集团公司信息系统等级保护建设专项方案.doc

《集团公司信息系统等级保护建设专项方案.doc》由会员分享，可在线阅读，更多相关《集团公司信息系统等级保护建设专项方案.doc（75页珍藏版）》请在咨信网上搜索。

山东省电力集团公司信息系统级别保护建设方案 二零零九年八月 版权声明 本文中浮现任何文字论述、文档格式、插图、照片、办法、过程等内容，除另有特别注明，版权均属国网电力科学研究院/国网信息网络安全实验室和山东省电力集团公司所有，受到关于产权及版权法保护。任何个人、机构未经国网电力科学研究院/国网信息网络安全实验室和山东省电力集团公司书面授权允许，不得以任何方式复制或引用本文任何片断。 文档信息 文档名称 山东省电力集团公司信息系统级别保护建设方案 文档管理编号 INSL-SDDL-BLT--FA 保密级别 商 密 文档版本号 V3.0 制作人 郭骞 制作日期 6月 复审人 余 勇 复审日期 6月 扩散范畴 国家电网公司信息网络安全实验室 山东省电力集团公司 扩散批准人 林为民 版本变更记录 时间 版本 阐明 修改人 -８ V1.0 创立文档 郭　骞 -８ V2.0 修改文档 俞庚申 -８ V3.0 文档复审定稿 余 勇 合用性声明 本报告由国网电力科学研究院/国网信息网络安全实验室撰写，合用于山东省电力集团公司信息系统级别保护项目。 目 录 1. 项目概述 1 1.1 目的与范畴 1 1.2 方案设计 2 1.3 参照原则 2 2. 等保现状及建设总目的 2 2.1 级别保护现状 2 2.1.1 国家电网公司等保评测成果 2 2.1.2 公安部等保测评成果 4 2.2 级别保护建设总体目的 5 3. 安全域及网络边界防护 5 3.1 信息网络现状 5 3.2 安全域划分办法 8 3.3 安全域边界 9 3.3.1 二级系统边界 9 3.3.2 三级系统边界 10 3.4 安全域实现形式 11 3.5 安全域划分及边界防护 12 3.5.1 安全域划分 12 4. 信息安全管理建设 16 4.1 建设目的 16 4.2 安全管理机构建设 17 4.3 安全管理制度完善 17 5. 二级系统域建设 17 5.1 概述与建设目的 17 5.2 网络安全 18 5.2.1 网络安全建设目的 18 5.2.2 地市公司建设方案 19 5.3 主机安全 24 5.3.1 主机安全建设目的 24 5.3.2 主机身份鉴别 25 5.3.3 访问控制 27 5.3.4 安全审计 29 5.3.5 入侵防范 31 5.3.6 恶意代码防范 33 5.3.7 资源控制 33 5.4 应用安全 35 5.4.1 应用安全建设目的 35 5.4.2 身份鉴别 36 5.4.3 安全审计 36 5.4.4 通信完整性、通信保密性 37 5.4.5 资源控制 38 5.5 数据安全及备份恢复 39 5.5.1 数据安全及备份恢复建设目的 39 5.5.2 数据完整性、数据保密性 39 6. 三级系统域建设 41 6.1 概述与建设目的 41 6.2 物理安全 41 6.2.1 物理安全建设目的 41 6.2.2 机房感应雷防护办法 42 6.2.3 物理访问控制 42 6.2.4 防盗办法 42 6.2.5 防火办法 43 6.2.6 防水和防潮 44 6.2.7 电磁防护 44 6.3 网络安全建设方案 45 6.3.1 网络安全建设目的 45 6.3.2 山东省电力集团公司建设方案 45 6.4 主机安全 51 6.4.1 主机安全建设目的 51 6.4.2 主机身份鉴别 51 6.4.3 访问控制 54 6.4.4 安全审计 57 6.4.5 剩余信息保护 60 6.4.6 入侵防范 60 6.4.7 恶意代码防范 62 6.4.8 资源控制 63 6.5 应用安全 64 6.5.1 应用安全建设目的 64 6.5.2 身份鉴别 64 6.5.3 访问控制 66 6.5.4 安全审计 66 6.5.5 剩余信息保护 68 6.5.6 通信完整性、通信保密性、抗抵赖 68 6.5.7 资源控制 70 6.6 数据安全及备份恢复 71 6.6.1 数据安全及备份恢复建设目的 71 6.6.2 数据完整性、数据保密性 71 6.6.3 备份和恢复 72 1. 项目概述 依照国家电网公司《关于信息安全级别保护建设实行指引意见（信息运安〔〕27号）》和山东省电力集团公司对级别保护有关工作提出规定，贯彻级别保护各项任务，提高山东省电力集团公司信息系统安全防护能力，特制定本方案。 1.1 目的与范畴 公司为了贯彻和贯彻公安部、国家保密局、国家密码管理局、电监会等国家关于部门信息安全级别保护工作规定，全面完善公司信息安全防护体系，贯彻公司“双网双机、分区别域、级别防护、多层防御”安全防护方略，保证级别保护工作在各单位顺利实行，提高公司整体信息安全防护水平，开展级别保护建设工作。 前期在省公司及地市公司开展级别保护符合性测评工作，对地市公司进行测评调研工作，范畴涵盖内网门户、外网门户、财务管理系统、营销管理系统、电力市场交易系统、生产管理信息系统、协同办公系统、人力资源管理系统、物资管理系统、项目管理系统、邮件系统、公司广域网SGInet、管理制度这13个业务系统分类，分析测评成果与级别保护规定之间差距，提出本安全建设方案。 本方案重要遵循GB/T22239-《信息安全技术信息安全级别保护基本规定》、《信息安全级别保护管理办法》（公通字[]43号）、《信息安全技术 信息安全风险评估规范》（GB/T 20984-）、《国家电网公司信息化“SG186”工程安全防护总体方案》、ISO/IEC 27001信息安全管理体系原则和ISO/IEC 13335信息安全管理原则等。 实行范畴涉及：省公司本部、各地市公司。 通过本方案建设实行，进一步提高信息系统级别保护符合性规定，将整个信息系统安全状况提高到一种较高水平，并尽量地消除或减少信息系统安全风险。 1.2 方案设计 依照级别保护前期测评成果，省公司本部及各地市公司信息系统存在漏洞、弱点提出有关整治意见，并最后形成安全解决方案。 1.3 参照原则 GB/T22239-《信息安全技术信息安全级别保护基本规定》 《信息安全级别保护管理办法》（公通字[]43号） 《信息安全技术 信息安全风险评估规范》（GB/T 20984-） 《国家电网公司信息化“SG186”工程安全防护总体方案》 ISO/IEC 27001信息安全管理体系原则 ISO/IEC 13335信息安全管理原则 《国家电网公司“SG186”工程信息系统安全级别保护验收测评规定（征求意见稿）》 《国家电网公司信息机房设计及建设规范》 《国家电网公司信息系统口令管理规定》 GB50057-94《建筑防雷设计规范》 《国家电网公司应用软件通用安全规定》 2. 建设总目的 2.1 级别保护建设总体目的 综合考虑省公司既有安全防护办法，针对与《信息安全技术信息系统安全级别保护基本规定》间存在差别，整治信息系统中存在问题，使省公司及地市公司信息系统满足《信息安全技术信息系统安全级别保护基本规定》中不同级别防护规定，顺利通过国家电网公司或公安部级别保护建设测评。 3. 安全域及网络边界防护 依照GB/T22239-《信息安全技术信息安全级别保护基本规定》、《国家电网公司信息化“SG186”工程安全防护总体方案》及《国家电网公司“SG186”工程信息系统安全级别保护验收测评规定（征求意见稿）》规定，省公司及地市公司信息系统按照业务系统定级，依照不同级别保护需求，按规定划分安全区域进行分级保护。因而，安全域划分是进行信息安全级别保护建设首要环节。 3.1 信息网络现状 山东省电力集团公司各地市信息内网拓扑典型构造： 图：典型信息网络现状 重要问题： u 各安全域之间缺少有效控制办法不可以保障业务系统安全、独立运营，不受其她业务系统影响。 依照GB/T22239-《信息安全技术信息安全级别保护基本规定》和《国家电网公司信息化“SG186”工程安全防护总体方案》建设规定，省公司和各地市信息网络安全域需依照业务系统级别进行重新划分。 3.2 安全域划分办法 根据国家电网公司安全分区、分级、分域及分层防护原则，管理信息大区按照双网隔离方案又分为信息内网与信息外网。本方案重要针对公司信息系统进行级别保护建设。在进行安全防护建设之前，一方面实现对信息系统安全域划分。 根据SG186总体方案中 “二级系统统一成域，三级系统独立分域”规定，结合省公司MPLS VPN现状，采用纵向MPLS VPN结合VLAN划分办法，将全省信息系统分为： 信息内网区域可分为： u 电力市场交易系统MPLS VPN（或相应纵向通道）：包括省公司电力市场交易应用服务器VLAN、省公司电力市场交易办公终端； u 财务管理系统MPLS VPN（或相应纵向通道）：包括省公司财务管理系统VLAN、省公司财务办公终端VLAN、各地市财务办公终端VLAN（13个）； u 营销管理系统MPLS VPN（或相应纵向通道）：省公司营销系统VLAN、省公司营销办公终端VLAN、各地市营销系统VLAN（13个）、各地市营销办公终端VLAN（13个） u 二级系统MPLS VPN（或相应纵向通道）（二级系统涉及：内部门户（网站）、生产管理信息系统、协同办公系统、人力资源管理系统、物资管理系统、项目管理系统和邮件系统）： u 公共服务MPLS VPN（或相应纵向通道）：包括DNS、FTP等全省需要访问公共服务 u 信息内网桌面终端域 信息外网区系统可分为： u 电力市场交易系统域 u 营销管理系统域（95598） u 外网二级系统域（外网门户等） u 信息外网桌面终端域 安全域详细实现采用物理防火墙隔离、虚拟防火墙隔离或Vlan隔离等形式进行安全域划分。 3.3 安全域边界 3.3.1 二级系统边界 u 二级系统域存在边界如下表： 边界类型 边界描述 第三方网络边界 Internet边界 纵向网络边界 省公司与华北电网公司间、省公司与其地市公司之间 横向域间边界 在信息内外网区与桌面终端域边界 在信息内外网区与基本系统域边界 与财务系统域之间边界 与电力市场交易系统域边界 与营销管理系统域间边界 u 二级系统域网络边界拓扑示意图如下： 3.3.2 三级系统边界 财务管理系统、电力市场交易系统和营销系统均涉及信息内网与银行联网存在第三方网络边界接口、省公司与地市公司之间网络边界接口、信息内网横向域间其他二级系统域间接口，电力市场交易系统还涉及信息外网与Internet存在第三方网络边界接口。 u 三级系统域存在边界如下表： 边界类型 边界描述 信息外网第三方边界 与Internet互联网边界，实现： 公共服务通道（边远站所、移动服务、PDA现场服务、居民集中抄表、负控终端采集、抢修车辆GPS定位等） 与其她社会代收机构连接（VPN） 网上营业厅 短信服务 时钟同步 信息内网第三方边界 银企互联边界 与其她社会代收机构边界（专线连接） 公共服务通道（专线、GPRS、CDMA等） 纵向网络边界 省公司与地市公司 横向域间边界 与二级系统域间边界 与内外网桌面终端域边界 与内外网基本系统域边界 与其他三级域之间边界 u 三级系统域网络边界拓扑示意图如下： 3.4 安全域实现形式 安全域实现方式以划分逻辑区域为主，旨在实现各安全区域逻辑划分，明确边界以对各安全域分别防护，并且进行域间边界控制，安全域实体呈现为一种或各种物理网段或逻辑网段集合。对公司信息系统安全域划分手段采用如下方式： u 防火墙安全隔离：采用双接口或多接口防火墙进行边界隔离，在每两个安全域边界布置双接口防火墙，或是采用多接口防火墙每个接口分别与不同安全域连接以进行访问控制。 u 虚拟防火墙隔离：采用虚拟防火墙实现各安全域边界隔离，将一台防火墙在逻辑上划提成多台虚拟防火墙，每个虚拟防火墙系统都可以被当作是一台完全独立防火墙设备，可拥有独立系统资源、管理员、安全方略、顾客认证数据库等。在本方案实现中，可觉得每个安全域建立独立虚拟防火墙进行边界安全防护。 u 三层互换机Vlan隔离：采用三层互换机为各安全域划分Vlan，采用互换机访问控制列表或防火墙模块进行安全域间访问控制。 u 二层互换机Vlan隔离：在二层互换机上为各安全域划分Vlan，采用Trunk与路由器或防火墙连接，在上联路由器或防火墙上进行访问控制。 对于一种应用子系统跨越各种物理环境如设备机房所带来分域问题，由于安全域为逻辑区域，可以将公司层面上各种物理网段或子网归属于同一安全域实现安全域划分。 3.5 安全域划分及边界防护 3.5.1 安全域划分 结合SG186总体方案中定义“二级系统统一成域，三级系统独立分域”，在不进行物理网络调节前提下，将财务系统和物资与项目系统进行分离，使三级财务系统独立成域，二级系统物资和项目管理归并和其她二级系统统一成域，在VPN内，建立ACL控制桌面终端与服务器间访问，现将省公司信息系统逻辑安全域划分如下： 图：省公司内网逻辑划分图 图：全省信息系统MPLS VPN安全域划分逻辑图 图：信息外网安全域划分逻辑图 在原有MPLS VPN基本上结合VLAN划分办法，依照级别保护及国网SG186总体防护方案有求，对全省信息系统进行安全域划分。 1) 三级系统与二级系统进行分离： 集中集成区域三台小型机采用集群模式布置了财务、物资、项目这三个业务系统，由于财务为三级业务系统，应要独立成域，必要将财务系统从集群中分离出来，安装在独立服务器或者小型机上，接入集中集成区域或新大楼服务器区。 2) 划分安全域，明保证护边界： 采用MPLS VPN将三级系统划分为独立安全域。财务系统MPLS VPN、电力市场交易系统MPLS VPN、营销系统MPLS VPN、二级系统安全域、桌面安全域、公共应用服务安全域。二级系统安全域包括除三级系统外所有应用系统服务器；桌面安全域包括各业务部门桌面终端VLAN；公共引用服务安全域为全省均需要访问应用服务器，如DNS等。 当前信息外网存在三大业务系统：外网门户、营销系统95598网站、电力市场交易系统外网网站。依照级别保护规定应将营销系统95598网站和电力市场交易系统外网网站分别划分独立VLAN，并在边界防火墙上设立符合级别保护三级规定VLAN访问控制方略。 3) 布置访问控制设备或设立访问控制规则 在各安全域边界设立访问控制规则，其中安全域边界按照“安全域边界”章节所列举边界进行防护。访问控制规则可以采用互换机访问控制方略或模块化逻辑防火墙形式实现。 二级系统安全域边界访问控制规则可以通过互换机访问控制规则实现，访问控制规则满足如下条件： u 依照会话状态信息为数据流提供明确容许/回绝访问能力，控制粒度为网段级。 u 按顾客和系统之间容许访问规则，控制粒度为单个顾客。 三级系统安全域边界安全防护需满足如下规定： u 依照会话状态信息为数据流提供明确容许/回绝访问能力，控制粒度为端口级； u 对进出网络信息内容进行过滤，实现相应用层合同命令级控制。 4) 入侵检测系统布置： 二级系统、三级系统安全域内应布置入侵检测系统，并依照业务系统状况制定入侵检测方略，检测范畴应包括二级系统服务器、三级系统服务器、其她应用服务器，入侵检测应满足如下规定： u 定制入侵检测方略，如依照所检测源、目地址及端标语，所需监测服务类型以定制入侵检测规则； u 定制入侵检测重要事件即时报警方略； u 入侵检测至少可监视如下袭击行为：端口扫描、强力袭击、木马后门袭击、回绝服务袭击、缓冲区溢出袭击、IP碎片袭击和网络蠕虫袭击等； u 当检测到袭击行为时，入侵检测系统应当记录袭击源IP、袭击类型、袭击目IP、袭击时间，在发生严重入侵事件时应能提供及时报警信息。 4. 信息安全管理建设 4.1 建设目的 省公司信息系统管理与运维总体水平较高，各项管理办法比较到位，通过近年建设，已形成一整套完备有效管理制度。省公司通过严格、规范、全面管理制度，结合恰当技术手段来保障信息系统安全。管理规范已经包括了信息安全方略、信息安全组织、资产管理、人力资源安全、物理与环境安全、通讯与操作管理、访问控制、信息系统获取、开发和维护、信息安全事故管理、业务持续性管理等方面，但与《信息安全技术信息系统安全级别保护基本规定》存在一定差距，需进行级别保护建设。 通过级别保护管理机构与制度建设，完善公司信息系统管理机构和管理制度，贯彻《信息安全技术信息系统安全级别保护基本规定》管理制度各项指标和规定,提高公司信息系统管理与运维水平。通过级别保护建设，实现如下目的： 1) 贯彻《信息安全技术信息系统安全级别保护基本规定》管理制度各项指标和规定。 2) 在公司信息安全总体方针和安全方略引导下，各管理机构能准时需要规划公司信息安全发展方略，及时发布公司各类信息安全文献和制度，对公司各类安全制度中存在问题定期进行修订与整治。 3) 系统管理员、网络管理员、安全管理员等信息安全管理与运维工作明确，明确安全管理机构各个部门和岗位职责、分工和技能规定。 4) 在安全技术培训与知识交流上，能拥有安全业界专家、专业安全公司或安全组织技术支持，以保证省公司信息系统安全维护符合各类安全管理规定并与时俱进。 5. 二级系统域建设 5.1 概述与建设目的 二级系统域是根据级别保护定级原则将国家电网公司应用系统定为二级所有系统集合，按分级别保护办法将级别保护定级为二级系统集中布置于二级系统域进行安全防护，二级系统域重要涵盖与二级系统有关主机、服务器、网络等。 省公司二级系统重要涉及内部门户（网站）、对外门户（网站）、生产管理信息系统、协同办公系统、人力资源管理系统、物资管理系统、项目管理系统和邮件系统等共8个二级系统，除对外门户外，其他七个内网二级系统需按二级系统规定统一成域进行安全防护。 二级系统域级别保护建设目的是贯彻《信息安全技术信息安全级别保护基本规定》中二级系统各项指标和规定，实现信息系统二级系统统一成域，完善二级系统边界防护，配备合理网络环境，增强二级系统主机系统安全防护及二级系统各应用安全与稳定运营。 针对《信息安全技术信息安全级别保护基本规定》中二级系统各项指标和规定，保障系统稳定、安全运营，本方案将二级系统域安全解决方案分为边界防护、网络环境、主机系统及应用安全四个层面进行安全建设。 5.2 网络安全 5.2.1 网络安全建设目的 省公司下属各地市公司网络安全建设按照二级系统规定进行建设，通过级别保护建设，实现如下目的： 1) 网络构造清晰，具备冗余空间满足业务需求，依照各部门和业务需求，划分不同子网或网段，网络图谱图与当前运营状况相符； 2) 各网络边界间布置访问控制设备，通过访问控制功能控制各业务间及办公终端间访问； 3) 启用网络设备安全审计，以追踪网络设备运营状况、设备维护、配备修改等各类事件； 4) 网络设备口令均符合国家电网公司口令规定，采用安全远程控制办法对网络设备进行远程控制。 5.2.2 地市公司建设方案 依照测评成果，地市公司信息网络中网络设备及技术方面重要存在如下问题： 1) 网络设备远程管理采用明文Telnet方式； 2) 某些网络设备采用出厂时默认口令，口令以明文方式存储于配备文献中； 3) 互换机、IDS等未启动日记审计功能，未配备相应日记服务器； 4) 供电公司内网与各银行间防火墙未配备访问控制方略； 5) 网络设备采用相似SNMP口令串进行管理； 6) 未启动网络设备登录失败解决功能，未限制非法登录次数，当网络登录连接超时时未设立自动退出等办法； 7) 缺少对内部网络中浮现内部顾客未通过准许擅自联到外部网络行为进行检查与监测办法； 8) 未限制网络最大流量数及网络连接数； 9) 未限制具备拨号访问权限顾客数量。 针对以上问题，结合《信息安全技术信息安全级别保护基本规定》给出相应整治方案如下： 1) 关闭防火墙、互换机和IDStelnet服务，启用安全管理服务，如SSH和https。某些不支持SSH互换机应在互换机上限制可telnet远程管理顾客地址，实行配备如下（以思科互换机为例）： Router#config terminal Router(config)#access-list 10 permit tcp 10.144.99.120 0.0.0.0 eq 23 any（只容许10.144.99.120机器telnet登录，如需配备某一网段可telnet远程管理，可配备为：access-list 10 permit tcp 10.144.99.1 0.0.0.255 eq 23 any） Router(config)#line vty 0 4（配备端口0-4） Router(Config-line)#Transport input telnet（启动telnet合同，如支持ssh，可用ssh替代telnet） Router(Config-line)#exec-timeout 5 0 Router(Config-line)#access-class 10 in Router(Config-line)#end Router#config terminal Router(config)#line vty 5 15 Router(Config-line)#no login(建议vty开放5个即可，多余可以关闭) Router(Config-line)#exit Router(Config)#exit Router#write 2) 修改网络设备出厂时默认口令，且修改后口令应满足长度不不大于等于8位、含字母数字和字符强度规定，其他不满足此口令强度规定，均应要进行修改。某些楼层接入互换机，应及时修改口令；互换机应修改其SNMP口令串；防火墙口令应满足口令强度规定。互换机SNMP口令串修改实行环节如下（以思科互换机为例）： Router#config terminal Router(config)# no snmp-server community COMMUNITY-NAME1 RO （删除本来具备RO权限COMMUNITY-NAME1） Router(config)# snmp-server community COMMUNITY-NAME RO （如需要通过snmp进行管理，则创立一种具备读权限COMMUNITY-NAME，若COMMUNITY-NAME权限为RW,则将命令行中RO更改为RW） Router(config)# snmp-server enable traps （容许发出Trap） Router(config)#exit Router#write 3) 互换机、IDS和防火墙等应启动日记审计功能，并配备日记服务器保存互换机、IDS和防火墙日记信息。以思科互换机为例，日记审计和日记收集存储于服务器实行配备如下： Route#config terminal Route(config)#logging on （启用日记审计） Route(config)#logging console notification （设立控制级别为5级：notification） Route(config)#!Set a 16K log buffer at information level Route(config)#logging buffered 16000 information （设立其大小为16K） Route(config)#!turn on time/date stamps in log messages Route(config)#service timestamp log datetime msec local show-timezone Route(config)#!set monitor logging level to level 6 Route(config)#logging monitor information Route(config)#exit Route#!make this session receive log messages Route#terminal monitor Route#config terminal Route(config)#logging trap information （控制互换机发出日记级别为6级：information） Route(config)#logging 192.168.10.188 （将日记发送到192.168.10.188，如需修改服务器，可采用Route(config)#no logging 192.168.10.188删除，然后重新配备日记服务器） Route(config)#logging facility local6 Route(config)#logging source-interface FastEthernet 0/1 （设立发送日记以太网口） Route(config)#exit Route#config terminal Route(config)#logging trap information Route(config)#snmp-server host 192.168.10.1 traps public （配备发送trap信息主机） Route(config)#snmp-server trap-source Ethernet 0/1 Route(config)#snmp-server enable traps syslog Route(config)#exit Route# write 4) 供电公司内网与各银行和移动或电信间防火墙应配备访问控制方略保证供电公司信息内网安全。 5) 依照《国家电网公司信息系统口令管理规定》制定或沿用其以管理省公司网络设备口令。《国家电网公司信息系统口令管理规定》详细内容如下： 第四条 口令必要具备一定强度、长度和复杂度，长度不得不大于8位字符串，规定是字母和数字或特殊字符混合，顾客名和口令禁止相似。 第五条 个人计算机必要设立开机口令和操作系统管理员口令，并启动屏幕保护中密码保护功能。 第六条 口令要及时更新，要建立定期修改制度，其中系统管理员口令修改间隔不得超过3个月，并且不得重复使用前3次以内口令。顾客登录事件要有记录和审计，同步限制同一顾客持续失败登录次数，普通不超过3次。 6) 所有网络设备均应启动网络设备登录失败解决功能、限制非法登录次数、当网络登录连接超时时自动退出等办法。以思科互换机为例，网络登录连接超时时自动退出实行如下： Router#config terminal Router(Config)#line con 0 配备控制口 Router(Config-line)#exec-timeout 5 0 设立超时5分钟 Router(Config-line)#exit Router(Config)#exit Router#write 7) 布置桌面管理系统，对内部网络中顾客网络连接状态进行实时监控，以保证内部顾客不可擅自联到外部网络；配备桌面管理系统方略，对擅自连接到外网内部顾客进行准拟定位并阻断内外网互通。 8) 在互换机上限制网络最大流量数及网络连接数，通过限制某些网段网络服务提高网络通信流量。以思科互换机为例，实行配备如下： Router#config terminal Router(config)# access-list 101 deny tcp 172.16.3.0 0.0.0.255 any www（禁止172.16.3.0网段访问Internet） Router(config)# access-list 102 deny tcp 172.16.5.0 0.0.0.255 any ftp（禁止172.16.5.0网段ftp服务） Router(config)# ip nat translation max-entries 172.16.55.0 0.0.0.255 200（限制172.16.55.0网段主机NAT条目为200条） Route(config)#exit Route# write 限制具备拨号访问权限顾客。由于营销系统存储EMC，需要进行远程拨号维护；需要关闭远程拨号服务，采用更为安全管理维护方式。 5.3 主机安全 5.3.1 主机安全建设目的 省公司及其各地市公司信息中心对主机进行了一定安全方略配备，并建立有关安全管理制度，由专人负责主机安全运营与维护，总体安全性较高。但仍有某些安全问题亟待解决，如安全审计不严格、启动非必要服务以及默认顾客口令方略等。 针对省公司及其地市公司二级系统主机存在问题，结合《信息安全技术信息安全级别保护基本规定》，从主机身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和资源控制等方面进行主机安全级别保护建设与改造，以实现如下目的： 1) 对主机登录有严格身份标记和鉴别； 2) 有严格访问控制方略限制顾客对主机访问与操作； 3) 有严密安全审计方略保证主机浮现故障时可查； 4) 拥有有关技术手段，抵抗非法入侵和恶意代码袭击。 5.3.2 主机身份鉴别 省公司及地市公司主机身份鉴别现状与级别保护规定存在一定差距，应对如下几种方面进行完善主机身份鉴别： 1) 对登录操作系统顾客进行身份标记和鉴别； 2) 操作系统管理顾客身份标记具备不易被冒用特点，口令有复杂度并定期更换； 3) 启用登录失败解决功能，可采用结束会话、限制非法登录次数和自动退出等办法； 4) 对服务器进行远程管理时，采用必要办法，防止鉴别信息在网络传播过程中被窃听； 整治办法： 1) 对登录操作系统管理员顾客和普通顾客均设立口令；删除操作系统中过期账户，修改操作系统中默认帐户和口令，检查操作系统中与否存在相似顾客名账户。 操作系统 操作方式 AIX 1. 检查/etc/passwd密码域中存在“*”帐户，删除不必要账户，或增设口令； WINDOWS 1. 删除非法帐号或多余帐号，更改默认管理员帐号，将原Administrator名称改成不被人熟识帐户，新建一种普通顾客，将其重命名为Administrator，并将其权限设为最低，口令复杂度为32位以上； 2. 选取“本地顾客和组”“顾客”，可设立口令、删除或禁用非必须账户或禁用Guest账户。 注：管理员账号Administrator重命名后，也许会导致某些服务不能用，如SQL Server数据库也许无法启动，修改前，需在备机上进行测试运营一周时间，无任何问题，再在主机上进行修改。 2) 增强操作系统口令强度设立： 操作系统 操作方式 AIX 1. 修改passwd参数：/etc/security/user - maxage=30 口令最长生存期30天 - maxrepeat=4 每个口令在系统中重复浮现次数 - minalpha=4 口令中最小具有字符个数 - mindiff=2 新口令不同于旧口令最小个数 - minlen = 8 口令最短长度（包括字母、数字和特殊字符） WINDOWS 1. 修改“密码方略”，启动复杂性规定，设立口令最小长度等： 密码复杂性规定 启用 密码长度最小值 8字符 密码最长存留期 30天 密码最短存留期 0天 复位帐户锁定计数器 10分钟 帐户锁定期间 10分钟 帐户锁定阀值 5次 注：设立密码方略后也许导致不符合密码方略帐号无法登录。在修改密码方略前，需修改不符合帐号方略密码使其符合方略规定，最后再修改密码方略。 3) 启用登录失败解决功能，设立限制非法登录次数和自动退出等办法。 操作系统 操作方式 AIX 1. 配备登录方略：修改/etc/security/login.cfg文献 logindelay=3 失败登录后延迟3秒显示提示符 logindisable=5 5次失败登录后锁定端口 logininterval=60 在60秒内3次失败登录才锁定端口 loginreenable＝15 端口锁定15分钟后解锁 2. 增长或修改/etc/profile文献中如下行： TMOUT=600 ; WINDOWS 1. 修改“账户锁定方略”，设立帐户锁定有关设立： 复位账户锁定计数器 15分钟 账户锁定期间 15分钟 账户锁定阈值 5次 4) 当对服务器进行远程管理时，对于UNIX类服务器，用当前稳定版本SSH等安全工具取代明文传播telnet，并及时升级，保证传播数据安全性；对于windows类服务器，关闭不必要telnet服务，采用加密或认证方式保证数据才网络传播过程中保密性、完整性和可用性。 操作系统 操作方式 AIX 1. 增长或修改/etc/security/user文献中如下行 root: admin = true SYSTEM = "compat" loginretries = 0 account_locked = false rlogin=false 如果无法禁用telnet服务，也可使用TCP wrapper、防火墙或包过滤技术禁止不可信IP对telnet服务（例如 23/TCP端口）访问。 WINDOWS 1. 禁用不需要服务，如remote Registry 、telnet等（远程管理注册表，启动此服务带来一定风险）。 2. 采用其她加密远程桌面管理软件代替远程桌面管理，或者在远程桌面管理上启用证书认证系统。 注：应用系统或程序也许对特定系统服务有依赖关系，在未拟定某个服务与否需要前，请勿关闭该服务，否则会影响应用系统或程序正常运营。 5.3.3 访问控制 省公司及地市公司主机身份鉴别现状与级别保护规定存在一定差距，应对如下几种方面进行完善： 1) 启用访问控制功能，根据安全方略控制顾客对资源访问； 2) 实现操作系统特权顾客权限分离； 3) 限制默认帐户访问权限，重命名系统默认帐户，修改帐户默认口令； 4) 及时删除多余、过期帐户，避免共享帐户存在。 整治办法： 1) 在互换机和防火墙上设立不同网段、不同顾客对服务器访问控制权限；关闭操作系统启动默认共享，对于需启动共享及共享文献夹设立不同访问权限，对于操作系统重要文献和目录需设立权限规定。 操作系统 操作方式 AIX 1. 修改普通顾客对下列文献权限： /bin； /sbin； /etc； /etc/passwd； /etc/group； /usr/bin； WINDOWS 1. 修改访问控制方略，将注册标中restrictanonymous值改为1； 2. 删除不必要共享文献夹或修改其权限，重要共享文献夹权限属性不能为everyone完全控制。 2) 设立不同管理员对服务器进行管理，分为系统管理员、安全管理员、安全审计员等以实现操作系统特权顾客权限分离，并对各个帐户在其工作范