整體安全規(guī)劃設(shè)計
1.1計算環(huán)境安全設(shè)計
針對計算環(huán)境安全將主要考慮安全基線加固、系統(tǒng)修復、系統(tǒng)防病毒和終端行為控制等內(nèi)容。
安全基線加固
針對辦公網(wǎng)和鍋爐系統(tǒng)、供熱系統(tǒng)網(wǎng)絡(luò)中的所有涉及的終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備等開展基線加固工作,工作內(nèi)容包含但不限于安全策略啟用、開放端口限制、啟用服務(wù)限制、賬戶密碼配置等。
系統(tǒng)漏洞修復
針對辦公網(wǎng)、收費系統(tǒng)和客服系統(tǒng)網(wǎng)絡(luò)中的所有涉及的終端、服務(wù)器均需要考慮系統(tǒng)漏洞修復工作,終端可以通過桌面管理系統(tǒng)(上網(wǎng)終端也可通過系統(tǒng)自動更新)進行漏洞修復;考慮服務(wù)器連網(wǎng)情況,可通過離線更新的方式來實現(xiàn)補丁更新。
系統(tǒng)防病毒
針對辦公網(wǎng)、客服系統(tǒng)、收費系統(tǒng)網(wǎng)絡(luò)中的所有涉及的終端、服務(wù)器均需要考慮安裝防病毒軟件。由于個人安全意識程度不同,需要通過部署企業(yè)級防病毒軟件來保證各系統(tǒng)安裝軟件后及時進行系統(tǒng)升級和防護策略下發(fā)。
終端行為控制
通過終端管理系統(tǒng)對終端補丁修復、軟件安裝、移動介質(zhì)管理等進行控制。通過上網(wǎng)行為管理系統(tǒng)對互聯(lián)網(wǎng)訪問、數(shù)據(jù)外傳等行為進行監(jiān)控和審計。
1.2區(qū)域邊界防護安全設(shè)計
針對區(qū)域邊界防護將主要考慮區(qū)域劃分、訪問控制、攻擊防護等方面內(nèi)容。
區(qū)域劃分
針對當前網(wǎng)絡(luò)實際情況,以功能區(qū)為劃分區(qū)域的依據(jù),按照業(yè)務(wù)系統(tǒng)的功能和風險評估中資產(chǎn)識別和分析不同進行區(qū)域劃分,避免出現(xiàn)一個系統(tǒng)被攻擊,全網(wǎng)系統(tǒng)受威脅的情況出現(xiàn)。
根據(jù)目前業(yè)務(wù)組成情況初步對網(wǎng)絡(luò)可劃分為辦公區(qū)域、客服系統(tǒng)、收費系統(tǒng)區(qū)域、鍋爐系統(tǒng)區(qū)域和供熱系統(tǒng)邊界。
訪問控制
訪問控制主要通過交換機子網(wǎng)劃分和防火墻訪問控制策略、白名單的功能實現(xiàn)。
攻擊防護
工業(yè)防火墻:工業(yè)防火墻通過特有的黑白名單功能和工控協(xié)議深度識別能力來對工控網(wǎng)絡(luò)邊界進行安全防護。工業(yè)防火墻通過黑名單技術(shù)對基于工業(yè)控制系統(tǒng)中的協(xié)議及設(shè)備的漏洞攻擊進行識別和安全防護,白名單對網(wǎng)絡(luò)中的非法訪問及非法流量進行深度識別和防護。
1.3安全通信設(shè)計
安全通信考慮范圍主要是總公司與分公司之間進行應(yīng)用訪問、數(shù)據(jù)交互時數(shù)據(jù)不被外泄。
工控網(wǎng)絡(luò)和辦公網(wǎng)之間存在網(wǎng)絡(luò)互聯(lián),按照工業(yè)控制系統(tǒng)信息安全防護指南和等保的相關(guān)要求,在鍋爐系統(tǒng)和供熱系統(tǒng)網(wǎng)絡(luò)中部署工控日志審計系統(tǒng)、工業(yè)安全審計系統(tǒng)、入侵檢測系統(tǒng)、工業(yè)安全準入系統(tǒng)實現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)通訊的安全防護。
1.4安全管理中心
在安全管理安全域中建立安全管理中心,是有效幫助管理人員實施好安全措施的重要保障,是實現(xiàn)業(yè)務(wù)穩(wěn)定運行、長治久安的基礎(chǔ)。通過安全管理中心的建設(shè),真正實現(xiàn)安全技術(shù)層面和管理層面的結(jié)合,全面提升用戶網(wǎng)絡(luò)的信息安全保障能力。
安全管理中心將重點建設(shè)網(wǎng)管監(jiān)控平臺、集中運維管理平臺和內(nèi)網(wǎng)態(tài)勢感知平臺,以實現(xiàn)集中監(jiān)控審計、集中維護、實時預(yù)警和事件溯源。同時可將用于業(yè)務(wù)安全運行支撐使用防病毒服務(wù)器、時間同步服務(wù)器、統(tǒng)一補丁更新服務(wù)器、漏洞掃描系統(tǒng)等集中部署在安全管理中心。
1.5安全管理體系設(shè)計
“三分技術(shù)、七分管理”更加突出的是管理層面在安全體系中的重要性。除了技術(shù)管理措施外,安全管理是保障安全技術(shù)手段發(fā)揮具體作用的最有效手段,建立健全安全管理體系不但是國家等級保護中的要求,也是作為一個安全體系來講,不可或缺的重要組成部分。
體系建設(shè)工作將主要依據(jù)等級保護相關(guān)標準來落實。為了保證體系制度建立的規(guī)范性、完整性和可操作性,需要專業(yè)的第三方測評機構(gòu)協(xié)助參與,在文檔模板提供、工作規(guī)范流程制定等方面提供支撐。針對本項工作初步確定從安全組織結(jié)構(gòu)、安全管理制度、人員安全管理、運行安全管理4個方面落實。