附件：國家電網公司信息化“SG186”工程安全防護總體方案（試行）目錄第一章總則 41.1. 目標 41.2. 范圍 41.3. 防護對象 41.4. 方案結構 51.5. 參考資料 6第二章信息安全防護方案 72.1. 管理信息系統安全防護策略 72.2. 分級分域安全防護設計 8 安全域的定義 8 安全域的劃分方案 82.3. 信息安全防護設計 10 邊界安全防護 11 網絡環境安全防護 18 主機系統安全防護 21 應用安全防護 282.4. 各域安全防護措施對應表 34第三章安全控制措施及防護要點 413.1. 網絡訪問控制 413.2. 系統安全加固 423.3. 系統弱點掃描 433.4. 入侵檢測措施 443.5. 無線安全措施 453.6. 遠程接入控制 463.7. 內容安全措施 473.8. 病毒檢測措施 483.9. 日志審計措施 483.10. 備份恢復措施 493.11. 身份認證和訪問管理相關控制措施 503.12. 物理安全措施 51附表一：詞匯表 57附表二：國家電網公司信息系統安全等級保護定級表 60附1：安全方案實施指引 61附2：安全產品功能與技術要求 83附3：ERP系統域安全防護方案 109附4：營銷管理系統域安全防護方案 135附5：電力市場交易系統域安全防護方案 161附6：財務（資金）管理系統域安全防護方案 187附7：總部辦公自動化系統域安全防護方案 211附8：二級系統域安全防護方案 233附9：桌面終端域安全防護方案 253

總則目標國家電網公司信息化“SG186”工程安全防護體系建設的總體目標是防止信息網絡癱瘓、防止應用系統破壞、防止業務數據丟失、防止企業信息泄密、防止終端病毒感染、防止有害信息傳播、防止惡意滲透攻擊，以確保信息系統安全穩定運行，確保業務數據安全。范圍安全防護總體方案是面向國家電網公司信息化“SG186”工程一體化平臺及業務應用的安全技術防護方案，是落實國家等級保護工作的典型設計；本方案不對公司的信息安全管理、業務連續性/災難恢復、信任體系建設、數據分級分類等內容進行深入設計。安全防護總體方案適用于公司各單位，包括總部、網省公司及其直屬單位，作為信息系統規劃、設計、審查、實施、監理、改造及運行管理中關于信息安全方面的技術參照。防護對象國家電網公司信息系統部署于管理信息大區和生產控制大區，管理信息大區用以支撐國家電網公司不涉及國家秘密的企業管理信息業務應用，包括國家電網公司一體化平臺、八大業務應用及支持系統正常運營的基礎設施及桌面終端。管理信息大區劃分為用于承載“SG186”工程業務應用和內部辦公的信息內網（可涉及企業商業秘密）以及用于支撐對外業務和互聯網用戶終端的信息外網（不涉及企業商業秘密），信息系統基本部署結構如下圖所示：圖SEQ圖\*ARABIC1國家電網公司網絡分區示意圖本方案的防護對象為國家電網公司總部、網省及其直屬單位的管理信息系統，主要包括一體化企業信息集成平臺和八大業務應用相關系統。涉及國家秘密的信息系統（涉密信息系統）按照國家《計算機信息系統保密管理暫行規定》（國保發[1998]1號）、《涉及國家秘密的信息系統審批管理規定》（國保辦發[2007]18號）、《信息安全等級保護管理辦法》（公通字[2007]43號）等文件對于涉密信息系統的要求進行管理，本方案不涉及。生產控制大區的相關信息系統依據《電力二次系統安全防護總體方案》進行安全體系建設，本方案不涉及。方案結構《國家電網公司信息化“SG186”工程安全防護總體方案》附件包含有各域安全防護方案、《安全產品功能技術要求》及《安全方案實施指引》，結構如下圖所示：圖SEQ圖\*ARABIC2國家電網公司信息化“SG186”工程安全防護總體方案結構示意圖參考資料在總體方案的編制過程中，參考了如下資料：文件名稱發布時間《電力二次系統安全防護總體方案》二OO六年十一月《信息安全等級保護管理辦法》（公通字[2007]43號）二OO七年六月《信息安全技術信息系統安全等級保護基本要求》二OO七年六月《網絡與信息系統安全隔離實施指導意見》二OO七年十一月《國家電網公司信息機房設計及建設規范》二OO六年九月《國家電網公司信息機房管理規范》二OO六年九月

信息安全防護方案安全防護總體方案將依據“分區、分級、分域”防護方針，將各系統劃分至相應安全域進行防護，并且將各安全域劃分為網絡邊界、網絡環境、主機系統及應用環境四個層次實施安全防護措施。圖SEQ圖\*ARABIC3國家電網公司安全防護架構示意圖管理信息系統安全防護策略國家電網公司管理信息系統安全防護體系將遵循以下策略進行建設：雙網雙機：管理信息大區劃分為信息內網和信息外網，管理信息內外網間采用邏輯強隔離設備進行隔離，信息內外網分別采用獨立的服務器及桌面主機；分區分域：在國家電網公司信息系統劃分為管理信息大區與生產控制大區的基礎上，將管理信息大區的系統，依據定級情況及業務系統類型，進行安全域劃分，以實現不同安全域的獨立化、差異化防護；等級防護：管理信息系統將以實現等級保護為基本出發點進行安全防護體系建設，并參照國家等級保護基本要求進行安全防護措施設計；多層防御：在分域防護的基礎上，將各安全域的信息系統劃分為邊界、網絡、主機、應用四個層次進行安全防護設計，以實現層層遞進，縱深防御。分級分域安全防護設計安全防護總體方案將結合國家電網公司等級保護定級結果以及各應用系統的管理相似性、業務相近性對管理信息內外網中的系統進行安全域劃分，以更有針對性地進行各系統的安全防護措施設計。信息系統進行安全域劃分可將復雜安全防護問題進行分解，有助于實現信息系統分等級保護，有針對性地實施應用邊界防護，防止安全問題擴散。安全域的定義安全域是由一組具有相同安全保障需求、并相互信任的系統組成的邏輯區域，同一安全域的系統共享相同的安全保障策略。安全域的劃分方案國家電網公司應用系統主要部署于信息內網，與互聯網有交互的子系統或功能單元部署于信息外網，信息內網與信息外網以邏輯強隔離設備進行安全隔離，對于信息內外網分別進行安全域劃分。《信息安全等級保護管理辦法》中對于三級系統安全保障要求及國家信息安全監管部門的監管執行要求強度高于二級系統，因此安全域劃分采取將等級保護要求較高的各三級系統劃分獨立的安全域進行安全防護，以實現三級系統間及與其他系統之間的獨立安全防護，也便于國家電網公司及外部監管機構對于三級系統的安全監管，對于信息內網的應用系統安全域劃分依據以下方法：二級系統統一成域，三級系統獨立分域；依據以上分域方法進行安全域劃分后信息內網將有以下安全域：電力市場交易系統域； 財務（資金）管理系統域（將逐步被ERP系統財務模塊替代）；辦公自動化系統域（僅國家電網公司總部劃分為三級系統域）；營銷管理系統域（基于營銷管理系統的重要性及目前各單位的安全建設現狀，按等級保護三級要求進行安全防護建設)；ERP系統域（由于“SG186”規劃中財務（資金）管理系統將最終以模塊的形式整合于ERP系統中，因此ERP系統按財務（資金）管理系統所屬的等級保護三級進行安全建設）二級系統域：所有二級系統統一部署于二級系統域中進行安全防護建設。內網桌面終端域：由于桌面終端的安全防護與應用系統不同，將其劃分為獨立區域進行安全防護，信息內網桌面終端用于內網業務操作及內網業務辦公處理，建議各單位根據各自具體情況對桌面辦公終端按業務部門或訪問類型進一步進行區域細分，以便于針對不同的業務訪問需求制定訪問控制及制定其他防護措施。以上分域方法應當在國家電網公司總部、網省、地市等各級單位獨立應用以進行安全域劃分。此外考慮到總部、網省及地市公司層面系統安全防護體系建設的一致性，營銷管理及ERP系統在各單位均按等級保護三級要求進行建設；財務（資金）管理系統在總部、網省按三級防護，地市按二級防護。由于國家電網公司主要應用系統部署于信息內網，信息外網主要包括需要與互聯網交互的子系統或應用模塊，且系統數量較少，因此將信息外網的應用系統統一部署于同一安全域內進行安全防護，該安全域中的應用系統在主機及應用層面按各系統所屬的安全級別進行防護，網絡及與信息外網邊界防護按滿足域中各系統所屬最高等級就高進行安全建設。信息外網系統劃分為以下安全域：外網應用系統域：需與互聯網進行數據交換的系統部署于外網應用系統域進行安全防護；外網桌面終端域：外網桌面終端用于外網業務辦公及互聯網訪問，建議各單位跟據各自具體情況對外網桌面辦公終端按業務部門或訪問類型進行區域細分，以便于針對不同的業務訪問需求進行訪問控制及實施其他安全防護措施。按以上方案進行安全域劃分后，國家電網公司各單位安全域分布結構如下：圖4國家電網公司各級單位安全域分布示意圖信息安全防護設計信息安全防護設計將在國家電網公司分區、分級、分域防護原則的基礎上，將公司各業務單位的信息系統安全防護劃分為邊界安全防護、網絡環境安全防護、主機系統安全防護及應用安全防護四個層次進行安全防護措施設計。對于物理層面安全防護，由于其相對固定，可參照“3.12物理安全防護措施”結合《國家電網公司信息機房設計及建設規范》及《國家電網公司信息機房管理規范》實施。邊界安全防護邊界安全防