《总体方案电力交易平台》由会员分享,可在线阅读,更多相关《总体方案电力交易平台(11页珍藏版)》请在金锄头文库上搜索。
1、细心整理附件:国家电网公司信息化“SG186”工程平安防护总体方案试行细心整理目 录第一章总那么41.1.目标41.2.范围41.3.防护对象41.4.方案构造51.5.参考资料6其次章信息平安防护方案72.1.管理信息系统平安防护策略72.2.分级分域平安防护设计8平安域定义8平安域划分方案82.3.信息平安防护设计10边界平安防护11网络环境平安防护18主机系统平安防护21应用平安防护282.4.各域平安防护措施对应表34第三章平安限制措施及防护要点413.1.网络访问限制413.2.系统平安加固423.3.系统弱点扫描433.4.入侵检测措施443.5.无线平安措施453.6.远程接入限
2、制463.7.内容平安措施473.8.病毒检测措施483.9.日志审计措施483.10.备份复原措施493.11.身份认证和访问管理相关限制措施503.12.物理平安措施51附表一:词汇表57附表二:国家电网公司信息系统平安等级爱惜定级表60附1:平安方案实施指引61附2:平安产品功能及技术要求83附3:ERP系统域平安防护方案109附4:营销管理系统域平安防护方案135附5:电力市场交易系统域平安防护方案161附6:财务资金管理系统域平安防护方案187附7:总部办公自动化系统域平安防护方案211附8:二级系统域平安防护方案233附9:桌面终端域平安防护方案253第一章 总那么1.1. 目标国
3、家电网公司信息化“SG186”工程平安防护体系建立总体目标是防止信息网络瘫痪、防止应用系统破坏、防止业务数据丢失、防止企业信息泄密、防止终端病毒感染、防止有害信息传播、防止恶意渗透攻击,以确保信息系统平平稳定运行,确保业务数据平安。1.2. 范围平安防护总体方案是面对国家电网公司信息化“SG186”工程一体化平台及业务应用平安技术防护方案,是落实国家等级爱惜工作典型设计;本方案不对公司信息平安管理、业务连续性/灾难复原、信任体系建立、数据分级分类等内容进展深化设计。平安防护总体方案适用于公司各单位,包括总部、网省公司及其直属单位,作为信息系统规划、设计、审查、实施、监理、改造及运行管理中关于信
4、息平安方面技术参照。1.3. 防护对象国家电网公司信息系统部署于管理信息大区和生产限制大区,管理信息大区用以支撑国家电网公司不涉及国家隐私企业管理信息业务应用,包括国家电网公司一体化平台、八大业务应用及支持系统正常运营根底设施及桌面终端。管理信息大区划分为用于承载“SG186”工程业务应用和内部办公信息内网可涉及企业商业隐私以及用于支撑对外业务和互联网用户终端信息外网不涉及企业商业隐私,信息系统根本部署构造如下列图所示:图 1 国家电网公司网络分区示意图本方案防护对象为国家电网公司总部、网省及其直属单位管理信息系统,主要包括一体化企业信息集成平台和八大业务应用相关系统。涉及国家隐私信息系统涉密
5、信息系统遵照国家计算机信息系统保密管理暂行规定国保发19981号、涉及国家隐私信息系统审批管理规定国保办发200718号、信息平安等级爱惜管理方法公通字200743号等文件对于涉密信息系统要求进展管理,本方案不涉及。生产限制大区相关信息系统依据电力二次系统平安防护总体方案进展平安体系建立,本方案不涉及。1.4. 方案构造国家电网公司信息化“SG186”工程平安防护总体方案附件包含有各域平安防护方案、平安产品功能技术要求及平安方案实施指引,构造如下列图所示:图 2国家电网公司信息化“SG186”工程平安防护总体方案构造示意图1.5. 参考资料在总体方案编制过程中,参考了如下资料:电力二次系统平安
6、防护总体方案二OO六年十一月信息平安等级爱惜管理方法公通字200743号二OO七年六月信息平安技术信息系统平安等级爱惜根本要求二OO七年六月网络及信息系统平安隔离实施指导看法二OO七年十一月国家电网公司信息机房设计及建立标准二OO六年九月国家电网公司信息机房管理标准二OO六年九月第二章 信息平安防护方案平安防护总体方案将依据“分区、分级、分域”防护方针,将各系统划分至相应平安域进展防护,并且将各平安域划分为网络边界、网络环境、主机系统及应用环境四个层次实施平安防护措施。图 3 国家电网公司平安防护架构示意图2.1. 管理信息系统平安防护策略国家电网公司管理信息系统平安防护体系将遵循以下策略进展
7、建立:双网双机:管理信息大区划分为信息内网和信息外网,管理信息内外网间接受逻辑强隔离设备进展隔离,信息内外网分别接受独立效劳器及桌面主机;分区分域:在国家电网公司信息系统划分为管理信息大区及生产限制大区根底上,将管理信息大区系统,依据定级状况及业务系统类型,进展平安域划分,以实现不同平安域独立化、差异化防护;等级防护:管理信息系统将以实现等级爱惜为根本启程点进展平安防护体系建立,并参照国家等级爱惜根本要求进展平安防护措施设计;多层防备:在分域防护根底上,将各平安域信息系统划分为边界、网络、主机、应用四个层次进展平安防护设计,以实现层层递进,纵深防备。2.2. 分级分域平安防护设计平安防护总体方
8、案将结合国家电网公司等级爱惜定级结果以及各应用系统管理相像性、业务相近性对管理信息内外网中系统进展平安域划分,以更有针对性地进展各系统平安防护措施设计。信息系统进展平安域划分可将困难平安防护问题进展分解,有助于实现信息系统分等级爱惜,有针对性地实施应用边界防护,防止平安问题扩散。2.2.1 平安域定义平安域是由一组具有一样平安保障需求、并相互信任系统组成逻辑区域,同一平安域系统共享一样平安保障策略。2.2.2 平安域划分方案国家电网公司应用系统主要部署于信息内网,及互联网有交互子系统或功能单元部署于信息外网,信息内网及信息外网以逻辑强隔离设备进展平安隔离,对于信息内外网分别进展平安域划分。信息
9、平安等级爱惜管理方法中对于三级系统平安保障要求及国家信息平安监管部门监管执行要求强度高于二级系统,因此平安域划分接受将等级爱惜要求较高各三级系统划分独立平安域进展平安防护,以实现三级系统间及及其他系统之间独立平安防护,也便于国家电网公司及外部监管机构对于三级系统平安监管,对于信息内网应用系统平安域划分依据以下方法:二级系统统一成域,三级系统独立分域;依据以上分域方法进展平安域划分后信息内网将有以下平安域:w 电力市场交易系统域;w 财务资金管理系统域将逐步被ERP系统财务模块替代;w 办公自动化系统域仅国家电网公司总部划分为三级系统域;w 营销管理系统域基于营销管理系统重要性及目前各单位平安建
10、立现状,按等级爱惜三级要求进展平安防护建立);w ERP系统域由于“SG186”规划中财务资金管理系统将最终以模块形式整合于ERP系统中,因此ERP系统按财务资金管理系统所属等级爱惜三级进展平安建立;w 二级系统域:全部二级系统统一部署于二级系统域中进展平安防护建立。w 内网桌面终端域:由于桌面终端平安防护及应用系统不同,将其划分为独立区域进展平安防护,信息内网桌面终端用于内网业务操作及内网业务办公处理,建议各单位依据各自详细状况对桌面办公终端按业务部门或访问类型进一步进展区域细分,以便于针对不同业务访问需求制定访问限制及制定其他防护措施。以上分域方法应当在国家电网公司总部、网省、地市等各级单
11、位独立应用以进展平安域划分。此外考虑到总部、网省及地市公司层面系统平安防护体系建立一样性,营销管理及ERP系统在各单位均按等级爱惜三级要求进展建立;财务资金管理系统在总部、网省按三级防护,地市按二级防护。由于国家电网公司主要应用系统部署于信息内网,信息外网主要包括须要及互联网交互子系统或应用模块,且系统数量较少,因此将信息外网应用系统统一部署于同一平安域内进展平安防护,该平安域中应用系统在主机及应用层面按各系统所属平安级别进展防护,网络及及信息外网边界防护按满足域中各系统所属最高等级就高进展平安建立。信息外网系统划分为以下平安域:w 外网应用系统域:需及互联网进展数据交换系统部署于外网应用系统
12、域进展平安防护;w 外网桌面终端域:外网桌面终端用于外网业务办公及互联网访问,建议各单位跟据各自详细状况对外网桌面办公终端按业务部门或访问类型进展区域细分,以便于针对不同业务访问需求进展访问限制及实施其他平安防护措施。按以上方案进展平安域划分后,国家电网公司各单位平安域分布构造如下:图 4 国家电网公司各级单位平安域分布示意图2.3. 信息平安防护设计信息平安防护设计将在国家电网公司分区、分级、分域防护原那么根底上,将公司各业务单位信息系统平安防护划分为边界平安防护、网络环境平安防护、主机系统平安防护及应用平安防护四个层次进展平安防护措施设计。对于物理层面平安防护,由于其相对固定,可参照“3.
13、12 物理平安防护措施”结合国家电网公司信息机房设计及建立标准及国家电网公司信息机房管理标准实施。2.3.1 边界平安防护边界平安防护关注如何对进出该边界数据流进展有效检测和限制,有效检测机制包括基于网络入侵检测IDS、对流经边界信息进展内容过滤,有效限制措施包括网络访问限制、入侵防护、虚拟专用网VPN以及对于远程用户标识及认证访问权限限制。上述边界平安防护机制及其它层面平安措施可协同运用以供应对系统防护。进展边界平安防护目标是使边界内部不受来自外部攻击,同时也用于防止恶意内部人员跨越边界对外实施攻击,或外部人员通过开放接口、隐通道进入内部网络;在发生平安事务前期能够通过对平安日志及入侵检测事
14、务分析发觉攻击企图,平安事务发生后可以供应入侵事务记录以进展审计追踪。进展边界平安防护首要任务是明确平安边界,国家电网公司网络边界归为信息外网第三方边界、信息内网第三方边界、信息内外网边界、信息内网纵向上下级单位边界及横向域间边界五类,国家电网公司网络边界类型如下列图所示:图 4 边界分类示意图信息内网及生产限制大区边界平安防护请参考电力二次系统平安防护总体方案,本方案不作详细分析。由于信息外网所面临来自互联网威逼较多,加之信息外网一局部系统干脆向互联网发布效劳,因此平安防护措施设计将加强信息外网第三方边界平安防护;而对于信息内网,其网络环境相对较为封闭,仅及可确定外部网络进展连接,内外网间接受了逻辑强隔离设备进展平安防护,且平安域划分更为严格,在实现网络、主机、应用层面严格平安防护前提下,可以适当降低对内网第三方边界和纵向上下级单位边界平安防护要求。
