XXXXX院涉密网络分级保护实施方案.docx

1、XXXXX院涉密网络分级保护实施方案xxxxxxxx涉密信息系统分级保护项目实施方案xxxxxXF限公司2014年12月一、概述1.1项目背景信息技术的飞速发展正将人类推向全球化、网络化新时代。社会信息化、数 字化改变了人们的生活、生产方式，深刻影响着国际政治经济关系，有力地推动 了世界经济贸易发展。但是，随着我国国民经济和社会化信息化建设进程全面加 快的同时，网络信息系统安全保密性保障问题得到了各级领导和各级政府及有关 部门的重视。党中央、国务院对加强检察机关信息化建设非常重视， 近年来，国家有关部 门也按照中央指示精神，采取多种措施支持检察机关信息化建设。 根据国家信息 安全分级保护的总体

2、部署，高检院下发了关于开展检察机关涉密信息系统分级 保护工作的通知（高检发办【2008】30号）及相关文件规定，明确指出全国各 级检察机关连接检察专线网的信息系统 （包括各级检察院分支网络信息系统， 下 同）均为涉密信息系统，要求各级检察院必须按照分级保护管理办法、 标准和规 划，对涉密信息系统根据处理信息的最高密级（密级、机密及绝密）划分等级实 施保护，各级保密行政管理部门将根据涉密信息系统的保护等级实施监督管理， 确保系统和信息安全。XXXXXX （后文简称XXXXXX作为国家的法律监督机关，为了贯彻落实高检 院及国家保密局有关文件精神，将按照分级保护管理办法、标准和规划的要求， 对本院涉

3、密信息系统进行建设，加强安全防护，保护涉密信息的安全。1.2建设范围本次XXXXX泄密信息系统分级保护项目建设范围为 XXXX溢合大楼（共7 层）1.3建设目标XXXXX妙密信息系统分级保护建设的总体目标是：严格按照国家相关安全 保密标准和法规，将XXXXX泄密信息系统建设成符合国家相关法规和标准要求 的涉密信息系统，使XXXXXX涉密信息系统具备安全防护能力、隐患发现能力、 应急反应能力和审计追踪能力等，保证 XXXXX涉密信息系统中涉密信息的保密性、完整性、可用性和可控性等，确保 XXXX)#密信息系统符合BMB17-2006W BMB20-200冷的要求，使之能够处理相对应密级的信息，为

4、单位日常政务处理、 与市院传递政务信息提供安全可靠的信息化基础平台。涉密信息系统建设完成后应达到如下安全防护能力：1.具有抵御敌对势力有组织的大规模攻击的能力；2.防范计算机病蠹和恶意代码危害的能力；3.具有检测、发现、报警、记录入侵行为的能力；4.具有对安全事件进行快速响应处置，并能够追踪安全责任的能力；5.在系统遭到损害后，具有能够较快恢复正常运行状态的能力；6.对于服务保障性要求高的系统，应能迅速恢复正常运行状态；7.具有对系统资源、用户、安全机制等进行集中控管的能力。二、实施前准备2.1设备供货货到后，由我公司负责将货物运送到用户指定地点，并由建设方、承建方人 员共同开箱验货。检查器件

5、是否齐全，设备有无缺损、表面有无损伤等。确认货 物正常后，由建设方、承建方共同签署货物进场报验表。2.2实施环境前期准备2.2.1物理环境设备安装前必须保证物理安装环境合格，中心机房必须装修完毕，电源、线 缆布放到位，机柜安装到位。2.2.2设备安装环境终端计算机操作系统安装完成且可以正常使用，违规涉密资料已活理完毕。 中心机房和各楼层配线间机柜预留空间充足。2.2.3系统配置和客户端电脑需求必须事先规划好系统配置需求，包括网络设备，应用服务器，客户端，操作 规章制度等方面。如IP地址规划和VLAN分、网络安全控制策略，服务器操作 系统，服务器主机名和ip地址确定,AD域名，域帐号花名册，软件

6、应用服务器 在硬件服务器上的安装规划、客户端电脑操作系统安装,客户端电脑资料活理等。2.2.4测试环境在正式安装前期，需对网络及服务器设备进行测试，测试需要建立一个小型 局域网用于试验。包括一台服务器，若十网线、1个交换机和至少一台终端。（测 试若只需一台终端时则可以使用服务器与终端 PC机直连的模式进行）。二、设备安装调试本次设备安装调试分三个阶段，第一阶段为网络设备安装配置，第二阶段为 应用服务器安装配置，第三阶段为终端设备安装。项目实施阶段首先实施网络设 备安装配置，当网络设备安装调试完成后，再进行应用服务器安装和配置。3.1网络设备安装网络设备分为硬件和软件，在网络设备安装中，首先安装

7、网络硬件设备。在 保证网络连通性的条件下再安装软件产品。网络硬件设备安装顺序如下：3.1.1防火墙安装步骤：首先，确定防火墙安装的机柜安装位置。第二，设备上架、安装，连线。第三，加电测试，并做相应配置。（提前规划好网络结构、IP划分。）防火墙系统由防火墙管理/日志服务器和防火墙硬件组成，其部署方式如下： 防火墙管理/日志服务器部署在中心机房屏蔽机柜内，位于机密级安全 管理区；防火墙部署在中心机房位于机密级安全管理区、 机密级应用服务器区与机密级用户终端区之间。部署效果在XXXXXX涉密网部署了防火墙后，能满足 BMB17-2006中对机密级信息系 统的“边界安全防护”中对边界的“访问控制”的机

8、密级要求。3.1.2主机监控与审计安装步骤：首先，确定主机监控与审计的机柜安装位置。第二，设备上架、安装，连线。第三，加电测试，并做相应配置。（提前规划好网络结构、I P划分。）主机监控与审计系统由监控管理中心和客户端代理组成，其部署方式如下:监控管理中心部署在中心机房屏蔽机柜内，位于机密级安全管理区;客户端代理部署在所有 Windows计算机和服务器上。部署效果在XXXXX渺密网部署主机监控与审计系统后，满足BMB17-2006M机密级信 息系统的“设备数据接口”、“设备接入控制”、“操作系统安全”和“数据库安 全”、“信息输出操作监控”的机密级要求，如下所示：能对系统中服务器和用户终端的的

9、并口、申口、 USB接口等数据接口以及软驱、光驱等设备进行监控，防止被非授权使用；能对接入的设备进行管理，控制违规接入设备对系统资源的访问；对系统内涉密信息和重要信息的输出（如拷贝等）操作采取技术措施进行严格的控制；能禁止系统内用户非授权的外部连接，并对系统内的非授权行为采取技术手段进行检查和阻断；能够对操作系统、数据库等系统进行补丁管理，增强系统安全；能对终端行为和数据输入输出行为进行审计。3.1.3网络审计系统安装步骤：首先，确定网络审计系统安装位置第二，网络安全审计系统上架、安装，连线。第三，加电测试，并做相应配置。（提前规划好网络结构、I P划分。）网络审计系统其部署方式如下：网络审计

10、系统主机部署中心机房，连接到核心交换机的镜像端口上，管理口连接到机密级安全管理区的交换机上。部署效果在XXXXX漩涉密网部署了网络审计系统后，满足BMB17-200时机密级的“边 界安全防护”中对边界的“网络审计”要求。3.2应用服务器安装在网络设备上架安装配置完成后，再对服务器进行安装部署，具体步骤如下：3.2.1硬件服务器安装步骤：首先，确定服务器安装位置。第二，服务器上架、安装，连线。第三，加电测试.第四，应用服务连通测试。3.2.2打印监控与审计系统安装步骤：首先，安装打印监控与审计系统客户端第二，进行相关参数设置及测试。打印监控与审计系统为单机版，其部署方式如下：客户端部署涉密单机上

11、部署效果在XXXX滋密网部署打印监控与审计系统，辅以相应的技术手段，能够满足 BMB17-2006M机密级信息系统的“打印监控审计”的要求。3.2.3涉密计算机移动存储介质保密与管理系统安装步骤：首先,确定涉密计算机移动存储介质保密与管理系统要安装的硬件服务器。第二，安装涉密计算机移动存储介质保密与管理系统服务端。第三，进行相关参数设置及测试。第四，测试客户端与服务端连通及应用。涉密计算机及移动存储介质保密管理系统由专用系统软件（包括管理端和用户端）、多功能导入装置和涉密专用移动存储介质组成，其部署方式如下：监控管理中心部署在中心机房屏蔽机柜内，位于机密级安全管理区;客户端代理部署在所有Win

12、dows终端和服务器上；单向导入设备根据实际情况，部署在各部门或者是保密办的定点输入计算机上；涉密专用移动存储介质，由保密办或各部门保密员统一保管，注册、登 记使用。部署效果在XXXX滋密网部署涉密计算机移动存储介质保密与管理系统，辅以相应的 技术手段，能够满足BMB17-2006M机密级信息系统的“介质安全”、“违规外联 监控”的要求。3.2.4刻录监控与审计系统安装步骤：首先，安装刻录监控与审计系统客户端第二，进行相关参数设置及测试。打印监控与审计系统为单机版，其部署方式如下：客户端部署涉密单机上部署效果在XXXX滋密网部署刻录监控与审计系统，辅以相应的技术手段，能够满足 BMB17-20

13、06M机密级信息系统的“打印监控审计”的要求。3.3系统联调及客户端部署测试3.3.1网络设备和应用服务器系统联调在网络设备和应用服务器基本配置和安装完成后进行系统联调， 测试网络设备和应用服务器是否网络连通正常？网络控制策略是否有效？各应用服务器工 作状态正常？配置策略是否正确？并保存备份网络设备和应用服务器配置文件。3.3.2客户端部署测试网络设备和应用服务器联调正常后， 进行客户端部署测试。确定客户端电脑要安装的客户端软件种类，制作客户端软件安装包，确认安装顺序及排除软件冲突问题，根据实际情况制定高效率的客户端部署方案， 多次验证确认客户端安装种类和次序及实施方案正确无误后，制作客户端部

14、署操作手册并进行安装培训。3.4客户端部署在网络设备和应用服务器安装配置完成后并正常工作下进行终端电脑软硬件的安装。在客户端部署之前，要保证客户端电脑操作系统工作正常， 其上无违 规涉密资料。如客户端操作系统和资料有问题，必须事先处理好后才能进行客户 端部署安装。安装终端软件时，同时完成硬件设备红黑电源、视频十扰器的安装。3.4.1红黑电源安装安装步骤：首先，确定安装位置。第二，连线，加电测试。3.4.2视频十扰器安装安装步骤：首先，确定安装的终端。第二，确定安装位置有空余的电源接口。第三，安装。3.4.3客户端加入域安装步骤：首先，确定安装的终端。第二，配置相应的ip地址，主机名,DNS第三

15、，将客户端加入域。3.4.4主机监控与审计客户端安装安装步骤：首先，确定安装的终端第二，确定终端操作系统正常运作。第三，安装程序。第四，进行策略配置。3.5.5打印监控与审计客户端安装安装步骤：首先，确定安装的终端。第二，确定终端操作系统正常运作。第三，安装程序。第四，进行策略配置。3.5.6 三合一安装安装步骤：首先，确定安装的终端。第二，确定终端操作系统正常运作。第三，安装程序。第四，进行策略配置。3.5.7刻录监控与审计客户端安装安装步骤：首先，确定安装的终端。第二，确定终端操作系统正常运作。第三，安装程序。第四，进行策略配置。说明：客户端部署时间取决于要安装的客户端电脑数量， 客户端电

16、脑是否满足安 装前的要求（操作系统正常及涉密资料活理）及用户方的实际配合效力四、实施进度计划表本项目计划工期90天注：此表横轴为时间轴，以日历日为计量单位。1） 、下表为计划实施进度、实际进度可在保证整体项目规定时间内进行相应调整。2） 、下表计划进度为理想情况下正常进度，如遇重大技术问题，用户需求调整，用户及第三方配合效力问题施工时间会相应增加3） 、实施期间用户方必须积极配合并提供相应施工便利，出现问题双方积极沟通，以保证整个施工进度不受影响。4.1项目实施工期工序名称工期（天）51015202530354045505560657075808590项目实施前准备完成网络安全设备安装、调试完

17、成应用服务器安装、调试完成项目系统联调完成客户端部署测试完成客户端部署系统试运行及用户培训项目验收4.2终端设备/客户端软件安装工期说明：1） 客户端安装软件之前必须保证客户端操作系统工作正常，违规涉密资料已经活理2） 终端安装中红黑电源、视频干扰器的安装是随终端客户端软件的安装一起进行的工序名称工期（天）151 01 52 02 53 03 54 04 55 05 56 06 57 07 58 08 59 0域客户端红黑电源视频信息干扰器主机监控客户端三合一客户端打印监控客户端刻录监控客户端备注五、施工人员及组织本次项目施工方保证X人，根据施工情况需求灵活安排使用职务姓名负责内容项目经理确保

18、工程质量和工期及总体协调，实现安全、文明生产。现场负责人全面负责项目施工。技术顾1可全部负责项目设计方案及施工中出现技术问题沟通及解决。技术工程师协助项目施工。附录1、网络拓扑2、VLANfi! IP 规划VLA倾分表（新）序号项目VLAN密级IP地址网关DNS备注123456783、项目包含产品概述序号安全保密产品备注1主机监控与审计系统服务端部署在中心机房。客户端部署在内网终端及服务器。用于对主机操作及端口的监控及审计，可记录操作 行为、限制注册表等用户修改权限、关闭空余端口 等。2“三合一”系统服务端部署在中心机房。客户端部署在内网终端及服务器。使用三合一系统实现违规外联控制、移动介质管

19、理。3红黑电源隔离插座内网终端及服务器。用于终端及服务器的电源电磁泄漏发射防护。4终端视频干扰器内网终端及服务器用于机密级终端视频电磁泄漏发射防护。5网络安全审计部署在中心机房。用于对网络行为的审计，记录访问时间、源地址、 目的地址、行为、事件；用于对数据库操作的审计， 记录源、目的、时间、事件等，做到事后可追溯。6防火墙部署在中心机房。用于安全域的边界控制，设置访问控制列表控制不 同安全域间的数据通信。7光盘刻录与审计部署在带有刻录光驱的涉密机上。用于对光盘刻录的授权控制与审计。8打印监控与审计部署在服务器、终端。用于对打印行为进行管控， 强制进行电子审批流程， 控制打印权限并记录打印行为。

20、主机监控与审计系统：包括服务端软件和客户端软件，管理中心部署在涉密 网中心机房系统服务区VLAN客户端代理软件部署在所有终端，提供终端主机、 外设、接口、用户行为监控、终端资产等管理。“三合一”系统：包括服务端软件和客户端软件，管理中心部署在涉密网中心机房的系统服务区VLAN客户端代理软件部署在所有 windows终端和服务器 端，提供移动存储介质可控管理、非法违规外联行为进行监控。红黑电源隔离插座：提供涉密终端电源插座安全保护，防止电磁泄漏。视频十扰器：部署在安全距离达不到要求的涉密计算机上， 防止显示器的电 磁泄漏。防火墙系统：提供应用服务安全域、系统服务安全域、终端安全域边界的安 全隔离，供安全区策略进行访问控制。网络安全审计系统：部署在核心交换机上，使用旁路接入模式与核心交换机 的镜像口对接。网络安全审计提供对全网数据进行审计， 审计包括网络层及应用 层信息。记录访问主体、客体、时间、事件等。