电网企业等级保护建设整改方案
电网企业等级保护建设整改方案
黄敬志
(广东电网公司,广州市东风东路757号510600)
摘要:本文结合国家信息安全等级保护的有关规定和标准,对电网企业实施信息系统安全等级保护工作的内容和步骤进行了详细介绍,为同行业的相关工作提供参考。关键字:电网企业;信息安全等级保护
EnterpriseofElectricPowerGrid
EnforcestheSecurityClassificationProtectionforInformationSystem
Abstract:Thispapercombinewiththecountry’sregulationsandstandardsofsecurityclassificationprotection,introducesthecontentsandstepsoftheenterpriseofelectricpowergridenforcesthesecurityclassificationprotectionforinformationsystem,thisintroductioninordertoprovidesthereferenceforthetradetodothesimilarwork.
Keywords:theenterpriseofelectricpowergrid;securityclassificationprotection
0.概述
公安部、国家保密局、国家密码管理局和国务院信息化工作办公室于201*年6月联合发布了《信息安全等级保护管理办法》,标志着信息安全等级保护工作在全国范围全面推进
[1]
。信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法,是国家
层面制定的信息安全工作标准。目前,信息安全等级保护工作在国内尚处于刚起步的阶段,如何落实具体的工作,是各重点企业工作面临的问题。电网企业作为关系国计民生的重要国有企业,在信息安全等级保护工作方面积极探索,并根据行业的特点制定了适合电网企业的规范、标准和实施指南,指导各单位全面落实国家的有关要求。1.信息安全等级保护的要求及标准
信息安全等级保护指的是:对涉及国计民生的基础信息网络和重要信息系统按照其重要程度及实际安全需求,合理投入,分级进行保护,分类指导,分阶段实施,保障信息系统安全正常运行和信息安全,提高信息安全综合防护能力,保障国家安全,维护社会秩序和稳定,保障并促进信息化建设健康发展。
信息系统的运行(或使用)单位根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息系统必须达到的基本的安全保护水平等因素,对信息系统划分为五个安全保护和监管等级,实行分级保护。
按照《信息系统安全等级保护实施指南》,信息系统安全等级保护实施基本工作流程分为五个阶段:信息系统定级、总体安全规划、安全设计与实施、安全运行与维护、信息系统终止。各阶段的流程关系如下图:
图1信息系统安全等级保护实施的基本流程
2.信息系统安全等级保护实施方法2.1.信息系统定级
按照《信息安全等级保护管理办法》,信息系统的安全保护等级分为五级,定级工作主要按照《信息系统安全等级保护定级指南》(GB/T22240-201*)的标准执行,电网企业的系统定级,同时参照国家电力监管委员会下发的《电力行业信息系统安全等级保护定级工作指导意见》执行。
信息系统定级主要由两个要素决定:系统受到破坏时所侵害的客体和对客体造成侵害的程度。其中,客体包括“公民、法人和其他组织的合法权益”、“社会秩序、公共利益”和“国家安全”三个方面,侵害程度包括“一般损害”、“严重损害”和“特别严重损害”三种级别。定级要素与信息系统安全保护等级的关系如表1所示。
表1定级要素与安全保护等级的关系
受侵害的客体对客体的侵害程度一般损害公民、法人和其他组织的合法权益社会秩序、公共利益国家安全第一级第二级第三级严重损害第二级第三级第四级特别严重损害第二级第四级第五级为了定级更准确,一般把信息系统安全分为业务信息安全和系统服务安全两部分,并对两部分分别定级,最后取定级的较高者为定级对象的安全保护等级。如办公自动化系统业务信息安全等级为二级,系统服务安全等级也是二级,那么办公自动化系统的定级就是二级;而省级电网公司的营销系统业务信息安全等级为二级,系统服务安全等级为一级,那么省级电网公司的营销系统定级就是二级。通常电网企业的信息系统定在四级以下,主要集中在一、二、三级。
定级是等级保护的第一阶段工作,对后续阶段工作影响很大,如果定级不准过高会浪费人力、物力、财力,而过低则会存在安全隐患同时使后续工作失去意义,可见定级工作的重要性。
2.2.安全建设或整改
信息系统的安全保护等级确定后,企业就按照有关规范和技术标准,使用符合国家有关规定、满足信息系统安全保护等级须要的信息技术产品,开展信息系统安全建设或者整改工作。《信息系统安全等级保护基本要求》(GB/T22239201*)是安全建设或安全整改的重要依据标准,该标准对每一级别系统安全保护的基本要求进行了描述,包括了技术要求和管理要求。
新建系统与已建在用的系统,本阶段的工作有所不同。对于新建的信息系统,在系统的设计、规划阶段时就应当按照相应等级的安全保护要求进行建设;对于已建在用的信息系统,则应进行全面的差距评估,找出系统现状与等级保护标准之间的差距,制定整改方案,并逐一进行安全整改。2.3.等级测评
信息系统建设完成后,系统运营、使用单位须选择等级测评机构对系统进行等级测评。系统测评按照《信息系统安全等级保护测评要求》和《信息系统安全等级保护测评过程指南》等标准进行。由于等级测评等同于对系统的安全建设或整改工作进行验收测试,而且对于新建系统,建议把等级测评纳入到系统的验收测试工作中一并进行,所以等级测评也可以被称为验收测评。
等级测评工作重点分为两部分:选择等级测评机构和完成等级测评工作。
选择等级测评机构工作必须严格按照相关的规定进行,否则测评工作将得不到公安机关的认可。等级测评机构除了拥有相关信息安全服务资质并在本地公安机关备案外,还需要向公安机关提供《承诺书》,承诺不承担信息系统安全建设、整改、集成工作,不将等级测评任务分包、外包。上述要求,确保等级测评机构与信息安全建设整改机构呼吸之间的独立性,保证了等级测评工作的公正性,所以等级测评机构也称为第三方测评机构。
按照《信息系统安全等级保护测评过程指南》,等级测评工作分为单元测评和整体测评两个阶段。单元测评阶段是针对等级保护标准逐条进行符合性检查,得出“符合”、“部分符合”以及“不符合”的结论;整体测评阶段是针对单项测评结果的“部分符合”和“不符合”项,采取逐条判定的方法,从安全控制间、层面间和区域间出发考虑,给出整体测评的具体结果,并对系统结构进行整体安全测评。所以单元测评不符合的项目,如果站在整体角度看与其他测评项有关联关系并且这个关联关系能够“弥补”该测评项的不足,那么系统的整体测评结果也能够通过。2.4.系统备案
按照要求,定级为二级及以上的信息系统均应到本地地市级以上公安机关办理备案手续,第三级及以上的信息系统备案前,备案材料还要通过上级主管部门的审核,第一级的信息系统可以由运行(使用)单位自行决定是否进行备案。备案工作的重点是填写备案登记表格和编写系统定级报告,每个系统一份,经盖单位公章后递交公安机关,公安机关将对备案材料进行审核,认为系统定级无误之后会对每个定级系统颁发一份定级证书。
已建在用的系统与新建系统,本阶段的工作有所不同。已建在用的系统,在定级之后30日内,到所在地的市级以上公安机关办理备案手续,而新建的系统则在系统通过等保测评并投入运行30日内到所在地的市级以上公安机关办理备案手续。2.5.系统运行
信息系统的运行阶段占了系统生命阶段的70%-80%。在系统运行阶段,信息安全的保障工作也十分重要。等级保护标准中不仅对系统运行维护阶段的信息安全工作进行了规范要求,还对系统运行阶段的安全检查和测评工作提出了具体的要求,按照《信息安全等级保护管理办法》在系统正式投入运行后,定位三级的系统每年至少进行一次安全的自查和测评,四级系统每半年至少进行一次自查和测评。2.6.持续改进
信息安全等级保护工作是一项长期的、持续完善的工作,本文描述的各个阶段工作并不是完全独立的。运行当中的系统的如果进行了局部调整,或运行环境发生了变化,但是系统级别没有变化,那么须要重新进行差距评估、整改和等级测评;如果系统发生较大的调整,甚至系统级别可能发生改变,那么就须要对系统重新进行定级以及之后的所有相关的工作。当系统能够在定期的自查和测评过程中发现有问题,那么可以根据存在问题的大小,选择局部调整或重新定级。总体来说,信息安全等级保护工作符合目前流行的“PDCA”闭环管理原则。
3.信息安全等级保护的重要意义
信息安全等级保护的实施,实现对重要信息系统的重点安全保障,推进了信息安全保护工作的规范化、法制化建设,有效体现“适度安全、保护重点”的思想。国家出台了一系列信息安全管理标准和技术标准意义重大,国内的信息安全工作有据可依,明确了信息安全工作的目标和重点,信息系统安全与否也有了一个衡量尺度,企业可以将有限的财力、物力、人力投入到重要信息系统安全保护中,改变传统的安全管理“头痛医头、脚痛医脚”的情况,从而建立起全面的、立体的信息安全保障体系。4.结束语
广东电网公司按照国家信息安全等级保护的有关规定和标准,结合电监会对二次系统安全防护的规定,全面开展了信息安全等级保护工作。等保的实施,为公司信息安全保障体系的建设提供了标准,指明了方向。
[2]
扩展阅读:山东电力集团信息系统等级保护建设整改方案
山东电力集团信息系统等级保护建设整改方案
二零零九年八月
版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属国网电力科学研究院/国网信息网络安全实验室和山东省电力集团公司所有,受到有关产权及版权法保护。任何个人、机构未经国网电力科学研究院/国网信息网络安全实验室和山东省电力集团公司的书面授权许可,不得以任何方式复制或引用本文的任何片断。文档信息文档名称文档管理编号保密级别制作人复审人扩散范围扩散批准人版本变更记录时间201*-8201*-8201*-8适用性声明本报告由国网电力科学研究院/国网信息网络安全实验室撰写,适用于山东省电力集团公司信息系统等级保护项目。山东省电力集团公司信息系统等级保护建设方案INSL-SDDL-BLT-201*-FA商密郭骞余勇文档版本号制作日期复审日期V3.0201*年6月201*年6月国家电网公司信息网络安全实验室山东省电力集团公司林为民版本V1.0V2.0V3.0说明创建文档修改文档文档复审定稿修改人郭骞俞庚申余勇
I
目录
1.项目概述...........................................................1
1.11.21.3
目标与范围.................................................................................................1方案设计.....................................................................................................2参照标准.....................................................................................................2
2.等保现状及建设总目标...............................................2
2.1
等级保护现状..........................................................错误!未定义书签。2.1.1国家电网公司等保评测结果...........................错误!未定义书签。2.1.2公安部等保测评结果.......................................错误!未定义书签。2.2
等级保护建设总体目标.............................................................................2
3.安全域及网络边界防护...............................................3
3.13.23.3
信息网络现状.............................................................................................3安全域划分方法.........................................................................................4安全域边界.................................................................................................53.3.1二级系统边界......................................................................................53.3.2三级系统边界......................................................................................63.43.5
安全域的实现形式.....................................................................................7安全域划分及边界防护.............................................................................83.5.1安全域的划分......................................................................................8
4.信息安全管理建设..................................................11
4.14.24.3
建设目标...................................................................................................11安全管理机构建设..................................................错误!未定义书签。安全管理制度完善..................................................错误!未定义书签。
5.二级系统域建设....................................................12
5.15.2
概述与建设目标.......................................................................................12网络安全...................................................................................................135.2.1网络安全建设目标............................................................................135.2.2地市公司建设方案............................................................................135.3
主机安全...................................................................................................195.3.1主机安全建设目标............................................................................19
II
5.3.2主机身份鉴别....................................................................................195.3.3访问控制............................................................................................225.3.4安全审计............................................................................................235.3.5入侵防范............................................................................................265.3.6恶意代码防范....................................................................................285.3.7资源控制............................................................................................285.4
应用安全...................................................................................................305.4.1应用安全建设目标............................................................................305.4.2身份鉴别............................................................................................315.4.3安全审计............................................................................................315.4.4通信完整性、通信保密性................................................................325.4.5资源控制............................................................................................335.5
数据安全及备份恢复...............................................................................345.5.1数据安全及备份恢复建设目标........................................................345.5.2数据完整性、数据保密性................................................................34
6.三级系统域建设....................................................36
6.16.2
概述与建设目标.......................................................................................36物理安全...................................................................................................366.2.1物理安全建设目标............................................................................366.2.2机房感应雷防护措施........................................................................376.2.3物理访问控制....................................................................................376.2.4防盗措施............................................................................................376.2.5防火措施............................................................................................386.2.6防水和防潮........................................................................................396.2.7电磁防护............................................................................................396.3
网络安全建设方案...................................................................................406.3.1网络安全建设目标............................................................................406.3.2山东省电力集团公司建设方案........................................................406.4
主机安全...................................................................................................466.4.1主机安全建设目标............................................................................466.4.2主机身份鉴别....................................................................................46
III
6.4.3访问控制............................................................................................496.4.4安全审计............................................................................................516.4.5剩余信息保护....................................................................................546.4.6入侵防范............................................................................................556.4.7恶意代码防范....................................................................................576.4.8资源控制............................................................................................586.5
应用安全...................................................................................................596.5.1应用安全建设目标............................................................................596.5.2身份鉴别............................................................................................596.5.3访问控制............................................................................................606.5.4安全审计............................................................................................616.5.5剩余信息保护....................................................................................636.5.6通信完整性、通信保密性、抗抵赖................................................636.5.7资源控制............................................................................................646.6
数据安全及备份恢复...............................................................................666.6.1数据安全及备份恢复建设目标........................................................666.6.2数据完整性、数据保密性................................................................666.6.3备份和恢复........................................................................................67
IV
1.项目概述
根据国家电网公司《关于信息安全等级保护建设的实施指导意见(信息运安〔201*〕27号)》和山东省电力集团公司对等级保护相关工作提出的要求,落实等级保护各项任务,提高山东省电力集团公司信息系统安全防护能力,特制定本方案。1.1目标与范围
公司为了落实和贯彻公安部、国家保密局、国家密码管理局、电监会等国家有关部门信息安全等级保护工作要求,全面完善公司信息安全防护体系,落实公司“双网双机、分区分域、等级防护、多层防御”的安全防护策略,确保等级保护工作在各单位的顺利实施,提高公司整体信息安全防护水平,开展等级保护建设工作。
前期在省公司及地市公司开展等级保护符合性测评工作,对地市公司进行测评调研工作,范围涵盖内网门户、外网门户、财务管理系统、营销管理系统、电力市场交易系统、生产管理信息系统、协同办公系统、人力资源管理系统、物资管理系统、项目管理系统、邮件系统、公司广域网SGInet、管理制度这13个业务系统分类,分析测评结果与等级保护要求之间的差距,提出本的安全建设方案。
本方案主要遵循GB/T22239-201*《信息安全技术信息安全等级保护基本要求》、《信息安全等级保护管理办法》(公通字[201*]43号)、《信息安全技术信息安全风险评估规范》(GB/T20984-201*)、《国家电网公司信息化“SG186”工程安全防护总体方案》、ISO/IEC27001信息安全管理体系标准和ISO/IEC13335信息安全管理标准等。
实施的范围包括:省公司本部、各地市公司。
通过本方案的建设实施,进一步提高信息系统等级保护符合性要求,将整个信息系统的安全状况提升到一个较高的水平,并尽可能地消除或降低信息系统的安全风险。
1.2方案设计
根据等级保护前期测评结果,省公司本部及各地市公司信息系统存在的漏洞、弱点提出相关的整改意见,并最终形成安全解决方案。1.3参照标准
GB/T22239-201*《信息安全技术信息安全等级保护基本要求》《信息安全等级保护管理办法》(公通字[201*]43号)《信息安全技术信息安全风险评估规范》(GB/T20984-201*)《国家电网公司信息化“SG186”工程安全防护总体方案》ISO/IEC27001信息安全管理体系标准ISO/IEC13335信息安全管理标准
《国家电网公司“SG186”工程信息系统安全等级保护验收测评要求(征求意见稿)》
《国家电网公司信息机房设计及建设规范》《国家电网公司信息系统口令管理规定》GB50057-94《建筑防雷设计规范》《国家电网公司应用软件通用安全要求》
2.建设总目标
2.1等级保护建设总体目标
综合考虑省公司现有的安全防护措施,针对与《信息安全技术信息系统安全等级保护基本要求》间存在的差异,整改信息系统中存在的问题,使省公司及地市公司信息系统满足《信息安全技术信息系统安全等级保护基本要求》中不同等级的防护要求,顺利通过国家电网公司或公安部等级保护建设测评。
3.安全域及网络边界防护
根据GB/T22239-201*《信息安全技术信息安全等级保护基本要求》、《国家电网公司信息化“SG186”工程安全防护总体方案》及《国家电网公司“SG186”工程信息系统安全等级保护验收测评要求(征求意见稿)》的要求,省公司及地市公司信息系统按照业务系统定级,根据不同级别保护需求,按要求划分安全区域进行分级保护。因此,安全域划分是进行信息安全等级保护建设的首要步骤。3.1信息网络现状
山东省电力集团公司各地市信息内网拓扑典型结构:
省局信息广域网多产以及第三方网络SiIPS县局广域网县局广域网链路聚合链路聚合二级系统域桌面终端域营销系统域SiSiSi应用服务器
图:典型信息网络现状
主要问题:
各安全域之间缺乏有效的控制措施不能够保障业务系统安全、独立运
行,不受其他业务系统的影响。
根据GB/T22239-201*《信息安全技术信息安全等级保护基本要求》和《国家电网公司信息化“SG186”工程安全防护总体方案》的建设要求,省公司和各地市信息网络安全域需根据业务系统等级进行重新划分。3.2安全域划分方法
依据国家电网公司安全分区、分级、分域及分层防护的原则,管理信息大区按照双网隔离方案又分为信息内网与信息外网。本方案主要针对公司信息系统进行等级保护建设。在进行安全防护建设之前,首先实现对信息系统的安全域划分。
依据SG186总体方案中“二级系统统一成域,三级系统独立分域”的要求,结合省公司MPLSVPN现状,采用纵向MPLSVPN结合VLAN划分的方法,将全省信息系统分为:
信息内网区域可分为:
电力市场交易系统MPLSVPN(或相应纵向通道):包含省公司电力市
场交易应用服务器VLAN、省公司电力市场交易办公终端;
财务管理系统MPLSVPN(或相应纵向通道):包含省公司财务管理系
统VLAN、省公司财务办公终端VLAN、各地市财务办公终端VLAN(13个);
营销管理系统MPLSVPN(或相应纵向通道):省公司营销系统VLAN、
省公司营销办公终端VLAN、各地市营销系统VLAN(13个)、各地市营销办公终端VLAN(13个)
二级系统MPLSVPN(或相应纵向通道)(二级系统包括:内部门户(网
站)、生产管理信息系统、协同办公系统、人力资源管理系统、物资管理系统、项目管理系统和邮件系统):
公共服务MPLSVPN(或相应纵向通道):包含DNS、FTP等全省需要
访问的公共服务信息内网桌面终端域信息外网区的系统可分为:
电力市场交易系统域营销管理系统域(95598)外网二级系统域(外网门户等)信息外网桌面终端域
安全域的具体实现采用物理防火墙隔离、虚拟防火墙隔离或Vlan隔离等形式进行安全域划分。3.3安全域边界3.3.1
二级系统边界
二级系统域存在的边界如下表:
边界类型第三方网络边界纵向网络边界Internet边界省公司与华北电网公司间、省公司与其地市公司之间在信息内外网区与桌面终端域的边界在信息内外网区与基础系统域的边界横向域间边界与财务系统域之间的边界与电力市场交易系统域的边界与营销管理系统域间的边界二级系统域的网络边界拓扑示意图如下:
边界描述
3.3.2
三级系统边界
财务管理系统、电力市场交易系统和营销系统均涉及信息内网与银行联网存在第三方网络边界接口、省公司与地市公司之间网络边界接口、信息内网横向域间其它二级系统域间接口,电力市场交易系统还涉及信息外网与Internet存在第三方网络边界接口。
三级系统域存在的边界如下表:边界类型边界描述与Internet互联网的边界,实现:公共服务通道(边远站所、移动服务、PDA现场服务、居民集中抄表、负控终端采集、抢修车辆GPS定位等)与其他社会代收机构连接(VPN)网上营业厅短信服务时钟同步银企互联边界信息内网第三方边界纵向网络边界横向域间边界与其他社会代收机构的边界(专线连接)公共服务通道(专线、GPRS、CDMA等)省公司与地市公司与二级系统域间的边界与内外网桌面终端域的边界信息外网第三方边界
与内外网基础系统域的边界与其它三级域之间的边界三级系统域的网络边界拓扑示意图如下:
3.4安全域的实现形式
安全域实现方式以划分逻辑区域为主,旨在实现各安全区域的逻辑划分,明确边界以对各安全域分别防护,并且进行域间边界控制,安全域的实体展现为一个或多个物理网段或逻辑网段的集合。对公司信息系统安全域的划分手段采用如下方式:
防火墙安全隔离:采用双接口或多接口防火墙进行边界隔离,在每两个
安全域的边界部署双接口防火墙,或是采用多接口防火墙的每个接口分别与不同的安全域连接以进行访问控制。
虚拟防火墙隔离:采用虚拟防火墙实现各安全域边界隔离,将一台防火
墙在逻辑上划分成多台虚拟的防火墙,每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备,可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。在本方案实现中,可以为每个安全域建立独立的虚拟防火墙进行边界安全防护。
三层交换机Vlan隔离:采用三层交换机为各安全域划分Vlan,采用交
换机访问控制列表或防火墙模块进行安全域间访问控制。
二层交换机Vlan隔离:在二层交换机上为各安全域划分Vlan,采用
Trunk与路由器或防火墙连接,在上联的路由器或防火墙上进行访问控制。
对于一个应用的子系统跨越多个物理环境如设备机房所带来的分域问题,由于安全域为逻辑区域,可以将公司层面上的多个物理网段或子网归属于同一安全域实现安全域划分。3.5安全域划分及边界防护3.5.1
安全域的划分
结合SG186总体方案中定义的“二级系统统一成域,三级系统独立分域”,在不进行物理网络调整的前提下,将财务系统和物资与项目系统进行分离,使三级财务系统独立成域,二级系统物资和项目管理归并和其他二级系统统一成域,在VPN内,建立ACL控制桌面终端与服务器间的访问,现将省公司信息系统逻辑安全域划分如下:
山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山SiSi山山山山山山山山山山山山山山山山山图:省公司内网逻辑划分图
营销服务器财务服务器电力市场交易服务器二级系统安全域(内网门户、物资、项目、生产等)公共应用服务安全域(DNS、车辆管理等)省公司桌面终端营销终端财务终端电力市场交易终端电力市场交易MPLSVPN营销MPLSVPN财务MPLSVPN营销服务器财务终端营销终端地市公司二级系统安全域(内网门户、生产等)桌面终端图:全省信息系统MPLSVPN安全域划分逻辑图
Internet防火墙设备或访问控制措施其他应用服务应用服务器外网门户防火墙电力市场交易信息外网应用服务器区域95598Si信息外网桌面终端域
图:信息外网安全域划分逻辑图
在原有的MPLSVPN的基础上结合VLAN划分方法,根据等级保护及国网SG186总体防护方案有求,对全省信息系统进行安全域划分。
1)三级系统与二级系统进行分离:
集中集成区域的三台小型机采用集群模式部署了财务、物资、项目这三个业务系统,由于财务为三级业务系统,应要独立成域,必须将财务系统从集群中分离出来,安装在独立的服务器或者小型机上,接入集中集成区域或新大楼服务器
区。
2)划分安全域,明确保护边界:
采用MPLSVPN将三级系统划分为独立安全域。财务系统MPLSVPN、电力市场交易系统MPLSVPN、营销系统MPLSVPN、二级系统安全域、桌面安全域、公共应用服务安全域。二级系统安全域包含除三级系统外的所有应用系统服务器;桌面安全域包含各业务部门桌面终端VLAN;公共引用服务安全域为全省均需要访问的应用服务器,如DNS等。
目前信息外网存在三大业务系统:外网门户、营销系统95598网站、电力市场交易系统外网网站。根据等级保护要求应将营销系统95598网站和电力市场交易系统外网网站分别划分独立的VLAN,并在边界防火墙上设置符合等级保护三级要求的VLAN访问控制策略。
3)部署访问控制设备或设置访问控制规则
在各安全域边界设置访问控制规则,其中安全域边界按照“安全域边界”章节所列举的边界进行防护。访问控制规则可以采用交换机访问控制策略或模块化逻辑防火墙的形式实现。
二级系统安全域边界访问控制规则可以通过交换机的访问控制规则实现,访问控制规则满足如下条件:
根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制
粒度为网段级。
按用户和系统之间的允许访问规则,控制粒度为单个用户。
三级系统安全域边界的安全防护需满足如下要求:
根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
对进出网络的信息内容进行过滤,实现对应用层协议命令级的控制。
4)入侵检测系统部署:
二级系统、三级系统安全域内应部署入侵检测系统,并根据业务系统情况制定入侵检测策略,检测范围应包含二级系统服务器、三级系统服务器、其他应用服务器,入侵检测应满足如下要求:
定制入侵检测策略,如根据所检测的源、目的地址及端口号,所需监测的服务类型以定制入侵检测规则;定制入侵检测重要事件即时报警策略;
入侵检测至少可监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;
当检测到攻击行为时,入侵检测系统应当记录攻击源IP、攻击类型、攻击目的IP、攻击时间,在发生严重入侵事件时应能提供及时的报警信息。
4.信息安全管理建设
4.1建设目标
省公司信息系统的管理与运维总体水平较高,各项管理措施比较到位,经过多年的建设,已形成一整套完备有效的管理制度。省公司通过严格、规范、全面的管理制度,结合适当的技术手段来保障信息系统的安全。管理规范已经包含了信息安全策略、信息安全组织、资产管理、人力资源安全、物理与环境安全、通讯与操作管理、访问控制、信息系统的获取、开发和维护、信息安全事故管理、业务连续性管理等方面,但与《信息安全技术信息系统安全等级保护基本要求》存在一定的差距,需进行等级保护建设。
通过等级保护管理机构与制度建设,完善公司信息系统管理机构和管理制
度,落实《信息安全技术信息系统安全等级保护基本要求》管理制度各项指标和要求,提高公司信息系统管理与运维水平。通过等级保护建设,实现如下目标:
1)落实《信息安全技术信息系统安全等级保护基本要求》管理制度各项指
标和要求。
2)在公司信息安全总体方针和安全策略的引导下,各管理机构能按时需要
规划公司信息安全发展策略,及时发布公司各类信息安全文件和制度,对公司各类安全制度中存在的问题定期进行修订与整改。
3)系统管理员、网络管理员、安全管理员等信息安全管理与运维工作明确,
明确安全管理机构各个部门和岗位的职责、分工和技能要求。4)在安全技术培训与知识交流上,能拥有安全业界专家、专业安全公司或
安全组织的技术支持,以保证省公司信息系统安全维护符合各类安全管理要求并与时俱进。
5.二级系统域建设
5.1概述与建设目标
二级系统域是依据等级保护定级标准将国家电网公司应用系统定为二级的所有系统的集合,按分等级保护方法将等级保护定级为二级的系统集中部署于二级系统域进行安全防护,二级系统域主要涵盖与二级系统相关的主机、服务器、网络等。
省公司二级系统主要包括内部门户(网站)、对外门户(网站)、生产管理信息系统、协同办公系统、人力资源管理系统、物资管理系统、项目管理系统和邮件系统等共8个二级系统,除对外门户外,其它七个内网二级系统需按二级系统要求统一成域进行安全防护。
二级系统域等级保护建设目标是落实《信息安全技术信息安全等级保护基本要求》中二级系统各项指标和要求,实现信息系统二级系统统一成域,完善二级系统边界防护,配置合理的网络环境,增强二级系统主机系统安全防护及二级系
统各应用的安全与稳定运行。
针对《信息安全技术信息安全等级保护基本要求》中二级系统各项指标和要求,保障系统稳定、安全运行,本方案将二级系统域安全解决方案分为边界防护、网络环境、主机系统及应用安全四个层面进行安全建设。5.2网络安全5.2.1
网络安全建设目标
省公司下属各地市公司网络安全建设按照二级系统要求进行建设,通过等级保护建设,实现如下目标:
1)网络结构清晰,具备冗余空间满足业务需求,根据各部门和业务的需求,
划分不同的子网或网段,网络图谱图与当前运行情况相符;
2)各网络边界间部署访问控制设备,通过访问控制功能控制各业务间及办
公终端间的访问;
3)启用网络设备安全审计,以追踪网络设备运行状况、设备维护、配置修
改等各类事件;
4)网络设备口令均符合国家电网公司口令要求,采用安全的远程控制方法
对网络设备进行远程控制。
5.2.2
地市公司建设方案
根据测评结果,地市公司信息网络中网络设备及技术方面主要存在以下问题:
1)网络设备的远程管理采用明文的Telnet方式;
2)部分网络设备采用出厂时的默认口令,口令以明文的方式存储于配置文
件中;
3)交换机、IDS等未开启日志审计功能,未配置相应的日志服务器;4)供电公司内网与各银行间的防火墙未配置访问控制策略;5)网络设备采用相同的SNMP口令串进行管理;
6)未开启网络设备登录失败处理功能,未限制非法登录次数,当网络登录
连接超时时未设置自动退出等措施;
7)缺少对内部网络中出现的内部用户未通过准许私自联到外部网络的行
为进行检查与监测措施;
8)未限制网络最大流量数及网络连接数;9)未限制具有拨号访问权限的用户数量。
针对以上问题,结合《信息安全技术信息安全等级保护基本要求》给出相应整改方案如下:
1)关闭防火墙、交换机和IDS的telnet服务,启用安全的管理服务,如
SSH和https。部分不支持SSH的交换机应在交换机上限制可telnet远程管理的用户地址,实施配置如下(以思科交换机为例):
Router#configterminalRouter(config)#access-list10permittcp10.144.99.1200.0.0.0eq23any(只允许10.144.99.120机器telnet登录,如需配置某一网段可telnet远程管理,可配置为:access-list10permittcp10.144.99.10.0.0.255eq23any)Router(config)#linevty04(配置端口0-4)Router(Config-line)#Transportinputtelnet(开启telnet协议,如支持ssh,可用ssh替换telnet)Router(Config-line)#exec-timeout50
Router(Config-line)#access-class10inRouter(Config-line)#endRouter#configterminalRouter(config)#linevty515Router(Config-line)#nologin(建议vty开放5个即可,多余的可以关闭)Router(Config-line)#exitRouter(Config)#exitRouter#write2)修改网络设备出厂时的默认口令,且修改后的口令应满足长度大于等于
8位、含字母数字和字符的强度要求,其它不满足此口令强度要求的,均应要进行修改。部分楼层接入交换机,应及时修改口令;交换机应修改其SNMP口令串;防火墙口令应满足口令强度要求。交换机SNMP口令串修改实施步骤如下(以思科交换机为例):
Router#configterminalRouter(config)#nosnmp-servercommunityCOMMUNITY-NAME1RO(删除原来具有RO权限的COMMUNITY-NAME1)Router(config)#snmp-servercommunityCOMMUNITY-NAMERO(如需要通过snmp进行管理,则创建一个具有读权限的COMMUNITY-NAME,若COMMUNITY-NAME权限为RW,则将命令行中RO更改为RW)Router(config)#snmp-serverenabletraps(允许发出Trap)Router(config)#exitRouter#write3)交换机、IDS和防火墙等应开启日志审计功能,并配置日志服务器保存
交换机、IDS和防火墙的日志信息。以思科交换机为例,日志审计和日志收集存储于服务器实施配置如下:
Route#configterminal
Route(config)#loggingon(启用日志审计)
Route(config)#loggingconsolenotification(设置控制等级为5级:notification)Route(config)#!Seta16Klogbufferatinformationlevel
Route(config)#loggingbuffered16000information(设置其大小为16K)Route(config)#!turnontime/datestampsinlogmessages
Route(config)#servicetimestamplogdatetimemseclocalshow-timezoneRoute(config)#!setmonitorloggingleveltolevel6Route(config)#loggingmonitorinformationRoute(config)#exit
Route#!makethissessionreceivelogmessagesRoute#terminalmonitorRoute#configterminal
Route(config)#loggingtrapinformation(控制交换机发出日志的级别为6级:information)
Route(config)#logging192.168.10.188(将日志发送到192.168.10.188,如需修改服务器,可采用Route(config)#nologging192.168.10.188删除,然后重新配置日志服务器)
Route(config)#loggingfacilitylocal6
Route(config)#loggingsource-interfaceFastEthernet0/1(设置发送日志的以太网口)
Route(config)#exitRoute#configterminalRoute(config)#loggingtrapinformationRoute(config)#snmp-serverhost192.168.10.1trapspublic(配置发送trap信息主机)Route(config)#snmp-servertrap-sourceEthernet0/1Route(config)#snmp-serverenabletrapssyslogRoute(config)#exitRoute#write4)供电公司内网与各银行和移动或电信间的防火墙应配置访问控制策略
保证供电公司信息内网的安全。
5)根据《国家电网公司信息系统口令管理规定》制定或沿用其以管理省公
司网络设备口令。《国家电网公司信息系统口令管理规定》具体内容如下:
第四条口令必须具有一定强度、长度和复杂度,长度不得小于8位字符串,要求是字母和数字或特殊字符的混合,用户名和口令禁止相同。第五条个人计算机必须设置开机口令和操作系统管理员口令,并开启屏幕保护中的密码保护功能。第六条口令要及时更新,要建立定期修改制度,其中系统管理员口令修改间隔不得超过3个月,并且不得重复使用前3次以内的口令。用户登录事件要有记录和审计,同时限制同一用户连续失败登录次数,一般不超过3次。6)所有网络设备均应开启网络设备登录失败处理功能、限制非法登录次
数、当网络登录连接超时时自动退出等措施。以思科交换机为例,网络
登录连接超时时自动退出实施如下:
Router#configterminalRouter(Config)#linecon0配置控制口Router(Config-line)#exec-timeout50设置超时5分钟Router(Config-line)#exitRouter(Config)#exitRouter#write7)部署桌面管理系统,对内部网络中的用户网络连接状态进行实时监控,
以保证内部用户不可私自联到外部网络;配置桌面管理系统策略,对私自连接到外网的内部用户进行准确定位并阻断内外网互通。
8)在交换机上限制网络最大流量数及网络连接数,通过限制某些网段网络
服务提高网络通信流量。以思科交换机为例,实施配置如下:
Router#configterminalRouter(config)#access-list101denytcp172.16.3.00.0.0.255anywww(禁止172.16.3.0网段访问Internet)Router(config)#access-list102denytcp172.16.5.00.0.0.255anyftp(禁止172.16.5.0网段ftp服务)Router(config)#ipnattranslationmax-entries172.16.55.00.0.0.255200(限制172.16.55.0网段的主机NAT的条目为200条)Route(config)#exitRoute#write限制具有拨号访问权限的用户。由于营销系统存储EMC,需要进行远程拨
号维护;需要关闭远程拨号服务,采用更为安全的管理维护方式。5.3主机安全5.3.1
主机安全建设目标
省公司及其各地市公司信息中心对主机进行了一定的安全策略配置,并建立相关安全管理制度,由专人负责主机安全运行与维护,总体安全性较高。但仍有一些安全问题亟待解决,如安全审计不严格、开启非必须服务以及默认的用户口令策略等。
针对省公司及其地市公司二级系统主机存在的问题,结合《信息安全技术信息安全等级保护基本要求》,从主机身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和资源控制等方面进行主机安全等级保护建设与改造,以实现以下目标:
1)对主机的登录有严格的身份标识和鉴别;
2)有严格的访问控制策略限制用户对主机的访问与操作;3)有严密的安全审计策略保证主机出现故障时可查;4)拥有相关技术手段,抵抗非法入侵和恶意代码攻击。5.3.2
主机身份鉴别
省公司及地市公司主机身份鉴别现状与等级保护要求存在一定的差距,应对以下几个方面进行完善主机身份鉴别:
1)对登录操作系统的用户进行身份标识和鉴别;
2)操作系统管理用户身份标识具有不易被冒用的特点,口令有复杂度并定
期更换;
3)启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退
出等措施;
4)对服务器进行远程管理时,采取必要措施,防止鉴别信息在网络传输过
程中被窃听;整改措施:
1)对登录操作系统的管理员用户和普通用户均设置口令;删除操作系统中
过期的账户,修改操作系统中默认帐户和口令,检查操作系统中是否存在相同用户名的账户。操作系统AIX操作方式1.检查/etc/passwd密码域中存在“*”的帐户,删除不必要的账户,或增设口令;1.删除非法帐号或多余帐号,更改默认管理员帐号,将原Administrator名称改成不被人熟识的帐户,新建一个普通用户,将其重命名为Administrator,并将其权限设为最低,口令复杂度为32位以上;2.选择“本地用户和组”的“用户”,可设置口令、删除或禁用非必需账户或禁用Guest账户。WINDOWS注:管理员账号Administrator重命名后,可能会导致某些服务不能用,如SQLServer数据库可能无法启动,修改前,需在备机上进行测试运行一周时间,无任何问题,再在主机上进行修改。
2)增强操作系统口令强度设置:操作系统操作方式1.修改passwd参数:/etc/security/user-maxage=30口令最长生存期30天-maxrepeat=4每个口令在系统中重复出现的次数AIX-minalpha=4口令中最小含有的字符个数-mindiff=2新口令不同于旧口令的最小个数-minlen=8口令最短长度(包含字母、数字和特殊字符)1.修改“密码策略”,开启复杂性要求,设置口令最小长度等:WINDOWS密码复杂性要求启用密码长度最小值8字符密码最长存留期30天
密码最短存留期0天复位帐户锁定计数器10分钟帐户锁定时间帐户锁定阀值10分钟5次注:设置密码策略后可能导致不符合密码策略的帐号无法登录。在修改密码策略前,需修改不符合帐号策略的密码使其符合策略要求,最后再修改密码策略。
3)启用登录失败处理功能,设置限制非法登录次数和自动退出等措施。操作系统操作方式1.配置登录策略:修改/etc/security/login.cfg文件logindelay=3失败登录后延迟3秒显示提示符logindisable=55次失败登录后锁定端口AIXlogininterval=60在60秒内3次失败登录才锁定端口loginreenable=15端口锁定15分钟后解锁2.增加或修改/etc/profile文件中如下行:TMOUT=600;1.修改“账户锁定策略”,设置帐户锁定相关设置:复位账户锁定计数器15分钟WINDOWS账户锁定时间15分钟账户锁定阈值5次4)当对服务器进行远程管理时,对于UNIX类服务器,用当前稳定版本的
SSH等安全工具取代明文传输的telnet,并及时升级,保证传输数据的安全性;对于windows类服务器,关闭不必要的telnet服务,采用加密或认证的方式保证数据才网络传输过程中的保密性、完整性和可用性。操作系统root:admin=trueSYSTEM="compat"loginretries=0account_locked=falserlogin=false操作方式1.增加或修改/etc/security/user文件中如下行AIX
如果无法禁用telnet服务,也可使用TCPwrapper、防火墙或包过滤技术禁止不可信IP对telnet服务(例如23/TCP端口)访问。1.禁用不需要的服务,如remoteRegistry、telnet等(远程管理注册表,开启此服务带来一定的风险)。2.采用其他加密的远程桌面管理软件代替远程桌面管理,或者在远程桌面管理上启用证书认证系统。WINDOWS
注:应用系统或程序可能对特定的系统服务有依赖关系,在未确定某个服务是否需要前,请勿关闭该服务,否则会影响应用系统或程序的正常运行。5.3.3
访问控制
省公司及地市公司主机身份鉴别现状与等级保护要求存在一定的差距,应对以下几个方面进行完善:
1)启用访问控制功能,依据安全策略控制用户对资源的访问;2)实现操作系统特权用户的权限分离;
3)限制默认帐户的访问权限,重命名系统默认帐户,修改帐户的默认口令;4)及时删除多余的、过期的帐户,避免共享帐户的存在。整改措施:
1)在交换机和防火墙上设置不同网段、不同用户对服务器的访问控制权
限;关闭操作系统开启的默认共享,对于需开启的共享及共享文件夹设置不同的访问权限,对于操作系统重要文件和目录需设置权限要求。操作系统/bin;/sbin;操作方式1.修改普通用户对下列文件的权限:AIX/etc;/etc/passwd;/etc/group;
/usr/bin;WINDOWS1.修改访问控制策略,将注册标中restrictanonymous值改为1;2.删除不必要的共享文件夹或修改其权限,重要共享文件夹的权限属性不能为everyone完全控制。2)设置不同的管理员对服务器进行管理,分为系统管理员、安全管理员、
安全审计员等以实现操作系统特权用户的权限分离,并对各个帐户在其工作范围内设置最小权限,如系统管理员只能对系统进行维护,安全管理员只能进行策略配置和安全设置,安全审计员只能维护审计信息等。3)限制默认帐户的访问权限,重命名系统默认帐户,修改帐户的默认口令;
删除操作系统和数据库中过期或多余的账户,禁用无用帐户或共享帐户。操作系统AIX操作方式1.禁用文件/etc/security/user中,sys,bin,uucp,nuucp,daemon等系统默认帐户。在用户前面加上注释号“#”1.修改administrator名称,将原Administrator名称改成不被人熟识的帐户,同时将一个普通帐户名称改成Administrator,登录普通帐户执行系统所有操作;2.禁用Guest账号。WINDOWS4)根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理
用户所需的最小权限。操作系统AIXWINDOWS5.3.4
安全审计
操作方式1.更改默认口令。使用smit或增加、修改/etc/security/user下各用户的设置:将su=true更改为su=false1.修改管理用户的权限;省公司及地市公司主机访问控制现状与等级保护要求存在一定的差距,需对
以下几个方面进行完善:
1)审计范围覆盖到服务器和重要客户端上的每个操作系统用户;2)审计内容包括重要用户行为、系统资源的异常使用和重要系统命令的使
用等系统内重要的安全相关事件;
3)审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等;4)保护审计记录,避免受到未预期的删除、修改或覆盖等。整改措施:
1)审计范围覆盖到服务器和重要客户端上的每个操作系统用户和数据库
用户。操作系统1.开启syslog功能:正在审查开bin处理开操作方式审查事件开审查目标开审核启用AIX2.ftp审计。缺省情况下,系统不会记录使用ftp连接和传输文件的日志,这会对系统造成安全隐患,尤其在用户使用匿名ftp方式时。为了避免这种情况发生,可用如下的步骤使系统记录ftp的日志:1)修改/etc/syslog.conf文件,并加入一行:daemon.infoftplog其中FileName是日志文件的名字,它会跟踪FTP的活动,包括匿名和其他用户ID。FileName文件必须在做下一步骤前创建。2)运行"refresh-ssyslogd"命令刷新syslogd后台程序。3)修改/etc/inetd.conf文件,修改下面的数据行:ftpstreamtcp6nowaitroot/usr/sbin/ftpdftpd-l4)运行“refresh-sinetd”命令刷新inetd后台程序。WINDOWS1.开启日志审计功能;
2.修改普通用户对日志等安全审计方式的权限配置,只有管理员用户有查看、修改、删除等权限;2)审计内容包括重要用户行为、系统资源的异常使用和重要系统命令的使
用等系统内重要的安全相关事件。操作系统AIX操作方式1.更改默认口令。使用smit或增加、修改/etc/security/user下各用户的设置:将su=true更改为su=false1.修改安全审计策略:审核策略更改审核登录事件审核对象访问WINDOWS审核过程追踪审核目录服务访问审核特权使用审核系统事件审核帐户登录事件审核帐户管理成功成功,失败成功,失败无审核无审核无审核成功,失败成功,失败成功,失败
3)审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等;操作系统AIX操作方式1.修改日志文件,审核记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;1.修改“事件查看器”的属性配置:日志类型大小WINDOWS应用日志16384K安全日志16384K覆盖方式覆盖早于30天的事件覆盖早于30天的事件系统日志16384K覆盖早于30天的事件2.修改“事件类型”、“事件来源”等属性为“全部”;4)保护审计记录,避免受到未预期的删除、修改或覆盖等。
操作系统AIX操作方式1.利用chmod命令修改审计记录文件的操作权限,以保证日志记录文件仅root用户可访问和修改。1.修改“事件查看器”的安全属性配置:“组或用户名称”:修改为只有系统管理用户,删除Everyone;WINDOWS“用户权限”:根据需要进行“完全控制”、“修改”、“写入”等权限的配置;5.3.5
入侵防范
省公司及地市公司主机入侵防范现状与等级保护要求存在一定的差距,应对以下几个方面进行完善:
1)操作系统遵循最小安装的原则,仅安装需要的组件和应用程序,并通过
设置升级服务器等方式保持系统补丁及时得到更新。
2)检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的
类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警。整改措施:
1)操作系统需遵循最小安装的原则,仅安装需要的组件和应用程序,并通
过设置升级服务器等方式保持系统补丁及时得到更新。操作系统操作方式1.最新补丁可以在下面的URL里找到:利用smit工具安装补丁。2.禁用TCP/UDP小服务:在/etc/inetd.conf中,对不需要的服务前加#,表示注释此行,格式如下:#echostreamtcpnowaitrootinternal#echodgramudpwaitrootinternal#discardstreamtcpnowaitrootinternalAIX
#discarddgramudpwaitrootinternal#daytimestreamtcpnowaitrootinternal#daytimedgramudpwaitrootinternal#chargenstreamtcpnowaitrootinternal#chargendgramudpwaitrootinternal按上述方法,注释fingerd、uucp、tftp、talk、ntalk、rquotad、rexd、rstatd、rusersd、rwalld、sprayd、pcnfsd、ttdbserver、cmsd等服务。最后重启服务:refresh-sinetd3.禁用Sendmail、SNMP服务:编辑文件/etc/rc.tcpip中,在Sendmail、SNMP服务前加#,表示注释此行,格式如下:#start/usr/lib/sendmail"$src_running""-bd-q${qpi}"#startupsnmp#start/usr/sbin/snmp"$src_running"1.安装最新的补丁。使用WSUS或从下载最新的安装补丁进行安装。2.关闭非必需服务:常见的非必需服务有:Alerter远程发送警告信息ComputerBrowser计算机浏览器:维护网络上更新的计算机清单Messenger允许网络之间互相传送提示信息的功能,如netsendWINDOWSremoteRegistry远程管理注册表,开启此服务带来一定的风险PrintSpooler如果相应服务器没有打印机,可以关闭此服务TaskScheduler计划任务,查看“控制面板”的“任务计划”中是否有计划,若有,则不关闭。SNMP简单网管协议,如启用网管应用则不关闭。3.关闭空连接:编辑注册表如下键值:HKLM\\SYSTEM\\CurrentControlSet\\Control\\Lsa“restrictanonymous”的值修改为“1”,类型为REG_DWORD。
5.3.6恶意代码防范
省公司及地市公司主机恶意代码防范现状与等级保护要求存在一定的差距,其不符合等级保护要求项主要有:
1)安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库。整改措施:
1)及时更新病毒库,增强防病毒软件的恶意代码防护能力以保证信息系统
的安全稳定运行。操作系统AIXWINDOWS5.3.7
操作方式1.部署防火墙和IPS等恶意代码防范设备,维护AIX系统主机的安全与稳定运行。1.及时更新防病毒软件病毒库,如Symantecantivirus,并定期进行升级更新。资源控制
省公司及地市公司主机资源控制现状与等级保护要求存在一定的差距,应对以下几个方面进行完善:
1)通过设定终端接入方式、网络地址范围等条件限制终端登录;2)根据安全策略设置登录终端的操作超时锁定;3)限制单个用户对系统资源的最大或最小使用限度。整改措施:
1)在核心交换机与防火墙上配置详细的访问控制策略,限制终端的接入方
式、网络地址范围及其与其他网络间的访问控制(详细配置见网络安全建设)。
2)根据安全策略设置登录终端的操作超时锁定。
操作系统AIXTMOUT=600;操作方式1.增加或修改/etc/profile文件中如下行:1.打开“控制面板”->“管理工具”,进入“本地安全策略”。WINDOWS2.修改“账户锁定策略”,设置帐户锁定相关设置。3)限制单个用户对系统资源的最大或最小使用限度。根据用户的工作需
求,在满足其工作需求范围内,修改用户权限,并设置资源使用范围。操作系统AIXWINDOWS操作方式1.利用root用户登录操作系统,修改各帐户权限,利用chmod命令修改系统资源权限。1.用administrator登录操作系统,修改各帐户权限,对需要设置使用权限的资源设置其属性,进行安全配置:
5.4应用安全5.4.1
应用安全建设目标
根据等级保护前期评测结果,结合《信息安全技术信息安全等级保护基本要求》对二级系统应用安全从身份鉴别、访问控制、安全审计、通信完整性、通信保密性与资源控制等几个方面进行应用系统安全等级保护建设与改造,通过等级保护建设,实现如下安全防护目标:
1)对登录应用系统的所有用户均设定身份鉴别措施;2)拥有审计系统审计各用户的相关操作;
3)有相关的加密措施,保证应用系统数据在网络传输过程中的保密性、可
靠性和可用性;
4)应用程序具有自恢复功能,保证运行出错时可自动恢复。
5.4.2身份鉴别
省公司及地市公司二级系统应用的身份鉴别现状与等级保护要求存在一定的差距,应完善以下几点:
1)提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不
存在重复用户身份标识,身份鉴别信息不易被冒用。整改措施:
1)修改应用程序中用户名与口令设置模块,按《国家电网公司应用软件通
用安全要求》增设用户名唯一性检测、口令复杂度检测功能,口令复杂度功能检测模块按《国家电网公司信息系统口令管理规定》进行设计。
5.4.3
安全审计
省公司及地市公司二级系统应用的安全审计现状与等级保护要求存在一定的差距,应对以下几个方面进行完善:
1)应用软件须提供覆盖到每个用户的安全审计功能,对应用系统重要安全
事件进行审计;
2)应保证无法删除、修改或覆盖审计记录;
3)审计记录的内容至少包括事件的日期、时间、发起者信息、类型、描述
和结果等;整改措施:
1)应用软件应能够将所有的安全相关事件记录到事件日志中,或者将事件
数据安全地发送到外部日志服务器。如通过IMS系统记录应用系统日志。2)对日志进程进行保护,避免进程被意外中止、日志记录被特权用户或意
外删除、修改或覆盖等;
3)应用软件审计模块能够对所有与应用本身相关的各类事件进行有效记
录,包括但不限于以下事件:
(1).(2).(3).(4).(5).
系统管理和配置事件业务操作事件成功事件失败事件
对审计功能的操作
应用软件能够允许安全管理员选择需要进行审计的事件项目。应用软件对审计事件的记录需确保可以将每个可审计事件与引起该事件的用户身份相关联,需要包含并绑定以下信息:
(1).(2).(3).(4).(5).
5.4.4
事件发生的时间(或时间段)
事件发起用户ID、程序ID或其他实体的识别ID用户操作的客户端事件内容
事件导致的结果
通信完整性、通信保密性
省公司及地市公司二级系统应用的通信完整性与保密性现状和等级保护要求存在一定的差距,需对以下几个方面进行完善:
1)采用密码技术保证通信过程中数据的完整性与保密性;
2)在通信双方建立连接之前,应用系统利用密码技术进行会话初始化验
证。整改措施:
1)采用密码技术保证通信过程中数据的完整性,密码技术需满足以下要
求:
密码算法的选择:应用软件中选择的密码算法在强度上要等于或大于公
司规定和用户提出的安全强度要求(《国家电网公司信息系统口令管理规定》中已对算法的安全强度要求给出明确说明)。
密钥的安全管理:应用软件要在密钥生成、存储、分配、销毁的整个生
命周期中对其实施保护,确保密钥明文不能被其他进程、程序和应用中非相关组件访问到。
证书验证:应用软件应该确保能够对系统中使用的证书进行正确鉴别,
而且不会接受或继续使用非法的或者无效的证书。
5.4.5
资源控制
省公司及地市公司二级系统应用的资源控制现状与等级保护要求存在一定的差距,应对以下几个方面进行完善:
1)限制对系统的最大并发会话连接数;2)限制单个帐户的多重并发会话;整改措施
按照《国家电网公司应用软件通用安全要求》对用户会话管理要求与《信息安全技术信息安全等级保护基本要求》,二级系统应用软件需限制用户对系统的最大并发会话连接数、限制单个帐户的多重并发会话、限制某一时间段内可能的并发会话连接数等,整改方案如下:
1)应用软件要向系统管理员增设监视工具,以便实时检测客户端用户的连
接状态和行为,应用软件必须允许会话发起的用户手动终止该会话。2)应用软件能够自动处理会话的异常状态,并且能够提供给系统管理员适
当的管理工具对会话进行实时控制,包括设置会话超时时间、最大允许会话数。
3)应用软件能够确保一个客户端只能有一个用户同时登录到系统中,一个
用户只允许同时在一个客户端上登录到系统中。
5.5数据安全及备份恢复5.5.1
数据安全及备份恢复建设目标
根据等级保护前期评测结果,结合《信息安全技术信息安全等级保护基本要求》对二级系统数据安全及备份的要求,从数据完整性、数据保密性和备份与恢复等几个方面进行数据安全和备份安全等级保护建设与改造,以期实现如下目标:
1)确保管理数据和业务数据等重要信息在传输过程与存储过程中的完整
性与保密性;
2)确保存储过程中检测到完整性错误时,具有相应的措施对信息进行恢
复。
5.5.2
数据完整性、数据保密性
省公司及地市公司二级系统数据完整性和保密性现状与等级保护要求存在一定的差距,应对以下几个方面进行完善:
1)系统管理数据、鉴别信息和重要业务数据在传输过程和存储中应进行加
密,确保信息在传输过程和存储中的完整性和保密性。整改措施:
采用加密、数字签名与电子证书等保证系统管理数据、鉴别信息和重要业务数据在传输过程与存储过程中完整性不受到破坏,检测到完整性错误时,根据采用的完整性防护措施对信息进行恢复。加密技术要满足以下要求:
1)密码算法的选择:数据传输和存储中选择的密码算法在强度上要等于或
大于省公司规定的安全强度要求(《国家电网公司信息系统口令管理规定》中已对算法的安全强度要求给出明确说明)。
2)密钥的安全管理:在密钥生成、存储、分配、销毁的整个生命周期中对
其实施保护,确保密钥明文不能被其他进程和程序非相关组件访问到。
3)证书验证:数据传输和存储过程中必须对系统中使用的证书进行正确鉴
别,且不接受或继续使用非法的或者无效的证书。
6.三级系统域建设
6.1概述与建设目标
三级系统域是依据等级保护定级标准而将国家电网公司的应用系统定为三级的所有系统的集合,按等级保护方法将等级保护定级为三级的系统独立成域进行安全防护建设。
省公司三级系统主要包括电力市场交易系统、财务管理系统,营销管理系统为二级系统,但按照国家电网公司要求需按照三级系统进行防护。
省公司三级系统域等级保护建设目标是落实《信息安全技术信息安全等级保护基本要求》中三级系统各项指标和要求,实现信息系统三级系统独立分域,完善三级系统边界防护、配置合理的网络环境、增强主机系统安全防护及三级系统各应用的安全。
针对《信息安全技术信息安全等级保护基本要求》中三级系统各项指标和要求,为保障其稳定、安全运行,本方案从物理安全、网络安全、主机系统、应用安全和数据安全与备份等五个层面进行等级保护建设。6.2物理安全
根据国家电网公司“三基”建设方案要求,省公司及地市公司物理安全均按照《信息安全技术信息安全等级保护基本要求》中三级系统要求进行建设。6.2.1
物理安全建设目标
省公司及地市公司机房均需按照《信息安全技术信息系统安全等级保护基本要求》三级系统机房物理环境要求,并参照《国家电网公司信息机房设计及建设规范》的相关内容,对机房进行等级保护建设和改造,建设目标如下:
1)机房物理位置合适,环境控制措施得当,具有防震、防风、防水、防火、
防尘、防盗、防雷、防静电以及温湿度可控等安全防护措施。2)机房管理措施全面得当,如:出入管理规范、卫生管理规范、值班巡视
制度等等,保障各业务系统稳定、安全的运行。
3)电力冗余设计,从而保障公司各业务系统在遇断电、线路故障等突发事
件时能正常稳定运行。
4)机房各类指标应满足《信息安全技术信息系统安全等级保护基本要求》
三级系统机房物理环境要求中的必须完成项。
6.2.2
机房感应雷防护措施
省公司及19个下属公司信息机房均增加防雷保安器,防止感应雷的产生。感应雷的防护措施是对雷云发生自闪、云际闪、云地闪时,在进入建筑物的各类金属管、线上所产生雷电脉冲起限制作用,从而保护建筑物内人员及各种电气设备的安全。6.2.3
物理访问控制
根据系统级别、设备类型等将全省各信息机房进行区域划分,分为网络设备区、主机和服务器区等,区域之间应设置物理隔离装置,如隔墙、玻璃墙等;针对等待交付系统应设置过渡区域,与安装运行区域应分开。
对于未安装门禁系统的信息机房,在入口处安装电子门禁系统,控制、鉴别和记录进入人员;电子门禁系统应具有安全资质,能够有效的鉴别并记录进入人员的身份。6.2.4
防盗措施
根据《国家电网公司信息机房管理规范》要求,公司信息机房应使用光、电等技术配置机房防盗报警系统,报警系统满足以下要求:
1)防盗监控系统覆盖机房每一个位置,定期对监控画面数据进行查阅和备
份;
1)使用光、电技术探测机房内重要设备的物理位置,当物理位置发生变化
时,可自动报警;
2)防盗报警系统实现现场报警(如蜂鸣)和远程报警(电话或短信息)。6.2.5
防火措施
根据《国家电网公司信息机房设计与建设规范》的要求,对下属19个公司机房进行相应的调整和改造,具体方案如下:
1)主机房、基本工作间应设二氧化碳或卤代烷、七氟丙烷等灭火系统,并
按现行有关规范要求执行。
2)机房应设火灾自动报警系统,并符合现行国家标准《火灾自动报警系统
设计规范》的规定。
3)报警系统和自动灭火系统应与空调、通风系统联锁。空调系统所采用的
电加热器,应设置无风断电保护。
4)机房安全,除执行以上的规定外,应符合现行国家标准《计算站场地安
全要求》的规定。
5)凡设置二氧化碳或卤代烷、七氟丙烷固定灭火系统及火灾探测器的机
房,其吊顶的上、下及活动地板下,均应设置探测器和喷嘴。6)主机房应安装感烟探测器。当设有固定灭火器系统时,使用感烟、感温
两种探测器的组合对机房内进行探测。
7)主机房和基本工作间应安装消防系统,主机房应配置灭火设备。8)机房出口必应向疏散方向开启且能自动关闭的门,门应是防火材料,并
应保证在任何情况下都能从机房内打开。
9)凡设有卤代烷灭火装置的机房,应配置专用的空气呼吸器或氧气呼吸
器。
10)机房内存放记录介质应使用金属柜或其他能防火的容器。
6.2.6防水和防潮
针对地市公司机房存在的防水与防潮安全防护问题,并结合《国建电网公司信息机房设计与建设规范》中机房给水排水要求,机房防水盒防潮整改方案如下:
1)在机房内应安装水敏感检测仪(水敏感测试仪应按机房建设规范的要求
进行安装);
2)对机房进行防水防护,将水敏感仪器与报警系统相连,对机房水状况进
行实时监控。
6.2.7
电磁防护
针对19个下属公司机房现状与等级保护三级系统物理安全方面存在的差距,结合《国家电网公司信息机房管理规范》,给出整改方案如下:
1)机房应采用活动静电地板。机房应选用无边活动静电地板,活动地板应
符合现行国家标准《防静电活动地板通用规范》的要求。敷设高度应按实际应要确定,为150~500mm,并将地板可靠接地。
2)主机房内的工作台面及坐椅垫套材料应是导静电的,其体积电阻率为
1.0×107~1.0×1010Ωcm。
3)主机房内的导体必须与大地作可靠的连接,不得有对地绝缘的孤立导
体。
4)导静电地面、活动地板、工作台面和坐椅垫套必须进行静电接地。5)静电接地的连接线要有足够的机械强度和化学稳定性,导静电地面和台
面采用导电胶与接地导体黏结时,其接触面积不宜小于10cm2。6)主机房内绝缘体的静电电位不能大于1kV。
7)将机房内电源线和通信线缆隔离,并采用接地的方式防止外接电磁干扰
和设备寄生耦合干扰,可将电源线和通信线缆垂直铺设,进一步减少电
磁干扰。
6.3网络安全建设方案
根据业务的不同和所涉及的不同等级业务系统,网络建设方案分为省公司和地市公司进行。6.3.1
网络安全建设目标
按照《信息安全技术信息系统安全等级保护基本要求》对省公司及地市公司网络安全进行建设,以满足国家电网公司“SG186”工程总体防护方案的设计规范,建设目标如下:
1)满足双网隔离的基本要求,即内外网间采用逻辑强隔离设备进行隔离。2)边界安全防护措施到位,满足《信息安全技术信息系统安全等级保护基
本要求》,如边界访问控制措施、远程安全接入、入侵检测等。3)安全域划分合理,内网根据业务系统等级保护定级,将三级系统独立成
域,二级系统统一成域,并划分桌面终端域;外网分为应用系统域和桌面终端域。
4)针对网络设备进行安全防护,如:安全接入控制、设备安全管理、设备
安全加固、安全日志审计、设备链路冗余等。
6.3.2
建设方案
根据信息安全测评结果,省公司和下属19个公司信息网络中网络设备及技术方面主要存在以下问题:
1)网络设备的远程管理采用明文的Telnet方式;2)部分网络设备采用出厂时的默认口令;
3)交换机、IDS等未开启日志审计功能,未配置相应的日志服务器;4)IDS为C/S控制模式,管理服务器地址、登录等未作访问控制;
5)防火墙目前为网段级的访问控制,控制粒度较粗;
6)IDS登录身份鉴别信息复杂度较低,口令简单并未定期更换;7)未开启网络设备登录失败处理功能,未限制非法登录次数,当网络登录
连接超时时未设置自动退出等措施;
8)缺少对内部网络中出现的内部用户未通过准许私自联到外部网络的行
为进行检查与监测措施;
9)未限制网络最大流量数及网络连接数。
针对以上问题,结合《信息安全技术信息安全等级保护基本要求》,整改方案如下:
1)关闭防火墙、交换机和IDS的telnet服务,启用安全的管理服务,如
SSH和https。部分不支持SSH的交换机应在交换机上限制可telnet远程管理的用户地址,实施配置如下(以思科交换机为例):
Router#configterminalRouter(config)#access-list10permittcp10.144.99.1200.0.0.0eq23any(只允许10.144.99.120机器telnet登录,如需配置某一网段可telnet远程管理,可配置为:access-list10permittcp10.144.99.10.0.0.255eq23any)Router(config)#linevty04(配置端口0-4)Router(Config-line)#Transportinputtelnet(开启telnet协议,如支持ssh,可用ssh替换telnet)Router(Config-line)#exec-timeout50Router(Config-line)#access-class10inRouter(Config-line)#endRouter#configterminal
Router(config)#linevty515Router(Config-line)#nologin(建议vty开放5个即可,多余的可以关闭)Router(Config-line)#exitRouter(Config)#exitRouter#write2)修改网络设备出厂时的默认口令,且修改后的口令应满足长度大于等于
8位、含字母数字和字符的强度要求,其它不满足此口令强度要求的,均需要进行修改。IDS验收后,需及时修改口令;交换机需修改其SNMP口令串;防火墙口令应满足口令强度要求。交换机SNMP口令串修改实施步骤如下(以思科交换机为例):
Router#configterminalRouter(config)#nosnmp-servercommunityCOMMUNITY-NAME1RO(删除原来具有RO权限的COMMUNITY-NAME1)Router(config)#snmp-servercommunityCOMMUNITY-NAMERO(如需要通过snmp进行管理,则创建一个具有读权限的COMMUNITY-NAME,若COMMUNITY-NAME权限为RW,则将命令行中RO更改为RW)Router(config)#snmp-serverenabletraps(允许发出Trap)Router(config)#exitRouter#write3)交换机、IDS和防火墙等应开启日志审计功能,并配置日志服务器保存
交换机、IDS和防火墙的日志信息。以思科交换机为例,日志审计和日志收集存储于服务器实施配置如下:
Route#configterminal
Route(config)#loggingon(启用日志审计)
Route(config)#loggingconsolenotification(设置控制等级为5级:notification)Route(config)#!Seta16Klogbufferatinformationlevel
Route(config)#loggingbuffered16000information(设置其大小为16K)Route(config)#!turnontime/datestampsinlogmessages
Route(config)#servicetimestamplogdatetimemseclocalshow-timezoneRoute(config)#!setmonitorloggingleveltolevel6Route(config)#loggingmonitorinformationRoute(config)#exit
Route#!makethissessionreceivelogmessagesRoute#terminalmonitorRoute#configterminal
Route(config)#loggingtrapinformation(控制交换机发出日志的级别为6级:information)
Route(config)#logging192.168.10.188(将日志发送到192.168.10.188,如需修改服务器,可采用Route(config)#nologging192.168.10.188删除,然后重新配置日志服务器)
Route(config)#loggingfacilitylocal6
Route(config)#loggingsource-interfaceFastEthernet0/1(设置发送日志的以太网口)
Route(config)#exitRoute#configterminal
Route(config)#loggingtrapinformationRoute(config)#snmp-serverhost192.168.10.1trapspublic(配置发送trap信息主机)Route(config)#snmp-servertrap-sourceEthernet0/1Route(config)#snmp-serverenabletrapssyslogRoute(config)#exitRoute#write4)对IDS管理服务器地址和登录设置访问控制。在交换机和防火墙上配
置访问控制策略,限制仅管理员用户可进行管理和登录。交换机上配置访问控制策略ACL,限定仅管理员用户可进行管理和登录IDS服务器;在防火墙上设置策略限制可访问IDS的用户策略。通过交换机和防火墙的策略设置,限制IDS的管理员登录地址。整改防火墙上的访问控制策略粒度,使其从现在的网段级调整为单个用户级。以思科交换机为例,配置IDS管理服务器地址访问策略如下:
Router#configterminalRouter(config)#access-list101permittcp172.16.3.1280.0.0.255172.16.0.2520.0.0.3eq8080log(注:主机地址为假设,实际整改中按真实地址)5)根据《国家电网公司信息系统口令管理规定》制定或沿用其以管理省公
司网络设备口令。《国家电网公司信息系统口令管理规定》具体内容如下:
第四条口令必须具有一定强度、长度和复杂度,长度不得小于8位字符串,要求是字母和数字或特殊字符的混合,用户名和口令禁止相同。第五条个人计算机必须设置开机口令和操作系统管理员口令,并开启屏幕
保护中的密码保护功能。第六条口令要及时更新,要建立定期修改制度,其中系统管理员口令修改间隔不得超过3个月,并且不得重复使用前3次以内的口令。用户登录事件要有记录和审计,同时限制同一用户连续失败登录次数,一般不超过3次。6)所有网络设备均应开启网络设备登录失败处理功能、限制非法登录次
数、当网络登录连接超时时自动退出等措施。以思科交换机为例,网络登录连接超时时自动退出实施如下:
Router#configterminalRouter(Config)#linecon0配置控制口Router(Config-line)#exec-timeout50设置超时5分钟Router(Config-line)#exitRouter(Config)#exitRouter#write7)部署桌面管理系统,对内部网络中的用户网络连接状态进行实时监控,
以保证内部用户不可私自联到外部网络;配置桌面管理系统策略,对私自连接到外网的内部用户进行准确定位并阻断内外网互通。
8)在交换机上限制网络最大流量数及网络连接数。以思科交换机为例,实
施配置如下:
Router#configterminalRouter(config)#access-list101denytcp172.16.3.00.0.0.255anywww(禁止172.16.3.0网段访问Internet)Router(config)#access-list102denytcp172.16.5.00.0.0.255anyftp(禁止
友情提示:本文中关于《电网企业等级保护建设整改方案》给出的范例仅供您参考拓展思维使用,电网企业等级保护建设整改方案:该篇文章建议您自主创作。
来源:网络整理 免责声明:本文仅限学习分享,如产生版权问题,请联系我们及时删除。