2022年2022年计算机信息系统分级保护方案. .pdf

《2022年2022年计算机信息系统分级保护方案. .pdf》由会员分享，可在线阅读，更多相关《2022年2022年计算机信息系统分级保护方案. .pdf（22页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、方案1 系统总体部署（1）涉密信息系统的组网模式为：服务器区、安全管理区、终端区共同连接至核心交换机上，组成类似于星型结构的网络模式，参照TCP/IP 网络模型建立。核心交换机上配置三层网关并划分Vlan ，在服务器安全访问控制中间件以及防火墙上启用桥接模式， 核心交换机、服务器安全访问控制中间件以及防火墙上设置安全访问控制策略 （ACL ） ，禁止部门间 Vlan 互访，允许部门 Vlan 与服务器 Vlan 通信。核心交换机镜像数据至入侵检测系统以及网络安全审计系统；服务器区包含原有应用系统； 安全管理区包含网络防病毒系统、主机监控与审计系统、windows 域控及 WSUS 补丁分发系统

2、、身份认证系统；终端区分包含所有业务部门。服务器安全访问控制中间件防护的应用系统有：XXX系统、 XXX系统、 XXX系统、 XXX系统以及 XXX系统、 。防火墙防护的应用系统有：XXX 、XXX系统、XXX系统、XXX系统以及 XXX系统。（2）邮件系统的作用是： 进行信息的驻留转发， 实现点到点的非实时通信。完成集团内部的公文流转以及协同工作。使用25、110 端口，使用 SMTP 协议以及 POP3 协议，内网终端使用C/S 模式登录邮件系统。将内网用户使用的邮件账号在服务器群组安全访问控制中间件中划分到不同的用户组， 针对不同的用户组设置安全级别，安全级别分为 1-7 级，可根据实际

3、需求设置相应的级别。1-7 级的安全层次为： 1 级最低级， 7 级最高级，由1到 7 逐级增高。即低密级用户可以向高密级用户发送邮件，高密级用户不得向低密级用户发送，保证信息流向的正确性，防止高密数据流向低密用户。（3）针对物理风险，采取红外对射、红外报警、视频监控以及门禁系统进行防护。针对电磁泄射， 采取线路干扰仪、 视频干扰仪以及红黑电源隔离插座进行防护。2 物理安全防护总体物理安全防护设计如下：（1）周边环境安全控制XXX侧和 XXX侧部署红外对射和入侵报警系统。部署视频监控，建立安防监控中心，重点部位实时监控。具体部署见下表：表 1-1 周边安全建设序号保护部位现有防护措施需新增防护

4、措施1 人员出入通道2 物资出入通道名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 22 页 - - - - - - - - - 序号保护部位现有防护措施需新增防护措施3 南侧4 西侧5 东侧6 北侧（2）要害部门部位安全控制增加电子门禁系统，采用智能IC 卡和口令相结合的管理方式。具体防护措施如下表所示：表 1-2 要害部门部位安全建设序号保护部门出入口控制现有安全措施新增安全措施1 门锁 / 登记 / 24H警卫值班2 门锁3 门锁4 门锁5 门锁 / 登记6 门锁

5、/ 登记7 门锁 / 登记8 门锁 / 登记9 机房出入登记10 门锁（3）电磁泄漏防护建设内容包括：为使用非屏蔽双绞线的链路加装线路干扰仪。为涉密信息系统内的终端和服务器安装红黑电源隔离插座。为视频信号电磁泄漏风险较大的终端安装视频干扰仪。通过以上建设，配合安防管理制度以及电磁泄漏防护管理制度，使得达到物理安全防范到位、 重要视频监控无死角、 进出人员管理有序、 实体入侵报警响应及时以及电磁泄漏信号无法捕捉、无法还原。2.1 红外对射（1）部署增加红外对射装置，防护边界，具体部署位置如下表：表 1-1 红外对射部署统计表序号部署位置数量（对）1 东围墙2 北围墙3 合计部署方式如下图所示：名

6、师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 22 页 - - - - - - - - - 图 1-2 红外对射设备设备成对出现，在安装地点双向对置，调整至相同水平位置。（2）第一次运行策略红外对射 24 小时不间断运行，当有物体通过，光线被遮挡，接收机信号发生变化，放大处理后报警。 设置合适的响应时间， 以 10 米/ 秒的速度来确定最短遮光时间；设置人的宽度为20 厘米，则最短遮断时间为20 毫秒，大于 20 毫秒报警，小于 20 毫秒不报警。（3）设备管理及策略红外

7、对射设备由公安处负责管理，实时监测设备运行情况及设备相应情况，定期对设备及传输线路进行检查、维护，并定期向保密办提交设备运维报告。（4）部署后解决的风险解决重点部位监控及区域控制相关风险。2.2 红外报警（1）部署增加红外报警装置， 对保密要害部位实体入侵风险进行防护、报警，具体部署位置如下表：表 1-2 红外报警部署统计表序号部署位置数量（个）1 2 3 4 合计设备形态如下图所示：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 22 页 - - - - - - - -

8、 - 图 1-3 红外报警设备部署在两处房间墙壁角落，安装高度距离地面2.0-2.2米。（2）第一次运行策略红外报警 24 小时不间断运行，设置检测37特征性 10 m波长的红外线，远离空调、暖气等空气温度变化敏感的地方，不间隔屏、家具或其他隔离物，不直对窗口，防止窗外的热气流扰动和人员走动会引起误报。（3）设备管理及策略红外报警设备由公安处负责管理，监测设备运行情况及设备相应情况，定期对设备进行检查、维护，并定期向保密办提交设备运维报告。（4）部署后解决的风险解决重点部位监控及区域控制相关风险。2.3 视频监控（1）部署增加视频监控装置， 对周界、保密要害部门部位的人员出入情况进行实时监控，

9、具体部署位置如下表：表 1-3 视频监控部署统计表序号部署位置数量（个）1 2 3 4 5 6 7 8 合计名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 22 页 - - - - - - - - - 设备形态如下图所示：图 1-4 视频监控设备视频监控在室外采用云台枪机式设备，室内采用半球式设备， 部署在房间墙壁角落，覆盖门窗及重点区域。增加 32 路嵌入式硬盘录像机一台， 用于对视频采集信息的收集和压缩存档。设备形态如下图所示：图 1-5 硬盘录像机（2）第一次运行策

10、略视频监控24 小时不间断运行，设置视频采集格式为MPEG-4 ，显示分辨率768*576，存储、回放分辨率384*288。（3）设备管理及策略视频监控设备由公安处负责管理，实时监测设备运行情况及设备相应情况，定期对设备及传输线路进行检查、维护，并定期向保密办提交设备运维报告。（4）部署后解决的风险解决重点部位监控及区域控制相关风险。2.4 门禁系统（1）部署增加门禁系统，对保密要害部门部位人员出入情况进行控制，并记录日志，具体部署位置如下表：表 1-4 门禁系统部署统计表序号部署位置数量（个）1 2 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - -

11、 - - - - - 名师精心整理 - - - - - - - 第 5 页，共 22 页 - - - - - - - - - 3 4 5 6 7 8 9 10 11 合计部署示意图如下图所示：图 1-6 门禁系统部署方式（2）第一次运行策略对每个通道设置权限， 制作门禁卡，对可以进出该通道的人进行进出方式的授权，采取密码 +读卡方式；设置可以通过该通道的人在什么时间范围内可以进出；实时提供每个门区人员的进出情况、每个门区的状态（包括门的开关，各种非正常状态报警等），设置在紧急状态打开或关闭所有门区的功能；设置防尾随功能。（3）设备管理及策略门禁系统由公安处负责管理， 定期监测设备运行情况及设备

12、相应情况，对设备及传输线路进行检查、维护，并定期向保密办提交设备运维报告。（4）部署后解决的风险解决重点部位监控及区域控制相关风险。2.5 线路干扰仪（1）部署增加 8 口线路干扰仪， 防护传输数据沿网线以电磁传导、辐射发射、 耦合等方式泄漏的情况。将从交换机引至其布线最远端以及次远端的线缆插接至线路干扰仪，并由线路干扰仪连接至最远端和次远端，将该设备进行接地处理。具体部署位置如下表：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 22 页 - - - - - - - -

13、 - 表 1-6 线路干扰仪部署统计表序号部署位置数量（个）1 2 3 合计设备形态如下图所示：图 1-11 线路干扰仪设备（2）第一次运行策略在网线中一对空线对上注入伪随机宽带扫频加扰信号, 使之能跟随其他三对网线上的信号并行传输到另一终端；窃密者若再从网线或其他与网络干线相平行的导线（如电话线及电源线等） 上窃取信息， 实际上所窃得的仅是已被加扰信号充分湮没了的混合信号。（3）设备管理及策略线路干扰仪由信息中心负责管理，对设备编号、标识密级、摆放、调测、定期对设备及传输线路进行检查、维护，并定期向保密办提交设备运维报告。（4）部署后解决的风险解决传输线路的电磁泄漏发射防护相关风险。2.6

14、视频干扰仪（1）部署增加视频干扰仪，防止对涉密终端视频信息的窃取，对XXX号楼存在的涉密终端部署，将该设备进行接地处理。 、具体部署位置如下表：表 1-7 视频干扰仪部署统计表序号部署位置数量（个）1 2 3 11 合计设备形态如下图所示：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 22 页 - - - - - - - - - 图 1-12 视频干扰仪设备（2）第一次运行策略设置设备运行频率为1000 MHz 。（3）设备管理及策略视频干扰仪由信息中心负责管理，监测设

15、备运行情况及设备相应情况，定期对设备进行检查、维护，并定期向保密办提交设备运维报告。（4）部署后解决的风险解决信息设备的电磁泄漏发射防护相关风险。2.7 红黑电源隔离插座（1）部署增加红黑电源隔离插座， 防护电源电磁泄漏， 连接的红黑电源需要进行接地处理。具体部署位置如下表：表 1-8 红黑电源部署统计表序号部署位置数量（个）1 涉密终端2 服务器3 UPS 4 合计产品形态如下图所示：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 22 页 - - - - - - -

16、- - 图 1-13 红黑电源隔离插座（2）运行维护策略要求所有涉密机均直接连接至红黑电源上，红黑电源上不得插接其他设备。安装在涉密终端及涉密单机的红黑隔离电源由使用者维护，安装在服务器的由信息中心维护，出现问题向保密办报告。（4）部署后解决的风险解决信息设备的电磁泄漏发射防护相关风险。3 网络安全防护3.1 网闸使用 1 台网闸连接主中心以及从属中心，用于安全隔离及信息交换。（1）部署部署 1 台网闸于主中心及从属中心核心交换机之间，做单向访问控制与信息交互。设备启用路由模式， 通过路由转发连接主中心以及从属中心，从物理层到应用层终结所有的协议包， 还原成原始应用数据， 以完全私有的方式传递

17、到另一个网络，主中心以及从属中心之间在任一时刻点上都不产生直接的物理连通。部署拓扑示意图如下：主中心从属中心网闸从属中心核心交换机主中心核心交换机图 1-8 网闸部署拓扑示意图（2）第一次运行策略配置从属中心访问主中心的权限， 允许从属中心特定地址访问主中心所有服名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 22 页 - - - - - - - - - 务器，允许其他地址访问公司内部门户以及人力资源系统，配置访问内部门户SQL server数据库服务器，禁止其他所有访问

18、方式。配置网闸病毒扫描，对流经网闸设备数据进行病毒安全扫描。配置系统使用 Https 方式管理，确保管理安全。（3）设备管理及策略网闸设备按照网闸运维管理制度进行管理。a、由信息中心管理网闸设备，分别设置管理员、安全保密管理员、安全审计员的口令，由“三员”分别管理。b、由信息中心对网闸设备进行编号、标识密级、安放至安全管理位置。c、信息中心负责网闸设备的日常运行维护，每周登陆设备查看设备配置、设备自身运行状态、转发数据量状态、系统日志等内容。d、信息中心发现异常情况及时通报保密办，并查找问题原因，各部门配合信息中心及时解决问题。e、信息中心负责网闸设备的维修管理，设备出现问题，通知保密办，获得

19、批准后，负责设备的维修管理。（4）部署后解决的风险解决两网互联的边界防护问题， 对应用的访问进行细粒度的控制， 各自隔离，两网在任一时刻点上都不产生直接的物理连通。3.2 防火墙涉密信息系统采用防火墙系统1 台进行边界防护，用于涉密信息系统网关的安全控制、 网络层审计等。 防火墙系统部署于从属中心。原有防火墙部署于主中心，不做调整。（1）部署使用防火墙系统限制从属中心终端访问机密级服务器的权限，并且记录所有与服务器区进行交互的日志。防火墙的eth1 口、eth2 口设置为透明模式，配置桥接口 fwbridge0 IP 地址，配置管理方式为https 方式，打开多 VLAN 开关，打开 tcp

20、、udp、ICMP广播过滤。防火墙的日志数据库安装在安全管理服务器上。部署拓扑示意图如下：机密级秘密级工作级防火墙从属中心核心交换机秘密级服务器群图 1-9 防火墙部署示意图（2）第一次运行策略名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 22 页 - - - - - - - - - 防火墙上设置访问控制策略，并设定不同用户所能访问的资源：a、允许从属中心授权用户访问软件配置管理系统。b、开放系统内所能使用到的端口，其他不使用的端口进行全部禁止访问限制。c、可以依据保

21、密办相关规定设定审查关键字，对于流经防火墙的数据流进行关键字过滤。d、审计从属中心用户和服务器区域的数据交换信息，记录审计日志。e、整个防火墙系统的整个运行过程和网络信息流等信息，均进行详细的日志记录，方便管理员进行审查。（3）设备管理及策略防火墙系统由信息中心进行管理及维护，任何策略的改动均需要经过保密办的讨论后方可实施。 防火墙的日志系统维护， 日志的保存与备份按照 防火墙运维管理制度进行管理。a、由信息中心管理防火墙设备，分别设置管理员、安全保密管理员、安全审计员的口令，由“三员”分别管理。b、由信息中心对防火墙设备进行编号、标识密级、安放至安全管理位置。c、信息中心负责防火墙设备的日常

22、运行维护，每周登陆设备查看设备配置、设备自身运行状态、转发数据量状态、系统日志等内容。d、信息中心发现异常情况及时通报保密办，并查找问题原因，各部门配合信息中心及时解决问题。e、信息中心负责防火墙设备的维修管理，设备出现问题，通知保密办，获得批准后，负责设备的维修管理。（4）部署后解决的风险原有防火墙保证主中心各Vlan 的三层逻辑隔离，对各安全域之间进行访问控制，对网络层访问进行记录与审计， 保证信息安全保密要求的访问控制以及安全审计部分要求。3.3 入侵检测系统使用原有入侵检测设备进行网络层监控，保持原有部署及原有配置不变， 设备的管理维护依旧。 此设备解决的风险为对系统内的安全事件监控与

23、报警，满足入侵监控要求。3.4 违规外联系统（1）部署采用涉密计算机违规外联监控系统， 部署于内网终端、涉密单机及中间机上。的违规外联监控系统采用B/S 构架部署，安装 1 台内网监控服务器、 1 台外网监名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 22 页 - - - - - - - - - 控服务器，安装 645 个客户端，全部安装于内网终端、涉密单机以及中间机上。部署示意图如下。Internet拨号、 WLan 、3G庆华公司违规外联监控公网报警服务器内网终端

24、涉密单机中间机均安装违规外联监控系统客户端庆华公司违规外联监控内网管理服务器涉密内网实时监控实时监控图 1-1 违规外联系统部署示意图（2）第一次运行策略系统实时地监测受控网络内主机及移动主机的活动，对非法内/ 外联行为由报警控制中心记录并向管理员提供准确的告警。同时，按照预定的策略对非法连接实施阻断， 防止数据外泄。 报警控制中心能够以手机短信、电子邮件两种告警方式向网络管理员告警，其中手机短信是完全实时的告警，非常方便和及时。（3）设备管理及策略违规外联监控系统由信息中心进行管理及维护，任何策略的改动均需要经过保密办的讨论后方可实施。 违规外联监控系统的日志系统同时维护，日志的保存与备份按

25、照违规外联监控系统运维管理制度进行管理。a、由信息中心管理违规外联监控系统，分别设置管理员、 安全保密管理员、安全审计员的口令，由“三员”分别管理。b、由信息中心对违规外联监控系统报警服务器进行编号、标识密级、安放至安全管理位置。c、信息中心负责违规外联监控系统的日常运行维护，每周登陆设备查看服务器硬件运行状态、策略配置、系统日志等内容。d、信息中心发现异常情况及时通报保密办，并查找问题原因，各部门配合信息中心及时解决问题。e、信息中心负责违规外联监控系统服务器的维修管理，设备出现问题，通知保密办，获得批准后，联系厂家负责设备的维修管理。名师资料总结 - - -精品资料欢迎下载 - - - -

26、 - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 22 页 - - - - - - - - - f 、当系统出现新版本，由管理员负责及时更新系统并做好备份工作。（4）部署后解决的风险解决违规拨号、违规连接和违规无线上网等风险。4 应用安全防护4.1 服务器群组安全访问控制中间件涉密信息系统采用服务器群组安全访问控制中间件2 台， 用于涉密信息系统主中心秘密级服务器、从属中心秘密级服务器边界的安全控制、应用身份认证、邮件转发控制、网络审计以及邮件审计等。防护主中心的XXX系统、 XXX系统、XXX系统、XXX系统、XXX系统以及

27、 XXX门户；防护从属中心的XXX系统以及 XXX类软件系统。（1）部署由于主中心的终端之间以及从属中心内的终端之间数据流动均被设计为以服务器为跳板进行驻留转发， 所以在服务器前端的服务器群组安全访问控制中间件系统起到了很强的访问控制功能， 限制终端访问服务器的权限并且记录所有与服务器区进行交互的日志。服务器群组安全访问控制中间件的eth1 口、eth2 口设置为透明模式，启用桥接口进行管理。部署拓扑示意图如下：机密级秘密级工作级服务器安全访问控制中间件网闸服务器安全访问控制中间件从属中心核心交换机主中心核心交换机机密级秘密级工作级机密级服务器群机密级服务器群图 1-10 服务器群组安全访问控

28、制中间件部署示意图（2）第一次运行策略服务器群组安全访问控制中间件上设置访问控制策略，并设定不同用户所能访问的服务器资源；设置邮件转发控制功能，为每个用户设置访问账号及密码，依据密级将用户划分至不同用户组中，高密级用户不得向低密级用户发送邮件。配置邮件审计功能，记录发件人，收件人，抄送人，主题，附件名等。配置网络审计与控制功能， 可以依据保密办相关规定设定审查关键字，对于流经系统的数名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 22 页 - - - - - - - -

29、 - 据流进行关键字过滤； 审计内部用户和服务器区域的数据交换信息，审计应用访问日志。（3）设备管理及策略服务器群组安全访问控制中间件系统由信息中心进行管理及维护，任何策略的改动均需要经过保密办的讨论后方可实施。服务器群组安全访问控制中间件的日志系统维护， 日志的保存与备份按照 服务器群组安全访问控制中间件运维管理制度进行管理。a、由信息中心管理服务器群组安全访问控制中间件设备，分别设置管理员、安全保密管理员、安全审计员的口令，由“三员”分别管理。b、由信息中心分别对2 台服务器群组安全访问控制中间件设备进行编号、标识密级、安放至安全管理位置。c、信息中心负责服务器群组安全访问控制中间件设备的

30、日常运行维护，每周登陆设备查看设备配置、 设备自身运行状态、 转发数据量状态、 系统日志等内容。d、信息中心发现异常情况及时通报保密办，并查找问题原因，各部门配合信息中心及时解决问题。e、信息中心负责服务器群组安全访问控制中间件设备的维修管理，设备出现问题，通知保密办，获得批准后，负责设备的维修管理。（4）部署后解决的风险解决对应用访问的边界防护、 应用及网络审计、 数据库安全以及数据流向控制，满足边界防护、安全审计及数据库安全等要求。4.2 windows 域控及补丁分发改造原有 AD主域控制器及备份域控制器。（1）部署的主中心以及从属中心均部署AD主域控制器及备份域控制器，共计2 套，并建

31、立 IIS 服务器，安装 WSUS 服务器，提供系统补丁强制更新服务。将终端系统的安全性完全与活动目录集成， 用户授权管理和目录进入控制整合在活动目录当中（包括用户的访问和登录权限等） 。通过实施安全策略，实现系统内用户登录身份认证， 集中控制用户授权。 终端操作基于策略的管理。 通过设置组策略把相应各种策略（包括安全策略）实施到组策略对象中。部署拓扑示意图如下：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 22 页 - - - - - - - - - AD 域控服务

32、器（主、备） &WSUS 服务器机密级秘密级工作级网闸从属中心核心交换机主中心核心交换机机密级秘密级工作级AD 域控服务器（主、备） &WSUS 服务器图 1-7 域控及 WSUS 部署示意图（2）第一次运行策略建立好域成员及其密码， 将所有内网终端的本地账号权限收回，内网终端只能使用管理员下发的域成员用户登录系统。通过组策略指定不同安全域用户口令的复杂性、长度、使用周期、锁定策略，指定每一个用户可登录的机器。机密级终端需要将 USB-KEY 令牌与域用户登录结合使用，达到“双因子”鉴别的过程。设置终端用户工作环境，隐藏用户无用的桌面图标，删除“开始”菜单中的“运行” 、 “搜索”功能。启用内

33、网 Windows XP终端内置的 WSUS 客户端。由系统漏洞的官方漏洞发布页下载完整的系统漏洞修复程序，将此程序通过中间机系统导入涉密信息系统，在 WSUS 服务器端导入此程序， 由 WSUS 服务器下发系统补丁强制修复策略，强制更新各个终端的系统漏洞。（3）设备管理及策略AD域控系统以及 WSUS 补丁分发系统由信息中心进行管理及维护，域控组策略的改动均需要经过保密办的讨论后方可操作。WSUS 系统的升级更新按照与管理及补丁分发运维管理制度进行管理。a、由信息中心管理 AD域控系统以及 WSUS 补丁分发系统， 分别设置管理员、安全保密管理员、安全审计员的口令，由“三员”分别管理。b、由

34、信息中心分别对2 套 AD域控系统以及 WSUS 补丁分发系统服务器进行编号、标识密级、安放至安全管理位置。c、信息中心负责 AD域控系统以及 WSUS 补丁分发系统服务器的日常运行维护，每周登陆服务器查看服务器硬件运行状态、组策略配置、域成员状态、系统日志等内容。d、信息中心发现异常系统日志及时通报保密办，并查找原因，追究根源。（4）部署后解决的风险解决部分身份鉴别以及操作系统安全相关风险。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页，共 22 页 - - - - -

35、- - - - 4.3 网络安全审计使用网络安全审计系统2 台， 用于对涉密信息系统的网络及应用进行安全审计和监控。审计功能包括：应用层协议还原审计、数据库审计、网络行为审计、自定义关键字审计等。（1）部署旁路部署于核心交换机的镜像目的接口，部署数量为 2 台，分别部署于主中心以及从属中心的核心交换机上。设置其管理地址， 用于系统管理及维护。 部署拓扑示意图如下：主中心从属中心网闸从属中心核心交换机主中心核心交换机网络安全审计网络安全审计图 1-14 网络安全审计部署示意图（2）第一次运行策略配置审计 http 、POP3 、Smtp 、imap、telnet 、 FTP协议以及自定义审计14

36、33、8080、27000、1043、1034、1037、1041、1040、1042、6035、7777、3690 端口；依据保密规定设定相关关键词字，审计关键词字；使用Https 方式管理系统。（3）设备管理及策略网络安全审计系统由信息中心进行管理及维护，审计策略的改动均需要经过保密办的讨论后方可操作。 网络安全审计系统的日志系统维护，日志的保存与备份按照网络安全审计运维管理制度进行管理。a、由信息中心管理网络安全审计设备，分别设置管理员、 安全保密管理员、安全审计员的口令，由“三员”分别管理。b、由信息中心分别对2 台网络安全审计设备进行编号、标识密级、安放至安全管理位置。c、信息中心负

37、责网络安全审计系统的日常运行维护，每周登陆设备查看设备配置、设备自身运行状态、转发数据量状态、系统日志等内容。d、信息中心发现异常审计日志及时通报保密办，并查找原因，追究根源。e、信息中心负责网络安全审计系统的维修管理，设备出现问题，通知保密办，获得批准后，负责设备的维修管理。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页，共 22 页 - - - - - - - - - （4）部署后解决的风险解决应用审计，针对内容进行审计记录，满足安全审计相关要求。5 终端安全防护5.1

38、 防病毒系统将使用网络版防病毒软件建立病毒防护系统，共计26 个服务器端， 419 个客户端，分别部署在主中心以及从属中心。将使用单机版防病毒软件建立中间机、单机及便携式计算机病毒防护系统，共计 226 个终端。（1）部署防病毒系统采用客户端 +服务器结构，服务器由信息中心负责管理。杀毒中心安装： 安装在安全管理服务器上， 设置好 admin 密码，并且将注册信息输入到杀毒控制中心。服务器安装： 在各类服务器上安装杀毒服务器端，设置杀毒中心的IP 地址，并保持与杀毒中心的实时通信。客户端安装：所有的内外终端均安装客户端杀毒程序，设置杀毒中心的IP地址，与杀毒中心同步。单机防病毒系统直接部署在涉

39、密单机及中间机上。（2）第一次运行策略防病毒控制中心服务器部署在保密室。网络防病毒系统连接在核心交换机的access 接口上。交换机接口配置 Vlan 二层信息为： 接口类型为 access，为其划分 Vlan，使得其与其他 Vlan 不能通过二层相通，使得网络防病毒系统需要通过三层与其他 Vlan 通信，即网络防病毒系统可以对网络中所有的主机设备进行杀毒统一管理和在线控制。所有接入网络的终端计算机和应用服务器（windows 操作系统）都安装防病毒软件，管理员通过控制台实现对全网防病毒系统的统一管理，并强制在用户接入网络时安装防病毒客户端。升级方式为： 在非涉密计算机上从互联网下载最新的防病

40、毒系统升级包，刻制成光盘。将此光盘上的防病毒系统升级包通过非涉密中间机导入到涉密光盘上，带入到涉密内网的防病毒系统服务器上。利用服务器上的防病毒系统服务端提供的接口导入升级包， 再通过服务端将更新了的病毒库向每一台防病毒系统客户端进行强制更新。防病毒管理： 定期升级病毒特征库， 每周不少于一次； 定期进行全网杀毒扫描，每天计划不少于一次； 每月检查防病毒系统的运行情况并记录，备份并存储病毒日志；制定应急预案，防止病毒大面积爆发。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页

41、，共 22 页 - - - - - - - - - （3）设备管理及策略为了防止计算机病毒或恶意代码传播，将采取如下措施：a、制定涉密信息系统运行管理制度 ，该管理办法将与涉密信息系统的建设同时进行制定，同时加强审计，确保策略的正确实施；b、加强存储设备的接入管理，对接入系统的存储设备必须先经过计算机病毒和恶意代码检查处理；c、所有的涉密计算机usb 及光驱等接口均通过授权才能使用，防止系统用户私自安装软件或使用usb 设备带病毒入网。（4）部署后解决的风险解决计算机病毒与恶意代码防护、操作系统安全相关风险。5.2 恶意程序辅助检测系统涉密信息系统采用恶意程序辅助检测系统，用于涉密信息系统的中

42、间机信息输入输出介质的恶意程序及木马病毒查杀及管控。（1）部署系统采用单机部署在中间机上的结构。共 4 台中间机， 主中心 2 台，从属中心 2 台，分别为涉密中间机以及非涉密中间机。4 台中间机上均安装恶意程序辅助检测系统，对中间机潜在的恶意程序及木马进行管控。（2）第一次运行策略使用恶意程序辅助检测系统接管系统关键服务、限制未知程序启动、 未知驱动加载、设置策略进行恶意代码扫描、设置策略拦截恶意程序的盗取行为。（3）设备管理及策略恶意程序辅助检测系统由信息中心进行管理及维护，任何策略的改动均需要经过保密办的讨论后方可实施。 恶意程序辅助检测系统的日志系统同时维护，日志的保存与备份按照恶意程

43、序辅助检测系统运维管理制度进行管理。a、由信息中心管理恶意程序辅助检测系统，分别设置管理员、安全保密管理员、安全审计员的口令，由“三员”分别管理。b、由信息中心对中间机进行编号、标识密级、记录安放位置并指定中间机负责人。c、信息中心负责定期到中间机提取审计日志信息等内容。d、信息中心发现高风险事件及时通报保密办，并查找风险源头，各部门配合信息中心及时解决问题。e、中间机负责人严格遵守 恶意程序辅助检测系统运维管理制度 ，使用中间机需要进行申请、 审批、登记摆渡内容、 使用恶意程序辅助检测系统防止摆渡介质可能携带的恶意程序及木马危害系统。名师资料总结 - - -精品资料欢迎下载 - - - -

44、- - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页，共 22 页 - - - - - - - - - （4）部署后解决的风险解决中间机计算机病毒与恶意代码防护相关风险。5.3 主机监控与审计系统使用原有主机监控与审计系统进行对终端行为监控和限制，保持原有部署及原有配置不变，管理方式及策略依旧。此设备解决的风险为设备数据接口控制、主机安全审计风险。5.4 移动介质管理系统采用移动介质管理系统对公司移动存储介质进行管理。（1）部署使用一台单机作为移动存储介质的系统管理机，安装涉密移动存储介质保密管理系统以及审计平台。该单机放置于信息中心，

45、由信息中心管理维护。部署 30 个客户端。具体分布如下表所示。表 1-5 移动介质系统部署汇总表序号部署位置数量1 2 3 4 5 6 7 8 9 10 合计（2）第一次运行策略使用移动介质管理系统对公司移动存储介质进行：注册登记、授权、定密、发放、收回、销毁、删除。采用全盘加密技术， 防止格式化 U盘后进行数据恢复。（3）设备管理及策略移动介质下发至各部门， 由各部门进行统一管理， 保密办进行二级管理， 借用需要通过部门领导的审批， 登记后进行使用， 并限定使用时间及使用范围。采取的技术防护手段为主机监控与审计系统，进行移动介质设备的管控与日志记录。移动介质出现硬件问题后，交由保密办统一封存

46、处理。（4）部署后解决的风险解决介质安全存在的风险。5.5 终端安全登录及身份认证系统采用终端安全登录与监控审计系统（网络版），用于对机密级终端的“双因子”登录身份认证。采用终端安全登录与监控审计系统（单机版），用于对涉密名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 19 页，共 22 页 - - - - - - - - - 单机、中间机登录身份认证、主机监控与审计。（1）部署终端安全登录与监控审计系统 （网络版） 服务器部署于安全管理区， 数量为2 套，分别部署于主中心和从属中心

47、。认证客户端安装于机密级终端上，共计 89台。单机版直接部署在具所有的中间机以及涉密单机上。（2）第一次运行策略所有终端的策略采取以下方式进行： 开机安全登录与认证， 关闭光驱、软驱、串口、并口、红外、蓝牙、网络接口、1394 火线、 PDA 。USB存储自由使用。禁止修改注册表、安装软件、安全模式启动、外联、更换设备。禁止打印、监控文件操作。特殊的终端如果需要开放特殊策略，则必须由保密办审批核准后，由信息中心系统管理员进行策略的调整与下发。（3）设备管理及策略终端安全登录与监控审计系统由信息中心进行管理及维护，任何策略的改动均需要经过保密办的讨论后方可实施。终端安全登录与监控审计系统的日志系

48、统同时维护，日志的保存与备份按照 终端安全登录与监控审计系统运维管理制度进行管理。a、由信息中心管理终端安全登录与监控审计系统，分别设置管理员、安全保密管理员、安全审计员的口令，由“三员”分别管理。b、由信息中心对终端安全登录与监控审计系统服务器进行编号、标识密级、安放至安全管理位置。c、信息中心负责终端安全登录与监控审计系统的日常运行维护，每周登陆设备查看服务器硬件运行状态、策略配置、系统日志等内容。d、信息中心发现异常情况及时通报保密办，并查找问题原因，各部门配合信息中心及时解决问题。e、信息中心负责终端安全登录与监控审计系统服务器的维修管理，设备出现问题，通知保密办，获得批准后，联系厂家

49、负责设备的维修管理。（4）部署后解决的风险解决身份鉴别、数据接口控制、主机安全审计相关风险。5.6 光盘刻录监控与审计采用光盘刻录监控与审计系统，用于对刻录行为的监控与审计。（1）部署部署在具有刻录权限的内网终端、中间机以及涉密单机上。（2）第一次运行策略名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 20 页，共 22 页 - - - - - - - - - 对与拥有光盘刻录权限的终端， 设置光盘刻录监控与审计策略， 记录刻录行为发生的时间， 刻录文件名称等日志信息。 操作的同时，

50、 需要对纸质登记记录予以完善，完成申请、审批、记录操作内容、登记归档等流程。（3）设备管理及策略光盘刻录监控与审计系统由信息中心进行管理及维护，任何策略的改动均需要经过保密办的讨论后方可实施。光盘刻录监控与审计系统的日志系统同时维护，日志的保存与备份按照 光盘刻录监控与审计系统运维管理制度进行管理。a、由信息中心管理光盘刻录监控与审计系统，分别设置管理员、安全保密管理员、安全审计员的口令，由“三员”分别管理。b、由信息中心对光盘刻录监控与审计系统各终端进行编号、标识密级、记录安放位置。c、信息中心负责定期到光盘刻录监控与审计系统终端提取审计日志信息等内容。d、信息中心发现高风险事件及时通报保密