计算机信息系统分级保护实施方案
高校信息系统安全等级保护系统实施方案
身份认证技术
定义
身份认证技术是高校信息系统安 全等级保护系统中的关键技术之 一,用于验证用户身份的有效性
和合法性。
作用
身份认证技术能够防止非法用户 访问高校信息系统,保护信息的
安全和机密性。
实现方式
身份认证技术可以通过多种方式 实现,如用户名密码、动态口令、
生物识别等。
安全审计技术
01
定义与功能
信息系统安全等级 保护的定义
信息系统安全等级保护
根据信息系统的重要性,对信息系统实施不同级别的保护,确保信息系统的安全稳定运行。
高校信息系统安全等级保护的重要性
高校信息系统安全等级保护系统能 够有效地保护高校的信息安全,防 止信息泄露和被攻击。
实施高校信息系统安全等级保护系 统可以促进高校信息化水平的提高, 提升高校的综合实力。
进行风险评估
对高校信息系统进行 全面的风险评估,识 别出系统面临的各种 安全威胁和漏洞,为 制定相应的安全措施 提供依据。
安全策略制定与技术方案设计
安全策略制定 01
根据高校信息系统的特点和安全需求,制 定相应的安全策略,包括数据保密、完整 性和可用性等。
技术方案设计 02
根据安全策略,设计相应的技术方案,包 括物理安全、网络安全、应用安全等方面 的技术措施。
等级测评与持续改进
01
02
等级测评
高校信息系统安全等级保护系统 实施步骤中,等级测评是必不可 少的一环,通过专业机构进行测 评,确保系统符合国家相关标准。
持续改进
在高校信息系统安全等级保护系 统实施过程中,需要不断进行改 进和完善,以应对不断变化的网
络威胁和攻击。
03
高校信息系统安全等级 保护系统关键技术
2023-信息系统等级保护优化规划建设方案V2-1
信息系统等级保护优化规划建设方案V2信息安全是当今世界普遍关心的话题,无论是在政府、企业还是个人的层面,信息安全都是至关重要的。
信息安全的保障离不开信息系统等级保护。
因此,信息系统等级保护优化规划建设方案V2成为了当前信息保障的重要一环,下面将分步骤阐述。
第一步,明确信息系统等级保护优化规划建设方案的目标和意义。
该方案旨在通过科学有效的手段,提高我国信息系统等级保护能力,加强信息安全防范和应对能力,保障国家安全和社会稳定,提高信息经济和信息社会发展水平。
第二步,确定信息系统等级保护的等级标准,该标准以信息系统对所保存的信息的重要程度、保密性需求、可用性需求和完整性要求划分等级。
等级分为5个等级,从一级到五级,等级越高,安全要求越高。
第三步,对每个等级的信息系统确定对应的保护要求。
以一级信息系统为例,要保障网络安全、主机安全、数据安全、应用层安全等多个方面,机房、防火墙、入侵检测系统、加密技术等都要有相应的准备和保护方案。
对于其它等级的信息系统同理。
第四步,制定信息系统等级保护评估方法。
根据等级标准和保护要求,评估信息系统的安全性和风险等级,对系统所存在的问题和漏洞提出改进方案。
评估结果需得到专业机构认证。
第五步,制定相应的法律和标准,规范信息系统等级保护工作。
完善相关法律法规,明确信息安全保障的责任和义务,对相关犯罪行为进行处罚。
同时以此为基础制定标准和规范,明确信息保障的要求和流程,确保不同信息系统保障的协同。
总之,信息系统等级保护优化规划建设方案V2是国家信息安全保障的重要一环,旨在提高我国信息安保水平,保障国家安全和社会稳定,推动信息经济和信息社会的发展,更好地服务人民群众。
2023年信息安全等级保护工作实施方案
2023年信息安全等级保护工作实施方案一、背景介绍信息安全是现代社会发展的重要组成部分,随着各类网络技术的快速发展和广泛应用,信息安全问题越来越突出。
面对日益复杂的网络安全威胁,保护信息安全已成为重要任务。
为了加强信息安全等级保护工作,制定2023年信息安全等级保护工作实施方案。
二、目标和原则1. 目标:提升信息安全等级保护水平,确保信息安全。
2. 原则:(1)科学性原则:以科技创新为原动力,推动信息安全技术的发展和应用。
(2)全面性原则:全方位、全过程地保护信息安全。
(3)依法原则:依法规范信息安全管理活动。
(4)可持续性原则:建立长效机制,保持信息安全等级保护工作稳定。
三、主要任务1. 完善信息安全等级保护体系(1)健全信息安全等级保护标准体系,制定适用于不同行业和领域的信息安全等级保护标准。
(2)建立完善的信息安全等级测评体系,确保等级测评结果准确可靠。
(3)推动信息安全等级保护认证体系建设,加强对信息安全等级保护认证机构的管理和监督。
2. 加强信息安全风险评估和管控(1)加强对信息系统的安全评估,及时发现和解决安全风险。
(2)建立健全信息安全事件管理机制,提升应急处置能力。
(3)加强对关键信息基础设施的安全保护,防范潜在的网络攻击和破坏。
3. 提升信息安全技术保障能力(1)加强信息安全技术研发和创新,提高自主可控能力。
(2)加强信息安全技术的推广和应用,提升整体信息安全水平。
(3)加强人才队伍建设,培养专业的信息安全人才。
4. 加强信息安全法规制度建设(1)健全信息安全法规制度体系,制定和完善与信息安全等级保护相关的法律法规。
(2)加强对信息安全法规制度的宣传和培训,提高信息安全意识和法制观念。
(3)严格信息安全监管,加大对违法违规行为的惩处力度。
四、工作计划1. 2023年第一季度(1)完善信息安全等级保护标准体系,推进信息安全等级测评工作。
(2)加强信息安全风险评估和应急处置能力建设。
信息安全等级保护实施方案
信息安全等级保护实施方案根据国家相关法律法规和政策要求,结合公司实际情况,为保障信息系统和重要信息资产的安全,提出以下信息安全等级保护实施方案:一、信息安全等级保护的基本原则1. 可追溯性原则:所有信息系统的访问和操作行为都应该被记录并可追溯。
2. 有权限访问原则:对不同信息系统中的重要信息资产,应该设定不同的访问权限。
3. 安全传输原则:对于重要的信息传输,应该采用加密等安全技术,保障传输过程的安全。
4. 安全审计原则:对信息系统进行定期的安全审计,发现和解决安全问题。
二、信息安全等级保护的实施步骤1. 划分信息安全等级:对公司的信息资产进行调查和评估,划分出不同的安全等级,确定不同等级的保护要求。
2. 制定安全策略:根据不同等级的保护要求,制定信息安全相关的策略和规定,包括权限管理、加密传输、安全审计等。
3. 技术保障措施:对信息系统进行技术加固,包括设立防火墙、入侵检测系统、安全补丁等。
4. 培训和教育:对公司员工进行信息安全教育,提高员工的信息安全意识,减少安全漏洞产生的可能。
三、信息安全等级保护的监督管理1. 设立信息安全管理部门:专门负责信息安全管理的部门,负责信息安全等级保护的制定和执行。
2. 分级管理:根据信息安全等级的要求,对各个部门的信息系统进行分级管理,并进行监督检查。
3. 安全事件处理:对于发生的安全事件,及时进行处理,并进行安全事件的分析和总结,防止类似事件再次发生。
以上就是信息安全等级保护的实施方案,希望能够有效保障公司的信息资产安全。
信息安全等级保护是任何企业都需要高度重视的重要工作。
通过制定严格的保护措施和实施方案,可以有效地防范各类安全风险,保护企业的核心机密信息不被泄露、篡改或丢失。
在实施方案中,重要的是要明确责任分工,确保每个环节都得到有效的监管和跟踪。
首先,在信息安全等级保护的实施过程中,需要建立健全的安全管理体系,明确各级管理人员的安全责任,确保安全政策得到全面贯彻执行。
信息安全等级保护安全建设方案制定与实施
信息安全等级保护安全建设方案制定与实施1. 引言随着信息化程度的加深和互联网的普及,信息安全问题变得越来越重要。
信息安全等级保护是一种系统化的保护信息安全的方法和措施,通过对信息系统进行等级划分和安全评估,确定相应的保护措施和要求,以确保信息系统的安全性和可靠性。
本文将介绍信息安全等级保护的安全建设方案制定与实施的方法和步骤。
2. 信息安全等级划分信息安全等级划分是确定信息系统安全保护要求的基础,根据信息系统的重要性、敏感性、风险等级和保护需求,将信息系统划分为不同的安全等级。
常用的信息安全等级划分方法有四级和五级制度。
通过对信息系统进行风险评估和威胁分析,确定信息系统所属的安全等级,从而为制定相应的安全建设方案提供依据。
3. 安全建设方案制定安全建设方案是指根据信息安全等级划分的结果,结合信息系统的实际情况和保护需求,设计和规划信息安全保护的措施和方法。
安全建设方案制定的主要步骤包括:3.1 确定安全目标和要求根据信息系统的安全等级和保护需求,确定信息安全的目标和要求。
安全目标应该明确、可量化,并且与信息系统的功能和业务需求相一致。
安全要求应该覆盖机构安全政策、技术标准和法律法规等方面的要求。
3.2 评估现有安全状况评估现有的信息安全状况,包括已实施的安全措施和存在的安全风险。
通过对现有安全策略、安全技术和安全管理制度的评估,确定已有的安全措施的合理性和有效性,并找出需要改进和增强的方面。
3.3 制定具体的安全措施根据安全目标和要求,制定具体的安全措施和方法。
安全措施应该包括技术措施和管理措施两个方面。
技术措施包括网络安全防护、加密通信、访问控制等技术手段的应用。
管理措施包括人员培训、安全制度和流程、安全审计等管理手段的建立和执行。
3.4 制定实施计划和时间表制定实施计划和时间表,明确安全建设方案的实施步骤和时间节点。
实施计划应该综合考虑资源投入、业务需求和安全风险,并合理分配实施的优先级和时序。
信息系统安全三级等保建设方案 (3)
信息系统安全三级等保建设方案1. 引言信息系统安全是企业发展和运营的重要保障,随着信息技术的不断发展,信息系统面临越来越多的安全威胁和风险。
为了确保企业的信息系统安全和业务的持续稳定运行,需要进行信息系统安全三级等保建设。
本文档旨在提供一个详细的建设方案,帮助企业规范信息系统安全管理,提升信息系统的安全性能。
2. 三级等保标准概述三级等保标准是针对信息系统安全而制定的国家标准,具体分为三个级别:一级等保、二级等保和三级等保。
每个等级都有相应的安全要求、管理措施和评估指标。
建设一个符合三级等保标准的信息系统需要以下几个方面的工作:1.信息系统的安全基础工作:包括安全方针与目标的确定、安全机构建设、安全资源配置等。
2.信息系统的安全管理与运维:包括安全运维管理、风险评估与控制、安全事件响应等。
3.信息系统的安全技术保障:包括网络安全、数据安全、应用安全等技术措施。
3. 建设方案3.1 信息系统的安全基础工作在进行信息系统的安全建设之前,需要确定安全方针与目标,并建立一个安全管理机构。
安全方针与目标应与企业的发展战略和业务需求相一致,确保信息系统安全与企业发展的有机结合。
安全管理机构应由专业的安全团队负责,负责监督和执行信息系统的安全管理工作。
此外,还需要合理配置安全资源,包括物理设备、人员和资金。
安全资源的配置应根据风险评估和安全需求进行,确保足够的安全力量和经费支持建设。
3.2 信息系统的安全管理与运维信息系统的安全管理与运维是保障信息系统安全的基础,包括以下几个方面的内容:3.2.1 安全运维管理安全运维管理包括安全策略与规范制定、安全漏洞扫描与修复、日志分析与管理等。
其中,安全策略与规范的制定是基础,应根据具体的业务需求和三级等保标准制定相应的要求。
安全漏洞扫描与修复是确保系统安全的重要环节,应定期对系统进行漏洞扫描,并及时修复漏洞。
日志分析与管理可以帮助发现异常行为和安全事件,及时做出相应的响应措施。
信息安全等级保护实施方案
以我给的标题写文档,最低1503字,要求以Markdown文本格式输出,不要带图片,标题为:信息安全等级保护实施方案# 信息安全等级保护实施方案## 1. 简介信息安全等级保护是指根据信息系统存在的风险和威胁,以及信息系统中保存、处理、传输的信息的重要程度,采取一系列技术措施和管理措施,保障信息系统的安全性、完整性和可用性。
本文档旨在制定信息安全等级保护实施方案,以保障组织的信息系统安全。
## 2. 背景随着信息技术的迅猛发展,信息安全面临越来越多的威胁和风险。
信息泄露、数据丢失、系统瘫痪等问题对组织的业务运营和声誉造成重大影响。
因此,建立信息安全等级保护体系,成为组织确保信息系统安全的关键。
## 3. 目标本方案旨在确保信息系统的安全性和可用性,保护信息资产,防止信息泄露、篡改和破坏,降低信息系统遭受威胁和风险的可能性。
通过制定相应的技术和管理措施,使得信息系统能够有效应对各种威胁,并保持高水平的安全防护。
## 4. 信息安全等级划分根据信息的重要性和敏感程度,将信息分为不同等级,以便采取针对性的安全保护措施。
一般情况下,信息安全等级划分包括以下几个等级:- 高级别:对组织的运营和战略有重大影响的关键信息。
泄露或遭受破坏将会造成严重的损失和后果。
- 中级别:对组织运营有一定影响的重要信息。
泄露或遭受破坏将会对组织造成一定的损失和后果。
- 低级别:对组织运营影响较小的一般信息。
泄露或遭受破坏的损失和后果相对较小。
## 5. 实施方案### 5.1 资产分类与分级根据信息安全等级划分,对信息系统中的各类资产进行分类和分级。
考虑以下因素:- 信息的重要性和敏感程度;- 信息系统对业务运营的影响程度;- 信息的传输和处理风险;- 泄露或破坏后果的严重程度等。
### 5.2 安全需求分析针对不同等级的资产和信息,进行安全需求分析。
根据资产分类和分级结果,确定不同等级资产的安全要求,包括但不限于以下方面:- 访问控制:确保只有授权人员能够访问和处理信息;- 数据加密:对敏感信息进行加密保护,防止泄露和篡改;- 安全审计:记录和审计信息系统的使用情况,及时发现异常行为和安全事件;- 网络防护:采取防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)等技术手段,保护信息系统免受外部威胁。
等级保护实施方案
等级保护实施方案1. 简介等级保护是信息安全管理体系中的一种重要措施,旨在根据信息的重要程度和敏感性确定合适的安全等级保护措施。
等级保护实施方案旨在为组织提供明确的指导,确保信息系统得到适当的保护。
2. 等级保护的定义等级保护是根据信息对组织的价值和敏感程度进行评估,确定信息系统的安全等级,并设计合适的安全措施保护信息系统。
等级保护将信息系统划分为不同的等级,并为每个等级规定相应的安全要求和措施。
3. 等级划分及安全等级保护要求3.1 等级划分根据等级保护的要求,信息系统可以划分为以下几个等级:•一级保护:最高的安全等级,适用于包含最敏感和价值最高信息的系统。
•二级保护:适用于重要的敏感信息系统。
•三级保护:适用于一般敏感信息的系统。
•四级保护:适用于一般信息系统。
•五级保护:适用于非敏感信息的系统。
3.2 安全等级保护要求根据等级划分,不同等级的信息系统有不同的安全等级保护要求,具体如下:3.2.1 一级保护要求•安全评估与风险管理:进行定期的安全评估和风险管理,确保系统的风险得到有效控制。
•访问控制:采用严格的访问控制机制,限制对系统的访问。
•数据加密:对存储和传输的敏感数据进行加密保护。
•日志监控:对系统进行全面的日志监控,及时发现和响应安全事件。
•应急响应:建立健全的应急响应机制,能够及时、有效地应对安全事件。
3.2.2 二级保护要求•安全评估与风险管理:进行定期的安全评估和风险管理,确保系统的风险得到有效控制。
•访问控制:采用适度的访问控制机制,限制对系统的访问。
•数据加密:对存储和传输的敏感数据进行加密保护。
•日志监控:对系统进行部分的日志监控,及时发现和响应安全事件。
•应急响应:建立应急响应机制,能够及时地应对安全事件。
3.2.3 三级保护要求•安全评估与风险管理:进行定期的安全评估和风险管理,确保系统的风险得到有效控制。
•访问控制:采用适度的访问控制机制,限制对系统的访问。
•数据加密:对传输的敏感数据进行加密保护。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
方案1系统总体部署(1)涉密信息系统的组网模式为:服务器区、安全管理区、终端区共同连接至核心交换机上,组成类似于星型结构的网络模式,参照TCP/IP网络模型建立。
核心交换机上配置三层网关并划分Vlan,在服务器安全访问控制中间件以及防火墙上启用桥接模式,核心交换机、服务器安全访问控制中间件以及防火墙上设置安全访问控制策略(ACL),禁止部门间Vlan互访,允许部门Vlan与服务器Vlan通信。
核心交换机镜像数据至入侵检测系统以及网络安全审计系统;服务器区包含原有应用系统;安全管理区包含网络防病毒系统、主机监控与审计系统、windows域控及WSUS补丁分发系统、身份认证系统;终端区分包含所有业务部门。
服务器安全访问控制中间件防护的应用系统有:XXX系统、XXX系统、XXX 系统、XXX系统以及XXX系统、。
防火墙防护的应用系统有:XXX、XXX系统、XXX系统、XXX系统以及XXX系统。
(2)邮件系统的作用是:进行信息的驻留转发,实现点到点的非实时通信。
完成集团内部的公文流转以及协同工作。
使用25、110端口,使用SMTP协议以及POP3协议,内网终端使用C/S模式登录邮件系统。
将内网用户使用的邮件账号在服务器群组安全访问控制中间件中划分到不同的用户组,针对不同的用户组设置安全级别,安全级别分为1-7级,可根据实际需求设置相应的级别。
1-7级的安全层次为:1级最低级,7级最高级,由1到7逐级增高。
即低密级用户可以向高密级用户发送邮件,高密级用户不得向低密级用户发送,保证信息流向的正确性,防止高密数据流向低密用户。
(3)针对物理风险,采取红外对射、红外报警、视频监控以及门禁系统进行防护。
针对电磁泄射,采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进行防护。
2 物理安全防护总体物理安全防护设计如下:(1)周边环境安全控制①XXX侧和XXX侧部署红外对射和入侵报警系统。
②部署视频监控,建立安防监控中心,重点部位实时监控。
具体部署见下表:(2)要害部门部位安全控制增加电子门禁系统,采用智能IC卡和口令相结合的管理方式。
具体防护措施如下表所示:表1-2 要害部门部位安全建设(3)电磁泄漏防护建设内容包括:①为使用非屏蔽双绞线的链路加装线路干扰仪。
②为涉密信息系统内的终端和服务器安装红黑电源隔离插座。
③为视频信号电磁泄漏风险较大的终端安装视频干扰仪。
通过以上建设,配合《安防管理制度》以及《电磁泄漏防护管理制度》,使得达到物理安全防范到位、重要视频监控无死角、进出人员管理有序、实体入侵报警响应及时以及电磁泄漏信号无法捕捉、无法还原。
2.1 红外对射(1)部署增加红外对射装置,防护边界,具体部署位置如下表:表1-1 红外对射部署统计表部署方式如下图所示:图1-2 红外对射设备设备成对出现,在安装地点双向对置,调整至相同水平位置。
(2)第一次运行策略红外对射24小时不间断运行,当有物体通过,光线被遮挡,接收机信号发生变化,放大处理后报警。
设置合适的响应时间,以10米/秒的速度来确定最短遮光时间;设置人的宽度为20厘米,则最短遮断时间为20毫秒,大于20毫秒报警,小于20毫秒不报警。
(3)设备管理及策略红外对射设备由公安处负责管理,实时监测设备运行情况及设备相应情况,定期对设备及传输线路进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险解决重点部位监控及区域控制相关风险。
2.2 红外报警(1)部署增加红外报警装置,对保密要害部位实体入侵风险进行防护、报警,具体部署位置如下表:表1-2 红外报警部署统计表序号部署位置数量(个)1234 合计设备形态如下图所示:图1-3 红外报警设备部署在两处房间墙壁角落,安装高度距离地面2.0-2.2米。
(2)第一次运行策略红外报警24小时不间断运行,设置检测37℃特征性10µm波长的红外线,远离空调、暖气等空气温度变化敏感的地方,不间隔屏、家具或其他隔离物,不直对窗口,防止窗外的热气流扰动和人员走动会引起误报。
(3)设备管理及策略红外报警设备由公安处负责管理,监测设备运行情况及设备相应情况,定期对设备进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险解决重点部位监控及区域控制相关风险。
2.3 视频监控(1)部署增加视频监控装置,对周界、保密要害部门部位的人员出入情况进行实时监控,具体部署位置如下表:序号部署位置数量(个)12345678 合计设备形态如下图所示:图1-4 视频监控设备视频监控在室外采用云台枪机式设备,室内采用半球式设备,部署在房间墙壁角落,覆盖门窗及重点区域。
增加32路嵌入式硬盘录像机一台,用于对视频采集信息的收集和压缩存档。
设备形态如下图所示:图1-5 硬盘录像机(2)第一次运行策略视频监控24小时不间断运行,设置视频采集格式为MPEG-4,显示分辨率768*576,存储、回放分辨率384*288。
(3)设备管理及策略视频监控设备由公安处负责管理,实时监测设备运行情况及设备相应情况,定期对设备及传输线路进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险解决重点部位监控及区域控制相关风险。
2.4 门禁系统(1)部署增加门禁系统,对保密要害部门部位人员出入情况进行控制,并记录日志,具体部署位置如下表:序号部署位置数量(个)1234567891011 合计部署示意图如下图所示:图1-6 门禁系统部署方式(2)第一次运行策略对每个通道设置权限,制作门禁卡,对可以进出该通道的人进行进出方式的授权,采取密码+读卡方式;设置可以通过该通道的人在什么时间范围内可以进出;实时提供每个门区人员的进出情况、每个门区的状态(包括门的开关,各种非正常状态报警等),设置在紧急状态打开或关闭所有门区的功能;设置防尾随功能。
(3)设备管理及策略门禁系统由公安处负责管理,定期监测设备运行情况及设备相应情况,对设备及传输线路进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险解决重点部位监控及区域控制相关风险。
2.5 线路干扰仪(1)部署增加8口线路干扰仪,防护传输数据沿网线以电磁传导、辐射发射、耦合等方式泄漏的情况。
将从交换机引至其布线最远端以及次远端的线缆插接至线路干扰仪,并由线路干扰仪连接至最远端和次远端,将该设备进行接地处理。
具体部署位置如下表:序号部署位置数量(个)123 合计设备形态如下图所示:图1-11 线路干扰仪设备(2)第一次运行策略在网线中一对空线对上注入伪随机宽带扫频加扰信号, 使之能跟随其他三对网线上的信号并行传输到另一终端;窃密者若再从网线或其他与网络干线相平行的导线(如电话线及电源线等)上窃取信息,实际上所窃得的仅是已被加扰信号充分湮没了的混合信号。
(3)设备管理及策略线路干扰仪由信息中心负责管理,对设备编号、标识密级、摆放、调测、定期对设备及传输线路进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险解决传输线路的电磁泄漏发射防护相关风险。
2.6 视频干扰仪(1)部署增加视频干扰仪,防止对涉密终端视频信息的窃取,对XXX号楼存在的涉密终端部署,将该设备进行接地处理。
、具体部署位置如下表:序号部署位置数量(个)12311 合计设备形态如下图所示:图1-12 视频干扰仪设备(2)第一次运行策略设置设备运行频率为1000MHz。
(3)设备管理及策略视频干扰仪由信息中心负责管理,监测设备运行情况及设备相应情况,定期对设备进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险解决信息设备的电磁泄漏发射防护相关风险。
2.7 红黑电源隔离插座(1)部署增加红黑电源隔离插座,防护电源电磁泄漏,连接的红黑电源需要进行接地处理。
具体部署位置如下表:序号部署位置数量(个)1 涉密终端2 服务器3 UPS4 合计产品形态如下图所示:图1-13 红黑电源隔离插座(2)运行维护策略要求所有涉密机均直接连接至红黑电源上,红黑电源上不得插接其他设备。
安装在涉密终端及涉密单机的红黑隔离电源由使用者维护,安装在服务器的由信息中心维护,出现问题向保密办报告。
(4)部署后解决的风险解决信息设备的电磁泄漏发射防护相关风险。
3 网络安全防护3.1 网闸使用1台网闸连接主中心以及从属中心,用于安全隔离及信息交换。
(1)部署部署1台网闸于主中心及从属中心核心交换机之间,做单向访问控制与信息交互。
设备启用路由模式,通过路由转发连接主中心以及从属中心,从物理层到应用层终结所有的协议包,还原成原始应用数据,以完全私有的方式传递到另一个网络,主中心以及从属中心之间在任一时刻点上都不产生直接的物理连通。
部署拓扑示意图如下:主中心从属中心网闸从属中心核心交换机主中心核心交换机图1-8 网闸部署拓扑示意图(2)第一次运行策略配置从属中心访问主中心的权限,允许从属中心特定地址访问主中心所有服务器,允许其他地址访问公司内部门户以及人力资源系统,配置访问内部门户SQL server数据库服务器,禁止其他所有访问方式。
配置网闸病毒扫描,对流经网闸设备数据进行病毒安全扫描。
配置系统使用Https方式管理,确保管理安全。
(3)设备管理及策略网闸设备按照《网闸运维管理制度》进行管理。
a、由信息中心管理网闸设备,分别设置管理员、安全保密管理员、安全审计员的口令,由“三员”分别管理。
b、由信息中心对网闸设备进行编号、标识密级、安放至安全管理位置。
c、信息中心负责网闸设备的日常运行维护,每周登陆设备查看设备配置、设备自身运行状态、转发数据量状态、系统日志等内容。
d、信息中心发现异常情况及时通报保密办,并查找问题原因,各部门配合信息中心及时解决问题。
e、信息中心负责网闸设备的维修管理,设备出现问题,通知保密办,获得批准后,负责设备的维修管理。
(4)部署后解决的风险解决两网互联的边界防护问题,对应用的访问进行细粒度的控制,各自隔离,两网在任一时刻点上都不产生直接的物理连通。
3.2 防火墙涉密信息系统采用防火墙系统1台进行边界防护,用于涉密信息系统网关的安全控制、网络层审计等。
防火墙系统部署于从属中心。
原有防火墙部署于主中心,不做调整。
(1)部署使用防火墙系统限制从属中心终端访问机密级服务器的权限,并且记录所有与服务器区进行交互的日志。
防火墙的eth1口、eth2口设置为透明模式,配置桥接口fwbridge0 IP地址,配置管理方式为https方式,打开多VLAN开关,打开tcp、udp、ICMP广播过滤。
防火墙的日志数据库安装在安全管理服务器上。
部署拓扑示意图如下:防火墙核心交换机图1-9 防火墙部署示意图(2)第一次运行策略防火墙上设置访问控制策略,并设定不同用户所能访问的资源:a、允许从属中心授权用户访问软件配置管理系统。