? 三层交换机Vlan隔离:采用三层交换机为各安全域划分Vlan,采用交
换机访问控制列表或防火墙模块进行安全域间访问控制。
? 二层交换机Vlan隔离:在二层交换机上为各安全域划分Vlan,采用
Trunk与路由器或防火墙连接,在上联的路由器或防火墙上进行访问控制。
对于一个应用的子系统跨越多个物理环境如设备机房所带来的分域问题,由于安全域为逻辑区域,可以将公司层面上的多个物理网段或子网归属于同一安全域实现安全域划分。 3.5 安全域划分及边界防护 3.5.1
安全域的划分
结合SG186总体方案中定义的“二级系统统一成域,三级系统独立分域”,在不进行物理网络调整的前提下,将财务系统和物资与项目系统进行分离,使三级财务系统独立成域,二级系统物资和项目管理归并和其他二级系统统一成域,在VPN内,建立ACL控制桌面终端与服务器间的访问,现将省公司信息系统逻辑安全域划分如下:
山山山山山山山 山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山山SiSi山山山山山山山山山山山山山山山山山 图:省公司内网逻辑划分图
8
营销服务器财务服务器电力市场交易服务器二级系统安全域(内网门户、物资、项目、生产等)公共应用服务安全域(DNS、车辆管理等)省公司桌面终端营销终端财务终端电力市场交易终端电力市场交易MPLS VPN营销MPLS VPN财务MPLS VPN营销服务器财务终端营销终端地市公司二级系统安全域(内网门户、生产等)桌面终端 图:全省信息系统MPLS VPN安全域划分逻辑图
Internet防火墙设备 或访问控制措施其他应用服务应用服务器外网门户防火墙电力市场交易信息外网应用服务器区域95598Si信息外网桌面终端域
图:信息外网安全域划分逻辑图
在原有的MPLS VPN的基础上结合VLAN划分方法,根据等级保护及国网SG186总体防护方案有求,对全省信息系统进行安全域划分。
1) 三级系统与二级系统进行分离:
集中集成区域的三台小型机采用集群模式部署了财务、物资、项目这三个业务系统,由于财务为三级业务系统,应要独立成域,必须将财务系统从集群中分离出来,安装在独立的服务器或者小型机上,接入集中集成区域或新大楼服务器
9
区。
2) 划分安全域,明确保护边界:
采用MPLS VPN将三级系统划分为独立安全域。财务系统MPLS VPN、电力市场交易系统MPLS VPN、营销系统MPLS VPN、二级系统安全域、桌面安全域、公共应用服务安全域。二级系统安全域包含除三级系统外的所有应用系统服务器;桌面安全域包含各业务部门桌面终端VLAN;公共引用服务安全域为全省均需要访问的应用服务器,如DNS等。
目前信息外网存在三大业务系统:外网门户、营销系统95598网站、电力市场交易系统外网网站。根据等级保护要求应将营销系统95598网站和电力市场交易系统外网网站分别划分独立的VLAN,并在边界防火墙上设置符合等级保护三级要求的VLAN访问控制策略。
3) 部署访问控制设备或设置访问控制规则
在各安全域边界设置访问控制规则,其中安全域边界按照“安全域边界”章节所列举的边界进行防护。访问控制规则可以采用交换机访问控制策略或模块化逻辑防火墙的形式实现。
二级系统安全域边界访问控制规则可以通过交换机的访问控制规则实现,访问控制规则满足如下条件:
? 根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制
粒度为网段级。
? 按用户和系统之间的允许访问规则,控制粒度为单个用户。
三级系统安全域边界的安全防护需满足如下要求:
? 根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
? 对进出网络的信息内容进行过滤,实现对应用层协议命令级的控制。
10
4) 入侵检测系统部署:
二级系统、三级系统安全域内应部署入侵检测系统,并根据业务系统情况制定入侵检测策略,检测范围应包含二级系统服务器、三级系统服务器、其他应用服务器,入侵检测应满足如下要求:
? 定制入侵检测策略,如根据所检测的源、目的地址及端口号,所需监测的服务类型以定制入侵检测规则; ? 定制入侵检测重要事件即时报警策略;
? 入侵检测至少可监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;
? 当检测到攻击行为时,入侵检测系统应当记录攻击源IP、攻击类型、攻击目的IP、攻击时间,在发生严重入侵事件时应能提供及时的报警信息。
4. 信息安全管理建设
4.1 建设目标
省公司信息系统的管理与运维总体水平较高,各项管理措施比较到位,经过多年的建设,已形成一整套完备有效的管理制度。省公司通过严格、规范、全面的管理制度,结合适当的技术手段来保障信息系统的安全。管理规范已经包含了信息安全策略、信息安全组织、资产管理、人力资源安全、物理与环境安全、通讯与操作管理、访问控制、信息系统的获取、开发和维护、信息安全事故管理、业务连续性管理等方面,但与《信息安全技术信息系统安全等级保护基本要求》存在一定的差距,需进行等级保护建设。
通过等级保护管理机构与制度建设,完善公司信息系统管理机构和管理制
11