SG186工程安全防護(hù)總體方案-電力交易平臺_第1頁
SG186工程安全防護(hù)總體方案-電力交易平臺_第2頁
SG186工程安全防護(hù)總體方案-電力交易平臺_第3頁
SG186工程安全防護(hù)總體方案-電力交易平臺_第4頁
SG186工程安全防護(hù)總體方案-電力交易平臺_第5頁
已閱讀5頁,還剩7頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

附件:國家電網(wǎng)公司信息化“SG186”工程安全防護(hù)總體方案(試行)目錄第一章總則 41.1. 目標(biāo) 41.2. 范圍 41.3. 防護(hù)對象 41.4. 方案結(jié)構(gòu) 51.5. 參考資料 6第二章信息安全防護(hù)方案 72.1. 管理信息系統(tǒng)安全防護(hù)策略 72.2. 分級分域安全防護(hù)設(shè)計 8 安全域的定義 8 安全域的劃分方案 82.3. 信息安全防護(hù)設(shè)計 10 邊界安全防護(hù) 11 網(wǎng)絡(luò)環(huán)境安全防護(hù) 18 主機(jī)系統(tǒng)安全防護(hù) 21 應(yīng)用安全防護(hù) 282.4. 各域安全防護(hù)措施對應(yīng)表 34第三章安全控制措施及防護(hù)要點 413.1. 網(wǎng)絡(luò)訪問控制 413.2. 系統(tǒng)安全加固 423.3. 系統(tǒng)弱點掃描 433.4. 入侵檢測措施 443.5. 無線安全措施 453.6. 遠(yuǎn)程接入控制 463.7. 內(nèi)容安全措施 473.8. 病毒檢測措施 483.9. 日志審計措施 483.10. 備份恢復(fù)措施 493.11. 身份認(rèn)證和訪問管理相關(guān)控制措施 503.12. 物理安全措施 51附表一:詞匯表 57附表二:國家電網(wǎng)公司信息系統(tǒng)安全等級保護(hù)定級表 60附1:安全方案實施指引 61附2:安全產(chǎn)品功能與技術(shù)要求 83附3:ERP系統(tǒng)域安全防護(hù)方案 109附4:營銷管理系統(tǒng)域安全防護(hù)方案 135附5:電力市場交易系統(tǒng)域安全防護(hù)方案 161附6:財務(wù)(資金)管理系統(tǒng)域安全防護(hù)方案 187附7:總部辦公自動化系統(tǒng)域安全防護(hù)方案 211附8:二級系統(tǒng)域安全防護(hù)方案 233附9:桌面終端域安全防護(hù)方案 253

總則目標(biāo)國家電網(wǎng)公司信息化“SG186”工程安全防護(hù)體系建設(shè)的總體目標(biāo)是防止信息網(wǎng)絡(luò)癱瘓、防止應(yīng)用系統(tǒng)破壞、防止業(yè)務(wù)數(shù)據(jù)丟失、防止企業(yè)信息泄密、防止終端病毒感染、防止有害信息傳播、防止惡意滲透攻擊,以確保信息系統(tǒng)安全穩(wěn)定運(yùn)行,確保業(yè)務(wù)數(shù)據(jù)安全。范圍安全防護(hù)總體方案是面向國家電網(wǎng)公司信息化“SG186”工程一體化平臺及業(yè)務(wù)應(yīng)用的安全技術(shù)防護(hù)方案,是落實國家等級保護(hù)工作的典型設(shè)計;本方案不對公司的信息安全管理、業(yè)務(wù)連續(xù)性/災(zāi)難恢復(fù)、信任體系建設(shè)、數(shù)據(jù)分級分類等內(nèi)容進(jìn)行深入設(shè)計。安全防護(hù)總體方案適用于公司各單位,包括總部、網(wǎng)省公司及其直屬單位,作為信息系統(tǒng)規(guī)劃、設(shè)計、審查、實施、監(jiān)理、改造及運(yùn)行管理中關(guān)于信息安全方面的技術(shù)參照。防護(hù)對象國家電網(wǎng)公司信息系統(tǒng)部署于管理信息大區(qū)和生產(chǎn)控制大區(qū),管理信息大區(qū)用以支撐國家電網(wǎng)公司不涉及國家秘密的企業(yè)管理信息業(yè)務(wù)應(yīng)用,包括國家電網(wǎng)公司一體化平臺、八大業(yè)務(wù)應(yīng)用及支持系統(tǒng)正常運(yùn)營的基礎(chǔ)設(shè)施及桌面終端。管理信息大區(qū)劃分為用于承載“SG186”工程業(yè)務(wù)應(yīng)用和內(nèi)部辦公的信息內(nèi)網(wǎng)(可涉及企業(yè)商業(yè)秘密)以及用于支撐對外業(yè)務(wù)和互聯(lián)網(wǎng)用戶終端的信息外網(wǎng)(不涉及企業(yè)商業(yè)秘密),信息系統(tǒng)基本部署結(jié)構(gòu)如下圖所示:圖SEQ圖\*ARABIC1國家電網(wǎng)公司網(wǎng)絡(luò)分區(qū)示意圖本方案的防護(hù)對象為國家電網(wǎng)公司總部、網(wǎng)省及其直屬單位的管理信息系統(tǒng),主要包括一體化企業(yè)信息集成平臺和八大業(yè)務(wù)應(yīng)用相關(guān)系統(tǒng)。涉及國家秘密的信息系統(tǒng)(涉密信息系統(tǒng))按照國家《計算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》(國保發(fā)[1998]1號)、《涉及國家秘密的信息系統(tǒng)審批管理規(guī)定》(國保辦發(fā)[2007]18號)、《信息安全等級保護(hù)管理辦法》(公通字[2007]43號)等文件對于涉密信息系統(tǒng)的要求進(jìn)行管理,本方案不涉及。生產(chǎn)控制大區(qū)的相關(guān)信息系統(tǒng)依據(jù)《電力二次系統(tǒng)安全防護(hù)總體方案》進(jìn)行安全體系建設(shè),本方案不涉及。方案結(jié)構(gòu)《國家電網(wǎng)公司信息化“SG186”工程安全防護(hù)總體方案》附件包含有各域安全防護(hù)方案、《安全產(chǎn)品功能技術(shù)要求》及《安全方案實施指引》,結(jié)構(gòu)如下圖所示:圖SEQ圖\*ARABIC2國家電網(wǎng)公司信息化“SG186”工程安全防護(hù)總體方案結(jié)構(gòu)示意圖參考資料在總體方案的編制過程中,參考了如下資料:文件名稱發(fā)布時間《電力二次系統(tǒng)安全防護(hù)總體方案》二OO六年十一月《信息安全等級保護(hù)管理辦法》(公通字[2007]43號)二OO七年六月《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》二OO七年六月《網(wǎng)絡(luò)與信息系統(tǒng)安全隔離實施指導(dǎo)意見》二OO七年十一月《國家電網(wǎng)公司信息機(jī)房設(shè)計及建設(shè)規(guī)范》二OO六年九月《國家電網(wǎng)公司信息機(jī)房管理規(guī)范》二OO六年九月

信息安全防護(hù)方案安全防護(hù)總體方案將依據(jù)“分區(qū)、分級、分域”防護(hù)方針,將各系統(tǒng)劃分至相應(yīng)安全域進(jìn)行防護(hù),并且將各安全域劃分為網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)環(huán)境、主機(jī)系統(tǒng)及應(yīng)用環(huán)境四個層次實施安全防護(hù)措施。圖SEQ圖\*ARABIC3國家電網(wǎng)公司安全防護(hù)架構(gòu)示意圖管理信息系統(tǒng)安全防護(hù)策略國家電網(wǎng)公司管理信息系統(tǒng)安全防護(hù)體系將遵循以下策略進(jìn)行建設(shè):雙網(wǎng)雙機(jī):管理信息大區(qū)劃分為信息內(nèi)網(wǎng)和信息外網(wǎng),管理信息內(nèi)外網(wǎng)間采用邏輯強(qiáng)隔離設(shè)備進(jìn)行隔離,信息內(nèi)外網(wǎng)分別采用獨立的服務(wù)器及桌面主機(jī);分區(qū)分域:在國家電網(wǎng)公司信息系統(tǒng)劃分為管理信息大區(qū)與生產(chǎn)控制大區(qū)的基礎(chǔ)上,將管理信息大區(qū)的系統(tǒng),依據(jù)定級情況及業(yè)務(wù)系統(tǒng)類型,進(jìn)行安全域劃分,以實現(xiàn)不同安全域的獨立化、差異化防護(hù);等級防護(hù):管理信息系統(tǒng)將以實現(xiàn)等級保護(hù)為基本出發(fā)點進(jìn)行安全防護(hù)體系建設(shè),并參照國家等級保護(hù)基本要求進(jìn)行安全防護(hù)措施設(shè)計;多層防御:在分域防護(hù)的基礎(chǔ)上,將各安全域的信息系統(tǒng)劃分為邊界、網(wǎng)絡(luò)、主機(jī)、應(yīng)用四個層次進(jìn)行安全防護(hù)設(shè)計,以實現(xiàn)層層遞進(jìn),縱深防御。分級分域安全防護(hù)設(shè)計安全防護(hù)總體方案將結(jié)合國家電網(wǎng)公司等級保護(hù)定級結(jié)果以及各應(yīng)用系統(tǒng)的管理相似性、業(yè)務(wù)相近性對管理信息內(nèi)外網(wǎng)中的系統(tǒng)進(jìn)行安全域劃分,以更有針對性地進(jìn)行各系統(tǒng)的安全防護(hù)措施設(shè)計。信息系統(tǒng)進(jìn)行安全域劃分可將復(fù)雜安全防護(hù)問題進(jìn)行分解,有助于實現(xiàn)信息系統(tǒng)分等級保護(hù),有針對性地實施應(yīng)用邊界防護(hù),防止安全問題擴(kuò)散。安全域的定義安全域是由一組具有相同安全保障需求、并相互信任的系統(tǒng)組成的邏輯區(qū)域,同一安全域的系統(tǒng)共享相同的安全保障策略。安全域的劃分方案國家電網(wǎng)公司應(yīng)用系統(tǒng)主要部署于信息內(nèi)網(wǎng),與互聯(lián)網(wǎng)有交互的子系統(tǒng)或功能單元部署于信息外網(wǎng),信息內(nèi)網(wǎng)與信息外網(wǎng)以邏輯強(qiáng)隔離設(shè)備進(jìn)行安全隔離,對于信息內(nèi)外網(wǎng)分別進(jìn)行安全域劃分?!缎畔踩燃壉Wo(hù)管理辦法》中對于三級系統(tǒng)安全保障要求及國家信息安全監(jiān)管部門的監(jiān)管執(zhí)行要求強(qiáng)度高于二級系統(tǒng),因此安全域劃分采取將等級保護(hù)要求較高的各三級系統(tǒng)劃分獨立的安全域進(jìn)行安全防護(hù),以實現(xiàn)三級系統(tǒng)間及與其他系統(tǒng)之間的獨立安全防護(hù),也便于國家電網(wǎng)公司及外部監(jiān)管機(jī)構(gòu)對于三級系統(tǒng)的安全監(jiān)管,對于信息內(nèi)網(wǎng)的應(yīng)用系統(tǒng)安全域劃分依據(jù)以下方法:二級系統(tǒng)統(tǒng)一成域,三級系統(tǒng)獨立分域;依據(jù)以上分域方法進(jìn)行安全域劃分后信息內(nèi)網(wǎng)將有以下安全域:電力市場交易系統(tǒng)域; 財務(wù)(資金)管理系統(tǒng)域(將逐步被ERP系統(tǒng)財務(wù)模塊替代);辦公自動化系統(tǒng)域(僅國家電網(wǎng)公司總部劃分為三級系統(tǒng)域);營銷管理系統(tǒng)域(基于營銷管理系統(tǒng)的重要性及目前各單位的安全建設(shè)現(xiàn)狀,按等級保護(hù)三級要求進(jìn)行安全防護(hù)建設(shè));ERP系統(tǒng)域(由于“SG186”規(guī)劃中財務(wù)(資金)管理系統(tǒng)將最終以模塊的形式整合于ERP系統(tǒng)中,因此ERP系統(tǒng)按財務(wù)(資金)管理系統(tǒng)所屬的等級保護(hù)三級進(jìn)行安全建設(shè))二級系統(tǒng)域:所有二級系統(tǒng)統(tǒng)一部署于二級系統(tǒng)域中進(jìn)行安全防護(hù)建設(shè)。內(nèi)網(wǎng)桌面終端域:由于桌面終端的安全防護(hù)與應(yīng)用系統(tǒng)不同,將其劃分為獨立區(qū)域進(jìn)行安全防護(hù),信息內(nèi)網(wǎng)桌面終端用于內(nèi)網(wǎng)業(yè)務(wù)操作及內(nèi)網(wǎng)業(yè)務(wù)辦公處理,建議各單位根據(jù)各自具體情況對桌面辦公終端按業(yè)務(wù)部門或訪問類型進(jìn)一步進(jìn)行區(qū)域細(xì)分,以便于針對不同的業(yè)務(wù)訪問需求制定訪問控制及制定其他防護(hù)措施。以上分域方法應(yīng)當(dāng)在國家電網(wǎng)公司總部、網(wǎng)省、地市等各級單位獨立應(yīng)用以進(jìn)行安全域劃分。此外考慮到總部、網(wǎng)省及地市公司層面系統(tǒng)安全防護(hù)體系建設(shè)的一致性,營銷管理及ERP系統(tǒng)在各單位均按等級保護(hù)三級要求進(jìn)行建設(shè);財務(wù)(資金)管理系統(tǒng)在總部、網(wǎng)省按三級防護(hù),地市按二級防護(hù)。由于國家電網(wǎng)公司主要應(yīng)用系統(tǒng)部署于信息內(nèi)網(wǎng),信息外網(wǎng)主要包括需要與互聯(lián)網(wǎng)交互的子系統(tǒng)或應(yīng)用模塊,且系統(tǒng)數(shù)量較少,因此將信息外網(wǎng)的應(yīng)用系統(tǒng)統(tǒng)一部署于同一安全域內(nèi)進(jìn)行安全防護(hù),該安全域中的應(yīng)用系統(tǒng)在主機(jī)及應(yīng)用層面按各系統(tǒng)所屬的安全級別進(jìn)行防護(hù),網(wǎng)絡(luò)及與信息外網(wǎng)邊界防護(hù)按滿足域中各系統(tǒng)所屬最高等級就高進(jìn)行安全建設(shè)。信息外網(wǎng)系統(tǒng)劃分為以下安全域:外網(wǎng)應(yīng)用系統(tǒng)域:需與互聯(lián)網(wǎng)進(jìn)行數(shù)據(jù)交換的系統(tǒng)部署于外網(wǎng)應(yīng)用系統(tǒng)域進(jìn)行安全防護(hù);外網(wǎng)桌面終端域:外網(wǎng)桌面終端用于外網(wǎng)業(yè)務(wù)辦公及互聯(lián)網(wǎng)訪問,建議各單位跟據(jù)各自具體情況對外網(wǎng)桌面辦公終端按業(yè)務(wù)部門或訪問類型進(jìn)行區(qū)域細(xì)分,以便于針對不同的業(yè)務(wù)訪問需求進(jìn)行訪問控制及實施其他安全防護(hù)措施。按以上方案進(jìn)行安全域劃分后,國家電網(wǎng)公司各單位安全域分布結(jié)構(gòu)如下:圖4國家電網(wǎng)公司各級單位安全域分布示意圖信息安全防護(hù)設(shè)計信息安全防護(hù)設(shè)計將在國家電網(wǎng)公司分區(qū)、分級、分域防護(hù)原則的基礎(chǔ)上,將公司各業(yè)務(wù)單位的信息系統(tǒng)安全防護(hù)劃分為邊界安全防護(hù)、網(wǎng)絡(luò)環(huán)境安全防護(hù)、主機(jī)系統(tǒng)安全防護(hù)及應(yīng)用安全防護(hù)四個層次進(jìn)行安全防護(hù)措施設(shè)計。對于物理層面安全防護(hù),由于其相對固定,可參照“3.12物理安全防護(hù)措施”結(jié)合《國家電網(wǎng)公司信息機(jī)房設(shè)計及建設(shè)規(guī)范》及《國家電網(wǎng)公司信息機(jī)房管理規(guī)范》實施。邊界安全防護(hù)邊界安全防

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論