计算机信息系统分级保护方案.

方案方案 1 1 系统总体部署系统总体部署 1 涉密信息系统的组网模式为 服务器区 安全管理区 终端区共同连 接至核心交换机上 组成类似于星型结构的网络模式 参照 TCP IP 网络模型建 立 核心交换机上配置三层网关并划分 Vlan 在服务器安全访问控制中间件以 及防火墙上启用桥接模式 核心交换机 服务器安全访问控制中间件以及防火 墙上设置安全访问控制策略 ACL 禁止部门间 Vlan 互访 允许部门 Vlan 与 服务器 Vlan 通信 核心交换机镜像数据至入侵检测系统以及网络安全审计系统 服务器区包含原有应用系统 安全管理区包含网络防病毒系统 主机监控与审 计系统 windows 域控及 WSUS 补丁分发系统 身份认证系统 终端区分包含所 有业务部门 服务器安全访问控制中间件防护的应用系统有 XXX 系统 XXX 系统 XXX 系统 XXX 系统以及 XXX 系统 防火墙防护的应用系统有 XXX XXX 系统 XXX 系统 XXX 系统以及 XXX 系统 2 邮件系统的作用是 进行信息的驻留转发 实现点到点的非实时通信 完成集团内部的公文流转以及协同工作 使用 25 110 端口 使用 SMTP 协议以 及 POP3 协议 内网终端使用 C S 模式登录邮件系统 将内网用户使用的邮件账号在服务器群组安全访问控制中间件中划分到不 同的用户组 针对不同的用户组设置安全级别 安全级别分为 1 7 级 可根据 实际需求设置相应的级别 1 7 级的安全层次为 1 级最低级 7 级最高级 由 1 到 7 逐级增高 即低密级用户可以向高密级用户发送邮件 高密级用户不得 向低密级用户发送 保证信息流向的正确性 防止高密数据流向低密用户 3 针对物理风险 采取红外对射 红外报警 视频监控以及门禁系统进 行防护 针对电磁泄射 采取线路干扰仪 视频干扰仪以及红黑电源隔离插座 进行防护 2 2 物理安全防护物理安全防护 总体物理安全防护设计如下 1 1 周边环境安全控制 周边环境安全控制 XXX 侧和 XXX 侧部署红外对射和入侵报警系统 部署视频监控 建立安防监控中心 重点部位实时监控 具体部署见下表 表 1 1 周边安全建设 序号序号保护部位保护部位现有防护措施现有防护措施需新增防护措施需新增防护措施 1 1人员出入通道 2 2物资出入通道 序号序号保护部位保护部位现有防护措施现有防护措施需新增防护措施需新增防护措施 3 3南侧 4 4西侧 5 5东侧 6 6北侧 2 2 要害部门部位安全控制 要害部门部位安全控制 增加电子门禁系统 采用智能 IC 卡和口令相结合的管理方式 具体防护措 施如下表所示 表 1 2 要害部门部位安全建设 序号序号保护部门保护部门出入口控制出入口控制现有安全措施现有安全措施新增安全措施新增安全措施 1 1门锁 登记 24H 警卫值班 2 2门锁 3 3门锁 4 4门锁 5 5门锁 登记 6 6门锁 登记 7 7门锁 登记 8 8门锁 登记 9 9机房出入登记 1010门锁 3 3 电磁泄漏防护电磁泄漏防护 建设内容包括 为使用非屏蔽双绞线的链路加装线路干扰仪 为涉密信息系统内的终端和服务器安装红黑电源隔离插座 为视频信号电磁泄漏风险较大的终端安装视频干扰仪 通过以上建设 配合 安防管理制度 以及 电磁泄漏防护管理制度 使 得达到物理安全防范到位 重要视频监控无死角 进出人员管理有序 实体入 侵报警响应及时以及电磁泄漏信号无法捕捉 无法还原 2 12 1 红外对射红外对射 1 部署 增加红外对射装置 防护边界 具体部署位置如下表 表 1 1 红外对射部署统计表 序号序号部署位置部署位置数量 对 数量 对 1 1 东围墙 2 2 北围墙 3 3 合计合计 部署方式如下图所示 图 1 2 红外对射设备 设备成对出现 在安装地点双向对置 调整至相同水平位置 2 第一次运行策略 红外对射 24 小时不间断运行 当有物体通过 光线被遮挡 接收机信号发 生变化 放大处理后报警 设置合适的响应时间 以 10 米 秒的速度来确定最 短遮光时间 设置人的宽度为 20 厘米 则最短遮断时间为 20 毫秒 大于 20 毫 秒报警 小于 20 毫秒不报警 3 设备管理及策略 红外对射设备由公安处负责管理 实时监测设备运行情况及设备相应情况 定期对设备及传输线路进行检查 维护 并定期向保密办提交设备运维报告 4 部署后解决的风险 解决重点部位监控及区域控制相关风险 2 22 2 红外报警红外报警 1 部署 增加红外报警装置 对保密要害部位实体入侵风险进行防护 报警 具体 部署位置如下表 表 1 2 红外报警部署统计表 序号序号部署位置部署位置数量 个 数量 个 1 1 2 2 3 3 4 4 合计合计 设备形态如下图所示 图 1 3 红外报警设备 部署在两处房间墙壁角落 安装高度距离地面 2 0 2 2 米 2 第一次运行策略 红外报警 24 小时不间断运行 设置检测 37 特征性 10 m 波长的红外线 远离空调 暖气等空气温度变化敏感的地方 不间隔屏 家具或其他隔离物 不直对窗口 防止窗外的热气流扰动和人员走动会引起误报 3 设备管理及策略 红外报警设备由公安处负责管理 监测设备运行情况及设备相应情况 定 期对设备进行检查 维护 并定期向保密办提交设备运维报告 4 部署后解决的风险 解决重点部位监控及区域控制相关风险 2 32 3 视频监控视频监控 1 部署 增加视频监控装置 对周界 保密要害部门部位的人员出入情况进行实时 监控 具体部署位置如下表 表 1 3 视频监控部署统计表 序号序号部署位置部署位置数量 个 数量 个 1 1 2 2 3 3 4 4 5 5 6 6 7 7 8 8 合计合计 设备形态如下图所示 图 1 4 视频监控设备 视频监控在室外采用云台枪机式设备 室内采用半球式设备 部署在房间 墙壁角落 覆盖门窗及重点区域 增加 32 路嵌入式硬盘录像机一台 用于对视频采集信息的收集和压缩存档 设备形态如下图所示 图 1 5 硬盘录像机 2 第一次运行策略 视频监控 24 小时不间断运行 设置视频采集格式为 MPEG 4 显示分辨率 768 576 存储 回放分辨率 384 288 3 设备管理及策略 视频监控设备由公安处负责管理 实时监测设备运行情况及设备相应情况 定期对设备及传输线路进行检查 维护 并定期向保密办提交设备运维报告 4 部署后解决的风险 解决重点部位监控及区域控制相关风险 2 42 4 门禁系统门禁系统 1 部署 增加门禁系统 对保密要害部门部位人员出入情况进行控制 并记录日志 具体部署位置如下表 表 1 4 门禁系统部署统计表 序号序号部署位置部署位置数量 个 数量 个 1 1 2 2 3 3 4 4 5 5 6 6 7 7 8 8 9 9 1010 1111 合计合计 部署示意图如下图所示 图 1 6 门禁系统部署方式 2 第一次运行策略 对每个通道设置权限 制作门禁卡 对可以进出该通道的人进行进出方式 的授权 采取密码 读卡方式 设置可以通过该通道的人在什么时间范围内可以 进出 实时提供每个门区人员的进出情况 每个门区的状态 包括门的开关 各种非正常状态报警等 设置在紧急状态打开或关闭所有门区的功能 设置防 尾随功能 3 设备管理及策略 门禁系统由公安处负责管理 定期监测设备运行情况及设备相应情况 对 设备及传输线路进行检查 维护 并定期向保密办提交设备运维报告 4 部署后解决的风险 解决重点部位监控及区域控制相关风险 2 52 5 线路干扰仪线路干扰仪 1 部署 增加 8 口线路干扰仪 防护传输数据沿网线以电磁传导 辐射发射 耦合 等方式泄漏的情况 将从交换机引至其布线最远端以及次远端的线缆插接至线 路干扰仪 并由线路干扰仪连接至最远端和次远端 将该设备进行接地处理 具体部署位置如下表 表 1 6 线路干扰仪部署统计表 序号序号部署位置部署位置数量 个 数量 个 1 1 2 2 3 3 合计合计 设备形态如下图所示 图 1 11 线路干扰仪设备 2 第一次运行策略 在网线中一对空线对上注入伪随机宽带扫频加扰信号 使之能跟随其他三 对网线上的信号并行传输到另一终端 窃密者若再从网线或其他与网络干线相 平行的导线 如电话线及电源线等 上窃取信息 实际上所窃得的仅是已被加 扰信号充分湮没了的混合信号 3 设备管理及策略 线路干扰仪由信息中心负责管理 对设备编号 标识密级 摆放 调测 定期对设备及传输线路进行检查 维护 并定期向保密办提交设备运维报告 4 部署后解决的风险 解决传输线路的电磁泄漏发射防护相关风险 2 62 6 视频干扰仪视频干扰仪 1 部署 增加视频干扰仪 防止对涉密终端视频信息的窃取 对XXX号楼存在的涉 密终端部署 将该设备进行接地处理 具体部署位置如下表 表 1 7 视频干扰仪部署统计表 序号序号部署位置部署位置数量 个 数量 个 1 1 2 2 3 3 1111 合计合计 设备形态如下图所示 图 1 12 视频干扰仪设备 2 第一次运行策略 设置设备运行频率为 1000 MHz 3 设备管理及策略 视频干扰仪由信息中心负责管理 监测设备运行情况及设备相应情况 定 期对设备进行检查 维护 并定期向保密办提交设备运维报告 4 部署后解决的风险 解决信息设备的电磁泄漏发射防护相关风险 2 72 7 红黑电源红黑电源隔离插座隔离插座 1 部署 增加红黑电源隔离插座 防护电源电磁泄漏 连接的红黑电源需要进行接 地处理 具体部署位置如下表 表 1 8 红黑电源部署统计表 序号序号部署位置部署位置数量 个 数量 个 1 1 涉密终端 2 2 服务器 3 3 UPS 4 4 合计合计 产品形态如下图所示 图 1 13 红黑电源隔离插座 2 运行维护策略 要求所有涉密机均直接连接至红黑电源上 红黑电源上不得插接其他设备 安装在涉密终端及涉密单机的红黑隔离电源由使用者维护 安装在服务器的由 信息中心维护 出现问题向保密办报告 4 部署后解决的风险 解决信息设备的电磁泄漏发射防护相关风险 3 3 网络安全防护网络安全防护 3 13 1 网闸网闸 使用 1 台网闸连接主中心以及从属中心 用于安全隔离及信息交换 1 部署 部署 1 台网闸于主中心及从属中心核心交换机之间 做单向访问控制与信 息交互 设备启用路由模式 通过路由转发连接主中心以及从属中心 从物理 层到应用层终结所有的协议包 还原成原始应用数据 以完全私有的方式传递 到另一个网络 主中心以及从属中心之间在任一时刻点上都不产生直接的物理 连通 部署拓扑示意图如下 主主中中心心 从从属属中中心心 网网闸闸 从从属属中中心心 核核心心交交换换机机 主主中中心心 核核心心交交换换机机 图 1 8 网闸部署拓扑示意图 2 第一次运行策略 配置从属中心访问主中心的权限 允许从属中心特定地址访问主中心所有 服务器 允许其他地址访问公司内部门户以及人力资源系统 配置访问内部门 户 SQL server 数据库服务器 禁止其他所有访问方式 配置网闸病毒扫描 对 流经网闸设备数据进行病毒安全扫描 配置系统使用 Https 方式管理 确保管 理安全 3 设备管理及策略 网闸设备按照 网闸运维管理制度 进行管理 a 由信息中心管理网闸设备 分别设置管理员 安全保密管理员 安全审 计员的口令 由 三员 分别管理 b 由信息中心对网闸设备进行编号 标识密级 安放至安全管理位置 c 信息中心负责网闸设备的日常运行维护 每周登陆设备查看设备配置 设备自身运行状态 转发数据量状态 系统日志等内容 d 信息中心发现异常情况及时通报保密办 并查找问题原因 各部门配合 信息中心及时解决问题 e 信息中心负责网闸设备的维修管理 设备出现问题 通知保密办 获得 批准后 负责设备的维修管理 4 部署后解决的风险 解决两网互联的边界防护问题 对应用的访问进行细粒度的控制 各自隔 离 两网在任一时刻点上都不产生直接的物理连通 3 23 2 防火墙防火墙 涉密信息系统采用防火墙系统 1 台进行边界防护 用于涉密信息系统网关 的安全控制 网络层审计等 防火墙系统部署于从属中心 原有防火墙部署于 主中心 不做调整 1 部署 使用防火墙系统限制从属中心终端访问机密级服务器的权限 并且记录所 有与服务器区进行交互的日志 防火墙的 eth1 口 eth2 口设置为透明模式 配置桥接口 fwbridge0 IP 地址 配置管理方式为 https 方式 打开多 VLAN 开 关 打开 tcp udp ICMP 广播过滤 防火墙的日志数据库安装在安全管理服务 器上 部署拓扑示意图如下 机密级秘密级工作级 防防火火墙墙 从从属属中中心心 核核心心交交换换机机 秘秘密密级级服服务务器器群群 图 1 9 防火墙部署示意图 2 第一次运行策略 防火墙上设置访问控制策略 并设定不同用户所能访问的资源 a 允许从属中心授权用户访问软件配置管理系统 b 开放系统内所能使用到的端口 其他不使用的端口进行全部禁止访问限 制 c 可以依据保密办相关规定设定审查关键字 对于流经防火墙的数据流进 行关键字过滤 d 审计从属中心用户和服务器区域的数据交换信息 记录审计日志 e 整个防火墙系统的整个运行过程和网络信息流等信息 均进行详细的日 志记录 方便管理员进行审查 3 设备管理及策略 防火墙系统由信息中心进行管理及维护 任何策略的改动均需要经过保密 办的讨论后方可实施 防火墙的日志系统维护 日志的保存与备份按照 防火 墙运维管理制度 进行管理 a 由信息中心管理防火墙设备 分别设置管理员 安全保密管理员 安全 审计员的口令 由 三员 分别管理 b 由信息中心对防火墙设备进行编号 标识密级 安放至安全管理位置 c 信息中心负责防火墙设备的日常运行维护 每周登陆设备查看设备配置 设备自身运行状态 转发数据量状态 系统日志等内容 d 信息中心发现异常情况及时通报保密办 并查找问题原因 各部门配合 信息中心及时解决问题 e 信息中心负责防火墙设备的维修管理 设备出现问题 通知保密办 获 得批准后 负责设备的维修管理 4 部署后解决的风险 原有防火墙保证主中心各 Vlan 的三层逻辑隔离 对各安全域之间进行访问 控制 对网络层访问进行记录与审计 保证信息安全保密要求的访问控制以及 安全审计部分要求 3 33 3 入侵检测系统入侵检测系统 使用原有入侵检测设备进行网络层监控 保持原有部署及原有配置不变 设备的管理维护依旧 此设备解决的风险为对系统内的安全事件监控与报警 满足入侵监控要求 3 43 4 违规外联系统违规外联系统 1 部署 采用涉密计算机违规外联监控系统 部署于内网终端 涉密单机及中间机 上 的违规外联监控系统采用 B S 构架部署 安装 1 台内网监控服务器 1 台 外网监控服务器 安装 645 个客户端 全部安装于内网终端 涉密单机以及中 间机上 部署示意图如下 I In nt te er rn ne et t 拨拨号号 W WL La an n 3 3G G 庆庆华华公公司司违违规规外外联联监监控控 公公网网报报警警服服务务器器 内内网网终终端端 涉涉密密单单机机 中中间间机机 均均 安安 装装 违违 规规 外外 联联 监监 控控 系系 统统 客客 户户 端端 庆庆华华公公司司违违规规外外联联监监控控 内内网网管管理理服服务务器器 涉涉密密内内网网 实实时时监监控控 实实时时监监控控 图 1 1 违规外联系统部署示意图 2 第一次运行策略 系统实时地监测受控网络内主机及移动主机的活动 对非法内 外联行为由 报警控制中心记录并向管理员提供准确的告警 同时 按照预定的策略对非法 连接实施阻断 防止数据外泄 报警控制中心能够以手机短信 电子邮件两种 告警方式向网络管理员告警 其中手机短信是完全实时的告警 非常方便和及 时 3 设备管理及策略 违规外联监控系统由信息中心进行管理及维护 任何策略的改动均需要经 过保密办的讨论后方可实施 违规外联监控系统的日志系统同时维护 日志的 保存与备份按照 违规外联监控系统运维管理制度 进行管理 a 由信息中心管理违规外联监控系统 分别设置管理员 安全保密管理员 安全审计员的口令 由 三员 分别管理 b 由信息中心对违规外联监控系统报警服务器进行编号 标识密级 安放 至安全管理位置 c 信息中心负责违规外联监控系统的日常运行维护 每周登陆设备查看服 务器硬件运行状态 策略配置 系统日志等内容 d 信息中心发现异常情况及时通报保密办 并查找问题原因 各部门配合 信息中心及时解决问题 e 信息中心负责违规外联监控系统服务器的维修管理 设备出现问题 通 知保密办 获得批准后 联系厂家负责设备的维修管理 f 当系统出现新版本 由管理员负责及时更新系统并做好备份工作 4 部署后解决的风险 解决违规拨号 违规连接和违规无线上网等风险 4 4 应用安全防护应用安全防护 4 14 1 服务器群组安全访问控制中间件服务器群组安全访问控制中间件 涉密信息系统采用服务器群组安全访问控制中间件 2 台 用于涉密信息系 统主中心秘密级服务器 从属中心秘密级服务器边界的安全控制 应用身份认 证 邮件转发控制 网络审计以及邮件审计等 防护主中心的 XXX 系统 XXX 系统 XXX 系统 XXX 系统 XXX 系统以及 XXX 门户 防护从属中心的 XXX 系统 以及 XXX 类软件系统 1 部署 由于主中心的终端之间以及从属中心内的终端之间数据流动均被设计为以 服务器为跳板进行驻留转发 所以在服务器前端的服务器群组安全访问控制中 间件系统起到了很强的访问控制功能 限制终端访问服务器的权限并且记录所 有与服务器区进行交互的日志 服务器群组安全访问控制中间件的 eth1 口 eth2 口设置为透明模式 启用桥接口进行管理 部署拓扑示意图如下 机密级秘密级工作级 服服务务器器安安 全全访访问问控控 制制中中间间件件 网网闸闸 服服务务器器安安 全全访访问问控控 制制中中间间件件 从从属属中中心心 核核心心交交换换机机 主主中中心心 核核心心交交换换机机 机密级秘密级工作级 机机密密级级服服务务器器群群 机机密密级级服服务务器器群群 图 1 10 服务器群组安全访问控制中间件部署示意图 2 第一次运行策略 服务器群组安全访问控制中间件上设置访问控制策略 并设定不同用户所 能访问的服务器资源 设置邮件转发控制功能 为每个用户设置访问账号及密 码 依据密级将用户划分至不同用户组中 高密级用户不得向低密级用户发送 邮件 配置邮件审计功能 记录发件人 收件人 抄送人 主题 附件名等 配置网络审计与控制功能 可以依据保密办相关规定设定审查关键字 对于流 经系统的数据流进行关键字过滤 审计内部用户和服务器区域的数据交换信息 审计应用访问日志 3 设备管理及策略 服务器群组安全访问控制中间件系统由信息中心进行管理及维护 任何策 略的改动均需要经过保密办的讨论后方可实施 服务器群组安全访问控制中间 件的日志系统维护 日志的保存与备份按照 服务器群组安全访问控制中间件 运维管理制度 进行管理 a 由信息中心管理服务器群组安全访问控制中间件设备 分别设置管理员 安全保密管理员 安全审计员的口令 由 三员 分别管理 b 由信息中心分别对 2 台服务器群组安全访问控制中间件设备进行编号 标识密级 安放至安全管理位置 c 信息中心负责服务器群组安全访问控制中间件设备的日常运行维护 每 周登陆设备查看设备配置 设备自身运行状态 转发数据量状态 系统日志等 内容 d 信息中心发现异常情况及时通报保密办 并查找问题原因 各部门配合 信息中心及时解决问题 e 信息中心负责服务器群组安全访问控制中间件设备的维修管理 设备出 现问题 通知保密办 获得批准后 负责设备的维修管理 4 部署后解决的风险 解决对应用访问的边界防护 应用及网络审计 数据库安全以及数据流向 控制 满足边界防护 安全审计及数据库安全等要求 4 24 2 windowswindows 域控及补丁分发域控及补丁分发 改造原有 AD 主域控制器及备份域控制器 1 部署 的主中心以及从属中心均部署 AD 主域控制器及备份域控制器 共计 2 套 并建立 IIS 服务器 安装 WSUS 服务器 提供系统补丁强制更新服务 将终端系 统的安全性完全与活动目录集成 用户授权管理和目录进入控制整合在活动目 录当中 包括用户的访问和登录权限等 通过实施安全策略 实现系统内用户 登录身份认证 集中控制用户授权 终端操作基于策略的管理 通过设置组策 略把相应各种策略 包括安全策略 实施到组策略对象中 部署拓扑示意图如 下 A AD D域域控控服服务务器器 主主 备备 W WS SU US S服服务务器器 机密级秘密级工作级 网网闸闸 从从属属中中心心 核核心心交交换换机机 主主中中心心 核核心心交交换换机机 机密级秘密级工作级 A AD D域域控控服服务务器器 主主 备备 W WS SU US S服服务务器器 图 1 7 域控及 WSUS 部署示意图 2 第一次运行策略 建立好域成员及其密码 将所有内网终端的本地账号权限收回 内网终端 只能使用管理员下发的域成员用户登录系统 通过组策略指定不同安全域用户 口令的复杂性 长度 使用周期 锁定策略 指定每一个用户可登录的机器 机密级终端需要将 USB KEY 令牌与域用户登录结合使用 达到 双因子 鉴别 的过程 设置终端用户工作环境 隐藏用户无用的桌面图标 删除 开始 菜单中 的 运行 搜索 功能 启用内网 Windows XP 终端内置的 WSUS 客户端 由系统漏洞的官方漏洞发 布页下载完整的系统漏洞修复程序 将此程序通过中间机系统导入涉密信息系 统 在 WSUS 服务器端导入此程序 由 WSUS 服务器下发系统补丁强制修复策略 强制更新各个终端的系统漏洞 3 设备管理及策略 AD 域控系统以及 WSUS 补丁分发系统由信息中心进行管理及维护 域控组 策略的改动均需要经过保密办的讨论后方可操作 WSUS 系统的升级更新按照 与管理及补丁分发运维管理制度 进行管理 a 由信息中心管理 AD 域控系统以及 WSUS 补丁分发系统 分别设置管理员 安全保密管理员 安全审计员的口令 由 三员 分别管理 b 由信息中心分别对 2 套 AD 域控系统以及 WSUS 补丁分发系统服务器进行 编号 标识密级 安放至安全管理位置 c 信息中心负责 AD 域控系统以及 WSUS 补丁分发系统服务器的日常运行维 护 每周登陆服务器查看服务器硬件运行状态 组策略配置 域成员状态 系 统日志等内容 d 信息中心发现异常系统日志及时通报保密办 并查找原因 追究根源 4 部署后解决的风险 解决部分身份鉴别以及操作系统安全相关风险 4 34 3 网络安全审计网络安全审计 使用网络安全审计系统 2 台 用于对涉密信息系统的网络及应用进行安全 审计和监控 审计功能包括 应用层协议还原审计 数据库审计 网络行为审 计 自定义关键字审计等 1 部署 旁路部署于核心交换机的镜像目的接口 部署数量为 2 台 分别部署于主 中心以及从属中心的核心交换机上 设置其管理地址 用于系统管理及维护 部署拓扑示意图如下 主主中中心心 从从属属中中心心 网网闸闸 从从属属中中心心 核核心心交交换换机机 主主中中心心 核核心心交交换换机机 网网络络安安全全审审计计 网网络络安安全全审审计计 图 1 14 网络安全审计部署示意图 2 第一次运行策略 配置审计 http POP3 Smtp imap telnet FTP 协议以及自定义审计 1433 8080 27000 1043 1034 1037 1041 1040 1042 6035 7777 36 90 端口 依据保密规定设定相关关键词字 审计关键词字 使用 Https 方式管 理系统 3 设备管理及策略 网络安全审计系统由信息中心进行管理及维护 审计策略的改动均需要经 过保密办的讨论后方可操作 网络安全审计系统的日志系统维护 日志的保存 与备份按照 网络安全审计运维管理制度 进行管理 a 由信息中心管理网络安全审计设备 分别设置管理员 安全保密管理员 安全审计员的口令 由 三员 分别管理 b 由信息中心分别对 2 台网络安全审计设备进行编号 标识密级 安放至 安全管理位置 c 信息中心负责网络安全审计系统的日常运行维护 每周登陆设备查看设 备配置 设备自身运行状态 转发数据量状态 系统日志等内容 d 信息中心发现异常审计日志及时通报保密办 并查找原因 追究根源 e 信息中心负责网络安全审计系统的维修管理 设备出现问题 通知保密 办 获得批准后 负责设备的维修管理 4 部署后解决的风险 解决应用审计 针对内容进行审计记录 满足安全审计相关要求 5 5 终端安全防护终端安全防护 5 15 1 防病毒系统防病毒系统 将使用网络版防病毒软件建立病毒防护系统 共计 26 个服务器端 419 个 客户端 分别部署在主中心以及从属中心 将使用单机版防病毒软件建立中间机 单机及便携式计算机病毒防护系统 共计 226 个终端 1 部署 防病毒系统采用客户端 服务器结构 服务器由信息中心负责管理 杀毒中心安装 安装在安全管理服务器上 设置好 admin 密码 并且将注 册信息输入到杀毒控制中心 服务器安装 在各类服务器上安装杀毒服务器端 设置杀毒中心的 IP 地址 并保持与杀毒中心的实时通信 客户端安装 所有的内外终端均安装客户端杀毒程序 设置杀毒中心的 IP 地址 与杀毒中心同步 单机防病毒系统直接部署在涉密单机及中间机上 2 第一次运行策略 防病毒控制中心服务器部署在保密室 网络防病毒系统连接在核心交换机 的 access 接口上 交换机接口配置 Vlan 二层信息为 接口类型为 access 为 其划分 Vlan 使得其与其他 Vlan 不能通过二层相通 使得网络防病毒系统需 要通过三层与其他 Vlan 通信 即网络防病毒系统可以对网络中所有的主机设备 进行杀毒统一管理和在线控制 所有接入网络的终端计算机和应用服务器 windows 操作系统 都安装防 病毒软件 管理员通过控制台实现对全网防病毒系统的统一管理 并强制在用 户接入网络时安装防病毒客户端 升级方式为 在非涉密计算机上从互联网下载最新的防病毒系统升级包 刻制成光盘 将此光盘上的防病毒系统升级包通过非涉密中间机导入到涉密光 盘上 带入到涉密内网的防病毒系统服务器上 利用服务器上的防病毒系统服 务端提供的接口导入升级包 再通过服务端将更新了的病毒库向每一台防病毒 系统客户端进行强制更新 防病毒管理 定期升级病毒特征库 每周不少于一次 定期进行全网杀毒 扫描 每天计划不少于一次 每月检查防病毒系统的运行情况并记录 备份并 存储病毒日志 制定应急预案 防止病毒大面积爆发 3 设备管理及策略 为了防止计算机病毒或恶意代码传播 将采取如下措施 a 制定 涉密信息系统运行管理制度 该管理办法将与涉密信息系统的 建设同时进行制定 同时加强审计 确保策略的正确实施 b 加强存储设备的接入管理 对接入系统的存储设备必须先经过计算机病 毒和恶意代码检查处理 c 所有的涉密计算机 usb 及光驱等接口均通过授权才能使用 防止系统用 户私自安装软件或使用 usb 设备带病毒入网 4 部署后解决的风险 解决计算机病毒与恶意代码防护 操作系统安全相关风险 5 25 2 恶意程序辅助检测系统恶意程序辅助检测系统 涉密信息系统采用恶意程序辅助检测系统 用于涉密信息系统的中间机信 息输入输出介质的恶意程序及木马病毒查杀及管控 1 部署 系统采用单机部署在中间机上的结构 共 4 台中间机 主中心 2 台 从属 中心 2 台 分别为涉密中间机以及非涉密中间机 4 台中间机上均安装恶意程 序辅助检测系统 对中间机潜在的恶意程序及木马进行管控 2 第一次运行策略 使用恶意程序辅助检测系统接管系统关键服务 限制未知程序启动 未知 驱动加载 设置策略进行恶意代码扫描 设置策略拦截恶意程序的盗取行为 3 设备管理及策略 恶意程序辅助检测系统由信息中心进行管理及维护 任何策略的改动均需 要经过保密办的讨论后方可实施 恶意程序辅助检测系统的日志系统同时维护 日志的保存与备份按照 恶意程序辅助检测系统运维管理制度 进行管理 a 由信息中心管理恶意程序辅助检测系统 分别设置管理员 安全保密管 理员 安全审计员的口令 由 三员 分别管理 b 由信息中心对中间机进行编号 标识密级 记录安放位置并指定中间机 负责人 c 信息中心负责定期到中间机提取审计日志信息等内容 d 信息中心发现高风险事件及时通报保密办 并查找风险源头 各部门配 合信息中心及时解决问题 e 中间机负责人严格遵守 恶意程序辅助检测系统运维管理制度 使用 中间机需要进行申请 审批 登记摆渡内容 使用恶意程序辅助检测系统防止 摆渡介质可能携带的恶意程序及木马危害系统 4 部署后解决的风险 解决中间机计算机病毒与恶意代码防护相关风险 5 35 3 主机监控与审计系统主机监控与审计系统 使用原有主机监控与审计系统进行对终端行为监控和限制 保持原有部署 及原有配置不变 管理方式及策略依旧 此设备解决的风险为设备数据接口控 制 主机安全审计风险 5 45 4 移动介质管理系统移动介质管理系统 采用移动介质管理系统对公司移动存储介质进行管理 1 部署 使用一台单机作为移动存储介质的系统管理机 安装涉密移动存储介质保 密管理系统以及审计平台 该单机放置于信息中心 由信息中心管理维护 部署 30 个客户端 具体分布如下表所示 表 1 5 移动介质系统部署汇总表 序号序号部署位置部署位置数量数量 1 1 2 2 3 3 4 4 5 5 6 6 7 7 8 8 9 9 1010合计合计 2 第一次运行策略 使用移动介质管理系统对公司移动存储介质进行 注册登记 授权 定密 发放 收回 销毁 删除 采用全盘加密技术 防止格式化 U 盘后进行数据恢 复 3 设备管理及策略 移动介质下发至各部门 由各部门进行统一管理 保密办进行二级管理 借用需要通过部门领导的审批 登记后进行使用 并限定使用时间及使用范围 采取的技术防护手段为主机监控与审计系统 进行移动介质设备的管控与日志 记录 移动介质出现硬件问题后 交由保密办统一封存处理 4 部署后解决的风险 解决介质安全存在的风险 5 55 5 终端安全登录及身份认证系统终端安全登录及身份认证系统 采用终端安全登录与监控审计系统 网络版 用于对机密级终端的 双因 子 登录身份认证 采用终端安全登录与监控审计系统 单机版 用于对涉密 单机 中间机登录身份认证 主机监控与审计 1 部署 终端安全登录与监控审计系统 网络版 服务器部署于安全管理区 数量 为 2 套 分别部署于主中心和从属中心 认证客户端安装于机密级终端上 共 计 89 台 单机版直接部署在具所有的中间机以及涉密单机上 2 第一次运行策略 所有终端的策略采取以下方式进行 开机安全登录与认证 关闭光驱 软 驱 串口 并口 红外 蓝牙 网络接口 1394 火线 PDA USB 存储自由使用 禁止修改注册表 安装软件 安全模式启动 外联 更换设备 禁止打印 监 控文件操作 特殊的终端如果需要开放特殊策略 则必须由保密办审批核准后 由信息中心系统管理员进行策略的调整与下发 3 设备管理及策略 终端安全登录与监控审计系统由信息中心进行管理及维护 任何策略的改 动均需要经过保密办的讨论后方可实施 终端安全登录与监控审计系统的日志 系统同时维护 日志的保存与备份按照 终端安全登录与监控审计系统运维管 理制度 进行管理 a 由信息中心管理终端安全登录与监控审计系统 分别设置管理员 安全 保密管理员 安全审计员的口令 由 三员 分别管理 b 由信息中心对终端安全