12、信息通信一体化调度运行支撑平台(SG-I6000)第3-8部分：基础平台-系统安全防护

1、信息通信一体化调度运行支撑平台(SG-I6000)第3-8部分：系统安全防护The Integrated Dispatching Operation Platform for Information &Communication of SGCC (SG-I6000 )Series SpecificationsPart 3-8:System Security前 言II1 范围12 规范性引用文件13 术语和定义14 系统概述24.1 系统概览24.2 总体部署结构34.3 风险识别44.4 系统安全保护等级54.5 责任主体55 方案目标55.1 防护原则55.2 防护目标56 防护措施

2、66.1 总体防护架构66.2 物理安全66.3 边界安全86.3.1 边界描述86.3.2 边界安全96.4 应用安全106.5 数据安全126.6 主机安全136.6.1 操作系统安全136.6.2 数据库系统安全 156.7 网络安全166.7.1 网络设备安全166.7.2 网络通道安全176.8 终端安全176.8.1 办公类终端172为指导国家电网公司信息通信系统调度运行标准化、规范化建设，实现国家电网公司 信息通信系统一体化调度运行的精细化、智能化管理，国家电网公司信息通信主管部门统 一组织研究和制定了信息通信一体化调度运行支撑平台系列规范 。信息通信一体化调度运行支撑平台系列规

3、范由4个功能规范组成:信息通信一体化调度运行支撑平台系列规范第1部分：体系架构及总体要求;信息通信一体化调度运行支撑平台系列规范信息通信一体化调度运行支撑平台系列规范第2部分：采集监控;第3部分：基础平台;信息通信一体化调度运行支撑平台系列规范第4部分：基础业务本部分是信息通信一体化调度运行支撑平台系列规范的第3-8部分：系统安全防本部分在总结现有信息通信管理系统建设经验基础上，根据国家和国家电网公司安全防护有关规定，对信息通信一体化调度运行支撑平台（以下简称 SG-I6000）安全防护进行 定义和描述，并提供规范化指导。本部分由国家电网公司信息通信部提出并解释。本部分由国家电网公司科技部归口

4、本部分起草单位：。本部分主要起草人：。本部分首次发布。国家电网公司State GribryrmirwSG-I6000第3-8部分：基础平台-系统安全防护1范围本部分规定了 SG-I6000的安全防护相关要求，包括：物理安全、边界安 全、应用安全、数据安全、主机安全、网络安全、终端安全。本部分适用于SG-I6000的设计、研发、建设和验收。2规范性引用文件在方案的编制过程中，主要参考或引用了如下标准和资料:序号文件名称1信息安全等级保护管理办法（公通字200743号）2国家电网公司信息化“SG186”工程安全防护总体方案息2008326 号）（国家电网信3国家电网公司智能电网安全防护总体方案（试

5、彳T ）»2011 1727 号）（国家电网信息4关于加强智能电网信息安全工作的通知（国家电网信息2011821号）5信息安全技术信息系统安全等级保护基本要求（GB/T 22239-2008 ）6«电力行业信息系统安全等级保护基本要求7网络与信息系统安全隔离实施指导意见3术语和定义信息安全：保护、维持信息的保密性、完整性和可用性，也可包括真实性、可核查性、抗抵赖性、可靠性等性质。安全审计：对信息系统的各种事件及行为实行监测、信息采集、分析，并针对特定事件及行为采取相应的动作ij； Mt国家电网公司State GridSG-I6 SG-I6000第3-8部分：基础平台-系统安

6、全防护安全保护能力：系统能够抵御威胁、发现安全事件以及在系统遭到损害后 能够恢复先前状态等的程度。访问控制：一种保证数据处理系统的资源只能由被授权主体按授权方式进 行访问手段。入侵检测系统：在信息系统和网络中，一种用于辨识某些已经尝试、正 在发生或已经发生的入侵行为，并可对其做出响应的技术系统。风险：一个给定的威胁，利用一项资产或多项资产的脆弱性， 对组织造成 损害的潜能。可通过事件的概率及其后果进行度量。4系统概述4.1 系统概览国网现有的IMS、IDS等信息通信支撑系统，对信息通信调度运行等业务 的稳定运转，保障公司通信和信息系统的稳定运行， 发挥了重要作用。但同时， 分散独立建设也造成了

7、系统架构不统一， 业务应用灵活性和可扩展性较差， 部 分业务功能相互重叠、集成接口众多、数据共享壁垒、维护成本高等问题，导 致系统的实用化程度还不高，影响了信息通信支撑公司战略规划、 智能决策以 及资源优化配置方面的效益发挥。迫切需要打破条块划分、分散独立的建设现 状，统一运维入口，减少重复建设，关注用户体验，提升用户操作实用化，重 点满足一线操作人员的实际需求，同时顺应信息通信融合发展的需要， 实现数 据共享和业务融合，促进管理水平持续提升，逐步实现集中统一的信息管控、3SG-I6000第3-8部分：基础平台-系统安全防护»国家电圉公司 State Grid扁平高效的运行维护，构建

8、柔性统一的一体化运维支撑平台， 使系统可用、好 用。立足自主创新，充分适应信息和通信组织架构的变化调整，构建信息通信一体化调度运行支撑平台（SG-I6000）,完成信息通信一体化调度运行顶层设 计；构建柔性、统一的基础技术支撑平台；重组调度、运行、检修、客服、三 线等业务应用；完善一体化调度运行门户展现；实现统一的电力信息综合采集 监控及预警，全面提升信息化水平。4.2 总体部署结构SG-I6000整体采用二级部署、多级应用的方式，满足各级决策、调控及 运检人员的日常工作。部署设计如下图:管理信息大区总部、分部省F灾备直属图1 ：总体部署架构图地市ZW4:就七国冢电网公司IVSi State

9、GridSG-I6000第3-8部分：基础平台-系统安全防护4.3风险识别管理信息大区33-I6CW果集监捏对象主矶盲雷.|安皇谩笛 信息系拄坪百良蛋终施由音卬间件存病设蒂动力环艰的据直、4柔志与如 并改，泄缶电Zi企业数业网 信息内解电力企业数据网 信息内画一因曲觞病毒，本柔展的据库管理浦网上授权论问 .网格阳融 械装、as主田设苗安士也笛1倍宜.系端耀设备年得番1中间件L存埔设南动力环增1弛瓣信息外网柔友点控对象采窠岷 里基.泄露芒0国m雨和击同 、福 救我.里设世丽丽 感染域吉扁 寺、木马的史改接口 认酢息、出及接口 Uiffiftt.网络传箍濮I被殷史改/主机设备娃设备信息系统网3设苗

10、理箱£番中间件存储设苗动力环境数娓隹果餐匹梃对题第生数机-L幕由、«2图2:风险识别图7SG-I6000采用“两级部署三级应用”的架构，其覆盖服务面广、数据集 成交互复杂。面临四类主要风险如下：1、采集数据篡改、泄露：SG-I6000各采集管理端与采集监控对象间使用 SSH SNM新议横向数据传输。2、篡改接口认证信息、网络传输被篡改、截获：总部 SG-I6000系统与省 市SG-I6000系统之间、省市SG-I6000系统与地市采集端之间的数据交互。3、非授权访问、网络传输被截获、篡改：内外网间存在 SG-I6000系统与 外网采集管理端、内网采集管理端与外网采集管理端使

11、用SQM行内外网交互。4、漏洞利用、感染网络病毒与木马：SG-I6000系统承载在Windows AIX、 Linux、Oracle、Weblogic等软件之上，这些软件存在漏洞利用、感染网络病 毒与木马、安全配置不当等威胁。4.4 系统安全保护等级SG-I6000安全保护等级为二级，按照等级保护二级要求进行防护。4.5 责任主体信通部门负责组织系统建设，制定系统安全防护技术措施及系统、网络、 主机、办公类终端等的安全运维管理。各信息运维单位负责系统、网络、主机、办公类终端的运维工作及安全措 施的落实。5方案目标5.1 防护原则SG-I6000的系统信息安全防护依据国家电网公司智能电网信息安全

12、防 护总体方案（国家电网信息【2011】 1727号）要求，按照“分区分域、安全 接入、动态感知、全面防护”的安全策略防护，从物理、边界、应用、数据、 主机、网络、终端等层次进行安全防护设计，最大限度保障 SG-I6000的安全、 可靠和稳定运行。5.2 防护目标1、保障SG-I6000安全可靠运行。2、保障SG-I6000系统边界和网络传输通道安全。3、确保SG-I6000各类终端安全可信接入公司信息网络； 防止终端被仿冒r.国家电网公司K State GridSG-I6000第3-8部分：基础平台-系统安全防护4 *.国家电圉公司 State Grid-STWifTwwmE ?w wnim

13、A和恶意控制。4、保障SG-I6000与其他系统交互数据及存储数据的机密性、完整性。6防护措施6.1 总体防护架构参照SG-I6000部署架构，按照等级保护二级系统要求进行安全防护设计。安全防护总体架构如图所示：管理信息大区信息息荒;分M省、安备/直属- 地市皂5G-I5000壬机设益 网络设芾 存储设语支主设强动力砰境话息奈统中间作助据比I1F统一采第却据库百理瑞日王机设将五全法爸信息系稣网相设笛终端设备中间件存腌诘切力环境数据店信息外网果第监控对球电力企业数据阿信息内网营理详栗集至也为危SL=管由工普氏监控对象信息系统安全设省柔集xr鞅据库制埋豌终端设苗均上环境是北平言<门户土门设旨

14、 鬲鱼百存信设备卬间并 故据库5G-IS补丁更新.% 病毒.安仝加 国、日士就Tu荀.笳 病雷、安至加 凡日志审计主机设将安全设将僖息系统陶络：3备镁谐设开中间并存陆.殳首动力环境的据度二电力企业敷据网信息内网_IhTSKJf.防1病鼻安至加 固，日志市计EHrzHEI补I更领、防 J病堂、安登加 同J IHB计主机设备安全设法侑息系统瞬设裔提宁麻爸中环存储设备动力弭境题据库主机设备安堂口备佶息至统网络战番决虚设苦中间件存储设备动力片吗即据库10图3: SG-I6000安全防护总体架构6.2 物理安全物理安全防护的主要目的是使服务器、网络设备、信息系统设备和存储介质免受物理环境损害、自然灾害以

15、及人为的操作失误和恶意损害等。SG-I6000物理安全防护措施如下表所示：安全要求是否遵从/ 不涉及实现方式及措施机房位置选择遵从机房场地处于公司大楼的中高层；机房周围禁止用水设备穿过；机房所在的建筑物具有防震、防风和防雨等自然灾害的能力； 系统服务器集中存放在各单位信通机房。机房出入控制遵从进出机房需经过授权审批流程，并对人员进入机房后的活动进行控制； 按照设备机房、人员操作间划分机房物理区域；按网络、主机、存储的 设备类别放置不同机柜；机房门禁IC卡具后不同权限。进出日志（进出时间，人员身份）保存 在机房监控系统内；机房部署门禁系统，进出机房需使用IC卡。防盗窃和防破坏遵从设备或主要部件设

16、置明显的不易除去的标识；电力线缆、通信线缆采用架空桥架走线；对介质进行分类标识， 磁介质放在介质库、纸介质统一归档存放档案柜； 机房关键区域安装视频摄像头、红外线感应装置。防雷击遵从机房建筑配备了防雷、避雷装置； 机房设置交流电源地线。防火遵从机房采用火灾温感烟感报警系统，配备七氟丙烷自动气体灭火装置；机房采用耐火的建筑材料；设置重点防火区域，实施隔离防火。防水防潮遵从机房避开水源，室内水管采取两套管的方式，在关键节点部署漏水检测设备；机房墙壁和层顶经过防渗处理。防静电遵从机房均铺设了防静电地板，机柜安全接地； 机房采用静电消除器防止静电产生。温度湿度控制遵从采用精密空调对温湿度进行自动控制，

17、温度控制在25 ±3度，湿度控制在 40%60%电力供应遵从电力控制在10%以内的波动范围，并应采用稳压器和过电保护装置控制 电力波动。电磁防护遵从电源线与通信线分开走线，避免相互干扰。国家电圉公司State GridSG-I6000第3-8部分：基础平台-系统安全防护6.3 边界安全SG-I6000系统边界存在以下四类：信息内网横向域间边界、信息内网纵 向网络边界、信息内外网边界、信息外网横向域间边界。6.3.1边界描述管理信息大区电力企业数据网 信息内网12信息内琥向边界香F灾备、直属主机设备安全诙谄懦息系统郦各设奇连喊缶1中间件有桶设苗动打坏婚物据性枭或监控时果第培程时整g主机

18、设备安全崩信息森廊各设爸鼻初设音中间件存陆殳备动比1用电劫据（5地市直王机机没安全设备信忠系执网络设亩络揩设备中间件存曲般箔动力环境部娓库采神陆悌图4 : SG-I6000边界示意图边界类型边界描述数据流分析信息内网横向域间边界SG-I6000与信息内网三级系统之间的网络边界信息内网、业务系统、主机、网络、/安全设备、终端设备等数据。k据库、信息内网纵向边界总部信息内网与省公司信息内网的网络边界、省公司信息内网与地市公司信息内间的网络边界业务系统运行数据、监控统计数据等信息内外网边界信息内网与信息外网之间的边界外网IT设备监控标准化后数据。信息外网横向域间边界外网采集管理端与信息外网信息外网、

19、业务系统、主机、网络、/k据库、边界类型边界描述数据流分析三级业务系统的网络边界安全设备、终端设备等数据。6.3.2边界安全边界类型安全要求是否遵从/ 不涉及实现方式及措施信息内网横向域间边界网络访问控制网络入侵检测遵从部署并启用防火墙，对域间访问权限进行控制， 访问控制粒度细化至端口级；在系统域内部划分 VLAN配置VLAN间访问控制 策略；配置IP、MAO定，防止地址欺骗；部署入侵检测系统，监视并防范边界处端口扫 描、木马后门攻击等入侵攻击；对策略违背行为进行日志记录，并定期进行日志 分析处理，生成审计报表。省市公司的 SG-I6000应用服务器，SG-I6000总 线/级联服务器，桌面应

20、用服务器，安管应用服 务器和网省业务系统 Webservice服务互相开放 相应端口信息内网纵向边界网络访问控制网络入侵检测边界流量监测遵从部署并启用防火墙，对域间访问权限进行控制，访问控制粒度细化至端口级；在系统域内部划分 VLAN配置VLAN间访问控制策略；配置IP、MAO定，防止地址欺骗；部署入侵检测系统，监视并防范边界处端口扫描、木马后门攻击等入侵攻击；对策略违背行为进行日志记录，并定期进行日志分析处理，生成审计报表。省市公司的 SG-I6000应用服务器，SG-I6000总线/级联服务器，桌面应用服务器，安管应用服国家电网公司State GridSG-I6000第3-8部分：基础平台

21、-系统安全防护边界类型安全要求是否遵从/ 不涉及实现方式及措施务器和总部监控系统的应用服务器，后台服务器互相开放相应端口。信息内外网边界逻辑强隔离遵从部署公司专用信息强隔离装置。总部/网省的内外网应用服务器，总线 /级联服务 器，桌面应用服务器，安管应用服务器，存储监 控应用服务器相互开放相应端口。信息外网横向域间边界网络访问控制网络入侵检测遵从部署并启用防火墙，对域间访问权限进行控制，访问控制粒度细化至端口级；在系统域内部划分 VLAN配置VLAN间访问控制策略；配置IP、MAO定，防止地址欺骗；部署入侵检测系统，监视并防范边界处端口扫描、木马后门攻击等入侵攻击；对策略违背行为进行日志记录，

22、并定期进行日志 分析处理，生成审计报表。6.4 应用安全应用安全关注应用系统自身的安全防护，从以下十个方面进行安全防护设 计：身份认证、授权、输入输出验证、配置管理、会话管理、加密技术、参数 操作、异常管理、日志与审计、应用交互安全。安全要求是否遵从/不涉及实现方式及措施身份认证遵从基于统一门户系统提供的过滤器进行单点登录跳转，通过将单点登录 的认证用户信息放入网站的会话中，如果以单点登录则跳转至系统首 页，否则跳转至统一门户的登录页面；不在cookie中保存登录密码，当浏览器被关闭所有的认证信息均被 销毁；13SG-I6000第3-8部分：基础平台-系统安全防护安全要求是否遵从/不涉及实现方

23、式及措施进行密码强度配置，高安全策略时，密码的长度必须为8位以上，且包含字母、数字和字符；系统支持密码强度配置开关和强制修改密码开关启用开关后登录时校验密码强度，强度不够时强制修改密码；登录三次失败则锁定帐户，失败次数可配置；通过配置方式启用禁止同一帐号同时在多个IP登录。授权遵从系统基于角色控制资源的访问权限，并支持细度的权限控制（修改、 只读、隐藏）；系统帐户绑定不同的角色，而每个角色可定义资源访问的权限以及资 源禁止访问的权限，授权粒度或以控制到具体的角色和功能的访问控 制，对配置管理服务（MWManagement的访问，需要对该资源进行认 证授权。输入输出验证遵从系统通过过滤器对 UR

24、L的请求参数以及表单的GET POST等数据中包含javascript 脚本等非法字符进行过滤；系统业务功能基于一定的正则表达式进行输入验证，以满足不向场景的需要；系统对用户登录等过程是否有sql注入的参数进行验证；基于身份认证后上传文件，并支持配置上传文件的类型。配置管理遵从用户授权等配置管理功能只允许管理员角色的用户操作； 禁止通过 Web页面直接浏览服务端的目录和文件； 通过加密方式保存帐户口令。会话管理遵从在服务端保存会话认证信息和会话有效期，当登录成功后清除旧的会话并创建新会话；会话ID以随机36位guid保存在系统中；对登录信息通过 3DES对称加密算法对凭证加密传输，通过 pos

25、t方式传输会话凭证；网页醒目位置设有注销登录按钮；注销时即刻清除会话数据，可配置会话超时时间，超时后自动清除会话数据。加密技术遵从基于3DES对称加密算法，当配置成高强度的密钥时，密钥的长度和安全要求是否遵从/不涉及实现方式及措施复杂度必须满足要求；系统MD5W 3DES算法逐步更换为 SM僦SM4算法。参数操作遵从通过过滤器校验用户的输入，支持成功登录后分配一个随机会话id标识用户；基于POST式提交贝囿表单；支持加密客户端sql的功能；通过客户端js验证和服务端验证两种方式对客户端的输入值校验。异常管理遵从基于统一的出错页面显示异常信息，并且异常出错信息记入日志。日志中U遵从对用户的关键操

26、作进行审计操作；审计日志记录在数据库中，包含以下信息域：操作用户、审计对象、 审计时间、审计的内容；支持系统的启动和停止的审计、登录信息的审计、用户密码变更的审计、系统帐户操作的审计、用户操作敏感数据的审计；提供统一的审计查询贝囿查询和分析审计的内容；日志保存在数据库的日志表中，支持日志的级别（调试、警告、出错）；敏感数据强制审计，非敏感数据通过配置方式来开启审计功能；审计息的贝囿只能浏览和查询。应用交互安全遵从通过标准的 WebService接口与第二方系统集成；基于 xml与第二方系统交互数据，通过 WebService方式传输。6.5 数据安全是否遵从/不实现方式及措施安全要求涉及15I

27、国家电网公司ft State Grid圣 司TI：*E则评TFE GJrcmASG-I6000第3-8部分：基础平台-系统安全防护数据存储安全遵从用户鉴别信息采用 MD劭口密算法处理后在数据库中加密存储；用户帐 号及鉴别信息不在客户端存储；设备台帐信息通过程序逻辑校验及数据库约束条件实现完整性，避免非法字符；业务信息（流程信息、运维检修业务信息）存储在数据库中；系统配置信息（数据库连接串等）采用SM4加密算法处理后在配置文件中存储。数据传输安全遵从用户鉴别信息采用 MD劭口密算法处理后传输；客户端加密后将设备台帐信息传输到服务器端；系统配置信息传输过程中使用 3DES加密算法处理。数据备份安全

28、遵从用户帐号及鉴别信息、设备台帐信息、业务信息（流程信息、运维检 修），实时同步到灾备中心并周期备份；系统配置信息（数据库连接串等）、移动终端数据进行周期备份。6.6 主机安全SG-I6000 中的主机操作系统为 windows server 2003s windows server 2008, AIX5.3、AIX6.1 ,数据库为Oracle 10g,主机安全针对操作系统、数据库系统 进行安全防护设计。6.6.1 操作系统安全安全要求是否遵从/不涉及实现方式及措施安全要求是否遵从/不涉及实现方式及措施身份认证遵从米用操作系统账号唯一性机制对登录操作系统的用户身份进行身份识 别和鉴别；采用结

29、束会话、限制非法登录次数和非法登录自动退出等措施，限制 同一用户连续失败登录次数；配置操作系统账号口令安全策略：口令最小长度为8位；口令要求为字母、数字或特殊字符的混合组合；禁止口令与用户名一样；配置口令定期更换周期为 90天；设置连续登录失败 5次锁定账号30分钟。访问控制遵从禁止特权账号远程管理使用，日常操作中采用非特权用户，仅在必要 时切换至特权账号进行操作；操作系统远程管理维护时采用 SSH终端接入方式，并限定网络地址； 设置不同特权用户管理操作系统和数据库，实现权限分离； 限定各类服务内置默认账号的访问权限，禁用业务非必需账号； 禁止系统默认账号使用默认初始口令。定期删除无用的过期账

30、号。病毒、入侵防范遵从Windows操作系统主机部署瑞星、趋势等符合国网要求的病毒防护软 件，并开启操作系统防火墙；Linux操作系统主机病毒防范工具由于不够完善，考虑到系统稳定运 行需求，不在此类系统部署生机防病毒、入侵防范软件，通过在网络 边界中使用入侵监测等措施进行防护。漏洞扫描遵从采用漏洞扫描工具定期或重大变更时对系统进行安全扫描，并对于扫 描出的漏洞及时进行处理，处理方式包括安装补丁、配置网络访问控 制策略和监测黑客利用漏洞行为的数据流。更新安全补丁遵从遵从公司统一要求开展系统补更新。资源控制遵从设置登录终端的操作超时锁定的安全策略；采用磁盘限额等方式限制单个用户对系统资源的最大使用

31、限度。安全审计遵从启用操作系统日志审计功能，对用户行为、系统资源异常访问等重要 安全事件进行审计。17SG-I6000第3-8部分：基础平台-系统安全防护安全要求是否遵从/不涉及实现方式及措施数据备份遵从定期对操作系统、数据库系统的数据进行备份，并定期在操作环境发 生父更时进行备份恢复测试。安全加固遵从在应用系统上线前和重大变更时进行安全加固。6.6.2 数据库系统安全安全要求是否遵从/ 不涉及实现方式及措施身份认证遵从米用数据库系统账号唯一性机制对登录数据库系统的用户身份进行身份识别和鉴别；采用结束会话、限制非法登录次数和非法登录自动退出等措施，限制向一用户连续失败登录次数；配置数据库系统账

32、号口令安全策略：口令最小长度为8位；口令要求为字母、数字或特殊字符的混合组合；禁止口令与用户名一样；配置口令定期更换周期为 90天；设置连续登录失败 5次锁定账号30分钟。访问控制遵从禁止特权账号远程管理使用，日常操作中采用非特权用户，仅在必要时 切换至特权账号进行操作；数据库系统远程管理维护时采用SSH终端接入方式，并限定网络地址；设置不同特权用户管理数据库和操作系统，实现权限分离； 限定各类服务内置默认账号的访问权限，禁用业务非必需账号； 禁止系统默认账号使用默认初始口令。定期删除无用的过期账号。漏洞扫描遵从采用漏洞扫描工具定期或重大变更时对系统进行安全扫描，并对于扫描出的漏洞及时进行处理，处理方式包括安装补丁、配置网络访问控制策略和监测黑客利用漏洞行为的数据流。安全审计遵从采用数据库内部审计机制进行安全审计，并定期对审计结果进行分析处理。安全要求是否遵从/ 不涉及实现方式及措施更新补丁遵从遵从公司统一要求开展数据库补丁更新。6.7 网络安全网络安全防护面向为SG