电力行业集团公司信息系统等级保护建设方案

山东省电力集团公司信息

系统等级爱护建设方案

国家电网公司信息网络安全实验室

INFORMATION&NETWORKSECURITYLABORATORYOFSTATEGRIDCOPORATIONOFCHINA

国网电力科学研究院

STATEGRIDELECTRICPOWERRESEARCHINSTITUTE

二零零九年八月

版权声明

本文中出现的任何文字叙述、文档格式、插图、照片、方法、

过程等内容,除另有特殊注明,版权均属国网电力科学探讨院/国

网信息网络平安试验室和山东省电力集团公司全部,受到有关产权

与版权法爱护。任何个人、机构未经国网电力科学探讨院/国网信

息网络平安试验室和山东省电力集团公司的书面授权许可,不得以

任何方式复制或引用本文的任何片断。

文档信息

文档名称山东省电力集团公司信息系统等级爱护建设方案

文档管理编号INSL-SDDL-BLT-2009-FA

保密级别商密文档版本号V3.0

制作人郭骞制作日期2009年6月

复审人余勇复审日期2009年6月

国家电网公司信息网络平安试验室

扩散范围

山东省电力集团公司

扩散批准人林为民

版本变更记录

时间版本说明修改人

2009-8VI.0创建文档郭骞

2009-8V2.0修改文档俞庚申

2009-8V3.0文档复审定稿余勇

适用性声明

本报告由国网电力科学探讨院/国网信息网络平安试验室撰

写,适用于山东省电力集团公司信息系统等级爱护项目。

目录

1.项目概述................................................1

1.1目标与范围........................................1

1.2方案设计.........................................2

1.3参照标准.........................................2

2.建设总目标.............................................2

2.1等级爱持建设总体目标.............................2

3.平安域与网络边界防护...................................3

3.1信息网络现状.....................................3

3.2平安域划分方法...................................4

3.3平安域边界........................................5

二级系统边界..................................5

三级系统边界..................................6

3.4平安域的实现形式.................................7

3.5平安域划分与边界防护.............................8

平安域的划分..................................8

4.信息平安管理建设......................................12

4.1建设目标.........................................12

5.二级系统域建设.........................................13

5.1概述与建设目标...................................13

5.2网络平安.........................................14

网络平安建设目标.............................14

地市公司建设方案.............................14

5.3主机平安.........................................20

主机平安建设目标.............................20

主机身份鉴别.................................21

访问限制.....................................25

平安审计........................................27

入侵防范........................................30

恶意代码防范...................................32

资源限制........................................33

5.4应用平安...........................................35

应用平安建设目标...............................35

身份鉴别........................................36

平安审计........................................36

通信完整性、通信保密性.........................37

资源限制........................................38

5.5数据平安与备份复原.................................39

数据平安与备份复原建设目标.....................39

数据完整性、数据保密性.........................39

6.三级系统域建设............................................41

6.1概述与建设目标.....................................41

6.2物理平安...........................................41

物理平安建设目标...............................41

机房感应雷防护措施.............................42

物理访问限制...................................42

防盗措施........................................43

防火措施........................................43

防水和防潮......................................44

电磁防护........................................44

6.3网络平安建设方案...................................45

网络平安建设目标...............................46

建设方案........................................46

6.4主机平安...........................................53

主机平安建设目标...............................53

主机身份鉴别...................................53

访问限制........................................57

平安审计........................................60

剩余信息爱护...................................63

入侵防范........................................64

恶意代码防范...................................67

资源限制........................................68

6.5应用平安...........................................69

应用平安建设目标...............................69

身份鉴别........................................70

访问限制........................................71

平安审计........................................72

剩余信息爱护...................................74

通信完整性、通信保密性、抗抵赖................74

资源限制........................................76

6.6数据平安与备份复原................................77

数据平安与备份复原建设目标.....................77

数据完整性、数据保密性.........................77

备份和复原......................................79

1.项目概述

依据国家电网公司《关于信息平安等级爱护建设的实施指导看法

（信息运安（2009）27号）》和山东省电力集团公司对等级爱护相关

工作提出的要求，落实等级爱护各项任务，提高山东省电力集团公司

信息系统平安防护实力，特制定本方案c

1.1目标与范围

公司为了落实和贯彻公安部、国家保密局、国家密码管理局、电

监会等国家有关部门信息平安等级爱护工作要求，全面完善公司信息

平安防护体系，落实公司“双网双机、分区分域、等级防护、多层防

卫”的平安防护策略，确保等级爱护工作在各单位的顺当实施，提高

公司整体信息平安防护水平，开展等级爱护建设工作。

前期在省公司与地市公司开展等级爱护符合性测评工作，对地市

公司进行测评调研工作，范围涵盖内网门户、外网门户、财务管理系

统、营销管理系统、电力市场交易系统、生产管理信息系统、协同办

公系统、人力资源管理系统、物资管理系统、项目管理系统、邮件系

统、公司广域网SGInet、管理制度这13个业务系统分类，分析测评

结果与等级爱护要求之间的差距，提出本的平安建设方案。

本方案主要遵循GB/T22239-2008《信息平安技术信息平安等级

爱护基本要求》、《信息平安等级爱护管理方法》（公通字[2007]43号）、

《信息平安技术信息平安风险评估规范》（GB/T20984-2007）,《国

家电网公司信息化“SG186”工程平安防护总体方案》、IS0/IEC27001

信息平安管理体系标准和IS0/IEC13335信息平安管理标准等。

实施的范围包括：省公司本部、各地市公司。

通过本方案的建设实施，进一步提高信息系统等级爱护符合性要

求，将整个信息系统的平安状况提升到一个较高的水平，并尽可能地

消退或降低信息系统的平安风险。

1.2方案设计

依据等级爱护前期测评结果，省公司本部与各地市公司信息系统

存在的漏洞、弱点提出相关的整改看法，并最终形成平安解决方案。

1.3参照标准

GB/T22239-2008《信息平安技术信息平安等级爱护基本要求》

《信息平安等级爱护管理方法》（公通字[2007]43号）

《信息平安技术信息平安风险评估规范》（GB/T20984-2007）

《国家电网公司信息化“SG186”工程平安防护总体方案》

1SO/IEC27001信息平安管理体系标准

IS0/IEC13335信息平安管理标准

《国家电网公司“SG186”工程信息系统平安等级爱护验收测评

要求（征求看法稿）》

《国家电网公司信息机房设计与建设规范》

《国家电网公司信息系统口令管理规定》

GB50057-94《建筑防雷设计规范》

《国家电网公司应用软件通用平安要求》

2.建设总目标

2.1等级爱护建设总体目标

综合考虑省公司现有的平安防护措施，针对与《信息平安技术信

息系统平安等级爱护基本要求》间存在的差异，整改信息系统中存在

的问题，使省公司与地市公司信息系统满意《信息平安技术信息系统

平安等级爱护基木要求》中不同等级的防护要求，顺当通过国家电网

公司或公安部等级爱护建设测评。

3.平安域与网络边界防护

依据GB/T22239-2008《信息平安技术信息平安等级爱护基本要

求》、《国家电网公司信息化“SG186”工程平安防护总体方案》与《国

家电网公司“SG186"T程信息系统平安等级爱护验收测评要求（征

求看法稿）》的要求，省公司与地市公司信息系统依据业务系统定级,

依据不同级别爱护需求，按要求划分平安区域进行分级爱护。因此，

平安域划分是进行信息平安等级爱护建设的首要步骤。

3.1信息网络现状

山东省电力集团公司各地市信息内网拓扑典型结构;

图：典型信息网络现状

主要问题:

♦各平安域之间缺乏有效的限制措施不能够保障业务系统平

安、独立运行，不受其他业务系统的影响。

依据GB/T22239-2008《信息平安技术信息平安等级爱护基本要

求》和《国家电网公司信息化“SG186”工程平安防护总体方案》的

建设要求，省公司和各地市信息网络平安域需依据业务系统等级进行

重新划分。

3.2平安域划分方法

依据国家电网公司平安分区、分级、分域与分层防护的原则，管

理信息大区依据双网隔离方案又分为信息内网与信息外网。本方案主

要针对公司信息系统进行等级爱护建设。在进行平安防护建设之前，

首先实现对信息系统的平安域划分。

依据SG186总体方案中“二级系统统一成域，三级系统独立分

域”的要求，结合省公司MPLSVPN现状，采纳纵向MPLSVPN结合

VLAN划分的方法，将全省信息系统分为：

信息内网区域可分为：

♦电力市场交易系统MPLSVPN（或相应纵向通道）：包含省公

司电力市场交易应用服务器VLAN、省公司电力市场交易办公

终端；

♦财务管理系统MPLSVPN（或相应纵向通道）：包含省公司财

务管理系统VLAN、省公司财务办公终端VLAN、各地市财务办

公终端VLAN（13个）；

♦营销管理系统MPLSVPN（或相应纵向通道）：省公司营销系

统VLAN、省公司营销办公终端VLAN、各地市营销系统VLAN

（13个）、各地市营销办公终端VLAN（13个）

♦二级系统MPLSVPN（或相应纵向通道）（二级系统包括：内

部门户（网站）、生产管理信息系统、协同办公系统、人力资

源管理系统、物资管理系统、项目管理系统和邮件系统）：

♦公共服务MPLSVPN（或相应纵向通道）：包含DNS、FTP等全

省须要访问的公共服务

♦信息内网桌面终端域

信息外网区的系统可分为：

♦电力市场交易系统域

♦营销管理系统域（95598）

♦外网二级系统域（外网门户等）

♦信息外网桌面终端域

平安域的具体实现采纳物理防火墙隔离、虚拟防火墙隔离或Vian

隔离等形式进行平安域划分。

3.3平安域边界

3.3.1二级系统边界

♦二级系统域存在的边界如下表:

边界类型边界描述

第二方网络边界Internet边界

省公司与华北电网公司间、省公司与其地市

纵向网络边界

公司之间

在信息内外网区与桌面终端域的边界

在信息内外网区与基础系统域的边界

横向域间边界与财务系统域之间的边界

与电力市场交易系统域的边界

与营销管理系统域间的边界

♦二级系统域的网络边界拓扑示意图如下:

3.3.2三级系统边界

财务管理系统、电力市场交易系统和营销系统均涉与信息内网与

银行联网存在第三方网络边界接口、省公司与地市公司之间网络边界

接口、信息内网横向域间其它二级系统域间接口，电力市场交易系统

还涉与信息外网与Internet存在第三方网络边界接口。

♦三级系统域存在的边界如下表：

边界类型边界描述

与Inteimet互联网的边界，实现：

公共服务通道（边远站所、移动服务、PDA现

场服务、居民集中抄表、负控终端采集、抢修

车辆GPS定位等）

信息外网第二方边界

与其他社会代收机构连接（VPN）

网上营业厅

短信服务

时钟同步

银企互联边界

信息内网第三方边界与其他社会代收机构的边界（专线连接）

公共服务通道（专线、GPRS、CDMA等）

纵向网络边界省公司与地市公司

与二级系统域间的边界

与内外网桌面终端域的边界

横向域间边界

与内外网基础系统域的边界

与其它三级域之间的边界

♦三级系统域的网络边界拓扑示意图如下:

♦力信・11s屋・

3.4平安域的实现形式

平安域实现方式以划分逻辑区域为主，旨在实现各平安区域的逻

辑划分，明确边界以对各平安域分别防护，并且进行域间边界限制，

平安域的实体呈现为一个或多个物理网段或逻辑网段的集合。对公司

信息系统平安域的划分手段采纳如下方式：

♦防火墙平安隔离：采纳双接口或多接口防火墙进行边界隔离,

在每两个平安域的边界部署双接口防火墙，或是采纳多接口

防火墙的每个接口分别与不同的平安域连接以进行访问限

制。

♦虚拟防火墙隔离：采纳虚拟防火墙实现各平安域边界隔离,

将一台防火墙在逻辑上划分成多台虚拟的防火墙，每个虚拟

防火墙系统都可以被看成是一台完全独立的防火墙设备，可

拥有独立的系统资源、管理员、平安策略、用户认证数据库

等。在本方案实现中，可以为每个平安域建立独立的虚拟防

火墙进行边界平安防护。

♦三层交换机Vian隔离：采纳三层交换机为各平安域划分

Vian,采纳交换机访问限制列表或防火墙模块进行平安域间

访问限制。

♦二层交换机Vian隔离：在二层交换机上为各平安域划分

Vian,采纳Trunk与路由器或防火墙连接，在上联的路由器

或防火墙上进行访问限制。

对于一个应用的子系统跨越多个物理环境如设备机房所带来的

分域问题，由于平安域为逻辑区域，可以将公司层面上的多个物理网

段或子网归属于同一平安域实现平安域划分。

3.5平安域划分与边界防护

3.5.1平安域的划分

结合SG186总体方案中定义的“二级系统统一成域，三级系统独

立分域”，在不进行物理网络调整的前提下，将财务系统和物资与项

目系统进行分别，使三级财务系统独立成域，二级系统物资和项目管

理归并和其他二级系统统一成域，在VPN内，建立ACL限制桌面终端

与服务器间的访问，现将省公司信息系统逻辑平安域划分如下：

图：省公司内网逻辑划分图

坤'力市场交易省公司

，茴错服务唳财务服务*'、.二级系统安公共应用

;眼备器'、、

/4__\全域（内网服务安全

门户、物域（DNS、

资、项目、车辆管理

营销终端;财务终端;终端I生产等）等）

2_______:

电力市场交易

\MP【Svpy

营销MPLSVPN财务MFLSVPN

地市公司

营销服务器

二级系统安

全域（内网

\财务终端/

0门户、生产D圄

|\营错终端;等）

U----J

图：全省信息系统MPLSVPN平安域划分逻辑图

其他

应用

服务

户

网门

器外

服务

应用

:0

交易

市场

［电力

外网

信息

0

服务

应用

域

器区

95598

辑图

划分逻

平安域

息外网

图：信

爱护

等级

，依据

方法

划分

VLAN

结合

础上

的基

VPN

MPLS

有的

在原

分。

域划

平安

进行

系统

信息

全省

求，对

案有

护方

体防

186总

网SG

与国

：

分别

进行

系统

二级

统与

级系

1）三

项

资、

务、物

了财

部署

模式

集群

采纳

型机

台小

的三

区域

集成

集中

需

域，必

立成

要独

统，应