信息系统等级安全服务方案.docx
《信息系统等级安全服务方案.docx》由会员分享,可在线阅读,更多相关《信息系统等级安全服务方案.docx(71页珍藏版)》请在冰点文库上搜索。
信息系统等级安全服务方案
-标准化文件发布号:
(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
信息系统等级安全服务方案
信息系统
等级安全方案
二零零九年八月
版权声明
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属国网电力科学研究院/国网信息网络安全实验室和山东省电力集团公司所有,受到有关产权及版权法保护。
任何个人、机构未经国网电力科学研究院/国网信息网络安全实验室和山东省电力集团公司的书面授权许可,不得以任何方式复制或引用本文的任何片断。
文档信息
文档名称
山东省电力集团公司信息系统等级保护建设方案
文档管理编号
INSL-SDDL-BLT-2009-FA
保密级别
商密
文档版本号
制作人
郭骞
制作日期
2009年6月
复审人
余勇
复审日期
2009年6月
扩散范围
国家电网公司信息网络安全实验室
山东省电力集团公司
扩散批准人
林为民
版本变更记录
时间
版本
说明
修改人
2009-8
创建文档
郭 骞
2009-8
修改文档
俞庚申
2009-8
文档复审定稿
余勇
适用性声明
本报告由国网电力科学研究院/国网信息网络安全实验室撰写,适用于山东省电力集团公司信息系统等级保护项目。
1.项目概述
根据国家电网公司《关于信息安全等级保护建设的实施指导意见(信息运安〔2009〕27号)》和山东省电力集团公司对等级保护相关工作提出的要求,落实等级保护各项任务,提高山东省电力集团公司信息系统安全防护能力,特制定本方案。
1.1目标与范围
公司为了落实和贯彻公安部、国家保密局、国家密码管理局、电监会等国家有关部门信息安全等级保护工作要求,全面完善公司信息安全防护体系,落实公司“双网双机、分区分域、等级防护、多层防御”的安全防护策略,确保等级保护工作在各单位的顺利实施,提高公司整体信息安全防护水平,开展等级保护建设工作。
前期在省公司及地市公司开展等级保护符合性测评工作,对地市公司进行测评调研工作,范围涵盖内网门户、外网门户、财务管理系统、营销管理系统、电力市场交易系统、生产管理信息系统、协同办公系统、人力资源管理系统、物资管理系统、项目管理系统、邮件系统、公司广域网SGInet、管理制度这13个业务系统分类,分析测评结果与等级保护要求之间的差距,提出本的安全建设方案。
本方案主要遵循GB/T22239-2008《信息安全技术信息安全等级保护基本要求》、《信息安全等级保护管理办法》(公通字[2007]43号)、《信息安全技术信息安全风险评估规范》(GB/T20984-2007)、《国家电网公司信息化“SG186”工程安全防护总体方案》、ISO/IEC27001信息安全管理体系标准和ISO/IEC13335信息安全管理标准等。
实施的范围包括:
省公司本部、各地市公司。
通过本方案的建设实施,进一步提高信息系统等级保护符合性要求,将整个信息系统的安全状况提升到一个较高的水平,并尽可能地消除或降低信息系统的安全风险。
1.2方案设计
根据等级保护前期测评结果,省公司本部及各地市公司信息系统存在的漏洞、弱点提出相关的整改意见,并最终形成安全解决方案。
1.3参照标准
GB/T22239-2008《信息安全技术信息安全等级保护基本要求》
《信息安全等级保护管理办法》(公通字[2007]43号)
《信息安全技术信息安全风险评估规范》(GB/T20984-2007)
《国家电网公司信息化“SG186”工程安全防护总体方案》
ISO/IEC27001信息安全管理体系标准
ISO/IEC13335信息安全管理标准
《国家电网公司“SG186”工程信息系统安全等级保护验收测评要求(征求意见稿)》
《国家电网公司信息机房设计及建设规范》
《国家电网公司信息系统口令管理规定》
GB50057-94《建筑防雷设计规范》
《国家电网公司应用软件通用安全要求》
2.建设总目标
2.1等级保护建设总体目标
综合考虑省公司现有的安全防护措施,针对与《信息安全技术信息系统安全等级保护基本要求》间存在的差异,整改信息系统中存在的问题,使省公司及地市公司信息系统满足《信息安全技术信息系统安全等级保护基本要求》中不同等级的防护要求,顺利通过国家电网公司或公安部等级保护建设测评。
3.安全域及网络边界防护
根据GB/T22239-2008《信息安全技术信息安全等级保护基本要求》、《国家电网公司信息化“SG186”工程安全防护总体方案》及《国家电网公司“SG186”工程信息系统安全等级保护验收测评要求(征求意见稿)》的要求,省公司及地市公司信息系统按照业务系统定级,根据不同级别保护需求,按要求划分安全区域进行分级保护。
因此,安全域划分是进行信息安全等级保护建设的首要步骤。
3.1信息网络现状
山东省电力集团公司各地市信息内网拓扑典型结构:
图:
典型信息网络现状
主要问题:
各安全域之间缺乏有效的控制措施不能够保障业务系统安全、独立运行,不受其他业务系统的影响。
根据GB/T22239-2008《信息安全技术信息安全等级保护基本要求》和《国家电网公司信息化“SG186”工程安全防护总体方案》的建设要求,省公司和各地市信息网络安全域需根据业务系统等级进行重新划分。
3.2安全域划分方法
依据国家电网公司安全分区、分级、分域及分层防护的原则,管理信息大区按照双网隔离方案又分为信息内网与信息外网。
本方案主要针对公司信息系统进行等级保护建设。
在进行安全防护建设之前,首先实现对信息系统的安全域划分。
依据SG186总体方案中“二级系统统一成域,三级系统独立分域”的要求,结合省公司MPLSVPN现状,采用纵向MPLSVPN结合VLAN划分的方法,将全省信息系统分为:
信息内网区域可分为:
电力市场交易系统MPLSVPN(或相应纵向通道):
包含省公司电力市场交易应用服务器VLAN、省公司电力市场交易办公终端;
财务管理系统MPLSVPN(或相应纵向通道):
包含省公司财务管理系统VLAN、省公司财务办公终端VLAN、各地市财务办公终端VLAN(13个);
营销管理系统MPLSVPN(或相应纵向通道):
省公司营销系统VLAN、省公司营销办公终端VLAN、各地市营销系统VLAN(13个)、各地市营销办公终端VLAN(13个)
二级系统MPLSVPN(或相应纵向通道)(二级系统包括:
内部门户(网站)、生产管理信息系统、协同办公系统、人力资源管理系统、物资管理系统、项目管理系统和邮件系统):
公共服务MPLSVPN(或相应纵向通道):
包含DNS、FTP等全省需要访问的公共服务
信息内网桌面终端域
信息外网区的系统可分为:
电力市场交易系统域
营销管理系统域(95598)
外网二级系统域(外网门户等)
信息外网桌面终端域
安全域的具体实现采用物理防火墙隔离、虚拟防火墙隔离或Vlan隔离等形式进行安全域划分。
3.3安全域边界
3.3.1二级系统边界
二级系统域存在的边界如下表:
边界类型
边界描述
第三方网络边界
Internet边界
纵向网络边界
省公司与华北电网公司间、省公司与其地市公司之间
横向域间边界
在信息内外网区与桌面终端域的边界
在信息内外网区与基础系统域的边界
与财务系统域之间的边界
与电力市场交易系统域的边界
与营销管理系统域间的边界
二级系统域的网络边界拓扑示意图如下:
3.3.2三级系统边界
财务管理系统、电力市场交易系统和营销系统均涉及信息内网与银行联网存在第三方网络边界接口、省公司与地市公司之间网络边界接口、信息内网横向域间其它二级系统域间接口,电力市场交易系统还涉及信息外网与Internet存在第三方网络边界接口。
三级系统域存在的边界如下表:
边界类型
边界描述
信息外网第三方边界
与Internet互联网的边界,实现:
公共服务通道(边远站所、移动服务、PDA现场服务、居民集中抄表、负控终端采集、抢修车辆GPS定位等)
与其他社会代收机构连接(VPN)
网上营业厅
短信服务
时钟同步
信息内网第三方边界
银企互联边界
与其他社会代收机构的边界(专线连接)
公共服务通道(专线、GPRS、CDMA等)
纵向网络边界
省公司与地市公司
横向域间边界
与二级系统域间的边界
与内外网桌面终端域的边界
与内外网基础系统域的边界
与其它三级域之间的边界
三级系统域的网络边界拓扑示意图如下:
3.4安全域的实现形式
安全域实现方式以划分逻辑区域为主,旨在实现各安全区域的逻辑划分,明确边界以对各安全域分别防护,并且进行域间边界控制,安全域的实体展现为一个或多个物理网段或逻辑网段的集合。
对公司信息系统安全域的划分手段采用如下方式:
防火墙安全隔离:
采用双接口或多接口防火墙进行边界隔离,在每两个安全域的边界部署双接口防火墙,或是采用多接口防火墙的每个接口分别与不同的安全域连接以进行访问控制。
虚拟防火墙隔离:
采用虚拟防火墙实现各安全域边界隔离,将一台防火墙在逻辑上划分成多台虚拟的防火墙,每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备,可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。
在本方案实现中,可以为每个安全域建立独立的虚拟防火墙进行边界安全防护。
三层交换机Vlan隔离:
采用三层交换机为各安全域划分Vlan,采用交换机访问控制列表或防火墙模块进行安全域间访问控制。
二层交换机Vlan隔离:
在二层交换机上为各安全域划分Vlan,采用Trunk与路由器或防火墙连接,在上联的路由器或防火墙上进行访问控制。
对于一个应用的子系统跨越多个物理环境如设备机房所带来的分域问题,由于安全域为逻辑区域,可以将公司层面上的多个物理网段或子网归属于同一安全域实现安全域划分。
3.5安全域划分及边界防护
3.5.1安全域的划分
结合SG186总体方案中定义的“二级系统统一成域,三级系统独立分域”,在不进行物理网络调整的前提下,将财务系统和物资与项目系统进行分离,使三级财务系统独立成域,二级系统物资和项目管理归并和其他二级系统统一成域,在VPN内,建立ACL控制桌面终端与服务器间的访问,现将省公司信息系统逻辑安全域划分如下:
图:
省公司内网逻辑划分图
图:
全省信息系统MPLSVPN安全域划分逻辑图
图:
信息外网安全域划分逻辑图
在原有的MPLSVPN的基础上结合VLAN划分方法,根据等级保护及国网SG186总体防护方案有求,对全省信息系统进行安全域划分。
1)三级系统与二级系统进行分离:
集中集成区域的三台小型机采用集群模式部署了财务、物资、项目这三个业务系统,由于财务为三级业务系统,应要独立成域,必须将财务系统从集群中分离出来,安装在独立的服务器或者小型机上,接入集中集成区域或新大楼服务器区。
2)划分安全域,明确保护边界:
采用MPLSVPN将三级系统划分为独立安全域。
财务系统MPLSVPN、电力市场交易系统MPLSVPN、营销系统MPLSVPN、二级系统安全域、桌面安全域、公共应用服务安全域。
二级系统安全域包含除三级系统外的所有应用系统服务器;桌面安全域包含各业务部门桌面终端VLAN;公共引用服务安全域为全省均需要访问的应用服务器,如DNS等。
目前信息外网存在三大业务系统:
外网门户、营销系统95598网站、电力市场交易系统外网网站。
根据等级保护要求应将营销系统95598网站和电力市场交易系统外网网站分别划分独立的VLAN,并在边界防火墙上设置符合等级保护三级要求的VLAN访问控制策略。
3)部署访问控制设备或设置访问控制规则
在各安全域边界设置访问控制规则,其中安全域边界按照“安全域边界”章节所列举的边界进行防护。
访问控制规则可以采用交换机访问控制策略或模块化逻辑防火墙的形式实现。
二级系统安全域边界访问控制规则可以通过交换机的访问控制规则实现,访问控制规则满足如下条件:
根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。
按用户和系统之间的允许访问规则,控制粒度为单个用户。
三级系统安全域边界的安全防护需满足如下要求:
根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
对进出网络的信息内容进行过滤,实现对应用层协议命令级的控制。
4)入侵检测系统部署:
二级系统、三级系统安全域内应部署入侵检测系统,并根据业务系统情况制定入侵检测策略,检测范围应包含二级系统服务器、三级系统服务器、其他应用服务器,入侵检测应满足如下要求:
定制入侵检测策略,如根据所检测的源、目的地址及端口号,所需监测的服务类型以定制入侵检测规则;
定制入侵检测重要事件即时报警策略;
入侵检测至少可监视以下攻击行为:
端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;
当检测到攻击行为时,入侵检测系统应当记录攻击源IP、攻击类型、攻击目的IP、攻击时间,在发生严重入侵事件时应能提供及时的报警信息。
4.信息安全管理建设
4.1建设目标
省公司信息系统的管理与运维总体水平较高,各项管理措施比较到位,经过多年的建设,已形成一整套完备有效的管理制度。
省公司通过严格、规范、全面的管理制度,结合适当的技术手段来保障信息系统的安全。
管理规范已经包含了信息安全策略、信息安全组织、资产管理、人力资源安全、物理与环境安全、通讯与操作管理、访问控制、信息系统的获取、开发和维护、信息安全事故管理、业务连续性管理等方面,但与《信息安全技术信息系统安全等级保护基本要求》存在一定的差距,需进行等级保护建设。
通过等级保护管理机构与制度建设,完善公司信息系统管理机构和管理制度,落实《信息安全技术信息系统安全等级保护基本要求》管理制度各项指标和要求,提高公司信息系统管理与运维水平。
通过等级保护建设,实现如下目标:
5)落实《信息安全技术信息系统安全等级保护基本要求》管理制度各项指标和要求。
6)在公司信息安全总体方针和安全策略的引导下,各管理机构能按时需要规划公司信息安全发展策略,及时发布公司各类信息安全文件和制度,对公司各类安全制度中存在的问题定期进行修订与整改。
7)系统管理员、网络管理员、安全管理员等信息安全管理与运维工作明确,明确安全管理机构各个部门和岗位的职责、分工和技能要求。
8)在安全技术培训与知识交流上,能拥有安全业界专家、专业安全公司或安全组织的技术支持,以保证省公司信息系统安全维护符合各类安全管理要求并与时俱进。
5.二级系统域建设
5.1概述与建设目标
二级系统域是依据等级保护定级标准将国家电网公司应用系统定为二级的所有系统的集合,按分等级保护方法将等级保护定级为二级的系统集中部署于二级系统域进行安全防护,二级系统域主要涵盖与二级系统相关的主机、服务器、网络等。
省公司二级系统主要包括内部门户(网站)、对外门户(网站)、生产管理信息系统、协同办公系统、人力资源管理系统、物资管理系统、项目管理系统和邮件系统等共8个二级系统,除对外门户外,其它七个内网二级系统需按二级系统要求统一成域进行安全防护。
二级系统域等级保护建设目标是落实《信息安全技术信息安全等级保护基本要求》中二级系统各项指标和要求,实现信息系统二级系统统一成域,完善二级系统边界防护,配置合理的网络环境,增强二级系统主机系统安全防护及二级系统各应用的安全与稳定运行。
针对《信息安全技术信息安全等级保护基本要求》中二级系统各项指标和要求,保障系统稳定、安全运行,本方案将二级系统域安全解决方案分为边界防护、网络环境、主机系统及应用安全四个层面进行安全建设。
5.2网络安全
5.2.1网络安全建设目标
省公司下属各地市公司网络安全建设按照二级系统要求进行建设,通过等级保护建设,实现如下目标:
9)网络结构清晰,具备冗余空间满足业务需求,根据各部门和业务的需求,划分不同的子网或网段,网络图谱图与当前运行情况相符;
10)各网络边界间部署访问控制设备,通过访问控制功能控制各业务间及办公终端间的访问;
11)启用网络设备安全审计,以追踪网络设备运行状况、设备维护、配置修改等各类事件;
12)网络设备口令均符合国家电网公司口令要求,采用安全的远程控制方法对网络设备进行远程控制。
5.2.2地市公司建设方案
根据测评结果,地市公司信息网络中网络设备及技术方面主要存在以下问题:
13)网络设备的远程管理采用明文的Telnet方式;
14)部分网络设备采用出厂时的默认口令,口令以明文的方式存储于配置文件中;
15)交换机、IDS等未开启日志审计功能,未配置相应的日志服务器;
16)供电公司内网与各银行间的防火墙未配置访问控制策略;
17)网络设备采用相同的SNMP口令串进行管理;
18)未开启网络设备登录失败处理功能,未限制非法登录次数,当网络登录连接超时时未设置自动退出等措施;
19)缺少对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查与监测措施;
20)未限制网络最大流量数及网络连接数;
21)未限制具有拨号访问权限的用户数量。
针对以上问题,结合《信息安全技术信息安全等级保护基本要求》给出相应整改方案如下:
22)关闭防火墙、交换机和IDS的telnet服务,启用安全的管理服务,如SSH和https。
部分不支持SSH的交换机应在交换机上限制可telnet远程管理的用户地址,实施配置如下(以思科交换机为例):
Router#configterminal
Router(config)#access-list10permittcpeq23any(只允许机器telnet登录,如需配置某一网段可telnet远程管理,可配置为:
access-list10permittcpeq23any)
Router(config)#linevty04(配置端口0-4)
Router(Config-line)#Transportinputtelnet(开启telnet协议,如支持ssh,可用ssh替换telnet)
Router(Config-line)#exec-timeout50
Router(Config-line)#access-class10in
Router(Config-line)#end
Router#configterminal
Router(config)#linevty515
Router(Config-line)#nologin(建议vty开放5个即可,多余的可以关闭)
Router(Config-line)#exit
Router(Config)#exit
Router#write
23)修改网络设备出厂时的默认口令,且修改后的口令应满足长度大于等于8位、含字母数字和字符的强度要求,其它不满足此口令强度要求的,均应要进行修改。
部分楼层接入交换机,应及时修改口令;交换机应修改其SNMP口令串;防火墙口令应满足口令强度要求。
交换机SNMP口令串修改实施步骤如下(以思科交换机为例):
Router#configterminal
Router(config)#nosnmp-servercommunityCOMMUNITY-NAME1RO(删除原来具有RO权限的COMMUNITY-NAME1)
Router(config)#snmp-servercommunityCOMMUNITY-NAMERO(如需要通过snmp进行管理,则创建一个具有读权限的COMMUNITY-NAME,若COMMUNITY-NAME权限为RW,则将命令行中RO更改为RW)
Router(config)#snmp-serverenabletraps(允许发出Trap)
Router(config)#exit
Router#write
24)交换机、IDS和防火墙等应开启日志审计功能,并配置日志服务器保存交换机、IDS和防火墙的日志信息。
以思科交换机为例,日志审计和日志收集存储于服务器实施配置如下:
Route#configterminal
Route(config)#loggingon(启用日志审计)
Route(config)#loggingconsolenotification(设置控制等级为5级:
notification)
Route(config)#!
Seta16Klogbufferatinformationlevel
Route(config)#loggingbuffered16000information(设置其大小为16K)
Route(config)#!
turnontime/datestampsinlogmessages
Route(config)#servicetimestamplogdatetimemseclocalshow-timezone
Route(config)#!
setmonitorloggingleveltolevel6
Route(config)#loggingmonitorinformation
Route(config)#exit
Route#!
makethissessionreceivelogmessages
Route#terminalmonitor
Route#configterminal
Route(config)#loggingtrapinformation(控制交换机发出日志的级别为6级:
information)
Route(config)#logging(将日志发送到,如需修改服务器,可采用Route(config)#nologging删除,然后重新配置日志服务器)
Route(config)#loggingfacilitylocal6
Route(config)#loggingsource-interfaceFastEthernet0/1(设置发送日志的以太网口)
Route(config)#exit
Route#configterminal
Route(config)#loggingtrapinformation
Route(config)#snmp-serverhosttrapspublic(配置发送trap信息主机)
Route(config)#snmp-servertrap-sourceEthernet0/1
Route(config)#snmp-serverenabletrapssyslog
Route(config)#exit
Route#write
25)供电公司内网与各银行和移动或电信间的防火墙应配置访问控制策略保证供电公司信息内网的安全。
26)根据《国家电网公司信息系统口令管理规定》制定或沿用其以管理省公司网络设备口令。
《国家电网公司信息系统口令管理规定》具体内容如下:
第四条口令必须具有一定强度、长度和复杂度,长度不得小于8位字符串,要求是字母和数字或特殊字符的混合,用户名和口令禁止相同。
第五条个人计算机必须设置开机口令和操作系统管理员口令,并开启屏幕保护中的密码保护功能。
第六条口令要及时更新,要建立定期修改制度,其中系统管理员口令修改间
升级会员 