计算机信息系统分级保护方案

精品文档 1欢迎下载 方案方案 1 1 系统总体部署系统总体部署 1 1 涉密信息系统的组网模式为 服务器区 安全管理区 涉密信息系统的组网模式为 服务器区 安全管理区 终端区共同连终端区共同连 接至核心交换机上 组成类似于星型结构的网络模式 参照接至核心交换机上 组成类似于星型结构的网络模式 参照 TCP IPTCP IP 网络模型建网络模型建 立 核心交换机上配置三层网关并划分立 核心交换机上配置三层网关并划分 VlanVlan 在服务器安全访 在服务器安全访 问控制中间件以问控制中间件以 及防火墙上启用桥接模式 核心交换机 服务器安全访问控制及防火墙上启用桥接模式 核心交换机 服务器安全访问控制 中间件以及防火墙中间件以及防火墙 上设置安全访问控制策略 上设置安全访问控制策略 ACLACL 禁止部门间 禁止部门间 VlanVlan 互访 允互访 允 许部门许部门 VlanVlan 与服务与服务 器器 VlanVlan 通信 核心交换机镜像数据至入侵检测系统以及网络安通信 核心交换机镜像数据至入侵检测系统以及网络安 全审计系统 服全审计系统 服 务器区包含原有应用系统 安全管理区包含网络防病毒系统 务器区包含原有应用系统 安全管理区包含网络防病毒系统 主机监控与审计系主机监控与审计系 统 统 windowswindows 域控及域控及 WSUSWSUS 补丁分发系统 身份认证系统 终端补丁分发系统 身份认证系统 终端 区分包含所有业区分包含所有业 务部门 务部门 精品文档 2欢迎下载 服务器安全访问控制中间件防护的应用系统有 服务器安全访问控制中间件防护的应用系统有 XXX 系统 系统 XXX系统 系统 XXX 系统 系统 XXX系统以及系统以及XXX系统 系统 防火墙防护的应用系统有 防火墙防护的应用系统有 XXX XXX系统 系统 XXX系统 系统 XXX系统以及系统以及XXX系系 统 统 2 2 邮件系统的作用是 进行信息的驻留转发 实现点到点 邮件系统的作用是 进行信息的驻留转发 实现点到点 的非实时通信 的非实时通信 完成集团内部的公文流转以及协同工作 使用完成集团内部的公文流转以及协同工作 使用 2525 110110 端口 端口 使用使用 SMTPSMTP 协议以协议以 及及 POP3POP3 协议 内网终端使用协议 内网终端使用 C SC S 模式登录邮件系统 模式登录邮件系统 将内网用户使用的邮件账号在服务器群组安全访问控制中间将内网用户使用的邮件账号在服务器群组安全访问控制中间 件中划分到不件中划分到不 同的用户组 针对不同的用户组设置安全级别 安全级别分为同的用户组 针对不同的用户组设置安全级别 安全级别分为 1 71 7 级 可根据实级 可根据实 际需求设置相应的级别 际需求设置相应的级别 1 71 7 级的安全层次为 级的安全层次为 1 1 级最低级 级最低级 7 7 级最高级 由级最高级 由 1 1 到到 7 7 逐级增高 即低密级用户可以向高密级用户发送邮件 高逐级增高 即低密级用户可以向高密级用户发送邮件 高 密级用户不得向低密级用户不得向低 密级用户发送 保证信息流向的正确性 防止高密数据流向低密级用户发送 保证信息流向的正确性 防止高密数据流向低 密用户 密用户 3 3 针对物理风险 采取红外对射 红外报警 视频监控以 针对物理风险 采取红外对射 红外报警 视频监控以 精品文档 3欢迎下载 及门禁系统进及门禁系统进 行防护 针对电磁泄射 采取线路干扰仪 视频干扰仪以及红行防护 针对电磁泄射 采取线路干扰仪 视频干扰仪以及红 黑电源隔离插座进黑电源隔离插座进 行防护 行防护 2 2 物理安全防护物理安全防护 总体物理安全防护设计如下 总体物理安全防护设计如下 1 1 周边环境安全控制 周边环境安全控制 XXX侧和侧和XXX侧部署红外对射和入侵报警系统 侧部署红外对射和入侵报警系统 部署视频监控 建立安防监控中心 重点部位实时监控 部署视频监控 建立安防监控中心 重点部位实时监控 具体部署见下表 具体部署见下表 表表 1 11 1 周边安全建设周边安全建设 序号序号 保护部位保护部位 现有防护措施现有防护措施 需新增防护措施需新增防护措施 1 1 人员出入通道人员出入通道 2 2 物资出入通道物资出入通道 序号序号 保护部位保护部位 现有防护措施现有防护措施 需新增防护措施需新增防护措施 3 3 南侧南侧 4 4 西侧西侧 精品文档 4欢迎下载 5 5 东侧东侧 6 6 北侧北侧 2 2 要害部门部位安全控制 要害部门部位安全控制 增加电子门禁系统 采用智能增加电子门禁系统 采用智能 ICIC 卡和口令相结合卡和口令相结合 的管理方式 具体防护措的管理方式 具体防护措 施如下表所示 施如下表所示 表表 1 21 2 要害部门部位安全建设要害部门部位安全建设 序号序号 保护部门保护部门 出入口控制出入口控制 现有安全措施现有安全措施 新增安新增安 全措施全措施 1 1 门锁门锁 登记登记 24H24H 警卫值班警卫值班 2 2 门锁门锁 3 3 门锁门锁 4 4 门锁门锁 5 5 门锁门锁 登记登记 6 6 门锁门锁 登记登记 7 7 门锁门锁 登记登记 8 8 门锁门锁 登记登记 9 9 机房出入登记机房出入登记 1010 门锁门锁 3 3 电磁泄漏防护 电磁泄漏防护 精品文档 5欢迎下载 建设内容包括 建设内容包括 为使用非屏蔽双绞线的链路加装线路干扰仪 为使用非屏蔽双绞线的链路加装线路干扰仪 为涉密信息系统内的终端和服务器安装红黑电为涉密信息系统内的终端和服务器安装红黑电 源隔离插座 源隔离插座 为视频信号电磁泄漏风险较大的终端安装视频为视频信号电磁泄漏风险较大的终端安装视频 干扰仪 干扰仪 通过以上建设 配合通过以上建设 配合 安防管理制度安防管理制度 以及以及 电磁电磁 泄漏防护管理制度泄漏防护管理制度 使 使 得达到物理安全防范到位 重要视频监控无死角 进得达到物理安全防范到位 重要视频监控无死角 进 出人员管理有序 实体入侵出人员管理有序 实体入侵 报警响应及时以及电磁泄漏信号无法捕捉 无法还原 报警响应及时以及电磁泄漏信号无法捕捉 无法还原 2 12 1 红外对射红外对射 1 1 部署 部署 增加红外对射装置 防护边界 具体部署位置如下增加红外对射装置 防护边界 具体部署位置如下 表 表 表表 1 11 1 红外对射部署统计表红外对射部署统计表 序号序号 部署位置部署位置 数量 对 数量 对 1 1 东围墙东围墙 2 2 精品文档 6欢迎下载 北围墙北围墙 3 3 合计合计 部署方式如下图所示 部署方式如下图所示 图图 1 21 2 红外对射设备红外对射设备 设备成对出现 在安装地点双向对置 调整至相同水平位置 设备成对出现 在安装地点双向对置 调整至相同水平位置 2 2 第一次运行策略 第一次运行策略 红外对射红外对射 2424 小时不间断运行 当有物体通过 光线被遮挡 小时不间断运行 当有物体通过 光线被遮挡 接收机信号发接收机信号发 生变化 放大处理后报警 设置合适的响应时间 以生变化 放大处理后报警 设置合适的响应时间 以 1010 米米 秒秒 的速度来确定最短的速度来确定最短 遮光时间 设置人的宽度为遮光时间 设置人的宽度为 2020 厘米 则最短遮断时间为厘米 则最短遮断时间为 2020 毫毫 秒 大于秒 大于 2020 毫秒毫秒 报警 小于报警 小于 2020 毫秒不报警 毫秒不报警 3 3 设备管理及策略 设备管理及策略 红外对射设备由公安处负责管理 实时监测设备运行情况及红外对射设备由公安处负责管理 实时监测设备运行情况及 精品文档 7欢迎下载 设备相应情况 设备相应情况 定期对设备及传输线路进行检查 维护 并定期向保密办提交定期对设备及传输线路进行检查 维护 并定期向保密办提交 设备运维报告 设备运维报告 4 4 部署后解决的风险 部署后解决的风险 解决重点部位监控及区域控制相关风险 解决重点部位监控及区域控制相关风险 2 22 2 红外报警红外报警 1 1 部署 部署 增加红外报警装置 对保密要害部位实体入侵风险进行防护 增加红外报警装置 对保密要害部位实体入侵风险进行防护 报警 具体部报警 具体部 署位置如下表 署位置如下表 表表 1 21 2 红外报警部署统计表红外报警部署统计表 序号序号 部署位置部署位置 数量 个 数量 个 1 1 2 2 3 3 4 4 合计合计 设备形态如下图所示 设备形态如下图所示 精品文档 8欢迎下载 图图 1 31 3 红外报警设备红外报警设备 部署在两处房间墙壁角落 安装高度距离地面部署在两处房间墙壁角落 安装高度距离地面 2 0 2 22 0 2 2 米 米 2 2 第一次运行策略 第一次运行策略 红外报警红外报警 2424 小时不间断运行 设置检测小时不间断运行 设置检测 3737 特征性特征性 1010 m m 波波 长的红外线 长的红外线 远离空调 暖气等空气温度变化敏感的地方 不间隔屏 家具远离空调 暖气等空气温度变化敏感的地方 不间隔屏 家具 或其他隔离物 不或其他隔离物 不 直对窗口 防止窗外的热气流扰动和人员走动会引起误报 直对窗口 防止窗外的热气流扰动和人员走动会引起误报 3 3 设备管理及策略 设备管理及策略 红外报警设备由公安处负责管理 监测设备运行情况及设备红外报警设备由公安处负责管理 监测设备运行情况及设备 相应情况 定期相应情况 定期 对设备进行检查 维护 并定期向保密办提交设备运维报告 对设备进行检查 维护 并定期向保密办提交设备运维报告 4 4 部署后解决的风险 部署后解决的风险 解决重点部位监控及区域控制相关风险 解决重点部位监控及区域控制相关风险 2 32 3 视频监控视频监控 1 1 部署 部署 增加视频监控装置 对周界 保密要害部门部位的人员出入增加视频监控装置 对周界 保密要害部门部位的人员出入 精品文档 9欢迎下载 情况进行实时监情况进行实时监 控 具体部署位置如下表 控 具体部署位置如下表 表表 1 31 3 视频监控部署统计表视频监控部署统计表 序号序号 部署位置部署位置 数量 个 数量 个 1 1 2 2 3 3 4 4 5 5 6 6 7 7 8 8 合计合计 精品文档 10欢迎下载 设备形态如下图所示 设备形态如下图所示 图图 1 41 4 视频监控设备视频监控设备 视频监控在室外采用云台枪机式设备 室内采用半球式设备 视频监控在室外采用云台枪机式设备 室内采用半球式设备 部署在房间墙部署在房间墙 壁角落 覆盖门窗及重点区域 壁角落 覆盖门窗及重点区域 增加增加 3232 路嵌入式硬盘录像机一台 用于对视频采集信息的收路嵌入式硬盘录像机一台 用于对视频采集信息的收 集和压缩存档 集和压缩存档 设备形态如下图所示 设备形态如下图所示 图图 1 51 5 硬盘录像机硬盘录像机 2 2 第一次运行策略 第一次运行策略 视频监控视频监控 2424 小时不间断运行 设置视频采集格式为小时不间断运行 设置视频采集格式为 MPEG MPEG 4 4 显示分辨率 显示分辨率 768 576768 576 存储 回放分辨率 存储 回放分辨率 384 288384 288 3 3 设备管理及策略 设备管理及策略 视频监控设备由公安处负责管理 实时监测设备运行情况及视频监控设备由公安处负责管理 实时监测设备运行情况及 精品文档 11欢迎下载 设备相应情况 设备相应情况 定期对设备及传输线路进行检查 维护 并定期向保密办提交定期对设备及传输线路进行检查 维护 并定期向保密办提交 设备运维报告 设备运维报告 4 4 部署后解决的风险 部署后解决的风险 解决重点部位监控及区域控制相关风险 解决重点部位监控及区域控制相关风险 2 42 4 门禁系统门禁系统 1 1 部署 部署 增加门禁系统 对保密要害部门部位人员出入情况进行控制 增加门禁系统 对保密要害部门部位人员出入情况进行控制 并记录日志 并记录日志 具体部署位置如下表 具体部署位置如下表 表表 1 41 4 门禁系统部署统计表门禁系统部署统计表 序号序号 部署位置部署位置 数量 个 数量 个 1 1 2 2 3 3 精品文档 12欢迎下载 4 4 5 5 6 6 7 7 8 8 9 9 1010 1111 合计合计 部署示意图如下图所示 部署示意图如下图所示 图图 1 61 6 门禁系统部署方式门禁系统部署方式 2 2 第一次运行策略 第一次运行策略 精品文档 13欢迎下载 对每个通道设置权限 制作门禁卡 对可以进出该对每个通道设置权限 制作门禁卡 对可以进出该 通道的人进行进出方式的通道的人进行进出方式的 授权 采取密码授权 采取密码 读卡方式 设置可以通过该通道的读卡方式 设置可以通过该通道的 人在什么时间范围内可以进人在什么时间范围内可以进 出 实时提供每个门区人员的进出情况 每个门区的出 实时提供每个门区人员的进出情况 每个门区的 状态 包括门的开关 各种状态 包括门的开关 各种 非正常状态报警等 设置在紧急状态打开或关闭所非正常状态报警等 设置在紧急状态打开或关闭所 有门区的功能 设置防尾随有门区的功能 设置防尾随 功能 功能 3 3 设备管理及策略 设备管理及策略 门禁系统由公安处负责管理 定期监测设备运行情门禁系统由公安处负责管理 定期监测设备运行情 况及设备相应情况 对设况及设备相应情况 对设 备及传输线路进行检查 维护 并定期向保密办提交备及传输线路进行检查 维护 并定期向保密办提交 设备运维报告 设备运维报告 4 4 部署后解决的风险 部署后解决的风险 解决重点部位监控及区域控制相关风险 解决重点部位监控及区域控制相关风险 2 52 5 线路干扰仪线路干扰仪 1 1 部署 部署 增加增加 8 8 口线路干扰仪 防护传输数据沿网线以电磁口线路干扰仪 防护传输数据沿网线以电磁 传导 辐射发射 耦合等传导 辐射发射 耦合等 方式泄漏的情况 将从交换机引至其布线最远端以及方式泄漏的情况 将从交换机引至其布线最远端以及 次远端的线缆插接至线路干次远端的线缆插接至线路干 精品文档 14欢迎下载 扰仪 并由线路干扰仪连接至最远端和次远端 将该扰仪 并由线路干扰仪连接至最远端和次远端 将该 设备进行接地处理 设备进行接地处理 具体部署位置如下表 具体部署位置如下表 表表 1 61 6 线路干扰仪部署统计表线路干扰仪部署统计表 序号序号 部署位置部署位置 数量 个 数量 个 1 1 2 2 3 3 合计合计 设备形态如下图所示 设备形态如下图所示 图图 1 111 11 线路干扰仪设备线路干扰仪设备 2 2 第一次运行策略 第一次运行策略 在网线中一对空线对上注入伪随机宽带扫频加扰信在网线中一对空线对上注入伪随机宽带扫频加扰信 号号 使之能跟随其他三使之能跟随其他三 精品文档 15欢迎下载 对网线上的信号并行传输到另一终端 窃密者若再从对网线上的信号并行传输到另一终端 窃密者若再从 网线或其他与网络干线相平网线或其他与网络干线相平 行的导线 如电话线及电源线等 上窃取信息 实际行的导线 如电话线及电源线等 上窃取信息 实际 上所窃得的仅是已被加扰信上所窃得的仅是已被加扰信 号充分湮没了的混合信号 号充分湮没了的混合信号 3 3 设备管理及策略 设备管理及策略 线路干扰仪由信息中心负责管理 对设备编号 标线路干扰仪由信息中心负责管理 对设备编号 标 识密级 摆放 调测 定识密级 摆放 调测 定 期对设备及传输线路进行检查 维护 并定期向保密期对设备及传输线路进行检查 维护 并定期向保密 办提交设备运维报告 办提交设备运维报告 4 4 部署后解决的风险 部署后解决的风险 解决传输线路的电磁泄漏发射防护相关风险 解决传输线路的电磁泄漏发射防护相关风险 2 62 6 视频干扰仪视频干扰仪 1 1 部署 部署 增加视频干扰仪 防止对涉密终端视频信息的窃取 增加视频干扰仪 防止对涉密终端视频信息的窃取 对号楼存在的涉密对号楼存在的涉密 XXX 终端部署 将该设备进行接地处理 终端部署 将该设备进行接地处理 具体部署位置如下表 具体部署位置如下表 表表 1 71 7 视频干扰仪部署统计表视频干扰仪部署统计表 序号序号 部署位置部署位置 数量 个 数量 个 精品文档 16欢迎下载 1 1 2 2 3 3 1111 合计合计 设备形态如下图所示 设备形态如下图所示 图图 1 121 12 视频干扰仪设备视频干扰仪设备 2 2 第一次运行策略 第一次运行策略 设置设备运行频率为设置设备运行频率为 10001000 MHzMHz 3 3 设备管理及策略 设备管理及策略 视频干扰仪由信息中心负责管理 监测设备运行情况及设备视频干扰仪由信息中心负责管理 监测设备运行情况及设备 相应情况 定期相应情况 定期 对设备进行检查 维护 并定期向保密办提交设备运维报告 对设备进行检查 维护 并定期向保密办提交设备运维报告 4 4 部署后解决的风险 部署后解决的风险 精品文档 17欢迎下载 解决信息设备的电磁泄漏发射防护相关风险 解决信息设备的电磁泄漏发射防护相关风险 2 72 7 红黑电源隔离插座红黑电源隔离插座 1 1 部署 部署 增加红黑电源隔离插座 防护电源电磁泄漏 连接的红黑电增加红黑电源隔离插座 防护电源电磁泄漏 连接的红黑电 源需要进行接地源需要进行接地 处理 处理 具体部署位置如下表 具体部署位置如下表 表表 1 81 8 红黑电源部署统计表红黑电源部署统计表 序号序号 部署位置部署位置 数量 个 数量 个 1 1 涉密终端涉密终端 2 2 服务器服务器 3 3 UPSUPS 4 4 合计合计 产品形态如下图所示 产品形态如下图所示 精品文档 18欢迎下载 图图1 131 13 红黑电源隔离插座红黑电源隔离插座 2 2 运行维护策略 运行维护策略 要求所有涉密机均直接连接至红黑电源上 红黑电源上要求所有涉密机均直接连接至红黑电源上 红黑电源上 不得插接其他设备 不得插接其他设备 安装在涉密终端及涉密单机的红黑隔离电源由使用者维护 安装在涉密终端及涉密单机的红黑隔离电源由使用者维护 安装在服务器的由信安装在服务器的由信 息中心维护 出现问题向保密办报告 息中心维护 出现问题向保密办报告 4 4 部署后解决的风险 部署后解决的风险 解决信息设备的电磁泄漏发射防护相关风险 解决信息设备的电磁泄漏发射防护相关风险 3 3 网络安全防护网络安全防护 3 13 1 网闸网闸 使用使用1 1台网闸连接主中心以及从属中心 用于安全隔离及台网闸连接主中心以及从属中心 用于安全隔离及 信息交换 信息交换 1 1 部署 部署 部署部署1 1台网闸于主中心及从属中心核心交换机之间 做单台网闸于主中心及从属中心核心交换机之间 做单 向访问控制与信息向访问控制与信息 交互 设备启用路由模式 通过路由转发连接主中心以及交互 设备启用路由模式 通过路由转发连接主中心以及 从属中心 从物理层到从属中心 从物理层到 应用层终结所有的协议包 还原成原始应用数据 以完全应用层终结所有的协议包 还原成原始应用数据 以完全 私有的方式传递到另一私有的方式传递到另一 精品文档 19欢迎下载 个网络 主中心以及从属中心之间在任一时刻点上都不产个网络 主中心以及从属中心之间在任一时刻点上都不产 生直接的物理连通 部生直接的物理连通 部 署拓扑示意图如下 署拓扑示意图如下 主中心主中心 从属中心从属中心 网闸网闸 主中心主中心 从属中心从属中心 核心交换机核心交换机 核心交换机核心交换机 图图1 81 8 网闸部署拓扑示意图网闸部署拓扑示意图 2 2 第一次运行策略 第一次运行策略 配置从属中心访问主中心的权限 允许从属中心特定地配置从属中心访问主中心的权限 允许从属中心特定地 址访问主中心所有服址访问主中心所有服 务器 允许其他地址访问公司内部门户以及人力资源系统 配务器 允许其他地址访问公司内部门户以及人力资源系统 配 置访问内部门户置访问内部门户 精品文档 20欢迎下载 SQLSQL serverserver 数据库服务器 禁止其他所有访问方式 配置网闸数据库服务器 禁止其他所有访问方式 配置网闸 病毒扫描 对流病毒扫描 对流 经网闸设备数据进行病毒安全扫描 配置系统使用经网闸设备数据进行病毒安全扫描 配置系统使用 HttpsHttps 方式方式 管理 确保管理安管理 确保管理安 全 全 3 3 设备管理及策略 设备管理及策略 网闸设备按照网闸设备按照 网闸运维管理制度网闸运维管理制度 进行管理 进行管理 a a 由信息中心管理网闸设备 分别设置管理员 安全保密管 由信息中心管理网闸设备 分别设置管理员 安全保密管 理员 安全审理员 安全审 计员的口令 由计员的口令 由 三员三员 分别管理 分别管理 b b 由信息中心对网闸设备进行编号 标识密级 安放至安全 由信息中心对网闸设备进行编号 标识密级 安放至安全 管理位置 管理位置 c c 信息中心负责网闸设备的日常运行维护 每周登陆设备查 信息中心负责网闸设备的日常运行维护 每周登陆设备查 看设备配置 看设备配置 设备自身运行状态 转发数据量状态 系统日志等内容 设备自身运行状态 转发数据量状态 系统日志等内容 d d 信息中心发现异常情况及时通报保密办 并查找问题原因 信息中心发现异常情况及时通报保密办 并查找问题原因 各部门配合各部门配合 信息中心及时解决问题 信息中心及时解决问题 e e 信息中心负责网闸设备的维修管理 设备出现问题 通知 信息中心负责网闸设备的维修管理 设备出现问题 通知 保密办 获得保密办 获得 批准后 负责设备的维修管理 批准后 负责设备的维修管理 4 4 部署后解决的风险 部署后解决的风险 精品文档 21欢迎下载 解决两网互联的边界防护问题 对应用的访问进行细粒度的解决两网互联的边界防护问题 对应用的访问进行细粒度的 控制 各自隔离 控制 各自隔离 两网在任一时刻点上都不产生直接的物理连通 两网在任一时刻点上都不产生直接的物理连通 3 23 2 防火墙防火墙 涉密信息系统采用防火墙系统涉密信息系统采用防火墙系统 1 1 台进行边界防护 用于涉密台进行边界防护 用于涉密 信息系统网关的信息系统网关的 安全控制 网络层审计等 防火墙系统部署于从属中心 原有安全控制 网络层审计等 防火墙系统部署于从属中心 原有 防火墙部署于主中防火墙部署于主中 心 不做调整 心 不做调整 1 1 部署 部署 使用防火墙系统限制从属中心终端访问机密级服务器的权限 使用防火墙系统限制从属中心终端访问机密级服务器的权限 并且记录所有并且记录所有 与服务器区进行交互的日志 防火墙的与服务器区进行交互的日志 防火墙的 eth1eth1 口 口 eth2eth2 口设置口设置 为透明模式 配置为透明模式 配置 桥接口桥接口 fwbridge0fwbridge0 IPIP 地址 配置管理方式为地址 配置管理方式为 httpshttps 方式 打开方式 打开 多多 VLANVLAN 开关 打开关 打 开开 tcptcp udpudp ICMPICMP 广播过滤 防火墙的日志数据库安装在安全广播过滤 防火墙的日志数据库安装在安全 管理服务器上 管理服务器上 部署拓扑示意图如下 部署拓扑示意图如下 机密级秘密级工作级机密级秘密级工作级 秘密级服务器群秘密级服务器群 精品文档 22欢迎下载 从属中心从属中心 防火墙防火墙 核心交换机核心交换机 图图 1 91 9 防火墙部署示意图防火墙部署示意图 2 2 第一次运行策略 第一次运行策略 防火墙上设置访问控制策略 并设定不同用户所能防火墙上设置访问控制策略 并设定不同用户所能 访问的资源 访问的资源 a a 允许从属中心授权用户访问软件配置管理系统 允许从属中心授权用户访问软件配置管理系统 b b 开放系统内所能使用到的端口 其他不使用的 开放系统内所能使用到的端口 其他不使用的 端口进行全部禁止访问限端口进行全部禁止访问限 制 制 c c 可以依据保密办相关规定设定审查关键字 对 可以依据保密办相关规定设定审查关键字 对 于流经防火墙的数据流进于流经防火墙的数据流进 行关键字过滤 行关键字过滤 d d 审计从属中心用户和服务器区域的数据交换信 审计从属中心用户和服务器区域的数据交换信 息 记录审计日志 息 记录审计日志 精品文档 23欢迎下载 e e 整个防火墙系统的整个运行过程和网络信息流 整个防火墙系统的整个运行过程和网络信息流 等信息 均进行详细的日等信息 均进行详细的日 志记录 方便管理员进行审查 志记录 方便管理员进行审查 3 3 设备管理及策略 设备管理及策略 防火墙系统由信息中心进行管理及维护 任何策略防火墙系统由信息中心进行管理及维护 任何策略 的改动均需要经过保密办的改动均需要经过保密办 的讨论后方可实施 防火墙的日志系统维护 日志的的讨论后方可实施 防火墙的日志系统维护 日志的 保存与备份按照保存与备份按照 防火墙运防火墙运 维管理制度维管理制度 进行管理 进行管理 a a 由信息中心管理防火墙设备 分别设置管理员 由信息中心管理防火墙设备 分别设置管理员 安全保密管理员 安全安全保密管理员 安全 审计员的口令 由审计员的口令 由 三员三员 分别管理 分别管理 b b 由信息中心对防火墙设备进行编号 标识密级 由信息中心对防火墙设备进行编号 标识密级 安放至安全管理位置 安放至安全管理位置 c c 信息中心负责防火墙设备的日常运行维护 每 信息中心负责防火墙设备的日常运行维护 每 周登陆设备查看设备配置 周登陆设备查看设备配置 设备自身运行状态 转发数据量状态 系统日志等内设备自身运行状态 转发数据量状态 系统日志等内 容 容 d d 信息中心发现异常情况及时通报保密办 并查 信息中心发现异常情况及时通报保密办 并查 找问题原因 各部门配合找问题原因 各部门配合 信息中心及时解决问题 信息中心及时解决问题 e e 信息中心负责防火墙设备的维修管理 设备出 信息中心负责防火墙设备的维修管理 设备出 精品文档 24欢迎下载 现问题 通知保密办 获现问题 通知保密办 获 得批准后 负责设备的维修管理 得批准后 负责设备的维修管理 4 4 部署后解决的风险 部署后解决的风险 原有防火墙保证主中心各原有防火墙保证主中心各 VlanVlan 的三层逻辑隔离 的三层逻辑隔离 对各安全域之间进行访问对各安全域之间进行访问 控制 对网络层访问进行记录与审计 保证信息安全控制 对网络层访问进行记录与审计 保证信息安全 保密要求的访问控制以及安保密要求的访问控制以及安 全审计部分要求 全审计部分要求 3 33 3 入侵检测系统入侵检测系统 使用原有入侵检测设备进行网络层监控 保持原有使用原有入侵检测设备进行网络层监控 保持原有 部署及原有配置不变 设部署及原有配置不变 设 备的管理维护依旧 此设备解决的风险为对系统内的备的管理维护依旧 此设备解决的风险为对系统内的 安全事件监控与报警 满足安全事件监控与报警 满足 入侵监控要求 入侵监控要求 3 43 4 违规外联系统违规外联系统 1 1 部署 部署 采用涉密计算机违规外联监控系统 部署于内网终采用涉密计算机违规外联监控系统 部署于内网终 端 涉密单机及中间机上 端 涉密单机及中间机上 的违规外联监控系统采用的违规外联监控系统采用 B SB S 构架部署 安装构架部署 安装 1 1 台内台内 网监控服务器 网监控服务器 1 1 台外网监台外网监 精品文档 25欢迎下载 控服务器 安装控服务器 安装 645645 个客户端 全部安装于内网终端 涉密单个客户端 全部安装于内网终端 涉密单 机以及中间机上 机以及中间机上 部署示意图如下 部署示意图如下 InternetInternet 拨号 拨号 WLanWLan 3G3G 庆华公司违规外联监控庆华公司违规外联监控 均均 公网报警服务器公网报警服务器 实时监控实时监控 安安 装装 内网终端内网终端 违违 规规 外外 联联 监监 控控 涉密单机涉密单机 精品文档 26欢迎下载 系系 实时监控实时监控 统统 客客 涉密内网涉密内网 户户 端端 庆华公司违规外联监控庆华公司违规外联监控 中间机中间机 内网管理服务器内网管理服务器 图图 1 11 1 违规外联系统部署示意图违规外联系统部署示意图 2 2 第一次运行策略 第一次运行策略 系统实时地监测受控网络内主机及移动主机的活动 对非法系统实时地监测受控网络内主机及移动主机的活动 对非法 内内 外联行为由外联行为由 报警控制中心记录并向管理员提供准确的告警 同时 按照预报警控制中心记录并向管理员提供准确的告警 同时 按照预 定的策略对非法连定的策略对非法连 接实施阻断 防止数据外泄 报警控制中心能够以手机短信 接实施阻断 防止数据外泄 报警控制中心能够以手机短信 电子邮件两种告警电子邮件两种告警 方式向网络管理员告警 其中手机短信是完全实时的告警 非方式向网络管理员告警 其中手机短信是完全实时的告警 非 常方便和及时 常方便和及时 3 3 设备管理及策略 设备管理及策略 精品文档 27欢迎下载 违规外联监控系统由信息中心进行管理及维护 任何策略的违规外联监控系统由信息中心进行管理及维护 任何策略的 改动均需要经过改动均需要经过 保密办的讨论后方可实施 违规外联监控系统的日志系统同时保密办的讨论后方可实施 违规外联监控系统的日志系统同时 维护 日志的保存维护 日志的保存 与备份按照与备份按照 违规外联监控系统运维管理制度违规外联监控系统运维管理制度 进行管理 进行管理 a a 由信息中心管理违规外联监控系统 分别设置管理员 安 由信息中心管理违规外联监控系统 分别设置管理员 安 全保密管理员 全保密管理员 安全审计员的口令 由安全审计员的口令 由 三员三员 分别管理 分别管理 b b 由信息中心对违规外联监控系统报警服务器进行编号 标 由信息中心对违规外联监控系统报警服务器进行编号 标 识密级 安放识密级 安放 至安全管理位置 至安全管理位置 c c 信息中心负责违规外联监控系统的日常运行维护 每周登 信息中心负责违规外联监控系统的日常运行维护 每周登 陆设备查看服陆设备查看服 务器硬件运行状态 策略配置 系统日志等内容 务器硬件运行状态 策略配置 系统日志等内容 d d 信息中心发现异常情况及时通报保密办 并查找问题原因 信息中心发现异常情况及时通报保密办 并查找问题原因 各部门配合各部门配合 信息中心及时解决问题 信息中心及时解决问题 e e 信息中心负责违规外联监控系统服务器的维修管理 设备 信息中心负责违规外联监控系统服务器的维修管理 设备 出现问题 通出现问题 通 知保密办 获得批准后 联系厂家负责设备的维修管理 知保密办 获得批准后 联系厂家负责设备的维修管理 精品文档 28欢迎下载 f f 当系统出现新版本 由管理员负责及时更新系统并做好备 当系统出现新版本 由管理员负责及时更新系统并做好备 份工作 份工作 4 4 部署后解决的风险 部署后解决的风险 解决违规拨号 违规连接和违规无线上网等风险 解决违规拨号 违规连接和违规无线上网等风险 4 4 应用安全防护应用安全防护 4 14 1 服务器群组安全访问控制中间件服务器群组安全访问控制中间件 涉密信息系统采用服务器群组安全访问控制中间件涉密信息系统采用服务器群组安全访问控制中间件 2 2 台 用台 用 于涉密信息系统于涉密信息系统 主中心秘密级服务器 从属中心秘密级服务器边界的安全控制 主中心秘密级服务器 从属中心秘密级服务器边界的安全控制 应用身份认证 应用身份认证 邮件转发控制 网络审计以及邮件审计等 防护主中心的邮件转发控制 网络审计以及邮件审计等 防护主中心的XXX 系统 系统 XXX系统 系统 XXX系统 系统 XXX系统 系统 XXX系统以及系统以及XXX门户 防护从属中心门户 防护从属中心 的的XXX系统以及系统以及XXX 类软件系统 类软件系统 1 1 部署 部署 由于主中心的终端之间以及从属中心内的终端之间数据流动由于主中心的终端之间以及从属中心内的终端之间数据流动 均被设计为以均被设计为以 服务器为跳板进行驻留转发 所以在服务器前端的服务器群组服务器为跳板进行驻留转发 所以在服务器前端的服务器群组 安全访问控制中间安全访问控制中间 精品文档 29欢迎下载 件系统起到了很强的访问控制功能 限制终端访问服务器的权件系统起到了很强的访问控制功能 限制终端访问服务器的权 限并且记录所有与限并且记录所有与 服务器区进行交互的日志 服务器群组安全访问控制中间件的服务器区进行交互的日志 服务器群组安全访问控制中间件的 eth1eth1 口 口 eth2eth2 口口 设置为透明模式 启用桥接口进行管理 部署拓扑示意图如下 设置为透明模式 启用桥接口进行管理 部署拓扑示意图如下 机密级服务器群机密级服务器群 机密级服务器群机密级服务器群 服务器安服务器安 服务器安服务器安 全访问控全访问控 全访问控全访问控 制中间件制中间件 制中间件制中间件 主中心主中心 从属中心从属中心 核心交换机核心交换机 核心交换机核心交换机 网闸网闸 机密级秘密级工作级机密级秘密级工作级 机密级秘密级工作级机密级秘密级工作级 精品文档 30欢迎下载 图图 1 101 10 服务器群组安全访问控制中间件部署示意图服务器群组安全访问控制中间件部署示意图 2 2 第一次运行策略 第一次运行策略 服务器群组安全访问控制中间件上设置访问控制策略 并设服务器群组安全访问控制中间件上设置访问控制策略 并设 定不同用户所能定不同用户所能 访问的服务器资源 设置邮件转发控制功能 为每个用户设置访问的服务器资源 设置邮件转发控制功能 为每个用户设置 访问账号及密码 访问账号及密码 依据密级将用户划分至不同用户组中 高密级用户不得向低密依据密级将用户划分至不同用户组中 高密级用户不得向低密 级用户发送邮件 级用户发送邮件 配置邮件审计功能 记录发件人 收件人 抄送人 主题 附配置邮件审计功能 记录发件人 收件人 抄送人 主题 附 件名等 配置网络件名等 配置网络 审计与控制功能 可以依据保密办相关规定设定审查关键字 审计与控制功能 可以依据保密办相关规定设定审查关键字 对于流经系统的数对于流经系统的数 据流进行关键字过滤 审计内部用户和服务器区域的据流进行关键字过滤 审计内部用户和服务器区域的 数据交换信息 审计应用访数据交换信息 审计应用访 问日志 问日志 3 3 设备管理及策略 设备管理及策略 服务器群组安全访问控制中间件系统由信息中心进服务器群组安全访问控制中间件系统由信息中心进 行管理及维护 任何策略行管理及维护 任何策略 精品文档 31欢迎下载 的改动均需要经过保密办的讨论后方可实施 服务器的改动均需要经过保密办的讨论后方可实施 服务器 群组安全访问控制中间件的群组安全访问控制中间件的 日志系统维护 日志的保存与备份按照日志系统维护 日志的保存与备份按照 服务器群组服务器群组 安全访问控制中间件运维管安全访问控制中间件运维管 理制度理制度 进行管理 进行管理 a a 由信息中心管理服务器群组安全访问控制中间 由信息中心管理服务器群组安全访问控制中间 件设备 分别设置管理员 件设备 分别设置管理员 安全保密管理员 安全审计员的口令 由安全保密管理员 安全审计员的口令 由 三员三员 分别分别 管理 管理 b b 由信息中心分别对 由信息中心分别对 2 2 台服务器群组安全访问控台服务器群组安全访问控 制中间件设备进行编号 制中间件设备进行编号 标识密级 安放至安全管理位置 标识密级 安放至安全管理位置 c c 信息中心负责服务器群组安全访问控制中间件 信息中心负责服务器群组安全访问控制中间件 设备的日常运行维护 每设备的日常运行维护 每 周登陆设备查看设备配置 设备自身运行状态 转发周登陆设备查看设备配置 设备自身运行状态 转发 数据量状态 系统日志等内数据量状态 系统日志等内 容 容 d d 信息中心发现异常情况及时通报保密办 并查 信息中心发现异常情况及时通报保密办 并查 找问题原因 各部门配合找问题原因 各部门配合 信息中心及时解决问题 信息中心及时解决问题 e e 信息中心负责服务器群组安全访问控制中间件 信息中心负责服务器群组安全访问控制中间件 设备的维修管理 设备出设备的维修管理 设备出 精品文档 32欢迎下载 现问题 通知保密办 获得批准后 负责设备的维修现问题 通知保密办 获得批准后 负责设备的维修 管理 管理 4 4 部署后解决的风险 部署后解决的风险 解决对应用访问的边界防护 应用及网络审计 数解决对应用访问的边界防护 应用及网络审计 数 据库安全以及数据流向控据库安全以及数据流向控 制 满足边界防护 安全审计及数据库安全等要求 制 满足边界防护 安全审计及数据库安全等要求 4 24 2 windowswindows 域控及补丁分发域控及补丁分发 改造原有改造原有 ADAD 主域控制器及备份域控制器 主域控制器及备份域控制器 1 1 部署 部署 的主中心以及从属中心均部署的主中心以及从属中心均部署 ADAD 主域控制器及备主域控制器及备 份域控制器 共计份域控制器 共计 2 2 套 套 并建立并建立 IISIIS 服务器 安装服务器 安装 WSUSWSUS 服务器 提供系统补服务器 提供系统补 丁强制更新服务 将终端系丁强制更新服务 将终端系 统的安全性完全与活动目录集成 用户授权管理和目统的安全性完全与活动目录集成 用户授权管理和目 录进入控制整合在活动目录录进入控制整合在活动目录 当中 包括用户的访问和登录权限等 通过实施安当中 包括用户的访问和登录权限等 通过实施安 全策略 实现系统内用户登全策略 实现系统内用户登 录身份认证 集中控制用户授权 终端操作基于策略录身份认证 集中控制用户授权 终端操作基于策略 的管理 通过设置组策略把的管理 通过设置组策略把 相应各种策略 包括安全策略 实施到组策略对象中 相应各种策略 包括安全策略 实施到组策略对象中 部署拓扑示意图如下 部署拓扑示意图如下 精品文档 33欢迎下载 ADAD域控服务器 主 域控服务器 主 网闸网闸 ADAD域控服务器 主 域控服务器 主 备 备 WSUS WSUS服务器服务器 备 备 WSUS WSUS服务器服务器 从属中心从属中心 主中心主中心 核心交换机核心交换机 核心交换机核心交换机 机密级秘密级工作级机密级秘密级工作级 机密级秘密级工作级机密级秘密级工作级 图图1 71 7 域控及域控及WSUSWSUS部署示意图部署示意图 2 2 第一次运行策略 第一次运行策略 建立好域成员及其密码 将所有内网终端的本地账建立好域成员及其密码 将所有内网终端的本地账 号权限收回 内网终端只号权限收回 内网终端只 能使用管理员下发的域成员用户登录系统 通过组策能使用管理员下发的域成员用户登录系统 通过组策 略指定不同安全域用户口令略指定不同安全域用户口令 的复杂性 长度 使用周期 锁定策略 指定每一个的复杂性 长度 使用周期 锁定策略 指定每一个 精品文档 34欢迎下载 用户可登录的机器 机密级用户可登录的机器 机密级 终端需要将终端需要将USB KEYUSB KEY令牌与域用户登录结合使用 达令牌与域用户登录结合使用 达 到到 双因子双因子 鉴别的过程 鉴别的过程 设置终端用户工作环境 隐藏用户无用的桌面图标 设置终端用户工作环境 隐藏用户无用的桌面图标 删除删除 开始开始 菜单中的菜单中的 运行运行 搜索搜索 功能 功能 启用内网启用内网WindowsWindows XPXP终端内置的终端内置的WSUSWSUS客户端 由系客户端 由系 统漏洞的官方漏洞发布统漏洞的官方漏洞发布 页下载完整的系统漏洞修复程序 将此程序通过中间页下载完整的系统漏洞修复程序 将此程序通过中间 机系统导入涉密信息系统 机系统导入涉密信息系统 在在WSUSWSUS服务器端导入此程序 由服务器端导入此程序 由WSUSWSUS服务器下发系服务器下发系 统补丁强制修复策略 强制统补丁强制修复策略 强制 更新各个终端的系统漏洞 更新各个终端的系统漏洞 3 3 设备管理及策略 设备管理及策略 ADAD域控系统以及域控系统以及WSUSWSUS补丁分发系统由信息中心进行补丁分发系统由信息中心进行 管理及维护 域控组策管理及维护 域控组策 略的改动均需要经过保密办的讨论后方可操作 略的改动均需要经过保密办的讨论后方可操作 WSUSWSUS 系统的升级更新按照系统的升级更新按照 与与 管理及补丁分发运维管理制度管理及补丁分发运维管理制度 进行管理 进行管理 a a 由信息中心管理 由信息中心管理ADAD域控系统以及域控系统以及WSUSWSUS补丁分发补丁分发 系统 分别设置管理员 系统 分别设置管理员 安全保密管理员 安全审计员的口令 由安全保密管理员 安全审计员的口令 由 三员三员 分别分别 精品文档 35欢迎下载 管理 管理 b b 由信息中心分别对 由信息中心分别对2 2套套ADAD域控系统以及域控系统以及 WSUSWSUS 补补 丁分发系统服务器进行丁分发系统服务器进行 编号 标识密级 安放至安全管理位置 编号 标识密级 安放至安全管理位置 c c 信息中心负责 信息中心负责ADAD域控系统以及域控系统以及WSUSWSUS补丁分发系补丁分发系 统服务器的日常运行维统服务器的日常运行维 护 每周登陆服务器查看服务器硬件运行状态 组策护 每周登陆服务器查看服务器硬件运行状态 组策 略配置 域成员状态 系统略配置 域成员状态 系统 日志等内容 日志等内容 d d 信息中心发现异常系统日志及时通报保密办 信息中心发现异常系统日志及时通报保密办 并查找原因 追究根源 并查找原因 追究根源 4 4 部署后解决的风险 部署后解决的风险 解决部分身份鉴别以及操作系统安全相关风险 解决部分身份鉴别以及操作系统安全相关风险 4 34 3 网络安全审计网络安全审计 使用网络安全审计系统使用网络安全审计系统 2 2 台 用于对涉密信息系统的网络及台 用于对涉密信息系统的网络及 应用进行安全审应用进行安全审 计和监控 审计功能包括 应用层协议还原审计 数据库审计 计和监控 审计功能包括 应用层协议还原审计 数据库审计 网络行为审计 网络行为审计 自定义关键字审计等 自定义关键字审计等 精品文档 36欢迎下载 1 1 部署 部署 旁路部署于核心交换机的镜像目的接口 部署数量为旁路部署于核心交换机的镜像目的接口 部署数量为 2 2 台 台 分别部署于主中分别部署于主中 心以及从属中心的核心交换机上 设置其管理地址 用于系统心以及从属中心的核心交换机上 设置其管理地址 用于系统 管理及维护 部署管理及维护 部署 拓扑示意图如下 拓扑示意图如下 网络安全审计网络安全审计 网络安全审计网络安全审计 主中心主中心 从属中心从属中心 网闸网闸 主中心主中心 从属中心从属中心 核心交换机核心交换机 核心交换机核心交换机 图图 1 141 14 网络安全审计部署示意图网络安全审计部署示意图 2 2 第一次运行策略 第一次运行策略