计算机信息系统分级保护方案

1、方案详细设计 1系统总体部署 (1) XX公司涉密信息系统的组网模式为：服务器区、安全管理区、终端区 共同连接至核心交换机上，组成类似于星型结构的网络模式，参照TCP/IP网络 模型建立。核心交换机上配置三层网关并划分Vian，在服务器安全访问控制中 间件以及防火墙上启用桥接模式，核心交换机、服务器安全访问控制中间件以及 防火墙上设置安全访问控制策略(ACL,禁止部门间Vian互访，允许部门Vian 与服务器Vian通信。核心交换机镜像数据至入侵检测系统以及网络安全审计系 统；服务器区包含XX公司原有应用系统；安全管理区包含网络防病毒系统、主 机监控与审计系统、windows域控及 WSUS补

2、卜丁分发系统、身份认证系统；终端 区分包含所有业务部门。 服务器安全访问控制中间件防护的应用系统有：XXX系统、XXX系统、XXX 系统、XXX系统以及XXX系统、o 防火墙防护的应用系统有：XXX XXX系统、XXX系统、XXX系统以及XXX系 统。 (2) 邮件系统的作用是：进行信息的驻留转发，实现点到点的非实时通信。 完成集团内部的公文流转以及协同工作。使用25、110端口，使用SMTP协议以 及POP3协议，内网终端使用C/S模式登录邮件系统。 将内网用户使用的邮件账号在服务器群组安全访问控制中间件中划分到不 同的用户组，针对不同的用户组设置安全级别， 安全级别分为1-7级，可根据实

3、际需求设置相应的级别。1-7级的安全层次为：1级最低级，7级最高级，由1 到7逐级增高。即低密级用户可以向高密级用户发送邮件，高密级用户不得向低 密级用户发送，保证信息流向的正确性，防止高密数据流向低密用户。 (3) 针对物理风险，采取红外对射、红外报警、视频监控以及门禁系统进 行防护。针对电磁泄射，采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进 行防护。 2物理安全防护 总体物理安全防护设计如下： (1) 周边环境安全控制 厂区XXX侧和XXX侧部署红外对射和入侵报警系统。 部署视频监控，建立安防监控中心，重点部位实时监控。 具体部署见下表： 表1-1周边安全建设 序号 保护部位 现有防护

4、措施 需新增防护措施 1 人员出入通道 2 物资出入通道 序号 保护部位 现有防护措施 需新增防护措施 3 丿 厂区南侧 4 丿 厂区西侧 5 丿 厂区东侧 6 厂区北侧 (2)要害部门部位安全控制 增加电子门禁系统，采用智能IC卡和口令相结合的管理方式。具体防护措 施如下表所示： 表1-2要害部门部位安全建设 序号 保护部门 出入口控制 现有安全措施 新增安全措施 1 门锁/登记/ 24H警卫值班 2 门锁 3 门锁 4 门锁 5 门锁/登记 6 门锁/登记 7 门锁/登记 8 门锁/登记 9 机房出入登记 10 门锁 (3)电磁泄漏防护 建设内容包括： 为使用非屏蔽双绞线的链路加装线路干扰

5、仪。 为涉密信息系统内的终端和服务器安装红黑电源隔离插座。 为视频信号电磁泄漏风险较大的终端安装视频干扰仪。 通过以上建设，配合XX公司安防管理制度以及XX公司电磁泄漏防护 管理制度，使得XX公司达到物理安全防范到位、 重要视频监控无死角、进出人 员管理有序、实体入侵报警响应及时以及电磁泄漏信号无法捕捉、无法还原。 2.1红外对射 (1)部署 增加红外对射装置，防护厂区边界，具体部署位置如下表: 表1-1红外对射部署统计表 序号 部署位置 数量(对) 1 厂区东围墙 2 厂区北围墙 3 合计 部署方式如下图所示: 图1-2红外对射设备 设备成对出现，在安装地点双向对置，调整至相同水平位置。 （

6、2）第一次运行策略 红外对射24小时不间断运行，当有物体通过，光线被遮挡，接收机信号发 生变化，放大处理后报警。设置合适的响应时间，以10米/秒的速度来确定最短 遮光时间；设置人的宽度为20厘米，则最短遮断时间为20毫秒，大于20毫秒 报警，小于20毫秒不报警。 （3）设备管理及策略 红外对射设备由厂区公安处负责管理，实时监测设备运行情况及设备相应情 况，定期对设备及传输线路进行检查、维护，并定期向保密办提交设备运维报告。 （4）部署后解决的风险 解决重点部位监控及区域控制相关风险。 2.2红外报警 （1）部署 增加红外报警装置，对保密要害部位实体入侵风险进行防护、 报警，具体部 署位置如下表

7、： 表1-2红外报警部署统计表 序号 部署位置 数量（个） 1 2 3 4 合计 设备形态如下图所示: 图1-3红外报警设备 部署在两处房间墙壁角落，安装高度距离地面2.0-2.2米。 (2) 第一次运行策略 红外报警24小时不间断运行，设置检测 37C特征性10 口波长的红外线, 远离空调、暖气等空气温度变化敏感的地方，不间隔屏、家具或其他隔离物，不 直对窗口，防止窗外的热气流扰动和人员走动会引起误报。 (3) 设备管理及策略 红外报警设备由厂区公安处负责管理，监测设备运行情况及设备相应情况， 定期对设备进行检查、维护，并定期向保密办提交设备运维报告。 (4) 部署后解决的风险 解决重点部位

8、监控及区域控制相关风险。 2.3视频监控 (1) 部署 增加视频监控装置，对厂区周界、保密要害部门部位的人员出入情况进行实 时监控，具体部署位置如下表： 表1-3视频监控部署统计表 序号 部署位置 数量(个) 1 2 3 4 5 6 7 8 合计 设备形态如下图所示: 图1-4视频监控设备 视频监控在室外采用云台枪机式设备， 室内采用半球式设备，部署在房间墙 壁角落，覆盖门窗及重点区域。 增加32路嵌入式硬盘录像机一台，用于对视频采集信息的收集和压缩存档。 设备形态如下图所示： 图1-5硬盘录像机 （2）第一次运行策略 视频监控24小时不间断运行，设置视频采集格式为MPEG-4显示分辨率 76

9、8*576，存储、回放分辨率 384*288。 （3）设备管理及策略 视频监控设备由厂区公安处负责管理，实时监测设备运行情况及设备相应情 况，定期对设备及传输线路进行检查、维护，并定期向保密办提交设备运维报告。 （4）部署后解决的风险 解决重点部位监控及区域控制相关风险。 2.4门禁系统 （1）部署 增加门禁系统，对保密要害部门部位人员出入情况进行控制，并记录日志， 具体部署位置如下表： 表1-4门禁系统部署统计表 序号 部署位置 数量（个） 1 2 3 4 5 6 7 8 9 10 11 合计 部署示意图如下图所示: 图1-6门禁系统部署方式 （2）第一次运行策略 对每个通道设置权限，制作门

10、禁卡，对可以进出该通道的人进行进出方式的 授权，采取密码+ 读卡方式；设置可以通过该通道的人在什么时间范围内可以进 出；实时提供每个门区人员的进出情况、每个门区的状态（包括门的开关，各种 非正常状态报警等），设置在紧急状态打开或关闭所有门区的功能；设置防尾随 功能。 （3）设备管理及策略 门禁系统由厂区公安处负责管理，定期监测设备运行情况及设备相应情况， 对设备及传输线路进行检查、维护，并定期向保密办提交设备运维报告。 （4）部署后解决的风险 解决重点部位监控及区域控制相关风险。 2.5线路干扰仪 （1）部署 增加8 口线路干扰仪，防护传输数据沿网线以电磁传导、 辐射发射、耦合等 方式泄漏的情

11、况。将从交换机引至其布线最远端以及次远端的线缆插接至线路干 扰仪，并由线路干扰仪连接至最远端和次远端，将该设备进行接地处理 具体部署位置如下表： 表1-6线路干扰仪部署统计表 序号 部署位置 数量（个） 1 2 3 合计 设备形态如下图所示: 图1-11线路干扰仪设备 （2）第一次运行策略 在网线中一对空线对上注入伪随机宽带扫频加扰信号 ，使之能跟随其他三 对网线上的信号并行传输到另一终端；窃密者若再从网线或其他与网络干线相平 行的导线（如电话线及电源线等）上窃取信息，实际上所窃得的仅是已被加扰信 号充分湮没了的混合信号。 （3）设备管理及策略 线路干扰仪由信息中心负责管理，对设备编号、标识密

12、级、摆放、调测、定 期对设备及传输线路进行检查、维护，并定期向保密办提交设备运维报告。 （4）部署后解决的风险 解决传输线路的电磁泄漏发射防护相关风险。 2.6视频干扰仪 （1）部署 增加视频干扰仪，防止对涉密终端视频信息的窃取，对 XXX号楼存在的涉密 终端部署，将该设备进行接地处理。、 具体部署位置如下表： 表1-7视频干扰仪部署统计表 序号 部署位置 数量（个） 1 2 3 11 合计 设备形态如下图所示: 图1-12视频干扰仪设备 （2）第一次运行策略 设置设备运行频率为1000 MHz （3）设备管理及策略 视频干扰仪由信息中心负责管理，监测设备运行情况及设备相应情况， 定期 对设备

13、进行检查、维护，并定期向保密办提交设备运维报告。 （4）部署后解决的风险 解决信息设备的电磁泄漏发射防护相关风险。 2.7红黑电源隔离插座 （1）部署 增加红黑电源隔离插座，防护电源电磁泄漏，连接的红黑电源需要进行接地 处理。 具体部署位置如下表： 表1-8红黑电源部署统计表 序号 部署位置 数量（个） 1 涉密终端 2 服务器 3 UPS 4 合计 产品形态如下图所示: 图1-13红黑电源隔离插座 （2）运行维护策略 XX公司要求所有涉密机均直接连接至红黑电源上，红黑电源上不得插接其 他设备。安装在涉密终端及涉密单机的红黑隔离电源由使用者维护，安装在服务 器的由信息中心维护，出现问题向保密办

14、报告。 （4）部署后解决的风险 解决信息设备的电磁泄漏发射防护相关风险。 3网络安全防护 3.1网闸 XX公司使用1台网闸连接主中心以及从属中心， 用于安全隔离及信息交换。 （1）部署 部署1台网闸于主中心及从属中心核心交换机之间， 做单向访问控制与信息 交互。设备启用路由模式，通过路由转发连接主中心以及从属中心， 从物理层到 应用层终结所有的协议包，还原成原始应用数据，以完全私有的方式传递到另一 个网络，主中心以及从属中心之间在任一时刻点上都不产生直接的物理连通。部 署拓扑示意图如下： 从属中心r:,1主中心， 从属中心网闸主中心 核心交换机核心交换机 图1-8网闸部署拓扑示意图 （2）第一

15、次运行策略 配置从属中心访问主中心的权限，允许从属中心特定地址访问主中心所有服 务器，允许其他地址访问公司内部门户以及人力资源系统，配置访问内部门户 SQL server数据库服务器，禁止其他所有访问方式。配置网闸病毒扫描，对流 经网闸设备数据进行病毒安全扫描。 配置系统使用Https方式管理，确保管理安 全。 （3）设备管理及策略 网闸设备按照XX公司网闸运维管理制度进行管理。 a、由信息中心管理网闸设备，分别设置管理员、安全保密管理员、安全审 计员的口令，由“三员”分别管理。 b、由信息中心对网闸设备进行编号、标识密级、安放至安全管理位置。 c、信息中心负责网闸设备的日常运行维护，每周登陆

16、设备查看设备配置、 设备自身运行状态、转发数据量状态、系统日志等内容。 d、信息中心发现异常情况及时通报保密办，并查找问题原因，各部门配合 信息中心及时解决问题。 e、信息中心负责网闸设备的维修管理，设备出现问题，通知保密办，获得 批准后，负责设备的维修管理。 （4）部署后解决的风险 解决两网互联的边界防护问题，对应用的访问进行细粒度的控制，各自隔离， 两网在任一时刻点上都不产生直接的物理连通。 3.2防火墙 XX公司涉密信息系统采用防火墙系统 1台进行边界防护，用于XX公司涉密 信息系统网关的安全控制、网络层审计等。防火墙系统部署于从属中心。XX公 司原有防火墙部署于主中心，不做调整。 （1

17、）部署 使用防火墙系统限制从属中心终端访问机密级服务器的权限，并且记录所有 与服务器区进行交互的日志。防火墙的 ethl 口、eth2 口设置为透明模式，配置 桥接口 fwbridgeO IP地址，配置管理方式为https方式，打开多VLAN开关，打 开tcp、udp、ICMP广播过滤。防火墙的日志数据库安装在安全管理服务器上。 部署拓扑示意图如下： 秘密级服务器群从属中心 防火墙核心交换机 图1-9防火墙部署示意图 （2）第一次运行策略 防火墙上设置访问控制策略，并设定不同用户所能访问的资源： a、允许从属中心授权用户访问软件配置管理系统。 b、开放系统内所能使用到的端口，其他不使用的端口进

18、行全部禁止访问限 制。 c、可以依据XX公司保密办相关规定设定审查关键字， 对于流经防火墙的数 据流进行关键字过滤。 d、审计从属中心用户和服务器区域的数据交换信息，记录审计日志。 e、整个防火墙系统的整个运行过程和网络信息流等信息，均进行详细的日 志记录，方便管理员进行审查。 （3）设备管理及策略 防火墙系统由信息中心进行管理及维护，任何策略的改动均需要经过保密办 的讨论后方可实施。防火墙的日志系统维护，日志的保存与备份按照XX公司 防火墙运维管理制度进行管理。 a、由信息中心管理防火墙设备，分别设置管理员、安全保密管理员、安全 审计员的口令，由“三员”分别管理。 b、由信息中心对防火墙设备

19、进行编号、标识密级、安放至安全管理位置。 c、信息中心负责防火墙设备的日常运行维护， 每周登陆设备查看设备配置、 设备自身运行状态、转发数据量状态、系统日志等内容。 d、信息中心发现异常情况及时通报保密办，并查找问题原因，各部门配合 信息中心及时解决问题。 e、信息中心负责防火墙设备的维修管理，设备出现问题，通知保密办，获 得批准后，负责设备的维修管理。 （4）部署后解决的风险 原有防火墙保证主中心各Vian的三层逻辑隔离，对各安全域之间进行访问 控制，对网络层访问进行记录与审计，保证信息安全保密要求的访问控制以及安 全审计部分要求。 3.3入侵检测系统 XX公司使用原有入侵检测设备进行网络层

20、监控，保持原有部署及原有配置 不变，设备的管理维护依旧。此设备解决的风险为对系统内的安全事件监控与报 警，满足入侵监控要求。 3.4违规外联系统 （1）部署 XX公司采用涉密计算机违规外联监控系统，部署于内网终端、涉密单机及 中间机上。XX公司的违规外联监控系统采用 B/S构架部署，安装1台内网监控 服务器、1台外网监控服务器，安装645个客户端，全部安装于内网终端、涉密 单机以及中间机上。部署示意图如下。 图1-1违规外联系统部署示意图 （2）第一次运行策略 系统实时地监测受控网络内主机及移动主机的活动，对非法内 /外联行为由 报警控制中心记录并向管理员提供准确的告警。 同时，按照预定的策略

21、对非法连 接实施阻断，防止数据外泄。报警控制中心能够以手机短信、电子邮件两种告警 方式向网络管理员告警，其中手机短信是完全实时的告警，非常方便和及时。 （3）设备管理及策略 违规外联监控系统由信息中心进行管理及维护，任何策略的改动均需要经过 保密办的讨论后方可实施。违规外联监控系统的日志系统同时维护， 日志的保存 与备份按照XX公司违规外联监控系统运维管理制度进行管理。 a、由信息中心管理违规外联监控系统， 分别设置管理员、安全保密管理员、 安全审计员的口令，由“三员”分别管理。 b、由信息中心对违规外联监控系统报警服务器进行编号、标识密级、安放 至安全管理位置。 c、信息中心负责违规外联监控

22、系统的日常运行维护，每周登陆设备查看服 务器硬件运行状态、策略配置、系统日志等内容。 d、信息中心发现异常情况及时通报保密办，并查找问题原因，各部门配合 信息中心及时解决问题。 e、信息中心负责违规外联监控系统服务器的维修管理，设备出现问题，通 知保密办，获得批准后，联系厂家负责设备的维修管理 f、当系统出现新版本，由管理员负责及时更新系统并做好备份工作。 (4) 部署后解决的风险 解决违规拨号、违规连接和违规无线上网等风险。 4应用安全防护 4.1服务器群组安全访问控制中间件 XX公司涉密信息系统采用服务器群组安全访问控制中间件2台，用于XX公 司涉密信息系统主中心秘密级服务器、从属中心秘密

23、级服务器边界的安全控制、 应用身份认证、邮件转发控制、网络审计以及邮件审计等。防护主中心的XXX 系统、XXX系统、XXX系统、XXX系统、XXX系统以及XXX门户；防护从属中心的 XXX系统以及XXX类软件系统。 (1)部署 由于主中心的终端之间以及从属中心内的终端之间数据流动均被设计为以 服务器为跳板进行驻留转发，所以在服务器前端的服务器群组安全访问控制中间 件系统起到了很强的访问控制功能，限制终端访问服务器的权限并且记录所有与 服务器区进行交互的日志。服务器群组安全访问控制中间件的ethl 口、eth2 口 机密级服务器群 机密级服务器群 服务器安 全访问控 制中间件 服务器安 全访问控

24、 制中间件 从属中心 核心交换机 主中心 核心交换机 秘密级工作级 图1-10服务器群组安全访问控制中间件部署示意图 (2) 第一次运行策略 服务器群组安全访问控制中间件上设置访问控制策略， 并设定不同用户所能 访问的服务器资源；设置邮件转发控制功能，为每个用户设置访问账号及密码， 依据密级将用户划分至不同用户组中，高密级用户不得向低密级用户发送邮件。 配置邮件审计功能，记录发件人，收件人，抄送人，主题，附件名等。配置网络 审计与控制功能，可以依据 XX公司保密办相关规定设定审查关键字，对于流经 系统的数据流进行关键字过滤；审计内部用户和服务器区域的数据交换信息，审 计应用访问日志。 （3）设

25、备管理及策略 服务器群组安全访问控制中间件系统由信息中心进行管理及维护，任何策略 的改动均需要经过保密办的讨论后方可实施。 服务器群组安全访问控制中间件的 日志系统维护，日志的保存与备份按照XX公司服务器群组安全访问控制中间 件运维管理制度进行管理。 a、 由信息中心管理服务器群组安全访问控制中间件设备，分别设置管理员、 安全保密管理员、安全审计员的口令，由“三员”分别管理。 b、由信息中心分别对2台服务器群组安全访问控制中间件设备进行编号、 标识密级、安放至安全管理位置。 c、信息中心负责服务器群组安全访问控制中间件设备的日常运行维护，每 周登陆设备查看设备配置、设备自身运行状态、转发数据量

26、状态、系统日志等内 容。 d、信息中心发现异常情况及时通报保密办，并查找问题原因，各部门配合 信息中心及时解决问题。 e、信息中心负责服务器群组安全访问控制中间件设备的维修管理，设备出 现问题，通知保密办，获得批准后，负责设备的维修管理。 （4）部署后解决的风险 解决对应用访问的边界防护、应用及网络审计、数据库安全以及数据流向控 制，满足边界防护、安全审计及数据库安全等要求。 4.2 windows域控及补丁分发 改造XX公司原有AD主域控制器及备份域控制器。 （1）部署 XX公司的主中心以及从属中心均部署 AD主域控制器及备份域控制器，共计 2套，并建立IIS服务器，安装 WSU服务器，提供

27、系统补丁强制更新服务。将 终端系统的安全性完全与活动目录集成，用户授权管理和目录进入控制整合在活 动目录当中（包括用户的访问和登录权限等）。通过实施安全策略，实现系统内 用户登录身份认证，集中控制用户授权。终端操作基于策略的管理。通过设置组 策略把相应各种策略（包括安全策略）实施到组策略对象中。部署拓扑示意图如 下： 图1-7域控及WSUS部署示意图 (2) 第一次运行策略 建立好域成员及其密码，将所有内网终端的本地账号权限收回，内网终端只 能使用管理员下发的域成员用户登录系统。 通过组策略指定不同安全域用户口令 的复杂性、长度、使用周期、锁定策略，指定每一个用户可登录的机器。机密级 终端需要

28、将USB-KEY令牌与域用户登录结合使用，达到“双因子”鉴别的过程。 设置终端用户工作环境，隐藏用户无用的桌面图标，删除“开始”菜单中的 “运行”、“搜索”功能。 启用内网WindowsXP终端内置的WSU客户端。由系统漏洞的官方漏洞发布 页下载完整的系统漏洞修复程序，将此程序通过中间机系统导入涉密信息系统， 在WSU服务器端导入此程序，由WSU服务器下发系统补丁强制修复策略， 强制 更新各个终端的系统漏洞。 (3) 设备管理及策略 AD域控系统以及WSUS卜丁分发系统由信息中心进行管理及维护，域控组策 略的改动均需要经过保密办的讨论后方可操作。 WSUS系统的升级更新按照XX 公司与管理及补

29、丁分发运维管理制度进行管理。 a、由信息中心管理AD域控系统以及 WSUS卜丁分发系统，分别设置管理员、 安全保密管理员、安全审计员的口令，由“三员”分别管理。 b、由信息中心分别对2套AD域控系统以及WSUS卜丁分发系统服务器进行 编号、标识密级、安放至安全管理位置。 c、信息中心负责AD域控系统以及 WSUS卜丁分发系统服务器的日常运行维 护，每周登陆服务器查看服务器硬件运行状态、组策略配置、域成员状态、系统 日志等内容。 d、信息中心发现异常系统日志及时通报保密办，并查找原因，追究根源。 (4) 部署后解决的风险 解决部分身份鉴别以及操作系统安全相关风险。 4.3网络安全审计 XX公司使

30、用网络安全审计系统 2台，用于对涉密信息系统的网络及应用进 行安全审计和监控。审计功能包括：应用层协议还原审计、数据库审计、网络行 为审计、自定义关键字审计等。 （1）部署 旁路部署于核心交换机的镜像目的接口， 部署数量为2台，分别部署于主中 心以及从属中心的核心交换机上。 设置其管理地址，用于系统管理及维护。部署 拓扑示意图如下： 从属中心网闸主中心 核心交换机核心交换机 图1-14网络安全审计部署示意图 （2）第一次运行策略 配置审计http、P0P3Smtp im ap、tel net、FTP协议以及自定义审计 1433、 8080、27000、1043、1034、1037、1041、1

31、040、1042、6035、7777、3690端口； 依据XX公司保密规定设定相关关键词字，审计关键词字；使用 Https方式管理 系统。 （3）设备管理及策略 网络安全审计系统由信息中心进行管理及维护，审计策略的改动均需要经过 保密办的讨论后方可操作。网络安全审计系统的日志系统维护，日志的保存与备 份按照XX公司网络安全审计运维管理制度进行管理。 a、 由信息中心管理网络安全审计设备，分别设置管理员、安全保密管理员、 安全审计员的口令，由“三员”分别管理。 b、由信息中心分别对2台网络安全审计设备进行编号、标识密级、安放至 安全管理位置。 c、信息中心负责网络安全审计系统的日常运行维护，每周

32、登陆设备查看设 备配置、设备自身运行状态、转发数据量状态、系统日志等内容。 d、信息中心发现异常审计日志及时通报保密办，并查找原因，追究根源。 e、信息中心负责网络安全审计系统的维修管理，设备出现问题，通知保密 办，获得批准后，负责设备的维修管理。 （4）部署后解决的风险 解决应用审计，针对内容进行审计记录，满足安全审计相关要求。 5终端安全防护 5.1防病毒系统 XX公司将使用网络版防病毒软件建立病毒防护系统，共计26个服务器端， 419个客户端，分别部署在主中心以及从属中心。 XX公司将使用单机版防病毒软件建立中间机、单机及便携式计算机病毒防 护系统，共计226个终端。 （1）部署 防病毒

33、系统采用客户端+服务器结构，服务器由信息中心负责管理。 杀毒中心安装：安装在安全管理服务器上，设置好admin密码，并且将注册 信息输入到杀毒控制中心。 服务器安装：在XX公司各类服务器上安装杀毒服务器端，设置杀毒中心的 IP地址，并保持与杀毒中心的实时通信。 客户端安装：所有的内外终端均安装客户端杀毒程序，设置杀毒中心的IP 地址，与杀毒中心同步。 单机防病毒系统直接部署在涉密单机及中间机上。 （2）第一次运行策略 防病毒控制中心服务器部署在保密室。网络防病毒系统连接在核心交换机的 access接口上。交换机接口配置Vian二层信息为：接口类型为access，为其划 分Vian，使得其与其他

34、Vian不能通过二层相通，使得网络防病毒系统需要通过 三层与其他Vian通信，即网络防病毒系统可以对网络中所有的主机设备进行杀 毒统一管理和在线控制。 所有接入网络的终端计算机和应用服务器（win dows操作系统）都安装防病 毒软件，管理员通过控制台实现对全网防病毒系统的统一管理，并强制在用户接 入网络时安装防病毒客户端。 升级方式为：在非涉密计算机上从互联网下载最新的防病毒系统升级包，刻 制成光盘。将此光盘上的防病毒系统升级包通过非涉密中间机导入到涉密光盘 上,带入到涉密内网的防病毒系统服务器上。利用服务器上的防病毒系统服务端 提供的接口导入升级包，再通过服务端将更新了的病毒库向每一台防病

35、毒系统客 户端进行强制更新。 防病毒管理：定期升级病毒特征库，每周不少于一次；定期进行全网杀毒扫 描，每天计划不少于一次；每月检查防病毒系统的运行情况并记录， 备份并存储 病毒日志；制定应急预案，防止病毒大面积爆发。 （3）设备管理及策略 为了防止计算机病毒或恶意代码传播，将采取如下措施： a、制定XX公司涉密信息系统运行管理制度，该管理办法将与XX公司涉 密信息系统的建设同时进行制定，同时加强审计，确保策略的正确实施； b、加强存储设备的接入管理，对接入系统的存储设备必须先经过计算机病 毒和恶意代码检查处理； c、所有的涉密计算机usb及光驱等接口均通过授权才能使用，防止系统用 户私自安装软

36、件或使用usb设备带病毒入网。 （4）部署后解决的风险 解决计算机病毒与恶意代码防护、操作系统安全相关风险。 5.2恶意程序辅助检测系统 XX公司涉密信息系统采用恶意程序辅助检测系统，用于XX公司涉密信息系 统的中间机信息输入输出介质的恶意程序及木马病毒查杀及管控。 （1）部署 系统采用单机部署在中间机上的结构。 共4台中间机，主中心2台，从属中 心2台，分别为涉密中间机以及非涉密中间机。4台中间机上均安装恶意程序辅 助检测系统，对中间机潜在的恶意程序及木马进行管控。 （2）第一次运行策略 使用恶意程序辅助检测系统接管系统关键服务、限制未知程序启动、未知驱 动加载、设置策略进行恶意代码扫描、设

37、置策略拦截恶意程序的盗取行为。 （3）设备管理及策略 恶意程序辅助检测系统由信息中心进行管理及维护，任何策略的改动均需要 经过保密办的讨论后方可实施。恶意程序辅助检测系统的日志系统同时维护， 日 志的保存与备份按照XX公司恶意程序辅助检测系统运维管理制度进行管理。 a、由信息中心管理恶意程序辅助检测系统，分别设置管理员、安全保密管 理员、安全审计员的口令，由“三员”分别管理。 b、由信息中心对中间机进行编号、标识密级、记录安放位置并指定中间机 负责人。 c、信息中心负责定期到中间机提取审计日志信息等内容。 d、信息中心发现高风险事件及时通报保密办，并查找风险源头，各部门配 合信息中心及时解决问

38、题。 e、中间机负责人严格遵守XX公司恶意程序辅助检测系统运维管理制度， 使用中间机需要进行申请、审批、登记摆渡内容、使用恶意程序辅助检测系统防 止摆渡介质可能携带的恶意程序及木马危害系统。 （4）部署后解决的风险 解决中间机计算机病毒与恶意代码防护相关风险。 5.3主机监控与审计系统 XX公司使用原有主机监控与审计系统进行对终端行为监控和限制，保持原 有部署及原有配置不变，管理方式及策略依旧。此设备解决的风险为设备数据接 口控制、主机安全审计风险。 5.4移动介质管理系统 XX公司采用移动介质管理系统对公司移动存储介质进行管理。 （1）部署 使用一台单机作为移动存储介质的系统管理机，安装涉密

39、移动存储介质保密 管理系统以及审计平台。该单机放置于信息中心，由信息中心管理维护。 部署30个客户端。具体分布如下表所示。 表1-5移动介质系统部署汇总表 序号 部署位置 数量 1 2 3 4 5 6 7 8 9 10 合计 （2）第一次运行策略 使用移动介质管理系统对公司移动存储介质进行：注册登记、授权、定密、 发放、收回、销毁、删除。采用全盘加密技术，防止格式化U盘后进行数据恢复。 （3）设备管理及策略 移动介质下发至各部门，由各部门进行统一管理，保密办进行二级管理，借 用需要通过部门领导的审批，登记后进行使用，并限定使用时间及使用范围。采 取的技术防护手段为主机监控与审计系统，进行移动介

40、质设备的管控与日志记 录。移动介质出现硬件问题后，交由保密办统一封存处理。 （4）部署后解决的风险 解决介质安全存在的风险。 5.5终端安全登录及身份认证系统 XX公司采用终端安全登录与监控审计系统（网络版），用于对机密级终端的 “双因子”登录身份认证。采用终端安全登录与监控审计系统（单机版），用于 对涉密单机、中间机登录身份认证、主机监控与审计。 （1）部署 终端安全登录与监控审计系统（网络版）服务器部署于安全管理区，数量为 2套，分别部署于主中心和从属中心。 认证客户端安装于机密级终端上， 共计89 台。 单机版直接部署在具XX公司所有的中间机以及涉密单机上。 （2）第一次运行策略 所有终

41、端的策略采取以下方式进行：开机安全登录与认证，关闭光驱、软驱、 串口、并口、红外、蓝牙、网络接口、 1394火线、PDA USB存储自由使用。禁 止修改注册表、安装软件、安全模式启动、外联、更换设备。禁止打印、监控文 件操作。特殊的终端如果需要开放特殊策略， 则必须由保密办审批核准后，由信 息中心系统管理员进行策略的调整与下发。 （3）设备管理及策略 终端安全登录与监控审计系统由信息中心进行管理及维护，任何策略的改动 均需要经过保密办的讨论后方可实施。终端安全登录与监控审计系统的日志系统 同时维护，日志的保存与备份按照XX公司终端安全登录与监控审计系统运维 管理制度进行管理。 a、由信息中心管理终端安全登录与监控审计系统，分别设置管理员、安全 保密管理员、安全审计员的口令，由“三员”分别管理。 b、 由信息中心对终端安全登录与监控审计系统服务器进行编号、标识密级、 安放至安全管理位置。 c、信息中心负责终端安全登录与监控审计系统的日常运行维护，每周登陆 设备查看服务器硬件运行状态、策略配置、系统日志等内容。 d、信息中心发现异常情况