方正集團(tuán)-級(jí)供電信息網(wǎng)安全解決方案

縣級(jí)供電企業(yè)信息安全解決方案=========================================方正信息安全技術(shù)有限公司沈傳寶/DavidShen高級(jí)安全咨詢(xún)顧問(wèn)，CISP/CISSP/OCPEmail/MSN:shencb@MobilePhone:+861351399366OfficeTel：+861082531967提綱為什么要進(jìn)行信息安全建設(shè)？信息安全需求的來(lái)源：符合性要求：法律、法規(guī)、標(biāo)準(zhǔn)、政策風(fēng)險(xiǎn)的要求：信息與網(wǎng)絡(luò)風(fēng)險(xiǎn)的存在怎樣進(jìn)行信息安全建設(shè)？風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理概念介紹電力系統(tǒng)的信息安全解決方案探討方正信息安全解決方案介紹信息安全建設(shè)的“政策”驅(qū)動(dòng)力政府規(guī)定：中辦27號(hào)文件:《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)）明確要求我國(guó)信息安全保障工作實(shí)行等級(jí)保護(hù)制度,提出“抓緊建立信息安全等級(jí)保護(hù)制度，制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南”。四部局66號(hào)文件:2004年9月發(fā)布的《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》（公通字[2004]66號(hào)）,規(guī)定了實(shí)施信息安全等級(jí)保護(hù)制度的原則、內(nèi)容、職責(zé)分工、基本要求和實(shí)施計(jì)劃，部署了實(shí)施信息安全等級(jí)保護(hù)工作的操作辦法國(guó)信辦：2005年9月《電子政務(wù)信息安全等級(jí)保護(hù)實(shí)施指南（試行）》,規(guī)范電子政務(wù)信息安全等級(jí)保護(hù)工作的基本思路和實(shí)施方法，指導(dǎo)我國(guó)電子政務(wù)建設(shè)中的信息安全保障工作行業(yè)政策和規(guī)范黨政機(jī)關(guān)《黨政機(jī)關(guān)信息系統(tǒng)安全指南》、《電子政務(wù)信息安全等級(jí)保護(hù)實(shí)施指南》、《黨政機(jī)關(guān)信息系統(tǒng)安全測(cè)評(píng)規(guī)范》、《電子政務(wù)信息安全保障技術(shù)框架》中國(guó)移動(dòng)：《中國(guó)移動(dòng)網(wǎng)絡(luò)安全評(píng)估規(guī)范》、《中國(guó)移動(dòng)支撐系統(tǒng)安全域劃分與邊界整合技術(shù)要求》稅務(wù)：《稅務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估指南》、《稅務(wù)系統(tǒng)網(wǎng)絡(luò)信息安全管理規(guī)范》電監(jiān)會(huì)：《電力二次系統(tǒng)安全防護(hù)規(guī)定》證監(jiān)會(huì)：2005-4-8《證券期貨業(yè)信息安全保障管理暫行辦法》保監(jiān)會(huì)：保險(xiǎn)公司內(nèi)部控制制度建設(shè)指導(dǎo)方針（1999年131號(hào)文）財(cái)務(wù)報(bào)表的可靠性不僅依賴(lài)于支持財(cái)務(wù)報(bào)告的特定應(yīng)用，還依賴(lài)于基礎(chǔ)的IT架構(gòu)，因此PCAOB在2號(hào)審計(jì)標(biāo)準(zhǔn)規(guī)定上市公司應(yīng)測(cè)試IT通用控制。各行各業(yè)的信息安全建設(shè)“要求”金融政府電信電力新巴塞爾資本協(xié)議BaselII銀監(jiān)會(huì)[2006]63號(hào)文國(guó)資發(fā)改革[2006]108號(hào)文中辦發(fā)27號(hào)令等級(jí)保護(hù)公通字[2006]7號(hào)文Sarbanes-Oxley薩班斯法案SOX404/302中移動(dòng)《安全域劃分與邊界整合技術(shù)要求》Q(chēng)B-J-003-2005電力二次系統(tǒng)安全防護(hù)規(guī)定（電監(jiān)會(huì)5號(hào)令）《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》公通字[2004]66號(hào)）《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)）ISO/IEC13335/AS/NZS4360風(fēng)險(xiǎn)評(píng)估規(guī)范ISO/IEC27001:2005信息安全管理體系規(guī)范（ISMS）ISO/IEC17799:2005信息安全標(biāo)準(zhǔn)《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》《信息安全風(fēng)險(xiǎn)評(píng)估/信息安全風(fēng)險(xiǎn)管理指南》（GB/TXXXXX）醫(yī)療HIPAAFDA21CFR11FDADrugBarcoderegulation信息安全工作的要求：等級(jí)保護(hù)信息系統(tǒng)等級(jí)保護(hù)是國(guó)家信息安全的基本制度：中辦27號(hào)文件：2003年，中央辦公廳、國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)）四部局66號(hào)文件：2004年，公安部、國(guó)家保密局、國(guó)家密碼管理委員會(huì)辦公室、國(guó)務(wù)院信息化工作辦公室等四部局聯(lián)合下發(fā)的《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》公通字[2004]66號(hào)）國(guó)信辦文件：2005年國(guó)信辦下發(fā)《電子政務(wù)信息安全等級(jí)保護(hù)實(shí)施指南》（25號(hào)文）。其它：2005年底公安部下發(fā)的《關(guān)于開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)基礎(chǔ)調(diào)查工作的通知》（公信安[2005]1431號(hào)）2006年初四部局聯(lián)合簽發(fā)的《信息安全等級(jí)保護(hù)管理辦法（試行）》（7號(hào)文）公安部先后出臺(tái)的《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南（試用稿）》、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求（試用稿）》、《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南（送審稿）》、《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則（送審稿）》等指導(dǎo)性文件根據(jù)“誰(shuí)建設(shè)誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”的原則，信息系統(tǒng)的使用單位、部門(mén)都應(yīng)該依據(jù)國(guó)家規(guī)定的等級(jí)劃分標(biāo)準(zhǔn)，設(shè)定信息系統(tǒng)保護(hù)等級(jí)，并在國(guó)家規(guī)定的指導(dǎo)意見(jiàn)下逐步完成等級(jí)保護(hù)工作，實(shí)現(xiàn)信息系統(tǒng)安全建設(shè)和安全管理，提高安全保護(hù)的科學(xué)性、整體性和實(shí)用性。信息安全建設(shè)的“技術(shù)”驅(qū)動(dòng)力互聯(lián)網(wǎng)的變遷：過(guò)去TCP/IPFTPEmailTelnet現(xiàn)在TCP/IPP2PBBShttp互聯(lián)網(wǎng)應(yīng)用的改變，導(dǎo)致了各種混合型威脅的出現(xiàn)，應(yīng)用的擴(kuò)展給應(yīng)對(duì)這種混合型威脅帶來(lái)巨大困難.安全威脅“從外到內(nèi)”的發(fā)展如何保護(hù)正常的業(yè)務(wù)活動(dòng)不致因?yàn)閮?nèi)網(wǎng)網(wǎng)絡(luò)與資源受到不當(dāng)或非法使用而遭受損害

如何保證內(nèi)部終端用戶(hù)的補(bǔ)丁和病毒庫(kù)始終處于最新?tīng)顟B(tài)如何快速有效隔離不符合本企業(yè)安全策略的用戶(hù)，防止因?yàn)榘踩[患機(jī)器接入而導(dǎo)致全網(wǎng)處于崩潰狀態(tài)

如何保護(hù)核心機(jī)密、技術(shù)不受到內(nèi)部的惡意威脅，例如違規(guī)泄露、拷貝等等

內(nèi)網(wǎng)安全的重要性美國(guó)FBI統(tǒng)計(jì)：83%的信息安全事故為內(nèi)部人員和內(nèi)外勾結(jié)所為，而且呈上升的趨勢(shì)公安部統(tǒng)計(jì)：70％的泄密犯罪來(lái)自于內(nèi)部；電腦應(yīng)用單位80％未設(shè)立相應(yīng)的安全管理系統(tǒng)、技術(shù)措施和制度。內(nèi)網(wǎng)安全挑戰(zhàn)

提綱為什么要進(jìn)行信息安全建設(shè)？怎樣進(jìn)行信息安全建設(shè)？信息安全建設(shè)的現(xiàn)狀與發(fā)展階段信息安全建設(shè)的一般步驟風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理概念介紹電力系統(tǒng)的信息安全解決方案探討方正信息安全解決方案介紹信息安全建設(shè)常見(jiàn)的四種類(lèi)型安全技術(shù)的投入安全流程的關(guān)注流程導(dǎo)向事件導(dǎo)向工具導(dǎo)向風(fēng)險(xiǎn)導(dǎo)向被動(dòng)型組織技術(shù)型組織成熟型組織發(fā)展型組織強(qiáng)調(diào)IT的安全管理每年信息安全經(jīng)費(fèi)預(yù)算介于整個(gè)IT預(yù)算的1%和10%之間信息資產(chǎn)分類(lèi)正式的安全組織完善的安全策略、標(biāo)準(zhǔn)和流程部署了基本的安全工具事件、故障發(fā)生以后再采取相應(yīng)補(bǔ)救措施不注重IT的安全管理無(wú)計(jì)劃中的信息安全預(yù)算使用基本的用戶(hù)名密碼管理部署了基本的安全工具強(qiáng)調(diào)并依賴(lài)IT的安全技術(shù)部署了各種領(lǐng)先的安全工具每年安全經(jīng)費(fèi)預(yù)算>10%沒(méi)有正式的安全組織，安全策略、標(biāo)準(zhǔn)和流程員工安全意識(shí)普遍薄弱強(qiáng)調(diào)IT的安全管理和安全技術(shù)的平衡每年安全經(jīng)費(fèi)預(yù)算基于風(fēng)險(xiǎn)評(píng)估結(jié)果集成且統(tǒng)一的安全體系管理架構(gòu)、技術(shù)架構(gòu)基于國(guó)際標(biāo)準(zhǔn)的完善的安全策略、標(biāo)準(zhǔn)和流程部署了必要的安全工具應(yīng)急響應(yīng)機(jī)制完善且定期演練預(yù)防為主、防治結(jié)合信息安全建設(shè)的發(fā)展一般歷程企業(yè)現(xiàn)狀

Target基于風(fēng)險(xiǎn)分析的安全管理方法信息安全的發(fā)展“產(chǎn)品導(dǎo)向型”安全“可管理的”安全“頭痛醫(yī)頭、腳痛醫(yī)腳”“三分技術(shù)、七分管理”基于風(fēng)險(xiǎn)分析的安全管理安全管理的本質(zhì)為風(fēng)險(xiǎn)管理的過(guò)程，風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的首要內(nèi)容信息安全管理原則信息安全策略（SecurityPolicy）是信息安全管理的導(dǎo)向和支持；控制目標(biāo)與控制方式的選擇建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)之上；控制費(fèi)用與風(fēng)險(xiǎn)平衡的原則，風(fēng)險(xiǎn)控制在組織可接受的水平；預(yù)防為主的思想原則（PDR模型）；動(dòng)態(tài)管理原則：風(fēng)險(xiǎn)變化的控制、對(duì)風(fēng)險(xiǎn)的動(dòng)態(tài)管理；自上而下（Top-downApproach）、全員參與；管理學(xué)模型：PDCA持續(xù)改進(jìn)（戴明環(huán)）。信息安全建設(shè)的實(shí)施步驟安全現(xiàn)狀如何?如何解決安全問(wèn)題?如何實(shí)施安全?如何管理安全?評(píng)估設(shè)計(jì)實(shí)施運(yùn)維安全風(fēng)險(xiǎn)評(píng)估安全解決方案安全實(shí)施安全運(yùn)維管理安全需求評(píng)估安全風(fēng)險(xiǎn)評(píng)估物理安全網(wǎng)絡(luò)安全系統(tǒng)安全互聯(lián)網(wǎng)安全應(yīng)用安全無(wú)線(xiàn)網(wǎng)……安全策略評(píng)估策略規(guī)章程序安全體系評(píng)估安全策略制訂安全標(biāo)準(zhǔn)、規(guī)章、程序企業(yè)安全框架結(jié)構(gòu)互聯(lián)網(wǎng)安全框架結(jié)構(gòu)安全解決方案設(shè)計(jì)訪問(wèn)控制網(wǎng)絡(luò)安全數(shù)據(jù)加密防病毒/內(nèi)容安全安全管理……業(yè)務(wù)持續(xù)性計(jì)劃與災(zāi)難恢復(fù)策略安全方案選擇安全產(chǎn)品選擇安全產(chǎn)品實(shí)施訪問(wèn)控制網(wǎng)絡(luò)安全數(shù)據(jù)加密防病毒/內(nèi)容安全安全管理備份/存儲(chǔ)/容災(zāi)……安全培訓(xùn)安全產(chǎn)品培訓(xùn)安全技術(shù)培訓(xùn)安全運(yùn)維服務(wù)安全掃描安全檢查滲透測(cè)試安全加固安全審計(jì)、IDS安全應(yīng)急響應(yīng)安全預(yù)警……安全培訓(xùn)安全產(chǎn)品培訓(xùn)安全技術(shù)培訓(xùn)安全管理培訓(xùn)安全認(rèn)證培訓(xùn)提綱為什么要進(jìn)行信息安全建設(shè)？怎樣進(jìn)行信息安全建設(shè)？風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理概念介紹信息安全風(fēng)險(xiǎn)評(píng)估的基本概念信息安全風(fēng)險(xiǎn)評(píng)估的一般過(guò)程電力系統(tǒng)的信息安全解決方案探討方正信息安全解決方案介紹有關(guān)風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理的理念從90年代開(kāi)始，已經(jīng)逐步成為引導(dǎo)信息安全技術(shù)應(yīng)用的核心理念《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》2006年6月6日，國(guó)務(wù)院國(guó)有資產(chǎn)監(jiān)督管理委員會(huì)印發(fā)了《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》“第三條本指引所稱(chēng)企業(yè)風(fēng)險(xiǎn)，指未來(lái)的不確定性對(duì)企業(yè)實(shí)現(xiàn)其經(jīng)營(yíng)目標(biāo)的影響。企業(yè)風(fēng)險(xiǎn)一般可分為戰(zhàn)略風(fēng)險(xiǎn)、財(cái)務(wù)風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)、運(yùn)營(yíng)風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)等；也可以能否為企業(yè)帶來(lái)盈利等機(jī)會(huì)為標(biāo)志，將風(fēng)險(xiǎn)分為純粹風(fēng)險(xiǎn)(只有帶來(lái)?yè)p失一種可能性)和機(jī)會(huì)風(fēng)險(xiǎn)(帶來(lái)?yè)p失和盈利的可能性并存)?！憋L(fēng)險(xiǎn)的定義：對(duì)目標(biāo)有所影響的某件事情發(fā)生的可能性 [摘自AS/NZS4360]國(guó)際風(fēng)險(xiǎn)管理趨勢(shì)動(dòng)態(tài)IT安全風(fēng)險(xiǎn)成為企業(yè)運(yùn)營(yíng)風(fēng)險(xiǎn)中最為重要的一個(gè)組成部分，業(yè)務(wù)連續(xù)性逐漸與安全并行考慮信息安全風(fēng)險(xiǎn)評(píng)估相關(guān)標(biāo)準(zhǔn)ISO/IEC17799:2005BS7799PartI：最佳實(shí)踐PartII：體系規(guī)范ISO/IEC13335AS/NZS4360SSE-CMM17ISO13335中風(fēng)險(xiǎn)各要素之間的關(guān)系威脅弱點(diǎn)安全控制安全要求資產(chǎn)價(jià)值和影響安全風(fēng)險(xiǎn)資產(chǎn)防范利用導(dǎo)致導(dǎo)致暴露采取提出增加具有降低18風(fēng)險(xiǎn)管理的過(guò)程風(fēng)險(xiǎn)管理（RiskManagement）以可接受的費(fèi)用識(shí)別、控制、降低或消除可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)的過(guò)程。安全控制（SecurityControl）降低安全風(fēng)險(xiǎn)的慣例、程序或機(jī)制剩余風(fēng)險(xiǎn)（ResidualRisk）實(shí)施安全控制后，剩余的安全風(fēng)險(xiǎn)風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)控制降低風(fēng)險(xiǎn)19風(fēng)險(xiǎn)評(píng)估的基本步驟資產(chǎn)識(shí)別與估價(jià)威脅識(shí)別與評(píng)價(jià)弱點(diǎn)識(shí)別與評(píng)價(jià)已有安全控制的確認(rèn)風(fēng)險(xiǎn)評(píng)估（量化與等級(jí)化分）風(fēng)險(xiǎn)控制風(fēng)險(xiǎn)評(píng)估的原則20風(fēng)險(xiǎn)評(píng)估的基本內(nèi)容風(fēng)險(xiǎn)評(píng)估項(xiàng)目風(fēng)險(xiǎn)評(píng)估活動(dòng)內(nèi)容1、資產(chǎn)識(shí)別和估價(jià)列出在信息安全管理體系范圍內(nèi)被評(píng)估的商業(yè)環(huán)境、動(dòng)作和信息相關(guān)的資產(chǎn)2、威脅評(píng)估識(shí)別與資產(chǎn)相關(guān)的威脅，并根據(jù)它們發(fā)生的可能性和嚴(yán)重性為它們賦值3、弱點(diǎn)評(píng)估識(shí)別與資產(chǎn)相關(guān)的弱點(diǎn)，根據(jù)它們被威脅利用的程度為其賦值4、現(xiàn)有的和計(jì)劃了的安全控制的識(shí)別根據(jù)前期的安全評(píng)審，對(duì)所有與資產(chǎn)、威脅和弱點(diǎn)相關(guān)聯(lián)的現(xiàn)有的和計(jì)劃了的控制進(jìn)行識(shí)別和文件化5、風(fēng)險(xiǎn)評(píng)估利用上述對(duì)資產(chǎn)、威脅、弱點(diǎn)的評(píng)價(jià)結(jié)果，進(jìn)行風(fēng)險(xiǎn)評(píng)估；采用適當(dāng)?shù)娘L(fēng)險(xiǎn)測(cè)量工具進(jìn)行風(fēng)險(xiǎn)計(jì)算6、安全控制和降低風(fēng)險(xiǎn)的識(shí)別和選擇根據(jù)上述評(píng)估中識(shí)別的風(fēng)險(xiǎn)，對(duì)于每一項(xiàng)列出的資產(chǎn)，確認(rèn)相關(guān)的控制目標(biāo)。應(yīng)用與這些資產(chǎn)的每一個(gè)方面相關(guān)的威脅和弱點(diǎn)，選擇相關(guān)聯(lián)的控制，以完成這些目標(biāo)7、風(fēng)險(xiǎn)接受對(duì)殘余的風(fēng)險(xiǎn)加以分類(lèi)：“可接受的”、“不可接受的”。對(duì)“不可接受的”決定是否選擇進(jìn)一步的控制21技術(shù)脆弱性評(píng)估流程提交評(píng)估申請(qǐng)報(bào)告確定評(píng)估范圍與評(píng)估對(duì)象制定評(píng)估詳細(xì)方案工具評(píng)估提交詳細(xì)評(píng)估方案并申請(qǐng)?jiān)u估授權(quán)評(píng)估工具準(zhǔn)備及配置安全掃描策略生成評(píng)估綜合報(bào)告進(jìn)行工具掃描工具評(píng)估報(bào)告手工檢查手工檢查報(bào)告滲透測(cè)試滲透測(cè)試報(bào)告22策略文檔評(píng)估文檔評(píng)估準(zhǔn)備文檔搜集、接收、鑒別和整理策略文檔格式評(píng)估策略文檔評(píng)估文檔版本控制文檔密級(jí)標(biāo)識(shí)文檔審定復(fù)查計(jì)劃發(fā)布批準(zhǔn)分發(fā)控制安全策略和標(biāo)準(zhǔn)評(píng)估分析報(bào)告策略文檔內(nèi)容評(píng)估策略文檔體系評(píng)估主策略和安全方針技術(shù)標(biāo)準(zhǔn)和規(guī)范組織機(jī)構(gòu)和人員職責(zé)安全操作流程管理規(guī)定和辦法用戶(hù)協(xié)議23風(fēng)險(xiǎn)評(píng)估的結(jié)果風(fēng)險(xiǎn)計(jì)算之前應(yīng)該進(jìn)行已有控制措施的確認(rèn)風(fēng)險(xiǎn)計(jì)算之前要確立風(fēng)險(xiǎn)測(cè)量方法---風(fēng)險(xiǎn)大小和等級(jí)評(píng)估原則HowmuchdamagedidKevinMitnickdo?Estimatesrangefrom$500,000to$120,000,000風(fēng)險(xiǎn)測(cè)量方法定性（Qualitative）的風(fēng)險(xiǎn)分析不用數(shù)字、只使用對(duì)比的方法列出所有的風(fēng)險(xiǎn)、決定某個(gè)風(fēng)險(xiǎn)的嚴(yán)重程度排列出特定的風(fēng)險(xiǎn)結(jié)果定量（Quantitative）的風(fēng)險(xiǎn)評(píng)估為每個(gè)風(fēng)險(xiǎn)的可能性給出一個(gè)確定的數(shù)值某風(fēng)險(xiǎn)可能發(fā)生的幾率？如果風(fēng)險(xiǎn)發(fā)生，那損失是多少風(fēng)險(xiǎn)評(píng)估的結(jié)果輸出《信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告》風(fēng)險(xiǎn)控制過(guò)程風(fēng)險(xiǎn)評(píng)估過(guò)程安全控制的識(shí)別與選擇實(shí)施控制降低風(fēng)險(xiǎn)風(fēng)險(xiǎn)接受風(fēng)險(xiǎn)控制的實(shí)施指南：ISO17799:2005一、安全策略（SecurityPolicy）（1,2）二、信息安全組織（OrganizationofInformationSecurity）(2,11)三、資產(chǎn)管理(AssetManagement)(2,5)四、人力資源安全(HumanResourcesSecurity)(3,9)五、物理和環(huán)境安全(PhysicandEnvironmentSecurity)(2,13)六、通信和運(yùn)行管理(CommunicationandOperationsManagement)(10,30)八、信息系統(tǒng)的獲取、開(kāi)發(fā)和維護(hù)(ISs.Acquisition,DevelopmentMaintenance)(6,16)七、訪問(wèn)控制(Accesscontrol)(7,25)九、信息安全事件管理（InformationSecurityIncidentManagement）(2,5)十、業(yè)務(wù)持續(xù)性管理(BusinessContinuityManagement)(1,5)十一、符合性(Compliance)(3,11)附注：(m，n)－m：執(zhí)行目標(biāo)的數(shù)目n：控制控制（最佳實(shí)踐，BP）的數(shù)目提綱為什么要進(jìn)行信息安全建設(shè)？怎樣進(jìn)行信息安全建設(shè)？風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理概念介紹電力系統(tǒng)的信息安全解決方案探討河南電力的安全建設(shè)背景電力系統(tǒng)信息安全建設(shè)的總體分析河南電力農(nóng)電信息安全建設(shè)解決方案方正信息安全解決方案介紹縣級(jí)供電企業(yè)信息安全建設(shè)的背景電力作為基礎(chǔ)行業(yè)，對(duì)網(wǎng)絡(luò)的穩(wěn)定性、安全性要求越來(lái)越高《電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)規(guī)定》《電力二次系統(tǒng)安全防護(hù)規(guī)定》省電力公司《農(nóng)電計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)管理辦法》省公司、各縣局充分認(rèn)識(shí)到信息安全的重要性電監(jiān)會(huì)5號(hào)令的安全保障要求電力二次系統(tǒng)安全防護(hù)總體策略4、縱向認(rèn)證3、橫向隔離電力數(shù)據(jù)網(wǎng)或發(fā)電數(shù)據(jù)網(wǎng)控制區(qū)生產(chǎn)區(qū)管理區(qū)信息區(qū)電力調(diào)度數(shù)據(jù)網(wǎng)SPDnet生產(chǎn)控制區(qū)管理信息區(qū)防火墻2、網(wǎng)絡(luò)專(zhuān)用1、安全分區(qū)電監(jiān)會(huì)5號(hào)令的安全管理要求電力系統(tǒng)信息安全建設(shè)的總體思路以滿(mǎn)足“符合性”要求為主要工作指導(dǎo)安全技術(shù)措施：安全分區(qū)（安全域、等級(jí)化保護(hù)）安全隔離（縱向隔離、邊界防護(hù)）安全認(rèn)證（縱向認(rèn)證、訪問(wèn)控制）安全管理要求：建立安全評(píng)估機(jī)制（定期評(píng)估）建立電力系統(tǒng)安全評(píng)估規(guī)范以“風(fēng)險(xiǎn)管理”為導(dǎo)向的信息安全管理工作工具導(dǎo)向流程導(dǎo)向風(fēng)險(xiǎn)導(dǎo)向安全管理與安全技術(shù)的平衡預(yù)防為主、防治結(jié)合縣級(jí)供電企業(yè)信息安全建設(shè)解決方案安全域劃分：等級(jí)化保護(hù)防火墻技術(shù)與解決方案介紹建立統(tǒng)一的安全接入控制策略：所有外聯(lián)網(wǎng)絡(luò)如互聯(lián)網(wǎng)、縣鄉(xiāng)聯(lián)網(wǎng)、市縣聯(lián)網(wǎng)、移動(dòng)抄表、移動(dòng)VPN用戶(hù)等都通過(guò)邊界部署的防火墻進(jìn)行安全策略控制，做到安全威脅統(tǒng)一管理。防火墻是保證網(wǎng)絡(luò)安全的重要屏障，也是降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的重要因素。防火墻根據(jù)網(wǎng)絡(luò)流的來(lái)源和訪問(wèn)的目標(biāo)，對(duì)網(wǎng)絡(luò)流進(jìn)行限制，允許合法網(wǎng)絡(luò)流，并禁止非法網(wǎng)絡(luò)流。同時(shí)通過(guò)防火墻系統(tǒng)對(duì)BT、電驢、MSN、QQ等做相關(guān)的限制。互聯(lián)網(wǎng)接入防火墻的功能網(wǎng)絡(luò)互聯(lián)訪問(wèn)控制策略互聯(lián)網(wǎng)接入防火墻的接口分別連接Internet接入線(xiàn)路、連接內(nèi)部網(wǎng)絡(luò)安全域、其他互聯(lián)單位安全域。Internet的訪問(wèn)的控制，根據(jù)實(shí)際應(yīng)用放通內(nèi)部網(wǎng)絡(luò)與其他互聯(lián)單位之間的互訪，禁止與業(yè)務(wù)無(wú)關(guān)的其他訪問(wèn)請(qǐng)求。除放通Internet用戶(hù)對(duì)DMZ區(qū)的有限訪問(wèn)外，嚴(yán)格禁止來(lái)自Internet的非法訪問(wèn)請(qǐng)求。內(nèi)部服務(wù)器區(qū)、安全管理中心和內(nèi)部局域網(wǎng)統(tǒng)一接入核心交換機(jī)，在核心交換機(jī)上部署相應(yīng)的ACL規(guī)范內(nèi)部安全域各子區(qū)域之間的互訪。調(diào)度網(wǎng)、財(cái)務(wù)網(wǎng)通過(guò)防火墻與MIS網(wǎng)進(jìn)行邏輯隔離，并按照國(guó)家電力系統(tǒng)防護(hù)或財(cái)務(wù)網(wǎng)絡(luò)的要求配置相應(yīng)的策略。訪問(wèn)控制策略設(shè)置互聯(lián)網(wǎng)接入防火墻策略通過(guò)防火墻提供的基于TCP/IP協(xié)議中各個(gè)環(huán)節(jié)進(jìn)行安全控制，生成完整安全的訪問(wèn)控制表，同時(shí)借助防火墻提供的基于狀態(tài)包過(guò)濾技術(shù)對(duì)數(shù)據(jù)的各個(gè)方向采用全面安全的技術(shù)策略，制定嚴(yán)格完善的訪問(wèn)控制策略保證從IP到應(yīng)用層的數(shù)據(jù)安全。進(jìn)行IP/MAC地址邦定，防止IP地址盜用。用流量管理功能，提高網(wǎng)絡(luò)訪問(wèn)效率。啟用內(nèi)置的IDS功能，有效防范網(wǎng)絡(luò)攻擊。啟用MSN/QQ控制功能，提高企業(yè)的工作效率?？h鄉(xiāng)、市縣聯(lián)網(wǎng)、其他網(wǎng)絡(luò)接入策略鄉(xiāng)所通過(guò)縣局互聯(lián)網(wǎng)唯一出口訪問(wèn)互聯(lián)網(wǎng)縣鄉(xiāng)VPN聯(lián)網(wǎng)、光纖環(huán)網(wǎng)通過(guò)防火墻訪問(wèn)縣局核心網(wǎng)絡(luò)市縣聯(lián)網(wǎng)啟用必要的安全控制功能，進(jìn)行攻擊和病毒阻斷防火墻策略控制短信、移動(dòng)抄表安全網(wǎng)關(guān)功能?chē)?yán)格控制非法通過(guò)撥號(hào)、無(wú)線(xiàn)上網(wǎng)卡訪問(wèn)互聯(lián)網(wǎng)推薦防火墻性能介紹3000-FG-T，4個(gè)百兆電口，2個(gè)千兆電口，150萬(wàn)并發(fā)連接，1G網(wǎng)絡(luò)處理能力，內(nèi)置IDS模塊，支持VPN功能3000－FA－NP200，采用NP架構(gòu)，具有10個(gè)端口，并發(fā)連接數(shù)200,000，吞吐量200M惡意軟件防護(hù)解決方案Internet病毒服務(wù)中心防火墻路由器DMZDMZ核心交換機(jī)應(yīng)用服務(wù)器防病毒中心服務(wù)器數(shù)據(jù)服務(wù)器內(nèi)網(wǎng)區(qū)交換機(jī)縣局鄉(xiāng)所邊界防病毒、WEB過(guò)濾、防垃圾郵件安全網(wǎng)關(guān)VPN網(wǎng)關(guān)內(nèi)網(wǎng)區(qū)交換機(jī)鄉(xiāng)所光纖環(huán)網(wǎng)專(zhuān)網(wǎng)

說(shuō)明：1、邊界防病毒的控制2、網(wǎng)絡(luò)版防病毒軟件的統(tǒng)一部署3、產(chǎn)品安裝、升級(jí)等管理4、互聯(lián)網(wǎng)出口的唯一性惡意軟件防護(hù)要求縣局電力系統(tǒng)網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)應(yīng)具有以下功能要求：在互聯(lián)網(wǎng)出口，設(shè)置硬件安全網(wǎng)關(guān)，對(duì)進(jìn)出網(wǎng)絡(luò)的訪問(wèn)數(shù)據(jù)、郵件、網(wǎng)頁(yè)進(jìn)行全面防毒掃描，發(fā)現(xiàn)病毒及時(shí)進(jìn)行處理，并且給系統(tǒng)管理員即時(shí)消息通知；對(duì)進(jìn)出網(wǎng)關(guān)的郵件進(jìn)行內(nèi)容過(guò)慮，阻擋垃圾郵件的侵?jǐn)_對(duì)網(wǎng)絡(luò)的Web訪問(wèn)、FTP上傳/下載進(jìn)行全面防毒掃描，發(fā)現(xiàn)病毒及時(shí)進(jìn)行處理，并且給系統(tǒng)管理員即時(shí)消息通知；對(duì)網(wǎng)絡(luò)內(nèi)的應(yīng)用服務(wù)器進(jìn)行全面防護(hù)；安裝統(tǒng)一的網(wǎng)絡(luò)版防病毒軟件；防病毒軟件的升級(jí)通過(guò)管控系統(tǒng)集中實(shí)現(xiàn)；建立即時(shí)、快速的病毒響應(yīng)機(jī)制。推薦防病毒安全網(wǎng)關(guān)介紹方正安全網(wǎng)關(guān)PAGD8100，2個(gè)千兆電口，支持SMTP,FTP,HTTP,POP3,IMAP4,NNTP六種協(xié)議。病毒庫(kù)55萬(wàn)種，每日自動(dòng)更新，具有防病毒、垃圾郵件、內(nèi)容過(guò)濾三種功能，透明設(shè)計(jì)，安裝無(wú)需改變現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)入侵檢測(cè)解決方案在核心交換機(jī)上配置入侵檢測(cè)系統(tǒng)，對(duì)關(guān)鍵網(wǎng)口進(jìn)行實(shí)時(shí)監(jiān)控，并啟動(dòng)和防火墻的聯(lián)動(dòng)機(jī)制，有效阻斷來(lái)自外網(wǎng)的入侵，并定位攻擊源；對(duì)來(lái)自互聯(lián)網(wǎng)用戶(hù)的訪問(wèn)進(jìn)行檢測(cè)；定位病毒攻擊源；入侵檢測(cè)系統(tǒng)的功能IDS通過(guò)抓取網(wǎng)絡(luò)和系統(tǒng)中的所有報(bào)文，分析處理后，報(bào)告異常和重要的數(shù)據(jù)模式和行為模式，使管理員清楚地了解網(wǎng)絡(luò)和系統(tǒng)中發(fā)生的事件，并能夠采取行動(dòng)阻止可能的破壞。IDS的功能：監(jiān)控網(wǎng)絡(luò)和系統(tǒng)發(fā)現(xiàn)入侵行為或異?，F(xiàn)象實(shí)時(shí)報(bào)警主動(dòng)響應(yīng)與防火墻聯(lián)動(dòng)，阻斷攻擊攻擊和入侵源的定位：數(shù)據(jù)訪問(wèn)、內(nèi)網(wǎng)病毒源等推薦入侵檢測(cè)性能介紹方正NIDS-430，機(jī)架硬件設(shè)備，B/S架構(gòu)，3個(gè)百兆監(jiān)聽(tīng)口，600M的監(jiān)聽(tīng)流量。網(wǎng)絡(luò)流量實(shí)時(shí)監(jiān)控、可以在流量和協(xié)議兩個(gè)層面進(jìn)行異常行為檢測(cè)、非法程序監(jiān)控。旁路設(shè)備，通過(guò)映射核心交換機(jī)數(shù)據(jù)進(jìn)行分析。其它安全解決方案網(wǎng)絡(luò)管理：跨廠商的統(tǒng)一平臺(tái)管理，可以對(duì)服務(wù)器、交換機(jī)、路由器、應(yīng)用、鏈路、防火墻等進(jìn)行統(tǒng)一的設(shè)備故障和運(yùn)維管理；網(wǎng)絡(luò)拓?fù)涞淖詣?dòng)發(fā)現(xiàn)，讓你在信息中心就能掌握這個(gè)網(wǎng)絡(luò)交換機(jī)、服務(wù)器、數(shù)據(jù)庫(kù)等運(yùn)行狀況；可以及時(shí)了解網(wǎng)絡(luò)設(shè)備端口的流量；及時(shí)了解故障，變事后管理為事前管理；全面的IP地址管理功能；故障檢測(cè)：檢測(cè)IP故障、設(shè)備故障、流量故障、蠕蟲(chóng)故障、實(shí)時(shí)報(bào)警、并形成詳細(xì)的日志供管理員分析處理；終端安全管理：IP和MAC綁定；終端非法外聯(lián)行為監(jiān)控；補(bǔ)丁自動(dòng)分發(fā)系統(tǒng)；IT資產(chǎn)管理：硬件設(shè)備信息統(tǒng)計(jì)、軟件資產(chǎn)統(tǒng)計(jì)、設(shè)備變更信息統(tǒng)計(jì)桌面安全管理－遠(yuǎn)程控制桌面桌面安全審計(jì)－上網(wǎng)訪問(wèn)行為審計(jì)等；軟件安裝管理、桌面消息通知、遠(yuǎn)程協(xié)助統(tǒng)一的桌面安全策略部署等總結(jié)：安全建設(shè)的效果分析抵御來(lái)自INTERNET和不同接入網(wǎng)絡(luò)的威脅如木馬攻擊、病毒蠕蟲(chóng)等的傳播；能夠有效限制內(nèi)部的P2P業(yè)務(wù)，如BT、電驢的限制。同時(shí)能在規(guī)定的時(shí)間段內(nèi)允許內(nèi)部用戶(hù)訪問(wèn)還是不能訪問(wèn)MSN、QQ等；對(duì)內(nèi)部網(wǎng)絡(luò)的監(jiān)控不會(huì)處于盲區(qū)，如內(nèi)部出現(xiàn)蠕蟲(chóng)、病毒傳播，通過(guò)IDS平臺(tái)、內(nèi)部安全管理平臺(tái)快速定位并且進(jìn)行抑制；對(duì)一段時(shí)間內(nèi)網(wǎng)絡(luò)的網(wǎng)絡(luò)運(yùn)行情況進(jìn)行日志采集、過(guò)濾、合并及備份，為網(wǎng)絡(luò)安全事件提供可查詢(xún)的依據(jù)；可以對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備、應(yīng)用等運(yùn)行情況做到統(tǒng)一的運(yùn)維管理；能夠?qū)W(wǎng)絡(luò)的安全域進(jìn)行劃分，并采用不同的安全策略，進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制，進(jìn)行邊界攻擊控制，進(jìn)行NAT轉(zhuǎn)換等功能；通過(guò)防火墻自帶的VPN功能可以基于互聯(lián)網(wǎng)組建強(qiáng)大的、安全的、可控制的廣域網(wǎng)絡(luò)，并實(shí)現(xiàn)多網(wǎng)點(diǎn)、移動(dòng)接入等；可以實(shí)現(xiàn)IT資產(chǎn)管理、上網(wǎng)行為審計(jì)、桌面管理、補(bǔ)丁自動(dòng)分發(fā)、終端接入管理等；全網(wǎng)防病毒策略控制，并實(shí)現(xiàn)有效的邊界防病毒。提綱為什么要進(jìn)行信息安全建設(shè)？怎樣進(jìn)行信息安全建設(shè)？風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理概念介紹電力系統(tǒng)的信息安全解決方案探討方正信息安全服務(wù)體系及案例介紹方正信息安全服務(wù)體系介紹方正信息安全案例方正信息安全服務(wù)體系的組成安全服務(wù)方法論：PADMR，安全策略、評(píng)估、設(shè)計(jì)實(shí)施、運(yùn)維、響應(yīng)服務(wù)方法論

ISO17799/BS7799，ISO13335，SSE-CMM服務(wù)規(guī)范

CEOT：即安全咨詢(xún)、安全工程、安全運(yùn)維和安全培訓(xùn)，具體包括：安全風(fēng)險(xiǎn)評(píng)估、安全架構(gòu)設(shè)計(jì)、安全方案集成、安全產(chǎn)品實(shí)施、安全掃描、安全加固、緊急響應(yīng)、安全培訓(xùn)等服務(wù)范圍

政府、電信、金融、能源、企業(yè)等行業(yè)分布

以現(xiàn)有安全產(chǎn)品為基礎(chǔ)，安全集成、安全產(chǎn)品、安全服務(wù)共享資源，有效引入先進(jìn)的服務(wù)工具和安全理念服務(wù)平臺(tái)

防火墻（FW）、VPN、入侵檢測(cè)、防病毒軟件、防病毒網(wǎng)關(guān)、抗攻擊工具、網(wǎng)絡(luò)管理平臺(tái)等產(chǎn)品種類(lèi)

<5人（1年內(nèi)）專(zhuān)業(yè)顧問(wèn)

方正信息安全服務(wù)內(nèi)容：CEOT咨詢(xún)集成運(yùn)維培訓(xùn)評(píng)估實(shí)施響應(yīng)CEOT安全運(yùn)維服務(wù)(SecurityOperationsServices)安全掃描服務(wù)安全檢查服務(wù)滲透測(cè)試服務(wù)安全加固服務(wù)安全審計(jì)服務(wù)緊急響應(yīng)服務(wù)安全通告服務(wù)安全培訓(xùn)服務(wù)(SecurityTrainingServices)安全產(chǎn)品培訓(xùn)安全管理培訓(xùn)安全技術(shù)培訓(xùn)安全認(rèn)證培訓(xùn)安全咨詢(xún)服務(wù)(SecurityConsultingServices)安全風(fēng)險(xiǎn)評(píng)估服務(wù)安全策略評(píng)估服務(wù)安全體系評(píng)估服務(wù)安全策略設(shè)計(jì)服務(wù)安全架構(gòu)設(shè)計(jì)服務(wù)安全工程服務(wù)(SecurityEngineeringServices)安全方案集成服務(wù)安全產(chǎn)品實(shí)施服務(wù)安全工程監(jiān)理服務(wù)方正信息安全服務(wù)流程：PADMR策略(Policy)提供管理指導(dǎo)，保證信息安全評(píng)估(Assessment)了解當(dāng)前安全現(xiàn)狀，評(píng)估資產(chǎn)價(jià)值、威脅嚴(yán)重性、可能性，弱點(diǎn)對(duì)資產(chǎn)價(jià)值帶來(lái)的影響程度和可能性響應(yīng)(Response)系統(tǒng)處于異常狀態(tài)，分析緊急事件來(lái)源，阻斷信息系統(tǒng)安全威脅源，恢復(fù)信息系統(tǒng)正常運(yùn)行實(shí)施(Deployment)根據(jù)策略和評(píng)估結(jié)果，選擇不同的產(chǎn)品組合，設(shè)計(jì)適合各個(gè)行業(yè)的解決方案管理(Management)為系統(tǒng)提供24x7x365的安全保障，包括安全防護(hù)、系統(tǒng)監(jiān)控、系統(tǒng)定期評(píng)估、加固、滲透，預(yù)警策略評(píng)估實(shí)施管理響應(yīng)培訓(xùn)(Education)增強(qiáng)安全意識(shí)，提高安全手段。培訓(xùn)方正信息安全服務(wù)框架結(jié)構(gòu)總體安全服務(wù)體系安全咨詢(xún)服務(wù)安全集成服務(wù)安全運(yùn)維服務(wù)安全需求評(píng)估服務(wù)安全體系評(píng)估服務(wù)安全方案集成安全培訓(xùn)服務(wù)安全掃描服務(wù)安全產(chǎn)品培訓(xùn)安全產(chǎn)品實(shí)施安全檢查服務(wù)滲透測(cè)試服務(wù)安全加固服務(wù)安全審計(jì)服務(wù)安全技術(shù)培訓(xùn)安全管理培訓(xùn)安全認(rèn)證培訓(xùn)緊急響應(yīng)服務(wù)安全風(fēng)險(xiǎn)評(píng)估服務(wù)安全通告服務(wù)安全策略評(píng)估服務(wù)安全工程監(jiān)理安全策略規(guī)劃服務(wù)安全架構(gòu)設(shè)計(jì)服務(wù)方正信息安全服務(wù)項(xiàng)目列表服務(wù)類(lèi)型服務(wù)項(xiàng)目服務(wù)編號(hào)服務(wù)說(shuō)明安全咨詢(xún)服務(wù)（SecurityConsulting）安全需求評(píng)估服務(wù)FSS-CS01了解組織的安全需求，定義安全需求說(shuō)明安全風(fēng)險(xiǎn)評(píng)估服務(wù)FSS-CS02通過(guò)資產(chǎn)、威脅、弱點(diǎn)的識(shí)別分析來(lái)評(píng)估風(fēng)險(xiǎn)安全策略評(píng)估服務(wù)FSS-CS03評(píng)估組織當(dāng)前安全策略的完整性和有效性安全策略規(guī)劃服務(wù)FSS-CS04為組織制訂完整的信息安全策略體系安全體系評(píng)估服務(wù)FSS-CS05對(duì)組織當(dāng)前的信息安全體系進(jìn)行審查和評(píng)估安全架構(gòu)設(shè)計(jì)服務(wù)FSS-CS06制訂安全方案，建立完善信息安全架構(gòu)體系安全工程服務(wù)（SecurityEngineering）安全方案集成服務(wù)