计算机信息系统分级保护方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
万案
1系统总体部署
(1)涉密信息系统的组网模式为:服务器区、安全管理区、终端区共同连接至核心交
换机上,组成类似于星型结构的网络模式,参照TCP/IP网络模型建立。核心交换机上配置三层网关并划分Vian,在服务器安全访问控制中间件以及防火墙上启用桥接模式,核心交换机、服务器安全访问控制中间件以及防火墙上设置安全访问控制策略( ACL,禁止部门
间Vian互访,允许部门Vian与服务器Vian通信。核心交换机镜像数据至入侵检测系统以及网络安全审计系统;服务器区包含原有应用系统;安全管理区包含网络防病毒系统、主机监控与审计系统、windows域控及WSU$卜丁分发系统、身份认证系统;终端区分包含所有业务部门。
服务器安全访问控制中间件防护的应用系统有:XXX系统、XXX系统、XXX系统、XXX
系统以及XXX系统、。
防火墙防护的应用系统有:XXX XXX系统、XXX系统、XXX系统以及XXX系统。
(2)由M牛系统的作用是:进行信息的驻留转发,实现点到点的非实时通信。完成集团
内部的公文流转以及协同工作。使用25、110端口,使用SMTP协议以及POP3协议,内网终端使用
C/S模式登录邮件系统。
将内网用户使用的邮件账号在服务器群组安全访问控制中间件中划分到不同的用户组,针对不同的用户组设置安全级别,安全级别分为1-7级,可根据实际需求设置相应的
级别。1-7级的安全层次为:1级最低级,7级最高级,由1到7逐级增高。即低密级用户可以向高密级用户发送邮件,高密级用户不得向低密级用户发送,保证信息流向的正确性,防止高密数据流向低密用户。
(3)针对物理风险,采取红外对射、红外报警、视频监控以及门禁系统进行防护。针对电磁泄射,采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进行防护。
2物理安全防护
总体物理安全防护设计如下:
(1)周边环境安全控制
①XXX侧和XXX侧部署红外对射和入侵报警系统。
②部署视频监控,建立安防监控中心,重点部位实时监控。
具体部署见下表:
增加电子门禁系统,采用智能IC卡和口令相结合的管理方式。具体防护措施如下表所
示:
1-2
(3)电磁泄漏防护
建设内容包括:
①为使用非屏蔽双绞线的链路加装线路干扰仪。
②为涉密信息系统内的终端和服务器安装红黑电源隔离插座。
③为视频信号电磁泄漏风险较大的终端安装视频干扰仪。
通过以上建设,配合《安防管理制度》以及《电磁泄漏防护管理制度》,使得达到物理安全防范到位、重要视频监控无死角、进出人员管理有序、实体入侵报警响应及时以及电磁泄漏信号无法捕捉、无法还原。
2.1红外对射
(1)部署
增加红外对射装置,防护边界,具体部署位置如下表:
部署方式如下图所示:
图1-2红外对射设备
设备成对出现,在安装地点双向对置,调整至相同水平位置。
(2)第一次运行策略
红外对射24小时不间断运行,当有物体通过,光线被遮挡,接收机信号发生变化,放大处理后报警。设置合适的响应时间,以10米/秒的速度来确定最短遮光时间;设置人的
宽度为20厘米,则最短遮断时间为20毫秒,大于20毫秒报警,小于20毫秒不报警。
(3)设备管理及策略
红外对射设备由公安处负责管理,实时监测设备运行情况及设备相应情况,定期对设备及传输线路进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险
解决重点部位监控及区域控制相关风险。
2.2红外报警
(1)部署
增加红外报警装置,对保密要害部位实体入侵风险进行防护、报警,具体部署位置如下表:
1-2
图1-3红外报警设备
部署在两处房间墙壁角落,安装高度距离地面 2.0-2.2米。
(2)第一次运行策略
红外报警24小时不间断运行,设置检测37C特征性10卩m波长的红外线,远离空调、暖气等空气温度变化敏感的地方,不间隔屏、家具或其他隔离物,不直对窗口,防止窗外的热气流扰动和人员走动会引起误报。
(3)设备管理及策略
红外报警设备由公安处负责管理,监测设备运行情况及设备相应情况,定期对设备进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险
解决重点部位监控及区域控制相关风险。
2.3视频监控
(1)部署
增加视频监控装置,对周界、保密要害部门部位的人员出入情况进行实时监控,具体部署位置如下表:
设备形态如下图所示:
图1-4视频监控设备
视频监控在室外采用云台枪机式设备,室内采用半球式设备,部署在房间墙壁角落,覆盖门窗及重点区域。
增加32路嵌入式硬盘录像机一台,用于对视频采集信息的收集和压缩存档。设备形态
如下图所示:
图1-5硬盘录像机
(2)第一次运行策略
视频监控24小时不间断运行,设置视频采集格式为MPEG-4显示分辨率768*576,存储、回放分辨率384*288。
(3)设备管理及策略
视频监控设备由公安处负责管理,实时监测设备运行情况及设备相应情况,定期对设备及传输线路进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险
解决重点部位监控及区域控制相关风险。
2.4门禁系统
(1)部署
增加门禁系统,对保密要害部门部位人员出入情况进行控制,并记录日志,具体部署位置如下表:
表1-4门禁系统部署统计表
部署示意图如下图所示:
图1-6门禁系统部署方式
(2)第一次运行策略
对每个通道设置权限,制作门禁卡,对可以进出该通道的人进行进出方式的授权,采取密码+读卡方式;设置可以通过该通道的人在什么时间范围内可以进出;实时提供每个门
区人员的进出情况、每个门区的状态(包括门的开关,各种非正常状态报警等),设置在紧
急状态打开或关闭所有门区的功能;设置防尾随功能。
(3)设备管理及策略
门禁系统由公安处负责管理,定期监测设备运行情况及设备相应情况,对设备及传输线路进行检查、维护,并定期向保密办提交设备运维报告。
(4)部署后解决的风险
解决重点部位监控及区域控制相关风险。
2.5线路干扰仪
(1)部署
增加8 口线路干扰仪,防护传输数据沿网线以电磁传导、辐射发射、耦合等方式泄漏的情况。将从交换机引至其布线最远端以及次远端的线缆插接至线路干扰仪,并由线路干扰仪连接至最远端和次远端,将该设备进行接地处理。
具体部署位置如下表:
1-6
图1-11线路干扰仪设备