XX電力信息網絡安全防護系統(tǒng)

設計方案

目錄

1.引言..........................................................3

1.1信息安全體系建設的必要性...................錯誤!未定義書簽。

L2解決信息安全問題的總體思緒..................錯誤!未定義書簽。

L3XX電力公司信息網安全防護策略................錯誤!未定義書簽。

1.3.1XX電力公司總體安全策略................錯誤!未定義書簽。

1.3.2XX電力信息安全總體框架................錯誤!未定義書簽。

1.3.3防護策略.................................錯誤!未定義書簽。

1.3.3.1對網絡的防護策略......................錯誤!未定義書簽。

L3.3.2對主機的防護策略......................錯誤!未定義書簽。

1.3.3.3對郵件系統(tǒng)的防護策略.................錯誤!未定義書簽。

1.3.3.4對終端的防護策略.....................錯誤!未定義書簽。

2.設計依據......................................................7

2.1信息安全管理及建設的國際標準ISOH7799............錯誤!未定義書簽。

3XX電力信息網安全現狀..........................................7

3.1管理安全現狀..............................錯誤!未定義書簽。

3.2網絡安全現狀...............................錯誤!未定義書簽。

3.3主機及業(yè)務系統(tǒng)安全現狀.....................錯誤!未定義書簽。

3.4終端安全現狀................................錯誤!未定義書簽。

4.建設目的......................................13

5.安全區(qū)域的劃分方案.........................................13

5.1網絡安全域劃分原則.........................錯誤!未定義書簽。

5.2網絡區(qū)域邊界訪問控制需求...................錯誤!未定義書簽。

5.3邊界網絡隔離和訪問控制.....................錯誤!未定義書簽。

5.3.1區(qū)域邊界的訪問控制.....................錯誤!未定義書簽。

5.3.2敏感區(qū)域邊界的流量審計.................錯誤【未定義書簽.

5.3.3敏感區(qū)域邊界的網絡防入侵及防病毒.......錯誤!未定義書簽。

6.XX電力信息網防火熠部署方案.................................17

6.1省公司防火墻和集成安全網關的部署...........錯誤!未定義書簽。

6.2地市公司防火墻和集成安全網關的部署.........錯誤!未定義書簽。

6.3技術規(guī)定...................................錯誤!未定義書簽。

7.XX電力信息網網絡防病據方案.................................24

7.1XX電力防病毒軟件應用現狀..................錯誤!未定義書簽。

7.2公司防病毒總體需求.........................錯誤!未定義書簽。

7.3功能規(guī)定...................................錯誤!未定義書簽。

7.4XX電力網防病毒系統(tǒng)整體架構和管理模式......錯誤!未定義書簽。

7.4.1采用統(tǒng)一監(jiān)控、分布式部署的原則..........錯誤!未定義書簽。

7.4.2部署全面的防病毒系統(tǒng)....................錯誤!未定義書簽。

7.4.3病毒定義碼、掃描引擎的升級方式..........錯誤!未定義書簽。

7.5網絡防病毒方案.............................錯誤!未定義書簽。

7.6防病毒系統(tǒng)部署.............................錯誤!未定義書簽。

8.入侵檢測/入侵防護（IDS/IPS）方案...............................34

8.1網絡入侵檢測/入侵防護（IDS/IPS）............錯誤!未定義書簽。

8.2網絡入侵檢測/入侵保護技術說明..............錯誤!未定義書簽。

8.2.1入侵檢測和入侵保護（IDS/1PS）產品的功能和特點錯誤!未定義書簽。

8.3入侵檢測/入侵防護（IDS/IPS）在公司系統(tǒng)網絡中的部署錯誤!未定義書簽。

9內網客戶端管埋系統(tǒng)..........................................41

9.1問題分析與解決思緒.........................錯誤!未定義書簽。

9.1.1IP地址管理問題.......................錯誤!未定義書簽。

9.1.2用戶資產信息管理問題..................錯誤!未定義書簽。

9.1.3軟硬件違規(guī)行為監(jiān)控.....................錯誤!未定義書簽。

9.1.4網絡拓撲查看與安全事件定位困難.........錯誤!未定義書簽。

9.1.5缺少完整的用戶授權認證系垸............錯誤!未定義書簽。

9.2系統(tǒng)重要功能模塊...........................錯誤!未定義書簽。

9.3內網管理解決方案...........................錯誤!未定義書簽。

9.4方案實現功能...............................錯誤!未定義書簽。

9.4.1IP地址管理............................錯誤!未定義書簽。

9.4.2客戶端管理..............................錯誤!未定義書簽。

9.4.3系統(tǒng)管理................................錯誤!未定義書簽。

12.安全產品部署總圖和安全產品清單表........................49

L引言

L1信息安全體系建設的必要性

隨著電網的發(fā)展和技術進步，電力信息化工作也有了突￡猛進的發(fā)展，信息網絡規(guī)

模越來越大，各種信息越來越廣泛。然而，隨之而來的信息安全問題也日益突出。電力

工業(yè)作為我國國民經濟的基礎產業(yè)和公用事業(yè)，電力系統(tǒng)的安全運營直接關系到國民經

濟的持速發(fā)展和滿足人民生活的需要，信息安全已成為電力公司在信息時代和知識經濟

新形勢下面臨的新課題，電力信息網絡與信息的安全一旦遭受破壞，導致的影響和損失

將十分巨大。近年以來，在互聯(lián)網上先后出現的紅色代碼、尼姆達、端蟲、沖擊波等病

毒導致了數以萬計的網站癱瘓，對電力信息系統(tǒng)的應用導致了較大不良影響。

公司按照建設“一強三優(yōu)”電網公司的發(fā)展戰(zhàn)略，為實現“安全基礎扎實、管理層

次清楚、內部運作規(guī)范、公司文化鮮明、社會形象誠信”的公司共同愿景，公司的信息

化發(fā)展步伐不斷加快。計算機網絡已初蓋全省各市、縣公司，實現了信息共享和快速傳

遞。省、市公司的用戶數已達一萬多個，各類應用200多個，省公司層面經營管理類數

據達2023G字節(jié)，網絡、信息系統(tǒng)已成為公司生產、經營和管理的重要支撐平臺。公司

的應用規(guī)定網絡與信息系統(tǒng)具有高可靠性、高可用性、高安全性，但類似網絡病毒導致

信息網絡部分癱瘓、內外部襲擊致使應用服務中斷等事件時有發(fā)生，事實上尚有其它一

些未發(fā)現的或未產生后果的威脅，直接影響著省公司系統(tǒng)的信息安全，XX電力系統(tǒng)信息

安全體系建設已迫在眉睫。

1.2解決信息安全問題的總體思緒

當前我國已把信息安全上升到國家戰(zhàn)略決策的高度.國家信息化領導小組第三次會

議擬定我國信息安全的指導思想：“堅持積極防御、綜合防范的方針，在全面提高信息

安全防護能力的同時，重點保障基礎網絡和重要系統(tǒng)的安全。完善信息安全監(jiān)控體系，

建立信息安全的有效機制和應急解決機制?！边@就引出等級保護的概念，必須區(qū)分重要

限度不同的應用系統(tǒng)，并據此將保護措施提成不同的等級，而從國家層面，必須將那些

關系到國家經濟發(fā)展命脈的基礎網絡圈定出來，加以重點保護，這就是“重點保障基礎

網絡和重要系統(tǒng)的安全”思緒。

這一思緒蘊涵了“適度”信息安全的概念?！斑m度”實際體現了建設信息安全的綜

合成本與信息安全風險之間的平衡，而不是要片面追求不切實際的安全。

所謂信息安全，可以理解為對信息四方面屬性的保障，一是保密性，就是可以對抗

對手的被動襲擊，保證信息不泄露給未經授權的人；二是完整性，就是可以對抗對手的

積極襲擊，防止信息被未經授權的篡改：三是可用性，就是保證信息及信息系統(tǒng)的確為

授權使用者所用；四是可控性，就是對信息及信息系統(tǒng)實行安全監(jiān)控。

按照ISOI7799信息安全標準、國家計算機網絡安全規(guī)定及國網公司相關規(guī)定，信息

安全體系的建設應涉及兩個方面的內容：安全技術防護體系、安全管理體系。技術防護

體系涉及網絡和應用系統(tǒng)的安全防護基礎設施和相關的監(jiān)視、檢測手段；安全管理體系

重要涉及組織、評估、方法、改善等管理手段。信息安全體系建設的方法是：在全面的

安全風險評估的基礎上，對信息資產進行安全分類定級，針對信息系統(tǒng)存在的安全隱患

和威脅，提出信息系統(tǒng)安全整體規(guī)劃，分步實行，循環(huán)改善。

結合當前我司信息系統(tǒng)的安全現狀和急待解決的問題，我們提出我司的信息安全體

系建設的總體思緒：針對公司信息化應用的需求，建立電力信息系統(tǒng)安全保障的總體框

架，擬定電力信息系統(tǒng)安全策略，以有導電力信息系統(tǒng)安全技術體系與管理系統(tǒng)的建

設。在逐步引入先進實用的信息安全技術和手段的基礎上，開展信息系統(tǒng)安全評估活動,

建立完善的安全技術體系。同時，逐步建立健全公司信息安全組織機構，逐步貫徹各項

信息安全管理制度，廣泛開展信息安全教育，提高系統(tǒng)全員信息安全意識，構造規(guī)范化

的安全管理體制和機制，以期建立完善的信息安全管理體系，并培養(yǎng)一支技術較強的人

才隊伍.

按照統(tǒng)一規(guī)劃、分步實行的原則，本方案為XX電力公司信息網絡的安全防范基礎設

施的初步設計。

1.3XX電力公司信息網安全防護策咯

1.3.1XX電力公司總體安全策略

公司的信息安全策略是公司信息安全工作的依據，是公司所有安全行為的準則。信

息安全是圍繞安全策略的具體需求有序地組織在一起，構架一個動態(tài)的安全防范體系。

1、XX電力的總體安全策略如下：

2、建立信息安全組織機構、健全各種規(guī)章制度，注重管理。

3、信息安全風險防范側市公司內部，特別是核心設備、核心網段的安

全防范。

4、統(tǒng)一規(guī)劃、部署、實行公司互聯(lián)網對外的接口及安全防范。

合理劃分網絡邊界，做好邊界的安全防護；合理劃分安全域，實現不同等級安全

域之間的隔離。

5、制定完善的備份策略，保障系統(tǒng)及數據的安全。

6、充足運用現有的安全設施，發(fā)揮其安全功能。

建立完善的監(jiān)控平臺和快速的響應體系，及時的發(fā)現和解決出現的問題。

采用數據安全技術保障實行，保證數據安全。

1.3.2XX電力信息安全總體框架

1.3.3防護策略

1.3.3.1對網絡的防護策略

涉及積極防護和被動防護兩方面，積極防護即采用入侵檢測工具，自動對網絡上進

出的數據包進行檢測，分辯出非法訪問并阻斷報警。被動防護即采用防火墻設備，置于

網絡出口處，并事先設定一定的規(guī)則，規(guī)定符合哪些條件的數據可以進出，其它的則一

律阻斷不讓其通過。從而積極防護與被動防護結合，達成對網絡的防護，也以此形成對

小型機、服務器、PC機等各類資源的基礎性防護。

1.3.3.2對主機的防護策略

主機上運營的是公司系統(tǒng)核心業(yè)務，存儲的是各類重要數據，一旦此類機器出現問

題，將會給公司系統(tǒng)平常業(yè)務的正常開展導致沖擊和損失，所以必須對其采用進一步

的、更加嚴格的防護措施，具體在實踐中，就要對主機進行漏洞掃描和加固解決，即不

定期用掃描工具對關鍵主機進行掃描，及時發(fā)現涉及操作系統(tǒng)、數據庫系統(tǒng)、應用系統(tǒng)

在內的各類漏洞缺陷，通過安裝補丁程序予以填補，同時安裝防篡改、注冊表鎖定等加

固軟件和身份認證系統(tǒng)，從而使主機積極拒絕非法訪問，自身具有較強的安全防護能力，

抗御各類襲擊行為。

1.3.3.3對郵件系統(tǒng)的防護策略

通過數年的建設和推廣應用，省電力公司已把基于LotusNotes的辦公自動化系統(tǒng)

全面推廣到省、市、縣各級供電公司，實現了公文在網上辦理和傳遞。公司系統(tǒng)的員工

都開設了個人郵箱。所有公文流轉信息都會發(fā)送到員工的個人郵箱。同時這些郵箱又都

具有發(fā)送和接受外網郵件的能力。近年來，由于病毒的泛濫和快速傳播，省公司的郵件

系統(tǒng)天天不可避免地收到大量的垃圾郵件和攜帶病毒的郵件，郵件中的病毒又在局域網

上快速傳播，嚴重地威脅網絡和信息安全。為保障網絡和信息系統(tǒng)安全運營，需要部署

專用的反垃圾郵件系統(tǒng)和病毒過濾系統(tǒng)保護省公司郵件系統(tǒng)的安全運營。

1.3.3.4對終端的防護策略

1、終端的安全防護是網絡與信息安全防護的市要內容，其重要防護措

施是：

2、安裝防病毒軟件并及時更新。

3、加強管理，杜絕與業(yè)務無關軟件的安裝使用，控制使用軟盤、光盤

驅動器。

終端行為管理：網絡安全問題在很多情況下都是由“內部人士”而中:外來黑客

所引起，在公司系統(tǒng)普遍存在著如卜的問題：缺少完整的內部安全防護體系：網絡

安全管理的基礎工作較薄弱，各類網絡基礎信息采集不全；存在?機多網和?機多用的

也許性：外圍設備的接入控制困難；難以監(jiān)控用戶對計算機的使用情況。因此迫切地需

要一種高效完整的網絡管理機制來監(jiān)測、控制整個內網的資源和服務，使整個網絡運營

穩(wěn)定可靠，從而保證整個內網的可信任和可控制。

軟件更新服務系統(tǒng)（SUS）:目前大部分病

毒，像尼姆達（一種運用系統(tǒng)漏洞的蠕

蟲病毒）是運用微軟的系統(tǒng)漏洞走行傳播的，而微軟對大部分的漏洞及時提供了相

應的補］.程序，但由于用戶未及時打補J.更新系統(tǒng)而導致數以萬計的Windows系統(tǒng)受到

襲擊。因此需要?套軟件更新服務系統(tǒng)（SUS）來為主機提供補定程序，并及時自動更新

系統(tǒng)。

2.設計依據

2.1信息安全管理及建設的國際標掂1S0T7799

ISO17799管理體系將IT策略和公司發(fā)展方向統(tǒng)一起來，保證IT資源用得其所，

使與IT相關的風險受到適當的控制。該標準通過保證信息的機密性，完整性和可用性來

管理和保護組織的所有信息資產，通過方針、慣例、程序、組織結構和軟件功能來擬定

控制方式并實行控制，組織按照這套標準管理信息安全風險，可連續(xù)提高管理的有效性

和不斷提高自身的信息安全管理水平，減少信息安全對連續(xù)發(fā)展導致的風險，最終保障

組織的特定安全目的得以實現，進而運用信息技術為組織發(fā)明新的戰(zhàn)略競爭機遇。

3.XX電力信息網安全現狀

3.1管理安全現狀

■參考相關信息安全相關標準中的安全管理策略規(guī)定，根據XX電力內網信息

系統(tǒng)安全運維的需求，對XX電力內網信息系統(tǒng)安全組織、人員管理、安全管

理、運維管理、監(jiān)測管理、備份管理、應急管理、文檔管理方面進行了調查分析,

對XX電力內網信息系統(tǒng)安全管理現狀描述如下：

■安全組織方面：已有信息安全管理組織，有專職信息安全人員。信息安全

專職人員負責組織內部與各相關單位的信息安全協(xié)調溝通工作。

■人員管理方面：XX電力內網信息系統(tǒng)已有明確的崗位責任制，技術人員在

信息系統(tǒng)建設和平常維護過程中認真履行職責。已有執(zhí)行外來人員管理策略，外

來公司人員進入機房實行操作時，有XX電力內網信息系統(tǒng)工作人員全程陪同。

■安全管理方面：有明確的安全管理規(guī)定與措施。沒有及時安裝相應系統(tǒng)補

T,嚴禁安裝與工作無關的軟件；缺少完備信息安全事件報告制度。

■運維管理方面：有具體明確的系統(tǒng)運營規(guī)定，平常故障維護，對故障現

象、發(fā)現時間、檢查內容、解決方法、解決人員、恢復時間等進行具體記錄。

■監(jiān)測管理方面：有明確的監(jiān)測目的，在網絡檢測方面，運用入侵檢測來實

時監(jiān)測，但沒有定期查看相關記錄和維護，并做出響應；在防病毒方面，運用防

病毒系統(tǒng)來實時對病毒進行檢測和防護。

應急管理方面：有明確的應急管理策略，實行工作重要有運維人員及服務提供商承

擔。

密碼管理方面：有明確的密碼管理實行辦法，但缺少定期修改密碼及密碼保存辦法。

備份管理方面：有明確的備份管理策略，也制定了相關的備份辦法。

文檔管理方面：有明確的技術文檔管理制度，但技術文檔資料缺少登記、分類、由專人

保管，同時也缺少技術文檔資料的使用、外借或銷毀的審批登記手續(xù)。

3.2網絡安全現狀

XX電力的網絡拓撲現在如卜圖所示:

A5反伐中有順?屈%司耐ei以一可的幅一度

當前網絡骨干區(qū)域，基本形成以臺H3CS7506為核心，多臺H3CS7503為匯聚接

入的架構。但核心互換機H3CS7506同時兼具遠程接入區(qū)多條專線接入設備的任務，中

間沒有匯聚設備，網絡邏輯層次結構較為模糊。不利于網絡的擴展建設，更不利于安全

域邊界的整合，無法實行集中統(tǒng)一的安全防護策略。

除互聯(lián)網接入區(qū)外，當前網絡各區(qū)域均為單鏈路、單設備。網絡單點故障隱患很

大。任意節(jié)點設備、鏈路的故障，或因維護的需要停機重啟，均會導致相應區(qū)域網絡的

通訊中斷，導致重要影響。

當前網絡中，在服務器區(qū)部分、管理支撐區(qū)、遠程接入區(qū)，玉溪煙廠生產網辦公網

部分均存在區(qū)域劃分不清楚，邊界模糊的情況。安全域劃分不清楚，區(qū)域邊界未整合，

不利于平常的安全管理，無法實行集中統(tǒng)一的安全區(qū)域防護策略。

服務器區(qū)域H3C設備b'WSM防火增處在策略全通狀態(tài)，無法起到應有的訪問控制功

效，讓所有服務器直接暴露在辦公網中。部分遠程接入區(qū)域鏈路、IT運營中心等，同樣

存在缺少防火墻等設備，無法實行基本的網絡訪問控制，無法有效防護重要資產設備。

當前網絡中缺少必要的入侵檢測/防御手段，特別在核心互換機、內網服務器區(qū)、

DMZ服務器區(qū)。無法實行網絡流量的實時監(jiān)控分析，進行惡意行為的告警響應，無法及時

發(fā)現并解決安全事件。

全網缺少一套集中的安全運營管理中心，無法集中監(jiān)控各網絡設備'安全設備、主機及

業(yè)務的安全運營情況，收集日記信息，集中存儲、關聯(lián)分析和展現。同時，無法及時掌

握全網的安全態(tài)勢，及時做出分析判斷，影響安全事件的響應解決效率。

內網服務器區(qū)、DMZ服務器區(qū)缺少業(yè)務審計設備，無法記錄關犍的業(yè)務、維護操作行為。

出現安全事件時，無法通過審計設備進行操作行為的跟蹤分析，及時查找因素。當前網

絡設備安全相關策略大多采用默認配置，自身存在較多安全隱患，在一些惡意的人為因

數下，也許導致網絡設備運營不正常，甚至網絡局部區(qū)域通訊中斷。

3.3主機及業(yè)務系統(tǒng)安全現狀

當前系統(tǒng)中的主機及應用系統(tǒng)欠缺較多的補丁，存在較多的高風險漏洞。襲擊者可

以通過一些簡易工具或技術手段，入侵主機，提高權限，進行后續(xù)的破壞活動。

XX電力部分業(yè)務系統(tǒng)主機和數據庫帳號存在弱口令現象，涉及用戶名和口令?致、

空口令、通用默認口令、極易猜測的簡樸數字等。弱U令可以使惡意用戶直接或者通過

他樸掃描工具，即可獲取用戶帳號和密碼，可以直接訪問系統(tǒng)，甚至獲取系統(tǒng)管理員帳

號和密碼，完全控制該系統(tǒng)。假如系統(tǒng)被襲擊，對XX電力業(yè)務的正常運營導致很大的影

響。

帳號口令管理方面，當前所有UNIX類主機采用默認配置，沒有啟用帳號相關安全屬

性控制，沒有對口令的復雜度、有效期、更新密碼周期等進行統(tǒng)一約束。帳號口令安全

策略設立不嚴格，用戶口令容易遭到精測或字典襲擊成功，進而使系統(tǒng)容易被非法操

縱。

用戶登錄管理方面，當前所有UNH類主機采用默認配置，未啟用root直接登陸控

制、終端登陸控制、登陸會話時間限制、SU權限控制等登錄安全管理策略。用戶登陸安

全策略設立不嚴格，容易導致惡意用戶越權濫用，非法操作，root特權使用缺少監(jiān)控審

計，給系統(tǒng)導致影響破壞。

當前絕大部分主機采用默認配置，開放有SNMP服務，并且沒有修改缺省的SNMP共

同體字符串。而已襲擊者通過SNMP可以獲取遠程操作系統(tǒng)的類型和版木、進程信息、網

絡接口信息等敏感信息。這也許使襲擊者可以準確了解遠程主機的系統(tǒng)信息，更有針對

性的發(fā)起襲擊。

當前大部分主機，涉及部分對公網提供服務的主機的OpenSSH版本較老，暴露有較

多緩沖區(qū)溢出漏洞。惡意襲擊者通過上述漏洞，可以發(fā)起拒絕服務襲擊或執(zhí)行任意代碼，

控制主機，給業(yè)務系統(tǒng)導致嚴重影響。

當前多數主機系統(tǒng)中開放有危險的R系列服務，建立有較多主機間的信任關系。用

戶可使用rlogin直接登錄而不需密碼，還可使用rep、remd等命令，方便用戶操作。R

系列服務有一定的安全性風險，在當前環(huán)境中，容易被仿冒，無需口令即可直接訪問授

信主機，導致系統(tǒng)越權訪問。

當前絕大多數主機采用默認配置，開放有危險且不必須的TCPSmallService和UDP

Smal1Service,,涉及echo、diacard、chargen、talk等。每?種網絡服務都是,?個潛

在的安全漏洞，也就是一個襲擊者也許會進入的地方。開放TCP/UDP小服務也許拒絕限

務襲擊、系統(tǒng)入侵等危害。

當前絕大多數主機采用默認配置,開放有危險的RPC服務,涉及rstatd、rusersd.

rwalld等。RPC系列服務也許導致系統(tǒng)信息泄露，為惡意襲擊者的進一步行動提供有用

信息。

當前大多數主機開放有Sendmail服務,Sendmail服務自身存在較多風險漏洞。非郵

件服務器無需運營Scndmail服務。惡意襲擊者運用Scndmail服務漏洞容易獲取系統(tǒng)權

限，或用來發(fā)送垃圾郵件。

前部分提供Web訪問的系統(tǒng)（涉及外網網站等）采用的Apache服務器版本較低，存

在多處緩沖區(qū)溢出漏洞。惡意襲擊者可以運用這個漏洞進行緩沖區(qū)溢出襲擊，也許以

Apache進程權限在系統(tǒng)上執(zhí)行任意指令或進行拒絕服務襲擊。

當前大部分主機和應用系統(tǒng)采用默認的SyslogH記配置。未配置集中的外部日記服

務器系統(tǒng)，進行統(tǒng)一的收集、存儲和分析。不能及時有效地發(fā)現業(yè)務中的問題以及安全

事件，不利于安全事件的跟蹤分析。

滲透測試檢查發(fā)現，XX電力外網網站存在兩處高風險的SQL注入漏洞。運用SQL注入點

1,可進行數據庫信息猜測、數據表猜測、表空間猜測，進而獲取整個數據庫的信息，任

意查看和修改。運用注入點2可以獲得任意注冊會員的帳號和密碼信息，以及會員的郵

件地址、身份證、真實名字等敏感信息。同時還檢查出，外網網站存在可上傳任意文

獻、跨站腳本襲擊兩處高、中風險漏洞。外網網站作為XX電力的對外門戶網站系統(tǒng)，是

對外宣傳、信息發(fā)布的重要途徑，日均訪問量很大。惡意入侵者運用上述漏洞，極易導

致網站系統(tǒng)重要數據信息泄密，網站頁面破壞、算改、掛馬等危害，嚴重影響用戶的正

常訪問，導致用戶感染病毒木馬。

滲透測試檢查發(fā)現，內網網站存在兩處高風險漏洞，可以獲取所有用戶的口令和其它敏

感信息。同時還存在暴露系統(tǒng)絕對途徑、可以查看任意短消息列表內容。內網網站是公

司內部信息發(fā)布的市要途徑，采用郵件系統(tǒng)的帳號口令進行認證，通過上述漏洞，惡意

襲擊者可以獲取所有用戶帳號的口令，登錄內網網站、登錄郵件系統(tǒng)，導致信息泄密、

篡改、破壞等危害。

3.4終端安全現狀

目前XX電力安全方針策略不夠清楚明確。由于安全目的方針不明確，導致全員不能

清楚領悟安全的重要性，安全思想不能得到有效貫徹貫徹。各部門執(zhí)行安全的方向不統(tǒng)

-o安全方針不統(tǒng)一，會經常出現安全行動不統(tǒng)一，安全意識不明確的現象。

XX電力沒有建立完善的安全管理策略制度。制度不完善導致執(zhí)行安全工作時不能遵

循統(tǒng)一的策略，導致因誤操作或因不規(guī)范導致的問題發(fā)生。也許會出現由于制度流程不

完善導致的信息泄密、網絡系統(tǒng)癱瘓等管理制度不全面，未能覆蓋涉及第三方人員管

理、桌面系統(tǒng)管理.、系統(tǒng)開發(fā)等方面，導致相關操作無規(guī)范。

當前XX電力成立了信息安全工作領導小組，但小組成員基本以各級領導為主，專業(yè)

安全人員只有一人，不能滿足平常安全管理工作需要。并且系統(tǒng)維護人員同時負賁此系

統(tǒng)的安全運營，目前的編制已經很難滿足平常安全管理的需要，因此信息安全的具體執(zhí)

行工作難以得到有效的開展。

安全崗位職責未設立AB角色，一人負責，一旦發(fā)生人員調離或其它意外導致系統(tǒng)全

面癱瘓。沒有建立完善信息安全考核體系，導致員工不能嚴格執(zhí)行各項信息安全規(guī)章制

度。各級員工普遍信息安全意識不強，導致員工對信息安全的內容、管理目的等沒有明

確的結識與理解，不能在平常工作中積極地貫徹各項信息安全制度、規(guī)范及標準。

XX電力尚未實行針對非專業(yè)安全人員的安全培訓計劃安全培訓跟不上導致專業(yè)人員

和普通員工安全技術缺少，安全意識薄弱。

當前情況下，備份介質大多存放在機房內或辦公區(qū)域中。同時沒有釬對可移動介質

的管理制度。沒有介質銷毀制度。重要軟件或其它資產（如密碼本）存放在機房內，也

許會導致容易使內部較易獲取或破壞費產?重要資產存放在辦公區(qū)域內，很容易被外來

人員進行故意或無意的襲擊。

目前按部門的劃分來保護資產，將資產進行r-些簡樸分類。軟件資產無具體登記,

也未將資產劃分安全等級。不能對重點資產進行重點保護。

尚未制定相應的訪問權限與控制的流程與職責，總部和各分廠在解決第三方訪問權

限時沒有統(tǒng)?的標準與規(guī)范；對第三方的監(jiān)控缺少標準與技術手段，各單位基本沒有在

第三方訪問時實行有效的監(jiān)控；在第三方合作完畢后，不能及時的注銷訪問權限、修改

口令，存在第三方繼續(xù)訪問獲得機密信息或者進行非法操作的風險。

當前XX電力缺少系統(tǒng)規(guī)范的應急響應預案。缺少相應的制度流程，導致系統(tǒng)遭受篡

改或無法使用時，對公司的管理運營具有輕微影響。

缺少系規(guī)范的桌面系統(tǒng)安全管理規(guī)范，終端

人員操作水平不一致，安全意識局限性也許會導

致桌面系統(tǒng)的病毒蠕蟲事件，以至于網絡癱患；

移動硬盤的無規(guī)范使用，不僅會導致病毒泛濫,

并且容易將信息泄露或數據破壞及丟失。

建設過程中沒有問步考慮系統(tǒng)功能和安全性。立項管理小段：項目前期過程中對安

全的考慮不夠完整，重要涉及信息安全目的定義不明確，初步安全控制方案存在控制局

限性的情況，項目預算調減時導致安全控制被消減：實行管理階段：缺少統(tǒng)一的安全需

求分析方法、基本保護規(guī)定以及安全驗收測試，導致在建系統(tǒng)的安全控制方案不能有效

地實現安全目的，開發(fā)過程中對開發(fā)人員控制不夠，使得項目過程文檔和內部敏感信息

外流：驗收管理階段：缺少系統(tǒng)運維計劃，涉及備份恢復計劃、應急預案，有的系統(tǒng)是

上線運營后。

4.建設目的

?本期信息網安全建設達成以下目的：

?通過防火墻和入侵檢測/防護系統(tǒng)的部署，構建網絡邊界防護，將內部網絡

與其他網絡進行隔離，避免與外部網絡的直接通訊，保證網絡結構信息不外泄；

?對各條鏈路上的服務請求做必要的限制，使非法訪問不能到達主機；

?通過防病毒系統(tǒng)的部署，建立完整的系統(tǒng)防病毒體系，防止病毒的侵害：

?通過客戶端管理系統(tǒng)的部署，建立客戶端資源、行為的必要控制，以及補

丁及時分發(fā)，減少內網用戶的不安全因素：

通過省公司本部安全監(jiān)管平臺的部署，初步實現安全事件集中監(jiān)視和分析，為下?步建設全

省信息安全體系打下基礎。

5.安全區(qū)域的劃分方案

5.1網絡安全域劃分原則

1、安全域是指網絡系統(tǒng)內包含相同的安全規(guī)定，達成相同的安全防護

等級的區(qū)域。網絡安全域設計遵循以下原則：

2、內部網絡結構層次分明，便于網絡隔離和安全規(guī)劃。

3、網絡結構具有高可靠性和高可用性。

4、不同的網段在互換機上劃分不同虛擬局域網(VLAN),不同虛擬局

域網(VLAN)之間的路由設立訪問控制表(ACL).

5、地址規(guī)劃應便于路由匯總以方便路由管理、提高路由廣播效率以及

簡化ACL配置。

邊界和內部的動態(tài)路由協(xié)議應盡量啟用認證，用來防止路由欺騙，否則高明的黑

6、客可以通過發(fā)送惡意的路由更新廣播包，使得路由器更新路由表,

導致網絡癱瘓和路由旁路。

7、所有對網絡設備的維護管理啟用更可靠的認證。

8、互換機的第三層模塊（L3模塊）或防火墻配置訪問控制表（ACL）.

路由器設立反地址欺騙檢查。對于路由器，外出（Outbound）接受包的源地址只

也許是外部地址，不也許是內部地址，同樣進入（Inbound）接受包的源地址只也許

是內部地址，不也許是外部地址，這樣能防止黑客運用策略允許的內部或外部地址進入

網絡。

啟用路由反向解析驗證，這在某種限度上犧牲/?定的網絡性能，但能有效阻止

9、隨機源地址類型的襲擊，如同步襲擊等（SyncFlood）。

10,路山器過濾所有來自外部網絡的源地址為保存地址的數據包。

所有提供簡樸網絡管理協(xié)議（SNMP）服務的設備（路由器、互換機、計算機設備

等）的共用組名（CommunityName）不能使用缺省，要足夠夏雜，并且統(tǒng)一管理。

I、全省按如下網絡安全域進行劃分：

2、整個省公司劃分為四個大的安全域：內部辦公區(qū)，DMZ（對外業(yè)務

區(qū)），電力信

3、息網區(qū)（對內業(yè)務區(qū)），若干外聯(lián)網區(qū)域（Internet,笫三方接入

等）；

各安全域之間通過防火墻進行隔離，在防火墻上按照網絡應用的需求進行訪問策

略的設立；

外網服務器區(qū)（DMZ）的網站、郵件、應用（Web,Mail,Application）服務器

4、通過網絡地址轉換（MAT）等，對Internet提供服務；

電力信息網區(qū)的服務器通過防火堵與內部辦公區(qū)，DMZ區(qū)進行通信，對內提供系

統(tǒng)應用；

內部辦公區(qū)視需求進行虛擬局域網(VLAN)的進一步劃分，由互換機的第三層模塊

(L3模塊)進行虛擬局域網(VLAN)劃分和訪問控制表(ACL)控制或通過防火墻模塊進

行各虛擬局域網(VLAN)之間的安全控制。

5.2網絡區(qū)域邊界訪問控制需求

根據目前公司系統(tǒng)的實際網絡狀況，在公司系統(tǒng)網絡環(huán)境中，區(qū)域邊界重要有以下

幾個：互聯(lián)網與電力信息網的連接邊界，電力信息網內各本地局域網與廣域網的連接邊

界，電力信息網與華東電網的連接邊界，電力信息網與國家電網的連接邊界，各地市公

司與縣公司的連接邊界，各地市公司與銀行的連接邊界。

二［二］銀行二一二二二

<二他力回結與外部網絡地界劃分

---.............J電力l?J絡內部N絡功界劃分

根據網絡安全建設的原則，安全等級低的系統(tǒng)應當與安全級別高的系統(tǒng)進行有效隔

離，避免將兩者混雜，從而直接減少了高安全級別系統(tǒng)的安全性。

安全僅僅依靠操作系統(tǒng)和數據庫管理系統(tǒng)權限控制功能。這是遠遠不夠的，任何一

個位于該網絡中的客戶終端，都也許是一個潛在的對關鍵服務器的威脅點。

因此，一方面必須將所有這些服務器按重要等級和國家經貿委劃定的“安全區(qū)域”

進行分級，另一方面在科學合理分級的基礎上，采用有效的網絡隔離措施，隔離這些不

同安全等級的服務器，并進行有效的訪問控制。

網絡隔離的目的最重要的就是要完畢網絡層訪問控制的功能。經常存在的網絡濫用

現象自身就是由于缺少有效的訪問控制手段所導致的。從安全的角度來說，應當遵循

“最小授權”原則：一個實體應當并且只應當被賦予它完畢正常功能所需的最小權限。

而在我們的實際網絡運營中，往往忽略了這一原則，任何一個在網絡上活動的普通用戶,

經常會擁有過多的訪問權限。一個用戶本來僅僅只需要訪問服務器的WEB服務，但是由

于缺少有效的網絡層隔離與訪問控制機制，這個用戶其實擁有對該服務器一切網絡服務

訪問的權限。這種違反“最小授權”的情況事實上經常被人忽略，從而導致了在特定的

情況下安全事件的產生，導致了嚴重的后果。

常見的網絡層訪問控制重要是基于IP和端口來進行。對公司系統(tǒng)來說僅僅基于這樣

的網絡層訪問控制是不夠的。由于往往客戶端的IP地址是采用動態(tài)分派，很難將某個TP

地址與特定用戶綁定起來。因此需要通過MAC地址對用戶網絡層的訪問進行控制。

訪問控制在多個網絡協(xié)議層面都是一個必要的安全機制。對重要應用系統(tǒng)來說，其

訪問控制規(guī)定更為細致，但網絡層的訪問控制是基礎，假如在網絡通訊層面以及操作系

統(tǒng)層面都不能保證嚴格有力的訪問控制，應用層面的控制是沒故意義的。所以，一方面

必須實行全面的區(qū)域邊界網絡隔離與訪問控制技術。

5.3邊界網絡隔離和訪問控制

為了有效保證同一網絡區(qū)域內實行相同的安全策略，避免違反安全策略的跨區(qū)域訪

問（如嚴格嚴禁從Internet對XX電力專網的直接訪問），方案采用如下措施進行區(qū)域

邊界防護。

5.3.1區(qū)域邊界的訪問控制

防火墻技術是目前最成熟，應用最普遍的區(qū)域邊界訪問控制技術。它通過設立在不

同網絡區(qū)域（加可信任的公司內部網和不可信的公共網）或網絡安全域之間來實行安全

策略。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據安全政策控制（允

許、拒絕、監(jiān)測）出入網絡的信息流，且自身具有較強的抗襲擊能力。它咫提供信息安

全服務，實現網絡和信息安全的基礎設施。

區(qū)域邊界的防火墻控制技術在上述所有邊界均加以實行。

5.3.2敏感區(qū)域邊界的流量審計

此處的敏感區(qū)域邊界，重要指安全性相對較高和安全性相對較低網絡之間的連接區(qū)

域邊界，具體到省公司信息系統(tǒng)而言即為Internet與信息網系統(tǒng)的連接邊界，信息網系

統(tǒng)與國網公司、華東電網、縣公司及銀行的網絡連接邊界。對于這些邊界的控制，僅僅

使用防火墻策略是不夠的。由于敏感區(qū)域邊界間安全性差別較大，極易出現安全問題，

所以應對跨區(qū)域的流量進行完全審計，便于日后的審查需要。

5.3.3敏感區(qū)域邊界的網絡防入侵及防病毒

除了在敏感區(qū)域邊界間實行流量審計這種被動審計技術外，還應建立積極入侵防御

機制，動態(tài)響應跨區(qū)域的入侵，這種動態(tài)響應技術即為入侵檢測和病毒防護技術。由于，

從安全角度來說，當前新興的病毒威脅已具有相關黑客入侵特性，兩者的結合防護不可

或缺。

上述三種技術在進行區(qū)域邊界防護時可互為補充，相輔相成。從工程角度來說，最

佳能將三種技術集成在一個產品里，以提供安全功能的集合，一方面便于實行，另一方

面便于后期維護和管理.

6.XX電力信息網防火墻部署方案

在Internet與互聯(lián)網內容發(fā)布平臺之間和互聯(lián)網內容發(fā)布平臺與電力信息網之間部

署具有防火墻、安全審計、入侵防護和病毒防護等綜合功能的安全產品。

雖然，公司系統(tǒng)已經部署了部分的思科PIX防火墻，但是思科PIX防火墻采用的是

防火墻防護技術最初級的一種。思科P1X通過包過濾技術實現對用戶網絡的防護，這種

技術無法應對目前日益猖獗的混合式威脅，也無法提供病毒防護功能。

近一兩年，基于對邊界安全需求的全面考慮，許多安全廠商推出了新型的多功能網

關，新型多功能網關就是在防火墻的基礎上提供網關需要的其他安全功能，例如最常見

的是在防火墻上憎長虛擬專用網（VPN）功能。尚有在防火墻上增長防病毒功能。也有更

為先進的是在防火墻上同時集成了虛擬專用網（VPN）、防病毒、入侵檢測、內容過濾等

全面安全功能。新型多功能網關是網美安全發(fā)展的趨勢，只有新型多功能網關才干真正

讓網關位置成為安全防護體系的重要有力的組成部分。

在公司網絡系統(tǒng)的網絡區(qū)域出口處安裝此類多功能集成網關安全產品，為用戶構建

堅固的網絡防線。此類防火墻不僅可以防止黑客入侵，并且提供入侵檢測/防護功能，并

且可以和防火墻自帶防病毒系統(tǒng)緊密結合在一起，提供網關級的防病毒保護。

考慮到全省信息網移到綜合業(yè)務數據網上，我們在各地市公司與省公司連接的網關

處均采用千兆防火墻，各地市公司到縣公司、銀行等采用百兆防火墻。

通過防火墻可對不同安全區(qū)域之間的網絡連接活動進行嚴格的訪問控制，并且不僅

僅如此，通過防火墻可對往來這些網絡之間的襲擊入侵和病毒傳播進行有效的檢測和阻

斷，從而將高安全區(qū)域有效的隔離保護起來，從網絡層到應用層進行立體化的區(qū)域邊界

防御，通過實行該一體化的集成安全網關，使省公司和各地市公司內部網絡的安全等級

得到有效提高和保證。

6.1省公司防火墻和集成安全網關的部署

L省公司防火墻和集成安全網關部署示意圖（老大樓）

?部署說明：

?用于Internet出口訪問控制，已采用PIX防火墻，由于PIX采用的是ASA算

法狀態(tài)檢測技術，通過包過濾技術實現對用戶網絡的防護，這種技術無法應對目

前日益猖獗的混合式威脅，也無法提供病毒防護功能。因此在此方案中我們建議

采用帶有防病毒、內容過濾、入侵檢測、安全審計為一體的多功能集成安全網

關。通過在集成安全網關上啟用相應的安全策略，控制內部用戶的對外訪問，并

啟動防病毒功能以保證內部用戶的對外訪問不受病毒侵害。此外，通過啟用反垃

圾郵件技術，保護內部的郵件服務器免受垃圾郵件的襲擊，并根據網絡的具體應

用在集成安全網關上啟用入侵檢測和入侵防護襲擊(IDS/IPS)功能，保護互聯(lián)

網網關處系統(tǒng)免受來自系統(tǒng)內外的襲擊。

?遠程訪問虛擬通道(VPN)防火墻，其已采用PIX防火墻，在方案中在PIX

VPN防火墻之后增長集成安全網關，用于移動用戶對內網訪問的數據解密后進行病

毒防護、內容過濾等。

在合肥地區(qū)單位和省公司網絡連接邊界處、國網公司、華東公司與省公司網絡連

俄邊界處和電力三級網叮省公司網絡連接邊界處分別部署帶有防病毒、內容過濾、入

員檢測、安全審計為一體的多功能弟成安全網關。并通過在集成安全網關上啟用相應

的安全策略，控制用戶的對外訪問，并啟動防病毒功能以保證用戶的對外訪問不受病

毒侵害。

在省公司兩臺CISCO6506上分別增長1塊FWSM防火墻模塊，用于各VLAN之間的安

全訪問控制。并通過此部署，可以嚴格控制用戶對服務器區(qū)的訪問控制。

省公司防火墻和集成安全網關部署示意圖（老大樓嚴■務察

Web收務給

2.省公司防火墻和集成安全網關部署示意圖（新大樓）

部署說明：

1.在省公司與“INTERNET、華東公司、國網公司、各地市公司信息三級網”相連

的網絡邊界采用兩層異構防火墻系統(tǒng)，外層防火墻為已經部署的專業(yè)安全設備，用

于阻擋來自互聯(lián)網、國網公司、華東公司等網絡襲擊和設立訪問控制策略。內層防火墻

系統(tǒng)采用集成安全網關。其中互連網安全網關采用雙機熱備工作方式，即高可用性HA方

式，任何一臺設備出現問題，備機均可以迅速替換工作，網絡仍能正常運轉。在內層集

成安全網關上啟用相應的安全策略，控制內部用戶的對外訪問，并啟動防病毒功能以保

證內部用戶的對外訪問不受病毒侵害。此外，啟用反垃圾郵件技術，保護內部的郵件服

務器免受垃圾郵件的襲擊，并根據網絡的具體應用在集成安全網關上啟用入侵檢測和入

侵防護襲擊(IDS/IPS)功能，保護互聯(lián)網網關處系統(tǒng)免受來自系統(tǒng)內外的襲擊。

2.遠程訪問虛擬通道(YPN)防火墻，其已采用PIX防火墻，在方案中通過在將PIX

VPN防火墻之后增長集成安全網關，用于移動用戶對內網訪問解密后的數據進行防病

毒、內容過濾等。

3.通過在信息三級網路由系統(tǒng)前增長集成安全網關過濾掉病毒等混合式威脅進入到

信息三級網，從而保護各地市公司的網絡安全。

4.通過在合肥城域網之前部署集成安全網關過濾掉合肥地區(qū)單位病毒等混合式威脅

進入省公司內網。

5、在省公司兩臺嵌務器區(qū)三層互換機上分別增長1塊EWSM防火墻模塊，用于對?服務

器的安全訪問控制。

供81務?省公司防火墻模塊和集

成安全網關部署圖

集成安全網關

新大樓獨老大樓也

心女央機心支換機

2XQXCQXDD

?▲tnd人

*青基含肉/?機

?4?盒裝入

DNS,也11＜厚聚務器群合肥城域網

萬兆以太網

千兆以太網

----------百兆以太網

防大總

Internet華東網絡卜：國網網絡JLtA

地市客戶端路由CR

注：結合省公司老大樓和新大樓的部署情況，建議總共增長6臺集成安全網關（其

中5臺千兆集成安全網關，1臺百兆集成安全網關）：2塊思科FWSM防火墻模塊。

6.2地市公司防火墻和集成安全網關的部署

對公司系統(tǒng)各地市公司來說，其中一大威脅就是縣公司的防御比較脆弱，一旦某縣

公司局部網絡出現安全事件如螭蟲病毒蔓延等，勢必將導致該威脅在整個大網中進行座

延和傳播，通過將縣公司的廣域網連接路由器與地市公司連接省公司的路由器隔離開來，

將各縣公司納入到地市公司的安全管理范圍內，保證各縣公司網絡不對信息三線網構成

威脅。

部署說明：

1.在地市公司與縣公司相連的路由器前增長集成安全網關，防止縣公司網絡安全威

脅到信息網，并通過在集成安全網關上啟用相應的安全策略，控制縣公司用戶的對信息

網的訪問，并啟動防病毒功能以防止縣公司的病毒侵害到信息網。此外，在集成安全網

關上啟用防襲擊入侵檢測/入侵防護（DS/IPS）功能，使信息網絡系統(tǒng)免受來自縣公司

的襲擊。

2.在地市公司與省公司相連的路由器后增長千兆防火墻，隔離各地市公司網絡的相

互威脅，并通過防火墻設立訪問控制。

3、地市公司。銀行相連的前置機后增長集成安全網關，通過設立訪問策略，僅允許

銀行訪問前苴機IP地址和數據應用端標語。

四皴網新增設備

市公司辦公區(qū)城

市公司千兆防火墻、集成安全網關部署圖

Bit

?mwn>

銀電聯(lián)網集成安全網關部署圖

備注：L在市公司與銀行相連的集成安全網關可以采用市公司與省公司相連的退下

來的百兆防火墻代替。

2.在地市公司與省公司廣域處的網關防火墻可以使用在互換機上增長防火墻模塊代

替，增長防火墻模塊的優(yōu)點：不僅在省公司連接的廣域網網關處實現訪問控制，并且在不

同的VLAN之間的訪問控制也可以實現，特別是對服務器區(qū)的訪問控制。

6.3技術規(guī)定

?L集成安全網關重要功能和技術規(guī)定如下：

?采用網絡解決器（NctworkProccssor:NP）和專用集成電路（ASIC）架

構。

?集成防火墻、基于協(xié)議異常和基于襲擊特性的入侵防御及入侵檢測、病毒

防護、內容過濾、電子郵件過濾等。

?可以提供集中管理，通過集中的日記記錄、警報、報告和策略配置簡化網

結安全的管理。

?支持路由、網絡地址轉換（NAT）和透明模式等。

?支持內置認證數據庫認證、支持Radius服務器認證。

?支持策略路由。

?防火墻自身應具有較強的抗襲擊能力。

?支持靜態(tài)地址轉換、動態(tài)地址轉換、端口轉換、反向IP映射、雙向地址轉

換等。

?支持流量管理和控制。

?支持OS、入侵檢測庫、防病毒庫、內容過濾庫等在線升級。

?支持標準日記記錄和審計。

支持標準聯(lián)動協(xié)議，可以與入侵檢測系統(tǒng)、網絡防病毒系統(tǒng)、信息審計系統(tǒng)、認證

系統(tǒng)、VPN設備、H記服務器等進行聯(lián)動。

?2.防火堵重要功能和技術規(guī)定期下：

?采用網絡解決器（NetworkFVoccssor:NP）和專用集成電路（ASIC）架

構。

?可以提供集中管理，通過集中的日記記錄、警報、報告和策略配置簡化網

絡安全的管理。

?支持路由、網絡地址轉換（NAT）和透明模式等。

?支持內置認證數據庫認證、支持Radius服務器認證。

?支持策略路由。

?防火墻自身應具有較強的抗襲擊能力。

?支持靜態(tài)地址轉換、動態(tài)地址轉換、端口轉換、反向IP映射、雙向地址轉

換等。

?支持流量管理和控制。

?支持標準H記記錄和審計。

支持標準聯(lián)動協(xié)議，可以與入侵檢測系統(tǒng)、網絡防病毒系統(tǒng)、信息審計系統(tǒng)、認證

系統(tǒng)、VPN設備、日記服務器等進行聯(lián)動。

7.XX電力信息網網絡防病毒方案

7.1XX電力防病毒軟件應用現狀

公司系統(tǒng)現有的防病毒系統(tǒng)重要目的是保護辦公系統(tǒng)。郵件服務器采用Domino

Notes系統(tǒng)，運營于Windows2023Server系統(tǒng)平臺。

?各單位局域網已經部署的防病毒軟件涉及：

?賽門鐵克(Symante。)公司防病毒產品

?趨勢(TrcndMicro)公司防病毒產品

?瑞星公司防病毒產品

其中以Symantec和TrendMicro產品為主。

在防病毒方面，目前公司系統(tǒng)還設有實行統(tǒng)一的防病毒解決方案，對于郵件系統(tǒng)的

網絡防毒還沒有統(tǒng)一配置。在平常防病毒維護中各網絡各行其事，分散管理，這樣不僅

加或管理員的管理工作，并且不能實現統(tǒng)一的.集中的管理，易受到各種人為的因素的

影響，即使在安裝了防病毒軟件的情況卜也不能保證整個網絡的防病毒能力。

7.2公司防病毒總體需求

建立全網的病毒檢測與防范系統(tǒng)，及時檢測和控制各種文獻、宏和其它網絡病毒的

傳播和破壞，具有集中統(tǒng)一的管理界面，系統(tǒng)具有自動升級，自動數據更新，可管理性

等特性。

XX電力信息網網絡病毒防護系統(tǒng)是保證全省網絡系統(tǒng)信息安全的重要手段。針對病

毒種類繁多，增長迅速，隱蔽性、再生性強，易傳播，發(fā)作快、危害嚴重的特點，防病

毒系統(tǒng)必須對全省范圍內的關鍵組件和信息資源實行全方位、立體、動態(tài)、實時的病毒

防護。為此，必須提供強大、靈活、統(tǒng)一部署、分級管理的防病毒策略和集中的事件監(jiān)

控、告警、管理手段，支持自動下載并分發(fā)最新的病毒特性碼和掃描引擎，提供強大的

病毒響應和解決機制等。

7.3功能規(guī)定

混合式威脅是指同時具有多種自我傳播方式的新式研蟲病毒。如：“尼姆達”、“紅色代碼”、“求

職信”、“爆發(fā)工”、這種運用操作系統(tǒng)、應月或服務的漏洞進行傳播、感染和襲擊的捕毒。

?混合式威脅傳播途徑和方式：

?通過電子郵件系統(tǒng)，客戶端在收電子郵件時，把病毒帶入內部網

絡。

?用戶上網，通過HTTP,FTP等把病毒和-?些惡意的移動代碼帶入內

部網絡。

?通過軟盤或盜版光盤感染網絡中的客戶端，然后病毒通過網絡感染

整個內部網絡，甚至通過網絡傳播。

?一些遠程撥號用戶在存取公司內部網絡時把病毒帶入內部網絡。

?協(xié)作單位或合作伙伴以及下屈或分支機構的網絡或機耨感染病毒后

有也許在整個網絡中傳播。

病毒在傳播的過程中，往往運用操作系統(tǒng)、應用系統(tǒng)的漏洞來進行襲擊.

?傳統(tǒng)的防病毒產品都是基于文獻的病毒防護和查殺，對于通過網絡

通信方式的傳播則無能為力。對于通過網絡通信方式，運用PC機操作系統(tǒng)

漏洞進行遠程襲擊的端蟲，只有通過客戶端防火墻+客戶端的入侵檢測產品

才干有效攔截。為了有效保護網絡，并減少與安全管理相關聯(lián)的成本和努

力，這些安全技術需要無縫地互相作用。

?要在客戶端保護連接和未連接的遠程及移動員工，使其免受未授權

網絡訪問和混合威脅的侵擾，需要三種關鍵技術：

?實時病毒防護，用于防御已知和未知的惡意威脅

?客戶端防火墻，用于阻止可疑的傳入和輸出網絡通信

入侵檢測，用于辨認和阻止可用于拒絕服務(DoS)襲擊的已知互聯(lián)網入侵

公司需要可以對