电力行业集团公司信息系统等级保护建设方案.doc

《电力行业集团公司信息系统等级保护建设方案.doc》由会员分享，可在线阅读，更多相关《电力行业集团公司信息系统等级保护建设方案.doc（66页珍藏版）》请在咨信网上搜索。

山东省电力集团公司信息系统等级保护建设方案 二零零九年八月 61 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明，版权均属国网电力科学研究院/国网信息网络安全实验室和山东省电力集团公司所有，受到有关产权及版权法保护.任何个人、机构未经国网电力科学研究院/国网信息网络安全实验室和山东省电力集团公司的书面授权许可,不得以任何方式复制或引用本文的任何片断。 文档信息 文档名称 山东省电力集团公司信息系统等级保护建设方案 文档管理编号 INSL—SDDL—BLT—2009-FA 保密级别 商 密 文档版本号 V3.0 制作人 郭骞 制作日期 2009年6月 复审人 余 勇 复审日期 2009年6月 扩散范围 国家电网公司信息网络安全实验室 山东省电力集团公司 扩散批准人 林为民 版本变更记录 时间 版本 说明 修改人 2009-８ V1.0 创建文档 郭　骞 2009-８ V2。0 修改文档 俞庚申 2009—８ V3。0 文档复审定稿 余 勇 适用性声明 本报告由国网电力科学研究院/国网信息网络安全实验室撰写，适用于山东省电力集团公司信息系统等级保护项目. 目 录 1. 项目概述 1 1。1 目标与范围 1 1。2 方案设计 2 1.3 参照标准 2 2. 建设总目标 2 2。1 等级保护建设总体目标 2 3. 安全域及网络边界防护 3 3.1 信息网络现状 3 3.2 安全域划分方法 4 3。3 安全域边界 5 3.3.1 二级系统边界 5 3.3。2 三级系统边界 6 3。4 安全域的实现形式 7 3.5 安全域划分及边界防护 8 3。5。1 安全域的划分 8 4。 信息安全管理建设 11 4。1 建设目标 11 5. 二级系统域建设 12 5。1 概述与建设目标 12 5。2 网络安全 13 5。2。1 网络安全建设目标 13 5.2.2 地市公司建设方案 13 5。3 主机安全 19 5.3。1 主机安全建设目标 19 5。3.2 主机身份鉴别 19 5。3。3 访问控制 22 5。3.4 安全审计 23 5。3.5 入侵防范 26 5.3。6 恶意代码防范 28 5.3。7 资源控制 28 5.4 应用安全 30 5。4。1 应用安全建设目标 30 5.4.2 身份鉴别 31 5.4.3 安全审计 31 5.4.4 通信完整性、通信保密性 32 5.4.5 资源控制 33 5。5 数据安全及备份恢复 34 5.5.1 数据安全及备份恢复建设目标 34 5.5.2 数据完整性、数据保密性 34 6。 三级系统域建设 36 6。1 概述与建设目标 36 6.2 物理安全 36 6.2.1 物理安全建设目标 36 6。2。2 机房感应雷防护措施 37 6。2.3 物理访问控制 37 6。2。4 防盗措施 37 6。2。5 防火措施 38 6.2.6 防水和防潮 39 6.2.7 电磁防护 39 6。3 网络安全建设方案 40 6。3。1 网络安全建设目标 40 6.3。2 建设方案 40 6.4 主机安全 46 6。4.1 主机安全建设目标 46 6.4。2 主机身份鉴别 46 6.4。3 访问控制 49 6.4.4 安全审计 51 6.4。5 剩余信息保护 54 6。4.6 入侵防范 55 6。4.7 恶意代码防范 57 6。4.8 资源控制 58 6。5 应用安全 59 6。5。1 应用安全建设目标 59 6。5。2 身份鉴别 59 6.5.3 访问控制 60 6。5。4 安全审计 61 6.5.5 剩余信息保护 63 6。5.6 通信完整性、通信保密性、抗抵赖 63 6。5.7 资源控制 64 6.6 数据安全及备份恢复 66 6。6.1 数据安全及备份恢复建设目标 66 6.6.2 数据完整性、数据保密性 66 6.6.3 备份和恢复 67 1. 项目概述 根据国家电网公司《关于信息安全等级保护建设的实施指导意见（信息运安〔2009〕27号)》和山东省电力集团公司对等级保护相关工作提出的要求，落实等级保护各项任务,提高山东省电力集团公司信息系统安全防护能力，特制定本方案。 1.1 目标与范围 公司为了落实和贯彻公安部、国家保密局、国家密码管理局、电监会等国家有关部门信息安全等级保护工作要求,全面完善公司信息安全防护体系,落实公司“双网双机、分区分域、等级防护、多层防御”的安全防护策略，确保等级保护工作在各单位的顺利实施，提高公司整体信息安全防护水平，开展等级保护建设工作。 前期在省公司及地市公司开展等级保护符合性测评工作，对地市公司进行测评调研工作，范围涵盖内网门户、外网门户、财务管理系统、营销管理系统、电力市场交易系统、生产管理信息系统、协同办公系统、人力资源管理系统、物资管理系统、项目管理系统、邮件系统、公司广域网SGInet、管理制度这13个业务系统分类,分析测评结果与等级保护要求之间的差距，提出本的安全建设方案. 本方案主要遵循GB/T22239—2008《信息安全技术信息安全等级保护基本要求》、《信息安全等级保护管理办法》（公通字［2007］43号）、《信息安全技术 信息安全风险评估规范》(GB/T 20984—2007）、《国家电网公司信息化“SG186"工程安全防护总体方案》、ISO/IEC 27001信息安全管理体系标准和ISO/IEC 13335信息安全管理标准等。 实施的范围包括：省公司本部、各地市公司。 通过本方案的建设实施,进一步提高信息系统等级保护符合性要求，将整个信息系统的安全状况提升到一个较高的水平，并尽可能地消除或降低信息系统的安全风险。 1.2 方案设计 根据等级保护前期测评结果，省公司本部及各地市公司信息系统存在的漏洞、弱点提出相关的整改意见，并最终形成安全解决方案. 1.3 参照标准 GB/T22239-2008《信息安全技术信息安全等级保护基本要求》 《信息安全等级保护管理办法》(公通字[2007］43号） 《信息安全技术 信息安全风险评估规范》(GB/T 20984—2007) 《国家电网公司信息化“SG186"工程安全防护总体方案》 ISO/IEC 27001信息安全管理体系标准 ISO/IEC 13335信息安全管理标准 《国家电网公司“SG186”工程信息系统安全等级保护验收测评要求（征求意见稿）》 《国家电网公司信息机房设计及建设规范》 《国家电网公司信息系统口令管理规定》 GB50057—94《建筑防雷设计规范》 《国家电网公司应用软件通用安全要求》 2. 建设总目标 2.1 等级保护建设总体目标 综合考虑省公司现有的安全防护措施，针对与《信息安全技术信息系统安全等级保护基本要求》间存在的差异,整改信息系统中存在的问题,使省公司及地市公司信息系统满足《信息安全技术信息系统安全等级保护基本要求》中不同等级的防护要求，顺利通过国家电网公司或公安部等级保护建设测评. 3. 安全域及网络边界防护 根据GB/T22239—2008《信息安全技术信息安全等级保护基本要求》、《国家电网公司信息化“SG186”工程安全防护总体方案》及《国家电网公司“SG186”工程信息系统安全等级保护验收测评要求（征求意见稿）》的要求，省公司及地市公司信息系统按照业务系统定级，根据不同级别保护需求，按要求划分安全区域进行分级保护.因此，安全域划分是进行信息安全等级保护建设的首要步骤。 3.1 信息网络现状 山东省电力集团公司各地市信息内网拓扑典型结构： 图:典型信息网络现状 主要问题： u 各安全域之间缺乏有效的控制措施不能够保障业务系统安全、独立运行，不受其他业务系统的影响。 根据GB/T22239-2008《信息安全技术信息安全等级保护基本要求》和《国家电网公司信息化“SG186”工程安全防护总体方案》的建设要求，省公司和各地市信息网络安全域需根据业务系统等级进行重新划分。 3.2 安全域划分方法 依据国家电网公司安全分区、分级、分域及分层防护的原则，管理信息大区按照双网隔离方案又分为信息内网与信息外网。本方案主要针对公司信息系统进行等级保护建设。在进行安全防护建设之前，首先实现对信息系统的安全域划分. 依据SG186总体方案中 “二级系统统一成域，三级系统独立分域”的要求,结合省公司MPLS VPN现状,采用纵向MPLS VPN结合VLAN划分的方法，将全省信息系统分为： 信息内网区域可分为： u 电力市场交易系统MPLS VPN（或相应纵向通道）：包含省公司电力市场交易应用服务器VLAN、省公司电力市场交易办公终端； u 财务管理系统MPLS VPN(或相应纵向通道):包含省公司财务管理系统VLAN、省公司财务办公终端VLAN、各地市财务办公终端VLAN（13个）； u 营销管理系统MPLS VPN（或相应纵向通道）：省公司营销系统VLAN、省公司营销办公终端VLAN、各地市营销系统VLAN（13个）、各地市营销办公终端VLAN（13个） u 二级系统MPLS VPN(或相应纵向通道）（二级系统包括:内部门户(网站）、生产管理信息系统、协同办公系统、人力资源管理系统、物资管理系统、项目管理系统和邮件系统）： u 公共服务MPLS VPN（或相应纵向通道）：包含DNS、FTP等全省需要访问的公共服务 u 信息内网桌面终端域 信息外网区的系统可分为： u 电力市场交易系统域 u 营销管理系统域（95598） u 外网二级系统域（外网门户等） u 信息外网桌面终端域 安全域的具体实现采用物理防火墙隔离、虚拟防火墙隔离或Vlan隔离等形式进行安全域划分。 3.3 安全域边界 3.3.1 二级系统边界 u 二级系统域存在的边界如下表: 边界类型 边界描述 第三方网络边界 Internet边界 纵向网络边界 省公司与华北电网公司间、省公司与其地市公司之间 横向域间边界 在信息内外网区与桌面终端域的边界 在信息内外网区与基础系统域的边界 与财务系统域之间的边界 与电力市场交易系统域的边界 与营销管理系统域间的边界 u 二级系统域的网络边界拓扑示意图如下： 3.3.2 三级系统边界 财务管理系统、电力市场交易系统和营销系统均涉及信息内网与银行联网存在第三方网络边界接口、省公司与地市公司之间网络边界接口、信息内网横向域间其它二级系统域间接口，电力市场交易系统还涉及信息外网与Internet存在第三方网络边界接口。 u 三级系统域存在的边界如下表： 边界类型 边界描述 信息外网第三方边界 与Internet互联网的边界，实现： 公共服务通道(边远站所、移动服务、PDA现场服务、居民集中抄表、负控终端采集、抢修车辆GPS定位等) 与其他社会代收机构连接（VPN) 网上营业厅 短信服务 时钟同步 信息内网第三方边界 银企互联边界 与其他社会代收机构的边界（专线连接） 公共服务通道（专线、GPRS、CDMA等） 纵向网络边界 省公司与地市公司 横向域间边界 与二级系统域间的边界 与内外网桌面终端域的边界 与内外网基础系统域的边界 与其它三级域之间的边界 u 三级系统域的网络边界拓扑示意图如下： 3.4 安全域的实现形式 安全域实现方式以划分逻辑区域为主，旨在实现各安全区域的逻辑划分，明确边界以对各安全域分别防护,并且进行域间边界控制，安全域的实体展现为一个或多个物理网段或逻辑网段的集合。对公司信息系统安全域的划分手段采用如下方式: u 防火墙安全隔离：采用双接口或多接口防火墙进行边界隔离，在每两个安全域的边界部署双接口防火墙，或是采用多接口防火墙的每个接口分别与不同的安全域连接以进行访问控制. u 虚拟防火墙隔离：采用虚拟防火墙实现各安全域边界隔离,将一台防火墙在逻辑上划分成多台虚拟的防火墙，每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备，可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。在本方案实现中，可以为每个安全域建立独立的虚拟防火墙进行边界安全防护。 u 三层交换机Vlan隔离：采用三层交换机为各安全域划分Vlan，采用交换机访问控制列表或防火墙模块进行安全域间访问控制。 u 二层交换机Vlan隔离：在二层交换机上为各安全域划分Vlan，采用Trunk与路由器或防火墙连接,在上联的路由器或防火墙上进行访问控制。 对于一个应用的子系统跨越多个物理环境如设备机房所带来的分域问题，由于安全域为逻辑区域，可以将公司层面上的多个物理网段或子网归属于同一安全域实现安全域划分。 3.5 安全域划分及边界防护 3.5.1 安全域的划分 结合SG186总体方案中定义的“二级系统统一成域，三级系统独立分域”，在不进行物理网络调整的前提下，将财务系统和物资与项目系统进行分离,使三级财务系统独立成域,二级系统物资和项目管理归并和其他二级系统统一成域，在VPN内，建立ACL控制桌面终端与服务器间的访问，现将省公司信息系统逻辑安全域划分如下： 图：省公司内网逻辑划分图 图:全省信息系统MPLS VPN安全域划分逻辑图 图：信息外网安全域划分逻辑图 在原有的MPLS VPN的基础上结合VLAN划分方法,根据等级保护及国网SG186总体防护方案有求,对全省信息系统进行安全域划分。 1) 三级系统与二级系统进行分离： 集中集成区域的三台小型机采用集群模式部署了财务、物资、项目这三个业务系统，由于财务为三级业务系统,应要独立成域，必须将财务系统从集群中分离出来，安装在独立的服务器或者小型机上，接入集中集成区域或新大楼服务器区。 2) 划分安全域,明确保护边界： 采用MPLS VPN将三级系统划分为独立安全域。财务系统MPLS VPN、电力市场交易系统MPLS VPN、营销系统MPLS VPN、二级系统安全域、桌面安全域、公共应用服务安全域.二级系统安全域包含除三级系统外的所有应用系统服务器；桌面安全域包含各业务部门桌面终端VLAN；公共引用服务安全域为全省均需要访问的应用服务器，如DNS等。 目前信息外网存在三大业务系统：外网门户、营销系统95598网站、电力市场交易系统外网网站。根据等级保护要求应将营销系统95598网站和电力市场交易系统外网网站分别划分独立的VLAN,并在边界防火墙上设置符合等级保护三级要求的VLAN访问控制策略。 3) 部署访问控制设备或设置访问控制规则 在各安全域边界设置访问控制规则，其中安全域边界按照“安全域边界”章节所列举的边界进行防护。访问控制规则可以采用交换机访问控制策略或模块化逻辑防火墙的形式实现。 二级系统安全域边界访问控制规则可以通过交换机的访问控制规则实现，访问控制规则满足如下条件： u 根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。 u 按用户和系统之间的允许访问规则，控制粒度为单个用户。 三级系统安全域边界的安全防护需满足如下要求： u 根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级; u 对进出网络的信息内容进行过滤，实现对应用层协议命令级的控制。 4) 入侵检测系统部署： 二级系统、三级系统安全域内应部署入侵检测系统,并根据业务系统情况制定入侵检测策略，检测范围应包含二级系统服务器、三级系统服务器、其他应用服务器,入侵检测应满足如下要求： u 定制入侵检测策略，如根据所检测的源、目的地址及端口号，所需监测的服务类型以定制入侵检测规则; u 定制入侵检测重要事件即时报警策略； u 入侵检测至少可监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等; u 当检测到攻击行为时,入侵检测系统应当记录攻击源IP、攻击类型、攻击目的IP、攻击时间，在发生严重入侵事件时应能提供及时的报警信息。 4. 信息安全管理建设 4.1 建设目标 省公司信息系统的管理与运维总体水平较高，各项管理措施比较到位，经过多年的建设，已形成一整套完备有效的管理制度。省公司通过严格、规范、全面的管理制度，结合适当的技术手段来保障信息系统的安全.管理规范已经包含了信息安全策略、信息安全组织、资产管理、人力资源安全、物理与环境安全、通讯与操作管理、访问控制、信息系统的获取、开发和维护、信息安全事故管理、业务连续性管理等方面，但与《信息安全技术信息系统安全等级保护基本要求》存在一定的差距，需进行等级保护建设。 通过等级保护管理机构与制度建设,完善公司信息系统管理机构和管理制度，落实《信息安全技术信息系统安全等级保护基本要求》管理制度各项指标和要求，提高公司信息系统管理与运维水平.通过等级保护建设,实现如下目标： 1) 落实《信息安全技术信息系统安全等级保护基本要求》管理制度各项指标和要求。 2) 在公司信息安全总体方针和安全策略的引导下，各管理机构能按时需要规划公司信息安全发展策略，及时发布公司各类信息安全文件和制度，对公司各类安全制度中存在的问题定期进行修订与整改。 3) 系统管理员、网络管理员、安全管理员等信息安全管理与运维工作明确，明确安全管理机构各个部门和岗位的职责、分工和技能要求. 4) 在安全技术培训与知识交流上，能拥有安全业界专家、专业安全公司或安全组织的技术支持,以保证省公司信息系统安全维护符合各类安全管理要求并与时俱进。 5. 二级系统域建设 5.1 概述与建设目标 二级系统域是依据等级保护定级标准将国家电网公司应用系统定为二级的所有系统的集合，按分等级保护方法将等级保护定级为二级的系统集中部署于二级系统域进行安全防护，二级系统域主要涵盖与二级系统相关的主机、服务器、网络等. 省公司二级系统主要包括内部门户(网站）、对外门户(网站）、生产管理信息系统、协同办公系统、人力资源管理系统、物资管理系统、项目管理系统和邮件系统等共8个二级系统,除对外门户外，其它七个内网二级系统需按二级系统要求统一成域进行安全防护。 二级系统域等级保护建设目标是落实《信息安全技术信息安全等级保护基本要求》中二级系统各项指标和要求，实现信息系统二级系统统一成域，完善二级系统边界防护，配置合理的网络环境,增强二级系统主机系统安全防护及二级系统各应用的安全与稳定运行。 针对《信息安全技术信息安全等级保护基本要求》中二级系统各项指标和要求,保障系统稳定、安全运行，本方案将二级系统域安全解决方案分为边界防护、网络环境、主机系统及应用安全四个层面进行安全建设。 5.2 网络安全 5.2.1 网络安全建设目标 省公司下属各地市公司网络安全建设按照二级系统要求进行建设，通过等级保护建设,实现如下目标： 1) 网络结构清晰,具备冗余空间满足业务需求,根据各部门和业务的需求，划分不同的子网或网段，网络图谱图与当前运行情况相符； 2) 各网络边界间部署访问控制设备,通过访问控制功能控制各业务间及办公终端间的访问； 3) 启用网络设备安全审计，以追踪网络设备运行状况、设备维护、配置修改等各类事件; 4) 网络设备口令均符合国家电网公司口令要求，采用安全的远程控制方法对网络设备进行远程控制。 5.2.2 地市公司建设方案 根据测评结果,地市公司信息网络中网络设备及技术方面主要存在以下问题： 1) 网络设备的远程管理采用明文的Telnet方式； 2) 部分网络设备采用出厂时的默认口令,口令以明文的方式存储于配置文件中； 3) 交换机、IDS等未开启日志审计功能，未配置相应的日志服务器； 4) 供电公司内网与各银行间的防火墙未配置访问控制策略; 5) 网络设备采用相同的SNMP口令串进行管理； 6) 未开启网络设备登录失败处理功能，未限制非法登录次数,当网络登录连接超时时未设置自动退出等措施; 7) 缺少对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查与监测措施； 8) 未限制网络最大流量数及网络连接数； 9) 未限制具有拨号访问权限的用户数量。 针对以上问题，结合《信息安全技术信息安全等级保护基本要求》给出相应整改方案如下: 1) 关闭防火墙、交换机和IDS的telnet服务,启用安全的管理服务,如SSH和https。部分不支持SSH的交换机应在交换机上限制可telnet远程管理的用户地址，实施配置如下（以思科交换机为例）： Router＃config terminal Router(config）#access—list 10 permit tcp 10.144.99。120 0.0。0.0 eq 23 any（只允许10.144。99。120机器telnet登录，如需配置某一网段可telnet远程管理，可配置为:access-list 10 permit tcp 10。144。99.1 0。0。0。255 eq 23 any） Router(config）#line vty 0 4（配置端口0-4） Router（Config-line）#Transport input telnet(开启telnet协议，如支持ssh,可用ssh替换telnet） Router（Config—line）＃exec-timeout 5 0 Router（Config—line）＃access-class 10 in Router（Config-line)#end Router#config terminal Router（config）＃line vty 5 15 Router（Config-line）#no login(建议vty开放5个即可,多余的可以关闭) Router(Config—line）#exit Router（Config)#exit Router#write 2) 修改网络设备出厂时的默认口令，且修改后的口令应满足长度大于等于8位、含字母数字和字符的强度要求，其它不满足此口令强度要求的，均应要进行修改。部分楼层接入交换机,应及时修改口令；交换机应修改其SNMP口令串；防火墙口令应满足口令强度要求。交换机SNMP口令串修改实施步骤如下（以思科交换机为例）： Router#config terminal Router（config)＃ no snmp—server community COMMUNITY—NAME1 RO （删除原来具有RO权限的COMMUNITY-NAME1) Router（config）＃ snmp—server community COMMUNITY—NAME RO （如需要通过snmp进行管理，则创建一个具有读权限的COMMUNITY—NAME，若COMMUNITY—NAME权限为RW,则将命令行中RO更改为RW） Router(config)# snmp-server enable traps （允许发出Trap) Router（config)＃exit Router#write 3) 交换机、IDS和防火墙等应开启日志审计功能，并配置日志服务器保存交换机、IDS和防火墙的日志信息。以思科交换机为例，日志审计和日志收集存储于服务器实施配置如下: Route＃config terminal Route(config)＃logging on （启用日志审计) Route（config）＃logging console notification （设置控制等级为5级：notification） Route（config)#！Set a 16K log buffer at information level Route(config）#logging buffered 16000 information （设置其大小为16K） Route(config)＃！turn on time/date stamps in log messages Route(config）＃service timestamp log datetime msec local show-timezone Route(config）＃!set monitor logging level to level 6 Route(config)#logging monitor information Route（config）#exit Route＃！make this session receive log messages Route#terminal monitor Route＃config terminal Route（config）#logging trap information （控制交换机发出日志的级别为6级：information） Route(config）＃logging 192.168。10.188 （将日志发送到192.168.10。188,如需修改服务器，可采用Route(config)＃no logging 192.168.10。188删除,然后重新配置日志服务器） Route(config)#logging facility local6 Route（config)#logging source-interface FastEthernet 0/1 （设置发送日志的以太网口） Route（config)#exit Route#config terminal Route（config)#logging trap information Route(config)#snmp—server host 192.168。10.1 traps public （配置发送trap信息主机） Route（config)＃snmp—server trap-source Ethernet 0/1 Route（config)＃snmp-server enable traps syslog Route(config)＃exit Route# write 4) 供电公司内网与各银行和移动或电信间的防火墙应配置访问控制策略保证供电公司信息内网的安全。 5) 根据《国家电网公司信息系统口令管理规定》制定或沿用其以管理省公司网络设备口令。《国家电网公司信息系统口令管理规定》具体内容如下： 第四条 口令必须具有一定强度、长度和复杂度,长度不得小于8位字符串，要求是字母和数字或特殊字符的混合，用户名和口令禁止相同。 第五条 个人计算机必须设置开机口令和操作系统管理员口令，并开启屏幕保护中的密码保护功能。 第六条 口令要及时更新,要建立定期修改制度,其中系统管理员口令修改间隔不得超过3个月,并且不得重复使用前3次以内的口令。用户登录事件要有记录和审计,同时限制同一用户连续失败登录次数，一般不超过3次。 6) 所有网络设备均应开启网络设备登录失败处理功能、限制非法登录次数、当网络登录连接超时时自动退出等措施.以思科交换机为例，网络登录连接超时时自动退出实施如下: Router＃config terminal Router(Config)＃line con 0 配置控制口 Router（Config-line)#exec—timeout 5 0 设置超时5分钟 Router(Config—line）#exit Router(Config）#exit Router#write 7) 部署桌面管理系统，对内部网络中的用户网络连接状态进行实时监控,以保证内部用户不可私自联到外部网络；配置桌面管理系统策略,对私自连接到外网的内部用户进行准确定位并阻断内外网互通。 8) 在交换机上限制网络最大流量数及网络连接数，通过限制某些网段网络服务提高网络通信流量。以思科交换机为例，实施配置如下： Router＃config terminal Router(config)# access—list 101 deny tcp 172。16。3.0 0。0.0.255 any www(禁止172.16.3。0网段访问Internet） Router（config）# access-list 102 deny tcp 172.16.5。0 0。0。0。255 any ftp(禁止172。16.5.0网段ftp服务) Router(config)＃ ip nat translation max-entries 172。16。55.0 0。0。0.255 200(限制172。16。55.0网段的主机NAT的条目为200条） Route（config)＃exit Route＃ write 限制具有拨号访问权限的用户.由于营销系统存储EMC，需要进行远程拨号维护；需要关闭远程拨号服务,采用更为安全的管理维护方式。 5.3 主机安全 5.3.1 主机安全建设目标 省公司及其各地市公司信息中心对主机进行了一定的安全策略配置,并建立相关安全管理制度，由专人负责主机安全运行与维护，总体安全性较高。但仍有一些安全问题亟待解决，如安全审计不严格、开启非必须服务以及默认的用户口令策略等. 针对省公司及其地市公司二级系统主机存在的问题，结合《信息安全技术信息安全等级保护基本要求》，从主机身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和资源控制等方面进行主机安全等级保护建设与改造，以实现以下目标： 1) 对主机的登录有严格的身份标识和鉴别； 2) 有严格的访问控制策略限制用户对主机的访问与操作； 3) 有严密的安全审计策略保证主机出现故障时可查； 4) 拥有相关技术手段，抵抗非法入侵和恶意代码攻击。 5.3.2 主机身份鉴别 省公司及地市公司主机身份鉴别现状与等级保护要求存在一定的差距，应对以下几个方面进行完善主机身份鉴别： 1) 对登录操作系统的用户进行身份标识和鉴别; 2) 操作系统管理用户身份标识具有不易被冒用的特点，口令有复杂度并定期更换； 3) 启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施; 4) 对服务器进行远程管理时，采取必要措施，防止鉴别信息在网络传输过程中被窃听； 整改措施： 1) 对登录操作系统的管理员用户和普通用户均设置口令；删除操作系统中过期的账户，修改操作系统中默认帐户和口令，检查操作系统中是否存在相同用户名的账户。 操作系统 操作方式 AIX 1. 检查/etc/passwd密码域中存在“＊”的帐户，删除不必要的账户,或增设口令； WINDOWS 1. 删除非法帐号或多余帐号,更改默认管理员帐号,将原Administrator名称改成不被人熟识的帐户，新建一个普通用户，将其重命名为Administrator，并将其权限设为最低，口令复杂度为32位以上； 2. 选择“本地用户和组”的“用户"，可设置口令、删除或禁用非必需账户或禁用Guest账户. 注：管理员账号Administrator重命名后，可能会导致某些服务不能用，如SQL Server数据库可能无法启动,修改前，需在备机上进行测试运行一周时间,无任何问题，再在主机上进行修改. 2) 增强操作系统口令强度设置: 操作系统 操作方式 AIX 1. 修改passwd参数：/etc/security/user - maxage=30 口令最长生存期30天 — maxrepeat=4 每个口令在系统中重复出现的次数 — minalpha=4 口令中最小含有的字符个数 - mindiff=2 新口令不同于旧口令的最小个数 - minlen = 8 口令最短长度（包含字母、数字和特殊字符） WINDOWS 1. 修改“密码策略"，开启复杂性要求,设置口令最小长度等: 密码复杂性要求 启用 密码长度最小值 8字符 密码最长存留期 30天 密码最短存留期 0天 复位帐户锁定计数器 10分钟 帐户锁定时间 10分钟 帐户锁定阀值 5次 注：设置密码策略后可能导致不符合密码策略的帐号无法登录。在修改密码策略前,需修改不符合帐号策略的密码使其符合策略要求,最后再修改密码策略。 3) 启用登录失败处理功能,设置限制非法登录次数和自动退出等措施。 操作系统 操作方式 AIX 1. 配置登录策略:修改/etc/security/login。cfg文件 logindelay=3 失败登录后延迟3秒显示提示符 logindisable=5 5次失败登录后锁定端口 logininterval=60 在60秒内3次失败登录才锁定端口 loginreenable＝15 端口锁定15分钟后解锁 2. 增加或修改/etc/profile文件中如下行： TMOUT=600 ; WINDOWS 1. 修改“账户锁定策略”，设置帐户锁定相关设置： 复位账户锁定计数器 15分钟 账户锁定时间 15分钟 账户锁定阈值 5次 4) 当对服务器进行远程管理时,对于UNIX类服务器,用当前稳定版本的SSH等安全工具取代明文传输的telnet，并及时升级,保证传输数据的安全性;对于windows类服务器，关闭不必要的telnet服务，采用加密或认证的方式保证数据才网络传输过程中的保密性、完整性和可用性。 操作系统 操作方式 AIX 1. 增加或修改/etc/security/user文件中如下行 root: admin = true SYSTEM = ”compat" loginretries = 0 account_locked = false rlogin=false 如果无法禁用telnet服务，也可使用TCP wrapper、防火墙或包过滤技术禁止不可信IP对telnet服务(例如 23/TCP端口）访问。 WINDOWS 1. 禁用不需要的服务，如remote Registry 、telnet等（远程管理注册表，开启此服务带来一定的风险）。 2. 采用其他加密的远程桌面管理软件代替远程桌面管理，或者在远程桌面管理上启用证书认证系统。 注：应用系统或程序可能对特定的系统服务有依赖关系,在未确定某个服务是否需要前，请勿关闭该服务，否则会影响应用系统或程序的正常运行。 5.3.3 访问控制 省公司及地市公司主机身份鉴别现状与等级保护要求存在一定的差距，应对以下几个方面进行完善： 1) 启用访问控制功能，依据安全策略控制用户对资源的访问; 2) 实现操作系统特权用户的权限分离； 3) 限制默认帐户的访问权限，重命名系统默认帐户，修改帐户的默认口令； 4) 及时删除多余的、过期的帐户，避免共享帐户的存在. 整改措施： 1) 在交换机和防火墙上设置不同网段、不同用户对服务器的访问控制权限；关闭操作系统开启的默认共享，对于需开启的共享及共享文件夹设置不同的访问权限，对于操作系统重要文件和目录需设置权限要求。 操作系统 操作方式 AIX 1. 修改普通用户对下列文件的权限： /bin； /sbin； /etc； /etc/passwd； /etc/group； /usr/bin； WINDOWS 1. 修改访问控制策略,将注册标中restrictanonymous值改为1； 2. 删除不必要的共享文件夹或修改其权限，重要共享文件夹的权限属性不能为everyone完全控制