计算机信息系统分级保护方案完整篇.doc
计算机信息系统安全保护等级划分准则完整版
计算机信息系统安全保护等级划分准则完整版此级别适用于对计算机信息系统安全保护要求不高的用户,用户自行实施安全措施,包括密码保护、防病毒软件等。
第二级系统审计保护级:此级别适用于对计算机信息系统安全保护要求较高的用户,需要对系统进行审计,记录并分析安全事件,以保护系统的完整性和可用性。
第三级安全标记保护级:此级别适用于对计算机信息系统安全保护要求更高的用户,需要对客体进行安全标记,以确保在访问控制中强制执行安全策略。
第四级结构化保护级:此级别适用于对计算机信息系统安全保护要求极高的用户,需要采用结构化的安全保护措施,包括物理隔离、加密等。
第五级访问验证保护级:此级别适用于对计算机信息系统安全保护要求最高的用户,需要采用强制访问控制和多重身份验证等措施,以确保系统安全。
本标准适用于计算机信息系统安全保护技术能力等级的划分,随着安全保护等级的增高,计算机信息系统安全保护能力逐渐增强。
此标准引用了GB/T5271数据处理词汇标准,使用本标准的各方应尽可能使用最新版本的标准。
计算机信息系统是由计算机及其相关的和配套的设备、设施(包括网络)构成的人机系统,用于对信息进行采集、加工、存储、传输、检索等处理。
可信计算基是计算机信息系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体,用于建立一个基体的保护环境并提供可信计算系统所需的附加用户服务。
客体是信息的载体,主体是引起信息在客体之间流动的人、进程或设备等。
敏感标记是表示客体安全级别并描述客体数据敏感性的一组信息,可信计算基中将其作为强制访问控制决策的依据。
安全策略是有关管理、保护和发布敏感信息的法律、规定和实施细则。
信道是系统内的信息传输路径,而隐蔽信道是允许进程以危害系统安全策略的方式传输信息的通信信道。
访问监控器是监控器主体和客体之间授权访问关系的部件。
计算机信息系统可信计算基是一种安全保护机制,通过隔离用户与数据,使用户具备自主安全保护的能力。
计算机信息系统分级保护方案
方案1系统总体部署(1)涉密信息系统的组网模式为:服务器区、安全管理区、xx 共同连接至核心交换机上,组成类似于星型结构的网络模式,参照TCP/IP网络模型建立。
核心交换机上配置三层网关并划分Vlan,在服务器安全访问控制中间件以及防火墙上启用桥接模式,核心交换机、服务器安全访问控制中间件以及防火墙上设置安全访问控制策略(ACL),禁止部门间Vlan互访,允许部门Vlan与服务器Vlan通信。
核心交换机镜像数据至入侵检测系统以及网络安全审计系统;服务器区包含原有应用系统;安全管理区包含网络防病毒系统、主机监控与审计系统、windows域控及WSUS补丁分发系统、身份认证系统;xx 分包含所有业务部门。
服务器安全访问控制中间件防护的应用系统有:XXX系统、XXX系统、XXX系统、XXX系统以及XXX系统、。
防火墙防护的应用系统有:XXX、XXX系统、XXX系统、XXX系统以及XXX系统。
(2)邮件系统的作用是:进行信息的驻留转发,实现点到点的非实时通信。
完成集团内部的公文流转以及协同工作。
使用25、110端口,使用SMTP协议以及POP3协议,内网终端使用C/S模式登录邮件系统。
将内网用户使用的邮件账号在服务器群组安全访问控制中间件中划分到不同的用户组,针对不同的用户组设置安全级别,安全级别分为1-7级,可根据实际需求设置相应的级别。
1-7级的安全层次为:1级最低级,7级最高级,由1到7逐级增高。
即低密级用户可以向高密级用户发送邮件,高密级用户不得向低密级用户发送,保证信息流向的正确性,防止高密数据流向低密用户。
(3)针对物理风险,采取xx对射、xx报警、视频监控以及门禁系统进行防护。
针对电磁泄射,采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进行防护。
2 物理安全防护总体物理安全防护设计如下:(1)周边环境安全控制①XXX侧和XXX侧部署xx对射和入侵报警系统。
②部署视频监控,建立安防监控中心,重点部位实时监控。
信息系统等级保护 文档
需请相应级别、具有资质的测评中心进行风险评估; 风险评估完成后出具《评估报告》和《整改意见》;
流程四:等保方案设计思路
整改意见
1
需求分析
项目实施
建设目标 7 方案设计
最早等提保出系的统基设础计性时、的强主制要性依标据准:; 公安部作为等保系统建设、评测的重要依据
粒度一较个粗中,心是三一重个防指御导性标准;
内容概要
信息安全与等级保护 什么是等级保护 等级保护的国家政策与标准规范 等级保护的工作内容 等级保护的建设流程 等级保护各参与部门的角色定位
等级保护的建设目标
号
中共中央办公厅 国务院办公厅
公通字
[2019]66
公通字
[2019]43
公安部 号 国家保密局
国家密码管理委 员会办公室
号
(国家密码管理 局)
国务院信息化工 作办公室
公信安
[2019]861
号
内容及意义
第一次 提出信息系统要实行 等级保护,并确定了等级保 护的职责单位。
等级保护工作的开展必须分 步骤、分阶段、有计划的实 施。明确了信息安全等级保 护制度的 基本内容 。
强制访问控制 标记
隐蔽通道分析 可信路径
可信恢复
内容概要
信息安全与等级保护 什么是等级保护 等级保护的国家政策与标准规范 等级保护的工作内容 等级保护的建设流程 等级保护各参与部门的角色定位
等级保护的国家政策
颁布时间
1994 年 2月18日
2019 年 9月7日
2019 年 9月15日
计算机信息系统分级保护方案之欧阳语创编
方案1系统总体部署(1)涉密信息系统的组网模式为:服务器区、安全管理区、终端区共同连接至核心交换机上,组成类似于星型结构的网络模式,参照TCP/IP网络模型建立。
核心交换机上配置三层网关并划分Vlan,在服务器安全访问控制中间件以及防火墙上启用桥接模式,核心交换机、服务器安全访问控制中间件以及防火墙上设置安全访问控制策略(ACL),禁止部门间Vlan互访,允许部门Vlan与服务器Vlan通信。
核心交换机镜像数据至入侵检测系统以及网络安全审计系统;服务器区包含原有应用系统;安全管理区包含网络防病毒系统、主机监控与审计系统、windows域控及WSUS 补丁分发系统、身份认证系统;终端区分包含所有业务部门。
服务器安全访问控制中间件防护的应用系统有:XXX 系统、XXX系统、XXX系统、XXX系统以及XXX系统、。
防火墙防护的应用系统有:XXX、XXX系统、XXX系统、XXX系统以及XXX系统。
(2)邮件系统的作用是:进行信息的驻留转发,实现点到点的非实时通信。
完成集团内部的公文流转以及协同工作。
使用25、110端口,使用SMTP协议以及POP3协议,内网终端使用C/S模式登录邮件系统。
将内网用户使用的邮件账号在服务器群组安全访问控制中间件中划分到不同的用户组,针对不同的用户组设置安全级别,安全级别分为1-7级,可根据实际需求设置相应的级别。
1-7级的安全层次为:1级最低级,7级最高级,由1到7逐级增高。
即低密级用户可以向高密级用户发送邮件,高密级用户不得向低密级用户发送,保证信息流向的正确性,防止高密数据流向低密用户。
(3)针对物理风险,采取红外对射、红外报警、视频监控以及门禁系统进行防护。
针对电磁泄射,采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进行防护。
2 物理安全防护总体物理安全防护设计如下:(1)周边环境安全控制①XXX侧和XXX侧部署红外对射和入侵报警系统。
②部署视频监控,建立安防监控中心,重点部位实时监控。
计算机信息系统分级保护方案
计算机信息系统分级保护方案标准化工作室编码[XX968T-XX89628-XJ668-XT689N]方案1系统总体部署(1)涉密信息系统的组网模式为:服务器区、安全管理区、终端区共同连接至核心交换机上,组成类似于星型结构的网络模式,参照TCP/IP网络模型建立。
核心交换机上配置三层网关并划分Vlan,在服务器安全访问控制中间件以及防火墙上启用桥接模式,核心交换机、服务器安全访问控制中间件以及防火墙上设置安全访问控制策略(ACL),禁止部门间Vlan互访,允许部门Vlan与服务器Vlan通信。
核心交换机镜像数据至入侵检测系统以及网络安全审计系统;服务器区包含原有应用系统;安全管理区包含网络防病毒系统、主机监控与审计系统、windows域控及WSUS补丁分发系统、身份认证系统;终端区分包含所有业务部门。
服务器安全访问控制中间件防护的应用系统有:XXX系统、XXX系统、XXX系统、XXX系统以及XXX系统、。
防火墙防护的应用系统有:XXX、XXX系统、XXX系统、XXX系统以及XXX系统。
(2)邮件系统的作用是:进行信息的驻留转发,实现点到点的非实时通信。
完成集团内部的公文流转以及协同工作。
使用25、110端口,使用SMTP协议以及POP3协议,内网终端使用C/S模式登录邮件系统。
将内网用户使用的邮件账号在服务器群组安全访问控制中间件中划分到不同的用户组,针对不同的用户组设置安全级别,安全级别分为1-7级,可根据实际需求设置相应的级别。
1-7级的安全层次为:1级最低级,7级最高级,由1到7逐级增高。
即低密级用户可以向高密级用户发送邮件,高密级用户不得向低密级用户发送,保证信息流向的正确性,防止高密数据流向低密用户。
(3)针对物理风险,采取红外对射、红外报警、视频监控以及门禁系统进行防护。
针对电磁泄射,采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进行防护。
2 物理安全防护总体物理安全防护设计如下:(1)周边环境安全控制①XXX侧和XXX侧部署红外对射和入侵报警系统。
信息系统等级保护建设方案详细
边界接入平台终端安全保护系统建设方案2009年6月5日文件修改记录目录1项目建设的必要性 (5)1.1政策必要性 (5)1.2整体安全需要 (5)1.3合规性需要 (6)2法规、政策和技术依据 (7)2.1信息安全等级保护有关法规、政策、文件 (7)2.1.1《中华人民共和国计算机信息系统安全保护条例》(国务院147号令) (7)2.1.2《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号). 72.1.3《关于信息安全等级保护工作的实施意见》(公通字[2004]66号) (8)2.1.4《信息安全等级保护管理办法》(公通字[2007]43号) (9)2.1.5信息安全等级保护技术标准体系及其关系 (9)3终端安全防护系统功能介绍 (14)3.1终端安全防护系统(前置服务器版)功能介绍 (14)3.1.1强身份认证功能 (14)3.1.2多用户强制访问控制 (14)图3.1.3 用户权限控制示意图 (15)3.1.3应用系统安全封装 (17)3.1.4自主访问控制 (17)图3.1.4 文件保密柜示意图 (17)3.1.5数据保密性保护 (17)3.1.6系统完整性保护 (18)3.1.7行为审计监控 (18)3.1.8边界保护控制 (18)3.2终端安全防护系统(PC版)功能介绍 (19)3.2.1强身份认证功能 (19)3.2.2强制访问控制 (20)图3.2.2 用户权限控制示意图 (21)3.2.3自主访问控制 (22)图3.2.3 文件保密柜示意图 (22)3.2.4数据保密性保护 (23)3.2.5系统完整性保护 (23)3.2.6行为审计监控 (23)3.2.7边界保护控制 (24)4边界接入平台终端安全保护系统实施计划 (25)4.1统一规划,分步实施 (25)4.2实施产品列表 (25)4.3项目实施拓扑示意图 (25)1项目建设的必要性1.1政策必要性随着全球信息化进程的不断推进,我国政府及各行各业也在进行大量的信息系统的建设,这些信息系统已经成为国家重要的基础设施,因此,信息系统安全问题已经被提升到关系国家安全和国家主权的战略性高度,已引起党和国家领导以及社会各界的关注。
分级保护涉密信息(完整资料)
分级保护涉密信息一个计算机信息系统是否属于涉密信息系统,主要是看其系统里面的信息是否有涉及国家秘密的信息,不论其中的涉密信息是多还是少,只要是有(即存储、处理或传输了涉密信息),这个信息系统就是涉密信息系统。
但并非所有的涉密系统都是高安全等级的计算机信息系统;也并非所有的高安全等级的计算机信息系统都是涉密信息系统。
比如,一些企业的计算机信息系统为保护其商业秘密而采取了许多安全保密的技术和管理措施,达到了较高的安全等级,但由于其中没有涉及国家秘密的信息,就不能算是涉密信息系统;而有一些党政机关的涉密网,范围很小,只在一间或几间房内的若干台计算机联网,采取了较封闭的物理安全措施,与外界物理隔离,虽然没有采用更多的安全保密技术,系统安全等级并不是很高,但由于管理严密、安全可控,系统中又运行了国家秘密信息,这些系统就属于涉密信息系统。
——将涉密系统按照涉密程度分为绝密级、机密级、秘密级,实行分级保护。
分级保护针对的是涉密信息系统,根据涉密信息的涉密等级,涉密信息系统的重要性,遭到破坏后对国计民生造成的危害性,以及涉密信息系统必须达到的安全保护水平划分为秘密级、机密级和绝密级三个等级。
国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法和技术标准,目前,正在执行的两个分级保护的国家保密标准是BMB17《涉及国家秘密的信息系统分级保护技术要求》BMB20《涉及国家秘密的信息系统分级保护管理规范》。
国家保密科技测评中心是我国唯一的涉密信息系统安全保密测评机构。
——对涉密信息系统采取技术保护。
修订草案规定:涉密信息系统应当按照国家保密标准配备保密设施、设备。
保密设施、设备应当与涉密信息系统同步规划,同步建设,同步运行。
涉密信息系统投入使用前,应当经设区的市级以上保密行政管理部门检查合格。
——对涉密信息系统中应当遵守的保密行为做了严格规范,修订草案规定:不得将涉密计算机、涉密存储设备接入互联网及其他公共信息网络;不得在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换;不得使用非涉密计算机、非涉密存储设备存储和处理国家秘密信息;不得擅自卸载涉密信息系统的安全技术程序、管理程序;不得将未经安全技术处理退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃;不得在未采取保密措施的有线和无线通信、互联网及其他公共信息网络中传递国家秘密。
计算机信息系统分级保护方案
方案详细设计1系统总体部署(1)XX公司涉密信息系统的组网模式为:服务器区、安全管理区、终端区共同连接至核心交换机上,组成类似于星型结构的网络模式,参照TCP/IP网络模型建立。
核心交换机上配置三层网关并划分Vlan,在服务器安全访问控制中间件以及防火墙上启用桥接模式,核心交换机、服务器安全访问控制中间件以及防火墙上设置安全访问控制策略(ACL),禁止部门间Vlan互访,允许部门Vlan与服务器Vlan通信。
核心交换机镜像数据至入侵检测系统以及网络安全审计系统;服务器区包含XX公司原有应用系统;安全管理区包含网络防病毒系统、主机监控与审计系统、windows域控及WSUS补丁分发系统、身份认证系统;终端区分包含所有业务部门。
服务器安全访问控制中间件防护的应用系统有:XXX系统、XXX系统、XXX系统、XXX系统以及XXX系统、。
防火墙防护的应用系统有:XXX、XXX系统、XXX系统、XXX系统以及XXX系统。
(2)邮件系统的作用是:进行信息的驻留转发,实现点到点的非实时通信。
完成集团内部的公文流转以及协同工作。
使用25、110端口,使用SMTP协议以及POP3协议,内网终端使用C/S模式登录邮件系统。
将内网用户使用的邮件账号在服务器群组安全访问控制中间件中划分到不同的用户组,针对不同的用户组设置安全级别,安全级别分为1-7级,可根据实际需求设置相应的级别。
1-7级的安全层次为:1级最低级,7级最高级,由1到7逐级增高。
即低密级用户可以向高密级用户发送邮件,高密级用户不得向低密级用户发送,保证信息流向的正确性,防止高密数据流向低密用户。
(3)针对物理风险,采取红外对射、红外报警、视频监控以及门禁系统进行防护。
针对电磁泄射,采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进行防护。
2 物理安全防护总体物理安全防护设计如下:(1)周边环境安全控制①厂区XXX侧和XXX侧部署红外对射和入侵报警系统。
②部署视频监控,建立安防监控中心,重点部位实时监控。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机信息系统分级保护方案1 方案详细设计1系统总体部署(1)XX公司涉密信息系统的组网模式为:服务器区、安全管理区、终端区共同连接至核心交换机上,组成类似于星型结构的网络模式,参照TCP/IP网络模型建立。
核心交换机上配置三层网关并划分Vlan,在服务器安全访问控制中间件以及防火墙上启用桥接模式,核心交换机、服务器安全访问控制中间件以及防火墙上设置安全访问控制策略(ACL),禁止部门间Vlan互访,允许部门Vlan 与服务器Vlan通信。
核心交换机镜像数据至入侵检测系统以及网络安全审计系统;服务器区包含XX公司原有应用系统;安全管理区包含网络防病毒系统、主机监控与审计系统、windows域控及WSUS补丁分发系统、身份认证系统;终端区分包含所有业务部门。
服务器安全访问控制中间件防护的应用系统有:XXX系统、XXX系统、XXX 系统、XXX系统以及XXX系统、。
防火墙防护的应用系统有:XXX、XXX系统、XXX系统、XXX系统以及XXX系统。
(2)邮件系统的作用是:进行信息的驻留转发,实现点到点的非实时通信。
完成集团内部的公文流转以及协同工作。
使用25、110端口,使用SMTP协议以及POP3协议,内网终端使用C/S模式登录邮件系统。
将内网用户使用的邮件账号在服务器群组安全访问控制中间件中划分到不同的用户组,针对不同的用户组设置安全级别,安全级别分为1-7级,可根据实际需求设置相应的级别。
1-7级的安全层次为:1级最低级,7级最高级,由1到7逐级增高。
即低密级用户可以向高密级用户发送邮件,高密级用户不得向低密级用户发送,保证信息流向的正确性,防止高密数据流向低密用户。
(3)针对物理风险,采取红外对射、红外报警、视频监控以及门禁系统进行防护。
针对电磁泄射,采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进行防护。
2 物理安全防护总体物理安全防护设计如下:(1)周边环境安全控制①厂区XXX侧和XXX侧部署红外对射和入侵报警系统。
②部署视频监控,建立安防监控中心,重点部位实时监控。
具体部署见下表:(2)要害部门部位安全控制增加电子门禁系统,采用智能IC卡和口令相结合的管理方式。
具体防护措施如下表所示:表1-2 要害部门部位安全建设(3)电磁泄漏防护建设内容包括:①为使用非屏蔽双绞线的链路加装线路干扰仪。
②为涉密信息系统内的终端和服务器安装红黑电源隔离插座。
③为视频信号电磁泄漏风险较大的终端安装视频干扰仪。
通过以上建设,配合《XX公司安防管理制度》以及《XX 公司电磁泄漏防护管理制度》,使得XX公司达到物理安全防范到位、重要视频监控无死角、进出人员管理有序、实体入侵报警响应及时以及电磁泄漏信号无法捕捉、无法还原。
2.1 红外对射(1)部署增加红外对射装置,防护厂区边界,具体部署位置如下表:表1-1 红外对射部署统计表部署方式如下图所示:图1-2 红外对射设备设备成对出现,在安装地点双向对置,调整至相同水平位置。
(2)第一次运行策略红外对射24小时不间断运行,当有物体通过,光线被遮挡,接收机信号发生变化,放大处理后报警。
设置合适的响应时间,以10米/秒的速度来确定最短遮光时间;设置人的宽度为20厘米,则最短遮断时间为20毫秒,大于20毫秒报警,小于20毫秒不报警。
(3)设备管理及策略红外对射设备由厂区公安处负责管理,实时监测设备运行情况及设备相应情况,定期对设备及传输线路进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险解决重点部位监控及区域控制相关风险。
2.2 红外报警(1)部署增加红外报警装置,对保密要害部位实体入侵风险进行防护、报警,具体部署位置如下表:表1-2 红外报警部署统计表设备形态如下图所示:图1-3 红外报警设备部署在两处房间墙壁角落,安装高度距离地面2.0-2.2米。
(2)第一次运行策略红外报警24小时不间断运行,设置检测37℃特征性10µm 波长的红外线,远离空调、暖气等空气温度变化敏感的地方,不间隔屏、家具或其他隔离物,不直对窗口,防止窗外的热气流扰动和人员走动会引起误报。
(3)设备管理及策略红外报警设备由厂区公安处负责管理,监测设备运行情况及设备相应情况,定期对设备进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险解决重点部位监控及区域控制相关风险。
2.3 视频监控(1)部署增加视频监控装置,对厂区周界、保密要害部门部位的人员出入情况进行实时监控,具体部署位置如下表:表1-3 视频监控部署统计表设备形态如下图所示:图1-4 视频监控设备视频监控在室外采用云台枪机式设备,室内采用半球式设备,部署在房间墙壁角落,覆盖门窗及重点区域。
增加32路嵌入式硬盘录像机一台,用于对视频采集信息的收集和压缩存档。
设备形态如下图所示:图1-5 硬盘录像机(2)第一次运行策略视频监控24小时不间断运行,设置视频采集格式为MPEG-4,显示分辨率768*576,存储、回放分辨率384*288。
(3)设备管理及策略视频监控设备由厂区公安处负责管理,实时监测设备运行情况及设备相应情况,定期对设备及传输线路进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险解决重点部位监控及区域控制相关风险。
2.4 门禁系统(1)部署增加门禁系统,对保密要害部门部位人员出入情况进行控制,并记录日志,具体部署位置如下表:表1-4 门禁系统部署统计表计算机信息系统分级保护方案1第2页部署示意图如下图所示:图1-6 门禁系统部署方式(2)第一次运行策略对每个通道设置权限,制作门禁卡,对可以进出该通道的人进行进出方式的授权,采取密码+读卡方式;设置可以通过该通道的人在什么时间范围内可以进出;实时提供每个门区人员的进出情况、每个门区的状态(包括门的开关,各种非正常状态报警等),设置在紧急状态打开或关闭所有门区的功能;设置防尾随功能。
(3)设备管理及策略门禁系统由厂区公安处负责管理,定期监测设备运行情况及设备相应情况,对设备及传输线路进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险解决重点部位监控及区域控制相关风险。
2.5 线路干扰仪(1)部署增加8口线路干扰仪,防护传输数据沿网线以电磁传导、辐射发射、耦合等方式泄漏的情况。
将从交换机引至其布线最远端以及次远端的线缆插接至线路干扰仪,并由线路干扰仪连接至最远端和次远端,将该设备进行接地处理。
具体部署位置如下表:表1-6 线路干扰仪部署统计表设备形态如下图所示:图1-11 线路干扰仪设备(2)第一次运行策略在网线中一对空线对上注入伪随机宽带扫频加扰信号, 使之能跟随其他三对网线上的信号并行传输到另一终端;窃密者若再从网线或其他与网络干线相平行的导线(如电话线及电源线等)上窃取信息,实际上所窃得的仅是已被加扰信号充分湮没了的混合信号。
(3)设备管理及策略线路干扰仪由信息中心负责管理,对设备编号、标识密级、摆放、调测、定期对设备及传输线路进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险解决传输线路的电磁泄漏发射防护相关风险。
2.6 视频干扰仪(1)部署增加视频干扰仪,防止对涉密终端视频信息的窃取,对XXX 号楼存在的涉密终端部署,将该设备进行接地处理。
、具体部署位置如下表:设备形态如下图所示:图1-12 视频干扰仪设备(2)第一次运行策略设置设备运行频率为1000MHz。
(3)设备管理及策略视频干扰仪由信息中心负责管理,监测设备运行情况及设备相应情况,定期对设备进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险解决信息设备的电磁泄漏发射防护相关风险。
2.7 红黑电源隔离插座(1)部署增加红黑电源隔离插座,防护电源电磁泄漏,连接的红黑电源需要进行接地处理。
具体部署位置如下表:产品形态如下图所示:图1-13 红黑电源隔离插座(2)运行维护策略XX公司要求所有涉密机均直接连接至红黑电源上,红黑电源上不得插接其他设备。
安装在涉密终端及涉密单机的红黑隔离电源由使用者维护,安装在服务器的由信息中心维护,出现问题向保密办报告。
(4)部署后解决的风险解决信息设备的电磁泄漏发射防护相关风险。
3 网络安全防护3.1 网闸XX公司使用1台网闸连接主中心以及从属中心,用于安全隔离及信息交换。
(1)部署部署1台网闸于主中心及从属中心核心交换机之间,做单向访问控制与信息交互。
设备启用路由模式,通过路由转发连接主中心以及从属中心,从物理层到应用层终结所有的协议包,还原成原始应用数据,以完全私有的方式传递到另一个网络,主中心以及从属中心之间在任一时刻点上都不产生直接的物理连通。
部署拓扑示意图如下:网闸从属中心核心交换机主中心核心交换机图1-8 网闸部署拓扑示意图(2)第一次运行策略配置从属中心访问主中心的权限,允许从属中心特定地址访问主中心所有服务器,允许其他地址访问公司内部门户以及人力资源系统,配置访问内部门户SQL server数据库服务器,禁止其他所有访问方式。
配置网闸病毒扫描,对流经网闸设备数据进行病毒安全扫描。
配置系统使用Https方式管理,确保管理安全。
(3)设备管理及策略网闸设备按照《XX公司网闸运维管理制度》进行管理。
a、由信息中心管理网闸设备,分别设置管理员、安全保密管理员、安全审计员的口令,由“三员”分别管理。
b、由信息中心对网闸设备进行编号、标识密级、安放至安全管理位置。
c、信息中心负责网闸设备的日常运行维护,每周登陆设备查看设备配置、设备自身运行状态、转发数据量状态、系统日志等内容。
d、信息中心发现异常情况及时通报保密办,并查找问题原因,各部门配合信息中心及时解决问题。
e、信息中心负责网闸设备的维修管理,设备出现问题,通知保密办,获得批准后,负责设备的维修管理。
(4)部署后解决的风险解决两网互联的边界防护问题,对应用的访问进行细粒度的控制,各自隔离,两网在任一时刻点上都不产生直接的物理连通。
3.2 防火墙XX公司涉密信息系统采用防火墙系统1台进行边界防护,用于XX公司涉密信息系统网关的安全控制、网络层审计等。
防火墙系统部署于从属中心。
XX公司原有防火墙部署于主中心,不做调整。
(1)部署使用防火墙系统限制从属中心终端访问机密级服务器的权限,并且记录所有与服务器区进行交互的日志。
防火墙的eth1口、eth2口设置为透明模式,配置桥接口fwbridge0 IP地址,配置管理方式为https方式,打开多VLAN开关,打开tcp、udp、ICMP广播过滤。
防火墙的日志数据库安装在安全管理服务器上。
部署拓扑示意图如下:防火墙核心交换机图1-9 防火墙部署示意图(2)第一次运行策略。