分级保护方案设计详解

iiu第三章安全保密风险分析

3.1脆弱性分析

脆弱性是指资产或资产组中能被威胁所运用日勺弱点，它包括物理环境、组织机构、

业务流程、人员、管理、硬件、软件及通讯设施等各个方面。脆弱性是资产自身存在

的，假如没有被对应的I威胁运用，单纯的脆弱性自身不会对资产导致损害，并且假如

系统足够强健，严重的威胁也不会导致安全事件发生，并导致损失。威胁总是要运用

资产的脆弱性才也许导致危害。

资产的脆弱性具有隐蔽性，有些脆弱性只有在一定条件和环境下才能显现，这是

脆弱性识别中最为困难H勺部分。不对的H勺、起不到任何作用H勺或没有对H勺实行的安全

措施自身就也许是一种弱点，脆弱性是风险产生的内在原因，多种安全微弱环节、安

全弱点自身并不会导致什么危害，它们只有在被多种安全威胁运用后才也许导致对应

的危害。

针对XXX机关涉密信息系统,我们重要从技术和管理两个方面分析其存在的安全

脆弱性。

技术脆弱性

1.物理安全脆弱性：

环境安全：物理环境的安全是整个基地涉密信息系统安全得以保障的前提。假如

物理安全得不到保障，那么网络设备、设施、介质和信息就轻易受到自然灾害、环境

事故以及人为物理操作失误或错误等多种物理手段『、J破坏，导致有价值信息的丢失。

目前各级XXX企业的中心机房大部分采用独立的工作空间，并口可以到达国标

GB50174.1993《电子计算机机房设计规范》、GB2887.1989《计算机场地技术条件》、

GB9361.1998《计算站场地安全规定》和BMBI7—2023《波及国家秘密日勺信息系统

分级保护技术规定》等规定。

设备安全：涉密信息系统的中心机房均按照保密原则规定采用了安全防备措施，

防止非授权人员进入，防止设备发生被盗、被毁日勺安全事故。

介质安全：目前各级XXX企业欧|软磁盘、硬盘、光盘、磁带等涉密媒体按所存储

信息的最高密级标明密级，并按对应日勺密级管理。

2.运行安全脆弱性分析

备份与恢复：备份与恢第是保证涉密信息系统运行安全日勺一种不可忽视问题，当

碰到（如火灾、水灾等）不可抗原因，不会导致关键业务数据无法恢复的惨痛局面。同

步将备份关键业务数据1勺存储介质放置在其他建筑屋内，防止在异常事故发生时被同

步破坏。

网络防病毒：各级XXX企业涉密网络中的操作系统重要是windows系列操作系

统。虽有安全措施，却在不一样程度上存在安全漏洞。同步，病毒也是对涉密网络安

全的重要威胁，有些病毒可感染扩展名为corn、exe和。vl的可执行文献，当运行这

些被感染的可执行文献时就可以激活病毒，有些病毒在系统底层活动，使系统变得非

常不稳定，轻易导致系统瓦解。尚有蠕虫病毒可通过网络进行传播，感染的计算机轻

易导致系统口勺瘫痪。近年来，木马的泛滥为计算机的安全带来了严重口勺安全问题。木

马一般是病毒携带的一种附属程序，在被感染的计算机上打开一种后门，使被感染的

计算机丧失部分控制权，此外尚有黑客程序等，可以运用系统口勺漏洞和缺陷进行破坏,

都会为涉密网络带来安全风险。各级XXX企业涉密网络中采用网络版杀毒软件对涉密

系统进行病毒防护，并制定合理的病毒升级方略和病毒应急响应计划以保证涉密网络

的安全。

应急响应与运行管理：各级XXX企业采用管理与技术结合日勺手段，设置定期备份

机制，在系统正常运行时就通过多种备份措施为灾害和故障做准备；健全安全管理机

构，建立健全区I安全事件管理机构，明确人员欧I分工和责任；建立处理流程图，制定

安全事件响应与处理计划及事件处理过程示意图，以便迅速恢复被安全事件破坏的系

统。

3.信息安全保密脆弱性

自身脆弱性：任何应用软件都存在不一样程度的安全问题，重要来自于两个方面:

首先是软件设计上的安全漏洞；另首先是安全配置的漏洞。针对软件设计上的安全漏

洞和安全配置的漏洞，假如没有进行合适的配置加固和安全修补，就会存在匕较多的I

安全风险。由于目前防病毒软件大多集成了部分漏洞扫描功能，并且涉密网络中的涉

密终端与互联网物理隔离，因此可以通过对涉密网络讲行漏洞扫描，定期下载升级补

丁，并制定对应日勺安全方略来防护。

电磁泄漏发射防护：信息设备在工作中产生的时变电流引起电磁泄漏发射，将设

备处理的信息以电磁波的形式泄露在自由空间和传导线路上，通过接受这种电磁波并

采用对应的信号处理技术可以窃取到信息。这种窃收方式危险小，不易被发现和察觉,

伴随我国信息化水平的不停提高，我国涉密部门大量使用计算机、网络终端等办公自

动化设备，涉密信息的安全保密受到严重威胁，这种威胁不像病毒袭击和网络袭击那

样可以看到或者有迹可寻，它的隐蔽性强，危害极大。

安全审计：安全审计是对信息系统的多种事件及行为实行监测、信息采集、分析

并针对特定事件及行为采用对应动作，XXXXXX企业涉密信息系统没有有效日勺审计，

应用系统出现了问题之后无法追查，也不便于发现问题，导致了损失也很难对原因进

行定性。

边界安全防护：计算机连接互联网存在着木马、病毒、黑客入侵的威胁，并且我

国安全保密技术手段尚不完备、对操作系统和网络设备日勺关键技术尚未掌握，局限性

以抵挡高技术窃密，因比涉密网络必须与互联网物理隔离，而仅将涉密系统置于独立

的环境内进行物理隔离，并不能做到与互联网完全隔离，内部顾客还可以通过ADSL、

Modem,无线网卡等方式连接国际互联网，因此应当通过技术手段，对违规外联行

为进行阻断，此外，涉密网络中日勺内部介入问题也为涉密网络带来安全威胁，

数据库安全：数据库系统作为计算机信息系统的重要构成部分，数据库文献作为

信息的汇集体，肩负着存储和管理数据信息日勺任务，其安全性将是信息安全口勺重中之

重。数据库的安全威胁重要分为非人为破坏和人为破坏，对于非人为破坏，重要依托

定期备份或者热备份等，并在异地备份。人为破坏可以从三个方面来防护：一、物理

安全，保证数据库服务器、数据库所在环境、有关网络日勺物理安全性；二、访问控制，

在帐号管理、密码方略、权限控制、顾客认证等方面加强限制；三、数据备份，定期

的进行数据备份是减少数据损失H勺有效手段，能让数据库遭到破坏后，恢复数据资源。

操作系统安全：操作系统H勺安全性在计算机信息系统的整体安全性中具有至关重

要口勺作用，没有操作系统提供口勺安全性，信息系统和其他应用系统就好比“建筑在沙

滩上的城堡”。我国使用的操作系统95%以上是Windows,微软口勺Windows操作系

统源码不公开，无法对其进行分析，不能排除其中存在着人为“陷阱”。现已发现存

在着将顾客信息发送到微软网站的“后门”。在没有源码的情形下，很难加强操作系

统内核日勺安全性，从保障我国网络及信息安全日勺角度考虑，必须增强它的安全性，因

此采用设计安全隔离层一一中间件的方式，增长安全模块，以解燃眉之急。

管理脆弱性

任何信息系统都离不开人的管理，再好H勺安全方略最终也要靠人来实现，因此管

理是整个网络安全中最为重要的一环，因此有必要认真地分析管理所存在口勺安全风

险，并采用对应日勺安全措施。

物理环境与设施管理脆弱性：包括周围环境、涉密场所和保障设施等。

人员管理脆弱性：包括内部人员管理、外部有关人员管理等。

设备与介质管理脆弱性：采购与选型、操作与使用、保管与保留、维修与报废等。

运行与开发管理脆弱性：运行使用、应用系统开发、异常事件等。

信息保密管理脆弱性：信息分类与控制、顾客管理与授权、信息系统互联。责权

不明、管理混乱、安全管理制度不健全及缺乏可操作性等。

当网络出现袭击行为、网络受到其他某些安全威胁（如：内部人员违规操作）以及

网络中出现未加保护而传播工作信息和敏感信息时，系统无法进行实时日勺检测、监控、

汇报与预警。同步，当事故发生后，也无法提供追踪袭击行为的线索及破案根据，即

缺乏对网络日勺可控性与可审查性。这就规定我们必须对网络内出现日勺多种访问活动进

行多层次记录，及时发现非法入侵行为和泄密行为。

要建设涉密信息系统建立有效的信息安全机制，必须深刻理解网络和网络安全，

并能提供直接的安全处理方案，因此最可行日勺做法是安全管理制度和安全处理方案相

结合，并辅之以对应日勺安全管理工具。

3.2威胁分析

威胁源分析

作为一种较封闭H勺内网，袭击事件H勺威胁源以内部人员为主，内部人员袭击可以

分为恶意和无恶意袭击，袭击目的一般为机房、网络设备、主机、介质、数据和应用

系统等，恶意袭击指XXX企业内部人员对信息的窃取；无恶意袭击指由于粗心、无知

以及其他非恶意日勺原因而导致的破坏。

对于XXX机关涉密信息系统来讲，内部人员袭击H勺行为也许有如下几种形式：

1.被敌对势力、腐败分子收买，窃取业务资料；

2.恶意修改设备日勺配置参数，例如修改各级XXX企业网络中布署日勺防火墙访问

控制方略，扩大自己日勺访问权限；

3.恶意进行设备、传播线路日勺物理损坏和破坏；

4.出于粗心、好奇或技术尝试进行无意欧I配置，这种行为往往对系统导致严重

日勺后果，并且防备难度比较高。

袭击类型分析

1.被动袭击：被动袭击包括分析通信流，监视未被保护的通讯，解密弱加密通

讯，获取鉴别信息（例圻口令）。被动袭击也许导致在没有得到顾客同意或告知顾客的

状况下，将信息或文献泄露给袭击者。对于各级XXX企业网络来讲，被动袭击的行为

也许有如下几种形式：

1）故意识的对涉密信息应用系统进行窃取和窥探尝试；

2）监听涉密信息河络中传播口勺数据包;

3）对涉密信息系统中明文传递的I数据、报文进行截取或篡改;

4）对加密不善的I帐号和口令进行截取，从而•在网络内获得更大的访问权限；

5）对网络中存在漏洞的操作系统进行探测；

6）对信息进行未授权的访问；

2.积极袭击：积极袭击包括试图阻断或攻破聚护机制、引入恶意代码、盗窃或

篡改信息。积极攻打也许导致数据资料日勺泄露和散播，或导致拒绝服务以及数据的篡

改。对于XXX机关涉密信息系统来讲，积极袭击日勺行为也许有如下几种形式：

1）字典袭击：黑客运用某些自动执行日勺程序猜测顾客名和密码，获取对内部应

用系统日勺访问权限；

2）劫持袭击：在涉密信息系统中双方进行会话时被第三方（黑客）入侵，黑客黑掉

其中一方，并冒充他继续与另一方进行会话，获得其关注的信息；

3）假冒：某个实体假装成此外一种实体，以便使一线日勺防卫者相信它是一种合

法的J实体，获得合法顾客的权利和特权，这是侵入安全防线最为常用H勺措施：

4）截取：企图截取并修改在本院涉密信息系统络内传播的数据，以及省院、地

市院、区县院之间传播口勺数据；

5）欺骗：进行IP地址欺骗，在设备之间公布假路由，虚假AI冲数据包；

6）重放：袭击者对截获的某次合法数据进行拷贝，后来出于非法目的而重新发

送：

7）篡改：通信数据在传播过程中被变化、删除或替代；

8）恶意代码：恶意代码可以通过涉密信息网络的外部接口和软盘上的文献、软

件侵入系统，对涉密信息系统导致损害;

9）业务拒绝：对通信设备的使用和管理被无条件地拒绝。

绝对防止积极袭击是十分困难的，因此抗击积极袭击的重要途径是检测，以及对

此袭击导致日勺破坏进行恢复。

3.3风险的识别与确定

风险识别

物理环境安全风险：网络日勺物理安全风险重要指网络周围环境和物理特性引起日勺

网络设备和线路日勺不可用，而导致网络系统日勺不可用，如：

1）涉密信息日勺非授权访问，异常的审计事件；

2）设备被盗、被毁坏；

3）线路老化或被故意或者无意时破坏；

4）因电子辐射导致信息泄露；

5）因选址不妥导致终端处理内容被窥视；

6）打印机位置选择不妥或设置不妥导致输出内容被盗窃；

7）设备意外故障、停电；

8）地震、火灾、水灾等自然灾害。

因此，XXX企业涉密信息系统在考虑网络安全风险时，首先要考虑物理安全风险。

例如：设备被盗、被毁坏；设备老化、意外故障；计算机系统通过无线电辐射泄露秘

密信息等。

介质安全风险：因温度、湿度或其他原因，多种数据存储媒体不能正常使用；因

介质丢失或被盗导致的泄密；介质被非授权使用等。

运行安全风险：涉密信息系统中运行着大量的网络设备、服务器、终端，这些系

统日勺正常运行都依托电力系统的良好运转，因电力供应忽然中断或由于UPS和油机

未能及时开始供电导致服务器、应用系统不能及时关机保留数据导致的数据丢失。由

于备份措施不到位，导致备份不完整或恢复不及时等问题。

信息安全保密风险：涉密信息系统中采用日勺操作系统(重要为Windows2023

server,WindowsXP)＞数据库都不可防止地存在着多种安全漏洞，并且漏洞被发现与

漏洞被运用之间日勺时间差越来越大，这就使得操作系统自身日勺安全性给整个涉密信息

系统带来巨大的安全风险。另首先，病毒已成为系统安全的重要威胁之一，尤其是伴

随网络的发展和病毒网络化趋势，病毒不仅对网络中单机构成威胁，同步也对网络系

统导致越米越严重的破坏，所将这些都导致了系统安全的脆弱性。

涉密信息系统中网络应用系统中重要存在如下安全风险：

1.顾客提交的业务信息被监听或修改；顾客对成功提交的'业务事后抵赖；

2.由于网络某些应用系统中存在着某些安全漏洞，包括数据库系统与IIS系统中

大量漏洞被越来越多地发现，因此存在非法顾客运用这些漏洞对专网中口勺这些服务器

进行袭击等风险。

服务系统登录和主机登录使用的是静态口令，口令在一定期间内是不变内，且在

数据库中有存储记录，可反复使用。这样非法顾客通过网络窃听，非法数据库访问，

穷举袭击，重放袭击等手段很轻易得到这种静态口令，然后，运用口令，可对资源非

法访问和越权操作。此外，在XXX企业涉密信息系统中运行多种应用系统，各应用系

统中几乎都需要对顾客权限口勺划分与分派，这就不可防止地存在着假冒，越权操作等

身份认证漏洞。此外网络边界缺乏防护或访问控制措施不力、以及没有在重要信息点

采用必要的电磁泄漏发射防护措施都是导致信息泄露的原因。

安全保密管理风险：再安全的网络设备离不开人的管理，再好日勺安全方略最终要

靠人来实现，因此管理是整个网络安全中最为重要的一环，尤其是对于一种匕较庞大

和复杂日勺网络，更是如此。

XXX企业在安全保密管理方面也许会存在如下风险：当网络出现袭击行为或网络

受到其他某些安全威胁时（如内部人员日勺违规操作等），无法进行实时的检测、监控、

汇报与预警。虽然制定了有关管理制度，不过缺乏支撑管理欧I技术手段，使事故发生

后，无法提供袭击行为的追踪线索及破案根据。因此，最可行M故法是管理制度和管

理处理方案的结合。

风险分析成果描述

风险只能防止、防止、减少、转移和接受，但不也许完全被消灭。风险分析就是

分析风险产生/存在日勺客观原因，描述风险日勺变化状况，并给出可行的风险减少计划。

XXX企业涉密信息系统日勺分级保护方案应当建立在风险分析日勺基础之上，根据

“脆弱性分析”和“威胁分析”中所得到的系统脆弱性和威胁的分析成果，详细分析

它们被运用日勺也许性日勺大小，并且要评估假如袭击得手所带来的后果，然后再根据涉

密信息系统所能承受日勺风险，来确定系统的保护重点。本方案所采用的风险分析措施

为“安全威胁原因分析法”，围绕信息的“机密性”、“完整性”和“可用性”三个最

基本日勺安全需求，针对前述每一类脆弱性的潜在威胁和后果进行风险分析并以表格的

形式体现，对于也许性、危害程度、风险级别，采用五级来表达，等级最高为五级（表

****）,如下表：

层面脆弱和威胁也许性危害程度风险级别

自然灾害与环境事故、电力中断*******火*火

物理层

重要设备被盗**********火*

内外网信号干扰***********

电磁辐射***********

恶劣环境对传播线路产生电磁干扰大*火*********

采用纸制介质存储重要口勺机密信息*火*火********

线路窃听***********

存储重要日勺机密信息移动介质随意放置*****火****火火火

网络拓扑构造不合理导致旁路可以出现安

****火****

全漏洞

不一样顾客群、K一样权限的访问省混在一

****火***

起，不能实既有效的分离

网络阻塞，顾客不能实现正常的访问**********

非法顾客对服务器口勺安全威胁*********

网络层

共享网络资源带来的安全威胁*******

系统重要管理信息的泄漏火火**火*火***

传播黑客程序**火火****

进行信息监听******火*

ARP袭击威胁******火**

运用TCP协议缺陷实行拒绝服务袭击********

操作系统存在着安全漏洞***火火火火****

系统配置不合理***********

操作系统访问控制脆弱性********

系统层网络病毒袭击***火火********

合法顾客积极泄密火*********

非法外连**火火**火***

存储信息丢失**********

应用软件自身脆弱性女女***女夫犬女

应用系统访问控制风险火火****火火火

应用软件安全方略、代码设计不妥*********

数据库自身口勺安全问题**********

应用层

抵赖风险***********

缺乏审计*火***火火火*十**火

操作系统安全带来口勺风险********今***

数据库安全风险**********

松散的管理面临泄密的风险火火火火*****火火火火火

安全保密管理机构不健全火火火火火火火火火****

管理层人员缺乏安全意识**************

人员没有足够H勺安全技术的培训***************

安全规则制度不完善***************

表3-1XXX企业涉密信息系统风险分析表

第四章安全保密需求分析

4.1技术防护需求分析

机房与重要部位

XXX企业内网和外网已实现物理隔离，置于不一样日勺机房内。内网机房、机要室

等重要部位将安装电子监控设备，并配置了报警装置及电子门控系统，对进出人员进

行了严格控制，并在其他要害部门安装了防盗门，基本满足保密原则规定。

网络安全

物理隔离：由于XXX企业口勺特殊性，XXX企业已组建了自己口勺办公内网，与其他

公共网络采用了物理隔嗡，满足保密原则规定。

网络设备的标识与安放：XXX企业现阶段，虽然在管理制度上对专网计算机进行

管理规定，但没有对设客的密级和重要用途进行标识，因此需要进行改善，并按照设

备涉密属性进行分类安放，以满足保密原则规定。

违规外联监控：XXX企业专网建成后，网络虽然采用了物理隔离，但缺乏对涉密

计算机的违规外联行为H勺监控和阻断，例如内部员工私自拨号上网，通过无线网络上

网等。所认为了防止这种行为的发生，在涉密网建设中需要一套违规外联监控软件对

非授权计算机的上网行为进行阻断。

网络恶意代码与计算机病毒防治：病毒对于计算机来说是个永恒的话题，就像人

会感染病菌而生病同样，计算机也会感染病毒而导致异常，同步有些病毒的爆发还会

导致计算机网络瘫痪、重要数据丢失等后果，XXX机关充足考虑到这一问题，配置

了网络版杀毒软件，系统内日勺关键入口点以及各顾客终端、服务器和移动计算机设备

设置了防护措施，保证恶意代码与计算机病毒不会通过网络途径传播进入涉密网，同

步也保证移动存储设备介入涉密网后，不会感染涉密网络。同步还制定了杀毒软件升

级日勺手段，基本满足保密原则规定。

网络安全审计：目前网络安全问题大多数出目前内部网络，而XXX企业涉密信息

系统的建设却缺乏这种安全防护和审计手段，因此为了保证内部网络安全，需要配置

安全审计系统，对公共资源操作进行审计控制，理解计算机的局域网内部单台计算机

网络的连接状况，对计算机局域网内网络数据的采集、分析、存储立案。通过实时审

计网络数据流，根据顾客设定的I安全控制方略，对受控对象H勺活动进行审计，

安全漏洞扫描：处理网络层安全问题，首先要清晰网络中存在哪些隐患、脆弱点。

面对大型网络的复杂性和不停变化的状况，依托网络管理员的技术和经验寻找安全漏

洞、做出风险评估，显然是不现实口勺。处理的方案是，寻找一种能扫描网络安全漏洞、

评估并提出修改提议的网络安全扫描工具。因此本项目中需要配置安全漏洞扫描系

统。

信息传播密码保护；加密传播是网络安全重要手段之一。信息口勺泄露诸多都是在

链路上被搭线窃取，数据也也许由于在链路上被截获、被篡改后传播给对方，导致数

据真实性、完整性得不到保证。假如运用加密设备对传播数据进行加密，使得在网上

传口勺数据以密文传播，由于数据是密文。因此虽然在传播过程中被截获，入侵者也读

不懂，并且加密机还能通过先进性技术手段对数据传播过程中的完整性、真实性进行

鉴别。可以保证数据的保密性、完整性及可靠性。XXX机关对异地数据传播进行加密,

在区县院设置加密卡完毕传数据局的保密。

网络接口控制：在BMB0原则中明确规定，对系统中网络设备暂不使用欧I所有

网络连接口采用安全控制措施，防止被非授权使用。因此仅靠管理制度是难以满足之

一规定的J,需要套管理软件对系统的USB、串口并口、1394、Modem、网卡、软驱、

光驱、红外线等设备端口进行控制，已满足保密原则日勺规定。

电磁泄漏发射防护：计算机系统在工作时，系统日勺显示屏、机壳缝隙、键盘、连

接电缆和接口等处会发生信息的电磁泄漏，泄漏方式为线路传导发射和空间辐射。运

用计算机设备的电源泄漏窃取机密信息是国内外情报机关截获信息的重要途径，由于

用高敏捷度日勺仪器截获计算机及外部设备中泄漏日勺信息，比用其他措施获得情报要精

确、可靠、及时、持续的多，并且隐蔽性好，不易被对方察觉，因此防电磁泄漏是信

息安全的一种重要环节，XXXXXX企业对电磁泄漏发射防护缺乏技术保护手段，不满

足保密原则规定，存在隐患，因此需要通过电磁泄漏防护措施，如：配置线路传到干

扰器，配置屏蔽机柜，配置低辐射设备（红黑隔离插座）、干扰器（视频干扰器），有

效抵御泄漏信息在空间扩散被截获对信息机密行的威胁。

备份与恢复：是涉密网建设的重要构成部分，一旦出现数据丢失或网络设备瘫痪

所导致的损失是无法估计的。在涉密网建设中备份与恢复可以分为两方面的内容，一

是对涉密数据及关键业务数据的备份。可以通过在线备份、离线备份、异地备份等形

式完毕。目前常用的是通过磁盘镜像、磁带机备份、刻录光盘等方式备份。二是对关

键设备口勺备份与恢复，可以采用双机热备的形式进行防护，并制定详细口勺恢复方案和

计划。

主机安全

目前.XXX企业内网终端日勺安全保密建设只是安装有防病毒软件的客户端程序，对

主机安全的需求尚有:

（1）需要布署国产防病毒软件客户端程序，并及时、统一升级病毒库，防止恶

意代码影响计算机正常运行；

（2）需要布署保密管理系统，对终端外设及接口进行控制，对顾客敏感操作行

为进行审计，对移动存储介质欧I使用授权和管理，对也许发生欧J违规外联行为进行阻

断和报警，制止与工作无关日勺应用程序的I运行。

（3）需要及时升级操作系统、数据库补丁，防止由于系统漏洞导致涉密信息失

泄密；

（4）加强主机开机、系统登陆、远程管理等操作日勺身份鉴别机制，根据原则规

定执行密码设置或采用更为有效日勺身份鉴别措施；

（5）需要安装视频信息保护机，防止终端显示屏设备电磁发射泄漏导致的失泄

密风险；

（6）需要安装红黑电源隔离插座，有效隔离红黑设备的供电电源，防止电源线

传导泄漏导致的I失泄密风险。

介质安全

介质标识：对硬盘、软盘、光盘、磁带、USB盘等涉密信息存储介质根据其所处

理信息的最高密级进行标识；涉密信息存储介质的密级标识不易被涂改、损坏和丢失。

介质的收发和传递：制定介质收发日勺管理制度，制定规定对涉密信息存储介质履

行清点、等级、编号等手续日勺有关容；制定介质收发记录，记录包括介质名称、用途、

发送时间、发送单位、发送人员、接受时间、接受单位、接受人员等有关内容；制定

介质传递的管理制度，制度规定对涉密信息存储介质传递时的封装、标识、指派专人

专车或者通过机要交通、机要通信、机要措施等措施进行传递日勺有关内容；制定介质

传递记录，记录包括介质名称、用途、时间、传递人员和传递方式等有关内容、

介质的使用：制定介质使用管理制度，规定涉密介质按照规定不应在非涉密信息

系统内使用，较高密级信息存储介质不应在较低密级系统中使用，较高机密信息存储

介质用于存储较低密级H勺信息时应仍按原有密级进行管理。对报废处理日勺涉密信息存

储介质在非涉密信息系统内重新使用或运用前，应进行信息消除处理，信息消除时所

采用的信息消除技术、设备和措施应符合国家保密工作部门日勺有关规定；携带处理涉

密信息的设备外出或出境时，应按照有关保密规定采用保护措施，并办理有关手续，

此外还应使用涉密信息存储介质一直处在携带人日勺有效控制之下；涉密信息存储介质

的复制及制作应在本机关、单位内部或保密工作部门审查同意的单位进行，并标明涉

密和保密期限，注明发放范围及制作数量，编排次序号。复制、制作过程中形成的不

需要归档的涉密材料，应及时销毁等有关内容：制定介质使用记录，记录包括介质的

制作与第制、外出或处境和信息消除等有关内容：采用涉密介质安全管控与违规外联

预警系统，使用授权管理中心进行授权使用，并对顾客终端使用中断控制程序限制

USB接口的使用，增强介质使用口勺安全性。

介质保留：介质寄存于企业保密办H勺保密柜中；制定介质保留的管理制度，制定

规定有关责任部门应定期对当年所存涉密信息存储介质进行清查、查对，发现问题及

时向保密工作部门汇报内容；制定介质保留记录，记录包括介质清查与查对的时间、

人员等内容。

介质维修：制定介质维修的管理制度，制度规定必须本单位专业人员全程参与现

场维修，需要外修时必须按照国家有关规定到具有涉密信息系统数据恢复资质的维修

点进行维修等内容、制定介质维修记录，记录包括介质名称、维修人员、陪伴人员、

维修时间、故障原因、排除措施、重要维修过程及维修成果等内容；定点设备维修单

位和维修人员签订安全保密协议。

介质报废：制定介质报废的管理制度，制定规定不再使用或无法使用的涉密信息

存储介质在进行报废处理前，应进行信息消除处理，信息消除处理时应按照国家保密

部门的有关规定，采用符合国家保密工作部门的有关规定的信息消除技术、设备和措

施，并做好涉密介质报废同意、清点、登记等手续日勺内容；制定介质报废记录，记录

包括设备名称、审批人员、报废时间和最终去向。

以上针对介质安全管理是通过制度进行规范日勺，但仅靠管理制度是难以真正实现

对介质安全F月管理规定，必须“技管并举，以技促管”。例如：通过制度难以实现一

下需求控制：无法有效辨别可信介质与非可信介质；无法实既有效接入控制；无法保

证存储在移动介质中的保密信息与国际互联网物理隔离等。因此需要一套完善的介质

管理系统来处理这些制度无法控制的隐患。

数据与应用安全

数据与应用安全是XXX机关涉密信息系统建设的重要内容，通过建立统一欧I网络

信任和授权管理体系，创立一体化日勺身份认证、访问控制及责任认证平台，为所有的

应用系统提供统一的身份认证和访问控制服务，并可对事故责任进行追查：

1.建立全网统一的身份认证机制，每个顾客拥有唯一身份标识的数字证书；

2.建立访问控制机制，保证仅拥有数字证书的合法顾客能通过授权访问应用系

统;

3.在应用系统中，分派每个顾客权限，限定顾客日勺操作范围，通过数字签名功

能，防止抵赖行为，保证数据的完整性;

4.对顾客通过访问控制系统日勺访问进行审计；

5.通过密级标识手段，保证信息主体与密级标识日勺不可分离，为信息流向、访

问控制提供根据；

6.对关键业务系统采用双机热备，对关键业务数据采用异地容灾的方式保证数

据及应用安全。

4.2管理需求分析

人员管理

人员管理包括内部工作人员管理和外部有关人员管理。内部工作人员管理包括木

单位正式编制人员、聘任人员（工勤、服务人员）等人员录取、岗位职责、保密协议

签订、教育培训、保密监控、人员奖惩和人员离岗离职日勺管理；外部有关人员管理包

括内部工作人员之外的其他人员（尤其是境外人员）以及设备（尤其是进出口设备）

的维修服务人员等外来R勺保密规定知会、安全控制区域隔离、携带物品限制和旁站陪

伴控制。

物理环境与设备管理

1.从物理安全需求来分析，物理环境的安全是整个涉密网络安全得以俣障日勺前

提；

2.要保护网络设备、设施、介质和信息免受自然灾害、环境事故以及人为物理

操作失误或错误及多种物理手段进行违法犯罪行为导致的破坏、丢失；

3.涉密网络必须要具有环境安全、设备安全和介质安全等物理支撑环境，切实

保障实体的安全;

4.保证系统内日勺环境安全，设备日勺物理安全，机房和配线间日勺环境安全，防止

设备被盗、被破坏；

5.保证涉密网络与非涉密网络的|物理隔离；

6.防止设备产生的电磁信息通过空间辐射和传导泄漏；

7.保障涉密介质在使用、保留、维护方面的安全。

运行与开发管理

1.系统必须保证内部网络的持续有效的运行，防止对内部网络设施的入侵和袭

击、防止通过消耗带宽等方式破坏网络欧J可用性；

2.网络安全系统应保证内网机密信息在存储于传播时保密性；

3.对关键网络、系统和数据的访问必须得到有效地控制，这规定系统可以可靠

确认访问者日勺身份，谨慎授权，并对任何访问进行跟踪记录；

4.对于网络安全系统应具有审记和日志功能，对有关重要操作提供可靠而以便

日勺可管理和维护功能；

5.保证涉密信息系统日勺服务器系统、终端在全方位、多层次日勺进行安全配置和

安全加固；

6.建立覆盖全网的补丁集中管理机制，对操作系统进行及时的补丁分发、安装,

保证操作系统处在最有状态，进而保证系统处在最佳使用状态；

7.保证接入涉密网服务器的安全，对应用服务器进行内核加固，对后端和管理

服务器进行安全加固，以抵御针对操作系统日勺袭击行为，保证其公布信息的真实性和

可靠性:

8.对应用系统的数据库进行安全加固，防止针对数据库日勺袭击行为；

9.对客户端加强终端安全管理，对登录顾客实行双原因身份认证，杜绝客户端

的非授权操作，保证存储在终端设备中日勺工作信息和敏感信息的安全，使其不被非法

篡改和破坏；

10.针对防病毒危害性极大并且传播极为迅速，配置从客户端到服务器日勺整套防

病毒软件，实现全网的病毒安全防护；

11.对系统内终端顾客的非授权外联行为采用技术手段进行检查和阻断；

12.建立涉密移动存储介质集中的统一管理机制，并采用品体安全防护措施的涉

密介质，防止数据通过介质方式泄露；

13.保证数据库中所存储的信息在遭到破坏时能得到及时的恢复。

设备与介质管理

1.须指定专人负责管理涉密存储介质，定期清理、回收、检查并掌握其使用状

况，保证涉密信息的安全保密；

2.涉密存储介质的管理实行“谁主管、谁负责"日勺原则；

3.涉密存储介质在使用和管理中要严格登记、集中管理、专人负责；

4.软盘、U盘等移动存储介质要在明显位置上贴上标条，标志条上要有统一编

码，密级标识，要有登记；

5.涉密存储介质只能用来存储涉密信息，非涉密存储介质只能来存储书涉密信

息；

6.涉密存储介质应按存储信息的最高密级标注密级，并按相似密级日勺载体管理;

7.严禁将涉密存储介质接入互联网:

8.严格限制互联网将数据拷贝到涉密信息设备和涉密信息系统；确因工作需要,

经审查同意后，应使用非涉密移动存储介质进行拷贝，通过先对其进行查杀病毒后，

再进行数据互换；

9.严禁将私人具有存储功能日勺介质和电子设备带入要害部门、部位利涉密场所;

10.涉密移动存储介质只能在涉密场所使用，严禁借给外部使用。确因工作需要

带出办公场所的，秘密级时经本部门主管领导同意，机密级以上时须经本单位主管领

导同意后，信息安全员将对介质进行清空处理，保证介质内只存有与本次外由有关时

涉密信息，采用严格日勺保密措施。偿还时，信息安全员还应执行信息消除处理；

11.涉密存储介质保留必须选择安全保密口勺场所和部位，并由专人保管、寄存在

保密密码柜里；

12.员工离开办公场所时，必须将涉密存储介质寄存到保密设备里；

13.对涉密介质需要维修时，应提出申请，有信息中心派专人进行现场维修，并

有使用单位有关人员全程陪伴，做好维修日志：

14.存储过国家秘密信息的存储介质，不能减少密集使用，不再使用或损坏的涉

密存储介质办理报废审批手续，及时交信息中心进行确定，维修和销毁由保密办统一

到国家保密局制定的地点进行销毁，或采用符合保密规定的物理、化学方式彻底销毁,

销毁应保证涉密信息无法还原；

15.对涉密存储介质要定期清查、查对，发现丢失要及时查处。

信息保密管理

信息保密管理应从信息分类与控制、顾客管理与授权和信息系统安全互联控制三

个方面来进行分析。

信息分类与控制：应根据国家有关法律、规定，确定系统中涉密信息的密级和保

密期限，定期对其中具有的涉密信息的总量进行汇总，当系统中高等级涉密信息含量

明显增多时应考虑调整系统防护措施。系统中存在过时信息及其存储介质应有对应日勺

密级标识，电子文献密级标识应由信息主题不可分离，密级标识不可篡改。

顾客标识与授权：应建立完整日勺系统顾客清单，新增或删除顾客时应履行对应日勺

手续。每个顾客应有唯一的I身份标识，表达有系统管理员产生，有保密管理员定期检

查，如有异常及时向系统安全保密管理机构汇报。应有明确的最小授权分派方略，并

将所有顾客日勺权限明细文档化，应定期审查权限列表，如有异常及时向系统安全保密

管理机构汇报。

信息系统互联：应注意不一样密级信息系统之间以及涉密系统与非涉密系统之间

的互联互通。

第五章方案总体设计

5.1安全保密建设目的

XXX企业涉密信息系统安全保密建设的总体目的是：严格参照国家有关安全保密

原则和法规,将XXX企业信息系统建设成符合国家有关法规和原则规定日勺涉密信息系

统，使之可以处理相对应密级的信息，为XXX企业信息化应用提供安全保密平台，使

其可以安全地接入全国XXX机关涉密信息系统。详细建设目H勺如下：

1.具有抵御敌对势力有组织H勺大规模袭击的能力；

2.抵御严重H勺自然灾害H勺能力；

3.建立统一H勺安全管理平台，实现对全网设备的安全管理；

4.保证合法顾客使用合法网络资源，实现对顾客H勺认证和权限管理；

5.防备计算机病毒和恶意代码危害H勺能力；

6.具有检测、发现、报警、记录入侵行为的能力；

7.具有与多种应用系统相适应H勺业务安全保护机制，保证数据在存储、传播过

程中H勺完整性和敏感数据的机密性；

8.具有对安全事件进行迅速响应处置，并可以追踪安全责任日勺能力；

9.在系统遭到损害后，具有可以较快恢复正常运行状态日勺能力；

10.对于服务保障性规定高的系统，应能迅速恢复正常运行状态；

11.建立有效日勺安全管理机制，并与之配套日勺风险分析与安全评估机制、设备和

人员管理制度、敏感信息管理制度、安全操作规程等。

5.2设计原则与根据

设计原则

根据安全保密建设目的，XXX机关涉密信息系统分级保护总体方案H勺设计应遵从

“规范定密、精确定级，根据原则、同步建设，突出重点、保证关键，明确贡任、加

强监督”的原则。同步，还应兼顾：

1.分域分级防护：涉密信息系统应根据信息至级、行政级别等划分不一样的安

全域并确定等级，按摄影应等级H勺保护规定进行防护；

2.技术和管理并重：涉密信息系统分级保护时应采用技术和管理相结合的、整

体日勺安全保密措施；

3.最小授权与分权管理：涉密信息系统内顾客的权限应配置为保证其完毕工作

所必需的最小授权，网络中的帐号设置、服务配置、主机间信任关系配置等应当为网

络正常运行所需日勺最小授权，并使不一样顾客日勺权限互相独立、互相制约，防止出现

权限过大的顾客或帐号，

设计根据

1.法规和文献

《中华XXX共和国保守国家秘密法》（1989年5月1日实行）

《中华XXX共和国保守国家秘密法实行措施》（1990年5月25日国家保密局令

第1号公布）

《国家信息化领导小组有关加强信息安全保障工作的意见》（中办发[2023]27

号）

《有关信息安全等级保护工作的实行意见》（公通字［2023］66号）

《中共中央保密委员会办公室、国家保密局有关保密要害部门、部位保密管理规

定》（中办厅字［2023］1号）

《有关开展全国重要信息系统安全等级保护定级工作的告知》（公信安（2023）

861号）

《波及国家秘密的信息系统分级保护管理措施》（国保发［2023］16号）

《有关开展涉密信息系统分级保护工作日勺告知》（国保发［2023］9号）

《波及国家秘密日勺信息系统审批管理规定》（国保发［2023］18号）

《波及国家秘密的计算机信息系统集成资质管理措施》（国保发［2023］）

《信息安全等级保护管理措施》（公通字［2023］43号）

2.原则规范

BMB17-2023《波及国家秘密的信息系统分级保护技术规定》

BMB18-2023《波及国家秘密的信息系统工程监理规范》

BMB20-2023《波及国家秘密的信息系统分级保护管理规范》

BMB22-2023《波及国家秘密的信息系统分级保护测评指南》

BMB23-2023《波及国家秘密的信息系统分级保护方案设计指南》

5.3安全保密防护整体框架

在建设本方案中，根据BMB17-2023和BMB20-2023的详细规定，在满足物理隔

离与违规外联监控、边界防护与控制、密级标识与密码保护、顾客身份鉴别与访问控

制、电磁池漏发射防护、安全保密产品选择、安全保密管理机构、安全保密管理制度

和安全管理人员等基本测评项的基础上，从物理安全、运行安全、信息安全保密、安

全保密管理、产品选型与安全服务等方面，设计涉密信息系统的安全保密防护框架,

如图5-1示。

安全保密防护框架

物理安全运行安全信息安全保密安全保密管理产品选型与安全服务

环境安全备份与恢嵬物理隔离”管理机构*安全保密产品

选型*

密级标识*管理人员*

-设备安全系统安全性保护-通信信息技术

产品选型

身份鉴别*管理制度”

介质安全应急响应

安全保密产品

访问控制*运行维护管理部署与配置

由码保护”-安全服务

电磁泄漏发射防护*

信息完整性校验

系统安全性能检测

安全审计与监控

抗抵赖

操作系统安全

数据库安全

边界防护与控制*

图5-1涉密信息系统安全保密防护框架

第六章方案详细设计

6.1物理安全

环境安全

1.重要涉密部位和机房选址

XXX企业都具有独立的办公场所，重要涉密部位和机房均在办公室内部，附近基

本没有境外驻华机构、境外人员驻地等涉外场所，并且整个办公区采用封闭式管理。

机房选址基本满足GB9361-1988中的安全机房场地选择规定。并对重要涉密部位在防

窃听、防窃照、防窃收、防实体入侵、防非授权进入等方面均有有关防护措施。各级

XXX企业涉密信息系统里没有无线技术与无线设备，因此其带来的无线设备日勺信息泄

漏问题不用考虑防护措施。

1）机房建设

对主机房及重要信息存储部门来说：首先要保证中央地点的安全防备工作，如：

对可以进入机房及重要信息存储部门日勺工作人员进行严格日勺控制；出入记录；录像监

控；窗户加防护栏、门磁、红外报警等。出入记录可以采用目前先进日勺IC卡技术等

来实现，具有做到实时记录，以便查询等长处。此外门磁、红外报警等作为安全技术

防备的辅助手段加以使用，并在重要区域使用线路干扰等设备防止信号外泄，

由于本次项目中将XXX企业划分为不一样的安全等级，因此在机房建设时应根据

BM"规定，并在防火、防水、防震、电力、布线、配电、温湿度、防雷、防静电等

方面到达GB9361中B类机房建设规定；机密级、秘密级应满足

GB50174.GB/T2887-2023%|规定，并在防火、防水、防震、电力、布线、配电、温湿

度、防雷、防静电等方面到达GB9361中B类机房建设规定。

在各级XXX企业的机房内设置屏蔽机柜。在满足GB50174.GB/T2887-2023规定日勺

基础上，在防火、防水、防震、电力、布线、配电、温湿度、防雷、防静电等方面到

达GB9361-1988中机房建设规定。

(1)在机房所在H勺建筑物均配置有安全保卫人员，实现人员进出审查和巡查；

(2)机房选址远离餐饮、旅游、宾馆等人员复杂的公共场所；

(3)机房的水、电、防雷、温湿度等符合GB9361-1988中机房建设规定；

(4)关键机房采用屏蔽机柜设计，防备机房环境的电磁泄漏；

(5)机房均配置电子门控系统，进出机房人员均需要口令和门禁卡；

(6)各机房均配置了视频监控系统，实现6个月或者更长的录像存储；

(7)各机房的电子门控和视频监控系统均记录平常的门禁日志和健康录像，从而

满足了机密级的涉密规定；

(8)机房设计有红外报警装置：

2)重点部位监控和区域控制

XXX企业保密要害部位包括领导及秘书办公室、党组会议室、检委会会议室、机

要室、机要机房、网络中心机房、档案室、文印室等。对这些重点部位采用安全措施

如门控、报