XXXXX院涉密网络分级保护实施方案

XXXXX院涉密网络分级保护实施方案涉密信息系统分级保护项目
实施方案
XXX
2014年12月
一、概述
1.1 项目背景
随着信息技术的快速发展，人类进入了全球化和网络化的新时代。

信息化和数字化已经改变了人们的生活和生产方式，深刻地影响着国际政治经济关系，有力地推动了世界经济贸易的发展。

然而，随着我国国民经济和社会化信息化建设的全面加快，网络信息系统的安全保密性保障问题得到了各级领导和有关部门的重视。

党中央和国务院高度重视加强检察机关的信息化建设。

近年来，国家有关部门也按照中央指示精神，采取多种措施支持检察机关的信息化建设。

根据国家信息安全分级保护的总体部署，高检院下发了《关于开展检察机关涉密信息系统分级保护工作的通知》（高检发办【2008】30号）及相关文件规定，明确指出全国各级检察机关连接检察专线网的信息系统（包括各级检察院分支网络信息系统，下同）均为涉密信息系统。

要求各级检察院必须按照分级保护管理办法、标准和规划，对涉密信息系统根据处理信息的最高密级（密级、机密及绝密）划分等级实施保护。

各级保密行政管理部门将根据涉密信息系统的保护等级实施监督管理，确保系统和信息安全。

XXXXXX是国家的法律监督机关。

为了贯彻落实高检院及国家保密局有关文件精神，XXXXXX将按照分级保护管理办法、标准和规划的要求，对本院涉密信息系统进行建设，加强安全防护，保护涉密信息的安全。

1.2 建设范围
本次XXXXXX涉密信息系统分级保护项目建设范围为XXXXX综合大楼（共7层）。

1.3 建设目标
XXXXXX涉密信息系统分级保护建设的总体目标是：严
格按照国家相关安全保密标准和法规，将XXXXXX涉密信息
系统建设成符合国家相关法规和标准要求的涉密信息系统。

使XXXXXXX涉密信息系统具备安全防护能力、隐患发现能力、应急反应能力和审计追踪能力等，保证XXXXX涉密信息系
统中涉密信息的保密性、完整性、可用性和可控性等。

确保XXXXX涉密信息系统符合BMB17-2006和BMB20-2007等的
要求，使之能够处理相对应密级的信息，为单位日常政务处理和与市院传递政务信息提供安全可靠的信息化基础平台。

涉密信息系统建设完成后应达到如下安全防护能力：
1.具有抵御敌对势力有组织的大规模攻击的能力；
2.防范计算机病毒和恶意代码危害的能力；
3.具备安全监测、入侵检测、报警和记录的能力；
4.能够快速响应和处置安全事件，并跟踪安全责任；
5.具备快速恢复系统正常运行状态的能力，特别是对于服务保障性要求高的系统；
6.集中控制系统资源、用户和安全机制等。

二、实施前准备
2.1 设备供应
货物到达后，由我们公司将其运送到用户指定地点，并与建设方和承建方人员共同开箱验货，检查器件是否齐全，设备是否完好无损。

确认货物正常后，由建设方和承建方共同签署货物进场报验表。

2.2 实施环境前期准备
2.2.1 物理环境
在设备安装之前，必须确保物理安装环境达到标准，中心机房必须装修完毕，电源和线缆布置到位，机柜安装到位。

2.2.2 设备安装环境
终端计算机操作系统必须安装完成并能够正常使用，违规涉密资料必须清理完毕。

中心机房和各楼层配线间机柜必须预留足够的空间。

2.2.3 系统配置和客户端电脑需求
必须事先规划好系统配置需求，包括网络设备、应用服务器、客户端、操作规章制度等方面。

例如，IP地址规划和VLAN划分、网络安全控制策略、服务器操作系统、服务器主机名和IP地址确定、AD域名、域帐号花名册、软件应用服务器在硬件服务器上的安装规划、客户端电脑操作系统安装、客户端电脑资料清理等。

2.2.4 测试环境
在正式安装之前，需要对网络和服务器设备进行测试，测试需要建立一个小型局域网进行试验，包括一台服务器、若干网线、一个交换机和至少一台终端（如果只需要一台终端进行测试，则可以直接将服务器与终端PC机连接）。

三、设备安装调试
设备安装调试分为三个阶段：网络设备安装配置、应用服务器安装配置和终端设备安装。

在项目实施阶段，首先要实施网络设备安装配置，当网络设备安装调试完成后，再进行应用服务器安装和配置。

3.1 网络设备安装
网络设备包括硬件和软件，在网络设备安装中，首先需要安装网络硬件设备，然后在保证网络连通性的条件下安装软件产品。

网络硬件设备的安装顺序如下：
3.1.1 防火墙
安装步骤：
首先，确定防火墙的安装位置；
其次，将设备安装到机柜上，并连接线缆；
最后，进行电源测试，并进行相应的配置（提前规划好网络结构和IP地址划分）。

防火墙系统由防火墙管理/日志服务器和防火墙硬件组成，其部署方式如下：
将服务器放置在机密级应用服务器区内，确保安全性。

第二，进行服务器硬件安装，包括CPU、内存、硬盘等
组件的安装。

第三，进行服务器系统的安装和配置，包括操作系统、数据库等的安装和配置。

部署效果
在XXXXXX院涉密网部署了应用服务器后，能够满足BMB17-2006对机密级信息系统的“服务器安全”、“数据库安全”和“应用系统安全”的机密级要求，如下所示：
服务器硬件配置符合机密级安全要求，能够承载机密级应用系统；
服务器操作系统和数据库安装配置符合机密级安全要求，能够保证机密级数据的安全性；
应用系统安装配置符合机密级安全要求，能够保证机密级应用系统的安全性。

3.2.2虚拟化服务器
安装步骤：
首先，确定虚拟化服务器安装位置，确保安全性。

第二，进行虚拟化服务器硬件安装，包括CPU、内存、硬盘等组件的安装。

第三，进行虚拟化服务器系统的安装和配置，包括虚拟化软件的安装和配置。

部署效果
在XXXXXX院涉密网部署了虚拟化服务器后，能够满足BMB17-2006对机密级信息系统的“服务器安全”和“应用系统安全”的机密级要求，如下所示：
虚拟化服务器硬件配置符合机密级安全要求，能够承载机密级应用系统；
虚拟化软件安装配置符合机密级安全要求，能够保证机密级数据的安全性；
应用系统安装配置符合机密级安全要求，能够保证机密级应用系统的安全性。

的硬件和软件环境是否满足要求，安装相应的客户端软件，并进行相关参数设置和测试，测试客户端与服务端的连通和应用是否正常。

同时，对客户端进行安全加固，保障系统的安全性和稳定性。

3.2.2 打印监控与审计系统安装步骤如下：首先，安装打
印监控与审计系统客户端；其次，进行相关参数设置及测试。

该系统为单机版，可以部署在涉密单机上。

部署后，辅以相应的技术手段，可以满足BMB17-2006对机密级信息系统的“打
印监控审计”的要求。

3.2.3 涉密计算机移动存储介质保密与管理系统安装步骤
如下：首先，确定要安装的硬件服务器；其次，安装涉密计算机移动存储介质保密与管理系统服务端；然后，进行相关参数设置及测试；最后，测试客户端与服务端的连通和应用。

该系统由专用系统软件、多功能导入装置和涉密专用移动存储介质
组成，可以部署在监控管理中心、各部门或保密办的计算机上，通过统一保管、注册、登记使用等措施，保障涉密信息的安全性。

3.2.4 刻录监控与审计系统安装步骤如下：首先，安装刻
录监控与审计系统客户端；其次，进行相关参数设置及测试。

该系统为单机版，可以部署在涉密单机上。

部署后，辅以相应的技术手段，可以满足BMB17-2006对机密级信息系统的“刻
录监控审计”的要求。

3.3 系统联调及客户端部署测试包括网络设备和应用服务
器系统联调和客户端部署测试。

在网络设备和应用服务器基本配置和安装完成后，进行系统联调，测试网络设备和应用服务器的网络连通、网络控制策略、应用服务器工作状态和配置策略等是否正常，并保存备份配置文件。

网络设备和应用服务器联调正常后，进行客户端部署测试，安装客户端软件并进行相关参数设置和测试，保障系统的安全性和稳定性。

90天。

下表为计划实施进度，实际进度可在保证整体项
目规定时间内进行相应调整。

如遇重大技术问题、用户需求调整、用户及第三方配合效率问题，施工时间会相应增加。

用户
方必须积极配合并提供相应施工便利，出现问题双方积极沟通，以保证整个施工进度不受影响。

时间节点|计划进度|实际进度
第1周|网络设备和应用服务器安装配置|完成
第2-3周|客户端软件制作及安装包制作|进行中
第4周|客户端部署方案制定|未开始
第5-6周|客户端部署操作手册制作及安装培训|未开始
第7-8周|红黑电源、视频安装|未开始
第9-10周|客户端加入域|未开始
第11-12周|主机监控与审计客户端安装|未开始
第13-14周|打印监控与审计客户端安装|未开始
第15-16周|三合一安装|未开始
第17-18周|刻录监控与审计客户端安装|未开始
第19-20周|系统测试及问题解决|未开始
第21-22周|用户验收及培训|未开始
第23周|项目交付|未开始
工序名称：终端设备/客户端软件安装
在进行客户端软件安装之前，必须确保客户端操作系统正常工作，并且涉密资料已经清理。

红黑电源和视频的安装与终端客户端软件的安装同时进行。

工期（天）：15-89
工序名称：施工人员及组织
本次项目施工方保证有足够的人员，根据施工情况进行灵活安排。

职务姓名负责内容
项目经理确保工程质量和工期及总体协调，实现安全、文明生产。

现场负责人全面负责项目施工。

技术顾问全部负责项目设计方案及施工中出现技术问题沟通及解决。

技术工程师协助项目施工。

附录：
1.网络拓扑
2.VLAN和IP规划表
序号 VLAN号密级 IP地址网关 DNS 备注
1
2
3
4
5
6
7
8
3.项目包含产品概述
序号安全保密产品备注
1 主机监控与审计系统用于对主机操作及端口的监控及审计，可记录操作行为、限制注册表等用户修改权限、关闭空余端口等。

服务端部署在中心机房，客户端部署在内网终端及服务器。

2 “三合一”系统客户端部署在内网终端及服务器。

使用三合一系统实现违规外联控制、移动介质管理。

3 红黑电源隔离插座用于终端及服务器的电源电磁泄漏发射防护。

部署在内网终端及服务器。

4 视频信息用于机密级终端视频电磁泄漏发射防护。

部署在中心机房。

5 网络安全审计用于对网络行为的审计，记录访问时间、源地址、目的地址、行为、事件；用于对数据库操作的审计，记录源、目的、时间、事件等，做到事后可追溯。

部署在中心机房。

6 防火墙用于安全域的边界控制，设置访问控制列表控制不同安全域间的数据通信。

7 光盘刻录与审计用于对光盘刻录的授权控制与审计。

部署在带有刻录光驱的涉密机上。

1.在服务器和终端上部署打印监控与审计系统，以强制进行电子审批流程，控制打印权限并记录打印行为。

2.部署终端视频，以防止涉密计算机的显示器电磁泄漏。

3.主机监控与审计系统包括服务端软件和客户端软件，管
理中心部署在涉密网中心机房系统服务区VLAN，客户端代
理软件部署在所有终端，提供对终端主机、外设、接口、用户行为监控和终端资产等的管理。

4.“三合一”系统包括服务端软件和客户端软件，管理中心
部署在涉密网中心机房系统服务区VLAN，客户端代理软件
部署在所有Windows终端和服务器端，提供对移动存储介质
可控管理和非法违规外联行为进行监控。

5.提供红黑电源隔离插座，以保护涉密终端电源插座的安全，防止电磁泄漏。

6.防火墙系统提供应用服务安全域、系统服务安全域和终
端安全域边界的安全隔离，供安全区策略进行访问控制。

7.部署网络安全审计系统在核心交换机上，使用旁路接入
模式与核心交换机的镜像口对接，以提供对全网数据进行审计，包括网络层和应用层信息，并记录访问主体、客体、时间和事件等。