電力信息網(wǎng)絡安全防護系統(tǒng)設計方案

1、XX 電力信息網(wǎng)絡安全防護系統(tǒng)設計方案目錄1. 引言 51.1 信息安全體系建設的必要性 51.2 解決信息安全問題的總體思路 61.3XX 電力公司信息網(wǎng)安全防護策略 71.3.1 XX 電力公司總體安全策略 7 1.3.2 XX 電力信息安全總體框架 8 1.3.3 防護策略 81.3.3.1 對網(wǎng)絡的防護策略 81.3.3.2 對主機的防護策略 81.3.3.3 對郵件系統(tǒng)的防護策略 91.3.3.4 對終端的防護策略 92. 設計依據(jù) 102.1 信息安全管理及建設的國際標準 ISO-17799 1. 03. XX 電力信息網(wǎng)安全現(xiàn)狀 103.1 管理安全現(xiàn)狀 1.03.2 網(wǎng)絡安全現(xiàn)

2、狀 1.13.3 主機及業(yè)務系統(tǒng)安全現(xiàn)狀 1.3.3.4 終端安全現(xiàn)狀 1.64 建設目標 185安全區(qū)域的劃分方案 185.1 網(wǎng)絡安全域劃分原則 1.85.2 網(wǎng)絡區(qū)域邊界訪問控制需求 2.0.5.3 邊界網(wǎng)絡隔離和訪問控制 2.2.5.3.1 區(qū)域邊界的訪問控制 225.3.2 敏感區(qū)域邊界的流量審計 235.3.3 敏感區(qū)域邊界的網(wǎng)絡防入侵及防病毒 236XX 電力信息網(wǎng)防火墻部署方案 236.1 省公司防火墻和集成安全網(wǎng)關的部署 2.4.6.2 地市公司防火墻和集成安全網(wǎng)關的部署 2.8.6.3 技術要求 3.17XX 電力信息網(wǎng)網(wǎng)絡防病毒方案 327.1 XX 電力防病毒軟件應用現(xiàn)

3、狀 3.2.7.2 企業(yè)防病毒總體需求 3.37.3 功能要求 3.3 7.4XX 電力網(wǎng)防病毒系統(tǒng)整體架構和管理模式 3.5.7.4.1 采用統(tǒng)一監(jiān)控、分布式部署的原則 357.4.2 部署全面的防病毒系統(tǒng) 377.4.3 病毒定義碼、掃描引擎的升級方式 387.5 網(wǎng)絡防病毒方案 3.9 7.6 防病毒系統(tǒng)部署 4.0 8入侵檢測 /入侵防護( IDS/IPS )方案 458.1 網(wǎng)絡入侵檢測 /入侵防護( IDS/IPS ) 4.5.8.2 網(wǎng)絡入侵檢測 / 入侵保護技術說明 4.6.8.2.1 入侵檢測和入侵保護( IDS/IPS )產(chǎn)品的功能和特點 468.3 入侵檢測/入侵防護(

4、IDS/IPS )在公司系統(tǒng)網(wǎng)絡中的部署 5. 19內(nèi)網(wǎng)客戶端管理系統(tǒng) 549.1 問題分析與解決思路 5.4 9.1.1 IP 地址管理問題 549.1.2 用戶資產(chǎn)信息管理問題 549.1.3 軟硬件違規(guī)行為監(jiān)控 569.1.4 網(wǎng)絡拓撲查看與安全事件定位困難 579.1.5 缺乏完整的用戶授權認證系統(tǒng) 579.2 系統(tǒng)主要功能模塊 5.89.3 內(nèi)網(wǎng)管理解決方案 5.99.4 方案實現(xiàn)功能 5.99.4.1 IP 地址管理 599.4.2 客戶端管理 609.4.3 系統(tǒng)管理 6212 安全產(chǎn)品部署總圖和安全產(chǎn)品清單表 641. 引言1.1 信息安全體系建設的必要性 隨著電網(wǎng)的發(fā)展和技術

5、進步，電力信息化工作也有了突飛猛進的發(fā)展，信息網(wǎng)絡規(guī) 模越來越大，各種信息越來越廣泛。然而，隨之而來的信息安全問題也日益突出。電力 工業(yè)作為我國國民經(jīng)濟的基礎產(chǎn)業(yè)和公用事業(yè)，電力系統(tǒng)的安全運行直接關系到國民經(jīng) 濟的持速發(fā)展和滿足人民生活的需要，信息安全已成為電力企業(yè)在信息時代和知識經(jīng)濟 新形勢下面臨的新課題，電力信息網(wǎng)絡與信息的安全一旦遭受破壞，造成的影響和損失 將十分巨大。近年以來，在互聯(lián)網(wǎng)上先后出現(xiàn)的紅色代碼、尼姆達、蠕蟲、沖擊波等病 毒造成了數(shù)以萬計的網(wǎng)站癱瘓，對電力信息系統(tǒng)的應用造成了較大不良影響。公司按照建設“一強三優(yōu)”電網(wǎng)公司的發(fā)展戰(zhàn)略，為實現(xiàn)“安全基礎扎實、管理層 次清晰、內(nèi)部運

6、作規(guī)范、企業(yè)文化鮮明、社會形象誠信”的企業(yè)共同愿景，公司的信息 化發(fā)展步伐不斷加快。計算機網(wǎng)絡已覆蓋全省各市、縣公司，實現(xiàn)了信息共享和快速傳 遞。省、市公司的用戶數(shù)已達一萬多個，各類應用 200 多個，省公司層面經(jīng)營管理類數(shù) 據(jù)達 2000G 字節(jié)，網(wǎng)絡、信息系統(tǒng)已成為公司生產(chǎn)、經(jīng)營和管理的重要支撐平臺。企業(yè) 的應用要求網(wǎng)絡與信息系統(tǒng)具有高可靠性、高可用性、高安全性，但類似網(wǎng)絡病毒導致 信息網(wǎng)絡部分癱瘓、內(nèi)外部攻擊致使應用服務中斷等事件時有發(fā)生，實際上還有其它一 些未發(fā)現(xiàn)的或未產(chǎn)生后果的威脅，直接影響著省公司系統(tǒng)的信息安全， XX 電力系統(tǒng)信息 安全體系建設已迫在眉睫。1.2 解決信息安全問題

7、的總體思路當前我國已把信息安全上升到國家戰(zhàn)略決策的高度。國家信息化領導小組第三次會 議確定我國信息安全的指導思想：“堅持積極防御、綜合防范的方針，在全面提高信息 安全防護能力的同時，重點保障基礎網(wǎng)絡和重要系統(tǒng)的安全。完善信息安全監(jiān)控體系， 建立信息安全的有效機制和應急處理機制?！?這就引出等級保護的概念，必須區(qū)分重要 程度不同的應用系統(tǒng)，并據(jù)此將保護措施分成不同的等級，而從國家層面，必須將那些 關系到國家經(jīng)濟發(fā)展命脈的基礎網(wǎng)絡圈定出來，加以重點保護，這就是“重點保障基礎 網(wǎng)絡和重要系統(tǒng)的安全”思路。這一思路蘊涵了“適度”信息安全的概念?！斑m度”實際體現(xiàn)了建設信息安全的綜 合成本與信息安全風險之

8、間的平衡，而不是要片面追求不切實際的安全。所謂信息安全，可以理解為對信息四方面屬性的保障，一是保密性，就是能夠對抗 對手的被動攻擊，保證信息不泄露給未經(jīng)授權的人；二是完整性，就是能夠對抗對手的 主動攻擊，防止信息被未經(jīng)授權的篡改；三是可用性，就是保證信息及信息系統(tǒng)確實為 授權使用者所用；四是可控性，就是對信息及信息系統(tǒng)實施安全監(jiān)控。按照 ISO17799 信息安全標準、國家計算機網(wǎng)絡安全規(guī)定及國網(wǎng)公司相關規(guī)定，信 息安全體系的建設應包括兩個方面的內(nèi)容：安全技術防護體系、安全管理體系。技術防 護體系包括網(wǎng)絡和應用系統(tǒng)的安全防護基礎設施和相關的監(jiān)視、檢測手段；安全管理體 系主要包括組織、評估、方法

9、、改進等管理手段。信息安全體系建設的方法是：在全面 的安全風險評估的基礎上，對信息資產(chǎn)進行安全分類定級，針對信息系統(tǒng)存在的安全隱 患和威脅，提出信息系統(tǒng)安全整體規(guī)劃，分步實施，循環(huán)改進。結合當前我司信息系統(tǒng)的安全現(xiàn)狀和急待解決的問題，我們提出我司的信息安全體 系建設的總體思路：針對企業(yè)信息化應用的需求，建立電力信息系統(tǒng)安全保障的總體框架，確定電力信息系統(tǒng)安全策略，以指導電力信息系統(tǒng)安全技術體系與管理系統(tǒng)的建設。在逐步引入先進實用的信息安全技術和手段的基礎上，開展信息系統(tǒng)安全評估活動，建立完善的安全技術體系。同時，逐步建立健全公司信息安全組織機構，逐步落實各項信息安全管理制度，廣泛開展信息安全教

10、育，提高系統(tǒng)全員信息安全意識，構造規(guī)范化的安全管理體制和機制，以期建立完善的信息安全管理體系，并培養(yǎng)一支技術較強 的人才隊伍。按照統(tǒng)一規(guī)劃、分步實施的原則，本方案為 XX 電力公司信息網(wǎng)絡的安全防范基礎設 施的初步設計。1.3XX 電力公司信息網(wǎng)安全防護策略1.3.1 XX 電力公司總體安全策略企業(yè)的信息安全策略是企業(yè)信息安全工作的依據(jù)，是企業(yè)所有安全行為的準則。信 息安全是圍繞安全策略的具體需求有序地組織在一起，構架一個動態(tài)的安全防范體系。XX 電力的總體安全策略如下：1 、 建立信息安全組織機構、健全各種規(guī)章制度，注重管理。2 、 信息安全風險防范側重企業(yè)內(nèi)部，尤其是核心設備、核心網(wǎng)段的安

11、全防范。3 、 統(tǒng)一規(guī)劃、部署、實施企業(yè)互聯(lián)網(wǎng)對外的接口及安全防范。4 、 合理劃分網(wǎng)絡邊界，做好邊界的安全防護；合理劃分安全域，實現(xiàn)不同等級安全域之間的隔離。5 、 制定完善的備份策略，保障系統(tǒng)及數(shù)據(jù)的安全。6 、 充分利用現(xiàn)有的安全設施，發(fā)揮其安全功能。7 、建立完善的監(jiān)控平臺和快速的響應體系，及時的發(fā)現(xiàn)和解決出現(xiàn)的問題。8 、采用數(shù)據(jù)安全技術保障實施，確保數(shù)據(jù)安全。1.3.2 XX 電力信息安全總體框架1.3.3 防護策略1.3.3.1 對網(wǎng)絡的防護策略包括主動防護和被動防護兩方面，主動防護即采用入侵檢測工具，自動對網(wǎng)絡上進 出的數(shù)據(jù)包進行檢測，分辯出非法訪問并阻斷報警。被動防護即采用防

12、火墻設備，置于 網(wǎng)絡出口處，并事先設定一定的規(guī)則，規(guī)定符合哪些條件的數(shù)據(jù)可以進出，其它的則一 律阻斷不讓其通過。從而主動防護與被動防護結合，達到對網(wǎng)絡的防護，也以此形成對 小型機、服務器、 PC 機等各類資源的基礎性防護。1.3.3.2 對主機的防護策略主機上運行的是公司系統(tǒng)核心業(yè)務，存儲的是各類重要數(shù)據(jù)，一旦此類機器出現(xiàn)問 題，將會給公司系統(tǒng)日常業(yè)務的正常開展造成沖擊和損失，所以必須對其采取進一步 的、更加嚴格的防護措施，具體在實踐中，就要對主機進行漏洞掃描和加固處理，即不 定期用掃描工具對關鍵主機進行掃描，及時發(fā)現(xiàn)包括操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應用系統(tǒng) 在內(nèi)的各類漏洞缺陷，通過安裝補丁程序予以

13、彌補，同時安裝防篡改、注冊表鎖定等加 固軟件和身份認證系統(tǒng)，從而使主機主動拒絕非法訪問，自身具備較強的安全防護能 力，抗御各類攻擊行為。1.3.3.3 對郵件系統(tǒng)的防護策略經(jīng)過多年的建設和推廣應用，省電力公司已把基于 Lotus Notes 的辦公自動化系統(tǒng) 全面推廣到省、市、縣各級供電企業(yè)，實現(xiàn)了公文在網(wǎng)上辦理和傳遞。公司系統(tǒng)的員工 都開設了個人郵箱。所有公文流轉信息都會發(fā)送到員工的個人郵箱。同時這些郵箱又都 具備發(fā)送和接受外網(wǎng)郵件的能力。近年來，由于病毒的泛濫和快速傳播，省公司的郵件 系統(tǒng)每天不可避免地收到大量的垃圾郵件和攜帶病毒的郵件，郵件中的病毒又在局域網(wǎng) 上快速傳播，嚴重地威脅網(wǎng)絡和

14、信息安全。為保障網(wǎng)絡和信息系統(tǒng)安全運行，需要部署 專用的反垃圾郵件系統(tǒng)和病毒過濾系統(tǒng)保護省公司郵件系統(tǒng)的安全運行。1.3.3.4 對終端的防護策略終端的安全防護是網(wǎng)絡與信息安全防護的重要內(nèi)容，其主要防護措施是：1 、安裝防病毒軟件并及時更新。2 、加強管理，杜絕與業(yè)務無關軟件的安裝使用，控制使用軟盤、光盤驅動器。3 、終端行為管理： 網(wǎng)絡安全問題在很多情況下都是由“內(nèi)部人士”而非外來黑客所引起，在公司系統(tǒng)普遍存在著如下的問題：缺乏完整的內(nèi)部安全防護體系；網(wǎng)絡 安全管理的基礎工作較薄弱，各類網(wǎng)絡基礎信息采集不全；存在一機多網(wǎng)和一機多用的 可能性；外圍設備的接入控制困難；難以監(jiān)控用戶對計算機的使用

15、情況。因此迫切地需 要一種高效完整的網(wǎng)絡管理機制來監(jiān)測、控制整個內(nèi)網(wǎng)的資源和服務，使整個網(wǎng)絡運行 穩(wěn)定可靠，從而保證整個內(nèi)網(wǎng)的可信任和可控制。4、軟件更新服務系統(tǒng)（SUS）:目前大部分病毒，像尼姆達（一種利用系統(tǒng)漏洞的蠕蟲病毒）是利用微軟的系統(tǒng)漏洞進行傳播的，而微軟對大部分的漏洞及時提供了相 應的補丁程序，但由于用戶未及時打補丁更新系統(tǒng)而導致數(shù)以萬計的 Windows 系統(tǒng)受 到攻擊。因此需要一套軟件更新服務系統(tǒng)（SUS）來為主機提供補定程序，并及時自動更 新系統(tǒng)。2. 設計依據(jù)2.1 信息安全管理及建設的國際標準 ISO-17799ISO 17799 管理體系將 IT 策略和企業(yè)發(fā)展方向統(tǒng)一

16、起來，確保 IT 資源用得其所， 使與 IT 相關的風險受到適當?shù)目刂?。該標準通過保證信息的機密性，完整性和可用性來 管理和保護組織的所有信息資產(chǎn)，通過方針、慣例、程序、組織結構和軟件功能來確定 控制方式并實施控制，組織按照這套標準管理信息安全風險，可持續(xù)提高管理的有效性 和不斷提高自身的信息安全管理水平，降低信息安全對持續(xù)發(fā)展造成的風險，最終保障 組織的特定安全目標得以實現(xiàn)，進而利用信息技術為組織創(chuàng)造新的戰(zhàn)略競爭機遇。3. XX 電力信息網(wǎng)安全現(xiàn)狀3.1 管理安全現(xiàn)狀參考相關信息安全相關標準中的安全管理策略要求，根據(jù) XX 電力內(nèi)網(wǎng)信息系統(tǒng)安全 運維的需求，對 XX 電力內(nèi)網(wǎng)信息系統(tǒng)安全組織

17、、人員管理、安全管理、運維管理、監(jiān)測 管理、備份管理、應急管理、文檔管理方面進行了調(diào)查分析，對 XX 電力內(nèi)網(wǎng)信息系統(tǒng)安 全管理現(xiàn)狀描述如下：安全組織方面： 已有信息安全管理組織，有專職信息安全人員。信息安全 專職人員負責組織內(nèi)部與各相關單位的信息安全協(xié)調(diào)溝通工作。人員管理方面： XX 電力內(nèi)網(wǎng)信息系統(tǒng)已有明確的崗位責任制，技術人員在信息系統(tǒng)建設和日常維護過程中認真履行職責。已有執(zhí)行外來人員管理策略，外 來公司人員進入機房實施操作時，有 XX 電力內(nèi)網(wǎng)信息系統(tǒng)工作人員全程陪同。安全管理方面： 有明確的安全管理要求與措施。沒有及時安裝相應系統(tǒng)補 丁，禁止安裝與工作無關的軟件；缺乏完備信息安全事件

18、報告制度。運維管理方面： 有具體明確的系統(tǒng)運行要求，日常故障維護，對故障現(xiàn) 象、發(fā)現(xiàn)時間、檢查內(nèi)容、處理方法、處理人員、恢復時間等進行詳細記錄。監(jiān)測管理方面： 有明確的監(jiān)測目標，在網(wǎng)絡檢測方面，利用入侵檢測來實 時監(jiān)測，但沒有定時查看相關記錄和維護，并做出響應；在防病毒方面，利用防 病毒系統(tǒng)來實時對病毒進行檢測和防護。應急管理方面： 有明確的應急管理策略，實施工作主要有運維人員及服務 提供商承擔。密碼管理方面： 有明確的密碼管理實施辦法，但缺乏定期修改密碼及密碼 保存辦法。備份管理方面： 有明確的備份管理策略，也制定了相關的備份辦法。文檔管理方面： 有明確的技術文檔管理制度，但技術文檔資料缺乏

19、登記、分類、由專人 保管，同時也缺乏技術文檔資料的使用、外借或銷毀的審批登記手續(xù)。3.2 網(wǎng)絡安全現(xiàn)狀XX 電力的網(wǎng)絡拓撲現(xiàn)在如下圖所示：hifl 珂:* nuLIS廠M»>#1feiurf itt當前網(wǎng)絡骨干區(qū)域，基本形成以一臺H3C S7506為核心，多臺H3C S7503為匯聚接入的架構。但核心交換機 H3C S7506同時兼具遠程接入?yún)^(qū)多條專線接入設備的任務,中間沒有匯聚設備，網(wǎng)絡邏輯層次結構較為模糊。不利于網(wǎng)絡的擴展建設，更不利于安 全域邊界的整合，無法實施集中統(tǒng)一的安全防護策略。除互聯(lián)網(wǎng)接入?yún)^(qū)外，當前網(wǎng)絡各區(qū)域均為單鏈路、單設備。網(wǎng)絡單點故障隱患很 大。任意節(jié)點設備

20、、鏈路的故障，或因維護的需要停機重啟，均會造成相應區(qū)域網(wǎng)絡的 通訊中斷，造成重要影響。當前網(wǎng)絡中，在服務器區(qū)部分、管理支撐區(qū)、遠程接入?yún)^(qū)，玉溪煙廠生產(chǎn)網(wǎng)辦公網(wǎng) 部分均存在區(qū)域劃分不清晰，邊界模糊的情況。安全域劃分不清晰，區(qū)域邊界未整合， 不利于日常的安全管理，無法實施集中統(tǒng)一的安全區(qū)域防護策略。服務器區(qū)域H3C設備FWSM防火墻處于策略全通狀態(tài)，無法起到應有的訪問控制 功效，讓所有服務器直接暴露在辦公網(wǎng)中。部分遠程接入?yún)^(qū)域鏈路、 IT 運營中心等，同 樣存在缺乏防火墻等設備，無法實施基本的網(wǎng)絡訪問控制，無法有效防護重要資產(chǎn)設 備。當前網(wǎng)絡中缺乏必要的入侵檢測 / 防御手段，特別在核心交換機、內(nèi)

21、網(wǎng)服務器區(qū)、 DMZ 服務器區(qū)。無法實施網(wǎng)絡流量的實時監(jiān)控分析，進行惡意行為的告警響應，無法及 時發(fā)現(xiàn)并處理安全事件。全網(wǎng)缺乏一套集中的安全運營管理中心，無法集中監(jiān)控各網(wǎng)絡設備、安全設備、主 機及業(yè)務的安全運行情況，收集日志信息，集中存儲、關聯(lián)分析和展現(xiàn)。同時，無法及 時掌握全網(wǎng)的安全態(tài)勢，及時做出分析判斷，影響安全事件的響應處理效率。內(nèi)網(wǎng)服務器區(qū)、 DMZ 服務器區(qū)缺乏業(yè)務審計設備，無法記錄關鍵的業(yè)務、維護操作 行為。出現(xiàn)安全事件時，無法通過審計設備進行操作行為的跟蹤分析，及時查找原因。 當前網(wǎng)絡設備安全相關策略大多采用默認配置，自身存在較多安全隱患，在一些惡意的 人為因數(shù)下，可能造成網(wǎng)絡設

22、備運行不正常，甚至網(wǎng)絡局部區(qū)域通訊中斷。3.3 主機及業(yè)務系統(tǒng)安全現(xiàn)狀當前系統(tǒng)中的主機及應用系統(tǒng)欠缺較多的補丁，存在較多的高風險漏洞。攻擊者可 以通過一些簡易工具或技術手段，入侵主機，提升權限，進行后續(xù)的破壞活動。XX 電力部分業(yè)務系統(tǒng)主機和數(shù)據(jù)庫帳號存在弱口令現(xiàn)象，包括用戶名和口令一致、 空口令、通用默認口令、極易猜測的簡單數(shù)字等。弱口令可以使惡意用戶直接或者通過 簡單掃描工具，即可獲取用戶帳號和密碼，可以直接訪問系統(tǒng)，甚至獲取系統(tǒng)管理員帳 號和密碼，完全控制該系統(tǒng)。如果系統(tǒng)被攻擊，對 XX 電力業(yè)務的正常運行造成很大的影 響。帳號口令管理方面，當前所有 UNIX 類主機采用默認配置，沒有啟

23、用帳號相關安全 屬性控制，沒有對口令的復雜度、有效期、更新密碼周期等進行統(tǒng)一約束。帳號口令安 全策略設置不嚴格，用戶口令容易遭到猜測或字典攻擊成功，進而使系統(tǒng)容易被非法操 縱。用戶登錄管理方面，當前所有 UNIX 類主機采用默認配置，未啟用 root 直接登陸控 制、終端登陸控制、登陸會話時間限制、 SU 權限控制等登錄安全管理策略。用戶登陸安 全策略設置不嚴格，容易造成惡意用戶越權濫用，非法操作， root 特權使用缺乏監(jiān)控審 計，給系統(tǒng)造成影響破壞。當前絕大部分主機采用默認配置，開放有 SNMP 服務，并且沒有修改缺省的 SNMP 共同體字符串。而已攻擊者通過 SNMP 可以獲取遠程操作系

24、統(tǒng)的類型和版本、進程信 息、網(wǎng)絡接口信息等敏感信息。這可能使攻擊者可以準確了解遠程主機的系統(tǒng)信息，更 有針對性的發(fā)起攻擊。當前大部分主機，包括部分對公網(wǎng)提供服務的主機的 OpenSSH 版本較老，暴露有 較多緩沖區(qū)溢出漏洞。惡意攻擊者通過上述漏洞，可以發(fā)起拒絕服務攻擊或執(zhí)行任意代 碼，控制主機，給業(yè)務系統(tǒng)造成嚴重影響。當前多數(shù)主機系統(tǒng)中開放有危險的 R 系列服務，建立有較多主機間的信任關系。用 戶可使用 rlogin 直接登錄而不需密碼，還可使用 rcp 、rcmd 等命令，方便用戶操作。 R 系列服務有一定的安全性風險，在當前環(huán)境中，容易被仿冒，無需口令即可直接訪問授 信主機，造成系統(tǒng)越權訪

25、問。當前絕大多數(shù)主機采用默認配置，開放有危險且不必須的 TCP Small Service 和 UDP Small Service 。包括 echo 、 diacard 、 chargen 、talk 等。每一種網(wǎng)絡服務都是一 個潛在的安全漏洞，也就是一個攻擊者可能會進入的地方。開放 TCP/UDP 小服務可能拒 絕服務攻擊、系統(tǒng)入侵等危害。當前 絕大多數(shù)主機采用默認 配置 ，開放有危險的 RPC 服務，包括 rstatd 、 rusersd、rwalld等。RPC系列服務可能造成系統(tǒng)信息泄露，為惡意攻擊者的進一步行動 提供有用信息。當前大多數(shù)主機開放有 Sendmail 服務， Sendma

26、il 服務自身存在較多風險漏洞。非 郵件服務器無需運行 Sendmail 服務。惡意攻擊者利用 Sendmail 服務漏洞容易獲取系統(tǒng) 權限，或用來發(fā)送垃圾郵件。前部分提供 Web 訪問的系統(tǒng)（包括外網(wǎng)網(wǎng)站等）采用的 Apache 服務器版本較低， 存在多處緩沖區(qū)溢出漏洞。惡意攻擊者可以利用這個漏洞進行緩沖區(qū)溢出攻擊，可能以 Apache 進程權限在系統(tǒng)上執(zhí)行任意指令或進行拒絕服務攻擊。當前大部分主機和應用系統(tǒng)采用默認的 Syslog 日志配置。未配置集中的外部日志服 務器系統(tǒng)，進行統(tǒng)一的收集、存儲和分析。不能及時有效地發(fā)現(xiàn)業(yè)務中的問題以及安全 事件，不利于安全事件的跟蹤分析。滲透測試檢查發(fā)現(xiàn)

27、， XX 電力外網(wǎng)網(wǎng)站存在兩處高風險的 SQL 注入漏洞。利用 SQL 注入點 1，可進行數(shù)據(jù)庫信息猜測、數(shù)據(jù)表猜測、表空間猜測，進而獲取整個數(shù)據(jù)庫的信 息，任意查看和修改。利用注入點 2 可以獲得任意注冊會員的帳號和密碼信息，以及會 員的郵件地址、身份證、真實名字等敏感信息。同時還檢查出，外網(wǎng)網(wǎng)站存在可上傳任 意文件、跨站腳本攻擊兩處高、中風險漏洞。外網(wǎng)網(wǎng)站作為 XX 電力的對外門戶網(wǎng)站系 統(tǒng)，是對外宣傳、信息發(fā)布的重要途徑，日均訪問量很大。惡意入侵者利用上述漏洞， 極易造成網(wǎng)站系統(tǒng)重要數(shù)據(jù)信息泄密，網(wǎng)站頁面破壞、篡改、掛馬等危害，嚴重影響用 戶的正常訪問，造成用戶感染病毒木馬。滲透測試檢查

28、發(fā)現(xiàn)，內(nèi)網(wǎng)網(wǎng)站存在兩處高風險漏洞，可以獲取所有用戶的口令和其它敏感信息。同時還存在暴露系統(tǒng)絕對路徑、可以查看任意短消息列表內(nèi)容。內(nèi)網(wǎng)網(wǎng)站是公司內(nèi)部信息發(fā)布的主要途徑，采用郵件系統(tǒng)的帳號口令進行認證，通過上述漏洞，惡意攻擊者可以獲取所有用戶帳號的口令，登錄內(nèi)網(wǎng)網(wǎng)站、登錄郵件系統(tǒng)，造成信息泄 密、篡改、破壞等危害。3.4 終端安全現(xiàn)狀目前 XX 電力安全方針策略不夠清晰明確。由于安全目標方針不明確，導致全員不能清晰領悟安全的重要性，安全思想不能得到有效貫徹落實。各部門執(zhí)行安全的方向不統(tǒng) 一。安全方針不統(tǒng)一，會經(jīng)常出現(xiàn)安全行動不統(tǒng)一，安全意識不明確的現(xiàn)象。XX 電力沒有建立完善的安全管理策略制度。制

29、度不完善導致執(zhí)行安全工作時不能遵循統(tǒng)一的策略，導致因誤操作或因不規(guī)范導致的問題發(fā)生?？赡軙霈F(xiàn)由于制度流程不 完善導致的信息泄密、網(wǎng)絡系統(tǒng)癱瘓等管理制度不全面，未能覆蓋包括第三方人員管 理、桌面系統(tǒng)管理、系統(tǒng)開發(fā)等方面，導致相關操作無規(guī)范。當前 XX 電力成立了信息安全工作領導小組，但小組成員基本以各級領導為主，專業(yè)安全人員只有一人，不能滿足日常安全管理工作需要。并且系統(tǒng)維護人員同時負責此系 統(tǒng)的安全運行，目前的編制已經(jīng)很難滿足日常安全管理的需要，因此信息安全的具體執(zhí) 行工作難以得到有效的開展。安全崗位職責未設置 AB 角色，一人負責，一旦發(fā)生人員調(diào)離或其它意外導致系統(tǒng)全面癱瘓。沒有建立完善信

30、息安全考核體系，導致員工不能嚴格執(zhí)行各項信息安全規(guī)章制 度。各級員工普遍信息安全意識不強，導致員工對信息安全的內(nèi)容、管理目標等沒有明 確的認識與理解，不能在日常工作中主動地貫徹各項信息安全制度、規(guī)范及標準。XX 電力尚未實施針對非專業(yè)安全人員的安全培訓計劃安全培訓跟不上導致專業(yè)人員 和普通員工安全技術缺乏，安全意識薄弱當前情況下，備份介質(zhì)大多存放在機房內(nèi)或辦公區(qū)域中。同時沒有針對可移動介質(zhì) 的管理制度。沒有介質(zhì)銷毀制度。重要軟件或其它資產(chǎn)（如密碼本）存放在機房內(nèi)，可 能會導致容易使內(nèi)部較易獲取或破壞資產(chǎn)；重要資產(chǎn)存放在辦公區(qū)域內(nèi)，很容易被外來 人員進行有意或無意的攻擊。目前按部門的劃分來保護資

31、產(chǎn)，將資產(chǎn)進行了一些簡單分類。軟件資產(chǎn)無詳細登 記，也未將資產(chǎn)劃分安全等級。不能對重點資產(chǎn)進行重點保護。尚未制定相應的訪問權限與控制的流程與職責，總部和各分廠在處理第三方訪問權 限時沒有統(tǒng)一的標準與規(guī)范；對第三方的監(jiān)控缺少標準與技術手段，各單位基本沒有在 第三方訪問時實施有效的監(jiān)控；在第三方合作完成后，不能及時的注銷訪問權限、修改 口令，存在第三方繼續(xù)訪問獲得機密信息或者進行非法操作的風險。當前 XX 電力缺乏系統(tǒng)規(guī)范的應急響應預案。缺乏相應的制度流程，導致系統(tǒng)遭受篡 改或無法使用時，對公司的管理運營具有輕微影響。缺乏系規(guī)范的桌面系統(tǒng)安全管理規(guī)范，終端人員操作水平不一致，安全意識不足可 能會導

32、致桌面系統(tǒng)的病毒蠕蟲事件，以至于網(wǎng)絡癱患；移動硬盤的無規(guī)范使用，不僅會 導致病毒泛濫，而且容易將信息泄露或數(shù)據(jù)破壞及丟失。建設過程中沒有同步考慮系統(tǒng)功能和安全性。立項管理階段：項目前期過程中對安 全的考慮不夠完整，主要包括信息安全目標定義不明確，初步安全控制方案存在控制不 足的情況，項目預算調(diào)減時導致安全控制被消減；實施管理階段：缺少統(tǒng)一的安全需求 分析方法、基本保護要求以及安全驗收測試，導致在建系統(tǒng)的安全控制方案不能有效地 實現(xiàn)安全目標，開發(fā)過程中對開發(fā)人員控制不夠，使得項目過程文檔和內(nèi)部敏感信息外 流；驗收管理階段：缺乏系統(tǒng)運維計劃，包括備份恢復計劃、應急預案，有的系統(tǒng)是上 線運行后。4建

33、設目標本期信息網(wǎng)安全建設達到以下目標：? 通過防火墻和入侵檢測 / 防護系統(tǒng)的部署，構建網(wǎng)絡邊界防護，將內(nèi)部網(wǎng)絡 與其他網(wǎng)絡進行隔離，避免與外部網(wǎng)絡的直接通訊，保證網(wǎng)絡結構信息不外泄；? 對各條鏈路上的服務請求做必要的限制，使非法訪問不能到達主機；? 通過防病毒系統(tǒng)的部署，建立完整的系統(tǒng)防病毒體系，防止病毒的侵害；? 通過客戶端管理系統(tǒng)的部署，建立客戶端資源、行為的必要控制，以及補 丁及時分發(fā)，減少內(nèi)網(wǎng)用戶的不安全因素；? 通過省公司本部安全監(jiān)管平臺的部署，初步實現(xiàn)安全事件集中監(jiān)視和分 析，為下一步建設全省信息安全體系打下基礎。5安全區(qū)域的劃分方案5.1 網(wǎng)絡安全域劃分原則 安全域是指網(wǎng)絡系統(tǒng)

34、內(nèi)包含相同的安全要求，達到相同的安全防護等級的區(qū)域。網(wǎng) 絡安全域設計遵循以下原則：1 、內(nèi)部網(wǎng)絡結構層次分明，便于網(wǎng)絡隔離和安全規(guī)劃。2 、網(wǎng)絡結構具備高可靠性和高可用性。3、不同的網(wǎng)段在交換機上劃分不同虛擬局域網(wǎng)（ VLAN ），不同虛擬局域網(wǎng)（ VLAN ）之間的路由設置訪問控制表（ ACL）。4 、地址規(guī)劃應便于路由匯總以方便路由管理、提高路由廣播效率以及簡化 ACL 配置。5 、邊界和內(nèi)部的動態(tài)路由協(xié)議應盡量啟用認證，用來防止路由欺騙，否則高明的黑客可以通過發(fā)送惡意的路由更新廣播包，使得路由器更新路由表，造成網(wǎng)絡癱瘓和 路由旁路。6 、所有對網(wǎng)絡設備的維護管理啟用更可靠的認證。7、交換

35、機 的第三層 模塊（ L3 模塊） 或防火墻 配置訪問 控制表（ACL）。8 、路由器設置反地址欺騙檢查。對于路由器，外出（ Outbound ）接收包的源地址只可能是外部地址，不可能是內(nèi)部地址，同樣進入（ Inbound ）接收包的源地址只可 能是內(nèi)部地址，不可能是外部地址，這樣能防止黑客利用策略允許的內(nèi)部或外部地址進 入網(wǎng)絡。9 、啟用路由反向解析驗證，這在某種程度上犧牲了一定的網(wǎng)絡性能，但能有效阻止隨機源地址類型的攻擊，如同步攻擊等（ SyncFlood ）。10 、 路由器過濾所有來自外部網(wǎng)絡的源地址為保留地址的數(shù)據(jù)包。11、 所有提供簡單網(wǎng)絡管理協(xié)議（ SNMP ）服務的設備（路由器

36、、交換 機、計算機設備等）的共用組名（ Community Name ）不能使用缺省，要足夠 復雜，并且統(tǒng)一管理。全省按如下網(wǎng)絡安全域進行劃分：1 、整個省公司劃分為四個大的安全域：內(nèi)部辦公區(qū)， DMZ （對外業(yè)務區(qū)），電力信2、息網(wǎng)區(qū)（對內(nèi)業(yè)務區(qū)） ，若干外聯(lián)網(wǎng)區(qū)域（ Internet ，第三方接入等）； 各安全域之間通過防火墻進行隔離，在防火墻上按照網(wǎng)絡應用的需求進行訪問策略的設置；3、外網(wǎng)服務器區(qū)（DMZ ）的網(wǎng)站、郵件、應用（Web , Mail ,Application ）服務器通過網(wǎng)絡地址轉換（NAT ）等，對In ternet提供服務；4、電力信息網(wǎng)區(qū)的服務器通過防火墻與內(nèi)部辦公

37、區(qū)， DMZ 區(qū)進行通信，對內(nèi)提供系統(tǒng)應用；內(nèi)部辦公區(qū)視需求進行虛擬局域網(wǎng)（ VLAN ）的進一步劃分，由交換機的第三層模塊（ L3 模塊）進行虛擬局域網(wǎng)（ VLAN ）劃分和訪問控制表（ ACL ）控制或通過防火墻模塊 進行各虛擬局域網(wǎng)（ VLAN ）之間的安全控制。5.2 網(wǎng)絡區(qū)域邊界訪問控制需求根據(jù)目前公司系統(tǒng)的實際網(wǎng)絡狀況，在公司系統(tǒng)網(wǎng)絡環(huán)境中，區(qū)域邊界主要有以下 幾個：互聯(lián)網(wǎng)與電力信息網(wǎng)的連接邊界，電力信息網(wǎng)內(nèi)各本地局域網(wǎng)與廣域網(wǎng)的連接邊 界，電力信息網(wǎng)與華東電網(wǎng)的連接邊界，電力信息網(wǎng)與國家電網(wǎng)的連接邊界，各地市公 司與縣公司的連接邊界，各地市公司與銀行的連接邊界。根據(jù)網(wǎng)絡安全建設的

38、原則，安全等級低的系統(tǒng)應該與安全級別高的系統(tǒng)進行有效隔 離，避免將兩者混雜，從而直接降低了高安全級別系統(tǒng)的安全性。安全僅僅依靠操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)權限控制功能。這是遠遠不夠的，任何一 個位于該網(wǎng)絡中的客戶終端，都可能是一個潛在的對關鍵服務器的威脅點。因此，首先必須將所有這些服務器按重要等級和國家經(jīng)貿(mào)委劃定的“安全區(qū)域”進 行分級，其次在科學合理分級的基礎上，采用有效的網(wǎng)絡隔離措施，隔離這些不同安全 等級的服務器，并進行有效的訪問控制。網(wǎng)絡隔離的目的最主要的就是要完成網(wǎng)絡層訪問控制的功能。經(jīng)常存在的網(wǎng)絡濫用 現(xiàn)象本身就是因為缺乏有效的訪問控制手段所導致的。從安全的角度來說，應該遵循“最小授權

39、”原則：一個實體應該而且只應該被賦予它完成正常功能所需的最小權限。而 在我們的實際網(wǎng)絡運營中，往往忽略了這一原則，任何一個在網(wǎng)絡上活動的普通用戶， 經(jīng)常會擁有過多的訪問權限。一個用戶本來僅僅只需要訪問服務器的WEB服務，但是由于缺乏有效的網(wǎng)絡層隔離與訪問控制機制，這個用戶其實擁有對該服務器一切網(wǎng)絡服務訪問的權限。這種違反“最小授權”的情況事實上經(jīng)常被人忽略，從而導致了在特定的 情況下安全事件的產(chǎn)生，造成了嚴重的后果。IP常見的網(wǎng)絡層訪問控制主要是基于 IP 和端口來進行。對公司系統(tǒng)來說僅僅基于這樣 的網(wǎng)絡層訪問控制是不夠的。因為往往客戶端的 IP 地址是采用動態(tài)分配，很難將某個 地址與特定用戶

40、綁定起來。因此需要通過 MAC 地址對用戶網(wǎng)絡層的訪問進行控制。訪問控制在多個網(wǎng)絡協(xié)議層面都是一個必要的安全機制。對重要應用系統(tǒng)來說，其 訪問控制要求更為細致，但網(wǎng)絡層的訪問控制是基礎，如果在網(wǎng)絡通訊層面以及操作系 統(tǒng)層面都不能保證嚴格有力的訪問控制，應用層面的控制是沒有意義的。所以，首先必 須實施全面的區(qū)域邊界網(wǎng)絡隔離與訪問控制技術。5.3 邊界網(wǎng)絡隔離和訪問控制為了有效保證同一網(wǎng)絡區(qū)域內(nèi)實行相同的安全策略，避免違背安全策略的跨區(qū)域訪 問（如嚴格禁止從 Internet 對 XX 電力專網(wǎng)的直接訪問），方案采用如下措施進行區(qū)域 邊界防護。5.3.1 區(qū)域邊界的訪問控制防火墻技術是目前最成熟，

41、應用最普遍的區(qū)域邊界訪問控制技術。它通過設置在不 同網(wǎng)絡區(qū)域（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡安全域之間來實施安全 策略。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，能根據(jù)安全政策控制（允 許、拒絕、監(jiān)測）出入網(wǎng)絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安 全服務，實現(xiàn)網(wǎng)絡和信息安全的基礎設施。區(qū)域邊界的防火墻控制技術在上述所有邊界均加以實施。5.3.2 敏感區(qū)域邊界的流量審計 此處的敏感區(qū)域邊界，主要指安全性相對較高和安全性相對較低網(wǎng)絡之間的連接區(qū) 域邊界，具體到省公司信息系統(tǒng)而言即為 Internet 與信息網(wǎng)系統(tǒng)的連接邊界，信息網(wǎng)系 統(tǒng)與國網(wǎng)公司、華東電網(wǎng)、縣公司

42、及銀行的網(wǎng)絡連接邊界。對于這些邊界的控制，僅僅 使用防火墻策略是不夠的。由于敏感區(qū)域邊界間安全性差別較大，極易出現(xiàn)安全問題， 所以應對跨區(qū)域的流量進行完全審計，便于日后的審查需要。5.3.3 敏感區(qū)域邊界的網(wǎng)絡防入侵及防病毒 除了在敏感區(qū)域邊界間實施流量審計這種被動審計技術外，還應建立主動入侵防御 機制，動態(tài)響應跨區(qū)域的入侵，這種動態(tài)響應技術即為入侵檢測和病毒防護技術。因 為，從安全角度來說，當前新興的病毒威脅已具有相關黑客入侵特征，二者的結合防護 不可或缺。上述三種技術在進行區(qū)域邊界防護時可互為補充，相輔相成。從工程角度來說，最 好能將三種技術集成在一個產(chǎn)品里，以提供安全功能的集合，一方面便

43、于實施，另一方 面便于后期維護和管理。6XX 電力信息網(wǎng)防火墻部署方案在 Internet 與互聯(lián)網(wǎng)內(nèi)容發(fā)布平臺之間和互聯(lián)網(wǎng)內(nèi)容發(fā)布平臺與電力信息網(wǎng)之間部 署具有防火墻、安全審計、入侵防護和病毒防護等綜合功能的安全產(chǎn)品。雖然，公司系統(tǒng)已經(jīng)部署了部分的思科 PIX 防火墻，但是思科 PIX 防火墻采用的是 防火墻防護技術最初級的一種。思科 PIX 通過包過濾技術實現(xiàn)對用戶網(wǎng)絡的防護，這種 技術無法應對目前日益猖獗的混合式威脅，也無法提供病毒防護功能。近一兩年，基于對邊界安全需求的全面考慮，許多安全廠商推出了新型的多功能網(wǎng) 關，新型多功能網(wǎng)關就是在防火墻的基礎上提供網(wǎng)關需要的其他安全功能，例如最常

44、見 的是在防火墻上增加虛擬專用網(wǎng)（ VPN ）功能。還有在防火墻上增加防病毒功能。也有 更為先進的是在防火墻上同時集成了虛擬專用網(wǎng)（ VPN ）、防病毒、入侵檢測、內(nèi)容過 濾等全面安全功能。新型多功能網(wǎng)關是網(wǎng)關安全發(fā)展的趨勢，只有新型多功能網(wǎng)關才能 真正讓網(wǎng)關位置成為安全防護體系的重要有力的組成部分。在公司網(wǎng)絡系統(tǒng)的網(wǎng)絡區(qū)域出口處安裝此類多功能集成網(wǎng)關安全產(chǎn)品，為用戶構建 堅固的網(wǎng)絡防線。此類防火墻不但可以防止黑客入侵，而且提供入侵檢測 / 防護功能，并 且可以和防火墻自帶防病毒系統(tǒng)緊密結合在一起，提供網(wǎng)關級的防病毒保護。考慮到全省信息網(wǎng)移到綜合業(yè)務數(shù)據(jù)網(wǎng)上，我們在各地市公司與省公司連接的網(wǎng)關

45、 處均采用千兆防火墻，各地市公司到縣公司、銀行等采用百兆防火墻。通過防火墻可對不同安全區(qū)域之間的網(wǎng)絡連接活動進行嚴格的訪問控制，并且不僅 僅如此，通過防火墻可對往來這些網(wǎng)絡之間的攻擊入侵和病毒傳播進行有效的檢測和阻 斷，從而將高安全區(qū)域有效的隔離保護起來，從網(wǎng)絡層到應用層進行立體化的區(qū)域邊界 防御，通過實施該一體化的集成安全網(wǎng)關，使省公司和各地市公司內(nèi)部網(wǎng)絡的安全等級 得到有效提升和保證。6.1 省公司防火墻和集成安全網(wǎng)關的部署1省公司防火墻和集成安全網(wǎng)關部署示意圖（老大樓）部署說明：?用于In ternet出口訪問控制，已采用PIX防火墻，由于PIX采用的是ASA算法狀態(tài)檢測技術，通過包過濾

46、技術實現(xiàn)對用戶網(wǎng)絡的防護，這種技術無法應對目 前日益猖獗的混合式威脅，也無法提供病毒防護功能。因此在此方案中我們建議 采用帶有防病毒、內(nèi)容過濾、入侵檢測、安全審計為一體的多功能集成安全網(wǎng) 關。通過在集成安全網(wǎng)關上啟用相應的安全策略，控制內(nèi)部用戶的對外訪問，并 開啟防病毒功能以保證內(nèi)部用戶的對外訪問不受病毒侵害。另外，通過啟用反垃 圾郵件技術，保護內(nèi)部的郵件服務器免受垃圾郵件的攻擊，并根據(jù)網(wǎng)絡的具體應 用在集成安全網(wǎng)關上啟用入侵檢測和入侵防護攻擊(IDS / IPS)功能，保護互聯(lián) 網(wǎng)網(wǎng)關處系統(tǒng)免受來自系統(tǒng)內(nèi)外的攻擊。?遠程訪問虛擬通道(VPN )防火墻，其已采用PIX防火墻，在方案中在PIX

47、VPN 防火墻之后增加集成安全網(wǎng)關，用于移動用戶對內(nèi)網(wǎng)訪問的數(shù)據(jù)解密后進行 病毒防護、內(nèi)容過濾等。? 在合肥地區(qū)單位和省公司網(wǎng)絡連接邊界處、國網(wǎng)公司、華東公司與省公司 網(wǎng)絡連接邊界處和電力三級網(wǎng)與省公司網(wǎng)絡連接邊界處分別部署帶有防病毒、內(nèi) 容過濾、入侵檢測、安全審計為一體的多功能集成安全網(wǎng)關。并通過在集成安全 網(wǎng)關上啟用相應的安全策略，控制用戶的對外訪問，并開啟防病毒功能以保證用 戶的對外訪問不受病毒侵害。?在省公司兩臺CISCO 6506上分別增加1塊FWSM防火墻模塊，用于各VLAN 之間的安全訪問控制。并通過此部署，可以嚴格控制用戶對服務器區(qū)的訪問 控制。F5防.防火墻日DMZ區(qū)FW4

48、（FW3 （增加）FW1 （增加）省信息中心機房國網(wǎng)公司FW6 （增加）FW5 （增加）合肥地區(qū)單位電力三級網(wǎng) ！FW2 （增加）局域網(wǎng)華東二級網(wǎng)可供外網(wǎng)訪問的DNS,Mail,IMS服務器群各部門局域網(wǎng)各部門局域網(wǎng)<J省公司防火墻和集成安全網(wǎng)關部署示意圖（老大樓）移動用戶1G光纖100M五類線網(wǎng)管工作站 OA服務器 認證服務器Web服務器2 省公司防火墻和集成安全網(wǎng)關部署示意圖（新大樓）部署說明：1、在省公司與“INTERNET、華東公司、國網(wǎng)公司、各地市公司信息三級網(wǎng)”相連的網(wǎng)絡邊界采用兩層異構防火墻系統(tǒng)，外層防火墻為已經(jīng)部署的專業(yè)安全設備， 用于阻擋來自互聯(lián)網(wǎng)、國網(wǎng)公司、華東公司等

49、網(wǎng)絡攻擊和設置訪問控制策略。內(nèi)層防 火墻系統(tǒng)采用集成安全網(wǎng)關。其中互連網(wǎng)安全網(wǎng)關采用雙機熱備工作方式，即高可用 性HA方式，任何一臺設備出現(xiàn)問題，備機均可以迅速替換工作，網(wǎng)絡仍能正常運 轉。在內(nèi)層集成安全網(wǎng)關上啟用相應的安全策略，控制內(nèi)部用戶的對外訪問，并開啟 防病毒功能以保證內(nèi)部用戶的對外訪問不受病毒侵害。另外，啟用反垃圾郵件技術， 保護內(nèi)部的郵件服務器免受垃圾郵件的攻擊，并根據(jù)網(wǎng)絡的具體應用在集成安全網(wǎng)關 上啟用入侵檢測和入侵防護攻擊（IDS/IPS）功能，保護互聯(lián)網(wǎng)網(wǎng)關處系統(tǒng)免受來自 系統(tǒng)內(nèi)外的攻擊。2、遠程訪問虛擬通道（VPN）防火墻，其已采用PIX防火墻，在方案中通過在將PIXVPN

50、 防火墻之后增加集成安全網(wǎng)關，用于移動用戶對內(nèi)網(wǎng)訪問解密后的數(shù)據(jù)進行防 病毒、內(nèi)容過濾等。3、通過在信息三級網(wǎng)路由系統(tǒng)前增加集成安全網(wǎng)關過濾掉病毒等混合式威脅進入到 信息三級網(wǎng)，從而保護各地市公司的網(wǎng)絡安全。4、通過在合肥城域網(wǎng)之前部署集成安全網(wǎng)關過濾掉合肥地區(qū)單位病毒等混合式威脅 進入省公司內(nèi)網(wǎng)。5、在省公司兩臺服務器區(qū)三層交換機上分別增加 1塊FWSM防火墻模塊，用于對服 務器的安全訪問控制。防火墻管理中心省公司防火墻模塊和集成安全網(wǎng)關部署圖集成安全網(wǎng)關樓層無線接入樓層有線接入集成安全網(wǎng)關系統(tǒng)I.JGII 4 III 1： III«II SK IIBlJll IU JllI IB

51、IL UjjP.-i防火墻系統(tǒng)Internet新大樓核 心交換機老大樓核 心交換機集成安全網(wǎng)關系統(tǒng)一 可供外網(wǎng)訪問的DNS,Mail,IMS服務器群合肥城域網(wǎng)萬兆以太網(wǎng) 千兆以太網(wǎng)百兆以太網(wǎng)/< I Wl.JT華東網(wǎng)絡 國網(wǎng)網(wǎng)絡 集成綜合數(shù)據(jù)網(wǎng)全網(wǎng)關系統(tǒng).11 IIL Ul Ilk «U4 IM J M JIB IIJBillBlldlLI h Ul I. IU 11 I OA服務器服務器群IB B SB增加防火墻模塊地市客戶端路由CR注：結合省公司老大樓和新大樓的部署情況，建議總共增加 6臺集成安全網(wǎng)關 （其中5臺千兆集成安全網(wǎng)關，1臺百兆集成安全網(wǎng)關）；2塊思科FWSM防火

52、墻模 塊。6.2地市公司防火墻和集成安全網(wǎng)關的部署對公司系統(tǒng)各地市公司來說，其中一大威脅就是縣公司的防御比較脆弱，一旦某縣 公司局部網(wǎng)絡出現(xiàn)安全事件如蠕蟲病毒蔓延等，勢必將導致該威脅在整個大網(wǎng)中進行蔓 延和傳播，通過將縣公司的廣域網(wǎng)連接路由器與地市公司連接省公司的路由器隔離開來，將各縣公司納入到地市公司的安全管理范圍內(nèi)，確保各縣公司網(wǎng)絡不對信息三級網(wǎng) 構成威脅。部署說明：1、在地市公司與縣公司相連的路由器前增加集成安全網(wǎng)關，防止縣公司網(wǎng)絡安全威 脅到信息網(wǎng)，并通過在集成安全網(wǎng)關上啟用相應的安全策略，控制縣公司用戶的對信息 網(wǎng)的訪問，并開啟防病毒功能以防止縣公司的病毒侵害到信息網(wǎng)。另外，在集成安

53、全網(wǎng) 關上啟用防攻擊入侵檢測/入侵防護（IDS/IPS）功能，使信息網(wǎng)絡系統(tǒng)免受來自縣公司 的攻擊。2、在地市公司與省公司相連的路由器后增加千兆防火墻，隔離各地市公司網(wǎng)絡的相 互威脅，并通過防火墻設置訪問控制。3、地市公司與銀行相連的前置機后增加集成安全網(wǎng)關，通過設置訪問策略，僅允許 銀行訪問前置機 IP 地址和數(shù)據(jù)應用端口號。四級網(wǎng)新增設備百兆集成安全網(wǎng)關縣公司DMZ區(qū)服務器市公司辦公區(qū)域省公司三級網(wǎng)新增設備千兆防火墻百兆集成安全網(wǎng)關服務器集群集成安全網(wǎng)關銀電聯(lián)網(wǎng)新增設備千兆防火墻市公司千兆防火墻、集成安全網(wǎng)關部署圖新增集成安全網(wǎng)關前置機一路由器al銀行1 銀行2 銀行3銀電聯(lián)網(wǎng)集成安全網(wǎng)關

54、部署圖備注：1.在市公司與銀行相連的集成安全網(wǎng)關可以采用市公司與省公司相連的退下來的百兆防火墻代替2.在地市公司與省公司廣域處的網(wǎng)關防火墻可以使用在交換機上增加防火墻模塊代 替，增加防火墻模塊的優(yōu)點 :不僅在省公司連接的廣域網(wǎng)網(wǎng)關處實現(xiàn)訪問控制，而且在不 同的 VLAN 之間的訪問控制也可以實現(xiàn)，尤其是對服務器區(qū)的訪問控制。6.3 技術要求1、集成安全網(wǎng)關主要功能和技術要求如下：?采用網(wǎng)絡處理器（NetworkProcessor : NP）和專用集成電路（ASIC）架構。? 集成防火墻、基于協(xié)議異常和基于攻擊特征的入侵防御及入侵檢測、病毒 防護、內(nèi)容過濾、電子郵件過濾等。? 可以提供集中管理，

55、通過集中的日志記錄、警報、報告和策略配置簡化網(wǎng) 絡安全的管理。?支持路由、網(wǎng)絡地址轉換（NAT ）和透明模式等。? 支持內(nèi)置認證數(shù)據(jù)庫認證、支持 Radius 服務器認證。? 支持策略路由。? 防火墻本身應具有較強的抗攻擊能力。? 支持靜態(tài)地址轉換、動態(tài)地址轉換、端口轉換、反向 IP 映射、雙向地址轉? 支持流量管理和控制。?支持OS、入侵檢測庫、防病毒庫、內(nèi)容過濾庫等在線升級。? 支持標準日志記錄和審計。? 支持標準聯(lián)動協(xié)議，可以與入侵檢測系統(tǒng)、網(wǎng)絡防病毒系統(tǒng)、信息審計系 統(tǒng)、認證系統(tǒng)、 VPN 設備、日志服務器等進行聯(lián)動。2、防火墻主要功能和技術要求如下：?采用網(wǎng)絡處理器(NetworkP

56、rocessor : NP)和專用集成電路(ASIC)架構。? 可以提供集中管理，通過集中的日志記錄、警報、報告和策略配置簡化網(wǎng)絡安全的管理。?支持路由、網(wǎng)絡地址轉換(NAT )和透明模式等。? 支持內(nèi)置認證數(shù)據(jù)庫認證、支持 Radius 服務器認證。? 支持策略路由。? 防火墻本身應具有較強的抗攻擊能力。? 支持靜態(tài)地址轉換、動態(tài)地址轉換、端口轉換、反向 IP 映射、雙向地址轉? 支持流量管理和控制。? 支持標準日志記錄和審計。? 支持標準聯(lián)動協(xié)議，可以與入侵檢測系統(tǒng)、網(wǎng)絡防病毒系統(tǒng)、信息審計系 統(tǒng)、認證系統(tǒng)、 VPN 設備、日志服務器等進行聯(lián)動。7XX 電力信息網(wǎng)網(wǎng)絡防病毒方案7.1 XX 電力防病毒軟件應用現(xiàn)狀 公司系統(tǒng)現(xiàn)有的防病毒系統(tǒng)主要目的是保護辦公系統(tǒng)。郵件服務器采用 Domino Notes 系統(tǒng)，運行于 Windows 2000 Server 系統(tǒng)平臺。各單位局域網(wǎng)已經(jīng)部署的防病毒軟件包括:? 賽門鐵克 (Symantec) 公司防病毒產(chǎn)品? 趨勢 (TrendMicro) 公司防病毒產(chǎn)品? 瑞星公司防病毒產(chǎn)品其中以 Symantec 和 TrendMicro 產(chǎn)品