信息安全建设技术规范(征求意见稿)Word文档下载推荐.doc

1、6.1.2 功能要求66.2终端安全建设技术规范96.3主机安全建设技术规范136.4应用安全建设技术规范166.5数据安全建设技术规范177信息安全运行保障体系技术规范197.1安全运维管理197.1.1网络安全运维管理197.1.2主机安全运维管理197.1.3应用安全运维管理197.2日常运行保障207.3 安全应急响应207.4 数据和系统备份208其他要求219附则21附图一 供电局综合网络的外部边界划分22附图二 供电局综合网络内部安全域边界22附表三 南方电网信息系统安全保护等级二级系统的控制项要求22云南电网公司供电局信息安全建设技术规范1适用范围本规范是云南电网公司信息安全建

2、设工作的规范性指导文件，适用于云南电网公司及所辖各单位信息化安全建设工作。2规范性引用文件下列文件中的条款通过本规范的引用而成为本规范的条款。凡注明日期的引用文件，其随后所有的修改单或修订版均不适用于本规范（不包括勘误、通知单），然而，鼓励根据本规范达成协议的各方研究是否可使用这些文件的最新版本。凡未注日期的引用文件，其最新版本适用于本规范。中华人民共和国国务院147号中华人民共和国计算机信息系统安全保护条例公通字200743 号信息安全等级保护管理办法国家电力监管委员会5号令电力二次系统安全防护规定电监安全200634号电力二次系统安全防护总体方案GB17859-1999计算机信息系统安全保

3、护等级划分准则GB/T 22239-2008 信息系统安全等级保护基本要求GB/T 22240-2008 信息系统安全等级保护定级指南GB/T20269-2006 信息安全技术信息系统安全管理要求GB/T20270-2006 信息安全技术网络基础安全技术要求GB/T20271-2006 信息安全技术信息系统通用安全技术要求GB/T20272-2006 信息安全技术操作系统安全技术要求GB/T20273-2006 信息安全技术数据库管理系统安全技术要求GB/T20282-2006 信息安全技术信息系统安全工程管理要求GB/T 19715-1.2 2005 /ISO/IEC TR 13335:20

4、00 信息技术安全管理指南GB/T 19716-2005/ISO/IEC 17799:2000 信息安全管理实用规则GB/T 18336-2001 /ISO/IEC 15408-1999 信息技术安全性评估准则信息安全技术 终端计算机系统安全等级技术要求信息安全技术 操作系统安全技术要求中国南方电网有限责任公司信息安全管理办法中国南方电网有限责任公司信息安全保障体系信产部等级保护指导意见TC260-N0015信息系统安全技术要求美国国家安全局信息保障技术框架IATF 3.1云南电网公司综合网络及综合网络安全建设规范3术语和定义3.1安全域：指同一系统内有相同的安全保护需求，相互信任，并具有相同

5、的安全访问控制和边界控制策略的网络或系统，且相同的安全域共享一样的安全策略。3.2安全子域：指安全域内部根据接入方式、功能模块等进一步划分的具有相同属性的网络或系统，相同的安全子域共享一样的安全保护策略。3.3边界整合：指在保障系统的各种互联需求有效提供的前提下，对安全域的边界进行合理的整合，对系统接口进行有效的整理和归并，减少接口数量，规范系统接口。3.4接入域：指访问同类数据的用户终端构成接入域。3.5计算域：指为整个IT架构提供集中的安全服务，进行集中的安全管理、监控以及响应设施的集合构成计算域。3.6 供电局综合网络：指云南电网公司地区级“企业网”，实现云南电网公司供电局办公、生产、营

6、销等用户以及除调度一/二次系统以外的“综合”业务的网络互联服务提供。供电局综合网络包括地区应用系统网络、地区外部互联网、地区综合数据网以及地区局域网。4符号和缩略语bit/s：比特每秒Mbit/s：兆比特每秒Gbit/s：千兆比特每秒IPv6：Internet Protocol Version 6互联网协议第六版MPLS VPN：采用MPLS技术在骨干的宽带IP网络上构建IP专网的技术。PKI/CA: Public Key Infrastructure/Certificate Authority公钥基础设施/认证中心。5 供电局信息安全体系5.1南方电网信息安全保障体系框架5.1.1南方电网公

7、司信息安全保障体系框架以“深度防护战略”理论为基础，强调安全组织、安全管理、安全技术和安全运行四个核心原则，突出基于安全评估、安全监管（包括安全审计、安全监控等）、应急响应和持续改进的安全运行保障，重点关注计算环境、区域边界、网络与基础设施等多个层次的安全保护，在遵循国家的信息安全政策法规及相关标准规范下，建立相对完善和全面的信息安全保障体系。如下图所示：三层结构政策法规标准规范安全防护保障安全组织技术管理安全运行保障评估应急响应监管持续改进安全防护对象计算环境区域边界网络与基础设施 网、省、地市 南方电网公司信息安全保障体系框架5.1.2南方电网公司信息安全保障体系框架主要包括安全防护对象、

8、安全防护保障、安全运行保障等三个层面： 一、安全防护对象安全防护对象包括计算环境、区域边界和网络与基础设施，安全防护对象是信息安全保障的目标。 二、安全防护保障 安全防护保障包括了安全组织、安全管理、安全技术三个方面，并结合、南方电网实际，提出安全组织要求、安全技术要求和安全管理要求，明确安全防护方案。 三、安全运行保障 安全运行保障是从系统安全运行的角度，利用安全防护保障中提供的组织、管理、技术等措施，从安全评估、安全监管、应急响应、持续改进等多个方面建立信息安全服务体系，确保南方电网公司网络与信息安全。 5.2云南电网公司信息安全体系框架在南方电网信息安全保障体系框架下，根据云南电网公司实

9、际情况，制定出云南电网公司信息安全体系框架，用于指导云南电网公司及所辖各单位综合网络安全的建设工作。云南电网公司信息安全体系框架如下图所示：云南电网公司信息安全体系框架5.2.1安全策略在云南电网公司信息安全体系框架中，安全策略是根本。安全策略与安全技术体系、安全组织和管理体系以及运行保障体系这三大体系之间的关系是相互作用的。一方面，三大体系是在安全策略的指导下构建的，将安全策略中制定的各个要素转化成为可行的技术实现方法和管理、运行保障手段，全面实现安全策略中所制定的目标；另一方面，安全策略本身也有包括草案设计、评审、实施、培训、部署、监控、强化、重新评估、修订等步骤在内的生命周期，需要采用一

10、些技术方法和管理手段进行管理，保证安全策略的及时性和有效性。5.2.2安全技术体系安全技术体系是整个信息安全体系框架的基础，包括了网络安全、主机安全、终端安全、应用安全、数据安全和安全综合管理平台这六个部分，以安全策略为指导，从网络安全防护，主机系统安全防护，应用安全防护，终端安全防护，数据安全防护等多个层次出发，立足于现有的成熟安全技术和安全机制，建立起的一个各个部分相互协同的完整的安全技术防护体系。5.2.3安全管理体系安全组织与管理体系是安全技术体系真正有效发挥保护作用的重要保障，安全管理体系的设计立足于总体安全策略，并与安全技术体系相互配合，增强技术防护体系的效率和效果，同时也弥补当前

11、技术无法完全解决的安全缺陷。5.2.4运行保障体系运行与保障体系由安全技术和安全管理紧密结合的内容所组成，包括了安全运维管理、日常运行保障、安全应急响应、数据系统备份等，运行和保障体系对于供电局网络和信息系统的日常维护和可持续性运营提供了重要的保障手段。6 供电局信息安全技术体系建设规范6.1网络安全建设技术规范6.1.1安全目标6.1.1.1供电局综合网络安全须遵循南方电网信息系统安全等级保护第二级基本要求中的网络安全部分要求进行建设，必须全面覆盖第二级中的网络安全的控制项要求。6.1.1.2 供电局综合网络须确定外部边界，实现安全可靠的外部网络互联。6.1.1.3 供电局综合网络须确定内部

12、安全域的划分，确保不同安全域用户/业务的安全访问，禁止低安全域的用户/业务非授权访问高安全域用户/业务。6.1.1.4 供电局综合网络须遵循全网统一的MPSL VPN划分原则，在同一安全域内部（综合数据网和局域网安全域）采用MPLS VPN技术实现不同用户端到端的安全隔离，确保从局域网用户到应用系统访问的安全。6.1.1.5 供电局综合网络须具备网络性能保护机制，防止对网络资源的滥用，确保网络资源的合理使用。6.1.1.6 供电局综合网络须具备网络接入认证的能力，确保只有授权的终端才能接入网络。 6.1.2 功能要求6.1.2.1 外部边界的安全隔离6.1.2.1.1 供电局综合网络的外部边界

13、划分参见附图一，外部边界点为2个互联点，即地区综合数据网和生产控制区网络系统的互联点，地区级综合数据网属于供电局综合网络，包括单向隔离装置在内的地区调度次系统属于生产控制区；地区外部互联网和外部单位的互联点，地区外部互联网（包括地区外部互联网的安全防护设备）属于供电局综合网络。6.1.2.1.2 地区综合数据网和生产控制区网络系统的边界防护须实现物理隔离级别的安全控制，采用单向物理隔离装置实现边界的物理隔离。6.1.2.1.3 地区外部互联网和外部单位的的边界防护须实现安全的访问控制和入侵防御，阻止来自外部的非授权访问，检测和阻断对供电局网络的探测和攻击行为，确保边界的安全逻辑隔离。非授权的访

14、问阻断事件和攻击防御事件须能输出至云南电网公司SOC系统，实现全网安全事件的关联分析和集中展现。6.1.2.2 内部安全域的边界防护6.1.2.2.1 供电局综合网络划分为三个安全域，即高安全级的地区应用系统网络安全域、中安全级的地区综合数据网、地区/县局域网安全域和低安全级的地区外部互联网安全域。供电局综合网络内部安全域边界参见附图二。6.1.2.2.2 供电局综合网络内部安全域的边界防护须实现安全的访问控制和入侵防御，阻止来自低安全域用户/业务的非授权访问，检测和阻断对地区应用系统网络的探测和攻击行为，确保边界的安全的逻辑隔离。6.1.2.3 安全域内部的防护6.1.2.3.1 供电局综合

15、网络相同安全域的用户/业务须采用VLAN、访问控制、MPLS VPN、网络设备的集成式安全技术等手段实现内部用户/业务的安全访问。6.1.2.3.2 地区应用系统网络内部须采用VLAN或防火墙等技术实现不同应用系统的安全隔离，遵循最小化访问原则，确保应用系统间的安全访问，避免内部系统间的无限制访问，防止内部安全事件通过“跳板”方式扩散。用于内部安全访问控制的防火墙可以和地区应用系统网络边界的防火墙共用。6.1.2.3.3 地区综合数据网、地区局域网和县级局域网采用MPLS VPN技术实现不同用户端到端的安全隔离，遵循全网统一的MPLS VPN划分原则，确保从局域网用户到应用系统的访问安全。6.

16、1.2.3.4 地区综合数据网、地区局域网和县级局域网网络设备须具备丰富的集成式安全技术，实现对DHCP服务器假冒、IP欺骗、中间人欺骗和ARP欺骗等的防护。其中局域网网络设备的安全功能要求请参见云南电网公司局域网建设技术规范。6.1.2.4 网络性能保护6.1.2.4.1 供电局综合网络须具备对网络流量、应用访问等的统计分析功能，采用NetFlow、Netstream、Sflow等技术实现对网络流量和网络访问的采集分析、监测记录及审计。6.1.2.4.2 供电局综合网络须具备网络性能保护的能力，阻止PC终端的恶意软件和不符合云南电网公司绿色桌面要求的用户行为对网络资源的滥用，确保网络资源的合

17、理使用和用户对内部应用系统的正常访问。6.1.2.5 网络接入控制6.1.2.5.1 供电局综合网络须实现用户PC的全面网络准入控制，实现和云南电网公司PKI/CA证书系统的全面集成，只有授权的用户才能接入网络，形成云南电网公司全网网络接入、应用系统访问统一的认证体系。网络准入控制方式宜采用中心集中认证方式。6.1.2.5.2 供电局综合网络准入控制须实现和终端安全技术要求的集成，只有符合终端安全规范的PC终端才能接入网络，确保端点安全。6.1.3 产品及技术实现功能项功能需求技术要求6.1.2.1外部边界的安全隔离6.1.2.1.2单向隔离装置6.1.2.1.31、 双向访问控制2、 地址翻

18、译及隐藏3、 应用程序的安全检测1、 入侵检测及防御（模式匹配、协议分析、异常检测、会话关联分析等）2、 攻击特征库（国际CVE兼容性认证）3、 告警、日志及报表的统计分析6.1.2.2内部安全域的边界防护6.1.2.2.21、双向访问控制2、地址翻译及隐藏3、应用程序的安全检测6.1.2.3安全域内部的防护6.1.2.3.26.1.2.4网络性能保护6.1.2.4.11、 基于Netflow的数据流量采集2、 流量、流向的分析及展现6.1.2.4.21、 流量清洗、控制及审计2、 基于协议分析的用户行为控制、审计6.1.2.5网络接入控制6.1.2.5.16.1.2.5.21、和现有PKI/

19、CA系统的集成，采用证书方式接入网络。2、实现终端安全状况的准入。6.2终端安全建设技术规范6.2.1安全目标6.2.1.1 供电局终端安全须遵循南方电网信息系统安全等级保护第二级基本要求中的主机系统安全部分要求进行建设。6.2.1.2 供电局终端安全须全面满足信息安全技术 终端计算机系统安全等级技术要求的安全控制项要求，覆盖终端的恶意代码防护、入侵防护、资源控制、访问控制、安全审计等内容。6.2.1.3供电局须建设统一的终端安全管理体系，准确掌握终端的软硬件资产、终端健康性、终端使用情况等信息，规范终端的各类访问、操作及使用行为，确保接入终端的安全合规、可管理、可控制、可审计，实现终端的集中

20、、统一、规范化管理，减少维护人员的工作量，提升终端管理维护的水平及效率。6.2.2功能要求6.2.2.1 桌面终端须具备终端初始化功能，根据策略对终端进行操作系统配置和操作系统定制，提高系统的安全性。6.2.2.2 桌面终端须具备资产管理功能，实现对全网PC软硬件资产的统一管理和统计分析。6.2.2.3 桌面终端须具备软件分发功能，按地区进行软件的统一分发和安装。6.2.2.4 桌面终端须具备补丁管理功能，实现实时的操作系统及应用软件的安全补丁加固，确保安全漏洞第一时间得到修补。补丁管理须实现全网统一管理功能，分地区汇总终端补丁的修补情况。6.2.2.5 桌面终端须具备防病毒能力，实现对病毒及

21、恶意代码的查杀，病毒特征库须做到即时更新。防病毒功能须实现全网的统一管理、策略定制、病毒感染及查杀情况的集中监控和统计分析，防病毒事件须能输出至云南电网公司SOC系统和安全网站，实现和SOC系统的集成以及WEB主页的自动发布。6.2.2.6 桌面终端须具备基于状态检测的个人防火墙功能，阻止非授权的外部访问，实现网络蠕虫病毒的防护。个人防火墙须能实现统一的管理和策略定制，成为企业防病毒战略的一个组成部分。6.2.2.7 桌面终端须具备PC行为监控能力和审计功能，实现对非法外联检测和应用软件使用控制功能。6.2.2.8 桌面终端须具备数据防泄漏的能力，实现对终端的各种移动存储介质和端口的控制，阻止

22、机密数据通过拷贝、网络等非授权方式的扩散。防泄漏策略由企业统一定制下发并强制执行，并实现和云南电网公司文档加密系统的集成，确保机密数据必须使用企业文档加密系统进行加解密。6.2.2.9 桌面终端须具备文档加密的能力，可实现对机密的常用文档的加密和离线保护功能。6.2.2.10 桌面终端须具备向云终端扩展的能力，在必要的条件下可进行终端虚拟化的操作。6.2.3产品及技术实现6.2.2.1终端标准化管理1、 提供全自动化的系统部署解决方案，包括：标准的镜像文件制作批量OS系统分发自动的系统配置及修改个性化数据迁移返回；2、 支持Windows XP/Vista/Win7、Mac、Linux等主流操

23、作系统平台；并支持Vmware、Microsoft、Citrix虚拟环境；3、 支持多种引导方式：PXE、USB/CD-ROM、硬盘引导区方式引导没有系统的计算机，提供Linux、DOS、WinPE的引导方式；4、 提供远程维护和对话功能，并提供维护操作审计6.2.2.2终端资产管理1、 自动收集终端的软、硬件资产清单信息，并提供查询和统计分析功能；2、 实时监控终端的软、硬件变更信息，并且提供监控通知及告警；3、 实时监控终端的运行状态，如CPU、内存、硬盘空间等，并且提供监控通知及告警；6.2.2.3终软件分发管理1、 支持各类软件、应用程序的自动分发及安装功能；2、 提供软件虚拟化功能，

24、确保应用程序间的兼容性；3、 支持端点续传及带宽控制功能；6.2.2.4补丁管理功能1、 支持操作系统及部分主流应用软件、程序补丁的自动检测、分发、及更新功能；2、 提供补丁的测试及验证流程，确保补丁的安全性；6.2.2.5终端病毒防护1、 提供针对各类病毒、蠕虫、后门、木马及其它恶意代码的主动查杀及实时防护能力；2、 提供主机入侵检测及防护功能，主动防护各种攻击入侵及零日漏洞威胁；3、 支持最新的云杀毒、行为检测技术，有效防范各类最新及未知风险；6.2.2.6主机防火墙1、 支持基于数据包过滤及状态检测的防火墙控制规则，也可支持基于应用程序指纹的防火墙检测控制规则；2、 可以根据终端的环境及

25、处所变化，自动匹配及切换防火墙规则6.2.2.7终端监控及审计1、 提供针对终端的外设使用、网络互连及应用程序运行状态的实时监控及审计功能；2、 能够对系统中硬盘、光驱、软驱、USB设备、PCMCIA设备、红外、1394火线、SCSI、并口、串口等设备和接口进行管理和控制；3、 能够识别和控制系统中使用3G上网卡、CDMA 1X上网卡、智能手机进行互联网访问行为6.2.2.8桌面数据防泄漏1、 支持针对终端各类敏感数据操作及使用行为的检测及保护，如U盘拷贝、打印、传真、http、mail传输等；2、 支持各类各类文档及数据类型，如doc、pdf、excle、visio、txt、jpg等，包括各

26、类设计图纸、源代码等数据类型；3、 支持关键字、正则表达式、数字标识符及文档内容匹配等多种敏感数据的检测及识别技术；6.2.2.9终端文档管理1、 提供针对重要文档的加密保护功能；2、 支持各类常用文档及数据类型，如doc、pdf、excle、visio、txt、jpg等；6.2.2.10云终端扩展1、 桌面终端须具备向云终端扩展的能力，在必要的条件下，终端操作系统及各类应用应具备迁移到虚拟化环境的能力；2、 各类终端管理及防护技术须支持Vmware、Citrix、Hyper-v等主流虚拟化技术及平台；6.3主机安全建设技术规范6.3.1安全目标6.3.1.1供电局主机安全须遵循南方电网信息系

27、统安全等级保护第二级基本要求中的主机系统安全部分要求进行建设，全面覆盖第二级基本要求中主机安全的控制项要求。6.3.1.2 供电局主机安全须对重要系统主机的安全状态、安全配置、安全防护技术等进行严格的保护及控制，通过主机安全防护体系的建设，实现以下管理及安全防护目标：l 主机集中监控与运维管理：对物理和虚拟服务器进行监控和生命周期管理，提高服务器的运维管理水平及能力；l 主机安全防护：对服务器的安全配置、安全状态进行定期检查，对入侵攻击进行主动检测及实时防护，提升服务器自身的安全防护级别及能力6.3.2功能要求6.3.2.1 主机系统须具备补丁管理功能，在不影响主机应用的条件下实现操作系统及主

28、要应用软件的安全补丁加固，确保安全漏洞得到及时修补。6.3.2.2 主机系统须具备防病毒能力，实现对windows平台主机病毒及恶意代码的查杀，在不影响主机应用的条件下病毒特征库须做到即时更新。防病毒功能须实现统一管理、策略定制、病毒感染及查杀情况的集中监控和统计分析，防病毒事件须能输出至云南电网公司SOC系统，实现和SOC系统的集成。6.3.2.3 主机系统须具备进程管理功能，实现对主机系统进程的实时监控，对未知新增进程的告警。6.3.2.4 主机系统须具备对关键配置文件监控功能，监控配置文件的创建、修改、删除以及差异性的变化，包括权限变更等。6.3.2.5 主机系统须具备网络端口管理功能，实现网络访问的实时监控，包括进出端口、调用的协议等。6.3.2.6 主机系统须具备入侵检测与防御功能，实现对各种已知入侵行为的检测和防护及主机进程访问