sg工程安全防护总体具体方案-电力交易平台.docxVIP

附件： 国家电网公司信息化“ SG186工程 安全防护总体方案（试行） 目录 第一章总则 3 目标 3 范围 3 防护对象 3 方案结构 4 参考资料 4 第二章信息安全防护方案 5 管理信息系统安全防护策略 5 分级分域安全防护设计 5 2.2.1安全域的定义 6 2.2.2安全域的划分方案 6 信息安全防护设计 7 2.3.1边界安全防护 8 2.3.2网络环境安全防护 错误！未定义书签。 2.3.3主机系统安全防护 错误！未定义书签。 2.3.4应用安全防护 错误！未定义书签。 各域安全防护措施对应表 错误！未定义书签。 第三章安全控制措施及防护要点 错误！未定义书签 网络访问控制系统安全加固 网络访问控制 系统安全加固 系统弱点扫描 入侵检测措施 无线安全措施 远程接入控制 内容安全措施 病毒检测措施 日志审计措施 错误！未定义书签 错误！未定义书签 错误！未定义书签 错误！未定义书签 错误！未定义书签 错误！未定义书签 错误！未定义书签 错误！未定义书签 错误！未定义书签 备份恢复措施 错误！未定义书签 身份认证和访问管理相关控制措施 错误！未定义书签 物理安全措施 错误！未定义书签。 附表一：词汇表 错误！未定义书签 附表二：国家电网公司信息系统安全等级保护定级表 错误！未定义书签 附 1：安全方案实施指引 61 附 2 ：安全产品功能与技术要求 83 附 3： ERP 系统域安全防护方案 109 TOC \o 1-5 \h \z 附 4 ：营销管理系统域安全防护方案 135 附 5：电力市场交易系统域安全防护方案 161 附 6 ：财务（资金）管理系统域安全防护方案 187 附 7 ：总部办公自动化系统域安全防护方案 211 附8:二级系统域安全防护方案 233 附9:桌面终端域安全防护方案 253 第一章 总则 目标 国家电网公司信息化“ SG186工程安全防护体系建设的总体目 标是防止信息网络瘫痪、防止应用系统破坏、防止业务数据丢失、 防止企业信息泄密、防止终端病毒感染、防止有害信息传播、防止 恶意渗透攻击，以确保信息系统安全稳定运行，确保业务数据安 全。 范围 安全防护总体方案是面向国家电网公司信息化“ SG186工程一 体化平台及业务应用的安全技术防护方案，是落实国家等级保护工 作的典型设计；本方案不对公司的信息安全管理、业务连续性 /灾难 恢复、信任体系建设、数据分级分类等内容进行深入设计。 安全防护总体方案适用于公司各单位，包括总部、网省公司及 其直属单位，作为信息系统规划、设计、审查、实施、监理、改造 及运行管理中关于信息安全方面的技术参照。 防护对象 国家电网公司信息系统部署于管理信息大区和生产控制大区， 管理信息大区用以支撑国家电网公司不涉及国家秘密的企业管理信 息业务应用，包括国家电网公司一体化平台、八大业务应用及支持 系统正常运营的基础设施及桌面终端。管理信息大区划分为用于承 载“ SG186工程业务应用和内部办公的 信息内网（可涉及企业商业 秘密）以及用于支撑对外业务和互联网用户终端的 信息外网（不涉 及企业商业秘密），信息系统基本部署结构如下图所示： 本方案的防护对象为国家电网公司总部、网省及其直属单位的 管理信息系统，主要包括一体化企业信息集成平台和八大业务应用 相关系统。 涉及国家秘密的信息系统（涉密信息系统）按照国家《计算机 信息系统保密管理暂行规定》（国保发[1998]1号）、《涉及国家 秘密的信息系统审批管理规定》（国保办发[2007]18号）、《信息 安全等级保护管理办法》（公通字[2007]43号）等文件对于涉密信 息系统的要求进行管理，本方案不涉及。 生产控制大区的相关信息系统依据《电力二次系统安全防护总 体方案》进行安全体系建设，本方案不涉及。 方案结构 《国家电网公司信息化“ SG186工程安全防护总体方案》附件 包含有各域安全防护方案、《安全产品功能技术要求》及《安全方 案实施指引》，结构如下图所示： 图2国家电网公司信息化“ SG186”工程安全防护总体方案结构示意图 参考资料 在总体方案的编制过程中，参考了如下资料: 《电力二次系统安全防护总体方案》 二00六年^一月 《信息安全等级保护管理办法》（公通字 [2007]43 号） 二00七年六月 《信息安全技术信息系统安全等级保护基本 要求》 二00七年六月 《网络与信息系统安全隔离实施指导意见》 二00七年^一月 《国家电网公司信息机房设计及建设规范》 二00六年九月 《国家电网公司信息机房管理规范》 二00六年九月 第二章 信息安全防护方案 安全防护总体方案将依据“分区、分级、分域”防护方针，将 各系统划分至相应安全域进行防护，并且将各安全域划分为网络边 界、网络环境、主机系统及应用环境四个层次实施安全防护