XX电网信息安全平台等级保护模块安全技术架构规划方案.docVIP

XXXX 电网信息安全平台等级保护模块电网信息安全平台等级保护模块 安全技术架构规划方案安全技术架构规划方案 目 录 第第 1 1 章章信息安全背景信息安全背景 105105 1.1 综述.105 1.2XX 电网现状概况.105 第第 2 2 章章XXXX 电网工作方法说明电网工作方法说明107107 2.1 工作方法流程.107 2.2 参考标准.109 2.3 工作方法参考.110 2.3.1ESA 企业安全架构模型 110 2.3.2企业安全架构技术方法 111 第第 3 3 章章XXXX 电网安全技术目标电网安全技术目标112112 3.1 安全需求总结.112 3.1.1 技术风险需求 112 3.1.2 南方电网考核需求 115 3.1.3 国家等保需求 116 3.2 安全技术目标.116 3.3 安全技术架构设计原则.117 第第 4 4 章章XXXX 电网安全技术功能服务组件框架电网安全技术功能服务组件框架118118 4.1 安全技术功能服务组件目录定义.118 4.2 安全技术功能服务组件定义.119 4.2.1 身份与信任管理目录 119 4.2.2 访问控制目录 123 4.2.3 信息流控制目录 125 4.2.4 完整性控制目录 129 4.2.5 安全审计管理目录 134 第第 5 5 章章XXXX 电网安全技术功能服务组件部署设计电网安全技术功能服务组件部署设计138138 5.1 网络安全区域划分.138 5.1.1 省公司网络区域 140 5.1.2 地区供电局网络区域 142 5.2XX 电网安全技术部署设计.143 5.2.1 管理信息大区网络区域安全技术部署设计 143 5.2.2 省公司网络安全技术部署设计 145 5.2.3 地区网络安全技术部署设计 156 第第 6 6 章章XXXX 电网安全技术建设规划电网安全技术建设规划157157 6.1 项目一 集中用户管理、身份认证及授权平台157 6.1.1 安全现状 157 6.1.2 项目目标 157 6.1.3 项目范围 158 6.1.4 项目内容 158 6.1.5 平台接口要求 167 6.1.6 项目实施要点 171 6.1.7 项目周期和推进步骤 172 6.2 项目二 终端安全管理及域管理173 6.2.1 安全现状 173 6.2.2 项目目标 174 6.2.3 项目范围 174 6.2.4 项目内容 174 6.2.5 项目实施要点 191 6.2.6 项目周期和推进步骤 192 6.3 项目三 网络安全优化193 6.3.1 安全现状 193 6.3.2 项目目标 193 6.3.3 项目范围 193 6.3.4 项目内容 193 6.3.5 项目实施要点 211 6.3.6 项目周期与推进步骤 211 6.4 项目四 应用安全改进212 6.4.1 安全现状 212 6.4.2 项目目标 213 6.4.3 项目范围 213 6.4.4 项目内容 213 6.4.5 项目实施要点 219 6.4.6 项目实施规划 219 6.5 项目五 主机及设备安全220 6.5.1 安全现状 220 6.5.2 项目目标 221 6.5.3 项目范围 221 6.5.4 项目内容 222 6.5.5 项目实施要点 228 6.5.6 项目周期和推进步骤 228 6.6 项目六 统一安全事件与日志监控中心230 6.6.1 项目目标 230 6.6.2 项目范围 231 6.6.3 项目内容 231 6.6.4 项目实施要点 249 6.6.5 项目周期和推进步骤 249 6.7 项目七 电子文档安全251 6.7.1 项目目标 251 6.7.2 项目范围 252 6.7.3 项目内容 252 6.7.4 项目实施要点 253 6.7.5 项目周期和推进步骤 254 6.8 项目八 安全策略体系完善与推广254 6.8.1 项目目标 254 6.8.2 项目内容 255 6.8.3 项目周期和推进步骤 256 第 1 章 信息安全背景 1.1 综述 XX 电网公司（以下简称“XX 电网” ）是中国南方电网有限责任公司（以下简称 “南 方电网” ）下属的全资子公司 ，负责 XX 省内的电网规划、建设、运行、管理和电力销售。 公司直属单位 22 个，并对全省 88 个县（市、区）供电（电力）局（公司）进行直管或代 管。 XX 电网深入践行南方电网方略，立足于 XX 水火互济的能源优势，依托南方电网一 体化平台，着眼于省内外电力市场发展前景，努力实施“西电东送”战略，以提高供 电可靠率为总抓手，以创先为载体，促增长、抓建设、强基础，做强做优，实现科学发 展。 随着业务对信息系统的依赖性越来越高，XX 电网 IT 的有序管理与运维将成为业务有序 运行的前提。 因此，XX 电网信息安全着眼于： 确保国民经济发展 确保社会和谐稳定 确保南方电网的“对中央负责、为南方五省区服务”宗旨的实现 确保 XX 电网信息化对公司生产、经营、服务及企业管理与决策的支撑 为实现上述目标，在技术建设方面，项目组参考 ISO15408（CC） 、等保等相关标准，以 及 IBM 的企业信息安全框架模型（ESA） 、企业安全技术架构方法（MASS） ，制定 XX 电网信 息安全技术体系规划，满足未来 5 年 XX 电网信息安全技术需求。 1.2XX 电网现状概况 信息系统建设现状概况 XX 电网的信息化建设在XX 电网十一五信息发展规划 、 XX 电网信息安全咨询规划 的指导下，完全遵循“统一领导、统一规划、统一标准、统一组织开发”的四统一原则有序 进行。目前，XX 电网已经实现四统一建设的信息系统共 17 个，涵盖了生产、营销、财务、 人事等八大主营业务，覆盖了公司及所属供电局和综合单位共计 23 家单位，信息系统的在 线运行，支撑了企业的生产、经营、服务及管理过程。 信息安全现状概况信息安全现状概况 XX 电网在信息安全方面做了大量的工作，先后部署了 IT 资源管理系统、网络防病毒系 统、PKI/CA 系统、网页防篡改系统、上网行为管理系统等多种技术手段，并实现了 XX 电 网统一互联网出口，具备了较为完善安全防护能力。 伴随着我国电力需求的高速发展，电力信息化建设也进入了快速发展阶段，国家、企业 对信息安全的要求不断提高，XX 电网已有的信息安全技术手段不能满足信息安全技术不断 发展的要求，主要体现在信息安全基础设施缺乏系统化优化整合，信息安全管理自动化水平 存在差距，网络信息安全监管缺乏完整的技术手段。 第 2 章 XX 电网工作方法说明 项目组参考了 ISO15408 等国际安全标准，进行了安全技术架构规划，总体工作思路如下 图所示，具有三个要点： 统一遵循企业信息安全架构模型（ESA） ，采用成熟的架构化方法来规划 XX 电网的安 全技术架构； 基于 IBM 的规范化的架构规划方法（MASS） ，根据企业的业务需求来确定所需具备 的信息安全技术能力，完成安全技术功能服务组件框架定义安全技术功能服务组件框架定义与部署设计部署设计； 在安全技术功能服务组件定义和服务组件运行部署设计确定的基础上，根据 XX 电网 的安全技术现状，提出 5 年的安全建设规划年的安全建设规划。 Product 安安 全全 标标 准准 目目标标 与与原原则则 流流程程 作作业业 指指南南 架架构构 产产品品 建建议议 安安 全全 标标 准准 架架构构化化 方方法法 规规划划 Method for Architecting Secure Solution -MASS 核核心心层层 互联网接 入 防 火 墙 运运行行管管理理区区 防火墙 Internet DMZ区 防 火 墙 第三方接 入 （银行） 防 火 墙 DC（数数据据中中心心） 防火墙 防 火 墙 第三方 DMZ区 运营商 防 火 墙 DMZ区 防火墙 防 火 墙 调通局 II区 调度 数据 网 综综合合数数据据网网（广广域域网网） 防火墙 调通局DMZ 综综合合单单位位接接入入 防火墙 省省办办公公区区 防火墙 隔离 设施 防防病病毒毒 控控制制台台 统统一一用用 户户管管理理 企企业业用用 户户目目录录 数数据据证证 书书 集集中中身身 份份认认证证 访访问问授授 权权 准准入入控控 制制 桌桌面面管管 理理 统统一一事事 件件管管理理 日日志志审审 计计 操操作作审审 计计 入侵检 测防护 远远程程安安 全全接接入入 网网页页防防 篡篡改改 入侵检 测防护 网网页页防防 篡篡改改 入侵检 测防护 入侵检 测防护 安安全全符符合合性性 检检查查A Ag ge en nt t 安安全全评评估估 入侵检测 防护 信息流内容 检测过滤 日日志志审审计计 服服务务A Ag ge en nt t 日日志志审审计计服服 务务A Ag ge en nt t 入侵检测 防护 入侵检测 防护 信信息息防防泄泄 漏漏 安安全全评评估估 安安全全评评估估 拒绝服 务攻击 安安全全符符合合 性性检检查查 桌桌面面管管理理 A Ag ge en nt t 准准入入控控 制制A Ag ge en nt t 防防病病毒毒 A Ag ge en nt t 日日志志审审计计服服 务务A Ag ge en nt t 日日志志审审计计服服 务务A Ag ge en nt t 日日志志审审计计服服 务务A Ag ge en nt t 日日志志审审计计服服 务务A Ag ge en nt t 日日志志审审计计服服 务务A Ag ge en nt t 日日志志审审计计服服 务务A Ag ge en nt t 桌桌面面管管理理 A Ag ge en nt t 准准入入控控 制制A Ag ge en nt t 防防病病毒毒 A Ag ge en nt t 防防病病毒毒 A Ag ge en nt t 桌桌面面管管理理 A Ag ge en nt t 准准入入控控 制制A Ag ge en nt t 准准入入控控 制制A Ag ge en nt t 准准入入控控 制制A Ag ge en nt t 补补丁丁 更更新新 信息流 内容检 测过滤 信息流 内容检 测过滤 123456789 10 11 12123456789 10 11 12123456789 10 11 12123456789 10 11 12123456789 10 11 12 1 集中用户管理、身 份认证及授权 2 终端安全管理及域 管理 3网络安全优化 4应用安全 5主机及设备安全 6统一事件管理平台 7电子文档安全 8 安全策略体系完善 与推广 20142010201120122013 序号技术项目名称 省省 公公 司司 地地市市 省省公公司司试试点点地地市市推推广广 试试点点小小规规模模推推广广全全面面推推广广 试试点点小小规规模模推推广广全全面面推推广广 试试 点点 试试 点点 地地市市 推推广广 试试点点推推广广 完完善善与与 推推广广 图 2-1 安全技术架构规划总体工作思路 2.1 工作方法流程 本项目采用的信息安全技术体系架构规划方法如图 2-2 所示。 图 2-2 信息安全技术体系架构规划方法图 如图 2-3 所示，本项目工作流程由六个步骤组成，分别是安全需求梳理，安全技术架构 功能服务组件框架确定，网络安全域确定，安全技术功能服务组件运行部署，安全技术建设 项目规划和安全技术建设阶段规划。 图 2-3 工作方法流程图 步骤一 安全需求梳理，在本项目中，我们将从近期 XX 电网信息安全技术风险需求、安 全管理策略需求、南方电网公司考核需求、国家等保需求等角度来总结和梳理信息安全 技术建设的要求，并在此基础上总结安全技术目标和安全技术架构设计原则。 步骤二 安全技术架构功能服务组件框架（静态模型） ，在步骤一工作的基础上，制定 XX 电网的安全技术架构功能框架，它由一系列的安全技术功能服务组件所构成，每个安全 技术功能服务组件的选择都是基于信息安全技术建设的需求，这些安全技术功能服务组 件的实现，能够形成独立安全服务平台，用于实现 XX 电网的安全技术目标。 步骤三 网络安全域梳理，步骤二确定了安全技术功能服务组件的静态模型，在此基础 上，步骤三需要对 XX 电网的网络部署环境进行安全域梳理，为安全技术功能服务组件 在网络环境中的动态运行部署打下基础。 步骤四 运行部署设计（动态模型） ，步骤四是为了确立安全技术功能服务组件在 XX 电 网网络环境下的动态运行部署，在步骤三网络安全域梳理的基础上，根据每个安全域的 风险点分析，提出安全防范要点，明确安全技术功能服务组件在不同安全域的运行部署 要求。 步骤五 安全技术建设项目规划，总结 XX 电网的安全技术体系建设规划的工作重点，定 义安全技术建设项目。每个识别出 XX 电网需要进行建设的安全技术项目，都是为了建 设 XX 电网的安全技术服务平台。通过一系列项目建设来实现 XX 电网安全技术架构的构 建。 步骤六 安全技术建设阶段规划，在每个安全技术项目定义明确的基础上，分析每个项 目建设的轻重缓急，整理出符合 XX 电网实际的安全建设阶段划分，为今后 5 年的信息 安全技术建设规划提供建议。 2.2 参考标准 ISO/IEC 15408：“信息技术 安全技术 信息技术安全性评估准则（简称 CC） ，国际标准 化组织在现有多种评估准则的基础上，统一形成的。2001 年，我国将 ISO/IEC15408 直接引 入为国家标准，命名为 GB/T18336。 ISO/IEC 27001：信息技术、安全技术、信息安全管理体系 要求ISO/IEC 27002：信 息技术、安全技术、信息安全管理实用规则 。 2.3 工作方法参考 .3.1. ESAESA 企业安全架构模型企业安全架构模型 下图是 IBM 的 ESA（企业安全架构模型） ，该模型首先要求根据企业的发展目标和业务 特点，制定企业的信息安全目标与建设原则，从而保证信息安全策略与业务需求是一致的； 随即根据信息安全目标和原则，制定企业的信息安全方针，方针承上启下，为后续的体系规 划明确方向；在明确信息安全建设目标和方针的基础上，两条腿走路，建立信息安全管理体 系和信息安全技术体系。 Security Principle (安安全全目目标标与与原原则则) 描述信息安全的业务需求价值，并描述信息安全建设 的基本原则 Security Policy (安安全全方方针针) 将信息安全的目标具体到多个方面，为后续建设提供 指导 Security Standard (安安全全标标准准) 信息安全实施规则，包括技术、方法及其它细节 Security Process (安安全全流流程程) 于跨部门实施政策标准的活动、工作及程序 Security Procedures (安安全全作作业业指指南南) 描述个人在流程上的详细工作 Security Architecture (安安全全架架构构) 信息安全技术如何结合 Security Products (安安全全产产品品) 信息安全解决方案所选的产品及工具 信信息息安安全全流流程程 信信息息安安全全作作业业程程序序 信信息息安安全全架架构构 信信息息安安全全产产品品建建议议 信信息息安安全全政政策策 信信息息安安全全原原则则 信信 息息 安安 全全 标标 准准 图 2-4 IBM 企业信息安全架构模型（ESA） ESA 的优点如下： ESA 在企业全方位考虑安全防务全方位考虑安全防务，确保企业的安全策略与业务需求的一致性 在企业内确保一致安全方案，按照安全参考模式参考模式（成熟的方案）提供功能，少走弯 路 通过共享安全架构共享安全架构的部件，达到方案实施费用的减少，避免重复投资 通过共享安全架构的部件，达到方案实施时间的减少 2.3.2. 企业安全架构技术方法 企业安全架构方法论（Method for Architecting Secure Solution - MASS）的目的在于帮助 安全咨询顾问和架构师在复杂的环境中设计满足安全需求的、全面的企业安全技术架构。因 此，在本次项目中，项目组将使用该方法论，规划 XX 电网信息安全技术架构。 MASS 方法论对 ISO/IEC 15408-2 “通用规范（Common Criteria） ”进行提炼，总结出易于 管理的五个安全域，覆盖了企业所有安全技术需求。在本项目中，利用这些安全域为 XX 电 网搭建安全架构。这五个安全域是身份与信任管理、访问控制、信息流控制、完整性管理、 安全审计管理。 图 2-5 展示了 MASS 的安全域组成关系，它们相互依存并分别运作，共同构成一个完整， 全面和与企业业务需求紧密相关的安全架构。 图 2-5 MASS 安全域组成关系 第 3 章 XX 电网安全技术目标 通过现状需求梳理及分析，形成 XX 电网安全技术目标和安全技术架构设计原则。 3.1 安全需求总结 为了全面掌握 XX 电网的安全技术需求，我们从 XX 电网信息安全技术风险需求、安全管 理策略需求、南方电网公司考核需求、国家等保需求等多个方面来总结和梳理信息安全技术 建设的要求。 3.1.1 技术风险需求 安全技术风险需求，主要依据 XX 电网安全技术风险评估发现的风险现状。我们对近期 关键的安全技术风险评估报告结果分析总结，形成 XX 电网技术风险需求，如下为国家测评 中心对 XX 电网进行评估输出的风险评估报告内容： 图 3-1 风险等级分布 安全弱点前 10 排名列表 标识标识脆弱性脆弱性等级等级 V34 应用系统存在 SQL 注入安全漏洞、校验机制不足存在的文件上传、登录用户弱口 令等安全漏洞，导致应用系统面临的安全风险较大 5 V35软件自身存在的安全隐患最终导致应用系统可被轻易渗透5 V36 部分工作人员安全意识不强，以及用户名/密码在系统之间的通用性，都为应用 系统的安全运行埋下了隐患 5 V24数据库存在较多默认账户名和默认密码5 V2数据库补丁未及时更新，存在多种类型的安全漏洞5 V20没有采用加密或其他保护措施实现鉴别信息的存储保密性5 V15操作系统存在严重的操作系统和应用软件漏洞5 V10防火墙策略控制粒度较粗5 V2对外出口过多，边界防护策略统一难度较大4 V32客户端防病毒软件病毒库更新不够及时或存在管理盲区4 根据对评估结果以及 XX 电网现状的分析和核实，安全技术风险总结如下： 1主机系统安全需求，通过评估发现主机系统存在较多的安全漏洞，如补丁不全、缺 乏账号与口令策略、未进行安全配置等，安全技术体系需全面提高各主机系统安全性，以保 障业务系统支撑平台自身的信息安全。 2网络安全需求：网络未进行安全区域划分、区域内部的缺乏安全控制策略，网络安 全防护措施尚未完善。网络安全建设需实现网络信息安全事件的全方面控制。 3应用系统安全需求：应用系统用户账号管理、认证、授权、审计等均缺乏相应的技 术支持，同时，通过风险评估与渗透测试发现部分应用系统存在漏洞，并能成功入侵，应用 安全需解决当前各应用系统存在的安全问题，并为应用系统运行与管理提供方便，结合南方 电网要求，逐步实现应用系统的集中用户、身份认证和授权管理，为应用系统统一、集中管 理提供基础。 4数据库需求，数据库账号及数据库管理账号无法进行有效监控与管理、审计，需建 立数据安全管理与审计系统，提高对数据库系统的安全。 5终端安全需求：缺乏桌面安全管理、准入控制机制、补丁管理和 AD 域管理，安全 技术体系需建立终端安全机制，提高终端安全防护能力。 6安全事件管理与监控：当前 XX 电网还没有集中的安全事件监控与管理平台，导致安 全运维自动化程度不高，需建立统一的信息安全事件管理与监控平台，其功能包括安全事件 统一管理、审计统一审计等。 管理策略需求 XX 电网提出了“建立健全信息安全体系建立健全信息安全体系，实现信息安全自主管理，自主执行的常态化机实现信息安全自主管理，自主执行的常态化机 制制”的要求，针对下列信息安全管理策略需求，梳理并提出如下安全技术需求。 安全管理策略需求安全管理策略需求安全技术需求安全技术需求 设备安全：定义信息处理设施，并实施完整可控的管理授权过程建立统一用户管理与授权管 理机制 定期评估：定期识别和评估XX电网面临的信息安全风险，并采取恰 当措施予以处理 加强安全弱点管理 全生命周期管理：做好信息系统生命周期各阶段的安全控制加强安全基线管理，实施安 全符合性检查 恶意代码防护：防范病毒与各种恶意软件的入侵持续完善防病毒机制 控制对内外部网络服务的访问，保护网络化服务的安全性与可靠性， 防止重要信息泄漏 实施网络安全域划分 加强边界防护 网络安全管理：应对用户口令和权限进行严格管理，防止对系统的 非授权访问 建立统一的用户管理与授权 管理机制 安全事件管理：采取有效的安全事件管理机制，明确安全责任，建 立对信息安全事件的报告及响应流程 建立统一安全事件监测与管 理机制 监督与审核：建立有效的审核机制，加强对信息安全各项工作的监 督与审核 建立综合安全审计 机制 XX 电网安全技术体系围绕本信息安全管理策略进行规划，从技术方面支持 XX 电网信 息安全策略，有效保障安全策略的执行与落实。 3.1.2 南方电网考核需求 南方电网考核需求，主要依据南方电网公司的安全工作指导意见和考核要求。 南方电网为深入贯彻落实关于加强中央企业信息化工作的指导意见 ，出台了关于信 息化工作评价的相关办法，其中关于信息安全防护水平的评价指标如下： 信息安全防护水平评价指标信息安全防护水平评价指标安全技术需求安全技术需求 (二)统一的安全管理 制定总体安全防护体系框架，作为信 息安全工作开展的总体指导，并根 据总体要求开展信息安全工作。 建立 XX 电网信息安全技术框架，从技术方面规范 与指导 XX 电网信息安全建设。 (三)信息安全风险评估 制定网络与信息安全风险评估规范 ，并定期开展信息安全风险评估。 制定网络与信息安全风险评估规范文档，并在 安全技术框架中，引入信息安全漏洞评估系统，为 信息安全风险评估提供条件与基础，有效支持公司 信息安全风险评估工作。 (四)信息安全等级保护 按照南方电网公司信息系统安全等 级保护实施指南 、 信息系统安全等 级评测准则文件，进行信息安全等 级防护。 信息系统安全等级保护实施指南对信息安全技术保 护提出了具体的要求，信息安全技术体系规划中， 须符合并满足保护要求。 (六)信息安全事件 I 类信息安全事件不得发生，II 级信息 安全事件不得超过 2 起，III 级信息 安全事件不得超过 4 起； 不得发生隐瞒、缓报、谎报等情况。 为有效对 XX 电网信息安全事件管理，建立全面、 统一的安全事件管理系统，对内部信息安全进行集 中监控与处理。 3.1.3 国家等保需求 国家等保需求，主要依据国家有关部门颁布的信息安全等级保护的要求。 2003 年， 国家信息化领导小组关于加强信息安全保障工作的意见 （中办发200327 号） 明确指出“实行信息安全等级保护” ， “抓紧建立信息安全等级保护制度，制定信息安全等级 保护的管理办法和技术指南” ； 2004 年 9 月公安部会同国家保密局、国家密码管理局和国 务院信息办联合出台了关于信息安全等级保护工作的实施意见 （公通字200466 号） ，明 确了信息安全等级保护制度的原则和基本内容，以及信息安全等级保护工作的职责分工、工 作实施的要求等； 电监信息200734 号关于开展电力行业信息系统安全等级保护定级工作的通知明 确 为贯彻落实公安部、国家保密局、国家密码管理局、国务院信息化工作办公室关于印 发的通知 （公通字200743 号）和关于开展全国重要信 息系统安全等级保护定级工作的通知 （公信安2007861 号）要求，提高电力行业网络 和信息系统的信息安全保护能力和水平，对在电力行业组织开展信息系统安全等级保护定级 工作。电网信息安全建设从业务需求建设已转向遵循相关法规与要求建设。为电网信息安全 建设提供的目标与要求。 本信息安全技术体系规划，以遵从国家等保要求为出发点，结合 XX 电网实际情况进行 安安技术体系规划，安全技术体系达到“遵从性、适应性、有效性” 。 3.2 安全技术目标 通过对 XX 电网安全需求的总结分析，我们明确安全技术架构规划的技术目标是对 XX 电 网重要的 IT 资源，包括信息数据、应用系统、主机系统、终端系统、网络系统，提供综合 化、体系化的安全防护： 完善纵深防护的网络安全技术机制，提升 XX 电网网络安全防护能力，为应用系统运 行及数据传输提供安全保障； 以应用安全风险为导向，加强应用系统安全防护能力，通过对应用安全改进，建设 用户账号与认证授权的统一管理，建设数据库、中间件、主机等支撑平台安全基线 管理、加强安全审计，降低应用系统的综合安全风险，实现对业务管理工作的有力 支持； 加强桌面终端用户业务办公的安全保障机制，提高公司对桌面终端系统的安全控制， 通过强化桌面终端安全管理，建设桌面终端的安全准入控制机制，加强终端信息数 据安全保护，为 XX 电网内部用户的业务办公提供安全环境； 加强对公司信息资产的安全保护，形成事前防御、事中监控、事后追溯的安全机制， 通过关键信息资产的安全弱点管理，信息安全事件的统一闭环管理，有效的提高安 全风险综合防范的能力。 3.3 安全技术架构设计原则 在安全技术架构规划设计过程中，需要遵循以下的原则： 统一性 安全技术手段的建设应综合分析公司整体安全需求，实现安全服务平台化、统一化。 综合性 应从外到内、从点到面、从源头控制到事后恢复，进行综合性的整体预防与控制。 先进性 具有前瞻性，考虑安全技术的发展趋势，满足业务未来发展的需求。 合规性 符合国家信息安全保障体系的总体要求，符合电监会、南方电网公司等上级部门的 相关管理要求。 可持续性 满足信息系统全生命周期管理的安全保障要求，为信息系统提供持续的安全保障。 平衡性 安全技术的使用不能以影响业务系统正常运行、降低员工的工作效率为代价，安全技术规划要 考虑安全要求与业务要求平衡性。 第 4 章 XX 电网安全技术功能服务组件框架 根据对 XX 电网信息安全技术需求的总结，参考 IBM 企业安全技术架构方法，提出 XX 电 网安全技术架构框架。安全技术架构框架覆盖了 XX 电网未来 5 年所需要的安全技术功能服 务组件。 每个定义的安全技术功能服务组件，都能够形成独立安全服务平台，用于实现 XX 电网 的安全技术目标。 安全技术功能服务组件框架同时也是 XX 电网的安全技术功能服务组件库，便于 XX 电网 的安全技术人员从组件库中选取所需的安全服务组件，以规范一致的方式来进行的安全技术 解决方案设计。 身份与信任管理访问控制信息流控制完整性 集中用户管理 统一用户目录 数字证书服务 集中身份认证 及单点登陆 访问授权服务 终端准入控制 入侵检测防护 边界信息流控制 信息流内容 检测过滤服务 拒绝服务攻击防护 安全审计管理 统一安全事件 监控管理 综合安全日志审计 操作过程管理 远程访问控制 信息防泄露 防病毒服务 网页防篡改 安全技术功能服务组件架构 桌面终端管理 安全符合性检查 安全弱点管理 可用性保障服务 图 4-1 安全技术功能服务组件框架 4.1 安全技术功能服务组件目录定义 与安全架构方法模型中的五个安全域相对应，定义了五个安全技术功能服务组件目录， 分别是身份与信任管理目录、访问控制目录、信息流控制目录、完整性控制目录和安全审计 管理目录。以下是每个安全服务组件目录的定义。 身份与信任管理目录身份与信任管理目录 该目录定义了身份和信任管理方面的功能服务组件，它们能够对企业范围内的用户身份 的识别、验证进行管理控制，提供对用户身份和信任凭证生命周期的管理。在本目录中包含 的安全服务组件有集中用户管理、企业用户目录和数字证书服务。 访问控制目录访问控制目录 该目录定义了对 IT 资源（包括网络资源、平台系统资源、应用系统资源、数据资源等） 进行访问控制的功能服务组件，它们负责企业范围内的 IT 资源访问的管理控制。在本目录 中包含的安全服务组件有集中身份认证及单点登录、访问授权、终端准入控制、远程访问控 制。 信息流控制目录信息流控制目录 该目录定义了对网络信息流进行安全控制的功能服务组件，它们负责对企业范围内的信 息流进行把关控制，保证信息流的机密保护、完整准确和合理可达。在本目录中包含的安全 服务组件有入侵检测/防御、边界信息流控制、信息流内容检测过滤、拒绝服务攻击防护。 完整性控制目录完整性控制目录 该目录定义了保障 IT 实体（包括网络、平台系统、应用系统、数据等）完整性的功能服 务组件，它们负责对企业范围内 IT 实体正确、完整、可靠运行提供管理控制。在本目录中 包含的安全服务组件有网页防篡改、信息防泄露、防病毒服务、桌面终端管理、可用性保障。 安全审计管理目录安全审计管理目录 该目录定义了对安全审计管理的功能服务组件，它们负责对企业范围内的 IT 安全事件进 行记录和监控，保证 IT 安全事件的可追溯和及时响应。在本目录中包含的安全服务组件有 统一安全事件监控管理、综合安全日志审计、操作过程审计、安全符合性检查和安全弱点管 理。 4.2 安全技术功能服务组件定义 4.2.1 身份与信任管理目录 身份与信任管理目录包含以下的安全技术功能服务组件。 身份与信任管理 集中用户管理企业用户目录数字证书服务 每个安全技术功能服务组件的说明如下。 统一用户管理服务 名称 版本归属 统一用户管理服务1.0身份与信任管理 描述统一用户管理服务能够为企业用户提供集中统一的用户账号管理 服务，管理企业用户使用各种企业 IT 系统时的用户账号。本服务有利 于降低用户管理的成本，有利于强化用户账号安全策略实施。 关键服务统一用户管理服务应该为 XX 电网信息系统提供以下的管理服务： 组织管理，实现对 XX 电网组织结构的管理，使得企业能够按照 自身情况以部门或者地域进行组织结构的定义，管理内部用户在 XX 电网的组织结构的分布； 账号管理，实现对 XX 电网所有内部用户自然人身份的主账号的 管理，包括创建，激活、中止，废除、修改和删除，以及主账号与用 户在目标 IT 系统的账号的关联同步管理； 用户审批管理，实现对 XX 电网用户账号建立、变动的审批管理； 角色管理，定义和管理在 XX 电网企业用户的工作岗位/角色，提 高企业用户管理的效率和灵活性。通过角色定义，可以将某类角色和 不同目标系统上的账号进行对应，实现基于角色的企业用户管理； 基于角色的访问管理：通过角色定义，可以将某类角色和目标系 统上的资源进行对应，支持基于角色的访问授权。 当前实施情况目前，XX 电网未建立统一的企业用户管理机制，大多数应用系 统在账号管理方面采用了竖井式的建设，未使用统一的企业用户目录， 独立管理自身的账号。 企业用户目录服务 名称 版本归属 企业用户目录服务1.0身份与信任管理 描述企业用户目录管理能够为企业用户该提供集中的用户基础数据信 息管理和存储服务。 关键服务企业用户目录管理服务应该为 XX 电网信息系统提供以下的管理 服务： 企业用户目录：实现将 XX 电网所有用户信息存储在企业用户目 录，企业用户目录设计需要反映出 XX 电网的组织结构；一般来讲， 企业用户目录的设计应该具备高效处理的扁平结构。其中企业用户目 录中对用户的标识可以为员工工号、邮件地址、HR 系统中员工编号 等。 信任凭证安全存储：实现所有用户的敏感的信任凭证信息的安全 存储，建议采用不可逆的加密算法实现对敏感的信任凭证的加密存储。 目录整合与数据同步：实现 XX 电网企业用户目录的良好整合功 能，能够整合企业已有系统的非规范用户信息，实现与已有系统的用 户信息的同步。其中目录整合须建立企业用户目录系统与其他系统间 的用户信息对应关系；双方数据的同步接口将遵循该对应关系，实现 一次性或定期的数据同步。 目录复制与恢复：实现企业用户目录的复制与恢复，有效保障用 户目录信息的高可用性。 当前实施情况目前，XX 电网没有统一的企业用户目录机制。 数字证书服务数字证书服务 名称 版本归属 数字证书服务1.0身份与信任管理 描述数字证书服务是一种增强性的用户信任凭证服务，该服务提供企 业用户和应用的数字证书的管理和验证。 关键服务数字证书系统是加强 XX 电网应用安全的重要手段，需要采用可 靠的方式，实现联网应用用户的强身份鉴别和认证，支持网络应用的 信息传输保护，提高业务应用的抗抵赖性。 数字证书服务应该为 XX 电网信息系统提供以下的管理服务： 证书策略管理：根据企业的安全策略，设定数字证书的策略，使 得证书的管理满足企业的业务安全要求； 证书申请：系统接受用户输入的信息并提供一系列证书模块，供 用户根据自己的需要选择并申请，系统验证用户信息，如果成功，系 统向用户返回下载证书所需的凭证。 证书签发：根据证书策略，对于通过审核的证书申请，生成数字 证书；并将签发成功的证书发布到 LDAP，或企业用户目录中。 证书下载：验证用户的下载凭证，对验证通过的用户，提供证书 下载服务。 证书验证：向企业的用户或者应用提供统一的证书有效性验证； 证书撤销：根据企业证书策略，对不安全的证书实行撤销，撤销 后证书将失效。 证书更新：根据企业证书策略，对正在使用中的证书进行有效期 等更新。 证书冻结：根据企业证书策略，可以对短期内不会使用的证书进 行冻结操作，在冻结期内证书被限定不可使用。被冻结的证书可通过 解冻操作恢复使用。 证书解冻：相对于证书冻结操作，此功能将冻结的证书解冻，使 得证书可以重新使用。 当前实施情况目前，XX 电网的大部分应用系统已经实现与数字证书身份认证 系统的接口改造，初步实现了系统安全登录，下一步将不断强化数字 证书的应用，完全取消用户名/口令，统一采用数字证书登录系统。 4.2.2 访问控制目录 访问控制目录包含以下的安全技术功能服务组件。 访问控制 集中身份认证 及单点登陆 访问授权服务终端准入控制远程访问控制 每个安全技术功能服务组件的说明如下。 集中身份认证及单点登陆服务 名称 版本归属 集中身份认证及单点登陆服务1.0访问控制 描述集中身份认证及单点登录服务是以集中的方式，实现企业用户对 应用系统和平台设备的访问进行单点登录和集中身份认证。 关键服务集中身份认证及单点登录服务应该为 XX 电网信息系统提供以下 的管理服务： 访问集中认证：通过对访问者的身份信任凭证的集中检验来核实 身份的正确性； 支持多种认证机制：能够支持多种信任凭证认证机制，例如密码、 一次性口令、证书等； 单点认证：用户只需要通过集中认证服务的验证，不必在企业的 应用和平台进行重复验证。 当前实施情况目前，XX 电网的 IT 系统，包括应用、操作系统、数据库和网络 设备，各系统独立进行用户身份认证，均没有采用集中身份认证机制， 未建立统一单点登录机制。 终端安全准入 名称 版本归属 终端安全准入1.0访问控制 描述终端安全准入服务提供对接入企业网络的合法合规终端的检查， 只允许通过合法身份检查、并且达到安全合规要求的终端接入内部网 络。 关键服务终端安全准入服务提供以下的关键安全服务： 终端合法身份认证：对登录终端的合法性进行确认，通过检查终 端的合法唯一标识，以及终端用户的合法身份检查，禁止非法终端接 入内部网络，此功能的实现需要结合身份与信任管理目录中的服务平 台 终端安全合规检查：对接入内部网络的合法终端的安全合规进行 检验，禁止不合规的终端接入内部网络 不合规终端安全修补：对合法但不合规的终端，提供安全修补的 服务，此功能需要结合补丁管理服务及桌面终端管理服务。 当前实施情况目前 XX 电网正在做终端安全准入的研究，尚未实施终端安全准 入技术工具。 访问授权服务 名称 版本归属 访问授权服务1.0访问控制 描述访问授权服务是以集中的方式对企业用户访问应用或平台的资源 的权限进行检验。 关键服务访问授权服务能够提供以下的功能： 访问授权验证：用户通过身份认证后，需要对用户访问资源的权 限进行检验，以确定用户是否能够访问目标资源 访问权限策略管理：根据业务安全要求，对用户的访问策略进行 设置，包括访问访问主体、对象资源、访问时间等；实现将访问授权 策略数据的存储和管理； 资源对象管理：对应用或平台的资源进行细粒度对象的管理 访问请求管理：根据业务安全要求，对用户的访问资源请求进行 控制，配合访问策略管理服务，实现进行的细致的资源访问控制 当前实施情况目前尚未结合单点登录系统、集中用户管理系统实现统一访问授 权管理。 远程安全接入服务 名称 版本归属 远程安全接入服务1.0信息流控制 描述远程安全接入服务是在公共互联网络上，建立虚拟的安全通道， 保证远程接入的用户或分支机构与 XX 电网内网之间的安全连接。 关键服务需要通过本服务提供 XX 电网的用户或分支机构通过互联网安全 接入内部网络，实现办公和业务工作。 远程安全接入服务应该为 XX 电网提供以下的安全功能： 支持用户以各种互联网接入方式，在互联网络之上建立安全传输 通道连接 XX 电网内网 采用加密算法实现数据传输的机密性 采用摘要算法实现数据传输的完整性 采用数字证书实现数据传输的不可否认性 对用户的远程接入实现认证、授权和审计 当前实施情况目前，XX 电网各单位自行建立远程安全接入服务，支持用户从 外网（如互联网）安全、可控的接入内部网络。 4.2.3 信息流控制目录 信息流控制目录包含以下的安全技术功能服务组件。 信息流控制 入侵检测/防御边界信息流控制 信息流内容 检测过滤服务 拒绝服务攻击防护 每个安全技术功能服务组件的说明如下。 信息流内容检测过滤服务 名称 版本归属 信息流内容检测过滤服务1.0信息流控制 积木块编号 描述信息流内容过滤服务对网络信息数据流的 3-7 层的内容检测，检 测过滤来自互联网的恶意代码、垃圾邮件等，过滤进出网络的不安全 信息内容 关键服务信息内容检测服务能够提供以下的功能： 网关防恶意软件，检测 HTTP, FTP, SMTP, POP3, IMAP, P2P, IM 等 协议之上的病毒，过滤间谍软件、木马、欺诈、键盘记录器等软件。 反垃圾邮件，通过黑名单、病毒检查、用户定义规则、垃圾邮件 指纹以及贝叶斯统计分析等，对垃圾邮件进行判定，并予以投递、隔 离或阻断处理。 用户行为管理：边界应用控制与过滤方案具备 URL 过滤、关键字 过滤、内容过滤等多种访问控制策略，控制非法应用、过滤非法网站、 规范用户上网行为，避免企业关键信息外泄。记录用户应用访问信息， 输出审计报告； 流量管理：可精确识别 BT、电驴、迅雷、MSN、QQ、Yahoo Messenger、PPLive 等近百种 P2P/IM 应用，可基于时间、用户、区域、 应用协议，通过告警、限速、阻断等手段进行灵活控制，保证网速的 正常和业务不被影响； 流量统计：基于通用流量统计模型，提供基于用户、应用、时间 段、源/目的 IP 等丰富的业务流量统计信息日志。可以对业务组以及 某个业务下的所有子业务的流量趋势、业务带宽占用趋势以及业务流 量分布等各种流量信息进行统计分析并生成日志。流量信息包括上下 行双向流量； 流量整形，通过限流、放行、阻断、干扰以及告警等的带宽管理 方法，实现基于用户、应用、时间段以及源/目的 IP 等精细的带宽控 制，合理分配网络带宽。 当前实施情况目前，XX 电网统一出口平台部署了流量控制设备实现流量控制、 统计和整形。邮件系统内置了防垃圾邮件模块和防病毒模块。各局域 网与统一互联网平台之间都部署了上网行为管理设备。 入侵检测/防御服务 名称 版本归属 入侵检测防护服务1.0信息流控制 描述该服务组件提供对网络数据流检测，对符合攻击特征的数据流给 予丢弃。 关键服务网络入侵检测/防御能够提供以下的功能： 通过状态检测、特征值检测、异常行为分析，实现入侵的检测和 防御 WEB 攻击过滤：可保护 Web 应用免遭日益增多的应用层攻击， 如缓冲区溢出、SQL 注入、跨站点脚本攻击等 入侵检测/防御：在需要重点保护的安全域，部署网络入侵检测 与防御系统，对网络流量实时检查，进行模式匹配和行为监控。一旦 发现攻击行为即通过入侵检测控制台进行报警，必要时，阻断网络攻 击连接。 当前实施情况目前，XX 电网统一互联网出口平台及省网 DC 区出口部署了网络 入侵检测/防御设备。 边界信息流控制服务 名称 版本归属 边界信息流控制服务1.0信息流控制 积木块编号 描述边界信息流控制服务是指在不同安全级别的网络区域的安全边界 上，针对网络区域之间的数据流访问实现访问控制。 关键服务需要通过边界信息流控制服务是加强 XX 电网不同安全级别的网 络区域之间信息流访问的安全控制，保护 IT 系统访问安全。 边界信息流控制服务应该为 XX 电网提供以下的安全服务： 过滤进出的 TCP/IP 数据包。 管理进出网络的访问行为。 封堵被禁止的业务。 实现网络地址翻译。 基于会话状态检测和 TCP/IP 动态端口进行数据流控制。 将所有跨越边界的会话通信分为两段，实现数据流的中转。 对网络攻击进行检测、告警和阻断。 记录进出网络的访问信息。 当前实施情况目前，XX 电网统一互联网出口平台及各局域网都部署了防火墙 或者 ACL 机制来实现安全隔离。防火墙基本采用高可靠冗余热备结构。 拒绝服务攻击防护服务 名称 版本归属 拒绝服务攻击防护服务1.0信息流控制 描述拒绝服务攻击防护服务是防止由于来自 Internet 的 DDoS 攻击导 致内部业务系统不可用。 关键服务需要通过本服务是加强 XX 电网互联网应用服务可用性的安全保 护，抵御来自互联网的拒绝服务攻击。 拒绝服务攻击防护服务应该为 XX 电网提供以下的安全功能： 流量检测功能：采用基于行为模式异常的检测，从背景流量中识 别攻击流量。 流量清洗，将可疑流量过滤，分流出“干净”流量，将其重新注 入网络中。 当前实施情况目前，XX 电网已在统一互联网出口平台部署了具有拒绝服务攻 击防护功能的设备。 4.2.4 完整性控制目录 完整性控制目录包含以下的安全技术功能服务组件。 完整性信息防泄露防病毒服务网页防篡改 桌面终端管理 可用性保障服务 每个安全技术功能服务组件的说明如下。 网页防篡改服务 名称 版本归属 网页防篡改服务1.0完整性控制 描述网页防篡改服务提供对企业对外服务的网站系统的完整性保护， 防止系统文件被非法篡改。 关键服务网页防篡改服务应该为 XX 电网提供以下的安全功能： 阻断非法进程对受保护文件的写操作； 基于事件触发机制，实时发现受保护文件的任何非授权变更； 依据数字指纹技术，验证所有对外发布文件的合法性，确保非法 发布网页无法发布； 提供受保护文件/目录自动