【正文】 14. 無全網(wǎng)統(tǒng)一的網(wǎng)絡(luò)身份管理系統(tǒng)。造成大量的用戶名及口令數(shù)據(jù)庫系統(tǒng)孤島，重復(fù)投資、重復(fù)建設(shè)。且每個用戶需要面對大量用戶名及口令，使用麻煩且極不安全存在極大安全隱患。 15. 內(nèi)部安全技術(shù)人員有較大的信息、時間及實(shí)踐的局限性，無法面對日愈增多及日愈頻繁和技術(shù)日愈復(fù)雜的病毒、蠕蟲及黑客的攻擊。 綜上所述，為適應(yīng) XX 電力將來信息系統(tǒng)建設(shè)發(fā)展的需求， XX 電力的信息安全系統(tǒng)建設(shè)仍然有很長的路走。本次項目建設(shè)旨在為 XX 電力公司建立一個高效、安全、可靠的信息安全平臺，為后續(xù)信息化建設(shè) 奠定堅實(shí)的基礎(chǔ)。 從 XX 電力目前信息系統(tǒng)整體情況來看， 如何規(guī)劃一個結(jié)構(gòu)合理、技術(shù)先進(jìn)、可管理、便于擴(kuò)展的信息網(wǎng)絡(luò)安防體系是本次項目建設(shè)的一個關(guān)鍵。 ? 本次項目的主要內(nèi)容為：對 XX 電力信息系統(tǒng)進(jìn)行安全域化分，并進(jìn)行全網(wǎng)安全策略設(shè)計和規(guī)劃，購買并合理部署相關(guān)的網(wǎng)絡(luò)系統(tǒng)層、應(yīng)用層、管理層的安全設(shè)施，為 XX 電力的信息系統(tǒng)建設(shè)奠定堅實(shí)的安全的基礎(chǔ)。 第 5 頁 共 61 頁 方案設(shè)計概述 在上一章中，我們對本次項目建設(shè)的目標(biāo)以及系統(tǒng)的現(xiàn)狀進(jìn)行了分析。除了安全設(shè)備的采購和安裝部署外，怎樣進(jìn)行 XX 電力信息網(wǎng)絡(luò)系統(tǒng)的合理安全結(jié)構(gòu)設(shè)計、進(jìn)行合理的安 全域的劃分和安全策略設(shè)計、進(jìn)一步提高網(wǎng)絡(luò)系統(tǒng)的安全和性能是本項目建設(shè)的一個重要目標(biāo)。 在進(jìn)行方案設(shè)計時，我們詳細(xì)分析了 XX 電力公司網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的特點(diǎn)，并以 JUNIPER 公司電力信息系統(tǒng)安全解決方案為指導(dǎo)，針對 XX 電力信息系統(tǒng)就安全域劃分、安全策略設(shè)置、防火墻系統(tǒng)的部署、入侵檢測防御系統(tǒng)的部署、SSL VPN 遠(yuǎn)程安全接入及審計管理、防火墻運(yùn)行維護(hù)和日志分析等方面作出了詳細(xì)的設(shè)計方案。 本項目系統(tǒng)總圖如下： 方案概述 第 6 頁 共 61 頁 安全域的劃分 安全域的劃分是現(xiàn)代 企業(yè)信息網(wǎng)絡(luò)安全的根本基礎(chǔ)之一，通過合理的安全域的劃分和實(shí)現(xiàn)可幫助 XX 電力構(gòu)筑一個層次性的、縱深的安全綜合防護(hù)系統(tǒng)。安全域的劃分主要由防火墻系統(tǒng)及入侵檢測防御系統(tǒng)實(shí)現(xiàn)隔離，安全應(yīng)用代理，防病毒 /蠕蟲及防垃圾郵件功能、 SSL VPN 系統(tǒng)、統(tǒng)一安全管理系統(tǒng)等進(jìn)行配套而實(shí)現(xiàn)的。 XX 電力公司信息系統(tǒng)安全域的整體劃分和實(shí)現(xiàn)如下圖所示： 為了提高整個 XX 電力信息系統(tǒng)的系統(tǒng)安全性和結(jié)構(gòu)合理性，建議將 XX 電力公司信息網(wǎng)絡(luò)根據(jù)其業(yè)務(wù)特性、職能劃分及連接對象劃分為 Inter 接入?yún)^(qū)、DMZ 區(qū)（外網(wǎng)，為公共信息 服務(wù)、撥號接入、小區(qū)住宅接入及 Extra 接入等應(yīng)用提供等）、辦公區(qū)、 IDC 數(shù)據(jù)核心區(qū)（內(nèi)網(wǎng)服務(wù)器集中保護(hù)區(qū)）及廣域網(wǎng)接入?yún)^(qū)等 5 大區(qū)域。將來如需要還可以進(jìn)一步將安全區(qū)域細(xì)分。 安全策略設(shè)計： 在安全域劃分的基礎(chǔ)上，我們將不同的網(wǎng)絡(luò)資源部署在相應(yīng)的安全域中，利 第 7 頁 共 61 頁 用防火墻的安全控制機(jī)制、入侵檢測防御系統(tǒng)的防御機(jī)制來實(shí)現(xiàn)各安全域之間的訪問控制。原則上，只允許各安全域根據(jù)服務(wù)和應(yīng)用的需要開放相應(yīng)的資源和訪問端口，限制不必要的服務(wù)，提高本域的安全性；允許高安全級別用戶訪問低安全域中的資源。但不允許低安全域 中的用戶訪問高安全域中的非授權(quán)資源。各安全域的總體安全策略設(shè)計示意如下圖所示： 防火墻系統(tǒng)的部署 在 Inter 接入?yún)^(qū)、 DMZ 區(qū)（外網(wǎng)）、辦公區(qū)、 IDC 數(shù)據(jù)核心區(qū)及廣域網(wǎng)接入?yún)^(qū) 5 大區(qū)域的互聯(lián)部分部署防火墻系統(tǒng)對以上各安全域?qū)嵤┯行У陌踩綦x及安全互聯(lián)。其中，在 Inter 接入?yún)^(qū)和內(nèi)網(wǎng)與外網(wǎng)隔離點(diǎn)采用 Netscreen 千 第 8 頁 共 61 頁 兆防火墻系統(tǒng)。通過雙防火墻屏蔽的方式，在兩個防火墻中間形成一個大的 DMZ 區(qū)，即外網(wǎng)區(qū)，以滿足公共服務(wù)提供，撥號接入、小區(qū)住宅接入及 Extra 接入等接入服 務(wù)，同時進(jìn)一步強(qiáng)化該區(qū)的安全。在內(nèi)外網(wǎng)互聯(lián)部分采用千兆防火墻系統(tǒng)進(jìn)行隔離；在 IDC 核心數(shù)據(jù)區(qū)，采用千兆防火墻系統(tǒng)進(jìn)行隔離。為配合內(nèi)網(wǎng)核心交換及 IDC 數(shù)據(jù)核心的高可用性要求，該兩部分防火墻系統(tǒng)為雙機(jī)熱備工作方式，負(fù)載均衡，互為備份。既可發(fā)揮雙機(jī)雙倍的性能，又可強(qiáng)化網(wǎng)絡(luò)安全的可靠性，可充分滿足 IDC 數(shù)據(jù)中心對安全性、可靠性及性能的要求。 入侵檢測防御系統(tǒng)（ IDP）的部署： 由于入侵檢測防御系統(tǒng) IDP 采用帶內(nèi)工作方式，在發(fā)現(xiàn)攻擊之時就可以將攻擊數(shù)據(jù)包屏蔽，相比于只有報警而不能阻擋攻擊的傳統(tǒng)的 IDS 系統(tǒng)， IDP 是真正的可檢測并阻止攻擊的技術(shù)。 Juniper Netscreen 可提供單獨(dú)的 IDP 系統(tǒng)或者與防火墻硬件集成的方案。建議該系統(tǒng)配置于 IDC 數(shù)據(jù)核心網(wǎng)絡(luò)與內(nèi)網(wǎng)核心交換機(jī)之間以配合 IDC 的防火墻共同構(gòu)成 IDC 的完整防護(hù)體系。同時也可根據(jù)網(wǎng)絡(luò)實(shí)際受到黑客或病毒及蠕蟲的實(shí)際攻擊情況靈活臨時部署到任何需要的地方，在強(qiáng)化安全的同時不會給網(wǎng)絡(luò)帶來任何影響。 SSL VPN 安全接入系統(tǒng)部署 通過 SSL VPN 安全接入系統(tǒng)平臺的部署，用戶在任何地方：無論是出差或是在家中或是在任何下屬單位，只要能訪問 Inter，只要有標(biāo)準(zhǔn)的 web 瀏覽器，無需進(jìn)行任何部署或安裝硬件、軟件客戶端設(shè)備，也無需對內(nèi)部服務(wù)器進(jìn)行任何修改，沒有地址翻譯穿越的影響，也不受私有地址沖突的影響，而且?guī)缀醪恍枰魏魏笃诰S護(hù)，所以可以方便地讓用戶安全地接入企業(yè)網(wǎng)絡(luò)。同時， Juniper NetscreenSA 系列的 SSL VPN 安全接入系統(tǒng)平臺還可以強(qiáng)制對遠(yuǎn)程用戶的安裝防火墻及防病毒軟件做出要求；可支持用戶的 C/S 、 B/S 應(yīng)用；可支持包括雙因素、數(shù)字證書在內(nèi)的各種強(qiáng)認(rèn)證方法；可支持比 IPSEC 高得多的訪問控制粒度。 第 9 頁 共 61 頁 第 10 頁 共 61 頁 2. 系統(tǒng)詳細(xì)設(shè)計 方案 解決方案綜述 通過對 XX 電力 公司 信息 系統(tǒng)安全 具體 需求 的詳細(xì)分析 ， 及對國內(nèi)多個兄弟單位信息安全系統(tǒng)建設(shè)經(jīng)驗的借鑒，同時結(jié)合了我們多年的網(wǎng)絡(luò)和安全系統(tǒng)實(shí)踐經(jīng)驗，我們建議本次 XX 電力信息安全系統(tǒng)的建設(shè)應(yīng)以電力信息系統(tǒng)安全域的劃分為前提，以深層防御思想為指導(dǎo)，采用國內(nèi)外先進(jìn)的系統(tǒng)安全產(chǎn)品和技術(shù)，建設(shè)符合 XX 電力自身信息系統(tǒng)發(fā)展要求的全面的、系統(tǒng)的安全解決方案。 一體化信息安全技術(shù)模型 在安全技術(shù)體系上一體化信息安全技術(shù)模型主要包括：系統(tǒng)安全平臺、應(yīng)用安全平臺和綜合安全管理平臺三個層面，通過三個層面平臺的一體化 部署及它們之間的相互支撐和配合充分地實(shí)現(xiàn)信息安全系統(tǒng)的 P2DR2 功能需求，即： Policy策略、 Protection 防護(hù)、 Detection 檢測、 Response 響應(yīng)和 Recovery 恢復(fù)五個方面的安全需求。 第 11 頁 共 61 頁 系統(tǒng)安全平臺：主要是指在安全域及深入防御思想的指導(dǎo)下，信息系統(tǒng)平臺自身的安全加固及多安全域的配套安全設(shè)施強(qiáng)化。主要包括網(wǎng)絡(luò)系統(tǒng)、主機(jī)系統(tǒng)及平臺系統(tǒng)等系統(tǒng)自身的安全及安全加固（如用戶弱口令強(qiáng)化、非使用網(wǎng)絡(luò)服務(wù)關(guān)閉及系統(tǒng)升級打補(bǔ)丁等）；安全域 的劃分及安全強(qiáng)化設(shè)施（如防火墻、防病毒、入侵監(jiān)測、漏洞掃描、物理隔離等）的合理部署。 應(yīng)用安全平臺：主要完成網(wǎng)絡(luò)資源的身份管理、身份認(rèn)證及網(wǎng)絡(luò)應(yīng)用資源的訪問控制。網(wǎng)絡(luò)應(yīng)用的集中登陸，集中訪問控制。具體技術(shù)設(shè)施包括門戶系統(tǒng)（ Portal） 、身份管理系統(tǒng)（ IM）、訪問控制系統(tǒng)（ AM）、證書系統(tǒng)（ PKI）等。 安全管理平臺：安全管理平臺是安全技術(shù)體系的核心組成部分。是企業(yè)的安全管理中心（ SMC）的重要支撐。主要完成安全系統(tǒng)的策略設(shè)置、安全事件監(jiān)控及響應(yīng)、安全審計、風(fēng)險分析和決策支持。 第 12 頁 共 61 頁 電力信息系統(tǒng)安全域基本概念 安全域是根據(jù)信息性質(zhì)、使用主體、安全目標(biāo)和策略等的不同來劃分的，是具有相近的安全屬性需求的網(wǎng)絡(luò)實(shí)體的集合。 電力 網(wǎng)絡(luò) 是 一個多應(yīng)用和多連接的網(wǎng)絡(luò)。多應(yīng)用體現(xiàn)在網(wǎng)絡(luò)中同時 運(yùn)行 公司的 生產(chǎn)系統(tǒng)、 管理 系統(tǒng)、其他業(yè)務(wù)系統(tǒng)和辦公系統(tǒng)；多連接體現(xiàn)為網(wǎng)絡(luò)連接既有節(jié)點(diǎn)內(nèi)部不同網(wǎng)段的連接（如生產(chǎn)網(wǎng)段和辦公網(wǎng)段連接），又有節(jié)點(diǎn)間的連接（如總 公司 到省 公司 的連接、省公司到地市公司的連接、地市公司到 縣級 公司的連接），同時還存在許多外部連接（如與 小區(qū) 的連接、地市公司與 電廠 的連接、 與行業(yè)用戶的連接、 與 銀行 的連接、撥號用戶接入等）。這些應(yīng)用 和連接，很好的幫助了電力公司用戶提高計算機(jī)在電力公司系統(tǒng)中的應(yīng)用水平，實(shí)現(xiàn) 電力 信息化。 但如同硬幣有兩個面一樣， 我們應(yīng)該意識到事務(wù)的兩面性，隨著應(yīng)用的不斷增加，網(wǎng)絡(luò)安全風(fēng)險也會不斷暴露出來。原來由單個計算機(jī)安全事故引起的損害可能傳播到其他系統(tǒng)和主機(jī)，引起大范圍的癱瘓和損失。而且由于電力公司屬于商業(yè)系統(tǒng)，都有一些各自的商業(yè)機(jī)密信息，如果這些涉密信息在網(wǎng)上傳輸過程中泄密，其造成的損失將是不可估量的。 目前的電力 企業(yè) 一般安全措施主要有：依靠 防火墻進(jìn)行互連網(wǎng)安全隔離 ，通過路由器的訪問控制列表和劃分 VLAN 的方式隔離 網(wǎng)絡(luò)，以及防病毒系統(tǒng)。以上這些安全措施 的簡單部署 已經(jīng) 不能完全 適應(yīng)現(xiàn)代 電力 系統(tǒng)的安全需求。 隨著電力網(wǎng)絡(luò)的逐漸復(fù)雜化，應(yīng)用系統(tǒng)的逐漸增多，外聯(lián)單位的逐漸眾多，原有的居于簡單安全域劃分的網(wǎng)絡(luò)設(shè)計結(jié)構(gòu)已越來越不能適應(yīng)電力行業(yè)信息網(wǎng)絡(luò)建設(shè)的需要。 因此，隨著電力行業(yè)應(yīng)用的多樣化及網(wǎng)絡(luò)的復(fù)雜化，電力信息系統(tǒng)越來越需要以多安全域為基礎(chǔ)，進(jìn)行新一代電力信息網(wǎng)絡(luò)的安全規(guī)劃及安全建設(shè)。 對安全系數(shù)要求高的安全域來說，在安全域的邊界一定要包含防火墻，對安全系數(shù)要求較低的安全域的邊界可以使用 VLAN 或訪問控制列表來代替。 而 有些安全域 之間 則 必需通過物理隔離的方法來控制訪問。 第 13 頁 共 61 頁 XX電力網(wǎng)絡(luò)安全域劃分及防火墻部署方案 安全域的邏輯劃分 根據(jù)我公司對實(shí)際需求的分析并結(jié)合國調(diào)對二次系統(tǒng)的相關(guān)建設(shè)要求，我們將 XX 電力信息系統(tǒng)劃分為以下幾個大的網(wǎng)絡(luò)安全域： IDC 核心區(qū)、辦公區(qū)、廣域網(wǎng)接入?yún)^(qū)、 Intra DMZ 區(qū)（即外網(wǎng)部分，含 Inter DMZ 區(qū)）和 Inter 區(qū)等 5 個安全域。 同時，通過對安全域的進(jìn)一步細(xì)分，可以將上述安全域進(jìn)一步細(xì)分為管理安全域、服務(wù)器群安全域、關(guān)鍵辦公（人事、財務(wù)、領(lǐng)導(dǎo)部門）安全域、普通辦公安全域、廣域網(wǎng)接入 安全域、 Intra DMZ 服務(wù)安全域、撥號網(wǎng)接入安全域、Extra 接入安全域、 Inter 接入安全域等。 在本方案中，主安全域的劃分主要通過防火墻及入侵檢測防御系統(tǒng)（ IDP）實(shí)現(xiàn)。通過其它安全系統(tǒng)進(jìn)行安全配套。 考慮到 IDC 核心區(qū)及辦公區(qū)網(wǎng)絡(luò)系統(tǒng)在整個 XX 電力信息系統(tǒng)中的核心地位，我們建議將原有的單機(jī)單網(wǎng)的核心網(wǎng)絡(luò)交換機(jī)升級成為雙機(jī)雙網(wǎng)的的結(jié)構(gòu)，通過雙網(wǎng)雙機(jī)的備份提高系統(tǒng)的性能及可靠性。局域網(wǎng)辦公區(qū)和 IDC 核心區(qū)通過樓層 /匯聚交換機(jī)接入核心交換。 鑒于 IDC 核心區(qū)的安全性要求非常高，建業(yè)數(shù) 據(jù)核心的交換機(jī)也配置為雙交換機(jī)模式。除了部署防火墻模塊和 IDP 入侵防御雙機(jī)系統(tǒng)外，建議今后可進(jìn)一步增加部署反向代理服務(wù)器、網(wǎng)絡(luò)身份系統(tǒng)、訪問控制系統(tǒng)、文件完整性系統(tǒng)等多種安全設(shè)施以確保 IDC 區(qū)的系統(tǒng)級安全及應(yīng)用級安全。 XX 電力總公司安全域的邏輯細(xì)分圖如下圖所示： 第 14 頁 共 61 頁 各地市公司的安全域邏輯細(xì)分如下圖所示： 第 15 頁 共 61 頁 建議關(guān)鍵地市采用模式一雙機(jī)方式， 其他地市局采用模式二方式。 下面我們對各安全域進(jìn)行更進(jìn)一步說明： IDC 數(shù)據(jù)核心區(qū)（內(nèi)網(wǎng)服務(wù)器集中保護(hù)區(qū)）： 建議在 XX 電力公司總部局域網(wǎng)，單獨(dú)設(shè)立一個 IDC 核心區(qū)，主要用于部署關(guān)鍵的業(yè)務(wù)服務(wù)器系統(tǒng)，如生產(chǎn)管理信息系統(tǒng)、辦公自動化系統(tǒng)、燃料管理系統(tǒng)的應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器等。 在 IDC 數(shù)據(jù)核心交換機(jī)與內(nèi)網(wǎng)網(wǎng)絡(luò)核心交換機(jī)之間部署 Netscreen千兆防火墻系統(tǒng)。為 IDC 核心區(qū)提供安全隔離和訪問控制的功能。 鑒于可能受到來自公司總部局域網(wǎng)的非法入侵和攻擊。為了解決這一問題，建議在數(shù)據(jù)核心交換機(jī)與網(wǎng)絡(luò)核心交換 機(jī)之間部署入侵防御 IDP 系統(tǒng)或在Netscreen 防火墻上采用集成硬件 IDP 模塊的方式，從而提高了 IDC 核心區(qū)對網(wǎng)絡(luò)蠕蟲和網(wǎng)絡(luò)入侵的抗攻擊能力。 在 IDC 核心區(qū)中，還可根據(jù)具體得管理需要進(jìn)一步細(xì)分為服務(wù)器區(qū)、存儲備份區(qū)、管理區(qū)等等。 局域網(wǎng)辦公區(qū)： 公司總部大樓辦公用網(wǎng)絡(luò)設(shè)備和計算機(jī)終端全部屬于局域網(wǎng)辦公區(qū)。 根據(jù)具體管理及安全要求的不同該區(qū)可進(jìn)一步細(xì)分為領(lǐng)導(dǎo)、財務(wù)、人事和普通辦公 VLAN 等子安全域； 第 16 頁 共 61 頁 廣域網(wǎng)接入?yún)^(qū) 完成廣域網(wǎng)的安全接入功能。為各地市電廠等單位提供安全的廣域網(wǎng)接入服務(wù)； Intr DMZ 區(qū)（即外網(wǎng)區(qū)）： 如上圖所示，在公司總部設(shè)立 Intra DMZ 區(qū)。建議使用 Catalyst4500 以上級別交換機(jī)作為外網(wǎng)核心交換機(jī)。根據(jù)所提供服務(wù)的不同， DMZ