作系統(tǒng)操作方式1.配置登錄策略：修改/etc/security/login.cfg文件logindelay=3失敗登錄后延遲3秒顯示提示符logindisable=55次失敗登錄后鎖定端口AIXlogininterval=60在60秒內(nèi)3次失敗登錄才鎖定端口loginreenable＝15端口鎖定15分鐘后解鎖2.增加或修改/etc/profile文件中如下行：TMOUT=600;1.修改“賬戶鎖定策略”，設(shè)置帳戶鎖定相關(guān)設(shè)置：復(fù)位賬戶鎖定計數(shù)器15分鐘WINDOWS賬戶鎖定時間15分鐘賬戶鎖定閾值5次4)當對服務(wù)器進行遠程管理時，對于UNIX類服務(wù)器，用當前穩(wěn)定版本的

SSH等安全工具取代明文傳輸?shù)膖elnet，并及時升級，保證傳輸數(shù)據(jù)的安全性；對于windows類服務(wù)器，關(guān)閉不必要的telnet服務(wù)，采用加密或認證的方式保證數(shù)據(jù)才網(wǎng)絡(luò)傳輸過程中的保密性、完整性和可用性。操作系統(tǒng)root:admin=trueSYSTEM="compat"loginretries=0account_locked=falserlogin=false操作方式1.增加或修改/etc/security/user文件中如下行AIX

如果無法禁用telnet服務(wù)，也可使用TCPwrapper、防火墻或包過濾技術(shù)禁止不可信IP對telnet服務(wù)（例如23/TCP端口）訪問。1.禁用不需要的服務(wù)，如remoteRegistry、telnet等（遠程管理注冊表，開啟此服務(wù)帶來一定的風(fēng)險）。2.采用其他加密的遠程桌面管理軟件代替遠程桌面管理，或者在遠程桌面管理上啟用證書認證系統(tǒng)。WINDOWS

注：應(yīng)用系統(tǒng)或程序可能對特定的系統(tǒng)服務(wù)有依賴關(guān)系，在未確定某個服務(wù)是否需要前，請勿關(guān)閉該服務(wù)，否則會影響應(yīng)用系統(tǒng)或程序的正常運行。5.3.3

訪問控制

省公司及地市公司主機身份鑒別現(xiàn)狀與等級保護要求存在一定的差距，應(yīng)對以下幾個方面進行完善：

1)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問；2)實現(xiàn)操作系統(tǒng)特權(quán)用戶的權(quán)限分離；

3)限制默認帳戶的訪問權(quán)限，重命名系統(tǒng)默認帳戶，修改帳戶的默認口令；4)及時刪除多余的、過期的帳戶，避免共享帳戶的存在。整改措施：

1)在交換機和防火墻上設(shè)置不同網(wǎng)段、不同用戶對服務(wù)器的訪問控制權(quán)

限；關(guān)閉操作系統(tǒng)開啟的默認共享，對于需開啟的共享及共享文件夾設(shè)置不同的訪問權(quán)限，對于操作系統(tǒng)重要文件和目錄需設(shè)置權(quán)限要求。操作系統(tǒng)/bin；/sbin；操作方式1.修改普通用戶對下列文件的權(quán)限：AIX/etc；/etc/passwd；/etc/group；

/usr/bin；WINDOWS1.修改訪問控制策略，將注冊標中restrictanonymous值改為1；2.刪除不必要的共享文件夾或修改其權(quán)限，重要共享文件夾的權(quán)限屬性不能為everyone完全控制。2)設(shè)置不同的管理員對服務(wù)器進行管理，分為系統(tǒng)管理員、安全管理員、

安全審計員等以實現(xiàn)操作系統(tǒng)特權(quán)用戶的權(quán)限分離，并對各個帳戶在其工作范圍內(nèi)設(shè)置最小權(quán)限，如系統(tǒng)管理員只能對系統(tǒng)進行維護，安全管理員只能進行策略配置和安全設(shè)置，安全審計員只能維護審計信息等。3)限制默認帳戶的訪問權(quán)限，重命名系統(tǒng)默認帳戶，修改帳戶的默認口令；

刪除操作系統(tǒng)和數(shù)據(jù)庫中過期或多余的賬戶，禁用無用帳戶或共享帳戶。操作系統(tǒng)AIX操作方式1.禁用文件/etc/security/user中，sys,bin,uucp,nuucp,daemon等系統(tǒng)默認帳戶。在用戶前面加上注釋號“#”1.修改administrator名稱，將原Administrator名稱改成不被人熟識的帳戶，同時將一個普通帳戶名稱改成Administrator，登錄普通帳戶執(zhí)行系統(tǒng)所有操作；2.禁用Guest賬號。WINDOWS4)根據(jù)管理用戶的角色分配權(quán)限，實現(xiàn)管理用戶的權(quán)限分離，僅授予管理

用戶所需的最小權(quán)限。操作系統(tǒng)AIXWINDOWS5.3.4

安全審計

操作方式1.更改默認口令。使用smit或增加、修改/etc/security/user下各用戶的設(shè)置：將su=true更改為su=false1.修改管理用戶的權(quán)限；省公司及地市公司主機訪問控制現(xiàn)狀與等級保護要求存在一定的差距，需對

以下幾個方面進行完善：

1)審計范圍覆蓋到服務(wù)器和重要客戶端上的每個操作系統(tǒng)用戶；2)審計內(nèi)容包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使

用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；

3)審計記錄包括事件的日期、時間、類型、主體標識、客體標識和結(jié)果等；4)保護審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。整改措施：

1)審計范圍覆蓋到服務(wù)器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫

用戶。操作系統(tǒng)1.開啟syslog功能：正在審查開bin處理開操作方式審查事件開審查目標開審核啟用AIX2.ftp審計。缺省情況下，系統(tǒng)不會記錄使用ftp連接和傳輸文件的日志，這會對系統(tǒng)造成安全隱患，尤其在用戶使用匿名ftp方式時。為了避免這種情況發(fā)生，可用如下的步驟使系統(tǒng)記錄ftp的日志：1）修改/etc/syslog.conf文件，并加入一行：daemon.infoftplog其中FileName是日志文件的名字，它會跟蹤FTP的活動，包括匿名和其他用戶ID。FileName文件必須在做下一步驟前創(chuàng)建。2）運行"refresh-ssyslogd"命令刷新syslogd后臺程序。3）修改/etc/inetd.conf文件，修改下面的數(shù)據(jù)行：ftpstreamtcp6nowaitroot/usr/sbin/ftpdftpd-l4）運行“refresh-sinetd”命令刷新inetd后臺程序。WINDOWS1.開啟日志審計功能；

2.修改普通用戶對日志等安全審計方式的權(quán)限配置，只有管理員用戶有查看、修改、刪除等權(quán)限；2)審計內(nèi)容包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使

用等系統(tǒng)內(nèi)重要的安全相關(guān)事件。操作系統(tǒng)AIX操作方式1.更改默認口令。使用smit或增加、修改/etc/security/user下各用戶的設(shè)置：將su=true更改為su=false1.修改安全審計策略：審核策略更改審核登錄事件審核對象訪問WINDOWS審核過程追蹤審核目錄服務(wù)訪問審核特權(quán)使用審核系統(tǒng)事件審核帳戶登錄事件審核帳戶管理成功成功,失敗成功,失敗無審核無審核無審核成功,失敗成功,失敗成功,失敗

3)審計記錄包括事件的日期、時間、類型、主體標識、客體標識和結(jié)果等；操作系統(tǒng)AIX操作方式1.修改日志文件，審核記錄應(yīng)包括事件的日期、時間、類型、主體標識、客體標識和結(jié)果等；1.修改“事件查看器”的屬性配置：日志類型大小WINDOWS應(yīng)用日志16384K安全日志16384K覆蓋方式覆蓋早于30天的事件覆蓋早于30天的事件系統(tǒng)日志16384K覆蓋早于30天的事件2.修改“事件類型”、“事件來源”等屬性為“全部”；4)保護審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。

操作系統(tǒng)AIX操作方式1.利用chmod命令修改審計記錄文件的操作權(quán)限，以保證日志記錄文件僅root用戶可訪問和修改。1.修改“事件查看器”的安全屬性配置：“組或用戶名稱”：修改為只有系統(tǒng)管理用戶，刪除Everyone；WINDOWS“用戶權(quán)限”：根據(jù)需要進行“完全控制”、“修改”、“寫入”等權(quán)限的配置；5.3.5

入侵防范

省公司及地市公司主機入侵防范現(xiàn)狀與等級保護要求存在一定的差距，應(yīng)對以下幾個方面進行完善：

1)操作系統(tǒng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過

設(shè)置升級服務(wù)器等方式保持系統(tǒng)補丁及時得到更新。

2)檢測到對重要服務(wù)器進行入侵的行為，能夠記錄入侵的源IP、攻擊的

類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時提供報警。整改措施：

1)操作系統(tǒng)需遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通

過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補丁及時得到更新。操作系統(tǒng)操作方式1.最新補丁可以在下面的URL里找到：利用smit工具安裝補丁。2.禁用TCP/UDP小服務(wù)：在/etc/inetd.conf中，對不需要的服務(wù)前加#，表示注釋此行，格式如下：#echostreamtcpnowaitrootinternal#echodgramudpwaitrootinternal#discardstreamtcpnowaitrootinternalAIX

#discarddgramudpwaitrootinternal#daytimestreamtcpnowaitrootinternal#daytimedgramudpwaitrootinternal#chargenstreamtcpnowaitrootinternal#chargendgramudpwaitrootinternal按上述方法，注釋fingerd、uucp、tftp、talk、ntalk、rquotad、rexd、rstatd、rusersd、rwalld、sprayd、pcnfsd、ttdbserver、cmsd等服務(wù)。最后重啟服務(wù)：refresh-sinetd3.禁用Sendmail、SNMP服務(wù)：編輯文件/etc/rc.tcpip中，在Sendmail、SNMP服務(wù)前加#，表示注釋此行，格式如下：#start/usr/lib/sendmail"$src_running""-bd-q${qpi}"#startupsnmp#start/usr/sbin/snmp"$src_running"1.安裝最新的補丁。使用WSUS或從下載最新的安裝補丁進行安裝。2.關(guān)閉非必需服務(wù)：常見的非必需服務(wù)有：Alerter遠程發(fā)送警告信息ComputerBrowser計算機瀏覽器：維護網(wǎng)絡(luò)上更新的計算機清單Messenger允許網(wǎng)絡(luò)之間互相傳送提示信息的功能，如netsendWINDOWSremoteRegistry遠程管理注冊表，開啟此服務(wù)帶來一定的風(fēng)險PrintSpooler如果相應(yīng)服務(wù)器沒有打印機，可以關(guān)閉此服務(wù)TaskScheduler計劃任務(wù)，查看“控制面板”的“任務(wù)計劃”中是否有計劃，若有，則不關(guān)閉。SNMP簡單網(wǎng)管協(xié)議，如啟用網(wǎng)管應(yīng)用則不關(guān)閉。3.關(guān)閉空連接：編輯注冊表如下鍵值：HKLM\\SYSTEM\\CurrentControlSet\\Control\\Lsa“restrictanonymous”的值修改為“1”，類型為REG_DWORD。

5.3.6惡意代碼防范

省公司及地市公司主機惡意代碼防范現(xiàn)狀與等級保護要求存在一定的差距，其不符合等級保護要求項主要有：

1)安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫。整改措施：

1)及時更新病毒庫，增強防病毒軟件的惡意代碼防護能力以保證信息系統(tǒng)

的安全穩(wěn)定運行。操作系統(tǒng)AIXWINDOWS5.3.7

操作方式1.部署防火墻和IPS等惡意代碼防范設(shè)備，維護AIX系統(tǒng)主機的安全與穩(wěn)定運行。1.及時更新防病毒軟件病毒庫，如Symantecantivirus，并定期進行升級更新。資源控制

省公司及地市公司主機資源控制現(xiàn)狀與等級保護要求存在一定的差距，應(yīng)對以下幾個方面進行完善：

1)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；2)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定；3)限制單個用戶對系統(tǒng)資源的最大或最小使用限度。整改措施：

1)在核心交換機與防火墻上配置詳細的訪問控制策略，限制終端的接入方

式、網(wǎng)絡(luò)地址范圍及其與其他網(wǎng)絡(luò)間的訪問控制（詳細配置見網(wǎng)絡(luò)安全建設(shè)）。

2)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定。

操作系統(tǒng)AIXTMOUT=600;操作方式1.增加或修改/etc/profile文件中如下行：1.打開“控制面板”－>“管理工具”，進入“本地安全策略”。WINDOWS2.修改“賬戶鎖定策略”，設(shè)置帳戶鎖定相關(guān)設(shè)置。3)限制單個用戶對系統(tǒng)資源的最大或最小使用限度。根據(jù)用戶的工作需

求，在滿足其工作需求范圍內(nèi)，修改用戶權(quán)限，并設(shè)置資源使用范圍。操作系統(tǒng)AIXWINDOWS操作方式1.利用root用戶登錄操作系統(tǒng)，修改各帳戶權(quán)限，利用chmod命令修改系統(tǒng)資源權(quán)限。1.用administrator登錄操作系統(tǒng)，修改各帳戶權(quán)限，對需要設(shè)置使用權(quán)限的資源設(shè)置其屬性，進行安全配置：

5.4應(yīng)用安全5.4.1

應(yīng)用安全建設(shè)目標

根據(jù)等級保護前期評測結(jié)果，結(jié)合《信息安全技術(shù)信息安全等級保護基本要求》對二級系統(tǒng)應(yīng)用安全從身份鑒別、訪問控制、安全審計、通信完整性、通信保密性與資源控制等幾個方面進行應(yīng)用系統(tǒng)安全等級保護建設(shè)與改造，通過等級保護建設(shè)，實現(xiàn)如下安全防護目標：

1)對登錄應(yīng)用系統(tǒng)的所有用戶均設(shè)定身份鑒別措施；2)擁有審計系統(tǒng)審計各用戶的相關(guān)操作；

3)有相關(guān)的加密措施，保證應(yīng)用系統(tǒng)數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中的保密性、可

靠性和可用性；

4)應(yīng)用程序具有自恢復(fù)功能，保證運行出錯時可自動恢復(fù)。

5.4.2身份鑒別

省公司及地市公司二級系統(tǒng)應(yīng)用的身份鑒別現(xiàn)狀與等級保護要求存在一定的差距，應(yīng)完善以下幾點：

1)提供用戶身份標識唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不

存在重復(fù)用戶身份標識，身份鑒別信息不易被冒用。整改措施：

1)修改應(yīng)用程序中用戶名與口令設(shè)置模塊，按《國家電網(wǎng)公司應(yīng)用軟件通

用安全要求》增設(shè)用戶名唯一性檢測、口令復(fù)雜度檢測功能，口令復(fù)雜度功能檢測模塊按《國家電網(wǎng)公司信息系統(tǒng)口令管理規(guī)定》進行設(shè)計。

5.4.3

安全審計

省公司及地市公司二級系統(tǒng)應(yīng)用的安全審計現(xiàn)狀與等級保護要求存在一定的差距，應(yīng)對以下幾個方面進行完善：

1)應(yīng)用軟件須提供覆蓋到每個用戶的安全審計功能，對應(yīng)用系統(tǒng)重要安全

事件進行審計；

2)應(yīng)保證無法刪除、修改或覆蓋審計記錄；

3)審計記錄的內(nèi)容至少包括事件的日期、時間、發(fā)起者信息、類型、描述

和結(jié)果等；整改措施：

1)應(yīng)用軟件應(yīng)能夠?qū)⑺�有的安全相關(guān)事件記錄到事件日志中，或者將事件

數(shù)據(jù)安全地發(fā)送到外部日志服務(wù)器。如通過IMS系統(tǒng)記錄應(yīng)用系統(tǒng)日志。2)對日志進程進行保護，避免進程被意外中止、日志記錄被特權(quán)用戶或意

外刪除、修改或覆蓋等；

3)應(yīng)用軟件審計模塊能夠?qū)λ�有與應(yīng)用本身相關(guān)的各類事件進行有效記

錄，包括但不限于以下事件：

(1).(2).(3).(4).(5).

系統(tǒng)管理和配置事件業(yè)務(wù)操作事件成功事件失敗事件

對審計功能的操作

應(yīng)用軟件能夠允許安全管理員選擇需要進行審計的事件項目。應(yīng)用軟件對審計事件的記錄需確�？梢詫⒚總�可審計事件與引起該事件的用戶身份相關(guān)聯(lián)，需要包含并綁定以下信息：

(1).(2).(3).(4).(5).

5.4.4

事件發(fā)生的時間（或時間段）

事件發(fā)起用戶ID、程序ID或其他實體的識別ID用戶操作的客戶端事件內(nèi)容

事件導(dǎo)致的結(jié)果

通信完整性、通信保密性

省公司及地市公司二級系統(tǒng)應(yīng)用的通信完整性與保密性現(xiàn)狀和等級保護要求存在一定的差距，需對以下幾個方面進行完善：

1)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性與保密性；

2)在通信雙方建立連接之前，應(yīng)用系統(tǒng)利用密碼技術(shù)進行會話初始化驗

證。整改措施：

1)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性，密碼技術(shù)需滿足以下要

求：

密碼算法的選擇：應(yīng)用軟件中選擇的密碼算法在強度上要等于或大于公

司規(guī)定和用戶提出的安全強度要求（《國家電網(wǎng)公司信息系統(tǒng)口令管理規(guī)定》中已對算法的安全強度要求給出明確說明）。

密鑰的安全管理：應(yīng)用軟件要在密鑰生成、存儲、分配、銷毀的整個生

命周期中對其實施保護，確保密鑰明文不能被其他進程、程序和應(yīng)用中非相關(guān)組件訪問到。

證書驗證：應(yīng)用軟件應(yīng)該確保能夠?qū)ο到y(tǒng)中使用的證書進行正確鑒別，

而且不會接受或繼續(xù)使用非法的或者無效的證書。

5.4.5

資源控制

省公司及地市公司二級系統(tǒng)應(yīng)用的資源控制現(xiàn)狀與等級保護要求存在一定的差距，應(yīng)對以下幾個方面進行完善：

1)限制對系統(tǒng)的最大并發(fā)會話連接數(shù)；2)限制單個帳戶的多重并發(fā)會話；整改措施

按照《國家電網(wǎng)公司應(yīng)用軟件通用安全要求》對用戶會話管理要求與《信息安全技術(shù)信息安全等級保護基本要求》，二級系統(tǒng)應(yīng)用軟件需限制用戶對系統(tǒng)的最大并發(fā)會話連接數(shù)、限制單個帳戶的多重并發(fā)會話、限制某一時間段內(nèi)可能的并發(fā)會話連接數(shù)等，整改方案如下：

1)應(yīng)用軟件要向系統(tǒng)管理員增設(shè)監(jiān)視工具，以便實時檢測客戶端用戶的連

接狀態(tài)和行為，應(yīng)用軟件必須允許會話發(fā)起的用戶手動終止該會話。2)應(yīng)用軟件能夠自動處理會話的異常狀態(tài)，并且能夠提供給系統(tǒng)管理員適

當?shù)墓芾砉ぞ邔�會話進行實時控制，包括設(shè)置會話超時時間、最大允許會話數(shù)。

3)應(yīng)用軟件能夠確保一個客戶端只能有一個用戶同時登錄到系統(tǒng)中，一個

用戶只允許同時在一個客戶端上登錄到系統(tǒng)中。

5.5數(shù)據(jù)安全及備份恢復(fù)5.5.1

數(shù)據(jù)安全及備份恢復(fù)建設(shè)目標

根據(jù)等級保護前期評測結(jié)果，結(jié)合《信息安全技術(shù)信息安全等級保護基本要求》對二級系統(tǒng)數(shù)據(jù)安全及備份的要求，從數(shù)據(jù)完整性、數(shù)據(jù)保密性和備份與恢復(fù)等幾個方面進行數(shù)據(jù)安全和備份安全等級保護建設(shè)與改造，以期實現(xiàn)如下目標：

1)確保管理數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)等重要信息在傳輸過程與存儲過程中的完整

性與保密性；

2)確保存儲過程中檢測到完整性錯誤時，具有相應(yīng)的措施對信息進行恢

復(fù)。

5.5.2

數(shù)據(jù)完整性、數(shù)據(jù)保密性

省公司及地市公司二級系統(tǒng)數(shù)據(jù)完整性和保密性現(xiàn)狀與等級保護要求存在一定的差距，應(yīng)對以下幾個方面進行完善：

1)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程和存儲中應(yīng)進行加

密，確保信息在傳輸過程和存儲中的完整性和保密性。整改措施：

采用加密、數(shù)字簽名與電子證書等保證系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程與存儲過程中完整性不受到破壞，檢測到完整性錯誤時，根據(jù)采用的完整性防護措施對信息進行恢復(fù)。加密技術(shù)要滿足以下要求：

1)密碼算法的選擇：數(shù)據(jù)傳輸和存儲中選擇的密碼算法在強度上要等于或

大于省公司規(guī)定的安全強度要求（《國家電網(wǎng)公司信息系統(tǒng)口令管理規(guī)定》中已對算法的安全強度要求給出明確說明）。

2)密鑰的安全管理：在密鑰生成、存儲、分配、銷毀的整個生命周期中對

其實施保護，確保密鑰明文不能被其他進程和程序非相關(guān)組件訪問到。

3)證書驗證：數(shù)據(jù)傳輸和存儲過程中必須對系統(tǒng)中使用的證書進行正確鑒

別，且不接受或繼續(xù)使用非法的或者無效的證書。

6.三級系統(tǒng)域建設(shè)

6.1概述與建設(shè)目標

三級系統(tǒng)域是依據(jù)等級保護定級標準而將國家電網(wǎng)公司的應(yīng)用系統(tǒng)定為三級的所有系統(tǒng)的集合，按等級保護方法將等級保護定級為三級的系統(tǒng)獨立成域進行安全防護建設(shè)。

省公司三級系統(tǒng)主要包括電力市場交易系統(tǒng)、財務(wù)管理系統(tǒng)，營銷管理系統(tǒng)為二級系統(tǒng)，但按照國家電網(wǎng)公司要求需按照三級系統(tǒng)進行防護。

省公司三級系統(tǒng)域等級保護建設(shè)目標是落實《信息安全技術(shù)信息安全等級保護基本要求》中三級系統(tǒng)各項指標和要求，實現(xiàn)信息系統(tǒng)三級系統(tǒng)獨立分域，完善三級系統(tǒng)邊界防護、配置合理的網(wǎng)絡(luò)環(huán)境、增強主機系統(tǒng)安全防護及三級系統(tǒng)各應(yīng)用的安全。

針對《信息安全技術(shù)信息安全等級保護基本要求》中三級系統(tǒng)各項指標和要求，為保障其穩(wěn)定、安全運行，本方案從物理安全、網(wǎng)絡(luò)安全、主機系統(tǒng)、應(yīng)用安全和數(shù)據(jù)安全與備份等五個層面進行等級保護建設(shè)。6.2物理安全

根據(jù)國家電網(wǎng)公司“三基”建設(shè)方案要求，省公司及地市公司物理安全均按照《信息安全技術(shù)信息安全等級保護基本要求》中三級系統(tǒng)要求進行建設(shè)。6.2.1

物理安全建設(shè)目標

省公司及地市公司機房均需按照《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》三級系統(tǒng)機房物理環(huán)境要求，并參照《國家電網(wǎng)公司信息機房設(shè)計及建設(shè)規(guī)范》的相關(guān)內(nèi)容，對機房進行等級保護建設(shè)和改造，建設(shè)目標如下：

1)機房物理位置合適，環(huán)境控制措施得當，具有防震、防風(fēng)、防水、防火、

防塵、防盜、防雷、防靜電以及溫濕度可控等安全防護措施。2)機房管理措施全面得當，如：出入管理規(guī)范、衛(wèi)生管理規(guī)范、值班巡視

制度等等，保障各業(yè)務(wù)系統(tǒng)穩(wěn)定、安全的運行。

3)電力冗余設(shè)計，從而保障公司各業(yè)務(wù)系統(tǒng)在遇斷電、線路故障等突發(fā)事

件時能正常穩(wěn)定運行。

4)機房各類指標應(yīng)滿足《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》

三級系統(tǒng)機房物理環(huán)境要求中的必須完成項。

6.2.2

機房感應(yīng)雷防護措施

省公司及19個下屬公司信息機房均增加防雷保安器，防止感應(yīng)雷的產(chǎn)生。感應(yīng)雷的防護措施是對雷云發(fā)生自閃、云際閃、云地閃時，在進入建筑物的各類金屬管、線上所產(chǎn)生雷電脈沖起限制作用，從而保護建筑物內(nèi)人員及各種電氣設(shè)備的安全。6.2.3

物理訪問控制

根據(jù)系統(tǒng)級別、設(shè)備類型等將全省各信息機房進行區(qū)域劃分，分為網(wǎng)絡(luò)設(shè)備區(qū)、主機和服務(wù)器區(qū)等，區(qū)域之間應(yīng)設(shè)置物理隔離裝置，如隔墻、玻璃墻等；針對等待交付系統(tǒng)應(yīng)設(shè)置過渡區(qū)域，與安裝運行區(qū)域應(yīng)分開。

對于未安裝門禁系統(tǒng)的信息機房，在入口處安裝電子門禁系統(tǒng)，控制、鑒別和記錄進入人員；電子門禁系統(tǒng)應(yīng)具有安全資質(zhì)，能夠有效的鑒別并記錄進入人員的身份。6.2.4

防盜措施

根據(jù)《國家電網(wǎng)公司信息機房管理規(guī)范》要求，公司信息機房應(yīng)使用光、電等技術(shù)配置機房防盜報警系統(tǒng)，報警系統(tǒng)滿足以下要求：

1)防盜監(jiān)控系統(tǒng)覆蓋機房每一個位置，定期對監(jiān)控畫面數(shù)據(jù)進行查閱和備

份；

1)使用光、電技術(shù)探測機房內(nèi)重要設(shè)備的物理位置，當物理位置發(fā)生變化

時，可自動報警；

2)防盜報警系統(tǒng)實現(xiàn)現(xiàn)場報警（如蜂鳴）和遠程報警（電話或短信息）。6.2.5

防火措施

根據(jù)《國家電網(wǎng)公司信息機房設(shè)計與建設(shè)規(guī)范》的要求，對下屬１９個公司機房進行相應(yīng)的調(diào)整和改造，具體方案如下：

1)主機房、基本工作間應(yīng)設(shè)二氧化碳或鹵代烷、七氟丙烷等滅火系統(tǒng)，并

按現(xiàn)行有關(guān)規(guī)范要求執(zhí)行。

2)機房應(yīng)設(shè)火災(zāi)自動報警系統(tǒng)，并符合現(xiàn)行國家標準《火災(zāi)自動報警系統(tǒng)

設(shè)計規(guī)范》的規(guī)定。

3)報警系統(tǒng)和自動滅火系統(tǒng)應(yīng)與空調(diào)、通風(fēng)系統(tǒng)聯(lián)鎖�？照{(diào)系統(tǒng)所采用的

電加熱器，應(yīng)設(shè)置無風(fēng)斷電保護。

4)機房安全，除執(zhí)行以上的規(guī)定外，應(yīng)符合現(xiàn)行國家標準《計算站場地安

全要求》的規(guī)定。

5)凡設(shè)置二氧化碳或鹵代烷、七氟丙烷固定滅火系統(tǒng)及火災(zāi)探測器的機

房，其吊頂?shù)纳�、下及活動地板下，均�?yīng)設(shè)置探測器和噴嘴。6)主機房應(yīng)安裝感煙探測器。當設(shè)有固定滅火器系統(tǒng)時，使用感煙、感溫

兩種探測器的組合對機房內(nèi)進行探測。

7)主機房和基本工作間應(yīng)安裝消防系統(tǒng)，主機房應(yīng)配置滅火設(shè)備。8)機房出口必應(yīng)向疏散方向開啟且能自動關(guān)閉的門，門應(yīng)是防火材料，并

應(yīng)保證在任何情況下都能從機房內(nèi)打開。

9)凡設(shè)有鹵代烷滅火裝置的機房，應(yīng)配置專用的空氣呼吸器或氧氣呼吸

器。

10)機房內(nèi)存放記錄介質(zhì)應(yīng)使用金屬柜或其他能防火的容器。

6.2.6防水和防潮

針對地市公司機房存在的防水與防潮安全防護問題，并結(jié)合《國建電網(wǎng)公司信息機房設(shè)計與建設(shè)規(guī)范》中機房給水排水要求，機房防水盒防潮整改方案如下：

1)在機房內(nèi)應(yīng)安裝水敏感檢測儀（水敏感測試儀應(yīng)按機房建設(shè)規(guī)范的要求

進行安裝）；

2)對機房進行防水防護，將水敏感儀器與報警系統(tǒng)相連，對機房水狀況進

行實時監(jiān)控。

6.2.7

電磁防護

針對19個下屬公司機房現(xiàn)狀與等級保護三級系統(tǒng)物理安全方面存在的差距，結(jié)合《國家電網(wǎng)公司信息機房管理規(guī)范》，給出整改方案如下：

1)機房應(yīng)采用活動靜電地板。機房應(yīng)選用無邊活動靜電地板，活動地板應(yīng)

符合現(xiàn)行國家標準《防靜電活動地板通用規(guī)范》的要求。敷設(shè)高度應(yīng)按實際應(yīng)要確定，為150～500mm，并將地板可靠接地。

2)主機房內(nèi)的工作臺面及坐椅墊套材料應(yīng)是導(dǎo)靜電的，其體積電阻率為

1.0×107～1.0×1010Ωcm。

3)主機房內(nèi)的導(dǎo)體必須與大地作可靠的連接，不得有對地絕緣的孤立導(dǎo)

體。

4)導(dǎo)靜電地面、活動地板、工作臺面和坐椅墊套必須進行靜電接地。5)靜電接地的連接線要有足夠的機械強度和化學(xué)穩(wěn)定性，導(dǎo)靜電地面和臺

面采用導(dǎo)電膠與接地導(dǎo)體黏結(jié)時，其接觸面積不宜小于10cm2。6)主機房內(nèi)絕緣體的靜電電位不能大于1kV。

7)將機房內(nèi)電源線和通信線纜隔離，并采用接地的方式防止外接電磁干擾

和設(shè)備寄生耦合干擾，可將電源線和通信線纜垂直鋪設(shè)，進一步減少電

磁干擾。

6.3網(wǎng)絡(luò)安全建設(shè)方案

根據(jù)業(yè)務(wù)的不同和所涉及的不同等級業(yè)務(wù)系統(tǒng)，網(wǎng)絡(luò)建設(shè)方案分為省公司和地市公司進行。6.3.1

網(wǎng)絡(luò)安全建設(shè)目標

按照《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》對省公司及地市公司網(wǎng)絡(luò)安全進行建設(shè)，以滿足國家電網(wǎng)公司“SG186”工程總體防護方案的設(shè)計規(guī)范，建設(shè)目標如下：

1)滿足雙網(wǎng)隔離的基本要求，即內(nèi)外網(wǎng)間采用邏輯強隔離設(shè)備進行隔離。2)邊界安全防護措施到位，滿足《信息安全技術(shù)信息系統(tǒng)安全等級保護基

本要求》，如邊界訪問控制措施、遠程安全接入、入侵檢測等。3)安全域劃分合理，內(nèi)網(wǎng)根據(jù)業(yè)務(wù)系統(tǒng)等級保護定級，將三級系統(tǒng)獨立成

域，二級系統(tǒng)統(tǒng)一成域，并劃分桌面終端域；外網(wǎng)分為應(yīng)用系統(tǒng)域和桌面終端域。

4)針對網(wǎng)絡(luò)設(shè)備進行安全防護，如：安全接入控制、設(shè)備安全管理、設(shè)備

安全加固、安全日志審計、設(shè)備鏈路冗余等。

6.3.2

建設(shè)方案

根據(jù)信息安全測評結(jié)果，省公司和下屬１９個公司信息網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備及技術(shù)方面主要存在以下問題：

1)網(wǎng)絡(luò)設(shè)備的遠程管理采用明文的Telnet方式；2)部分網(wǎng)絡(luò)設(shè)備采用出廠時的默認口令；

3)交換機、IDS等未開啟日志審計功能，未配置相應(yīng)的日志服務(wù)器；4)IDS為C/S控制模式，管理服務(wù)器地址、登錄等未作訪問控制;

5)防火墻目前為網(wǎng)段級的訪問控制，控制粒度較粗；

6)IDS登錄身份鑒別信息復(fù)雜度較低，口令簡單并未定期更換；7)未開啟網(wǎng)絡(luò)設(shè)備登錄失敗處理功能，未限制非法登錄次數(shù)，當網(wǎng)絡(luò)登錄

連接超時時未設(shè)置自動退出等措施；

8)缺少對內(nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過準許私自聯(lián)到外部網(wǎng)絡(luò)的行

為進行檢查與監(jiān)測措施；

9)未限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。

針對以上問題，結(jié)合《信息安全技術(shù)信息安全等級保護基本要求》，整改方案如下：

1)關(guān)閉防火墻、交換機和IDS的telnet服務(wù)，啟用安全的管理服務(wù)，如

SSH和https。部分不支持SSH的交換機應(yīng)在交換機上限制可telnet遠程管理的用戶地址，實施配置如下（以思科交換機為例）：

Router#configterminalRouter(config)#access-list10permittcp10.144.99.1200.0.0.0eq23any（只允許10.144.99.120機器telnet登錄，如需配置某一網(wǎng)段可telnet遠程管理，可配置為：access-list10permittcp10.144.99.10.0.0.255eq23any）Router(config)#linevty04（配置端口0-4）Router(Config-line)#Transportinputtelnet（開啟telnet協(xié)議，如支持ssh，可用ssh替換telnet）Router(Config-line)#exec-timeout50Router(Config-line)#access-class10inRouter(Config-line)#endRouter#configterminal

Router(config)#linevty515Router(Config-line)#nologin(建議vty開放5個即可，多余的可以關(guān)閉)Router(Config-line)#exitRouter(Config)#exitRouter#write2)修改網(wǎng)絡(luò)設(shè)備出廠時的默認口令，且修改后的口令應(yīng)滿足長度大于等于

8位、含字母數(shù)字和字符的強度要求，其它不滿足此口令強度要求的，均需要進行修改。IDS驗收后，需及時修改口令；交換機需修改其SNMP口令串；防火墻口令應(yīng)滿足口令強度要求。交換機SNMP口令串修改實施步驟如下（以思科交換機為例）：

Router#configterminalRouter(config)#nosnmp-servercommunityCOMMUNITY-NAME1RO（刪除原來具有RO權(quán)限的COMMUNITY-NAME1）Router(config)#snmp-servercommunityCOMMUNITY-NAMERO（如需要通過snmp進行管理，則創(chuàng)建一個具有讀權(quán)限的COMMUNITY-NAME，若COMMUNITY-NAME權(quán)限為RW,則將命令行中RO更改為RW）Router(config)#snmp-serverenabletraps（允許發(fā)出Trap）Router(config)#exitRouter#write3)交換機、IDS和防火墻等應(yīng)開啟日志審計功能，并配置日志服務(wù)器保存

交換機、IDS和防火墻的日志信息。以思科交換機為例，日志審計和日志收集存儲于服務(wù)器實施配置如下：

Route#configterminal

Route(config)#loggingon（啟用日志審計）

Route(config)#loggingconsolenotification（設(shè)置控制等級為5級：notification）Route(config)#!Seta16Klogbufferatinformationlevel

Route(config)#loggingbuffered16000information（設(shè)置其大小為16K）Route(config)#!turnontime/datestampsinlogmessages

Route(config)#servicetimestamplogdatetimemseclocalshow-timezoneRoute(config)#!setmonitorloggingleveltolevel6Route(config)#loggingmonitorinformationRoute(config)#exit

Route#!makethissessionreceivelogmessagesRoute#terminalmonitorRoute#configterminal

Route(config)#loggingtrapinformation（控制交換機發(fā)出日志的級別為6級：information）

Route(config)#logging192.168.10.188（將日志發(fā)送到192.168.10.188，如需修改服務(wù)器，可采用Route(config)#nologging192.168.10.188刪除，然后重新配置日志服務(wù)器）

Route(config)#loggingfacilitylocal6

Route(config)#loggingsource-interfaceFastEthernet0/1（設(shè)置發(fā)送日志的以太網(wǎng)口）

Route(config)#exitRoute#configterminal

Route(config)#loggingtrapinformationRoute(config)#snmp-serverhost192.168.10.1trapspublic（配置發(fā)送trap信息主機）Route(config)#snmp-servertrap-sourceEthernet0/1Route(config)#snmp-serverenabletrapssyslogRoute(config)#exitRoute#write4)對IDS管理服務(wù)器地址和登錄設(shè)置訪問控制。在交換機和防火墻上配

置訪問控制策略，限制僅管理員用戶可進行管理和登錄。交換機上配置訪問控制策略ACL，限定僅管理員用戶可進行管理和登錄IDS服務(wù)器；在防火墻上設(shè)置策略限制可訪問IDS的用戶策略。通過交換機和防火墻的策略設(shè)置，限制IDS的管理員登錄地址。整改防火墻上的訪問控制策略粒度，使其從現(xiàn)在的網(wǎng)段級調(diào)整為單個用戶級。以思科交換機為例，配置IDS管理服務(wù)器地址訪問策略如下：

Router#configterminalRouter(config)#access-list101permittcp172.16.3.1280.0.0.255172.16.0.2520.0.0.3eq8080log（注：主機地址為假設(shè)，實際整改中按真實地址）5)根據(jù)《國家電網(wǎng)公司信息系統(tǒng)口令管理規(guī)定》制定或沿用其以管理省公

司網(wǎng)絡(luò)設(shè)備口令�！秶�家電網(wǎng)公司信息系統(tǒng)口令管理規(guī)定》具體內(nèi)容如下：

第四條口令必須具有一定強度、長度和復(fù)雜度，長度不得小于8位字符串，要求是字母和數(shù)字或特殊字符的混合，用戶名和口令禁止相同。第五條個人計算機必須設(shè)置開機口令和操作系統(tǒng)管理員口令，并開啟屏幕

保護中的密碼保護功能。第六條口令要及時更新，要建立定期修改制度，其中系統(tǒng)管理員口令修改間隔不得超過3個月，并且不得重復(fù)使用前3次以內(nèi)的口令。用戶登錄事件要有記錄和審計，同時限制同一用戶連續(xù)失敗登錄次數(shù)，一般不超過3次。6)所有網(wǎng)絡(luò)設(shè)備均應(yīng)開啟網(wǎng)絡(luò)設(shè)備登錄失敗處理功能、限制非法登錄次

數(shù)、當網(wǎng)絡(luò)登錄連接超時時自動退出等措施。以思科交換機為例，網(wǎng)絡(luò)登錄連接超時時自動退出實施如下：

Router#configterminalRouter(Config)#linecon0配置控制口Router(Config-line)#exec-timeout50設(shè)置超時5分鐘Router(Config-line)#exitRouter(Config)#exitRouter#write7)部署桌面管理系統(tǒng)，對內(nèi)部網(wǎng)絡(luò)中的用戶網(wǎng)絡(luò)連接狀態(tài)進行實時監(jiān)控，

以保證內(nèi)部用戶不可私自聯(lián)到外部網(wǎng)絡(luò)；配置桌面管理系統(tǒng)策略，對私自連接到外網(wǎng)的內(nèi)部用戶進行準確定位并阻斷內(nèi)外網(wǎng)互通。

8)在交換機上限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。以思科交換機為例，實

施配置如下：

Router#configterminalRouter(config)#access-list101denytcp172.16.3.00.0.0.255anywww（禁止172.16.3.0網(wǎng)段訪問Internet）Router(config)#access-list102denytcp172.16.5.00.0.0.255anyftp（禁止

友情提示：本文中關(guān)于《電網(wǎng)企業(yè)等級保護建設(shè)整改方案》給出的范例僅供您參考拓展思維使用，電網(wǎng)企業(yè)等級保護建設(shè)整改方案：該篇文章建議您自主創(chuàng)作。

來源：網(wǎng)絡(luò)整理 免責(zé)聲明：本文僅限學(xué)習(xí)分享，如產(chǎn)生版權(quán)問題，請聯(lián)系我們及時刪除。

《電網(wǎng)企業(yè)等級保護建設(shè)整改方案》由互聯(lián)網(wǎng)用戶整理提供,轉(zhuǎn)載分享請保留原作者信息,謝謝!
鏈接地址：http://m.7334dd.com/gongwen/706345.html

• 上一篇：泉州市洛江區(qū)人口和計劃生育系統(tǒng)法制宣傳教育第六個五年規(guī)劃
• 下一篇：XX中學(xué)201*年度新團員發(fā)展計劃