版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)
文檔簡介
電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案PAGE1PAGE52XX電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第1頁。目錄電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第1頁。TOC\o"1-3"\h\z1.引言 31.1信息安全體系建設(shè)的必要性 31.2解決信息安全問題的總體思路 31.3XX電力公司信息網(wǎng)安全防護策略 41.3.1XX電力公司總體安全策略 41.3.2XX電力信息安全總體框架 51.3.3防護策略 5對網(wǎng)絡(luò)的防護策略 5對主機的防護策略 6對郵件系統(tǒng)的防護策略 6對終端的防護策略 62.設(shè)計依據(jù) 72.1信息安全管理及建設(shè)的國際標(biāo)準(zhǔn)ISO-17799 73.XX電力信息網(wǎng)安全現(xiàn)狀 73.1管理安全現(xiàn)狀 73.2網(wǎng)絡(luò)安全現(xiàn)狀 83.3主機及業(yè)務(wù)系統(tǒng)安全現(xiàn)狀 93.4終端安全現(xiàn)狀 114.建設(shè)目標(biāo) 135.安全區(qū)域的劃分方案 135.1網(wǎng)絡(luò)安全域劃分原則 135.2網(wǎng)絡(luò)區(qū)域邊界訪問控制需求 145.3邊界網(wǎng)絡(luò)隔離和訪問控制 165.3.1區(qū)域邊界的訪問控制 165.3.2敏感區(qū)域邊界的流量審計 165.3.3敏感區(qū)域邊界的網(wǎng)絡(luò)防入侵及防病毒 16電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第2頁。6.XX電力信息網(wǎng)防火墻部署方案 17電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第2頁。6.1省公司防火墻和集成安全網(wǎng)關(guān)的部署 176.2地市公司防火墻和集成安全網(wǎng)關(guān)的部署 216.3技術(shù)要求 237.XX電力信息網(wǎng)網(wǎng)絡(luò)防病毒方案 247.1XX電力防病毒軟件應(yīng)用現(xiàn)狀 247.2企業(yè)防病毒總體需求 247.3功能要求 257.4XX電力網(wǎng)防病毒系統(tǒng)整體架構(gòu)和管理模式 267.4.1采用統(tǒng)一監(jiān)控、分布式部署的原則 267.4.2部署全面的防病毒系統(tǒng) 287.4.3病毒定義碼、掃描引擎的升級方式 297.5網(wǎng)絡(luò)防病毒方案 307.6防病毒系統(tǒng)部署 308.入侵檢測/入侵防護(IDS/IPS)方案 348.1網(wǎng)絡(luò)入侵檢測/入侵防護(IDS/IPS) 348.2網(wǎng)絡(luò)入侵檢測/入侵保護技術(shù)說明 358.2.1入侵檢測和入侵保護(IDS/IPS)產(chǎn)品的功能和特點 358.3入侵檢測/入侵防護(IDS/IPS)在公司系統(tǒng)網(wǎng)絡(luò)中的部署 399.內(nèi)網(wǎng)客戶端管理系統(tǒng) 419.1問題分析與解決思路 419.1.1IP地址管理問題 419.1.2用戶資產(chǎn)信息管理問題 429.1.3軟硬件違規(guī)行為監(jiān)控 439.1.4網(wǎng)絡(luò)拓?fù)洳榭磁c安全事件定位困難 439.1.5缺乏完整的用戶授權(quán)認(rèn)證系統(tǒng) 449.2系統(tǒng)主要功能模塊 449.3內(nèi)網(wǎng)管理解決方案 459.4方案實現(xiàn)功能 45電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第3頁。9.4.1IP地址管理 45電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第3頁。9.4.2客戶端管理 459.4.3系統(tǒng)管理 4712.安全產(chǎn)品部署總圖和安全產(chǎn)品清單表 49
1.引言1.1信息安全體系建設(shè)的必要性電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第4頁。隨著電網(wǎng)的發(fā)展和技術(shù)進步,電力信息化工作也有了突飛猛進的發(fā)展,信息網(wǎng)絡(luò)規(guī)模越來越大,各種信息越來越廣泛。然而,隨之而來的信息安全問題也日益突出。電力工業(yè)作為我國國民經(jīng)濟的基礎(chǔ)產(chǎn)業(yè)和公用事業(yè),電力系統(tǒng)的安全運行直接關(guān)系到國民經(jīng)濟的持速發(fā)展和滿足人民生活的需要,信息安全已成為電力企業(yè)在信息時代和知識經(jīng)濟新形勢下面臨的新課題,電力信息網(wǎng)絡(luò)與信息的安全一旦遭受破壞,造成的影響和損失將十分巨大。近年以來,在互聯(lián)網(wǎng)上先后出現(xiàn)的紅色代碼、尼姆達(dá)、蠕蟲、沖擊波等病毒造成了數(shù)以萬計的網(wǎng)站癱瘓,對電力信息系統(tǒng)的應(yīng)用造成了較大不良影響。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第4頁。公司按照建設(shè)“一強三優(yōu)”電網(wǎng)公司的發(fā)展戰(zhàn)略,為實現(xiàn)“安全基礎(chǔ)扎實、管理層次清晰、內(nèi)部運作規(guī)范、企業(yè)文化鮮明、社會形象誠信”的企業(yè)共同愿景,公司的信息化發(fā)展步伐不斷加快。計算機網(wǎng)絡(luò)已覆蓋全省各市、縣公司,實現(xiàn)了信息共享和快速傳遞。省、市公司的用戶數(shù)已達(dá)一萬多個,各類應(yīng)用200多個,省公司層面經(jīng)營管理類數(shù)據(jù)達(dá)2000G字節(jié),網(wǎng)絡(luò)、信息系統(tǒng)已成為公司生產(chǎn)、經(jīng)營和管理的重要支撐平臺。企業(yè)的應(yīng)用要求網(wǎng)絡(luò)與信息系統(tǒng)具有高可靠性、高可用性、高安全性,但類似網(wǎng)絡(luò)病毒導(dǎo)致信息網(wǎng)絡(luò)部分癱瘓、內(nèi)外部攻擊致使應(yīng)用服務(wù)中斷等事件時有發(fā)生,實際上還有其它一些未發(fā)現(xiàn)的或未產(chǎn)生后果的威脅,直接影響著省公司系統(tǒng)的信息安全,XX電力系統(tǒng)信息安全體系建設(shè)已迫在眉睫。1.2解決信息安全問題的總體思路當(dāng)前我國已把信息安全上升到國家戰(zhàn)略決策的高度。國家信息化領(lǐng)導(dǎo)小組第三次會議確定我國信息安全的指導(dǎo)思想:“堅持積極防御、綜合防范的方針,在全面提高信息安全防護能力的同時,重點保障基礎(chǔ)網(wǎng)絡(luò)和重要系統(tǒng)的安全。完善信息安全監(jiān)控體系,建立信息安全的有效機制和應(yīng)急處理機制。”這就引出等級保護的概念,必須區(qū)分重要程度不同的應(yīng)用系統(tǒng),并據(jù)此將保護措施分成不同的等級,而從國家層面,必須將那些關(guān)系到國家經(jīng)濟發(fā)展命脈的基礎(chǔ)網(wǎng)絡(luò)圈定出來,加以重點保護,這就是“重點保障基礎(chǔ)網(wǎng)絡(luò)和重要系統(tǒng)的安全”思路。
這一思路蘊涵了“適度”信息安全的概念?!斑m度”實際體現(xiàn)了建設(shè)信息安全的綜合成本與信息安全風(fēng)險之間的平衡,而不是要片面追求不切實際的安全。所謂信息安全,可以理解為對信息四方面屬性的保障,一是保密性,就是能夠?qū)箤κ值谋粍庸簦WC信息不泄露給未經(jīng)授權(quán)的人;二是完整性,就是能夠?qū)箤κ值闹鲃庸?,防止信息被未?jīng)授權(quán)的篡改;三是可用性,就是保證信息及信息系統(tǒng)確實為授權(quán)使用者所用;四是可控性,就是對信息及信息系統(tǒng)實施安全監(jiān)控。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第5頁。按照ISO17799信息安全標(biāo)準(zhǔn)、國家計算機網(wǎng)絡(luò)安全規(guī)定及國網(wǎng)公司相關(guān)規(guī)定,信息安全體系的建設(shè)應(yīng)包括兩個方面的內(nèi)容:安全技術(shù)防護體系、安全管理體系。技術(shù)防護體系包括網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的安全防護基礎(chǔ)設(shè)施和相關(guān)的監(jiān)視、檢測手段;安全管理體系主要包括組織、評估、方法、改進等管理手段。信息安全體系建設(shè)的方法是:在全面的安全風(fēng)險評估的基礎(chǔ)上,對信息資產(chǎn)進行安全分類定級,針對信息系統(tǒng)存在的安全隱患和威脅,提出信息系統(tǒng)安全整體規(guī)劃,分步實施,循環(huán)改進。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第5頁。結(jié)合當(dāng)前我司信息系統(tǒng)的安全現(xiàn)狀和急待解決的問題,我們提出我司的信息安全體系建設(shè)的總體思路:針對企業(yè)信息化應(yīng)用的需求,建立電力信息系統(tǒng)安全保障的總體框架,確定電力信息系統(tǒng)安全策略,以指導(dǎo)電力信息系統(tǒng)安全技術(shù)體系與管理系統(tǒng)的建設(shè)。在逐步引入先進實用的信息安全技術(shù)和手段的基礎(chǔ)上,開展信息系統(tǒng)安全評估活動,建立完善的安全技術(shù)體系。同時,逐步建立健全公司信息安全組織機構(gòu),逐步落實各項信息安全管理制度,廣泛開展信息安全教育,提高系統(tǒng)全員信息安全意識,構(gòu)造規(guī)范化的安全管理體制和機制,以期建立完善的信息安全管理體系,并培養(yǎng)一支技術(shù)較強的人才隊伍。按照統(tǒng)一規(guī)劃、分步實施的原則,本方案為XX電力公司信息網(wǎng)絡(luò)的安全防范基礎(chǔ)設(shè)施的初步設(shè)計。1.3XX電力公司信息網(wǎng)安全防護策略1.3.1XX電力公司總體安全策略企業(yè)的信息安全策略是企業(yè)信息安全工作的依據(jù),是企業(yè)所有安全行為的準(zhǔn)則。信息安全是圍繞安全策略的具體需求有序地組織在一起,構(gòu)架一個動態(tài)的安全防范體系。XX電力的總體安全策略如下:建立信息安全組織機構(gòu)、健全各種規(guī)章制度,注重管理。信息安全風(fēng)險防范側(cè)重企業(yè)內(nèi)部,尤其是核心設(shè)備、核心網(wǎng)段的安全防范。統(tǒng)一規(guī)劃、部署、實施企業(yè)互聯(lián)網(wǎng)對外的接口及安全防范。合理劃分網(wǎng)絡(luò)邊界,做好邊界的安全防護;合理劃分安全域,實現(xiàn)不同等級安全域之間的隔離。制定完善的備份策略,保障系統(tǒng)及數(shù)據(jù)的安全。充分利用現(xiàn)有的安全設(shè)施,發(fā)揮其安全功能。建立完善的監(jiān)控平臺和快速的響應(yīng)體系,及時的發(fā)現(xiàn)和解決出現(xiàn)的問題。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第6頁。采用數(shù)據(jù)安全技術(shù)保障實施,確保數(shù)據(jù)安全。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第6頁。1.3.2XX電力信息安全總體框架1.3.3防護策略對網(wǎng)絡(luò)的防護策略包括主動防護和被動防護兩方面,主動防護即采用入侵檢測工具,自動對網(wǎng)絡(luò)上進出的數(shù)據(jù)包進行檢測,分辯出非法訪問并阻斷報警。被動防護即采用防火墻設(shè)備,置于網(wǎng)絡(luò)出口處,并事先設(shè)定一定的規(guī)則,規(guī)定符合哪些條件的數(shù)據(jù)可以進出,其它的則一律阻斷不讓其通過。從而主動防護與被動防護結(jié)合,達(dá)到對網(wǎng)絡(luò)的防護,也以此形成對小型機、服務(wù)器、PC機等各類資源的基礎(chǔ)性防護。對主機的防護策略主機上運行的是公司系統(tǒng)核心業(yè)務(wù),存儲的是各類重要數(shù)據(jù),一旦此類機器出現(xiàn)問題,將會給公司系統(tǒng)日常業(yè)務(wù)的正常開展造成沖擊和損失,所以必須對其采取進一步的、更加嚴(yán)格的防護措施,具體在實踐中,就要對主機進行漏洞掃描和加固處理,即不定期用掃描工具對關(guān)鍵主機進行掃描,及時發(fā)現(xiàn)包括操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)在內(nèi)的各類漏洞缺陷,通過安裝補丁程序予以彌補,同時安裝防篡改、注冊表鎖定等加固軟件和身份認(rèn)證系統(tǒng),從而使主機主動拒絕非法訪問,自身具備較強的安全防護能力,抗御各類攻擊行為。對郵件系統(tǒng)的防護策略經(jīng)過多年的建設(shè)和推廣應(yīng)用,省電力公司已把基于LotusNotes的辦公自動化系統(tǒng)全面推廣到省、市、縣各級供電企業(yè),實現(xiàn)了公文在網(wǎng)上辦理和傳遞。公司系統(tǒng)的員工都開設(shè)了個人郵箱。所有公文流轉(zhuǎn)信息都會發(fā)送到員工的個人郵箱。同時這些郵箱又都具備發(fā)送和接受外網(wǎng)郵件的能力。近年來,由于病毒的泛濫和快速傳播,省公司的郵件系統(tǒng)每天不可避免地收到大量的垃圾郵件和攜帶病毒的郵件,郵件中的病毒又在局域網(wǎng)上快速傳播,嚴(yán)重地威脅網(wǎng)絡(luò)和信息安全。為保障網(wǎng)絡(luò)和信息系統(tǒng)安全運行,需要部署專用的反垃圾郵件系統(tǒng)和病毒過濾系統(tǒng)保護省公司郵件系統(tǒng)的安全運行。對終端的防護策略終端的安全防護是網(wǎng)絡(luò)與信息安全防護的重要內(nèi)容,其主要防護措施是:電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第7頁。安裝防病毒軟件并及時更新。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第7頁。加強管理,杜絕與業(yè)務(wù)無關(guān)軟件的安裝使用,控制使用軟盤、光盤驅(qū)動器。終端行為管理:網(wǎng)絡(luò)安全問題在很多情況下都是由“內(nèi)部人士”而非外來黑客所引起,在公司系統(tǒng)普遍存在著如下的問題:缺乏完整的內(nèi)部安全防護體系;網(wǎng)絡(luò)安全管理的基礎(chǔ)工作較薄弱,各類網(wǎng)絡(luò)基礎(chǔ)信息采集不全;存在一機多網(wǎng)和一機多用的可能性;外圍設(shè)備的接入控制困難;難以監(jiān)控用戶對計算機的使用情況。因此迫切地需要一種高效完整的網(wǎng)絡(luò)管理機制來監(jiān)測、控制整個內(nèi)網(wǎng)的資源和服務(wù),使整個網(wǎng)絡(luò)運行穩(wěn)定可靠,從而保證整個內(nèi)網(wǎng)的可信任和可控制。軟件更新服務(wù)系統(tǒng)(SUS):目前大部分病毒,像尼姆達(dá)(一種利用系統(tǒng)漏洞的蠕蟲病毒)是利用微軟的系統(tǒng)漏洞進行傳播的,而微軟對大部分的漏洞及時提供了相應(yīng)的補丁程序,但由于用戶未及時打補丁更新系統(tǒng)而導(dǎo)致數(shù)以萬計的Windows系統(tǒng)受到攻擊。因此需要一套軟件更新服務(wù)系統(tǒng)(SUS)來為主機提供補定程序,并及時自動更新系統(tǒng)。2.設(shè)計依據(jù)2.1信息安全管理及建設(shè)的國際標(biāo)準(zhǔn)ISO-17799ISO17799管理體系將IT策略和企業(yè)發(fā)展方向統(tǒng)一起來,確保IT資源用得其所,使與IT相關(guān)的風(fēng)險受到適當(dāng)?shù)目刂?。該?biāo)準(zhǔn)通過保證信息的機密性,完整性和可用性來管理和保護組織的所有信息資產(chǎn),通過方針、慣例、程序、組織結(jié)構(gòu)和軟件功能來確定控制方式并實施控制,組織按照這套標(biāo)準(zhǔn)管理信息安全風(fēng)險,可持續(xù)提高管理的有效性和不斷提高自身的信息安全管理水平,降低信息安全對持續(xù)發(fā)展造成的風(fēng)險,最終保障組織的特定安全目標(biāo)得以實現(xiàn),進而利用信息技術(shù)為組織創(chuàng)造新的戰(zhàn)略競爭機遇。3.XX電力信息網(wǎng)安全現(xiàn)狀3.1管理安全現(xiàn)狀電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第8頁。參考相關(guān)信息安全相關(guān)標(biāo)準(zhǔn)中的安全管理策略要求,根據(jù)XX電力內(nèi)網(wǎng)信息系統(tǒng)安全運維的需求,對XX電力內(nèi)網(wǎng)信息系統(tǒng)安全組織、人員管理、安全管理、運維管理、監(jiān)測管理、備份管理、應(yīng)急管理、文檔管理方面進行了調(diào)查分析,對XX電力內(nèi)網(wǎng)信息系統(tǒng)安全管理現(xiàn)狀描述如下:電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第8頁。安全組織方面:已有信息安全管理組織,有專職信息安全人員。信息安全專職人員負(fù)責(zé)組織內(nèi)部與各相關(guān)單位的信息安全協(xié)調(diào)溝通工作。人員管理方面:XX電力內(nèi)網(wǎng)信息系統(tǒng)已有明確的崗位責(zé)任制,技術(shù)人員在信息系統(tǒng)建設(shè)和日常維護過程中認(rèn)真履行職責(zé)。已有執(zhí)行外來人員管理策略,外來公司人員進入機房實施操作時,有XX電力內(nèi)網(wǎng)信息系統(tǒng)工作人員全程陪同。安全管理方面:有明確的安全管理要求與措施。沒有及時安裝相應(yīng)系統(tǒng)補丁,禁止安裝與工作無關(guān)的軟件;缺乏完備信息安全事件報告制度。運維管理方面:有具體明確的系統(tǒng)運行要求,日常故障維護,對故障現(xiàn)象、發(fā)現(xiàn)時間、檢查內(nèi)容、處理方法、處理人員、恢復(fù)時間等進行詳細(xì)記錄。監(jiān)測管理方面:有明確的監(jiān)測目標(biāo),在網(wǎng)絡(luò)檢測方面,利用入侵檢測來實時監(jiān)測,但沒有定時查看相關(guān)記錄和維護,并做出響應(yīng);在防病毒方面,利用防病毒系統(tǒng)來實時對病毒進行檢測和防護。應(yīng)急管理方面:有明確的應(yīng)急管理策略,實施工作主要有運維人員及服務(wù)提供商承擔(dān)。密碼管理方面:有明確的密碼管理實施辦法,但缺乏定期修改密碼及密碼保存辦法。備份管理方面:有明確的備份管理策略,也制定了相關(guān)的備份辦法。文檔管理方面:有明確的技術(shù)文檔管理制度,但技術(shù)文檔資料缺乏登記、分類、由專人保管,同時也缺乏技術(shù)文檔資料的使用、外借或銷毀的審批登記手續(xù)。3.2網(wǎng)絡(luò)安全現(xiàn)狀電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第9頁。XX電力的網(wǎng)絡(luò)拓?fù)洮F(xiàn)在如下圖所示:電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第9頁。當(dāng)前網(wǎng)絡(luò)骨干區(qū)域,基本形成以一臺H3CS7506為核心,多臺H3CS7503為匯聚接入的架構(gòu)。但核心交換機H3CS7506同時兼具遠(yuǎn)程接入?yún)^(qū)多條專線接入設(shè)備的任務(wù),中間沒有匯聚設(shè)備,網(wǎng)絡(luò)邏輯層次結(jié)構(gòu)較為模糊。不利于網(wǎng)絡(luò)的擴展建設(shè),更不利于安全域邊界的整合,無法實施集中統(tǒng)一的安全防護策略。除互聯(lián)網(wǎng)接入?yún)^(qū)外,當(dāng)前網(wǎng)絡(luò)各區(qū)域均為單鏈路、單設(shè)備。網(wǎng)絡(luò)單點故障隱患很大。任意節(jié)點設(shè)備、鏈路的故障,或因維護的需要停機重啟,均會造成相應(yīng)區(qū)域網(wǎng)絡(luò)的通訊中斷,造成重要影響。當(dāng)前網(wǎng)絡(luò)中,在服務(wù)器區(qū)部分、管理支撐區(qū)、遠(yuǎn)程接入?yún)^(qū),玉溪煙廠生產(chǎn)網(wǎng)辦公網(wǎng)部分均存在區(qū)域劃分不清晰,邊界模糊的情況。安全域劃分不清晰,區(qū)域邊界未整合,不利于日常的安全管理,無法實施集中統(tǒng)一的安全區(qū)域防護策略。服務(wù)器區(qū)域H3C設(shè)備FWSM防火墻處于策略全通狀態(tài),無法起到應(yīng)有的訪問控制功效,讓所有服務(wù)器直接暴露在辦公網(wǎng)中。部分遠(yuǎn)程接入?yún)^(qū)域鏈路、IT運營中心等,同樣存在缺乏防火墻等設(shè)備,無法實施基本的網(wǎng)絡(luò)訪問控制,無法有效防護重要資產(chǎn)設(shè)備。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第10頁。當(dāng)前網(wǎng)絡(luò)中缺乏必要的入侵檢測/防御手段,特別在核心交換機、內(nèi)網(wǎng)服務(wù)器區(qū)、DMZ服務(wù)器區(qū)。無法實施網(wǎng)絡(luò)流量的實時監(jiān)控分析,進行惡意行為的告警響應(yīng),無法及時發(fā)現(xiàn)并處理安全事件。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第10頁。全網(wǎng)缺乏一套集中的安全運營管理中心,無法集中監(jiān)控各網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機及業(yè)務(wù)的安全運行情況,收集日志信息,集中存儲、關(guān)聯(lián)分析和展現(xiàn)。同時,無法及時掌握全網(wǎng)的安全態(tài)勢,及時做出分析判斷,影響安全事件的響應(yīng)處理效率。內(nèi)網(wǎng)服務(wù)器區(qū)、DMZ服務(wù)器區(qū)缺乏業(yè)務(wù)審計設(shè)備,無法記錄關(guān)鍵的業(yè)務(wù)、維護操作行為。出現(xiàn)安全事件時,無法通過審計設(shè)備進行操作行為的跟蹤分析,及時查找原因。當(dāng)前網(wǎng)絡(luò)設(shè)備安全相關(guān)策略大多采用默認(rèn)配置,自身存在較多安全隱患,在一些惡意的人為因數(shù)下,可能造成網(wǎng)絡(luò)設(shè)備運行不正常,甚至網(wǎng)絡(luò)局部區(qū)域通訊中斷。3.3主機及業(yè)務(wù)系統(tǒng)安全現(xiàn)狀當(dāng)前系統(tǒng)中的主機及應(yīng)用系統(tǒng)欠缺較多的補丁,存在較多的高風(fēng)險漏洞。攻擊者可以通過一些簡易工具或技術(shù)手段,入侵主機,提升權(quán)限,進行后續(xù)的破壞活動。XX電力部分業(yè)務(wù)系統(tǒng)主機和數(shù)據(jù)庫帳號存在弱口令現(xiàn)象,包括用戶名和口令一致、空口令、通用默認(rèn)口令、極易猜測的簡單數(shù)字等。弱口令可以使惡意用戶直接或者通過簡單掃描工具,即可獲取用戶帳號和密碼,可以直接訪問系統(tǒng),甚至獲取系統(tǒng)管理員帳號和密碼,完全控制該系統(tǒng)。如果系統(tǒng)被攻擊,對XX電力業(yè)務(wù)的正常運行造成很大的影響。帳號口令管理方面,當(dāng)前所有UNIX類主機采用默認(rèn)配置,沒有啟用帳號相關(guān)安全屬性控制,沒有對口令的復(fù)雜度、有效期、更新密碼周期等進行統(tǒng)一約束。帳號口令安全策略設(shè)置不嚴(yán)格,用戶口令容易遭到猜測或字典攻擊成功,進而使系統(tǒng)容易被非法操縱。用戶登錄管理方面,當(dāng)前所有UNIX類主機采用默認(rèn)配置,未啟用root直接登陸控制、終端登陸控制、登陸會話時間限制、SU權(quán)限控制等登錄安全管理策略。用戶登陸安全策略設(shè)置不嚴(yán)格,容易造成惡意用戶越權(quán)濫用,非法操作,root特權(quán)使用缺乏監(jiān)控審計,給系統(tǒng)造成影響破壞。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第11頁。當(dāng)前絕大部分主機采用默認(rèn)配置,開放有SNMP服務(wù),并且沒有修改缺省的SNMP共同體字符串。而已攻擊者通過SNMP可以獲取遠(yuǎn)程操作系統(tǒng)的類型和版本、進程信息、網(wǎng)絡(luò)接口信息等敏感信息。這可能使攻擊者可以準(zhǔn)確了解遠(yuǎn)程主機的系統(tǒng)信息,更有針對性的發(fā)起攻擊。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第11頁。當(dāng)前大部分主機,包括部分對公網(wǎng)提供服務(wù)的主機的OpenSSH版本較老,暴露有較多緩沖區(qū)溢出漏洞。惡意攻擊者通過上述漏洞,可以發(fā)起拒絕服務(wù)攻擊或執(zhí)行任意代碼,控制主機,給業(yè)務(wù)系統(tǒng)造成嚴(yán)重影響。當(dāng)前多數(shù)主機系統(tǒng)中開放有危險的R系列服務(wù),建立有較多主機間的信任關(guān)系。用戶可使用rlogin直接登錄而不需密碼,還可使用rcp、rcmd等命令,方便用戶操作。R系列服務(wù)有一定的安全性風(fēng)險,在當(dāng)前環(huán)境中,容易被仿冒,無需口令即可直接訪問授信主機,造成系統(tǒng)越權(quán)訪問。當(dāng)前絕大多數(shù)主機采用默認(rèn)配置,開放有危險且不必須的TCPSmallService和UDPSmallService。包括echo、diacard、chargen、talk等。每一種網(wǎng)絡(luò)服務(wù)都是一個潛在的安全漏洞,也就是一個攻擊者可能會進入的地方。開放TCP/UDP小服務(wù)可能拒絕服務(wù)攻擊、系統(tǒng)入侵等危害。當(dāng)前絕大多數(shù)主機采用默認(rèn)配置,開放有危險的RPC服務(wù),包括rstatd、rusersd、rwalld等。RPC系列服務(wù)可能造成系統(tǒng)信息泄露,為惡意攻擊者的進一步行動提供有用信息。當(dāng)前大多數(shù)主機開放有Sendmail服務(wù),Sendmail服務(wù)自身存在較多風(fēng)險漏洞。非郵件服務(wù)器無需運行Sendmail服務(wù)。惡意攻擊者利用Sendmail服務(wù)漏洞容易獲取系統(tǒng)權(quán)限,或用來發(fā)送垃圾郵件。前部分提供Web訪問的系統(tǒng)(包括外網(wǎng)網(wǎng)站等)采用的Apache服務(wù)器版本較低,存在多處緩沖區(qū)溢出漏洞。惡意攻擊者可以利用這個漏洞進行緩沖區(qū)溢出攻擊,可能以Apache進程權(quán)限在系統(tǒng)上執(zhí)行任意指令或進行拒絕服務(wù)攻擊。當(dāng)前大部分主機和應(yīng)用系統(tǒng)采用默認(rèn)的Syslog日志配置。未配置集中的外部日志服務(wù)器系統(tǒng),進行統(tǒng)一的收集、存儲和分析。不能及時有效地發(fā)現(xiàn)業(yè)務(wù)中的問題以及安全事件,不利于安全事件的跟蹤分析。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第12頁。滲透測試檢查發(fā)現(xiàn),XX電力外網(wǎng)網(wǎng)站存在兩處高風(fēng)險的SQL注入漏洞。利用SQL注入點1,可進行數(shù)據(jù)庫信息猜測、數(shù)據(jù)表猜測、表空間猜測,進而獲取整個數(shù)據(jù)庫的信息,任意查看和修改。利用注入點2可以獲得任意注冊會員的帳號和密碼信息,以及會員的郵件地址、身份證、真實名字等敏感信息。同時還檢查出,外網(wǎng)網(wǎng)站存在可上傳任意文件、跨站腳本攻擊兩處高、中風(fēng)險漏洞。外網(wǎng)網(wǎng)站作為XX電力的對外門戶網(wǎng)站系統(tǒng),是對外宣傳、信息發(fā)布的重要途徑,日均訪問量很大。惡意入侵者利用上述漏洞,極易造成網(wǎng)站系統(tǒng)重要數(shù)據(jù)信息泄密,網(wǎng)站頁面破壞、篡改、掛馬等危害,嚴(yán)重影響用戶的正常訪問,造成用戶感染病毒木馬。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第12頁。滲透測試檢查發(fā)現(xiàn),內(nèi)網(wǎng)網(wǎng)站存在兩處高風(fēng)險漏洞,可以獲取所有用戶的口令和其它敏感信息。同時還存在暴露系統(tǒng)絕對路徑、可以查看任意短消息列表內(nèi)容。內(nèi)網(wǎng)網(wǎng)站是公司內(nèi)部信息發(fā)布的主要途徑,采用郵件系統(tǒng)的帳號口令進行認(rèn)證,通過上述漏洞,惡意攻擊者可以獲取所有用戶帳號的口令,登錄內(nèi)網(wǎng)網(wǎng)站、登錄郵件系統(tǒng),造成信息泄密、篡改、破壞等危害。3.4終端安全現(xiàn)狀目前XX電力安全方針策略不夠清晰明確。由于安全目標(biāo)方針不明確,導(dǎo)致全員不能清晰領(lǐng)悟安全的重要性,安全思想不能得到有效貫徹落實。各部門執(zhí)行安全的方向不統(tǒng)一。安全方針不統(tǒng)一,會經(jīng)常出現(xiàn)安全行動不統(tǒng)一,安全意識不明確的現(xiàn)象。XX電力沒有建立完善的安全管理策略制度。制度不完善導(dǎo)致執(zhí)行安全工作時不能遵循統(tǒng)一的策略,導(dǎo)致因誤操作或因不規(guī)范導(dǎo)致的問題發(fā)生??赡軙霈F(xiàn)由于制度流程不完善導(dǎo)致的信息泄密、網(wǎng)絡(luò)系統(tǒng)癱瘓等管理制度不全面,未能覆蓋包括第三方人員管理、桌面系統(tǒng)管理、系統(tǒng)開發(fā)等方面,導(dǎo)致相關(guān)操作無規(guī)范。當(dāng)前XX電力成立了信息安全工作領(lǐng)導(dǎo)小組,但小組成員基本以各級領(lǐng)導(dǎo)為主,專業(yè)安全人員只有一人,不能滿足日常安全管理工作需要。并且系統(tǒng)維護人員同時負(fù)責(zé)此系統(tǒng)的安全運行,目前的編制已經(jīng)很難滿足日常安全管理的需要,因此信息安全的具體執(zhí)行工作難以得到有效的開展。安全崗位職責(zé)未設(shè)置AB角色,一人負(fù)責(zé),一旦發(fā)生人員調(diào)離或其它意外導(dǎo)致系統(tǒng)全面癱瘓。沒有建立完善信息安全考核體系,導(dǎo)致員工不能嚴(yán)格執(zhí)行各項信息安全規(guī)章制度。各級員工普遍信息安全意識不強,導(dǎo)致員工對信息安全的內(nèi)容、管理目標(biāo)等沒有明確的認(rèn)識與理解,不能在日常工作中主動地貫徹各項信息安全制度、規(guī)范及標(biāo)準(zhǔn)。XX電力尚未實施針對非專業(yè)安全人員的安全培訓(xùn)計劃安全培訓(xùn)跟不上導(dǎo)致專業(yè)人員和普通員工安全技術(shù)缺乏,安全意識薄弱。當(dāng)前情況下,備份介質(zhì)大多存放在機房內(nèi)或辦公區(qū)域中。同時沒有針對可移動介質(zhì)的管理制度。沒有介質(zhì)銷毀制度。重要軟件或其它資產(chǎn)(如密碼本)存放在機房內(nèi),可能會導(dǎo)致容易使內(nèi)部較易獲取或破壞資產(chǎn);重要資產(chǎn)存放在辦公區(qū)域內(nèi),很容易被外來人員進行有意或無意的攻擊。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第13頁。目前按部門的劃分來保護資產(chǎn),將資產(chǎn)進行了一些簡單分類。軟件資產(chǎn)無詳細(xì)登記,也未將資產(chǎn)劃分安全等級。不能對重點資產(chǎn)進行重點保護。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第13頁。尚未制定相應(yīng)的訪問權(quán)限與控制的流程與職責(zé),總部和各分廠在處理第三方訪問權(quán)限時沒有統(tǒng)一的標(biāo)準(zhǔn)與規(guī)范;對第三方的監(jiān)控缺少標(biāo)準(zhǔn)與技術(shù)手段,各單位基本沒有在第三方訪問時實施有效的監(jiān)控;在第三方合作完成后,不能及時的注銷訪問權(quán)限、修改口令,存在第三方繼續(xù)訪問獲得機密信息或者進行非法操作的風(fēng)險。當(dāng)前XX電力缺乏系統(tǒng)規(guī)范的應(yīng)急響應(yīng)預(yù)案。缺乏相應(yīng)的制度流程,導(dǎo)致系統(tǒng)遭受篡改或無法使用時,對公司的管理運營具有輕微影響。缺乏系規(guī)范的桌面系統(tǒng)安全管理規(guī)范,終端人員操作水平不一致,安全意識不足可能會導(dǎo)致桌面系統(tǒng)的病毒蠕蟲事件,以至于網(wǎng)絡(luò)癱患;移動硬盤的無規(guī)范使用,不僅會導(dǎo)致病毒泛濫,而且容易將信息泄露或數(shù)據(jù)破壞及丟失。建設(shè)過程中沒有同步考慮系統(tǒng)功能和安全性。立項管理階段:項目前期過程中對安全的考慮不夠完整,主要包括信息安全目標(biāo)定義不明確,初步安全控制方案存在控制不足的情況,項目預(yù)算調(diào)減時導(dǎo)致安全控制被消減;實施管理階段:缺少統(tǒng)一的安全需求分析方法、基本保護要求以及安全驗收測試,導(dǎo)致在建系統(tǒng)的安全控制方案不能有效地實現(xiàn)安全目標(biāo),開發(fā)過程中對開發(fā)人員控制不夠,使得項目過程文檔和內(nèi)部敏感信息外流;驗收管理階段:缺乏系統(tǒng)運維計劃,包括備份恢復(fù)計劃、應(yīng)急預(yù)案,有的系統(tǒng)是上線運行后。4.建設(shè)目標(biāo)本期信息網(wǎng)安全建設(shè)達(dá)到以下目標(biāo):通過防火墻和入侵檢測/防護系統(tǒng)的部署,構(gòu)建網(wǎng)絡(luò)邊界防護,將內(nèi)部網(wǎng)絡(luò)與其他網(wǎng)絡(luò)進行隔離,避免與外部網(wǎng)絡(luò)的直接通訊,保證網(wǎng)絡(luò)結(jié)構(gòu)信息不外泄;對各條鏈路上的服務(wù)請求做必要的限制,使非法訪問不能到達(dá)主機;通過防病毒系統(tǒng)的部署,建立完整的系統(tǒng)防病毒體系,防止病毒的侵害;通過客戶端管理系統(tǒng)的部署,建立客戶端資源、行為的必要控制,以及補丁及時分發(fā),減少內(nèi)網(wǎng)用戶的不安全因素;通過省公司本部安全監(jiān)管平臺的部署,初步實現(xiàn)安全事件集中監(jiān)視和分析,為下一步建設(shè)全省信息安全體系打下基礎(chǔ)。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第14頁。 電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第14頁。5.安全區(qū)域的劃分方案5.1網(wǎng)絡(luò)安全域劃分原則安全域是指網(wǎng)絡(luò)系統(tǒng)內(nèi)包含相同的安全要求,達(dá)到相同的安全防護等級的區(qū)域。網(wǎng)絡(luò)安全域設(shè)計遵循以下原則:內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)層次分明,便于網(wǎng)絡(luò)隔離和安全規(guī)劃。網(wǎng)絡(luò)結(jié)構(gòu)具備高可靠性和高可用性。不同的網(wǎng)段在交換機上劃分不同虛擬局域網(wǎng)(VLAN),不同虛擬局域網(wǎng)(VLAN)之間的路由設(shè)置訪問控制表(ACL)。地址規(guī)劃應(yīng)便于路由匯總以方便路由管理、提高路由廣播效率以及簡化ACL配置。邊界和內(nèi)部的動態(tài)路由協(xié)議應(yīng)盡量啟用認(rèn)證,用來防止路由欺騙,否則高明的黑客可以通過發(fā)送惡意的路由更新廣播包,使得路由器更新路由表,造成網(wǎng)絡(luò)癱瘓和路由旁路。所有對網(wǎng)絡(luò)設(shè)備的維護管理啟用更可靠的認(rèn)證。交換機的第三層模塊(L3模塊)或防火墻配置訪問控制表(ACL)。路由器設(shè)置反地址欺騙檢查。對于路由器,外出(Outbound)接收包的源地址只可能是外部地址,不可能是內(nèi)部地址,同樣進入(Inbound)接收包的源地址只可能是內(nèi)部地址,不可能是外部地址,這樣能防止黑客利用策略允許的內(nèi)部或外部地址進入網(wǎng)絡(luò)。啟用路由反向解析驗證,這在某種程度上犧牲了一定的網(wǎng)絡(luò)性能,但能有效阻止隨機源地址類型的攻擊,如同步攻擊等(SyncFlood)。路由器過濾所有來自外部網(wǎng)絡(luò)的源地址為保留地址的數(shù)據(jù)包。所有提供簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)服務(wù)的設(shè)備(路由器、交換機、計算機設(shè)備等)的共用組名(CommunityName)不能使用缺省,要足夠復(fù)雜,并且統(tǒng)一管理。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第15頁。全省按如下網(wǎng)絡(luò)安全域進行劃分:電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第15頁。整個省公司劃分為四個大的安全域:內(nèi)部辦公區(qū),DMZ(對外業(yè)務(wù)區(qū)),電力信息網(wǎng)區(qū)(對內(nèi)業(yè)務(wù)區(qū)),若干外聯(lián)網(wǎng)區(qū)域(Internet,第三方接入等);各安全域之間通過防火墻進行隔離,在防火墻上按照網(wǎng)絡(luò)應(yīng)用的需求進行訪問策略的設(shè)置;外網(wǎng)服務(wù)器區(qū)(DMZ)的網(wǎng)站、郵件、應(yīng)用(Web,Mail,Application)服務(wù)器通過網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)等,對Internet提供服務(wù);電力信息網(wǎng)區(qū)的服務(wù)器通過防火墻與內(nèi)部辦公區(qū),DMZ區(qū)進行通信,對內(nèi)提供系統(tǒng)應(yīng)用;內(nèi)部辦公區(qū)視需求進行虛擬局域網(wǎng)(VLAN)的進一步劃分,由交換機的第三層模塊(L3模塊)進行虛擬局域網(wǎng)(VLAN)劃分和訪問控制表(ACL)控制或通過防火墻模塊進行各虛擬局域網(wǎng)(VLAN)之間的安全控制。5.2網(wǎng)絡(luò)區(qū)域邊界訪問控制需求根據(jù)目前公司系統(tǒng)的實際網(wǎng)絡(luò)狀況,在公司系統(tǒng)網(wǎng)絡(luò)環(huán)境中,區(qū)域邊界主要有以下幾個:互聯(lián)網(wǎng)與電力信息網(wǎng)的連接邊界,電力信息網(wǎng)內(nèi)各本地局域網(wǎng)與廣域網(wǎng)的連接邊界,電力信息網(wǎng)與華東電網(wǎng)的連接邊界,電力信息網(wǎng)與國家電網(wǎng)的連接邊界,各地市公司與縣公司的連接邊界,各地市公司與銀行的連接邊界。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第16頁。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第16頁。根據(jù)網(wǎng)絡(luò)安全建設(shè)的原則,安全等級低的系統(tǒng)應(yīng)該與安全級別高的系統(tǒng)進行有效隔離,避免將兩者混雜,從而直接降低了高安全級別系統(tǒng)的安全性。安全僅僅依靠操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)權(quán)限控制功能。這是遠(yuǎn)遠(yuǎn)不夠的,任何一個位于該網(wǎng)絡(luò)中的客戶終端,都可能是一個潛在的對關(guān)鍵服務(wù)器的威脅點。因此,首先必須將所有這些服務(wù)器按重要等級和國家經(jīng)貿(mào)委劃定的“安全區(qū)域”進行分級,其次在科學(xué)合理分級的基礎(chǔ)上,采用有效的網(wǎng)絡(luò)隔離措施,隔離這些不同安全等級的服務(wù)器,并進行有效的訪問控制。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第17頁。網(wǎng)絡(luò)隔離的目的最主要的就是要完成網(wǎng)絡(luò)層訪問控制的功能。經(jīng)常存在的網(wǎng)絡(luò)濫用現(xiàn)象本身就是因為缺乏有效的訪問控制手段所導(dǎo)致的。從安全的角度來說,應(yīng)該遵循“最小授權(quán)”原則:一個實體應(yīng)該而且只應(yīng)該被賦予它完成正常功能所需的最小權(quán)限。而在我們的實際網(wǎng)絡(luò)運營中,往往忽略了這一原則,任何一個在網(wǎng)絡(luò)上活動的普通用戶,經(jīng)常會擁有過多的訪問權(quán)限。一個用戶本來僅僅只需要訪問服務(wù)器的WEB服務(wù),但是由于缺乏有效的網(wǎng)絡(luò)層隔離與訪問控制機制,這個用戶其實擁有對該服務(wù)器一切網(wǎng)絡(luò)服務(wù)訪問的權(quán)限。這種違反“最小授權(quán)”的情況事實上經(jīng)常被人忽略,從而導(dǎo)致了在特定的情況下安全事件的產(chǎn)生,造成了嚴(yán)重的后果。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第17頁。常見的網(wǎng)絡(luò)層訪問控制主要是基于IP和端口來進行。對公司系統(tǒng)來說僅僅基于這樣的網(wǎng)絡(luò)層訪問控制是不夠的。因為往往客戶端的IP地址是采用動態(tài)分配,很難將某個IP地址與特定用戶綁定起來。因此需要通過MAC地址對用戶網(wǎng)絡(luò)層的訪問進行控制。訪問控制在多個網(wǎng)絡(luò)協(xié)議層面都是一個必要的安全機制。對重要應(yīng)用系統(tǒng)來說,其訪問控制要求更為細(xì)致,但網(wǎng)絡(luò)層的訪問控制是基礎(chǔ),如果在網(wǎng)絡(luò)通訊層面以及操作系統(tǒng)層面都不能保證嚴(yán)格有力的訪問控制,應(yīng)用層面的控制是沒有意義的。所以,首先必須實施全面的區(qū)域邊界網(wǎng)絡(luò)隔離與訪問控制技術(shù)。5.3邊界網(wǎng)絡(luò)隔離和訪問控制為了有效保證同一網(wǎng)絡(luò)區(qū)域內(nèi)實行相同的安全策略,避免違背安全策略的跨區(qū)域訪問(如嚴(yán)格禁止從Internet對XX電力專網(wǎng)的直接訪問),方案采用如下措施進行區(qū)域邊界防護。5.3.1區(qū)域邊界的訪問控制防火墻技術(shù)是目前最成熟,應(yīng)用最普遍的區(qū)域邊界訪問控制技術(shù)。它通過設(shè)置在不同網(wǎng)絡(luò)區(qū)域(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間來實施安全策略。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù),實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。區(qū)域邊界的防火墻控制技術(shù)在上述所有邊界均加以實施。5.3.2敏感區(qū)域邊界的流量審計此處的敏感區(qū)域邊界,主要指安全性相對較高和安全性相對較低網(wǎng)絡(luò)之間的連接區(qū)域邊界,具體到省公司信息系統(tǒng)而言即為Internet與信息網(wǎng)系統(tǒng)的連接邊界,信息網(wǎng)系統(tǒng)與國網(wǎng)公司、華東電網(wǎng)、縣公司及銀行的網(wǎng)絡(luò)連接邊界。對于這些邊界的控制,僅僅使用防火墻策略是不夠的。由于敏感區(qū)域邊界間安全性差別較大,極易出現(xiàn)安全問題,所以應(yīng)對跨區(qū)域的流量進行完全審計,便于日后的審查需要。5.3.3敏感區(qū)域邊界的網(wǎng)絡(luò)防入侵及防病毒電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第18頁。除了在敏感區(qū)域邊界間實施流量審計這種被動審計技術(shù)外,還應(yīng)建立主動入侵防御機制,動態(tài)響應(yīng)跨區(qū)域的入侵,這種動態(tài)響應(yīng)技術(shù)即為入侵檢測和病毒防護技術(shù)。因為,從安全角度來說,當(dāng)前新興的病毒威脅已具有相關(guān)黑客入侵特征,二者的結(jié)合防護不可或缺。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第18頁。上述三種技術(shù)在進行區(qū)域邊界防護時可互為補充,相輔相成。從工程角度來說,最好能將三種技術(shù)集成在一個產(chǎn)品里,以提供安全功能的集合,一方面便于實施,另一方面便于后期維護和管理。6.XX電力信息網(wǎng)防火墻部署方案在Internet與互聯(lián)網(wǎng)內(nèi)容發(fā)布平臺之間和互聯(lián)網(wǎng)內(nèi)容發(fā)布平臺與電力信息網(wǎng)之間部署具有防火墻、安全審計、入侵防護和病毒防護等綜合功能的安全產(chǎn)品。雖然,公司系統(tǒng)已經(jīng)部署了部分的思科PIX防火墻,但是思科PIX防火墻采用的是防火墻防護技術(shù)最初級的一種。思科PIX通過包過濾技術(shù)實現(xiàn)對用戶網(wǎng)絡(luò)的防護,這種技術(shù)無法應(yīng)對目前日益猖獗的混合式威脅,也無法提供病毒防護功能。近一兩年,基于對邊界安全需求的全面考慮,許多安全廠商推出了新型的多功能網(wǎng)關(guān),新型多功能網(wǎng)關(guān)就是在防火墻的基礎(chǔ)上提供網(wǎng)關(guān)需要的其他安全功能,例如最常見的是在防火墻上增加虛擬專用網(wǎng)(VPN)功能。還有在防火墻上增加防病毒功能。也有更為先進的是在防火墻上同時集成了虛擬專用網(wǎng)(VPN)、防病毒、入侵檢測、內(nèi)容過濾等全面安全功能。新型多功能網(wǎng)關(guān)是網(wǎng)關(guān)安全發(fā)展的趨勢,只有新型多功能網(wǎng)關(guān)才能真正讓網(wǎng)關(guān)位置成為安全防護體系的重要有力的組成部分。在公司網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)區(qū)域出口處安裝此類多功能集成網(wǎng)關(guān)安全產(chǎn)品,為用戶構(gòu)建堅固的網(wǎng)絡(luò)防線。此類防火墻不但可以防止黑客入侵,而且提供入侵檢測/防護功能,并且可以和防火墻自帶防病毒系統(tǒng)緊密結(jié)合在一起,提供網(wǎng)關(guān)級的防病毒保護。考慮到全省信息網(wǎng)移到綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)上,我們在各地市公司與省公司連接的網(wǎng)關(guān)處均采用千兆防火墻,各地市公司到縣公司、銀行等采用百兆防火墻。通過防火墻可對不同安全區(qū)域之間的網(wǎng)絡(luò)連接活動進行嚴(yán)格的訪問控制,并且不僅僅如此,通過防火墻可對往來這些網(wǎng)絡(luò)之間的攻擊入侵和病毒傳播進行有效的檢測和阻斷,從而將高安全區(qū)域有效的隔離保護起來,從網(wǎng)絡(luò)層到應(yīng)用層進行立體化的區(qū)域邊界防御,通過實施該一體化的集成安全網(wǎng)關(guān),使省公司和各地市公司內(nèi)部網(wǎng)絡(luò)的安全等級得到有效提升和保證。6.1省公司防火墻和集成安全網(wǎng)關(guān)的部署1.省公司防火墻和集成安全網(wǎng)關(guān)部署示意圖(老大樓)電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第19頁。部署說明:電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第19頁。用于Internet出口訪問控制,已采用PIX防火墻,由于PIX采用的是ASA算法狀態(tài)檢測技術(shù),通過包過濾技術(shù)實現(xiàn)對用戶網(wǎng)絡(luò)的防護,這種技術(shù)無法應(yīng)對目前日益猖獗的混合式威脅,也無法提供病毒防護功能。因此在此方案中我們建議采用帶有防病毒、內(nèi)容過濾、入侵檢測、安全審計為一體的多功能集成安全網(wǎng)關(guān)。通過在集成安全網(wǎng)關(guān)上啟用相應(yīng)的安全策略,控制內(nèi)部用戶的對外訪問,并開啟防病毒功能以保證內(nèi)部用戶的對外訪問不受病毒侵害。另外,通過啟用反垃圾郵件技術(shù),保護內(nèi)部的郵件服務(wù)器免受垃圾郵件的攻擊,并根據(jù)網(wǎng)絡(luò)的具體應(yīng)用在集成安全網(wǎng)關(guān)上啟用入侵檢測和入侵防護攻擊(IDS/IPS)功能,保護互聯(lián)網(wǎng)網(wǎng)關(guān)處系統(tǒng)免受來自系統(tǒng)內(nèi)外的攻擊。遠(yuǎn)程訪問虛擬通道(VPN)防火墻,其已采用PIX防火墻,在方案中在PIXVPN防火墻之后增加集成安全網(wǎng)關(guān),用于移動用戶對內(nèi)網(wǎng)訪問的數(shù)據(jù)解密后進行病毒防護、內(nèi)容過濾等。在合肥地區(qū)單位和省公司網(wǎng)絡(luò)連接邊界處、國網(wǎng)公司、華東公司與省公司網(wǎng)絡(luò)連接邊界處和電力三級網(wǎng)與省公司網(wǎng)絡(luò)連接邊界處分別部署帶有防病毒、內(nèi)容過濾、入侵檢測、安全審計為一體的多功能集成安全網(wǎng)關(guān)。并通過在集成安全網(wǎng)關(guān)上啟用相應(yīng)的安全策略,控制用戶的對外訪問,并開啟防病毒功能以保證用戶的對外訪問不受病毒侵害。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第20頁。在省公司兩臺CISCO6506上分別增加1塊FWSM防火墻模塊,用于各VLAN之間的安全訪問控制。并通過此部署,可以嚴(yán)格控制用戶對服務(wù)器區(qū)的訪問控制。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第20頁。省公司防火墻和集成安全網(wǎng)關(guān)部署示意圖(老大樓)省公司防火墻和集成安全網(wǎng)關(guān)部署示意圖(老大樓)F5可供外網(wǎng)訪問的DNS,Mail,IMS服務(wù)器群DMZ區(qū)局域網(wǎng)省信息中心機房各部門局域網(wǎng)防火墻防火墻ISP1ISP2移動用戶Internet網(wǎng)管工作站OA服務(wù)器認(rèn)證服務(wù)器Web服務(wù)器電力三級網(wǎng)合肥地區(qū)單位華東二級網(wǎng)1G光纖100M五類線各部門局域網(wǎng)集成安全網(wǎng)關(guān)FW1(增加)FW2(增加)FW5(增加)FW6(增加)國網(wǎng)公司FW3(增加)FW4(增加)電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第1頁。2.省公司防火墻和集成安全網(wǎng)關(guān)部署示意圖(新大樓)部署說明:1、在省公司與“INTERNET、華東公司、國網(wǎng)公司、各地市公司信息三級網(wǎng)”相連電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第21頁。的網(wǎng)絡(luò)邊界采用兩層異構(gòu)防火墻系統(tǒng),外層防火墻為已經(jīng)部署的專業(yè)安全設(shè)備,用于阻擋來自互聯(lián)網(wǎng)、國網(wǎng)公司、華東公司等網(wǎng)絡(luò)攻擊和設(shè)置訪問控制策略。內(nèi)層防火墻系統(tǒng)采用集成安全網(wǎng)關(guān)。其中互連網(wǎng)安全網(wǎng)關(guān)采用雙機熱備工作方式,即高可用性HA方式,任何一臺設(shè)備出現(xiàn)問題,備機均可以迅速替換工作,網(wǎng)絡(luò)仍能正常運轉(zhuǎn)。在內(nèi)層集成安全網(wǎng)關(guān)上啟用相應(yīng)的安全策略,控制內(nèi)部用戶的對外訪問,并開啟防病毒功能以保證內(nèi)部用戶的對外訪問不受病毒侵害。另外,啟用反垃圾郵件技術(shù),保護內(nèi)部的郵件服務(wù)器免受垃圾郵件的攻擊,并根據(jù)網(wǎng)絡(luò)的具體應(yīng)用在集成安全網(wǎng)關(guān)上啟用入侵檢測和入侵防護攻擊(IDS/IPS)功能,保護互聯(lián)網(wǎng)網(wǎng)關(guān)處系統(tǒng)免受來自系統(tǒng)內(nèi)外的攻擊。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第21頁。2、遠(yuǎn)程訪問虛擬通道(VPN)防火墻,其已采用PIX防火墻,在方案中通過在將PIXVPN防火墻之后增加集成安全網(wǎng)關(guān),用于移動用戶對內(nèi)網(wǎng)訪問解密后的數(shù)據(jù)進行防病毒、內(nèi)容過濾等。3、通過在信息三級網(wǎng)路由系統(tǒng)前增加集成安全網(wǎng)關(guān)過濾掉病毒等混合式威脅進入到信息三級網(wǎng),從而保護各地市公司的網(wǎng)絡(luò)安全。4、通過在合肥城域網(wǎng)之前部署集成安全網(wǎng)關(guān)過濾掉合肥地區(qū)單位病毒等混合式威脅進入省公司內(nèi)網(wǎng)。5、在省公司兩臺服務(wù)器區(qū)三層交換機上分別增加1塊FWSM防火墻模塊,用于對服務(wù)器的安全訪問控制。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第22頁。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第22頁。注:結(jié)合省公司老大樓和新大樓的部署情況,建議總共增加6臺集成安全網(wǎng)關(guān)(其中5臺千兆集成安全網(wǎng)關(guān),1臺百兆集成安全網(wǎng)關(guān));2塊思科FWSM防火墻模塊。6.2地市公司防火墻和集成安全網(wǎng)關(guān)的部署 對公司系統(tǒng)各地市公司來說,其中一大威脅就是縣公司的防御比較脆弱,一旦某縣公司局部網(wǎng)絡(luò)出現(xiàn)安全事件如蠕蟲病毒蔓延等,勢必將導(dǎo)致該威脅在整個大網(wǎng)中進行蔓延和傳播,通過將縣公司的廣域網(wǎng)連接路由器與地市公司連接省公司的路由器隔離開來,將各縣公司納入到地市公司的安全管理范圍內(nèi),確保各縣公司網(wǎng)絡(luò)不對信息三級網(wǎng)構(gòu)成威脅。部署說明:1、在地市公司與縣公司相連的路由器前增加集成安全網(wǎng)關(guān),防止縣公司網(wǎng)絡(luò)安全威脅到信息網(wǎng),并通過在集成安全網(wǎng)關(guān)上啟用相應(yīng)的安全策略,控制縣公司用戶的對信息網(wǎng)的訪問,并開啟防病毒功能以防止縣公司的病毒侵害到信息網(wǎng)。另外,在集成安全網(wǎng)關(guān)上啟用防攻擊入侵檢測/入侵防護(IDS/IPS)功能,使信息網(wǎng)絡(luò)系統(tǒng)免受來自縣公司的攻擊。2、在地市公司與省公司相連的路由器后增加千兆防火墻,隔離各地市公司網(wǎng)絡(luò)的相互威脅,并通過防火墻設(shè)置訪問控制。3、地市公司與銀行相連的前置機后增加集成安全網(wǎng)關(guān),通過設(shè)置訪問策略,僅允許銀行訪問前置機IP地址和數(shù)據(jù)應(yīng)用端口號。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第23頁。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第23頁。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第24頁。備注:1.在市公司與銀行相連的集成安全網(wǎng)關(guān)可以采用市公司與省公司相連的退下來的百兆防火墻代替。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第24頁。2.在地市公司與省公司廣域處的網(wǎng)關(guān)防火墻可以使用在交換機上增加防火墻模塊代替,增加防火墻模塊的優(yōu)點:不僅在省公司連接的廣域網(wǎng)網(wǎng)關(guān)處實現(xiàn)訪問控制,而且在不同的VLAN之間的訪問控制也可以實現(xiàn),尤其是對服務(wù)器區(qū)的訪問控制。6.3技術(shù)要求1、集成安全網(wǎng)關(guān)主要功能和技術(shù)要求如下:采用網(wǎng)絡(luò)處理器(NetworkProcessor:NP)和專用集成電路(ASIC)架構(gòu)。集成防火墻、基于協(xié)議異常和基于攻擊特征的入侵防御及入侵檢測、病毒防護、內(nèi)容過濾、電子郵件過濾等??梢蕴峁┘泄芾?,通過集中的日志記錄、警報、報告和策略配置簡化網(wǎng)絡(luò)安全的管理。支持路由、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)和透明模式等。支持內(nèi)置認(rèn)證數(shù)據(jù)庫認(rèn)證、支持Radius服務(wù)器認(rèn)證。支持策略路由。防火墻本身應(yīng)具有較強的抗攻擊能力。支持靜態(tài)地址轉(zhuǎn)換、動態(tài)地址轉(zhuǎn)換、端口轉(zhuǎn)換、反向IP映射、雙向地址轉(zhuǎn)換等。支持流量管理和控制。支持OS、入侵檢測庫、防病毒庫、內(nèi)容過濾庫等在線升級。支持標(biāo)準(zhǔn)日志記錄和審計。支持標(biāo)準(zhǔn)聯(lián)動協(xié)議,可以與入侵檢測系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)、信息審計系統(tǒng)、認(rèn)證系統(tǒng)、VPN設(shè)備、日志服務(wù)器等進行聯(lián)動。2、防火墻主要功能和技術(shù)要求如下:采用網(wǎng)絡(luò)處理器(NetworkProcessor:NP)和專用集成電路(ASIC)架構(gòu)。可以提供集中管理,通過集中的日志記錄、警報、報告和策略配置簡化網(wǎng)絡(luò)安全的管理。支持路由、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)和透明模式等。支持內(nèi)置認(rèn)證數(shù)據(jù)庫認(rèn)證、支持Radius服務(wù)器認(rèn)證。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第25頁。支持策略路由。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第25頁。防火墻本身應(yīng)具有較強的抗攻擊能力。支持靜態(tài)地址轉(zhuǎn)換、動態(tài)地址轉(zhuǎn)換、端口轉(zhuǎn)換、反向IP映射、雙向地址轉(zhuǎn)換等。支持流量管理和控制。支持標(biāo)準(zhǔn)日志記錄和審計。支持標(biāo)準(zhǔn)聯(lián)動協(xié)議,可以與入侵檢測系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)、信息審計系統(tǒng)、認(rèn)證系統(tǒng)、VPN設(shè)備、日志服務(wù)器等進行聯(lián)動。7.XX電力信息網(wǎng)網(wǎng)絡(luò)防病毒方案7.1XX電力防病毒軟件應(yīng)用現(xiàn)狀公司系統(tǒng)現(xiàn)有的防病毒系統(tǒng)主要目的是保護辦公系統(tǒng)。郵件服務(wù)器采用DominoNotes系統(tǒng),運行于Windows2000Server系統(tǒng)平臺。各單位局域網(wǎng)已經(jīng)部署的防病毒軟件包括:賽門鐵克(Symantec)公司防病毒產(chǎn)品趨勢(TrendMicro)公司防病毒產(chǎn)品瑞星公司防病毒產(chǎn)品其中以Symantec和TrendMicro產(chǎn)品為主。在防病毒方面,目前公司系統(tǒng)還沒有實施統(tǒng)一的防病毒解決方案,對于郵件系統(tǒng)的網(wǎng)絡(luò)防毒還沒有統(tǒng)一配置。在日常防病毒維護中各網(wǎng)絡(luò)各行其事,分散管理,這樣不但加重管理員的管理工作,而且不能實現(xiàn)統(tǒng)一的、集中的管理,易受到各種人為的因素的影響,即使在安裝了防病毒軟件的情況下也不能確保整個網(wǎng)絡(luò)的防病毒能力。7.2企業(yè)防病毒總體需求建立全網(wǎng)的病毒檢測與防范系統(tǒng),及時檢測和控制各種文件、宏和其它網(wǎng)絡(luò)病毒的傳播和破壞,具有集中統(tǒng)一的管理界面,系統(tǒng)具有自動升級,自動數(shù)據(jù)更新,可管理性等特性。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第26頁。XX電力信息網(wǎng)網(wǎng)絡(luò)病毒防護系統(tǒng)是確保全省網(wǎng)絡(luò)系統(tǒng)信息安全的重要手段。針對病毒種類繁多,增長迅速,隱蔽性、再生性強,易傳播,發(fā)作快、危害嚴(yán)重的特點,防病毒系統(tǒng)必須對全省范圍內(nèi)的關(guān)鍵組件和信息資源實行全方位、立體、動態(tài)、實時的病毒防護。為此,必須提供強大、靈活、統(tǒng)一部署、分級管理的防病毒策略和集中的事件監(jiān)控、告警、管理手段,支持自動下載并分發(fā)最新的病毒特征碼和掃描引擎,提供強大的病毒響應(yīng)和處理機制等。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第26頁。7.3功能要求混合式威脅是指同時具有多種自我傳播方式的新式蠕蟲病毒。如:“尼姆達(dá)”、“紅色代碼”、“求職信”、“爆發(fā)工”、這種利用操作系統(tǒng)、應(yīng)用或服務(wù)的漏洞進行傳播、感染和攻擊的病毒?;旌鲜酵{傳播途徑和方式:通過電子郵件系統(tǒng),客戶端在收電子郵件時,把病毒帶入內(nèi)部網(wǎng)絡(luò)。用戶上網(wǎng),通過HTTP,F(xiàn)TP等把病毒和一些惡意的移動代碼帶入內(nèi)部網(wǎng)絡(luò)。通過軟盤或盜版光盤感染網(wǎng)絡(luò)中的客戶端,然后病毒通過網(wǎng)絡(luò)感染整個內(nèi)部網(wǎng)絡(luò),甚至通過網(wǎng)絡(luò)傳播。一些遠(yuǎn)程撥號用戶在存取企業(yè)內(nèi)部網(wǎng)絡(luò)時把病毒帶入內(nèi)部網(wǎng)絡(luò)。協(xié)作單位或合作伙伴以及下屬或分支機構(gòu)的網(wǎng)絡(luò)或機器感染病毒后有可能在整個網(wǎng)絡(luò)中傳播。病毒在傳播的過程中,往往利用操作系統(tǒng)、應(yīng)用系統(tǒng)的漏洞來進行攻擊。傳統(tǒng)的防病毒產(chǎn)品都是基于文件的病毒防護和查殺,對于通過網(wǎng)絡(luò)通信方式的傳播則無能為力。對于通過網(wǎng)絡(luò)通信方式,利用PC機操作系統(tǒng)漏洞進行遠(yuǎn)程攻擊的蠕蟲,只有通過客戶端防火墻+客戶端的入侵檢測產(chǎn)品才能有效攔載。為了有效保護網(wǎng)絡(luò),并減少與安全管理相關(guān)聯(lián)的成本和努力,這些安全技術(shù)需要無縫地相互作用。要在客戶端保護連接和未連接的遠(yuǎn)程及移動員工,使其免受未授權(quán)網(wǎng)絡(luò)訪問和混合威脅的侵?jǐn)_,需要三種關(guān)鍵技術(shù):實時病毒防護,用于防御已知和未知的惡意威脅客戶端防火墻,用于阻止可疑的傳入和輸出網(wǎng)絡(luò)通信入侵檢測,用于識別和阻止可用于拒絕服務(wù)(DoS)攻擊的已知互聯(lián)網(wǎng)入侵電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第27頁。企業(yè)需要可以對混合威脅和黑客攻擊進行最佳防御的客戶端解決方案。集成的病毒防護、防火墻和入侵檢測技術(shù)互相作用以滿足這些安全需求。集成的客戶端防火墻和入侵檢測技術(shù)也可以用來掃描入站和出站通信,以查看其中是否存在威脅,從而更好地防御當(dāng)今的混合威脅。防火墻和入侵檢測技術(shù)還可以檢測并指明黑客企圖攻擊的行為。僅防病毒的安全解決方案無法防止混合威脅的傳播,也無法防御入侵者。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第27頁。通過提供來自單一安全供應(yīng)商的防病毒、防火墻和入侵檢測的單一更新,集成的客戶端安全使企業(yè)能夠更快速地響應(yīng)復(fù)雜的安全威脅。通過單一的管理控制臺,可以對多種安全技術(shù)進行集中的配置、部署、安裝和策略管理。它還可優(yōu)化管理員資源,并有助于減少網(wǎng)絡(luò)客戶端防護方面的管理、支持和總體安全成本??傮w來說,集成的客戶端安全解決方案有助于企業(yè)實現(xiàn)投資的更佳回報,降低總擁有成本,尤其與不同的獨立解決方案相比時,更是如此。7.4XX電力網(wǎng)防病毒系統(tǒng)整體架構(gòu)和管理模式7.4.1采用統(tǒng)一監(jiān)控、分布式部署的原則電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第28頁。本方案設(shè)計采用“分級控制,分級管理”架構(gòu),這樣的架構(gòu)既與原有的防病毒系統(tǒng)架構(gòu)保持一定程度上的一致——利于平滑升級,又與現(xiàn)有行政管理模式相匹配——益于提高管理效率,同時又能體現(xiàn)省公司“統(tǒng)一規(guī)劃,分級管理”的思想。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第28頁。 統(tǒng)一管理、集中監(jiān)控:主要是由省公司進行集中監(jiān)管,包括:由省公司根據(jù)各地市公司、調(diào)通中心、合肥地區(qū)公司的具體情況統(tǒng)一制定相應(yīng)的防病毒策略和實施計劃。省公司負(fù)責(zé)全網(wǎng)的病毒定義碼、掃描引擎和軟件修正的統(tǒng)一升級工作,并將升級文件自動逐級分發(fā)至各地市公司、調(diào)通中心、合肥地區(qū)公司的防病毒服務(wù)器。省公司負(fù)責(zé)各分公司、調(diào)通中心、合肥地區(qū)公司被隔離文件的提交和下發(fā)相應(yīng)的病毒定義碼和掃描引擎。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第29頁。省公司可以通過廣域網(wǎng)對下級的病毒管理服務(wù)器進行集中監(jiān)控和管理。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第29頁。省公司負(fù)責(zé)管理統(tǒng)計病毒報表生成等工作。分級實施、分級維護:主要根據(jù)公司現(xiàn)有的網(wǎng)絡(luò)構(gòu)架和管理體制,設(shè)立省公司、地市公司、調(diào)通中心、合肥地區(qū)公司二級管理中心,以及以后甚至到縣公司三級管理中心。各級管理中心負(fù)責(zé)本地病毒防護系統(tǒng)的實施和維護工作,由省公司來進行集中監(jiān)管,包括:各分公司負(fù)責(zé)自己局域網(wǎng)防病毒軟件的安裝。配置和實施各分公司制定的防病毒策略。監(jiān)控自己局域網(wǎng)防病毒狀態(tài);各分公司分別負(fù)責(zé)自己局域網(wǎng)防病毒狀態(tài)的監(jiān)控和對病毒事件做出相應(yīng)的響應(yīng)。日志文件的維護。報警維護。7.4.2部署全面的防病毒系統(tǒng)采用“縱深”防御的措施,即考慮在整個網(wǎng)絡(luò)中只要有可能感染和傳播病毒的地方都采取相應(yīng)的防病毒手段,安裝相應(yīng)的防病毒系統(tǒng)。利用網(wǎng)關(guān)級病毒防護產(chǎn)品將病毒盡最大可能地攔截在網(wǎng)絡(luò)外部,同時在網(wǎng)絡(luò)內(nèi)部采用全方位的網(wǎng)絡(luò)防病毒客戶端進行全網(wǎng)的病毒防護,針對服務(wù)器采用服務(wù)器端的病毒防護,同時保證全網(wǎng)病毒防護系統(tǒng)做到統(tǒng)一管理和病毒防護策略的統(tǒng)一。針對公司系統(tǒng)的具體情況,主要考慮網(wǎng)關(guān)防病毒、郵件安全防護、服務(wù)器的病毒防護以及客戶端病毒防護。部署網(wǎng)關(guān)防病毒XX電力信息網(wǎng)地域跨度大、子網(wǎng)多、結(jié)構(gòu)相對復(fù)雜,一旦病毒侵入局域網(wǎng)內(nèi)部則會給管理造成較大的困難。因此,在整個網(wǎng)絡(luò)上不僅要建立一個統(tǒng)一的、多層次、全方位、集中化管理的安全防護系統(tǒng),并且在網(wǎng)絡(luò)邊緣部署網(wǎng)關(guān)級病毒防護產(chǎn)品(如網(wǎng)關(guān)防病毒墻或集成安全網(wǎng)關(guān)等)以防止計算機病毒從網(wǎng)絡(luò)邊緣進入省公司和各地市公司內(nèi)部網(wǎng)絡(luò)。針對郵件的內(nèi)容過濾、攔截垃圾郵件和防病毒考慮到當(dāng)前計算機病毒多數(shù)通過電子郵件和垃圾郵件傳播,在方案中設(shè)計了集郵件病毒和蠕蟲防護、郵件內(nèi)容過濾和反垃圾郵件為一體的郵件安全防護產(chǎn)品。部署服務(wù)器端防病毒電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第30頁。在服務(wù)器系統(tǒng)的防病毒保護上,根據(jù)公司系統(tǒng)網(wǎng)絡(luò)的具體情況,我們主要考慮針對WindowsNT/2000服務(wù)器的防病毒保護。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第30頁。安裝防病毒客戶端軟件,保護系統(tǒng)、磁盤、可移動磁盤、光盤以及調(diào)制解調(diào)器連接所收發(fā)的文件等免受病毒的感染。部署客戶端集成安全產(chǎn)品在客戶端一級,根據(jù)公司系統(tǒng)的具體情況和客戶端的操作系統(tǒng)類型,分別安裝針對Windows9X/NT/ME/2000/XP的集成安全產(chǎn)品(包括客戶端病毒防護、客戶端防火墻、客戶端入侵檢測功能),實現(xiàn)對網(wǎng)絡(luò)、操作系統(tǒng)、磁盤、可移動磁盤、光盤以及調(diào)制解調(diào)器連接所收發(fā)文件的病毒防護。7.4.3病毒定義碼、掃描引擎的升級方式根據(jù)公司系統(tǒng)網(wǎng)絡(luò)的結(jié)構(gòu),考慮到安全的需求,同時也是便于管理,我們在網(wǎng)絡(luò)內(nèi)采用二級服務(wù)器升級的結(jié)構(gòu),即:首先升級省公司防病毒服務(wù)器的病毒定義碼、掃描引擎和軟件修正。根據(jù)實際情況可以配置省公司防病毒服務(wù)器自動或手動通過Internet到防病毒軟件廠商的病毒定義碼發(fā)布網(wǎng)站升級最新的病毒定義碼和掃描引擎。各地市公司、調(diào)通中心及合肥地區(qū)公司等網(wǎng)絡(luò)的防病毒服務(wù)器到省公司的防病毒服務(wù)器進行病毒定義碼、掃描引擎和軟件修正的更新、升級。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第31頁。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第31頁。7.5網(wǎng)絡(luò)防病毒方案如果繼續(xù)延用現(xiàn)有模式,則公司系統(tǒng)信息網(wǎng)將同時存在多家防病毒產(chǎn)品,這些產(chǎn)品都需要有專人維護,需要部署各自的防病毒管理服務(wù)器,這樣既加大管理人員的工作負(fù)擔(dān),又增加了整體投資。考慮到各地市公司各套防病毒軟件均需要升級更新,本方案建議全省采用同一廠家的防病毒軟件,方便系統(tǒng)維護和管理。7.6防病毒系統(tǒng)部署1、省公司防病毒系統(tǒng)部署部署說明:1.集成安全網(wǎng)關(guān)與病毒防火墻功能相同,病毒防火墻系統(tǒng)部署情況見“省公司防火墻和集成安全網(wǎng)關(guān)的部署”章節(jié)。2.在客戶機端安裝集“個人防火墻、防病毒、入侵檢測”功能為一體的客戶端集成安全產(chǎn)品,防止病毒等混合式威脅。3.在所有服務(wù)器上安裝服務(wù)器端防病毒軟件,防止服務(wù)器遭受防病毒的威脅。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第32頁。4.在OA服務(wù)器、郵件服務(wù)器安裝集“郵件病毒和蠕蟲防護、郵件內(nèi)容過濾和反垃圾郵件”電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第32頁。2、地市公司防病毒部署部署說明:在客戶機端安裝集”個人防火墻、防病毒、入侵檢測“功能為一體的客戶端集成安全產(chǎn)品,防止病毒等混合式威脅。在所有服務(wù)器上安裝服務(wù)器端防病毒軟件,防止服務(wù)器遭受防病毒的威脅。在OA服務(wù)器安裝集“郵件病毒和蠕蟲防護、郵件內(nèi)容過濾和反垃圾郵件”為一體的郵件安全防護產(chǎn)品。阻止病毒和蠕蟲通過正常郵件和垃圾郵件傳播。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第33頁。所有防病毒軟件病毒定義碼、掃描引擎通過本地二級服務(wù)器分發(fā)和升級。二級服電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第33頁。務(wù)器受省公司一級服務(wù)器策略控制,并制定本地防病毒管理策略。3、合肥地區(qū)單位防病毒部署在客戶機端安裝集”個人防火墻、防病毒、入侵檢測“功能為一體的客戶端集成安全產(chǎn)品,防止病毒等混合式威脅。在所有服務(wù)器上安裝服務(wù)器端防病毒軟件,防止服務(wù)器遭受防病毒的威脅。在OA服務(wù)器安裝集“郵件病毒和蠕蟲防護、郵件內(nèi)容過濾和反垃圾郵件”為一體的郵件安全防護產(chǎn)品。阻止病毒和蠕蟲通過正常郵件和垃圾郵件傳播。所有防病毒軟件病毒定義碼、掃描引擎通過本地二級服務(wù)器分發(fā)和升級。二級服電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第34頁。務(wù)器受省公司一級服務(wù)器策略控制,并制定本地防病毒管理策略。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第34頁。合肥地區(qū)公司防病毒部署圖4、調(diào)通中心防病毒部署在客戶機端安裝集”個人防火墻、防病毒、入侵檢測“功能為一體的客戶端集成安全產(chǎn)品,防止病毒等混合式威脅。在所有服務(wù)器上安裝服務(wù)器端防病毒軟件,防止服務(wù)器遭受防病毒的威脅。在OA服務(wù)器安裝集“郵件病毒和蠕蟲防護、郵件內(nèi)容過濾和反垃圾郵件”為一體的郵件安全防護產(chǎn)品。阻止病毒和蠕蟲通過正常郵件和垃圾郵件傳播。所有防病毒軟件病毒定義碼、掃描引擎通過本地二級服務(wù)器分發(fā)和升級。二級服務(wù)器受省公司一級服務(wù)器策略控制,并制定本地防病毒管理策略。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第35頁。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第35頁。調(diào)通中心防病毒部署圖(四區(qū)網(wǎng)絡(luò)抽象圖)8.入侵檢測/入侵防護(IDS/IPS)方案8.1網(wǎng)絡(luò)入侵檢測/入侵防護(IDS/IPS)雖然XX電力信息網(wǎng)絡(luò)已經(jīng)部署了防火墻系統(tǒng);但防火墻只能在網(wǎng)關(guān)檢測和防范部分攻擊;對應(yīng)用層的攻擊和來自內(nèi)部的攻擊卻無能為力;另外一些攻擊很容易欺騙繞過防火墻;在XX電力信息網(wǎng)絡(luò)的網(wǎng)絡(luò)安全管理中,管理人員面臨著以下困惑:對于各種混合型攻擊目前可以采取的方式是人工通過防火墻日志等方式發(fā)現(xiàn)有問題的計算機,通過手工修改cisco交換機或PIX防火墻阻斷該計算機對網(wǎng)絡(luò)的訪問,不僅工作量大,防護也不全面。有沒有一種自動的方式可以檢測到這些攻擊并阻斷攻擊會話?在網(wǎng)絡(luò)中也曾使用過基于網(wǎng)絡(luò)的入侵檢測產(chǎn)品,但是感覺誤報率高、對安全知識要求層次高,是否有更有效的方式讓安全產(chǎn)品有更強大的攻擊檢測能力、更自動的響應(yīng)方式,而只是將結(jié)果提交給管理人員,降低管理人員的安全知識門檻而提高安全保護能力?可否對不同功能的網(wǎng)絡(luò)能夠采取不同的工作模式。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第36頁。基于網(wǎng)絡(luò)的入侵檢測技術(shù)(IDS)產(chǎn)品大多是針對已知的安全攻擊進行響應(yīng)策略配置,實現(xiàn)自動響應(yīng),對于日益增多的突發(fā)事件和未知攻擊,這些策略也就行同虛設(shè),無法產(chǎn)生應(yīng)有的效果。網(wǎng)絡(luò)維護人員需要花費大量的人力物力來進行日常的報警事件分析,才能確認(rèn)安全事件并具此采取措施。對于一些真正的安全威脅,反而因為時間和精力的不足,無法及時發(fā)現(xiàn)。這就使得產(chǎn)品的使用和維護成本過高,沒有體現(xiàn)出應(yīng)用安全產(chǎn)品后,所應(yīng)產(chǎn)生的效果和對維護人員生產(chǎn)維護工作帶來的便利。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第36頁。目前:隨著網(wǎng)絡(luò)入侵事件的不斷增加和黑客攻擊技術(shù)水平的不斷提高,使得傳統(tǒng)的防火墻或入侵檢測(IDS)技術(shù)已經(jīng)無法滿足現(xiàn)代網(wǎng)絡(luò)安全的需要,而入侵防護(IntrusionPreventionSystem,IPS)技術(shù)的產(chǎn)生正是適應(yīng)了這種要求。入侵防護(IPS)是一種主動的、積極的入侵防范及阻止系統(tǒng),它部署在網(wǎng)絡(luò)的進出口處,當(dāng)它檢測到攻擊企圖后,它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。入侵防護(IPS)的檢測功能類似于入侵檢測(IDS),但入侵防護(IPS)檢測到攻擊后會采取行動阻止攻擊,可以說入侵防護(IPS)建立在入侵檢測(IDS)發(fā)展的基礎(chǔ)上的新生網(wǎng)絡(luò)安全產(chǎn)品。入侵防護(IPS)可以透明的串接進用戶網(wǎng)絡(luò),不需要更改現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu),無縫地整合了現(xiàn)有的基礎(chǔ)架構(gòu),在不影響系統(tǒng)或系統(tǒng)用戶工作的情況下即可發(fā)揮作用,可以防止已知和未知漏洞被利用,從而有助于防止蠕蟲和惡意入侵者破壞安全。因此方案中在省公司的外網(wǎng)出口、對外服務(wù)器區(qū)(DMZ)和17個地市公司部署入侵檢測/入侵保護(IDS/IPS)產(chǎn)品。8.2網(wǎng)絡(luò)入侵檢測/入侵保護技術(shù)說明XX電力信息網(wǎng)內(nèi)外網(wǎng)絡(luò)的接入邊界都可能感染蠕蟲病毒、人為的惡意攻擊(如PING風(fēng)暴、大量的廣播包)、網(wǎng)絡(luò)中存在的垃圾包等,對核心網(wǎng)絡(luò)設(shè)備和鏈路產(chǎn)生影響,因此保護核心網(wǎng)絡(luò)設(shè)備和鏈路的最有效方式是在可能產(chǎn)生這種安全攻擊的地方部署能夠檢測并自動阻斷這些攻擊會話的保護設(shè)備,這就是現(xiàn)在最先進的入侵保護(IPS)設(shè)備所能實現(xiàn)的功能。在方案中我們部署更為先進的主動安全防御產(chǎn)品入侵檢測和入侵保護(IDS/IPS)產(chǎn)品。8.2.1入侵檢測和入侵保護(IDS/IPS)產(chǎn)品的功能和特點1、網(wǎng)絡(luò)入侵防護(IPS)產(chǎn)品應(yīng)具備如下功能特點:適用于高速環(huán)境的多接口千兆檢測入侵防護(IPS)必須能在千兆網(wǎng)絡(luò)環(huán)境中,保持線速的檢測功能,且不會丟棄數(shù)據(jù)包。電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第37頁。主動攔截電力信息網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計方案全文共56頁,當(dāng)前為第37頁。入侵防護(IPS)設(shè)備可以工作在透明模式下,在不改變網(wǎng)絡(luò)結(jié)構(gòu)的前提下,自動攔截非法的網(wǎng)絡(luò)訪問,實現(xiàn)主動防御?;旌蠙z測體系結(jié)構(gòu)入侵防護(
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 專屬2024年商品銷售代表協(xié)議版
- 專業(yè)倉儲及配送服務(wù):2024協(xié)議范本版A版
- 科技驅(qū)動:公司未來發(fā)展
- 2025年度彩鋼房拆除與綠色建筑認(rèn)證服務(wù)合同范本4篇
- 2025年度影視基地場地借用及拍攝制作合同4篇
- 2025年度科研實驗場地使用權(quán)出讓及研發(fā)支持服務(wù)合同4篇
- 二零二五年度抽沙船租賃及海洋環(huán)境監(jiān)測協(xié)議3篇
- 2025年度新型工業(yè)園區(qū)土地使用權(quán)交易合同范本4篇
- 2025年智能工廠設(shè)備租賃居間合同示范文本4篇
- 2025年度長租公寓運營管理服務(wù)合同4篇
- 領(lǐng)導(dǎo)溝通的藝術(shù)
- 發(fā)生用藥錯誤應(yīng)急預(yù)案
- 南潯至臨安公路(南潯至練市段)公路工程環(huán)境影響報告
- 綠色貸款培訓(xùn)課件
- 大學(xué)生預(yù)征對象登記表(樣表)
- 主管部門審核意見三篇
- 初中數(shù)學(xué)校本教材(完整版)
- 父母教育方式對幼兒社會性發(fā)展影響的研究
- 新課標(biāo)人教版數(shù)學(xué)三年級上冊第八單元《分?jǐn)?shù)的初步認(rèn)識》教材解讀
- (人教版2019)數(shù)學(xué)必修第一冊 第三章 函數(shù)的概念與性質(zhì) 復(fù)習(xí)課件
- 重慶市銅梁區(qū)2024屆數(shù)學(xué)八上期末檢測試題含解析
評論
0/150
提交評論