. .. ..乌鲁瓦提水利枢纽管理局机房系统安全建设解决方案深信服科技2019年目录1背景概述 (3)1.1建设背景 (3)1.2文件要求 (3)1.3参考依据 (3)2阀门监控系统安全防护意义 (4)3安全防护总体要求 (4)3.1系统性 (4)3.2动态性 (4)3.3安全防护的目标及重点 (5)3.4安全防护总体策略 (5)3.5综合安全防护要求 (6)3.5.1安全区划分原则 (6)3.6综合安全防护基本要求 (7)3.6.1主机与网络设备加固 (7)3.6.2入侵检测 (7)3.6.3安全审计 (7)3.6.4恶意代码、病毒防 (7)4需求分析 (8)4.1安全风险分析 (8)4.2安全威胁的来源 (9)5设计方案 (10)5.1拓扑示意 (11)5.2安全部署方案 (11)5.2.1下一代防火墙 (11)5.2.2终端安全检测响应系统（杀毒） (12)5.2.3日志审计系统 (14)5.2.4运维审计系统 (17)5.2.5安全态势感知系统 (19)6方案优势与总结 (21)6.1安全可视 (21)6.2融合架构 (21)6.3运维简化 (22)1背景概述1.1 建设背景随着我国信息化的大力发展，信息网络已经由几个孤立的网络发展成一个多连接的信息共享的复杂网络，也正是由于网络的接入共享为不法黑客的入侵系统带来机会，严重影响系统的正常稳定运行和输送。

1.2 文件要求根据《中华人民国网络安全法》，水利相关单位是国家关键信息基础设施和网络安全重点保护单位。

监控、数据调度系统网络空间大，涉及单位多，安全隐患分布广，一旦被攻破将直接威胁安全生产。

为进一步提高阀门监控系统及调度数据网的安全性，保障阀门监控系统安全，确保安全稳定运行，需满足以下文件要求及原则。

➢满足调度数据网已投运设备接入的要求；➢满足生产调度各种业务安全防护的需要；➢满足责任到人、分组管理、联合防护的原则；➢提高信息安全管理水平，降低重要网络应用系统所面临的的安全风险威胁，保证信息系统安全、稳定的运行，使信息系统在等级保护测评环节基本符合国家信息安全等级保护相应级别系统的安全要求。

1.3 参考依据本次网络安全保障体系的建设，除了要满足系统安全可靠运行的需求，还必须符合国家相关法律要求，同时基于系统业务的特点，按照分区分域进行安全控制《《计算机信息系统安全保护等级划分准则》（GB17859-1999）。

2阀门监控系统安全防护意义目前，随着国际形势的日趋复杂，网络空间已经成为继陆、海、空和太空之后第五作战空间，国际上已经围绕“制网权”展开了国家级别的博弈甚至局部网络战争，为了加大网络安全的落实，国家出台了《网络安全法》进一步明确了业务主体单位或个人的法律责任，并于2017年6月1日开始正式实施。

为加强阀门监控系统安全防护，抵御黑客及恶意代码等对阀门监控系统的恶意破坏和攻击，以及非法操作间接影响到系统的安全稳定运行。

作为系统的重要组成部分，其安全与系统安全运行密切相关，积极做好阀门监控系统系统安全防护既有利于配合阀门监控系统安全防护工作的实施，确保整个系统安全防护体系的完整性，也有利于为公司提供安全生产和管理的保障措施。

3安全防护总体要求系统安全防护具有系统性和动态性的特点。

3.1 系统性其中以不同的通信方式和通信协议承载着安全性要求各异的多种应用。

网络采用分层分区的模式实现信息组织和管理。

这些因素决定了系统的安全防护是一个系统性的工程。

安全防护工作对应做到细致全面，清晰合理；对外应积极配合上级和调度机构的安全管理要求。

3.2 动态性阀门监控系统安全防护的动态性由两方面决定。

一是通信技术、计算机网络技术的不断发展；二是阀门监控系统系统自身涵外延的变化。

在新的病毒、恶意代码、网络攻击手段层出不穷的情况下，静止不变的安全防护策略不可能满足阀门监控系统网络信息安全的要求，安全防护体系必须采用实时、动态、主动的防护思想。

同时阀门监控系统部也在不断更新、扩充、结合，安全要求也相应改变。

所以安全防护是一个长期的、循环的不断完善适应的过程。

如图3-1所示P2DR 模型是阀门监控系统安全防护动态性的形象表示。

图3-1 安全防护P2DR动态模型3.3 安全防护的目标及重点阀门监控系统安全防护是系统安全生产的重要组成部分，其目标是：1) 抵御黑客、病毒、恶意代码等通过各种形式对阀门监控系统发起的恶意破坏和攻击，尤其是集团式攻击。

2) 防止部未授权用户访问系统或非法获取信息以及重大违规操作。

3) 防护重点是通过各种技术和管理措施，对实时闭环监控系统及调度数据网的安全实施保护，防止阀门监控系统瘫痪和失控，并由此导致系统故障。

3.4 安全防护总体策略➢安全分区根据系统中业务的重要性和对一次系统的影响程度进行分区，所有系统都必须置于相应的安全区。

➢网络专用安全区边界清晰明确，区根据业务的重要性提出不同安全要求，制定强度不同的安全防护措施。

特别强调，为保护生产控制业务应建设调度数据网，实现与其它数据网络物理隔离，并以技术手段在专网上形成多个相互逻辑隔离的子网，保障上下级各安全区的互联仅在相同安全区进行，避免安全区纵向交叉。

➢综合防护综合防护是结合国家信息安全等级保护工作的相关要求对阀门监控系统从主机、网络设备、恶意代码方案、应用安全控制、审计、备份等多个层面进行信息安全防护的措施。

3.5 综合安全防护要求3.5.1安全区划分原则阀门监控系统系统划分为不同的安全工作区，反映了各区中业务系统的重要性的差别。

不同的安全区确定了不同的安全防护要求，从而决定了不同的安全等级和防护水平。

根据阀门监控系统系统的特点、目前状况和安全要求，整个阀门监控系统分为两个大区：监控大区和办公大区。

阀门监控业务区是指由具有实时监控功能、纵向联接使用调度数据网的实时子网或专用通道的各业务系统构成的安全区域。

控制区中的业务系统或其功能模块（或子系统）的典型特征为：是生产的重要环节，直接实现对一次系统的实时监控，纵向使用调度数据网络或专用通道，是安全防护的重点与核心。

➢办公业务区办公业务区部在不影响阀门监控业务区安全的前提下，可以根据各企业不同安全要求划分安全区，安全区划分一般规定。

3.6 综合安全防护基本要求3.6.1主机与网络设备加固厂级信息监控系统等关键应用系统的主服务器，以及网络边界处的通用网关机、Web服务器等，应当使用安全加固的操作系统。

加固方式最好采用专用软件强化操作系统访问控制能力以及配置安全的应用程序，其中加固软件需采用通过国家权威部门检测的自主品牌。

非控制区的网络设备与安全设备应当进行身份鉴别、访问权限控制、会话控制等安全配置加固。

可以应用调度数字证书，在网络设备和安全设备实现支持HTTPS的纵向安全Web服务，能够对浏览器客户端访问进行身份认证及加密传输。

应当对外部存储器、打印机等外设的使用进行严格管理或直接封闭闲置端口。

3.6.2入侵检测阀门监控业务区需统一部署一套网络入侵检测系统，应当合理设置检测规则，检测发现隐藏于流经网络边界正常信息流中的入侵行为，分析潜在威胁并进行安全审计。

3.6.3安全审计阀门监控业务区的监控系统应当具备安全审计功能，能够对操作系统、数据库、业务应用的重要操作进行记录、分析，及时发现各种违规行为以及病毒和黑客的攻击行为。

对于远程用户登录到本地系统中的操作行为，应该进行严格的安全审计。

同时可以采用安全审计功能，对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行集中收集、自动分析。

3.6.4恶意代码、病毒防应当及时更新特征码，查看查杀记录。

恶意代码更新文件的安装应当经过测试。

禁止阀门监控业务区与办公业务区共用一套防恶意代码管理服务器。

4需求分析4.1 安全风险分析阀门监控系统系统面临的主要风险优先级风险说明/举例0 旁路控制（Bypassing Controls）入侵者对发送非法控制命令，导致系统事故，甚至系统瓦解。

1 完整性破坏（IntegrityViolation）非授权修改控制系统配置、程序、控制命令；非授权修改交易中的敏感数据。

2 违反授权（AuthorizationViolation）控制系统工作人员利用授权身份或设备，执行非授权的操作。

3 工作人员的随意行为控制系统工作人员无意识地泄漏口令等敏4.2 安全威胁的来源办公区等网络不是一个孤立的系统，是和互联网连接，提供员工上网的需求和对外信息发布的平台，那么来自外部威胁的可能性非常大。

例如应用系统遭受拒绝服务攻击，信息泄露等。

部威胁部人员有意或无意的违规操作给信息系统造成的损害，没有建立健全安全管理机制使得部人员的违规操作甚至犯罪行为给信息系统造成的损害等。

病毒或恶意代码目前病毒的发展与传播途径之多、速度之快、危害面之广、造成的损失之严重，都已达到了非常惊人的程度。

也是计算机信息系统不可忽略的一个重要安全威胁源。

病毒和恶意代码主要针对操作系统、数据库管理系统、应用系统等软件。

病毒和恶意代码的威胁主要来自部网络、ＵＳＢ盘、光盘等介质。

自然灾害主要的自然威胁是：●地震、水灾、雷击；●恶劣环境，如不适宜的温度湿度，以及尘埃、静电；●外电不稳定、电源设备故障等。

管理层面的缺陷●管理的脆弱性在安全管理方面的脆弱性主要表现在缺乏针对性的安全策略、安全技术规、安全事件应急计划，管理制度不完善，安全管理和运行维护组织不健全，对规章、制度落实的检查不够等。

●安全组织建设风险信息系统安全体系的建设对组织保障提出了更高的要求。

●安全管理风险安全管理制度的建设还不全面，如：缺乏统一的用户权限管理和访问控制策略，用户、口令、权限的管理不严密，系统的安全配置一般都是缺省配置，风险很大。

对安全策略和制度执行状况的定期审查制度及对安全策略和制度符合性的评估制度不够完善。

没有根据各类信息的不同安全要求确定相应的安全级别，信息安全管理围不明确。

缺乏有效的安全监控措施和评估检查制度，不利于在发生安全事件后及时发现，并采取措施。

缺乏完善的灾难应急计划和制度，对突发的安全事件没有制定有效的应对措施，没有有效的机制和手段来发现和监控安全事件，没有有效的对安全事件的处理流程和制度。

●人员管理风险人员对安全的认识相对较高，但在具体执行和落实、安全防的技能等还有待加强。

5设计方案本方案重点描述监控系统等与业务直接相关部分的安全防护。

方案实现的防护目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击，以及其它非法操作，防止阀门监控系统系统瘫痪和失控，并由此导致的一次系统事故。

5.1 拓扑示意操作系统安全是计算机网络系统安全的基础，而服务器上的业务数据又是被攻击的最终目标，因此，加强对关键服务器的安全控制，是增强系统总体安全性的核心一环。