[林学]农电信息网安全解决方案.ppt

县级供电企业信息安全解决方案 ========================================= 方正信息安全技术有限公司 沈传宝/David Shen 高级安全咨询顾问，CISP/CISSP/OCP Email/MSN: shencb@ Mobile Phone: +86 135 139 9366 Office Tel：+8610 8253 1967 提纲 为什么要进行信息安全建设？ 信息安全需求的来源： 符合性要求：法律、法规、标准、政策 风险的要求：信息与网络风险的存在 怎样进行信息安全建设？ 风险评估与风险管理概念介绍 电力系统的信息安全解决方案探讨 方正信息安全解决方案介绍 各行各业的信息安全建设“要求” 信息安全建设的“技术”驱动力 互联网的变迁： 安全威胁“从外到内”的发展 提纲 为什么要进行信息安全建设？ 怎样进行信息安全建设？ 信息安全建设的现状与发展阶段 信息安全建设的一般步骤 风险评估与风险管理概念介绍 电力系统的信息安全解决方案探讨 方正信息安全解决方案介绍 提纲 为什么要进行信息安全建设？ 怎样进行信息安全建设？ 风险评估与风险管理概念介绍 信息安全风险评估的基本概念 信息安全风险评估的一般过程 电力系统的信息安全解决方案探讨 方正信息安全解决方案介绍 有关风险管理 风险管理的理念从90年代开始，已经逐步成为引导信息安全技术应用的核心理念 《中央企业全面风险管理指引》 2006年6月6日，国务院国有资产监督管理委员会印发了《中央企业全面风险管理指引》 “第三条　本指引所称企业风险，指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等；也可以能否为企业带来盈利等机会为标志，将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。” 国际风险管理趋势动态 IT安全风险成为企业运营风险中最为重要的一个组成部分，业务连续性逐渐与安全并行考虑 信息安全风险评估相关标准 ISO/IEC 17799:2005 BS 7799 Part I ：最佳实践 Part II ：体系规范 ISO/IEC 13335 AS/NZS4360 SSE-CMM 提纲 为什么要进行信息安全建设？ 怎样进行信息安全建设？ 风险评估与风险管理概念介绍 电力系统的信息安全解决方案探讨 河南电力的安全建设背景 电力系统信息安全建设的总体分析 河南电力农电信息安全建设解决方案 方正信息安全解决方案介绍 县级供电企业信息安全建设的背景 电力作为基础行业，对网络的稳定性、安全性要求越来越高 《电网和电厂计算机监控系统及调度数据网络安全防护规定》 《电力二次系统安全防护规定》 省电力公司《农电计算机信息网络系统管理办法》 省公司、各县局充分认识到信息安全的重要性 电监会5号令的安全保障要求 电力二次系统安全防护总体策略 电监会5号令的安全管理要求 电力系统信息安全建设的总体思路 以满足“符合性”要求为主要工作指导 安全技术措施： 安全分区（安全域、等级化保护） 安全隔离（纵向隔离、边界防护） 安全认证（纵向认证、访问控制） 安全管理要求： 建立安全评估机制（定期评估） 建立电力系统安全评估规范 以“风险管理”为导向的信息安全管理工作 工具导向 ? 流程导向 ? 风险导向 安全管理与安全技术的平衡 预防为主、防治结合 县级供电企业信息安全建设解决方案 安全域划分：等级化保护 内部网络安全域 财务、调度网安全域 内部服务器区（OA、MIS等） 安全管理中心（内网管理、安全评估、网络管理、入侵检测、防病毒服务器等） 内部局域网 其他互联单位安全域 乡镇单位网络 抄表系统 市局及其他互联单位网络 DMZ安全域 WWW、MAIL、FTP服务器等 防火墙技术与解决方案介绍 建立统一的安全接入控制策略： 所有外联网络如互联网、县乡联网、市县联网、移动抄表、移动VPN用户等都通过边界部署的防火墙进行安全策略控制，做到安全威胁统一管理。 互联网接入防火墙的功能 网络互联访问控制策略 互联网接入防火墙的接口分别连接Internet接入线路、连接内部网络安全域、其他互联单位安全域。 Internet的访问的控制， 根据实际应用放通内部网络与其他互联单位之间的互访，禁止与业务无关的其他访问请求。 除放通Internet用户对DMZ区的有限访问外，严格禁止来自Internet的非法访问请求。 内部服务器区、安全管理中心和内部局域网统一接入核心交换机，在核心交换机上部署相应的ACL规范内部安全域各子区域之间的互访。 调度网、财务网通过防火墙与MIS网进行逻辑隔离，并按照国家电力系统防护或财务网络的要求配置相应的策略。 访问控制策略设置 互联网接入