涉密信息系统分级保护过程指导1、 项目立项2、 项目定级(处级以上拥有定密权,处级以下必须有市保密局授权定密权) 3、 项目名称定代号(如: 01 工程、 02 项目)4、 项目方案设计及预算1) 设计单位必须具有涉密信息系统集成资质2) 选用涉密设备产品必须通过国家保密科技技术中心测评及取得证书3) 设计方案, 详见方案设计样板5、 设计方案提交国家保密科技测评中心福建分中心进行方案评审6、 方案评审通过后进行邀请或者比选招标 (同时委托具有保密资质的监理公司进行监理) 7、 中标后签订合同并进行施工8、 施工详情:1) 施工单位成立项目组确定负责人,项目经理,施工人员并做好工作证(参与人员必 须经过是公司保密委员会保密人员) 2) 施工单位(监理单位)及到场工作人员与业主签订保密协议3) 项目组发起业主、监理、设计及施工方四方方案会审并确定是否对设计做出变更4) 与业主配合统计本次涉密设备数量、终端数量、对应科室位置5) 项目组对已有涉密设备进行再次编号后登记编册,对每台涉密终端(电脑及网络打印机)进行IP、MAC、网口、使用人、位置、对应交换机口进行对应登记编册6) 重要部门、部位必须明确标示如:涉密要害部位无关人员严禁入内、禁止携带通讯 设备,涉密计算机严禁连接互联网 ★ (机密),非密打印机贴禁止复印涉密材料。
7) 所有保密产品必须具有不可更改的保密标示:设备类型、设备编号、密级、定密时 间、责任人、安装位置、设备用途;红黑电源及微机视频保护器可以不定密级8) 所有涉密信息网口标涉密口,涉密信息网络布线系统采用屏蔽产品(原有非屏蔽产 品加线路传导干扰器)涉密设备与非密设备间隔不低于 1 米9) 所有楼层交换机必须选用可绑定管理型交换机10) 根据保密要求对每台涉密终端机服务器进行策略加固、 密码加固, 安装三合一系统、 主机监控与审计系统、网络行为审计系统(机要机及服务器可以不装三合一避免无 法接收机要文件及系统数据库崩溃) 11) 一体式网络打印机必须拆除或者封堵功能模块及无线通讯模块并进行 IP、MAC、 网口的绑定12) 安全域划分一般为:服务器安全域、安全产品安全域、终端安全域13) VLAN划分:根据现有IP进行规划对服务器、安全产品、终端、部门、用途进行划分,如果遇到IP不够用的情况,交换机的管理 IP可以开辟192.168XX段位进行管理14) 根据保密要求进行终端、 服务器、 交换机、 路由、防火墙策略加固、 服务器打补丁15) 施工过程中的所有操作步骤必须记录并形成策略文档并指导业主进行操作, 组织业 主主要负责人进行安全保密产品的操作培训( 详见:策略文档范本) 。
16) 所有安全保密产品到场必须进行开箱检验并做好记录, 严格核对外观、 型号、规格、 功能, 必须与国家保密科技测评中心的检测报告严格一致 17) 如有采用线路传导干扰器需注意:每台干扰器分为 4口、 8 口、 16口、 32口,楼 层每层的最远端及次远端也就是每层 2口-4口就够用18) 每台终端必须配备红黑电源, 涉密机柜必须配用红黑电源, 红黑电源上禁止接入非 密设备19) 涉密场所内严禁使用无线设备如:红外、蓝牙、无线类型的鼠标、键盘、话筒、音 箱,不允许出现 WIFI、MIFI、无线信号发射器、无线信号放大器等无线设备20) 涉密笔记本电脑必须拆除无线网卡模块及摄像头, 一体式电脑必须拆除无线网卡模 块21) 涉密设备与围墙外马路警戒距离要在 30 米以上不足 30米的必须加装微机视频保护 器及红黑电源22) 要害部位、机房的门、窗必须具备防盗门、防盗窗、监控、报警器,设备接地值小 于 0.5 欧姆23) 所有布线节点必须做好良好标示注明起始点、 终结点(含桌面跳线、机房跳线、布 线节点),对布线节点数量进行登记造册(每层布线点、合计布线点、实际使用布线 点)24) 楼栋间的光纤连接必须做好每个可查看节点的标示牌, 标明起始点、 经由点、终点。
25) 项目进行时必须严格按照项目建设内页规范编写相应施工内页资料26) 每台终端都必须进行IP、MAC、网口三项绑定,交换机上多余未用的端口必须在物 理及配置上进行关闭9、 业主方配合项:1) 成立保密委及下属保密办公室2) 全体人员与保密委签订保密协议3) 请保密局对全体人员进行,岗前、岗中、领导负责人进行培训并做好培训记录4) 向上级要安全保密管理制度或者自行编制安全保密管理制度汇编5) 统计全体人员的涉密设备,编制成表格具体体现:责任人、设备标号、设备 IP、设 备MAC、设备对应网口10、 编制测评申请书(含:测评申请书,附件:设计方案、实施方案、安全保密管理制度汇编)11、 项目施工验收后向国家保密科技测评中心福建分中心提交测评申请12、 不足的待补充。