计算机信息系统分级保护方案完整篇.doc
计算机信息系统安全保护等级划分准则完整版
计算机信息系统安全保护等级划分准则完整版此级别适用于对计算机信息系统安全保护要求不高的用户,用户自行实施安全措施,包括密码保护、防病毒软件等。
第二级系统审计保护级:此级别适用于对计算机信息系统安全保护要求较高的用户,需要对系统进行审计,记录并分析安全事件,以保护系统的完整性和可用性。
第三级安全标记保护级:此级别适用于对计算机信息系统安全保护要求更高的用户,需要对客体进行安全标记,以确保在访问控制中强制执行安全策略。
第四级结构化保护级:此级别适用于对计算机信息系统安全保护要求极高的用户,需要采用结构化的安全保护措施,包括物理隔离、加密等。
第五级访问验证保护级:此级别适用于对计算机信息系统安全保护要求最高的用户,需要采用强制访问控制和多重身份验证等措施,以确保系统安全。
本标准适用于计算机信息系统安全保护技术能力等级的划分,随着安全保护等级的增高,计算机信息系统安全保护能力逐渐增强。
此标准引用了GB/T5271数据处理词汇标准,使用本标准的各方应尽可能使用最新版本的标准。
计算机信息系统是由计算机及其相关的和配套的设备、设施(包括网络)构成的人机系统,用于对信息进行采集、加工、存储、传输、检索等处理。
可信计算基是计算机信息系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体,用于建立一个基体的保护环境并提供可信计算系统所需的附加用户服务。
客体是信息的载体,主体是引起信息在客体之间流动的人、进程或设备等。
敏感标记是表示客体安全级别并描述客体数据敏感性的一组信息,可信计算基中将其作为强制访问控制决策的依据。
安全策略是有关管理、保护和发布敏感信息的法律、规定和实施细则。
信道是系统内的信息传输路径,而隐蔽信道是允许进程以危害系统安全策略的方式传输信息的通信信道。
访问监控器是监控器主体和客体之间授权访问关系的部件。
计算机信息系统可信计算基是一种安全保护机制,通过隔离用户与数据,使用户具备自主安全保护的能力。
计算机信息系统分级保护方案
方案1系统总体部署(1)涉密信息系统的组网模式为:服务器区、安全管理区、xx 共同连接至核心交换机上,组成类似于星型结构的网络模式,参照TCP/IP网络模型建立。
核心交换机上配置三层网关并划分Vlan,在服务器安全访问控制中间件以及防火墙上启用桥接模式,核心交换机、服务器安全访问控制中间件以及防火墙上设置安全访问控制策略(ACL),禁止部门间Vlan互访,允许部门Vlan与服务器Vlan通信。
核心交换机镜像数据至入侵检测系统以及网络安全审计系统;服务器区包含原有应用系统;安全管理区包含网络防病毒系统、主机监控与审计系统、windows域控及WSUS补丁分发系统、身份认证系统;xx 分包含所有业务部门。
服务器安全访问控制中间件防护的应用系统有:XXX系统、XXX系统、XXX系统、XXX系统以及XXX系统、。
防火墙防护的应用系统有:XXX、XXX系统、XXX系统、XXX系统以及XXX系统。
(2)邮件系统的作用是:进行信息的驻留转发,实现点到点的非实时通信。
完成集团内部的公文流转以及协同工作。
使用25、110端口,使用SMTP协议以及POP3协议,内网终端使用C/S模式登录邮件系统。
将内网用户使用的邮件账号在服务器群组安全访问控制中间件中划分到不同的用户组,针对不同的用户组设置安全级别,安全级别分为1-7级,可根据实际需求设置相应的级别。
1-7级的安全层次为:1级最低级,7级最高级,由1到7逐级增高。
即低密级用户可以向高密级用户发送邮件,高密级用户不得向低密级用户发送,保证信息流向的正确性,防止高密数据流向低密用户。
(3)针对物理风险,采取xx对射、xx报警、视频监控以及门禁系统进行防护。
针对电磁泄射,采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进行防护。
2 物理安全防护总体物理安全防护设计如下:(1)周边环境安全控制①XXX侧和XXX侧部署xx对射和入侵报警系统。
②部署视频监控,建立安防监控中心,重点部位实时监控。
信息系统等级保护 文档
需请相应级别、具有资质的测评中心进行风险评估; 风险评估完成后出具《评估报告》和《整改意见》;
流程四:等保方案设计思路
整改意见
1
需求分析
项目实施
建设目标 7 方案设计
最早等提保出系的统基设础计性时、的强主制要性依标据准:; 公安部作为等保系统建设、评测的重要依据
粒度一较个粗中,心是三一重个防指御导性标准;
内容概要
信息安全与等级保护 什么是等级保护 等级保护的国家政策与标准规范 等级保护的工作内容 等级保护的建设流程 等级保护各参与部门的角色定位
等级保护的建设目标
号
中共中央办公厅 国务院办公厅
公通字
[2019]66
公通字
[2019]43
公安部 号 国家保密局
国家密码管理委 员会办公室
号
(国家密码管理 局)
国务院信息化工 作办公室
公信安
[2019]861
号
内容及意义
第一次 提出信息系统要实行 等级保护,并确定了等级保 护的职责单位。
等级保护工作的开展必须分 步骤、分阶段、有计划的实 施。明确了信息安全等级保 护制度的 基本内容 。
强制访问控制 标记
隐蔽通道分析 可信路径
可信恢复
内容概要
信息安全与等级保护 什么是等级保护 等级保护的国家政策与标准规范 等级保护的工作内容 等级保护的建设流程 等级保护各参与部门的角色定位
等级保护的国家政策
颁布时间
1994 年 2月18日
2019 年 9月7日
2019 年 9月15日
计算机信息系统分级保护方案之欧阳语创编
方案1系统总体部署(1)涉密信息系统的组网模式为:服务器区、安全管理区、终端区共同连接至核心交换机上,组成类似于星型结构的网络模式,参照TCP/IP网络模型建立。
核心交换机上配置三层网关并划分Vlan,在服务器安全访问控制中间件以及防火墙上启用桥接模式,核心交换机、服务器安全访问控制中间件以及防火墙上设置安全访问控制策略(ACL),禁止部门间Vlan互访,允许部门Vlan与服务器Vlan通信。
核心交换机镜像数据至入侵检测系统以及网络安全审计系统;服务器区包含原有应用系统;安全管理区包含网络防病毒系统、主机监控与审计系统、windows域控及WSUS 补丁分发系统、身份认证系统;终端区分包含所有业务部门。
服务器安全访问控制中间件防护的应用系统有:XXX 系统、XXX系统、XXX系统、XXX系统以及XXX系统、。
防火墙防护的应用系统有:XXX、XXX系统、XXX系统、XXX系统以及XXX系统。
(2)邮件系统的作用是:进行信息的驻留转发,实现点到点的非实时通信。
完成集团内部的公文流转以及协同工作。
使用25、110端口,使用SMTP协议以及POP3协议,内网终端使用C/S模式登录邮件系统。
将内网用户使用的邮件账号在服务器群组安全访问控制中间件中划分到不同的用户组,针对不同的用户组设置安全级别,安全级别分为1-7级,可根据实际需求设置相应的级别。
1-7级的安全层次为:1级最低级,7级最高级,由1到7逐级增高。
即低密级用户可以向高密级用户发送邮件,高密级用户不得向低密级用户发送,保证信息流向的正确性,防止高密数据流向低密用户。
(3)针对物理风险,采取红外对射、红外报警、视频监控以及门禁系统进行防护。
针对电磁泄射,采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进行防护。
2 物理安全防护总体物理安全防护设计如下:(1)周边环境安全控制①XXX侧和XXX侧部署红外对射和入侵报警系统。
②部署视频监控,建立安防监控中心,重点部位实时监控。
计算机信息系统分级保护方案
计算机信息系统分级保护方案标准化工作室编码[XX968T-XX89628-XJ668-XT689N]方案1系统总体部署(1)涉密信息系统的组网模式为:服务器区、安全管理区、终端区共同连接至核心交换机上,组成类似于星型结构的网络模式,参照TCP/IP网络模型建立。
核心交换机上配置三层网关并划分Vlan,在服务器安全访问控制中间件以及防火墙上启用桥接模式,核心交换机、服务器安全访问控制中间件以及防火墙上设置安全访问控制策略(ACL),禁止部门间Vlan互访,允许部门Vlan与服务器Vlan通信。
核心交换机镜像数据至入侵检测系统以及网络安全审计系统;服务器区包含原有应用系统;安全管理区包含网络防病毒系统、主机监控与审计系统、windows域控及WSUS补丁分发系统、身份认证系统;终端区分包含所有业务部门。
服务器安全访问控制中间件防护的应用系统有:XXX系统、XXX系统、XXX系统、XXX系统以及XXX系统、。
防火墙防护的应用系统有:XXX、XXX系统、XXX系统、XXX系统以及XXX系统。
(2)邮件系统的作用是:进行信息的驻留转发,实现点到点的非实时通信。
完成集团内部的公文流转以及协同工作。
使用25、110端口,使用SMTP协议以及POP3协议,内网终端使用C/S模式登录邮件系统。
将内网用户使用的邮件账号在服务器群组安全访问控制中间件中划分到不同的用户组,针对不同的用户组设置安全级别,安全级别分为1-7级,可根据实际需求设置相应的级别。
1-7级的安全层次为:1级最低级,7级最高级,由1到7逐级增高。
即低密级用户可以向高密级用户发送邮件,高密级用户不得向低密级用户发送,保证信息流向的正确性,防止高密数据流向低密用户。
(3)针对物理风险,采取红外对射、红外报警、视频监控以及门禁系统进行防护。
针对电磁泄射,采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进行防护。
2 物理安全防护总体物理安全防护设计如下:(1)周边环境安全控制①XXX侧和XXX侧部署红外对射和入侵报警系统。
信息系统等级保护建设方案详细
边界接入平台终端安全保护系统建设方案2009年6月5日文件修改记录目录1项目建设的必要性 (5)1.1政策必要性 (5)1.2整体安全需要 (5)1.3合规性需要 (6)2法规、政策和技术依据 (7)2.1信息安全等级保护有关法规、政策、文件 (7)2.1.1《中华人民共和国计算机信息系统安全保护条例》(国务院147号令) (7)2.1.2《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号). 72.1.3《关于信息安全等级保护工作的实施意见》(公通字[2004]66号) (8)2.1.4《信息安全等级保护管理办法》(公通字[2007]43号) (9)2.1.5信息安全等级保护技术标准体系及其关系 (9)3终端安全防护系统功能介绍 (14)3.1终端安全防护系统(前置服务器版)功能介绍 (14)3.1.1强身份认证功能 (14)3.1.2多用户强制访问控制 (14)图3.1.3 用户权限控制示意图 (15)3.1.3应用系统安全封装 (17)3.1.4自主访问控制 (17)图3.1.4 文件保密柜示意图 (17)3.1.5数据保密性保护 (17)3.1.6系统完整性保护 (18)3.1.7行为审计监控 (18)3.1.8边界保护控制 (18)3.2终端安全防护系统(PC版)功能介绍 (19)3.2.1强身份认证功能 (19)3.2.2强制访问控制 (20)图3.2.2 用户权限控制示意图 (21)3.2.3自主访问控制 (22)图3.2.3 文件保密柜示意图 (22)3.2.4数据保密性保护 (23)3.2.5系统完整性保护 (23)3.2.6行为审计监控 (23)3.2.7边界保护控制 (24)4边界接入平台终端安全保护系统实施计划 (25)4.1统一规划,分步实施 (25)4.2实施产品列表 (25)4.3项目实施拓扑示意图 (25)1项目建设的必要性1.1政策必要性随着全球信息化进程的不断推进,我国政府及各行各业也在进行大量的信息系统的建设,这些信息系统已经成为国家重要的基础设施,因此,信息系统安全问题已经被提升到关系国家安全和国家主权的战略性高度,已引起党和国家领导以及社会各界的关注。
分级保护涉密信息(完整资料)
分级保护涉密信息一个计算机信息系统是否属于涉密信息系统,主要是看其系统里面的信息是否有涉及国家秘密的信息,不论其中的涉密信息是多还是少,只要是有(即存储、处理或传输了涉密信息),这个信息系统就是涉密信息系统。
但并非所有的涉密系统都是高安全等级的计算机信息系统;也并非所有的高安全等级的计算机信息系统都是涉密信息系统。
比如,一些企业的计算机信息系统为保护其商业秘密而采取了许多安全保密的技术和管理措施,达到了较高的安全等级,但由于其中没有涉及国家秘密的信息,就不能算是涉密信息系统;而有一些党政机关的涉密网,范围很小,只在一间或几间房内的若干台计算机联网,采取了较封闭的物理安全措施,与外界物理隔离,虽然没有采用更多的安全保密技术,系统安全等级并不是很高,但由于管理严密、安全可控,系统中又运行了国家秘密信息,这些系统就属于涉密信息系统。
——将涉密系统按照涉密程度分为绝密级、机密级、秘密级,实行分级保护。
分级保护针对的是涉密信息系统,根据涉密信息的涉密等级,涉密信息系统的重要性,遭到破坏后对国计民生造成的危害性,以及涉密信息系统必须达到的安全保护水平划分为秘密级、机密级和绝密级三个等级。
国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法和技术标准,目前,正在执行的两个分级保护的国家保密标准是BMB17《涉及国家秘密的信息系统分级保护技术要求》BMB20《涉及国家秘密的信息系统分级保护管理规范》。
国家保密科技测评中心是我国唯一的涉密信息系统安全保密测评机构。
——对涉密信息系统采取技术保护。
修订草案规定:涉密信息系统应当按照国家保密标准配备保密设施、设备。
保密设施、设备应当与涉密信息系统同步规划,同步建设,同步运行。
涉密信息系统投入使用前,应当经设区的市级以上保密行政管理部门检查合格。
——对涉密信息系统中应当遵守的保密行为做了严格规范,修订草案规定:不得将涉密计算机、涉密存储设备接入互联网及其他公共信息网络;不得在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换;不得使用非涉密计算机、非涉密存储设备存储和处理国家秘密信息;不得擅自卸载涉密信息系统的安全技术程序、管理程序;不得将未经安全技术处理退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃;不得在未采取保密措施的有线和无线通信、互联网及其他公共信息网络中传递国家秘密。
计算机信息系统分级保护方案
方案详细设计1系统总体部署(1)XX公司涉密信息系统的组网模式为:服务器区、安全管理区、终端区共同连接至核心交换机上,组成类似于星型结构的网络模式,参照TCP/IP网络模型建立。
核心交换机上配置三层网关并划分Vlan,在服务器安全访问控制中间件以及防火墙上启用桥接模式,核心交换机、服务器安全访问控制中间件以及防火墙上设置安全访问控制策略(ACL),禁止部门间Vlan互访,允许部门Vlan与服务器Vlan通信。
核心交换机镜像数据至入侵检测系统以及网络安全审计系统;服务器区包含XX公司原有应用系统;安全管理区包含网络防病毒系统、主机监控与审计系统、windows域控及WSUS补丁分发系统、身份认证系统;终端区分包含所有业务部门。
服务器安全访问控制中间件防护的应用系统有:XXX系统、XXX系统、XXX系统、XXX系统以及XXX系统、。
防火墙防护的应用系统有:XXX、XXX系统、XXX系统、XXX系统以及XXX系统。
(2)邮件系统的作用是:进行信息的驻留转发,实现点到点的非实时通信。
完成集团内部的公文流转以及协同工作。
使用25、110端口,使用SMTP协议以及POP3协议,内网终端使用C/S模式登录邮件系统。
将内网用户使用的邮件账号在服务器群组安全访问控制中间件中划分到不同的用户组,针对不同的用户组设置安全级别,安全级别分为1-7级,可根据实际需求设置相应的级别。
1-7级的安全层次为:1级最低级,7级最高级,由1到7逐级增高。
即低密级用户可以向高密级用户发送邮件,高密级用户不得向低密级用户发送,保证信息流向的正确性,防止高密数据流向低密用户。
(3)针对物理风险,采取红外对射、红外报警、视频监控以及门禁系统进行防护。
针对电磁泄射,采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进行防护。
2 物理安全防护总体物理安全防护设计如下:(1)周边环境安全控制①厂区XXX侧和XXX侧部署红外对射和入侵报警系统。
②部署视频监控,建立安防监控中心,重点部位实时监控。
《计算机信息系统安全保护等级划分准则》
GB17859-1999《计算机信息系统安全保护等级划分准则》发布时间:2009-07-23 作者:国家质量技术监督局1、范围本标准规定了计算机信息系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级;本标准适用于计算机信息系统安全保护技术能力等级的划分.计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强.2、引用标准下列标准所包含的条文,通过在标准中引用而构成本标准的条文.本标准出版时,所示版本均为有效.所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性.GB/T5271 数据处理词汇3、定义出本章定义外,其他未列出的定义见GB/T5271.3.1 计算机信息系统computer information system计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统.3.2计算机信息系统可信计算基trusted computing base of computer information system计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。
它建立了一个基体的保护环境并提供一个可信计算系统所要求的附加用户服务。
3.3 客体object信息的载体。
3.4 主体subject引起信息在客体之间流动的人、进程或设备等。
3.5 敏感标记sensitivity label表示客体安全级别并描述客体数据敏感性的一组信息,可信计算基中把敏感标记作为强制访问控制决策的依据。
3.6 安全策略security policy有关管理、保护和发布敏感信息的法律、规定和实施细则。
3.7 信道channel系统内的信息传输路径。
3.8 隐蔽信道covert channel允许进程以危害系统安全策略的方式传输信息的通信信道/3.9 访问监控器reference monitor监控器主体和客体之间授权访问关系的部件。
计算机信息系统安全保护等级划分则
计算机信息系统安全保护等级划分则全文共四篇示例,供读者参考第一篇示例:计算机信息系统安全保护等级划分是指根据信息系统的价值、敏感程度和风险等级,对信息系统进行分级分类,确定安全保护的等级和措施。
这种分类有助于系统管理员和安全专家更好地了解系统的风险和安全需求,制定相应的安全保护措施,确保信息系统的安全性和稳定性。
在计算机信息系统安全保护等级划分中,根据信息系统所处的环境和特点,通常可以划分为四个等级:一级、二级、三级和四级。
每个等级对应着不同的敏感程度和风险等级,需要采取不同的安全保护措施来保护系统的安全。
一级是最高级别的安全等级,通常适用于国家重要信息基础设施、涉及国家核心利益的信息系统等。
这类信息系统可能涉及国家安全、军事安全等重要领域,泄露或遭受攻击将对国家的安全和稳定产生严重影响。
一级信息系统需要采取最严格的安全措施,包括物理安全、网络安全、人员管理、数据加密等一系列措施。
二级是次高级别的安全等级,适用于一些重要部门、机构和企业的核心业务系统。
这类信息系统虽然不及一级信息系统那么敏感,但仍然涉及重要业务和数据,一旦遭受安全事故将对企业或机构的运行产生严重影响。
二级信息系统也需要采取相对较严格的安全措施,确保系统的稳定运行和数据的安全保密。
四级是最低级别的安全等级,通常适用于一些不太重要或临时性的信息系统。
这类信息系统对安全性要求较低,可以采取较为简单的安全措施来保护系统的基本安全。
在四级信息系统中,常见的安全措施包括定期备份、密码管理、审计等。
第二篇示例:计算机信息系统安全保护等级划分则是指针对计算机信息系统安全进行评定和分级,从而更好地保护计算机系统中的信息安全。
计算机信息系统是现代社会中不可或缺的重要组成部分,其安全性关乎国家、企业乃至个人的利益。
对计算机信息系统安全进行科学合理的划分等级,对于保障信息安全、防范网络攻击至关重要。
计算机信息系统安全保护等级划分则包括不同的等级。
根据国家有关规定和标准,通常可以划分为四个等级:特级、一级、二级和三级。
信息安全等级保护方案
2.第二级:对个人、法人及其他组织的合法权益造成中度损害,或对社会秩序和公共利益造成轻度损害。
3.第三级:对社会秩序和公共利益造成中度损害,或对国家安全造成轻度损害。
4.第四级:对国家安全造成中度损害。
5.第五级:对国家安全造成重大损害。
四、安全保护措施
5.第五级安全保护措施:
在第四级的基础上,根据实际情况,采取更加严格的安全保护措施,确保信息系统安全。
四、实施与监督
1.组织实施:明确责任分工,组织相关人员按照本方案实施信息安全等级保护工作。
2.定期检查:定期对信息系统进行安全检查,确保安全保护措施的有效性。
3.监督管理:建立健全信息安全监督管理制度,对信息系统安全保护工作进行持续监督。
1.第一级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
2.第二级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
3.第三级:信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
1.第一级保护措施:
-基础物理安全:采取必要措施保护信息系统硬件设备免受破坏。
-网络边界保护:部署防火墙、入侵检测系统等,防范外部攻击。
-基本主机安全:安装操作系统补丁,防范恶意代码。
-数据备份:定期备份数据,保障数据可恢复性。
-用户培训:提高用户安全意识,防止不当操作。
2.第二级保护措施:
-加强访问控制:实施身份认证、权限分配,防止未授权访问。
(3)安全漏洞管理:定期开展安全漏洞扫描和风险评估,及时修复安全漏洞。
计算机信息系统分级保护方案
方案1系统总体部署(1)涉密信息系统的组网模式为:服务器区、安全管理区、终端区共同连接至核心交换机上,组成类似于星型结构的网络模式,参照TCP/IP网络模型建立。
核心交换机上配置三层网关并划分Vlan,在服务器安全访问控制中间件以及防火墙上启用桥接模式,核心交换机、服务器安全访问控制中间件以及防火墙上设置安全访问控制策略(ACL),禁止部门间Vlan互访,允许部门Vlan与服务器Vlan通信。
核心交换机镜像数据至入侵检测系统以及网络安全审计系统;服务器区包含原有应用系统;安全管理区包含网络防病毒系统、主机监控与审计系统、windows域控及WSUS补丁分发系统、身份认证系统;终端区分包含所有业务部门。
服务器安全访问控制中间件防护的应用系统有:XXX系统、XXX系统、XXX 系统、XXX系统以及XXX系统、。
防火墙防护的应用系统有:XXX、XXX系统、XXX系统、XXX系统以及XXX系统。
(2)邮件系统的作用是:进行信息的驻留转发,实现点到点的非实时通信。
完成集团内部的公文流转以及协同工作。
使用25、110端口,使用SMTP协议以及POP3协议,内网终端使用C/S模式登录邮件系统。
将内网用户使用的邮件账号在服务器群组安全访问控制中间件中划分到不同的用户组,针对不同的用户组设置安全级别,安全级别分为1-7级,可根据实际需求设置相应的级别。
1-7级的安全层次为:1级最低级,7级最高级,由1到7逐级增高。
即低密级用户可以向高密级用户发送邮件,高密级用户不得向低密级用户发送,保证信息流向的正确性,防止高密数据流向低密用户。
(3)针对物理风险,采取红外对射、红外报警、视频监控以及门禁系统进行防护。
针对电磁泄射,采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进行防护。
2物理安全防护总体物理安全防护设计如下:(1)周边环境安全控制①XXX侧和XXX侧部署红外对射和入侵报警系统。
②部署视频监控,建立安防监控中心,重点部位实时监控。
计算机信息系统安全等级保护制度
计算机信息系统安全等级保护制度示例文章篇一:《计算机信息系统安全等级保护制度,你了解吗?》嘿,小伙伴们!你们知道计算机信息系统安全等级保护制度吗?这可太重要啦!就像我们住的房子,有不同的门锁和防护措施来保护我们的安全一样,计算机信息系统也需要这样的保护呢。
有一次,我好奇地问爸爸:“爸爸,计算机信息系统安全等级保护制度到底是啥呀?”爸爸笑着回答我:“宝贝,这就好比给计算机世界划分了不同的安全区域,每个区域都有相应的保护级别和措施。
”我眨巴着眼睛,还是不太明白。
爸爸接着说:“比如说,银行的计算机系统,那可必须是最高等级的保护,因为里面都是大家的钱钱呀,要是不安全,那不就糟糕啦?而我们家里用的电脑,可能就不需要那么高级别的保护,但也得有一定的防护,就像咱们家的门,也得有锁不是?”我似懂非懂地点点头,又问:“那怎么才能知道一个计算机系统该是哪个等级的保护呢?”爸爸耐心地解释:“这得根据很多方面来判断,像系统里的信息有多重要,被破坏了会有多大的影响等等。
”在学校里,老师也跟我们讲过这个。
老师说:“同学们,想象一下,如果学校的计算机系统被坏人入侵了,我们的成绩、个人信息都被偷走了,那多可怕呀!”大家都惊呼起来:“哎呀,那可不得了!”老师接着说:“所以呀,这个安全等级保护制度就是为了防止这样的事情发生。
”我突然想到,那如果没有这个制度,不就像在大街上随便乱跑,没有交通规则一样混乱吗?哎呀,那可真是不敢想象!我还听说,有些坏人专门攻击那些没有做好安全保护的计算机系统,窃取重要的信息,然后拿去做坏事。
这难道不可恶吗?这就像是小偷偷偷溜进别人家里偷东西一样坏!所以呀,这个计算机信息系统安全等级保护制度真的太重要啦!它就像一个超级英雄,保护着我们的计算机世界不被坏人破坏。
我们每个人都应该了解它,遵守它,让我们的计算机世界变得更加安全、更加美好。
小伙伴们,你们是不是也觉得这个制度很重要呢?示例文章篇二:《计算机信息系统安全等级保护制度,你了解吗?》嘿!同学们,你们听说过计算机信息系统安全等级保护制度吗?反正我之前是不太清楚的,可后来呀,我发现这东西还真重要!就像我们住的房子,有坚固的大门和结实的锁来保护我们的安全一样,计算机信息系统也需要保护。
计算机信息系统分级保护方案之欧阳引擎创编
方案欧阳引擎(2021.01.01)1系统总体部署(1)涉密信息系统的组网模式为:服务器区、安全管理区、终端区共同连接至核心交换机上,组成类似于星型结构的网络模式,参照TCP/IP网络模型建立。
核心交换机上配置三层网关并划分Vlan,在服务器安全访问控制中间件以及防火墙上启用桥接模式,核心交换机、服务器安全访问控制中间件以及防火墙上设置安全访问控制策略(ACL),禁止部门间Vlan互访,允许部门Vlan与服务器Vlan通信。
核心交换机镜像数据至入侵检测系统以及网络安全审计系统;服务器区包含原有应用系统;安全管理区包含网络防病毒系统、主机监控与审计系统、windows域控及WSUS补丁分发系统、身份认证系统;终端区分包含所有业务部门。
服务器安全访问控制中间件防护的应用系统有:XXX系统、XXX系统、XXX系统、XXX系统以及XXX系统、。
防火墙防护的应用系统有:XXX、XXX系统、XXX系统、XXX系统以及XXX系统。
(2)邮件系统的作用是:进行信息的驻留转发,实现点到点的非实时通信。
完成集团内部的公文流转以及协同工作。
使用25、110端口,使用SMTP协议以及POP3协议,内网终端使用C/S模式登录邮件系统。
将内网用户使用的邮件账号在服务器群组安全访问控制中间件中划分到不同的用户组,针对不同的用户组设置安全级别,安全级别分为1-7级,可根据实际需求设置相应的级别。
1-7级的安全层次为:1级最低级,7级最高级,由1到7逐级增高。
即低密级用户可以向高密级用户发送邮件,高密级用户不得向低密级用户发送,保证信息流向的正确性,防止高密数据流向低密用户。
(3)针对物理风险,采取红外对射、红外报警、视频监控以及门禁系统进行防护。
针对电磁泄射,采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进行防护。
2 物理安全防护总体物理安全防护设计如下:(1)周边环境安全控制①XXX侧和XXX侧部署红外对射和入侵报警系统。
②部署视频监控,建立安防监控中心,重点部位实时监控。
计算机信息系统分级保护方案之欧阳歌谷创编
欧阳歌谷创编 2021年2月1方案欧阳歌谷(2021.02.01)1系统总体部署(1)涉密信息系统的组网模式为:服务器区、安全管理区、终端区共同连接至核心交换机上,组成类似于星型结构的网络模式,参照TCP/IP网络模型建立。
核心交换机上配置三层网关并划分Vlan,在服务器安全访问控制中间件以及防火墙上启用桥接模式,核心交换机、服务器安全访问控制中间件以及防火墙上设置安全访问控制策略(ACL),禁止部门间Vlan互访,允许部门Vlan与服务器Vlan通信。
核心交换机镜像数据至入侵检测系统以及网络安全审计系统;服务器区包含原有应用系统;安全管理区包含网络防病毒系统、主机监控与审计系统、windows域控及WSUS补丁分发系统、身份认证系统;终端区分包含所有业务部门。
服务器安全访问控制中间件防护的应用系统有:XXX系统、XXX系统、XXX系统、XXX系统以及XXX系统、。
防火墙防护的应用系统有:XXX、XXX系统、XXX系统、XXX系统以及XXX系统。
(2)邮件系统的作用是:进行信息的驻留转发,实现点到点的非实时通信。
完成集团内部的公文流转以及协同工作。
使用25、110端口,使用SMTP协议以及POP3协议,内网终端使用C/S模式登录邮件系统。
将内网用户使用的邮件账号在服务器群组安全访问控制中间件中划分到不同的用户组,针对不同的用户组设置安全级别,安全级别分为1-7级,可根据实际需求设置相应的级别。
1-7级的安全层次为:1级最低级,7级最高级,由1到7逐级增高。
即低密级用户可以向高密级用户发送邮件,高密级用户不得向低密级用户发送,保证信息流向的正确性,防止高密数据流向低密用户。
(3)针对物理风险,采取红外对射、红外报警、视频监控以及门禁系统进行防护。
针对电磁泄射,采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进行防护。
2 物理安全防护总体物理安全防护设计如下:(1)周边环境安全控制①XXX侧和XXX侧部署红外对射和入侵报警系统。
计算机信息系统分级保护方案之欧阳地创编
方案1系统总体部署(1)涉密信息系统的组网模式为:服务器区、安全管理区、终端区共同连接至核心交换机上,组成类似于星型结构的网络模式,参照TCP/IP网络模型建立。
核心交换机上配置三层网关并划分Vlan,在服务器安全访问控制中间件以及防火墙上启用桥接模式,核心交换机、服务器安全访问控制中间件以及防火墙上设置安全访问控制策略(ACL),禁止部门间Vlan互访,允许部门Vlan与服务器Vlan通信。
核心交换机镜像数据至入侵检测系统以及网络安全审计系统;服务器区包含原有应用系统;安全管理区包含网络防病毒系统、主机监控与审计系统、windows域控及WSUS补丁分发系统、身份认证系统;终端区分包含所有业务部门。
服务器安全访问控制中间件防护的应用系统有:XXX 系统、XXX系统、XXX系统、XXX系统以及XXX系统、。
防火墙防护的应用系统有:XXX、XXX系统、XXX系统、XXX系统以及XXX系统。
(2)邮件系统的作用是:进行信息的驻留转发,实现点到点的非实时通信。
完成集团内部的公文流转以及协同工作。
使用25、110端口,使用SMTP协议以及POP3协议,内网终端使用C/S模式登录邮件系统。
将内网用户使用的邮件账号在服务器群组安全访问控制中间件中划分到不同的用户组,针对不同的用户组设置安全级别,安全级别分为1-7级,可根据实际需求设置相应的级别。
1-7级的安全层次为:1级最低级,7级最高级,由1到7逐级增高。
即低密级用户可以向高密级用户发送邮件,高密级用户不得向低密级用户发送,保证信息流向的正确性,防止高密数据流向低密用户。
(3)针对物理风险,采取红外对射、红外报警、视频监控以及门禁系统进行防护。
针对电磁泄射,采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进行防护。
2 物理安全防护总体物理安全防护设计如下:(1)周边环境安全控制①XXX侧和XXX侧部署红外对射和入侵报警系统。
②部署视频监控,建立安防监控中心,重点部位实时监控。
等级保护方案
等级保护方案1. 引言等级保护方案是指为确保信息系统的安全性,根据敏感性和重要性对信息进行分类并采取相应的保护措施的计划和策略。
该方案旨在识别、评估和处理不同级别信息的安全威胁,以确保敏感信息得到适当的保护。
本文档将介绍一个完整的等级保护方案,涵盖等级分级、保护措施和监控措施等方面,以保障信息系统的安全性。
2. 等级分级等级分级是信息系统保护方案的核心概念。
通过将信息系统中的数据和资源按照敏感性和重要性分类等级,可以为不同等级的信息提供不同的保护级别。
根据机密性和可用性的不同要求,我们将信息系统划分为以下等级:2.1 一级等级一级等级是最高级别的等级。
该等级适用于具有严格机密性要求的信息,例如国家机密级别的文件和安全相关的信息。
只有经过特定授权的人员才能访问和操作一级等级的信息。
2.2 二级等级二级等级适用于包含重要性较高的信息,需要控制访问权限以防止未经授权的访问。
这可能包括商业机密和个人身份信息等。
2.3 三级等级三级等级适用于普通商业信息和一般公开信息,这部分信息虽然不具备高机密性但仍然需要保护。
这可能包括公司组织结构、产品信息等。
根据实际情况和要求,可以根据需要增加或调整等级分级。
3. 保护措施为了确保信息的安全性和完整性,我们需要采取一系列的保护措施。
3.1 访问控制对于一级等级的信息,必须实施严格的访问控制,包括身份认证、双重身份验证、权限管理等。
只有得到授权的人员才能够访问和操作这些信息。
对于二级和三级等级的信息,也需要实施适当的访问控制措施,例如访问权限控制、访问日志记录等,以确保信息只能被授权人员获取。
3.2 数据加密对于敏感信息,应该使用加密技术来保护数据的机密性。
这可以防止未经授权访问者在未经授权的情况下获取敏感信息。
3.3 网络安全网络安全是保护信息系统的关键要素。
需要通过防火墙、入侵检测系统、漏洞扫描等技术来防范网络攻击,并定期更新和修补系统中的漏洞。
3.4 媒体保护对于存储敏感信息的媒体设备,例如硬盘、U盘等,应采取物理保护措施,例如加密存储、访问控制、备份和灭活等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机信息系统分级保护方案1 方案详细设计1系统总体部署(1)XX公司涉密信息系统的组网模式为:服务器区、安全管理区、终端区共同连接至核心交换机上,组成类似于星型结构的网络模式,参照TCP/IP网络模型建立。
核心交换机上配置三层网关并划分Vlan,在服务器安全访问控制中间件以及防火墙上启用桥接模式,核心交换机、服务器安全访问控制中间件以及防火墙上设置安全访问控制策略(ACL),禁止部门间Vlan互访,允许部门Vlan 与服务器Vlan通信。
核心交换机镜像数据至入侵检测系统以及网络安全审计系统;服务器区包含XX公司原有应用系统;安全管理区包含网络防病毒系统、主机监控与审计系统、windows域控及WSUS补丁分发系统、身份认证系统;终端区分包含所有业务部门。
服务器安全访问控制中间件防护的应用系统有:XXX系统、XXX系统、XXX 系统、XXX系统以及XXX系统、。
防火墙防护的应用系统有:XXX、XXX系统、XXX系统、XXX系统以及XXX系统。
(2)邮件系统的作用是:进行信息的驻留转发,实现点到点的非实时通信。
完成集团内部的公文流转以及协同工作。
使用25、110端口,使用SMTP协议以及POP3协议,内网终端使用C/S模式登录邮件系统。
将内网用户使用的邮件账号在服务器群组安全访问控制中间件中划分到不同的用户组,针对不同的用户组设置安全级别,安全级别分为1-7级,可根据实际需求设置相应的级别。
1-7级的安全层次为:1级最低级,7级最高级,由1到7逐级增高。
即低密级用户可以向高密级用户发送邮件,高密级用户不得向低密级用户发送,保证信息流向的正确性,防止高密数据流向低密用户。
(3)针对物理风险,采取红外对射、红外报警、视频监控以及门禁系统进行防护。
针对电磁泄射,采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进行防护。
2 物理安全防护总体物理安全防护设计如下:(1)周边环境安全控制①厂区XXX侧和XXX侧部署红外对射和入侵报警系统。
②部署视频监控,建立安防监控中心,重点部位实时监控。
具体部署见下表:(2)要害部门部位安全控制增加电子门禁系统,采用智能IC卡和口令相结合的管理方式。
具体防护措施如下表所示:表1-2 要害部门部位安全建设(3)电磁泄漏防护建设内容包括:①为使用非屏蔽双绞线的链路加装线路干扰仪。
②为涉密信息系统内的终端和服务器安装红黑电源隔离插座。
③为视频信号电磁泄漏风险较大的终端安装视频干扰仪。
通过以上建设,配合《XX公司安防管理制度》以及《XX 公司电磁泄漏防护管理制度》,使得XX公司达到物理安全防范到位、重要视频监控无死角、进出人员管理有序、实体入侵报警响应及时以及电磁泄漏信号无法捕捉、无法还原。
2.1 红外对射(1)部署增加红外对射装置,防护厂区边界,具体部署位置如下表:表1-1 红外对射部署统计表部署方式如下图所示:图1-2 红外对射设备设备成对出现,在安装地点双向对置,调整至相同水平位置。
(2)第一次运行策略红外对射24小时不间断运行,当有物体通过,光线被遮挡,接收机信号发生变化,放大处理后报警。
设置合适的响应时间,以10米/秒的速度来确定最短遮光时间;设置人的宽度为20厘米,则最短遮断时间为20毫秒,大于20毫秒报警,小于20毫秒不报警。
(3)设备管理及策略红外对射设备由厂区公安处负责管理,实时监测设备运行情况及设备相应情况,定期对设备及传输线路进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险解决重点部位监控及区域控制相关风险。
2.2 红外报警(1)部署增加红外报警装置,对保密要害部位实体入侵风险进行防护、报警,具体部署位置如下表:表1-2 红外报警部署统计表设备形态如下图所示:图1-3 红外报警设备部署在两处房间墙壁角落,安装高度距离地面2.0-2.2米。
(2)第一次运行策略红外报警24小时不间断运行,设置检测37℃特征性10µm 波长的红外线,远离空调、暖气等空气温度变化敏感的地方,不间隔屏、家具或其他隔离物,不直对窗口,防止窗外的热气流扰动和人员走动会引起误报。
(3)设备管理及策略红外报警设备由厂区公安处负责管理,监测设备运行情况及设备相应情况,定期对设备进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险解决重点部位监控及区域控制相关风险。
2.3 视频监控(1)部署增加视频监控装置,对厂区周界、保密要害部门部位的人员出入情况进行实时监控,具体部署位置如下表:表1-3 视频监控部署统计表设备形态如下图所示:图1-4 视频监控设备视频监控在室外采用云台枪机式设备,室内采用半球式设备,部署在房间墙壁角落,覆盖门窗及重点区域。
增加32路嵌入式硬盘录像机一台,用于对视频采集信息的收集和压缩存档。
设备形态如下图所示:图1-5 硬盘录像机(2)第一次运行策略视频监控24小时不间断运行,设置视频采集格式为MPEG-4,显示分辨率768*576,存储、回放分辨率384*288。
(3)设备管理及策略视频监控设备由厂区公安处负责管理,实时监测设备运行情况及设备相应情况,定期对设备及传输线路进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险解决重点部位监控及区域控制相关风险。
2.4 门禁系统(1)部署增加门禁系统,对保密要害部门部位人员出入情况进行控制,并记录日志,具体部署位置如下表:表1-4 门禁系统部署统计表计算机信息系统分级保护方案1第2页部署示意图如下图所示:图1-6 门禁系统部署方式(2)第一次运行策略对每个通道设置权限,制作门禁卡,对可以进出该通道的人进行进出方式的授权,采取密码+读卡方式;设置可以通过该通道的人在什么时间范围内可以进出;实时提供每个门区人员的进出情况、每个门区的状态(包括门的开关,各种非正常状态报警等),设置在紧急状态打开或关闭所有门区的功能;设置防尾随功能。
(3)设备管理及策略门禁系统由厂区公安处负责管理,定期监测设备运行情况及设备相应情况,对设备及传输线路进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险解决重点部位监控及区域控制相关风险。
2.5 线路干扰仪(1)部署增加8口线路干扰仪,防护传输数据沿网线以电磁传导、辐射发射、耦合等方式泄漏的情况。
将从交换机引至其布线最远端以及次远端的线缆插接至线路干扰仪,并由线路干扰仪连接至最远端和次远端,将该设备进行接地处理。
具体部署位置如下表:表1-6 线路干扰仪部署统计表设备形态如下图所示:图1-11 线路干扰仪设备(2)第一次运行策略在网线中一对空线对上注入伪随机宽带扫频加扰信号, 使之能跟随其他三对网线上的信号并行传输到另一终端;窃密者若再从网线或其他与网络干线相平行的导线(如电话线及电源线等)上窃取信息,实际上所窃得的仅是已被加扰信号充分湮没了的混合信号。
(3)设备管理及策略线路干扰仪由信息中心负责管理,对设备编号、标识密级、摆放、调测、定期对设备及传输线路进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险解决传输线路的电磁泄漏发射防护相关风险。
2.6 视频干扰仪(1)部署增加视频干扰仪,防止对涉密终端视频信息的窃取,对XXX 号楼存在的涉密终端部署,将该设备进行接地处理。
、具体部署位置如下表:设备形态如下图所示:图1-12 视频干扰仪设备(2)第一次运行策略设置设备运行频率为1000MHz。
(3)设备管理及策略视频干扰仪由信息中心负责管理,监测设备运行情况及设备相应情况,定期对设备进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险解决信息设备的电磁泄漏发射防护相关风险。
2.7 红黑电源隔离插座(1)部署增加红黑电源隔离插座,防护电源电磁泄漏,连接的红黑电源需要进行接地处理。
具体部署位置如下表:产品形态如下图所示:图1-13 红黑电源隔离插座(2)运行维护策略XX公司要求所有涉密机均直接连接至红黑电源上,红黑电源上不得插接其他设备。
安装在涉密终端及涉密单机的红黑隔离电源由使用者维护,安装在服务器的由信息中心维护,出现问题向保密办报告。
(4)部署后解决的风险解决信息设备的电磁泄漏发射防护相关风险。
3 网络安全防护3.1 网闸XX公司使用1台网闸连接主中心以及从属中心,用于安全隔离及信息交换。
(1)部署部署1台网闸于主中心及从属中心核心交换机之间,做单向访问控制与信息交互。
设备启用路由模式,通过路由转发连接主中心以及从属中心,从物理层到应用层终结所有的协议包,还原成原始应用数据,以完全私有的方式传递到另一个网络,主中心以及从属中心之间在任一时刻点上都不产生直接的物理连通。
部署拓扑示意图如下:网闸从属中心核心交换机主中心核心交换机图1-8 网闸部署拓扑示意图(2)第一次运行策略配置从属中心访问主中心的权限,允许从属中心特定地址访问主中心所有服务器,允许其他地址访问公司内部门户以及人力资源系统,配置访问内部门户SQL server数据库服务器,禁止其他所有访问方式。
配置网闸病毒扫描,对流经网闸设备数据进行病毒安全扫描。
配置系统使用Https方式管理,确保管理安全。
(3)设备管理及策略网闸设备按照《XX公司网闸运维管理制度》进行管理。
a、由信息中心管理网闸设备,分别设置管理员、安全保密管理员、安全审计员的口令,由“三员”分别管理。
b、由信息中心对网闸设备进行编号、标识密级、安放至安全管理位置。
c、信息中心负责网闸设备的日常运行维护,每周登陆设备查看设备配置、设备自身运行状态、转发数据量状态、系统日志等内容。
d、信息中心发现异常情况及时通报保密办,并查找问题原因,各部门配合信息中心及时解决问题。
e、信息中心负责网闸设备的维修管理,设备出现问题,通知保密办,获得批准后,负责设备的维修管理。
(4)部署后解决的风险解决两网互联的边界防护问题,对应用的访问进行细粒度的控制,各自隔离,两网在任一时刻点上都不产生直接的物理连通。
3.2 防火墙XX公司涉密信息系统采用防火墙系统1台进行边界防护,用于XX公司涉密信息系统网关的安全控制、网络层审计等。
防火墙系统部署于从属中心。
XX公司原有防火墙部署于主中心,不做调整。
(1)部署使用防火墙系统限制从属中心终端访问机密级服务器的权限,并且记录所有与服务器区进行交互的日志。
防火墙的eth1口、eth2口设置为透明模式,配置桥接口fwbridge0 IP地址,配置管理方式为https方式,打开多VLAN开关,打开tcp、udp、ICMP广播过滤。
防火墙的日志数据库安装在安全管理服务器上。
部署拓扑示意图如下:防火墙核心交换机图1-9 防火墙部署示意图(2)第一次运行策略。