電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案

1、XX 電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案目錄1. 引言 51.1 信息安全體系建設(shè)的必要性 51.2 解決信息安全問(wèn)題的總體思路 61.3XX 電力公司信息網(wǎng)安全防護(hù)策略 71.3.1 XX 電力公司總體安全策略 7 1.3.2 XX 電力信息安全總體框架 8 1.3.3 防護(hù)策略 81.3.3.1 對(duì)網(wǎng)絡(luò)的防護(hù)策略 81.3.3.2 對(duì)主機(jī)的防護(hù)策略 81.3.3.3 對(duì)郵件系統(tǒng)的防護(hù)策略 91.3.3.4 對(duì)終端的防護(hù)策略 92. 設(shè)計(jì)依據(jù) 102.1 信息安全管理及建設(shè)的國(guó)際標(biāo)準(zhǔn) ISO-17799 1. 03. XX 電力信息網(wǎng)安全現(xiàn)狀 103.1 管理安全現(xiàn)狀 1.03.2 網(wǎng)絡(luò)安全現(xiàn)

2、狀 1.13.3 主機(jī)及業(yè)務(wù)系統(tǒng)安全現(xiàn)狀 1.3.3.4 終端安全現(xiàn)狀 1.64 建設(shè)目標(biāo) 185安全區(qū)域的劃分方案 185.1 網(wǎng)絡(luò)安全域劃分原則 1.85.2 網(wǎng)絡(luò)區(qū)域邊界訪問(wèn)控制需求 2.0.5.3 邊界網(wǎng)絡(luò)隔離和訪問(wèn)控制 2.2.5.3.1 區(qū)域邊界的訪問(wèn)控制 225.3.2 敏感區(qū)域邊界的流量審計(jì) 235.3.3 敏感區(qū)域邊界的網(wǎng)絡(luò)防入侵及防病毒 236XX 電力信息網(wǎng)防火墻部署方案 236.1 省公司防火墻和集成安全網(wǎng)關(guān)的部署 2.4.6.2 地市公司防火墻和集成安全網(wǎng)關(guān)的部署 2.8.6.3 技術(shù)要求 3.17XX 電力信息網(wǎng)網(wǎng)絡(luò)防病毒方案 327.1 XX 電力防病毒軟件應(yīng)用現(xiàn)

3、狀 3.2.7.2 企業(yè)防病毒總體需求 3.37.3 功能要求 3.3 7.4XX 電力網(wǎng)防病毒系統(tǒng)整體架構(gòu)和管理模式 3.5.7.4.1 采用統(tǒng)一監(jiān)控、分布式部署的原則 357.4.2 部署全面的防病毒系統(tǒng) 377.4.3 病毒定義碼、掃描引擎的升級(jí)方式 387.5 網(wǎng)絡(luò)防病毒方案 3.9 7.6 防病毒系統(tǒng)部署 4.0 8入侵檢測(cè) /入侵防護(hù)( IDS/IPS )方案 458.1 網(wǎng)絡(luò)入侵檢測(cè) /入侵防護(hù)( IDS/IPS ) 4.5.8.2 網(wǎng)絡(luò)入侵檢測(cè) / 入侵保護(hù)技術(shù)說(shuō)明 4.6.8.2.1 入侵檢測(cè)和入侵保護(hù)( IDS/IPS )產(chǎn)品的功能和特點(diǎn) 468.3 入侵檢測(cè)/入侵防護(hù)(

4、IDS/IPS )在公司系統(tǒng)網(wǎng)絡(luò)中的部署 5. 19內(nèi)網(wǎng)客戶端管理系統(tǒng) 549.1 問(wèn)題分析與解決思路 5.4 9.1.1 IP 地址管理問(wèn)題 549.1.2 用戶資產(chǎn)信息管理問(wèn)題 549.1.3 軟硬件違規(guī)行為監(jiān)控 569.1.4 網(wǎng)絡(luò)拓?fù)洳榭磁c安全事件定位困難 579.1.5 缺乏完整的用戶授權(quán)認(rèn)證系統(tǒng) 579.2 系統(tǒng)主要功能模塊 5.89.3 內(nèi)網(wǎng)管理解決方案 5.99.4 方案實(shí)現(xiàn)功能 5.99.4.1 IP 地址管理 599.4.2 客戶端管理 609.4.3 系統(tǒng)管理 6212 安全產(chǎn)品部署總圖和安全產(chǎn)品清單表 641. 引言1.1 信息安全體系建設(shè)的必要性 隨著電網(wǎng)的發(fā)展和技術(shù)

5、進(jìn)步，電力信息化工作也有了突飛猛進(jìn)的發(fā)展，信息網(wǎng)絡(luò)規(guī) 模越來(lái)越大，各種信息越來(lái)越廣泛。然而，隨之而來(lái)的信息安全問(wèn)題也日益突出。電力 工業(yè)作為我國(guó)國(guó)民經(jīng)濟(jì)的基礎(chǔ)產(chǎn)業(yè)和公用事業(yè)，電力系統(tǒng)的安全運(yùn)行直接關(guān)系到國(guó)民經(jīng) 濟(jì)的持速發(fā)展和滿足人民生活的需要，信息安全已成為電力企業(yè)在信息時(shí)代和知識(shí)經(jīng)濟(jì) 新形勢(shì)下面臨的新課題，電力信息網(wǎng)絡(luò)與信息的安全一旦遭受破壞，造成的影響和損失 將十分巨大。近年以來(lái)，在互聯(lián)網(wǎng)上先后出現(xiàn)的紅色代碼、尼姆達(dá)、蠕蟲(chóng)、沖擊波等病 毒造成了數(shù)以萬(wàn)計(jì)的網(wǎng)站癱瘓，對(duì)電力信息系統(tǒng)的應(yīng)用造成了較大不良影響。公司按照建設(shè)“一強(qiáng)三優(yōu)”電網(wǎng)公司的發(fā)展戰(zhàn)略，為實(shí)現(xiàn)“安全基礎(chǔ)扎實(shí)、管理層 次清晰、內(nèi)部運(yùn)

6、作規(guī)范、企業(yè)文化鮮明、社會(huì)形象誠(chéng)信”的企業(yè)共同愿景，公司的信息 化發(fā)展步伐不斷加快。計(jì)算機(jī)網(wǎng)絡(luò)已覆蓋全省各市、縣公司，實(shí)現(xiàn)了信息共享和快速傳 遞。省、市公司的用戶數(shù)已達(dá)一萬(wàn)多個(gè)，各類應(yīng)用 200 多個(gè)，省公司層面經(jīng)營(yíng)管理類數(shù) 據(jù)達(dá) 2000G 字節(jié)，網(wǎng)絡(luò)、信息系統(tǒng)已成為公司生產(chǎn)、經(jīng)營(yíng)和管理的重要支撐平臺(tái)。企業(yè) 的應(yīng)用要求網(wǎng)絡(luò)與信息系統(tǒng)具有高可靠性、高可用性、高安全性，但類似網(wǎng)絡(luò)病毒導(dǎo)致 信息網(wǎng)絡(luò)部分癱瘓、內(nèi)外部攻擊致使應(yīng)用服務(wù)中斷等事件時(shí)有發(fā)生，實(shí)際上還有其它一 些未發(fā)現(xiàn)的或未產(chǎn)生后果的威脅，直接影響著省公司系統(tǒng)的信息安全， XX 電力系統(tǒng)信息 安全體系建設(shè)已迫在眉睫。1.2 解決信息安全問(wèn)題

7、的總體思路當(dāng)前我國(guó)已把信息安全上升到國(guó)家戰(zhàn)略決策的高度。國(guó)家信息化領(lǐng)導(dǎo)小組第三次會(huì) 議確定我國(guó)信息安全的指導(dǎo)思想：“堅(jiān)持積極防御、綜合防范的方針，在全面提高信息 安全防護(hù)能力的同時(shí)，重點(diǎn)保障基礎(chǔ)網(wǎng)絡(luò)和重要系統(tǒng)的安全。完善信息安全監(jiān)控體系， 建立信息安全的有效機(jī)制和應(yīng)急處理機(jī)制?！?這就引出等級(jí)保護(hù)的概念，必須區(qū)分重要 程度不同的應(yīng)用系統(tǒng)，并據(jù)此將保護(hù)措施分成不同的等級(jí)，而從國(guó)家層面，必須將那些 關(guān)系到國(guó)家經(jīng)濟(jì)發(fā)展命脈的基礎(chǔ)網(wǎng)絡(luò)圈定出來(lái)，加以重點(diǎn)保護(hù)，這就是“重點(diǎn)保障基礎(chǔ) 網(wǎng)絡(luò)和重要系統(tǒng)的安全”思路。這一思路蘊(yùn)涵了“適度”信息安全的概念。“適度”實(shí)際體現(xiàn)了建設(shè)信息安全的綜 合成本與信息安全風(fēng)險(xiǎn)之

8、間的平衡，而不是要片面追求不切實(shí)際的安全。所謂信息安全，可以理解為對(duì)信息四方面屬性的保障，一是保密性，就是能夠?qū)?對(duì)手的被動(dòng)攻擊，保證信息不泄露給未經(jīng)授權(quán)的人；二是完整性，就是能夠?qū)箤?duì)手的 主動(dòng)攻擊，防止信息被未經(jīng)授權(quán)的篡改；三是可用性，就是保證信息及信息系統(tǒng)確實(shí)為 授權(quán)使用者所用；四是可控性，就是對(duì)信息及信息系統(tǒng)實(shí)施安全監(jiān)控。按照 ISO17799 信息安全標(biāo)準(zhǔn)、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)安全規(guī)定及國(guó)網(wǎng)公司相關(guān)規(guī)定，信 息安全體系的建設(shè)應(yīng)包括兩個(gè)方面的內(nèi)容：安全技術(shù)防護(hù)體系、安全管理體系。技術(shù)防 護(hù)體系包括網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的安全防護(hù)基礎(chǔ)設(shè)施和相關(guān)的監(jiān)視、檢測(cè)手段；安全管理體 系主要包括組織、評(píng)估、方法

9、、改進(jìn)等管理手段。信息安全體系建設(shè)的方法是：在全面 的安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，對(duì)信息資產(chǎn)進(jìn)行安全分類定級(jí)，針對(duì)信息系統(tǒng)存在的安全隱 患和威脅，提出信息系統(tǒng)安全整體規(guī)劃，分步實(shí)施，循環(huán)改進(jìn)。結(jié)合當(dāng)前我司信息系統(tǒng)的安全現(xiàn)狀和急待解決的問(wèn)題，我們提出我司的信息安全體 系建設(shè)的總體思路：針對(duì)企業(yè)信息化應(yīng)用的需求，建立電力信息系統(tǒng)安全保障的總體框架，確定電力信息系統(tǒng)安全策略，以指導(dǎo)電力信息系統(tǒng)安全技術(shù)體系與管理系統(tǒng)的建設(shè)。在逐步引入先進(jìn)實(shí)用的信息安全技術(shù)和手段的基礎(chǔ)上，開(kāi)展信息系統(tǒng)安全評(píng)估活動(dòng)，建立完善的安全技術(shù)體系。同時(shí)，逐步建立健全公司信息安全組織機(jī)構(gòu)，逐步落實(shí)各項(xiàng)信息安全管理制度，廣泛開(kāi)展信息安全教

10、育，提高系統(tǒng)全員信息安全意識(shí)，構(gòu)造規(guī)范化的安全管理體制和機(jī)制，以期建立完善的信息安全管理體系，并培養(yǎng)一支技術(shù)較強(qiáng) 的人才隊(duì)伍。按照統(tǒng)一規(guī)劃、分步實(shí)施的原則，本方案為 XX 電力公司信息網(wǎng)絡(luò)的安全防范基礎(chǔ)設(shè) 施的初步設(shè)計(jì)。1.3XX 電力公司信息網(wǎng)安全防護(hù)策略1.3.1 XX 電力公司總體安全策略企業(yè)的信息安全策略是企業(yè)信息安全工作的依據(jù)，是企業(yè)所有安全行為的準(zhǔn)則。信 息安全是圍繞安全策略的具體需求有序地組織在一起，構(gòu)架一個(gè)動(dòng)態(tài)的安全防范體系。XX 電力的總體安全策略如下：1 、 建立信息安全組織機(jī)構(gòu)、健全各種規(guī)章制度，注重管理。2 、 信息安全風(fēng)險(xiǎn)防范側(cè)重企業(yè)內(nèi)部，尤其是核心設(shè)備、核心網(wǎng)段的安

11、全防范。3 、 統(tǒng)一規(guī)劃、部署、實(shí)施企業(yè)互聯(lián)網(wǎng)對(duì)外的接口及安全防范。4 、 合理劃分網(wǎng)絡(luò)邊界，做好邊界的安全防護(hù)；合理劃分安全域，實(shí)現(xiàn)不同等級(jí)安全域之間的隔離。5 、 制定完善的備份策略，保障系統(tǒng)及數(shù)據(jù)的安全。6 、 充分利用現(xiàn)有的安全設(shè)施，發(fā)揮其安全功能。7 、建立完善的監(jiān)控平臺(tái)和快速的響應(yīng)體系，及時(shí)的發(fā)現(xiàn)和解決出現(xiàn)的問(wèn)題。8 、采用數(shù)據(jù)安全技術(shù)保障實(shí)施，確保數(shù)據(jù)安全。1.3.2 XX 電力信息安全總體框架1.3.3 防護(hù)策略1.3.3.1 對(duì)網(wǎng)絡(luò)的防護(hù)策略包括主動(dòng)防護(hù)和被動(dòng)防護(hù)兩方面，主動(dòng)防護(hù)即采用入侵檢測(cè)工具，自動(dòng)對(duì)網(wǎng)絡(luò)上進(jìn) 出的數(shù)據(jù)包進(jìn)行檢測(cè)，分辯出非法訪問(wèn)并阻斷報(bào)警。被動(dòng)防護(hù)即采用防

12、火墻設(shè)備，置于 網(wǎng)絡(luò)出口處，并事先設(shè)定一定的規(guī)則，規(guī)定符合哪些條件的數(shù)據(jù)可以進(jìn)出，其它的則一 律阻斷不讓其通過(guò)。從而主動(dòng)防護(hù)與被動(dòng)防護(hù)結(jié)合，達(dá)到對(duì)網(wǎng)絡(luò)的防護(hù)，也以此形成對(duì) 小型機(jī)、服務(wù)器、 PC 機(jī)等各類資源的基礎(chǔ)性防護(hù)。1.3.3.2 對(duì)主機(jī)的防護(hù)策略主機(jī)上運(yùn)行的是公司系統(tǒng)核心業(yè)務(wù)，存儲(chǔ)的是各類重要數(shù)據(jù)，一旦此類機(jī)器出現(xiàn)問(wèn) 題，將會(huì)給公司系統(tǒng)日常業(yè)務(wù)的正常開(kāi)展造成沖擊和損失，所以必須對(duì)其采取進(jìn)一步 的、更加嚴(yán)格的防護(hù)措施，具體在實(shí)踐中，就要對(duì)主機(jī)進(jìn)行漏洞掃描和加固處理，即不 定期用掃描工具對(duì)關(guān)鍵主機(jī)進(jìn)行掃描，及時(shí)發(fā)現(xiàn)包括操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng) 在內(nèi)的各類漏洞缺陷，通過(guò)安裝補(bǔ)丁程序予以

13、彌補(bǔ)，同時(shí)安裝防篡改、注冊(cè)表鎖定等加 固軟件和身份認(rèn)證系統(tǒng)，從而使主機(jī)主動(dòng)拒絕非法訪問(wèn)，自身具備較強(qiáng)的安全防護(hù)能 力，抗御各類攻擊行為。1.3.3.3 對(duì)郵件系統(tǒng)的防護(hù)策略經(jīng)過(guò)多年的建設(shè)和推廣應(yīng)用，省電力公司已把基于 Lotus Notes 的辦公自動(dòng)化系統(tǒng) 全面推廣到省、市、縣各級(jí)供電企業(yè)，實(shí)現(xiàn)了公文在網(wǎng)上辦理和傳遞。公司系統(tǒng)的員工 都開(kāi)設(shè)了個(gè)人郵箱。所有公文流轉(zhuǎn)信息都會(huì)發(fā)送到員工的個(gè)人郵箱。同時(shí)這些郵箱又都 具備發(fā)送和接受外網(wǎng)郵件的能力。近年來(lái)，由于病毒的泛濫和快速傳播，省公司的郵件 系統(tǒng)每天不可避免地收到大量的垃圾郵件和攜帶病毒的郵件，郵件中的病毒又在局域網(wǎng) 上快速傳播，嚴(yán)重地威脅網(wǎng)絡(luò)和

14、信息安全。為保障網(wǎng)絡(luò)和信息系統(tǒng)安全運(yùn)行，需要部署 專用的反垃圾郵件系統(tǒng)和病毒過(guò)濾系統(tǒng)保護(hù)省公司郵件系統(tǒng)的安全運(yùn)行。1.3.3.4 對(duì)終端的防護(hù)策略終端的安全防護(hù)是網(wǎng)絡(luò)與信息安全防護(hù)的重要內(nèi)容，其主要防護(hù)措施是：1 、安裝防病毒軟件并及時(shí)更新。2 、加強(qiáng)管理，杜絕與業(yè)務(wù)無(wú)關(guān)軟件的安裝使用，控制使用軟盤(pán)、光盤(pán)驅(qū)動(dòng)器。3 、終端行為管理： 網(wǎng)絡(luò)安全問(wèn)題在很多情況下都是由“內(nèi)部人士”而非外來(lái)黑客所引起，在公司系統(tǒng)普遍存在著如下的問(wèn)題：缺乏完整的內(nèi)部安全防護(hù)體系；網(wǎng)絡(luò) 安全管理的基礎(chǔ)工作較薄弱，各類網(wǎng)絡(luò)基礎(chǔ)信息采集不全；存在一機(jī)多網(wǎng)和一機(jī)多用的 可能性；外圍設(shè)備的接入控制困難；難以監(jiān)控用戶對(duì)計(jì)算機(jī)的使用

15、情況。因此迫切地需 要一種高效完整的網(wǎng)絡(luò)管理機(jī)制來(lái)監(jiān)測(cè)、控制整個(gè)內(nèi)網(wǎng)的資源和服務(wù)，使整個(gè)網(wǎng)絡(luò)運(yùn)行 穩(wěn)定可靠，從而保證整個(gè)內(nèi)網(wǎng)的可信任和可控制。4、軟件更新服務(wù)系統(tǒng)（SUS）:目前大部分病毒，像尼姆達(dá)（一種利用系統(tǒng)漏洞的蠕蟲(chóng)病毒）是利用微軟的系統(tǒng)漏洞進(jìn)行傳播的，而微軟對(duì)大部分的漏洞及時(shí)提供了相 應(yīng)的補(bǔ)丁程序，但由于用戶未及時(shí)打補(bǔ)丁更新系統(tǒng)而導(dǎo)致數(shù)以萬(wàn)計(jì)的 Windows 系統(tǒng)受 到攻擊。因此需要一套軟件更新服務(wù)系統(tǒng)（SUS）來(lái)為主機(jī)提供補(bǔ)定程序，并及時(shí)自動(dòng)更 新系統(tǒng)。2. 設(shè)計(jì)依據(jù)2.1 信息安全管理及建設(shè)的國(guó)際標(biāo)準(zhǔn) ISO-17799ISO 17799 管理體系將 IT 策略和企業(yè)發(fā)展方向統(tǒng)一

16、起來(lái)，確保 IT 資源用得其所， 使與 IT 相關(guān)的風(fēng)險(xiǎn)受到適當(dāng)?shù)目刂?。該?biāo)準(zhǔn)通過(guò)保證信息的機(jī)密性，完整性和可用性來(lái) 管理和保護(hù)組織的所有信息資產(chǎn)，通過(guò)方針、慣例、程序、組織結(jié)構(gòu)和軟件功能來(lái)確定 控制方式并實(shí)施控制，組織按照這套標(biāo)準(zhǔn)管理信息安全風(fēng)險(xiǎn)，可持續(xù)提高管理的有效性 和不斷提高自身的信息安全管理水平，降低信息安全對(duì)持續(xù)發(fā)展造成的風(fēng)險(xiǎn)，最終保障 組織的特定安全目標(biāo)得以實(shí)現(xiàn)，進(jìn)而利用信息技術(shù)為組織創(chuàng)造新的戰(zhàn)略競(jìng)爭(zhēng)機(jī)遇。3. XX 電力信息網(wǎng)安全現(xiàn)狀3.1 管理安全現(xiàn)狀參考相關(guān)信息安全相關(guān)標(biāo)準(zhǔn)中的安全管理策略要求，根據(jù) XX 電力內(nèi)網(wǎng)信息系統(tǒng)安全 運(yùn)維的需求，對(duì) XX 電力內(nèi)網(wǎng)信息系統(tǒng)安全組織

17、、人員管理、安全管理、運(yùn)維管理、監(jiān)測(cè) 管理、備份管理、應(yīng)急管理、文檔管理方面進(jìn)行了調(diào)查分析，對(duì) XX 電力內(nèi)網(wǎng)信息系統(tǒng)安 全管理現(xiàn)狀描述如下：安全組織方面： 已有信息安全管理組織，有專職信息安全人員。信息安全 專職人員負(fù)責(zé)組織內(nèi)部與各相關(guān)單位的信息安全協(xié)調(diào)溝通工作。人員管理方面： XX 電力內(nèi)網(wǎng)信息系統(tǒng)已有明確的崗位責(zé)任制，技術(shù)人員在信息系統(tǒng)建設(shè)和日常維護(hù)過(guò)程中認(rèn)真履行職責(zé)。已有執(zhí)行外來(lái)人員管理策略，外 來(lái)公司人員進(jìn)入機(jī)房實(shí)施操作時(shí)，有 XX 電力內(nèi)網(wǎng)信息系統(tǒng)工作人員全程陪同。安全管理方面： 有明確的安全管理要求與措施。沒(méi)有及時(shí)安裝相應(yīng)系統(tǒng)補(bǔ) 丁，禁止安裝與工作無(wú)關(guān)的軟件；缺乏完備信息安全事件

18、報(bào)告制度。運(yùn)維管理方面： 有具體明確的系統(tǒng)運(yùn)行要求，日常故障維護(hù)，對(duì)故障現(xiàn) 象、發(fā)現(xiàn)時(shí)間、檢查內(nèi)容、處理方法、處理人員、恢復(fù)時(shí)間等進(jìn)行詳細(xì)記錄。監(jiān)測(cè)管理方面： 有明確的監(jiān)測(cè)目標(biāo)，在網(wǎng)絡(luò)檢測(cè)方面，利用入侵檢測(cè)來(lái)實(shí) 時(shí)監(jiān)測(cè)，但沒(méi)有定時(shí)查看相關(guān)記錄和維護(hù)，并做出響應(yīng)；在防病毒方面，利用防 病毒系統(tǒng)來(lái)實(shí)時(shí)對(duì)病毒進(jìn)行檢測(cè)和防護(hù)。應(yīng)急管理方面： 有明確的應(yīng)急管理策略，實(shí)施工作主要有運(yùn)維人員及服務(wù) 提供商承擔(dān)。密碼管理方面： 有明確的密碼管理實(shí)施辦法，但缺乏定期修改密碼及密碼 保存辦法。備份管理方面： 有明確的備份管理策略，也制定了相關(guān)的備份辦法。文檔管理方面： 有明確的技術(shù)文檔管理制度，但技術(shù)文檔資料缺乏

19、登記、分類、由專人 保管，同時(shí)也缺乏技術(shù)文檔資料的使用、外借或銷毀的審批登記手續(xù)。3.2 網(wǎng)絡(luò)安全現(xiàn)狀XX 電力的網(wǎng)絡(luò)拓?fù)洮F(xiàn)在如下圖所示：hifl 珂:* nuLIS廠M»>#1feiurf itt當(dāng)前網(wǎng)絡(luò)骨干區(qū)域，基本形成以一臺(tái)H3C S7506為核心，多臺(tái)H3C S7503為匯聚接入的架構(gòu)。但核心交換機(jī) H3C S7506同時(shí)兼具遠(yuǎn)程接入?yún)^(qū)多條專線接入設(shè)備的任務(wù),中間沒(méi)有匯聚設(shè)備，網(wǎng)絡(luò)邏輯層次結(jié)構(gòu)較為模糊。不利于網(wǎng)絡(luò)的擴(kuò)展建設(shè)，更不利于安 全域邊界的整合，無(wú)法實(shí)施集中統(tǒng)一的安全防護(hù)策略。除互聯(lián)網(wǎng)接入?yún)^(qū)外，當(dāng)前網(wǎng)絡(luò)各區(qū)域均為單鏈路、單設(shè)備。網(wǎng)絡(luò)單點(diǎn)故障隱患很 大。任意節(jié)點(diǎn)設(shè)備

20、、鏈路的故障，或因維護(hù)的需要停機(jī)重啟，均會(huì)造成相應(yīng)區(qū)域網(wǎng)絡(luò)的 通訊中斷，造成重要影響。當(dāng)前網(wǎng)絡(luò)中，在服務(wù)器區(qū)部分、管理支撐區(qū)、遠(yuǎn)程接入?yún)^(qū)，玉溪煙廠生產(chǎn)網(wǎng)辦公網(wǎng) 部分均存在區(qū)域劃分不清晰，邊界模糊的情況。安全域劃分不清晰，區(qū)域邊界未整合， 不利于日常的安全管理，無(wú)法實(shí)施集中統(tǒng)一的安全區(qū)域防護(hù)策略。服務(wù)器區(qū)域H3C設(shè)備FWSM防火墻處于策略全通狀態(tài)，無(wú)法起到應(yīng)有的訪問(wèn)控制 功效，讓所有服務(wù)器直接暴露在辦公網(wǎng)中。部分遠(yuǎn)程接入?yún)^(qū)域鏈路、 IT 運(yùn)營(yíng)中心等，同 樣存在缺乏防火墻等設(shè)備，無(wú)法實(shí)施基本的網(wǎng)絡(luò)訪問(wèn)控制，無(wú)法有效防護(hù)重要資產(chǎn)設(shè) 備。當(dāng)前網(wǎng)絡(luò)中缺乏必要的入侵檢測(cè) / 防御手段，特別在核心交換機(jī)、內(nèi)

21、網(wǎng)服務(wù)器區(qū)、 DMZ 服務(wù)器區(qū)。無(wú)法實(shí)施網(wǎng)絡(luò)流量的實(shí)時(shí)監(jiān)控分析，進(jìn)行惡意行為的告警響應(yīng)，無(wú)法及 時(shí)發(fā)現(xiàn)并處理安全事件。全網(wǎng)缺乏一套集中的安全運(yùn)營(yíng)管理中心，無(wú)法集中監(jiān)控各網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主 機(jī)及業(yè)務(wù)的安全運(yùn)行情況，收集日志信息，集中存儲(chǔ)、關(guān)聯(lián)分析和展現(xiàn)。同時(shí)，無(wú)法及 時(shí)掌握全網(wǎng)的安全態(tài)勢(shì)，及時(shí)做出分析判斷，影響安全事件的響應(yīng)處理效率。內(nèi)網(wǎng)服務(wù)器區(qū)、 DMZ 服務(wù)器區(qū)缺乏業(yè)務(wù)審計(jì)設(shè)備，無(wú)法記錄關(guān)鍵的業(yè)務(wù)、維護(hù)操作 行為。出現(xiàn)安全事件時(shí)，無(wú)法通過(guò)審計(jì)設(shè)備進(jìn)行操作行為的跟蹤分析，及時(shí)查找原因。 當(dāng)前網(wǎng)絡(luò)設(shè)備安全相關(guān)策略大多采用默認(rèn)配置，自身存在較多安全隱患，在一些惡意的 人為因數(shù)下，可能造成網(wǎng)絡(luò)設(shè)

22、備運(yùn)行不正常，甚至網(wǎng)絡(luò)局部區(qū)域通訊中斷。3.3 主機(jī)及業(yè)務(wù)系統(tǒng)安全現(xiàn)狀當(dāng)前系統(tǒng)中的主機(jī)及應(yīng)用系統(tǒng)欠缺較多的補(bǔ)丁，存在較多的高風(fēng)險(xiǎn)漏洞。攻擊者可 以通過(guò)一些簡(jiǎn)易工具或技術(shù)手段，入侵主機(jī)，提升權(quán)限，進(jìn)行后續(xù)的破壞活動(dòng)。XX 電力部分業(yè)務(wù)系統(tǒng)主機(jī)和數(shù)據(jù)庫(kù)帳號(hào)存在弱口令現(xiàn)象，包括用戶名和口令一致、 空口令、通用默認(rèn)口令、極易猜測(cè)的簡(jiǎn)單數(shù)字等。弱口令可以使惡意用戶直接或者通過(guò) 簡(jiǎn)單掃描工具，即可獲取用戶帳號(hào)和密碼，可以直接訪問(wèn)系統(tǒng)，甚至獲取系統(tǒng)管理員帳 號(hào)和密碼，完全控制該系統(tǒng)。如果系統(tǒng)被攻擊，對(duì) XX 電力業(yè)務(wù)的正常運(yùn)行造成很大的影 響。帳號(hào)口令管理方面，當(dāng)前所有 UNIX 類主機(jī)采用默認(rèn)配置，沒(méi)有啟

23、用帳號(hào)相關(guān)安全 屬性控制，沒(méi)有對(duì)口令的復(fù)雜度、有效期、更新密碼周期等進(jìn)行統(tǒng)一約束。帳號(hào)口令安 全策略設(shè)置不嚴(yán)格，用戶口令容易遭到猜測(cè)或字典攻擊成功，進(jìn)而使系統(tǒng)容易被非法操 縱。用戶登錄管理方面，當(dāng)前所有 UNIX 類主機(jī)采用默認(rèn)配置，未啟用 root 直接登陸控 制、終端登陸控制、登陸會(huì)話時(shí)間限制、 SU 權(quán)限控制等登錄安全管理策略。用戶登陸安 全策略設(shè)置不嚴(yán)格，容易造成惡意用戶越權(quán)濫用，非法操作， root 特權(quán)使用缺乏監(jiān)控審 計(jì)，給系統(tǒng)造成影響破壞。當(dāng)前絕大部分主機(jī)采用默認(rèn)配置，開(kāi)放有 SNMP 服務(wù)，并且沒(méi)有修改缺省的 SNMP 共同體字符串。而已攻擊者通過(guò) SNMP 可以獲取遠(yuǎn)程操作系

24、統(tǒng)的類型和版本、進(jìn)程信 息、網(wǎng)絡(luò)接口信息等敏感信息。這可能使攻擊者可以準(zhǔn)確了解遠(yuǎn)程主機(jī)的系統(tǒng)信息，更 有針對(duì)性的發(fā)起攻擊。當(dāng)前大部分主機(jī)，包括部分對(duì)公網(wǎng)提供服務(wù)的主機(jī)的 OpenSSH 版本較老，暴露有 較多緩沖區(qū)溢出漏洞。惡意攻擊者通過(guò)上述漏洞，可以發(fā)起拒絕服務(wù)攻擊或執(zhí)行任意代 碼，控制主機(jī)，給業(yè)務(wù)系統(tǒng)造成嚴(yán)重影響。當(dāng)前多數(shù)主機(jī)系統(tǒng)中開(kāi)放有危險(xiǎn)的 R 系列服務(wù)，建立有較多主機(jī)間的信任關(guān)系。用 戶可使用 rlogin 直接登錄而不需密碼，還可使用 rcp 、rcmd 等命令，方便用戶操作。 R 系列服務(wù)有一定的安全性風(fēng)險(xiǎn)，在當(dāng)前環(huán)境中，容易被仿冒，無(wú)需口令即可直接訪問(wèn)授 信主機(jī)，造成系統(tǒng)越權(quán)訪

25、問(wèn)。當(dāng)前絕大多數(shù)主機(jī)采用默認(rèn)配置，開(kāi)放有危險(xiǎn)且不必須的 TCP Small Service 和 UDP Small Service 。包括 echo 、 diacard 、 chargen 、talk 等。每一種網(wǎng)絡(luò)服務(wù)都是一 個(gè)潛在的安全漏洞，也就是一個(gè)攻擊者可能會(huì)進(jìn)入的地方。開(kāi)放 TCP/UDP 小服務(wù)可能拒 絕服務(wù)攻擊、系統(tǒng)入侵等危害。當(dāng)前 絕大多數(shù)主機(jī)采用默認(rèn) 配置 ，開(kāi)放有危險(xiǎn)的 RPC 服務(wù)，包括 rstatd 、 rusersd、rwalld等。RPC系列服務(wù)可能造成系統(tǒng)信息泄露，為惡意攻擊者的進(jìn)一步行動(dòng) 提供有用信息。當(dāng)前大多數(shù)主機(jī)開(kāi)放有 Sendmail 服務(wù)， Sendma

26、il 服務(wù)自身存在較多風(fēng)險(xiǎn)漏洞。非 郵件服務(wù)器無(wú)需運(yùn)行 Sendmail 服務(wù)。惡意攻擊者利用 Sendmail 服務(wù)漏洞容易獲取系統(tǒng) 權(quán)限，或用來(lái)發(fā)送垃圾郵件。前部分提供 Web 訪問(wèn)的系統(tǒng)（包括外網(wǎng)網(wǎng)站等）采用的 Apache 服務(wù)器版本較低， 存在多處緩沖區(qū)溢出漏洞。惡意攻擊者可以利用這個(gè)漏洞進(jìn)行緩沖區(qū)溢出攻擊，可能以 Apache 進(jìn)程權(quán)限在系統(tǒng)上執(zhí)行任意指令或進(jìn)行拒絕服務(wù)攻擊。當(dāng)前大部分主機(jī)和應(yīng)用系統(tǒng)采用默認(rèn)的 Syslog 日志配置。未配置集中的外部日志服 務(wù)器系統(tǒng)，進(jìn)行統(tǒng)一的收集、存儲(chǔ)和分析。不能及時(shí)有效地發(fā)現(xiàn)業(yè)務(wù)中的問(wèn)題以及安全 事件，不利于安全事件的跟蹤分析。滲透測(cè)試檢查發(fā)現(xiàn)

27、， XX 電力外網(wǎng)網(wǎng)站存在兩處高風(fēng)險(xiǎn)的 SQL 注入漏洞。利用 SQL 注入點(diǎn) 1，可進(jìn)行數(shù)據(jù)庫(kù)信息猜測(cè)、數(shù)據(jù)表猜測(cè)、表空間猜測(cè)，進(jìn)而獲取整個(gè)數(shù)據(jù)庫(kù)的信 息，任意查看和修改。利用注入點(diǎn) 2 可以獲得任意注冊(cè)會(huì)員的帳號(hào)和密碼信息，以及會(huì) 員的郵件地址、身份證、真實(shí)名字等敏感信息。同時(shí)還檢查出，外網(wǎng)網(wǎng)站存在可上傳任 意文件、跨站腳本攻擊兩處高、中風(fēng)險(xiǎn)漏洞。外網(wǎng)網(wǎng)站作為 XX 電力的對(duì)外門(mén)戶網(wǎng)站系 統(tǒng)，是對(duì)外宣傳、信息發(fā)布的重要途徑，日均訪問(wèn)量很大。惡意入侵者利用上述漏洞， 極易造成網(wǎng)站系統(tǒng)重要數(shù)據(jù)信息泄密，網(wǎng)站頁(yè)面破壞、篡改、掛馬等危害，嚴(yán)重影響用 戶的正常訪問(wèn)，造成用戶感染病毒木馬。滲透測(cè)試檢查

28、發(fā)現(xiàn)，內(nèi)網(wǎng)網(wǎng)站存在兩處高風(fēng)險(xiǎn)漏洞，可以獲取所有用戶的口令和其它敏感信息。同時(shí)還存在暴露系統(tǒng)絕對(duì)路徑、可以查看任意短消息列表內(nèi)容。內(nèi)網(wǎng)網(wǎng)站是公司內(nèi)部信息發(fā)布的主要途徑，采用郵件系統(tǒng)的帳號(hào)口令進(jìn)行認(rèn)證，通過(guò)上述漏洞，惡意攻擊者可以獲取所有用戶帳號(hào)的口令，登錄內(nèi)網(wǎng)網(wǎng)站、登錄郵件系統(tǒng)，造成信息泄 密、篡改、破壞等危害。3.4 終端安全現(xiàn)狀目前 XX 電力安全方針策略不夠清晰明確。由于安全目標(biāo)方針不明確，導(dǎo)致全員不能清晰領(lǐng)悟安全的重要性，安全思想不能得到有效貫徹落實(shí)。各部門(mén)執(zhí)行安全的方向不統(tǒng) 一。安全方針不統(tǒng)一，會(huì)經(jīng)常出現(xiàn)安全行動(dòng)不統(tǒng)一，安全意識(shí)不明確的現(xiàn)象。XX 電力沒(méi)有建立完善的安全管理策略制度。制

29、度不完善導(dǎo)致執(zhí)行安全工作時(shí)不能遵循統(tǒng)一的策略，導(dǎo)致因誤操作或因不規(guī)范導(dǎo)致的問(wèn)題發(fā)生。可能會(huì)出現(xiàn)由于制度流程不 完善導(dǎo)致的信息泄密、網(wǎng)絡(luò)系統(tǒng)癱瘓等管理制度不全面，未能覆蓋包括第三方人員管 理、桌面系統(tǒng)管理、系統(tǒng)開(kāi)發(fā)等方面，導(dǎo)致相關(guān)操作無(wú)規(guī)范。當(dāng)前 XX 電力成立了信息安全工作領(lǐng)導(dǎo)小組，但小組成員基本以各級(jí)領(lǐng)導(dǎo)為主，專業(yè)安全人員只有一人，不能滿足日常安全管理工作需要。并且系統(tǒng)維護(hù)人員同時(shí)負(fù)責(zé)此系 統(tǒng)的安全運(yùn)行，目前的編制已經(jīng)很難滿足日常安全管理的需要，因此信息安全的具體執(zhí) 行工作難以得到有效的開(kāi)展。安全崗位職責(zé)未設(shè)置 AB 角色，一人負(fù)責(zé)，一旦發(fā)生人員調(diào)離或其它意外導(dǎo)致系統(tǒng)全面癱瘓。沒(méi)有建立完善信

30、息安全考核體系，導(dǎo)致員工不能嚴(yán)格執(zhí)行各項(xiàng)信息安全規(guī)章制 度。各級(jí)員工普遍信息安全意識(shí)不強(qiáng)，導(dǎo)致員工對(duì)信息安全的內(nèi)容、管理目標(biāo)等沒(méi)有明 確的認(rèn)識(shí)與理解，不能在日常工作中主動(dòng)地貫徹各項(xiàng)信息安全制度、規(guī)范及標(biāo)準(zhǔn)。XX 電力尚未實(shí)施針對(duì)非專業(yè)安全人員的安全培訓(xùn)計(jì)劃安全培訓(xùn)跟不上導(dǎo)致專業(yè)人員 和普通員工安全技術(shù)缺乏，安全意識(shí)薄弱當(dāng)前情況下，備份介質(zhì)大多存放在機(jī)房?jī)?nèi)或辦公區(qū)域中。同時(shí)沒(méi)有針對(duì)可移動(dòng)介質(zhì) 的管理制度。沒(méi)有介質(zhì)銷毀制度。重要軟件或其它資產(chǎn)（如密碼本）存放在機(jī)房?jī)?nèi)，可 能會(huì)導(dǎo)致容易使內(nèi)部較易獲取或破壞資產(chǎn)；重要資產(chǎn)存放在辦公區(qū)域內(nèi)，很容易被外來(lái) 人員進(jìn)行有意或無(wú)意的攻擊。目前按部門(mén)的劃分來(lái)保護(hù)資

31、產(chǎn)，將資產(chǎn)進(jìn)行了一些簡(jiǎn)單分類。軟件資產(chǎn)無(wú)詳細(xì)登 記，也未將資產(chǎn)劃分安全等級(jí)。不能對(duì)重點(diǎn)資產(chǎn)進(jìn)行重點(diǎn)保護(hù)。尚未制定相應(yīng)的訪問(wèn)權(quán)限與控制的流程與職責(zé)，總部和各分廠在處理第三方訪問(wèn)權(quán) 限時(shí)沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)與規(guī)范；對(duì)第三方的監(jiān)控缺少標(biāo)準(zhǔn)與技術(shù)手段，各單位基本沒(méi)有在 第三方訪問(wèn)時(shí)實(shí)施有效的監(jiān)控；在第三方合作完成后，不能及時(shí)的注銷訪問(wèn)權(quán)限、修改 口令，存在第三方繼續(xù)訪問(wèn)獲得機(jī)密信息或者進(jìn)行非法操作的風(fēng)險(xiǎn)。當(dāng)前 XX 電力缺乏系統(tǒng)規(guī)范的應(yīng)急響應(yīng)預(yù)案。缺乏相應(yīng)的制度流程，導(dǎo)致系統(tǒng)遭受篡 改或無(wú)法使用時(shí)，對(duì)公司的管理運(yùn)營(yíng)具有輕微影響。缺乏系規(guī)范的桌面系統(tǒng)安全管理規(guī)范，終端人員操作水平不一致，安全意識(shí)不足可 能會(huì)導(dǎo)

32、致桌面系統(tǒng)的病毒蠕蟲(chóng)事件，以至于網(wǎng)絡(luò)癱患；移動(dòng)硬盤(pán)的無(wú)規(guī)范使用，不僅會(huì) 導(dǎo)致病毒泛濫，而且容易將信息泄露或數(shù)據(jù)破壞及丟失。建設(shè)過(guò)程中沒(méi)有同步考慮系統(tǒng)功能和安全性。立項(xiàng)管理階段：項(xiàng)目前期過(guò)程中對(duì)安 全的考慮不夠完整，主要包括信息安全目標(biāo)定義不明確，初步安全控制方案存在控制不 足的情況，項(xiàng)目預(yù)算調(diào)減時(shí)導(dǎo)致安全控制被消減；實(shí)施管理階段：缺少統(tǒng)一的安全需求 分析方法、基本保護(hù)要求以及安全驗(yàn)收測(cè)試，導(dǎo)致在建系統(tǒng)的安全控制方案不能有效地 實(shí)現(xiàn)安全目標(biāo)，開(kāi)發(fā)過(guò)程中對(duì)開(kāi)發(fā)人員控制不夠，使得項(xiàng)目過(guò)程文檔和內(nèi)部敏感信息外 流；驗(yàn)收管理階段：缺乏系統(tǒng)運(yùn)維計(jì)劃，包括備份恢復(fù)計(jì)劃、應(yīng)急預(yù)案，有的系統(tǒng)是上 線運(yùn)行后。4建

33、設(shè)目標(biāo)本期信息網(wǎng)安全建設(shè)達(dá)到以下目標(biāo)：? 通過(guò)防火墻和入侵檢測(cè) / 防護(hù)系統(tǒng)的部署，構(gòu)建網(wǎng)絡(luò)邊界防護(hù)，將內(nèi)部網(wǎng)絡(luò) 與其他網(wǎng)絡(luò)進(jìn)行隔離，避免與外部網(wǎng)絡(luò)的直接通訊，保證網(wǎng)絡(luò)結(jié)構(gòu)信息不外泄；? 對(duì)各條鏈路上的服務(wù)請(qǐng)求做必要的限制，使非法訪問(wèn)不能到達(dá)主機(jī)；? 通過(guò)防病毒系統(tǒng)的部署，建立完整的系統(tǒng)防病毒體系，防止病毒的侵害；? 通過(guò)客戶端管理系統(tǒng)的部署，建立客戶端資源、行為的必要控制，以及補(bǔ) 丁及時(shí)分發(fā)，減少內(nèi)網(wǎng)用戶的不安全因素；? 通過(guò)省公司本部安全監(jiān)管平臺(tái)的部署，初步實(shí)現(xiàn)安全事件集中監(jiān)視和分 析，為下一步建設(shè)全省信息安全體系打下基礎(chǔ)。5安全區(qū)域的劃分方案5.1 網(wǎng)絡(luò)安全域劃分原則 安全域是指網(wǎng)絡(luò)系統(tǒng)

34、內(nèi)包含相同的安全要求，達(dá)到相同的安全防護(hù)等級(jí)的區(qū)域。網(wǎng) 絡(luò)安全域設(shè)計(jì)遵循以下原則：1 、內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)層次分明，便于網(wǎng)絡(luò)隔離和安全規(guī)劃。2 、網(wǎng)絡(luò)結(jié)構(gòu)具備高可靠性和高可用性。3、不同的網(wǎng)段在交換機(jī)上劃分不同虛擬局域網(wǎng)（ VLAN ），不同虛擬局域網(wǎng)（ VLAN ）之間的路由設(shè)置訪問(wèn)控制表（ ACL）。4 、地址規(guī)劃應(yīng)便于路由匯總以方便路由管理、提高路由廣播效率以及簡(jiǎn)化 ACL 配置。5 、邊界和內(nèi)部的動(dòng)態(tài)路由協(xié)議應(yīng)盡量啟用認(rèn)證，用來(lái)防止路由欺騙，否則高明的黑客可以通過(guò)發(fā)送惡意的路由更新廣播包，使得路由器更新路由表，造成網(wǎng)絡(luò)癱瘓和 路由旁路。6 、所有對(duì)網(wǎng)絡(luò)設(shè)備的維護(hù)管理啟用更可靠的認(rèn)證。7、交換

35、機(jī) 的第三層 模塊（ L3 模塊） 或防火墻 配置訪問(wèn) 控制表（ACL）。8 、路由器設(shè)置反地址欺騙檢查。對(duì)于路由器，外出（ Outbound ）接收包的源地址只可能是外部地址，不可能是內(nèi)部地址，同樣進(jìn)入（ Inbound ）接收包的源地址只可 能是內(nèi)部地址，不可能是外部地址，這樣能防止黑客利用策略允許的內(nèi)部或外部地址進(jìn) 入網(wǎng)絡(luò)。9 、啟用路由反向解析驗(yàn)證，這在某種程度上犧牲了一定的網(wǎng)絡(luò)性能，但能有效阻止隨機(jī)源地址類型的攻擊，如同步攻擊等（ SyncFlood ）。10 、 路由器過(guò)濾所有來(lái)自外部網(wǎng)絡(luò)的源地址為保留地址的數(shù)據(jù)包。11、 所有提供簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（ SNMP ）服務(wù)的設(shè)備（路由器

36、、交換 機(jī)、計(jì)算機(jī)設(shè)備等）的共用組名（ Community Name ）不能使用缺省，要足夠 復(fù)雜，并且統(tǒng)一管理。全省按如下網(wǎng)絡(luò)安全域進(jìn)行劃分：1 、整個(gè)省公司劃分為四個(gè)大的安全域：內(nèi)部辦公區(qū)， DMZ （對(duì)外業(yè)務(wù)區(qū)），電力信2、息網(wǎng)區(qū)（對(duì)內(nèi)業(yè)務(wù)區(qū)） ，若干外聯(lián)網(wǎng)區(qū)域（ Internet ，第三方接入等）； 各安全域之間通過(guò)防火墻進(jìn)行隔離，在防火墻上按照網(wǎng)絡(luò)應(yīng)用的需求進(jìn)行訪問(wèn)策略的設(shè)置；3、外網(wǎng)服務(wù)器區(qū)（DMZ ）的網(wǎng)站、郵件、應(yīng)用（Web , Mail ,Application ）服務(wù)器通過(guò)網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT ）等，對(duì)In ternet提供服務(wù)；4、電力信息網(wǎng)區(qū)的服務(wù)器通過(guò)防火墻與內(nèi)部辦公

37、區(qū)， DMZ 區(qū)進(jìn)行通信，對(duì)內(nèi)提供系統(tǒng)應(yīng)用；內(nèi)部辦公區(qū)視需求進(jìn)行虛擬局域網(wǎng)（ VLAN ）的進(jìn)一步劃分，由交換機(jī)的第三層模塊（ L3 模塊）進(jìn)行虛擬局域網(wǎng)（ VLAN ）劃分和訪問(wèn)控制表（ ACL ）控制或通過(guò)防火墻模塊 進(jìn)行各虛擬局域網(wǎng)（ VLAN ）之間的安全控制。5.2 網(wǎng)絡(luò)區(qū)域邊界訪問(wèn)控制需求根據(jù)目前公司系統(tǒng)的實(shí)際網(wǎng)絡(luò)狀況，在公司系統(tǒng)網(wǎng)絡(luò)環(huán)境中，區(qū)域邊界主要有以下 幾個(gè)：互聯(lián)網(wǎng)與電力信息網(wǎng)的連接邊界，電力信息網(wǎng)內(nèi)各本地局域網(wǎng)與廣域網(wǎng)的連接邊 界，電力信息網(wǎng)與華東電網(wǎng)的連接邊界，電力信息網(wǎng)與國(guó)家電網(wǎng)的連接邊界，各地市公 司與縣公司的連接邊界，各地市公司與銀行的連接邊界。根據(jù)網(wǎng)絡(luò)安全建設(shè)的

38、原則，安全等級(jí)低的系統(tǒng)應(yīng)該與安全級(jí)別高的系統(tǒng)進(jìn)行有效隔 離，避免將兩者混雜，從而直接降低了高安全級(jí)別系統(tǒng)的安全性。安全僅僅依靠操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)權(quán)限控制功能。這是遠(yuǎn)遠(yuǎn)不夠的，任何一 個(gè)位于該網(wǎng)絡(luò)中的客戶終端，都可能是一個(gè)潛在的對(duì)關(guān)鍵服務(wù)器的威脅點(diǎn)。因此，首先必須將所有這些服務(wù)器按重要等級(jí)和國(guó)家經(jīng)貿(mào)委劃定的“安全區(qū)域”進(jìn) 行分級(jí)，其次在科學(xué)合理分級(jí)的基礎(chǔ)上，采用有效的網(wǎng)絡(luò)隔離措施，隔離這些不同安全 等級(jí)的服務(wù)器，并進(jìn)行有效的訪問(wèn)控制。網(wǎng)絡(luò)隔離的目的最主要的就是要完成網(wǎng)絡(luò)層訪問(wèn)控制的功能。經(jīng)常存在的網(wǎng)絡(luò)濫用 現(xiàn)象本身就是因?yàn)槿狈τ行У脑L問(wèn)控制手段所導(dǎo)致的。從安全的角度來(lái)說(shuō)，應(yīng)該遵循“最小授權(quán)

39、”原則：一個(gè)實(shí)體應(yīng)該而且只應(yīng)該被賦予它完成正常功能所需的最小權(quán)限。而 在我們的實(shí)際網(wǎng)絡(luò)運(yùn)營(yíng)中，往往忽略了這一原則，任何一個(gè)在網(wǎng)絡(luò)上活動(dòng)的普通用戶， 經(jīng)常會(huì)擁有過(guò)多的訪問(wèn)權(quán)限。一個(gè)用戶本來(lái)僅僅只需要訪問(wèn)服務(wù)器的WEB服務(wù)，但是由于缺乏有效的網(wǎng)絡(luò)層隔離與訪問(wèn)控制機(jī)制，這個(gè)用戶其實(shí)擁有對(duì)該服務(wù)器一切網(wǎng)絡(luò)服務(wù)訪問(wèn)的權(quán)限。這種違反“最小授權(quán)”的情況事實(shí)上經(jīng)常被人忽略，從而導(dǎo)致了在特定的 情況下安全事件的產(chǎn)生，造成了嚴(yán)重的后果。IP常見(jiàn)的網(wǎng)絡(luò)層訪問(wèn)控制主要是基于 IP 和端口來(lái)進(jìn)行。對(duì)公司系統(tǒng)來(lái)說(shuō)僅僅基于這樣 的網(wǎng)絡(luò)層訪問(wèn)控制是不夠的。因?yàn)橥蛻舳说?IP 地址是采用動(dòng)態(tài)分配，很難將某個(gè) 地址與特定用戶

40、綁定起來(lái)。因此需要通過(guò) MAC 地址對(duì)用戶網(wǎng)絡(luò)層的訪問(wèn)進(jìn)行控制。訪問(wèn)控制在多個(gè)網(wǎng)絡(luò)協(xié)議層面都是一個(gè)必要的安全機(jī)制。對(duì)重要應(yīng)用系統(tǒng)來(lái)說(shuō)，其 訪問(wèn)控制要求更為細(xì)致，但網(wǎng)絡(luò)層的訪問(wèn)控制是基礎(chǔ)，如果在網(wǎng)絡(luò)通訊層面以及操作系 統(tǒng)層面都不能保證嚴(yán)格有力的訪問(wèn)控制，應(yīng)用層面的控制是沒(méi)有意義的。所以，首先必 須實(shí)施全面的區(qū)域邊界網(wǎng)絡(luò)隔離與訪問(wèn)控制技術(shù)。5.3 邊界網(wǎng)絡(luò)隔離和訪問(wèn)控制為了有效保證同一網(wǎng)絡(luò)區(qū)域內(nèi)實(shí)行相同的安全策略，避免違背安全策略的跨區(qū)域訪 問(wèn)（如嚴(yán)格禁止從 Internet 對(duì) XX 電力專網(wǎng)的直接訪問(wèn)），方案采用如下措施進(jìn)行區(qū)域 邊界防護(hù)。5.3.1 區(qū)域邊界的訪問(wèn)控制防火墻技術(shù)是目前最成熟，

41、應(yīng)用最普遍的區(qū)域邊界訪問(wèn)控制技術(shù)。它通過(guò)設(shè)置在不 同網(wǎng)絡(luò)區(qū)域（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間來(lái)實(shí)施安全 策略。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)安全政策控制（允 許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安 全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。區(qū)域邊界的防火墻控制技術(shù)在上述所有邊界均加以實(shí)施。5.3.2 敏感區(qū)域邊界的流量審計(jì) 此處的敏感區(qū)域邊界，主要指安全性相對(duì)較高和安全性相對(duì)較低網(wǎng)絡(luò)之間的連接區(qū) 域邊界，具體到省公司信息系統(tǒng)而言即為 Internet 與信息網(wǎng)系統(tǒng)的連接邊界，信息網(wǎng)系 統(tǒng)與國(guó)網(wǎng)公司、華東電網(wǎng)、縣公司

42、及銀行的網(wǎng)絡(luò)連接邊界。對(duì)于這些邊界的控制，僅僅 使用防火墻策略是不夠的。由于敏感區(qū)域邊界間安全性差別較大，極易出現(xiàn)安全問(wèn)題， 所以應(yīng)對(duì)跨區(qū)域的流量進(jìn)行完全審計(jì)，便于日后的審查需要。5.3.3 敏感區(qū)域邊界的網(wǎng)絡(luò)防入侵及防病毒 除了在敏感區(qū)域邊界間實(shí)施流量審計(jì)這種被動(dòng)審計(jì)技術(shù)外，還應(yīng)建立主動(dòng)入侵防御 機(jī)制，動(dòng)態(tài)響應(yīng)跨區(qū)域的入侵，這種動(dòng)態(tài)響應(yīng)技術(shù)即為入侵檢測(cè)和病毒防護(hù)技術(shù)。因 為，從安全角度來(lái)說(shuō)，當(dāng)前新興的病毒威脅已具有相關(guān)黑客入侵特征，二者的結(jié)合防護(hù) 不可或缺。上述三種技術(shù)在進(jìn)行區(qū)域邊界防護(hù)時(shí)可互為補(bǔ)充，相輔相成。從工程角度來(lái)說(shuō)，最 好能將三種技術(shù)集成在一個(gè)產(chǎn)品里，以提供安全功能的集合，一方面便

43、于實(shí)施，另一方 面便于后期維護(hù)和管理。6XX 電力信息網(wǎng)防火墻部署方案在 Internet 與互聯(lián)網(wǎng)內(nèi)容發(fā)布平臺(tái)之間和互聯(lián)網(wǎng)內(nèi)容發(fā)布平臺(tái)與電力信息網(wǎng)之間部 署具有防火墻、安全審計(jì)、入侵防護(hù)和病毒防護(hù)等綜合功能的安全產(chǎn)品。雖然，公司系統(tǒng)已經(jīng)部署了部分的思科 PIX 防火墻，但是思科 PIX 防火墻采用的是 防火墻防護(hù)技術(shù)最初級(jí)的一種。思科 PIX 通過(guò)包過(guò)濾技術(shù)實(shí)現(xiàn)對(duì)用戶網(wǎng)絡(luò)的防護(hù)，這種 技術(shù)無(wú)法應(yīng)對(duì)目前日益猖獗的混合式威脅，也無(wú)法提供病毒防護(hù)功能。近一兩年，基于對(duì)邊界安全需求的全面考慮，許多安全廠商推出了新型的多功能網(wǎng) 關(guān)，新型多功能網(wǎng)關(guān)就是在防火墻的基礎(chǔ)上提供網(wǎng)關(guān)需要的其他安全功能，例如最常

44、見(jiàn) 的是在防火墻上增加虛擬專用網(wǎng)（ VPN ）功能。還有在防火墻上增加防病毒功能。也有 更為先進(jìn)的是在防火墻上同時(shí)集成了虛擬專用網(wǎng)（ VPN ）、防病毒、入侵檢測(cè)、內(nèi)容過(guò) 濾等全面安全功能。新型多功能網(wǎng)關(guān)是網(wǎng)關(guān)安全發(fā)展的趨勢(shì)，只有新型多功能網(wǎng)關(guān)才能 真正讓網(wǎng)關(guān)位置成為安全防護(hù)體系的重要有力的組成部分。在公司網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)區(qū)域出口處安裝此類多功能集成網(wǎng)關(guān)安全產(chǎn)品，為用戶構(gòu)建 堅(jiān)固的網(wǎng)絡(luò)防線。此類防火墻不但可以防止黑客入侵，而且提供入侵檢測(cè) / 防護(hù)功能，并 且可以和防火墻自帶防病毒系統(tǒng)緊密結(jié)合在一起，提供網(wǎng)關(guān)級(jí)的防病毒保護(hù)?？紤]到全省信息網(wǎng)移到綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)上，我們?cè)诟鞯厥泄九c省公司連接的網(wǎng)關(guān)

45、 處均采用千兆防火墻，各地市公司到縣公司、銀行等采用百兆防火墻。通過(guò)防火墻可對(duì)不同安全區(qū)域之間的網(wǎng)絡(luò)連接活動(dòng)進(jìn)行嚴(yán)格的訪問(wèn)控制，并且不僅 僅如此，通過(guò)防火墻可對(duì)往來(lái)這些網(wǎng)絡(luò)之間的攻擊入侵和病毒傳播進(jìn)行有效的檢測(cè)和阻 斷，從而將高安全區(qū)域有效的隔離保護(hù)起來(lái)，從網(wǎng)絡(luò)層到應(yīng)用層進(jìn)行立體化的區(qū)域邊界 防御，通過(guò)實(shí)施該一體化的集成安全網(wǎng)關(guān)，使省公司和各地市公司內(nèi)部網(wǎng)絡(luò)的安全等級(jí) 得到有效提升和保證。6.1 省公司防火墻和集成安全網(wǎng)關(guān)的部署1省公司防火墻和集成安全網(wǎng)關(guān)部署示意圖（老大樓）部署說(shuō)明：?用于In ternet出口訪問(wèn)控制，已采用PIX防火墻，由于PIX采用的是ASA算法狀態(tài)檢測(cè)技術(shù)，通過(guò)包過(guò)濾

46、技術(shù)實(shí)現(xiàn)對(duì)用戶網(wǎng)絡(luò)的防護(hù)，這種技術(shù)無(wú)法應(yīng)對(duì)目 前日益猖獗的混合式威脅，也無(wú)法提供病毒防護(hù)功能。因此在此方案中我們建議 采用帶有防病毒、內(nèi)容過(guò)濾、入侵檢測(cè)、安全審計(jì)為一體的多功能集成安全網(wǎng) 關(guān)。通過(guò)在集成安全網(wǎng)關(guān)上啟用相應(yīng)的安全策略，控制內(nèi)部用戶的對(duì)外訪問(wèn)，并 開(kāi)啟防病毒功能以保證內(nèi)部用戶的對(duì)外訪問(wèn)不受病毒侵害。另外，通過(guò)啟用反垃 圾郵件技術(shù)，保護(hù)內(nèi)部的郵件服務(wù)器免受垃圾郵件的攻擊，并根據(jù)網(wǎng)絡(luò)的具體應(yīng) 用在集成安全網(wǎng)關(guān)上啟用入侵檢測(cè)和入侵防護(hù)攻擊(IDS / IPS)功能，保護(hù)互聯(lián) 網(wǎng)網(wǎng)關(guān)處系統(tǒng)免受來(lái)自系統(tǒng)內(nèi)外的攻擊。?遠(yuǎn)程訪問(wèn)虛擬通道(VPN )防火墻，其已采用PIX防火墻，在方案中在PIX

47、VPN 防火墻之后增加集成安全網(wǎng)關(guān)，用于移動(dòng)用戶對(duì)內(nèi)網(wǎng)訪問(wèn)的數(shù)據(jù)解密后進(jìn)行 病毒防護(hù)、內(nèi)容過(guò)濾等。? 在合肥地區(qū)單位和省公司網(wǎng)絡(luò)連接邊界處、國(guó)網(wǎng)公司、華東公司與省公司 網(wǎng)絡(luò)連接邊界處和電力三級(jí)網(wǎng)與省公司網(wǎng)絡(luò)連接邊界處分別部署帶有防病毒、內(nèi) 容過(guò)濾、入侵檢測(cè)、安全審計(jì)為一體的多功能集成安全網(wǎng)關(guān)。并通過(guò)在集成安全 網(wǎng)關(guān)上啟用相應(yīng)的安全策略，控制用戶的對(duì)外訪問(wèn)，并開(kāi)啟防病毒功能以保證用 戶的對(duì)外訪問(wèn)不受病毒侵害。?在省公司兩臺(tái)CISCO 6506上分別增加1塊FWSM防火墻模塊，用于各VLAN 之間的安全訪問(wèn)控制。并通過(guò)此部署，可以嚴(yán)格控制用戶對(duì)服務(wù)器區(qū)的訪問(wèn) 控制。F5防.防火墻日DMZ區(qū)FW4

48、（FW3 （增加）FW1 （增加）省信息中心機(jī)房國(guó)網(wǎng)公司FW6 （增加）FW5 （增加）合肥地區(qū)單位電力三級(jí)網(wǎng) ！FW2 （增加）局域網(wǎng)華東二級(jí)網(wǎng)可供外網(wǎng)訪問(wèn)的DNS,Mail,IMS服務(wù)器群各部門(mén)局域網(wǎng)各部門(mén)局域網(wǎng)<J省公司防火墻和集成安全網(wǎng)關(guān)部署示意圖（老大樓）移動(dòng)用戶1G光纖100M五類線網(wǎng)管工作站 OA服務(wù)器 認(rèn)證服務(wù)器Web服務(wù)器2 省公司防火墻和集成安全網(wǎng)關(guān)部署示意圖（新大樓）部署說(shuō)明：1、在省公司與“INTERNET、華東公司、國(guó)網(wǎng)公司、各地市公司信息三級(jí)網(wǎng)”相連的網(wǎng)絡(luò)邊界采用兩層異構(gòu)防火墻系統(tǒng)，外層防火墻為已經(jīng)部署的專業(yè)安全設(shè)備， 用于阻擋來(lái)自互聯(lián)網(wǎng)、國(guó)網(wǎng)公司、華東公司等

49、網(wǎng)絡(luò)攻擊和設(shè)置訪問(wèn)控制策略。內(nèi)層防 火墻系統(tǒng)采用集成安全網(wǎng)關(guān)。其中互連網(wǎng)安全網(wǎng)關(guān)采用雙機(jī)熱備工作方式，即高可用 性HA方式，任何一臺(tái)設(shè)備出現(xiàn)問(wèn)題，備機(jī)均可以迅速替換工作，網(wǎng)絡(luò)仍能正常運(yùn) 轉(zhuǎn)。在內(nèi)層集成安全網(wǎng)關(guān)上啟用相應(yīng)的安全策略，控制內(nèi)部用戶的對(duì)外訪問(wèn)，并開(kāi)啟 防病毒功能以保證內(nèi)部用戶的對(duì)外訪問(wèn)不受病毒侵害。另外，啟用反垃圾郵件技術(shù)， 保護(hù)內(nèi)部的郵件服務(wù)器免受垃圾郵件的攻擊，并根據(jù)網(wǎng)絡(luò)的具體應(yīng)用在集成安全網(wǎng)關(guān) 上啟用入侵檢測(cè)和入侵防護(hù)攻擊（IDS/IPS）功能，保護(hù)互聯(lián)網(wǎng)網(wǎng)關(guān)處系統(tǒng)免受來(lái)自 系統(tǒng)內(nèi)外的攻擊。2、遠(yuǎn)程訪問(wèn)虛擬通道（VPN）防火墻，其已采用PIX防火墻，在方案中通過(guò)在將PIXVPN

50、 防火墻之后增加集成安全網(wǎng)關(guān)，用于移動(dòng)用戶對(duì)內(nèi)網(wǎng)訪問(wèn)解密后的數(shù)據(jù)進(jìn)行防 病毒、內(nèi)容過(guò)濾等。3、通過(guò)在信息三級(jí)網(wǎng)路由系統(tǒng)前增加集成安全網(wǎng)關(guān)過(guò)濾掉病毒等混合式威脅進(jìn)入到 信息三級(jí)網(wǎng)，從而保護(hù)各地市公司的網(wǎng)絡(luò)安全。4、通過(guò)在合肥城域網(wǎng)之前部署集成安全網(wǎng)關(guān)過(guò)濾掉合肥地區(qū)單位病毒等混合式威脅 進(jìn)入省公司內(nèi)網(wǎng)。5、在省公司兩臺(tái)服務(wù)器區(qū)三層交換機(jī)上分別增加 1塊FWSM防火墻模塊，用于對(duì)服 務(wù)器的安全訪問(wèn)控制。防火墻管理中心省公司防火墻模塊和集成安全網(wǎng)關(guān)部署圖集成安全網(wǎng)關(guān)樓層無(wú)線接入樓層有線接入集成安全網(wǎng)關(guān)系統(tǒng)I.JGII 4 III 1： III«II SK IIBlJll IU JllI IB

51、IL UjjP.-i防火墻系統(tǒng)Internet新大樓核 心交換機(jī)老大樓核 心交換機(jī)集成安全網(wǎng)關(guān)系統(tǒng)一 可供外網(wǎng)訪問(wèn)的DNS,Mail,IMS服務(wù)器群合肥城域網(wǎng)萬(wàn)兆以太網(wǎng) 千兆以太網(wǎng)百兆以太網(wǎng)/< I Wl.JT華東網(wǎng)絡(luò) 國(guó)網(wǎng)網(wǎng)絡(luò) 集成綜合數(shù)據(jù)網(wǎng)全網(wǎng)關(guān)系統(tǒng).11 IIL Ul Ilk «U4 IM J M JIB IIJBillBlldlLI h Ul I. IU 11 I OA服務(wù)器服務(wù)器群IB B SB增加防火墻模塊地市客戶端路由CR注：結(jié)合省公司老大樓和新大樓的部署情況，建議總共增加 6臺(tái)集成安全網(wǎng)關(guān) （其中5臺(tái)千兆集成安全網(wǎng)關(guān)，1臺(tái)百兆集成安全網(wǎng)關(guān)）；2塊思科FWSM防火

52、墻模 塊。6.2地市公司防火墻和集成安全網(wǎng)關(guān)的部署對(duì)公司系統(tǒng)各地市公司來(lái)說(shuō)，其中一大威脅就是縣公司的防御比較脆弱，一旦某縣 公司局部網(wǎng)絡(luò)出現(xiàn)安全事件如蠕蟲(chóng)病毒蔓延等，勢(shì)必將導(dǎo)致該威脅在整個(gè)大網(wǎng)中進(jìn)行蔓 延和傳播，通過(guò)將縣公司的廣域網(wǎng)連接路由器與地市公司連接省公司的路由器隔離開(kāi)來(lái)，將各縣公司納入到地市公司的安全管理范圍內(nèi)，確保各縣公司網(wǎng)絡(luò)不對(duì)信息三級(jí)網(wǎng) 構(gòu)成威脅。部署說(shuō)明：1、在地市公司與縣公司相連的路由器前增加集成安全網(wǎng)關(guān)，防止縣公司網(wǎng)絡(luò)安全威 脅到信息網(wǎng)，并通過(guò)在集成安全網(wǎng)關(guān)上啟用相應(yīng)的安全策略，控制縣公司用戶的對(duì)信息 網(wǎng)的訪問(wèn)，并開(kāi)啟防病毒功能以防止縣公司的病毒侵害到信息網(wǎng)。另外，在集成安

53、全網(wǎng) 關(guān)上啟用防攻擊入侵檢測(cè)/入侵防護(hù)（IDS/IPS）功能，使信息網(wǎng)絡(luò)系統(tǒng)免受來(lái)自縣公司 的攻擊。2、在地市公司與省公司相連的路由器后增加千兆防火墻，隔離各地市公司網(wǎng)絡(luò)的相 互威脅，并通過(guò)防火墻設(shè)置訪問(wèn)控制。3、地市公司與銀行相連的前置機(jī)后增加集成安全網(wǎng)關(guān)，通過(guò)設(shè)置訪問(wèn)策略，僅允許 銀行訪問(wèn)前置機(jī) IP 地址和數(shù)據(jù)應(yīng)用端口號(hào)。四級(jí)網(wǎng)新增設(shè)備百兆集成安全網(wǎng)關(guān)縣公司DMZ區(qū)服務(wù)器市公司辦公區(qū)域省公司三級(jí)網(wǎng)新增設(shè)備千兆防火墻百兆集成安全網(wǎng)關(guān)服務(wù)器集群集成安全網(wǎng)關(guān)銀電聯(lián)網(wǎng)新增設(shè)備千兆防火墻市公司千兆防火墻、集成安全網(wǎng)關(guān)部署圖新增集成安全網(wǎng)關(guān)前置機(jī)一路由器al銀行1 銀行2 銀行3銀電聯(lián)網(wǎng)集成安全網(wǎng)關(guān)

54、部署圖備注：1.在市公司與銀行相連的集成安全網(wǎng)關(guān)可以采用市公司與省公司相連的退下來(lái)的百兆防火墻代替2.在地市公司與省公司廣域處的網(wǎng)關(guān)防火墻可以使用在交換機(jī)上增加防火墻模塊代 替，增加防火墻模塊的優(yōu)點(diǎn) :不僅在省公司連接的廣域網(wǎng)網(wǎng)關(guān)處實(shí)現(xiàn)訪問(wèn)控制，而且在不 同的 VLAN 之間的訪問(wèn)控制也可以實(shí)現(xiàn)，尤其是對(duì)服務(wù)器區(qū)的訪問(wèn)控制。6.3 技術(shù)要求1、集成安全網(wǎng)關(guān)主要功能和技術(shù)要求如下：?采用網(wǎng)絡(luò)處理器（NetworkProcessor : NP）和專用集成電路（ASIC）架構(gòu)。? 集成防火墻、基于協(xié)議異常和基于攻擊特征的入侵防御及入侵檢測(cè)、病毒 防護(hù)、內(nèi)容過(guò)濾、電子郵件過(guò)濾等。? 可以提供集中管理，

55、通過(guò)集中的日志記錄、警報(bào)、報(bào)告和策略配置簡(jiǎn)化網(wǎng) 絡(luò)安全的管理。?支持路由、網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT ）和透明模式等。? 支持內(nèi)置認(rèn)證數(shù)據(jù)庫(kù)認(rèn)證、支持 Radius 服務(wù)器認(rèn)證。? 支持策略路由。? 防火墻本身應(yīng)具有較強(qiáng)的抗攻擊能力。? 支持靜態(tài)地址轉(zhuǎn)換、動(dòng)態(tài)地址轉(zhuǎn)換、端口轉(zhuǎn)換、反向 IP 映射、雙向地址轉(zhuǎn)? 支持流量管理和控制。?支持OS、入侵檢測(cè)庫(kù)、防病毒庫(kù)、內(nèi)容過(guò)濾庫(kù)等在線升級(jí)。? 支持標(biāo)準(zhǔn)日志記錄和審計(jì)。? 支持標(biāo)準(zhǔn)聯(lián)動(dòng)協(xié)議，可以與入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)、信息審計(jì)系 統(tǒng)、認(rèn)證系統(tǒng)、 VPN 設(shè)備、日志服務(wù)器等進(jìn)行聯(lián)動(dòng)。2、防火墻主要功能和技術(shù)要求如下：?采用網(wǎng)絡(luò)處理器(NetworkP

56、rocessor : NP)和專用集成電路(ASIC)架構(gòu)。? 可以提供集中管理，通過(guò)集中的日志記錄、警報(bào)、報(bào)告和策略配置簡(jiǎn)化網(wǎng)絡(luò)安全的管理。?支持路由、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT )和透明模式等。? 支持內(nèi)置認(rèn)證數(shù)據(jù)庫(kù)認(rèn)證、支持 Radius 服務(wù)器認(rèn)證。? 支持策略路由。? 防火墻本身應(yīng)具有較強(qiáng)的抗攻擊能力。? 支持靜態(tài)地址轉(zhuǎn)換、動(dòng)態(tài)地址轉(zhuǎn)換、端口轉(zhuǎn)換、反向 IP 映射、雙向地址轉(zhuǎn)? 支持流量管理和控制。? 支持標(biāo)準(zhǔn)日志記錄和審計(jì)。? 支持標(biāo)準(zhǔn)聯(lián)動(dòng)協(xié)議，可以與入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)、信息審計(jì)系 統(tǒng)、認(rèn)證系統(tǒng)、 VPN 設(shè)備、日志服務(wù)器等進(jìn)行聯(lián)動(dòng)。7XX 電力信息網(wǎng)網(wǎng)絡(luò)防病毒方案7.1 XX 電力防病毒軟件應(yīng)用現(xiàn)狀 公司系統(tǒng)現(xiàn)有的防病毒系統(tǒng)主要目的是保護(hù)辦公系統(tǒng)。郵件服務(wù)器采用 Domino Notes 系統(tǒng)，運(yùn)行于 Windows 2000 Server 系統(tǒng)平臺(tái)。各單位局域網(wǎng)已經(jīng)部署的防病毒軟件包括:? 賽門(mén)鐵克 (Symantec) 公司防病毒產(chǎn)品? 趨勢(shì) (TrendMicro) 公司防病毒產(chǎn)品? 瑞星公司防病毒產(chǎn)品其中以 Symantec 和 TrendMicro 產(chǎn)品