计算机信息系统分级保护方案

计算机信息系统分

级保护方案文档仅供参考，不当之处，请联系改正。方案1系统总体部署（1）涉密信息系统的组网模式为：服务器区、安全管理区、终端区共同连接至核心交换机上，组成类似于星型结构的网络模式，参照TCP/IP网络模型建立。核心交换机上配置三层网关并划分Vlan，在服务器安全访问控制中间件以及防火墙上启用桥接模式，核心交换机、服务器安全访问控制中间件以及防火墙上设置安全访问控制策略（ACL），禁止部门间Vlan互访，允许部门Vlan与服务器Vlan通信。核心交换机镜像数据至入侵检测系统以及网络安全审计系统；服务器区包含原有应用系统；安全管理区包含网络防病毒系统、主机监控与审计系统、windows域控及WSUS补丁分发系统、身份认证系统；终端区分包含所有业务部门。服务器安全访问控制中间件防护的应用系统有：XXX系统、XXX系统、XXX系统、XXX系统以及XXX系统、。防火墙防护的应用系统有：XXX、XXX系统、XXX系统、XXX系统以及XXX系统。（2）邮件系统的作用是：进行信息的驻留转发，实现点到点的非实时通信。完成集团内部的公文流转以及协同工作。使用25、110端口，使用SMTP协议以及POP3协议，内网终端使用C/S模式登录邮件系统。将内网用户使用的邮件账号在服务器群组安全访问控制中间件中划分到不同的用户组，针对不同的用户组设置安全级别，安全级别分为1-7级，可根据实际需求设置相应的级别。1-7级的安全层次为：1级最低级，7级最高级，由1到7逐级增高。即低密级用户能够向高密级用户发送邮件，高密级用户不得向低密级用户发送，保证信息流向的正确性，防止高密数据流向低密用户。（3）针对物理风险，采取红外对射、红外报警、视频监控以及门禁系统进行防护。针对电磁泄射，采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进行防护。2物理安全防护总体物理安全防护设计如下：（1）周边环境安全控制XXX侧和XXX侧部署红外对射和入侵报警系统。部署视频监控，建立安防监控中心，重点部位实时监控。具体部署见下表：表1-1周边安全建设序号保护部位现有防护措施需新增防护措施1人员出入通道2物资出入通道3南侧4西侧5东侧6北侧（2）要害部门部位安全控制增加电子门禁系统，采用智能IC卡和口令相结合的管理方式。具体防护措施如下表所示：表1-2要害部门部位安全建设序号保护部门出入口控制现有安全措施新增安全措施1门锁/登记/24H警卫值班2门锁3门锁4门锁5门锁/登记6门锁/登记7门锁/登记8门锁/登记9机房出入登记10门锁（3）电磁泄漏防护建设内容包括：为使用非屏蔽双绞线的链路加装线路干扰仪。为涉密信息系统内的终端和服务器安装红黑电源隔离插座。为视频信号电磁泄漏风险较大的终端安装视频干扰仪。经过以上建设，配合《安防管理制度》以及《电磁泄漏防护管理制度》，使得达到物理安全防范到位、重要视频监控无死角、进出人员管理有序、实体入侵报警响应及时以及电磁泄漏信号无法捕捉、无法还原。2.1红外对射（1）部署增加红外对射装置，防护边界，具体部署位置如下表：表1-1红外对射部署统计表序号部署位置数量（对）1东围墙2北围墙3合计部署方式如下图所示:图1-2红外对射设备设备成对出现，在安装地点双向对置，调整至相同水平位置。（2）第一次运行策略红外对射24小时不间断运行，当有物体经过，光线被遮挡，接收机信号发生变化，放大处理后报警。设置合适的响应时间，以10米/秒的速度来确定最短遮光时间；设置人的宽度为20厘米，则最短遮断时间为20毫秒，大于20毫秒报警，小于20毫秒不报警。（3）设备管理及策略红外对射设备由公安处负责管理，实时监测设备运行情况及设备相应情况，定期对设备及传输线路进行检查、维护，并定期向保密办提交设备运维报告。文档仅供参考，不当之处，请联系改正。（4）部署后解决的风险解决重点部位监控及区域控制相关风险。2.2红外报警（1）部署增加红外报警装置，对保密要害部位实体入侵风险进行防护、报警，具体部署位置如下表:表1-2红外报警部署统计表序号部署位置数量（个）1234合计设备形态如下图所示:图1-3红外报警设备部署在两处房间墙壁角落，安装高度距离地面2.0-2.2米。（2）第一次运行策略红外报警24小时不间断运行，设置检测37°C特征性10口m波

文档仅供参考，不当之处，请联系改正。长的红外线，远离空调、暖气等空气温度变化敏感的地方，不间隔屏、家具或其它隔离物，不直对窗口，防止窗外的热气流扰动和人员走动会引起误报。（3）设备管理及策略红外报警设备由公安处负责管理，监测设备运行情况及设备相应情况，定期对设备进行检查、维护，并定期向保密办提交设备运维报告。（4）部署后解决的风险解决重点部位监控及区域控制相关风