【正文】 所造成的損失和影響將是無法估量的。計算機信息網(wǎng)絡(luò)規(guī)模不斷擴大，信息技術(shù)和信息產(chǎn)業(yè)以前所未有之勢，滲透著各行各業(yè)和人民生活，正在逐步改變著人們的生產(chǎn)和生活方式，推動著企業(yè)進步和機制、體 制的不斷改革。電力廣域網(wǎng)安全建議書 第 1 頁 共 75 頁 網(wǎng)絡(luò) 安全建議書 （ version:） 電力廣域網(wǎng)安全建議書 第 2 頁 共 75 頁 目錄 前言 ................................................................................................................................. 4 第一章 XX 及其安全方法論介紹 ...................................................................................... 5 安全模 型 —— TMS 安全體系模型 ..................................................................... 6 全程 安全服務(wù)模型 ........................................................................................... 7 安全服務(wù) ......................................................................................................... 7 整體安全解決方案 ........................................................................................... 8 安全技術(shù)解決方案 ............................................................................................. 8 安全管理解決方案 ............................................................................................. 9 安全體系設(shè)計的原則 ............................................................................................. 10 提供的整體解決方案 ............................................................................................. 10 安全技術(shù)體系 ...................................................................................................11 整體安全管理體系 ........................................................................................... 12 第二章 系統(tǒng)應(yīng)用特點 及安全風(fēng)險分析 ............................................................................ 13 保證系統(tǒng)信息安全的目的和意義 ............................................................................ 13 網(wǎng)絡(luò)及應(yīng)用分析 .................................................................................................... 14 系統(tǒng)應(yīng)用特點概述 .................................................................錯誤 !未定義書簽。 計算機信息網(wǎng)絡(luò)作用不斷擴大的同時，信息網(wǎng)絡(luò)的安全一旦遭受破壞，其影響或損失也十分巨大。工業(yè)的特點決定了系統(tǒng)信息安全不僅具有一般計算機信息網(wǎng)絡(luò)信息安全的特征，而且還具有實時運行控制系統(tǒng)信息安全的特征。 XX 科技的前身是 RMG 集團亞洲分公司在中國設(shè)立的辦事處，代 理銷售安全產(chǎn)品和提供安全技術(shù)服務(wù)。 XX安全解決方案 ，首次將“ AS/400 主機安全”、“企業(yè)應(yīng)用安全”、“中間件安全”、“ Web 安全”、“防火墻管理”和“數(shù)據(jù)庫安全”加入到安全技術(shù)體系范疇。 電力廣域網(wǎng)安全建議書 第 6 頁 共 75 頁 安全模型 —— TMS 安全體系模型 XX 科技根據(jù)多年對信息安全體系結(jié)構(gòu)的研究和安全模型的實效分析，針對中國用戶普遍存在“管理薄弱”的實際特點，提出了 “技術(shù)、管理和服務(wù)”三位一體的 TMS 安全體系模型。 XX安全技術(shù)體系是一個塔式模型，定義了企業(yè)信息網(wǎng)絡(luò)中不同領(lǐng)域和不同層面的安全問題 和安全技術(shù)，指導(dǎo)用戶根據(jù)自己的實際需求來規(guī)劃安全技術(shù)體系建設(shè)的實施步驟。 XX全程安全服務(wù)模型是一個輪式模型，為企業(yè)的安全建設(shè)實施全程專業(yè)安全服務(wù)。 XX安全服務(wù)的原則：全程性、動態(tài)性、經(jīng)濟性 全程性：對用戶技術(shù)體系和管理體系的“規(guī)劃 〉實施 〉管理”全部流程均提供服務(wù)支持； 動態(tài)性：滿足用戶動態(tài)的安全目標，適應(yīng)動態(tài)的安全風(fēng)險； 經(jīng)濟性：超值的服務(wù)，降低用戶的總體擁有成本。 安全培訓(xùn) （ Security Training） 對企業(yè)不同用戶的不同要求，提供定制的安全培訓(xùn)。 整體安全解決方案 安全技術(shù)解決方案 防火墻 /VPN (Firewall/VPN) 由業(yè)界領(lǐng)先的應(yīng)用代理型防火墻構(gòu)架多層次的企業(yè)安全防線；靈活的配置手段和日志管理滿足各種用戶需求，并通過防火墻集群技術(shù)滿足用戶高帶寬和高可用性需求。從“網(wǎng)關(guān) /網(wǎng)絡(luò) /主機”三個層面對非法入侵進行準確識別和立體防衛(wèi)。 電力廣域網(wǎng)安全建議書 第 9 頁 共 75 頁 主機安全 (Host Security) 對所有 AS/400 主機的安全評估、安全檢測和安全增強功能，為在開放體系中的 AS/400提供充分的安全保障。 MiddleWare) 針對大型企業(yè)的 PeopleSoft和 JDEdwards企業(yè)應(yīng)用平臺設(shè)計的安全保障方案；為電子商務(wù)應(yīng)用中的 BEA 中間件而實施的安全審計、安全檢測和安全增強解決方案。 安全管理解決方案 安全體系管理 (Security Architecture Management) 將系統(tǒng)、主機、企業(yè)應(yīng)用、中間件、 Web 服務(wù)器、數(shù)據(jù)庫、入侵檢測系統(tǒng)和防火墻等等幾乎所有與電子商務(wù)相關(guān)的 IT 系統(tǒng)納入統(tǒng)一的中央控制管理平臺，建立真正意義上的“統(tǒng)一管理，分散控制”的安全體系。對一個網(wǎng)絡(luò)要進行實際分析，對網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險進行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。一個計算機網(wǎng)絡(luò)包括個人、設(shè)備、軟件、數(shù)據(jù)等環(huán)節(jié)。 4) 易操 作性原則 安全措施要由人來完成，如果措施過于復(fù)雜，對人的要求過高，本身就降低了安全性。但是建立一個多重保護系統(tǒng)，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全。 3.“網(wǎng)絡(luò)安全” 方面：采用網(wǎng)絡(luò)風(fēng)險評估和網(wǎng)絡(luò)入侵檢測對網(wǎng)絡(luò)中的黑客和違法事件進行監(jiān)控和響應(yīng)；采用相應(yīng)的通訊加密措施保障網(wǎng)絡(luò)通訊安全。 7．“應(yīng)用及中間件安全”方面：針對各種應(yīng)用平臺設(shè)計的安全保障方案；為電子商務(wù)應(yīng)用的ＢＥＡ中間件而實施的安全審計，安全檢測和安全增強解決方案。 為了幫助企業(yè)建立有實效的“安全管理體制”， XX 推出了兩個管理解決方案來幫助用戶建立企業(yè)自己的“安全策略管理中心”和“安全知識管理中心”。 電力廣域網(wǎng)安全建議書 第 13 頁 共 75 頁 第二章 系統(tǒng)應(yīng)用特點及安全風(fēng)險分析 保證系統(tǒng)信息安全的目的和意義 隨著 Inter 的迅速發(fā)展，信息安全問題面臨新的挑戰(zhàn)。 數(shù)據(jù)網(wǎng)絡(luò)在系統(tǒng)中的應(yīng)用日益廣泛，已經(jīng)成為不可或缺的基礎(chǔ)設(shè)施。 系統(tǒng)信息安全是系統(tǒng)安全運行和對社會可靠供電的保障，是一項涉及電網(wǎng)調(diào)度自動化、繼電保護及安全裝置、廠、站自動化、配電網(wǎng)自動化、負荷控制、市場交易、營銷、信息網(wǎng)絡(luò)系統(tǒng)等有關(guān)生產(chǎn)、經(jīng)營和管理方面的多領(lǐng)域、復(fù)雜的大型系統(tǒng)工程。 我們按照“網(wǎng)絡(luò)及應(yīng)用分析 安全威脅分析 安全需求分析”的邏輯分析步驟對網(wǎng)絡(luò)的安全狀況和安全需求逐層進行了分析： 網(wǎng)絡(luò)及應(yīng)用分析 ：對目標網(wǎng)絡(luò)和應(yīng)用作出結(jié)構(gòu)性的分析； 安全威脅分析 ：發(fā)現(xiàn)網(wǎng)絡(luò)可能受到的安全攻擊和安全威脅； 安全需求分析 ：確定用戶關(guān)心和系統(tǒng)客觀存在的安全需求 電力廣域網(wǎng)安全建議書 第 14 頁 共 75 頁 網(wǎng)絡(luò)及應(yīng)用分析 安全威脅分析 網(wǎng)絡(luò)雖然是一個相對獨立的內(nèi)網(wǎng)，但由于和整個系統(tǒng)內(nèi)網(wǎng)連接，地域廣泛、分散，涉及的接口、平臺眾多，人員 復(fù)雜，管理人員素質(zhì)不一，給安全管理帶來很大困難；同時又與互聯(lián)網(wǎng)相連，以網(wǎng)絡(luò)系統(tǒng)的特殊性質(zhì)和地位，其網(wǎng)絡(luò)信息蘊涵價值巨大，安全風(fēng)險不言而喻。病毒的肆意傳播和復(fù)制已經(jīng)成為威脅系統(tǒng)安全和數(shù)據(jù)安全的首害之一。 此外，由于疏忽和訪問控制策略設(shè)置不嚴密也經(jīng)常導(dǎo)致無意的信息訪問失控，如允許匿名訪問和無意中把某些資源對所有用戶開放等等。中斷原因可能是系統(tǒng)被破壞或暫時性不可用。當然，他們也很容易冒充高級用戶對系統(tǒng)的關(guān)鍵資源進行訪問甚至破壞。 7) 物理威脅 物理威脅永遠存在，但在本方案中暫不作考慮。 入侵檢測 鑒于網(wǎng)絡(luò)系統(tǒng)涉及地域的廣度和人員的復(fù)雜性，特別是與外網(wǎng)相連，大大增強了非法入侵帶來的風(fēng)險，因此急需開展和加強風(fēng)險評估、入侵檢測方面的安全防護工作，以保證網(wǎng)絡(luò)系統(tǒng)和關(guān)鍵信息的安全性。 系統(tǒng)在現(xiàn)有網(wǎng)絡(luò)防病毒體系基礎(chǔ)上，加強對各個可能被計算機病毒侵入的環(huán)節(jié)進行病毒防火墻的控制，在省公司及各發(fā)、供電企業(yè)，分別建立計算機病毒管理中心，按其信息網(wǎng)絡(luò)管轄范圍，分級進行防范計算機病毒的統(tǒng)一管理。 安全管理需求 網(wǎng)管是實施安全最根本的手段， 80%以上的安全事件源于管理上的漏洞和措施不當。 ? 實現(xiàn)機制與 技術(shù)分析： 選擇合理的安全機制和技術(shù)實現(xiàn)既定的安全目標。 （ 2）對于前面提到的安全威脅，按照風(fēng)險大小和重要程度概括如下： ? 缺乏嚴格的網(wǎng)段隔離和連接訪問控制手段。 ? 缺乏風(fēng)險評估和入侵檢測手段。 ? 缺乏全面的病毒防治體系。 安全目標分析 安全目標的設(shè)計可從多種角度進行劃分，比如根據(jù) ISO 國際安全標準，定義各層的安全目標及實現(xiàn)方法；也可以按照信息安全的定義，從信息安全的四個特性去定義目標和方法。 ?工作站級 –NORTON AntiVirus for Windows 95/98 中文版 –NORTON AntiVirus for NT/2K Workstations 中文版 –NORTON AntiVirus for Windows –NORTON AntiVirus for Macintosh ?服務(wù)器級 –NORTON AntiVirus for Windows NT Servers 中文版 –NORTON AntiVirus for OS/2 –NORTON AntiVirus for NetWare –NORTON AntiVirus for Lotus Notes 中文版 電力廣域網(wǎng)安全建議書 第 20 頁 共 75 頁 –NORTON AntiVirus for Microsoft Exchange 中文版 ?網(wǎng)關(guān)級 –NORTON AntiVirus for Inter Email Gateways –NORTON AntiVirus for Firewalls ?管理級 –Symantec System Center 中文版 3) 產(chǎn)品配置 ? 網(wǎng)絡(luò)防毒軟件安裝 針對內(nèi)部之有網(wǎng)絡(luò)連接的電腦：規(guī)劃成控制中心提供兩種建議模式并用，有效于短時間內(nèi)安裝 (a)Pull 安裝方式：利用網(wǎng)絡(luò)的 登錄腳本 安裝 Win9x， DOS/ (b)Push