XX电网信息安全平台等级保护模块安全技术架构规划方案

XX 电网信息安全平台等级保护模块 安全技术架构规划方案 目 录 第 1 章 信息安全背景 105 1 1 综述 105 1 2XX 电网现状概况 105 第 2 章 XX 电网工作方法说明 107 2 1 工作方法流程 107 2 2 参考标准 109 2 3 工作方法参考 110 2 3 1 ESA 企业安全架构模型 110 2 3 2 企业安全架构技术方法 111 第 3 章 XX 电网安全技术目标 112 3 1 安全需求总结 112 3 1 1 技术风险需求 112 3 1 2 南方电网考核需求 115 3 1 3 国家等保需求 116 3 2 安全技术目标 116 3 3 安全技术架构设计原则 117 第 4 章 XX 电网安全技术功能服务组件框架 118 4 1 安全技术功能服务组件目录定义 118 4 2 安全技术功能服务组件定义 119 4 2 1 身份与信任管理目录 119 4 2 2 访问控制目录 123 4 2 3 信息流控制目录 125 4 2 4 完整性控制目录 129 4 2 5 安全审计管理目录 134 第 5 章 XX 电网安全技术功能服务组件部署设计 138 5 1 网络安全区域划分 138 5 1 1 省公司网络区域 140 5 1 2 地区供电局网络区域 142 5 2XX 电网安全技术部署设计 143 5 2 1 管理信息大区网络区域安全技术部署设计 143 5 2 2 省公司网络安全技术部署设计 145 5 2 3 地区网络安全技术部署设计 156 第 6 章 XX 电网安全技术建设规划 157 6 1 项目一 集中用户管理 身份认证及授权平台 157 6 1 1 安全现状 157 6 1 2 项目目标 157 6 1 3 项目范围 158 6 1 4 项目内容 158 6 1 5 平台接口要求 167 6 1 6 项目实施要点 171 6 1 7 项目周期和推进步骤 172 6 2 项目二 终端安全管理及域管理 173 6 2 1 安全现状 173 6 2 2 项目目标 174 6 2 3 项目范围 174 6 2 4 项目内容 174 6 2 5 项目实施要点 191 6 2 6 项目周期和推进步骤 192 6 3 项目三 网络安全优化 193 6 3 1 安全现状 193 6 3 2 项目目标 193 6 3 3 项目范围 193 6 3 4 项目内容 193 6 3 5 项目实施要点 211 6 3 6 项目周期与推进步骤 211 6 4 项目四 应用安全改进 212 6 4 1 安全现状 212 6 4 2 项目目标 213 6 4 3 项目范围 213 6 4 4 项目内容 213 6 4 5 项目实施要点 219 6 4 6 项目实施规划 219 6 5 项目五 主机及设备安全 220 6 5 1 安全现状 220 6 5 2 项目目标 221 6 5 3 项目范围 221 6 5 4 项目内容 222 6 5 5 项目实施要点 228 6 5 6 项目周期和推进步骤 228 6 6 项目六 统一安全事件与日志监控中心 230 6 6 1 项目目标 230 6 6 2 项目范围 231 6 6 3 项目内容 231 6 6 4 项目实施要点 249 6 6 5 项目周期和推进步骤 249 6 7 项目七 电子文档安全 251 6 7 1 项目目标 251 6 7 2 项目范围 252 6 7 3 项目内容 252 6 7 4 项目实施要点 253 6 7 5 项目周期和推进步骤 254 6 8 项目八 安全策略体系完善与推广 254 6 8 1 项目目标 254 6 8 2 项目内容 255 6 8 3 项目周期和推 进步骤 256 第 1 章 信息安全背景 1 1 综述 XX 电网公司 以下简称 XX 电网 是 中 国 南 方 电 网 有 限 责 任 公 司 以 下 简 称 南 方 电 网 下 属 的 全 资 子 公 司 负责 XX 省内的电网规划 建设 运行 管理和电力销售 公司直属单位 22 个 并对全省 88 个县 市 区 供电 电力 局 公 司 进 行 直 管 或 代 管 XX 电 网 深入践 行 南 方 电 网 方 略 立 足 于 XX 水 火 互 济 的 能 源 优 势 依 托 南 方 电 网 一 体 化 平 台 着 眼 于 省 内 外 电 力 市 场 发 展 前 景 努 力 实 施 西 电 东 送 战 略 以 提 高 供 电 可 靠 率 为 总 抓 手 以 创 先 为 载 体 促 增 长 抓 建 设 强 基 础 做 强 做 优 实 现 科 学 发 展 随着业务对信息系统的依赖性越来越高 XX 电网 IT 的有序管理与运维将成为业务有序 运行的前提 因此 XX 电网信息安全着眼于 确保国民经济发展 确保社会和谐稳定 确保南方电网的 对中央负责 为南方五省区服务 宗旨的实现 确保 XX 电网信息化对公司生产 经营 服务及企业管理与决策的支撑 为实现上述目标 在技术建设方面 项目组参考 ISO15408 CC 等保等相关标准 以 及 IBM 的企业信息安全框架模型 ESA 企业安全技术架构方法 MASS 制定 XX 电网信 息安全技术体系规划 满足未来 5 年 XX 电网信息安全技术需求 1 2XX 电网现状概况 信息系统建设现状概况 XX 电网的信息化建设在 XX 电网十一五信息发展规划 XX 电网信息安全咨询规划 的指导下 完全遵循 统一领导 统一规划 统一标准 统一组织开发 的四统一原则有序 进行 目前 XX 电网已经实现四统一建设的信息系统共 17 个 涵盖了生产 营销 财务 人事等八大主营业务 覆盖了公司及所属供电局和综合单位共计 23 家单位 信息系统的在 线运行 支撑了企业的生产 经营 服务及管理过程 信息安全现状概况 XX 电网在信息安全方面做了大量的工作 先后部署了 IT 资源管理系统 网络防病毒系 统 PKI CA 系统 网页防篡改系统 上网行为管理系统等多种技术手段 并实现了 XX 电 网统一互联网出口 具备了较为完善安全防护能力 伴随着我国电力需求的高速发展 电力信息化建设也进入了快速发展阶段 国家 企业 对信息安全的要求不断提高 XX 电网已有的信息安全技术手段不能满足信息安全技术不断 发展的要求 主要体现在信息安全基础设施缺乏系统化优化整合 信息安全管理自动化水平 存在差距 网络信息安全监管缺乏完整的技术手段 第 2 章 XX 电网工作方法说明 项目组参考了 ISO15408 等国际安全标准 进行了安全技术架构规划 总体工作思路如下 图所示 具有三个要点 统一遵循企业信息安全架构模型 ESA 采用成熟的架构化方法来规划 XX 电网的安 全技术架构 基于 IBM 的规范化的架构规划方法 MASS 根据企业的业务需求来确定所需具备 的信息安全技术能力 完成安全技术功能服务组件框架定义与部署设计 在安全技术功能服务组件定义和服务组件运行部署设计确定的基础上 根据 XX 电网 的安全技术现状 提出 5 年的安全建设规划 Product 安全 标准 目 标与 原 则 流 程 作 业指 南 架 构 产 品建 议 安全 标准 架 构 化方 法 规 划 Method for Architecting Secure Solution MASS 核 心 层 互联网接 入 防 火 墙 运 行 管 理 区 防火墙 I n t e r n e t D M Z 区 防 火 墙 第三方接 入 银行 防 火 墙 D C 数 据 中 心 防火墙 防 火 墙 第三方 D M Z 区 运营商 防 火 墙 D M Z 区 防火墙 防 火 墙 调通局 I I 区 调度 数据 网 综 合 数 据 网 广 域 网 防火墙 调通局 D M Z 综 合 单 位 接 入 防火墙 省 办 公 区 防火墙 隔离 设施 防 病 毒 控 制 台 统 一 用 户 管 理 企 业 用 户 目 录 数 据 证 书 集 中 身 份 认 证 访 问 授 权 准 入 控 制 桌 面 管 理 统 一 事 件 管 理 日 志 审 计 操 作 审 计 入侵检 测防护 远 程 安 全 接 入 网 页 防 篡 改 入侵检 测防护 网 页 防 篡 改 入侵检 测防护 入侵检 测防护 安 全 符 合 性 检 查 A g e n t 安 全 评 估 入侵检测 防护 信息流内容 检测过滤 日 志 审 计 服 务 A g e n t 日 志 审 计 服 务 A g e n t 入侵检测 防护 入侵检测 防护 信 息 防 泄 漏 安 全 评 估 安 全 评 估 拒绝服 务攻击 安 全 符 合 性 检 查 桌 面 管 理 A g e n t 准 入 控 制 A g e n t 防 病 毒 A g e n t 日 志 审 计 服 务 A g e n t 日 志 审 计 服 务 A g e n t 日 志 审 计 服 务 A g e n t 日 志 审 计 服 务 A g e n t 日 志 审 计 服 务 A g e n t 日 志 审 计 服 务 A g e n t 桌 面 管 理 A g e n t 准 入 控 制 A g e n t 防 病 毒 A g e n t 防 病 毒 A g e n t 桌 面 管 理 A g e n t 准 入 控 制 A g e n t 准 入 控 制 A g e n t 准 入 控 制 A g e n t 补 丁 更 新 信息流 内容检 测过滤 信息流 内容检 测过滤 12345678910234567891023456789102345678910234567891021集 中 用 户 管 理 身份 认 证 及 授 权2终 端 安 全 管 理 及 域管 理3网 络 安 全 优 化4应 用 安 全5主 机 及 设 备 安 全6统 一 事 件 管 理 平 台7电 子 文 档 安 全8安 全 策 略 体 系 完 善与 推 广序 号 技 术 项 目 名 称 省公司 地 市 省 公 司 试 点 地 市 推 广试 点 小 规 模 推 广 全 面 推 广试 点 小 规 模 推 广 全 面 推 广试点 试点 地 市推 广 试 点 推 广完 善 与推 广 图 2 1 安全技术架构规划总体工作思路 2 1 工作方法流程 本项目采用的信息安全技术体系架构规划方法如图 2 2 所示 图 2 2 信息安全技术体系架构规划方法图 如图 2 3 所示 本项目工作流程由六个步骤组成 分别是安全需求梳理 安全技术架构 功能服务组件框架确定 网络安全域确定 安全技术功能服务组件运行部署 安全技术建设 项目规划和安全技术建设阶段规划 图 2 3 工作方法流程图 步骤一 安全需求梳理 在本项目中 我们将从近期 XX 电网信息安全技术风险需求 安 全管理策略需求 南方电网公司考核需求 国家等保需求等角度来总结和梳理信息安全 技术建设的要求 并在此基础上总结安全技术目标和安全技术架构设计原则 步骤二 安全技术架构功能服务组件框架 静态模型 在步骤一工作的基础上 制定 XX 电网的安全技术架构功能框架 它由一系列的安全技术功能服务组件所构成 每个安全 技术功能服务组件的选择都是基于信息安全技术建设的需求 这些安全技术功能服务组 件的实现 能够形成独立安全服务平台 用于实现 XX 电网的安全技术目标 步骤三 网络安全域梳理 步骤二确定了安全技术功能服务组件的静态模型 在此基础 上 步骤三需要对 XX 电网的网络部署环境进行安全域梳理 为安全技术功能服务组件 在网络环境中的动态运行部署打下基础 步骤四 运行部署设计 动态模型 步骤四是为了确立安全技术功能服务组件在 XX 电 网网络环境下的动态运行部署 在步骤三网络安全域梳理的基础上 根据每个安全域的 风险点分析 提出安全防范要点 明确安全技术功能服务组件在不同安全域的运行部署 要求 步骤五 安全技术建设项目规划 总结 XX 电网的安全技术体系建设规划的工作重点 定 义安全技术建设项目 每个识别出 XX 电网需要进行建设的安全技术项目 都是为了建 设 XX 电网的安全技术服务平台 通过一系列项目建设来实现 XX 电网安全技术架构的构 建 步骤六 安全技术建设阶段规划 在每个安全技术项目定义明确的基础上 分析每个项 目建设的轻重缓急 整理出符合 XX 电网实际的安全建设阶段划分 为今后 5 年的信息 安全技术建设规划提供建议 2 2 参考标准 ISO IEC 15408 信息技术 安全技术 信息技术安全性评估准则 简称 CC 国际标准 化组织在现有多种评估准则的基础上 统一形成的 2001 年 我国将 ISO IEC15408 直接引 入为国家标准 命名为 GB T18336 ISO IEC 27001 信息技术 安全技术 信息安全管理体系 要求 ISO IEC 27002 信 息技术 安全技术 信息安全管理实用规则 2 3 工作方法参考 2 3 1 ESA 企业安全架构模型 下图是 IBM 的 ESA 企业安全架构模型 该模型首先要求根据企业的发展目标和业务 特点 制定企业的信息安全目标与建设原则 从而保证信息安全策略与业务需求是一致的 随即根据信息安全目标和原则 制定企业的信息安全方针 方针承上启下 为后续的体系规 划明确方向 在明确信息安全建设目标和方针的基础上 两条腿走路 建立信息安全管理体 系和信息安全技术体系 Security Principle 安 全 目 标 与 原 则 描 述 信 息 安 全 的 业 务 需 求 价 值 并 描 述 信 息 安 全 建 设的 基 本 原 则Security Policy 安 全 方 针 将 信 息 安 全 的 目 标 具 体 到 多 个 方 面 为 后 续 建 设 提 供指 导 Security Standr 安 全 标 准 信 息 安 全 实 施 规 则 包 括 技 术 方 法 及 其 它 细 节Security Proces 安 全 流 程 于 跨 部 门 实 施 政 策 标 准 的 活 动 工 作 及 程 序Security Procedurs 安 全 作 业 指 南 描 述 个 人 在 流 程 上 的 详 细 工 作Security Architectur 安 全 架 构 信 息 安 全 技 术 如 何 结 合Security Products 安 全 产 品 信 息 安 全 解 决 方 案 所 选 的 产 品 及 工 具 信 息 安 全 流 程信 息 安 全 作 业 程 序 信 息 安 全 架 构信 息 安 全 产 品 建 议 信 息 安 全 政 策信 息 安 全 原 则信息安全标准 图 2 4 IBM 企业信息安全架构模型 ESA ESA 的优点如下 ESA 在企业全方位考虑安全防务 确保企业的安全策略与业务需求的一致性 在企业内确保一致安全方案 按照安全参考模式 成熟的方案 提供功能 少走弯 路 通过共享安全架构的部件 达到方案实施费用的减少 避免重复投资 通过共享安全架构的部件 达到方案实施时间的减少 2 3 2 企业安全架构技术方法 企业安全架构方法论 Method for Architecting Secure Solution MASS 的目的在于帮助 安全咨询顾问和架构师在复杂的环境中设计满足安全需求的 全面的企业安全技术架构 因 此 在本次项目中 项目组将使用该方法论 规划 XX 电网信息安全技术架构 MASS 方法论对 ISO IEC 15408 2 通用规范 Common Criteria 进行提炼 总结出易于 管理的五个安全域 覆盖了企业所有安全技术需求 在本项目中 利用这些安全域为 XX 电 网搭建安全架构 这五个安全域是身份与信任管理 访问控制 信息流控制 完整性管理 安全审计管理 图 2 5 展示了 MASS 的安全域组成关系 它们相互依存并分别运作 共同构成一个完整 全面和与企业业务需求紧密相关的安全架构 图 2 5 MASS 安全域组成关系 第 3 章 XX 电网安全技术目标 通过现状需求梳理及分析 形成 XX 电网安全技术目标和安全技术架构设计原则 3 1 安全需求总结 为了全面掌握 XX 电网的安全技术需求 我们从 XX 电网信息安全技术风险需求 安全管 理策略需求 南方电网公司考核需求 国家等保需求等多个方面来总结和梳理信息安全技术 建设的要求 3 1 1 技术风险需求 安全技术风险需求 主要依据 XX 电网安全技术风险评估发现的风险现状 我们对近期 关键的安全技术风险评估报告结果分析总结 形成 XX 电网技术风险需求 如下为国家测评 中心对 XX 电网进行评估输出的风险评估报告内容 图 3 1 风险等级分布 安全弱点前 10 排名列表 标识 脆弱性 等级 V34 应用系统存在 SQL 注入安全漏洞 校验机制不足存在的文件上传 登录用户弱口 令等安全漏洞 导致应用系统面临的安全风险较大 5 V35 软件自身存在的安全隐患最终导致应用系统可被轻易渗透 5 V36 部分工作人员安全意识不强 以及用户名 密码在系统之间的通用性 都为应用 系统的安全运行埋下了隐患 5 V24 数据库存在较多默认账户名和默认密码 5 V2 数据库补丁未及时更新 存在多种类型的安全漏洞 5 V20 没有采用加密或其他保护措施实现鉴别信息的存储保密性 5 V15 操作系统存在严重的操作系统和应用软件漏洞 5 V10 防火墙策略控制粒度较粗 5 V2 对外出口过多 边界防护策略统一难度较大 4 V32 客户端防病毒软件病毒库更新不够及时或存在管理盲区 4 根据对评估结果以及 XX 电网现状的分析和核实 安全技术风险总结如下 1 主机系统安全需求 通过评估发现主机系统存在较多的安全漏洞 如补丁不全 缺 乏账号与口令策略 未进行安全配置等 安全技术体系需全面提高各主机系统安全性 以保 障业务系统支撑平台自身的信息安全 2 网络安全需求 网络未进行安全区域划分 区域内部的缺乏安全控制策略 网络安 全防护措施尚未完善 网络安全建设需实现网络信息安全事件的全方面控制 3 应用系统安全需求 应用系统用户账号管理 认证 授权 审计等均缺乏相应的技 术支持 同时 通过风险评估与渗透测试发现部分应用系统存在漏洞 并能成功入侵 应用 安全需解决当前各应用系统存在的安全问题 并为应用系统运行与管理提供方便 结合南方 电网要求 逐步实现应用系统的集中用户 身份认证和授权管理 为应用系统统一 集中管 理提供基础 4 数据库需求 数据库账号及数据库管理账号无法进行有效监控与管理 审计 需建 立数据安全管理与审计系统 提高对数据库系统的安全 5 终端安全需求 缺乏桌面安全管理 准入控制机制 补丁管理和 AD 域管理 安全 技术体系需建立终端安全机制 提高终端安全防护能力 6 安全事件管理与监控 当前 XX 电网还没有集中的安全事件监控与管理平台 导致安 全运维自动化程度不高 需建立统一的信息安全事件管理与监控平台 其功能包括安全事件 统一管理 审计统一审计等 3 1 1 1 管理策略需求 XX 电网提出了 建立健全信息安全体系 实现信息安全自主管理 自主执行的常态化机 制 的要求 针对下列信息安全管理策略需求 梳理并提出如下安全技术需求 安全管理策略需求 安全技术需求 设备安全 定义信息处理设施 并实施完整可控的管理授权过程 建立统一用户管理与授权管 理机制 定期评估 定期识别和评估XX电网面临的信息安全风险 并采取恰 当措施予以处理 加强安全弱点管理 全生命周期管理 做好信息系统生命周期各阶段的安全控制 加强安全基线管理 实施安 全符合性检查 恶意代码防护 防范病毒与各种恶意软件的入侵 持续完善防病毒机制 控制对内外部网络服务的访问 保护网络化服务的安全性与可靠性 防止重要信息泄漏 实施网络安全域划分 加强边界防护 网络安全管理 应对用户口令和权限进行严格管理 防止对系统的 非授权访问 建立统一的用户管理与授权 管理机制 安全事件管理 采取有效的安全事件管理机制 明确安全责任 建 立对信息安全事件的报告及响应流程 建立统一安全事件监测与管 理机制 监督与审核 建立有效的审核机制 加强对信息安全各项工作的监 督与审核 建立综合安全审计 机制 XX 电网安全技术体系围绕本信息安全管理策略进行规划 从技术方面支持 XX 电网信 息安全策略 有效保障安全策略的执行与落实 3 1 2 南方电网考核需求 南方电网考核需求 主要依据南方电网公司的安全工作指导意见和考核要求 南方电网为深入贯彻落实 关于加强中央企业信息化工作的指导意见 出台了关于信 息化工作评价的相关办法 其中关于信息安全防护水平的评价指标如下 信息安全防护水平评价指标 安全技术需求 二 统一的安全管理 制定总体安全防护体系框架 作为信 息安全工作开展的总体指导 并根 据总体要求开展信息安全工作 建立 XX 电网信息安全技术框架 从技术方面规范 与指导 XX 电网信息安全建设 三 信息安全风险评估 制定 网络与信息安全风险评估规范 并定期开展信息安全风险评估 制定 网络与信息安全风险评估规范 文档 并在 安全技术框架中 引入信息安全漏洞评估系统 为 信息安全风险评估提供条件与基础 有效支持公司 信息安全风险评估工作 四 信息安全等级保护 按照南方电网公司 信息系统安全等 级保护实施指南 信息系统安全等 级评测准则 文件 进行信息安全等 级防护 信息系统安全等级保护实施指南对信息安全技术保 护提出了具体的要求 信息安全技术体系规划中 须符合并满足保护要求 六 信息安全事件 I 类信息安全事件不得发生 II 级信息 安全事件不得超过 2 起 III 级信息 安全事件不得超过 4 起 不得发生隐瞒 缓报 谎报等情况 为有效对 XX 电网信息安全事件管理 建立全面 统一的安全事件管理系统 对内部信息安全进行集 中监控与处理 3 1 3 国家等保需求 国家等保需求 主要依据国家有关部门颁布的信息安全等级保护的要求 2003 年 国家信息化领导小组关于加强信息安全保障工作的意见 中办发 2003 27 号 明确指出 实行信息安全等级保护 抓紧建立信息安全等级保护制度 制定信息安全等级 保护的管理办法和技术指南 2004 年 9 月公安部会同国家保密局 国家密码管理局和国 务院信息办联合出台了 关于信息安全等级保护工作的实施意见 公通字 2004 66 号 明 确了信息安全等级保护制度的原则和基本内容 以及信息安全等级保护工作的职责分工 工 作实施的要求等 电监信息 2007 34 号 关于开展电力行业信息系统安全等级保护定级工作的通知 明 确 为贯彻落实公安部 国家保密局 国家密码管理局 国务院信息化工作办公室 关于印 发 的通知 公通字 2007 43 号 和 关于开展全国重要信 息系统安全等级保护定级工作的通知 公信安 2007 861 号 要求 提高电力行业网络 和信息系统的信息安全保护能力和水平 对在电力行业组织开展信息系统安全等级保护定级 工作 电网信息安全建设从业务需求建设已转向遵循相关法规与要求建设 为电网信息安全 建设提供的目标与要求 本信息安全技术体系规划 以遵从国家等保要求为出发点 结合 XX 电网实际情况进行 安安技术体系规划 安全技术体系达到 遵从性 适应性 有效性 3 2 安全技术目标 通过对 XX 电网安全需求的总结分析 我们明确安全技术架构规划的技术目标是对 XX 电 网重要的 IT 资源 包括信息数据 应用系统 主机系统 终端系统 网络系统 提供综合 化 体系化的安全防护 完善纵深防护的网络安全技术机制 提升 XX 电网网络安全防护能力 为应用系统运 行及数据传输提供安全保障 以应用安全风险为导向 加强应用系统安全防护能力 通过对应用安全改进 建设 用户账号与认证授权的统一管理 建设数据库 中间件 主机等支撑平台安全基线 管理 加强安全审计 降低应用系统的综合安全风险 实现对业务管理工作的有力 支持 加强桌面终端用户业务办公的安全保障机制 提高公司对桌面终端系统的安全控制 通过强化桌面终端安全管理 建设桌面终端的安全准入控制机制 加强终端信息数 据安全保护 为 XX 电网内部用户的业务办公提供安全环境 加强对公司信息资产的安全保护 形成事前防御 事中监控 事后追溯的安全机制 通过关键信息资产的安全弱点管理 信息安全事件的统一闭环管理 有效的提高安 全风险综合防范的能力 3 3 安全技术架构设计原则 在安全技术架构规划设计过程中 需要遵循以下的原则 统一性 安全技术手段的建设应综合分析公司整体安全需求 实现安全服务平台化 统一化 综合性 应从外到内 从点到面 从源头控制到事后恢复 进行综合性的整体预防与控制 先进性 具有前瞻性 考虑安全技术的发展趋势 满足业务未来发展的需求 合规性 符合国家信息安全保障体系的总体要求 符合电监会 南方电网公司等上级部门的 相关管理要求 可持续性 满足信息系统全生命周期管理的安全保障要求 为信息系统提供持续的安全保障 平衡性 安全技术的使用不能以影响业务系统正常运行 降低员工的工作效率为代价 安全技术规划要 考虑安全要求与业务要求平衡性 第 4 章 XX 电网安全技术功能服务组件框架 根据对 XX 电网信息安全技术需求的总结 参考 IBM 企业安全技术架构方法 提出 XX 电 网安全技术架构框架 安全技术架构框架覆盖了 XX 电网未来 5 年所需要的安全技术功能服 务组件 每个定义的安全技术功能服务组件 都能够形成独立安全服务平台 用于实现 XX 电网 的安全技术目标 安全技术功能服务组件框架同时也是 XX 电网的安全技术功能服务组件库 便于 XX 电网 的安全技术人员从组件库中选取所需的安全服务组件 以规范一致的方式来进行的安全技术 解决方案设计 身 份 与 信 任 管 理 访 问 控 制 信 息 流 控 制 完 整 性 集 中 用 户 管 理 统 一 用 户 目 录 数 字 证 书 服 务 集 中 身 份 认 证及 单 点 登 陆 访 问 授 权 服 务 终 端 准 入 控 制 入 侵 检 测 防 护 边 界 信 息 流 控 制 信 息 流 内 容检 测 过 滤 服 务 拒 绝 服 务 攻 击 防 护 安 全 审 计 管 理 统 一 安 全 事 件监 控 管 理 综 合 安 全 日 志 审 计 操 作 过 程 管 理 远 程 访 问 控 制 信 息 防 泄 露 防 病 毒 服 务 网 页 防 篡 改 安 全 技 术 功 能 服 务 组 件 架 构 桌 面 终 端 管 理 安 全 符 合 性 检 查 安 全 弱 点 管 理 可 用 性 保 障 服 务 图 4 1 安全技术功能服务组件框架 4 1 安全技术功能服务组件目录定义 与安全架构方法模型中的五个安全域相对应 定义了五个安全技术功能服务组件目录 分别是身份与信任管理目录 访问控制目录 信息流控制目录 完整性控制目录和安全审计 管理目录 以下是每个安全服务组件目录的定义 身份与信任管理目录 该目录定义了身份和信任管理方面的功能服务组件 它们能够对企业范围内的用户身份 的识别 验证进行管理控制 提供对用户身份和信任凭证生命周期的管理 在本目录中包含 的安全服务组件有集中用户管理 企业用户目录和数字证书服务 访问控制目录 该目录定义了对 IT 资源 包括网络资源 平台系统资源 应用系统资源 数据资源等 进行访问控制的功能服务组件 它们负责企业范围内的 IT 资源访问的管理控制 在本目录 中包含的安全服务组件有集中身份认证及单点登录 访问授权 终端准入控制 远程访问控 制 信息流控制目录 该目录定义了对网络信息流进行安全控制的功能服务组件 它们负责对企业范围内的信 息流进行把关控制 保证信息流的机密保护 完整准确和合理可达 在本目录中包含的安全 服务组件有入侵检测 防御 边界信息流控制 信息流内容检测过滤 拒绝服务攻击防护 完整性控制目录 该目录定义了保障 IT 实体 包括网络 平台系统 应用系统 数据等 完整性的功能服 务组件 它们负责对企业范围内 IT 实体正确 完整 可靠运行提供管理控制 在本目录中 包含的安全服务组件有网页防篡改 信息防泄露 防病毒服务 桌面终端管理 可用性保障 安全审计管理目录 该目录定义了对安全审计管理的功能服务组件 它们负责对企业范围内的 IT 安全事件进 行记录和监控 保证 IT 安全事件的可追溯和及时响应 在本目录中包含的安全服务组件有 统一安全事件监控管理 综合安全日志审计 操作过程审计 安全符合性检查和安全弱点管 理 4 2 安全技术功能服务组件定义 4 2 1 身份与信任管理目录 身份与信任管理目录包含以下的安全技术功能服务组件 身 份 与 信 任 管 理 集 中 用 户 管 理 企 业 用 户 目 录 数 字 证 书 服 务 每个安全技术功能服务组件的说明如下 4 2 1 1 统一用户管理服务 名称 版本 归属 统一用户管理服务 1 0 身份与信任管理 描述 统一用户管理服务能够为企业用户提供集中统一的用户账号管理 服务 管理企业用户使用各种企业 IT 系统时的用户账号 本服务有利 于降低用户管理的成本 有利于强化用户账号安全策略实施 关键服务 统一用户管理服务应该为 XX 电网信息系统提供以下的管理服务 组织管理 实现对 XX 电网组织结构的管理 使得企业能够按照 自身情况以部门或者地域进行组织结构的定义 管理内部用户在 XX 电网的组织结构的分布 账号管理 实现对 XX 电网所有内部用户自然人身份的主账号的 管理 包括创建 激活 中止 废除 修改和删除 以及主账号与用 户在目标 IT 系统的账号的关联同步管理 用户审批管理 实现对 XX 电网用户账号建立 变动的审批管理 角色管理 定义和管理在 XX 电网企业用户的工作岗位 角色 提 高企业用户管理的效率和灵活性 通过角色定义 可以将某类角色和 不同目标系统上的账号进行对应 实现基于角色的企业用户管理 基于角色的访问管理 通过角色定义 可以将某类角色和目标系 统上的资源进行对应 支持基于角色的访问授权 当前实施情况 目前 XX 电网未建立统一的企业用户管理机制 大多数应用系 统在账号管理方面采用了竖井式的建设 未使用统一的企业用户目录 独立管理自身的账号 4 2 1 2 企业用户目录服务 名称 版本 归属 企业用户目录服务 1 0 身份与信任管理 描述 企业用户目录管理能够为企业用户该提供集中的用户基础数据信 息管理和存储服务 关键服务 企业用户目录管理服务应该为 XX 电网信息系统提供以下的管理 服务 企业用户目录 实现将 XX 电网所有用户信息存储在企业用户目 录 企业用户目录设计需要反映出 XX 电网的组织结构 一般来讲 企业用户目录的设计应该具备高效处理的扁平结构 其中企业用户目 录中对用户的标识可以为员工工号 邮件地址 HR 系统中员工编号 等 信任凭证安全存储 实现所有用户的敏感的信任凭证信息的安全 存储 建议采用不可逆的加密算法实现对敏感的信任凭证的加密存储 目录整合与数据同步 实现 XX 电网企业用户目录的良好整合功 能 能够整合企业已有系统的非规范用户信息 实现与已有系统的用 户信息的同步 其中目录整合须建立企业用户目录系统与其他系统间 的用户信息对应关系 双方数据的同步接口将遵循该对应关系 实现 一次性或定期的数据同步 目录复制与恢复 实现企业用户目录的复制与恢复 有效保障用 户目录信息的高可用性 当前实施情况 目前 XX 电网没有统一的企业用户目录机制 4 2 1 3 数字证书服务 名称 版本 归属 数字证书服务 1 0 身份与信任管理 描述 数字证书服务是一种增强性的用户信任凭证服务 该服务提供企 业用户和应用的数字证书的管理和验证 关键服务 数字证书系统是加强 XX 电网应用安全的重要手段 需要采用可 靠的方式 实现联网应用用户的强身份鉴别和认证 支持网络应用的 信息传输保护 提高业务应用的抗抵赖性 数字证书服务应该为 XX 电网信息系统提供以下的管理服务 证书策略管理 根据企业的安全策略 设定数字证书的策略 使 得证书的管理满足企业的业务安全要求 证书申请 系统接受用户输入的信息并提供一系列证书模块 供 用户根据自己的需要选择并申请 系统验证用户信息 如果成功 系 统向用户返回下载证书所需的凭证 证书签发 根据证书策略 对于通过审核的证书申请 生成数字 证书 并将签发成功的证书发布到 LDAP 或企业用户目录中 证书下载 验证用户的下载凭证 对验证通过的用户 提供证书 下载服务 证书验证 向企业的用户或者应用提供统一的证书有效性验证 证书撤销 根据企业证书策略 对不安全的证书实行撤销 撤销 后证书将失效 证书更新 根据企业证书策略 对正在使用中的证书进行有效期 等更新 证书冻结 根据企业证书策略 可以对短期内不会使用的证书进 行冻结操作 在冻结期内证书被限定不可使用 被冻结的证书可通过 解冻操作恢复使用 证书解冻 相对于证书冻结操作 此功能将冻结的证书解冻 使 得证书可以重新使用 当前实施情况 目前 XX 电网的大部分应用系统已经实现与数字证书身份认证 系统的接口改造 初步实现了系统安全登录 下一步将不断强化数字 证书的应用 完全取消用户名 口令 统一采用数字证书登录系统 4 2 2 访问控制目录 访问控制目录包含以下的安全技术功能服务组件 访 问 控 制 集 中 身 份 认 证及 单 点 登 陆 访 问 授 权 服 务 终 端 准 入 控 制 远 程 访 问 控 制 每个安全技术功能服务组件的说明如下 4 2 2 1 集中身份认证及单点登陆服务 名称 版本 归属 集中身份认证及单点登陆服务 1 0 访问控制 描述 集中身份认证及单点登录服务是以集中的方式 实现企业用户对 应用系统和平台设备的访问进行单点登录和集中身份认证 关键服务 集中身份认证及单点登录服务应该为 XX 电网信息系统提供以下 的管理服务 访问集中认证 通过对访问者的身份信任凭证的集中检验来核实 身份的正确性 支持多种认证机制 能够支持多种信任凭证认证机制 例如密码 一次性口令 证书等 单点认证 用户只需要通过集中认证服务的验证 不必在企业的 应用和平台进行重复验证 当前实施情况 目前 XX 电网的 IT 系统 包括应用 操作系统 数据库和网络 设备 各系统独立进行用户身份认证 均没有采用集中身份认证机制 未建立统一单点登录机制 4 2 2 2 终端安全准入 名称 版本 归属 终端安全准入 1 0 访问控制 描述 终端安全准入服务提供对接入企业网络的合法合规终端的检查 只允许通过合法身份检查 并且达到安全合规要求的终端接入内部网 络 关键服务 终端安全准入服务提供以下的关键安全服务 终端合法身份认证 对登录终端的合法性进行确认 通过检查终 端的合法唯一标识 以及终端用户的合法身份检查 禁止非法终端接 入内部网络 此功能的实现需要结合身份与信任管理目录中的服务平 台 终端安全合规检查 对接入内部网络的合法终端的安全合规进行 检验 禁止不合规的终端接入内部网络 不合规终端安全修补 对合法但不合规的终端 提供安全修补的 服务 此功能需要结合补丁管理服务及桌面终端管理服务 当前实施情况 目前 XX 电网正在做终端安全准入的研究 尚未实施终端安全准 入技术工具 4 2 2 3 访问授权服务 名称 版本 归属 访问授权服务 1 0 访问控制 描述 访问授权服务是以集中的方式对企业用户访问应用或平台的资源 的权限进行检验 关键服务 访问授权服务能够提供以下的功能 访问授权验证 用户通过身份认证后 需要对用户访问资源的权 限进行检验 以确定用户是否能够访问目标资源 访问权限策略管理 根据业务安全要求 对用户的访问策略进行 设置 包括访问访问主体 对象资源 访问时间等 实现将访问授权 策略数据的存储和管理 资源对象管理 对应用或平台的资源进行细粒度对象的管理 访问请求管理 根据业务安全要求 对用户的访问资源请求进行 控制 配合访问策略管理服务 实现进行的细致的资源访问控制 当前实施情况 目前尚未结合单点登录系统 集中用户管理系统实现统一访问授 权管理 4 2 2 4 远程安全接入服务 名称 版本 归属 远程安全接入服务 1 0 信息流控制 描述 远程安全接入服务是在公共互联网络上 建立虚拟的安全通道 保证远程接入的用户或分支机构与 XX 电网内网之间的安全连接 关键服务 需要通过本服务提供 XX 电网的用户或分支机构通过互联网安全 接入内部网络 实现办公和业务工作 远程安全接入服务应该为 XX 电网提供以下的安全功能 支持用户以各种互联网接入方式 在互联网络之上建立安全传输 通道连接 XX 电网内网 采用加密算法实现数据传输的机密性 采用摘要算法实现数据传输的完整性 采用数字证书实现数据传输的不可否认性 对用户的远程接入实现认证 授权和审计 当前实施情况 目前 XX 电网各单位自行建立远程安全接入服务 支持用户从 外网 如互联网 安全 可控的接入内部网络 4 2 3 信息流控制目录 信息流控制目录包含以下的安全技术功能服务组件 信 息 流 控 制 入 侵 检 测 防 御 边 界 信 息 流 控 制 信 息 流 内 容检 测 过 滤 服 务 拒 绝 服 务 攻 击 防 护 每个安全技术功能服务组件的说明如下 4 2 3 1 信息流内容检测过滤服务 名称 版本 归属 信息流内容检测过滤服务 1 0 信息流控制 积木块编号 描述 信息流内容过滤服务对网络信息数据流的 3 7 层的内容检测 检 测过滤来自互联网的恶意代码 垃圾邮件等 过滤进出网络的不安全 信息内容 关键服务 信息内容检测服务能够提供以下的功能 网关防恶意软件 检测 HTTP FTP SMTP POP3 IMAP P2P IM 等 协议之上的病毒 过滤间谍软件 木马 欺诈 键盘记录器等软件 反垃圾邮件 通过黑名单 病毒检查 用户定义规则 垃圾邮件 指纹以及贝叶斯统计分析等 对垃圾邮件进行判定 并予以投递 隔 离或阻断处理 用户行为管理 边界应用控制与过滤方案具备 URL 过滤 关键字 过滤 内容过滤等多种访问控制策略 控制非法应用 过滤非法网站 规范用户上网行为 避免企业关键信息外泄 记录用户应用访问信息 输出审计报告 流量管理 可精确识别 BT 电驴 迅雷 MSN QQ Yahoo Messenger PPLive 等近百种 P2P IM 应用 可基于时间 用户 区域 应用协议 通过告警 限速 阻断等手段进行灵活控制 保证网速的 正常和业务不被影响 流量统计 基于通用流量统计模型 提供基于用户 应用 时间 段 源 目的 IP 等丰富的业务流量统计信息日志 可以对业务组以及 某个业务下的所有子业务的流量趋势 业务带宽占用趋势以及业务流 量分布等各种流量信息进行统计分析并生成日志 流量信息包括上下 行双向流量 流量整形 通过限流 放行 阻断 干扰以及告警等的带宽管理 方法 实现基于用户 应用 时间段以及源 目的 IP 等精细的带宽控 制 合理分配网络带宽 当前实施情况 目前 XX 电网统一出口平台部署了流量控制设备实现流量控制 统计和整形 邮件系统内置了防垃圾邮件模块和防病毒模块 各局域 网与统一互联网平台之间都部署了上网行为管理设备 4 2 3 2 入侵检测 防御服务 名称 版本 归属 入侵检测防护服务 1 0 信息流控制 描述 该服务组件提供对网络数据流检测 对符合攻击特征的数据流给 予丢弃 关键服务 网络入侵检测 防御能够提供以下的功能 通过状态检测 特征值检测 异常行为分析 实现入侵的检测和 防御 WEB 攻击过滤 可保护 Web 应用免遭日益增多的应用层攻击 如缓冲区溢出 SQL 注入 跨站点脚本攻击等 入侵检测 防御 在需要重点保护的安全域 部署网络入侵检测 与防御系统 对网络流量实时检查 进行模式匹配和行为监控 一旦 发现攻击行为即通过入侵检测控制台进行报警 必要时 阻断网络攻 击连接 当前实施情况 目前 XX 电网统一互联网出口平台及省网 DC 区出口部署了网络 入侵检测 防御设备 4 2 3 3 边界信息流控制服务 名称 版本 归属 边界信息流控制服务 1 0 信息流控制 积木块编号 描述 边界信息流控制服务是指在不同安全级别的网络区域的安全边界 上 针对网络区域之间的数据流访问实现访问控制 关键服务 需要通过边界信息流控制服务是加强 XX 电网不同安全级别的网 络区域之间信息流访问的安全控制 保护 IT 系统访问安全 边界信息流控制服务应该为 XX 电网提供以下的安全服务 过滤进出的 TCP IP 数据包 管理进出网络的访问行为 封堵被禁止的业务 实现网络地址翻译 基于会话状态检测和 TCP IP 动态端口进行数据流控制 将所有跨越边界的会话通信分为两段 实现数据流的中转 对网络攻击进行检测 告警和阻断 记录进出网络的访问信息 当前实施情况 目前 XX 电网统一互联网出口平台及各局域网都部署了防火墙 或者 ACL 机制来实现安全隔离 防火墙基本采用高可靠冗余热备结构 4 2 3 4 拒绝服务攻击防护服务 名称 版本 归属 拒绝服务攻击防护服务 1 0 信息流控制 描述 拒绝服务攻击防护服务是防止由于来自 Internet 的 DDoS 攻击导 致内部业务系统不可用 关键服务 需要通过本服务是加强 XX 电网互联网应用服务可用性的安全保 护 抵御来自互联网的拒绝服务攻击 拒绝服务攻击防护服务应该为 XX 电网提供以下的安全功能 流量检测功能 采用基于行为模式异常的检测 从背景流量中识 别攻击流量 流量清洗 将可疑流量过滤 分流出 干净 流量 将其重新注 入网络中 当前实施情况 目前 XX 电网已在统一互联网出口平台部署了具有拒绝服务攻 击防护功能的设备 4 2 4 完整性控制目录 完整性控制目录包含以下的安全技术功能服务组件 完 整 性 信 息 防 泄 露 防 病 毒 服 务网 页 防 篡 改 桌 面 终 端 管 理 可 用 性 保 障 服 务 每个安全技术功能服务组件的说明如下 4 2 4 1 网页防篡改服务 名称 版本 归属 网页防篡改服务 1 0 完整性控制 描述 网页防篡改服务提供对企业对外服务的网站系统的完整性保护 防止系统文件被非法篡改 关键服务 网页防篡改服务应该为 XX 电网提供以下的安全功能 阻断非法进程对受保护文件的写操作 基于事件触发机制 实时发现受保护文件的任何非授权变更 依据数字指纹技术 验证所有对外发布文件的合法性 确保非法 发布网页无法发布 提供受保护文件 目录自动备份 提供文件备份服务 自动从备份服务器恢复这些被改动的文件 文件夹 当前实施情况 已实施网页防篡改产品 能够对静态页面进行保护 4 2 4 2 信息防泄露服务 名称 版本 归属 信息防泄露服务 1 0 完整性控制 描述 机密文档防泄露服务提供对数据库加密服务和的电子文档安全保 护服务 关键服务 电子文档安全保护服务应该为 XX 电网提供以下的安全功能 文档加密 受保护的文档不能以明文的形式存放在客户端或者服 务器上 所有受保护的文档在存储时都应经过加密处理 文档在网络 上传输时也应是加密的 文档解密 根据文档安全策略 对加密的文档提供安全解密 文档授权与访问控制 只有经过系统授权的用户才能访问文档 对用户访问文档的方式根据制定好授权策略进行控制 如阅览 打印 复制 修改等 支持离线保护功能 员工在外地出差工作时 需要使用大量的加 密文档进行工作 因此 要保证受保护的加密文档在离开内网时还能 处于受保护的状态 保证文档的安全性 数据库加密服务提供以下的功能 数据库加密设置 根据敏感性要求设置数据表的列加密 而不是 对数据表全部数据加密 数据存储加密 采用成熟加密技术对敏感数据加密存储 并采用 校验措施来防止数据非授权修改 数据通信加密 数据库访问采用通信加密 防数据重放或篡改 访问授权 需要对机密数据的访问者进行身份和授权验证 加密密钥保护 对密钥提供管理和安全存储 避免密钥被非法获 取 当前实施情况 目前部分关键系统采用数据库加密方式保护信息数据 未实施电 子文档安全保护产品 4 2 4 3 防病毒服务 名称 版本 归属 防病毒服务 1 0 完整性控制 积木块编号 描述 恶意代码防护服务是检测 监控和杀除恶意代码 保护应用系统 和平台系统 主机系统 终端系统等 的安全 关键服务 恶意代码服务应该为 XX 电网提供以下的安全功能 策略管理 以集中的方式管理 XX 电网的 PC 服务器系统和 Desktop 终端的恶意代码防范策略 扫描引擎和代码库更新 持续更新扫描引擎和恶意代码特征库 并自动提供给服务器和终端 系统恶意代码扫描 清除 对主机系统或终端检查并清除恶意代 码 系统恶意代码实时保护 对主机系统和终端进行实时性的监控 一旦发现恶意代码行为及时告警并拦截 网络恶意代码实时保护 对网络层的恶意代码流进行实时监测 及时过滤恶意代码流并告警 当前实施情况 XX 电网省中心的部署了统一企业版终端防病毒系统 防病毒管 理中心部署在内网服务器网段 客户端防病毒软件覆盖内部所有的电 脑终端 4 2 4 4 可用性保障服务 名称 版本 归属 可用性保障服务 1 0 完整性控制 描述 可用性保障服务组件能够支持应用或系统平台发生运行失败和中 断时能够及时修复 或部分的应用或系统平台发生运行失败时企业能 够继续可靠的提供 IT 系统服务 关键服务 可用性保障服务组件提供以下的关键安全服务 当 IT 系统发生运行失败和运行中断时 支持通过修复的方式 即 归档备份和恢复 使得系统从上次的状态点重新开始操作 当 IT 系统发生运行问题时 支持通过高可靠的方式 例如热备份 在线备份等 使得系统能够不影响业务的继续运行 在应用系统层面 通过数据备份与恢复 系统回退等机制 确保 应用系统操作失败 业务系统意外中断时 能够自动恢复到正常运行 状态 在系统层面 对于系统服务器和数据库服务器等 根据其业务重 要性 一般均需采取双机 多机热备份 或部署负载均衡设备等机制 从而实现系统层重要服务器的高可用性 在数据层面 重要的数据库系统 应采用数据备份机制 定期备 份业务数据 实现数据的高可用性 在网络层面 重要的网络设备 如边缘防火墙 核心交换机 路 由器等设备 应采取双机或多机负载均衡的机制 实现网络的高可用 性 当前实施情况 目前 XX 电网关键系统和设备采用了双机 多机备份的高可用结构 重要数据库系统采用了数据备份机制保证数据的可用性安全 XX 电 网已经启动异地容灾项目 4 2 4 5 桌面终端管理 名称 版本 归属 桌面终端管理 1 0 完整性控制 描述 桌面终端管理服务提供对 XX 电网内部网络的终端系统的安全管 理 包括对内部终端提供统一的安全合规策略检查 提供操作系统 软件补丁分发 软件进程控制和审计 非法外联外设管理和控制等 关键服务 桌面终端管理服务提供以下的关键安全服务 终端安全漏洞检查 提供终端桌面系统的安全合规性策略检查和 评估 并对发现的终端系统的漏洞提供漏洞修复指引 用户行为控制 提供实时监控终端行为 包括网络行为 软件使 用行为 文件拷贝行为及移动介质使用行为等 软件进程安全管理 通过白名单 黑名单方式定义违禁软件 这 些违禁软件被运行时会发生告警事件 或者直接被禁止运行 非法外联外设控制 控制终端在规定网络场景 如接入内部网络 禁止自行建立外部网络连接 禁止使用非授权的外部设备以及移动存 储设备 补丁管理 对系统 软件提供补丁库管理 并提供补丁下载的服 务 补丁管理服务包括补丁库升级 补丁测试 补丁分发 补丁安装 等功能 软件分发 提供桌面终端的统一软件分发 软件下发后需要获取 软件下发整体情况 用以及时调整软件下发策略 远程维护和管理 提供管理员远程监视或者远程协助的功能 管 理员能够对发生问题的桌面终端提供远程维护 协助终端用户解决问 题 当前实施情况 已实施桌面终端管理系统 但功能未全面应用 部分安全功能还 未实现 4 2 5 安全审计管理目录 安全审计管理目录包含以下的安全技术功能服务组件 安 全 审 计 管 理 统 一 安 全 事 件监 控 管 理 综 合