計算機(jī)信息系統(tǒng)分級保護(hù)方案

計算機(jī)信息系統(tǒng)分級保護(hù)方案標(biāo)準(zhǔn)化工作室編碼[XX968T-XX89628-XJ668-XT689N]方案系統(tǒng)總體部署涉密信息系統(tǒng)的組網(wǎng)模式為：效勞器區(qū)、安全治理區(qū)、終端區(qū)共同連接至核TCP/IP式，核心交換機(jī)、效勞器安全訪問掌握中間件以及防火墻上設(shè)置安全訪問掌握策略〔ACL〕，VlanVlanVlan數(shù)據(jù)至入侵檢測系統(tǒng)以及網(wǎng)絡(luò)安全審計系統(tǒng)；效勞器區(qū)包含原有應(yīng)用系統(tǒng)；安全治理區(qū)windowsWSUS認(rèn)證系統(tǒng)；終端區(qū)分包含全部業(yè)務(wù)部門。XXX系統(tǒng)、XXX系統(tǒng)、XXX系統(tǒng)、XXXXXX系統(tǒng)、。防火墻防護(hù)的應(yīng)用系統(tǒng)有：XXX、XXX系統(tǒng)、XXX系統(tǒng)、XXX系統(tǒng)以及XXX系統(tǒng)。集團(tuán)內(nèi)部的公文流轉(zhuǎn)以及協(xié)同工作。使用25、110SMTPPOP3C/S將內(nèi)網(wǎng)用戶使用的郵件賬號在效勞器群組安全訪問掌握中間件中劃分到不同的用戶1-7，717用戶可以向高密級用戶發(fā)送郵件，高密級用戶不得向低密級用戶發(fā)送，保證信息流向的正確性，防止高密數(shù)據(jù)流向低密用戶。針對物理風(fēng)險，實行紅外對射、紅外報警、視頻監(jiān)控以及門禁系統(tǒng)進(jìn)展防物理安全防護(hù)總體物理安全防護(hù)設(shè)計如下：周邊環(huán)境安全掌握①XXXXXX側(cè)部署紅外對射和入侵報警系統(tǒng)。具體部署見下表：1-1周邊安全建設(shè)序號保護(hù)部位現(xiàn)有防護(hù)措施需增防護(hù)措施1人員出入通道2物資出入通道3南側(cè)4西側(cè)5東側(cè)6北側(cè)要害部門部位安全掌握表所示：1-2要害部門部位安全建設(shè)序號序號1保護(hù)部門出入口掌握門鎖/登記/現(xiàn)有安全措施增安全措施序號保護(hù)部門出入口掌握現(xiàn)有安全措施增安全措施24H2門鎖3門鎖4門鎖5門鎖/登記6門鎖/登記7門鎖/登記8門鎖/登記9機(jī)房出入登記10門鎖建設(shè)內(nèi)容包括：①為使用非屏蔽雙絞線的鏈路加裝線路干擾儀。②為涉密信息系統(tǒng)內(nèi)的終端和效勞器安裝紅黑電源隔離插座。③為視頻信號電磁泄漏風(fēng)險較大的終端安裝視頻干擾儀。以及電磁泄漏信號無法捕獲、無法復(fù)原。紅外對射部署增加紅外對射裝置，防護(hù)邊界，具體部署位置如下表：1-1紅外對射部署統(tǒng)計表序號部署位置數(shù)量〔對〕1東圍墻2北圍墻3合計部署方式如以下圖所示：

1-2紅外對射設(shè)備設(shè)備成對消滅，在安裝地點雙向?qū)χ?，調(diào)整至一樣水平位置。第一次運行策略2410/秒的速度來確定最短遮光時間；202020不報警。設(shè)備治理及策略設(shè)備及傳輸線路進(jìn)展檢查、維護(hù)，并定期向保密辦提交設(shè)備運維報告。部署后解決的風(fēng)險紅外報警部署如下表：1-2紅外報警部署統(tǒng)計表序號序號部署位置數(shù)量〔個〕序號部署位置數(shù)量〔個〕1234合計設(shè)備形態(tài)如以下圖所示：

1-3紅外報警設(shè)備部署在兩處房間墻壁角落，安裝高度距離地面米。第一次運行策略2437℃10μm止窗外的熱氣流擾動和人員走動會引起誤報。設(shè)備治理及策略進(jìn)展檢查、維護(hù)，并定期向保密辦提交設(shè)備運維報告。部署后解決的風(fēng)險視頻監(jiān)控部署部署位置如下表：1-3視頻監(jiān)控部署統(tǒng)計表序號部署位置數(shù)量〔個〕12345678合計設(shè)備形態(tài)如以下圖所示：

1-4視頻監(jiān)控設(shè)備落，掩蓋門窗及重點區(qū)域。形態(tài)如以下圖所示：第一次運行策略

1-5硬盤錄像機(jī)MPEG-4，顯示區(qū)分率768*576，384*288。設(shè)備治理及策略設(shè)備及傳輸線路進(jìn)展檢查、維護(hù)，并定期向保密辦提交設(shè)備運維報告。部署后解決的風(fēng)險門禁系統(tǒng)部署署位置如下表：1-4門禁系統(tǒng)部署統(tǒng)計表序號部署位置數(shù)量〔個〕1234567891011合計第一次運行策略

1-6門禁系統(tǒng)部署方式實行密碼+讀卡方式；設(shè)置可以通過該通道的人在什么時間范圍內(nèi)可以進(jìn)出；實時供給每個門區(qū)人員的進(jìn)出狀況、每個門區(qū)的狀態(tài)〔包括門的開關(guān)，各種非正常狀態(tài)報警等〕，設(shè)置在緊急狀態(tài)翻開或關(guān)閉全部門區(qū)的功能；設(shè)置防跟隨功能。設(shè)備治理及策略輸線路進(jìn)展檢查、維護(hù)，并定期向保密辦提交設(shè)備運維報告。部署后解決的風(fēng)險線路干擾儀部署路干擾儀連接至最遠(yuǎn)端和次遠(yuǎn)端，將該設(shè)備進(jìn)展接地處理。具體部署位置如下表：1-6線路干擾儀部署統(tǒng)計表序號部署位置數(shù)量〔個〕123合計第一次運行策略

1-11線路干擾儀設(shè)備〔如〕上竊取信息，實際上所竊得的僅是已被加擾信號充分湮沒了的混合信號。設(shè)備治理及策略備及傳輸線路進(jìn)展檢查、維護(hù)，并定期向保密辦提交設(shè)備運維報告。部署后解決的風(fēng)險視頻干擾儀部署XXX號樓存在的涉密終端部署，將該設(shè)備進(jìn)展接地處理。、具體部署位置如下表：1-7視頻干擾儀部署統(tǒng)計表序號部署位置數(shù)量〔個〕12311合計第一次運行策略

1-12視頻干擾儀設(shè)備設(shè)置設(shè)備運行頻率為1000MHz。設(shè)備治理及策略進(jìn)展檢查、維護(hù)，并定期向保密辦提交設(shè)備運維報告。部署后解決的風(fēng)險紅黑電源隔離插座部署具體部署位置如下表：數(shù)量〔個〕1-8紅黑電源部署統(tǒng)計表數(shù)量〔個〕序號1涉密終端部署位置2效勞器3UPS4合計運行維護(hù)策略

1-13紅黑電源隔離插座消滅問題向保密辦報告。〔4〕部署后解決的風(fēng)險解決信息設(shè)備的電磁泄漏放射防護(hù)相關(guān)風(fēng)險。網(wǎng)閘1部署附屬中心之間在任一時刻點上都不產(chǎn)生直接的物理連通。部署拓?fù)涫疽鈭D如下：1-8網(wǎng)閘部署拓?fù)涫疽鈭D第一次運行策略SQLservers設(shè)備治理及策略網(wǎng)閘設(shè)備依據(jù)《網(wǎng)閘運維治理制度》進(jìn)展治理?？诹?，由“三員”分別治理。b、由信息中心對網(wǎng)閘設(shè)備進(jìn)展編號、標(biāo)識密級、安放至安全治理位置。身運行狀態(tài)、轉(zhuǎn)發(fā)數(shù)據(jù)量狀態(tài)、系統(tǒng)日志等內(nèi)容。心準(zhǔn)時解決問題。后，負(fù)責(zé)設(shè)備的修理治理。部署后解決的風(fēng)險在任一時刻點上都不產(chǎn)生直接的物理連通。防火墻、網(wǎng)絡(luò)層審計等。防火墻系統(tǒng)部署于附屬中心。原有防火墻部署于主中心，不做調(diào)整。部署使用防火墻系統(tǒng)限制附屬中心終端訪問機(jī)密級效勞器的權(quán)限，并且記錄全部與效勞器區(qū)進(jìn)展交互的日志。防火墻的eth1口、eth2口設(shè)置為透亮模式，配置橋接口fwbridge0IPsVLANtcp、udp、1-9防火墻部署示意圖第一次運行策略a、允許附屬中心授權(quán)用戶訪問軟件配置治理系統(tǒng)。b、開放系統(tǒng)內(nèi)所能使用到的端口，其他不使用的端口進(jìn)展全部制止訪問限制。字過濾。d、審計附屬中心用戶和效勞器區(qū)域的數(shù)據(jù)交換信息，記錄審計日志。錄，便利治理員進(jìn)展審查。設(shè)備治理及策略進(jìn)展治理。的口令，由“三員”分別治理。b、由信息中心對防火墻設(shè)備進(jìn)展編號、標(biāo)識密級、安放至安全治理位置。自身運行狀態(tài)、轉(zhuǎn)發(fā)數(shù)據(jù)量狀態(tài)、系統(tǒng)日志等內(nèi)容。心準(zhǔn)時解決問題。后，負(fù)責(zé)設(shè)備的修理治理。部署后解決的風(fēng)險Vlan求。入侵檢測系統(tǒng)維護(hù)照舊。此設(shè)備解決的風(fēng)險為對系統(tǒng)內(nèi)的安全大事監(jiān)控與報警，滿足入侵監(jiān)控要求。違規(guī)外聯(lián)系統(tǒng)部署B(yǎng)/S111-1違規(guī)外聯(lián)系統(tǒng)部署示意圖第一次運行策略系統(tǒng)實時地監(jiān)測受控網(wǎng)絡(luò)內(nèi)主機(jī)及移動主機(jī)的活動，對非法內(nèi)/外聯(lián)行為由報警掌握警，其中手機(jī)短信是完全實時的告警，格外便利和準(zhǔn)時。設(shè)備治理及策略的爭論前方可實施。違規(guī)外聯(lián)監(jiān)控系統(tǒng)的日志系統(tǒng)同時維護(hù)，日志的保存與備份依據(jù)《違規(guī)外聯(lián)監(jiān)控系統(tǒng)運維治理制度》進(jìn)展治理。審計員的口令，由“三員”分別治理。治理位置。件運行狀態(tài)、策略配置、系統(tǒng)日志等內(nèi)容。心準(zhǔn)時解決問題。辦，獲得批準(zhǔn)后，聯(lián)系廠家負(fù)責(zé)設(shè)備的修理治理。f、當(dāng)系統(tǒng)消滅版本，由治理員負(fù)責(zé)準(zhǔn)時更系統(tǒng)并做好備份工作。部署后解決的風(fēng)險解決違規(guī)撥號、違規(guī)連接和違規(guī)無線上網(wǎng)等風(fēng)險。應(yīng)用安全防護(hù)效勞器群組安全訪問掌握中間件2隱秘級效勞器、附屬中心隱秘級效勞器邊界的安全掌握、應(yīng)用身份認(rèn)證、郵件轉(zhuǎn)發(fā)控制、網(wǎng)絡(luò)審計以及郵件審計等。防護(hù)主中心的XXX系統(tǒng)、XXX系統(tǒng)、XXX系統(tǒng)、XXX系統(tǒng)、XXXXXXXXXXXX類軟件系統(tǒng)。部署志。效勞器群組安全訪問掌握中間件的eth1口、eth2口設(shè)置為透亮模式，啟用橋接口進(jìn)展治理。部署拓?fù)涫疽鈭D如下：1-10效勞器群組安全訪問掌握中間件部署示意圖第一次運行策略戶和效勞器區(qū)域的數(shù)據(jù)交換信息，審計應(yīng)用訪問日志。設(shè)備治理及策略均需要經(jīng)過保密辦的爭論前方可實施。效勞器群組安全訪問掌握中間件的日志系統(tǒng)維護(hù)，日志的保存與備份依據(jù)《效勞器群組安全訪問掌握中間件運維治理制度》進(jìn)展管理。保密治理員、安全審計員的口令，由“三員”分別治理。級、安放至安全治理位置。設(shè)備查看設(shè)備配置、設(shè)備自身運行狀態(tài)、轉(zhuǎn)發(fā)數(shù)據(jù)量狀態(tài)、系統(tǒng)日志等內(nèi)容。心準(zhǔn)時解決問題。題，通知保密辦，獲得批準(zhǔn)后，負(fù)責(zé)設(shè)備的修理治理。部署后解決的風(fēng)險邊界防護(hù)、安全審計及數(shù)據(jù)庫安全等要求。windows改造原有AD主域掌握器及備份域掌握器。部署AD2與活動名目集成，用戶授權(quán)治理和名目進(jìn)入掌握整合在活動名目當(dāng)中〔包括用戶的訪問和登錄權(quán)限等〕。通過實施安全策略，實現(xiàn)系統(tǒng)內(nèi)用戶登錄身份認(rèn)證，集中掌握用戶授權(quán)。終端操作基于策略的治理。通過設(shè)置組策略把相應(yīng)各種策略〔包括安全策略〕實施到組策略對象中。部署拓?fù)涫疽鈭D如下：1-7域控及WSUS第一次運行策略度、使用周期、鎖定策略，指定每一個用戶可登錄的機(jī)器。機(jī)密級終端需要將USB-KEY令牌與域用戶登錄結(jié)合使用，到達(dá)“雙因子”鑒別的過程。行”、“搜尋”功能。WSUSWSUSWSUS統(tǒng)漏洞。設(shè)備治理及策略ADWSUSWSUS運維治理制度》進(jìn)展治理。WSUS保密治理員、安全審計員的口令，由“三員”分別治理。WSUS標(biāo)識密級、安放至安全治理位置。cADWSUSd、信息中心覺察特別系統(tǒng)日志準(zhǔn)時通報保密辦，并查找緣由，追究根源。部署后解決的風(fēng)險網(wǎng)絡(luò)安全審計使用網(wǎng)絡(luò)安全審計系統(tǒng)2臺，用于對涉密信息系統(tǒng)的網(wǎng)絡(luò)及應(yīng)用進(jìn)展安全審計和監(jiān)審計等。部署2下：

1-14網(wǎng)絡(luò)安全審計部署示意圖、POP3、Smtp、imap、telnet、FTP1433、、1034、1037、1041、1040、1042、6035、7777、3690保密規(guī)定設(shè)定相關(guān)關(guān)鍵詞字，審計關(guān)鍵詞字；使用s方式治理系統(tǒng)。設(shè)備治理及策略安全審計運維治理制度》進(jìn)展治理。審計員的口令，由“三員”分別治理。位置。置、設(shè)備自身運行狀態(tài)、轉(zhuǎn)發(fā)數(shù)據(jù)量狀態(tài)、系統(tǒng)日志等內(nèi)容。d、信息中心覺察特別審計日志準(zhǔn)時通報保密辦，并查找緣由，追究根源。得批準(zhǔn)后，負(fù)責(zé)設(shè)備的修理治理。部署后解決的風(fēng)險解決應(yīng)用審計，針對內(nèi)容進(jìn)展審計記錄，滿足安全審計相關(guān)要求。防病毒系統(tǒng)將使用網(wǎng)絡(luò)版防病毒軟件建立病毒防護(hù)系統(tǒng)，共計26個效勞器端，419個客戶端，分別部署在主中心以及附屬中心。226部署防病毒系統(tǒng)承受客戶端+效勞器構(gòu)造，效勞器由信息中心負(fù)責(zé)治理。admin入到殺毒掌握中心。IP持與殺毒中心的實時通信。IP與殺毒中心同步。單機(jī)防病毒系統(tǒng)直接部署在涉密單機(jī)及中間機(jī)上。第一次運行策略access接口上。交換機(jī)接口配置Vlan二層信息為：接口類型為access，為其劃分Vlan，使得VlanVlan，即網(wǎng)絡(luò)防病毒系統(tǒng)可以對網(wǎng)絡(luò)中全部的主機(jī)設(shè)備進(jìn)展殺毒統(tǒng)一治理和在線掌握。全部接入網(wǎng)絡(luò)的終端計算機(jī)和應(yīng)用效勞器〔windows操作系統(tǒng)〕防病毒客戶端。內(nèi)網(wǎng)的防病毒系統(tǒng)效勞器上。利用效勞器上的防病毒系統(tǒng)效勞端供給的接口導(dǎo)入升級包，再通過效勞端將更了的病毒庫向每一臺防病毒系統(tǒng)客戶端進(jìn)展強(qiáng)制更。定應(yīng)急預(yù)案，防止病毒大面積爆發(fā)。設(shè)備治理及策略為了防止計算機(jī)病毒或惡意代碼傳播，將實行如下措施：時進(jìn)展制定，同時加強(qiáng)審計，確保策略的正確實施；意代碼檢查處理；usb部署后解決的風(fēng)險惡意程序關(guān)心檢測系統(tǒng)涉密信息系統(tǒng)承受惡意程序關(guān)心檢測系統(tǒng)，用于涉密信息系統(tǒng)的中間機(jī)信息輸入輸出介質(zhì)的惡意程序及木馬病毒查殺及管控。部署4224統(tǒng)，對中間機(jī)潛在的惡意程序及木馬進(jìn)展管控。第一次運行策略載、設(shè)置策略進(jìn)展惡意代碼掃描、設(shè)置策略攔截惡意程序的盜取行為。設(shè)備治理及策略份依據(jù)《惡意程序關(guān)心檢測系統(tǒng)運維治理制度》進(jìn)展治理。安全審計員的口令，由“三員”分別治理。b、由信息中心對中間機(jī)進(jìn)展編號、標(biāo)識密級、記錄安放位置并指定中間機(jī)負(fù)責(zé)人。c、信息中心負(fù)責(zé)定期到中間機(jī)提取審計日志信息等內(nèi)容。d、信息中心覺察高風(fēng)險大事準(zhǔn)時通報保密辦，并查找風(fēng)險源頭，各部門協(xié)作信息中心準(zhǔn)時解決問題。e、中間機(jī)負(fù)責(zé)人嚴(yán)格遵守《惡意程序關(guān)心檢測系統(tǒng)運維治理制度》，使用中間機(jī)帶的惡意程序及木馬危害系統(tǒng)。部署后解決的風(fēng)險主機(jī)監(jiān)控與審計系統(tǒng)使用原有主機(jī)監(jiān)控與審計系統(tǒng)進(jìn)展對終端行為監(jiān)控和限制，保持原有部署及原有配風(fēng)險。移動介質(zhì)治理系統(tǒng)承受移動介質(zhì)治理系統(tǒng)對公司移動存儲介質(zhì)進(jìn)展治理。部署統(tǒng)以及審計平臺。該單機(jī)放置于信息中心，由信息中心治理維護(hù)。部署30個客戶端。具體分布如下表所示。1-5移動介質(zhì)系統(tǒng)部署匯總表序號部署位置數(shù)量12345678910合計第一次運行策略U設(shè)備治理及策略問題后，交由保密辦統(tǒng)一封存處理。部署后解決的風(fēng)險終端安全登錄及身份認(rèn)證系統(tǒng)承受終端安全登錄與監(jiān)控審計系統(tǒng)〔網(wǎng)絡(luò)版〕，用于對機(jī)密級終端的“雙因子”登〔單機(jī)版〕，用于對涉密單機(jī)、中間機(jī)登錄身份認(rèn)證、主機(jī)監(jiān)控與審計。部署〕289單機(jī)版直接部署在具全部的中間機(jī)以及涉密單機(jī)上。第一次運行策略全部終端的策略實行以下方式進(jìn)展：開機(jī)安全登錄與認(rèn)證，關(guān)閉光驅(qū)、軟驅(qū)、串口、并口、紅外、藍(lán)牙、網(wǎng)絡(luò)接口、1394PDA。USB策略的調(diào)整與下發(fā)。設(shè)備治理及策略志的保存與備份依據(jù)《終端安全登錄與監(jiān)控審計系統(tǒng)運維治理制度》進(jìn)展治理。員、安全審計員的口令，由“三員”分別治理。至安全治理位置?？葱谄饔布\行狀態(tài)、策略配置、系統(tǒng)日志等內(nèi)容。心準(zhǔn)時解決問題。題，通知保密辦，獲得批準(zhǔn)后，聯(lián)系廠家負(fù)責(zé)設(shè)備的修理治理。部署后解決的風(fēng)險光盤刻錄監(jiān)控與審計承受光盤刻錄監(jiān)控與審計系統(tǒng)，用于對刻錄行為的監(jiān)控與審計。部署部署在具有刻錄權(quán)限的內(nèi)網(wǎng)終端、中間機(jī)以及涉密單機(jī)上。第一次運行策略申請、