收藏
下载资源

计算机信息系统分级保护方案

上传人:博****1 文档编号:495298294 上传时间:2023-09-17 格式:DOCX 页数:22 大小:318.83KB
返回 下载 相关 举报
计算机信息系统分级保护方案_第1页
第1页 / 共22页
计算机信息系统分级保护方案_第2页
第2页 / 共22页
计算机信息系统分级保护方案_第3页
第3页 / 共22页
计算机信息系统分级保护方案_第4页
第4页 / 共22页
计算机信息系统分级保护方案_第5页
第5页 / 共22页
点击查看更多>>
资源描述

《计算机信息系统分级保护方案》由会员分享,可在线阅读,更多相关《计算机信息系统分级保护方案(22页珍藏版)》请在金锄头文库上搜索。

1、方案1系统总体部署(1)涉密信息系统的组网模式为:服务器区、安全管理区、终端区共同连 接至核心交换机上,组成类似于星型结构的网络模式,参照 TCP/IP 网络模型建 立。核心交换机上配置三层网关并划分Vlan,在服务器安全访问控制中间件以 及防火墙上启用桥接模式,核心交换机、服务器安全访问控制中间件以及防火墙 上设置安全访问控制策略(ACL),禁止部门间Vlan互访,允许部门Vlan与服务 器 Vlan 通信。核心交换机镜像数据至入侵检测系统以及网络安全审计系统;服 务器区包含原有应用系统;安全管理区包含网络防病毒系统、主机监控与审计系 统、windows域控及WSUS补丁分发系统、身份认证系

2、统;终端区分包含所有业 务部门。服务器安全访问控制中间件防护的应用系统有:XXX系统、XXX系统、XXX 系统、XXX系统以及XXX系统、。防火墙防护的应用系统有:XXX、XXX系统、XXX系统、XXX系统以及XXX系 统。(2)邮件系统的作用是:进行信息的驻留转发,实现点到点的非实时通信.完 成集团内部的公文流转以及协同工作。使用 25、110 端口,使用 SMTP 协议以及 POP3 协议,内网终端使用 C/S 模式登录邮件系统.将内网用户使用的邮件账号在服务器群组安全访问控制中间件中划分到不 同的用户组,针对不同的用户组设置安全级别,安全级别分为 1-7 级,可根据实 际需求设置相应的级

3、别。17 级的安全层次为:1 级最低级,7 级最高级,由 1 到 7 逐级增高。即低密级用户可以向高密级用户发送邮件,高密级用户不得向低 密级用户发送,保证信息流向的正确性,防止高密数据流向低密用户.(3)针对物理风险,采取红外对射、红外报警、视频监控以及门禁系统进 行防护.针对电磁泄射,采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进行 防护。2 物理安全防护总体物理安全防护设计如下:(1)周边环境安全控制 XXX侧和XXX侧部署红外对射和入侵报警系统。 部署视频监控,建立安防监控中心,重点部位实时监控.具体部署见下表:表1-1周边安全建设序号保护部位现有防护措施需新增防护措施1人员出入通道

4、2物资出入通道序号保护部位现有防护措施需新增防护措施3南侧4西侧5东侧6北侧(2)要害部门部位安全控制增加电子门禁系统,采用智能IC卡和口令相结合的管理方式。具体防护措施如下表所示:表 12 要害部门部位安全建设序号保护部门出入口控制现有安全措施新增安全措施1门锁/登记/24H警卫值班2门锁3门锁4门锁5门锁/登记6门锁/登记7门锁/登记8门锁/登记9机房出入登记10门锁3)电磁泄漏防护建设内容包括: 为使用非屏蔽双绞线的链路加装线路干扰仪。 为涉密信息系统内的终端和服务器安装红黑电源隔离插座. 为视频信号电磁泄漏风险较大的终端安装视频干扰仪.通过以上建设,配合安防管理制度以及电磁泄漏防护管理

5、制度,使 得达到物理安全防范到位、重要视频监控无死角、进出人员管理有序、实体入侵 报警响应及时以及电磁泄漏信号无法捕捉、无法还原。2.1 红外对射(1)部署增加红外对射装置,防护边界,具体部署位置如下表:表 1-1 红外对射部署统计表序号部署位置数量(对)1东围墙2北围墙3合计部署方式如下图所示:图1-2红外对射设备设备成对出现,在安装地点双向对置,调整至相同水平位置。(2)第一次运行策略红外对射24小时不间断运行,当有物体通过,光线被遮挡,接收机信号发生 变化,放大处理后报警。设置合适的响应时间,以10米/秒的速度来确定最短遮 光时间;设置人的宽度为20厘米,则最短遮断时间为20毫秒,大于2

6、0毫秒报警, 小于20毫秒不报警。(3)设备管理及策略红外对射设备由公安处负责管理,实时监测设备运行情况及设备相应情况, 定期对设备及传输线路进行检查、维护,并定期向保密办提交设备运维报告。(4)部署后解决的风险解决重点部位监控及区域控制相关风险。2。2红外报警(1)部署增加红外报警装置,对保密要害部位实体入侵风险进行防护、报警,具体部 署位置如下表:表12红外报警部署统计表序号部署位置数量(个)1234合计设备形态如下图所示:图1-3红外报警设备部署在两处房间墙壁角落,安装高度距离地面2.0-2。2米。(2) 第一次运行策略红外报警24小时不间断运行,设置检测37C特征性10 m波长的红外线

7、, 远离空调、暖气等空气温度变化敏感的地方,不间隔屏、家具或其他隔离物,不 直对窗口,防止窗外的热气流扰动和人员走动会引起误报。(3) 设备管理及策略红外报警设备由公安处负责管理,监测设备运行情况及设备相应情况,定期 对设备进行检查、维护,并定期向保密办提交设备运维报告。(4) 部署后解决的风险解决重点部位监控及区域控制相关风险。2。3视频监控(1) 部署增加视频监控装置,对周界、保密要害部门部位的人员出入情况进行实时监 控,具体部署位置如下表:表13视频监控部署统计表序号部署位置数量(个)12345678合计设备形态如下图所示:图14视频监控设备视频监控在室外采用云台枪机式设备,室内采用半球

8、式设备,部署在房间墙 壁角落,覆盖门窗及重点区域。增加32路嵌入式硬盘录像机一台,用于对视频采集信息的收集和压缩存档。 设备形态如下图所示:图15硬盘录像机(2) 第一次运行策略视频监控24小时不间断运行,设置视频采集格式为MPEG-4,显示分辨率768 *576,存储、回放分辨率384*288。(3) 设备管理及策略视频监控设备由公安处负责管理,实时监测设备运行情况及设备相应情况, 定期对设备及传输线路进行检查、维护,并定期向保密办提交设备运维报告。(4) 部署后解决的风险解决重点部位监控及区域控制相关风险.2.4门禁系统(1) 部署增加门禁系统,对保密要害部门部位人员出入情况进行控制,并记

9、录日志, 具体部署位置如下表:表1-4门禁系统部署统计表序号部署位置数量(个)124567891011合计部署示意图如下图所示:图1-6门禁系统部署方式(2)第一次运行策略对每个通道设置权限,制作门禁卡,对可以进出该通道的人进行进出方式的 授权,采取密码+读卡方式;设置可以通过该通道的人在什么时间范围内可以进 出;实时提供每个门区人员的进出情况、每个门区的状态(包括门的开关,各种非 正常状态报警等),设置在紧急状态打开或关闭所有门区的功能;设置防尾随功 能。(3)设备管理及策略门禁系统由公安处负责管理,定期监测设备运行情况及设备相应情况,对设 备及传输线路进行检查、维护,并定期向保密办提交设备

10、运维报告.(4)部署后解决的风险解决重点部位监控及区域控制相关风险.2。5线路干扰仪(1)部署增加8 口线路干扰仪,防护传输数据沿网线以电磁传导、辐射发射、耦合等 方式泄漏的情况。将从交换机引至其布线最远端以及次远端的线缆插接至线路干 扰仪,并由线路干扰仪连接至最远端和次远端,将该设备进行接地处理。具体部署位置如下表:表16线路干扰仪部署统计表序号部署位置数量(个)123合计设备形态如下图所示:图111线路干扰仪设备(2)第一次运行策略在网线中一对空线对上注入伪随机宽带扫频加扰信号,使之能跟随其他三 对网线上的信号并行传输到另一终端;窃密者若再从网线或其他与网络干线相平 行的导线(如电话线及电

11、源线等)上窃取信息,实际上所窃得的仅是已被加扰信 号充分湮没了的混合信号。(3)设备管理及策略线路干扰仪由信息中心负责管理,对设备编号、标识密级、摆放、调测、定 期对设备及传输线路进行检查、维护,并定期向保密办提交设备运维报告。(4)部署后解决的风险解决传输线路的电磁泄漏发射防护相关风险。2.6视频干扰仪(1)部署增加视频干扰仪,防止对涉密终端视频信息的窃取,对XXX号楼存在的涉密 终端部署,将该设备进行接地处理。、具体部署位置如下表:表17视频干扰仪部署统计表序号部署位置数量(个)12311合计设备形态如下图所示:图112视频干扰仪设备(2) 第一次运行策略设置设备运行频率为1000 MHz

12、。(3) 设备管理及策略视频干扰仪由信息中心负责管理,监测设备运行情况及设备相应情况,定期 对设备进行检查、维护,并定期向保密办提交设备运维报告。(4) 部署后解决的风险解决信息设备的电磁泄漏发射防护相关风险。2.7红黑电源隔离插座(1) 部署增加红黑电源隔离插座,防护电源电磁泄漏,连接的红黑电源需要进行接地 处理.具体部署位置如下表:表18红黑电源部署统计表序号部署位置数量(个)1涉密终端2服务器3UPS4合计产品形态如下图所示:图113红黑电源隔离插座(2) 运行维护策略要求所有涉密机均直接连接至红黑电源上,红黑电源上不得插接其他设备。 安装在涉密终端及涉密单机的红黑隔离电源由使用者维护,

13、安装在服务器的由信 息中心维护,出现问题向保密办报告。(4) 部署后解决的风险解决信息设备的电磁泄漏发射防护相关风险。3网络安全防护3.1网闸使用1台网闸连接主中心以及从属中心,用于安全隔离及信息交换。(1) 部署部署1台网闸于主中心及从属中心核心交换机之间,做单向访问控制与信息 交互。设备启用路由模式,通过路由转发连接主中心以及从属中心,从物理层到 应用层终结所有的协议包,还原成原始应用数据,以完全私有的方式传递到另一 个网络,主中心以及从属中心之间在任一时刻点上都不产生直接的物理连通。部 署拓扑示意图如下:从属中心网闸主中心核心交换机核心交换机图1-8网闸部署拓扑示意图(2) 第一次运行策

14、略配置从属中心访问主中心的权限,允许从属中心特定地址访问主中心所有服务器,允许其他地址访问公司内部门户以及人力资源系统,配置访问内部门户 SQL server数据库服务器,禁止其他所有访问方式。配置网闸病毒扫描,对流 经网闸设备数据进行病毒安全扫描配置系统使用Https方式管理,确保管理安 全。(3) 设备管理及策略网闸设备按照网闸运维管理制度进行管理。a、由信息中心管理网闸设备,分别设置管理员、安全保密管理员、安全审计 员的口令,由“三员分别管理.b、由信息中心对网闸设备进行编号、标识密级、安放至安全管理位置。c、信息中心负责网闸设备的日常运行维护,每周登陆设备查看设备配置、设 备自身运行状态、转发数据量状态、系统日志等内容。d、信息中心发

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 学术论文 > 其它学术论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号