计算机信息系统分级保护方案

1、方案详细设计1系统总体部署1XX公司涉密信息系统的组网模式为：效劳器区、平安管理区、终端 区共同连接至核心交换机上，组成类似于星型构造的网络模式，参照 TCP/IP网 络模型建立。核心交换机上配置三层网关并划分 Vlan,在效劳器平安访问控制中 问件以及防火墙上启用桥接模式，核心交换机、效劳器平安访问控制中间件以及 防火墙上设置平安访问控制策略ACL，制止部门间Vlan互访，允许部门Vlan 与效劳器Vlan通信。核心交换机镜像数据至入侵检测系统以及网络平安审计系 统；效劳器区包含XX公司原有应用系统；平安管理区包含网络防病毒系统、主 机监控与审计系统、windows域控及WSUS补丁分发系统

2、、身份认证系统；终端 区分包含所有业务部门。效劳器平安访问控制中问件防护的应用系统有：XXX系统、XXX系统、XXX 系统、XXX系统以及XXX系统、。防火墙防护的应用系统有：XXX、XXX系统、XXX系统、XXX系统以及 XXX系统。2系统的作用是：进展信息的驻留转发，实现点到点的非实时通信。完 成集团部的公文流转以及协同工作。使用 25、110端口，使用SMTP协议以及 POP3协议，网终端使用C/S模式登录系统。将网用户使用的账号在效劳器群组平安访问控制中间件中划分到不同的用 户组，针对不同的用户组设置平安级别，平安级别分为1-7级，可根据实际需求设置相应的级别。1-7级的平安层次为：1

3、级最低级，7级最高级，由1到7逐级 增高。即低密级用户可以向高密级用户发送，高密级用户不得向低密级用户发送， 保证信息流向的正确性，防止高密数据流向低密用户。3针对物理风险，采取红外对射、红外报警、视频监控以及门禁系统进 展防护。针对电磁泄射，采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进 展防护。2物理平安防护总体物理平安防护设计如下：1周边环境平安控制厂区XXX侧和XXX侧部署红外对射和入侵报警系统。部署视频监控，建立安防监控中心，重点部位实时监控。具体部署见下表：表1-1周边平安建立序号保护部位现有防护措施需新增防护措施一1人员出入通道2物资出入通道序号保护部位现有防护措施需新增防护措

4、施3）区南侧4）区西侧5；区东侧6厂区北侧2要害部门部位平安控制增加电子门禁系统，采用智能IC卡和口令相结合的管理方式。具体防护措 施如下表所示：表1-2要害部门部位平安建立序号保护部门出入口控制现有平安措施新增平安措施1门锁/登记/24H警卫值班2门锁3门锁4门锁5门锁/登记6门锁/登记7门锁/登记8门锁/登记9机房出入登记10门锁3电磁泄漏防护建立容包括：为使用非屏蔽双绞线的链路加装线路干扰仪。为涉密信息系统的终端和效劳器安装红黑电源隔离插座。为视频信号电磁泄漏风险较大的终端安装视频干扰仪。通过以上建立，配合？XX公司安防管理制度 也及？XX公司电磁泄漏防护管 理制度？，使得XX公司到达物

5、理平安防到位、重要视频监控无死角、进出人员 管理有序、实体入侵报警响应及时以及电磁泄漏信号无法捕捉、无法复原。红外对射1部署增加红外对射装置，防护厂区边界，具体部署位置如下表：表1-1红外对射部署统计表序号部署位置数量对1）区东围墙2厂区北围墙3合计部署方式如下列图所示:图1-2红外对射设备设备成对出现，在安装地点双向对置，调整至一样水平位置。2第一次运行策略红外对射24小时不连续运行，当有物体通过，光线被遮挡，接收机信号发生变化，放大处理后报警。设置适宜的响应时间，以 10米/秒的速度来确定最短 遮光时间；设置人的宽度为20厘米，那么最短遮断时间为 20毫秒，大于20毫 秒报警，小于20毫秒

6、不报警。3设备管理及策略红外对射设备由厂区公安处负责管理，实时监测设备运行情况及设备相应情 况，定期对设备及传输线路进展检查、维护，并定期向办提交设备运维报告。4部署后解决的风险解决重点部位监控及区域控制相关风险。红外报警1部署增加红外报警装置，对要害部位实体入侵风险进展防护、 报警，具体部署位 置如下表：表1-2红外报警部署统计表序号部署位置数量个1234合计设备形态如下列图所示:图1-3红外报警设备部署在两处房间墙壁角落，安装高度距离地面 2.0-2.2米。2第一次运行策略红外报警24小时不连续运行，设置检测 37c特征性10pm波长的红外线, 远离空调、暖气等空气温度变化敏感的地方，不间

7、隔屏、家具或其他隔离物，不 直对窗口，防止窗外的热气流扰动和人员走动会引起误报。3设备管理及策略红外报警设备由厂区公安处负责管理，监测设备运行情况及设备相应情况， 定期对设备进展检查、维护，并定期向办提交设备运维报告。4部署后解决的风险解决重点部位监控及区域控制相关风险。视频监控1部署增加视频监控装置，对厂区周界、要害部门部位的人员出入情况进展实时监 控，具体部署位置如下表：表1-3视频监控部署统计表序号部署位置数量个12345678合计设备形态如下列图所示:图1-4视频监控设备视频监控在室外采用云台枪机式设备， 室采用半球式设备，部署在房间墙壁 角落，覆盖门窗及重点区域。增加32路嵌入式硬盘

8、录像机一台，用于对视频采集信息的收集和压缩存档。 设备形态如下列图所示：图1-5硬盘录像机2第一次运行策略视频监控24小时不连续运行，设置视频采集格式为 MPEG-4,显示分辨率 768*576,存储、回放分辨率384*288=3设备管理及策略视频监控设备由厂区公安处负责管理，实时监测设备运行情况及设备相应情 况，定期对设备及传输线路进展检查、维护，并定期向办提交设备运维报告。4部署后解决的风险解决重点部位监控及区域控制相关风险。门禁系统1部署增加门禁系统，对要害部门部位人员出入情况进展控制，并记录日志，具体部署位置如下表：表1-4门禁系统部署统计表序号部署位置数量个1234567891011

9、合计部署示意图如下列图所示:图1-6门禁系统部署方式2第一次运行策略对每个通道设置权限，制作门禁卡，对可以进出该通道的人进展进出方式的 授权，采取密码+读卡方式；设置可以通过该通道的人在什么时间围可以进出； 实时提供每个门区人员的进出情况、 每个门区的状态包括门的开关，各种非正 常状态报警等，设置在紧急状态翻开或关闭所有门区的功能； 设置防尾随功能。3设备管理及策略门禁系统由厂区公安处负责管理，定期监测设备运行情况及设备相应情况， 对设备及传输线路进展检查、维护，并定期向办提交设备运维报告。4部署后解决的风险解决重点部位监控及区域控制相关风险。线路干扰仪1部署增加8口线路干扰仪，防护传输数据沿

10、网线以电磁传导、辐射发射、耦合等 方式泄漏的情况。将从交换机引至其布线最远端以及次远端的线缆插接至线路干 扰仪，并由线路干扰仪连接至最远端和次远端，将该设备进展接地处理。具体部署位置如下表：表1-6线路干扰仪部署统计表序号部署位置数量个123合计设备形态如下列图所示:图1-11线路干扰仪设备2第一次运行策略在网线中一对空线对上注入伪随机宽带扫频加扰信号 ，使之能跟随其他三 对网线上的信号并行传输到另一终端；窃密者假设再从网线或其他与网络干线相 平行的导线如线及电源线等上窃取信息，实际上所窃得的仅是已被加扰信号 充分湮没了的混合信号。3设备管理及策略线路干扰仪由信息中心负责管理，对设备编号、标识

11、密级、摆放、调测、定 期对设备及传输线路进展检查、维护，并定期向办提交设备运维报告。4部署后解决的风险解决传输线路的电磁泄漏发射防护相关风险。视频干扰仪1部署增加视频干扰仪，防止对涉密终端视频信息的窃取，对 XXX号楼存在的涉 密终端部署，将该设备进展接地处理。、具体部署位置如下表：表1-7视频干扰仪部署统计表序号部署位置数量个12311合计设备形态如下列图所示:图1-12视频干扰仪设备2第一次运行策略设置设备运行频率为1000 MHz。3设备管理及策略视频干扰仪由信息中心负责管理，监测设备运行情况及设备相应情况， 定期 对设备进展检查、维护，并定期向办提交设备运维报告。4部署后解决的风险解决

12、信息设备的电磁泄漏发射防护相关风险。红黑电源隔离插座1部署增加红黑电源隔离插座，防护电源电磁泄漏，连接的红黑电源需要进展接地 处理。具体部署位置如下表：表1-8红黑电源部署统计表序号部署位置数量个1涉密终端2效劳器3UPS4合计产品形态如下列图所示:图1-13红黑电源隔离插座2运行维护策略XX公司要求所有涉密机均直接连接至红黑电源上，红黑电源上不得插接其 他设备。安装在涉密终端及涉密单机的红黑隔离电源由使用者维护，安装在效劳器的由信息中心维护，出现问题向办报告。4部署后解决的风险解决信息设备的电磁泄漏发射防护相关风险。3网络平安防护3.1网闸XX公司使用1台网闸连接主中心以及附属中心，用于平安

13、隔离及信息交换 1部署部署1台网闸于主中心及附属中心核心交换机之间， 做单向访问控制与信息 交互。设备启用路由模式，通过路由转发连接主中心以及附属中心， 从物理层到 应用层终结所有的协议包，复原成原始应用数据，以完全私有的方式传递到另一 个网络，主中心以及附属中心之间在任一时刻点上都不产生直接的物理连通。部 署拓扑示意图如下:主中心 核心交换机主中心1从属中心 国画核心交换机图1-8网闸部署拓扑示意图2第一次运行策略配置附属中心访问主中心的权限，允许附属中心特定地址访问主中心所有效 劳器，允许其他地址访问公司部门户以及人力资源系统，配置访问部门户SQLserver数据库效劳器，制止其他所有访问

14、方式。配置网闸病毒扫描，对流经网闸 设备数据进展病毒平安扫描。配置系统使用s方式管理，确保管理平安。3设备管理及策略网闸设备按照？XX公司网闸运维管理制度 砒展管理。a、由信息中心管理网闸设备，分别设置管理员、平安管理员、平安审计员 的口令，由“三员分别管理。b、由信息中心对网闸设备进展编号、标识密级、安放至平安管理位置。c、信息中心负责网闸设备的日常运行维护，每周登陆设备查看设备配置、 设备自身运行状态、转发数据量状态、系统日志等容。d、信息中心发现异常情况及时通报办，并查找问题原因，各部门配合信息 中心及时解决问题。e信息中心负责网闸设备的维修管理，设备出现问题，通知办，获得批准 后，负责

15、设备的维修管理。4部署后解决的风险解决两网互联的边界防护问题，对应用的访问进展细粒度的控制，各自隔离， 两网在任一时刻点上都不产生直接的物理连通。3.2防火墙XX公司涉密信息系统采用防火墙系统 1台进展边界防护，用于XX公司涉 密信息系统网关的平安控制、网络层审计等。防火墙系统部署于附属中心。XX公司原有防火墙部署于主中心，不做调整。1部署使用防火墙系统限制附属中心终端访问级效劳器的权限，并且记录所有与效劳器区进展交互的日志。防火墙的 ethl 口、eth2 口设置为透明模式，配置桥接 口 fwbridgeO IP地址，配置管理方式为s方式，翻开多VLAN开关，翻开tcp、udp、ICMP播送

16、过滤。防火墙的日志数据库安装在平安管理效劳器上。部署拓 扑示意图如下：秘密级服务器群从属中心防火墙核心交换机图1-9防火墙部署示意图2第一次运行策略防火墙上设置访问控制策略，并设定不同用户所能访问的资源：a、允许附属中心授权用户访问软件配置管理系统。开放系统所能使用到的端口， 其他不使用的端口进展全部制止访问限制。c、可以依据XX公司办相关规定设定审查关键字，对于流经防火墙的数据 流进展关键字过滤。d、审计附属中心用户和效劳器区域的数据交换信息，记录审计日志。e整个防火墙系统的整个运行过程和网络信息流等信息，均进展详细的日 志记录，方便管理员进展审查。 3设备管理及策略防火墙系统由信息中心进展

17、管理及维护， 任何策略的改动均需要经过办的讨论前方可实施。 防火墙的日志系统维护， 日志的保存与备份按照 ?XX 公司防火墙运维管理制度?进展管理。a、由信息中心管理防火墙设备，分别设置管理员、平安管理员、平安审计 员的口令，由“三员分别管理。b、由信息中心对防火墙设备进展编号、标识密级、安放至平安管理位置。信息中心负责防火墙设备的日常运行维护，每周登陆设备查看设备配置、设备自身运行状态、转发数据量状态、系统日志等容。d、信息中心发现异常情况及时通报办，并查找问题原因，各部门配合信息 中心及时解决问题。e信息中心负责防火墙设备的维修管理，设备出现问题，通知办，获得批 准后，负责设备的维修管理。

18、 4部署后解决的风险原有防火墙保证主中心各 Vlan 的三层逻辑隔离，对各平安域之间进展访问控制， 对网络层访问进展记录与审计， 保证信息平安要求的访问控制以及平安审计局部要求。入侵检测系统XX 公司使用原有入侵检测设备进展网络层监控，保持原有部署及原有配置不变， 设备的管理维护依旧。 此设备解决的风险为对系统的平安事件监控与报警，满足入侵监控要求。违规外联系统 1部署XX 公司采用涉密计算机违规外联监控系统，部署于网终端、涉密单机及中间机上。 XX 公司的违规外联监控系统采用 B/S 构架部署，安装1 台网监控效劳器、 1 台外网监控效劳器，安装 645个客户端，全部安装于网终端、涉密单机以

19、及中间机上。部署示意图如下Internet庆华公司违规外联监控公网报警服务器旦庆华公司违规外联监控内网管理服务器涉密内网拨号、WLan 3G-实时监控实时监控中间机系统客户均I安装违规.内网终端图1-1违规外联系统部署示意图2第一次运行策略系统实时地监测受控网络主机及移动主机的活动，对非法 /外联行为由报警 控制中心记录并向管理员提供准确的告警。 同时，按照预定的策略对非法连接实 施阻断，防止数据外泄。报警控制中心能够以手机短信、电子两种告警方式向网 络管理员告警，其中手机短信是完全实时的告警，非常方便和及时。3设备管理及策略违规外联监控系统由信息中心进展管理及维护，任何策略的改动均需要经过

20、办的讨论前方可实施。违规外联监控系统的日志系统同时维护， 日志的保存与备 份按照？XX公司违规外联监控系统运维管理制度 砒展管理。a、由信息中心管理违规外联监控系统，分别设置管理员、平安管理员、平 安审计员的口令，由“三员分别管理。b、由信息中心对违规外联监控系统报警效劳器进展编号、标识密级、安放 至平安管理位置。c、信息中心负责违规外联监控系统的日常运行维护，每周登陆设备查看效 劳器硬件运行状态、策略配置、系统日志等容。d、信息中心发现异常情况及时通报办，并查找问题原因，各部门配合信息 中心及时解决问题。e信息中心负责违规外联监控系统效劳器的维修管理，设备出现问题，通 知办，获得批准后，联系

21、厂家负责设备的维修管理。f、当系统出现新版本，由管理员负责及时更新系统并做好备份工作。4部署后解决的风险解决违规拨号、违规连接和违规无线上网等风险。4应用平安防护4.1效劳器群组平安访问控制中间件XX公司涉密信息系统采用效劳器群组平安访问控制中间件2台，用于XX公司涉密信息系统主中心秘密级效劳器、附属中心秘密级效劳器边界的平安控 制、应用身份认证、转发控制、网络审计以及审计等。防护主中心的 XXX系统、 XXX系统、XXX系统、XXX系统、XXX系统以及XXX门户；防护附属中心的 XXX系统以及XXX类软件系统。1部署由于主中心的终端之间以及附属中心的终端之间数据流动均被设计为以效劳器为跳板进

22、展驻留转发，所以在效劳器前端的效劳器群组平安访问控制中间件 系统起到了很强的访问控制功能，限制终端访问效劳器的权限并且记录所有与效 劳器区进展交互的日志。效劳器群组平安访问控制中问件的ethl 口、eth2 口设置为透明模式，启用桥接口进展管理。部署拓扑示意图如下:机密级服务器群帆笛级服方命时制中间件服务器安 全访问控服务器安 全访问控 制中间件图1-10效劳器群组平安访问控制中间件部署示意图2第一次运行策略效劳器群组平安访问控制中间件上设置访问控制策略，并设定不同用户所能访问的效劳器资源；设置转发控制功能，为每个用户设置访问账号及密码， 依据 密级将用户划分至不同用户组中，高密级用户不得向低

23、密级用户发送。 配置审计 功能，记录发件人，收件人，抄送人，主题，附件名等。配置网络审计与控制功 能，可以依据XX公司办相关规定设定审查关键字， 对于流经系统的数据流进展 关键字过滤；审计部用户和效劳器区域的数据交换信息，审计应用访问日志。 3设备管理及策略效劳器群组平安访问控制中间件系统由信息中心进展管理及维护， 任何策略的改动均需要经过办的讨论前方可实施。 效劳器群组平安访问控制中间件的日志系统维护， 日志的保存与备份按照 ?XX 公司效劳器群组平安访问控制中间件运维管理制度?进展管理。a、 由信息中心管理效劳器群组平安访问控制中间件设备， 分别设置管理员、平安管理员、平安审计员的口令，由

24、“三员分别管理。b、由信息中心分别对2台效劳器群组平安访问控制中间件设备进展编号、 标识密级、安放至平安管理位置。c、信息中心负责效劳器群组平安访问控制中间件设备的日常运行维护，每周登陆设备查看设备配置、 设备自身运行状态、 转发数据量状态、 系统日志等容。d、信息中心发现异常情况及时通报办，并查找问题原因，各部门配合信息 中心及时解决问题。e信息中心负责效劳器群组平安访问控制中间件设备的维修管理，设备出 现问题，通知办，获得批准后，负责设备的维修管理。 4部署后解决的风险解决对应用访问的边界防护、 应用及网络审计、 数据库平安以及数据流向控制，满足边界防护、平安审计及数据库平安等要求。win

25、dows域控及补丁分发改造 XX 公司原有 AD 主域控制器及备份域控制器。 1部署XX 公司的主中心以及附属中心均部署AD 主域控制器及备份域控制器，共计2套，并建立IIS效劳器，安装 WSUS效劳器，提供系统补丁强制更新效劳。将终端系统的平安性完全与活动目录集成， 用户授权管理和目录进入控制整合在活动目录当中包括用户的访问和登录权限等 。通过实施平安策略，实现系统用户登录身份认证， 集中控制用户授权。 终端操作基于策略的管理。 通过设置组策略把相应各种策略 包括平安策略 实施到组策略对象中。 部署拓扑示意图如下：图1-7域控及 WSUS部署示意图2第一次运行策略建立好域成员及其密码，将所有

26、网终端的本地账号权限收回，网终端只能使 用管理员下发的域成员用户登录系统。通过组策略指定不同平安域用户口令的复 杂性、长度、使用周期、锁定策略，指定每一个用户可登录的机器。级终端需要 将USB-KEY令牌与域用户登录结合使用，到达“双因子鉴别的过程。设置终端用户工作环境，隐藏用户无用的桌面图标，删除“开场菜单中的 “运行、”搜索功能。启用网Windows XP终端置的WSUS客户端。由系统漏洞的官方漏洞发布页 下载完整的系统漏洞修复程序，将此程序通过中间机系统导入涉密信息系统， 在 WSUS效劳器端导入此程序，由WSUS效劳器下发系统补丁强制修复策略，强制 更新各个终端的系统漏洞。3设备管理及

27、策略AD域控系统以及WSUS补丁分发系统由信息中心进展管理及维护，域控组 策略的改动均需要经过办的讨论前方可操作。WSUS系统的升级更新按照？XX公 司与管理及补丁分发运维管理制度砒展管理。a、由信息中心管理AD域控系统以及WSUS补丁分发系统，分别设置管理 员、平安管理员、平安审计员的口令，由“三员分别管理。b、由信息中心分别对2套AD域控系统以及WSUS补丁分发系统效劳器进 展编号、标识密级、安放至平安管理位置。c、信息中心负责AD域控系统以及 WSUS补丁分发系统效劳器的日常运行 维护，每周登陆效劳器查看效劳器硬件运行状态、组策略配置、域成员状态、系 统日志等容。d、信息中心发现异常系统

28、日志及时通报办，并查找原因，追究根源。4部署后解决的风险解决局部身份鉴别以及操作系统平安相关风险。网络平安审计XX公司使用网络平安审计系统2台，用于对涉密信息系统的网络及应用进 展平安审计和监控。审计功能包括：应用层协议复原审计、数据库审计、网络行 为审计、自定义关键字审计等。1部署旁路部署于核心交换机的镜像目的接口， 部署数量为2台，分别部署于主中 心以及附属中心的核心交换机上。 设置其管理地址，用于系统管理及维护。部署 拓扑示意图如下：从属中心网闸主中心核心交换机核心交换机图1-14网络平安审计部署示意图2第一次运行策略配置审计、POP3 Smtp、imap、telnet、FTP协议以及自

29、定义审计 1433808。27000 104& 1034 1037 1041、1040 1042、603s 7777 3690 端口； 依据XX公司规定设定相关关键词字，审计关键词字；使用s方式管理系统。3设备管理及策略网络平安审计系统由信息中心进展管理及维护，审计谋略的改动均需要经过 办的讨论前方可操作。网络平安审计系统的日志系统维护，日志的保存与备份按 照？XX公司网络平安审计运维管理制度砒展管理。a、由信息中心管理网络平安审计设备，分别设置管理员、平安管理员、平 安审计员的口令，由“三员分别管理。b、由信息中心分别对2台网络平安审计设备进展编号、标识密级、安放至 平安管理位置。c、信息中

30、心负责网络平安审计系统的日常运行维护，每周登陆设备查看设 备配置、设备自身运行状态、转发数据量状态、系统日志等容。d、信息中心发现异常审计日志及时通报办，并查找原因，追究根源。e信息中心负责网络平安审计系统的维修管理，设备出现问题，通知办，获得批准后，负责设备的维修管理 4部署后解决的风险解决应用审计，针对容进展审计记录，满足平安审计相关要求。5 终端平安防护防病毒系统XX 公司将使用网络版防病毒软件建立病毒防护系统，共计26个效劳器端，419个客户端，分别部署在主中心以及附属中心。XX 公司将使用单机版防病毒软件建立中间机、单机及便携式计算机病毒防护系统，共计226 个终端。1部署防病毒系统

31、采用客户端+ 效劳器构造，效劳器由信息中心负责管理。杀毒中心安装：安装在平安管理效劳器上，设置好 admin密码，并且将注册 信息输入到杀毒控制中心。效劳器安装： 在 XX 公司各类效劳器上安装杀毒效劳器端， 设置杀毒中心的 IP 地址，并保持与杀毒中心的实时通信。客户端安装：所有的外终端均安装客户端杀毒程序，设置杀毒中心的 IP 地 址，与杀毒中心同步。单机防病毒系统直接部署在涉密单机及中间机上。2第一次运行策略防病毒控制中心效劳器部署在室。网络防病毒系统连接在核心交换机的acces戢口上。交换机接口配置 Vlan二层信息为：接口类型为 access为其划分 Vlan,使得其与其他 Vlan

32、不能通过二层相通，使得网络防病毒系统需要通过三 层与其他 Vlan 通信，即网络防病毒系统可以对网络中所有的主机设备进展杀毒 统一管理和在线控制。所有接入网络的终端计算机和应用效劳器windows操作系统都安装防病毒软件， 管理员通过控制台实现对全网防病毒系统的统一管理， 并强制在用户接 入网络时安装防病毒客户端。升级方式为： 在非涉密计算机上从互联网下载最新的防病毒系统升级包， 刻制成光盘。将此光盘上的防病毒系统升级包通过非涉密中间机导入到涉密光盘上， 带入到涉密网的防病毒系统效劳器上。 利用效劳器上的防病毒系统效劳端提供的接口导入升级包， 再通过效劳端将更新了的病毒库向每一台防病毒系统客户

33、端进展强制更新。防病毒管理： 定期升级病毒特征库， 每周不少于一次； 定期进展全网杀毒扫描， 每天方案不少于一次； 每月检查防病毒系统的运行情况并记录， 备份并存储 病毒日志；制定应急预案，防止病毒大面积爆发。3设备管理及策略为了防止计算机病毒或恶意代码传播，将采取如下措施：a、制定？XX公司涉密信息系统运行管理制度？，该管理方法将与XX公司涉 密信息系统的建立同时进展制定，同时加强审计，确保策略的正确实施；b、加强存储设备的接入管理，对接入系统的存储设备必须先经过计算机病毒和恶意代码检查处理；c、所有的涉密计算机usb及光驱等接口均通过授权才能使用，防止系统用 户私自安装软件或使用usb设备

34、带病毒入网。4部署后解决的风险解决计算机病毒与恶意代码防护、操作系统平安相关风险。恶意程序辅助检测系统XX 公司涉密信息系统采用恶意程序辅助检测系统，用于 XX 公司涉密信息系统的中间机信息输入输出介质的恶意程序及木马病毒查杀及管控。1部署系统采用单机部署在中间机上的构造。共4 台中间机，主中心2 台，附属中心 2 台，分别为涉密中间机以及非涉密中间机。 4 台中间机上均安装恶意程序辅助检测系统，对中间机潜在的恶意程序及木马进展管控。2第一次运行策略使用恶意程序辅助检测系统接收系统关键效劳、 限制未知程序启动、 未知驱动加载、设置策略进展恶意代码扫描、设置策略拦截恶意程序的盗取行为。3设备管理

35、及策略恶意程序辅助检测系统由信息中心进展管理及维护， 任何策略的改动均需要经过办的讨论前方可实施。 恶意程序辅助检测系统的日志系统同时维护， 日志的保存与备份按照 ?XX 公司恶意程序辅助检测系统运维管理制度?进展管理。a、由信息中心管理恶意程序辅助检测系统，分别设置管理员、平安管理员、平安审计员的口令，由“三员分别管理。b、由信息中心对中间机进展编号、标识密级、记录安放位置并指定中间机负责人。c、信息中心负责定期到中间机提取审计日志信息等容。d、信息中心发现高风险事件及时通报办，并查找风险源头，各部门配合信息中心及时解决问题。e中间机负责人严格遵守？XX公司恶意程序辅助检测系统运维管理制度？

36、,使用中间机需要进展申请、 审批、 登记摆渡容、 使用恶意程序辅助检测系统防止摆渡介质可能携带的恶意程序及木马危害系统。4部署后解决的风险解决中间机计算机病毒与恶意代码防护相关风险。主机监控与审计系统XX公司使用原有主机监控与审计系统进展对终端行为监控和限制，保持原 有部署及原有配置不变，管理方式及策略依旧。此设备解决的风险为设备数据接 口控制、主机平安审计风险。移动介质管理系统XX公司采用移动介质管理系统对公司移动存储介质进展管理。1部署使用一台单机作为移动存储介质的系统管理机，安装涉密移动存储介质管理 系统以及审计平台。该单机放置于信息中心，由信息中心管理维护。部署30个客户端。具体分布如

37、下表所示。表1-5移动介质系统部署汇总表序号部署位置数量12345678910合计2第一次运行策略使用移动介质管理系统对公司移动存储介质进展：注册登记、授权、定密、发放、收回、销毁、删除。采用全盘加密技术，防止格式化U盘后进展数据恢复。3设备管理及策略移动介质下发至各部门，由各部门进展统一管理，办进展二级管理，借用需 要通过部门领导的审批，登记后进展使用，并限定使用时间及使用围。采取的技 术防护手段为主机监控与审计系统， 进展移动介质设备的管控与日志记录。 移动 介质出现硬件问题后，交由办统一封存处理。4部署后解决的风险解决介质平安存在的风险。终端平安登录及身份认证系统XX公司采用终端平安登录

38、与监控审计系统 网络版，用于对级终端的“双因子登录身份认证。采用终端平安登录与监控审计系统单机版 ，用于对涉密单机、中间机登录身份认证、主机监控与审计。 1部署终端平安登录与监控审计系统 网络版 效劳器部署于平安管理区， 数量为2 套，分别部署于主中心和附属中心。认证客户端安装于级终端上，共计89 台。单机版直接部署在具XX 公司所有的中间机以及涉密单机上。2第一次运行策略所有终端的策略采取以下方式进展： 开机平安登录与认证， 关闭光驱、 软驱、串口、并口、红外、蓝牙、网络接口、 1394 火线、 PDA 。 USB 存储自由使用。制止修改注册表、安装软件、平安模式启动、外联、更换设备。制止打

39、印、监控文件操作。 特殊的终端如果需要开放特殊策略， 那么必须由办审批核准后， 由信息中心系统管理员进展策略的调整与下发。3设备管理及策略终端平安登录与监控审计系统由信息中心进展管理及维护， 任何策略的改动均需要经过办的讨论前方可实施。 终端平安登录与监控审计系统的日志系统同时维护， 日志的保存与备份按照 ?XX 公司终端平安登录与监控审计系统运维管理制度?进展管理。a、由信息中心管理终端平安登录与监控审计系统，分别设置管理员、平安管理员、平安审计员的口令，由“三员分别管理。b、 由信息中心对终端平安登录与监控审计系统效劳器进展编号、 标识密级、安放至平安管理位置。c、信息中心负责终端平安登录与监控审计系统的日常运行维护，每周登陆设备查看效劳器硬件运行状态、策略配置、系统日志等容。d、信