2022年2022年计算机信息系统分级保护实施方案 .pdf
《2022年2022年计算机信息系统分级保护实施方案 .pdf》由会员分享,可在线阅读,更多相关《2022年2022年计算机信息系统分级保护实施方案 .pdf(22页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、方案1 系统总体部署(1)涉密信息系统的组网模式为:服务器区、安全管理区、终端区共同连接至核心交换机上,组成类似于星型结构的网络模式,参照TCP/IP 网络模型建立。核心交换机上配置三层网关并划分Vlan ,在服务器安全访问控制中间件以及防火墙上启用桥接模式, 核心交换机、服务器安全访问控制中间件以及防火墙上设置安全访问控制策略 (ACL ) ,禁止部门间 Vlan 互访,允许部门 Vlan 与服务器 Vlan 通信。核心交换机镜像数据至入侵检测系统以及网络安全审计系统;服务器区包含原有应用系统; 安全管理区包含网络防病毒系统、主机监控与审计系统、windows 域控及 WSUS 补丁分发系统
2、、身份认证系统;终端区分包含所有业务部门。服务器安全访问控制中间件防护的应用系统有:XXX系统、 XXX系统、 XXX系统、 XXX系统以及 XXX系统、 。防火墙防护的应用系统有:XXX 、XXX系统、XXX系统、XXX系统以及 XXX系统。(2)邮件系统的作用是: 进行信息的驻留转发, 实现点到点的非实时通信。完成集团内部的公文流转以及协同工作。使用25、110 端口,使用 SMTP 协议以及 POP3 协议,内网终端使用C/S 模式登录邮件系统。将内网用户使用的邮件账号在服务器群组安全访问控制中间件中划分到不同的用户组, 针对不同的用户组设置安全级别,安全级别分为 1-7 级,可根据实际
3、需求设置相应的级别。1-7 级的安全层次为: 1 级最低级, 7 级最高级,由1到 7 逐级增高。即低密级用户可以向高密级用户发送邮件,高密级用户不得向低密级用户发送,保证信息流向的正确性,防止高密数据流向低密用户。(3)针对物理风险,采取红外对射、红外报警、视频监控以及门禁系统进行防护。针对电磁泄射, 采取线路干扰仪、 视频干扰仪以及红黑电源隔离插座进行防护。2 物理安全防护总体物理安全防护设计如下:(1)周边环境安全控制XXX侧和 XXX侧部署红外对射和入侵报警系统。部署视频监控,建立安防监控中心,重点部位实时监控。具体部署见下表:表 1-1 周边安全建设序号保护部位现有防护措施需新增防护
4、措施1 人员出入通道2 物资出入通道名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 22 页 - - - - - - - - - 序号保护部位现有防护措施需新增防护措施3 南侧4 西侧5 东侧6 北侧(2)要害部门部位安全控制增加电子门禁系统,采用智能IC 卡和口令相结合的管理方式。具体防护措施如下表所示:表 1-2 要害部门部位安全建设序号保护部门出入口控制现有安全措施新增安全措施1 门锁 / 登记 / 24H警卫值班2 门锁3 门锁4 门锁5 门锁 / 登记6 门锁
5、/ 登记7 门锁 / 登记8 门锁 / 登记9 机房出入登记10 门锁(3)电磁泄漏防护建设内容包括:为使用非屏蔽双绞线的链路加装线路干扰仪。为涉密信息系统内的终端和服务器安装红黑电源隔离插座。为视频信号电磁泄漏风险较大的终端安装视频干扰仪。通过以上建设,配合安防管理制度以及电磁泄漏防护管理制度,使得达到物理安全防范到位、 重要视频监控无死角、 进出人员管理有序、 实体入侵报警响应及时以及电磁泄漏信号无法捕捉、无法还原。2.1 红外对射(1)部署增加红外对射装置,防护边界,具体部署位置如下表:表 1-1 红外对射部署统计表序号部署位置数量(对)1 东围墙2 北围墙3 合计部署方式如下图所示:名
6、师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 22 页 - - - - - - - - - 图 1-2 红外对射设备设备成对出现,在安装地点双向对置,调整至相同水平位置。(2)第一次运行策略红外对射 24 小时不间断运行,当有物体通过,光线被遮挡,接收机信号发生变化,放大处理后报警。 设置合适的响应时间, 以 10 米/ 秒的速度来确定最短遮光时间;设置人的宽度为20 厘米,则最短遮断时间为20 毫秒,大于 20 毫秒报警,小于 20 毫秒不报警。(3)设备管理及策略红外
7、对射设备由公安处负责管理,实时监测设备运行情况及设备相应情况,定期对设备及传输线路进行检查、维护,并定期向保密办提交设备运维报告。(4)部署后解决的风险解决重点部位监控及区域控制相关风险。2.2 红外报警(1)部署增加红外报警装置, 对保密要害部位实体入侵风险进行防护、报警,具体部署位置如下表:表 1-2 红外报警部署统计表序号部署位置数量(个)1 2 3 4 合计设备形态如下图所示:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 22 页 - - - - - - - -
8、 - 图 1-3 红外报警设备部署在两处房间墙壁角落,安装高度距离地面2.0-2.2米。(2)第一次运行策略红外报警 24 小时不间断运行,设置检测37特征性 10 m波长的红外线,远离空调、暖气等空气温度变化敏感的地方,不间隔屏、家具或其他隔离物,不直对窗口,防止窗外的热气流扰动和人员走动会引起误报。(3)设备管理及策略红外报警设备由公安处负责管理,监测设备运行情况及设备相应情况,定期对设备进行检查、维护,并定期向保密办提交设备运维报告。(4)部署后解决的风险解决重点部位监控及区域控制相关风险。2.3 视频监控(1)部署增加视频监控装置, 对周界、保密要害部门部位的人员出入情况进行实时监控,
9、具体部署位置如下表:表 1-3 视频监控部署统计表序号部署位置数量(个)1 2 3 4 5 6 7 8 合计名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 22 页 - - - - - - - - - 设备形态如下图所示:图 1-4 视频监控设备视频监控在室外采用云台枪机式设备,室内采用半球式设备, 部署在房间墙壁角落,覆盖门窗及重点区域。增加 32 路嵌入式硬盘录像机一台, 用于对视频采集信息的收集和压缩存档。设备形态如下图所示:图 1-5 硬盘录像机(2)第一次运行策
10、略视频监控24 小时不间断运行,设置视频采集格式为MPEG-4 ,显示分辨率768*576,存储、回放分辨率384*288。(3)设备管理及策略视频监控设备由公安处负责管理,实时监测设备运行情况及设备相应情况,定期对设备及传输线路进行检查、维护,并定期向保密办提交设备运维报告。(4)部署后解决的风险解决重点部位监控及区域控制相关风险。2.4 门禁系统(1)部署增加门禁系统,对保密要害部门部位人员出入情况进行控制,并记录日志,具体部署位置如下表:表 1-4 门禁系统部署统计表序号部署位置数量(个)1 2 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - -
11、 - - - - - 名师精心整理 - - - - - - - 第 5 页,共 22 页 - - - - - - - - - 3 4 5 6 7 8 9 10 11 合计部署示意图如下图所示:图 1-6 门禁系统部署方式(2)第一次运行策略对每个通道设置权限, 制作门禁卡,对可以进出该通道的人进行进出方式的授权,采取密码 +读卡方式;设置可以通过该通道的人在什么时间范围内可以进出;实时提供每个门区人员的进出情况、每个门区的状态(包括门的开关,各种非正常状态报警等),设置在紧急状态打开或关闭所有门区的功能;设置防尾随功能。(3)设备管理及策略门禁系统由公安处负责管理, 定期监测设备运行情况及设备
12、相应情况,对设备及传输线路进行检查、维护,并定期向保密办提交设备运维报告。(4)部署后解决的风险解决重点部位监控及区域控制相关风险。2.5 线路干扰仪(1)部署增加 8 口线路干扰仪, 防护传输数据沿网线以电磁传导、辐射发射、 耦合等方式泄漏的情况。将从交换机引至其布线最远端以及次远端的线缆插接至线路干扰仪,并由线路干扰仪连接至最远端和次远端,将该设备进行接地处理。具体部署位置如下表:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 22 页 - - - - - - - -
13、 - 表 1-6 线路干扰仪部署统计表序号部署位置数量(个)1 2 3 合计设备形态如下图所示:图 1-11 线路干扰仪设备(2)第一次运行策略在网线中一对空线对上注入伪随机宽带扫频加扰信号, 使之能跟随其他三对网线上的信号并行传输到另一终端;窃密者若再从网线或其他与网络干线相平行的导线(如电话线及电源线等) 上窃取信息, 实际上所窃得的仅是已被加扰信号充分湮没了的混合信号。(3)设备管理及策略线路干扰仪由信息中心负责管理,对设备编号、标识密级、摆放、调测、定期对设备及传输线路进行检查、维护,并定期向保密办提交设备运维报告。(4)部署后解决的风险解决传输线路的电磁泄漏发射防护相关风险。2.6
14、视频干扰仪(1)部署增加视频干扰仪,防止对涉密终端视频信息的窃取,对XXX号楼存在的涉密终端部署,将该设备进行接地处理。 、具体部署位置如下表:表 1-7 视频干扰仪部署统计表序号部署位置数量(个)1 2 3 11 合计设备形态如下图所示:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 22 页 - - - - - - - - - 图 1-12 视频干扰仪设备(2)第一次运行策略设置设备运行频率为1000 MHz 。(3)设备管理及策略视频干扰仪由信息中心负责管理,监测设
15、备运行情况及设备相应情况,定期对设备进行检查、维护,并定期向保密办提交设备运维报告。(4)部署后解决的风险解决信息设备的电磁泄漏发射防护相关风险。2.7 红黑电源隔离插座(1)部署增加红黑电源隔离插座, 防护电源电磁泄漏, 连接的红黑电源需要进行接地处理。具体部署位置如下表:表 1-8 红黑电源部署统计表序号部署位置数量(个)1 涉密终端2 服务器3 UPS 4 合计产品形态如下图所示:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 22 页 - - - - - - -
16、- - 图 1-13 红黑电源隔离插座(2)运行维护策略要求所有涉密机均直接连接至红黑电源上,红黑电源上不得插接其他设备。安装在涉密终端及涉密单机的红黑隔离电源由使用者维护,安装在服务器的由信息中心维护,出现问题向保密办报告。(4)部署后解决的风险解决信息设备的电磁泄漏发射防护相关风险。3 网络安全防护3.1 网闸使用 1 台网闸连接主中心以及从属中心,用于安全隔离及信息交换。(1)部署部署 1 台网闸于主中心及从属中心核心交换机之间,做单向访问控制与信息交互。设备启用路由模式, 通过路由转发连接主中心以及从属中心,从物理层到应用层终结所有的协议包, 还原成原始应用数据, 以完全私有的方式传递
17、到另一个网络,主中心以及从属中心之间在任一时刻点上都不产生直接的物理连通。部署拓扑示意图如下:主中心从属中心网闸从属中心核心交换机主中心核心交换机图 1-8 网闸部署拓扑示意图(2)第一次运行策略配置从属中心访问主中心的权限, 允许从属中心特定地址访问主中心所有服名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页,共 22 页 - - - - - - - - - 务器,允许其他地址访问公司内部门户以及人力资源系统,配置访问内部门户SQL server数据库服务器,禁止其他所有访问
18、方式。配置网闸病毒扫描,对流经网闸设备数据进行病毒安全扫描。配置系统使用 Https 方式管理,确保管理安全。(3)设备管理及策略网闸设备按照网闸运维管理制度进行管理。a、由信息中心管理网闸设备,分别设置管理员、安全保密管理员、安全审计员的口令,由“三员”分别管理。b、由信息中心对网闸设备进行编号、标识密级、安放至安全管理位置。c、信息中心负责网闸设备的日常运行维护,每周登陆设备查看设备配置、设备自身运行状态、转发数据量状态、系统日志等内容。d、信息中心发现异常情况及时通报保密办,并查找问题原因,各部门配合信息中心及时解决问题。e、信息中心负责网闸设备的维修管理,设备出现问题,通知保密办,获得
19、批准后,负责设备的维修管理。(4)部署后解决的风险解决两网互联的边界防护问题, 对应用的访问进行细粒度的控制, 各自隔离,两网在任一时刻点上都不产生直接的物理连通。3.2 防火墙涉密信息系统采用防火墙系统1 台进行边界防护,用于涉密信息系统网关的安全控制、 网络层审计等。 防火墙系统部署于从属中心。原有防火墙部署于主中心,不做调整。(1)部署使用防火墙系统限制从属中心终端访问机密级服务器的权限,并且记录所有与服务器区进行交互的日志。防火墙的eth1 口、eth2 口设置为透明模式,配置桥接口 fwbridge0 IP 地址,配置管理方式为https 方式,打开多 VLAN 开关,打开 tcp
20、、udp、ICMP广播过滤。防火墙的日志数据库安装在安全管理服务器上。部署拓扑示意图如下:机密级秘密级工作级防火墙从属中心核心交换机秘密级服务器群图 1-9 防火墙部署示意图(2)第一次运行策略名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页,共 22 页 - - - - - - - - - 防火墙上设置访问控制策略,并设定不同用户所能访问的资源:a、允许从属中心授权用户访问软件配置管理系统。b、开放系统内所能使用到的端口,其他不使用的端口进行全部禁止访问限制。c、可以依据保
21、密办相关规定设定审查关键字,对于流经防火墙的数据流进行关键字过滤。d、审计从属中心用户和服务器区域的数据交换信息,记录审计日志。e、整个防火墙系统的整个运行过程和网络信息流等信息,均进行详细的日志记录,方便管理员进行审查。(3)设备管理及策略防火墙系统由信息中心进行管理及维护,任何策略的改动均需要经过保密办的讨论后方可实施。 防火墙的日志系统维护, 日志的保存与备份按照 防火墙运维管理制度进行管理。a、由信息中心管理防火墙设备,分别设置管理员、安全保密管理员、安全审计员的口令,由“三员”分别管理。b、由信息中心对防火墙设备进行编号、标识密级、安放至安全管理位置。c、信息中心负责防火墙设备的日常
22、运行维护,每周登陆设备查看设备配置、设备自身运行状态、转发数据量状态、系统日志等内容。d、信息中心发现异常情况及时通报保密办,并查找问题原因,各部门配合信息中心及时解决问题。e、信息中心负责防火墙设备的维修管理,设备出现问题,通知保密办,获得批准后,负责设备的维修管理。(4)部署后解决的风险原有防火墙保证主中心各Vlan 的三层逻辑隔离,对各安全域之间进行访问控制,对网络层访问进行记录与审计, 保证信息安全保密要求的访问控制以及安全审计部分要求。3.3 入侵检测系统使用原有入侵检测设备进行网络层监控,保持原有部署及原有配置不变, 设备的管理维护依旧。 此设备解决的风险为对系统内的安全事件监控与
23、报警,满足入侵监控要求。3.4 违规外联系统(1)部署采用涉密计算机违规外联监控系统, 部署于内网终端、涉密单机及中间机上。的违规外联监控系统采用B/S 构架部署,安装 1 台内网监控服务器、 1 台外网监名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页,共 22 页 - - - - - - - - - 控服务器,安装 645 个客户端,全部安装于内网终端、涉密单机以及中间机上。部署示意图如下。Internet拨号、 WLan 、3G庆华公司违规外联监控公网报警服务器内网终端
24、涉密单机中间机均安装违规外联监控系统客户端庆华公司违规外联监控内网管理服务器涉密内网实时监控实时监控图 1-1 违规外联系统部署示意图(2)第一次运行策略系统实时地监测受控网络内主机及移动主机的活动,对非法内/ 外联行为由报警控制中心记录并向管理员提供准确的告警。同时,按照预定的策略对非法连接实施阻断, 防止数据外泄。 报警控制中心能够以手机短信、电子邮件两种告警方式向网络管理员告警,其中手机短信是完全实时的告警,非常方便和及时。(3)设备管理及策略违规外联监控系统由信息中心进行管理及维护,任何策略的改动均需要经过保密办的讨论后方可实施。 违规外联监控系统的日志系统同时维护,日志的保存与备份按
25、照违规外联监控系统运维管理制度进行管理。a、由信息中心管理违规外联监控系统,分别设置管理员、 安全保密管理员、安全审计员的口令,由“三员”分别管理。b、由信息中心对违规外联监控系统报警服务器进行编号、标识密级、安放至安全管理位置。c、信息中心负责违规外联监控系统的日常运行维护,每周登陆设备查看服务器硬件运行状态、策略配置、系统日志等内容。d、信息中心发现异常情况及时通报保密办,并查找问题原因,各部门配合信息中心及时解决问题。e、信息中心负责违规外联监控系统服务器的维修管理,设备出现问题,通知保密办,获得批准后,联系厂家负责设备的维修管理。名师资料总结 - - -精品资料欢迎下载 - - - -
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2022年2022年计算机信息系统分级保护实施方案 2022 计算机 信息系统 分级 保护 实施方案
限制150内