电力信息网络安全防护系统设计方案

XX电力信息网络安全防护系统设计方案1目录1.引言..........................................41.1信息安全体系建设的必要性.....................................41.2解决信息安全问题的总体思路...................................41.3XX电力公司信息网安全防护策略.................................51.3.1XX电力公司总体安全策略..................................51.3.2XX电力信息安全总体框架..................................61.3.3防护策略..................................................61.3.3.1对网络的防护策略.......................................61.3.3.2对主机的防护策略.......................................61.3.3.3对邮件系统的防护策略...................................61.3.3.4对终端的防护策略.......................................72.设计依据......................................72.1信息安全管理及建设的国际标准ISO-17799.......................73.XX电力信息网安全现状..........................83.1管理安全现状.................................................83.2网络安全现状.................................................83.3主机及业务系统安全现状......................................103.4终端安全现状................................................124．建设目标.....................................135．安全区域的划分方案...........................145.1网络安全域划分原则..........................................145.2网络区域边界访问控制需求....................................155.3边界网络隔离和访问控制......................................175.3.1区域边界的访问控制......................................175.3.2敏感区域边界的流量审计..................................1725.3.3敏感区域边界的网络防入侵及防病毒........................176．XX电力信息网防火墙部署方案...................186.1省公司防火墙和集成安全网关的部署............................186.2地市公司防火墙和集成安全网关的部署..........................226.3技术要求....................................................247．XX电力信息网网络防病毒方案...................257.1XX电力防病毒软件应用现状...................................257.2企业防病毒总体需求..........................................257.3功能要求....................................................267.4XX电力网防病毒系统整体架构和管理模式........................277.4.1采用统一监控、分布式部署的原则..........................277.4.2部署全面的防病毒系统....................................297.4.3病毒定义码、扫描引擎的升级方式..........................307.5网络防病毒方案..............................................317.6防病毒系统部署..............................................318．入侵检测/入侵防护（IDS/IPS）方案.............358.1网络入侵检测/入侵防护（IDS/IPS）............................358.2网络入侵检测/入侵保护技术说明...............................368.2.1入侵检测和入侵保护（IDS/IPS）产品的功能和特点...........368.3入侵检测/入侵防护（IDS/IPS）在公司系统网络中的部署..........409．内网客户端管理系统...........................429.1问题分析与解决思路..........................................429.1.1IP地址管理问题.........................................429.1.2用户资产信息管理问题....................................439.1.3软硬件违规行为监控......................................449.1.4网络拓扑查看与安全事件定位困难..........................449.1.5缺乏完整的用户授权认证系统..............................459.2系统主要功能模块............................................4539.3内网管理解决方案............................................469.4方案实现功能................................................469.4.1IP地址管理.............................................469.4.2客户端管理..............................................469.4.3系统管理................................................4812．安全产品部署总图和安全产品清单表............5041.引言1.1信息安全体系建设的必要性随着电网的发展和技术进步，电力信息化工作也有了突飞猛进的发展，信息网络规模越来越大，各种信息越来越广泛。然而，随之而来的信息安全问题也日益突出。电力工业作为我国国民经济的基础产业和公用事业，电力系统的安全运行直接关系到国民经济的持速发展和满足人民生活的需要，信息安全已成为电力企业在信息时代和知识经济新形势下面临的新课题，电力信息网络与信息的安全一旦遭受破坏，造成的影响和损失将十分巨大。近年以来，在互联网上先后出现的红色代码、尼姆达、蠕虫、冲击波等病毒造成了数以万计的网站瘫痪，对电力信息系统的应用造成了较大不良影响。公司按照建设“一强三优”电网公司的发展战略，为实现“安全基础扎实、管理层次清晰、内部运作规范、企业文化鲜明、社会形象诚信”的企业共同愿景，公司的信息化发展步伐不断加快。计算机网络已覆盖全省各市、县公司，实现了信息共享和快速传递。省、市公司的用户数已达一万多个，各类应用200多个，省公司层面经营管理类数据达2000G字节，网络、信息系统已成为公司生产、经营和管理的重要支撑平台。企业的应用要求网络与信息系统具有高可靠性、高可用性、高安全性，但类似网络病毒导致信息网络部分瘫痪、内外部攻击致使应用服务中断等事件时有发生，实际上还有其它一些未发现的或未产生后果的威胁，直接影响着省公司系统的信息安全，XX电力系统信息安全体系建设已迫在眉睫。1.2解决信息安全问题的总体思路当前我国已把信息安全上升到国家战略决策的高度。国家信息化领导小组第三次会议确定我国信息安全的指导思想：“坚持积极防御、综合防范的方针，在全面提高信息安全防护能力的同时，重点保障基础网络和重要系统的安全。完善信息安全监控体系，建立信息安全的有效机制和应急处理机制。”这就引出等级保护的概念，必须区分重要程度不同的应用系统，并据此将保护措施分成不同的等级，而从国家层面，必须将那些关系到国家经济发展命脉的基础网络圈定出来，加以重点保护，这就是“重点保障基础网络和重要系统的安全”思路。这一思路蕴涵了“适度”信息安全的概念。“适度”实际体现了建设信息安全的综合成本与信息安全风险之间的平衡，而不是要片面追求不切实际的安全。所谓信息安全，可以理解为对信息四方面属性的保障，一是保密性，就是能够对抗对手的被动攻击，保证信息不泄露给未经授权的人；二是完整性，就是能够对抗对手的5主动攻击，防止信息被未经授权的篡改；三是可用性，就是保证信息及信息系统确实为授权使用者所用；四是可控性，就是对信息及信息系统实施安全监控。按照ISO17799信息安全标准、国家计算机网络安全规定及国网公司相关规定，信息安全体系的建设应包括两个方面的内容：安全技术防护体系、安全管理体系。技术防护体系包括网络和应用系统的安全防护基础设施和相关的监视、检测手段；安全管理体系主要包括组织、评估、方法、改进等管理手段。信息安全体系建设的方法是：在全面的安全风险评估的基础上，对信息资产进行安全分类定级，针对信息系统存在的安全隐患和威胁，提出信息系统安全整体规划，分步实施，循环改进。结合当前我司信息系统的安全现状和急待解决的问题，我们提出我司的信息安全体系建设的总体思路：针对企业信息化应用的需求，建立电力信息系统安全保障的总体框架，确定电力信息系统安全策略，以指导电力信息系统安全技术体系与管理系统的建设。在逐步引入先进实用的信息安全技术和手段的基础上，开展信息系统安全评估活动，建立完善的安全技术体系。同时，逐步建立健全公司信息安全组织机构，逐步落实各项信息安全管理制度，广泛开展信息安全教育，提高系统全员信息安全意识，构造规范化的安全管理体制和机制，以期建立完善的信息安全管理体系，并培养一支技术较强的人才队伍。按照统一规划、分步实施的原则，本方案为XX电力公司信息网络的安全防范基础设施的初步设计。1.3XX电力公司信息网安全防护策略1.3.1XX电力公司总体安全策略企业的信息安全策略是企业信息安全工作的依据，是企业所有安全行为的准则。信息安全是围绕安全策略的具体需求有序地组织在一起，构架一个动态的安全防范体系。XX电力的总体安全策略如下：1、建立信息安全组织机构、健全各种规章制度，注重管理。2、信息安全风险防范侧重企业内部，尤其是核心设备、核心网段的安全防范。3、统一规划、部署、实施企业互联网对外的接口及安全防范。4、合理划分网络边界，做好边界的安全防护；合理划分安全域，实现不同等级安全域之间的隔离。65、制定完善的备份策略，保障系统及数据的安全。6、充分利用现有的安全设施，发挥其安全功能。7、建立完善的监控平台和快速的响应体系，及时的发现和解决出现的问题。8、采用数据安全