《国家电网公司信息安全等级保护工作交流安天TDS主机安全检查系统》由会员分享,可在线阅读,更多相关《国家电网公司信息安全等级保护工作交流安天TDS主机安全检查系统(18页珍藏版)》请在金锄头文库上搜索。
1、信息安全等级保护安全建设整改工作培训材料之二全面规划 狠抓落实 信息安全工作再上新台阶 -国家电网公司信息安全等级保护工作交流国家电网公司是国有特大型企业,是关系国家能源安全和国民经济命脉的国有重要骨干企业,核心业务为电网的建设和运营,承担着为经济社会发展提供安全、经济、清洁、可持续的电力供应的基本使命。国家电网公司经营区域覆盖26个省(自治区、直辖市),占国土面积的88%,为超过10亿人口提供电力服务,管理员工153.7万人,公司名列2009年财富全球企业500强第15位,是全球最大的公用事业企业。作为关系国家能源安全和国民经济命脉的重要骨干企业,国家电网公司内部运转和对外服务依托大量业务信
2、息系统,信息化依赖程度很高。公司历来高度重视信息化工作,大力推进信息化企业建设,自2006年开始实施SG186工程,构筑横向集成、纵向贯通的一体化企业级信息集成平台,建设八大业务应用系统,健全完善六个保障体系,提出“十一五”末初步建成信息化企业和数字化电网的目标,即在国际先进管理理念指导下,以信息技术为依托,构建电网企业生产、经营、管理和决策的信息管理系统,实现公司人、财、物三大基本要素和业务处理的全过程信息化,促进公司各项业务流程的规范化、标准化,达到工作流、资金流、物资流、信息流的高度整合和共享,实现公司生产自动化、管理现代化、决策科学化。SG186工程至今年年底将提前一年全部完成建设目标
3、,为公司人财物集约化管理和智能电网建设提供了坚强支撑。通过国家信息化测评机构测算,信息化对公司主营业务的销售收入贡献率达到1以上,SG186工程取得每年数十亿元的明显效益。在国资委公布的2007年度中央企业信息化水平评价结果中,被评为十家A级企业之一,综合排名第四,是电力行业唯一进入A级的企业。 随着国家电网公司“SG186”工程的推进,公司加快实施一体化平台建设,推进三级贯通,强化系统集成与实用化,实现公司总部与各单位系统的级联,八大业务应用整体全面推广、拓展深化应用,信息化效能、效率、效益提升作用明显,信息系统的基础性、全局性、全员性作用日益增强。电网信息安全作为电网安全的重要组成部分,是
4、电网信息化持续深入推进的基本保障,直接影响着电力企业的运行与管理工作,对电力生产控制系统安全有着重大影响。国家电网公司从维护国家安全、社会稳定与公民权益出发,按照国家信息安全等级保护制度要求,将信息安全纳入电网生产安全体系,加强管控,逐级分解安全责任,建立了完善的信息安全机制,按照“双网双机、分区分域、等级防护、多层防御”的安全策略,实施了双网隔离,部署了信息内外网邮件系统,统一配置了安全移动存储介质,建设一体化安全运行监管平台和信息安全综合工作平台,构建了运行维护标准化体系和信息安全技术督查体系,全面开展风险评估、强化应急响应、加强信息安全保密等系列措施,初步建立了公司信息安全等级保护纵深防
5、御体系,有关工作得到了国家主管部门的高度肯定和认可,并获得电力行业信息安全工作突出单位称号。下面将国家电网公司信息安全等级保护工作开展情况介绍如下:一、等级保护工作介绍国家电网公司高度重视等级保护工作,全面落实公安部信息安全等级保护管理办法、关于开展信息安全等级保护安全建设整改工作的指导意见、信息系统安全等级保护基本要求等系列管理和技术要求,以定级工作为基础,强化顶层设计,加强标准化建设,管理和技术齐抓共管开展等级保护建设整改,整体工作遵照定级备案、方案设计、等保建设、等保测评和运行维护的五个步骤开展,目前已有2/3的单位完成等级保护建设,并将于年底全面完成建设整改工作。图1 国家电网公司等级
6、保护工作流程图(一)定级备案2008年初,遵照公安部关于开展全国重要信息系统安全等级保护定级工作的通知(公信安2007861号)和电监会电力行业信息系统安全等级保护定级工作指导意见(电监信息200744号)的文件要求,国家电网公司组织对在运的信息系统进行定级,并按照公安部和电监会对公司信息系统定级的审批,公司完成了30个网省公司、21直属单位的信息系统定级与组织备案工作,涉及公司所有万余个在运信息系统,其中四级系统32个,三级系统占31.8%、二级系统占68.1%。图2 国家电网公司信息系统安全等级分布 (二)体系设计按照信息系统安全等级保护基本要求、信息安全等级保护安全建设整改工作指南的要求
7、,国家电网公司结合电网安全需求,对电网信息安全工作进行整体规划和体系设计,制定了国家电网公司信息化“SG186”工程安全防护总体方案,确定了“双网双机、分区分域、等级防护、多层防御”的信息安全防护总体策略,其核心内容为强化网络边界安全,结合信息安全等级对信息内、外网应用系统进行安全域划分,将各安全域按边界、网络、主机及应用环境四个层次实施安全防护。图3 体系构成示意图具体内容为:一是将管理信息网划分为信息内网和信息外网,管理信息内外网之间采用逻辑强隔离策略进行隔离,信息内外网分别使用物理隔离并独立的服务器和桌面计算机。二是在网络方面,构筑了网络边界三道防线,第一道防线为强化互联网与信息外网之间
8、控制策略;第二道防线为信息外网与信息内网之间采用强隔离措施和物理断开,切断信息内网与互联网的连接;第三道防线为管理信息大区与生产控制大区强隔离。三是在信息内网,按照“统筹资源、重点保护、适度安全”的原则,依据信息系统等级定级结果,采用“二级系统统一成域,三级系统独立分域”的方法划分安全域。信息外网划分为外网应用系统域和外网桌面终端域。各安全域采用符合等级保护要求的技术措施进行防护。图4 三道防线示意图国家电网公司针对各安全域防护特点的差异,明确了各域的安全控制措施及防护方案,设计了7个典型设计的分册。即,在边界方面:制定了网络与信息系统安全隔离实施指导意见,应用具有自主知识产权的逻辑强隔离装置
9、、正反向隔离装置等措施。在网络方面:采用国产网络设备和安全设备,并对经由网络传输的业务信息流进行安全防护。在主机方面:制定了国家电网公司信息安全加固实施指南,开展主机安全加固。在应用方面:制定了国家电网公司信息应用系统通用安全要求,开展应用系统安全性测试与整改。在数据方面:应用安全移动存储介质进行内外网数据交换,并开展三个集中式信息系统容灾中心建设。在管理方面辅助以信息安全综合工作平台进行管理。(三)深化标准国家电网公司结合电网信息安全防护的特殊性,以国家信息系统等级保护基本要求和电力行业信息安全要求为基础,对电网等级保护标准指标进行深化、扩充,将国家等级保护二级系统技术指标项由79个扩充至1
10、34个,三级系统技术指标项由136个扩充至184个,并将指标作为整改要求,制定了国家电网公司“SG186”工程等级保护验收标准,所有在运行信息系统必须于2009年按照标准完成整改。表1 电网需求与国家标准要求对照表要求类二级系统三级系统国家标准电网需求国家标准电网需求物理安全19303239网络安全18333344主机系统安全19373253应用安全19293140数据安全4588合计79134136184(四)现状测评按照公安部对等级保护安全建设整改工作中进行信息系统安全保护现状分析的要求,国家电网公司组织内部测评队伍,在等级保护安全建设之前按照定级结果,根据国家和公司等级保护标准,对信息系
11、统开展了技术和管理两方面的现状评估,寻找信息系统在物理安全、网络安全、主机安全、应用安全、数据安全以及安全管理上与相应安全等级标准的差距,并进行差距汇总和分析,根据不足问题重点进行建设整改工作。表2 公司等级保护符合性评估结果表(五)安全建设整改2009年,公司结合公安部等级保护建设指导意见,印发国家电网公司信息安全等级保护建设的实施指导意见,要求公司系统各单位于2009年底完成等级保护建设整改工作。具体建设内容包括:在技术措施上进行机房物理环境整改、安全域划分与实现、边界网络防护、安全配置加固、应用及数据安全防护,在管理上加强人员队伍建设并完善信息安全管理工作。1.机房物理环境整改各单位按照
12、国家电网公司信息机房设计及建设规范、国家电网公司信息机房管理规范的要求,完善机房环境、设备管理、运行管理、电源管理、安全管理和资料管理,并从防雷、防火、防水、防静电、防盗窃、防破坏、电力供应、机房物理访问控制等方面对机房环境进行改造。2.安全域划分与实现在双网双机基础上,根据信息系统的安全等级,采用部署防火墙、交换机划分 VLAN及设置访问控制策略等技术措施进行安全域划分。3.边界网络防护明确公司信息内外网五类边界,并对五类边界部署网络访问控制、入侵防护等多项通用防护措施,并特别采用公司自主研发的逻辑强隔离装置、一体化安全监管平台、边界安全监测等技术措施进行防护。4.主机安全配置加固各单位遵照
13、国家电网公司信息安全加固实施指南,通过配置安全策略、安装安全补丁、强化系统访问控制能力、修补系统漏洞等方法对各类主机设备的操作系统、数据库、中间件等及时进行策略配置和加固。包括:帐号权限加固、数据访问控制加固、服务加固、网络访问控制加固、口令策略加固、审计策略加固、漏洞加固、通信信息安全加固等方面。在办公计算机终端上,全公司统一组织部署桌面终端管理系统,对终端的安全准入、补丁的自动升级、终端安全防护进行自动维护和监测管理。5.应用及数据安全防护依照国家和公司标准,从用户身份认证、访问控制、安全审计、通信数据保护、容错能力等多方面进行应用系统安全改造和建设。在数据保护方面,应用安全移动存储介质进
14、行内外网数据交换。为确保不因人为或自然的原因,造成数据信息丢失和信息系统支持的业务功能停止或服务中断,公司提出建设集中式信息系统容灾中心,启动北京、上海、西安三个集中式信息系统容灾中心建设。6、强化信息安全队伍建设公司按照公安部要求,从安全管理、运行、监督、技术支持等方面加强信息安全队伍建设,确保安全责任落实。公司组织成立了“两级三线”(总部、网省两级,一线服务、二线运维、三线技术支持)运维服务队伍,负责各单位日常安全运行维护工作。建立了约400人的总部和网省两级信息安全技术督查队伍,负责监督和指导各单位信息安全工作落实。公司组织中国电力科学研究院、国网电力科学研究院的信息安全实验室组成信息安
15、全技术保障队伍,培养了信息安全专业研究服务人员百余人,在信息安全服务、技术研发、安全攻防及监测等方面开展了大量的工作。成立了由公司内外部专家组成的专家组,对重大信息安全决策、事件会商研判,对疑难问题进行分析和处置,并定期召开协调例会,为解决信息安全工作中遇到的问题提供技术支持。并制定了对应的人员安全管理制度,明确了人员录用、离岗、考核、教育培训管理要求。7、完善信息安全管理工作公司将等级保护与日常管理紧密结合,不断完善。按照公安部信息安全等级保护安全建设整改指导意见中信息安全管理建设的要求,公司各级单位成立了信息化工作领导小组,按照“谁主管谁负责、谁运行谁负责”和属地化管理原则,逐级落实了信息安全责任。建立了完善的信息安全管理、信息系统运行、信息内容保密等规章制度和操作规程,建立了与公司信息化发展相适应的信息安全监督机制、应急机制、通报机制、事件责任追究机制和风险管理机制,将信息安全全面纳入公司安全生产管理体系。并按照信息系统与信息安全“同步规划、同步建设、同步投入运行”的三同步原则,加大信息安全资金投入,按照人员、时间、精力“三个百分之百”的要求,实现了全面、全员、全过程、全方位的“四全”安全管理。同时,公司加强信息系统建设管理,印发信息系统上下线管理规定
