计算机信息系统分级保护总结.doc

方案 1系统总体部署 （1）涉密信息系统的组网模式为：服务器区、安全管理区、终端区共同连接至核心交换机上，组成类似于星型结构的网络模式，参照TCP/IP网络模型建立。核心交换机上配置三层网关并划分Vlan，在服务器安全访问控制中间件以及防火墙上启用桥接模式，核心交换机、服务器安全访问控制中间件以及防火墙上设置安全访问控制策略（ACL），禁止部门间Vlan互访，允许部门Vlan与服务器Vlan通信。核心交换机镜像数据至入侵检测系统以及网络安全审计系统；服务器区包含原有应用系统；安全管理区包含网络防病毒系统、主机监控与审计系统、windows域控及WSUS补丁分发系统、身份认证系统；终端区分包含所有业务部门。 服务器安全访问控制中间件防护的应用系统有：XXX系统、XXX系统、XXX系统、XXX系统以及XXX系统、。 防火墙防护的应用系统有：XXX、XXX系统、XXX系统、XXX系统以及XXX系统。 （2）邮件系统的作用是：进行信息的驻留转发，实现点到点的非实时通信。完成集团内部的公文流转协同工作 ②部署视频监控，建立安防监控中心，重点部位实时监控。 具体部署见下表： 表1-1 周边安全建设 序号 保护部位 现有防护措施 需新增防护措施 1 人员出入通道 2 物资出入通道 3 南侧 4 西侧 5 东侧 6 北侧 （2）要害部门部位安全控制 增加电子门禁系统，采用智能IC卡和口令相结合的管理方式。具体防护措施如下表所示： 表1-2 要害部门部位安全建设 序号 保护部门 出入口控制 现有安全措施 新增安全措施 1 门锁/登记/ 24H警卫值班 2 门锁 3 门锁 4 门锁 5 门锁/登记 6 门锁/登记 7 门锁/登记 8 门锁/登记 9 机房出入登记 10 门锁 （3）电磁泄漏防护 建设内容包括： ①为使用非屏蔽双绞线的链路加装线路干扰仪。 ②为涉密信息系统内的终端和服务器安装红黑电源隔离插座。 ③为视频信号电磁泄漏风险较大的终端安装视频干扰仪。 通过以上建设，配合《安防管理制度》以及《电磁泄漏防护管理制度》，使得达到物理安全防范到位、重要视频监控无死角、进出人员管理有序、实体入侵报警响应及时以及电磁泄漏信号无法捕捉、无法还原。 2.1 红外对射 （1）部署 增加红外对射装置，防护边界，具体部署位置如下表： 表1-1 红外对射部署统计表 序号 部署位置 数量（对） 1 东围墙 2 北围墙 3 合计 部署方式如下图所示： 图1-2 红外对射设备 设备成对出现，在安装地点双向对置，调整至相同水平位置。 （2）第一次运行策略 红外对射24小时不间断运行，当有物体通过，光线被遮挡，接收机信号发生变化，放大处理后报警。合适的响应时间以10米/秒的速度来确定最短遮光时间人的宽度为20厘米，则最短遮断时间为20毫秒大于20毫秒报警，小于20毫秒不报警。 部署位置 数量（个） 1 2 3 4 合计 设备形态如下图所示： 图1-3 红外报警设备 部署在两处房间墙壁角落，安装高度距离地面2.0-2.2米10μm波长的红外线远离空调等空气温度变化敏感的地方不隔屏、家具或其他隔离物不直对窗口，窗外的热气流扰动和人员走动会引起误报。 部署位置 数量（个） 1 2 3 4 5 6 7 8 合计 设备形态如下图所示： 图1-4 视频监控设备 视频监控在室外采用云台枪机式设备，室内采用半球式设备，部署在房间墙壁角落，覆盖门窗及重点区域。 增加32路嵌入式硬盘录像机显示分辨率768*576，存储、回放分辨率384*288。 部署位置 数量（个） 1 2 3 4 5 6 7 8 9 10 11 合计 部署示意图如下图所示： 图1-6 门禁系统部署方式 （2）第一次运行策略 对每个通道设置对可以进出该通道的人进行进出方式的授权，密码读卡方式设置可以该通道的人在什么时间范围内可以进出实时每个门区人员的进出情况、每个门区的状态（包括门的开关，各种非正常状态报警等）在紧急状态打开或关闭所有门区的防尾随功能传输数据沿网线以电磁传导、辐射发射、耦合等方式泄漏的情况 部署位置 数量（个） 1 2 3 合计 设备形态如下图所示： 图1-11 线路干扰仪设备 （2）第一次运行策略 在网线中一对空线对上注入伪随机宽带扫频加扰信号, 使之能跟随其他三对网线上的信号并行传输到另一终端；窃密者若再从网线或其他与网络干线相平行的导线（如电话线及电源线等）上窃取信息，实际上所窃得的仅是已被