1 范围 本规范适用于中国XXx 电网有限责任公司及所属单位管理信息大区所有信息系统相关主流支撑平台设备。 2 规范性引用文件 下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本规范。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本规范。 ——中华人民共和国计算机信息系统安全保护条例 ——中华人民共和国国家安全法 ——中华人民共和国保守国家秘密法 ——计算机信息系统国际联网保密管理规定 ——中华人民共和国计算机信息网络国际联网管理暂行规定 ——ISO27001 标准/ISO27002 指南 ——公通字[2007]43 号 信息安全等级保护管理办法 ——GB/T 21028-2007 信息安全技术 服务器安全技术要求 ——GB/T 20269-2006 信息安全技术 信息系统安全管理要求 ——GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 ——GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南 3 术语和定义 安全基线:指针对IT 设备的安全特性,选择合适的安全控制措施,定义不同 IT 设备的最低安全配置要求,则该最低安全配置要求就称为安全基线。 管理信息大区:发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统,原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区I)和非控制区(安全区Ⅱ);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各企业不同安全要求划分安全区。根据应用系统实 际情 况 ,在满 足 总 体 安全要求的前提下,可以简 化 安全区的设置,但 是应当 避 免 通过 广 域 网形 成 不同安全区的纵 向 交 叉 连 接 。 4 总则 4.1 指导思想 围 绕 公司打 造 经 营 型 、服务型 、一 体 化 、现 代 化 的国内领 先 、国际著 名 企业的战 略 总 体目 标,为切 实 践 行南网方 略 ,保障 信息化 建 设,提高 信息安全防 护能 力 ,通过 规范IT 主流设备安全基线,建 立 公司管理信息大区IT 主流设备安全防 护的最低标准,实 现 公司IT 主流设备整 体 防 护的技术措施标准化 、规范化 、指标化 。 4.2 目标 管理信息大区内IT 主流设备安全配置所应达 到 的安全基线规范,主要包括针对AIX 系统、Windows 系统、Linux 系统、HP UNIX 系统、Oracle 数 据库 系统、MS SQL 数 据库 系统,WEB...