1、 XX电力信息网络安全防护系统设计方案 目 录1. 引言31.1信息安全体系建设的必要性31.2解决信息安全问题的总体思路31.3XX电力公司信息网安全防护策略41.3.1 XX电力公司总体安全策略41.3.2 XX电力信息安全总体框架51.3.3 防护策略51.3.3.1对网络的防护策略51.3.3.2对主机的防护策略61.3.3.3对邮件系统的防护策略61.3.3.4 对终端的防护策略62. 设计依据72.1 信息安全管理及建设的国际标准ISO-1779973. XX电力信息网安全现状73.1 管理安全现状73.2 网络安全现状83.3 主机及业务系统安全现状93.4 终端安全现状114建
2、设目标135安全区域的划分方案135.1网络安全域划分原则135.2网络区域边界访问控制需求145.3边界网络隔离和访问控制165.3.1区域边界的访问控制165.3.2敏感区域边界的流量审计165.3.3敏感区域边界的网络防入侵及防病毒166XX电力信息网防火墙部署方案176.1省公司防火墙和集成安全网关的部署176.2地市公司防火墙和集成安全网关的部署216.3 技术要求237XX电力信息网网络防病毒方案247.1 XX电力防病毒软件应用现状247.2企业防病毒总体需求247.3功能要求257.4XX电力网防病毒系统整体架构和管理模式267.4.1采用统一监控、分布式部署的原则267.4.
3、2部署全面的防病毒系统287.4.3病毒定义码、扫描引擎的升级方式297.5网络防病毒方案307.6防病毒系统部署308入侵检测/入侵防护(IDS/IPS)方案348.1网络入侵检测/入侵防护(IDS/IPS)348.2网络入侵检测/入侵保护技术说明358.2.1入侵检测和入侵保护(IDS/IPS)产品的功能和特点358.3入侵检测/入侵防护(IDS/IPS)在公司系统网络中的部署399内网客户端管理系统419.1问题分析与解决思路419.1.1 IP地址管理问题419.1.2 用户资产信息管理问题429.1.3软硬件违规行为监控439.1.4网络拓扑查看与安全事件定位困难439.1.5 缺乏
4、完整的用户授权认证系统449.2系统主要功能模块449.3内网管理解决方案459.4方案实现功能459.4.1 IP地址管理459.4.2客户端管理459.4.3系统管理4712安全产品部署总图和安全产品清单表491. 引言1.1信息安全体系建设的必要性随着电网的发展和技术进步,电力信息化工作也有了突飞猛进的发展,信息网络规模越来越大,各种信息越来越广泛。然而,随之而来的信息安全问题也日益突出。电力工业作为我国国民经济的基础产业和公用事业,电力系统的安全运行直接关系到国民经济的持速发展和满足人民生活的需要,信息安全已成为电力企业在信息时代和知识经济新形势下面临的新课题,电力信息网络与信息的安全
5、一旦遭受破坏,造成的影响和损失将十分巨大。近年以来,在互联网上先后出现的红色代码、尼姆达、蠕虫、冲击波等病毒造成了数以万计的网站瘫痪,对电力信息系统的应用造成了较大不良影响。公司按照建设“一强三优”电网公司的发展战略,为实现“安全基础扎实、管理层次清晰、内部运作规范、企业文化鲜明、社会形象诚信”的企业共同愿景,公司的信息化发展步伐不断加快。计算机网络已覆盖全省各市、县公司,实现了信息共享和快速传递。省、市公司的用户数已达一万多个,各类应用200多个,省公司层面经营管理类数据达2000G字节,网络、信息系统已成为公司生产、经营和管理的重要支撑平台。企业的应用要求网络与信息系统具有高可靠性、高可用
6、性、高安全性,但类似网络病毒导致信息网络部分瘫痪、内外部攻击致使应用服务中断等事件时有发生,实际上还有其它一些未发现的或未产生后果的威胁,直接影响着省公司系统的信息安全,XX电力系统信息安全体系建设已迫在眉睫。1.2解决信息安全问题的总体思路当前我国已把信息安全上升到国家战略决策的高度。国家信息化领导小组第三次会议确定我国信息安全的指导思想:“坚持积极防御、综合防范的方针,在全面提高信息安全防护能力的同时,重点保障基础网络和重要系统的安全。完善信息安全监控体系,建立信息安全的有效机制和应急处理机制。” 这就引出等级保护的概念,必须区分重要程度不同的应用系统,并据此将保护措施分成不同的等级,而从
7、国家层面,必须将那些关系到国家经济发展命脉的基础网络圈定出来,加以重点保护,这就是“重点保障基础网络和重要系统的安全”思路。 这一思路蕴涵了“适度”信息安全的概念。“适度”实际体现了建设信息安全的综合成本与信息安全风险之间的平衡,而不是要片面追求不切实际的安全。所谓信息安全,可以理解为对信息四方面属性的保障,一是保密性,就是能够对抗对手的被动攻击,保证信息不泄露给未经授权的人;二是完整性,就是能够对抗对手的主动攻击,防止信息被未经授权的篡改;三是可用性,就是保证信息及信息系统确实为授权使用者所用;四是可控性,就是对信息及信息系统实施安全监控。按照ISO17799信息安全标准、国家计算机网络安全
8、规定及国网公司相关规定,信息安全体系的建设应包括两个方面的内容:安全技术防护体系、安全管理体系。技术防护体系包括网络和应用系统的安全防护基础设施和相关的监视、检测手段;安全管理体系主要包括组织、评估、方法、改进等管理手段。信息安全体系建设的方法是:在全面的安全风险评估的基础上,对信息资产进行安全分类定级,针对信息系统存在的安全隐患和威胁,提出信息系统安全整体规划,分步实施,循环改进。结合当前我司信息系统的安全现状和急待解决的问题,我们提出我司的信息安全体系建设的总体思路:针对企业信息化应用的需求,建立电力信息系统安全保障的总体框架,确定电力信息系统安全策略,以指导电力信息系统安全技术体系与管理
9、系统的建设。在逐步引入先进实用的信息安全技术和手段的基础上,开展信息系统安全评估活动,建立完善的安全技术体系。同时,逐步建立健全公司信息安全组织机构,逐步落实各项信息安全管理制度,广泛开展信息安全教育,提高系统全员信息安全意识,构造规范化的安全管理体制和机制,以期建立完善的信息安全管理体系,并培养一支技术较强的人才队伍。按照统一规划、分步实施的原则,本方案为XX电力公司信息网络的安全防范基础设施的初步设计。1.3XX电力公司信息网安全防护策略1.3.1 XX电力公司总体安全策略企业的信息安全策略是企业信息安全工作的依据,是企业所有安全行为的准则。信息安全是围绕安全策略的具体需求有序地组织在一起
10、,构架一个动态的安全防范体系。XX电力的总体安全策略如下:1、 建立信息安全组织机构、健全各种规章制度,注重管理。2、 信息安全风险防范侧重企业内部,尤其是核心设备、核心网段的安全防范。3、 统一规划、部署、实施企业互联网对外的接口及安全防范。4、 合理划分网络边界,做好边界的安全防护;合理划分安全域,实现不同等级安全域之间的隔离。5、 制定完善的备份策略,保障系统及数据的安全。6、 充分利用现有的安全设施,发挥其安全功能。7、 建立完善的监控平台和快速的响应体系,及时的发现和解决出现的问题。8、 采用数据安全技术保障实施,确保数据安全。1.3.2 XX电力信息安全总体框架1.3.3 防护策略
11、1.3.3.1对网络的防护策略包括主动防护和被动防护两方面,主动防护即采用入侵检测工具,自动对网络上进出的数据包进行检测,分辩出非法访问并阻断报警。被动防护即采用防火墙设备,置于网络出口处,并事先设定一定的规则,规定符合哪些条件的数据可以进出,其它的则一律阻断不让其通过。从而主动防护与被动防护结合,达到对网络的防护,也以此形成对小型机、服务器、PC机等各类资源的基础性防护。1.3.3.2对主机的防护策略主机上运行的是公司系统核心业务,存储的是各类重要数据,一旦此类机器出现问题,将会给公司系统日常业务的正常开展造成冲击和损失,所以必须对其采取进一步的、更加严格的防护措施,具体在实践中,就要对主机
12、进行漏洞扫描和加固处理,即不定期用扫描工具对关键主机进行扫描,及时发现包括操作系统、数据库系统、应用系统在内的各类漏洞缺陷,通过安装补丁程序予以弥补,同时安装防篡改、注册表锁定等加固软件和身份认证系统,从而使主机主动拒绝非法访问,自身具备较强的安全防护能力,抗御各类攻击行为。1.3.3.3对邮件系统的防护策略经过多年的建设和推广应用,省电力公司已把基于Lotus Notes的办公自动化系统全面推广到省、市、县各级供电企业,实现了公文在网上办理和传递。公司系统的员工都开设了个人邮箱。所有公文流转信息都会发送到员工的个人邮箱。同时这些邮箱又都具备发送和接受外网邮件的能力。近年来,由于病毒的泛滥和快
13、速传播,省公司的邮件系统每天不可避免地收到大量的垃圾邮件和携带病毒的邮件,邮件中的病毒又在局域网上快速传播,严重地威胁网络和信息安全。为保障网络和信息系统安全运行,需要部署专用的反垃圾邮件系统和病毒过滤系统保护省公司邮件系统的安全运行。1.3.3.4 对终端的防护策略终端的安全防护是网络与信息安全防护的重要内容,其主要防护措施是:1、 安装防病毒软件并及时更新。2、 加强管理,杜绝与业务无关软件的安装使用,控制使用软盘、光盘驱动器。3、 终端行为管理: 网络安全问题在很多情况下都是由“内部人士”而非外来黑客所引起,在公司系统普遍存在着如下的问题:缺乏完整的内部安全防护体系;网络安全管理的基础工
14、作较薄弱,各类网络基础信息采集不全;存在一机多网和一机多用的可能性;外围设备的接入控制困难;难以监控用户对计算机的使用情况。因此迫切地需要一种高效完整的网络管理机制来监测、控制整个内网的资源和服务,使整个网络运行稳定可靠,从而保证整个内网的可信任和可控制。4、 软件更新服务系统(SUS):目前大部分病毒,像尼姆达(一种利用系统漏洞的蠕虫病毒)是利用微软的系统漏洞进行传播的,而微软对大部分的漏洞及时提供了相应的补丁程序,但由于用户未及时打补丁更新系统而导致数以万计的 Windows 系统受到攻击。因此需要一套软件更新服务系统(SUS)来为主机提供补定程序,并及时自动更新系统。2. 设计依据2.1
15、 信息安全管理及建设的国际标准ISO-17799 ISO 17799 管理体系将IT策略和企业发展方向统一起来,确保IT资源用得其所,使与IT相关的风险受到适当的控制。该标准通过保证信息的机密性,完整性和可用性来管理和保护组织的所有信息资产,通过方针、惯例、程序、组织结构和软件功能来确定控制方式并实施控制,组织按照这套标准管理信息安全风险,可持续提高管理的有效性和不断提高自身的信息安全管理水平,降低信息安全对持续发展造成的风险,最终保障组织的特定安全目标得以实现,进而利用信息技术为组织创造新的战略竞争机遇。3. XX电力信息网安全现状3.1 管理安全现状参考相关信息安全相关标准中的安全管理策略
16、要求,根据XX电力内网信息系统安全运维的需求,对XX电力内网信息系统安全组织、人员管理、安全管理、运维管理、监测管理、备份管理、应急管理、文档管理方面进行了调查分析,对XX电力内网信息系统安全管理现状描述如下:n 安全组织方面:已有信息安全管理组织,有专职信息安全人员。信息安全专职人员负责组织内部与各相关单位的信息安全协调沟通工作。 n 人员管理方面:XX电力内网信息系统已有明确的岗位责任制,技术人员在信息系统建设和日常维护过程中认真履行职责。已有执行外来人员管理策略,外来公司人员进入机房实施操作时,有XX电力内网信息系统工作人员全程陪同。n 安全管理方面:有明确的安全管理要求与措施。没有及时
17、安装相应系统补丁,禁止安装与工作无关的软件;缺乏完备信息安全事件报告制度。n 运维管理方面:有具体明确的系统运行要求,日常故障维护,对故障现象、发现时间、检查内容、处理方法、处理人员、恢复时间等进行详细记录。n 监测管理方面:有明确的监测目标,在网络检测方面,利用入侵检测来实时监测,但没有定时查看相关记录和维护,并做出响应;在防病毒方面,利用防病毒系统来实时对病毒进行检测和防护。n 应急管理方面:有明确的应急管理策略,实施工作主要有运维人员及服务提供商承担。n 密码管理方面:有明确的密码管理实施办法,但缺乏定期修改密码及密码保存办法。n 备份管理方面:有明确的备份管理策略,也制定了相关的备份办
18、法。文档管理方面:有明确的技术文档管理制度,但技术文档资料缺乏登记、分类、由专人保管,同时也缺乏技术文档资料的使用、外借或销毁的审批登记手续。3.2 网络安全现状XX电力的网络拓扑现在如下图所示:当前网络骨干区域,基本形成以一台H3C S7506为核心,多台H3C S7503为汇聚接入的架构。但核心交换机H3C S7506同时兼具远程接入区多条专线接入设备的任务,中间没有汇聚设备,网络逻辑层次结构较为模糊。不利于网络的扩展建设,更不利于安全域边界的整合,无法实施集中统一的安全防护策略。除互联网接入区外,当前网络各区域均为单链路、单设备。网络单点故障隐患很大。任意节点设备、链路的故障,或因维护的
19、需要停机重启,均会造成相应区域网络的通讯中断,造成重要影响。当前网络中,在服务器区部分、管理支撑区、远程接入区,玉溪烟厂生产网办公网部分均存在区域划分不清晰,边界模糊的情况。安全域划分不清晰,区域边界未整合,不利于日常的安全管理,无法实施集中统一的安全区域防护策略。服务器区域 H3C设备 FWSM防火墙处于策略全通状态,无法起到应有的访问控制功效,让所有服务器直接暴露在办公网中。部分远程接入区域链路、IT运营中心等,同样存在缺乏防火墙等设备,无法实施基本的网络访问控制,无法有效防护重要资产设备。当前网络中缺乏必要的入侵检测/防御手段,特别在核心交换机、内网服务器区、DMZ服务器区。无法实施网络
20、流量的实时监控分析,进行恶意行为的告警响应,无法及时发现并处理安全事件。全网缺乏一套集中的安全运营管理中心,无法集中监控各网络设备、安全设备、主机及业务的安全运行情况,收集日志信息,集中存储、关联分析和展现。同时,无法及时掌握全网的安全态势,及时做出分析判断,影响安全事件的响应处理效率。内网服务器区、DMZ服务器区缺乏业务审计设备,无法记录关键的业务、维护操作行为。出现安全事件时,无法通过审计设备进行操作行为的跟踪分析,及时查找原因。当前网络设备安全相关策略大多采用默认配置,自身存在较多安全隐患,在一些恶意的人为因数下,可能造成网络设备运行不正常,甚至网络局部区域通讯中断。3.3 主机及业务系
21、统安全现状当前系统中的主机及应用系统欠缺较多的补丁,存在较多的高风险漏洞。攻击者可以通过一些简易工具或技术手段,入侵主机,提升权限,进行后续的破坏活动。XX电力部分业务系统主机和数据库帐号存在弱口令现象,包括用户名和口令一致、空口令、通用默认口令、极易猜测的简单数字等。弱口令可以使恶意用户直接或者通过简单扫描工具,即可获取用户帐号和密码,可以直接访问系统,甚至获取系统管理员帐号和密码,完全控制该系统。如果系统被攻击,对XX电力业务的正常运行造成很大的影响。帐号口令管理方面,当前所有UNIX类主机采用默认配置,没有启用帐号相关安全属性控制,没有对口令的复杂度、有效期、更新密码周期等进行统一约束。
22、帐号口令安全策略设置不严格,用户口令容易遭到猜测或字典攻击成功,进而使系统容易被非法操纵。用户登录管理方面,当前所有UNIX类主机采用默认配置,未启用root直接登陆控制、终端登陆控制、登陆会话时间限制、SU权限控制等登录安全管理策略。用户登陆安全策略设置不严格,容易造成恶意用户越权滥用,非法操作,root特权使用缺乏监控审计,给系统造成影响破坏。当前绝大部分主机采用默认配置,开放有SNMP服务,并且没有修改缺省的SNMP共同体字符串。而已攻击者通过SNMP可以获取远程操作系统的类型和版本、进程信息、网络接口信息等敏感信息。这可能使攻击者可以准确了解远程主机的系统信息,更有针对性的发起攻击。当
23、前大部分主机,包括部分对公网提供服务的主机的OpenSSH版本较老,暴露有较多缓冲区溢出漏洞。恶意攻击者通过上述漏洞,可以发起拒绝服务攻击或执行任意代码,控制主机,给业务系统造成严重影响。当前多数主机系统中开放有危险的R系列服务,建立有较多主机间的信任关系。用户可使用rlogin直接登录而不需密码,还可使用rcp、rcmd等命令,方便用户操作。R系列服务有一定的安全性风险,在当前环境中,容易被仿冒,无需口令即可直接访问授信主机,造成系统越权访问。当前绝大多数主机采用默认配置,开放有危险且不必须的TCP Small Service和UDP Small Service。包括echo、diacard
24、、chargen、talk等。每一种网络服务都是一个潜在的安全漏洞,也就是一个攻击者可能会进入的地方。开放TCP/UDP小服务可能拒绝服务攻击、系统入侵等危害。当前绝大多数主机采用默认配置,开放有危险的RPC服务,包括rstatd、rusersd、rwalld等。RPC系列服务可能造成系统信息泄露,为恶意攻击者的进一步行动提供有用信息。当前大多数主机开放有Sendmail服务,Sendmail服务自身存在较多风险漏洞。非邮件服务器无需运行Sendmail服务。恶意攻击者利用Sendmail服务漏洞容易获取系统权限,或用来发送垃圾邮件。前部分提供Web访问的系统(包括外网网站等)采用的Apach
25、e服务器版本较低,存在多处缓冲区溢出漏洞。恶意攻击者可以利用这个漏洞进行缓冲区溢出攻击,可能以Apache进程权限在系统上执行任意指令或进行拒绝服务攻击。当前大部分主机和应用系统采用默认的Syslog日志配置。未配置集中的外部日志服务器系统,进行统一的收集、存储和分析。不能及时有效地发现业务中的问题以及安全事件,不利于安全事件的跟踪分析。渗透测试检查发现,XX电力外网网站存在两处高风险的SQL注入漏洞。利用SQL注入点1,可进行数据库信息猜测、数据表猜测、表空间猜测,进而获取整个数据库的信息,任意查看和修改。利用注入点2可以获得任意注册会员的帐号和密码信息,以及会员的邮件地址、身份证、真实名字
26、等敏感信息。同时还检查出,外网网站存在可上传任意文件、跨站脚本攻击两处高、中风险漏洞。外网网站作为XX电力的对外门户网站系统,是对外宣传、信息发布的重要途径,日均访问量很大。恶意入侵者利用上述漏洞,极易造成网站系统重要数据信息泄密,网站页面破坏、篡改、挂马等危害,严重影响用户的正常访问,造成用户感染病毒木马。渗透测试检查发现,内网网站存在两处高风险漏洞,可以获取所有用户的口令和其它敏感信息。同时还存在暴露系统绝对路径、可以查看任意短消息列表内容。内网网站是公司内部信息发布的主要途径,采用邮件系统的帐号口令进行认证,通过上述漏洞,恶意攻击者可以获取所有用户帐号的口令,登录内网网站、登录邮件系统,
27、造成信息泄密、篡改、破坏等危害。3.4 终端安全现状目前XX电力安全方针策略不够清晰明确。由于安全目标方针不明确,导致全员不能清晰领悟安全的重要性,安全思想不能得到有效贯彻落实。各部门执行安全的方向不统一。安全方针不统一,会经常出现安全行动不统一,安全意识不明确的现象。XX电力没有建立完善的安全管理策略制度。制度不完善导致执行安全工作时不能遵循统一的策略,导致因误操作或因不规范导致的问题发生。可能会出现由于制度流程不完善导致的信息泄密、网络系统瘫痪等管理制度不全面,未能覆盖包括第三方人员管理、桌面系统管理、系统开发等方面,导致相关操作无规范。当前XX电力成立了信息安全工作领导小组,但小组成员基
28、本以各级领导为主,专业安全人员只有一人,不能满足日常安全管理工作需要。并且系统维护人员同时负责此系统的安全运行,目前的编制已经很难满足日常安全管理的需要,因此信息安全的具体执行工作难以得到有效的开展。安全岗位职责未设置AB角色,一人负责,一旦发生人员调离或其它意外导致系统全面瘫痪。没有建立完善信息安全考核体系,导致员工不能严格执行各项信息安全规章制度。各级员工普遍信息安全意识不强,导致员工对信息安全的内容、管理目标等没有明确的认识与理解,不能在日常工作中主动地贯彻各项信息安全制度、规范及标准。XX电力尚未实施针对非专业安全人员的安全培训计划安全培训跟不上导致专业人员和普通员工安全技术缺乏,安全
29、意识薄弱。当前情况下,备份介质大多存放在机房内或办公区域中。同时没有针对可移动介质的管理制度。没有介质销毁制度。重要软件或其它资产(如密码本)存放在机房内,可能会导致容易使内部较易获取或破坏资产;重要资产存放在办公区域内,很容易被外来人员进行有意或无意的攻击。目前按部门的划分来保护资产,将资产进行了一些简单分类。软件资产无详细登记,也未将资产划分安全等级。不能对重点资产进行重点保护。尚未制定相应的访问权限与控制的流程与职责,总部和各分厂在处理第三方访问权限时没有统一的标准与规范;对第三方的监控缺少标准与技术手段,各单位基本没有在第三方访问时实施有效的监控;在第三方合作完成后,不能及时的注销访问
30、权限、修改口令,存在第三方继续访问获得机密信息或者进行非法操作的风险。当前XX电力缺乏系统规范的应急响应预案。缺乏相应的制度流程,导致系统遭受篡改或无法使用时,对公司的管理运营具有轻微影响。缺乏系规范的桌面系统安全管理规范,终端人员操作水平不一致,安全意识不足可能会导致桌面系统的病毒蠕虫事件,以至于网络瘫患;移动硬盘的无规范使用,不仅会导致病毒泛滥,而且容易将信息泄露或数据破坏及丢失。建设过程中没有同步考虑系统功能和安全性。立项管理阶段:项目前期过程中对安全的考虑不够完整,主要包括信息安全目标定义不明确,初步安全控制方案存在控制不足的情况,项目预算调减时导致安全控制被消减;实施管理阶段:缺少统
31、一的安全需求分析方法、基本保护要求以及安全验收测试,导致在建系统的安全控制方案不能有效地实现安全目标,开发过程中对开发人员控制不够,使得项目过程文档和内部敏感信息外流;验收管理阶段:缺乏系统运维计划,包括备份恢复计划、应急预案,有的系统是上线运行后。4建设目标本期信息网安全建设达到以下目标: 通过防火墙和入侵检测/防护系统的部署,构建网络边界防护,将内部网络与其他网络进行隔离,避免与外部网络的直接通讯,保证网络结构信息不外泄; 对各条链路上的服务请求做必要的限制,使非法访问不能到达主机; 通过防病毒系统的部署,建立完整的系统防病毒体系,防止病毒的侵害; 通过客户端管理系统的部署,建立客户端资源
32、、行为的必要控制,以及补丁及时分发,减少内网用户的不安全因素; 通过省公司本部安全监管平台的部署,初步实现安全事件集中监视和分析,为下一步建设全省信息安全体系打下基础。5安全区域的划分方案5.1网络安全域划分原则安全域是指网络系统内包含相同的安全要求,达到相同的安全防护等级的区域。网络安全域设计遵循以下原则:1、 内部网络结构层次分明,便于网络隔离和安全规划。2、 网络结构具备高可靠性和高可用性。3、 不同的网段在交换机上划分不同虚拟局域网(VLAN),不同虚拟局域网(VLAN)之间的路由设置访问控制表(ACL)。4、 地址规划应便于路由汇总以方便路由管理、提高路由广播效率以及简化ACL配置。
33、5、 边界和内部的动态路由协议应尽量启用认证,用来防止路由欺骗,否则高明的黑客可以通过发送恶意的路由更新广播包,使得路由器更新路由表,造成网络瘫痪和路由旁路。6、 所有对网络设备的维护管理启用更可靠的认证。7、 交换机的第三层模块(L3模块)或防火墙配置访问控制表(ACL)。8、 路由器设置反地址欺骗检查。对于路由器,外出(Outbound)接收包的源地址只可能是外部地址,不可能是内部地址,同样进入(Inbound)接收包的源地址只可能是内部地址,不可能是外部地址,这样能防止黑客利用策略允许的内部或外部地址进入网络。9、 启用路由反向解析验证,这在某种程度上牺牲了一定的网络性能,但能有效阻止随
34、机源地址类型的攻击,如同步攻击等(SyncFlood)。10、 路由器过滤所有来自外部网络的源地址为保留地址的数据包。11、 所有提供简单网络管理协议(SNMP)服务的设备(路由器、交换机、计算机设备等)的共用组名(Community Name)不能使用缺省,要足够复杂,并且统一管理。全省按如下网络安全域进行划分:1、 整个省公司划分为四个大的安全域:内部办公区,DMZ(对外业务区),电力信息网区(对内业务区),若干外联网区域(Internet,第三方接入等);2、 各安全域之间通过防火墙进行隔离,在防火墙上按照网络应用的需求进行访问策略的设置;3、 外网服务器区(DMZ)的网站、邮件、应用(
35、Web,Mail,Application)服务器通过网络地址转换(NAT)等,对Internet提供服务;4、 电力信息网区的服务器通过防火墙与内部办公区,DMZ区进行通信,对内提供系统应用;内部办公区视需求进行虚拟局域网(VLAN)的进一步划分,由交换机的第三层模块(L3模块)进行虚拟局域网(VLAN)划分和访问控制表(ACL)控制或通过防火墙模块进行各虚拟局域网(VLAN)之间的安全控制。 5.2网络区域边界访问控制需求根据目前公司系统的实际网络状况,在公司系统网络环境中,区域边界主要有以下几个:互联网与电力信息网的连接边界,电力信息网内各本地局域网与广域网的连接边界,电力信息网与华东电网
36、的连接边界,电力信息网与国家电网的连接边界,各地市公司与县公司的连接边界,各地市公司与银行的连接边界。根据网络安全建设的原则,安全等级低的系统应该与安全级别高的系统进行有效隔离,避免将两者混杂,从而直接降低了高安全级别系统的安全性。安全仅仅依靠操作系统和数据库管理系统权限控制功能。这是远远不够的,任何一个位于该网络中的客户终端,都可能是一个潜在的对关键服务器的威胁点。因此,首先必须将所有这些服务器按重要等级和国家经贸委划定的“安全区域”进行分级,其次在科学合理分级的基础上,采用有效的网络隔离措施,隔离这些不同安全等级的服务器,并进行有效的访问控制。网络隔离的目的最主要的就是要完成网络层访问控制
37、的功能。经常存在的网络滥用现象本身就是因为缺乏有效的访问控制手段所导致的。从安全的角度来说,应该遵循“最小授权”原则: 一个实体应该而且只应该被赋予它完成正常功能所需的最小权限。而在我们的实际网络运营中,往往忽略了这一原则,任何一个在网络上活动的普通用户,经常会拥有过多的访问权限。一个用户本来仅仅只需要访问服务器的WEB服务,但是由于缺乏有效的网络层隔离与访问控制机制,这个用户其实拥有对该服务器一切网络服务访问的权限。这种违反“最小授权”的情况事实上经常被人忽略,从而导致了在特定的情况下安全事件的产生,造成了严重的后果。常见的网络层访问控制主要是基于IP和端口来进行。对公司系统来说仅仅基于这样
38、的网络层访问控制是不够的。因为往往客户端的IP地址是采用动态分配,很难将某个IP地址与特定用户绑定起来。因此需要通过MAC地址对用户网络层的访问进行控制。访问控制在多个网络协议层面都是一个必要的安全机制。对重要应用系统来说,其访问控制要求更为细致,但网络层的访问控制是基础,如果在网络通讯层面以及操作系统层面都不能保证严格有力的访问控制,应用层面的控制是没有意义的。所以,首先必须实施全面的区域边界网络隔离与访问控制技术。5.3边界网络隔离和访问控制为了有效保证同一网络区域内实行相同的安全策略,避免违背安全策略的跨区域访问(如严格禁止从Internet对XX电力专网的直接访问),方案采用如下措施进
39、行区域边界防护。5.3.1区域边界的访问控制防火墙技术是目前最成熟,应用最普遍的区域边界访问控制技术。它通过设置在不同网络区域(如可信任的企业内部网和不可信的公共网)或网络安全域之间来实施安全策略。它是不同网络或网络安全域之间信息的唯一出入口,能根据安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。 区域边界的防火墙控制技术在上述所有边界均加以实施。5.3.2敏感区域边界的流量审计此处的敏感区域边界,主要指安全性相对较高和安全性相对较低网络之间的连接区域边界,具体到省公司信息系统而言即为Internet与信息网系统
40、的连接边界,信息网系统与国网公司、华东电网、县公司及银行的网络连接边界。对于这些边界的控制,仅仅使用防火墙策略是不够的。由于敏感区域边界间安全性差别较大,极易出现安全问题,所以应对跨区域的流量进行完全审计,便于日后的审查需要。5.3.3敏感区域边界的网络防入侵及防病毒除了在敏感区域边界间实施流量审计这种被动审计技术外,还应建立主动入侵防御机制,动态响应跨区域的入侵,这种动态响应技术即为入侵检测和病毒防护技术。因为,从安全角度来说,当前新兴的病毒威胁已具有相关黑客入侵特征,二者的结合防护不可或缺。上述三种技术在进行区域边界防护时可互为补充,相辅相成。从工程角度来说,最好能将三种技术集成在一个产品
41、里,以提供安全功能的集合,一方面便于实施,另一方面便于后期维护和管理。6XX电力信息网防火墙部署方案 在Internet与互联网内容发布平台之间和互联网内容发布平台与电力信息网之间部署具有防火墙、安全审计、入侵防护和病毒防护等综合功能的安全产品。虽然,公司系统已经部署了部分的思科PIX防火墙,但是思科PIX防火墙采用的是防火墙防护技术最初级的一种。思科PIX通过包过滤技术实现对用户网络的防护,这种技术无法应对目前日益猖獗的混合式威胁,也无法提供病毒防护功能。近一两年,基于对边界安全需求的全面考虑,许多安全厂商推出了新型的多功能网关,新型多功能网关就是在防火墙的基础上提供网关需要的其他安全功能,
42、例如最常见的是在防火墙上增加虚拟专用网(VPN)功能。还有在防火墙上增加防病毒功能。也有更为先进的是在防火墙上同时集成了虚拟专用网(VPN)、防病毒、入侵检测、内容过滤等全面安全功能。新型多功能网关是网关安全发展的趋势,只有新型多功能网关才能真正让网关位置成为安全防护体系的重要有力的组成部分。在公司网络系统的网络区域出口处安装此类多功能集成网关安全产品,为用户构建坚固的网络防线。此类防火墙不但可以防止黑客入侵,而且提供入侵检测/防护功能,并且可以和防火墙自带防病毒系统紧密结合在一起,提供网关级的防病毒保护。考虑到全省信息网移到综合业务数据网上,我们在各地市公司与省公司连接的网关处均采用千兆防火
43、墙,各地市公司到县公司、银行等采用百兆防火墙。通过防火墙可对不同安全区域之间的网络连接活动进行严格的访问控制,并且不仅仅如此,通过防火墙可对往来这些网络之间的攻击入侵和病毒传播进行有效的检测和阻断,从而将高安全区域有效的隔离保护起来,从网络层到应用层进行立体化的区域边界防御,通过实施该一体化的集成安全网关,使省公司和各地市公司内部网络的安全等级得到有效提升和保证。6.1省公司防火墙和集成安全网关的部署1省公司防火墙和集成安全网关部署示意图(老大楼)部署说明: 用于Internet 出口访问控制,已采用PIX防火墙,由于PIX采用的是ASA 算法状态检测技术,通过包过滤技术实现对用户网络的防护,
44、这种技术无法应对目前日益猖獗的混合式威胁,也无法提供病毒防护功能。因此在此方案中我们建议采用带有防病毒、内容过滤、入侵检测、安全审计为一体的多功能集成安全网关。通过在集成安全网关上启用相应的安全策略,控制内部用户的对外访问,并开启防病毒功能以保证内部用户的对外访问不受病毒侵害。另外,通过启用反垃圾邮件技术,保护内部的邮件服务器免受垃圾邮件的攻击,并根据网络的具体应用在集成安全网关上启用入侵检测和入侵防护攻击(IDSIPS)功能,保护互联网网关处系统免受来自系统内外的攻击。 远程访问虚拟通道(VPN)防火墙,其已采用PIX防火墙,在方案中在PIX VPN防火墙之后增加集成安全网关,用于移动用户对
45、内网访问的数据解密后进行病毒防护、内容过滤等。 在合肥地区单位和省公司网络连接边界处、国网公司、华东公司与省公司网络连接边界处和电力三级网与省公司网络连接边界处分别部署带有防病毒、内容过滤、入侵检测、安全审计为一体的多功能集成安全网关。并通过在集成安全网关上启用相应的安全策略,控制用户的对外访问,并开启防病毒功能以保证用户的对外访问不受病毒侵害。 在省公司两台CISCO 6506上分别增加1块FWSM防火墙模块,用于各VLAN之间的安全访问控制。并通过此部署,可以严格控制用户对服务器区的访问控制。省公司防火墙和集成安全网关部署示意图(老大楼)F5可供外网访问的DNS,Mail,IMS服务器群D
46、MZ区局域网省信息中心机房各部门局域网防火墙防火墙ISP1ISP2移动用户Internet网管工作站OA服务器认证服务器Web服务器电力三级网合肥地区单位华东二级网1G光纤100M五类线各部门局域网集成安全网关FW1(增加)FW2(增加)FW5(增加)FW6(增加)国网公司FW3(增加)FW4(增加)2省公司防火墙和集成安全网关部署示意图(新大楼)部署说明:1、在省公司与“INTERNET、华东公司、国网公司、各地市公司信息三级网”相连的网络边界采用两层异构防火墙系统,外层防火墙为已经部署的专业安全设备,用于阻挡来自互联网、国网公司、华东公司等网络攻击和设置访问控制策略。内层防火墙系统采用集成
47、安全网关。其中互连网安全网关采用双机热备工作方式,即高可用性HA方式,任何一台设备出现问题,备机均可以迅速替换工作,网络仍能正常运转。在内层集成安全网关上启用相应的安全策略,控制内部用户的对外访问,并开启防病毒功能以保证内部用户的对外访问不受病毒侵害。另外,启用反垃圾邮件技术,保护内部的邮件服务器免受垃圾邮件的攻击,并根据网络的具体应用在集成安全网关上启用入侵检测和入侵防护攻击(IDSIPS)功能,保护互联网网关处系统免受来自系统内外的攻击。2、远程访问虚拟通道(VPN)防火墙,其已采用PIX防火墙,在方案中通过在将PIX VPN防火墙之后增加集成安全网关,用于移动用户对内网访问解密后的数据进行防病毒、内容过滤等。3、通过在信息
浙ICP备2021020529号-1 | 浙B2-20240490 
