XXXXX院涉密网络分级保护实施方案

XXXXX院涉密网络分级保护实施方案

xxxxxxxx

涉密信息系统分级保护项目

实

施

方

案

XXXXXX有限公司2014年12月

一、概述

1.1项目背景

信息技术的飞速发展正将人类推向全球化、网络化新时代。社会信息化、数字化改变了人们的生活、生产方式，深刻影响着国际政治经济关系，有力地推动了世界经济贸易发展。但是，随着我国国民经济和社会化信息化建设进程全面加快的同时，网络信息系统安全保密性保障问题得到了各级领导和各级政府及有关部门的重视。

党中央、国务院对加强检察机关信息化建设非常重视，近年来，国家有关部门也按照中央指示精神，采取多种措施支持检察机关信息化建设。根据国家信息安全分级保护的总体部署，高检院下发了《关于开展检察机关涉密信息系统分级保护工作的通知》（高检发办【2008】30号）及相关文件规定，明确指出全国各级检察机关连接检察专线网的信息系统（包括各级检察院分支网络信息系统，下同）均为涉密信息系统，要求各级检察院必须按照分级保护管理办法、标准和规划，对涉密信息系统根据处理信息的最高密级（密级、机密及绝密）划分等级实施保护，各级保密行政管理部门将根据涉密信息系统的保护等级实施监督管理，确保系统和信息安全。

XXXXXX（后文简称XXXXXX）作为国家的法律监督机关，为了贯彻落实高检院及国家保密局有关文件精神，将按照分级保护管理办法、标准和规划的要求，对本院涉密信息系统进行建设，加强安全防护，保护涉密信息的安全。

1.2建设范围

本次XXXXXX涉密信息系统分级保护项目建设范围为XXXXX综合大楼（共7层）。

1.3建设目标

XXXXXX涉密信息系统分级保护建设的总体目标是：严格按照国家相关安全保密标准和法规，将XXXXXX涉密信息系统建设成符合国家相关法规和标准要求的涉密信息系统，使XXXXXXX涉密信息系统具备安全防护能力、隐患发现能力、应急反应能力和审计追踪能力等，保证XXXXX涉密信息系统中涉密信息的保密性、完整性、可用性和可控性等，确保XXXXX涉密信息系统符合BMB17-2006和BMB20-2007等的要求，使之能够处理相对应密级的信息，为单位日常政务处理、与市院传递政务信息提供安全可靠的信息化基础平台。

涉密信息系统建设完成后应达到如下安全防护能力：

1.具有抵御敌对势力有组织的大规模攻击的能力；

2.防范计算机病毒和恶意代码危害的能力；

3.具有检测、发现、报警、记录入侵行为的能力；

4.具有对安全事件进行快速响应处置，并能够追踪安全责任的能力；

5.在系统遭到损害后，具有能够较快恢复正常运行状态的能力；

6.对于服务保障性要求高的系统，应能迅速恢复正常运行状态；

7.具有对系统资源、用户、安全机制等进行集中控管的能力。

二、实施前准备

2.1 设备供货

货到后，由我公司负责将货物运送到用户指定地点，并由建设方、承建方人员共同开箱验货。检查器件是否齐全，设备有无缺损、表面有无损伤等。确认货物正常后，由建设方、承建方共同签署货物进场报验表。

2.2 实施环境前期准备

2.2.1物理环境

设备安装前必须保证物理安装环境合格，中心机房必须装修完毕，电源、线缆布放到位，机柜安装到位。

2.2.2设备安装环境

终端计算机操作系统安装完成且可以正常使用，违规涉密资料已清理完毕。中心机房和各楼层配线间机柜预留空间充足。

2.2.3系统配置和客户端电脑需求

必须事先规划好系统配置需求，包括网络设备，应用服务器，客户端，操作规章制度等方面。如IP地址规划和VLAN划分、网络安全控制策略，服务器操作系统，服务器主机名和ip地址确定，AD域名，域帐号花名册，软件应用服务器在硬件服务器上的安装规划、客户端电脑操作系统安装，客户端电脑资料清理等。

2.2.4 测试环境

在正式安装前期，需对网络及服务器设备进行测试，测试需要建立一个小型局域网用于试验。包括一台服务器，若干网线、1个交换机和至少一台终端。（测试若只需一台终端时则可以使用服务器与终端PC机直连的模式进行）。

三、设备安装调试

本次设备安装调试分三个阶段，第一阶段为网络设备安装配置，第二阶段为应用服务器安装配置，第三阶段为终端设备安装。项目实施阶段首先实施网络设备安装配置，当网络设备安装调试完成后，再进行应用服务器安装和配置。

3.1 网络设备安装

网络设备分为硬件和软件，在网络设备安装中，首先安装网络硬件设备。在保证网络连通性的条件下再安装软件产品。网络硬件设备安装顺序如下：

3.1.1 防火墙

安装步骤：

首先，确定防火墙安装的机柜安装位置。

第二，设备上架、安装，连线。

第三，加电测试，并做相应配置。（提前规划好网络结构、IP划分。）

防火墙系统由防火墙管理/日志服务器和防火墙硬件组成，其部署方式如下：

⏹防火墙管理/日志服务器部署在中心机房屏蔽机柜内，位于机密级安全

管理区；

⏹防火墙部署在中心机房位于机密级安全管理区、机密级应用服务器区与

机密级用户终端区之间。

部署效果

在XXXXXXX涉密网部署了防火墙后，能满足BMB17-2006中对机密级信息系统的“边界安全防护”中对边界的“访问控制”的机密级要求。

3.1.2主机监控与审计

安装步骤：

首先，确定主机监控与审计的机柜安装位置。

第二，设备上架、安装，连线。

第三，加电测试，并做相应配置。（提前规划好网络结构、ＩＰ划分。）

主机监控与审计系统由监控管理中心和客户端代理组成，其部署方式如下：

⏹监控管理中心部署在中心机房屏蔽机柜内，位于机密级安全管理区；

⏹客户端代理部署在所有Windows计算机和服务器上。

部署效果

在XXXXXX涉密网部署主机监控与审计系统后，满足BMB17-2006对机密级信息系统的“设备数据接口”、“设备接入控制”、“操作系统安全”和“数据库安全”、“信息输出操作监控”的机密级要求，如下所示：

⏹能对系统中服务器和用户终端的的并口、串口、USB接口等数据接口以

及软驱、光驱等设备进行监控，防止被非授权使用；

⏹能对接入的设备进行管理，控制违规接入设备对系统资源的访问；

⏹对系统内涉密信息和重要信息的输出（如拷贝等）操作采取技术措施进

行严格的控制；

⏹能禁止系统内用户非授权的外部连接，并对系统内的非授权行为采取技

术手段进行检查和阻断；

⏹能够对操作系统、数据库等系统进行补丁管理，增强系统安全；

⏹能对终端行为和数据输入输出行为进行审计。

3.1.3网络审计系统

安装步骤：

首先，确定网络审计系统安装位置

第二，网络安全审计系统上架、安装，连线。

第三，加电测试，并做相应配置。（提前规划好网络结构、ＩＰ划分。）

网络审计系统其部署方式如下：

⏹网络审计系统主机部署中心机房，连接到核心交换机的镜像端口上，管

理口连接到机密级安全管理区的交换机上。

部署效果

在XXXXXX院涉密网部署了网络审计系统后，满足BMB17-2006对机密级的