山东电力集团信息系统等级保护建设整改方案 下载本文

度,落实《信息安全技术信息系统安全等级保护基本要求》管理制度各项指标和要求,提高公司信息系统管理与运维水平。通过等级保护建设,实现如下目标:

1) 落实《信息安全技术信息系统安全等级保护基本要求》管理制度各项指

标和要求。

2) 在公司信息安全总体方针和安全策略的引导下,各管理机构能按时需要

规划公司信息安全发展策略,及时发布公司各类信息安全文件和制度,对公司各类安全制度中存在的问题定期进行修订与整改。

3) 系统管理员、网络管理员、安全管理员等信息安全管理与运维工作明确,

明确安全管理机构各个部门和岗位的职责、分工和技能要求。 4) 在安全技术培训与知识交流上,能拥有安全业界专家、专业安全公司或

安全组织的技术支持,以保证省公司信息系统安全维护符合各类安全管理要求并与时俱进。

5. 二级系统域建设

5.1 概述与建设目标

二级系统域是依据等级保护定级标准将国家电网公司应用系统定为二级的所有系统的集合,按分等级保护方法将等级保护定级为二级的系统集中部署于二级系统域进行安全防护,二级系统域主要涵盖与二级系统相关的主机、服务器、网络等。

省公司二级系统主要包括内部门户(网站)、对外门户(网站)、生产管理信息系统、协同办公系统、人力资源管理系统、物资管理系统、项目管理系统和邮件系统等共8个二级系统,除对外门户外,其它七个内网二级系统需按二级系统要求统一成域进行安全防护。

二级系统域等级保护建设目标是落实《信息安全技术信息安全等级保护基本要求》中二级系统各项指标和要求,实现信息系统二级系统统一成域,完善二级系统边界防护,配置合理的网络环境,增强二级系统主机系统安全防护及二级系

12

统各应用的安全与稳定运行。

针对《信息安全技术信息安全等级保护基本要求》中二级系统各项指标和要求,保障系统稳定、安全运行,本方案将二级系统域安全解决方案分为边界防护、网络环境、主机系统及应用安全四个层面进行安全建设。 5.2 网络安全 5.2.1

网络安全建设目标

省公司下属各地市公司网络安全建设按照二级系统要求进行建设,通过等级保护建设,实现如下目标:

1) 网络结构清晰,具备冗余空间满足业务需求,根据各部门和业务的需求,

划分不同的子网或网段,网络图谱图与当前运行情况相符;

2) 各网络边界间部署访问控制设备,通过访问控制功能控制各业务间及办

公终端间的访问;

3) 启用网络设备安全审计,以追踪网络设备运行状况、设备维护、配置修

改等各类事件;

4) 网络设备口令均符合国家电网公司口令要求,采用安全的远程控制方法

对网络设备进行远程控制。

5.2.2

地市公司建设方案

根据测评结果,地市公司信息网络中网络设备及技术方面主要存在以下问题:

1) 网络设备的远程管理采用明文的Telnet方式;

2) 部分网络设备采用出厂时的默认口令,口令以明文的方式存储于配置文

件中;

13

3) 交换机、IDS等未开启日志审计功能,未配置相应的日志服务器; 4) 供电公司内网与各银行间的防火墙未配置访问控制策略; 5) 网络设备采用相同的SNMP口令串进行管理;

6) 未开启网络设备登录失败处理功能,未限制非法登录次数,当网络登录

连接超时时未设置自动退出等措施;

7) 缺少对内部网络中出现的内部用户未通过准许私自联到外部网络的行

为进行检查与监测措施;

8) 未限制网络最大流量数及网络连接数; 9) 未限制具有拨号访问权限的用户数量。

针对以上问题,结合《信息安全技术信息安全等级保护基本要求》给出相应整改方案如下:

1) 关闭防火墙、交换机和IDS的telnet服务,启用安全的管理服务,如

SSH和https。部分不支持SSH的交换机应在交换机上限制可telnet远程管理的用户地址,实施配置如下(以思科交换机为例):

Router#config terminal Router(config)#access-list 10 permit tcp 10.144.99.120 0.0.0.0 eq 23 any(只允许10.144.99.120机器telnet登录,如需配置某一网段可telnet远程管理,可配置为:access-list 10 permit tcp 10.144.99.1 0.0.0.255 eq 23 any) Router(config)#line vty 0 4(配置端口0-4) Router(Config-line)#Transport input telnet(开启telnet协议,如支持ssh,可用ssh替换telnet) Router(Config-line)#exec-timeout 5 0

14

Router(Config-line)#access-class 10 in Router(Config-line)#end Router#config terminal Router(config)#line vty 5 15 Router(Config-line)#no login(建议vty开放5个即可,多余的可以关闭) Router(Config-line)#exit Router(Config)#exit Router#write 2) 修改网络设备出厂时的默认口令,且修改后的口令应满足长度大于等于

8位、含字母数字和字符的强度要求,其它不满足此口令强度要求的,均应要进行修改。部分楼层接入交换机,应及时修改口令;交换机应修改其SNMP口令串;防火墙口令应满足口令强度要求。交换机SNMP口令串修改实施步骤如下(以思科交换机为例):

Router#config terminal Router(config)# no snmp-server community COMMUNITY-NAME1 RO (删除原来具有RO权限的COMMUNITY-NAME1) Router(config)# snmp-server community COMMUNITY-NAME RO (如需要通过snmp进行管理,则创建一个具有读权限的COMMUNITY-NAME,若COMMUNITY-NAME权限为RW,则将命令行中RO更改为RW) Router(config)# snmp-server enable traps (允许发出Trap) Router(config)#exit Router#write 3) 交换机、IDS和防火墙等应开启日志审计功能,并配置日志服务器保存

15