分級保護(hù)方案設(shè)計(jì)詳解

iiu第三章安全保密風(fēng)險分析

3.1脆弱性分析

脆弱性是指資產(chǎn)或資產(chǎn)組中能被威脅所運(yùn)用日勺弱點(diǎn)，它包括物理環(huán)境、組織機(jī)構(gòu)、

業(yè)務(wù)流程、人員、管理、硬件、軟件及通訊設(shè)施等各個方面。脆弱性是資產(chǎn)自身存在

的，假如沒有被對應(yīng)的I威脅運(yùn)用，單純的脆弱性自身不會對資產(chǎn)導(dǎo)致?lián)p害，并且假如

系統(tǒng)足夠強(qiáng)健，嚴(yán)重的威脅也不會導(dǎo)致安全事件發(fā)生，并導(dǎo)致?lián)p失。威脅總是要運(yùn)用

資產(chǎn)的脆弱性才也許導(dǎo)致危害。

資產(chǎn)的脆弱性具有隱蔽性，有些脆弱性只有在一定條件和環(huán)境下才能顯現(xiàn)，這是

脆弱性識別中最為困難H勺部分。不對的H勺、起不到任何作用H勺或沒有對H勺實(shí)行的安全

措施自身就也許是一種弱點(diǎn)，脆弱性是風(fēng)險產(chǎn)生的內(nèi)在原因，多種安全微弱環(huán)節(jié)、安

全弱點(diǎn)自身并不會導(dǎo)致什么危害，它們只有在被多種安全威脅運(yùn)用后才也許導(dǎo)致對應(yīng)

的危害。

針對XXX機(jī)關(guān)涉密信息系統(tǒng),我們重要從技術(shù)和管理兩個方面分析其存在的安全

脆弱性。

技術(shù)脆弱性

1.物理安全脆弱性：

環(huán)境安全：物理環(huán)境的安全是整個基地涉密信息系統(tǒng)安全得以保障的前提。假如

物理安全得不到保障，那么網(wǎng)絡(luò)設(shè)備、設(shè)施、介質(zhì)和信息就輕易受到自然災(zāi)害、環(huán)境

事故以及人為物理操作失誤或錯誤等多種物理手段『、J破壞，導(dǎo)致有價值信息的丟失。

目前各級XXX企業(yè)的中心機(jī)房大部分采用獨(dú)立的工作空間，并口可以到達(dá)國標(biāo)

GB50174.1993《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、GB2887.1989《計(jì)算機(jī)場地技術(shù)條件》、

GB9361.1998《計(jì)算站場地安全規(guī)定》和BMBI7—2023《波及國家秘密日勺信息系統(tǒng)

分級保護(hù)技術(shù)規(guī)定》等規(guī)定。

設(shè)備安全：涉密信息系統(tǒng)的中心機(jī)房均按照保密原則規(guī)定采用了安全防備措施，

防止非授權(quán)人員進(jìn)入，防止設(shè)備發(fā)生被盜、被毀日勺安全事故。

介質(zhì)安全：目前各級XXX企業(yè)歐|軟磁盤、硬盤、光盤、磁帶等涉密媒體按所存儲

信息的最高密級標(biāo)明密級，并按對應(yīng)日勺密級管理。

2.運(yùn)行安全脆弱性分析

備份與恢復(fù)：備份與恢第是保證涉密信息系統(tǒng)運(yùn)行安全日勺一種不可忽視問題，當(dāng)

碰到（如火災(zāi)、水災(zāi)等）不可抗原因，不會導(dǎo)致關(guān)鍵業(yè)務(wù)數(shù)據(jù)無法恢復(fù)的慘痛局面。同

步將備份關(guān)鍵業(yè)務(wù)數(shù)據(jù)1勺存儲介質(zhì)放置在其他建筑屋內(nèi)，防止在異常事故發(fā)生時被同

步破壞。

網(wǎng)絡(luò)防病毒：各級XXX企業(yè)涉密網(wǎng)絡(luò)中的操作系統(tǒng)重要是windows系列操作系

統(tǒng)。雖有安全措施，卻在不一樣程度上存在安全漏洞。同步，病毒也是對涉密網(wǎng)絡(luò)安

全的重要威脅，有些病毒可感染擴(kuò)展名為corn、exe和。vl的可執(zhí)行文獻(xiàn)，當(dāng)運(yùn)行這

些被感染的可執(zhí)行文獻(xiàn)時就可以激活病毒，有些病毒在系統(tǒng)底層活動，使系統(tǒng)變得非

常不穩(wěn)定，輕易導(dǎo)致系統(tǒng)瓦解。尚有蠕蟲病毒可通過網(wǎng)絡(luò)進(jìn)行傳播，感染的計(jì)算機(jī)輕

易導(dǎo)致系統(tǒng)口勺癱瘓。近年來，木馬的泛濫為計(jì)算機(jī)的安全帶來了嚴(yán)重口勺安全問題。木

馬一般是病毒攜帶的一種附屬程序，在被感染的計(jì)算機(jī)上打開一種后門，使被感染的

計(jì)算機(jī)喪失部分控制權(quán)，此外尚有黑客程序等，可以運(yùn)用系統(tǒng)口勺漏洞和缺陷進(jìn)行破壞,

都會為涉密網(wǎng)絡(luò)帶來安全風(fēng)險。各級XXX企業(yè)涉密網(wǎng)絡(luò)中采用網(wǎng)絡(luò)版殺毒軟件對涉密

系統(tǒng)進(jìn)行病毒防護(hù)，并制定合理的病毒升級方略和病毒應(yīng)急響應(yīng)計(jì)劃以保證涉密網(wǎng)絡(luò)

的安全。

應(yīng)急響應(yīng)與運(yùn)行管理：各級XXX企業(yè)采用管理與技術(shù)結(jié)合日勺手段，設(shè)置定期備份

機(jī)制，在系統(tǒng)正常運(yùn)行時就通過多種備份措施為災(zāi)害和故障做準(zhǔn)備；健全安全管理機(jī)

構(gòu)，建立健全區(qū)I安全事件管理機(jī)構(gòu)，明確人員歐I分工和責(zé)任；建立處理流程圖，制定

安全事件響應(yīng)與處理計(jì)劃及事件處理過程示意圖，以便迅速恢復(fù)被安全事件破壞的系

統(tǒng)。

3.信息安全保密脆弱性

自身脆弱性：任何應(yīng)用軟件都存在不一樣程度的安全問題，重要來自于兩個方面:

首先是軟件設(shè)計(jì)上的安全漏洞；另首先是安全配置的漏洞。針對軟件設(shè)計(jì)上的安全漏

洞和安全配置的漏洞，假如沒有進(jìn)行合適的配置加固和安全修補(bǔ)，就會存在匕較多的I

安全風(fēng)險。由于目前防病毒軟件大多集成了部分漏洞掃描功能，并且涉密網(wǎng)絡(luò)中的涉

密終端與互聯(lián)網(wǎng)物理隔離，因此可以通過對涉密網(wǎng)絡(luò)講行漏洞掃描，定期下載升級補(bǔ)

丁，并制定對應(yīng)日勺安全方略來防護(hù)。

電磁泄漏發(fā)射防護(hù)：信息設(shè)備在工作中產(chǎn)生的時變電流引起電磁泄漏發(fā)射，將設(shè)

備處理的信息以電磁波的形式泄露在自由空間和傳導(dǎo)線路上，通過接受這種電磁波并

采用對應(yīng)的信號處理技術(shù)可以竊取到信息。這種竊收方式危險小，不易被發(fā)現(xiàn)和察覺,

伴隨我國信息化水平的不停提高，我國涉密部門大量使用計(jì)算機(jī)、網(wǎng)絡(luò)終端等辦公自

動化設(shè)備，涉密信息的安全保密受到嚴(yán)重威脅，這種威脅不像病毒襲擊和網(wǎng)絡(luò)襲擊那

樣可以看到或者有跡可尋，它的隱蔽性強(qiáng)，危害極大。

安全審計(jì)：安全審計(jì)是對信息系統(tǒng)的多種事件及行為實(shí)行監(jiān)測、信息采集、分析

并針對特定事件及行為采用對應(yīng)動作，XXXXXX企業(yè)涉密信息系統(tǒng)沒有有效日勺審計(jì)，

應(yīng)用系統(tǒng)出現(xiàn)了問題之后無法追查，也不便于發(fā)現(xiàn)問題，導(dǎo)致了損失也很難對原因進(jìn)

行定性。

邊界安全防護(hù)：計(jì)算機(jī)連接互聯(lián)網(wǎng)存在著木馬、病毒、黑客入侵的威脅，并且我

國安全保密技術(shù)手段尚不完備、對操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備日勺關(guān)鍵技術(shù)尚未掌握，局限性

以抵擋高技術(shù)竊密，因比涉密網(wǎng)絡(luò)必須與互聯(lián)網(wǎng)物理隔離，而僅將涉密系統(tǒng)置于獨(dú)立

的環(huán)境內(nèi)進(jìn)行物理隔離，并不能做到與互聯(lián)網(wǎng)完全隔離，內(nèi)部顧客還可以通過ADSL、

Modem,無線網(wǎng)卡等方式連接國際互聯(lián)網(wǎng)，因此應(yīng)當(dāng)通過技術(shù)手段，對違規(guī)外聯(lián)行

為進(jìn)行阻斷，此外，涉密網(wǎng)絡(luò)中日勺內(nèi)部介入問題也為涉密網(wǎng)絡(luò)帶來安全威脅，

數(shù)據(jù)庫安全：數(shù)據(jù)庫系統(tǒng)作為計(jì)算機(jī)信息系統(tǒng)的重要構(gòu)成部分，數(shù)據(jù)庫文獻(xiàn)作為

信息的匯集體，肩負(fù)著存儲和管理數(shù)據(jù)信息日勺任務(wù)，其安全性將是信息安全口勺重中之

重。數(shù)據(jù)庫的安全威脅重要分為非人為破壞和人為破壞，對于非人為破壞，重要依托

定期備份或者熱備份等，并在異地備份。人為破壞可以從三個方面來防護(hù)：一、物理

安全，保證數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)庫所在環(huán)境、有關(guān)網(wǎng)絡(luò)日勺物理安全性；二、訪問控制，

在帳號管理、密碼方略、權(quán)限控制、顧客認(rèn)證等方面加強(qiáng)限制；三、數(shù)據(jù)備份，定期

的進(jìn)行數(shù)據(jù)備份是減少數(shù)據(jù)損失H勺有效手段，能讓數(shù)據(jù)庫遭到破壞后，恢復(fù)數(shù)據(jù)資源。

操作系統(tǒng)安全：操作系統(tǒng)H勺安全性在計(jì)算機(jī)信息系統(tǒng)的整體安全性中具有至關(guān)重

要口勺作用，沒有操作系統(tǒng)提供口勺安全性，信息系統(tǒng)和其他應(yīng)用系統(tǒng)就好比“建筑在沙

灘上的城堡”。我國使用的操作系統(tǒng)95%以上是Windows,微軟口勺Windows操作系

統(tǒng)源碼不公開，無法對其進(jìn)行分析，不能排除其中存在著人為“陷阱”?，F(xiàn)已發(fā)現(xiàn)存

在著將顧客信息發(fā)送到微軟網(wǎng)站的“后門”。在沒有源碼的情形下，很難加強(qiáng)操作系

統(tǒng)內(nèi)核日勺安全性，從保障我國網(wǎng)絡(luò)及信息安全日勺角度考慮，必須增強(qiáng)它的安全性，因

此采用設(shè)計(jì)安全隔離層一一中間件的方式，增長安全模塊，以解燃眉之急。

管理脆弱性

任何信息系統(tǒng)都離不開人的管理，再好H勺安全方略最終也要靠人來實(shí)現(xiàn)，因此管

理是整個網(wǎng)絡(luò)安全中最為重要的一環(huán)，因此有必要認(rèn)真地分析管理所存在口勺安全風(fēng)

險，并采用對應(yīng)日勺安全措施。

物理環(huán)境與設(shè)施管理脆弱性：包括周圍環(huán)境、涉密場所和保障設(shè)施等。

人員管理脆弱性：包括內(nèi)部人員管理、外部有關(guān)人員管理等。

設(shè)備與介質(zhì)管理脆弱性：采購與選型、操作與使用、保管與保留、維修與報廢等。

運(yùn)行與開發(fā)管理脆弱性：運(yùn)行使用、應(yīng)用系統(tǒng)開發(fā)、異常事件等。

信息保密管理脆弱性：信息分類與控制、顧客管理與授權(quán)、信息系統(tǒng)互聯(lián)。責(zé)權(quán)

不明、管理混亂、安全管理制度不健全及缺乏可操作性等。

當(dāng)網(wǎng)絡(luò)出現(xiàn)襲擊行為、網(wǎng)絡(luò)受到其他某些安全威脅（如：內(nèi)部人員違規(guī)操作）以及

網(wǎng)絡(luò)中出現(xiàn)未加保護(hù)而傳播工作信息和敏感信息時，系統(tǒng)無法進(jìn)行實(shí)時日勺檢測、監(jiān)控、

匯報與預(yù)警。同步，當(dāng)事故發(fā)生后，也無法提供追蹤襲擊行為的線索及破案根據(jù)，即

缺乏對網(wǎng)絡(luò)日勺可控性與可審查性。這就規(guī)定我們必須對網(wǎng)絡(luò)內(nèi)出現(xiàn)日勺多種訪問活動進(jìn)

行多層次記錄，及時發(fā)現(xiàn)非法入侵行為和泄密行為。

要建設(shè)涉密信息系統(tǒng)建立有效的信息安全機(jī)制，必須深刻理解網(wǎng)絡(luò)和網(wǎng)絡(luò)安全，

并能提供直接的安全處理方案，因此最可行日勺做法是安全管理制度和安全處理方案相

結(jié)合，并輔之以對應(yīng)日勺安全管理工具。

3.2威脅分析

威脅源分析

作為一種較封閉H勺內(nèi)網(wǎng)，襲擊事件H勺威脅源以內(nèi)部人員為主，內(nèi)部人員襲擊可以

分為惡意和無惡意襲擊，襲擊目的一般為機(jī)房、網(wǎng)絡(luò)設(shè)備、主機(jī)、介質(zhì)、數(shù)據(jù)和應(yīng)用

系統(tǒng)等，惡意襲擊指XXX企業(yè)內(nèi)部人員對信息的竊??；無惡意襲擊指由于粗心、無知

以及其他非惡意日勺原因而導(dǎo)致的破壞。

對于XXX機(jī)關(guān)涉密信息系統(tǒng)來講，內(nèi)部人員襲擊H勺行為也許有如下幾種形式：

1.被敵對勢力、腐敗分子收買，竊取業(yè)務(wù)資料；

2.惡意修改設(shè)備日勺配置參數(shù)，例如修改各級XXX企業(yè)網(wǎng)絡(luò)中布署日勺防火墻訪問

控制方略，擴(kuò)大自己日勺訪問權(quán)限；

3.惡意進(jìn)行設(shè)備、傳播線路日勺物理損壞和破壞；

4.出于粗心、好奇或技術(shù)嘗試進(jìn)行無意歐I配置，這種行為往往對系統(tǒng)導(dǎo)致嚴(yán)重

日勺后果，并且防備難度比較高。

襲擊類型分析

1.被動襲擊：被動襲擊包括分析通信流，監(jiān)視未被保護(hù)的通訊，解密弱加密通

訊，獲取鑒別信息（例圻口令）。被動襲擊也許導(dǎo)致在沒有得到顧客同意或告知顧客的

狀況下，將信息或文獻(xiàn)泄露給襲擊者。對于各級XXX企業(yè)網(wǎng)絡(luò)來講，被動襲擊的行為

也許有如下幾種形式：

1）故意識的對涉密信息應(yīng)用系統(tǒng)進(jìn)行竊取和窺探嘗試；

2）監(jiān)聽涉密信息河絡(luò)中傳播口勺數(shù)據(jù)包;

3）對涉密信息系統(tǒng)中明文傳遞的I數(shù)據(jù)、報文進(jìn)行截取或篡改;

4）對加密不善的I帳號和口令進(jìn)行截取，從而?在網(wǎng)絡(luò)內(nèi)獲得更大的訪問權(quán)限；

5）對網(wǎng)絡(luò)中存在漏洞的操作系統(tǒng)進(jìn)行探測；

6）對信息進(jìn)行未授權(quán)的訪問；

2.積極襲擊：積極襲擊包括試圖阻斷或攻破聚護(hù)機(jī)制、引入惡意代碼、盜竊或

篡改信息。積極攻打也許導(dǎo)致數(shù)據(jù)資料日勺泄露和散播，或?qū)е戮芙^服務(wù)以及數(shù)據(jù)的篡

改。對于XXX機(jī)關(guān)涉密信息系統(tǒng)來講，積極襲擊日勺行為也許有如下幾種形式：

1）字典襲擊：黑客運(yùn)用某些自動執(zhí)行日勺程序猜測顧客名和密碼，獲取對內(nèi)部應(yīng)

用系統(tǒng)日勺訪問權(quán)限；

2）劫持襲擊：在涉密信息系統(tǒng)中雙方進(jìn)行會話時被第三方（黑客）入侵，黑客黑掉

其中一方，并冒充他繼續(xù)與另一方進(jìn)行會話，獲得其關(guān)注的信息；

3）假冒：某個實(shí)體假裝成此外一種實(shí)體，以便使一線日勺防衛(wèi)者相信它是一種合

法的J實(shí)體，獲得合法顧客的權(quán)利和特權(quán)，這是侵入安全防線最為常用H勺措施：

4）截取：企圖截取并修改在本院涉密信息系統(tǒng)絡(luò)內(nèi)傳播的數(shù)據(jù)，以及省院、地

市院、區(qū)縣院之間傳播口勺數(shù)據(jù)；

5）欺騙：進(jìn)行IP地址欺騙，在設(shè)備之間公布假路由，虛假AI沖數(shù)據(jù)包；

6）重放：襲擊者對截獲的某次合法數(shù)據(jù)進(jìn)行拷貝，后來出于非法目的而重新發(fā)

送：

7）篡改：通信數(shù)據(jù)在傳播過程中被變化、刪除或替代；

8）惡意代碼：惡意代碼可以通過涉密信息網(wǎng)絡(luò)的外部接口和軟盤上的文獻(xiàn)、軟

件侵入系統(tǒng)，對涉密信息系統(tǒng)導(dǎo)致?lián)p害;

9）業(yè)務(wù)拒絕：對通信設(shè)備的使用和管理被無條件地拒絕。

絕對防止積極襲擊是十分困難的，因此抗擊積極襲擊的重要途徑是檢測，以及對

此襲擊導(dǎo)致日勺破壞進(jìn)行恢復(fù)。

3.3風(fēng)險的識別與確定

風(fēng)險識別

物理環(huán)境安全風(fēng)險：網(wǎng)絡(luò)日勺物理安全風(fēng)險重要指網(wǎng)絡(luò)周圍環(huán)境和物理特性引起日勺

網(wǎng)絡(luò)設(shè)備和線路日勺不可用，而導(dǎo)致網(wǎng)絡(luò)系統(tǒng)日勺不可用，如：

1）涉密信息日勺非授權(quán)訪問，異常的審計(jì)事件；

2）設(shè)備被盜、被毀壞；

3）線路老化或被故意或者無意時破壞；

4）因電子輻射導(dǎo)致信息泄露；

5）因選址不妥導(dǎo)致終端處理內(nèi)容被窺視；

6）打印機(jī)位置選擇不妥或設(shè)置不妥導(dǎo)致輸出內(nèi)容被盜竊；

7）設(shè)備意外故障、停電；

8）地震、火災(zāi)、水災(zāi)等自然災(zāi)害。

因此，XXX企業(yè)涉密信息系統(tǒng)在考慮網(wǎng)絡(luò)安全風(fēng)險時，首先要考慮物理安全風(fēng)險。

例如：設(shè)備被盜、被毀壞；設(shè)備老化、意外故障；計(jì)算機(jī)系統(tǒng)通過無線電輻射泄露秘

密信息等。

介質(zhì)安全風(fēng)險：因溫度、濕度或其他原因，多種數(shù)據(jù)存儲媒體不能正常使用；因

介質(zhì)丟失或被盜導(dǎo)致的泄密；介質(zhì)被非授權(quán)使用等。

運(yùn)行安全風(fēng)險：涉密信息系統(tǒng)中運(yùn)行著大量的網(wǎng)絡(luò)設(shè)備、服務(wù)器、終端，這些系

統(tǒng)日勺正常運(yùn)行都依托電力系統(tǒng)的良好運(yùn)轉(zhuǎn)，因電力供應(yīng)忽然中斷或由于UPS和油機(jī)

未能及時開始供電導(dǎo)致服務(wù)器、應(yīng)用系統(tǒng)不能及時關(guān)機(jī)保留數(shù)據(jù)導(dǎo)致的數(shù)據(jù)丟失。由

于備份措施不到位，導(dǎo)致備份不完整或恢復(fù)不及時等問題。

信息安全保密風(fēng)險：涉密信息系統(tǒng)中采用日勺操作系統(tǒng)(重要為Windows2023

server,WindowsXP)＞數(shù)據(jù)庫都不可防止地存在著多種安全漏洞，并且漏洞被發(fā)現(xiàn)與

漏洞被運(yùn)用之間日勺時間差越來越大，這就使得操作系統(tǒng)自身日勺安全性給整個涉密信息

系統(tǒng)帶來巨大的安全風(fēng)險。另首先，病毒已成為系統(tǒng)安全的重要威脅之一，尤其是伴

隨網(wǎng)絡(luò)的發(fā)展和病毒網(wǎng)絡(luò)化趨勢，病毒不僅對網(wǎng)絡(luò)中單機(jī)構(gòu)成威脅，同步也對網(wǎng)絡(luò)系

統(tǒng)導(dǎo)致越米越嚴(yán)重的破壞，所將這些都導(dǎo)致了系統(tǒng)安全的脆弱性。

涉密信息系統(tǒng)中網(wǎng)絡(luò)應(yīng)用系統(tǒng)中重要存在如下安全風(fēng)險：

1.顧客提交的業(yè)務(wù)信息被監(jiān)聽或修改；顧客對成功提交的'業(yè)務(wù)事后抵賴；

2.由于網(wǎng)絡(luò)某些應(yīng)用系統(tǒng)中存在著某些安全漏洞，包括數(shù)據(jù)庫系統(tǒng)與IIS系統(tǒng)中

大量漏洞被越來越多地發(fā)現(xiàn)，因此存在非法顧客運(yùn)用這些漏洞對專網(wǎng)中口勺這些服務(wù)器

進(jìn)行襲擊等風(fēng)險。

服務(wù)系統(tǒng)登錄和主機(jī)登錄使用的是靜態(tài)口令，口令在一定期間內(nèi)是不變內(nèi)，且在

數(shù)據(jù)庫中有存儲記錄，可反復(fù)使用。這樣非法顧客通過網(wǎng)絡(luò)竊聽，非法數(shù)據(jù)庫訪問，

窮舉襲擊，重放襲擊等手段很輕易得到這種靜態(tài)口令，然后，運(yùn)用口令，可對資源非

法訪問和越權(quán)操作。此外，在XXX企業(yè)涉密信息系統(tǒng)中運(yùn)行多種應(yīng)用系統(tǒng)，各應(yīng)用系

統(tǒng)中幾乎都需要對顧客權(quán)限口勺劃分與分派，這就不可防止地存在著假冒，越權(quán)操作等

身份認(rèn)證漏洞。此外網(wǎng)絡(luò)邊界缺乏防護(hù)或訪問控制措施不力、以及沒有在重要信息點(diǎn)

采用必要的電磁泄漏發(fā)射防護(hù)措施都是導(dǎo)致信息泄露的原因。

安全保密管理風(fēng)險：再安全的網(wǎng)絡(luò)設(shè)備離不開人的管理，再好日勺安全方略最終要

靠人來實(shí)現(xiàn)，因此管理是整個網(wǎng)絡(luò)安全中最為重要的一環(huán)，尤其是對于一種匕較龐大

和復(fù)雜日勺網(wǎng)絡(luò)，更是如此。

XXX企業(yè)在安全保密管理方面也許會存在如下風(fēng)險：當(dāng)網(wǎng)絡(luò)出現(xiàn)襲擊行為或網(wǎng)絡(luò)

受到其他某些安全威脅時（如內(nèi)部人員日勺違規(guī)操作等），無法進(jìn)行實(shí)時的檢測、監(jiān)控、

匯報與預(yù)警。雖然制定了有關(guān)管理制度，不過缺乏支撐管理歐I技術(shù)手段，使事故發(fā)生

后，無法提供襲擊行為的追蹤線索及破案根據(jù)。因此，最可行M故法是管理制度和管

理處理方案的結(jié)合。

風(fēng)險分析成果描述

風(fēng)險只能防止、防止、減少、轉(zhuǎn)移和接受，但不也許完全被消滅。風(fēng)險分析就是

分析風(fēng)險產(chǎn)生/存在日勺客觀原因，描述風(fēng)險日勺變化狀況，并給出可行的風(fēng)險減少計(jì)劃。

XXX企業(yè)涉密信息系統(tǒng)日勺分級保護(hù)方案應(yīng)當(dāng)建立在風(fēng)險分析日勺基礎(chǔ)之上，根據(jù)

“脆弱性分析”和“威脅分析”中所得到的系統(tǒng)脆弱性和威脅的分析成果，詳細(xì)分析

它們被運(yùn)用日勺也許性日勺大小，并且要評估假如襲擊得手所帶來的后果，然后再根據(jù)涉

密信息系統(tǒng)所能承受日勺風(fēng)險，來確定系統(tǒng)的保護(hù)重點(diǎn)。本方案所采用的風(fēng)險分析措施

為“安全威脅原因分析法”，圍繞信息的“機(jī)密性”、“完整性”和“可用性”三個最

基本日勺安全需求，針對前述每一類脆弱性的潛在威脅和后果進(jìn)行風(fēng)險分析并以表格的

形式體現(xiàn)，對于也許性、危害程度、風(fēng)險級別，采用五級來表達(dá)，等級最高為五級（表

****）,如下表：

層面脆弱和威脅也許性危害程度風(fēng)險級別

自然災(zāi)害與環(huán)境事故、電力中斷*******火*火

物理層

重要設(shè)備被盜**********火*

內(nèi)外網(wǎng)信號干擾***********

電磁輻射***********

惡劣環(huán)境對傳播線路產(chǎn)生電磁干擾大*火*********

采用紙制介質(zhì)存儲重要口勺機(jī)密信息*火*火********

線路竊聽***********

存儲重要日勺機(jī)密信息移動介質(zhì)隨意放置*****火****火火火

網(wǎng)絡(luò)拓?fù)錁?gòu)造不合理導(dǎo)致旁路可以出現(xiàn)安

****火****

全漏洞

不一樣顧客群、K一樣權(quán)限的訪問省混在一

****火***

起，不能實(shí)既有效的分離

網(wǎng)絡(luò)阻塞，顧客不能實(shí)現(xiàn)正常的訪問**********

非法顧客對服務(wù)器口勺安全威脅*********

網(wǎng)絡(luò)層

共享網(wǎng)絡(luò)資源帶來的安全威脅*******

系統(tǒng)重要管理信息的泄漏火火**火*火***

傳播黑客程序**火火****

進(jìn)行信息監(jiān)聽******火*

ARP襲擊威脅******火**

運(yùn)用TCP協(xié)議缺陷實(shí)行拒絕服務(wù)襲擊********

操作系統(tǒng)存在著安全漏洞***火火火火****

系統(tǒng)配置不合理***********

操作系統(tǒng)訪問控制脆弱性********

系統(tǒng)層網(wǎng)絡(luò)病毒襲擊***火火********

合法顧客積極泄密火*********

非法外連**火火**火***

存儲信息丟失**********

應(yīng)用軟件自身脆弱性女女***女夫犬女

應(yīng)用系統(tǒng)訪問控制風(fēng)險火火****火火火

應(yīng)用軟件安全方略、代碼設(shè)計(jì)不妥*********

數(shù)據(jù)庫自身口勺安全問題**********

應(yīng)用層

抵賴風(fēng)險***********

缺乏審計(jì)*火***火火火*十**火

操作系統(tǒng)安全帶來口勺風(fēng)險********今***

數(shù)據(jù)庫安全風(fēng)險**********

松散的管理面臨泄密的風(fēng)險火火火火*****火火火火火

安全保密管理機(jī)構(gòu)不健全火火火火火火火火火****

管理層人員缺乏安全意識**************

人員沒有足夠H勺安全技術(shù)的培訓(xùn)***************

安全規(guī)則制度不完善***************

表3-1XXX企業(yè)涉密信息系統(tǒng)風(fēng)險分析表

第四章安全保密需求分析

4.1技術(shù)防護(hù)需求分析

機(jī)房與重要部位

XXX企業(yè)內(nèi)網(wǎng)和外網(wǎng)已實(shí)現(xiàn)物理隔離，置于不一樣日勺機(jī)房內(nèi)。內(nèi)網(wǎng)機(jī)房、機(jī)要室

等重要部位將安裝電子監(jiān)控設(shè)備，并配置了報警裝置及電子門控系統(tǒng)，對進(jìn)出人員進(jìn)

行了嚴(yán)格控制，并在其他要害部門安裝了防盜門，基本滿足保密原則規(guī)定。

網(wǎng)絡(luò)安全

物理隔離：由于XXX企業(yè)口勺特殊性，XXX企業(yè)已組建了自己口勺辦公內(nèi)網(wǎng)，與其他

公共網(wǎng)絡(luò)采用了物理隔嗡，滿足保密原則規(guī)定。

網(wǎng)絡(luò)設(shè)備的標(biāo)識與安放：XXX企業(yè)現(xiàn)階段，雖然在管理制度上對專網(wǎng)計(jì)算機(jī)進(jìn)行

管理規(guī)定，但沒有對設(shè)客的密級和重要用途進(jìn)行標(biāo)識，因此需要進(jìn)行改善，并按照設(shè)

備涉密屬性進(jìn)行分類安放，以滿足保密原則規(guī)定。

違規(guī)外聯(lián)監(jiān)控：XXX企業(yè)專網(wǎng)建成后，網(wǎng)絡(luò)雖然采用了物理隔離，但缺乏對涉密

計(jì)算機(jī)的違規(guī)外聯(lián)行為H勺監(jiān)控和阻斷，例如內(nèi)部員工私自撥號上網(wǎng)，通過無線網(wǎng)絡(luò)上

網(wǎng)等。所認(rèn)為了防止這種行為的發(fā)生，在涉密網(wǎng)建設(shè)中需要一套違規(guī)外聯(lián)監(jiān)控軟件對

非授權(quán)計(jì)算機(jī)的上網(wǎng)行為進(jìn)行阻斷。

網(wǎng)絡(luò)惡意代碼與計(jì)算機(jī)病毒防治：病毒對于計(jì)算機(jī)來說是個永恒的話題，就像人

會感染病菌而生病同樣，計(jì)算機(jī)也會感染病毒而導(dǎo)致異常，同步有些病毒的爆發(fā)還會

導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)癱瘓、重要數(shù)據(jù)丟失等后果，XXX機(jī)關(guān)充足考慮到這一問題，配置

了網(wǎng)絡(luò)版殺毒軟件，系統(tǒng)內(nèi)日勺關(guān)鍵入口點(diǎn)以及各顧客終端、服務(wù)器和移動計(jì)算機(jī)設(shè)備

設(shè)置了防護(hù)措施，保證惡意代碼與計(jì)算機(jī)病毒不會通過網(wǎng)絡(luò)途徑傳播進(jìn)入涉密網(wǎng)，同

步也保證移動存儲設(shè)備介入涉密網(wǎng)后，不會感染涉密網(wǎng)絡(luò)。同步還制定了殺毒軟件升

級日勺手段，基本滿足保密原則規(guī)定。

網(wǎng)絡(luò)安全審計(jì)：目前網(wǎng)絡(luò)安全問題大多數(shù)出目前內(nèi)部網(wǎng)絡(luò)，而XXX企業(yè)涉密信息

系統(tǒng)的建設(shè)卻缺乏這種安全防護(hù)和審計(jì)手段，因此為了保證內(nèi)部網(wǎng)絡(luò)安全，需要配置

安全審計(jì)系統(tǒng)，對公共資源操作進(jìn)行審計(jì)控制，理解計(jì)算機(jī)的局域網(wǎng)內(nèi)部單臺計(jì)算機(jī)

網(wǎng)絡(luò)的連接狀況，對計(jì)算機(jī)局域網(wǎng)內(nèi)網(wǎng)絡(luò)數(shù)據(jù)的采集、分析、存儲立案。通過實(shí)時審

計(jì)網(wǎng)絡(luò)數(shù)據(jù)流，根據(jù)顧客設(shè)定的I安全控制方略，對受控對象H勺活動進(jìn)行審計(jì)，

安全漏洞掃描：處理網(wǎng)絡(luò)層安全問題，首先要清晰網(wǎng)絡(luò)中存在哪些隱患、脆弱點(diǎn)。

面對大型網(wǎng)絡(luò)的復(fù)雜性和不停變化的狀況，依托網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗(yàn)尋找安全漏

洞、做出風(fēng)險評估，顯然是不現(xiàn)實(shí)口勺。處理的方案是，尋找一種能掃描網(wǎng)絡(luò)安全漏洞、

評估并提出修改提議的網(wǎng)絡(luò)安全掃描工具。因此本項(xiàng)目中需要配置安全漏洞掃描系

統(tǒng)。

信息傳播密碼保護(hù)；加密傳播是網(wǎng)絡(luò)安全重要手段之一。信息口勺泄露諸多都是在

鏈路上被搭線竊取，數(shù)據(jù)也也許由于在鏈路上被截獲、被篡改后傳播給對方，導(dǎo)致數(shù)

據(jù)真實(shí)性、完整性得不到保證。假如運(yùn)用加密設(shè)備對傳播數(shù)據(jù)進(jìn)行加密，使得在網(wǎng)上

傳口勺數(shù)據(jù)以密文傳播，由于數(shù)據(jù)是密文。因此雖然在傳播過程中被截獲，入侵者也讀

不懂，并且加密機(jī)還能通過先進(jìn)性技術(shù)手段對數(shù)據(jù)傳播過程中的完整性、真實(shí)性進(jìn)行

鑒別?？梢员ＷC數(shù)據(jù)的保密性、完整性及可靠性。XXX機(jī)關(guān)對異地?cái)?shù)據(jù)傳播進(jìn)行加密,

在區(qū)縣院設(shè)置加密卡完畢傳數(shù)據(jù)局的保密。

網(wǎng)絡(luò)接口控制：在BMB0原則中明確規(guī)定，對系統(tǒng)中網(wǎng)絡(luò)設(shè)備暫不使用歐I所有

網(wǎng)絡(luò)連接口采用安全控制措施，防止被非授權(quán)使用。因此僅靠管理制度是難以滿足之

一規(guī)定的J,需要套管理軟件對系統(tǒng)的USB、串口并口、1394、Modem、網(wǎng)卡、軟驅(qū)、

光驅(qū)、紅外線等設(shè)備端口進(jìn)行控制，已滿足保密原則日勺規(guī)定。

電磁泄漏發(fā)射防護(hù)：計(jì)算機(jī)系統(tǒng)在工作時，系統(tǒng)日勺顯示屏、機(jī)殼縫隙、鍵盤、連

接電纜和接口等處會發(fā)生信息的電磁泄漏，泄漏方式為線路傳導(dǎo)發(fā)射和空間輻射。運(yùn)

用計(jì)算機(jī)設(shè)備的電源泄漏竊取機(jī)密信息是國內(nèi)外情報機(jī)關(guān)截獲信息的重要途徑，由于

用高敏捷度日勺儀器截獲計(jì)算機(jī)及外部設(shè)備中泄漏日勺信息，比用其他措施獲得情報要精

確、可靠、及時、持續(xù)的多，并且隱蔽性好，不易被對方察覺，因此防電磁泄漏是信

息安全的一種重要環(huán)節(jié)，XXXXXX企業(yè)對電磁泄漏發(fā)射防護(hù)缺乏技術(shù)保護(hù)手段，不滿

足保密原則規(guī)定，存在隱患，因此需要通過電磁泄漏防護(hù)措施，如：配置線路傳到干

擾器，配置屏蔽機(jī)柜，配置低輻射設(shè)備（紅黑隔離插座）、干擾器（視頻干擾器），有

效抵御泄漏信息在空間擴(kuò)散被截獲對信息機(jī)密行的威脅。

備份與恢復(fù)：是涉密網(wǎng)建設(shè)的重要構(gòu)成部分，一旦出現(xiàn)數(shù)據(jù)丟失或網(wǎng)絡(luò)設(shè)備癱瘓

所導(dǎo)致的損失是無法估計(jì)的。在涉密網(wǎng)建設(shè)中備份與恢復(fù)可以分為兩方面的內(nèi)容，一

是對涉密數(shù)據(jù)及關(guān)鍵業(yè)務(wù)數(shù)據(jù)的備份。可以通過在線備份、離線備份、異地備份等形

式完畢。目前常用的是通過磁盤鏡像、磁帶機(jī)備份、刻錄光盤等方式備份。二是對關(guān)

鍵設(shè)備口勺備份與恢復(fù)，可以采用雙機(jī)熱備的形式進(jìn)行防護(hù)，并制定詳細(xì)口勺恢復(fù)方案和

計(jì)劃。

主機(jī)安全

目前.XXX企業(yè)內(nèi)網(wǎng)終端日勺安全保密建設(shè)只是安裝有防病毒軟件的客戶端程序，對

主機(jī)安全的需求尚有:

（1）需要布署國產(chǎn)防病毒軟件客戶端程序，并及時、統(tǒng)一升級病毒庫，防止惡

意代碼影響計(jì)算機(jī)正常運(yùn)行；

（2）需要布署保密管理系統(tǒng)，對終端外設(shè)及接口進(jìn)行控制，對顧客敏感操作行

為進(jìn)行審計(jì)，對移動存儲介質(zhì)歐I使用授權(quán)和管理，對也許發(fā)生歐J違規(guī)外聯(lián)行為進(jìn)行阻

斷和報警，制止與工作無關(guān)日勺應(yīng)用程序的I運(yùn)行。

（3）需要及時升級操作系統(tǒng)、數(shù)據(jù)庫補(bǔ)丁，防止由于系統(tǒng)漏洞導(dǎo)致涉密信息失

泄密；

（4）加強(qiáng)主機(jī)開機(jī)、系統(tǒng)登陸、遠(yuǎn)程管理等操作日勺身份鑒別機(jī)制，根據(jù)原則規(guī)

定執(zhí)行密碼設(shè)置或采用更為有效日勺身份鑒別措施；

（5）需要安裝視頻信息保護(hù)機(jī)，防止終端顯示屏設(shè)備電磁發(fā)射泄漏導(dǎo)致的失泄

密風(fēng)險；

（6）需要安裝紅黑電源隔離插座，有效隔離紅黑設(shè)備的供電電源，防止電源線

傳導(dǎo)泄漏導(dǎo)致的I失泄密風(fēng)險。

介質(zhì)安全

介質(zhì)標(biāo)識：對硬盤、軟盤、光盤、磁帶、USB盤等涉密信息存儲介質(zhì)根據(jù)其所處

理信息的最高密級進(jìn)行標(biāo)識；涉密信息存儲介質(zhì)的密級標(biāo)識不易被涂改、損壞和丟失。

介質(zhì)的收發(fā)和傳遞：制定介質(zhì)收發(fā)日勺管理制度，制定規(guī)定對涉密信息存儲介質(zhì)履

行清點(diǎn)、等級、編號等手續(xù)日勺有關(guān)容；制定介質(zhì)收發(fā)記錄，記錄包括介質(zhì)名稱、用途、

發(fā)送時間、發(fā)送單位、發(fā)送人員、接受時間、接受單位、接受人員等有關(guān)內(nèi)容；制定

介質(zhì)傳遞的管理制度，制度規(guī)定對涉密信息存儲介質(zhì)傳遞時的封裝、標(biāo)識、指派專人

專車或者通過機(jī)要交通、機(jī)要通信、機(jī)要措施等措施進(jìn)行傳遞日勺有關(guān)內(nèi)容；制定介質(zhì)

傳遞記錄，記錄包括介質(zhì)名稱、用途、時間、傳遞人員和傳遞方式等有關(guān)內(nèi)容、

介質(zhì)的使用：制定介質(zhì)使用管理制度，規(guī)定涉密介質(zhì)按照規(guī)定不應(yīng)在非涉密信息

系統(tǒng)內(nèi)使用，較高密級信息存儲介質(zhì)不應(yīng)在較低密級系統(tǒng)中使用，較高機(jī)密信息存儲

介質(zhì)用于存儲較低密級H勺信息時應(yīng)仍按原有密級進(jìn)行管理。對報廢處理日勺涉密信息存

儲介質(zhì)在非涉密信息系統(tǒng)內(nèi)重新使用或運(yùn)用前，應(yīng)進(jìn)行信息消除處理，信息消除時所

采用的信息消除技術(shù)、設(shè)備和措施應(yīng)符合國家保密工作部門日勺有關(guān)規(guī)定；攜帶處理涉

密信息的設(shè)備外出或出境時，應(yīng)按照有關(guān)保密規(guī)定采用保護(hù)措施，并辦理有關(guān)手續(xù)，

此外還應(yīng)使用涉密信息存儲介質(zhì)一直處在攜帶人日勺有效控制之下；涉密信息存儲介質(zhì)

的復(fù)制及制作應(yīng)在本機(jī)關(guān)、單位內(nèi)部或保密工作部門審查同意的單位進(jìn)行，并標(biāo)明涉

密和保密期限，注明發(fā)放范圍及制作數(shù)量，編排次序號。復(fù)制、制作過程中形成的不

需要?dú)w檔的涉密材料，應(yīng)及時銷毀等有關(guān)內(nèi)容：制定介質(zhì)使用記錄，記錄包括介質(zhì)的

制作與第制、外出或處境和信息消除等有關(guān)內(nèi)容：采用涉密介質(zhì)安全管控與違規(guī)外聯(lián)

預(yù)警系統(tǒng)，使用授權(quán)管理中心進(jìn)行授權(quán)使用，并對顧客終端使用中斷控制程序限制

USB接口的使用，增強(qiáng)介質(zhì)使用口勺安全性。

介質(zhì)保留：介質(zhì)寄存于企業(yè)保密辦H勺保密柜中；制定介質(zhì)保留的管理制度，制定

規(guī)定有關(guān)責(zé)任部門應(yīng)定期對當(dāng)年所存涉密信息存儲介質(zhì)進(jìn)行清查、查對，發(fā)現(xiàn)問題及

時向保密工作部門匯報內(nèi)容；制定介質(zhì)保留記錄，記錄包括介質(zhì)清查與查對的時間、

人員等內(nèi)容。

介質(zhì)維修：制定介質(zhì)維修的管理制度，制度規(guī)定必須本單位專業(yè)人員全程參與現(xiàn)

場維修，需要外修時必須按照國家有關(guān)規(guī)定到具有涉密信息系統(tǒng)數(shù)據(jù)恢復(fù)資質(zhì)的維修

點(diǎn)進(jìn)行維修等內(nèi)容、制定介質(zhì)維修記錄，記錄包括介質(zhì)名稱、維修人員、陪伴人員、

維修時間、故障原因、排除措施、重要維修過程及維修成果等內(nèi)容；定點(diǎn)設(shè)備維修單

位和維修人員簽訂安全保密協(xié)議。

介質(zhì)報廢：制定介質(zhì)報廢的管理制度，制定規(guī)定不再使用或無法使用的涉密信息

存儲介質(zhì)在進(jìn)行報廢處理前，應(yīng)進(jìn)行信息消除處理，信息消除處理時應(yīng)按照國家保密

部門的有關(guān)規(guī)定，采用符合國家保密工作部門的有關(guān)規(guī)定的信息消除技術(shù)、設(shè)備和措

施，并做好涉密介質(zhì)報廢同意、清點(diǎn)、登記等手續(xù)日勺內(nèi)容；制定介質(zhì)報廢記錄，記錄

包括設(shè)備名稱、審批人員、報廢時間和最終去向。

以上針對介質(zhì)安全管理是通過制度進(jìn)行規(guī)范日勺，但僅靠管理制度是難以真正實(shí)現(xiàn)

對介質(zhì)安全F月管理規(guī)定，必須“技管并舉，以技促管”。例如：通過制度難以實(shí)現(xiàn)一

下需求控制：無法有效辨別可信介質(zhì)與非可信介質(zhì)；無法實(shí)既有效接入控制；無法保

證存儲在移動介質(zhì)中的保密信息與國際互聯(lián)網(wǎng)物理隔離等。因此需要一套完善的介質(zhì)

管理系統(tǒng)來處理這些制度無法控制的隱患。

數(shù)據(jù)與應(yīng)用安全

數(shù)據(jù)與應(yīng)用安全是XXX機(jī)關(guān)涉密信息系統(tǒng)建設(shè)的重要內(nèi)容，通過建立統(tǒng)一歐I網(wǎng)絡(luò)

信任和授權(quán)管理體系，創(chuàng)立一體化日勺身份認(rèn)證、訪問控制及責(zé)任認(rèn)證平臺，為所有的

應(yīng)用系統(tǒng)提供統(tǒng)一的身份認(rèn)證和訪問控制服務(wù)，并可對事故責(zé)任進(jìn)行追查：

1.建立全網(wǎng)統(tǒng)一的身份認(rèn)證機(jī)制，每個顧客擁有唯一身份標(biāo)識的數(shù)字證書；

2.建立訪問控制機(jī)制，保證僅擁有數(shù)字證書的合法顧客能通過授權(quán)訪問應(yīng)用系

統(tǒng);

3.在應(yīng)用系統(tǒng)中，分派每個顧客權(quán)限，限定顧客日勺操作范圍，通過數(shù)字簽名功

能，防止抵賴行為，保證數(shù)據(jù)的完整性;

4.對顧客通過訪問控制系統(tǒng)日勺訪問進(jìn)行審計(jì)；

5.通過密級標(biāo)識手段，保證信息主體與密級標(biāo)識日勺不可分離，為信息流向、訪

問控制提供根據(jù)；

6.對關(guān)鍵業(yè)務(wù)系統(tǒng)采用雙機(jī)熱備，對關(guān)鍵業(yè)務(wù)數(shù)據(jù)采用異地容災(zāi)的方式保證數(shù)

據(jù)及應(yīng)用安全。

4.2管理需求分析

人員管理

人員管理包括內(nèi)部工作人員管理和外部有關(guān)人員管理。內(nèi)部工作人員管理包括木

單位正式編制人員、聘任人員（工勤、服務(wù)人員）等人員錄取、崗位職責(zé)、保密協(xié)議

簽訂、教育培訓(xùn)、保密監(jiān)控、人員獎懲和人員離崗離職日勺管理；外部有關(guān)人員管理包

括內(nèi)部工作人員之外的其他人員（尤其是境外人員）以及設(shè)備（尤其是進(jìn)出口設(shè)備）

的維修服務(wù)人員等外來R勺保密規(guī)定知會、安全控制區(qū)域隔離、攜帶物品限制和旁站陪

伴控制。

物理環(huán)境與設(shè)備管理

1.從物理安全需求來分析，物理環(huán)境的安全是整個涉密網(wǎng)絡(luò)安全得以俁障日勺前

提；

2.要保護(hù)網(wǎng)絡(luò)設(shè)備、設(shè)施、介質(zhì)和信息免受自然災(zāi)害、環(huán)境事故以及人為物理

操作失誤或錯誤及多種物理手段進(jìn)行違法犯罪行為導(dǎo)致的破壞、丟失；

3.涉密網(wǎng)絡(luò)必須要具有環(huán)境安全、設(shè)備安全和介質(zhì)安全等物理支撐環(huán)境，切實(shí)

保障實(shí)體的安全;

4.保證系統(tǒng)內(nèi)日勺環(huán)境安全，設(shè)備日勺物理安全，機(jī)房和配線間日勺環(huán)境安全，防止

設(shè)備被盜、被破壞；

5.保證涉密網(wǎng)絡(luò)與非涉密網(wǎng)絡(luò)的|物理隔離；

6.防止設(shè)備產(chǎn)生的電磁信息通過空間輻射和傳導(dǎo)泄漏；

7.保障涉密介質(zhì)在使用、保留、維護(hù)方面的安全。

運(yùn)行與開發(fā)管理

1.系統(tǒng)必須保證內(nèi)部網(wǎng)絡(luò)的持續(xù)有效的運(yùn)行，防止對內(nèi)部網(wǎng)絡(luò)設(shè)施的入侵和襲

擊、防止通過消耗帶寬等方式破壞網(wǎng)絡(luò)歐J可用性；

2.網(wǎng)絡(luò)安全系統(tǒng)應(yīng)保證內(nèi)網(wǎng)機(jī)密信息在存儲于傳播時保密性；

3.對關(guān)鍵網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)的訪問必須得到有效地控制，這規(guī)定系統(tǒng)可以可靠

確認(rèn)訪問者日勺身份，謹(jǐn)慎授權(quán)，并對任何訪問進(jìn)行跟蹤記錄；

4.對于網(wǎng)絡(luò)安全系統(tǒng)應(yīng)具有審記和日志功能，對有關(guān)重要操作提供可靠而以便

日勺可管理和維護(hù)功能；

5.保證涉密信息系統(tǒng)日勺服務(wù)器系統(tǒng)、終端在全方位、多層次日勺進(jìn)行安全配置和

安全加固；

6.建立覆蓋全網(wǎng)的補(bǔ)丁集中管理機(jī)制，對操作系統(tǒng)進(jìn)行及時的補(bǔ)丁分發(fā)、安裝,

保證操作系統(tǒng)處在最有狀態(tài)，進(jìn)而保證系統(tǒng)處在最佳使用狀態(tài)；

7.保證接入涉密網(wǎng)服務(wù)器的安全，對應(yīng)用服務(wù)器進(jìn)行內(nèi)核加固，對后端和管理

服務(wù)器進(jìn)行安全加固，以抵御針對操作系統(tǒng)日勺襲擊行為，保證其公布信息的真實(shí)性和

可靠性:

8.對應(yīng)用系統(tǒng)的數(shù)據(jù)庫進(jìn)行安全加固，防止針對數(shù)據(jù)庫日勺襲擊行為；

9.對客戶端加強(qiáng)終端安全管理，對登錄顧客實(shí)行雙原因身份認(rèn)證，杜絕客戶端

的非授權(quán)操作，保證存儲在終端設(shè)備中日勺工作信息和敏感信息的安全，使其不被非法

篡改和破壞；

10.針對防病毒危害性極大并且傳播極為迅速，配置從客戶端到服務(wù)器日勺整套防

病毒軟件，實(shí)現(xiàn)全網(wǎng)的病毒安全防護(hù)；

11.對系統(tǒng)內(nèi)終端顧客的非授權(quán)外聯(lián)行為采用技術(shù)手段進(jìn)行檢查和阻斷；

12.建立涉密移動存儲介質(zhì)集中的統(tǒng)一管理機(jī)制，并采用品體安全防護(hù)措施的涉

密介質(zhì)，防止數(shù)據(jù)通過介質(zhì)方式泄露；

13.保證數(shù)據(jù)庫中所存儲的信息在遭到破壞時能得到及時的恢復(fù)。

設(shè)備與介質(zhì)管理

1.須指定專人負(fù)責(zé)管理涉密存儲介質(zhì)，定期清理、回收、檢查并掌握其使用狀

況，保證涉密信息的安全保密；

2.涉密存儲介質(zhì)的管理實(shí)行“誰主管、誰負(fù)責(zé)"日勺原則；

3.涉密存儲介質(zhì)在使用和管理中要嚴(yán)格登記、集中管理、專人負(fù)責(zé)；

4.軟盤、U盤等移動存儲介質(zhì)要在明顯位置上貼上標(biāo)條，標(biāo)志條上要有統(tǒng)一編

碼，密級標(biāo)識，要有登記；

5.涉密存儲介質(zhì)只能用來存儲涉密信息，非涉密存儲介質(zhì)只能來存儲書涉密信

息；

6.涉密存儲介質(zhì)應(yīng)按存儲信息的最高密級標(biāo)注密級，并按相似密級日勺載體管理;

7.嚴(yán)禁將涉密存儲介質(zhì)接入互聯(lián)網(wǎng):

8.嚴(yán)格限制互聯(lián)網(wǎng)將數(shù)據(jù)拷貝到涉密信息設(shè)備和涉密信息系統(tǒng)；確因工作需要,

經(jīng)審查同意后，應(yīng)使用非涉密移動存儲介質(zhì)進(jìn)行拷貝，通過先對其進(jìn)行查殺病毒后，

再進(jìn)行數(shù)據(jù)互換；

9.嚴(yán)禁將私人具有存儲功能日勺介質(zhì)和電子設(shè)備帶入要害部門、部位利涉密場所;

10.涉密移動存儲介質(zhì)只能在涉密場所使用，嚴(yán)禁借給外部使用。確因工作需要

帶出辦公場所的，秘密級時經(jīng)本部門主管領(lǐng)導(dǎo)同意，機(jī)密級以上時須經(jīng)本單位主管領(lǐng)

導(dǎo)同意后，信息安全員將對介質(zhì)進(jìn)行清空處理，保證介質(zhì)內(nèi)只存有與本次外由有關(guān)時

涉密信息，采用嚴(yán)格日勺保密措施。償還時，信息安全員還應(yīng)執(zhí)行信息消除處理；

11.涉密存儲介質(zhì)保留必須選擇安全保密口勺場所和部位，并由專人保管、寄存在

保密密碼柜里；

12.員工離開辦公場所時，必須將涉密存儲介質(zhì)寄存到保密設(shè)備里；

13.對涉密介質(zhì)需要維修時，應(yīng)提出申請，有信息中心派專人進(jìn)行現(xiàn)場維修，并

有使用單位有關(guān)人員全程陪伴，做好維修日志：

14.存儲過國家秘密信息的存儲介質(zhì)，不能減少密集使用，不再使用或損壞的涉

密存儲介質(zhì)辦理報廢審批手續(xù)，及時交信息中心進(jìn)行確定，維修和銷毀由保密辦統(tǒng)一

到國家保密局制定的地點(diǎn)進(jìn)行銷毀，或采用符合保密規(guī)定的物理、化學(xué)方式徹底銷毀,

銷毀應(yīng)保證涉密信息無法還原；

15.對涉密存儲介質(zhì)要定期清查、查對，發(fā)現(xiàn)丟失要及時查處。

信息保密管理

信息保密管理應(yīng)從信息分類與控制、顧客管理與授權(quán)和信息系統(tǒng)安全互聯(lián)控制三

個方面來進(jìn)行分析。

信息分類與控制：應(yīng)根據(jù)國家有關(guān)法律、規(guī)定，確定系統(tǒng)中涉密信息的密級和保

密期限，定期對其中具有的涉密信息的總量進(jìn)行匯總，當(dāng)系統(tǒng)中高等級涉密信息含量

明顯增多時應(yīng)考慮調(diào)整系統(tǒng)防護(hù)措施。系統(tǒng)中存在過時信息及其存儲介質(zhì)應(yīng)有對應(yīng)日勺

密級標(biāo)識，電子文獻(xiàn)密級標(biāo)識應(yīng)由信息主題不可分離，密級標(biāo)識不可篡改。

顧客標(biāo)識與授權(quán)：應(yīng)建立完整日勺系統(tǒng)顧客清單，新增或刪除顧客時應(yīng)履行對應(yīng)日勺

手續(xù)。每個顧客應(yīng)有唯一的I身份標(biāo)識，表達(dá)有系統(tǒng)管理員產(chǎn)生，有保密管理員定期檢

查，如有異常及時向系統(tǒng)安全保密管理機(jī)構(gòu)匯報。應(yīng)有明確的最小授權(quán)分派方略，并

將所有顧客日勺權(quán)限明細(xì)文檔化，應(yīng)定期審查權(quán)限列表，如有異常及時向系統(tǒng)安全保密

管理機(jī)構(gòu)匯報。

信息系統(tǒng)互聯(lián)：應(yīng)注意不一樣密級信息系統(tǒng)之間以及涉密系統(tǒng)與非涉密系統(tǒng)之間

的互聯(lián)互通。

第五章方案總體設(shè)計(jì)

5.1安全保密建設(shè)目的

XXX企業(yè)涉密信息系統(tǒng)安全保密建設(shè)的總體目的是：嚴(yán)格參照國家有關(guān)安全保密

原則和法規(guī),將XXX企業(yè)信息系統(tǒng)建設(shè)成符合國家有關(guān)法規(guī)和原則規(guī)定日勺涉密信息系

統(tǒng)，使之可以處理相對應(yīng)密級的信息，為XXX企業(yè)信息化應(yīng)用提供安全保密平臺，使

其可以安全地接入全國XXX機(jī)關(guān)涉密信息系統(tǒng)。詳細(xì)建設(shè)目H勺如下：

1.具有抵御敵對勢力有組織H勺大規(guī)模襲擊的能力；

2.抵御嚴(yán)重H勺自然災(zāi)害H勺能力；

3.建立統(tǒng)一H勺安全管理平臺，實(shí)現(xiàn)對全網(wǎng)設(shè)備的安全管理；

4.保證合法顧客使用合法網(wǎng)絡(luò)資源，實(shí)現(xiàn)對顧客H勺認(rèn)證和權(quán)限管理；

5.防備計(jì)算機(jī)病毒和惡意代碼危害H勺能力；

6.具有檢測、發(fā)現(xiàn)、報警、記錄入侵行為的能力；

7.具有與多種應(yīng)用系統(tǒng)相適應(yīng)H勺業(yè)務(wù)安全保護(hù)機(jī)制，保證數(shù)據(jù)在存儲、傳播過

程中H勺完整性和敏感數(shù)據(jù)的機(jī)密性；

8.具有對安全事件進(jìn)行迅速響應(yīng)處置，并可以追蹤安全責(zé)任日勺能力；

9.在系統(tǒng)遭到損害后，具有可以較快恢復(fù)正常運(yùn)行狀態(tài)日勺能力；

10.對于服務(wù)保障性規(guī)定高的系統(tǒng)，應(yīng)能迅速恢復(fù)正常運(yùn)行狀態(tài)；

11.建立有效日勺安全管理機(jī)制，并與之配套日勺風(fēng)險分析與安全評估機(jī)制、設(shè)備和

人員管理制度、敏感信息管理制度、安全操作規(guī)程等。

5.2設(shè)計(jì)原則與根據(jù)

設(shè)計(jì)原則

根據(jù)安全保密建設(shè)目的，XXX機(jī)關(guān)涉密信息系統(tǒng)分級保護(hù)總體方案H勺設(shè)計(jì)應(yīng)遵從

“規(guī)范定密、精確定級，根據(jù)原則、同步建設(shè)，突出重點(diǎn)、保證關(guān)鍵，明確貢任、加

強(qiáng)監(jiān)督”的原則。同步，還應(yīng)兼顧：

1.分域分級防護(hù)：涉密信息系統(tǒng)應(yīng)根據(jù)信息至級、行政級別等劃分不一樣的安

全域并確定等級，按攝影應(yīng)等級H勺保護(hù)規(guī)定進(jìn)行防護(hù)；

2.技術(shù)和管理并重：涉密信息系統(tǒng)分級保護(hù)時應(yīng)采用技術(shù)和管理相結(jié)合的、整

體日勺安全保密措施；

3.最小授權(quán)與分權(quán)管理：涉密信息系統(tǒng)內(nèi)顧客的權(quán)限應(yīng)配置為保證其完畢工作

所必需的最小授權(quán)，網(wǎng)絡(luò)中的帳號設(shè)置、服務(wù)配置、主機(jī)間信任關(guān)系配置等應(yīng)當(dāng)為網(wǎng)

絡(luò)正常運(yùn)行所需日勺最小授權(quán)，并使不一樣顧客日勺權(quán)限互相獨(dú)立、互相制約，防止出現(xiàn)

權(quán)限過大的顧客或帳號，

設(shè)計(jì)根據(jù)

1.法規(guī)和文獻(xiàn)

《中華XXX共和國保守國家秘密法》（1989年5月1日實(shí)行）

《中華XXX共和國保守國家秘密法實(shí)行措施》（1990年5月25日國家保密局令

第1號公布）

《國家信息化領(lǐng)導(dǎo)小組有關(guān)加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2023]27

號）

《有關(guān)信息安全等級保護(hù)工作的實(shí)行意見》（公通字［2023］66號）

《中共中央保密委員會辦公室、國家保密局有關(guān)保密要害部門、部位保密管理規(guī)

定》（中辦廳字［2023］1號）

《有關(guān)開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的告知》（公信安（2023）

861號）

《波及國家秘密的信息系統(tǒng)分級保護(hù)管理措施》（國保發(fā)［2023］16號）

《有關(guān)開展涉密信息系統(tǒng)分級保護(hù)工作日勺告知》（國保發(fā)［2023］9號）

《波及國家秘密日勺信息系統(tǒng)審批管理規(guī)定》（國保發(fā)［2023］18號）

《波及國家秘密的計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)管理措施》（國保發(fā)［2023］）

《信息安全等級保護(hù)管理措施》（公通字［2023］43號）

2.原則規(guī)范

BMB17-2023《波及國家秘密的信息系統(tǒng)分級保護(hù)技術(shù)規(guī)定》

BMB18-2023《波及國家秘密的信息系統(tǒng)工程監(jiān)理規(guī)范》

BMB20-2023《波及國家秘密的信息系統(tǒng)分級保護(hù)管理規(guī)范》

BMB22-2023《波及國家秘密的信息系統(tǒng)分級保護(hù)測評指南》

BMB23-2023《波及國家秘密的信息系統(tǒng)分級保護(hù)方案設(shè)計(jì)指南》

5.3安全保密防護(hù)整體框架

在建設(shè)本方案中，根據(jù)BMB17-2023和BMB20-2023的詳細(xì)規(guī)定，在滿足物理隔

離與違規(guī)外聯(lián)監(jiān)控、邊界防護(hù)與控制、密級標(biāo)識與密碼保護(hù)、顧客身份鑒別與訪問控

制、電磁池漏發(fā)射防護(hù)、安全保密產(chǎn)品選擇、安全保密管理機(jī)構(gòu)、安全保密管理制度

和安全管理人員等基本測評項(xiàng)的基礎(chǔ)上，從物理安全、運(yùn)行安全、信息安全保密、安

全保密管理、產(chǎn)品選型與安全服務(wù)等方面，設(shè)計(jì)涉密信息系統(tǒng)的安全保密防護(hù)框架,

如圖5-1示。

安全保密防護(hù)框架

物理安全運(yùn)行安全信息安全保密安全保密管理產(chǎn)品選型與安全服務(wù)

環(huán)境安全備份與恢嵬物理隔離”管理機(jī)構(gòu)*安全保密產(chǎn)品

選型*

密級標(biāo)識*管理人員*

-設(shè)備安全系統(tǒng)安全性保護(hù)-通信信息技術(shù)

產(chǎn)品選型

身份鑒別*管理制度”

介質(zhì)安全應(yīng)急響應(yīng)

安全保密產(chǎn)品

訪問控制*運(yùn)行維護(hù)管理部署與配置

由碼保護(hù)”-安全服務(wù)

電磁泄漏發(fā)射防護(hù)*

信息完整性校驗(yàn)

系統(tǒng)安全性能檢測

安全審計(jì)與監(jiān)控

抗抵賴

操作系統(tǒng)安全

數(shù)據(jù)庫安全

邊界防護(hù)與控制*

圖5-1涉密信息系統(tǒng)安全保密防護(hù)框架

第六章方案詳細(xì)設(shè)計(jì)

6.1物理安全

環(huán)境安全

1.重要涉密部位和機(jī)房選址

XXX企業(yè)都具有獨(dú)立的辦公場所，重要涉密部位和機(jī)房均在辦公室內(nèi)部，附近基

本沒有境外駐華機(jī)構(gòu)、境外人員駐地等涉外場所，并且整個辦公區(qū)采用封閉式管理。

機(jī)房選址基本滿足GB9361-1988中的安全機(jī)房場地選擇規(guī)定。并對重要涉密部位在防

竊聽、防竊照、防竊收、防實(shí)體入侵、防非授權(quán)進(jìn)入等方面均有有關(guān)防護(hù)措施。各級

XXX企業(yè)涉密信息系統(tǒng)里沒有無線技術(shù)與無線設(shè)備，因此其帶來的無線設(shè)備日勺信息泄

漏問題不用考慮防護(hù)措施。

1）機(jī)房建設(shè)

對主機(jī)房及重要信息存儲部門來說：首先要保證中央地點(diǎn)的安全防備工作，如：

對可以進(jìn)入機(jī)房及重要信息存儲部門日勺工作人員進(jìn)行嚴(yán)格日勺控制；出入記錄；錄像監(jiān)

控；窗戶加防護(hù)欄、門磁、紅外報警等。出入記錄可以采用目前先進(jìn)日勺IC卡技術(shù)等

來實(shí)現(xiàn)，具有做到實(shí)時記錄，以便查詢等長處。此外門磁、紅外報警等作為安全技術(shù)

防備的輔助手段加以使用，并在重要區(qū)域使用線路干擾等設(shè)備防止信號外泄，

由于本次項(xiàng)目中將XXX企業(yè)劃分為不一樣的安全等級，因此在機(jī)房建設(shè)時應(yīng)根據(jù)

BM"規(guī)定，并在防火、防水、防震、電力、布線、配電、溫濕度、防雷、防靜電等

方面到達(dá)GB9361中B類機(jī)房建設(shè)規(guī)定；機(jī)密級、秘密級應(yīng)滿足

GB50174.GB/T2887-2023%|規(guī)定，并在防火、防水、防震、電力、布線、配電、溫濕

度、防雷、防靜電等方面到達(dá)GB9361中B類機(jī)房建設(shè)規(guī)定。

在各級XXX企業(yè)的機(jī)房內(nèi)設(shè)置屏蔽機(jī)柜。在滿足GB50174.GB/T2887-2023規(guī)定日勺

基礎(chǔ)上，在防火、防水、防震、電力、布線、配電、溫濕度、防雷、防靜電等方面到

達(dá)GB9361-1988中機(jī)房建設(shè)規(guī)定。

(1)在機(jī)房所在H勺建筑物均配置有安全保衛(wèi)人員，實(shí)現(xiàn)人員進(jìn)出審查和巡查；

(2)機(jī)房選址遠(yuǎn)離餐飲、旅游、賓館等人員復(fù)雜的公共場所；

(3)機(jī)房的水、電、防雷、溫濕度等符合GB9361-1988中機(jī)房建設(shè)規(guī)定；

(4)關(guān)鍵機(jī)房采用屏蔽機(jī)柜設(shè)計(jì)，防備機(jī)房環(huán)境的電磁泄漏；

(5)機(jī)房均配置電子門控系統(tǒng)，進(jìn)出機(jī)房人員均需要口令和門禁卡；

(6)各機(jī)房均配置了視頻監(jiān)控系統(tǒng)，實(shí)現(xiàn)6個月或者更長的錄像存儲；

(7)各機(jī)房的電子門控和視頻監(jiān)控系統(tǒng)均記錄平常的門禁日志和健康錄像，從而

滿足了機(jī)密級的涉密規(guī)定；

(8)機(jī)房設(shè)計(jì)有紅外報警裝置：

2)重點(diǎn)部位監(jiān)控和區(qū)域控制

XXX企業(yè)保密要害部位包括領(lǐng)導(dǎo)及秘書辦公室、黨組會議室、檢委會會議室、機(jī)

要室、機(jī)要機(jī)房、網(wǎng)絡(luò)中心機(jī)房、檔案室、文印室等。對這些重點(diǎn)部位采用安全措施

如門控、報