2022年数字能源、数字环保信息安全整体解决方案.docx

《2022年数字能源、数字环保信息安全整体解决方案.docx》由会员分享，可在线阅读，更多相关《2022年数字能源、数字环保信息安全整体解决方案.docx（79页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选学习资料 - - - - - - - - - xx 市数字能源、数字环保信息安全整体解决方案（初稿）名师归纳总结 - - - - - - -第 1 页,共 46 页精选学习资料 - - - - - - - - - 深信服科技2022 年 10 月目录一、背景与目标 . 51.1 、建设背景 . 51.2 、需求与问题 . 61.2.1 、资产分析赋值1.2.2 、应用层面安全 . 6 . 71.2.2.1 、等级爱护建设规范 . 71.2.2.2 、应用层面临安全风险. 81.2.3 、网络层面安全 . 91.2.3.1 、等级爱护建设规范 1.2.3.2 、网络层面临安全风险. 9 .

2、101.2.4 、主机层面安全 . 111.2.4.1 、等级爱护建设规范 1.2.4.2 、主机层面临安全风险. 11 . 12名师归纳总结 - - - - - - -第 2 页,共 46 页精选学习资料 - - - - - - - - - 1.2.5 、物理层面安全 . 131.2.5.1 、等级爱护建设规范 . 131.2.5.2 、物理层面临安全风险. 141.2.6 、安全治理层面 . 141.2.6.1 、等级爱护建设规范 1.2.6.2 、治理过程存在地问题. 14 . 151.3 、建设目标与意义 . 16二、系统设计思路与原就. 162.1 、建设思路 . 162.2 、建设

3、原就 . 17三、系统建设内容 . 183.1 、资产风险评估 . 183.2 、风险处置加固 . 193.2.1 、威逼性处置加固 . 193.2.1.1 、恶意网址过滤 . 19 3.2.1.2 、病毒检测防范 . 19 3.2.1.3 、僵尸网络隔离 . 203.2.1.4 、DLP 数据防泄漏 . 203.2.1.5 、防止非授权拜访. 213.2.1.6 、无线热点发觉 . 21名师归纳总结 - - - - - - -第 3 页,共 46 页精选学习资料 - - - - - - - - - 3.2.1.7 、细粒度网络审计. 223.2.1.8 、远程拜访传输加密 . 233.2.2

4、 、脆弱性处置加固 . 233.2.2.1 、网络设备安全配置基线 . 233.2.2.2 、操作系统安全配置基线 3.2.2.3 、数据库系统安全配置基线. 24 . 263.3 、安全治理 . 373.3.1 、安全集成参考3.3.2 、安全制度参考3.3.3 、安全运维参考四、实施策略与关键技术 . 37 . 37 . 38. 414.1 、深度内容解读 . 414.2 、双向内容检测技术 . 414.3 、分别平面设计 . 424.4 、单次解读架构 . 434.5 、多核并行处理 . 43五、实施步骤与进度支配. 445.1 、环境调研阶段 . 445.2 、信息资产确认阶段 . 4

5、4名师归纳总结 5.3 、实施方案编写与确认阶段. 44第 4 页,共 46 页- - - - - - -精选学习资料 - - - - - - - - - 5.4 、安全评估与安全防护施行阶段. 455.5 、工程运维学问培训阶段 . 455.6 、验收报告编写与工程验收总结阶段. 45六、方案优势 . 456.1 、专业地 CTI 中心、完善地用户档案系统 . 456.2 、ISO9001 售后质量治理体系 . 466.3 、十年值得品牌信任 . 466.4 、专业功防团队 . 46一、背景与目标1.1、建设背景xx 市是一座新兴工业城市,形成了以钢铁、新能源和新材料三大产业为支柱地多元化进

6、展格局,并出现集约化进展地良好态势 .2022 年 xx 市全年生产总值 GDP830.32亿元,比上年增长 10.3%,其中,工业增加值 467.46 亿元,占生产总值地 56.3%,新能源、钢铁、新材料三大支柱产业实现增加值 212.35 亿元,占规模以上工业地 72.88%. 随着经济地增长,带来能源消耗连续增加,2022 年 xx 市全社会共计消耗能源980.17 万吨标煤（其中电力消费 97.6 亿度）, “十一五 ”期间年均增长 10.67%.xx市规模以上工业企业近 280 户,年耗能 5000 吨以上重点用能单位数量为 20 户,工业能耗904.44 万吨标煤,占全社会能耗地9

7、2.27%.万元 GDP 能耗 2.66 吨标煤,是全国平均水名师归纳总结 平地 3.5 倍.化石能源燃烧排放地二氧化碳为2597.5 万吨,人均碳排放量22.7 吨,分别第 5 页,共 46 页是全国和全省地3.70、5.84 倍,化学需氧量排放量24570.1 吨,二氧化硫排放量为- - - - - - -精选学习资料 - - - - - - - - - 62667.85 吨,氨氮排放量为2738.27 吨,氮氧化物排放量34016.3 吨,二氧化硫、烟（粉）尘等污染物 90%来自工业 .2022 年工业增加值 360.11 亿元,新能源、钢铁、新材料三大支柱产业实现增加值 280.95

8、亿元,占规模以上工业地 77.3%.xx 市作为国家第三批资源枯竭城市,节能减排任务特别艰难,xx 市政府实行了一系列举措, 2022 年 xx 市被列为全国节能减排财政政策综合示范城市之一,2022 年,xx 市发布关于加快推动聪明 进跨部门地信息化共享和协同xx 建设地看法,主要目标是充分整合信息化资源,推 .文件中提出依据城市进展和社会民生需求,有方案、分步骤地组织实施聪明 xx 建设 12 项重点工程,其中数字环保和数字能源两个重点工程指出建设环境爱护、排放治理等一体化地城市智能环保治理平台和市能源监测治理中心.通过对全市重点企业地能耗和污染物排放、城市照明能耗、公共建筑地能耗、新能源

9、和可再生能源工程、城市环境数据、交通能耗进行实时监测,xx 市能源监测治理中心建设方案使市委、市政府领导能总览全市能源环境简况,把握全市节能改造、环境 治理、新能源与可再生等工程动态、成果,科学提高政府节能减排治理水平,为实现 治理节能和技术节能供应数据支撑 .随着数字环保和数字能源平台工程建设提速,“安全 ”越来越成为一块迫切需要巩固和加强地内容 .信息安全不仅关系到数字环保和数字能源平台地稳健运行,更关乎到整体平台地行地安全牢靠.基于这样地背景,本工程将于2022 年开头启动 .1.2、需求与问题1.2.1 、资产分析赋值信息：信息是一种资产,像其他重要地业务资产一样,对组织具有价值,因此

10、需要妥当爱护 .名师归纳总结 - - - - - - -第 6 页,共 46 页精选学习资料 - - - - - - - - - 信息安全：信息安全主要指信息地保密性、完整性和可用性地保持；即指通过采 用运算机软硬件技术、网络技术、密钥技术等安全技术和各种组织治理措施,来爱护 信息在其生命周期内地产生、传输、交换、处理和储备地各个环节中,信息地保密 性、完整性和可用性不被破坏 .通过信息资产汇总分析与并给与资产安全等级赋值,有助于 保整体平台信息安全体系规划、周期性风险评估工作绽开 .1.2.2 、应用层面安全1.2.2.1 、等级爱护建设规范xx 数字能源、数字环参照 GB/T 22239-

11、2022 标准明确要求,应用安全主要从身份鉴别、拜访掌握、安全审计、剩余信息爱护、通信完整性、通信保密性、抗抵赖、软件容错、资源掌握等 9 个方面进行技术要求,以下为应用安全地要求部分截取摘要 .（1）、身份鉴别本项要求包括：a 应供应专用地登录掌握模块对登录用户进行身份标识和鉴别；b 应对同一用户采纳两种或两种以上组合地鉴别技术实现用户身份鉴别；GB/T 22239202221 名师归纳总结 - - - - - - -第 7 页,共 46 页精选学习资料 - - - - - - - - - c 应供应用户身份标识唯独和鉴别信息复杂度检查功能,保证应用系统中不存在重复 用户身份标 识,身份鉴别

12、信息不易被冒用；d 应供应登录失败处理功能,可实行终止会话、限制非法登录次数和自动退出等措 施；e 应启用身份鉴别、用户身份标识唯独性检查、用户身份鉴别信息复杂度检查以及登 录失败处理 . 功能,并依据安全策略配置相关参数（2）、拜访掌握 本项要求包括：a 应供应拜访掌握功能,依据安全策略掌握用户对文件、数据库表等客体地拜访；b 拜访掌握地掩盖范畴应包括与资源拜访相关地主体、客体及它们之间地操作；c 应由授权主体配置拜访掌握策略,并严格限制默认帐户地拜访权限；d 应授予不同帐户为完成各自承担任务所需地最小权限,并在它们之间形成相互制约 地关系 . e 应具有对重要信息资源设置敏锐标记地功能；f

13、 应依据安全策略严格掌握用户对有敏锐标记重要信息资源地操作；1.2.2.2 、应用层面临安全风险随着基于 B/S 架构业务（电子商务、电子政务等）系统越来越被普及使用,给广 大地一般老百姓用户带来极大地便利,不出门即可买到心愿地商品,轻松点击便可了解天下传闻；由于电子交易过程巨大地金钱利益诱惑,基于 遭受黑客地恶意攻击,依据 OWASP争论报告分析,应用层面临安全风险如下：B/S 地应用系统也越来越名师归纳总结 - - - - - - -第 8 页,共 46 页精选学习资料 - - - - - - - - - 1.2.3 、网络层面安全1.2.3.1 、等级爱护建设规范参照 GB/T 2223

14、9-2022 明确要求,网络安全主要从结构安全、拜访掌握、安全审 计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等 7 个方面进行技术 要求,以下为网络安全地要求部分截取摘要 .（1）、结构安全 本项要求包括：a 应保证主要网络设备地业务处理才能具备冗余空间,满意业务高峰期需要；b 应保证网络各个部分地带宽满意业务高峰期需要；c 应在业务终端与业务服务器之间进行路由掌握建立安全地拜访路径；d 应绘制与当前运行情形相符地网络拓扑结构图；e 应依据各部门地工作职能、重要性和所涉及信息地重要程度等因素,划分不同地子 网或网段,并依据便利治理和掌握地原就为各子网、网段安排地址段；f 应防止将

15、重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网 段之间实行 牢靠地技术隔离手段；g 应依据对业务服务地重要次序来指定带宽安排优先级别,保证在网络发生拥堵地时 候优先爱护 重要主机 .（2）、拜访掌握 本项要求包括：a 应在网络边界部署拜访掌握设备,启用拜访掌握功能；b 应能依据会话状态信息为数据流供应明确地答应 级；c 应对进出网络地信息内容进行过滤,实现对应用层 POP3 等协议命令级地掌握；/ 拒绝拜访地才能,掌握粒度为端口 HTTP、FTP、TELNET、SMTP、d 应在会话处于非活跃肯定时间或会话终止后终止网络连接；e 应限制网络最大流量数及网络连接数；f 重要网段

16、应实行技术手段防止地址欺诈；g 应按用户和系统之间地答应拜访规章,打算答应或拒绝用户对受控系统进行资源访 问,掌握粒度为单个用户；h应限制具有拨号拜访权限地用户数量.3、安全审计 本项要求包括：a 应对网络系统中地网络设备运行状况、网络流量、用户行为等进行日志记录；名师归纳总结 - - - - - - -第 9 页,共 46 页精选学习资料 - - - - - - - - - b 审计记录应包括：大事地日期和时间、用户、大事类型、大事是否胜利及其他与审计相关地信息；c 应能够依据记录数据进行分析,并生成审计报表；d 应对审计记录进行爱护,防止受到未预期地删除、修改或掩盖等 .1.2.3.2 、

17、网络层面临安全风险网络病毒泛滥问题随着互联网在人类社会活动中地全面普及,人们越来越频繁地通过网络传递和存储重要信息和资料 .据来自权威安全争论机构地调查统计,互联网中地网页浏览和文件下载已经成为各种运算机病毒和木马传播地主要途径,但传统地网关产品却无法供应病毒过滤和防护才能 .因此,人们需要一种能主动防护病毒地设备,从而为网络使用者营造安全地上网环境 .秘密信息泄露问题随着网络技术地进展,人们可以随便在网络中利用文件FTP、Email、TFTP 等、文字BBS、QQ、MSN、UC谈天等 、语音 QQ、UC、MSN 语聊等 、视频 QQ、UC、MSN 视频等 等多种方式进行沟通.这些通讯手段便利

18、了人们地沟通与协作,但假如不加以管名师归纳总结 理,它们也将成为信息泄密地工具和途径.传统网关设备（如路由器、防火墙、UTM .第 10 页,共 46 页等）无法对网络中传输地数据内容进行深度分析,更无法对这些内容进行记录和过滤- - - - - - -精选学习资料 - - - - - - - - - 这导致用户无法有效阻挡秘密信息和资料通过网络外泄,且一旦显现信息泄密大事,用户也无法获得爱护自身权益所必需地有效证据 .网络钓鱼攻击问题“网络钓鱼 ”攻击利用欺诈性地电子邮件和伪造地Web 站点来进行诈骗活动,受骗者往往会泄露自己地财务数据,如信用卡号、账户用户名、口令和社保编号等内 容.诈骗者

19、通常会将自己假装成知名银行、在线零售商和信用卡公司等可信地品牌,在全部接触诈骗信息地用户中,有高达5%地人都会对这些骗局做出响应.非授权拜访问题没有预先经过同意,就使用网络或运算机资源被看作非授权拜访,如有意躲开系统拜访掌握机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权拜访信息.它主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等 .僵尸网络问题僵尸网络 Botnet 是指采纳一种或多种传播手段,将大量主机感染 bot 程序（僵尸程序）病毒,从而在掌握者和被感染主机之间所形成地一个可一对多掌握地网络 . 攻击者通过各种途径传播僵尸程

20、序感染互联网上地大量主机,而被感染地主机将通过一个掌握信道接收攻击者地指令,组成一个僵尸网络.之所以用僵尸网络这个名字,是为了更形象地让人们熟悉到这类危害地特点：众多地运算机在不知不觉中犹如中国古老传说中地僵尸群一样被人驱逐和指挥着,成为被人利用地一种工具 .1.2.4 、主机层面安全1.2.4.1 、等级爱护建设规范参照 GB/T 22239-2022 标准明确要求,网络安全主要从结构安全、拜访掌握、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等 7 个方面进行技术要求,以下为网络安全地要求部分截取摘要 .（1）、结构安全本项要求包括：a 应保证主要网络设备地业务处理才能具

21、备冗余空间,满意业务高峰期需要；b 应保证网络各个部分地带宽满意业务高峰期需要；c 应在业务终端与业务服务器之间进行路由掌握建立安全地拜访路径；d 应绘制与当前运行情形相符地网络拓扑结构图；e 应依据各部门地工作职能、重要性和所涉及信息地重要程度等因素,划分不同地子网或网段,名师归纳总结 - - - - - - -第 11 页,共 46 页精选学习资料 - - - - - - - - - 并依据便利治理和掌握地原就为各子网、网段安排地址段；f 应防止将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网 段之间实行牢靠地技术隔离手段；g 应依据对业务服务地重要次序来指定带宽安排优先

22、级别,保证在网络发生拥堵地时 候优先爱护重要主机 .（2）、拜访掌握 本项要求包括：a 应在网络边界部署拜访掌握设备,启用拜访掌握功能；b 应能依据会话状态信息为数据流供应明确地答应 级；c 应对进出网络地信息内容进行过滤,实现对应用层POP3 等协议命令级地掌握；/ 拒绝拜访地才能,掌握粒度为端口 HTTP、FTP、TELNET、SMTP、d 应在会话处于非活跃肯定时间或会话终止后终止网络连接；e 应限制网络最大流量数及网络连接数；f 重要网段应实行技术手段防止地址欺诈；g 应按用户和系统之间地答应拜访规章,打算答应或拒绝用户对受控系统进行资源访 问,掌握粒度为单个用户；i应限制具有拨号拜访

23、权限地用户数量.3、安全审计 本项要求包括：a 应对网络系统中地网络设备运行状况、网络流量、用户行为等进行日志记录；b 审计记录应包括：大事地日期和时间、用户、大事类型、大事是否胜利及其他与审 计相关地信 息；c 应能够依据记录数据进行分析,并生成审计报表；d 应对审计记录进行爱护,防止受到未预期地删除、修改或掩盖等 .1.2.4.2 、主机层面临安全风险系统弱口令 弱口令安全是完全可以防止地,系统治理员为了便利记忆,设置一些简洁地口令,如域名,名字,QQ 等,这些信息又是可以从whois 中又可以猎取地,被黑地记录基本上是 99%.用户账户地安全性规章Solaris 和 Irix 等 Uni

24、x 系统中,除去超级用户外,仍存在如lp、sys、adm、nobody名师归纳总结 等治理帐户 .虽然它们没有超级用户地特权,但同样应受到爱护,由于这些帐户地系统第 12 页,共 46 页进程可以掌握基本地系统功能,如电子邮件、关系数据库拜访、打印等.这些治理帐户内地任何一个遭到攻击,都可能导致相应子系统中地文件被大规模地暴露和损坏.例- - - - - - -精选学习资料 - - - - - - - - - 如, lp 帐户所受地破坏可能会造成攻击者对打印子系统获得完全掌握,从而使黑客能够任意地修改打印输出地内容 . 不必要地网络服务所谓不必要地网络拜访服务是指实现主机系统网络服务功能所不需

25、要运行地服务 .对于 Web 主机而言,许多网络拜访服务在操作系统安装时就被缺省配置,其所对 应地TCP/UDP端口也对外打开,如特别危急地 finger 服务和它对应地 79 号 TCP端口 .通过对网站地端口扫描,可以发觉许多系统治理员对外供应了或多或少地不必要地网络拜访服务 .而从系统内部审核不必要网络拜访服务地方法是禁止不必要地网络拜访服务地最 有效手段之一 . 1.2.5 、物理层面安全1.2.5.1 、等级爱护建设规范参照 GB/T 22239-2022 标准要求,物理安全主要从物理位置地选择、物理拜访控制、防盗窃防破坏、防雷击、防火、防水和防潮、防静电、温湿度掌握、电力供应、电磁

26、防护等十个方面进行评测,以下为物理安全地要求部分截取摘要 .（1）、物理位置地选择本项要求包括：a 机房和办公场地应选择在具有防震、防风和防雨等才能地建筑内；b 机房场地应防止设在建筑物地高层或地下室,以及用水设备地下层或隔壁 .（2）、物理拜访掌握 本项要求包括：a 机房出入口应支配专人值守,掌握、鉴别和记录进入地人员；b 需进入机房地来访人员应经过申请和审批流程,并限制和监控其活动范畴；c 应对机房划分区域进行治理,区域和区域之间设置物理隔离装置,在重要区域前设 置交付或安装等过渡区域；d 重要区域应配置电子门禁系统,掌握、鉴别和记录进入地人员（3）、防盗窃防破坏.本项要求包括：a 应将主要设备放置在机房内；b 应将设备或主要部件进行固定,并设置明显地不易除去地标记；c 应将通信线缆铺设在隐藏处,可铺设在地下或管道中；d 应对介质分类标识,储备在介质库或档案室中；e 应利用光、电等技术设置机房防盗报警系统；名师归纳总结 f 应对机房设置监控报警系统.第 13 页,共 46 页- - - - - - -精选学习资料 - - - - - - - - - 1.2.5.2 、物理层面临安全风险1.2.6 、安全治理层面1.2.6.1