电力企业信息系统等级保护建设方案

山东省电力集团企业信息

系统等级保护建设方案

国家电网公司信息网络安全实验室

INFORMATION&NETWORKSECURITYLABORATORYOFSTATEGRIDCOPORATIONOFCHINA

国网电力科学研究院

STATEGRIDELECTRICPOWERRESEARCHINSTITUTE

二零零九年八月

版权申明

本文中出现的任何文字论述、文档格式、插图、照片、措施、过程等内容,除另有

尤其注明,版权均属国网电力科学研究院/国网信息网络安全试验室和山东省电力集团企

业所有,受到有关产权及版权法保护。任何个人、机构未经国网电力科学研究院/国网信

息网络安全试验室和山东省电力集团企业的书面授权许可,不得以任何方式复制或引JU

本文的任何片断。

文档信息

文档名称山东省电力集团企业信息系统等级保护建设方案

文档管理编号INSL-SDDL-BUT-2023-FA

保密级别商密文档版本号V3.0

制作人郭骞制作日期2023年6月

复审人余勇复审日期2023年6月

国家电网企业信息网络安全试验室

扩散范围

山东省电力集团企业

扩散同意人林为民

版本变更记录

时间版本阐明修改人

2023-8V1.0创立文档郭骞

2023-8V2.0修改文档俞庚申

2023-8V3.0文档复审定稿余勇

合用性申明

本汇报由国网电力科学研究院/国网信息网络安全试验室撰写,合用于山东省电力集

团企业信息系统等级保护项目。

5.二级系统域建设....................................错误!未定义书签。

5.1概述与建设目的..............................错误!未定义书签。

5.2网络安全....................................错误!未定义书签。

网络安全建设目日勺........................错误!未定义书签。

地市企业建设方案........................错误!未定义书签。

5.3主机安全....................................错误!未定义书签。

主机安全建设目日勺........................错误!未定义书签。

主机身份鉴别............................错误!未定义书签。

访问控制................................错误!未定义书签。

安全审计................................错误!未定义书签。

入侵防备................................错误!未定义书签。

恶意代码防备............................错误!未定义书签。

资源控制................................错误!未定义书签。

5.4应用安全....................................错误!未定义书签。

应用安全建设目H勺........................错误!未定义书签。

身份鉴别................................错误!未定义书签。

安全审计................................错误!未定义书签。

通信完整性、通信保密性.................错误!未定义书签。

资源控制................................错误!未定义书签。

5.5数据安全及备份恢复..........................错误!未定义书签。

数据安全及备份恢复建设目H勺.............错误!未定义书签。

数据完整性、数据保密性.................错误!未定义书签。

6.三级系统域建设....................................错误!未定义书签。

6.1概述与建设目的..............................错误!未定义书签。

6.2物理安全....................................错误!未定义书签。

物理安全建设目的........................错误!未定义书签。

机房感应雷防护措施......................错误!未定义书签。

物理访问控制............................错误!未定义书签。

防盗措施................................错误!未定义书签。

防火措施................................错误!未定义书签。

防水和防潮..............................错误!未定义书签。

电磁防护................................错误!未定义书签。

6.3网络安全建设方案............................错误!未定义书签。

网络安全建设目的........................错误!未定义书签。

建设方案................................错误!未定义书签。

6.4主机安全....................................错误!未定义书签。

主机安全建设目日勺........................错误!未定义书签。

主机身份鉴别............................错误!未定义书签。

访问控制................................错误!未定义书签。

安全审计................................错误!未定义书签。

剩余信息保护............................错误!未定义书签。

入侵防备................................错误!未定义书签。

恶意代码防备............................错误!未定义书签。

资源控制................................错误!未定义书签。

6.5应用安全....................................错误!未定义书签。

应用安全建设目日勺........................错误!未定义书签。

身份鉴别................................错误!未定义书签。

访问控制................................错误!未定义书签。

安全审计................................错误!未定义书签。

剩余信息保护............................错误!未定义书签。

通信完整性、通信保密性、抗抵赖.........错误!未定义书签。

资源控制................................错误!未定义书签。

6.6数据安全及备份恢复.........................错误!未定义书签。

数据安全及备份恢复建设目日勺.............错误!未定义书签。

数据完整性、数据保密性错误!未定义书签。

备份和恢复错误!未定义书签。

1.项目概述

根据国家电网企业《有关信息安全等级保护建设的实行指导意见(信息运安

(2023)27号)》和山东省电力集团企业对等级保护有关工作提出口勺规定，贯彻

等级保护各项任务，提高山东省电力集团企业信息系统安全防护能力，特制定木

方案。

1.1目的与范围

企业为了贯彻和贯彻公安部、国家保密局、国家密码管理局、电监会等国家

有关部门信息安全等级保护工作规定，全面完善企业信息安全防护体系，贯彻企

业“双网双机、分辨别域、等级防护、多层防御”H勺安全防护方略，保证等级保

护工作在各单位的顺利实行，提高企业整体信息安全防护水平，开展等级保护建

设工作。

前期在省企业及地市企业开展等级保护符合性测评工作，对地市企业进行测

评调研工作，范围涵盖内网门户、外网门户、财务管理系统、营销管理系统、电

力市场交易系统、生产管理信息系统、协同办公系统、人力资源管理系统、物资

管理系统、项目管理系统、邮件系统、企业广域网SGInct、管理制度这13个业

务系统分类，分析测评成果与等级保护规定之间的差距，提出本的安全建设方案。

本方案重要遵照GB/T22239-2023《信息安全技术信息安全等级保护基本规

定》、《信息安全等级保护管理措施》(公通字[2()23]43号)、《信息安全技术信息

安全风险评估规范》(GB/T20984-2023)、《国家电网企业信息化“SG186”工程

安全防护总体方案》、ISO/IEC27001信息安全管理体系原则和ISO/IEC13335信

息安全管理原则等。

实行的范围包括：省企业本部、各地市企业。

通过本方案日勺建设实行，深入提高信息系统等级保护符合性规定，将整个信

息系统H勺安全状况提高到一种较高的水平，并尽量地消除或减少信息系统的安全

风险。

1.2方案设计

根据等级保护前期测评成果，省企业本部及各地市企业信息系统存在的漏

洞，弱点提出有关的整改意见，并最终形成安全处理方案.

1.3参照原则

GB/T22239-2023《信息安全技术信息安全等级保护基本规定》

《信息安全等级保护管理措施》（公通字［2023〕43号）

《信息安全技术信息安全风险评估规范》（GB/T20984-2023）

《国家电网企业信息化“SG186”工程安全防护总体方案》

ISO/IEC27001信息安全管理体系原则

ISO/IEC13335信息安全管理原则

《国家电网企业“SG186”工程信息系统安全等级保护验收测评规定（征求

意见稿）》

《国家电网企业信息机房设计及建设规范》

《国家电网企业信息系统口令管理规定》

GB50057-94《建筑防雷设计规范》

《国家电网企业应用软件通用安全规定》

2.建设总目的J

2.1等级保护建设总体目的

综合考虑省企业既有的安全防护措施，针对与《信息安全技术信息系统安全

等级保护基本规定》间存在的差异，整改信息系统中存在日勺问题，使省企业及地

市企业信息系统满足《信息安全技术信息系统安全等级保护基本规定》中不一样

等级的防护规定，顺利通过国家电网企业或公安部等级保护建设测评。

3.安全域及网络边界防护

根据GB/T22239-2023《信息安全技术信息安全等级保护基本规定》、《国家

电网企业信息化“SG186”工程安全防护总体方案》及《国家电网企业“SG186”

工程信息系统安全等级保护验收测评规定（征求意见稿）》H勺规定，省企业及地

市企业信息系统按照业务系统定级，根据不一样级别保护需求，按规定划分安全

区域进行分级保护。因此，安全域划分是进行信息安全等级保护建设的首要环节。

3.1信息网络现实状况

山东省电力集团企业各地市信息内网拓扑经典构造:

省局信息广域网

图：经典信息网络现实状况

重要问题:

♦各安全域之间缺乏有效日勺控制措施不可以保障业务系统安全、独立运

行，不受其他业务系统的影响。

根据GB/T22239-2023《信息安全技术信息安全等级保护基本规定》和《国

家电网企业信息化“SG186”工程安全防护总体方案》的建设规定，省企业和各

地市信息网络安全域需根据业务系统等级进行重新划分。

3.2安全域划分措施

根据国家电网企业安全分区、分级、分域及分层防护日勺原则，管理信息大区

按照双网隔离方案又分为信息内网与信息外网。本方案重要针对企业信息系统进

行等级保护建设。在进行安全防护建设之前.，首先实现对信息系统日勺安全域划分。

根据SG186总体方案中“二级系统统一成域，三级系统独立分域”口勺规定,

结合省企业MPLSVPN现实状况，采用纵向MPLSVPN结合VLAN划分口勺措施,

将全省信息系统分为：

信息内网区域可分为：

♦电力市场交易系统MPLSVPN（或对应纵向通道）：包括省企业电力市

场交易应用服务器VLAN、省企业电力市场交易办公终端；

♦财务管理系统MPLSVPN（或对应纵向通道）：包括省企业财务管理系

统VLAN、省企业财务办公终端VLAN、各地市财务办公终端VLAN（13

个）；

♦营销管理系统MPLSVPN（或对应纵向通道）：省企业营销系统VLAN、

省企业营销办公终端VLAN、各地市营销系统VLAN（13个）、各地市

营销办公终端VLAN（13个）

♦二级系统MPLSVPN（或对应纵向通道）（二级系统包括：内部门户（网

站）、生产管理信息系统、协同办公系统、人力资源管理系统、物资管

理系统、项目管埋系统和邮件系统）：

♦公共服务MPLSVPN（或对应纵向通道）：包括DNS、FTP等全省需要

访问的I公共服务

♦信息内网桌面终端域

信息外网区日勺系统可分为:

♦电力市场交易系统域

♦营销管理系统域（95598）

♦外网二级系统域（外网门户等）

♦信息外网桌面终端域

安全域日勺详细实现采用物理防火墙隔离、虚队防火墙隔离或Vian隔离等形

式进行安全域划分。

3.3安全域边界

3.3.1二级系统边界

♦二级系统域存在的边界如下表:

边界类型边界描述

第三方网络边界Internet边界

省企业与华北电网企业间、省企业与其地市企业之

纵向网络边界

间

在信息内外网区与桌面终端域的边界

在信息内外网区与基础系统域的边界

横向域间边界与财务系统域之间的边界

与电力市场交易系统域的边界

与营销管理系统域间的边界

♦二级系统域的网络边界拓扑示意图如下:

管理信息内网

06660666

曾・■■内0・电力右缰女・阜

。666I颈

二级系统域

3.3.2三级系统边界

财务管理系统、电力市场交易系统和营销系统均波及信息内网与银行联网存

在第三方网络边界接口、省企业与地市企业之间网络边界接口、信息内网横向域

间其他二级系统域间接口，电力市场交易系统还波及信息外网与Imernel存在第

三方网络边界接口。

♦三级系统域存在的边界如下表:

边界类型边界描述

与Internet互联网的边界，实现：

公共服务通道（边远站所、移动服务、PDA现场服务、

居民集中抄表、负控终端采集、抢修车辆GPS定位等）

信息外网第三方边界与其他社会代收机构连接（VPN）

网上营业厅

短信服务

时钟同步

银企互联边界

信息内网第三方边界与其他社会代收机构的边界（专线连接）

公共服务通道（专线、GPRS、CDMA等）

纵向网络边界省企业与地市企业

与二级系统域间的边界

与内外网桌面终端域的边界

横向域间边界

与内外网基础系统域的边界

与其他三级域之间的边界

♦三级系统域的网络边界拓扑示意图如下:

・力■・无定讣隹，会

***妥伐*09”金■■■m9“&M

3.4安全域的实现形式

安全域实现方式以划分逻辑区域为主，意在实现各安全区域日勺逻辑划分，明

确边界以对各安全域分别防护，并且进行域间边界控制，安全域的实体展现为一

种或多种物理网段或逻辑网段的集合。对企业信息系统安全域口勺划分手段采用如

下方式：

♦防火墙安全隔离：采用双接口或多接口防火墙进行边界隔离，在每两个

安全域日勺边界布署双接口防火墙，或是采用多接口防火墙日勺每个接口分

别与不一样的安全域连接以进行访问控制。

♦虚拟防火墙隔离：采用虚拟防火墙实现各安全域边界隔离，将一台防火

墙在逻辑上划提成多台虚拟的防火墙，每个虚拟防火墙系统都可以被当

作是••台完全独立H勺防火墙设备，可拥有独立日勺系统资源、管理员、安

全方略、顾客认证数据库等。在本方案实现中，可认为每个安全域建立

独立的虚拟防火墙进行边界安全防护。

♦三层互换机Vian隔离：采用三层互换机为各安全域划分Vian,采用互

换机访问控制列表或防火墙模块进行安全域间访问控制。

♦二层互换机Vian隔离：在二层互换机上为各安全域划分Vian,采用

Trunk与路由器或防火墙连接，在上联的路由港或防火墙上进行访问控

制。

对于一种应用的子系统跨越多种物理环境如没备机房所带来日勺分域问题，由

于安全域为逻辑区域，可以将企业层面上的多种物理网段或子网归属于同一安全

域实现安全域划分。

3.5安全域划分及边界防护

3.5.1安全域的划分

结合SG186总体方案中定义的“二级系统统一成域，三级系统独立分域”，

在不进行物理网络调整的前提下，将财务系统和物资与项目系统进行分离，使三

级财务系统独立成域，二级系统物资和项目管理归并和其他二级系统统一成域，

在VPN内，建立ACL控制桌面终端与服务器间的访问，现将省企业信息系统逻

辑安全域划分如下:

图：省企业内网逻辑划分图

呼力市场交:省公司

启销服务盛财务服务盛二级系统安公共应用

;服釜器\

全域（内网服务安全I

门户、物域（DNS、|

资、项目、车辆管理

营销终端财务终端生产等）等）

I终端,

电力市场交易

'/PLSvpy

营销MPLSVPN财务MFLSVPN

地市公司

营销服务器:

二级系统安

全域（内网

\财务终端/

门户、生产0I嚣I

\营销终端;。等）

图：全省信息系统MPLSVPN安全域划分逻辑图

Internet

「I防火墙设备

；1或访问控制措施

其他00

应用

服务

应用服务器外网门户防火墙

;电力市场交易

I________________________

信息外网

应用服务

器区域0

95598

图：信息外网安全域划分逻辑图

在原有日勺MPLSVPN的基础上结合VLAN划分措施，根据等级保护及国网

SGI86总体防护方案有求，对全省信息系统进行安全域划分。

1）三级系统与二级系统进行分离：

集中集成区域的三台小型机采用集群模式布署了财务、物资、项目这三个业

务系统，由于财务为三级业务系统，应要独立成域，必须将财务系统从集群中分

离出来，安装在独立的服务器或者小型机上，接入集中集成区域或新大楼服务器

区。

2）划分安全域，明保证护边界：

采用MPLSVPN将三级系统划分为独立安全域。财务系统MPLSVPN、电

力市场交易系统MPLSVPN、营销系统MPLSVPN、二级系统安全域、桌面安

全域、公共应用服务安全域。二级系统安全域包括除三级系统外日勺所有应用系统

服务器；桌面安全域包括各业务部门桌面终端VLAN；公共引用服务安全域为全

省均需要访问的应用服务器，如DNS等。

目前信息外网存在三大业务系统：外网门户、营销系统95598网站、电力市

场交易系统外网网站。根据等级保护规定应将营销系统95598网站和电力市场交

易系统外网网站分别划分独立的VLAN,并在边界防火墙上设置符合等级保护三

级规定口勺VLAN访问控制方略。

3）布署访问控制设备或设置访问控制规则

在各安全域边界设置访问控制规则，其中安全域边界按照“安全域边界”章

节所列举的边界进行防护。访问控制规则可以采用互换机访问控制方略或模块化

逻辑防火墙日勺形式实现。

二级系统安全域边界访问控制规则可以通过互换机用J访问控制规则实现，访

问控制规则满足如下条件:

♦根据会话状态信息为数据流提供明确的容许/拒绝访问日勺能力，控制

粒度为网段级。

♦按顾客和系统之间口勺容许访问规则，控制粒度为单个顾客。

三级系统安全域边界的安全防护需满足如下规定：

♦根据会话状态信息为数据流提供明确日勺容许/拒绝访问时能力，控制

粒度为端口级；

♦对进出网络的I信息内容进行过滤，实现对应用层协议命令级的控制。

4）入侵检测系统布署:

二级系统、三级系统安全域内应布署入侵检测系统，并根据业务系统状况制

定入侵检测方略，检测范围应包括二级系统服务器、三级系统服务器、其他应用

服务器，入侵检测应满足如下规定：

♦定制入侵检测方略，如根据所检测的源、目的地址及端口号，所需

监测日勺服务类型以定制入侵检测规则；

♦定制入侵检测重要事件即时报警方略；

♦入侵检测至少可监视如下袭击行为：端口扫描、强力袭击、木马后

门袭击、拒绝服务袭击、缓冲区溢出袭击、IP碎片袭击和网络蠕虫袭

击等；

♦当检测到袭击行为时，入侵检测系统应当记录袭击源IP、袭击类型、

袭击目的IP、袭击时间，在发生严重入侵事件时应能提供及时的报警

信息。

4.信息安全管理建设

4.1建设目的

省企业信息系统日勺管理与运维总体水平较高\各项管理措施比较到位，通过

数年的建设，已形成一整套完备有效的管理制度C省企业通过严格、规范、全面

日勺管理制度，结合合适日勺技术手段来保障信息系统的安全。管理规范已经包括了

信息安全方略、信息安全组织、资产管理、人力资源安全、物理与环境安全、通

讯与操作管理、访问控制、信息系统日勺获取、开发和维护、信息安全事故管理、

业务持续性管理等方面，但与《信息安全技术信息系统安全等级保护基本规定》

存在--定时差距，需进行等级保护建设。

通过等级保护管理机构与制度建设，完善企业信息系统管理机构和管理制

度，贯彻《信息安全技术信息系统安全等级保护基本规定》管理制度各项指标和

规定，提高企业信息系统管理与运维水平。通过等级保护建设，实现如下目日勺：

1）贯彻《信息安全技术信息系统安全等级保护基本规定》管理制度各项指

标和规定。

2）在企业信息安全总体方针和安全方略的引导下，各管理机构能准时需要

规划企业信息安全发展方略，及时公布企业各类信息安全文献和制度，

对企业各类安全制度中存在的问题定期进行修订与整改。

3）系统管理员、网络管理员、安全管理员等信息安全管理与运维工作明确，

明确安全管理机构各个部门和岗位日勺职责、分工和技能规定。

4）在安全技术培训与知识交流上，能拥有安全业界专家、专业安全企业或

安全组织的技术支持，以保证省企业信息系统安全维护符合各类安全管

理规定并与时俱进。

5.二级系统域建设

5.1概述与建设目的

二级系统域是根据等级保护定级原则将国家电网企业应用系统定为二级日勺

所有系统的集合，按分等级保护措施将等级保护定级为二级日勺系统集中布署于二

级系统域进行安全防护，二级系统域重要涵盖与二级系统有关的主机、服务器、

网络等。

省企业二级系统重要包括内部门户（网站）、对外门户（网站）、生产管理信

息系统、协同办公系统、人力资源管理系统、物资管理系统、项目管理系统和邮

件系统等共8个二级系统，除对外门户外，其他七个内网二级系统需按二级系统

规定统一成域进行安全防护。

二级系统域等级保护建设目口勺是贯彻《信息安全技术信息安全等级保护基本

规定》中二级系统各项指标和规定，实现信息系统二级系统统一成域，完善二级

系统边界防护，配置合理的网络环境，增强二级系统主机系统安全防护及二级系

统各应用的安全与稳定运行。

针对《信息安全技术信息安全等级保护基本规定》中二级系统各项指标和规

定，保障系统稳定、安全运行，本方案将二级系统域安全处埋方案分为边界防护、

网络环境、主机系统及应用安全四个层面进行安全建设。

5.2网络安全

5.2.1网络安全建设目的

省企、也下属各地市企业网络安全建设按照二级系统规定进行建设，通过等级

保护建设，实现如下目口勺：

1）网络构造清晰，具有冗余空间满足业务需求，根据各部门和业务的需求,

划分不样的子网或网段，网络图谱图与目前运行状况相符;

2）各网络边界间布署访问控制设备，通过访问控制功能控制各业务间及办

公终端间的访问；

3）启用网络设备安全审计，以追踪网络设备运行状况、设备维护、配置修

改等各类事件；

4）网络设备口令均符合国家电网企业口令规定，采用安全的远程控制措施

对网络设备进行远程控制。

5.2.2地市企业建设方案

根据测评成果，地市企业信息网络中网络设备及技术方面重要存在如下问

题：

1）网络设备的远程管理采用明文的Telnet方式；

2）部分网络设备采用出厂时的默认口令，口令以明文的方式存储于配置文

献中；

3）互换机、IDS等未启动日志审计功能，未配置对应的日志服务器；

4）供电企业内网与各银行间的防火墙未配置访问控制方略；

5）网络设备采用相似依JSNMP口令串进行管理；

6）未启动网络设备登录失败处理功能，未限制非法登录次数，当网络登录

连接超时时未设置自动退出等措施;

7）缺乏对内部网络中出现日勺内部顾客未通过准许私自联到外部网络日勺行

为进行检查与监测措施；

8）未限制网络最大流量数及网络连接数；

9）未限制具有拨号访问权限的顾客数量。

针对以上问题，结合《信息安全技术信息安全等级保护基本规定》给出对应

整改方案如下：

1）关闭防火墙、互换机和IDS的telnet服务，启用安全H勺管理服务，如

SSH和So部分不支持SSH1内互换机应在互换机上限制可telnet远程

管理的顾客地址，实行配置如下（以思科互换机为例）：

Router#configterminal

Router（config）^access-list10pennittcp10.J44.99,120.0eq23any（只容许机

器telnet登录,如需配置某一网段可telnet远程管理,可配置为:access-list10

permittcp.255eq23any）

Routerfconfig）^linevty04（,配置端口0-4）

Router（Config-line）^Transportinputtelnet（启动telnet协议，如支持ssh，可

用ssh替代telnet）

RouterfConfig-line）^exec-timeout50

Router（Config-line）^access-class10in

Router（Config-Iine）#end

Router^configterminal

Router(config)^linevty515

Router(Config-line)^nologin(提议vty开放5个即可,多出的可以关闭)

Router(Config-line)#exit

Router(Config)^exit

Router^write

2)修改网络设备出厂时的I默认口令，且修改后的口令应满足长度不小于等

于8位、含字母数字和字符F句强度规定，其他不满足此口令强度规定日勺，

均应要进行修改。部分楼层接入互换机，应及时修改口令；互换机应修

改其SNMP口令串；防火墙口令应涉足口令强度规定。互换机SNMP

口令串修改实行环节如下(以思科互换机为例)：

Router^configterminal

Router(configJ#nosnmp-servercommunityCOMMUNITY-NAME1RO(删除

本来具有RO权限的C()MMUN1TY-NAME1)

Routerfconfig)#snmp-servercommunityCOMMUNITY-NAMERO(如需要通

过snmp进行管理，则创立一种具有读权限的COMMUNITY-NAME,若

COMMUNITY-NAME权限为RW则将命令行中R。更改为RN)

Router(config)#sntnp-sen^erenabletraps(容if,发出Trap)

Routeconfig)#exii

Router^write

3)互换机、IDS和防火墙等应启动日志审计功能，并配置日志服务器保留

互换机、IDS和防火墙的日志信息。以思科互换机为例，日志审计和日

志搜集存储于服务器实行配置如下:

Route^configterminal

Route(config)#loggingon(启用H志审计)

Route(configfloggingconsolenotification(i殳置控制等级为5级:notification)

Route(config)^!Seta16Klogbufferatinformationlevel

Route(configfloggingbujfered16000information(设置其大小为16K)

Route(config)^!turnontime/datestampsinlogmessages

Route(config^servicetimestamplogdatetimemseclocalshow-timezone

Route(config)^1setmonitorloggingleveltolevel6

Route(configfloggingmonitorinformation

Route(config讲exit

Roiite^!makethissessionreceivelogmessages

Route^tenninalmonitor

Roi"e#configterminal

Route(configfloggingtrapinformation(控制互换机发出日志『J'级别为6级:

information)

(将Fl志发送至U88,如需修改服务器,可采用Rcmte(c(mfig)#no

88删除,然后重新配置日志服务器)

Routedconfigfloggingfacilitylocal6

Route(configfloggingsource-interfaceFastEthernet0/1(设置发送日志的/以

太网口)

Route(config讲exit

Route^configterminal

Route(configfloggingtrapinformation

Route(config)#snmp-serve「hosttrapspublic(配置发送trap信息

主机)

Route(config)^snmp-servertrap-sourceEthernet0/1

Route(config)^snmp-serverenabletrapssyslog

Route(config)^exit

Routedwrite

4)供电企业内网与各银行和移动或电信间日勺防火墙应配置访问控制方略

保证供电企业信息内网日勺安全。

5)根据《国家电网企业信息系统口令管理规定》制定或沿用其以管理省企

业网络设备口令。《国家电网企业信息系统口令管理规定》详细内容如

下：

第四条口令必须具有一定强度、长度和复杂度，长度不得不不小于8位字

符串，规定是字母和数字或特殊字符日勺混合，顾客名和口令严禁相似。

第五条个人计算机必须设置开机口令和操作系统管理员口令，并启动屏幕

保护中的密码保护功能。

第六条口令要及时更新，要建立定期修改制度，其中系统管理员口令修改

间隔不得超过3个月，并且不得反复使用前3次以内的口令。顾客登录事件要有

记录和审计，同步限制同一顾客持续失败登录次数，一般不超过3次。

6)所有网络设备均应启动网络设备登录失败处理功能、限制非法登录次

数、当网络登录连接超时时自动退出等措施。以思科互换机为例，网络

登录连接超时时自动退出实行如下:

RouterUconfigterminal

Router(Configcon0配置控制口

Router(Config-line)^exec-timeout50设置超时5分钟

Router(Confl^-line}^exit

RouterfConfig)/fexit

Route用write

7)布署桌面管理系统，对内部网络中H勺顾客网络连接状态进行实时监控，

以保证内部顾客不可私自联到外部网络；配置桌面管理系统方略，对私

自连接到外网日勺内部顾客进行精确定位并阻断内外网互通。

8)在互换机上限制网络最大流量数及网络连接数，通过限制某些网段网络

服务提高网络通信流量。以思科互换机为例，实行配置如下：

Router#configterminal

Router(config)#access-list1()Jdenytcp.0.255any.。网段访问Internet)

Router(config)^access-list102denytcp.0.255any.0网段ftp服务)

Router(config)^ipnattranslationmax-entries.255200(限制

网段的主机NAT的条目为200条)

Route(config

Routedwrite

限制具有拨号访问权限日勺顾客。由于营销系统存储EMC,需要进行远程拨

号维护；需要关闭远程拨号服务，采用更为安全日勺管理维护方式。

5.3主机安全

5.3.1主机安全建设目的

省企业及其各地市企业信息中心对主机进行了一定的安全方略配置，并建立

有关安全管理制度，由专人负责主机安全运行与维护，总体安全性较高。但仍有

某些安全问题亟待处理，如安全审计不严格、启前非必须服务以及默认日勺顾客口

令方略等。

针对省企业及其地市企业二级系统主机存在口勺问题，结合《信息安全技术信

息安全等级保护基本规定》，从主机身份鉴别、访问控制、安全审计、入侵防备、

恶意代码防备和资源控制等方面进行主机安全等级保护建设与改造，以实现如下

目日勺：

1）对主机的登录有严格的身份标识和鉴别；

2）有严格的访问控制方略限制顾客对主机口勺访问与操作；

3）有严密的安全审计方略保证主机出现故障时可查；

4）拥有有关技术手段，抵御非法入侵和恶意代码袭击。

5.3.2主机身份鉴别

省企业及地市企业主机身份鉴别现实状况与等级保护规定存在一定的差距，

应对如下几种方面进行完善主机身份鉴别：

1）对登录操作系统的顾客进行身份标识和鉴别;

2）操作系统管理顾客身份标识具有不易被冒用日勺特点，口令有复杂度并定

期更换；

3）启用登录失败处理功能，可采用结束会话、限制非法登录次数和自动退

出等措施；

4）对服务器进行远程管理时，采用必要措施，防止鉴别信息在网络传播过

程中被窃听；

整改措施：

1）对登录操作系统的管埋员顾客和一般顾客均设置口令；删除操作系统中

过期日勺账户，修改操作系统中默认帐户和口令，检查操作系统中与否存

在相似顾客名口勺账户。

操作系统操作方式

1.检查/etc/passwd密码域中存在“*”的帐户，删除不必

AIX

要日勺账户，或增设口令；

1.删除非法帐号或多出帐号，更改默认管理员帐号，将原

Administrator名称改成不被人熟识的帐户，新建一种一

般顾客，将其重命名为Administrator,并将其权限设为

WINDOWS

最低，口令复杂度为32位以上；

2.选择“当地顾客和组”的“顾客”，可设置口令、删除

或禁用非必需账户或禁用Guesi账户。

注:管理员账号Adm沃islrator重命名后,也许会导致某些服务不能用，如SQL

Seer数据库也许无法启动,修改前,需在备机上进行测试运行一周时间,无

任何问题,再在主机上进行修改。

2）增强操作系统口令强度设置:

操作系统操作方式

1.修改passwd参数：/etc/security/user

-maxage=30口令最长生存期30天

-nuixrepeat=4每个口令在系统中反复出现FJ、次数

AIX

-imnalpha=4口令中最小具有的字符个数

-mindiff=2新口令不一样于旧口令的最小个数

-minlen=8口令最短长度（包拈字母、数字和特殊字符）

1.修改“密码方略”，启动复杂性规定，设置口令最小长度

等：

密码复杂性规定启用

密码长度最小值8字符

密码最长存留期天

WINDOWS30

密码最短存留期0天

复位帐户锁定计数器10分钟

帐户锁定期间10分钟

帐户锁定阀值5次

注:设置密码方略后也许导致不符合密码方略的帐号无法登录。在修改密码方

略前,需修改不符合帐号方略的密码使其符合方略规定,最终再修改密码方略。

3）启用登录失败处理功能，设置限制非法登录次数和自动退出等措施。

操作系统操作方式

1.配置登录方略：修改/etc/security/login.cfg文献

logindelay=3失败登录后延迟3秒显示提醒符

logindisable=55次失败登录后锁定端口

A1Xlogininten^al=60在60杪内3次失败登录才锁定端口

loginreenahle=15端门锁定15分钟后解锁

2.增长或修改/etc/profile文献中如下行：

TMOUT=600;

1.修改“账户锁定方略”，设置帐户锁定有关设置：

WINDOWS复位账户锁定计数器15分钟

账户锁定期间15分钟

账户锁定阈值5次

4）当对服务器进行远程管理时，对于UNIX类服务器，用R前稳定版本的

SSH等安全工具取代明文传播的telnet,并及时升级，保证传播数据口勺

安全性；对于windows类服务器，关闭不必要口勺telnet服务，采用加密

或认证的方式保证数据才网络传播过程中的保密性、完整性和可用性。

操作系统操作方式

1.增长或修改/etc/security/user文献中如下行

root：

admin=true

SYSTEM="conipat"

loginretries=0

AIXaccountJocked=false

rlogin=fiilse

假如无法禁用lelnel服务，也可使用TCPwrapper、防火墙或

包过滤技术严禁不可信IP对telnet服务（例如23/TCP端口）

访问。

1.禁用不需要日勺服务，如remoteRegistry、telnet等（远程

管理注册表，启动此服务带来一定的风险）。

WINDOWS

2.采用其他加密的远程桌面管理软件替代远程桌面管理.，或

者在远程桌面管理上启用证书认证系统。

注:应用系统或程序也许对特定的系统服务有依赖关系,在未确定某个服务与

否需要前，请勿关闭该服务,否则会影响应用系统或程序的正常运行。

5.3.3访问控制

省企业及地市企业主机身份鉴别现实状况与等级保护规定存在一定的差距,

应对如下几种方面进行完善：

1）启用访问控制功能，根据安全方略控制顷客对资源日勺访问:

2）实现操作系统特权顾客日勺权限分离;

3）限制默认帐户口勺访问权限，重命名系统默认帐户，修改帐户的默认口令;

4）及时删除多出日勺、过期的帐户，防止共享帐户日勺存在。

整改措施：

1）在互换机和防火墙上设置不一样网段、不一样顾客对服务器的访问控制

权限；关闭操作系统启动的默认共享，对于需启动的共享及共享文献夹

设置不一样的访问权限，对于操作系统亘要文献和目录需设置权限规

定。

操作系统操作方式

1.修改一般顾客对下列文献的权限：

/bin；

/sbin；

AIX/etc；

/etc/passwd：

/etc/group；

/usr/bin；

1.修改访问控制方略，将注册标中restrictanonymous值改为

1;

WINDOWS

2.删除不必要日勺共享文献夹或修改其权限，重要共享文献夹

口勺权限属性不能为everyone完全控制。

2）设置不一样日勺管理员对服务器进行管理,分为系统管理员、安全管理员、

安全审计员等以实现操作系统特权顾客日勺权限分离，并对各个帐户在其

工作范围内设置最小权限，如系统管理员只能对系统进行维护，安全管

理员只能进行方略配置和安全设置，安全审计员只能维护审计信息等。

3）限制默认帐户日勺访问权限，重命名系统默认帐户，修改帐户的默认口令;

删除操作系统和数据库中过期或多出的账户，禁用无用帐户或共享帐

户。

操作系统操作方式

1.禁用文献/elc/security/user中，sys,bin,uucp,nuucp,

AIX

daemon等系统默认帐户。在顾客前面加上注释号“铲

1.修改修改nislrator名称,将原Administrator名称改成不被

人熟识的1帐户，同步将一种一般帐户名称改成

WINDOWS

Administrator,登录一般帐户执行系统所有操作；

2.禁用Guesi账号。

4）根据管理顾客日勺角色分派权限，实现管理顾客日勺权限分离，仅授予管理

顾客所需日勺最小权限。

操作系统操作方式

1.更改默认口令。使用smil或增长、修改/elc/security/user

AIX下各顾客的设置：

将su=true更改为su=false

WINDOWS1.修改管理顾客的权限；

5.3.4安全审计

省企业及地市企业主机访问