【文章內(nèi)容簡介】 身份認(rèn)證、緩存數(shù)據(jù)防泄密。 （ 7）企業(yè)生產(chǎn)業(yè)務(wù)用的終端，如數(shù)據(jù)采集終端，應(yīng)禁止連入外網(wǎng)，并采用白名單的方式，專機(jī)專用，每一個終端只允許運(yùn)行白名單范圍內(nèi)的服務(wù)和應(yīng)用，訪 問授權(quán)的企業(yè)資源。 Q/CSGGPG 2 18 0042021 廣東電網(wǎng)有限責(zé)任公司信息安全防護(hù)管理細(xì)則 第 8 頁 移動介質(zhì)管理 （ 1）嚴(yán)禁使用非加密的移動介質(zhì)存儲涉密信息。 （ 2） IT 客服部門對移動介質(zhì)進(jìn)行統(tǒng)一、派發(fā)、登記和管理，經(jīng)過注冊授權(quán)移動介質(zhì)才可以接入使用，嚴(yán)禁非注冊的移動介質(zhì)接入計(jì)算機(jī)終端。 （ 3）移動介質(zhì)使用前，須通過計(jì)算機(jī)病毒檢測。 （ 4） IT 客服部門按照公司的保密要求組織對介質(zhì)進(jìn)行統(tǒng)一銷毀。 互聯(lián)網(wǎng)訪問安全管理 （ 1）訪問互聯(lián)網(wǎng)的計(jì)算機(jī)終端必須經(jīng)過各單位信息管理部門的審批，并采用實(shí)名制進(jìn)行用戶認(rèn)證。 （ 2）應(yīng)按照國家、公司有關(guān)保密規(guī)定，對計(jì)算機(jī)終端使用人員通過網(wǎng)絡(luò)交流的信息進(jìn)行監(jiān)控。 （ 3）應(yīng)對計(jì)算機(jī)終端使用人員瀏覽的網(wǎng)站、使用的軟件、郵件的來源進(jìn)行限制。 . 作業(yè)要求 . 落實(shí)主機(jī) 安全防護(hù) 措施， 應(yīng)與 公司 在建信息系統(tǒng) 實(shí)現(xiàn)同步規(guī)劃、同步建設(shè)、同步投運(yùn)。 . 在信息系統(tǒng)規(guī)劃階段， 根據(jù) 信息系統(tǒng)安全保護(hù)等級，系統(tǒng) 管理員參與信息系統(tǒng)主機(jī)操作系統(tǒng) 和 數(shù)據(jù)庫系統(tǒng)的 安全 防護(hù) 規(guī)劃 。 如信息系統(tǒng)已確定安全保護(hù)等級，其主機(jī)的安全防護(hù)應(yīng)滿足《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》中相應(yīng)安全等級主機(jī)安全的要求；如信息系統(tǒng)未確定安全保護(hù)等級，其主機(jī)的安全防護(hù)應(yīng)滿足《 IT 主流設(shè)備安全基線技術(shù)規(guī)范 》中主機(jī)操作系統(tǒng) 、數(shù)據(jù)庫 安全基線技術(shù) 有關(guān)要求。 . 在信息系統(tǒng)開發(fā)及實(shí)施階段，根據(jù)安全 防護(hù)技術(shù)要求 ，項(xiàng)目組 組織對 信息系統(tǒng)主機(jī)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)進(jìn)行安全 部署 實(shí)施 。 . 在信息系統(tǒng)建轉(zhuǎn)運(yùn)階段，信息系統(tǒng)投入試運(yùn)行之前，根據(jù)安全 防護(hù)技術(shù)要求 ，項(xiàng)目組 組織對 信息系統(tǒng)主機(jī)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)進(jìn)行入網(wǎng)安全測評。 . 在信息系統(tǒng)運(yùn)行維護(hù)階段，根據(jù)安全 防護(hù)技術(shù)要求 ，系統(tǒng) 管理員組織對 信息系統(tǒng)主機(jī)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)進(jìn)行定期等級保護(hù)測評、專項(xiàng) 安全檢Q/CSGGPG 2 18 0042021 廣東電網(wǎng)有限責(zé)任公司信息安全防護(hù)管理細(xì)則 第 9 頁 查、漏洞掃描 和安全 整改。 . 信息系統(tǒng)因需求變化、發(fā)現(xiàn)重大安全漏洞等原因而進(jìn)行大規(guī)模升級后，根據(jù)安全 防護(hù)技術(shù)要求 ，系統(tǒng) 管理員 組織 對 信息 系統(tǒng)主機(jī)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)進(jìn)行入網(wǎng)安全測評。 . 網(wǎng)絡(luò) 安全防護(hù)管理 . 技術(shù)要求 . 安全區(qū)域劃分 . 信息內(nèi)網(wǎng)與外網(wǎng)劃分 原則 （ 1）應(yīng)用系統(tǒng)根據(jù)服務(wù)對象劃分為信息內(nèi)網(wǎng)和信息外網(wǎng)。 （ 2）服務(wù)對象為內(nèi)部用戶的應(yīng)用系統(tǒng)主要部署于信息內(nèi)網(wǎng)。 （ 3）服務(wù)對象為外部用戶的應(yīng)用系統(tǒng)部署于信息外網(wǎng)。 （ 4）服務(wù)對象既有內(nèi)部用戶，又有外部用戶的應(yīng)用系統(tǒng)，其與互聯(lián)網(wǎng)有交互的子系統(tǒng)或功能單元部署于 DMZ 區(qū)。 . 信息內(nèi) 網(wǎng) 與信息外網(wǎng) 內(nèi) 部 區(qū)域劃分 建議 （ 1）不同安全等級的信息系統(tǒng)劃分為不同的安全區(qū)域； （ 2）服務(wù)器區(qū)劃分為獨(dú)立區(qū)域； （ 3）桌面終 端劃分為獨(dú)立區(qū)域； （ 4） 各單位根據(jù)自身具體情況和要求對服務(wù)器區(qū)、桌面辦公終端按業(yè)務(wù)部門或訪問類型進(jìn)一步進(jìn)行區(qū)域細(xì)分。 . 區(qū)域邊界訪問控制 （ 1） 區(qū)域邊界 包括第三方邊界、信息內(nèi)外網(wǎng)邊界、橫向區(qū)域邊界、信息內(nèi)外 網(wǎng)縱向上下級邊界 。 （ 2）第三方邊界、信息內(nèi)外網(wǎng)邊界、安全Ⅲ區(qū)和安全Ⅳ區(qū)之間、縱向上下級網(wǎng)省之間及省地之間應(yīng)采取訪問控制策略。 （ 3）區(qū)域邊界訪問控制策略設(shè)置應(yīng)將“最小化”作為優(yōu)先考慮原則，根據(jù)系統(tǒng)業(yè)務(wù)互聯(lián)的實(shí)際需求，建立細(xì)化到端口級的訪問控制策略，禁止出現(xiàn)非業(yè)務(wù)需要大段 IP、連續(xù)端口開放的策略。 （ 4） 因業(yè)務(wù)需要對 區(qū)域邊界訪問控制策略 進(jìn)行調(diào)整時， 應(yīng)由 業(yè)務(wù) 部門 提出申請，填寫《訪問控制策略變更審批表》（見附錄 A） 由信息運(yùn)維部門 審批 后執(zhí)Q/CSGGPG 2 18 0042021 廣東電網(wǎng)有限責(zé)任公司信息安全防護(hù)管理細(xì)則 第 10頁 行 。 . 無線局域網(wǎng)安全防護(hù) （ 1）無線局域網(wǎng)建設(shè)和安全防護(hù)應(yīng)同步規(guī)劃、同步設(shè)計(jì)、同步建設(shè)，在對可行性、安全性充分論證后才開展實(shí)施工作。 （ 2）無線接入點(diǎn)（ AP）增加 /減少應(yīng)由網(wǎng)絡(luò)管理員審核并做好記錄備案。 （ 3）應(yīng)采用入侵檢測、拒絕服務(wù)攻擊等措施，防止非法無線 AP 接入無線局域網(wǎng)。 （ 4）應(yīng)配置無線接入點(diǎn)（ AP）位置標(biāo)識符（ SSID），防止非法用戶接入。 （ 5）應(yīng)采用安全認(rèn)證機(jī)制對接 入的用戶進(jìn)行認(rèn)證，防止非法用戶接入。 （ 6）應(yīng)對無線局域網(wǎng)終端采用準(zhǔn)入控制措施，只有符合準(zhǔn)入策略的設(shè)備才允許接入無線局域網(wǎng)。 （ 7）應(yīng)對無線局域網(wǎng)用戶進(jìn)行資源訪問控制，防止未經(jīng)授權(quán)訪問行為。 （ 8）應(yīng)對無線局域網(wǎng)的通信信道進(jìn)行數(shù)據(jù)加密，防止數(shù)據(jù)泄露。 （ 9）應(yīng)對無線局域網(wǎng)的覆蓋范圍進(jìn)行限制。 . 互聯(lián)網(wǎng)出口安全防護(hù) （ 1）互聯(lián)網(wǎng)出口應(yīng)實(shí)現(xiàn)省級統(tǒng)一，嚴(yán)禁 直屬各單位 開通互聯(lián)網(wǎng)出口。 （ 2）互聯(lián)網(wǎng)出口應(yīng)部署抗 DDos 攻擊、防火墻、入侵檢測 /入侵防御、鏈路負(fù)載均衡、流量管理等設(shè)備進(jìn)行安全防護(hù)管理。 （ 3）互聯(lián)網(wǎng)出口處應(yīng) 部署上網(wǎng)行為管理審計(jì)系統(tǒng)，對所有的互聯(lián)網(wǎng)訪問行為進(jìn)行實(shí)名上網(wǎng)記錄，記錄的信息包括每個訪問的時間、源 IP 地址、目的 IP 地址、端口、服務(wù)類型；對于網(wǎng)頁訪問，還應(yīng)記錄網(wǎng)頁的 URL 地址。 （ 4）互聯(lián)網(wǎng)出口必須對進(jìn)出的數(shù)據(jù)流進(jìn)行嚴(yán)格的安全訪問控制，對于需對外開放的應(yīng)用、服務(wù)須經(jīng)互聯(lián)網(wǎng)出口信息管理部門審核批準(zhǔn)，未經(jīng)審核批準(zhǔn)的應(yīng)用和服務(wù)一律禁止對外開放。 （ 5）應(yīng)根據(jù)互聯(lián)網(wǎng)出口安全管理實(shí)際需要，建立互聯(lián)網(wǎng)訪問實(shí)名制和黑白名單，強(qiáng)化互聯(lián)網(wǎng)出口安全防護(hù)措施。 （ 6）應(yīng)定期對互聯(lián)網(wǎng)出口、互聯(lián)網(wǎng)的業(yè)務(wù)進(jìn)行安全檢測，包括對外部 網(wǎng)站、對外業(yè)務(wù)、郵件等的安全掃描、安全檢查、遠(yuǎn)程滲透測試等，并形成安全檢測報告。 Q/CSGGPG 2 18 0042021 廣東電網(wǎng)有限責(zé)任公司信息安全防護(hù)管理細(xì)則 第 11 頁 （ 7）互聯(lián)網(wǎng)出口應(yīng)統(tǒng)一建設(shè) VPN 遠(yuǎn)程訪問系統(tǒng)，并具備完善的 PKI 認(rèn)證和加密功能，保證安全訪問 。 （ 8）如業(yè)務(wù)部門需要將某應(yīng)用系統(tǒng)的應(yīng)用和服務(wù)發(fā)布到外網(wǎng) VPN，應(yīng)填寫《 VPN 發(fā)布應(yīng)用審批表》（見附錄 B）， 經(jīng) 批準(zhǔn)后，由網(wǎng)絡(luò)管理員進(jìn)行 VPN 配置，并做好訪問控制和安全審計(jì)等防護(hù)措施。 （ 9）外單位人員因故需要遠(yuǎn)程訪問公司的應(yīng)用和服務(wù) 時 ，須填寫《外部人員遠(yuǎn)程訪問審批表》（見附錄 C），并得到有關(guān)業(yè)務(wù)管理部門 、運(yùn)行維護(hù)部門 審批 ，對于進(jìn)行遠(yuǎn) 程登錄維護(hù)的，相關(guān)系統(tǒng)管理員應(yīng)監(jiān)控整個外部遠(yuǎn)程訪問過程，并在遠(yuǎn)程訪問結(jié)束后，及時取消該用戶訪問權(quán)限。 （ 10）互聯(lián)網(wǎng)出口開通、關(guān)閉、擴(kuò)容等重大調(diào)整應(yīng)嚴(yán)格規(guī)劃、測試、分析、開通及后評估。 （