《电力公司信息系统等级安全项目二级系统域建设方案.doc》由会员分享,可在线阅读,更多相关《电力公司信息系统等级安全项目二级系统域建设方案.doc(37页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、电力公司信息系统等级安全项目二级系统域建设方案1.1 概述与建设目标二级系统域是依据等级保护定级标准将国家电网公司应用系统定为二级的所有系统的集合,按分等级保护方法将等级保护定级为二级的系统集中部署于二级系统域进行安全防护,二级系统域主要涵盖与二级系统相关的主机、服务器、网络等。省公司二级系统主要包括内部门户(网站)、对外门户(网站)、生产管理信息系统、协同办公系统、人力资源管理系统、物资管理系统、项目管理系统和邮件系统等共8个二级系统,除对外门户外,其它七个内网二级系统需按二级系统要求统一成域进行安全防护。二级系统域等级保护建设目标是落实信息安全技术信息安全等级保护基本要求中二级系统各项指标
2、和要求,实现信息系统二级系统统一成域,完善二级系统边界防护,配置合理的网络环境,增强二级系统主机系统安全防护及二级系统各应用的安全与稳定运行。针对信息安全技术信息安全等级保护基本要求中二级系统各项指标和要求,保障系统稳定、安全运行,本方案将二级系统域安全解决方案分为边界防护、网络环境、主机系统及应用安全四个层面进行安全建设。1.2 网络安全1.2.1 网络安全建设目标省公司下属各地市公司网络安全建设按照二级系统要求进行建设,通过等级保护建设,实现如下目标:1) 网络结构清晰,具备冗余空间满足业务需求,根据各部门和业务的需求,划分不同的子网或网段,网络图谱图与当前运行情况相符;2) 各网络边界间
3、部署访问控制设备,通过访问控制功能控制各业务间及办公终端间的访问;3) 启用网络设备安全审计,以追踪网络设备运行状况、设备维护、配置修改等各类事件;4) 网络设备口令均符合国家电网公司口令要求,采用安全的远程控制方法对网络设备进行远程控制。1.2.2 地市公司建设方案根据测评结果,地市公司信息网络中网络设备及技术方面主要存在以下问题:5) 网络设备的远程管理采用明文的Telnet方式;6) 部分网络设备采用出厂时的默认口令,口令以明文的方式存储于配置文件中;7) 交换机、IDS等未开启日志审计功能,未配置相应的日志服务器;8) 供电公司内网与各银行间的防火墙未配置访问控制策略;9) 网络设备采
4、用相同的SNMP口令串进行管理;10) 未开启网络设备登录失败处理功能,未限制非法登录次数,当网络登录连接超时时未设置自动退出等措施;11) 缺少对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查与监测措施;12) 未限制网络最大流量数及网络连接数;13) 未限制具有拨号访问权限的用户数量。针对以上问题,结合信息安全技术信息安全等级保护基本要求给出相应整改方案如下:14) 关闭防火墙、交换机和IDS的telnet服务,启用安全的管理服务,如SSH和https。部分不支持SSH的交换机应在交换机上限制可telnet远程管理的用户地址,实施配置如下(以思科交换机为例):Router
5、#config terminalRouter(config)#access-list 10 permit tcp 10.144.99.120 0.0.0.0 eq 23 any(只允许10.144.99.120机器telnet登录,如需配置某一网段可telnet远程管理,可配置为:access-list 10 permit tcp 10.144.99.1 0.0.0.255 eq 23 any)Router(config)#line vty 0 4(配置端口0-4)Router(Config-line)#Transport input telnet(开启telnet协议,如支持ssh,可用ss
6、h替换telnet)Router(Config-line)#exec-timeout 5 0Router(Config-line)#access-class 10 inRouter(Config-line)#endRouter#config terminalRouter(config)#line vty 5 15Router(Config-line)#no login(建议vty开放5个即可,多余的可以关闭)Router(Config-line)#exitRouter(Config)#exitRouter#write15) 修改网络设备出厂时的默认口令,且修改后的口令应满足长度大于等于8位、含
7、字母数字和字符的强度要求,其它不满足此口令强度要求的,均应要进行修改。部分楼层接入交换机,应及时修改口令;交换机应修改其SNMP口令串;防火墙口令应满足口令强度要求。交换机SNMP口令串修改实施步骤如下(以思科交换机为例):Router#config terminal Router(config)# no snmp-server community COMMUNITY-NAME1 RO (删除原来具有RO权限的COMMUNITY-NAME1)Router(config)# snmp-server community COMMUNITY-NAME RO (如需要通过snmp进行管理,则创建一个具
8、有读权限的COMMUNITY-NAME,若COMMUNITY-NAME权限为RW,则将命令行中RO更改为RW)Router(config)# snmp-server enable traps (允许发出Trap)Router(config)#exitRouter#write16) 交换机、IDS和防火墙等应开启日志审计功能,并配置日志服务器保存交换机、IDS和防火墙的日志信息。以思科交换机为例,日志审计和日志收集存储于服务器实施配置如下:Route#config terminalRoute(config)#logging on (启用日志审计) Route(config)#logging co
9、nsole notification (设置控制等级为5级:notification)Route(config)#!Set a 16K log buffer at information level Route(config)#logging buffered 16000 information (设置其大小为16K)Route(config)#!turn on time/date stamps in log messages Route(config)#service timestamp log datetime msec local show-timezone Route(config)#
10、!set monitor logging level to level 6 Route(config)#logging monitor information Route(config)#exit Route#!make this session receive log messages Route#terminal monitor Route#config terminal Route(config)#logging trap information (控制交换机发出日志的级别为6级:information)Route(config)#logging 192.168.10.188 (将日志发
11、送到192.168.10.188,如需修改服务器,可采用Route(config)#no logging 192.168.10.188删除,然后重新配置日志服务器)Route(config)#logging facility local6 Route(config)#logging source-interface FastEthernet 0/1 (设置发送日志的以太网口)Route(config)#exit Route#config terminal Route(config)#logging trap information Route(config)#snmp-server host
12、192.168.10.1 traps public (配置发送trap信息主机)Route(config)#snmp-server trap-source Ethernet 0/1 Route(config)#snmp-server enable traps syslog Route(config)#exitRoute# write17) 供电公司内网与各银行和移动或电信间的防火墙应配置访问控制策略保证供电公司信息内网的安全。18) 根据国家电网公司信息系统口令管理规定制定或沿用其以管理省公司网络设备口令。国家电网公司信息系统口令管理规定具体内容如下:第四条口令必须具有一定强度、长度和复杂度,
13、长度不得小于8位字符串,要求是字母和数字或特殊字符的混合,用户名和口令禁止相同。第五条个人计算机必须设置开机口令和操作系统管理员口令,并开启屏幕保护中的密码保护功能。第六条口令要及时更新,要建立定期修改制度,其中系统管理员口令修改间隔不得超过3个月,并且不得重复使用前3次以内的口令。用户登录事件要有记录和审计,同时限制同一用户连续失败登录次数,一般不超过3次。19) 所有网络设备均应开启网络设备登录失败处理功能、限制非法登录次数、当网络登录连接超时时自动退出等措施。以思科交换机为例,网络登录连接超时时自动退出实施如下:Router#config terminalRouter(Config)#l
14、ine con 0 配置控制口Router(Config-line)#exec-timeout 5 0 设置超时5分钟Router(Config-line)#exitRouter(Config)#exitRouter#write20) 部署桌面管理系统,对内部网络中的用户网络连接状态进行实时监控,以保证内部用户不可私自联到外部网络;配置桌面管理系统策略,对私自连接到外网的内部用户进行准确定位并阻断内外网互通。21) 在交换机上限制网络最大流量数及网络连接数,通过限制某些网段网络服务提高网络通信流量。以思科交换机为例,实施配置如下:Router#config terminal Router(co
15、nfig)# access-list 101 deny tcp 172.16.3.0 0.0.0.255 any www(禁止172.16.3.0网段访问Internet)Router(config)# access-list 102 deny tcp 172.16.5.0 0.0.0.255 any ftp(禁止172.16.5.0网段ftp服务)Router(config)# ip nat translation max-entries 172.16.55.0 0.0.0.255 200(限制172.16.55.0网段的主机NAT的条目为200条)Route(config)#exitRou
16、te# write限制具有拨号访问权限的用户。由于营销系统存储EMC,需要进行远程拨号维护;需要关闭远程拨号服务,采用更为安全的管理维护方式。1.3 主机安全1.3.1 主机安全建设目标省公司及其各地市公司信息中心对主机进行了一定的安全策略配置,并建立相关安全管理制度,由专人负责主机安全运行与维护,总体安全性较高。但仍有一些安全问题亟待解决,如安全审计不严格、开启非必须服务以及默认的用户口令策略等。针对省公司及其地市公司二级系统主机存在的问题,结合信息安全技术信息安全等级保护基本要求,从主机身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和资源控制等方面进行主机安全等级保护建设与改造,以实
17、现以下目标:22) 对主机的登录有严格的身份标识和鉴别;23) 有严格的访问控制策略限制用户对主机的访问与操作;24) 有严密的安全审计策略保证主机出现故障时可查;25) 拥有相关技术手段,抵抗非法入侵和恶意代码攻击。1.3.2 主机身份鉴别省公司及地市公司主机身份鉴别现状与等级保护要求存在一定的差距,应对以下几个方面进行完善主机身份鉴别:26) 对登录操作系统的用户进行身份标识和鉴别;27) 操作系统管理用户身份标识具有不易被冒用的特点,口令有复杂度并定期更换;28) 启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;29) 对服务器进行远程管理时,采取必要措施,防止鉴
18、别信息在网络传输过程中被窃听;整改措施:30) 对登录操作系统的管理员用户和普通用户均设置口令;删除操作系统中过期的账户,修改操作系统中默认帐户和口令,检查操作系统中是否存在相同用户名的账户。操作系统操作方式AIX1. 检查/etc/passwd密码域中存在“*”的帐户,删除不必要的账户,或增设口令;WINDOWS1. 删除非法帐号或多余帐号,更改默认管理员帐号,将原Administrator名称改成不被人熟识的帐户,新建一个普通用户,将其重命名为Administrator,并将其权限设为最低,口令复杂度为32位以上;2. 选择“本地用户和组”的“用户”,可设置口令、删除或禁用非必需账户或禁用
19、Guest账户。注:管理员账号Administrator重命名后,可能会导致某些服务不能用,如SQL Server数据库可能无法启动,修改前,需在备机上进行测试运行一周时间,无任何问题,再在主机上进行修改。31) 增强操作系统口令强度设置: 操作系统操作方式AIX1. 修改passwd参数:/etc/security/user- maxage=30 口令最长生存期30天- maxrepeat=4 每个口令在系统中重复出现的次数- minalpha=4 口令中最小含有的字符个数- mindiff=2 新口令不同于旧口令的最小个数 - minlen = 8 口令最短长度(包含字母、数字和特殊字符)
20、WINDOWS1. 修改“密码策略”,开启复杂性要求,设置口令最小长度等:密码复杂性要求启用密码长度最小值8字符密码最长存留期30天密码最短存留期0天复位帐户锁定计数器10分钟帐户锁定时间10分钟帐户锁定阀值5次注:设置密码策略后可能导致不符合密码策略的帐号无法登录。在修改密码策略前,需修改不符合帐号策略的密码使其符合策略要求,最后再修改密码策略。32) 启用登录失败处理功能,设置限制非法登录次数和自动退出等措施。操作系统操作方式AIX1. 配置登录策略:修改/etc/security/login.cfg文件logindelay=3 失败登录后延迟3秒显示提示符logindisable=5 5
21、次失败登录后锁定端口logininterval=60 在60秒内3次失败登录才锁定端口loginreenable15 端口锁定15分钟后解锁2. 增加或修改/etc/profile文件中如下行:TMOUT=600 ;WINDOWS1. 修改“账户锁定策略”,设置帐户锁定相关设置:复位账户锁定计数器 15分钟账户锁定时间 15分钟账户锁定阈值 5次33) 当对服务器进行远程管理时,对于UNIX类服务器,用当前稳定版本的SSH等安全工具取代明文传输的telnet,并及时升级,保证传输数据的安全性;对于windows类服务器,关闭不必要的telnet服务,采用加密或认证的方式保证数据才网络传输过程中
22、的保密性、完整性和可用性。操作系统操作方式AIX1. 增加或修改/etc/security/user文件中如下行root: admin = true SYSTEM = compat loginretries = 0 account_locked = false rlogin=false如果无法禁用telnet服务,也可使用TCP wrapper、防火墙或包过滤技术禁止不可信IP对telnet服务(例如 23/TCP端口)访问。WINDOWS1. 禁用不需要的服务,如remote Registry 、telnet等(远程管理注册表,开启此服务带来一定的风险)。2. 采用其他加密的远程桌面管理软件
23、代替远程桌面管理,或者在远程桌面管理上启用证书认证系统。注:应用系统或程序可能对特定的系统服务有依赖关系,在未确定某个服务是否需要前,请勿关闭该服务,否则会影响应用系统或程序的正常运行。1.3.3 访问控制省公司及地市公司主机身份鉴别现状与等级保护要求存在一定的差距,应对以下几个方面进行完善:34) 启用访问控制功能,依据安全策略控制用户对资源的访问;35) 实现操作系统特权用户的权限分离;36) 限制默认帐户的访问权限,重命名系统默认帐户,修改帐户的默认口令;37) 及时删除多余的、过期的帐户,避免共享帐户的存在。整改措施:38) 在交换机和防火墙上设置不同网段、不同用户对服务器的访问控制权
24、限;关闭操作系统开启的默认共享,对于需开启的共享及共享文件夹设置不同的访问权限,对于操作系统重要文件和目录需设置权限要求。操作系统操作方式AIX1. 修改普通用户对下列文件的权限:/bin;/sbin;/etc;/etc/passwd;/etc/group;/usr/bin;WINDOWS1. 修改访问控制策略,将注册标中restrictanonymous值改为1;2. 删除不必要的共享文件夹或修改其权限,重要共享文件夹的权限属性不能为everyone完全控制。39) 设置不同的管理员对服务器进行管理,分为系统管理员、安全管理员、安全审计员等以实现操作系统特权用户的权限分离,并对各个帐户在其工
25、作范围内设置最小权限,如系统管理员只能对系统进行维护,安全管理员只能进行策略配置和安全设置,安全审计员只能维护审计信息等。40) 限制默认帐户的访问权限,重命名系统默认帐户,修改帐户的默认口令;删除操作系统和数据库中过期或多余的账户,禁用无用帐户或共享帐户。操作系统操作方式AIX1. 禁用 文件/etc/security/user中,sys, bin, uucp, nuucp, daemon等系统默认帐户。在用户前面加上注释号“#”WINDOWS1. 修改administrator名称,将原Administrator名称改成不被人熟识的帐户,同时将一个普通帐户名称改成Administrator
26、,登录普通帐户执行系统所有操作;2. 禁用Guest账号。41) 根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限。操作系统操作方式AIX1. 更改默认口令。使用smit或增加、修改/etc/security/user下各用户的设置:将su=true更改为su=falseWINDOWS1. 修改管理用户的权限;1.3.4 安全审计省公司及地市公司主机访问控制现状与等级保护要求存在一定的差距,需对以下几个方面进行完善:42) 审计范围覆盖到服务器和重要客户端上的每个操作系统用户;43) 审计内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的
27、安全相关事件;44) 审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等;45) 保护审计记录,避免受到未预期的删除、修改或覆盖等。整改措施:46) 审计范围覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。操作系统操作方式AIX1. 开启syslog功能:正在审查 开bin 处理 开审查事件 开审查目标 开审核 启用2. ftp审计。缺省情况下,系统不会记录使用ftp连接和传输文件的日志,这会对系统造成安全隐患,尤其在用户使用匿名ftp方式时。为了避免这种情况发生,可用如下的步骤使系统记录ftp的日志:1)修改/etc/syslog.conf文件,并加入一行:daemon
28、.info ftplog其中FileName是日志文件的名字, 它会跟踪FTP的活动,包括匿名和其他用户ID。FileName文件必须在做下一步骤前创建。2)运行refresh -s syslogd命令刷新syslogd 后台程序。3)修改/etc/inetd.conf文件,修改下面的数据行:ftp stream tcp6 nowait root /usr/sbin/ftpd ftpd -l4)运行“refresh -s inetd”命令刷新inetd后台程序。WINDOWS1. 开启日志审计功能;2. 修改普通用户对日志等安全审计方式的权限配置,只有管理员用户有查看、修改、删除等权限;47)
29、 审计内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。操作系统操作方式AIX1. 更改默认口令。使用smit或增加、修改/etc/security/user下各用户的设置:将su=true更改为su=falseWINDOWS1. 修改安全审计策略:审核策略更改成功审核登录事件成功, 失败审核对象访问成功, 失败审核过程追踪无审核审核目录服务访问无审核审核特权使用无审核审核系统事件成功, 失败审核帐户登录事件成功, 失败审核帐户管理成功, 失败48) 审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等;操作系统操作方式AIX1. 修改日志文件,
30、审核记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;WINDOWS1. 修改“事件查看器”的属性配置:日志类型大小覆盖方式应用日志16384K覆盖早于30天的事件安全日志16384K覆盖早于30天的事件系统日志16384K覆盖早于30天的事件2. 修改“事件类型”、“事件来源”等属性为 “全部”;49) 保护审计记录,避免受到未预期的删除、修改或覆盖等。操作系统操作方式AIX1. 利用chmod命令修改审计记录文件的操作权限,以保证日志记录文件仅root用户可访问和修改。WINDOWS1. 修改“事件查看器”的安全属性配置:“组或用户名称”:修改为只有系统管理用户,删除Every
31、one;“用户权限” :根据需要进行“完全控制”、“修改”、“写入”等权限的配置;1.3.5 入侵防范省公司及地市公司主机入侵防范现状与等级保护要求存在一定的差距,应对以下几个方面进行完善:50) 操作系统遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。51) 检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警。整改措施:52) 操作系统需遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。操作系统操作方式AIX1. 最新补
32、丁可以在下面的URL里找到:http:/ 禁用TCP/UDP 小服务:在 /etc/inetd.conf 中,对不需要的服务前加#,表示注释此行,格式如下:#echo stream tcp nowait root internal#echo dgram udp wait root internal#discard stream tcp nowait root internal#discard dgram udp wait root internal#daytime stream tcp nowait root internal#daytime dgram udp wait root inter
33、nal#chargen stream tcp nowait root internal#chargen dgram udp wait root internal按上述方法,注释fingerd、uucp、tftp、talk、ntalk、rquotad、rexd、rstatd、rusersd、rwalld、sprayd、pcnfsd、ttdbserver、cmsd等服务。最后重启服务:refresh -s inetd3. 禁用Sendmail、SNMP服务:编辑文件/etc/rc.tcpip 中,在Sendmail、SNMP服务前加#,表示注释此行,格式如下:#start /usr/lib/sen
34、dmail $src_running -bd -q$qpi#start up snmp#start /usr/sbin/snmp $src_runningWINDOWS1. 安装最新的补丁。使用WSUS或从http:/ 下载最新的安装补丁进行安装。2. 关闭非必需服务:常见的非必需服务有:Alerter 远程发送警告信息Computer Browser 计算机浏览器:维护网络上更新的计算机清单Messenger 允许网络之间互相传送提示信息的功能,如 net sendremote Registry 远程管理注册表,开启此服务带来一定的风险Print Spooler 如果相应服务器没有打印机,可
35、以关闭此服务Task Scheduler 计划任务,查看“控制面板”的“任务计划”中是否有计划,若有,则不关闭。SNMP 简单网管协议,如启用网管应用则不关闭。3. 关闭空连接:编辑注册表如下键值:HKLMSYSTEMCurrentControlSetControlLsa“restrictanonymous”的值修改为“1”,类型为REG_DWORD。1.3.6 恶意代码防范省公司及地市公司主机恶意代码防范现状与等级保护要求存在一定的差距,其不符合等级保护要求项主要有:53) 安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库。整改措施:54) 及时更新病毒库,增强防病毒软件的恶意代
36、码防护能力以保证信息系统的安全稳定运行。操作系统操作方式AIX1. 部署防火墙和IPS等恶意代码防范设备,维护AIX系统主机的安全与稳定运行。WINDOWS1. 及时更新防病毒软件病毒库,如Symantec antivirus,并定期进行升级更新。1.3.7 资源控制省公司及地市公司主机资源控制现状与等级保护要求存在一定的差距,应对以下几个方面进行完善:55) 通过设定终端接入方式、网络地址范围等条件限制终端登录;56) 根据安全策略设置登录终端的操作超时锁定;57) 限制单个用户对系统资源的最大或最小使用限度。整改措施:58) 在核心交换机与防火墙上配置详细的访问控制策略,限制终端的接入方式
37、、网络地址范围及其与其他网络间的访问控制(详细配置见网络安全建设)。59) 根据安全策略设置登录终端的操作超时锁定。操作系统操作方式AIX1. 增加或修改/etc/profile文件中如下行:TMOUT=600 ;WINDOWS1. 打开“控制面板”“管理工具”,进入“本地安全策略”。2. 修改“账户锁定策略”,设置帐户锁定相关设置。60) 限制单个用户对系统资源的最大或最小使用限度。根据用户的工作需求,在满足其工作需求范围内,修改用户权限,并设置资源使用范围。操作系统操作方式AIX1. 利用root用户登录操作系统,修改各帐户权限,利用chmod命令修改系统资源权限。WINDOWS1. 用a
38、dministrator登录操作系统,修改各帐户权限,对需要设置使用权限的资源设置其属性,进行安全配置:1.4 应用安全1.4.1 应用安全建设目标根据等级保护前期评测结果,结合信息安全技术信息安全等级保护基本要求对二级系统应用安全从身份鉴别、访问控制、安全审计、通信完整性、通信保密性与资源控制等几个方面进行应用系统安全等级保护建设与改造,通过等级保护建设,实现如下安全防护目标:61) 对登录应用系统的所有用户均设定身份鉴别措施;62) 拥有审计系统审计各用户的相关操作;63) 有相关的加密措施,保证应用系统数据在网络传输过程中的保密性、可靠性和可用性;64) 应用程序具有自恢复功能,保证运行
39、出错时可自动恢复。1.4.2 身份鉴别省公司及地市公司二级系统应用的身份鉴别现状与等级保护要求存在一定的差距,应完善以下几点:65) 提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用。整改措施:66) 修改应用程序中用户名与口令设置模块,按国家电网公司应用软件通用安全要求增设用户名唯一性检测、口令复杂度检测功能,口令复杂度功能检测模块按国家电网公司信息系统口令管理规定进行设计。1.4.3 安全审计省公司及地市公司二级系统应用的安全审计现状与等级保护要求存在一定的差距,应对以下几个方面进行完善:67) 应用软件须提供覆盖到每个用户的安全审
40、计功能,对应用系统重要安全事件进行审计;68) 应保证无法删除、修改或覆盖审计记录;69) 审计记录的内容至少包括事件的日期、时间、发起者信息、类型、描述和结果等;整改措施:70) 应用软件应能够将所有的安全相关事件记录到事件日志中,或者将事件数据安全地发送到外部日志服务器。如通过IMS系统记录应用系统日志。71) 对日志进程进行保护,避免进程被意外中止、日志记录被特权用户或意外删除、修改或覆盖等;72) 应用软件审计模块能够对所有与应用本身相关的各类事件进行有效记录,包括但不限于以下事件:(1).系统管理和配置事件(2).业务操作事件(3).成功事件(4).失败事件(5).对审计功能的操作应
41、用软件能够允许安全管理员选择需要进行审计的事件项目。应用软件对审计事件的记录需确保可以将每个可审计事件与引起该事件的用户身份相关联,需要包含并绑定以下信息:(1).事件发生的时间(或时间段)(2).事件发起用户ID、程序ID或其他实体的识别ID(3).用户操作的客户端(4).事件内容(5).事件导致的结果1.4.4 通信完整性、通信保密性省公司及地市公司二级系统应用的通信完整性与保密性现状和等级保护要求存在一定的差距,需对以下几个方面进行完善:73) 采用密码技术保证通信过程中数据的完整性与保密性;74) 在通信双方建立连接之前,应用系统利用密码技术进行会话初始化验证。整改措施:75) 采用密
42、码技术保证通信过程中数据的完整性,密码技术需满足以下要求:u 密码算法的选择:应用软件中选择的密码算法在强度上要等于或大于公司规定和用户提出的安全强度要求(国家电网公司信息系统口令管理规定中已对算法的安全强度要求给出明确说明)。u 密钥的安全管理:应用软件要在密钥生成、存储、分配、销毁的整个生命周期中对其实施保护,确保密钥明文不能被其他进程、程序和应用中非相关组件访问到。u 证书验证:应用软件应该确保能够对系统中使用的证书进行正确鉴别,而且不会接受或继续使用非法的或者无效的证书。1.4.5 资源控制省公司及地市公司二级系统应用的资源控制现状与等级保护要求存在一定的差距,应对以下几个方面进行完善
43、:76) 限制对系统的最大并发会话连接数;77) 限制单个帐户的多重并发会话;整改措施按照国家电网公司应用软件通用安全要求对用户会话管理要求与信息安全技术信息安全等级保护基本要求,二级系统应用软件需限制用户对系统的最大并发会话连接数、限制单个帐户的多重并发会话、限制某一时间段内可能的并发会话连接数等,整改方案如下:78) 应用软件要向系统管理员增设监视工具,以便实时检测客户端用户的连接状态和行为,应用软件必须允许会话发起的用户手动终止该会话。79) 应用软件能够自动处理会话的异常状态,并且能够提供给系统管理员适当的管理工具对会话进行实时控制,包括设置会话超时时间、最大允许会话数。80) 应用软
44、件能够确保一个客户端只能有一个用户同时登录到系统中,一个用户只允许同时在一个客户端上登录到系统中。1.5 数据安全及备份恢复1.5.1 数据安全及备份恢复建设目标根据等级保护前期评测结果,结合信息安全技术信息安全等级保护基本要求对二级系统数据安全及备份的要求,从数据完整性、数据保密性和备份与恢复等几个方面进行数据安全和备份安全等级保护建设与改造,以期实现如下目标:81) 确保管理数据和业务数据等重要信息在传输过程与存储过程中的完整性与保密性;82) 确保存储过程中检测到完整性错误时,具有相应的措施对信息进行恢复。1.5.2 数据完整性、数据保密性省公司及地市公司二级系统数据完整性和保密性现状与
45、等级保护要求存在一定的差距,应对以下几个方面进行完善:83) 系统管理数据、鉴别信息和重要业务数据在传输过程和存储中应进行加密,确保信息在传输过程和存储中的完整性和保密性。整改措施:采用加密、数字签名与电子证书等保证系统管理数据、鉴别信息和重要业务数据在传输过程与存储过程中完整性不受到破坏,检测到完整性错误时,根据采用的完整性防护措施对信息进行恢复。加密技术要满足以下要求:84) 密码算法的选择:数据传输和存储中选择的密码算法在强度上要等于或大于省公司规定的安全强度要求(国家电网公司信息系统口令管理规定中已对算法的安全强度要求给出明确说明)。85) 密钥的安全管理:在密钥生成、存储、分配、销毁的整个生命周期中对其实施保护,确保密钥明文不能被其他进程和程序非相关组件访问到。证书验证:数据传输和存储过程中必须对系统中使用的证书进行正确鉴别,且不接受或继续使用非法的或者无效的证书。