電力行業(yè)集團(tuán)公司信息系統(tǒng)等級保護(hù)建設(shè)方案

山東省電力集團(tuán)公司信息

系統(tǒng)等級愛護(hù)建設(shè)方案

國家電網(wǎng)公司信息網(wǎng)絡(luò)安全實驗室

INFORMATION&NETWORKSECURITYLABORATORYOFSTATEGRIDCOPORATIONOFCHINA

國網(wǎng)電力科學(xué)研究院

STATEGRIDELECTRICPOWERRESEARCHINSTITUTE

二零零九年八月

版權(quán)聲明

本文中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、

過程等內(nèi)容,除另有特殊注明,版權(quán)均屬國網(wǎng)電力科學(xué)探討院/國

網(wǎng)信息網(wǎng)絡(luò)平安試驗室和山東省電力集團(tuán)公司全部,受到有關(guān)產(chǎn)權(quán)

與版權(quán)法愛護(hù)。任何個人、機(jī)構(gòu)未經(jīng)國網(wǎng)電力科學(xué)探討院/國網(wǎng)信

息網(wǎng)絡(luò)平安試驗室和山東省電力集團(tuán)公司的書面授權(quán)許可,不得以

任何方式復(fù)制或引用本文的任何片斷。

文檔信息

文檔名稱山東省電力集團(tuán)公司信息系統(tǒng)等級愛護(hù)建設(shè)方案

文檔管理編號INSL-SDDL-BLT-2009-FA

保密級別商密文檔版本號V3.0

制作人郭騫制作日期2009年6月

復(fù)審人余勇復(fù)審日期2009年6月

國家電網(wǎng)公司信息網(wǎng)絡(luò)平安試驗室

擴(kuò)散范圍

山東省電力集團(tuán)公司

擴(kuò)散批準(zhǔn)人林為民

版本變更記錄

時間版本說明修改人

2009-8VI.0創(chuàng)建文檔郭騫

2009-8V2.0修改文檔俞庚申

2009-8V3.0文檔復(fù)審定稿余勇

適用性聲明

本報告由國網(wǎng)電力科學(xué)探討院/國網(wǎng)信息網(wǎng)絡(luò)平安試驗室撰

寫,適用于山東省電力集團(tuán)公司信息系統(tǒng)等級愛護(hù)項目。

目錄

1.項目概述................................................1

1.1目標(biāo)與范圍........................................1

1.2方案設(shè)計.........................................2

1.3參照標(biāo)準(zhǔn).........................................2

2.建設(shè)總目標(biāo).............................................2

2.1等級愛持建設(shè)總體目標(biāo).............................2

3.平安域與網(wǎng)絡(luò)邊界防護(hù)...................................3

3.1信息網(wǎng)絡(luò)現(xiàn)狀.....................................3

3.2平安域劃分方法...................................4

3.3平安域邊界........................................5

二級系統(tǒng)邊界..................................5

三級系統(tǒng)邊界..................................6

3.4平安域的實現(xiàn)形式.................................7

3.5平安域劃分與邊界防護(hù).............................8

平安域的劃分..................................8

4.信息平安管理建設(shè)......................................12

4.1建設(shè)目標(biāo).........................................12

5.二級系統(tǒng)域建設(shè).........................................13

5.1概述與建設(shè)目標(biāo)...................................13

5.2網(wǎng)絡(luò)平安.........................................14

網(wǎng)絡(luò)平安建設(shè)目標(biāo).............................14

地市公司建設(shè)方案.............................14

5.3主機(jī)平安.........................................20

主機(jī)平安建設(shè)目標(biāo).............................20

主機(jī)身份鑒別.................................21

訪問限制.....................................25

平安審計........................................27

入侵防范........................................30

惡意代碼防范...................................32

資源限制........................................33

5.4應(yīng)用平安...........................................35

應(yīng)用平安建設(shè)目標(biāo)...............................35

身份鑒別........................................36

平安審計........................................36

通信完整性、通信保密性.........................37

資源限制........................................38

5.5數(shù)據(jù)平安與備份復(fù)原.................................39

數(shù)據(jù)平安與備份復(fù)原建設(shè)目標(biāo).....................39

數(shù)據(jù)完整性、數(shù)據(jù)保密性.........................39

6.三級系統(tǒng)域建設(shè)............................................41

6.1概述與建設(shè)目標(biāo).....................................41

6.2物理平安...........................................41

物理平安建設(shè)目標(biāo)...............................41

機(jī)房感應(yīng)雷防護(hù)措施.............................42

物理訪問限制...................................42

防盜措施........................................43

防火措施........................................43

防水和防潮......................................44

電磁防護(hù)........................................44

6.3網(wǎng)絡(luò)平安建設(shè)方案...................................45

網(wǎng)絡(luò)平安建設(shè)目標(biāo)...............................46

建設(shè)方案........................................46

6.4主機(jī)平安...........................................53

主機(jī)平安建設(shè)目標(biāo)...............................53

主機(jī)身份鑒別...................................53

訪問限制........................................57

平安審計........................................60

剩余信息愛護(hù)...................................63

入侵防范........................................64

惡意代碼防范...................................67

資源限制........................................68

6.5應(yīng)用平安...........................................69

應(yīng)用平安建設(shè)目標(biāo)...............................69

身份鑒別........................................70

訪問限制........................................71

平安審計........................................72

剩余信息愛護(hù)...................................74

通信完整性、通信保密性、抗抵賴................74

資源限制........................................76

6.6數(shù)據(jù)平安與備份復(fù)原................................77

數(shù)據(jù)平安與備份復(fù)原建設(shè)目標(biāo).....................77

數(shù)據(jù)完整性、數(shù)據(jù)保密性.........................77

備份和復(fù)原......................................79

1.項目概述

依據(jù)國家電網(wǎng)公司《關(guān)于信息平安等級愛護(hù)建設(shè)的實施指導(dǎo)看法

（信息運(yùn)安（2009）27號）》和山東省電力集團(tuán)公司對等級愛護(hù)相關(guān)

工作提出的要求，落實等級愛護(hù)各項任務(wù)，提高山東省電力集團(tuán)公司

信息系統(tǒng)平安防護(hù)實力，特制定本方案c

1.1目標(biāo)與范圍

公司為了落實和貫徹公安部、國家保密局、國家密碼管理局、電

監(jiān)會等國家有關(guān)部門信息平安等級愛護(hù)工作要求，全面完善公司信息

平安防護(hù)體系，落實公司“雙網(wǎng)雙機(jī)、分區(qū)分域、等級防護(hù)、多層防

衛(wèi)”的平安防護(hù)策略，確保等級愛護(hù)工作在各單位的順當(dāng)實施，提高

公司整體信息平安防護(hù)水平，開展等級愛護(hù)建設(shè)工作。

前期在省公司與地市公司開展等級愛護(hù)符合性測評工作，對地市

公司進(jìn)行測評調(diào)研工作，范圍涵蓋內(nèi)網(wǎng)門戶、外網(wǎng)門戶、財務(wù)管理系

統(tǒng)、營銷管理系統(tǒng)、電力市場交易系統(tǒng)、生產(chǎn)管理信息系統(tǒng)、協(xié)同辦

公系統(tǒng)、人力資源管理系統(tǒng)、物資管理系統(tǒng)、項目管理系統(tǒng)、郵件系

統(tǒng)、公司廣域網(wǎng)SGInet、管理制度這13個業(yè)務(wù)系統(tǒng)分類，分析測評

結(jié)果與等級愛護(hù)要求之間的差距，提出本的平安建設(shè)方案。

本方案主要遵循GB/T22239-2008《信息平安技術(shù)信息平安等級

愛護(hù)基本要求》、《信息平安等級愛護(hù)管理方法》（公通字[2007]43號）、

《信息平安技術(shù)信息平安風(fēng)險評估規(guī)范》（GB/T20984-2007）,《國

家電網(wǎng)公司信息化“SG186”工程平安防護(hù)總體方案》、IS0/IEC27001

信息平安管理體系標(biāo)準(zhǔn)和IS0/IEC13335信息平安管理標(biāo)準(zhǔn)等。

實施的范圍包括：省公司本部、各地市公司。

通過本方案的建設(shè)實施，進(jìn)一步提高信息系統(tǒng)等級愛護(hù)符合性要

求，將整個信息系統(tǒng)的平安狀況提升到一個較高的水平，并盡可能地

消退或降低信息系統(tǒng)的平安風(fēng)險。

1.2方案設(shè)計

依據(jù)等級愛護(hù)前期測評結(jié)果，省公司本部與各地市公司信息系統(tǒng)

存在的漏洞、弱點提出相關(guān)的整改看法，并最終形成平安解決方案。

1.3參照標(biāo)準(zhǔn)

GB/T22239-2008《信息平安技術(shù)信息平安等級愛護(hù)基本要求》

《信息平安等級愛護(hù)管理方法》（公通字[2007]43號）

《信息平安技術(shù)信息平安風(fēng)險評估規(guī)范》（GB/T20984-2007）

《國家電網(wǎng)公司信息化“SG186”工程平安防護(hù)總體方案》

1SO/IEC27001信息平安管理體系標(biāo)準(zhǔn)

IS0/IEC13335信息平安管理標(biāo)準(zhǔn)

《國家電網(wǎng)公司“SG186”工程信息系統(tǒng)平安等級愛護(hù)驗收測評

要求（征求看法稿）》

《國家電網(wǎng)公司信息機(jī)房設(shè)計與建設(shè)規(guī)范》

《國家電網(wǎng)公司信息系統(tǒng)口令管理規(guī)定》

GB50057-94《建筑防雷設(shè)計規(guī)范》

《國家電網(wǎng)公司應(yīng)用軟件通用平安要求》

2.建設(shè)總目標(biāo)

2.1等級愛護(hù)建設(shè)總體目標(biāo)

綜合考慮省公司現(xiàn)有的平安防護(hù)措施，針對與《信息平安技術(shù)信

息系統(tǒng)平安等級愛護(hù)基本要求》間存在的差異，整改信息系統(tǒng)中存在

的問題，使省公司與地市公司信息系統(tǒng)滿意《信息平安技術(shù)信息系統(tǒng)

平安等級愛護(hù)基木要求》中不同等級的防護(hù)要求，順當(dāng)通過國家電網(wǎng)

公司或公安部等級愛護(hù)建設(shè)測評。

3.平安域與網(wǎng)絡(luò)邊界防護(hù)

依據(jù)GB/T22239-2008《信息平安技術(shù)信息平安等級愛護(hù)基本要

求》、《國家電網(wǎng)公司信息化“SG186”工程平安防護(hù)總體方案》與《國

家電網(wǎng)公司“SG186"T程信息系統(tǒng)平安等級愛護(hù)驗收測評要求（征

求看法稿）》的要求，省公司與地市公司信息系統(tǒng)依據(jù)業(yè)務(wù)系統(tǒng)定級,

依據(jù)不同級別愛護(hù)需求，按要求劃分平安區(qū)域進(jìn)行分級愛護(hù)。因此，

平安域劃分是進(jìn)行信息平安等級愛護(hù)建設(shè)的首要步驟。

3.1信息網(wǎng)絡(luò)現(xiàn)狀

山東省電力集團(tuán)公司各地市信息內(nèi)網(wǎng)拓?fù)涞湫徒Y(jié)構(gòu);

圖：典型信息網(wǎng)絡(luò)現(xiàn)狀

主要問題:

?各平安域之間缺乏有效的限制措施不能夠保障業(yè)務(wù)系統(tǒng)平

安、獨立運(yùn)行，不受其他業(yè)務(wù)系統(tǒng)的影響。

依據(jù)GB/T22239-2008《信息平安技術(shù)信息平安等級愛護(hù)基本要

求》和《國家電網(wǎng)公司信息化“SG186”工程平安防護(hù)總體方案》的

建設(shè)要求，省公司和各地市信息網(wǎng)絡(luò)平安域需依據(jù)業(yè)務(wù)系統(tǒng)等級進(jìn)行

重新劃分。

3.2平安域劃分方法

依據(jù)國家電網(wǎng)公司平安分區(qū)、分級、分域與分層防護(hù)的原則，管

理信息大區(qū)依據(jù)雙網(wǎng)隔離方案又分為信息內(nèi)網(wǎng)與信息外網(wǎng)。本方案主

要針對公司信息系統(tǒng)進(jìn)行等級愛護(hù)建設(shè)。在進(jìn)行平安防護(hù)建設(shè)之前，

首先實現(xiàn)對信息系統(tǒng)的平安域劃分。

依據(jù)SG186總體方案中“二級系統(tǒng)統(tǒng)一成域，三級系統(tǒng)獨立分

域”的要求，結(jié)合省公司MPLSVPN現(xiàn)狀，采納縱向MPLSVPN結(jié)合

VLAN劃分的方法，將全省信息系統(tǒng)分為：

信息內(nèi)網(wǎng)區(qū)域可分為：

?電力市場交易系統(tǒng)MPLSVPN（或相應(yīng)縱向通道）：包含省公

司電力市場交易應(yīng)用服務(wù)器VLAN、省公司電力市場交易辦公

終端；

?財務(wù)管理系統(tǒng)MPLSVPN（或相應(yīng)縱向通道）：包含省公司財

務(wù)管理系統(tǒng)VLAN、省公司財務(wù)辦公終端VLAN、各地市財務(wù)辦

公終端VLAN（13個）；

?營銷管理系統(tǒng)MPLSVPN（或相應(yīng)縱向通道）：省公司營銷系

統(tǒng)VLAN、省公司營銷辦公終端VLAN、各地市營銷系統(tǒng)VLAN

（13個）、各地市營銷辦公終端VLAN（13個）

?二級系統(tǒng)MPLSVPN（或相應(yīng)縱向通道）（二級系統(tǒng)包括：內(nèi)

部門戶（網(wǎng)站）、生產(chǎn)管理信息系統(tǒng)、協(xié)同辦公系統(tǒng)、人力資

源管理系統(tǒng)、物資管理系統(tǒng)、項目管理系統(tǒng)和郵件系統(tǒng)）：

?公共服務(wù)MPLSVPN（或相應(yīng)縱向通道）：包含DNS、FTP等全

省須要訪問的公共服務(wù)

?信息內(nèi)網(wǎng)桌面終端域

信息外網(wǎng)區(qū)的系統(tǒng)可分為：

?電力市場交易系統(tǒng)域

?營銷管理系統(tǒng)域（95598）

?外網(wǎng)二級系統(tǒng)域（外網(wǎng)門戶等）

?信息外網(wǎng)桌面終端域

平安域的具體實現(xiàn)采納物理防火墻隔離、虛擬防火墻隔離或Vian

隔離等形式進(jìn)行平安域劃分。

3.3平安域邊界

3.3.1二級系統(tǒng)邊界

?二級系統(tǒng)域存在的邊界如下表:

邊界類型邊界描述

第二方網(wǎng)絡(luò)邊界Internet邊界

省公司與華北電網(wǎng)公司間、省公司與其地市

縱向網(wǎng)絡(luò)邊界

公司之間

在信息內(nèi)外網(wǎng)區(qū)與桌面終端域的邊界

在信息內(nèi)外網(wǎng)區(qū)與基礎(chǔ)系統(tǒng)域的邊界

橫向域間邊界與財務(wù)系統(tǒng)域之間的邊界

與電力市場交易系統(tǒng)域的邊界

與營銷管理系統(tǒng)域間的邊界

?二級系統(tǒng)域的網(wǎng)絡(luò)邊界拓?fù)涫疽鈭D如下:

3.3.2三級系統(tǒng)邊界

財務(wù)管理系統(tǒng)、電力市場交易系統(tǒng)和營銷系統(tǒng)均涉與信息內(nèi)網(wǎng)與

銀行聯(lián)網(wǎng)存在第三方網(wǎng)絡(luò)邊界接口、省公司與地市公司之間網(wǎng)絡(luò)邊界

接口、信息內(nèi)網(wǎng)橫向域間其它二級系統(tǒng)域間接口，電力市場交易系統(tǒng)

還涉與信息外網(wǎng)與Internet存在第三方網(wǎng)絡(luò)邊界接口。

?三級系統(tǒng)域存在的邊界如下表：

邊界類型邊界描述

與Inteimet互聯(lián)網(wǎng)的邊界，實現(xiàn)：

公共服務(wù)通道（邊遠(yuǎn)站所、移動服務(wù)、PDA現(xiàn)

場服務(wù)、居民集中抄表、負(fù)控終端采集、搶修

車輛GPS定位等）

信息外網(wǎng)第二方邊界

與其他社會代收機(jī)構(gòu)連接（VPN）

網(wǎng)上營業(yè)廳

短信服務(wù)

時鐘同步

銀企互聯(lián)邊界

信息內(nèi)網(wǎng)第三方邊界與其他社會代收機(jī)構(gòu)的邊界（專線連接）

公共服務(wù)通道（專線、GPRS、CDMA等）

縱向網(wǎng)絡(luò)邊界省公司與地市公司

與二級系統(tǒng)域間的邊界

與內(nèi)外網(wǎng)桌面終端域的邊界

橫向域間邊界

與內(nèi)外網(wǎng)基礎(chǔ)系統(tǒng)域的邊界

與其它三級域之間的邊界

?三級系統(tǒng)域的網(wǎng)絡(luò)邊界拓?fù)涫疽鈭D如下:

?力信?11s屋?

3.4平安域的實現(xiàn)形式

平安域?qū)崿F(xiàn)方式以劃分邏輯區(qū)域為主，旨在實現(xiàn)各平安區(qū)域的邏

輯劃分，明確邊界以對各平安域分別防護(hù)，并且進(jìn)行域間邊界限制，

平安域的實體呈現(xiàn)為一個或多個物理網(wǎng)段或邏輯網(wǎng)段的集合。對公司

信息系統(tǒng)平安域的劃分手段采納如下方式：

?防火墻平安隔離：采納雙接口或多接口防火墻進(jìn)行邊界隔離,

在每兩個平安域的邊界部署雙接口防火墻，或是采納多接口

防火墻的每個接口分別與不同的平安域連接以進(jìn)行訪問限

制。

?虛擬防火墻隔離：采納虛擬防火墻實現(xiàn)各平安域邊界隔離,

將一臺防火墻在邏輯上劃分成多臺虛擬的防火墻，每個虛擬

防火墻系統(tǒng)都可以被看成是一臺完全獨立的防火墻設(shè)備，可

擁有獨立的系統(tǒng)資源、管理員、平安策略、用戶認(rèn)證數(shù)據(jù)庫

等。在本方案實現(xiàn)中，可以為每個平安域建立獨立的虛擬防

火墻進(jìn)行邊界平安防護(hù)。

?三層交換機(jī)Vian隔離：采納三層交換機(jī)為各平安域劃分

Vian,采納交換機(jī)訪問限制列表或防火墻模塊進(jìn)行平安域間

訪問限制。

?二層交換機(jī)Vian隔離：在二層交換機(jī)上為各平安域劃分

Vian,采納Trunk與路由器或防火墻連接，在上聯(lián)的路由器

或防火墻上進(jìn)行訪問限制。

對于一個應(yīng)用的子系統(tǒng)跨越多個物理環(huán)境如設(shè)備機(jī)房所帶來的

分域問題，由于平安域為邏輯區(qū)域，可以將公司層面上的多個物理網(wǎng)

段或子網(wǎng)歸屬于同一平安域?qū)崿F(xiàn)平安域劃分。

3.5平安域劃分與邊界防護(hù)

3.5.1平安域的劃分

結(jié)合SG186總體方案中定義的“二級系統(tǒng)統(tǒng)一成域，三級系統(tǒng)獨

立分域”，在不進(jìn)行物理網(wǎng)絡(luò)調(diào)整的前提下，將財務(wù)系統(tǒng)和物資與項

目系統(tǒng)進(jìn)行分別，使三級財務(wù)系統(tǒng)獨立成域，二級系統(tǒng)物資和項目管

理歸并和其他二級系統(tǒng)統(tǒng)一成域，在VPN內(nèi)，建立ACL限制桌面終端

與服務(wù)器間的訪問，現(xiàn)將省公司信息系統(tǒng)邏輯平安域劃分如下：

圖：省公司內(nèi)網(wǎng)邏輯劃分圖

坤'力市場交易省公司

，茴錯服務(wù)唳財務(wù)服務(wù)*'、.二級系統(tǒng)安公共應(yīng)用

;眼備器'、、

/4__\全域（內(nèi)網(wǎng)服務(wù)安全

門戶、物域（DNS、

資、項目、車輛管理

營銷終端;財務(wù)終端;終端I生產(chǎn)等）等）

2_______:

電力市場交易

\MP【Svpy

營銷MPLSVPN財務(wù)MFLSVPN

地市公司

營銷服務(wù)器

二級系統(tǒng)安

全域（內(nèi)網(wǎng)

\財務(wù)終端/

0門戶、生產(chǎn)D圄

|\營錯終端;等）

U----J

圖：全省信息系統(tǒng)MPLSVPN平安域劃分邏輯圖

其他

應(yīng)用

服務(wù)

戶

網(wǎng)門

器外

服務(wù)

應(yīng)用

:0

交易

市場

［電力

外網(wǎng)

信息

0

服務(wù)

應(yīng)用

域

器區(qū)

95598

輯圖

劃分邏

平安域

息外網(wǎng)

圖：信

愛護(hù)

等級

，依據(jù)

方法

劃分

VLAN

結(jié)合

礎(chǔ)上

的基

VPN

MPLS

有的

在原

分。

域劃

平安

進(jìn)行

系統(tǒng)

信息

全省

求，對

案有

護(hù)方

體防

186總

網(wǎng)SG

與國

：

分別

進(jìn)行

系統(tǒng)

二級

統(tǒng)與

級系

1）三

項

資、

務(wù)、物

了財

部署

模式

集群

采納

型機(jī)

臺小

的三

區(qū)域

集成

集中

需

域，必

立成

要獨

統(tǒng)，應(yīng)