中国南方电网有限责任公司信息安全保障体系正式版本.doc
《中国南方电网有限责任公司信息安全保障体系正式版本.doc》由会员分享,可在线阅读,更多相关《中国南方电网有限责任公司信息安全保障体系正式版本.doc(76页珍藏版)》请在冰点文库上搜索。
南方电网信息安全保障体系
中国南方电网有限责任公司
信息安全保障体系
中国南方电网有限责任公司
二〇〇九年一月
74
目录
1 总则 1
1.1 背景 1
1.2 适用范围 2
1.3 参考文献 2
2 南网安全防护对象 3
2.1 计算环境 3
2.2 区域边界 3
2.3 网络与基础设施 5
3 南网安全目标与指导思想 6
3.1 总体安全目标 6
3.2 安全建设的指导思想 6
3.3 安全体系的设计原则 7
4 南网信息安全保障体系框架 8
5 安全防护要求 9
5.1 安全组织要求 9
5.2 安全技术要求 13
5.3 安全管理要求 26
6 信息安全技术要求实现 35
6.1 信息安全技术防护总体结构 35
6.2 安全防护方案 37
6.3 实施原则与计划 47
7 安全运行保障 49
7.1 安全评估 49
7.2 安全监管 51
7.3 应急响应 53
7.4 持续改进 53
附录1:
南方电网安全保障体系遵循的安全技术标准规范 56
附录2:
南方电网安全保障体系遵循的等级保护要求 57
1总则
1.1背景
随着信息化的全面推进,经济和社会对网络与信息系统的依赖程度迅速增加,保障基础网络与重要信息系统安全的任务越来越凸显重要。
在十六届四中全会通过的《关于加强党的执政能力的决议》中,将信息安全与政治安全、经济安全、文化安全并列为四大主题之一,网络与信息安全已成为国家安全的重要组成部分。
中共中央办公厅、国务院办公厅印发《2006-2020年国家信息化发展战略》指出“到2020年,国家信息安全保障水平大幅提高”和“全面加强国家信息安全保障体系,大力增强国家信息安全保障能力”,是我国信息化发展的战略目标和战略重点。
2007年,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室共同发布了《信息安全等级保护管理办法》(公通字[2007]43号)和《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号),确立了安全等级保护作为国家信息安全的基本制度,并明确指出“铁路、银行、海关、税务、民航、电力、证券、保险等重要行业率先开展信息系统的安全保护等级工作”。
国资发[2007]8号文《关于加强中央企业信息化工作的指导意见》指出“推进中央企业信息化,是我国信息化发展战略的重要内容,是促进企业发展方式根本性转变的必然选择”。
并要求“把信息安全放在企业信息化的重要位置,要正确处理好加快信息化发展与保障安全的关系。
对处于国家重要行业中的中央企业,如军工企业、电力行业等,尤其要强调信息安全”。
国家电力监督管理委员会依据《电力安全生产监管办法》(电监会2号令),专门成立电力行业网络与信息安全领导小组,统一领导电力行业网络与信息安全监督管理工作,组织落实国家基础信息网络和重要信息系统安全保障工作的方针、政策和各项重大部署,并要求“努力推进电力行业网络与信息安全工作。
加快推进电力行业网络与信息安全法规体系及标准规范建设,建立电力行业信息安全等级保护制度,确保重要时段电力行业网络与信息安全”。
中国南方电网公司(简称“公司”)作为国有特大型骨干企业,供电范围覆盖南方五省(区),面积约100万平方公里,承担着为国民经济和人民生活提供安全可靠优质的电力供应与服务的重大使命。
公司高度重视信息化建设与信息安全保障体系建设,随着公司信息化推进,在公司范围内广泛使用了办公自动化系统、财务管理系统、电力营销管理系统、生产管理系统等信息系统,公司的经营管理对网络与信息系统的依赖程度不断提高,日常工作基本上离不开网络与管理信息系统,因此网络与信息系统的安全越来越显得重要,网络与信息安全影响到公司的形象和日常经营管理工作,也影响着公司信息化的进程。
由此《南方电网公司“十一五”信息化发展规划》明确指出了“以信息资源为核心,以网络和信息安全为基础,努力在加快信息化发展中解决信息安全问题,以信息安全保证信息化发展”,要求信息安全保障与信息化建设并重,坚持信息系统安全与信息化建设同步规划、同步建设、同步投入运行。
综观国家、电监会、国资委和公司自身对信息安全迫切需求,公司组织研究并制定南方电网公司信息安全保障体系,指导南方电网公司的网络与信息安全建设。
1.2适用范围
国家电力监管委员会第5号令公布的《电力二次系统安全防护规定》对生产控制大区(调度数据网)已有较为明确和详细的安全策略要求,所以本信息安全保障体系范围为管理信息大区(综合数据网络内的企业管理信息系统),不涉及生产控制大区(调度数据网)。
本体系适用于公司总部,各分、子公司及其下属单位(以下简称公司各单位)。
本体系指导和规范各单位管理信息大区的信息安全建设。
6
1.3参考文献
本文参考的国家信息安全政策法规、信息安全标准以及电力行业相关规范。
1.《2006-2020年国家信息化发展战略》(中办发[2006]11号)
2.《关于加强中央企业信息化工作的指导意见》(国资发[2007]8号)
3.《信息安全等级保护管理办法》(公通字[2007]43号)
4.《电力二次系统安全防护规定》(电监会5号令)
5.《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)
6.《信息安全风险评估规范》(GB/T20984-2007)
7.《信息安全管理体系规范》(ISO27001)
8.《信息系统通用安全技术要求》(GB/T20271)
9.《网络基础安全技术要求》(GB/T20270)
10.《操作系统安全技术要求》(GB/T20272)
11.《数据库管理系统安全技术要求》(GB/T20273)
12.《终端计算机系统安全等级技术要求》(GA/T671)
13.《信息系统安全管理要求》(GB/T20269)
2南网安全防护对象
通过分析公司网络模型、网络防护现状和公司信息系统建设情况以及信息系统安全保护对象及定级情况,定义南方电网公司安全防护对象主要包括计算环境、区域边界、网络与基础设施。
2.1计算环境
计算环境是按照一定的应用目标和规则组合而成的信息系统,一般由完成信息处理与存储的主机、操作系统、数据库管理系统、外部设备及其联接部件组成,南方电网公司计算环境是指管理信息大区内的各类管理信息系统,主要包括财务管理系统、办公自动化系统、电力营销管理系统、生产管理系统、人力资源管理系统、物资管理系统、工程管理系统、对外网站等信息系统。
管理信息系统
财务管理系统
办公自动化系统
电力营销管理系统
生产管理系统
人力资源管理系统
物资管理系统
工程管理系统
.
.
.
对外网站
图1南方电网公司计算环境
2.2区域边界
区域边界是指网络之间、计算环境之间以及计算环境与网络之间完成联接的部件,南方电网公司管理信息区域边界分为5类,分别为:
1.管理信息与生产控制大区边界
根据《电力二次系统安全防护规定》(电监会5号令)规定,将南方电网公司的网络划分为生产控制大区和管理信息大区,要求公司总部、各分子公司及其下属单位的生产控制大区与管理信息大区通过单向物理隔离系统进行边界划分。
2.管理信息大区与综合数据网(广域网)接入边界
是指公司总部、各分子公司及其下属单位的管理信息大区(单位局域网)与综合数据网(广域网)的边界划分。
3.管理信息大区与互联网接入边界
是指公司总部、各分子公司及其下属单位的管理信息大区(单位局域网)与互联网的边界划分。
4.无线局域网接入管理信息大区边界
无线局域网接入是指通过无线集线器、无线访问节点、无线网桥、无线网卡等设备组成无线局域网,并接入管理信息大区。
无线局域网的基础还是传统的有线局域网,只是无线局域网采用的传输媒体不是双绞线或者光纤,而是无线电波。
由于任何一个无线客户端都可以接收无线电波,故局域网非常容易受到攻击,被认为是一种不可靠的网络,所以在无线局域网接入管理信息大区时,必须进行边界划分。
5.管理信息大区内安全区域边界
是指公司总部、各分子公司及其下属单位,依据内部安全域划分原则,将管理信息大区(局域网)划分为若干不同安全区域,并进行边界划分。
内部安全域划分原则包括:
l业务重要性划分原则:
根据信息系统的业务重要性,结合安全保护等级,划分安全区域。
l安全隔离原则:
对高风险的网络(如对外服务区)进行有效隔离,避免威胁其它安全区域。
l可用性原则:
安全区域的划分不能影响系统的可用性,并尽量不影响业务服务。
图2南方电网公司区域边界示意图
2.3网络与基础设施
网络与基础设施包括综合数据网(广域网)、公司各单位管理信息大区内网(局域网),也包括各单位的机房或数据中心机房(IDC)。
1.管理信息大区内网
管理信息大区内网是指公司总部、各分子公司及下属单位的管理信息局域网,通过电力专用横向单向安全隔离装置与本单位的生产控制大区物理隔离。
各单位局域网内主要包括交换机、路由器等网络设备和防火墙、入侵检测等安全设备以及传输介质等辅助设施。
2.综合数据网
综合数据网是连接南方电网公司各单位管理信息局域网的广域网,承担公司各单位间管理业务信息的通讯传输。
3.机房或数据中心机房
机房或数据中心机房是指南方电网公司总部、各分子公司及下属单位,面向管理信息大区服务的机房或数据中心机房。
3南网安全目标与指导思想
3.1总体安全目标
建立、完善与南方电网信息化发展相适应的信息安全保障体系,以业务信息安全保障为核心,确保系统服务安全,保证网络及基础设施正常工作,有效防范和控制信息安全风险,增强信息系统安全预警和应急处置能力,显著提高公司信息安全保障水平。
Ø建立健全信息安全管理组织,落实信息安全责任制。
建立全面、完整、有效的信息安全保障体系,必须健全、完善信息安全管理组织,这是南方电网公司信息安全保障体系建立的首要任务。
Ø建立完善的信息安全风险管理机制。
针对信息安全风险的全程管理和信息安全管理持续改进,南方电网公司信息安全风险管理流程将覆盖需求分析、控制实施、运行监控和响应恢复四个环节,完善信息安全风险管理核心流程,并进行流程设计和实施。
Ø完善信息安全制度与技术标准规范。
逐步建立一套完整的、可操作的信息安全制度与技术标准体系,包括公司信息安全等级保护制度、信息安全应急处理机制等,并通过对执行效果的持续跟踪,不断完善制度与技术标准体系。
Ø提升基础设施的安全性,确保南方电网公司业务数据在存储、传输和使用过程中的安全,即不会泄漏给非授权用户、不会被非授权用户篡改;确保南方电网公司网络信息资源的可用性,保证网络安全可靠、高效可控持续地运行,保障公司管理信息系统的持续、稳定、安全运行。
Ø逐步建立专业化的信息安全服务技术平台,包括集中身份认证平台、安全管理中心等,提高公司网络与信息系统的防攻击、防破坏能力,保证重要信息系统的操作行为可审计。
3.2安全建设的指导思想
南方电网公司信息安全建设的指导思想是:
按照科学发展观的要求,全面落实《2006-2020年国家信息化发展战略》、国资委《关于加强中央企业信息化工作的指导意见》中提出的“保证信息安全,以安全保发展,在发展中求安全”,坚持信息安全保障与信息化建设并重,坚持信息安全与信息化建设“三同步”,即同步规划、同步建设、同步投入运行,坚持管理与技术并重,从管理体系、风险控制、基础设施和运行服务等方面入手,不断提高信息安全综合防护能力,确保公司网络与信息系统的安全运行。
l统筹规划,分步实施
依据南方电网公司信息化规划,统筹规划信息安全,按照信息系统建设的先后次序,制订信息安全年度建设计划,分步实施。
l综合防范、安全可控
坚持管理与技术并重,建立安全策略、安全组织、安全管理、安全技术的综合防范机制,强化运行管理手段,规范信息安全评估,完善信息系统应急机制,确保整体信息安全的可控性,保障南方电网信息系统的整体安全。
l分区分域、等级保护
依据信息系统的系统服务安全性和业务信息安全性,确定信息系统的安全保护等级,科学划分安全域。
参照国家等级保护基本要求,实现不同安全保护等级、业务类型的差异化安全防护措施,提高信息安全保障的可控性和实效性。
l滚动发展,长抓不懈
信息安全是一个动态的、复杂的长期过程,要形成安全防护长效机制,本着信息化发展中解决信息安全问题,以信息安全保证信息化发展,从管理体系、风险控制、基础设施和运行服务等方面入手,不断提高信息系统安全综合防护,确保南方电网公司网络和信息系统的安全运行。
3.3安全体系的设计原则
南方电网公司信息安全保障体系设计遵循以下原则:
Ø整体性:
从公司的整体出发、全面考虑各个方面的安全问题,综合运用技术手段和管理手段进行安全防护。
Ø合规性:
符合国家信息安全保障体系的总体要求,符合国家信息安全等级保护和国家密码管理等相关制度、标准的要求。
Ø针对性:
根据南方电网公司的组织结构特点、网络特点和业务特点,有针对性地提供安全防护措施,对信息系统进行有效、适度的防护。
Ø可持续性:
满足信息系统全生命周期管理的安全保障要求。
Ø可实施性:
符合公司业务特性和安全现状,提供可行的实施方案与规划。
Ø先进性:
安全体系的设计要具有一定的前瞻性,要考虑安全技术的发展趋势,满足业务未来发展的需求。
4南网信息安全保障体系框架
遵循国家政策法规和相关标准,结合南方电网公司实际,提出了南方电网公司信息安全保障体系框架,如图所示:
三层结构
政策法规
标准规范
安全防护保障
安全
组织
安全
技术
安全
管理
安全运行保障
安全
评估
应急
响应
安全
监管
持续
改进
安全防护对象
计算
环境
区域
边界
网络与
基础设施
[网、省、地市]
图3南方电网公司信息安全保障体系框架
南方电网公司信息安全保障体系框架以“深度防护战略”理论为基础,强调安全组织、安全管理、安全技术和安全运行四个核心原则,突出基于安全评估、安全监管(包括安全审计、安全监控等)、应急响应和持续改进的安全运行保障,重点关注计算环境、区域边界、网络与基础设施等多个层次的安全保护,同时,紧密结合南方电网公司总部、各分子公司及下属单位的三层组织结构和三层网络架构,在遵循国家的信息安全政策法规及相关标准规范下,建立相对完善和全面的信息安全保障体系。
南方电网公司信息安全保障体系框架主要包括安全防护对象、安全防护保障、安全运行保障等三个层面:
一、安全防护对象
安全防护对象包括计算环境、区域边界和网络与基础设施,安全防护对象是信息安全保障的目标。
二、安全防护保障
安全防护保障包括了安全组织、安全管理、安全技术三个方面。
通过构建安全组织结构、建立安全管理制度、落实安全技术要求,建立体现深度防护战略的安全防护保障。
并结合南方电网实际,提出安全组织要求、安全技术要求和安全管理要求,明确安全防护方案。
三、安全运行保障
安全运行保障是从系统安全运行的角度,利用安全防护保障中提供的组织、管理、技术等措施,从安全评估、安全监管、应急响应、持续改进等多个方面建立信息安全服务体系,确保南方电网公司网络与信息安全。
5安全防护要求
根据南方电网公司信息安全保障体系框架,参考《信息系统安全等级保护基本要求》、《网络基础安全技术要求》、《数据库管理系统安全技术要求》、《终端计算机系统安全等级技术要求》等标准规范,结合南方电网安全需求,提出安全防护要求,构建完整的安全保障体系。
安全防护要求包括安全组织要求、安全技术要求、安全管理要求等方面。
5.1安全组织要求
信息安全组织机构要求
信息安全组织的健全需要明确组织机构模型,南方电网信息安全机构模型包括信息安全领导机构和信息安全工作机构,如图所示。
信息安全领导机构
信息安全工作机构
图4南方电网信息安全组织机构模型
信息安全领导机构
南方电网公司、各分子公司及其下属单位成立相应的信息安全领导机构。
信息安全领导机构是本单位信息安全工作的最高决策机构,负责审定、发布的信息安全战略,确定信息安全的发展思路,负责推动整体信息安全的规划与建设,建立、管理信息安全组织机构,对本单位整体信息安全负责。
信息安全领导机构在单位内部对信息安全战略、安全管理制度的制定和执行起着关键的作用,其主要职责包括:
Ø统一领导本单位的网络与信息安全监督管理工作;
Ø负责与本单位高层领导沟通信息安全管理;
Ø组织落实上级网络与信息安全工作的方针、政策和各项重大部署;
Ø组织审定本单位网络与信息安全的发展战略、总体规划、重大政策、管理规范和技术标准;
Ø协调上下级单位、各业务部门间的信息安全工作。
信息安全工作机构
南方电网公司、各分子公司及其下属单位成立相应的信息安全工作机构。
信息安全工作机构是本单位信息安全工作的执行机构,执行本单位信息安全领导机构的决策,负责本单位信息安全的具体业务管理与日常管理工作,向信息安全领导机构汇报信息安全工作。
信息安全工作机构对信息安全战略、安全管理制度的落实起着重要的作用,其主要职责包括:
Ø执行信息安全领导机构的决策;
Ø传达上级领导的指示,落实信息安全领导机构的议定事项;
Ø负责本单位网络与信息安全监督管理的日常工作;
Ø研究提出本单位网络与信息安全的发展战略、总体规划、重大政策、管理规范和技术标准;
Ø组织编制本单位网络与信息安全重大突发事件应急预案,并督促落实。
信息安全组织要求
根据信息安全组织机构模型要求,建立适应南方电网公司的三层安全组织结构,分别为公司总部安全组织机构、各分子公司本部安全组织机构、各分子公司下属单位安全组织机构,如图所示:
公司总部安全组织机构
各分子公司本部安全组织机构
各分子公司下属单位安全组织机构
图5南方电网公司三层安全组织结构体系
公司总部安全组织机构要求
公司总部安全组织机构及角色配置要求如下:
Ø公司总部成立南方电网公司信息安全领导机构,承担公司信息安全领导机构职责;
Ø公司总部成立南方电网公司信息安全工作机构,承担公司信息安全工作机构职责。
公司总部配备安全管理员、系统管理员、网络管理员,要求如下:
Ø公司总部配备专职安全管理员。
原则上,安全管理员不能兼任网络管理员、系统管理员、应用管理员等;
Ø公司总部配备系统管理员、网络管理员、应用管理员。
原则上,不能相互兼职。
各分子公司本部安全组织机构要求
各分、子公司本部安全组织机构及角色配置要求如下:
Ø各分、子公司成立信息安全领导机构,承担本单位信息安全领导机构职责;
Ø各分、子公司成立信息安全工作机构,承担本单位信息安全工作机构职责。
各分、子公司本部配备一定数量的安全管理员、系统管理员、网络管理员等,要求如下:
Ø各分、子公司本部配备专职安全管理员。
原则上,不能兼任网络管理员、系统管理员、应用管理员等;
Ø各分、子公司本部配备系统管理员、网络管理员、应用管理员。
原则上,不能相互兼职。
各分子公司下属单位安全组织机构要求
各分、子公司下属单位安全组织机构及角色配置要求如下:
Ø各分、子公司下属单位成立信息安全领导机构,承担本单位信息安全领导机构职责;
Ø各分、子公司下属单位应成立信息安全工作机构,承担本单位信息安全工作机构职责。
各分、子公司下属单位配备一定数量的安全管理员、系统管理员、网络管理员等,要求如下:
Ø下属单位配备安全管理员,允许安全管理员兼职网络管理员;
Ø下属单位配备系统管理员、网络管理员、应用管理员,允许相互兼职。
信息安全角色与职责要求
在信息安全工作机构的管理下,信息安全专业团队核心分别为安全管理角色、系统管理角色、网络管理角色、应用管理角色,如图所示。
信息安全工作机构
安全
管理
角色
系统
管理
角色
网络
管理
角色
应用
管理
角色
图6南方电网公司安全角色定义
安全管理角色
安全管理角色也是信息安全主管,在信息安全工作机构的授权下,具体负责整个信息系统信息安全管理的各项工作,并直接向信息安全工作机构汇报工作。
其主要职责包括:
Ø设计信息安全方针、安全管理制度、信息安全技术规范;
Ø落实开展信息安全教育培训工作;
Ø帮助信息系统业务负责人制定相关的信息安全策略;
Ø指导并参与信息安全项目的建设;
Ø指导信息化项目中信息安全的需求分析、设计和测试等工作。
系统管理角色
系统管理角色是信息安全运行角色之一,负责操作系统、数据库等系统的安全运维和监管。
其主要职责包括:
Ø设计操作系统、数据库等系统的安全管理制度、安全策略及配置;
Ø负责操作系统、数据库等系统的日常运维管理;
Ø负责操作系统、数据库等系统的安全运行监控,包括升级、加固、漏洞扫描、日志审计等;
Ø负责操作系统、数据库等系统的应急处置;
Ø定期提交操作系统、数据库等系统安全运行报告。
网络管理角色
网络管理角色是信息安全运行角色之一,负责网络设备的安全运维和监管,其主要职责包括:
Ø负责网络规划与调整,设计网络设备的安全配置和安全策略;
Ø负责网络设备的日常运维管理;
Ø负责网络设备的安全运行监控,包括脆弱性分析研究、日志审计;
Ø负责网络设备的应急处置;
Ø定期提交网络设备安全运行报告。
应用管理角色
应用管理角色是信息安全运行角色之一,负责应用系统的安全运维和监管,其主要职责包括:
Ø设计应用系统安全管理制度;
Ø负责应用系统日常运维管理
Ø负责应用系统的安全运行监控,包括升级、日志审计等;
Ø负责应用系统的应急处置;
Ø定期提交应用系统安全运行报告。
5.2安全技术要求
参考国家信息系统安全等级保护相关标准,,提出了南方电网信息安全技术要求,主要包括计算环境安全要求、区域边界安全要求、网络与基础设施安全要求和安全管理中心要求,如图所示:
计算环境
安全要求
安全管理中心
要求
安全技术要求
区域边界
安全要求
网络与基础设施
安全要求
图7南方电网信息安全技术要求
计算环境安全要求
计算环境安全包括应用、数据、主机、终端等方面的安全要求,主要包括身份鉴别、授权与访问控制、安全审计、互联网远程接入控制、数据完整性与保密性、备份与恢复、终端安全控制、安全加固、病毒与恶意代码防范等具体技术要求。
身份鉴别
身份鉴别主要包括应用身份鉴别和主机身份鉴别,并分别对第二级(含第一级)的信息系统和第三级及以上的信息系统(分别简称二级系统和三系统,下同)提出技术要求。
n应用身份鉴别
序号
技术要求项
二级
系统
三级
系统
1.
应用系统用户的身份标识应具备唯一性
√
√
2.
系统用户的的口令长度不低于八位,并字母数字组合和定期更新。
√
√
3.
采用数字证书技术与用户名口令组合的鉴别技术实现用户身份鉴别
×
√
4.
对应用系统的登录,应具备登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施
√
√
5.
具有鉴别警示功能,并应及时清除存储空间中动态使用的鉴别信息
×
√
6.
当系统中存在多个用户要访问多个应用系统时,应对用户身份进行集中认证;
×
√
7.
当系统中用户数量较多时,应当对用户身份、主从账号、属性信息等进行集中管理;
×
√
注:
“√”表示必须满足,“×”表示不要求(下同)
n