信息安全建设技术规范(征求意见稿)

Q/Q/CSG云南云南电网公司企业管理制度Q/CSG118012-2011Q/CSG118012-2011云南电网公司云南电网公司发布技术规范（征求意见稿）2012-XX2012-XX-XX实施2012-XX-XX发布Q/CSG118012-2011前言为规范云南电网公司供电局信息安全建设工作，确保为各类信息系统应用提供高质量的信息安全保障，根据国家和电力行业有关规定，特制定本规范。本规范是云南电网公司信息安全建设工作的依据。本规范未包括的内容和指标要求，应按国家、电力行业有关规定的要求执行。当本规范与国家标准、电力行业标准及规范有矛盾时，应以国家标准、电力行业标准和规范为准。本规范由提出。本规范由归口管理。本规范由负责解释。本规范主要起草单位：。本规范协助起草单位：。本规范主要起草人：目录TOC\o"1-2"\h\z\u1适用范围 12规范性引用文件 13术语和定义 24符号和缩略语 25 供电局信息安全体系 35.1南方电网信息安全保障体系框架 35.2云南电网公司信息安全体系框架 46 供电局信息安全技术体系建设规范 66.1网络安全建设技术规范 66.1.2功能要求 66.2终端安全建设技术规范 96.3主机安全建设技术规范 136.4应用安全建设技术规范 166.5数据安全建设技术规范 177信息安全运行保障体系技术规范 197.1安全运维管理 197.1.1网络安全运维管理 197.1.2主机安全运维管理 197.1.3应用安全运维管理 197.2日常运行保障 207.3安全应急响应 207.4数据和系统备份 208其他要求 219附则 21附图一供电局综合网络的外部边界划分 22附图二供电局综合网络内部安全域边界 22附表三南方电网信息系统安全保护等级二级系统的控制项要求 22Q/CSG118012-2011PAGE24云南电网公司供电局信息安全建设技术规范1适用范围本规范是云南电网公司信息安全建设工作的规范性指导文件，适用于云南电网公司及所辖各单位信息化安全建设工作。2规范性引用文件下列文件中的条款通过本规范的引用而成为本规范的条款。凡注明日期的引用文件，其随后所有的修改单或修订版均不适用于本规范（不包括勘误、通知单），然而，鼓励根据本规范达成协议的各方研究是否可使用这些文件的最新版本。凡未注日期的引用文件，其最新版本适用于本规范。《中华人民共和国国务院147号中华人民共和国计算机信息系统安全保护条例》《公通字[2007]43号信息安全等级保护管理办法》《国家电力监管委员会5号令电力二次系统安全防护规定》《电监安全[2006]34号电力二次系统安全防护总体方案》《GB17859-1999计算机信息系统安全保护等级划分准则》《GB/T22239-2008信息系统安全等级保护基本要求》《GB/T22240-2008信息系统安全等级保护定级指南》《GB/T20269-2006信息安全技术信息系统安全管理要求》《GB/T20270-2006信息安全技术网络基础安全技术要求》《GB/T20271-2006信息安全技术信息系统通用安全技术要求》《GB/T20272-2006信息安全技术操作系统安全技术要求》《GB/T20273-2006信息安全技术数据库管理系统安全技术要求》《GB/T20282-2006信息安全技术信息系统安全工程管理要求》《GB/T19715-1.22005/ISO/IECTR13335:2000信息技术安全管理指南》《GB/T19716-2005/ISO/IEC17799:2000信息安全管理实用规则》《GB/T18336-2001/ISO/IEC15408-1999信息技术安全性评估准则》《信息安全技术终端计算机系统安全等级技术要求》《信息安全技术操作系统安全技术要求》《中国南方电网有限责任公司信息安全管理办法》《中国南方电网有限责任公司信息安全保障体系》《信产部等级保护指导意见《TC260-N0015信息系统安全技术要求》《美国国家安全局信息保障技术框架IATF3.1》《云南电网公司综合网络及综合网络安全建设规范》3术语和定义3.1安全域：指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的网络或系统，且相同的安全域共享一样的安全策略。3.2安全子域：指安全域内部根据接入方式、功能模块等进一步划分的具有相同属性的网络或系统，相同的安全子域共享一样的安全保护策略。3.3边界整合：指在保障系统的各种互联需求有效提供的前提下，对安全域的边界进行合理的整合，对系统接口进行有效的整理和归并，减少接口数量，规范系统接口。3.4接入域：指访问同类数据的用户终端构成接入域。3.5计算域：指为整个IT架构提供集中的安全服务，进行集中的安全管理、监控以及响应设施的集合构成计算域。3.6供电局综合网络：指云南电网公司地区级“企业网”，实现云南电网公司供电局办公、生产、营销等用户以及除调度一/二次系统以外的“综合”业务的网络互联服务提供。供电局综合网络包括地区应用系统网络、地区外部互联网、地区综合数据网以及地区局域网。4符号和缩略语bit/s：比特每秒Mbit/s：兆比特每秒Gbit/s：千兆比特每秒IPv6：InternetProtocolVersion6互联网协议第六版MPLSVPN：采用MPLS技术在骨干的宽带IP网络上构建IP专网的技术。PKI/CA:PublicKeyInfrastructure/CertificateAuthority

公钥基础设施/认证中心。供电局信息安全体系5.1南方电网信息安全保障体系框架5.1.1南方电网公司信息安全保障体系框架以“深度防护战略”理论为基础，强调安全组织、安全管理、安全技术和安全运行四个核心原则，突出基于安全评估、安全监管（包括安全审计、安全监控等）、应急响应和持续改进的安全运行保障，重点关注计算环境、区域边界、网络与基础设施等多个层次的安全保护，在遵循国家的信息安全政策法规及相关标准规范下，建立相对完善和全面的信息安全保障体系。如下图所示：三层结构三层结构政策法规标准规范安全防护保障安全组织安全技术安全管理安全运行保障安全评估应急响应安全监管持续改进安全防护对象计算环境区域边界网络与基础设施[网、省、地市]南方电网公司信息安全保障体系框架5.1.2南方电网公司信息安全保障体系框架主要包括安全防护对象、安全防护保障、安全运行保障等三个层面：一、安全防护对象安全防护对象包括计算环境、区域边界和网络与基础设施，安全防护对象是信息安全保障的目标。二、安全防护保障安全防护保障包括了安全组织、安全管理、安全技术三个方面，并结合、南方电网实际，提出安全组织要求、安全技术要求和安全管理要求，明确安全防护方案。三、安全运行保障安全运行保障是从系统安全运行的角度，利用安全防护保障中提供的组织、管理、技术等措施，从安全评估、安全监管、应急响应、持续改进等多个方面建立信息安全服务体系，确保南方电网公司网络与信息安全。5.2云南电网公司信息安全体系框架在南方电网信息安全保障体系框架下，根据云南电网公司实际情况，制定出云南电网公司信息安全体系框架，用于指导云南电网公司及所辖各单位综合网络安全的建设工作。云南电网公司信息安全体系框架如下图所示：云南电网公司信息安全体系框架5.2.1安全策略在云南电网公司信息安全体系框架中，安全策略是根本。安全策略与安全技术体系、安全组织和管理体系以及运行保障体系这三大体系之间的关系是相互作用的。一方面，三大体系是在安全策略的指导下构建的，将安全策略中制定的各个要素转化成为可行的技术实现方法和管理、运行保障手段，全面实现安全策略中所制定的目标；另一方面，安全策略本身也有包括草案设计、评审、实施、培训、部署、监控、强化、重新评估、修订等步骤在内的生命周期，需要采用一些技术方法和管理手段进行管理，保证安全策略的及时性和有效性。5.2.2安全技术体系安全技术体系是整个信息安全体系框架的基础，包括了网络安全、主机安全、终端安全、应用安全、数据安全和安全综合管理平台这六个部分，以安全策略为指导，从网络安全防护，主机系统安全防护，应用安全防护，终端安全防护，数据安全防护等多个层次出发，立足于现有的成熟安全技术和安全机制，建立起的一个各个部分相互协同的完整的安全技术防护体系。5.2.3安全管理体系安全组织与管理体系是安全技术体系真正有效发挥保护作用的重要保障，安全管理体系的设计立足于总体安全策略，并与安全技术体系相互配合，增强技术防护体系的效率和效果，同时也弥补当前技术无法完全解决的安全缺陷。5.2.4运行保障体系运行与保障体系由安全技术和安全管理紧密结合的内容所组成，包括了安全运维管理、日常运行保障、安全应急响应、数据系统备份等，运行和保障体系对于供电局网络和信息系统的日常维护和可持续性运营提供了重要的保障手段。供电局信息安全技术体系建设规范6.1网络安全建设技术规范6.1.1安全目标供电局综合网络安全须遵循南方电网信息系统安全等级保护第二级基本要求中的网络安全部分要求进行建设，必须全面覆盖第二级中的网络安全的控制项要求。供电局综合网络须确定外部边界，实现安全可靠的外部网络互联。供电局综合网络须确定内部安全域的划分，确保不同安全域用户/业务的安全访问，禁止低安全域的用户/业务非授权访问高安全域用户/业务。供电局综合网络须遵循全网统一的MPSLVPN划分原则，在同一安全域内部(综合数据网和局域网安全域)采用MPLSVPN技术实现不同用户端到端的安全隔离，确保从局域网用户到应用系统访问的安全。供电局综合网络须具备网络性能保护机制，防止对网络资源的滥用，确保网络资源的合理使用。供电局综合网络须具备网络接入认证的能力，确保只有授权的终端才能接入网络。6.1.2功能要求外部边界的安全隔离.1供电局综合网络的外部边界划分参见附图一，外部边界点为2个互联点，即①地区综合数据网和生产控制Ⅱ区网络系统的互联点，地区级综合数据网属于供电局综合网络，包括单向隔离装置在内的地区调度Ⅱ次系统属于生产控制Ⅱ区；②地区外部互联网和外部单位的互联点，地区外部互联网（包括地区外部互联网的安全防护设备）属于供电局综合网络。.2地区综合数据网和生产控制Ⅱ区网络系统的边界防护须实现物理隔离级别的安全控制，采用单向物理隔离装置实现边界的物理隔离。.3地区外部互联网和外部单位的的边界防护须实现安全的访问控制和入侵防御，阻止来自外部的非授权访问，检测和阻断对供电局网络的探测和攻击行为，确保边界的安全逻辑隔离。非授权的访问阻断事件和攻击防御事件须能输出至云南电网公司SOC系统，实现全网安全事件的关联分析和集中展现。内部安全域的边界防护.1供电局综合网络划分为三个安全域，即高安全级的地区应用系统网络安全域、中安全级的地区综合数据网、地区/县局域网安全域和低安全级的地区外部互联网安全域。供电局综合网络内部安全域边界参见附图二。.2供电局综合网络内部安全域的边界防护须实现安全的访问控制和入侵防御，阻止来自低安全域用户/业务的非授权访问，检测和阻断对地区应用系统网络的探测和攻击行为，确保边界的安全的逻辑隔离。非授权的访问阻断事件和攻击防御事件须能输出至云南电网公司SOC系统，实现全网安全事件的关联分析和集中展现。安全域内部的防护.1供电局综合网络相同安全域的用户/业务须采用VLAN、访问控制、MPLSVPN、网络设备的集成式安全技术等手段实现内部用户/业务的安全访问。.2地区应用系统网络内部须采用VLAN或防火墙等技术实现不同应用系统的安全隔离，遵循最小化访问原则，确保应用系统间的安全访问，避免内部系统间的无限制访问，防止内部安全事件通过“跳板”方式扩散。用于内部安全访问控制的防火墙可以和地区应用系统网络边界的防火墙共用。.3地区综合数据网、地区局域网和县级局域网采用MPLSVPN技术实现不同用户端到端的安全隔离，遵循全网统一的MPLSVPN划分原则，确保从局域网用户到应用系统的访问安全。.4地区综合数据网、地区局域网和县级局域网网络设备须具备丰富的集成式安全技术，实现对DHCP服务器假冒、IP欺骗、中间人欺骗和ARP欺骗等的防护。其中局域网网络设备的安全功能要求请参见《云南电网公司局域网建设技术规范》。网络性能保护.1供电局综合网络须具备对网络流量、应用访问等的统计分析功能，采用NetFlow、Netstream、Sflow等技术实现对网络流量和网络访问的采集分析、监测记录及审计。.2供电局综合网络须具备网络性能保护的能力，阻止PC终端的恶意软件和不符合云南电网公司绿色桌面要求的用户行为对网络资源的滥用，确保网络资源的合理使用和用户对内部应用系统的正常访问。网络接入控制.1供电局综合网络须实现用户PC的全面网络准入控制，实现和云南电网公司PKI/CA证书系统的全面集成，只有授权的用户才能接入网络，形成云南电网公司全网网络接入、应用系统访问统一的认证体系。网络准入控制方式宜采用中心集中认证方式。.2供电局综合网络准入控制须实现和终端安全技术要求的集成，只有符合终端安全规范的PC终端才能接入网络，确保端点安全。6.1.3产品及技术实现功能项功能需求技术要求外部边界的安全隔离.2单向隔离装置.3双向访问控制地址翻译及隐藏应用程序的安全检测入侵检测及防御（模式匹配、协议分析、异常检测、会话关联分析等）攻击特征库（国际CVE兼容性认证）告警、日志及报表的统计分析内部安全域的边界防护.21、双向访问控制2、地址翻译及隐藏3、应用程序的安全检测入侵检测及防御（模式匹配、协议分析、异常检测、会话关联分析等）攻击特征库（国际CVE兼容性认证）告警、日志及报表的统计分析安全域内部的防护.21、双向访问控制2、地址翻译及隐藏3、应用程序的安全检测网络性能保护.1基于Netflow的数据流量采集流量、流向的分析及展现.2流量清洗、控制及审计基于协议分析的用户行为控制、审计网络接入控制..21、和现有PKI/CA系统的集成，采用证书方式接入网络。2、实现终端安全状况的准入。6.2终端安全建设技术规范6.2.1安全目标供电局终端安全须遵循南方电网信息系统安全等级保护第二级基本要求中的主机系统安全部分要求进行建设。供电局终端安全须全面满足《信息安全技术终端计算机系统安全等级技术要求》的安全控制项要求，覆盖终端的恶意代码防护、入侵防护、资源控制、访问控制、安全审计等内容。供电局须建设统一的终端安全管理体系，准确掌握终端的软硬件资产、终端健康性、终端使用情况等信息，规范终端的各类访问、操作及使用行为，确保接入终端的安全合规、可管理、可控制、可审计，实现终端的集中、统一、规范化管理，减少维护人员的工作量，提升终端管理维护的水平及效率。6.2.2功能要求桌面终端须具备终端初始化功能，根据策略对终端进行操作系统配置和操作系统定制，提高系统的安全性。桌面终端须具备资产管理功能，实现对全网PC软硬件资产的统一管理和统计分析。桌面终端须具备软件分发功能，按地区进行软件的统一分发和安装。桌面终端须具备补丁管理功能，实现实时的操作系统及应用软件的安全补丁加固，确保安全漏洞第一时间得到修补。补丁管理须实现全网统一管理功能，分地区汇总终端补丁的修补情况。桌面终端须具备防病毒能力，实现对病毒及恶意代码的查杀，病毒特征库须做到即时更新。防病毒功能须实现全网的统一管理、策略定制、病毒感染及查杀情况的集中监控和统计分析，防病毒事件须能输出至云南电网公司SOC系统和安全网站，实现和SOC系统的集成以及WEB主页的自动发布。桌面终端须具备基于状态检测的个人防火墙功能，阻止非授权的外部访问，实现网络蠕虫病毒的防护。个人防火墙须能实现统一的管理和策略定制，成为企业防病毒战略的一个组成部分。桌面终端须具备PC行为监控能力和审计功能，实现对非法外联检测和应用软件使用控制功能。桌面终端须具备数据防泄漏的能力，实现对终端的各种移动存储介质和端口的控制，阻止机密数据通过拷贝、网络等非授权方式的扩散。防泄漏策略由企业统一定制下发并强制执行，并实现和云南电网公司文档加密系统的集成，确保机密数据必须使用企业文档加密系统进行加解密。桌面终端须具备文档加密的能力，可实现对机密的常用文档的加密和离线保护功能。0桌面终端须具备向云终端扩展的能力，在必要的条件下可进行终端虚拟化的操作。6.2.3产品及技术实现功能项功能需求技术要求终端标准化管理提供全自动化的系统部署解决方案，包括：标准的镜像文件制作批量OS系统分发自动的系统配置及修改个性化数据迁移返回；支持WindowsXP/Vista/Win7、Mac、Linux等主流操作系统平台；并支持Vmware、Microsoft、Citrix虚拟环境；支持多种引导方式：PXE、USB/CD-ROM、硬盘引导区方式引导没有系统的计算机，提供Linux、DOS、WinPE的引导方式；提供远程维护和对话功能，并提供维护操作审计

终端资产管理自动收集终端的软、硬件资产清单信息，并提供查询和统计分析功能；实时监控终端的软、硬件变更信息，并且提供监控通知及告警；实时监控终端的运行状态，如CPU、内存、硬盘空间等，并且提供监控通知及告警；终软件分发管理支持各类软件、应用程序的自动分发及安装功能；提供软件虚拟化功能，确保应用程序间的兼容性；支持端点续传及带宽控制功能；补丁管理功能支持操作系统及部分主流应用软件、程序补丁的自动检测、分发、及更新功能；提供补丁的测试及验证流程，确保补丁的安全性；支持端点续传及带宽控制功能；终端病毒防护提供针对各类病毒、蠕虫、后门、木马及其它恶意代码的主动查杀及实时防护能力；提供主机入侵检测及防护功能，主动防护各种攻击入侵及零日漏洞威胁；支持最新的云杀毒、行为检测技术，有效防范各类最新及未知风险；主机防火墙支持基于数据包过滤及状态检测的防火墙控制规则，也可支持基于应用程序指纹的防火墙检测控制规则；可以根据终端的环境及处所变化，自动匹配及切换防火墙规则终端监控及审计提供针对终端的外设使用、网络互连及应用程序运行状态的实时监控及审计功能；能够对系统中硬盘、光驱、软驱、USB设备、PCMCIA设备、红外、1394火线、SCSI、并口、串口等设备和接口进行管理和控制；能够识别和控制系统中使用3G上网卡、CDMA1X上网卡、智能手机进行互联网访问行为桌面数据防泄漏支持针对终端各类敏感数据操作及使用行为的检测及保护，如U盘拷贝、打印、传真、http、mail传输等；支持各类各类文档及数据类型，如doc、pdf、excle、visio、txt、jpg等，包括各类设计图纸、源代码等数据类型；支持关键字、正则表达式、数字标识符及文档内容匹配等多种敏感数据的检测及识别技术；终端文档管理提供针对重要文档的加密保护功能；支持各类常用文档及数据类型，如doc、pdf、excle、visio、txt、jpg等；0云终端扩展桌面终端须具备向云终端扩展的能力，在必要的条件下，终端操作系统及各类应用应具备迁移到虚拟化环境的能力；各类终端管理及防护技术须支持Vmware、Citrix、Hyper-v等主流虚拟化技术及平台；6.3主机安全建设技术规范6.3.1安全目标供电局主机安全须遵循南方电网信息系统安全等级保护第二级基本要求中的主机系统安全部分要求进行建设，全面覆盖第二级基本要求中主机安全的控制项要求。供电局主机安全须对重要系统主机的安全状态、安全配置、安全防护技术等进行严格的保护及控制，通过主机安全防护体系的建设，实现以下管理及安全防护目标：主机集中监控与运维管理：对物理和虚拟服务器进行监控和生命周期管理，提高服务器的运维管理水平及能力；主机安全防护：对服务器的安全配置、安全状态进行定期检查，对入侵攻击进行主动检测及实时防护，提升服务器自身的安全防护级别及能力6.3.2功能要求主机系统须具备补丁管理功能，在不影响主机应用的条件下实现操作系统及主要应用软件的安全补丁加固，确保安全漏洞得到及时修补。主机系统须具备防病毒能力，实现对windows平台主机病毒及恶意代码的查杀，在不影响主机应用的条件下病毒特征库须做到即时更新。防病毒功能须实现统一管理、策略定制、病毒感染及查杀情况的集中监控和统计分析，防病毒事件须能输出至云南电网公司SOC系统，实现和SOC系统的集成。主机系统须具备进程管理功能，实现对主机系统进程的实时监控，对未知新增进程的告警。主机系统须具备对关键配置文件监控功能，监控配置文件的创建、修改、删除以及差异性的变化，包括权限变更等。主机系统须具备网络端口管理功能，实现网络访问的实时监控，包括进出端口、调用的协议等。主机系统须具备入侵检测与防御功能，实现对各种已知入侵行为的检测和防护及主机进程访问的控制，并在发生严重入侵事件时提供报警。安全事件须能输出至云南电网公司SOC系统，实现和SOC系统的集成。主机系统的主要安全配置须满足南方电网和云南电网公司安全基线配置要求。主机系统须能收集和分析操作系统和主要应用程序的安全日志，以及系统的主要安全事件，输出至云南电网公司SOC系统，实现和SOC系统的集成。主机系统须具备数据防泄漏的能力，阻止机密数据通过拷贝、网络等方式的非授权扩散。6.3.3产品及技术实现功能项功能需求技术要求补丁管理支持不同主机操作系统及主流应用软件、程序补丁的自动检测、分发、及更新功能；提供补丁的测试及验证流程，确保补丁的安全性；支持端点续传及带宽控制功能；病毒防护支持对已知恶意软件的检测和查杀支持基于文件信誉度和基于程序行为分析的技术，以查杀未知的恶意软件进程管理须能够实时收集主机的进程列表信息；须提供主机进程白名单功能，甄别系统正常业务进程因能够提供进程异常中止、新增未知进程、僵死进程等异常情况的实时监控及告警端口管理须能够实时收集主机的端口开放及监听列表信息；须提供端口及进程、程序之间的映射关系；须能够提供端口关闭、新增、连接等异常情况的实时监控及告警；能提供常见的木马、后门端口监控及告警关键配置文件保护对操作系统及应用服务的关键配置文件及目录，提供变更监控及审计功能，包括文件的创建、修改、删除以及内容差异性的变化，包括权限变更等提供针对非法变更的阻止及保护功能，阻止攻击者对系统的恶意篡改和维护人员的误操作；支持基于用户及程序的例外设置，保证正常业务及系统变更对文件及目录的正常修改变更请求；主机入侵检测及防护支持对服务器和各种应用的监控以避免企业资源被攻击、滥用和误用，如果这些系统遭到攻击或威胁，基于主机入侵检测系统可以立即通知管理员或采取预先设置好的响应措施以避免信息的丢失和破坏；支持对操作系统和应用程序进程都创建基于行为的“虚拟”Shell，监控对内核的系统调用并根据用户定义的策略允许或拒绝对系统资源的访问；能实时监控用户对主机上文件和应用的访问及程序运行，并这些主机资源对照用户的身份和权限要求进行控制，针对各个进程设定ACL，可以限定允许访问的网络地址，开放访问的时间以及访问权限等；主机安全基线管理须支持对云南电网公司主机安全配置基线要求内容的自动合规检查；须提供其它主要法律法规、行业规范所要求的检查内容的检查策略及模板；须具备由用户灵活增加及自定义合规检查项的能力；须支持agent和远程检查2种检查方式主机安全日志管理支持对各类操作系统、应用及网络及安全设备安全事件、安全日志的集中收集及分析处理能力；支持非标准设备、系统日志的管理能力，提供图形化的收集器开发程序，可以简单、方便的完成对未知设备完成定制开发；能够对海量的原始日志信息归并、过滤、及汇总统计分析，并提供关联分析能力；所有的安全事件、日志，可纳入省公司SOC进行集中管理。主机数据防泄漏支持针对主机存储的各类敏感数据的扫描及发现；支持对敏感数据上传、下载及访问的行为的检测及发现；支持各类各类文档及数据类型，如doc、pdf、excle、visio、txt、jpg等，包括各类设计图纸、源代码等数据类型；支持关键字、正则表达式、数字标识符及文档内容匹配等多种敏感数据的检测及识别技术；6.4应用安全建设技术规范6.4.1安全目标供电局应用系统安全须遵循南方电网信息系统安全等级保护第二级基本要求中的应用安全部分要求进行建设，全面覆盖第二级基本要求中应用安全的控制项要求。供电局应用系统安全建设须按照南方电网4A体系建设要求，建立统一的帐号、认证、授权和审计系统。6.4.2功能要求主要应用系统须实现基于云南电网公司PKI/CA数字证书体系的用户身份认证，并按照南方电网4A体系建设要求实现统一帐号、统一认证、统一授权、统一审计的应用系统安全体系，确保本地应用系统的信息安全。6.4.3产品及技术实现功能项功能需求技术要求4A体系建设统一帐号、统一认证、统一授权、统一审计6.5数据安全建设技术规范6.5.1安全目标供电局数据安全须遵循南方电网信息系统安全等级保护第二级基本要求中的数据安全部分要求进行建设，全面覆盖第二级基本要求中数据安全的控制项要求。6.5.2功能要求终端、主机须具有数据防泄密功能，须能够主动扫描、识别及发现敏感数据在企业内部的存放位置、类型及格式。对敏感数据的各种访问、传输及使用行为，提供实时监测及审计功能，如U盘拷贝、打印传真、http、ftp上传下载、mail、IM发送等。对可疑的敏感数据泄漏行为，提供实时阻断、通知提示及告警功能。对重要文件及数据，提供文件加密功能。主要数据库系统须具备数据存储加密与完整性保护功能，采用密码技术对数据库及数据字段进行存储加密，保证数据库数据存储的保密性和完整性，防止数据的非授权访问和修改。网络设备、操作系统、数据库管理系统和应用系统的鉴别信息、敏感的系统管理数据和敏感的用户数据须采用加密或其他有效措施实现传输保密性。6.5.3产品及技术实现功能项功能需求技术要求敏感数据检测发现支持对所有windows终端及各类文件服务器、数据库、web站点和其它数据存储库中数据的扫描及检测功能；支持多种扫描方式，包括无代理扫描基于Windows代理进行扫描基于系统开发的相关扫描程序进行扫描支持关键字、正则表达式、数字标识符及文档内容匹配等多种敏感数据的检测及识别技术；支持各类各类文档及数据类型，如doc、pdf、excle、visio、txt、jpg等，包括各类设计图纸、源代码等数据类型；敏感数据使用监控支持针对终端上的敏感文件读取、修改、剪贴、保存动作的监控及审计；支持针对主机上敏感数据打印传真、U盘拷贝、蓝牙传输等行为的监控及审计支持http、ftp上传下载、mail发送、MSN、QQ等应用程序传输敏感数据行为的监控及审计；可以自行添加及设置需要监控的协议及应用程序；可以根据IP地址、主机名、文件类型、协议、邮件发送及接受账户等灵活设置白名单过滤；敏感数据泄漏保护能阻止敏感数据的U盘拷贝、打印传真、网络传输等行为；能隔离及修改文件服务器中敏感文件及数据；对敏感数据泄漏行为，可以弹出提示框通知用户或者邮件通知给相关管理人员；可以根据IP地址、主机名、文件类型、协议、邮件发送及接受账户等灵活设置白名单过滤；文档加密及管理提供针对重要文档的加密保护功能；支持各类常用文档及数据类型，如doc、pdf、excle、visio、txt、jpg等；数据库存储加密主要数据库系统的敏感数据须加密保存身份鉴别信息加密传输重要系统及应用的远程访问登录须采用加密协议，或者身份鉴别信息须加密后传输7信息安全运行保障体系技术规范7.1安全运维管理7.1.1网络安全运维管理网络系统运行维护管理须整体实现全网统一的操作认证、授权、审计功能，确保运维操作的安全。网络系统的运行维护管理须采用动态密码（硬件令牌）方式进行设备维护操作认证，并实现操作命令的加密传输，确保只有授权的用户才能对网络设备进行维护管理。网络系统的设备管理员须具备合适的设备操作权限，权限至少为二级，并和操作命令对应，设备管理员在正确的权限下操作，禁止超越其权限的任何管理维护操作，确保只有授权的操作才能被执行。网络系统的运行维护操作都须被审计，审计内容包括操作命令、操作人、操作时间等，确保授权的用户做授权的操作。7.1.2主机安全运维管理主机系统须按照南方电网4A平台建设要求，实现统一的操作认证、授权、审计功能，确保主机系统的安全运维管理。7.1.3应用安全运维管理应用系统须按照南方电网4A平台建设要求，实现统一的操作认证、授权、审计功能，确保应用系统的安全运维管理。7.2日常运行保障7.2.1安全评估供电局须按照云南电网公司安全评估要求定期对网络、终端、主机、数据库等进行安全评估。供电局须配置安全评估工具，对系统安全漏洞、安全基线符合情况、安全配置标准化等内容进行安全评估。供电局安全基线和安全配置标准化参照《云南电网公司信息系统安全基线规范》和《云南电网公司信息系统配置标准化规范》（待制定）。7.2.2安全加固供电局须按照安全评估结果及时对安全漏洞、安全隐患等进行整改，满足系统运行安全要求。安全加固宜由专业系统工程师或安全工程师在确保系统正常运行的前提下完成。7.3安全应急响应7.3.1供电局按照《中国南方电网有限责任公司信息安全报送管理办法》、《云南电网公司网络及网络安全应急预案》执行。7.4数据和系统备份7.4.1备份策略制定供电局须按照云南电网公司数据备份要求，根据供电局业务系统的重要性及恢复成本，制定备份策略和恢复目标，恢复目标包括可容忍的数据丢失量和可容忍的系统恢复时间（RPO/RTO）。在备份策略中须包含备份方法、备份频率以及备份数据保存时间等内容。7.4.2备份要求供电局须按照备份策略定期备份服务器的各种数据，包括操作系统、数据库、文件等。备份工具须支持供电局各种类型的操作系统、数据库和应用、带库等存储介质厂商，并具备重复数据删除功能。备份部署方式须支持SAN客户端技术，备份数据通过SAN客户端经光纤通道到备份设备的高速传输；支持Vmware/Hyper-V等主流虚拟化环境的备份，可以跨越物理机和虚拟机实现重复数据删除；支持备份传输加密和磁带介质加密。系统的数据备份介质根据数据重要程度，须实现异地存放。异地备份数据至少要包括全部业务系统原始数据和恢复系统必须的静态数据。7.4.3备份数据恢复供电局须具备在发生极端灾难时及时恢复重要数据的能力。数据恢复须支持UNIX（AIX、HP-UX、Solaris、Linux）、Windows、Oracle等平台，在通过灾难恢复磁带将整个系统迅速恢复，无需重新安装操作系统、驱动程序、应用系统。8其他要求8.1供电局信息安全设备及信息系统上线须经过云南电网公司安全测评实验室的入网测试。8.1本规范覆盖的南方电网信息系统安全保护等级二级系统的控制项要求参见附表三。9附则9.1本规范由负责解释。9.2本规范自颁布之日起执行。附图一供电局综合网络的外部边界划分附图二供电局综合网络内部安全域边界附表三南方电网信息系统安全保护等级二级系统的控制项要求安全保护等级安全类型控制项编号控制项控制点说明是否满足具体条目安全等级保护

第二级网络安全G2结构安全应保证关键网络设备的业务处理能力具备冗余空间，满足业务高峰期需要满足G2结构安全应保证接入网络和核心网络的带宽满足业务高峰期需要满足G2结构安全应绘制与当前运行情况相符的网络拓扑结构图满足G2结构安全应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段满足G2访问控制应在网络边界部署访问控制设备，启用访问控制功能满足G2访问控制应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级满足G2访问控制应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户满足G2访问控制应限制具有拨号访问权限的用户数量满足G2安全审计应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录满足G2安全审计审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息满足S2边界完整性检查应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查满足.2G2入侵防范应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等满足...2G2网络设备防护应对登录网络设备的用户进行身份鉴别满足G2网络设备防护应对网络设备的管理员登录地址进行限制满足G2网络设备防护网络设备用户的标识应唯一满足G2网络设备防护身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换满足G2网络设备防护应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施满足G2网络设备防护当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听满足主机安全S2身份鉴别应对登录操作系统和数据库系统的用户进行身份标识和鉴别满足S2身份鉴别操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换满足S2身