信息系统等级安全服务方案

信息系统

等级安全方案二零零九年八月#1.项目概述根据国家电网公司《关于信息安全等级保护建设的实施指导意见（信息运安〔2009〕27号）》和山东省电力集团公司对等级保护相关工作提出的要求，落实等级保护各项任务，提高山东省电力集团公司信息系统安全防护能力，特制定本1.1目标与范围公司为了落实和贯彻公安部、国家保密局、国家密码管理局、电监会等国家有关部门信息安全等级保护工作要求，全面完善公司信息安全防护体系，落实公司“双网双机、分区分域、等级防护、多层防御”的安全防护策略，确保等级保护工作在各单位的顺利实施，提高公司整体信息安全防护水平，开展等级保护建设工作。前期在省公司及地市公司开展等级保护符合性测评工作，对地市公司进行测评调研工作，范围涵盖内网门户、外网门户、财务管理系统、营销管理系统、电力市场交易系统、生产管理信息系统、协同办公系统、人力资源管理系统、物资管理系统、项目管理系统、邮件系统、公司广域网SGInet、管理制度这13个业务系统分类，分析测评结果与等级保护要求之间的差距，提出本的安全建设方案。本方案主要遵循GB/T22239-2008《信息安全技术信息安全等级保护基本要求》、《信息安全等级保护管理办法》（公通字[2007]43号）、《信息安全技术信息安全风险评估规范》（GB/T20984-2007）、《国家电网公司信息化“SG186”工程安全防护总体方案》、ISO/IEC27001信息安全管理体系标准和ISO/IEC13335信息安全管理标准等。实施的范围包括：省公司本部、各地市公司。通过本方案的建设实施，进一步提高信息系统等级保护符合性要求，将整个信息系统的安全状况提升到一个较高的水平，并尽可能地消除或降低信息系统的安全风险。1.2方案设计根据等级保护前期测评结果，省公司本部及各地市公司信息系统存在的漏洞、弱点提出相关的整改意见，并最终形成安全解决方案。1.3参照标准GB/T22239-2008《信息安全技术信息安全等级保护基本要求》《信息安全等级保护管理办法》（公通字[2007]43号）《信息安全技术信息安全风险评估规范》（GB/T20984-2007）《国家电网公司信息化“SG186”工程安全防护总体方案》ISO/IEC27001信息安全管理体系标准ISO/IEC13335信息安全管理标准《国家电网公司“SG186”工程信息系统安全等级保护验收测评要求（征求意见稿）》《国家电网公司信息机房设计及建设规范》《国家电网公司信息系统口令管理规定》GB50057-94《建筑防雷设计规范》《国家电网公司应用软件通用安全要求》建设总目标2.1等级保护建设总体目标综合考虑省公司现有的安全防护措施，针对与《信息安全技术信息系统安全等级保护基本要求》间存在的差异，整改信息系统中存在的问题，使省公司及地市公司信息系统满足《信息安全技术信息系统安全等级保护基本要求》中不同等级的防护要求，顺利通过国家电网公司或公安部等级保护建设测评。安全域及网络边界防护根据GB/T22239-2008《信息安全技术信息安全等级保护基本要求》、《国家电网公司信息化“SG186”工程安全防护总体方案》及《国家电网公司“SG186”

工程信息系统安全等级保护验收测评要求（征求意见稿）》的要求，省公司及地市公司信息系统按照业务系统定级，根据不同级别保护需求，按要求划分安全区域进行分级保护。因此，安全域划分是进行信息安全等级保护建设的首要步骤。3.1信息网络现状山东省电力集团公司各地市信息内网拓扑典型结构：链路聚合图：典型信息网络现状链路聚合山东省电力集团公司各地市信息内网拓扑典型结构：链路聚合图：典型信息网络现状链路聚合主要问题：各安全域之间缺乏有效的控制措施不能够保障业务系统安全、独立运行，不受其他业务系统的影响。根据GB/T22239-2008《信息安全技术信息安全等级保护基本要求》和《国家电网公司信息化“SG186”工程安全防护总体方案》的建设要求，省公司和各地市信息网络安全域需根据业务系统等级进行重新划分。3.2安全域划分方法依据国家电网公司安全分区、分级、分域及分层防护的原则，管理信息大区按照双网隔离方案又分为信息内网与信息外网。本方案主要针对公司信息系统进行等级保护建设。在进行安全防护建设之前，首先实现对信息系统的安全域划分。依据SG186总体方案中“二级系统统一成域，三级系统独立分域”的要求，结合省公司MPLSVPN现状，采用纵向MPLSVPN结合VLAN划分的方法，将全省信息系统分为：信息内网区域可分为：电力市场交易系统MPLSVPN（或相应纵向通道）：包含省公司电力市场交易应用服务器VLAN、省公司电力市场交易办公终端；财务管理系统MPLSVPN（或相应纵向通道）：包含省公司财务管理系统VLAN、省公司财务办公终端VLAN、各地市财务办公终端VLAN（13个）；营销管理系统MPLSVPN（或相应纵向通道）：省公司营销系统VLAN、省公司营销办公终端VLAN、各地市营销系统VLAN（13个）、各地市营销办公终端VLAN（13个）二级系统MPLSVPN（或相应纵向通道）（二级系统包括：内部门户（网站）、生产管理信息系统、协同办公系统、人力资源管理系统、物资管理系统、项目管理系统和邮件系统）：公共服务MPLSVPN（或相应纵向通道）：包含DNS、FTP等全省需要访问的公共服务信息内网桌面终端域信息外网区的系统可分为：电力市场交易系统域营销管理系统域（95598）外网二级系统域（外网门户等）信息外网桌面终端域安全域的具体实现采用物理防火墙隔离、虚拟防火墙隔离或Vian隔离等形式进行安全域划分。3.3安全域边界3.3.1二级系统边界二级系统域存在的边界如下表：边界类型边界描述第二方网络边界Internet边界纵向网络边界省公司与华北电网公司间、省公司与其地市公司之间横向域间边界在信息内外网区与桌面终端域的边界在信息内外网区与基础系统域的边界与财务系统域之间的边界与电力市场交易系统域的边界与营销管理系统域间的边界二级系统域的网络边界拓扑示意图如下：

管理信息内网:I管理信息夕卜网3.3.2三级系统边界财务管理系统、电力市场交易系统和营销系统均涉及信息内网与银行联网存在第三方网络边界接口、省公司与地市公司之间网络边界接口、信息内网横向域间其它二级系统域间接口，电力市场交易系统还涉及信息外网与Internet存在第三方网络边界接口。三级系统域存在的边界如下表：边界类型边界描述信息外网第二方边界与Internet互联网的边界，实现：公共服务通道（边远站所、移动服务、PDA现场服务、居民集中抄表、负控终端采集、抢修车辆GPS定位等）与其他社会代收机构连接（VPN）网上营业厅短信服务时钟同步信息内网第二方边界银企互联边界与其他社会代收机构的边界（专线连接）公共服务通道（专线、GPRS、CDMA等）纵向网络边界省公司与地市公司横向域间边界与二级系统域间的边界与内外网桌面终端域的边界与内外网基础系统域的边界与其它三级域之间的边界三级系统域的网络边界拓扑示意图如下：审1亍古・粗海PAVlMMP.IrM-HJ.SH花哦如土删1普理信黒外帼审1亍古・粗海PAVlMMP.IrM-HJ.SH花哦如土删1普理信黒外帼t?■uu二"出&管】里信駅內网TT〔师网应ffl^§ES>口■■雹国曼411H■童H«H0V0易上fllLT耳上也斗JI島3.4安全域的实现形式安全域实现方式以划分逻辑区域为主，旨在实现各安全区域的逻辑划分，明确边界以对各安全域分别防护，并且进行域间边界控制，安全域的实体展现为一个或多个物理网段或逻辑网段的集合。对公司信息系统安全域的划分手段采用如下方式：防火墙安全隔离：采用双接口或多接口防火墙进行边界隔离，在每两个安全域的边界部署双接口防火墙，或是采用多接口防火墙的每个接口分别与不同的安全域连接以进行访问控制。虚拟防火墙隔离：采用虚拟防火墙实现各安全域边界隔离，将一台防火墙在逻辑上划分成多台虚拟的防火墙，每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备，可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。在本方案实现中，可以为每个安全域建立独立的虚拟防火墙进行边界安全防护。三层交换机Vian隔离：采用三层交换机为各安全域划分Vian,采用交换机访问控制列表或防火墙模块进行安全域间访问控制。二层交换机Vian隔离：在二层交换机上为各安全域划分Vian，采用Trunk与路由器或防火墙连接,在上联的路由器或防火墙上进行访问控制。对于一个应用的子系统跨越多个物理环境如设备机房所带来的分域问题,由于安全域为逻辑区域,可以将公司层面上的多个物理网段或子网归属于同一安全域实现安全域划分。3.5安全域划分及边界防护3.5.1安全域的划分结合SG186总体方案中定义的“二级系统统一成域，三级系统独立分域”在不进行物理网络调整的前提下,将财务系统和物资与项目系统进行分离,使三级财务系统独立成域，二级系统物资和项目管理归并和其他二级系统统一成域，在VPN内，建立ACL控制桌面终端与服务器间的访问，现将省公司信息系统逻辑安全域划分如下:000000000000000000000000000

山山山山图：省公司内网逻辑划分图

营销服务器.HE营销终端财务服务器ZCZ财务终端电力市场交易.服务器.电力市场交易'■终端二级系统安全域（内网门户、物资、项目、生产等）公共应用

服务安全营销服务器.HE营销终端财务服务器ZCZ财务终端电力市场交易.服务器.电力市场交易'■终端二级系统安全域（内网门户、物资、项目、生产等）公共应用

服务安全

域（DNS、

车辆管理

等）省公司□S3营销MPLSVPN财务MPLSVPN电力市场交易'■MPLSVPN二级系统安全域（内网门户、生产等）地市公司信息外网

应用服务

器区域图：全省信息系统MPLSVP安全域划分逻辑图Internet防火墙设备或访问控制措施:其他IL_服务应甩服务器—夕外网门户_!；电力市场交易;L95598_i图：信息外网安全域划分逻辑图在原有的MPLSVPN的基础上结合VLAN划分方法，根据等级保护及国网SG186总体防护方案有求，对全省信息系统进行安全域划分。1）三级系统与二级系统进行分离：集中集成区域的三台小型机采用集群模式部署了财务、物资、项目这三个业务系统，由于财务为三级业务系统，应要独立成域，必须将财务系统从集群中分离出来，安装在独立的服务器或者小型机上，接入集中集成区域或新大楼服务器区。划分安全域，明确保护边界：采用MPLSVPN将三级系统划分为独立安全域。财务系统MPLSVPN、电力市场交易系统MPLSVPN、营销系统MPLSVPN、二级系统安全域、桌面安全域、公共应用服务安全域。二级系统安全域包含除三级系统外的所有应用系统服务器；桌面安全域包含各业务部门桌面终端VLAN；公共引用服务安全域为全省均需要访问的应用服务器，如DNS等。目前信息外网存在三大业务系统：外网门户、营销系统95598网站、电力市场交易系统外网网站。根据等级保护要求应将营销系统95598网站和电力市场交易系统外网网站分别划分独立的VLAN，并在边界防火墙上设置符合等级保护三级要求的VLAN访问控制策略。部署访问控制设备或设置访问控制规则在各安全域边界设置访问控制规则，其中安全域边界按照“安全域边界”章节所列举的边界进行防护。访问控制规则可以采用交换机访问控制策略或模块化逻辑防火墙的形式实现。二级系统安全域边界访问控制规则可以通过交换机的访问控制规则实现，访问控制规则满足如下条件：根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级。按用户和系统之间的允许访问规则，控制粒度为单个用户。三级系统安全域边界的安全防护需满足如下要求：根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；对进出网络的信息内容进行过滤，实现对应用层协议命令级的控制。入侵检测系统部署：二级系统、三级系统安全域内应部署入侵检测系统，并根据业务系统情况制定入侵检测策略，检测范围应包含二级系统服务器、三级系统服务器、其他应用服务器，入侵检测应满足如下要求：定制入侵检测策略，如根据所检测的源、目的地址及端口号，所需监测的服务类型以定制入侵检测规则；定制入侵检测重要事件即时报警策略；入侵检测至少可监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；当检测到攻击行为时，入侵检测系统应当记录攻击源IP、攻击类型、攻击目的IP、攻击时间，在发生严重入侵事件时应能提供及时的报警信息。信息安全管理建设4.1建设目标省公司信息系统的管理与运维总体水平较高，各项管理措施比较到位，经过多年的建设，已形成一整套完备有效的管理制度。省公司通过严格、规范、全面的管理制度，结合适当的技术手段来保障信息系统的安全。管理规范已经包含了信息安全策略、信息安全组织、资产管理、人力资源安全、物理与环境安全、通讯与操作管理、访问控制、信息系统的获取、开发和维护、信息安全事故管理、业务连续性管理等方面，但与《信息安全技术信息系统安全等级保护基本要求》存在一定的差距，需进行等级保护建设。通过等级保护管理机构与制度建设，完善公司信息系统管理机构和管理制度落实《信息安全技术信息系统安全等级保护基本要求》管理制度各项指标和要求,提高公司信息系统管理与运维水平。通过等级保护建设，实现如下目标：落实《信息安全技术信息系统安全等级保护基本要求》管理制度各项指标和要求。2）在公司信息安全总体方针和安全策略的引导下，各管理机构能按时需要规划公司信息安全发展策略，及时发布公司各类信息安全文件和制度，对公司各类安全制度中存在的问题定期进行修订与整改。3）系统管理员、网络管理员、安全管理员等信息安全管理与运维工作明确明确安全管理机构各个部门和岗位的职责、分工和技能要求。4）在安全技术培训与知识交流上，能拥有安全业界专家、专业安全公司或安全组织的技术支持，以保证省公司信息系统安全维护符合各类安全管理要求并与时俱进。二级系统域建设5.1概述与建设目标二级系统域是依据等级保护定级标准将国家电网公司应用系统定为二级的所有系统的集合，按分等级保护方法将等级保护定级为二级的系统集中部署于二级系统域进行安全防护，二级系统域主要涵盖与二级系统相关的主机、服务器、网络等。省公司二级系统主要包括内部门户（网站）、对外门户（网站）、生产管理信息系统、协同办公系统、人力资源管理系统、物资管理系统、项目管理系统和邮件系统等共8个二级系统，除对外门户外，其它七个内网二级系统需按二级系统要求统一成域进行安全防护。二级系统域等级保护建设目标是落实《信息安全技术信息安全等级保护基本要求》中二级系统各项指标和要求，实现信息系统二级系统统一成域，完善二级系统边界防护，配置合理的网络环境，增强二级系统主机系统安全防护及二级系统各应用的安全与稳定运行。针对《信息安全技术信息安全等级保护基本要求》中二级系统各项指标和要求，保障系统稳定、安全运行，本方案将二级系统域安全解决方案分为边界防护、网络环境、主机系统及应用安全四个层面进行安全建设。5.2网络安全5.2.1网络安全建设目标省公司下属各地市公司网络安全建设按照二级系统要求进行建设，通过等级保护建设，实现如下目标：网络结构清晰，具备冗余空间满足业务需求，根据各部门和业务的需求，划分不同的子网或网段，网络图谱图与当前运行情况相符；各网络边界间部署访问控制设备，通过访问控制功能控制各业务间及办公终端间的访问；启用网络设备安全审计，以追踪网络设备运行状况、设备维护、配置修改等各类事件；网络设备口令均符合国家电网公司口令要求，采用安全的远程控制方法对网络设备进行远程控制。5.2.2地市公司建设方案根据测评结果，地市公司信息网络中网络设备及技术方面主要存在以下问题网络设备的远程管理采用明文的Telnet方式；部分网络设备采用出厂时的默认口令，口令以明文的方式存储于配置文件中；交换机、IDS等未开启日志审计功能，未配置相应的日志服务器；供电公司内网与各银行间的防火墙未配置访问控制策略；网络设备采用相同的SNMP口令串进行管理；未开启网络设备登录失败处理功能，未限制非法登录次数，当网络登录连接超时时未设置自动退出等措施；缺少对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查与监测措施；未限制网络最大流量数及网络连接数；未限制具有拨号访问权限的用户数量。针对以上问题，结合《信息安全技术信息安全等级保护基本要求》给出相应整改方案如下：关闭防火墙、交换机和IDS的telnet服务，启用安全的管理服务，如SSH和https。部分不支持SSH的交换机应在交换机上限制可telnet远程管理的用户地址，实施配置如下(以思科交换机为例)：Router#configterminalRouter(config)#access-list10permittcpeq23any(只允许20机器te加et登录，如需配置某一网段可elnet远程管理，可配置为：access-list10permittcp55eq23any)Router(config)#linevty04(配置端口0-4)Router(Config-line)#Transportinputtelnet(开启te加et协议，如支持ssh，可用ssh替换te加et)Router(Config-line)#exec-timeout50Router(Config-line)#access-class10inRouter(Config-line)#endRouter#configterminalRouter(config)#linevty515Router(Config-line)#nologin(建议vty开放5个即可，多余的可以关闭Router(Config-line)#exitRouter(Config)#exitRouter#write修改网络设备出厂时的默认口令，且修改后的口令应满足长度大于等于8位、含字母数字和字符的强度要求，其它不满足此口令强度要求的，均应要进行修改。部分楼层接入交换机，应及时修改口令；交换机应修改其SNMP口令串；防火墙口令应满足口令强度要求。交换机SNMP口令串修改实施步骤如下(以思科交换机为例)：Router#configterminalRouter(config)#nosnmp-servercommunityC0MMUNITY-NAME1RO(删除原来具有RO权限的COMMUNITY-NAME1)Router(config)#snmp-servercommunityCOMMUNITY-NAMERO(如需要通过snmp进行管理，则创建一个具有读权限的TOMMUNITY-NAME,若COMMUNITY-NAME权限为RW,则将命令行中RO更改为RW)Router(config)#snmp-serverenabletraps(允许发出Trap)Router(config)#exitRouter#write交换机、IDS和防火墙等应开启日志审计功能，并配置日志服务器保存交换机、IDS和防火墙的日志信息。以思科交换机为例，日志审计和日志收集存储于服务器实施配置如下：Route#configterminalRoute(config)#loggingon(启用日志审计)Route(config)#loggingconsolenotification(设置控制等级为5级:notification)Route(config)#!Seta16KlogbufferatinformationlevelRoute(config)#loggingbuffered16000information(设置其大小为16K)Route(config)#!turnontime/datestampsinlogmessagesRoute(config)#servicetimestamplogdatetimemseclocalshow-timezoneRoute(config)#!setmonitorloggingleveltolevel6Route(config)#loggingmonitorinformationRoute(config)#exitRoute#!makethissessionreceivelogmessagesRoute#terminalmonitorRoute#configterminalRoute(config)#loggingtrapinformation(控制交换机发出日志的级别为级：information)Route(config)#logging88(将日志发送至到192.16&10.188,如需修改服务器，可米用Route(config)#nologging88删除，然后重新配置日志服务器)Route(config)#loggingfacilitylocal6Route(config)#loggingsource-interfaceFastEthernet0/1(设置发送日志的以太网口)Route(config)#exitRoute#configterminalRoute(config)#loggingtrapinformationRoute(config)#snmp-serverhosttrapspublic(配置发送trap信息主机)Route(config)#snmp-servertrap-sourceEthernet0/1Route(config)#snmp-serverenabletrapssyslogRoute(config)#exitRoute#write供电公司内网与各银行和移动或电信间的防火墙应配置访问控制策略保证供电公司信息内网的安全。根据《国家电网公司信息系统口令管理规定》制定或沿用其以管理省公司网络设备口令。《国家电网公司信息系统口令管理规定》具体内容如下：第四条口令必须具有一定强度、长度和复杂度，长度不得小于8位字符串，要求是字母和数字或特殊字符的混合，用户名和口令禁止相同。第五条个人计算机必须设置开机口令和操作系统管理员口令，并开启屏幕保护中的密码保护功能。第六条口令要及时更新，要建立定期修改制度，其中系统管理员口令修改间隔不得超过3个月，并且不得重复使用前3次以内的口令。用户登录事件要有记录和审计，同时限制同一用户连续失败登录次数，一般不超过3次。所有网络设备均应开启网络设备登录失败处理功能、限制非法登录次数、当网络登录连接超时时自动退出等措施。以思科交换机为例，网络登录连接超时时自动退出实施如下：Router#configterminalRouter(Config)#linecon0配置控制口Router(Config-line)#exec-timeout50设置超时5分钟Router(Config-line)#exitRouter(Config)#exitRouter#write部署桌面管理系统，对内部网络中的用户网络连接状态进行实时监控,以保证内部用户不可私自联到外部网络；配置桌面管理系统策略，对私自连接到外网的内部用户进行准确定位并阻断内外网互通。在交换机上限制网络最大流量数及网络连接数，通过限制某些网段网络服务提高网络通信流量。以思科交换机为例，实施配置如下：Router#configterminalRouter(config)#access-list101denytcp55anywww(禁止网段访问Internet)Router(config)#access-list102denytcp55anyftp(禁止网段ftp服务)Router(config)#ipnattranslationmax-entries55200(限制网段的主机NAT的条目为200条)Route(config)#exitRoute#write限制具有拨号访问权限的用户。由于营销系统存储EMC,需要进行远程拨号维护；需要关闭远程拨号服务，采用更为安全的管理维护方式。5.3主机安全5.3.1主机安全建设目标省公司及其各地市公司信息中心对主机进行了一定的安全策略配置，并建立相关安全管理制度，由专人负责主机安全运行与维护，总体安全性较高。但仍有一些安全问题亟待解决，如安全审计不严格、开启非必须服务以及默认的用户口令策略等。针对省公司及其地市公司二级系统主机存在的问题，结合《信息安全技术信息安全等级保护基本要求》，从主机身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和资源控制等方面进行主机安全等级保护建设与改造，以实现以下目标：对主机的登录有严格的身份标识和鉴别；有严格的访问控制策略限制用户对主机的访问与操作；有严密的安全审计策略保证主机出现故障时可查；拥有相关技术手段，抵抗非法入侵和恶意代码攻击。5.3.2主机身份鉴别省公司及地市公司主机身份鉴别现状与等级保护要求存在一定的差距，应对以下几个方面进行完善主机身份鉴别：对登录操作系统的用户进行身份标识和鉴别；操作系统管理用户身份标识具有不易被冒用的特点，口令有复杂度并定期更换；启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；对服务器进行远程管理时，采取必要措施，防止鉴别信息在网络传输过程中被窃听；整改措施：对登录操作系统的管理员用户和普通用户均设置口令；删除操作系统中过期的账户，修改操作系统中默认帐户和口令，检查操作系统中是否存在相同用户名的账户。操作系统操作方式AIX1.检杳/etc/passwd密码域中存在“*"的帐户，删除不必要的账户，或增设口令；WINDOWS删除非法帐号或多余帐号，更改默认管理员帐号，将原Administrator名称改成不被人熟识的帐户，新建一个普通用户，将其重命名为Administrator，并将其权限设为最低，口令复杂度为32位以上；选择“本地用户和组”的“用户”，可设置口令、删除或禁用非必需账户或禁用Guest账户。

注：管理员账号Administrator重命名后，可能会导致某些服务不能用，如QLServer数据库可能无法启动，修改前，需在备机上进行测试运行一周时间，无任何问题，再在主机上进行修改。2)增强操作系统口令强度设置：操作系统操作方式AIX1.修改passwd参数：/etc/security/user-maxage=30口令取长生存期30天-maxrepeat=4每个口令在系统中重复岀现的次数-minalpha=4口令中最小含有的字符个数-mindiff=2新口令不同于旧口令的最小个数-minlen=8口令最短长度(包含字母、数字和特殊字符)WINDOWS1.修改“密码策略”，开启复杂性要求，设置口令最小长度等：密码复杂性要求启用密码长度最小值8字符密码最长存留期30天密码最短存留期0天复位帐户锁定计数器10分钟帐户锁定时间10分钟帐户锁定阀值5次注：设置密码策略后可能导致不符合密码策略的帐号无法登录。在修改密码策略前，需修改不符合帐号策略的密码使其符合策略要求最，后再修改密码策略。3)启用登录失败处理功能，设置限制非法登录次数和自动退出等措施。操作系统操作方式AIX配置登录朿略：修改/etc/security/login.cfg文件logindelay=3失败登录后延迟3秒显示提示符logindisable=55次失败登录后锁定端口logininterval=60在60秒内3次失败登录才锁定端口loginreenable=15端口锁定15分钟后解锁增加或修改/etc/profile文件中如下行：TMOUT=600;WINDOWS1.修改“账户锁定策略”，设置帐户锁定相关设置：复位账户锁定计数器15分钟

账户锁定时间账户锁定阈值账户锁定时间账户锁定阈值15分钟5次4）当对服务器进行远程管理时，对于UNIX类服务器，用当前稳定版本的SSH等安全工具取代明文传输的telnet，并及时升级，保证传输数据的安全性；对于windows类服务器，关闭不必要的telnet服务，采用加密或认证的方式保证数据才网络传输过程中的保密性、完整性和可用性。操作系统操作方式AIX1.增加或修改/etc/security/user文件中如下行root:admin=trueloginretries=0account」ocked=falserlogin=false如果无法禁用telnet服务，也可使用TCPwrapper、防火墙或包过滤技术禁止不可信IP对telnet服务（例如23/TCP端口）访问。WINDOWS禁用不需要的服务，如remoteRegistry、telnet等（远程管理注册表，开启此服务带来一定的风险）。采用其他加密的远程桌面管理软件代替远程桌面管理，或者在远程桌面管理上启用证书认证系统。注：应用系统或程序可能对特定的系统服务有依赖关系，在未确定某个服务是否需要前，请勿关闭该服务，否则会影响应用系统或程序的正常运行。5.3.3访问控制省公司及地市公司主机身份鉴别现状与等级保护要求存在一定的差距，应对以下几个方面进行完善：1）启用访问控制功能，依据安全策略控制用户对资源的访问；2）实现操作系统特权用户的权限分离；3）限制默认帐户的访问权限，重命名系统默认帐户，修改帐户的默认口令；4）及时删除多余的、过期的帐户，避免共享帐户的存在。整改措施：

在交换机和防火墙上设置不同网段、不同用户对服务器的访问控制权限关闭操作系统开启的默认共享，对于需开启的共享及共享文件夹设置不同的访问权限，对于操作系统重要文件和目录需设置权限要求。操作系统操作方式AIX1.修改普通用户对下列文件的权限：/bin；/sbin；/etc；/etc/passwd;/etc/group；/usr/bin；WINDOWS修改访问控制策略，将注册标中restrictanonymous值改为1;删除不必要的共享文件夹或修改其权限，重要共享文件夹的权限属性不能为everyone完全控制。2)设置不同的管理员对服务器进行管理，分为系统管理员、安全管理员、安全审计员等以实现操作系统特权用户的权限分离，并对各个帐户在其工作范围内设置最小权限，如系统管理员只能对系统进行维护，安全管理员只能进行策略配置和安全设置，安全审计员只能维护审计信息等。3)限制默认帐户的访问权限，重命名系统默认帐户，修改帐户的默认口令删除操作系统和数据库中过期或多余的账户，禁用无用帐户或共享帐户。操作系统操作方式AIX1.禁用文件/etc/security/user中,sys,bin,uucp,nuucp,daemon等系统默认帐户。在用户前面加上注释号“#”WINDOWS修改administrator名称，将原Administrator名称改成不被人熟识的帐户，同时将一个普通帐户名称改成Administrator，登录普通帐户执行系统所有操作；禁用Guest账号。4)根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限。操作系统操作方式

AIX1.更改默认口令。使用smit或增加、修改/etc/security/user下各用户的设置：将su=true更改为su=falseWINDOWS1.修改管理用户的权限；5.3.4安全审计省公司及地市公司主机访问控制现状与等级保护要求存在一定的差距，需对以下几个方面进行完善：审计范围覆盖到服务器和重要客户端上的每个操作系统用户；审计内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等；保护审计记录，避免受到未预期的删除、修改或覆盖等。整改措施：1)审计范围覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。操作系统操作方式AIX开启syslog功能：正在审查开bin处理开审查事件开审查目标开审核启用ftp审计。缺省情况下，系统不会记录使用ftp连接和传输文件的日志，这会对系统造成安全隐患，尤其在用户使用匿名ftp方式时。为了避免这种情况发生，可用如下的步骤使系统记录ftp的日志：修改Zetc/syslog.conf文件，并加入一行：ftplog其中FileName是日志文件的名字，它会跟踪FTP的活动，包括匿名和其他用户ID。FileName文件必须在做下步骤刖创建。运行命令刷新syslogd后台程序。

3）修改/etc/inetd.conf文件，修改下面的数据行：ftpstreamtcp6nowaitroot/usr/sbin/ftpdftpd-l4）运行“refresh-sinetd”命令刷新inetd后台程序。WINDOWS开启日志审计功能；修改普通用户对日志等安全审计方式的权限配置，只有管理员用户有查看、修改、删除等权限；2）审计内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。操作系统操作方式AIX1.更改默认口令。使用smit或增加、修改/etc/security/user下各用户的设置：将su=true更改为su=falseWINDOWS1.修改安全审计策略：审核策略更改成功审核登录事件成功，失败审核对象访问成功，失败审核过程追踪无审核审核目录服务访问无审核审核特权使用无审核审核系统事件成功，失败审核帐户登录事件成功，失败审核帐户管理成功，失败3）审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等；操作系统操作方式AIX1.修改日志文件，审核记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；WINDOWS1.修改“事件查看器”的属性配置：日志类型大小覆盖方式应用日志16384K覆盖早于30天的事件安全日志16384K覆盖早于30天的事件系统日志16384K覆盖早于30天的事件2.修改“事件类型”、“事件来源”等属性为“全部”；4）保护审计记录，避免受到未预期的删除、修改或覆盖等。

操作系统操作方式AIX1.利用chmod命令修改审计记录文件的操作权限，以保证日志记录文件仅root用户可访问和修改。WINDOWS1.修改“事件查看器”的安全属性配置：“组或用户名称”修改为只有系统管理用户，删除veryone；“用户权限”：根据需要进行“完全控制、”“修改”、“写入”等权限的配置；5.3.5入侵防范省公司及地市公司主机入侵防范现状与等级保护要求存在一定的差距，应对以下几个方面进行完善：操作系统遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警。整改措施：1)操作系统需遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。操作系统操作方式AIX最新补丁可以在下面的URL里找到：/rs6k/fixdb.html利用smit工具安装补丁。禁用TCP/UDP小服务：在/etc/inetd.conf中，对不需要的服务前加#,表示注释此行，格式如下：#echostreamtcpnowaitrootinternal#echodgramudpwaitrootinternal#discardstreamtcpnowaitrootinternal#discarddgramudpwaitrootinternal#daytimestreamtcpnowaitrootinternal#daytimedgramudpwaitrootinternal

#chargenstreamtcpnowaitrootinternal#chargendgramudpwaitrootinternal按上述方法，注释fingerd、uucp、tftp、talk、ntalk、rquotad、rexd、rstatd、rusersd、rwalld、sprayd、pcnfsd、ttdbserver、cmsd等服务。最后重启服务：refresh-sinetd3.禁用Sendmail、SNMP服务：编辑文件/etc/rc.tcpip中，在Sendmail、SNMP服务前加#,表示注释此行，格式如下：#startupsnmpWINDOWS安装最新的补丁。使用WSUS或从/china下载最新的安装补丁进行安装。关闭非必需服务：常见的非必需服务有：Alerter远程发送警告信息ComputerBrowser计算机浏览器：维护网络上更新的计算机清单Messenger允许网络之间互相传送提示信息的功能如netsendremoteRegistry远程管理注册表，开启此服务带来定的风险PrintSpooler如果相应服务器没有打印机，可以关闭此服务TaskScheduler计划任务，查看控制面板”的“任务计划中是否有计划，若有，则不关闭。SNMP简单网管协议，如启用网管应用则不关闭。关闭空连接：编辑注册表如下键值：“restrictanonymous”的值修改为T,类型为REG_DW0RD。5.3.6恶意代码防范省公司及地市公司主机恶意代码防范现状与等级保护要求存在一定的差距其不符合等级保护要求项主要有：安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库。

整改措施：及时更新病毒库，增强防病毒软件的恶意代码防护能力以保证信息系统的安全稳定运行。操作系统操作方式AIX1.部署防火墙和IPS等恶意代码防范设备，维护AIX系统主机的安全与稳定运行。WINDOWS1.及时更新防病毒软件病毒库，如Symantecantivirus，并定期进行升级更新。5.3.7资源控制省公司及地市公司主机资源控制现状与等级保护要求存在一定的差距，应对以下几个方面进行完善：通过设定终端接入方式、网络地址范围等条件限制终端登录；根据安全策略设置登录终端的操作超时锁定；限制单个用户对系统资源的最大或最小使用限度。整改措施：在核心交换机与防火墙上配置详细的访问控制策略，限制终端的接入方式、网络地址范围及其与其他网络间的访问控制(详细配置见网络安全建设)。2)根据安全策略设置登录终端的操作超时锁定。操作系统操作方式AIX1.增加或修改/etc/profile文件中如下行：TMOUT=600;WINDOWS1.打开“控制面板”一＞“管理工具”，进入“本地安全策略”。

3）限制单个用户对系统资源的最大或最小使用限度。根据用户的工作需求,在满足其工作需求范围内，修改用户权限，并设置资源使用范围。操作系统操作方式AIX1.利用root用户登录操作系统，修改各帐户权限，利用chmod命令修改系统资源权限。WINDOWS1.用administrator登录操作系统，修改各帐户权限，对需要设置使用权限的资源设置其属性，进行安全配置：5.4应用安全5.4.1应用安全建设目标根据等级保护前期评测结果，结合《信息安全技术信息安全等级保护基本要求》对二级系统应用安全从身份鉴别、访问控制、安全审计、通信完整性、通信保密性与资源控制等几个方面进行应用系统安全等级保护建设与改造，通过等级保护建设，实现如下安全防护目标：对登录应用系统的所有用户均设定身份鉴别措施；拥有审计系统审计各用户的相关操作；有相关的加密措施，保证应用系统数据在网络传输过程中的保密性、可靠性和可用性；应用程序具有自恢复功能，保证运行出错时可自动恢复。5.4.2身份鉴别省公司及地市公司二级系统应用的身份鉴别现状与等级保护要求存在一定的差距，应完善以下几点：提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用。整改措施：修改应用程序中用户名与口令设置模块，按《国家电网公司应用软件通用安全要求》增设用户名唯一性检测、口令复杂度检测功能，口令复杂度功能检测模块按《国家电网公司信息系统口令管理规定》进行设计。5.4.3安全审计省公司及地市公司二级系统应用的安全审计现状与等级保护要求存在一定的差距，应对以下几个方面进行完善：应用软件须提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计；应保证无法删除、修改或覆盖审计记录；审计记录的内容至少包括事件的日期、时间、发起者信息、类型、描述和结果等；整改措施：1)应用软件应能够将所有的安全相关事件记录到事件日志中，或者将事件数据安全地发送到外部日志服务器。如通过IMS系统记录应用系统日志。对日志进程进行保护，避免进程被意外中止、日志记录被特权用户或意外删除、修改或覆盖等；应用软件审计模块能够对所有与应用本身相关的各类事件进行有效记录，包括但不限于以下事件：.系统管理和配置事件.业务操作事件.成功事件(4).失败事件(5).对审计功能的操作应用软件能够允许安全管理员选择需要进行审计的事件项目。应用软件对审计事件的记录需确保可以将每个可审计事件与引起该事件的用户身份相关联，需要包含并绑定以下信息：(1).事件发生的时间(或时间段)(2).事件发起用户ID、程序ID或其他实体的识别ID(3).用户操作的客户端(4).事件内容(5).事件导致的结果5.4.4通信完整性、通信保密性省公司及地市公司二级系统应用的通信完整性与保密性现状和等级保护要求存在一定的差距，需对以下几个方面进行完善：1)采用密码技术保证通信过程中数据的完整性与保密性；在通信双方建立连接之前，应用系统利用密码技术进行会话初始化验证整改措施：采用密码技术保证通信过程中数据的完整性，密码技术需满足以下要求密码算法的选择：应用软件中选择的密码算法在强度上要等于或大于公司规定和用户提出的安全强度要求(《国家电网公司信息系统口令管理规定》中已对算法的安全强度要求给出明确说明)。密钥的安全管理：应用软件要在密钥生成、存储、分配、销毁的整个生命周期中对其实施保护，确保密钥明文不能被其他进程、程序和应用中非相关组件访问到。证书验证：应用软件应该确保能够对系统中使用的证书进行正确鉴别，而且不会接受或继续使用非法的或者无效的证书。5.4.5资源控制省公司及地市公司二级系统应用的资源控制现状与等级保护要求存在一定的差距，应对以下几个方面进行完善：1)限制对系统的最大并发会话连接数；限制单个帐户的多重并发会话；整改措施按照《国家电网公司应用软件通用安全要求》对用户会话管理要求与《信息安全技术信息安全等级保护基本要求》，二级系统应用软件需限制用户对系统的最大并发会话连接数、限制单个帐户的多重并发会话、限制某一时间段内可能的并发会话连接数等，整改方案如下：应用软件要向系统管理员增设监视工具，以便实时检测客户端用户的连接状态和行为，应用软件必须允许会话发起的用户手动终止该会话。应用软件能够自动处理会话的异常状态，并且能够提供给系统管理员适当的管理工具对会话进行实时控制，包括设置会话超时时间、最大允许会话数。应用软件能够确保一个客户端只能有一个用户同时登录到系统中，一个用户只允许同时在一个客户端上登录到系统中。5.5数据安全及备份恢复5.5.1数据安全及备份恢复建设目标根据等级保护前期评测结果，结合《信息安全技术信息安全等级保护基本要求》对二级系统数据安全及备份的要求，从数据完整性、数据保密性和备份与恢复等几个方面进行数据安全和备份安全等级保护建设与改造，以期实现如下目标1)确保管理数据和业务数据等重要信息在传输过程与存储过程中的完整性与保密性；确保存储过程中检测到完整性错误时，具有相应的措施对信息进行恢复5.5.2数据完整性、数据保密性省公司及地市公司二级系统数据完整性和保密性现状与等级保护要求存在一定的差距，应对以下几个方面进行完善：1)系统管理数据、鉴别信息和重要业务数据在传输过程和存储中应进行加密，确保信息在传输过程和存储中的完整性和保密性。整改措施：采用加密、数字签名与电子证书等保证系统管理数据、鉴别信息和重要业务数据在传输过程与存储过程中完整性不受到破坏，检测到完整性错误时，根据采用的完整性防护措施对信息进行恢复。加密技术要满足以下要求：1)密码算法的选择：数据传输和存储中选择的密码算法在强度上要等于或大于省公司规定的安全强度要求(《国家电网公司信息系统口令管理规定》中已对算法的安全强度要求给出明确说明)。密钥的安全管理：在密钥生成、存储、分配、销毁的整个生命周期中对其实施保护，确保密钥明文不能被其他进程和程序非相关组件访问到。证书验证：数据传输和存储过程中必须对系统中使用的证书进行正确鉴别，且不接受或继续使用非法的或者无效的证书。三级系统域建设6.1概述与建设目标三级系统域是依据等级保护定级标准而将国家电网公司的应用系统定为三级的所有系统的集合，按等级保护方法将等级保护定级为三级的系统独立成域进行安全防护建设。省公司三级系统主要包括电力市场交易系统、财务管理系统，营销管理系统为二级系统，但按照国家电网公司要求需按照三级系统进行防护。省公司三级系统域等级保护建设目标是落实《信息安全技术信息安全等级保护基本要求》中三级系统各项指标和要求，实现信息系统三级系统独立分域，完善三级系统边界防护、配置合理的网络环境、增强主机系统安全防护及三级系统各应用的安全。针对《信息安全技术信息安全等级保护基本要求》中三级系统各项指标和要求，为保障其稳定、安全运行，本方案从物理安全、网络安全、主机系统、应用安全和数据安全与备份等五个层面进行等级保护建设。6.2物理安全根据国家电网公司“三基”建设方案要求，省公司及地市公司物理安全均按照《信息安全技术信息安全等级保护基本要求》中三级系统要求进行建设。6.2.1物理安全建设目标省公司及地市公司机房均需按照《信息安全技术信息系统安全等级保护基本要求》三级系统机房物理环境要求，并参照《国家电网公司信息机房设计及建设规范》的相关内容，对机房进行等级保护建设和改造，建设目标如下：1)机房物理位置合适，环境控制措施得当，具有防震、防风、防水、防火、防尘、防盗、防雷、防静电以及温湿度可控等安全防护措施。机房管理措施全面得当，如：出入管理规范、卫生管理规范、值班巡视制度等等，保障各业务系统稳定、安全的运行。电力冗余设计，从而保障公司各业务系统在遇断电、线路故障等突发事件时能正常稳定运行。机房各类指标应满足《信息安全技术信息系统安全等级保护基本要求》三级系统机房物理环境要求中的必须完成项。6.2.2机房感应雷防护措施省公司及19个下属公司信息机房均增加防雷保安器，防止感应雷的产生。感应雷的防护措施是对雷云发生自闪、云际闪、云地闪时，在进入建筑物的各类金属管、线上所产生雷电脉冲起限制作用，从而保护建筑物内人员及各种电气设备的安全。6.2.3物理访问控制根据系统级别、设备类型等将全省各信息机房进行区域划分，分为网络设备区、主机和服务器区等，区域之间应设置物理隔离装置，如隔墙、玻璃墙等；针对等待交付系统应设置过渡区域，与安装运行区域应分开。对于未安装门禁系统的信息机房，在入口处安装电子门禁系统，控制、鉴别和记录进入人员；电子门禁系统应具有安全资质，能够有效的鉴别并记录进入人员的身份。6.2.4防盗措施根据《国家电网公司信息机房管理规范》要求，公司信息机房应使用光、电等技术配置机房防盗报警系统，报警系统满足以下要求：1)防盗监控系统覆盖机房每一个位置，定期对监控画面数据进行查阅和备份；1)使用光、电技术探测机房内重要设备的物理位置，当物理位置发生变化时，可自动报警；防盗报警系统实现现场报警(如蜂鸣)和远程报警(电话或短信息)。6.2.5防火措施根据《国家电网公司信息机房设计与建设规范》的要求，对下属19个公司机房进行相应的调整和改造，具体方案如下：1)主机房、基本工作间应设二氧化碳或卤代烷、七氟丙烷等灭火系统，并按现行有关规范要求执行。机房应设火灾自动报警系统，并符合现行国家标准《火灾自动报警系统设计规范》的规定。报警系统和自动灭火系统应与空调、通风系统联锁。空调系统所采用的电加热器，应设置无风断电保护。机房安全，除执行以上的规定外，应符合现行国家标准《计算站场地安全要求》的规定。凡设置二氧化碳或卤代烷、七氟丙烷固定灭火系统及火灾探测器的机房其吊顶的上、下及活动地板下，均应设置探测器和喷嘴。主机房应安装感烟探测器。当设有固定灭火器系统时，使用感烟、感温两种探测器的组合对机房内进行探测。主机房和基本工作间应安装消防系统，主机房应配置灭火设备。机房出口必应向疏散方向开启且能自动关闭的门，门应是防火材料，并应保证在任何情况下都能从机房内打开。凡设有卤代烷灭火装置的机房，应配置专用的空气呼吸器或氧气呼吸器机房内存放记录介质应使用金属柜或其他能防火的容器。6.2.6防水和防潮针对地市公司机房存在的防水与防潮安全防护问题，并结合《国建电网公司信息机房设计与建设规范》中机房给水排水要求，机房防水盒防潮整改方案如下：1)在机房内应安装水敏感检测仪(水敏感测试仪应按机房建设规范的要求进行安装)；2)对机房进行防水防护，将水敏感仪器与报警系统相连，对机房水状况进行实时监控。6.2.7电磁防护针对19个下属公司机房现状与等级保护三级系统物理安全方面存在的差距结合《国家电网公司信息机房管理规范》，给出整改方案如下：1)机房应采用活动静电地板。机房应选用无边活动静电地板，活动地板应符合现行国家标准《防静电活动地板通用规范》的要求。敷设高度应按实际应要确定，为150〜500mm,并将地板可靠接地。主机房内的工作台面及坐椅垫套材料应是导静电的，其体积电阻率为1.0X107〜1.0X1010Q・cm。主机房内的导体必须与大地作可靠的连接，不得有对地绝缘的孤立导体导静电地面、活动地板、工作台面和坐椅垫套必须进行静电接地。静电接地的连接线要有足够的机械强度和化学稳定性，导静电地面和台面采用导电胶与接地导体黏结时，其接触面积不宜小于10cm2。主机房内绝缘体的静电电位不能大于1kV。将机房内电源线和通信线缆隔离，并采用接地的方式防止外接电磁干扰和设备寄生耦合干扰，可将电源线和通信线缆垂直铺设，进一步减少电磁干扰。6.3网络安全建设方案根据业务的不同和所涉及的不同等级业务系统，网络建设方案分为省公司和地市公司进行。6.3.1网络安全建设目标按照《信息安全技术信息系统安全等级保护基本要求》对省公司及地市公司网络安全进行建设，以满足国家电网公司“SG186”工程总体防护方案的设计规范，建设目标如下：满足双网隔离的基本要求，即内外网间采用逻辑强隔离设备进行隔离。边界安全防护措施到位，满足《信息安全技术信息系统安全等级保护基本要求》，如边界访问控制措施、远程安全接入、入侵检测等。安全域划分合理，内网根据业务系统等级保护定级，将三级系统独立成域，二级系统统一成域，并划分桌面终端域；外网分为应用系统域和桌面终端域。针对网络设备进行安全防护，如：安全接入控制、设备安全管理、设备安全加固、安全日志审计、设备链路冗余等。6.3.2建设方案根据信息安全测评结果，省公司和下属19个公司信息网络中网络设备及技术方面主要存在以下问题：网络设备的远程管理采用明文的Telnet方式；部分网络设备采用出厂时的默认口令；交换机、IDS等未开启日志审计功能，未配置相应的日志服务器；IDS为C/S控制模式，管理服务器地址、登录等未作访问控制；防火墙目前为网段级的访问控制，控制粒度较粗；IDS登录身份鉴别信息复杂度较低，口令简单并未定期更换；未开启网络设备登录失败处理功能，未限制非法登录次数，当网络登录连接超时时未设置自动退出等措施；缺少对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查与监测措施；未限制网络最大流量数及网络连接数。针对以上问题，结合《信息安全技术信息安全等级保护基本要求》，整改方案如下：1)关闭防火墙、交换机和IDS的telnet服务，启用安全的管理服务，如SSH和https。部分不支持SSH的交换机应在交换机上限制可telnet远程管理的用户地址，实施配置如下(以思科交换机为例)：Router#configterminalRouter(config)#access-list10permittcpeq23any(只允许20机器telnet登录，如需配置某一网段可telnet远程管理，可配置为：access-list10permittcp55eq23any)Router(config)#linevty04(配置端口0-4)Router(Config-line)#Transportinputtelnet(开启te加et协议，如支持ssh，可用ssh替换te加et)Router(Config-line)#exec-timeout50Router(Config-line)#access-class10inRouter(Config-line)#endRouter#configterminalRouter(config)#linevty515Router(Config-line)#nologin(建议vty开放5个即可，多余的可以关闭Router(Config-line)#exitRouter(Config)#exitRouter#write~~2)修改网络设备出厂时的默认口令，且修改后的口令应满足长度大于等于8位、含字母数字和字符的强度要求，其它不满足此口令强度要求的，均需要进行修改。IDS验收后，需及时修改口令；交换机需修改其SNMP口令串；防火墙口令应满足口令强度要求。交换机SNMP口令串修改实施步骤如下(以思科交换机为例)：Router#configterminalRouter(config)#nosnmp-servercommunityCOMMUNITY-NAME1RO(删除原来具有RO权限的COMMUNITY-NAME1)Router(config)#snmp-servercommunityCOMMUNITY-NAMERO(如需要通过snmp进行管理，则创建一个具有读权限的COMMUNITY-NAME，若COMMUNITY-NAME权限为RW,则将命令行中RO更改为RW)Router(config)#snmp-serverenabletraps(允许发出Trap)Router(config)#exitRouter#write交换机、IDS和防火墙等应开启日志审计功能，并配置日志服务器保存交换机、IDS和防火墙的日志信息。以思科交换机为例，日志审计和日志收集存储于服务器实施配置如下：Route#configterminalRoute(config)#loggingon(启用日志审计)Route(config)#loggingconsolenotification(设置控制等级为5级:notification)Route(config)#!Seta16KlogbufferatinformationlevelRoute(config)#loggingbuffered16000information(设置其大小为16K)Route(config)#!turnontime/datestampsinlogmessagesRoute(config)#servicetimestamplogdatetimemseclocalshow-timezoneRoute(config)#!setmonitorloggingleveltolevel6Route(config)#loggingmonitorinformationRoute(config)#exitRoute#!makethissessionreceivelogmessagesRoute#terminalmonitorRoute#configterminalRoute(config)#loggingtrapinformation(控制交换机发出日志的级别为级：information)Route(config)#logging88(将日志发送至到192.16&10.18&如需修改服务器，可米用Route(config)#nologging88删除，然后重新配置日志服务器)Route(config)#loggingfacilitylocal6Route(config)#loggingsource-interfaceFastEthernet0/1(设置发送日志的以太网口)Route(config)#exitRoute#configterminalRoute(config)#loggingtrapinformationRoute(config)#snmp-serverhosttrapspublic(配置发送trap信息主机)Route(config)#snmp-servertrap-sourceEthernet0/1Route(config)#snmp-serverenabletrapssyslogRoute(config)#exitRoute#write对IDS管理服务器地址和登录设置访问控制。在交换机和防火墙上配置访问控制策略，限制仅管理员用户可进行管理和登录。交换机上配置访问控制策略ACL,限定仅管理员用户可进行管理和登录IDS服务器；在防火墙上设置策略限制可访问IDS的用户策略。通过交换机和防火墙的策略设置，限制IDS的管理员登录地址。整改防火墙上的访问控制策略粒度,使其从现在的网段级调整为单个用户级。以思科交换机为例,配置IDS管理服务器地址访问策略如下：Router#configterminalRouter(config)#access-list101permittcp2555eq8080log(注：主机地址为假设，实际整改中按真实地址)根据《国家电网公司信息系统口令管理规定》制定或沿用其以管理省公司网络设备口令。《国家电网公司信息系统口令管理规定》具体内容如下：第四条口令必须具有一定强度、长度和复杂度，长度不得小于8位字符串，要求是字母和数字或特殊字符的混合，用户名和口令禁止相同。第五条个人计算机必须设置开机口令和操作系统管理员口令，并开启屏幕保护中的密码保护功能。第六条口令要及时更新，要建立定期修改制度，其中系统管理员口令修改间隔不得超过3个月，并且不得重复使用前3次以内的口令。用户登录事件要有记录和审计，同时限制同一用户连续失败登录次数，一般不超过3次。所有网络设备均应开启网络设备登录失败处理功能、限制非法登录次数、当网络登录连接超时时自动退出等措施。以思科交换机为例，网络登录连接超时时自动退出实施如下：Router#configterminalRouter(Config)#linecon0配置控制口Router(Config-line)#exec-timeout50设置超时5分钟Router(Config-line)#exitRouter(Config)#exitRouter#write部署桌面管理系统，对内部网络中的用户网络连接状态进行实时监控，以保证内部用户不可私自联到外部网络；配置桌面管理系统策略，对私自连接到外网的内部用户进行准确定位并阻断内外网互通。在交换机上限制网络最大流量数及网络连接数。以思科交换机为例，实施配置如下：Router#configterminalRouter(config)#access-list101denytcp55anywww(禁止网段访问Internet)Router(config)#access-list102denytcp55anyftp(禁止网段fp服务)Router(config)#ipnattranslationmax-entries55200(限制网段的主机NAT的条目为200条)Route(config)#exitRoute#write~~9)6.4主机安全6.4.1主机安全建设目标公司三级系统分别为财务管理系统、营销系统和电力市场交易系统等共3个三级系统。针对省公司及地市公司三级系统主机存在的问题，结合《信息安全技术信息安全等级保护基本要求》，从主机身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制等方面给出三级系统主机等级保护建设方案，对主机操作系统、数据库系统进行安全加固，使之满足《信息安全技术信息安全等级保护基本要求》中关于主机的安全防护要求。6.4.2主机身份鉴别省公司及地市公司主机身份鉴别现状与等级保护要求存在一定的差距，需完善以下几点：对登录操作系统的用户进行身份标识和鉴别；操作系统系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；应使用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。整改措施：应对登录操作系统的管理员用户和普通用户均设置口令；删除操作系统中过期的账户，修改操作系统中默认帐户和口令，检查操作系统中是否存在相同用户名的账户。操作系统操作方式AIX1.检杳/etc/passwd:密码域中存在“*"的帐户，删除不必要的账户，或增设口令；WINDOWS删除非法帐号或多余帐号，更改默认管理员帐号，将原Administrator名称改成不被人熟识的帐户，新建一个普通用户，将其重命名为Administrator，并将其权限设为取低，口令复杂度为32位以上；选择“本地用户和组”的“用户”，可设置口令、删除或禁用非必需账户或禁用Guest账户。注：管理员账号Administrator重命名后，可能会导致某些服务不能用，如QLServer数据库可能无法启动，修改前，需在备机上进行测试运行一周时间，无任何问题，再在主机上进行修改。2)增强操作系统口令强度设置：操作系统操作方式AIX1.修改passwd参数：/etc/security/user-maxage=30口令取长生存期30天-maxrepeat=4每个口令在系统中重复岀现的次数-minalpha=4口令中最小含有的字符个数

-mindiff=2新口令不同于旧口令的最小个数-minlen=8口令最短长度（包含字母、数字和特殊字符）WINDOWS1.修改“密码策略”，开启复杂性要求，设置口令最小长度等：密码复杂性要求启用密码长度最小值8字符密码最长存留期30天密码最短存留期0天复位帐户锁定计数器10分钟帐户锁定时间10分钟帐户锁定阀值5次注：设置密码策略后可能导致不符合密码策略的帐号无法登录。在修改密码策略前，需修改不符合帐号策略的密码使其符合策略要求最，后再修改密码策略。3）启用登录失败处理功能，应设置限制非法登录次数和自动退出等措施。操作系统操作方式AIX配置登录朿略：修改/etc/security/login.cfg文件logindelay=3失败登录后延迟3秒显示提示符logindisable=55次失败登录后锁定端口logininterval=60在60秒内3次失败登录才锁定端口loginreenable=15端口锁定15分钟后解锁增加或修改/etc/profile文件中如下行：TMOUT=600;WINDOWS1.修改“账户锁定策略”，设置帐户锁定相关设置：复位账户锁定计数器15分钟账户锁定时间15分钟账户锁定阈值5次4）当对服务器进行远程管理时，对于UNIX类服务器，用当前稳定版本的SSH等安全工具取代明文传输的telnet,并及时升级，保证传输数据的安全性；对于windows类服务器，关闭不必要的telnet服务，采用加密或认证的方式保证数据才网络传输过程中的保密性、完整性和可用性。操作系统操作方式AIX1.增加或修改/etc/security/user文件中如下行root:admin=trueloginretries=0account」ocked=falserlogin=false如果无法禁用telnet服务，也可使用TCPwrapper、防火墙或包过滤技术禁止不可信IP对telnet服务(例如23/TCP端口)访问。WINDOWS禁用不需要的服务，如remoteRegistry、telnet等(远程管理注册表，开启此服务带来一定的风险)采用其他加密的远程桌面管理软件代替远程桌面管理，或者在远程桌面管理上启用证书认证系统。注：应用系统或程序可能对特定的系统服务有依赖关系，在未确定某个服务是否需要前，请勿关闭该服务，否则会影响应用系统或程序的正常运行。使用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。对于操作系统和数据库管理员帐户采用以下两种以上身份鉴别技术的组合来进行身份的鉴别(如采用用户名/口令、挑战应答、动态口令、物理设备、生物识别技术和数字证书方式的身份鉴别技术中的任意两个组合)，并且有一种是不易伪造的(如数字证书或生物识别技术)。6.4.3访问控制省公司及地市公司主机身份鉴别现状与等级保护要求存在一定的差距，应完善以下几点：启用访问控制功能，依据安全策略控制用户对资源的访问；根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；实现操作系统特权用户的权限分离；限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；及时删除多余的、过期的帐户，避免共享帐户的存在；对重要信息资源设置敏感标记；依据安全策略严格控制用户对有敏感标记重要信息资源的操作。整改措施：

在交换机