山东电力集团信息系统等级保护建设整改方案.docx

1、山东电力集团信息系统等级保护建设整改方案山东电力集团信息系统等级保护建设整改方案二零零九年八月版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属国网电力科学研究院/国网信息网络安全实验室和山东省电力集团公司所有，受到有关产权及版权法保护。任何个人、机构未经国网电力科学研究院/国网信息网络安全实验室和山东省电力集团公司的书面授权许可，不得以任何方式复制或引用本文的任何片断。文档信息文档名称山东省电力集团公司信息系统等级保护建设方案文档管理编号INSL-SDDL-BLT-2009-FA保密级别商 密文档版本号V3.0制作人郭骞制作日期2009年6月复

2、审人余 勇复审日期2009年6月扩散范围国家电网公司信息网络安全实验室山东省电力集团公司扩散批准人林为民版本变更记录时间版本说明修改人2009-V1.0创建文档郭骞2009-V2.0修改文档俞庚申2009-V3.0文档复审定稿余 勇适用性声明本报告由国网电力科学研究院/国网信息网络安全实验室撰写，适用于山东省电力集团公司信息系统等级保护项目。1.项目概述根据国家电网公司关于信息安全等级保护建设的实施指导意见（信息运安200927号）和山东省电力集团公司对等级保护相关工作提出的要求，落实等级保护各项任务，提高山东省电力集团公司信息系统安全防护能力，特制定本方案。1.1目标与范围公司为了落实和贯彻

3、公安部、国家保密局、国家密码管理局、电监会等国家有关部门信息安全等级保护工作要求，全面完善公司信息安全防护体系，落实公司“双网双机、分区分域、等级防护、多层防御”的安全防护策略，确保等级保护工作在各单位的顺利实施，提高公司整体信息安全防护水平，开展等级保护建设工作。前期在省公司及地市公司开展等级保护符合性测评工作，对地市公司进行测评调研工作，范围涵盖内网门户、外网门户、财务管理系统、营销管理系统、电力市场交易系统、生产管理信息系统、协同办公系统、人力资源管理系统、物资管理系统、项目管理系统、邮件系统、公司广域网SGInet、管理制度这13个业务系统分类，分析测评结果与等级保护要求之间的差距，提

4、出本的安全建设方案。本方案主要遵循GB/T22239-2008信息安全技术信息安全等级保护基本要求、信息安全等级保护管理办法（公通字200743号）、信息安全技术 信息安全风险评估规范（GB/T 20984-2007）、国家电网公司信息化“SG186”工程安全防护总体方案、ISO/IEC 27001信息安全管理体系标准和ISO/IEC 13335信息安全管理标准等。实施的范围包括：省公司本部、各地市公司。通过本方案的建设实施，进一步提高信息系统等级保护符合性要求，将整个信息系统的安全状况提升到一个较高的水平，并尽可能地消除或降低信息系统的安全风险。1.2方案设计根据等级保护前期测评结果，省公司

5、本部及各地市公司信息系统存在的漏洞、弱点提出相关的整改意见，并最终形成安全解决方案。1.3参照标准GB/T22239-2008信息安全技术信息安全等级保护基本要求信息安全等级保护管理办法（公通字200743号）信息安全技术 信息安全风险评估规范（GB/T 20984-2007）国家电网公司信息化“SG186”工程安全防护总体方案ISO/IEC 27001信息安全管理体系标准ISO/IEC 13335信息安全管理标准国家电网公司“SG186”工程信息系统安全等级保护验收测评要求（征求意见稿）国家电网公司信息机房设计及建设规范国家电网公司信息系统口令管理规定GB50057-94建筑防雷设计规范国家

6、电网公司应用软件通用安全要求2.建设总目标2.1等级保护建设总体目标综合考虑省公司现有的安全防护措施，针对与信息安全技术信息系统安全等级保护基本要求间存在的差异，整改信息系统中存在的问题，使省公司及地市公司信息系统满足信息安全技术信息系统安全等级保护基本要求中不同等级的防护要求，顺利通过国家电网公司或公安部等级保护建设测评。3.安全域及网络边界防护根据GB/T22239-2008信息安全技术信息安全等级保护基本要求、国家电网公司信息化“SG186”工程安全防护总体方案及国家电网公司“SG186”工程信息系统安全等级保护验收测评要求（征求意见稿）的要求，省公司及地市公司信息系统按照业务系统定级，

7、根据不同级别保护需求，按要求划分安全区域进行分级保护。因此，安全域划分是进行信息安全等级保护建设的首要步骤。3.1信息网络现状山东省电力集团公司各地市信息内网拓扑典型结构：图：典型信息网络现状主要问题：各安全域之间缺乏有效的控制措施不能够保障业务系统安全、独立运行，不受其他业务系统的影响。根据GB/T22239-2008信息安全技术信息安全等级保护基本要求和国家电网公司信息化“SG186”工程安全防护总体方案的建设要求，省公司和各地市信息网络安全域需根据业务系统等级进行重新划分。3.2安全域划分方法依据国家电网公司安全分区、分级、分域及分层防护的原则，管理信息大区按照双网隔离方案又分为信息内网

8、与信息外网。本方案主要针对公司信息系统进行等级保护建设。在进行安全防护建设之前，首先实现对信息系统的安全域划分。依据SG186总体方案中 “二级系统统一成域，三级系统独立分域”的要求，结合省公司MPLS VPN现状，采用纵向MPLS VPN结合VLAN划分的方法，将全省信息系统分为：信息内网区域可分为：电力市场交易系统MPLS VPN（或相应纵向通道）：包含省公司电力市场交易应用服务器VLAN、省公司电力市场交易办公终端；财务管理系统MPLS VPN（或相应纵向通道）：包含省公司财务管理系统VLAN、省公司财务办公终端VLAN、各地市财务办公终端VLAN（13个）；营销管理系统MPLS VPN

9、（或相应纵向通道）：省公司营销系统VLAN、省公司营销办公终端VLAN、各地市营销系统VLAN（13个）、各地市营销办公终端VLAN（13个）二级系统MPLS VPN（或相应纵向通道）（二级系统包括：内部门户（网站）、生产管理信息系统、协同办公系统、人力资源管理系统、物资管理系统、项目管理系统和邮件系统）：公共服务MPLS VPN（或相应纵向通道）：包含DNS、FTP等全省需要访问的公共服务信息内网桌面终端域信息外网区的系统可分为：电力市场交易系统域营销管理系统域（95598）外网二级系统域（外网门户等）信息外网桌面终端域安全域的具体实现采用物理防火墙隔离、虚拟防火墙隔离或Vlan隔离等形式进

10、行安全域划分。3.3安全域边界3.3.1二级系统边界二级系统域存在的边界如下表：边界类型边界描述第三方网络边界Internet边界纵向网络边界省公司与华北电网公司间、省公司与其地市公司之间横向域间边界在信息内外网区与桌面终端域的边界在信息内外网区与基础系统域的边界与财务系统域之间的边界与电力市场交易系统域的边界与营销管理系统域间的边界二级系统域的网络边界拓扑示意图如下：3.3.2三级系统边界财务管理系统、电力市场交易系统和营销系统均涉及信息内网与银行联网存在第三方网络边界接口、省公司与地市公司之间网络边界接口、信息内网横向域间其它二级系统域间接口，电力市场交易系统还涉及信息外网与Interne

11、t存在第三方网络边界接口。三级系统域存在的边界如下表：边界类型边界描述信息外网第三方边界与Internet互联网的边界，实现：公共服务通道（边远站所、移动服务、PDA现场服务、居民集中抄表、负控终端采集、抢修车辆GPS定位等）与其他社会代收机构连接（VPN）网上营业厅短信服务时钟同步信息内网第三方边界银企互联边界与其他社会代收机构的边界（专线连接）公共服务通道（专线、GPRS、CDMA等）纵向网络边界省公司与地市公司横向域间边界与二级系统域间的边界与内外网桌面终端域的边界与内外网基础系统域的边界与其它三级域之间的边界三级系统域的网络边界拓扑示意图如下：3.4安全域的实现形式安全域实现方式以划分

12、逻辑区域为主，旨在实现各安全区域的逻辑划分，明确边界以对各安全域分别防护，并且进行域间边界控制，安全域的实体展现为一个或多个物理网段或逻辑网段的集合。对公司信息系统安全域的划分手段采用如下方式：防火墙安全隔离：采用双接口或多接口防火墙进行边界隔离，在每两个安全域的边界部署双接口防火墙，或是采用多接口防火墙的每个接口分别与不同的安全域连接以进行访问控制。虚拟防火墙隔离：采用虚拟防火墙实现各安全域边界隔离，将一台防火墙在逻辑上划分成多台虚拟的防火墙，每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备，可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。在本方案实现中，可以为每个安全域建

13、立独立的虚拟防火墙进行边界安全防护。三层交换机Vlan隔离：采用三层交换机为各安全域划分Vlan，采用交换机访问控制列表或防火墙模块进行安全域间访问控制。二层交换机Vlan隔离：在二层交换机上为各安全域划分Vlan，采用Trunk与路由器或防火墙连接，在上联的路由器或防火墙上进行访问控制。对于一个应用的子系统跨越多个物理环境如设备机房所带来的分域问题，由于安全域为逻辑区域，可以将公司层面上的多个物理网段或子网归属于同一安全域实现安全域划分。3.5安全域划分及边界防护3.5.1安全域的划分结合SG186总体方案中定义的“二级系统统一成域，三级系统独立分域”，在不进行物理网络调整的前提下，将财务系

14、统和物资与项目系统进行分离，使三级财务系统独立成域，二级系统物资和项目管理归并和其他二级系统统一成域，在VPN内，建立ACL控制桌面终端与服务器间的访问，现将省公司信息系统逻辑安全域划分如下：图：省公司内网逻辑划分图图：全省信息系统MPLS VPN安全域划分逻辑图图：信息外网安全域划分逻辑图在原有的MPLS VPN的基础上结合VLAN划分方法，根据等级保护及国网SG186总体防护方案有求，对全省信息系统进行安全域划分。1)三级系统与二级系统进行分离：集中集成区域的三台小型机采用集群模式部署了财务、物资、项目这三个业务系统，由于财务为三级业务系统，应要独立成域，必须将财务系统从集群中分离出来，安

15、装在独立的服务器或者小型机上，接入集中集成区域或新大楼服务器区。2)划分安全域，明确保护边界：采用MPLS VPN将三级系统划分为独立安全域。财务系统MPLS VPN、电力市场交易系统MPLS VPN、营销系统MPLS VPN、二级系统安全域、桌面安全域、公共应用服务安全域。二级系统安全域包含除三级系统外的所有应用系统服务器；桌面安全域包含各业务部门桌面终端VLAN；公共引用服务安全域为全省均需要访问的应用服务器，如DNS等。目前信息外网存在三大业务系统：外网门户、营销系统95598网站、电力市场交易系统外网网站。根据等级保护要求应将营销系统95598网站和电力市场交易系统外网网站分别划分独立

16、的VLAN，并在边界防火墙上设置符合等级保护三级要求的VLAN访问控制策略。3)部署访问控制设备或设置访问控制规则在各安全域边界设置访问控制规则，其中安全域边界按照“安全域边界”章节所列举的边界进行防护。访问控制规则可以采用交换机访问控制策略或模块化逻辑防火墙的形式实现。二级系统安全域边界访问控制规则可以通过交换机的访问控制规则实现，访问控制规则满足如下条件：根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级。按用户和系统之间的允许访问规则，控制粒度为单个用户。三级系统安全域边界的安全防护需满足如下要求：根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端

17、口级；对进出网络的信息内容进行过滤，实现对应用层协议命令级的控制。4)入侵检测系统部署：二级系统、三级系统安全域内应部署入侵检测系统，并根据业务系统情况制定入侵检测策略，检测范围应包含二级系统服务器、三级系统服务器、其他应用服务器，入侵检测应满足如下要求：定制入侵检测策略，如根据所检测的源、目的地址及端口号，所需监测的服务类型以定制入侵检测规则；定制入侵检测重要事件即时报警策略；入侵检测至少可监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；当检测到攻击行为时，入侵检测系统应当记录攻击源IP、攻击类型、攻击目的IP、攻击时间，在发生

18、严重入侵事件时应能提供及时的报警信息。4.信息安全管理建设4.1建设目标省公司信息系统的管理与运维总体水平较高，各项管理措施比较到位，经过多年的建设，已形成一整套完备有效的管理制度。省公司通过严格、规范、全面的管理制度，结合适当的技术手段来保障信息系统的安全。管理规范已经包含了信息安全策略、信息安全组织、资产管理、人力资源安全、物理与环境安全、通讯与操作管理、访问控制、信息系统的获取、开发和维护、信息安全事故管理、业务连续性管理等方面，但与信息安全技术信息系统安全等级保护基本要求存在一定的差距，需进行等级保护建设。通过等级保护管理机构与制度建设，完善公司信息系统管理机构和管理制度，落实信息安全

19、技术信息系统安全等级保护基本要求管理制度各项指标和要求,提高公司信息系统管理与运维水平。通过等级保护建设，实现如下目标：5)落实信息安全技术信息系统安全等级保护基本要求管理制度各项指标和要求。6)在公司信息安全总体方针和安全策略的引导下，各管理机构能按时需要规划公司信息安全发展策略，及时发布公司各类信息安全文件和制度，对公司各类安全制度中存在的问题定期进行修订与整改。7)系统管理员、网络管理员、安全管理员等信息安全管理与运维工作明确，明确安全管理机构各个部门和岗位的职责、分工和技能要求。8)在安全技术培训与知识交流上，能拥有安全业界专家、专业安全公司或安全组织的技术支持，以保证省公司信息系统安

20、全维护符合各类安全管理要求并与时俱进。5.二级系统域建设5.1概述与建设目标二级系统域是依据等级保护定级标准将国家电网公司应用系统定为二级的所有系统的集合，按分等级保护方法将等级保护定级为二级的系统集中部署于二级系统域进行安全防护，二级系统域主要涵盖与二级系统相关的主机、服务器、网络等。省公司二级系统主要包括内部门户（网站）、对外门户（网站）、生产管理信息系统、协同办公系统、人力资源管理系统、物资管理系统、项目管理系统和邮件系统等共8个二级系统，除对外门户外，其它七个内网二级系统需按二级系统要求统一成域进行安全防护。二级系统域等级保护建设目标是落实信息安全技术信息安全等级保护基本要求中二级系统

21、各项指标和要求，实现信息系统二级系统统一成域，完善二级系统边界防护，配置合理的网络环境，增强二级系统主机系统安全防护及二级系统各应用的安全与稳定运行。针对信息安全技术信息安全等级保护基本要求中二级系统各项指标和要求，保障系统稳定、安全运行，本方案将二级系统域安全解决方案分为边界防护、网络环境、主机系统及应用安全四个层面进行安全建设。5.2网络安全5.2.1网络安全建设目标省公司下属各地市公司网络安全建设按照二级系统要求进行建设，通过等级保护建设，实现如下目标：9)网络结构清晰，具备冗余空间满足业务需求，根据各部门和业务的需求，划分不同的子网或网段，网络图谱图与当前运行情况相符；10)各网络边界

22、间部署访问控制设备，通过访问控制功能控制各业务间及办公终端间的访问；11)启用网络设备安全审计，以追踪网络设备运行状况、设备维护、配置修改等各类事件；12)网络设备口令均符合国家电网公司口令要求，采用安全的远程控制方法对网络设备进行远程控制。5.2.2地市公司建设方案根据测评结果，地市公司信息网络中网络设备及技术方面主要存在以下问题：13)网络设备的远程管理采用明文的Telnet方式；14)部分网络设备采用出厂时的默认口令，口令以明文的方式存储于配置文件中；15)交换机、IDS等未开启日志审计功能，未配置相应的日志服务器；16)供电公司内网与各银行间的防火墙未配置访问控制策略；17)网络设备采

23、用相同的SNMP口令串进行管理；18)未开启网络设备登录失败处理功能，未限制非法登录次数，当网络登录连接超时时未设置自动退出等措施；19)缺少对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查与监测措施；20)未限制网络最大流量数及网络连接数；21)未限制具有拨号访问权限的用户数量。针对以上问题，结合信息安全技术信息安全等级保护基本要求给出相应整改方案如下：22)关闭防火墙、交换机和IDS的telnet服务，启用安全的管理服务，如SSH和https。部分不支持SSH的交换机应在交换机上限制可telnet远程管理的用户地址，实施配置如下（以思科交换机为例）：Router#conf

24、ig terminalRouter(config)#access-list 10 permit tcp 10.144.99.120 0.0.0.0 eq 23 any（只允许10.144.99.120机器telnet登录，如需配置某一网段可telnet远程管理，可配置为：access-list 10 permit tcp 10.144.99.1 0.0.0.255 eq 23 any）Router(config)#line vty 0 4（配置端口0-4）Router(Config-line)#Transport input telnet（开启telnet协议，如支持ssh，可用ssh替换te

25、lnet）Router(Config-line)#exec-timeout 5 0Router(Config-line)#access-class 10 inRouter(Config-line)#endRouter#config terminalRouter(config)#line vty 5 15Router(Config-line)#no login(建议vty开放5个即可，多余的可以关闭)Router(Config-line)#exitRouter(Config)#exitRouter#write23)修改网络设备出厂时的默认口令，且修改后的口令应满足长度大于等于8位、含字母数字和字

26、符的强度要求，其它不满足此口令强度要求的，均应要进行修改。部分楼层接入交换机，应及时修改口令；交换机应修改其SNMP口令串；防火墙口令应满足口令强度要求。交换机SNMP口令串修改实施步骤如下（以思科交换机为例）：Router#config terminal Router(config)# no snmp-server community COMMUNITY-NAME1 RO （删除原来具有RO权限的COMMUNITY-NAME1）Router(config)# snmp-server community COMMUNITY-NAME RO （如需要通过snmp进行管理，则创建一个具有读权限的C

27、OMMUNITY-NAME，若COMMUNITY-NAME权限为RW,则将命令行中RO更改为RW）Router(config)# snmp-server enable traps （允许发出Trap）Router(config)#exitRouter#write24)交换机、IDS和防火墙等应开启日志审计功能，并配置日志服务器保存交换机、IDS和防火墙的日志信息。以思科交换机为例，日志审计和日志收集存储于服务器实施配置如下：Route#config terminalRoute(config)#logging on （启用日志审计） Route(config)#logging console n

28、otification （设置控制等级为5级：notification）Route(config)#!Set a 16K log buffer at information level Route(config)#logging buffered 16000 information （设置其大小为16K）Route(config)#!turn on time/date stamps in log messages Route(config)#service timestamp log datetime msec local show-timezone Route(config)#!set mo

29、nitor logging level to level 6 Route(config)#logging monitor information Route(config)#exit Route#!make this session receive log messages Route#terminal monitor Route#config terminal Route(config)#logging trap information （控制交换机发出日志的级别为6级：information）Route(config)#logging 192.168.10.188 （将日志发送到192.1

30、68.10.188，如需修改服务器，可采用Route(config)#no logging 192.168.10.188删除，然后重新配置日志服务器）Route(config)#logging facility local6 Route(config)#logging source-interface FastEthernet 0/1 （设置发送日志的以太网口）Route(config)#exit Route#config terminal Route(config)#logging trap information Route(config)#snmp-server host 192.168

31、.10.1 traps public （配置发送trap信息主机）Route(config)#snmp-server trap-source Ethernet 0/1 Route(config)#snmp-server enable traps syslog Route(config)#exitRoute# write25)供电公司内网与各银行和移动或电信间的防火墙应配置访问控制策略保证供电公司信息内网的安全。26)根据国家电网公司信息系统口令管理规定制定或沿用其以管理省公司网络设备口令。国家电网公司信息系统口令管理规定具体内容如下：第四条 口令必须具有一定强度、长度和复杂度，长度不得小于8位字符串，要求是字母和数字或特殊字符的混合，用户名和口令禁止相同。