XX电力信息网络安全防护系统设计的方案.docxVIP

XX电力信息网络安全防护系统设计方案目 录1. 引言31.1信息安全体系建设的必要性31.2解决信息安全问题的总体思路31.3XX电力公司信息网安全防护策略41.3.1 XX电力公司总体安全策略41.3.2 XX电力信息安全总体框架51.3.3 防护策略对网络的防护策略对主机的防护策略对邮件系统的防护策略 对终端的防护策略62. 设计依据72.1 信息安全管理及建设的国际标准ISO-1779973. XX电力信息网安全现状73.1 管理安全现状73.2 网络安全现状83.3 主机及业务系统安全现状93.4 终端安全现状114．建设目标135．安全区域的划分方案135.1网络安全域划分原则135.2网络区域边界访问控制需求145.3边界网络隔离和访问控制165.3.1区域边界的访问控制165.3.2敏感区域边界的流量审计165.3.3敏感区域边界的网络防入侵及防病毒166．XX电力信息网防火墙部署方案176.1省公司防火墙和集成安全网关的部署176.2地市公司防火墙和集成安全网关的部署216.3 技术要求237．XX电力信息网网络防病毒方案247.1 XX电力防病毒软件应用现状247.2企业防病毒总体需求247.3功能要求257.4XX电力网防病毒系统整体架构和管理模式267.4.1采用统一监控、分布式部署的原则267.4.2部署全面的防病毒系统287.4.3病毒定义码、扫描引擎的升级方式297.5网络防病毒方案307.6防病毒系统部署308．入侵检测/入侵防护（IDS/IPS）方案348.1网络入侵检测/入侵防护（IDS/IPS）348.2网络入侵检测/入侵保护技术说明358.2.1入侵检测和入侵保护（IDS/IPS）产品的功能和特点358.3入侵检测/入侵防护（IDS/IPS）在公司系统网络中的部署399．内网客户端管理系统419.1问题分析与解决思路419.1.1 IP地址管理问题419.1.2 用户资产信息管理问题429.1.3软硬件违规行为监控439.1.4网络拓扑查看与安全事件定位困难439.1.5 缺乏完整的用户授权认证系统449.2系统主要功能模块449.3内网管理解决方案459.4方案实现功能459.4.1 IP地址管理459.4.2客户端管理459.4.3系统管理4712．安全产品部署总图和安全产品清单表491. 引言1.1信息安全体系建设的必要性随着电网的发展和技术进步，电力信息化工作也有了突飞猛进的发展，信息网络规模越来越大，各种信息越来越广泛。然而，随之而来的信息安全问题也日益突出。电力工业作为我国国民经济的基础产业和公用事业，电力系统的安全运行直接关系到国民经济的持速发展和满足人民生活的需要，信息安全已成为电力企业在信息时代和知识经济新形势下面临的新课题，电力信息网络与信息的安全一旦遭受破坏，造成的影响和损失将十分巨大。近年以来，在互联网上先后出现的红色代码、尼姆达、蠕虫、冲击波等病毒造成了数以万计的网站瘫痪，对电力信息系统的应用造成了较大不良影响。公司按照建设“一强三优”电网公司的发展战略，为实现“安全基础扎实、管理层次清晰、内部运作规范、企业文化鲜明、社会形象诚信”的企业共同愿景，公司的信息化发展步伐不断加快。计算机网络已覆盖全省各市、县公司，实现了信息共享和快速传递。省、市公司的用户数已达一万多个，各类应用200多个，省公司层面经营管理类数据达2000G字节，网络、信息系统已成为公司生产、经营和管理的重要支撑平台。企业的应用要求网络与信息系统具有高可靠性、高可用性、高安全性，但类似网络病毒导致信息网络部分瘫痪、内外部攻击致使应用服务中断等事件时有发生，实际上还有其它一些未发现的或未产生后果的威胁，直接影响着省公司系统的信息安全，XX电力系统信息安全体系建设已迫在眉睫。1.2解决信息安全问题的总体思路当前我国已把信息安全上升到国家战略决策的高度。国家信息化领导小组第三次会议确定我国信息安全的指导思想：“坚持积极防御、综合防范的方针，在全面提高信息安全防护能力的同时，重点保障基础网络和重要系统的安全。完善信息安全监控体系，建立信息安全的有效机制和应急处理机制。” 这就引出等级保护的概念，必须区分重要程度不同的应用系统，并据此将保护措施分成不同的等级，而从国家层面，必须将那些关系到国家经济发展命脉的基础网络圈定出来，加以重点保护，这就是“重点保障基础网络和重要系统的安全”思路。 这一思路蕴涵了“适度”信息安全的概念。“适度”实际体现了建设信息安全的综合成本与信息安全风险之间的平衡，而不是要片面追求不切实际的安全。所谓信息安全，可以理解为对信息四方面属性的保障，一是保密性，就是能够对抗对手的被动攻击，保证信息不泄露给未经授权的人；二是完整性，就是能够对抗对手的主动攻击，防止信息被未经授权的