计算机信息系统分级保护方案

1、万案1 1系统总体部署(1) 涉密信息系统的组网模式为：服务器区、安全管理区、终端区共同连接至核心交换机上，组成类似于星型结构的网络模式，参照TCP/IPTCP/IP网络模型建立。核心交换机上配置三层网关并划分VianVian，在服务器安全访问控制中间件以及防火墙上启用桥接模式，核心交换机、服务器安全访问控制中间件以及防火墙 上设置安全访问控制策略(ACLACL,禁止部门间VianVian互访，允许部门VianVian与服务 器VianVian通信。核心交换机镜像数据至入侵检测系统以及网络安全审计系统；服 务器区包含原有应用系统；安全管理区包含网络防病毒系统、主机监控与审计系 统、window

2、swindows域控及 WSUSWSUS补丁分发系统、身份认证系统；终端区分包含所有业务部门。服务器安全访问控制中间件防护的应用系统有：XXXXXX系统、XXXXXX系统、XXXXXX系统、XXXXXX系统以及XXXXXX系统、o防火墙防护的应用系统有：XXXXXX XXXXXX系统、XXXXXX系统、XXXXXX系统以及XXXXXX系 统。(2) 邮件系统的作用是：进行信息的驻留转发，实现点到点的非实时通信。 完成集团内部的公文流转以及协同工作。使用 2525、110110端口，使用SMTPSMTP协议以 及POP3POP3协议，内网终端使用C/SC/S模式登录邮件系统。将内网用户使用的邮件

3、账号在服务器群组安全访问控制中间件中划分到不 同的用户组，针对不同的用户组设置安全级别， 安全级别分为1-71-7级，可根据实 际需求设置相应的级别。1-71-7级的安全层次为：1 1级最低级，7 7级最高级，由1 1 到7 7逐级增高。即低密级用户可以向高密级用户发送邮件， 高密级用户不得向低 密级用户发送，保证信息流向的正确性，防止高密数据流向低密用户。(3) 针对物理风险，采取红外对射、红外报警、视频监控以及门禁系统进 行防护。针对电磁泄射，采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进 行防护。2 2物理安全防护总体物理安全防护设计如下：(1)周边环境安全控制 xxxxxx侧和XXX

4、M部署红外对射和入侵报警系统。 部署视频监控，建立安防监控中心，重点部位实时监控。具体部署见下表：表1-1周边安全建设序号保护部位现有防护措施需新增防护措施1人员出入通道2物资出入通道序号保护部位现有防护措施需新增防护措施3南侧4西侧5东侧6北侧(2(2)要害部门部位安全控制增加电子门禁系统，采用智能ICIC卡和口令相结合的管理方式。具体防护措 施如下表所示：表1-2要害部门部位安全建设序号保护部门出入口控制现有安全措施新增安全措施1门锁/登记/24H警卫值班2门锁3门锁4门锁5门锁/登记6门锁/登记7门锁/登记8门锁/登记9机房出入登记10门锁(3(3)电磁泄漏防护建设内容包括： 为使用非屏

5、蔽双绞线的链路加装线路干扰仪。 为涉密信息系统内的终端和服务器安装红黑电源隔离插座。 为视频信号电磁泄漏风险较大的终端安装视频干扰仪。通过以上建设，配合安防管理制度以及电磁泄漏防护管理制度 ，使 得达到物理安全防范到位、重要视频监控无死角、进出人员管理有序、实体入侵 报警响应及时以及电磁泄漏信号无法捕捉、无法还原。2.12.1红外对射(1)部署增加红外对射装置，防护边界，具体部署位置如下表：表1-1红外对射部署统计表序号部署位置数量(对)1东围墙2北围墙3合计部署方式如下图所示:图1-2红外对射设备设备成对出现，在安装地点双向对置，调整至相同水平位置。（2 2） 第一次运行策略红外对射2424

6、小时不间断运行，当有物体通过，光线被遮挡，接收机信号发 生变化，放大处理后报警。设置合适的响应时间，以1010米/ /秒的速度来确定最短 遮光时间；设置人的宽度为2020厘米，则最短遮断时间为2020毫秒，大于2020毫秒 报警，小于2020毫秒不报警。（3 3） 设备管理及策略红外对射设备由公安处负责管理，实时监测设备运行情况及设备相应情况， 定期对设备及传输线路进行检查、维护，并定期向保密办提交设备运维报告。（4 4） 部署后解决的风险解决重点部位监控及区域控制相关风险。2.22.2红外报警（1 1）部署增加红外报警装置，对保密要害部位实体入侵风险进行防护、 报警，具体部 署位置如下表：表

7、1-2红外报警部署统计表序号部署位置数量（个）1234合计设备形态如下图所示:图1-3红外报警设备部署在两处房间墙壁角落，安装高度距离地面 2.0-2.22.0-2.2米。(2) 第一次运行策略红外报警2424小时不间断运行，设置检测 3737C特征性1010 口波长的红外线， 远离空调、暖气等空气温度变化敏感的地方，不间隔屏、家具或其他隔离物，不 直对窗口，防止窗外的热气流扰动和人员走动会引起误报。(3) 设备管理及策略红外报警设备由公安处负责管理，监测设备运行情况及设备相应情况， 定期 对设备进行检查、维护，并定期向保密办提交设备运维报告。(4) 部署后解决的风险解决重点部位监控及区域控制

8、相关风险。2.32.3视频监控(1)部署增加视频监控装置，对周界、保密要害部门部位的人员出入情况进行实时监 控，具体部署位置如下表：表1-3视频监控部署统计表序号部署位置数量(个)12345678合计设备形态如下图所示:图1-4视频监控设备视频监控在室外米用云台枪机式设备， 室内米用半球式设备，部署在房间墙 壁角落，覆盖门窗及重点区域。增加3232路嵌入式硬盘录像机一台，用于对视频采集信息的收集和压缩存档。 设备形态如下图所示：图1-5硬盘录像机(2) 第一次运行策略视频监控2424小时不间断运行，设置视频采集格式为MPEG-4MPEG-4显示分辨率768*576768*576，存储、回放分辨

9、率 384*288384*288。(3) 设备管理及策略视频监控设备由公安处负责管理，实时监测设备运行情况及设备相应情况， 定期对设备及传输线路进行检查、维护，并定期向保密办提交设备运维报告。(4) 部署后解决的风险解决重点部位监控及区域控制相关风险。2.42.4门禁系统(1)(1)部署增加门禁系统，对保密要害部门部位人员出入情况进行控制，并记录日志，具体部署位置如下表：表1-4门禁系统部署统计表序号部署位置数量(个)1234567891011合计部署示意图如下图所示:安装示蔥图-图1-6门禁系统部署方式（2 2） 第一次运行策略对每个通道设置权限，制作门禁卡，对可以进出该通道的人进行进出方式

10、的 授权，采取密码+ + 读卡方式；设置可以通过该通道的人在什么时间范围内可以进 出；实时提供每个门区人员的进出情况、每个门区的状态（包括门的开关，各种 非正常状态报警等），设置在紧急状态打开或关闭所有门区的功能；设置防尾随 功能。（3 3） 设备管理及策略门禁系统由公安处负责管理，定期监测设备运行情况及设备相应情况， 对设 备及传输线路进行检查、维护，并定期向保密办提交设备运维报告。（4 4） 部署后解决的风险解决重点部位监控及区域控制相关风险。2.52.5线路干扰仪（1 1）部署增加8 8 口线路干扰仪，防护传输数据沿网线以电磁传导、 辐射发射、耦合等 方式泄漏的情况。将从交换机引至其布线

11、最远端以及次远端的线缆插接至线路干 扰仪，并由线路干扰仪连接至最远端和次远端，将该设备进行接地处理。具体部署位置如下表：表1-6线路干扰仪部署统计表序号部署位置数量（个）123合计设备形态如下图所示:图1-11线路干扰仪设备（2 2） 第一次运行策略在网线中一对空线对上注入伪随机宽带扫频加扰信号 ，使之能跟随其他三 对网线上的信号并行传输到另一终端；窃密者若再从网线或其他与网络干线相平 行的导线（如电话线及电源线等）上窃取信息，实际上所窃得的仅是已被加扰信 号充分湮没了的混合信号。（3 3） 设备管理及策略线路干扰仪由信息中心负责管理，对设备编号、标识密级、摆放、调测、定 期对设备及传输线路进

12、行检查、维护，并定期向保密办提交设备运维报告。（4 4） 部署后解决的风险解决传输线路的电磁泄漏发射防护相关风险。2.62.6视频干扰仪（1 1）部署增加视频干扰仪，防止对涉密终端视频信息的窃取，对 XXX号楼存在的涉密 终端部署，将该设备进行接地处理。、具体部署位置如下表：表1-7视频干扰仪部署统计表序号部署位置数量（个）12311合计设备形态如下图所示:图1-12视频干扰仪设备（2 2） 第一次运行策略设置设备运行频率为10001000 MHzMHz（3 3） 设备管理及策略视频干扰仪由信息中心负责管理，监测设备运行情况及设备相应情况， 定期 对设备进行检查、维护，并定期向保密办提交设备运

13、维报告。（4 4） 部署后解决的风险解决信息设备的电磁泄漏发射防护相关风险。2.72.7红黑电源隔离插座（1 1）部署增加红黑电源隔离插座，防护电源电磁泄漏，连接的红黑电源需要进行接地 处理。具体部署位置如下表：表1-8红黑电源部署统计表序号部署位置数量（个）1涉密终端2服务器3UPS4合计产品形态如下图所示:图1-13红黑电源隔离插座（2 2）运行维护策略要求所有涉密机均直接连接至红黑电源上，红黑电源上不得插接其他设备。 安装在涉密终端及涉密单机的红黑隔离电源由使用者维护，安装在服务器的由信息中心维护，出现问题向保密办报告。（4 4）部署后解决的风险解决信息设备的电磁泄漏发射防护相关风险。3

14、 3网络安全防护3.13.1网闸使用1 1台网闸连接主中心以及从属中心，用于安全隔离及信息交换。（1 1）部署部署1 1台网闸于主中心及从属中心核心交换机之间， 做单向访问控制与信息 交互。设备启用路由模式，通过路由转发连接主中心以及从属中心， 从物理层到 应用层终结所有的协议包，还原成原始应用数据，以完全私有的方式传递到另一 个网络，主中心以及从属中心之间在任一时刻点上都不产生直接的物理连通。部署拓扑示意图如下：从属中心网闸主中心核心交换机核心交换机图1-8网闸部署拓扑示意图（2 2）第一次运行策略配置从属中心访问主中心的权限，允许从属中心特定地址访问主中心所有服秘密级服务器群务器，允许其他

15、地址访问公司内部门户以及人力资源系统，配置访问内部门户 SQLSQL serverserver数据库服务器，禁止其他所有访问方式。配置网闸病毒扫描，对流 经网闸设备数据进行病毒安全扫描。 配置系统使用HttpsHttps方式管理，确保管理安 全。(3) 设备管理及策略网闸设备按照网闸运维管理制度进行管理。a a、由信息中心管理网闸设备，分别设置管理员、安全保密管理员、安全审 计员的口令，由“三员”分别管理。b b、由信息中心对网闸设备进行编号、标识密级、安放至安全管理位置。c c、信息中心负责网闸设备的日常运行维护，每周登陆设备查看设备配置、 设备自身运行状态、转发数据量状态、系统日志等内容。

16、d d、信息中心发现异常情况及时通报保密办，并查找问题原因，各部门配合 信息中心及时解决问题。e e、信息中心负责网闸设备的维修管理，设备出现问题，通知保密办，获得 批准后，负责设备的维修管理。(4) 部署后解决的风险解决两网互联的边界防护问题，对应用的访问进行细粒度的控制，各自隔离, 两网在任一时刻点上都不产生直接的物理连通。3.23.2防火墙涉密信息系统采用防火墙系统1 1台进行边界防护，用于涉密信息系统网关的 安全控制、网络层审计等。防火墙系统部署于从属中心。原有防火墙部署于主中 心，不做调整。(1(1)部署使用防火墙系统限制从属中心终端访问机密级服务器的权限， 并且记录所有 与服务器区

17、进行交互的日志。防火墙的 ethlethl 口、eth2eth2 口设置为透明模式，配置 桥接口 fwbridgeOfwbridgeO IPIP地址，配置管理方式为httpshttps方式，打开多VLANVLAN开关，打 开tcptcp、udpudp、ICMPICMP广播过滤。防火墙的日志数据库安装在安全管理服务器上。部署拓扑示意图如下:图1-9防火墙部署示意图(2)(2)第一次运行策略、从属中心防火墙核心交换机防火墙上设置访问控制策略，并设定不同用户所能访问的资源：a a、允许从属中心授权用户访问软件配置管理系统。b b、开放系统内所能使用到的端口，其他不使用的端口进行全部禁止访问限 制。c

18、 c、可以依据保密办相关规定设定审查关键字，对于流经防火墙的数据流进 行关键字过滤。d d、审计从属中心用户和服务器区域的数据交换信息，记录审计日志。e e、整个防火墙系统的整个运行过程和网络信息流等信息，均进行详细的日 志记录，方便管理员进行审查。（3 3）设备管理及策略防火墙系统由信息中心进行管理及维护，任何策略的改动均需要经过保密办 的讨论后方可实施。防火墙的日志系统维护，日志的保存与备份按照 防火墙运 维管理制度进行管理。a a、由信息中心管理防火墙设备，分别设置管理员、安全保密管理员、安全 审计员的口令，由“三员”分别管理。b b、由信息中心对防火墙设备进行编号、标识密级、安放至安全

19、管理位置。c c、信息中心负责防火墙设备的日常运行维护， 每周登陆设备查看设备配置、 设备自身运行状态、转发数据量状态、系统日志等内容。d d、信息中心发现异常情况及时通报保密办，并查找问题原因，各部门配合 信息中心及时解决问题。e e、信息中心负责防火墙设备的维修管理，设备出现问题，通知保密办，获 得批准后，负责设备的维修管理。（4 4）部署后解决的风险原有防火墙保证主中心各VianVian的三层逻辑隔离，对各安全域之间进行访问 控制，对网络层访问进行记录与审计，保证信息安全保密要求的访问控制以及安 全审计部分要求。3.33.3入侵检测系统使用原有入侵检测设备进行网络层监控， 保持原有部署及

20、原有配置不变，设 备的管理维护依旧。此设备解决的风险为对系统内的安全事件监控与报警， 满足 入侵监控要求。3.43.4违规外联系统（1 1）部署采用涉密计算机违规外联监控系统，部署于内网终端、涉密单机及中间机上。 的违规外联监控系统采用B/SB/S构架部署，安装1 1台内网监控服务器、1 1台外网监Internet庆华公司违规外联监控公网报警服务器拨号、WLan 3G实时监控二庆华公司违规外联监控内网管理服务器实时监控涉密内网TZ訂内网终端违r=1规 外I 密单机I控户中间机控服务器，安装645645个客户端，全部安装于内网终端、涉密单机以及中间机上 部署示意图如下图1-1违规外联系统部署示意

21、图(2) 第一次运行策略系统实时地监测受控网络内主机及移动主机的活动，对非法内 / /外联行为由 报警控制中心记录并向管理员提供准确的告警。 同时，按照预定的策略对非法连 接实施阻断，防止数据外泄。报警控制中心能够以手机短信、电子邮件两种告警 方式向网络管理员告警，其中手机短信是完全实时的告警，非常方便和及时。(3) 设备管理及策略违规外联监控系统由信息中心进行管理及维护，任何策略的改动均需要经过 保密办的讨论后方可实施。违规外联监控系统的日志系统同时维护， 日志的保存 与备份按照违规外联监控系统运维管理制度进行管理。a a、由信息中心管理违规外联监控系统， 分别设置管理员、安全保密管理员、

22、安全审计员的口令，由“三员”分别管理。b b、由信息中心对违规外联监控系统报警服务器进行编号、标识密级、安放 至安全管理位置。c c、信息中心负责违规外联监控系统的日常运行维护，每周登陆设备查看服 务器硬件运行状态、策略配置、系统日志等内容。d d、信息中心发现异常情况及时通报保密办，并查找问题原因，各部门配合 信息中心及时解决问题。e e、信息中心负责违规外联监控系统服务器的维修管理，设备出现问题，通 知保密办，获得批准后，联系厂家负责设备的维修管理。服务器安 全访问控 制中间件从属中心核心交换机f f、当系统出现新版本，由管理员负责及时更新系统并做好备份工作。(4)部署后解决的风险解决违规

23、拨号、违规连接和违规无线上网等风险。4 4应用安全防护4.14.1服务器群组安全访问控制中间件涉密信息系统采用服务器群组安全访问控制中间件2 2台，用于涉密信息系统主中心秘密级服务器、从属中心秘密级服务器边界的安全控制、应用身份认证、 邮件转发控制、网络审计以及邮件审计等。防护主中心的XXXXXX系统、XXXXXX系统、XXXXXX系统、XXXXXX系统、XXXXXX系统以及XXXXXX门户；防护从属中心的XXXXXX系统以及XXXXXX 类软件系统。(1(1)部署由于主中心的终端之间以及从属中心内的终端之间数据流动均被设计为以 服务器为跳板进行驻留转发，所以在服务器前端的服务器群组安全访问控

24、制中间 件系统起到了很强的访问控制功能，限制终端访问服务器的权限并且记录所有与 服务器区进行交互的日志。服务器群组安全访问控制中间件的ethlethl 口、eth2eth2 口服务器安 全访问控 制中间件主中心核心交换机机密级图1-10服务器群组安全访问控制中间件部署示意图(2)第一次运行策略服务器群组安全访问控制中间件上设置访问控制策略， 并设定不同用户所能 访问的服务器资源；设置邮件转发控制功能，为每个用户设置访问账号及密码， 依据密级将用户划分至不同用户组中，高密级用户不得向低密级用户发送邮件。 配置邮件审计功能，记录发件人，收件人，抄送人，主题，附件名等。配置网络 审计与控制功能，可以

25、依据保密办相关规定设定审查关键字， 对于流经系统的数 据流进行关键字过滤；审计内部用户和服务器区域的数据交换信息，审计应用访 问日志。（3 3）设备管理及策略服务器群组安全访问控制中间件系统由信息中心进行管理及维护，任何策略的改动均需要经过保密办的讨论后方可实施。 服务器群组安全访问控制中间件的 日志系统维护，日志的保存与备份按照服务器群组安全访问控制中间件运维管 理制度进行管理。a a、 由信息中心管理服务器群组安全访问控制中间件设备，分别设置管理员、 安全保密管理员、安全审计员的口令，由“三员”分别管理。b b、由信息中心分别对2 2台服务器群组安全访问控制中间件设备进行编号、 标识密级、

26、安放至安全管理位置。c c、信息中心负责服务器群组安全访问控制中间件设备的日常运行维护，每 周登陆设备查看设备配置、设备自身运行状态、转发数据量状态、系统日志等内 容。d d、信息中心发现异常情况及时通报保密办，并查找问题原因，各部门配合 信息中心及时解决问题。e e、信息中心负责服务器群组安全访问控制中间件设备的维修管理，设备出 现问题，通知保密办，获得批准后，负责设备的维修管理。（4 4）部署后解决的风险解决对应用访问的边界防护、应用及网络审计、数据库安全以及数据流向控 制，满足边界防护、安全审计及数据库安全等要求。4.24.2 windowswindows域控及补丁分发改造原有ADAD主

27、域控制器及备份域控制器。（1 1）部署的主中心以及从属中心均部署 ADAD主域控制器及备份域控制器，共计 2 2套， 并建立IISIIS服务器，安装 WSUWSU服务器，提供系统补丁强制更新服务。将终端系 统的安全性完全与活动目录集成，用户授权管理和目录进入控制整合在活动目录 当中（包括用户的访问和登录权限等）。通过实施安全策略，实现系统内用户登 录身份认证，集中控制用户授权。终端操作基于策略的管理。通过设置组策略把 相应各种策略（包括安全策略）实施到组策略对象中。部署拓扑示意图如下：图1-7域控及WSUS部署示意图(2) 第一次运行策略建立好域成员及其密码，将所有内网终端的本地账号权限收回，

28、内网终端只 能使用管理员下发的域成员用户登录系统。 通过组策略指定不同安全域用户口令 的复杂性、长度、使用周期、锁定策略，指定每一个用户可登录的机器。机密级 终端需要将USB-KEYUSB-KEY令牌与域用户登录结合使用，达到“双因子”鉴别的过程。设置终端用户工作环境，隐藏用户无用的桌面图标，删除“开始”菜单中的“运行”、“搜索”功能。启用内网WindowsXPWindowsXP终端内置的WSUWSU客户端。由系统漏洞的官方漏洞发布 页下载完整的系统漏洞修复程序，将此程序通过中间机系统导入涉密信息系统， 在WSUWSU服务器端导入此程序，由WSUWSU服务器下发系统补丁强制修复策略， 强制 更

29、新各个终端的系统漏洞。(3) 设备管理及策略ADAD域控系统以及WSUSWSUS卜丁分发系统由信息中心进行管理及维护，域控组策 略的改动均需要经过保密办的讨论后方可操作。 WSUSWSUS系统的升级更新按照与 管理及补丁分发运维管理制度进行管理。a a、由信息中心管理ADAD域控系统以及 WSUSWSUS卜丁分发系统，分别设置管理员、 安全保密管理员、安全审计员的口令，由“三员”分别管理。b b、由信息中心分别对2 2套ADAD域控系统以及WSUSWSUS卜丁分发系统服务器进行 编号、标识密级、安放至安全管理位置。c c、信息中心负责ADAD域控系统以及 WSUSWSUS卜丁分发系统服务器的日

30、常运行维 护，每周登陆服务器查看服务器硬件运行状态、组策略配置、域成员状态、系统 日志等内容。d d、信息中心发现异常系统日志及时通报保密办，并查找原因，追究根源。(4) 部署后解决的风险解决部分身份鉴别以及操作系统安全相关风险。4.34.3网络安全审计使用网络安全审计系统2 2台，用于对涉密信息系统的网络及应用进行安全审 计和监控。审计功能包括：应用层协议还原审计、数据库审计、网络行为审计、 自定义关键字审计等。（1 1）部署旁路部署于核心交换机的镜像目的接口， 部署数量为2 2台，分别部署于主中 心以及从属中心的核心交换机上。 设置其管理地址，用于系统管理及维护。部署 拓扑示意图如下：从属

31、中心网闸主中心核心交换机核心交换机图1-14网络安全审计部署示意图（2 2）第一次运行策略配置审计httphttp、P0P3SmtpP0P3Smtp imim apap、teltel netnet、FTPFTP协议以及自定义审计 14331433、 80808080、2700027000、10431043、10341034、10371037、10411041、10401040、10421042、60356035、77777777、36903690端口； 依据保密规定设定相关关键词字，审计关键词字；使用 HttpsHttps方式管理系统。（3 3）设备管理及策略网络安全审计系统由信息中心进行管理

32、及维护，审计策略的改动均需要经过 保密办的讨论后方可操作。网络安全审计系统的日志系统维护，日志的保存与备 份按照网络安全审计运维管理制度进行管理。a a、 由信息中心管理网络安全审计设备， 分别设置管理员、安全保密管理员、 安全审计员的口令，由“三员”分别管理。b b、由信息中心分别对2 2台网络安全审计设备进行编号、标识密级、安放至 安全管理位置。c c、信息中心负责网络安全审计系统的日常运行维护，每周登陆设备查看设 备配置、设备自身运行状态、转发数据量状态、系统日志等内容。d d、信息中心发现异常审计日志及时通报保密办，并查找原因，追究根源。e e、 信息中心负责网络安全审计系统的维修管理

33、，设备出现问题，通知保密 办，获得批准后，负责设备的维修管理（4 4）部署后解决的风险解决应用审计，针对内容进行审计记录，满足安全审计相关要求。5 5终端安全防护5.15.1防病毒系统将使用网络版防病毒软件建立病毒防护系统，共计2626个服务器端，419419个客户端，分别部署在主中心以及从属中心。将使用单机版防病毒软件建立中间机、单机及便携式计算机病毒防护系统， 共计226226个终端。（1 1）部署防病毒系统采用客户端+ +服务器结构，服务器由信息中心负责管理。杀毒中心安装：安装在安全管理服务器上，设置好adminadmin密码，并且将注册 信息输入到杀毒控制中心。服务器安装：在各类服务器

34、上安装杀毒服务器端，设置杀毒中心的IPIP地址， 并保持与杀毒中心的实时通信。客户端安装：所有的内外终端均安装客户端杀毒程序，设置杀毒中心的IPIP地址，与杀毒中心同步。单机防病毒系统直接部署在涉密单机及中间机上。（2 2）第一次运行策略防病毒控制中心服务器部署在保密室。网络防病毒系统连接在核心交换机的 accessaccess接口上。交换机接口配置VianVian二层信息为：接口类型为accessaccess，为其划 分VianVian，使得其与其他VianVian不能通过二层相通，使得网络防病毒系统需要通过 三层与其他VianVian通信，即网络防病毒系统可以对网络中所有的主机设备进行杀

35、毒统一管理和在线控制。所有接入网络的终端计算机和应用服务器（winwin dowsdows操作系统）都安装防病 毒软件，管理员通过控制台实现对全网防病毒系统的统一管理，并强制在用户接 入网络时安装防病毒客户端。升级方式为：在非涉密计算机上从互联网下载最新的防病毒系统升级包，刻制成光盘。将此光盘上的防病毒系统升级包通过非涉密中间机导入到涉密光盘 上,带入到涉密内网的防病毒系统服务器上。利用服务器上的防病毒系统服务端 提供的接口导入升级包，再通过服务端将更新了的病毒库向每一台防病毒系统客 户端进行强制更新。防病毒管理：定期升级病毒特征库，每周不少于一次；定期进行全网杀毒扫 描，每天计划不少于一次；

36、每月检查防病毒系统的运行情况并记录， 备份并存储 病毒日志；制定应急预案，防止病毒大面积爆发。（3 3）设备管理及策略为了防止计算机病毒或恶意代码传播，将采取如下措施：a a、制定涉密信息系统运行管理制度，该管理办法将与涉密信息系统的建 设同时进行制定，同时加强审计，确保策略的正确实施；b b、加强存储设备的接入管理，对接入系统的存储设备必须先经过计算机病 毒和恶意代码检查处理；c c、所有的涉密计算机usbusb及光驱等接口均通过授权才能使用，防止系统用 户私自安装软件或使用usbusb设备带病毒入网。（4 4）部署后解决的风险解决计算机病毒与恶意代码防护、操作系统安全相关风险。5.25.2

37、恶意程序辅助检测系统涉密信息系统采用恶意程序辅助检测系统，用于涉密信息系统的中间机信息 输入输出介质的恶意程序及木马病毒查杀及管控。（1 1）部署系统采用单机部署在中间机上的结构。 共4 4台中间机，主中心2 2台，从属中 心2 2台，分别为涉密中间机以及非涉密中间机。4 4台中间机上均安装恶意程序辅 助检测系统，对中间机潜在的恶意程序及木马进行管控。（2 2）第一次运行策略使用恶意程序辅助检测系统接管系统关键服务、限制未知程序启动、未知驱 动加载、设置策略进行恶意代码扫描、设置策略拦截恶意程序的盗取行为。（3 3）设备管理及策略恶意程序辅助检测系统由信息中心进行管理及维护，任何策略的改动均需

38、要 经过保密办的讨论后方可实施。恶意程序辅助检测系统的日志系统同时维护， 日 志的保存与备份按照恶意程序辅助检测系统运维管理制度进行管理。a a、由信息中心管理恶意程序辅助检测系统，分别设置管理员、安全保密管 理员、安全审计员的口令，由“三员”分别管理。b b、由信息中心对中间机进行编号、标识密级、记录安放位置并指定中间机负责人。c c、信息中心负责定期到中间机提取审计日志信息等内容。d d、信息中心发现高风险事件及时通报保密办，并查找风险源头，各部门配 合信息中心及时解决问题。e e、中间机负责人严格遵守 恶意程序辅助检测系统运维管理制度，使用中 间机需要进行申请、审批、登记摆渡内容、使用恶

39、意程序辅助检测系统防止摆渡 介质可能携带的恶意程序及木马危害系统。（4 4）部署后解决的风险解决中间机计算机病毒与恶意代码防护相关风险。5.35.3主机监控与审计系统使用原有主机监控与审计系统进行对终端行为监控和限制，保持原有部署及 原有配置不变，管理方式及策略依旧。此设备解决的风险为设备数据接口控制、 主机安全审计风险。5.45.4移动介质管理系统采用移动介质管理系统对公司移动存储介质进行管理。（1 1）部署使用一台单机作为移动存储介质的系统管理机，安装涉密移动存储介质保密 管理系统以及审计平台。该单机放置于信息中心，由信息中心管理维护。部署3030个客户端。具体分布如下表所示。表1-5移动

40、介质系统部署汇总表序号部署位置数量12345678910合计（2 2）第一次运行策略使用移动介质管理系统对公司移动存储介质进行：注册登记、授权、定密、 发放、收回、销毁、删除。采用全盘加密技术，防止格式化U U盘后进行数据恢复。（3 3） 设备管理及策略移动介质下发至各部门，由各部门进行统一管理，保密办进行二级管理，借 用需要通过部门领导的审批，登记后进行使用，并限定使用时间及使用范围。采 取的技术防护手段为主机监控与审计系统，进行移动介质设备的管控与日志记 录。移动介质出现硬件问题后，交由保密办统一封存处理。（4 4） 部署后解决的风险解决介质安全存在的风险。5.55.5终端安全登录及身份认

41、证系统采用终端安全登录与监控审计系统（网络版），用于对机密级终端的“双因 子”登录身份认证。采用终端安全登录与监控审计系统（单机版），用于对涉密 单机、中间机登录身份认证、主机监控与审计。（1 1）部署终端安全登录与监控审计系统（网络版）服务器部署于安全管理区，数量为 2 2套，分别部署于主中心和从属中心。 认证客户端安装于机密级终端上， 共计8989 台。单机版直接部署在具所有的中间机以及涉密单机上。（2 2）第一次运行策略所有终端的策略采取以下方式进行：开机安全登录与认证，关闭光驱、软驱、 串口、并口、红外、蓝牙、网络接口、13941394火线、PDA USBUSB存储自由使用。禁止修改注

42、册表、安装软件、安全模式启动、外联、更换设备。禁止打印、监控文 件操作。特殊的终端如果需要开放特殊策略， 则必须由保密办审批核准后，由信 息中心系统管理员进行策略的调整与下发。（3 3）设备管理及策略终端安全登录与监控审计系统由信息中心进行管理及维护，任何策略的改动 均需要经过保密办的讨论后方可实施。终端安全登录与监控审计系统的日志系统 同时维护，日志的保存与备份按照终端安全登录与监控审计系统运维管理制度 进行管理。a a、由信息中心管理终端安全登录与监控审计系统，分别设置管理员、安全 保密管理员、安全审计员的口令，由“三员”分别管理。b b、 由信息中心对终端安全登录与监控审计系统服务器进行编号、标识密级、 安放至安全管理位置。c c、信息中心负责终端安全登录与监控审计系统的日常运行维护，每周登陆 设备查看服务器硬件运行状态、策略配置、系统日志等内容。d