《算机信息系统安全建设方案(共32页)》由会员分享,可在线阅读,更多相关《算机信息系统安全建设方案(共32页)(32页珍藏版)》请在金锄头文库上搜索。
1、精选优质文档-倾情为你奉上文件编号:文件页数:共 页文件级别:内部文件日 期:编写部门:安全评估部版 本:V2.0 某公司涉密计算机信息系统安全建设方案*公司XXX信息技术有限公司联合编写201410文档信息文档名称*公司涉密计算机信息系统安全建设方案保密级别内部文档版本编号V2.0文档管理编号管理人制作人 制作日期 校对人 制表人 复审人复审日期 扩散范围:双方项目参与人员文档控制变更记录日期作者版本号说明 1.0创建文档初始版本 2.6修改和完善 3.0修订 3.9根据 月 日 评审意见修改文档审核日期姓名职位副总经理高工、CISP信息安全工程师四川省国家保密局特邀专家文档发布拷贝号文档接
2、收人员单位 / 地址2009-05-28 *公司2009-05-28 四川省国家保密局文档说明此文档为“*公司涉密计算机信息系统安全建设方案”,是成都XXX信息技术有限责任公司受*公司委托编写。本方案旨在根据国家对于涉密计算机信息系统的要求,给出*公司涉密计算机信息系统安全建设建议,并及时请示国家保密局组织专家评审。版权说明本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属成都XXX信息技术有限公司所有(部分内容版权属*公司所有),受到有关产权及版权法保护。任何个人、机构未经双方书面授权许可,不得以任何方式复制或引用本文件的任何片断。专心-专注-专业目
3、 录前言四川* 责任公司(以下简称“*公司”)是国家中型企业,属于制造业。始建于*年,是中国*专业化厂家,是中国*设备制造企业之一,工厂现有职工700余人。随着*公司企业信息化建设的逐步推进,加强了技术创新和管理创新能力,使企业及其产品获得市场竞争优势。随着信息化建设的推进,必须加强信息系统的安全保密建设,以满足国家对于涉密计算机信息系统的需求。按照保密的密级规定,*公司涉密计算机信息系统需要按照秘密级进行安全防护建设。本方案主要根据*公司涉密信息系统建设要求,由成都XXX信息技术有限公司(以下简称“XXX公司”)设计完成。本方案依据BMB17-2006/BMB20-2009,结合*公司在新的
4、保密形式下的需求,紧扣“建设安全保密、经济可用的秘密级信息系统”这一设计目标,旨在采用先进的网络信息安全技术,保障系统的运行环境和设备安全,防范对信息资源的非法访问,抵御对涉密资料的非法窃取,保护数据资产的安全,提高*公司在复杂应用环境下的安全保密能力,达到国家的相关要求。本方案在现状分析和需求分析的基础上,遵循国家相关保密法律和规范,从物理安全、网络运行安全、信息保密安全、安全保密管理等方面出发,开展对系统的脆弱性和风险性分析,进行网络系统的扩展设计以及系统安全设计,提出了包括访问控制、安全审计、管理监控等安全技术在内的一整套解决方案,满足BMB17-2006和BMB20-2009相关技术要
5、求。同时,按照规范的要求,本方案对*公司的安全保密管理提出了解决方法,包括了管理机构的设立、管理制度的建立、管理技术的实施和人员管理的配套。1、概述1.1 任务的由来*公司在企业分离破产后重组新建的四川* 责任公司,企业计划在2009年第三季度通过相关的保密资格认证,其中保密资格认证是*公司中重要认证之一,经过*公司办公会上的充分讨论,以及对各个有涉密计算机信息系统集成资质公司的比较和筛选,最终确定由XXX公司来帮助*公司建设涉密计算机信息系统,并同步建设安全保密系统。1.2 任务的范围本次任务是编写*公司涉密计算机信息系统的安全建设方案。其范围是*公司的办公局域网和安全系统的建设,为*公司未
6、来的信息系统应用打好基础。主要包括:综合布线系统,机房建设,网络基础平台的搭建和安全保密系统的同步建设。1.3 任务的目标本次任务有两个目标:1、借“保密资格认证”的东风,搭建企业局域网平台;2、同步建设企业安全保密系统,满足保密资格认证的要求。2、系统概括*公司目前的信息系统规模小,信息应用简单,目前在三个主要办公区域采用了3个HUB进行本部门的网络连接(这三个网之间无相互连接),其拓扑示意图如下:1、*公司目前的信息系统组成有:1)单机办公共计100多台,主要运行MS Office软件;2)财务审计部和技术管理部的计算机接于各自的HUB上,目的是网络办公和共享打印机;3)基于非网管的、同房
7、间使用的交换机组成的临时网络,主要运行CAD系统,目的是共享文件和打印机;2、信息系统的资产:*公司信息系统的资产主要有:全厂的100多台的PC机,以及CAD和财务数据。3、信息系统的管理:目前是“谁使用、谁负责、谁运行维护”的状态,没有专业的信息技术部门统一管理。4、信息系统的应用系统及重要性: 应用系统包括:财务系统和CAD联网应用,这两个系统中CAD是*公司的业务龙头,有较大的重要性。5、信息系统之间的互联关系:实现了和国际互联网的物理隔离,没有和其他网络有连接关系。6、系统安全管理的组织机构及措施: *公司成立了保密办,负责检查和教育应用系统确保同国际互联网的物理隔离。7、信息系统承载
8、的密级 *公司目前的单个计算机绝大部分不涉密,全厂涉密等级最高为秘密级,其主要集中在设计部门和管理部门。8、涉密人员及涉密计算计算机设备状况 *公司是传统的军工单位,涉密人员和涉密计算机设备状况均有良好的制度管理。目前涉密人员定员明确,涉密计算机的设备运行状况也良好,实行“谁使用谁负责谁应用谁维护”的管理模式。3、设计依据国家标准 GB/T28872000电子计算机场地通用规范 GB/5271.1-2000 第一部分:基本术语 GB/5271.8-2001 第八部分:安全 GB/5271.9-2001 第九部分:数据通信 GB/9361-1988计算站场地安全要求 GB/T9387.2-199
9、5安全体系结构 GB/T18336-2001信息技术安全性评估准则 GB50174电子计算机机房设计规范 GGBB1-1999信息设备电磁泄漏发射限值 BMB2-1998使用现场的信息设备电磁泄漏发射检查测试方法和安全判据 BMB3-1999处理涉密信息的电磁屏蔽的技术要求和测试方法 BMB4-2000电磁干扰器技术要求和测试方法 BMB5-2000涉密信息设备使用现场的电磁泄漏发射防护要求 BMZ1-2000涉及国家秘密的计算机信息系统保密技术要求 BMB17-2006涉及国家秘密的信息系统分级保护技术要求 BMB20-2009涉及国家秘密的信息系统分级保护管理规范 ISO/IEC17799
10、国家政策 中华人民共和国保守国家秘密法1988.9.5 国家信息化领导小组关于加强信息安全保障工作的意见中办发2003年27号 关于加强信息安全保障工作中保密管理的若干意见中保委发2004年7号 涉及国家秘密的信息系统分级保护管理办法国保发2005年16号 信息安全等级保护管理办法公通字2006年16号4、系统安全建设目标和原则4.1 建设目标建设*公司的安全、稳定、高效的信息系统平台,为未来的系统应用和园区网络的建设奠定良好的基础和示范。4.2 建设原则规范定密,准确定级;依据标准,同步建设;突出重点,确保核心;明确责任,加强监督。 以上32字原则是本次方案设计的政策性指导,*公司由保密保卫
11、部根据中国二航的相关规定负责定密,计算机信息系统的最高密级为秘密级;根据相关国家标准,在搭建企业局域网时同步建设安全系统;突出保密重点在科研生产和产品设计上,建立信息中心,集中存放产品数据,确实保障核心涉密数据;工厂保密委同时明确各个涉密部门和人员的责任,由保卫保密部执行技术部协助加强对各个涉密系统和人员的监督。5、信息系统安全需求分析四川* 责任公司是国家重点保军企业,厂领导非常重视信息化建设,全厂经过多年的信息化发展,已经取得了突出的成绩,目前已经基本形成了军品设计、财务管理等局域网。为适应当前形势和工作的需要,结合厂领导的要求,建设安全、稳定、高效的信息系统平台是当前信息化建设工作的当务
12、之急。而在信息系统平台的建设工程中,办公大楼的网络建设是园区网的核心,同时也是整合全厂园区网的基础。5.1 需求的来源5.1.1国家信息安全政策的要求*公司是国家二级涉密单位,全厂的信息化建设,必须符合国家相关规定,同时要接受国家职能部门的达标审查,因此,计算机信息系统的涉密安全建设更是重中之重。在本方案中,不论网络系统设计、结构化布线设计以及机房工程,均严格遵守国家相关保密规定,进行对应的密级工程设计与施工。5.1.2科研生产的需要全厂在生产过程中,会产生大量的实验数据和文档资料,怎样将这些数据资料有效的存储和传输,以适应分布式计算的需要,同时保证安全性、保密性的要求。因此,建立一个流畅、高
13、速的网络平台与一个安全、稳定、高效的系统平台,是当前刻不容缓的任务。5.1.3工厂管理的需要目前,计算机已成为*公司日常办公的主要工具。怎样有效的利用现有软、硬件资源,简化工作流程,提高管理工作效率,实现办公自动化和信息资源共享,同时实现安全有序的管理,是当前厂内各管理部门的迫切需要。5.1.4 信息系统安全评估的结果*公司是全新的信息系统建设,通过简单的安全评估结果(见5.2章节)是信息系统重要的需求来源之一。5.2 信息系统安全需求根据*公司涉密计算机信息系统现状,结合国家相关规范的要求,我们如下表呈现本次安全需求(数量越多,安全风险越大)。安全种类项目现状安全风险安全需求物理安全门禁不具备。建设中心机房建设门禁系统 防雷原大楼建没有防雷系统采取防雷保护措施供电仅有市电供应。部署UPS防静电、防盗无中心机房,更无防静电措施设立中心机房,铺设防静电地板,同时加强防盗建设。电磁泄漏办公大楼与公共区域距离在50米以内需要建设有良好接地的屏蔽布线系统,并采用电磁干扰。介质安全标准中有关于介质收发和传递的新要求。加强介质管理,加强计算机接口管理,部署安全审计系统运行安全
