計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)方案

1、計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)方案方案1系統(tǒng)總體部署(1)涉密信息系統(tǒng)的組網(wǎng)模式為：服務(wù)器區(qū)、安全管理區(qū)、xx共同連接至核心交換機(jī)上，組成類(lèi)似于星型結(jié)構(gòu)的網(wǎng)絡(luò)模式，參照 TCP/IP網(wǎng)絡(luò)模型建立。核心交換機(jī)上配置三層網(wǎng)關(guān)并劃分Vlan ,在服務(wù)器安全訪問(wèn)控制中間件以及防火墻上啟用橋接模式，核心交換 機(jī)、服務(wù)器安全訪問(wèn)控制中間件以及防火墻上設(shè)置安全訪問(wèn)控制策略(ACL ,禁止部門(mén)間Vlan互訪，允許部門(mén)Vlan與服務(wù)器Vlan通信。 核心交換機(jī)鏡像數(shù)據(jù)至入侵檢測(cè)系統(tǒng)以及網(wǎng)絡(luò)安全審計(jì)系統(tǒng)； 服務(wù)器 區(qū)包含原有應(yīng)用系統(tǒng)；安全管理區(qū)包含網(wǎng)絡(luò)防病毒系統(tǒng)、 主機(jī)監(jiān)控與 審計(jì)系統(tǒng)、windows域控及WSUS卜丁分

2、發(fā)系統(tǒng)、身份認(rèn)證系統(tǒng)；xx 分包含所有業(yè)務(wù)部門(mén)。服務(wù)器安全訪問(wèn)控制中間件防護(hù)的應(yīng)用系統(tǒng)有：XX。統(tǒng)、XXX系統(tǒng)、XX。統(tǒng)、XXX系統(tǒng)以及XXX系統(tǒng)、。防火墻防護(hù)的應(yīng)用系統(tǒng)有：XXX XXX系統(tǒng)、XXX系統(tǒng)、XX。統(tǒng) 以及XX。統(tǒng)。(2)郵件系統(tǒng)的作用是：進(jìn)行信息的駐留轉(zhuǎn)發(fā)，實(shí)現(xiàn)點(diǎn)到點(diǎn)的非實(shí)時(shí)通信。完成集團(tuán)內(nèi)部的公文流轉(zhuǎn)以及協(xié)同工作。使用25、110端口，使用SMTFB議以及POP鈉、議，內(nèi)網(wǎng)終端使用C/S模式登錄郵 件系統(tǒng)將內(nèi)網(wǎng)用戶(hù)使用的郵件賬號(hào)在服務(wù)器群組安全訪問(wèn)控制中間件中劃分到不同的用戶(hù)組，針對(duì)不同的用戶(hù)組設(shè)置安全級(jí)別，安全級(jí)別 分為1-7級(jí)，可根據(jù)實(shí)際需求設(shè)置相應(yīng)的級(jí)別。1-7級(jí)的安全

3、層次為：1級(jí)最低級(jí)，7級(jí)最高級(jí)，由1到7逐級(jí)增高。即低密級(jí)用戶(hù)可以向高密級(jí)用戶(hù)發(fā)送郵件，高密級(jí)用戶(hù)不得向低密級(jí)用戶(hù)發(fā)送， 保證信息 流向的正確性，防止高密數(shù)據(jù)流向低密用戶(hù)。(3)針對(duì)物理風(fēng)險(xiǎn)，采取xx對(duì)射、xx報(bào)警、視頻監(jiān)控以及門(mén)禁 系統(tǒng)進(jìn)行防護(hù)。針對(duì)電磁泄射，采取線路干擾儀、視頻干擾儀以及紅 黑電源隔離插座進(jìn)行防護(hù)。2物理安全防護(hù)總體物理安全防護(hù)設(shè)計(jì)如下：(1)周邊環(huán)境安全控制XXX則和XXX則部署xx對(duì)射和入侵報(bào)警系統(tǒng)。部署視頻監(jiān)控，建立安防監(jiān)控中心，重點(diǎn)部位實(shí)時(shí)監(jiān)控。具體部署見(jiàn)下表：表1-1周邊安全建設(shè)序號(hào)保護(hù)部位現(xiàn)有防護(hù)措施需新增防護(hù)措施-1人員出入通道2物資出入通道3南側(cè)4西側(cè)5東側(cè)

4、6北側(cè)(2)要害部門(mén)部位安全控制增加電子門(mén)禁系統(tǒng)，采用智能IC卡和口令相結(jié)合的管理方式。具體防護(hù)措施如下表所示：表1-2要害部門(mén)部位安全建設(shè)序號(hào)保護(hù)部門(mén)出入口控制現(xiàn)有安全措施新增安全措施1門(mén)鎖/登記/24H警衛(wèi)值班2門(mén)鎖3門(mén)鎖4門(mén)鎖5門(mén)鎖/登記6門(mén)鎖/登記7門(mén)鎖/登記8門(mén)鎖/登記9機(jī)房出入登記10門(mén)鎖(3)電磁泄漏防護(hù)建設(shè)內(nèi)容包括：為使用非屏蔽雙絞線的鏈路加裝線路干擾儀。為涉密信息系統(tǒng)內(nèi)的終端和服務(wù)器安裝紅黑電源隔離插座。為視頻信號(hào)電磁泄漏風(fēng)險(xiǎn)較大的終端安裝視頻干擾儀。通過(guò)以上建設(shè)，配合安防管理制度以及電磁泄漏防護(hù)管理制度，使得達(dá)到物理安全防范到位、重要視頻監(jiān)控?zé)o死角、進(jìn)出人 員管理有序、實(shí)體

5、入侵報(bào)警響應(yīng)及時(shí)以及電磁泄漏信號(hào)無(wú)法捕捉、無(wú) 法還原2.1 xx對(duì)射(1)部署增加xx對(duì)射裝置，防護(hù)邊界，具體部署位置如下表:表1-1 xx對(duì)射部署統(tǒng)計(jì)表序號(hào)部署位置數(shù)量(對(duì))1東圍墻2北圍墻3合計(jì)部署方式如下圖所示:圖1-2 xx對(duì)射設(shè)備設(shè)備成對(duì)出現(xiàn)，在安裝地點(diǎn)雙向?qū)χ?，調(diào)整至相同水平位置。(2)第一次運(yùn)行策略xx對(duì)射24小時(shí)不間斷運(yùn)行，當(dāng)有物體通過(guò)，光線被遮擋，接收機(jī)信號(hào)發(fā)生變化，放大處理后報(bào)警。設(shè)置合適的響應(yīng)時(shí)間，以/秒的速度來(lái)確定最短遮光時(shí)間；設(shè)置人的寬度為，則最短遮斷時(shí)間為20毫秒，大于20毫秒報(bào)警，小于20毫秒不報(bào)警。(3)設(shè)備管理及策略xx對(duì)射設(shè)備由公安處負(fù)責(zé)管理，實(shí)時(shí)監(jiān)測(cè)設(shè)備運(yùn)

6、行情況及設(shè)備相 應(yīng)情況，定期對(duì)設(shè)備及傳輸線路進(jìn)行檢查、維護(hù)，并定期向保密辦提 交設(shè)備運(yùn)維報(bào)告。(4)部署后解決的風(fēng)險(xiǎn)解決重點(diǎn)部位監(jiān)控及區(qū)域控制相關(guān)風(fēng)險(xiǎn)。2.2 xx報(bào)警(1)部署增加xx報(bào)警裝置，對(duì)保密要害部位實(shí)體入侵風(fēng)險(xiǎn)進(jìn)行防護(hù)、報(bào)警，具體部署位置如下表：表1-2 xx報(bào)警部署統(tǒng)計(jì)表序號(hào)部署位置數(shù)量(個(gè))1234合計(jì)設(shè)備形態(tài)如下圖所示:圖1-3 xx報(bào)警設(shè)備部署在兩處房間墻壁角落，安裝高度距離地面2.0。(2)第一次運(yùn)行策略xx報(bào)警24小時(shí)不間斷運(yùn)行，設(shè)置檢測(cè)特征性10 p m波長(zhǎng)的xx線, 遠(yuǎn)離空調(diào)、暖氣等空氣溫度變化敏感的地方，不間隔屏、家具或其他 隔離物，不宜對(duì)窗口，防止窗外的熱氣流擾

7、動(dòng)和人員走動(dòng)會(huì)引起誤報(bào)。(3)設(shè)備管理及策略xx報(bào)警設(shè)備由公安處負(fù)責(zé)管理，監(jiān)測(cè)設(shè)備運(yùn)行情況及設(shè)備相應(yīng)情 況，定期對(duì)設(shè)備進(jìn)行檢查、維護(hù)，并定期向保密辦提交設(shè)備運(yùn)維報(bào)告。(4)部署后解決的風(fēng)險(xiǎn)解決重點(diǎn)部位監(jiān)控及區(qū)域控制相關(guān)風(fēng)險(xiǎn)2.3視頻監(jiān)控(1)部署增加視頻監(jiān)控裝置，對(duì)周界、保密要害部門(mén)部位的人員出入情況進(jìn)行實(shí)時(shí)監(jiān)控，具體部署位置如下表：表1-3視頻監(jiān)控部署統(tǒng)計(jì)表序號(hào)部署位置數(shù)量(個(gè))12345678合計(jì)設(shè)備形態(tài)如下圖所示:圖1-4視頻監(jiān)控設(shè)備視頻監(jiān)控在室外采用xx槍機(jī)式設(shè)備，室內(nèi)采用半球式設(shè)備，部署在房間墻壁角落，覆蓋門(mén)窗及重點(diǎn)區(qū)域計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)方案增加32路嵌入式硬盤(pán)錄像機(jī)一臺(tái)，用于對(duì)

8、視頻采集信息的收集和壓縮存檔。設(shè)備形態(tài)如下圖所示：圖1-5硬盤(pán)錄像機(jī)(2)第一次運(yùn)行策略視頻監(jiān)控24小時(shí)不間斷運(yùn)行，設(shè)置視頻采集格式為MPEG-4顯示分辨率768*576,存儲(chǔ)、回放分辨率 384*288。(3)設(shè)備管理及策略視頻監(jiān)控設(shè)備由公安處負(fù)責(zé)管理，實(shí)時(shí)監(jiān)測(cè)設(shè)備運(yùn)行情況及設(shè)備 相應(yīng)情況，定期對(duì)設(shè)備及傳輸線路進(jìn)行檢查、維護(hù)，并定期向保密辦 提交設(shè)備運(yùn)維報(bào)告。(4)部署后解決的風(fēng)險(xiǎn)解決重點(diǎn)部位監(jiān)控及區(qū)域控制相關(guān)風(fēng)險(xiǎn)。2.4門(mén)禁系統(tǒng)(1)部署計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)方案增加門(mén)禁系統(tǒng)，對(duì)保密要害部門(mén)部位人員出入情況進(jìn)行控制，并記錄xx,具體部署位置如下表：安裝示意圖表1-4門(mén)禁系統(tǒng)部署統(tǒng)計(jì)表序號(hào)部

9、署位置數(shù)量(個(gè))1234567891011合計(jì)部署示意圖如下圖所示:圖1-6門(mén)禁系統(tǒng)部署方式(2)第一次運(yùn)行策略對(duì)每個(gè)通道設(shè)置權(quán)限，制作門(mén)禁卡，對(duì)可以進(jìn)出該通道的人進(jìn)行 進(jìn)出方式的授權(quán)，采取密碼+ 讀卡方式；設(shè)置可以通過(guò)該通道的人在 什么時(shí)間范圍內(nèi)可以進(jìn)出；實(shí)時(shí)提供每個(gè)門(mén)區(qū)人員的進(jìn)出情況、每個(gè) 門(mén)區(qū)的狀態(tài)(包括門(mén)的開(kāi)關(guān)，各種非正常狀態(tài)報(bào)警等)，設(shè)置在緊急 狀態(tài)打開(kāi)或關(guān)閉所有門(mén)區(qū)的功能；設(shè)置防尾隨功能。(3)設(shè)備管理及策略門(mén)禁系統(tǒng)由公安處負(fù)責(zé)管理，定期監(jiān)測(cè)設(shè)備運(yùn)行情況及設(shè)備相應(yīng) 情況，對(duì)設(shè)備及傳輸線路進(jìn)行檢查、維護(hù)，并定期向保密辦提交設(shè)備 運(yùn)維報(bào)告。(4)部署后解決的風(fēng)險(xiǎn)解決重點(diǎn)部位監(jiān)控及區(qū)域控

10、制相關(guān)風(fēng)險(xiǎn)。2.5線路干擾儀(1)部署增加8 口線路干擾儀，防護(hù)傳輸數(shù)據(jù)沿網(wǎng)線以電磁傳導(dǎo)、輻射發(fā) 射、耦合等方式泄漏的情況。將從交換機(jī)引至其布線最遠(yuǎn)端以及次遠(yuǎn) 端的線纜插接至線路干擾儀，并由線路干擾儀連接至最遠(yuǎn)端和次遠(yuǎn) 端，將該設(shè)備進(jìn)行接地處理。具體部署位置如下表：表1-6線路干擾儀部署統(tǒng)計(jì)表序號(hào)部署位置數(shù)量(個(gè))12計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)方案3合計(jì)設(shè)備形態(tài)如下圖所示:圖1-11線路干擾儀設(shè)備(2)第一次運(yùn)行策略在網(wǎng)線中一對(duì)空線對(duì)上注入偽隨機(jī)寬帶掃頻加擾信號(hào) ，使之能 跟隨其他三對(duì)網(wǎng)線上的信號(hào)并行傳輸?shù)搅硪唤K端；竊密者若再?gòu)木W(wǎng)線 或其他與網(wǎng)絡(luò)干線相平行的導(dǎo)線(如電話線及電源線等)上竊取信息,

11、實(shí)際上所竊得的僅是已被加擾信號(hào)充分湮沒(méi)了的混合信號(hào)。(3)設(shè)備管理及策略線路干擾儀由信息中心負(fù)責(zé)管理，對(duì)設(shè)備編號(hào)、標(biāo)識(shí)密級(jí)、擺放、 調(diào)測(cè)、定期對(duì)設(shè)備及傳輸線路進(jìn)行檢查、維護(hù)，并定期向保密辦提交 設(shè)備運(yùn)維報(bào)告。(4)部署后解決的風(fēng)險(xiǎn)解決傳輸線路的電磁泄漏發(fā)射防護(hù)相關(guān)風(fēng)險(xiǎn)。2.6視頻干擾儀增加視頻干擾儀，防止對(duì)涉密終端視頻信息的竊取，對(duì)存在的涉密終端部署，將該設(shè)備進(jìn)行接地處理。、XXX號(hào)樓具體部署位置如下表：表1-7視頻干擾儀部署統(tǒng)計(jì)表序號(hào)部署位置數(shù)量(個(gè))12311合計(jì)設(shè)備形態(tài)如下圖所示:圖1-12視頻干擾儀設(shè)備(2)第一次運(yùn)行策略設(shè)置設(shè)備運(yùn)行頻率為1000 MHz(3)設(shè)備管理及策略視頻干擾儀

12、由信息中心負(fù)責(zé)管理，監(jiān)測(cè)設(shè)備運(yùn)行情況及設(shè)備相應(yīng) 情況，定期對(duì)設(shè)備進(jìn)行檢查、維護(hù)，并定期向保密辦提交設(shè)備運(yùn)維報(bào) 告。(4)部署后解決的風(fēng)險(xiǎn)解決信息設(shè)備的電磁泄漏發(fā)射防護(hù)相關(guān)風(fēng)險(xiǎn)。2.7紅黑電源隔離插座(1)部署增加紅黑電源隔離插座，防護(hù)電源電磁泄漏，連接的紅黑電源需 要進(jìn)行接地處理。具體部署位置如下表：表1-8紅黑電源部署統(tǒng)計(jì)表序號(hào)部署位置數(shù)量(個(gè))1涉密終端2服務(wù)器3UPS4合計(jì)產(chǎn)品形態(tài)如下圖所示:圖1-13紅黑電源隔離插座(2)運(yùn)行維護(hù)策略要求所有涉密機(jī)均直接連接至紅黑電源上，紅黑電源上不得插接 其他設(shè)備。安裝在涉密終端及涉密單機(jī)的紅黑隔離電源由使用者維 護(hù)，安裝在服務(wù)器的由信息中心維護(hù)，出

13、現(xiàn)問(wèn)題向保密辦報(bào)告。(4)部署后解決的風(fēng)險(xiǎn)解決信息設(shè)備的電磁泄漏發(fā)射防護(hù)相關(guān)風(fēng)險(xiǎn)。3網(wǎng)絡(luò)安全防護(hù)3.1 網(wǎng)閘使用1臺(tái)網(wǎng)閘連接主中心以及從屬中心，用于安全隔離及信息交(1)部署部署1臺(tái)網(wǎng)閘于主中心及從屬中心核心交換機(jī)之間，做單向訪問(wèn) 控制與信息交互。設(shè)備啟用路由模式，通過(guò)路由轉(zhuǎn)發(fā)連接主中心以及從屬中心，從物理層到應(yīng)用層終結(jié)所有的協(xié)議包， 還原成原始應(yīng)用數(shù) 據(jù)，以完全私有的方式傳遞到另一個(gè)網(wǎng)絡(luò)， 主中心以及從屬中心之間在任一時(shí)刻點(diǎn)上都不產(chǎn)生直接的物理連通。部署拓?fù)涫疽鈭D如下：核心交換機(jī)核心交換機(jī)圖1-8網(wǎng)閘部署拓?fù)涫疽鈭D(2)第一次運(yùn)行策略配置從屬中心訪問(wèn)主中心的權(quán)限，允許從屬中心特定地址訪問(wèn)主

14、中心所有服務(wù)器，允許其他地址訪問(wèn)公司內(nèi)部門(mén)戶(hù)以及人力資源系 統(tǒng)，配置訪問(wèn)內(nèi)部門(mén)戶(hù)SQL server數(shù)據(jù)庫(kù)服務(wù)器，禁止其他所有訪 問(wèn)方式。配置網(wǎng)閘病毒掃描，對(duì)流經(jīng)網(wǎng)閘設(shè)備數(shù)據(jù)進(jìn)行病毒安全掃描。 配置系統(tǒng)使用Https方式管理，確保管理安全。(3)設(shè)備管理及策略網(wǎng)閘設(shè)備按照網(wǎng)閘運(yùn)維管理制度進(jìn)行管理。計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)方案a、由信息中心管理網(wǎng)閘設(shè)備，分別設(shè)置管理員、安全保密管理員、安全審計(jì)員的口令，由“三員”分別管理。b、由信息中心對(duì)網(wǎng)閘設(shè)備進(jìn)行編號(hào)、標(biāo)識(shí)密級(jí)、安放至安全管 理位置。c、信息中心負(fù)責(zé)網(wǎng)閘設(shè)備的日常運(yùn)行維護(hù)，每周登陸設(shè)備查看 設(shè)備配置、設(shè)備自身運(yùn)行狀態(tài)、轉(zhuǎn)發(fā)數(shù)據(jù)量狀態(tài)、系統(tǒng)日志等

15、內(nèi)容。d、信息中心發(fā)現(xiàn)異常情況及時(shí)通報(bào)保密辦，并查找問(wèn)題原因， 各部門(mén)配合信息中心及時(shí)解決問(wèn)題。e、信息中心負(fù)責(zé)網(wǎng)閘設(shè)備的維修管理，設(shè)備出現(xiàn)問(wèn)題，通知保 密辦，獲得批準(zhǔn)后，負(fù)責(zé)設(shè)備的維修管理。(4)部署后解決的風(fēng)險(xiǎn)解決兩網(wǎng)互聯(lián)的邊界防護(hù)問(wèn)題，對(duì)應(yīng)用的訪問(wèn)進(jìn)行細(xì)粒度的控 制，各自隔離，兩網(wǎng)在任一時(shí)刻點(diǎn)上都不產(chǎn)生直接的物理連通。3.2 防火墻涉密信息系統(tǒng)采用防火墻系統(tǒng)1xx進(jìn)行邊界防護(hù)，用于涉密信息 系統(tǒng)網(wǎng)關(guān)的安全控制、網(wǎng)絡(luò)層審計(jì)等。防火墻系統(tǒng)部署于從屬中心。 原有防火墻部署于主中心，不做調(diào)整。使用防火墻系統(tǒng)限制從屬中心終端訪問(wèn)機(jī)密級(jí)服務(wù)器的權(quán)限，并且記錄所有與服務(wù)器區(qū)進(jìn)行交互的 XX。防火墻的e

16、thl 口、eth2 口設(shè) 置為透明模式，配置橋接口 fwbridgeO IP地址，配置管理方式為https 方式，打開(kāi)多VLANFF關(guān)，打開(kāi)tcp、udp、ICMP廣播過(guò)濾。防火墻的 xx數(shù)據(jù)庫(kù)安裝在安全管理服務(wù)器上。部署拓?fù)涫疽鈭D如下：秘密級(jí)服務(wù)器群從屬中心防火墻核心交換機(jī)圖1-9防火墻部署示意圖(2)第一次運(yùn)行策略防火墻上設(shè)置訪問(wèn)控制策略，并設(shè)定不同用戶(hù)所能訪問(wèn)的資源:a、允許從屬中心授權(quán)用戶(hù)訪問(wèn)軟件配置管理系統(tǒng)。b、開(kāi)放系統(tǒng)內(nèi)所能使用到的端口，其他不使用的端口進(jìn)行全部 禁止訪問(wèn)限制。c、可以依據(jù)保密辦相關(guān)規(guī)定設(shè)定審查關(guān)鍵字，對(duì)于流經(jīng)防火墻 的數(shù)據(jù)流進(jìn)行關(guān)鍵字過(guò)濾。d、審計(jì)從屬中心用戶(hù)和

17、服務(wù)器區(qū)域的數(shù)據(jù)交換信息，記錄審計(jì)XX。計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)方案e、整個(gè)防火墻系統(tǒng)的整個(gè)運(yùn)行過(guò)程和網(wǎng)絡(luò)信息流等信息，均進(jìn)行詳細(xì)的xx記錄，方便管理員進(jìn)行審查。(3)設(shè)備管理及策略防火墻系統(tǒng)由信息中心進(jìn)行管理及維護(hù)，任何策略的改動(dòng)均需要經(jīng)過(guò)保密辦的討論后方可實(shí)施。防火墻的 xx系統(tǒng)維護(hù)，xx的保存與 備份按照防火墻運(yùn)維管理制度進(jìn)行管理。a、由信息中心管理防火墻設(shè)備，分別設(shè)置管理員、安全保密管 理員、安全審計(jì)員的口令，由“三員”分別管理。b、由信息中心對(duì)防火墻設(shè)備進(jìn)行編號(hào)、標(biāo)識(shí)密級(jí)、安放至安全管理位置。c、信息中心負(fù)責(zé)防火墻設(shè)備的日常運(yùn)行維護(hù)，每周登陸設(shè)備查看設(shè)備配置、設(shè)備自身運(yùn)行狀態(tài)、轉(zhuǎn)發(fā)數(shù)據(jù)

18、量狀態(tài)、系統(tǒng)日志等內(nèi)容。d、信息中心發(fā)現(xiàn)異常情況及時(shí)通報(bào)保密辦，并查找問(wèn)題原因，各部門(mén)配合信息中心及時(shí)解決問(wèn)題。e、信息中心負(fù)責(zé)防火墻設(shè)備的維修管理，設(shè)備出現(xiàn)問(wèn)題，通知保密辦，獲得批準(zhǔn)后，負(fù)責(zé)設(shè)備的維修管理。(4)部署后解決的風(fēng)險(xiǎn)原有防火墻保證主中心各 Vlan的三層邏輯隔離，對(duì)各安全域之 間進(jìn)行訪問(wèn)控制，對(duì)網(wǎng)絡(luò)層訪問(wèn)進(jìn)行記錄與審計(jì)，保證信息安全保密 要求的訪問(wèn)控制以及安全審計(jì)部分要求。3.3 入侵檢測(cè)系統(tǒng)使用原有入侵檢測(cè)設(shè)備進(jìn)行網(wǎng)絡(luò)層監(jiān)控，保持原有部署及原有配 置不變，設(shè)備的管理維護(hù)依舊。此設(shè)備解決的風(fēng)險(xiǎn)為對(duì)系統(tǒng)內(nèi)的安全 事件監(jiān)控與報(bào)警，滿(mǎn)足入侵監(jiān)控要求。3.4 違規(guī)xx系統(tǒng)(1)部署采用涉

19、密計(jì)算機(jī)違規(guī)xx監(jiān)控系統(tǒng)，部署于內(nèi)網(wǎng)終端、涉密單機(jī) 及中間機(jī)上。的違規(guī)xx監(jiān)控系統(tǒng)采用B/S構(gòu)架部署，安裝1臺(tái)內(nèi)網(wǎng) 監(jiān)控服務(wù)器、1臺(tái)外網(wǎng)監(jiān)控服務(wù)器，安裝645個(gè)客戶(hù)端，全部安裝于 內(nèi)網(wǎng)終端、涉密單機(jī)以及中間機(jī)上。部署示意圖如下。撥號(hào)、WLan 3G-Internet耳慶華公司違規(guī)外聯(lián)監(jiān)控公網(wǎng)報(bào)警服務(wù)器實(shí)時(shí)監(jiān)控涉密內(nèi)網(wǎng)慶華公司違規(guī)外聯(lián)監(jiān)控 內(nèi)網(wǎng)管理服務(wù)器實(shí)時(shí)監(jiān)控均安裝違規(guī)外聯(lián)監(jiān)控系統(tǒng)客戶(hù)端圖1-1違規(guī)xx系統(tǒng)部署示意圖(2)第一次運(yùn)行策略系統(tǒng)實(shí)時(shí)地監(jiān)測(cè)受控網(wǎng)絡(luò)內(nèi)主機(jī)及移動(dòng)主機(jī)的活動(dòng)，對(duì)非法內(nèi)/xx行為由報(bào)警控制中心記錄并向管理員提供準(zhǔn)確的告警。同時(shí)，按照預(yù)定的策略對(duì)非法連接實(shí)施阻斷， 防止數(shù)據(jù)外

20、泄。報(bào)警控制中心能 夠以手機(jī)短信、電子郵件兩種告警方式向網(wǎng)絡(luò)管理員告警，其中手機(jī) 短信是完全實(shí)時(shí)的告警，非常方便和及時(shí)。(3)設(shè)備管理及策略違規(guī)xx監(jiān)控系統(tǒng)由信息中心進(jìn)行管理及維護(hù)，任何策略的改動(dòng) 均需要經(jīng)過(guò)保密辦的討論后方可實(shí)施。 違規(guī)xx監(jiān)控系統(tǒng)的xx系統(tǒng)同 時(shí)維護(hù)，xx的保存與備份按照違規(guī)xx監(jiān)控系統(tǒng)運(yùn)維管理制度進(jìn) 行管理。a、由信息中心管理違規(guī)xx監(jiān)控系統(tǒng)，分別設(shè)置管理員、安全保 密管理員、安全審計(jì)員的口令，由“三員”分別管理。b、由信息中心對(duì)違規(guī)xx監(jiān)控系統(tǒng)報(bào)警服務(wù)器進(jìn)行編號(hào)、標(biāo)識(shí)密 級(jí)、安放至安全管理位置。c、信息中心負(fù)責(zé)違規(guī)xx監(jiān)控系統(tǒng)的日常運(yùn)行維護(hù)，每周登陸設(shè) 備查看服務(wù)器硬件

21、運(yùn)行狀態(tài)、策略配置、系統(tǒng)日志等內(nèi)容。d、信息中心發(fā)現(xiàn)異常情況及時(shí)通報(bào)保密辦，并查找問(wèn)題原因，各部門(mén)配合信息中心及時(shí)解決問(wèn)題。e、信息中心負(fù)責(zé)違規(guī)xx監(jiān)控系統(tǒng)服務(wù)器的維修管理，設(shè)備出現(xiàn) 問(wèn)題，通知保密辦，獲得批準(zhǔn)后，聯(lián)系廠家負(fù)責(zé)設(shè)備的維修管理。f、當(dāng)系統(tǒng)出現(xiàn)新版本，由管理員負(fù)責(zé)及時(shí)更新系統(tǒng)并做好備份 工作。（4）部署后解決的風(fēng)險(xiǎn)解決違規(guī)撥號(hào)、違規(guī)連接和違規(guī)無(wú)線上網(wǎng)等風(fēng)險(xiǎn)。4應(yīng)用安全防護(hù)4.1 服務(wù)器群組安全訪問(wèn)控制中間件涉密信息系統(tǒng)采用服務(wù)器群組安全訪問(wèn)控制中間件 2xx,用于涉 密信息系統(tǒng)主中心秘密級(jí)服務(wù)器、從屬中心秘密級(jí)服務(wù)器邊界的安全計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)方案控制、應(yīng)用身份認(rèn)證、郵件轉(zhuǎn)發(fā)控

22、制、網(wǎng)絡(luò)審計(jì)以及郵件審計(jì)等。防 護(hù)主中心的XXX系統(tǒng)、XXX系統(tǒng)、XXXK統(tǒng)、XXX系統(tǒng)、XXX系統(tǒng)以及 XXX門(mén)戶(hù)；防護(hù)從屬中心的XXX(統(tǒng)以及XXX類(lèi)軟件系統(tǒng)。(1)部署由于主中心的終端之間以及從屬中心內(nèi)的終端之間數(shù)據(jù)流動(dòng)均被設(shè)計(jì)為以服務(wù)器為跳板進(jìn)行駐留轉(zhuǎn)發(fā)，所以在服務(wù)器前端的服務(wù)器群組安全訪問(wèn)控制中間件系統(tǒng)起到了很強(qiáng)的訪問(wèn)控制功能， 限制終端 訪問(wèn)服務(wù)器的權(quán)限并且記錄所有與服務(wù)器區(qū)進(jìn)行交互的 xx。服務(wù)器群組安全訪問(wèn)控制中間件的ethl 口、eth2 口設(shè)置為透明模式，啟用 橋接口進(jìn)行管理。部署拓?fù)涫疽鈭D如下：服務(wù)器安 全訪問(wèn)控 制中間件00機(jī)密級(jí)服務(wù)器群服務(wù)器安 全訪問(wèn)控 制中間件(2

23、)第一次運(yùn)行策略圖1-10服務(wù)器群組安全訪問(wèn)控制中間件部署示意圖計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)方案服務(wù)器群組安全訪問(wèn)控制中間件上設(shè)置訪問(wèn)控制策略，并設(shè)定不 同用戶(hù)所能訪問(wèn)的服務(wù)器資源；設(shè)置郵件轉(zhuǎn)發(fā)控制功能，為每個(gè)用戶(hù) 設(shè)置訪問(wèn)賬號(hào)及密碼，依據(jù)密級(jí)將用戶(hù)劃分至不同用戶(hù)組中， 高密級(jí) 用戶(hù)不得向低密級(jí)用戶(hù)發(fā)送郵件。配置郵件審計(jì)功能，記錄發(fā)件人， 收件人，抄送人，主題，附件名等。配置網(wǎng)絡(luò)審計(jì)與控制功能，可以 依據(jù)保密辦相關(guān)規(guī)定設(shè)定審查關(guān)鍵字，對(duì)于流經(jīng)系統(tǒng)的數(shù)據(jù)流進(jìn)行關(guān) 鍵字過(guò)濾；審計(jì)內(nèi)部用戶(hù)和服務(wù)器區(qū)域的數(shù)據(jù)交換信息， 審計(jì)應(yīng)用訪 問(wèn)XX。(3)設(shè)備管理及策略服務(wù)器群組安全訪問(wèn)控制中間件系統(tǒng)由信息中心進(jìn)行管

24、理及維 護(hù)，任何策略的改動(dòng)均需要經(jīng)過(guò)保密辦的討論后方可實(shí)施。服務(wù)器群組安全訪問(wèn)控制中間件的XX系統(tǒng)維護(hù)，xx的保存與備份按照服務(wù) 器群組安全訪問(wèn)控制中間件運(yùn)維管理制度進(jìn)行管理。a、由信息中心管理服務(wù)器群組安全訪問(wèn)控制中間件設(shè)備，分別 設(shè)置管理員、安全保密管理員、安全審計(jì)員的口令，由“三員”分別 管理。b、由信息中心分別對(duì)2xx服務(wù)器群組安全訪問(wèn)控制中間件設(shè)備 進(jìn)行編號(hào)、標(biāo)識(shí)密級(jí)、安放至安全管理位置。c、信息中心負(fù)責(zé)服務(wù)器群組安全訪問(wèn)控制中間件設(shè)備的日常運(yùn) 行維護(hù)，每周登陸設(shè)備查看設(shè)備配置、設(shè)備自身運(yùn)行狀態(tài)、轉(zhuǎn)發(fā)數(shù)據(jù) 量狀態(tài)、系統(tǒng)日志等內(nèi)容。d、信息中心發(fā)現(xiàn)異常情況及時(shí)通報(bào)保密辦，并查找問(wèn)題原因

25、， 各部門(mén)配合信息中心及時(shí)解決問(wèn)題。e、信息中心負(fù)責(zé)服務(wù)器群組安全訪問(wèn)控制中間件設(shè)備的維修管 理，設(shè)備出現(xiàn)問(wèn)題，通知保密辦，獲得批準(zhǔn)后，負(fù)責(zé)設(shè)備的維修管理，（4）部署后解決的風(fēng)險(xiǎn)解決對(duì)應(yīng)用訪問(wèn)的邊界防護(hù)、應(yīng)用及網(wǎng)絡(luò)審計(jì)、數(shù)據(jù)庫(kù)安全以及 數(shù)據(jù)流向控制，滿(mǎn)足邊界防護(hù)、安全審計(jì)及數(shù)據(jù)庫(kù)安全等要求。4.2 windows域控及補(bǔ)丁分發(fā)改造原有AD主域控制器及備份域控制器。（1）部署的主中心以及從屬中心均部署 AD主域控制器及備份域控制器， 共計(jì)2套，并建立IIS服務(wù)器，安裝WSUSI務(wù)器，提供系統(tǒng)補(bǔ)丁強(qiáng) 制更新服務(wù)。將終端系統(tǒng)的xx完全與活動(dòng)目錄集成，用戶(hù)授權(quán)管理 和目錄進(jìn)入控制整合在活動(dòng)目錄當(dāng)中（包

26、括用戶(hù)的訪問(wèn)和登錄權(quán)限 等）。通過(guò)實(shí)施安全策略，實(shí)現(xiàn)系統(tǒng)內(nèi)用戶(hù)登錄身份認(rèn)證，集中控制用戶(hù)授權(quán)。終端操作基于策略的管理。通過(guò)設(shè)置組策略把相應(yīng)各種策略(包括安全策略)實(shí)施到組策略對(duì)象中。部署拓?fù)涫疽鈭D如下：圖1-7域控及WSU部署示意圖(2)第一次運(yùn)行策略建立好域成員及其密碼，將所有內(nèi)網(wǎng)終端的本地賬號(hào)權(quán)限收回，內(nèi)網(wǎng)終端只能使用管理員下發(fā)的域成員用戶(hù)登錄系統(tǒng)。 通過(guò)組策略指 定不同安全域用戶(hù)口令的復(fù)雜性、xx、使用周期、鎖定策略，指定每 一個(gè)用戶(hù)可登錄的機(jī)器。機(jī)密級(jí)終端需要將USB-KE,牌與域用戶(hù)登 錄結(jié)合使用，達(dá)到“雙因子”鑒別的過(guò)程。設(shè)置終端用戶(hù)工作環(huán)境，隱藏用戶(hù)無(wú)用的桌面圖標(biāo)，刪除“開(kāi)始”菜

27、單中的“運(yùn)行”、“搜索”功能。啟用內(nèi)網(wǎng)Windows X%端內(nèi)置的WSU落戶(hù)端。由系統(tǒng)漏洞的官 方漏洞發(fā)布頁(yè)下載完整的系統(tǒng)漏洞修復(fù)程序，將此程序通過(guò)中間機(jī)系 計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)方案統(tǒng)導(dǎo)入涉密信息系統(tǒng)，在WSUS艮務(wù)器端導(dǎo)入此程序，由WSU服務(wù)器 下發(fā)系統(tǒng)補(bǔ)丁強(qiáng)制修復(fù)策略，強(qiáng)制更新各個(gè)終端的系統(tǒng)漏洞。(3)設(shè)備管理及策略AD控系統(tǒng)以及WSUS丁分發(fā)系統(tǒng)由信息中心進(jìn)行管理及維護(hù)， 域控組策略的改動(dòng)均需要經(jīng)過(guò)保密辦的討論后方可操作。WSU繇統(tǒng)的升級(jí)更新按照與管理及補(bǔ)丁分發(fā)運(yùn)維管理制度進(jìn)行管理。a、由信息中心管理AD域控系統(tǒng)以及 WSUS卜丁分發(fā)系統(tǒng)，分別 設(shè)置管理員、安全保密管理員、安全審計(jì)員的

28、口令，由“三員”分別 管理。b、由信息中心分別對(duì)2套AD域控系統(tǒng)以及WSUS卜丁分發(fā)系統(tǒng) 服務(wù)器進(jìn)行編號(hào)、標(biāo)識(shí)密級(jí)、安放至安全管理位置。c、信息中心負(fù)責(zé)AD域控系統(tǒng)以及WSUS卜丁分發(fā)系統(tǒng)服務(wù)器的 日常運(yùn)行維護(hù)，每周登陸服務(wù)器查看服務(wù)器硬件運(yùn)行狀態(tài)、 組策略配 置、域成員狀態(tài)、系統(tǒng)日志等內(nèi)容。d、信息中心發(fā)現(xiàn)異常系統(tǒng)日志及時(shí)通報(bào)保密辦，并查找原因， 追究根源。(4)部署后解決的風(fēng)險(xiǎn)解決部分身份鑒別以及操作系統(tǒng)安全相關(guān)風(fēng)險(xiǎn)。使用網(wǎng)絡(luò)安全審計(jì)系統(tǒng)2xx,用于對(duì)涉密信息系統(tǒng)的網(wǎng)絡(luò)及應(yīng)用 進(jìn)行安全審計(jì)和監(jiān)控。審計(jì)功能包括：應(yīng)用層協(xié)議還原審計(jì)、數(shù)據(jù)庫(kù) 審計(jì)、網(wǎng)絡(luò)行為審計(jì)、自定義關(guān)鍵字審計(jì)等。(1)部署x

29、x部署于核心交換機(jī)的鏡像目的接口，部署數(shù)量為 2xx,分別部 署于主中心以及從屬中心的核心交換機(jī)上。 設(shè)置其管理地址，用于系 統(tǒng)管理及維護(hù)。部署拓?fù)涫疽鈭D如下：從屬中心 核心交換機(jī)核心交換機(jī)圖1-14網(wǎng)絡(luò)安全審計(jì)部署示意圖(2)第一次運(yùn)行策略配置審計(jì)http、POP3 Smtp imap、telnet、FTP協(xié)議以及自定 義審計(jì) 1433、8080、27000、1043、1034、1037、1041、1040、1042、 6035、7777、3690端口；依據(jù)保密規(guī)定設(shè)定相關(guān)關(guān)鍵詞字，審計(jì)關(guān) 鍵詞字；使用Https方式管理系統(tǒng)。(3)設(shè)備管理及策略計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)方案網(wǎng)絡(luò)安全審計(jì)系統(tǒng)由信

30、息中心進(jìn)行管理及維護(hù)，審計(jì)策略的改動(dòng)均需要經(jīng)過(guò)保密辦的討論后方可操作。網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的xx系統(tǒng)維護(hù)，xx的保存與備份按照網(wǎng)絡(luò)安全審計(jì)運(yùn)維管理制度進(jìn)行管 理。a、由信息中心管理網(wǎng)絡(luò)安全審計(jì)設(shè)備，分別設(shè)置管理員、安全 保密管理員、安全審計(jì)員的口令，由“三員”分別管理。b、由信息中心分別對(duì)2xx網(wǎng)絡(luò)安全審計(jì)設(shè)備進(jìn)行編號(hào)、標(biāo)識(shí)密 級(jí)、安放至安全管理位置。c、信息中心負(fù)責(zé)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的日常運(yùn)行維護(hù)，每周登陸 設(shè)備查看設(shè)備配置、設(shè)備自身運(yùn)行狀態(tài)、轉(zhuǎn)發(fā)數(shù)據(jù)量狀態(tài)、系統(tǒng)日志 等內(nèi)容。d、信息中心發(fā)現(xiàn)異常審計(jì)xx及時(shí)通報(bào)保密辦，并查找原因，追 究根源。e、信息中心負(fù)責(zé)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的維修管理，設(shè)備出現(xiàn)問(wèn)

31、題， 通知保密辦，獲得批準(zhǔn)后，負(fù)責(zé)設(shè)備的維修管理。（4）部署后解決的風(fēng)險(xiǎn)解決應(yīng)用審計(jì)，針對(duì)內(nèi)容進(jìn)行審計(jì)記錄，滿(mǎn)足安全審計(jì)相關(guān)要求。5終端安全防護(hù)5.1防病毒系統(tǒng)計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)方案將使用網(wǎng)絡(luò)版防病毒軟件建立病毒防護(hù)系統(tǒng)，共計(jì)26個(gè)服務(wù)器端，419個(gè)客戶(hù)端，分別部署在主中心以及從屬中心。將使用單機(jī)版防病毒軟件建立中間機(jī)、單機(jī)及便攜式計(jì)算機(jī)病毒 防護(hù)系統(tǒng)，共計(jì)226個(gè)終端。(1)部署防病毒系統(tǒng)采用客戶(hù)端+服務(wù)器結(jié)構(gòu)，服務(wù)器由信息中心負(fù)責(zé)管 理。殺毒中心安裝：安裝在安全管理服務(wù)器上，設(shè)置好 admin密碼， 并且將注冊(cè)信息輸入到殺毒控制中心。服務(wù)器安裝：在各類(lèi)服務(wù)器上安裝殺毒服務(wù)器端，設(shè)置殺毒

32、中心 的IP地址，并保持與殺毒中心的實(shí)時(shí)通信。客戶(hù)端安裝：所有的內(nèi)外終端均安裝客戶(hù)端殺毒程序，設(shè)置殺毒 中心的IP地址，與殺毒中心同步。單機(jī)防病毒系統(tǒng)直接部署在涉密單機(jī)及中間機(jī)上。(2)第一次運(yùn)行策略防病毒控制中心服務(wù)器部署在保密室。網(wǎng)絡(luò)防病毒系統(tǒng)連接在核 心交換機(jī)的access接口上。交換機(jī)接口配置Vlan二層信息為：接口 類(lèi)型為access,為其劃分Vlan ,使得其與其他Vlan不能通過(guò)二層相 通，使得網(wǎng)絡(luò)防病毒系統(tǒng)需要通過(guò)三層與其他 Vlan通信，即網(wǎng)絡(luò)防病毒系統(tǒng)可以對(duì)網(wǎng)絡(luò)中所有的主機(jī)設(shè)備進(jìn)行殺毒統(tǒng)一管理和在線控 制。所有接入網(wǎng)絡(luò)的終端計(jì)算機(jī)和應(yīng)用服務(wù)器(windows操作系統(tǒng)) 都安

33、裝防病毒軟件，管理員通過(guò)控制臺(tái)實(shí)現(xiàn)對(duì)全網(wǎng)防病毒系統(tǒng)的統(tǒng)一 管理，并強(qiáng)制在用戶(hù)接入網(wǎng)絡(luò)時(shí)安裝防病毒客戶(hù)端。升級(jí)方式為：在非涉密計(jì)算機(jī)上從互聯(lián)網(wǎng)下載最新的防病毒系統(tǒng) 升級(jí)包，刻制成光盤(pán)。將此光盤(pán)上的防病毒系統(tǒng)升級(jí)包通過(guò)非涉密中 間機(jī)導(dǎo)入到涉密光盤(pán)上，帶入到涉密內(nèi)網(wǎng)的防病毒系統(tǒng)服務(wù)器上。 利 用服務(wù)器上的防病毒系統(tǒng)服務(wù)端提供的接口導(dǎo)入升級(jí)包，再通過(guò)服務(wù)端將更新了的病毒庫(kù)向每一臺(tái)防病毒系統(tǒng)客戶(hù)端進(jìn)行強(qiáng)制更新。防病毒管理：定期升級(jí)病毒特征庫(kù)，每周不少于一次；定期進(jìn)行 全網(wǎng)殺毒掃描，每天計(jì)劃不少于一次；每月檢查防病毒系統(tǒng)的運(yùn)行情 況并記錄，備份并存儲(chǔ)病毒xx;制定應(yīng)急預(yù)案，防止病毒大面積爆 發(fā)。(3)設(shè)備

34、管理及策略為了防止計(jì)算機(jī)病毒或惡意代碼傳播，將采取如下措施：a、制定涉密信息系統(tǒng)運(yùn)行管理制度，該管理辦法將與涉密 信息系統(tǒng)的建設(shè)同時(shí)進(jìn)行制定，同時(shí)加強(qiáng)審計(jì)，確保策略的正確實(shí)施；b、加強(qiáng)存儲(chǔ)設(shè)備的接入管理，對(duì)接入系統(tǒng)的存儲(chǔ)設(shè)備必須先經(jīng) 過(guò)計(jì)算機(jī)病毒和惡意代碼檢查處理；c、所有的涉密計(jì)算機(jī)usb及光驅(qū)等接口均通過(guò)授權(quán)才能使用， 防止系統(tǒng)用戶(hù)私自安裝軟件或使用 usb設(shè)備帶病毒入網(wǎng)。(4)部署后解決的風(fēng)險(xiǎn)解決計(jì)算機(jī)病毒與惡意代碼防護(hù)、操作系統(tǒng)安全相關(guān)風(fēng)險(xiǎn)。5.2惡意程序輔助檢測(cè)系統(tǒng)涉密信息系統(tǒng)采用惡意程序輔助檢測(cè)系統(tǒng)，用于涉密信息系統(tǒng)的 中間機(jī)信息輸入輸出介質(zhì)的惡意程序及木馬病毒查殺及管控。(1)部

35、署系統(tǒng)采用單機(jī)部署在中間機(jī)上的結(jié)構(gòu)。共4xx中間機(jī)，主中心2xx, 從屬中心2xx,分別為涉密中間機(jī)以及非涉密中間機(jī)。4xx中間機(jī)上均安裝惡意程序輔助檢測(cè)系統(tǒng)，對(duì)中間機(jī)潛在的惡意程序及木馬進(jìn)行 管控。(2)第一次運(yùn)行策略使用惡意程序輔助檢測(cè)系統(tǒng)接管系統(tǒng)關(guān)鍵服務(wù)、限制未知程序啟 動(dòng)、未知驅(qū)動(dòng)加載、設(shè)置策略進(jìn)行惡意代碼掃描、設(shè)置策略攔截惡意 程序的盜取行為。計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)方案(3)設(shè)備管理及策略惡意程序輔助檢測(cè)系統(tǒng)由信息中心進(jìn)行管理及維護(hù)，任何策略的改動(dòng)均需要經(jīng)過(guò)保密辦的討論后方可實(shí)施。 惡意程序輔助檢測(cè)系統(tǒng)的 xx系統(tǒng)同時(shí)維護(hù)，xx的保存與備份按照惡意程序輔助檢測(cè)系統(tǒng)運(yùn) 維管理制度進(jìn)行管

36、理。a、由信息中心管理惡意程序輔助檢測(cè)系統(tǒng)，分別設(shè)置管理員、 安全保密管理員、安全審計(jì)員的口令，由“三員”分別管理。b、由信息中心對(duì)中間機(jī)進(jìn)行編號(hào)、標(biāo)識(shí)密級(jí)、記錄安放位置并 指定中間機(jī)負(fù)責(zé)人。c、信息中心負(fù)責(zé)定期到中間機(jī)提取審計(jì) xx信息等內(nèi)容。d、信息中心發(fā)現(xiàn)高風(fēng)險(xiǎn)事件及時(shí)通報(bào)保密辦，并查找風(fēng)險(xiǎn)源頭， 各部門(mén)配合信息中心及時(shí)解決問(wèn)題。e、中間機(jī)負(fù)責(zé)人嚴(yán)格遵守惡意程序輔助檢測(cè)系統(tǒng)運(yùn)維管理制 度，使用中間機(jī)需要進(jìn)行申請(qǐng)、審批、登記擺渡內(nèi)容、使用惡意程 序輔助檢測(cè)系統(tǒng)防止擺渡介質(zhì)可能攜帶的惡意程序及木馬危害系統(tǒng)。(4)部署后解決的風(fēng)險(xiǎn)解決中間機(jī)計(jì)算機(jī)病毒與惡意代碼防護(hù)相關(guān)風(fēng)險(xiǎn)。使用原有主機(jī)監(jiān)控與審

37、計(jì)系統(tǒng)進(jìn)行對(duì)終端行為監(jiān)控和限制，保持 原有部署及原有配置不變，管理方式及策略依舊。此設(shè)備解決的風(fēng)險(xiǎn) 為設(shè)備數(shù)據(jù)接口控制、主機(jī)安全審計(jì)風(fēng)險(xiǎn)。5.4移動(dòng)介質(zhì)管理系統(tǒng)采用移動(dòng)介質(zhì)管理系統(tǒng)對(duì)公司移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行管理。(1)部署使用一臺(tái)單機(jī)作為移動(dòng)存儲(chǔ)介質(zhì)的系統(tǒng)管理機(jī)，安裝涉密移動(dòng)存 儲(chǔ)介質(zhì)保密管理系統(tǒng)以及審計(jì)平臺(tái)。 該單機(jī)放置于信息中心，由信息 中心管理維護(hù)。部署30個(gè)客戶(hù)端。具體分布如下表所示。表1-5移動(dòng)介質(zhì)系統(tǒng)部署匯總表序號(hào)部署位置數(shù)量12345678910合計(jì)(2)第一次運(yùn)行策略計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)方案使用移動(dòng)介質(zhì)管理系統(tǒng)對(duì)公司移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行：注冊(cè)登記、授 權(quán)、定密、發(fā)放、收回、銷(xiāo)毀、刪除

38、。采用全盤(pán)加密技術(shù)，防止 xxU 盤(pán)后進(jìn)行數(shù)據(jù)恢復(fù)。(3)設(shè)備管理及策略移動(dòng)介質(zhì)下發(fā)至各部門(mén)，由各部門(mén)進(jìn)行統(tǒng)一管理，保密辦進(jìn)行二 級(jí)管理，借用需要通過(guò)部門(mén)領(lǐng)導(dǎo)的審批，登記后進(jìn)行使用，并限定使 用時(shí)間及使用范圍。采取的技術(shù)防護(hù)手段為主機(jī)監(jiān)控與審計(jì)系統(tǒng)， 進(jìn) 行移動(dòng)介質(zhì)設(shè)備的管控與xx記錄。移動(dòng)介質(zhì)出現(xiàn)硬件問(wèn)題后，交由 保密辦統(tǒng)一封存處理。(4)部署后解決的風(fēng)險(xiǎn)解決介質(zhì)安全存在的風(fēng)險(xiǎn)。5.5終端安全登錄及身份認(rèn)證系統(tǒng)采用終端安全登錄與監(jiān)控審計(jì)系統(tǒng)(網(wǎng)絡(luò)版)，用于對(duì)機(jī)密級(jí)終 端的“雙因子”登錄身份認(rèn)證。采用終端安全登錄與監(jiān)控審計(jì)系統(tǒng)(單機(jī)版)，用于對(duì)涉密單機(jī)、中間機(jī)登錄身份認(rèn)證、主機(jī)監(jiān)控與審 計(jì)。(

39、1)部署計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)方案終端安全登錄與監(jiān)控審計(jì)系統(tǒng)(網(wǎng)絡(luò)版)服務(wù)器部署于安全管理 區(qū)，數(shù)量為2套，分別部署于主中心和從屬中心。認(rèn)證客戶(hù)端安裝于 機(jī)密級(jí)終端上，共計(jì)89xx。單機(jī)版直接部署在具所有的中間機(jī)以及涉密單機(jī)上。(2)第一次運(yùn)行策略所有終端的策略采取以下方式進(jìn)行：開(kāi)機(jī)安全登錄與認(rèn)證，關(guān)閉 光驅(qū)、軟驅(qū)、串口、并口、xx、xx、網(wǎng)絡(luò)接口、1394火線、PDA USB 存儲(chǔ)自由使用。禁止修改注冊(cè)表、安裝軟件、安全模式啟動(dòng)、xx、更換設(shè)備。禁止打印、監(jiān)控文件操作。特殊的終端如果需要開(kāi)放特殊策 略，則必須由保密辦審批核準(zhǔn)后，由信息中心系統(tǒng)管理員進(jìn)行策略的 調(diào)整與下發(fā)。(3)設(shè)備管理及策略終端安全登錄與監(jiān)控審計(jì)系統(tǒng)由信息中心進(jìn)行管理及維護(hù)，任何 策略的改動(dòng)均需要經(jīng)過(guò)保密辦的討論后方可實(shí)施。 終端安全登錄與監(jiān) 控審計(jì)系統(tǒng)的xx系統(tǒng)同時(shí)維護(hù)，xx的保存與備份按照終端安全登 錄與監(jiān)控審計(jì)系統(tǒng)運(yùn)維管理制度進(jìn)行管理。a、由信息中心管理終端安全登錄與監(jiān)控審計(jì)系統(tǒng)，分別設(shè)置管 理員、安全保密管理員、安全審計(jì)員的口令，由“三員”分別管理。b、由信息中心對(duì)終端安全登錄與監(jiān)控審計(jì)系統(tǒng)服務(wù)器進(jìn)行編號(hào)、 標(biāo)識(shí)密級(jí)、安放至安全管理位置。c、信息中心負(fù)責(zé)終端安全登錄與監(jiān)控審計(jì)系統(tǒng)的日常運(yùn)行維護(hù)， 每周登陸設(shè)備查看服務(wù)器硬件運(yùn)行狀態(tài)、 策略配置、系統(tǒng)日志等內(nèi)容。d、信息中心發(fā)現(xiàn)異常情況及時(shí)通報(bào)保密辦