信息安全纵深防御体系建设规划分析.docxVIP

PAGE 1 PAGE 1 信息安全纵深防御体系建设规划分析  本文分析了湖北省电力公司信息安全工作现状，提出了构建信息安全纵深防备体系的总体目标，从信息安全管理规范、网络准入、身份认证、基础应用平台、网络分区防备、等级防护、运维基础平台、客灾、人才趴伍建设、新技术研究等多方面着手。提出了湖北省电力公司十二五期间信息安全纵深防备体系构建规划。  引言  作为国民经济基础命脉的国有重要骨干企业，电力企业信息安全事关电网安全，电网安全事关国家能源安全。随着电网企业信息化发展水平的不断提升，所面临的来自境内外敌对势力的信息安全威逼也越来越大。国家电网公司一直都高度重视企业信息安全工作，制订了公司层面的信息安全防护总体策略，推进实施信息内外网隔离、等级保护等基础工作。而在网省公司层面，如何落实信息安全防护总体策略，开展信息安全纵深防备体系建设规划工作，是湖北省电力公司一直思索并亟需解决的问题。  一、信息安全发呈现状  湖北省电力公司多年来一直注意加强信息安全体系建设与管理工作，制订了各项信息安全管理方法、规章制度、工作标准，编制了信息安全应急预案并定期进行演练，建立了网络与信息安全汇报制度。注意物理安全，大力开展信息网络机房标准化建设工作，推广机房环境监控系统，实施7x24小时不间断值班管理。初步完成了信息内外网的安全隔离，内外网之间采用国网公司规律强隔离装置进行安全防护。进行了信息内外网安全区域的合理划分，在信息内外网边界部署了防火墙设备进行安全访问掌握，对数据跨边界访问的日志进行集中存储定期分析，在部分关键节点中配置了入侵检测及流量监测系统，推广国家电网公司边界安全监测系统，进行网络边界安全状态监测。启用了基于PKI技术的CA认证系统，建立了统一的目录服务系统，为重要信息系统供应身份认证及授权服务。构建了省—地两级计算机防病毒系统管理中心，进行计算机终端病毒防护工作。配置反垃圾邮件网关系统，对垃圾邮件进行过滤、清理。  在信息内外网实施IP地址与MAC地址绑定工作，并在部分单位开展计算机终端安全管理系统的试点工作，大力推进国网公司安全移动存储介质的推广工作。重要核心网络、主机设备、数据库系统实现冗余配置或双机热备运行。重要应用系统数据全部实现集中化自动化网络化的备份，定期对备份数据的可恢复性进行检验。在全省部署了三套漏洞扫描系统，定期对网络、服务器设备、数据库系统及其他基础应用软件进行安全漏洞扫描，并依据扫描结果进行安全加固。进行了专业化的信息安全风险评估工作，培育了自己的风险评估队伍，建立了信息安全风险评估的长效工作机制。开展了信息系统等级防护定级工作，并根据定级结果，正在逐步推进ERP、营销、电力市场交易等三级系统独立安全域的等级防护改造工作，加强二级系统统一安全域的等级防护工作。  二、信息安全纵深防备体系构建目标  根据国家电网公司信息系统安全防护“双网双机、分区分域、等级防护，多层防备”的指导方针，建立健全湖北省电力公司信息安全纵深防备体系，防止信息网络瘫痪、防止应用系统破坏、防止业务数据丢失，防止企业信息泄密、防止终端病毒感染、防止有害信息传播、防止恶意渗透攻击，以确保信息系统安全稳定运行，确保业务数据安全。  三、信息安全纵深防备体系规划  3.1完善信息安全管理规范体系。建立适合湖北省电力公司的信息安全管理体系，定义信息安全管理组织和岗位的权力、职责以及考核指标。供应安全运营管理的策略、标准及流程，建立安全意识和培训、数据隐私保护、合规性管理、运维外包管理等安全管理框架。健全各种信息安全管理手段，包括安全评估、安全规划、运行管理、安全预警、应急响应等，建立省公司安全评估中心，定期开展信息安全专业化、合规化评估。  3.2建立信息网络准入系统。利用802.1X技术实现网络接入的准入机制，全部未经身份认证或未通过信息安全合规性认证的计算机终端将无法接入信息内外网，从源头上杜绝非法或危急用户接入网络。  3.3部署安全身份认证系统。建立全省统一的信息网络及应用系统身份认证平台，实现对各类用户网络接入、应用系统或其他信息资源访问的身份认证。结合目录服务系统实现分级身份认证，身份鉴别，授权以及数据加密、数据完整性保护等基本安全服务，改造各应用系统安全接口，将全部应用系统纳入到安全身份认证体系框架中。  3.4搭建信息安全基础应用平台。加快推广国网公司计算机桌面终端管理系统推广工作，实现桌面终端安全管理合规化、终端配置全都化和软件安装自动化。为信息安全等级高的用户配置可信计算机，防止信息泄密。全面推广安全移动存储介质管理系统，禁止信息内网使用平凡移动存储介质。建立包含邮件杀毒功能的内外网防垃圾邮件网关系统，保