序号

项目

服务内容

1

增加防火墙（含入侵防御及漏洞库模块）

在吴忠三十一光伏、吴忠第十四光伏、中卫第二十二光伏、星能第七风电场部署防火墙（含入侵防御及漏洞库模块）用 (略) 络节 (略) 络攻击行为。

2

部署电子门禁系统

在吴忠三十一光伏、牛首山第三风电场、太阳山第一风电场、太阳山第二风电场、星能第一风电场、星能第七风电场机房出入口部署电子门禁系统，保证机房安全。

3

主机加固

对吴忠三十一光伏、牛首山第三风电场、吴忠第十四光伏、中卫第二十二光伏、太阳山第一风电场、太阳山第二风电场、星能第一风电场、星能第七风电场、麻黄山第一风电场、麻黄山第五风电场的服务器及工作站开展主机加固基线合规工作，并输出《主机加固报告》。对于Windows操作系统，在加固的基础上，必须部署正版防病毒软件，包含三年病毒库免费升级。

4

技术调试及升级

对吴忠三十一光伏、牛首山第三风电场、吴忠第十四光伏、中卫第二十二光伏、太阳山第一风电场、太阳山第二风电场、星能第一风电场、星能第七风电场、麻黄山第一风电场、麻黄山第五 (略) 络安全监测装置及态势感知系统未满足测评要求的进行整改调试，并按照调度最新要求对主机白名单进行细化，对各站的隔 (略) 监装置进行升级，对各站的态势感知系统进行升级，并输出《技术调试整改报告》。

5

漏洞扫描及修复

对吴忠三十一光伏、牛首山第三风电场、吴忠第十四光伏、中卫第二十二光伏、太阳山第一风电场、太阳山第二风电场、星能第一风电场、星能第七风电场、麻黄山第一风电场、麻黄山第五风电场在测评中扫描发现的危险漏洞进行修复，并输出《漏洞修复报告》。漏洞修复完成后再次进行扫描，确保可以修复的漏洞得到全面修复。

6

应用系统加固

对吴忠三十一光伏、牛首山第三风电场、吴忠第十四光伏、中卫第二十二光伏、太阳山第一风电场、太阳山第二风电场、星能第一风电场、星能第七风电场、麻黄山第一风电场、麻黄山第五风电场站内应用系统、包括但不限于后台监控，五防，快频，态势感知，功率预测等，按照调度和等保测评要求进行加固和策略调整。

7

管理制度整改

对吴忠三十一光伏、牛首山第三风电场、吴忠第十四光伏、中卫第二十二光伏、太阳山第一风电场、太阳山第二风电场、星能第一风电场、星能第七风电场、麻黄山第一风电场、麻黄山第五风电场的电力监控系统安全管理制度，在此次测评中不满足测评要求的进行整改，更新整改内容输出最新版本的《安全管理制度》。

项目

内容

方法

帐号权限

对网络设备的管理权限进行划分和限制，将登录口令密文保存在配置文件中，确保系统帐号口令长度和 复杂 度满足安全要求,避免使用弱口令

1.加强用户认证，对网络设备的管理权限进行划分和限制；

2.修改帐号存在的弱口令（包括 SNMP 社区串）， (略) 络系统的口令长度>8位；

3.禁用不需要的用户；

4.对口令进行加密存储。

网络服务

(略) 络设备中不安全的服务， (略) 络设备只开启承载业务 (略) 络服务，远程控制有安全机制保证，限制能够访问本机的用户或 IP 地址

1.禁用 httpserver，或者对 httpserver进行访问控制；

2. 关闭不必要的SNMP服务， (略) 管参数的管理；

3.禁用与承载业务无关的服务（例如DHCP-relay、IGMP、CDP RUN、bootp服务等）；

4.对可 (略) (略) 段通过访问控制列表进行限制；

5.使用SSH等安全方式登录,禁用TELNET方式；

6.对SNMP进行ACL控制。

审计策略

(略) 络设备的安全审计功能，设置日志缓存大小，指定日志服务器

1.为网络设备指定日志服务器；

2.合理配置日志缓冲区大小

恶意代码防范

配置访问控制策略，屏蔽蠕虫端口，关闭不安全的服务避免被入侵者利用

1.屏蔽病 (略) 络端口；

2.使用 TCP eepalives 服务；

3.禁 (略) 由功能。

项目

内容

方法

帐户口令

以最小权限原则对操作系统用户、用户组进行权限设置，删除系统多余用户，设置口令复杂性要求，为用户设置强壮的口令，设置鉴别失败阈值及达到阈值所采取的措施，设置系统超时自动注销功能

1.合理配置应用帐户或自建帐户权限；

2.删除系统中多余的自建帐户；

3.禁用Guest帐户；

4.开启口令复杂性要求；5.设置口令确保长度和复杂度满足安全要求；

6.设置口令最短、最长存留期；

7.配置帐户锁定登录失败锁定次数、锁定时间；

8.配置管理控制台超时自动锁定时间，设置屏保口令保护；

网络服务

关闭系统中不安全的服务，确保操作系统只开启承载业务所必需 (略) 络端口，限制能够访问本机的用户或IP地址，远程访问控制应有安全机制保证

1.在不影响业务系统正常运行情况下，停止或禁用与承载业务无关的服务；

2.屏蔽与承载业 (略) 络端口；

3.使用安全的远程管理方式并关闭多余的远程管理方式；

4.设置访问控制策略限制能够访问本机的用户；

5.禁止匿名用户枚举SAM帐户和共享；

6.禁止默认共享（IPC$、C$、D$...）

数据访问控制

合理设置系统中重要文件和数据的访问权限，只授予必要的用户必需的访问权限

1.将系统重要的文件或目录的访问权限修改为管理员完全控制、数据拥有者完全控制或配置特殊权限，避免EVERYONE完全控制；

2.设置合理的初始文件权限，限制特定执行文件的权限。

审计策略

配置操作系统的安全审计功能，确保系统在发生安全事件时有日志可供分析

1.配置系统审核策略，配置审核登录事

件、审核帐户登录事件、审核帐户管理、审核策略管理、审核系统事件等；

2.对审计产生的数据分配合理的存储空间和存储时间；

3.设置合适的日志配置文件的访问控制避免被普通修改和删除。

恶意代码防范

对扫描或手工检查发现的系统漏洞进行修补，配置防病毒软件的防护策略

1.安装系统安全补*；

2.配置病毒库升级策略；

3.配置病毒查杀策略；

4.通过访问控制限制对漏洞程序的访问；

5.关闭存在漏洞的与承载业务无关的服务。

项目

内容

方法

帐户口令

修改弱口令帐号，确保系统帐号口令长度和复杂度满足安全要求

修改默认用户名和口令，设置用户口令长度>8位。

网络服务

关闭防火墙设备中不安全的服务，确保防火墙只开启承载业务 (略) 络服务

1.关闭不必要的 SNMP 服务。对相关参数设置严格管理；

2.关闭不必要的 HTTP 管理服务，必要时应采用安全HTTPS方式来管理防火墙，若无法使用HTTPS方式，则必须严格限制可管理的IP。

数据访问控制

确保远程控制有安全机制保证，严格设置访问控制策略

1. (略) 络安 (略) (略) 段分离，禁止外部用户对防火墙进行用户管理；

2.使用SSH等安全方式登录,禁用TELNET方式；

3.防火墙策略应严格限制 IP 地址和服务端口；

4.删除无效或无用的防火墙策略；

5.禁 (略) 。

审计策略

(略) 络设备的安全审计功能，设置日志缓存大小，指定日志服务器。

1.为防火墙设备指定日志服务器；

2.配置防火墙日志的保存期限为半年以上；

3.对关键的防火墙策略记录日志；

4.防火墙要提供日志（包括：系统日志和重要策略产生的日志）分析和管理功能。

恶意代码防范

更新附加功能策略库，配置防火墙自身抗攻击的功能

1.配置防火墙自身的抗DOS攻击的功能；

2.设置防火墙必要的事件报警功能；

3.更新防火墙自带的防病毒。

项目

内容

方法

帐号权限

修改弱口令帐号，确保管理员口令长度和复杂度满足安全要求

设置管理员口令长度>8位，至少包括数字和字母。

安全策略

配置装置的安全策略

1.严格设置安全控制策略，提高边界防护强度；

2.定期备份策略；

3.定期审核策略。

审计策略

配置装置的安全审计功能，设置日志缓存大小，指定日志服务器

1.为装置指定日志服务器；

2.配置装置日志的保存期限为一年以上并定期审核；

3.装置要提供日志（包括：系统日志和重要策略产生的日志）分析和管理功能。

项目

内容

方法

账号权限

以最小权限原则为每个帐号分配其必须的角色或权限，修改弱口令帐号，确保应用系统帐号口令长度和复杂度满足安全要求，设置应用系统用户交互登录失败、系统超时自动注销功能

1.在应用系统用户中删除或禁用调试帐号；

2.合理配置应用帐号或用户自建帐号的权限；

3.删除系统中多余的自建帐号和测试帐号；

4.确保系统管理员、审计管理员、业务操作员三权分立、互斥；

5.设置口令长度，重要系统的用户口令长度>8 位，一般系统的用户口令长度>6位，并且至少为字母、数字组合；

6.设置口令过期时间，以及口令不能重复的次数；

7.为用户设置强壮的口令；

8.设置锁定口令错误输入次数，以及锁定时间；

9.设置自动注销时间。

会话控制

为应用系统建立基于IP地址、访问时间等的会话允许、拒绝机制，只允许相关客户端 IP 地址和恰当时间范围内可以直接访问应用系统，启用应用系统的通信加密功能，保证

客户端与服务器通信 (略) 络传输过程中的安全，启用应用系统的重鉴别功能，保证关键、敏感操作的安全、可信

1.为关键用户设置登录的 IP 限制，仅允许最少的必要的 IP 地址可连接登录应用系统；

2.为关键用户设置登录的时间限制，仅允许必要的工作时间内可连接登录应用系统；

3.限制最大的客户端并发连接数；

4.禁止同一用户的多个并发连接；

5.启用应用软件提供的加密功能，在客户端和应用服务器 (略) 络通信；

6.启用应用软件提供的重鉴别功能，在用户执行关键、敏感权限时，必须再次进行鉴别（如口令鉴别等），才能执行成功。

数据访问控制

在操作系统中配置应用系统重要文件的访问权限，只授予必要的用户必要的访问权限

1.严格限制应用系统配置文件的访问权限，保证除属主和超级管理员外，其他用户对配置文件没有读、写权限；

2.设置可执行程序的访问权限，保证除属主和超级管理员外，其他用户对配置文件没有执行、修改权限。

审计策略

配置系统日志，设置日志过滤规则，对安全审计范围、日志文件存放位置等进行配置，防止审计数据被非法删除、修改

1.开启应用系统软件的日志记录功能，并配置恰当的参数；

2.修改应用日 (略) 径保证日志存18加固项目加固内容加固方法

进行配置，防止审计数据被非法删除、修改放的地点的安全可靠；

3.修改日志访问权限，设置为只有审计管理员才能删除。

恶意代码防范

对扫描或手工检查发现的系统漏洞进行修补，配置防病毒软件的防护策略

1.安装系统安全补*；

2.配置病毒库升级策略；

3.配置病毒查杀策略；

4.通过访问控制限制对漏洞程序的访问；

5.关闭存在漏洞的与承载业务无关的服务。

软件功能完善

（非现场加固项目）

修改应用软件，修补系统漏洞，增强系统欠缺的安全功能

1.由应用软件开发商修改应用软件，修补SQL 注入漏洞、越权操作、绕过验证、文件上传漏洞、允许匿名访问等漏洞；

2.由应用软件开发商开发欠缺的安全功能，例如审计功能、登录认证功能、加密功能等。

指标

参数规格要求

采购要求

数量

配置

标准1U机架式，无风扇；接口：标配6个10/100/1000M Base- (略) 络接口，2个USB口；BYPASS:支持2对BY (略) 络接口；

标准1U机架式，无风扇；接口：标配6个10/100/1000M Base- (略) 络接口，2个USB口；BYPASS:支持2对BY (略) 络接口；并发连接数不小于*；每秒新建连接数不少于*；吞吐量不少于2Gbps；

7台

性能

并发连接数不小于*；每秒新建连接数不少于*；吞吐量不少于2Gbps；

系统管理

支持系统盘、数据盘双存储磁盘结构；支持双系统引导，可在管理界面配置启动顺序，自由选择当前启动系统，同时具有备份系统；

支持三权分立功能，内置系统管理员、安全管理员、系统审计员；

支持异常行为特征库升级，并显示特征库升级记录；

网络适应性

产品既可支持串行部署，也 (略) 部署；

串行 (略) 由、透明、冗余、trunk、镜像模式部署；

旁路模式支持单臂和流量镜像到工业防火墙，进行安全检查；

监控统计

支持提供软硬件基本信息、运行时间等静态信息，还实时统 (略) 口使用状态、CPU使用率、内存使用率、系统盘使用率、数据盘使用率、并发会话量和吞吐量等动态安全信息；

事件中心

针对安全日志进行聚合处理，可以准确呈现安全事件的数量，并基于事件可以自动完善策略；

网络学台声明

此流程暂无信息

此流程暂无信息

此流程暂无信息