国家电网公司信息安全等级保护工作交流-安天TDS主机安全检查系统

1 信息安全等级保护安全建设整改工作培训材料之二 全面规划 狠抓落实 信息安全工作再上新台阶 国家电网公司信息安全等级保护工作交流 国家电网公司是国有特大型企业 是关系国家能源安全和国民经 济命脉的国有重要骨干企业 核心业务为电网的建设和运营 承担着 为经济社会发展提供安全 经济 清洁 可持续的电力供应的基本使 命 国家电网公司经营区域覆盖 26 个省 自治区 直辖市 占国土 面积的 88 为超过 10 亿人口提供电力服务 管理员工 153 7 万人 公司名列 2009 年 财富 全球企业 500 强第 15 位 是全球最大的公 用事业企业 作为关系国家能源安全和国民经济命脉的重要骨干企业 国家电 网公司内部运转和对外服务依托大量业务信息系统 信息化依赖程度 很高 公司历来高度重视信息化工作 大力推进信息化企业建设 自 2006 年开始实施 SG186 工程 构筑横向集成 纵向贯通的一体化企业 级信息集成平台 建设八大业务应用系统 健全完善六个保障体系 提出 十一五 末初步建成信息化企业和数字化电网的目标 即在国 际先进管理理念指导下 以信息技术为依托 构建电网企业生产 经 营 管理和决策的信息管理系统 实现公司人 财 物三大基本要素 和业务处理的全过程信息化 促进公司各项业务流程的规范化 标准 化 达到工作流 资金流 物资流 信息流的高度整合和共享 实现 公司生产自动化 管理现代化 决策科学化 SG186 工程至今年年底将 提前一年全部完成建设目标 为公司人财物集约化管理和智能电网建 设提供了坚强支撑 通过国家信息化测评机构测算 信息化对公司主 2 营业务的销售收入贡献率达到 1 以上 SG186 工程取得每年数十亿元 的明显效益 在国资委公布的 2007 年度中央企业信息化水平评价结果 中 被评为十家 A 级企业之一 综合排名第四 是电力行业唯一进入 A 级的企业 随着国家电网公司 SG186 工程的推进 公司加快实施一体化平 台建设 推进三级贯通 强化系统集成与实用化 实现公司总部与各 单位系统的级联 八大业务应用整体全面推广 拓展深化应用 信息 化效能 效率 效益提升作用明显 信息系统的基础性 全局性 全 员性作用日益增强 电网信息安全作为电网安全的重要组成部分 是 电网信息化持续深入推进的基本保障 直接影响着电力企业的运行与 管理工作 对电力生产控制系统安全有着重大影响 国家电网公司从维护国家安全 社会稳定与公民权益出发 按照 国家信息安全等级保护制度要求 将信息安全纳入电网生产安全体系 加强管控 逐级分解安全责任 建立了完善的信息安全机制 按照 双网双机 分区分域 等级防护 多层防御 的安全策略 实施了 双网隔离 部署了信息内外网邮件系统 统一配置了安全移动存储介 质 建设一体化安全运行监管平台和信息安全综合工作平台 构建了 运行维护标准化体系和信息安全技术督查体系 全面开展风险评估 强化应急响应 加强信息安全保密等系列措施 初步建立了公司信息 安全等级保护纵深防御体系 有关工作得到了国家主管部门的高度肯 定和认可 并获得电力行业信息安全工作突出单位称号 下面将国家电网公司信息安全等级保护工作开展情况介绍如下 一 等级保护工作介绍一 等级保护工作介绍 国家电网公司高度重视等级保护工作 全面落实公安部 信息安 全等级保护管理办法 关于开展信息安全等级保护安全建设整改工 作的指导意见 信息系统安全等级保护基本要求 等系列管理和技 术要求 以定级工作为基础 强化顶层设计 加强标准化建设 管理 3 和技术齐抓共管开展等级保护建设整改 整体工作遵照定级备案 方 案设计 等保建设 等保测评和运行维护的五个步骤开展 目前已有 2 3 的单位完成等级保护建设 并将于年底全面完成建设整改工作 图 1 国家电网公司等级保护工作流程图 一 定级备案 一 定级备案 2008 年初 遵照公安部 关于开展全国重要信息系统安全等级保 护定级工作的通知 公信安 2007 861 号 和电监会 电力行业信息 系统安全等级保护定级工作指导意见 电监信息 2007 44 号 的文 件要求 国家电网公司组织对在运的信息系统进行定级 并按照公安 部和电监会对公司信息系统定级的审批 公司完成了 30 个网省公司 21 直属单位的信息系统定级与组织备案工作 涉及公司所有万余个在 运信息系统 其中四级系统 32 个 三级系统占 31 8 二级系统占 68 1 4 68 1 31 8 0 1 二级系统 三级系统 四级系统 图 2 国家电网公司信息系统安全等级分布 二 体系设计 二 体系设计 按照 信息系统安全等级保护基本要求 信息安全等级保护安 全建设整改工作指南 的要求 国家电网公司结合电网安全需求 对 电网信息安全工作进行整体规划和体系设计 制定了 国家电网公司 信息化 SG186 工程安全防护总体方案 确定了 双网双机 分区 分域 等级防护 多层防御 的信息安全防护总体策略 其核心内容 为强化网络边界安全 结合信息安全等级对信息内 外网应用系统进 行安全域划分 将各安全域按边界 网络 主机及应用环境四个层次 实施安全防护 图 3 体系构成示意图 5 具体内容为 一是一是将管理信息网划分为信息内网和信息外网 管 理信息内外网之间采用逻辑强隔离策略进行隔离 信息内外网分别使 用物理隔离并独立的服务器和桌面计算机 二是二是在网络方面 构筑了 网络边界三道防线 第一道防线为强化互联网与信息外网之间控制策 略 第二道防线为信息外网与信息内网之间采用强隔离措施和物理断 开 切断信息内网与互联网的连接 第三道防线为管理信息大区与生 产控制大区强隔离 三是三是在信息内网 按照 统筹资源 重点保护 适度安全 的原则 依据信息系统等级定级结果 采用 二级系统统 一成域 三级系统独立分域 的方法划分安全域 信息外网划分为外 网应用系统域和外网桌面终端域 各安全域采用符合等级保护要求的 技术措施进行防护 图 4 三道防线示意图 国家电网公司针对各安全域防护特点的差异 明确了各域的安全 控制措施及防护方案 设计了7个典型设计的分册 即 在边界方面 制定了 网络与信息系统安全隔离实施指导意见 应用具有自主知识 产权的逻辑强隔离装置 正反向隔离装置等措施 在网络方面 采用 国产网络设备和安全设备 并对经由网络传输的业务信息流进行安全 防护 在主机方面 制定了 国家电网公司信息安全加固实施指南 6 开展主机安全加固 在应用方面 制定了 国家电网公司信息应用系统 通用安全要求 开展应用系统安全性测试与整改 在数据方面 应用 安全移动存储介质进行内外网数据交换 并开展三个集中式信息系统 容灾中心建设 在管理方面辅助以信息安全综合工作平台进行管理 三三 深化标准深化标准 国家电网公司结合电网信息安全防护的特殊性 以国家信息系统 等级保护基本要求和电力行业信息安全要求为基础 对电网等级保护 标准指标进行深化 扩充 将国家等级保护二级系统技术指标项由 79 个扩充至 134 个 三级系统技术指标项由 136 个扩充至 184 个 并将 指标作为整改要求 制定了 国家电网公司 SG186 工程等级保护验 收标准 所有在运行信息系统必须于 2009 年按照标准完成整改 表 1 电网需求与国家标准要求对照表 二级系统三级系统 要求类国家标 准 电网需求国家标准电网需求 物理安全19303239 网络安全18333344 主机系统安全19373253 应用安全19293140 数据安全4588 合计合计79134136184 四 四 现状测评现状测评 按照公安部对等级保护安全建设整改工作中进行信息系统安全保 护现状分析的要求 国家电网公司组织内部测评队伍 在等级保护安 全建设之前按照定级结果 根据国家和公司等级保护标准 对信息系 7 统开展了技术和管理两方面的现状评估 寻找信息系统在物理安全 网络安全 主机安全 应用安全 数据安全以及安全管理上与相应安 全等级标准的差距 并进行差距汇总和分析 根据不足问题重点进行 建设整改工作 表 2 公司等级保护符合性评估结果表 五 安全建设整改 五 安全建设整改 2009 年 公司结合公安部等级保护建设指导意见 印发 国家电 网公司信息安全等级保护建设的实施指导意见 要求公司系统各单位 于 2009 年底完成等级保护建设整改工作 具体建设内容包括 在技术 措施上进行机房物理环境整改 安全域划分与实现 边界网络防护 安全配置加固 应用及数据安全防护 在管理上加强人员队伍建设并 完善信息安全管理工作 1 1 机房物理环境整改机房物理环境整改 8 各单位按照 国家电网公司信息机房设计及建设规范 国家电 网公司信息机房管理规范 的要求 完善机房环境 设备管理 运行 管理 电源管理 安全管理和资料管理 并从防雷 防火 防水 防 静电 防盗窃 防破坏 电力供应 机房物理访问控制等方面对机房 环境进行改造 2 2 安全域划分与实现安全域划分与实现 在双网双机基础上 根据信息系统的安全等级 采用部署防火墙 交换机划分 VLAN 及设置访问控制策略等技术措施进行安全域划分 3 3 边界网络防护边界网络防护 明确公司信息内外网五类边界 并对五类边界部署网络访问控制 入侵防护等多项通用防护措施 并特别采用公司自主研发的逻辑强隔 离装置 一体化安全监管平台 边界安全监测等技术措施进行防护 4 4 主机安全配置加固主机安全配置加固 各单位遵照 国家电网公司信息安全加固实施指南 通过配置安 全策略 安装安全补丁 强化系统访问控制能力 修补系统漏洞等方 法对各类主机设备的操作系统 数据库 中间件等及时进行策略配置 和加固 包括 帐号权限加固 数据访问控制加固 服务加固 网络 访问控制加固 口令策略加固 审计策略加固 漏洞加固 通信信息 安全加固等方面 在办公计算机终端上 全公司统一组织部署桌面终 端管理系统 对终端的安全准入 补丁的自动升级 终端安全防护进 行自动维护和监测管理 5 5 应用及数据安全防护应用及数据安全防护 依照国家和公司标准 从用户身份认证 访问控制 安全审计 通信数据保护 容错能力等多方面进行应用系统安全改造和建设 在 数据保护方面 应用安全移动存储介质进行内外网数据交换 为确保 不因人为或自然的原因 造成数据信息丢失和信息系统支持的业务功 能停止或服务中断 公司提出建设集中式信息系统容灾中心 启动北 9 京 上海 西安三个集中式信息系统容灾中心建设 6 6 强化信息安全队伍建设 强化信息安全队伍建设 公司按照公安部要求 从安全管理 运行 监督 技术支持等方 面加强信息安全队伍建设 确保安全责任落实 公司组织成立了 两 级三线 总部 网省两级 一线服务 二线运维 三线技术支持 运 维服务队伍 负责各单位日常安全运行维护工作 建立了约 400 人的 总部和网省两级信息安全技术督查队伍 负责监督和指导各单位信息 安全工作落实 公司组织中国电力科学研究院 国网电力科学研究院 的信息安全实验室组成信息安全技术保障队伍 培养了信息安全专业 研究服务人员百余人 在信息安全服务 技术研发 安全攻防及监测 等方面开展了大量的工作 成立了由公司内外部专家组成的专家组 对重大信息安全决策 事件会商研判 对疑难问题进行分析和处置 并定期召开协调例会 为解决信息安全工作中遇到的问题提供技术支 持 并制定了对应的人员安全管理制度 明确了人员录用 离岗 考 核 教育培训管理要求 7 7 完善信息安全管理工作 完善信息安全管理工作 公司将等级保护与日常管理紧密结合 不断完善 按照公安部信 息安全等级保护安全建设整改指导意见中信息安全管理建设的要求 公司各级单位成立了信息化工作领导小组 按照 谁主管谁负责 谁 运行谁负责 和属地化管理原则 逐级落实了信息安全责任 建立了 完善的信息安全管理 信息系统运行 信息内容保密等规章制度和操 作规程 建立了与公司信息化发展相适应的信息安全监督机制 应急 机制 通报机制 事件责任追究机制和风险管理机制 将信息安全全 面纳入公司安全生产管理体系 并按照信息系统与信息安全 同步规 划 同步建设 同步投入运行 的三同步原则 加大信息安全资金投 入 按照人员 时间 精力 三个百分之百 的要求 实现了全面 全员 全过程 全方位的 四全 安全管理 10 同时 公司加强信息系统建设管理 印发 信息系统上下线管理 规定 和 应用软件通用安全要求 等 明确系统定级备案 方案设 计 产品采购使用 密码使用 软件开发 工程实施 验收交付 等 级测评 安全服务等管理内容 并规范了系统运维管理 开展运维标 准化作业 明确了公司运维体系 费用标准 工作规范 流程标准 操作规程 装备标准 管理制度 考核标准 包含机房环境安全 存 储介质安全 设备设施安全 安全监控 网络安全 系统安全 恶意 代码防范 密码保护 备份与恢复 事件处置 应急预案等管理内容 建立信息安全技术督查机制 构建了两级技术督查队伍 定期对信息 安全工作的落实情况进行自查和监督检查 同时 利用技术手段加强信息安全日常运维工作 一是建设了一 体化信息安全运行监管平台 对电网信息网络设备 安全设备 网络 边界 应用系统 桌面终端进行实时安全监测 极大地提高了重要信 息系统日常安全监测 预警 应急响应与防御能力 二是建设了信息 安全综合工作平台 整合了国家电网公司的信息安全日常管理 运行 与督查工作需求 将国家信息安全等级保护工作要求细化为可量化 可操作的技术和管理指标 按照总部 网省公司 地市公司的国网信 息安全管理模式 实现等级保护执行情况的上报 监管 能够在线上 完成定级 备案 整改 测评和检查等主要工作 使国网各级单位的 等级保护与日常工作相结合并不断完善提升 六 建设整改后等级测评 六 建设整改后等级测评 在各单位完成等级保护安全建设之后 电网公司结合整改工程验 收工作 组织内部测评队伍进行效果测评 内部测评结束后 再聘请 国家信息安全等级保护工作协调小组备案的测评机构进行等级测评 验证与国家等级保护标准的符合性 通过公司内部和专业测评机构的 两级测评 有效推进了国家 行业 电网信息安全标准在电网企业的 落实完善 11 二 试点示范工程二 试点示范工程情况情况 为确保等级保护实施工作取得实效 通过国家发改委立项审批 开展了 电网信息安全等级保护纵深防御示范工程 建设 以试点单 位建设进行试验示范 并在全公司范围进行推广 浙江省电力公司 陕西省电力公司 中国电力财务有限公司三个试点单位进行边界 网 络 主机 应用数据的等级保护纵深防御体系建设 全面应用自主信 息化装备和自主知识产权信息技术产品 并开展了大量细致的国产化 测评 验证和自主可控模式的探索 示范工程得到了国家发改委 公 安部的高度认可 取得了良好的效果 极大地提升了电网防御能力 为等级保护在电网的推广应用奠定了基础 图 5 示范工程项目内容示意图 示范工程包含以下九个方面重点内容 一 建立电网信息系统安全等级保护纵深防御体系 一 建立电网信息系统安全等级保护纵深防御体系 建立电网信息安全等级保护纵深防御体系的三道防线 将电网信 息系统划分为生产控制大区 信息内网 信息外网 根据电网信息系 统防护特点 生产控制大区实现 安全分区 专网专用 横向隔离 纵向认证 的安全策略 管理信息大区实现 双网双机 分区分域 等级保护 多层防御 的安全策略 12 图 6 等级保护纵深防御体系结构图 二 建设电网一体化信息安全运行监管平台 二 建设电网一体化信息安全运行监管平台 电网一体化信息安全运行监管平台是集综合网管 安全管理 桌 面管理 IT 运维 网络边界管理为一体的信息系统运行监控管理平台 实现了边界防御 网络监控 主机监控 应用防护和桌面终端安全的 全方位监管功能 图 7 一体化安全运行监管平台 三 建设国产安全电网运行控制平台 三 建设国产安全电网运行控制平台 国产安全电网运行控制平台是按照等级保护四级系统保护要求 基于国产服务器和网络设备 采用国产 B 级安全操作系统 国产数据 13 库 国产中间件等基础软件的分布式一体化调度支持平台 图 8 安全电网运行控制平台 四 建设电网信息安全综合工作平台 四 建设电网信息安全综合工作平台 电网信息安全综合工作平台的功能体系覆盖了国家电网公司信息 安全管理工作的主要内容 并支持公安部等级保护工作管理 以信息 系统定级 备案 整改 测评和检查等规定步骤为主线 实现等级保 护工作任务的下发 执行 进度监控和督办 平台建设内容包含了两 个体系 三个综合模块和四个管理机制 具体为等级保护合规性管理 体系和 ISMS 合规性管理体系 日常办公的综合管理模块 知识产权保 护模块和培训教育模块 风险管理机制 应急管理机制 技术督查机 制和事故通报机制 电网信息安全综合工作平台为公司系统各级信息 化工作人员提供了及时 准确 可靠的信息安全工作支撑 体现出了 四点先进性和创新性 一是为电力行业内首次应用支持国家信息安全 等级保护工作要求的信息管理平台 二是引进国际先进的信息安全管 理体系 ISMS 理论 指导国家电网公司的信息安全管理工作 三是 为信息安全技术督查工作的履行和监管提供统一的工作管理平台 有 效提升两级技术督查工作机制的执行效果 四是实现从硬件服务器 基础软件平台到应用系统的全国产化 14 图 9 信息安全综合工作平台 五 自主研发信息内外网逻辑强隔离装置 五 自主研发信息内外网逻辑强隔离装置 信息内外网逻辑强隔离装置是整个等级保护纵深防御体系中的核 心安全设备 应用于纵深防御第二道防线 装置对数据库操作进行权 限和内容的控制 满足内外网业务数据交换的功能 实现对内网数据 库访问的严格控制 彻底隔离内网与互联网连接 图 10 信息内外网逻辑强隔离装置 六 自主研发安全移动存储介质管理系统 六 自主研发安全移动存储介质管理系统 15 安全移动存储介质管理系统是纵深防护体系中针对数据层面的防 护措施 对文件的读写进行访问限制和操作审计 内嵌主动式病毒安 全防御功能 数据加密存储 解决了办公数据在信息内外网的安全交 换问题 并能对文件的读写进行审计 安全移动存储介质管理系统是 针对电网秘密信息的管理 在国产现有安全产品基础上研发定制而成 图 11 安全移动存储介质管理系统 七 建设电网安全运维体系与技术督查体系 七 建设电网安全运维体系与技术督查体系 通过完善电网两级三线安全运维服务体系 建立两级信息安全技 术督查工作机制 将信息安全技术和管理有机结合起来 实现安全管 理 运维 监督相辅相成 相互监督的局面 16 图 12 安全运维服务体系与技术督查体系 八 开展国产化和自主可控技术探索 八 开展国产化和自主可控技术探索 在国产化方面 全面采用国产的信息安全产品构建等级保护纵深 防御体系 在试点单位中针对基础 通用和专业类的应用系统 进行 信息系统全国产化改造的重要探索 同时完成了两个平台等关键系统 的全国产化建设 图 13 国产化改造示范系统 在自主可控方面 通过统一标准 自主研发 自主实施 产权管 理 安全测评 安全管控 安全巡检 风险管理等手段实现信息系统 全生命周期各阶段的安全可控 17 图 14 信息系统全生命周期的自主可控 九 等级保护纵深防御示范工程仿真实验环境 九 等级保护纵深防御示范工程仿真实验环境建设建设 将中国电科院信息系统安全实验室 国网电科院信息网络安全实 验室和国网信通公司信息网络实验室作为国家电网公司重大实验能力 建设框架的一部分 针对安全产品 信息系统建立测评验证与运行仿 真环境 以确保信息系统与安全产品的高可靠性与稳定性 三 三 经验与体会经验与体会 一 领导高度重视 一手抓信息化 一手抓信息安全 一 领导高度重视 一手抓信息化 一手抓信息安全 长期以来国家电网公司党组高度重视信息安全 始终坚持一手抓信 息化建设 一手抓信息安全工作 随着公司信息化 SG186 工程的推 进 全面落实了信息安全责任制 执行了 三个百分之百 人员 时 间 精力三个方面百分之百投入到信息安全工作中 四全 全面 全员 全过程 全方位 的安全管理 三同步 信息安全与信息系 统同步规划 同步建设 同步投入运行 的原则 将信息安全纳入电 网生产安全 建立了完善的信息安全规章制度 健全了信息安全管理 机制 加大信息安全资金投入 强化信息安全队伍建设 保障了信息 安全的执行到位 二 全局规划 典型设计 扎实落实信息安全等级保护制度 二 全局规划 典型设计 扎实落实