計算機資訊系統分級保護方案

（1）xx公司涉密資訊系統的組網模式為：伺服器區、安全管理區、終端區共同連線至核心交換機上，組成類似於星型結構的網路模式，參照tcp/ip網路模型建立。核心交換機上配置三層閘道器並劃分vlan，在伺服器安全訪問控制中介軟體以及防火牆上啟用橋接模式，核心交換機、伺服器安全訪問控制中介軟體以及防火牆上設定安全訪問控制策略（acl），禁止部門間vlan互訪，允許部門vlan與伺服器vlan通訊。

核心交換機映象資料至入侵檢測系統以及網路安全審計系統；伺服器區包含xx公司原有應用系統；安全管理區包含網路防病毒系統、主機監控與審計系統、windows域控及wsus補丁分發系統、身份認證系統；終端區分包含所有業務部門。

伺服器安全訪問控制中介軟體防護的應用系統有：***系統、***系統、***系統、***系統以及***系統、。

防火牆防護的應用系統有：***、***系統、***系統、***系統以及***系統。

（2）郵件系統的作用是：進行資訊的駐留**，實現點到點的非實時通訊。完成集團內部的公文流轉以及協同工作。

使用25、110埠，使用**tp協議以及pop3協議，內網終端使用c/s模式登入郵件系統。

將內網使用者使用的郵件賬號在伺服器群組安全訪問控制中介軟體中劃分到不同的使用者組，針對不同的使用者組設定安全級別，安全級別分為1-7級，可根據實際需求設定相應的級別。1-7級的安全層次為：1級最低階，7級最高端，由1到7逐級增高。

即低密級使用者可以向高密級使用者傳送郵件，高密級使用者不得向低密級使用者傳送，保證資訊流向的正確性，防止高密資料流向低密使用者。

（3）針對物理風險，採取紅外對射、紅外報警、**監控以及門禁系統進行防護。針對電磁洩射，採取線路干擾儀、**干擾儀以及紅黑電源隔離插座進行防護。

總體物理安全防護設計如下：

（1）周邊環境安全控制

①廠區***側和***側部署紅外對射和入侵報警系統。

②部署**監控，建立安防監控中心，重點部位實時監控。

具體部署見下表：

表1-1 周邊安全建設

（2）要害部門部位安全控制

增加電子門禁系統，採用智慧型ic卡和口令相結合的管理方式。具體防護措施如下表所示：

表1-2 要害部門部位安全建設

（3）電磁洩漏防護

建設內容包括：

①為使用非遮蔽雙絞線的鏈路加裝線路干擾儀。

②為涉密資訊系統內的終端和伺服器安裝紅黑電源隔離插座。

③為**訊號電磁洩漏風險較大的終端安裝**干擾儀。

通過以上建設，配合《xx公司安防管理制度》以及《xx公司電磁洩漏防護管理制度》，使得xx公司達到物理安全防範到位、重要**監控無死角、進出人員管理有序、實體入侵報警響應及時以及電磁洩漏訊號無法捕捉、無法還原。

（1）部署

增加紅外對射裝置，防護廠區邊界，具體部署位置如下表：

表1-1 紅外對射部署統計表

部署方式如下圖所示：

圖1-2 紅外對射裝置

裝置成對出現，在安裝地點雙向對置，調整至相同水平位置。

（2）第一次執行策略

紅外對射24小時不間斷執行，當有物體通過，光線被遮擋，接收機訊號發生變化，放大處理後報警。設定合適的響應時間，以10公尺/秒的速度來確定最短遮光時間；設定人的寬度為20厘公尺，則最短遮斷時間為20毫秒，大於20毫秒報警，小於20毫秒不報警。

（3）裝置管理及策略

紅外對射裝置由廠區公安處負責管理，實時監測裝置運**況及裝置相應情況，定期對裝置及傳輸線路進行檢查、維護，並定期向保密辦提交裝置運維報告。

（4）部署後解決的風險

解決重點部位監控及區域控制相關風險。

（1）部署

增加紅外報警裝置，對保密要害部位實體入侵風險進行防護、報警，具體部署位置如下表：

表1-2 紅外報警部署統計表

裝置形態如下圖所示：

圖1-3 紅外報警裝置

部署在兩處房間牆壁角落，安裝高度距離地面2.0-2.2公尺。

（2）第一次執行策略

紅外報警24小時不間斷執行，設定檢測37℃特徵性10m波長的紅外線，遠離空調、暖氣等空氣溫度變化敏感的地方，不間隔屏、家具或其他隔離物，不直對視窗，防止窗外的熱氣流擾動和人員走動會引起誤報。

（3）裝置管理及策略

紅外報警裝置由廠區公安處負責管理，監測裝置運**況及裝置相應情況，定期對裝置進行檢查、維護，並定期向保密辦提交裝置運維報告。

（4）部署後解決的風險

解決重點部位監控及區域控制相關風險。

（1）部署

增加**監控裝置，對廠區周界、保密要害部門部位的人員出入情況進行實時監控，具體部署位置如下表：

表1-3 **監控部署統計表

裝置形態如下圖所示：

圖1-4 **監控裝置

**監控在室外採用雲台槍機式裝置，室內採用半球式裝置，部署在房間牆壁角落，覆蓋門窗及重點區域。

增加32路嵌入式硬碟錄影機一台，用於對**採集資訊的收集和壓縮存檔。裝置形態如下圖所示：

圖1-5 硬碟錄影機

（2）第一次執行策略

**監控24小時不間斷執行，設定**採集格式為mpeg-4，顯示解析度768*576，儲存、回放解析度384*288。

（3）裝置管理及策略

**監控裝置由廠區公安處負責管理，實時監測裝置運**況及裝置相應情況，定期對裝置及傳輸線路進行檢查、維護，並定期向保密辦提交裝置運維報告。

（4）部署後解決的風險

解決重點部位監控及區域控制相關風險。

（1）部署

增加門禁系統，對保密要害部門部位人員出入情況進行控制，並記錄日誌，具體部署位置如下表：

表1-4 門禁系統部署統計表

部署示意圖如下圖所示：

圖1-6 門禁系統部署方式

（2）第一次執行策略

對每個通道設定許可權，製作門禁卡，對可以進出該通道的人進行進出方式的授權，採取密碼+讀卡方式；設定可以通過該通道的人在什麼時間範圍內可以進出；實時提供每個門區人員的進出情況、每個門區的狀態（包括門的開關，各種非正常狀態報警等），設定在緊急狀態開啟或關閉所有門區的功能；設定防尾隨功能。

（3）裝置管理及策略

門禁系統由廠區公安處負責管理，定期監測裝置運**況及裝置相應情況，對裝置及傳輸線路進行檢查、維護，並定期向保密辦提交裝置運維報告。

（4）部署後解決的風險

解決重點部位監控及區域控制相關風險。

（1）部署

增加8口線路干擾儀，防護傳輸資料沿網線以電磁傳導、輻射發射、耦合等方式洩漏的情況。將從交換機引至其佈線最遠端以及次遠端的線纜插接至線路干擾儀，並由線路干擾儀連線至最遠端和次遠端，將該裝置進行接地處理。

具體部署位置如下表：

表1-6 線路干擾儀部署統計表

裝置形態如下圖所示：

圖1-11 線路干擾儀裝置

（2）第一次執行策略

在網線中一對空線對上注入偽隨機寬頻掃頻加擾訊號, 使之能跟隨其他三對網線上的訊號並行傳輸到另一終端；竊密者若再從網線或其他與網路幹線相平行的導線（如**線及電源線等）上竊取資訊，實際上所竊得的僅是已被加擾訊號充分湮沒了的混合訊號。

（3）裝置管理及策略

線路干擾儀由資訊中心負責管理，對裝置編號、標識密級、擺放、調測、定期對裝置及傳輸線路進行檢查、維護，並定期向保密辦提交裝置運維報告。

（4）部署後解決的風險

解決傳輸線路的電磁洩漏發射防護相關風險。

（1）部署

增加**干擾儀，防止對涉密終端**資訊的竊取，對***號樓存在的涉密終端部署，將該裝置進行接地處理。、

具體部署位置如下表：

表1-7 **干擾儀部署統計表

裝置形態如下圖所示：

圖1-12 **干擾儀裝置

（2）第一次執行策略

設定裝置執行頻率為1000mhz。

（3）裝置管理及策略

**干擾儀由資訊中心負責管理，監測裝置運**況及裝置相應情況，定期對裝置進行檢查、維護，並定期向保密辦提交裝置運維報告。

（4）部署後解決的風險

解決資訊裝置的電磁洩漏發射防護相關風險。

（1）部署

增加紅黑電源隔離插座，防護電源電磁洩漏，連線的紅黑電源需要進行接地處理。

具體部署位置如下表：

表1-8 紅黑電源部署統計表

產品形態如下圖所示：

圖1-13 紅黑電源隔離插座

（2）執行維護策略

xx公司要求所有涉密機均直接連線至紅黑電源上，紅黑電源上不得插接其他裝置。安裝在涉密終端及涉密單機的紅黑隔離電源由使用者維護，安裝在伺服器的由資訊中心維護，出現問題向保密辦報告。

（4）部署後解決的風險

解決資訊裝置的電磁洩漏發射防護相關風險。

xx公司使用1台網閘連線主中心以及從屬中心，用於安全隔離及資訊交換。

（1）部署

部署1台網閘於主中心及從屬中心核心交換機之間，做單向訪問控制與資訊互動。裝置啟用路由模式，通過路由**連線主中心以及從屬中心，從物理層到應用層終結所有的協議包，還原成原始應用資料，以完全私有的方式傳遞到另乙個網路，主中心以及從屬中心之間在任一時刻點上都不產生直接的物理連通。部署拓撲示意圖如下：

圖1-8 網閘部署拓撲示意圖

（2）第一次執行策略

配置從屬中心訪問主中心的許可權，允許從屬中心特定位址訪問主中心所有伺服器，允許其他位址訪問公司內部門戶以及人力資源系統，配置訪問內部門戶sql server資料庫伺服器，禁止其他所有訪問方式。配置網閘病毒掃瞄，對流經網閘裝置資料進行病毒安全掃瞄。配置系統使用https方式管理，確保管理安全。

（3）裝置管理及策略

計算機資訊系統分級保護方案

計算機資訊系統驗證方案

Bwlhrm計算機資訊系統應急預案

山西省計算機資訊系統安全保護條例

計算機資訊系統分級保護方案

計算機資訊系統驗證方案

Bwlhrm計算機資訊系統應急預案

山西省計算機資訊系統安全保護條例

相關推薦