【正文】 審 計(jì)操 作 過 程 管 理遠(yuǎn) 程 訪 問 控 制信 息 防 泄 露防 病 毒 服 務(wù)網(wǎng) 頁 防 篡 改安 全 技 術(shù) 功 能 服 務(wù) 組 件 架 構(gòu)桌 面 終 端 管 理安 全 符 合 性 檢 查安 全 評 估可 用 性 保 障 服 務(wù)互聯(lián)網(wǎng)出口平臺運(yùn) 行 管 理 區(qū)防火墻I n t e r n e tD M Z 區(qū)D C （ 數(shù) 據(jù) 運(yùn) 行 區(qū) ）防火墻省 公 司 綜 合 數(shù) 據(jù) 網(wǎng) （ 廣 域 網(wǎng) ）地 區(qū) 辦 公區(qū)防火墻地 區(qū) D C （ 數(shù) 據(jù) 運(yùn)行 區(qū) ）地 區(qū) 運(yùn) 行管 理 區(qū)防火墻隔離設(shè)施省公司網(wǎng)絡(luò)地 區(qū) 三 產(chǎn) 接入 區(qū)防火墻運(yùn)營商專線運(yùn)營商D M Z區(qū)第三方接入（ 銀行 ）防火墻防火墻第三方D M Z 區(qū)運(yùn)營商專線防火墻D M Z 區(qū)防火墻防火墻綜 合 單 位接 入防火墻省 辦 公 區(qū)防火墻調(diào) 通 局 辦 公區(qū)防火墻核 心 層生 產(chǎn) 控 制 大 區(qū)調(diào) 通 局 服 務(wù)器防火墻生 產(chǎn) 控制 大 區(qū)防火墻防火墻第三方接入第三方D M Z區(qū)防火墻調(diào)通局核 心 層防火墻各 縣 局 接 入防火墻各 縣 局 接 入防火墻地區(qū)供電局防火墻 防火墻調(diào)度數(shù)據(jù)網(wǎng)防火墻地 區(qū) 綜 合 數(shù) 據(jù) 網(wǎng) （ 廣 域 網(wǎng) ）核 心 層防火墻核 心 層互聯(lián)網(wǎng)接入防火墻運(yùn) 行 管 理 區(qū)防火墻I n t e r n e tD M Z 區(qū)防火墻第三方接入（ 銀行 ）防火墻D C （ 數(shù) 據(jù) 中 心 ）防火墻防火墻第三方D M Z 區(qū)運(yùn)營商防火墻D M Z 區(qū)防火墻防火墻調(diào)通局I I 區(qū)調(diào)度數(shù)據(jù)網(wǎng)綜 合 數(shù) 據(jù) 網(wǎng) （ 廣 域 網(wǎng) ）防火墻調(diào)通局 D M Z綜 合 單 位 接 入防火墻省 辦 公 區(qū)防火墻隔離設(shè)施防 病 毒控 制 臺統(tǒng) 一 用戶 管 理企 業(yè) 用戶 目 錄數(shù) 據(jù) 證書集 中 身份 認(rèn) 證訪 問 授權(quán)準(zhǔn) 入 控制桌 面 管理統(tǒng) 一 事件 管 理日 志 審計(jì)操 作 審計(jì)入侵檢測防護(hù)遠(yuǎn) 程 安全 接 入網(wǎng) 頁 防篡 改入侵檢測防護(hù)網(wǎng) 頁 防篡 改入侵檢測防護(hù)入侵檢測防護(hù)安 全 符 合 性檢 查 A g e n t安 全 評 估入侵檢測防護(hù)信息流內(nèi)容檢測過濾日。當(dāng)前實(shí)施情況 XX 電網(wǎng)還未實(shí)施該功能控制措施或產(chǎn)品。當(dāng)前實(shí)施情況 已實(shí)施桌面終端管理系統(tǒng)，但功能未全面應(yīng)用，部分安全功能還未實(shí)現(xiàn) 安全審計(jì)管理目錄安全審計(jì)管理目錄包含以下的安全技術(shù)功能服務(wù)組件。在數(shù)據(jù)層面，重要的數(shù)據(jù)庫系統(tǒng)，應(yīng)采用數(shù)據(jù)備份機(jī)制，定期備份業(yè)務(wù)數(shù)據(jù)，實(shí)現(xiàn)數(shù)據(jù)的高可用性。未實(shí)施電子文檔安全保護(hù)產(chǎn)品 防病毒服務(wù)名稱 版本 歸屬防病毒服務(wù) 完整性控制積木塊編號描述 惡意代碼防護(hù)服務(wù)是檢測、監(jiān)控和殺除惡意代碼，保護(hù)應(yīng)用系統(tǒng)和平臺系統(tǒng)（主機(jī)系統(tǒng)、終端系統(tǒng)等）的安全。 網(wǎng)頁防篡改服務(wù)名稱 版本 歸屬網(wǎng)頁防篡改服務(wù) 完整性控制描述 網(wǎng)頁防篡改服務(wù)提供對企業(yè)對外服務(wù)的網(wǎng)站系統(tǒng)的完整性保護(hù)，防止系統(tǒng)文件被非法篡改。防火墻基本采用高可靠冗余熱備結(jié)構(gòu)。管理進(jìn)出網(wǎng)絡(luò)的訪問行為。各局域網(wǎng)與統(tǒng)一互聯(lián)網(wǎng)平臺之間都部署了上網(wǎng)行為管理設(shè)備。 信息流內(nèi)容檢測過濾服務(wù)名稱 版本 歸屬信息流內(nèi)容檢測過濾服務(wù) 信息流控制積木塊編號描述 信息流內(nèi)容過濾服務(wù)對網(wǎng)絡(luò)信息數(shù)據(jù)流的 37 層的內(nèi)容檢測，檢測過濾來自互聯(lián)網(wǎng)的惡意代碼、垃圾郵件等，過濾進(jìn)出網(wǎng)絡(luò)的不安全信息內(nèi)容關(guān)鍵服務(wù) 信息內(nèi)容檢測服務(wù)能夠提供以下的功能：網(wǎng)關(guān)防惡意軟件，檢測 HTTP, FTP, SMTP, POP3, IMAP, P2P, IM 等協(xié)議之上的病毒，過濾間諜軟件、木馬、欺詐、鍵盤記錄器等軟件。當(dāng)前實(shí)施情況 目前 XX 電網(wǎng)正在做終端安全準(zhǔn)入的研究，尚未實(shí)施終端安全準(zhǔn)入技術(shù)工具。當(dāng)前實(shí)施情況 目前，XX 電網(wǎng)的大部分應(yīng)用系統(tǒng)已經(jīng)實(shí)現(xiàn)與數(shù)字證書身份認(rèn)證系統(tǒng)的接口改造，初步實(shí)現(xiàn)了系統(tǒng)安全登錄，下一步將不斷強(qiáng)化數(shù)字證書的應(yīng)用，完全取消用戶名/ 口令，統(tǒng)一采用數(shù)字證書登錄系統(tǒng)。數(shù)字證書服務(wù)應(yīng)該為 XX 電網(wǎng)信息系統(tǒng)提供以下的管理服務(wù)：證書策略管理：根據(jù)企業(yè)的安全策略，設(shè)定數(shù)字證書的策略，使得證書的管理滿足企業(yè)的業(yè)務(wù)安全要求；證書申請：系統(tǒng)接受用戶輸入的信息并提供一系列證書模塊，供用戶根據(jù)自己的需要選擇并申請，系統(tǒng)驗(yàn)證用戶信息，如果成功，系統(tǒng)向用戶返回下載證書所需的憑證。其中企業(yè)用戶目錄中對用戶的標(biāo)識可以為員工工號、郵件地址、HR 系統(tǒng)中員工編號等。身 份 與 信 任 管 理 集 中 用 戶 管 理 企 業(yè) 用 戶 目 錄 數(shù) 字 證 書 服 務(wù)每個安全技術(shù)功能服務(wù)組件的說明如下。在本目錄中包含的安全服務(wù)組件有集中身份認(rèn)證及單點(diǎn)登錄、訪問授權(quán)、終端準(zhǔn)入控制、遠(yuǎn)程訪問控制。安全技術(shù)架構(gòu)框架覆蓋了 XX 電網(wǎng)未來 5 年所需要的安全技術(shù)功能服務(wù)組件。 安全技術(shù)目標(biāo)通過對 XX 電網(wǎng)安全需求的總結(jié)分析，我們明確安全技術(shù)架構(gòu)規(guī)劃的技術(shù)目標(biāo)是對 XX 電網(wǎng)重要的 IT 資源，包括信息數(shù)據(jù)、應(yīng)用系統(tǒng)、主機(jī)系統(tǒng)、終端系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)，提供綜合化、體系化的安全防護(hù)：? 完善縱深防護(hù)的網(wǎng)絡(luò)安全技術(shù)機(jī)制，提升 XX 電網(wǎng)網(wǎng)絡(luò)安全防護(hù)能力，為應(yīng)用系統(tǒng)運(yùn)行及數(shù)據(jù)傳輸提供安全保障；? 以應(yīng)用安全風(fēng)險(xiǎn)為導(dǎo)向，加強(qiáng)應(yīng)用系統(tǒng)安全防護(hù)能力，通過對應(yīng)用安全改進(jìn)，建設(shè)用戶賬號與認(rèn)證授權(quán)的統(tǒng)一管理，建設(shè)數(shù)據(jù)庫、中間件、主機(jī)等支撐平臺安全基線管理、加強(qiáng)安全審計(jì)，降低應(yīng)用系統(tǒng)的綜合安全風(fēng)險(xiǎn)，實(shí)現(xiàn)對業(yè)務(wù)管理工作的有力支持；? 加強(qiáng)桌面終端用戶業(yè)務(wù)辦公的安全保障機(jī)制，提高公司對桌面終端系統(tǒng)的安全控制，通過強(qiáng)化桌面終端安全管理，建設(shè)桌面終端的安全準(zhǔn)入控制機(jī)制，加強(qiáng)終端信息數(shù)據(jù)安全保護(hù)，為 XX 電網(wǎng)內(nèi)部用戶的業(yè)務(wù)辦公提供安全環(huán)境；? 加強(qiáng)對公司信息資產(chǎn)的安全保護(hù)，形成事前防御、事中監(jiān)控、事后追溯的安全機(jī)制，通過關(guān)鍵信息資產(chǎn)的安全弱點(diǎn)管理，信息安全事件的統(tǒng)一閉環(huán)管理，有效的提高安全風(fēng)險(xiǎn)綜合防范的能力。信息系統(tǒng)安全等級保護(hù)實(shí)施指南對信息安全技術(shù)保護(hù)提出了具體的要求，信息安全技術(shù)體系規(guī)劃中，須符合并滿足保護(hù)要求。 管理策略需求XX 電網(wǎng)提出了“建立健全信息安全體系，實(shí)現(xiàn)信息安全自主管理，自主執(zhí)行的常態(tài)化機(jī)制”的要求，針對下列信息安全管理策略需求，梳理并提出如下安全技術(shù)需求。 技術(shù)風(fēng)險(xiǎn)需求安全技術(shù)風(fēng)險(xiǎn)需求，主要依據(jù) XX 電網(wǎng)安全技術(shù)風(fēng)險(xiǎn)評估發(fā)現(xiàn)的風(fēng)險(xiǎn)現(xiàn)狀。 Security Principle (安 全 目 標(biāo) 與 原 則 )描 述 信 息 安 全 的 業(yè) 務(wù) 需 求 價 值 ， 并 描 述 信 息 安 全 建 設(shè)的 基 本 原 則Security Policy (安 全 方 針 )將 信 息 安 全 的 目 標(biāo) 具 體 到 多 個 方 面 ， 為 后 續(xù) 建 設(shè) 提 供指 導(dǎo)Security Standr (安 全 標(biāo) 準(zhǔn) )信 息 安 全 實(shí) 施 規(guī) 則 ， 包 括 技 術(shù) 、 方 法 及 其 它 細(xì) 節(jié)Security Proces (安 全 流 程 )于 跨 部 門 實(shí) 施 政 策 標(biāo) 準(zhǔn) 的 活 動 、 工 作 及 程 序Security Procedurs (安 全 作 業(yè) 指 南 )描 述 個 人 在 流 程 上 的 詳 細(xì) 工 作Security Architectur (安 全 架 構(gòu) )信 息 安 全 技 術(shù) 如 何 結(jié) 合Security Products (安 全 產(chǎn) 品 )信 息 安 全 解 決 方 案 所 選 的 產(chǎn) 品 及 工 具 信 息 安 全 流 程信 息 安 全 作 業(yè) 程 序 信 息 安 全 架 構(gòu)信 息 安 全 產(chǎn) 品 建 議信 息 安 全 政 策信 息 安 全 原 則信息安全標(biāo)準(zhǔn)圖 24 IBM 企業(yè)信息安全架構(gòu)模型（ESA）ESA 的優(yōu)點(diǎn)如下：? ESA 在企業(yè)全方位考慮安全防務(wù) ，確保企業(yè)的安全策略與業(yè)務(wù)需求的一致性? 在企業(yè)內(nèi)確保一致安全方案，按照安全參考模式（成熟的方案）提供功能，少走彎路? 通過共享安全架構(gòu)的部件，達(dá)到方案實(shí)施費(fèi)用的減少，避免重復(fù)投資? 通過共享安全架構(gòu)的部件，達(dá)到方案實(shí)施時間的減少. 企業(yè)安全架構(gòu)技術(shù)方法企業(yè)安全架構(gòu)方法論（Method for Architecting Secure Solution MASS）的目的在于幫助安全咨詢顧問和架構(gòu)師在復(fù)雜的環(huán)境中設(shè)計(jì)滿足安全需求的、全面的企業(yè)安全技術(shù)架構(gòu)。? 步驟五 安全技術(shù)建設(shè)項(xiàng)目規(guī)劃，總結(jié) XX 電網(wǎng)的安全技術(shù)體系建設(shè)規(guī)劃的工作重點(diǎn)，定義安全技術(shù)建設(shè)項(xiàng)目。伴隨著我國電力需求的高速發(fā)展，電力信息化建設(shè)也進(jìn)入了快速發(fā)展階段，國家、企業(yè)對信息安全的要求不斷提高，XX 電網(wǎng)已有的信息安全技術(shù)手段不能滿足信息安全技術(shù)不斷發(fā)展的要求，主要體現(xiàn)在信息安全基礎(chǔ)設(shè)施缺乏系統(tǒng)化優(yōu)化整合，信息安全管理自動化水平存在差距，網(wǎng)絡(luò)信息安全監(jiān)管缺乏完整的技術(shù)手段。XX 電網(wǎng)信息安全平臺等級保護(hù)模塊安全技術(shù)架構(gòu)規(guī)劃方案目 錄第 1 章 信息安全背景 ..................................................................105 綜述 ...............................................................................105 電網(wǎng)現(xiàn)狀概況 .....................................................................105第 2 章 XX 電網(wǎng)工作方法說明 ............................................................107 工作方法流程 .......................................................................107 參考標(biāo)準(zhǔn) ...........................................................................109 工作方法參考 .......................................................................110 ESA 企業(yè)安全架構(gòu)模型 ........................................................110 企業(yè)安全架構(gòu)技術(shù)方法 ........................................................111第 3 章 XX 電網(wǎng)安全技術(shù)目標(biāo) ............................................................112 安全需求總結(jié) .......................................................................112 技術(shù)風(fēng)險(xiǎn)需求 ..................................................................112 南方電網(wǎng)考核需求 ..............................................................115 國家等保需求 ..................................................................116 安全技術(shù)目標(biāo) .......................................................................116 安全技術(shù)架構(gòu)設(shè)計(jì)原則 ...............................................................117第 4 章 XX 電網(wǎng)安全技術(shù)功能服務(wù)組件框架 ................................................118 安全技術(shù)功能服務(wù)組件目錄定義 .......................................................118 安全技術(shù)功能服務(wù)組件定義 ...........................................................119 身份與信任管理目錄 ............................................................119 訪問控制目錄 ..................................................................123 信息流控制目錄 ................................................................125 完整性控制目錄 ........