《电力公司信息系统等级安全项目安全域及网络边界防护建设方案.doc》由会员分享,可在线阅读,更多相关《电力公司信息系统等级安全项目安全域及网络边界防护建设方案.doc(13页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、电力公司信息系统等级安全项目安全域及网络边界防护建设方案根据GB/T22239-2008信息安全技术信息安全等级保护基本要求、国家电网公司信息化“SG186”工程安全防护总体方案及国家电网公司“SG186”工程信息系统安全等级保护验收测评要求(征求意见稿)的要求,省公司及地市公司信息系统按照业务系统定级,根据不同级别保护需求,按要求划分安全区域进行分级保护。因此,安全域划分是进行信息安全等级保护建设的首要步骤。1.1 信息网络现状山东省电力集团公司各地市信息内网拓扑典型结构:图:典型信息网络现状主要问题:u 各安全域之间缺乏有效的控制措施不能够保障业务系统安全、独立运行,不受其他业务系统的影响
2、。根据GB/T22239-2008信息安全技术信息安全等级保护基本要求和国家电网公司信息化“SG186”工程安全防护总体方案的建设要求,省公司和各地市信息网络安全域需根据业务系统等级进行重新划分。1.2 安全域划分方法依据国家电网公司安全分区、分级、分域及分层防护的原则,管理信息大区按照双网隔离方案又分为信息内网与信息外网。本方案主要针对公司信息系统进行等级保护建设。在进行安全防护建设之前,首先实现对信息系统的安全域划分。依据SG186总体方案中 “二级系统统一成域,三级系统独立分域”的要求,结合省公司MPLS VPN现状,采用纵向MPLS VPN结合VLAN划分的方法,将全省信息系统分为:信
3、息内网区域可分为:u 电力市场交易系统MPLS VPN(或相应纵向通道):包含省公司电力市场交易应用服务器VLAN、省公司电力市场交易办公终端;u 财务管理系统MPLS VPN(或相应纵向通道):包含省公司财务管理系统VLAN、省公司财务办公终端VLAN、各地市财务办公终端VLAN(13个);u 营销管理系统MPLS VPN(或相应纵向通道):省公司营销系统VLAN、省公司营销办公终端VLAN、各地市营销系统VLAN(13个)、各地市营销办公终端VLAN(13个)u 二级系统MPLS VPN(或相应纵向通道)(二级系统包括:内部门户(网站)、生产管理信息系统、协同办公系统、人力资源管理系统、物
4、资管理系统、项目管理系统和邮件系统):u 公共服务MPLS VPN(或相应纵向通道):包含DNS、FTP等全省需要访问的公共服务u 信息内网桌面终端域信息外网区的系统可分为:u 电力市场交易系统域u 营销管理系统域(95598)u 外网二级系统域(外网门户等)u 信息外网桌面终端域安全域的具体实现采用物理防火墙隔离、虚拟防火墙隔离或Vlan隔离等形式进行安全域划分。1.3 安全域边界1.3.1 二级系统边界u 二级系统域存在的边界如下表:边界类型边界描述第三方网络边界Internet边界纵向网络边界省公司与华北电网公司间、省公司与其地市公司之间横向域间边界在信息内外网区与桌面终端域的边界在信息
5、内外网区与基础系统域的边界与财务系统域之间的边界与电力市场交易系统域的边界与营销管理系统域间的边界u 二级系统域的网络边界拓扑示意图如下:1.3.2 三级系统边界财务管理系统、电力市场交易系统和营销系统均涉及信息内网与银行联网存在第三方网络边界接口、省公司与地市公司之间网络边界接口、信息内网横向域间其它二级系统域间接口,电力市场交易系统还涉及信息外网与Internet存在第三方网络边界接口。u 三级系统域存在的边界如下表:边界类型边界描述信息外网第三方边界与Internet互联网的边界,实现:公共服务通道(边远站所、移动服务、PDA现场服务、居民集中抄表、负控终端采集、抢修车辆GPS定位等)与
6、其他社会代收机构连接(VPN)网上营业厅短信服务时钟同步信息内网第三方边界银企互联边界与其他社会代收机构的边界(专线连接)公共服务通道(专线、GPRS、CDMA等)纵向网络边界省公司与地市公司横向域间边界与二级系统域间的边界与内外网桌面终端域的边界与内外网基础系统域的边界与其它三级域之间的边界u 三级系统域的网络边界拓扑示意图如下:1.4 安全域的实现形式安全域实现方式以划分逻辑区域为主,旨在实现各安全区域的逻辑划分,明确边界以对各安全域分别防护,并且进行域间边界控制,安全域的实体展现为一个或多个物理网段或逻辑网段的集合。对公司信息系统安全域的划分手段采用如下方式:u 防火墙安全隔离:采用双接
7、口或多接口防火墙进行边界隔离,在每两个安全域的边界部署双接口防火墙,或是采用多接口防火墙的每个接口分别与不同的安全域连接以进行访问控制。u 虚拟防火墙隔离:采用虚拟防火墙实现各安全域边界隔离,将一台防火墙在逻辑上划分成多台虚拟的防火墙,每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备,可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。在本方案实现中,可以为每个安全域建立独立的虚拟防火墙进行边界安全防护。u 三层交换机Vlan隔离:采用三层交换机为各安全域划分Vlan,采用交换机访问控制列表或防火墙模块进行安全域间访问控制。u 二层交换机Vlan隔离:在二层交换机上为各安全域划分
8、Vlan,采用Trunk与路由器或防火墙连接,在上联的路由器或防火墙上进行访问控制。对于一个应用的子系统跨越多个物理环境如设备机房所带来的分域问题,由于安全域为逻辑区域,可以将公司层面上的多个物理网段或子网归属于同一安全域实现安全域划分。1.5 安全域划分及边界防护1.5.1 安全域的划分结合SG186总体方案中定义的“二级系统统一成域,三级系统独立分域”,在不进行物理网络调整的前提下,将财务系统和物资与项目系统进行分离,使三级财务系统独立成域,二级系统物资和项目管理归并和其他二级系统统一成域,在VPN内,建立ACL控制桌面终端与服务器间的访问,现将省公司信息系统逻辑安全域划分如下:图:省公司
9、内网逻辑划分图图:全省信息系统MPLS VPN安全域划分逻辑图图:信息外网安全域划分逻辑图在原有的MPLS VPN的基础上结合VLAN划分方法,根据等级保护及国网SG186总体防护方案有求,对全省信息系统进行安全域划分。1) 三级系统与二级系统进行分离:集中集成区域的三台小型机采用集群模式部署了财务、物资、项目这三个业务系统,由于财务为三级业务系统,应要独立成域,必须将财务系统从集群中分离出来,安装在独立的服务器或者小型机上,接入集中集成区域或新大楼服务器区。2) 划分安全域,明确保护边界:采用MPLS VPN将三级系统划分为独立安全域。财务系统MPLS VPN、电力市场交易系统MPLS VP
10、N、营销系统MPLS VPN、二级系统安全域、桌面安全域、公共应用服务安全域。二级系统安全域包含除三级系统外的所有应用系统服务器;桌面安全域包含各业务部门桌面终端VLAN;公共引用服务安全域为全省均需要访问的应用服务器,如DNS等。目前信息外网存在三大业务系统:外网门户、营销系统95598网站、电力市场交易系统外网网站。根据等级保护要求应将营销系统95598网站和电力市场交易系统外网网站分别划分独立的VLAN,并在边界防火墙上设置符合等级保护三级要求的VLAN访问控制策略。3) 部署访问控制设备或设置访问控制规则在各安全域边界设置访问控制规则,其中安全域边界按照“安全域边界”章节所列举的边界进
11、行防护。访问控制规则可以采用交换机访问控制策略或模块化逻辑防火墙的形式实现。二级系统安全域边界访问控制规则可以通过交换机的访问控制规则实现,访问控制规则满足如下条件:u 根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。u 按用户和系统之间的允许访问规则,控制粒度为单个用户。三级系统安全域边界的安全防护需满足如下要求:u 根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;u 对进出网络的信息内容进行过滤,实现对应用层协议命令级的控制。4) 入侵检测系统部署:二级系统、三级系统安全域内应部署入侵检测系统,并根据业务系统情况制定入侵检测策略,检测范围应包含二级系统服务器、三级系统服务器、其他应用服务器,入侵检测应满足如下要求:u 定制入侵检测策略,如根据所检测的源、目的地址及端口号,所需监测的服务类型以定制入侵检测规则;u 定制入侵检测重要事件即时报警策略;u 入侵检测至少可监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;u 当检测到攻击行为时,入侵检测系统应当记录攻击源IP、攻击类型、攻击目的IP、攻击时间,在发生严重入侵事件时应能提供及时的报警信息。