分级保护方案设计详解

第 1 页 共129页 iiu 第三章第三章 安全保密风险分析安全保密风险分析 3 1 脆弱性分析脆弱性分析 脆弱性是指资产或资产组中能被威胁所利用的弱点 它包括物理环境 组织机 构 业务流程 人员 管理 硬件 软件及通讯设施等各个方面 脆弱性是资产本 身存在的 如果没有被相应的威胁利用 单纯的脆弱性本身不会对资产造成损害 而且如果系统足够强健 严重的威胁也不会导致安全事件发生 并造成损失 威胁 总是要利用资产的脆弱性才可能造成危害 资产的脆弱性具有隐蔽性 有些脆弱性只有在一定条件和环境下才能显现 这 是脆弱性识别中最为困难的部分 不正确的 起不到任何作用的或没有正确实施的 安全措施本身就可能是一个弱点 脆弱性是风险产生的内在原因 各种安全薄弱环 节 安全弱点自身并不会造成什么危害 它们只有在被各种安全威胁利用后才可能 造成相应的危害 针对 XXX 机关涉密信息系统 我们主要从技术和管理两个方面分析其存在的安 全脆弱性 3 1 1 技术脆弱性技术脆弱性 1 物理安全脆弱性 环境安全 物理环境的安全是整个基地涉密信息系统安全得以保障的前提 如 果物理安全得不到保障 那么网络设备 设施 介质和信息就容易受到自然灾害 环境事故以及人为物理操作失误或错误等各种物理手段的破坏 造成有价值信息的 丢失 目前各级 XXX 企业的中心机房大部分采用独立的工作空间 并且能够达到国 家标准 GB50174 1993 电子计算机机房设计规范 GB2887 1989 计算机场地 技术条件 GB9361 1998 计算站场地安全要求 和 BMBl7 2006 涉及国家秘 密的信息系统分级保护技术要求 等要求 设备安全 涉密信息系统的中心机房均按照保密标准要求采取了安全防范措施 防止非授权人员进入 避免设备发生被盗 被毁的安全事故 介质安全 目前各级 XXX 企业的软磁盘 硬盘 光盘 磁带等涉密媒体按所存 第 2 页 共129页 储信息的最高密级标明密级 并按相应的密级管理 2 运行安全脆弱性分析 备份与恢复 备份与恢复是保证涉密信息系统运行安全的一个不可忽视问题 当遇到 如火灾 水灾等 不可抗因素 不会造成关键业务数据无法恢复的惨痛局面 同时将备份关键业务数据的存储介质放置在其他建筑屋内 防止在异常事故发生时 被同时破坏 网络防病毒 各级 XXX 企业涉密网络中的操作系统主要是 windows 系列操作系 统 虽有安全措施 却在不同程度上存在安全漏洞 同时 病毒也是对涉密网络安 全的主要威胁 有些病毒可感染扩展名为 corn exe 和 ovl 的可执行文件 当运行这 些被感染的可执行文件时就可以激活病毒 有些病毒在系统底层活动 使系统变得 非常不稳定 容易造成系统崩溃 还有蠕虫病毒可通过网络进行传播 感染的计算 机容易导致系统的瘫痪 近年来 木马的泛滥为计算机的安全带来了严重的安全问 题 木马通常是病毒携带的一个附属程序 在被感染的计算机上打开一个后门 使 被感染的计算机丧失部分控制权 另外还有黑客程序等 可以利用系统的漏洞和缺 陷进行破坏 都会为涉密网络带来安全风险 各级 XXX 企业涉密网络中采用网络版 杀毒软件对涉密系统进行病毒防护 并制定合理的病毒升级策略和病毒应急响应计 划以保证涉密网络的安全 应急响应与运行管理 各级 XXX 企业采用管理与技术结合的手段 设置定期备 份机制 在系统正常运行时就通过各种备份措施为灾害和故障做准备 健全安全管 理机构 建立健全的安全事件管理机构 明确人员的分工和责任 建立处理流程图 制定安全事件响应与处理计划及事件处理过程示意图 以便迅速恢复被安全事件破 坏的系统 3 信息安全保密脆弱性 自身脆弱性 任何应用软件都存在不同程度的安全问题 主要来自于两个方面 一方面是软件设计上的安全漏洞 另一方面是安全配置的漏洞 针对软件设计上的 安全漏洞和安全配置的漏洞 如果没有进行合适的配置加固和安全修补 就会存在 比较多的安全风险 由于目前防病毒软件大多集成了部分漏洞扫描功能 并且涉密 网络中的涉密终端与互联网物理隔离 因此可以通过对涉密网络进行漏洞扫描 定 期下载升级补丁 并制定相应的安全策略来防护 第 3 页 共129页 电磁泄漏发射防护 信息设备在工作中产生的时变电流引起电磁泄漏发射 将 设备处理的信息以电磁波的形式泄露在自由空间和传导线路上 通过接收这种电磁 波并采取相应的信号处理技术可以窃取到信息 这种窃收方式危险小 不易被发现 和察觉 随着我国信息化水平的不断提高 我国涉密部门大量使用计算机 网络终 端等办公自动化设备 涉密信息的安全保密受到严重威胁 这种威胁不像病毒攻击 和网络攻击那样可以看到或者有迹可寻 它的隐蔽性强 危害极大 安全审计 安全审计是对信息系统的各种事件及行为实行监测 信息采集 分 析并针对特定事件及行为采取相应动作 XXXXXX 企业涉密信息系统没有有效的审计 应用系统出现了问题之后无法追查 也不便于发现问题 造成了损失也很难对原因 进行定性 边界安全防护 计算机连接互联网存在着木马 病毒 黑客入侵的威胁 并且 我国安全保密技术手段尚不完备 对操作系统和网络设备的关键技术尚未掌握 不 足以抵挡高技术窃密 因此涉密网络必须与互联网物理隔离 而仅将涉密系统置于 独立的环境内进行物理隔离 并不能做到与互联网完全隔离 内部用户还可以通过 ADSL Modem 无线网卡等方式连接国际互联网 因此应该通过技术手段 对违规 外联行为进行阻断 另外 涉密网络中的内部介入问题也为涉密网络带来安全威胁 数据库安全 数据库系统作为计算机信息系统的重要组成部分 数据库文件作 为信息的聚集体 担负着存储和管理数据信息的任务 其安全性将是信息安全的重 中之重 数据库的安全威胁主要分为非人为破坏和人为破坏 对于非人为破坏 主 要依靠定期备份或者热备份等 并在异地备份 人为破坏可以从三个方面来防护 一 物理安全 保证数据库服务器 数据库所在环境 相关网络的物理安全性 二 访问控制 在帐号管理 密码策略 权限控制 用户认证等方面加强限制 三 数 据备份 定期的进行数据备份是减少数据损失的有效手段 能让数据库遭到破坏后 恢复数据资源 操作系统安全 操作系统的安全性在计算机信息系统的整体安全性中具有至关 重要的作用 没有操作系统提供的安全性 信息系统和其他应用系统就好比 建筑 在沙滩上的城堡 我国使用的操作系统 95 以上是 Windows 微软的 Windows 操 作系统源码不公开 无法对其进行分析 不能排除其中存在着人为 陷阱 现已发 第 4 页 共129页 现存在着将用户信息发送到微软网站的 后门 在没有源码的情形下 很难加强操 作系统内核的安全性 从保障我国网络及信息安全的角度考虑 必须增强它的安全 性 因此采用设计安全隔离层 中间件的方式 增加安全模块 以解燃眉之急 3 1 2 管理脆弱性管理脆弱性 任何信息系统都离不开人的管理 再好的安全策略最终也要靠人来实现 因此 管理是整个网络安全中最为重要的一环 所以有必要认真地分析管理所存在的安全 风险 并采取相应的安全措施 物理环境与设施管理脆弱性 包括周边环境 涉密场所和保障设施等 人员管理脆弱性 包括内部人员管理 外部相关人员管理等 设备与介质管理脆弱性 采购与选型 操作与使用 保管与保存 维修与报废 等 运行与开发管理脆弱性 运行使用 应用系统开发 异常事件等 信息保密管理脆弱性 信息分类与控制 用户管理与授权 信息系统互联 责 权不明 管理混乱 安全管理制度不健全及缺乏可操作性等 当网络出现攻击行为 网络受到其它一些安全威胁 如 内部人员违规操作 以及 网络中出现未加保护而传播工作信息和敏感信息时 系统无法进行实时的检测 监 控 报告与预警 同时 当事故发生后 也无法提供追踪攻击行为的线索及破案依 据 即缺乏对网络的可控性与可审查性 这就要求我们必须对网络内出现的各种访 问活动进行多层次记录 及时发现非法入侵行为和泄密行为 要建设涉密信息系统建立有效的信息安全机制 必须深刻理解网络和网络安全 并能提供直接的安全解决方案 因此最可行的做法是安全管理制度和安全解决方案 相结合 并辅之以相应的安全管理工具 3 2 威胁分析威胁分析 3 2 1 威胁源分析威胁源分析 作为一个较封闭的内网 攻击事件的威胁源以内部人员为主 内部人员攻击可 以分为恶意和无恶意攻击 攻击目标通常为机房 网络设备 主机 介质 数据和 应用系统等 恶意攻击指 XXX 企业内部人员对信息的窃取 无恶意攻击指由于粗心 第 5 页 共129页 无知以及其它非恶意的原因而造成的破坏 对于 XXX 机关涉密信息系统来讲 内部人员攻击的行为可能有以下几种形式 1 被敌对势力 腐败分子收买 窃取业务资料 2 恶意修改设备的配置参数 比如修改各级 XXX 企业网络中部署的防火墙访问 控制策略 扩大自己的访问权限 3 恶意进行设备 传输线路的物理损坏和破坏 4 出于粗心 好奇或技术尝试进行无意的配置 这种行为往往对系统造成严重 的后果 而且防范难度比较高 3 2 2 攻击类型分析攻击类型分析 1 被动攻击 被动攻击包括分析通信流 监视未被保护的通讯 解密弱加密通 讯 获取鉴别信息 比如口令 被动攻击可能造成在没有得到用户同意或告知用户的 情况下 将信息或文件泄露给攻击者 对于各级 XXX 企业网络来讲 被动攻击的行 为可能有以下几种形式 1 有意识的对涉密信息应用系统进行窃取和窥探尝试 2 监听涉密信息网络中传输的数据包 3 对涉密信息系统中明文传递的数据 报文进行截取或篡改 4 对加密不善的帐号和口令进行截取 从而在网络内获得更大的访问权限 5 对网络中存在漏洞的操作系统进行探测 6 对信息进行未授权的访问 2 主动攻击 主动攻击包括试图阻断或攻破保护机制 引入恶意代码 偷窃或 篡改信息 主动进攻可能造成数据资料的泄露和散播 或导致拒绝服务以及数据的 篡改 对于 XXX 机关涉密信息系统来讲 主动攻击的行为可能有以下几种形式 1 字典攻击 黑客利用一些自动执行的程序猜测用户名和密码 获取对内部应 用系统的访问权限 2 劫持攻击 在涉密信息系统中双方进行会话时被第三方 黑客 入侵 黑客黑 掉其中一方 并冒充他继续与另一方进行会话 获得其关注的信息 3 假冒 某个实体假装成另外一个实体 以便使一线的防卫者相信它是一个合 法的实体 取得合法用户的权利和特权 这是侵入安全防线最为常用的方法 第 6 页 共129页 4 截取 企图截取并修改在本院涉密信息系统络内传输的数据 以及省院 地 市院 区县院之间传输的数据 5 欺骗 进行 IP 地址欺骗 在设备之间发布假路由 虚假 AI 冲数据包 6 重放 攻击者对截获的某次合法数据进行拷贝 以后出于非法目的而重新发 送 7 篡改 通信数据在传输过程中被改变 删除或替代 8 恶意代码 恶意代码可以通过涉密信息网络的外部接口和软盘上的文件 软 件侵入系统 对涉密信息系统造成损害 9 业务拒绝 对通信设备的使用和管理被无条件地拒绝 绝对防止主动攻击是十分困难的 因此抗击主动攻击的主要途径是检测 以及 对此攻击造成的破坏进行恢复 3 3 风险的识别与确定风险的识别与确定 3 3 1 风险识别风险识别 物理环境安全风险 网络的物理安全风险主要指网络周边环境和物理特性引起 的网络设备和线路的不可用 而造成网络系统的不可用 如 1 涉密信息的非授权访问 异常的审计事件 2 设备被盗 被毁坏 3 线路老化或被有意或者无意的破坏 4 因电子辐射造成信息泄露 5 因选址不当造成终端处理内容被窥视 6 打印机位置选择不当或设置不当造成输出内容被盗窃 7 设备意外故障 停电 8 地震 火灾 水灾等自然灾害 因此 XXX 企业涉密信息系统在考虑网络安全风险时 首先要考虑物理安全风 险 例如 设备被盗 被毁坏 设备老化 意外故障 计算机系统通过无线电辐射 泄露秘密信息等 介质安全风险 因温度 湿度或其它原因 各种数据存储媒体不能正常使用 因介质丢失或被盗造成的泄密 介质被非授权使用等 第 7 页 共129页 运行安全风险 涉密信息系统中运行着大量的网络设备 服务器 终端 这些 系统的正常运行都依靠电力系统的良好运转 因电力供应突然中断或由于 UPS 和油 机未能及时开始供电造成服务器 应用系统不能及时关机保存数据造成的数据丢失 因为备份措施不到位 造成备份不完整或恢复不及时等问题 信息安全保密风险 涉密信息系统中采用的操作系统 主要为 Windows 2000 server Windows XP 数据库都不可避免地存在着各种安全漏洞 并且漏洞被发现 与漏洞被利用之间的时间差越来越大 这就使得操作系统本身的安全性给整个涉密 信息系统带来巨大的安全风险 另一方面 病毒已成为系统安全的主要威胁之一 特别是随着网络的发展和病毒网络化趋势 病毒不仅对网络中单机构成威胁 同时 也对网络系统造成越来越严重的破坏 所有这些都造成了系统安全的脆弱性 涉密信息系统中网络应用系统中主要存在以下安全风险 1 用户提交的业务信息被监听或修改 用户对成功提交的业务事后抵赖 2 由于网络一些应用系统中存在着一些安全漏洞 包括数据库系统与 IIS 系统 中大量漏洞被越来越多地发现 因此存在非法用户利用这些漏洞对专网中的这些服 务器进行攻击等风险 服务系统登录和主机登录使用的是静态口令 口令在一定时间内是不变的 且 在数据库中有存储记录 可重复使用 这样非法用户通过网络窃听 非法数据库访 问 穷举攻击 重放攻击等手段很容易得到这种静态口令 然后 利用口令 可对 资源非法访问和越权操作 另外 在 XXX 企业涉密信息系统中运行多种应用系统 各应用系统中几乎都需要对用户权限的划分与分配 这就不可避免地存在着假冒 越权操作等身份认证漏洞 此外网络边界缺少防护或访问控制措施不力 以及没有 在重要信息点采取必要的电磁泄漏发射防护措施都是导致信息泄露的因素 安全保密管理风险 再安全的网络设备离不开人的管理 再好的安全策略最终 要靠人来实现 因此管理是整个网络安全中最为重要的一环 尤其是对于一个比较 庞大和复杂的网络 更是如此 XXX 企业在安全保密管理方面可能会存在以下风险 当网络出现攻击行为或网 络受到其它一些安全威胁时 如内部人员的违规操作等 无法进行实时的检测 监控 报告与预警 虽然制定了相关管理制度 但是缺少支撑管理的技术手段 使事故发 生后 无法提供攻击行为的追踪线索及破案依据 因此 最可行的做法是管理制度 第 8 页 共129页 和管理解决方案的结合 3 3 2 风险分析结果描述风险分析结果描述 风险只能预防 避免 降低 转移和接受 但不可能完全被消灭 风险分析就 是分析风险产生 存在的客观原因 描述风险的变化情况 并给出可行的风险降低计 划 XXX 企业涉密信息系统的分级保护方案应该建立在风险分析的基础之上 根据 脆弱性分析 和 威胁分析 中所得到的系统脆弱性和威胁的分析结果 详细分 析它们被利用的可能性的大小 并且要评估如果攻击得手所带来的后果 然后再根 据涉密信息系统所能承受的风险 来确定系统的保护重点 本方案所采用的风险分 析方法为 安全威胁因素分析法 围绕信息的 机密性 完整性 和 可用性 三个最基本的安全需求 针对前述每一类脆弱性的潜在威胁和后果进行风险分析并 以表格的形式表达 对于可能性 危害程度 风险级别 采用五级来表示 等级最 高为五级 如下表 层面脆弱和威胁可能性危害程度风险级别 自然灾害与环境事故 电力中断 重要设备被盗 内外网信号干扰 电磁辐射 恶劣环境对传输线路产生电磁干扰 采用纸制介质存储重要的机密信息 线路窃听 物理层 存储重要的机密信息移动介质随意放置 网络拓扑结构不合理造成旁路可以出现安 全漏洞 不同用户群 不同权限的访问者混在一起 不能实现有效的分离 网络阻塞 用户不能实现正常的访问 非法用户对服务器的安全威胁 共享网络资源带来的安全威胁 系统重要管理信息的泄漏 传播黑客程序 进行信息监听 ARP 攻击威胁 网络层 利用 TCP 协议缺陷实施拒绝服务攻击 系统层操作系统存在着安全漏洞 第 9 页 共129页 系统配置不合理 操作系统访问控制脆弱性 网络病毒攻击 合法用户主动泄密 非法外连 存储信息丢失 应用软件自身脆弱性 应用系统访问控制风险 应用软件安全策略 代码设计不当 数据库自身的安全问题 抵赖风险 缺乏审计 操作系统安全带来的风险 应用层 数据库安全风险 松散的管理面临泄密的风险 安全保密管理机构不健全 人员缺乏安全意识 人员没有足够的安全技术的培训 管理层 安全规则制度不完善 表 3 1 XXX 企业涉密信息系统风险分析表 第 10 页 共129页 第四章第四章 安全保密需求分析安全保密需求分析 4 1 技术防护需求分析技术防护需求分析 4 1 1 机房与重要部位机房与重要部位 XXX 企业内网和外网已实现物理隔离 置于不同的机房内 内网机房 机要室 等重要部位将安装电子监控设备 并配备了报警装置及电子门控系统 对进出人员 进行了严格控制 并在其他要害部门安装了防盗门 基本满足保密标准要求 4 1 2 网络安全网络安全 物理隔离 由于 XXX 企业的特殊性 XXX 企业已组建了自己的办公内网 与其 他公共网络采取了物理隔离 满足保密标准要求 网络设备的标识与安放 XXX 企业现阶段 虽然在管理制度上对专网计算机进 行管理要求 但没有对设备的密级和主要用途进行标识 所以需要进行改进 并按 照设备涉密属性进行分类安放 以满足保密标准要求 违规外联监控 XXX 企业专网建成后 网络虽然采用了物理隔离 但缺少对涉 密计算机的违规外联行为的监控和阻断 例如内部员工私自拨号上网 通过无线网 络上网等 所以为了防止这种行为的发生 在涉密网建设中需要一套违规外联监控 软件对非授权计算机的上网行为进行阻断 网络恶意代码与计算机病毒防治 病毒对于计算机来说是个永恒的话题 就像 人会感染病菌而生病一样 计算机也会感染病毒而导致异常 同时有些病毒的爆发 还会导致计算机网络瘫痪 重要数据丢失等后果 XXX 机关充分考虑到这一问题 配备了网络版杀毒软件 系统内的关键入口点以及各用户终端 服务器和移动计算 机设备设置了防护措施 保证恶意代码与计算机病毒不会通过网络途径传播进入涉 密网 同时也确保移动存储设备介入涉密网后 不会感染涉密网络 同时还制定了 杀毒软件升级的手段 基本满足保密标准要求 网络安全审计 目前网络安全问题大多数出现在内部网络 而 XXX 企业涉密信 息系统的建设却缺少这种安全防护和审计手段 因此为了保证内部网络安全 需要 配置安全审计系统 对公共资源操作进行审计控制 了解计算机的局域网内部单台 第 11 页 共129页 计算机网络的连接情况 对计算机局域网内网络数据的采集 分析 存储备案 通 过实时审计网络数据流 根据用户设定的安全控制策略 对受控对象的活动进行审 计 安全漏洞扫描 解决网络层安全问题 首先要清楚网络中存在哪些隐患 脆弱 点 面对大型网络的复杂性和不断变化的情况 依靠网络管理员的技术和经验寻找 安全漏洞 做出风险评估 显然是不现实的 解决的方案是 寻找一种能扫描网络 安全漏洞 评估并提出修改建议的网络安全扫描工具 所以本项目中需要配置安全 漏洞扫描系统 信息传输密码保护 加密传输是网络安全重要手段之一 信息的泄露很多都是 在链路上被搭线窃取 数据也可能因为在链路上被截获 被篡改后传输给对方 造 成数据真实性 完整性得不到保证 如果利用加密设备对传输数据进行加密 使得 在网上传的数据以密文传输 因为数据是密文 所以即使在传输过程中被截获 入 侵者也读不懂 而且加密机还能通过先进性技术手段对数据传输过程中的完整性 真实性进行鉴别 可以保证数据的保密性 完整性及可靠性 XXX 机关对异地数据 传输进行加密 在区县院设置加密卡完成传数据局的保密 网络接口控制 在 BMB17 标准中明确规定 对系统中网络设备暂不使用的所有 网络连接口采取安全控制措施 防止被非授权使用 所以仅靠管理制度是难以满足 之一要求的 需要套管理软件对系统的 USB 串口并口 1394 Modem 网卡 软 驱 光驱 红外线等设备端口进行控制 已满足保密标准的要求 电磁泄漏发射防护 计算机系统在工作时 系统的显示屏 机壳缝隙 键盘 连接电缆和接口等处会发生信息的电磁泄漏 泄漏方式为线路传导发射和空间辐射 利用计算机设备的电源泄漏窃取机密信息是国内外情报机关截获信息的重要途径 因为用高灵敏度的仪器截获计算机及外部设备中泄漏的信息 比用其他方法获得情 报要准确 可靠 及时 连续的多 而且隐蔽性好 不易被对方察觉 因此防电磁 泄漏是信息安全的一个重要环节 XXXXXX 企业对电磁泄漏发射防护缺少技术保护手 段 不满足保密标准要求 存在隐患 所以需要通过电磁泄漏防护措施 如 配置 线路传到干扰器 配置屏蔽机柜 配置低辐射设备 红黑隔离插座 干扰器 视频 干扰器 有效抵抗泄漏信息在空间扩散被截获对信息机密行的威胁 备份与恢复 是涉密网建设的重要组成部分 一旦出现数据丢失或网络设备瘫 第 12 页 共129页 痪所造成的损失是无法估量的 在涉密网建设中备份与恢复可以分为两方面的内容 一是对涉密数据及关键业务数据的备份 可以通过在线备份 离线备份 异地备份 等形式完成 现在常用的是通过磁盘镜像 磁带机备份 刻录光盘等方式备份 二 是对关键设备的备份与恢复 可以采用双机热备的形式进行防护 并制定详细的恢 复方案和计划 4 1 3 主机安全主机安全 目前 XXX 企业内网终端的安全保密建设只是安装有防病毒软件的客户端程序 对主机安全的需求还有 1 需要部署国产防病毒软件客户端程序 并及时 统一升级病毒库 防止恶 意代码影响计算机正常运行 2 需要部署保密管理系统 对终端外设及接口进行控制 对用户敏感操作行 为进行审计 对移动存储介质的使用授权和管理 对可能发生的违规外联行为进行 阻断和报警 阻止与工作无关的应用程序的运行 3 需要及时升级操作系统 数据库补丁 防止由于系统漏洞造成涉密信息失 泄密 4 加强主机开机 系统登陆 远程管理等操作的身份鉴别机制 根据标准要 求执行密码设置或采取更为有效的身份鉴别措施 5 需要安装视频信息保护机 防止终端显示器设备电磁发射泄漏导致的失泄 密风险 6 需要安装红黑电源隔离插座 有效隔离红黑设备的供电电源 防止电源线 传导泄漏导致的失泄密风险 4 1 4 介质安全介质安全 介质标识 对硬盘 软盘 光盘 磁带 USB 盘等涉密信息存储介质根据其所 处理信息的最高密级进行标识 涉密信息存储介质的密级标识不易被涂改 损坏和 丢失 介质的收发和传递 制定介质收发的管理制度 制定规定对涉密信息存储介质 履行清点 等级 编号等手续的相关容 制定介质收发记录 记录包括介质名称 第 13 页 共129页 用途 发送时间 发送单位 发送人员 接收时间 接收单位 接收人员等相关内 容 制定介质传递的管理制度 制度规定对涉密信息存储介质传递时的封装 标识 指派专人专车或者通过机要交通 机要通信 机要方法等方法进行传递的相关内容 制定介质传递记录 记录包括介质名称 用途 时间 传递人员和传递方式等相关 内容 介质的使用 制定介质使用管理制度 规定涉密介质按照规定不应在非涉密信 息系统内使用 较高密级信息存储介质不应在较低密级系统中使用 较高机密信息 存储介质用于存储较低密级的信息时应仍按原有密级进行管理 对报废处理的涉密 信息存储介质在非涉密信息系统内重新使用或利用前 应进行信息消除处理 信息 消除时所采用的信息消除技术 设备和措施应符合国家保密工作部门的相关规定 携带处理涉密信息的设备外出或出境时 应按照相关保密规定采取保护措施 并办 理相关手续 此外还应使用涉密信息存储介质始终处于携带人的有效控制之下 涉 密信息存储介质的复制及制作应在本机关 单位内部或保密工作部门审查批准的单 位进行 并标明涉密和保密期限 注明发放范围及制作数量 编排顺序号 复制 制作过程中形成的不需要归档的涉密材料 应及时销毁等相关内容 制定介质使用 记录 记录包括介质的制作与复制 外出或处境和信息消除等相关内容 采用涉密 介质安全管控与违规外联预警系统 使用授权管理中心进行授权使用 并对用户终 端使用中断控制程序限制 USB 接口的使用 增强介质使用的安全性 介质保存 介质存放于公司保密办的保密柜中 制定介质保存的管理制度 制 定规定相关责任部门应定期对当年所存涉密信息存储介质进行清查 核对 发现问 题及时向保密工作部门报告内容 制定介质保存记录 记录包括介质清查与核对的 时间 人员等内容 介质维修 制定介质维修的管理制度 制度规定必须本单位专业人员全程参与 现场维修 需要外修时必须按照国家有关规定到具有涉密信息系统数据恢复资质的 维修点进行维修等内容 制定介质维修记录 记录包括介质名称 维修人员 陪同 人员 维修时间 故障原因 排除方法 主要维修过程及维修结果等内容 定点设 备维修单位和维修人员签订安全保密协议 介质报废 制定介质报废的管理制度 制定规定不再使用或无法使用的涉密信 息存储介质在进行报废处理前 应进行信息消除处理 信息消除处理时应按照国家 第 14 页 共129页 保密部门的有关规定 采取符合国家保密工作部门的有关规定的信息消除技术 设 备和措施 并做好涉密介质报废批准 清点 登记等手续的内容 制定介质报废记 录 记录包括设备名称 审批人员 报废时间和最终去向 以上针对介质安全管理是通过制度进行规范的 但仅靠管理制度是难以真正实 现对介质安全的管理要求 必须 技管并举 以技促管 例如 通过制度难以实现 一下需求控制 无法有效区分可信介质与非可信介质 无法实现有效接入控制 无 法确保存储在移动介质中的保密信息与国际互联网物理隔离等 所以需要一套完善 的介质管理系统来解决这些制度无法控制的隐患 4 1 5 数据与应用安全数据与应用安全 数据与应用安全是 XXX 机关涉密信息系统建设的重要内容 通过建立统一的网 络信任和授权管理体系 创建一体化的身份认证 访问控制及责任认证平台 为所 有的应用系统提供统一的身份认证和访问控制服务 并可对事故责任进行追查 1 建立全网统一的身份认证机制 每个用户拥有唯一身份标识的数字证书 2 建立访问控制机制 确保仅拥有数字证书的合法用户能通过授权访问应用系 统 3 在应用系统中 分配每个用户权限 限定用户的操作范围 通过数字签名功 能 防止抵赖行为 保证数据的完整性 4 对用户通过访问控制系统的访问进行审计 5 通过密级标识手段 保证信息主体与密级标识的不可分离 为信息流向 访 问控制提供依据 6 对关键业务系统采用双机热备 对关键业务数据采取异地容灾的方式保证数 据及应用安全 4 2 管理需求分析管理需求分析 4 2 1 人员管理人员管理 人员管理包括内部工作人员管理和外部相关人员管理 内部工作人员管理包括 本单位正式编制人员 聘用人员 工勤 服务人员 等人员录用 岗位职责 保密 协议签订 教育培训 保密监控 人员奖惩和人员离岗离职的管理 外部相关人员 第 15 页 共129页 管理包括内部工作人员之外的其他人员 特别是境外人员 以及设备 特别是进出 口设备 的维修服务人员等外来的保密要求知会 安全控制区域隔离 携带物品限 制和旁站陪同控制 4 2 2 物理环境与设备管理物理环境与设备管理 1 从物理安全需求来分析 物理环境的安全是整个涉密网络安全得以保障的前 提 2 要保护网络设备 设施 介质和信息免受自然灾害 环境事故以及人为物理 操作失误或错误及各种物理手段进行违法犯罪行为导致的破坏 丢失 3 涉密网络必须要具备环境安全 设备安全和介质安全等物理支撑环境 切实 保障实体的安全 4 确保系统内的环境安全 设备的物理安全 机房和配线间的环境安全 防止 设备被盗 被破坏 5 保证涉密网络与非涉密网络的物理隔离 6 防止设备产生的电磁信息通过空间辐射和传导泄漏 7 保障涉密介质在使用 保存 维护方面的安全 4 2 3 运行与开发管理运行与开发管理 1 系统必须保证内部网络的持续有效的运行 防止对内部网络设施的入侵和攻 击 防止通过消耗带宽等方式破坏网络的可用性 2 网络安全系统应保证内网机密信息在存储于传输时保密性 3 对关键网络 系统和数据的访问必须得到有效地控制 这要求系统能够可靠 确认访问者的身份 谨慎授权 并对任何访问进行跟踪记录 4 对于网络安全系统应具备审记和日志功能 对相关重要操作提供可靠而方便 的可管理和维护功能 5 确保涉密信息系统的服务器系统 终端在全方位 多层次的进行安全配置和 安全加固 6 建立覆盖全网的补丁集中管理机制 对操作系统进行及时的补丁分发 安装 保证操作系统处于最有状态 进而确保系统处于最佳使用状态 第 16 页 共129页 7 确保接入涉密网服务器的安全 对应用服务器进行内核加固 对后端和管理 服务器进行安全加固 以抵御针对操作系统的攻击行为 保证其发布信息的真实性 和可靠性 8 对应用系统的数据库进行安全加固 防止针对数据库的攻击行为 9 对客户端加强终端安全管理 对登录用户实行双因素身份认证 杜绝客户端 的非授权操作 确保存储在终端设备中的工作信息和敏感信息的安全 使其不被非 法篡改和破坏 10 针对防病毒危害性极大并且传播极为迅速 配备从客户端到服务器的整套 防病毒软件 实现全网的病毒安全防护 11 对系统内终端用户的非授权外联行为采用技术手段进行检查和阻断 12 建立涉密移动存储介质集中的统一管理机制 并采用具体安全防护措施的 涉密介质 防止数据通过介质方式泄露 13 确保数据库中所存储的信息在遭到破坏时能得到及时的恢复 4 2 4 设备与介质管理设备与介质管理 1 须指定专人负责管理涉密存储介质 定期清理 回收 检查并掌握其使用情 况 确保涉密信息的安全保密 2 涉密存储介质的管理实行 谁主管 谁负责 的原则 3 涉密存储介质在使用和管理中要严格登记 集中管理 专人负责 4 软盘 U 盘等移动存储介质要在显著位置上贴上标条 标志条上要有统一编 码 密级标识 要有登记 5 涉密存储介质只能用来存储涉密信息 非涉密存储介质只能来存储非涉密信 息 6 涉密存储介质应按存储信息的最高密级标注密级 并按相同密级的载体管理 7 禁止将涉密存储介质接入互联网 8 严格限制互联网将数据拷贝到涉密信息设备和涉密信息系统 确因工作需要 经审查批准后 应使用非涉密移动存储介质进行拷贝 通过先对其进行查杀病毒后 再进行数据交换 第 17 页 共129页 9 严禁将私人具有存储功能的介质和电子设备带入要害部门 部位和涉密场所 10 涉密移动存储介质只能在涉密场所使用 严禁借给外部使用 确因工作需 要带出办公场所的 秘密级的经本部门主管领导批准 机密级以上的须经本单位主 管领导批准后 信息安全员将对介质进行清空处理 确保介质内只存有与本次外出 相关的涉密信息 采取严格的保密措施 归还时 信息安全员还应执行信息消除处 理 11 涉密存储介质保存必须选择安全保密的场所和部位 并由专人保管 存放 在保密密码柜里 12 员工离开办公场所时 必须将涉密存储介质存放到保密设备里 13 对涉密介质需要维修时 应提出申请 有信息中心派专人进行现场维修 并有使用单位相关人员全程陪同 做好维修日志 14 存储过国家秘密信息的存储介质 不能降低密集使用 不再使用或损坏的 涉密存储介质办理报废审批手续 及时交信息中心进行确定 维修和销毁由保密办 统一到国家保密局制定的地点进行销毁 或采用符合保密要求的物理 化学方式彻 底销毁 销毁应确保涉密信息无法还原 15 对涉密存储介质要定期清查 核对 发现丢失要及时查处 4 2 5 信息保密管理信息保密管理 信息保密管理应从信息分类与控制 用户管理与授权和信息系统安全互联控制 三个方面来进行分析 信息分类与控制 应根据国家相关法律 规定 确定系统中涉密信息的密级和 保密期限 定期对其中含有的涉密信息的总量进行汇总 当系统中高等级涉密信息 含量明显增多时应考虑调整系统防护措施 系统中存在过的信息及其存储介质应有 相应的密级标识 电子文件密级标识应由信息主题不可分离 密级标识不可篡改 用户标识与授权 应建立完整的系统用户清单 新增或删除用户时应履行相应 的手续 每个用户应有唯一的身份标识 表示有系统管理员产生 有保密管理员定 期检查 如有异常及时向系统安全保密管理机构汇报 应有明确的最小授权分配策 略 并将所有用户的权限明细文档化 应定期审查权限列表 如有异常及时向系统 第 18 页 共129页 安全保密管理机构汇报 信息系统互联 应注意不同密级信息系统之间以及涉密系统与非涉密系统之间 的互联互通 第 19 页 共129页 第五章第五章 方案总体设计方案总体设计 5 1 安全保密建设目标安全保密建设目标 XXX 企业涉密信息系统安全保密建设的总体目标是 严格参照国家相关安全保 密标准和法规 将 XXX 企业信息系统建设成符合国家相关法规和标准要求的涉密信 息系统 使之能够处理相对应密级的信息 为 XXX 企业信息化应用提供安全保密平 台 使其能够安全地接入全国 XXX 机关涉密信息系统 具体建设目标如下 1 具有抵御敌对势力有组织的大规模攻击的能力 2 抵抗严重的自然灾害的能力 3 建立统一的安全管理平台 实现对全网设备的安全管理 4 确保合法用户使用合法网络资源 实现对用户的认证和权限管理 5 防范计算机病毒和恶意代码危害的能力 6 具有检测 发现 报警 记录入侵行为的能力 7 具有与各种应用系统相适应的业务安全保护机制 确保数据在存储 传输过 程中的完整性和敏感数据的机密性 8 具有对安全事件进行快速响应处置 并能够追踪安全责任的能力 9 在系统遭到损害后 具有能够较快恢复正常运行状态的能力 10 对于服务保障性要求高的系统 应能迅速恢复正常运行状态 11 建立有效的安全管理机制 并与之配套的风险分析与安全评估机制 设备 和人员管理制度 敏感信息管理制度 安全操作规程等 5 2 设计原则与依据设计原则与依据 5 2 1 设计原则设计原则 根据安全保密建设目标 XXX 机关涉密信息系统分级保护总体方案的设计应遵 从 规范定密 准确定级 依据标准 同步建设 突出重点 确保核心 明确责任 加强监督 的原则 同时 还应兼顾 1 分域分级防护 涉密信息系统应根据信息密级 行政级别等划分不同的安全 第 20 页 共129页 域并确定等级 按照相应等级的保护要求进行防护 2 技术和管理并重 涉密信息系统分级保护时应采取技术和管理相结合的 整 体的安全保密措施 3 最小授权与分权管理 涉密信息系统内用户的权限应配置为确保其完成工作 所必需的最小授权 网络中的帐号设置 服务配置 主机间信任关系配置等应该为 网络正常运行所需的最小授权 并使不同用户的权限相互独立 相互制约 避免出 现权限过大的用户或帐号 5 2 2 设计依据设计依据 1 法规和文件 中华 XXX 共和国保守国家秘密法 1989 年 5 月 1 日实施 中华 XXX 共和国保守国家秘密法实施办法 1990 年 5 月 25 日国家保密局令 第 1 号发布 国家信息化领导小组关于加强信息安全保障工作的意见 中办发 2003 27 号 关于信息安全等级保护工作的实施意见 公通字 2004 66 号 中共中央保密委员会办公室 国家保密局关于保密要害部门 部位保密管理 规定 中办厅字 2005 1 号 关于开展全国重要信息系统安全等级保护定级工作的通知 公信安 2007 861 号 涉及国家秘密的信息系统分级保护管理办法 国保发 2005 16 号 关于开展涉密信息系统分级保护工作的通知 国保发 2006 9 号 涉及国家秘密的信息系统审批管理规定 国保发 2007 18 号 涉及国家秘密的计算机信息系统集成资质管理办法 国保发 2005 信息安全等级保护管理办法 公通字 2007 43 号 2 标准规范 BMB17 2006 涉及国家秘密的信息系统分级保护技术要求 BMB18 2006 涉及国家秘密的信息系统工程监理规范 第 21 页 共129页 BMB20 2007 涉及国家秘密的信息系统分级保护管理规范 BMB22 2007 涉及国家秘密的信息系统分级保护测评指南 BMB23 2008 涉及国家秘密的信息系统分级保护方案设计指南 5 3 安全保密防护整体框架安全保密防护整体框架 在建设本方案中 根据 BMB17 2006 和 BMB20 2007 的具体规定 在满足物理隔 离与违规外联监控 边界防护与控制 密级标识与密码保护 用户身份鉴别与访问 控制 电磁泄漏发射防护 安全保密产品选择 安全保密管理机构 安全保密管理 制度和安全管理人员等基本测评项的基础上 从物理安全 运行安全 信息安全保 密 安全保密管理 产品选型与安全服务等方面 设计涉密信息系统的安全保密防 护框架 如图 5 1 示 第 22 页 共129页 图 5 1 涉密信息系统安全保密防护框架 第 23 页 共129页 第六章第六章 方案详细设计方案详细设计 6 1 物理安全物理安全 6 1 1 环境安全环境安全 1 重要涉密部位和机房选址 XXX 企业都具有独立的办公场所 重要涉密部位和机房均在办公室内部 附近 基本没有境外驻华机构 境外人员驻地等涉外场所 并且整个办公区采用封闭式管 理 机房选址基本满足 GB9361 1988 中的安全机房场地选择要求 并对重要涉密部 位在防窃听 防窃照 防窃收 防实体入侵 防非授权进入等方面均有相关防护措 施 各级 XXX 企业涉密信息系统里没有无线技术与无线设备 所以其带来的无线设 备的信息泄漏问题不用考虑防护措施 1 机房建设 对主机房及重要信息存储部门来说 首先要保证中央地点的安全防范工作 如 对能够进入机房及重要信息存储部门的工作人员进行严格的控制 出入记录 录像 监控 窗户加防护栏 门磁 红外报警等 出入记录可以采用目前先进的 IC 卡技术 等来实现 具有做到实时记录 方便查询等优点 另外门磁 红外报警等作为安全 技术防范的辅助手段加以使用 并在重要区域使用线路干扰等设备防止信号外泄 由于本次项目中将 XXX 企业划分为不同的安全等级 所以在机房建设时应根据 BM17 要求 并在防火 防水 防震 电力 布线 配电 温湿度 防雷 防静电 等方面达到 GB9361 中 B 类机房建设要求 机密级 秘密级应满足 GB50174 GB T2887 2000 的要求 并在防火 防水 防震 电力 布线 配电 温 湿度 防雷 防静电等方面达到 GB9361 中 B 类机房建设要求 在各级 XXX 企业的机房内设置屏蔽机柜 在满足 GB50174 GB T2887 2000 要求 的基础上 在防火 防水 防震 电力 布线 配电 温湿度 防雷 防静电等方 面达到 GB9361 1988 中机房建设要求 1 在机房所在的建筑物均配备有安全保卫人员 实现人员进出审查和巡逻 2 机房选址远离餐饮 旅游 宾馆等人员复杂的公共场所 第 24 页 共129页 3 机房的水 电 防雷 温湿度等符合 GB9361 1988 中机房建设要求 4 核心机房采用屏蔽机柜设计 防范机房环境的电磁泄漏 5 机房均配备电子门控系统 进出机房人员均需要口令和门禁卡 6 各机房均配备了视频监控系统 实现 6 个月或者更长的录像存储 7 各机房的电子门控和视频监控系统均记录日常的门禁日志和健康录像 从而 满足了机密级的涉密要求 8 机房设计有红外报警装置 2 重点部位监控和区域控制 XXX 企业保密要害部位包括领导及秘书办公室 党组会议室 检委会会议室 机要室 机要机房 网络中心机房 档案室 文印室等 对这些重点部位采取安全 措施如门控 报警等 对中心机房 设备间以及涉密用户工作间的人员出入情况进 行健康 并应配备敬畏人员加强涉密信息系统所处周边环境边界的安全控制 1 在这些重点部位部署有监控 报警系统 2 在整个办公场所配有视频监视和警卫人员巡视 在各个楼宇的出入口有视 频监控和警卫人员登记检查 3 在机房和重要涉密部门有视频监控 警卫人员登记检查和门禁控制 在主 要涉密系统所在的建筑物均配备有安全保卫人员 实现人员进出审查和巡逻 4 工作区周围通过红外报警和视频监控进行重点部位和区域进行健康 6 1 2 设备安全设备安全 1 门控措施 中心机房 重要的设备间和其他保密要害部门 应采用有效的电子门控措施 使用的电子门控系统应能自动记录出入日志 XXX 企业涉密信息系统机房和其他保密要害部门设计部署有门控系统 摄像监 控系统和红外报警系统 门控系统使用智能卡和口令相结合的身份鉴别方式 在机 房中通过门控系统对进出机房的人员进行控制和审计 进出人员实行身份等级 对 进出人员进行监控 具体流程是日常工作中需要向机房管理部门进行申请 才允许 进入机房 并在进出机房时进行登记 登记记录长期保存 以备查询 同时在机房 中部署有摄像头 对进出机房人员和行为进行了监控 第 25 页 共129页 2 网络 设备数据接口措施 1 网络接口 对系统中网络设备暂不使用的所有网络连接口采用安全控制措施 防止被非授权使用 对系统中暂不使用的所有网络连接口 包括用户终端 服务器以 及网络设备多余接口 采用安全控制措施 防止被非授权使用 2 设备数据接口 对系统中重要服务器和重要用户终端的并口 串口 USB 接 口等数据接口以及光驱等设备采取安全控制措施 防止被非授权使用 XXX 企业涉密信息系统核心交换机为可网管的网络设备 通过在交换机上采用 IP MAC 端口及证书绑定 防止网络连接口被非法使用 不用的端口均进行禁用设 置 通过部署终端安全系统 对终端 服务器的各类接口和外设 如并口 串口 USB 接口等数据接口以及光驱等设备 根据相关规定 进行严格控制 通过部署相 关安全设备 防止高密级设备在低密级的涉密信息系统 或安全域 中使用 3 打印 显示输出设备及设备的标识 安放等安全措施 1 设备的标识与安放 对系统内的所有设备根据其所出来信息的最高密级表明 涉密属性和主要用途 并按涉密属性 非涉密 秘密级 机密级 进行分类安放 2 打印输出设备 加强对打印机等系统输出设备的安全控制 防止打印输出 结果被非授权查看和获取 3 显示输出设备 在使用显示器 投影仪等显示设备输出时 应采取相应措施 如不面对门窗摆放 防止显示输出内容被非授权获取 对系统内用户的显示输出设 备采取相应的隔离防护措施 防止显示输出内容被非授权获取 4 设备携带 携带处理过涉密信息的设备外出或者出境时 应按照有关保密规 定采取保护措施 并办理相关手续 应使设备始终处于携带人的有效控制之下 防 止出现设备丢失 被盗或被非授权使用的情况 5 设备维修 现场维修时 应由有关人员进行全程陪同 需要带离现场维修时 应拆除所有存储过涉密信息的硬件和固件 存储过涉密信息的硬件和固件应到具有 涉密信息系统数据恢复资质的单位进行维修 应禁止在系统外对设备进行远程维护 和远程监控 并严格控制系统内的设备远程维护和远程监控操作 应对所有维修情 况进行日志记录 6 设备报废 不再使用或无法使用的设备应按照国家保密工作部门的相关规定 及时进行报废处理 存储过涉密信息的硬件和固件应按相关的要求进行处理 应对 第 26 页 共129页