电力公司信息系统等级安全项目二级系统域建设方案

1、电力公司信息系统等级安全项目二级系统域建设方案1.1概述与建设目标二级系统域是依据等级保护定级标准将国家电网公司 应用系统定为二级的所有系统的集合，按分等级保护方法将 等级保护定级为二级的系统集中部署于二级系统域进行安 全防护，二级系统域主要涵盖与二级系统相关的主机、服务 器、网络等。省公司二级系统主要包括内部门户（网站）、对外门户（网站）、生产管理信息系统、协同办公系统、人力资源管 理系统、物资管理系统、项目管理系统和邮件系统等共8个二级系统，除对外门户外，其它七个内网二级系统需按二级 系统要求统一成域进行安全防护。二级系统域等级保护建设目标是落实信息安全技术信 息安全等级保护基本要求中二级

2、系统各项指标和要求，实 现信息系统二级系统统一成域，完善二级系统边界防护，配 置合理的网络环境，增强二级系统主机系统安全防护及二级 系统各应用的安全与稳定运行。针对信息安全技术信息安全等级保护基本要求中二 级系统各项指标和要求，保障系统稳定、安全运行，本方案 将二级系统域安全解决方案分为边界防护、网络环境、主机系统及应用安全四个层面进行安全建设。1.2网络安全网络安全建设目标省公司下属各地市公司网络安全建设按照二级系统要求进行建设，通过等级保护建设，实现如下目标：1）网络结构清晰，具备冗余空间满足业务需求，根据各 部门和业务的需求，戈扮不同的子网或网段，网络图 谱图与当前运行情况相符；2）各网

3、络边界间部署访问控制设备，通过访问控制功能 控制各业务间及办公终端间的访问；3）启用网络设备安全审计，以追踪网络设备运行状况、 设备维护、配置修改等各类事件；4）网络设备口令均符合国家电网公司口令要求，采用安 全的远程控制方法对网络设备进行远程控制。122地市公司建设方案根据测评结果，地市公司信息网络中网络设备及技术方面主要存在以下问题：5）网络设备的远程管理采用明文的Telnet方式；6）部分网络设备采用出厂时的默认口令，口令以明文的 方式存储于配置文件中；7）交换机、IDS等未开启日志审计功能，未配置相应的 日志服务器；8）供电公司内网与各银行间的防火墙未配置访问控制 策略；9）网络设备采

4、用相同的 SNMP 口令串进行管理；10）未开启网络设备登录失败处理功能，未限制非法登录 次数，当网络登录连接超时时未设置自动退出等措施；11）缺少对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查与监测措施；12）未限制网络最大流量数及网络连接数；13）未限制具有拨号访问权限的用户数量。针对以上问题，结合信息安全技术信息安全等级保护 基本要求给出相应整改方案如下：14）关闭防火墙、交换机和IDS的telnet服务，启用安全的管理服务，如 SSH和https。部分不支持 SSH的交 换机应在交换机上限制可telnet远程管理的用户地址，实施配置如下(以思科交换机为例)：Rout

5、er#config terminalRouter(config)#access-list 10 permit tcp 20 eq 23 any (只允许 20 机器 telnet 登录，如 需配置某一网段可telnet远程管理，可配置为：access-list 10 permit tcp 55 eq 23 any)Router(config)#line vty 0 4 (配置端口 0-4)Router(Config-line)#Transport input telnet (开启 telnet 协

6、 议，如支持ssh，可用ssh替换telnet)Router(Config-line)#exec-timeout 5 0Router(Config-line)#access-class 10 inRouter(Config-line)#endRouter#config terminalRouter(config)#line vty 5 15Router(Config-line)#no login(建议 vty 开放 5 个即可，多 余的可以关闭)Router(Config-line)#exitRouter（Config）#exitRouter#write15）修改网络设备出厂时的默认口令，且修

7、改后的口令应 满足长度大于等于 8位、含字母数字和字符的强度要 求，其它不满足此口令强度要求的，均应要进行修改部分楼层接入交换机，应及时修改口令；交换机应修 改其SNMP 口令串；防火墙口令应满足口令强度要求。交换机SNMP 口令串修改实施步骤如下（以思科交换机为例）：Router#config terminalRouter(config)#nosnmp-servercommunityCOMMUNIT 丫-N AME1RO（删除原来具有RO权限的COMMUNIT 丫-N AME1）Router(config)#snmp-servercommunityCOMMUNIT 丫-N AME RO（如需

8、要通过snmp进行管理，则创 建一个 具有读 权限的 COMMUNITY-NAME ， 若COMMUNIT 丫-N AME权限为RW则将命令行中RO更改为RW)Router(config)#snmp-server enable traps（允许发出Trap)Router(config)#exitRouter#write16) 交换机、IDS和防火墙等应开启日志审计功能，并配 置日志服务器保存交换机、IDS和防火墙的日志信息。 以思科交换机为例，日志审计和日志收集存储于服务 器实施配置如下：Route#config terminalRoute(config)#logging on(启用日志审计)

9、Route(config)#logging console notification(设置控制等级为 5 级：notification)Route(config)#!Set a 16K log buffer at information levelRoute(config)#logging buffered 16000 information (设置 其大小为16K)Route(config)#!turn on time/date stamps in log messagesRoute(config)#service timestamp log datetime msec local show

10、-timezoneRoute(config)#!set monitor logging level to level 6Route(config)#logging monitor informationRoute(config)#exitRoute#!make this session receive log messagesRoute#terminal monitorRoute#config terminalRoute(config)#logging trap information(控制交换机发出日志的级别为6级:information )Route(config)#logging 88(将日志发送到，如需修改服务器，可采用 删除，然后重新配置日志服务器)Route(config)#logging facility local6Route(config)#logging source-interface FastEthernet