信息安全建设目标值-江西省企业管理创新成果

（一）建立、健全安全管理制度

赣州供电公司制定和修订《信息安全管理规定》、《网络管理规定》、《计算机及其外部设备管理规定》、《计算机软件管理办法》等一系列安全管理制度标准。通过对安全制度和各类操作规程的建立、修改、补充和完善，确保了信息系统在技术方面达到良好安全善。

公司信息安全防护体系建设坚持安全管理原则。多人负责原则：两人或多人互相配合、互相制约。从事每项安全活动，应至少两人在场，做好工作情况记录。任期有限原则：任何人不长期担任与安全有关的职务。当人员离任时，应立即对系统进行授权调整。职责分离原则：不要打听、了解或参与职责以外的任何与安全相关的事情，除非系统主管领导批准。最小权限原则：只授予用户和系统管理员所需要的最基本权限，并且超级用户的权限也应该越小越好。

组织有关人员对管理制度进行定期督导检查，保证制度的落实，使管理制度具有严肃性、权威性、强制性。

（二）对机房物理环境进行整改

赣州供电公司按照《国家电网公司信息机房设计及建设规范》、《国家电网公司信息机房管理规范》的要求，加强了基础设施和运行环境的管理建设。对中心机房、配电房等计算机系统重要基础设施进行严格管理，组织实施了防雷、防火、防水、防静电、防盗窃、防破坏、电力供应、机房物理访问控制等方面对机房环境进行改造，配备防盗、防火、防水等设施，安装监控系统、监控报警装置等。建立和健全机房设备管理、运行管理、电源管理、安全管理和资料管理相关制度，规范操作规程，确保信息系统的安全、可靠运行。

（三）实施信息网络分区分域防御

《国家电网公司信息化“SG186”工程安全防护总体方案》中的安全防护架构示意图，可以看到其安全防护的核心思想是“分区、分级、分域”。

赣州供电公司是完全实行物理隔离的企业网络，将应用系统主要部署于内网，内网进行了合理划分安全域，与互联网交互的子系统或功能单元部署于外网。根据整体的安全规划和信息安全密级，依据“二级系统统一成域，三级系统独立分域”方针进行安全域划分，划分如下：

信息内网：

1.营销管理系统域

2.财务系统域

3.内网桌面终端域：由于桌面终端安全防护与应用系统不同，将其划分为独立域进行安全防护。

信息外网：

1.外网应用系统域：需与互联网进行数据交换的系统部署于外网应用系统域进行安全防护（目前赣州公司外网应用域中无应用服务器）

2.外网桌面终端域：外网桌面终端用于外网业务办公及互联网

（四）对公司信息系统安全防护实施多层防御。

赣州供电公司信将息安全防护体系设计在分区、分级、分域防护原则的基础上，将公司信息系统安全防护划分为边界安全防护、网络环境安全防护、主机系统安全防护及应用安全防护四个层次进行安全防护措。

1.边界防护

网络安全边界归为信息外网第三安全方安全边界、信息内网第三安全方安全边界、信息内外网安全边界、信息内网纵向安全边界及横向域安全边界五类。

2.网络环境安全防护

网络环境安全防护面向公司整体支撑性网络，以及为各安全域网络支撑平台的网络，网络环境具体包括网络提供连接的路由、交换设备及安全防护体系引入的安全设备、网络基础服务设施。

安全接入控制：主要通过北信源内网管理系统实现，可以控制到非注册主机无法正常使用网络，网内主机无法接入等。

设备安全管理：核心交换机中兴ZR10 T64G开启SSH，防火墙、入侵防御系统管理默认采用加密传输方式。

安全弱点扫描：定期对操作系统、网络设备、应用及数据库进行扫描，及时发现系统可能存在的漏洞，以上攻击者利用。

安全事件审计：将网络设备日志输出至专门的日志服务器。

设备链路冗余：内网核心交换机采用双核心（中兴ZR10 T64G），与广域网中间部署双防火墙，双链路支持Bypass的IPS，采用双链路至广域网。内网核心交换采用双链路连接营销系统域核心交换。公司内网核心交换采用双链路与DMZ汇聚交换设备相连。

3.主机系统安全防护(www.xing528.com)

应用服务器承载着赣州供电公司的应用系统及业务数据，对应用服务器的安全应当从操作系统安全和数据库安全两个方面进行防护。由于数据库服务器已上移至省公司，赣州公司主要实施了操作系统安全防护。操作系统是各种应用程序和信息处理的基础，操作系统不安全，各种应用程序和数据、各种业务系统和办公系统的安全就得不到保障。

通过漏洞扫描系统、防病毒系统、内网安全管理系统、主机安全加固等方式进行系统层上的安全实现，并根据以下几个方面考察系统层面的安全性:

（1）操作系统的安全配置

根据国网公司安全加固指南，安全地配置操作系统，并且充分利用操作系统本身的安全功能。

（2）账号和口令

对一些保存有用户信息及其口令的关键文件(如UNIX下:/.rost、etc/host、password、shado、group等:WindowsNT下的LMHOST、SAM等)的使用权限进行严格限制、加强口令字的使用规范（增加口令复杂程度不要、使用与用户身份有关的、易猜测的信息作为口令)。帐号管理严格执行《国家电网公司信息系统口令管理规定》。实现系统层面的访问控制，针对访问的主体和客体进行识别、划分、授权，开启了服务器日志审计功能。

（3）系统升级

及时给操作系统升级、安装操作系统补丁，目前,WIN2000系统应安装SP4补丁程序，使用最新版本的Windows系统，服务器使用Windows2003且安装补丁，客户端使用Windows xp，安装最新补丁。

（4）安全操作系统

核心的主机使用安全操作系统，操作系统达到C2级或以上安全标准,WIN2000操作系统经过安全配置后达到C2级标准。

（5）定期对操作系统及运行于操作系统之上的业务应用系统、数据库系统程序进行备份。有效地保障个人桌面终端的安全，也在很大程度上降低了整个企业信息系统所面临的安全风险。赣州公司桌面终端分为内网桌面终端和外网桌面终端，保障桌面终端安全方面，通过北信源桌面管理系统、McAfee防病毒部署基于基于主机的安全措施，从桌面终端病毒防护、恶意代码防护、补丁管理、桌面主机资产管理、桌面终端安全管理等方面进行安全防护。

4.应用安全防护

赣州供电公司在该层次的安全考虑是信息系统网络提供服务所采用的应用软件和数据的安全性，包括：WEB服务和电子邮件系统、DNS、各种上线运行的应用系统等。重点防护财务系统域和二级系统中的应用系统，赣州供电公司主要采取了以下措施：应用系统链路部署入侵检测设备，实时监控分析网络流量，对异常流量及时预警，进行定期漏洞扫描，用户权限及访问控制，应用系统审计等。

（五）积极实施信息系统安全等级防护

积极落实国家及国网公司信息安全等级防护要求，按照信息系统不同安全等级，通过合理分配资源，对信息系统分等级实施保护。2009年，组织实施了赣州供电公司信息系统等级保护纵深防御体系建设工作，通过等级保护测评工作和安全建设整改等工作，取得了显著成效，部署了系列安全管理和技术措施，建立了三道防线，从边界、网络、主机、应用、数据和管理等多方面实现纵深防御，使整体环境达到二级保护强度，为其它系统部署创造统一的安全环境，并完成当地公安机关登记备案。

（六）加强信息系统安全风险管理

安全评估是信息安全工作的基础，落实安全评估工作，建立处置各种风险的工作预案，提高主动防护、检测、响应能力，降低安全风险，不断强化评估审计工作，加强对系统的运行监控工作，确保系统安全稳定运行。编制了《江西赣州供电公司网络与信息系统突发事件处置专项应急预案》，并定期组织演练。2009年8月份配合省公司组织开展了公司信息系统安全风险评估，通过资产评估、威胁评估、脆弱性评估和漏洞扫描，识别公司的信息资产，评估威胁这些资产的风险，评估假定这些风险成为现实时公司所承受的灾难和损失。采用降低风险、避免风险、转嫁风险、接受风险等多种风险管理方式，来制定公司信息安全策略,全面掌握赣州公司信息系统的安全问题，并及时安排资金和项目进行整改。

（七）应用信息安全运维综合平台

通过应用全省统一建设的信息安全运维管控平台，包括统一的安全配置管理、安全变更管理、安全补丁管理、安全事件管理、安全知识库管理、备份和恢复、监控和测量以及安全漏洞扫描与监控等，加强公司信息系统的运行维护管理。

信息安全防护中，信息安全管控平台是其中的核心部分。通过信息安全管控平台，对公司的各组成部件即资产进行有效管理；同时，可以对公司访问资产进行有效控制，对所有访问行为进行统一日志管理，对公司所提供的安全服务进行统一监控和管理，也能对各种事件的响应机制进行统一管理。从而将各种信息安全资产、事件、服务、响应都融合到此信息安全管控平台中，为公司提供统一管理和平台和手段。

（八）大力提升信息安全技术岗位人员的整体素质

公司针对现有专业技术人才的不同层次、特点，开展好不同内容和方法的差别化、特色化培训，打造一支熟悉信息安全法律法规，精通信息安全管理与技术，能够实施网络攻防对抗的企业内部信息安全技术人才队伍，为信息安全工作打下坚实的基础，如赣州供电公司对关键岗位和特殊岗位的人员有时通过送往专业机构的专门学习和培训，使其获得特定的安全方面知识和技能。2010年公司组织从事信息系统运维工作的技术人员，分为信息网络管理、主机管理、信息安全防护等三个专业参加国网公司信息运维普考，提高了公司信息运维人员理论知识水平，加强了实践动手的能力，提高了业务素养和知识储备，大力促进了公司信息系统运行维护整体水平提升，实现了以考促强、以试促精的普考工作目标。

（九）加强员工的信息安全意识教育和安全防范技能培训

人是信息安全中的关键因素，同时人也是信息安全中最薄弱的环节。当网络中的硬件和软件技术处于时代发展主流水平，升级系统已不能明显提升网络信息安全水平时，信息系统的安全往往取决于系统中最薄弱的环节：人。信息安全意识和相关技能的教育是安全管理中重要的内容，其实施力度将直接关系到安全策略被理解的程度和被执行的效果。公司通过召开《江西省电力公司信息安全违章考核办法（试行）》的宣贯会，提高公司全员安全防范意识。组织开展了公司信息安全反违章专项行动，加强全体员工的信息安全防护意识，提高全员辩识违章、纠正违章和防止违章的行为能力，强化信息安全责任，夯实信息安全基础工作，根治信息安全违章行为。采用定期培训的方式逐步提高公司全员的安全相关技术和管理知识，定期培训以脱产、封闭方式进行，时间为短期，培训对象从领导到一般人员。

（十）加强信息安全管理，建立安全长效机制

解决网络信息安全问题，技术是安全的主体，管理是安全的灵魂。加强信息安全管理，建立安全长效机制，成为赣州供电公司企业安全文化的重要组成部分，其必然性由以下因素决定：(1)电网企业文化对社会具有辐射作用；（2）新形势下安全生产要求的重大举措；（3）电网科学技术发展的需要；（4）人本管理是电力企业先进安全文化的核心；（5）实现高效的安全生产管理。公司将有效的安全管理实践自始至终贯彻落实于信息安全当中，网络安全的长期性和稳定性才能有所保证。在公司中建立信息安全文化，并将网络信息安全管理容纳到整个赣州供电公司文化体系中才是最根本的解决办法。