《电力信息网络安全防护系统设计方案》由会员分享,可在线阅读,更多相关《电力信息网络安全防护系统设计方案(56页珍藏版)》请在金锄头文库上搜索。
1、 XX 电力信息网络安全防护系统设计方案1目目 录录1.1. 引言引言 3 31.1 信息安全体系建设的必要性 31.2 解决信息安全问题的总体思路 31.3XX 电力公司信息网安全防护策略 41.3.1 XX 电力公司总体安全策略 .41.3.2 XX 电力信息安全总体框架 .51.3.3 防护策略.51.3.3.1 对网络的防护策略 51.3.3.2 对主机的防护策略 61.3.3.3 对邮件系统的防护策略 61.3.3.4 对终端的防护策略62.2. 设计依据设计依据 7 72.1 信息安全管理及建设的国际标准 ISO-17799 73.3. XXXX 电力信息网安全现状电力信息网安全现
2、状7 73.1 管理安全现状73.2 网络安全现状83.3 主机及业务系统安全现状93.4 终端安全现状.114 4建设目标建设目标 13135 5安全区域的划分方案安全区域的划分方案 13135.1 网络安全域划分原则 .135.2 网络区域边界访问控制需求 .145.3 边界网络隔离和访问控制 .165.3.1 区域边界的访问控制 .165.3.2 敏感区域边界的流量审计 .1625.3.3 敏感区域边界的网络防入侵及防病毒 .166 6XXXX 电力信息网防火墙部署方案电力信息网防火墙部署方案17176.1 省公司防火墙和集成安全网关的部署 .176.2 地市公司防火墙和集成安全网关的部
3、署 .216.3 技术要求.237 7XXXX 电力信息网网络防病毒方案电力信息网网络防病毒方案24247.1 XX 电力防病毒软件应用现状 247.2 企业防病毒总体需求 .247.3 功能要求 .257.4XX 电力网防病毒系统整体架构和管理模式 .267.4.1 采用统一监控、分布式部署的原则 .267.4.2 部署全面的防病毒系统 .287.4.3 病毒定义码、扫描引擎的升级方式 .297.5 网络防病毒方案 .307.6 防病毒系统部署 .308 8入侵检测入侵检测/ /入侵防护(入侵防护(IDS/IPSIDS/IPS)方案)方案 34348.1 网络入侵检测/入侵防护(IDS/IP
4、S) .348.2 网络入侵检测/入侵保护技术说明 358.2.1 入侵检测和入侵保护(IDS/IPS)产品的功能和特点 358.3 入侵检测/入侵防护(IDS/IPS)在公司系统网络中的部署 .399 9内网客户端管理系统内网客户端管理系统 41419.1 问题分析与解决思路 .419.1.1 IP 地址管理问题 419.1.2 用户资产信息管理问题.429.1.3 软硬件违规行为监控 .439.1.4 网络拓扑查看与安全事件定位困难 .439.1.5 缺乏完整的用户授权认证系统.449.2 系统主要功能模块 .4439.3 内网管理解决方案 .459.4 方案实现功能 .459.4.1 I
5、P 地址管理 459.4.2 客户端管理 .459.4.3 系统管理 .471212安全产品部署总图和安全产品清单表安全产品部署总图和安全产品清单表 494941. 引言1.1 信息安全体系建设的必要性随着电网的发展和技术进步,电力信息化工作也有了突飞猛进的发展,信息网络规模越来越大,各种信息越来越广泛。然而,随之而来的信息安全问题也日益突出。电力工业作为我国国民经济的基础产业和公用事业,电力系统的安全运行直接关系到国民经济的持速发展和满足人民生活的需要,信息安全已成为电力企业在信息时代和知识经济新形势下面临的新课题,电力信息网络与信息的安全一旦遭受破坏,造成的影响和损失将十分巨大。近年以来,
6、在互联网上先后出现的红色代码、尼姆达、蠕虫、冲击波等病毒造成了数以万计的网站瘫痪,对电力信息系统的应用造成了较大不良影响。公司按照建设“一强三优”电网公司的发展战略,为实现“安全基础扎实、管理层次清晰、内部运作规范、企业文化鲜明、社会形象诚信”的企业共同愿景,公司的信息化发展步伐不断加快。计算机网络已覆盖全省各市、县公司,实现了信息共享和快速传递。省、市公司的用户数已达一万多个,各类应用 200 多个,省公司层面经营管理类数据达 2000G 字节,网络、信息系统已成为公司生产、经营和管理的重要支撑平台。企业的应用要求网络与信息系统具有高可靠性、高可用性、高安全性,但类似网络病毒导致信息网络部分
7、瘫痪、内外部攻击致使应用服务中断等事件时有发生,实际上还有其它一些未发现的或未产生后果的威胁,直接影响着省公司系统的信息安全,XX 电力系统信息安全体系建设已迫在眉睫。1.2 解决信息安全问题的总体思路当前我国已把信息安全上升到国家战略决策的高度。国家信息化领导小组第三次会议确定我国信息安全的指导思想:“坚持积极防御、综合防范的方针,在全面提高信息安全防护能力的同时,重点保障基础网络和重要系统的安全。完善信息安全监控体系,建立信息安全的有效机制和应急处理机制。” 这就引出等级保护的概念,必须区分重要程度不同的应用系统,并据此将保护措施分成不同的等级,而从国家层面,必须将那些关系到国家经济发展命
8、脉的基础网络圈定出来,加以重点保护,这就是“重点保障基础网络和重要系统的安全”思路。 这一思路蕴涵了“适度”信息安全的概念。“适度”实际体现了建设信息安全的综合成本与信息安全风险之间的平衡,而不是要片面追求不切实际的安全。所谓信息安全,可以理解为对信息四方面属性的保障,一是保密性,就是能够对抗对手的被动攻击,保证信息不泄露给未经授权的人;二是完整性,就是能够对抗对手的5主动攻击,防止信息被未经授权的篡改;三是可用性,就是保证信息及信息系统确实为授权使用者所用;四是可控性,就是对信息及信息系统实施安全监控。按照 ISO17799 信息安全标准、国家计算机网络安全规定及国网公司相关规定,信息安全体
9、系的建设应包括两个方面的内容:安全技术防护体系、安全管理体系。技术防护体系包括网络和应用系统的安全防护基础设施和相关的监视、检测手段;安全管理体系主要包括组织、评估、方法、改进等管理手段。信息安全体系建设的方法是:在全面的安全风险评估的基础上,对信息资产进行安全分类定级,针对信息系统存在的安全隐患和威胁,提出信息系统安全整体规划,分步实施,循环改进。结合当前我司信息系统的安全现状和急待解决的问题,我们提出我司的信息安全体系建设的总体思路:针对企业信息化应用的需求,建立电力信息系统安全保障的总体框架,确定电力信息系统安全策略,以指导电力信息系统安全技术体系与管理系统的建设。在逐步引入先进实用的信
10、息安全技术和手段的基础上,开展信息系统安全评估活动,建立完善的安全技术体系。同时,逐步建立健全公司信息安全组织机构,逐步落实各项信息安全管理制度,广泛开展信息安全教育,提高系统全员信息安全意识,构造规范化的安全管理体制和机制,以期建立完善的信息安全管理体系,并培养一支技术较强的人才队伍。按照统一规划、分步实施的原则,本方案为 XX 电力公司信息网络的安全防范基础设施的初步设计。1.3XX 电力公司信息网安全防护策略1.3.1 XX 电力公司总体安全策略企业的信息安全策略是企业信息安全工作的依据,是企业所有安全行为的准则。信息安全是围绕安全策略的具体需求有序地组织在一起,构架一个动态的安全防范体
11、系。XX 电力的总体安全策略如下:1、建立信息安全组织机构、健全各种规章制度,注重管理。2、信息安全风险防范侧重企业内部,尤其是核心设备、核心网段的安全防范。3、统一规划、部署、实施企业互联网对外的接口及安全防范。4、合理划分网络边界,做好边界的安全防护;合理划分安全域,实现不同等级安全域之间的隔离。65、制定完善的备份策略,保障系统及数据的安全。6、充分利用现有的安全设施,发挥其安全功能。7、建立完善的监控平台和快速的响应体系,及时的发现和解决出现的问题。8、采用数据安全技术保障实施,确保数据安全。1.3.2 XX 电力信息安全总体框架1.3.3 防护策略1.3.3.1 对网络的防护策略包括
12、主动防护和被动防护两方面,主动防护即采用入侵检测工具,自动对网络上进出的数据包进行检测,分辩出非法访问并阻断报警。被动防护即采用防火墙设备,置于网络出口处,并事先设定一定的规则,规定符合哪些条件的数据可以进出,其它的则一律阻断不让其通过。从而主动防护与被动防护结合,达到对网络的防护,也以此形成对小型机、服务器、PC 机等各类资源的基础性防护。1.3.3.2 对主机的防护策略主机上运行的是公司系统核心业务,存储的是各类重要数据,一旦此类机器出现问题,将会给公司系统日常业务的正常开展造成冲击和损失,所以必须对其采取进一步的、更加严格的防护措施,具体在实践中,就要对主机进行漏洞扫描和加固处理,即不定
13、期用扫描工具对关键主机进行扫描,及时发现包括操作系统、数据库系统、应用系统在内的各类漏洞缺陷,通过安装补丁程序予以弥补,同时安装防篡改、注册表锁定等加固软件和身份认证系统,从而使主机主动拒绝非法访问,自身具备较强的安全防护能力,抗御各类攻击行为。1.3.3.3 对邮件系统的防护策略经过多年的建设和推广应用,省电力公司已把基于 Lotus Notes 的办公自动化系统全面推广到省、市、县各级供电企业,实现了公文在网上办理和传递。公司系统的员工都开设了个人邮箱。所有公文流转信息都会发送到员工的个人邮箱。同时这些邮箱又都具备发送和接受外网邮件的能力。近年来,由于病毒的泛滥和快速传播,省公司的邮件系统
14、每天不可避免地收到大量的垃圾邮件和携带病毒的邮件,邮件中的病毒又在局域网7上快速传播,严重地威胁网络和信息安全。为保障网络和信息系统安全运行,需要部署专用的反垃圾邮件系统和病毒过滤系统保护省公司邮件系统的安全运行。1.3.3.4 对终端的防护策略终端的安全防护是网络与信息安全防护的重要内容,其主要防护措施是:1、安装防病毒软件并及时更新。2、加强管理,杜绝与业务无关软件的安装使用,控制使用软盘、光盘驱动器。3、终端行为管理: 网络安全问题在很多情况下都是由“内部人士”而非外来黑客所引起,在公司系统普遍存在着如下的问题:缺乏完整的内部安全防护体系;网络安全管理的基础工作较薄弱,各类网络基础信息采
15、集不全;存在一机多网和一机多用的可能性;外围设备的接入控制困难;难以监控用户对计算机的使用情况。因此迫切地需要一种高效完整的网络管理机制来监测、控制整个内网的资源和服务,使整个网络运行稳定可靠,从而保证整个内网的可信任和可控制。4、软件更新服务系统(SUS):目前大部分病毒,像尼姆达(一种利用系统漏洞的蠕虫病毒)是利用微软的系统漏洞进行传播的,而微软对大部分的漏洞及时提供了相应的补丁程序,但由于用户未及时打补丁更新系统而导致数以万计的 Windows 系统受到攻击。因此需要一套软件更新服务系统(SUS)来为主机提供补定程序,并及时自动更新系统。2. 设计依据2.1 信息安全管理及建设的国际标准
16、 ISO-17799 ISO 17799 管理体系将 IT 策略和企业发展方向统一起来,确保 IT 资源用得其所,使与 IT 相关的风险受到适当的控制。该标准通过保证信息的机密性,完整性和可用性来管理和保护组织的所有信息资产,通过方针、惯例、程序、组织结构和软件功能来确定控制方式并实施控制,组织按照这套标准管理信息安全风险,可持续提高管理的有效性和不断提高自身的信息安全管理水平,降低信息安全对持续发展造成的风险,最终保障组织的特定安全目标得以实现,进而利用信息技术为组织创造新的战略竞争机遇。83. XX 电力信息网安全现状3.1 管理安全现状参考相关信息安全相关标准中的安全管理策略要求,根据 XX 电力内网信息系统安全运维的需求,对 XX 电力内网信息系统安全组织、人员管理、安全管理、运维管理、监测管理、备份管理、应急管理、文档管理方面进行了调查分析,对 XX 电力内网信息系统安全管理现状描述如下:安全组织方面:安全组织方面:已有信息安全管理组织,有专职信息安全人员。信息安全专职人员负责组织内部与各相关单位的信息安全协调沟通工作。
