計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)方案

1、方案詳細(xì)設(shè)計(jì)1系統(tǒng)總體部署1XX公司涉密信息系統(tǒng)的組網(wǎng)模式為：效勞器區(qū)、平安管理區(qū)、終端 區(qū)共同連接至核心交換機(jī)上，組成類似于星型構(gòu)造的網(wǎng)絡(luò)模式，參照 TCP/IP網(wǎng) 絡(luò)模型建立。核心交換機(jī)上配置三層網(wǎng)關(guān)并劃分 Vlan,在效勞器平安訪問(wèn)控制中 問(wèn)件以及防火墻上啟用橋接模式，核心交換機(jī)、效勞器平安訪問(wèn)控制中間件以及 防火墻上設(shè)置平安訪問(wèn)控制策略ACL，制止部門間Vlan互訪，允許部門Vlan 與效勞器Vlan通信。核心交換機(jī)鏡像數(shù)據(jù)至入侵檢測(cè)系統(tǒng)以及網(wǎng)絡(luò)平安審計(jì)系 統(tǒng)；效勞器區(qū)包含XX公司原有應(yīng)用系統(tǒng)；平安管理區(qū)包含網(wǎng)絡(luò)防病毒系統(tǒng)、主 機(jī)監(jiān)控與審計(jì)系統(tǒng)、windows域控及WSUS補(bǔ)丁分發(fā)系統(tǒng)

2、、身份認(rèn)證系統(tǒng)；終端 區(qū)分包含所有業(yè)務(wù)部門。效勞器平安訪問(wèn)控制中問(wèn)件防護(hù)的應(yīng)用系統(tǒng)有：XXX系統(tǒng)、XXX系統(tǒng)、XXX 系統(tǒng)、XXX系統(tǒng)以及XXX系統(tǒng)、。防火墻防護(hù)的應(yīng)用系統(tǒng)有：XXX、XXX系統(tǒng)、XXX系統(tǒng)、XXX系統(tǒng)以及 XXX系統(tǒng)。2系統(tǒng)的作用是：進(jìn)展信息的駐留轉(zhuǎn)發(fā)，實(shí)現(xiàn)點(diǎn)到點(diǎn)的非實(shí)時(shí)通信。完 成集團(tuán)部的公文流轉(zhuǎn)以及協(xié)同工作。使用 25、110端口，使用SMTP協(xié)議以及 POP3協(xié)議，網(wǎng)終端使用C/S模式登錄系統(tǒng)。將網(wǎng)用戶使用的賬號(hào)在效勞器群組平安訪問(wèn)控制中間件中劃分到不同的用 戶組，針對(duì)不同的用戶組設(shè)置平安級(jí)別，平安級(jí)別分為1-7級(jí)，可根據(jù)實(shí)際需求設(shè)置相應(yīng)的級(jí)別。1-7級(jí)的平安層次為：1

3、級(jí)最低級(jí)，7級(jí)最高級(jí)，由1到7逐級(jí) 增高。即低密級(jí)用戶可以向高密級(jí)用戶發(fā)送，高密級(jí)用戶不得向低密級(jí)用戶發(fā)送， 保證信息流向的正確性，防止高密數(shù)據(jù)流向低密用戶。3針對(duì)物理風(fēng)險(xiǎn)，采取紅外對(duì)射、紅外報(bào)警、視頻監(jiān)控以及門禁系統(tǒng)進(jìn) 展防護(hù)。針對(duì)電磁泄射，采取線路干擾儀、視頻干擾儀以及紅黑電源隔離插座進(jìn) 展防護(hù)。2物理平安防護(hù)總體物理平安防護(hù)設(shè)計(jì)如下：1周邊環(huán)境平安控制廠區(qū)XXX側(cè)和XXX側(cè)部署紅外對(duì)射和入侵報(bào)警系統(tǒng)。部署視頻監(jiān)控，建立安防監(jiān)控中心，重點(diǎn)部位實(shí)時(shí)監(jiān)控。具體部署見下表：表1-1周邊平安建立序號(hào)保護(hù)部位現(xiàn)有防護(hù)措施需新增防護(hù)措施一1人員出入通道2物資出入通道序號(hào)保護(hù)部位現(xiàn)有防護(hù)措施需新增防護(hù)措

4、施3）區(qū)南側(cè)4）區(qū)西側(cè)5；區(qū)東側(cè)6廠區(qū)北側(cè)2要害部門部位平安控制增加電子門禁系統(tǒng)，采用智能IC卡和口令相結(jié)合的管理方式。具體防護(hù)措 施如下表所示：表1-2要害部門部位平安建立序號(hào)保護(hù)部門出入口控制現(xiàn)有平安措施新增平安措施1門鎖/登記/24H警衛(wèi)值班2門鎖3門鎖4門鎖5門鎖/登記6門鎖/登記7門鎖/登記8門鎖/登記9機(jī)房出入登記10門鎖3電磁泄漏防護(hù)建立容包括：為使用非屏蔽雙絞線的鏈路加裝線路干擾儀。為涉密信息系統(tǒng)的終端和效勞器安裝紅黑電源隔離插座。為視頻信號(hào)電磁泄漏風(fēng)險(xiǎn)較大的終端安裝視頻干擾儀。通過(guò)以上建立，配合？XX公司安防管理制度 也及？XX公司電磁泄漏防護(hù)管 理制度？，使得XX公司到達(dá)物

5、理平安防到位、重要視頻監(jiān)控?zé)o死角、進(jìn)出人員 管理有序、實(shí)體入侵報(bào)警響應(yīng)及時(shí)以及電磁泄漏信號(hào)無(wú)法捕捉、無(wú)法復(fù)原。紅外對(duì)射1部署增加紅外對(duì)射裝置，防護(hù)廠區(qū)邊界，具體部署位置如下表：表1-1紅外對(duì)射部署統(tǒng)計(jì)表序號(hào)部署位置數(shù)量對(duì)1）區(qū)東圍墻2廠區(qū)北圍墻3合計(jì)部署方式如下列圖所示:圖1-2紅外對(duì)射設(shè)備設(shè)備成對(duì)出現(xiàn)，在安裝地點(diǎn)雙向?qū)χ?，調(diào)整至一樣水平位置。2第一次運(yùn)行策略紅外對(duì)射24小時(shí)不連續(xù)運(yùn)行，當(dāng)有物體通過(guò)，光線被遮擋，接收機(jī)信號(hào)發(fā)生變化，放大處理后報(bào)警。設(shè)置適宜的響應(yīng)時(shí)間，以 10米/秒的速度來(lái)確定最短 遮光時(shí)間；設(shè)置人的寬度為20厘米，那么最短遮斷時(shí)間為 20毫秒，大于20毫 秒報(bào)警，小于20毫秒

6、不報(bào)警。3設(shè)備管理及策略紅外對(duì)射設(shè)備由廠區(qū)公安處負(fù)責(zé)管理，實(shí)時(shí)監(jiān)測(cè)設(shè)備運(yùn)行情況及設(shè)備相應(yīng)情 況，定期對(duì)設(shè)備及傳輸線路進(jìn)展檢查、維護(hù)，并定期向辦提交設(shè)備運(yùn)維報(bào)告。4部署后解決的風(fēng)險(xiǎn)解決重點(diǎn)部位監(jiān)控及區(qū)域控制相關(guān)風(fēng)險(xiǎn)。紅外報(bào)警1部署增加紅外報(bào)警裝置，對(duì)要害部位實(shí)體入侵風(fēng)險(xiǎn)進(jìn)展防護(hù)、 報(bào)警，具體部署位 置如下表：表1-2紅外報(bào)警部署統(tǒng)計(jì)表序號(hào)部署位置數(shù)量個(gè)1234合計(jì)設(shè)備形態(tài)如下列圖所示:圖1-3紅外報(bào)警設(shè)備部署在兩處房間墻壁角落，安裝高度距離地面 2.0-2.2米。2第一次運(yùn)行策略紅外報(bào)警24小時(shí)不連續(xù)運(yùn)行，設(shè)置檢測(cè) 37c特征性10pm波長(zhǎng)的紅外線, 遠(yuǎn)離空調(diào)、暖氣等空氣溫度變化敏感的地方，不間

7、隔屏、家具或其他隔離物，不 直對(duì)窗口，防止窗外的熱氣流擾動(dòng)和人員走動(dòng)會(huì)引起誤報(bào)。3設(shè)備管理及策略紅外報(bào)警設(shè)備由廠區(qū)公安處負(fù)責(zé)管理，監(jiān)測(cè)設(shè)備運(yùn)行情況及設(shè)備相應(yīng)情況， 定期對(duì)設(shè)備進(jìn)展檢查、維護(hù)，并定期向辦提交設(shè)備運(yùn)維報(bào)告。4部署后解決的風(fēng)險(xiǎn)解決重點(diǎn)部位監(jiān)控及區(qū)域控制相關(guān)風(fēng)險(xiǎn)。視頻監(jiān)控1部署增加視頻監(jiān)控裝置，對(duì)廠區(qū)周界、要害部門部位的人員出入情況進(jìn)展實(shí)時(shí)監(jiān) 控，具體部署位置如下表：表1-3視頻監(jiān)控部署統(tǒng)計(jì)表序號(hào)部署位置數(shù)量個(gè)12345678合計(jì)設(shè)備形態(tài)如下列圖所示:圖1-4視頻監(jiān)控設(shè)備視頻監(jiān)控在室外采用云臺(tái)槍機(jī)式設(shè)備， 室采用半球式設(shè)備，部署在房間墻壁 角落，覆蓋門窗及重點(diǎn)區(qū)域。增加32路嵌入式硬盤

8、錄像機(jī)一臺(tái)，用于對(duì)視頻采集信息的收集和壓縮存檔。 設(shè)備形態(tài)如下列圖所示：圖1-5硬盤錄像機(jī)2第一次運(yùn)行策略視頻監(jiān)控24小時(shí)不連續(xù)運(yùn)行，設(shè)置視頻采集格式為 MPEG-4,顯示分辨率 768*576,存儲(chǔ)、回放分辨率384*288=3設(shè)備管理及策略視頻監(jiān)控設(shè)備由廠區(qū)公安處負(fù)責(zé)管理，實(shí)時(shí)監(jiān)測(cè)設(shè)備運(yùn)行情況及設(shè)備相應(yīng)情 況，定期對(duì)設(shè)備及傳輸線路進(jìn)展檢查、維護(hù)，并定期向辦提交設(shè)備運(yùn)維報(bào)告。4部署后解決的風(fēng)險(xiǎn)解決重點(diǎn)部位監(jiān)控及區(qū)域控制相關(guān)風(fēng)險(xiǎn)。門禁系統(tǒng)1部署增加門禁系統(tǒng)，對(duì)要害部門部位人員出入情況進(jìn)展控制，并記錄日志，具體部署位置如下表：表1-4門禁系統(tǒng)部署統(tǒng)計(jì)表序號(hào)部署位置數(shù)量個(gè)1234567891011

9、合計(jì)部署示意圖如下列圖所示:圖1-6門禁系統(tǒng)部署方式2第一次運(yùn)行策略對(duì)每個(gè)通道設(shè)置權(quán)限，制作門禁卡，對(duì)可以進(jìn)出該通道的人進(jìn)展進(jìn)出方式的 授權(quán)，采取密碼+讀卡方式；設(shè)置可以通過(guò)該通道的人在什么時(shí)間圍可以進(jìn)出； 實(shí)時(shí)提供每個(gè)門區(qū)人員的進(jìn)出情況、 每個(gè)門區(qū)的狀態(tài)包括門的開關(guān)，各種非正 常狀態(tài)報(bào)警等，設(shè)置在緊急狀態(tài)翻開或關(guān)閉所有門區(qū)的功能； 設(shè)置防尾隨功能。3設(shè)備管理及策略門禁系統(tǒng)由廠區(qū)公安處負(fù)責(zé)管理，定期監(jiān)測(cè)設(shè)備運(yùn)行情況及設(shè)備相應(yīng)情況， 對(duì)設(shè)備及傳輸線路進(jìn)展檢查、維護(hù)，并定期向辦提交設(shè)備運(yùn)維報(bào)告。4部署后解決的風(fēng)險(xiǎn)解決重點(diǎn)部位監(jiān)控及區(qū)域控制相關(guān)風(fēng)險(xiǎn)。線路干擾儀1部署增加8口線路干擾儀，防護(hù)傳輸數(shù)據(jù)沿

10、網(wǎng)線以電磁傳導(dǎo)、輻射發(fā)射、耦合等 方式泄漏的情況。將從交換機(jī)引至其布線最遠(yuǎn)端以及次遠(yuǎn)端的線纜插接至線路干 擾儀，并由線路干擾儀連接至最遠(yuǎn)端和次遠(yuǎn)端，將該設(shè)備進(jìn)展接地處理。具體部署位置如下表：表1-6線路干擾儀部署統(tǒng)計(jì)表序號(hào)部署位置數(shù)量個(gè)123合計(jì)設(shè)備形態(tài)如下列圖所示:圖1-11線路干擾儀設(shè)備2第一次運(yùn)行策略在網(wǎng)線中一對(duì)空線對(duì)上注入偽隨機(jī)寬帶掃頻加擾信號(hào) ，使之能跟隨其他三 對(duì)網(wǎng)線上的信號(hào)并行傳輸?shù)搅硪唤K端；竊密者假設(shè)再?gòu)木W(wǎng)線或其他與網(wǎng)絡(luò)干線相 平行的導(dǎo)線如線及電源線等上竊取信息，實(shí)際上所竊得的僅是已被加擾信號(hào) 充分湮沒了的混合信號(hào)。3設(shè)備管理及策略線路干擾儀由信息中心負(fù)責(zé)管理，對(duì)設(shè)備編號(hào)、標(biāo)識(shí)

11、密級(jí)、擺放、調(diào)測(cè)、定 期對(duì)設(shè)備及傳輸線路進(jìn)展檢查、維護(hù)，并定期向辦提交設(shè)備運(yùn)維報(bào)告。4部署后解決的風(fēng)險(xiǎn)解決傳輸線路的電磁泄漏發(fā)射防護(hù)相關(guān)風(fēng)險(xiǎn)。視頻干擾儀1部署增加視頻干擾儀，防止對(duì)涉密終端視頻信息的竊取，對(duì) XXX號(hào)樓存在的涉 密終端部署，將該設(shè)備進(jìn)展接地處理。、具體部署位置如下表：表1-7視頻干擾儀部署統(tǒng)計(jì)表序號(hào)部署位置數(shù)量個(gè)12311合計(jì)設(shè)備形態(tài)如下列圖所示:圖1-12視頻干擾儀設(shè)備2第一次運(yùn)行策略設(shè)置設(shè)備運(yùn)行頻率為1000 MHz。3設(shè)備管理及策略視頻干擾儀由信息中心負(fù)責(zé)管理，監(jiān)測(cè)設(shè)備運(yùn)行情況及設(shè)備相應(yīng)情況， 定期 對(duì)設(shè)備進(jìn)展檢查、維護(hù)，并定期向辦提交設(shè)備運(yùn)維報(bào)告。4部署后解決的風(fēng)險(xiǎn)解決

12、信息設(shè)備的電磁泄漏發(fā)射防護(hù)相關(guān)風(fēng)險(xiǎn)。紅黑電源隔離插座1部署增加紅黑電源隔離插座，防護(hù)電源電磁泄漏，連接的紅黑電源需要進(jìn)展接地 處理。具體部署位置如下表：表1-8紅黑電源部署統(tǒng)計(jì)表序號(hào)部署位置數(shù)量個(gè)1涉密終端2效勞器3UPS4合計(jì)產(chǎn)品形態(tài)如下列圖所示:圖1-13紅黑電源隔離插座2運(yùn)行維護(hù)策略XX公司要求所有涉密機(jī)均直接連接至紅黑電源上，紅黑電源上不得插接其 他設(shè)備。安裝在涉密終端及涉密單機(jī)的紅黑隔離電源由使用者維護(hù)，安裝在效勞器的由信息中心維護(hù)，出現(xiàn)問(wèn)題向辦報(bào)告。4部署后解決的風(fēng)險(xiǎn)解決信息設(shè)備的電磁泄漏發(fā)射防護(hù)相關(guān)風(fēng)險(xiǎn)。3網(wǎng)絡(luò)平安防護(hù)3.1網(wǎng)閘XX公司使用1臺(tái)網(wǎng)閘連接主中心以及附屬中心，用于平安

13、隔離及信息交換 1部署部署1臺(tái)網(wǎng)閘于主中心及附屬中心核心交換機(jī)之間， 做單向訪問(wèn)控制與信息 交互。設(shè)備啟用路由模式，通過(guò)路由轉(zhuǎn)發(fā)連接主中心以及附屬中心， 從物理層到 應(yīng)用層終結(jié)所有的協(xié)議包，復(fù)原成原始應(yīng)用數(shù)據(jù)，以完全私有的方式傳遞到另一 個(gè)網(wǎng)絡(luò)，主中心以及附屬中心之間在任一時(shí)刻點(diǎn)上都不產(chǎn)生直接的物理連通。部 署拓?fù)涫疽鈭D如下:主中心 核心交換機(jī)主中心1從屬中心 國(guó)畫核心交換機(jī)圖1-8網(wǎng)閘部署拓?fù)涫疽鈭D2第一次運(yùn)行策略配置附屬中心訪問(wèn)主中心的權(quán)限，允許附屬中心特定地址訪問(wèn)主中心所有效 勞器，允許其他地址訪問(wèn)公司部門戶以及人力資源系統(tǒng)，配置訪問(wèn)部門戶SQLserver數(shù)據(jù)庫(kù)效勞器，制止其他所有訪問(wèn)

14、方式。配置網(wǎng)閘病毒掃描，對(duì)流經(jīng)網(wǎng)閘 設(shè)備數(shù)據(jù)進(jìn)展病毒平安掃描。配置系統(tǒng)使用s方式管理，確保管理平安。3設(shè)備管理及策略網(wǎng)閘設(shè)備按照？XX公司網(wǎng)閘運(yùn)維管理制度 砒展管理。a、由信息中心管理網(wǎng)閘設(shè)備，分別設(shè)置管理員、平安管理員、平安審計(jì)員 的口令，由“三員分別管理。b、由信息中心對(duì)網(wǎng)閘設(shè)備進(jìn)展編號(hào)、標(biāo)識(shí)密級(jí)、安放至平安管理位置。c、信息中心負(fù)責(zé)網(wǎng)閘設(shè)備的日常運(yùn)行維護(hù)，每周登陸設(shè)備查看設(shè)備配置、 設(shè)備自身運(yùn)行狀態(tài)、轉(zhuǎn)發(fā)數(shù)據(jù)量狀態(tài)、系統(tǒng)日志等容。d、信息中心發(fā)現(xiàn)異常情況及時(shí)通報(bào)辦，并查找問(wèn)題原因，各部門配合信息 中心及時(shí)解決問(wèn)題。e信息中心負(fù)責(zé)網(wǎng)閘設(shè)備的維修管理，設(shè)備出現(xiàn)問(wèn)題，通知辦，獲得批準(zhǔn) 后，負(fù)責(zé)

15、設(shè)備的維修管理。4部署后解決的風(fēng)險(xiǎn)解決兩網(wǎng)互聯(lián)的邊界防護(hù)問(wèn)題，對(duì)應(yīng)用的訪問(wèn)進(jìn)展細(xì)粒度的控制，各自隔離， 兩網(wǎng)在任一時(shí)刻點(diǎn)上都不產(chǎn)生直接的物理連通。3.2防火墻XX公司涉密信息系統(tǒng)采用防火墻系統(tǒng) 1臺(tái)進(jìn)展邊界防護(hù)，用于XX公司涉 密信息系統(tǒng)網(wǎng)關(guān)的平安控制、網(wǎng)絡(luò)層審計(jì)等。防火墻系統(tǒng)部署于附屬中心。XX公司原有防火墻部署于主中心，不做調(diào)整。1部署使用防火墻系統(tǒng)限制附屬中心終端訪問(wèn)級(jí)效勞器的權(quán)限，并且記錄所有與效勞器區(qū)進(jìn)展交互的日志。防火墻的 ethl 口、eth2 口設(shè)置為透明模式，配置橋接 口 fwbridgeO IP地址，配置管理方式為s方式，翻開多VLAN開關(guān)，翻開tcp、udp、ICMP播送

16、過(guò)濾。防火墻的日志數(shù)據(jù)庫(kù)安裝在平安管理效勞器上。部署拓 撲示意圖如下：秘密級(jí)服務(wù)器群從屬中心防火墻核心交換機(jī)圖1-9防火墻部署示意圖2第一次運(yùn)行策略防火墻上設(shè)置訪問(wèn)控制策略，并設(shè)定不同用戶所能訪問(wèn)的資源：a、允許附屬中心授權(quán)用戶訪問(wèn)軟件配置管理系統(tǒng)。開放系統(tǒng)所能使用到的端口， 其他不使用的端口進(jìn)展全部制止訪問(wèn)限制。c、可以依據(jù)XX公司辦相關(guān)規(guī)定設(shè)定審查關(guān)鍵字，對(duì)于流經(jīng)防火墻的數(shù)據(jù) 流進(jìn)展關(guān)鍵字過(guò)濾。d、審計(jì)附屬中心用戶和效勞器區(qū)域的數(shù)據(jù)交換信息，記錄審計(jì)日志。e整個(gè)防火墻系統(tǒng)的整個(gè)運(yùn)行過(guò)程和網(wǎng)絡(luò)信息流等信息，均進(jìn)展詳細(xì)的日 志記錄，方便管理員進(jìn)展審查。 3設(shè)備管理及策略防火墻系統(tǒng)由信息中心進(jìn)展

17、管理及維護(hù)， 任何策略的改動(dòng)均需要經(jīng)過(guò)辦的討論前方可實(shí)施。 防火墻的日志系統(tǒng)維護(hù)， 日志的保存與備份按照 ?XX 公司防火墻運(yùn)維管理制度?進(jìn)展管理。a、由信息中心管理防火墻設(shè)備，分別設(shè)置管理員、平安管理員、平安審計(jì) 員的口令，由“三員分別管理。b、由信息中心對(duì)防火墻設(shè)備進(jìn)展編號(hào)、標(biāo)識(shí)密級(jí)、安放至平安管理位置。信息中心負(fù)責(zé)防火墻設(shè)備的日常運(yùn)行維護(hù)，每周登陸設(shè)備查看設(shè)備配置、設(shè)備自身運(yùn)行狀態(tài)、轉(zhuǎn)發(fā)數(shù)據(jù)量狀態(tài)、系統(tǒng)日志等容。d、信息中心發(fā)現(xiàn)異常情況及時(shí)通報(bào)辦，并查找問(wèn)題原因，各部門配合信息 中心及時(shí)解決問(wèn)題。e信息中心負(fù)責(zé)防火墻設(shè)備的維修管理，設(shè)備出現(xiàn)問(wèn)題，通知辦，獲得批 準(zhǔn)后，負(fù)責(zé)設(shè)備的維修管理。

18、 4部署后解決的風(fēng)險(xiǎn)原有防火墻保證主中心各 Vlan 的三層邏輯隔離，對(duì)各平安域之間進(jìn)展訪問(wèn)控制， 對(duì)網(wǎng)絡(luò)層訪問(wèn)進(jìn)展記錄與審計(jì)， 保證信息平安要求的訪問(wèn)控制以及平安審計(jì)局部要求。入侵檢測(cè)系統(tǒng)XX 公司使用原有入侵檢測(cè)設(shè)備進(jìn)展網(wǎng)絡(luò)層監(jiān)控，保持原有部署及原有配置不變， 設(shè)備的管理維護(hù)依舊。 此設(shè)備解決的風(fēng)險(xiǎn)為對(duì)系統(tǒng)的平安事件監(jiān)控與報(bào)警，滿足入侵監(jiān)控要求。違規(guī)外聯(lián)系統(tǒng) 1部署XX 公司采用涉密計(jì)算機(jī)違規(guī)外聯(lián)監(jiān)控系統(tǒng)，部署于網(wǎng)終端、涉密單機(jī)及中間機(jī)上。 XX 公司的違規(guī)外聯(lián)監(jiān)控系統(tǒng)采用 B/S 構(gòu)架部署，安裝1 臺(tái)網(wǎng)監(jiān)控效勞器、 1 臺(tái)外網(wǎng)監(jiān)控效勞器，安裝 645個(gè)客戶端，全部安裝于網(wǎng)終端、涉密單機(jī)以

19、及中間機(jī)上。部署示意圖如下Internet慶華公司違規(guī)外聯(lián)監(jiān)控公網(wǎng)報(bào)警服務(wù)器旦慶華公司違規(guī)外聯(lián)監(jiān)控內(nèi)網(wǎng)管理服務(wù)器涉密內(nèi)網(wǎng)撥號(hào)、WLan 3G-實(shí)時(shí)監(jiān)控實(shí)時(shí)監(jiān)控中間機(jī)系統(tǒng)客戶均I安裝違規(guī).內(nèi)網(wǎng)終端圖1-1違規(guī)外聯(lián)系統(tǒng)部署示意圖2第一次運(yùn)行策略系統(tǒng)實(shí)時(shí)地監(jiān)測(cè)受控網(wǎng)絡(luò)主機(jī)及移動(dòng)主機(jī)的活動(dòng)，對(duì)非法 /外聯(lián)行為由報(bào)警 控制中心記錄并向管理員提供準(zhǔn)確的告警。 同時(shí)，按照預(yù)定的策略對(duì)非法連接實(shí) 施阻斷，防止數(shù)據(jù)外泄。報(bào)警控制中心能夠以手機(jī)短信、電子兩種告警方式向網(wǎng) 絡(luò)管理員告警，其中手機(jī)短信是完全實(shí)時(shí)的告警，非常方便和及時(shí)。3設(shè)備管理及策略違規(guī)外聯(lián)監(jiān)控系統(tǒng)由信息中心進(jìn)展管理及維護(hù)，任何策略的改動(dòng)均需要經(jīng)過(guò)

20、辦的討論前方可實(shí)施。違規(guī)外聯(lián)監(jiān)控系統(tǒng)的日志系統(tǒng)同時(shí)維護(hù)， 日志的保存與備 份按照？XX公司違規(guī)外聯(lián)監(jiān)控系統(tǒng)運(yùn)維管理制度 砒展管理。a、由信息中心管理違規(guī)外聯(lián)監(jiān)控系統(tǒng)，分別設(shè)置管理員、平安管理員、平 安審計(jì)員的口令，由“三員分別管理。b、由信息中心對(duì)違規(guī)外聯(lián)監(jiān)控系統(tǒng)報(bào)警效勞器進(jìn)展編號(hào)、標(biāo)識(shí)密級(jí)、安放 至平安管理位置。c、信息中心負(fù)責(zé)違規(guī)外聯(lián)監(jiān)控系統(tǒng)的日常運(yùn)行維護(hù)，每周登陸設(shè)備查看效 勞器硬件運(yùn)行狀態(tài)、策略配置、系統(tǒng)日志等容。d、信息中心發(fā)現(xiàn)異常情況及時(shí)通報(bào)辦，并查找問(wèn)題原因，各部門配合信息 中心及時(shí)解決問(wèn)題。e信息中心負(fù)責(zé)違規(guī)外聯(lián)監(jiān)控系統(tǒng)效勞器的維修管理，設(shè)備出現(xiàn)問(wèn)題，通 知辦，獲得批準(zhǔn)后，聯(lián)系

21、廠家負(fù)責(zé)設(shè)備的維修管理。f、當(dāng)系統(tǒng)出現(xiàn)新版本，由管理員負(fù)責(zé)及時(shí)更新系統(tǒng)并做好備份工作。4部署后解決的風(fēng)險(xiǎn)解決違規(guī)撥號(hào)、違規(guī)連接和違規(guī)無(wú)線上網(wǎng)等風(fēng)險(xiǎn)。4應(yīng)用平安防護(hù)4.1效勞器群組平安訪問(wèn)控制中間件XX公司涉密信息系統(tǒng)采用效勞器群組平安訪問(wèn)控制中間件2臺(tái)，用于XX公司涉密信息系統(tǒng)主中心秘密級(jí)效勞器、附屬中心秘密級(jí)效勞器邊界的平安控 制、應(yīng)用身份認(rèn)證、轉(zhuǎn)發(fā)控制、網(wǎng)絡(luò)審計(jì)以及審計(jì)等。防護(hù)主中心的 XXX系統(tǒng)、 XXX系統(tǒng)、XXX系統(tǒng)、XXX系統(tǒng)、XXX系統(tǒng)以及XXX門戶；防護(hù)附屬中心的 XXX系統(tǒng)以及XXX類軟件系統(tǒng)。1部署由于主中心的終端之間以及附屬中心的終端之間數(shù)據(jù)流動(dòng)均被設(shè)計(jì)為以效勞器為跳板進(jìn)

22、展駐留轉(zhuǎn)發(fā)，所以在效勞器前端的效勞器群組平安訪問(wèn)控制中間件 系統(tǒng)起到了很強(qiáng)的訪問(wèn)控制功能，限制終端訪問(wèn)效勞器的權(quán)限并且記錄所有與效 勞器區(qū)進(jìn)展交互的日志。效勞器群組平安訪問(wèn)控制中問(wèn)件的ethl 口、eth2 口設(shè)置為透明模式，啟用橋接口進(jìn)展管理。部署拓?fù)涫疽鈭D如下:機(jī)密級(jí)服務(wù)器群帆笛級(jí)服方命時(shí)制中間件服務(wù)器安 全訪問(wèn)控服務(wù)器安 全訪問(wèn)控 制中間件圖1-10效勞器群組平安訪問(wèn)控制中間件部署示意圖2第一次運(yùn)行策略效勞器群組平安訪問(wèn)控制中間件上設(shè)置訪問(wèn)控制策略，并設(shè)定不同用戶所能訪問(wèn)的效勞器資源；設(shè)置轉(zhuǎn)發(fā)控制功能，為每個(gè)用戶設(shè)置訪問(wèn)賬號(hào)及密碼， 依據(jù) 密級(jí)將用戶劃分至不同用戶組中，高密級(jí)用戶不得向低

23、密級(jí)用戶發(fā)送。 配置審計(jì) 功能，記錄發(fā)件人，收件人，抄送人，主題，附件名等。配置網(wǎng)絡(luò)審計(jì)與控制功 能，可以依據(jù)XX公司辦相關(guān)規(guī)定設(shè)定審查關(guān)鍵字， 對(duì)于流經(jīng)系統(tǒng)的數(shù)據(jù)流進(jìn)展 關(guān)鍵字過(guò)濾；審計(jì)部用戶和效勞器區(qū)域的數(shù)據(jù)交換信息，審計(jì)應(yīng)用訪問(wèn)日志。 3設(shè)備管理及策略效勞器群組平安訪問(wèn)控制中間件系統(tǒng)由信息中心進(jìn)展管理及維護(hù)， 任何策略的改動(dòng)均需要經(jīng)過(guò)辦的討論前方可實(shí)施。 效勞器群組平安訪問(wèn)控制中間件的日志系統(tǒng)維護(hù)， 日志的保存與備份按照 ?XX 公司效勞器群組平安訪問(wèn)控制中間件運(yùn)維管理制度?進(jìn)展管理。a、 由信息中心管理效勞器群組平安訪問(wèn)控制中間件設(shè)備， 分別設(shè)置管理員、平安管理員、平安審計(jì)員的口令，由

24、“三員分別管理。b、由信息中心分別對(duì)2臺(tái)效勞器群組平安訪問(wèn)控制中間件設(shè)備進(jìn)展編號(hào)、 標(biāo)識(shí)密級(jí)、安放至平安管理位置。c、信息中心負(fù)責(zé)效勞器群組平安訪問(wèn)控制中間件設(shè)備的日常運(yùn)行維護(hù)，每周登陸設(shè)備查看設(shè)備配置、 設(shè)備自身運(yùn)行狀態(tài)、 轉(zhuǎn)發(fā)數(shù)據(jù)量狀態(tài)、 系統(tǒng)日志等容。d、信息中心發(fā)現(xiàn)異常情況及時(shí)通報(bào)辦，并查找問(wèn)題原因，各部門配合信息 中心及時(shí)解決問(wèn)題。e信息中心負(fù)責(zé)效勞器群組平安訪問(wèn)控制中間件設(shè)備的維修管理，設(shè)備出 現(xiàn)問(wèn)題，通知辦，獲得批準(zhǔn)后，負(fù)責(zé)設(shè)備的維修管理。 4部署后解決的風(fēng)險(xiǎn)解決對(duì)應(yīng)用訪問(wèn)的邊界防護(hù)、 應(yīng)用及網(wǎng)絡(luò)審計(jì)、 數(shù)據(jù)庫(kù)平安以及數(shù)據(jù)流向控制，滿足邊界防護(hù)、平安審計(jì)及數(shù)據(jù)庫(kù)平安等要求。win

25、dows域控及補(bǔ)丁分發(fā)改造 XX 公司原有 AD 主域控制器及備份域控制器。 1部署XX 公司的主中心以及附屬中心均部署AD 主域控制器及備份域控制器，共計(jì)2套，并建立IIS效勞器，安裝 WSUS效勞器，提供系統(tǒng)補(bǔ)丁強(qiáng)制更新效勞。將終端系統(tǒng)的平安性完全與活動(dòng)目錄集成， 用戶授權(quán)管理和目錄進(jìn)入控制整合在活動(dòng)目錄當(dāng)中包括用戶的訪問(wèn)和登錄權(quán)限等 。通過(guò)實(shí)施平安策略，實(shí)現(xiàn)系統(tǒng)用戶登錄身份認(rèn)證， 集中控制用戶授權(quán)。 終端操作基于策略的管理。 通過(guò)設(shè)置組策略把相應(yīng)各種策略 包括平安策略 實(shí)施到組策略對(duì)象中。 部署拓?fù)涫疽鈭D如下：圖1-7域控及 WSUS部署示意圖2第一次運(yùn)行策略建立好域成員及其密碼，將所有

26、網(wǎng)終端的本地賬號(hào)權(quán)限收回，網(wǎng)終端只能使 用管理員下發(fā)的域成員用戶登錄系統(tǒng)。通過(guò)組策略指定不同平安域用戶口令的復(fù) 雜性、長(zhǎng)度、使用周期、鎖定策略，指定每一個(gè)用戶可登錄的機(jī)器。級(jí)終端需要 將USB-KEY令牌與域用戶登錄結(jié)合使用，到達(dá)“雙因子鑒別的過(guò)程。設(shè)置終端用戶工作環(huán)境，隱藏用戶無(wú)用的桌面圖標(biāo)，刪除“開場(chǎng)菜單中的 “運(yùn)行、”搜索功能。啟用網(wǎng)Windows XP終端置的WSUS客戶端。由系統(tǒng)漏洞的官方漏洞發(fā)布頁(yè) 下載完整的系統(tǒng)漏洞修復(fù)程序，將此程序通過(guò)中間機(jī)系統(tǒng)導(dǎo)入涉密信息系統(tǒng)， 在 WSUS效勞器端導(dǎo)入此程序，由WSUS效勞器下發(fā)系統(tǒng)補(bǔ)丁強(qiáng)制修復(fù)策略，強(qiáng)制 更新各個(gè)終端的系統(tǒng)漏洞。3設(shè)備管理及

27、策略AD域控系統(tǒng)以及WSUS補(bǔ)丁分發(fā)系統(tǒng)由信息中心進(jìn)展管理及維護(hù)，域控組 策略的改動(dòng)均需要經(jīng)過(guò)辦的討論前方可操作。WSUS系統(tǒng)的升級(jí)更新按照？XX公 司與管理及補(bǔ)丁分發(fā)運(yùn)維管理制度砒展管理。a、由信息中心管理AD域控系統(tǒng)以及WSUS補(bǔ)丁分發(fā)系統(tǒng)，分別設(shè)置管理 員、平安管理員、平安審計(jì)員的口令，由“三員分別管理。b、由信息中心分別對(duì)2套AD域控系統(tǒng)以及WSUS補(bǔ)丁分發(fā)系統(tǒng)效勞器進(jìn) 展編號(hào)、標(biāo)識(shí)密級(jí)、安放至平安管理位置。c、信息中心負(fù)責(zé)AD域控系統(tǒng)以及 WSUS補(bǔ)丁分發(fā)系統(tǒng)效勞器的日常運(yùn)行 維護(hù)，每周登陸效勞器查看效勞器硬件運(yùn)行狀態(tài)、組策略配置、域成員狀態(tài)、系 統(tǒng)日志等容。d、信息中心發(fā)現(xiàn)異常系統(tǒng)

28、日志及時(shí)通報(bào)辦，并查找原因，追究根源。4部署后解決的風(fēng)險(xiǎn)解決局部身份鑒別以及操作系統(tǒng)平安相關(guān)風(fēng)險(xiǎn)。網(wǎng)絡(luò)平安審計(jì)XX公司使用網(wǎng)絡(luò)平安審計(jì)系統(tǒng)2臺(tái)，用于對(duì)涉密信息系統(tǒng)的網(wǎng)絡(luò)及應(yīng)用進(jìn) 展平安審計(jì)和監(jiān)控。審計(jì)功能包括：應(yīng)用層協(xié)議復(fù)原審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、網(wǎng)絡(luò)行 為審計(jì)、自定義關(guān)鍵字審計(jì)等。1部署旁路部署于核心交換機(jī)的鏡像目的接口， 部署數(shù)量為2臺(tái)，分別部署于主中 心以及附屬中心的核心交換機(jī)上。 設(shè)置其管理地址，用于系統(tǒng)管理及維護(hù)。部署 拓?fù)涫疽鈭D如下：從屬中心網(wǎng)閘主中心核心交換機(jī)核心交換機(jī)圖1-14網(wǎng)絡(luò)平安審計(jì)部署示意圖2第一次運(yùn)行策略配置審計(jì)、POP3 Smtp、imap、telnet、FTP協(xié)議以及自

29、定義審計(jì) 1433808。27000 104& 1034 1037 1041、1040 1042、603s 7777 3690 端口； 依據(jù)XX公司規(guī)定設(shè)定相關(guān)關(guān)鍵詞字，審計(jì)關(guān)鍵詞字；使用s方式管理系統(tǒng)。3設(shè)備管理及策略網(wǎng)絡(luò)平安審計(jì)系統(tǒng)由信息中心進(jìn)展管理及維護(hù)，審計(jì)謀略的改動(dòng)均需要經(jīng)過(guò) 辦的討論前方可操作。網(wǎng)絡(luò)平安審計(jì)系統(tǒng)的日志系統(tǒng)維護(hù)，日志的保存與備份按 照？XX公司網(wǎng)絡(luò)平安審計(jì)運(yùn)維管理制度砒展管理。a、由信息中心管理網(wǎng)絡(luò)平安審計(jì)設(shè)備，分別設(shè)置管理員、平安管理員、平 安審計(jì)員的口令，由“三員分別管理。b、由信息中心分別對(duì)2臺(tái)網(wǎng)絡(luò)平安審計(jì)設(shè)備進(jìn)展編號(hào)、標(biāo)識(shí)密級(jí)、安放至 平安管理位置。c、信息中

30、心負(fù)責(zé)網(wǎng)絡(luò)平安審計(jì)系統(tǒng)的日常運(yùn)行維護(hù)，每周登陸設(shè)備查看設(shè) 備配置、設(shè)備自身運(yùn)行狀態(tài)、轉(zhuǎn)發(fā)數(shù)據(jù)量狀態(tài)、系統(tǒng)日志等容。d、信息中心發(fā)現(xiàn)異常審計(jì)日志及時(shí)通報(bào)辦，并查找原因，追究根源。e信息中心負(fù)責(zé)網(wǎng)絡(luò)平安審計(jì)系統(tǒng)的維修管理，設(shè)備出現(xiàn)問(wèn)題，通知辦，獲得批準(zhǔn)后，負(fù)責(zé)設(shè)備的維修管理 4部署后解決的風(fēng)險(xiǎn)解決應(yīng)用審計(jì)，針對(duì)容進(jìn)展審計(jì)記錄，滿足平安審計(jì)相關(guān)要求。5 終端平安防護(hù)防病毒系統(tǒng)XX 公司將使用網(wǎng)絡(luò)版防病毒軟件建立病毒防護(hù)系統(tǒng)，共計(jì)26個(gè)效勞器端，419個(gè)客戶端，分別部署在主中心以及附屬中心。XX 公司將使用單機(jī)版防病毒軟件建立中間機(jī)、單機(jī)及便攜式計(jì)算機(jī)病毒防護(hù)系統(tǒng)，共計(jì)226 個(gè)終端。1部署防病毒系統(tǒng)

31、采用客戶端+ 效勞器構(gòu)造，效勞器由信息中心負(fù)責(zé)管理。殺毒中心安裝：安裝在平安管理效勞器上，設(shè)置好 admin密碼，并且將注冊(cè) 信息輸入到殺毒控制中心。效勞器安裝： 在 XX 公司各類效勞器上安裝殺毒效勞器端， 設(shè)置殺毒中心的 IP 地址，并保持與殺毒中心的實(shí)時(shí)通信。客戶端安裝：所有的外終端均安裝客戶端殺毒程序，設(shè)置殺毒中心的 IP 地 址，與殺毒中心同步。單機(jī)防病毒系統(tǒng)直接部署在涉密單機(jī)及中間機(jī)上。2第一次運(yùn)行策略防病毒控制中心效勞器部署在室。網(wǎng)絡(luò)防病毒系統(tǒng)連接在核心交換機(jī)的acces戢口上。交換機(jī)接口配置 Vlan二層信息為：接口類型為 access為其劃分 Vlan,使得其與其他 Vlan

32、不能通過(guò)二層相通，使得網(wǎng)絡(luò)防病毒系統(tǒng)需要通過(guò)三 層與其他 Vlan 通信，即網(wǎng)絡(luò)防病毒系統(tǒng)可以對(duì)網(wǎng)絡(luò)中所有的主機(jī)設(shè)備進(jìn)展殺毒 統(tǒng)一管理和在線控制。所有接入網(wǎng)絡(luò)的終端計(jì)算機(jī)和應(yīng)用效勞器windows操作系統(tǒng)都安裝防病毒軟件， 管理員通過(guò)控制臺(tái)實(shí)現(xiàn)對(duì)全網(wǎng)防病毒系統(tǒng)的統(tǒng)一管理， 并強(qiáng)制在用戶接 入網(wǎng)絡(luò)時(shí)安裝防病毒客戶端。升級(jí)方式為： 在非涉密計(jì)算機(jī)上從互聯(lián)網(wǎng)下載最新的防病毒系統(tǒng)升級(jí)包， 刻制成光盤。將此光盤上的防病毒系統(tǒng)升級(jí)包通過(guò)非涉密中間機(jī)導(dǎo)入到涉密光盤上， 帶入到涉密網(wǎng)的防病毒系統(tǒng)效勞器上。 利用效勞器上的防病毒系統(tǒng)效勞端提供的接口導(dǎo)入升級(jí)包， 再通過(guò)效勞端將更新了的病毒庫(kù)向每一臺(tái)防病毒系統(tǒng)客戶

33、端進(jìn)展強(qiáng)制更新。防病毒管理： 定期升級(jí)病毒特征庫(kù)， 每周不少于一次； 定期進(jìn)展全網(wǎng)殺毒掃描， 每天方案不少于一次； 每月檢查防病毒系統(tǒng)的運(yùn)行情況并記錄， 備份并存儲(chǔ) 病毒日志；制定應(yīng)急預(yù)案，防止病毒大面積爆發(fā)。3設(shè)備管理及策略為了防止計(jì)算機(jī)病毒或惡意代碼傳播，將采取如下措施：a、制定？XX公司涉密信息系統(tǒng)運(yùn)行管理制度？，該管理方法將與XX公司涉 密信息系統(tǒng)的建立同時(shí)進(jìn)展制定，同時(shí)加強(qiáng)審計(jì)，確保策略的正確實(shí)施；b、加強(qiáng)存儲(chǔ)設(shè)備的接入管理，對(duì)接入系統(tǒng)的存儲(chǔ)設(shè)備必須先經(jīng)過(guò)計(jì)算機(jī)病毒和惡意代碼檢查處理；c、所有的涉密計(jì)算機(jī)usb及光驅(qū)等接口均通過(guò)授權(quán)才能使用，防止系統(tǒng)用 戶私自安裝軟件或使用usb設(shè)備

34、帶病毒入網(wǎng)。4部署后解決的風(fēng)險(xiǎn)解決計(jì)算機(jī)病毒與惡意代碼防護(hù)、操作系統(tǒng)平安相關(guān)風(fēng)險(xiǎn)。惡意程序輔助檢測(cè)系統(tǒng)XX 公司涉密信息系統(tǒng)采用惡意程序輔助檢測(cè)系統(tǒng)，用于 XX 公司涉密信息系統(tǒng)的中間機(jī)信息輸入輸出介質(zhì)的惡意程序及木馬病毒查殺及管控。1部署系統(tǒng)采用單機(jī)部署在中間機(jī)上的構(gòu)造。共4 臺(tái)中間機(jī)，主中心2 臺(tái)，附屬中心 2 臺(tái)，分別為涉密中間機(jī)以及非涉密中間機(jī)。 4 臺(tái)中間機(jī)上均安裝惡意程序輔助檢測(cè)系統(tǒng)，對(duì)中間機(jī)潛在的惡意程序及木馬進(jìn)展管控。2第一次運(yùn)行策略使用惡意程序輔助檢測(cè)系統(tǒng)接收系統(tǒng)關(guān)鍵效勞、 限制未知程序啟動(dòng)、 未知驅(qū)動(dòng)加載、設(shè)置策略進(jìn)展惡意代碼掃描、設(shè)置策略攔截惡意程序的盜取行為。3設(shè)備管理

35、及策略惡意程序輔助檢測(cè)系統(tǒng)由信息中心進(jìn)展管理及維護(hù)， 任何策略的改動(dòng)均需要經(jīng)過(guò)辦的討論前方可實(shí)施。 惡意程序輔助檢測(cè)系統(tǒng)的日志系統(tǒng)同時(shí)維護(hù)， 日志的保存與備份按照 ?XX 公司惡意程序輔助檢測(cè)系統(tǒng)運(yùn)維管理制度?進(jìn)展管理。a、由信息中心管理惡意程序輔助檢測(cè)系統(tǒng)，分別設(shè)置管理員、平安管理員、平安審計(jì)員的口令，由“三員分別管理。b、由信息中心對(duì)中間機(jī)進(jìn)展編號(hào)、標(biāo)識(shí)密級(jí)、記錄安放位置并指定中間機(jī)負(fù)責(zé)人。c、信息中心負(fù)責(zé)定期到中間機(jī)提取審計(jì)日志信息等容。d、信息中心發(fā)現(xiàn)高風(fēng)險(xiǎn)事件及時(shí)通報(bào)辦，并查找風(fēng)險(xiǎn)源頭，各部門配合信息中心及時(shí)解決問(wèn)題。e中間機(jī)負(fù)責(zé)人嚴(yán)格遵守？XX公司惡意程序輔助檢測(cè)系統(tǒng)運(yùn)維管理制度？

36、,使用中間機(jī)需要進(jìn)展申請(qǐng)、 審批、 登記擺渡容、 使用惡意程序輔助檢測(cè)系統(tǒng)防止擺渡介質(zhì)可能攜帶的惡意程序及木馬危害系統(tǒng)。4部署后解決的風(fēng)險(xiǎn)解決中間機(jī)計(jì)算機(jī)病毒與惡意代碼防護(hù)相關(guān)風(fēng)險(xiǎn)。主機(jī)監(jiān)控與審計(jì)系統(tǒng)XX公司使用原有主機(jī)監(jiān)控與審計(jì)系統(tǒng)進(jìn)展對(duì)終端行為監(jiān)控和限制，保持原 有部署及原有配置不變，管理方式及策略依舊。此設(shè)備解決的風(fēng)險(xiǎn)為設(shè)備數(shù)據(jù)接 口控制、主機(jī)平安審計(jì)風(fēng)險(xiǎn)。移動(dòng)介質(zhì)管理系統(tǒng)XX公司采用移動(dòng)介質(zhì)管理系統(tǒng)對(duì)公司移動(dòng)存儲(chǔ)介質(zhì)進(jìn)展管理。1部署使用一臺(tái)單機(jī)作為移動(dòng)存儲(chǔ)介質(zhì)的系統(tǒng)管理機(jī)，安裝涉密移動(dòng)存儲(chǔ)介質(zhì)管理 系統(tǒng)以及審計(jì)平臺(tái)。該單機(jī)放置于信息中心，由信息中心管理維護(hù)。部署30個(gè)客戶端。具體分布如

37、下表所示。表1-5移動(dòng)介質(zhì)系統(tǒng)部署匯總表序號(hào)部署位置數(shù)量12345678910合計(jì)2第一次運(yùn)行策略使用移動(dòng)介質(zhì)管理系統(tǒng)對(duì)公司移動(dòng)存儲(chǔ)介質(zhì)進(jìn)展：注冊(cè)登記、授權(quán)、定密、發(fā)放、收回、銷毀、刪除。采用全盤加密技術(shù)，防止格式化U盤后進(jìn)展數(shù)據(jù)恢復(fù)。3設(shè)備管理及策略移動(dòng)介質(zhì)下發(fā)至各部門，由各部門進(jìn)展統(tǒng)一管理，辦進(jìn)展二級(jí)管理，借用需 要通過(guò)部門領(lǐng)導(dǎo)的審批，登記后進(jìn)展使用，并限定使用時(shí)間及使用圍。采取的技 術(shù)防護(hù)手段為主機(jī)監(jiān)控與審計(jì)系統(tǒng)， 進(jìn)展移動(dòng)介質(zhì)設(shè)備的管控與日志記錄。 移動(dòng) 介質(zhì)出現(xiàn)硬件問(wèn)題后，交由辦統(tǒng)一封存處理。4部署后解決的風(fēng)險(xiǎn)解決介質(zhì)平安存在的風(fēng)險(xiǎn)。終端平安登錄及身份認(rèn)證系統(tǒng)XX公司采用終端平安登錄

38、與監(jiān)控審計(jì)系統(tǒng) 網(wǎng)絡(luò)版，用于對(duì)級(jí)終端的“雙因子登錄身份認(rèn)證。采用終端平安登錄與監(jiān)控審計(jì)系統(tǒng)單機(jī)版 ，用于對(duì)涉密單機(jī)、中間機(jī)登錄身份認(rèn)證、主機(jī)監(jiān)控與審計(jì)。 1部署終端平安登錄與監(jiān)控審計(jì)系統(tǒng) 網(wǎng)絡(luò)版 效勞器部署于平安管理區(qū)， 數(shù)量為2 套，分別部署于主中心和附屬中心。認(rèn)證客戶端安裝于級(jí)終端上，共計(jì)89 臺(tái)。單機(jī)版直接部署在具XX 公司所有的中間機(jī)以及涉密單機(jī)上。2第一次運(yùn)行策略所有終端的策略采取以下方式進(jìn)展： 開機(jī)平安登錄與認(rèn)證， 關(guān)閉光驅(qū)、 軟驅(qū)、串口、并口、紅外、藍(lán)牙、網(wǎng)絡(luò)接口、 1394 火線、 PDA 。 USB 存儲(chǔ)自由使用。制止修改注冊(cè)表、安裝軟件、平安模式啟動(dòng)、外聯(lián)、更換設(shè)備。制止打

39、印、監(jiān)控文件操作。 特殊的終端如果需要開放特殊策略， 那么必須由辦審批核準(zhǔn)后， 由信息中心系統(tǒng)管理員進(jìn)展策略的調(diào)整與下發(fā)。3設(shè)備管理及策略終端平安登錄與監(jiān)控審計(jì)系統(tǒng)由信息中心進(jìn)展管理及維護(hù)， 任何策略的改動(dòng)均需要經(jīng)過(guò)辦的討論前方可實(shí)施。 終端平安登錄與監(jiān)控審計(jì)系統(tǒng)的日志系統(tǒng)同時(shí)維護(hù)， 日志的保存與備份按照 ?XX 公司終端平安登錄與監(jiān)控審計(jì)系統(tǒng)運(yùn)維管理制度?進(jìn)展管理。a、由信息中心管理終端平安登錄與監(jiān)控審計(jì)系統(tǒng)，分別設(shè)置管理員、平安管理員、平安審計(jì)員的口令，由“三員分別管理。b、 由信息中心對(duì)終端平安登錄與監(jiān)控審計(jì)系統(tǒng)效勞器進(jìn)展編號(hào)、 標(biāo)識(shí)密級(jí)、安放至平安管理位置。c、信息中心負(fù)責(zé)終端平安登錄與監(jiān)控審計(jì)系統(tǒng)的日常運(yùn)行維護(hù)，每周登陸設(shè)備查看效勞器硬件運(yùn)行狀態(tài)、策略配置、系統(tǒng)日志等容。d、信