电力信息网络安全防护系统设计方案

电力信息网络安全防护系统设计方案PAGE1PAGE52XX电力信息网络安全防护系统设计方案电力信息网络安全防护系统设计方案全文共56页，当前为第1页。目录电力信息网络安全防护系统设计方案全文共56页，当前为第1页。TOC\o"1-3"\h\z1.引言 31.1信息安全体系建设的必要性 31.2解决信息安全问题的总体思路 31.3XX电力公司信息网安全防护策略 41.3.1XX电力公司总体安全策略 41.3.2XX电力信息安全总体框架 51.3.3防护策略 5对网络的防护策略 5对主机的防护策略 6对邮件系统的防护策略 6对终端的防护策略 62.设计依据 72.1信息安全管理及建设的国际标准ISO-17799 73.XX电力信息网安全现状 73.1管理安全现状 73.2网络安全现状 83.3主机及业务系统安全现状 93.4终端安全现状 114．建设目标 135．安全区域的划分方案 135.1网络安全域划分原则 135.2网络区域边界访问控制需求 145.3边界网络隔离和访问控制 165.3.1区域边界的访问控制 165.3.2敏感区域边界的流量审计 165.3.3敏感区域边界的网络防入侵及防病毒 16电力信息网络安全防护系统设计方案全文共56页，当前为第2页。6．XX电力信息网防火墙部署方案 17电力信息网络安全防护系统设计方案全文共56页，当前为第2页。6.1省公司防火墙和集成安全网关的部署 176.2地市公司防火墙和集成安全网关的部署 216.3技术要求 237．XX电力信息网网络防病毒方案 247.1XX电力防病毒软件应用现状 247.2企业防病毒总体需求 247.3功能要求 257.4XX电力网防病毒系统整体架构和管理模式 267.4.1采用统一监控、分布式部署的原则 267.4.2部署全面的防病毒系统 287.4.3病毒定义码、扫描引擎的升级方式 297.5网络防病毒方案 307.6防病毒系统部署 308．入侵检测/入侵防护（IDS/IPS）方案 348.1网络入侵检测/入侵防护（IDS/IPS） 348.2网络入侵检测/入侵保护技术说明 358.2.1入侵检测和入侵保护（IDS/IPS）产品的功能和特点 358.3入侵检测/入侵防护（IDS/IPS）在公司系统网络中的部署 399．内网客户端管理系统 419.1问题分析与解决思路 419.1.1IP地址管理问题 419.1.2用户资产信息管理问题 429.1.3软硬件违规行为监控 439.1.4网络拓扑查看与安全事件定位困难 439.1.5缺乏完整的用户授权认证系统 449.2系统主要功能模块 449.3内网管理解决方案 459.4方案实现功能 45电力信息网络安全防护系统设计方案全文共56页，当前为第3页。9.4.1IP地址管理 45电力信息网络安全防护系统设计方案全文共56页，当前为第3页。9.4.2客户端管理 459.4.3系统管理 4712．安全产品部署总图和安全产品清单表 49

1.引言1.1信息安全体系建设的必要性电力信息网络安全防护系统设计方案全文共56页，当前为第4页。随着电网的发展和技术进步，电力信息化工作也有了突飞猛进的发展，信息网络规模越来越大，各种信息越来越广泛。然而，随之而来的信息安全问题也日益突出。电力工业作为我国国民经济的基础产业和公用事业，电力系统的安全运行直接关系到国民经济的持速发展和满足人民生活的需要，信息安全已成为电力企业在信息时代和知识经济新形势下面临的新课题，电力信息网络与信息的安全一旦遭受破坏，造成的影响和损失将十分巨大。近年以来，在互联网上先后出现的红色代码、尼姆达、蠕虫、冲击波等病毒造成了数以万计的网站瘫痪，对电力信息系统的应用造成了较大不良影响。电力信息网络安全防护系统设计方案全文共56页，当前为第4页。公司按照建设“一强三优”电网公司的发展战略，为实现“安全基础扎实、管理层次清晰、内部运作规范、企业文化鲜明、社会形象诚信”的企业共同愿景，公司的信息化发展步伐不断加快。计算机网络已覆盖全省各市、县公司，实现了信息共享和快速传递。省、市公司的用户数已达一万多个，各类应用200多个，省公司层面经营管理类数据达2000G字节，网络、信息系统已成为公司生产、经营和管理的重要支撑平台。企业的应用要求网络与信息系统具有高可靠性、高可用性、高安全性，但类似网络病毒导致信息网络部分瘫痪、内外部攻击致使应用服务中断等事件时有发生，实际上还有其它一些未发现的或未产生后果的威胁，直接影响着省公司系统的信息安全，XX电力系统信息安全体系建设已迫在眉睫。1.2解决信息安全问题的总体思路当前我国已把信息安全上升到国家战略决策的高度。国家信息化领导小组第三次会议确定我国信息安全的指导思想：“坚持积极防御、综合防范的方针，在全面提高信息安全防护能力的同时，重点保障基础网络和重要系统的安全。完善信息安全监控体系，建立信息安全的有效机制和应急处理机制。”这就引出等级保护的概念，必须区分重要程度不同的应用系统，并据此将保护措施分成不同的等级，而从国家层面，必须将那些关系到国家经济发展命脉的基础网络圈定出来，加以重点保护，这就是“重点保障基础网络和重要系统的安全”思路。

这一思路蕴涵了“适度”信息安全的概念。“适度”实际体现了建设信息安全的综合成本与信息安全风险之间的平衡，而不是要片面追求不切实际的安全。所谓信息安全，可以理解为对信息四方面属性的保障，一是保密性，就是能够对抗对手的被动攻击，保证信息不泄露给未经授权的人；二是完整性，就是能够对抗对手的主动攻击，防止信息被未经授权的篡改；三是可用性，就是保证信息及信息系统确实为授权使用者所用；四是可控性，就是对信息及信息系统实施安全监控。电力信息网络安全防护系统设计方案全文共56页，当前为第5页。按照ISO17799信息安全标准、国家计算机网络安全规定及国网公司相关规定，信息安全体系的建设应包括两个方面的内容：安全技术防护体系、安全管理体系。技术防护体系包括网络和应用系统的安全防护基础设施和相关的监视、检测手段；安全管理体系主要包括组织、评估、方法、改进等管理手段。信息安全体系建设的方法是：在全面的安全风险评估的基础上，对信息资产进行安全分类定级，针对信息系统存在的安全隐患和威胁，提出信息系统安全整体规划，分步实施，循环改进。电力信息网络安全防护系统设计方案全文共56页，当前为第5页。结合当前我司信息系统的安全现状和急待解决的问题，我们提出我司的信息安全体系建设的总体思路：针对企业信息化应用的需求，建立电力信息系统安全保障的总体框架，确定电力信息系统安全策略，以指导电力信息系统安全技术体系与管理系统的建设。在逐步引入先进实用的信息安全技术和手段的基础上，开展信息系统安全评估活动，建立完善的安全技术体系。同时，逐步建立健全公司信息安全组织机构，逐步落实各项信息安全管理制度，广泛开展信息安全教育，提高系统全员信息安全意识，构造规范化的安全管理体制和机制，以期建立完善的信息安全管理体系，并培养一支技术较强的人才队伍。按照统一规划、分步实施的原则，本方案为XX电力公司信息网络的安全防范基础设施的初步设计。1.3XX电力公司信息网安全防护策略1.3.1XX电力公司总体安全策略企业的信息安全策略是企业信息安全工作的依据，是企业所有安全行为的准则。信息安全是围绕安全策略的具体需求有序地组织在一起，构架一个动态的安全防范体系。XX电力的总体安全策略如下：建立信息安全组织机构、健全各种规章制度，注重管理。信息安全风险防范侧重企业内部，尤其是核心设备、核心网段的安全防范。统一规划、部署、实施企业互联网对外的接口及安全防范。合理划分网络边界，做好边界的安全防护；合理划分安全域，实现不同等级安全域之间的隔离。制定完善的备份策略，保障系统及数据的安全。充分利用现有的安全设施，发挥其安全功能。建立完善的监控平台和快速的响应体系，及时的发现和解决出现的问题。电力信息网络安全防护系统设计方案全文共56页，当前为第6页。采用数据安全技术保障实施，确保数据安全。电力信息网络安全防护系统设计方案全文共56页，当前为第6页。1.3.2XX电力信息安全总体框架1.3.3防护策略对网络的防护策略包括主动防护和被动防护两方面，主动防护即采用入侵检测工具，自动对网络上进出的数据包进行检测，分辩出非法访问并阻断报警。被动防护即采用防火墙设备，置于网络出口处，并事先设定一定的规则，规定符合哪些条件的数据可以进出，其它的则一律阻断不让其通过。从而主动防护与被动防护结合，达到对网络的防护，也以此形成对小型机、服务器、PC机等各类资源的基础性防护。对主机的防护策略主机上运行的是公司系统核心业务，存储的是各类重要数据，一旦此类机器出现问题，将会给公司系统日常业务的正常开展造成冲击和损失，所以必须对其采取进一步的、更加严格的防护措施，具体在实践中，就要对主机进行漏洞扫描和加固处理，即不定期用扫描工具对关键主机进行扫描，及时发现包括操作系统、数据库系统、应用系统在内的各类漏洞缺陷，通过安装补丁程序予以弥补，同时安装防篡改、注册表锁定等加固软件和身份认证系统，从而使主机主动拒绝非法访问，自身具备较强的安全防护能力，抗御各类攻击行为。对邮件系统的防护策略经过多年的建设和推广应用，省电力公司已把基于LotusNotes的办公自动化系统全面推广到省、市、县各级供电企业，实现了公文在网上办理和传递。公司系统的员工都开设了个人邮箱。所有公文流转信息都会发送到员工的个人邮箱。同时这些邮箱又都具备发送和接受外网邮件的能力。近年来，由于病毒的泛滥和快速传播，省公司的邮件系统每天不可避免地收到大量的垃圾邮件和携带病毒的邮件，邮件中的病毒又在局域网上快速传播，严重地威胁网络和信息安全。为保障网络和信息系统安全运行，需要部署专用的反垃圾邮件系统和病毒过滤系统保护省公司邮件系统的安全运行。对终端的防护策略终端的安全防护是网络与信息安全防护的重要内容，其主要防护措施是：电力信息网络安全防护系统设计方案全文共56页，当前为第7页。安装防病毒软件并及时更新。电力信息网络安全防护系统设计方案全文共56页，当前为第7页。加强管理，杜绝与业务无关软件的安装使用，控制使用软盘、光盘驱动器。终端行为管理：网络安全问题在很多情况下都是由“内部人士”而非外来黑客所引起，在公司系统普遍存在着如下的问题：缺乏完整的内部安全防护体系；网络安全管理的基础工作较薄弱，各类网络基础信息采集不全；存在一机多网和一机多用的可能性；外围设备的接入控制困难；难以监控用户对计算机的使用情况。因此迫切地需要一种高效完整的网络管理机制来监测、控制整个内网的资源和服务，使整个网络运行稳定可靠，从而保证整个内网的可信任和可控制。软件更新服务系统（SUS）：目前大部分病毒，像尼姆达（一种利用系统漏洞的蠕虫病毒）是利用微软的系统漏洞进行传播的，而微软对大部分的漏洞及时提供了相应的补丁程序，但由于用户未及时打补丁更新系统而导致数以万计的Windows系统受到攻击。因此需要一套软件更新服务系统（SUS）来为主机提供补定程序，并及时自动更新系统。2.设计依据2.1信息安全管理及建设的国际标准ISO-17799ISO17799管理体系将IT策略和企业发展方向统一起来，确保IT资源用得其所，使与IT相关的风险受到适当的控制。该标准通过保证信息的机密性，完整性和可用性来管理和保护组织的所有信息资产，通过方针、惯例、程序、组织结构和软件功能来确定控制方式并实施控制，组织按照这套标准管理信息安全风险，可持续提高管理的有效性和不断提高自身的信息安全管理水平，降低信息安全对持续发展造成的风险，最终保障组织的特定安全目标得以实现，进而利用信息技术为组织创造新的战略竞争机遇。3.XX电力信息网安全现状3.1管理安全现状电力信息网络安全防护系统设计方案全文共56页，当前为第8页。参考相关信息安全相关标准中的安全管理策略要求，根据XX电力内网信息系统安全运维的需求，对XX电力内网信息系统安全组织、人员管理、安全管理、运维管理、监测管理、备份管理、应急管理、文档管理方面进行了调查分析，对XX电力内网信息系统安全管理现状描述如下：电力信息网络安全防护系统设计方案全文共56页，当前为第8页。安全组织方面：已有信息安全管理组织，有专职信息安全人员。信息安全专职人员负责组织内部与各相关单位的信息安全协调沟通工作。人员管理方面：XX电力内网信息系统已有明确的岗位责任制，技术人员在信息系统建设和日常维护过程中认真履行职责。已有执行外来人员管理策略，外来公司人员进入机房实施操作时，有XX电力内网信息系统工作人员全程陪同。安全管理方面：有明确的安全管理要求与措施。没有及时安装相应系统补丁，禁止安装与工作无关的软件；缺乏完备信息安全事件报告制度。运维管理方面：有具体明确的系统运行要求，日常故障维护，对故障现象、发现时间、检查内容、处理方法、处理人员、恢复时间等进行详细记录。监测管理方面：有明确的监测目标，在网络检测方面，利用入侵检测来实时监测，但没有定时查看相关记录和维护，并做出响应；在防病毒方面，利用防病毒系统来实时对病毒进行检测和防护。应急管理方面：有明确的应急管理策略，实施工作主要有运维人员及服务提供商承担。密码管理方面：有明确的密码管理实施办法，但缺乏定期修改密码及密码保存办法。备份管理方面：有明确的备份管理策略，也制定了相关的备份办法。文档管理方面：有明确的技术文档管理制度，但技术文档资料缺乏登记、分类、由专人保管，同时也缺乏技术文档资料的使用、外借或销毁的审批登记手续。3.2网络安全现状电力信息网络安全防护系统设计方案全文共56页，当前为第9页。XX电力的网络拓扑现在如下图所示：电力信息网络安全防护系统设计方案全文共56页，当前为第9页。当前网络骨干区域，基本形成以一台H3CS7506为核心，多台H3CS7503为汇聚接入的架构。但核心交换机H3CS7506同时兼具远程接入区多条专线接入设备的任务，中间没有汇聚设备，网络逻辑层次结构较为模糊。不利于网络的扩展建设，更不利于安全域边界的整合，无法实施集中统一的安全防护策略。除互联网接入区外，当前网络各区域均为单链路、单设备。网络单点故障隐患很大。任意节点设备、链路的故障，或因维护的需要停机重启，均会造成相应区域网络的通讯中断，造成重要影响。当前网络中，在服务器区部分、管理支撑区、远程接入区，玉溪烟厂生产网办公网部分均存在区域划分不清晰，边界模糊的情况。安全域划分不清晰，区域边界未整合，不利于日常的安全管理，无法实施集中统一的安全区域防护策略。服务器区域H3C设备FWSM防火墙处于策略全通状态，无法起到应有的访问控制功效，让所有服务器直接暴露在办公网中。部分远程接入区域链路、IT运营中心等，同样存在缺乏防火墙等设备，无法实施基本的网络访问控制，无法有效防护重要资产设备。电力信息网络安全防护系统设计方案全文共56页，当前为第10页。当前网络中缺乏必要的入侵检测/防御手段，特别在核心交换机、内网服务器区、DMZ服务器区。无法实施网络流量的实时监控分析，进行恶意行为的告警响应，无法及时发现并处理安全事件。电力信息网络安全防护系统设计方案全文共56页，当前为第10页。全网缺乏一套集中的安全运营管理中心，无法集中监控各网络设备、安全设备、主机及业务的安全运行情况，收集日志信息，集中存储、关联分析和展现。同时，无法及时掌握全网的安全态势，及时做出分析判断，影响安全事件的响应处理效率。内网服务器区、DMZ服务器区缺乏业务审计设备，无法记录关键的业务、维护操作行为。出现安全事件时，无法通过审计设备进行操作行为的跟踪分析，及时查找原因。当前网络设备安全相关策略大多采用默认配置，自身存在较多安全隐患，在一些恶意的人为因数下，可能造成网络设备运行不正常，甚至网络局部区域通讯中断。3.3主机及业务系统安全现状当前系统中的主机及应用系统欠缺较多的补丁，存在较多的高风险漏洞。攻击者可以通过一些简易工具或技术手段，入侵主机，提升权限，进行后续的破坏活动。XX电力部分业务系统主机和数据库帐号存在弱口令现象，包括用户名和口令一致、空口令、通用默认口令、极易猜测的简单数字等。弱口令可以使恶意用户直接或者通过简单扫描工具，即可获取用户帐号和密码，可以直接访问系统，甚至获取系统管理员帐号和密码，完全控制该系统。如果系统被攻击，对XX电力业务的正常运行造成很大的影响。帐号口令管理方面，当前所有UNIX类主机采用默认配置，没有启用帐号相关安全属性控制，没有对口令的复杂度、有效期、更新密码周期等进行统一约束。帐号口令安全策略设置不严格，用户口令容易遭到猜测或字典攻击成功，进而使系统容易被非法操纵。用户登录管理方面，当前所有UNIX类主机采用默认配置，未启用root直接登陆控制、终端登陆控制、登陆会话时间限制、SU权限控制等登录安全管理策略。用户登陆安全策略设置不严格，容易造成恶意用户越权滥用，非法操作，root特权使用缺乏监控审计，给系统造成影响破坏。电力信息网络安全防护系统设计方案全文共56页，当前为第11页。当前绝大部分主机采用默认配置，开放有SNMP服务，并且没有修改缺省的SNMP共同体字符串。而已攻击者通过SNMP可以获取远程操作系统的类型和版本、进程信息、网络接口信息等敏感信息。这可能使攻击者可以准确了解远程主机的系统信息，更有针对性的发起攻击。电力信息网络安全防护系统设计方案全文共56页，当前为第11页。当前大部分主机，包括部分对公网提供服务的主机的OpenSSH版本较老，暴露有较多缓冲区溢出漏洞。恶意攻击者通过上述漏洞，可以发起拒绝服务攻击或执行任意代码，控制主机，给业务系统造成严重影响。当前多数主机系统中开放有危险的R系列服务，建立有较多主机间的信任关系。用户可使用rlogin直接登录而不需密码，还可使用rcp、rcmd等命令，方便用户操作。R系列服务有一定的安全性风险，在当前环境中，容易被仿冒，无需口令即可直接访问授信主机，造成系统越权访问。当前绝大多数主机采用默认配置，开放有危险且不必须的TCPSmallService和UDPSmallService。包括echo、diacard、chargen、talk等。每一种网络服务都是一个潜在的安全漏洞，也就是一个攻击者可能会进入的地方。开放TCP/UDP小服务可能拒绝服务攻击、系统入侵等危害。当前绝大多数主机采用默认配置，开放有危险的RPC服务，包括rstatd、rusersd、rwalld等。RPC系列服务可能造成系统信息泄露，为恶意攻击者的进一步行动提供有用信息。当前大多数主机开放有Sendmail服务，Sendmail服务自身存在较多风险漏洞。非邮件服务器无需运行Sendmail服务。恶意攻击者利用Sendmail服务漏洞容易获取系统权限，或用来发送垃圾邮件。前部分提供Web访问的系统（包括外网网站等）采用的Apache服务器版本较低，存在多处缓冲区溢出漏洞。恶意攻击者可以利用这个漏洞进行缓冲区溢出攻击，可能以Apache进程权限在系统上执行任意指令或进行拒绝服务攻击。当前大部分主机和应用系统采用默认的Syslog日志配置。未配置集中的外部日志服务器系统，进行统一的收集、存储和分析。不能及时有效地发现业务中的问题以及安全事件，不利于安全事件的跟踪分析。电力信息网络安全防护系统设计方案全文共56页，当前为第12页。渗透测试检查发现，XX电力外网网站存在两处高风险的SQL注入漏洞。利用SQL注入点1，可进行数据库信息猜测、数据表猜测、表空间猜测，进而获取整个数据库的信息，任意查看和修改。利用注入点2可以获得任意注册会员的帐号和密码信息，以及会员的邮件地址、身份证、真实名字等敏感信息。同时还检查出，外网网站存在可上传任意文件、跨站脚本攻击两处高、中风险漏洞。外网网站作为XX电力的对外门户网站系统，是对外宣传、信息发布的重要途径，日均访问量很大。恶意入侵者利用上述漏洞，极易造成网站系统重要数据信息泄密，网站页面破坏、篡改、挂马等危害，严重影响用户的正常访问，造成用户感染病毒木马。电力信息网络安全防护系统设计方案全文共56页，当前为第12页。渗透测试检查发现，内网网站存在两处高风险漏洞，可以获取所有用户的口令和其它敏感信息。同时还存在暴露系统绝对路径、可以查看任意短消息列表内容。内网网站是公司内部信息发布的主要途径，采用邮件系统的帐号口令进行认证，通过上述漏洞，恶意攻击者可以获取所有用户帐号的口令，登录内网网站、登录邮件系统，造成信息泄密、篡改、破坏等危害。3.4终端安全现状目前XX电力安全方针策略不够清晰明确。由于安全目标方针不明确，导致全员不能清晰领悟安全的重要性，安全思想不能得到有效贯彻落实。各部门执行安全的方向不统一。安全方针不统一，会经常出现安全行动不统一，安全意识不明确的现象。XX电力没有建立完善的安全管理策略制度。制度不完善导致执行安全工作时不能遵循统一的策略，导致因误操作或因不规范导致的问题发生。可能会出现由于制度流程不完善导致的信息泄密、网络系统瘫痪等管理制度不全面，未能覆盖包括第三方人员管理、桌面系统管理、系统开发等方面，导致相关操作无规范。当前XX电力成立了信息安全工作领导小组，但小组成员基本以各级领导为主，专业安全人员只有一人，不能满足日常安全管理工作需要。并且系统维护人员同时负责此系统的安全运行，目前的编制已经很难满足日常安全管理的需要，因此信息安全的具体执行工作难以得到有效的开展。安全岗位职责未设置AB角色，一人负责，一旦发生人员调离或其它意外导致系统全面瘫痪。没有建立完善信息安全考核体系，导致员工不能严格执行各项信息安全规章制度。各级员工普遍信息安全意识不强，导致员工对信息安全的内容、管理目标等没有明确的认识与理解，不能在日常工作中主动地贯彻各项信息安全制度、规范及标准。XX电力尚未实施针对非专业安全人员的安全培训计划安全培训跟不上导致专业人员和普通员工安全技术缺乏，安全意识薄弱。当前情况下，备份介质大多存放在机房内或办公区域中。同时没有针对可移动介质的管理制度。没有介质销毁制度。重要软件或其它资产（如密码本）存放在机房内，可能会导致容易使内部较易获取或破坏资产；重要资产存放在办公区域内，很容易被外来人员进行有意或无意的攻击。电力信息网络安全防护系统设计方案全文共56页，当前为第13页。目前按部门的划分来保护资产，将资产进行了一些简单分类。软件资产无详细登记，也未将资产划分安全等级。不能对重点资产进行重点保护。电力信息网络安全防护系统设计方案全文共56页，当前为第13页。尚未制定相应的访问权限与控制的流程与职责，总部和各分厂在处理第三方访问权限时没有统一的标准与规范；对第三方的监控缺少标准与技术手段，各单位基本没有在第三方访问时实施有效的监控；在第三方合作完成后，不能及时的注销访问权限、修改口令，存在第三方继续访问获得机密信息或者进行非法操作的风险。当前XX电力缺乏系统规范的应急响应预案。缺乏相应的制度流程，导致系统遭受篡改或无法使用时，对公司的管理运营具有轻微影响。缺乏系规范的桌面系统安全管理规范，终端人员操作水平不一致，安全意识不足可能会导致桌面系统的病毒蠕虫事件，以至于网络瘫患；移动硬盘的无规范使用，不仅会导致病毒泛滥，而且容易将信息泄露或数据破坏及丢失。建设过程中没有同步考虑系统功能和安全性。立项管理阶段：项目前期过程中对安全的考虑不够完整，主要包括信息安全目标定义不明确，初步安全控制方案存在控制不足的情况，项目预算调减时导致安全控制被消减；实施管理阶段：缺少统一的安全需求分析方法、基本保护要求以及安全验收测试，导致在建系统的安全控制方案不能有效地实现安全目标，开发过程中对开发人员控制不够，使得项目过程文档和内部敏感信息外流；验收管理阶段：缺乏系统运维计划，包括备份恢复计划、应急预案，有的系统是上线运行后。4．建设目标本期信息网安全建设达到以下目标：通过防火墙和入侵检测/防护系统的部署，构建网络边界防护，将内部网络与其他网络进行隔离，避免与外部网络的直接通讯，保证网络结构信息不外泄；对各条链路上的服务请求做必要的限制，使非法访问不能到达主机；通过防病毒系统的部署，建立完整的系统防病毒体系，防止病毒的侵害；通过客户端管理系统的部署，建立客户端资源、行为的必要控制，以及补丁及时分发，减少内网用户的不安全因素；通过省公司本部安全监管平台的部署，初步实现安全事件集中监视和分析，为下一步建设全省信息安全体系打下基础。电力信息网络安全防护系统设计方案全文共56页，当前为第14页。 电力信息网络安全防护系统设计方案全文共56页，当前为第14页。5．安全区域的划分方案5.1网络安全域划分原则安全域是指网络系统内包含相同的安全要求，达到相同的安全防护等级的区域。网络安全域设计遵循以下原则：内部网络结构层次分明，便于网络隔离和安全规划。网络结构具备高可靠性和高可用性。不同的网段在交换机上划分不同虚拟局域网（VLAN），不同虚拟局域网（VLAN）之间的路由设置访问控制表（ACL）。地址规划应便于路由汇总以方便路由管理、提高路由广播效率以及简化ACL配置。边界和内部的动态路由协议应尽量启用认证，用来防止路由欺骗，否则高明的黑客可以通过发送恶意的路由更新广播包，使得路由器更新路由表，造成网络瘫痪和路由旁路。所有对网络设备的维护管理启用更可靠的认证。交换机的第三层模块（L3模块）或防火墙配置访问控制表（ACL）。路由器设置反地址欺骗检查。对于路由器，外出（Outbound）接收包的源地址只可能是外部地址，不可能是内部地址，同样进入（Inbound）接收包的源地址只可能是内部地址，不可能是外部地址，这样能防止黑客利用策略允许的内部或外部地址进入网络。启用路由反向解析验证，这在某种程度上牺牲了一定的网络性能，但能有效阻止随机源地址类型的攻击，如同步攻击等（SyncFlood）。路由器过滤所有来自外部网络的源地址为保留地址的数据包。所有提供简单网络管理协议（SNMP）服务的设备（路由器、交换机、计算机设备等）的共用组名（CommunityName）不能使用缺省，要足够复杂，并且统一管理。电力信息网络安全防护系统设计方案全文共56页，当前为第15页。全省按如下网络安全域进行划分：电力信息网络安全防护系统设计方案全文共56页，当前为第15页。整个省公司划分为四个大的安全域：内部办公区，DMZ（对外业务区），电力信息网区（对内业务区），若干外联网区域（Internet，第三方接入等）；各安全域之间通过防火墙进行隔离，在防火墙上按照网络应用的需求进行访问策略的设置；外网服务器区（DMZ）的网站、邮件、应用（Web，Mail，Application）服务器通过网络地址转换（NAT）等，对Internet提供服务；电力信息网区的服务器通过防火墙与内部办公区，DMZ区进行通信，对内提供系统应用；内部办公区视需求进行虚拟局域网（VLAN）的进一步划分，由交换机的第三层模块（L3模块）进行虚拟局域网（VLAN）划分和访问控制表（ACL）控制或通过防火墙模块进行各虚拟局域网（VLAN）之间的安全控制。5.2网络区域边界访问控制需求根据目前公司系统的实际网络状况，在公司系统网络环境中，区域边界主要有以下几个：互联网与电力信息网的连接边界，电力信息网内各本地局域网与广域网的连接边界，电力信息网与华东电网的连接边界，电力信息网与国家电网的连接边界，各地市公司与县公司的连接边界，各地市公司与银行的连接边界。电力信息网络安全防护系统设计方案全文共56页，当前为第16页。电力信息网络安全防护系统设计方案全文共56页，当前为第16页。根据网络安全建设的原则，安全等级低的系统应该与安全级别高的系统进行有效隔离，避免将两者混杂，从而直接降低了高安全级别系统的安全性。安全仅仅依靠操作系统和数据库管理系统权限控制功能。这是远远不够的，任何一个位于该网络中的客户终端，都可能是一个潜在的对关键服务器的威胁点。因此，首先必须将所有这些服务器按重要等级和国家经贸委划定的“安全区域”进行分级，其次在科学合理分级的基础上，采用有效的网络隔离措施，隔离这些不同安全等级的服务器，并进行有效的访问控制。电力信息网络安全防护系统设计方案全文共56页，当前为第17页。网络隔离的目的最主要的就是要完成网络层访问控制的功能。经常存在的网络滥用现象本身就是因为缺乏有效的访问控制手段所导致的。从安全的角度来说，应该遵循“最小授权”原则:一个实体应该而且只应该被赋予它完成正常功能所需的最小权限。而在我们的实际网络运营中，往往忽略了这一原则，任何一个在网络上活动的普通用户，经常会拥有过多的访问权限。一个用户本来仅仅只需要访问服务器的WEB服务，但是由于缺乏有效的网络层隔离与访问控制机制，这个用户其实拥有对该服务器一切网络服务访问的权限。这种违反“最小授权”的情况事实上经常被人忽略，从而导致了在特定的情况下安全事件的产生，造成了严重的后果。电力信息网络安全防护系统设计方案全文共56页，当前为第17页。常见的网络层访问控制主要是基于IP和端口来进行。对公司系统来说仅仅基于这样的网络层访问控制是不够的。因为往往客户端的IP地址是采用动态分配，很难将某个IP地址与特定用户绑定起来。因此需要通过MAC地址对用户网络层的访问进行控制。访问控制在多个网络协议层面都是一个必要的安全机制。对重要应用系统来说，其访问控制要求更为细致，但网络层的访问控制是基础，如果在网络通讯层面以及操作系统层面都不能保证严格有力的访问控制，应用层面的控制是没有意义的。所以，首先必须实施全面的区域边界网络隔离与访问控制技术。5.3边界网络隔离和访问控制为了有效保证同一网络区域内实行相同的安全策略，避免违背安全策略的跨区域访问（如严格禁止从Internet对XX电力专网的直接访问），方案采用如下措施进行区域边界防护。5.3.1区域边界的访问控制防火墙技术是目前最成熟，应用最普遍的区域边界访问控制技术。它通过设置在不同网络区域（如可信任的企业内部网和不可信的公共网）或网络安全域之间来实施安全策略。它是不同网络或网络安全域之间信息的唯一出入口，能根据安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。区域边界的防火墙控制技术在上述所有边界均加以实施。5.3.2敏感区域边界的流量审计此处的敏感区域边界，主要指安全性相对较高和安全性相对较低网络之间的连接区域边界，具体到省公司信息系统而言即为Internet与信息网系统的连接边界，信息网系统与国网公司、华东电网、县公司及银行的网络连接边界。对于这些边界的控制，仅仅使用防火墙策略是不够的。由于敏感区域边界间安全性差别较大，极易出现安全问题，所以应对跨区域的流量进行完全审计，便于日后的审查需要。5.3.3敏感区域边界的网络防入侵及防病毒电力信息网络安全防护系统设计方案全文共56页，当前为第18页。除了在敏感区域边界间实施流量审计这种被动审计技术外，还应建立主动入侵防御机制，动态响应跨区域的入侵，这种动态响应技术即为入侵检测和病毒防护技术。因为，从安全角度来说，当前新兴的病毒威胁已具有相关黑客入侵特征，二者的结合防护不可或缺。电力信息网络安全防护系统设计方案全文共56页，当前为第18页。上述三种技术在进行区域边界防护时可互为补充，相辅相成。从工程角度来说，最好能将三种技术集成在一个产品里，以提供安全功能的集合，一方面便于实施，另一方面便于后期维护和管理。6．XX电力信息网防火墙部署方案在Internet与互联网内容发布平台之间和互联网内容发布平台与电力信息网之间部署具有防火墙、安全审计、入侵防护和病毒防护等综合功能的安全产品。虽然，公司系统已经部署了部分的思科PIX防火墙，但是思科PIX防火墙采用的是防火墙防护技术最初级的一种。思科PIX通过包过滤技术实现对用户网络的防护，这种技术无法应对目前日益猖獗的混合式威胁，也无法提供病毒防护功能。近一两年，基于对边界安全需求的全面考虑，许多安全厂商推出了新型的多功能网关，新型多功能网关就是在防火墙的基础上提供网关需要的其他安全功能，例如最常见的是在防火墙上增加虚拟专用网（VPN）功能。还有在防火墙上增加防病毒功能。也有更为先进的是在防火墙上同时集成了虚拟专用网（VPN）、防病毒、入侵检测、内容过滤等全面安全功能。新型多功能网关是网关安全发展的趋势，只有新型多功能网关才能真正让网关位置成为安全防护体系的重要有力的组成部分。在公司网络系统的网络区域出口处安装此类多功能集成网关安全产品，为用户构建坚固的网络防线。此类防火墙不但可以防止黑客入侵，而且提供入侵检测/防护功能，并且可以和防火墙自带防病毒系统紧密结合在一起，提供网关级的防病毒保护。考虑到全省信息网移到综合业务数据网上，我们在各地市公司与省公司连接的网关处均采用千兆防火墙，各地市公司到县公司、银行等采用百兆防火墙。通过防火墙可对不同安全区域之间的网络连接活动进行严格的访问控制，并且不仅仅如此，通过防火墙可对往来这些网络之间的攻击入侵和病毒传播进行有效的检测和阻断，从而将高安全区域有效的隔离保护起来，从网络层到应用层进行立体化的区域边界防御，通过实施该一体化的集成安全网关，使省公司和各地市公司内部网络的安全等级得到有效提升和保证。6.1省公司防火墙和集成安全网关的部署1．省公司防火墙和集成安全网关部署示意图（老大楼）电力信息网络安全防护系统设计方案全文共56页，当前为第19页。部署说明：电力信息网络安全防护系统设计方案全文共56页，当前为第19页。用于Internet出口访问控制，已采用PIX防火墙，由于PIX采用的是ASA算法状态检测技术，通过包过滤技术实现对用户网络的防护，这种技术无法应对目前日益猖獗的混合式威胁，也无法提供病毒防护功能。因此在此方案中我们建议采用带有防病毒、内容过滤、入侵检测、安全审计为一体的多功能集成安全网关。通过在集成安全网关上启用相应的安全策略，控制内部用户的对外访问，并开启防病毒功能以保证内部用户的对外访问不受病毒侵害。另外，通过启用反垃圾邮件技术，保护内部的邮件服务器免受垃圾邮件的攻击，并根据网络的具体应用在集成安全网关上启用入侵检测和入侵防护攻击（IDS／IPS）功能，保护互联网网关处系统免受来自系统内外的攻击。远程访问虚拟通道（VPN）防火墙，其已采用PIX防火墙，在方案中在PIXVPN防火墙之后增加集成安全网关，用于移动用户对内网访问的数据解密后进行病毒防护、内容过滤等。在合肥地区单位和省公司网络连接边界处、国网公司、华东公司与省公司网络连接边界处和电力三级网与省公司网络连接边界处分别部署带有防病毒、内容过滤、入侵检测、安全审计为一体的多功能集成安全网关。并通过在集成安全网关上启用相应的安全策略，控制用户的对外访问，并开启防病毒功能以保证用户的对外访问不受病毒侵害。电力信息网络安全防护系统设计方案全文共56页，当前为第20页。在省公司两台CISCO6506上分别增加1块FWSM防火墙模块，用于各VLAN之间的安全访问控制。并通过此部署，可以严格控制用户对服务器区的访问控制。电力信息网络安全防护系统设计方案全文共56页，当前为第20页。省公司防火墙和集成安全网关部署示意图（老大楼）省公司防火墙和集成安全网关部署示意图（老大楼）F5可供外网访问的DNS,Mail,IMS服务器群DMZ区局域网省信息中心机房各部门局域网防火墙防火墙ISP1ISP2移动用户Internet网管工作站OA服务器认证服务器Web服务器电力三级网合肥地区单位华东二级网1G光纤100M五类线各部门局域网集成安全网关FW1（增加）FW2（增加）FW5（增加）FW6（增加）国网公司FW3（增加）FW4（增加）电力信息网络安全防护系统设计方案全文共56页，当前为第1页。2．省公司防火墙和集成安全网关部署示意图（新大楼）部署说明：1、在省公司与“INTERNET、华东公司、国网公司、各地市公司信息三级网”相连电力信息网络安全防护系统设计方案全文共56页，当前为第21页。的网络边界采用两层异构防火墙系统，外层防火墙为已经部署的专业安全设备，用于阻挡来自互联网、国网公司、华东公司等网络攻击和设置访问控制策略。内层防火墙系统采用集成安全网关。其中互连网安全网关采用双机热备工作方式，即高可用性HA方式，任何一台设备出现问题，备机均可以迅速替换工作，网络仍能正常运转。在内层集成安全网关上启用相应的安全策略，控制内部用户的对外访问，并开启防病毒功能以保证内部用户的对外访问不受病毒侵害。另外，启用反垃圾邮件技术，保护内部的邮件服务器免受垃圾邮件的攻击，并根据网络的具体应用在集成安全网关上启用入侵检测和入侵防护攻击（IDS／IPS）功能，保护互联网网关处系统免受来自系统内外的攻击。电力信息网络安全防护系统设计方案全文共56页，当前为第21页。2、远程访问虚拟通道（VPN）防火墙，其已采用PIX防火墙，在方案中通过在将PIXVPN防火墙之后增加集成安全网关，用于移动用户对内网访问解密后的数据进行防病毒、内容过滤等。3、通过在信息三级网路由系统前增加集成安全网关过滤掉病毒等混合式威胁进入到信息三级网，从而保护各地市公司的网络安全。4、通过在合肥城域网之前部署集成安全网关过滤掉合肥地区单位病毒等混合式威胁进入省公司内网。5、在省公司两台服务器区三层交换机上分别增加1块FWSM防火墙模块，用于对服务器的安全访问控制。电力信息网络安全防护系统设计方案全文共56页，当前为第22页。电力信息网络安全防护系统设计方案全文共56页，当前为第22页。注：结合省公司老大楼和新大楼的部署情况，建议总共增加6台集成安全网关（其中5台千兆集成安全网关，1台百兆集成安全网关）；2块思科FWSM防火墙模块。6.2地市公司防火墙和集成安全网关的部署 对公司系统各地市公司来说，其中一大威胁就是县公司的防御比较脆弱，一旦某县公司局部网络出现安全事件如蠕虫病毒蔓延等，势必将导致该威胁在整个大网中进行蔓延和传播，通过将县公司的广域网连接路由器与地市公司连接省公司的路由器隔离开来，将各县公司纳入到地市公司的安全管理范围内，确保各县公司网络不对信息三级网构成威胁。部署说明：1、在地市公司与县公司相连的路由器前增加集成安全网关，防止县公司网络安全威胁到信息网，并通过在集成安全网关上启用相应的安全策略，控制县公司用户的对信息网的访问，并开启防病毒功能以防止县公司的病毒侵害到信息网。另外，在集成安全网关上启用防攻击入侵检测/入侵防护（IDS／IPS）功能，使信息网络系统免受来自县公司的攻击。2、在地市公司与省公司相连的路由器后增加千兆防火墙，隔离各地市公司网络的相互威胁，并通过防火墙设置访问控制。3、地市公司与银行相连的前置机后增加集成安全网关，通过设置访问策略，仅允许银行访问前置机IP地址和数据应用端口号。电力信息网络安全防护系统设计方案全文共56页，当前为第23页。电力信息网络安全防护系统设计方案全文共56页，当前为第23页。电力信息网络安全防护系统设计方案全文共56页，当前为第24页。备注：1.在市公司与银行相连的集成安全网关可以采用市公司与省公司相连的退下来的百兆防火墙代替。电力信息网络安全防护系统设计方案全文共56页，当前为第24页。2.在地市公司与省公司广域处的网关防火墙可以使用在交换机上增加防火墙模块代替，增加防火墙模块的优点:不仅在省公司连接的广域网网关处实现访问控制，而且在不同的VLAN之间的访问控制也可以实现，尤其是对服务器区的访问控制。6.3技术要求1、集成安全网关主要功能和技术要求如下：采用网络处理器（NetworkProcessor：NP）和专用集成电路（ASIC）架构。集成防火墙、基于协议异常和基于攻击特征的入侵防御及入侵检测、病毒防护、内容过滤、电子邮件过滤等。可以提供集中管理，通过集中的日志记录、警报、报告和策略配置简化网络安全的管理。支持路由、网络地址转换（NAT）和透明模式等。支持内置认证数据库认证、支持Radius服务器认证。支持策略路由。防火墙本身应具有较强的抗攻击能力。支持静态地址转换、动态地址转换、端口转换、反向IP映射、双向地址转换等。支持流量管理和控制。支持OS、入侵检测库、防病毒库、内容过滤库等在线升级。支持标准日志记录和审计。支持标准联动协议，可以与入侵检测系统、网络防病毒系统、信息审计系统、认证系统、VPN设备、日志服务器等进行联动。2、防火墙主要功能和技术要求如下：采用网络处理器（NetworkProcessor：NP）和专用集成电路（ASIC）架构。可以提供集中管理，通过集中的日志记录、警报、报告和策略配置简化网络安全的管理。支持路由、网络地址转换（NAT）和透明模式等。支持内置认证数据库认证、支持Radius服务器认证。电力信息网络安全防护系统设计方案全文共56页，当前为第25页。支持策略路由。电力信息网络安全防护系统设计方案全文共56页，当前为第25页。防火墙本身应具有较强的抗攻击能力。支持静态地址转换、动态地址转换、端口转换、反向IP映射、双向地址转换等。支持流量管理和控制。支持标准日志记录和审计。支持标准联动协议，可以与入侵检测系统、网络防病毒系统、信息审计系统、认证系统、VPN设备、日志服务器等进行联动。7．XX电力信息网网络防病毒方案7.1XX电力防病毒软件应用现状公司系统现有的防病毒系统主要目的是保护办公系统。邮件服务器采用DominoNotes系统，运行于Windows2000Server系统平台。各单位局域网已经部署的防病毒软件包括：赛门铁克(Symantec)公司防病毒产品趋势(TrendMicro)公司防病毒产品瑞星公司防病毒产品其中以Symantec和TrendMicro产品为主。在防病毒方面，目前公司系统还没有实施统一的防病毒解决方案，对于邮件系统的网络防毒还没有统一配置。在日常防病毒维护中各网络各行其事，分散管理，这样不但加重管理员的管理工作，而且不能实现统一的、集中的管理，易受到各种人为的因素的影响，即使在安装了防病毒软件的情况下也不能确保整个网络的防病毒能力。7.2企业防病毒总体需求建立全网的病毒检测与防范系统，及时检测和控制各种文件、宏和其它网络病毒的传播和破坏，具有集中统一的管理界面，系统具有自动升级，自动数据更新，可管理性等特性。电力信息网络安全防护系统设计方案全文共56页，当前为第26页。XX电力信息网网络病毒防护系统是确保全省网络系统信息安全的重要手段。针对病毒种类繁多，增长迅速，隐蔽性、再生性强，易传播，发作快、危害严重的特点，防病毒系统必须对全省范围内的关键组件和信息资源实行全方位、立体、动态、实时的病毒防护。为此，必须提供强大、灵活、统一部署、分级管理的防病毒策略和集中的事件监控、告警、管理手段，支持自动下载并分发最新的病毒特征码和扫描引擎，提供强大的病毒响应和处理机制等。电力信息网络安全防护系统设计方案全文共56页，当前为第26页。7.3功能要求混合式威胁是指同时具有多种自我传播方式的新式蠕虫病毒。如：“尼姆达”、“红色代码”、“求职信”、“爆发工”、这种利用操作系统、应用或服务的漏洞进行传播、感染和攻击的病毒。混合式威胁传播途径和方式：通过电子邮件系统，客户端在收电子邮件时，把病毒带入内部网络。用户上网，通过HTTP，FTP等把病毒和一些恶意的移动代码带入内部网络。通过软盘或盗版光盘感染网络中的客户端，然后病毒通过网络感染整个内部网络，甚至通过网络传播。一些远程拨号用户在存取企业内部网络时把病毒带入内部网络。协作单位或合作伙伴以及下属或分支机构的网络或机器感染病毒后有可能在整个网络中传播。病毒在传播的过程中，往往利用操作系统、应用系统的漏洞来进行攻击。传统的防病毒产品都是基于文件的病毒防护和查杀，对于通过网络通信方式的传播则无能为力。对于通过网络通信方式，利用PC机操作系统漏洞进行远程攻击的蠕虫，只有通过客户端防火墙+客户端的入侵检测产品才能有效拦载。为了有效保护网络，并减少与安全管理相关联的成本和努力，这些安全技术需要无缝地相互作用。要在客户端保护连接和未连接的远程及移动员工，使其免受未授权网络访问和混合威胁的侵扰，需要三种关键技术：实时病毒防护，用于防御已知和未知的恶意威胁客户端防火墙，用于阻止可疑的传入和输出网络通信入侵检测，用于识别和阻止可用于拒绝服务(DoS)攻击的已知互联网入侵电力信息网络安全防护系统设计方案全文共56页，当前为第27页。企业需要可以对混合威胁和黑客攻击进行最佳防御的客户端解决方案。集成的病毒防护、防火墙和入侵检测技术互相作用以满足这些安全需求。集成的客户端防火墙和入侵检测技术也可以用来扫描入站和出站通信，以查看其中是否存在威胁，从而更好地防御当今的混合威胁。防火墙和入侵检测技术还可以检测并指明黑客企图攻击的行为。仅防病毒的安全解决方案无法防止混合威胁的传播，也无法防御入侵者。电力信息网络安全防护系统设计方案全文共56页，当前为第27页。通过提供来自单一安全供应商的防病毒、防火墙和入侵检测的单一更新，集成的客户端安全使企业能够更快速地响应复杂的安全威胁。通过单一的管理控制台，可以对多种安全技术进行集中的配置、部署、安装和策略管理。它还可优化管理员资源，并有助于减少网络客户端防护方面的管理、支持和总体安全成本。总体来说，集成的客户端安全解决方案有助于企业实现投资的更佳回报，降低总拥有成本，尤其与不同的独立解决方案相比时，更是如此。7.4XX电力网防病毒系统整体架构和管理模式7.4.1采用统一监控、分布式部署的原则电力信息网络安全防护系统设计方案全文共56页，当前为第28页。本方案设计采用“分级控制，分级管理”架构，这样的架构既与原有的防病毒系统架构保持一定程度上的一致——利于平滑升级，又与现有行政管理模式相匹配——益于提高管理效率，同时又能体现省公司“统一规划，分级管理”的思想。电力信息网络安全防护系统设计方案全文共56页，当前为第28页。 统一管理、集中监控：主要是由省公司进行集中监管，包括：由省公司根据各地市公司、调通中心、合肥地区公司的具体情况统一制定相应的防病毒策略和实施计划。省公司负责全网的病毒定义码、扫描引擎和软件修正的统一升级工作，并将升级文件自动逐级分发至各地市公司、调通中心、合肥地区公司的防病毒服务器。省公司负责各分公司、调通中心、合肥地区公司被隔离文件的提交和下发相应的病毒定义码和扫描引擎。电力信息网络安全防护系统设计方案全文共56页，当前为第29页。省公司可以通过广域网对下级的病毒管理服务器进行集中监控和管理。电力信息网络安全防护系统设计方案全文共56页，当前为第29页。省公司负责管理统计病毒报表生成等工作。分级实施、分级维护：主要根据公司现有的网络构架和管理体制，设立省公司、地市公司、调通中心、合肥地区公司二级管理中心，以及以后甚至到县公司三级管理中心。各级管理中心负责本地病毒防护系统的实施和维护工作，由省公司来进行集中监管，包括：各分公司负责自己局域网防病毒软件的安装。配置和实施各分公司制定的防病毒策略。监控自己局域网防病毒状态；各分公司分别负责自己局域网防病毒状态的监控和对病毒事件做出相应的响应。日志文件的维护。报警维护。7.4.2部署全面的防病毒系统采用“纵深”防御的措施，即考虑在整个网络中只要有可能感染和传播病毒的地方都采取相应的防病毒手段，安装相应的防病毒系统。利用网关级病毒防护产品将病毒尽最大可能地拦截在网络外部，同时在网络内部采用全方位的网络防病毒客户端进行全网的病毒防护，针对服务器采用服务器端的病毒防护，同时保证全网病毒防护系统做到统一管理和病毒防护策略的统一。针对公司系统的具体情况，主要考虑网关防病毒、邮件安全防护、服务器的病毒防护以及客户端病毒防护。部署网关防病毒XX电力信息网地域跨度大、子网多、结构相对复杂，一旦病毒侵入局域网内部则会给管理造成较大的困难。因此，在整个网络上不仅要建立一个统一的、多层次、全方位、集中化管理的安全防护系统，并且在网络边缘部署网关级病毒防护产品（如网关防病毒墙或集成安全网关等）以防止计算机病毒从网络边缘进入省公司和各地市公司内部网络。针对邮件的内容过滤、拦截垃圾邮件和防病毒考虑到当前计算机病毒多数通过电子邮件和垃圾邮件传播，在方案中设计了集邮件病毒和蠕虫防护、邮件内容过滤和反垃圾邮件为一体的邮件安全防护产品。部署服务器端防病毒电力信息网络安全防护系统设计方案全文共56页，当前为第30页。在服务器系统的防病毒保护上，根据公司系统网络的具体情况，我们主要考虑针对WindowsNT/2000服务器的防病毒保护。电力信息网络安全防护系统设计方案全文共56页，当前为第30页。安装防病毒客户端软件，保护系统、磁盘、可移动磁盘、光盘以及调制解调器连接所收发的文件等免受病毒的感染。部署客户端集成安全产品在客户端一级，根据公司系统的具体情况和客户端的操作系统类型，分别安装针对Windows9X/NT/ME/2000/XP的集成安全产品（包括客户端病毒防护、客户端防火墙、客户端入侵检测功能），实现对网络、操作系统、磁盘、可移动磁盘、光盘以及调制解调器连接所收发文件的病毒防护。7.4.3病毒定义码、扫描引擎的升级方式根据公司系统网络的结构，考虑到安全的需求，同时也是便于管理，我们在网络内采用二级服务器升级的结构，即：首先升级省公司防病毒服务器的病毒定义码、扫描引擎和软件修正。根据实际情况可以配置省公司防病毒服务器自动或手动通过Internet到防病毒软件厂商的病毒定义码发布网站升级最新的病毒定义码和扫描引擎。各地市公司、调通中心及合肥地区公司等网络的防病毒服务器到省公司的防病毒服务器进行病毒定义码、扫描引擎和软件修正的更新、升级。电力信息网络安全防护系统设计方案全文共56页，当前为第31页。电力信息网络安全防护系统设计方案全文共56页，当前为第31页。7.5网络防病毒方案如果继续延用现有模式，则公司系统信息网将同时存在多家防病毒产品，这些产品都需要有专人维护，需要部署各自的防病毒管理服务器，这样既加大管理人员的工作负担，又增加了整体投资。考虑到各地市公司各套防病毒软件均需要升级更新，本方案建议全省采用同一厂家的防病毒软件，方便系统维护和管理。7.6防病毒系统部署1、省公司防病毒系统部署部署说明：1.集成安全网关与病毒防火墙功能相同，病毒防火墙系统部署情况见“省公司防火墙和集成安全网关的部署”章节。2.在客户机端安装集“个人防火墙、防病毒、入侵检测”功能为一体的客户端集成安全产品，防止病毒等混合式威胁。3．在所有服务器上安装服务器端防病毒软件，防止服务器遭受防病毒的威胁。电力信息网络安全防护系统设计方案全文共56页，当前为第32页。4．在OA服务器、邮件服务器安装集“邮件病毒和蠕虫防护、邮件内容过滤和反垃圾邮件”电力信息网络安全防护系统设计方案全文共56页，当前为第32页。2、地市公司防病毒部署部署说明：在客户机端安装集”个人防火墙、防病毒、入侵检测“功能为一体的客户端集成安全产品，防止病毒等混合式威胁。在所有服务器上安装服务器端防病毒软件，防止服务器遭受防病毒的威胁。在OA服务器安装集“邮件病毒和蠕虫防护、邮件内容过滤和反垃圾邮件”为一体的邮件安全防护产品。阻止病毒和蠕虫通过正常邮件和垃圾邮件传播。电力信息网络安全防护系统设计方案全文共56页，当前为第33页。所有防病毒软件病毒定义码、扫描引擎通过本地二级服务器分发和升级。二级服电力信息网络安全防护系统设计方案全文共56页，当前为第33页。务器受省公司一级服务器策略控制，并制定本地防病毒管理策略。3、合肥地区单位防病毒部署在客户机端安装集”个人防火墙、防病毒、入侵检测“功能为一体的客户端集成安全产品，防止病毒等混合式威胁。在所有服务器上安装服务器端防病毒软件，防止服务器遭受防病毒的威胁。在OA服务器安装集“邮件病毒和蠕虫防护、邮件内容过滤和反垃圾邮件”为一体的邮件安全防护产品。阻止病毒和蠕虫通过正常邮件和垃圾邮件传播。所有防病毒软件病毒定义码、扫描引擎通过本地二级服务器分发和升级。二级服电力信息网络安全防护系统设计方案全文共56页，当前为第34页。务器受省公司一级服务器策略控制，并制定本地防病毒管理策略。电力信息网络安全防护系统设计方案全文共56页，当前为第34页。合肥地区公司防病毒部署图4、调通中心防病毒部署在客户机端安装集”个人防火墙、防病毒、入侵检测“功能为一体的客户端集成安全产品，防止病毒等混合式威胁。在所有服务器上安装服务器端防病毒软件，防止服务器遭受防病毒的威胁。在OA服务器安装集“邮件病毒和蠕虫防护、邮件内容过滤和反垃圾邮件”为一体的邮件安全防护产品。阻止病毒和蠕虫通过正常邮件和垃圾邮件传播。所有防病毒软件病毒定义码、扫描引擎通过本地二级服务器分发和升级。二级服务器受省公司一级服务器策略控制，并制定本地防病毒管理策略。电力信息网络安全防护系统设计方案全文共56页，当前为第35页。电力信息网络安全防护系统设计方案全文共56页，当前为第35页。调通中心防病毒部署图（四区网络抽象图）8．入侵检测/入侵防护（IDS/IPS）方案8.1网络入侵检测/入侵防护（IDS/IPS）虽然XX电力信息网络已经部署了防火墙系统；但防火墙只能在网关检测和防范部分攻击；对应用层的攻击和来自内部的攻击却无能为力；另外一些攻击很容易欺骗绕过防火墙；在XX电力信息网络的网络安全管理中，管理人员面临着以下困惑：对于各种混合型攻击目前可以采取的方式是人工通过防火墙日志等方式发现有问题的计算机，通过手工修改cisco交换机或PIX防火墙阻断该计算机对网络的访问，不仅工作量大，防护也不全面。有没有一种自动的方式可以检测到这些攻击并阻断攻击会话？在网络中也曾使用过基于网络的入侵检测产品，但是感觉误报率高、对安全知识要求层次高，是否有更有效的方式让安全产品有更强大的攻击检测能力、更自动的响应方式，而只是将结果提交给管理人员，降低管理人员的安全知识门槛而提高安全保护能力？可否对不同功能的网络能够采取不同的工作模式。电力信息网络安全防护系统设计方案全文共56页，当前为第36页。基于网络的入侵检测技术（IDS）产品大多是针对已知的安全攻击进行响应策略配置，实现自动响应，对于日益增多的突发事件和未知攻击，这些策略也就行同虚设，无法产生应有的效果。网络维护人员需要花费大量的人力物力来进行日常的报警事件分析，才能确认安全事件并具此采取措施。对于一些真正的安全威胁，反而因为时间和精力的不足，无法及时发现。这就使得产品的使用和维护成本过高，没有体现出应用安全产品后，所应产生的效果和对维护人员生产维护工作带来的便利。电力信息网络安全防护系统设计方案全文共56页，当前为第36页。目前：随着网络入侵事件的不断增加和黑客攻击技术水平的不断提高，使得传统的防火墙或入侵检测(IDS)技术已经无法满足现代网络安全的需要，而入侵防护（IntrusionPreventionSystem，IPS）技术的产生正是适应了这种要求。入侵防护（IPS）是一种主动的、积极的入侵防范及阻止系统，它部署在网络的进出口处，当它检测到攻击企图后，它会自动地将攻击包丢掉或采取措施将攻击源阻断。入侵防护（IPS）的检测功能类似于入侵检测（IDS），但入侵防护（IPS）检测到攻击后会采取行动阻止攻击，可以说入侵防护（IPS）建立在入侵检测（IDS）发展的基础上的新生网络安全产品。入侵防护（IPS）可以透明的串接进用户网络，不需要更改现有的网络结构，无缝地整合了现有的基础架构，在不影响系统或系统用户工作的情况下即可发挥作用，可以防止已知和未知漏洞被利用，从而有助于防止蠕虫和恶意入侵者破坏安全。因此方案中在省公司的外网出口、对外服务器区（DMZ）和17个地市公司部署入侵检测/入侵保护（IDS/IPS）产品。8.2网络入侵检测/入侵保护技术说明XX电力信息网内外网络的接入边界都可能感染蠕虫病毒、人为的恶意攻击（如PING风暴、大量的广播包）、网络中存在的垃圾包等，对核心网络设备和链路产生影响，因此保护核心网络设备和链路的最有效方式是在可能产生这种安全攻击的地方部署能够检测并自动阻断这些攻击会话的保护设备，这就是现在最先进的入侵保护（IPS）设备所能实现的功能。在方案中我们部署更为先进的主动安全防御产品入侵检测和入侵保护（IDS/IPS）产品。8.2.1入侵检测和入侵保护（IDS/IPS）产品的功能和特点1、网络入侵防护（IPS）产品应具备如下功能特点：适用于高速环境的多接口千兆检测入侵防护（IPS）必须能在千兆网络环境中，保持线速的检测功能，且不会丢弃数据包。电力信息网络安全防护系统设计方案全文共56页，当前为第37页。主动拦截电力信息网络安全防护系统设计方案全文共56页，当前为第37页。入侵防护（IPS）设备可以工作在透明模式下，在不改变网络结构的前提下，自动拦截非法的网络访问，实现主动防御。混合检测体系结构入侵防护（