计算机信息系统分级保护方案.pdfVIP

计算机信息系统分级保护方案--第1页

方案

1系统总体部署

1涉密信息系统的组网模式为：服务器区、安全管理区、终端区共同连接至核心交换

机上,组成类似于星型结构的网络模式,参照TCP/IP网络模型建立;核心交换机上配置三

层网关并划分Vlan,在服务器安全访问控制中间件以及防火墙上启用桥接模式,核心交换

机、服务器安全访问控制中间件以及防火墙上设置安全访问控制策略ACL,禁止部门间

Vlan互访,允许部门Vlan与服务器Vlan通信;核心交换机镜像数据至入侵检测系统以及

网络安全审计系统；服务器区包含原有应用系统；安全管理区包含网络防病毒系统、主

机监控与审计系统、windows域控及WSUS补丁分发系统、身份认证系统；终端区分包含

所有业务部门;

服务器安全访问控制中间件防护的应用系统有：XXX系统、XXX系统、XXX系统、XXX

系统以及XXX系统、;

防火墙防护的应用系统有：XXX、XXX系统、XXX系统、XXX系统以及XXX系统;

2邮件系统的作用是：进行信息的驻留转发,实现点到点的非实时通信;完成集团内部

的公文流转以及协同工作;使用25、110端口,使用SMTP协议以及POP3协议,内网终端使

用C/S模式登录邮件系统;

将内网用户使用的邮件账号在服务器群组安全访问控制中间件中划分到不同的用户

组,针对不同的用户组设置安全级别,安全级别分为1-7级,可根据实际需求设置相应的级

别;1-7级的安全层次为：1级最低级,7级最高级,由1到7逐级增高;即低密级用户可以

向高密级用户发送邮件,高密级用户不得向低密级用户发送,保证信息流向的正确性,防

止高密数据流向低密用户;

3针对物理风险,采取红外对射、红外报警、视频监控以及门禁系统进行防护;针对电

磁泄射,采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进行防护;

2物理安全防护

总体物理安全防护设计如下：

1周边环境安全控制

①XXX侧和XXX侧部署红外对射和入侵报警系统;

②部署视频监控,建立安防监控中心,重点部位实时监控;

具体部署见下表：

表1-1周边安全建设

序号保护部位现有防护措施需新增防护措施

1人员出入通道

2物资出入通道

3南侧

计算机信息系统分级保护方案--第1页

计算机信息系统分级保护方案--第2页

序号保护部位现有防护措施需新增防护措施

4西侧

5东侧

6北侧

2要害部门部位安全控制

增加电子门禁系统,采用智能IC卡和口令相结合的管理方式;具体防护措施如下表所

示：

表1-2要害部门部位安全建设

序号保护部门出入口控制现有安全措施新增安全措施

1门锁/登记/

24H警卫值班

2门锁

3门锁

4门锁

5门锁/登记

6门锁/登记

7门锁/登记

8门锁/登记

9机房出入登记

10门锁

3电磁泄漏防护

建设内容包括：

①为使用非屏蔽双绞线的链路加装线路干扰仪;

②为涉密信息系统内的终端和服务器安装红黑电