涉密内网分级保护设计方案

涉密内网分级保护设计方案北京启明星辰信息安全技术有限公司2009年10月目录1 项目背景 12 系统定级 13 安全保密需求分析 13.1 技术防护需求 13.1.1 机房与重要部位 13.1.2 网络安全 13.1.3 主机安全 23.1.4 介质安全 33.1.5 网络安全隔离 33.2 管理需求分析 43.2.1 人员管理 43.2.2 物理环境与设施管理 43.2.3 运行与开发管理 43.2.4 设备与介质管理 43.2.5 信息保密管理 43.3 安全需求综述 54 方案总体设计 64.1 方案设计原则 64.2 方案设计依据 64.2.1 方案设计所依据的国家保密标准 64.2.2 方案设计所依据的其他国家法律､法规与文件标准 74.3 方案总体框架 84.3.1 安全保密技术防护框架 84.3.2 安全保密管理防护框架 94.4 安全域划分 104.4.1 基本概念 104.4.2 涉密内网安全域划分与边界描述 124.5 关键防护技术与管理措施 124.5.1 物理隔离 124.5.2 安全域边界防护与控制 124.5.3 用户身份鉴别 124.5.4 密级标识 134.5.5 访问控制粒度 134.5.6 信息传输密码保护 134.5.7 信息存储密码保护 134.5.8 信息设备电磁泄漏发射保护 134.5.9 违规外联监控 134.5.10 安全保密产品选择 144.5.11 管理机构组建 144.5.12 管理制度制定 144.5.13 管理人员配备 145 方案详细设计 145.1 物理安全 145.1.1 环境安全 145.1.2 设备安全 155.1.3 介质安全 165.2 运行安全 165.2.1 备份和恢复 175.2.2 病毒恶意代码防护 175.2.3 应急响应 175.2.4 运行管理 185.3 信息安全保密 185.3.1 物理隔离 185.3.2 密级标识 185.3.3 用户身份鉴别 195.3.4 访问控制 195.3.5 信息传输密码保护 205.3.6 信息设备电磁泄漏发射保护 205.3.7 信息完整性校验 215.3.8 系统安全性检测 215.3.9 安全审计 215.3.10 操作系统安全 235.3.11 数据库安全 245.3.12 边界控制 255.3.13 违规外联监控 255.3.14 数据文件保护 255.3.15 残余信息清除 265.4 应用系统安全 265.4.1 使用者身份识别管理 265.4.2 基于人员职责的应用系统分级授权管理 285.4.3 应用系统安全运营管理 285.4.4 应用系统安全日志管理和监控管理 305.5 安全保密管理方案 325.5.1 管理机构 325.5.2 管理人员 325.5.3 管理制度 325.5.4 安全保密管理技术 345.5.5 涉密人员管理 355.5.6 物理环境与设施管理 385.5.7 设备与介质管理 405.5.8 运行与开发管理 425.5.9 信息保密管理 435.6 产品选型 455.6.1 产品及服务清单 455.6.2 安全评估加固咨询服务 465.1 涉密网安全基础知识培训 475.1.1 培训计划 486 残余风险控制 486.1 方案与标准符合性分析 486.2 残留风险点分析 546.3 残留风险规避措施 55项目背景国防科技工业是国家战略性产业,是体现国家意志､关系国家安危､服务于国家间博弈的战略工具,是对国民经济发展具有辐射和带动作用的重要力量,是国家综合国力和战略威慑力的重要体现｡对国防科技工业需要的和拥有的信息资源进行组织和管理,提高整个国防科技工业的管理､研发､设计和制造水平,以适应新时期国防建设的需要｡系统定级《中华人民共和国保守秘密法》以及国家保密局《涉及国家秘密的信息系统分级保护管理办法》中规定:涉密信息系统按照所处理信息的最高密级,由低到高划分为秘密､机密和绝密三个等级｡“绝密”是最重要的国家秘密,泄漏会使国家的安全和利益遭受特别严重的损害;“机密”是重要的国家秘密,泄漏会使国家的安全和利益遭受严重的损害;“秘密”是一般的国家秘密,泄漏会使国家的安全和利益遭受损害｡安全保密需求分析技术防护需求机房与重要部位涉密机房应满足GB9361-1988中B类安全机房场地选择要求;涉密机房采用屏蔽机房的要求进行建设;涉密机房的安防系统的建设需求,如视频监控､消防､门禁､防雷等;网络安全需要对涉密内网与非涉密外网进行物理隔离;需要对涉密网部署的网络设备进行明确详细的标识;需要对违规外联进行监控,违规外联是指比如涉密人员用涉密终端私自通过电话线进行拨号､无线上网､违规连接等外联访问互联网等行为;涉密内网应设计用户标识功能｡一般以用户名和用户标识符(UID)来标识一个用户,确保在涉密内网中用户名和用户标识符的唯一性｡这种唯一性应在涉密内网的整个生命周期内都有效,一个用户的帐号已被删除,他的用户名和标识符也不能再使用,并由此确保用户的唯一性和可区别性｡需要对用户身份进行鉴别,根据用户标识,为涉密内网提供用户身份鉴别功能,鉴别用户的真实性｡同时,采取统一的身份认证与授权机制,在涉密内网的各种业务中实现单点登录功能｡应设计和实现涉密内网的访问控制功能｡要求无论采用何种访问控制策略所实现的访问控制功能,都能够:允许对用户规定并控制其对资源的共享,并阻止非授权用户读取敏感信息｡要求访问控制能与身份鉴别和审计相结合,通过确认用户身份的真实性和记录用户的各种成功的或不成功的访问,使用户对自己的行为承担明确的责任｡需要对网络恶意代码与病毒传播进行防治｡应选择合适的病毒防杀产品实现对涉密内网的病毒防杀工作,建立涉密内网的病毒防御体系｡需要对入侵行为进行监控､防御,应部署分布式探测器和部署安全监控中心;网络行为的安全审计,主要提供可追查性,审计功能的设计应与用户标识与鉴别､强制访问控制､客体重用､数据完整性等安全功能的设计紧密结合,按照分级保护审计功能的要求｡需要对系统安全漏洞进行扫描,并及时进行加固;需采用电磁泄漏发射防护装置对相关设备和部件的电磁泄漏进行防护｡主机安全对涉密内网主机安全防护的需求主要包括:需要对涉密网部署的主机进行明确详细的标识,并按密级分类安放;需对涉密信息的打印､显示输出结果进行严格控制;需对涉密主机的数据接口(如USB､光驱､1394接口､串口､并口､蓝牙､红外等)与网络接口进行控制;需对涉密主机的恶意代码与病毒进行防治;需对主机系统进行身份鉴别与访问控制,具体的用户身份认证要求:在以请求访问方式引起信息流动时,除采用口令进行鉴别,并在每次用户登录系统时对请求者的身份进行鉴别外,要求有更加严格的身份鉴别,如采用智能USBKEY等特殊信息进行身份鉴别,并在每次用户登录系统之前进行鉴别｡口令应是不可见的,并在密码存储时支持机密增加型的保护要求｡需对涉密主机进行电磁泄漏发射防护;需要对主机操作行为进行审计和监控;需要对主机操作行为进行审计和监控;需对涉密主机操作系统的安全进行防护,如漏洞补丁的及时分发与安装｡介质安全存放信息的介质,如内存､外存(主要指磁盘)､软盘､可擦写光盘等｡需要着重考虑这些存储介质作为计算机系统资源被重新分配时,应确保曾经在介质中存放过的信息不因这种重新分配而遭泄漏｡对存储介质进行维修时应交给有相应保密资质的维修点进行维修｡介质的保存､收发与传递都需符合保密要求的机密增强进行安全防护｡采用专门的介质擦除工具｡网络安全隔离需要对内网系统进行调整,建设符合国家机密级信息系统分级保护要求的物理隔离网络,对系统网络进行安全域划分,进行分域防护｡对安全设备采用物理隔离､逻辑隔离等手段,实现涉密内网各安全域之间,的网络隔离｡对于涉密信息交换需求达到涉密终端不上外网,上外网的终端不联入内网｡从外部需进入内网的信息数据其介质不能直接在内网终端上读取｡管理需求分析人员管理需针对内部涉密人员､内部非涉密人员和外部人员编制科学完善的安全管理制度体系｡需配备专人专岗的涉密人员为系统管理员,制定不同类型管理员的权限划分与职责｡需对内部涉密人员的录用､职责､保密监控､安全培训､离职离岗等都有相应的管理制度｡物理环境与设施管理需有对周边安防设备定期的检查与维修制度;需设立门卫/保安值班制度､巡防巡查制度和报警处置预案｡运行与开发管理涉密内网建设的应用系统在安全保密需求方面,需对应用系统的运行使用(策略规则审核､软件安装控制､系统变更管､符合性检查､文档资料更新)､制定的应用系统开发(安全同步开发､开发环境分离､测试联调控制､后期维护管理)和异常事件(响应预案管理､事件监测处置､灾难恢复管理､总结评估改进)进行有效的管理｡设备与介质管理涉密内网对建设与建成后需对设备(包括系统设备､网络设备､安全设备等)与涉密信息数据存储介质的采购与选型､操作与使用､保存与保管､维修与报废这四个方面制定相应的管理制度,严格遵循国家涉密信息系统管理规范要求｡信息保密管理涉密内网对信息保密管理的需求包括对涉密信息的分类､与控制(包括密级确定､密级信息统计､密级标识添加､知悉范围确定等);用户管理与授权(包括用户的清单､标识､权限等);涉密系统互联控制管理等｡安全需求综述根据国家的相关法律法规和涉密内网系统特点,涉密内网的安全保障体系需求主要体现以下几个方面:保障系统的物理环境安全｡通过需求分析和对用户各类信息资产进行评估,划分安全域,制定安全策略｡建设基础安全防护系统,保障系统的网络安全和计算机系统的安全｡保障应用系统及数据的安全｡建立安全管理制度｡能够抵御网络系统所面临的各种威胁,具备一定的容错､容灾能力,有效地防止并追踪内部人员的故意犯罪,抵御来自内部与外部､针对各种对象的各种方式的攻击｡能够提供严格的控制能力和高效的查证等手段,实现比现有工作模式更加安全的工作与管理机制｡比如使用基于公钥的数字证书,防止伪造认可证书;通过严格的授权管理与审计管理机制,使得业务处理人员无法或不敢滥用职权｡防止有害信息(如病毒)在涉密内网网内的传播等｡

方案总体设计方案设计原则安全保密系统建设与改造是一个复杂的系统工程,它与网络规模､结构､通信协议､应用业务程序的功能和实现方式密切相关,一个好的安全保密设计应该结合现有网络和业务特点并充分考虑发展需求｡针对涉密内网,结合网络和业务的现状与规划作好系统整体的安全规划｡一方面,全面分析系统存在的安全风险;另一方面,结合安全总体规划,考虑信息系统发展的需求,遵循安全产品/系统高性价比的规划设计原则｡遵循的设计原则:符合现行法律法规的原则､物理隔离的原则､分域分级防护原则､信息流向控制､最小授权与分权管理､技术与管理并重原则｡方案设计依据方案设计所依据的国家保密标准国家保密标准BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》国家保密标准BMB23-2008《涉及国家秘密的计算机信息系统分级保护安全保密方案设计指南》国家保密标准BMB2-1998《使用现场的信息设备电磁泄漏发射检查测试方法和安全判据》国家保密标准BMB3-1999《处理涉密信息的电磁屏蔽室的技术要求和测试方法》国家保密标准BMB4-2000《电磁干扰器技术要求和测试方法》国家保密标准BMB5-2000《涉密信息设备使用现场的电磁泄漏发射防护要求》国家保密标准BMB10-2004《涉及国家秘密的计算机网络安全隔离设备的技术要求和测试方法》国家保密标准BMB11-2004《涉及国家秘密的计算机信息系统防火墙安全技术要求》国家保密标准BMB12-2004《涉及国家秘密的计算机信息系统漏洞扫描产品安全技术要求》国家保密标准BMB13-2004《涉及国家秘密的计算机信息系统入侵检测产品安全技术要求》国家保密标准BMB15-2004《涉及国家秘密的信息安全审计产品技术要求》国家保密标准BMB16-2004《涉及国家秘密的信息系统安全隔离与信息交换产品技术要求》方案设计所依据的其他国家法律､法规与文件标准《中华人民共和国保守国家秘密法》第七届全国人民代表大会常务委员会第三次会议通过1988年9月5日《中华人民共和国保守国家秘密法实施办法》国家保密局1990年5月25日《中华人民共和国计算机信息系统安全保护条例》国务院147号令1994年《计算机信息系统保密管理暂行规定》国家保密局国保发[1998]1号GB17859-1999《计算机信息系统安全保护等级划分准则》《中共中央保密委员会办公室､国家保密局关于国家秘密载体保密管理的规定》中共中央办公厅国务院办公厅厅字[2000]58号《国家信息化领导小组关于加强信息安全保障工作的意见》中共中央办公厅国务院办公厅中办发[2003]27号《关于加强信息安全保障工作中保密管理的若干意见》中保委发[2004]7号《关于信息安全等级保护工作的实施意见》公通字[2004]66号《涉及国家秘密的信息系统分级保护管理办法》国家保密局国保发[2005]16号国保发[2007]5号《关于印发<电子政务保密管理指南>的通知》全国信息安全标准化技术委员会《信息系统安全保护等级定级指南》公安部等《信息系统安全等级保护基本要求》《国防科技工业”十一五”电子政务工程建设目标与内容》(CEG-115.1-2006)《国防科技工业十一五电子政务工程技术要求》(CEG-115.2-2006)《国防科技工业十一五电子政务工程管理要求》(CEG-115.3-2006)《拟统一开发的软件清单》(CEG-115.4-2006)《产品厂商选型原则和依据》(CEG-115.5-2006)《2006-2020年国家信息化发展战略》《国家电子政务总体框架》(国信[2006]2号)《国家信息化领导小组关于推进国家电子政务网络建设的意见》(中办发[2006]18号)方案总体框架安全保密技术防护框架详细安全保密技术防护框架参照:国家保密标准BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》｡安全保密管理防护框架详细安全保密管理防护框架参照:国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》安全域划分基本概念安全域(securitydomain)就是由实施共同安全策略的主体和客体组成的集合｡网络安全域是指同一系统内有相同或相似的安全保护需求,相互信任,并具有相同或相似的安全访问控制和边界控制策略的子网或网络,相同或相似的网络安全域共享一样的安全策略｡安全域的概念中所定义的,具有相同和相似的安全要求和策略的IT要素的集合｡这些IT系统要素包括:网络区域主机和系统人和组织物理环境策略和流程业务和使命……安全域方法归根到底是对一个组织的资产､业务､网络和系统的理解方法,经过安全域的分析和整合,可以更好地体现一个组织的业务和网络的特征｡安全域的作用首先,安全域的重要作用为理顺系统架构｡组织通过安全域划分,可以帮助理顺网络的应用系统的架构,使得信息系统的逻辑结构更加清晰,从而更便于进行运行维护和各类安全防护的设计｡其次,简化复杂度也是当前组织在进行IT基础建设时的重要考虑｡基于安全域的保护实际上是一种工程方法,它极大地简化了系统的防护复杂度｡由于属于同一安全域的信息资产具备相同的IT要素,因此可以针对安全域而不是信息资产来进行防护,这样会比基于资产的等级保护更易实施｡再次,降低投资是作为长远考虑和建设的重要因素｡由于安全域将具有同样IT特征的信息资产集合在一起,因此在防护时可以采用公共的防护措施而不需要针对每个资产进行各自的防护,这样可以有效减少重复投资;同时在进行安全域划分后,信息系统和信息资产将分出不同的防护等级,根据等级进行安全防护能够提高组织在安全投资上的投资回报率｡最后,安全域的建设可以最大程度地为系统防护提供依据｡组织内进行了安全域的设计和划分,便于组织发现现有信息系统的缺陷和不足,并为今后进行系统改造和新系统的设计提供相关依据,也简化了新系统安全防护的设计过程｡特别是针对组织的分支机构,安全域划分的方案也有利于协助它们进行系统安全规划和防护,从而进行规范的､有效的安全建设工作｡安全域设计的基本原则安全域的理论和方法所遵循的根本原则如下:业务保障原则:安全域方法的根本目标是能够更好的保障网络上承载的业务｡在保证安全的同时,还要保障业务的正常运行和运行效率｡结构简化原则:安全域方法的直接目的和效果是要将整个网络变得更加简单,简单的网络结构便于设计防护体系｡比如,安全域划分并不是粒度越细越好,否则可能导致安全域的管理过于复杂和困难｡分级保护原则:安全域的划分要做到每个安全域的信息资产价值相近,具有相同或相近的密级分级､安全环境､安全策略等｡立体协防原则:安全域的主要对象是网络,但是围绕安全域的防护需要考虑在各个层次上立体防守,包括在物理链路､网络､主机系统､应用等层次;同时,在部署安全域防护体系的时候,要综合运用身份鉴别､访问控制､检测审计､链路冗余､内容检测等各种安全功能实现协防｡生命周期原则:对于安全域的划分和布防不仅仅要考虑静态设计,还要考虑不断的变化;另外,在安全域的建设和调整过程中要考虑工程化的管理｡涉密内网安全域划分与边界描述从业务上分析其主要网络区域分为核心交换区､应用服务区和办公区从组织结构､访问对象和保护要求参照安全域的基本划分原则,将涉密内网按业务划分为“互联安全域”､“服务器安全域”､“服务管理安全域”､“办公安全域”等｡关键防护技术与管理措施物理隔离涉密内网同互联网没有直接或间接的连接,符合物理隔离的相关要求｡安全域边界防护与控制安全域之间采用防火墙､入侵防御系统进行边界防护与控制｡防火墙的安全策略列表的引用能起到用户对应用系统服务区的访问控制｡用户身份鉴别制定相应的管理制度,明确身份鉴别策略,同时保证身份鉴别策略能够正确实施,同时采取身份认证及访问控制系统等技术手段,对信息系统中涉密的服务器､用户终端以及应用程序的本地登录和远程登录进行用户身份鉴别｡采用令牌认证系统和生理特征(指纹)的强身份认证来实现｡密级标识将办公自动化系统中所承载的文件,用非密､秘密､机密标识清楚｡对于涉密应用系统､涉密数据库系统,采用严格的边界控制手段,防止涉密信息由高密级安全域流向低密级安全域｡对硬件设备､存储介质等都进行明确的密级标签标识｡访问控制粒度利用终端安全管理系统､身份认证及访问控制系统､防火墙､网络安全审计系统等安全设备,对系统内涉密信息和重要信息的访问采用强制访问控制策略,对于涉密信息和重要信息的访问控制,主体控制到单个用户,客体控制到信息类别｡防火墙的安全策略能基于IP的访问控制,身份认证及访问控制系统结合终端安全管理系统和安全审计系统能达到具体某一个用户对应用系统数据信息访问权限的控制能力｡信息传输密码保护因为涉密内网属于内部局域网,不存在远程信息传输｡采用了光缆以及屏蔽双绞线,所以未采用传输密码保护设备｡信息存储密码保护因为对涉密内网的涉密服务器与数据库设备采用专用的屏蔽机柜进行存放,相关门禁设备､物理监视设备也合理的进行了布置,很难发生被盗等问题,所以没有采用密码产品进行信息存储密码保护｡信息设备电磁泄漏发射保护采用了屏蔽机柜､光缆和屏幕防电磁泄漏干扰设备,进行信息设备电磁泄漏发射保护｡违规外联监控采用终端安全管理与审计系统进行违规外联监控｡安全保密产品选择严格遵守国家保密局的相关标准,所有安全保密产品均选择通过国家保密局测评的,拥有自主知识产权的国产品牌产品｡管理机构组建建立明确的涉密内网管理机构｡管理制度制定在涉密内网建设过程中,将依据国家的相关法规､标准,逐步制定与完善相应的管理制度｡管理人员配备配备有政治历史､身份､专业资格以及业务能力(学术水平)合格的网络管理人员和安全管理人员｡方案详细设计涉密内网是一个涉密网络,为了系统地描述和分析安全问题,根据涉密内网的业务要求和国家保密局的有关规定,本节将从物理安全､运行安全､信息安全保密､安全保密管理､产品选型与安全服务,详细分析现有内网各个层次可能存在的安全漏洞和安全风险,并提出解决方案｡物理安全环境安全机房与重要部位涉密机房的选址将满足GB9361-1998,A类安全机房场地选择要求,具有较强的防灾害(雷击､暴雨､电压､盗窃､水灾､火灾､地震等)､防干扰(电磁干扰,静电等)能力｡涉密内网中心涉密机房将按照国家有关标准GB50174-1993《电子计算机机房设计规范》､GB2887-2000《计算站场地技术条件》､GB9361-1988《计算站场地安全要求》的要求建设完成,达到合适的温度､湿度,能够防尘､防静电､防水､防雷击､防电磁辐射;采用不间断电源｡设备存放环境如温度､湿度等符合设备要求｡所有承载秘密级以上信息的服务器均需要部署在屏蔽机柜之中｡区域监控和控制涉密内网的重点防护区域:机房大门将安装电子门禁系统,唯一的进出通道将安装有电视监视系统和红外报警系统,且配备警卫人员进行区域巡防保护｡同时,设计中将涉密网配线间与非涉密网配线间分部在不同楼层｡机房人员对涉密内网的网络系统所在环境的安全保护,还包括针对机房人员制定相应的安全审查和管理制度｡设备安全设备主要指:门控系统､网络专用设备(路由器,交换机等)和主机设备(终端计算机,打印机､多功能一体机､传真机､服务器等)｡设备安全主要包括设备的防盗､防毁､防电磁信息辐射泄漏､防止线路截获､抗电磁干扰及电源保护､维修､报废等;设备冗余备份｡通过严格管理及提高工作人员的整体安全意识来实现｡设备可靠性采用高质量､可靠的设备;对关键的设备采换性能更好､功能更全､运行更稳定的产品｡设备均规划采用国内相关知名品牌相关产品,并在性能上能完全满足涉密内网的规模及需求｡设备环境根据设备存放环境如温度､湿度等的要求｡涉密机房规划部了通信机房专用温控系统｡设备备份核心交换机､重要数据库服务都采用了双机热备方工,汇聚层以上交换机都采用了双电源备份｡设备安装设备的安装坚固耐用,隔离存放,做到最终用户难以私自安装､拆卸设备的配件,用户能够接触的只有键盘和屏幕｡内网安全方面也已做了设备的安全安装､放置､安全备份｡介质安全软盘､硬盘､光盘､磁带等涉密媒体将按存储信息的密级管理,涉密信息媒体的维修将保证所存储的涉密信息不被泄漏,不再需要的媒体,将按规定及时安全地予以销毁｡相关部门需要严格遵守管理制度,配备相应的保密设备并由专人管理｡对介质的制作､发放与传递､使用､保存､维护和报废进行管理｡对于介质的保存采用了介质屏蔽柜｡对移动介质的使用除了安全制度的制定还采用了终端安全管理系统对其进行加密､控制及使用审计管理｡运行安全涉密网运行安全主要包括备份与恢复､病毒恶意代码防护､应急响应和运行管理｡备份和恢复涉密系统系统的主要软件､数据等有备份,并有技术措施和组织措施能够在较短时间内恢复系统运行｡包括:制定备份与恢复策略对涉密数据进行定期备份对应用数据的备份设备的备份电源的备份备份环境安全系统恢复与重建病毒恶意代码防护当前通过网络和各种存储介质进行病毒传播和攻击的活动非常普遍,新型病毒层出不穷,会对涉密内网造成大量损害｡因此,对网络中的各类服务器和客户机进行定期的防病毒扫描和实时状态下的监控,对保护网络资源和保证网络中各种服务的正常提供是不可或缺的｡通过在网络中部署分布式､网络化的防病毒系统,不仅可以保证单机有效地防止病毒侵害,可以使管理员从中央位置对整个网络进行病毒防护,及时地对病毒进行查杀｡同时,还应该在重要安全域边界部署防毒墙等设备,成为第一道防止病毒传播的屏障｡病毒防护包括:防护策略､防护对象､范围､病毒库升级､接入控制｡应急响应虽然采取了各种防护措施,但是没有绝对的安全,所以针对涉密内网,需要制定应急响应计划和策略以应对紧急事件的发生,对相关人员进行应急响应培训｡对内网的安全事件进行实时监控和分析是应急响应的基础,所以需要对涉密内网的安全事件进行监控､分类,制定针对泄密事件的流程､方法､处理方式｡运行管理涉密内网的安全保密需要良好的运行管理流程来支持,需要制定相应的运行管理策略,对保密系统的系统配置进行变更管理,实行最小配置要求和网络接入鉴别,并执行最小授权原则,把系统配置管理权限和审计权限分开｡信息安全保密物理隔离涉密机房采用屏蔽机柜,机房出口有电子门禁与安防系统｡在网络隔离方面实行五专､二不､一隔离,必须有专机､专线､专室､专人､专盘;办公用机不上互联网,上互联网的微机不办公;涉密内网与非涉密外网完全物理隔离｡因业务工作需要有外来数据的时候,采用专机刻光盘的方式保存数据,坚决杜绝外来存储介质进入涉密内网,坚决杜绝涉密网络与互联网的对接｡密级标识对于办公自动化系统中的涉密信息进行明确的标识,将办公自动化系统中所承载的文件,用非密､秘密､机密标识清楚｡对于涉密应用系统､涉密数据库系统,采用严格的边界控制手段,防止涉密信息由高密级安全域流向低密级安全域｡同时,加强对于涉密应用系统中所有信息复制､修改､删除的审计｡同时,对涉密系统中产生､存储､处理､传输､归档和输出的信息及其存储介质,安全管理员要对其进行明确的相应密级标识,保证电子文件密级标识与信息主体不可分离,密级标识不会被篡改｡例如,在网络设备､安全设备､应用系统服务器等设备上根据其密级粘贴密级标识,在数据存储介质上粘贴数据信息的密级标识,在信息文档的正文前面标注其密级的描述｡同时根据涉密信息的密级和实际业务工作的需要,确定人员知悉范围列表,并以此作为用户授权的依据｡用户身份鉴别制定相应的管理制度,明确身份鉴别策略,同时保证身份鉴别策略能够正确实施,同时采取身份认证及访问控制系统等技术手段,对信息系统中涉密的服务器､用户终端以及应用程序的本地登录和远程登录进行用户身份鉴别｡用户身份标识符由系统管理员统一生成,并确保身份标识符在此系统生命周期中的唯一性;对系统内的身份标识符加强管理､维护,确保身份标识符列表不被非授权地访问､修改或删除;用户标识符与安全审计相关联,保证系统内安全事件的可核查性;采用令牌与口令相结合的方式进行身份鉴别;口令长度不得少于十个字符,口令更换周期不得长于一月｡采用生理特征─指纹强身份鉴别方式进行身份鉴别｡用户身份鉴别的方案均由身份鉴别系统来实现与管理｡访问控制利用终端管理系统､身份认证及访问控制系统､防火墙､网络安全审计系统等安全设备,对系统内涉密信息和重要信息的访问采用强制访问控制策略,对于涉密信息和重要信息的访问控制,主体控制到单个用户,客体控制到信息类别｡同时对系统内涉密信息和重要信息的输出(如打印､复制､屏蔽截取等)操作采取技术措施进行严格的控制｡涉密内网建设的应用系统平台多且复杂;目前假定为内部所有用户都是可信群体,但这样不能在技术上监控可能存在的内部人员针对应用系统平台､网络设备的攻击行为,因此需要采取措施和制定相应的管理制度,只有在技术和管理上并重才能保证内部网络的安全｡此外,在网络访问控制方面,利用核心交换机､汇聚交换机的能力,按照用户实际需求,对内部系统中不同部门或不同安全级别的用户组,利用交换机虚拟子网技术划分不同子网,实现局域网内部不同子网之间的访问控制;在应用系统层面,通过身份鉴别系统对子网内部按用户的安全级别授予不同的访问权限,保证用户对涉密信息的访问得到控制,同时结合终端安全管理系统和网络安全审计系统实现具体到用户对应用系统访问权限的控制,控制粒度可以达到具体处室的涉密人员到具体该涉密人员可以访问和操作数据信息类｡信息传输密码保护根据保密要求:“处理机密级信息的涉密系统,如果完全处于一个封闭的由其主管部门(单位)独立使用和管理的建筑群内,选择采取以下其中一项物理防护措施时,信息传输可不采用密码保护措施｡否则,信息应加密传输｡采用光缆;采用良好接地的屏蔽电缆,并与其它并行非屏蔽线缆保持15厘米或45厘米以上的隔离距离;采用非屏蔽电缆时与其它平行线缆应保持1米或3米以上的隔离距离｡采用线路传导干扰器｡”因为涉密内网只存在与办公楼内部,属于内部局域网,不存在远程信息传输,同时采用了光缆､屏蔽双绞线｡信息设备电磁泄漏发射保护涉密网保密技术要求:“涉密网的安装使用应满足国家保密标准BMB5-2000《涉密信息设备使用现场的电磁泄漏发射防护要求》｡处理机密级信息的设备应安装干扰器,所使用的干扰器应满足国家保密标准BMB4-2000《电磁干扰器技术要求和测试方法》,并经国家有关主管部门批准使用｡”根据信息保密的要求,充分考虑涉密网电磁泄漏带来的安全问题｡针对涉密内网的涉密信息系统中电磁泄漏发射防范将采取以下措施:建设专门的屏蔽机房,要求其电磁泄漏防范达到国家保密相关标准｡网络传输中交换机之间､交换机与数据库服务器之间采用光缆直接连接｡采用屏幕防辐射泄漏设备,来解决部分显示器屏幕电磁泄漏的问题｡信息完整性校验通常,实现数据的完整性校验的方法是:发送方使用散列函数(如SHA､MD5等)对要发送的信息进行计算,得到信息的鉴别码,连同信息一起发送给接受方,接受方对收到的信息重新计算,将得到鉴别码与收到的鉴别码进行比较,若二者不相同,则可以判定信息被篡改了｡但值得注意的是涉密内网的发送方使用散列函数对其进行计算的话,将花费太多的时间和存储资源,必将严重影响工作｡抗抵赖是为了防止发送方在发出数据后又否认自己发送过此数据,并防止接收方收到数据后又否认收到过此数据,常用方法是数字签名｡故在涉密内网的应用系统中建议在系统开发过程中将上述完整性校验(比如MD5计算模块)设计进去,这是最佳的解决方案｡身份认证系统的数字签名可实现抗抵赖技术｡同时采用全方位的入侵检测和审计技术,来弥补完整性校验和抗抵赖的不足｡通过综合审计管理平台,分析入侵检测和审计日志,来进一步实现数据的完整性校验和抗抵赖｡系统安全性检测及时地发现网络服务漏洞,提出修改建议,是网络安全防御中的一项重要技术,其原理是根据已知的安全漏洞知识库,对目标可能存在的安全隐患进行逐项检查｡目标可以是工作站､服务器､交换机､数据库应用等各种对象｡然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告,为提高网络安全整体安全的重要依据｡操作简单,可以大大减少网络管理员的手工劳动,有利于及早弥补漏洞,保持全网安全和稳定｡方案设计使用网络漏洞扫描系统同时使用人工分析的方法进行系统安全性检测｡安全审计涉密网保密技术要求:“审计系统具有详细的日志,记录每个用户的每次活动以及系统出错和配置修改等信息,应保证审计日志的保密性和完整性｡应保证审计不被旁路,防止漏计审计数据｡审计系统应具有存储器将满的告警和保护措施以防审计数据丢失”｡审计信息对于确定是否有网络攻击的情况发生,以及确定问题和攻击源都非常重要｡通过对安全事件的不断收集与积累并且加以分析,可以为发现可能的破坏性行为提供有力的证据｡利用系统安全自动分析和基于网络､主机的检测工具对审计数据进行分析,可尽量早地发现那些可疑事件或行为的线索,发现网络中存在的不稳定因素(如服务器死机),给出报警或应对措施｡安全域内采用网络审计模式,审计内容包括:时间､地点､类型､主客体和结果｡涉密内网系统中,目前相应的安全审计措施不完善｡因此要求:在涉密信息系统中,操作系统必须启动日志与审计的功能,重点是基于Windows､Linux操作系统上的安全审计｡数据库系统要做好重要数据库操作的日志和审计工作｡对于涉密内网采用操作系统日志审计､网络审计､数据库审计､安全运营中心事件分析和入侵检测的审计功能相结合的方法进行安全审计｡对重要涉密系统采用专用设备进行安全审计｡入侵检测报警日志,通过对所有对网络系统有可能造成危害的数据流进行报警及响应;安全审计有助于对入侵进行评估,是提高安全性的重要工具｡系统产生的大量的审计数据给出了系统中活动的详细记录,安全运营中心可以利用数据库､操作系统､安全保密产品和应用软件的审计功能进行事件收集并统一分析｡同时与身份鉴别､访问控制､信息完整性等安全功能的设计紧密结合,并为下述可审计事件产生审计记录:服务器､重要涉密用户终端和安全保密设备的启动和关闭;审计功能的启动和关闭;系统内用户增加和删除;用户权限的更改;系统管理员､安全保密管理员､安全审计员和用户所实施的操作;与系统安全有关的事件以及根据应用系统特点定义的可审计事件｡操作系统安全操作系统安全是计算机信息系统安全保密的基础,操作系统的“漏洞”和“后门”会对计算机信息系统的安全保密造成严重的威胁｡操作系统不同程度上都存在一些安全漏洞｡一些广泛应用的操作系统,如Unix､Windows､Linux,其安全漏洞更是广为流传｡另一方面,系统管理员或使用人员对复杂的操作系统和其自身的安全机制了解不够,配置不当也会造成安全隐患｡这些安全漏洞给危险人员以可乘之机｡所有的应用系统都运行在特定的操作系统上,失去的操作系统的安全,应用系统就失去了安全基础｡仅仅依靠管理人员的一般管理来保证操作系统的安全是不够的｡涉密内网核心应用系统服务器､数据库服务器的操作系统为Windows､Linux｡建议采用安全服务的方式解决操作系统安全问题,安全专家现场对系统进行漏洞检查,实时的进行漏洞修补和系统加固｡具体服务如下:系统漏洞扫描安全专家用漏洞扫描系统对服务器主机进行漏洞检查｡系统安全配置(加固)安全专家依靠经验和一些系统标准为涉密内网系统机密信息数据服务器主机进行安全配置,也可提供特殊的安全配置服务｡主要如下:使用网络安全漏洞扫描和评估系统扫描系统,对出现的不安全配置进行纠正,对发现存在安全漏洞的系统服务将及时进行升级｡所有的windows2003涉密客户机打上servicepack1,windowsXP涉密客户机打上servicepack3,windowsVISTA涉密客户机打上servicepack1,并打上一些新发现的漏洞补丁如针对tcp协议栈漏洞的补丁｡使用强身份认证系统｡利用磁带机定期对操作系统进行备份,以保证操作系统的安全和系统配置文件的完整性｡安全配置审核网络安全人员可用漏洞扫描产品对加固后的系统进行安全审核,检查是否还有危险漏洞｡数据库安全根据涉密网保密技术的要求,应该对涉密网的数据库进行安全增强建设｡涉密内网的许多关键的业务系统运行在数据库平台上,如果数据库安全无法保证,运行其上的应用系统也会被非法访问或破坏｡数据库安全涉及一个综合的安全问题,由于数据库架构于操作系统之上,因此安全的操作系统是保证数据库安全的前提;其次,数据库作为应用系统的一部份,如果在用户访问应用系统时经过严格的身份认证,则也提高了数据库系统的安全;最后涉及到的是数据库系统自身安全隐患和配置安全问题｡应用系统的安全､操作系统的安全已有论述｡在此,专门论述数据库本身的安全｡数据库安全隐患集中在:认证:口令强度不够,过期帐号,登录攻击等｡授权:帐号权限,登录时间超时等｡配置权限:安全管理员和系统管理员权限不合理配置｡在数据库安全方面,可以选择专业的安全公司提供数据库加固等方面的安全服务,对数据库安全进行全面评估,包括所有的数据库安全漏洞和认证､授权､完整性方面的问题｡选用数据库系统安全服务定期对数据库的完整性进行审核配置,打补丁和修正程序漏洞等｡安全专家现场对数据库进行安全检查,并进行安全配置和漏洞修补｡服务内容包括:数据库安全检测安全专家用漏洞安全扫描系统对涉密内网数据库进行安全检测｡数据库安全配置安全专家依靠经验和一些系统标准为涉密内网系统机密信息数据库进行安全加固配置,也可提供特殊的安全配置服务｡具体建议如下:数据库账户依任务而定,任务结束后,即令该帐户失去效用,并收回相应的权限｡将数据库建库的全过程划分为几个主要阶段,每一阶段指定专人负责处理,系统管理员分配给特定的账户和密码,对“所有者”､“组”和“其他”三项设置严密的权限,做到同组间可以浏览,但不可删改,封闭“其他”用户的权限｡只有所有者拥有读､写和执行权｡做好数据库Log文件的备份｡安全配置审核网络安全人员可用数据库安全检查产品或通过渗透性测试方法,对加固后的数据库进行安全检测｡边界控制按照不同的业务,针对涉密内网划分不同的安全域,明确安全边界,在明确的安全边界实施有效的访问控制策略;进入系统安全域与子域的数据都应当通过各自的安全边界完成,在边界进行访问控制防护｡边界安全防护措施包括:防火墙入侵检测/防御违规外联监控采用终端安全管理系统对涉密人员用涉密终端私自通过电话线进行拨号､无线上网､违规连接等外联访问互联网等行为｡通过该系统禁用涉密终端的USB､串口､并口､红外接口､蓝牙､1394接口等｡数据文件保护通过文件加密系统对指定文件和目录进行加密保护｡通过终端安全管理系统文件操作审计与控制功能,可对指定目录文件或指定文件名后缀的读､写､新建､复制､删除､改名､移动等操作进行审计,对指定目录文件或指定文件名后缀的读､写､新建､删除､改名､移动等操作进行阻断｡对于终端共享目录的访问以及用户访问网络文件也可进行详尽的审计｡残余信息清除残余信息存在于系统设备的内存､硬盘､移动存储介质､报废存储介质中｡对于清除在内存中的残余信息最安全的解决方式便是重启设备,而在日常工作中应严格遵守安全管理制度,只有系统管理员权限的涉密人员能对系统进行本地登录操作｡对于磁性存储介质通过磁性载体与信息销毁系统进行残余信息清除,但仅限于磁性存储介质整盘数据的清除｡对于报废存储介质则严格按照要求一率送往保密局指定的销毁中心进行销毁处理｡应用系统安全使用者身份识别管理用户帐号管理确保每一位应用系统的使用者只拥有一个属于自己的独立的帐号,该帐号直接关系到该用户在整个应用系统中的相关权限｡不得在应用系统中设立虚假的帐号或无人使用的帐号｡帐号的申请和建立严格按照“一个人一个帐号”的原则｡应用系统提供相关的机制为每个帐号和其他的个人相关信息有所联系｡如人员的真实姓名､联系方式,所在部门等｡在一般情况下禁止建立用户组帐号(即同一个帐号可以由许多不同的用户登陆使用)｡除非情况十分特殊,则必须由相关的应用系统管理部门连同安全管理部门共同认可｡系统正式投入运行后立即将系统中的“Guest”以及类似的系统自带或内置缺省的账户删除｡应用系统在允许用户在使用系统中的某种重要功能之前,要求用户提供其帐号以确认身份｡应用系统能够维护一份含有所有当前使用的用户及其相关状态信息的列表｡应用系统提供相关机制来临时关闭或打开用户的帐号｡应用系统提供相关的机制来限制同一个帐号同时登陆的个数｡应用系统严格地控制各级管理员(Administrator)帐号或根(Root)帐号,所有的系统管理员先通过他们自己的帐号登陆系统,然后再切换到管理员(Administrator)帐号或根(Root)帐号｡应用系统将在60天内没有使用过的用户帐号暂时禁用｡如果该帐号在90天内没有使用过或相关的部门正式通知该帐号已经作废,则需将该帐号从系统中删除(在正式删除之前应向该用户发送一份通知)｡用户可在业务需要且经部门的领导同意的情况下申请建立新的帐号,或将已经被禁用的帐号恢复｡用户口令管理应用系统提供一种机制确保每一个使用系统的人员都必须先经过系统登陆,如输入用户名和口令的过程｡禁止出现可以不经过系统登陆直接进入应用系统的情况｡应用系统采用“用户名+口令”的系统认证方式｡应用系统对于口令的控制应符合“口令管理标准”中规定的相关规范｡应用系统允许用户自行在系统中更改自己的口令｡但这种更改必须建立在用户已经通过了系统对于其本人身份的认证的基础之上｡且系统应强制规定用户不可以为其本人以外的其他用户更改口令｡应用系统的口令以密文的形式存放在系统中,且口令在传输的过程中必须进行一定的加密措施以确保口令的保密性和完整性｡当用户连接上应用系统但在一定的时间内(建议10分钟)没有使用,则系统自动将该用户与系统的会话切断,当用户希望继续对应用系统进行操作时必须重新输入密码｡应用系统强制用户在第一次登陆系统后必须更改当前的系统初始口令,同样当出现用户忘记或遗失口令的情况系统管理员会帮助用户重新设置临时口令,用户在第一次使用临时口令时系统应强制用户必须更改临时口令后才能登陆系统｡应用系统应强制用户每隔一定的时间(如60天)修改用户的登陆口令｡应用系统的帐号和口令管理必须严格的控制访问的权限,通常只能是系统的管理员才有权限进行访问和管理｡基于人员职责的应用系统分级授权管理应用系统应只允许经过认证的用户､程序模块或其他的应用系统访问,任何未经授权的访问都应被阻挡在外｡内部工作人员应用系统授权管理规范可以参照以下流程:根据人事系统中工作人员的情况授予其相应的应用系统使用的权限和承担的责任;以书面的方式将工作人员的权限和相应的责任提交给工作人员本人;根据工作人员权限和责任的大小确认是否需要签署相关的保密协议;在日常工作中记录工作人员的相关应用系统访问日志信息;工作人员一旦离职或调动岗位立即收回或调整其应用系统相关的访问的权限｡应用系统提供通过将自定义用户的权限策略,比如对于同一类型的用户,这些用户可能具有某些共同的属性如属于同一业务单元､或在地理位置上相同或者在同一个项目中,使得这些用户在系统中具有相同的权限｡因此可以通过对于同一组的用户给予同样的权限制定和使用同样的安全策略｡大大降低安全策略实施的复杂度｡应用系统应支持对于敏感的系统或信息处理提供双重身份认证机制｡应建立应用系统的安全管理机构,负责应用系统安全相关的日常事务工作｡主要负责与应用系统安全相关的规划､建设､资源利用和事故处理等方面的决策和实施｡应用系统的安全管理机构的相关人员至少要求两个人或以上,禁止将系统的安全管理职责赋予一个人｡必须建立相互监督的安全管理机制｡所有的用户的相关权限必须定期(每六个月)进行审计评估,安全管理人员的权限必须定期(每三个月)进行审计评估｡应用系统安全运营管理应用系统在运营使用中的安全也相当重要,由于各个应用系统的功能,使用情况都各不相同｡因此应用系统的安全运营管理主要从系统通用的安全性:保密性､可用性､完整性三个方面进行阐述｡系统保密性管理所谓应用系统的保密性是指防止应用系统的相关信息泄漏给未经授权的用户､实体或进程,须遵守以下规范:对于所有的非公共的数据传输或存储数据在安全管理范围以外的情况都应对相关的数据进行加密的保护｡应用系统应使用国家保密局标准的加密方法和加密机制｡保护关键密钥,确保只有经过授权的人才能得到｡设计和实施加密系统时应确保没有人能够完全了解或控制加密主密钥的相关信息｡应保护与密钥相关的各种资料,包括软件版本和硬拷贝｡禁止将密钥转换成明文｡系统可用性管理可用性是指保证应用系统可以持续地被授权的应用实体访问并按照相关业务的需求进行使用,须遵守以下规范:能够提供备份机制确保当应用系统出现问题时及时地恢复｡根据业务的需求建立数据备份的日程表,如果业务上没有明确的需求则每天进行一次增量的备份,一周进行一次全量的备份｡对于备份在备份介质如磁带上的数据应定期(隔6个月)进行一次检测确保数据还可以被恢复｡系统完整性管理完整性是指应用系统信息在未经授权的情况下不得被改动的特性,须遵守以下规范:应用系统尽管不可避免的会存在一定的安全风险,但应尽可能的将应用系统自身的安全风险降到最低｡对应用系统的详细设计进行分析,来判断是否真正达到了国家保密局所要求的安全规范｡应用系统的开发应尽量使用安全的开发环境｡应用系统的测试环境和开发环境必须分离｡开发人员应明确自己的开发的任务和相应的安全责任｡所有开发的代码都必须可以通过设计文档进行回朔,确认每行代码最终的业务需求｡应用系统提供相关的验证机制或流程确保应用系统自身没有被非法的修改｡应用系统中所有的安全特性都必须经过功能性测试,安全测试应被列为系统整体测试的一个重要的部分｡所有安全相关的测试问题都必须被完善的解决｡应用系统提供严格的访问控制机制以确保系统不会被未经授权的人访问,修改或删除信息｡在数据传输的过程中,应用系统中信息敏感的关键数据应进行加密的保护以确保完整性｡应用系统应自动生成日志信息以供日后审计使用｡应用系统应保留所有的访问的日志记录,包括用户的访问,系统的访问｡记录相关的访问日期,访问时间和访问者相关信息｡应用系统安全日志管理和监控管理日志管理应用系统支持对用户的系统访问和操作行为进行日志记录和监控跟踪的功能｡应开发并实施系统日志管理功能,在系统出现问题的情况下通过确认原因来及时地恢复系统｡应用系统必须确保其日志文件在存储､传输的过程中受到专门的安全保护｡应用系统的日志文件不应保留太短或太长的时间,通常短至半年,长至2~3年｡应用系统的日志文件根据系统的具体情况定期进行审核｡应用系统所记录的安全相关的日志文件应包含足够的信息确保一旦出现问题可以快速地定位产生问题的原因,并确认当事人员管理上或法律上的责任｡应用系统根据业务需求和安全上的需求,定义日志文件所记录的信息的格式框架和特殊的事件信息｡日志记录中包含足够的关于各类事件本身的信息｡对日志文件的审计应可以保护系统不会遭到未经授权访问｡应用系统安全管理人员可在不影响应用系统本身的正常运作的前提下更改日志的记录范围和记录详细程度｡应用系统安全管理人员有能力决定打开或关闭对某些事件的日志跟踪管理｡应用系统安全管理人员禁止关闭对其自身的日志跟踪管理｡任何对可监控的事件的日志跟踪管理的改动都必须被记录在案｡应用系统提供相应的机制或流程确保可将系统自动生成的日志文件在不影响应用系统正常运作的前提下,自动地备份到其他的备份存储设备上｡监控管理应用系统提供一种实时监控的机制来监控可能会导致安全事故的各种安全相关事件的产生和发展情况,并将相关的信息及时准确地传递到安全管理人员处｡实时的监控所有的和交易或信息敏感系统设置的改动相关的事件,进行24小时×7天全天候的保护机制｡应用系统提供相关的日志信息的收集整理并进行一定的分析的工具,能够自动生成意外事件报告､汇总报告或某些细节问题的详细报告｡应用系统安全管理人员能够有选择性的对用户的行为进行实时地监控,其中包括了对普通的用户或特权的用户行为的监控｡安全保密管理方案管理机构涉密网络系统安全保密管理首先是主管部门领导的职责,必须在安全管理委员会下面建立专门安全保密管理机构,并明确规定安全保密管理机构的职能｡安全管理委员会直接指导安全保密管理机构的工作,安全保密管理机构接受并执行安全管理委员会的整体安全策略,并要符合涉密网要求｡安全管理委员会将设置安全保密管理人员并责任到人｡管理人员建成后的涉密内网将配备系统管理员､安全保密管理员和安全审计员三类安全保密管理人员,分别负责系统的运行､安全保密和安全审计工作:系统管理员主要负责系统的日常运行维护工作;安全保密管理员主要负责系统的日常安全保密管理工作,包括用户帐号管理以及安全保密设备和系统所产生日志的审查分析;安全审计员主要负责对系统管理员､安全保密管理员的操作行为,进行审计跟踪分析和监督检查,以及时发现违规行为,并定期向系统安全保密管理机构汇报相关情况｡系统管理员､安全保密管理员和安全审计员的权限设置相互独立､相互制约｡安全保密管理员与安全审计员不能由一人兼任管理制度需编制制度如下:序号制度列表1《全网安全保密管理规定》2《机房管理制度》3《网设备管理规定》4《物理设施分类标记管理制度》6《电脑管理制度》7《运行管理规定》8《运行维护机构设置与职责规定》9《网络设施变更控制制度》10《网络检测制度》11《网络设备运行维护管理制》12《安全设备运行管理制度》13《安全设备维修管理制度》14《安全设备日常维护和保养管理制度》15《安全设备运行时的维护和保养管理制度》16《安全设备长期停放时的维护和保养管理制度》17《安全设备的贮存管理制度》18《终端密码设备运行和维护管理制度》19《证书注册审核中心运行和维护管理制度》20《身份认证及访问控制系统运行和维护管理制度》21《多功能安全运行和维护管理制度》22《入侵检测系统运行和维护制度》23《漏洞扫描系统运行和维护管理制度》24《网络安全审计系统运行和维护管理制度》25《数据安全存储与交换系统运行和维护管理制度》26《业务系统运行和维护管理制度》27《安全的人员组织管理制度》28《人员安全管理制度》29《安全意识与安全技术教育管理制度》30《操作安全管理制度》31《系统运行记录编写制度》32《信息披露与发布审批管理制度》33《技术文档管理制度》34《口令管理制度》35《软件管理条例制度》36《安全事件报告制度》37《事故处理制度》38《紧急情况处理制度》39《应急管理制度》40《灾难恢复管理制度》安全保密管理技术安全管理技术体系是实施安全管理制度的技术手段,是安全管理智能化､程序化､自动化的技术保障｡这包括网络安全管理和应用安全管理两部分｡本项目中将采用安全管理平台产品,进一步用技术的手段加强安全保密管理工作｡网络安全管理网络安全管理,主要对涉密内网网络系统网络安全体系的防火墙､入侵检测/防御系统､网络安全审计系统､漏洞扫描系统等网络安全设备进行管理｡这包括:在网管平台､网管应用软件的控制下,网管控制台通过SNMP､RMON协议与被管设备､主机､服务进行通信,实现有关的安全管理;维护并识别被管设备､主机､服务的身份,防止非法设备､主机､服务的接入,防止设备､主机､服务之间的非法操作;实时监视被管设备､主机､服务的运行,发生异常时向管理员报警;维护被管设备､主机､服务的配置信息,防止非授权修改,配置遭到破坏时可自动恢复;维护网络的安全拓扑,确保交换､路由的正常运行;配置网络的安全策略,设置网络边界安全设备的访问控制规则和数据包加解密处理方式;审计､分析网络安全事件日志,形成安全决策报告;实现网络安全风险集中统一管理,如入侵检测系统､漏洞扫描系统的管理｡应用安全管理应用安全管理,主要对该网络安全体系的应用安全系统进行管理,如用户认证系统的管理､病毒防范系统的管理｡这包括:建立和维护用户账号;建立和维护被管资源的连接和目录;建立和维护访问控制列表;统计､分析审计记录信息;配置､维护安全平台;扫描､防杀病毒;设置会话密钥生命期｡涉密人员管理涉密人员是涉密网安全建设的关键环节,必须对其进行严格的管理,才能使所有的安全措施发挥作用｡建议采取如下措施:人员审查､岗位人选､人员培训､人员考核､签订保密协议和人员调离等方面的管理｡人员录用在录用前将对于涉密内网的管理人员的政治历史､身份､专业资格以及业务能力(学术水平)进行人事审查和核实,必要时将核查家庭成员及主要社会关系,并会见证明人,对其经历和人品进行确认,不录用有过刑事犯罪记录的人员,不符合要求的人员将及时调离岗位｡岗位职责对于涉密内网,将该根据人事审查的结果､工作需要和国家相关安全保密规定,具体确定每个涉密人员的岗位和职责,建立岗位责任制度,将将所有工作人员的岗位职责文档化,并要求其签字确认,涉密人员的工作活动场所和涉密信息接触范围将被限制在完成本职工作所需的最小范围内｡此外将每半年从政治思想､业务水平､工作表现以及遵守安全保密规定等方面对系统中工作人员进行考核,考核发现不合格者将予以批评教育､处罚或调离岗位｡制定相应的涉密人员补偿奖励制度｡签订保密协议相关部门将与系统中所有工作人员签订保密协议,明确其应承担的安全保密责任和应遵守的保密规定｡保密协议的内容应符合国家有关规定,保密协议中将设有适当的奖惩条款｡教育培训将对涉密内网中工作人员开展安全保密教育培训｡在初任时,将对系统中工作人员进行安全保密知识(如保密法律法规､本单位保密制度等)培训｡在工作过程中,将每年至少组织一次安全保密培训,对系统工作人员开展安全保密形式教育,宣传和贯彻安全保密法规､国家保密标准,增强安全保密意识｡同时,将重点对系统主管领导和安全保密管理人员进行安全保密法规､国家保密标准和专业知识的培训,增强安全保密管理能力,提高业务工作水平｡加强保密监管对涉及到涉密信息系统的工作人员,尤其是安全管理人员进行较为严格的保密监管,主要包括以下内容:将从个人日常行为表现､工作纪律､社会交往和经济收入等方面,对系统中工作人员加强监管,对任何违反安全保密规定和工作纪律的人或行为进行纠正或制止,若发现重大安全隐患,将及时采取应对措施,并向上级主管部门报告｡将加强对在职涉密人员的管理,在职涉密人员一律不准私自受聘到国(境)外驻华机构和组织以及外资企业工作｡将加强对外提供资料和对外学术交流中的保密审查工作,认真落实保密责任,严禁将涉及国家秘密的学术成果和内部资料作为单位和个人成果公开发表｡将建立涉密人员外出报告制度,当涉密人员离开工作单位驻地外出时,将向部门领导或单位主管领导报告｡将加强涉密人员出国(境)管理,对于因公出国(境)人员,将进行安全保密教育,并严格按照有关规定办理出国(境)手续;对于因私出国(境)人员,将根据有关规定进行严格审查,若认定出国(境)后可能给国家秘密造成危害的,不得批准出国(境)｡将对涉密人员本人､配偶和子女是否具有外国国籍以及境外长久或永久居留权情况进行调查,按国家有关规定分类采取应对措施,并将有关情况进行备案｡明确人员奖惩制度围绕涉密系统,建立完善的涉密工作人员奖惩制度｡对于遵守保密规定､在完成工作任务中表现突出或成绩优异的人员,将予以表彰奖励｡对于违反保密规定的人员,将进行批评教育;情节严重的,将给予行政处分;构成犯罪的,将依法追究刑事责任｡按国家有关规定,落实涉密人员补偿机制｡加强人员离岗离职管理加强涉密系统中工作人员离岗离职的管理,尤其是加强对于安全技术管理人员离职的管理,这包括:将根据涉密人员的涉密程度,建立涉密人员离岗离职脱密期管理制度(脱密期一般为一年至两年,国家有关主管部门有特殊规定的,从其规定),对离岗离职人员将有保密要求,离职人员经过脱密期后方可离职;在脱密管理前,将对离岗离职人员使用和保管的各种证件(如工作证､车辆出入证等)､钥匙､IC卡､USBKey､涉密文件､技术资料､软件､介质和安全保密设备等物品进行清查登记,并要求其全部退还｡涉密人员在脱离原工作岗位后,三年内不准到国(境)外驻华机构和组织以及外资企业工作,离退休和停薪留职涉密人员受聘到国(境)外驻华机构和组织以及外资企业工作,须经原单位批准,并与原单位签订保密协议｡将严格办理涉密人员离职手续,记录人员最终去向,调离､辞职的涉密人员人事档案中要注明其涉密身份和脱密期,并与之签订离岗离职保密协议,离岗离职保密协议包括不得泄漏所知晓的国家秘密以及应该承担的责任等内容｡对于离岗离职涉密人员,将即时取消其一切授权,注销用户帐号,并更换有关门锁和口令等｡加强外部相关人员管理采取相应的技术和管理手段,加强外部相关人员的管理这包括:保密要求知会､安全控制区域隔离､携带物品限制和旁站陪同控制等四个方面｡保密要求知会:信息工程部的涉密信息系统管理员将向经常或一段时间内需要进入系统的外部人员(除本单位正式编制人员和聘用人员之外的其他人员)知会本单位的相关保密规定,使其认识到自身的责任和安全违规会受到的惩罚｡安全控制区域隔离:采用信息技术或物理防护手段,对安全控制区域采取隔离防护措施,这包括对重要安全控制区域和保密要害部门､部位采取隔离控制措施,禁止外部人员接近或进入;尽量设立专门的会客室,用来接待外部来访人员,如没有专门会客室,将采取一定的安全保密措施;加强接待国(境)外人员､国(境)外驻华机构和组织以及外资企业人员参观､考察时的保密管理,将预先制定接待方案,经过审查批准后,严格按照预定的范围､路线和要求进行接待｡携带物品限制:加强对外部人员进入系统时的物品携带管理,禁止外部人员携带与工作无关的具有录音､录像､拍照､信息存储等功能的设备;对于外部人员随身携带的具有无线通信功能设备(如手机和具有无线联网功能的计算机)采取关机断电或屏蔽措施｡旁站陪同控制:对所有进入系统现场进行维修､服务､参观等的外部人员进行全程旁站陪同｡物理环境与设施管理周边环境管理加强涉密信息系统周边环境的管理,主要体现在周边监控､周界安防､出入控制等三个方面｡周边监控:除了依照BMB17中“环境安全”和其他相关的安全保密法规､国家保密标准的要求,定期对周边环境情况(如可疑人员､安全距离变化等)进行监控外,还将定期对物理入侵､窃听和窃照等方面进行安全风险评估,并根据评估结果及时调整系统的防护方案｡周界安防:将定期对周界安防设备进行检修､维修,保证设备的正常使用;加强中心值班室,对于周界和重点部门安防情况进行监控,并有专人二十四小时值班,记录值班日志,并在换班时进行交接;此外,还将制定科学有效的警报处置预案｡出入控制:对管理､使用或接触涉密系统的人员出入进行严格的控制,这主要包括对内部人员发放人员和车辆出入凭证,并要求持证人出入时主动出示,配合警卫人员检查;对外部来访人员进行登记,向其会见人员核实身份,并查验相关证件;建立携带物品出门管理制度,携带物品出门必须出示相关证明,经查验无误后方可放行等｡保密要害部门､部位管理加强保密要害部门､部位的管理,主要包括以下几个方面:按照上级主管机构的有关规定,确定保密要害部门､部位,实施安全保密管理｡将涉密机房､设备间和涉密程度较高的办公室等地点划定为安全控制区域,并进行标识,安全控制区域将采取出入控制措施,对出入安全控制区域的活动进行监视和记录｡对于安全控制区域,在防窃听､窃照等方面将采取相应防护措施,安全控制区域内设备的选用､使用环境和工程安装等符合BMB5的要求｡禁止进入保密要害部门､部位的人员携带与工作无关的具有录音､录像､拍照､信息存储以及无线通信等功能的设备｡指定安全保密管理人员负责安全控制区域的日常安全保密管理工作｡仅在必要时,才允许经过安全保密审查的第三方支持性服务人员进入安全控制区域,并由安全保密管理人员进行全程旁站陪同｡工作人员临时离开办公环境,会将信息设备锁定;工作人员下班或节假日期间,将关闭信息设备,锁好门窗,切断电源,涉密介质及相关保密设备放入保密柜｡安全巡防巡查涉密机房以及其他重要涉密场所,制定严格的安全巡防巡查规定｡首先建立节假日值班制度,对于重要区域进行安全巡防巡查,并记录日志｡同时,每晚至少对保密要害部门､部位巡查一次｡此外,将从防灾､防盗和防失泄密等方面,重点对水､电气切断情况､门窗关闭情况､涉密设备和涉密介质的保管情况以及人员滞留情况进行巡防巡查｡保障设施管理为了保护供电和通信的正常,制定涉密内网保障设施定期检测､检修制度,检测检修周期不长于三个月｡同时,在重要线路线缆埋放地点将有明显警示装置,防止被施工等原因意外破坏,并将系统内所有线路线缆的布置图进行整理汇编,以备查看｡设备与介质管理采购与选型涉密内网属于机密级信息系统,其信息系统设备与介质安全采购管理与选型,将严格遵照BMB20-2007中8.3.1章节的规范要求｡操作与使用涉密内网属于机密级涉密信息系统,其对于信息系统的操作与使用有较为严格的要求,主要包括安全操作使用､外出携带管理､设备外联控制､介质使用管理､安全准入许可等五个方面｡安全操作使用制定设备和介质安装､运行和安全操作使用的规程和制度,并对操作和使用人员进行培训;操作和使用过程中将严格遵守操作规程和国家保密工作部门的有关规定｡外出携带管理首先,按照BMB17中“设备安全”和“介质安全”的要求,加强设备和介质的外出携带管理,防止出现被盗､被毁以及失泄密等情况;其次,对于需要携带外出的介质,进行必要的信息消除处理,保证介质上只存有与本次外出相关的资料,所采用的技术､设备和措施符合相关保密规定和标准;第三,根据工作需要,配备专供外出携带使用的设备和介质,并由专人进行集中管理维护,对于每次归还的设备和介质将进行信息清除处理,所采用的技术､设备和措施符合相关保密规定和标准｡设备外联控制涉密内网已经按照BMB17中“违规外联监控”的要求,采购了内网管理产品,加强设备外联控制管理,对于用户的违规外联行为(如违规拨号､违规连接和违规无线上网等)进行监督检查｡此外,禁止将用于处理涉密信息的办公自动化设备(如复印机､打印机､传真机､多功能一体机等)与互联网及其他公共信息网络相连接｡介质使用管理首先,按照BMB17中“介质使用”的要求,加强涉密介质的使用管理,并严禁将个人具有存储功能的介质和电子设备带入系统内使用;其次,可移动存储介质将只做临时存储介质使用,每次使用完毕后,及时进行消息消除处理,所采用的技术､设备和措施将符合相关保密规定和标准;第三,严格限制从互联网将数据拷贝到涉密信息设备和涉密信息系统,若因工作需要,经审查批准后,将使用非涉密移动存储介质进行拷贝,并采取有效的保密管理和技术防范措施(如进行恶意代码查杀､并使用刻录光盘或具有写保护装置的移动存储介质),严防被植入恶意代码程序｡安全准入许可对涉密内网系统中设备和介质采取安全准入许可制度,任何外来和新增设备在经过授权使用审批后,才能在系统中使用｡同时将禁止与互联网以及其他公共信息网络连接的办公自动化设备(如复印机､电话传真打印一体机等)接入系统｡保管与保存清查登记核对:建立涉密设备和涉密介质资产管理清单,清晰注明每项资产的使用人､安全责任人､安全分类以及资产所在位置｡同时,每六个月对存储涉密信息的设备和存储介质的数量､用途等进行清查核对和登记,发现问题及时向保密工作部门报告｡重要设备界定:对系统中重要设备和重要介质加强管理,根据所承载信息和软件的重要程度,对设备和介质进行标识和分类,重要设备将进行重点管理;对于重要介质的借用､拷贝､收发､传递须经主管领导的书面审批后,方可执行,并且各种处理过程将登记在册,介质的收发与传递将按照厅字[2000]58号文件的要求采取保护措施｡明确责任主体:涉密设备和涉密介质将实行安全保密管理责任制,在涉密内网改造项目的建设过程中,对每个涉密设备和涉密介质指定安全责任人,与涉密设备和介质使用人签订使用协议,落实安全责任,明确责任主体｡同时,在涉密设备和涉密介质需要维修时,与维修单位或维修人员签订相应安全保密协议,明确责任｡维修与报废对于涉密设备和涉密介质维修与报废时,将参照BMB20的相关规定,制定严格的申报审批制度,做好数据保护管理和登记备案管理相关工作｡运行与开发管理运行使用管理涉密内网建设项目建设结束后,在日常运行使用过程中,定期对系统内安全保密设备的安全策略规则进行审核,对系统内软件安装进行集中管理,严禁用户私自安装｡在系统需要变更时,根据系统规模､用户数量变化的情况进行风险评估,及时调整系统的保护策略｡定期采用技术手段对系统的运行情况和用户操作行为进行安全保密法规､国家保密标准符合性方面的检查｡同时根据系统的变化情况,及时更新系统文档资料,使之与实际状况保持一致｡应用系统开发管理涉密内网未来将新增一些业务应用系统,在组织开发用于处理涉密信息的业务系统时,按照BMB17中“信息安全保密要求”的规定,从身份鉴别､访问控制和安全审计等几个方面进行安全保密功能的同步开发｡开发､测试业务应用系统所使用的网络环境和设备将与系统实际运行环境､设备物理分离｡测试､联调业务应用系统时,禁止使用实际涉密信息作为测试数据｡此外,对于涉密应用系统后期维护管理制定明确的制度,并有专人对进入现场进行后期维护或升级的服务人员全程陪同,禁止将具有存储功能的自带设备接入系统｡后期维护或升级服务人员需要对系统操作访问时,对其权限进行限制,禁止其访问涉密信息｡异常事件管理,按照BMB17中“应急响应”的要求制定应急响应策略,进行评审和演练,筹备所需资源,并将预案分发给相关人员,同时在日常运营中,对运行安全事件和泄密事件进行监测､报告和处理｡如果遇到灾难性事故,由专人负责整个灾难现场和灾难恢复过程中的安全保密工作,并按照BMB20中“数据保护”的要求妥善处理涉密介质和涉密设备,保护国家秘密的安全｡此外,针对发生的异常事件进行综合分析,查找原因,从技术和管理两个方面加以改进｡信息保密管理进一步加强信息保密管理工作,主要包括:信息分类与控制管理､用户管理与授权管理､信息系统互联管理等方面的工作｡信息分类与控制管理在信息分类与控制管理方面,目前已经依据《中华人民共和国保守国家秘密法》及《中华人民共和国保守国家秘密法实施办法》,按照本部“国家秘密及其密级具体范围的规定”,确定系统中涉密信息的密级和保密期限｡同时,在涉密内网改造建设的过程中,还将面临着新的业务系统上线､新的涉密信息在改造后的网络中传输等问题,因此也将根据业务需求与涉密内网承载信息的变化,补充确定涉密信息的密级和保密期限的工作｡将对系统中涉密信息总量进行分类统计,定期将情况汇总,报本单位保密工作机构｡当系统中的机密级信息数量或含量增多时,要考虑调整系统防护措施,选择BMB17中相应的增强要求或更高要求,对系统内的涉密信息进行保护｡同时,对涉密系统中产生､存储､处理､传输､归档和输出的信息及其存储介质明确进行相应的密级标识,保证电子文件密级标识与信息主体不可分离,密级标识不会被篡改｡根据涉密信息的密级和实际业务工作的需要,确定人员知悉范围列表,并以此作为用户授权的依据｡用户管理与授权用户清单管理:根据机密级信息系统用户清单管理要求,建立完整的系统用户清单,并报本单位保密工作机构备案｡在新增用户时,由用户本人提出书面申请,本部门主管领导审批认可后,报保密工作机构备案｡在删除用户时,由用户本人所在部门主管领导书面通知安全保密管理员,并报相关的保密工作机构备案;安全保密管理员在收到通知后,即时把用户在系统内的所