资源预览内容
第1页 / 共70页
第2页 / 共70页
第3页 / 共70页
第4页 / 共70页
第5页 / 共70页
第6页 / 共70页
第7页 / 共70页
第8页 / 共70页
第9页 / 共70页
第10页 / 共70页
亲,该文档总共70页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
优质文档山东省电力集团公司信息系统等级爱护建立方案二零零九年八月优质文档版权声明本文中出现的任何文字表达、文档格式、插图、照片、方法、过程等内容,除另有特殊注明,版权均属国网电力科学探究院/国网信息网络平安试验室和山东省电力集团公司全部,受到有关产权及版权法爱护。任何个人、机构未经国网电力科学探究院/国网信息网络平安试验室和山东省电力集团公司的书面授权许可,不得以任何方式复制或引用本文的任何片断。文档信息文档名称山东省电力集团公司信息系统等级爱护建立方案文档管理编号INSL-SDDL-BLT-2009-FA保密级别商 密文档版本号V3.0制作人郭骞制作日期2009年6月复审人余 勇复审日期2009年6月扩散范围国家电网公司信息网络平安试验室山东省电力集团公司扩散批准人林为民版本变更记录时间版本说明修改人2009-V1.0创立文档郭骞2009-V2.0修改文档俞庚申2009-V3.0文档复审定稿余 勇适用性声明本报告由国网电力科学探究院/国网信息网络平安试验室撰写,适用于山东省电力集团公司信息系统等级爱护工程。目 录1.工程概述11.1目标与范围11.2方案设计21.3参照标准22.建立总目标22.1等级爱护建立总体目标23.平安域及网络边界防护33.1信息网络现状33.2平安域划分方法43.3平安域边界5二级系统边界5三级系统边界63.4平安域的实现形式73.5平安域划分及边界防护8平安域的划分84.信息平安管理建立114.1建立目标115.二级系统域建立125.1概述与建立目标125.2网络平安13网络平安建立目标13地市公司建立方案135.3主机平安19主机平安建立目标19主机身份鉴别19访问限制22平安审计23入侵防范26恶意代码防范28资源限制285.4应用平安30应用平安建立目标30身份鉴别31平安审计31通信完整性、通信保密性32资源限制335.5数据平安及备份复原34数据平安及备份复原建立目标34数据完整性、数据保密性346.三级系统域建立366.1概述与建立目标366.2物理平安36物理平安建立目标36机房感应雷防护措施37物理访问限制37防盗措施37防火措施38防水和防潮39电磁防护396.3网络平安建立方案40网络平安建立目标40建立方案406.4主机平安46主机平安建立目标46主机身份鉴别46访问限制49平安审计51剩余信息爱护54入侵防范55恶意代码防范57资源限制586.5应用平安59应用平安建立目标59身份鉴别59访问限制60平安审计61剩余信息爱护63通信完整性、通信保密性、抗抵赖63资源限制646.6数据平安及备份复原66数据平安及备份复原建立目标66数据完整性、数据保密性66备份和复原67优质文档1. 工程概述依据国家电网公司关于信息平安等级爱护建立的实施指导看法信息运安200927号和山东省电力集团公司对等级爱护相关工作提出的要求,落实等级爱护各项任务,提高山东省电力集团公司信息系统平安防护实力,特制定本方案。1.1 目标与范围公司为了落实和贯彻公安部、国家保密局、国家密码管理局、电监会等国家有关部门信息平安等级爱护工作要求,全面完善公司信息平安防护体系,落实公司“双网双机、分区分域、等级防护、多层防备”的平安防护策略,确保等级爱护工作在各单位的顺当实施,提高公司整体信息平安防护水平,开展等级爱护建立工作。前期在省公司及地市公司开展等级爱护符合性测评工作,对地市公司进展测评调研工作,范围涵盖内网门户、外网门户、财务管理系统、营销管理系统、电力市场交易系统、生产管理信息系统、协同办公系统、人力资源管理系统、物资管理系统、工程管理系统、邮件系统、公司广域网SGInet、管理制度这13个业务系统分类,分析测评结果与等级爱护要求之间的差距,提出本的平安建立方案。本方案主要遵循GB/T22239-2008信息平安技术信息平安等级爱护根本要求、信息平安等级爱护管理方法公通字200743号、信息平安技术 信息平安风险评估标准GB/T 20984-2007、国家电网公司信息化“SG186”工程平安防护总体方案、ISO/IEC 27001信息平安管理体系标准和ISO/IEC 13335信息平安管理标准等。实施的范围包括:省公司本部、各地市公司。通过本方案的建立实施,进一步提高信息系统等级爱护符合性要求,将整个信息系统的平安状况提升到一个较高的水平,并尽可能地消退或降低信息系统的平安风险。1.2 方案设计依据等级爱护前期测评结果,省公司本部及各地市公司信息系统存在的漏洞、弱点提出相关的整改看法,并最终形成平安解决方案。1.3 参照标准GB/T22239-2008信息平安技术信息平安等级爱护根本要求信息平安等级爱护管理方法公通字200743号信息平安技术 信息平安风险评估标准GB/T 20984-2007国家电网公司信息化“SG186”工程平安防护总体方案ISO/IEC 27001信息平安管理体系标准ISO/IEC 13335信息平安管理标准国家电网公司“SG186”工程信息系统平安等级爱护验收测评要求征求看法稿国家电网公司信息机房设计及建立标准国家电网公司信息系统口令管理规定GB50057-94建筑防雷设计标准国家电网公司应用软件通用平安要求2. 建立总目标2.1 等级爱护建立总体目标综合考虑省公司现有的平安防护措施,针对与信息平安技术信息系统平安等级爱护根本要求间存在的差异,整改信息系统中存在的问题,使省公司及地市公司信息系统满意信息平安技术信息系统平安等级爱护根本要求中不同等级的防护要求,顺当通过国家电网公司或公安部等级爱护建立测评。3. 平安域及网络边界防护依据GB/T22239-2008信息平安技术信息平安等级爱护根本要求、国家电网公司信息化“SG186”工程平安防护总体方案及国家电网公司“SG186”工程信息系统平安等级爱护验收测评要求征求看法稿的要求,省公司及地市公司信息系统遵照业务系统定级,依据不同级别爱护需求,按要求划分平安区域进展分级爱护。因此,平安域划分是进展信息平安等级爱护建立的首要步骤。3.1 信息网络现状山东省电力集团公司各地市信息内网拓扑典型构造:图:典型信息网络现状主要问题:u 各平安域之间缺乏有效的限制措施不能够保障业务系统平安、独立运行,不受其他业务系统的影响。依据GB/T22239-2008信息平安技术信息平安等级爱护根本要求和国家电网公司信息化“SG186”工程平安防护总体方案的建立要求,省公司和各地市信息网络平安域需依据业务系统等级进展重新划分。3.2 平安域划分方法依据国家电网公司平安分区、分级、分域及分层防护的原那么,管理信息大区遵照双网隔离方案又分为信息内网与信息外网。本方案主要针对公司信息系统进展等级爱护建立。在进展平安防护建立之前,首先实现对信息系统的平安域划分。依据SG186总体方案中 “二级系统统一成域,三级系统独立分域”的要求,结合省公司MPLS VPN现状,采纳纵向MPLS VPN结合VLAN划分的方法,将全省信息系统分为:信息内网区域可分为:u 电力市场交易系统MPLS VPN或相应纵向通道:包含省公司电力市场交易应用效劳器VLAN、省公司电力市场交易办公终端;u 财务管理系统MPLS VPN或相应纵向通道:包含省公司财务管理系统VLAN、省公司财务办公终端VLAN、各地市财务办公终端VLAN13个;u 营销管理系统MPLS VPN或相应纵向通道:省公司营销系统VLAN、省公司营销办公终端VLAN、各地市营销系统VLAN13个、各地市营销办公终端VLAN13个u 二级系统MPLS VPN或相应纵向通道二级系统包括:内部门户网站、生产管理信息系统、协同办公系统、人力资源管理系统、物资管理系统、工程管理系统和邮件系统:u 公共效劳MPLS VPN或相应纵向通道:包含DNS、FTP等全省须要访问的公共效劳u 信息内网桌面终端域信息外网区的系统可分为:u 电力市场交易系统域u 营销管理系统域95598u 外网二级系统域外网门户等u 信息外网桌面终端域平安域的具体实现采纳物理防火墙隔离、虚拟防火墙隔离或Vlan隔离等形式进展平安域划分。3.3 平安域边界3.3.1 二级系统边界u 二级系统域存在的边界如下表:边界类型边界描述第三方网络边界Internet边界纵向网络边界省公司与华北电网公司间、省公司与其地市公司之间横向域间边界在信息内外网区与桌面终端域的边界在信息内外网区与根底系统域的边界与财务系统域之间的边界与电力市场交易系统域的边界与营销管理系统域间的边界u 二级系统域的网络边界拓扑示意图如下:3.3.2 三级系统边界财务管理系统、电力市场交易系统和营销系统均涉及信息内网与银行联网存在第三方网络边界接口、省公司与地市公司之间网络边界接口、信息内网横向域间其它二级系统域间接口,电力市场交易系统还涉及信息外网与Internet存在第三方网络边界接口。u 三级系统域存在的边界如下表:边界类型边界描述信息外网第三方边界与Internet互联网的边界,实现:公共效劳通道遥远站所、移动效劳、PDA现场效劳、居民集中抄表、负控终端采集、抢修车辆GPS定位等与其他社会代收机构连接VPN网上营业厅短信效劳时钟同步信息内网第三方边界银企互联边界与其他社会代收机构的边界专线连接公共效劳通道专线、GPRS、CDMA等纵向网络边界省公司与地市公司横向域间边界与二级系统域间的边界与内外网桌面终端域的边界与内外网根底系统域的边界与其它三级域之间的边界u 三级系统域的网络边界拓扑示意图如下:3.4 平安域的实现形式平安域实现方式以划分逻辑区域为主,旨在实现各平安区域的逻辑划分,明确边界以对各平安域分别防护,并且进展域间边界限制,平安域的实体呈现为一个或多个物理网段或逻辑网段的集合。对公司信息系统平安域的划分手段采纳如下方式:u 防火墙平安隔离:采纳双接口或多接口防火墙进展边界隔离,在每两个平安域的边界部署双接口防火墙,或是采纳多接口防火墙的每个接口分别与不同的平安域连接以进展访问限制。u 虚拟防火墙隔离:采纳虚拟防火墙实现各平安域边界隔离,将一台防火墙在逻辑上划分成多台虚拟的防火墙,每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备,可拥有独立的系统资源、管理员
收藏 下载该资源
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号