计算机信息系统分级保护方案.docxVIP

计算机信息系统分级保护方案 方案详细设计1系统总体部署 （1） XX公司涉密信息系统的组网方式为：服务器区、安全管理区、终端区共同接入核心交换机，形成类似星形结构的网络模式，参照TCP/IP网络模型建立。在核心交换机上配置三层网关，并划分VLAN。在服务器安全访问控制中间件和防火墙上启用桥接模式。在核心交换机、服务器安全访问控制中间件和防火墙上设置安全访问控制策略（ACL），以禁止部门间的VLAN相互访问，并允许部门VLAN与服务器VLAN通信。核心交换机将数据镜像到入侵检测系统和网络安全审计系统；服务器区包含XX公司原有的应用系统；安全管理领域包括网络防病毒系统、主机监控和审计系统、Windows域控制和WSUS补丁分发系统、身份认证系统；终端差异化包括所有业务部门。 服务器安全访问控制中间件防护的应用系统有：xxx系统、xxx系统、xxx系统、xxx系统以及xxx系统、。 防火墙防护的应用系统包括XXX、XXX系统、XXX系统、XXX系统和XXX系统。 （2）邮件系统的作用是：进行信息的驻留转发，实现点到点的非实时通信。完成集团内部的公文流转以及协同工作。使用25、110端口，使用smtp协议以及pop3协议，内网终端使用c/s模式登录邮件系统。 在服务器组安全访问控制中间件中将intranet用户使用的电子邮件帐户划分为不同的用户组，并为不同的用户组设置安全级别。安全级别分为1-7级，可根据实际需要设置相应级别。1-7级的安全级别为：1级的最低级别和7级的最高级别，从1增加到7。也就是说，低级用户可以向高级用户发送电子邮件，高级用户不能向低级用户发送电子邮件，以确保信息流的正确性，防止高级数据流向低级用户。 （3）针对物理风险，采取红外对射、红外报警、视频监控以及门禁系统进行防护。针对电磁泄射，采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进行防护。2物理安全防护 总体物理安全防护设计如下：（1）周边环境安全控制 ①厂区xxx侧和xxx侧部署红外对射和入侵报警系统。②部署视频监控，建立安防监控中心，重点部位实时监控。具体部署见下表： 编号保护第1部分人员通道2材料通道 表1-1周边安全建设现有防护措施需新增防护措施 3456防护部分：厂区南侧、厂区西侧、厂区东侧和厂区北侧的现有防护措施需要新的防护措施（2）重点部门的安全控制 增加电子门禁系统，采用智能ic卡和口令相结合的管理方式。具体防护措施如下表所示： 编号保护部门12345678910表1-2重点部门安全施工门禁现有安全措施门锁/登记/24小时值班门锁/登记门锁/登记门锁/登记门锁/登记室门禁登记门锁新安全措施（3）电磁泄漏防护施工包括： ①为使用非屏蔽双绞线的链路加装线路干扰仪。 ② 为保密信息系统中的终端和服务器安装红色和黑色电源隔离插座。③ 为存在视频信号电磁泄漏高风险的终端安装视频干扰器。 通过以上建设，配合《xx公司安防管理制度》以及《xx公司电磁泄漏防护管理制度》，使得xx公司达到物理安全防范到位、重要视频监控无死角、进出人员管理有序、实体入侵报警响应及时以及电磁泄漏信号无法捕捉、无法还原。2.1红外对射 （1） 部署 增加红外对射装置，防护厂区边界，具体部署位置如下表： 表1-1红外辐射部署统计表 序号123部署位置厂区东围墙厂区北围墙合计数量（对）部署方式如下图所示： 图1-2红外辐射设备 设备成对出现，在安装地点双向对置，调整至相同水平位置。（2）第一次运行策略 红外辐射连续工作24小时。当物体通过时，光线被阻挡，接收器信号发生变化，经过放大和处理后发出警报。设置适当的响应时间，以10 m/S的速度确定最短的遮光时间；如果人的宽度设置为20cm，则最短的中断时间为20ms。大于20ms报警，小于20ms不报警。 （3）设备管理及策略 红外辐射设备由厂区公安部门负责管理，公安部门实时监控设备运行及相应情况，定期对设备和传输线路进行检查和维护，并定期向保密办公室提交设备运行维护报告。 （4）部署后解决的风险 解决关键部位监控和区域控制相关风险。2.2红外报警 （1）部署 增加红外报警装置，保护和报警机密关键部件的物理入侵风险。具体部署位置如下表所示： 表1-2红外报警部署统计表 编号1234部署位置总数（个）设备表如下图所示： 图1-3红外报警设备 布置在两个房间的墙角处，安装高度距地面2.0-2.2米。（2） 第一步战略 红外报警24小时不间断运行，设置检测37℃特征性10μ