计算机信息系统分级保护方案
分级保护涉密信息
分级保护涉密信息一个计算机信息系统是否属于涉密信息系统,主要是看其系统里面的信息是否有涉及国家秘密的信息,不论其中的涉密信息是多还是少,只要是有(即存储、处理或传输了涉密信息),这个信息系统就是涉密信息系统。
但并非所有的涉密系统都是高安全等级的计算机信息系统;也并非所有的高安全等级的计算机信息系统都是涉密信息系统。
比如,一些企业的计算机信息系统为保护其商业秘密而采取了许多安全保密的技术和管理措施,达到了较高的安全等级,但由于其中没有涉及国家秘密的信息,就不能算是涉密信息系统;而有一些党政机关的涉密网,范围很小,只在一间或几间房内的若干台计算机联网,采取了较封闭的物理安全措施,与外界物理隔离,虽然没有采用更多的安全保密技术,系统安全等级并不是很高,但由于管理严密、安全可控,系统中又运行了国家秘密信息,这些系统就属于涉密信息系统。
——将涉密系统按照涉密程度分为绝密级、机密级、秘密级,实行分级保护。
分级保护针对的是涉密信息系统,根据涉密信息的涉密等级,涉密信息系统的重要性,遭到破坏后对国计民生造成的危害性,以及涉密信息系统必须达到的安全保护水平划分为秘密级、机密级和绝密级三个等级。
国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法和技术标准,目前,正在执行的两个分级保护的国家保密标准是BMB17《涉及国家秘密的信息系统分级保护技术要求》BMB20《涉及国家秘密的信息系统分级保护管理规范》。
国家保密科技测评中心是我国唯一的涉密信息系统安全保密测评机构。
——对涉密信息系统采取技术保护。
修订草案规定:涉密信息系统应当按照国家保密标准配备保密设施、设备。
保密设施、设备应当与涉密信息系统同步规划,同步建设,同步运行。
涉密信息系统投入使用前,应当经设区的市级以上保密行政管理部门检查合格。
——对涉密信息系统中应当遵守的保密行为做了严格规范,修订草案规定:不得将涉密计算机、涉密存储设备接入互联网及其他公共信息网络;不得在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换;不得使用非涉密计算机、非涉密存储设备存储和处理国家秘密信息;不得擅自卸载涉密信息系统的安全技术程序、管理程序;不得将未经安全技术处理退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃;不得在未采取保密措施的有线和无线通信、互联网及其他公共信息网络中传递国家秘密。
信息系统安全等级保护
等级保护要求的组合
安全保护等级定级参考
1)一级,小型私营、个体企业、中小学,乡镇所属信息系统,县级单位一般的信息系统 2)二级,县级某些单位重要信息系统;地市级以上国家机关、企事业单位内部一般信息系统 (例如非涉及工作、商业秘密,敏感信息的办公系统和管理系统) 3)三级,地市级以上国家机关、企事业单位内部重要信息系统(例如涉及工作、商业秘密, 敏感信息的办公系统和管理系统)。跨省或全国联网运行的用于生产、调度、管理、控制等 方面的重要系统及在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站 4)四级,国家重要领域、重要部门中的特别重要系统以及核心系统,电力、电信、广电、税 务等 5)五级,国家重要领域、重要部门中的极端重要系统
- 在信息系统确定安全保护等级过程中,可以进行必要的业务和技术评估,组织专家进行咨询评 审。对拟确定为第四级以上的信息系统的运营、使用单位或主管部门应当邀请国家信息安全等级 保护专家评审委员会评审。
- 第二级以上信息系统由其运营使用单位到所在地设区的市级以上公安机关办理备案手续。隶属 于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部 门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统, 应当向当地设区的市级以上公安机关备案。
▪ 《涉及国家秘密计算机信息系统安全保密
涉方密案信设计息指系南》统B安MB全23-保20障08 建设 ▪指《管南涉 理及 规国 范》家B秘M密B计20算-2机0信07息系统分级保护
▪ 《涉及国家秘密的信息系统分级保护测评 指南》BMB22—2007
▪ 《涉及国家秘密计算机信息系统分级保护 管理办法 》国家保密局16号
等级保护的主要工作流程
信息安全等级保护管理办法
(公通字[2022 ] 43 号)第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条公安机关负责信息安全等级保护工作的监督、检查、指导。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条信息系统主管部门应当依照本办法及相关标准规范,催促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第六条国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成伤害,但不伤害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重伤害,或者对社会秩序和公共利益造成伤害,但不伤害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重伤害,或者对国家安全造成伤害.第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特殊严重伤害,或者对国家安全造成严重伤害。
计算机信息系统分级保护方案
方案1系统总体部署(1)涉密信息系统的组网模式为:服务器区、安全管理区、xx 共同连接至核心交换机上,组成类似于星型结构的网络模式,参照TCP/IP网络模型建立。
核心交换机上配置三层网关并划分Vlan,在服务器安全访问控制中间件以及防火墙上启用桥接模式,核心交换机、服务器安全访问控制中间件以及防火墙上设置安全访问控制策略(ACL),禁止部门间Vlan互访,允许部门Vlan与服务器Vlan通信。
核心交换机镜像数据至入侵检测系统以及网络安全审计系统;服务器区包含原有应用系统;安全管理区包含网络防病毒系统、主机监控与审计系统、windows域控及WSUS补丁分发系统、身份认证系统;xx 分包含所有业务部门。
服务器安全访问控制中间件防护的应用系统有:XXX系统、XXX系统、XXX系统、XXX系统以及XXX系统、。
防火墙防护的应用系统有:XXX、XXX系统、XXX系统、XXX系统以及XXX系统。
(2)邮件系统的作用是:进行信息的驻留转发,实现点到点的非实时通信。
完成集团内部的公文流转以及协同工作。
使用25、110端口,使用SMTP协议以及POP3协议,内网终端使用C/S模式登录邮件系统。
将内网用户使用的邮件账号在服务器群组安全访问控制中间件中划分到不同的用户组,针对不同的用户组设置安全级别,安全级别分为1-7级,可根据实际需求设置相应的级别。
1-7级的安全层次为:1级最低级,7级最高级,由1到7逐级增高。
即低密级用户可以向高密级用户发送邮件,高密级用户不得向低密级用户发送,保证信息流向的正确性,防止高密数据流向低密用户。
(3)针对物理风险,采取xx对射、xx报警、视频监控以及门禁系统进行防护。
针对电磁泄射,采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进行防护。
2 物理安全防护总体物理安全防护设计如下:(1)周边环境安全控制①XXX侧和XXX侧部署xx对射和入侵报警系统。
②部署视频监控,建立安防监控中心,重点部位实时监控。
计算机信息系统分级保护方案完整篇.doc
计算机信息系统分级保护方案1 方案详细设计1系统总体部署(1)XX公司涉密信息系统的组网模式为:服务器区、安全管理区、终端区共同连接至核心交换机上,组成类似于星型结构的网络模式,参照TCP/IP网络模型建立。
核心交换机上配置三层网关并划分Vlan,在服务器安全访问控制中间件以及防火墙上启用桥接模式,核心交换机、服务器安全访问控制中间件以及防火墙上设置安全访问控制策略(ACL),禁止部门间Vlan互访,允许部门Vlan 与服务器Vlan通信。
核心交换机镜像数据至入侵检测系统以及网络安全审计系统;服务器区包含XX公司原有应用系统;安全管理区包含网络防病毒系统、主机监控与审计系统、windows域控及WSUS补丁分发系统、身份认证系统;终端区分包含所有业务部门。
服务器安全访问控制中间件防护的应用系统有:XXX系统、XXX系统、XXX 系统、XXX系统以及XXX系统、。
防火墙防护的应用系统有:XXX、XXX系统、XXX系统、XXX系统以及XXX系统。
(2)邮件系统的作用是:进行信息的驻留转发,实现点到点的非实时通信。
完成集团内部的公文流转以及协同工作。
使用25、110端口,使用SMTP协议以及POP3协议,内网终端使用C/S模式登录邮件系统。
将内网用户使用的邮件账号在服务器群组安全访问控制中间件中划分到不同的用户组,针对不同的用户组设置安全级别,安全级别分为1-7级,可根据实际需求设置相应的级别。
1-7级的安全层次为:1级最低级,7级最高级,由1到7逐级增高。
即低密级用户可以向高密级用户发送邮件,高密级用户不得向低密级用户发送,保证信息流向的正确性,防止高密数据流向低密用户。
(3)针对物理风险,采取红外对射、红外报警、视频监控以及门禁系统进行防护。
针对电磁泄射,采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进行防护。
2 物理安全防护总体物理安全防护设计如下:(1)周边环境安全控制①厂区XXX侧和XXX侧部署红外对射和入侵报警系统。
分级保护方案设计详细讲解
iiu第三章安全保密风险分析3.1脆弱性分析脆弱性是指资产或资产组中能被威胁所利用的弱点,它包括物理环境、组织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面。
脆弱性是资产本身存在的,如果没有被相应的威胁利用,单纯的脆弱性本身不会对资产造成损害,而且如果系统足够强健,严重的威胁也不会导致安全事件发生,并造成损失。
威胁总是要利用资产的脆弱性才可能造成危害。
资产的脆弱性具有隐蔽性,有些脆弱性只有在一定条件和环境下才能显现,这是脆弱性识别中最为困难的部分。
不正确的、起不到任何作用的或没有正确实施的安全措施本身就可能是一个弱点,脆弱性是风险产生的内在原因,各种安全薄弱环节、安全弱点自身并不会造成什么危害,它们只有在被各种安全威胁利用后才可能造成相应的危害。
针对XXX机关涉密信息系统,我们主要从技术和管理两个方面分析其存在的安全脆弱性。
3.1.1 技术脆弱性1. 物理安全脆弱性:环境安全:物理环境的安全是整个基地涉密信息系统安全得以保障的前提。
如果物理安全得不到保障,那么网络设备、设施、介质和信息就容易受到自然灾害、环境事故以及人为物理操作失误或错误等各种物理手段的破坏,造成有价值信息的丢失。
目前各级XXX企业的中心机房大部分采用独立的工作空间,并且能够达到国家标准GB50174.1993《电子计算机机房设计规范》、GB2887.1989《计算机场地技术条件》、GB9361.1998《计算站场地安全要求》和BMBl7—2006《涉及国家秘密的信息系统分级保护技术要求》等要求。
设备安全:涉密信息系统的中心机房均按照保密标准要求采取了安全防范措施,防止非授权人员进入,避免设备发生被盗、被毁的安全事故。
介质安全:目前各级XXX企业的软磁盘、硬盘、光盘、磁带等涉密媒体按所存储信息的最高密级标明密级,并按相应的密级管理。
2. 运行安全脆弱性分析备份与恢复:备份与恢复是保证涉密信息系统运行安全的一个不可忽视问题,当遇到(如火灾、水灾等)不可抗因素,不会造成关键业务数据无法恢复的惨痛局面。
信息安全等级保护管理办法
??? (五)对国家安全、社会秩序、公共利益不构成危害;
??? (六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。
???第二十二条第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评:
???第十五条已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
??? 隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
???第十一条信息系统的安全保护等级确定后,运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。
??? 第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
??? 第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
??? 第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
信息等保管理制度
一、总则为加强信息安全管理,保护信息安全,提高信息系统的完整性、保密性和可用性,保障信息系统的正常运行,根据《中华人民共和国网络安全法》、《信息安全等级保护管理办法》等有关法律法规和国家标准,结合本单位的实际情况,制定本制度。
二、适用范围本制度适用于本单位的所有信息系统,包括硬件设备、软件系统、网络设备等。
同时,本制度适用于所有使用本单位信息系统的人员,包括内部人员和外部人员。
三、信息安全等级管理1. 对于本单位的信息系统,根据其安全性质和安全需求,划分为不同的等级。
具体等级划分和等级涉密信息的保护要求,按照国家标准《信息安全等级保护管理办法》进行落实。
2. 每个信息系统的管理员应当根据信息系统的等级要求,建立相应的安全管理制度和安全措施,确保信息系统的安全运行。
3. 对于信息系统的安全等级变更、维护、升级等情况,应当及时向上级主管部门报告,并按照相关要求做好相应的安全调整和改进。
四、人员管理1. 本单位所有使用信息系统的人员,应当接受相关的信息安全培训,了解信息安全管理制度和安全使用规范,提高信息安全意识,保护信息系统的安全。
2. 对于信息系统管理员、操作人员等关键人员,应当进行专门的信息安全培训和考核,确保其具备必要的安全管理和应急处理能力。
3. 严格控制信息系统的权限分配,根据需要设定不同的权限级别,并定期对权限进行审计和调整。
五、设备管理1. 所有信息系统的设备,应当符合国家安全技术要求,定期进行安全检测和评估,确保设备的正常运行和安全可靠。
2. 对于重要的信息系统设备,应当建立完善的备份和恢复系统,确保在发生意外事件时能够及时恢复数据和系统。
3. 对于信息系统设备的更新、维护和安全补丁的安装,应当按照相关要求进行,保障设备的安全和稳定。
1. 对于本单位的网络设备,应当建立专门的安全隔离和防护机制,保护网络的安全和稳定。
2. 对于网络的通信安全,应当建立加密通道,保护数据的传输安全,防止数据被窃取和篡改。
信息系统安全等级保护标准体系
信息系统安全等级保护标准体系信息系统安全等级保护标准体系是指根据《中华人民共和国网络安全法》和《信息系统安全等级保护管理办法》,结合国家信息安全等级保护标准,对信息系统按照其承载信息的重要性和保密等级,划分为不同的安全等级,并对不同安全等级的信息系统提出相应的安全保护要求和措施的一套标准体系。
信息系统安全等级保护标准体系的建立和实施,对于保障国家重要信息基础设施和关键信息系统的安全运行,维护国家安全和社会稳定,具有重要意义。
首先,信息系统安全等级保护标准体系的建立,能够有力地提高国家信息系统的整体安全水平。
通过对信息系统进行安全等级划分和分类管理,可以根据信息系统承载的信息重要性和保密等级,有针对性地制定相应的安全保护要求和措施,从而有效地提高信息系统的安全性和可靠性。
其次,信息系统安全等级保护标准体系的建立,有利于加强对关键信息基础设施和关键信息系统的保护。
针对国家重要信息基础设施和关键信息系统,可以通过严格的安全等级划分和保护要求,加强对其安全运行的监测和管理,有效地防范和应对各类网络安全威胁和风险,确保其安全稳定运行。
此外,信息系统安全等级保护标准体系的建立,有助于促进信息系统安全保护工作的规范化和标准化。
通过统一的安全等级划分标准和保护要求,可以使各类信息系统的安全保护工作更加规范和标准化,为相关安全管理和技术人员提供明确的指导和依据,提高安全管理工作的科学性和有效性。
总的来说,信息系统安全等级保护标准体系的建立和实施,对于提高信息系统整体安全水平,加强关键信息基础设施和关键信息系统的保护,促进安全保护工作的规范化和标准化,都具有重要意义和价值。
希望各相关单位和部门能够充分重视信息系统安全等级保护标准体系的建设和实施,切实加强对信息系统安全的管理和保护,共同维护国家信息安全和社会稳定。
分级保护涉密信息(完整资料)
分级保护涉密信息一个计算机信息系统是否属于涉密信息系统,主要是看其系统里面的信息是否有涉及国家秘密的信息,不论其中的涉密信息是多还是少,只要是有(即存储、处理或传输了涉密信息),这个信息系统就是涉密信息系统。
但并非所有的涉密系统都是高安全等级的计算机信息系统;也并非所有的高安全等级的计算机信息系统都是涉密信息系统。
比如,一些企业的计算机信息系统为保护其商业秘密而采取了许多安全保密的技术和管理措施,达到了较高的安全等级,但由于其中没有涉及国家秘密的信息,就不能算是涉密信息系统;而有一些党政机关的涉密网,范围很小,只在一间或几间房内的若干台计算机联网,采取了较封闭的物理安全措施,与外界物理隔离,虽然没有采用更多的安全保密技术,系统安全等级并不是很高,但由于管理严密、安全可控,系统中又运行了国家秘密信息,这些系统就属于涉密信息系统。
——将涉密系统按照涉密程度分为绝密级、机密级、秘密级,实行分级保护。
分级保护针对的是涉密信息系统,根据涉密信息的涉密等级,涉密信息系统的重要性,遭到破坏后对国计民生造成的危害性,以及涉密信息系统必须达到的安全保护水平划分为秘密级、机密级和绝密级三个等级。
国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法和技术标准,目前,正在执行的两个分级保护的国家保密标准是BMB17《涉及国家秘密的信息系统分级保护技术要求》BMB20《涉及国家秘密的信息系统分级保护管理规范》。
国家保密科技测评中心是我国唯一的涉密信息系统安全保密测评机构。
——对涉密信息系统采取技术保护。
修订草案规定:涉密信息系统应当按照国家保密标准配备保密设施、设备。
保密设施、设备应当与涉密信息系统同步规划,同步建设,同步运行。
涉密信息系统投入使用前,应当经设区的市级以上保密行政管理部门检查合格。
——对涉密信息系统中应当遵守的保密行为做了严格规范,修订草案规定:不得将涉密计算机、涉密存储设备接入互联网及其他公共信息网络;不得在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换;不得使用非涉密计算机、非涉密存储设备存储和处理国家秘密信息;不得擅自卸载涉密信息系统的安全技术程序、管理程序;不得将未经安全技术处理退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃;不得在未采取保密措施的有线和无线通信、互联网及其他公共信息网络中传递国家秘密。
计算机信息系统分级保护方案
方案详细设计1系统总体部署(1)XX公司涉密信息系统的组网模式为:服务器区、安全管理区、终端区共同连接至核心交换机上,组成类似于星型结构的网络模式,参照TCP/IP网络模型建立。
核心交换机上配置三层网关并划分Vlan,在服务器安全访问控制中间件以及防火墙上启用桥接模式,核心交换机、服务器安全访问控制中间件以及防火墙上设置安全访问控制策略(ACL),禁止部门间Vlan互访,允许部门Vlan与服务器Vlan通信。
核心交换机镜像数据至入侵检测系统以及网络安全审计系统;服务器区包含XX公司原有应用系统;安全管理区包含网络防病毒系统、主机监控与审计系统、windows域控及WSUS补丁分发系统、身份认证系统;终端区分包含所有业务部门。
服务器安全访问控制中间件防护的应用系统有:XXX系统、XXX系统、XXX系统、XXX系统以及XXX系统、。
防火墙防护的应用系统有:XXX、XXX系统、XXX系统、XXX系统以及XXX系统。
(2)邮件系统的作用是:进行信息的驻留转发,实现点到点的非实时通信。
完成集团内部的公文流转以及协同工作。
使用25、110端口,使用SMTP协议以及POP3协议,内网终端使用C/S模式登录邮件系统。
将内网用户使用的邮件账号在服务器群组安全访问控制中间件中划分到不同的用户组,针对不同的用户组设置安全级别,安全级别分为1-7级,可根据实际需求设置相应的级别。
1-7级的安全层次为:1级最低级,7级最高级,由1到7逐级增高。
即低密级用户可以向高密级用户发送邮件,高密级用户不得向低密级用户发送,保证信息流向的正确性,防止高密数据流向低密用户。
(3)针对物理风险,采取红外对射、红外报警、视频监控以及门禁系统进行防护。
针对电磁泄射,采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进行防护。
2 物理安全防护总体物理安全防护设计如下:(1)周边环境安全控制①厂区XXX侧和XXX侧部署红外对射和入侵报警系统。
②部署视频监控,建立安防监控中心,重点部位实时监控。
信息安全等级保护管理办法
信息安全等级保护管理办法(公通字[2007]43号)第一章总则第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条公安机关负责信息安全等级保护工作的监督、检查、指导。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导.国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理.国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害.第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
计算机和信息系统安全保密管理规定
信息系统安全保密管理制度第一章总则第一条为加强公司信息化系统(包括涉密信息系统和非涉密信息系统)安全保密管理,确保国家秘密及公司商业秘密的安全,根据国家有关保密法规标准和中国华电集团公司有关规定,特制定本规定。
第二条本规定所称涉密信息系统是指由计算机及其相关的配套设备、设施构成的,按照一定的应用目标和规定存储、处理、传输涉密信息的系统或网络,包括机房、网络设备、软件、网络线路、用户终端、存储介质等内容。
第三条涉密信息系统的建设和应用要本着“预防为主、分级负责、科学管理、保障安全”的方针,坚持“谁主管、谁负责,谁使用、谁负责”和“控制源头、归口管理、加强检查、落实制度”的原则,确保涉密信息系统和国家秘密信息安全。
第四条涉密信息系统安全保密防护必须严格按照国家保密标准、规定和集团公司文件要求进行设计、实施、测评审查与审批和验收;未通过国家审批的涉密信息系统,不得投入使用。
第五条本规定适用于公司所有信息系统安全保密管理工作。
第二章组织机构与职责第六条公司成立信息系统安全保密组织机构,人员结构与信息化领导小组和办公室成员相同,信息化领导小组成员即为信息系统安全保密领导小组成员,信息化办公室成员即为信息系统安全保密办公室成员。
1、信息系统安全保密领导小组组长:副组长:组员:2、信息系统安全保密办公室主任:副主任:成员:第七条信息系统安全保密领导小组主要职责公司信息系统安全保密领导小组是涉密信息系统安全保密管理决策机构,其主要职责:(一)建立健全信息系统安全保密管理制度,并监督检查落实情况;(二)协调处理有关涉密信息系统安全保密管理的重大问题,对重大失泄密事件进行查处。
第八条信息系统安全保密办公室(简称保密办)主要职责:(一)拟定信息系统安全保密管理制度,并组织落实各项保密防范措施;(二)对系统用户和安全保密管理人员进行资格审查和安全保密教育培训,审查涉密信息系统用户的职责和权限,并备案;(三)组织对涉密信息系统进行安全保密监督检查和风险评估,提出涉密信息系统安全运行的保密要求;(四)会同信息中心对涉密信息系统中介质、设备、设施的授权使用的审查,建立涉密信息系统安全评估制度,每年对涉密信息系统安全措施进行一次评审;(五)对涉密信息系统设计、施工和集成单位进行资质审查,对进入涉密信息系统的安全保密产品进行准入审查和规范管理,对涉密信息系统进行安全保密性能检测;(六)对涉密信息系统中各应用系统进行定密、变更密级和解密工作进行审核;(七)组织查处涉密信息系统失泄密事件。
计算机信息系统保密管理规定
xxxxxx公司计算机信息系统保密管理规定编制:审核:批准:xxxxx公司计算机信息系统保密管理规定第一章总则第一条为保护计算机信息系统处理的国家秘密信息安全,根据国保发(1998)1号文件精神,依照BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》、BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》的要求制定本规定。
第二条本规定适用于公司涉密信息系统的运行管理,规定所称的计算机信息系统由本单位的各类涉密计算机(便携式计算机、服务器、用户终端)、网络设备、外部设备、存储介质、安全保密产品等构成的人机系统。
第三条本规定包括:信息系统基本要求、台账、维修、报废、审计、安全保密防护、密码保护、存储介质、外出携带、互联网计算机使用等内容。
第四条计算机信息系统保密管理实行“积极防范、突出重点、分级负责、责任到人”的原则。
严禁涉密信息系统直接或间接连接互联网及其他公共网络;严禁使用连接国际互联网或其他公共信息网络的计算机和信息设备进行存储和处理涉密信息。
第五条保密办公室负责公司各部门计算机信息系统安全工作的监督和检查,发现问题,及时提出并督促整改。
各部门负责本部门计算机信息系统及涉密信息的安全保密工作。
第二章台账、维修、报废管理第六条本单位的计算机和信息系统设备总台账由保密办公室负责统计、维护和管理,涵盖本单位的各类计算机(便携式计算机、服务器、用户终端)、网络设备、外部设备、存储介质、安全保密产品等。
第七条各部门应建立本部门计算机和信息系统分台账。
由各部门负责统计、维护和管理。
第八条台账应以电子和文档版本形式存在,总台账和分台账内容应当吻合,并与实物相符,发现问题实时更新台账,保证台账与实物相符。
第九条台账信息按照设备分类,应包含以下信息:㈠计算机台账应当包含:密级、放置地点、使用人、操作系统版本、安装时间、硬盘物理号、IP地址、MAC地址和使用情况(包含再用、停用、报废、销毁等);见附表九。
《信息安全等级保护管理办法》(公通字(精选)[2007]43号文件)
![《信息安全等级保护管理办法》(公通字(精选)[2007]43号文件)](https://img.taocdn.com/s3/m/a3a66b404a7302768e99399a.png)
信息安全等级保护管理办法(公通字[2007]43号)作者:来源:公安部、国家保密局、国家密码管理局、国务院信息工字体:作办公室时间:2007-06-22第一章?总则????第一条?为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
????第二条?国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
????第三条?公安机关负责信息安全等级保护工作的监督、检查、指导。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
????第四条?信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
????第五条?信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
????第二章?等级划分与保护????第六条?国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
????第七条?信息系统的安全保护等级分为以下五级:????第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
????第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机信息系统分级保护方案标准化工作室编码[XX968T-XX89628-XJ668-XT689N]方案1系统总体部署(1)涉密信息系统的组网模式为:服务器区、安全管理区、终端区共同连接至核心交换机上,组成类似于星型结构的网络模式,参照TCP/IP网络模型建立。
核心交换机上配置三层网关并划分Vlan,在服务器安全访问控制中间件以及防火墙上启用桥接模式,核心交换机、服务器安全访问控制中间件以及防火墙上设置安全访问控制策略(ACL),禁止部门间Vlan互访,允许部门Vlan与服务器Vlan通信。
核心交换机镜像数据至入侵检测系统以及网络安全审计系统;服务器区包含原有应用系统;安全管理区包含网络防病毒系统、主机监控与审计系统、windows域控及WSUS补丁分发系统、身份认证系统;终端区分包含所有业务部门。
服务器安全访问控制中间件防护的应用系统有:XXX系统、XXX系统、XXX系统、XXX系统以及XXX系统、。
防火墙防护的应用系统有:XXX、XXX系统、XXX系统、XXX系统以及XXX系统。
(2)邮件系统的作用是:进行信息的驻留转发,实现点到点的非实时通信。
完成集团内部的公文流转以及协同工作。
使用25、110端口,使用SMTP协议以及POP3协议,内网终端使用C/S模式登录邮件系统。
将内网用户使用的邮件账号在服务器群组安全访问控制中间件中划分到不同的用户组,针对不同的用户组设置安全级别,安全级别分为1-7级,可根据实际需求设置相应的级别。
1-7级的安全层次为:1级最低级,7级最高级,由1到7逐级增高。
即低密级用户可以向高密级用户发送邮件,高密级用户不得向低密级用户发送,保证信息流向的正确性,防止高密数据流向低密用户。
(3)针对物理风险,采取红外对射、红外报警、视频监控以及门禁系统进行防护。
针对电磁泄射,采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进行防护。
2 物理安全防护总体物理安全防护设计如下:(1)周边环境安全控制①XXX侧和XXX侧部署红外对射和入侵报警系统。
②部署视频监控,建立安防监控中心,重点部位实时监控。
具体部署见下表:增加电子门禁系统,采用智能IC卡和口令相结合的管理方式。
具体防护措施如下表所示:建设内容包括:①为使用非屏蔽双绞线的链路加装线路干扰仪。
②为涉密信息系统内的终端和服务器安装红黑电源隔离插座。
③为视频信号电磁泄漏风险较大的终端安装视频干扰仪。
通过以上建设,配合《安防管理制度》以及《电磁泄漏防护管理制度》,使得达到物理安全防范到位、重要视频监控无死角、进出人员管理有序、实体入侵报警响应及时以及电磁泄漏信号无法捕捉、无法还原。
红外对射(1)部署增加红外对射装置,防护边界,具体部署位置如下表:图1-2 红外对射设备设备成对出现,在安装地点双向对置,调整至相同水平位置。
(2)第一次运行策略红外对射24小时不间断运行,当有物体通过,光线被遮挡,接收机信号发生变化,放大处理后报警。
设置合适的响应时间,以10米/秒的速度来确定最短遮光时间;设置人的宽度为20厘米,则最短遮断时间为20毫秒,大于20毫秒报警,小于20毫秒不报警。
(3)设备管理及策略红外对射设备由公安处负责管理,实时监测设备运行情况及设备相应情况,定期对设备及传输线路进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险解决重点部位监控及区域控制相关风险。
红外报警(1)部署增加红外报警装置,对保密要害部位实体入侵风险进行防护、报警,具体部署位置如下表:表1-2 红外报警部署统计表图1-3 红外报警设备部署在两处房间墙壁角落,安装高度距离地面米。
(2)第一次运行策略红外报警24小时不间断运行,设置检测37℃特征性10μm波长的红外线,远离空调、暖气等空气温度变化敏感的地方,不间隔屏、家具或其他隔离物,不直对窗口,防止窗外的热气流扰动和人员走动会引起误报。
(3)设备管理及策略红外报警设备由公安处负责管理,监测设备运行情况及设备相应情况,定期对设备进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险解决重点部位监控及区域控制相关风险。
视频监控(1)部署增加视频监控装置,对周界、保密要害部门部位的人员出入情况进行实时监控,具体部署位置如下表:表1-3 视频监控部署统计表图1-4 视频监控设备视频监控在室外采用云台枪机式设备,室内采用半球式设备,部署在房间墙壁角落,覆盖门窗及重点区域。
增加32路嵌入式硬盘录像机一台,用于对视频采集信息的收集和压缩存档。
设备形态如下图所示:图1-5 硬盘录像机(2)第一次运行策略视频监控24小时不间断运行,设置视频采集格式为MPEG-4,显示分辨率768*576,存储、回放分辨率384*288。
(3)设备管理及策略视频监控设备由公安处负责管理,实时监测设备运行情况及设备相应情况,定期对设备及传输线路进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险解决重点部位监控及区域控制相关风险。
门禁系统(1)部署增加门禁系统,对保密要害部门部位人员出入情况进行控制,并记录日志,具体部署位置如下表:表1-4 门禁系统部署统计表图1-6 门禁系统部署方式(2)第一次运行策略对每个通道设置权限,制作门禁卡,对可以进出该通道的人进行进出方式的授权,采取密码+读卡方式;设置可以通过该通道的人在什么时间范围内可以进出;实时提供每个门区人员的进出情况、每个门区的状态(包括门的开关,各种非正常状态报警等),设置在紧急状态打开或关闭所有门区的功能;设置防尾随功能。
(3)设备管理及策略门禁系统由公安处负责管理,定期监测设备运行情况及设备相应情况,对设备及传输线路进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险解决重点部位监控及区域控制相关风险。
线路干扰仪(1)部署增加8口线路干扰仪,防护传输数据沿网线以电磁传导、辐射发射、耦合等方式泄漏的情况。
将从交换机引至其布线最远端以及次远端的线缆插接至线路干扰仪,并由线路干扰仪连接至最远端和次远端,将该设备进行接地处理。
具体部署位置如下表:图1-11 线路干扰仪设备(2)第一次运行策略在网线中一对空线对上注入伪随机宽带扫频加扰信号, 使之能跟随其他三对网线上的信号并行传输到另一终端;窃密者若再从网线或其他与网络干线相平行的导线(如电话线及电源线等)上窃取信息,实际上所窃得的仅是已被加扰信号充分湮没了的混合信号。
(3)设备管理及策略线路干扰仪由信息中心负责管理,对设备编号、标识密级、摆放、调测、定期对设备及传输线路进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险解决传输线路的电磁泄漏发射防护相关风险。
视频干扰仪(1)部署增加视频干扰仪,防止对涉密终端视频信息的窃取,对XXX号楼存在的涉密终端部署,将该设备进行接地处理。
、具体部署位置如下表:图1-12 视频干扰仪设备(2)第一次运行策略设置设备运行频率为1000MHz。
(3)设备管理及策略视频干扰仪由信息中心负责管理,监测设备运行情况及设备相应情况,定期对设备进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险解决信息设备的电磁泄漏发射防护相关风险。
红黑电源隔离插座(1)部署增加红黑电源隔离插座,防护电源电磁泄漏,连接的红黑电源需要进行接地处理。
具体部署位置如下表:图1-13 红黑电源隔离插座(2)运行维护策略要求所有涉密机均直接连接至红黑电源上,红黑电源上不得插接其他设备。
安装在涉密终端及涉密单机的红黑隔离电源由使用者维护,安装在服务器的由信息中心维护,出现问题向保密办报告。
(4)部署后解决的风险解决信息设备的电磁泄漏发射防护相关风险。
3 网络安全防护网闸使用1台网闸连接主中心以及从属中心,用于安全隔离及信息交换。
(1)部署部署1台网闸于主中心及从属中心核心交换机之间,做单向访问控制与信息交互。
设备启用路由模式,通过路由转发连接主中心以及从属中心,从物理层到应用层终结所有的协议包,还原成原始应用数据,以完全私有的方式传递到另一个网络,主中心以及从属中心之间在任一时刻点上都不产生直接的物理连通。
部署拓扑示意图如下:图1-8 网闸部署拓扑示意图(2)第一次运行策略配置从属中心访问主中心的权限,允许从属中心特定地址访问主中心所有服务器,允许其他地址访问公司内部门户以及人力资源系统,配置访问内部门户SQL server数据库服务器,禁止其他所有访问方式。
配置网闸病毒扫描,对流经网闸设备数据进行病毒安全扫描。
配置系统使用Https方式管理,确保管理安全。
(3)设备管理及策略网闸设备按照《网闸运维管理制度》进行管理。
a、由信息中心管理网闸设备,分别设置管理员、安全保密管理员、安全审计员的口令,由“三员”分别管理。
b、由信息中心对网闸设备进行编号、标识密级、安放至安全管理位置。
c、信息中心负责网闸设备的日常运行维护,每周登陆设备查看设备配置、设备自身运行状态、转发数据量状态、系统日志等内容。
d、信息中心发现异常情况及时通报保密办,并查找问题原因,各部门配合信息中心及时解决问题。
e、信息中心负责网闸设备的维修管理,设备出现问题,通知保密办,获得批准后,负责设备的维修管理。
(4)部署后解决的风险解决两网互联的边界防护问题,对应用的访问进行细粒度的控制,各自隔离,两网在任一时刻点上都不产生直接的物理连通。
防火墙涉密信息系统采用防火墙系统1台进行边界防护,用于涉密信息系统网关的安全控制、网络层审计等。
防火墙系统部署于从属中心。
原有防火墙部署于主中心,不做调整。
(1)部署使用防火墙系统限制从属中心终端访问机密级服务器的权限,并且记录所有与服务器区进行交互的日志。
防火墙的eth1口、eth2口设置为透明模式,配置桥接口fwbridge0 IP地址,配置管理方式为https方式,打开多VLAN开关,打开tcp、udp、ICMP广播过滤。
防火墙的日志数据库安装在安全管理服务器上。
部署拓扑示意图如下:图1-9 防火墙部署示意图(2)第一次运行策略防火墙上设置访问控制策略,并设定不同用户所能访问的资源:a、允许从属中心授权用户访问软件配置管理系统。
b、开放系统内所能使用到的端口,其他不使用的端口进行全部禁止访问限制。
c、可以依据保密办相关规定设定审查关键字,对于流经防火墙的数据流进行关键字过滤。
d、审计从属中心用户和服务器区域的数据交换信息,记录审计日志。
e、整个防火墙系统的整个运行过程和网络信息流等信息,均进行详细的日志记录,方便管理员进行审查。
(3)设备管理及策略防火墙系统由信息中心进行管理及维护,任何策略的改动均需要经过保密办的讨论后方可实施。
防火墙的日志系统维护,日志的保存与备份按照《防火墙运维管理制度》进行管理。