计算机信息系统分级保护方案

方案方案 1 1 系统总体部署系统总体部署 （1）涉密信息系统的组网模式为服务器区、安全管理区、终端区共同连 接至核心交换机上，组成类似于星型结构的网络模式，参照 TCP/IP 网络模型建 立。核心交换机上配置三层网关并划分 Vlan，在服务器安全访问控制中间件以 及防火墙上启用桥接模式，核心交换机、 服务器安全访问控制中间件以及防火墙 上设置安全访问控制策略（ACL） ，禁止部门间 Vlan 互访，允许部门 Vlan 与服务 器 Vlan 通信。核心交换机镜像数据至入侵检测系统以及网络安全审计系统；服 务器区包含原有应用系统；安全管理区包含网络防病毒系统、主机监控与审计系 统、windows 域控及 WSUS 补丁分发系统、身份认证系统；终端区分包含所有业 务部门。 服务器安全访问控制中间件防护的应用系统有XXX 系统、XXX 系统、XXX 系统、XXX 系统以及 XXX 系统、 。 防火墙防护的应用系统有XXX、XXX 系统、XXX 系统、XXX 系统以及 XXX 系 统。 （2）邮件系统的作用是进行信息的驻留转发，实现点到点的非实时通信。 完成集团内部的公文流转以及协同工作。使用 25、110 端口，使用 SMTP 协议以 及 POP3 协议，内网终端使用 C/S 模式登录邮件系统。 将内网用户使用的邮件账号在服务器群组安全访问控制中间件中划分到不 同的用户组，针对不同的用户组设置安全级别，安全级别分为 1-7 级，可根据实 际需求设置相应的级别。1-7 级的安全层次为1 级最低级，7 级最高级，由 1 到 7 逐级增高。 即低密级用户可以向高密级用户发送邮件，高密级用户不得向低 密级用户发送，保证信息流向的正确性，防止高密数据流向低密用户。 （3）针对物理风险，采取红外对射、红外报警、视频监控以及门禁系统进 行防护。针对电磁泄射，采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进 行防护。 2 2 物理安全防护物理安全防护 总体物理安全防护设计如下 （（1 1）周边环境安全控制）周边环境安全控制 ①XXX 侧和 XXX 侧部署红外对射和入侵报警系统。 ②部署视频监控，建立安防监控中心，重点部位实时监控。 具体部署见下表 序号序号保护部位保护部位 1 1人员出入通道 2 2物资出入通道 表 1-1 周边安全建设 现有防护措施现有防护措施需新增防护措施需新增防护措施 序号序号 3 3 4 4 5 5 6 6 保护部位保护部位 南侧 西侧 东侧 北侧 现有防护措施现有防护措施需新增防护措施需新增防护措施 （（2 2）要害部门部位安全控制）要害部门部位安全控制 增加电子门禁系统，采用智能 IC 卡和口令相结合的管理方式。具体防护措 施如下表所示 序号序号保护部门保护部门 1 1 2 2 3 3 4 4 5 5 6 6 7 7 8 8 9 9 1010 表 1-2 要害部门部位安全建设 出入口控制出入口控制现有安全措施现有安全措施 门锁/登记/ 24H 警卫值班 门锁 门锁 门锁 门锁/登记 门锁/登记 门锁/登记 门锁/登记 机房出入登记 门锁 新增安全措施新增安全措施 （（3 3）电磁泄漏防护）电磁泄漏防护 建设内容包括 ①为使用非屏蔽双绞线的链路加装线路干扰仪。 ②为涉密信息系统内的终端和服务器安装红黑电源隔离插座。 ③为视频信号电磁泄漏风险较大的终端安装视频干扰仪。 通过以上建设，配合安防管理制度以及电磁泄漏防护管理制度 ，使 得达到物理安全防范到位、重要视频监控无死角、进出人员管理有序、实体入侵 报警响应及时以及电磁泄漏信号无法捕捉、无法还原。 2.12.1 红外对射红外对射 （1）部署 增加红外对射装置，防护边界，具体部署位置如下表 表 1-1 红外对射部署统计表 序号序号 1 1 2 2 3 3 部署位置部署位置 东围墙 北围墙 合计合计 数量（对）数量（对） 部署方式如下图所示 图 1-2 红外对射设备 设备成对出现，在安装地点双向对置，调整至相同水平位置。 （2）第一次运行策略 红外对射 24 小时不间断运行，当有物体通过，光线被遮挡，接收机信号发 生变化，放大处理后报警。设置合适的响应时间，以 10 米/秒的速度来确定最短 遮光时间；设置人的宽度为 20 厘米，则最短遮断时间为 20 毫秒，大于 20 毫秒 报警，小于 20 毫秒不报警。 （3）设备管理及策略 红外对射设备由公安处负责管理，实时监测设备运行情况及设备相应情况， 定期对设备及传输线路进行检查、维护，并定期向保密办提交设备运维报告。 （4）部署后解决的风险 解决重点部位监控及区域控制相关风险。 2.22.2 红外报警红外报警 （1）部署 增加红外报警装置，对保密要害部位实体入侵风险进行防护、报警，具体部 署位置如下表 表 1-2 红外报警部署统计表 序号序号 1 1 2 2 3 3 4 4 部署位置部署位置 合计合计 数量（个）数量（个） 设备形态如下图所示 图 1-3 红外报警设备 部署在两处房间墙壁角落，安装高度距离地面 2.0-2.2 米。 （2）第一次运行策略 红外报警 24 小时不间断运行，设置检测 37℃特征性 10 m 波长的红外线， 远离空调、暖气等空气温度变化敏感的地方，不间隔屏、家具或其他隔离物，不 直对窗口，防止窗外的热气流扰动和人员走动会引起误报。 （3）设备管理及策略 红外报警设备由公安处负责管理， 监测设备运行情况及设备相应情况，定期 对设备进行检查、维护，并定期向保密办提交设备运维报告。 （4）部署后解决的风险 解决重点部位监控及区域控制相关风险。 2.32.3 视频监控视频监控 （1）部署 增加视频监控装置， 对周界、 保密要害部门部位的人员出入情况进行实时监 控，具体部署位置如下表 表 1-3 视频监控部署统计表 序号序号 1 1 2 2 3 3 4 4 5 5 6 6 7 7 8 8 部署位置部署位置 合计合计 数量（个）数量（个） 设备形态如下图所示 图 1-4 视频监控设备 视频监控在室外采用云台枪机式设备， 室内采用半球式设备，部署在房间墙 壁角落，覆盖门窗及重点区域。 增加 32 路嵌入式硬盘录像机一台， 用于对视频采集信息的收集和压缩存档。 设备形态如下图所示 图 1-5 硬盘录像机 （2）第一次运行策略 视频监控 24 小时不间断运行，设置视频采集格式为 MPEG-4，显示分辨率 768*576，存储、回放分辨率 384*288。 （3）设备管理及策略 视频监控设备由公安处负责管理，实时监测设备运行情况及设备相应情况， 定期对设备及传输线路进行检查、维护，并定期向保密办提交设备运维报告。 （4）部署后解决的风险 解决重点部位监控及区域控制相关风险。 2.42.4 门禁系统门禁系统 （1）部署 增加门禁系统，对保密要害部门部位人员出入情况进行控制，并记录日志， 具体部署位置如下表 表 1-4 门禁系统部署统计表 序号序号 1 1 2 2 部署位置部署位置数量（个）数量（个） 3 3 4 4 5 5 6 6 7 7 8 8 9 9 1010 1111 合计合计 部署示意图如下图所示 图 1-6 门禁系统部署方式 （2）第一