04_电力行业等级保护基本要求（PPT36页)

学习时长：请在此输入课程时长制作时间：请在此输入制作时间电力行业等级保护基本要求中国南方电网有限责任公司课程内容目录中国南方电网有限责任公司1南网等级保护定级、备案相关规范电力行业等级保护基本要求2中国南方电网有限责任公司安全等级保护管理作业规范1南网等级保护定级、备案相关规范1.1定级流程1.2定级方法1.3定级备案作业规范中国南方电网有限责任公司定级流程1、确定定级对象2、确定业务信息安全受到破坏时所侵害的客体。5、确定系统服务安全受到破坏时所侵害的客体。3、综合评定对客体的侵害程度。4、业务信息安全等级。6、综合评定对客体的侵程度。7、系统服务安全等级。8、定级对象的安全保护等级。中国南方电网有限责任公司定级方法业务信息安全保护等级矩阵表业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级中国南方电网有限责任公司定级方法系统服务安全保护等级矩阵表业务信息安全被破坏时所侵害的客体对相应客体的侵害程度系统服务安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级中国南方电网有限责任公司定级备案作业规范南方电网管理信息系统安全保护的定级对象及等级建议一、南方电网管理信息系统安全保护的定级对象企业级应用系统类企业级应用系统类包括但不限于资产管理系统、财务管理系统、人力资源管理系统、营销管理系统、协同办公系统、综合管理系统。资产管理系统财务管理系统人力资源管理系统营销管理系统协同办公系统综合管理系统中国南方电网有限责任公司定级备案作业规范企业分析决策应用类企业分析决策应用类系统包括但不限于决策支持系统、知识管理系统等。专业系统类专业系统类包括但不限于对外网站、邮件系统、电网规划系统、综合计划与统计节能管理系统、电子商务系统、应急指挥中心系统、网络招聘系统、网络培训和评价系统、数字档案馆系统、企业架构管理系统、ITM信息化管理系统等。南方电网管理信息系统安全保护的定级对象及等级建议一、南方电网管理信息系统安全保护的定级对象中国南方电网有限责任公司定级备案作业规范二、南方电网管理信息系统安全保护等级建议1.资产管理系统的安全保护等级名称运营使用单位系统服务安全保护等级业务信息安全保护等级信息系统安全保护等级投资计划管理子系统公司总部第二级第二级第二级分子公司及其下属单位第二级第二级第二级项目管理子系统公司总部第二级第二级第二级分子公司及其下属单位第二级第二级第二级物资管理子系统公司总部第二级第二级第二级分子公司及其下属单位第二级第二级第二级安全生产管理子系统公司总部第二级第二级第二级分子公司及其下属单位第二级第二级第二级固定资产管理子系统公司总部第二级第二级第二级分子公司及其下属单位第二级第二级第二级企业级应用系统类企业分析决策应用类专业系统类中国南方电网有限责任公司定级备案作业规范2.财务管理类系统的安全保护等级名称运营使用单位系统服务安全保护等级业务信息安全保护等级信息系统安全保护等级财务管理系统公司总部第二级第三级第三级分子公司第二级第三级第三级分子公司下属单位第二级第二级第二级企业级应用系统类企业分析决策应用类专业系统类二、南方电网管理信息系统安全保护等级建议中国南方电网有限责任公司定级备案作业规范3.人力资源管理系统的安全保护等级名称运营使用单位系统服务安全保护等级业务信息安全保护等级信息系统安全保护等级人力资源管理系统公司总部第二级第二级第二级分子公司及其下属单位第二级第二级第二级企业级应用系统类企业分析决策应用类专业系统类二、南方电网管理信息系统安全保护等级建议中国南方电网有限责任公司定级备案作业规范4.营销管理系统的安全保护等级名称运营使用单位系统服务安全保护等级业务信息安全保护等级信息系统安全保护等级营销管理系统公司总部第三级第三级第三级分子公司及其下属单位第三级第三级第三级企业级应用系统类企业分析决策应用类专业系统类二、南方电网管理信息系统安全保护等级建议中国南方电网有限责任公司定级备案作业规范5.协同办公系统的安全保护等级名称运营使用单位系统服务安全保护等级业务信息安全保护等级信息系统安全保护等级协同办公系统公司总部第二级第三级第三级分子公司及其下属单位第二级第二级第二级企业级应用系统类企业分析决策应用类专业系统类二、南方电网管理信息系统安全保护等级建议中国南方电网有限责任公司定级备案作业规范6.综合管理系统的安全保护等级名称运营使用单位系统服务安全保护等级业务信息安全保护等级信息系统安全保护等级综合管理系统公司总部第二级第二级第二级分子公司及下属单位第二级第二级第二级企业级应用系统类企业分析决策应用类专业系统类二、南方电网管理信息系统安全保护等级建议中国南方电网有限责任公司定级备案作业规范企业分析决策应用类系统的安全保护等级表名称运营使用单位系统服务安全保护等级业务信息安全保护等级信息系统安全保护等级知识管理系统公司总部第一级第一级第一级分子公司及下属单位第一级第一级第一级决策支持系统公司总部第二级第二级第二级分子公司及下属单位第二级第二级第二级企业级应用系统类企业分析决策应用类专业系统类二、南方电网管理信息系统安全保护等级建议中国南方电网有限责任公司定级备案作业规范专业系统类的安全保护等级表企业级应用系统类企业分析决策应用类专业系统类序号名称运营使用单位系统服务安全保护等级业务信息安全保护等级信息系统安全保护等级1对外网站公司总部第二级第三级第三级分子公司及下属单位第一级第二级第二级2PKI/CA数字证书管理系统/4A系统公司总部第三级第三级第三级分子公司及下属单位第二级第三级第三级3邮件系统公司总部第二级第二级第二级分子公司及下属单位第二级第二级第二级4电网规划系统公司总部第二级第二级第二级分子公司及下属单位第二级第二级第二级二、南方电网管理信息系统安全保护等级建议中国南方电网有限责任公司定级备案作业规范专业系统类的安全保护等级表企业级应用系统类企业分析决策应用类专业系统类序号名称运营使用单位系统服务安全保护等级业务信息安全保护等级信息系统安全保护等级5综合计划与统计节能管理系统公司总部第二级第二级第二级分子公司及下属单位第二级第二级第二级6电子商务系统公司总部第二级第二级第二级分子公司及下属单位第一级第一级第一级7电网运行管理系统公司总部第二级第二级第二级分子公司及下属单位第二级第二级第二级8网络招聘系统公司总部第二级第二级第二级分子公司及下属单位第一级第一级第一级二、南方电网管理信息系统安全保护等级建议中国南方电网有限责任公司定级备案作业规范专业系统类的安全保护等级表企业级应用系统类企业分析决策应用类专业系统类序号名称运营使用单位系统服务安全保护等级业务信息安全保护等级信息系统安全保护等级9网络培训和评价系统公司总部第一级第一级第一级分子公司及下属单位第一级第一级第一级10数字档案馆系统公司总部第一级第一级第一级分子公司及下属单位第一级第一级第一级11企业架构管理系统公司总部第二级第二级第二级分子公司及下属单位第二级第二级第二级12ITM信息化管理系统公司总部第二级第二级第二级分子公司及下属单位第二级第二级第二级二、南方电网管理信息系统安全保护等级建议中国南方电网有限责任公司安全等级保护管理作业规范2电力行业等级保护基本要求2.1总体要求2.2技术要求2.3管理要求中国南方电网有限责任公司总体要求（新增）总体技术要求a)管理信息大区网络与生产控制大区网络应物理隔离;两网之间有信息通信交换时应部署符合电力系统要求的单向隔离装置;b)管理信息大区网络可进一步划分为内部网络和外部网络,两网之间有信息通信交换时防护强度应强于逻辑隔离;c)具有层次网络结构的单位可统一提供互联网出口;d)二级系统统一成域,三级系统可独立成域;e)三级系统域可由独立子网承载,每个域有唯一网络出口,可在网络出口处部署能使系统整体达到三级等级保护要求的安全设备。总体管理要求a)如果本单位管理信息大区仅有一级信息系统时,通用管理要求等同采用一级基本要求;b)如果本单位管理信息大区含有二级及以下等级信息系统时,通用管理要求等同采用二级基本要求;c)如果本单位管理信息大区含有三级及以下等级信息系统时,通用管理要求等同采用三级基本要求。中国南方电网有限责任公司技术要求物理安全12345b)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁,如果不可避免，应采取有效防水措施。（落实）c)机房各出入口应安排专人值守或配置电子门禁系统，控制、鉴别和记录进入的人员；（增强）c)应对机房划分区域进行管理，区域和区域之间应用物理方式隔断，在重要区域前设置交付或安装等过渡区域；（增强）a)主机房尽量避开水源，与主机房无关的给排水管道不得穿过主机房,与主机房相关的给排水管道必须有可靠的防渗漏措施；（落实）c)设置冗余或并行的电力电缆线路为计算机系统供电，输入电源应采用双路自动切换供电方式；（增强）网络安全主机安全应用安全数据安全及备份恢复中国南方电网有限责任公司技术要求物理安全21345a)管理信息大区网络与生产控制大区网络应物理隔离;两网之间有信息通信交换时应部署符合电力系统要求的单向隔离装置；（新增）b)管理信息大区网络可进一步划分为内部网络和外部网络，两网之间的防护强度应强于逻辑隔离；（新增）c)电力（集团）公司应逐步统一互联网出口；（新增）d)单个系统可单独划分安全域，系统可由独立子网承载，每个域的网络出口应唯一；（新增）h)应绘制与当前运行情况相符的网络拓扑结构图，主要包括设备名称、型号、IP地址等信息，并提供网段划分、路由、安全策略等配置信息；（增强）网络安全主机安全应用安全数据安全及备份恢复中国南方电网有限责任公司技术要求物理安全21345l)在进行内外网隔离的情况下，应将应用系统部署在内网，如有外网交互功能的应用系统，可将前端部署在外网，数据库部分可部署在内网。（新增）j)在业务高峰时段，现有宽带不能满足要求时，应按照对业务服务的重要次序来制定带宽分配优先级，优先保障重要业务服务的带宽；（落实）k)采用冗余技术设计网络拓扑结构，提供主要网络设备、通信线路的硬件冗余，避免关键节点存在单点故障；（增强）g)在互联网出口和核心网络接口处应限制网络最大流量数及网络连接数：（细化）d)应限制具有拨号、VPN等访问权限的用户数量；（增强）c)应能够根据记录数据进行分析，并生成审计报表，网络设备不支持的应采用第三方工具生成审计报表；（落实）网络安全主机安全应用安全数据安全及备份恢复中国南方电网有限责任公司技术要求物理安全21345b)应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断；（落实）c)应逐步釆用网络准入、终端控制、身份认证、可信计算等技术手段，维护网络边界完整性；(新増）c)网络设备标识应唯一，同一网络设备的用户标识应唯一，禁止多人共用一个账号；（增强）d)身份鉴别信息应不易被冒用，口令复杂度应满足要求并定期更换；应修改默认用户和口令，不得使用缺省口令；口令长度不得小于8位，且为字母、数字或特殊字符的混合组合，用户名和口令不得等同；禁止明文存储口令；（增强）h)应实现设备特权用户的权限分离，系统不支持的应部署日志服务器保证管理员的操作能够被审计，并且网络特权用户管理员无权对审计记录进行操作；（细化）网络安全主机安全应用安全数据安全及备份恢复中国南方电网有限责任公司技术要求物理安全21345i)应关闭不需要的网络端口，关闭不需要的网络服务。如需使用SNMP服务，应釆用安全性增强版本；并应设定复杂的Community控制字段，禁止使用Public、Private等默认字段。（新增）网络安全主机安全应用安全数据安全及备份恢复中国南方电网有限责任公司技术要求物理安全31245c)应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施应限