计算机信息系统分级保护规划方案.docVIP

计算机信息系统分级保护规划方案 计算机信息系统分级保护规划方案 PAGE / NUMPAGES 计算机信息系统分级保护规划方案 方案 系统整体部署 （1）涉密信息系统的组网模式为：服务器区、安全管理区、终端区共同连接至核心交换机上，组成近似于星型结构的网络模式，参照 TCP/IP 网络模型建立。核心交换机上配置三层网关并划分 Vlan ，在服务器安全接见控制中间件以及防火墙上启用桥接模式， 核心交换机、服务器安全接见控制中间件以及防火墙上设置安全接见控制策略（ ACL），禁止部门间 Vlan 互访，赞同部门 Vlan 与服务器 Vlan 通信。核心交换机镜像数据至入侵检测系统以及网络安全审计系统；服务器区包括原有应用系统；安全管理区包括网络防 病毒系统、主机监控与审计系统、 windows 域控及 WSUS补丁发散系统、身份认证系统；终端划分包括全部业务部门。 服务器安全接见控制中间件防范的应用系统有： XXX系统、XXX系统、XXX系统、XXX系统以及 XXX系统、。 防火墙防范的应用系统有： XXX、XXX系统、 XXX系统、 XXX系统以及 XXX系统。（2）邮件系统的作用是：进行信息的驻留转发，实现点到点的非实时通信。完成集 团内部的公文流转以及共同工作。使用 25、 110 端口，使用 SMTP协议以及 POP3协议，内网终端使用 C/S 模式登录邮件系统。 将内网用户使用的邮件账号在服务器群组安全接见控制中间件中划分到不相同的用户 组，针对不相同的用户组设置安全级别，安全级别分为 1-7 级，可依照本质需求设置相应的级别。 1-7 级的安全层次为： 1 级最先级， 7 级最高等，由 1 到 7 逐级增高。即低密级用户能够向高密级用户发送邮件，高密级用户不得向低密级用户发送，保证信息流向的正确性，防范高密数据流向低密用户。 （3）针对物理风险，采用红外对射、红外报警、视频监控以及门禁系统进行防范。 针对电磁泄射，采用线路搅乱仪、视频搅乱仪以及红黑电源隔断插座进行防范。 物理安全防范 整体物理安全防范设计以下：（1）周边环境安全控制 ①XXX侧和 XXX侧部署红外对射和入侵报警系统。 ②部署视频监控，建立安防监控中心，重点部位实时监控。 详细部署见下表： 表 1-1 周边安全建设 序号 保护部位 现有防范措施 需新增防范措施 人员出入通道 物质出入通道 南侧 序号 保护部位 现有防范措施 需新增防范措施 西侧 东侧 北侧 （2）要害部门部位安全控制 增加电子门禁系统，采用智能 IC 卡和口令相结合的管理方式。详细防范措施以下表 所示： 表 1-2 要害部门部位安全建设 序号 保护部门 出入口控制 现有安全措施 新增安全措施 1 门锁 / 登记 / 2 24H 警卫值班 门锁 3 门锁 4 门锁 5 门锁 / 登记 6 门锁 / 登记 7 门锁 / 登记 8 门锁 / 登记 9 机房出入登记 10 门锁 （3）电磁泄露防范 建设内容包括： ①为使用非障蔽双绞线的链路加装线路搅乱仪。 ②为涉密信息系统内的终端和服务器安装红黑电源隔断插座。 ③为视频信号电磁泄露风险较大的终端安装视频搅乱仪。 经过以上建设，配合《安防管理制度》以及《电磁泄露防范管理制度》 ，使得达到物 理安全防范到位、重要视频监控无死角、出入人员管理有序、实体入侵报警响应实时以及电磁泄露信号无法捕捉、无法还原。 红外对射 （1）部署 增加红外对射装置，防范界线，详细部署地址以下表： 表 1-1 红外对射部署统计表 序号 部署地址 数量（对） 1 东围墙 2 北围墙 3 共计 部署方式以以下图所示： 图 1-2 红外对射设备 设备成对出现，在安装地址双向对置，调整至相同水平川址。 （2）第一次运行策略 红外对射 24 小时不中止运行，当有物体经过，光辉被遮挡，接收机信号发生变化， 放大办理后报警。设置合适的响应时间，以  10 米 / 秒的速度来确定最短遮光时间；设置 人的宽度为  20 厘米，则最短遮断时间为  20 毫秒，大于  20 毫秒报警，小于  20 毫秒不报 警。 （3）设备管理及策略 红外对射设备由公安处负责管理，实时监测设备运行情况及设备相应情况，如期对 设备及传输线路进行检查、保护，并如期向保密办提交设备运维报告。 （4）部署后解决的风险 解决重点部位监控及地域控制相关风险。 红外报警 （1）部署 增加红外报警装置，对保密要害部位实体入侵风险进行防范、报警，详细部署地址 以下表： 表 1-2 红外报警部署统计表 序号 部署地址 数量（个） 1 2 3 4 共计 设备形态以以下图所示： 图 1-3 红外报警设备 部署在两处房间墙壁角落，安装高度距离地面 米。 （2）第一次运行策略 红外报警 24 小时不中止运行，设置