電力企業(yè)信息系統(tǒng)等級(jí)保護(hù)建設(shè)方案

山東省電力集團(tuán)企業(yè)信息

系統(tǒng)等級(jí)保護(hù)建設(shè)方案

國(guó)家電網(wǎng)公司信息網(wǎng)絡(luò)安全實(shí)驗(yàn)室

INFORMATION&NETWORKSECURITYLABORATORYOFSTATEGRIDCOPORATIONOFCHINA

國(guó)網(wǎng)電力科學(xué)研究院

STATEGRIDELECTRICPOWERRESEARCHINSTITUTE

二零零九年八月

版權(quán)申明

本文中出現(xiàn)的任何文字論述、文檔格式、插圖、照片、措施、過程等內(nèi)容,除另有

尤其注明,版權(quán)均屬國(guó)網(wǎng)電力科學(xué)研究院/國(guó)網(wǎng)信息網(wǎng)絡(luò)安全試驗(yàn)室和山東省電力集團(tuán)企

業(yè)所有,受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)國(guó)網(wǎng)電力科學(xué)研究院/國(guó)網(wǎng)信

息網(wǎng)絡(luò)安全試驗(yàn)室和山東省電力集團(tuán)企業(yè)的書面授權(quán)許可,不得以任何方式復(fù)制或引JU

本文的任何片斷。

文檔信息

文檔名稱山東省電力集團(tuán)企業(yè)信息系統(tǒng)等級(jí)保護(hù)建設(shè)方案

文檔管理編號(hào)INSL-SDDL-BUT-2023-FA

保密級(jí)別商密文檔版本號(hào)V3.0

制作人郭騫制作日期2023年6月

復(fù)審人余勇復(fù)審日期2023年6月

國(guó)家電網(wǎng)企業(yè)信息網(wǎng)絡(luò)安全試驗(yàn)室

擴(kuò)散范圍

山東省電力集團(tuán)企業(yè)

擴(kuò)散同意人林為民

版本變更記錄

時(shí)間版本闡明修改人

2023-8V1.0創(chuàng)立文檔郭騫

2023-8V2.0修改文檔俞庚申

2023-8V3.0文檔復(fù)審定稿余勇

合用性申明

本匯報(bào)由國(guó)網(wǎng)電力科學(xué)研究院/國(guó)網(wǎng)信息網(wǎng)絡(luò)安全試驗(yàn)室撰寫,合用于山東省電力集

團(tuán)企業(yè)信息系統(tǒng)等級(jí)保護(hù)項(xiàng)目。

5.二級(jí)系統(tǒng)域建設(shè)....................................錯(cuò)誤!未定義書簽。

5.1概述與建設(shè)目的..............................錯(cuò)誤!未定義書簽。

5.2網(wǎng)絡(luò)安全....................................錯(cuò)誤!未定義書簽。

網(wǎng)絡(luò)安全建設(shè)目日勺........................錯(cuò)誤!未定義書簽。

地市企業(yè)建設(shè)方案........................錯(cuò)誤!未定義書簽。

5.3主機(jī)安全....................................錯(cuò)誤!未定義書簽。

主機(jī)安全建設(shè)目日勺........................錯(cuò)誤!未定義書簽。

主機(jī)身份鑒別............................錯(cuò)誤!未定義書簽。

訪問控制................................錯(cuò)誤!未定義書簽。

安全審計(jì)................................錯(cuò)誤!未定義書簽。

入侵防備................................錯(cuò)誤!未定義書簽。

惡意代碼防備............................錯(cuò)誤!未定義書簽。

資源控制................................錯(cuò)誤!未定義書簽。

5.4應(yīng)用安全....................................錯(cuò)誤!未定義書簽。

應(yīng)用安全建設(shè)目H勺........................錯(cuò)誤!未定義書簽。

身份鑒別................................錯(cuò)誤!未定義書簽。

安全審計(jì)................................錯(cuò)誤!未定義書簽。

通信完整性、通信保密性.................錯(cuò)誤!未定義書簽。

資源控制................................錯(cuò)誤!未定義書簽。

5.5數(shù)據(jù)安全及備份恢復(fù)..........................錯(cuò)誤!未定義書簽。

數(shù)據(jù)安全及備份恢復(fù)建設(shè)目H勺.............錯(cuò)誤!未定義書簽。

數(shù)據(jù)完整性、數(shù)據(jù)保密性.................錯(cuò)誤!未定義書簽。

6.三級(jí)系統(tǒng)域建設(shè)....................................錯(cuò)誤!未定義書簽。

6.1概述與建設(shè)目的..............................錯(cuò)誤!未定義書簽。

6.2物理安全....................................錯(cuò)誤!未定義書簽。

物理安全建設(shè)目的........................錯(cuò)誤!未定義書簽。

機(jī)房感應(yīng)雷防護(hù)措施......................錯(cuò)誤!未定義書簽。

物理訪問控制............................錯(cuò)誤!未定義書簽。

防盜措施................................錯(cuò)誤!未定義書簽。

防火措施................................錯(cuò)誤!未定義書簽。

防水和防潮..............................錯(cuò)誤!未定義書簽。

電磁防護(hù)................................錯(cuò)誤!未定義書簽。

6.3網(wǎng)絡(luò)安全建設(shè)方案............................錯(cuò)誤!未定義書簽。

網(wǎng)絡(luò)安全建設(shè)目的........................錯(cuò)誤!未定義書簽。

建設(shè)方案................................錯(cuò)誤!未定義書簽。

6.4主機(jī)安全....................................錯(cuò)誤!未定義書簽。

主機(jī)安全建設(shè)目日勺........................錯(cuò)誤!未定義書簽。

主機(jī)身份鑒別............................錯(cuò)誤!未定義書簽。

訪問控制................................錯(cuò)誤!未定義書簽。

安全審計(jì)................................錯(cuò)誤!未定義書簽。

剩余信息保護(hù)............................錯(cuò)誤!未定義書簽。

入侵防備................................錯(cuò)誤!未定義書簽。

惡意代碼防備............................錯(cuò)誤!未定義書簽。

資源控制................................錯(cuò)誤!未定義書簽。

6.5應(yīng)用安全....................................錯(cuò)誤!未定義書簽。

應(yīng)用安全建設(shè)目日勺........................錯(cuò)誤!未定義書簽。

身份鑒別................................錯(cuò)誤!未定義書簽。

訪問控制................................錯(cuò)誤!未定義書簽。

安全審計(jì)................................錯(cuò)誤!未定義書簽。

剩余信息保護(hù)............................錯(cuò)誤!未定義書簽。

通信完整性、通信保密性、抗抵賴.........錯(cuò)誤!未定義書簽。

資源控制................................錯(cuò)誤!未定義書簽。

6.6數(shù)據(jù)安全及備份恢復(fù).........................錯(cuò)誤!未定義書簽。

數(shù)據(jù)安全及備份恢復(fù)建設(shè)目日勺.............錯(cuò)誤!未定義書簽。

數(shù)據(jù)完整性、數(shù)據(jù)保密性錯(cuò)誤!未定義書簽。

備份和恢復(fù)錯(cuò)誤!未定義書簽。

1.項(xiàng)目概述

根據(jù)國(guó)家電網(wǎng)企業(yè)《有關(guān)信息安全等級(jí)保護(hù)建設(shè)的實(shí)行指導(dǎo)意見(信息運(yùn)安

(2023)27號(hào))》和山東省電力集團(tuán)企業(yè)對(duì)等級(jí)保護(hù)有關(guān)工作提出口勺規(guī)定，貫徹

等級(jí)保護(hù)各項(xiàng)任務(wù)，提高山東省電力集團(tuán)企業(yè)信息系統(tǒng)安全防護(hù)能力，特制定木

方案。

1.1目的與范圍

企業(yè)為了貫徹和貫徹公安部、國(guó)家保密局、國(guó)家密碼管理局、電監(jiān)會(huì)等國(guó)家

有關(guān)部門信息安全等級(jí)保護(hù)工作規(guī)定，全面完善企業(yè)信息安全防護(hù)體系，貫徹企

業(yè)“雙網(wǎng)雙機(jī)、分辨別域、等級(jí)防護(hù)、多層防御”H勺安全防護(hù)方略，保證等級(jí)保

護(hù)工作在各單位的順利實(shí)行，提高企業(yè)整體信息安全防護(hù)水平，開展等級(jí)保護(hù)建

設(shè)工作。

前期在省企業(yè)及地市企業(yè)開展等級(jí)保護(hù)符合性測(cè)評(píng)工作，對(duì)地市企業(yè)進(jìn)行測(cè)

評(píng)調(diào)研工作，范圍涵蓋內(nèi)網(wǎng)門戶、外網(wǎng)門戶、財(cái)務(wù)管理系統(tǒng)、營(yíng)銷管理系統(tǒng)、電

力市場(chǎng)交易系統(tǒng)、生產(chǎn)管理信息系統(tǒng)、協(xié)同辦公系統(tǒng)、人力資源管理系統(tǒng)、物資

管理系統(tǒng)、項(xiàng)目管理系統(tǒng)、郵件系統(tǒng)、企業(yè)廣域網(wǎng)SGInct、管理制度這13個(gè)業(yè)

務(wù)系統(tǒng)分類，分析測(cè)評(píng)成果與等級(jí)保護(hù)規(guī)定之間的差距，提出本的安全建設(shè)方案。

本方案重要遵照GB/T22239-2023《信息安全技術(shù)信息安全等級(jí)保護(hù)基本規(guī)

定》、《信息安全等級(jí)保護(hù)管理措施》(公通字[2()23]43號(hào))、《信息安全技術(shù)信息

安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(GB/T20984-2023)、《國(guó)家電網(wǎng)企業(yè)信息化“SG186”工程

安全防護(hù)總體方案》、ISO/IEC27001信息安全管理體系原則和ISO/IEC13335信

息安全管理原則等。

實(shí)行的范圍包括：省企業(yè)本部、各地市企業(yè)。

通過本方案日勺建設(shè)實(shí)行，深入提高信息系統(tǒng)等級(jí)保護(hù)符合性規(guī)定，將整個(gè)信

息系統(tǒng)H勺安全狀況提高到一種較高的水平，并盡量地消除或減少信息系統(tǒng)的安全

風(fēng)險(xiǎn)。

1.2方案設(shè)計(jì)

根據(jù)等級(jí)保護(hù)前期測(cè)評(píng)成果，省企業(yè)本部及各地市企業(yè)信息系統(tǒng)存在的漏

洞，弱點(diǎn)提出有關(guān)的整改意見，并最終形成安全處理方案.

1.3參照原則

GB/T22239-2023《信息安全技術(shù)信息安全等級(jí)保護(hù)基本規(guī)定》

《信息安全等級(jí)保護(hù)管理措施》（公通字［2023〕43號(hào)）

《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2023）

《國(guó)家電網(wǎng)企業(yè)信息化“SG186”工程安全防護(hù)總體方案》

ISO/IEC27001信息安全管理體系原則

ISO/IEC13335信息安全管理原則

《國(guó)家電網(wǎng)企業(yè)“SG186”工程信息系統(tǒng)安全等級(jí)保護(hù)驗(yàn)收測(cè)評(píng)規(guī)定（征求

意見稿）》

《國(guó)家電網(wǎng)企業(yè)信息機(jī)房設(shè)計(jì)及建設(shè)規(guī)范》

《國(guó)家電網(wǎng)企業(yè)信息系統(tǒng)口令管理規(guī)定》

GB50057-94《建筑防雷設(shè)計(jì)規(guī)范》

《國(guó)家電網(wǎng)企業(yè)應(yīng)用軟件通用安全規(guī)定》

2.建設(shè)總目的J

2.1等級(jí)保護(hù)建設(shè)總體目的

綜合考慮省企業(yè)既有的安全防護(hù)措施，針對(duì)與《信息安全技術(shù)信息系統(tǒng)安全

等級(jí)保護(hù)基本規(guī)定》間存在的差異，整改信息系統(tǒng)中存在日勺問題，使省企業(yè)及地

市企業(yè)信息系統(tǒng)滿足《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本規(guī)定》中不一樣

等級(jí)的防護(hù)規(guī)定，順利通過國(guó)家電網(wǎng)企業(yè)或公安部等級(jí)保護(hù)建設(shè)測(cè)評(píng)。

3.安全域及網(wǎng)絡(luò)邊界防護(hù)

根據(jù)GB/T22239-2023《信息安全技術(shù)信息安全等級(jí)保護(hù)基本規(guī)定》、《國(guó)家

電網(wǎng)企業(yè)信息化“SG186”工程安全防護(hù)總體方案》及《國(guó)家電網(wǎng)企業(yè)“SG186”

工程信息系統(tǒng)安全等級(jí)保護(hù)驗(yàn)收測(cè)評(píng)規(guī)定（征求意見稿）》H勺規(guī)定，省企業(yè)及地

市企業(yè)信息系統(tǒng)按照業(yè)務(wù)系統(tǒng)定級(jí)，根據(jù)不一樣級(jí)別保護(hù)需求，按規(guī)定劃分安全

區(qū)域進(jìn)行分級(jí)保護(hù)。因此，安全域劃分是進(jìn)行信息安全等級(jí)保護(hù)建設(shè)的首要環(huán)節(jié)。

3.1信息網(wǎng)絡(luò)現(xiàn)實(shí)狀況

山東省電力集團(tuán)企業(yè)各地市信息內(nèi)網(wǎng)拓?fù)浣?jīng)典構(gòu)造:

省局信息廣域網(wǎng)

圖：經(jīng)典信息網(wǎng)絡(luò)現(xiàn)實(shí)狀況

重要問題:

?各安全域之間缺乏有效日勺控制措施不可以保障業(yè)務(wù)系統(tǒng)安全、獨(dú)立運(yùn)

行，不受其他業(yè)務(wù)系統(tǒng)的影響。

根據(jù)GB/T22239-2023《信息安全技術(shù)信息安全等級(jí)保護(hù)基本規(guī)定》和《國(guó)

家電網(wǎng)企業(yè)信息化“SG186”工程安全防護(hù)總體方案》的建設(shè)規(guī)定，省企業(yè)和各

地市信息網(wǎng)絡(luò)安全域需根據(jù)業(yè)務(wù)系統(tǒng)等級(jí)進(jìn)行重新劃分。

3.2安全域劃分措施

根據(jù)國(guó)家電網(wǎng)企業(yè)安全分區(qū)、分級(jí)、分域及分層防護(hù)日勺原則，管理信息大區(qū)

按照雙網(wǎng)隔離方案又分為信息內(nèi)網(wǎng)與信息外網(wǎng)。本方案重要針對(duì)企業(yè)信息系統(tǒng)進(jìn)

行等級(jí)保護(hù)建設(shè)。在進(jìn)行安全防護(hù)建設(shè)之前.，首先實(shí)現(xiàn)對(duì)信息系統(tǒng)日勺安全域劃分。

根據(jù)SG186總體方案中“二級(jí)系統(tǒng)統(tǒng)一成域，三級(jí)系統(tǒng)獨(dú)立分域”口勺規(guī)定,

結(jié)合省企業(yè)MPLSVPN現(xiàn)實(shí)狀況，采用縱向MPLSVPN結(jié)合VLAN劃分口勺措施,

將全省信息系統(tǒng)分為：

信息內(nèi)網(wǎng)區(qū)域可分為：

?電力市場(chǎng)交易系統(tǒng)MPLSVPN（或?qū)?yīng)縱向通道）：包括省企業(yè)電力市

場(chǎng)交易應(yīng)用服務(wù)器VLAN、省企業(yè)電力市場(chǎng)交易辦公終端；

?財(cái)務(wù)管理系統(tǒng)MPLSVPN（或?qū)?yīng)縱向通道）：包括省企業(yè)財(cái)務(wù)管理系

統(tǒng)VLAN、省企業(yè)財(cái)務(wù)辦公終端VLAN、各地市財(cái)務(wù)辦公終端VLAN（13

個(gè)）；

?營(yíng)銷管理系統(tǒng)MPLSVPN（或?qū)?yīng)縱向通道）：省企業(yè)營(yíng)銷系統(tǒng)VLAN、

省企業(yè)營(yíng)銷辦公終端VLAN、各地市營(yíng)銷系統(tǒng)VLAN（13個(gè)）、各地市

營(yíng)銷辦公終端VLAN（13個(gè)）

?二級(jí)系統(tǒng)MPLSVPN（或?qū)?yīng)縱向通道）（二級(jí)系統(tǒng)包括：內(nèi)部門戶（網(wǎng)

站）、生產(chǎn)管理信息系統(tǒng)、協(xié)同辦公系統(tǒng)、人力資源管理系統(tǒng)、物資管

理系統(tǒng)、項(xiàng)目管埋系統(tǒng)和郵件系統(tǒng)）：

?公共服務(wù)MPLSVPN（或?qū)?yīng)縱向通道）：包括DNS、FTP等全省需要

訪問的I公共服務(wù)

?信息內(nèi)網(wǎng)桌面終端域

信息外網(wǎng)區(qū)日勺系統(tǒng)可分為:

?電力市場(chǎng)交易系統(tǒng)域

?營(yíng)銷管理系統(tǒng)域（95598）

?外網(wǎng)二級(jí)系統(tǒng)域（外網(wǎng)門戶等）

?信息外網(wǎng)桌面終端域

安全域日勺詳細(xì)實(shí)現(xiàn)采用物理防火墻隔離、虛隊(duì)防火墻隔離或Vian隔離等形

式進(jìn)行安全域劃分。

3.3安全域邊界

3.3.1二級(jí)系統(tǒng)邊界

?二級(jí)系統(tǒng)域存在的邊界如下表:

邊界類型邊界描述

第三方網(wǎng)絡(luò)邊界Internet邊界

省企業(yè)與華北電網(wǎng)企業(yè)間、省企業(yè)與其地市企業(yè)之

縱向網(wǎng)絡(luò)邊界

間

在信息內(nèi)外網(wǎng)區(qū)與桌面終端域的邊界

在信息內(nèi)外網(wǎng)區(qū)與基礎(chǔ)系統(tǒng)域的邊界

橫向域間邊界與財(cái)務(wù)系統(tǒng)域之間的邊界

與電力市場(chǎng)交易系統(tǒng)域的邊界

與營(yíng)銷管理系統(tǒng)域間的邊界

?二級(jí)系統(tǒng)域的網(wǎng)絡(luò)邊界拓?fù)涫疽鈭D如下:

管理信息內(nèi)網(wǎng)

06660666

曾?■■內(nèi)0?電力右韁女?阜

。666I頸

二級(jí)系統(tǒng)域

3.3.2三級(jí)系統(tǒng)邊界

財(cái)務(wù)管理系統(tǒng)、電力市場(chǎng)交易系統(tǒng)和營(yíng)銷系統(tǒng)均波及信息內(nèi)網(wǎng)與銀行聯(lián)網(wǎng)存

在第三方網(wǎng)絡(luò)邊界接口、省企業(yè)與地市企業(yè)之間網(wǎng)絡(luò)邊界接口、信息內(nèi)網(wǎng)橫向域

間其他二級(jí)系統(tǒng)域間接口，電力市場(chǎng)交易系統(tǒng)還波及信息外網(wǎng)與Imernel存在第

三方網(wǎng)絡(luò)邊界接口。

?三級(jí)系統(tǒng)域存在的邊界如下表:

邊界類型邊界描述

與Internet互聯(lián)網(wǎng)的邊界，實(shí)現(xiàn)：

公共服務(wù)通道（邊遠(yuǎn)站所、移動(dòng)服務(wù)、PDA現(xiàn)場(chǎng)服務(wù)、

居民集中抄表、負(fù)控終端采集、搶修車輛GPS定位等）

信息外網(wǎng)第三方邊界與其他社會(huì)代收機(jī)構(gòu)連接（VPN）

網(wǎng)上營(yíng)業(yè)廳

短信服務(wù)

時(shí)鐘同步

銀企互聯(lián)邊界

信息內(nèi)網(wǎng)第三方邊界與其他社會(huì)代收機(jī)構(gòu)的邊界（專線連接）

公共服務(wù)通道（專線、GPRS、CDMA等）

縱向網(wǎng)絡(luò)邊界省企業(yè)與地市企業(yè)

與二級(jí)系統(tǒng)域間的邊界

與內(nèi)外網(wǎng)桌面終端域的邊界

橫向域間邊界

與內(nèi)外網(wǎng)基礎(chǔ)系統(tǒng)域的邊界

與其他三級(jí)域之間的邊界

?三級(jí)系統(tǒng)域的網(wǎng)絡(luò)邊界拓?fù)涫疽鈭D如下:

?力■?無定訃隹，會(huì)

***妥伐*09”金■■■m9“&M

3.4安全域的實(shí)現(xiàn)形式

安全域?qū)崿F(xiàn)方式以劃分邏輯區(qū)域?yàn)橹?，意在?shí)現(xiàn)各安全區(qū)域日勺邏輯劃分，明

確邊界以對(duì)各安全域分別防護(hù)，并且進(jìn)行域間邊界控制，安全域的實(shí)體展現(xiàn)為一

種或多種物理網(wǎng)段或邏輯網(wǎng)段的集合。對(duì)企業(yè)信息系統(tǒng)安全域口勺劃分手段采用如

下方式：

?防火墻安全隔離：采用雙接口或多接口防火墻進(jìn)行邊界隔離，在每?jī)蓚€(gè)

安全域日勺邊界布署雙接口防火墻，或是采用多接口防火墻日勺每個(gè)接口分

別與不一樣的安全域連接以進(jìn)行訪問控制。

?虛擬防火墻隔離：采用虛擬防火墻實(shí)現(xiàn)各安全域邊界隔離，將一臺(tái)防火

墻在邏輯上劃提成多臺(tái)虛擬的防火墻，每個(gè)虛擬防火墻系統(tǒng)都可以被當(dāng)

作是??臺(tái)完全獨(dú)立H勺防火墻設(shè)備，可擁有獨(dú)立日勺系統(tǒng)資源、管理員、安

全方略、顧客認(rèn)證數(shù)據(jù)庫等。在本方案實(shí)現(xiàn)中，可認(rèn)為每個(gè)安全域建立

獨(dú)立的虛擬防火墻進(jìn)行邊界安全防護(hù)。

?三層互換機(jī)Vian隔離：采用三層互換機(jī)為各安全域劃分Vian,采用互

換機(jī)訪問控制列表或防火墻模塊進(jìn)行安全域間訪問控制。

?二層互換機(jī)Vian隔離：在二層互換機(jī)上為各安全域劃分Vian,采用

Trunk與路由器或防火墻連接，在上聯(lián)的路由港或防火墻上進(jìn)行訪問控

制。

對(duì)于一種應(yīng)用的子系統(tǒng)跨越多種物理環(huán)境如沒備機(jī)房所帶來日勺分域問題，由

于安全域?yàn)檫壿媴^(qū)域，可以將企業(yè)層面上的多種物理網(wǎng)段或子網(wǎng)歸屬于同一安全

域?qū)崿F(xiàn)安全域劃分。

3.5安全域劃分及邊界防護(hù)

3.5.1安全域的劃分

結(jié)合SG186總體方案中定義的“二級(jí)系統(tǒng)統(tǒng)一成域，三級(jí)系統(tǒng)獨(dú)立分域”，

在不進(jìn)行物理網(wǎng)絡(luò)調(diào)整的前提下，將財(cái)務(wù)系統(tǒng)和物資與項(xiàng)目系統(tǒng)進(jìn)行分離，使三

級(jí)財(cái)務(wù)系統(tǒng)獨(dú)立成域，二級(jí)系統(tǒng)物資和項(xiàng)目管理歸并和其他二級(jí)系統(tǒng)統(tǒng)一成域，

在VPN內(nèi)，建立ACL控制桌面終端與服務(wù)器間的訪問，現(xiàn)將省企業(yè)信息系統(tǒng)邏

輯安全域劃分如下:

圖：省企業(yè)內(nèi)網(wǎng)邏輯劃分圖

呼力市場(chǎng)交:省公司

啟銷服務(wù)盛財(cái)務(wù)服務(wù)盛二級(jí)系統(tǒng)安公共應(yīng)用

;服釜器\

全域（內(nèi)網(wǎng)服務(wù)安全I(xiàn)

門戶、物域（DNS、|

資、項(xiàng)目、車輛管理

營(yíng)銷終端財(cái)務(wù)終端生產(chǎn)等）等）

I終端,

電力市場(chǎng)交易

'/PLSvpy

營(yíng)銷MPLSVPN財(cái)務(wù)MFLSVPN

地市公司

營(yíng)銷服務(wù)器:

二級(jí)系統(tǒng)安

全域（內(nèi)網(wǎng)

\財(cái)務(wù)終端/

門戶、生產(chǎn)0I囂I

\營(yíng)銷終端;。等）

圖：全省信息系統(tǒng)MPLSVPN安全域劃分邏輯圖

Internet

「I防火墻設(shè)備

；1或訪問控制措施

其他00

應(yīng)用

服務(wù)

應(yīng)用服務(wù)器外網(wǎng)門戶防火墻

;電力市場(chǎng)交易

I________________________

信息外網(wǎng)

應(yīng)用服務(wù)

器區(qū)域0

95598

圖：信息外網(wǎng)安全域劃分邏輯圖

在原有日勺MPLSVPN的基礎(chǔ)上結(jié)合VLAN劃分措施，根據(jù)等級(jí)保護(hù)及國(guó)網(wǎng)

SGI86總體防護(hù)方案有求，對(duì)全省信息系統(tǒng)進(jìn)行安全域劃分。

1）三級(jí)系統(tǒng)與二級(jí)系統(tǒng)進(jìn)行分離：

集中集成區(qū)域的三臺(tái)小型機(jī)采用集群模式布署了財(cái)務(wù)、物資、項(xiàng)目這三個(gè)業(yè)

務(wù)系統(tǒng)，由于財(cái)務(wù)為三級(jí)業(yè)務(wù)系統(tǒng)，應(yīng)要獨(dú)立成域，必須將財(cái)務(wù)系統(tǒng)從集群中分

離出來，安裝在獨(dú)立的服務(wù)器或者小型機(jī)上，接入集中集成區(qū)域或新大樓服務(wù)器

區(qū)。

2）劃分安全域，明保證護(hù)邊界：

采用MPLSVPN將三級(jí)系統(tǒng)劃分為獨(dú)立安全域。財(cái)務(wù)系統(tǒng)MPLSVPN、電

力市場(chǎng)交易系統(tǒng)MPLSVPN、營(yíng)銷系統(tǒng)MPLSVPN、二級(jí)系統(tǒng)安全域、桌面安

全域、公共應(yīng)用服務(wù)安全域。二級(jí)系統(tǒng)安全域包括除三級(jí)系統(tǒng)外日勺所有應(yīng)用系統(tǒng)

服務(wù)器；桌面安全域包括各業(yè)務(wù)部門桌面終端VLAN；公共引用服務(wù)安全域?yàn)槿?/p>

省均需要訪問的應(yīng)用服務(wù)器，如DNS等。

目前信息外網(wǎng)存在三大業(yè)務(wù)系統(tǒng)：外網(wǎng)門戶、營(yíng)銷系統(tǒng)95598網(wǎng)站、電力市

場(chǎng)交易系統(tǒng)外網(wǎng)網(wǎng)站。根據(jù)等級(jí)保護(hù)規(guī)定應(yīng)將營(yíng)銷系統(tǒng)95598網(wǎng)站和電力市場(chǎng)交

易系統(tǒng)外網(wǎng)網(wǎng)站分別劃分獨(dú)立的VLAN,并在邊界防火墻上設(shè)置符合等級(jí)保護(hù)三

級(jí)規(guī)定口勺VLAN訪問控制方略。

3）布署訪問控制設(shè)備或設(shè)置訪問控制規(guī)則

在各安全域邊界設(shè)置訪問控制規(guī)則，其中安全域邊界按照“安全域邊界”章

節(jié)所列舉的邊界進(jìn)行防護(hù)。訪問控制規(guī)則可以采用互換機(jī)訪問控制方略或模塊化

邏輯防火墻日勺形式實(shí)現(xiàn)。

二級(jí)系統(tǒng)安全域邊界訪問控制規(guī)則可以通過互換機(jī)用J訪問控制規(guī)則實(shí)現(xiàn)，訪

問控制規(guī)則滿足如下條件:

?根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的容許/拒絕訪問日勺能力，控制

粒度為網(wǎng)段級(jí)。

?按顧客和系統(tǒng)之間口勺容許訪問規(guī)則，控制粒度為單個(gè)顧客。

三級(jí)系統(tǒng)安全域邊界的安全防護(hù)需滿足如下規(guī)定：

?根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確日勺容許/拒絕訪問時(shí)能力，控制

粒度為端口級(jí)；

?對(duì)進(jìn)出網(wǎng)絡(luò)的I信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對(duì)應(yīng)用層協(xié)議命令級(jí)的控制。

4）入侵檢測(cè)系統(tǒng)布署:

二級(jí)系統(tǒng)、三級(jí)系統(tǒng)安全域內(nèi)應(yīng)布署入侵檢測(cè)系統(tǒng)，并根據(jù)業(yè)務(wù)系統(tǒng)狀況制

定入侵檢測(cè)方略，檢測(cè)范圍應(yīng)包括二級(jí)系統(tǒng)服務(wù)器、三級(jí)系統(tǒng)服務(wù)器、其他應(yīng)用

服務(wù)器，入侵檢測(cè)應(yīng)滿足如下規(guī)定：

?定制入侵檢測(cè)方略，如根據(jù)所檢測(cè)的源、目的地址及端口號(hào)，所需

監(jiān)測(cè)日勺服務(wù)類型以定制入侵檢測(cè)規(guī)則；

?定制入侵檢測(cè)重要事件即時(shí)報(bào)警方略；

?入侵檢測(cè)至少可監(jiān)視如下襲擊行為：端口掃描、強(qiáng)力襲擊、木馬后

門襲擊、拒絕服務(wù)襲擊、緩沖區(qū)溢出襲擊、IP碎片襲擊和網(wǎng)絡(luò)蠕蟲襲

擊等；

?當(dāng)檢測(cè)到襲擊行為時(shí)，入侵檢測(cè)系統(tǒng)應(yīng)當(dāng)記錄襲擊源IP、襲擊類型、

襲擊目的IP、襲擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)能提供及時(shí)的報(bào)警

信息。

4.信息安全管理建設(shè)

4.1建設(shè)目的

省企業(yè)信息系統(tǒng)日勺管理與運(yùn)維總體水平較高\(yùn)各項(xiàng)管理措施比較到位，通過

數(shù)年的建設(shè)，已形成一整套完備有效的管理制度C省企業(yè)通過嚴(yán)格、規(guī)范、全面

日勺管理制度，結(jié)合合適日勺技術(shù)手段來保障信息系統(tǒng)的安全。管理規(guī)范已經(jīng)包括了

信息安全方略、信息安全組織、資產(chǎn)管理、人力資源安全、物理與環(huán)境安全、通

訊與操作管理、訪問控制、信息系統(tǒng)日勺獲取、開發(fā)和維護(hù)、信息安全事故管理、

業(yè)務(wù)持續(xù)性管理等方面，但與《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本規(guī)定》

存在--定時(shí)差距，需進(jìn)行等級(jí)保護(hù)建設(shè)。

通過等級(jí)保護(hù)管理機(jī)構(gòu)與制度建設(shè)，完善企業(yè)信息系統(tǒng)管理機(jī)構(gòu)和管理制

度，貫徹《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本規(guī)定》管理制度各項(xiàng)指標(biāo)和

規(guī)定，提高企業(yè)信息系統(tǒng)管理與運(yùn)維水平。通過等級(jí)保護(hù)建設(shè)，實(shí)現(xiàn)如下目日勺：

1）貫徹《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本規(guī)定》管理制度各項(xiàng)指

標(biāo)和規(guī)定。

2）在企業(yè)信息安全總體方針和安全方略的引導(dǎo)下，各管理機(jī)構(gòu)能準(zhǔn)時(shí)需要

規(guī)劃企業(yè)信息安全發(fā)展方略，及時(shí)公布企業(yè)各類信息安全文獻(xiàn)和制度，

對(duì)企業(yè)各類安全制度中存在的問題定期進(jìn)行修訂與整改。

3）系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等信息安全管理與運(yùn)維工作明確，

明確安全管理機(jī)構(gòu)各個(gè)部門和崗位日勺職責(zé)、分工和技能規(guī)定。

4）在安全技術(shù)培訓(xùn)與知識(shí)交流上，能擁有安全業(yè)界專家、專業(yè)安全企業(yè)或

安全組織的技術(shù)支持，以保證省企業(yè)信息系統(tǒng)安全維護(hù)符合各類安全管

理規(guī)定并與時(shí)俱進(jìn)。

5.二級(jí)系統(tǒng)域建設(shè)

5.1概述與建設(shè)目的

二級(jí)系統(tǒng)域是根據(jù)等級(jí)保護(hù)定級(jí)原則將國(guó)家電網(wǎng)企業(yè)應(yīng)用系統(tǒng)定為二級(jí)日勺

所有系統(tǒng)的集合，按分等級(jí)保護(hù)措施將等級(jí)保護(hù)定級(jí)為二級(jí)日勺系統(tǒng)集中布署于二

級(jí)系統(tǒng)域進(jìn)行安全防護(hù)，二級(jí)系統(tǒng)域重要涵蓋與二級(jí)系統(tǒng)有關(guān)的主機(jī)、服務(wù)器、

網(wǎng)絡(luò)等。

省企業(yè)二級(jí)系統(tǒng)重要包括內(nèi)部門戶（網(wǎng)站）、對(duì)外門戶（網(wǎng)站）、生產(chǎn)管理信

息系統(tǒng)、協(xié)同辦公系統(tǒng)、人力資源管理系統(tǒng)、物資管理系統(tǒng)、項(xiàng)目管理系統(tǒng)和郵

件系統(tǒng)等共8個(gè)二級(jí)系統(tǒng)，除對(duì)外門戶外，其他七個(gè)內(nèi)網(wǎng)二級(jí)系統(tǒng)需按二級(jí)系統(tǒng)

規(guī)定統(tǒng)一成域進(jìn)行安全防護(hù)。

二級(jí)系統(tǒng)域等級(jí)保護(hù)建設(shè)目口勺是貫徹《信息安全技術(shù)信息安全等級(jí)保護(hù)基本

規(guī)定》中二級(jí)系統(tǒng)各項(xiàng)指標(biāo)和規(guī)定，實(shí)現(xiàn)信息系統(tǒng)二級(jí)系統(tǒng)統(tǒng)一成域，完善二級(jí)

系統(tǒng)邊界防護(hù)，配置合理的網(wǎng)絡(luò)環(huán)境，增強(qiáng)二級(jí)系統(tǒng)主機(jī)系統(tǒng)安全防護(hù)及二級(jí)系

統(tǒng)各應(yīng)用的安全與穩(wěn)定運(yùn)行。

針對(duì)《信息安全技術(shù)信息安全等級(jí)保護(hù)基本規(guī)定》中二級(jí)系統(tǒng)各項(xiàng)指標(biāo)和規(guī)

定，保障系統(tǒng)穩(wěn)定、安全運(yùn)行，本方案將二級(jí)系統(tǒng)域安全處埋方案分為邊界防護(hù)、

網(wǎng)絡(luò)環(huán)境、主機(jī)系統(tǒng)及應(yīng)用安全四個(gè)層面進(jìn)行安全建設(shè)。

5.2網(wǎng)絡(luò)安全

5.2.1網(wǎng)絡(luò)安全建設(shè)目的

省企、也下屬各地市企業(yè)網(wǎng)絡(luò)安全建設(shè)按照二級(jí)系統(tǒng)規(guī)定進(jìn)行建設(shè)，通過等級(jí)

保護(hù)建設(shè)，實(shí)現(xiàn)如下目口勺：

1）網(wǎng)絡(luò)構(gòu)造清晰，具有冗余空間滿足業(yè)務(wù)需求，根據(jù)各部門和業(yè)務(wù)的需求,

劃分不樣的子網(wǎng)或網(wǎng)段，網(wǎng)絡(luò)圖譜圖與目前運(yùn)行狀況相符;

2）各網(wǎng)絡(luò)邊界間布署訪問控制設(shè)備，通過訪問控制功能控制各業(yè)務(wù)間及辦

公終端間的訪問；

3）啟用網(wǎng)絡(luò)設(shè)備安全審計(jì)，以追蹤網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、設(shè)備維護(hù)、配置修

改等各類事件；

4）網(wǎng)絡(luò)設(shè)備口令均符合國(guó)家電網(wǎng)企業(yè)口令規(guī)定，采用安全的遠(yuǎn)程控制措施

對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程控制。

5.2.2地市企業(yè)建設(shè)方案

根據(jù)測(cè)評(píng)成果，地市企業(yè)信息網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備及技術(shù)方面重要存在如下問

題：

1）網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程管理采用明文的Telnet方式；

2）部分網(wǎng)絡(luò)設(shè)備采用出廠時(shí)的默認(rèn)口令，口令以明文的方式存儲(chǔ)于配置文

獻(xiàn)中；

3）互換機(jī)、IDS等未啟動(dòng)日志審計(jì)功能，未配置對(duì)應(yīng)的日志服務(wù)器；

4）供電企業(yè)內(nèi)網(wǎng)與各銀行間的防火墻未配置訪問控制方略；

5）網(wǎng)絡(luò)設(shè)備采用相似依JSNMP口令串進(jìn)行管理；

6）未啟動(dòng)網(wǎng)絡(luò)設(shè)備登錄失敗處理功能，未限制非法登錄次數(shù)，當(dāng)網(wǎng)絡(luò)登錄

連接超時(shí)時(shí)未設(shè)置自動(dòng)退出等措施;

7）缺乏對(duì)內(nèi)部網(wǎng)絡(luò)中出現(xiàn)日勺內(nèi)部顧客未通過準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)日勺行

為進(jìn)行檢查與監(jiān)測(cè)措施；

8）未限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；

9）未限制具有撥號(hào)訪問權(quán)限的顧客數(shù)量。

針對(duì)以上問題，結(jié)合《信息安全技術(shù)信息安全等級(jí)保護(hù)基本規(guī)定》給出對(duì)應(yīng)

整改方案如下：

1）關(guān)閉防火墻、互換機(jī)和IDS的telnet服務(wù)，啟用安全H勺管理服務(wù)，如

SSH和So部分不支持SSH1內(nèi)互換機(jī)應(yīng)在互換機(jī)上限制可telnet遠(yuǎn)程

管理的顧客地址，實(shí)行配置如下（以思科互換機(jī)為例）：

Router#configterminal

Router（config）^access-list10pennittcp10.J44.99,120.0eq23any（只容許機(jī)

器telnet登錄,如需配置某一網(wǎng)段可telnet遠(yuǎn)程管理,可配置為:access-list10

permittcp.255eq23any）

Routerfconfig）^linevty04（,配置端口0-4）

Router（Config-line）^Transportinputtelnet（啟動(dòng)telnet協(xié)議，如支持ssh，可

用ssh替代telnet）

RouterfConfig-line）^exec-timeout50

Router（Config-line）^access-class10in

Router（Config-Iine）#end

Router^configterminal

Router(config)^linevty515

Router(Config-line)^nologin(提議vty開放5個(gè)即可,多出的可以關(guān)閉)

Router(Config-line)#exit

Router(Config)^exit

Router^write

2)修改網(wǎng)絡(luò)設(shè)備出廠時(shí)的I默認(rèn)口令，且修改后的口令應(yīng)滿足長(zhǎng)度不小于等

于8位、含字母數(shù)字和字符F句強(qiáng)度規(guī)定，其他不滿足此口令強(qiáng)度規(guī)定日勺，

均應(yīng)要進(jìn)行修改。部分樓層接入互換機(jī)，應(yīng)及時(shí)修改口令；互換機(jī)應(yīng)修

改其SNMP口令串；防火墻口令應(yīng)涉足口令強(qiáng)度規(guī)定。互換機(jī)SNMP

口令串修改實(shí)行環(huán)節(jié)如下(以思科互換機(jī)為例)：

Router^configterminal

Router(configJ#nosnmp-servercommunityCOMMUNITY-NAME1RO(刪除

本來具有RO權(quán)限的C()MMUN1TY-NAME1)

Routerfconfig)#snmp-servercommunityCOMMUNITY-NAMERO(如需要通

過snmp進(jìn)行管理，則創(chuàng)立一種具有讀權(quán)限的COMMUNITY-NAME,若

COMMUNITY-NAME權(quán)限為RW則將命令行中R。更改為RN)

Router(config)#sntnp-sen^erenabletraps(容if,發(fā)出Trap)

Routeconfig)#exii

Router^write

3)互換機(jī)、IDS和防火墻等應(yīng)啟動(dòng)日志審計(jì)功能，并配置日志服務(wù)器保留

互換機(jī)、IDS和防火墻的日志信息。以思科互換機(jī)為例，日志審計(jì)和日

志搜集存儲(chǔ)于服務(wù)器實(shí)行配置如下:

Route^configterminal

Route(config)#loggingon(啟用H志審計(jì))

Route(configfloggingconsolenotification(i殳置控制等級(jí)為5級(jí):notification)

Route(config)^!Seta16Klogbufferatinformationlevel

Route(configfloggingbujfered16000information(設(shè)置其大小為16K)

Route(config)^!turnontime/datestampsinlogmessages

Route(config^servicetimestamplogdatetimemseclocalshow-timezone

Route(config)^1setmonitorloggingleveltolevel6

Route(configfloggingmonitorinformation

Route(config講exit

Roiite^!makethissessionreceivelogmessages

Route^tenninalmonitor

Roi"e#configterminal

Route(configfloggingtrapinformation(控制互換機(jī)發(fā)出日志『J'級(jí)別為6級(jí):

information)

(將Fl志發(fā)送至U88,如需修改服務(wù)器,可采用Rcmte(c(mfig)#no

88刪除,然后重新配置日志服務(wù)器)

Routedconfigfloggingfacilitylocal6

Route(configfloggingsource-interfaceFastEthernet0/1(設(shè)置發(fā)送日志的/以

太網(wǎng)口)

Route(config講exit

Route^configterminal

Route(configfloggingtrapinformation

Route(config)#snmp-serve「hosttrapspublic(配置發(fā)送trap信息

主機(jī))

Route(config)^snmp-servertrap-sourceEthernet0/1

Route(config)^snmp-serverenabletrapssyslog

Route(config)^exit

Routedwrite

4)供電企業(yè)內(nèi)網(wǎng)與各銀行和移動(dòng)或電信間日勺防火墻應(yīng)配置訪問控制方略

保證供電企業(yè)信息內(nèi)網(wǎng)日勺安全。

5)根據(jù)《國(guó)家電網(wǎng)企業(yè)信息系統(tǒng)口令管理規(guī)定》制定或沿用其以管理省企

業(yè)網(wǎng)絡(luò)設(shè)備口令?！秶?guó)家電網(wǎng)企業(yè)信息系統(tǒng)口令管理規(guī)定》詳細(xì)內(nèi)容如

下：

第四條口令必須具有一定強(qiáng)度、長(zhǎng)度和復(fù)雜度，長(zhǎng)度不得不不小于8位字

符串，規(guī)定是字母和數(shù)字或特殊字符日勺混合，顧客名和口令嚴(yán)禁相似。

第五條個(gè)人計(jì)算機(jī)必須設(shè)置開機(jī)口令和操作系統(tǒng)管理員口令，并啟動(dòng)屏幕

保護(hù)中的密碼保護(hù)功能。

第六條口令要及時(shí)更新，要建立定期修改制度，其中系統(tǒng)管理員口令修改

間隔不得超過3個(gè)月，并且不得反復(fù)使用前3次以內(nèi)的口令。顧客登錄事件要有

記錄和審計(jì)，同步限制同一顧客持續(xù)失敗登錄次數(shù)，一般不超過3次。

6)所有網(wǎng)絡(luò)設(shè)備均應(yīng)啟動(dòng)網(wǎng)絡(luò)設(shè)備登錄失敗處理功能、限制非法登錄次

數(shù)、當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)時(shí)自動(dòng)退出等措施。以思科互換機(jī)為例，網(wǎng)絡(luò)

登錄連接超時(shí)時(shí)自動(dòng)退出實(shí)行如下:

RouterUconfigterminal

Router(Configcon0配置控制口

Router(Config-line)^exec-timeout50設(shè)置超時(shí)5分鐘

Router(Confl^-line}^exit

RouterfConfig)/fexit

Route用write

7)布署桌面管理系統(tǒng)，對(duì)內(nèi)部網(wǎng)絡(luò)中H勺顧客網(wǎng)絡(luò)連接狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控，

以保證內(nèi)部顧客不可私自聯(lián)到外部網(wǎng)絡(luò)；配置桌面管理系統(tǒng)方略，對(duì)私

自連接到外網(wǎng)日勺內(nèi)部顧客進(jìn)行精確定位并阻斷內(nèi)外網(wǎng)互通。

8)在互換機(jī)上限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)，通過限制某些網(wǎng)段網(wǎng)絡(luò)

服務(wù)提高網(wǎng)絡(luò)通信流量。以思科互換機(jī)為例，實(shí)行配置如下：

Router#configterminal

Router(config)#access-list1()Jdenytcp.0.255any.。網(wǎng)段訪問Internet)

Router(config)^access-list102denytcp.0.255any.0網(wǎng)段ftp服務(wù))

Router(config)^ipnattranslationmax-entries.255200(限制

網(wǎng)段的主機(jī)NAT的條目為200條)

Route(config

Routedwrite

限制具有撥號(hào)訪問權(quán)限日勺顧客。由于營(yíng)銷系統(tǒng)存儲(chǔ)EMC,需要進(jìn)行遠(yuǎn)程撥

號(hào)維護(hù)；需要關(guān)閉遠(yuǎn)程撥號(hào)服務(wù)，采用更為安全日勺管理維護(hù)方式。

5.3主機(jī)安全

5.3.1主機(jī)安全建設(shè)目的

省企業(yè)及其各地市企業(yè)信息中心對(duì)主機(jī)進(jìn)行了一定的安全方略配置，并建立

有關(guān)安全管理制度，由專人負(fù)責(zé)主機(jī)安全運(yùn)行與維護(hù)，總體安全性較高。但仍有

某些安全問題亟待處理，如安全審計(jì)不嚴(yán)格、啟前非必須服務(wù)以及默認(rèn)日勺顧客口

令方略等。

針對(duì)省企業(yè)及其地市企業(yè)二級(jí)系統(tǒng)主機(jī)存在口勺問題，結(jié)合《信息安全技術(shù)信

息安全等級(jí)保護(hù)基本規(guī)定》，從主機(jī)身份鑒別、訪問控制、安全審計(jì)、入侵防備、

惡意代碼防備和資源控制等方面進(jìn)行主機(jī)安全等級(jí)保護(hù)建設(shè)與改造，以實(shí)現(xiàn)如下

目日勺：

1）對(duì)主機(jī)的登錄有嚴(yán)格的身份標(biāo)識(shí)和鑒別；

2）有嚴(yán)格的訪問控制方略限制顧客對(duì)主機(jī)口勺訪問與操作；

3）有嚴(yán)密的安全審計(jì)方略保證主機(jī)出現(xiàn)故障時(shí)可查；

4）擁有有關(guān)技術(shù)手段，抵御非法入侵和惡意代碼襲擊。

5.3.2主機(jī)身份鑒別

省企業(yè)及地市企業(yè)主機(jī)身份鑒別現(xiàn)實(shí)狀況與等級(jí)保護(hù)規(guī)定存在一定的差距，

應(yīng)對(duì)如下幾種方面進(jìn)行完善主機(jī)身份鑒別：

1）對(duì)登錄操作系統(tǒng)的顧客進(jìn)行身份標(biāo)識(shí)和鑒別;

2）操作系統(tǒng)管理顧客身份標(biāo)識(shí)具有不易被冒用日勺特點(diǎn)，口令有復(fù)雜度并定

期更換；

3）啟用登錄失敗處理功能，可采用結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退

出等措施；

4）對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，采用必要措施，防止鑒別信息在網(wǎng)絡(luò)傳播過

程中被竊聽；

整改措施：

1）對(duì)登錄操作系統(tǒng)的管埋員顧客和一般顧客均設(shè)置口令；刪除操作系統(tǒng)中

過期日勺賬戶，修改操作系統(tǒng)中默認(rèn)帳戶和口令，檢查操作系統(tǒng)中與否存

在相似顧客名口勺賬戶。

操作系統(tǒng)操作方式

1.檢查/etc/passwd密碼域中存在“*”的帳戶，刪除不必

AIX

要日勺賬戶，或增設(shè)口令；

1.刪除非法帳號(hào)或多出帳號(hào)，更改默認(rèn)管理員帳號(hào)，將原

Administrator名稱改成不被人熟識(shí)的帳戶，新建一種一

般顧客，將其重命名為Administrator,并將其權(quán)限設(shè)為

WINDOWS

最低，口令復(fù)雜度為32位以上；

2.選擇“當(dāng)?shù)仡櫩秃徒M”的“顧客”，可設(shè)置口令、刪除

或禁用非必需賬戶或禁用Guesi賬戶。

注:管理員賬號(hào)Adm沃islrator重命名后,也許會(huì)導(dǎo)致某些服務(wù)不能用，如SQL

Seer數(shù)據(jù)庫也許無法啟動(dòng),修改前,需在備機(jī)上進(jìn)行測(cè)試運(yùn)行一周時(shí)間,無

任何問題,再在主機(jī)上進(jìn)行修改。

2）增強(qiáng)操作系統(tǒng)口令強(qiáng)度設(shè)置:

操作系統(tǒng)操作方式

1.修改passwd參數(shù)：/etc/security/user

-maxage=30口令最長(zhǎng)生存期30天

-nuixrepeat=4每個(gè)口令在系統(tǒng)中反復(fù)出現(xiàn)FJ、次數(shù)

AIX

-imnalpha=4口令中最小具有的字符個(gè)數(shù)

-mindiff=2新口令不一樣于舊口令的最小個(gè)數(shù)

-minlen=8口令最短長(zhǎng)度（包拈字母、數(shù)字和特殊字符）

1.修改“密碼方略”，啟動(dòng)復(fù)雜性規(guī)定，設(shè)置口令最小長(zhǎng)度

等：

密碼復(fù)雜性規(guī)定啟用

密碼長(zhǎng)度最小值8字符

密碼最長(zhǎng)存留期天

WINDOWS30

密碼最短存留期0天

復(fù)位帳戶鎖定計(jì)數(shù)器10分鐘

帳戶鎖定期間10分鐘

帳戶鎖定閥值5次

注:設(shè)置密碼方略后也許導(dǎo)致不符合密碼方略的帳號(hào)無法登錄。在修改密碼方

略前,需修改不符合帳號(hào)方略的密碼使其符合方略規(guī)定,最終再修改密碼方略。

3）啟用登錄失敗處理功能，設(shè)置限制非法登錄次數(shù)和自動(dòng)退出等措施。

操作系統(tǒng)操作方式

1.配置登錄方略：修改/etc/security/login.cfg文獻(xiàn)

logindelay=3失敗登錄后延遲3秒顯示提醒符

logindisable=55次失敗登錄后鎖定端口

A1Xlogininten^al=60在60杪內(nèi)3次失敗登錄才鎖定端口

loginreenahle=15端門鎖定15分鐘后解鎖

2.增長(zhǎng)或修改/etc/profile文獻(xiàn)中如下行：

TMOUT=600;

1.修改“賬戶鎖定方略”，設(shè)置帳戶鎖定有關(guān)設(shè)置：

WINDOWS復(fù)位賬戶鎖定計(jì)數(shù)器15分鐘

賬戶鎖定期間15分鐘

賬戶鎖定閾值5次

4）當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，對(duì)于UNIX類服務(wù)器，用R前穩(wěn)定版本的

SSH等安全工具取代明文傳播的telnet,并及時(shí)升級(jí)，保證傳播數(shù)據(jù)口勺

安全性；對(duì)于windows類服務(wù)器，關(guān)閉不必要口勺telnet服務(wù)，采用加密

或認(rèn)證的方式保證數(shù)據(jù)才網(wǎng)絡(luò)傳播過程中的保密性、完整性和可用性。

操作系統(tǒng)操作方式

1.增長(zhǎng)或修改/etc/security/user文獻(xiàn)中如下行

root：

admin=true

SYSTEM="conipat"

loginretries=0

AIXaccountJocked=false

rlogin=fiilse

假如無法禁用lelnel服務(wù)，也可使用TCPwrapper、防火墻或

包過濾技術(shù)嚴(yán)禁不可信IP對(duì)telnet服務(wù)（例如23/TCP端口）

訪問。

1.禁用不需要日勺服務(wù)，如remoteRegistry、telnet等（遠(yuǎn)程

管理注冊(cè)表，啟動(dòng)此服務(wù)帶來一定的風(fēng)險(xiǎn)）。

WINDOWS

2.采用其他加密的遠(yuǎn)程桌面管理軟件替代遠(yuǎn)程桌面管理.，或

者在遠(yuǎn)程桌面管理上啟用證書認(rèn)證系統(tǒng)。

注:應(yīng)用系統(tǒng)或程序也許對(duì)特定的系統(tǒng)服務(wù)有依賴關(guān)系,在未確定某個(gè)服務(wù)與

否需要前，請(qǐng)勿關(guān)閉該服務(wù),否則會(huì)影響應(yīng)用系統(tǒng)或程序的正常運(yùn)行。

5.3.3訪問控制

省企業(yè)及地市企業(yè)主機(jī)身份鑒別現(xiàn)實(shí)狀況與等級(jí)保護(hù)規(guī)定存在一定的差距,

應(yīng)對(duì)如下幾種方面進(jìn)行完善：

1）啟用訪問控制功能，根據(jù)安全方略控制頃客對(duì)資源日勺訪問:

2）實(shí)現(xiàn)操作系統(tǒng)特權(quán)顧客日勺權(quán)限分離;

3）限制默認(rèn)帳戶口勺訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改帳戶的默認(rèn)口令;

4）及時(shí)刪除多出日勺、過期的帳戶，防止共享帳戶日勺存在。

整改措施：

1）在互換機(jī)和防火墻上設(shè)置不一樣網(wǎng)段、不一樣顧客對(duì)服務(wù)器的訪問控制

權(quán)限；關(guān)閉操作系統(tǒng)啟動(dòng)的默認(rèn)共享，對(duì)于需啟動(dòng)的共享及共享文獻(xiàn)夾

設(shè)置不一樣的訪問權(quán)限，對(duì)于操作系統(tǒng)亙要文獻(xiàn)和目錄需設(shè)置權(quán)限規(guī)

定。

操作系統(tǒng)操作方式

1.修改一般顧客對(duì)下列文獻(xiàn)的權(quán)限：

/bin；

/sbin；

AIX/etc；

/etc/passwd：

/etc/group；

/usr/bin；

1.修改訪問控制方略，將注冊(cè)標(biāo)中restrictanonymous值改為

1;

WINDOWS

2.刪除不必要日勺共享文獻(xiàn)夾或修改其權(quán)限，重要共享文獻(xiàn)夾

口勺權(quán)限屬性不能為everyone完全控制。

2）設(shè)置不一樣日勺管理員對(duì)服務(wù)器進(jìn)行管理,分為系統(tǒng)管理員、安全管理員、

安全審計(jì)員等以實(shí)現(xiàn)操作系統(tǒng)特權(quán)顧客日勺權(quán)限分離，并對(duì)各個(gè)帳戶在其

工作范圍內(nèi)設(shè)置最小權(quán)限，如系統(tǒng)管理員只能對(duì)系統(tǒng)進(jìn)行維護(hù)，安全管

理員只能進(jìn)行方略配置和安全設(shè)置，安全審計(jì)員只能維護(hù)審計(jì)信息等。

3）限制默認(rèn)帳戶日勺訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改帳戶的默認(rèn)口令;

刪除操作系統(tǒng)和數(shù)據(jù)庫中過期或多出的賬戶，禁用無用帳戶或共享帳

戶。

操作系統(tǒng)操作方式

1.禁用文獻(xiàn)/elc/security/user中，sys,bin,uucp,nuucp,

AIX

daemon等系統(tǒng)默認(rèn)帳戶。在顧客前面加上注釋號(hào)“鏟

1.修改修改nislrator名稱,將原Administrator名稱改成不被

人熟識(shí)的1帳戶，同步將一種一般帳戶名稱改成

WINDOWS

Administrator,登錄一般帳戶執(zhí)行系統(tǒng)所有操作；

2.禁用Guesi賬號(hào)。

4）根據(jù)管理顧客日勺角色分派權(quán)限，實(shí)現(xiàn)管理顧客日勺權(quán)限分離，僅授予管理

顧客所需日勺最小權(quán)限。

操作系統(tǒng)操作方式

1.更改默認(rèn)口令。使用smil或增長(zhǎng)、修改/elc/security/user

AIX下各顧客的設(shè)置：

將su=true更改為su=false

WINDOWS1.修改管理顧客的權(quán)限；

5.3.4安全審計(jì)

省企業(yè)及地市企業(yè)主機(jī)訪問