计算机信息系统分级保护方案.docx

计算机信息系统分级保护方案.docx

《计算机信息系统分级保护方案.docx》由会员分享，可在线阅读，更多相关《计算机信息系统分级保护方案.docx（24页珍藏版）》请在冰豆网上搜索。

计算机信息系统分级保护方案

方案

1系统总体部署

（1）涉密信息系统的组网模式为：

服务器区、安全管理区、终端区共同连接至核心交换机上，组成类似于星型结构的网络模式，参照TCP/IP网络模型建立。

核心交换机上配置三层网关并划分Vlan，在服务器安全访问控制中间件以及防火墙上启用桥接模式，核心交换机、服务器安全访问控制中间件以及防火墙上设置安全访问控制策略（ACL），禁止部门间Vlan互访，允许部门Vlan与服务器Vlan通信。

核心交换机镜像数据至入侵检测系统以及网络安全审计系统；服务器区包含原有应用系统；安全管理区包含网络防病毒系统、主机监控与审计系统、windows域控及WSUS补丁分发系统、身份认证系统；终端区分包含所有业务部门。

服务器安全访问控制中间件防护的应用系统有：

XXX系统、XXX系统、XXX系统、XXX系统以及XXX系统、。

防火墙防护的应用系统有：

XXX、XXX系统、XXX系统、XXX系统以及XXX系统。

（2）邮件系统的作用是：

进行信息的驻留转发，实现点到点的非实时通信。

完成集团内部的公文流转以及协同工作。

使用25、110端口，使用SMTP协议以及POP3协议，内网终端使用C/S模式登录邮件系统。

将内网用户使用的邮件账号在服务器群组安全访问控制中间件中划分到不同的用户组，针对不同的用户组设置安全级别，安全级别分为1-7级，可根据实际需求设置相应的级别。

1-7级的安全层次为：

1级最低级，7级最高级，由1到7逐级增高。

即低密级用户可以向高密级用户发送邮件，高密级用户不得向低密级用户发送，保证信息流向的正确性，防止高密数据流向低密用户。

（3）针对物理风险，采取红外对射、红外报警、视频监控以及门禁系统进行防护。

针对电磁泄射，采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进行防护。

2物理安全防护

总体物理安全防护设计如下：

（1）周边环境安全控制

①XXX侧和XXX侧部署红外对射和入侵报警系统。

②部署视频监控，建立安防监控中心，重点部位实时监控。

具体部署见下表：

表1-1周边安全建设

序号

保护部位

现有防护措施

需新增防护措施

1

人员出入通道

2

物资出入通道

3

南侧

4

西侧

5

东侧

6

北侧

（2）要害部门部位安全控制

增加电子门禁系统，采用智能IC卡和口令相结合的管理方式。

具体防护措施如下表所示：

表1-2要害部门部位安全建设

序号

保护部门

出入口控制

现有安全措施

新增安全措施

1

门锁/登记/

24H警卫值班

2

门锁

3

门锁

4

门锁

5

门锁/登记

6

门锁/登记

7

门锁/登记

8

门锁/登记

9

机房出入登记

10

门锁

（3）电磁泄漏防护

建设内容包括：

①为使用非屏蔽双绞线的链路加装线路干扰仪。

②为涉密信息系统内的终端和服务器安装红黑电源隔离插座。

③为视频信号电磁泄漏风险较大的终端安装视频干扰仪。

通过以上建设，配合《安防管理制度》以及《电磁泄漏防护管理制度》，使得达到物理安全防范到位、重要视频监控无死角、进出人员管理有序、实体入侵报警响应及时以及电磁泄漏信号无法捕捉、无法还原。

2.1红外对射

（1）部署

增加红外对射装置，防护边界，具体部署位置如下表：

表1-1红外对射部署统计表

序号

部署位置

数量（对）

1

东围墙

2

北围墙

3

合计

部署方式如下图所示：

图1-2红外对射设备

设备成对出现，在安装地点双向对置，调整至相同水平位置。

（2）第一次运行策略

红外对射24小时不间断运行，当有物体通过，光线被遮挡，接收机信号发生变化，放大处理后报警。

设置合适的响应时间，以10米/秒的速度来确定最短遮光时间；设置人的宽度为20厘米，则最短遮断时间为20毫秒，大于20毫秒报警，小于20毫秒不报警。

（3）设备管理及策略

红外对射设备由公安处负责管理，实时监测设备运行情况及设备相应情况，定期对设备及传输线路进行检查、维护，并定期向保密办提交设备运维报告。

（4）部署后解决的风险

解决重点部位监控及区域控制相关风险。

2.2红外报警

（1）部署

增加红外报警装置，对保密要害部位实体入侵风险进行防护、报警，具体部署位置如下表：

表1-2红外报警部署统计表

序号

部署位置

数量（个）

1

2

3

4

合计

设备形态如下图所示：

图1-3红外报警设备

部署在两处房间墙壁角落，安装高度距离地面2.0-2.2米。

（2）第一次运行策略

红外报警24小时不间断运行，设置检测37℃特征性10µm波长的红外线，远离空调、暖气等空气温度变化敏感的地方，不间隔屏、家具或其他隔离物，不直对窗口，防止窗外的热气流扰动和人员走动会引起误报。

（3）设备管理及策略

红外报警设备由公安处负责管理，监测设备运行情况及设备相应情况，定期对设备进行检查、维护，并定期向保密办提交设备运维报告。

（4）部署后解决的风险

解决重点部位监控及区域控制相关风险。

2.3视频监控

（1）部署

增加视频监控装置，对周界、保密要害部门部位的人员出入情况进行实时监控，具体部署位置如下表：

表1-3视频监控部署统计表

序号

部署位置

数量（个）

1

2

3

4

5

6

7

8

合计

设备形态如下图所示：

图1-4视频监控设备

视频监控在室外采用云台枪机式设备，室内采用半球式设备，部署在房间墙壁角落，覆盖门窗及重点区域。

增加32路嵌入式硬盘录像机一台，用于对视频采集信息的收集和压缩存档。

设备形态如下图所示：

图1-5硬盘录像机

（2）第一次运行策略

视频监控24小时不间断运行，设置视频采集格式为MPEG-4，显示分辨率768*576，存储、回放分辨率384*288。

（3）设备管理及策略

视频监控设备由公安处负责管理，实时监测设备运行情况及设备相应情况，定期对设备及传输线路进行检查、维护，并定期向保密办提交设备运维报告。

（4）部署后解决的风险

解决重点部位监控及区域控制相关风险。

2.4门禁系统

（1）部署

增加门禁系统，对保密要害部门部位人员出入情况进行控制，并记录日志，具体部署位置如下表：

表1-4门禁系统部署统计表

序号

部署位置

数量（个）

1

2

3

4

5

6

7

8

9

10

11

合计

部署示意图如下图所示：

图1-6门禁系统部署方式

（2）第一次运行策略

对每个通道设置权限，制作门禁卡，对可以进出该通道的人进行进出方式的授权，采取密码+读卡方式；设置可以通过该通道的人在什么时间范围内可以进出；实时提供每个门区人员的进出情况、每个门区的状态（包括门的开关，各种非正常状态报警等），设置在紧急状态打开或关闭所有门区的功能；设置防尾随功能。

（3）设备管理及策略

门禁系统由公安处负责管理，定期监测设备运行情况及设备相应情况，对设备及传输线路进行检查、维护，并定期向保密办提交设备运维报告。

（4）部署后解决的风险

解决重点部位监控及区域控制相关风险。

2.5线路干扰仪

（1）部署

增加8口线路干扰仪，防护传输数据沿网线以电磁传导、辐射发射、耦合等方式泄漏的情况。

将从交换机引至其布线最远端以及次远端的线缆插接至线路干扰仪，并由线路干扰仪连接至最远端和次远端，将该设备进行接地处理。

具体部署位置如下表：

表1-6线路干扰仪部署统计表

序号

部署位置

数量（个）

1

2

3

合计

设备形态如下图所示：

图1-11线路干扰仪设备

（2）第一次运行策略

在网线中一对空线对上注入伪随机宽带扫频加扰信号,使之能跟随其他三对网线上的信号并行传输到另一终端；窃密者若再从网线或其他与网络干线相平行的导线（如电话线及电源线等）上窃取信息，实际上所窃得的仅是已被加扰信号充分湮没了的混合信号。

（3）设备管理及策略

线路干扰仪由信息中心负责管理，对设备编号、标识密级、摆放、调测、定期对设备及传输线路进行检查、维护，并定期向保密办提交设备运维报告。

（4）部署后解决的风险

解决传输线路的电磁泄漏发射防护相关风险。

2.6视频干扰仪

（1）部署

增加视频干扰仪，防止对涉密终端视频信息的窃取，对XXX号楼存在的涉密终端部署，将该设备进行接地处理。

、

具体部署位置如下表：

表1-7视频干扰仪部署统计表

序号

部署位置

数量（个）

1

2

3

11

合计

设备形态如下图所示：

图1-12视频干扰仪设备

（2）第一次运行策略

设置设备运行频率为1000 MHz。

（3）设备管理及策略

视频干扰仪由信息中心负责管理，监测设备运行情况及设备相应情况，定期对设备进行检查、维护，并定期向保密办提交设备运维报告。

（4）部署后解决的风险

解决信息设备的电磁泄漏发射防护相关风险。

2.7红黑电源隔离插座

（1）部署

增加红黑电源隔离插座，防护电源电磁泄漏，连接的红黑电源需要进行接地处理。

具体部署位置如下表：

表1-8红黑电源部署统计表

序号

部署位置

数量（个）

1

涉密终端

2

服务器

3

UPS

4

合计

产品形态如下图所示：

图1-13红黑电源隔离插座

（2）运行维护策略

要求所有涉密机均直接连接至红黑电源上，红黑电源上不得插接其他设备。

安装在涉密终端及涉密单机的红黑隔离电源由使用者维护，安装在服务器的由信息中心维护，出现问题向保密办报告。

（4）部署后解决的风险

解决信息设备的电磁泄漏发射防护相关风险。

3网络安全防护

3.1网闸

使用1台网闸连接主中心以及从属中心，用于安全隔离及信息交换。

（1）部署

部署1台网闸于主中心及从属中心核心交换机之间，做单向访问控制与信息交互。

设备启用路由模式，通过路由转发连接主中心以及从属中心，从物理层到应用层终结所有的协议包，还原成原始应用数据，以完全私有的方式传递到另一个网络，主中心以及从属中心之间在任一时刻点上都不产生直接的物理连通。

部署拓扑示意图如下：

图1-8网闸部署拓扑示意图

（2）第一次运行策略

配置从属中心访问主中心的权限，允许从属中心特定地址访问主中心所有服务器，允许其他地址访问公司内部门户以及人力资源系统，配置访问内部门户SQLserver数据库服务器，禁止其他所有访问方式。

配置网闸病毒扫描，对流经网闸设备数据进行病毒安全扫描。

配置系统使用Https方式管理，确保管理安全。

（3）设备管理及策略

网闸设备按照《网闸运维管理制度》进行管理。

a、由信息中心管理网闸设备，分别设置管理员、安全保密管理员、安全审计员的口令，由“三员”分别管理。

b、由信息中心对网闸设备进行编号、标识密级、安放至安全管理位置。

c、信息中心负责网闸设备的日常运行维护，每周登陆设备查看设备配置、设备自身运行状态、转发数据量状态、系统日志等内容。

d、信息中心发现异常情况及时通报保密办，并查找问题原因，各部门配合信息中心及时解决问题。

e、信息中心负责网闸设备的维修管理，设备出现问题，通知保密办，获得批准后，负责设备的维修管理