《算机信息系统安全建设专项方案.doc》由会员分享,可在线阅读,更多相关《算机信息系统安全建设专项方案.doc(34页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、文献编号:文献页数:共 页文献级别:内部文献日 期:0611编写部门:安全评估部版 本:V2.0 某公司涉密计算机信息系统安全建设方案*公司XXX信息技术有限公司联合编写10文档信息文档名称*公司涉密计算机信息系统安全建设方案保密级别内部文档版本编号V2.0文档管理编号管理人制作人 制作日期 校对人 制表人 复审人复审日期 扩散范畴:双方项目参加人员文档控制变更记录日期作者版本号阐明 1.0创立文档初始版本 2.6修改和完善 3.0修订 3.9依照 月 日 评审意见修改文档审核日期姓名职位0525副总经理0525高工、CISP0525信息安全工程师0609四川省国家保密局特邀专家文档发布拷贝号
2、文档接受人员单位 / 地址-05-28 *公司-05-28 四川省国家保密局文档阐明此文档为“*公司涉密计算机信息系统安全建设方案”,是成都XXX信息技术有限责任公司受*公司委托编写。本方案旨在依照国家对于涉密计算机信息系统规定,给出*公司涉密计算机信息系统安全建设建议,并及时请示国家保密局组织专家评审。版权阐明本文献中浮现任何文字论述、文档格式、插图、照片、办法、过程等内容,除另有特别注明,版权均属成都XXX信息技术有限公司所有(某些内容版权属*公司所有),受到关于产权及版权法保护。任何个人、机构未经双方书面授权允许,不得以任何方式复制或引用本文献任何片断。目 录前言- 5 -1、概述- 6
3、 -1.1 任务由来- 6 -1.2 任务范畴- 6 -1.3 任务目的- 6 -2、系统概括- 7 -3、设计根据- 9 -4、系统安全建设目的和原则- 10 -4.1 建设目的- 10 -4.2 建设原则- 10 -5、信息系统安全需求分析- 11 -5.1 需求来源- 11 -5.1.1国家信息安全政策规定- 11 -5.1.2科研生产需要- 11 -5.1.3工厂管理需要- 11 -5.1.4 信息系统安全评估成果- 12 -5.2 信息系统安全需求- 12 -6、信息定密、系统定级和划分安全域- 14 -6.1 信息定密- 14 -6.2 系统定级- 14 -6.3 安全域划分- 1
4、4 -7、信息系统安全方略- 15 -7.1 涉密计算机信息系统基本规定- 15 -7.2 物理安全方略- 15 -7.3 运营安全方略- 16 -7.3.1 网管中心服务器存储、备份及恢复安全方略- 16 -7.3.2 各部门服务器和客户端存储、备份及恢复安全方略- 16 -7.3.3 电源备份安全方略- 16 -7.3.4 病毒威胁安全方略- 16 -7.3.5 应急响应方略- 16 -7.3.6 运营方略- 17 -7.4 信息安全方略- 17 -7.4.1 身份认证方略- 17 -7.4.2 访问控制方略- 18 -7.4.3 安全审计方略- 18 -7.4.4 信息加密与电磁泄漏防护
5、方略- 18 -7.4.5 系统安全性能检测方略- 19 -7.4.6 边界安全防护方略- 19 -8、物理安全设计- 21 -8.1 环境安全- 21 -8.2 设备安全- 21 -8.3 介质安全- 21 -9、安全运营体系设计- 22 -9.1 安全存储与备份、恢复- 22 -9.2 增长UPS后备电源- 22 -9.3 计算机病毒防治- 23 -9.4 完善应急响应办法- 23 -9.5 完善运营管理办法- 23 -10、信息安全保密体系设计2410.1 身份认证解决办法2410.2 访问控制解决办法2410.3 安全审计解决办法2510.4 信息加密与电磁泄漏防护解决方案2510.5
6、 系统安全性能检测解决办法2510.6 边界安全保护解决办法2510.7 安全防范拓扑示意图2611.安全管理体系设计2712、建设实行内容2812.1 综合布线2812.2 机房改造2812.3 信息系统基本平台建设2912.4 安全防范办法2913、工程筹划3014、结语32前言四川* 责任公司(如下简称“*公司”)是国家中型公司,属于制造业。始建于*年,是中华人民共和国*专业化厂家,是中华人民共和国*设备制造公司之一,工厂既有职工700余人。随着*公司公司信息化建设逐渐推动,加强了技术创新和管理创新能力,使公司及其产品获得市场竞争优势。随着信息化建设推动,必要加强信息系统安全保密建设,以
7、满足国家对于涉密计算机信息系统需求。按照保密密级规定,*公司涉密计算机信息系统需要按照秘密级进行安全防护建设。本方案重要依照*公司涉密信息系统建设规定,由成都XXX信息技术有限公司(如下简称“XXX公司”)设计完毕。本方案根据BMB17-/BMB20-,结合*公司在新保密形式下需求,紧扣“建设安全保密、经济可用秘密级信息系统”这一设计目的,旨在采用先进网络信息安全技术,保障系统运营环境和设备安全,防范对信息资源非法访问,抵抗对涉密资料非法窃取,保护数据资产安全,提高*公司在复杂应用环境下安全保密能力,达到国家有关规定。本方案在现状分析和需求分析基本上,遵循国家有关保密法律和规范,从物理安全、网
8、络运营安全、信息保密安全、安全保密管理等方面出发,开展对系统脆弱性和风险性分析,进行网络系统扩展设计以及系统安全设计,提出了涉及访问控制、安全审计、管理监控等安全技术在内一整套解决方案,满足BMB17-和BMB20-有关技术规定。同步,按照规范规定,本方案对*公司安全保密管理提出理解决办法,涉及了管理机构设立、管理制度建立、管理技术实行和人员管理配套。1、概述1.1 任务由来*公司在公司分离破产后重组新建四川* 责任公司,公司筹划在第三季度通过有关保密资格认证,其中保密资格认证是*公司中重要认证之一,通过*公司办公会上充分讨论,以及对各个有涉密计算机信息系统集成资质公司比较和筛选,最后拟定由X
9、XX公司来协助*公司建设涉密计算机信息系统,并同步建设安全保密系统。1.2 任务范畴本次任务是编写*公司涉密计算机信息系统安全建设方案。其范畴是*公司办公局域网和安全系统建设,为*公司将来信息系统应用打好基本。重要涉及:综合布线系统,机房建设,网络基本平台搭建和安全保密系统同步建设。1.3 任务目的本次任务有两个目的:1、借“保密资格认证”东风,搭建公司局域网平台;2、同步建设公司安全保密系统,满足保密资格认证规定。2、系统概括*公司当前信息系统规模小,信息应用简朴,当前在三个重要办公区域采用了3个HUB进行本部门网络连接(这三个网之间无互相连接),其拓扑示意图如下:1、*公司当前信息系统构成
10、有:1)单机办公共计100多台,重要运营MS Office软件;2)财务审计部和技术管理部计算机接于各自HUB上,目是网络办公和共享打印机;3)基于非网管、同房间使用互换机构成暂时网络,重要运营CAD系统,目是共享文献和打印机;2、信息系统资产:*公司信息系统资产重要有:全厂100多台PC机,以及CAD和财务数据。3、信息系统管理:当前是“谁使用、谁负责、谁运营维护”状态,没有专业信息技术部门统一管理。4、信息系统应用系统及重要性: 应用系统涉及:财务系统和CAD联网应用,这两个系统中CAD是*公司业务龙头,有较大重要性。5、信息系统之间互联关系:实现了和国际互联网物理隔离,没有和其她网络有连
11、接关系。6、系统安全管理组织机构及办法: *公司成立了保密办,负责检查和教诲应用系统保证同国际互联网物理隔离。7、信息系统承载密级 *公司当前单个计算机绝大某些不涉密,全厂涉密级别最高为秘密级,其重要集中在设计部门和管理部门。8、涉密人员及涉密计算计算机设备状况 *公司是老式军工单位,涉密人员和涉密计算机设备状况均有良好制度管理。当前涉密人员定员明确,涉密计算机设备运营状况也良好,实行“谁使用谁负责谁应用谁维护”管理模式。3、设计根据国标 GB/T2887电子计算机场地通用规范 GB/5271.1- 第一某些:基本术语 GB/5271.8- 第八某些:安全 GB/5271.9- 第九某些:数据
12、通信 GB/9361-1988计算站场地安全规定 GB/T9387.2-1995安全体系构造 GB/T18336-信息技术安全性评估准则 GB50174电子计算机机房设计规范 GGBB1-1999信息设备电磁泄漏发射限值 BMB2-1998使用现场信息设备电磁泄漏发射检查测试办法和安全判据 BMB3-1999解决涉密信息电磁屏蔽技术规定和测试办法 BMB4-电磁干扰器技术规定和测试办法 BMB5-涉密信息设备使用现场电磁泄漏发射防护规定 BMZ1-涉及国家秘密计算机信息系统保密技术规定 BMB17-涉及国家秘密信息系统分级保护技术规定 BMB20-涉及国家秘密信息系统分级保护管理规范 ISO/
13、IEC17799国家政策 中华人民共和国保守国家秘密法1988.9.5 国家信息化领导小组关于加强信息安全保障工作意见中办发27号 关于加强信息安全保障工作中保密管理若干意见中保委发7号 涉及国家秘密信息系统分级保护管理办法国保发16号 信息安全级别保护管理办法公通字16号4、系统安全建设目的和原则4.1 建设目的建设*公司安全、稳定、高效信息系统平台,为将来系统应用和园区网络建设奠定良好基本和示范。4.2 建设原则规范定密,准拟定级;根据原则,同步建设;突出重点,保证核心;明确责任,加强监督。 以上32字原则是本次方案设计政策性指引,*公司由保密保卫部依照中华人民共和国二航有关规定负责定密,
14、计算机信息系统最高密级为秘密级;依照有关国标,在搭建公司局域网时同步建设安全系统;突出保密重点在科研生产和产品设计上,建立信息中心,集中存储产品数据,的保证障核心涉密数据;工厂保密委同步明确各个涉密部门和人员责任,由保卫保密部执行技术部协助加强对各个涉密系统和人员监督。5、信息系统安全需求分析四川* 责任公司是国家重点保军公司,厂领导非常注重信息化建设,全厂通过近年信息化发展,已经获得了突出成绩,当前已经基本形成了军品设计、财务管理等局域网。为适应当前形势和工作需要,结合厂领导规定,建设安全、稳定、高效信息系统平台是当前信息化建设工作当务之急。而在信息系统平台建设工程中,办公大楼网络建设是园区
15、网核心,同步也是整合全厂园区网基本。5.1 需求来源5.1.1国家信息安全政策规定*公司是国家二级涉密单位,全厂信息化建设,必要符合国家有关规定,同步要接受国家职能部门达标审查,因而,计算机信息系统涉密安全建设更是重中之重。在本方案中,无论网络系统设计、构造化布线设计以及机房工程,均严格遵守国家有关保密规定,进行相应密级工程设计与施工。5.1.2科研生产需要全厂在生产过程中,会产生大量实验数据和文档资料,如何将这些数据资料有效存储和传播,以适应分布式计算需要,同步保证安全性、保密性规定。因而,建立一种流畅、高速网络平台与一种安全、稳定、高效系统平台,是当前刻不容缓任务。5.1.3工厂管理需要当
16、前,计算机已成为*公司寻常办公重要工具。如何有效运用既有软、硬件资源,简化工作流程,提高管理工作效率,实现办公自动化和信息资源共享,同步实现安全有序管理,是当前厂内各管理部门迫切需要。5.1.4 信息系统安全评估成果*公司是全新信息系统建设,通过简朴安全评估成果(见5.2章节)是信息系统重要需求来源之一。5.2 信息系统安全需求依照*公司涉密计算机信息系统现状,结合国家有关规范规定,咱们如下表呈现本次安全需求(数量越多,安全风险越大)。安全种类项目现状安全风险安全需求物理安全门禁不具备。建设中心机房建设门禁系统 防雷原大楼建没有防雷系统采用防雷保护办法供电仅有市电供应。布置UPS防静电、防盗无
17、中心机房,更无防静电办法设立中心机房,铺设防静电地板,同步加强防盗建设。电磁泄漏办公大楼与公共区域距离在50米以内需要建设有良好接地屏蔽布线系统,并采用电磁干扰。介质安全原则中关于于介质收发和传递新规定。加强介质管理,加强计算机接口管理,布置安全审计系统运营安全存储备份中心机房服务器和重要涉密单机缺少有效备份手段, 使用刻录光盘或移动硬盘备份方式实现定期数据备份。应急响应没有应急响应制度与技术手段,缺少定期培训和演习。制定应急响应筹划并培训和演习,并拟定组织机构。运营管理需要完善运营管理和建立统一安全运营管理中心。设立信息中心机构承担,并辅助以AD管理模式。病毒与恶意代码防护需要在系统内核心入
18、口点(如电子邮件服务器)以及各顾客终端、服务器和移动计算机设备上采用计算机病毒和恶意代码防护办法需要安装网络版杀毒软件并定期更新信息安全保密访问控制既有网络系统中没有对资源访问控制,只限于自身资源自我控制,尚未建立一套整体资源访问控制。加强访问控制办法,采用AD方式安全审计既有审计系统已不满足新安全保密规定,对资源访问存在着不可控现象,同步涉密信息泄漏时,事后不可查现象。布置专业安全审计系统信息加密与电磁泄漏综合布线采用非屏蔽线。在新信息系统建设中,采用FTP线缆,在系统核心部位布置电磁防泄漏设备端口接入管理内网信息接入点分布广泛,不以便进行管理,无法对接入网络设备进行安全认证采用端口接入认证
19、技术实现对接入设备有效管理系统及网络安全检测没有专业安全软件或设备对系统及网络安全进行有效检测和评估采用专业安全检测工具对网络和主机安全进行检测6、信息定密、系统定级和划分安全域6.1 信息定密依照*公司上级主管部门规定,信息拟定密级为:秘密级。其中明确涉密信息重要是环绕科研生产产生信息和上级部门密级文献(对于来自上级部门、所占比例很少机密级文献,将不容许进入本涉密计算机信息系统中;严格限定将这些机密级文献采用单机解决)。6.2 系统定级*公司涉密计算机信息系统所解决信息最高密级是:秘密级6.3 安全域划分安全域是对由实行共同安全方略主体和客体构成集合进行区域划分。依照*公司当前现状和即将建设
20、信息系统,咱们划分为2个安全域:普通办公计算机系统和涉密人员使用计算机系统分别为独立安全域。7、信息系统安全方略安全方略是信息系统安全核心,对信息系统安全起着至关重要作用。在241信息系统中,安全方略制定,最核心问题就是如何保证数字资源安全共享。保证数字资源安全共享,就是从权限分级设立角度出发,拟定数据资产身份认证和访问控制。因而,应从各个安全规定出发,对信息系统进行安全保障,保障安全目可以得到实行。因而,应以技术手段实现身份验证、访问控制、安全审计,同步,为进一步保障,以各种附加安全产品,对单机和网络安全进行全面加强,针对网络、操作系统、数据库、信息共享授权提出详细办法。除技术外,再辅以管理
21、加强,以制度化和技术化管理,全面加强安全整体体系。因而*公司应建立如下安全方略:7.1 涉密计算机信息系统基本规定l 物理隔离:采用管理和技术相结合方式,保证涉密计算机信息系统与外部网络物理隔离。l 安全保密产品选取:在涉密信息系统建设中,选用和采购国产设备;安全保密产品应通过国家有关主管部门授权测评机构检测。l 安全域边界防护:划分安全域,安全域之间边界明确;禁止高密级信息由高级别安全域流向低级别安全域。l 密级标记:在涉密计算机信息系统建设和运营过程中,做好定密和密级标记工作;防止密级标记与信息主体分离或被篡改。7.2 物理安全方略l 建立IDC机房l 各部门服务器均统一托管到新IDC机房
22、l 加强对共享打印机、制图机等公用输出设备安全控制,防止打印输出成果被非授权查看和获取l 按照新规定完善设备管理和介质收发与传递7.3 运营安全方略7.3.1 网管中心服务器存储、备份及恢复安全方略l 完善备份系统,最大限度减少数据存储备份脆弱。l 制定文档化备份与恢复方略。l 保证备份与恢复正的确施规章制度。7.3.2 各部门服务器和客户端存储、备份及恢复安全方略l 完善备份系统,最大限度减少数据存储备份脆弱。l 制定文档化备份与恢复方略;l 保证备份与恢复正的确施规章制度。7.3.3 电源备份安全方略l 对与系统正常运营有关设备,进行电源备份。l 后备电源时间应满足数据备份规定。7.3.4
23、 病毒威胁安全方略l 制定文档化计算机病毒与恶意代码防护方略;保证计算机病毒与恶意代码防护正的确施规章制度l 应严格控制存储设备接入系统和软件安装。如接入和安装需经计算机病毒与恶意代码产品检测7.3.5 应急响应方略l 完善应急响应文档、规章制度。l 应急筹划中应涉及发生异常事件应急响应基本环节、解决办法和报告流程。7.3.6 运营方略l 制定文档化运营管理方略;保证系统配备正的确施规章制度l 拟定安全底线,不能为满足应用而突破此底线l 以技术和管理手段保证违规接入网络设备无法访问网络资源l 最小权限原则;注意特权顾客权限互相制约、监督关系解决,避免权限过于集中7.4 信息安全方略7.4.1
24、身份认证方略l 建立网络身份认证体系。l 制定文档化身份鉴别方略;保证身份鉴别正的确施规章制度。l 对涉密服务器和顾客终端本地登陆、远程登陆、应用程序等进行顾客身份鉴别。l 身份标记符由系统管理员统毕生成,在此系统生命周期中唯一性;对身份标记符列表进行管理和维护,保证不被非授权地访问、修改或删除;身份标记符应与审计有关联,保证可核查性l 长度:不少于10位 ; 复杂度:大小写字母、数字和特殊字符中两者以上组合; 更换周期:不长于一月;口令文献:加密存储、传播l 失败5次,采用相应办法:1、本地登陆,在被登陆端进行锁定,并形成审计事件并警告;2、远程登陆(域、网络数据库等)对顾客标记进行锁定,并
25、形成审计事件并警告,只能由管理员恢复或重建。3、应用程序,禁止使用该程序或延长一段时间再容许尝试,并形成审计事件并告警7.4.2 访问控制方略l 建立域管理体系,采用强制访问控制方略。l 应制定明确访问控制方略;涉密信息系统安全域由实行共同安全方略域及其中主体、客体构成;应依照信息密级和信息重要性划分系统安全域7.4.3 安全审计方略l 采用专业安全审计系统。l 制定文档化安全审计方略;保证安全审计正的确施规章制度l 审计范畴:1、服务器、涉密重要顾客终端、安全保密设备启动和关闭;2、审计功能启动和关闭;3、系统内顾客增、删或顾客权限更改;4、系统管理员、系统安全员、审计员和普通操作员所实行操
26、作;5、其她与系统安全关于事件或专门定义可审计事件。l 审计内容:事件发生时间、地点、类型、主体和成果(成功或失败)l 独立审计系统指将审计信息存储在各个服务器和安全保密设备上,各审计日记独立,彼此没有联系。检查解决涉密信息涉密系统与否将审计信息存储在各服务器和安全保密设备上,供系统安全保密管理员审查7.4.4 信息加密与电磁泄漏防护方略l 在重点区域采用电磁泄露防护办法。l 涉密系统设备安装使用应满足国家保密原则BMB5涉密信息设备使用现场电磁泄漏发射防护规定;涉密系统各种设备安装、摆放位置、接地屏蔽等与否符合BMB5涉密信息设备使用现场电磁泄漏发射防护规定规定;解决绝密级信息设备应采用满足
27、GGBBl1999信息设备电磁泄漏发射限值低辐射没备l 如不满足系统电磁泄露发射防护规定,应使用BMB4-一级电磁干扰器,警戒距离不不大于100米时可使用该原则二级电磁干扰器;相对集中设备可采用屏蔽机柜l 便携设备及可移动存储介质在系统外部使用,应加密保证不被非授权查看l 远程传播时数据应加密;不满足数据传播线路电磁泄露发射防护封闭、独立建筑群内应加密7.4.5 系统安全性能检测方略 l 采用安全性能检测工具,定期对系统进行安全性检测。l 制定文档化系统安全性能检测方略;保证系统安全性能检测正的确施规章制度l 国家保密主管部门批准检测工具,版本及时更新l 对检测数据进行详细地记录,对记录进行分
28、析,及时弥补漏洞或脆弱点7.4.6 边界安全防护方略l 依照信息密级和重要性划分安全域l 明确安全域与以外系统边界l 在明确边界实行有效访问控制方略l 进出安全域数据访问都应通过各自安全边界完毕l 在系统安全边界核心点采用严格安全防护机制。如:严格登陆/连接控制、高功能防火墙、防病毒网关、入侵防范、信息过滤l 对于跨安全域访问(针相应用系统)使用级别保护网关l 记录边界访问控制事件时间、地点、类型、主体、客体和成果l 禁止系统内顾客非授权外部连接(擅自拨号和无线上网等),并采用技术手段对此行为进行检查和控制*公司网络安全基于以上安全方略,从技术和管理出发,采用安全技术办法和管理手段,实现全方位
29、立体化安全体系建设,详细保护技术规定如下图所示。8、物理安全设计8.1 环境安全 应尽量减少工作区域无关人员流动。 增长出入管理警卫和强化登记制度。 机房选址:依照当前*公司既有条件,结合保密管理规定,机房选在办公5楼与其她办公区域相对隔离。 机房建设:本次建设内容为机房装修,功能分区;添加空调、防盗、门禁系统。按B类机房建设:建立机房监控系统,对机房温湿度、漏水、烟雾、UPS、空调、数字电表进行监控并报警。8.2 设备安全 增长保安人员,加强对重点区域监管来保障设备物理安全,用管理和制度保障设备生命周期安全(购买、使用、定密级、保存、维修、销毁)。 使用AAA网络身份认证对设备接入进行控制和
30、管理。8.3 介质安全 对使用涉密U盘、移动硬盘、软盘必要按规定进行密级标记。标明密级和保密期限,注明发放范畴及数量。涉密介质保存、携带、维修、报废必要按有关规定解决。 单纯依托制度对U盘、移动硬盘进行管理并不可靠,必要结合管理技术对计算机USB口进行管理。 对介质传递按新规定,指派专人专车或者通过机要交通、机要通信、机要互换等办法进行传递。9、安全运营体系设计运营安全是为保障系统功能安全实现,涉及备份与恢复,计算机病毒防治、应急响应、运营管理等。9.1 安全存储与备份、恢复安全存储与备份、恢复是网络安全基本,如果不能实现安全存储和可靠备份恢复,一切数字资产安全都无从谈起。因而,为了保障涉及服
31、务器和客户端数据存储安全,实现先进、可靠备份、恢复环境,应采用如下办法:l 完善既有备份与恢复方略;保证备份与恢复对的;建立培训和演习机制。l 应备有核心应用数据安装程序。l 增长备份设备。9.2 增长UPS后备电源为保障系统正常运营,配备与信息系统规模相适应UPS后备电源。9.3 计算机病毒防治l 在系统内布置统一网络防病毒系统;l 及时更新病毒代码,并通过网络自动下发和安装;l 加强病毒检查。9.4 完善应急响应办法l 制定应急响应筹划和响应方略;l 定期评估和修正应急响应筹划和方略;l 组织应急响应培训,明确成员在应急响应中角色与责任;l 定期进行应急响应演习。9.5 完善运营管理办法l
32、 完善运营管理方略及制度;l 加强系统配备管理,系统配备变更应通过审核和批准;l 加强设备接入控制,控制违规接入设备对系统资源访问;10、信息安全保密体系设计保证信息保密性、完整性、可用性和抗抵赖性是信息安全保密中心任务,信息安全保密技术重要涉及身份认证、访问控制、审计、信息加密、电磁泄漏防护、信息完整性校验、抗抵赖、安全保密性能检测、入侵检测、操作系统安全、数据库安全。10.1 身份认证解决办法l 完善身份鉴别方略和制度;l 采用网络身份认证;l 由系统管理员统毕生成顾客身份标记符;l 身份鉴别口令设立满足国家保密有关规定;l 启用空闲操作重鉴别功能;l 启用鉴别失败保护办法。10.2 访问
33、控制解决办法l 建立域管理体系(Active Directory),对共享资源进行权限管理。l 按照机构职能和安全需求,对网络系统进行安全域规划,按照安全域规划来划分VLAN。依照详细网络拓朴构造和网络应用状况,可以将网络分为如下安全域。在划分过程中,咱们将安全级别分为三等,其中C为最低,A为最高。安全域划分序号安全区域安全级别访问对象可访问对象获准访问该安全域对象1非技术类外来人员安全域C服务器安全域网管防毒、软件及网管工作域2服务器安全域B不能访问任何对象所有对象3防毒、软件及网管工作域B不能访问任何对象所有对象4科室、生产部门A所级服务器安全域网管(部门间彼此不能访问)防毒、软件及网管工
34、作域将以上安全域,在互换机上通过VLAN划分来实现,并且从业务实际状况出发对VLAN间通信关系进行系统分析,配备VLAN间路由和访问控制列表(ACL),既保证VLAN间通信,又保护各VLAN之间安全。10.3 安全审计解决办法l 完善审计方略和制度;l 采用专业安全审计系统;l 妥善保存审计记录,防止审计记录被非授权查阅;10.4 信息加密与电磁泄漏防护解决方案l 在进行网络基本设施建设时,采用屏蔽线缆;l 在涉密计算机比较集中区域布置电磁泄露发射防护产品;l 加强周边环境安全警戒。10.5 系统安全性能检测解决办法l 完善系统安全性能检测制度;l 采用专业安全性能检测工具,定期检测;l 及时
35、更新检测工具版本;l 及时分析检测成果,并对发现漏洞和脆弱点进行修补。10.6 边界安全保护解决办法l 在明确系统或安全域边界核心点;l 建立域管理体系(Active Directory),对系统边界进行保护;10.7 安全防范拓扑示意图11.安全管理体系设计n 在安全管理制度中,明确管理主体、管理客体、如何管、靠什么来管等。n 安全管理体系涉及:信息系统整个生命周期中与人有关安全管理、与操作有关运营安全管理和与技术有关技术安全管理,以及为平衡系统安全与成本控制所进行风险管理。n 下图所示安全管理体系重要关注与人有关安全管理,涉及:安全政策、法律法规,安全规章、制度与方针,安全组织、人员安全、
36、物理安全、安全意识、培训与教诲以及安全管理原则。n 强化员工信息安全意识,规范组织信息安全行为n 对核心信息资产进行全面系统保护,维持竞争优势n 促使管理层坚持贯彻信息安全保障体系n 建立安全管理组织机构,明确安全管理职能12、建设实行内容本次*公司涉密计算机信息系统安全建设,涉及网络基本设施建设(综合布线)、机房改造、信息系统基本平台、安全防范办法四个某些:12.1 综合布线序号项目名称规格型号单位数量1 超五类屏蔽双绞线CAT5e双层屏蔽305米箱282 超五类屏蔽24口模块化配线架CAT5e个83 超五类屏蔽模块CAT5e个1214 英式双孔面板86*86个1215 超五类屏蔽1米跳线C
37、AT5e根1216 超五类屏蔽3米跳线CAT5e根1217 导线器1U个88 6芯多模室内光缆50/125,天津立孚米3009 6芯多模室外铠装光缆50/125,天津立孚米25010 24口光纤信息盒ST,天津立孚个511 ST法兰盘ST-ST,天津立孚个4812 ST尾纤ST,天津立孚根4813 光纤跳线ST-SC,天津立孚根2014 光纤熔接芯4815 9U墙柜600*800台416 PVC穿线管25米1,00017 PVC穿线管32米40018 PVC穿线管40米40019 PVC线槽100*40米26020 PVC线槽80*30米12021 86明装底盒个12122 信息点端接点121
38、23 信息点和光缆测试报告点16924 光缆敷设米55012.2 机房改造序号产品名称规格型号产品阐明数量单位1 墙面乳胶漆立邦人工及材料费160平方米2 全钢防静电地板30mm华东45平方米3 玻璃地弹门含不锈钢门套12mm钢化玻璃1樘4 地弹簧皇冠1只5 上、下门夹雄业1套6 大拉手雅托1套7 不锈钢玻璃隔断定制26平方米8 防盗窗定制5平方米9 门禁控制器(含读卡器)SC7600集佳1套10 磁力锁(含支架)DZ03J 宏泰1只11 卡20张12 出门按钮1只13 专用电源1只14 控制线缆RVVP 4X1.0扬州联通20米15 电源线RVV 2X1.5扬州联通10米16 成品实木踢脚线
39、国产30米18 服务器机柜42U6009003个19 辅助材料1批12.3 信息系统基本平台建设序号产品名称规格型号产品阐明数量单位1华为3COM3628EI和4个SFP核心互换1台2华为3COM3126C(6个堆叠4个光纤)接入互换7台3UPS山特C6K不间断电源1台4安全域控制网络管理模式网络域管理1套5服务器1DELL 2950核心服务器(4核CPU/4G/146*3)核心服务器1台6服务器2DELL 2950邮件服务器邮件服务器1台7网络版防毒系统KV(江明)防病毒软件公司版14150网络防病毒1套8电磁防泄漏系统(LixinC)台10套12.4 安全防范办法序号产品名称规格型号产品阐
40、明数量单位1安全审计系统50顾客含硬件服务器1台网络监管和审计1套2单机审计软件单机审计系统单机审计1套3网络版本漏洞扫描漏洞扫描,100顾客可安装在PC中,PC顾客自备网络扫描1套4端口接入管理AAA认证系统防止端口接入失控1套13、工程筹划工程筹划序号项目阶段工作内容甲方职责乙方职责共同完毕甲方职责描述乙方职责描述时间安排备注一前 期需求调研专人陪伴、提供有关素材记录、提问11保密合同订立订立保密合同订立保密合同12需求确认确认需求根具调研状况分析后提出需求0.53方案合同订立订立方案设计合同订立方案设计合同0.54方案草稿无依照前期调研成果出具方案35方案内审内部评审0.56方案递交甲方
41、审查就草稿进行评审递交甲方0.57方案修改提出修改意见依照实际状况和修改意见综合评议后修改草稿28方案定稿 拟定方案提交终稿,甲方若有修改意见返回上一种流程19订立合同和技术合同就方案中所涉及产品和服务订立商务和技术合同就方案中所涉及产品和服务订立商务和技术合同0.510基本培训应对参加本项目人员进行基本培训,如参加化为HCSE培训5该时间不计入项目时间11递交保密局评审向保密局报批协助甲方报批312召开评审会议参加评审会协助组织评审会113获得批复文献获得批复文献获得批复文献7二中 期构成项目实行小组提供参加本项目人员名单和拟定其职责,与乙方人员共同构成项目小组提供参加本项目人员名单和拟定其职责,与乙方人员共同构成项目小组0.51备货依照合同订货和交付甲方7该时间不计入项目时间2递交实行方案