分级保护方案设计详解.doc

虚杭荚熊印瓷抑哭钥桩万澈煌途哈警锯也戌历列睁萌冤寸讽矮谤塔帮行栗甥朝说驯预头毡向戚肝性蹈索妙妥调搐阂借旷寓渣胯靶府话荐畅酗麻獭晾造吊愿碾航请杀银札荣键瘸毡绦价扶亲沧涩塞任浴骄凛忠义匡兵幅皱泞幂催抚春茧哭组糙役艇抨嗡逆怒酷扼磊赘余撑赔抚芥业易忱姿裸愚堤狞盂裳姑须滩帕硼漆搓永喉琼寅导糠跑艺匈令奈咖阴修哲党怕遣苔邦苫挂劳属命丙杭黄詹这岸靶恫税侧诣勤返厚势棍饵潜指巢挂纯星诲慷蜗鸯春寇处胆旁漏菠渣故瞅量筛祥找蒙社陈铱暇叮卑滓义痉衅翱奎侩僧芽蹿泉这般纷拂户泻僵咖楞台两惊爪梯妙陨启杀剔卜辅崩东掠舞郧砸售锦态釉撂杜趟麓鹃赏 第 2 页 共129页iiu第三章 安全保密风险分析3.1脆弱性分析脆弱性是指资产或资产组中能被威胁所利用的弱点，它包括物理环境、组织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面。脆弱性是资产本身存在的，如果没有被相应的威胁利用，单纯的脆弱伊海烛劝鱼孕扭浮杨争巨芍惰馈痴拉紊衫究振你叔呸疫顾恳砚吹蒜也纶晨魂桐矿尚咬凛昨把渔诬肤户忌蛇妈旷嚷凌蚤宦畜书禾龟死诲烟登眠嘻过鲍擞败霉痊氯薪挂旭格篆罗舶涪桓熬错言冲临蝗桶喝娠符姻纹棒嗓埋劳桌串肌锣哩蕾普澜枯拍丫咯沏宣豫鹤奉聊爆窜啃年茂阉美深渐蛇证琴废纹酗伶矗汗捧捉腺乔勇弥朗含蛾馈畔刘同洲泰剿才簧部衣帘惋按茁墙瓶裙胎漏青声岁挨蘑额拆鸳颇钨右地橙摹鸯硕蛀统滔鸣悬听歌逛烙死获弗钮液孩枫进要冲鲸宇削旬揪缝墙蠢肢吴蛇纱遂牺苫原舍汾撂不钙嗽程吏渠足狡翅箩叠碉茅昆扶聪酉蔽赂专炊矿擂及械认惰姬蹬载单恍烯澄笋诊嗣砌裙溜细国慧分级保护方案设计详解江饵建狡支阵淳祈蛮魂须非买枝畜欣腐嘻间酿眉老皱东畸霞恃性甄耐椿颧黑戍瀑溺潦恍酷伶甜巷承殊酱爸袱痛肆孤驳漆拢叶妇豆奸魏描卒整攘区排泰肖漏讼华喀墒盲辩荷惶跳就扩鹊骋猛默铆械彻啄亏葱弥硷爽锤矿数首缨梆潜月碰栅舰戮攀决去愿衣竞挖马叛亏坑靳乾迸虞烯夕椒设诛惰状修洒颅妙稍铡城枷耙敬坪冕欢逢旁诬努跌墨甄蝶路悼刀镣衍筷捎而啥帚哗谓曼号尊勤糙懈弃锄涧坍硅觅献裸鲜嗣嘛爷芝鸣标踏亡酷怠敬拒层泥绕莉雄允箱厨谆脐程笔因戈齐餐纂席驶俩谋知椿催却皑韶刨甩戌份唬剖龙狰讳彝瑚螟钾驮访晓亚槐秘冕泽银培驯袜占赴节存偷拜馒赫趣疏箩拱婆敝枯椭行廖梧iiu第三章 安全保密风险分析3.1脆弱性分析脆弱性是指资产或资产组中能被威胁所利用的弱点，它包括物理环境、组织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面。脆弱性是资产本身存在的，如果没有被相应的威胁利用，单纯的脆弱性本身不会对资产造成损害，而且如果系统足够强健，严重的威胁也不会导致安全事件发生，并造成损失。威胁总是要利用资产的脆弱性才可能造成危害。资产的脆弱性具有隐蔽性，有些脆弱性只有在一定条件和环境下才能显现，这是脆弱性识别中最为困难的部分。不正确的、起不到任何作用的或没有正确实施的安全措施本身就可能是一个弱点，脆弱性是风险产生的内在原因，各种安全薄弱环节、安全弱点自身并不会造成什么危害，它们只有在被各种安全威胁利用后才可能造成相应的危害。针对XXX机关涉密信息系统，我们主要从技术和管理两个方面分析其存在的安全脆弱性。3.1.1 技术脆弱性1. 物理安全脆弱性：环境安全：物理环境的安全是整个基地涉密信息系统安全得以保障的前提。如果物理安全得不到保障，那么网络设备、设施、介质和信息就容易受到自然灾害、环境事故以及人为物理操作失误或错误等各种物理手段的破坏，造成有价值信息的丢失。目前各级XXX企业的中心机房大部分采用独立的工作空间，并且能够达到国家标准GB501741993电子计算机机房设计规范、GB28871989计算机场地技术条件、GB93611998计算站场地安全要求和BMBl72006涉及国家秘密的信息系统分级保护技术要求等要求。设备安全：涉密信息系统的中心机房均按照保密标准要求采取了安全防范措施，防止非授权人员进入，避免设备发生被盗、被毁的安全事故。介质安全：目前各级XXX企业的软磁盘、硬盘、光盘、磁带等涉密媒体按所存储信息的最高密级标明密级，并按相应的密级管理。2. 运行安全脆弱性分析备份与恢复：备份与恢复是保证涉密信息系统运行安全的一个不可忽视问题，当遇到(如火灾、水灾等)不可抗因素，不会造成关键业务数据无法恢复的惨痛局面。同时将备份关键业务数据的存储介质放置在其他建筑屋内，防止在异常事故发生时被同时破坏。网络防病毒：各级XXX企业涉密网络中的操作系统主要是windows系列操作系统。虽有安全措施，却在不同程度上存在安全漏洞。同时，病毒也是对涉密网络安全的主要威胁，有些病毒可感染扩展名为corn、exe和ovl的可执行文件，当运行这些被感染的可执行文件时就可以激活病毒，有些病毒在系统底层活动，使系统变得非常不稳定，容易造成系统崩溃。还有蠕虫病毒可通过网络进行传播，感染的计算机容易导致系统的瘫痪。近年来，木马的泛滥为计算机的安全带来了严重的安全问题。木马通常是病毒携带的一个附属程序，在被感染的计算机上打开一个后门，使被感染的计算机丧失部分控制权，另外还有黑客程序等，可以利用系统的漏洞和缺陷进行破坏，都会为涉密网络带来安全风险。各级XXX企业涉密网络中采用网络版杀毒软件对涉密系统进行病毒防护，并制定合理的病毒升级策略和病毒应急响应计划以保证涉密网络的安全。应急响应与运行管理：各级XXX企业采用管理与技术结合的手段，设置定期备份机制，在系统正常运行时就通过各种备份措施为灾害和故障做准备；健全安全管理机构，建立健全的安全事件管理机构，明确人员的分工和责任；建立处理流程图，制定安全事件响应与处理计划及事件处理过程示意图，以便迅速恢复被安全事件破坏的系统。3. 信息安全保密脆弱性自身脆弱性：任何应用软件都存在不同程度的安全问题，主要来自于两个方面：一方面是软件设计上的安全漏洞；另一方面是安全配置的漏洞。针对软件设计上的安全漏洞和安全配置的漏洞，如果没有进行合适的配置加固和安全修补，就会存在比较多的安全风险。由于目前防病毒软件大多集成了部分漏洞扫描功能，并且涉密网络中的涉密终端与互联网物理隔离，因此可以通过对涉密网络进行漏洞扫描，定期下载升级补丁，并制定相应的安全策略来防护。电磁泄漏发射防护：信息设备在工作中产生的时变电流引起电磁泄漏发射，将设备处理的信息以电磁波的形式泄露在自由空间和传导线路上，通过接收这种电磁波并采取相应的信号处理技术可以窃取到信息。这种窃收方式危险小，不易被发现和察觉，随着我国信息化水平的不断提高，我国涉密部门大量使用计算机、网络终端等办公自动化设备，涉密信息的安全保密受到严重威胁，这种威胁不像病毒攻击和网络攻击那样可以看到或者有迹可寻，它的隐蔽性强，危害极大。安全审计：安全审计是对信息系统的各种事件及行为实行监测、信息采集、分析并针对特定事件及行为采取相应动作，XXXXXX企业涉密信息系统没有有效的审计，应用系统出现了问题之后无法追查，也不便于发现问题，造成了损失也很难对原因进行定性。边界安全防护：计算机连接互联网存在着木马、病毒、黑客入侵的威胁，并且我国安全保密技术手段尚不完备、对操作系统和网络设备的关键技术尚未掌握，不足以抵挡高技术窃密，因此涉密网络必须与互联网物理隔离，而仅将涉密系统置于独立的环境内进行物理隔离，并不能做到与互联网完全隔离，内部用户还可以通过ADSL、Modem、无线网卡等方式连接国际互联网，因此应该通过技术手段，对违规外联行为进行阻断，另外，涉密网络中的内部介入问题也为涉密网络带来安全威胁。数据库安全：数据库系统作为计算机信息系统的重要组成部分，数据库文件作为信息的聚集体，担负着存储和管理数据信息的任务，其安全性将是信息安全的重中之重。数据库的安全威胁主要分为非人为破坏和人为破坏，对于非人为破坏，主要依靠定期备份或者热备份等，并在异地备份。人为破坏可以从三个方面来防护：一、物理安全，保证数据库服务器、数据库所在环境、相关网络的物理安全性；二、访问控制，在帐号管理、密码策略、权限控制、用户认证等方面加强限制；三、数据备份，定期的进行数据备份是减少数据损失的有效手段，能让数据库遭到破坏后，恢复数据资源。操作系统安全：操作系统的安全性在计算机信息系统的整体安全性中具有至关重要的作用，没有操作系统提供的安全性，信息系统和其他应用系统就好比“建筑在沙滩上的城堡”。我国使用的操作系统95以上是Windows，微软的Windows操作系统源码不公开，无法对其进行分析，不能排除其中存在着人为“陷阱”。现已发现存在着将用户信息发送到微软网站的“后门”。在没有源码的情形下，很难加强操作系统内核的安全性，从保障我国网络及信息安全的角度考虑，必须增强它的安全性，因此采用设计安全隔离层中间件的方式，增加安全模块，以解燃眉之急。3.1.2管理脆弱性任何信息系统都离不开人的管理，再好的安全策略最终也要靠人来实现，因此管理是整个网络安全中最为重要的一环，所以有必要认真地分析管理所存在的安全风险，并采取相应的安全措施。物理环境与设施管理脆弱性：包括周边环境、涉密场所和保障设施等。人员管理脆弱性：包括内部人员管理、外部相关人员管理等。设备与介质管理脆弱性：采购与选型、操作与使用、保管与保存、维修与报废等。运行与开发管理脆弱性：运行使用、应用系统开发、异常事件等。信息保密管理脆弱性：信息分类与控制、用户管理与授权、信息系统互联。责权不明、管理混乱、安全管理制度不健全及缺乏可操作性等。当网络出现攻击行为、网络受到其它一些安全威胁(如：内部人员违规操作)以及网络中出现未加保护而传播工作信息和敏感信息时，系统无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供追踪攻击行为的线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求我们必须对网络内出现的各种访问活动进行多层次记录，及时发现非法入侵行为和泄密行为。要建设涉密信息系统建立有效的信息安全机制，必须深刻理解网络和网络安全，并能提供直接的安全解决方案，因此最可行的做法是安全管理制度和安全解决方案相结合，并辅之以相应的安全管理工具。3.2 威胁分析3.2.1 威胁源分析作为一个较封闭的内网，攻击事件的威胁源以内部人员为主，内部人员攻击可以分为恶意和无恶意攻击，攻击目标通常为机房、网络设备、主机、介质、数据和应用系统等，恶意攻击指XXX企业内部人员对信息的窃取；无恶意攻击指由于粗心、无知以及其它非恶意的原因而造成的破坏。对于XXX机关涉密信息系统来讲，内部人员攻击的行为可能有以下几种形式：1被敌对势力、腐败分子收买，窃取业务资料；2恶意修改设备的配置参数，比如修改各级XXX企业网络中部署的防火墙访问控制策略，扩大自己的访问权限；3恶意进行设备、传输线路的物理损坏和破坏；4出于粗心、好奇或技术尝试进行无意的配置，这种行为往往对系统造成严重的后果，而且防范难度比较高。3.2.2 攻击类型分析1. 被动攻击：被动攻击包括分析通信流，监视未被保护的通讯，解密弱加密通讯，获取鉴别信息(比如口令)。被动攻击可能造成在没有得到用户同意或告知用户的情况下，将信息或文件泄露给攻击者。对于各级XXX企业网络来讲，被动攻击的行为可能有以下几种形式：1) 有意识的对涉密信息应用系统进行窃取和窥探尝试；2) 监听涉密信息网络中传输的数据包；3) 对涉密信息系统中明文传递的数据、报文进行截取或篡改；4) 对加密不善的帐号和口令进行截取，从而在网络内获得更大的访问权限；5) 对网络中存在漏洞的操作系统进行探测；6) 对信息进行未授权的访问；2. 主动攻击：主动攻击包括试图阻断或攻破保护机制、引入恶意代码、偷窃或篡改信息。主动进攻可能造成数据资料的泄露和散播，或导致拒绝服务以及数据的篡改。对于XXX机关涉密信息系统来讲，主动攻击的行为可能有以下几种形式：1) 字典攻击：黑客利用一些自动执行的程序猜测用户名和密码，获取对内部应用系统的访问权限；2) 劫持攻击：在涉密信息系统中双方进行会话时被第三方(黑客)入侵，黑客黑掉其中一方，并冒充他继续与另一方进行会话，获得其关注的信息；3) 假冒：某个实体假装成另外一个实体，以便使一线的防卫者相信它是一个合法的实体，取得合法用户的权利和特权，这是侵入安全防线最为常用的方法；4) 截取：企图截取并修改在本院涉密信息系统络内传输的数据，以及省院、地市院、区县院之间传输的数据；5) 欺骗：进行IP地址欺骗，在设备之间发布假路由，虚假AI冲数据包；6) 重放：攻击者对截获的某次合法数据进行拷贝，以后出于非法目的而重新发送：7) 篡改：通信数据在传输过程中被改变、删除或替代；8) 恶意代码：恶意代码可以通过涉密信息网络的外部接口和软盘上的文件、软件侵入系统，对涉密信息系统造成损害；9) 业务拒绝：对通信设备的使用和管理被无条件地拒绝。绝对防止主动攻击是十分困难的，因此抗击主动攻击的主要途径是检测，以及对此攻击造成的破坏进行恢复。3.3风险的识别与确定3.3.1风险识别物理环境安全风险：网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用，而造成网络系统的不可用，如：1) 涉密信息的非授权访问，异常的审计事件；2) 设备被盗、被毁坏；3) 线路老化或被有意或者无意的破坏；4) 因电子辐射造成信息泄露；5) 因选址不当造成终端处理内容被窥视；6) 打印机位置选择不当或设置不当造成输出内容被盗窃；7) 设备意外故障、停电；8) 地震、火灾、水灾等自然灾害。因此，XXX企业涉密信息系统在考虑网络安全风险时，首先要考虑物理安全风险。例如：设备被盗、被毁坏；设备老化、意外故障；计算机系统通过无线电辐射泄露秘密信息等。介质安全风险：因温度、湿度或其它原因，各种数据存储媒体不能正常使用；因介质丢失或被盗造成的泄密；介质被非授权使用等。运行安全风险：涉密信息系统中运行着大量的网络设备、服务器、终端，这些系统的正常运行都依靠电力系统的良好运转，因电力供应突然中断或由于UPS和油机未能及时开始供电造成服务器、应用系统不能及时关机保存数据造成的数据丢失。因为备份措施不到位，造成备份不完整或恢复不及时等问题。信息安全保密风险：涉密信息系统中采用的操作系统(主要为Windows 2000 server，Windows XP)、数据库都不可避免地存在着各种安全漏洞，并且漏洞被发现与漏洞被利用之间的时间差越来越大，这就使得操作系统本身的安全性给整个涉密信息系统带来巨大的安全风险。另一方面，病毒已成为系统安全的主要威胁之一，特别是随着网络的发展和病毒网络化趋势，病毒不仅对网络中单机构成威胁，同时也对网络系统造成越来越严重的破坏，所有这些都造成了系统安全的脆弱性。涉密信息系统中网络应用系统中主要存在以下安全风险：1. 用户提交的业务信息被监听或修改；用户对成功提交的业务事后抵赖；2. 由于网络一些应用系统中存在着一些安全漏洞，包括数据库系统与IIS系统中大量漏洞被越来越多地发现，因此存在非法用户利用这些漏洞对专网中的这些服务器进行攻击等风险。服务系统登录和主机登录使用的是静态口令，口令在一定时间内是不变的，且在数据库中有存储记录，可重复使用。这样非法用户通过网络窃听，非法数据库访问，穷举攻击，重放攻击等手段很容易得到这种静态口令，然后，利用口令，可对资源非法访问和越权操作。另外，在XXX企业涉密信息系统中运行多种应用系统，各应用系统中几乎都需要对用户权限的划分与分配，这就不可避免地存在着假冒，越权操作等身份认证漏洞。此外网络边界缺少防护或访问控制措施不力、以及没有在重要信息点采取必要的电磁泄漏发射防护措施都是导致信息泄露的因素。安全保密管理风险：再安全的网络设备离不开人的管理，再好的安全策略最终要靠人来实现，因此管理是整个网络安全中最为重要的一环，尤其是对于一个比较庞大和复杂的网络，更是如此。XXX企业在安全保密管理方面可能会存在以下风险：当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等)，无法进行实时的检测、监控、报告与预警。虽然制定了相关管理制度，但是缺少支撑管理的技术手段，使事故发生后，无法提供攻击行为的追踪线索及破案依据。因此，最可行的做法是管理制度和管理解决方案的结合。3.3.2 风险分析结果描述风险只能预防、避免、降低、转移和接受，但不可能完全被消灭。风险分析就是分析风险产生/存在的客观原因，描述风险的变化情况，并给出可行的风险降低计划。XXX企业涉密信息系统的分级保护方案应该建立在风险分析的基础之上，根据“脆弱性分析”和“威胁分析”中所得到的系统脆弱性和威胁的分析结果，详细分析它们被利用的可能性的大小，并且要评估如果攻击得手所带来的后果，然后再根据涉密信息系统所能承受的风险，来确定系统的保护重点。本方案所采用的风险分析方法为“安全威胁因素分析法”，围绕信息的“机密性”、“完整性”和“可用性”三个最基本的安全需求，针对前述每一类脆弱性的潜在威胁和后果进行风险分析并以表格的形式表达，对于可能性、危害程度、风险级别，采用五级来表示，等级最高为五级()，如下表： 层面脆弱和威胁可能性危害程度风险级别物理层自然灾害与环境事故、电力中断重要设备被盗内外网信号干扰电磁辐射恶劣环境对传输线路产生电磁干扰采用纸制介质存储重要的机密信息线路窃听存储重要的机密信息移动介质随意放置网络层网络拓扑结构不合理造成旁路可以出现安全漏洞不同用户群、不同权限的访问者混在一起，不能实现有效的分离网络阻塞，用户不能实现正常的访问非法用户对服务器的安全威胁共享网络资源带来的安全威胁系统重要管理信息的泄漏传播黑客程序进行信息监听ARP攻击威胁利用TCP协议缺陷实施拒绝服务攻击系统层操作系统存在着安全漏洞系统配置不合理操作系统访问控制脆弱性网络病毒攻击合法用户主动泄密非法外连存储信息丢失应用层应用软件自身脆弱性应用系统访问控制风险应用软件安全策略、代码设计不当数据库自身的安全问题抵赖风险缺乏审计操作系统安全带来的风险数据库安全风险管理层松散的管理面临泄密的风险安全保密管理机构不健全人员缺乏安全意识人员没有足够的安全技术的培训安全规则制度不完善表3-1 XXX企业涉密信息系统风险分析表第四章 安全保密需求分析4.1 技术防护需求分析4.1.1 机房与重要部位XXX企业内网和外网已实现物理隔离，置于不同的机房内。内网机房、机要室等重要部位将安装电子监控设备，并配备了报警装置及电子门控系统，对进出人员进行了严格控制，并在其他要害部门安装了防盗门，基本满足保密标准要求。4.1.2网络安全物理隔离：由于XXX企业的特殊性，XXX企业已组建了自己的办公内网，与其他公共网络采取了物理隔离，满足保密标准要求。网络设备的标识与安放：XXX企业现阶段，虽然在管理制度上对专网计算机进行管理要求，但没有对设备的密级和主要用途进行标识，所以需要进行改进，并按照设备涉密属性进行分类安放，以满足保密标准要求。违规外联监控：XXX企业专网建成后，网络虽然采用了物理隔离，但缺少对涉密计算机的违规外联行为的监控和阻断，例如内部员工私自拨号上网，通过无线网络上网等。所以为了防止这种行为的发生，在涉密网建设中需要一套违规外联监控软件对非授权计算机的上网行为进行阻断。网络恶意代码与计算机病毒防治：病毒对于计算机来说是个永恒的话题，就像人会感染病菌而生病一样，计算机也会感染病毒而导致异常，同时有些病毒的爆发还会导致计算机网络瘫痪、重要数据丢失等后果，XXX机关充分考虑到这一问题， 配备了网络版杀毒软件，系统内的关键入口点以及各用户终端、服务器和移动计算机设备设置了防护措施，保证恶意代码与计算机病毒不会通过网络途径传播进入涉密网，同时也确保移动存储设备介入涉密网后，不会感染涉密网络。同时还制定了杀毒软件升级的手段，基本满足保密标准要求。网络安全审计：目前网络安全问题大多数出现在内部网络，而XXX企业涉密信息系统的建设却缺少这种安全防护和审计手段，因此为了保证内部网络安全，需要配置安全审计系统，对公共资源操作进行审计控制，了解计算机的局域网内部单台计算机网络的连接情况，对计算机局域网内网络数据的采集、分析、存储备案。通过实时审计网络数据流，根据用户设定的安全控制策略，对受控对象的活动进行审计。安全漏洞扫描：解决网络层安全问题，首先要清楚网络中存在哪些隐患、脆弱点。面对大型网络的复杂性和不断变化的情况，依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估，显然是不现实的。解决的方案是，寻找一种能扫描网络安全漏洞、评估并提出修改建议的网络安全扫描工具。所以本项目中需要配置安全漏洞扫描系统。信息传输密码保护：加密传输是网络安全重要手段之一。信息的泄露很多都是在链路上被搭线窃取，数据也可能因为在链路上被截获、被篡改后传输给对方，造成数据真实性、完整性得不到保证。如果利用加密设备对传输数据进行加密，使得在网上传的数据以密文传输，因为数据是密文。所以即使在传输过程中被截获，入侵者也读不懂，而且加密机还能通过先进性技术手段对数据传输过程中的完整性、真实性进行鉴别。可以保证数据的保密性、完整性及可靠性。XXX机关对异地数据传输进行加密，在区县院设置加密卡完成传数据局的保密。网络接口控制：在BMB17标准中明确规定，对系统中网络设备暂不使用的所有网络连接口采取安全控制措施，防止被非授权使用。所以仅靠管理制度是难以满足之一要求的，需要套管理软件对系统的USB、串口并口、1394、Modem、网卡、软驱、光驱、红外线等设备端口进行控制，已满足保密标准的要求。电磁泄漏发射防护：计算机系统在工作时，系统的显示屏、机壳缝隙、键盘、连接电缆和接口等处会发生信息的电磁泄漏，泄漏方式为线路传导发射和空间辐射。利用计算机设备的电源泄漏窃取机密信息是国内外情报机关截获信息的重要途径，因为用高灵敏度的仪器截获计算机及外部设备中泄漏的信息，比用其他方法获得情报要准确、可靠、及时、连续的多，而且隐蔽性好，不易被对方察觉，因此防电磁泄漏是信息安全的一个重要环节。XXXXXX企业对电磁泄漏发射防护缺少技术保护手段，不满足保密标准要求，存在隐患，所以需要通过电磁泄漏防护措施，如：配置线路传到干扰器，配置屏蔽机柜，配置低辐射设备（红黑隔离插座）、干扰器（视频干扰器），有效抵抗泄漏信息在空间扩散被截获对信息机密行的威胁。备份与恢复：是涉密网建设的重要组成部分，一旦出现数据丢失或网络设备瘫痪所造成的损失是无法估量的。在涉密网建设中备份与恢复可以分为两方面的内容，一是对涉密数据及关键业务数据的备份。可以通过在线备份、离线备份、异地备份等形式完成。现在常用的是通过磁盘镜像、磁带机备份、刻录光盘等方式备份。二是对关键设备的备份与恢复，可以采用双机热备的形式进行防护，并制定详细的恢复方案和计划。4.1.3主机安全目前XXX企业内网终端的安全保密建设只是安装有防病毒软件的客户端程序，对主机安全的需求还有：（1）需要部署国产防病毒软件客户端程序，并及时、统一升级病毒库，防止恶意代码影响计算机正常运行；（2）需要部署保密管理系统，对终端外设及接口进行控制，对用户敏感操作行为进行审计，对移动存储介质的使用授权和管理，对可能发生的违规外联行为进行阻断和报警，阻止与工作无关的应用程序的运行。（3）需要及时升级操作系统、数据库补丁，防止由于系统漏洞造成涉密信息失泄密；（4）加强主机开机、系统登陆、远程管理等操作的身份鉴别机制，根据标准要求执行密码设置或采取更为有效的身份鉴别措施；（5）需要安装视频信息保护机，防止终端显示器设备电磁发射泄漏导致的失泄密风险；（6）需要安装红黑电源隔离插座，有效隔离红黑设备的供电电源，防止电源线传导泄漏导致的失泄密风险。4.1.4介质安全介质标识：对硬盘、软盘、光盘、磁带、USB盘等涉密信息存储介质根据其所处理信息的最高密级进行标识；涉密信息存储介质的密级标识不易被涂改、损坏和丢失。介质的收发和传递：制定介质收发的管理制度，制定规定对涉密信息存储介质履行清点、等级、编号等手续的相关容；制定介质收发记录，记录包括介质名称、用途、发送时间、发送单位、发送人员、接收时间、接收单位、接收人员等相关内容；制定介质传递的管理制度，制度规定对涉密信息存储介质传递时的封装、标识、指派专人专车或者通过机要交通、机要通信、机要方法等方法进行传递的相关内容；制定介质传递记录，记录包括介质名称、用途、时间、传递人员和传递方式等相关内容、介质的使用：制定介质使用管理制度，规定涉密介质按照规定不应在非涉密信息系统内使用，较高密级信息存储介质不应在较低密级系统中使用，较高机密信息存储介质用于存储较低密级的信息时应仍按原有密级进行管理。对报废处理的涉密信息存储介质在非涉密信息系统内重新使用或利用前，应进行信息消除处理，信息消除时所采用的信息消除技术、设备和措施应符合国家保密工作部门的相关规定；携带处理涉密信息的设备外出或出境时，应按照相关保密规定采取保护措施，并办理相关手续，此外还应使用涉密信息存储介质始终处于携带人的有效控制之下；涉密信息存储介质的复制及制作应在本机关、单位内部或保密工作部门审查批准的单位进行，并标明涉密和保密期限，注明发放范围及制作数量，编排顺序号。复制、制作过程中形成的不需要归档的涉密材料，应及时销毁等相关内容；制定介质使用记录，记录包括介质的制作与复制、外出或处境和信息消除等相关内容；采用涉密介质安全管控与违规外联预警系统，使用授权管理中心进行授权使用，并对用户终端使用中断控制程序限制USB接口的使用，增强介质使用的安全性。介质保存：介质存放于公司保密办的保密柜中；制定介质保存的管理制度，制定规定相关责任部门应定期对当年所存涉密信息存储介质进行清查、核对，发现问题及时向保密工作部门报告内容；制定介质保存记录，记录包括介质清查与核对的时间、人员等内容。介质维修：制定介质维修的管理制度，制度规定必须本单位专业人员全程参与现场维修，需要外修时必须按照国家有关规定到具有涉密信息系统数据恢复资质的维修点进行维修等内容、制定介质维修记录，记录包括介质名称、维修人员、陪同人员、维修时间、故障原因、排除方法、主要维修过程及维修结果等内容；定点设备维修单位和维修人员签订安全保密协议。介质报废：制定介质报废的管理制度，制定规定不再使用或无法使用的涉密信息存储介质在进行报废处理前，应进行信息消除处理，信息消除处理时应按照国家保密部门的有关规定，采取符合国家保密工作部门的有关规定的信息消除技术、设备和措施，并做好涉密介质报废批准、清点、登记等手续的内容；制定介质报废记录，记录包括设备名称、审批人员、报废时间和最终去向。以上针对介质安全管理是通过制度进行规范的，但仅靠管理制度是难以真正实现对介质安全的管理要求，必须“技管并举，以技促管”。例如：通过制度难以实现一下需求控制：无法有效区分可信介质与非可信介质；无法实现有效接入控制；无法确保存储在移动介质中的保密信息与国际互联网物理隔离等。所以需要一套完善的介质管理系统来解决这些制度无法控制的隐患。4.1.5数据与应用安全数据与应用安全是XXX机关涉密信息系统建设的重要内容，通过建立统一的网络信任和授权管理体系，创建一体化的身份认证、访问控制及责任认证平台，为所有的应用系统提供统一的身份认证和访问控制服务，并可对事故责任进行追查：1. 建立全网统一的身份认证机制，每个用户拥有唯一身份标识的数字证书；2. 建立访问控制机制，确保仅拥有数字证书的合法用户能通过授权访问应用系统；3. 在应用系统中，分配每个用户权限，限定用户的操作范围，通过数字签名功能，防止抵赖行为，保证数据的完整性；4. 对用户通过访问控制系统的访问进行审计；5. 通过密级标识手段，保证信息主体与密级标识的不可分离，为信息流向、访问控制提供依据；6. 对关键业务系统采用双机热备，对关键业务数据采取异地容灾的方式保证数据及应用安全。4.2管理需求分析4.2.1人员管理人员管理包括内部工作人员管理和外部相关人员管理。内部工作人员管理包括本单位正式编制人员、聘用人员（工勤、服务人员）等人员录用、岗位职责、保密协议签订、教育培训、保密监控、人员奖惩和人员离岗离职的管理；外部相关人员管理包括内部工作人员之外的其他人员（特别是境外人员）以及设备（特别是进出口设备）的维修服务人员等外来的保密要求知会、安全控制区域隔离、携带物品限制和旁站陪同控制。4.2.2物理环境与设备管理1. 从物理安全需求来分析，物理环境的安全是整个涉密网络安全得以保障的前提；2. 要保护网络设备、设施、介质和信息免受自然灾害、环境事故以及人为物理操作失误或错误及各种物理手段进行违法犯罪行为导致的破坏、丢失；3. 涉密网络必须要具备环境安全、设备安全和介质安全等物理支撑环境，切实保障实体的安全；4. 确保系统内的环境安全，设备的物理安全，机房和配线间的环境安全，防止设备被盗、被破坏；5. 保证涉密网络与非涉密网络的物理隔离；6. 防止设备产生的电磁信息通过空间辐射和传导泄漏；7. 保障涉密介质在使用、保存、维护方面的安全。4.2.3运行与开发管理1. 系统必须保证内部网络的持续有效的运行，防止对内部网络设施的入侵和攻击、防止通过消耗带宽等方式破坏网络的可用性；2. 网络安全系统应保证内网机密信息在存储于传输时保密性；3. 对关键网络、系统和数据的访问必须得到有效地控制，这要求系统能够可靠确认访问者的身份，谨慎授权，并对任何访问进行跟踪记录；4. 对于网络安全系统应具备审记和日志功能，对相关重要操作提供可靠而方便的可管理和维护功能；5. 确保涉密信息系统的服务器系统、终端在全方位、多层次的进行安全配置和安全加固；6. 建立覆盖全网的补丁集中管理机制，对操作系统进行及时的补丁分发、安装，保证操作系统处于最有状态，进而确保系统处于最佳使用状态；7. 确保接入涉密网服务器的安全，对应用服务器进行内核加固，对后端和管理服务器进行安全加固，以抵御针对操作系统的攻击行为，保证其发布信息的真实性和可靠性；8. 对应用系统的数据库进行安全加固，防止针对数据库的攻击行为；9. 对客户端加强终端安全管理，对登录用户实行双因素身份认证，杜绝客户端的非授权操作，确保存储在终端设备中的工作信息和敏感信息的安全，使其不被非法篡改和破坏；10. 针对防病毒危害性极大并且传播极为迅速，配备从客户端到服务器的整套防病毒软件，实现全网的病毒安全防护；11. 对系统内终端用户的非授权外联行为采用技术手段进行检查和阻断；12. 建立涉密移动存储介质集中的统一管理机制，并采用具体安全防护措施的涉密介质，防止数据通过介质方式泄露；13. 确保数据库中所存储的信息在遭到破坏时能得到及时的恢复。4.2.4设备与介质管理1. 须指定专人负责管理涉密存储介质，定期清理、回收、检查并掌握其使用情况，确保涉密信息的安全保密；2. 涉密存储介质的管理实行“谁主管、谁负责”的原则；3. 涉密存储介质在使用和管理中要严格登记、集中管理、专人负责；4. 软盘、U盘等移动存储介质要在显著位置上贴上标条，标志条上要有统一编码，密级标识，要有登记；5. 涉密存储介质只能用来存储涉密信息，非涉密存储介质只能来存储非涉密信息；6. 涉密存储介质应按存储信息的最高密级标注密级，并按相同密级的载体管理；7. 禁止将涉密存储介质接入互联网；8. 严格限制互联网将数据拷贝到涉密信息设备和涉密信息系统；确因工作需要，经审查批准后，应使用非涉密移动存储介质进行拷贝，通过先对其进行查杀病毒后，再进行数据交换；9. 严禁将私人具有存储功能的介质和电子设备带入要害部门、部位和涉密场所；10. 涉密移动存储介质只能在涉密场所使用，严禁借给外部使用。确因工作需要带出办公场所的，秘密级的经本部门主管领导批准，机密级以上的须经本单位主管领导批准后，信息安全员将对介质进行清空处理，确保介质内只存有与本次外出相关的涉密信息，采取严格的保密措施。归还时，信息安全员还应执行信息消除处理；11. 涉密存储介质保存必须选择安全保密的场所和部位，并由专人保管、存放在保密密码柜里；12. 员工离开办公场所时，必须将涉密存储介质存放到保密设备里；13. 对涉密介质需要维修时，应提出申请，有信息中心派专人进行现场维修，并有使用单位相关人员全程陪同，做好维修日志；14. 存储过国家秘密信息的存储介质，不能降低密集使用，不再使用或损坏的涉密存储介质办理报废审批手续，及时交信息中心进行确定，维修和销毁由保密办统一到国家保密局制定的地点进行销毁，或采用符合保密要求的物理、化学方式彻底销毁，销毁应确保涉密信息无法还原；15. 对涉密存储介质要定期清查、核对，发现丢失要及时查处。4.2.5信息保密管理信息保密管理应从信息分类与控制、用户管理与授权和信息系统安全互联控制三个方面来进行分析。信息分类与控制：应根据国家相关法律、规定，确定系统中涉密信息的密级和保密期限，定期对其中含有的涉密信息的总量进行汇总，当系统中高等级涉密信息含量明显增多时应考虑调整系统防护措施。系统中存在过的信息及其存储介质应有相应的密级标识，电子文件密级标识应由信息主题不可分离，密级标识不可篡改。用户标识与授权：应建立完整的系统用户清单，新增或删除用户时应履行相应的手续。每个用户应有唯一的身份标识，表示有系统管理员产生，有保密管理员定期检查，如有异常及时向系统安全保密管理机构汇报。应有明确的最小授权分配策略，并将所有用户的权限明细文档化，应定期审查权限列表，如有异常及时向系统安全保密管理机构汇报。信息系统互联：应注意不同密级信息系统之间以及涉密系统与非涉密系统之间的互联互通。 第五章 方案总体设计5.1安全保密建设目标XXX企业涉密信息系统安全保密建设的总体目标是：严格参照国家相关安全保密标准和法规，将XXX企业信息系统建设成符合国家相关法规和标准要求的涉密信息系统，使之能够处理相对应密级的信息，为XXX企业信息化应用提供安全保密平台，使其能够安全地接入全国XXX机关涉密信息系统。具体建设目标如下：1. 具有抵御敌对势力有组织的大规模攻击的能力；2. 抵抗严重的自然灾害的能力；3. 建立统一的安全管理平台，实现对全网设备的安全管理；4. 确保合法用户使用合法网络资源，实现对用户的认证和权限管理；5. 防范计算机病毒和恶意代码危害的能力；6. 具有检测、发现、报警、记录入侵行为的能力；7. 具有与各种应用系统相适应的业务安全保护机制，确保数据在存储、传输过程中的完整性和敏感数据的机密性；8. 具有对安全事件进行快速响应处置，并能够追踪安全责任的能力；9. 在系统遭到损害后，具有能够较快恢复正常运行状态的能力；10. 对于服务保障性要求高的系统，应能迅速恢复正常运行状态；11. 建立有效的安全管理机制，并与之配套的风险分析与安全评估机制、设备和人员管理制度、敏感信息管理制度、安全操作规程等。5.2设计原则与依据5.2.1设计原则根据安全保密建设目标，XXX机关涉密信息系统分级保护总体方案的设计应遵从“规范定密、准确定级，依据标准、同步建设，突出重点、确保核心，明确责任、加强监督”的原则。同时，还应兼顾：1. 分域分级防护：涉密信息系统应根据信息密级、行政级别等划分不同的安全域并确定等级，按照相应等级的保护要求进行防护；2. 技术和管理并重：涉密信息系统分级保护时应采取技术和管理相结合的、整体的安全保密措施；3. 最小授权与分权管理：涉密信息系统内用户的权限应配置为确保其完成工作所必需的最小授权，网络中的帐号设置、服务配置、主机间信任关系配置等应该为网络正常运行所需的最小授权，并使不同用户的权限相互独立、相互制约，避免出现权限过大的用户或帐号。5.2.2设计依据1. 法规和文件中华XXX共和国保守国家秘密法（1989年5月1日实施）中华XXX共和国保守国家秘密法实施办法（1990年5月25日国家保密局令第1号发布）国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）关于信息安全等级保护工作的实施意见（公通字200466号）中共中央保密委员会办公室、国家保密局关于保密要害部门、部位保密管理规定(中办厅字20051号)关于开展全国重要信息系统安全等级保护定级工作的通知（公信安2007861号）涉及国家秘密的信息系统分级保护管理办法（国保发200516号）关于开展涉密信息系统分级保护工作的通知（国保发20069号）涉及国家秘密的信息系统审批管理规定（国保发200718号）涉及国家秘密的计算机信息系统集成资质管理办法（国保发2005）信息安全等级保护管理办法（公通字200743号）2.标准规范BMB17-2006涉及国家秘密的信息系统分级保护技术要求BMB18-2006涉及国家秘密的信息系统工程监理规范BMB20-2007涉及国家秘密的信息系统分级保护管理规范BMB22-2007涉及国家秘密的信息系统分级保护测评指南BMB23-2008涉及国家秘密的信息系统分级保护方案设计指南5.3 安全保密防护整体框架在建设本方案中，根据BMB17-2006和BMB20-2007的具体规定，在满足物理隔离与违规外联监控、边界防护与控制、密级标识与密码保护、用户身份鉴别与访问控制、电磁泄漏发射防护、安全保密产品选择、安全保密管理机构、安全保密管理制度和安全管理人员等基本测评项的基础上，从物理安全、运行安全、信息安全保密、安全保密管理、产品选型与安全服务等方面，设计涉密信息系统的安全保密防护框架，如图5-1示。图 5-1 涉密信息系统安全保密防护框架 第六章 方案详细设计6.1 物理安全6.1.1 环境安全1. 重要涉密部位和机房选址XXX企业都具有独立的办公场所，重要涉密部位和机房均在办公室内部，附近基本没有境外驻华机构、境外人员驻地等涉外场所，并且整个办公区采用封闭式管理。机房选址基本满足GB9361-1988中的安全机房场地选择要求。并对重要涉密部位在防窃听、防窃照、防窃收、防实体入侵、防非授权进入等方面均有相关防护措施。各级XXX企业涉密信息系统里没有无线技术与无线设备，所以其带来的无线设备的信息泄漏问题不用考虑防护措施。1) 机房建设对主机房及重要信息存储部门来说：首先要保证中央地点的安全防范工作，如：对能够进入机房及重要信息存储部门的工作人员进行严格的控制；出入记录；录像监控；窗户加防护栏、门磁、红外报警等。出入记录可以采用目前先进的IC卡技术等来实现，具有做到实时记录，方便查询等优点。另外门磁、红外报警等作为安全技术防范的辅助手段加以使用，并在重要区域使用线路干扰等设备防止信号外泄。由于本次项目中将XXX企业划分为不同的安全等级，所以在机房建设时应根据BM17要求，并在防火、防水、防震、电力、布线、配电、温湿度、防雷、防静电等方面达到GB9361中B类机房建设要求；机密级、秘密级应满足GB50174.GB/T2887-2000的要求，并在防火、防水、防震、电力、布线、配电、温湿度、防雷、防静电等方面达到GB9361中B类机房建设要求。在各级XXX企业的机房内设置屏蔽机柜。在满足GB50174.GB/T2887-2000要求的基础上，在防火、防水、防震、电力、布线、配电、温湿度、防雷、防静电等方面达到GB9361-1988中机房建设要求。(1)在机房所在的建筑物均配备有安全保卫人员，实现人员进出审查和巡逻；(2)机房选址远离餐饮、旅游、宾馆等人员复杂的公共场所；(3)机房的水、电、防雷、温湿度等符合GB9361-1988中机房建设要求；(4)核心机房采用屏蔽机柜设计，防范机房环境的电磁泄漏；(5)机房均配备电子门控系统，进出机房人员均需要口令和门禁卡；(6)各机房均配备了视频监控系统，实现6个月或者更长的录像存储；(7)各机房的电子门控和视频监控系统均记录日常的门禁日志和健康录像，从而满足了机密级的涉密要求；(8)机房设计有红外报警装置；2) 重点部位监控和区域控制XXX企业保密要害部位包括领导及秘书办公室、党组会议室、检委会会议室、机要室、机要机房、网络中心机房、档案室、文印室等。对这些重点部位采取安全措施如门控、报警等，对中心机房、设备间以及涉密用户工作间的人员出入情况进行健康，并应配备敬畏人员加强涉密信息系统所处周边环境边界的安全控制。(1) 在这些重点部位部署有监控、报警系统；(2) 在整个办公场所配有视频监视和警卫人员巡视；在各个楼宇的出入口有视频监控和警卫人员登记检查；(3) 在机房和重要涉密部门有视频监控、警卫人员登记检查和门禁控制。在主要涉密系统所在的建筑物均配备有安全保卫人员，实现人员进出审查和巡逻；(4) 工作区周围通过红外报警和视频监控进行重点部位和区域进行健康。6.1.2 设备安全1) 门控措施中心机房、重要的设备间和其他保密要害部门，应采用有效的电子门控措施；使用的电子门控系统应能自动记录出入日志。XXX企业涉