計算機信息系統(tǒng)分級保護方案

計算機信息系統(tǒng)分級保護方案標準化工作室編碼[XX968T-XX89628-XJ668-XT689N]方案系統(tǒng)總體部署涉密信息系統(tǒng)的組網(wǎng)模式為：效勞器區(qū)、安全治理區(qū)、終端區(qū)共同連接至核TCP/IP式，核心交換機、效勞器安全訪問掌握中間件以及防火墻上設置安全訪問掌握策略〔ACL〕，VlanVlanVlan數(shù)據(jù)至入侵檢測系統(tǒng)以及網(wǎng)絡安全審計系統(tǒng)；效勞器區(qū)包含原有應用系統(tǒng)；安全治理區(qū)windowsWSUS認證系統(tǒng)；終端區(qū)分包含全部業(yè)務部門。XXX系統(tǒng)、XXX系統(tǒng)、XXX系統(tǒng)、XXXXXX系統(tǒng)、。防火墻防護的應用系統(tǒng)有：XXX、XXX系統(tǒng)、XXX系統(tǒng)、XXX系統(tǒng)以及XXX系統(tǒng)。集團內(nèi)部的公文流轉以及協(xié)同工作。使用25、110SMTPPOP3C/S將內(nèi)網(wǎng)用戶使用的郵件賬號在效勞器群組安全訪問掌握中間件中劃分到不同的用戶1-7，717用戶可以向高密級用戶發(fā)送郵件，高密級用戶不得向低密級用戶發(fā)送，保證信息流向的正確性，防止高密數(shù)據(jù)流向低密用戶。針對物理風險，實行紅外對射、紅外報警、視頻監(jiān)控以及門禁系統(tǒng)進展防物理安全防護總體物理安全防護設計如下：周邊環(huán)境安全掌握①XXXXXX側部署紅外對射和入侵報警系統(tǒng)。具體部署見下表：1-1周邊安全建設序號保護部位現(xiàn)有防護措施需增防護措施1人員出入通道2物資出入通道3南側4西側5東側6北側要害部門部位安全掌握表所示：1-2要害部門部位安全建設序號序號1保護部門出入口掌握門鎖/登記/現(xiàn)有安全措施增安全措施序號保護部門出入口掌握現(xiàn)有安全措施增安全措施24H2門鎖3門鎖4門鎖5門鎖/登記6門鎖/登記7門鎖/登記8門鎖/登記9機房出入登記10門鎖建設內(nèi)容包括：①為使用非屏蔽雙絞線的鏈路加裝線路干擾儀。②為涉密信息系統(tǒng)內(nèi)的終端和效勞器安裝紅黑電源隔離插座。③為視頻信號電磁泄漏風險較大的終端安裝視頻干擾儀。以及電磁泄漏信號無法捕獲、無法復原。紅外對射部署增加紅外對射裝置，防護邊界，具體部署位置如下表：1-1紅外對射部署統(tǒng)計表序號部署位置數(shù)量〔對〕1東圍墻2北圍墻3合計部署方式如以下圖所示：

1-2紅外對射設備設備成對消滅，在安裝地點雙向對置，調(diào)整至一樣水平位置。第一次運行策略2410/秒的速度來確定最短遮光時間；202020不報警。設備治理及策略設備及傳輸線路進展檢查、維護，并定期向保密辦提交設備運維報告。部署后解決的風險紅外報警部署如下表：1-2紅外報警部署統(tǒng)計表序號序號部署位置數(shù)量〔個〕序號部署位置數(shù)量〔個〕1234合計設備形態(tài)如以下圖所示：

1-3紅外報警設備部署在兩處房間墻壁角落，安裝高度距離地面米。第一次運行策略2437℃10μm止窗外的熱氣流擾動和人員走動會引起誤報。設備治理及策略進展檢查、維護，并定期向保密辦提交設備運維報告。部署后解決的風險視頻監(jiān)控部署部署位置如下表：1-3視頻監(jiān)控部署統(tǒng)計表序號部署位置數(shù)量〔個〕12345678合計設備形態(tài)如以下圖所示：

1-4視頻監(jiān)控設備落，掩蓋門窗及重點區(qū)域。形態(tài)如以下圖所示：第一次運行策略

1-5硬盤錄像機MPEG-4，顯示區(qū)分率768*576，384*288。設備治理及策略設備及傳輸線路進展檢查、維護，并定期向保密辦提交設備運維報告。部署后解決的風險門禁系統(tǒng)部署署位置如下表：1-4門禁系統(tǒng)部署統(tǒng)計表序號部署位置數(shù)量〔個〕1234567891011合計第一次運行策略

1-6門禁系統(tǒng)部署方式實行密碼+讀卡方式；設置可以通過該通道的人在什么時間范圍內(nèi)可以進出；實時供給每個門區(qū)人員的進出狀況、每個門區(qū)的狀態(tài)〔包括門的開關，各種非正常狀態(tài)報警等〕，設置在緊急狀態(tài)翻開或關閉全部門區(qū)的功能；設置防跟隨功能。設備治理及策略輸線路進展檢查、維護，并定期向保密辦提交設備運維報告。部署后解決的風險線路干擾儀部署路干擾儀連接至最遠端和次遠端，將該設備進展接地處理。具體部署位置如下表：1-6線路干擾儀部署統(tǒng)計表序號部署位置數(shù)量〔個〕123合計第一次運行策略

1-11線路干擾儀設備〔如〕上竊取信息，實際上所竊得的僅是已被加擾信號充分湮沒了的混合信號。設備治理及策略備及傳輸線路進展檢查、維護，并定期向保密辦提交設備運維報告。部署后解決的風險視頻干擾儀部署XXX號樓存在的涉密終端部署，將該設備進展接地處理。、具體部署位置如下表：1-7視頻干擾儀部署統(tǒng)計表序號部署位置數(shù)量〔個〕12311合計第一次運行策略

1-12視頻干擾儀設備設置設備運行頻率為1000MHz。設備治理及策略進展檢查、維護，并定期向保密辦提交設備運維報告。部署后解決的風險紅黑電源隔離插座部署具體部署位置如下表：數(shù)量〔個〕1-8紅黑電源部署統(tǒng)計表數(shù)量〔個〕序號1涉密終端部署位置2效勞器3UPS4合計運行維護策略

1-13紅黑電源隔離插座消滅問題向保密辦報告?！?〕部署后解決的風險解決信息設備的電磁泄漏放射防護相關風險。網(wǎng)閘1部署附屬中心之間在任一時刻點上都不產(chǎn)生直接的物理連通。部署拓撲示意圖如下：1-8網(wǎng)閘部署拓撲示意圖第一次運行策略SQLservers設備治理及策略網(wǎng)閘設備依據(jù)《網(wǎng)閘運維治理制度》進展治理?？诹?，由“三員”分別治理。b、由信息中心對網(wǎng)閘設備進展編號、標識密級、安放至安全治理位置。身運行狀態(tài)、轉發(fā)數(shù)據(jù)量狀態(tài)、系統(tǒng)日志等內(nèi)容。心準時解決問題。后，負責設備的修理治理。部署后解決的風險在任一時刻點上都不產(chǎn)生直接的物理連通。防火墻、網(wǎng)絡層審計等。防火墻系統(tǒng)部署于附屬中心。原有防火墻部署于主中心，不做調(diào)整。部署使用防火墻系統(tǒng)限制附屬中心終端訪問機密級效勞器的權限，并且記錄全部與效勞器區(qū)進展交互的日志。防火墻的eth1口、eth2口設置為透亮模式，配置橋接口fwbridge0IPsVLANtcp、udp、1-9防火墻部署示意圖第一次運行策略a、允許附屬中心授權用戶訪問軟件配置治理系統(tǒng)。b、開放系統(tǒng)內(nèi)所能使用到的端口，其他不使用的端口進展全部制止訪問限制。字過濾。d、審計附屬中心用戶和效勞器區(qū)域的數(shù)據(jù)交換信息，記錄審計日志。錄，便利治理員進展審查。設備治理及策略進展治理。的口令，由“三員”分別治理。b、由信息中心對防火墻設備進展編號、標識密級、安放至安全治理位置。自身運行狀態(tài)、轉發(fā)數(shù)據(jù)量狀態(tài)、系統(tǒng)日志等內(nèi)容。心準時解決問題。后，負責設備的修理治理。部署后解決的風險Vlan求。入侵檢測系統(tǒng)維護照舊。此設備解決的風險為對系統(tǒng)內(nèi)的安全大事監(jiān)控與報警，滿足入侵監(jiān)控要求。違規(guī)外聯(lián)系統(tǒng)部署B(yǎng)/S111-1違規(guī)外聯(lián)系統(tǒng)部署示意圖第一次運行策略系統(tǒng)實時地監(jiān)測受控網(wǎng)絡內(nèi)主機及移動主機的活動，對非法內(nèi)/外聯(lián)行為由報警掌握警，其中手機短信是完全實時的告警，格外便利和準時。設備治理及策略的爭論前方可實施。違規(guī)外聯(lián)監(jiān)控系統(tǒng)的日志系統(tǒng)同時維護，日志的保存與備份依據(jù)《違規(guī)外聯(lián)監(jiān)控系統(tǒng)運維治理制度》進展治理。審計員的口令，由“三員”分別治理。治理位置。件運行狀態(tài)、策略配置、系統(tǒng)日志等內(nèi)容。心準時解決問題。辦，獲得批準后，聯(lián)系廠家負責設備的修理治理。f、當系統(tǒng)消滅版本，由治理員負責準時更系統(tǒng)并做好備份工作。部署后解決的風險解決違規(guī)撥號、違規(guī)連接和違規(guī)無線上網(wǎng)等風險。應用安全防護效勞器群組安全訪問掌握中間件2隱秘級效勞器、附屬中心隱秘級效勞器邊界的安全掌握、應用身份認證、郵件轉發(fā)控制、網(wǎng)絡審計以及郵件審計等。防護主中心的XXX系統(tǒng)、XXX系統(tǒng)、XXX系統(tǒng)、XXX系統(tǒng)、XXXXXXXXXXXX類軟件系統(tǒng)。部署志。效勞器群組安全訪問掌握中間件的eth1口、eth2口設置為透亮模式，啟用橋接口進展治理。部署拓撲示意圖如下：1-10效勞器群組安全訪問掌握中間件部署示意圖第一次運行策略戶和效勞器區(qū)域的數(shù)據(jù)交換信息，審計應用訪問日志。設備治理及策略均需要經(jīng)過保密辦的爭論前方可實施。效勞器群組安全訪問掌握中間件的日志系統(tǒng)維護，日志的保存與備份依據(jù)《效勞器群組安全訪問掌握中間件運維治理制度》進展管理。保密治理員、安全審計員的口令，由“三員”分別治理。級、安放至安全治理位置。設備查看設備配置、設備自身運行狀態(tài)、轉發(fā)數(shù)據(jù)量狀態(tài)、系統(tǒng)日志等內(nèi)容。心準時解決問題。題，通知保密辦，獲得批準后，負責設備的修理治理。部署后解決的風險邊界防護、安全審計及數(shù)據(jù)庫安全等要求。windows改造原有AD主域掌握器及備份域掌握器。部署AD2與活動名目集成，用戶授權治理和名目進入掌握整合在活動名目當中〔包括用戶的訪問和登錄權限等〕。通過實施安全策略，實現(xiàn)系統(tǒng)內(nèi)用戶登錄身份認證，集中掌握用戶授權。終端操作基于策略的治理。通過設置組策略把相應各種策略〔包括安全策略〕實施到組策略對象中。部署拓撲示意圖如下：1-7域控及WSUS第一次運行策略度、使用周期、鎖定策略，指定每一個用戶可登錄的機器。機密級終端需要將USB-KEY令牌與域用戶登錄結合使用，到達“雙因子”鑒別的過程。行”、“搜尋”功能。WSUSWSUSWSUS統(tǒng)漏洞。設備治理及策略ADWSUSWSUS運維治理制度》進展治理。WSUS保密治理員、安全審計員的口令，由“三員”分別治理。WSUS標識密級、安放至安全治理位置。cADWSUSd、信息中心覺察特別系統(tǒng)日志準時通報保密辦，并查找緣由，追究根源。部署后解決的風險網(wǎng)絡安全審計使用網(wǎng)絡安全審計系統(tǒng)2臺，用于對涉密信息系統(tǒng)的網(wǎng)絡及應用進展安全審計和監(jiān)審計等。部署2下：

1-14網(wǎng)絡安全審計部署示意圖、POP3、Smtp、imap、telnet、FTP1433、、1034、1037、1041、1040、1042、6035、7777、3690保密規(guī)定設定相關關鍵詞字，審計關鍵詞字；使用s方式治理系統(tǒng)。設備治理及策略安全審計運維治理制度》進展治理。審計員的口令，由“三員”分別治理。位置。置、設備自身運行狀態(tài)、轉發(fā)數(shù)據(jù)量狀態(tài)、系統(tǒng)日志等內(nèi)容。d、信息中心覺察特別審計日志準時通報保密辦，并查找緣由，追究根源。得批準后，負責設備的修理治理。部署后解決的風險解決應用審計，針對內(nèi)容進展審計記錄，滿足安全審計相關要求。防病毒系統(tǒng)將使用網(wǎng)絡版防病毒軟件建立病毒防護系統(tǒng)，共計26個效勞器端，419個客戶端，分別部署在主中心以及附屬中心。226部署防病毒系統(tǒng)承受客戶端+效勞器構造，效勞器由信息中心負責治理。admin入到殺毒掌握中心。IP持與殺毒中心的實時通信。IP與殺毒中心同步。單機防病毒系統(tǒng)直接部署在涉密單機及中間機上。第一次運行策略access接口上。交換機接口配置Vlan二層信息為：接口類型為access，為其劃分Vlan，使得VlanVlan，即網(wǎng)絡防病毒系統(tǒng)可以對網(wǎng)絡中全部的主機設備進展殺毒統(tǒng)一治理和在線掌握。全部接入網(wǎng)絡的終端計算機和應用效勞器〔windows操作系統(tǒng)〕防病毒客戶端。內(nèi)網(wǎng)的防病毒系統(tǒng)效勞器上。利用效勞器上的防病毒系統(tǒng)效勞端供給的接口導入升級包，再通過效勞端將更了的病毒庫向每一臺防病毒系統(tǒng)客戶端進展強制更。定應急預案，防止病毒大面積爆發(fā)。設備治理及策略為了防止計算機病毒或惡意代碼傳播，將實行如下措施：時進展制定，同時加強審計，確保策略的正確實施；意代碼檢查處理；usb部署后解決的風險惡意程序關心檢測系統(tǒng)涉密信息系統(tǒng)承受惡意程序關心檢測系統(tǒng)，用于涉密信息系統(tǒng)的中間機信息輸入輸出介質的惡意程序及木馬病毒查殺及管控。部署4224統(tǒng)，對中間機潛在的惡意程序及木馬進展管控。第一次運行策略載、設置策略進展惡意代碼掃描、設置策略攔截惡意程序的盜取行為。設備治理及策略份依據(jù)《惡意程序關心檢測系統(tǒng)運維治理制度》進展治理。安全審計員的口令，由“三員”分別治理。b、由信息中心對中間機進展編號、標識密級、記錄安放位置并指定中間機負責人。c、信息中心負責定期到中間機提取審計日志信息等內(nèi)容。d、信息中心覺察高風險大事準時通報保密辦，并查找風險源頭，各部門協(xié)作信息中心準時解決問題。e、中間機負責人嚴格遵守《惡意程序關心檢測系統(tǒng)運維治理制度》，使用中間機帶的惡意程序及木馬危害系統(tǒng)。部署后解決的風險主機監(jiān)控與審計系統(tǒng)使用原有主機監(jiān)控與審計系統(tǒng)進展對終端行為監(jiān)控和限制，保持原有部署及原有配風險。移動介質治理系統(tǒng)承受移動介質治理系統(tǒng)對公司移動存儲介質進展治理。部署統(tǒng)以及審計平臺。該單機放置于信息中心，由信息中心治理維護。部署30個客戶端。具體分布如下表所示。1-5移動介質系統(tǒng)部署匯總表序號部署位置數(shù)量12345678910合計第一次運行策略U設備治理及策略問題后，交由保密辦統(tǒng)一封存處理。部署后解決的風險終端安全登錄及身份認證系統(tǒng)承受終端安全登錄與監(jiān)控審計系統(tǒng)〔網(wǎng)絡版〕，用于對機密級終端的“雙因子”登〔單機版〕，用于對涉密單機、中間機登錄身份認證、主機監(jiān)控與審計。部署〕289單機版直接部署在具全部的中間機以及涉密單機上。第一次運行策略全部終端的策略實行以下方式進展：開機安全登錄與認證，關閉光驅、軟驅、串口、并口、紅外、藍牙、網(wǎng)絡接口、1394PDA。USB策略的調(diào)整與下發(fā)。設備治理及策略志的保存與備份依據(jù)《終端安全登錄與監(jiān)控審計系統(tǒng)運維治理制度》進展治理。員、安全審計員的口令，由“三員”分別治理。至安全治理位置?？葱谄饔布\行狀態(tài)、策略配置、系統(tǒng)日志等內(nèi)容。心準時解決問題。題，通知保密辦，獲得批準后，聯(lián)系廠家負責設備的修理治理。部署后解決的風險光盤刻錄監(jiān)控與審計承受光盤刻錄監(jiān)控與審計系統(tǒng)，用于對刻錄行為的監(jiān)控與審計。部署部署在具有刻錄權限的內(nèi)網(wǎng)終端、中間機以及涉密單機上。第一次運行策略申請、