1、ICS 29. 240 Q/GD 国家电网公司企业标准Q/GDW 11347 -2014 国家电网公司信息系统安全设计框架技术规范Technical specification of infoInation systems security design framework in State Grid Corporation of China 2015-05-29发布2015-05-29实施国家电网公司发布Q/GDW 11347 -2014 目次前言.11 1 范围.2 规范性引用文件.3 术语和定义.4 缩回各语.1 5 信息系统安全设计框架.26 信息系统安全设计方法.27 信息系统安全设
2、计技术要求.37.1 信息系统物理安全防护设计要求.37.2 信息系统边界安全防护设计要求.37.3 信息系统主机安全防护设计要求.47.4 信息系统网络安全防护设计要求.57.5 信息系统终端安全防护设计要求.67.6 信息系统应用安全防护设计要求.67.7 信息系统数据安全防护设计要求.10附录A(规范性附录)国家电网公司信息系统安全防护设计步骤.11附录B(规范性附录)国家电网公司信息系统安全防护设计框架.12附录c(规范性附录)国家电网公司信息系统安全防护设计模板.13编制说明.19Q/GDW 11347 -2014 目U吕为满足公司电网广泛互联、开放互动条件下新的安全防护需求,指导信
3、息系统研发单位在系统设计阶段开展系统安全防护设计工作,结合国家对信息系统安全等级保护、电力二次系统安全防护要求及公司信息安全防护要求,规范公司信息系统安全设计框架、设计方法和技术要求,制定本标准。本标准由国家电网公司信息通信部提出并解释。本标准由国家电网公司科技部归口。本标准起草单位:中国电力科学研究院、国网江苏省电力公司、南瑞集团公司、国家电网公司信息通信分公司。本标准主要起草人:费稼轩、张涛、王玉斐、刘莹、戴造建、马援援、郝悍勇、郭经红、陈亚东、张波、华畔、黄秀丽、管小娟、石聪聪、郭雅娟、黄伟、崔高颖、刘金锁、韩勇、屠正伟、邵志鹏、周诚、郝战、徐亮、杨大路、李祉岐、高原、廖斌、范永、张盈、
4、陈牧、陈刚。本标准首次发布。本标准在执行过程中的意见或建议反馈至国家电网公司科技部。11 Q/GDW 11347 -2014 国家电网公司信息系统安全设计框架技术规范1 范围本标准规定了国家电网公司安全设计框架、设计方法及安全防护设计技术要求。本标准适用于国家电网公司统一推广系统以及各分部、各单位自建系统在设计阶段的安全防护设计过程。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T 22239-20
5、08 信息安全技术信息系统安全等级保护基本要求YD/T 1771-2008 接入网技术要求Q/GDW 597-2011 国家电网应用软件通用安全要求Q/GDW 1929.2-2013 信息系统应用安全系列标准第2部分:安全设计中华人民共和国国家发展和改革委员会令第14号电力监控系统安全防护规定3 术语和定义Q/GDW 597-2011和Q/GDW1929.2-2013中界定的以及下列术语和定义适用于本文件。3.1 安全设计security design 信息系统在设计阶段开展的部署架构分析、等级保护定级分析、专项防护设计及方案评审等一系列活动的总称。3.2 安全设计框架security des
6、ign framework 指导安全设计的一个规范性体系架构。从信息系统物理、边界、主机、网络、终端、应用及数据七个方面规定了安全防护设计应包含的对象。4 宿略语下列缩略语适用于本文件。APN:无线接入点(AccessPoint N ame) API:应用程序编程接口(ApplicationProgramming Interface) EPON:以太无源光网络(EthemetPassive Optical Network) IPSec:互联网安全协定(IntemetProtocol Security) PSTN:公共交换电话网络(PublicSwitched Telephone N etwor
7、k) RDP:远程桌面协议(RemoteDesktop Protocol) SIM:用户身份识别模块(Subscriber Identity Module) SSL:安全套接层(SecureSockets Layer) SSH:安全外壳协议(Secure Shell) Q/GDW 11347 -2014 VPN:虚拟专用网(VirtualPrivate Network) 5 信息系统安全设计框架以国家信息安全等级保护要求为基础,按照国家电网公司(以下简称公司)总体安全防护策略,规范信息系统安全设计框架,参见附录A。安全设计框架从信息系统物理、边界、主机、网络、终端、应用及数据七个方面规定了安全
8、防护设计应包含的对象。信息系统研发单位在系统设计阶段应结合本规范规定的公司信息系统安全设计框架、设计方法、技术要求和附录B国家电网公司信息系统安全防护设计模板编制信息系统安全防护专项方案。6 信息系统安全设计方法信息系统安全防护设计与方案评审处于信息系统全生命周期的设计阶段。信息系统研发单位在设计阶段进行安全防护设计应在充分分析总体网络部署架构,包括但不限于部署模式和物理部署架构的基础上,遵循本规范规定的安全设计框架及安全设计步骤参见规范附录B开展安全防护设计工作。2 安全防护设计关键步骤包括:a) 信息系统研发单位应结合公司总部、省(直辖市)公司、地市公司、直属单位以及对外服务的应用需求,分
9、析系统的部署模式及网络部署架构。b) 信息系统研发单位应与公司信息化管理部门、业务部门共同开展等级保护定级工作,参照GB17859-1999要求确定系统的安全保护等级,定级过程中直组织相关专家对等保定级情况进行论证和审定。c) 信息系统研发单位应根据本规范规定的安全设计框架、设计方法和技术要求,在安全需求分析的基础上,针对识别出的安全威胁,从物理、边界、主机、网络、终端、应用及数据七个方面开展安全防护设计:物理、边界、主机、网络、终端、应用及数据七个方的安全防护设计策略规定如下:1) 物理安全防护设计应根据信息系统涉及的硬件部署情况,包括但不限于服务器、交换机等室内设备,以及采集器、集中器、表
10、计、信息采集类终端等室外设备,针对性设计各硬件所处物理环境安全防护要求的实现方式。物理安全防护设计应对室内机房物理环境与室外设备物理环境的安全防护设计要求加以实现。可包括增强的安全防护措施。2) 边界安全防护设计应分析该系统涉及的所有类型边界,包括但不限于经过此边界的数据类型、格式、流向等内容,并针对性设计各项边界安全防护要求的实现方式。边界安全防护设计应对各类边界的安全防护设计要求加以实现。可包括增强的安全防护措施。3) 主机安全防护设计应对操作系统与数据库的安全防护设计要求加以实现。可包括增强的安全防护措施。4) 网络安全防护设计应分析该系统涉及的网络设备类型及网络通道类型,针对性设计各项
11、网络安全防护要求的实现方式。网络安全防护的设计应对网络设备与网络通道的安全防护设计要求加以实现 。可包括增强的安全防护措施。5) 终端安全防护设计应分析该系统涉及的不同终端类型,对不同类型的终端安全防护设计要求加以实现。可包括增强的安全防护措施。6) 应用安全防护的设计应对身份认证、授权、输入输出验证、配置管理、会话管理、加密技术、参数操作、异常管理、日志及审计和应用交互安全十个方面的安全防护设计要求加以实现,可包括增强的安全防护措施。7) 数据安全防护设计应对数据完整性、数据保密性、数据备份和恢复的安全防护设计要求加以实现。可包括增强的安全防护措施。d) 应组织对信息系统安全防护方案进行评审
12、,评审通过后方可进行下一阶段研发工作。其中接入Q/GDW 11347 -2014 管理信息大区的系统由国网信通部统一组织预审,接入生产控制大区的系统由国调中心负责预审,存在跨大区接入的系统由国网信通部、国调中心共同预审,必要时邀请外部专家对核心系统安全防护设计进行预审,预审通过后应报公司专家委审查。各单位自建系统应由各单位自行组织审查并报国网信通部备案。7 信息系统安全设计技术要求7.1 信息系统物理安全防护设计要求7.1.1 室内机房物理环境安全防护设计要求室内机房安全物理环境安全防护设计应参照GB/T22239-2008的物理安全要求进行防护设计。7.1.2 室外设备物理环境安全防护设计要
13、求室外物理设备需安装于室外设备机柜/机箱中,应参照GB/T22239-2008的物理安全要求进行防护设计。7.2 信息系统边界安全防护设计要求7.2.1 横向边界安全防护设计要求横向边界包括:互联网边界、信息外网横向域边界、信息内外网边界、信息内网横向域边界、安全区III与信息内网边界、大区边界、控制区和非控制区边界、控制区与安全接入区边界,其安全防护设计要求如下:a) 互联网边界:应使用灾备中心和各省电力公司信息外网提供的统一互联网出口,应采取应用攻击防御的措施抵御网络及应用层攻击、病毒木马感染和网络泄密的风险:b) 信息外网横向域边界:应采取具有访问控制功能的设备、防火墙或相当功能设施,实
14、现逻辑隔离:c) 信息内外网边界:应采用公司专用逻辑强隔离设备进行安全防护,数据交互遵循四特定策略:即采用特定操作指令限制特定业务应用访问特定数据库的特定表单d) 信息内网横向域边界:应采取逻辑隔离措施、网络访问控制、信息入侵检测、边界流量监测等安全控制措施:e) 安全区III与信息内网边界:应采取具有访问控制功能的设备、防火墙或相当功能设施,实现逻辑隔离:f) 大区边界:应设置经国家指定部门检测认证的电力专用横向单向安全隔离装置,并采取必要的安全防护措施,禁止任何穿越生产控制大区和管理信息大区边界的通用网络服务:g) 控制区和非控制区边界:应采取具有访问控制功能的设备、防火墙或相当功能设施,
15、实现逻辑隔离:h)控制区与安全接入区边界:应设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。7.2.2 纵向边界防护设计要求纵向边界包括:信息内网纵向边界、生产控制大区非实时子网纵向边界、生产控制大区实时子网纵向边界、信息外网纵向边界,其安全防护设计要求如下:a) 生产控制大区实时子网纵向边界:应当设置经国家指定部门检测认证的电力专用纵向加密认证装置或加密认证网关:b) 生产控制大区非实时子网纵向边界:应当设置经国家指定部门检测认证的电力专用纵向加密认证装置或加密认证网关:c) 管理信息大区信息内网纵向边界:应采用网络访问控制、信息入侵检测、边界流量监测等:d) 管理信息大区信息外网
16、纵向边界:应采用网络访问控制、信息入侵检测、边界流量监测等安全控制措施。7.2.3 第三万边界防护设计要求3 Q/GDW 11347 -2014 第三方边界包括:信息内网第三方边界、非控制区第三方PSTN网边界、控制区第三方边界,其安全防护设计要求如下:a) 信息内网第三方边界:对于采用无线网络或租用线路接入信息内网的应遵循内网安全终端、无线力口密专网、终端入网绑定、交互操作固定、数据传输加密的防护策略:对于采用专线网络的接入,应采用专线连接、专区接入、专有程序、专机专用、特定内容交互的防护策略:b) 非控制区第三方PSTN网边界:应部署电力拨号认证加密装置:c) 控制区第三方边界:对于采用无
17、线通信网、电力企业其他数据网(非电力调度数据网)、外部公用数据网的虚拟专用网络方式(VPN)等通信方式接入生产控制大区的,应设立安全接入区,并采用基于国密算法的认证、力口密等安全防护措施。安全接入区与生产控制大区中其他部分的联接处必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。7.3 信息系统主机安全防护设计要求7.3.1 操作系统安全防护设计要求7.3.1.1 操作系统安全加固操作系统安全加固方面,应设计系统安全加固的目标、流程及方案,不应影响在运系统的稳定运千了。7.3.1.2 身份认证措施在身份认证措施方面,应采用两种或两种以上组合的鉴别技术对用户进行身份鉴别,如采用用户智
18、口令与挑战应答、动态口令、物理设备、生物识别技术和数字证书方式的身份鉴别技术中的任意组三L1=1 0 7.3.1.3 制定用户安全策略在制定用户安全策略方面,要求如下:a) 应当制定安全策略实现帐号及权限申请、审批、变更、撤销流程,定义用户口令管理策略以限定用户口令的长度、复杂度、生存周期等规则:b) 应严格限定默认帐号的访问权限,重命名系统默认帐号,修改帐号的初始口令:c) 应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限,操作系统特权用户不得同时作为数据库管理员:d) 应制定用户远程访问策略,如限制普通用户远程访问操作系统:e) 应制定用户登录超时限制、敏
19、感操作、文件访问审核策略。7.3.1.4 限制管理员权限使用在限制管理员权限使用方面,应限制管理员权限使用,设计对管理员权限的日志审计策略。7.3.1.5 第三万安全组件在第三方安全组件方面,应设计使用第三方安全组件加强主站系统主机安全防护,如采用主机防火墙系统、主机入侵检测/防护系统、操作系统核心文件签名检查等措施。7.3.1.6 主机病毒防护在主机病毒防护方面,应设计使用国产的防病毒软件。7.3.1.7 点扫描在弱点扫描方面,应设计系统漏洞扫描和漏洞库的升级方案,对于发现的漏洞应及时进行处理。7.3.1.8 更新安全补丁在更新安全补丁方面,应设计使用经国家权威机构认定的安全补丁,更新补丁之
20、前应当在测试系统中进行测试,并制定详细的回退方案。7.3.1.9 资源控制在资源控制方面,要求如下:a) 应设计采用网管系统或其他方式对重要服务器CPU、硬盘、内存、网络等资源的使用状况进行4 Q/GDW 11347 -2014 监测:b) 进行操作系统远程管理维护时,应设计终端接入方式(如RDP、SSH)、网络地址范围等条件限制终端登录:c) 应设计采用磁盘限额等方式限制单个用户对系统资源的最大使用限度。7.3.1.10 数据备份在数据备份方面,应设计操作系统及运行于操作系统之上的主站应用系统的定期备份机制,并定期或在操作环境发生变更时进行备份恢复测试。7.3.1.11 安全审计在安全审计方
21、面,要求如下:a) 应设计使用系统日志方式对用户行为、系统资源异常访问等重要安全事件进行审计:b) 应定期对操作系统日志进行审计并生成审计报表:c) 应设计审计进程保护机制,避免受到未预期的中断:d) 审计范围应覆盖到服务器管理员及用以访问主站系统的每个操作系统用户和数据库用户:e) 审计记录应包括事件的日期、时间、类型、用户、被访问的资源和操作结果等。7.3.2 数据库安全防护设计要求7.3.2.1 用户认证在用户认证方面,应对数据库管理用户设计采用两种或两种以上组合的鉴别技术实现用户身份鉴别,如采用用户名/口令与挑战应答、动态口令、生物识别技术和使用国网数字证书系统签发数字证书方式的身份鉴
22、别技术中的任意组合。7.3.2.2 制定用户安全策略在制定用户安全策略方面,要求如下:a) 应制定包括用户管理、口令管理的相关安全策略:b) 应针对用户访问需求,最小化分配数据库用户权限。7.3.2.3 安全审计在安全审计方面,应设计采用数据库内部审计机制或第三方数据库审计系统进行安全审计,并定期对审计结果进行分析处理。7.3.2.4 管理存储过程在管理存储过程方面,应限制对关键系统级存储过程的使用。7.3.2.5 数据传输加密在数据传输加密方面,要求如下:a) 宜设计采用组件模块对应用程序与数据库间跨网络传输的数据进行加密:b) 对于包含加密功能的数据库系统应设计启用加密功能。7.3.2.6
23、 数据备份在数据备份方面,应设计存储于数据库中的业务数据和数据库配置数据的定期备份机制,并在系统环境发生变化时进行备份恢复测试。7.3.2.7 数据库系统资源控制在资源控制方面,要求如下:a) 进行数据库远程配置管理时,应设计使用SSH、网络地址范围等条件限制终端登录:b) 应限制表空间与数据库文件的扩展极值。7.4 信息系统网络安全防护设计要求7.4.1 网络设备安全防护设计要求网络设备安全防护包括在国家电网公司基础网络及各安全域中提供网络运营支撑及安全防护的路由器、交换机、EPON/GPON、无线设备以及防火墙、安全网关等安全设备自身的安全防护。要求如5 Q/GDW 11347 -2014
24、 下:a) 各安全域的网络设备按该域所确定的安全域的等级,应参照GB/T22239-2008的网络设备安全防护要求,采用访问控制、安全加固、监控审计、身份鉴别、备份恢复、资源控制等措施,在设备安全接入、设备安全管理、设备弱点扫描、安全事件审计、配置文件备份、处理能力保证、设备链路冗余等方面进行网络设备安全防护设计:b) EPON安全防护设计应符合YD/T1771-2008相关要求,从设备、数据和网络三个方面进行安全防护设计。7.4.2 网络传输安全防护设计要求在网络传输安全防护方面,要求如下:a) 如使用电力调度数据网,应实现在专用通道上使用独立的网络设备组网,并在物理层面上实现与公司其他数据
25、网及外部公用数据网的安全隔离:b) 如使用电力企业数据网应实现虚拟VPN通道隔离:c) 如使用无线APN专网(信息内网第三方/控制区第三方),应对通道加密,并进行SIM卡绑定;d) 如使用第三方专线,应实现独立组网和通道加密:e) 如使用PSTN交换电话网,应实现通道加密:f) 如使用电力专线,应使用模拟信号链路。7.5 信息系统终端安全防护设计要求各类型终端的安全防护设计要求如下:a) 外网终端不应处理国家秘密和公司商业秘密信息,内网终端不应处理国家秘密信息:b) 对外网用户的社会大众终端应按照最小化原则对终端用户赋予适当的权限,防范终端的非法访问:c) 对作业类终端(外网)应采用终端安全加
26、固、安全接入网关和信息网络隔离装置,实现专机专用、访问控制和终端数据防泄漏:d) 对外网桌面终端应采用访问控制、病毒防护、恶意代码防护等措施保障桌面终端的安全:e) 对内网桌面终端应采用访问控制、病毒防护、恶意代码防护、可信补丁分发、安全专控软件、设备安全绑定等措施保障桌面终端的安全:f) 对专控类终端应实现专机专用和专有程序,必要时采用专用加密机实现数据保密传输:g) 对作业类终端(内网)应通过终端安全加固和安全接入平台实现终端入网绑定和终端安全管理,对使用无线通道的作业类终端应使用无线APN专网接入:h) 对采集类终端(内网)应通过终端安全加固、无线APN专网和安全接入平台实现终端入网绑定
27、和终端安全:i) 对控制类和采集类终端(调度)应通过纵向安全加密,实现数据安全加密传输和双向身份认证:j) 对维护类终端(调度)应通过安全拨号实现身份认证、访问控制和安全专控。7.6 信息系统应用安全防护设计要求7.6.1 身份鉴别7.6.1.1 单点登录在单点登录方面,应基于公司统一门户进行登录控制。7.6.1.2 认证方式6 在认证方式方面,要求如下:a) 应设计采用包括用户名、口令认证、证书认证、生物特征认证的认证方式:b)对等级保护三级及以上系统,应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。Q/GDW 11347 -2014 7.6.1.3 密码存储在密码存储方面,要
28、求如下:a) 禁止在数据库或文件系统中明文存储用户密码:b) 禁止在COOKIE中保存用户登录密码。7.6.1.4 密码传输在密码传输方面,禁止采用明文传输用户登录信息及身份凭证。7.6.1.5 密码安全策略在密码安全策略方面,要求如下:a) 应设计密码使用安全策略,包括密码长度、复杂度、更换周期等:b) 应提供用户密码复杂度检测功能。7.6.1.6 登陆失败处理在登陆失败处理方面,要求如下:a) 应设计统一错误提示,避免认证错误提示泄露信息:b) 应设计帐号锁定功能限制连续失败登录。7.6.1.7 其他在其他方面,要求如下:a) 应禁止同一帐号同时多个在线:b) 对外服务系统、等级保护三级及
29、以上系统,应设计图形验证码,增强身份认证安全。图形验证码要求长度至少4位,随机生成且包含字母与数字的组合。7.6.2 访问控制7.6.2.1 权限管理策略在权限管理策略方面,要求如下:a) 应设计资源访问控制方案,验证用户访问权限:b) 应授予不同帐户 为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系:c) 授权粒度尽可能小,可根据应用程序的角色和功能分类:d) 应设计在服务器端实现访问控制,禁止仅在客户端实现访问控制:e) 应设计统一的访问控制机制。7.6.2.2 关键资源访问控制在权限管理策略方面,要求如下:a) 应限制用户对关键资源的访问,如系统文件、注册表项、Activ
30、eDirectory对象、数据库对象、事件日志、配置管理页面等:b) 对等级保护三级及以上系统,应具有对重要信息资源设置敏感标记的功能:c) 对等级保护三级及以上系统,在访问关键资源前应进行权限检查。7.6.3 安全审计7.6.3.1 日志与审计功能在日志与审计功能方面,要求如下:a) 应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计:b) 应明确审计日志格式,如Syslog方式需给出syslog的组成结构、Snmp方式需同时提供MIB言息:c) 日志记录事件直包含以下事件:审计功能的启动和关闭:信息系统的启动和停止:配置变化:访问控制信息,如由于超出尝试次数的限制而引起的拒
31、绝登录,成功或失败的登录:用户权限的变更:用户密码的变更:用户试图执行角色中没有明确授权的功能:用户账户 的创建、注销、锁定、解锁:用户对数据的异常操作事件,包括不成功的存取数据尝试、数据标志或7 Q/GDW 11347 -2014 标识被强制覆盖或修改、对只读数据的强制修改、来自非授权用户的数据操作、特别权限用户的活动:d) 对等级保护三级及以上系统,应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。7.6.3.2 审计日志内窑在审计日志内容方面,安全要求:审计日志应包含如下内容:用户ID或引起这个事件的处理程序ID;事件的日期、时间(时间戳);事件类型:事件内容:事件是否成功:
32、请求的来源(如IP地址)。7.6.3.3 审计日志存储在审计日志存储方面,要求如下:a) 禁止将业务日志保存到WEB目录:b) 日志保存期限应与系统应用等级相匹配。7.6.3.4 审计日志传输在审计日志传输方面,应对业务日志记录进行数字签名来实现防篡改。7.6.3.5 审计日志访问控制在审计日志访问控制方面,要求如下:a) 对等级保护三级及以上系统,应保证无法单独中断审计进程:b) 应保证无法删除、修改或覆盖审计记录。7.6.4 通信完整性在通信完整性方面,应设计采用校验码技术或密码技术保证通信过程中的数据完整性。7.6.5 通信保密性在通信保密性方面,要求如下:a) 系统互联应仅通过通信接口
33、设备(前置机、接口机、通信服务器、应用服务器等设备)进行,不能直接访问核心数据库:b)通信接口设备上的应用宜只包含实现系统互联所必须的业务功能,不包含业务系统的所有功能;c) 其它系统访问本系统设备应首先进行通信接口安全认证:d) 通信过程中的敏感信息字段应采用符合国密局要求的密码算法进行加密:e) 应对各种收发数据、消息的日志都予以保存,以备审计与核对。7.6.6 软件窑错7.6.3.1 输入验证策略在输入验证策回各方面,要求如下:a) 应验证用户输入参数,包括HTTP请求消息字段,如包括GET数据、POST数据、COOKIE和Header数据等:b) 服务器端和客户端都应进行输入验证。7.
34、6.3.2 参数操作在参数操作方面,要求如下:a) 应避免使用包含敏感数据或者影响服务器安全逻辑的查询字符串参数,使用会话标识符来标识用户:b) 应加密关键查询字符串参数:c) 应使用安全可靠的用户检查方法,确保用户没有通过操作参数而绕过检查,防止最终用户可以通过浏览器地址文本杠操作URL参数:d) 应验证从客户端发送的所有数据,限制可接受用户输入的字段。7.6.3.3 异常管理8 Q/GDW 11347 -2014 在异常管理方面,要求如下:a) 应设计使用通用错误信息:b) 程序发生异常时,应在日志中记录详细的错误消息。7.6.3.4 SQL注入防护在SQL注入防护方面,应设计针对SQL注
35、入攻击的防护措施。如使用参数化的API接口并在服务端对特殊字符进行安全检查和过滤。7.6.3.5 命令注入防护在命令注入防护方面,应设计针对命令注入攻击的防护措施。如在服务端对特殊字符进行安全检查和过滤。7.6.3.6 上传文件漏洞防护在上传文件漏洞防护方面,应设计针对上传文件漏洞的防护措施。如限制上传文件的大小、类型等。7.6.7 配置管理7.6.7.1 配置安全策略在配置安全策略方面,要求如下:a) 配置管理功能应只能由经过授权的操作员和管理员访问:b ) 应避免进行远程配置管理。7.6.7.2 配置文件安全存储在配置文件安全存储方面,要求如下:a) 应避免在Web目录使用配置文件,以防止
36、可能出现的服务器配置漏洞导致配置文件被下载:b) 应避免以纯文本形式存储重要配置,如数据库连接字符串或帐户凭据:c) 应确保对配置文件的修改、删除和访问等权限的变更,都验证授权并且详细记录:d) 应通过加密确保配置的安全。7.6.8 会话管理7.6.8.1 新建会话在新建会话方面,要求如下:a) 用户登录成功后应为用户创建新的会话并释放旧会话:b) 新会话应具有一定的随机性与长度要求。7.6.8.2 会话数据存储在会话数据存储方面,要求如下:a) 应将重要会话数据存储在服务器端存储:b ) 应加密存储敏感会话数据。7.6.8.3 会话数据传输在会话数据传输方面,要求如下:a) 应对用户登录信息
37、及身份凭证加密后进行传输,如采用COOKIE携带会话凭证,应合理设置COOKIE的Secure、Domain、Path和Expires属性:b) 禁止通过HTTPGET方式传输会话凭证,禁止设置过于宽泛的Domain属性。7.6.8.4 会话数据销毁在会话数据销毁方面,要求如下:a) 应在用户注销时,及时删除服务器端会话数据:b ) 应在关闭浏览器时,提示用户安全登出或自动为用户执行安全登出。7.6.8.5 会话超时在会话超时方面,应合理地设置会话超时时间,超时后及时注销会话,清除会话数据。9 Q/GDW 11347 -2014 7.6.8.6 跨站请求伪造防护在跨站请求伪造防护方面,应对跨站
38、请求伪造进行防护,如:在执行关键系统操作时,使用一次性随机令牌。7.6.9 资源控制在资源控制方面,要求如下:a) 应能够对系统的最大并发会话连接数及单个账户的多重并发会话进行限制:b) 对等级保护三级及以上系统,应能够对一个时间段内可能的并发会话连接数进行限制:c) 对等级保护三级及以上系统,应提供服务优先级设定功能,并在安装后根据安全策略设定访问帐户或请求进程的优先级,根据优先级分配系统资源。7.7 信息系统数据安全防护设计要求7.7.1 数据完整性安全防护设计要求在数据完整性安全防护设计方面,应实现核心业务数据传输与存储过程中的完整性保护,并设计必要的数据恢复措施。7.7.2 数据保密性
39、安全防护设计要求在数据保密性安全防护设计方面,应采用力口密或其他有效措施实现核心业务数据传输与存储过程的保密性。7.7.3 备份和恢复设计要求备份与恢复要求如下:a) 应提供数据本地备份与恢复功能:b) 直根据信息系统的业务需求提供异地数据备份功能。10 Q/GDW 11347 -2014 附录A(规范性附录)国家电网公司信息系统安全防护设计步骤国家电网公司信息系统安全防护设计步骤见图A.1o图A.1 国家电网公司信息系统安全防护设计步骤11 Q/GDW 11347 -2014 附录B(规范性附录)国家电网公司信息系统安全防护设计框架国家电网公司信息系统安全防护设计框架见图B.lot丑态吗:1
40、电总R:然寄(:f:守.!.驾,剿A-A棚:胸口,如一-ul斟去叫完-u?.呗JJJ WMNMea-F刷刷u恤V翩翩给一一这a很.1l章:h:t:s;|叫jlj l征:| 依附: EE f;.句:j州附;传拎回公:!;!杖,王32 至3王5王EH 同Z拖欠:全窍字m-E刷刷品b咒ur一叫Hmm移mummkw-兰祸咄咄地mm町-.,.重:l.;,;吉;毛巴巴FJJJ -JJ-J -dy叩再叫叩月-泣、:叩、翩-u-BWWB段-EH】公zmu骂放阳.合二Etmk-mhmmh问-二HH.,二mmm苦四川在-zmej!J a俨titt-广tiltL-jjjjUjiji叩您只号吃金革)y.i立给我品生I
41、IIl.olll$.)、E, 恕司-;x: I 国家电网公司信息系统安全防护设计框架图B.112 Q/GDW 11347 -2014 附录C(规范性附录)国家电网公司信息系统安全防护设计模板C.1 物理安全防护设计模板C. 1. 1 室内机房物理环境安全防护设计模板,见表C.l表C.1室内机房物理环境安全防护设计模板设计要点是否遵从防护设计技术要求/不涉及机房位置选择遵从、部分遵从、强化、不涉及机房出入控制防盗窃和防破坏防雷击防火防水和防潮防静电温度湿度控制电力供应电磁防护C.1.2 室外设备物理环境安全防护设计,见表C.2表C.2室外设备物理环境安全防护设计设计要点是否遵从防护设计技术要求/
42、不涉及材质与结构安全遵从、部分遵从、强化、不涉及防盗、防破坏防火、放水、防风、防雷、防凝霜通风及电力供应电磁防护监控警告C.2 边界安全防护设计模板,见表C.3边界类型互联网边界表C.3边界安全防护设计模板是否遵从防护设计技术要求/不涉及遵从、部分遵从、强化、不涉及实现方式或增强措施描述实现安全防护要求的具体措施或增强的措施。实现方式或增强措施描述实现安全防护要求的具体措施或增强的措施。实现方式或增强措施描述实现安全防护要求的具体措13 Q/GDW 11347 -2014 施或增强的措施。表C.3C续)边界类型是否遵从防护设计技术要求/不涉及实现方式或增强措施信息外网横向域边界信息内外网边界信
43、息内网横向域边界安全区III与信息内网边界大区边界控制区和非控制区边界控制区与安全接入区边界信息内网纵向边界生产控制大区非实时子网纵向边界生产控制大区实时子网纵向边界信息外网纵向边界C.3 主机安全防护设计模板C.3.1 操作系统安全防护设计模板,见表C.4表C.4操作系统安全防护设计模板设计要点是否遵从防护设计技术要求/不涉及实现方式或增强措施操作系统安全加固遵从、部分遵从、强化、不涉及描述实现安全防护要求的具体措施或增强的措施。身份认证措施制定用户安全策略限制管理员权限使用访问控制第二方安全组件主机病毒防护弱点扫描更新安全补丁数据备份安全审计C.3.2 数据库安全防护设计,见表C.s表C.
44、5数据库安全防护设计设计要点是否遵从防护设计技术要求/不涉及实现方式或增强措施14 用户认证遵从、部分遵从、强化、不涉及表C.5(续)设计要点是否遵从防护设计技术要求/不涉及制定用户安全策略弱点扫描安全审计管理存储过程数据传输加密更新补丁数据备份C.4 网络安全防护设计模板C.4.1 网络设备安全防护设计模板,见表C.6表C.6网络设备安全防护设计模板设计要点是否遵从防护设计技术要求/不涉及设备安全接入遵从、部分遵从、强化、不涉及设备安全管理设备弱点扫描安全事件审计配置文件备份处理能力保证设备链路冗余C.4.2 网络传输安全防护设计模板,见表C.7表C.7网络传输安全防护设计模板网络通道是否遵
45、从防护设计技术要求/不涉及电力调度数据网遵从、部分遵从、强化、不涉及无线APN专网PSTN交换电话网电力企业数据网第三方专线Q/GDW 11347 -2014 描述实现安全防护要求的具体措施或增强的措施。实现方式或增强措施实现方式或增强措施描述实现安全防护要求的具体措施或增强的措施。实现方式或增强措施描述实现安全防护要求的具体措施或增强的措施。15 Q/GDW 11347 -2014 C.5 终端安全防护设计模板终端安全防护设计模板,见表C.8终端类型社会大众终端作业类终端(外网)外网桌面终端内网桌面终端专控类终端作业类终端(内网)采集类终端(内网)控制类和采集类终端(调度)维护类终端(调度)
46、C.6 应用安全防护设计模板C.6.1 身份鉴别,见表C.9设计要点单点登录认证方式密码存储密码传输密码安全策略登录失败处理其他C.6.2 访问控制,见表C.I0设计要点权限管理策略关键资源访问控制C.6.3 安全审计,见表C.ll16 表C.S终端安全防护设计模板是否遵从防护设计技术要求/不涉及遵从、部分遵从、强化、不涉及表C.9身份鉴别是否遵从防护设计技术要求/不涉及遵从、部分遵从、强化、不涉及表C.10访问控制是否遵从防护设计技术要求/不涉及遵从、部分遵从、强化、不涉及实现方式或增强措施描述实现安全防护要求的具体措施或增强的措施。实现方式或细化措施描述实现安全防护要求的具体措施或增强的措
47、施。实现方式或细化措施描述实现安全防护要求的具体措施或增强的措施。设计要点日志与审计功能设计要点审计日志内容审计日志存储审计日志传输审计日志访问控制C.6.4 通信完整性,见表C.12设计要点数据校验密码技术C.6.5 通信保密性,见表C.13设计要点明确交互系统接口方式安全设计C.6.6 软件窑错,见表C.14设计要点输入验证策略SQL注入防护跨站脚本防护命令注入防护上传文件漏洞防护参数处理异常处理C.6.7 配置管理,见表C.lS表C.11安全审计是否遵从防护设计技术要求/不涉及遵从、部分遵从、强化、不涉及表C.11(续)是否遵从防护设计技术要求/不涉及表C.12通信完整性是否遵从防护设计
48、技术要求/不涉及遵从、部分遵从、强化、不涉及表C.13通信保密性是否遵从防护设计技术要求/不涉及遵从、部分遵从、强化、不涉及表C.14软件窑错是否遵从防护设计技术要求/不涉及遵从、部分遵从、强化、不涉及Q/GDW 11347 -2014 实现方式或细化措施描述实现安全防护要求的具体措施或增强的措施。实现方式或细化措施实现方式或细化措施描述实现安全防护要求的具体措施或增强的措施。实现方式或细化措施描述实现安全防护要求的具体措施或增强的措施。实现方式或细化措施描述实现安全防护要求的具体措施或增强的措施。17 Q/GDW 11347 -2014 设计要点配置安全策略配置文件安全存储C.6.8 会话管
49、理,见表C.16设计要点新建会话会话数据存储会话数据传输会话数据销毁会话超时资源控制跨站请求伪造防护C.6.9 资源控制,见表C.17设计要点井发会话连接数限制多重并发会话限制C.7 数据安全防护设计模板C. 7.1 数据完整性安全,见表C.18设计要点数据传输完整性保护数据存储过程完整性保护C. 7.2 数据保密性安全,见表C.19设计要点数据传输保密性保护数据存储过程保密性保护C. 7.3 备份和恢复安全,见表C.2018 表C.15配置管理是否遵从防护设计技术要求/不涉及遵从、部分遵从、强化、不涉及表C.16会话管理是否遵从防护设计技术要求/不涉及遵从、部分遵从、强化、不涉及表C.17资
50、源控制是否遵从防护设计技术要求/不涉及遵从、部分遵从、强化、不涉及表C.18数据完整性安全是否遵从防护设计技术要求/不涉及遵从、部分遵从、强化、不涉及表C.19数据保密性安全是否遵从防护设计技术要求/不涉及遵从、部分遵从、强化、不涉及实现方式或细化措施描述实现安全防护要求的具体措施或增强的措施。实现方式或细化措施描述实现安全防护要求的具体措施或增强的措施。实现方式或细化措施描述实现安全防护要求的具体措施或增强的措施。实现方式或细化措施描述实现安全防护要求的具体措施或增强的措施。实现方式或细化措施描述实现安全防护要求的具体措施或增强的措施。设计要点数据本地备份与恢复数据异地备份与恢复表C.20备
浙ICP备2021020529号-1 | 浙B2-20240490 
