计算机信息系统分级保护方案doc.docx

1、计算机信息系统分级保护方案doc计算机信息系统分级保护方案方案1系统总体部署（1）涉密信息系统的组网模式为：服务器区、安全管理区、 xx共同连接至核心交换机上，组成类似于星型结构的网络模式，参照TCP/IP 网络模型建立。核心交换机上配置三层网关并划分 Vlan ，在服务器安全访问控制中间件以及防火墙上启用桥接模式，核心交换机、服务器安全访问控制中间件以及防火墙上设置安全访问控制策略（ACL），禁止部门间 Vlan 互访，允许部门 Vlan 与服务器 Vlan 通信。核心交换机镜像数据至入侵检测系统以及网络安全审计系统； 服务器区包含原有应用系统； 安全管理区包含网络防病毒系统、 主机监控与审

2、计系统、 windows 域控及 WSUS补丁分发系统、身份认证系统； xx 分包含所有业务部门。服务器安全访问控制中间件防护的应用系统有： XXX系统、 XXX 系统、 XXX系统、 XXX系统以及 XXX系统、。防火墙防护的应用系统有： XXX、XXX系统、 XXX系统、 XXX系统以及 XXX系统。（2）邮件系统的作用是：进行信息的驻留转发，实现点到点的非实时通信。完成集团内部的公文流转以及协同工作。使用 25、110端口，使用 SMTP协议以及 POP3协议，内网终端使用 C/S 模式登录邮件系统。计算机信息系统分级保护方案将内网用户使用的邮件账号在服务器群组安全访问控制中间件中划分到

3、不同的用户组， 针对不同的用户组设置安全级别， 安全级别分为 1-7 级，可根据实际需求设置相应的级别。 1-7 级的安全层次为： 1 级最低级， 7 级最高级，由 1 到 7 逐级增高。即低密级用户可以向高密级用户发送邮件， 高密级用户不得向低密级用户发送， 保证信息流向的正确性，防止高密数据流向低密用户。（3）针对物理风险，采取 xx 对射、xx 报警、视频监控以及门禁系统进行防护。针对电磁泄射，采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进行防护。2物理安全防护总体物理安全防护设计如下：（1）周边环境安全控制XXX侧和 XXX侧部署 xx 对射和入侵报警系统。部署视频监控，建立安防监控

4、中心，重点部位实时监控。具体部署见下表：表 1-1 周边安全建设序号 保护部位 现有防护措施 需新增防护措施1人员出入通道2物资出入通道3南侧4西侧5东侧6北侧计算机信息系统分级保护方案（2）要害部门部位安全控制增加电子门禁系统，采用智能 IC 卡和口令相结合的管理方式。具体防护措施如下表所示：表 1-2 要害部门部位安全建设序号保护部门出入口控制现有安全措施新增安全措施1门锁/ 登记/224H 警卫值班门锁3门锁4门锁5门锁/登记6门锁/登记7门锁/登记8门锁/登记9机房出入登记10门锁（3）电磁泄漏防护建设内容包括：为使用非屏蔽双绞线的链路加装线路干扰仪。为涉密信息系统内的终端和服务器安装

5、红黑电源隔离插座。为视频信号电磁泄漏风险较大的终端安装视频干扰仪。通过以上建设，配合安防管理制度以及电磁泄漏防护管理制度，使得达到物理安全防范到位、重要视频监控无死角、进出人员管理有序、实体入侵报警响应及时以及电磁泄漏信号无法捕捉、 无法还原。计算机信息系统分级保护方案2.1 xx 对射（1）部署增加 xx 对射装置，防护边界，具体部署位置如下表：表 1-1 xx 对射部署统计表序号部署位置数量（对）1东围墙2北围墙3合计部署方式如下图所示：图 1-2 xx 对射设备设备成对出现，在安装地点双向对置，调整至相同水平位置。（2）第一次运行策略xx对射 24 小时不间断运行，当有物体通过，光线被遮

6、挡，接收机信号发生变化，放大处理后报警。设置合适的响应时间，以 / 秒的计算机信息系统分级保护方案速度来确定最短遮光时间；设置人的宽度为，则最短遮断时间为 20毫秒，大于 20 毫秒报警，小于 20 毫秒不报警。（3）设备管理及策略xx对射设备由公安处负责管理， 实时监测设备运行情况及设备相应情况，定期对设备及传输线路进行检查、维护，并定期向保密办提交设备运维报告。（4）部署后解决的风险解决重点部位监控及区域控制相关风险。2.2 xx 报警（1）部署增加 xx 报警装置，对保密要害部位实体入侵风险进行防护、报警，具体部署位置如下表：表 1-2 xx 报警部署统计表序号 部署位置 数量（个）12

7、34 合计设备形态如下图所示：计算机信息系统分级保护方案图 1-3 xx 报警设备部署在两处房间墙壁角落，安装高度距离地面 2.0 。（2）第一次运行策略xx报警 24 小时不间断运行， 设置检测特征性 10m波长的 xx 线，远离空调、暖气等空气温度变化敏感的地方，不间隔屏、家具或其他隔离物，不直对窗口，防止窗外的热气流扰动和人员走动会引起误报。（3）设备管理及策略xx报警设备由公安处负责管理， 监测设备运行情况及设备相应情况，定期对设备进行检查、 维护，并定期向保密办提交设备运维报告。（4）部署后解决的风险解决重点部位监控及区域控制相关风险。计算机信息系统分级保护方案2.3 视频监控（1）

8、部署增加视频监控装置，对周界、保密要害部门部位的人员出入情况进行实时监控，具体部署位置如下表：表 1-3 视频监控部署统计表序号 部署位置 数量（个）12345678 合计设备形态如下图所示：图 1-4 视频监控设备视频监控在室外采用 xx 枪机式设备，室内采用半球式设备，部署在房间墙壁角落，覆盖门窗及重点区域。计算机信息系统分级保护方案增加 32 路嵌入式硬盘录像机一台，用于对视频采集信息的收集和压缩存档。设备形态如下图所示：图 1-5 硬盘录像机（2）第一次运行策略视频监控 24 小时不间断运行，设置视频采集格式为 MPEG-，4显示分辨率 768*576，存储、回放分辨率 384*288

9、。（3）设备管理及策略视频监控设备由公安处负责管理，实时监测设备运行情况及设备相应情况，定期对设备及传输线路进行检查、维护，并定期向保密办提交设备运维报告。（4）部署后解决的风险解决重点部位监控及区域控制相关风险。2.4 门禁系统（1）部署计算机信息系统分级保护方案增加门禁系统，对保密要害部门部位人员出入情况进行控制，并记录 xx，具体部署位置如下表：表 1-4 门禁系统部署统计表序号 部署位置 数量（个）1234567891011 合计部署示意图如下图所示：图 1-6 门禁系统部署方式（2）第一次运行策略对每个通道设置权限，制作门禁卡，对可以进出该通道的人进行进出方式的授权，采取密码 +读卡

10、方式；设置可以通过该通道的人在计算机信息系统分级保护方案什么时间范围内可以进出； 实时提供每个门区人员的进出情况、 每个门区的状态（包括门的开关，各种非正常状态报警等），设置在紧急状态打开或关闭所有门区的功能；设置防尾随功能。（3）设备管理及策略门禁系统由公安处负责管理，定期监测设备运行情况及设备相应情况，对设备及传输线路进行检查、维护，并定期向保密办提交设备运维报告。（4）部署后解决的风险解决重点部位监控及区域控制相关风险。2.5 线路干扰仪（1）部署增加 8 口线路干扰仪，防护传输数据沿网线以电磁传导、辐射发射、耦合等方式泄漏的情况。 将从交换机引至其布线最远端以及次远端的线缆插接至线路干

11、扰仪，并由线路干扰仪连接至最远端和次远端，将该设备进行接地处理。具体部署位置如下表：表 1-6 线路干扰仪部署统计表序号 部署位置 数量（个）12计算机信息系统分级保护方案3 合计设备形态如下图所示：图 1-11 线路干扰仪设备（2）第一次运行策略在网线中一对空线对上注入伪随机宽带扫频加扰信号 , 使之能跟随其他三对网线上的信号并行传输到另一终端； 窃密者若再从网线或其他与网络干线相平行的导线 （如电话线及电源线等） 上窃取信息，实际上所窃得的仅是已被加扰信号充分湮没了的混合信号。（3）设备管理及策略线路干扰仪由信息中心负责管理， 对设备编号、标识密级、摆放、调测、定期对设备及传输线路进行检查

12、、维护，并定期向保密办提交设备运维报告。（4）部署后解决的风险解决传输线路的电磁泄漏发射防护相关风险。2.6 视频干扰仪（1）部署计算机信息系统分级保护方案增加视频干扰仪，防止对涉密终端视频信息的窃取，对 XXX号楼存在的涉密终端部署，将该设备进行接地处理。、具体部署位置如下表：表 1-7 视频干扰仪部署统计表序号 部署位置 数量（个）12311 合计设备形态如下图所示：图 1-12 视频干扰仪设备（2）第一次运行策略设置设备运行频率为 1000 MHz。（3）设备管理及策略计算机信息系统分级保护方案视频干扰仪由信息中心负责管理，监测设备运行情况及设备相应情况，定期对设备进行检查、维护，并定期

13、向保密办提交设备运维报告。（4）部署后解决的风险解决信息设备的电磁泄漏发射防护相关风险。2.7 红黑电源隔离插座（1）部署增加红黑电源隔离插座，防护电源电磁泄漏，连接的红黑电源需要进行接地处理。具体部署位置如下表：表 1-8 红黑电源部署统计表序号部署位置数量（个）1涉密终端2服务器3UPS4合计产品形态如下图所示：计算机信息系统分级保护方案图 1-13 红黑电源隔离插座（2）运行维护策略要求所有涉密机均直接连接至红黑电源上，红黑电源上不得插接其他设备。安装在涉密终端及涉密单机的红黑隔离电源由使用者维护，安装在服务器的由信息中心维护，出现问题向保密办报告。（4）部署后解决的风险解决信息设备的电

14、磁泄漏发射防护相关风险。3网络安全防护3.1 网闸使用 1 台网闸连接主中心以及从属中心，用于安全隔离及信息交换。计算机信息系统分级保护方案（1）部署部署 1 台网闸于主中心及从属中心核心交换机之间，做单向访问控制与信息交互。 设备启用路由模式， 通过路由转发连接主中心以及从属中心，从物理层到应用层终结所有的协议包， 还原成原始应用数据，以完全私有的方式传递到另一个网络， 主中心以及从属中心之间在任一时刻点上都不产生直接的物理连通。部署拓扑示意图如下：从属中心主中心从属中心网闸主中心核心交换机核心交换机图 1-8 网闸部署拓扑示意图（2）第一次运行策略配置从属中心访问主中心的权限，允许从属中心

15、特定地址访问主中心所有服务器，允许其他地址访问公司内部门户以及人力资源系统，配置访问内部门户 SQL server 数据库服务器，禁止其他所有访问方式。配置网闸病毒扫描，对流经网闸设备数据进行病毒安全扫描。配置系统使用 Https 方式管理，确保管理安全。（3）设备管理及策略网闸设备按照网闸运维管理制度进行管理。计算机信息系统分级保护方案a、由信息中心管理网闸设备，分别设置管理员、安全保密管理员、安全审计员的口令，由“三员”分别管理。b、由信息中心对网闸设备进行编号、标识密级、安放至安全管理位置。c、信息中心负责网闸设备的日常运行维护，每周登陆设备查看设备配置、设备自身运行状态、转发数据量状态

16、、系统日志等内容。d、信息中心发现异常情况及时通报保密办，并查找问题原因，各部门配合信息中心及时解决问题。e、信息中心负责网闸设备的维修管理，设备出现问题，通知保密办，获得批准后，负责设备的维修管理。（4）部署后解决的风险解决两网互联的边界防护问题，对应用的访问进行细粒度的控制，各自隔离，两网在任一时刻点上都不产生直接的物理连通。3.2 防火墙涉密信息系统采用防火墙系统 1xx 进行边界防护，用于涉密信息系统网关的安全控制、网络层审计等。防火墙系统部署于从属中心。原有防火墙部署于主中心，不做调整。（1）部署计算机信息系统分级保护方案使用防火墙系统限制从属中心终端访问机密级服务器的权限，并且记录

17、所有与服务器区进行交互的 xx。防火墙的 eth1 口、eth2 口设置为透明模式，配置桥接口 fwbridge0 IP 地址，配置管理方式为 https方式，打开多 VLAN开关，打开 tcp 、udp、ICMP广播过滤。防火墙的xx数据库安装在安全管理服务器上。部署拓扑示意图如下：机密级 秘密级 工作级秘密级服务器群防火墙从属中心核心交换机图 1-9 防火墙部署示意图（2）第一次运行策略防火墙上设置访问控制策略，并设定不同用户所能访问的资源：a、允许从属中心授权用户访问软件配置管理系统。b、开放系统内所能使用到的端口，其他不使用的端口进行全部禁止访问限制。c、可以依据保密办相关规定设定审查

18、关键字，对于流经防火墙的数据流进行关键字过滤。d、审计从属中心用户和服务器区域的数据交换信息，记录审计xx。计算机信息系统分级保护方案e、整个防火墙系统的整个运行过程和网络信息流等信息，均进行详细的 xx 记录，方便管理员进行审查。（3）设备管理及策略防火墙系统由信息中心进行管理及维护，任何策略的改动均需要经过保密办的讨论后方可实施。防火墙的 xx 系统维护， xx 的保存与备份按照防火墙运维管理制度进行管理。a、由信息中心管理防火墙设备，分别设置管理员、安全保密管理员、安全审计员的口令，由“三员”分别管理。b、由信息中心对防火墙设备进行编号、标识密级、安放至安全管理位置。c、信息中心负责防火

19、墙设备的日常运行维护，每周登陆设备查看设备配置、设备自身运行状态、 转发数据量状态、 系统日志等内容。d、信息中心发现异常情况及时通报保密办，并查找问题原因，各部门配合信息中心及时解决问题。e、信息中心负责防火墙设备的维修管理，设备出现问题，通知保密办，获得批准后，负责设备的维修管理。（4）部署后解决的风险计算机信息系统分级保护方案原有防火墙保证主中心各 Vlan 的三层逻辑隔离，对各安全域之间进行访问控制， 对网络层访问进行记录与审计， 保证信息安全保密要求的访问控制以及安全审计部分要求。3.3 入侵检测系统使用原有入侵检测设备进行网络层监控，保持原有部署及原有配置不变，设备的管理维护依旧。

20、 此设备解决的风险为对系统内的安全事件监控与报警，满足入侵监控要求。3.4 违规 xx 系统（1）部署采用涉密计算机违规 xx 监控系统，部署于内网终端、涉密单机及中间机上。的违规 xx 监控系统采用 B/S 构架部署，安装 1 台内网监控服务器、 1 台外网监控服务器，安装 645 个客户端，全部安装于内网终端、涉密单机以及中间机上。部署示意图如下。计算机信息系统分级保护方案Internet拨号、 WLan、3G庆华公司违规外联监控均公网报警服务器实时监控安内网终端装违规外联监涉密单机控系实时监控统涉密内网客户端庆华公司违规外联监控内网管理服务器中间机图 1-1 违规 xx 系统部署示意图（

21、2）第一次运行策略系统实时地监测受控网络内主机及移动主机的活动，对非法内 /xx 行为由报警控制中心记录并向管理员提供准确的告警。同时，按照预定的策略对非法连接实施阻断， 防止数据外泄。 报警控制中心能够以手机短信、 电子邮件两种告警方式向网络管理员告警， 其中手机短信是完全实时的告警，非常方便和及时。（3）设备管理及策略违规 xx 监控系统由信息中心进行管理及维护，任何策略的改动均需要经过保密办的讨论后方可实施。 违规 xx 监控系统的 xx 系统同时维护， xx 的保存与备份按照违规 xx 监控系统运维管理制度进行管理。计算机信息系统分级保护方案a、由信息中心管理违规 xx 监控系统，分别

22、设置管理员、安全保密管理员、安全审计员的口令，由“三员”分别管理。b、由信息中心对违规 xx 监控系统报警服务器进行编号、标识密级、安放至安全管理位置。c、信息中心负责违规 xx 监控系统的日常运行维护，每周登陆设备查看服务器硬件运行状态、策略配置、系统日志等内容。d、信息中心发现异常情况及时通报保密办，并查找问题原因，各部门配合信息中心及时解决问题。e、信息中心负责违规 xx 监控系统服务器的维修管理，设备出现问题，通知保密办，获得批准后，联系厂家负责设备的维修管理。f、当系统出现新版本，由管理员负责及时更新系统并做好备份工作。（4）部署后解决的风险解决违规拨号、违规连接和违规无线上网等风险

23、。4应用安全防护4.1 服务器群组安全访问控制中间件涉密信息系统采用服务器群组安全访问控制中间件 2xx，用于涉密信息系统主中心秘密级服务器、 从属中心秘密级服务器边界的安全计算机信息系统分级保护方案控制、应用身份认证、邮件转发控制、网络审计以及邮件审计等。防护主中心的 XXX系统、XXX系统、 XXX系统、 XXX系统、 XXX系统以及XXX门户；防护从属中心的 XXX系统以及 XXX类软件系统。（1）部署由于主中心的终端之间以及从属中心内的终端之间数据流动均被设计为以服务器为跳板进行驻留转发， 所以在服务器前端的服务器群组安全访问控制中间件系统起到了很强的访问控制功能， 限制终端访问服务器

24、的权限并且记录所有与服务器区进行交互的 xx。服务器群组安全访问控制中间件的 eth1 口、eth2 口设置为透明模式，启用桥接口进行管理。部署拓扑示意图如下：机密级服务器群 机密级服务器群服务器安全访问控 服务器安全访问控制中间件制中间件从属中心 主中心核心交换机 核心交换机网闸机密级 秘密级 工作级 机密级 秘密级 工作级图 1-10 服务器群组安全访问控制中间件部署示意图（2）第一次运行策略计算机信息系统分级保护方案服务器群组安全访问控制中间件上设置访问控制策略，并设定不同用户所能访问的服务器资源； 设置邮件转发控制功能， 为每个用户设置访问账号及密码， 依据密级将用户划分至不同用户组中

25、， 高密级用户不得向低密级用户发送邮件。配置邮件审计功能，记录发件人，收件人，抄送人，主题，附件名等。配置网络审计与控制功能，可以依据保密办相关规定设定审查关键字， 对于流经系统的数据流进行关键字过滤；审计内部用户和服务器区域的数据交换信息， 审计应用访问 xx。（3）设备管理及策略服务器群组安全访问控制中间件系统由信息中心进行管理及维护，任何策略的改动均需要经过保密办的讨论后方可实施。 服务器群组安全访问控制中间件的 xx 系统维护， xx 的保存与备份按照服务器群组安全访问控制中间件运维管理制度进行管理。a、由信息中心管理服务器群组安全访问控制中间件设备，分别设置管理员、安全保密管理员、安

26、全审计员的口令，由“三员”分别管理。b、由信息中心分别对 2xx 服务器群组安全访问控制中间件设备进行编号、标识密级、安放至安全管理位置。计算机信息系统分级保护方案c、信息中心负责服务器群组安全访问控制中间件设备的日常运行维护，每周登陆设备查看设备配置、设备自身运行状态、转发数据量状态、系统日志等内容。d、信息中心发现异常情况及时通报保密办，并查找问题原因，各部门配合信息中心及时解决问题。e、信息中心负责服务器群组安全访问控制中间件设备的维修管理，设备出现问题， 通知保密办，获得批准后，负责设备的维修管理。（4）部署后解决的风险解决对应用访问的边界防护、应用及网络审计、数据库安全以及数据流向控

27、制，满足边界防护、安全审计及数据库安全等要求。4.2 windows 域控及补丁分发改造原有 AD主域控制器及备份域控制器。（1）部署的主中心以及从属中心均部署 AD主域控制器及备份域控制器，共计 2 套，并建立 IIS 服务器，安装 WSUS服务器，提供系统补丁强制更新服务。将终端系统的 xx 完全与活动目录集成，用户授权管理和目录进入控制整合在活动目录当中（包括用户的访问和登录权限等）。通过实施安全策略，实现系统内用户登录身份认证，集中控制计算机信息系统分级保护方案用户授权。终端操作基于策略的管理。 通过设置组策略把相应各种策略（包括安全策略）实施到组策略对象中。部署拓扑示意图如下：AD域控服务器（主、备） &WSUS服务器