国华定电安全方案20090616.doc

资源描述

精品文档就在这里 -------------各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有-------------- -------------------------------------------------------------------------------------------------------------------------------------------- 电力行业网络安全解决方案河北万方中天科技有限公司 2009年6月16日 1 系统分析 1.1 背景电力行业是关系到国家国计民生的重要行业。随着电力系统的信息化建设，信息系统的安全保障就变得越来越重要。电力信息系统经过了若干年的建设，已经形成了一套从中央到省，再到地、县相互连接的信息系统网络。相互连接的信息系统网络是我国电力行业的生产效率大大提高。进而降低了运行成本，支持了我国经济高速发展的需求，保证了人民生活质量。但另一方面，由于信息系统的网络连接，使得信息的安全保障遇到了以前未曾遇到的巨大挑战。电力行业中多次出现信息系统的安全问题。如何有效地保障电力信息网络系统运行的安全，关系到国计民生和国家安全。在本方案中我们将就电力行业的信息系统网络安全现状、面对的主要安全威胁以及相关的解决方法进行说明。 1.2 系统现状河北国华定洲发电厂信息系统的网络现状，如下图：通过对电力公司当前现状图的分析发现，当前该信息系统分为两大系统区域，分别是：CIS区（生产区）和MIS区，MIS区内分有对外服务器区和对内服务器区，在对外服务器区上部署有外网门户网站。内网用户数按独立主机计算大约有700户，内网接口带宽为1G，外网采用电信和网通各50M带宽双线接入，并连有国华视频专线。当前采取的安全措施包括： l 在MIS区内的每台主机上都安装了ITPRO终端管理软件； l 在互联网出口处部署有过滤网关、防火墙和负载均衡设备； l CIS区与MIS区之间网络完全隔离； l 在内部各终端部署了网络版防病毒软件。 2 安全分析结合对当前现状图的深入分析以及当前所采用的安全设备来看，系统依然存在很大的风险。 2.1 威胁分析由于电力公司网络连接互联网，网络的使用者既有来自互联网的用户、合作伙伴、网民，也有来自电力公司内部的员工，因此电力公司网络面临来自两个方面的安全威胁： 1．外部威胁 u 黑客扫描和攻击 Internet网络的恶意入侵者可能因为商业的目的或者是随机的目的对电力公司网络发起恶意扫描和渗透式入侵，通过渗透或绕过防火墙，进入电力公司网络，获取、篡改甚至破坏敏感的数据，乃至破坏电力公司的正常业务和生产运行； u 病毒或蠕虫侵袭 Internet网络上大量肆虐的网络蠕虫病毒具备渗透防火墙的传播能力，他们可以穿透防火墙进入电力公司内部网络；一旦遭受了病毒和蠕虫的侵袭，不仅会造成网络和系统处理性能的下降，同时也会对核心敏感的数据造成严重的威胁，甚至造成网络的拥塞，导致业务和生产的中断； 2．内部威胁 u 无意识的外部风险引入在电力公司网络中，由于安全技能和安全意识存在差异，员工可能无意识的通过互联网络将Internet上危险的、恶意的木马程序和恶意代码下载到内部网络执行，甚至将Internet上的蠕虫、网络病毒传播进入内部网络，这将对电力公司网络的安全带来严重威胁； u 网络资源滥用导致新风险电力公司员工因为各种IM即时通讯软件、网络在线游戏、P2P下载软件、在线视频导致企业网络资源滥用，网络性能下降，严重影响正常工作，形成新的威胁。 u 内部故意破坏电力公司需要考虑内部的不满员工恶意破坏信息网络、系统和数据的可能； 2.2 风险与需求分析《国家信息安全等级保护条例》对信息系统的安全从以下五个方面进行了规定：一．物理安全二．网络安全三．主机安全四．应用安全五．数据安全及备份恢复按照国家等级保护条例的分类，对电力系统的需求进行归类。下面的表格对这些需求进行了概要性总结：技术策略常见问题概要物理安全机房温度过高网络安全网络结构缺乏统一规划网络边界安全防护较弱或没有涉密网没有访问控制非授权访问假冒主机或用户内部用户安全攻击非法外联假冒攻击内部用户违规操作系统安全主机访问的脆弱性操作系统自身的脆弱性涉密信息的安全控制主机登录认证的脆弱性应用安全应用系统的访问控制问题应用系统的身份认证的缺陷系统桌面数据安全病毒及恶意代码资源共享问题数据备份和恢复数据按时备份的问题数据灾备问题对于以上问题，下面的几个章节进行了详细分析。 1．通过对机房环境的了解以及机房温度计的显示，机房温度明显高于各设备正常工作温度。建议在网络中增加必要的温控措施（空调），在技术方案中将不在叙述。 2．随着各种业务对Internet依赖程度的日益加强，DDoS攻击所带来的损失也愈加严重。包括电力、运营商、企业及政府机构的各种用户时刻都受到了DDoS攻击的威胁，而未来更加强大的攻击工具的出现，为日后发动数量更多、破坏力更强的DDoS攻击带来可能。正是由于DDoS攻击非常难于防御，以及其危害严重，所以如何有效的应对DDoS攻击就成为Internet使用者所需面对的严峻挑战。网络设备或者传统的边界安全设备，诸如防火墙、入侵检测系统，作为整体安全策略中不可缺少的重要模块，都不能有效的提供针对DDoS攻击完善的防御能力。面对这类给Internet可用性带来极大损害的攻击，必须采用专门的机制，对攻击进行有效检测，进而遏制这类不断增长的、复杂的且极具欺骗性的攻击形式。鉴于以上攻击形式，建议电力公司在网络的边界处部署专业的抗拒绝服务系统来抵御大规模的DDOS攻击。 3．由于业务需要，电力公司网络连接互联网，业务或办公数据在网络上传输，而网络设备、主机系统都不同程度存在一些安全漏洞，攻击者可以利用存在的漏洞进行破坏，可能引起数据破坏、业务中断甚至系统宕机，严重影响电力公司网络的正常运行。在电力公司网络中，防火墙（UTM）作为安全保障体系的第一道防线，防御黑客攻击。但作为访问控制设备，防火墙无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如针对WEB服务的Code Red蠕虫等。而且有些主动或被动的攻击行为是来自防火墙内部的，防火墙无法发现内部网络中的攻击行为。因此，如何识别电力公司网络中的攻击行为成为了当务之急。目前利用漏洞传播的蠕虫、病毒、间谍软件、DDoS攻击、垃圾邮件等混合威胁越来越多，传播速度加快，留给人们响应的时间越来越短，使用户来不及对入侵做出响应，比如蠕虫爆发造成企业网络瘫痪。目前电力公司网络中没有一套有效的监控、防护体系，在各安全域也没有深度的逻辑安全隔离措施。鉴于当前形式，在网络中部署必要的深度逻辑隔离防护设备以及入侵检测类设备。 4．每年都有数以千计的网络安全漏洞被发现和公布，再加上攻击者手段的不断变化，用户的网络安全状况也在随着被公布安全漏洞的增加在日益严峻。因此，安全评估对于绝大多数用户都是不容忽视的，用户必须比攻击者更早掌握自己网络安全漏洞并且做好适当的修补，才能够有效地预防入侵事件的发生。事实证明，99%的攻击事件都是利用未修补的漏洞。许多已经部署防火墙、入侵检测系统和防病毒软件的企业仍然饱受漏洞入侵之苦，其中有更多受到蠕虫及其变种的破坏，造成巨大的经济损失。归根结底，其原因是用户缺乏一套完整的安全评估机制，未能落实定期评估与漏洞修补工作，忽视了漏洞的管理，最终是漏洞成为攻击者攻击的有效途径，甚至成为蠕虫攻击的目标。建议在电力公司网络中部署漏洞扫描系统以及时找出系统中存在的脆弱性，进行各系统补丁的更新，时刻保证系统的健壮性。 5．随着日益增长的互联网安全风险，安全问题的复杂性日益加大，综合FBI和CSI对484家企业的调查及中国国家计算机网络应急协调中心CNCERT/CC的调查结果显示大约76%的网络安全威胁来自于内部，其危害程度更是远远超过黑客攻击及病毒造成的损失，而这些威胁绝大部分与内部各种网络访问行为有关。因此，迫切需要一种安全手段对上述问题进行有效监控和管理。安全审计正是在这样的背景下产生。对于任何一个安全体系来说，审计追查手段都是必不可少。计算机信息安全可通过如下0所示的信息安全体系结构模型来反映计算机信息系统安全需求和体系结构的共性，其构成要素是安全手段、系统单元及国际标准化组织（ISO）制定的开放系统互连参考模型（OSI）。在下图的安全手段中，审计是整个安全体系中不可缺少的重要组成部分。信息安全体系结构模型同时，在TCSEC和CC等安全认证体系中，安全审计是评判一个系统是否真正安全的重要标准。根据代表性的安全模型P2DR理论，网络信息系统在综合运用防护工具（如防火墙、操作系统身份认证、加密等手段）、检测工具（如漏洞评估、入侵检测等系统）的同时，必须通过安全审计收集、分析、评估安全信息、掌握安全状态，制定安全策略，确保整个安全体系的完备性、合理性和适用性，才能将系统调整到“最安全”和“最低风险”的状态。建议在电力公司网络中部署安全审计系统对互联网的访问行为以及数据库进行审计，以充分的保障机密信息不被泄漏，当发生安全时间时也是调查取证的强有力的助手。 6．据IDC统计，一半以上的安全威胁来自于内部。企业内网所面临的安全威胁主要表现在如下几个方面： l 攻击方法日新月异，内部安全难以防范：主要问题表现在ARP欺骗问题与恶意插件泛滥问题等新的安全问题，被攻破的内网主机中可能被植入木马或者其它恶意的程序，成为攻击者手中所控制的所谓“肉鸡”，攻击者可能以此作为跳板进一步攻击内网其它机器，窃取商业机密，或者将其作为DDOS工具向外发送大量的攻击包，占用大量网络带宽。员工浏览嵌有木马或病毒的网页、收看带有恶意代码的邮件，都可能给攻击者带来可乘之机。 l 非法外联难以控制、内部重要机密信息泄露频繁发生：员工通过电话线拨号、VPN拨号、GPRS无线拨号等方式绕过防火墙的监控直接连接外网，向外部敞开了大门，使得企业内网的IT资源暴露在外部攻击者面前，攻击者或病毒可以通过拨号线路进入企业内网；另一方面，内部员工可能通过这种不受监控的网络通道将企业的商业机密泄漏出去，给企业带来经济损失但又不易取证。 l 移动电脑设备随意接入、网络边界安全形同虚设：员工或临时的外来人员所使用的笔记本电脑、掌上电脑等移动设备由于经常接入各种网络环境使用，如果管理不善，很有可能携带有病毒或木马，一旦未经审查就接入企业内网，可能对内网安全构成巨大的威胁。 l 缺乏外设管理手段，数据泄密、病毒传播无法控制：外设是数据交换的一个最要途径，包括U盘、光驱、打印、红外、串口、并口等；由于使用的方便性，近几年成为数据泄密、病毒感染的出入口。通过封贴端口、制度要求等方式无法灵活对外设进行管理，特别是对USB接口的管理，所以必须通过其它技术手段解决存在的问题。建议在网络内部部署终端安全管理系统，可以很好的杜绝ARP病毒的发生、外设的（USB接口等）管理以及非法外联的管理等。 7．在应用系统的开发过程中，开发人员设计方案中，应会考虑到应用系统的访问控制问题。但这种建立在应用开发平台上的认证方式，具有一定的安全隐患，不符合国家对涉密网络的安全要求。因此，我们需要在应用系统之外，建立一种安全的身份鉴别系统，实现分级别、分应用、按身份的细腻的访问控制机制。这种安全机制，是在应用系统之上建立的一个安全外壳，在应用系统之上形成一个安全平台。由于我们将重要的信息资源和应用服务资源集中管理，组成一个局域网。在网络访问控制安全中，我们采用了安全认证服务器技术，由安全认证服务器处理所有对应用系统和重要资源的访问控制。它能够实现对应用服务不同字段或列表更细节的访问控制。 8．对电力公司系统网络而言，随着网上应用不断增加，对服务的连续性要求也不断提高，对出现的网络和服务器故障必须及时发现和解决，然而在电力公司信息系统网络存在着多个网络设备，在这种情况下，最大限度地提高网络的可控制性及可用性，使网络管理者及时了解整个网络当前的运行状况，传统的方式已经不再适用。为保障系统软件与网络设备的正常运行，需要有大量的运维工作对其正常运行予以保障。建议增加安全服务机制定期的系统进行评估、加固，发生安全事件进行及时的响应。 9．目前电力公司从组织、人员、制度等安全管理方面都得到了一定的落实，但由于人员编制有限，安全的专业性、复杂性、不可预计性等，在安全管理方面也还存在一些安全隐患。建议增加适应电力公司安全要求的管理制度，以更好的体现技术、管理并重，保证系统的正常运行。 3 整体安全保障建设方案本次河北国华定洲发电厂安全保障方案主要从三个方面进行建设：安全技术体系建设、安全服务体系建设、安全管理体系建设。 3.1 安全技术体系建设方案 3.1.1 构建“外防内控”的安全技术体系外防方面，通过使用安全域、防火墙、IDS/IPS、VPN、垃圾邮件过滤、病毒过滤、基础设施监控以及链路备份等技术手段予以解决。内控方面，依据国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》、以及ITIL、ITSM、ISO27001、1SO17799、BS7799等IT管理标准、信息安全管理标准，综合考虑信息安全的保密性、完整性、可用性、可审计性和防抵赖性的完整体系目标，涵盖安全控制、运维管理和安全审计三大方面功能。安全技术体系建设的内容：安全技术体系安全支撑平台统一身份鉴别和认证、统一控制和授权 PKI/CA认证中心（可选）安全服务平台抗拒绝服务入侵保护服务入侵检测服务安全审计服务漏洞扫描服务终端安全管理网页防篡改加密服务双机备份服务隔离交换服务负载均衡服务 …… 安全基础平台防火墙、杀毒软件 3.1.2 安全保障建设规划示图河北国华定洲发电厂安全保障建设规划图 3.1.3 抗拒绝服务系统部署抗拒绝服务系统可防护各类基于网络层、传输层及应用层的拒绝服务攻击，如对SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood以及连接耗尽这些常见的攻击行为能够有效识别，并通过集成的机制实时对这些攻击流量进行阻断。系统还能够针对最近出现的混合拒绝服务攻击、ACK Flood/DRDoS等危害更大的拒绝服务攻击进行防护。抗拒绝服务系统部署方式，如下（红圈标注）：在互联网的出口处部署专业的抗拒绝服务系统来抵御大规模的DDOS攻击。 3.1.4 入侵保护系统（IPS）部署入侵保护系统的目的，如下： 1、网络防护 IPS针对攻击具有实时的、主动的网络防护功能，内置基于状态检测的防火墙，保护网络边界和内部网络，同时为网络设备的漏洞提供防护；具有流量管理功能，对于可能出现的异常流量。 2、应用防护 IPS提供对应用层的防护功能。针对操作系统、应用软件以及数据库，提供深度的内容检测技术，过滤报文里的恶意流量和攻击行为，保护存在的漏洞，防止操作系统和应用程序损坏或宕机。 3、内容管理 IPS对企业内部网络资源提供内容管理，可以有效检测并阻断间谍软件，包括木马后门、恶意程序和广告软件等，并可以对即时通讯、P2P下载、网络游戏、在线视频、网络流媒体等内容进行监控并阻断。入侵保护系统部署方式，如下（红圈标注）：在网络中部署了三台入侵保护系统（IPS），分别部署在CIS区与MIS区之间、对内服务器区边界、对外服务器区边界，通过IPS设备的部署可以有效的增强各网络边界的安全性。在设备管理方式上可以采用C/S与B/S两种管理方式，当采用C/S管理方式的时候在内部选取一台服务器安装管理控制中心，以便对网络总的所有IPS设备进行集中、统一管理。 3.1.5 入侵检测系统（IDS）部署入侵检测系统，可以起到以下作用： 1、入侵检测 IDS对黑客攻击（缓冲区溢出、SQL注入、暴力猜测、拒绝服务、扫描探测、非授权访问等）、蠕虫病毒、木马后门、间谍软件、僵尸网络等进行实时检测及报警，并通过与防火墙联动、TCP Killer、发送邮件、控制台显示、日志数据库记录、打印机输出、运行用户自定义命令等方式进行动态防护。 2、行为监控 IDS系统会对网络流量进行监控，对P2P下载、IM即时通讯、网络游戏、网络流媒体等严重滥用网络资源的事件提供告警和记录。 3、流量分析 IDS对可以对网络流量进行分析，实时统计出当前网络中的各种报文流量。入侵检测系统部署方式，如下（红圈标注）：在电力系统网络中建议部署三台入侵检测系统，在两台核心交换机上部署一台支持两路监听的入侵检测系统，在汇聚层的八台交换机分别部署两台支持四路监听的入侵检测系统。通过对入侵检测系统的有效部署，可以对网络中发生的安全事件进行及时的响应、告警，形成一个全局监控的局面。设备管理方式上可以采用C/S、B/S两种管理方式，建议河北国华定洲发电厂采用C/S管理方式对所部署的设备进行集中、统一管理。 3.1.6 安全审计系统本次部署的安全审计系统为两套，分别是：互联网审计系统、数据库审计系统。部署安全审计系统，起到以下作用： 1、内容审计可以提供深入的内容审计功能，可对网页页面内容、邮件、数据库操作、论坛、即时通讯等提供完整的内容检测、信息还原功能；并可自定义关键字库，进行细粒度的审计追踪。 2、行为审计可以提供全面的网络行为审计功能，根据设定行为审计策略，对网站访问、邮件收发、数据库访问、远程终端访问、文件上传下载、即时通讯、论坛、在线视频、P2P下载、网络游戏等网络应用行为进行监测，对符合行为策略的事件实时告警并记录。 3、流量审计可以提供基于协议识别的流量分析功能，实时统计出当前网络中的各种报文流量，进行综合流量分析，为流量管理策略的制定提供可靠支持。安全审计系统部署方式，如下（红圈标注）：在电力公司网络中建议部署两套审计系统，分别是互联网审计和数据库审计。在核心交换机上部署一台互联网审计系统，在对内服务器区部署一台数据库审计系统。 l 互联网审计系统：对多种信息精细分类，如不良言论、色情暴力等；支持针对URL、网页页面内容、搜索引擎的关键字过滤、审计功能，可告警、过滤非法不良网站；同时全面审计网站访问行为，实时告警、记录和网页还原，实现全面、准确、高效的网站访问监测；具有全程网络应用行为审计功能，支持对即时通讯、在线视频、P2P下载、网络游戏、炒股等互联网应用行为进行全过程监控。 l 数据库审计系统：支持对业务运维操作（如TELNET、FTP等）的命令级审计和全过程记录；并支持SQL-92标准，实时审计用户对ORACLE、SQL Server 、MY SQL、INFORMIX、DB2等主流数据库系统所有操作（如插入、删除、修改等），还原SQL操作命令；对违反数据库审计策略的操作行为实时报警、记录，实现数据库命令级的细粒度审计。 3.1.7 漏洞扫描系统部署漏洞扫描（管理）系统能够对已知安全漏洞的攻击起到很好的预防作用，做到真正的“未雨绸缪”。漏洞管理产品从漏洞生命周期出发，提供一套有效的漏洞管理工作流程，实现了由漏洞扫描到漏洞管理的转变，实现了“治标”到“治本”的飞跃。 1、通过漏洞管理产品集中、及时找出漏洞并详细了解漏洞相关信息，不需要用户每天去关注不同厂商的漏洞公告，因为各个厂商的漏洞公告不会定期发布，即使发布了漏洞公告绝大多数用户也不能够及时地获得相关信息。 2、通过漏洞管理产品将网络资产按照重要性进行分类，自动周期升级并对网络资产进行评估，最后自动将风险评估结果自动发送给相关责任人，大大降低人工维护成本。 3、漏洞管理产品根据评估结果定性、定量分析网络资产风险，反映用户网络安全问题，并把问题的重要性和优先级进行分类，方便用户有效地落实漏洞修补和风险规避的工作流程，并为补丁管理产品提供相应的接口。 4、漏洞管理产品能够提供完整的漏洞管理机制，方便管理者跟踪、记录和验证评估的成效。漏洞扫描（管理）系统部署方式，如下：在MIS系统区和CIS系统区分别部署一台漏洞扫描系统，由于CIS区采用了专门的隔离措施，为了不破坏CIS边界的完整性，故部署了两台漏洞扫描系统。通过漏洞扫描系统可以定期的网络中的主机系统（Windows、Linux、Unix、AIX）、网络设备（路由器、交换机）、安全设备（防火墙）、Web应用服务以及防病毒软件进行定期或不定期的评估，找出系统系统存在的脆弱性，以便进行准确的安全加固，使系统时刻处于最佳健康状态。 3.1.8 终端安全管理系统部署终端安全管理系统，起到如下效果： 1、网络接入控制能够按照指定的策略控制机器对网络的接入，保证只有认证通过的机器才能够接入网络，防止存在安全隐患或未经授权的机器接入内网，在网络接入层控制非法终端连接，支持IEEE802.1x端口认证的工业标准。对于不支持IEEE802.1x交换环境，采用软件控制的方式实现对终端设备的安全接入控制。根据网络环境，用户可以选择在不同网段分别启用802.1X认证、非802.1X认证、不启用网络准入认证组合。 2、病毒库同步通过与常用防病毒软件的联动，实现及时可靠的病毒库分发，强制病毒库与病毒引擎的升级，统一终端最新的防病毒策略，阻止各类病毒和蠕虫的发作；支持防病毒软件包括：赛门铁克、趋势、瑞星、江民、金山、卡巴斯基、NOD32、McAfee、冠群等各大防病毒软件厂商的网络版以及个人版防毒产品。 3、防ARP欺骗 ARP欺骗防御采用主动防御技术，在系统驱动层实现防ARP欺骗功能，阻断各种类型的ARP欺骗行为，保证终端机器不受ARP欺骗的干扰与攻击；可以及时发现网络中存在的“肉鸡”攻击者，可以定位到哪台终端、什么时间、哪个进程发起ARP欺骗攻击，实时定位ARP欺骗病毒源；有效保证网上银行、邮箱、即时通讯、游戏帐号等数据安全；保证网络通讯的正常稳定、快速协助管理人员定位网络中存在的问题。 4、恶评软件查杀可以手动检测或定时自动检测各个终端是否安装了恶评软件，根据预置的策略将其禁用并生成告警；系统内置有丰富的恶评软件特征库，并能定期更新；能够收集每个终端所安装的IE插件的信息，汇总到服务器统一展示；管理员可以设置哪些IE插件允许使用，哪些IE插件禁止使用。 5、资产管理自动收集计算机的硬件资产信息和软件资产信息，硬件资产信息包括：网卡、内存、硬件、主板等；软件资产信息包括：操作系统、杀毒软件、应用软件信息、计算机系统摘要、终端代理相关信息、当前策略信息、补丁信息；可以自动发现以上各类软硬件资产的变化情况，灵活生成各种告警与图形报表，及时掌握每个终端用户资产最新状态，避免资产流失，方便企业资产的统一管理。 6、外设访问控制可以针对常见的外设端口类型（USB、红外、串口、并口）和设备类型（软驱、光驱、无线、蓝牙、键盘和鼠标、打印机）进行监控，监控类型包括：禁止访问、只读访问、完全访问，对违反策略的行为及时告警，防止数据泄密；管理员可以对USB外设进行注册授权认证，注册认证过的USB外设才可以在内网使用，有效管理控制USB外设滥用行为；系统可以对USB外设文件传输实时监控（包括文件增加、删除、拷贝、修改行为审计），并且可以实现针对特定的文件类型进行审计；在安全控制方面，系统能够对Windows的“自动播放”进行控制，防止autorun病毒木马传播与扩散。 7、非法外联检测针对企业内网可能存在的通过拨号连接外网的行为进行管理；可以对Modem拨号、VPN连接、GPRS、PPPoE等拨号方式进行控制，根据需要可以自动切断拨号并告警。 8、网络配置强制可以防止任意修改机器的IP、机器名、MAC等信息，根据安全策略设置自动恢复默认的配置信息；可以针对重点服务器IP采用特殊保护，保证重点服务器IP优先权，避免地址冲突，提高内网管理效率。终端安全管理系统，部署方式如下（红圈标注）：由于MIS区域与CIS区域采用了专业的隔离系统，为了保证CIS区域的安全，建议在CIS区域与MIS区域单独部署终端安全管理系统，实现对终端的可控、可管。 3.1.9 网页防篡改系统部署网页防篡改系统，起到以下作用： Ø 阻止非法篡改网页，自动截获对网页的非法篡改行为； Ø 如果网页因为意外原因被篡改，能够自动将原有网页恢复； Ø 自动屏蔽“非法网页”，确保这些非法网页不被客户访问； Ø 实时报警、详细日志，在截获非法篡改或其它安全事件的情况下，将自动通过多种方式报警，通知管理维护人员。网页防篡改系统需要部署在对外服务器区内的一台专门的服务器上。 3.1.10 统一身份鉴别和认证由于电力系统是一个人参与的系统，是人与各种设备进行互动的系统。因此，鉴别和确认用户的身份是其他安全解决方案的基础。但目前电力系统的信息系统在身份鉴别中，通常存在着以下问题： n 各设备、各主机、各应用单独认证。使得“纵向认证”，存在着各种安全死角。 n 认证方法过于简单，口令太弱，易受攻击。而“统一身份鉴别和认证”方案能够有效地解决这些问题。“统一身份鉴别和认证”以国际通用标准为基础，对各种网络设备和不同的主机操作系统提供统一的身份鉴别和认证服务。同时“统一身份鉴别和认证”还能为应用系统提供身份认证的接口和SDK，从而可以实现网络层、主机层和应用层的统一认证。为了防止认证手段易受攻击，“统一身份鉴别和认证”要求认证要支持口令、证书、口令牌、指纹等多种认证手段。同时，认证还应能支持多因素认证。为了支持多种设备的认证，“统一身份鉴别和认证”必须支持各种认证协议。如：RADIUS，802.1x，EAP，LDAP等。另一方面，“统一身份鉴别和认证”要求各种网络设备必须支持国际标准认证协议。支持网络设备的外部认证。 3.1.11 统一控制和授权由于网络设备，主机操作系统，应用系统繁多，对各个设备的管理必须遵循统一控制和授权的方法。所有新上系统应遵循国际标准协议。 3.2 安全服务体系建设方案 3.2.1 安全加固根据安全评估结果，结合各种操作系统的安全特性，对加固对象进行修补加固。利用修补和加固解决在安全评估中发现的各种技术性安全问题，基本保证在客观环境允许的情况下，被加固对象应不再存在高风险漏洞和中风险漏洞(根据CVE标准定义)，对于由业务环境原因无法进行修补的漏洞，会分析漏洞对系统安全性影响并提出相应的解决建议，同时登记在遗留问题记录中，以备后续查找和参考。另外，在修补和加固完成后应不影响修补加固对象原有的功能和性能。其中，在加固方案设计和加固实施过程中将遵循以下原则： l 标准性原则：加固方案的设计与实施应依据国内或国际的相关标准进行； l 规范性原则：工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制； l 可控性原则：加固的方法和过程要在双方认可的范围之内，加固服务的进度要跟上进度表的安排，保证对于加固工作的可控性； l 整体性原则：加固的范围和内容应当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患； l 最小影响原则：加固工作应尽可能小的影响系统和网络的正常运行，不会对正在的运行和业务的正常提供产生显著影响； l 保密原则：对加固的过程数据和结果数据严格保密，未经授权不会泄露任何给任何单位和个人，不会利用此数据进行任何侵害电力公司网络的行为。 3.2.2 应急响应安全应急响应服务内容如下： 1．故障情况通知及确定对用户的紧急安全事件提供安全响应热线电话/手机和客户专用的Email联系方式。在接到用户紧急安全响应请求后的10分钟内，通过电话、专用Email或远程监测等多种方式，确定故障类型，定义故障等级。 2．远程支持响应对于能够通过电话或网络方式远程支持解决的重要故障，承诺在故障等级情况确定后尽快从远程帮助用户或由我方从远程修复系统，解决故障，使故障造成的损失减小到最小。 3．现场支持响应在接到用户紧急安全响应请求后的60分钟内，在远程不能确定安全故障类型或故障情况严重不能通过远程解决的严重故障情况下，承诺安排工程技术人员到达现场解决问题，到达现场时间以交通工具到达时间为限。 4．安全故障解决安全故障解决遵循以下流程： l 故障诊断，对故障情况作诊断，记录，分析； l 故障修复，尽可能减少用户安全故障造成的损失，并修复系统； l 系统清理，对安全故障发生的系统作系统完整性审计、系统安全检查、清理； l 系统防护，对安全故障发生过的系统增加、加强安全保护措施； l 证据收集，对由于安全故障造成的入侵记录、破坏情况、直接损失情况收集证据；承诺在故障解决后的72小时内，安排专人从远程或本地跟踪客户系统运营情况，确保故障根本上得到解决。 5．紧急响应服务结果报告针对在紧急安全响应服务的所遇到的安全问题、安全事故处理过程、处理结果，48小时汇总形成紧急响应服务结果报告，提交给电力公司。 3.2.3 风险评估定期的对信息系统进行一次全面技术风险评估，主要是针对网络系统的脆弱性扫描评估。在网络安全体系的建设中，安全扫描工具花费低、效果好、见效快、与网络的运行相对独立、安装运行简单，可以大规模减少安全管理员的手工劳动，有利于保持全网安全政策的统一和稳定，是进行风险分析的有力工具。安全扫描工作主要是通过漏洞扫描系统对评估范围内的系统和网络进行安全扫描，发现网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁。此外，每次扫描结束后，将协助电力公司的技术人员对扫描结果进行分析，并提供相应的技术建议。为了确保扫描的可靠性和安全性，根据电力系统的网络、系统和应用情况，协助国华定洲发电厂确定扫描计划。计划主要包括扫描开始时间、扫描对象、预计结束时间、扫描项目、预期影响、需要对方提供的支持、需采取的风险控制措施等等。比如，为了防止对系统和网络的正常运行造成影响，提供相关的风险控制建议，在扫描时修改和配置一定的扫描策略，使资源消耗降低至最小，限制或不采用拒绝服务模块进行扫描。 3.3 安全管理体系建设方案对电力系统网络的安全现状，将明确贯彻集团公司“谁管理，谁负责”的方针政策，明确网络上所有系统包括所有终端的责任人，对其信息安全负责。明确定义电力系统安全管理组织、安全相关岗位的职责，并在安全策略体系中通过总则、主策略、子策略、安全管理制度等几个层次的基本结构来组建电力系统网络的安全策略管理体系。图：电力系统网络安全管理体系的结构图 3.3.1 安全组织的建议建议电力系统针对网络安全尽快建立独立的具有管理权的网络安全管理组织（隶属于电力系统整体的安全管理机构），来批准网络安全制度策略、明确各个角色的安全职责并协调内部网络安全的实施。如有可能，应在电力系统内部建立提供网络安全建议的专家小组并使其有效运作。应建立和电力系统外部的第三方安全专家的联系，以跟踪行业趋势，监督安全标准和评估方法，并在处理安全事故时提供适当的联络渠道。根据以往电力系统建立安全组织机构的经验，建议电力系统安全组织的职位和责任规划如下： 1、网络安全领导小组——由电力系统相关高层领导组成的委员会，对于网络安全方面的重大问题做出决策，并支持和推动网络安全工作在整个电力系统范围内的实施。 2、安全工作小组——以一个专门的网络安全工作组织的身份，负责整个电力系统网络的安全。建议配置以下岗位： Ø 小组管理者——负责网络安全的整体协调工作，负责网络安全的日常管理。 Ø 系统安全管理岗位——负责网络中主机系统的安全管理、协调和技术指导。 Ø 网络安全管理岗位——负责网络中网络设备的安全管理、协调和技术指导。 Ø 安全策略管理岗位——负责网络相关安全策略的制定、推广、协调和指导。 Ø 紧急响应岗位——负责监控针对网络的入侵行为，并对发现的、投诉的和上报的各种安全事件进行紧急响应。 Ø 培训岗位——负责安全培训、策略培训工作的管理、协调和实施。 Ø 安全审计岗位——负责按照安全绩效考核标准进行安全审计管理、工作监督和指导。 3、安全顾问组——聘请组织外的第三方安全专家作为技术支持资源和管理咨询顾问，主要向安全工作小组负责。 4、从长远来看，可以建立网络的安全维护中心，负责监控网络安全状况，管理安全产品，指导系统安全管理、网络安全管理、紧急响应等岗位的工作。关于安全人员素质，应该根据角色相应的工作职责来确认，要求胜任其本职工作，具备相应的技术素质和协调管理素质。在目前的情况下，针对电力系统网络的安全组织的一次性完整组建可能比较困难，那么相应的岗位可以由各个部门的人员兼职来完成，有些岗位（如紧急响应岗位）可以进行外包，由组织外的第三方安全专家来担任。具体内容会体现在安全管理策略体系中的主策略部分。 3.3.2 建立完整的安全管理策略体系网络安全管理策略体系为网络安全提供管理指导和支持。国华定洲发电厂应该制定一套清晰的管理制度、策略，并通过在组织内对网络安全策略的发布和保持来证明对网络安全的支持与承诺。 3.3.2.1 安全管理策略的文档结构图：安全管理策略结构图 1、总则总体介绍安全管理策略体系文档的基本结构和作用，详细说明体系建设的目的、管理范围、适用范围和参考规范。 2、主策略主策略的内容主要包括： Ø 定义电力系统网络安全管理组织体系及其工作方式，明确安全管理组织名称及其组成人员，设立至少一名公司的一级经理为该机构的领导者，说明该组织的工作职责； Ø 定义公司的网络安全管理员岗位，明确说明系统管理员、网络管理员、安全管理员等的职责； Ø 定义安全策略体系的子策略内容，并定义子策略的建立、补充、管理和维护的人员； Ø 定义安全策略的实施和应用说明。 3、子策略子策略与主策略两部分将完全涵盖《国家信息系统安全等级保护条例》的安全控制措施，并以此建立可操作性的安全策略要求。这些策略具体包括：《物理安全策略》：主要包括机房的建设策略、物理访问控制策略、环境保护策略、第三方访问控制策略等以及办公环境的物理安全策略。《网络安全策略》：主要包括网络拓扑结构管理策略、网络设备安全管理策略、网络鉴别认证策略、网络安全访问控制策略、网络安全实时监控、网络安全扫描、远程访问策略、Internet/Extranet安全管理策略、网络系统变更管理策略等。《系统安全策略》：主要包括操作系统的选用、操作系统安装、操作系统使用规范、操作系统配置策略、操作系统漏洞扫描、操作系统升级管理、操作系统变更管理策略等。《应用安全策略》：主要包括等数据库系统安全策略、邮件系统安全策略、各业务应用系统安全策略（应用系统的选型、安全测试、安全操作、安全维护策略）、应用系统变更管理策略等。《口令管理策略》：主要包括口令设置规则、口令更换周期、口令管理方式、口令适应规则等策略。《安全审计策略》：主要包括安全策略审计策略、安全管理制度审计策略、应急计划审计策略、岗位审计策略、系统日志审计策略等。《系统开发策略》：主要包括系统的基本安全功能开发策略、强化安全功能策略、安全管理策略、安全测试策略、功能测试策略。 4、管理制度、操作规范及流程将根据电力系统网络安全现状以及现有的安全管理制度进行调整和编制，建议至少应具备以下相关内容： Ø 系统管理员日常操作安全管理制度 Ø 网络管理员日常操作安全管理制度 Ø 安全管理员日

展开阅读全文