《计算机信息系统分级保护方案_建筑-设计及方案.pdf》由会员分享,可在线阅读,更多相关《计算机信息系统分级保护方案_建筑-设计及方案.pdf(22页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、.资料.案详细设计 1 系统总体部署(1)XX公司涉密信息系统的组网模式为:服务器区、安全管理区、终端区共同连接至核心交换机上,组成类似于星型结构的网络模式,参照 TCP/IP 网络模型建立。核心交换机上配置三层网关并划分 Vlan,在服务器安全访问控制中间件以及防火墙上启用桥接模式,核心交换机、服务器安全访问控制中间件以及防火墙上设置安全访问控制策略(ACL),禁止部门间 Vlan 互访,允部门 Vlan与服务器 Vlan 通信。核心交换机镜像数据至入侵检测系统以及网络安全审计系统;服务器区包含 XX公司原有应用系统;安全管理区包含网络防病毒系统、主机监控与审计系统、windows 域控及
2、WSUS补丁分发系统、身份认证系统;终端区分包含所有业务部门。服务器安全访问控制中间件防护的应用系统有:XXX系统、XXX系统、XXX系统、XXX系统以及 XXX系统、。防火墙防护的应用系统有:XXX、XXX系统、XXX系统、XXX系统以及 XXX系统。(2)系统的作用是:进行信息的驻留转发,实现点到点的非实时通信。完成集团部的公文流转以及协同工作。使用 25、110 端口,使用 SMTP 协议以及POP3 协议,网终端使用 C/S 模式登录系统。将网用户使用的账号在服务器群组安全访问控制中间件中划分到不同的用户组,针对不同的用户组设置安全级别,安全级别分为 1-7级,可根据实际需求设置相应的
3、级别。1-7级的安全层次为:1 级最低级,7 级最高级,由 1 到 7 逐级增高。即低密级用户可以向高密级用户发送,高密级用户不得向低密级用户发送,保证信息流向的正确性,防止高密数据流向低密用户。(3)针对物理风险,采取红外对射、红外报警、视频监控以及门禁系统进行防护。针对电磁泄射,采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进行防护。2 物理安全防护 总体物理安全防护设计如下:(1)边环境安全控制 厂区 XXX侧和 XXX侧部署红外对射和入侵报警系统。部署视频监控,建立安防监控中心,重点部位实时监控。具体部署见下表:表 1-1 边安全建设 序号 保护部位 现有防护措施 需新增防护措施 1
4、人员出入通道 2 物资出入通道 .资料.序号 保护部位 现有防护措施 需新增防护措施 3 厂区南侧 4 厂区西侧 5 厂区东侧 6 厂区北侧 (2)要害部门部位安全控制 增加电子门禁系统,采用智能 IC 卡和口令相结合的管理式。具体防护措施如下表所示:表 1-2 要害部门部位安全建设 序号 保护部门 出入口控制 现有安全措施 新增安全措施 1 门锁/登记/24H 警卫值班 2 门锁 3 门锁 4 门锁 5 门锁/登记 6 门锁/登记 7 门锁/登记 8 门锁/登记 9 机房出入登记 10 门锁 (3)电磁泄漏防护 建设容包括:为使用非屏蔽双绞线的链路加装线路干扰仪。为涉密信息系统的终端和服务器
5、安装红黑电源隔离插座。为视频信号电磁泄漏风险较大的终端安装视频干扰仪。通过以上建设,配合XX公司安防管理制度以及XX公司电磁泄漏防护管理制度,使得 XX 公司达到物理安全防到位、重要视频监控无死角、进出人员管理有序、实体入侵报警响应及时以及电磁泄漏信号无法捕捉、无法还原。2.1 红外对射(1)部署 增加红外对射装置,防护厂区边界,具体部署位置如下表:表 1-1 红外对射部署统计表 序号 部署位置 数量(对)1 厂区东围墙 2 厂区北围墙 3 合计 部署式如下图所示:成类似于星型结构的网络模式参照网络模型建立核心交换机上配置三层网关并划分在服务器安全访问控制中间件以及防火墙上启用桥接模式核心交换
6、机服务器安全访问控制中间件以及防火墙上设置安全访问控制策略禁止部门间互访安全管理区包含网络防病毒系统主机监控与审计系统域控及补丁分发系统身份认证系统终端区分包含所有业务部门服务器安全访问控制中间件防的应用系统有系统系统系统系统以及系统防火墙防的应用系统有系统系统系统以及系统议以及协议网终端使用模式登录系统将网用户使用的账号在服务器群组安全访问控制中间件中划分到不同的用户组针对不同的用户组设置安全级别安全级别分为级可根据实际需求设置相应的级别级的安全层次为级最低级级最高级由.资料.图 1-2 红外对射设备 设备成对出现,在安装地点双向对置,调整至相同水平位置。(2)第一次运行策略 红外对射 24
7、 小时不间断运行,当有物体通过,光线被遮挡,接收机信号发生变化,放大处理后报警。设置合适的响应时间,以 10 米/秒的速度来确定最短遮光时间;设置人的宽度为 20 厘米,则最短遮断时间为 20 毫秒,大于 20 毫秒报警,小于 20 毫秒不报警。(3)设备管理及策略 红外对射设备由厂区公安处负责管理,实时监测设备运行情况及设备相应情况,定期对设备及传输线路进行检查、维护,并定期向办提交设备运维报告。(4)部署后解决的风险 解决重点部位监控及区域控制相关风险。2.2 红外报警(1)部署 增加红外报警装置,对要害部位实体入侵风险进行防护、报警,具体部署位置如下表:表 1-2 红外报警部署统计表 序
8、号 部署位置 数量(个)1 2 3 4 合计 设备形态如下图所示:成类似于星型结构的网络模式参照网络模型建立核心交换机上配置三层网关并划分在服务器安全访问控制中间件以及防火墙上启用桥接模式核心交换机服务器安全访问控制中间件以及防火墙上设置安全访问控制策略禁止部门间互访安全管理区包含网络防病毒系统主机监控与审计系统域控及补丁分发系统身份认证系统终端区分包含所有业务部门服务器安全访问控制中间件防的应用系统有系统系统系统系统以及系统防火墙防的应用系统有系统系统系统以及系统议以及协议网终端使用模式登录系统将网用户使用的账号在服务器群组安全访问控制中间件中划分到不同的用户组针对不同的用户组设置安全级别安
9、全级别分为级可根据实际需求设置相应的级别级的安全层次为级最低级级最高级由.资料.图 1-3 红外报警设备 部署在两处房间墙壁角落,安装高度距离地面 2.0-2.2 米。(2)第一次运行策略 红外报警 24 小时不间断运行,设置检测 37特征性 10m波长的红外线,远离空调、暖气等空气温度变化敏感的地,不间隔屏、家具或其他隔离物,不直对窗口,防止窗外的热气流扰动和人员走动会引起误报。(3)设备管理及策略 红外报警设备由厂区公安处负责管理,监测设备运行情况及设备相应情况,定期对设备进行检查、维护,并定期向办提交设备运维报告。(4)部署后解决的风险 解决重点部位监控及区域控制相关风险。2.3 视频监
10、控(1)部署 增加视频监控装置,对厂区界、要害部门部位的人员出入情况进行实时监控,具体部署位置如下表:表 1-3 视频监控部署统计表 序号 部署位置 数量(个)1 2 3 4 5 6 7 8 合计 成类似于星型结构的网络模式参照网络模型建立核心交换机上配置三层网关并划分在服务器安全访问控制中间件以及防火墙上启用桥接模式核心交换机服务器安全访问控制中间件以及防火墙上设置安全访问控制策略禁止部门间互访安全管理区包含网络防病毒系统主机监控与审计系统域控及补丁分发系统身份认证系统终端区分包含所有业务部门服务器安全访问控制中间件防的应用系统有系统系统系统系统以及系统防火墙防的应用系统有系统系统系统以及系
11、统议以及协议网终端使用模式登录系统将网用户使用的账号在服务器群组安全访问控制中间件中划分到不同的用户组针对不同的用户组设置安全级别安全级别分为级可根据实际需求设置相应的级别级的安全层次为级最低级级最高级由.资料.设备形态如下图所示:图 1-4 视频监控设备 视频监控在室外采用云台枪机式设备,室采用半球式设备,部署在房间墙壁角落,覆盖门窗及重点区域。增加 32 路嵌入式硬盘录像机一台,用于对视频采集信息的收集和压缩存档。设备形态如下图所示:图 1-5 硬盘录像机(2)第一次运行策略 视频监控 24 小时不间断运行,设置视频采集格式为 MPEG-4,显示分辨率768*576,存储、回放分辨率 38
12、4*288。(3)设备管理及策略 视频监控设备由厂区公安处负责管理,实时监测设备运行情况及设备相应情况,定期对设备及传输线路进行检查、维护,并定期向办提交设备运维报告。(4)部署后解决的风险 解决重点部位监控及区域控制相关风险。2.4 门禁系统(1)部署 增加门禁系统,对要害部门部位人员出入情况进行控制,并记录日志,具体部署位置如下表:表 1-4 门禁系统部署统计表 序号 部署位置 数量(个)1 2 成类似于星型结构的网络模式参照网络模型建立核心交换机上配置三层网关并划分在服务器安全访问控制中间件以及防火墙上启用桥接模式核心交换机服务器安全访问控制中间件以及防火墙上设置安全访问控制策略禁止部门
13、间互访安全管理区包含网络防病毒系统主机监控与审计系统域控及补丁分发系统身份认证系统终端区分包含所有业务部门服务器安全访问控制中间件防的应用系统有系统系统系统系统以及系统防火墙防的应用系统有系统系统系统以及系统议以及协议网终端使用模式登录系统将网用户使用的账号在服务器群组安全访问控制中间件中划分到不同的用户组针对不同的用户组设置安全级别安全级别分为级可根据实际需求设置相应的级别级的安全层次为级最低级级最高级由.资料.3 4 5 6 7 8 9 10 11 合计 部署示意图如下图所示:图 1-6 门禁系统部署式(2)第一次运行策略 对每个通道设置权限,制作门禁卡,对可以进出该通道的人进行进出式的授
14、权,采取密码+读卡式;设置可以通过该通道的人在什么时间围可以进出;实时提供每个门区人员的进出情况、每个门区的状态(包括门的开关,各种非正常状态报警等),设置在紧急状态打开或关闭所有门区的功能;设置防尾随功能。(3)设备管理及策略 门禁系统由厂区公安处负责管理,定期监测设备运行情况及设备相应情况,对设备及传输线路进行检查、维护,并定期向办提交设备运维报告。(4)部署后解决的风险 解决重点部位监控及区域控制相关风险。2.5 线路干扰仪(1)部署 增加 8 口线路干扰仪,防护传输数据沿网线以电磁传导、辐射发射、耦合等式泄漏的情况。将从交换机引至其布线最远端以及次远端的线缆插接至线路干扰仪,并由线路干
15、扰仪连接至最远端和次远端,将该设备进行接地处理。具体部署位置如下表:表 1-6 线路干扰仪部署统计表 成类似于星型结构的网络模式参照网络模型建立核心交换机上配置三层网关并划分在服务器安全访问控制中间件以及防火墙上启用桥接模式核心交换机服务器安全访问控制中间件以及防火墙上设置安全访问控制策略禁止部门间互访安全管理区包含网络防病毒系统主机监控与审计系统域控及补丁分发系统身份认证系统终端区分包含所有业务部门服务器安全访问控制中间件防的应用系统有系统系统系统系统以及系统防火墙防的应用系统有系统系统系统以及系统议以及协议网终端使用模式登录系统将网用户使用的账号在服务器群组安全访问控制中间件中划分到不同的
16、用户组针对不同的用户组设置安全级别安全级别分为级可根据实际需求设置相应的级别级的安全层次为级最低级级最高级由.资料.序号 部署位置 数量(个)1 2 3 合计 设备形态如下图所示:图 1-11 线路干扰仪设备(2)第一次运行策略 在网线中一对空线对上注入伪随机宽带扫频加扰信号,使之能跟随其他三对网线上的信号并行传输到另一终端;窃密者若再从网线或其他与网络干线相平行的导线(如线及电源线等)上窃取信息,实际上所窃得的仅是已被加扰信号充分湮没了的混合信号。(3)设备管理及策略 线路干扰仪由信息中心负责管理,对设备编号、标识密级、摆放、调测、定期对设备及传输线路进行检查、维护,并定期向办提交设备运维报
17、告。(4)部署后解决的风险 解决传输线路的电磁泄漏发射防护相关风险。2.6 视频干扰仪(1)部署 增加视频干扰仪,防止对涉密终端视频信息的窃取,对XXX号楼存在的涉密终端部署,将该设备进行接地处理。、具体部署位置如下表:表 1-7 视频干扰仪部署统计表 序号 部署位置 数量(个)1 2 3 11 合计 设备形态如下图所示:成类似于星型结构的网络模式参照网络模型建立核心交换机上配置三层网关并划分在服务器安全访问控制中间件以及防火墙上启用桥接模式核心交换机服务器安全访问控制中间件以及防火墙上设置安全访问控制策略禁止部门间互访安全管理区包含网络防病毒系统主机监控与审计系统域控及补丁分发系统身份认证系
18、统终端区分包含所有业务部门服务器安全访问控制中间件防的应用系统有系统系统系统系统以及系统防火墙防的应用系统有系统系统系统以及系统议以及协议网终端使用模式登录系统将网用户使用的账号在服务器群组安全访问控制中间件中划分到不同的用户组针对不同的用户组设置安全级别安全级别分为级可根据实际需求设置相应的级别级的安全层次为级最低级级最高级由.资料.图 1-12 视频干扰仪设备(2)第一次运行策略 设置设备运行频率为 1000 MHz。(3)设备管理及策略 视频干扰仪由信息中心负责管理,监测设备运行情况及设备相应情况,定期对设备进行检查、维护,并定期向办提交设备运维报告。(4)部署后解决的风险 解决信息设备
19、的电磁泄漏发射防护相关风险。2.7 红黑电源隔离插座(1)部署 增加红黑电源隔离插座,防护电源电磁泄漏,连接的红黑电源需要进行接地处理。具体部署位置如下表:表 1-8 红黑电源部署统计表 序号 部署位置 数量(个)1 涉密终端 2 服务器 3 UPS 4 合计 产品形态如下图所示:成类似于星型结构的网络模式参照网络模型建立核心交换机上配置三层网关并划分在服务器安全访问控制中间件以及防火墙上启用桥接模式核心交换机服务器安全访问控制中间件以及防火墙上设置安全访问控制策略禁止部门间互访安全管理区包含网络防病毒系统主机监控与审计系统域控及补丁分发系统身份认证系统终端区分包含所有业务部门服务器安全访问控
20、制中间件防的应用系统有系统系统系统系统以及系统防火墙防的应用系统有系统系统系统以及系统议以及协议网终端使用模式登录系统将网用户使用的账号在服务器群组安全访问控制中间件中划分到不同的用户组针对不同的用户组设置安全级别安全级别分为级可根据实际需求设置相应的级别级的安全层次为级最低级级最高级由.资料.图 1-13 红黑电源隔离插座(2)运行维护策略 XX 公司要求所有涉密机均直接连接至红黑电源上,红黑电源上不得插接其他设备。安装在涉密终端及涉密单机的红黑隔离电源由使用者维护,安装在服务器的由信息中心维护,出现问题向办报告。(4)部署后解决的风险 解决信息设备的电磁泄漏发射防护相关风险。3 网络安全防
21、护 3.1 网闸 XX公司使用 1 台网闸连接主中心以及从属中心,用于安全隔离及信息交换。(1)部署 部署 1 台网闸于主中心及从属中心核心交换机之间,做单向访问控制与信息交互。设备启用路由模式,通过路由转发连接主中心以及从属中心,从物理层到应用层终结所有的协议包,还原成原始应用数据,以完全私有的式传递到另一个网络,主中心以及从属中心之间在任一时刻点上都不产生直接的物理连通。部署拓扑示意图如下:主中心从属中心网闸从属中心核心交换机主中心核心交换机 图 1-8 网闸部署拓扑示意图(2)第一次运行策略 配置从属中心访问主中心的权限,允从属中心特定地址访问主中心所有服务成类似于星型结构的网络模式参照
22、网络模型建立核心交换机上配置三层网关并划分在服务器安全访问控制中间件以及防火墙上启用桥接模式核心交换机服务器安全访问控制中间件以及防火墙上设置安全访问控制策略禁止部门间互访安全管理区包含网络防病毒系统主机监控与审计系统域控及补丁分发系统身份认证系统终端区分包含所有业务部门服务器安全访问控制中间件防的应用系统有系统系统系统系统以及系统防火墙防的应用系统有系统系统系统以及系统议以及协议网终端使用模式登录系统将网用户使用的账号在服务器群组安全访问控制中间件中划分到不同的用户组针对不同的用户组设置安全级别安全级别分为级可根据实际需求设置相应的级别级的安全层次为级最低级级最高级由.资料.器,允其他地址访
23、问公司部门户以及人力资源系统,配置访问部门户 SQL server数据库服务器,禁止其他所有访问式。配置网闸病毒扫描,对流经网闸设备数据进行病毒安全扫描。配置系统使用 Https 式管理,确保管理安全。(3)设备管理及策略 网闸设备按照XX公司网闸运维管理制度进行管理。a、由信息中心管理网闸设备,分别设置管理员、安全管理员、安全审计员的口令,由“三员”分别管理。b、由信息中心对网闸设备进行编号、标识密级、安放至安全管理位置。c、信息中心负责网闸设备的日常运行维护,每登陆设备查看设备配置、设备自身运行状态、转发数据量状态、系统日志等容。d、信息中心发现异常情况及时通报办,并查找问题原因,各部门配
24、合信息中心及时解决问题。e、信息中心负责网闸设备的维修管理,设备出现问题,通知办,获得批准后,负责设备的维修管理。(4)部署后解决的风险 解决两网互联的边界防护问题,对应用的访问进行细粒度的控制,各自隔离,两网在任一时刻点上都不产生直接的物理连通。3.2 防火墙 XX公司涉密信息系统采用防火墙系统 1 台进行边界防护,用于 XX公司涉密信息系统网关的安全控制、网络层审计等。防火墙系统部署于从属中心。XX 公司原有防火墙部署于主中心,不做调整。(1)部署 使用防火墙系统限制从属中心终端访问级服务器的权限,并且记录所有与服务器区进行交互的日志。防火墙的 eth1 口、eth2 口设置为透明模式,配
25、置桥接口 fwbridge0 IP 地址,配置管理式为 https 式,打开多 VLAN开关,打开 tcp、udp、ICMP广播过滤。防火墙的日志数据库安装在安全管理服务器上。部署拓扑示意图如下:机密级秘密级工作级防火墙从属中心核心交换机秘密级服务器群 图 1-9 防火墙部署示意图(2)第一次运行策略 防火墙上设置访问控制策略,并设定不同用户所能访问的资源:成类似于星型结构的网络模式参照网络模型建立核心交换机上配置三层网关并划分在服务器安全访问控制中间件以及防火墙上启用桥接模式核心交换机服务器安全访问控制中间件以及防火墙上设置安全访问控制策略禁止部门间互访安全管理区包含网络防病毒系统主机监控与
26、审计系统域控及补丁分发系统身份认证系统终端区分包含所有业务部门服务器安全访问控制中间件防的应用系统有系统系统系统系统以及系统防火墙防的应用系统有系统系统系统以及系统议以及协议网终端使用模式登录系统将网用户使用的账号在服务器群组安全访问控制中间件中划分到不同的用户组针对不同的用户组设置安全级别安全级别分为级可根据实际需求设置相应的级别级的安全层次为级最低级级最高级由.资料.a、允从属中心授权用户访问软件配置管理系统。b、开放系统所能使用到的端口,其他不使用的端口进行全部禁止访问限制。c、可以依据 XX 公司办相关规定设定审查关键字,对于流经防火墙的数据流进行关键字过滤。d、审计从属中心用户和服务
27、器区域的数据交换信息,记录审计日志。e、整个防火墙系统的整个运行过程和网络信息流等信息,均进行详细的日志记录,便管理员进行审查。(3)设备管理及策略 防火墙系统由信息中心进行管理及维护,任策略的改动均需要经过办的讨论后可实施。防火墙的日志系统维护,日志的保存与备份按照XX 公司防火墙运维管理制度进行管理。a、由信息中心管理防火墙设备,分别设置管理员、安全管理员、安全审计员的口令,由“三员”分别管理。b、由信息中心对防火墙设备进行编号、标识密级、安放至安全管理位置。c、信息中心负责防火墙设备的日常运行维护,每登陆设备查看设备配置、设备自身运行状态、转发数据量状态、系统日志等容。d、信息中心发现异
28、常情况及时通报办,并查找问题原因,各部门配合信息中心及时解决问题。e、信息中心负责防火墙设备的维修管理,设备出现问题,通知办,获得批准后,负责设备的维修管理。(4)部署后解决的风险 原有防火墙保证主中心各 Vlan 的三层逻辑隔离,对各安全域之间进行访问控制,对网络层访问进行记录与审计,保证信息安全要求的访问控制以及安全审计部分要求。3.3 入侵检测系统 XX 公司使用原有入侵检测设备进行网络层监控,保持原有部署及原有配置不变,设备的管理维护依旧。此设备解决的风险为对系统的安全事件监控与报警,满足入侵监控要求。3.4 违规外联系统(1)部署 XX 公司采用涉密计算机违规外联监控系统,部署于网终
29、端、涉密单机及中间机上。XX公司的违规外联监控系统采用 B/S 构架部署,安装 1 台网监控服务器、1 台外网监控服务器,安装 645 个客户端,全部安装于网终端、涉密单机以及中间机上。部署示意图如下。成类似于星型结构的网络模式参照网络模型建立核心交换机上配置三层网关并划分在服务器安全访问控制中间件以及防火墙上启用桥接模式核心交换机服务器安全访问控制中间件以及防火墙上设置安全访问控制策略禁止部门间互访安全管理区包含网络防病毒系统主机监控与审计系统域控及补丁分发系统身份认证系统终端区分包含所有业务部门服务器安全访问控制中间件防的应用系统有系统系统系统系统以及系统防火墙防的应用系统有系统系统系统以
30、及系统议以及协议网终端使用模式登录系统将网用户使用的账号在服务器群组安全访问控制中间件中划分到不同的用户组针对不同的用户组设置安全级别安全级别分为级可根据实际需求设置相应的级别级的安全层次为级最低级级最高级由.资料.Internet拨号、WLan、3G庆华公司违规外联监控公网报警服务器内网终端涉密单机中间机均安装违规外联监控系统客户端庆华公司违规外联监控内网管理服务器涉密内网实时监控实时监控 图 1-1 违规外联系统部署示意图(2)第一次运行策略 系统实时地监测受控网络主机及移动主机的活动,对非法/外联行为由报警控制中心记录并向管理员提供准确的告警。同时,按照预定的策略对非法连接实施阻断,防止
31、数据外泄。报警控制中心能够以手机短信、电子两种告警式向网络管理员告警,其中手机短信是完全实时的告警,非常便和及时。(3)设备管理及策略 违规外联监控系统由信息中心进行管理及维护,任策略的改动均需要经过办的讨论后可实施。违规外联监控系统的日志系统同时维护,日志的保存与备份按照XX公司违规外联监控系统运维管理制度进行管理。a、由信息中心管理违规外联监控系统,分别设置管理员、安全管理员、安全审计员的口令,由“三员”分别管理。b、由信息中心对违规外联监控系统报警服务器进行编号、标识密级、安放至安全管理位置。c、信息中心负责违规外联监控系统的日常运行维护,每登陆设备查看服务器硬件运行状态、策略配置、系统
32、日志等容。d、信息中心发现异常情况及时通报办,并查找问题原因,各部门配合信息中心及时解决问题。e、信息中心负责违规外联监控系统服务器的维修管理,设备出现问题,通知办,获得批准后,联系厂家负责设备的维修管理。f、当系统出现新版本,由管理员负责及时更新系统并做好备份工作。(4)部署后解决的风险 成类似于星型结构的网络模式参照网络模型建立核心交换机上配置三层网关并划分在服务器安全访问控制中间件以及防火墙上启用桥接模式核心交换机服务器安全访问控制中间件以及防火墙上设置安全访问控制策略禁止部门间互访安全管理区包含网络防病毒系统主机监控与审计系统域控及补丁分发系统身份认证系统终端区分包含所有业务部门服务器
33、安全访问控制中间件防的应用系统有系统系统系统系统以及系统防火墙防的应用系统有系统系统系统以及系统议以及协议网终端使用模式登录系统将网用户使用的账号在服务器群组安全访问控制中间件中划分到不同的用户组针对不同的用户组设置安全级别安全级别分为级可根据实际需求设置相应的级别级的安全层次为级最低级级最高级由.资料.解决违规拨号、违规连接和违规无线上网等风险。4 应用安全防护 4.1 服务器群组安全访问控制中间件 XX公司涉密信息系统采用服务器群组安全访问控制中间件2 台,用于 XX公司涉密信息系统主中心秘密级服务器、从属中心秘密级服务器边界的安全控制、应用身份认证、转发控制、网络审计以及审计等。防护主中
34、心的 XXX系统、XXX系统、XXX系统、XXX系统、XXX系统以及 XXX门户;防护从属中心的 XXX系统以及 XXX类软件系统。(1)部署 由于主中心的终端之间以及从属中心的终端之间数据流动均被设计为以服务器为跳板进行驻留转发,所以在服务器前端的服务器群组安全访问控制中间件系统起到了很强的访问控制功能,限制终端访问服务器的权限并且记录所有与服务器区进行交互的日志。服务器群组安全访问控制中间件的 eth1 口、eth2 口设置为透明模式,启用桥接口进行管理。部署拓扑示意图如下:机密级秘密级工作级服务器安全访问控制中间件网闸服务器安全访问控制中间件从属中心核心交换机主中心核心交换机机密级秘密级
35、工作级机密级服务器群机密级服务器群 图 1-10 服务器群组安全访问控制中间件部署示意图(2)第一次运行策略 服务器群组安全访问控制中间件上设置访问控制策略,并设定不同用户所能访问的服务器资源;设置转发控制功能,为每个用户设置访问账号及密码,依据密级将用户划分至不同用户组中,高密级用户不得向低密级用户发送。配置审计功能,记录发件人,收件人,抄送人,主题,附件名等。配置网络审计与控制功能,可以依据 XX公司办相关规定设定审查关键字,对于流经系统的数据流进行关键字过滤;审计部用户和服务器区域的数据交换信息,审计应用访问日志。(3)设备管理及策略 成类似于星型结构的网络模式参照网络模型建立核心交换机
36、上配置三层网关并划分在服务器安全访问控制中间件以及防火墙上启用桥接模式核心交换机服务器安全访问控制中间件以及防火墙上设置安全访问控制策略禁止部门间互访安全管理区包含网络防病毒系统主机监控与审计系统域控及补丁分发系统身份认证系统终端区分包含所有业务部门服务器安全访问控制中间件防的应用系统有系统系统系统系统以及系统防火墙防的应用系统有系统系统系统以及系统议以及协议网终端使用模式登录系统将网用户使用的账号在服务器群组安全访问控制中间件中划分到不同的用户组针对不同的用户组设置安全级别安全级别分为级可根据实际需求设置相应的级别级的安全层次为级最低级级最高级由.资料.服务器群组安全访问控制中间件系统由信息
37、中心进行管理及维护,任策略的改动均需要经过办的讨论后可实施。服务器群组安全访问控制中间件的日志系统维护,日志的保存与备份按照XX 公司服务器群组安全访问控制中间件运维管理制度进行管理。a、由信息中心管理服务器群组安全访问控制中间件设备,分别设置管理员、安全管理员、安全审计员的口令,由“三员”分别管理。b、由信息中心分别对 2 台服务器群组安全访问控制中间件设备进行编号、标识密级、安放至安全管理位置。c、信息中心负责服务器群组安全访问控制中间件设备的日常运行维护,每登陆设备查看设备配置、设备自身运行状态、转发数据量状态、系统日志等容。d、信息中心发现异常情况及时通报办,并查找问题原因,各部门配合
38、信息中心及时解决问题。e、信息中心负责服务器群组安全访问控制中间件设备的维修管理,设备出现问题,通知办,获得批准后,负责设备的维修管理。(4)部署后解决的风险 解决对应用访问的边界防护、应用及网络审计、数据库安全以及数据流向控制,满足边界防护、安全审计及数据库安全等要求。4.2 windows域控及补丁分发 改造 XX公司原有 AD主域控制器及备份域控制器。(1)部署 XX公司的主中心以及从属中心均部署 AD主域控制器及备份域控制器,共计2 套,并建立 IIS服务器,安装 WSUS 服务器,提供系统补丁强制更新服务。将终端系统的安全性完全与活动目录集成,用户授权管理和目录进入控制整合在活动目录
39、当中(包括用户的访问和登录权限等)。通过实施安全策略,实现系统用户登录身份认证,集中控制用户授权。终端操作基于策略的管理。通过设置组策略把相应各种策略(包括安全策略)实施到组策略对象中。部署拓扑示意图如下:AD 域控服务器(主、备)&WSUS 服务器机密级秘密级工作级网闸从属中心核心交换机主中心核心交换机机密级秘密级工作级AD 域控服务器(主、备)&WSUS 服务器 成类似于星型结构的网络模式参照网络模型建立核心交换机上配置三层网关并划分在服务器安全访问控制中间件以及防火墙上启用桥接模式核心交换机服务器安全访问控制中间件以及防火墙上设置安全访问控制策略禁止部门间互访安全管理区包含网络防病毒系统
40、主机监控与审计系统域控及补丁分发系统身份认证系统终端区分包含所有业务部门服务器安全访问控制中间件防的应用系统有系统系统系统系统以及系统防火墙防的应用系统有系统系统系统以及系统议以及协议网终端使用模式登录系统将网用户使用的账号在服务器群组安全访问控制中间件中划分到不同的用户组针对不同的用户组设置安全级别安全级别分为级可根据实际需求设置相应的级别级的安全层次为级最低级级最高级由.资料.图 1-7 域控及 WSUS部署示意图(2)第一次运行策略 建立好域成员及其密码,将所有网终端的本地账号权限收回,网终端只能使用管理员下发的域成员用户登录系统。通过组策略指定不同安全域用户口令的复杂性、长度、使用期、
41、锁定策略,指定每一个用户可登录的机器。级终端需要将USB-KEY 令牌与域用户登录结合使用,达到“双因子”鉴别的过程。设置终端用户工作环境,隐藏用户无用的桌面图标,删除“开始”菜单中的“运行”、“搜索”功能。启用网 Windows XP 终端置的 WSUS客户端。由系统漏洞的官漏洞发布页下载完整的系统漏洞修复程序,将此程序通过中间机系统导入涉密信息系统,在WSUS服务器端导入此程序,由 WSUS服务器下发系统补丁强制修复策略,强制更新各个终端的系统漏洞。(3)设备管理及策略 AD域控系统以及 WSUS 补丁分发系统由信息中心进行管理及维护,域控组策略的改动均需要经过办的讨论后可操作。WSUS系
42、统的升级更新按照 XX公司与管理及补丁分发运维管理制度进行管理。a、由信息中心管理 AD 域控系统以及 WSUS 补丁分发系统,分别设置管理员、安全管理员、安全审计员的口令,由“三员”分别管理。b、由信息中心分别对 2 套 AD域控系统以及 WSUS 补丁分发系统服务器进行编号、标识密级、安放至安全管理位置。c、信息中心负责 AD 域控系统以及 WSUS 补丁分发系统服务器的日常运行维护,每登陆服务器查看服务器硬件运行状态、组策略配置、域成员状态、系统日志等容。d、信息中心发现异常系统日志及时通报办,并查找原因,追究根源。(4)部署后解决的风险 解决部分身份鉴别以及操作系统安全相关风险。4.3
43、 网络安全审计 XX公司使用网络安全审计系统 2 台,用于对涉密信息系统的网络及应用进行安全审计和监控。审计功能包括:应用层协议还原审计、数据库审计、网络行为审计、自定义关键字审计等。(1)部署 旁路部署于核心交换机的镜像目的接口,部署数量为 2 台,分别部署于主中心以及从属中心的核心交换机上。设置其管理地址,用于系统管理及维护。部署拓扑示意图如下:成类似于星型结构的网络模式参照网络模型建立核心交换机上配置三层网关并划分在服务器安全访问控制中间件以及防火墙上启用桥接模式核心交换机服务器安全访问控制中间件以及防火墙上设置安全访问控制策略禁止部门间互访安全管理区包含网络防病毒系统主机监控与审计系统
44、域控及补丁分发系统身份认证系统终端区分包含所有业务部门服务器安全访问控制中间件防的应用系统有系统系统系统系统以及系统防火墙防的应用系统有系统系统系统以及系统议以及协议网终端使用模式登录系统将网用户使用的账号在服务器群组安全访问控制中间件中划分到不同的用户组针对不同的用户组设置安全级别安全级别分为级可根据实际需求设置相应的级别级的安全层次为级最低级级最高级由.资料.主中心从属中心网闸从属中心核心交换机主中心核心交换机网络安全审计网络安全审计 图 1-14 网络安全审计部署示意图(2)第一次运行策略 配置审计 http、POP3、Smtp、imap、telnet、FTP 协议以及自定义审计 143
45、3、8080、27000、1043、1034、1037、1041、1040、1042、6035、7777、3690 端口;依据 XX公司规定设定相关关键词字,审计关键词字;使用 Https 式管理系统。(3)设备管理及策略 网络安全审计系统由信息中心进行管理及维护,审计策略的改动均需要经过办的讨论后可操作。网络安全审计系统的日志系统维护,日志的保存与备份按照XX公司网络安全审计运维管理制度进行管理。a、由信息中心管理网络安全审计设备,分别设置管理员、安全管理员、安全审计员的口令,由“三员”分别管理。b、由信息中心分别对 2 台网络安全审计设备进行编号、标识密级、安放至安全管理位置。c、信息中心
46、负责网络安全审计系统的日常运行维护,每登陆设备查看设备配置、设备自身运行状态、转发数据量状态、系统日志等容。d、信息中心发现异常审计日志及时通报办,并查找原因,追究根源。e、信息中心负责网络安全审计系统的维修管理,设备出现问题,通知办,获得批准后,负责设备的维修管理。(4)部署后解决的风险 解决应用审计,针对容进行审计记录,满足安全审计相关要求。5 终端安全防护 5.1 防病毒系统 XX公司将使用网络版防病毒软件建立病毒防护系统,共计26 个服务器端,419 个客户端,分别部署在主中心以及从属中心。XX 公司将使用单机版防病毒软件建立中间机、单机及便携式计算机病毒防成类似于星型结构的网络模式参
47、照网络模型建立核心交换机上配置三层网关并划分在服务器安全访问控制中间件以及防火墙上启用桥接模式核心交换机服务器安全访问控制中间件以及防火墙上设置安全访问控制策略禁止部门间互访安全管理区包含网络防病毒系统主机监控与审计系统域控及补丁分发系统身份认证系统终端区分包含所有业务部门服务器安全访问控制中间件防的应用系统有系统系统系统系统以及系统防火墙防的应用系统有系统系统系统以及系统议以及协议网终端使用模式登录系统将网用户使用的账号在服务器群组安全访问控制中间件中划分到不同的用户组针对不同的用户组设置安全级别安全级别分为级可根据实际需求设置相应的级别级的安全层次为级最低级级最高级由.资料.护系统,共计
48、226 个终端。(1)部署 防病毒系统采用客户端+服务器结构,服务器由信息中心负责管理。杀毒中心安装:安装在安全管理服务器上,设置好 admin 密码,并且将注册信息输入到杀毒控制中心。服务器安装:在 XX公司各类服务器上安装杀毒服务器端,设置杀毒中心的IP 地址,并保持与杀毒中心的实时通信。客户端安装:所有的外终端均安装客户端杀毒程序,设置杀毒中心的 IP 地址,与杀毒中心同步。单机防病毒系统直接部署在涉密单机及中间机上。(2)第一次运行策略 防病毒控制中心服务器部署在室。网络防病毒系统连接在核心交换机的access 接口上。交换机接口配置 Vlan 二层信息为:接口类型为 access,为
49、其划分 Vlan,使得其与其他 Vlan 不能通过二层相通,使得网络防病毒系统需要通过三层与其他 Vlan 通信,即网络防病毒系统可以对网络中所有的主机设备进行杀毒统一管理和在线控制。所有接入网络的终端计算机和应用服务器(windows 操作系统)都安装防病毒软件,管理员通过控制台实现对全网防病毒系统的统一管理,并强制在用户接入网络时安装防病毒客户端。升级式为:在非涉密计算机上从互联网下载最新的防病毒系统升级包,刻制成光盘。将此光盘上的防病毒系统升级包通过非涉密中间机导入到涉密光盘上,带入到涉密网的防病毒系统服务器上。利用服务器上的防病毒系统服务端提供的接口导入升级包,再通过服务端将更新了的病
50、毒库向每一台防病毒系统客户端进行强制更新。防病毒管理:定期升级病毒特征库,每不少于一次;定期进行全网杀毒扫描,每天计划不少于一次;每月检查防病毒系统的运行情况并记录,备份并存储病毒日志;制定应急预案,防止病毒大面积爆发。(3)设备管理及策略 为了防止计算机病毒或恶意代码传播,将采取如下措施:a、制定XX公司涉密信息系统运行管理制度,该管理办法将与 XX公司涉密信息系统的建设同时进行制定,同时加强审计,确保策略的正确实施;b、加强存储设备的接入管理,对接入系统的存储设备必须先经过计算机病毒和恶意代码检查处理;c、所有的涉密计算机 usb 及光驱等接口均通过授权才能使用,防止系统用成类似于星型结构