计算机信息系统分级保护方案设计

适用文档 XX业涉密信息系统的组网模式为：服务器区、安全管理区、终端区共同连结至核心互换机上，构成近似于星型构造的网络模式，参照TCP/IP网络型成立。核心互换机上配置三层网关并区分Vlan，在服务器安全接见控制中火墙上设置安全接见控制策略(ACL)，严禁部门间Vlan互访，同意部门Vlan与S 将内网用户使用的邮件账号在服务器群组安全接见控制中间件中区分到不密级用户发送，保证信息流向的正确性，防备高密数据流向低密用户。 (3)针对物理风险，采纳红外对射、红外报警、视频监控以及门禁系统进行2物理安全防备整体物理安全防备设计以下： 制序号保护部位现有防备举措需新增防备举措1人员进出通道2物质进出通道适用文档序号保护部位现有防备举措需新增防备举措 (2)要害部门部位安全控制序号保护部门进出口控制现有安全举措新增安全举措门锁/登记/2门锁3门锁4门锁门锁/登记门锁/登记7门锁/登记门锁/登记9机房进出登记门锁 (3)电磁泄漏防备服务器安装红黑电源隔绝插座。安装视频扰乱仪。员管理有序、实体入侵报警响应及时以及电磁泄漏信号没法捕获、没法复原。 (1)部署：序号部署地点数目(对)厂区北围墙合计适用文档 (2)第一次运转策略 (3)设施管理及策略 解决要点部位监控及地区控制有关风险。 1234合计红外报警部署统计表数目(个)案大全适用文档部署在两处房间墙壁角落，安装高度距离地面米。 (2)第一次运转策略远离空调、暖气等空气温度变化敏感的地方，不间隔屏、家具或其余隔绝物，不直动会惹起误报。 (3)设施管理及策略按期向保密办提交设施运维报告。 (4)部署后解决的风险解决要点部位监控及地区控制有关风险。 (1)部署12345678个)全适用文档 (2)第一次运转策略 (3)设施管理及策略 (4)部署后解决的风险解决要点部位监控及地区控制有关风险。 (1)部署增添门禁系统，对保密要害部门部位人员进出状况进行控制，并记录日记，12个)全适用文档3456789 (2)第一次运转策略出；及时供给每个门区人员的进出状况、每个门区的状态(包含门的开关，各样非正常状态报警等)，设置在紧迫状态翻开或封闭所有门区的功能；设置防跟随 (3)设施管理及策略对设施及传输线路进行检查、保护，并按期向保密办提交设施运维报告。 (4)部署后解决的风险解决要点部位监控及地区控制有关风险。 (1)部署仪，并由线路扰乱仪连结至最远端和次远端，将该设施进行接地办理。全适用文档123计表数目(个) (2)第一次运转策略导线(如电话线及电源线等)上窃守信息，实质上所窃得的仅是已被加扰信号充 (3)设施管理及策略线路扰乱仪由信息中心负责管理，对设施编号、表记密级、摆放、调测、按期对设施及传输线路进行检查、保护，并按期向保密办提交设施运维报告。 (4)部署后解决的风险解决传输线路的电磁泄漏发射防备有关风险。 (1)部署123数目(个)全适用文档 (2)第一次运转策略设置设施运转频次为1000MHz。 (3)设施管理及策略 (4)部署后解决的风险 (1)部署1234数目(个)大全适用文档 (2)运转保护策略XX企业要求所有涉密机均直接连结至红黑电源上，红黑电源上不得插接其 (4)部署后解决的风险3网络安全防备 (1)部署核心互换机主中心核心互换机图 适用文档务器，同意其余地址接见企业内部门户以及人力资源系统，配置接见内部门户 (3)设施管理及策略息中心及时解决问题。 (4)部署后解决的风险 (1)部署工作级火墙 换机防火墙部署表示图适用文档b、开放系统内所能使用到的端口，其余不使用的端口进行所有严禁接见限e (3)设施管理及策略的议论后方可实行。防火墙的日记系统保护，日记的保留与备份依照《XX企业设施自己运转状态、转发数据量状态、系统日记等内容。及时解决问题。 有防火墙保证主中心各Vlan的三层逻辑隔绝，对各安全域之间进行接见控审计部分要求。XX企业使用原有入侵检测设施进行网络层监控，保持原有部署及原有配置警，知足入侵监控要求。 适用文档庆华企业违规外联监控公网报警服务器庆华企业违规外联监控内网管理服务器及时监控涉密单机及时监控涉密内网 (2)第一次运转策略违规外联系统部署表示图系统及时地监测受控网络内主机及挪动主机的活动，对非法内/外联行为由报向网络管理员告警，此中手机短信是完好及时的告警，特别方便和及时。 (3)设施管理及策略b、由信息中心对违规外联监控系统报警服务器进行编号、表记密级、安置c、信息中心负责违规外联监控系统的平时运转保护，每周登岸设施查察服务器硬件运转状态、策略配置、系统日记等内容。解决问题。适用文档f并做好备份工作。 (4)部署后解决的风险。4应用安全防备XX企业涉密信息系统采纳服务器群组安全接见控制中间件2台，用于XX公全控制、XXX系XXX系统以及XXX类软件系统。 (1)部署因为主中心的终端之间以及附属中心内的终端之间数据流动均被设计为以服机密级服务器群机密级服务器群服务器安全接见控制中间件服务器安全接见控制中间件核心互换机中心核心互换机机密级奥密级工作级机密级奥密级工作级表示图 接见的服务器资源；设置邮件转发控制功能，为每个用户设置接见账号及密码，审计与控制功能，能够依照XX企业保密办有关规定设定审察要点字，对于流经适用文档 (3)设施管理及策略的b、由信息中心分别对2台服务器群组安全接见控制中间件设施进行编号、c、信息中心负责服务器群组安全接见控制中间件设施的平时运转保护，每解决问题。 (4)部署后解决的风险 (1)部署动目录中间(包含用户的接见和登录权限等)。经过实行安全策略，实现系统内文档AD域控服务器(主、备)&WSUS服务器附属中心核心互换机主中心机AD域控服务器(主、备)&WSUS服务器作级图1-7域控及WSUS部署表示图 (2)第一次运转策略定策略，指定每一个用户可登录的机器。机密级终标，删除“开始”菜单中的“运转”、“搜寻”功能。终端的系统破绽。 (3)设施管理及策略X编号、表记密级、安置至安全管理地点。cADWSUS服务器的平时运转维护，每周登岸服务器查察服务器硬件运转状态、组策略配置、域成员状态、系统d。 (4)部署后解决的风险解决部分身份鉴识以及操作系统安全有关风险。适用文档XX企业使用网络安全审计系统2台，用于对涉密信息系统的网络及应用进行安全审计和监控。审计功能包含：应用层协议复原审计、数据库审计、网络行为 (1)部署核心互换机主中心核心互换机 (2)第一次运转策略 (3)设施管理及策略b、由信息中心分别对2台网络安全审计设施进行编号、表记密级、安置至备配置、设施自己运转状态、转发数据量状态、系统日记等内容。文案大全适用文档 (4)部署后解决的风险终端安全防备XX企业将使用网络版防病毒软件成立病毒防备系统，合计26个服务器端，XX业将使用单机版防病毒软件成立中间机、单机及便携式计算机病毒 (1)部署服务器安装：在XX企业各种服务器上安装杀毒服务器端，设置杀毒中心的杀毒中心同步。 所有接入网络的终端计算机和应用服务器(windows操作系统)都安装防病成光盘。将此光盘上的防病毒系统升级包经过非涉密中间机导入到涉密光盘户端进行强迫更新。存适用文档。 (3)设施管理及策略b、增强储存设施的接入管理，对接入系统的储存设施一定先经过计算机病c、所有的涉密计算机usb及光驱等接口均经过受权才能使用，防备系统用户擅自安装软件或使用usb设施带病毒入网。 (4)部署后解决的风险意程序及木马病毒查杀及管控。 (1)部署对中间机潜伏的歹意程序及木马进行管控。 (3)设施管理及策略bc、信息中心负责按期到中间机提取审计日记信息等内容。配合信息中心及时解决问题。适用文档 (4)部署后解决的风险。XX企业使用原有主机监控与审计系统进行对终端行为监控和限制，保持原有 (1)部署序号部署地点数目123456789合计 略使用挪动介质管理系统对企业挪动储存介质进行：注册登记、受权、定密、U (3)设施管理及策略纳的技术防备手段为主机监控与审计系统，进行挪动介质设施的管控与日记记。 (4)部署后解决的风险解决介质安全存在的风险。XX企业采纳终端安全登录与监控审计系统(网络版)，用于对机密级终端的适用文档“双因子”登录身份认证。采纳终端安全登录与监控审计系统(单机版)，用于对 (1)部署终端安全登录与监控审计系统(网络版)服务器部署于安全管理区，数目为单机版直接部署在具XX企业所有的中间机以及涉密单机上。 (2)第一次运转策略禁改正注册表、安装软件、安全模式启动、外联、改换设施。严禁打印、监控文 (3)设施管理及策略察服务器硬件运转状态、策略配置、系统日记等内容。题。 (4)部署后解决的风险解决身份鉴识、数据接口控制、主机安全审计有关风险。 (1)部署。文案大全适用文档 (2)第一次运转策略以完美，达成申请、审批、记录操作内容、登记归档等流程。 (3)设施管理及策略要经过保密办的议论后方可实行。光盘刻录监控与审计系统的