分級保護方案計劃設計詳解

iiu第三章安全保密風險分析3.1脆弱性分析脆弱性是指資產或資產組中能被威脅所利用的弱點，它包括物理環(huán)境、組織機構、業(yè)務流程、人員、管理、硬件、軟件及通訊設施等各個方面。脆弱性是資產本身存在的，如果沒有被相應的威脅利用，單純的脆弱性本身不會對資產造成損害，而且如果系統(tǒng)足夠強健，嚴重的威脅也不會導致安全事件發(fā)生，并造成損失。威脅總是要利用資產的脆弱性才可能造成危害。資產的脆弱性具有隱蔽性，有些脆弱性只有在一定條件和環(huán)境下才能顯現，這是脆弱性識別中最為困難的部分。不正確的、起不到任何作用的或沒有正確實施的安全措施本身就可能是一個弱點，脆弱性是風險產生的內在原因，各種安全薄弱環(huán)節(jié)、安全弱點自身并不會造成什么危害，它們只有在被各種安全威脅利用后才可能造成相應的危害。針對XXX機關涉密信息系統(tǒng)，我們主要從技術和管理兩個方面分析其存在的安全脆弱性。3.1.1技術脆弱性物理安全脆弱性：環(huán)境安全：物理環(huán)境的安全是整個基地涉密信息系統(tǒng)安全得以保障的前提。如果物理安全得不到保障，那么網絡設備、設施、介質和信息就容易受到自然災害、環(huán)境事故以及人為物理操作失誤或錯誤等各種物理手段的破壞，造成有價值信息的丟失。目前各級XXX企業(yè)的中心機房大部分采用獨立的工作空間，并且能夠達到國家標準GB50174.1993《電子計算機機房設計規(guī)范》、GB2887.1989《計算機場地技術條件》、GB9361.1998《計算站場地安全要求》和BMBI7—2006《涉及國家秘密的信息系統(tǒng)分級保護技術要求》等要求。設備安全：涉密信息系統(tǒng)的中心機房均按照保密標準要求采取了安全防范措施，防止非授權人員進入，避免設備發(fā)生被盜、被毀的安全事故。介質安全：目前各級XXX企業(yè)的軟磁盤、硬盤、光盤、磁帶等涉密媒體按所存儲信息的最高密級標明密級，并按相應的密級管理。運行安全脆弱性分析備份與恢復：備份與恢復是保證涉密信息系統(tǒng)運行安全的一個不可忽視問題，當遇到（如火災、水災等）不可抗因素，不會造成關鍵業(yè)務數據無法恢復的慘痛局面。同時將備份關鍵業(yè)務數據的存儲介質放置在其他建筑屋內，防止在異常事故發(fā)生時被同時破壞。網絡防病毒：各級XXX企業(yè)涉密網絡中的操作系統(tǒng)主要是windows系列操作系統(tǒng)。雖有安全措施，卻在不同程度上存在安全漏洞。同時，病毒也是對涉密網絡安全的主要威脅，有些病毒可感染擴展名為corn、exe和ovl的可執(zhí)行文件，當運行這些被感染的可執(zhí)行文件時就可以激活病毒，有些病毒在系統(tǒng)底層活動，使系統(tǒng)變得非常不穩(wěn)定，容易造成系統(tǒng)崩潰。還有蠕蟲病毒可通過網絡進行傳播，感染的計算機容易導致系統(tǒng)的癱瘓。近年來，木馬的泛濫為計算機的安全帶來了嚴重的安全問題。木馬通常是病毒攜帶的一個附屬程序，在被感染的計算機上打開一個后門，使被感染的計算機喪失部分控制權，另外還有黑客程序等，可以利用系統(tǒng)的漏洞和缺陷進行破壞，都會為涉密網絡帶來安全風險。各級XXX企業(yè)涉密網絡中采用網絡版殺毒軟件對涉密系統(tǒng)進行病毒防護，并制定合理的病毒升級策略和病毒應急響應計劃以保證涉密網絡的安全。應急響應與運行管理：各級XXX企業(yè)采用管理與技術結合的手段，設置定期備份機制，在系統(tǒng)正常運行時就通過各種備份措施為災害和故障做準備；健全安全管理機構，建立健全的安全事件管理機構，明確人員的分工和責任；建立處理流程圖，制定安全事件響應與處理計劃及事件處理過程示意圖，以便迅速恢復被安全事件破壞的系統(tǒng)。信息安全保密脆弱性自身脆弱性：任何應用軟件都存在不同程度的安全問題，主要來自于兩個方面：一方面是軟件設計上的安全漏洞；另一方面是安全配置的漏洞。針對軟件設計上的安全漏洞和安全配置的漏洞，如果沒有進行合適的配置加固和安全修補，就會存在比較多的安全風險。由于目前防病毒軟件大多集成了部分漏洞掃描功能，并且涉密網絡中的涉密終端與互聯網物理隔離，因此可以通過對涉密網絡進行漏洞掃描，定期下載升級補丁，并制定相應的安全策略來防護。電磁泄漏發(fā)射防護：信息設備在工作中產生的時變電流引起電磁泄漏發(fā)射，將設備處理的信息以電磁波的形式泄露在自由空間和傳導線路上，通過接收這種電磁波并采取相應的信號處理技術可以竊取到信息。這種竊收方式危險小，不易被發(fā)現和察覺，隨著我國信息化水平的不斷提高，我國涉密部門大量使用計算機、網絡終端等辦公自動化設備，涉密信息的安全保密受到嚴重威脅，這種威脅不像病毒攻擊和網絡攻擊那樣可以看到或者有跡可尋，它的隱蔽性強，危害極大。安全審計：安全審計是對信息系統(tǒng)的各種事件及行為實行監(jiān)測、信息采集、分析并針對特定事件及行為采取相應動作，XXXXXX企業(yè)涉密信息系統(tǒng)沒有有效的審計，應用系統(tǒng)出現了問題之后無法追查，也不便于發(fā)現問題，造成了損失也很難對原因進行定性。邊界安全防護：計算機連接互聯網存在著木馬、病毒、黑客入侵的威脅，并且我國安全保密技術手段尚不完備、對操作系統(tǒng)和網絡設備的關鍵技術尚未掌握，不足以抵擋高技術竊密，因此涉密網絡必須與互聯網物理隔離，而僅將涉密系統(tǒng)置于獨立的環(huán)境內進行物理隔離，并不能做到與互聯網完全隔離，內部用戶還可以通過ADSL、Modem、無線網卡等方式連接國際互聯網，因此應該通過技術手段，對違規(guī)外聯行為進行阻斷，另外，涉密網絡中的內部介入問題也為涉密網絡帶來安全威脅。數據庫安全：數據庫系統(tǒng)作為計算機信息系統(tǒng)的重要組成部分，數據庫文件作為信息的聚集體，擔負著存儲和管理數據信息的任務，其安全性將是信息安全的重中之重。數據庫的安全威脅主要分為非人為破壞和人為破壞，對于非人為破壞，主要依靠定期備份或者熱備份等，并在異地備份。人為破壞可以從三個方面來防護：一、物理安全，保證數據庫服務器、數據庫所在環(huán)境、相關網絡的物理安全性；二、訪問控制，在帳號管理、密碼策略、權限控制、用戶認證等方面加強限制；三、數據備份，定期的進行數據備份是減少數據損失的有效手段，能讓數據庫遭到破壞后，恢復數據資源。操作系統(tǒng)安全：操作系統(tǒng)的安全性在計算機信息系統(tǒng)的整體安全性中具有至關重要的作用，沒有操作系統(tǒng)提供的安全性，信息系統(tǒng)和其他應用系統(tǒng)就好比“建筑在沙灘上的城堡”我國使用的操作系統(tǒng)95%以上是Windows，微軟的Windows操作系統(tǒng)源碼不公開，無法對其進行分析，不能排除其中存在著人為“陷阱”?，F已發(fā)現存在著將用戶信息發(fā)送到微軟網站的“后門”。在沒有源碼的情形下，很難加強操作系統(tǒng)內核的安全性，從保障我國網絡及信息安全的角度考慮，必須增強它的安全性，因此采用設計安全隔離層——中間件的方式，增加安全模塊，以解燃眉之急。3.1.2管理脆弱性任何信息系統(tǒng)都離不開人的管理，再好的安全策略最終也要靠人來實現，因此管理是整個網絡安全中最為重要的一環(huán)，所以有必要認真地分析管理所存在的安全風險，并采取相應的安全措施。物理環(huán)境與設施管理脆弱性：包括周邊環(huán)境、涉密場所和保障設施等。人員管理脆弱性：包括內部人員管理、外部相關人員管理等。設備與介質管理脆弱性：采購與選型、操作與使用、保管與保存、維修與報廢等。運行與開發(fā)管理脆弱性：運行使用、應用系統(tǒng)開發(fā)、異常事件等。信息保密管理脆弱性：信息分類與控制、用戶管理與授權、信息系統(tǒng)互聯。責權不明、管理混亂、安全管理制度不健全及缺乏可操作性等。當網絡出現攻擊行為、網絡受到其它一些安全威脅（如：內部人員違規(guī)操作）以及網絡中出現未加保護而傳播工作信息和敏感信息時，系統(tǒng)無法進行實時的檢測、監(jiān)控、報告與預警。同時，當事故發(fā)生后，也無法提供追蹤攻擊行為的線索及破案依據，即缺乏對網絡的可控性與可審查性。這就要求我們必須對網絡內出現的各種訪問活動進行多層次記錄，及時發(fā)現非法入侵行為和泄密行為。要建設涉密信息系統(tǒng)建立有效的信息安全機制，必須深刻理解網絡和網絡安全，并能提供直接的安全解決方案，因此最可行的做法是安全管理制度和安全解決方案相結合，并輔之以相應的安全管理工具。3.2威脅分析3.2.1威脅源分析作為一個較封閉的內網，攻擊事件的威脅源以內部人員為主，內部人員攻擊可以分為惡意和無惡意攻擊，攻擊目標通常為機房、網絡設備、主機、介質、數據和應用系統(tǒng)等，惡意攻擊指XXX企業(yè)內部人員對信息的竊??；無惡意攻擊指由于粗心、無知以及其它非惡意的原因而造成的破壞。對于XXX機關涉密信息系統(tǒng)來講，內部人員攻擊的行為可能有以下幾種形式：1．被敵對勢力、腐敗分子收買，竊取業(yè)務資料；2．惡意修改設備的配置參數，比如修改各級XXX企業(yè)網絡中部署的防火墻訪問控制策略，擴大自己的訪問權限；3．惡意進行設備、傳輸線路的物理損壞和破壞；4．出于粗心、好奇或技術嘗試進行無意的配置，這種行為往往對系統(tǒng)造成嚴重的后果，而且防范難度比較高。3.2.2攻擊類型分析1.被動攻擊：被動攻擊包括分析通信流，監(jiān)視未被保護的通訊，解密弱加密通訊，獲取鑒別信息(比如口令)。被動攻擊可能造成在沒有得到用戶同意或告知用戶的情況下，將信息或文件泄露給攻擊者。對于各級XXX企業(yè)網絡來講，被動攻擊的行為可能有以下幾種形式：有意識的對涉密信息應用系統(tǒng)進行竊取和窺探嘗試；監(jiān)聽涉密信息網絡中傳輸的數據包；對涉密信息系統(tǒng)中明文傳遞的數據、報文進行截取或篡改；對加密不善的帳號和口令進行截取，從而在網絡內獲得更大的訪問權限；對網絡中存在漏洞的操作系統(tǒng)進行探測；對信息進行未授權的訪問；2.主動攻擊：主動攻擊包括試圖阻斷或攻破保護機制、引入惡意代碼、偷竊或篡改信息。主動進攻可能造成數據資料的泄露和散播，或導致拒絕服務以及數據的篡改。對于XXX機關涉密信息系統(tǒng)來講，主動攻擊的行為可能有以下幾種形式：字典攻擊：黑客利用一些自動執(zhí)行的程序猜測用戶名和密碼，獲取對內部應用系統(tǒng)的訪問權限；劫持攻擊：在涉密信息系統(tǒng)中雙方進行會話時被第三方(黑客)入侵，黑客黑掉其中一方，并冒充他繼續(xù)與另一方進行會話，獲得其關注的信息；假冒：某個實體假裝成另外一個實體，以便使一線的防衛(wèi)者相信它是一個合法的實體，取得合法用戶的權利和特權，這是侵入安全防線最為常用的方法；截?。浩髨D截取并修改在本院涉密信息系統(tǒng)絡內傳輸的數據，以及省院、地市院、區(qū)縣院之間傳輸的數據；欺騙：進行IP地址欺騙，在設備之間發(fā)布假路由，虛假AI沖數據包；重放：攻擊者對截獲的某次合法數據進行拷貝，以后出于非法目的而重新發(fā)送：篡改：通信數據在傳輸過程中被改變、刪除或替代；惡意代碼：惡意代碼可以通過涉密信息網絡的外部接口和軟盤上的文件、軟件侵入系統(tǒng)，對涉密信息系統(tǒng)造成損害；業(yè)務拒絕：對通信設備的使用和管理被無條件地拒絕。絕對防止主動攻擊是十分困難的，因此抗擊主動攻擊的主要途徑是檢測，以及對此攻擊造成的破壞進行恢復。3.3風險的識別與確定3.3.1風險識別物理環(huán)境安全風險：網絡的物理安全風險主要指網絡周邊環(huán)境和物理特性引起的網絡設備和線路的不可用，而造成網絡系統(tǒng)的不可用，如：涉密信息的非授權訪問，異常的審計事件；設備被盜、被毀壞；線路老化或被有意或者無意的破壞；因電子輻射造成信息泄露；因選址不當造成終端處理內容被窺視；打印機位置選擇不當或設置不當造成輸出內容被盜竊；設備意外故障、停電；地震、火災、水災等自然災害。因此，XXX企業(yè)涉密信息系統(tǒng)在考慮網絡安全風險時，首先要考慮物理安全風險。例如：設備被盜、被毀壞；設備老化、意外故障；計算機系統(tǒng)通過無線電輻射泄露秘密信息等。介質安全風險：因溫度、濕度或其它原因，各種數據存儲媒體不能正常使用；因介質丟失或被盜造成的泄密；介質被非授權使用等。運行安全風險：涉密信息系統(tǒng)中運行著大量的網絡設備、服務器、終端，這些系統(tǒng)的正常運行都依靠電力系統(tǒng)的良好運轉，因電力供應突然中斷或由于UPS和油機未能及時開始供電造成服務器、應用系統(tǒng)不能及時關機保存數據造成的數據丟失。因為備份措施不到位，造成備份不完整或恢復不及時等問題。信息安全保密風險：涉密信息系統(tǒng)中采用的操作系統(tǒng)(主要為Windows2000server,WindowsXP)、數據庫都不可避免地存在著各種安全漏洞，并且漏洞被發(fā)現與漏洞被利用之間的時間差越來越大，這就使得操作系統(tǒng)本身的安全性給整個涉密信息系統(tǒng)帶來巨大的安全風險。另一方面，病毒已成為系統(tǒng)安全的主要威脅之一，特別是隨著網絡的發(fā)展和病毒網絡化趨勢，病毒不僅對網絡中單機構成威脅，同時也對網絡系統(tǒng)造成越來越嚴重的破壞，所有這些都造成了系統(tǒng)安全的脆弱性。涉密信息系統(tǒng)中網絡應用系統(tǒng)中主要存在以下安全風險：用戶提交的業(yè)務信息被監(jiān)聽或修改；用戶對成功提交的業(yè)務事后抵賴；由于網絡一些應用系統(tǒng)中存在著一些安全漏洞，包括數據庫系統(tǒng)與IIS系統(tǒng)中大量漏洞被越來越多地發(fā)現，因此存在非法用戶利用這些漏洞對專網中的這些服務器進行攻擊等風險。服務系統(tǒng)登錄和主機登錄使用的是靜態(tài)口令，口令在一定時間內是不變的，且在數據庫中有存儲記錄，可重復使用。這樣非法用戶通過網絡竊聽，非法數據庫訪問，窮舉攻擊，重放攻擊等手段很容易得到這種靜態(tài)口令，然后，利用口令，可對資源非法訪問和越權操作。另外，在XXX企業(yè)涉密信息系統(tǒng)中運行多種應用系統(tǒng)，各應用系統(tǒng)中幾乎都需要對用戶權限的劃分與分配，這就不可避免地存在著假冒，越權操作等身份認證漏洞。此外網絡邊界缺少防護或訪問控制措施不力、以及沒有在重要信息點采取必要的電磁泄漏發(fā)射防護措施都是導致信息泄露的因素。安全保密管理風險：再安全的網絡設備離不開人的管理，再好的安全策略最終要靠人來實現，因此管理是整個網絡安全中最為重要的一環(huán)，尤其是對于一個比較龐大和復雜的網絡，更是如此。XXX企業(yè)在安全保密管理方面可能會存在以下風險：當網絡出現攻擊行為或網絡受到其它一些安全威脅時(如內部人員的違規(guī)操作等)，無法進行實時的檢測、監(jiān)控、報告與預警。雖然制定了相關管理制度，但是缺少支撐管理的技術手段，使事故發(fā)生后，無法提供攻擊行為的追蹤線索及破案依據。因此，最可行的做法是管理制度和管理解決方案的結合。3.3.2風險分析結果描述風險只能預防、避免、降低、轉移和接受，但不可能完全被消滅。風險分析就是分析風險產生/存在的客觀原因，描述風險的變化情況，并給出可行的風險降低計劃。XXX企業(yè)涉密信息系統(tǒng)的分級保護方案應該建立在風險分析的基礎之上，根據“脆弱性分析”和“威脅分析”中所得到的系統(tǒng)脆弱性和威脅的分析結果，詳細分析它們被利用的可能性的大小，并且要評估如果攻擊得手所帶來的后果，然后再根據涉密信息系統(tǒng)所能承受的風險，來確定系統(tǒng)的保護重點。本方案所采用的風險分析方法為“安全威脅因素分析法”，圍繞信息的“機密性”、“完整性”和“可用性”三個最基本的安全需求，針對前述每一類脆弱性的潛在威脅和后果進行風險分析并以表格的形式表達，對于可能性、危害程度、風險級別，采用五級來表示，等級最高為五級（＊＊＊＊＊），如下表：層面脆弱和威脅可能性危害程度風險級別物理層自然災害與環(huán)境事故、電力中斷**********重要設備被盜************內外網信號干擾*********電磁輻射***********惡劣環(huán)境對傳輸線路產生電磁干擾********采用紙制介質存儲重要的機密信息********線路竊聽*********存儲重要的機密信息移動介質隨意放置*********網絡層網絡拓撲結構不合理造成旁路可以出現安全漏洞*******不冋用戶群、不冋權限的訪問者混在一起，不能實現有效的分離************網絡阻塞，用戶不能實現正常的訪問**********非法用戶對服務器的安全威脅*******共享網絡資源帶來的安全威脅*******系統(tǒng)重要管理信息的泄漏********傳播黑客程序********進行信息監(jiān)聽********ARP攻擊威脅*********利用TCP協議缺陷實施拒絕服務攻擊********系統(tǒng)層操作系統(tǒng)存在著安全漏洞***********系統(tǒng)配置不合理***********操作系統(tǒng)訪問控制脆弱性********網絡病毒攻擊*************合法用戶主動泄密**********

非法外連********存儲信息丟失********應用層應用軟件自身脆弱性*******應用系統(tǒng)訪問控制風險*******應用軟件安全策略、代碼設計不當*******數據庫自身的安全問題**********抵賴風險***********缺乏審計*********操作系統(tǒng)安全帶來的風險************數據庫安全風險********管理層松散的管理面臨泄密的風險**********安全保密管理機構不健全*********人員缺乏安全意識**********人員沒有足夠的安全技術的培訓***************安全規(guī)則制度不完善***************表3-1XXX企業(yè)涉密信息系統(tǒng)風險分析表第四章安全保密需求分析技術防護需求分析4.1.1機房與重要部位XXX企業(yè)內網和外網已實現物理隔離，置于不同的機房內。內網機房、機要室等重要部位將安裝電子監(jiān)控設備，并配備了報警裝置及電子門控系統(tǒng)，對進出人員進行了嚴格控制，并在其他要害部門安裝了防盜門，基本滿足保密標準要求。4.1.2網絡安全物理隔離：由于XXX企業(yè)的特殊性，XXX企業(yè)已組建了自己的辦公內網，與其他公共網絡采取了物理隔離，滿足保密標準要求。網絡設備的標識與安放：XXX企業(yè)現階段，雖然在管理制度上對專網計算機進行管理要求，但沒有對設備的密級和主要用途進行標識，所以需要進行改進，并按照設備涉密屬性進行分類安放，以滿足保密標準要求。違規(guī)外聯監(jiān)控：XXX企業(yè)專網建成后，網絡雖然采用了物理隔離，但缺少對涉密計算機的違規(guī)外聯行為的監(jiān)控和阻斷，例如內部員工私自撥號上網，通過無線網絡上網等。所以為了防止這種行為的發(fā)生，在涉密網建設中需要一套違規(guī)外聯監(jiān)控軟件對非授權計算機的上網行為進行阻斷。網絡惡意代碼與計算機病毒防治：病毒對于計算機來說是個永恒的話題，就像人會感染病菌而生病一樣，計算機也會感染病毒而導致異常，同時有些病毒的爆發(fā)還會導致計算機網絡癱瘓、重要數據丟失等后果，XXX機關充分考慮到這一問題，配備了網絡版殺毒軟件，系統(tǒng)內的關鍵入口點以及各用戶終端、服務器和移動計算機設備設置了防護措施，保證惡意代碼與計算機病毒不會通過網絡途徑傳播進入涉密網，同時也確保移動存儲設備介入涉密網后，不會感染涉密網絡。同時還制定了殺毒軟件升級的手段，基本滿足保密標準要求。網絡安全審計：目前網絡安全問題大多數出現在內部網絡，而XXX企業(yè)涉密信息系統(tǒng)的建設卻缺少這種安全防護和審計手段，因此為了保證內部網絡安全，需要配置安全審計系統(tǒng)，對公共資源操作進行審計控制，了解計算機的局域網內部單臺計算機網絡的連接情況，對計算機局域網內網絡數據的采集、分析、存儲備案。通過實時審計網絡數據流，根據用戶設定的安全控制策略，對受控對象的活動進行審計。安全漏洞掃描：解決網絡層安全問題，首先要清楚網絡中存在哪些隱患、脆弱點。面對大型網絡的復雜性和不斷變化的情況，依靠網絡管理員的技術和經驗尋找安全漏洞、做出風險評估，顯然是不現實的。解決的方案是，尋找一種能掃描網絡安全漏洞、評估并提出修改建議的網絡安全掃描工具。所以本項目中需要配置安全漏洞掃描系統(tǒng)。信息傳輸密碼保護：加密傳輸是網絡安全重要手段之一。信息的泄露很多都是在鏈路上被搭線竊取，數據也可能因為在鏈路上被截獲、被篡改后傳輸給對方，造成數據真實性、完整性得不到保證。如果利用加密設備對傳輸數據進行加密，使得在網上傳的數據以密文傳輸，因為數據是密文。所以即使在傳輸過程中被截獲，入侵者也讀不懂，而且加密機還能通過先進性技術手段對數據傳輸過程中的完整性、真實性進行鑒別?？梢员ＷC數據的保密性、完整性及可靠性。XXX機關對異地數據傳輸進行加密，在區(qū)縣院設置加密卡完成傳數據局的保密。網絡接口控制：在BMB17標準中明確規(guī)定，對系統(tǒng)中網絡設備暫不使用的所有網絡連接口采取安全控制措施，防止被非授權使用。所以僅靠管理制度是難以滿足之一要求的，需要套管理軟件對系統(tǒng)的USB、串口并口、1394、Modem、網卡、軟驅、光驅、紅外線等設備端口進行控制，已滿足保密標準的要求。電磁泄漏發(fā)射防護：計算機系統(tǒng)在工作時，系統(tǒng)的顯示屏、機殼縫隙、鍵盤、連接電纜和接口等處會發(fā)生信息的電磁泄漏，泄漏方式為線路傳導發(fā)射和空間輻射。利用計算機設備的電源泄漏竊取機密信息是國內外情報機關截獲信息的重要途徑，因為用高靈敏度的儀器截獲計算機及外部設備中泄漏的信息，比用其他方法獲得情報要準確、可靠、及時、連續(xù)的多，而且隱蔽性好，不易被對方察覺，因此防電磁泄漏是信息安全的一個重要環(huán)節(jié)。XXXXXX企業(yè)對電磁泄漏發(fā)射防護缺少技術保護手段，不滿足保密標準要求，存在隱患，所以需要通過電磁泄漏防護措施，如：配置線路傳到干擾器，配置屏蔽機柜，配置低輻射設備（紅黑隔離插座）、干擾器（視頻干擾器），有效抵抗泄漏信息在空間擴散被截獲對信息機密行的威脅。備份與恢復：是涉密網建設的重要組成部分，一旦出現數據丟失或網絡設備癱瘓所造成的損失是無法估量的。在涉密網建設中備份與恢復可以分為兩方面的內容，一是對涉密數據及關鍵業(yè)務數據的備份?？梢酝ㄟ^在線備份、離線備份、異地備份等形式完成?，F在常用的是通過磁盤鏡像、磁帶機備份、刻錄光盤等方式備份。二是對關鍵設備的備份與恢復，可以采用雙機熱備的形式進行防護，并制定詳細的恢復方案和計劃。4.1.3主機安全目前XXX企業(yè)內網終端的安全保密建設只是安裝有防病毒軟件的客戶端程序，對主機安全的需求還有：（1）需要部署國產防病毒軟件客戶端程序，并及時、統(tǒng)一升級病毒庫，防止惡意代碼影響計算機正常運行；（2）需要部署保密管理系統(tǒng)，對終端外設及接口進行控制，對用戶敏感操作行為進行審計，對移動存儲介質的使用授權和管理，對可能發(fā)生的違規(guī)外聯行為進行阻斷和報警，阻止與工作無關的應用程序的運行。（3）需要及時升級操作系統(tǒng)、數據庫補丁，防止由于系統(tǒng)漏洞造成涉密信息失泄密；（4）加強主機開機、系統(tǒng)登陸、遠程管理等操作的身份鑒別機制，根據標準要求執(zhí)行密碼設置或采取更為有效的身份鑒別措施；（5）需要安裝視頻信息保護機，防止終端顯示器設備電磁發(fā)射泄漏導致的失泄密風險；（6）需要安裝紅黑電源隔離插座，有效隔離紅黑設備的供電電源，防止電源線傳導泄漏導致的失泄密風險。4.1.4介質安全介質標識：對硬盤、軟盤、光盤、磁帶、USB盤等涉密信息存儲介質根據其所處理信息的最高密級進行標識；涉密信息存儲介質的密級標識不易被涂改、損壞和丟失。介質的收發(fā)和傳遞：制定介質收發(fā)的管理制度，制定規(guī)定對涉密信息存儲介質履行清點、等級、編號等手續(xù)的相關容；制定介質收發(fā)記錄，記錄包括介質名稱、用途、發(fā)送時間、發(fā)送單位、發(fā)送人員、接收時間、接收單位、接收人員等相關內容；制定介質傳遞的管理制度，制度規(guī)定對涉密信息存儲介質傳遞時的封裝、標識、指派專人專車或者通過機要交通、機要通信、機要方法等方法進行傳遞的相關內容；制定介質傳遞記錄，記錄包括介質名稱、用途、時間、傳遞人員和傳遞方式等相關內容、介質的使用：制定介質使用管理制度，規(guī)定涉密介質按照規(guī)定不應在非涉密信息系統(tǒng)內使用，較高密級信息存儲介質不應在較低密級系統(tǒng)中使用，較高機密信息存儲介質用于存儲較低密級的信息時應仍按原有密級進行管理。對報廢處理的涉密信息存儲介質在非涉密信息系統(tǒng)內重新使用或利用前，應進行信息消除處理，信息消除時所采用的信息消除技術、設備和措施應符合國家保密工作部門的相關規(guī)定；攜帶處理涉密信息的設備外出或出境時，應按照相關保密規(guī)定采取保護措施，并辦理相關手續(xù)，此外還應使用涉密信息存儲介質始終處于攜帶人的有效控制之下；涉密信息存儲介質的復制及制作應在本機關、單位內部或保密工作部門審查批準的單位進行，并標明涉密和保密期限，注明發(fā)放范圍及制作數量，編排順序號。復制、制作過程中形成的不需要歸檔的涉密材料，應及時銷毀等相關內容；制定介質使用記錄，記錄包括介質的制作與復制、外出或處境和信息消除等相關內容；采用涉密介質安全管控與違規(guī)外聯預警系統(tǒng)，使用授權管理中心進行授權使用，并對用戶終端使用中斷控制程序限制USB接口的使用，增強介質使用的安全性。介質保存：介質存放于公司保密辦的保密柜中；制定介質保存的管理制度，制定規(guī)定相關責任部門應定期對當年所存涉密信息存儲介質進行清查、核對，發(fā)現問題及時向保密工作部門報告內容；制定介質保存記錄，記錄包括介質清查與核對的時間、人員等內容。介質維修：制定介質維修的管理制度，制度規(guī)定必須本單位專業(yè)人員全程參與現場維修，需要外修時必須按照國家有關規(guī)定到具有涉密信息系統(tǒng)數據恢復資質的維修點進行維修等內容、制定介質維修記錄，記錄包括介質名稱、維修人員、陪同人員、維修時間、故障原因、排除方法、主要維修過程及維修結果等內容；定點設備維修單位和維修人員簽訂安全保密協議。介質報廢：制定介質報廢的管理制度，制定規(guī)定不再使用或無法使用的涉密信息存儲介質在進行報廢處理前，應進行信息消除處理，信息消除處理時應按照國家保密部門的有關規(guī)定，采取符合國家保密工作部門的有關規(guī)定的信息消除技術、設備和措施，并做好涉密介質報廢批準、清點、登記等手續(xù)的內容；制定介質報廢記錄，記錄包括設備名稱、審批人員、報廢時間和最終去向。以上針對介質安全管理是通過制度進行規(guī)范的，但僅靠管理制度是難以真正實現對介質安全的管理要求，必須“技管并舉，以技促管”。例如：通過制度難以實現一下需求控制：無法有效區(qū)分可信介質與非可信介質；無法實現有效接入控制；無法確保存儲在移動介質中的保密信息與國際互聯網物理隔離等。所以需要一套完善的介質管理系統(tǒng)來解決這些制度無法控制的隱患。4.1.5數據與應用安全數據與應用安全是XXX機關涉密信息系統(tǒng)建設的重要內容，通過建立統(tǒng)一的網絡信任和授權管理體系，創(chuàng)建一體化的身份認證、訪問控制及責任認證平臺，為所有的應用系統(tǒng)提供統(tǒng)一的身份認證和訪問控制服務，并可對事故責任進行追查：建立全網統(tǒng)一的身份認證機制，每個用戶擁有唯一身份標識的數字證書；建立訪問控制機制，確保僅擁有數字證書的合法用戶能通過授權訪問應用系統(tǒng)；在應用系統(tǒng)中，分配每個用戶權限，限定用戶的操作范圍，通過數字簽名功能，防止抵賴行為，保證數據的完整性；對用戶通過訪問控制系統(tǒng)的訪問進行審計；通過密級標識手段，保證信息主體與密級標識的不可分離，為信息流向、訪問控制提供依據；對關鍵業(yè)務系統(tǒng)采用雙機熱備，對關鍵業(yè)務數據采取異地容災的方式保證數據及應用安全。4.2管理需求分析4.2.1人員管理人員管理包括內部工作人員管理和外部相關人員管理。內部工作人員管理包括本單位正式編制人員、聘用人員（工勤、服務人員）等人員錄用、崗位職責、保密協議簽訂、教育培訓、保密監(jiān)控、人員獎懲和人員離崗離職的管理；外部相關人員管理包括內部工作人員之外的其他人員（特別是境外人員）以及設備（特別是進出口設備）的維修服務人員等外來的保密要求知會、安全控制區(qū)域隔離、攜帶物品限制和旁站陪同控制。4.2.2物理環(huán)境與設備管理從物理安全需求來分析，物理環(huán)境的安全是整個涉密網絡安全得以保障的前提；要保護網絡設備、設施、介質和信息免受自然災害、環(huán)境事故以及人為物理操作失誤或錯誤及各種物理手段進行違法犯罪行為導致的破壞、丟失；涉密網絡必須要具備環(huán)境安全、設備安全和介質安全等物理支撐環(huán)境，切實保障實體的安全；確保系統(tǒng)內的環(huán)境安全，設備的物理安全，機房和配線間的環(huán)境安全，防止設備被盜、被破壞；保證涉密網絡與非涉密網絡的物理隔離；防止設備產生的電磁信息通過空間輻射和傳導泄漏；保障涉密介質在使用、保存、維護方面的安全。4.2.3運行與開發(fā)管理系統(tǒng)必須保證內部網絡的持續(xù)有效的運行，防止對內部網絡設施的入侵和攻擊、防止通過消耗帶寬等方式破壞網絡的可用性；網絡安全系統(tǒng)應保證內網機密信息在存儲于傳輸時保密性；對關鍵網絡、系統(tǒng)和數據的訪問必須得到有效地控制，這要求系統(tǒng)能夠可靠確認訪問者的身份，謹慎授權，并對任何訪問進行跟蹤記錄；對于網絡安全系統(tǒng)應具備審記和日志功能，對相關重要操作提供可靠而方便的可管理和維護功能；確保涉密信息系統(tǒng)的服務器系統(tǒng)、終端在全方位、多層次的進行安全配置和安全加固；建立覆蓋全網的補丁集中管理機制，對操作系統(tǒng)進行及時的補丁分發(fā)、安裝保證操作系統(tǒng)處于最有狀態(tài)，進而確保系統(tǒng)處于最佳使用狀態(tài)；確保接入涉密網服務器的安全，對應用服務器進行內核加固，對后端和管理服務器進行安全加固，以抵御針對操作系統(tǒng)的攻擊行為，保證其發(fā)布信息的真實性和可靠性；對應用系統(tǒng)的數據庫進行安全加固，防止針對數據庫的攻擊行為；對客戶端加強終端安全管理，對登錄用戶實行雙因素身份認證，杜絕客戶端的非授權操作，確保存儲在終端設備中的工作信息和敏感信息的安全，使其不被非法篡改和破壞；針對防病毒危害性極大并且傳播極為迅速，配備從客戶端到服務器的整套防病毒軟件，實現全網的病毒安全防護；對系統(tǒng)內終端用戶的非授權外聯行為采用技術手段進行檢查和阻斷；建立涉密移動存儲介質集中的統(tǒng)一管理機制，并采用具體安全防護措施的涉密介質，防止數據通過介質方式泄露；確保數據庫中所存儲的信息在遭到破壞時能得到及時的恢復。4.2.4設備與介質管理須指定專人負責管理涉密存儲介質，定期清理、回收、檢查并掌握其使用情況，確保涉密信息的安全保密；涉密存儲介質的管理實行“誰主管、誰負責”的原則；涉密存儲介質在使用和管理中要嚴格登記、集中管理、專人負責；軟盤、U盤等移動存儲介質要在顯著位置上貼上標條，標志條上要有統(tǒng)一編碼，密級標識，要有登記；涉密存儲介質只能用來存儲涉密信息，非涉密存儲介質只能來存儲非涉密信息；涉密存儲介質應按存儲信息的最高密級標注密級，并按相同密級的載體管理；禁止將涉密存儲介質接入互聯網；嚴格限制互聯網將數據拷貝到涉密信息設備和涉密信息系統(tǒng)；確因工作需要，經審查批準后，應使用非涉密移動存儲介質進行拷貝，通過先對其進行查殺病毒后，再進行數據交換；嚴禁將私人具有存儲功能的介質和電子設備帶入要害部門、部位和涉密場所；涉密移動存儲介質只能在涉密場所使用，嚴禁借給外部使用。確因工作需要帶出辦公場所的，秘密級的經本部門主管領導批準，機密級以上的須經本單位主管領導批準后，信息安全員將對介質進行清空處理，確保介質內只存有與本次外出相關的涉密信息，采取嚴格的保密措施。歸還時，信息安全員還應執(zhí)行信息消除處理；涉密存儲介質保存必須選擇安全保密的場所和部位，并由專人保管、存放在保密密碼柜里；員工離開辦公場所時，必須將涉密存儲介質存放到保密設備里；對涉密介質需要維修時，應提出申請，有信息中心派專人進行現場維修，并有使用單位相關人員全程陪同，做好維修日志；存儲過國家秘密信息的存儲介質，不能降低密集使用，不再使用或損壞的涉密存儲介質辦理報廢審批手續(xù)，及時交信息中心進行確定，維修和銷毀由保密辦統(tǒng)一到國家保密局制定的地點進行銷毀，或采用符合保密要求的物理、化學方式徹底銷毀，銷毀應確保涉密信息無法還原；對涉密存儲介質要定期清查、核對，發(fā)現丟失要及時查處。4.2.5信息保密管理信息保密管理應從信息分類與控制、用戶管理與授權和信息系統(tǒng)安全互聯控制三個方面來進行分析。信息分類與控制：應根據國家相關法律、規(guī)定，確定系統(tǒng)中涉密信息的密級和保密期限，定期對其中含有的涉密信息的總量進行匯總，當系統(tǒng)中高等級涉密信息含量明顯增多時應考慮調整系統(tǒng)防護措施。系統(tǒng)中存在過的信息及其存儲介質應有相應的密級標識，電子文件密級標識應由信息主題不可分離，密級標識不可篡改。用戶標識與授權：應建立完整的系統(tǒng)用戶清單，新增或刪除用戶時應履行相應的手續(xù)。每個用戶應有唯一的身份標識，表示有系統(tǒng)管理員產生，有保密管理員定期檢查，如有異常及時向系統(tǒng)安全保密管理機構匯報。應有明確的最小授權分配策略，并將所有用戶的權限明細文檔化，應定期審查權限列表，如有異常及時向系統(tǒng)安全保密管理機構匯報。信息系統(tǒng)互聯：應注意不同密級信息系統(tǒng)之間以及涉密系統(tǒng)與非涉密系統(tǒng)之間的互聯互通。第五章方案總體設計安全保密建設目標XXX企業(yè)涉密信息系統(tǒng)安全保密建設的總體目標是：嚴格參照國家相關安全保密標準和法規(guī)，將XXX企業(yè)信息系統(tǒng)建設成符合國家相關法規(guī)和標準要求的涉密信息系統(tǒng)，使之能夠處理相對應密級的信息，為XXX企業(yè)信息化應用提供安全保密平臺，使其能夠安全地接入全國XXX機關涉密信息系統(tǒng)。具體建設目標如下：具有抵御敵對勢力有組織的大規(guī)模攻擊的能力；抵抗嚴重的自然災害的能力；建立統(tǒng)一的安全管理平臺，實現對全網設備的安全管理；確保合法用戶使用合法網絡資源，實現對用戶的認證和權限管理；防范計算機病毒和惡意代碼危害的能力；具有檢測、發(fā)現、報警、記錄入侵行為的能力；具有與各種應用系統(tǒng)相適應的業(yè)務安全保護機制，確保數據在存儲、傳輸過程中的完整性和敏感數據的機密性；具有對安全事件進行快速響應處置，并能夠追蹤安全責任的能力；在系統(tǒng)遭到損害后，具有能夠較快恢復正常運行狀態(tài)的能力；對于服務保障性要求高的系統(tǒng)，應能迅速恢復正常運行狀態(tài)；建立有效的安全管理機制，并與之配套的風險分析與安全評估機制、設備和人員管理制度、敏感信息管理制度、安全操作規(guī)程等。5.2設計原則與依據5.2.1設計原則根據安全保密建設目標，XXX機關涉密信息系統(tǒng)分級保護總體方案的設計應遵從“規(guī)范定密、準確定級，依據標準、同步建設，突出重點、確保核心，明確責任、加強監(jiān)督”的原則。同時，還應兼顧：分域分級防護：涉密信息系統(tǒng)應根據信息密級、行政級別等劃分不同的安全域并確定等級，按照相應等級的保護要求進行防護；技術和管理并重：涉密信息系統(tǒng)分級保護時應采取技術和管理相結合的、整體的安全保密措施；最小授權與分權管理：涉密信息系統(tǒng)內用戶的權限應配置為確保其完成工作所必需的最小授權，網絡中的帳號設置、服務配置、主機間信任關系配置等應該為網絡正常運行所需的最小授權，并使不同用戶的權限相互獨立、相互制約，避免出現權限過大的用戶或帳號。5.2.2設計依據1.法規(guī)和文件《中華XXX共和國保守國家秘密法》（1989年5月1日實施）《中華XXX共和國保守國家秘密法實施辦法》（1990年5月25日國家保密局令第1號發(fā)布）《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)［2003］27號）《關于信息安全等級保護工作的實施意見》（公通字［2004］66號）《中共中央保密委員會辦公室、國家保密局關于保密要害部門、部位保密管理規(guī)定》（中辦廳字［2005］1號）《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公信安〔2007〕861號）《涉及國家秘密的信息系統(tǒng)分級保護管理辦法》（國保發(fā)［2005］16號）《關于開展涉密信息系統(tǒng)分級保護工作的通知》（國保發(fā)［2006］9號）《涉及國家秘密的信息系統(tǒng)審批管理規(guī)定》（國保發(fā)［2007］18號）《涉及國家秘密的計算機信息系統(tǒng)集成資質管理辦法》（國保發(fā)［2005］）《信息安全等級保護管理辦法》（公通字［2007］43號）2.標準規(guī)范BMB17-2006《涉及國家秘密的信息系統(tǒng)分級保護技術要求》BMB18-2006《涉及國家秘密的信息系統(tǒng)工程監(jiān)理規(guī)范》BMB20-2007《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》BMB22-2007《涉及國家秘密的信息系統(tǒng)分級保護測評指南》BMB23-2008《涉及國家秘密的信息系統(tǒng)分級保護方案設計指南》5?3安全保密防護整體框架在建設本方案中，根據BMB17-2006和BMB20-2007的具體規(guī)定，在滿足物理隔離與違規(guī)外聯監(jiān)控、邊界防護與控制、密級標識與密碼保護、用戶身份鑒別與訪問控制、電磁泄漏發(fā)射防護、安全保密產品選擇、安全保密管理機構、安全保密管理制度和安全管理人員等基本測評項的基礎上，從物理安全、運行安全、信息安全保密、安全保密管理、產品選型與安全服務等方面，設計涉密信息系統(tǒng)的安全保密防護框架，如圖5-1示。圖5-1涉密信息系統(tǒng)安全保密防護框架第六章方案詳細設計6.1物理安全6.1.1環(huán)境安全重要涉密部位和機房選址XXX企業(yè)都具有獨立的辦公場所，重要涉密部位和機房均在辦公室內部，附近基本沒有境外駐華機構、境外人員駐地等涉外場所，并且整個辦公區(qū)采用封閉式管理。機房選址基本滿足GB9361-1988中的安全機房場地選擇要求。并對重要涉密部位在防竊聽、防竊照、防竊收、防實體入侵、防非授權進入等方面均有相關防護措施。各級XXX企業(yè)涉密信息系統(tǒng)里沒有無線技術與無線設備，所以其帶來的無線設備的信息泄漏問題不用考慮防護措施。1)機房建設對主機房及重要信息存儲部門來說：首先要保證中央地點的安全防范工作，如：對能夠進入機房及重要信息存儲部門的工作人員進行嚴格的控制；出入記錄；錄像監(jiān)控；窗戶加防護欄、門磁、紅外報警等。出入記錄可以采用目前先進的IC卡技術等來實現，具有做到實時記錄，方便查詢等優(yōu)點。另外門磁、紅外報警等作為安全技術防范的輔助手段加以使用，并在重要區(qū)域使用線路干擾等設備防止信號外泄。由于本次項目中將XXX企業(yè)劃分為不同的安全等級，所以在機房建設時應根據BM17要求，并在防火、防水、防震、電力、布線、配電、溫濕度、防雷、防靜電等方面達到GB9361中B類機房建設要求；機密級、秘密級應滿足GB50174.GB/T2887-2000的要求，并在防火、防水、防震、電力、布線、配電、溫濕度、防雷、防靜電等方面達到GB9361中B類機房建設要求。在各級XXX企業(yè)的機房內設置屏蔽機柜。在滿足GB50174.GB/T2887-2000要求的基礎上，在防火、防水、防震、電力、布線、配電、溫濕度、防雷、防靜電等方面達到GB9361-1988中機房建設要求。在機房所在的建筑物均配備有安全保衛(wèi)人員，實現人員進出審查和巡邏；機房選址遠離餐飲、旅游、賓館等人員復雜的公共場所；(3)機房的水、電、防雷、溫濕度等符合GB9361-1988中機房建設要求；核心機房采用屏蔽機柜設計，防范機房環(huán)境的電磁泄漏；機房均配備電子門控系統(tǒng)，進出機房人員均需要口令和門禁卡；各機房均配備了視頻監(jiān)控系統(tǒng)，實現6個月或者更長的錄像存儲；各機房的電子門控和視頻監(jiān)控系統(tǒng)均記錄日常的門禁日志和健康錄像，從而滿足了機密級的涉密要求；機房設計有紅外報警裝置；2)重點部位監(jiān)控和區(qū)域控制XXX企業(yè)保密要害部位包括領導及秘書辦公室、黨組會議室、檢委會會議室、機要室、機要機房、網絡中心機房、檔案室、文印室等。對這些重點部位采取安全措施如門控、報警等，對中心機房、設備間以及涉密用戶工作間的人員出入情況進行健康，并應配備敬畏人員加強涉密信息系統(tǒng)所處周邊環(huán)境邊界的安全控制。在這些重點部位部署有監(jiān)控、報警系統(tǒng)；在整個辦公場所配有視頻監(jiān)視和警衛(wèi)人員巡視；在各個樓宇的出入口有視頻監(jiān)控和警衛(wèi)人員登記檢查；在機房和重要涉密部門有視頻監(jiān)控、警衛(wèi)人員登記檢查和門禁控制。在主要涉密系統(tǒng)所在的建筑物均配備有安全保衛(wèi)人員，實現人員進出審查和巡邏；工作區(qū)周圍通過紅外報警和視頻監(jiān)控進行重點部位和區(qū)域進行健康。6.1.2設備安全1)門控措施中心機房、重要的設備間和其他保密要害部門，應采用有效的電子門控措施；使用的電子門控系統(tǒng)應能自動記錄出入日志。XXX企業(yè)涉密信息系統(tǒng)機房和其他保密要害部門設計部署有門控系統(tǒng)、攝像監(jiān)控系統(tǒng)和紅外報警系統(tǒng)。門控系統(tǒng)使用智能卡和口令相結合的身份鑒別方式，在機房中通過門控系統(tǒng)對進出機房的人員進行控制和審計，進出人員實行身份等級，對進出人員進行監(jiān)控。具體流程是日常工作中需要向機房管理部門進行申請，才允許進入機房，并在進出機房時進行登記。登記記錄長期保存，以備查詢。同時在機房中部署有攝像頭，對進出機房人員和行為進行了監(jiān)控。2)網絡、設備數據接口措施(1)網絡接口：對系統(tǒng)中網絡設備暫不使用的所有網絡連接口采用安全控制措施，防止被非授權使用；對系統(tǒng)中暫不使用的所有網絡連接口(包括用戶終端，服務器以及網絡設備多余接口)采用安全控制措施，防止被非授權使用。(2)設備數據接口：對系統(tǒng)中重要服務器和重要用戶終端的并口、串口、USB接口等數據接口以及光驅等設備采取安全控制措施，防止被非授權使用。XXX企業(yè)涉密信息系統(tǒng)核心交換機為可網管的網絡設備，通過在交換機上采用IP+MAC+端口及證書綁定，防止網絡連接口被非法使用。不用的端口均進行禁用設置;通過部署終端安全系統(tǒng)，對終端、服務器的各類接口和外設，如并口、串口、USB接口等數據接口以及光驅等設備，根據相關規(guī)定，進行嚴格控制。通過部署相關安全設備，防止高密級設備在低密級的涉密信息系統(tǒng)(或安全域)中使用。3)打印、顯示輸出設備及設備的標識、安放等安全措施設備的標識與安放：對系統(tǒng)內的所有設備根據其所出來信息的最高密級表明涉密屬性和主要用途，并按涉密屬性(非涉密，秘密級，機密級)進行分類安放。打印輸出設備：加強對打印機等系統(tǒng)輸出設備的安全控制，防止打印輸出結果被非授權查看和獲取。顯示輸出設備：在使用顯示器，投影儀等顯示設備輸出時，應采取相應措施(如不面對門窗擺放)，防止顯示輸出內容被非授權獲?。粚ο到y(tǒng)內用戶的顯示輸出設備采取相應的隔離防護措施，防止顯示輸出內容被非授權獲取。設備攜帶：攜帶處理過涉密信息的設備外出或者出境時，應按照有關保密規(guī)定采取保護措施，并辦理相關手續(xù)；應使設備始終處于攜帶人的有效控制之下，防止出現設備丟失，被盜或被非授權使用的情況。設備維修：現場維修時，應由有關人員進行全程陪同，需要帶離現場維修時，應拆除所有存儲過涉密信息的硬件和固件；存儲過涉密信息的硬件和固件應到具有涉密信息系統(tǒng)數據恢復資質的單位進行維修；應禁止在系統(tǒng)外對設備進行遠程維護和遠程監(jiān)控．并嚴格控制系統(tǒng)內的設備遠程維護和遠程監(jiān)控操作；應對所有維修情況進行日志記錄。設備報廢：不再使用或無法使用的設備應按照國家保密工作部門的相關規(guī)定及時進行報廢處理；存儲過涉密信息的硬件和固件應按相關的要求進行處理；應對所有報廢設備的最終去向進行記錄。對涉密設備按照其處理的最高密級以及用途進行統(tǒng)一標識，并對打印設備、顯示設備按相關要求制定嚴格制度，并進行管理和執(zhí)行。進一步完善和落實設備管理制度，對設備擺放、維修、報廢、攜帶、標識做出明確規(guī)定。6.1.3介質安全保障介質數據的安全及介質本身的安全，除了要求在軟磁盤、硬盤、光盤、磁帶等涉密介質上按照所存儲的最高密級標明密級，并按照相應密級進行管理以外，存儲過涉密信息的介質不能降低密級使用，不再使用的涉密介質必須及時銷毀，涉密介質的維修應保證所存儲的涉密信息部被泄露，最后打印輸出的涉密文件應按相應密級的文件進行管理。1.滿足“物理隔離”要求：存儲涉密信息的移動存儲介質，應在任何條件下，確保其處于物理隔離狀態(tài)，嚴禁插入與國際互聯網及公共信息網相聯的計算機，系統(tǒng)應具備發(fā)現接入互聯網行為并有效阻斷且設備停用，形成日志；禁止涉密信息從高密級流向低密級：按照等級保護的要求，存儲高密級信息的移動存儲介質不能再低密級安全域或信息系統(tǒng)中使用，嚴禁高密級信息流向低密級信息系統(tǒng)（安全域）；符合“涉密移動存儲介質的介入控制”要求：計算機終端和移動存儲介質形成不同的集合，按照保密的特殊要求，要確保相互可信。非可信的介質不能介入到特定的涉密計算機中，涉密移動存儲介質不允許接入到非可信的計算機及系統(tǒng)中，必須在計算機（系統(tǒng)）與介質之間實現穩(wěn)定、可靠的雙向認證；以技術手段實施涉密信息外帶審查，加強介質外帶管理：很多案例表明，隨意外帶是造成泄密的重要途徑，雖然保密工作部門依照國家相關規(guī)定制定了相應的規(guī)則制定，但僅僅依靠管理制度，涉密介質的外攜管理要求很難落實。涉密介質使用管理系統(tǒng)應從技術上確保，不經過相關部門批準，違規(guī)外帶介質無法使用；加強涉密移動存儲介質的生命周期管理：由制度部門對涉密移動存儲介質的采購、使用、外攜、維修、銷毀進行統(tǒng)一歸口管理，要求對涉密移動存儲介質進行定密、標識、登記和嚴格管理，杜絕不良、不明產品應用于涉密系統(tǒng)中；采用符合要求的專業(yè)移動存儲介質，提高介質自身的安全防護能力，由于普通移動介質的無法滿足涉密信息系統(tǒng)的特殊要求，應逐步淘汰或禁止使用，管理系統(tǒng)應采用具有身份鑒別、登陸控制、文件保護及滿足使用管理要求的專用介質。保障介質安全主要是依靠部署介質使用管理系統(tǒng)和相關規(guī)章制度配合來加以規(guī)避，同時還要嚴格監(jiān)管其執(zhí)行力度。首先在安全管理服務器上安裝介質授權管理中心，對存儲涉密信息的介質統(tǒng)一進行登記、發(fā)放、收回、注銷等管理。然后在各涉密計算機終端安裝終端控制程序，通過終端程序與介質的雙向認證保證介質的使用安全。另外在選擇涉密信息存儲介質方面盡量采用專用安全存儲介質，以保證自身的安全防御。6.2運行安全6.2.1備份與恢復備份與恢復是保障安全可靠的手段之一，也是保護數據安全的有力措施。當信息系統(tǒng)遭受破壞，只有事前有備份才能得到及時恢復。所以應制定文檔化的明確的信息備份與恢復策略；應制定能夠確保備份與恢復策略正確實施的規(guī)則制定；應定期對備份與恢復策略進行測試；以保證其有效性。應根據信息系統(tǒng)的數據價值以及系統(tǒng)故障對業(yè)務正常開展造成的影響進行相應的需求分析，確定系統(tǒng)的恢復目標，如關鍵業(yè)務功能，恢復的優(yōu)先順序，恢復的時間范圍等。XXX機關涉密信息系統(tǒng)主要數據、設備、電源等應有備份，備份系統(tǒng)具有在較短時間（12小時內）恢復系統(tǒng)運行的能力。1.數據備份和恢復對XXX企業(yè)涉密信息系統(tǒng)重要服務器上的涉密數據應定期進行備份;采用異地備份的方式對關鍵業(yè)務數據采取備份措施，備份措施能夠滿足本系統(tǒng)的應有要求；應考慮關鍵業(yè)務數據的物理環(huán)境威脅，將關鍵業(yè)務數據備份存儲介質放置在其他建筑內，防止在異常事故發(fā)生時被同事破壞。數據備份和恢復措施：XXX企業(yè)根據實際情況配備雙機熱備服務器，并在其上安裝漏洞掃描、內核加固、數據庫掃描系統(tǒng)，以加強備份數據的安全保護。安全備份策略：每三個月做應有數據的本地全備份；每天做應用數據的本地差異備份；每日的數據備份按一定備份策略執(zhí)行，保留一段時間的數據，過了該段時間后數據被覆寫，磁盤空間重新回收利用。所有備份作業(yè)都能自動進行，無須人為干預；通過計劃任務，在網上系統(tǒng)空閑時進行自動備份；每次生成的備份數據均在第二天上午傳送到備份服務器上；數據一旦遭到破壞，有能力在24小時內恢復；制定完整測試和演練的系統(tǒng)恢復預案，如關鍵業(yè)務功能，恢復的優(yōu)先順序，恢復的時間范圍；辦公軟件、辦案軟件等重要信息系統(tǒng)每年進行一次系統(tǒng)恢復演練，并根據演練結果對預案進行評審和修訂。2.關鍵設備備份和恢復XXX企業(yè)涉密信息系統(tǒng)，根據系統(tǒng)要求，對其中關鍵設備采用雙機熱備。關鍵設備的備份和恢復措施：XXX企業(yè)涉密信息系統(tǒng)中關鍵設備我們設計了如下備份措施：關鍵應用服務器等設備我們都采取了雙機熱備和安全狀態(tài)接入等方式。設備一旦遭到破壞，有能力在12小時內恢復。制定完整測試和演練的恢復預案，如核心交換機重啟、切換，應用服務器自動接管等。核心交換機等重要設備每年進行一次系統(tǒng)恢復演練，并根據演練結果對預案進行評審、修訂。3.電源備份在XXX企業(yè)涉密信息系統(tǒng)的電源應根據需要對于系統(tǒng)正常運行相關的設備采取電源備份；所使用的電源備份應滿足系統(tǒng)基本業(yè)務需求。XXX企業(yè)涉密信息系統(tǒng)采用雙路互備，UPS采用雙機頭實現主備切換，電池供電大于四小時；各單位機房均配置UPS滿足現有設備應用需求并有一定余量。能夠為信息系統(tǒng)核心層、匯聚層、重要接入層網絡設備，以及各樓的機房提供持續(xù)可靠的電源安全。6.2.2系統(tǒng)安全性保護系統(tǒng)安全性保護主要是利用計算機病毒與惡意代碼防護系統(tǒng)阻止計算機病毒與惡意代碼非法進入涉密信息系統(tǒng)。系統(tǒng)安全性保護包括軟件安裝安全性保護、設備接入安全性保護兩方面。首先針對這兩方面制定文檔化的、明確的計算機病毒與惡意代碼防護策略；制定能夠確保計算機病毒與惡意代碼防護策略正確的規(guī)章制度。在系統(tǒng)內的關鍵入口點以及各用戶終端、服務器和移動計算機設備上采用計算機病毒和惡意代碼防護措施。所采取的防護措施能夠防止計算機病毒或惡意代碼通過網絡，電子郵件及其附件和移動存儲介質等途徑進行傳播；加強存儲設備的接入管理，接入系統(tǒng)的存儲設備應經過計算機病毒和惡意代碼的檢查；系統(tǒng)內不得隨意安裝軟件、軟件安裝應經過系統(tǒng)使用單位的批準和備案，并進行計算機病毒和惡意代碼檢查處理。及時更新計算機病毒和惡意代碼的樣本庫，提高其防護能力；不得通過互聯網進行在線更新。防病毒軟件應具有以下功能：全面集中管理，管理員可通過管理員控制臺直接管理各種平臺的服務器端/客戶端；防殺病毒能力，通過引擎對Internet、Intranet、移動存儲介質傳播的Windows、蠕蟲等各種病毒，進行有效攔截和徹底查殺；全網查殺毒功能；直接監(jiān)視和操縱服務器端/客戶端功能；遠程報警功能；全面監(jiān)控郵件客戶端功能；包括中間機刻錄、光盤兩種升級方式。本方案通過部署網絡版防病墻來構建XXX企業(yè)涉密信息系統(tǒng)的網絡防病毒和惡意代碼系統(tǒng)，通過一個管控平臺來構建信息系統(tǒng)的防病毒和惡意代碼，另外提供多種升級方式，該方案貫徹了如下兩點整體防毒的基本設計思想：全方位、多層次防毒：防毒一定要實現全方位、多層次防毒。在總體建設方案中，我們設計了多層次病毒防線，分別在客戶端布置網絡版客戶端殺毒軟件；各種操作系統(tǒng)的應用服務器（Windows2003/2000）端布置服務器版殺毒軟件；以保證斬斷病毒可以傳播、寄生的每一個節(jié)點，實現病毒的全面防范。集中管理：沒有集中管理的防毒系統(tǒng)是無效的防毒系統(tǒng)。在網絡防病毒設計方案中，我們布置了防病毒監(jiān)控管理控制中心來管理整個防病毒系統(tǒng)，保證了整個防毒產品可以從管理系統(tǒng)中及時得到更新，同時又使得管理人員可以在任何時間、任何地點通過瀏覽器對整個防毒系統(tǒng)進行管理，使整個系統(tǒng)中任何一個節(jié)點都可以被管理人員隨時管理，保證整個防毒系統(tǒng)有效、及時地攔截病毒。網絡防病毒部署如下：1）客戶端：每個客戶端部署殺毒軟件網絡版；2）服務器：在windows服務器上部署殺毒軟件服務器版；3）病毒監(jiān)控管理控制中心：在網絡內選定的服務器上部署殺毒軟件網絡版管理中心。統(tǒng)一的防病毒策略是防病毒系統(tǒng)有效進行病毒防護的基礎，XXX機關網絡防病毒策略主要包括幾個方面：1）必須充分利用防毒軟件提供的實時檢測功能，啟用病毒實時防護。對所發(fā)現的病毒應首先采取清除病毒操作，若無法清除應將其隔離，避免病毒造成更進一步的危害。在策略制定上，還應對客戶端使用人員有所限制，不允許其修改各自計算機上的防病毒策略，以保持全網的統(tǒng)一。定期(每天)從防病毒軟件升級中心手動下載升級包。對管控平臺病毒庫采用離線升級手動升級。制定統(tǒng)一的防病毒策略，自動分發(fā)到網絡內所有計算機。2)便攜式電腦管理員每周一次對病毒庫更新。6.2.3應急響應安全應急響應主要是應對XXX企業(yè)涉密信息系統(tǒng)出現的突發(fā)安全事件，可以快速、可靠的采取應對措施，解決突然出現的安全事件。從而保證XXX企業(yè)涉密信息網絡的持續(xù)、正常的運行。為滿足對應急響應的要求和提高安全事件應急能力，在XXX企業(yè)分級保護過程中將從下面角度進行部署：建立XXX企業(yè)網絡安全策略和準備安全事件通告制度和格式；為突發(fā)事件的處理能取得院內相關領導的支持，例如部領導擔任應急小組組長；制定泄密事件處理方式；組建安全事件處理隊伍；制定一個緊急后備方案并進行演練；提供易實現的報告制度和規(guī)范；對安全應急隊伍成員進行培訓。應急響應流程設計：在發(fā)生安全事故時，當值人員將立即處理并記錄。情況嚴重時，必須盡快聯系網絡安全領導小組工程師取得技術支持，并報告信息化建設領導小組，組織技術力量按照下面步驟進行處理：1)識別事件在指定時間內組成安全事件處理小組去負責此事件；確定是否是真正意義上的事件；注意保護可追查的線索。2)縮小事件的影響范圍組織隊伍立即獲得事件相關信息；保持低調，不要驚動入侵者；檢查是否有潛在的惡意代碼，如特洛伊木馬；(4)備份系統(tǒng)；確定系統(tǒng)繼續(xù)運行的風險如何，決定是否關閉系統(tǒng)；相關安全事件處理工作人員與部門相關工作人員保持聯系、協商；改變系統(tǒng)密碼。根除事件影響確定事件的起因和癥狀；(2)增強防御；(3)進行漏洞分析；刪除事件的源頭；查找最近的干凈備份。4)恢復系統(tǒng)(1)修復系統(tǒng)；使系統(tǒng)正常；決定什么時候恢復操作；(4)監(jiān)控系統(tǒng)。5)生成報告(1)擬定一份事件記錄和跟蹤報告；(2)總結經驗和教訓。6)系統(tǒng)防護在本次安全故障排除后，立即著手制定安全措施，并根據故障報告和故障排除方案(屬應急所用)，制定安全故障解決方案(長遠考慮)。報主管領導審批，得到通過后立即著手實施，防止同類故障再次發(fā)生。6.2.4運行安全措施根據BMBl7的要求，涉密信息系統(tǒng)中的運行管理需要滿足如下的安全目標：加強系統(tǒng)配置的管理，系統(tǒng)配置或變更應經過相關網絡管理人員的認可或同意；對系統(tǒng)進行配置和變更的行為進行審計，并對變更后對系統(tǒng)所造成的影響進分析；應加強設備接入管理，控制違規(guī)接入設備對系統(tǒng)資源的訪問，并進行審計記錄。涉密信息系統(tǒng)應采取如下的安全措施實現安全保密要求：對系統(tǒng)配置或更改的管理，涉密信息系統(tǒng)中的網絡設備、服務器設備和安全保密設備都部署在網絡中心機房或者弱電間等要害部位，對這些部位都采取了嚴密的控制措施，確保只有授權的網絡管理人員能夠接觸到這些設備；同時對設備配置的變更都需要經過設備本身的認證，這些設備的口令設置均滿足安全保密要求；對系統(tǒng)配置或更改的審計，涉密信息系統(tǒng)中安全設備、網絡設備和服務器設備自身有審計的功能，能對配置變更等行為進行審計；設備接入管理，在交換機端口上綁定計算機終端的IP地址、MAC地址，進行綁定后，計算機終端聯網后登陸交換機首先驗證連接至該端口的主機的IP、MAC地址是否匹配，如果不匹配則禁止登陸斷開網絡連接。6.3信息安全保密6.3.1物理隔離根據國家相關規(guī)定，涉密信息系統(tǒng)必須與國際互聯網及其他非密網絡實現物理隔離。物理隔離包括網絡布線與其他通信線路、電源線的隔離、遠程傳輸線路與公共傳輸線路的隔離，以及涉密終端設備的非涉密設備的安全距離。涉密系統(tǒng)與國際互聯網徹底隔離，且涉密系統(tǒng)處于單獨的區(qū)域內，并采用屏蔽電纜進行布線，同時采用電磁干擾器，隔離插座進行電源泄露防護，采用涉密信息實施監(jiān)管系統(tǒng)進行違規(guī)外聯阻斷從而徹底消除涉密系統(tǒng)的聯網隱患?？蛻舳诉h程監(jiān)控：可以遠程監(jiān)控客戶端的所有進程并強制結束各種可疑或非法進程；可對執(zhí)行各種非法操作的客戶端執(zhí)行強制注銷、重起、關機等操作；策略下發(fā)：客戶端信任IP和IP段添加刪除。進行分組管理，服務器信任IP和IP段添加刪除；監(jiān)測非法外聯：可以監(jiān)視并識別所有被控主機的網絡連接狀態(tài)，包括使用何種協議、本地和遠程IP、本地和遠程端口，并判斷哪些主機正在撥號；檢測使用雙/多網卡聯通內外網，從而破壞內外網隔離的違規(guī)行為；對拔掉內網網線或禁用本地網卡等進行非法外聯的主機能報告其客戶端ID號從而準確鎖定非法外聯主機，在單機環(huán)境下也能實現阻斷并報警；實時監(jiān)視普通電話線、ISDN、ADSL等方式的撥號上網；檢測通過WLAN、GPRS或CDMA1X等無線方式非法上網的行為；對非法外聯的主機按照預定的策略實施阻斷；具有強大的日志查詢功能，對受控主機的各種狀態(tài)實時報警，在報警控制中心做詳細的顯示和統(tǒng)計分析；拒絕非法機接入：內網中拒絕外來主機非法接入，系統(tǒng)運用用戶信息和主機信息匹配方式實時檢測接入主機的合法性；拒絕篡改IP地址、盜用IP地址等不法行為。IP和MAC綁定，及時阻止IP地址的篡改和盜用行為;阻斷涉密移動存儲介質的違規(guī)外聯行為。網絡布線與其他通信線路：XXX企業(yè)涉密信息系統(tǒng)采用線路傳導干擾器來保證線路傳輸過程中的安全。另外在省、地市、區(qū)縣院進行數據傳輸時采用光纖作為傳輸介質，并在兩端設置加密設備，保證數據傳輸安全。在電源方面：XXX企業(yè)涉密信息系統(tǒng)采用紅黑電源隔離保護插座。在終端防護方面：XXX企業(yè)采用涉密計算機違規(guī)外聯預警系統(tǒng)（詳見產品說明）。涉密計算機違規(guī)外聯預警系統(tǒng)安裝在專門的服務器及客戶端中，起到監(jiān)控網絡非法接入與外聯行為的作用。違規(guī)外聯系統(tǒng)具體部署如下：在涉密網絡中所有的用戶終端安裝部署智能客戶端程序，實現對終端主機的實時監(jiān)控。在安全管理域配置一臺服務器安裝違規(guī)外聯系統(tǒng)內網監(jiān)測控制中心，內網監(jiān)控管理中心對所有客戶端進行集中管理，并進行策略配置和統(tǒng)一管理。在具有公網IP的服務器上配置安裝違規(guī)外聯系統(tǒng)外網管理軟件作為外網報警管理中心，外網報警管理中心對所有客戶端的違規(guī)外聯行為進行集中報警管理。制定完善有效的違規(guī)外聯安全策略，從涉密網絡的現狀和安全需求出發(fā)，對終端的關鍵數據和應用加以有力的監(jiān)控和保護。6.3.2密級標識根據國家有關主管部門對信息系統(tǒng)定密的規(guī)定，按照紙質、光盤、磁介質、電子等不同信息存儲載體進行密級標識：并保證密級標識應與信息不可分離，其自身不可篡改。紙質涉密信息要求封面印有相對應的密級標識，并保管于保密柜中；光盤、磁介質等涉密信息要求包裝上印有“涉密”字樣，并保管于保密柜中；在涉密信息系統(tǒng)中的涉密資料采用技術手段進行標識。紙質涉密信息封面印有相對應的密級標識，并保管于保密柜中；光盤、磁介質等涉密信息包裝上印有“涉密”字樣，并保管于保密柜中；涉密信息的閱讀、借取作嚴格登記。對涉密信息系統(tǒng)中涉密信息的標識，：XXX企業(yè)通過密級標識管理系統(tǒng)（詳見產品說明）來確定密級，并保證密級標識與文件的不可分離性。同時配套文檔管理系統(tǒng)（詳見產品說明）保證涉密文件的安全加解密和訪問權限控制。6.3.3身份鑒別身份鑒別在整個信息系統(tǒng)中處于基礎的、關鍵的地位。信息安全最基本、最關鍵的保護就是要從身份認證入手來提高和控制整個系統(tǒng)的安全。BMBl7．2006保密標準要求：(1)應制定文檔化的明確身份鑒別策略；應制定能夠確保身份鑒別策略正確實施的規(guī)章制度；(2)應對信息系統(tǒng)中涉密的服務器、用戶終端以及應用程序的本地登錄和遠程登錄進行用戶身份鑒別；(3)用戶身份標識符應由系統(tǒng)管理員統(tǒng)一生成，并確保身份標識符在此系統(tǒng)生命周期中的唯一性；應對系統(tǒng)內的身份標識符加強管理、維護，確保身份標識符列表不被非授權地訪問、修改或刪除；用戶標識符應與安全審計相關聯，保證系統(tǒng)內安全事件的可核查性；(4)采用口令或其它有效方式進行身份鑒別。其中采用口令方式要求口令設置應滿足：口令長度不少于八位；采用組成復雜、不易猜測的口令，一般應是大小寫英文字母、數字和特殊字符中兩者以上的組合；定期更換口令，更換周期不得長于一個月；采用措施保證口令存儲和傳輸的安全；(5)當用戶身份鑒別嘗試失敗次數達到五次后，應采取以下措施：對于本地登錄，進行登錄鎖定，同時形成審計事件并告警；對于遠程登錄(如域登錄、網絡數據庫登錄等)，對該用戶進行鎖定，并且只能由安全保密管理員恢復，同時形成審計事件并告警；對于應用程序，禁止使用該程序或延長一定時間后再允許嘗試，同時形成審計事件并告警；(6)應采用技術手段對可移動設備的接入進行鑒別，控制可移動設備的非授權接入。身份鑒別措施要求：按照秘密級要求防護的單位應根據上述安全保密標準要求，可以采用口令字認證方式。要求口令長度至少達到八位字符，口令組成應是大小寫字母、數字和特殊字符中兩者以上的組合，口令更換周期不得長于一個月，對于多次身份鑒別失敗(5次)進行登錄鎖定并告警。有條件的單位也可以選擇智能卡或USBKey與口令相結合的認證方式。本方案采用信任體系和終端安全防護系統(tǒng)保障XXX企業(yè)涉密信息系統(tǒng)的身份鑒別要求。信任體系的建設，主要是基于PKI/CA體系構建認證體系，是整個涉密信息系統(tǒng)建設的基本保障。終端防護系統(tǒng)建設，根據BMBl7相關技術要求，涉密終端登錄也要求進行的強身份認證，因此，需要建設終端安全防護系統(tǒng)，以提供各級XXX企業(yè)涉密終端基于安全內核的硬件介質與證書認證結合的強身份認證機制，有效保證終端安全。同時BMBI7相關技術要求，涉密筆記本(BMBI7—2006中可歸屬于“可移動設備”)也要求具備強身份認證、安全審計等安全機制，這里也可以采用終端安全防護系統(tǒng)來加強涉密筆記本的安全機制。1.信任體系對用戶身份鑒別提出了明確要求，提出“涉密服務器、用戶終端以及應用程序的本地登錄和遠程登錄進行身份鑒別”，又提出“用戶身份標識符應由系統(tǒng)管理員統(tǒng)一生成”。從上面兩點可得出在各級XXX企業(yè)涉密信息系統(tǒng)中要部署統(tǒng)一的身份認證及訪問控制系統(tǒng)，通過密碼技術、基于角色的訪問控制技術來建立與應用系統(tǒng)結合的身份認證、授權訪問和安全審計機制，實現對：各級XXX企業(yè)涉密信息系統(tǒng)的身份認證細粒度訪問控制的安全要求。XXX企業(yè)涉密網內所有的服務器、用戶終端以及應用程序均需要進行用戶身份鑒別，所有的USBKEY均由省高檢院統(tǒng)一分發(fā)。6.3.4訪問控制訪問控制建設目標是根據BMBl7的要求制定的，應滿足如下要求：對涉密信息系統(tǒng)中涉密數據的訪問采用強制的訪問控制策略；對涉密信息和重要信息的訪問控制粒度，主體控制到單個用戶，客體控制到信息類別；對機密級、秘密級、內部工作域及其子域都要做到細粒度控制，包括一個安全子域內的兩臺終端進行訪問和數據交換。不允許出現非授權的訪問行為，不允許高密級向低密級流動等；對輸出(打印、拷貝、屏幕截取等)操作采取技術措施進行嚴格的控制。在XXX企業(yè)涉密信息系統(tǒng)中按照處理信息密級、行政級別以及功能區(qū)為依據劃分為三個安全區(qū)域?？梢钥闯鲇捎谠赬XX企業(yè)涉密信息系中不同安全區(qū)域的安全要求、安全等級各不相同，如果讓不同安全等級的安全區(qū)域進行直接訪問，將會帶來安全隱患，并且由于對子網間的訪問沒有控制，還會導致非授權訪問、資源的濫用。因此需要在XXX企業(yè)的不同子網間配置訪問控制措施，審核兩個安全區(qū)域間的訪問請求，從而實現子網間的安全隔離。在網絡隔離和訪問控制措施中，我們要采用基于防火墻、身份集中認證系統(tǒng)和交換機的訪問控制手段來解決。其中交換機上可通過ACL、VLAN、MAC與端口、證書綁定來實現，具體說明如下：在核心服務器核心安全域與其它區(qū)域的線路上利用防火墻雙機進行隔離。該防火墻將服務器區(qū)、安全管理區(qū)、用戶終端區(qū)進行安全隔離和進行訪問控制。服務器區(qū)和存儲備份區(qū)通過交換機上的AC、VLAN等安全措施進行安全隔離和進行訪問控制。服務器區(qū)的各個應用服務器等通過交換機上的ACL、VLAN等安全措施進行安全隔離和進行訪問控制。安全管理區(qū)劃分兩個安全子網將安管服務器和安管終端，通過交換機上的ACI、VLAN等安全措施進行安全隔離和進行訪問控制。用戶終端根據用戶使用情況將各部門根據其安全域劃分為各自獨立的子網，并通過交換機上的安全措施進行安全隔離和控制。防范用戶繞過網關直接訪問應用服務器。通過核心防火墻設置原地址與目標地址的訪問控制規(guī)則。允許用戶唯一訪問認證網關的地址，禁止訪問其它任何內部安全區(qū)域的地址。建立應用系統(tǒng)與認證網關的私有認證規(guī)則(用戶證書與應用系統(tǒng)口令的對照表)，而這種規(guī)則對用戶是不公開的。涉密項目的應用訪問控制：在認證網關處對業(yè)務應用系統(tǒng)設定涉密入口。當業(yè)務應用系統(tǒng)創(chuàng)建新的設定涉密項目時，同時產生項目組成員名單，即涉密人員名單。將涉密人員名單添加到認證網關涉密入口白名單中。涉密人員登陸業(yè)務應用系統(tǒng)時只有通過涉密入口才能登陸系統(tǒng)。身份認證原理目前，由于應用系統(tǒng)在省、市進行部署，在不增加市、區(qū)縣密碼設備的前提下，為了保證該軟件系統(tǒng)能夠持續(xù)穩(wěn)定運行，需要采用在線認證和離線認證相結合的證書認證方式。在線認證方式是指在各市與省網絡暢通的情況下，應用系統(tǒng)通過認證服務接口到省檢院的LDAP/OCSP證書發(fā)布驗證服務器上進行證書的在線驗證，從發(fā)布驗證服務器上獲取驗證結果。離線認證主要是采用解析證書撤銷列表(CRL)的方式進行證書驗證。身份證書管理系統(tǒng)會定期以文件方式簽發(fā)CRL，該CRL可以應用服務器通過工具定時下載，或者在出現網絡故障時，通過定時手工拷貝的方式，存入到應用服務器的硬盤上。當需要進行用戶身份認證時，應用系統(tǒng)能夠通過認證服務接口對事先存儲在本地的CRL進行解析，從中獲取無效的證書標識，并與將要驗證的證書進行比較，得到證書有效性的驗證結果。目前各XXX企業(yè)網絡通過XXX專網進行連接，由于在線認證方式在每次用戶登錄時，應用服務器都需要與市檢院的LDAP/OCSP證書發(fā)布驗證服務器進行通信，若網絡出現中斷，會造成用戶無法正常登錄應用系統(tǒng)。為保障用戶能夠正常的登錄應用系統(tǒng)，并保障登錄過程的安全可靠，本方案采用在線認證與離線認證相結合的方式。對于系統(tǒng)安全性、用戶時效性要求高的應用系統(tǒng)采用在線認證的方式，而對于其他應用系統(tǒng)采用離線認證的方式。用戶的身份認證XXX機關信息發(fā)布、辦案、辦公系統(tǒng)的用戶在得到證書載體USBKey后，將USBKey插入已經安裝了客戶端安全軟件的終端上，身份認證流程如下圖所示：身偽證林圖6-1檢院院應用系統(tǒng)身份統(tǒng)一認證流程圖1用戶在得到證書載體USBKey后，將USBKey插入已經裝好客戶端安全軟件的終端上；2終端用戶輸入URL地址請求登錄應用系統(tǒng)；3網頁調用安全控件接口OpenDevice打開客戶端證書載體，調用接口ClientHello構造登錄請求；注：如果用戶終端的證書載體未進行過口令驗證，則應用系統(tǒng)向用戶顯示身份認證網頁，要求用戶輸入終端證書載體的保護口令，否則跳過該步驟；4應用系統(tǒng)調用服務端安全接口ServerHello構造請求應答并通過該頁面向用戶發(fā)送隨機的認證參數；5客戶端調用客戶端安全接口Veil母Pin驗證口令；6客戶端調用接口ClientAuth構造認證消息包回送到應用系統(tǒng)服務端；7應用系統(tǒng)調用服務端安全接口ServerAuth通過身份證書管理系統(tǒng)對用戶的證書進行有效性驗證；8認證結果返回到應用系統(tǒng)；如果認證成功，客戶端允許進入系統(tǒng)；如果失敗，應用系統(tǒng)顯示認證失敗網頁并通知用戶。用戶信息同步的實現XXX企業(yè)用戶信息與身份證書管理分中心用戶信息的同步是通過用戶證書注冊來實現的，流程如下：在XXX企業(yè)身份證書管理分中心寫入用戶證書并制作完成的USBKey將首先發(fā)放到用戶所屬的市院、分院、區(qū)縣院應用系統(tǒng)管理員手中。系統(tǒng)管理員將通過應用系統(tǒng)管理工具，對每個新增的用戶進行證書的注冊，以實現應用系統(tǒng)用