【文章內容簡介】 身份認證、緩存數據防泄密。 （ 7）企業(yè)生產業(yè)務用的終端，如數據采集終端，應禁止連入外網，并采用白名單的方式，專機專用，每一個終端只允許運行白名單范圍內的服務和應用，訪 問授權的企業(yè)資源。 Q/CSGGPG 2 18 0042021 廣東電網有限責任公司信息安全防護管理細則 第 8 頁 移動介質管理 （ 1）嚴禁使用非加密的移動介質存儲涉密信息。 （ 2） IT 客服部門對移動介質進行統(tǒng)一、派發(fā)、登記和管理，經過注冊授權移動介質才可以接入使用，嚴禁非注冊的移動介質接入計算機終端。 （ 3）移動介質使用前，須通過計算機病毒檢測。 （ 4） IT 客服部門按照公司的保密要求組織對介質進行統(tǒng)一銷毀。 互聯網訪問安全管理 （ 1）訪問互聯網的計算機終端必須經過各單位信息管理部門的審批，并采用實名制進行用戶認證。 （ 2）應按照國家、公司有關保密規(guī)定，對計算機終端使用人員通過網絡交流的信息進行監(jiān)控。 （ 3）應對計算機終端使用人員瀏覽的網站、使用的軟件、郵件的來源進行限制。 . 作業(yè)要求 . 落實主機 安全防護 措施， 應與 公司 在建信息系統(tǒng) 實現同步規(guī)劃、同步建設、同步投運。 . 在信息系統(tǒng)規(guī)劃階段， 根據 信息系統(tǒng)安全保護等級，系統(tǒng) 管理員參與信息系統(tǒng)主機操作系統(tǒng) 和 數據庫系統(tǒng)的 安全 防護 規(guī)劃 。 如信息系統(tǒng)已確定安全保護等級，其主機的安全防護應滿足《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》中相應安全等級主機安全的要求；如信息系統(tǒng)未確定安全保護等級，其主機的安全防護應滿足《 IT 主流設備安全基線技術規(guī)范 》中主機操作系統(tǒng) 、數據庫 安全基線技術 有關要求。 . 在信息系統(tǒng)開發(fā)及實施階段，根據安全 防護技術要求 ，項目組 組織對 信息系統(tǒng)主機操作系統(tǒng)和數據庫系統(tǒng)進行安全 部署 實施 。 . 在信息系統(tǒng)建轉運階段，信息系統(tǒng)投入試運行之前，根據安全 防護技術要求 ，項目組 組織對 信息系統(tǒng)主機操作系統(tǒng)和數據庫系統(tǒng)進行入網安全測評。 . 在信息系統(tǒng)運行維護階段，根據安全 防護技術要求 ，系統(tǒng) 管理員組織對 信息系統(tǒng)主機操作系統(tǒng)和數據庫系統(tǒng)進行定期等級保護測評、專項 安全檢Q/CSGGPG 2 18 0042021 廣東電網有限責任公司信息安全防護管理細則 第 9 頁 查、漏洞掃描 和安全 整改。 . 信息系統(tǒng)因需求變化、發(fā)現重大安全漏洞等原因而進行大規(guī)模升級后，根據安全 防護技術要求 ，系統(tǒng) 管理員 組織 對 信息 系統(tǒng)主機操作系統(tǒng)和數據庫系統(tǒng)進行入網安全測評。 . 網絡 安全防護管理 . 技術要求 . 安全區(qū)域劃分 . 信息內網與外網劃分 原則 （ 1）應用系統(tǒng)根據服務對象劃分為信息內網和信息外網。 （ 2）服務對象為內部用戶的應用系統(tǒng)主要部署于信息內網。 （ 3）服務對象為外部用戶的應用系統(tǒng)部署于信息外網。 （ 4）服務對象既有內部用戶，又有外部用戶的應用系統(tǒng)，其與互聯網有交互的子系統(tǒng)或功能單元部署于 DMZ 區(qū)。 . 信息內 網 與信息外網 內 部 區(qū)域劃分 建議 （ 1）不同安全等級的信息系統(tǒng)劃分為不同的安全區(qū)域； （ 2）服務器區(qū)劃分為獨立區(qū)域； （ 3）桌面終 端劃分為獨立區(qū)域； （ 4） 各單位根據自身具體情況和要求對服務器區(qū)、桌面辦公終端按業(yè)務部門或訪問類型進一步進行區(qū)域細分。 . 區(qū)域邊界訪問控制 （ 1） 區(qū)域邊界 包括第三方邊界、信息內外網邊界、橫向區(qū)域邊界、信息內外 網縱向上下級邊界 。 （ 2）第三方邊界、信息內外網邊界、安全Ⅲ區(qū)和安全Ⅳ區(qū)之間、縱向上下級網省之間及省地之間應采取訪問控制策略。 （ 3）區(qū)域邊界訪問控制策略設置應將“最小化”作為優(yōu)先考慮原則，根據系統(tǒng)業(yè)務互聯的實際需求，建立細化到端口級的訪問控制策略，禁止出現非業(yè)務需要大段 IP、連續(xù)端口開放的策略。 （ 4） 因業(yè)務需要對 區(qū)域邊界訪問控制策略 進行調整時， 應由 業(yè)務 部門 提出申請，填寫《訪問控制策略變更審批表》（見附錄 A） 由信息運維部門 審批 后執(zhí)Q/CSGGPG 2 18 0042021 廣東電網有限責任公司信息安全防護管理細則 第 10頁 行 。 . 無線局域網安全防護 （ 1）無線局域網建設和安全防護應同步規(guī)劃、同步設計、同步建設，在對可行性、安全性充分論證后才開展實施工作。 （ 2）無線接入點（ AP）增加 /減少應由網絡管理員審核并做好記錄備案。 （ 3）應采用入侵檢測、拒絕服務攻擊等措施，防止非法無線 AP 接入無線局域網。 （ 4）應配置無線接入點（ AP）位置標識符（ SSID），防止非法用戶接入。 （ 5）應采用安全認證機制對接 入的用戶進行認證，防止非法用戶接入。 （ 6）應對無線局域網終端采用準入控制措施，只有符合準入策略的設備才允許接入無線局域網。 （ 7）應對無線局域網用戶進行資源訪問控制，防止未經授權訪問行為。 （ 8）應對無線局域網的通信信道進行數據加密，防止數據泄露。 （ 9）應對無線局域網的覆蓋范圍進行限制。 . 互聯網出口安全防護 （ 1）互聯網出口應實現省級統(tǒng)一，嚴禁 直屬各單位 開通互聯網出口。 （ 2）互聯網出口應部署抗 DDos 攻擊、防火墻、入侵檢測 /入侵防御、鏈路負載均衡、流量管理等設備進行安全防護管理。 （ 3）互聯網出口處應 部署上網行為管理審計系統(tǒng)，對所有的互聯網訪問行為進行實名上網記錄，記錄的信息包括每個訪問的時間、源 IP 地址、目的 IP 地址、端口、服務類型；對于網頁訪問，還應記錄網頁的 URL 地址。 （ 4）互聯網出口必須對進出的數據流進行嚴格的安全訪問控制，對于需對外開放的應用、服務須經互聯網出口信息管理部門審核批準，未經審核批準的應用和服務一律禁止對外開放。 （ 5）應根據互聯網出口安全管理實際需要，建立互聯網訪問實名制和黑白名單，強化互聯網出口安全防護措施。 （ 6）應定期對互聯網出口、互聯網的業(yè)務進行安全檢測，包括對外部 網站、對外業(yè)務、郵件等的安全掃描、安全檢查、遠程滲透測試等，并形成安全檢測報告。 Q/CSGGPG 2 18 0042021 廣東電網有限責任公司信息安全防護管理細則 第 11 頁 （ 7）互聯網出口應統(tǒng)一建設 VPN 遠程訪問系統(tǒng)，并具備完善的 PKI 認證和加密功能，保證安全訪問 。 （ 8）如業(yè)務部門需要將某應用系統(tǒng)的應用和服務發(fā)布到外網 VPN，應填寫《 VPN 發(fā)布應用審批表》（見附錄 B）， 經 批準后，由網絡管理員進行 VPN 配置，并做好訪問控制和安全審計等防護措施。 （ 9）外單位人員因故需要遠程訪問公司的應用和服務 時 ，須填寫《外部人員遠程訪問審批表》（見附錄 C），并得到有關業(yè)務管理部門 、運行維護部門 審批 ，對于進行遠 程登錄維護的，相關系統(tǒng)管理員應監(jiān)控整個外部遠程訪問過程，并在遠程訪問結束后，及時取消該用戶訪問權限。 （ 10）互聯網出口開通、關閉、擴容等重大調整應嚴格規(guī)劃、測試、分析、開通及后評估。 （