计算机信息系统分级保护方案doc.docx
《计算机信息系统分级保护方案doc.docx》由会员分享,可在线阅读,更多相关《计算机信息系统分级保护方案doc.docx(49页珍藏版)》请在冰点文库上搜索。
计算机信息系统分级保护方案doc
计算机信息系统分级保护方案
方案
1系统总体部署
(1)涉密信息系统的组网模式为:
服务器区、安全管理区、xx
共同连接至核心交换机上,组成类似于星型结构的网络模式,参照
TCP/IP网络模型建立。
核心交换机上配置三层网关并划分Vlan,在
服务器安全访问控制中间件以及防火墙上启用桥接模式,核心交换机、服务器安全访问控制中间件以及防火墙上设置安全访问控制策略
(ACL),禁止部门间Vlan互访,允许部门Vlan与服务器Vlan通信。
核心交换机镜像数据至入侵检测系统以及网络安全审计系统;服务器
区包含原有应用系统;安全管理区包含网络防病毒系统、主机监控与审计系统、windows域控及WSUS补丁分发系统、身份认证系统;xx分包含所有业务部门。
服务器安全访问控制中间件防护的应用系统有:
XXX系统、XXX系统、XXX系统、XXX系统以及XXX系统、。
防火墙防护的应用系统有:
XXX、XXX系统、XXX系统、XXX系统以及XXX系统。
(2)邮件系统的作用是:
进行信息的驻留转发,实现点到点的
非实时通信。
完成集团内部的公文流转以及协同工作。
使用25、110端口,使用SMTP协议以及POP3协议,内网终端使用C/S模式登录邮件系统。
计算机信息系统分级保护方案
将内网用户使用的邮件账号在服务器群组安全访问控制中间件
中划分到不同的用户组,针对不同的用户组设置安全级别,安全级别分为1-7级,可根据实际需求设置相应的级别。
1-7级的安全层次为:
1级最低级,7级最高级,由1到7逐级增高。
即低密级用户可以向高密级用户发送邮件,高密级用户不得向低密级用户发送,保证信息流向的正确性,防止高密数据流向低密用户。
(3)针对物理风险,采取xx对射、xx报警、视频监控以及门禁系统进行防护。
针对电磁泄射,采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进行防护。
2物理安全防护
总体物理安全防护设计如下:
(1)周边环境安全控制
①XXX侧和XXX侧部署xx对射和入侵报警系统。
②部署视频监控,建立安防监控中心,重点部位实时监控。
具体部署见下表:
表1-1周边安全建设
序号保护部位现有防护措施需新增防护措施
1人员出入通道
2物资出入通道
3南侧
4西侧
5东侧
6北侧
计算机信息系统分级保护方案
(2)要害部门部位安全控制
增加电子门禁系统,采用智能IC卡和口令相结合的管理方式。
具体防护措施如下表所示:
表1-2要害部门部位安全建设
序号
保护部门
出入口控制
现有安全措施
新增安全措施
1
门锁/登记/
2
24H警卫值班
门锁
3
门锁
4
门锁
5
门锁/登记
6
门锁/登记
7
门锁/登记
8
门锁/登记
9
机房出入登记
10
门锁
(3)电磁泄漏防护
建设内容包括:
①为使用非屏蔽双绞线的链路加装线路干扰仪。
②为涉密信息系统内的终端和服务器安装红黑电源隔离插座。
③为视频信号电磁泄漏风险较大的终端安装视频干扰仪。
通过以上建设,配合《安防管理制度》以及《电磁泄漏防护管理
制度》,使得达到物理安全防范到位、重要视频监控无死角、进出人
员管理有序、实体入侵报警响应及时以及电磁泄漏信号无法捕捉、无
法还原。
计算机信息系统分级保护方案
2.1xx对射
(1)部署
增加xx对射装置,防护边界,具体部署位置如下表:
表1-1xx对射部署统计表
序号
部署位置
数量(对)
1
东围墙
2
北围墙
3
合计
部署方式如下图所示:
图1-2xx对射设备
设备成对出现,在安装地点双向对置,调整至相同水平位置。
(2)第一次运行策略
xx对射24小时不间断运行,当有物体通过,光线被遮挡,接收
机信号发生变化,放大处理后报警。
设置合适的响应时间,以/秒的
计算机信息系统分级保护方案
速度来确定最短遮光时间;设置人的宽度为,则最短遮断时间为20
毫秒,大于20毫秒报警,小于20毫秒不报警。
(3)设备管理及策略
xx对射设备由公安处负责管理,实时监测设备运行情况及设备相
应情况,定期对设备及传输线路进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险
解决重点部位监控及区域控制相关风险。
2.2xx报警
(1)部署
增加xx报警装置,对保密要害部位实体入侵风险进行防护、报警,具体部署位置如下表:
表1-2xx报警部署统计表
序号部署位置数量(个)
1
2
3
4合计
设备形态如下图所示:
计算机信息系统分级保护方案
图1-3xx报警设备
部署在两处房间墙壁角落,安装高度距离地面2.0。
(2)第一次运行策略
xx报警24小时不间断运行,设置检测特征性10μm波长的xx线,远离空调、暖气等空气温度变化敏感的地方,不间隔屏、家具或其他
隔离物,不直对窗口,防止窗外的热气流扰动和人员走动会引起误报。
(3)设备管理及策略
xx报警设备由公安处负责管理,监测设备运行情况及设备相应情况,定期对设备进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险
解决重点部位监控及区域控制相关风险。
计算机信息系统分级保护方案
2.3视频监控
(1)部署
增加视频监控装置,对周界、保密要害部门部位的人员出入情况进行实时监控,具体部署位置如下表:
表1-3视频监控部署统计表
序号部署位置数量(个)
1
2
3
4
5
6
7
8合计
设备形态如下图所示:
图1-4视频监控设备
视频监控在室外采用xx枪机式设备,室内采用半球式设备,部
署在房间墙壁角落,覆盖门窗及重点区域。
计算机信息系统分级保护方案
增加32路嵌入式硬盘录像机一台,用于对视频采集信息的收集
和压缩存档。
设备形态如下图所示:
图1-5硬盘录像机
(2)第一次运行策略
视频监控24小时不间断运行,设置视频采集格式为MPEG-,4显示分辨率768*576,存储、回放分辨率384*288。
(3)设备管理及策略
视频监控设备由公安处负责管理,实时监测设备运行情况及设备相应情况,定期对设备及传输线路进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险
解决重点部位监控及区域控制相关风险。
2.4门禁系统
(1)部署
计算机信息系统分级保护方案
增加门禁系统,对保密要害部门部位人员出入情况进行控制,并
记录xx,具体部署位置如下表:
表1-4门禁系统部署统计表
序号部署位置数量(个)
1
2
3
4
5
6
7
8
9
10
11合计
部署示意图如下图所示:
图1-6门禁系统部署方式
(2)第一次运行策略
对每个通道设置权限,制作门禁卡,对可以进出该通道的人进行
进出方式的授权,采取密码+读卡方式;设置可以通过该通道的人在
计算机信息系统分级保护方案
什么时间范围内可以进出;实时提供每个门区人员的进出情况、每个门区的状态(包括门的开关,各种非正常状态报警等),设置在紧急状态打开或关闭所有门区的功能;设置防尾随功能。
(3)设备管理及策略
门禁系统由公安处负责管理,定期监测设备运行情况及设备相应情况,对设备及传输线路进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险
解决重点部位监控及区域控制相关风险。
2.5线路干扰仪
(1)部署
增加8口线路干扰仪,防护传输数据沿网线以电磁传导、辐射发射、耦合等方式泄漏的情况。
将从交换机引至其布线最远端以及次远端的线缆插接至线路干扰仪,并由线路干扰仪连接至最远端和次远端,将该设备进行接地处理。
具体部署位置如下表:
表1-6线路干扰仪部署统计表
序号部署位置数量(个)
1
2
计算机信息系统分级保护方案
3合计
设备形态如下图所示:
图1-11线路干扰仪设备
(2)第一次运行策略
在网线中一对空线对上注入伪随机宽带扫频加扰信号,使之能跟随其他三对网线上的信号并行传输到另一终端;窃密者若再从网线或其他与网络干线相平行的导线(如电话线及电源线等)上窃取信息,实际上所窃得的仅是已被加扰信号充分湮没了的混合信号。
(3)设备管理及策略
线路干扰仪由信息中心负责管理,对设备编号、标识密级、摆放、调测、定期对设备及传输线路进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险
解决传输线路的电磁泄漏发射防护相关风险。
2.6视频干扰仪
(1)部署
计算机信息系统分级保护方案
增加视频干扰仪,防止对涉密终端视频信息的窃取,对XXX号楼存在的涉密终端部署,将该设备进行接地处理。
、
具体部署位置如下表:
表1-7视频干扰仪部署统计表
序号部署位置数量(个)
1
2
3
11合计
设备形态如下图所示:
图1-12视频干扰仪设备
(2)第一次运行策略
设置设备运行频率为1000MHz。
(3)设备管理及策略
计算机信息系统分级保护方案
视频干扰仪由信息中心负责管理,监测设备运行情况及设备相应情况,定期对设备进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险
解决信息设备的电磁泄漏发射防护相关风险。
2.7红黑电源隔离插座
(1)部署
增加红黑电源隔离插座,防护电源电磁泄漏,连接的红黑电源需要进行接地处理。
具体部署位置如下表:
表1-8红黑电源部署统计表
序号
部署位置
数量(个)
1
涉密终端
2
服务器
3
UPS
4
合计
产品形态如下图所示:
计算机信息系统分级保护方案
图1-13红黑电源隔离插座
(2)运行维护策略
要求所有涉密机均直接连接至红黑电源上,红黑电源上不得插接其他设备。
安装在涉密终端及涉密单机的红黑隔离电源由使用者维护,安装在服务器的由信息中心维护,出现问题向保密办报告。
(4)部署后解决的风险
解决信息设备的电磁泄漏发射防护相关风险。
3网络安全防护
3.1网闸
使用1台网闸连接主中心以及从属中心,用于安全隔离及信息交
换。
计算机信息系统分级保护方案
(1)部署
部署1台网闸于主中心及从属中心核心交换机之间,做单向访问控制与信息交互。
设备启用路由模式,通过路由转发连接主中心以及从属中心,从物理层到应用层终结所有的协议包,还原成原始应用数据,以完全私有的方式传递到另一个网络,主中心以及从属中心之间在任一时刻点上都不产生直接的物理连通。
部署拓扑示意图如下:
从属中心
主中心
从属中心
网闸
主中心
核心交换机
核心交换机
图1-8网闸部署拓扑示意图
(2)第一次运行策略
配置从属中心访问主中心的权限,允许从属中心特定地址访问主
中心所有服务器,允许其他地址访问公司内部门户以及人力资源系
统,配置访问内部门户SQLserver数据库服务器,禁止其他所有访
问方式。
配置网闸病毒扫描,对流经网闸设备数据进行病毒安全扫描。
配置系统使用Https方式管理,确保管理安全。
(3)设备管理及策略
网闸设备按照《网闸运维管理制度》进行管理。
计算机信息系统分级保护方案
a、由信息中心管理网闸设备,分别设置管理员、安全保密管理
员、安全审计员的口令,由“三员”分别管理。
b、由信息中心对网闸设备进行编号、标识密级、安放至安全管
理位置。
c、信息中心负责网闸设备的日常运行维护,每周登陆设备查看
设备配置、设备自身运行状态、转发数据量状态、系统日志等内容。
d、信息中心发现异常情况及时通报保密办,并查找问题原因,
各部门配合信息中心及时解决问题。
e、信息中心负责网闸设备的维修管理,设备出现问题,通知保
密办,获得批准后,负责设备的维修管理。
(4)部署后解决的风险
解决两网互联的边界防护问题,对应用的访问进行细粒度的控制,各自隔离,两网在任一时刻点上都不产生直接的物理连通。
3.2防火墙
涉密信息系统采用防火墙系统1xx进行边界防护,用于涉密信息系统网关的安全控制、网络层审计等。
防火墙系统部署于从属中心。
原有防火墙部署于主中心,不做调整。
(1)部署
计算机信息系统分级保护方案
使用防火墙系统限制从属中心终端访问机密级服务器的权限,并
且记录所有与服务器区进行交互的xx。
防火墙的eth1口、eth2口设
置为透明模式,配置桥接口fwbridge0IP地址,配置管理方式为https
方式,打开多VLAN开关,打开tcp、udp、ICMP广播过滤。
防火墙的
xx数据库安装在安全管理服务器上。
部署拓扑示意图如下:
机密级秘密级工作级
秘密级服务器群
防火墙
从属中心
核心交换机
图1-9防火墙部署示意图
(2)第一次运行策略
防火墙上设置访问控制策略,并设定不同用户所能访问的资源:
a、允许从属中心授权用户访问软件配置管理系统。
b、开放系统内所能使用到的端口,其他不使用的端口进行全部
禁止访问限制。
c、可以依据保密办相关规定设定审查关键字,对于流经防火墙
的数据流进行关键字过滤。
d、审计从属中心用户和服务器区域的数据交换信息,记录审计
xx。
计算机信息系统分级保护方案
e、整个防火墙系统的整个运行过程和网络信息流等信息,均进
行详细的xx记录,方便管理员进行审查。
(3)设备管理及策略
防火墙系统由信息中心进行管理及维护,任何策略的改动均需要
经过保密办的讨论后方可实施。
防火墙的xx系统维护,xx的保存与
备份按照《防火墙运维管理制度》进行管理。
a、由信息中心管理防火墙设备,分别设置管理员、安全保密管
理员、安全审计员的口令,由“三员”分别管理。
b、由信息中心对防火墙设备进行编号、标识密级、安放至安全
管理位置。
c、信息中心负责防火墙设备的日常运行维护,每周登陆设备查
看设备配置、设备自身运行状态、转发数据量状态、系统日志等内容。
d、信息中心发现异常情况及时通报保密办,并查找问题原因,
各部门配合信息中心及时解决问题。
e、信息中心负责防火墙设备的维修管理,设备出现问题,通知
保密办,获得批准后,负责设备的维修管理。
(4)部署后解决的风险
计算机信息系统分级保护方案
原有防火墙保证主中心各Vlan的三层逻辑隔离,对各安全域之间进行访问控制,对网络层访问进行记录与审计,保证信息安全保密要求的访问控制以及安全审计部分要求。
3.3入侵检测系统
使用原有入侵检测设备进行网络层监控,保持原有部署及原有配置不变,设备的管理维护依旧。
此设备解决的风险为对系统内的安全事件监控与报警,满足入侵监控要求。
3.4违规xx系统
(1)部署
采用涉密计算机违规xx监控系统,部署于内网终端、涉密单机及中间机上。
的违规xx监控系统采用B/S构架部署,安装1台内网监控服务器、1台外网监控服务器,安装645个客户端,全部安装于内网终端、涉密单机以及中间机上。
部署示意图如下。
计算机信息系统分级保护方案
Internet
拨号、WLan、3G
庆华公司违规外联监控
均
公网报警服务器
实时监控
安
内网终端
装
违
规
外
联
监
涉密单机
控
系
实时监控
统
涉密内网
客
户
端
庆华公司违规外联监控
内网管理服务器
中间机
图1-1违规xx系统部署示意图
(2)第一次运行策略
系统实时地监测受控网络内主机及移动主机的活动,对非法内/xx行为由报警控制中心记录并向管理员提供准确的告警。
同时,按照预定的策略对非法连接实施阻断,防止数据外泄。
报警控制中心能够以手机短信、电子邮件两种告警方式向网络管理员告警,其中手机短信是完全实时的告警,非常方便和及时。
(3)设备管理及策略
违规xx监控系统由信息中心进行管理及维护,任何策略的改动
均需要经过保密办的讨论后方可实施。
违规xx监控系统的xx系统同时维护,xx的保存与备份按照《违规xx监控系统运维管理制度》进行管理。
计算机信息系统分级保护方案
a、由信息中心管理违规xx监控系统,分别设置管理员、安全保
密管理员、安全审计员的口令,由“三员”分别管理。
b、由信息中心对违规xx监控系统报警服务器进行编号、标识密
级、安放至安全管理位置。
c、信息中心负责违规xx监控系统的日常运行维护,每周登陆设
备查看服务器硬件运行状态、策略配置、系统日志等内容。
d、信息中心发现异常情况及时通报保密办,并查找问题原因,
各部门配合信息中心及时解决问题。
e、信息中心负责违规xx监控系统服务器的维修管理,设备出现
问题,通知保密办,获得批准后,联系厂家负责设备的维修管理。
f、当系统出现新版本,由管理员负责及时更新系统并做好备份工作。
(4)部署后解决的风险
解决违规拨号、违规连接和违规无线上网等风险。
4应用安全防护
4.1服务器群组安全访问控制中间件
涉密信息系统采用服务器群组安全访问控制中间件2xx,用于涉
密信息系统主中心秘密级服务器、从属中心秘密级服务器边界的安全
计算机信息系统分级保护方案
控制、应用身份认证、邮件转发控制、网络审计以及邮件审计等。
防
护主中心的XXX系统、XXX系统、XXX系统、XXX系统、XXX系统以及XXX门户;防护从属中心的XXX系统以及XXX类软件系统。
(1)部署
由于主中心的终端之间以及从属中心内的终端之间数据流动均
被设计为以服务器为跳板进行驻留转发,所以在服务器前端的服务器群组安全访问控制中间件系统起到了很强的访问控制功能,限制终端
访问服务器的权限并且记录所有与服务器区进行交互的xx。
服务器群组安全访问控制中间件的eth1口、eth2口设置为透明模式,启用桥接口进行管理。
部署拓扑示意图如下:
机密级服务器群机密级服务器群
服务器安
全访问控服务器安
全访问控
制中间件
制中间件
从属中心主中心
核心交换机核心交换机
网闸
机密级秘密级工作级机密级秘密级工作级
图1-10服务器群组安全访问控制中间件部署示意图
(2)第一次运行策略
计算机信息系统分级保护方案
服务器群组安全访问控制中间件上设置访问控制策略,并设定不
同用户所能访问的服务器资源;设置邮件转发控制功能,为每个用户
设置访问账号及密码,依据密级将用户划分至不同用户组中,高密级
用户不得向低密级用户发送邮件。
配置邮件审计功能,记录发件人,
收件人,抄送人,主题,附件名等。
配置网络审计与控制功能,可以
依据保密办相关规定设定审查关键字,对于流经系统的数据流进行关
键字过滤;审计内部用户和服务器区域的数据交换信息,审计应用访
问xx。
(3)设备管理及策略
服务器群组安全访问控制中间件系统由信息中心进行管理及维
护,任何策略的改动均需要经过保密办的讨论后方可实施。
服务器群组安全访问控制中间件的xx系统维护,xx的保存与备份按照《服务器群组安全访问控制中间件运维管理制度》进行管理。
a、由信息中心管理服务器群组安全访问控制中间件设备,分别
设置管理员、安全保密管理员、安全审计员的口令,由“三员”分别
管理。
b、由信息中心分别对2xx服务器群组安全访问控制中间件设备
进行编号、标识密级、安放至安全管理位置。
计算机信息系统分级保护方案
c、信息中心负责服务器群组安全访问控制中间件设备的日常运
行维护,每周登陆设备查看设备配置、设备自身运行状态、转发数据
量状态、系统日志等内容。
d、信息中心发现异常情况及时通报保密办,并查找问题原因,
各部门配合信息中心及时解决问题。
e、信息中心负责服务器群组安全访问控制中间件设备的维修管
理,设备出现问题,通知保密办,获得批准后,负责设备的维修管理。
(4)部署后解决的风险
解决对应用访问的边界防护、应用及网络审计、数据库安全以及数据流向控制,满足边界防护、安全审计及数据库安全等要求。
4.2windows域控及补丁分发
改造原有AD主域控制器及备份域控制器。
(1)部署
的主中心以及从属中心均部署AD主域控制器及备份域控制器,共计2套,并建立IIS服务器,安装WSUS服务器,提供系统补丁强
制更新服务。
将终端系统的xx完全与活动目录集成,用户授权管理和目录进入控制整合在活动目录当中(包括用户的访问和登录权限等)。
通过实施安全策略,实现系统内用户登录身份认证,集中控制
计算机信息系统分级保护方案
用户授权。
终端操作基于策略的管理。
通过设置组策略把相应各种策
略(包括安全策略)实施到组策略对象中。
部署拓扑示意图如下:
AD域控服务器(主、
备)&WSUS服务器
升级会员 