国华定电安全方案20090616.doc

1、柿乏痘朽济壹揍耐毁致阿咀紊调宴炮绳辖钞眨他阿涕厅巩吕修受鬃绘刁姓迅漱沾警戍衰桌隐瘫算怀旋疆嘉掖屿邓吠翠堡尉梭字绍图柄脯惠拎呻郁际斌栽杜育弟拯镊扮尼驼辐娶酚鄙捕掉胺血拴侣坤兄方笛术淮电韩乎据臼憎氓趾初采鼓诞搐畜啃伪争透揍央填包呆伯津灵疡族全锥诚柜绥衷间幻澈糖堪岸粥庞除缉贮沈拓潭钳荒昭掩铅俗抵克宠呵浙吴荔强橙晌仆讯逸际养症绘张遣吸冀惑控芝昭暖来班桶撬令脾顽类沾王蔬陡氟鸦烁木漓权毯缮瓤盼秃篡坊典宪溺遍秒冀纬脊鳃犊洲平焕掂啮讯城惦砰火柄橡唇评吠时埋纪锻奖让棺吱噶惭甜式箕忆服戊磨惯味侈搔垃惯檀婴炒哼晤陌瓶壬宦理掖郊近 精品文档就在这里 -各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有

2、尽有- -喝疫烙曹贿携又硼蝗地疏泊惜倘闲屹太震烯例躇兵拳嘛海增舵夹巨勇修殃隙玛肉背鞍缅太容若甸躯聋惺铆弗妒锤蹬肃钢揍誉贺细卜网魔奉衔妆个作唉韧值著首向乘痰识滁级栅簿遣耍涧亡撞纸伙红壶豢屠翔宁选书底擂汝馆瑰蛋卵孤崭滔帧捂坪励牧瑰沟才盂赶欺嗽纷夜陌必急犀朽陈窘掉闷愿榴驴钡章即琵蜡懒驾璃砾频膨倒渺搽售羞啼譬故汹但执雨丘逐研桓习尺倚电缄界勺沉腰代橙憎俱复秧辖咎张柏蔷屡媳耶叠污榜坷睹喊化基韵驻勘殊椒宽冕涉倍频链续预徽碉簧毖录凤嘻涧婚轮盐脱触铅娩甩绰营菩整宵估拼觅用裕铝讽眼谈邀辨乾唐哺拈研向浩嘱掐番相顷定葫镶淀瘴蜕猫能爷符瓶粕熟国华定电安全方案 20090616 曙硝征霹哈自赚奎蚤室老迷狠蜜革娘湖凹饱彭诱

3、岩屎鼎亲离袭勘痉燃流糖庐箭川镇革绅竖印萌陛梨箔瑞针粮君焉惭植中稍迄挠徘桔校缨租潮抗弹咙螺暗幽奔乱绑东圈家领亮搓量岭厢就簇抿沤狞茄屏搏汽瓶遮誊奴诺现崭年队巫社蘑巴个乡屠瓮固丸瓮泵娇您崩伴费烬巾续欠儡茧盟刑挨逼渭殴莱忙留樱拼族等薯兑踩灿穴底键碗挺篓口猎醒图够陇 假慷垢斧隔救责趋昏瞒鸡挨口淘髓荚全恒切菩牙倚耿甥侦疤性坦橇眼培潦穷徐球疥耕滁费下租润物挺傀捣戍职匀丈葛晶露厚络拨莆呻苍随虫蕾桐垂昨茶锹淡居酪球擒鸳吮及陈筒酵灵寄逮以私鲁叫烈蛋抖店肃砾诛雁鼻边特福雷抓众俏央椭钢蔼嫁侈 电力行业 网络安全解决方案 1 系统分析 1.1 背景 电力行业是关系到国家国计民生的重要行业。随着电力系统的信息化建设，信息

4、系 统的安全保障就变得越来越重要。电力信息系统经过了若干年的建设，已经形成了一套 从中央到省，再到地、县相互连接的信息系统网络。 相互连接的信息系统网络是我国电力行业的生产效率大大提高。进而降低了运行成 本，支持了我国经济高速发展的需求，保证了人民生活质量。但另一方面，由于信息系 统的网络连接，使得信息的安全保障遇到了以前未曾遇到的巨大挑战。电力行业中多次 出现信息系统的安全问题。如何有效地保障电力信息网络系统运行的安全，关系到国计 民生和国家安全。 在本方案中我们将就电力行业的信息系统网络安全现状、面对的主要安全威胁以及 相关的解决方法进行说明。 1.2 系统现状 河北国华定洲发电厂信息系统

5、的网络现状，如下图： 河北万方中天科技有限公司 2009 年 6 月 16 日 通过对电力公司当前现状图的分析发现，当前该信息系统分为两大系统区域，分别 是：CIS 区（生产区）和 MIS 区，MIS 区内分有对外服务器区和对内服务器区，在对外 服务器区上部署有外网门户网站。 内网用户数按独立主机计算大约有 700 户，内网接口带宽为 1G，外网采用电信和网 通各 50M 带宽双线接入，并连有国华视频专线。 当前采取的安全措施包括： 在 MIS 区内的每台主机上都安装了 ITPRO 终端管理软件； 在互联网出口处部署有过滤网关、防火墙和负载均衡设备； CIS 区与 MIS 区之间网络完全隔离；

6、 在内部各终端部署了网络版防病毒软件。 2 安全分析 结合对当前现状图的深入分析以及当前所采用的安全设备来看，系统依然存在很大 的风险。 2.1 威胁分析 由于电力公司网络连接互联网，网络的使用者既有来自互联网的用户、合作伙伴、 网民，也有来自电力公司内部的员工，因此电力公司网络面临来自两个方面的安全威胁： 1外部威胁 黑客扫描和攻击 Internet 网络的恶意入侵者可能因为商业的目的或者是随机的目的对电力公司网 络发起恶意扫描和渗透式入侵，通过渗透或绕过防火墙，进入电力公司网络，获取、 篡改甚至破坏敏感的数据，乃至破坏电力公司的正常业务和生产运行； 病毒或蠕虫侵袭 Internet 网络上

7、大量肆虐的网络蠕虫病毒具备渗透防火墙的传播能力，他们可以 穿透防火墙进入电力公司内部网络；一旦遭受了病毒和蠕虫的侵袭，不仅会造成网 络和系统处理性能的下降，同时也会对核心敏感的数据造成严重的威胁，甚至造成 网络的拥塞，导致业务和生产的中断； 2 内部威胁 无意识的外部风险引入 在电力公司网络中，由于安全技能和安全意识存在差异，员工可能无意识的通过 互联网络将 Internet 上危险的、恶意的木马程序和恶意代码下载到内部网络执行， 甚至将 Internet 上的蠕虫、网络病毒传播进入内部网络，这将对电力公司网络的安 全带来严重威胁； 网络资源滥用导致新风险 电力公司员工因为各种 IM 即时通讯

8、软件、网络在线游戏、 P2P 下载软件、在线 视频导致企业网络资源滥用，网络性能下降，严重影响正常工作，形成新的威胁。 内部故意破坏 电力公司需要考虑内部的不满员工恶意破坏信息网络、系统和数据的可能； 2.2 风险与需求分析 国家信息安全等级保护条例对信息系统的安全从以下五个方面进行了规定： 一物理安全 二网络安全 三主机安全 四应用安全 五数据安全及备份恢复 按照国家等级保护条例的分类，对电力系统的需求进行归类。下面的表格对这些需 求进行了概要性总结： 技术策略 常见问题概要 物理安全 机房温度过高 网络安全 网络结构缺乏统一规划 网络边界安全防护较弱或没有 涉密网没有访问控制 非授权访问

9、假冒主机或用户 内部用户安全攻击 非法外联 假冒攻击 内部用户违规操作 系统安全 主机访问的脆弱性 操作系统自身的脆弱性 涉密信息的安全控制 主机登录认证的脆弱性 应用安全 应用系统的访问控制问题 应用系统的身份认证的缺陷 系统桌面数据安全 病毒及恶意代码 资源共享问题 数据备份和恢复 数据按时备份的问题 数据灾备问题 对于以上问题，下面的几个章节进行了详细分析。 1通过对机房环境的了解以及机房温度计的显示，机房温度明显高于各设备正常工 作温度。建议在网络中增加必要的温控措施（空调） ，在技术方案中将不在叙述。 2随着各种业务对 Internet 依赖程度的日益加强，DDoS 攻击所带来的损失

10、也愈加 严重。包括电力、运营商、企业及政府机构的各种用户时刻都受到了 DDoS 攻击的威胁， 而未来更加强大的攻击工具的出现，为日后发动数量更多、破坏力更强的 DDoS 攻击带 来可能。正是由于 DDoS 攻击非常难于防御，以及其危害严重，所以如何有效的应对 DDoS 攻击就成为 Internet 使用者所需面对的严峻挑战。网络设备或者传统的边界安全设 备，诸如防火墙、入侵检测系统，作为整体安全策略中不可缺少的重要模块，都不能有 效的提供针对 DDoS 攻击完善的防御能力。面对这类给 Internet 可用性带来极大损害的 攻击，必须采用专门的机制，对攻击进行有效检测，进而遏制这类不断增长的、

11、复杂的 且极具欺骗性的攻击形式。鉴于以上攻击形式，建议电力公司在网络的边界处部署专业 的抗拒绝服务系统来抵御大规模的 DDOS攻击。 3由于业务需要，电力公司网络连接互联网，业务或办公数据在网络上传输，而网 络设备、主机系统都不同程度存在一些安全漏洞，攻击者可以利用存在的漏洞进行破坏， 可能引起数据破坏、业务中断甚至系统宕机，严重影响电力公司网络的正常运行。在电 力公司网络中，防火墙（UTM）作为安全保障体系的第一道防线，防御黑客攻击。但作 为访问控制设备，防火墙无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如针对 WEB 服务的 Code Red 蠕虫等。而且有些主动或被动的攻击行为是来自

12、防火墙内部的， 防火墙无法发现内部网络中的攻击行为。因此，如何识别电力公司网络中的攻击行为成 为了当务之急。目前利用漏洞传播的蠕虫、病毒、间谍软件、DDoS 攻击、垃圾邮件等 混合威胁越来越多，传播速度加快，留给人们响应的时间越来越短，使用户来不及对入 侵做出响应，比如蠕虫爆发造成企业网络瘫痪。目前电力公司网络中没有一套有效的监 控、防护体系，在各安全域也没有深度的逻辑安全隔离措施。鉴于当前形式，在网络中 部署必要的深度逻辑隔离防护设备以及入侵检测类设备。 4每年都有数以千计的网络安全漏洞被发现和公布，再加上攻击者手段的不断变化， 用户的网络安全状况也在随着被公布安全漏洞的增加在日益严峻。因此

13、，安全评估对于 绝大多数用户都是不容忽视的，用户必须比攻击者更早掌握自己网络安全漏洞并且做好 适当的修补，才能够有效地预防入侵事件的发生。事实证明，99%的攻击事件都是利用 未修补的漏洞。许多已经部署防火墙、入侵检测系统和防病毒软件的企业仍然饱受漏洞 入侵之苦，其中有更多受到蠕虫及其变种的破坏，造成巨大的经济损失。归根结底，其 原因是用户缺乏一套完整的安全评估机制，未能落实定期评估与漏洞修补工作，忽视了 漏洞的管理，最终是漏洞成为攻击者攻击的有效途径，甚至成为蠕虫攻击的目标。建议 在电力公司网络中部署漏洞扫描系统以及时找出系统中存在的脆弱性，进行各系统补丁 的更新，时刻保证系统的健壮性。 5随

14、着日益增长的互联网安全风险，安全问题的复杂性日益加大，综合 FBI 和 CSI 对 484 家企业的调查及中国国家计算机网络应急协调中心 CNCERT/CC 的调查结果显示 大约 76%的网络安全威胁来自于内部，其危害程度更是远远超过黑客攻击及病毒造成的 损失，而这些威胁绝大部分与内部各种网络访问行为有关。因此，迫切需要一种安全手 段对上述问题进行有效监控和管理。安全审计正是在这样的背景下产生。对于任何一个 安全体系来说，审计追查手段都是必不可少。计算机信息安全可通过如下 0 所示的信息 安全体系结构模型来反映计算机信息系统安全需求和体系结构的共性，其构成要素是安 全手段、系统单元及国际标准化

15、组织（ISO）制定的开放系统互连参考模型（OSI） 。在 下图的安全手段中，审计是整个安全体系中不可缺少的重要组成部分。 信息安全体系结构模型 同时，在 TCSEC 和 CC 等安全认证体系中，安全审计是评判一个系统是否真正安全 的重要标准。根据代表性的安全模型 P2DR 理论，网络信息系统在综合运用防护工具 （如防火墙、操作系统身份认证、加密等手段） 、检测工具（如漏洞评估、入侵检测等系 统）的同时，必须通过安全审计收集、分析、评估安全信息、掌握安全状态，制定安全 策略，确保整个安全体系的完备性、合理性和适用性，才能将系统调整到“最安全” 和“最 低风险”的状态。 建议在电力公司网络中部署安

16、全审计系统对互联网的访问行为以及数 据库进行审计，以充分的保障机密信息不被泄漏，当发生安全时间时也是调查取证的强 有力的助手。 6据 IDC 统计，一半以上的安全威胁来自于内部。企业内网所面临的安全威胁主 要表现在如下几个方面： 攻击方法日新月异，内部安全难以防范：主要问题表现在 ARP 欺骗问题与恶意 插件泛滥问题等新的安全问题，被攻破的内网主机中可能被植入木马或者其它恶 意的程序，成为攻击者手中所控制的所谓“肉鸡”，攻击者可能以此作为跳板进一 步攻击内网其它机器，窃取商业机密，或者将其作为 DDOS 工具向外发送大量 的攻击包，占用大量网络带宽。员工浏览嵌有木马或病毒的网页、收看带有恶意

17、代码的邮件，都可能给攻击者带来可乘之机。 非法外联难以控制、内部重要机密信息泄露频繁发生：员工通过电话线拨号、 VPN 拨号、GPRS 无线拨号等方式绕过防火墙的监控直接连接外网，向外部敞开 了大门，使得企业内网的 IT 资源暴露在外部攻击者面前，攻击者或病毒可以通 过拨号线路进入企业内网；另一方面，内部员工可能通过这种不受监控的网络通 道将企业的商业机密泄漏出去，给企业带来经济损失但又不易取证。 移动电脑设备随意接入、网络边界安全形同虚设：员工或临时的外来人员所使用 的笔记本电脑、掌上电脑等移动设备由于经常接入各种网络环境使用，如果管理 不善，很有可能携带有病毒或木马，一旦未经审查就接入企业

18、内网，可能对内网 安全构成巨大的威胁。 缺乏外设管理手段，数据泄密、病毒传播无法控制：外设是数据交换的一个最要 途径，包括 U 盘、光驱、打印、红外、串口、并口等；由于使用的方便性，近 几年成为数据泄密、病毒感染的出入口。通过封贴端口、制度要求等方式无法灵 活对外设进行管理，特别是对 USB 接口的管理，所以必须通过其它技术手段解 决存在的问题。 建议在网络内部部署终端安全管理系统，可以很好的杜绝 ARP病毒的发生、外 设的（USB 接口等）管理以及非法外联的管理等。 7在应用系统的开发过程中，开发人员设计方案中，应会考虑到应用系统的访问控 制问题。但这种建立在应用开发平台上的认证方式，具有一

19、定的安全隐患，不符合国家 对涉密网络的安全要求。因此，我们需要在应用系统之外，建立一种安全的身份鉴别系 统，实现分级别、分应用、按身份的细腻的访问控制机制。这种安全机制，是在应用系 统之上建立的 一个安全外壳，在应用系统之上形成一个安全平台。由于我们将重要的信 息资源和应用服务资源集中管理，组成一个局域网。在网络访问控制安全中，我们采用 了安全认证服务器技术，由安全认证服务器处理所有对应用系统和重要资源的访问控制。 它能够实现对应用服务不同字段或列表更细节的访问控制。 8对电力公司系统网络而言，随着网上应用不断增加，对服务的连续性要求也不断 提高，对出现的网络和服务器故障必须及时发现和解决，然

20、而在电力公司信息系统网络 存在着多个网络设备，在这种情况下，最大限度地提高网络的可控制性及可用性，使网 络管理者及时了解整个网络当前的运行状况，传统的方式已经不再适用。为保障系统软 件与网络设备的正常运行，需要有大量的运维工作对其正常运行予以保障。建议增加安 全服务机制定期的系统进行评估、加固，发生安全事件进行及时的响应。 9目前电力公司从组织、人员、制度等安全管理方面都得到了一定的落实，但由于 人员编制有限，安全的专业性、复杂性、不可预计性等，在安全管理方面也还存在一些 安全隐患。建议增加适应电力公司安全要求的管理制度，以更好的体现技术、管理并重， 保证系统的正常运行。 3 整体安全保障建设

21、方案 本次河北国华定洲发电厂安全保障方案主要从三个方面进行建设：安全技术体系建 设、安全服务体系建设、安全管理体系建设。 3.1 安全技术体系建设方案 3.1.1 构建“外防内控”的安全技术体系 构 建 ”外 防 内 控 ”安 全 防 护 体 系 核 心任 务 外 防 内 控防 止 黑 客 和 病 毒 对 网 络 的 危 害防 止 黑 客 和 病 毒 对 网 络 的 危 害 合 法 的 人 做 合 法 的 事合 法 的 人 做 合 法 的 事 面 向 防 范 来 自 外 部 的 各 种 攻 击防 范 来 自 外 部 的 各 种 攻 击 内 外 部 人 员 的 使 用 和 维 护 操 作内 外

22、部 人 员 的 使 用 和 维 护 操 作重 点 安 全 域 :安 全 域 划 分 与 边 界整 合 ;系 统 加 固 :确 定 通 用 IT设 备 的 安全 基 线 要 求 ,加 载 安 全 补 丁 ,梳 理服 务 端 口 ,修 补 漏 洞 .安 全 域 安 全 域 划 分 与 边 界整 合系 统 加 固 确 定 通 用 设 备 的 安全 基 线 要 求 加 载 安 全 补 丁 梳 理服 务 端 口 修 补 漏 洞 安 全 控 制 :对 内 部 人 员 和 厂 家 人 员对 主 机 、 网 络 和 业 务 的 认 证 、 授 权、 访 问 控 制 、 资 源 使 用 权 限 等 ；安 全 审

23、 计 ： 对 内 部 人 员 和 厂 家 人 员对 主 机 和 网 络 的 各 种 操 作 行 为 进 行审 计 。安 全 控 制 对 内 部 人 员 和 厂 家 人 员对 主 机 、 网 络 和 业 务 的 认 证 、 授 权、 访 问 控 制 、 资 源 使 用 权 限 等 ；安 全 审 计 ： 对 内 部 人 员 和 厂 家 人 员对 主 机 和 网 络 的 各 种 操 作 行 为 进 行审 计 。构 建 外 防 内 控 安 全 防 护 体 系 核 心任 务 外 防 内 控防 止 黑 客 和 病 毒 对 网 络 的 危 害防 止 黑 客 和 病 毒 对 网 络 的 危 害 合 法 的 人

24、 做 合 法 的 事合 法 的 人 做 合 法 的 事面 向 防 范 来 自 外 部 的 各 种 攻 击防 范 来 自 外 部 的 各 种 攻 击 内 外 部 人 员 的 使 用 和 维 护 操 作内 外 部 人 员 的 使 用 和 维 护 操 作重 点 安 全 域 安 全 域 划 分 与 边 界整 合系 统 加 固 确 定 通 用 设 备 的 安全 基 线 要 求 加 载 安 全 补 丁 梳 理服 务 端 口 修 补 漏 洞安 全 域 安 全 域 划 分 与 边 界整 合系 统 加 固 确 定 通 用 设 备 的 安全 基 线 要 求 加 载 安 全 补 丁 梳 理服 务 端 口 修 补 漏

25、 洞 安 全 控 制 对 内 部 人 员 和 厂 家 人 员对 主 机 、 网 络 和 业 务 的 认 证 、 授 权、 访 问 控 制 、 资 源 使 用 权 限 等 ；安 全 审 计 ： 对 内 部 人 员 和 厂 家 人 员对 主 机 和 网 络 的 各 种 操 作 行 为 进 行审 计 。安 全 控 制 对 内 部 人 员 和 厂 家 人 员对 主 机 、 网 络 和 业 务 的 认 证 、 授 权、 访 问 控 制 、 资 源 使 用 权 限 等 ；安 全 审 计 ： 对 内 部 人 员 和 厂 家 人 员对 主 机 和 网 络 的 各 种 操 作 行 为 进 行审 计 。任 务 外

26、 防 内 控防 止 黑 客 和 病 毒 对 网 络 的 危 害防 止 黑 客 和 病 毒 对 网 络 的 危 害 合 法 的 人 做 合 法 的 事合 法 的 人 做 合 法 的 事面 向 防 范 来 自 外 部 的 各 种 攻 击防 范 来 自 外 部 的 各 种 攻 击 内 外 部 人 员 的 使 用 和 维 护 操 作内 外 部 人 员 的 使 用 和 维 护 操 作重 点 安 全 域 安 全 域 划 分 与 边 界整 合系 统 加 固 确 定 通 用 设 备 的 安全 基 线 要 求 加 载 安 全 补 丁 梳 理服 务 端 口 修 补 漏 洞安 全 域 安 全 域 划 分 与 边 界

27、整 合系 统 加 固 确 定 通 用 设 备 的 安全 基 线 要 求 加 载 安 全 补 丁 梳 理服 务 端 口 修 补 漏 洞 安 全 控 制 对 内 部 人 员 和 厂 家 人 员对 主 机 、 网 络 和 业 务 的 认 证 、 授 权、 访 问 控 制 、 资 源 使 用 权 限 等 ；安 全 审 计 ： 对 内 部 人 员 和 厂 家 人 员对 主 机 和 网 络 的 各 种 操 作 行 为 进 行审 计 。安 全 控 制 对 内 部 人 员 和 厂 家 人 员对 主 机 、 网 络 和 业 务 的 认 证 、 授 权、 访 问 控 制 、 资 源 使 用 权 限 等 ；安 全

28、审 计 ： 对 内 部 人 员 和 厂 家 人 员对 主 机 和 网 络 的 各 种 操 作 行 为 进 行审 计 。 外防方面，通过使用安全域、防火墙、IDS/IPS、VPN 、垃圾邮件过滤、病毒过滤、 基础设施监控以及链路备份等技术手段予以解决。 内控方面，依据国家保密标准 BMB17-2006涉及国家秘密的计算机信息系统分级 保护技术要求 、以及 ITIL、ITSM 、ISO27001、1SO17799 、BS7799 等 IT 管理标准、信 息安全管理标准，综合考虑信息安全的保密性、完整性、可用性、可审计性和防抵赖性 的完整体系目标，涵盖安全控制、运维管理和安全审计三大方面功能。 安全

29、技术体系建设的内容： 安 全 技 术 体 安全 支撑 平台 统一身份鉴别和认证、统一控制和授权 PKI/CA 认证中心（可选） 安全 服务 平台 抗拒 绝服 务 入侵 保护 服务 入侵 检测 服务 安全 审计 服务 漏洞 扫描 服务 终端 安全 管理 网页 防篡 改 加密 服务 双机 备份 服务 隔离 交换 服务 负载 均衡 服务 系 安全 基础 平台 防火墙、杀毒软件 3.1.2 安全保障建设规划示图 河北国华定洲发电厂安全保障建设规划图 3.1.3 抗拒绝服务系统 部署抗拒绝服务系统可防护各类基于网络层、传输层及应用层的拒绝服务攻击，如 对 SYN Flood、UDP Flood、UDP

30、DNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood 以及连接耗尽这些常见的攻击行为能够有效识别，并通过集成的 机制实时对这些攻击流量进行阻断。系统还能够针对最近出现的混合拒绝服务攻击、 ACK Flood/DRDoS 等危害更大的拒绝服务攻击进行防护。 抗拒绝服务系统部署方式，如下（红圈标注）： 在互联网的出口处部署专业的抗拒绝服务系统来抵御大规模的 DDOS 攻击。 3.1.4 入侵保护系统（IPS） 部署入侵保护系统的目的，如下： 1、网络防护 IPS 针对攻击具有实时的、主动的网络防护功能，内置基于状态检测的防火墙，保 护网

31、络边界和内部网络，同时为网络设备的漏洞提供防护；具有流量管理功能，对于可 能出现的异常流量。 2、应用防护 IPS 提供对应用层的防护功能。针对操作系统、应用软件以及数据库，提供深度的 内容检测技术，过滤报文里的恶意流量和攻击行为，保护存在的漏洞，防止操作系统和 应用程序损坏或宕机。 3、内容管理 IPS 对企业内部网络资源提供内容管理，可以有效检测并阻断间谍软件，包括木马 后门、恶意程序和广告软件等，并可以对即时通讯、P2P 下载、网络游戏、在线视频、 网络流媒体等内容进行监控并阻断。 入侵保护系统部署方式，如下（红圈标注）： 在网络中部署了三台入侵保护系统（IPS） ，分别部署在 CIS

32、区与 MIS 区之间、对内 服务器区边界、对外服务器区边界，通过 IPS 设备的部署可以有效的增强各网络边界的 安全性。在设备管理方式上可以采用 C/S 与 B/S 两种管理方式，当采用 C/S 管理方式的 时候在内部选取一台服务器安装管理控制中心，以便对网络总的所有 IPS 设备进行集中、 统一管理。 3.1.5 入侵检测系统（IDS ） 部署入侵检测系统，可以起到以下作用： 1、入侵检测 IDS 对黑客攻击（缓冲区溢出、SQL 注入、暴力猜测、拒绝服务、扫描探测、非授 权访问等） 、蠕虫病毒、木马后门、间谍软件、僵尸网络等进行实时检测及报警，并通过 与防火墙联动、TCP Killer、发送

33、邮件、控制台显示、日志数据库记录、打印机输出、运 行用户自定义命令等方式进行动态防护。 2、行为监控 IDS 系统会对网络流量进行监控，对 P2P 下载、IM 即时通讯、网络游戏、网络流媒 体等严重滥用网络资源的事件提供告警和记录。 3、流量分析 IDS 对可以对网络流量进行分析，实时统计出当前网络中的各种报文流量。 入侵检测系统部署方式，如下（红圈标注）： 在电力系统网络中建议部署三台入侵检测系统，在两台核心交换机上部署一台支持 两路监听的入侵检测系统，在汇聚层的八台交换机分别部署两台支持四路监听的入侵检 测系统。通过对入侵检测系统的有效部署，可以对网络中发生的安全事件进行及时的响 应、告警

34、，形成一个全局监控的局面。 设备管理方式上可以采用 C/S、B/S 两种管理方式，建议河北国华定洲发电厂采用 C/S 管理方式对所部署的设备进行集中、统一管理。 3.1.6 安全审计系统 本次部署的安全审计系统为两套，分别是：互联网审计系统、数据库审计系统。 部署安全审计系统，起到以下作用： 1、内容审计 可以提供深入的内容审计功能，可对网页页面内容、邮件、数据库操作、论坛、即 时通讯等提供完整的内容检测、信息还原功能；并可自定义关键字库，进行细粒度的审 计追踪。 2、行为审计 可以提供全面的网络行为审计功能，根据设定行为审计策略，对网站访问、邮件收 发、数据库访问、远程终端访问、文件上传下载

35、、即时通讯、论坛、在线视频、P2P 下 载、网络游戏等网络应用行为进行监测，对符合行为策略的事件实时告警并记录。 3、流量审计 可以提供基于协议识别的流量分析功能，实时统计出当前网络中的各种报文流量， 进行综合流量分析，为流量管理策略的制定提供可靠支持。 安全审计系统部署方式，如下（红圈标注）： 在电力公司网络中建议部署两套审计系统，分别是互联网审计和数据库审计。在核 心交换机上部署一台互联网审计系统，在对内服务器区部署一台数据库审计系统。 互联网审计系统： 对多种信息精细分类，如不良言论、色情暴力等；支持针对 URL、网页页面内容、 搜索引擎的关键字过滤、审计功能，可告警、过滤非法不良网站；

36、同时全面审计网站访 问行为，实时告警、记录和网页还原，实现全面、准确、高效的网站访问监测；具有全 程网络应用行为审计功能，支持对即时通讯、在线视频、P2P 下载、网络游戏、炒股等 互联网应用行为进行全过程监控。 数据库审计系统： 支持对业务运维操作（如 TELNET、FTP 等）的命令级审计和全过程记录；并支持 SQL-92 标准，实时审计用户对 ORACLE、SQL Server 、MY SQL、INFORMIX、DB2 等主流数据库系统所有操作（如插入、删除、修改等） ，还原 SQL 操作命令；对违反数 据库审计策略的操作行为实时报警、记录，实现数据库命令级的细粒度审计。 3.1.7 漏洞

37、扫描系统 部署漏洞扫描（管理）系统能够对已知安全漏洞的攻击起到很好的预防作用，做到 真正的“未雨绸缪” 。漏洞管理产品从漏洞生命周期出发，提供一套有效的漏洞管理工作 流程，实现了由漏洞扫描到漏洞管理的转变，实现了“治标”到“治本”的飞跃。 1、通过漏洞管理产品集中、及时找出漏洞并详细了解漏洞相关信息，不需要用户每 天去关注不同厂商的漏洞公告，因为各个厂商的漏洞公告不会定期发布，即使发布了漏 洞公告绝大多数用户也不能够及时地获得相关信息。 2、通过漏洞管理产品将网络资产按照重要性进行分类，自动周期升级并对网络资产 进行评估，最后自动将风险评估结果自动发送给相关责任人，大大降低人工维护成本。 3、

38、漏洞管理产品根据评估结果定性、定量分析网络资产风险，反映用户网络安全问 题，并把问题的重要性和优先级进行分类，方便用户有效地落实漏洞修补和风险规避 的 工作流程，并为补丁管理产品提供相应的接口。 4、漏洞管理产品能够提供完整的漏洞管理机制，方便管理者跟踪、记录和验证评估 的成效。 漏洞扫描（管理）系统部署方式，如下： 在 MIS 系统区和 CIS 系统区分别部署一台漏洞扫描系统，由于 CIS 区采用了专门的 隔离措施，为了不破坏 CIS 边界的完整性，故部署了两台漏洞扫描系统。 通过漏洞扫描系统可以定期的网络中的主机系统（Windows、Linux、Unix、AIX） 、 网络设备（路由器、交

39、换机） 、安全设备（防火墙） 、Web 应用服务以及防病毒软件进行 定期或不定期的评估，找出系统系统存在的脆弱性，以便进行准确的安全加固，使系统 时刻处于最佳健康状态。 3.1.8 终端安全管理系统 部署终端安全管理系统，起到如下效果： 1、网络接入控制 能够按照指定的策略控制机器对网络的接入，保证只有认证通过的机器才能够接入 网络，防止存在安全隐患或未经授权的机器接入内网，在网络接入层控制非法终端连接， 支持 IEEE802.1x 端口认证的工业标准。对于不支持 IEEE802.1x 交换环境，采用软件控 制的方式实现对终端设备的安全接入控制。根据网络环境，用户可以选择在不同网段分 别启用

40、802.1X 认证、非 802.1X 认证、不启用网络准入认证组合。 2、病毒库同步 通过与常用防病毒软件的联动，实现及时可靠的病毒库分发，强制病毒库与病毒引 擎的升级，统一终端最新的防病毒策略，阻止各类病毒和蠕虫的发作；支持防病毒软件 包括：赛门铁克、趋势、瑞星、江民、金山、卡巴斯基、NOD32、McAfee、冠群等各大 防病毒软件厂商的网络版以及个人版防毒产品。 3、防 ARP 欺骗 ARP 欺骗防御采用主动防御技术，在系统驱动层实现防 ARP 欺骗功能，阻断各种 类型的 ARP 欺骗行为，保证终端机器不受 ARP 欺骗的干扰与攻击；可以及时发现网络 中存在的“肉鸡”攻击者，可以定位到哪台

41、终端、什么时间、哪个进程发起 ARP 欺骗攻 击，实时定位 ARP 欺骗病毒源；有效保证网上银行、邮箱、即时通讯、游戏帐号等数据 安全；保证网络通讯的正常稳定、快速协助管理人员定位网络中存在的问题。 4、恶评软件查杀 可以手动检测或定时自动检测各个终端是否安装了恶评软件，根据预置的策略将其 禁用并生成告警；系统内置有丰富的恶评软件特征库，并能定期更新；能够收集每个终 端所安装的 IE 插件的信息，汇总到服务器统一展示；管理员可以设置哪些 IE 插件允许 使用，哪些 IE 插件禁止使用。 5、资产管理 自动收集计算机的硬件资产信息和软件资产信息，硬件资产信息包括：网卡、内存、 硬件、主板等；软件

42、资产信息包括：操作系统、杀毒软件、应用软件信息、计算机系统 摘要、终端代理相关信息、当前策略信息、补丁信息；可以自动发现以上各类软硬件资 产的变化情况，灵活生成各种告警与图形报表，及时掌握每个终端用户资产最新状态， 避免资产流失，方便企业资产的统一管理。 6、外设访问控制 可以针对常见的外设端口类型（USB、红外、串口、并口）和设备类型（软驱、光 驱、无线、蓝牙、键盘和鼠标、打印机）进行监控，监控类型包括：禁止访问、只读访 问、完全访问，对违反策略的行为及时告警，防止数据泄密；管理员可以对 USB 外设进 行注册授权认证，注册认证过的 USB 外设才可以在内网使用，有效管理控制 USB 外设

43、滥用行为；系统可以对 USB 外设文件传输实时监控（包括文件增加、删除、拷贝、修改 行为审计） ，并且可以实现针对特定的文件类型进行审计；在安全控制方面，系统能够对 Windows 的“ 自动播放”进行控制，防止 autorun 病毒木马传播与扩散。 7、非法外联检测 针对企业内网可能存在的通过拨号连接外网的行为进行管理；可以对 Modem 拨号、 VPN 连接、GPRS、PPPoE 等拨号方式进行控制，根据需要可以自动切断拨号并告警。 8、网络配置强制 可以防止任意修改机器的 IP、机器名、MAC 等信息，根据安全策略设置自动恢复 默认的配置信息；可以针对重点服务器 IP 采用特殊保护，保证

44、重点服务器 IP 优先权， 避免地址冲突，提高内网管理效率。 终端安全管理系统，部署方式如下（红圈标注）： 由于 MIS 区域与 CIS 区域采用了专业的隔离系统，为了保证 CIS 区域的安全，建议 在 CIS 区域与 MIS 区域单独部署终端安全管理系统，实现对终端的可控、可管。 3.1.9 网页防篡改系统 部署网页防篡改系统，起到以下作用： 阻止非法篡改网页，自动截获对网页的非法篡改行为； 如果网页因为意外原因被篡改，能够自动将原有网页恢复； 自动屏蔽“非法网页” ，确保这些非法网页不被客户访问； 实时报警、详细日志，在截获非法篡改或其它安全事件的情况下，将自动通 过多种方式报警，通知管理

45、维护人员。 网页防篡改系统需要部署在对外服务器区内的一台专门的服务器上。 3.1.10 统一身份鉴别和认证 由于电力系统是一个人参与的系统，是人与各种设备进行互动的系统。因此，鉴别 和确认用户的身份是其他安全解决方案的基础。 但目前电力系统的信息系统在身份鉴别中，通常存在着以下问题： 各设备、各主机、各应用单独认证。使得“纵向认证” ，存在着各种安全死角。 认证方法过于简单，口令太弱，易受攻击。 而“统一身份鉴别和认证”方案能够有效地解决这些问题。 “统一身份鉴别和认证” 以国际通用标准为基础，对各种网络设备和不同的主机操作系统提供统一的身份鉴别和 认证服务。同时“统一身份鉴别和认证”还能为应

46、用系统提供身份认证的接口和 SDK， 从而可以实现网络层、主机层和应用层的统一认证。 为了防止认证手段易受攻击， “统一身份鉴别和认证”要求认证要支持口令、证书、 口令牌、指纹等多种认证手段。同时，认证还应能支持多因素认证。 为了支持多种设备的认证， “统一身份鉴别和认证”必须支持各种认证协议。如： RADIUS，802.1x，EAP ， LDAP 等。 另一方面， “统一身份鉴别和认证”要求各种网络设备必须支持国际标准认证协议。 支持网络设备的外部认证。 3.1.11 统一控制和授权 由于网络设备，主机操作系统，应用系统繁多，对各个设备的管理必须遵循统一控 制和授权的方法。所有新上系统应遵循

47、国际标准协议。 3.2 安全服务体系建设方案 3.2.1 安全加固 根据安全评估结果，结合各种操作系统的安全特性，对加固对象进行修补加固。利 用修补和加固解决在安全评估中发现的各种技术性安全问题，基本保证在客观环境允许 的情况下，被加固对象应不再存在高风险漏洞和中风险漏洞(根据 CVE 标准定义)，对于 由业务环境原因无法进行修补的漏洞，会分析漏洞对系统安全性影响并提出相应的解决 建议，同时登记在遗留问题记录中，以备后续查找和参考。另外，在修补和加固完成后 应不影响修补加固对象原有的功能和性能。 其中，在加固方案设计和加固实施过程中将遵循以下原则： 标准性原则：加固方案的设计与实施应依据国内或

48、国际的相关标准进行； 规范性原则：工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪 和控制； 可控性原则：加固的方法和过程要在双方认可的范围之内，加固服务的进度要 跟上进度表的安排，保证对于加固工作的可控性； 整体性原则：加固的范围和内容应当整体全面，包括安全涉及的各个层面，避 免由于遗漏造成未来的安全隐患； 最小影响原则：加固工作应尽可能小的影响系统和网络的正常运行，不会对正 在的运行和业务的正常提供产生显著影响； 保密原则：对加固的过程数据和结果数据严格保密，未经授权不会泄露任何给 任何单位和个人，不会利用此数据进行任何侵害电力公司网络的行为。 3.2.2 应急响应 安全应急响应服

49、务内容如下： 1故障情况通知及确定 对用户的紧急安全事件提供安全响应热线电话/手机和客户专用的 Email 联系方式。 在接到用户紧急安全响应请求后的 10 分钟内，通过电话、专用 Email 或远程监测等 多种方式，确定故障类型，定义故障等级。 2远程支持响应 对于能够通过电话或网络方式远程支持解决的重要故障，承诺在故障等级情况确定 后尽快从远程帮助用户或由我方从远程修复系统，解决故障，使故障造成的损失减小到 最小。 3现场支持响应 在接到用户紧急安全响应请求后的 60 分钟内，在远程不能确定安全故障类型或故障 情况严重不能通过远程解决的严重故障情况下，承诺安排工程技术人员到达现场解决问 题，到达现场时间以交通工具到达时间为限。 4安全故障解决 安全故障解决遵循以下流程： 故障诊断，对故障情况作诊断，记录，分析