電網企業(yè)等級保護建設整改方案

電網企業(yè)等級保護建設整改方案

黃敬志

（廣東電網公司，廣州市東風東路757號510600）

摘要：本文結合國家信息安全等級保護的有關規(guī)定和標準，對電網企業(yè)實施信息系統(tǒng)安全等級保護工作的內容和步驟進行了詳細介紹，為同行業(yè)的相關工作提供參考。關鍵字：電網企業(yè)；信息安全等級保護

EnterpriseofElectricPowerGrid

EnforcestheSecurityClassificationProtectionforInformationSystem

Abstract：Thispapercombinewiththecountry’sregulationsandstandardsofsecurityclassificationprotection,introducesthecontentsandstepsoftheenterpriseofelectricpowergridenforcesthesecurityclassificationprotectionforinformationsystem,thisintroductioninordertoprovidesthereferenceforthetradetodothesimilarwork.

Keywords：theenterpriseofelectricpowergrid；securityclassificationprotection

0.概述

公安部、國家保密局、國家密碼管理局和國務院信息化工作辦公室于201*年6月聯(lián)合發(fā)布了《信息安全等級保護管理辦法》，標志著信息安全等級保護工作在全國范圍全面推進

[1]

。

信息安全等級保護是國家信息安全保障工作的基本制度、基本策略、基本方法，是國家

層面制定的信息安全工作標準。目前，信息安全等級保護工作在國內尚處于剛起步的階段，如何落實具體的工作，是各重點企業(yè)工作面臨的問題。電網企業(yè)作為關系國計民生的重要國有企業(yè)，在信息安全等級保護工作方面積極探索，并根據行業(yè)的特點制定了適合電網企業(yè)的規(guī)范、標準和實施指南，指導各單位全面落實國家的有關要求。1.信息安全等級保護的要求及標準

信息安全等級保護指的是：對涉及國計民生的基礎信息網絡和重要信息系統(tǒng)按照其重要程度及實際安全需求，合理投入，分級進行保護，分類指導，分階段實施，保障信息系統(tǒng)安全正常運行和信息安全，提高信息安全綜合防護能力，保障國家安全，維護社會秩序和穩(wěn)定，保障并促進信息化建設健康發(fā)展。

信息系統(tǒng)的運行（或使用）單位根據信息和信息系統(tǒng)在國家安全、經濟建設、社會生活中的重要程度；遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度；針對信息的保密性、完整性和可用性要求及信息系統(tǒng)必須達到的基本的安全保護水平等因素，對信息系統(tǒng)劃分為五個安全保護和監(jiān)管等級，實行分級保護。

按照《信息系統(tǒng)安全等級保護實施指南》，信息系統(tǒng)安全等級保護實施基本工作流程分為五個階段：信息系統(tǒng)定級、總體安全規(guī)劃、安全設計與實施、安全運行與維護、信息系統(tǒng)終止。各階段的流程關系如下圖：

圖1信息系統(tǒng)安全等級保護實施的基本流程

2.信息系統(tǒng)安全等級保護實施方法2.1.信息系統(tǒng)定級

按照《信息安全等級保護管理辦法》，信息系統(tǒng)的安全保護等級分為五級，定級工作主要按照《信息系統(tǒng)安全等級保護定級指南》（GB/T22240-201*）的標準執(zhí)行，電網企業(yè)的系統(tǒng)定級，同時參照國家電力監(jiān)管委員會下發(fā)的《電力行業(yè)信息系統(tǒng)安全等級保護定級工作指導意見》執(zhí)行。

信息系統(tǒng)定級主要由兩個要素決定：系統(tǒng)受到破壞時所侵害的客體和對客體造成侵害的程度。其中，客體包括“公民、法人和其他組織的合法權益”、“社會秩序、公共利益”和“國家安全”三個方面，侵害程度包括“一般損害”、“嚴重損害”和“特別嚴重損害”三種級別。定級要素與信息系統(tǒng)安全保護等級的關系如表1所示。

表1定級要素與安全保護等級的關系

受侵害的客體對客體的侵害程度一般損害公民、法人和其他組織的合法權益社會秩序、公共利益國家安全第一級第二級第三級嚴重損害第二級第三級第四級特別嚴重損害第二級第四級第五級為了定級更準確，一般把信息系統(tǒng)安全分為業(yè)務信息安全和系統(tǒng)服務安全兩部分，并對兩部分分別定級，最后取定級的較高者為定級對象的安全保護等級。如辦公自動化系統(tǒng)業(yè)務信息安全等級為二級，系統(tǒng)服務安全等級也是二級，那么辦公自動化系統(tǒng)的定級就是二級；而省級電網公司的營銷系統(tǒng)業(yè)務信息安全等級為二級，系統(tǒng)服務安全等級為一級，那么省級電網公司的營銷系統(tǒng)定級就是二級。通常電網企業(yè)的信息系統(tǒng)定在四級以下，主要集中在一、二、三級。

定級是等級保護的第一階段工作，對后續(xù)階段工作影響很大，如果定級不準過高會浪費人力、物力、財力，而過低則會存在安全隱患同時使后續(xù)工作失去意義，可見定級工作的重要性。

2.2.安全建設或整改

信息系統(tǒng)的安全保護等級確定后，企業(yè)就按照有關規(guī)范和技術標準，使用符合國家有關規(guī)定、滿足信息系統(tǒng)安全保護等級須要的信息技術產品，開展信息系統(tǒng)安全建設或者整改工作�！缎畔⑾到y(tǒng)安全等級保護基本要求》（GB/T22239201*）是安全建設或安全整改的重要依據標準，該標準對每一級別系統(tǒng)安全保護的基本要求進行了描述，包括了技術要求和管理要求。

新建系統(tǒng)與已建在用的系統(tǒng)，本階段的工作有所不同。對于新建的信息系統(tǒng)，在系統(tǒng)的設計、規(guī)劃階段時就應當按照相應等級的安全保護要求進行建設；對于已建在用的信息系統(tǒng)，則應進行全面的差距評估，找出系統(tǒng)現(xiàn)狀與等級保護標準之間的差距，制定整改方案，并逐一進行安全整改。2.3.等級測評

信息系統(tǒng)建設完成后，系統(tǒng)運營、使用單位須選擇等級測評機構對系統(tǒng)進行等級測評。系統(tǒng)測評按照《信息系統(tǒng)安全等級保護測評要求》和《信息系統(tǒng)安全等級保護測評過程指南》等標準進行。由于等級測評等同于對系統(tǒng)的安全建設或整改工作進行驗收測試，而且對于新建系統(tǒng)，建議把等級測評納入到系統(tǒng)的驗收測試工作中一并進行，所以等級測評也可以被稱為驗收測評。

等級測評工作重點分為兩部分：選擇等級測評機構和完成等級測評工作。

選擇等級測評機構工作必須嚴格按照相關的規(guī)定進行，否則測評工作將得不到公安機關的認可。等級測評機構除了擁有相關信息安全服務資質并在本地公安機關備案外，還需要向公安機關提供《承諾書》，承諾不承擔信息系統(tǒng)安全建設、整改、集成工作，不將等級測評任務分包、外包。上述要求，確保等級測評機構與信息安全建設整改機構呼吸之間的獨立性，保證了等級測評工作的公正性，所以等級測評機構也稱為第三方測評機構。

按照《信息系統(tǒng)安全等級保護測評過程指南》，等級測評工作分為單元測評和整體測評兩個階段。單元測評階段是針對等級保護標準逐條進行符合性檢查，得出“符合”、“部分符合”以及“不符合”的結論；整體測評階段是針對單項測評結果的“部分符合”和“不符合”項，采取逐條判定的方法，從安全控制間、層面間和區(qū)域間出發(fā)考慮，給出整體測評的具體結果，并對系統(tǒng)結構進行整體安全測評。所以單元測評不符合的項目，如果站在整體角度看與其他測評項有關聯(lián)關系并且這個關聯(lián)關系能夠“彌補”該測評項的不足，那么系統(tǒng)的整體測評結果也能夠通過。2.4.系統(tǒng)備案

按照要求，定級為二級及以上的信息系統(tǒng)均應到本地地市級以上公安機關辦理備案手續(xù)，第三級及以上的信息系統(tǒng)備案前，備案材料還要通過上級主管部門的審核，第一級的信息系統(tǒng)可以由運行（使用）單位自行決定是否進行備案。備案工作的重點是填寫備案登記表格和編寫系統(tǒng)定級報告，每個系統(tǒng)一份，經蓋單位公章后遞交公安機關，公安機關將對備案材料進行審核，認為系統(tǒng)定級無誤之后會對每個定級系統(tǒng)頒發(fā)一份定級證書。

已建在用的系統(tǒng)與新建系統(tǒng)，本階段的工作有所不同。已建在用的系統(tǒng)，在定級之后30日內，到所在地的市級以上公安機關辦理備案手續(xù)，而新建的系統(tǒng)則在系統(tǒng)通過等保測評并投入運行30日內到所在地的市級以上公安機關辦理備案手續(xù)。2.5.系統(tǒng)運行

信息系統(tǒng)的運行階段占了系統(tǒng)生命階段的70%-80%。在系統(tǒng)運行階段，信息安全的保障工作也十分重要。等級保護標準中不僅對系統(tǒng)運行維護階段的信息安全工作進行了規(guī)范要求，還對系統(tǒng)運行階段的安全檢查和測評工作提出了具體的要求，按照《信息安全等級保護管理辦法》在系統(tǒng)正式投入運行后，定位三級的系統(tǒng)每年至少進行一次安全的自查和測評，四級系統(tǒng)每半年至少進行一次自查和測評。2.6.持續(xù)改進

信息安全等級保護工作是一項長期的、持續(xù)完善的工作，本文描述的各個階段工作并不是完全獨立的。運行當中的系統(tǒng)的如果進行了局部調整，或運行環(huán)境發(fā)生了變化，但是系統(tǒng)級別沒有變化，那么須要重新進行差距評估、整改和等級測評；如果系統(tǒng)發(fā)生較大的調整，甚至系統(tǒng)級別可能發(fā)生改變，那么就須要對系統(tǒng)重新進行定級以及之后的所有相關的工作。當系統(tǒng)能夠在定期的自查和測評過程中發(fā)現(xiàn)有問題，那么可以根據存在問題的大小，選擇局部調整或重新定級�？傮w來說，信息安全等級保護工作符合目前流行的“PDCA”閉環(huán)管理原則。

3.信息安全等級保護的重要意義

信息安全等級保護的實施，實現(xiàn)對重要信息系統(tǒng)的重點安全保障，推進了信息安全保護工作的規(guī)范化、法制化建設，有效體現(xiàn)“適度安全、保護重點”的思想。國家出臺了一系列信息安全管理標準和技術標準意義重大，國內的信息安全工作有據可依，明確了信息安全工作的目標和重點，信息系統(tǒng)安全與否也有了一個衡量尺度，企業(yè)可以將有限的財力、物力、人力投入到重要信息系統(tǒng)安全保護中，改變傳統(tǒng)的安全管理“頭痛醫(yī)頭、腳痛醫(yī)腳”的情況，從而建立起全面的、立體的信息安全保障體系。4.結束語

廣東電網公司按照國家信息安全等級保護的有關規(guī)定和標準，結合電監(jiān)會對二次系統(tǒng)安全防護的規(guī)定，全面開展了信息安全等級保護工作。等保的實施，為公司信息安全保障體系的建設提供了標準，指明了方向。

[2]

擴展閱讀：山東電力集團信息系統(tǒng)等級保護建設整改方案

山東電力集團信息系統(tǒng)等級保護建設整改方案

二零零九年八月

版權聲明本文中出現(xiàn)的任何文字敘述、文檔格式、插圖、照片、方法、過程等內容，除另有特別注明，版權均屬國網電力科學研究院/國網信息網絡安全實驗室和山東省電力集團公司所有，受到有關產權及版權法保護。任何個人、機構未經國網電力科學研究院/國網信息網絡安全實驗室和山東省電力集團公司的書面授權許可，不得以任何方式復制或引用本文的任何片斷。文檔信息文檔名稱文檔管理編號保密級別制作人復審人擴散范圍擴散批準人版本變更記錄時間201*-８201*-８201*-８適用性聲明本報告由國網電力科學研究院/國網信息網絡安全實驗室撰寫，適用于山東省電力集團公司信息系統(tǒng)等級保護項目。山東省電力集團公司信息系統(tǒng)等級保護建設方案INSL-SDDL-BLT-201*-FA商密郭騫余勇文檔版本號制作日期復審日期V3.0201*年6月201*年6月國家電網公司信息網絡安全實驗室山東省電力集團公司林為民版本V1.0V2.0V3.0說明創(chuàng)建文檔修改文檔文檔復審定稿修改人郭騫俞庚申余勇

I

目錄

1.項目概述...........................................................1

1.11.21.3

目標與范圍.................................................................................................1方案設計.....................................................................................................2參照標準.....................................................................................................2

2.等�，F(xiàn)狀及建設總目標...............................................2

2.1

等級保護現(xiàn)狀..........................................................錯誤！未定義書簽。2.1.1國家電網公司等保評測結果...........................錯誤！未定義書簽。2.1.2公安部等保測評結果.......................................錯誤！未定義書簽。2.2

等級保護建設總體目標.............................................................................2

3.安全域及網絡邊界防護...............................................3

3.13.23.3

信息網絡現(xiàn)狀.............................................................................................3安全域劃分方法.........................................................................................4安全域邊界.................................................................................................53.3.1二級系統(tǒng)邊界......................................................................................53.3.2三級系統(tǒng)邊界......................................................................................63.43.5

安全域的實現(xiàn)形式.....................................................................................7安全域劃分及邊界防護.............................................................................83.5.1安全域的劃分......................................................................................8

4.信息安全管理建設..................................................11

4.14.24.3

建設目標...................................................................................................11安全管理機構建設..................................................錯誤！未定義書簽。安全管理制度完善..................................................錯誤！未定義書簽。

5.二級系統(tǒng)域建設....................................................12

5.15.2

概述與建設目標.......................................................................................12網絡安全...................................................................................................135.2.1網絡安全建設目標............................................................................135.2.2地市公司建設方案............................................................................135.3

主機安全...................................................................................................195.3.1主機安全建設目標............................................................................19

II

5.3.2主機身份鑒別....................................................................................195.3.3訪問控制............................................................................................225.3.4安全審計............................................................................................235.3.5入侵防范............................................................................................265.3.6惡意代碼防范....................................................................................285.3.7資源控制............................................................................................285.4

應用安全...................................................................................................305.4.1應用安全建設目標............................................................................305.4.2身份鑒別............................................................................................315.4.3安全審計............................................................................................315.4.4通信完整性、通信保密性................................................................325.4.5資源控制............................................................................................335.5

數據安全及備份恢復...............................................................................345.5.1數據安全及備份恢復建設目標........................................................345.5.2數據完整性、數據保密性................................................................34

6.三級系統(tǒng)域建設....................................................36

6.16.2

概述與建設目標.......................................................................................36物理安全...................................................................................................366.2.1物理安全建設目標............................................................................366.2.2機房感應雷防護措施........................................................................376.2.3物理訪問控制....................................................................................376.2.4防盜措施............................................................................................376.2.5防火措施............................................................................................386.2.6防水和防潮........................................................................................396.2.7電磁防護............................................................................................396.3

網絡安全建設方案...................................................................................406.3.1網絡安全建設目標............................................................................406.3.2山東省電力集團公司建設方案........................................................406.4

主機安全...................................................................................................466.4.1主機安全建設目標............................................................................466.4.2主機身份鑒別....................................................................................46

III

6.4.3訪問控制............................................................................................496.4.4安全審計............................................................................................516.4.5剩余信息保護....................................................................................546.4.6入侵防范............................................................................................556.4.7惡意代碼防范....................................................................................576.4.8資源控制............................................................................................586.5

應用安全...................................................................................................596.5.1應用安全建設目標............................................................................596.5.2身份鑒別............................................................................................596.5.3訪問控制............................................................................................606.5.4安全審計............................................................................................616.5.5剩余信息保護....................................................................................636.5.6通信完整性、通信保密性、抗抵賴................................................636.5.7資源控制............................................................................................646.6

數據安全及備份恢復...............................................................................666.6.1數據安全及備份恢復建設目標........................................................666.6.2數據完整性、數據保密性................................................................666.6.3備份和恢復........................................................................................67

IV

1.項目概述

根據國家電網公司《關于信息安全等級保護建設的實施指導意見（信息運安〔201*〕27號）》和山東省電力集團公司對等級保護相關工作提出的要求，落實等級保護各項任務，提高山東省電力集團公司信息系統(tǒng)安全防護能力，特制定本方案。1.1目標與范圍

公司為了落實和貫徹公安部、國家保密局、國家密碼管理局、電監(jiān)會等國家有關部門信息安全等級保護工作要求，全面完善公司信息安全防護體系，落實公司“雙網雙機、分區(qū)分域、等級防護、多層防御”的安全防護策略，確保等級保護工作在各單位的順利實施，提高公司整體信息安全防護水平，開展等級保護建設工作。

前期在省公司及地市公司開展等級保護符合性測評工作，對地市公司進行測評調研工作，范圍涵蓋內網門戶、外網門戶、財務管理系統(tǒng)、營銷管理系統(tǒng)、電力市場交易系統(tǒng)、生產管理信息系統(tǒng)、協(xié)同辦公系統(tǒng)、人力資源管理系統(tǒng)、物資管理系統(tǒng)、項目管理系統(tǒng)、郵件系統(tǒng)、公司廣域網SGInet、管理制度這13個業(yè)務系統(tǒng)分類，分析測評結果與等級保護要求之間的差距，提出本的安全建設方案。

本方案主要遵循GB/T22239-201*《信息安全技術信息安全等級保護基本要求》、《信息安全等級保護管理辦法》（公通字[201*]43號）、《信息安全技術信息安全風險評估規(guī)范》（GB/T20984-201*）、《國家電網公司信息化“SG186”工程安全防護總體方案》、ISO/IEC27001信息安全管理體系標準和ISO/IEC13335信息安全管理標準等。

實施的范圍包括：省公司本部、各地市公司。

通過本方案的建設實施，進一步提高信息系統(tǒng)等級保護符合性要求，將整個信息系統(tǒng)的安全狀況提升到一個較高的水平，并盡可能地消除或降低信息系統(tǒng)的安全風險。

1.2方案設計

根據等級保護前期測評結果，省公司本部及各地市公司信息系統(tǒng)存在的漏洞、弱點提出相關的整改意見，并最終形成安全解決方案。1.3參照標準

GB/T22239-201*《信息安全技術信息安全等級保護基本要求》《信息安全等級保護管理辦法》（公通字[201*]43號）《信息安全技術信息安全風險評估規(guī)范》（GB/T20984-201*）《國家電網公司信息化“SG186”工程安全防護總體方案》ISO/IEC27001信息安全管理體系標準ISO/IEC13335信息安全管理標準

《國家電網公司“SG186”工程信息系統(tǒng)安全等級保護驗收測評要求（征求意見稿）》

《國家電網公司信息機房設計及建設規(guī)范》《國家電網公司信息系統(tǒng)口令管理規(guī)定》GB50057-94《建筑防雷設計規(guī)范》《國家電網公司應用軟件通用安全要求》

2.建設總目標

2.1等級保護建設總體目標

綜合考慮省公司現(xiàn)有的安全防護措施，針對與《信息安全技術信息系統(tǒng)安全等級保護基本要求》間存在的差異，整改信息系統(tǒng)中存在的問題，使省公司及地市公司信息系統(tǒng)滿足《信息安全技術信息系統(tǒng)安全等級保護基本要求》中不同等級的防護要求，順利通過國家電網公司或公安部等級保護建設測評。

3.安全域及網絡邊界防護

根據GB/T22239-201*《信息安全技術信息安全等級保護基本要求》、《國家電網公司信息化“SG186”工程安全防護總體方案》及《國家電網公司“SG186”工程信息系統(tǒng)安全等級保護驗收測評要求（征求意見稿）》的要求，省公司及地市公司信息系統(tǒng)按照業(yè)務系統(tǒng)定級，根據不同級別保護需求，按要求劃分安全區(qū)域進行分級保護。因此，安全域劃分是進行信息安全等級保護建設的首要步驟。3.1信息網絡現(xiàn)狀

山東省電力集團公司各地市信息內網拓撲典型結構：

省局信息廣域網多產以及第三方網絡SiIPS縣局廣域網縣局廣域網鏈路聚合鏈路聚合二級系統(tǒng)域桌面終端域營銷系統(tǒng)域SiSiSi應用服務器

圖：典型信息網絡現(xiàn)狀

主要問題：

各安全域之間缺乏有效的控制措施不能夠保障業(yè)務系統(tǒng)安全、獨立運

行，不受其他業(yè)務系統(tǒng)的影響。

根據GB/T22239-201*《信息安全技術信息安全等級保護基本要求》和《國家電網公司信息化“SG186”工程安全防護總體方案》的建設要求，省公司和各地市信息網絡安全域需根據業(yè)務系統(tǒng)等級進行重新劃分。3.2安全域劃分方法

依據國家電網公司安全分區(qū)、分級、分域及分層防護的原則，管理信息大區(qū)按照雙網隔離方案又分為信息內網與信息外網。本方案主要針對公司信息系統(tǒng)進行等級保護建設。在進行安全防護建設之前，首先實現(xiàn)對信息系統(tǒng)的安全域劃分。

依據SG186總體方案中“二級系統(tǒng)統(tǒng)一成域，三級系統(tǒng)獨立分域”的要求，結合省公司MPLSVPN現(xiàn)狀，采用縱向MPLSVPN結合VLAN劃分的方法，將全省信息系統(tǒng)分為：

信息內網區(qū)域可分為：

電力市場交易系統(tǒng)MPLSVPN（或相應縱向通道）：包含省公司電力市

場交易應用服務器VLAN、省公司電力市場交易辦公終端；

財務管理系統(tǒng)MPLSVPN（或相應縱向通道）：包含省公司財務管理系

統(tǒng)VLAN、省公司財務辦公終端VLAN、各地市財務辦公終端VLAN（13個）；

營銷管理系統(tǒng)MPLSVPN（或相應縱向通道）：省公司營銷系統(tǒng)VLAN、

省公司營銷辦公終端VLAN、各地市營銷系統(tǒng)VLAN（13個）、各地市營銷辦公終端VLAN（13個）

二級系統(tǒng)MPLSVPN（或相應縱向通道）（二級系統(tǒng)包括：內部門戶（網

站）、生產管理信息系統(tǒng)、協(xié)同辦公系統(tǒng)、人力資源管理系統(tǒng)、物資管理系統(tǒng)、項目管理系統(tǒng)和郵件系統(tǒng)）：

公共服務MPLSVPN（或相應縱向通道）：包含DNS、FTP等全省需要

訪問的公共服務信息內網桌面終端域信息外網區(qū)的系統(tǒng)可分為：

電力市場交易系統(tǒng)域營銷管理系統(tǒng)域（95598）外網二級系統(tǒng)域（外網門戶等）信息外網桌面終端域

安全域的具體實現(xiàn)采用物理防火墻隔離、虛擬防火墻隔離或Vlan隔離等形式進行安全域劃分。3.3安全域邊界3.3.1

二級系統(tǒng)邊界

二級系統(tǒng)域存在的邊界如下表：

邊界類型第三方網絡邊界縱向網絡邊界Internet邊界省公司與華北電網公司間、省公司與其地市公司之間在信息內外網區(qū)與桌面終端域的邊界在信息內外網區(qū)與基礎系統(tǒng)域的邊界橫向域間邊界與財務系統(tǒng)域之間的邊界與電力市場交易系統(tǒng)域的邊界與營銷管理系統(tǒng)域間的邊界二級系統(tǒng)域的網絡邊界拓撲示意圖如下：

邊界描述

3.3.2

三級系統(tǒng)邊界

財務管理系統(tǒng)、電力市場交易系統(tǒng)和營銷系統(tǒng)均涉及信息內網與銀行聯(lián)網存在第三方網絡邊界接口、省公司與地市公司之間網絡邊界接口、信息內網橫向域間其它二級系統(tǒng)域間接口，電力市場交易系統(tǒng)還涉及信息外網與Internet存在第三方網絡邊界接口。

三級系統(tǒng)域存在的邊界如下表：邊界類型邊界描述與Internet互聯(lián)網的邊界，實現(xiàn)：公共服務通道（邊遠站所、移動服務、PDA現(xiàn)場服務、居民集中抄表、負控終端采集、搶修車輛GPS定位等）與其他社會代收機構連接（VPN）網上營業(yè)廳短信服務時鐘同步銀企互聯(lián)邊界信息內網第三方邊界縱向網絡邊界橫向域間邊界與其他社會代收機構的邊界（專線連接）公共服務通道（專線、GPRS、CDMA等）省公司與地市公司與二級系統(tǒng)域間的邊界與內外網桌面終端域的邊界信息外網第三方邊界

與內外網基礎系統(tǒng)域的邊界與其它三級域之間的邊界三級系統(tǒng)域的網絡邊界拓撲示意圖如下：

3.4安全域的實現(xiàn)形式

安全域實現(xiàn)方式以劃分邏輯區(qū)域為主，旨在實現(xiàn)各安全區(qū)域的邏輯劃分，明確邊界以對各安全域分別防護，并且進行域間邊界控制，安全域的實體展現(xiàn)為一個或多個物理網段或邏輯網段的集合。對公司信息系統(tǒng)安全域的劃分手段采用如下方式：

防火墻安全隔離：采用雙接口或多接口防火墻進行邊界隔離，在每兩個

安全域的邊界部署雙接口防火墻，或是采用多接口防火墻的每個接口分別與不同的安全域連接以進行訪問控制。

虛擬防火墻隔離：采用虛擬防火墻實現(xiàn)各安全域邊界隔離，將一臺防火

墻在邏輯上劃分成多臺虛擬的防火墻，每個虛擬防火墻系統(tǒng)都可以被看成是一臺完全獨立的防火墻設備，可擁有獨立的系統(tǒng)資源、管理員、安全策略、用戶認證數據庫等。在本方案實現(xiàn)中，可以為每個安全域建立獨立的虛擬防火墻進行邊界安全防護。

三層交換機Vlan隔離：采用三層交換機為各安全域劃分Vlan，采用交

換機訪問控制列表或防火墻模塊進行安全域間訪問控制。

二層交換機Vlan隔離：在二層交換機上為各安全域劃分Vlan，采用

Trunk與路由器或防火墻連接，在上聯(lián)的路由器或防火墻上進行訪問控制。

對于一個應用的子系統(tǒng)跨越多個物理環(huán)境如設備機房所帶來的分域問題，由于安全域為邏輯區(qū)域，可以將公司層面上的多個物理網段或子網歸屬于同一安全域實現(xiàn)安全域劃分。3.5安全域劃分及邊界防護3.5.1

安全域的劃分

結合SG186總體方案中定義的“二級系統(tǒng)統(tǒng)一成域，三級系統(tǒng)獨立分域”，在不進行物理網絡調整的前提下，將財務系統(tǒng)和物資與項目系統(tǒng)進行分離，使三級財務系統(tǒng)獨立成域，二級系統(tǒng)物資和項目管理歸并和其他二級系統(tǒng)統(tǒng)一成域，在VPN內，建立ACL控制桌面終端與服務器間的訪問，現(xiàn)將省公司信息系統(tǒng)邏輯安全域劃分如下：

山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山SiSi山山山山山山山山山山山山山山山山山圖：省公司內網邏輯劃分圖

營銷服務器財務服務器電力市場交易服務器二級系統(tǒng)安全域（內網門戶、物資、項目、生產等）公共應用服務安全域（DNS、車輛管理等）省公司桌面終端營銷終端財務終端電力市場交易終端電力市場交易MPLSVPN營銷MPLSVPN財務MPLSVPN營銷服務器財務終端營銷終端地市公司二級系統(tǒng)安全域（內網門戶、生產等）桌面終端圖：全省信息系統(tǒng)MPLSVPN安全域劃分邏輯圖

Internet防火墻設備或訪問控制措施其他應用服務應用服務器外網門戶防火墻電力市場交易信息外網應用服務器區(qū)域95598Si信息外網桌面終端域

圖：信息外網安全域劃分邏輯圖

在原有的MPLSVPN的基礎上結合VLAN劃分方法，根據等級保護及國網SG186總體防護方案有求，對全省信息系統(tǒng)進行安全域劃分。

1)三級系統(tǒng)與二級系統(tǒng)進行分離：

集中集成區(qū)域的三臺小型機采用集群模式部署了財務、物資、項目這三個業(yè)務系統(tǒng)，由于財務為三級業(yè)務系統(tǒng)，應要獨立成域，必須將財務系統(tǒng)從集群中分離出來，安裝在獨立的服務器或者小型機上，接入集中集成區(qū)域或新大樓服務器

區(qū)。

2)劃分安全域，明確保護邊界：

采用MPLSVPN將三級系統(tǒng)劃分為獨立安全域。財務系統(tǒng)MPLSVPN、電力市場交易系統(tǒng)MPLSVPN、營銷系統(tǒng)MPLSVPN、二級系統(tǒng)安全域、桌面安全域、公共應用服務安全域。二級系統(tǒng)安全域包含除三級系統(tǒng)外的所有應用系統(tǒng)服務器；桌面安全域包含各業(yè)務部門桌面終端VLAN；公共引用服務安全域為全省均需要訪問的應用服務器，如DNS等。

目前信息外網存在三大業(yè)務系統(tǒng)：外網門戶、營銷系統(tǒng)95598網站、電力市場交易系統(tǒng)外網網站。根據等級保護要求應將營銷系統(tǒng)95598網站和電力市場交易系統(tǒng)外網網站分別劃分獨立的VLAN，并在邊界防火墻上設置符合等級保護三級要求的VLAN訪問控制策略。

3)部署訪問控制設備或設置訪問控制規(guī)則

在各安全域邊界設置訪問控制規(guī)則，其中安全域邊界按照“安全域邊界”章節(jié)所列舉的邊界進行防護。訪問控制規(guī)則可以采用交換機訪問控制策略或模塊化邏輯防火墻的形式實現(xiàn)。

二級系統(tǒng)安全域邊界訪問控制規(guī)則可以通過交換機的訪問控制規(guī)則實現(xiàn)，訪問控制規(guī)則滿足如下條件：

根據會話狀態(tài)信息為數據流提供明確的允許/拒絕訪問的能力，控制

粒度為網段級。

按用戶和系統(tǒng)之間的允許訪問規(guī)則，控制粒度為單個用戶。

三級系統(tǒng)安全域邊界的安全防護需滿足如下要求：

根據會話狀態(tài)信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；

對進出網絡的信息內容進行過濾，實現(xiàn)對應用層協(xié)議命令級的控制。

4)入侵檢測系統(tǒng)部署：

二級系統(tǒng)、三級系統(tǒng)安全域內應部署入侵檢測系統(tǒng)，并根據業(yè)務系統(tǒng)情況制定入侵檢測策略，檢測范圍應包含二級系統(tǒng)服務器、三級系統(tǒng)服務器、其他應用服務器，入侵檢測應滿足如下要求：

定制入侵檢測策略，如根據所檢測的源、目的地址及端口號，所需監(jiān)測的服務類型以定制入侵檢測規(guī)則；定制入侵檢測重要事件即時報警策略；

入侵檢測至少可監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等；

當檢測到攻擊行為時，入侵檢測系統(tǒng)應當記錄攻擊源IP、攻擊類型、攻擊目的IP、攻擊時間，在發(fā)生嚴重入侵事件時應能提供及時的報警信息。

4.信息安全管理建設

4.1建設目標

省公司信息系統(tǒng)的管理與運維總體水平較高，各項管理措施比較到位，經過多年的建設，已形成一整套完備有效的管理制度。省公司通過嚴格、規(guī)范、全面的管理制度，結合適當的技術手段來保障信息系統(tǒng)的安全。管理規(guī)范已經包含了信息安全策略、信息安全組織、資產管理、人力資源安全、物理與環(huán)境安全、通訊與操作管理、訪問控制、信息系統(tǒng)的獲取、開發(fā)和維護、信息安全事故管理、業(yè)務連續(xù)性管理等方面，但與《信息安全技術信息系統(tǒng)安全等級保護基本要求》存在一定的差距，需進行等級保護建設。

通過等級保護管理機構與制度建設，完善公司信息系統(tǒng)管理機構和管理制

度，落實《信息安全技術信息系統(tǒng)安全等級保護基本要求》管理制度各項指標和要求,提高公司信息系統(tǒng)管理與運維水平。通過等級保護建設，實現(xiàn)如下目標：

1)落實《信息安全技術信息系統(tǒng)安全等級保護基本要求》管理制度各項指

標和要求。

2)在公司信息安全總體方針和安全策略的引導下，各管理機構能按時需要

規(guī)劃公司信息安全發(fā)展策略，及時發(fā)布公司各類信息安全文件和制度，對公司各類安全制度中存在的問題定期進行修訂與整改。

3)系統(tǒng)管理員、網絡管理員、安全管理員等信息安全管理與運維工作明確，

明確安全管理機構各個部門和崗位的職責、分工和技能要求。4)在安全技術培訓與知識交流上，能擁有安全業(yè)界專家、專業(yè)安全公司或

安全組織的技術支持，以保證省公司信息系統(tǒng)安全維護符合各類安全管理要求并與時俱進。

5.二級系統(tǒng)域建設

5.1概述與建設目標

二級系統(tǒng)域是依據等級保護定級標準將國家電網公司應用系統(tǒng)定為二級的所有系統(tǒng)的集合，按分等級保護方法將等級保護定級為二級的系統(tǒng)集中部署于二級系統(tǒng)域進行安全防護，二級系統(tǒng)域主要涵蓋與二級系統(tǒng)相關的主機、服務器、網絡等。

省公司二級系統(tǒng)主要包括內部門戶（網站）、對外門戶（網站）、生產管理信息系統(tǒng)、協(xié)同辦公系統(tǒng)、人力資源管理系統(tǒng)、物資管理系統(tǒng)、項目管理系統(tǒng)和郵件系統(tǒng)等共8個二級系統(tǒng)，除對外門戶外，其它七個內網二級系統(tǒng)需按二級系統(tǒng)要求統(tǒng)一成域進行安全防護。

二級系統(tǒng)域等級保護建設目標是落實《信息安全技術信息安全等級保護基本要求》中二級系統(tǒng)各項指標和要求，實現(xiàn)信息系統(tǒng)二級系統(tǒng)統(tǒng)一成域，完善二級系統(tǒng)邊界防護，配置合理的網絡環(huán)境，增強二級系統(tǒng)主機系統(tǒng)安全防護及二級系

統(tǒng)各應用的安全與穩(wěn)定運行。

針對《信息安全技術信息安全等級保護基本要求》中二級系統(tǒng)各項指標和要求，保障系統(tǒng)穩(wěn)定、安全運行，本方案將二級系統(tǒng)域安全解決方案分為邊界防護、網絡環(huán)境、主機系統(tǒng)及應用安全四個層面進行安全建設。5.2網絡安全5.2.1

網絡安全建設目標

省公司下屬各地市公司網絡安全建設按照二級系統(tǒng)要求進行建設，通過等級保護建設，實現(xiàn)如下目標：

1)網絡結構清晰，具備冗余空間滿足業(yè)務需求，根據各部門和業(yè)務的需求，

劃分不同的子網或網段，網絡圖譜圖與當前運行情況相符；

2)各網絡邊界間部署訪問控制設備，通過訪問控制功能控制各業(yè)務間及辦

公終端間的訪問；

3)啟用網絡設備安全審計，以追蹤網絡設備運行狀況、設備維護、配置修

改等各類事件；

4)網絡設備口令均符合國家電網公司口令要求，采用安全的遠程控制方法

對網絡設備進行遠程控制。

5.2.2

地市公司建設方案

根據測評結果，地市公司信息網絡中網絡設備及技術方面主要存在以下問題：

1)網絡設備的遠程管理采用明文的Telnet方式；

2)部分網絡設備采用出廠時的默認口令，口令以明文的方式存儲于配置文

件中；

3)交換機、IDS等未開啟日志審計功能，未配置相應的日志服務器；4)供電公司內網與各銀行間的防火墻未配置訪問控制策略；5)網絡設備采用相同的SNMP口令串進行管理；

6)未開啟網絡設備登錄失敗處理功能，未限制非法登錄次數，當網絡登錄

連接超時時未設置自動退出等措施；

7)缺少對內部網絡中出現(xiàn)的內部用戶未通過準許私自聯(lián)到外部網絡的行

為進行檢查與監(jiān)測措施；

8)未限制網絡最大流量數及網絡連接數；9)未限制具有撥號訪問權限的用戶數量。

針對以上問題，結合《信息安全技術信息安全等級保護基本要求》給出相應整改方案如下：

1)關閉防火墻、交換機和IDS的telnet服務，啟用安全的管理服務，如

SSH和https。部分不支持SSH的交換機應在交換機上限制可telnet遠程管理的用戶地址，實施配置如下（以思科交換機為例）：

Router#configterminalRouter(config)#access-list10permittcp10.144.99.1200.0.0.0eq23any（只允許10.144.99.120機器telnet登錄，如需配置某一網段可telnet遠程管理，可配置為：access-list10permittcp10.144.99.10.0.0.255eq23any）Router(config)#linevty04（配置端口0-4）Router(Config-line)#Transportinputtelnet（開啟telnet協(xié)議，如支持ssh，可用ssh替換telnet）Router(Config-line)#exec-timeout50

Router(Config-line)#access-class10inRouter(Config-line)#endRouter#configterminalRouter(config)#linevty515Router(Config-line)#nologin(建議vty開放5個即可，多余的可以關閉)Router(Config-line)#exitRouter(Config)#exitRouter#write2)修改網絡設備出廠時的默認口令，且修改后的口令應滿足長度大于等于

8位、含字母數字和字符的強度要求，其它不滿足此口令強度要求的，均應要進行修改。部分樓層接入交換機，應及時修改口令；交換機應修改其SNMP口令串；防火墻口令應滿足口令強度要求。交換機SNMP口令串修改實施步驟如下（以思科交換機為例）：

Router#configterminalRouter(config)#nosnmp-servercommunityCOMMUNITY-NAME1RO（刪除原來具有RO權限的COMMUNITY-NAME1）Router(config)#snmp-servercommunityCOMMUNITY-NAMERO（如需要通過snmp進行管理，則創(chuàng)建一個具有讀權限的COMMUNITY-NAME，若COMMUNITY-NAME權限為RW,則將命令行中RO更改為RW）Router(config)#snmp-serverenabletraps（允許發(fā)出Trap）Router(config)#exitRouter#write3)交換機、IDS和防火墻等應開啟日志審計功能，并配置日志服務器保存

交換機、IDS和防火墻的日志信息。以思科交換機為例，日志審計和日志收集存儲于服務器實施配置如下：

Route#configterminal

Route(config)#loggingon（啟用日志審計）

Route(config)#loggingconsolenotification（設置控制等級為5級：notification）Route(config)#!Seta16Klogbufferatinformationlevel

Route(config)#loggingbuffered16000information（設置其大小為16K）Route(config)#!turnontime/datestampsinlogmessages

Route(config)#servicetimestamplogdatetimemseclocalshow-timezoneRoute(config)#!setmonitorloggingleveltolevel6Route(config)#loggingmonitorinformationRoute(config)#exit

Route#!makethissessionreceivelogmessagesRoute#terminalmonitorRoute#configterminal

Route(config)#loggingtrapinformation（控制交換機發(fā)出日志的級別為6級：information）

Route(config)#logging192.168.10.188（將日志發(fā)送到192.168.10.188，如需修改服務器，可采用Route(config)#nologging192.168.10.188刪除，然后重新配置日志服務器）

Route(config)#loggingfacilitylocal6

Route(config)#loggingsource-interfaceFastEthernet0/1（設置發(fā)送日志的以太網口）

Route(config)#exitRoute#configterminalRoute(config)#loggingtrapinformationRoute(config)#snmp-serverhost192.168.10.1trapspublic（配置發(fā)送trap信息主機）Route(config)#snmp-servertrap-sourceEthernet0/1Route(config)#snmp-serverenabletrapssyslogRoute(config)#exitRoute#write4)供電公司內網與各銀行和移動或電信間的防火墻應配置訪問控制策略

保證供電公司信息內網的安全。

5)根據《國家電網公司信息系統(tǒng)口令管理規(guī)定》制定或沿用其以管理省公

司網絡設備口令�！秶�家電網公司信息系統(tǒng)口令管理規(guī)定》具體內容如下：

第四條口令必須具有一定強度、長度和復雜度，長度不得小于8位字符串，要求是字母和數字或特殊字符的混合，用戶名和口令禁止相同。第五條個人計算機必須設置開機口令和操作系統(tǒng)管理員口令，并開啟屏幕保護中的密碼保護功能。第六條口令要及時更新，要建立定期修改制度，其中系統(tǒng)管理員口令修改間隔不得超過3個月，并且不得重復使用前3次以內的口令。用戶登錄事件要有記錄和審計，同時限制同一用戶連續(xù)失敗登錄次數，一般不超過3次。6)所有網絡設備均應開啟網絡設備登錄失敗處理功能、限制非法登錄次

數、當網絡登錄連接超時時自動退出等措施。以思科交換機為例，網絡

登錄連接超時時自動退出實施如下：

Router#configterminalRouter(Config)#linecon0配置控制口Router(Config-line)#exec-timeout50設置超時5分鐘Router(Config-line)#exitRouter(Config)#exitRouter#write7)部署桌面管理系統(tǒng)，對內部網絡中的用戶網絡連接狀態(tài)進行實時監(jiān)控，

以保證內部用戶不可私自聯(lián)到外部網絡；配置桌面管理系統(tǒng)策略，對私自連接到外網的內部用戶進行準確定位并阻斷內外網互通。

8)在交換機上限制網絡最大流量數及網絡連接數，通過限制某些網段網絡

服務提高網絡通信流量。以思科交換機為例，實施配置如下：

Router#configterminalRouter(config)#access-list101denytcp172.16.3.00.0.0.255anywww（禁止172.16.3.0網段訪問Internet）Router(config)#access-list102denytcp172.16.5.00.0.0.255anyftp（禁止172.16.5.0網段ftp服務）Router(config)#ipnattranslationmax-entries172.16.55.00.0.0.255200（限制172.16.55.0網段的主機NAT的條目為200條）Route(config)#exitRoute#write限制具有撥號訪問權限的用戶。由于營銷系統(tǒng)存儲EMC，需要進行遠程撥

號維護；需要關閉遠程撥號服務，采用更為安全的管理維護方式。5.3主機安全5.3.1

主機安全建設目標

省公司及其各地市公司信息中心對主機進行了一定的安全策略配置，并建立相關安全管理制度，由專人負責主機安全運行與維護，總體安全性較高。但仍有一些安全問題亟待解決，如安全審計不嚴格、開啟非必須服務以及默認的用戶口令策略等。

針對省公司及其地市公司二級系統(tǒng)主機存在的問題，結合《信息安全技術信息安全等級保護基本要求》，從主機身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范和資源控制等方面進行主機安全等級保護建設與改造，以實現(xiàn)以下目標：

1)對主機的登錄有嚴格的身份標識和鑒別；

2)有嚴格的訪問控制策略限制用戶對主機的訪問與操作；3)有嚴密的安全審計策略保證主機出現(xiàn)故障時可查；4)擁有相關技術手段，抵抗非法入侵和惡意代碼攻擊。5.3.2

主機身份鑒別

省公司及地市公司主機身份鑒別現(xiàn)狀與等級保護要求存在一定的差距，應對以下幾個方面進行完善主機身份鑒別：

1)對登錄操作系統(tǒng)的用戶進行身份標識和鑒別；

2)操作系統(tǒng)管理用戶身份標識具有不易被冒用的特點，口令有復雜度并定

期更換；

3)啟用登錄失敗處理功能，可采取結束會話、限制非法登錄次數和自動退

出等措施；

4)對服務器進行遠程管理時，采取必要措施，防止鑒別信息在網絡傳輸過

程中被竊聽；整改措施：

1)對登錄操作系統(tǒng)的管理員用戶和普通用戶均設置口令；刪除操作系統(tǒng)中

過期的賬戶，修改操作系統(tǒng)中默認帳戶和口令，檢查操作系統(tǒng)中是否存在相同用戶名的賬戶。操作系統(tǒng)AIX操作方式1.檢查/etc/passwd密碼域中存在“*”的帳戶，刪除不必要的賬戶，或增設口令；1.刪除非法帳號或多余帳號，更改默認管理員帳號，將原Administrator名稱改成不被人熟識的帳戶，新建一個普通用戶，將其重命名為Administrator，并將其權限設為最低，口令復雜度為32位以上；2.選擇“本地用戶和組”的“用戶”，可設置口令、刪除或禁用非必需賬戶或禁用Guest賬戶。WINDOWS注：管理員賬號Administrator重命名后，可能會導致某些服務不能用，如SQLServer數據庫可能無法啟動，修改前，需在備機上進行測試運行一周時間，無任何問題，再在主機上進行修改。

2)增強操作系統(tǒng)口令強度設置：操作系統(tǒng)操作方式1.修改passwd參數：/etc/security/user-maxage=30口令最長生存期30天-maxrepeat=4每個口令在系統(tǒng)中重復出現(xiàn)的次數AIX-minalpha=4口令中最小含有的字符個數-mindiff=2新口令不同于舊口令的最小個數-minlen=8口令最短長度（包含字母、數字和特殊字符）1.修改“密碼策略”，開啟復雜性要求，設置口令最小長度等：WINDOWS密碼復雜性要求啟用密碼長度最小值8字符密碼最長存留期30天

密碼最短存留期0天復位帳戶鎖定計數器10分鐘帳戶鎖定時間帳戶鎖定閥值10分鐘5次注：設置密碼策略后可能導致不符合密碼策略的帳號無法登錄。在修改密碼策略前，需修改不符合帳號策略的密碼使其符合策略要求，最后再修改密碼策略。

3)啟用登錄失敗處理功能，設置限制非法登錄次數和自動退出等措施。操作系統(tǒng)操作方式1.配置登錄策略：修改/etc/security/login.cfg文件logindelay=3失敗登錄后延遲3秒顯示提示符logindisable=55次失敗登錄后鎖定端口AIXlogininterval=60在60秒內3次失敗登錄才鎖定端口loginreenable＝15端口鎖定15分鐘后解鎖2.增加或修改/etc/profile文件中如下行：TMOUT=600;1.修改“賬戶鎖定策略”，設置帳戶鎖定相關設置：復位賬戶鎖定計數器15分鐘WINDOWS賬戶鎖定時間15分鐘賬戶鎖定閾值5次4)當對服務器進行遠程管理時，對于UNIX類服務器，用當前穩(wěn)定版本的

SSH等安全工具取代明文傳輸的telnet，并及時升級，保證傳輸數據的安全性；對于windows類服務器，關閉不必要的telnet服務，采用加密或認證的方式保證數據才網絡傳輸過程中的保密性、完整性和可用性。操作系統(tǒng)root:admin=trueSYSTEM="compat"loginretries=0account_locked=falserlogin=false操作方式1.增加或修改/etc/security/user文件中如下行AIX

如果無法禁用telnet服務，也可使用TCPwrapper、防火墻或包過濾技術禁止不可信IP對telnet服務（例如23/TCP端口）訪問。1.禁用不需要的服務，如remoteRegistry、telnet等（遠程管理注冊表，開啟此服務帶來一定的風險）。2.采用其他加密的遠程桌面管理軟件代替遠程桌面管理，或者在遠程桌面管理上啟用證書認證系統(tǒng)。WINDOWS

注：應用系統(tǒng)或程序可能對特定的系統(tǒng)服務有依賴關系，在未確定某個服務是否需要前，請勿關閉該服務，否則會影響應用系統(tǒng)或程序的正常運行。5.3.3

訪問控制

省公司及地市公司主機身份鑒別現(xiàn)狀與等級保護要求存在一定的差距，應對以下幾個方面進行完善：

1)啟用訪問控制功能，依據安全策略控制用戶對資源的訪問；2)實現(xiàn)操作系統(tǒng)特權用戶的權限分離；

3)限制默認帳戶的訪問權限，重命名系統(tǒng)默認帳戶，修改帳戶的默認口令；4)及時刪除多余的、過期的帳戶，避免共享帳戶的存在。整改措施：

1)在交換機和防火墻上設置不同網段、不同用戶對服務器的訪問控制權

限；關閉操作系統(tǒng)開啟的默認共享，對于需開啟的共享及共享文件夾設置不同的訪問權限，對于操作系統(tǒng)重要文件和目錄需設置權限要求。操作系統(tǒng)/bin；/sbin；操作方式1.修改普通用戶對下列文件的權限：AIX/etc；/etc/passwd；/etc/group；

/usr/bin；WINDOWS1.修改訪問控制策略，將注冊標中restrictanonymous值改為1；2.刪除不必要的共享文件夾或修改其權限，重要共享文件夾的權限屬性不能為everyone完全控制。2)設置不同的管理員對服務器進行管理，分為系統(tǒng)管理員、安全管理員、

安全審計員等以實現(xiàn)操作系統(tǒng)特權用戶的權限分離，并對各個帳戶在其工作范圍內設置最小權限，如系統(tǒng)管理員只能對系統(tǒng)進行維護，安全管理員只能進行策略配置和安全設置，安全審計員只能維護審計信息等。3)限制默認帳戶的訪問權限，重命名系統(tǒng)默認帳戶，修改帳戶的默認口令；

刪除操作系統(tǒng)和數據庫中過期或多余的賬戶，禁用無用帳戶或共享帳戶。操作系統(tǒng)AIX操作方式1.禁用文件/etc/security/user中，sys,bin,uucp,nuucp,daemon等系統(tǒng)默認帳戶。在用戶前面加上注釋號“#”1.修改administrator名稱，將原Administrator名稱改成不被人熟識的帳戶，同時將一個普通帳戶名稱改成Administrator，登錄普通帳戶執(zhí)行系統(tǒng)所有操作；2.禁用Guest賬號。WINDOWS4)根據管理用戶的角色分配權限，實現(xiàn)管理用戶的權限分離，僅授予管理

用戶所需的最小權限。操作系統(tǒng)AIXWINDOWS5.3.4

安全審計

操作方式1.更改默認口令。使用smit或增加、修改/etc/security/user下各用戶的設置：將su=true更改為su=false1.修改管理用戶的權限；省公司及地市公司主機訪問控制現(xiàn)狀與等級保護要求存在一定的差距，需對

以下幾個方面進行完善：

1)審計范圍覆蓋到服務器和重要客戶端上的每個操作系統(tǒng)用戶；2)審計內容包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使

用等系統(tǒng)內重要的安全相關事件；

3)審計記錄包括事件的日期、時間、類型、主體標識、客體標識和結果等；4)保護審計記錄，避免受到未預期的刪除、修改或覆蓋等。整改措施：

1)審計范圍覆蓋到服務器和重要客戶端上的每個操作系統(tǒng)用戶和數據庫

用戶。操作系統(tǒng)1.開啟syslog功能：正在審查開bin處理開操作方式審查事件開審查目標開審核啟用AIX2.ftp審計。缺省情況下，系統(tǒng)不會記錄使用ftp連接和傳輸文件的日志，這會對系統(tǒng)造成安全隱患，尤其在用戶使用匿名ftp方式時。為了避免這種情況發(fā)生，可用如下的步驟使系統(tǒng)記錄ftp的日志：1）修改/etc/syslog.conf文件，并加入一行：daemon.infoftplog其中FileName是日志文件的名字，它會跟蹤FTP的活動，包括匿名和其他用戶ID。FileName文件必須在做下一步驟前創(chuàng)建。2）運行"refresh-ssyslogd"命令刷新syslogd后臺程序。3）修改/etc/inetd.conf文件，修改下面的數據行：ftpstreamtcp6nowaitroot/usr/sbin/ftpdftpd-l4）運行“refresh-sinetd”命令刷新inetd后臺程序。WINDOWS1.開啟日志審計功能；

2.修改普通用戶對日志等安全審計方式的權限配置，只有管理員用戶有查看、修改、刪除等權限；2)審計內容包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使

用等系統(tǒng)內重要的安全相關事件。操作系統(tǒng)AIX操作方式1.更改默認口令。使用smit或增加、修改/etc/security/user下各用戶的設置：將su=true更改為su=false1.修改安全審計策略：審核策略更改審核登錄事件審核對象訪問WINDOWS審核過程追蹤審核目錄服務訪問審核特權使用審核系統(tǒng)事件審核帳戶登錄事件審核帳戶管理成功成功,失敗成功,失敗無審核無審核無審核成功,失敗成功,失敗成功,失敗

3)審計記錄包括事件的日期、時間、類型、主體標識、客體標識和結果等；操作系統(tǒng)AIX操作方式1.修改日志文件，審核記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等；1.修改“事件查看器”的屬性配置：日志類型大小WINDOWS應用日志16384K安全日志16384K覆蓋方式覆蓋早于30天的事件覆蓋早于30天的事件系統(tǒng)日志16384K覆蓋早于30天的事件2.修改“事件類型”、“事件來源”等屬性為“全部”；4)保護審計記錄，避免受到未預期的刪除、修改或覆蓋等。

操作系統(tǒng)AIX操作方式1.利用chmod命令修改審計記錄文件的操作權限，以保證日志記錄文件僅root用戶可訪問和修改。1.修改“事件查看器”的安全屬性配置：“組或用戶名稱”：修改為只有系統(tǒng)管理用戶，刪除Everyone；WINDOWS“用戶權限”：根據需要進行“完全控制”、“修改”、“寫入”等權限的配置；5.3.5

入侵防范

省公司及地市公司主機入侵防范現(xiàn)狀與等級保護要求存在一定的差距，應對以下幾個方面進行完善：

1)操作系統(tǒng)遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過

設置升級服務器等方式保持系統(tǒng)補丁及時得到更新。

2)檢測到對重要服務器進行入侵的行為，能夠記錄入侵的源IP、攻擊的

類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時提供報警。整改措施：

1)操作系統(tǒng)需遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通

過設置升級服務器等方式保持系統(tǒng)補丁及時得到更新。操作系統(tǒng)操作方式1.最新補丁可以在下面的URL里找到：利用smit工具安裝補丁。2.禁用TCP/UDP小服務：在/etc/inetd.conf中，對不需要的服務前加#，表示注釋此行，格式如下：#echostreamtcpnowaitrootinternal#echodgramudpwaitrootinternal#discardstreamtcpnowaitrootinternalAIX

#discarddgramudpwaitrootinternal#daytimestreamtcpnowaitrootinternal#daytimedgramudpwaitrootinternal#chargenstreamtcpnowaitrootinternal#chargendgramudpwaitrootinternal按上述方法，注釋fingerd、uucp、tftp、talk、ntalk、rquotad、rexd、rstatd、rusersd、rwalld、sprayd、pcnfsd、ttdbserver、cmsd等服務。最后重啟服務：refresh-sinetd3.禁用Sendmail、SNMP服務：編輯文件/etc/rc.tcpip中，在Sendmail、SNMP服務前加#，表示注釋此行，格式如下：#start/usr/lib/sendmail"$src_running""-bd-q${qpi}"#startupsnmp#start/usr/sbin/snmp"$src_running"1.安裝最新的補丁。使用WSUS或從下載最新的安裝補丁進行安裝。2.關閉非必需服務：常見的非必需服務有：Alerter遠程發(fā)送警告信息ComputerBrowser計算機瀏覽器：維護網絡上更新的計算機清單Messenger允許網絡之間互相傳送提示信息的功能，如netsendWINDOWSremoteRegistry遠程管理注冊表，開啟此服務帶來一定的風險PrintSpooler如果相應服務器沒有打印機，可以關閉此服務TaskScheduler計劃任務，查看“控制面板”的“任務計劃”中是否有計劃，若有，則不關閉。SNMP簡單網管協(xié)議，如啟用網管應用則不關閉。3.關閉空連接：編輯注冊表如下鍵值：HKLM\\SYSTEM\\CurrentControlSet\\Control\\Lsa“restrictanonymous”的值修改為“1”，類型為REG_DWORD。

5.3.6惡意代碼防范

省公司及地市公司主機惡意代碼防范現(xiàn)狀與等級保護要求存在一定的差距，其不符合等級保護要求項主要有：

1)安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫。整改措施：

1)及時更新病毒庫，增強防病毒軟件的惡意代碼防護能力以保證信息系統(tǒng)

的安全穩(wěn)定運行。操作系統(tǒng)AIXWINDOWS5.3.7

操作方式1.部署防火墻和IPS等惡意代碼防范設備，維護AIX系統(tǒng)主機的安全與穩(wěn)定運行。1.及時更新防病毒軟件病毒庫，如Symantecantivirus，并定期進行升級更新。資源控制

省公司及地市公司主機資源控制現(xiàn)狀與等級保護要求存在一定的差距，應對以下幾個方面進行完善：

1)通過設定終端接入方式、網絡地址范圍等條件限制終端登錄；2)根據安全策略設置登錄終端的操作超時鎖定；3)限制單個用戶對系統(tǒng)資源的最大或最小使用限度。整改措施：

1)在核心交換機與防火墻上配置詳細的訪問控制策略，限制終端的接入方

式、網絡地址范圍及其與其他網絡間的訪問控制（詳細配置見網絡安全建設）。

2)根據安全策略設置登錄終端的操作超時鎖定。

操作系統(tǒng)AIXTMOUT=600;操作方式1.增加或修改/etc/profile文件中如下行：1.打開“控制面板”－>“管理工具”，進入“本地安全策略”。WINDOWS2.修改“賬戶鎖定策略”，設置帳戶鎖定相關設置。3)限制單個用戶對系統(tǒng)資源的最大或最小使用限度。根據用戶的工作需

求，在滿足其工作需求范圍內，修改用戶權限，并設置資源使用范圍。操作系統(tǒng)AIXWINDOWS操作方式1.利用root用戶登錄操作系統(tǒng)，修改各帳戶權限，利用chmod命令修改系統(tǒng)資源權限。1.用administrator登錄操作系統(tǒng)，修改各帳戶權限，對需要設置使用權限的資源設置其屬性，進行安全配置：

5.4應用安全5.4.1

應用安全建設目標

根據等級保護前期評測結果，結合《信息安全技術信息安全等級保護基本要求》對二級系統(tǒng)應用安全從身份鑒別、訪問控制、安全審計、通信完整性、通信保密性與資源控制等幾個方面進行應用系統(tǒng)安全等級保護建設與改造，通過等級保護建設，實現(xiàn)如下安全防護目標：

1)對登錄應用系統(tǒng)的所有用戶均設定身份鑒別措施；2)擁有審計系統(tǒng)審計各用戶的相關操作；

3)有相關的加密措施，保證應用系統(tǒng)數據在網絡傳輸過程中的保密性、可

靠性和可用性；

4)應用程序具有自恢復功能，保證運行出錯時可自動恢復。

5.4.2身份鑒別

省公司及地市公司二級系統(tǒng)應用的身份鑒別現(xiàn)狀與等級保護要求存在一定的差距，應完善以下幾點：

1)提供用戶身份標識唯一和鑒別信息復雜度檢查功能，保證應用系統(tǒng)中不

存在重復用戶身份標識，身份鑒別信息不易被冒用。整改措施：

1)修改應用程序中用戶名與口令設置模塊，按《國家電網公司應用軟件通

用安全要求》增設用戶名唯一性檢測、口令復雜度檢測功能，口令復雜度功能檢測模塊按《國家電網公司信息系統(tǒng)口令管理規(guī)定》進行設計。

5.4.3

安全審計

省公司及地市公司二級系統(tǒng)應用的安全審計現(xiàn)狀與等級保護要求存在一定的差距，應對以下幾個方面進行完善：

1)應用軟件須提供覆蓋到每個用戶的安全審計功能，對應用系統(tǒng)重要安全

事件進行審計；

2)應保證無法刪除、修改或覆蓋審計記錄；

3)審計記錄的內容至少包括事件的日期、時間、發(fā)起者信息、類型、描述

和結果等；整改措施：

1)應用軟件應能夠將所有的安全相關事件記錄到事件日志中，或者將事件

數據安全地發(fā)送到外部日志服務器。如通過IMS系統(tǒng)記錄應用系統(tǒng)日志。2)對日志進程進行保護，避免進程被意外中止、日志記錄被特權用戶或意

外刪除、修改或覆蓋等；

3)應用軟件審計模塊能夠對所有與應用本身相關的各類事件進行有效記

錄，包括但不限于以下事件：

(1).(2).(3).(4).(5).

系統(tǒng)管理和配置事件業(yè)務操作事件成功事件失敗事件

對審計功能的操作

應用軟件能夠允許安全管理員選擇需要進行審計的事件項目。應用軟件對審計事件的記錄需確�？梢詫⒚總�可審計事件與引起該事件的用戶身份相關聯(lián)，需要包含并綁定以下信息：

(1).(2).(3).(4).(5).

5.4.4

事件發(fā)生的時間（或時間段）

事件發(fā)起用戶ID、程序ID或其他實體的識別ID用戶操作的客戶端事件內容

事件導致的結果

通信完整性、通信保密性

省公司及地市公司二級系統(tǒng)應用的通信完整性與保密性現(xiàn)狀和等級保護要求存在一定的差距，需對以下幾個方面進行完善：

1)采用密碼技術保證通信過程中數據的完整性與保密性；

2)在通信雙方建立連接之前，應用系統(tǒng)利用密碼技術進行會話初始化驗

證。整改措施：

1)采用密碼技術保證通信過程中數據的完整性，密碼技術需滿足以下要

求：

密碼算法的選擇：應用軟件中選擇的密碼算法在強度上要等于或大于公

司規(guī)定和用戶提出的安全強度要求（《國家電網公司信息系統(tǒng)口令管理規(guī)定》中已對算法的安全強度要求給出明確說明）。

密鑰的安全管理：應用軟件要在密鑰生成、存儲、分配、銷毀的整個生

命周期中對其實施保護，確保密鑰明文不能被其他進程、程序和應用中非相關組件訪問到。

證書驗證：應用軟件應該確保能夠對系統(tǒng)中使用的證書進行正確鑒別，

而且不會接受或繼續(xù)使用非法的或者無效的證書。

5.4.5

資源控制

省公司及地市公司二級系統(tǒng)應用的資源控制現(xiàn)狀與等級保護要求存在一定的差距，應對以下幾個方面進行完善：

1)限制對系統(tǒng)的最大并發(fā)會話連接數；2)限制單個帳戶的多重并發(fā)會話；整改措施

按照《國家電網公司應用軟件通用安全要求》對用戶會話管理要求與《信息安全技術信息安全等級保護基本要求》，二級系統(tǒng)應用軟件需限制用戶對系統(tǒng)的最大并發(fā)會話連接數、限制單個帳戶的多重并發(fā)會話、限制某一時間段內可能的并發(fā)會話連接數等，整改方案如下：

1)應用軟件要向系統(tǒng)管理員增設監(jiān)視工具，以便實時檢測客戶端用戶的連

接狀態(tài)和行為，應用軟件必須允許會話發(fā)起的用戶手動終止該會話。2)應用軟件能夠自動處理會話的異常狀態(tài)，并且能夠提供給系統(tǒng)管理員適

當的管理工具對會話進行實時控制，包括設置會話超時時間、最大允許會話數。

3)應用軟件能夠確保一個客戶端只能有一個用戶同時登錄到系統(tǒng)中，一個

用戶只允許同時在一個客戶端上登錄到系統(tǒng)中。

5.5數據安全及備份恢復5.5.1

數據安全及備份恢復建設目標

根據等級保護前期評測結果，結合《信息安全技術信息安全等級保護基本要求》對二級系統(tǒng)數據安全及備份的要求，從數據完整性、數據保密性和備份與恢復等幾個方面進行數據安全和備份安全等級保護建設與改造，以期實現(xiàn)如下目標：

1)確保管理數據和業(yè)務數據等重要信息在傳輸過程與存儲過程中的完整

性與保密性；

2)確保存儲過程中檢測到完整性錯誤時，具有相應的措施對信息進行恢

復。

5.5.2

數據完整性、數據保密性

省公司及地市公司二級系統(tǒng)數據完整性和保密性現(xiàn)狀與等級保護要求存在一定的差距，應對以下幾個方面進行完善：

1)系統(tǒng)管理數據、鑒別信息和重要業(yè)務數據在傳輸過程和存儲中應進行加

密，確保信息在傳輸過程和存儲中的完整性和保密性。整改措施：

采用加密、數字簽名與電子證書等保證系統(tǒng)管理數據、鑒別信息和重要業(yè)務數據在傳輸過程與存儲過程中完整性不受到破壞，檢測到完整性錯誤時，根據采用的完整性防護措施對信息進行恢復。加密技術要滿足以下要求：

1)密碼算法的選擇：數據傳輸和存儲中選擇的密碼算法在強度上要等于或

大于省公司規(guī)定的安全強度要求（《國家電網公司信息系統(tǒng)口令管理規(guī)定》中已對算法的安全強度要求給出明確說明）。

2)密鑰的安全管理：在密鑰生成、存儲、分配、銷毀的整個生命周期中對

其實施保護，確保密鑰明文不能被其他進程和程序非相關組件訪問到。

3)證書驗證：數據傳輸和存儲過程中必須對系統(tǒng)中使用的證書進行正確鑒

別，且不接受或繼續(xù)使用非法的或者無效的證書。

6.三級系統(tǒng)域建設

6.1概述與建設目標

三級系統(tǒng)域是依據等級保護定級標準而將國家電網公司的應用系統(tǒng)定為三級的所有系統(tǒng)的集合，按等級保護方法將等級保護定級為三級的系統(tǒng)獨立成域進行安全防護建設。

省公司三級系統(tǒng)主要包括電力市場交易系統(tǒng)、財務管理系統(tǒng)，營銷管理系統(tǒng)為二級系統(tǒng)，但按照國家電網公司要求需按照三級系統(tǒng)進行防護。

省公司三級系統(tǒng)域等級保護建設目標是落實《信息安全技術信息安全等級保護基本要求》中三級系統(tǒng)各項指標和要求，實現(xiàn)信息系統(tǒng)三級系統(tǒng)獨立分域，完善三級系統(tǒng)邊界防護、配置合理的網絡環(huán)境、增強主機系統(tǒng)安全防護及三級系統(tǒng)各應用的安全。

針對《信息安全技術信息安全等級保護基本要求》中三級系統(tǒng)各項指標和要求，為保障其穩(wěn)定、安全運行，本方案從物理安全、網絡安全、主機系統(tǒng)、應用安全和數據安全與備份等五個層面進行等級保護建設。6.2物理安全

根據國家電網公司“三基”建設方案要求，省公司及地市公司物理安全均按照《信息安全技術信息安全等級保護基本要求》中三級系統(tǒng)要求進行建設。6.2.1

物理安全建設目標

省公司及地市公司機房均需按照《信息安全技術信息系統(tǒng)安全等級保護基本要求》三級系統(tǒng)機房物理環(huán)境要求，并參照《國家電網公司信息機房設計及建設規(guī)范》的相關內容，對機房進行等級保護建設和改造，建設目標如下：

1)機房物理位置合適，環(huán)境控制措施得當，具有防震、防風、防水、防火、

防塵、防盜、防雷、防靜電以及溫濕度可控等安全防護措施。2)機房管理措施全面得當，如：出入管理規(guī)范、衛(wèi)生管理規(guī)范、值班巡視

制度等等，保障各業(yè)務系統(tǒng)穩(wěn)定、安全的運行。

3)電力冗余設計，從而保障公司各業(yè)務系統(tǒng)在遇斷電、線路故障等突發(fā)事

件時能正常穩(wěn)定運行。

4)機房各類指標應滿足《信息安全技術信息系統(tǒng)安全等級保護基本要求》

三級系統(tǒng)機房物理環(huán)境要求中的必須完成項。

6.2.2

機房感應雷防護措施

省公司及19個下屬公司信息機房均增加防雷保安器，防止感應雷的產生。感應雷的防護措施是對雷云發(fā)生自閃、云際閃、云地閃時，在進入建筑物的各類金屬管、線上所產生雷電脈沖起限制作用，從而保護建筑物內人員及各種電氣設備的安全。6.2.3

物理訪問控制

根據系統(tǒng)級別、設備類型等將全省各信息機房進行區(qū)域劃分，分為網絡設備區(qū)、主機和服務器區(qū)等，區(qū)域之間應設置物理隔離裝置，如隔墻、玻璃墻等；針對等待交付系統(tǒng)應設置過渡區(qū)域，與安裝運行區(qū)域應分開。

對于未安裝門禁系統(tǒng)的信息機房，在入口處安裝電子門禁系統(tǒng)，控制、鑒別和記錄進入人員；電子門禁系統(tǒng)應具有安全資質，能夠有效的鑒別并記錄進入人員的身份。6.2.4

防盜措施

根據《國家電網公司信息機房管理規(guī)范》要求，公司信息機房應使用光、電等技術配置機房防盜報警系統(tǒng)，報警系統(tǒng)滿足以下要求：

1)防盜監(jiān)控系統(tǒng)覆蓋機房每一個位置，定期對監(jiān)控畫面數據進行查閱和備

份；

1)使用光、電技術探測機房內重要設備的物理位置，當物理位置發(fā)生變化

時，可自動報警；

2)防盜報警系統(tǒng)實現(xiàn)現(xiàn)場報警（如蜂鳴）和遠程報警（電話或短信息）。6.2.5

防火措施

根據《國家電網公司信息機房設計與建設規(guī)范》的要求，對下屬１９個公司機房進行相應的調整和改造，具體方案如下：

1)主機房、基本工作間應設二氧化碳或鹵代烷、七氟丙烷等滅火系統(tǒng)，并

按現(xiàn)行有關規(guī)范要求執(zhí)行。

2)機房應設火災自動報警系統(tǒng)，并符合現(xiàn)行國家標準《火災自動報警系統(tǒng)

設計規(guī)范》的規(guī)定。

3)報警系統(tǒng)和自動滅火系統(tǒng)應與空調、通風系統(tǒng)聯(lián)鎖。空調系統(tǒng)所采用的

電加熱器，應設置無風斷電保護。

4)機房安全，除執(zhí)行以上的規(guī)定外，應符合現(xiàn)行國家標準《計算站場地安

全要求》的規(guī)定。

5)凡設置二氧化碳或鹵代烷、七氟丙烷固定滅火系統(tǒng)及火災探測器的機

房，其吊頂的上、下及活動地板下，均應設置探測器和噴嘴。6)主機房應安裝感煙探測器。當設有固定滅火器系統(tǒng)時，使用感煙、感溫

兩種探測器的組合對機房內進行探測。

7)主機房和基本工作間應安裝消防系統(tǒng)，主機房應配置滅火設備。8)機房出口必應向疏散方向開啟且能自動關閉的門，門應是防火材料，并

應保證在任何情況下都能從機房內打開。

9)凡設有鹵代烷滅火裝置的機房，應配置專用的空氣呼吸器或氧氣呼吸

器。

10)機房內存放記錄介質應使用金屬柜或其他能防火的容器。

6.2.6防水和防潮

針對地市公司機房存在的防水與防潮安全防護問題，并結合《國建電網公司信息機房設計與建設規(guī)范》中機房給水排水要求，機房防水盒防潮整改方案如下：

1)在機房內應安裝水敏感檢測儀（水敏感測試儀應按機房建設規(guī)范的要求

進行安裝）；

2)對機房進行防水防護，將水敏感儀器與報警系統(tǒng)相連，對機房水狀況進

行實時監(jiān)控。

6.2.7

電磁防護

針對19個下屬公司機房現(xiàn)狀與等級保護三級系統(tǒng)物理安全方面存在的差距，結合《國家電網公司信息機房管理規(guī)范》，給出整改方案如下：

1)機房應采用活動靜電地板。機房應選用無邊活動靜電地板，活動地板應

符合現(xiàn)行國家標準《防靜電活動地板通用規(guī)范》的要求。敷設高度應按實際應要確定，為150～500mm，并將地板可靠接地。

2)主機房內的工作臺面及坐椅墊套材料應是導靜電的，其體積電阻率為

1.0×107～1.0×1010Ωcm。

3)主機房內的導體必須與大地作可靠的連接，不得有對地絕緣的孤立導

體。

4)導靜電地面、活動地板、工作臺面和坐椅墊套必須進行靜電接地。5)靜電接地的連接線要有足夠的機械強度和化學穩(wěn)定性，導靜電地面和臺

面采用導電膠與接地導體黏結時，其接觸面積不宜小于10cm2。6)主機房內絕緣體的靜電電位不能大于1kV。

7)將機房內電源線和通信線纜隔離，并采用接地的方式防止外接電磁干擾

和設備寄生耦合干擾，可將電源線和通信線纜垂直鋪設，進一步減少電

磁干擾。

6.3網絡安全建設方案

根據業(yè)務的不同和所涉及的不同等級業(yè)務系統(tǒng)，網絡建設方案分為省公司和地市公司進行。6.3.1

網絡安全建設目標

按照《信息安全技術信息系統(tǒng)安全等級保護基本要求》對省公司及地市公司網絡安全進行建設，以滿足國家電網公司“SG186”工程總體防護方案的設計規(guī)范，建設目標如下：

1)滿足雙網隔離的基本要求，即內外網間采用邏輯強隔離設備進行隔離。2)邊界安全防護措施到位，滿足《信息安全技術信息系統(tǒng)安全等級保護基

本要求》，如邊界訪問控制措施、遠程安全接入、入侵檢測等。3)安全域劃分合理，內網根據業(yè)務系統(tǒng)等級保護定級，將三級系統(tǒng)獨立成

域，二級系統(tǒng)統(tǒng)一成域，并劃分桌面終端域；外網分為應用系統(tǒng)域和桌面終端域。

4)針對網絡設備進行安全防護，如：安全接入控制、設備安全管理、設備

安全加固、安全日志審計、設備鏈路冗余等。

6.3.2

建設方案

根據信息安全測評結果，省公司和下屬１９個公司信息網絡中網絡設備及技術方面主要存在以下問題：

1)網絡設備的遠程管理采用明文的Telnet方式；2)部分網絡設備采用出廠時的默認口令；

3)交換機、IDS等未開啟日志審計功能，未配置相應的日志服務器；4)IDS為C/S控制模式，管理服務器地址、登錄等未作訪問控制;

5)防火墻目前為網段級的訪問控制，控制粒度較粗；

6)IDS登錄身份鑒別信息復雜度較低，口令簡單并未定期更換；7)未開啟網絡設備登錄失敗處理功能，未限制非法登錄次數，當網絡登錄

連接超時時未設置自動退出等措施；

8)缺少對內部網絡中出現(xiàn)的內部用戶未通過準許私自聯(lián)到外部網絡的行

為進行檢查與監(jiān)測措施；

9)未限制網絡最大流量數及網絡連接數。

針對以上問題，結合《信息安全技術信息安全等級保護基本要求》，整改方案如下：

1)關閉防火墻、交換機和IDS的telnet服務，啟用安全的管理服務，如

SSH和https。部分不支持SSH的交換機應在交換機上限制可telnet遠程管理的用戶地址，實施配置如下（以思科交換機為例）：

Router#configterminalRouter(config)#access-list10permittcp10.144.99.1200.0.0.0eq23any（只允許10.144.99.120機器telnet登錄，如需配置某一網段可telnet遠程管理，可配置為：access-list10permittcp10.144.99.10.0.0.255eq23any）Router(config)#linevty04（配置端口0-4）Router(Config-line)#Transportinputtelnet（開啟telnet協(xié)議，如支持ssh，可用ssh替換telnet）Router(Config-line)#exec-timeout50Router(Config-line)#access-class10inRouter(Config-line)#endRouter#configterminal

Router(config)#linevty515Router(Config-line)#nologin(建議vty開放5個即可，多余的可以關閉)Router(Config-line)#exitRouter(Config)#exitRouter#write2)修改網絡設備出廠時的默認口令，且修改后的口令應滿足長度大于等于

8位、含字母數字和字符的強度要求，其它不滿足此口令強度要求的，均需要進行修改。IDS驗收后，需及時修改口令；交換機需修改其SNMP口令串；防火墻口令應滿足口令強度要求。交換機SNMP口令串修改實施步驟如下（以思科交換機為例）：

Router#configterminalRouter(config)#nosnmp-servercommunityCOMMUNITY-NAME1RO（刪除原來具有RO權限的COMMUNITY-NAME1）Router(config)#snmp-servercommunityCOMMUNITY-NAMERO（如需要通過snmp進行管理，則創(chuàng)建一個具有讀權限的COMMUNITY-NAME，若COMMUNITY-NAME權限為RW,則將命令行中RO更改為RW）Router(config)#snmp-serverenabletraps（允許發(fā)出Trap）Router(config)#exitRouter#write3)交換機、IDS和防火墻等應開啟日志審計功能，并配置日志服務器保存

交換機、IDS和防火墻的日志信息。以思科交換機為例，日志審計和日志收集存儲于服務器實施配置如下：

Route#configterminal

Route(config)#loggingon（啟用日志審計）

Route(config)#loggingconsolenotification（設置控制等級為5級：notification）Route(config)#!Seta16Klogbufferatinformationlevel

Route(config)#loggingbuffered16000information（設置其大小為16K）Route(config)#!turnontime/datestampsinlogmessages

Route(config)#servicetimestamplogdatetimemseclocalshow-timezoneRoute(config)#!setmonitorloggingleveltolevel6Route(config)#loggingmonitorinformationRoute(config)#exit

Route#!makethissessionreceivelogmessagesRoute#terminalmonitorRoute#configterminal

Route(config)#loggingtrapinformation（控制交換機發(fā)出日志的級別為6級：information）

Route(config)#logging192.168.10.188（將日志發(fā)送到192.168.10.188，如需修改服務器，可采用Route(config)#nologging192.168.10.188刪除，然后重新配置日志服務器）

Route(config)#loggingfacilitylocal6

Route(config)#loggingsource-interfaceFastEthernet0/1（設置發(fā)送日志的以太網口）

Route(config)#exitRoute#configterminal

Route(config)#loggingtrapinformationRoute(config)#snmp-serverhost192.168.10.1trapspublic（配置發(fā)送trap信息主機）Route(config)#snmp-servertrap-sourceEthernet0/1Route(config)#snmp-serverenabletrapssyslogRoute(config)#exitRoute#write4)對IDS管理服務器地址和登錄設置訪問控制。在交換機和防火墻上配

置訪問控制策略，限制僅管理員用戶可進行管理和登錄。交換機上配置訪問控制策略ACL，限定僅管理員用戶可進行管理和登錄IDS服務器；在防火墻上設置策略限制可訪問IDS的用戶策略。通過交換機和防火墻的策略設置，限制IDS的管理員登錄地址。整改防火墻上的訪問控制策略粒度，使其從現(xiàn)在的網段級調整為單個用戶級。以思科交換機為例，配置IDS管理服務器地址訪問策略如下：

Router#configterminalRouter(config)#access-list101permittcp172.16.3.1280.0.0.255172.16.0.2520.0.0.3eq8080log（注：主機地址為假設，實際整改中按真實地址）5)根據《國家電網公司信息系統(tǒng)口令管理規(guī)定》制定或沿用其以管理省公

司網絡設備口令�！秶�家電網公司信息系統(tǒng)口令管理規(guī)定》具體內容如下：

第四條口令必須具有一定強度、長度和復雜度，長度不得小于8位字符串，要求是字母和數字或特殊字符的混合，用戶名和口令禁止相同。第五條個人計算機必須設置開機口令和操作系統(tǒng)管理員口令，并開啟屏幕

保護中的密碼保護功能。第六條口令要及時更新，要建立定期修改制度，其中系統(tǒng)管理員口令修改間隔不得超過3個月，并且不得重復使用前3次以內的口令。用戶登錄事件要有記錄和審計，同時限制同一用戶連續(xù)失敗登錄次數，一般不超過3次。6)所有網絡設備均應開啟網絡設備登錄失敗處理功能、限制非法登錄次

數、當網絡登錄連接超時時自動退出等措施。以思科交換機為例，網絡登錄連接超時時自動退出實施如下：

Router#configterminalRouter(Config)#linecon0配置控制口Router(Config-line)#exec-timeout50設置超時5分鐘Router(Config-line)#exitRouter(Config)#exitRouter#write7)部署桌面管理系統(tǒng)，對內部網絡中的用戶網絡連接狀態(tài)進行實時監(jiān)控，

以保證內部用戶不可私自聯(lián)到外部網絡；配置桌面管理系統(tǒng)策略，對私自連接到外網的內部用戶進行準確定位并阻斷內外網互通。

8)在交換機上限制網絡最大流量數及網絡連接數。以思科交換機為例，實

施配置如下：

Router#configterminalRouter(config)#access-list101denytcp172.16.3.00.0.0.255anywww（禁止172.16.3.0網段訪問Internet）Router(config)#access-list102denytcp172.16.5.00.0.0.255anyftp（禁止

友情提示：本文中關于《電網企業(yè)等級保護建設整改方案》給出的范例僅供您參考拓展思維使用，電網企業(yè)等級保護建設整改方案：該篇文章建議您自主創(chuàng)作。

來源：網絡整理 免責聲明：本文僅限學習分享，如產生版權問題，請聯(lián)系我們及時刪除。

《電網企業(yè)等級保護建設整改方案》由互聯(lián)網用戶整理提供,轉載分享請保留原作者信息,謝謝!
鏈接地址：http://www.taixiivf.com/gongwen/706345.html

• 上一篇：泉州市洛江區(qū)人口和計劃生育系統(tǒng)法制宣傳教育第六個五年規(guī)劃
• 下一篇：XX中學201*年度新團員發(fā)展計劃