6.4.3 访问控制............................................................................................49 6.4.4 安全审计............................................................................................51 6.4.5 剩余信息保护....................................................................................54 6.4.6 入侵防范............................................................................................55 6.4.7 恶意代码防范....................................................................................57 6.4.8 资源控制............................................................................................58 6.5
应用安全...................................................................................................59 6.5.1 应用安全建设目标............................................................................59 6.5.2 身份鉴别............................................................................................59 6.5.3 访问控制............................................................................................60 6.5.4 安全审计............................................................................................61 6.5.5 剩余信息保护....................................................................................63 6.5.6 通信完整性、通信保密性、抗抵赖................................................63 6.5.7 资源控制............................................................................................64 6.6
数据安全及备份恢复...............................................................................66 6.6.1 数据安全及备份恢复建设目标........................................................66 6.6.2 数据完整性、数据保密性................................................................66 6.6.3 备份和恢复........................................................................................67
IV
1. 项目概述
根据国家电网公司《关于信息安全等级保护建设的实施指导意见(信息运安〔2009〕27号)》和山东省电力集团公司对等级保护相关工作提出的要求,落实等级保护各项任务,提高山东省电力集团公司信息系统安全防护能力,特制定本方案。 1.1 目标与范围
公司为了落实和贯彻公安部、国家保密局、国家密码管理局、电监会等国家有关部门信息安全等级保护工作要求,全面完善公司信息安全防护体系,落实公司“双网双机、分区分域、等级防护、多层防御”的安全防护策略,确保等级保护工作在各单位的顺利实施,提高公司整体信息安全防护水平,开展等级保护建设工作。
前期在省公司及地市公司开展等级保护符合性测评工作,对地市公司进行测评调研工作,范围涵盖内网门户、外网门户、财务管理系统、营销管理系统、电力市场交易系统、生产管理信息系统、协同办公系统、人力资源管理系统、物资管理系统、项目管理系统、邮件系统、公司广域网SGInet、管理制度这13个业务系统分类,分析测评结果与等级保护要求之间的差距,提出本的安全建设方案。
本方案主要遵循GB/T22239-2008《信息安全技术信息安全等级保护基本要求》、《信息安全等级保护管理办法》(公通字[2007]43号)、《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)、《国家电网公司信息化“SG186”工程安全防护总体方案》、ISO/IEC 27001信息安全管理体系标准和ISO/IEC 13335信息安全管理标准等。
实施的范围包括:省公司本部、各地市公司。
通过本方案的建设实施,进一步提高信息系统等级保护符合性要求,将整个信息系统的安全状况提升到一个较高的水平,并尽可能地消除或降低信息系统的安全风险。
1
1.2 方案设计
根据等级保护前期测评结果,省公司本部及各地市公司信息系统存在的漏洞、弱点提出相关的整改意见,并最终形成安全解决方案。 1.3 参照标准
GB/T22239-2008《信息安全技术信息安全等级保护基本要求》 《信息安全等级保护管理办法》(公通字[2007]43号) 《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007) 《国家电网公司信息化“SG186”工程安全防护总体方案》 ISO/IEC 27001信息安全管理体系标准 ISO/IEC 13335信息安全管理标准
《国家电网公司“SG186”工程信息系统安全等级保护验收测评要求(征求意见稿)》
《国家电网公司信息机房设计及建设规范》 《国家电网公司信息系统口令管理规定》 GB50057-94《建筑防雷设计规范》 《国家电网公司应用软件通用安全要求》
2. 建设总目标
2.1 等级保护建设总体目标
综合考虑省公司现有的安全防护措施,针对与《信息安全技术信息系统安全等级保护基本要求》间存在的差异,整改信息系统中存在的问题,使省公司及地市公司信息系统满足《信息安全技术信息系统安全等级保护基本要求》中不同等级的防护要求,顺利通过国家电网公司或公安部等级保护建设测评。
2
3. 安全域及网络边界防护
根据GB/T22239-2008《信息安全技术信息安全等级保护基本要求》、《国家电网公司信息化“SG186”工程安全防护总体方案》及《国家电网公司“SG186”工程信息系统安全等级保护验收测评要求(征求意见稿)》的要求,省公司及地市公司信息系统按照业务系统定级,根据不同级别保护需求,按要求划分安全区域进行分级保护。因此,安全域划分是进行信息安全等级保护建设的首要步骤。 3.1 信息网络现状
山东省电力集团公司各地市信息内网拓扑典型结构:
省局信息广域网多产以及第三方网络SiIPS 县局广域网县局广域网链路聚合链路聚合二级系统域桌面终端域营销系统域 SiSiSi应用服务器
图:典型信息网络现状
主要问题:
? 各安全域之间缺乏有效的控制措施不能够保障业务系统安全、独立运
行,不受其他业务系统的影响。
3