电力信息网络安全防护系统设计方案

1、XX 电力信息网络安全防护系统设计方案目录1. 引言 51.1 信息安全体系建设的必要性 51.2 解决信息安全问题的总体思路 61.3XX 电力公司信息网安全防护策略 71.3.1 XX 电力公司总体安全策略 7 1.3.2 XX 电力信息安全总体框架 8 1.3.3 防护策略 81.3.3.1 对网络的防护策略 81.3.3.2 对主机的防护策略 81.3.3.3 对邮件系统的防护策略 91.3.3.4 对终端的防护策略 92. 设计依据 102.1 信息安全管理及建设的国际标准 ISO-17799 1. 03. XX 电力信息网安全现状 103.1 管理安全现状 1.03.2 网络安全现

2、状 1.13.3 主机及业务系统安全现状 1.3.3.4 终端安全现状 1.64 建设目标 185安全区域的划分方案 185.1 网络安全域划分原则 1.85.2 网络区域边界访问控制需求 2.0.5.3 边界网络隔离和访问控制 2.2.5.3.1 区域边界的访问控制 225.3.2 敏感区域边界的流量审计 235.3.3 敏感区域边界的网络防入侵及防病毒 236XX 电力信息网防火墙部署方案 236.1 省公司防火墙和集成安全网关的部署 2.4.6.2 地市公司防火墙和集成安全网关的部署 2.8.6.3 技术要求 3.17XX 电力信息网网络防病毒方案 327.1 XX 电力防病毒软件应用现

3、状 3.2.7.2 企业防病毒总体需求 3.37.3 功能要求 3.3 7.4XX 电力网防病毒系统整体架构和管理模式 3.5.7.4.1 采用统一监控、分布式部署的原则 357.4.2 部署全面的防病毒系统 377.4.3 病毒定义码、扫描引擎的升级方式 387.5 网络防病毒方案 3.9 7.6 防病毒系统部署 4.0 8入侵检测 /入侵防护( IDS/IPS )方案 458.1 网络入侵检测 /入侵防护( IDS/IPS ) 4.5.8.2 网络入侵检测 / 入侵保护技术说明 4.6.8.2.1 入侵检测和入侵保护( IDS/IPS )产品的功能和特点 468.3 入侵检测/入侵防护(

4、IDS/IPS )在公司系统网络中的部署 5. 19内网客户端管理系统 549.1 问题分析与解决思路 5.4 9.1.1 IP 地址管理问题 549.1.2 用户资产信息管理问题 549.1.3 软硬件违规行为监控 569.1.4 网络拓扑查看与安全事件定位困难 579.1.5 缺乏完整的用户授权认证系统 579.2 系统主要功能模块 5.89.3 内网管理解决方案 5.99.4 方案实现功能 5.99.4.1 IP 地址管理 599.4.2 客户端管理 609.4.3 系统管理 6212 安全产品部署总图和安全产品清单表 641. 引言1.1 信息安全体系建设的必要性 随着电网的发展和技术

5、进步，电力信息化工作也有了突飞猛进的发展，信息网络规 模越来越大，各种信息越来越广泛。然而，随之而来的信息安全问题也日益突出。电力 工业作为我国国民经济的基础产业和公用事业，电力系统的安全运行直接关系到国民经 济的持速发展和满足人民生活的需要，信息安全已成为电力企业在信息时代和知识经济 新形势下面临的新课题，电力信息网络与信息的安全一旦遭受破坏，造成的影响和损失 将十分巨大。近年以来，在互联网上先后出现的红色代码、尼姆达、蠕虫、冲击波等病 毒造成了数以万计的网站瘫痪，对电力信息系统的应用造成了较大不良影响。公司按照建设“一强三优”电网公司的发展战略，为实现“安全基础扎实、管理层 次清晰、内部运

6、作规范、企业文化鲜明、社会形象诚信”的企业共同愿景，公司的信息 化发展步伐不断加快。计算机网络已覆盖全省各市、县公司，实现了信息共享和快速传 递。省、市公司的用户数已达一万多个，各类应用 200 多个，省公司层面经营管理类数 据达 2000G 字节，网络、信息系统已成为公司生产、经营和管理的重要支撑平台。企业 的应用要求网络与信息系统具有高可靠性、高可用性、高安全性，但类似网络病毒导致 信息网络部分瘫痪、内外部攻击致使应用服务中断等事件时有发生，实际上还有其它一 些未发现的或未产生后果的威胁，直接影响着省公司系统的信息安全， XX 电力系统信息 安全体系建设已迫在眉睫。1.2 解决信息安全问题

7、的总体思路当前我国已把信息安全上升到国家战略决策的高度。国家信息化领导小组第三次会 议确定我国信息安全的指导思想：“坚持积极防御、综合防范的方针，在全面提高信息 安全防护能力的同时，重点保障基础网络和重要系统的安全。完善信息安全监控体系， 建立信息安全的有效机制和应急处理机制。” 这就引出等级保护的概念，必须区分重要 程度不同的应用系统，并据此将保护措施分成不同的等级，而从国家层面，必须将那些 关系到国家经济发展命脉的基础网络圈定出来，加以重点保护，这就是“重点保障基础 网络和重要系统的安全”思路。这一思路蕴涵了“适度”信息安全的概念。“适度”实际体现了建设信息安全的综 合成本与信息安全风险之

8、间的平衡，而不是要片面追求不切实际的安全。所谓信息安全，可以理解为对信息四方面属性的保障，一是保密性，就是能够对抗 对手的被动攻击，保证信息不泄露给未经授权的人；二是完整性，就是能够对抗对手的 主动攻击，防止信息被未经授权的篡改；三是可用性，就是保证信息及信息系统确实为 授权使用者所用；四是可控性，就是对信息及信息系统实施安全监控。按照 ISO17799 信息安全标准、国家计算机网络安全规定及国网公司相关规定，信 息安全体系的建设应包括两个方面的内容：安全技术防护体系、安全管理体系。技术防 护体系包括网络和应用系统的安全防护基础设施和相关的监视、检测手段；安全管理体 系主要包括组织、评估、方法

9、、改进等管理手段。信息安全体系建设的方法是：在全面 的安全风险评估的基础上，对信息资产进行安全分类定级，针对信息系统存在的安全隐 患和威胁，提出信息系统安全整体规划，分步实施，循环改进。结合当前我司信息系统的安全现状和急待解决的问题，我们提出我司的信息安全体 系建设的总体思路：针对企业信息化应用的需求，建立电力信息系统安全保障的总体框架，确定电力信息系统安全策略，以指导电力信息系统安全技术体系与管理系统的建设。在逐步引入先进实用的信息安全技术和手段的基础上，开展信息系统安全评估活动，建立完善的安全技术体系。同时，逐步建立健全公司信息安全组织机构，逐步落实各项信息安全管理制度，广泛开展信息安全教

10、育，提高系统全员信息安全意识，构造规范化的安全管理体制和机制，以期建立完善的信息安全管理体系，并培养一支技术较强 的人才队伍。按照统一规划、分步实施的原则，本方案为 XX 电力公司信息网络的安全防范基础设 施的初步设计。1.3XX 电力公司信息网安全防护策略1.3.1 XX 电力公司总体安全策略企业的信息安全策略是企业信息安全工作的依据，是企业所有安全行为的准则。信 息安全是围绕安全策略的具体需求有序地组织在一起，构架一个动态的安全防范体系。XX 电力的总体安全策略如下：1 、 建立信息安全组织机构、健全各种规章制度，注重管理。2 、 信息安全风险防范侧重企业内部，尤其是核心设备、核心网段的安

11、全防范。3 、 统一规划、部署、实施企业互联网对外的接口及安全防范。4 、 合理划分网络边界，做好边界的安全防护；合理划分安全域，实现不同等级安全域之间的隔离。5 、 制定完善的备份策略，保障系统及数据的安全。6 、 充分利用现有的安全设施，发挥其安全功能。7 、建立完善的监控平台和快速的响应体系，及时的发现和解决出现的问题。8 、采用数据安全技术保障实施，确保数据安全。1.3.2 XX 电力信息安全总体框架1.3.3 防护策略1.3.3.1 对网络的防护策略包括主动防护和被动防护两方面，主动防护即采用入侵检测工具，自动对网络上进 出的数据包进行检测，分辩出非法访问并阻断报警。被动防护即采用防

12、火墙设备，置于 网络出口处，并事先设定一定的规则，规定符合哪些条件的数据可以进出，其它的则一 律阻断不让其通过。从而主动防护与被动防护结合，达到对网络的防护，也以此形成对 小型机、服务器、 PC 机等各类资源的基础性防护。1.3.3.2 对主机的防护策略主机上运行的是公司系统核心业务，存储的是各类重要数据，一旦此类机器出现问 题，将会给公司系统日常业务的正常开展造成冲击和损失，所以必须对其采取进一步 的、更加严格的防护措施，具体在实践中，就要对主机进行漏洞扫描和加固处理，即不 定期用扫描工具对关键主机进行扫描，及时发现包括操作系统、数据库系统、应用系统 在内的各类漏洞缺陷，通过安装补丁程序予以

13、弥补，同时安装防篡改、注册表锁定等加 固软件和身份认证系统，从而使主机主动拒绝非法访问，自身具备较强的安全防护能 力，抗御各类攻击行为。1.3.3.3 对邮件系统的防护策略经过多年的建设和推广应用，省电力公司已把基于 Lotus Notes 的办公自动化系统 全面推广到省、市、县各级供电企业，实现了公文在网上办理和传递。公司系统的员工 都开设了个人邮箱。所有公文流转信息都会发送到员工的个人邮箱。同时这些邮箱又都 具备发送和接受外网邮件的能力。近年来，由于病毒的泛滥和快速传播，省公司的邮件 系统每天不可避免地收到大量的垃圾邮件和携带病毒的邮件，邮件中的病毒又在局域网 上快速传播，严重地威胁网络和

14、信息安全。为保障网络和信息系统安全运行，需要部署 专用的反垃圾邮件系统和病毒过滤系统保护省公司邮件系统的安全运行。1.3.3.4 对终端的防护策略终端的安全防护是网络与信息安全防护的重要内容，其主要防护措施是：1 、安装防病毒软件并及时更新。2 、加强管理，杜绝与业务无关软件的安装使用，控制使用软盘、光盘驱动器。3 、终端行为管理： 网络安全问题在很多情况下都是由“内部人士”而非外来黑客所引起，在公司系统普遍存在着如下的问题：缺乏完整的内部安全防护体系；网络 安全管理的基础工作较薄弱，各类网络基础信息采集不全；存在一机多网和一机多用的 可能性；外围设备的接入控制困难；难以监控用户对计算机的使用

15、情况。因此迫切地需 要一种高效完整的网络管理机制来监测、控制整个内网的资源和服务，使整个网络运行 稳定可靠，从而保证整个内网的可信任和可控制。4、软件更新服务系统（SUS）:目前大部分病毒，像尼姆达（一种利用系统漏洞的蠕虫病毒）是利用微软的系统漏洞进行传播的，而微软对大部分的漏洞及时提供了相 应的补丁程序，但由于用户未及时打补丁更新系统而导致数以万计的 Windows 系统受 到攻击。因此需要一套软件更新服务系统（SUS）来为主机提供补定程序，并及时自动更 新系统。2. 设计依据2.1 信息安全管理及建设的国际标准 ISO-17799ISO 17799 管理体系将 IT 策略和企业发展方向统一

16、起来，确保 IT 资源用得其所， 使与 IT 相关的风险受到适当的控制。该标准通过保证信息的机密性，完整性和可用性来 管理和保护组织的所有信息资产，通过方针、惯例、程序、组织结构和软件功能来确定 控制方式并实施控制，组织按照这套标准管理信息安全风险，可持续提高管理的有效性 和不断提高自身的信息安全管理水平，降低信息安全对持续发展造成的风险，最终保障 组织的特定安全目标得以实现，进而利用信息技术为组织创造新的战略竞争机遇。3. XX 电力信息网安全现状3.1 管理安全现状参考相关信息安全相关标准中的安全管理策略要求，根据 XX 电力内网信息系统安全 运维的需求，对 XX 电力内网信息系统安全组织

17、、人员管理、安全管理、运维管理、监测 管理、备份管理、应急管理、文档管理方面进行了调查分析，对 XX 电力内网信息系统安 全管理现状描述如下：安全组织方面： 已有信息安全管理组织，有专职信息安全人员。信息安全 专职人员负责组织内部与各相关单位的信息安全协调沟通工作。人员管理方面： XX 电力内网信息系统已有明确的岗位责任制，技术人员在信息系统建设和日常维护过程中认真履行职责。已有执行外来人员管理策略，外 来公司人员进入机房实施操作时，有 XX 电力内网信息系统工作人员全程陪同。安全管理方面： 有明确的安全管理要求与措施。没有及时安装相应系统补 丁，禁止安装与工作无关的软件；缺乏完备信息安全事件

18、报告制度。运维管理方面： 有具体明确的系统运行要求，日常故障维护，对故障现 象、发现时间、检查内容、处理方法、处理人员、恢复时间等进行详细记录。监测管理方面： 有明确的监测目标，在网络检测方面，利用入侵检测来实 时监测，但没有定时查看相关记录和维护，并做出响应；在防病毒方面，利用防 病毒系统来实时对病毒进行检测和防护。应急管理方面： 有明确的应急管理策略，实施工作主要有运维人员及服务 提供商承担。密码管理方面： 有明确的密码管理实施办法，但缺乏定期修改密码及密码 保存办法。备份管理方面： 有明确的备份管理策略，也制定了相关的备份办法。文档管理方面： 有明确的技术文档管理制度，但技术文档资料缺乏

19、登记、分类、由专人 保管，同时也缺乏技术文档资料的使用、外借或销毁的审批登记手续。3.2 网络安全现状XX 电力的网络拓扑现在如下图所示：hifl 珂:* nuLIS厂M»>#1feiurf itt当前网络骨干区域，基本形成以一台H3C S7506为核心，多台H3C S7503为汇聚接入的架构。但核心交换机 H3C S7506同时兼具远程接入区多条专线接入设备的任务,中间没有汇聚设备，网络逻辑层次结构较为模糊。不利于网络的扩展建设，更不利于安 全域边界的整合，无法实施集中统一的安全防护策略。除互联网接入区外，当前网络各区域均为单链路、单设备。网络单点故障隐患很 大。任意节点设备

20、、链路的故障，或因维护的需要停机重启，均会造成相应区域网络的 通讯中断，造成重要影响。当前网络中，在服务器区部分、管理支撑区、远程接入区，玉溪烟厂生产网办公网 部分均存在区域划分不清晰，边界模糊的情况。安全域划分不清晰，区域边界未整合， 不利于日常的安全管理，无法实施集中统一的安全区域防护策略。服务器区域H3C设备FWSM防火墙处于策略全通状态，无法起到应有的访问控制 功效，让所有服务器直接暴露在办公网中。部分远程接入区域链路、 IT 运营中心等，同 样存在缺乏防火墙等设备，无法实施基本的网络访问控制，无法有效防护重要资产设 备。当前网络中缺乏必要的入侵检测 / 防御手段，特别在核心交换机、内

21、网服务器区、 DMZ 服务器区。无法实施网络流量的实时监控分析，进行恶意行为的告警响应，无法及 时发现并处理安全事件。全网缺乏一套集中的安全运营管理中心，无法集中监控各网络设备、安全设备、主 机及业务的安全运行情况，收集日志信息，集中存储、关联分析和展现。同时，无法及 时掌握全网的安全态势，及时做出分析判断，影响安全事件的响应处理效率。内网服务器区、 DMZ 服务器区缺乏业务审计设备，无法记录关键的业务、维护操作 行为。出现安全事件时，无法通过审计设备进行操作行为的跟踪分析，及时查找原因。 当前网络设备安全相关策略大多采用默认配置，自身存在较多安全隐患，在一些恶意的 人为因数下，可能造成网络设

22、备运行不正常，甚至网络局部区域通讯中断。3.3 主机及业务系统安全现状当前系统中的主机及应用系统欠缺较多的补丁，存在较多的高风险漏洞。攻击者可 以通过一些简易工具或技术手段，入侵主机，提升权限，进行后续的破坏活动。XX 电力部分业务系统主机和数据库帐号存在弱口令现象，包括用户名和口令一致、 空口令、通用默认口令、极易猜测的简单数字等。弱口令可以使恶意用户直接或者通过 简单扫描工具，即可获取用户帐号和密码，可以直接访问系统，甚至获取系统管理员帐 号和密码，完全控制该系统。如果系统被攻击，对 XX 电力业务的正常运行造成很大的影 响。帐号口令管理方面，当前所有 UNIX 类主机采用默认配置，没有启

23、用帐号相关安全 属性控制，没有对口令的复杂度、有效期、更新密码周期等进行统一约束。帐号口令安 全策略设置不严格，用户口令容易遭到猜测或字典攻击成功，进而使系统容易被非法操 纵。用户登录管理方面，当前所有 UNIX 类主机采用默认配置，未启用 root 直接登陆控 制、终端登陆控制、登陆会话时间限制、 SU 权限控制等登录安全管理策略。用户登陆安 全策略设置不严格，容易造成恶意用户越权滥用，非法操作， root 特权使用缺乏监控审 计，给系统造成影响破坏。当前绝大部分主机采用默认配置，开放有 SNMP 服务，并且没有修改缺省的 SNMP 共同体字符串。而已攻击者通过 SNMP 可以获取远程操作系

24、统的类型和版本、进程信 息、网络接口信息等敏感信息。这可能使攻击者可以准确了解远程主机的系统信息，更 有针对性的发起攻击。当前大部分主机，包括部分对公网提供服务的主机的 OpenSSH 版本较老，暴露有 较多缓冲区溢出漏洞。恶意攻击者通过上述漏洞，可以发起拒绝服务攻击或执行任意代 码，控制主机，给业务系统造成严重影响。当前多数主机系统中开放有危险的 R 系列服务，建立有较多主机间的信任关系。用 户可使用 rlogin 直接登录而不需密码，还可使用 rcp 、rcmd 等命令，方便用户操作。 R 系列服务有一定的安全性风险，在当前环境中，容易被仿冒，无需口令即可直接访问授 信主机，造成系统越权访

25、问。当前绝大多数主机采用默认配置，开放有危险且不必须的 TCP Small Service 和 UDP Small Service 。包括 echo 、 diacard 、 chargen 、talk 等。每一种网络服务都是一 个潜在的安全漏洞，也就是一个攻击者可能会进入的地方。开放 TCP/UDP 小服务可能拒 绝服务攻击、系统入侵等危害。当前 绝大多数主机采用默认 配置 ，开放有危险的 RPC 服务，包括 rstatd 、 rusersd、rwalld等。RPC系列服务可能造成系统信息泄露，为恶意攻击者的进一步行动 提供有用信息。当前大多数主机开放有 Sendmail 服务， Sendma

26、il 服务自身存在较多风险漏洞。非 邮件服务器无需运行 Sendmail 服务。恶意攻击者利用 Sendmail 服务漏洞容易获取系统 权限，或用来发送垃圾邮件。前部分提供 Web 访问的系统（包括外网网站等）采用的 Apache 服务器版本较低， 存在多处缓冲区溢出漏洞。恶意攻击者可以利用这个漏洞进行缓冲区溢出攻击，可能以 Apache 进程权限在系统上执行任意指令或进行拒绝服务攻击。当前大部分主机和应用系统采用默认的 Syslog 日志配置。未配置集中的外部日志服 务器系统，进行统一的收集、存储和分析。不能及时有效地发现业务中的问题以及安全 事件，不利于安全事件的跟踪分析。渗透测试检查发现

27、， XX 电力外网网站存在两处高风险的 SQL 注入漏洞。利用 SQL 注入点 1，可进行数据库信息猜测、数据表猜测、表空间猜测，进而获取整个数据库的信 息，任意查看和修改。利用注入点 2 可以获得任意注册会员的帐号和密码信息，以及会 员的邮件地址、身份证、真实名字等敏感信息。同时还检查出，外网网站存在可上传任 意文件、跨站脚本攻击两处高、中风险漏洞。外网网站作为 XX 电力的对外门户网站系 统，是对外宣传、信息发布的重要途径，日均访问量很大。恶意入侵者利用上述漏洞， 极易造成网站系统重要数据信息泄密，网站页面破坏、篡改、挂马等危害，严重影响用 户的正常访问，造成用户感染病毒木马。渗透测试检查

28、发现，内网网站存在两处高风险漏洞，可以获取所有用户的口令和其它敏感信息。同时还存在暴露系统绝对路径、可以查看任意短消息列表内容。内网网站是公司内部信息发布的主要途径，采用邮件系统的帐号口令进行认证，通过上述漏洞，恶意攻击者可以获取所有用户帐号的口令，登录内网网站、登录邮件系统，造成信息泄 密、篡改、破坏等危害。3.4 终端安全现状目前 XX 电力安全方针策略不够清晰明确。由于安全目标方针不明确，导致全员不能清晰领悟安全的重要性，安全思想不能得到有效贯彻落实。各部门执行安全的方向不统 一。安全方针不统一，会经常出现安全行动不统一，安全意识不明确的现象。XX 电力没有建立完善的安全管理策略制度。制

29、度不完善导致执行安全工作时不能遵循统一的策略，导致因误操作或因不规范导致的问题发生。可能会出现由于制度流程不 完善导致的信息泄密、网络系统瘫痪等管理制度不全面，未能覆盖包括第三方人员管 理、桌面系统管理、系统开发等方面，导致相关操作无规范。当前 XX 电力成立了信息安全工作领导小组，但小组成员基本以各级领导为主，专业安全人员只有一人，不能满足日常安全管理工作需要。并且系统维护人员同时负责此系 统的安全运行，目前的编制已经很难满足日常安全管理的需要，因此信息安全的具体执 行工作难以得到有效的开展。安全岗位职责未设置 AB 角色，一人负责，一旦发生人员调离或其它意外导致系统全面瘫痪。没有建立完善信

30、息安全考核体系，导致员工不能严格执行各项信息安全规章制 度。各级员工普遍信息安全意识不强，导致员工对信息安全的内容、管理目标等没有明 确的认识与理解，不能在日常工作中主动地贯彻各项信息安全制度、规范及标准。XX 电力尚未实施针对非专业安全人员的安全培训计划安全培训跟不上导致专业人员 和普通员工安全技术缺乏，安全意识薄弱当前情况下，备份介质大多存放在机房内或办公区域中。同时没有针对可移动介质 的管理制度。没有介质销毁制度。重要软件或其它资产（如密码本）存放在机房内，可 能会导致容易使内部较易获取或破坏资产；重要资产存放在办公区域内，很容易被外来 人员进行有意或无意的攻击。目前按部门的划分来保护资

31、产，将资产进行了一些简单分类。软件资产无详细登 记，也未将资产划分安全等级。不能对重点资产进行重点保护。尚未制定相应的访问权限与控制的流程与职责，总部和各分厂在处理第三方访问权 限时没有统一的标准与规范；对第三方的监控缺少标准与技术手段，各单位基本没有在 第三方访问时实施有效的监控；在第三方合作完成后，不能及时的注销访问权限、修改 口令，存在第三方继续访问获得机密信息或者进行非法操作的风险。当前 XX 电力缺乏系统规范的应急响应预案。缺乏相应的制度流程，导致系统遭受篡 改或无法使用时，对公司的管理运营具有轻微影响。缺乏系规范的桌面系统安全管理规范，终端人员操作水平不一致，安全意识不足可 能会导

32、致桌面系统的病毒蠕虫事件，以至于网络瘫患；移动硬盘的无规范使用，不仅会 导致病毒泛滥，而且容易将信息泄露或数据破坏及丢失。建设过程中没有同步考虑系统功能和安全性。立项管理阶段：项目前期过程中对安 全的考虑不够完整，主要包括信息安全目标定义不明确，初步安全控制方案存在控制不 足的情况，项目预算调减时导致安全控制被消减；实施管理阶段：缺少统一的安全需求 分析方法、基本保护要求以及安全验收测试，导致在建系统的安全控制方案不能有效地 实现安全目标，开发过程中对开发人员控制不够，使得项目过程文档和内部敏感信息外 流；验收管理阶段：缺乏系统运维计划，包括备份恢复计划、应急预案，有的系统是上 线运行后。4建

33、设目标本期信息网安全建设达到以下目标：? 通过防火墙和入侵检测 / 防护系统的部署，构建网络边界防护，将内部网络 与其他网络进行隔离，避免与外部网络的直接通讯，保证网络结构信息不外泄；? 对各条链路上的服务请求做必要的限制，使非法访问不能到达主机；? 通过防病毒系统的部署，建立完整的系统防病毒体系，防止病毒的侵害；? 通过客户端管理系统的部署，建立客户端资源、行为的必要控制，以及补 丁及时分发，减少内网用户的不安全因素；? 通过省公司本部安全监管平台的部署，初步实现安全事件集中监视和分 析，为下一步建设全省信息安全体系打下基础。5安全区域的划分方案5.1 网络安全域划分原则 安全域是指网络系统

34、内包含相同的安全要求，达到相同的安全防护等级的区域。网 络安全域设计遵循以下原则：1 、内部网络结构层次分明，便于网络隔离和安全规划。2 、网络结构具备高可靠性和高可用性。3、不同的网段在交换机上划分不同虚拟局域网（ VLAN ），不同虚拟局域网（ VLAN ）之间的路由设置访问控制表（ ACL）。4 、地址规划应便于路由汇总以方便路由管理、提高路由广播效率以及简化 ACL 配置。5 、边界和内部的动态路由协议应尽量启用认证，用来防止路由欺骗，否则高明的黑客可以通过发送恶意的路由更新广播包，使得路由器更新路由表，造成网络瘫痪和 路由旁路。6 、所有对网络设备的维护管理启用更可靠的认证。7、交换

35、机 的第三层 模块（ L3 模块） 或防火墙 配置访问 控制表（ACL）。8 、路由器设置反地址欺骗检查。对于路由器，外出（ Outbound ）接收包的源地址只可能是外部地址，不可能是内部地址，同样进入（ Inbound ）接收包的源地址只可 能是内部地址，不可能是外部地址，这样能防止黑客利用策略允许的内部或外部地址进 入网络。9 、启用路由反向解析验证，这在某种程度上牺牲了一定的网络性能，但能有效阻止随机源地址类型的攻击，如同步攻击等（ SyncFlood ）。10 、 路由器过滤所有来自外部网络的源地址为保留地址的数据包。11、 所有提供简单网络管理协议（ SNMP ）服务的设备（路由器

36、、交换 机、计算机设备等）的共用组名（ Community Name ）不能使用缺省，要足够 复杂，并且统一管理。全省按如下网络安全域进行划分：1 、整个省公司划分为四个大的安全域：内部办公区， DMZ （对外业务区），电力信2、息网区（对内业务区） ，若干外联网区域（ Internet ，第三方接入等）； 各安全域之间通过防火墙进行隔离，在防火墙上按照网络应用的需求进行访问策略的设置；3、外网服务器区（DMZ ）的网站、邮件、应用（Web , Mail ,Application ）服务器通过网络地址转换（NAT ）等，对In ternet提供服务；4、电力信息网区的服务器通过防火墙与内部办公

37、区， DMZ 区进行通信，对内提供系统应用；内部办公区视需求进行虚拟局域网（ VLAN ）的进一步划分，由交换机的第三层模块（ L3 模块）进行虚拟局域网（ VLAN ）划分和访问控制表（ ACL ）控制或通过防火墙模块 进行各虚拟局域网（ VLAN ）之间的安全控制。5.2 网络区域边界访问控制需求根据目前公司系统的实际网络状况，在公司系统网络环境中，区域边界主要有以下 几个：互联网与电力信息网的连接边界，电力信息网内各本地局域网与广域网的连接边 界，电力信息网与华东电网的连接边界，电力信息网与国家电网的连接边界，各地市公 司与县公司的连接边界，各地市公司与银行的连接边界。根据网络安全建设的

38、原则，安全等级低的系统应该与安全级别高的系统进行有效隔 离，避免将两者混杂，从而直接降低了高安全级别系统的安全性。安全仅仅依靠操作系统和数据库管理系统权限控制功能。这是远远不够的，任何一 个位于该网络中的客户终端，都可能是一个潜在的对关键服务器的威胁点。因此，首先必须将所有这些服务器按重要等级和国家经贸委划定的“安全区域”进 行分级，其次在科学合理分级的基础上，采用有效的网络隔离措施，隔离这些不同安全 等级的服务器，并进行有效的访问控制。网络隔离的目的最主要的就是要完成网络层访问控制的功能。经常存在的网络滥用 现象本身就是因为缺乏有效的访问控制手段所导致的。从安全的角度来说，应该遵循“最小授权

39、”原则：一个实体应该而且只应该被赋予它完成正常功能所需的最小权限。而 在我们的实际网络运营中，往往忽略了这一原则，任何一个在网络上活动的普通用户， 经常会拥有过多的访问权限。一个用户本来仅仅只需要访问服务器的WEB服务，但是由于缺乏有效的网络层隔离与访问控制机制，这个用户其实拥有对该服务器一切网络服务访问的权限。这种违反“最小授权”的情况事实上经常被人忽略，从而导致了在特定的 情况下安全事件的产生，造成了严重的后果。IP常见的网络层访问控制主要是基于 IP 和端口来进行。对公司系统来说仅仅基于这样 的网络层访问控制是不够的。因为往往客户端的 IP 地址是采用动态分配，很难将某个 地址与特定用户

40、绑定起来。因此需要通过 MAC 地址对用户网络层的访问进行控制。访问控制在多个网络协议层面都是一个必要的安全机制。对重要应用系统来说，其 访问控制要求更为细致，但网络层的访问控制是基础，如果在网络通讯层面以及操作系 统层面都不能保证严格有力的访问控制，应用层面的控制是没有意义的。所以，首先必 须实施全面的区域边界网络隔离与访问控制技术。5.3 边界网络隔离和访问控制为了有效保证同一网络区域内实行相同的安全策略，避免违背安全策略的跨区域访 问（如严格禁止从 Internet 对 XX 电力专网的直接访问），方案采用如下措施进行区域 边界防护。5.3.1 区域边界的访问控制防火墙技术是目前最成熟，

41、应用最普遍的区域边界访问控制技术。它通过设置在不 同网络区域（如可信任的企业内部网和不可信的公共网）或网络安全域之间来实施安全 策略。它是不同网络或网络安全域之间信息的唯一出入口，能根据安全政策控制（允 许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安 全服务，实现网络和信息安全的基础设施。区域边界的防火墙控制技术在上述所有边界均加以实施。5.3.2 敏感区域边界的流量审计 此处的敏感区域边界，主要指安全性相对较高和安全性相对较低网络之间的连接区 域边界，具体到省公司信息系统而言即为 Internet 与信息网系统的连接边界，信息网系 统与国网公司、华东电网、县公司

42、及银行的网络连接边界。对于这些边界的控制，仅仅 使用防火墙策略是不够的。由于敏感区域边界间安全性差别较大，极易出现安全问题， 所以应对跨区域的流量进行完全审计，便于日后的审查需要。5.3.3 敏感区域边界的网络防入侵及防病毒 除了在敏感区域边界间实施流量审计这种被动审计技术外，还应建立主动入侵防御 机制，动态响应跨区域的入侵，这种动态响应技术即为入侵检测和病毒防护技术。因 为，从安全角度来说，当前新兴的病毒威胁已具有相关黑客入侵特征，二者的结合防护 不可或缺。上述三种技术在进行区域边界防护时可互为补充，相辅相成。从工程角度来说，最 好能将三种技术集成在一个产品里，以提供安全功能的集合，一方面便

43、于实施，另一方 面便于后期维护和管理。6XX 电力信息网防火墙部署方案在 Internet 与互联网内容发布平台之间和互联网内容发布平台与电力信息网之间部 署具有防火墙、安全审计、入侵防护和病毒防护等综合功能的安全产品。虽然，公司系统已经部署了部分的思科 PIX 防火墙，但是思科 PIX 防火墙采用的是 防火墙防护技术最初级的一种。思科 PIX 通过包过滤技术实现对用户网络的防护，这种 技术无法应对目前日益猖獗的混合式威胁，也无法提供病毒防护功能。近一两年，基于对边界安全需求的全面考虑，许多安全厂商推出了新型的多功能网 关，新型多功能网关就是在防火墙的基础上提供网关需要的其他安全功能，例如最常

44、见 的是在防火墙上增加虚拟专用网（ VPN ）功能。还有在防火墙上增加防病毒功能。也有 更为先进的是在防火墙上同时集成了虚拟专用网（ VPN ）、防病毒、入侵检测、内容过 滤等全面安全功能。新型多功能网关是网关安全发展的趋势，只有新型多功能网关才能 真正让网关位置成为安全防护体系的重要有力的组成部分。在公司网络系统的网络区域出口处安装此类多功能集成网关安全产品，为用户构建 坚固的网络防线。此类防火墙不但可以防止黑客入侵，而且提供入侵检测 / 防护功能，并 且可以和防火墙自带防病毒系统紧密结合在一起，提供网关级的防病毒保护。考虑到全省信息网移到综合业务数据网上，我们在各地市公司与省公司连接的网关

45、 处均采用千兆防火墙，各地市公司到县公司、银行等采用百兆防火墙。通过防火墙可对不同安全区域之间的网络连接活动进行严格的访问控制，并且不仅 仅如此，通过防火墙可对往来这些网络之间的攻击入侵和病毒传播进行有效的检测和阻 断，从而将高安全区域有效的隔离保护起来，从网络层到应用层进行立体化的区域边界 防御，通过实施该一体化的集成安全网关，使省公司和各地市公司内部网络的安全等级 得到有效提升和保证。6.1 省公司防火墙和集成安全网关的部署1省公司防火墙和集成安全网关部署示意图（老大楼）部署说明：?用于In ternet出口访问控制，已采用PIX防火墙，由于PIX采用的是ASA算法状态检测技术，通过包过滤

46、技术实现对用户网络的防护，这种技术无法应对目 前日益猖獗的混合式威胁，也无法提供病毒防护功能。因此在此方案中我们建议 采用带有防病毒、内容过滤、入侵检测、安全审计为一体的多功能集成安全网 关。通过在集成安全网关上启用相应的安全策略，控制内部用户的对外访问，并 开启防病毒功能以保证内部用户的对外访问不受病毒侵害。另外，通过启用反垃 圾邮件技术，保护内部的邮件服务器免受垃圾邮件的攻击，并根据网络的具体应 用在集成安全网关上启用入侵检测和入侵防护攻击(IDS / IPS)功能，保护互联 网网关处系统免受来自系统内外的攻击。?远程访问虚拟通道(VPN )防火墙，其已采用PIX防火墙，在方案中在PIX

47、VPN 防火墙之后增加集成安全网关，用于移动用户对内网访问的数据解密后进行 病毒防护、内容过滤等。? 在合肥地区单位和省公司网络连接边界处、国网公司、华东公司与省公司 网络连接边界处和电力三级网与省公司网络连接边界处分别部署带有防病毒、内 容过滤、入侵检测、安全审计为一体的多功能集成安全网关。并通过在集成安全 网关上启用相应的安全策略，控制用户的对外访问，并开启防病毒功能以保证用 户的对外访问不受病毒侵害。?在省公司两台CISCO 6506上分别增加1块FWSM防火墙模块，用于各VLAN 之间的安全访问控制。并通过此部署，可以严格控制用户对服务器区的访问 控制。F5防.防火墙日DMZ区FW4

48、（FW3 （增加）FW1 （增加）省信息中心机房国网公司FW6 （增加）FW5 （增加）合肥地区单位电力三级网 ！FW2 （增加）局域网华东二级网可供外网访问的DNS,Mail,IMS服务器群各部门局域网各部门局域网<J省公司防火墙和集成安全网关部署示意图（老大楼）移动用户1G光纤100M五类线网管工作站 OA服务器 认证服务器Web服务器2 省公司防火墙和集成安全网关部署示意图（新大楼）部署说明：1、在省公司与“INTERNET、华东公司、国网公司、各地市公司信息三级网”相连的网络边界采用两层异构防火墙系统，外层防火墙为已经部署的专业安全设备， 用于阻挡来自互联网、国网公司、华东公司等

49、网络攻击和设置访问控制策略。内层防 火墙系统采用集成安全网关。其中互连网安全网关采用双机热备工作方式，即高可用 性HA方式，任何一台设备出现问题，备机均可以迅速替换工作，网络仍能正常运 转。在内层集成安全网关上启用相应的安全策略，控制内部用户的对外访问，并开启 防病毒功能以保证内部用户的对外访问不受病毒侵害。另外，启用反垃圾邮件技术， 保护内部的邮件服务器免受垃圾邮件的攻击，并根据网络的具体应用在集成安全网关 上启用入侵检测和入侵防护攻击（IDS/IPS）功能，保护互联网网关处系统免受来自 系统内外的攻击。2、远程访问虚拟通道（VPN）防火墙，其已采用PIX防火墙，在方案中通过在将PIXVPN

50、 防火墙之后增加集成安全网关，用于移动用户对内网访问解密后的数据进行防 病毒、内容过滤等。3、通过在信息三级网路由系统前增加集成安全网关过滤掉病毒等混合式威胁进入到 信息三级网，从而保护各地市公司的网络安全。4、通过在合肥城域网之前部署集成安全网关过滤掉合肥地区单位病毒等混合式威胁 进入省公司内网。5、在省公司两台服务器区三层交换机上分别增加 1块FWSM防火墙模块，用于对服 务器的安全访问控制。防火墙管理中心省公司防火墙模块和集成安全网关部署图集成安全网关楼层无线接入楼层有线接入集成安全网关系统I.JGII 4 III 1： III«II SK IIBlJll IU JllI IB

51、IL UjjP.-i防火墙系统Internet新大楼核 心交换机老大楼核 心交换机集成安全网关系统一 可供外网访问的DNS,Mail,IMS服务器群合肥城域网万兆以太网 千兆以太网百兆以太网/< I Wl.JT华东网络 国网网络 集成综合数据网全网关系统.11 IIL Ul Ilk «U4 IM J M JIB IIJBillBlldlLI h Ul I. IU 11 I OA服务器服务器群IB B SB增加防火墙模块地市客户端路由CR注：结合省公司老大楼和新大楼的部署情况，建议总共增加 6台集成安全网关 （其中5台千兆集成安全网关，1台百兆集成安全网关）；2块思科FWSM防火

52、墙模 块。6.2地市公司防火墙和集成安全网关的部署对公司系统各地市公司来说，其中一大威胁就是县公司的防御比较脆弱，一旦某县 公司局部网络出现安全事件如蠕虫病毒蔓延等，势必将导致该威胁在整个大网中进行蔓 延和传播，通过将县公司的广域网连接路由器与地市公司连接省公司的路由器隔离开来，将各县公司纳入到地市公司的安全管理范围内，确保各县公司网络不对信息三级网 构成威胁。部署说明：1、在地市公司与县公司相连的路由器前增加集成安全网关，防止县公司网络安全威 胁到信息网，并通过在集成安全网关上启用相应的安全策略，控制县公司用户的对信息 网的访问，并开启防病毒功能以防止县公司的病毒侵害到信息网。另外，在集成安

53、全网 关上启用防攻击入侵检测/入侵防护（IDS/IPS）功能，使信息网络系统免受来自县公司 的攻击。2、在地市公司与省公司相连的路由器后增加千兆防火墙，隔离各地市公司网络的相 互威胁，并通过防火墙设置访问控制。3、地市公司与银行相连的前置机后增加集成安全网关，通过设置访问策略，仅允许 银行访问前置机 IP 地址和数据应用端口号。四级网新增设备百兆集成安全网关县公司DMZ区服务器市公司办公区域省公司三级网新增设备千兆防火墙百兆集成安全网关服务器集群集成安全网关银电联网新增设备千兆防火墙市公司千兆防火墙、集成安全网关部署图新增集成安全网关前置机一路由器al银行1 银行2 银行3银电联网集成安全网关

54、部署图备注：1.在市公司与银行相连的集成安全网关可以采用市公司与省公司相连的退下来的百兆防火墙代替2.在地市公司与省公司广域处的网关防火墙可以使用在交换机上增加防火墙模块代 替，增加防火墙模块的优点 :不仅在省公司连接的广域网网关处实现访问控制，而且在不 同的 VLAN 之间的访问控制也可以实现，尤其是对服务器区的访问控制。6.3 技术要求1、集成安全网关主要功能和技术要求如下：?采用网络处理器（NetworkProcessor : NP）和专用集成电路（ASIC）架构。? 集成防火墙、基于协议异常和基于攻击特征的入侵防御及入侵检测、病毒 防护、内容过滤、电子邮件过滤等。? 可以提供集中管理，

55、通过集中的日志记录、警报、报告和策略配置简化网 络安全的管理。?支持路由、网络地址转换（NAT ）和透明模式等。? 支持内置认证数据库认证、支持 Radius 服务器认证。? 支持策略路由。? 防火墙本身应具有较强的抗攻击能力。? 支持静态地址转换、动态地址转换、端口转换、反向 IP 映射、双向地址转? 支持流量管理和控制。?支持OS、入侵检测库、防病毒库、内容过滤库等在线升级。? 支持标准日志记录和审计。? 支持标准联动协议，可以与入侵检测系统、网络防病毒系统、信息审计系 统、认证系统、 VPN 设备、日志服务器等进行联动。2、防火墙主要功能和技术要求如下：?采用网络处理器(NetworkP

56、rocessor : NP)和专用集成电路(ASIC)架构。? 可以提供集中管理，通过集中的日志记录、警报、报告和策略配置简化网络安全的管理。?支持路由、网络地址转换(NAT )和透明模式等。? 支持内置认证数据库认证、支持 Radius 服务器认证。? 支持策略路由。? 防火墙本身应具有较强的抗攻击能力。? 支持静态地址转换、动态地址转换、端口转换、反向 IP 映射、双向地址转? 支持流量管理和控制。? 支持标准日志记录和审计。? 支持标准联动协议，可以与入侵检测系统、网络防病毒系统、信息审计系 统、认证系统、 VPN 设备、日志服务器等进行联动。7XX 电力信息网网络防病毒方案7.1 XX 电力防病毒软件应用现状 公司系统现有的防病毒系统主要目的是保护办公系统。邮件服务器采用 Domino Notes 系统，运行于 Windows 2000 Server 系统平台。各单位局域网已经部署的防病毒软件包括:? 赛门铁克 (Symantec) 公司防病毒产品? 趋势 (TrendMicro) 公司防病毒产品? 瑞星公司防病毒产品其中以 Symantec 和 TrendMicro 产品