电力信息网络安全防护系统设计方案

XX电力信息网络平安防护系统

设计方案

目录

1.引言.....................................................4

11信息平安体系建设的必要性..............................4

L2解决信息平安问题的总体思路............................4

1.3XX电力公司信息网平安防护策略..........................6

1.3.1XX电力公司总体平安策略.........................6

1.3.2XX电力信息平安总体框架...........................7

1.3.3防护策略............................................7

对网络的防护策略.........................................7

对主机的防护策略.........................................7

对邮件系统的防护策略....................................7

1.3.3.4对终端的防护策略..............................8

2.设计依据.................................................9

2.1信息平安管理与建设的国际标准IS0T7799..........................9

3.XX电力信息网平安现状....................................9

3.1管理平安现状.........................................9

3.2网络平安现状........................................10

3.3主机与业务系统平安现状.............................12

3.4终端平安现状........................................15

4.建设目标...............................................16

5.平安区域的划分方案....................................17

5.1网络平安域划分原则...................................17

5.2网络区域边界访问限制需求.............................19

5,3边界网络隔离和访问限制...............................21

区域边界的访问限制.....................................21

敏感区域边界的流量审计.................................21

敏感区域边界的网络防入侵与防病毒.......................21

6.XX电力信息网防火墙部署方案.............................22

6.1省公司防火墙和集成平安网美的部署....................23

6.2地市公司防火墙和集成平安网关的部署.................26

6.3技术要求.............................................28

7.XX电力信息网网络防病毒方案............................30

7.1XX电力防病毒软件应用现状...........................30

7.2企业防病毒总体需求..................................30

7.3功能要求.............................................31

7.4XX电力网防病毒系统整体架构和管理模式...............32

采纳统一监控、分布式部署的原则.........................32

部署全面的防病毒系统...................................34

病毒定义码、扫描引擎的升级方式.........................35

7.5网络防病毒方案.......................................36

7.6防病毒系统部署.......................................36

8.入侵检测/入侵防护(IDS/IPS)方案......................41

8」网络入侵检测/入侵防护(IDS/IPS)....................41

8.2网络入侵检测/入侵爱护技术说明.......................42

入侵检测和入侵爱护(IDS/IPS)产品的功能和特点.......42

8.3入侵检测/入侵防护(1%/小5)在公司系统网络中的部署.47

9.内网客户端管理系统.....................................49

9.1问题分析与解决思路...................................49

9.1.1IP地址管理问题.................................49

9.1.2用户资产信息管理问题.............................50

软硬件违规行为监控.....................................51

1.引言

1.1信息平安体系建设的必要性

随着电网的发展和技术进步，电力信息化工作也有了突飞猛进的发展，

信息网络规模越来越大，各种信息越来越广泛。然而，随之而来的信息平安

问题也FI益突出。电力工业作为我国国民经济的基础产业和公住事业，电力

系统的平安运行干脆关系到国民经济的持速发展和满意人民生活的须要，信

息工安已成为电力企业在信息时代和学问经济新形势下面临的新课题，电力

信息网络与信息的平安一旦遭遇破坏，造成的影响和损失将特别巨大。近年

以及，在互联网上先后出现的红色代码、尼姆达、蠕虫、冲击波等病毒造成

了数以万计的网站瘫痪，对电力信息系统的应用造成了较大不良影响。

公司依据建设“一强三优”电网公司的发展战略，为实现“平安基础扎

实、管理层次清晰、内部运作规范、企业文化显明、社会形象诚信”的企业

共同愿景，公司的信息化发展步伐不断加快。计算机网络己覆盖全省各市、

县公司，实现了信息共享和快速传递。省、市公司的用户数已达一万多个，

各类应用200多个，省公司层面经营管理类数据达2000G字节，网络、信息

系统已成为公司生产、经营和管理的重要支撑平台。企业的应用要求网络与

信息系统具有高牢靠性、高可用性、高平安性，但类似网络病毒导致信息网

络部分瘫痪、内外部攻击致使应用服务中断等事务时有发生，事实上还有其

它一些未发觉的或未产生后果的威逼，干脆影响着省公司系统的信息平安，

XX电力系统信息平安体系建设己燃眉之急。

1.2解决信息平安问题的总体思路

当前我国已把信息平安上升到国家战略决策的高度。国家信息化领导小

组第三次会议确定我国信息平安的指导思想：“坚持主动防卫、综合防范的

方针，在全面提高信息平安防护实力的同时.，重点保障基础网络和重要系统

的立安。完善信息平安监控体系，建立信息平安的有效机制和应急处理机

制。”这就引出等级爱护的概念，必需区分重要程度不同的应用系统，并

据此将爱护措施分成不同的等级，而从国家层面，必需将那些关系到国家经

济发展命脉的基础网络圈定出来，加以重点爱护，这就是“重力，保障基础网

络和重要系统的平安”思路。

这一思路蕴涵了“适度”信息平安的概念。“适度”实际体现了建设信

息立安的综合成本与信息平安风险之间的平衡，而不是要片面追求不切实际

的立安。

所谓信息平安，可以理解为对信息四方面属性的保障，一是保密性，就

是能够对抗对手的被动攻击，保证信息不泄露给未经授权的人；二是完整

性，就是能够对抗对手的主动攻击，防止信息被未经授权的篡改；三是可用

性，就是保证信息与信息系统的确为授权运用者所用；四是可控性，就是对

信息与信息系统实施平安监控。

依据IS017799信息平安标准、国家计算机网络平安规定与国网公司相

关规定，信息平安体系的建设应包括两个方面的内容：平安技术防护体系、

平安管理体系。技术防护体系包括网络和应用系统的平安防护基础设施和相

关的监视、检测手段；平安管理体系主要包括组织、评估、方法、改进等管

理手段。信息平安体系建设的方法是：在全面的平安风险评估的基础.上，对

信息资产进行平安分类定级，针对信息系统存在的平安隐患和威逼，提出信

息系统平安整体规划，分步实施，循环改进。

结合当前我司信息系统的平安现状和急待解决的问题，我们提出我司的

信息平安体系建设的总体思路：伊对企业信息化应用的需求，建立电力信息

系统平安保障的总体框架，确定电力信息系统平安策略，以指导电力信息系

统合安技术体系与管理系统的建设。在逐步引入先进好用的信息平安技术和

手段的基础上，开展信息系统平安评估活动，建立完善的平安技术体系。同

时，逐步建立健全公司信息平安组织机构，逐步落实各项信息平安管理制

度，广泛开展信息平安教化，提高系统全员信息平安意识，构造规范化的平

安管理体制和机制，以期建立完善的信息平安管理体系，并培育一支技术较

强的人才队伍。

依据统一规划、分步实施的原则，本方案为XX电力公司信息网络的平

安防范基础设施的初步设计。

1.3XX电力公司信息网平安防护策略

1.3.1XX电力公司总体平安策略

企业的信息平安策略是企业信息平安工作的依据，是企业全部平安行为

的准则。信息平安是围绕平安策略的具体需求有序地组织在一起，构架一个

动态的平安防范体系。

XX电力的总体平安策略如下：

1、建立信息平安组织机构、健全各种规章制度，注意管理.

2、信息平安风险防范侧重企业内部，尤其是核心设备、核心

网段的平安防范。

3、统一规划、部署•、实施企业互联网对外的接口与平安防

范。

4、合理划分网络边界，做好边界的平安防护；合理划分平安

域,，实现不同等级平安

域之间的隔离。

5、制定完善的备份策略，保障系统与数据的平安。

6、充分利用现有的平安设施，发挥其平安功能。

7、建立完善的监控平台和快速的响应体系，与时的发觉和解

决出现的问题。

8、采纳数据平安技术保障实施，确保数据平安。

1.3.2XX电力信息平安总体框架

1.3.3防护策略

1.3.3.1对网络的防护策略

包括主动防护和被动防护两方面，主动防护即采纳入侵检测工具，自动

府网络上进出的数据包进行检测，分辩出非法访问并阻断报警。被动防护即

采纳防火增设备，置于网络出口史，并事先设定肯定的规则，规定符合哪些

条件的数据可以进出，其它的则一律阻断不让其通过。从而主动防护与被动

防护结合，达到对网络的防护，也以此形成对小型机、服务器、PC机等各类

资源的基础性防护。

1.3.3.2对主机的防护策略

主机上运行的是公司系统核心业务，存储的是各类重要数据，一旦此类

机器出现问题，将会给公司系统日常业务的正常开展造成冲击和损失，所以

必需对其实行进一步的、更加严格的防护措施，具体在实践中，就要对主机

进行漏洞扫描和加固处理，即不定期用扫描工具对关键主机进行扫描，与时

发觉包括操作系统、数据库系统、应用系统在内的各类漏洞缺陷，通过安装

补丁程序予以弥补，同时安装防篡改、注册表锁定等加固软件和身份认证系

统，从而使主机主动拒绝非法访问，自身具备较强的平安防护实力，抗御各

类攻击行为。

1.3.3.3对邮件系统的防护策略

经过多年的建设和推广应用，省电力公司已把基于LotusNotes的办公

自动化系统全面推广到省、市、县各级供电企业，实现工公文在网上办理和

传递。公司系统的员工都开设了个人邮箱。全部公文流转信息都会发送到员

工的个人邮箱。同时这些邮箱又都具备发送和接受外网邮件的实力。近年

来，由于病毒的泛滥和快速传播，省公司的邮件系统每天不行避开地收到大

量的垃圾邮件和携带病毒的邮件，邮件中的病毒又在局域网上快速传播，严

峻地威逼网络和信息平安。为保障网络和信息系统平安运行，须要部署专用

的反垃圾邮件系统和病毒过滤系统爱护省公司邮件系统的平安运行。

1.3.3.4对终端的防护策略

终端的平安防护是网络与信息平安防护的重要内容，其主要防护措施

是：

1、安装防病毒软件并与时更新。

2、加强管理，杜绝与业务无关软件的安装运用，限制运用软

盘、光盘驱动器。

3、终端行为管理：网络平安问题在很多状况下都是由“内部

人士”而非外来黑客

所引起，在公司系统普遍存在着如下的问题：缺乏完整的内部平安防护

体系；网络平安管理的基础工作较薄弱，各类网络基础信息采集不全；存在

一机多网和一机多用的可能性；外围设备的接入限制困难：难以监控用户对

计算机的运用状况。因此迫切地须要一种高效完整的网络管理机制来监测、

限制整个内网的资源和服务，使整个网络运行稳定牢靠，从而保证整个内网

的仃信任和可限制。

4、软件更新服务系统（SUS）：目前大部分病毒，像尼姆达

（一种利用系统漏洞的蠕

虫病毒）是利用微软的系统漏洞进行传播的，而微软对大部分的漏洞与

时供应了相应的补「程序，但由于用户未与时打补「更新系统而导致数以万

计的Windows系统受到攻击。因此须要一套软件更新服务系统（SIS）来为

主机供应补定程序，并与时自动更新系统。

2.设计依据

2.1信息平安管理与建设的国际标准ISO-17799

ISO17799管理体系将IT策略和企业发展方向统一起来，确保】T资源

用得其所，使与IT相关的风险受到适当的限制。该标准通过保证信息的机

密性，完整性和可用性来管理和爱护组织的全部信息资产，通过方针、惯

例、程序、组织结构和软件功能来确定限制方式并实施限制，组织依据这套

标准管理信息平安风险，可持续提高管理的有效性和不断提高自身的信息平

安管理水平，降低信息平安对持馍发展造成的风险，最终保障组织的特定平

安目标得以实现，进而利用信息技术为组织创建新的战略竞争机遇。

3.XX电力信息网平安现状

3.1管理平安现状

参考相关信息平安相关标准中的平安管理策略要求，依据XX电力内网

信息系统平安运维的需求，对XX电力内网信息系统平安组织、人员管理、

平安管理、运维管理、监测管理、备份管理、应急管理、文档管理方面进行

了调查分析，对XX电力内网信息系统平安管理现状描述如下：

■平安组织方面：已有信息平安管理组织，有专职信息平安人员。

信息平安专职人员负责组织内部与各相关单位的信息平安协调沟通工

作。

■人员管理方面：XX电力内网信息系统已有明确的岗位责任制，

技术人员在信息系统建设和口常维护过程中仔细履行职员。己有执行

外来人员管理策略，外来公司人员进入机房实施操作时，有XX电力

内网信息系统工作人员全程陪伴。

■平安管理方面：有明确的平安管理要求与措施。没有与时安装相

应系统补J.，禁止安装与工作无关的软件；缺乏完备信息平安事务报

告制度。

■运维管理方面；有具体明确的系统运行要求，H常故障维护，对

故障现象、发觉时间、检查内容、处理方法、处理人员、复原时间等

进行具体记录。

■监测管理方面：有明确的监测目标，在网络检测方面，利用入侵

检测来实时监测，但没有定时查看相关记录和维护，并做出响应；在

防病毒方面，利用防病毒系统来实时对病毒进行检测和防护。

■应急管理方面：有明确的应急管理策略，实施工作主要有运维人

员与服务供应商担当。

■密码管理方面：有明确的密码管理实施方法，但缺乏定期修改密

码与密码保存方法。

■备份管理方面：有明确的备份管理策略，也制定了相关的备份方

法。

文档管理方面：有明确的技术文档管理制度，但技术文档资料缺乏登记、

分类、由专人保管，同时也缺乏技术文档资料的运用、外借或销毁的审批登

记手续。

3.2网络平安现状

XX电力的网络拓扑现在如下图所示:

人卬只代申有跟0任幺司信耳大只可给16个*

当前网络骨干区域，基本形成以一台H3CS7506为核心，多台H3C

S7503为汇聚接入的架构。但核心交换机H3CS7506同时兼具远程接入区多

条专线接入设备的任务，中间没有汇聚设备，网络逻辑层次结构较为模糊。

不利于网络的扩展建设，更不利于平安域边界的整合，无法实施集中统一的

平安防护策略。

除互联网接入区外，当前网络各区域均为单链路、单设备。网络单点故

障隐患很大。随意节点设备、链路的故障，或因维护的须要停机重启，均会

造成相应区域网络的通讯中断，造成重要影响。

当前网络中，在服务器区部分、管理支撑区、远程接入区，玉溪烟厂生

产网办公网部分均存在区域划分大清晰,动界模糊的状况.平安域划分不清

晰，区域边界未整合，不利于日常的平安管理，无法实施集中统一的平安区

域防护策略。

服务器区域H3C设备FWSM防火墙处于策略全通状态，无法起到应有的

访问限制功效，让全部服务器干脆暴露在办公网中。部分远程接入区域锥

路、1T运营中心等，同样存在缺乏防火墙等设备，无法实施基本的网络访问

限制，无法有效防护重要资产设备。

当前网络中缺乏必要的入侵检测/防卫手段，特殊在核心交换机、内网

服务器区、DMZ服务器区。无法实施网络流量的实时监控分析，进行恶意行

为的告警响应，无法与时发觉并史理平安事务。

全网缺乏一套集中的平安运营管理中心，无法集中监控各网络设备、平

安设备、主机与业务的平安运行状况，收集日志信息，集中存储、关联分析

和呈现。同时.，无法与时驾驭全网的平安态势，与时做出分析推断，影响平

安导务的响应处理效率。

内网服务器区、DMZ服务器区缺乏业务审计设备，无法记录关键的业

务、维护操作行为。出现平安事务时，无法通过审计设备进行操作行为的跟

踪分析，与时查找缘由。当前网络设备平安相关策略大多采纳默认配置，自

身存在较多平安隐患，在一些恶意的人为因数卜.，可能造成网络设备运行不

正’4,甚至网络局部区域通讯中断。

3.3主机与业务系统平安现状

当前系统中的主机与应用系统欠缺较多的补丁，存在较多的高风险漏

洞。攻击者可以通过一些简易工具或技术手段，入侵主机，提升权限，进行

后续的破坏活动。

XX电力部分业务系统主机和数据库帐号存在弱口令现象，包括用户名和

口令一样、空口令、通用默认口令、极易揣测的简洁数字等。弱口令可以使

恶意用户干脆或者通过简洁扫描二具，即可获得用户帐号和密码，可以干脆

访问系统，甚至获得系统管理员帐号和密码，完全限制该系统。假如系统被

攻云，对XX电力业务的正常运行造成很大的影响。

帐号口令管理方面，当前全部UNIX类主机采纳默认配置，没有启用帐

号相关平安属性限制，没有对口令的困难度、有效期、更新密码周期等进行

统一约束。帐号口令平安策略设置不严格，用户口令简洁遭到揣测或字典攻

击胜利，进而使系统简洁被非法操纵。

用户登录管理方面，当前全部UNIX类主机采纳默认配置，未启用root

干脆登陆限制、终端登陆限制、登陆会话时间限制、SU权限限制等登录平安

管理策略。用户登陆平安策略设置不严格，简洁造成恶意用户越权滥用，非

法操作，root特权运用峡乏监控审计，给系统造成影响破坏。

当前绝大部分主机采纳默认配置，开放有SNMP服务，并且没有修改缺

省的SNMP共同体字符串。而已攻击者通过SNMP可以获得远程操作系统的类

型和版本、进程信息、网络接口信息等敏感信息。这可能使攻己者可以精确

了解远程主机的系统信息，更有伊对性的发起攻击。

当前大部分主机，包括部分对公网供应服务的主机的OpenSSH版本较

老，暴露有较多缓冲区溢出漏洞。恶意攻击者通过上述漏洞，可以发起拒绝

服务攻击或执行随意代码，限制主机，给业务系统造成严峻影响。

当前多数主机系统中开放有危急的R系列服务，建立有较多主机间的信

任关系。用户可运用rlogin干脆登录而不需密码，还可运用rep.remd等

吩咐，便利用户操作。R系列服务有肯定的平安性风险，在当前环境中，简

洁被仿冒，无需口令即可干脆访问授信主机，造成系统越权访问。

当前绝大多数主机采纳默认配置，开放有危急且不必需的TCPSmall

Service和UDPSmallService。包括echo、diacard、chargen、talk等。

每一种网络服务都是一个潜在的三安漏洞，也就是一个攻击者可能会进入的

地方。开放TCP/UDP小服务可能拒绝服务攻击、系统入侵等危害。

当前绝大多数主机采纳默认配置，开放有危急的RPC服务，包括

rstatd、rusersdsrwalld等。RPC系列服务可能造成系统信息泄露，为恶

意攻击者的进一步行动供应有用信息。

当前大多数主机开放有Sondmail服务，Scndmail服务自身存在较多风

险漏洞。非邮件服务器无需运行Sendmail服务。恶意攻击者利用Sendmai1

服务漏洞简洁获得系统权限，或用来发送垃圾邮件。

前部分供应Web访问的系统（包括外网网站等）采纳的Apache服务器

版在较低，存在多处缓冲区溢出漏洞。恶意攻击者可以利用这人漏洞进行缓

冲区溢出攻击，可能以Apache进程权限在系统上执行随意指令或进行拒绝

服务攻击。

当前大部分主机和应用系统夫纳默认的Syslog日志配置。未配置集中

的外部日志服务器系统，进行统一的收集、存储和分析。不能与时有效地发

觉业务中的问题以与平安事务，不利于平安事务的跟踪分析

渗透测试检查发觉，XX电力外网网站存在两处高风险的SQL注入漏洞。

利月SQL注入点1,可进行数据库信息揣测、数据表揣测、表空间揣测，进

而获得整个数据库的信息，随意查看和修改。利用注入点2可以获得随意注

册会员的帐号和密码信息，以与会员的邮件地址、身份证、真实名字等敏感

信息。同时还检查出，外网网站存在可上传随意文件、跨站脚本攻击两处

高、中风险漏洞。外网网站作为XX电力的对外门户网站系统，是对外宣

扬、信息发布的重要途径，FI均访问量很大。恶意入侵者利用上述漏洞，极

易造成网站系统重要数据信息泄密，网站页面破坏、篡改、挂马等危害，严

峻影响用户的正常访问，造成用户感染病毒木马。

渗透测试检查发觉，内网网站存在两处高风险漏洞，可以获得全部用户

的口令和其它敏感信息。同时还存在暴露系统肯定路径、可以查看随意短消

息列表内容。内网网站是公司内部信息发布的主要途径，采纳邮件系统的帐

号口令进行认证，通过上述漏洞，恶意攻击者可以获得全部用户帐号的口

令，登录内网网站、登录邮件系统，造成信息泄密、篡改、破坏等危害。

3.4终端平安现状

目前XX电力平安方针策略不够清晰明确。由于平安目标方针不明确，

导致全员不能清晰领悟平安的重要性，平安思想不能得到有效实行。各部门

执行平安的方向不统一。平安方针不统一，会常常出现平安行动不统一，平

安意识不明确的现象。

XX电力没有建立完善的平安管理策略制度。制度不完善导致执行平安工

作时不能遵循统一的策略，导致因误操作或因不规范导致的问题发生。可能

会已现由于制度流程不完善导致的信息泄密、网络系统瘫痪等管理制度不全

面，未能覆盖包括第三方人员管理、桌面系统管理、系统开发等方面，导致

相关操作无规范。

当前XX电力成立了信息平安工作领导小组，但小组成员基木以各级领

导为主，专业平安人员只有一人，不能满意日常平安管理工作狗要。并且系

统维护人员同时负责此系统的平安运行，目前的编制已经很难满意口常平安

管理的须要，因此信息平安的具体执行工作难以得到有效的开展。

平安岗位职责未设置AB角色，一人负责，一旦发生人员调离或其它意

外导致系统仝面瘫痪“没有建立完善信息平安考核体系，导致员工不能严格

执行各项信息平安规章制度。各级员工普遍信息平安意识不强，导致员工对

信息平安的内容、管理目标等没有明确的相识与理解，不能在日常工作中主

动地贯彻各项信息平安制度、规范与标准。

XX电力尚未实施针对非专业平安人员的平安培训安排平安培训跟不上导

致专业人员和一般员工平安技术缺乏，平安意识薄弱。

当前状况下，备份介质大多存放在机房内或办公区域中。同时没有针对

可移动介质的管埋制度。没杓介质销毁制度。重要软件或具它资产（如密码

本）存放在机房内，可能会导致简洁使内部较易获得或破坏资产；重:要资产

存放在办公区域内，很简洁被外来人员进行有意或无意的攻击。

目前按部门的划分来爱护资产，将资产进行了一些简洁分类。软件资产

无具体登记，也未将资产划分平安等级。不能对重点资产进行重点爱护。

尚未制定相应的访问权限与限制的流程与职责，总部和各分厂在处理第

三方访问权限时没有统一的标准与规范；对第三方的监控缺少标准与技术手

段，各单位基本没有在第三方访问时实施有效的监控；在第三方合作完成

后，不能与时的注销访问权限、修改口令，存在第三方接着访问获得机密信

息或者进行非法操作的风险。

当前XX电力缺乏系统规范的应急响应预案。缺乏相应的制度流程，导

致系统遭遇篡改或无法运用时，对公司的管理运营具有稍微影响。

缺乏系规范的桌面系统平安管理规范，终端人员操作水平六一样，平安

意识不足可能会导致桌面系统的病毒蠕虫事务，以至于网络瘫思；移动硬盘

的元规范运用，不仅会导致病毒泛滥，而且简洁将信息泄露或数据破坏与丢

失。

建设过程中没有同步考虑系统功能和平安性。立项管理阶段：项目前期

过程中对平安的考虑不够完整，主要包括信息平安目标定义不明确，初步平

安限制方案存在限制不足的状况，项目预算调减时导致平安限制被消减；实

施管理阶段：缺少统一的平安需求分析方法、基本爱护要求以与平安验收测

试，导致在建系统的平安限制方案不能有效地实现平安目标，开发过程中对

开发人员限制不够，使得项目过程文档和内部敏感信息外流；验收管理阶

段：缺乏系统运维安排，包括备份复原安排、应急预案，有的系统是上线运

行后。

4.建设目标

本期信息网平安建设达到以下目标:

•通过防火墙和入侵检测/防护系统的部署，构建网络边界防护，

将内部网络与其他网络进行隔离，避开与外部网络的干脆通讯，保证

网络结构信息不外泄；

•对各条链路上的服务恳求做必要的限制，使非法访问不能到达主

机；

•通过防病毒系统的部署，建立完整的系统防病毒体系，防止病毒

的侵害；

•通过客户端管理系统的部署，建立客户端资源、行为的必要限

制，以与补丁与时分发，削减内网用户的担心全因素；

•通过省公司本部平安监管平台的部署，初步实现平安事务集中监

视和分析，为下一步建设全省信息平安体系打下基础。

5.平安区域的划分方案

5.1网络平安域划分原则

平安域是指网络系统内包含相同的平安要求，达到相同的平安防护等级

的区域。网络平安域设计遵循以下原则：

1、内部网络结构层次分明，使于网络隔离和平安规划。

2、网络结构具备高牢靠性和高可用性。

3、不同的网段在交换机上划分不同虚拟局域网（VLAN）,不

同虚拟局域网（VLAN）之间的路由设置访问限制表（ACL）。

4、地址规划应便于路由汇总以便利路由管理、提高路由广播

效率以与简化ACL配置。

5、边界和内部的动态路由协议应尽量启用认证，用来防止路

由欺瞒，否则高超的黑

客可以通过发送恶意的路由更新广播包，使得路由器更新路由表，造成

网络瘫痪和路由旁路。

6、全部对网络设备的维护管理启用更牢靠的认证。

7、交换机的第三层模块（L3模块）或防火墙配置访问限制表

（ACL）o

8、路由器设置反地址欺瞒检查。对于路由器，外出

（Outbound）接收包的源地址只

可能是外部地址，不行能是内部地址，同样进入（Inbound）接收包的

源地址只可能是内部地址，不行能是外部地址，这样能防止黑客利用策略允

许的内部或外部地址进入网络。

9、启用路由反向解析验证，这在某种程度上牺牲了肯定的网

络性能，但能有效阻挡

随机源地址类型的攻击，犹如步攻击等（SyncFlood）。

io.路由器过滤全部来自外部网络的源地址为保留地址的数据

包。

11、全部供应简洁网络管理协议（SNMP）服务的设备（路由

器、交换机、计算机设备等）的共用组名（CommunityName）不能运

用缺省，要足够困难，并且统一管理。

全省按如下网络平安域进行划分：

1、整个省公司划分为四个大的平安域：内部办公区，DMZ（对

外业务区），电力信

息网区（对内业务区），若干外联网区域（Internet,第三方接入等）；

2、各平安域之间通过防火墙进行隔离，在防火墙上依据网络

应用的需求进行访问策

略的设^置；

3、外网服务器区（DMZ）的网站、邮件、应用（Web,Mail,

Application）服务器

通过网络地址转换(NAT)等，对Internet供应服务；

4、电力信息网区的服务器通过防火墙与内部办公区，DMZ区

进行通信，对内供应系

统应用；

内部办公区视需求进行虚拟局域网(VLAN)的进一步划分，由交换机的

第三层模块(L3模块)进行虚拟局域网(VLAN)划分和访问限制表(ACL)

限制或通过防火墙模块进行各虚拟局域网(VLAN)之间的平安限制。

5.2网络区域边界访问限制需求

依据目前公司系统的实际网络状况，在公司系统网络环境中，区域边界

主要有以下几个：互联网与电力信息网的连接边界，电力信息网内各本地局

域网与广域网的连接边界，电力信息网与华东电网的连接边界，电力信息网

与国家电网的连接边界，各地市公司与县公司的连接边界，各地市公司与银

行的连接边界。

；；电力汹络与外部M络边界划分

电力网络内郤网络边界划分

依据网络平安建设的原则，平安等级低的系统应当与平安级别高的系统

进行有效隔离，避开将两者混杂，从而干脆降低了高平安级别系统的平安

性。

平安仅仅依靠操作系统和数据库管理系统权限限制功能。这是远远不够

的，任何一个位于该网络中的客户终端，都可能是一个潜在的对关键服务器

的威逼点。

因此，首先必需将全部这些服务器按重要等级和国家经贸委划定的“平

安区域”进行分级，其次在科学合理分级的基础上，采纳有效的网络隔离措

施，隔离这些不同平安等级的服务器，并进行有效的访问限制。

网络隔离的目的最主要的就是要完成网络层访问限制的功能。常常存在

的网络滥用现象本身就是因为缺乏有效的访问限制手段所导致的。从平安的

角度来说，应当遵循“最小授权”原则：一个实体应当而且只应当被给予它

完成正常功能所需的最小权限。而在我们的实际网络运营中，往往忽视了这

一原则，任何一个在网络上活动的一般用户，常常会拥有过多的访问权限。

一人用户原来仅仅只须要访问服务器的WEB服务，但是由于缺乏有效的网络

层隔离与访问限制机制，这个用户其实拥有对该服务器一切网络服务访问的

权限。这种违反“最小授权”的状况事实上常常被人忽视，从而导致了在特

定的状况下平安事务的产生，造成了严峻的后果。

常见的网络层访问限制主要是基fIP和端口来进行。对公司系统来说

仅仅基于这样的网络层访问限制是不够的。因为往往客户端的1P地址是采

纳动态安排，很难将某个IP地址与特定用户绑定起来。因此须要通过MAC

地址对用户网络层的访问进行限制。

访问限制在多个网络协议层面都是一个必要的平安机制。对重要应用系

统大说，其访问限制要求更为细致，但网络层的访问限制是基础，假如在网

络通讯层面以与操作系统层面都不能保证严格有力的访问限制，应用层面的

限制是没有意义的。所以，首先必需实施全面的区域边界网络隔离与访问限

制技术。

5.3边界网络隔离和访问限制

为了有效保证同一网络区域内实行相同的平安策略，避开违反平安策略

的跨区域访问（如严格禁止从Internet对XX电力专网的干脆访问），方案

采纳如下措施进行区域边界防护。

5.3.1区域边界的访问限制

防火墙技术是目前最成熟，应用最普遍的区域边界访问限制技术。它通

过设置在不同网络区域（如可信任的企业内部网和不行信的公共网）或网络

平安域之间来实施平安策略。它是不同网络或网络平安域之间信息的唯一出

入口，能依据平安政策限制（允许、拒绝、监测）出入网络的信息流，且本

身具有较强的抗攻击实力。它是供应信息平安服务，实现网络和信息平安的

基础设施。

区域边界的防火墙限制技术在上述全部边界均加以实施。

5.3.2敏感区域边界的流量审计

此处的敏感区域边界，主要指平安性相对较高和平安性相对较低网络之

间的连接区域边界，具体到省公司信息系统而言即为Internet与信息网系

统的连接边界，信息网系统与国网公司、华东电网、县公司与银行的网络连

接边界。对于这些边界的限制，仅仅运用防火墙策略是不够的。由于敏感区

域边界间平安性差别较大，极易出现平安问题，所以应对跨区域的流量进行

完全审计，便于FI后的审查须要。

5.3.3敏感区域边界的网络防入侵与防病毒

除了在敏感区域边界间实施流量审计这种被动审计技术外，还应建立主

动入侵防卫机制，动态响应跨区域的入侵，这种动态响应技术即为入侵检测

和病毒防护技术。因为，从平安角度来说，当前新兴的病毒威道已具有相关

黑客入侵特征，二者的结合防护不行或缺。

上述二种技术在进行区域边界防护时可互为补充，相辅相成。从工程角

度天说，最好能将三种技术集成在一个产品里，以供应平安功能的集合，一

方面便于实施，另一方面便于后期维护和管理。

6.XX电力信息网防火墙部署方案

在Internet与互联网内容发布平台之间和互联网内容发布平台与电力

信息网之间部署具有防火墙、平安审计、入侵防护和病毒防护等综合功能的

平安产品。

虽然,公司系统已经部署了其分的思科PIX防火墙，但是思科P】X防火

墙兴纳的是防火墙防护技术最初级的一种。思科PIX通过包过渡技术实现对

用户网络的防护，这种技术无法应对目前口益狷獗的混合式威逼，也无法供

应病毒防护功能。

近一两年，基于对边界平安需求的全面考虑，很多平安厂商推出了新型

的多功能网关，新型多功能网关就是在防火墙的基础上供应网关须要的其他

平安功能，例如最常见的是在防火墙上增加虚拟专用网（VPN）功能。还有

在防火墙上增加防病毒功能。也有更为先进的是在防火墙上同时集成了虚拟

专月网（VPN）、防病毒、入侵检则、内容过滤等全面平安功能，新型多功

能网关是网关平安发展的趋势，只有新型多功能网关才能真正让网关位置成

为立安防护体系的重要有力的组成部分。

在公司网络系统的网络区域出口处安装此类多功能集成网关平安产品，

为月户构建坚实的网络防线。此类防火墙不但可以防止黑客入侵，而且供应

入侵检测/防护功能，并且可以和防火增自带防病毒系统紧密结合在一起，

供应网关级的防病毒爱护。

考虑到全省信息网移到综合'I匕务数据网上，我们在各地市公司与省公司

连接的网关处均采纳千兆防火墙，各地市公司到县公司、银行等采纳百兆防

火墙。

通过防火墙可对不同平安区域之间的网络连接活动进行严格的访问限

制，并且不仅仅如此，通过防火墙可对往来这些网络之间的攻击入侵和病毒

传播进行有效的检测和阻断，从而将高平安区域有效的隔离爱护起来，从网

络层到应用层进行立体化的区域边界防卫，通过实施该一体化的集成平安网

关，使省公司和各地市公司内部网络的平安等级得到有效提升和保证。

6.1省公司防火墙和集成平安网关的部署

1.省公司防火墙和集成平安网关部署示意图（老大楼）

部署说明：

•用于Internet出口访问限制，已采纳PIX防火墙，由FPIX采纳

的是ASA算法状态检测技术，通过包过滤技术实现对用户网络的防

护，这种技术无法应对目前日益猖獗的混合式威逼，也无法供应病毒

防护功能。因此在此方案中我们建议米纳带有防病毒、内容过滤、入

侵检测、平安审计为一体的多功能集成平安网关。通过在集成平安网

关上启用相应的平安策略，限制内部用户的对外访问，并开启防病毒

功能以保证内部用户的对■外访问不受病毒侵害。另外，通过启用反垃

圾邮件技术，爱护内部的邮件服务器免受垃圾邮件的攻击，并依据网

络的具体应用在集成平安网关上启用入侵检测和入侵防护攻击（IDS/

IPS）功能，爱护互联网网关处系统免受来自系统内外的攻击。

•远程访问虚拟通道（VPN）防火墙，其已采纳PIX防火墙，在方案

中在P【XVPN防火墙之后增加集成平安网关，用于移动用户对内网访问

的数据解密后进行病毒防护、内容过滤等。

•在合肥地区单位和省公司网络连接边界处、国网公司、华东公司

与省公司网络连接边界处和电力三级网与省公司网络连接力界处分别

部署带有防病毒、内容过滤、入侵检测、平安审计为一体的多功能集

成平安网关。并通过在集成平安网关上启用相应的平安策略，限制用

户的对外访问，并开启防病毒功能以保证用户的对外访问不受病毒侵

害。

•在省公司两台CISCO6506上分别增加1块FWSM防火墙模块，用于

各VLAN之间的平安访问限制。并通过此部署，可以严格限制用户对服

务器区的访问限制。

省公司防火墙和集成平安网关部署示意图（老大楼）

2.省公司防火墙和集成平安网关部署示意图（新大楼）

部署说明:

1、在省公司与“INTERNET、华东公司、国网公司、各地市公司信息三

级网”相连

的网络边界采纳两层异构防火墙系统，外层防火墙为已经部署的专.业

平安设备，用于阻挡来自互联网、国网公司、华东公司等网络攻击和设置

访问限制策略,内层防火墙系统采纳集成平安网关。其中互连网平安网关

采纳双机热备工作方式，即高可用性HA方式，任何一台设备出现问题，备

机均可以快速替换工作，网络仍能正常运转。在内层集成平安网关上启用

相应的平安策略，限制内部用户的对外访问，并开启防病毒功能以保证内

部用户的对外访问不受病毒侵害。另外，启用反垃圾邮件技术，爱护内部

的邮件服务器免受垃圾邮件的攻击，并依据网络的具体应用在集成平安网

关上启用入侵检测和入侵防护攻击(IDS/IPS)功能，爱护互联网网关处

系统免受来自系统内外的攻击。

2、远程访问虚拟通道(VPN)防火墙，其已采纳PIX防火墙，在方案中

通过在将PIX

VPN防火墙之后增加集成平安网关，用于移动用户对内网访问解密后的

数据进行防病毒、内容过滤等。

3、通过在信息三级网路由系统前增加集成平安网关过滤掉病毒等混合

式威逼进入到信息三级网，从而爱护各地市公司的网络平安。

4、通过在合肥城域网之前部署集成平安网关过滤掉合肥地区单位病毒

等混合式威逼进入省公司内网。

5、在省公司两台服务器区三层交换机上分别增加1块FWSM花火墙模块，

用于对服务器的平安访问限制。

0A服务■“务者理

陆火■，依中4省公司防火墙模块和集

B3a3H成安全网关部署图

集成安全网关

奇大楼独老大楼也

心文找机心文找机

3XQXCCX0X)

季氏条盒礼

中佐装人

桃111监聚务器群合肥城域网

万兆以太网

“♦要△■臭，电千兆以太网

百兆以太网

InternetJLiA

地市客户端路由CR

注：结合省公司老大楼和新大楼的部署状况，建议总共增加6台集成

平安网关（其中5台千兆集成平安网关，1台百兆集成平安网关）；2块思

科FWSM防火墙模块。

6.2地市公司防火墙和集成平安网关的部署

对公司系统各地市公司来说，其中一大威逼就是县公司的防卫比较脆

弱，一旦某县公司局部网络出现'/安事务如蠕虫病毒扩散等，势必将导致该

威逼在整个人网中进行扩散和传播，通过将县公司的广域网连接路山器与地

市公司连接省公司的路由器隔离开来，将各县公司纳入到地市公司的平安管

理范围内，确保各县公司网络不对信息三级网构成威逼。

部署说明：

1、在地市公司与县公司相连的路由器前增加集成平安网关，防止县公

司网络平安威逼到信息网，并通过在集成平安网关上启用相应的平安策略，

限制县公司用户的对信息网的访问，并开启防病毒功能以防止县公司的病毒

侵害到信息网。另外，在集成平安网关上启用防攻击入侵检测/入侵防护

(IDS/IPS)功能，使信息网络系统免受来自县公司的攻击。

2、在地市公司与省公司相连的路由器后增加千兆防火墙，隔离各地市

公司网络的相

互威逼，并通过防火墙设置访问限制。

3、地市公司与银行相连的前置机后增加集成平安网关，通过设置访问

策略，仅允许银行访问前置机IP地址和数据应用端口号。

四破网新增设备

市公司办公区域

市公司千兆防火墙、集成安全网关部署图

・

«na■«■n>

银电联网集成安全网关部署图

备注：1.在市公司与银行相连的集成平安网关可以采纳市公司与省公

司相连的退下来的百兆防火墙代替。

2.在地市公司与省公司广域史的网关防火墙可以运用在交换机上增加防

火墙模块代替，增加防火墙模块的优点：不仅在省公司连接的广域网网关处

实现访问限制，而且在不同的VLAN之间的访问限制也可以实现，尤其是对

服务器区的访问限制。

6.3技术要求

1、集成平安网关主要功能和技术要求如下：

•采纳网络处理器(NetworkProcessor：NP)和专用集成电路

(ASIC)架构。

•集成防火墙、基于协议异样和基于攻击特征的入侵防卫与入侵检

测、病毒防护、内容过滤、电子邮件过滤等。

•可以供应集中管理，通过集中的日志记录、警报、报告和策略配

置简化网络平安的管理。

.支持:路由、网络地址转换(NAT)和透亮模式等。

•支持内置认证数据库认证、支持Radius服务器认证，

•支持策略路由。

•防火墙本身应具有较强的抗攻击实力。

•支持静态地址转换、动态地址转换、端I」转换、反问IP映射•、

双向地址转换等。

•支持流量管理和限制。

•支持OS、入侵检测库、防病毒库、内容过滤库等在线升级。

•支持标准日志记录和审计。

•支持标准联动协议，可以与入侵检测系统、网络防病毒系统、信

息审计系统、认证系统、vp\设备、日志服务器等进行联动。

2、防火墙主要功能和技术要求如下：

•采纳网络处理器(NetworkProcessor：NP)和专用集成电路

(ASIC)架构。

•可以供应集中管理，通过集中的口志记录、警报、报告和策略配

置简化网络平安的管理。

•支持路由、网络地址转换(NAT)和透亮模式等。

•支持内置认证数据库认证、支持Radius服务器认证，

•支持策略路由。

•防火墙本身应具有较强的抗攻击实力。

•支持静态地址转换、动态地址转换、端口转换、反何IP映射、

双向地址转换等。

•支持流量管理和限制。

•支持标准日志记录和审计。

•支持标准联动协议，可以与入侵检测系统、网络防病毒系统、信

息审计系统、认证系统、VP7设备、日志服务器等进行联动。

7.XX电力信息网网络防病毒方案

7.1XX电力防病毒软件应用现状

公司系统现有的防病毒系统主要日的是爱护办公系统。邮件服务器采纳

DominoNotes系统，运行于Windows2000Server系统平台。

各单位局域网已经部署的防病毒软件包括：

•赛门铁克(Symantec)公司防病毒产品

•趋势(TrendMicro)公司防病毒产品

•瑞星公司防病毒产品

其中以Symantec和TrendMicro产品为主。

在防病毒方面，目前公司系统还没有实施统一的防病毒解决方案，对于

邮件系统的网络防毒还没有统一配置。在日常防病毒维护中各网络各行其

事，分散管理，这样不但加重管理员的管理工作，而且不能实现统一的、集

中的管理，易受到各种人为的因素的影响，即使在安装了防病毒软件的状况

下乜不能确保整个网络的防病毒实力。

7.2企业防病毒总体需求

建立全网的病毒检测与防范系统，与时检测和限制各种文件、宏和其它

网络病毒的传播和破坏，具有集中统一的管理界面，系统具有自动升级，自

动数据更新，可管理性等特性。

XX电力信息网网络病毒防护系统是确保全省网络系统信息平安的重要手

段。针对病毒种类繁多，增长快速，隐藏性、再生性强，易传播，发作快、

危害严峻的特点，防病毒系统必需对全省范围内的关键组件和信息资源实行

全方位、立体、动态、实时的病毒防护。为此，必需供应强大、敏捷、统一

部署、分级管理的防病毒策略和集中的事务监控、告警、管理手段，支持自

动下载并分发最新的病毒特征码和扫描引擎，供应强大的病毒响应和处理机

制等。

7.3功能要求

混合式威逼是指同时具有多种自我传播方式的新式蠕虫病帚。如：“尼

姆达”、“红色代码”、“求职信”、“爆发工”、这种利用操作系统、应

用或服务的漏洞进行传播、感染和攻击的病毒。

混合式威逼传播途径和方式：

•通过电子邮件系统，客户端在收电子邮件时，把病毒带入

内部网络。

•用户上网，通过HTTP,FTP等把病毒和•些恶意的移动代

码带入内部网络。

•通过软盘或盗版光盘感染网络中的客户端，然后病毒通过

网络感染整个内部网络，甚至通过网络传播。

•一些远程拨号用户在存取企业内部网络时把病毒带入内部

网络。

•协作单位或合作伙伴以与下属或分支机构的网络或机器感

染病毒后有可能在整个网络中传播。

•病毒在传播的过程中，往往利用操作系统、应用系统的漏

洞来进行攻击。

传统的防病毒产品都是基于文件的病毒防护和查杀，对于通过网络通信

方式的传播则无能为力。对于通过网络通信方式，利用PC机操作系统漏洞

进行远程攻击的蠕虫，只有通过客户端防火墙+客户端的入侵检测产品才能

有效拦载。为了有效爱护网络，并削减与平安管理相关联的成本和努力，这

些三安技术须要无缝地相互作用。

要在客户端爱护连接和未连接的远程与移动员工，使其免受未授权网络

访问和混合威逼的侵扰，须要三种关键技术：

•实时病毒防护，用于防卫已知和未知的恶意威逼

•客户端防火墙，用于阻挡可疑的传入和输出网络通信

•入侵检测，用「识别和阻挡可用于拒绝服务(D£)攻击的

已知互联网入侵

企业须要可以对混合威逼和黑客攻击进行最佳防卫的客户端解决方案。

集成的病毒防护、防火墙和入侵检测技术相互作用以满意这些平安需求。集

成的客户端防火墙和入侵检测技术也可以用来扫描入站和出站通信，以查看

其中是否存在威逼，从而更好地防卫当今的混合威逼。防火墙和入侵检测技

术还可以检测并指明黑客企图攻击的行为。仅防病毒的平安解决方案无法防

止混合威逼的传播，也无法防卫入侵者。

通过供应来自单一平安供应商的防病毒、防火墙和入侵检测的单一更

新，集成的客户端平安使企业能够更快速地响应困难的平安威退。通过单一

的管理限制台，可以对多种平安技术进行集中的配置、部署、安装和策略管

理。它还可优化管理员资源，并有助于削减网络客户端防护方面的管理、支

持和总体平安成本。总体来说，集成的客户端平安解决方案有助于企业实现

投资的更佳回报，降低总拥有成本，尤其与不同的独立解决方案相比时，更

是如此。

7.4XX电力网防病毒系统整体架构和管理模式

7.4.1采纳统一监控、分布式部署的原则

本方案设计采纳“分级限制，分级管理”架构，这样的架构既与

原有的防病毒系统架构保持肯定程度上的一样一一利于平滑升级，又与现有

行政管理模式相匹配一一益于提高管理效率，同时又能体现省公司“统一规

划，分级管理”的思想。

安徽电力信息网网络防病毒系统整体管理架构

•统一管理、集中监控：

主要是由省公司进行集中监管，包括：

。由省公司依据各地市公司、调通中心、合肥地区公司的具

体状况统一制定相应的防病毒策略和实施安排。

。省公司负责全网的病毒定义码、扫描引擎和软件修正的统

一升级工作，并将升级文件自动逐级分发至各地市公司、调通中

心、合肥地区公司的防病毒服务器。

。省公司负责各分公司、调通中心、合肥地区公司被隔离文

件的提交和卜发相应的病毒定义码和扫描引擎。

。省公司可以通过广域网对下级的病毒管理服务器进行集中

监控和管理。

。省公司负责管理统计病毒报表生成等工作。

•分级实施、分级维护：

主要依据公司现有的网络构架和管理体制，设立省公司、地市公司、调

通口心、合肥地区公司二级管理中心，以与以后甚至到县公司三级管理中

心。各级管理中心负责本地病毒防护系统的实施和维护工作，由省公司来进

行集中监管，包括：

•各分公司负责自己局域网防病毒软件的安装。

•配置和实施各分公司制定的防病毒策略。

•监控自己局域网防病毒状态；各分公司分别负责自己

局域网防病毒状态的监控和对■病毒事务做出相应的响应。

•日志文件的维护。

•报警维护。

7.4.2部署全面的防病毒系统

采纳“纵深”防卫的措施，即考虑在整个网络中只要有可能感染和传播

病毒的地方都实行相应的防病毒手段，安装相应的防病毒系统。利用网关级

病毒防护产品将病毒尽最大可能地拦截在网络外部，同时在网络内部采纳全

方位的网络防病毒客户端进行全网的病毒防护，针对服务器采纳服务器端的

病毒防护，同时保证全网病毒防护系统做到统一管理和病毒防护策略的统

-o针对公司系统的具体状况，主要考虑网关防病毒、邮件平安防护、服务

器的病毒防护以与客户端病毒防护。

•部署网关防病毒

XX电力信息网地域跨度大、子网多、结构相对困难，一旦病毒侵入局域

网内部则会给管理造成较大的困难。因此，在整个网络上不仅要建立一个统

一的、多层次、全方位、集中化管理的平安防护系统，并且在网络边缘部署

网关级病毒防护产品（如网关防病毒墙或集成平安网关等）以队止计算机病

毒从网络边缘进入省公司和各地市公司内部网络。

•针对邮件的内容过滤、拦截垃圾邮件和防病毒

考虑到当前计算机病毒多数通过电子邮件和垃圾邮件传播，在方案中设

计了集邮件病毒和蠕虫防护、邮件内容过滤和反垃圾邮件为一体的邮件平安

防护产品。

•部署服务器端防病毒

在服务器系统的防病毒爱护上，依据公司系统网