计算机信息系统分级保护方案

计算机信息系统分级保护方案标准化工作室编码[XX968T-XX89628-XJ668-XT689N]方案系统总体部署涉密信息系统的组网模式为：效劳器区、安全治理区、终端区共同连接至核TCP/IP式，核心交换机、效劳器安全访问掌握中间件以及防火墙上设置安全访问掌握策略〔ACL〕，VlanVlanVlan数据至入侵检测系统以及网络安全审计系统；效劳器区包含原有应用系统；安全治理区windowsWSUS认证系统；终端区分包含全部业务部门。XXX系统、XXX系统、XXX系统、XXXXXX系统、。防火墙防护的应用系统有：XXX、XXX系统、XXX系统、XXX系统以及XXX系统。集团内部的公文流转以及协同工作。使用25、110SMTPPOP3C/S将内网用户使用的邮件账号在效劳器群组安全访问掌握中间件中划分到不同的用户1-7，717用户可以向高密级用户发送邮件，高密级用户不得向低密级用户发送，保证信息流向的正确性，防止高密数据流向低密用户。针对物理风险，实行红外对射、红外报警、视频监控以及门禁系统进展防物理安全防护总体物理安全防护设计如下：周边环境安全掌握①XXXXXX侧部署红外对射和入侵报警系统。具体部署见下表：1-1周边安全建设序号保护部位现有防护措施需增防护措施1人员出入通道2物资出入通道3南侧4西侧5东侧6北侧要害部门部位安全掌握表所示：1-2要害部门部位安全建设序号序号1保护部门出入口掌握门锁/登记/现有安全措施增安全措施序号保护部门出入口掌握现有安全措施增安全措施24H2门锁3门锁4门锁5门锁/登记6门锁/登记7门锁/登记8门锁/登记9机房出入登记10门锁建设内容包括：①为使用非屏蔽双绞线的链路加装线路干扰仪。②为涉密信息系统内的终端和效劳器安装红黑电源隔离插座。③为视频信号电磁泄漏风险较大的终端安装视频干扰仪。以及电磁泄漏信号无法捕获、无法复原。红外对射部署增加红外对射装置，防护边界，具体部署位置如下表：1-1红外对射部署统计表序号部署位置数量〔对〕1东围墙2北围墙3合计部署方式如以下图所示：

1-2红外对射设备设备成对消灭，在安装地点双向对置，调整至一样水平位置。第一次运行策略2410/秒的速度来确定最短遮光时间；202020不报警。设备治理及策略设备及传输线路进展检查、维护，并定期向保密办提交设备运维报告。部署后解决的风险红外报警部署如下表：1-2红外报警部署统计表序号序号部署位置数量〔个〕序号部署位置数量〔个〕1234合计设备形态如以下图所示：

1-3红外报警设备部署在两处房间墙壁角落，安装高度距离地面米。第一次运行策略2437℃10μm止窗外的热气流扰动和人员走动会引起误报。设备治理及策略进展检查、维护，并定期向保密办提交设备运维报告。部署后解决的风险视频监控部署部署位置如下表：1-3视频监控部署统计表序号部署位置数量〔个〕12345678合计设备形态如以下图所示：

1-4视频监控设备落，掩盖门窗及重点区域。形态如以下图所示：第一次运行策略

1-5硬盘录像机MPEG-4，显示区分率768*576，384*288。设备治理及策略设备及传输线路进展检查、维护，并定期向保密办提交设备运维报告。部署后解决的风险门禁系统部署署位置如下表：1-4门禁系统部署统计表序号部署位置数量〔个〕1234567891011合计第一次运行策略

1-6门禁系统部署方式实行密码+读卡方式；设置可以通过该通道的人在什么时间范围内可以进出；实时供给每个门区人员的进出状况、每个门区的状态〔包括门的开关，各种非正常状态报警等〕，设置在紧急状态翻开或关闭全部门区的功能；设置防跟随功能。设备治理及策略输线路进展检查、维护，并定期向保密办提交设备运维报告。部署后解决的风险线路干扰仪部署路干扰仪连接至最远端和次远端，将该设备进展接地处理。具体部署位置如下表：1-6线路干扰仪部署统计表序号部署位置数量〔个〕123合计第一次运行策略

1-11线路干扰仪设备〔如〕上窃取信息，实际上所窃得的仅是已被加扰信号充分湮没了的混合信号。设备治理及策略备及传输线路进展检查、维护，并定期向保密办提交设备运维报告。部署后解决的风险视频干扰仪部署XXX号楼存在的涉密终端部署，将该设备进展接地处理。、具体部署位置如下表：1-7视频干扰仪部署统计表序号部署位置数量〔个〕12311合计第一次运行策略

1-12视频干扰仪设备设置设备运行频率为1000MHz。设备治理及策略进展检查、维护，并定期向保密办提交设备运维报告。部署后解决的风险红黑电源隔离插座部署具体部署位置如下表：数量〔个〕1-8红黑电源部署统计表数量〔个〕序号1涉密终端部署位置2效劳器3UPS4合计运行维护策略

1-13红黑电源隔离插座消灭问题向保密办报告。〔4〕部署后解决的风险解决信息设备的电磁泄漏放射防护相关风险。网闸1部署附属中心之间在任一时刻点上都不产生直接的物理连通。部署拓扑示意图如下：1-8网闸部署拓扑示意图第一次运行策略SQLservers设备治理及策略网闸设备依据《网闸运维治理制度》进展治理。口令，由“三员”分别治理。b、由信息中心对网闸设备进展编号、标识密级、安放至安全治理位置。身运行状态、转发数据量状态、系统日志等内容。心准时解决问题。后，负责设备的修理治理。部署后解决的风险在任一时刻点上都不产生直接的物理连通。防火墙、网络层审计等。防火墙系统部署于附属中心。原有防火墙部署于主中心，不做调整。部署使用防火墙系统限制附属中心终端访问机密级效劳器的权限，并且记录全部与效劳器区进展交互的日志。防火墙的eth1口、eth2口设置为透亮模式，配置桥接口fwbridge0IPsVLANtcp、udp、1-9防火墙部署示意图第一次运行策略a、允许附属中心授权用户访问软件配置治理系统。b、开放系统内所能使用到的端口，其他不使用的端口进展全部制止访问限制。字过滤。d、审计附属中心用户和效劳器区域的数据交换信息，记录审计日志。录，便利治理员进展审查。设备治理及策略进展治理。的口令，由“三员”分别治理。b、由信息中心对防火墙设备进展编号、标识密级、安放至安全治理位置。自身运行状态、转发数据量状态、系统日志等内容。心准时解决问题。后，负责设备的修理治理。部署后解决的风险Vlan求。入侵检测系统维护照旧。此设备解决的风险为对系统内的安全大事监控与报警，满足入侵监控要求。违规外联系统部署B/S111-1违规外联系统部署示意图第一次运行策略系统实时地监测受控网络内主机及移动主机的活动，对非法内/外联行为由报警掌握警，其中手机短信是完全实时的告警，格外便利和准时。设备治理及策略的争论前方可实施。违规外联监控系统的日志系统同时维护，日志的保存与备份依据《违规外联监控系统运维治理制度》进展治理。审计员的口令，由“三员”分别治理。治理位置。件运行状态、策略配置、系统日志等内容。心准时解决问题。办，获得批准后，联系厂家负责设备的修理治理。f、当系统消灭版本，由治理员负责准时更系统并做好备份工作。部署后解决的风险解决违规拨号、违规连接和违规无线上网等风险。应用安全防护效劳器群组安全访问掌握中间件2隐秘级效劳器、附属中心隐秘级效劳器边界的安全掌握、应用身份认证、邮件转发控制、网络审计以及邮件审计等。防护主中心的XXX系统、XXX系统、XXX系统、XXX系统、XXXXXXXXXXXX类软件系统。部署志。效劳器群组安全访问掌握中间件的eth1口、eth2口设置为透亮模式，启用桥接口进展治理。部署拓扑示意图如下：1-10效劳器群组安全访问掌握中间件部署示意图第一次运行策略户和效劳器区域的数据交换信息，审计应用访问日志。设备治理及策略均需要经过保密办的争论前方可实施。效劳器群组安全访问掌握中间件的日志系统维护，日志的保存与备份依据《效劳器群组安全访问掌握中间件运维治理制度》进展管理。保密治理员、安全审计员的口令，由“三员”分别治理。级、安放至安全治理位置。设备查看设备配置、设备自身运行状态、转发数据量状态、系统日志等内容。心准时解决问题。题，通知保密办，获得批准后，负责设备的修理治理。部署后解决的风险边界防护、安全审计及数据库安全等要求。windows改造原有AD主域掌握器及备份域掌握器。部署AD2与活动名目集成，用户授权治理和名目进入掌握整合在活动名目当中〔包括用户的访问和登录权限等〕。通过实施安全策略，实现系统内用户登录身份认证，集中掌握用户授权。终端操作基于策略的治理。通过设置组策略把相应各种策略〔包括安全策略〕实施到组策略对象中。部署拓扑示意图如下：1-7域控及WSUS第一次运行策略度、使用周期、锁定策略，指定每一个用户可登录的机器。机密级终端需要将USB-KEY令牌与域用户登录结合使用，到达“双因子”鉴别的过程。行”、“搜寻”功能。WSUSWSUSWSUS统漏洞。设备治理及策略ADWSUSWSUS运维治理制度》进展治理。WSUS保密治理员、安全审计员的口令，由“三员”分别治理。WSUS标识密级、安放至安全治理位置。cADWSUSd、信息中心觉察特别系统日志准时通报保密办，并查找缘由，追究根源。部署后解决的风险网络安全审计使用网络安全审计系统2台，用于对涉密信息系统的网络及应用进展安全审计和监审计等。部署2下：

1-14网络安全审计部署示意图、POP3、Smtp、imap、telnet、FTP1433、、1034、1037、1041、1040、1042、6035、7777、3690保密规定设定相关关键词字，审计关键词字；使用s方式治理系统。设备治理及策略安全审计运维治理制度》进展治理。审计员的口令，由“三员”分别治理。位置。置、设备自身运行状态、转发数据量状态、系统日志等内容。d、信息中心觉察特别审计日志准时通报保密办，并查找缘由，追究根源。得批准后，负责设备的修理治理。部署后解决的风险解决应用审计，针对内容进展审计记录，满足安全审计相关要求。防病毒系统将使用网络版防病毒软件建立病毒防护系统，共计26个效劳器端，419个客户端，分别部署在主中心以及附属中心。226部署防病毒系统承受客户端+效劳器构造，效劳器由信息中心负责治理。admin入到杀毒掌握中心。IP持与杀毒中心的实时通信。IP与杀毒中心同步。单机防病毒系统直接部署在涉密单机及中间机上。第一次运行策略access接口上。交换机接口配置Vlan二层信息为：接口类型为access，为其划分Vlan，使得VlanVlan，即网络防病毒系统可以对网络中全部的主机设备进展杀毒统一治理和在线掌握。全部接入网络的终端计算机和应用效劳器〔windows操作系统〕防病毒客户端。内网的防病毒系统效劳器上。利用效劳器上的防病毒系统效劳端供给的接口导入升级包，再通过效劳端将更了的病毒库向每一台防病毒系统客户端进展强制更。定应急预案，防止病毒大面积爆发。设备治理及策略为了防止计算机病毒或恶意代码传播，将实行如下措施：时进展制定，同时加强审计，确保策略的正确实施；意代码检查处理；usb部署后解决的风险恶意程序关心检测系统涉密信息系统承受恶意程序关心检测系统，用于涉密信息系统的中间机信息输入输出介质的恶意程序及木马病毒查杀及管控。部署4224统，对中间机潜在的恶意程序及木马进展管控。第一次运行策略载、设置策略进展恶意代码扫描、设置策略拦截恶意程序的盗取行为。设备治理及策略份依据《恶意程序关心检测系统运维治理制度》进展治理。安全审计员的口令，由“三员”分别治理。b、由信息中心对中间机进展编号、标识密级、记录安放位置并指定中间机负责人。c、信息中心负责定期到中间机提取审计日志信息等内容。d、信息中心觉察高风险大事准时通报保密办，并查找风险源头，各部门协作信息中心准时解决问题。e、中间机负责人严格遵守《恶意程序关心检测系统运维治理制度》，使用中间机带的恶意程序及木马危害系统。部署后解决的风险主机监控与审计系统使用原有主机监控与审计系统进展对终端行为监控和限制，保持原有部署及原有配风险。移动介质治理系统承受移动介质治理系统对公司移动存储介质进展治理。部署统以及审计平台。该单机放置于信息中心，由信息中心治理维护。部署30个客户端。具体分布如下表所示。1-5移动介质系统部署汇总表序号部署位置数量12345678910合计第一次运行策略U设备治理及策略问题后，交由保密办统一封存处理。部署后解决的风险终端安全登录及身份认证系统承受终端安全登录与监控审计系统〔网络版〕，用于对机密级终端的“双因子”登〔单机版〕，用于对涉密单机、中间机登录身份认证、主机监控与审计。部署〕289单机版直接部署在具全部的中间机以及涉密单机上。第一次运行策略全部终端的策略实行以下方式进展：开机安全登录与认证，关闭光驱、软驱、串口、并口、红外、蓝牙、网络接口、1394PDA。USB策略的调整与下发。设备治理及策略志的保存与备份依据《终端安全登录与监控审计系统运维治理制度》进展治理。员、安全审计员的口令，由“三员”分别治理。至安全治理位置。看效劳器硬件运行状态、策略配置、系统日志等内容。心准时解决问题。题，通知保密办，获得批准后，联系厂家负责设备的修理治理。部署后解决的风险光盘刻录监控与审计承受光盘刻录监控与审计系统，用于对刻录行为的监控与审计。部署部署在具有刻录权限的内网终端、中间机以及涉密单机上。第一次运行策略申请、