電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案

電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案PAGE1PAGE52XX電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第1頁(yè)。目錄電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第1頁(yè)。TOC\o"1-3"\h\z1.引言 31.1信息安全體系建設(shè)的必要性 31.2解決信息安全問(wèn)題的總體思路 31.3XX電力公司信息網(wǎng)安全防護(hù)策略 41.3.1XX電力公司總體安全策略 41.3.2XX電力信息安全總體框架 51.3.3防護(hù)策略 5對(duì)網(wǎng)絡(luò)的防護(hù)策略 5對(duì)主機(jī)的防護(hù)策略 6對(duì)郵件系統(tǒng)的防護(hù)策略 6對(duì)終端的防護(hù)策略 62.設(shè)計(jì)依據(jù) 72.1信息安全管理及建設(shè)的國(guó)際標(biāo)準(zhǔn)ISO-17799 73.XX電力信息網(wǎng)安全現(xiàn)狀 73.1管理安全現(xiàn)狀 73.2網(wǎng)絡(luò)安全現(xiàn)狀 83.3主機(jī)及業(yè)務(wù)系統(tǒng)安全現(xiàn)狀 93.4終端安全現(xiàn)狀 114．建設(shè)目標(biāo) 135．安全區(qū)域的劃分方案 135.1網(wǎng)絡(luò)安全域劃分原則 135.2網(wǎng)絡(luò)區(qū)域邊界訪問(wèn)控制需求 145.3邊界網(wǎng)絡(luò)隔離和訪問(wèn)控制 165.3.1區(qū)域邊界的訪問(wèn)控制 165.3.2敏感區(qū)域邊界的流量審計(jì) 165.3.3敏感區(qū)域邊界的網(wǎng)絡(luò)防入侵及防病毒 16電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第2頁(yè)。6．XX電力信息網(wǎng)防火墻部署方案 17電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第2頁(yè)。6.1省公司防火墻和集成安全網(wǎng)關(guān)的部署 176.2地市公司防火墻和集成安全網(wǎng)關(guān)的部署 216.3技術(shù)要求 237．XX電力信息網(wǎng)網(wǎng)絡(luò)防病毒方案 247.1XX電力防病毒軟件應(yīng)用現(xiàn)狀 247.2企業(yè)防病毒總體需求 247.3功能要求 257.4XX電力網(wǎng)防病毒系統(tǒng)整體架構(gòu)和管理模式 267.4.1采用統(tǒng)一監(jiān)控、分布式部署的原則 267.4.2部署全面的防病毒系統(tǒng) 287.4.3病毒定義碼、掃描引擎的升級(jí)方式 297.5網(wǎng)絡(luò)防病毒方案 307.6防病毒系統(tǒng)部署 308．入侵檢測(cè)/入侵防護(hù)（IDS/IPS）方案 348.1網(wǎng)絡(luò)入侵檢測(cè)/入侵防護(hù)（IDS/IPS） 348.2網(wǎng)絡(luò)入侵檢測(cè)/入侵保護(hù)技術(shù)說(shuō)明 358.2.1入侵檢測(cè)和入侵保護(hù)（IDS/IPS）產(chǎn)品的功能和特點(diǎn) 358.3入侵檢測(cè)/入侵防護(hù)（IDS/IPS）在公司系統(tǒng)網(wǎng)絡(luò)中的部署 399．內(nèi)網(wǎng)客戶端管理系統(tǒng) 419.1問(wèn)題分析與解決思路 419.1.1IP地址管理問(wèn)題 419.1.2用戶資產(chǎn)信息管理問(wèn)題 429.1.3軟硬件違規(guī)行為監(jiān)控 439.1.4網(wǎng)絡(luò)拓?fù)洳榭磁c安全事件定位困難 439.1.5缺乏完整的用戶授權(quán)認(rèn)證系統(tǒng) 449.2系統(tǒng)主要功能模塊 449.3內(nèi)網(wǎng)管理解決方案 459.4方案實(shí)現(xiàn)功能 45電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第3頁(yè)。9.4.1IP地址管理 45電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第3頁(yè)。9.4.2客戶端管理 459.4.3系統(tǒng)管理 4712．安全產(chǎn)品部署總圖和安全產(chǎn)品清單表 49

1.引言1.1信息安全體系建設(shè)的必要性電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第4頁(yè)。隨著電網(wǎng)的發(fā)展和技術(shù)進(jìn)步，電力信息化工作也有了突飛猛進(jìn)的發(fā)展，信息網(wǎng)絡(luò)規(guī)模越來(lái)越大，各種信息越來(lái)越廣泛。然而，隨之而來(lái)的信息安全問(wèn)題也日益突出。電力工業(yè)作為我國(guó)國(guó)民經(jīng)濟(jì)的基礎(chǔ)產(chǎn)業(yè)和公用事業(yè)，電力系統(tǒng)的安全運(yùn)行直接關(guān)系到國(guó)民經(jīng)濟(jì)的持速發(fā)展和滿足人民生活的需要，信息安全已成為電力企業(yè)在信息時(shí)代和知識(shí)經(jīng)濟(jì)新形勢(shì)下面臨的新課題，電力信息網(wǎng)絡(luò)與信息的安全一旦遭受破壞，造成的影響和損失將十分巨大。近年以來(lái)，在互聯(lián)網(wǎng)上先后出現(xiàn)的紅色代碼、尼姆達(dá)、蠕蟲、沖擊波等病毒造成了數(shù)以萬(wàn)計(jì)的網(wǎng)站癱瘓，對(duì)電力信息系統(tǒng)的應(yīng)用造成了較大不良影響。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第4頁(yè)。公司按照建設(shè)“一強(qiáng)三優(yōu)”電網(wǎng)公司的發(fā)展戰(zhàn)略，為實(shí)現(xiàn)“安全基礎(chǔ)扎實(shí)、管理層次清晰、內(nèi)部運(yùn)作規(guī)范、企業(yè)文化鮮明、社會(huì)形象誠(chéng)信”的企業(yè)共同愿景，公司的信息化發(fā)展步伐不斷加快。計(jì)算機(jī)網(wǎng)絡(luò)已覆蓋全省各市、縣公司，實(shí)現(xiàn)了信息共享和快速傳遞。省、市公司的用戶數(shù)已達(dá)一萬(wàn)多個(gè)，各類應(yīng)用200多個(gè)，省公司層面經(jīng)營(yíng)管理類數(shù)據(jù)達(dá)2000G字節(jié)，網(wǎng)絡(luò)、信息系統(tǒng)已成為公司生產(chǎn)、經(jīng)營(yíng)和管理的重要支撐平臺(tái)。企業(yè)的應(yīng)用要求網(wǎng)絡(luò)與信息系統(tǒng)具有高可靠性、高可用性、高安全性，但類似網(wǎng)絡(luò)病毒導(dǎo)致信息網(wǎng)絡(luò)部分癱瘓、內(nèi)外部攻擊致使應(yīng)用服務(wù)中斷等事件時(shí)有發(fā)生，實(shí)際上還有其它一些未發(fā)現(xiàn)的或未產(chǎn)生后果的威脅，直接影響著省公司系統(tǒng)的信息安全，XX電力系統(tǒng)信息安全體系建設(shè)已迫在眉睫。1.2解決信息安全問(wèn)題的總體思路當(dāng)前我國(guó)已把信息安全上升到國(guó)家戰(zhàn)略決策的高度。國(guó)家信息化領(lǐng)導(dǎo)小組第三次會(huì)議確定我國(guó)信息安全的指導(dǎo)思想：“堅(jiān)持積極防御、綜合防范的方針，在全面提高信息安全防護(hù)能力的同時(shí)，重點(diǎn)保障基礎(chǔ)網(wǎng)絡(luò)和重要系統(tǒng)的安全。完善信息安全監(jiān)控體系，建立信息安全的有效機(jī)制和應(yīng)急處理機(jī)制?！边@就引出等級(jí)保護(hù)的概念，必須區(qū)分重要程度不同的應(yīng)用系統(tǒng)，并據(jù)此將保護(hù)措施分成不同的等級(jí)，而從國(guó)家層面，必須將那些關(guān)系到國(guó)家經(jīng)濟(jì)發(fā)展命脈的基礎(chǔ)網(wǎng)絡(luò)圈定出來(lái)，加以重點(diǎn)保護(hù)，這就是“重點(diǎn)保障基礎(chǔ)網(wǎng)絡(luò)和重要系統(tǒng)的安全”思路。

這一思路蘊(yùn)涵了“適度”信息安全的概念。“適度”實(shí)際體現(xiàn)了建設(shè)信息安全的綜合成本與信息安全風(fēng)險(xiǎn)之間的平衡，而不是要片面追求不切實(shí)際的安全。所謂信息安全，可以理解為對(duì)信息四方面屬性的保障，一是保密性，就是能夠?qū)箤?duì)手的被動(dòng)攻擊，保證信息不泄露給未經(jīng)授權(quán)的人；二是完整性，就是能夠?qū)箤?duì)手的主動(dòng)攻擊，防止信息被未經(jīng)授權(quán)的篡改；三是可用性，就是保證信息及信息系統(tǒng)確實(shí)為授權(quán)使用者所用；四是可控性，就是對(duì)信息及信息系統(tǒng)實(shí)施安全監(jiān)控。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第5頁(yè)。按照ISO17799信息安全標(biāo)準(zhǔn)、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)安全規(guī)定及國(guó)網(wǎng)公司相關(guān)規(guī)定，信息安全體系的建設(shè)應(yīng)包括兩個(gè)方面的內(nèi)容：安全技術(shù)防護(hù)體系、安全管理體系。技術(shù)防護(hù)體系包括網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的安全防護(hù)基礎(chǔ)設(shè)施和相關(guān)的監(jiān)視、檢測(cè)手段；安全管理體系主要包括組織、評(píng)估、方法、改進(jìn)等管理手段。信息安全體系建設(shè)的方法是：在全面的安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，對(duì)信息資產(chǎn)進(jìn)行安全分類定級(jí)，針對(duì)信息系統(tǒng)存在的安全隱患和威脅，提出信息系統(tǒng)安全整體規(guī)劃，分步實(shí)施，循環(huán)改進(jìn)。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第5頁(yè)。結(jié)合當(dāng)前我司信息系統(tǒng)的安全現(xiàn)狀和急待解決的問(wèn)題，我們提出我司的信息安全體系建設(shè)的總體思路：針對(duì)企業(yè)信息化應(yīng)用的需求，建立電力信息系統(tǒng)安全保障的總體框架，確定電力信息系統(tǒng)安全策略，以指導(dǎo)電力信息系統(tǒng)安全技術(shù)體系與管理系統(tǒng)的建設(shè)。在逐步引入先進(jìn)實(shí)用的信息安全技術(shù)和手段的基礎(chǔ)上，開展信息系統(tǒng)安全評(píng)估活動(dòng)，建立完善的安全技術(shù)體系。同時(shí)，逐步建立健全公司信息安全組織機(jī)構(gòu)，逐步落實(shí)各項(xiàng)信息安全管理制度，廣泛開展信息安全教育，提高系統(tǒng)全員信息安全意識(shí)，構(gòu)造規(guī)范化的安全管理體制和機(jī)制，以期建立完善的信息安全管理體系，并培養(yǎng)一支技術(shù)較強(qiáng)的人才隊(duì)伍。按照統(tǒng)一規(guī)劃、分步實(shí)施的原則，本方案為XX電力公司信息網(wǎng)絡(luò)的安全防范基礎(chǔ)設(shè)施的初步設(shè)計(jì)。1.3XX電力公司信息網(wǎng)安全防護(hù)策略1.3.1XX電力公司總體安全策略企業(yè)的信息安全策略是企業(yè)信息安全工作的依據(jù)，是企業(yè)所有安全行為的準(zhǔn)則。信息安全是圍繞安全策略的具體需求有序地組織在一起，構(gòu)架一個(gè)動(dòng)態(tài)的安全防范體系。XX電力的總體安全策略如下：建立信息安全組織機(jī)構(gòu)、健全各種規(guī)章制度，注重管理。信息安全風(fēng)險(xiǎn)防范側(cè)重企業(yè)內(nèi)部，尤其是核心設(shè)備、核心網(wǎng)段的安全防范。統(tǒng)一規(guī)劃、部署、實(shí)施企業(yè)互聯(lián)網(wǎng)對(duì)外的接口及安全防范。合理劃分網(wǎng)絡(luò)邊界，做好邊界的安全防護(hù)；合理劃分安全域，實(shí)現(xiàn)不同等級(jí)安全域之間的隔離。制定完善的備份策略，保障系統(tǒng)及數(shù)據(jù)的安全。充分利用現(xiàn)有的安全設(shè)施，發(fā)揮其安全功能。建立完善的監(jiān)控平臺(tái)和快速的響應(yīng)體系，及時(shí)的發(fā)現(xiàn)和解決出現(xiàn)的問(wèn)題。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第6頁(yè)。采用數(shù)據(jù)安全技術(shù)保障實(shí)施，確保數(shù)據(jù)安全。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第6頁(yè)。1.3.2XX電力信息安全總體框架1.3.3防護(hù)策略對(duì)網(wǎng)絡(luò)的防護(hù)策略包括主動(dòng)防護(hù)和被動(dòng)防護(hù)兩方面，主動(dòng)防護(hù)即采用入侵檢測(cè)工具，自動(dòng)對(duì)網(wǎng)絡(luò)上進(jìn)出的數(shù)據(jù)包進(jìn)行檢測(cè)，分辯出非法訪問(wèn)并阻斷報(bào)警。被動(dòng)防護(hù)即采用防火墻設(shè)備，置于網(wǎng)絡(luò)出口處，并事先設(shè)定一定的規(guī)則，規(guī)定符合哪些條件的數(shù)據(jù)可以進(jìn)出，其它的則一律阻斷不讓其通過(guò)。從而主動(dòng)防護(hù)與被動(dòng)防護(hù)結(jié)合，達(dá)到對(duì)網(wǎng)絡(luò)的防護(hù)，也以此形成對(duì)小型機(jī)、服務(wù)器、PC機(jī)等各類資源的基礎(chǔ)性防護(hù)。對(duì)主機(jī)的防護(hù)策略主機(jī)上運(yùn)行的是公司系統(tǒng)核心業(yè)務(wù)，存儲(chǔ)的是各類重要數(shù)據(jù)，一旦此類機(jī)器出現(xiàn)問(wèn)題，將會(huì)給公司系統(tǒng)日常業(yè)務(wù)的正常開展造成沖擊和損失，所以必須對(duì)其采取進(jìn)一步的、更加嚴(yán)格的防護(hù)措施，具體在實(shí)踐中，就要對(duì)主機(jī)進(jìn)行漏洞掃描和加固處理，即不定期用掃描工具對(duì)關(guān)鍵主機(jī)進(jìn)行掃描，及時(shí)發(fā)現(xiàn)包括操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)在內(nèi)的各類漏洞缺陷，通過(guò)安裝補(bǔ)丁程序予以彌補(bǔ)，同時(shí)安裝防篡改、注冊(cè)表鎖定等加固軟件和身份認(rèn)證系統(tǒng)，從而使主機(jī)主動(dòng)拒絕非法訪問(wèn)，自身具備較強(qiáng)的安全防護(hù)能力，抗御各類攻擊行為。對(duì)郵件系統(tǒng)的防護(hù)策略經(jīng)過(guò)多年的建設(shè)和推廣應(yīng)用，省電力公司已把基于LotusNotes的辦公自動(dòng)化系統(tǒng)全面推廣到省、市、縣各級(jí)供電企業(yè)，實(shí)現(xiàn)了公文在網(wǎng)上辦理和傳遞。公司系統(tǒng)的員工都開設(shè)了個(gè)人郵箱。所有公文流轉(zhuǎn)信息都會(huì)發(fā)送到員工的個(gè)人郵箱。同時(shí)這些郵箱又都具備發(fā)送和接受外網(wǎng)郵件的能力。近年來(lái)，由于病毒的泛濫和快速傳播，省公司的郵件系統(tǒng)每天不可避免地收到大量的垃圾郵件和攜帶病毒的郵件，郵件中的病毒又在局域網(wǎng)上快速傳播，嚴(yán)重地威脅網(wǎng)絡(luò)和信息安全。為保障網(wǎng)絡(luò)和信息系統(tǒng)安全運(yùn)行，需要部署專用的反垃圾郵件系統(tǒng)和病毒過(guò)濾系統(tǒng)保護(hù)省公司郵件系統(tǒng)的安全運(yùn)行。對(duì)終端的防護(hù)策略終端的安全防護(hù)是網(wǎng)絡(luò)與信息安全防護(hù)的重要內(nèi)容，其主要防護(hù)措施是：電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第7頁(yè)。安裝防病毒軟件并及時(shí)更新。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第7頁(yè)。加強(qiáng)管理，杜絕與業(yè)務(wù)無(wú)關(guān)軟件的安裝使用，控制使用軟盤、光盤驅(qū)動(dòng)器。終端行為管理：網(wǎng)絡(luò)安全問(wèn)題在很多情況下都是由“內(nèi)部人士”而非外來(lái)黑客所引起，在公司系統(tǒng)普遍存在著如下的問(wèn)題：缺乏完整的內(nèi)部安全防護(hù)體系；網(wǎng)絡(luò)安全管理的基礎(chǔ)工作較薄弱，各類網(wǎng)絡(luò)基礎(chǔ)信息采集不全；存在一機(jī)多網(wǎng)和一機(jī)多用的可能性；外圍設(shè)備的接入控制困難；難以監(jiān)控用戶對(duì)計(jì)算機(jī)的使用情況。因此迫切地需要一種高效完整的網(wǎng)絡(luò)管理機(jī)制來(lái)監(jiān)測(cè)、控制整個(gè)內(nèi)網(wǎng)的資源和服務(wù)，使整個(gè)網(wǎng)絡(luò)運(yùn)行穩(wěn)定可靠，從而保證整個(gè)內(nèi)網(wǎng)的可信任和可控制。軟件更新服務(wù)系統(tǒng)（SUS）：目前大部分病毒，像尼姆達(dá)（一種利用系統(tǒng)漏洞的蠕蟲病毒）是利用微軟的系統(tǒng)漏洞進(jìn)行傳播的，而微軟對(duì)大部分的漏洞及時(shí)提供了相應(yīng)的補(bǔ)丁程序，但由于用戶未及時(shí)打補(bǔ)丁更新系統(tǒng)而導(dǎo)致數(shù)以萬(wàn)計(jì)的Windows系統(tǒng)受到攻擊。因此需要一套軟件更新服務(wù)系統(tǒng)（SUS）來(lái)為主機(jī)提供補(bǔ)定程序，并及時(shí)自動(dòng)更新系統(tǒng)。2.設(shè)計(jì)依據(jù)2.1信息安全管理及建設(shè)的國(guó)際標(biāo)準(zhǔn)ISO-17799ISO17799管理體系將IT策略和企業(yè)發(fā)展方向統(tǒng)一起來(lái)，確保IT資源用得其所，使與IT相關(guān)的風(fēng)險(xiǎn)受到適當(dāng)?shù)目刂?。該?biāo)準(zhǔn)通過(guò)保證信息的機(jī)密性，完整性和可用性來(lái)管理和保護(hù)組織的所有信息資產(chǎn)，通過(guò)方針、慣例、程序、組織結(jié)構(gòu)和軟件功能來(lái)確定控制方式并實(shí)施控制，組織按照這套標(biāo)準(zhǔn)管理信息安全風(fēng)險(xiǎn)，可持續(xù)提高管理的有效性和不斷提高自身的信息安全管理水平，降低信息安全對(duì)持續(xù)發(fā)展造成的風(fēng)險(xiǎn)，最終保障組織的特定安全目標(biāo)得以實(shí)現(xiàn)，進(jìn)而利用信息技術(shù)為組織創(chuàng)造新的戰(zhàn)略競(jìng)爭(zhēng)機(jī)遇。3.XX電力信息網(wǎng)安全現(xiàn)狀3.1管理安全現(xiàn)狀電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第8頁(yè)。參考相關(guān)信息安全相關(guān)標(biāo)準(zhǔn)中的安全管理策略要求，根據(jù)XX電力內(nèi)網(wǎng)信息系統(tǒng)安全運(yùn)維的需求，對(duì)XX電力內(nèi)網(wǎng)信息系統(tǒng)安全組織、人員管理、安全管理、運(yùn)維管理、監(jiān)測(cè)管理、備份管理、應(yīng)急管理、文檔管理方面進(jìn)行了調(diào)查分析，對(duì)XX電力內(nèi)網(wǎng)信息系統(tǒng)安全管理現(xiàn)狀描述如下：電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第8頁(yè)。安全組織方面：已有信息安全管理組織，有專職信息安全人員。信息安全專職人員負(fù)責(zé)組織內(nèi)部與各相關(guān)單位的信息安全協(xié)調(diào)溝通工作。人員管理方面：XX電力內(nèi)網(wǎng)信息系統(tǒng)已有明確的崗位責(zé)任制，技術(shù)人員在信息系統(tǒng)建設(shè)和日常維護(hù)過(guò)程中認(rèn)真履行職責(zé)。已有執(zhí)行外來(lái)人員管理策略，外來(lái)公司人員進(jìn)入機(jī)房實(shí)施操作時(shí)，有XX電力內(nèi)網(wǎng)信息系統(tǒng)工作人員全程陪同。安全管理方面：有明確的安全管理要求與措施。沒(méi)有及時(shí)安裝相應(yīng)系統(tǒng)補(bǔ)丁，禁止安裝與工作無(wú)關(guān)的軟件；缺乏完備信息安全事件報(bào)告制度。運(yùn)維管理方面：有具體明確的系統(tǒng)運(yùn)行要求，日常故障維護(hù)，對(duì)故障現(xiàn)象、發(fā)現(xiàn)時(shí)間、檢查內(nèi)容、處理方法、處理人員、恢復(fù)時(shí)間等進(jìn)行詳細(xì)記錄。監(jiān)測(cè)管理方面：有明確的監(jiān)測(cè)目標(biāo)，在網(wǎng)絡(luò)檢測(cè)方面，利用入侵檢測(cè)來(lái)實(shí)時(shí)監(jiān)測(cè)，但沒(méi)有定時(shí)查看相關(guān)記錄和維護(hù)，并做出響應(yīng)；在防病毒方面，利用防病毒系統(tǒng)來(lái)實(shí)時(shí)對(duì)病毒進(jìn)行檢測(cè)和防護(hù)。應(yīng)急管理方面：有明確的應(yīng)急管理策略，實(shí)施工作主要有運(yùn)維人員及服務(wù)提供商承擔(dān)。密碼管理方面：有明確的密碼管理實(shí)施辦法，但缺乏定期修改密碼及密碼保存辦法。備份管理方面：有明確的備份管理策略，也制定了相關(guān)的備份辦法。文檔管理方面：有明確的技術(shù)文檔管理制度，但技術(shù)文檔資料缺乏登記、分類、由專人保管，同時(shí)也缺乏技術(shù)文檔資料的使用、外借或銷毀的審批登記手續(xù)。3.2網(wǎng)絡(luò)安全現(xiàn)狀電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第9頁(yè)。XX電力的網(wǎng)絡(luò)拓?fù)洮F(xiàn)在如下圖所示：電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第9頁(yè)。當(dāng)前網(wǎng)絡(luò)骨干區(qū)域，基本形成以一臺(tái)H3CS7506為核心，多臺(tái)H3CS7503為匯聚接入的架構(gòu)。但核心交換機(jī)H3CS7506同時(shí)兼具遠(yuǎn)程接入?yún)^(qū)多條專線接入設(shè)備的任務(wù)，中間沒(méi)有匯聚設(shè)備，網(wǎng)絡(luò)邏輯層次結(jié)構(gòu)較為模糊。不利于網(wǎng)絡(luò)的擴(kuò)展建設(shè)，更不利于安全域邊界的整合，無(wú)法實(shí)施集中統(tǒng)一的安全防護(hù)策略。除互聯(lián)網(wǎng)接入?yún)^(qū)外，當(dāng)前網(wǎng)絡(luò)各區(qū)域均為單鏈路、單設(shè)備。網(wǎng)絡(luò)單點(diǎn)故障隱患很大。任意節(jié)點(diǎn)設(shè)備、鏈路的故障，或因維護(hù)的需要停機(jī)重啟，均會(huì)造成相應(yīng)區(qū)域網(wǎng)絡(luò)的通訊中斷，造成重要影響。當(dāng)前網(wǎng)絡(luò)中，在服務(wù)器區(qū)部分、管理支撐區(qū)、遠(yuǎn)程接入?yún)^(qū)，玉溪煙廠生產(chǎn)網(wǎng)辦公網(wǎng)部分均存在區(qū)域劃分不清晰，邊界模糊的情況。安全域劃分不清晰，區(qū)域邊界未整合，不利于日常的安全管理，無(wú)法實(shí)施集中統(tǒng)一的安全區(qū)域防護(hù)策略。服務(wù)器區(qū)域H3C設(shè)備FWSM防火墻處于策略全通狀態(tài)，無(wú)法起到應(yīng)有的訪問(wèn)控制功效，讓所有服務(wù)器直接暴露在辦公網(wǎng)中。部分遠(yuǎn)程接入?yún)^(qū)域鏈路、IT運(yùn)營(yíng)中心等，同樣存在缺乏防火墻等設(shè)備，無(wú)法實(shí)施基本的網(wǎng)絡(luò)訪問(wèn)控制，無(wú)法有效防護(hù)重要資產(chǎn)設(shè)備。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第10頁(yè)。當(dāng)前網(wǎng)絡(luò)中缺乏必要的入侵檢測(cè)/防御手段，特別在核心交換機(jī)、內(nèi)網(wǎng)服務(wù)器區(qū)、DMZ服務(wù)器區(qū)。無(wú)法實(shí)施網(wǎng)絡(luò)流量的實(shí)時(shí)監(jiān)控分析，進(jìn)行惡意行為的告警響應(yīng)，無(wú)法及時(shí)發(fā)現(xiàn)并處理安全事件。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第10頁(yè)。全網(wǎng)缺乏一套集中的安全運(yùn)營(yíng)管理中心，無(wú)法集中監(jiān)控各網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)及業(yè)務(wù)的安全運(yùn)行情況，收集日志信息，集中存儲(chǔ)、關(guān)聯(lián)分析和展現(xiàn)。同時(shí)，無(wú)法及時(shí)掌握全網(wǎng)的安全態(tài)勢(shì)，及時(shí)做出分析判斷，影響安全事件的響應(yīng)處理效率。內(nèi)網(wǎng)服務(wù)器區(qū)、DMZ服務(wù)器區(qū)缺乏業(yè)務(wù)審計(jì)設(shè)備，無(wú)法記錄關(guān)鍵的業(yè)務(wù)、維護(hù)操作行為。出現(xiàn)安全事件時(shí)，無(wú)法通過(guò)審計(jì)設(shè)備進(jìn)行操作行為的跟蹤分析，及時(shí)查找原因。當(dāng)前網(wǎng)絡(luò)設(shè)備安全相關(guān)策略大多采用默認(rèn)配置，自身存在較多安全隱患，在一些惡意的人為因數(shù)下，可能造成網(wǎng)絡(luò)設(shè)備運(yùn)行不正常，甚至網(wǎng)絡(luò)局部區(qū)域通訊中斷。3.3主機(jī)及業(yè)務(wù)系統(tǒng)安全現(xiàn)狀當(dāng)前系統(tǒng)中的主機(jī)及應(yīng)用系統(tǒng)欠缺較多的補(bǔ)丁，存在較多的高風(fēng)險(xiǎn)漏洞。攻擊者可以通過(guò)一些簡(jiǎn)易工具或技術(shù)手段，入侵主機(jī)，提升權(quán)限，進(jìn)行后續(xù)的破壞活動(dòng)。XX電力部分業(yè)務(wù)系統(tǒng)主機(jī)和數(shù)據(jù)庫(kù)帳號(hào)存在弱口令現(xiàn)象，包括用戶名和口令一致、空口令、通用默認(rèn)口令、極易猜測(cè)的簡(jiǎn)單數(shù)字等。弱口令可以使惡意用戶直接或者通過(guò)簡(jiǎn)單掃描工具，即可獲取用戶帳號(hào)和密碼，可以直接訪問(wèn)系統(tǒng)，甚至獲取系統(tǒng)管理員帳號(hào)和密碼，完全控制該系統(tǒng)。如果系統(tǒng)被攻擊，對(duì)XX電力業(yè)務(wù)的正常運(yùn)行造成很大的影響。帳號(hào)口令管理方面，當(dāng)前所有UNIX類主機(jī)采用默認(rèn)配置，沒(méi)有啟用帳號(hào)相關(guān)安全屬性控制，沒(méi)有對(duì)口令的復(fù)雜度、有效期、更新密碼周期等進(jìn)行統(tǒng)一約束。帳號(hào)口令安全策略設(shè)置不嚴(yán)格，用戶口令容易遭到猜測(cè)或字典攻擊成功，進(jìn)而使系統(tǒng)容易被非法操縱。用戶登錄管理方面，當(dāng)前所有UNIX類主機(jī)采用默認(rèn)配置，未啟用root直接登陸控制、終端登陸控制、登陸會(huì)話時(shí)間限制、SU權(quán)限控制等登錄安全管理策略。用戶登陸安全策略設(shè)置不嚴(yán)格，容易造成惡意用戶越權(quán)濫用，非法操作，root特權(quán)使用缺乏監(jiān)控審計(jì)，給系統(tǒng)造成影響破壞。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第11頁(yè)。當(dāng)前絕大部分主機(jī)采用默認(rèn)配置，開放有SNMP服務(wù)，并且沒(méi)有修改缺省的SNMP共同體字符串。而已攻擊者通過(guò)SNMP可以獲取遠(yuǎn)程操作系統(tǒng)的類型和版本、進(jìn)程信息、網(wǎng)絡(luò)接口信息等敏感信息。這可能使攻擊者可以準(zhǔn)確了解遠(yuǎn)程主機(jī)的系統(tǒng)信息，更有針對(duì)性的發(fā)起攻擊。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第11頁(yè)。當(dāng)前大部分主機(jī)，包括部分對(duì)公網(wǎng)提供服務(wù)的主機(jī)的OpenSSH版本較老，暴露有較多緩沖區(qū)溢出漏洞。惡意攻擊者通過(guò)上述漏洞，可以發(fā)起拒絕服務(wù)攻擊或執(zhí)行任意代碼，控制主機(jī)，給業(yè)務(wù)系統(tǒng)造成嚴(yán)重影響。當(dāng)前多數(shù)主機(jī)系統(tǒng)中開放有危險(xiǎn)的R系列服務(wù)，建立有較多主機(jī)間的信任關(guān)系。用戶可使用rlogin直接登錄而不需密碼，還可使用rcp、rcmd等命令，方便用戶操作。R系列服務(wù)有一定的安全性風(fēng)險(xiǎn)，在當(dāng)前環(huán)境中，容易被仿冒，無(wú)需口令即可直接訪問(wèn)授信主機(jī)，造成系統(tǒng)越權(quán)訪問(wèn)。當(dāng)前絕大多數(shù)主機(jī)采用默認(rèn)配置，開放有危險(xiǎn)且不必須的TCPSmallService和UDPSmallService。包括echo、diacard、chargen、talk等。每一種網(wǎng)絡(luò)服務(wù)都是一個(gè)潛在的安全漏洞，也就是一個(gè)攻擊者可能會(huì)進(jìn)入的地方。開放TCP/UDP小服務(wù)可能拒絕服務(wù)攻擊、系統(tǒng)入侵等危害。當(dāng)前絕大多數(shù)主機(jī)采用默認(rèn)配置，開放有危險(xiǎn)的RPC服務(wù)，包括rstatd、rusersd、rwalld等。RPC系列服務(wù)可能造成系統(tǒng)信息泄露，為惡意攻擊者的進(jìn)一步行動(dòng)提供有用信息。當(dāng)前大多數(shù)主機(jī)開放有Sendmail服務(wù)，Sendmail服務(wù)自身存在較多風(fēng)險(xiǎn)漏洞。非郵件服務(wù)器無(wú)需運(yùn)行Sendmail服務(wù)。惡意攻擊者利用Sendmail服務(wù)漏洞容易獲取系統(tǒng)權(quán)限，或用來(lái)發(fā)送垃圾郵件。前部分提供Web訪問(wèn)的系統(tǒng)（包括外網(wǎng)網(wǎng)站等）采用的Apache服務(wù)器版本較低，存在多處緩沖區(qū)溢出漏洞。惡意攻擊者可以利用這個(gè)漏洞進(jìn)行緩沖區(qū)溢出攻擊，可能以Apache進(jìn)程權(quán)限在系統(tǒng)上執(zhí)行任意指令或進(jìn)行拒絕服務(wù)攻擊。當(dāng)前大部分主機(jī)和應(yīng)用系統(tǒng)采用默認(rèn)的Syslog日志配置。未配置集中的外部日志服務(wù)器系統(tǒng)，進(jìn)行統(tǒng)一的收集、存儲(chǔ)和分析。不能及時(shí)有效地發(fā)現(xiàn)業(yè)務(wù)中的問(wèn)題以及安全事件，不利于安全事件的跟蹤分析。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第12頁(yè)。滲透測(cè)試檢查發(fā)現(xiàn)，XX電力外網(wǎng)網(wǎng)站存在兩處高風(fēng)險(xiǎn)的SQL注入漏洞。利用SQL注入點(diǎn)1，可進(jìn)行數(shù)據(jù)庫(kù)信息猜測(cè)、數(shù)據(jù)表猜測(cè)、表空間猜測(cè)，進(jìn)而獲取整個(gè)數(shù)據(jù)庫(kù)的信息，任意查看和修改。利用注入點(diǎn)2可以獲得任意注冊(cè)會(huì)員的帳號(hào)和密碼信息，以及會(huì)員的郵件地址、身份證、真實(shí)名字等敏感信息。同時(shí)還檢查出，外網(wǎng)網(wǎng)站存在可上傳任意文件、跨站腳本攻擊兩處高、中風(fēng)險(xiǎn)漏洞。外網(wǎng)網(wǎng)站作為XX電力的對(duì)外門戶網(wǎng)站系統(tǒng)，是對(duì)外宣傳、信息發(fā)布的重要途徑，日均訪問(wèn)量很大。惡意入侵者利用上述漏洞，極易造成網(wǎng)站系統(tǒng)重要數(shù)據(jù)信息泄密，網(wǎng)站頁(yè)面破壞、篡改、掛馬等危害，嚴(yán)重影響用戶的正常訪問(wèn)，造成用戶感染病毒木馬。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第12頁(yè)。滲透測(cè)試檢查發(fā)現(xiàn)，內(nèi)網(wǎng)網(wǎng)站存在兩處高風(fēng)險(xiǎn)漏洞，可以獲取所有用戶的口令和其它敏感信息。同時(shí)還存在暴露系統(tǒng)絕對(duì)路徑、可以查看任意短消息列表內(nèi)容。內(nèi)網(wǎng)網(wǎng)站是公司內(nèi)部信息發(fā)布的主要途徑，采用郵件系統(tǒng)的帳號(hào)口令進(jìn)行認(rèn)證，通過(guò)上述漏洞，惡意攻擊者可以獲取所有用戶帳號(hào)的口令，登錄內(nèi)網(wǎng)網(wǎng)站、登錄郵件系統(tǒng)，造成信息泄密、篡改、破壞等危害。3.4終端安全現(xiàn)狀目前XX電力安全方針策略不夠清晰明確。由于安全目標(biāo)方針不明確，導(dǎo)致全員不能清晰領(lǐng)悟安全的重要性，安全思想不能得到有效貫徹落實(shí)。各部門執(zhí)行安全的方向不統(tǒng)一。安全方針不統(tǒng)一，會(huì)經(jīng)常出現(xiàn)安全行動(dòng)不統(tǒng)一，安全意識(shí)不明確的現(xiàn)象。XX電力沒(méi)有建立完善的安全管理策略制度。制度不完善導(dǎo)致執(zhí)行安全工作時(shí)不能遵循統(tǒng)一的策略，導(dǎo)致因誤操作或因不規(guī)范導(dǎo)致的問(wèn)題發(fā)生?？赡軙?huì)出現(xiàn)由于制度流程不完善導(dǎo)致的信息泄密、網(wǎng)絡(luò)系統(tǒng)癱瘓等管理制度不全面，未能覆蓋包括第三方人員管理、桌面系統(tǒng)管理、系統(tǒng)開發(fā)等方面，導(dǎo)致相關(guān)操作無(wú)規(guī)范。當(dāng)前XX電力成立了信息安全工作領(lǐng)導(dǎo)小組，但小組成員基本以各級(jí)領(lǐng)導(dǎo)為主，專業(yè)安全人員只有一人，不能滿足日常安全管理工作需要。并且系統(tǒng)維護(hù)人員同時(shí)負(fù)責(zé)此系統(tǒng)的安全運(yùn)行，目前的編制已經(jīng)很難滿足日常安全管理的需要，因此信息安全的具體執(zhí)行工作難以得到有效的開展。安全崗位職責(zé)未設(shè)置AB角色，一人負(fù)責(zé)，一旦發(fā)生人員調(diào)離或其它意外導(dǎo)致系統(tǒng)全面癱瘓。沒(méi)有建立完善信息安全考核體系，導(dǎo)致員工不能嚴(yán)格執(zhí)行各項(xiàng)信息安全規(guī)章制度。各級(jí)員工普遍信息安全意識(shí)不強(qiáng)，導(dǎo)致員工對(duì)信息安全的內(nèi)容、管理目標(biāo)等沒(méi)有明確的認(rèn)識(shí)與理解，不能在日常工作中主動(dòng)地貫徹各項(xiàng)信息安全制度、規(guī)范及標(biāo)準(zhǔn)。XX電力尚未實(shí)施針對(duì)非專業(yè)安全人員的安全培訓(xùn)計(jì)劃安全培訓(xùn)跟不上導(dǎo)致專業(yè)人員和普通員工安全技術(shù)缺乏，安全意識(shí)薄弱。當(dāng)前情況下，備份介質(zhì)大多存放在機(jī)房?jī)?nèi)或辦公區(qū)域中。同時(shí)沒(méi)有針對(duì)可移動(dòng)介質(zhì)的管理制度。沒(méi)有介質(zhì)銷毀制度。重要軟件或其它資產(chǎn)（如密碼本）存放在機(jī)房?jī)?nèi)，可能會(huì)導(dǎo)致容易使內(nèi)部較易獲取或破壞資產(chǎn)；重要資產(chǎn)存放在辦公區(qū)域內(nèi)，很容易被外來(lái)人員進(jìn)行有意或無(wú)意的攻擊。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第13頁(yè)。目前按部門的劃分來(lái)保護(hù)資產(chǎn)，將資產(chǎn)進(jìn)行了一些簡(jiǎn)單分類。軟件資產(chǎn)無(wú)詳細(xì)登記，也未將資產(chǎn)劃分安全等級(jí)。不能對(duì)重點(diǎn)資產(chǎn)進(jìn)行重點(diǎn)保護(hù)。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第13頁(yè)。尚未制定相應(yīng)的訪問(wèn)權(quán)限與控制的流程與職責(zé)，總部和各分廠在處理第三方訪問(wèn)權(quán)限時(shí)沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)與規(guī)范；對(duì)第三方的監(jiān)控缺少標(biāo)準(zhǔn)與技術(shù)手段，各單位基本沒(méi)有在第三方訪問(wèn)時(shí)實(shí)施有效的監(jiān)控；在第三方合作完成后，不能及時(shí)的注銷訪問(wèn)權(quán)限、修改口令，存在第三方繼續(xù)訪問(wèn)獲得機(jī)密信息或者進(jìn)行非法操作的風(fēng)險(xiǎn)。當(dāng)前XX電力缺乏系統(tǒng)規(guī)范的應(yīng)急響應(yīng)預(yù)案。缺乏相應(yīng)的制度流程，導(dǎo)致系統(tǒng)遭受篡改或無(wú)法使用時(shí)，對(duì)公司的管理運(yùn)營(yíng)具有輕微影響。缺乏系規(guī)范的桌面系統(tǒng)安全管理規(guī)范，終端人員操作水平不一致，安全意識(shí)不足可能會(huì)導(dǎo)致桌面系統(tǒng)的病毒蠕蟲事件，以至于網(wǎng)絡(luò)癱患；移動(dòng)硬盤的無(wú)規(guī)范使用，不僅會(huì)導(dǎo)致病毒泛濫，而且容易將信息泄露或數(shù)據(jù)破壞及丟失。建設(shè)過(guò)程中沒(méi)有同步考慮系統(tǒng)功能和安全性。立項(xiàng)管理階段：項(xiàng)目前期過(guò)程中對(duì)安全的考慮不夠完整，主要包括信息安全目標(biāo)定義不明確，初步安全控制方案存在控制不足的情況，項(xiàng)目預(yù)算調(diào)減時(shí)導(dǎo)致安全控制被消減；實(shí)施管理階段：缺少統(tǒng)一的安全需求分析方法、基本保護(hù)要求以及安全驗(yàn)收測(cè)試，導(dǎo)致在建系統(tǒng)的安全控制方案不能有效地實(shí)現(xiàn)安全目標(biāo)，開發(fā)過(guò)程中對(duì)開發(fā)人員控制不夠，使得項(xiàng)目過(guò)程文檔和內(nèi)部敏感信息外流；驗(yàn)收管理階段：缺乏系統(tǒng)運(yùn)維計(jì)劃，包括備份恢復(fù)計(jì)劃、應(yīng)急預(yù)案，有的系統(tǒng)是上線運(yùn)行后。4．建設(shè)目標(biāo)本期信息網(wǎng)安全建設(shè)達(dá)到以下目標(biāo)：通過(guò)防火墻和入侵檢測(cè)/防護(hù)系統(tǒng)的部署，構(gòu)建網(wǎng)絡(luò)邊界防護(hù)，將內(nèi)部網(wǎng)絡(luò)與其他網(wǎng)絡(luò)進(jìn)行隔離，避免與外部網(wǎng)絡(luò)的直接通訊，保證網(wǎng)絡(luò)結(jié)構(gòu)信息不外泄；對(duì)各條鏈路上的服務(wù)請(qǐng)求做必要的限制，使非法訪問(wèn)不能到達(dá)主機(jī)；通過(guò)防病毒系統(tǒng)的部署，建立完整的系統(tǒng)防病毒體系，防止病毒的侵害；通過(guò)客戶端管理系統(tǒng)的部署，建立客戶端資源、行為的必要控制，以及補(bǔ)丁及時(shí)分發(fā)，減少內(nèi)網(wǎng)用戶的不安全因素；通過(guò)省公司本部安全監(jiān)管平臺(tái)的部署，初步實(shí)現(xiàn)安全事件集中監(jiān)視和分析，為下一步建設(shè)全省信息安全體系打下基礎(chǔ)。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第14頁(yè)。 電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第14頁(yè)。5．安全區(qū)域的劃分方案5.1網(wǎng)絡(luò)安全域劃分原則安全域是指網(wǎng)絡(luò)系統(tǒng)內(nèi)包含相同的安全要求，達(dá)到相同的安全防護(hù)等級(jí)的區(qū)域。網(wǎng)絡(luò)安全域設(shè)計(jì)遵循以下原則：內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)層次分明，便于網(wǎng)絡(luò)隔離和安全規(guī)劃。網(wǎng)絡(luò)結(jié)構(gòu)具備高可靠性和高可用性。不同的網(wǎng)段在交換機(jī)上劃分不同虛擬局域網(wǎng)（VLAN），不同虛擬局域網(wǎng)（VLAN）之間的路由設(shè)置訪問(wèn)控制表（ACL）。地址規(guī)劃應(yīng)便于路由匯總以方便路由管理、提高路由廣播效率以及簡(jiǎn)化ACL配置。邊界和內(nèi)部的動(dòng)態(tài)路由協(xié)議應(yīng)盡量啟用認(rèn)證，用來(lái)防止路由欺騙，否則高明的黑客可以通過(guò)發(fā)送惡意的路由更新廣播包，使得路由器更新路由表，造成網(wǎng)絡(luò)癱瘓和路由旁路。所有對(duì)網(wǎng)絡(luò)設(shè)備的維護(hù)管理啟用更可靠的認(rèn)證。交換機(jī)的第三層模塊（L3模塊）或防火墻配置訪問(wèn)控制表（ACL）。路由器設(shè)置反地址欺騙檢查。對(duì)于路由器，外出（Outbound）接收包的源地址只可能是外部地址，不可能是內(nèi)部地址，同樣進(jìn)入（Inbound）接收包的源地址只可能是內(nèi)部地址，不可能是外部地址，這樣能防止黑客利用策略允許的內(nèi)部或外部地址進(jìn)入網(wǎng)絡(luò)。啟用路由反向解析驗(yàn)證，這在某種程度上犧牲了一定的網(wǎng)絡(luò)性能，但能有效阻止隨機(jī)源地址類型的攻擊，如同步攻擊等（SyncFlood）。路由器過(guò)濾所有來(lái)自外部網(wǎng)絡(luò)的源地址為保留地址的數(shù)據(jù)包。所有提供簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）服務(wù)的設(shè)備（路由器、交換機(jī)、計(jì)算機(jī)設(shè)備等）的共用組名（CommunityName）不能使用缺省，要足夠復(fù)雜，并且統(tǒng)一管理。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第15頁(yè)。全省按如下網(wǎng)絡(luò)安全域進(jìn)行劃分：電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第15頁(yè)。整個(gè)省公司劃分為四個(gè)大的安全域：內(nèi)部辦公區(qū)，DMZ（對(duì)外業(yè)務(wù)區(qū)），電力信息網(wǎng)區(qū)（對(duì)內(nèi)業(yè)務(wù)區(qū)），若干外聯(lián)網(wǎng)區(qū)域（Internet，第三方接入等）；各安全域之間通過(guò)防火墻進(jìn)行隔離，在防火墻上按照網(wǎng)絡(luò)應(yīng)用的需求進(jìn)行訪問(wèn)策略的設(shè)置；外網(wǎng)服務(wù)器區(qū)（DMZ）的網(wǎng)站、郵件、應(yīng)用（Web，Mail，Application）服務(wù)器通過(guò)網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）等，對(duì)Internet提供服務(wù)；電力信息網(wǎng)區(qū)的服務(wù)器通過(guò)防火墻與內(nèi)部辦公區(qū)，DMZ區(qū)進(jìn)行通信，對(duì)內(nèi)提供系統(tǒng)應(yīng)用；內(nèi)部辦公區(qū)視需求進(jìn)行虛擬局域網(wǎng)（VLAN）的進(jìn)一步劃分，由交換機(jī)的第三層模塊（L3模塊）進(jìn)行虛擬局域網(wǎng)（VLAN）劃分和訪問(wèn)控制表（ACL）控制或通過(guò)防火墻模塊進(jìn)行各虛擬局域網(wǎng)（VLAN）之間的安全控制。5.2網(wǎng)絡(luò)區(qū)域邊界訪問(wèn)控制需求根據(jù)目前公司系統(tǒng)的實(shí)際網(wǎng)絡(luò)狀況，在公司系統(tǒng)網(wǎng)絡(luò)環(huán)境中，區(qū)域邊界主要有以下幾個(gè)：互聯(lián)網(wǎng)與電力信息網(wǎng)的連接邊界，電力信息網(wǎng)內(nèi)各本地局域網(wǎng)與廣域網(wǎng)的連接邊界，電力信息網(wǎng)與華東電網(wǎng)的連接邊界，電力信息網(wǎng)與國(guó)家電網(wǎng)的連接邊界，各地市公司與縣公司的連接邊界，各地市公司與銀行的連接邊界。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第16頁(yè)。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第16頁(yè)。根據(jù)網(wǎng)絡(luò)安全建設(shè)的原則，安全等級(jí)低的系統(tǒng)應(yīng)該與安全級(jí)別高的系統(tǒng)進(jìn)行有效隔離，避免將兩者混雜，從而直接降低了高安全級(jí)別系統(tǒng)的安全性。安全僅僅依靠操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)權(quán)限控制功能。這是遠(yuǎn)遠(yuǎn)不夠的，任何一個(gè)位于該網(wǎng)絡(luò)中的客戶終端，都可能是一個(gè)潛在的對(duì)關(guān)鍵服務(wù)器的威脅點(diǎn)。因此，首先必須將所有這些服務(wù)器按重要等級(jí)和國(guó)家經(jīng)貿(mào)委劃定的“安全區(qū)域”進(jìn)行分級(jí)，其次在科學(xué)合理分級(jí)的基礎(chǔ)上，采用有效的網(wǎng)絡(luò)隔離措施，隔離這些不同安全等級(jí)的服務(wù)器，并進(jìn)行有效的訪問(wèn)控制。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第17頁(yè)。網(wǎng)絡(luò)隔離的目的最主要的就是要完成網(wǎng)絡(luò)層訪問(wèn)控制的功能。經(jīng)常存在的網(wǎng)絡(luò)濫用現(xiàn)象本身就是因?yàn)槿狈τ行У脑L問(wèn)控制手段所導(dǎo)致的。從安全的角度來(lái)說(shuō)，應(yīng)該遵循“最小授權(quán)”原則:一個(gè)實(shí)體應(yīng)該而且只應(yīng)該被賦予它完成正常功能所需的最小權(quán)限。而在我們的實(shí)際網(wǎng)絡(luò)運(yùn)營(yíng)中，往往忽略了這一原則，任何一個(gè)在網(wǎng)絡(luò)上活動(dòng)的普通用戶，經(jīng)常會(huì)擁有過(guò)多的訪問(wèn)權(quán)限。一個(gè)用戶本來(lái)僅僅只需要訪問(wèn)服務(wù)器的WEB服務(wù)，但是由于缺乏有效的網(wǎng)絡(luò)層隔離與訪問(wèn)控制機(jī)制，這個(gè)用戶其實(shí)擁有對(duì)該服務(wù)器一切網(wǎng)絡(luò)服務(wù)訪問(wèn)的權(quán)限。這種違反“最小授權(quán)”的情況事實(shí)上經(jīng)常被人忽略，從而導(dǎo)致了在特定的情況下安全事件的產(chǎn)生，造成了嚴(yán)重的后果。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第17頁(yè)。常見的網(wǎng)絡(luò)層訪問(wèn)控制主要是基于IP和端口來(lái)進(jìn)行。對(duì)公司系統(tǒng)來(lái)說(shuō)僅僅基于這樣的網(wǎng)絡(luò)層訪問(wèn)控制是不夠的。因?yàn)橥蛻舳说腎P地址是采用動(dòng)態(tài)分配，很難將某個(gè)IP地址與特定用戶綁定起來(lái)。因此需要通過(guò)MAC地址對(duì)用戶網(wǎng)絡(luò)層的訪問(wèn)進(jìn)行控制。訪問(wèn)控制在多個(gè)網(wǎng)絡(luò)協(xié)議層面都是一個(gè)必要的安全機(jī)制。對(duì)重要應(yīng)用系統(tǒng)來(lái)說(shuō)，其訪問(wèn)控制要求更為細(xì)致，但網(wǎng)絡(luò)層的訪問(wèn)控制是基礎(chǔ)，如果在網(wǎng)絡(luò)通訊層面以及操作系統(tǒng)層面都不能保證嚴(yán)格有力的訪問(wèn)控制，應(yīng)用層面的控制是沒(méi)有意義的。所以，首先必須實(shí)施全面的區(qū)域邊界網(wǎng)絡(luò)隔離與訪問(wèn)控制技術(shù)。5.3邊界網(wǎng)絡(luò)隔離和訪問(wèn)控制為了有效保證同一網(wǎng)絡(luò)區(qū)域內(nèi)實(shí)行相同的安全策略，避免違背安全策略的跨區(qū)域訪問(wèn)（如嚴(yán)格禁止從Internet對(duì)XX電力專網(wǎng)的直接訪問(wèn)），方案采用如下措施進(jìn)行區(qū)域邊界防護(hù)。5.3.1區(qū)域邊界的訪問(wèn)控制防火墻技術(shù)是目前最成熟，應(yīng)用最普遍的區(qū)域邊界訪問(wèn)控制技術(shù)。它通過(guò)設(shè)置在不同網(wǎng)絡(luò)區(qū)域（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間來(lái)實(shí)施安全策略。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。區(qū)域邊界的防火墻控制技術(shù)在上述所有邊界均加以實(shí)施。5.3.2敏感區(qū)域邊界的流量審計(jì)此處的敏感區(qū)域邊界，主要指安全性相對(duì)較高和安全性相對(duì)較低網(wǎng)絡(luò)之間的連接區(qū)域邊界，具體到省公司信息系統(tǒng)而言即為Internet與信息網(wǎng)系統(tǒng)的連接邊界，信息網(wǎng)系統(tǒng)與國(guó)網(wǎng)公司、華東電網(wǎng)、縣公司及銀行的網(wǎng)絡(luò)連接邊界。對(duì)于這些邊界的控制，僅僅使用防火墻策略是不夠的。由于敏感區(qū)域邊界間安全性差別較大，極易出現(xiàn)安全問(wèn)題，所以應(yīng)對(duì)跨區(qū)域的流量進(jìn)行完全審計(jì)，便于日后的審查需要。5.3.3敏感區(qū)域邊界的網(wǎng)絡(luò)防入侵及防病毒電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第18頁(yè)。除了在敏感區(qū)域邊界間實(shí)施流量審計(jì)這種被動(dòng)審計(jì)技術(shù)外，還應(yīng)建立主動(dòng)入侵防御機(jī)制，動(dòng)態(tài)響應(yīng)跨區(qū)域的入侵，這種動(dòng)態(tài)響應(yīng)技術(shù)即為入侵檢測(cè)和病毒防護(hù)技術(shù)。因?yàn)椋瑥陌踩嵌葋?lái)說(shuō)，當(dāng)前新興的病毒威脅已具有相關(guān)黑客入侵特征，二者的結(jié)合防護(hù)不可或缺。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第18頁(yè)。上述三種技術(shù)在進(jìn)行區(qū)域邊界防護(hù)時(shí)可互為補(bǔ)充，相輔相成。從工程角度來(lái)說(shuō)，最好能將三種技術(shù)集成在一個(gè)產(chǎn)品里，以提供安全功能的集合，一方面便于實(shí)施，另一方面便于后期維護(hù)和管理。6．XX電力信息網(wǎng)防火墻部署方案在Internet與互聯(lián)網(wǎng)內(nèi)容發(fā)布平臺(tái)之間和互聯(lián)網(wǎng)內(nèi)容發(fā)布平臺(tái)與電力信息網(wǎng)之間部署具有防火墻、安全審計(jì)、入侵防護(hù)和病毒防護(hù)等綜合功能的安全產(chǎn)品。雖然，公司系統(tǒng)已經(jīng)部署了部分的思科PIX防火墻，但是思科PIX防火墻采用的是防火墻防護(hù)技術(shù)最初級(jí)的一種。思科PIX通過(guò)包過(guò)濾技術(shù)實(shí)現(xiàn)對(duì)用戶網(wǎng)絡(luò)的防護(hù)，這種技術(shù)無(wú)法應(yīng)對(duì)目前日益猖獗的混合式威脅，也無(wú)法提供病毒防護(hù)功能。近一兩年，基于對(duì)邊界安全需求的全面考慮，許多安全廠商推出了新型的多功能網(wǎng)關(guān)，新型多功能網(wǎng)關(guān)就是在防火墻的基礎(chǔ)上提供網(wǎng)關(guān)需要的其他安全功能，例如最常見的是在防火墻上增加虛擬專用網(wǎng)（VPN）功能。還有在防火墻上增加防病毒功能。也有更為先進(jìn)的是在防火墻上同時(shí)集成了虛擬專用網(wǎng)（VPN）、防病毒、入侵檢測(cè)、內(nèi)容過(guò)濾等全面安全功能。新型多功能網(wǎng)關(guān)是網(wǎng)關(guān)安全發(fā)展的趨勢(shì)，只有新型多功能網(wǎng)關(guān)才能真正讓網(wǎng)關(guān)位置成為安全防護(hù)體系的重要有力的組成部分。在公司網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)區(qū)域出口處安裝此類多功能集成網(wǎng)關(guān)安全產(chǎn)品，為用戶構(gòu)建堅(jiān)固的網(wǎng)絡(luò)防線。此類防火墻不但可以防止黑客入侵，而且提供入侵檢測(cè)/防護(hù)功能，并且可以和防火墻自帶防病毒系統(tǒng)緊密結(jié)合在一起，提供網(wǎng)關(guān)級(jí)的防病毒保護(hù)?？紤]到全省信息網(wǎng)移到綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)上，我們?cè)诟鞯厥泄九c省公司連接的網(wǎng)關(guān)處均采用千兆防火墻，各地市公司到縣公司、銀行等采用百兆防火墻。通過(guò)防火墻可對(duì)不同安全區(qū)域之間的網(wǎng)絡(luò)連接活動(dòng)進(jìn)行嚴(yán)格的訪問(wèn)控制，并且不僅僅如此，通過(guò)防火墻可對(duì)往來(lái)這些網(wǎng)絡(luò)之間的攻擊入侵和病毒傳播進(jìn)行有效的檢測(cè)和阻斷，從而將高安全區(qū)域有效的隔離保護(hù)起來(lái)，從網(wǎng)絡(luò)層到應(yīng)用層進(jìn)行立體化的區(qū)域邊界防御，通過(guò)實(shí)施該一體化的集成安全網(wǎng)關(guān)，使省公司和各地市公司內(nèi)部網(wǎng)絡(luò)的安全等級(jí)得到有效提升和保證。6.1省公司防火墻和集成安全網(wǎng)關(guān)的部署1．省公司防火墻和集成安全網(wǎng)關(guān)部署示意圖（老大樓）電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第19頁(yè)。部署說(shuō)明：電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第19頁(yè)。用于Internet出口訪問(wèn)控制，已采用PIX防火墻，由于PIX采用的是ASA算法狀態(tài)檢測(cè)技術(shù)，通過(guò)包過(guò)濾技術(shù)實(shí)現(xiàn)對(duì)用戶網(wǎng)絡(luò)的防護(hù)，這種技術(shù)無(wú)法應(yīng)對(duì)目前日益猖獗的混合式威脅，也無(wú)法提供病毒防護(hù)功能。因此在此方案中我們建議采用帶有防病毒、內(nèi)容過(guò)濾、入侵檢測(cè)、安全審計(jì)為一體的多功能集成安全網(wǎng)關(guān)。通過(guò)在集成安全網(wǎng)關(guān)上啟用相應(yīng)的安全策略，控制內(nèi)部用戶的對(duì)外訪問(wèn)，并開啟防病毒功能以保證內(nèi)部用戶的對(duì)外訪問(wèn)不受病毒侵害。另外，通過(guò)啟用反垃圾郵件技術(shù)，保護(hù)內(nèi)部的郵件服務(wù)器免受垃圾郵件的攻擊，并根據(jù)網(wǎng)絡(luò)的具體應(yīng)用在集成安全網(wǎng)關(guān)上啟用入侵檢測(cè)和入侵防護(hù)攻擊（IDS／IPS）功能，保護(hù)互聯(lián)網(wǎng)網(wǎng)關(guān)處系統(tǒng)免受來(lái)自系統(tǒng)內(nèi)外的攻擊。遠(yuǎn)程訪問(wèn)虛擬通道（VPN）防火墻，其已采用PIX防火墻，在方案中在PIXVPN防火墻之后增加集成安全網(wǎng)關(guān)，用于移動(dòng)用戶對(duì)內(nèi)網(wǎng)訪問(wèn)的數(shù)據(jù)解密后進(jìn)行病毒防護(hù)、內(nèi)容過(guò)濾等。在合肥地區(qū)單位和省公司網(wǎng)絡(luò)連接邊界處、國(guó)網(wǎng)公司、華東公司與省公司網(wǎng)絡(luò)連接邊界處和電力三級(jí)網(wǎng)與省公司網(wǎng)絡(luò)連接邊界處分別部署帶有防病毒、內(nèi)容過(guò)濾、入侵檢測(cè)、安全審計(jì)為一體的多功能集成安全網(wǎng)關(guān)。并通過(guò)在集成安全網(wǎng)關(guān)上啟用相應(yīng)的安全策略，控制用戶的對(duì)外訪問(wèn)，并開啟防病毒功能以保證用戶的對(duì)外訪問(wèn)不受病毒侵害。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第20頁(yè)。在省公司兩臺(tái)CISCO6506上分別增加1塊FWSM防火墻模塊，用于各VLAN之間的安全訪問(wèn)控制。并通過(guò)此部署，可以嚴(yán)格控制用戶對(duì)服務(wù)器區(qū)的訪問(wèn)控制。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第20頁(yè)。省公司防火墻和集成安全網(wǎng)關(guān)部署示意圖（老大樓）省公司防火墻和集成安全網(wǎng)關(guān)部署示意圖（老大樓）F5可供外網(wǎng)訪問(wèn)的DNS,Mail,IMS服務(wù)器群DMZ區(qū)局域網(wǎng)省信息中心機(jī)房各部門局域網(wǎng)防火墻防火墻ISP1ISP2移動(dòng)用戶Internet網(wǎng)管工作站OA服務(wù)器認(rèn)證服務(wù)器Web服務(wù)器電力三級(jí)網(wǎng)合肥地區(qū)單位華東二級(jí)網(wǎng)1G光纖100M五類線各部門局域網(wǎng)集成安全網(wǎng)關(guān)FW1（增加）FW2（增加）FW5（增加）FW6（增加）國(guó)網(wǎng)公司FW3（增加）FW4（增加）電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第1頁(yè)。2．省公司防火墻和集成安全網(wǎng)關(guān)部署示意圖（新大樓）部署說(shuō)明：1、在省公司與“INTERNET、華東公司、國(guó)網(wǎng)公司、各地市公司信息三級(jí)網(wǎng)”相連電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第21頁(yè)。的網(wǎng)絡(luò)邊界采用兩層異構(gòu)防火墻系統(tǒng)，外層防火墻為已經(jīng)部署的專業(yè)安全設(shè)備，用于阻擋來(lái)自互聯(lián)網(wǎng)、國(guó)網(wǎng)公司、華東公司等網(wǎng)絡(luò)攻擊和設(shè)置訪問(wèn)控制策略。內(nèi)層防火墻系統(tǒng)采用集成安全網(wǎng)關(guān)。其中互連網(wǎng)安全網(wǎng)關(guān)采用雙機(jī)熱備工作方式，即高可用性HA方式，任何一臺(tái)設(shè)備出現(xiàn)問(wèn)題，備機(jī)均可以迅速替換工作，網(wǎng)絡(luò)仍能正常運(yùn)轉(zhuǎn)。在內(nèi)層集成安全網(wǎng)關(guān)上啟用相應(yīng)的安全策略，控制內(nèi)部用戶的對(duì)外訪問(wèn)，并開啟防病毒功能以保證內(nèi)部用戶的對(duì)外訪問(wèn)不受病毒侵害。另外，啟用反垃圾郵件技術(shù)，保護(hù)內(nèi)部的郵件服務(wù)器免受垃圾郵件的攻擊，并根據(jù)網(wǎng)絡(luò)的具體應(yīng)用在集成安全網(wǎng)關(guān)上啟用入侵檢測(cè)和入侵防護(hù)攻擊（IDS／IPS）功能，保護(hù)互聯(lián)網(wǎng)網(wǎng)關(guān)處系統(tǒng)免受來(lái)自系統(tǒng)內(nèi)外的攻擊。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第21頁(yè)。2、遠(yuǎn)程訪問(wèn)虛擬通道（VPN）防火墻，其已采用PIX防火墻，在方案中通過(guò)在將PIXVPN防火墻之后增加集成安全網(wǎng)關(guān)，用于移動(dòng)用戶對(duì)內(nèi)網(wǎng)訪問(wèn)解密后的數(shù)據(jù)進(jìn)行防病毒、內(nèi)容過(guò)濾等。3、通過(guò)在信息三級(jí)網(wǎng)路由系統(tǒng)前增加集成安全網(wǎng)關(guān)過(guò)濾掉病毒等混合式威脅進(jìn)入到信息三級(jí)網(wǎng)，從而保護(hù)各地市公司的網(wǎng)絡(luò)安全。4、通過(guò)在合肥城域網(wǎng)之前部署集成安全網(wǎng)關(guān)過(guò)濾掉合肥地區(qū)單位病毒等混合式威脅進(jìn)入省公司內(nèi)網(wǎng)。5、在省公司兩臺(tái)服務(wù)器區(qū)三層交換機(jī)上分別增加1塊FWSM防火墻模塊，用于對(duì)服務(wù)器的安全訪問(wèn)控制。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第22頁(yè)。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第22頁(yè)。注：結(jié)合省公司老大樓和新大樓的部署情況，建議總共增加6臺(tái)集成安全網(wǎng)關(guān)（其中5臺(tái)千兆集成安全網(wǎng)關(guān)，1臺(tái)百兆集成安全網(wǎng)關(guān)）；2塊思科FWSM防火墻模塊。6.2地市公司防火墻和集成安全網(wǎng)關(guān)的部署 對(duì)公司系統(tǒng)各地市公司來(lái)說(shuō)，其中一大威脅就是縣公司的防御比較脆弱，一旦某縣公司局部網(wǎng)絡(luò)出現(xiàn)安全事件如蠕蟲病毒蔓延等，勢(shì)必將導(dǎo)致該威脅在整個(gè)大網(wǎng)中進(jìn)行蔓延和傳播，通過(guò)將縣公司的廣域網(wǎng)連接路由器與地市公司連接省公司的路由器隔離開來(lái)，將各縣公司納入到地市公司的安全管理范圍內(nèi)，確保各縣公司網(wǎng)絡(luò)不對(duì)信息三級(jí)網(wǎng)構(gòu)成威脅。部署說(shuō)明：1、在地市公司與縣公司相連的路由器前增加集成安全網(wǎng)關(guān)，防止縣公司網(wǎng)絡(luò)安全威脅到信息網(wǎng)，并通過(guò)在集成安全網(wǎng)關(guān)上啟用相應(yīng)的安全策略，控制縣公司用戶的對(duì)信息網(wǎng)的訪問(wèn)，并開啟防病毒功能以防止縣公司的病毒侵害到信息網(wǎng)。另外，在集成安全網(wǎng)關(guān)上啟用防攻擊入侵檢測(cè)/入侵防護(hù)（IDS／IPS）功能，使信息網(wǎng)絡(luò)系統(tǒng)免受來(lái)自縣公司的攻擊。2、在地市公司與省公司相連的路由器后增加千兆防火墻，隔離各地市公司網(wǎng)絡(luò)的相互威脅，并通過(guò)防火墻設(shè)置訪問(wèn)控制。3、地市公司與銀行相連的前置機(jī)后增加集成安全網(wǎng)關(guān)，通過(guò)設(shè)置訪問(wèn)策略，僅允許銀行訪問(wèn)前置機(jī)IP地址和數(shù)據(jù)應(yīng)用端口號(hào)。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第23頁(yè)。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第23頁(yè)。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第24頁(yè)。備注：1.在市公司與銀行相連的集成安全網(wǎng)關(guān)可以采用市公司與省公司相連的退下來(lái)的百兆防火墻代替。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第24頁(yè)。2.在地市公司與省公司廣域處的網(wǎng)關(guān)防火墻可以使用在交換機(jī)上增加防火墻模塊代替，增加防火墻模塊的優(yōu)點(diǎn):不僅在省公司連接的廣域網(wǎng)網(wǎng)關(guān)處實(shí)現(xiàn)訪問(wèn)控制，而且在不同的VLAN之間的訪問(wèn)控制也可以實(shí)現(xiàn)，尤其是對(duì)服務(wù)器區(qū)的訪問(wèn)控制。6.3技術(shù)要求1、集成安全網(wǎng)關(guān)主要功能和技術(shù)要求如下：采用網(wǎng)絡(luò)處理器（NetworkProcessor：NP）和專用集成電路（ASIC）架構(gòu)。集成防火墻、基于協(xié)議異常和基于攻擊特征的入侵防御及入侵檢測(cè)、病毒防護(hù)、內(nèi)容過(guò)濾、電子郵件過(guò)濾等?？梢蕴峁┘泄芾?，通過(guò)集中的日志記錄、警報(bào)、報(bào)告和策略配置簡(jiǎn)化網(wǎng)絡(luò)安全的管理。支持路由、網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）和透明模式等。支持內(nèi)置認(rèn)證數(shù)據(jù)庫(kù)認(rèn)證、支持Radius服務(wù)器認(rèn)證。支持策略路由。防火墻本身應(yīng)具有較強(qiáng)的抗攻擊能力。支持靜態(tài)地址轉(zhuǎn)換、動(dòng)態(tài)地址轉(zhuǎn)換、端口轉(zhuǎn)換、反向IP映射、雙向地址轉(zhuǎn)換等。支持流量管理和控制。支持OS、入侵檢測(cè)庫(kù)、防病毒庫(kù)、內(nèi)容過(guò)濾庫(kù)等在線升級(jí)。支持標(biāo)準(zhǔn)日志記錄和審計(jì)。支持標(biāo)準(zhǔn)聯(lián)動(dòng)協(xié)議，可以與入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)、信息審計(jì)系統(tǒng)、認(rèn)證系統(tǒng)、VPN設(shè)備、日志服務(wù)器等進(jìn)行聯(lián)動(dòng)。2、防火墻主要功能和技術(shù)要求如下：采用網(wǎng)絡(luò)處理器（NetworkProcessor：NP）和專用集成電路（ASIC）架構(gòu)?？梢蕴峁┘泄芾?，通過(guò)集中的日志記錄、警報(bào)、報(bào)告和策略配置簡(jiǎn)化網(wǎng)絡(luò)安全的管理。支持路由、網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）和透明模式等。支持內(nèi)置認(rèn)證數(shù)據(jù)庫(kù)認(rèn)證、支持Radius服務(wù)器認(rèn)證。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第25頁(yè)。支持策略路由。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第25頁(yè)。防火墻本身應(yīng)具有較強(qiáng)的抗攻擊能力。支持靜態(tài)地址轉(zhuǎn)換、動(dòng)態(tài)地址轉(zhuǎn)換、端口轉(zhuǎn)換、反向IP映射、雙向地址轉(zhuǎn)換等。支持流量管理和控制。支持標(biāo)準(zhǔn)日志記錄和審計(jì)。支持標(biāo)準(zhǔn)聯(lián)動(dòng)協(xié)議，可以與入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)、信息審計(jì)系統(tǒng)、認(rèn)證系統(tǒng)、VPN設(shè)備、日志服務(wù)器等進(jìn)行聯(lián)動(dòng)。7．XX電力信息網(wǎng)網(wǎng)絡(luò)防病毒方案7.1XX電力防病毒軟件應(yīng)用現(xiàn)狀公司系統(tǒng)現(xiàn)有的防病毒系統(tǒng)主要目的是保護(hù)辦公系統(tǒng)。郵件服務(wù)器采用DominoNotes系統(tǒng)，運(yùn)行于Windows2000Server系統(tǒng)平臺(tái)。各單位局域網(wǎng)已經(jīng)部署的防病毒軟件包括：賽門鐵克(Symantec)公司防病毒產(chǎn)品趨勢(shì)(TrendMicro)公司防病毒產(chǎn)品瑞星公司防病毒產(chǎn)品其中以Symantec和TrendMicro產(chǎn)品為主。在防病毒方面，目前公司系統(tǒng)還沒(méi)有實(shí)施統(tǒng)一的防病毒解決方案，對(duì)于郵件系統(tǒng)的網(wǎng)絡(luò)防毒還沒(méi)有統(tǒng)一配置。在日常防病毒維護(hù)中各網(wǎng)絡(luò)各行其事，分散管理，這樣不但加重管理員的管理工作，而且不能實(shí)現(xiàn)統(tǒng)一的、集中的管理，易受到各種人為的因素的影響，即使在安裝了防病毒軟件的情況下也不能確保整個(gè)網(wǎng)絡(luò)的防病毒能力。7.2企業(yè)防病毒總體需求建立全網(wǎng)的病毒檢測(cè)與防范系統(tǒng)，及時(shí)檢測(cè)和控制各種文件、宏和其它網(wǎng)絡(luò)病毒的傳播和破壞，具有集中統(tǒng)一的管理界面，系統(tǒng)具有自動(dòng)升級(jí)，自動(dòng)數(shù)據(jù)更新，可管理性等特性。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第26頁(yè)。XX電力信息網(wǎng)網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)是確保全省網(wǎng)絡(luò)系統(tǒng)信息安全的重要手段。針對(duì)病毒種類繁多，增長(zhǎng)迅速，隱蔽性、再生性強(qiáng)，易傳播，發(fā)作快、危害嚴(yán)重的特點(diǎn)，防病毒系統(tǒng)必須對(duì)全省范圍內(nèi)的關(guān)鍵組件和信息資源實(shí)行全方位、立體、動(dòng)態(tài)、實(shí)時(shí)的病毒防護(hù)。為此，必須提供強(qiáng)大、靈活、統(tǒng)一部署、分級(jí)管理的防病毒策略和集中的事件監(jiān)控、告警、管理手段，支持自動(dòng)下載并分發(fā)最新的病毒特征碼和掃描引擎，提供強(qiáng)大的病毒響應(yīng)和處理機(jī)制等。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第26頁(yè)。7.3功能要求混合式威脅是指同時(shí)具有多種自我傳播方式的新式蠕蟲病毒。如：“尼姆達(dá)”、“紅色代碼”、“求職信”、“爆發(fā)工”、這種利用操作系統(tǒng)、應(yīng)用或服務(wù)的漏洞進(jìn)行傳播、感染和攻擊的病毒?；旌鲜酵{傳播途徑和方式：通過(guò)電子郵件系統(tǒng)，客戶端在收電子郵件時(shí)，把病毒帶入內(nèi)部網(wǎng)絡(luò)。用戶上網(wǎng)，通過(guò)HTTP，F(xiàn)TP等把病毒和一些惡意的移動(dòng)代碼帶入內(nèi)部網(wǎng)絡(luò)。通過(guò)軟盤或盜版光盤感染網(wǎng)絡(luò)中的客戶端，然后病毒通過(guò)網(wǎng)絡(luò)感染整個(gè)內(nèi)部網(wǎng)絡(luò)，甚至通過(guò)網(wǎng)絡(luò)傳播。一些遠(yuǎn)程撥號(hào)用戶在存取企業(yè)內(nèi)部網(wǎng)絡(luò)時(shí)把病毒帶入內(nèi)部網(wǎng)絡(luò)。協(xié)作單位或合作伙伴以及下屬或分支機(jī)構(gòu)的網(wǎng)絡(luò)或機(jī)器感染病毒后有可能在整個(gè)網(wǎng)絡(luò)中傳播。病毒在傳播的過(guò)程中，往往利用操作系統(tǒng)、應(yīng)用系統(tǒng)的漏洞來(lái)進(jìn)行攻擊。傳統(tǒng)的防病毒產(chǎn)品都是基于文件的病毒防護(hù)和查殺，對(duì)于通過(guò)網(wǎng)絡(luò)通信方式的傳播則無(wú)能為力。對(duì)于通過(guò)網(wǎng)絡(luò)通信方式，利用PC機(jī)操作系統(tǒng)漏洞進(jìn)行遠(yuǎn)程攻擊的蠕蟲，只有通過(guò)客戶端防火墻+客戶端的入侵檢測(cè)產(chǎn)品才能有效攔載。為了有效保護(hù)網(wǎng)絡(luò)，并減少與安全管理相關(guān)聯(lián)的成本和努力，這些安全技術(shù)需要無(wú)縫地相互作用。要在客戶端保護(hù)連接和未連接的遠(yuǎn)程及移動(dòng)員工，使其免受未授權(quán)網(wǎng)絡(luò)訪問(wèn)和混合威脅的侵?jǐn)_，需要三種關(guān)鍵技術(shù)：實(shí)時(shí)病毒防護(hù)，用于防御已知和未知的惡意威脅客戶端防火墻，用于阻止可疑的傳入和輸出網(wǎng)絡(luò)通信入侵檢測(cè)，用于識(shí)別和阻止可用于拒絕服務(wù)(DoS)攻擊的已知互聯(lián)網(wǎng)入侵電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第27頁(yè)。企業(yè)需要可以對(duì)混合威脅和黑客攻擊進(jìn)行最佳防御的客戶端解決方案。集成的病毒防護(hù)、防火墻和入侵檢測(cè)技術(shù)互相作用以滿足這些安全需求。集成的客戶端防火墻和入侵檢測(cè)技術(shù)也可以用來(lái)掃描入站和出站通信，以查看其中是否存在威脅，從而更好地防御當(dāng)今的混合威脅。防火墻和入侵檢測(cè)技術(shù)還可以檢測(cè)并指明黑客企圖攻擊的行為。僅防病毒的安全解決方案無(wú)法防止混合威脅的傳播，也無(wú)法防御入侵者。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第27頁(yè)。通過(guò)提供來(lái)自單一安全供應(yīng)商的防病毒、防火墻和入侵檢測(cè)的單一更新，集成的客戶端安全使企業(yè)能夠更快速地響應(yīng)復(fù)雜的安全威脅。通過(guò)單一的管理控制臺(tái)，可以對(duì)多種安全技術(shù)進(jìn)行集中的配置、部署、安裝和策略管理。它還可優(yōu)化管理員資源，并有助于減少網(wǎng)絡(luò)客戶端防護(hù)方面的管理、支持和總體安全成本?？傮w來(lái)說(shuō)，集成的客戶端安全解決方案有助于企業(yè)實(shí)現(xiàn)投資的更佳回報(bào)，降低總擁有成本，尤其與不同的獨(dú)立解決方案相比時(shí)，更是如此。7.4XX電力網(wǎng)防病毒系統(tǒng)整體架構(gòu)和管理模式7.4.1采用統(tǒng)一監(jiān)控、分布式部署的原則電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第28頁(yè)。本方案設(shè)計(jì)采用“分級(jí)控制，分級(jí)管理”架構(gòu)，這樣的架構(gòu)既與原有的防病毒系統(tǒng)架構(gòu)保持一定程度上的一致——利于平滑升級(jí)，又與現(xiàn)有行政管理模式相匹配——益于提高管理效率，同時(shí)又能體現(xiàn)省公司“統(tǒng)一規(guī)劃，分級(jí)管理”的思想。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第28頁(yè)。 統(tǒng)一管理、集中監(jiān)控：主要是由省公司進(jìn)行集中監(jiān)管，包括：由省公司根據(jù)各地市公司、調(diào)通中心、合肥地區(qū)公司的具體情況統(tǒng)一制定相應(yīng)的防病毒策略和實(shí)施計(jì)劃。省公司負(fù)責(zé)全網(wǎng)的病毒定義碼、掃描引擎和軟件修正的統(tǒng)一升級(jí)工作，并將升級(jí)文件自動(dòng)逐級(jí)分發(fā)至各地市公司、調(diào)通中心、合肥地區(qū)公司的防病毒服務(wù)器。省公司負(fù)責(zé)各分公司、調(diào)通中心、合肥地區(qū)公司被隔離文件的提交和下發(fā)相應(yīng)的病毒定義碼和掃描引擎。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第29頁(yè)。省公司可以通過(guò)廣域網(wǎng)對(duì)下級(jí)的病毒管理服務(wù)器進(jìn)行集中監(jiān)控和管理。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第29頁(yè)。省公司負(fù)責(zé)管理統(tǒng)計(jì)病毒報(bào)表生成等工作。分級(jí)實(shí)施、分級(jí)維護(hù)：主要根據(jù)公司現(xiàn)有的網(wǎng)絡(luò)構(gòu)架和管理體制，設(shè)立省公司、地市公司、調(diào)通中心、合肥地區(qū)公司二級(jí)管理中心，以及以后甚至到縣公司三級(jí)管理中心。各級(jí)管理中心負(fù)責(zé)本地病毒防護(hù)系統(tǒng)的實(shí)施和維護(hù)工作，由省公司來(lái)進(jìn)行集中監(jiān)管，包括：各分公司負(fù)責(zé)自己局域網(wǎng)防病毒軟件的安裝。配置和實(shí)施各分公司制定的防病毒策略。監(jiān)控自己局域網(wǎng)防病毒狀態(tài)；各分公司分別負(fù)責(zé)自己局域網(wǎng)防病毒狀態(tài)的監(jiān)控和對(duì)病毒事件做出相應(yīng)的響應(yīng)。日志文件的維護(hù)。報(bào)警維護(hù)。7.4.2部署全面的防病毒系統(tǒng)采用“縱深”防御的措施，即考慮在整個(gè)網(wǎng)絡(luò)中只要有可能感染和傳播病毒的地方都采取相應(yīng)的防病毒手段，安裝相應(yīng)的防病毒系統(tǒng)。利用網(wǎng)關(guān)級(jí)病毒防護(hù)產(chǎn)品將病毒盡最大可能地?cái)r截在網(wǎng)絡(luò)外部，同時(shí)在網(wǎng)絡(luò)內(nèi)部采用全方位的網(wǎng)絡(luò)防病毒客戶端進(jìn)行全網(wǎng)的病毒防護(hù)，針對(duì)服務(wù)器采用服務(wù)器端的病毒防護(hù)，同時(shí)保證全網(wǎng)病毒防護(hù)系統(tǒng)做到統(tǒng)一管理和病毒防護(hù)策略的統(tǒng)一。針對(duì)公司系統(tǒng)的具體情況，主要考慮網(wǎng)關(guān)防病毒、郵件安全防護(hù)、服務(wù)器的病毒防護(hù)以及客戶端病毒防護(hù)。部署網(wǎng)關(guān)防病毒XX電力信息網(wǎng)地域跨度大、子網(wǎng)多、結(jié)構(gòu)相對(duì)復(fù)雜，一旦病毒侵入局域網(wǎng)內(nèi)部則會(huì)給管理造成較大的困難。因此，在整個(gè)網(wǎng)絡(luò)上不僅要建立一個(gè)統(tǒng)一的、多層次、全方位、集中化管理的安全防護(hù)系統(tǒng)，并且在網(wǎng)絡(luò)邊緣部署網(wǎng)關(guān)級(jí)病毒防護(hù)產(chǎn)品（如網(wǎng)關(guān)防病毒墻或集成安全網(wǎng)關(guān)等）以防止計(jì)算機(jī)病毒從網(wǎng)絡(luò)邊緣進(jìn)入省公司和各地市公司內(nèi)部網(wǎng)絡(luò)。針對(duì)郵件的內(nèi)容過(guò)濾、攔截垃圾郵件和防病毒考慮到當(dāng)前計(jì)算機(jī)病毒多數(shù)通過(guò)電子郵件和垃圾郵件傳播，在方案中設(shè)計(jì)了集郵件病毒和蠕蟲防護(hù)、郵件內(nèi)容過(guò)濾和反垃圾郵件為一體的郵件安全防護(hù)產(chǎn)品。部署服務(wù)器端防病毒電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第30頁(yè)。在服務(wù)器系統(tǒng)的防病毒保護(hù)上，根據(jù)公司系統(tǒng)網(wǎng)絡(luò)的具體情況，我們主要考慮針對(duì)WindowsNT/2000服務(wù)器的防病毒保護(hù)。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第30頁(yè)。安裝防病毒客戶端軟件，保護(hù)系統(tǒng)、磁盤、可移動(dòng)磁盤、光盤以及調(diào)制解調(diào)器連接所收發(fā)的文件等免受病毒的感染。部署客戶端集成安全產(chǎn)品在客戶端一級(jí)，根據(jù)公司系統(tǒng)的具體情況和客戶端的操作系統(tǒng)類型，分別安裝針對(duì)Windows9X/NT/ME/2000/XP的集成安全產(chǎn)品（包括客戶端病毒防護(hù)、客戶端防火墻、客戶端入侵檢測(cè)功能），實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)、操作系統(tǒng)、磁盤、可移動(dòng)磁盤、光盤以及調(diào)制解調(diào)器連接所收發(fā)文件的病毒防護(hù)。7.4.3病毒定義碼、掃描引擎的升級(jí)方式根據(jù)公司系統(tǒng)網(wǎng)絡(luò)的結(jié)構(gòu)，考慮到安全的需求，同時(shí)也是便于管理，我們?cè)诰W(wǎng)絡(luò)內(nèi)采用二級(jí)服務(wù)器升級(jí)的結(jié)構(gòu)，即：首先升級(jí)省公司防病毒服務(wù)器的病毒定義碼、掃描引擎和軟件修正。根據(jù)實(shí)際情況可以配置省公司防病毒服務(wù)器自動(dòng)或手動(dòng)通過(guò)Internet到防病毒軟件廠商的病毒定義碼發(fā)布網(wǎng)站升級(jí)最新的病毒定義碼和掃描引擎。各地市公司、調(diào)通中心及合肥地區(qū)公司等網(wǎng)絡(luò)的防病毒服務(wù)器到省公司的防病毒服務(wù)器進(jìn)行病毒定義碼、掃描引擎和軟件修正的更新、升級(jí)。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第31頁(yè)。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第31頁(yè)。7.5網(wǎng)絡(luò)防病毒方案如果繼續(xù)延用現(xiàn)有模式，則公司系統(tǒng)信息網(wǎng)將同時(shí)存在多家防病毒產(chǎn)品，這些產(chǎn)品都需要有專人維護(hù)，需要部署各自的防病毒管理服務(wù)器，這樣既加大管理人員的工作負(fù)擔(dān)，又增加了整體投資?？紤]到各地市公司各套防病毒軟件均需要升級(jí)更新，本方案建議全省采用同一廠家的防病毒軟件，方便系統(tǒng)維護(hù)和管理。7.6防病毒系統(tǒng)部署1、省公司防病毒系統(tǒng)部署部署說(shuō)明：1.集成安全網(wǎng)關(guān)與病毒防火墻功能相同，病毒防火墻系統(tǒng)部署情況見“省公司防火墻和集成安全網(wǎng)關(guān)的部署”章節(jié)。2.在客戶機(jī)端安裝集“個(gè)人防火墻、防病毒、入侵檢測(cè)”功能為一體的客戶端集成安全產(chǎn)品，防止病毒等混合式威脅。3．在所有服務(wù)器上安裝服務(wù)器端防病毒軟件，防止服務(wù)器遭受防病毒的威脅。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第32頁(yè)。4．在OA服務(wù)器、郵件服務(wù)器安裝集“郵件病毒和蠕蟲防護(hù)、郵件內(nèi)容過(guò)濾和反垃圾郵件”電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第32頁(yè)。2、地市公司防病毒部署部署說(shuō)明：在客戶機(jī)端安裝集”個(gè)人防火墻、防病毒、入侵檢測(cè)“功能為一體的客戶端集成安全產(chǎn)品，防止病毒等混合式威脅。在所有服務(wù)器上安裝服務(wù)器端防病毒軟件，防止服務(wù)器遭受防病毒的威脅。在OA服務(wù)器安裝集“郵件病毒和蠕蟲防護(hù)、郵件內(nèi)容過(guò)濾和反垃圾郵件”為一體的郵件安全防護(hù)產(chǎn)品。阻止病毒和蠕蟲通過(guò)正常郵件和垃圾郵件傳播。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第33頁(yè)。所有防病毒軟件病毒定義碼、掃描引擎通過(guò)本地二級(jí)服務(wù)器分發(fā)和升級(jí)。二級(jí)服電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第33頁(yè)。務(wù)器受省公司一級(jí)服務(wù)器策略控制，并制定本地防病毒管理策略。3、合肥地區(qū)單位防病毒部署在客戶機(jī)端安裝集”個(gè)人防火墻、防病毒、入侵檢測(cè)“功能為一體的客戶端集成安全產(chǎn)品，防止病毒等混合式威脅。在所有服務(wù)器上安裝服務(wù)器端防病毒軟件，防止服務(wù)器遭受防病毒的威脅。在OA服務(wù)器安裝集“郵件病毒和蠕蟲防護(hù)、郵件內(nèi)容過(guò)濾和反垃圾郵件”為一體的郵件安全防護(hù)產(chǎn)品。阻止病毒和蠕蟲通過(guò)正常郵件和垃圾郵件傳播。所有防病毒軟件病毒定義碼、掃描引擎通過(guò)本地二級(jí)服務(wù)器分發(fā)和升級(jí)。二級(jí)服電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第34頁(yè)。務(wù)器受省公司一級(jí)服務(wù)器策略控制，并制定本地防病毒管理策略。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第34頁(yè)。合肥地區(qū)公司防病毒部署圖4、調(diào)通中心防病毒部署在客戶機(jī)端安裝集”個(gè)人防火墻、防病毒、入侵檢測(cè)“功能為一體的客戶端集成安全產(chǎn)品，防止病毒等混合式威脅。在所有服務(wù)器上安裝服務(wù)器端防病毒軟件，防止服務(wù)器遭受防病毒的威脅。在OA服務(wù)器安裝集“郵件病毒和蠕蟲防護(hù)、郵件內(nèi)容過(guò)濾和反垃圾郵件”為一體的郵件安全防護(hù)產(chǎn)品。阻止病毒和蠕蟲通過(guò)正常郵件和垃圾郵件傳播。所有防病毒軟件病毒定義碼、掃描引擎通過(guò)本地二級(jí)服務(wù)器分發(fā)和升級(jí)。二級(jí)服務(wù)器受省公司一級(jí)服務(wù)器策略控制，并制定本地防病毒管理策略。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第35頁(yè)。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第35頁(yè)。調(diào)通中心防病毒部署圖（四區(qū)網(wǎng)絡(luò)抽象圖）8．入侵檢測(cè)/入侵防護(hù)（IDS/IPS）方案8.1網(wǎng)絡(luò)入侵檢測(cè)/入侵防護(hù)（IDS/IPS）雖然XX電力信息網(wǎng)絡(luò)已經(jīng)部署了防火墻系統(tǒng)；但防火墻只能在網(wǎng)關(guān)檢測(cè)和防范部分攻擊；對(duì)應(yīng)用層的攻擊和來(lái)自內(nèi)部的攻擊卻無(wú)能為力；另外一些攻擊很容易欺騙繞過(guò)防火墻；在XX電力信息網(wǎng)絡(luò)的網(wǎng)絡(luò)安全管理中，管理人員面臨著以下困惑：對(duì)于各種混合型攻擊目前可以采取的方式是人工通過(guò)防火墻日志等方式發(fā)現(xiàn)有問(wèn)題的計(jì)算機(jī)，通過(guò)手工修改cisco交換機(jī)或PIX防火墻阻斷該計(jì)算機(jī)對(duì)網(wǎng)絡(luò)的訪問(wèn)，不僅工作量大，防護(hù)也不全面。有沒(méi)有一種自動(dòng)的方式可以檢測(cè)到這些攻擊并阻斷攻擊會(huì)話？在網(wǎng)絡(luò)中也曾使用過(guò)基于網(wǎng)絡(luò)的入侵檢測(cè)產(chǎn)品，但是感覺(jué)誤報(bào)率高、對(duì)安全知識(shí)要求層次高，是否有更有效的方式讓安全產(chǎn)品有更強(qiáng)大的攻擊檢測(cè)能力、更自動(dòng)的響應(yīng)方式，而只是將結(jié)果提交給管理人員，降低管理人員的安全知識(shí)門檻而提高安全保護(hù)能力？可否對(duì)不同功能的網(wǎng)絡(luò)能夠采取不同的工作模式。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第36頁(yè)?；诰W(wǎng)絡(luò)的入侵檢測(cè)技術(shù)（IDS）產(chǎn)品大多是針對(duì)已知的安全攻擊進(jìn)行響應(yīng)策略配置，實(shí)現(xiàn)自動(dòng)響應(yīng)，對(duì)于日益增多的突發(fā)事件和未知攻擊，這些策略也就行同虛設(shè)，無(wú)法產(chǎn)生應(yīng)有的效果。網(wǎng)絡(luò)維護(hù)人員需要花費(fèi)大量的人力物力來(lái)進(jìn)行日常的報(bào)警事件分析，才能確認(rèn)安全事件并具此采取措施。對(duì)于一些真正的安全威脅，反而因?yàn)闀r(shí)間和精力的不足，無(wú)法及時(shí)發(fā)現(xiàn)。這就使得產(chǎn)品的使用和維護(hù)成本過(guò)高，沒(méi)有體現(xiàn)出應(yīng)用安全產(chǎn)品后，所應(yīng)產(chǎn)生的效果和對(duì)維護(hù)人員生產(chǎn)維護(hù)工作帶來(lái)的便利。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第36頁(yè)。目前：隨著網(wǎng)絡(luò)入侵事件的不斷增加和黑客攻擊技術(shù)水平的不斷提高，使得傳統(tǒng)的防火墻或入侵檢測(cè)(IDS)技術(shù)已經(jīng)無(wú)法滿足現(xiàn)代網(wǎng)絡(luò)安全的需要，而入侵防護(hù)（IntrusionPreventionSystem，IPS）技術(shù)的產(chǎn)生正是適應(yīng)了這種要求。入侵防護(hù)（IPS）是一種主動(dòng)的、積極的入侵防范及阻止系統(tǒng)，它部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)它檢測(cè)到攻擊企圖后，它會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷。入侵防護(hù)（IPS）的檢測(cè)功能類似于入侵檢測(cè)（IDS），但入侵防護(hù)（IPS）檢測(cè)到攻擊后會(huì)采取行動(dòng)阻止攻擊，可以說(shuō)入侵防護(hù)（IPS）建立在入侵檢測(cè)（IDS）發(fā)展的基礎(chǔ)上的新生網(wǎng)絡(luò)安全產(chǎn)品。入侵防護(hù)（IPS）可以透明的串接進(jìn)用戶網(wǎng)絡(luò)，不需要更改現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)，無(wú)縫地整合了現(xiàn)有的基礎(chǔ)架構(gòu)，在不影響系統(tǒng)或系統(tǒng)用戶工作的情況下即可發(fā)揮作用，可以防止已知和未知漏洞被利用，從而有助于防止蠕蟲和惡意入侵者破壞安全。因此方案中在省公司的外網(wǎng)出口、對(duì)外服務(wù)器區(qū)（DMZ）和17個(gè)地市公司部署入侵檢測(cè)/入侵保護(hù)（IDS/IPS）產(chǎn)品。8.2網(wǎng)絡(luò)入侵檢測(cè)/入侵保護(hù)技術(shù)說(shuō)明XX電力信息網(wǎng)內(nèi)外網(wǎng)絡(luò)的接入邊界都可能感染蠕蟲病毒、人為的惡意攻擊（如PING風(fēng)暴、大量的廣播包）、網(wǎng)絡(luò)中存在的垃圾包等，對(duì)核心網(wǎng)絡(luò)設(shè)備和鏈路產(chǎn)生影響，因此保護(hù)核心網(wǎng)絡(luò)設(shè)備和鏈路的最有效方式是在可能產(chǎn)生這種安全攻擊的地方部署能夠檢測(cè)并自動(dòng)阻斷這些攻擊會(huì)話的保護(hù)設(shè)備，這就是現(xiàn)在最先進(jìn)的入侵保護(hù)（IPS）設(shè)備所能實(shí)現(xiàn)的功能。在方案中我們部署更為先進(jìn)的主動(dòng)安全防御產(chǎn)品入侵檢測(cè)和入侵保護(hù)（IDS/IPS）產(chǎn)品。8.2.1入侵檢測(cè)和入侵保護(hù)（IDS/IPS）產(chǎn)品的功能和特點(diǎn)1、網(wǎng)絡(luò)入侵防護(hù)（IPS）產(chǎn)品應(yīng)具備如下功能特點(diǎn)：適用于高速環(huán)境的多接口千兆檢測(cè)入侵防護(hù)（IPS）必須能在千兆網(wǎng)絡(luò)環(huán)境中，保持線速的檢測(cè)功能，且不會(huì)丟棄數(shù)據(jù)包。電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第37頁(yè)。主動(dòng)攔截電力信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)方案全文共56頁(yè)，當(dāng)前為第37頁(yè)。入侵防護(hù)（IPS）設(shè)備可以工作在透明模式下，在不改變網(wǎng)絡(luò)結(jié)構(gòu)的前提下，自動(dòng)攔截非法的網(wǎng)絡(luò)訪問(wèn)，實(shí)現(xiàn)主動(dòng)防御。混合檢測(cè)體系結(jié)構(gòu)入侵防護(hù)（