1、山东省电力集团公司信息系统等级保护建设方案二零零九年八月版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属国网电力科学研究院/国网信息网络安全实验室和山东省电力集团公司所有，受到有关产权及版权法保护。任何个人、机构未经国网电力科学研究院/国网信息网络安全实验室和山东省电力集团公司的书面授权许可，不得以任何方式复制或引用本文的任何片断。文档信息文档名称山东省电力集团公司信息系统等级保护建设方案文档管理编号INSL-SDDL-BLT-2009-FA保密级别商 密文档版本号V3.0制作人郭骞制作日期2009年6月复审人余 勇复审日期2009年6月扩散范2、围国家电网公司信息网络安全实验室山东省电力集团公司扩散批准人林为民版本变更记录时间版本说明修改人2009-V1.0创建文档郭骞2009-V2.0修改文档俞庚申2009-V3.0文档复审定稿余 勇适用性声明本报告由国网电力科学研究院/国网信息网络安全实验室撰写，适用于山东省电力集团公司信息系统等级保护项目。目 录1.项目概述11.1目标与范围11.2方案设计21.3参照标准22.建设总目标22.1等级保护建设总体目标23.安全域及网络边界防护33.1信息网络现状33.2安全域划分方法43.3安全域边界5二级系统边界5三级系统边界63.4安全域的实现形式73.5安全域划分及边界防护8安全域的划分83、4.信息安全管理建设114.1建设目标115.二级系统域建设125.1概述与建设目标125.2网络安全13网络安全建设目标13地市公司建设方案135.3主机安全19主机安全建设目标19主机身份鉴别19访问控制22安全审计23入侵防范26恶意代码防范28资源控制285.4应用安全30应用安全建设目标30身份鉴别31安全审计31通信完整性、通信保密性32资源控制335.5数据安全及备份恢复34数据安全及备份恢复建设目标34数据完整性、数据保密性346.三级系统域建设366.1概述与建设目标366.2物理安全36物理安全建设目标36机房感应雷防护措施37物理访问控制37防盗措施37防火措施38防水和4、防潮39电磁防护396.3网络安全建设方案40网络安全建设目标40建设方案406.4主机安全46主机安全建设目标46主机身份鉴别46访问控制49安全审计51剩余信息保护54入侵防范55恶意代码防范57资源控制586.5应用安全59应用安全建设目标59身份鉴别59访问控制60安全审计61剩余信息保护63通信完整性、通信保密性、抗抵赖63资源控制646.6数据安全及备份恢复66数据安全及备份恢复建设目标66数据完整性、数据保密性66备份和恢复671. 项目概述根据国家电网公司关于信息安全等级保护建设的实施指导意见（信息运安200927号）和山东省电力集团公司对等级保护相关工作提出的要求，落实等级保5、护各项任务，提高山东省电力集团公司信息系统安全防护能力，特制定本方案。1.1 目标与范围公司为了落实和贯彻公安部、国家保密局、国家密码管理局、电监会等国家有关部门信息安全等级保护工作要求，全面完善公司信息安全防护体系，落实公司“双网双机、分区分域、等级防护、多层防御”的安全防护策略，确保等级保护工作在各单位的顺利实施，提高公司整体信息安全防护水平，开展等级保护建设工作。前期在省公司及地市公司开展等级保护符合性测评工作，对地市公司进行测评调研工作，范围涵盖内网门户、外网门户、财务管理系统、营销管理系统、电力市场交易系统、生产管理信息系统、协同办公系统、人力资源管理系统、物资管理系统、项目管理系统6、邮件系统、公司广域网SGInet、管理制度这13个业务系统分类，分析测评结果与等级保护要求之间的差距，提出本的安全建设方案。本方案主要遵循GB/T22239-2008信息安全技术信息安全等级保护基本要求、信息安全等级保护管理办法（公通字200743号）、信息安全技术 信息安全风险评估规范（GB/T 20984-2007）、国家电网公司信息化“SG186”工程安全防护总体方案、ISO/IEC 27001信息安全管理体系标准和ISO/IEC 13335信息安全管理标准等。实施的范围包括：省公司本部、各地市公司。通过本方案的建设实施，进一步提高信息系统等级保护符合性要求，将整个信息系统的安全状况提7、升到一个较高的水平，并尽可能地消除或降低信息系统的安全风险。1.2 方案设计根据等级保护前期测评结果，省公司本部及各地市公司信息系统存在的漏洞、弱点提出相关的整改意见，并最终形成安全解决方案。1.3 参照标准GB/T22239-2008信息安全技术信息安全等级保护基本要求信息安全等级保护管理办法（公通字200743号）信息安全技术 信息安全风险评估规范（GB/T 20984-2007）国家电网公司信息化“SG186”工程安全防护总体方案ISO/IEC 27001信息安全管理体系标准ISO/IEC 13335信息安全管理标准国家电网公司“SG186”工程信息系统安全等级保护验收测评要求（征求意见8、稿）国家电网公司信息机房设计及建设规范国家电网公司信息系统口令管理规定GB50057-94建筑防雷设计规范国家电网公司应用软件通用安全要求2. 建设总目标2.1 等级保护建设总体目标综合考虑省公司现有的安全防护措施，针对与信息安全技术信息系统安全等级保护基本要求间存在的差异，整改信息系统中存在的问题，使省公司及地市公司信息系统满足信息安全技术信息系统安全等级保护基本要求中不同等级的防护要求，顺利通过国家电网公司或公安部等级保护建设测评。3. 安全域及网络边界防护根据GB/T22239-2008信息安全技术信息安全等级保护基本要求、国家电网公司信息化“SG186”工程安全防护总体方案及国家电网公9、司“SG186”工程信息系统安全等级保护验收测评要求（征求意见稿）的要求，省公司及地市公司信息系统按照业务系统定级，根据不同级别保护需求，按要求划分安全区域进行分级保护。因此，安全域划分是进行信息安全等级保护建设的首要步骤。3.1 信息网络现状山东省电力集团公司各地市信息内网拓扑典型结构：图：典型信息网络现状主要问题：u 各安全域之间缺乏有效的控制措施不能够保障业务系统安全、独立运行，不受其他业务系统的影响。根据GB/T22239-2008信息安全技术信息安全等级保护基本要求和国家电网公司信息化“SG186”工程安全防护总体方案的建设要求，省公司和各地市信息网络安全域需根据业务系统等级进行重新10、划分。3.2 安全域划分方法依据国家电网公司安全分区、分级、分域及分层防护的原则，管理信息大区按照双网隔离方案又分为信息内网与信息外网。本方案主要针对公司信息系统进行等级保护建设。在进行安全防护建设之前，首先实现对信息系统的安全域划分。依据SG186总体方案中 “二级系统统一成域，三级系统独立分域”的要求，结合省公司MPLS VPN现状，采用纵向MPLS VPN结合VLAN划分的方法，将全省信息系统分为：信息内网区域可分为：u 电力市场交易系统MPLS VPN（或相应纵向通道）：包含省公司电力市场交易应用服务器VLAN、省公司电力市场交易办公终端；u 财务管理系统MPLS VPN（或相应纵向通11、道）：包含省公司财务管理系统VLAN、省公司财务办公终端VLAN、各地市财务办公终端VLAN（13个）；u 营销管理系统MPLS VPN（或相应纵向通道）：省公司营销系统VLAN、省公司营销办公终端VLAN、各地市营销系统VLAN（13个）、各地市营销办公终端VLAN（13个）u 二级系统MPLS VPN（或相应纵向通道）（二级系统包括：内部门户（网站）、生产管理信息系统、协同办公系统、人力资源管理系统、物资管理系统、项目管理系统和邮件系统）：u 公共服务MPLS VPN（或相应纵向通道）：包含DNS、FTP等全省需要访问的公共服务u 信息内网桌面终端域信息外网区的系统可分为：u 电力市场交易12、系统域u 营销管理系统域（95598）u 外网二级系统域（外网门户等）u 信息外网桌面终端域安全域的具体实现采用物理防火墙隔离、虚拟防火墙隔离或Vlan隔离等形式进行安全域划分。3.3 安全域边界3.3.1 二级系统边界u 二级系统域存在的边界如下表：边界类型边界描述第三方网络边界Internet边界纵向网络边界省公司与华北电网公司间、省公司与其地市公司之间横向域间边界在信息内外网区与桌面终端域的边界在信息内外网区与基础系统域的边界与财务系统域之间的边界与电力市场交易系统域的边界与营销管理系统域间的边界u 二级系统域的网络边界拓扑示意图如下：3.3.2 三级系统边界财务管理系统、电力市场交易系13、统和营销系统均涉及信息内网与银行联网存在第三方网络边界接口、省公司与地市公司之间网络边界接口、信息内网横向域间其它二级系统域间接口，电力市场交易系统还涉及信息外网与Internet存在第三方网络边界接口。u 三级系统域存在的边界如下表：边界类型边界描述信息外网第三方边界与Internet互联网的边界，实现：公共服务通道（边远站所、移动服务、PDA现场服务、居民集中抄表、负控终端采集、抢修车辆GPS定位等）与其他社会代收机构连接（VPN）网上营业厅短信服务时钟同步信息内网第三方边界银企互联边界与其他社会代收机构的边界（专线连接）公共服务通道（专线、GPRS、CDMA等）纵向网络边界省公司与地市公14、司横向域间边界与二级系统域间的边界与内外网桌面终端域的边界与内外网基础系统域的边界与其它三级域之间的边界u 三级系统域的网络边界拓扑示意图如下：3.4 安全域的实现形式安全域实现方式以划分逻辑区域为主，旨在实现各安全区域的逻辑划分，明确边界以对各安全域分别防护，并且进行域间边界控制，安全域的实体展现为一个或多个物理网段或逻辑网段的集合。对公司信息系统安全域的划分手段采用如下方式：u 防火墙安全隔离：采用双接口或多接口防火墙进行边界隔离，在每两个安全域的边界部署双接口防火墙，或是采用多接口防火墙的每个接口分别与不同的安全域连接以进行访问控制。u 虚拟防火墙隔离：采用虚拟防火墙实现各安全域边界隔离15、，将一台防火墙在逻辑上划分成多台虚拟的防火墙，每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备，可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。在本方案实现中，可以为每个安全域建立独立的虚拟防火墙进行边界安全防护。u 三层交换机Vlan隔离：采用三层交换机为各安全域划分Vlan，采用交换机访问控制列表或防火墙模块进行安全域间访问控制。u 二层交换机Vlan隔离：在二层交换机上为各安全域划分Vlan，采用Trunk与路由器或防火墙连接，在上联的路由器或防火墙上进行访问控制。对于一个应用的子系统跨越多个物理环境如设备机房所带来的分域问题，由于安全域为逻辑区域，可以将公司层面上的多16、个物理网段或子网归属于同一安全域实现安全域划分。3.5 安全域划分及边界防护3.5.1 安全域的划分结合SG186总体方案中定义的“二级系统统一成域，三级系统独立分域”，在不进行物理网络调整的前提下，将财务系统和物资与项目系统进行分离，使三级财务系统独立成域，二级系统物资和项目管理归并和其他二级系统统一成域，在VPN内，建立ACL控制桌面终端与服务器间的访问，现将省公司信息系统逻辑安全域划分如下：图：省公司内网逻辑划分图图：全省信息系统MPLS VPN安全域划分逻辑图图：信息外网安全域划分逻辑图在原有的MPLS VPN的基础上结合VLAN划分方法，根据等级保护及国网SG186总体防护方案有求，17、对全省信息系统进行安全域划分。1) 三级系统与二级系统进行分离：集中集成区域的三台小型机采用集群模式部署了财务、物资、项目这三个业务系统，由于财务为三级业务系统，应要独立成域，必须将财务系统从集群中分离出来，安装在独立的服务器或者小型机上，接入集中集成区域或新大楼服务器区。2) 划分安全域，明确保护边界：采用MPLS VPN将三级系统划分为独立安全域。财务系统MPLS VPN、电力市场交易系统MPLS VPN、营销系统MPLS VPN、二级系统安全域、桌面安全域、公共应用服务安全域。二级系统安全域包含除三级系统外的所有应用系统服务器；桌面安全域包含各业务部门桌面终端VLAN；公共引用服务安全域18、为全省均需要访问的应用服务器，如DNS等。目前信息外网存在三大业务系统：外网门户、营销系统95598网站、电力市场交易系统外网网站。根据等级保护要求应将营销系统95598网站和电力市场交易系统外网网站分别划分独立的VLAN，并在边界防火墙上设置符合等级保护三级要求的VLAN访问控制策略。3) 部署访问控制设备或设置访问控制规则在各安全域边界设置访问控制规则，其中安全域边界按照“安全域边界”章节所列举的边界进行防护。访问控制规则可以采用交换机访问控制策略或模块化逻辑防火墙的形式实现。二级系统安全域边界访问控制规则可以通过交换机的访问控制规则实现，访问控制规则满足如下条件：u 根据会话状态信息为数19、据流提供明确的允许/拒绝访问的能力，控制粒度为网段级。u 按用户和系统之间的允许访问规则，控制粒度为单个用户。三级系统安全域边界的安全防护需满足如下要求：u 根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；u 对进出网络的信息内容进行过滤，实现对应用层协议命令级的控制。4) 入侵检测系统部署：二级系统、三级系统安全域内应部署入侵检测系统，并根据业务系统情况制定入侵检测策略，检测范围应包含二级系统服务器、三级系统服务器、其他应用服务器，入侵检测应满足如下要求：u 定制入侵检测策略，如根据所检测的源、目的地址及端口号，所需监测的服务类型以定制入侵检测规则；u 定制入侵检测20、重要事件即时报警策略；u 入侵检测至少可监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；u 当检测到攻击行为时，入侵检测系统应当记录攻击源IP、攻击类型、攻击目的IP、攻击时间，在发生严重入侵事件时应能提供及时的报警信息。4. 信息安全管理建设4.1 建设目标省公司信息系统的管理与运维总体水平较高，各项管理措施比较到位，经过多年的建设，已形成一整套完备有效的管理制度。省公司通过严格、规范、全面的管理制度，结合适当的技术手段来保障信息系统的安全。管理规范已经包含了信息安全策略、信息安全组织、资产管理、人力资源安全、物理与环境安全、通21、讯与操作管理、访问控制、信息系统的获取、开发和维护、信息安全事故管理、业务连续性管理等方面，但与信息安全技术信息系统安全等级保护基本要求存在一定的差距，需进行等级保护建设。通过等级保护管理机构与制度建设，完善公司信息系统管理机构和管理制度，落实信息安全技术信息系统安全等级保护基本要求管理制度各项指标和要求,提高公司信息系统管理与运维水平。通过等级保护建设，实现如下目标：1) 落实信息安全技术信息系统安全等级保护基本要求管理制度各项指标和要求。2) 在公司信息安全总体方针和安全策略的引导下，各管理机构能按时需要规划公司信息安全发展策略，及时发布公司各类信息安全文件和制度，对公司各类安全制度中存在22、的问题定期进行修订与整改。3) 系统管理员、网络管理员、安全管理员等信息安全管理与运维工作明确，明确安全管理机构各个部门和岗位的职责、分工和技能要求。4) 在安全技术培训与知识交流上，能拥有安全业界专家、专业安全公司或安全组织的技术支持，以保证省公司信息系统安全维护符合各类安全管理要求并与时俱进。5. 二级系统域建设5.1 概述与建设目标二级系统域是依据等级保护定级标准将国家电网公司应用系统定为二级的所有系统的集合，按分等级保护方法将等级保护定级为二级的系统集中部署于二级系统域进行安全防护，二级系统域主要涵盖与二级系统相关的主机、服务器、网络等。省公司二级系统主要包括内部门户（网站）、对外门户23、（网站）、生产管理信息系统、协同办公系统、人力资源管理系统、物资管理系统、项目管理系统和邮件系统等共8个二级系统，除对外门户外，其它七个内网二级系统需按二级系统要求统一成域进行安全防护。二级系统域等级保护建设目标是落实信息安全技术信息安全等级保护基本要求中二级系统各项指标和要求，实现信息系统二级系统统一成域，完善二级系统边界防护，配置合理的网络环境，增强二级系统主机系统安全防护及二级系统各应用的安全与稳定运行。针对信息安全技术信息安全等级保护基本要求中二级系统各项指标和要求，保障系统稳定、安全运行，本方案将二级系统域安全解决方案分为边界防护、网络环境、主机系统及应用安全四个层面进行安全建设。524、.2 网络安全5.2.1 网络安全建设目标省公司下属各地市公司网络安全建设按照二级系统要求进行建设，通过等级保护建设，实现如下目标：1) 网络结构清晰，具备冗余空间满足业务需求，根据各部门和业务的需求，划分不同的子网或网段，网络图谱图与当前运行情况相符；2) 各网络边界间部署访问控制设备，通过访问控制功能控制各业务间及办公终端间的访问；3) 启用网络设备安全审计，以追踪网络设备运行状况、设备维护、配置修改等各类事件；4) 网络设备口令均符合国家电网公司口令要求，采用安全的远程控制方法对网络设备进行远程控制。5.2.2 地市公司建设方案根据测评结果，地市公司信息网络中网络设备及技术方面主要存在以25、下问题：1) 网络设备的远程管理采用明文的Telnet方式；2) 部分网络设备采用出厂时的默认口令，口令以明文的方式存储于配置文件中；3) 交换机、IDS等未开启日志审计功能，未配置相应的日志服务器；4) 供电公司内网与各银行间的防火墙未配置访问控制策略；5) 网络设备采用相同的SNMP口令串进行管理；6) 未开启网络设备登录失败处理功能，未限制非法登录次数，当网络登录连接超时时未设置自动退出等措施；7) 缺少对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查与监测措施；8) 未限制网络最大流量数及网络连接数；9) 未限制具有拨号访问权限的用户数量。针对以上问题，结合信息安全技26、术信息安全等级保护基本要求给出相应整改方案如下：1) 关闭防火墙、交换机和IDS的telnet服务，启用安全的管理服务，如SSH和https。部分不支持SSH的交换机应在交换机上限制可telnet远程管理的用户地址，实施配置如下（以思科交换机为例）：Router#config terminalRouter(config)#access-list 10 permit tcp 10.144.99.120 .0 eq 23 any（只允许机器telnet登录，如需配置某一网段可telnet远程管理，可配置为：access-list 10 permit tcp 10.144.99.1 .255 eq 27、23 any）Router(config)#line vty 0 4（配置端口0-4）Router(Config-line)#Transport input telnet（开启telnet协议，如支持ssh，可用ssh替换telnet）Router(Config-line)#exec-timeout 5 0Router(Config-line)#access-class 10 inRouter(Config-line)#endRouter#config terminalRouter(config)#line vty 5 15Router(Config-line)#no login(建议vty开28、放5个即可，多余的可以关闭)Router(Config-line)#exitRouter(Config)#exitRouter#write2) 修改网络设备出厂时的默认口令，且修改后的口令应满足长度大于等于8位、含字母数字和字符的强度要求，其它不满足此口令强度要求的，均应要进行修改。部分楼层接入交换机，应及时修改口令；交换机应修改其SNMP口令串；防火墙口令应满足口令强度要求。交换机SNMP口令串修改实施步骤如下（以思科交换机为例）：Router#config terminal Router(config)# no snmp-server community COMMUNITY-NAME1 R29、O （删除原来具有RO权限的COMMUNITY-NAME1）Router(config)# snmp-server community COMMUNITY-NAME RO （如需要通过snmp进行管理，则创建一个具有读权限的COMMUNITY-NAME，若COMMUNITY-NAME权限为RW,则将命令行中RO更改为RW）Router(config)# snmp-server enable traps （允许发出Trap）Router(config)#exitRouter#write3) 交换机、IDS和防火墙等应开启日志审计功能，并配置日志服务器保存交换机、IDS和防火墙的日志信息。以思科交30、换机为例，日志审计和日志收集存储于服务器实施配置如下：Route#config terminalRoute(config)#logging on （启用日志审计） Route(config)#logging console notification （设置控制等级为5级：notification）Route(config)#!Set a 16K log buffer at information level Route(config)#logging buffered 16000 information （设置其大小为16K）Route(config)#!turn on time/date s31、tamps in log messages Route(config)#service timestamp log datetime msec local show-timezone Route(config)#!set monitor logging level to level 6 Route(config)#logging monitor information Route(config)#exit Route#!make this session receive log messages Route#terminal monitor Route#config terminal Rout32、e(config)#logging trap information （控制交换机发出日志的级别为6级：information） （将日志发送到192.168.10.188，如需修改服务器，可采用Route(config)#no 88删除，然后重新配置日志服务器）Route(config)#logging facility local6 Route(config)#logging source-interface FastEthernet 0/1 （设置发送日志的以太网口）Route(config)#exit Route#config terminal Route(config)#loggin33、g trap information Route(config)#snmp-server host 192.168.10.1 traps public （配置发送trap信息主机）Route(config)#snmp-server trap-source Ethernet 0/1 Route(config)#snmp-server enable traps syslog Route(config)#exitRoute# write4) 供电公司内网与各银行和移动或电信间的防火墙应配置访问控制策略保证供电公司信息内网的安全。5) 根据国家电网公司信息系统口令管理规定制定或沿用其以管理省公司网络设34、备口令。国家电网公司信息系统口令管理规定具体内容如下：第四条口令必须具有一定强度、长度和复杂度，长度不得小于8位字符串，要求是字母和数字或特殊字符的混合，用户名和口令禁止相同。第五条个人计算机必须设置开机口令和操作系统管理员口令，并开启屏幕保护中的密码保护功能。第六条口令要及时更新，要建立定期修改制度，其中系统管理员口令修改间隔不得超过3个月，并且不得重复使用前3次以内的口令。用户登录事件要有记录和审计，同时限制同一用户连续失败登录次数，一般不超过3次。6) 所有网络设备均应开启网络设备登录失败处理功能、限制非法登录次数、当网络登录连接超时时自动退出等措施。以思科交换机为例，网络登录连接超时时35、自动退出实施如下：Router#config terminalRouter(Config)#line con 0 配置控制口Router(Config-line)#exec-timeout 5 0 设置超时5分钟Router(Config-line)#exitRouter(Config)#exitRouter#write7) 部署桌面管理系统，对内部网络中的用户网络连接状态进行实时监控，以保证内部用户不可私自联到外部网络；配置桌面管理系统策略，对私自连接到外网的内部用户进行准确定位并阻断内外网互通。8) 在交换机上限制网络最大流量数及网络连接数，通过限制某些网段网络服务提高网络通信流量。以思科36、交换机为例，实施配置如下：Router#config terminal Router(config)# access-list 101 deny tcp .0 .255 any www.0网段访问Internet）Router(config)# access-list 102 deny tcp .0 .255 any .0网段ftp服务）Router(config)# ip nat translation max-entries 172.16.55.0 .255 200（限制172.16.55.0网段的主机NAT的条目为200条）Route(config)#exitRoute# write限制37、具有拨号访问权限的用户。由于营销系统存储EMC，需要进行远程拨号维护；需要关闭远程拨号服务，采用更为安全的管理维护方式。5.3 主机安全5.3.1 主机安全建设目标省公司及其各地市公司信息中心对主机进行了一定的安全策略配置，并建立相关安全管理制度，由专人负责主机安全运行与维护，总体安全性较高。但仍有一些安全问题亟待解决，如安全审计不严格、开启非必须服务以及默认的用户口令策略等。针对省公司及其地市公司二级系统主机存在的问题，结合信息安全技术信息安全等级保护基本要求，从主机身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和资源控制等方面进行主机安全等级保护建设与改造，以实现以下目标：1) 对主38、机的登录有严格的身份标识和鉴别；2) 有严格的访问控制策略限制用户对主机的访问与操作；3) 有严密的安全审计策略保证主机出现故障时可查；4) 拥有相关技术手段，抵抗非法入侵和恶意代码攻击。5.3.2 主机身份鉴别省公司及地市公司主机身份鉴别现状与等级保护要求存在一定的差距，应对以下几个方面进行完善主机身份鉴别：1) 对登录操作系统的用户进行身份标识和鉴别；2) 操作系统管理用户身份标识具有不易被冒用的特点，口令有复杂度并定期更换；3) 启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；4) 对服务器进行远程管理时，采取必要措施，防止鉴别信息在网络传输过程中被窃听；整改措施39、：1) 对登录操作系统的管理员用户和普通用户均设置口令；删除操作系统中过期的账户，修改操作系统中默认帐户和口令，检查操作系统中是否存在相同用户名的账户。操作系统操作方式AIX1. 检查/etc/passwd密码域中存在“*”的帐户，删除不必要的账户，或增设口令；WINDOWS1. 删除非法帐号或多余帐号，更改默认管理员帐号，将原Administrator名称改成不被人熟识的帐户，新建一个普通用户，将其重命名为Administrator，并将其权限设为最低，口令复杂度为32位以上；2. 选择“本地用户和组”的“用户”，可设置口令、删除或禁用非必需账户或禁用Guest账户。注：管理员账号Admin40、istrator重命名后，可能会导致某些服务不能用，如SQL Server数据库可能无法启动，修改前，需在备机上进行测试运行一周时间，无任何问题，再在主机上进行修改。2) 增强操作系统口令强度设置： 操作系统操作方式AIX1. 修改passwd参数：/etc/security/user- maxage=30 口令最长生存期30天- maxrepeat=4 每个口令在系统中重复出现的次数- minalpha=4 口令中最小含有的字符个数- mindiff=2 新口令不同于旧口令的最小个数 - minlen = 8 口令最短长度（包含字母、数字和特殊字符）WINDOWS1. 修改“密码策略”，开启41、复杂性要求，设置口令最小长度等：密码复杂性要求启用密码长度最小值8字符密码最长存留期30天密码最短存留期0天复位帐户锁定计数器10分钟帐户锁定时间10分钟帐户锁定阀值5次注：设置密码策略后可能导致不符合密码策略的帐号无法登录。在修改密码策略前，需修改不符合帐号策略的密码使其符合策略要求，最后再修改密码策略。3) 启用登录失败处理功能，设置限制非法登录次数和自动退出等措施。操作系统操作方式AIX1. 配置登录策略：修改/etc/security/login.cfg文件logindelay=3 失败登录后延迟3秒显示提示符logindisable=5 5次失败登录后锁定端口logininterva42、l=60 在60秒内3次失败登录才锁定端口loginreenable15 端口锁定15分钟后解锁2. 增加或修改/etc/profile文件中如下行：TMOUT=600 ;WINDOWS1. 修改“账户锁定策略”，设置帐户锁定相关设置：复位账户锁定计数器 15分钟账户锁定时间 15分钟账户锁定阈值 5次4) 当对服务器进行远程管理时，对于UNIX类服务器，用当前稳定版本的SSH等安全工具取代明文传输的telnet，并及时升级，保证传输数据的安全性；对于windows类服务器，关闭不必要的telnet服务，采用加密或认证的方式保证数据才网络传输过程中的保密性、完整性和可用性。操作系统操作方式AI43、X1. 增加或修改/etc/security/user文件中如下行root: admin = true SYSTEM = compat loginretries = 0 account_locked = false rlogin=false如果无法禁用telnet服务，也可使用TCP wrapper、防火墙或包过滤技术禁止不可信IP对telnet服务（例如 23/TCP端口）访问。WINDOWS1. 禁用不需要的服务，如remote Registry 、telnet等（远程管理注册表，开启此服务带来一定的风险）。2. 采用其他加密的远程桌面管理软件代替远程桌面管理，或者在远程桌面管理上启用证书44、认证系统。注：应用系统或程序可能对特定的系统服务有依赖关系，在未确定某个服务是否需要前，请勿关闭该服务，否则会影响应用系统或程序的正常运行。5.3.3 访问控制省公司及地市公司主机身份鉴别现状与等级保护要求存在一定的差距，应对以下几个方面进行完善：1) 启用访问控制功能，依据安全策略控制用户对资源的访问；2) 实现操作系统特权用户的权限分离；3) 限制默认帐户的访问权限，重命名系统默认帐户，修改帐户的默认口令；4) 及时删除多余的、过期的帐户，避免共享帐户的存在。整改措施：1) 在交换机和防火墙上设置不同网段、不同用户对服务器的访问控制权限；关闭操作系统开启的默认共享，对于需开启的共享及共享文45、件夹设置不同的访问权限，对于操作系统重要文件和目录需设置权限要求。操作系统操作方式AIX1. 修改普通用户对下列文件的权限：/bin；/sbin；/etc；/etc/passwd；/etc/group；/usr/bin；WINDOWS1. 修改访问控制策略，将注册标中restrictanonymous值改为1；2. 删除不必要的共享文件夹或修改其权限，重要共享文件夹的权限属性不能为everyone完全控制。2) 设置不同的管理员对服务器进行管理，分为系统管理员、安全管理员、安全审计员等以实现操作系统特权用户的权限分离，并对各个帐户在其工作范围内设置最小权限，如系统管理员只能对系统进行维护，安全46、管理员只能进行策略配置和安全设置，安全审计员只能维护审计信息等。3) 限制默认帐户的访问权限，重命名系统默认帐户，修改帐户的默认口令；删除操作系统和数据库中过期或多余的账户，禁用无用帐户或共享帐户。操作系统操作方式AIX1. 禁用 文件/etc/security/user中，sys, bin, uucp, nuucp, daemon等系统默认帐户。在用户前面加上注释号“#”WINDOWS1. 修改administrator名称，将原Administrator名称改成不被人熟识的帐户，同时将一个普通帐户名称改成Administrator，登录普通帐户执行系统所有操作；2. 禁用Guest账号。447、) 根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限。操作系统操作方式AIX1. 更改默认口令。使用smit或增加、修改/etc/security/user下各用户的设置：将su=true更改为su=falseWINDOWS1. 修改管理用户的权限；5.3.4 安全审计省公司及地市公司主机访问控制现状与等级保护要求存在一定的差距，需对以下几个方面进行完善：1) 审计范围覆盖到服务器和重要客户端上的每个操作系统用户；2) 审计内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；3) 审计记录包括事件的日期、时间、类型、主体标识、48、客体标识和结果等；4) 保护审计记录，避免受到未预期的删除、修改或覆盖等。整改措施：1) 审计范围覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。操作系统操作方式AIX1. 开启syslog功能：正在审查 开bin 处理 开审查事件 开审查目标 开审核 启用2. ftp审计。缺省情况下，系统不会记录使用ftp连接和传输文件的日志，这会对系统造成安全隐患，尤其在用户使用匿名ftp方式时。为了避免这种情况发生，可用如下的步骤使系统记录ftp的日志：1）修改/etc/syslog.conf文件，并加入一行：daemon.info ftplog其中FileName是日志文件的名字， 它会跟踪49、FTP的活动，包括匿名和其他用户ID。FileName文件必须在做下一步骤前创建。2）运行refresh -s syslogd命令刷新syslogd 后台程序。3）修改/etc/inetd.conf文件，修改下面的数据行：ftp stream tcp6 nowait root /usr/sbin/ftpd ftpd -l4）运行“refresh -s inetd”命令刷新inetd后台程序。WINDOWS1. 开启日志审计功能；2. 修改普通用户对日志等安全审计方式的权限配置，只有管理员用户有查看、修改、删除等权限；2) 审计内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内50、重要的安全相关事件。操作系统操作方式AIX1. 更改默认口令。使用smit或增加、修改/etc/security/user下各用户的设置：将su=true更改为su=falseWINDOWS1. 修改安全审计策略：审核策略更改成功审核登录事件成功, 失败审核对象访问成功, 失败审核过程追踪无审核审核目录服务访问无审核审核特权使用无审核审核系统事件成功, 失败审核帐户登录事件成功, 失败审核帐户管理成功, 失败3) 审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等；操作系统操作方式AIX1. 修改日志文件，审核记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；WINDO51、WS1. 修改“事件查看器”的属性配置：日志类型大小覆盖方式应用日志16384K覆盖早于30天的事件安全日志16384K覆盖早于30天的事件系统日志16384K覆盖早于30天的事件2. 修改“事件类型”、“事件来源”等属性为 “全部”；4) 保护审计记录，避免受到未预期的删除、修改或覆盖等。操作系统操作方式AIX1. 利用chmod命令修改审计记录文件的操作权限，以保证日志记录文件仅root用户可访问和修改。WINDOWS1. 修改“事件查看器”的安全属性配置：“组或用户名称”：修改为只有系统管理用户，删除Everyone；“用户权限” ：根据需要进行“完全控制”、“修改”、“写入”等权限的配52、置；5.3.5 入侵防范省公司及地市公司主机入侵防范现状与等级保护要求存在一定的差距，应对以下几个方面进行完善：1) 操作系统遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。2) 检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警。整改措施：1) 操作系统需遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。操作系统操作方式AIX1. 最新补丁可以在下面的URL里找到：利用smit工具安装补丁。2. 禁用TCP/UDP 小服53、务：在 /etc/inetd.conf 中，对不需要的服务前加#，表示注释此行，格式如下：#echo stream tcp nowait root internal#echo dgram udp wait root internal#discard stream tcp nowait root internal#discard dgram udp wait root internal#daytime stream tcp nowait root internal#daytime dgram udp wait root internal#chargen stream tcp nowait roo54、t internal#chargen dgram udp wait root internal按上述方法，注释fingerd、uucp、tftp、talk、ntalk、rquotad、rexd、rstatd、rusersd、rwalld、sprayd、pcnfsd、ttdbserver、cmsd等服务。最后重启服务：refresh -s inetd3. 禁用Sendmail、SNMP服务：编辑文件/etc/rc.tcpip 中，在Sendmail、SNMP服务前加#，表示注释此行，格式如下：#start /usr/lib/sendmail $src_running -bd -q$qpi#sta55、rt up snmp#start /usr/sbin/snmp $src_runningWINDOWS1. 安装最新的补丁。使用WSUS或从 下载最新的安装补丁进行安装。2. 关闭非必需服务：常见的非必需服务有：Alerter 远程发送警告信息Computer Browser 计算机浏览器：维护网络上更新的计算机清单Messenger 允许网络之间互相传送提示信息的功能，如 net sendremote Registry 远程管理注册表，开启此服务带来一定的风险Print Spooler 如果相应服务器没有打印机，可以关闭此服务Task Scheduler 计划任务，查看“控制面板”的“任务计56、划”中是否有计划，若有，则不关闭。SNMP 简单网管协议，如启用网管应用则不关闭。3. 关闭空连接：编辑注册表如下键值：HKLMSYSTEMCurrentControlSetControlLsa“restrictanonymous”的值修改为“1”，类型为REG_DWORD。5.3.6 恶意代码防范省公司及地市公司主机恶意代码防范现状与等级保护要求存在一定的差距，其不符合等级保护要求项主要有：1) 安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库。整改措施：1) 及时更新病毒库，增强防病毒软件的恶意代码防护能力以保证信息系统的安全稳定运行。操作系统操作方式AIX1. 部署防火墙和I57、PS等恶意代码防范设备，维护AIX系统主机的安全与稳定运行。WINDOWS1. 及时更新防病毒软件病毒库，如Symantec antivirus，并定期进行升级更新。5.3.7 资源控制省公司及地市公司主机资源控制现状与等级保护要求存在一定的差距，应对以下几个方面进行完善：1) 通过设定终端接入方式、网络地址范围等条件限制终端登录；2) 根据安全策略设置登录终端的操作超时锁定；3) 限制单个用户对系统资源的最大或最小使用限度。整改措施：1) 在核心交换机与防火墙上配置详细的访问控制策略，限制终端的接入方式、网络地址范围及其与其他网络间的访问控制（详细配置见网络安全建设）。2) 根据安全策略设置58、登录终端的操作超时锁定。操作系统操作方式AIX1. 增加或修改/etc/profile文件中如下行：TMOUT=600 ;WINDOWS1. 打开“控制面板”“管理工具”，进入“本地安全策略”。2. 修改“账户锁定策略”，设置帐户锁定相关设置。3) 限制单个用户对系统资源的最大或最小使用限度。根据用户的工作需求，在满足其工作需求范围内，修改用户权限，并设置资源使用范围。操作系统操作方式AIX1. 利用root用户登录操作系统，修改各帐户权限，利用chmod命令修改系统资源权限。WINDOWS1. 用administrator登录操作系统，修改各帐户权限，对需要设置使用权限的资源设置其属性，进行59、安全配置：5.4 应用安全5.4.1 应用安全建设目标根据等级保护前期评测结果，结合信息安全技术信息安全等级保护基本要求对二级系统应用安全从身份鉴别、访问控制、安全审计、通信完整性、通信保密性与资源控制等几个方面进行应用系统安全等级保护建设与改造，通过等级保护建设，实现如下安全防护目标：1) 对登录应用系统的所有用户均设定身份鉴别措施；2) 拥有审计系统审计各用户的相关操作；3) 有相关的加密措施，保证应用系统数据在网络传输过程中的保密性、可靠性和可用性；4) 应用程序具有自恢复功能，保证运行出错时可自动恢复。5.4.2 身份鉴别省公司及地市公司二级系统应用的身份鉴别现状与等级保护要求存在一定60、的差距，应完善以下几点：1) 提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用。整改措施：1) 修改应用程序中用户名与口令设置模块，按国家电网公司应用软件通用安全要求增设用户名唯一性检测、口令复杂度检测功能，口令复杂度功能检测模块按国家电网公司信息系统口令管理规定进行设计。5.4.3 安全审计省公司及地市公司二级系统应用的安全审计现状与等级保护要求存在一定的差距，应对以下几个方面进行完善：1) 应用软件须提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计；2) 应保证无法删除、修改或覆盖审计记录；3) 审计记录的内容至少包61、括事件的日期、时间、发起者信息、类型、描述和结果等；整改措施：1) 应用软件应能够将所有的安全相关事件记录到事件日志中，或者将事件数据安全地发送到外部日志服务器。如通过IMS系统记录应用系统日志。2) 对日志进程进行保护，避免进程被意外中止、日志记录被特权用户或意外删除、修改或覆盖等；3) 应用软件审计模块能够对所有与应用本身相关的各类事件进行有效记录，包括但不限于以下事件：(1).系统管理和配置事件(2).业务操作事件(3).成功事件(4).失败事件(5).对审计功能的操作应用软件能够允许安全管理员选择需要进行审计的事件项目。应用软件对审计事件的记录需确保可以将每个可审计事件与引起该事件的用62、户身份相关联，需要包含并绑定以下信息：(1).事件发生的时间（或时间段）(2).事件发起用户ID、程序ID或其他实体的识别ID(3).用户操作的客户端(4).事件内容(5).事件导致的结果5.4.4 通信完整性、通信保密性省公司及地市公司二级系统应用的通信完整性与保密性现状和等级保护要求存在一定的差距，需对以下几个方面进行完善：1) 采用密码技术保证通信过程中数据的完整性与保密性；2) 在通信双方建立连接之前，应用系统利用密码技术进行会话初始化验证。整改措施：1) 采用密码技术保证通信过程中数据的完整性，密码技术需满足以下要求：u 密码算法的选择：应用软件中选择的密码算法在强度上要等于或大于公63、司规定和用户提出的安全强度要求（国家电网公司信息系统口令管理规定中已对算法的安全强度要求给出明确说明）。u 密钥的安全管理：应用软件要在密钥生成、存储、分配、销毁的整个生命周期中对其实施保护，确保密钥明文不能被其他进程、程序和应用中非相关组件访问到。u 证书验证：应用软件应该确保能够对系统中使用的证书进行正确鉴别，而且不会接受或继续使用非法的或者无效的证书。5.4.5 资源控制省公司及地市公司二级系统应用的资源控制现状与等级保护要求存在一定的差距，应对以下几个方面进行完善：1) 限制对系统的最大并发会话连接数；2) 限制单个帐户的多重并发会话；整改措施按照国家电网公司应用软件通用安全要求对用户64、会话管理要求与信息安全技术信息安全等级保护基本要求，二级系统应用软件需限制用户对系统的最大并发会话连接数、限制单个帐户的多重并发会话、限制某一时间段内可能的并发会话连接数等，整改方案如下：1) 应用软件要向系统管理员增设监视工具，以便实时检测客户端用户的连接状态和行为，应用软件必须允许会话发起的用户手动终止该会话。2) 应用软件能够自动处理会话的异常状态，并且能够提供给系统管理员适当的管理工具对会话进行实时控制，包括设置会话超时时间、最大允许会话数。3) 应用软件能够确保一个客户端只能有一个用户同时登录到系统中，一个用户只允许同时在一个客户端上登录到系统中。5.5 数据安全及备份恢复5.5.165、 数据安全及备份恢复建设目标根据等级保护前期评测结果，结合信息安全技术信息安全等级保护基本要求对二级系统数据安全及备份的要求，从数据完整性、数据保密性和备份与恢复等几个方面进行数据安全和备份安全等级保护建设与改造，以期实现如下目标：1) 确保管理数据和业务数据等重要信息在传输过程与存储过程中的完整性与保密性；2) 确保存储过程中检测到完整性错误时，具有相应的措施对信息进行恢复。5.5.2 数据完整性、数据保密性省公司及地市公司二级系统数据完整性和保密性现状与等级保护要求存在一定的差距，应对以下几个方面进行完善：1) 系统管理数据、鉴别信息和重要业务数据在传输过程和存储中应进行加密，确保信息在传66、输过程和存储中的完整性和保密性。整改措施：采用加密、数字签名与电子证书等保证系统管理数据、鉴别信息和重要业务数据在传输过程与存储过程中完整性不受到破坏，检测到完整性错误时，根据采用的完整性防护措施对信息进行恢复。加密技术要满足以下要求：1) 密码算法的选择：数据传输和存储中选择的密码算法在强度上要等于或大于省公司规定的安全强度要求（国家电网公司信息系统口令管理规定中已对算法的安全强度要求给出明确说明）。2) 密钥的安全管理：在密钥生成、存储、分配、销毁的整个生命周期中对其实施保护，确保密钥明文不能被其他进程和程序非相关组件访问到。3) 证书验证：数据传输和存储过程中必须对系统中使用的证书进行正67、确鉴别，且不接受或继续使用非法的或者无效的证书。6. 三级系统域建设6.1 概述与建设目标三级系统域是依据等级保护定级标准而将国家电网公司的应用系统定为三级的所有系统的集合，按等级保护方法将等级保护定级为三级的系统独立成域进行安全防护建设。省公司三级系统主要包括电力市场交易系统、财务管理系统，营销管理系统为二级系统，但按照国家电网公司要求需按照三级系统进行防护。省公司三级系统域等级保护建设目标是落实信息安全技术信息安全等级保护基本要求中三级系统各项指标和要求，实现信息系统三级系统独立分域，完善三级系统边界防护、配置合理的网络环境、增强主机系统安全防护及三级系统各应用的安全。针对信息安全技术信息68、安全等级保护基本要求中三级系统各项指标和要求，为保障其稳定、安全运行，本方案从物理安全、网络安全、主机系统、应用安全和数据安全与备份等五个层面进行等级保护建设。6.2 物理安全根据国家电网公司“三基”建设方案要求，省公司及地市公司物理安全均按照信息安全技术信息安全等级保护基本要求中三级系统要求进行建设。6.2.1 物理安全建设目标省公司及地市公司机房均需按照信息安全技术信息系统安全等级保护基本要求三级系统机房物理环境要求，并参照国家电网公司信息机房设计及建设规范的相关内容，对机房进行等级保护建设和改造，建设目标如下：1) 机房物理位置合适，环境控制措施得当，具有防震、防风、防水、防火、防尘、防69、盗、防雷、防静电以及温湿度可控等安全防护措施。2) 机房管理措施全面得当，如：出入管理规范、卫生管理规范、值班巡视制度等等，保障各业务系统稳定、安全的运行。3) 电力冗余设计，从而保障公司各业务系统在遇断电、线路故障等突发事件时能正常稳定运行。4) 机房各类指标应满足信息安全技术信息系统安全等级保护基本要求三级系统机房物理环境要求中的必须完成项。6.2.2 机房感应雷防护措施省公司及19个下属公司信息机房均增加防雷保安器，防止感应雷的产生。感应雷的防护措施是对雷云发生自闪、云际闪、云地闪时，在进入建筑物的各类金属管、线上所产生雷电脉冲起限制作用，从而保护建筑物内人员及各种电气设备的安全。6.270、.3 物理访问控制根据系统级别、设备类型等将全省各信息机房进行区域划分，分为网络设备区、主机和服务器区等，区域之间应设置物理隔离装置，如隔墙、玻璃墙等；针对等待交付系统应设置过渡区域，与安装运行区域应分开。对于未安装门禁系统的信息机房，在入口处安装电子门禁系统，控制、鉴别和记录进入人员；电子门禁系统应具有安全资质，能够有效的鉴别并记录进入人员的身份。6.2.4 防盗措施根据国家电网公司信息机房管理规范要求，公司信息机房应使用光、电等技术配置机房防盗报警系统，报警系统满足以下要求：1) 防盗监控系统覆盖机房每一个位置，定期对监控画面数据进行查阅和备份；1) 使用光、电技术探测机房内重要设备的物理71、位置，当物理位置发生变化时，可自动报警；2) 防盗报警系统实现现场报警（如蜂鸣）和远程报警（电话或短信息）。6.2.5 防火措施根据国家电网公司信息机房设计与建设规范的要求，对下属个公司机房进行相应的调整和改造，具体方案如下：1) 主机房、基本工作间应设二氧化碳或卤代烷、七氟丙烷等灭火系统，并按现行有关规范要求执行。2) 机房应设火灾自动报警系统，并符合现行国家标准火灾自动报警系统设计规范的规定。3) 报警系统和自动灭火系统应与空调、通风系统联锁。空调系统所采用的电加热器，应设置无风断电保护。4) 机房安全，除执行以上的规定外，应符合现行国家标准计算站场地安全要求的规定。5) 凡设置二氧化碳或72、卤代烷、七氟丙烷固定灭火系统及火灾探测器的机房，其吊顶的上、下及活动地板下，均应设置探测器和喷嘴。6) 主机房应安装感烟探测器。当设有固定灭火器系统时，使用感烟、感温两种探测器的组合对机房内进行探测。7) 主机房和基本工作间应安装消防系统，主机房应配置灭火设备。8) 机房出口必应向疏散方向开启且能自动关闭的门，门应是防火材料，并应保证在任何情况下都能从机房内打开。9) 凡设有卤代烷灭火装置的机房，应配置专用的空气呼吸器或氧气呼吸器。10) 机房内存放记录介质应使用金属柜或其他能防火的容器。6.2.6 防水和防潮针对地市公司机房存在的防水与防潮安全防护问题，并结合国建电网公司信息机房设计与建设规73、范中机房给水排水要求，机房防水盒防潮整改方案如下：1) 在机房内应安装水敏感检测仪（水敏感测试仪应按机房建设规范的要求进行安装）；2) 对机房进行防水防护，将水敏感仪器与报警系统相连，对机房水状况进行实时监控。6.2.7 电磁防护针对19个下属公司机房现状与等级保护三级系统物理安全方面存在的差距，结合国家电网公司信息机房管理规范，给出整改方案如下：1) 机房应采用活动静电地板。机房应选用无边活动静电地板，活动地板应符合现行国家标准防静电活动地板通用规范的要求。敷设高度应按实际应要确定，为150500mm，并将地板可靠接地。2) 主机房内的工作台面及坐椅垫套材料应是导静电的，其体积电阻率为 1.74、01071.01010cm。3) 主机房内的导体必须与大地作可靠的连接，不得有对地绝缘的孤立导体。4) 导静电地面、活动地板、工作台面和坐椅垫套必须进行静电接地。5) 静电接地的连接线要有足够的机械强度和化学稳定性，导静电地面和台面采用导电胶与接地导体黏结时，其接触面积不宜小于10cm2。6) 主机房内绝缘体的静电电位不能大于1kV。7) 将机房内电源线和通信线缆隔离，并采用接地的方式防止外接电磁干扰和设备寄生耦合干扰，可将电源线和通信线缆垂直铺设，进一步减少电磁干扰。6.3 网络安全建设方案根据业务的不同和所涉及的不同等级业务系统，网络建设方案分为省公司和地市公司进行。6.3.1 网络安全建75、设目标按照信息安全技术信息系统安全等级保护基本要求对省公司及地市公司网络安全进行建设，以满足国家电网公司“SG186”工程总体防护方案的设计规范，建设目标如下：1) 满足双网隔离的基本要求，即内外网间采用逻辑强隔离设备进行隔离。2) 边界安全防护措施到位，满足信息安全技术信息系统安全等级保护基本要求，如边界访问控制措施、远程安全接入、入侵检测等。3) 安全域划分合理，内网根据业务系统等级保护定级，将三级系统独立成域，二级系统统一成域，并划分桌面终端域；外网分为应用系统域和桌面终端域。4) 针对网络设备进行安全防护，如：安全接入控制、设备安全管理、设备安全加固、安全日志审计、设备链路冗余等。6.76、3.2 建设方案根据信息安全测评结果，省公司和下属个公司信息网络中网络设备及技术方面主要存在以下问题：1) 网络设备的远程管理采用明文的Telnet方式；2) 部分网络设备采用出厂时的默认口令；3) 交换机、IDS等未开启日志审计功能，未配置相应的日志服务器；4) IDS为C/S控制模式，管理服务器地址、登录等未作访问控制;5) 防火墙目前为网段级的访问控制，控制粒度较粗；6) IDS登录身份鉴别信息复杂度较低，口令简单并未定期更换；7) 未开启网络设备登录失败处理功能，未限制非法登录次数，当网络登录连接超时时未设置自动退出等措施；8) 缺少对内部网络中出现的内部用户未通过准许私自联到外部网络77、的行为进行检查与监测措施；9) 未限制网络最大流量数及网络连接数。针对以上问题，结合信息安全技术信息安全等级保护基本要求，整改方案如下：1) 关闭防火墙、交换机和IDS的telnet服务，启用安全的管理服务，如SSH和https。部分不支持SSH的交换机应在交换机上限制可telnet远程管理的用户地址，实施配置如下（以思科交换机为例）：Router#config terminalRouter(config)#access-list 10 permit tcp 10.144.99.120 .0 eq 23 any（只允许机器telnet登录，如需配置某一网段可telnet远程管理，可配置为：ac78、cess-list 10 permit tcp 10.144.99.1 .255 eq 23 any）Router(config)#line vty 0 4（配置端口0-4）Router(Config-line)#Transport input telnet（开启telnet协议，如支持ssh，可用ssh替换telnet）Router(Config-line)#exec-timeout 5 0Router(Config-line)#access-class 10 inRouter(Config-line)#endRouter#config terminalRouter(config)#line79、 vty 5 15Router(Config-line)#no login(建议vty开放5个即可，多余的可以关闭)Router(Config-line)#exitRouter(Config)#exitRouter#write2) 修改网络设备出厂时的默认口令，且修改后的口令应满足长度大于等于8位、含字母数字和字符的强度要求，其它不满足此口令强度要求的，均需要进行修改。IDS验收后，需及时修改口令；交换机需修改其SNMP口令串；防火墙口令应满足口令强度要求。交换机SNMP口令串修改实施步骤如下（以思科交换机为例）：Router#config terminal Router(config)# n80、o snmp-server community COMMUNITY-NAME1 RO （删除原来具有RO权限的COMMUNITY-NAME1）Router(config)# snmp-server community COMMUNITY-NAME RO （如需要通过snmp进行管理，则创建一个具有读权限的COMMUNITY-NAME，若COMMUNITY-NAME权限为RW,则将命令行中RO更改为RW）Router(config)# snmp-server enable traps （允许发出Trap）Router(config)#exitRouter#write3) 交换机、IDS和防火墙等81、应开启日志审计功能，并配置日志服务器保存交换机、IDS和防火墙的日志信息。以思科交换机为例，日志审计和日志收集存储于服务器实施配置如下：Route#config terminalRoute(config)#logging on （启用日志审计） Route(config)#logging console notification （设置控制等级为5级：notification）Route(config)#!Set a 16K log buffer at information level Route(config)#logging buffered 16000 information （设置其82、大小为16K）Route(config)#!turn on time/date stamps in log messages Route(config)#service timestamp log datetime msec local show-timezone Route(config)#!set monitor logging level to level 6 Route(config)#logging monitor information Route(config)#exit Route#!make this session receive log messages Route#te83、rminal monitor Route#config terminal Route(config)#logging trap information （控制交换机发出日志的级别为6级：information） （将日志发送到192.168.10.188，如需修改服务器，可采用Route(config)#no 88删除，然后重新配置日志服务器）Route(config)#logging facility local6 Route(config)#logging source-interface FastEthernet 0/1 （设置发送日志的以太网口）Route(config)#exit R84、oute#config terminal Route(config)#logging trap information Route(config)#snmp-server host 192.168.10.1 traps public （配置发送trap信息主机）Route(config)#snmp-server trap-source Ethernet 0/1 Route(config)#snmp-server enable traps syslog Route(config)#exitRoute# write4) 对IDS管理服务器地址和登录设置访问控制。在交换机和防火墙上配置访问控制策略，85、限制仅管理员用户可进行管理和登录。交换机上配置访问控制策略ACL，限定仅管理员用户可进行管理和登录IDS服务器；在防火墙上设置策略限制可访问IDS的用户策略。通过交换机和防火墙的策略设置，限制IDS的管理员登录地址。整改防火墙上的访问控制策略粒度，使其从现在的网段级调整为单个用户级。以思科交换机为例，配置IDS管理服务器地址访问策略如下：Router#config terminal Router(config)# access-list 101 permit tcp 172.16.3.128 .255 172.16.0.252 0.0.0.3 eq 8080 log（注：主机地址为假设，实际整86、改中按真实地址）5) 根据国家电网公司信息系统口令管理规定制定或沿用其以管理省公司网络设备口令。国家电网公司信息系统口令管理规定具体内容如下：第四条口令必须具有一定强度、长度和复杂度，长度不得小于8位字符串，要求是字母和数字或特殊字符的混合，用户名和口令禁止相同。第五条个人计算机必须设置开机口令和操作系统管理员口令，并开启屏幕保护中的密码保护功能。第六条口令要及时更新，要建立定期修改制度，其中系统管理员口令修改间隔不得超过3个月，并且不得重复使用前3次以内的口令。用户登录事件要有记录和审计，同时限制同一用户连续失败登录次数，一般不超过3次。6) 所有网络设备均应开启网络设备登录失败处理功能、限87、制非法登录次数、当网络登录连接超时时自动退出等措施。以思科交换机为例，网络登录连接超时时自动退出实施如下：Router#config terminalRouter(Config)#line con 0 配置控制口Router(Config-line)#exec-timeout 5 0 设置超时5分钟Router(Config-line)#exitRouter(Config)#exitRouter#write7) 部署桌面管理系统，对内部网络中的用户网络连接状态进行实时监控，以保证内部用户不可私自联到外部网络；配置桌面管理系统策略，对私自连接到外网的内部用户进行准确定位并阻断内外网互通。8) 在88、交换机上限制网络最大流量数及网络连接数。以思科交换机为例，实施配置如下：Router#config terminal Router(config)# access-list 101 deny tcp .0 .255 any www.0网段访问Internet）Router(config)# access-list 102 deny tcp .0 .255 any .0网段ftp服务）Router(config)# ip nat translation max-entries 172.16.55.0 .255 200（限制172.16.55.0网段的主机NAT的条目为200条）Route(con89、fig)#exitRoute# write9)6.4 主机安全6.4.1 主机安全建设目标公司三级系统分别为财务管理系统、营销系统和电力市场交易系统等共3个三级系统。针对省公司及地市公司三级系统主机存在的问题，结合信息安全技术信息安全等级保护基本要求，从主机身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制等方面给出三级系统主机等级保护建设方案，对主机操作系统、数据库系统进行安全加固，使之满足信息安全技术信息安全等级保护基本要求中关于主机的安全防护要求。6.4.2 主机身份鉴别省公司及地市公司主机身份鉴别现状与等级保护要求存在一定的差距，需完善以下几点：1) 对登录操90、作系统的用户进行身份标识和鉴别；2) 操作系统系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；3) 启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；4) 对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；5) 应使用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。整改措施：1) 应对登录操作系统的管理员用户和普通用户均设置口令；删除操作系统中过期的账户，修改操作系统中默认帐户和口令，检查操作系统中是否存在相同用户名的账户。操作系统操作方式AIX1. 检查/etc/passwd:密码域中存在“*”的帐户，删除不必要的91、账户，或增设口令；WINDOWS1. 删除非法帐号或多余帐号，更改默认管理员帐号，将原Administrator名称改成不被人熟识的帐户，新建一个普通用户，将其重命名为Administrator，并将其权限设为最低，口令复杂度为32位以上；2. 选择“本地用户和组”的“用户”，可设置口令、删除或禁用非必需账户或禁用Guest账户。注：管理员账号Administrator重命名后，可能会导致某些服务不能用，如SQL Server数据库可能无法启动，修改前，需在备机上进行测试运行一周时间，无任何问题，再在主机上进行修改。2) 增强操作系统口令强度设置： 操作系统操作方式AIX1. 修改passwd92、参数：/etc/security/user- maxage=30 口令最长生存期30天- maxrepeat=4 每个口令在系统中重复出现的次数- minalpha=4 口令中最小含有的字符个数- mindiff=2 新口令不同于旧口令的最小个数 - minlen = 8 口令最短长度（包含字母、数字和特殊字符）WINDOWS1. 修改“密码策略”，开启复杂性要求，设置口令最小长度等：密码复杂性要求启用密码长度最小值8字符密码最长存留期30天密码最短存留期0天复位帐户锁定计数器10分钟帐户锁定时间10分钟帐户锁定阀值5次注：设置密码策略后可能导致不符合密码策略的帐号无法登录。在修改密码策略前，93、需修改不符合帐号策略的密码使其符合策略要求，最后再修改密码策略。3) 启用登录失败处理功能，应设置限制非法登录次数和自动退出等措施。操作系统操作方式AIX1. 配置登录策略：修改/etc/security/login.cfg文件logindelay=3 失败登录后延迟3秒显示提示符logindisable=5 5次失败登录后锁定端口logininterval=60 在60秒内3次失败登录才锁定端口loginreenable15 端口锁定15分钟后解锁2. 增加或修改/etc/profile文件中如下行：TMOUT=600 ;WINDOWS1. 修改“账户锁定策略”，设置帐户锁定相关设置：复位账94、户锁定计数器 15分钟账户锁定时间 15分钟账户锁定阈值 5次4) 当对服务器进行远程管理时，对于UNIX类服务器，用当前稳定版本的SSH等安全工具取代明文传输的telnet，并及时升级，保证传输数据的安全性；对于windows类服务器，关闭不必要的telnet服务，采用加密或认证的方式保证数据才网络传输过程中的保密性、完整性和可用性。操作系统操作方式AIX1. 增加或修改/etc/security/user文件中如下行root: admin = true SYSTEM = compat loginretries = 0 account_locked = false rlogin=false如95、果无法禁用telnet服务，也可使用TCP wrapper、防火墙或包过滤技术禁止不可信IP对telnet服务（例如 23/TCP端口）访问。WINDOWS1. 禁用不需要的服务，如remote Registry 、telnet等（远程管理注册表，开启此服务带来一定的风险）2. 采用其他加密的远程桌面管理软件代替远程桌面管理，或者在远程桌面管理上启用证书认证系统。注：应用系统或程序可能对特定的系统服务有依赖关系，在未确定某个服务是否需要前，请勿关闭该服务，否则会影响应用系统或程序的正常运行。5) 使用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。对于操作系统和数据库管理员帐户采用以下两种96、以上身份鉴别技术的组合来进行身份的鉴别（如采用用户名/口令、挑战应答、动态口令、物理设备、生物识别技术和数字证书方式的身份鉴别技术中的任意两个组合），并且有一种是不易伪造的（如数字证书或生物识别技术）。6.4.3 访问控制省公司及地市公司主机身份鉴别现状与等级保护要求存在一定的差距，应完善以下几点：1) 启用访问控制功能，依据安全策略控制用户对资源的访问；2) 根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；3) 实现操作系统特权用户的权限分离；4) 限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；5) 及时删除多余的、过期的帐户，避免共享97、帐户的存在；6) 对重要信息资源设置敏感标记；7) 依据安全策略严格控制用户对有敏感标记重要信息资源的操作。整改措施：1) 在交换机和防火墙上设置不同网段、不同用户对服务器的访问控制权限；关闭操作系统开启的默认共享，对于需开启的共享及共享文件夹设置不同的访问权限，对于操作系统重要文件和目录应设置权限要求。操作系统操作方式AIX1. 修改普通用户对下列文件的权限：/bin；/sbin；/etc；/etc/passwd；/etc/group；/usr/bin；WINDOWS1. 修改访问控制策略，将注册标中restrictanonymous值改为1；2. 删除不必要的共享文件夹或修改其权限，重要共98、享文件夹的权限属性不能为everyone完全控制。2) 设置不同的管理员对服务器进行管理，如可分为系统管理员、安全管理员、安全审计员等以实现操作系统特权用户的权限分离，并对各个帐户在其工作范围内设置最小权限，如系统管理员只能对系统进行维护，安全管理员只能进行策略配置和安全设置，安全审计员只能维护审计信息等。3) 限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；删除操作系统和数据库中过期或多余的账户，禁用无用帐户或共享帐户。操作系统操作方式AIX1. 禁用 文件/etc/security/user中，sys, bin, uucp, nuucp, daemon等系统默认帐户。W99、INDOWS1. 修改administrator名称，将原Administrator名称改成不被人熟识的帐户，同时将一个普通帐户名称改成Administrator，登录普通帐户执行系统所有操作；2. 禁用Guest账号。4) 根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限。操作系统操作方式AIX1. 更改默认口令。使用smit或增加、修改/etc/security/user下各用户的设置：将su=true更改为su=falseWINDOWS1. 修改管理用户的权限5) 必须对重要信息资源设置敏感标记，满足国家电网公司三级系统域安全防护方案中敏感信息防护要求。必100、须依据安全策略严格控制用户对有敏感标记重要信息资源的操作，要求如下：u 在数据连接访问建立之前必须进行接口认证，认证方式可采用共享口令、用户名口令等方式；u 共享口令或用户名口令认证时，应对口令长度、复杂度、生存周期等进行强制要求（按照国家电网公司信息系统口令管理规定设置各项要求）；u 在认证过程中所经网络传输的口令信息应当禁止明文传送；可通过哈希（HASH）单向运算、SSL加密、SSH加密等方式实现；u 应具有在请求的情况下为数据原发者或接收者提供数据原发或接收证据的功能，使用PKI或其他技术实现。6.4.4 安全审计省公司及地市公司主机安全审计现状与等级保护要求存在一定的差距，其不符合等级101、保护要求项主要以下几点：1) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；2) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；3) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；4) 应保护审计记录，避免受到未预期的删除、修改或覆盖等。5) 应能够根据记录数据进行分析，并生成审计报表；6) 应保护审计进程，避免受到未预期的中断。整改措施：1) 审计范围必应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。操作系统操作方式AIX1. 开启syslog功能：正在审查 关bin 处理 关审查事件 无审102、查目标 无审核未启用1. ftp审计。缺省情况下，系统不会记录使用FTP连接和传输文件的日志，这会对系统造成安全隐患，尤其在用户使用匿名ftp方式时。为了避免这种情况发生，可用如下的步骤使系统记录FTP的日志：1）修改/etc/syslog.conf文件，并加入一行：daemon.info ftplog其中FileName是日志文件的名字， 它会跟踪FTP的活动，包括匿名和其他用户ID。FileName文件必须在做下一步骤前创建。2）运行refresh -s syslogd命令刷新syslogd 后台程序。3）修改/etc/inetd.conf文件，修改下面的数据行：ftp stream tc103、p6 nowait root /usr/sbin/ftpd ftpd -l4）运行“refresh -s inetd”命令刷新inetd后台程序。WINDOWS1. 开启日志审计功能；修改普通用户对日志等安全审计方式的权限配置，只有管理员用户有查看、修改、删除等权限；2) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。操作系统操作方式AIX1. 更改默认口令，防止su。使用smit或增加、修改/etc/security/user下各用户的设置：将su=true更改为su=falseWINDOWS1. 修改安全审计策略：审核策略更改成功审核登录事件104、成功, 失败审核对象访问成功, 失败审核过程追踪无审核审核目录服务访问无审核审核特权使用无审核审核系统事件成功, 失败审核帐户登录事件成功, 失败审核帐户管理成功, 失败3) 审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等；操作系统操作方式AIX1. 修改日志文件，审核记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；WINDOWS1. 修改“事件查看器”的属性配置：日志类型大小覆盖方式应用日志16384K覆盖早于30天的事件安全日志16384K覆盖早于30天的事件系统日志16384K覆盖早于30天的事件修改“事件类型”、“事件来源”等属性为 “全部”；4) 保护审105、计记录，避免受到未预期的删除、修改或覆盖等。操作系统操作方式AIX1. 利用chmod命令修改审计记录文件的操作权限，以保证日志记录文件仅root用户可访问和修改。WINDOWS1. 修改“事件查看器”的安全属性配置：“组或用户名称”：修改为只有系统管理用户，删除Everyone；“用户权限” ：根据需要进行“完全控制”、“修改”、“写入”等权限的配置；5) 审计记录必应能根据记录数据进行分析，并生成审计报表；操作系统操作方式AIX1. 对审计记录进行备份，根据日志分析的需求，使日志生成报表，报表需对日志记录进行分类，以便日志的分析。WINDOWS1. 对审计记录进行备份，根据日志分析的需求，106、使日志可生成报表，报表需对日志记录进行分类，以便日志的分析。6) 应保护审计进程，避免受到未预期的中断；操作系统操作方式AIX修改审计进程权限，使其仅可root用户进行访问和操作；WINDOWS启用“本地安全设置”中“本地策略”“安全选项”中：“审计：对备份和还原权限的使用进行审计”“审计：对全局系统对象的访问进行审计”“审计：如果无法记录安全审计则立即关闭系统”6.4.5 剩余信息保护省公司及地市公司主机剩余信息保护现状与等级保护要求存在一定的差距，其不符合等级保护要求项主要以下几点：1) 应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这107、些信息是存放在硬盘上还是在内存中；2) 应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除。整改措施：采用剩余信息保护系统完全清除系统中的残余信息，确保数据不被恶意恢复而造成信息泄露。剩余信息保护系统必须对数据完全擦除，不留痕迹，可以对单个文件、文件夹以及磁盘剩余空间做完全清除。保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除；确保系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。6.4.6 入侵防范省公司及地市公司主机入侵防范现状与等级保护要求存在一定的差距，应完善以下几点：1) 操108、作系统需遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。2) 检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警；3) 应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施。整改措施：1) 操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。操作系统操作方式AIX1. 最新补丁可以在下面的URL里找到：利用smit工具安装补丁。2. 禁用TCP/UDP 小服务：在 /etc/inetd.con109、f 中，对不需要的服务前加#，表示注释此行，格式如下：#echo stream tcp nowait root internal#echo dgram udp wait root internal#discard stream tcp nowait root internal#discard dgram udp wait root internal#daytime stream tcp nowait root internal#daytime dgram udp wait root internal#chargen stream tcp nowait root internal#chargen110、 dgram udp wait root internal按上述方法，注释fingerd、uucp、tftp、talk、ntalk、rquotad、rexd、rstatd、rusersd、rwalld、sprayd、pcnfsd、ttdbserver、cmsd等服务。3. 禁用Sendmail、SNMP服务：编辑文件/etc/rc.tcpip 中，在Sendmail、SNMP服务前加#，表示注释此行，格式如下：#start /usr/lib/sendmail $src_running -bd -q$qpi#start up snmp#start /usr/sbin/snmp $src_runn111、ingWINDOWS1. 安装最新的补丁。使用WSUS或从 下载最新的安装补丁进行安装。2. 关闭非必需服务：常见的非必需服务有：Alerter 远程发送警告信息Computer Browser 计算机浏览器：维护网络上更新的计算机清单Messenger 允许网络之间互相传送提示信息的功能，如 net sendremote Registry 远程管理注册表，开启此服务带来一定的风险Print Spooler 如果相应服务器没有打印机，可以关闭此服务Task Scheduler 计划任务，查看“控制面板”的“任务计划”中是否有计划，若有，则不关闭。SNMP 简单网管协议，如启用网管应用则不关闭。112、3. 关闭空连接：编辑注册表如下键值：HKLMSYSTEMCurrentControlSetControlLsa“restrictanonymous”的值修改为“1”，类型为REG_DWORD。2) IDS、IPS和防火墙应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施。在IDS、IPS和防火墙上配置安全策略，对应用程序进行监测，并按照国家电网公司信息系统上下线管理规定和国家电网公司应用软件通用安全要求选择应用程序。6.4.7 恶意代码防范省公司及地市公司主机恶意代码防范现状与等级保护要求存在一定的差距，其不符合等级保护要求项主要有以下几点：1) 应安装防恶意代码软件113、，并及时更新防恶意代码软件版本和恶意代码库；整改措施：1) 及时更新病毒库，增强防病毒软件的恶意代码防护能力以保证信息系统的安全稳定运行操作系统操作方式AIX采用安装操作系统补丁的方法对恶意代码进行安全防范：1. 最新补丁可以在下面的URL里找到：利用smit工具安装补丁。2. 禁用TCP/UDP 小服务；3. 用Sendmail、SNMP服务；WINDOWS1. 及时更新防病毒软件病毒库，如Symantec antivirus，应进行升级更新6.4.8 资源控制省公司及地市公司主机资源控制现状与等级保护要求存在一定的差距，应完善以下几点：1) 应通过设定终端接入方式、网络地址范围等条件限制终114、端登录；2) 应根据安全策略设置登录终端的操作超时锁定；3) 应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况；4) 应限制单个用户对系统资源的最大或最小使用限度；5) 应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。整改措施：1) 在核心交换机与防火墙上配置详细的访问控制策略，限制终端的计入方式、网络地址范围及其与其他网络间的访问控制（详细配置见网络安全建设）。2) 根据安全策略设置登录终端的操作超时锁定；操作系统操作方式AIX1. 增加或修改/etc/profile文件中如下行：TMOUT=600 ;WINDOWS1. 打开“控制面板”“管理工具115、”，进入“本地安全策略”。2. 修改“密码策略”，开启复杂性要求，设置口令最小长度等。3. 修改“账户锁定策略”，设置帐户锁定相关设置。3) 应限制单个用户对系统资源的最大或最小使用限度。根据用户的工作需求，在满足其工作需求范围内，修改用户权限，并设置资源使用范围。操作系统操作方式AIX1. 利用root用户登录操作系统，修改各帐户权限，利用chmod命令修改系统资源权限。WINDOWS1. 用administrator登录操作系统，修改各帐户权限，对需要设置使用权限的资源设置其属性，进行安全配置：4) 部署服务器监控软件对三级系统服务器进行监视，根据等级保护要求，服务器监控软件应满足：u 监116、控软件需能监视服务器的CPU、硬盘、内存、网络等资源的使用情况；u 当系统的服务水平降低到预先规定的最小值进行检测和报警。6.5 应用安全6.5.1 应用安全建设目标公司三级系统主要为财务管理系统、营销系统和电力市场交易系统，根据等级保护前期调研结果，结合信息安全技术信息安全等级保护基本要求，针对三级系统应用安全从身份鉴别、访问控制、安全审计、通信完整性、通信保密性、通信抗抵赖性与资源控制等几个方面提出相应的整改方案，进行应用系统安全等级保护建设与改造。6.5.2 身份鉴别省公司及地市公司三级系统应用的身份鉴别现状与等级保护要求存在一定的差距，应完善以下几点：1) 应对同一用户采用两种或两种以117、上组合的鉴别技术实现用户身份鉴别；2) 提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用。整改措施：1) 修改应用程序中单一的用户名/口令用户身份鉴别方法，根据国家电网公司应用软件通用安全要求中对应用程序用户身份认证的要求，需增设以下一个或多个安全技术，用来替代或者作为用户名静态口令方式的补充：u 公钥基础设施（PKI）；u 硬件令牌、生物识别认证；u 一次性动态口令；u 挑战应答；u 其它技术。2) 修改应用程序中用户名与口令设置模块，按国家电网公司应用软件通用安全要求增设用户名唯一性检测、口令复杂度检测功能，口令复杂度功能检测模块应118、按国家电网公司信息系统口令管理规定进行设计。第八条软件开发商在开发应用软件期间，应充分考虑应用软件的安全设计，设计应保证用户名和口令不以明文的形式存放在配置文件、注册表或数据库中。访问数据库的用户名和口令不能固化在应用软件中或直接写在数据库中。口令必须能方便地配置、修改和加密。按照人员进行口令分配和认证，不能仅按照角色进行口令的分配。对不同用户共享的资源进行访问必须进行用户身份的控制和认证。软件开发商在应用软件移交过程中，必须向运行维护部门提供关于应用软件的安全设计文档和用户名、口令的配置方案；运行维护部门在应用软件接收过程中必须全面掌握应用软件的安全设计并对其进行全面评估，评估合格后，由运维119、护行部门重新设定用户名和口令，方可上线运行。6.5.3 访问控制省公司及地市公司三级系统应用的访问控制现状与等级保护要求存在一定的差距，应完善以下几点：1) 对重要信息资源应设置敏感标记的功能；2) 依据安全策略严格控制用户对有敏感标记重要信息资源的操作。整改措施：1) 必须对重要信息资源设置敏感标记，满足国家电网公司三级系统域安全防护方案中敏感信息防护要求。必须依据安全策略严格控制用户对有敏感标记重要信息资源的操作，要求如下：u 在数据连接访问建立之前必须进行接口认证，认证方式可采用共享口令、用户名口令等方式；u 共享口令或用户名口令认证时，应对口令长度、复杂度、生存周期等进行强制要求（按照120、国家电网公司信息系统口令管理规定设置各项要求）；u 在认证过程中所经网络传输的口令信息应当禁止明文传送；可通过哈希（HASH）单向运算、SSL加密、SSH加密等方式实现；u 应具有在请求的情况下为数据原发者或接收者提供数据原发或接收证据的功能，使用PKI或其他技术实现。6.5.4 安全审计省公司及地市公司三级系统应用的安全审计现状与等级保护要求存在一定的差距，应完善以下几点：1) 应用软件需提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计；2) 审计进程需无法单独中断，无法删除、修改或覆盖审计记录；3) 审计记录的内容至少包括事件的日期、时间、发起者信息、类型、描述和结果等；4121、) 需提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。整改措施：1) 按国家电网公司应用软件通用安全要求，应用软件具有审计功能和实现方式，包括利用外部审计系统达到的审计功能。应用软件应能够将所有的安全相关事件记录到事件日志中，或者将事件数据安全地发送到外部日志服务器。如通过IMS系统记录应用系统日志。2) 应用系统应能够监控审计进程，避免进程被意外停止、日志记录被特权用户或意外删除、修改或覆盖等；3) 审核员帐号（角色）与系统管理员帐号（角色）应独立分开，且互相制约；4) 应用软件审计模块应能够对所有与应用本身相关的各类事件进行有效记录，包括但不限于以下事件：1).系统管理和配置事122、件2).业务操作事件3).成功事件4).失败事件5).对审计功能的操作应用软件需能够允许安全管理员选择需要进行审计的事件项目。应用软件对审计事件的记录需确保可以将每个可审计事件与引起该事件的用户身份相关联，需要包含并绑定以下信息：1).事件发生的时间（或时间段）2).事件发起用户ID、程序ID或其他实体的识别ID3).用户操作的客户端4).事件内容5).事件导致的结果5) 完善应用软件审计模块，使审计记录数据能进行统计、查询、分析及生成审计报表的功能。6.5.5 剩余信息保护省公司及地市公司应用系统中剩余信息保护现状与等级保护要求存在一定的差距，其不符合等级保护要求项主要以下几点：1) 需保证123、操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中；2) 需确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除。整改措施：采用剩余信息保护系统完全清除系统中的残余信息，确保数据不被恶意恢复而造成信息泄露。剩余信息保护系统必须对数据完全擦除，不留痕迹，可以对单个文件、文件夹以及磁盘剩余空间做完全清除。保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除；确保系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。6.5.6124、 通信完整性、通信保密性、抗抵赖省公司及地市公司三级系统应用的通信完整性、保密性、抗抵赖性现状与等级保护要求存在一定的差距，应完善以下几点：1) 需采用密码技术保证通信过程中数据的完整性；2) 在通信双方建立连接之前，应用系统需利用密码技术进行会话初始化验证；3) 对通信过程中的整个报文或会话过程需进行加密；4) 在请求的情况下为数据原发者或接收者需提供数据原发证据的功能；5) 在请求的情况下为数据原发者或接收者需提供数据接收证据的功能。整改措施：1) 应采用密码技术保证通信过程中数据的完整性与保密性，密码技术需满足以下要求：u 密码算法的选择：应用软件中选择的密码算法在强度上应该等于或大于公125、司规定和用户提出的安全强度要求（国家电网公司信息系统口令管理规定中已对密码的安全强度要求给出明确说明）。u 密钥的安全管理：应用软件需要在密钥生成、存储、分配、销毁的整个生命周期中对其实施保护，确保密钥明文不能被其他进程、程序和应用中非相关组件访问到。u 证书验证：应用软件应该确保能够对系统中使用的证书进行正确鉴别，而且不会接受或继续使用非法的或者无效的证书。2) 结合三级系统域中应用安全防护方案，在应用通信双方建立连接之前，应用系统需利用密码技术进行绘画初始化验证并对通信过程中的整个报文或绘画过程进行安全加密，密码技术需符合上面3条要求；保证通信的抗抵赖，应用数据的连接、传输、会话与反馈需满126、足以下要求：u 在数据连接访问建立之前必须进行接口认证，认证方式可采用共享口令、用户名口令等方式；u 共享口令或用户名口令认证时，需对口令长度、复杂度、生存周期等进行强制要求（按照国家电网公司信息系统口令管理规定设置各项要求）；u 在认证过程中所经网络传输的口令信息应当禁止明文传送；可通过哈希（HASH）单向运算、SSL加密、SSH加密等方式实现；u 需具有在请求的情况下为数据原发者或接收者提供数据原发或接收证据的功能，使用PKI或其他技术实现。6.5.7 资源控制省公司及地市公司三级系统应用的资源控制现状与等级保护要求存在一定的差距，应完善以下几点：1) 限制对系统的最大并发会话连接数；2)127、 限制单个帐户的多重并发会话；3) 需实现对一个时间段内可能的并发会话连接数进行限制；4) 需限制一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额；5) 对系统服务水平降低到预先规定的最小值进行检测和报警。整改措施：1) 按照国家电网公司应用软件通用安全要求对用户会话管理要求与信息安全技术信息安全等级保护基本要求，三级系统应用软件需限制用户对系统的最大并发会话连接数、限制单个帐户的多重并发会话、限制某一时间段内可能的并发会话连接数等，整改方案如下：u 应用软件需向系统管理员增设监视工具，以便实时检测客户端用户的连接状态和行为，应用软件必须允许会话发起的用户手动终止该会话。u 应用软件128、能够自动处理会话的异常状态，并且能够提供给系统管理员适当的管理工具对会话进行实时控制，包括设置会话超时时间、最大允许会话数。u 应用软件能够确保一个客户端只能有一个用户同时登录到系统中，一个用户只允许同时在一个客户端上登录到系统中。2) 在应用程序中增设资源使用状况监测机制，对系统服务水平进行检测和报警，或使用网管系统或其他方式对重要服务器CPU、硬盘、内存、网络等资源的使用状况进行监测，服务水平降低到预定的阀值时进行报警。6.6 数据安全及备份恢复6.6.1 数据安全及备份恢复建设目标公司三级系统主要为财务管理系统、营销系统和电力市场交易系统。根据等级保护前期调研结果，结合信息安全技术信息安129、全等级保护基本要求对三级系统数据安全及备份的要求，从数据完整性、数据保密性和备份与恢复等几个方面提出相应的整改方案，进行数据安全和备份安全等级保护建设与改造。6.6.2 数据完整性、数据保密性省公司及地市公司三级系统数据完整性和保密性现状与等级保护要求存在一定的差距，应完善以下几点：1) 系统管理数据、鉴别信息和重要业务数据在传输过程中需进行加密，确保信息在传输过程中的完整性和保密性；2) 系统管理数据、鉴别信息和重要业务数据在存储过程中需进行加密，保证信息在存储过程中的完整性和保密性，存储过程中检测到完整性错误时需采取必要的恢复措施。整改措施：1) 采用加密措施、数字签名与电子证书等保证系统130、管理数据、鉴别信息和重要业务数据在传输过程中完整性不受到破坏，检测到完整性错误时，根据采用的完整性防护措施对信息进行恢复。加密技术需满足以下要求：u 密码算法的选择：数据传输和存储中选择的密码算法在强度上应该等于或大于省公司规定的安全强度要求（国家电网公司信息系统口令管理规定中已对口令的安全强度要求给出明确说明）。u 密钥的安全管理：需要在密钥生成、存储、分配、销毁的整个生命周期中对其实施保护，确保密钥明文不能被其他进程和程序非相关组件访问到。u 证书验证：数据传输和存储过程中必须确保能够对系统中使用的证书进行正确鉴别，且不接受或继续使用非法的或者无效的证书。6.6.3 备份和恢复省公司及地市131、公司三级系统数据备份和恢复与等级保护要求存在一定的差距，应完善以下几点：1) 需提供本地数据备份与恢复功能，完全数据备份需每天一次，备份介质场外存放；2) 必须提供异地数据备份功能，关键数据需定时批量传送至备用场地。整改措施：1) 完善山东省电力集团公司备份系统运行管理制度内容，在现有内容上，需增加对三级系统备份周期要求（本地备份需每天一次）。备份介质场外存放，本地备份数据需提供恢复功能，并定期进行恢复测试。2) 按国家电网公司信息机房设计及建设规范建立异地备份中心，定期对各业务系统数据进行异地备份，对于重要的业务系统（如财务、营销、电力市场交易系统等）应进行实时备份。在数据异地备份传输过程中应进行加密传输以保证数据的完整性、可用性和保密性，加密方案使用数据完整性和保密性相关措施。