2022年信息系统等级安全服务方案

1、.精选文档精选文档.精选文档信息系统等级平安方案二零零九年八月版权声明本文中出现的任何文字表达、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属国网电力科学研究院/国网信息网络平安实验室和山东省电力集团公司所有，受到有关产权及版权法保护。任何个人、机构未经国网电力科学研究院/国网信息网络平安实验室和山东省电力集团公司的书面授权许可，不得以任何方式复制或引用本文的任何片断。文档信息文档名称山东省电力集团公司信息系统等级保护建设方案文档管理编号INSL-SDDL-BLT-2021-FA保密级别商 密文档版本号V3.0制作人郭骞制作日期2021年6月复审人余 勇复审日期2021年6月

2、扩散范围国家电网公司信息网络平安实验室山东省电力集团公司扩散批准人林为民版本变更记录时间版本说明修改人2021-V1.0创立文档郭骞2021-V2.0修改文档俞庚申2021-V3.0文档复审定稿余 勇适用性声明本报告由国网电力科学研究院/国网信息网络平安实验室撰写，适用于山东省电力集团公司信息系统等级保护工程。目 录 TOC o 1-3 h z u HYPERLINK l _Toc235008945 1.工程概述 PAGEREF _Toc235008945 h 1 HYPERLINK l _Toc235008946 1.1目标与范围 PAGEREF _Toc235008946 h 1 HYPE

3、RLINK l _Toc235008947 1.2方案设计 PAGEREF _Toc235008947 h 2 HYPERLINK l _Toc235008948 1.3参照标准 PAGEREF _Toc235008948 h 2 HYPERLINK l _Toc235008949 2.等保现状及建设总目标 PAGEREF _Toc235008949 h 2 HYPERLINK l _Toc235008950 2.1等级保护现状 PAGEREF _Toc235008950 h 2 HYPERLINK l _Toc235008951 2.1.1国家电网公司等保评测结果 PAGEREF _Toc2

4、35008951 h 2 HYPERLINK l _Toc235008952 2.1.2公安部等保测评结果 PAGEREF _Toc235008952 h 4 HYPERLINK l _Toc235008953 2.2等级保护建设总体目标 PAGEREF _Toc235008953 h 5 HYPERLINK l _Toc235008954 3.平安域及网络边界防护 PAGEREF _Toc235008954 h 5 HYPERLINK l _Toc235008955 3.1信息网络现状 PAGEREF _Toc235008955 h 5 HYPERLINK l _Toc235008956 3

5、.2平安域划分方法 PAGEREF _Toc235008956 h 8 HYPERLINK l _Toc235008957 3.3平安域边界 PAGEREF _Toc235008957 h 9 HYPERLINK l _Toc235008958 3.3.1二级系统边界 PAGEREF _Toc235008958 h 9 HYPERLINK l _Toc235008959 3.3.2三级系统边界 PAGEREF _Toc235008959 h 10 HYPERLINK l _Toc235008960 3.4平安域的实现形式 PAGEREF _Toc235008960 h 11 HYPERLINK

6、 l _Toc235008961 3.5平安域划分及边界防护 PAGEREF _Toc235008961 h 12 HYPERLINK l _Toc235008962 3.5.1平安域的划分 PAGEREF _Toc235008962 h 12 HYPERLINK l _Toc235008963 4.信息平安管理建设 PAGEREF _Toc235008963 h 16 HYPERLINK l _Toc235008964 4.1建设目标 PAGEREF _Toc235008964 h 16 HYPERLINK l _Toc235008965 4.2平安管理机构建设 PAGEREF _Toc23

7、5008965 h 17 HYPERLINK l _Toc235008966 4.3平安管理制度完善 PAGEREF _Toc235008966 h 17 HYPERLINK l _Toc235008967 5.二级系统域建设 PAGEREF _Toc235008967 h 17 HYPERLINK l _Toc235008968 5.1概述与建设目标 PAGEREF _Toc235008968 h 17 HYPERLINK l _Toc235008969 5.2网络平安 PAGEREF _Toc235008969 h 18 HYPERLINK l _Toc235008970 5.2.1网络平

8、安建设目标 PAGEREF _Toc235008970 h 18 HYPERLINK l _Toc235008971 5.2.2地市公司建设方案 PAGEREF _Toc235008971 h 19 HYPERLINK l _Toc235008972 5.3主机平安 PAGEREF _Toc235008972 h 24 HYPERLINK l _Toc235008973 5.3.1主机平安建设目标 PAGEREF _Toc235008973 h 24 HYPERLINK l _Toc235008974 5.3.2主机身份鉴别 PAGEREF _Toc235008974 h 25 HYPERLI

9、NK l _Toc235008975 5.3.3访问控制 PAGEREF _Toc235008975 h 27 HYPERLINK l _Toc235008976 5.3.4平安审计 PAGEREF _Toc235008976 h 29 HYPERLINK l _Toc235008977 5.3.5入侵防范 PAGEREF _Toc235008977 h 31 HYPERLINK l _Toc235008978 5.3.6恶意代码防范 PAGEREF _Toc235008978 h 33 HYPERLINK l _Toc235008979 5.3.7资源控制 PAGEREF _Toc23500

10、8979 h 33 HYPERLINK l _Toc235008980 5.4应用平安 PAGEREF _Toc235008980 h 35 HYPERLINK l _Toc235008981 5.4.1应用平安建设目标 PAGEREF _Toc235008981 h 35 HYPERLINK l _Toc235008982 5.4.2身份鉴别 PAGEREF _Toc235008982 h 36 HYPERLINK l _Toc235008983 5.4.3平安审计 PAGEREF _Toc235008983 h 36 HYPERLINK l _Toc235008984 5.4.4通信完整性

11、、通信保密性 PAGEREF _Toc235008984 h 37 HYPERLINK l _Toc235008985 5.4.5资源控制 PAGEREF _Toc235008985 h 38 HYPERLINK l _Toc235008986 5.5数据平安及备份恢复 PAGEREF _Toc235008986 h 39 HYPERLINK l _Toc235008987 5.5.1数据平安及备份恢复建设目标 PAGEREF _Toc235008987 h 39 HYPERLINK l _Toc235008988 5.5.2数据完整性、数据保密性 PAGEREF _Toc235008988

12、h 39 HYPERLINK l _Toc235008989 6.三级系统域建设 PAGEREF _Toc235008989 h 41 HYPERLINK l _Toc235008990 6.1概述与建设目标 PAGEREF _Toc235008990 h 41 HYPERLINK l _Toc235008991 6.2物理平安 PAGEREF _Toc235008991 h 41 HYPERLINK l _Toc235008992 6.2.1物理平安建设目标 PAGEREF _Toc235008992 h 41 HYPERLINK l _Toc235008993 6.2.2机房感应雷防护措施

13、 PAGEREF _Toc235008993 h 42 HYPERLINK l _Toc235008994 6.2.3物理访问控制 PAGEREF _Toc235008994 h 42 HYPERLINK l _Toc235008995 6.2.4防盗措施 PAGEREF _Toc235008995 h 42 HYPERLINK l _Toc235008996 6.2.5防火措施 PAGEREF _Toc235008996 h 43 HYPERLINK l _Toc235008997 6.2.6防水和防潮 PAGEREF _Toc235008997 h 44 HYPERLINK l _Toc2

14、35008998 6.2.7电磁防护 PAGEREF _Toc235008998 h 44 HYPERLINK l _Toc235008999 6.3网络平安建设方案 PAGEREF _Toc235008999 h 45 HYPERLINK l _Toc235009000 6.3.1网络平安建设目标 PAGEREF _Toc235009000 h 45 HYPERLINK l _Toc235009001 6.3.2山东省电力集团公司建设方案 PAGEREF _Toc235009001 h 45 HYPERLINK l _Toc235009002 6.4主机平安 PAGEREF _Toc2350

15、09002 h 51 HYPERLINK l _Toc235009003 6.4.1主机平安建设目标 PAGEREF _Toc235009003 h 51 HYPERLINK l _Toc235009004 6.4.2主机身份鉴别 PAGEREF _Toc235009004 h 51 HYPERLINK l _Toc235009005 6.4.3访问控制 PAGEREF _Toc235009005 h 54 HYPERLINK l _Toc235009006 6.4.4平安审计 PAGEREF _Toc235009006 h 57 HYPERLINK l _Toc235009007 6.4.5

16、剩余信息保护 PAGEREF _Toc235009007 h 60 HYPERLINK l _Toc235009008 6.4.6入侵防范 PAGEREF _Toc235009008 h 60 HYPERLINK l _Toc235009009 6.4.7恶意代码防范 PAGEREF _Toc235009009 h 62 HYPERLINK l _Toc235009010 6.4.8资源控制 PAGEREF _Toc235009010 h 63 HYPERLINK l _Toc235009011 6.5应用平安 PAGEREF _Toc235009011 h 64 HYPERLINK l _T

17、oc235009012 6.5.1应用平安建设目标 PAGEREF _Toc235009012 h 64 HYPERLINK l _Toc235009013 6.5.2身份鉴别 PAGEREF _Toc235009013 h 64 HYPERLINK l _Toc235009014 6.5.3访问控制 PAGEREF _Toc235009014 h 66 HYPERLINK l _Toc235009015 6.5.4平安审计 PAGEREF _Toc235009015 h 66 HYPERLINK l _Toc235009016 6.5.5剩余信息保护 PAGEREF _Toc23500901

18、6 h 68 HYPERLINK l _Toc235009017 6.5.6通信完整性、通信保密性、抗抵赖 PAGEREF _Toc235009017 h 68 HYPERLINK l _Toc235009018 6.5.7资源控制 PAGEREF _Toc235009018 h 70 HYPERLINK l _Toc235009019 6.6数据平安及备份恢复 PAGEREF _Toc235009019 h 71 HYPERLINK l _Toc235009020 6.6.1数据平安及备份恢复建设目标 PAGEREF _Toc235009020 h 71 HYPERLINK l _Toc23

19、5009021 6.6.2数据完整性、数据保密性 PAGEREF _Toc235009021 h 71 HYPERLINK l _Toc235009022 6.6.3备份和恢复 PAGEREF _Toc235009022 h 72工程概述根据国家电网公司?关于信息平安等级保护建设的实施指导意见信息运安202127号?和山东省电力集团公司对等级保护相关工作提出的要求，落实等级保护各项任务，提高山东省电力集团公司信息系统平安防护能力，特制定本方案。目标与范围公司为了落实和贯彻公安部、国家保密局、国家密码管理局、电监会等国家有关部门信息平安等级保护工作要求，全面完善公司信息平安防护体系，落实公司“双

20、网双机、分区分域、等级防护、多层防御的平安防护策略，确保等级保护工作在各单位的顺利实施，提高公司整体信息平安防护水平，开展等级保护建设工作。前期在省公司及地市公司开展等级保护符合性测评工作，对地市公司进行测评调研工作，范围涵盖内网门户、外网门户、财务管理系统、营销管理系统、电力市场交易系统、生产管理信息系统、协同办公系统、人力资源管理系统、物资管理系统、工程管理系统、邮件系统、公司广域网SGInet、管理制度这13个业务系统分类，分析测评结果与等级保护要求之间的差距，提出本的平安建设方案。本方案主要遵循GB/T22239-2021?信息平安技术信息平安等级保护根本要求?、?信息平安等级保护管理

21、方法?公通字200743号、?信息平安技术 信息平安风险评估标准?GB/T 20984-2007、?国家电网公司信息化“SG186工程平安防护总体方案?、ISO/IEC 27001信息平安管理体系标准和ISO/IEC 13335信息平安管理标准等。实施的范围包括：省公司本部、各地市公司。通过本方案的建设实施，进一步提高信息系统等级保护符合性要求，将整个信息系统的平安状况提升到一个较高的水平，并尽可能地消除或降低信息系统的平安风险。方案设计根据等级保护前期测评结果，省公司本部及各地市公司信息系统存在的漏洞、弱点提出相关的整改意见，并最终形成平安解决方案。参照标准GB/T22239-2021?信息

22、平安技术信息平安等级保护根本要求?信息平安等级保护管理方法?公通字200743号?信息平安技术 信息平安风险评估标准?GB/T 20984-2007?国家电网公司信息化“SG186工程平安防护总体方案?ISO/IEC 27001信息平安管理体系标准ISO/IEC 13335信息平安管理标准?国家电网公司“SG186工程信息系统平安等级保护验收测评要求征求意见稿?国家电网公司信息机房设计及建设标准?国家电网公司信息系统口令管理规定?GB50057-94?建筑防雷设计标准?国家电网公司应用软件通用平安要求?建设总目标等级保护建设总体目标综合考虑省公司现有的平安防护措施，针对与?信息平安技术信息系统

23、平安等级保护根本要求?间存在的差异，整改信息系统中存在的问题，使省公司及地市公司信息系统满足?信息平安技术信息系统平安等级保护根本要求?中不同等级的防护要求，顺利通过国家电网公司或公安部等级保护建设测评。平安域及网络边界防护根据GB/T22239-2021?信息平安技术信息平安等级保护根本要求?、?国家电网公司信息化“SG186工程平安防护总体方案?及?国家电网公司“SG186工程信息系统平安等级保护验收测评要求征求意见稿?的要求，省公司及地市公司信息系统按照业务系统定级，根据不同级别保护需求，按要求划分平安区域进行分级保护。因此，平安域划分是进行信息平安等级保护建设的首要步骤。信息网络现状山

24、东省电力集团公司各地市信息内网拓扑典型结构：图：典型信息网络现状主要问题：各平安域之间缺乏有效的控制措施不能够保障业务系统平安、独立运行，不受其他业务系统的影响。根据GB/T22239-2021?信息平安技术信息平安等级保护根本要求?和?国家电网公司信息化“SG186工程平安防护总体方案?的建设要求，省公司和各地市信息网络平安域需根据业务系统等级进行重新划分。平安域划分方法依据国家电网公司平安分区、分级、分域及分层防护的原那么，管理信息大区按照双网隔离方案又分为信息内网与信息外网。本方案主要针对公司信息系统进行等级保护建设。在进行平安防护建设之前，首先实现对信息系统的平安域划分。依据SG186

25、总体方案中 “二级系统统一成域，三级系统独立分域的要求，结合省公司MPLS VPN现状，采用纵向MPLS VPN结合VLAN划分的方法，将全省信息系统分为：信息内网区域可分为：电力市场交易系统MPLS VPN或相应纵向通道：包含省公司电力市场交易应用效劳器VLAN、省公司电力市场交易办公终端；财务管理系统MPLS VPN或相应纵向通道：包含省公司财务管理系统VLAN、省公司财务办公终端VLAN、各地市财务办公终端VLAN13个；营销管理系统MPLS VPN或相应纵向通道：省公司营销系统VLAN、省公司营销办公终端VLAN、各地市营销系统VLAN13个、各地市营销办公终端VLAN13个二级系统M

26、PLS VPN或相应纵向通道二级系统包括：内部门户网站、生产管理信息系统、协同办公系统、人力资源管理系统、物资管理系统、工程管理系统和邮件系统：公共效劳MPLS VPN或相应纵向通道：包含DNS、FTP等全省需要访问的公共效劳信息内网桌面终端域信息外网区的系统可分为：电力市场交易系统域营销管理系统域95598外网二级系统域外网门户等信息外网桌面终端域平安域的具体实现采用物理防火墙隔离、虚拟防火墙隔离或Vlan隔离等形式进行平安域划分。平安域边界二级系统边界二级系统域存在的边界如下表：边界类型边界描述第三方网络边界Internet边界纵向网络边界省公司与华北电网公司间、省公司与其地市公司之间横向

27、域间边界在信息内外网区与桌面终端域的边界在信息内外网区与根底系统域的边界与财务系统域之间的边界与电力市场交易系统域的边界与营销管理系统域间的边界二级系统域的网络边界拓扑示意图如下：三级系统边界财务管理系统、电力市场交易系统和营销系统均涉及信息内网与银行联网存在第三方网络边界接口、省公司与地市公司之间网络边界接口、信息内网横向域间其它二级系统域间接口，电力市场交易系统还涉及信息外网与Internet存在第三方网络边界接口。三级系统域存在的边界如下表：边界类型边界描述信息外网第三方边界与Internet互联网的边界，实现：公共效劳通道遥远站所、移动效劳、PDA现场效劳、居民集中抄表、负控终端采集、

28、抢修车辆GPS定位等与其他社会代收机构连接VPN网上营业厅短信效劳时钟同步信息内网第三方边界银企互联边界与其他社会代收机构的边界专线连接公共效劳通道专线、GPRS、CDMA等纵向网络边界省公司与地市公司横向域间边界与二级系统域间的边界与内外网桌面终端域的边界与内外网根底系统域的边界与其它三级域之间的边界三级系统域的网络边界拓扑示意图如下：平安域的实现形式平安域实现方式以划分逻辑区域为主，旨在实现各平安区域的逻辑划分，明确边界以对各平安域分别防护，并且进行域间边界控制，平安域的实体展现为一个或多个物理网段或逻辑网段的集合。对公司信息系统平安域的划分手段采用如下方式：防火墙平安隔离：采用双接口或多

29、接口防火墙进行边界隔离，在每两个平安域的边界部署双接口防火墙，或是采用多接口防火墙的每个接口分别与不同的平安域连接以进行访问控制。虚拟防火墙隔离：采用虚拟防火墙实现各平安域边界隔离，将一台防火墙在逻辑上划分成多台虚拟的防火墙，每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备，可拥有独立的系统资源、管理员、平安策略、用户认证数据库等。在本方案实现中，可以为每个平安域建立独立的虚拟防火墙进行边界平安防护。三层交换机Vlan隔离：采用三层交换机为各平安域划分Vlan，采用交换机访问控制列表或防火墙模块进行平安域间访问控制。二层交换机Vlan隔离：在二层交换机上为各平安域划分Vlan，采用Tr

30、unk与路由器或防火墙连接，在上联的路由器或防火墙上进行访问控制。对于一个应用的子系统跨越多个物理环境如设备机房所带来的分域问题，由于平安域为逻辑区域，可以将公司层面上的多个物理网段或子网归属于同一平安域实现平安域划分。平安域划分及边界防护平安域的划分结合SG186总体方案中定义的“二级系统统一成域，三级系统独立分域，在不进行物理网络调整的前提下，将财务系统和物资与工程系统进行别离，使三级财务系统独立成域，二级系统物资和工程管理归并和其他二级系统统一成域，在VPN内，建立ACL控制桌面终端与效劳器间的访问，现将省公司信息系统逻辑平安域划分如下：图：省公司内网逻辑划分图图：全省信息系统MPLS

31、VPN平安域划分逻辑图图：信息外网平安域划分逻辑图在原有的MPLS VPN的根底上结合VLAN划分方法，根据等级保护及国网SG186总体防护方案有求，对全省信息系统进行平安域划分。三级系统与二级系统进行别离：集中集成区域的三台小型机采用集群模式部署了财务、物资、工程这三个业务系统，由于财务为三级业务系统，应要独立成域，必须将财务系统从集群中别离出来，安装在独立的效劳器或者小型机上，接入集中集成区域或新大楼效劳器区。划分平安域，明确保护边界：采用MPLS VPN将三级系统划分为独立平安域。财务系统MPLS VPN、电力市场交易系统MPLS VPN、营销系统MPLS VPN、二级系统平安域、桌面平

32、安域、公共应用效劳平安域。二级系统平安域包含除三级系统外的所有应用系统效劳器；桌面平安域包含各业务部门桌面终端VLAN；公共引用效劳平安域为全省均需要访问的应用效劳器，如DNS等。目前信息外网存在三大业务系统：外网门户、营销系统95598网站、电力市场交易系统外网网站。根据等级保护要求应将营销系统95598网站和电力市场交易系统外网网站分别划分独立的VLAN，并在边界防火墙上设置符合等级保护三级要求的VLAN访问控制策略。部署访问控制设备或设置访问控制规那么在各平安域边界设置访问控制规那么，其中平安域边界按照“平安域边界章节所列举的边界进行防护。访问控制规那么可以采用交换机访问控制策略或模块化

33、逻辑防火墙的形式实现。二级系统平安域边界访问控制规那么可以通过交换机的访问控制规那么实现，访问控制规那么满足如下条件：根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级。按用户和系统之间的允许访问规那么，控制粒度为单个用户。三级系统平安域边界的平安防护需满足如下要求：根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；对进出网络的信息内容进行过滤，实现对应用层协议命令级的控制。入侵检测系统部署：二级系统、三级系统平安域内应部署入侵检测系统，并根据业务系统情况制定入侵检测策略，检测范围应包含二级系统效劳器、三级系统效劳器、其他应用效劳器，入侵检测应满足

34、如下要求：定制入侵检测策略，如根据所检测的源、目的地址及端口号，所需监测的效劳类型以定制入侵检测规那么；定制入侵检测重要事件即时报警策略；入侵检测至少可监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝效劳攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；当检测到攻击行为时，入侵检测系统应当记录攻击源IP、攻击类型、攻击目的IP、攻击时间，在发生严重入侵事件时应能提供及时的报警信息。信息平安管理建设建设目标省公司信息系统的管理与运维总体水平较高，各项管理措施比较到位，经过多年的建设，已形成一整套完备有效的管理制度。省公司通过严格、标准、全面的管理制度，结适宜当的技术手段来保障信息系统的

35、平安。管理标准已经包含了信息平安策略、信息平安组织、资产管理、人力资源平安、物理与环境平安、通讯与操作管理、访问控制、信息系统的获取、开发和维护、信息平安事故管理、业务连续性管理等方面，但与?信息平安技术信息系统平安等级保护根本要求?存在一定的差距，需进行等级保护建设。通过等级保护管理机构与制度建设，完善公司信息系统管理机构和管理制度，落实?信息平安技术信息系统平安等级保护根本要求?管理制度各项指标和要求,提高公司信息系统管理与运维水平。通过等级保护建设，实现如下目标：落实?信息平安技术信息系统平安等级保护根本要求?管理制度各项指标和要求。在公司信息平安总体方针和平安策略的引导下，各管理机构能

36、按时需要规划公司信息平安开展策略，及时发布公司各类信息平安文件和制度，对公司各类平安制度中存在的问题定期进行修订与整改。系统管理员、网络管理员、平安管理员等信息平安管理与运维工作明确，明确平安管理机构各个部门和岗位的职责、分工和技能要求。在平安技术培训与知识交流上，能拥有平安业界专家、专业平安公司或平安组织的技术支持，以保证省公司信息系统平安维护符合各类平安管理要求并与时俱进。二级系统域建设概述与建设目标二级系统域是依据等级保护定级标准将国家电网公司应用系统定为二级的所有系统的集合，按分等级保护方法将等级保护定级为二级的系统集中部署于二级系统域进行平安防护，二级系统域主要涵盖与二级系统相关的主

37、机、效劳器、网络等。省公司二级系统主要包括内部门户网站、对外门户网站、生产管理信息系统、协同办公系统、人力资源管理系统、物资管理系统、工程管理系统和邮件系统等共8个二级系统，除对外门户外，其它七个内网二级系统需按二级系统要求统一成域进行平安防护。二级系统域等级保护建设目标是落实?信息平安技术信息平安等级保护根本要求?中二级系统各项指标和要求，实现信息系统二级系统统一成域，完善二级系统边界防护，配置合理的网络环境，增强二级系统主机系统平安防护及二级系统各应用的平安与稳定运行。针对?信息平安技术信息平安等级保护根本要求?中二级系统各项指标和要求，保障系统稳定、平安运行，本方案将二级系统域平安解决方

38、案分为边界防护、网络环境、主机系统及应用平安四个层面进行平安建设。网络平安网络平安建设目标省公司下属各地市公司网络平安建设按照二级系统要求进行建设，通过等级保护建设，实现如下目标：网络结构清晰，具备冗余空间满足业务需求，根据各部门和业务的需求，划分不同的子网或网段，网络图谱图与当前运行情况相符；各网络边界间部署访问控制设备，通过访问控制功能控制各业务间及办公终端间的访问；启用网络设备平安审计，以追踪网络设备运行状况、设备维护、配置修改等各类事件；网络设备口令均符合国家电网公司口令要求，采用平安的远程控制方法对网络设备进行远程控制。地市公司建设方案根据测评结果，地市公司信息网络中网络设备及技术方

39、面主要存在以下问题：网络设备的远程管理采用明文的Telnet方式；局部网络设备采用出厂时的默认口令，口令以明文的方式存储于配置文件中；交换机、IDS等未开启日志审计功能，未配置相应的日志效劳器；供电公司内网与各银行间的防火墙未配置访问控制策略；网络设备采用相同的SNMP口令串进行管理；未开启网络设备登录失败处理功能，未限制非法登录次数，当网络登录连接超时时未设置自动退出等措施；缺少对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查与监测措施；未限制网络最大流量数及网络连接数；未限制具有拨号访问权限的用户数量。针对以上问题，结合?信息平安技术信息平安等级保护根本要求?给出相应整改

40、方案如下：关闭防火墙、交换机和IDS的telnet效劳，启用平安的管理效劳，如SSH和 s。局部不支持SSH的交换机应在交换机上限制可telnet远程管理的用户地址，实施配置如下以思科交换机为例：Router#config terminalRouter(config)#access-list 10 permit tcp 20 eq 23 any只允许20机器telnet登录，如需配置某一网段可telnet远程管理，可配置为：access-list 10 permit tcp 55 eq 23 anyRouter(config)#line vty 0 4配置端口0-4Router(Config-

41、line)#Transport input telnet开启telnet协议，如支持ssh，可用ssh替换telnetRouter(Config-line)#exec-timeout 5 0Router(Config-line)#access-class 10 inRouter(Config-line)#endRouter#config terminalRouter(config)#line vty 5 15Router(Config-line)#no login(建议vty开放5个即可，多余的可以关闭)Router(Config-line)#exitRouter(Config)#exitRo

42、uter#write修改网络设备出厂时的默认口令，且修改后的口令应满足长度大于等于8位、含字母数字和字符的强度要求，其它不满足此口令强度要求的，均应要进行修改。局部楼层接入交换机，应及时修改口令；交换机应修改其SNMP口令串；防火墙口令应满足口令强度要求。交换机SNMP口令串修改实施步骤如下以思科交换机为例：Router#config terminal Router(config)# no snmp-server community COMMUNITY-NAME1 RO 删除原来具有RO权限的COMMUNITY-NAME1Router(config)# snmp-server communit

43、y COMMUNITY-NAME RO 如需要通过snmp进行管理，那么创立一个具有读权限的COMMUNITY-NAME，假设COMMUNITY-NAME权限为RW,那么将命令行中RO更改为RWRouter(config)# snmp-server enable traps 允许发出TrapRouter(config)#exitRouter#write交换机、IDS和防火墙等应开启日志审计功能，并配置日志效劳器保存交换机、IDS和防火墙的日志信息。以思科交换机为例，日志审计和日志收集存储于效劳器实施配置如下：Route#config terminalRoute(config)#logging

44、on 启用日志审计 Route(config)#logging console notification 设置控制等级为5级：notificationRoute(config)#!Set a 16K log buffer at information level Route(config)#logging buffered 16000 information 设置其大小为16KRoute(config)#!turn on time/date stamps in log messages Route(config)#service timestamp log datetime msec loca

45、l show-timezone Route(config)#!set monitor logging level to level 6 Route(config)#logging monitor information Route(config)#exit Route#!make this session receive log messages Route#terminal monitor Route#config terminal Route(config)#logging trap information 控制交换机发出日志的级别为6级：informationRoute(config)#

46、logging 88 将日志发送到88，如需修改效劳器，可采用Route(config)#no logging 88删除，然后重新配置日志效劳器Route(config)#logging facility local6 Route(config)#logging source-interface FastEthernet 0/1 设置发送日志的以太网口Route(config)#exit Route#config terminal Route(config)#logging trap information Route(config)#snmp-server host traps public

47、 配置发送trap信息主机Route(config)#snmp-server trap-source Ethernet 0/1 Route(config)#snmp-server enable traps syslog Route(config)#exitRoute# write供电公司内网与各银行和移动或电信间的防火墙应配置访问控制策略保证供电公司信息内网的平安。根据?国家电网公司信息系统口令管理规定?制定或沿用其以管理省公司网络设备口令。?国家电网公司信息系统口令管理规定?具体内容如下：第四条口令必须具有一定强度、长度和复杂度，长度不得小于8位字符串，要求是字母和数字或特殊字符的混合，用户

48、名和口令禁止相同。第五条个人计算机必须设置开机口令和操作系统管理员口令，并开启屏幕保护中的密码保护功能。第六条口令要及时更新，要建立定期修改制度，其中系统管理员口令修改间隔不得超过3个月，并且不得重复使用前3次以内的口令。用户登录事件要有记录和审计，同时限制同一用户连续失败登录次数，一般不超过3次。所有网络设备均应开启网络设备登录失败处理功能、限制非法登录次数、当网络登录连接超时时自动退出等措施。以思科交换机为例，网络登录连接超时时自动退出实施如下：Router#config terminalRouter(Config)#line con 0 配置控制口Router(Config-line)#

49、exec-timeout 5 0 设置超时5分钟Router(Config-line)#exitRouter(Config)#exitRouter#write部署桌面管理系统，对内部网络中的用户网络连接状态进行实时监控，以保证内部用户不可私自联到外部网络；配置桌面管理系统策略，对私自连接到外网的内部用户进行准确定位并阻断内外网互通。在交换机上限制网络最大流量数及网络连接数，通过限制某些网段网络效劳提高网络通信流量。以思科交换机为例，实施配置如下：Router#config terminal Router(config)# access-list 101 deny tcp 55 any www禁

50、止网段访问InternetRouter(config)# access-list 102 deny tcp 55 any ftp禁止网段ftp效劳Router(config)# ip nat translation max-entries 55 200限制网段的主机NAT的条目为200条Route(config)#exitRoute# write限制具有拨号访问权限的用户。由于营销系统存储EMC，需要进行远程拨号维护；需要关闭远程拨号效劳，采用更为平安的管理维护方式。主机平安主机平安建设目标省公司及其各地市公司信息中心对主机进行了一定的平安策略配置，并建立相关平安管理制度，由专人负责主机平安运

51、行与维护，总体平安性较高。但仍有一些平安问题亟待解决，如平安审计不严格、开启非必须效劳以及默认的用户口令策略等。针对省公司及其地市公司二级系统主机存在的问题，结合?信息平安技术信息平安等级保护根本要求?，从主机身份鉴别、访问控制、平安审计、入侵防范、恶意代码防范和资源控制等方面进行主机平安等级保护建设与改造，以实现以下目标：对主机的登录有严格的身份标识和鉴别；有严格的访问控制策略限制用户对主机的访问与操作；有严密的平安审计策略保证主机出现故障时可查；拥有相关技术手段，抵抗非法入侵和恶意代码攻击。主机身份鉴别省公司及地市公司主机身份鉴别现状与等级保护要求存在一定的差距，应对以下几个方面进行完善主

52、机身份鉴别：对登录操作系统的用户进行身份标识和鉴别；操作系统管理用户身份标识具有不易被冒用的特点，口令有复杂度并定期更换；启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；对效劳器进行远程管理时，采取必要措施，防止鉴别信息在网络传输过程中被窃听；整改措施：对登录操作系统的管理员用户和普通用户均设置口令；删除操作系统中过期的账户，修改操作系统中默认帐户和口令，检查操作系统中是否存在相同用户名的账户。操作系统操作方式AIX检查/etc/passwd密码域中存在“*的帐户，删除不必要的账户，或增设口令；WINDOWS删除非法帐号或多余帐号，更改默认管理员帐号，将原Adminis

53、trator名称改成不被人熟识的帐户，新建一个普通用户，将其重命名为Administrator，并将其权限设为最低，口令复杂度为32位以上；选择“本地用户和组的“用户，可设置口令、删除或禁用非必需账户或禁用Guest账户。注：管理员账号Administrator重命名后，可能会导致某些效劳不能用，如SQL Server数据库可能无法启动，修改前，需在备机上进行测试运行一周时间，无任何问题，再在主机上进行修改。增强操作系统口令强度设置： 操作系统操作方式AIX修改passwd参数：/etc/security/user- maxage=30 口令最长生存期30天- maxrepeat=4 每个口令

54、在系统中重复出现的次数- minalpha=4 口令中最小含有的字符个数- mindiff=2 新口令不同于旧口令的最小个数 - minlen = 8 口令最短长度包含字母、数字和特殊字符WINDOWS修改“密码策略，开启复杂性要求，设置口令最小长度等：密码复杂性要求启用密码长度最小值8字符密码最长存留期30天密码最短存留期0天复位帐户锁定计数器10分钟帐户锁定时间10分钟帐户锁定阀值5次注：设置密码策略后可能导致不符合密码策略的帐号无法登录。在修改密码策略前，需修改不符合帐号策略的密码使其符合策略要求，最后再修改密码策略。启用登录失败处理功能，设置限制非法登录次数和自动退出等措施。操作系统操

55、作方式AIX配置登录策略：修改/etc/security/login.cfg文件logindelay=3 失败登录后延迟3秒显示提示符logindisable=5 5次失败登录后锁定端口logininterval=60 在60秒内3次失败登录才锁定端口loginreenable15 端口锁定15分钟后解锁增加或修改/etc/profile文件中如下行：TMOUT=600 ;WINDOWS修改“账户锁定策略，设置帐户锁定相关设置：复位账户锁定计数器 15分钟账户锁定时间 15分钟账户锁定阈值 5次当对效劳器进行远程管理时，对于UNIX类效劳器，用当前稳定版本的SSH等平安工具取代明文传输的tel

56、net，并及时升级，保证传输数据的平安性；对于windows类效劳器，关闭不必要的telnet效劳，采用加密或认证的方式保证数据才网络传输过程中的保密性、完整性和可用性。操作系统操作方式AIX增加或修改/etc/security/user文件中如下行root: admin = true SYSTEM = compat loginretries = 0 account_locked = false rlogin=false如果无法禁用telnet效劳，也可使用TCP wrapper、防火墙或包过滤技术禁止不可信IP对telnet效劳例如 23/TCP端口访问。WINDOWS禁用不需要的效劳，如r

57、emote Registry 、telnet等远程管理注册表，开启此效劳带来一定的风险。采用其他加密的远程桌面管理软件代替远程桌面管理，或者在远程桌面管理上启用证书认证系统。注：应用系统或程序可能对特定的系统效劳有依赖关系，在未确定某个效劳是否需要前，请勿关闭该效劳，否那么会影响应用系统或程序的正常运行。访问控制省公司及地市公司主机身份鉴别现状与等级保护要求存在一定的差距，应对以下几个方面进行完善：启用访问控制功能，依据平安策略控制用户对资源的访问；实现操作系统特权用户的权限别离；限制默认帐户的访问权限，重命名系统默认帐户，修改帐户的默认口令；及时删除多余的、过期的帐户，防止共享帐户的存在。整

58、改措施：在交换机和防火墙上设置不同网段、不同用户对效劳器的访问控制权限；关闭操作系统开启的默认共享，对于需开启的共享及共享文件夹设置不同的访问权限，对于操作系统重要文件和目录需设置权限要求。操作系统操作方式AIX修改普通用户对以下文件的权限：/bin；/sbin；/etc；/etc/passwd；/etc/group；/usr/bin；WINDOWS修改访问控制策略，将注册标中restrictanonymous值改为1；删除不必要的共享文件夹或修改其权限，重要共享文件夹的权限属性不能为everyone完全控制。设置不同的管理员对效劳器进行管理，分为系统管理员、平安管理员、平安审计员等以实现操作

59、系统特权用户的权限别离，并对各个帐户在其工作范围内设置最小权限，如系统管理员只能对系统进行维护，平安管理员只能进行策略配置和平安设置，平安审计员只能维护审计信息等。限制默认帐户的访问权限，重命名系统默认帐户，修改帐户的默认口令；删除操作系统和数据库中过期或多余的账户，禁用无用帐户或共享帐户。操作系统操作方式AIX禁用 文件/etc/security/user中，sys, bin, uucp, nuucp, daemon等系统默认帐户。在用户前面加上注释号“#WINDOWS修改administrator名称，将原Administrator名称改成不被人熟识的帐户，同时将一个普通帐户名称改成Adm

60、inistrator，登录普通帐户执行系统所有操作；禁用Guest账号。根据管理用户的角色分配权限，实现管理用户的权限别离，仅授予管理用户所需的最小权限。操作系统操作方式AIX更改默认口令。使用smit或增加、修改/etc/security/user下各用户的设置：将su=true更改为su=falseWINDOWS修改管理用户的权限；平安审计省公司及地市公司主机访问控制现状与等级保护要求存在一定的差距，需对以下几个方面进行完善：审计范围覆盖到效劳器和重要客户端上的每个操作系统用户；审计内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的平安相关事件；审计记录包括事件的日