计算机信息系统分级保护实施方案.pdfVIP

计计算算机机信信息息系系统统分分级级保保护护实实施施⽅⽅案案

⽅案

1系统总体部署

（1）涉密信息系统的组⽹模式为：服器区、安全管理区、终端区共同连接⾄核⼼交换机上，组成类似于星型结构的⽹络模

式，参照TCP/IP⽹络模型建⽴。核⼼交换机上配置三层⽹关并划分Vlan，在服器安全访问控制中间件以及防⽕墙上启⽤桥

接模式，核⼼交换机、服器安全访问控制中间件以及防⽕墙上设置安全访问控制策略（ACL），禁⽌部门间Vlan互访，允

许部门Vlan与服器Vlan通信。核⼼交换机镜像数据⾄⼊侵检测系统以及⽹络安全审计系统；服器区包含原有应⽤系统；

安全管理区包含⽹络防病毒系统、主机监控与审计系统、windows域控及WSUS补丁分发系统、⾝份认证系统；终端区分包含

所有业部门。

服器安全访问控制中间件防护的应⽤系统有：XXX系统、XXX系统、XXX系统、XXX系统以及XXX系统、。

防⽕墙防护的应⽤系统有：XXX、XXX系统、XXX系统、XXX系统以及XXX系统。

（2）邮件系统的作⽤是：进⾏信息的驻留转发，实现点到点的⾮实时通信。完成集团内部的公⽂流转以及协同⼯作。使⽤

25、110端⼝，使⽤SMTP协议以及POP3协议，内⽹终端使⽤C/S模式登录邮件系统。

将内⽹⽤户使⽤的邮件账号在服器群组安全访问控制中间件中划分到不同的⽤户组，针对不同的⽤户组设置安全级别，安全

级别分为1-7级，可根据实际需求设置相应的级别。1-7级的安全层次为：1级最低级，7级最⾼级，由1到7逐级增⾼。即低密

级⽤户可以向⾼密级⽤户发送邮件，⾼密级⽤户不得向低密级⽤户发送，保证信息流向的正确性，防⽌⾼密数据流向低密⽤

户。

（3）针对物理风险，采取红外对射、红外报警、视频监控以及门禁系统进⾏防护。针对电磁泄射，采取线路⼲扰仪、视频⼲

扰仪以及红⿊电源隔离插座进⾏防护。

2物理安全防护

总体物理安全防护设计如下：

（1）周边环境安全控制

①XXX侧和XXX侧部署红外对射和⼊侵报警系统。

②部署视频监控，建⽴安防监控中⼼，重点部位实时监控。

具体部署见下表：

（2）要害部门部位安全控制

增加电⼦门禁系统，采⽤智能IC卡和⼝令相结合的管理⽅式。具体防护措施如下表所⽰：

表1-2要害部门部位安全建设

（3）电磁泄漏防护

建设内容包括：

①为使⽤⾮屏蔽双绞线的链路加装线路⼲扰仪。

②为涉密信息系统内的终端和服器安装红⿊电源隔离插座。

③为视频信号电磁泄漏风险较⼤的终端安装视频⼲扰仪。

通过以上建设，配合《安防管理制度》以及《电磁泄漏防护管理制度》，使得达到物理安全防范到位、重要视频监控⽆死⾓、

进出⼈员管理有序、实体⼊侵报警响应及时以及电磁泄漏信号⽆法捕捉、⽆法还原。

2.1红外对射

（1）部署

增加红外对射装置，防护边界，具体部署位置如下表：

表1-1红外对射部署统计表

部署⽅式如下图所⽰：

图1-2红外对射设备

设备成对出现，在安装地点双向对置，调整⾄相同⽔平位置。

（2）第⼀次运⾏策略

红外对射2⼩时不间断运⾏，当有物体通过，光线被遮挡，接收机信号发⽣变化，放⼤处理后报警。设置合适的响应时间，

以10⽶/秒的速度来确定最短遮光时间；设置⼈的宽度为20厘⽶，则最短遮断时间为20毫秒，⼤于20毫秒报警，⼩于20毫秒不

报警。

（3）设备管理及策略

红外对射设备由公安处负责管理，实时监测设备运⾏情况及设备相应情况，定期对设备及传输线路进⾏检查、维护，并定期向

必威体育官网网址办提交设备运维报告。

（）部署后解决的风险

解决重点部位监控及区域控制相关风险。

2.2红外报警

（1）部署

增加红外报警装置，对必威体育官网网址要害部位实体⼊侵风险进⾏防护、报警，具体部署位置如下表：

表1-2红外报警部署统计表

序号部署位置数量（个）

1

2

3

合计

设备形态如下图所⽰：

图1-3红外报警设备

部署在两处房间墙壁⾓落，安装⾼度距离地⾯2.0-2.2⽶。

（2）第⼀次运⾏策略

红外报警2⼩时不间断运⾏，设置检测37℃特征性10µm波长的红外线，远离空调、暖⽓等空⽓温度变化敏感的地⽅，不间隔

屏、家具或其他隔离物，不直对窗⼝，防⽌窗外的热⽓流扰动和⼈员⾛动会引起误报。

（3）设备管理及策略

红外报警设备由公安处负责管理，监测设备运⾏情况及设备相应情况，定期对设备进⾏检查、维护，并定期向必威体育官网网址办提交设备

运维报告。

（）部署后解决的风险

解决重点部位监控及区域控制相关风险。

2.3视频监控

（1）部署

增加视频监控装置，对周界、必威体育官网网址要害部门部位的⼈员出⼊情况进⾏实时监控，具体部署