算机信息系统安全建设专项方案.doc

《算机信息系统安全建设专项方案.doc》由会员分享，可在线阅读，更多相关《算机信息系统安全建设专项方案.doc（34页珍藏版）》请在咨信网上搜索。

文献编号： 文献页数： 共 页 文献级别： 内部文献 日 期： 0611 编写部门： 安全评估部 版 本： V2.0 某公司涉密计算机信息系统 安全建设方案 ******************************公司 XXX信息技术有限公司 联合编写 ．10 ◆文档信息 文档名称 ***********公司涉密计算机信息系统安全建设方案 保密级别 内部 文档版本编号 V2.0 文档管理编号 管理人 制作人 制作日期 校对人 制表人 复审人 复审日期 扩散范畴: 双方项目参加人员 ◆文档控制 ◇变更记录 日期 作者 版本号 阐明 1.0 创立文档初始版本 2.6 修改和完善 3.0 修订 3.9 依照 月 日 评审意见修改 ◇文档审核 日期 姓名 职位 0525 副总经理 0525 高工、CISP 0525 信息安全工程师 0609 四川省国家保密局特邀专家 ◇文档发布 拷贝号 文档接受人员 单位 / 地址 -05-28 ************公司 -05-28 四川省国家保密局 ◆文档阐明 此文档为“*******公司涉密计算机信息系统安全建设方案”，是成都XXX信息技术有限责任公司受*******公司委托编写。本方案旨在依照国家对于涉密计算机信息系统规定，给出******公司涉密计算机信息系统安全建设建议，并及时请示国家保密局组织专家评审。 ◆版权阐明 本文献中浮现任何文字论述、文档格式、插图、照片、办法、过程等内容，除另有特别注明，版权均属成都XXX信息技术有限公司所有（某些内容版权属****公司所有），受到关于产权及版权法保护。任何个人、机构未经双方书面授权允许，不得以任何方式复制或引用本文献任何片断。 目 录 前言 - 5 - 1、概述 - 6 - 1.1 任务由来 - 6 - 1.2 任务范畴 - 6 - 1.3 任务目的 - 6 - 2、系统概括 - 7 - 3、设计根据 - 9 - 4、系统安全建设目的和原则 - 10 - 4.1 建设目的 - 10 - 4.2 建设原则 - 10 - 5、信息系统安全需求分析 - 11 - 5.1 需求来源 - 11 - 5.1.1国家信息安全政策规定 - 11 - 5.1.2科研生产需要 - 11 - 5.1.3工厂管理需要 - 11 - 5.1.4 信息系统安全评估成果 - 12 - 5.2 信息系统安全需求 - 12 - 6、信息定密、系统定级和划分安全域 - 14 - 6.1 信息定密 - 14 - 6.2 系统定级 - 14 - 6.3 安全域划分 - 14 - 7、信息系统安全方略 - 15 - 7.1 涉密计算机信息系统基本规定 - 15 - 7.2 物理安全方略 - 15 - 7.3 运营安全方略 - 16 - 7.3.1 网管中心服务器存储、备份及恢复安全方略 - 16 - 7.3.2 各部门服务器和客户端存储、备份及恢复安全方略 - 16 - 7.3.3 电源备份安全方略 - 16 - 7.3.4 病毒威胁安全方略 - 16 - 7.3.5 应急响应方略 - 16 - 7.3.6 运营方略 - 17 - 7.4 信息安全方略 - 17 - 7.4.1 身份认证方略 - 17 - 7.4.2 访问控制方略 - 18 - 7.4.3 安全审计方略 - 18 - 7.4.4 信息加密与电磁泄漏防护方略 - 18 - 7.4.5 系统安全性能检测方略 - 19 - 7.4.6 边界安全防护方略 - 19 - 8、物理安全设计 - 21 - 8.1 环境安全 - 21 - 8.2 设备安全 - 21 - 8.3 介质安全 - 21 - 9、安全运营体系设计 - 22 - 9.1 安全存储与备份、恢复 - 22 - 9.2 增长UPS后备电源 - 22 - 9.3 计算机病毒防治 - 23 - 9.4 完善应急响应办法 - 23 - 9.5 完善运营管理办法 - 23 - 10、信息安全保密体系设计 24 10.1 身份认证解决办法 24 10.2 访问控制解决办法 24 10.3 安全审计解决办法 25 10.4 信息加密与电磁泄漏防护解决方案 25 10.5 系统安全性能检测解决办法 25 10.6 边界安全保护解决办法 25 10.7 安全防范拓扑示意图 26 11.安全管理体系设计 27 12、建设实行内容 28 12.1 综合布线 28 12.2 机房改造 28 12.3 信息系统基本平台建设 29 12.4 安全防范办法 29 13、工程筹划 30 14、结语 32 前言  四川**** 责任公司（如下简称“****公司”）是国家中型公司，属于制造业。始建于*****年，是中华人民共和国******专业化厂家，是中华人民共和国*********设备制造公司之一，工厂既有职工700余人。 随着****公司公司信息化建设逐渐推动，加强了技术创新和管理创新能力，使公司及其产品获得市场竞争优势。 随着信息化建设推动，必要加强信息系统安全保密建设，以满足国家对于涉密计算机信息系统需求。按照保密密级规定，****公司涉密计算机信息系统需要按照秘密级进行安全防护建设。 本方案重要依照****公司涉密信息系统建设规定，由成都XXX信息技术有限公司（如下简称“XXX公司”）设计完毕。 本方案根据BMB17-/BMB20-，结合****公司在新保密形式下需求，紧扣“建设安全保密、经济可用秘密级信息系统”这一设计目的，旨在采用先进网络信息安全技术，保障系统运营环境和设备安全，防范对信息资源非法访问，抵抗对涉密资料非法窃取，保护数据资产安全，提高****公司在复杂应用环境下安全保密能力，达到国家有关规定。 本方案在现状分析和需求分析基本上，遵循国家有关保密法律和规范，从物理安全、网络运营安全、信息保密安全、安全保密管理等方面出发，开展对系统脆弱性和风险性分析，进行网络系统扩展设计以及系统安全设计，提出了涉及访问控制、安全审计、管理监控等安全技术在内一整套解决方案，满足BMB17-和BMB20-有关技术规定。 同步，按照规范规定，本方案对****公司安全保密管理提出理解决办法，涉及了管理机构设立、管理制度建立、管理技术实行和人员管理配套。 1、概述 1.1 任务由来 ****公司在公司分离破产后重组新建四川**** 责任公司，公司筹划在第三季度通过有关保密资格认证，其中保密资格认证是****公司中重要认证之一，通过****公司办公会上充分讨论，以及对各个有涉密计算机信息系统集成资质公司比较和筛选，最后拟定由XXX公司来协助****公司建设涉密计算机信息系统，并同步建设安全保密系统。 1.2 任务范畴 本次任务是编写****公司涉密计算机信息系统安全建设方案。其范畴是****公司办公局域网和安全系统建设，为****公司将来信息系统应用打好基本。重要涉及：综合布线系统，机房建设，网络基本平台搭建和安全保密系统同步建设。 1.3 任务目的 本次任务有两个目的： 1、借“保密资格认证”东风，搭建公司局域网平台； 2、同步建设公司安全保密系统，满足保密资格认证规定。 2、系统概括 ****公司当前信息系统规模小，信息应用简朴，当前在三个重要办公区域采用了3个HUB进行本部门网络连接（这三个网之间无互相连接），其拓扑示意图如下： 1、****公司当前信息系统构成有： 1）单机办公共计100多台，重要运营MS Office软件； 2）财务审计部和技术管理部计算机接于各自HUB上，目是网络办公和共享打印机； 3）基于非网管、同房间使用互换机构成暂时网络，重要运营CAD系统，目是共享文献和打印机； 2、信息系统资产： ****公司信息系统资产重要有：全厂100多台PC机，以及CAD和财务数据。 3、信息系统管理： 当前是“谁使用、谁负责、谁运营维护”状态，没有专业信息技术部门统一管理。 4、信息系统应用系统及重要性： 应用系统涉及：财务系统和CAD联网应用，这两个系统中CAD是****公司业务龙头，有较大重要性。 5、信息系统之间互联关系： 实现了和国际互联网物理隔离，没有和其她网络有连接关系。 6、系统安全管理组织机构及办法： ****公司成立了保密办，负责检查和教诲应用系统保证同国际互联网物理隔离。 7、信息系统承载密级 ****公司当前单个计算机绝大某些不涉密，全厂涉密级别最高为秘密级，其重要集中在设计部门和管理部门。 8、涉密人员及涉密计算计算机设备状况 ****公司是老式军工单位，涉密人员和涉密计算机设备状况均有良好制度管理。当前涉密人员定员明确，涉密计算机设备运营状况也良好，实行“谁使用谁负责谁应用谁维护”管理模式。 3、设计根据 国标 Ø GB/T2887－电子计算机场地通用规范 Ø GB/5271.1- 第一某些：基本术语 Ø GB/5271.8- 第八某些：安全 Ø GB/5271.9- 第九某些：数据通信 Ø GB/9361-1988计算站场地安全规定 Ø GB/T9387.2-1995安全体系构造 Ø GB/T18336-信息技术安全性评估准则 Ø GB50174电子计算机机房设计规范 Ø GGBB1-1999信息设备电磁泄漏发射限值 Ø BMB2-1998使用现场信息设备电磁泄漏发射检查测试办法和安全判据 Ø BMB3-1999解决涉密信息电磁屏蔽技术规定和测试办法 Ø BMB4-电磁干扰器技术规定和测试办法 Ø BMB5-涉密信息设备使用现场电磁泄漏发射防护规定 Ø BMZ1-涉及国家秘密计算机信息系统保密技术规定 Ø BMB17-涉及国家秘密信息系统分级保护技术规定 Ø BMB20-涉及国家秘密信息系统分级保护管理规范 Ø ISO/IEC17799 国家政策 Ø 中华人民共和国保守国家秘密法》1988.9.5 Ø 《国家信息化领导小组关于加强信息安全保障工作意见》中办发27号 Ø 《关于加强信息安全保障工作中保密管理若干意见》中保委发7号 Ø 《涉及国家秘密信息系统分级保护管理办法》国保发16号 Ø 《信息安全级别保护管理办法》公通字16号 4、系统安全建设目的和原则 4.1 建设目的 建设****公司安全、稳定、高效信息系统平台，为将来系统应用和园区网络建设奠定良好基本和示范。 4.2 建设原则 规范定密，准拟定级； 根据原则，同步建设； 突出重点，保证核心； 明确责任，加强监督。 以上32字原则是本次方案设计政策性指引，****公司由保密保卫部依照中华人民共和国二航有关规定负责定密，计算机信息系统最高密级为秘密级； 依照有关国标，在搭建公司局域网时同步建设安全系统； 突出保密重点在科研生产和产品设计上，建立信息中心，集中存储产品数据，的保证障核心涉密数据； 工厂保密委同步明确各个涉密部门和人员责任，由保卫保密部执行技术部协助加强对各个涉密系统和人员监督。 5、信息系统安全需求分析 四川**** 责任公司是国家重点保军公司，厂领导非常注重信息化建设，全厂通过近年信息化发展，已经获得了突出成绩，当前已经基本形成了军品设计、财务管理等局域网。为适应当前形势和工作需要，结合厂领导规定，建设安全、稳定、高效信息系统平台是当前信息化建设工作当务之急。而在信息系统平台建设工程中，办公大楼网络建设是园区网核心，同步也是整合全厂园区网基本。 5.1 需求来源 5.1.1国家信息安全政策规定 ****公司是国家二级涉密单位，全厂信息化建设，必要符合国家有关规定，同步要接受国家职能部门达标审查，因而，计算机信息系统涉密安全建设更是重中之重。在本方案中，无论网络系统设计、构造化布线设计以及机房工程，均严格遵守国家有关保密规定，进行相应密级工程设计与施工。 5.1.2科研生产需要 全厂在生产过程中，会产生大量实验数据和文档资料，如何将这些数据资料有效存储和传播，以适应分布式计算需要，同步保证安全性、保密性规定。因而，建立一种流畅、高速网络平台与一种安全、稳定、高效系统平台，是当前刻不容缓任务。 5.1.3工厂管理需要 当前，计算机已成为****公司寻常办公重要工具。如何有效运用既有软、硬件资源，简化工作流程，提高管理工作效率，实现办公自动化和信息资源共享，同步实现安全有序管理，是当前厂内各管理部门迫切需要。 5.1.4 信息系统安全评估成果 ****公司是全新信息系统建设，通过简朴安全评估成果（见5.2章节）是信息系统重要需求来源之一。 5.2 信息系统安全需求 依照****公司涉密计算机信息系统现状，结合国家有关规范规定，咱们如下表呈现本次安全需求（★数量越多，安全风险越大）。 安全种类 项目 现状 安全风险 安全需求 物理安全 门禁 不具备。 ★★ 建设中心机房建设门禁系统 防雷 原大楼建没有防雷系统 采用防雷保护办法 供电 仅有市电供应。 ★★ 布置UPS 防静电、防盗 无中心机房，更无防静电办法 ★★★ 设立中心机房，铺设防静电地板，同步加强防盗建设。 电磁泄漏 办公大楼与公共区域距离在50米以内 ★★★★★ 需要建设有良好接地屏蔽布线系统，并采用电磁干扰。 介质安全 原则中关于于介质收发和传递新规定。 ★ 加强介质管理，加强计算机接口管理，布置安全审计系统 运营安全 存储备份 中心机房服务器和重要涉密单机缺少有效备份手段， ★★★★ 使用刻录光盘或移动硬盘备份方式实现定期数据备份。 应急响应 没有应急响应制度与技术手段，缺少定期培训和演习。 ★★★★★ 制定应急响应筹划并培训和演习，并拟定组织机构。 运营管理 需要完善运营管理和建立统一安全运营管理中心。 ★★★ 设立信息中心机构承担，并辅助以AD管理模式。 病毒与恶意代码防护 需要在系统内核心入口点（如电子邮件服务器）以及各顾客终端、服务器和移动计算机设备上采用计算机病毒和恶意代码防护办法 ★★★★★ 需要安装网络版杀毒软件并定期更新 信息安全保密 访问控制 既有网络系统中没有对资源访问控制，只限于自身资源自我控制,尚未建立一套整体资源访问控制。 ★★★★ 加强访问控制办法，采用AD方式 安全审计 既有审计系统已不满足新安全保密规定，对资源访问存在着不可控现象，同步涉密信息泄漏时，事后不可查现象。 ★★★★★ 布置专业安全审计系统 信息加密与电磁泄漏 综合布线采用非屏蔽线。 ★★★★ 在新信息系统建设中，采用FTP线缆，在系统核心部位布置电磁防泄漏设备 端口接入管理 内网信息接入点分布广泛，不以便进行管理，无法对接入网络设备进行安全认证 ★★★★ 采用端口接入认证技术实现对接入设备有效管理 系统及网络安全检测 没有专业安全软件或设备对系统及网络安全进行有效检测和评估 ★★★★ 采用专业安全检测工具对网络和主机安全进行检测 6、信息定密、系统定级和划分安全域 6.1 信息定密 依照****公司上级主管部门规定，信息拟定密级为：秘密级。其中明确涉密信息重要是环绕科研生产产生信息和上级部门密级文献（对于来自上级部门、所占比例很少机密级文献，将不容许进入本涉密计算机信息系统中；严格限定将这些机密级文献采用单机解决）。 6.2 系统定级 ****公司涉密计算机信息系统所解决信息最高密级是：秘密级 6.3 安全域划分 安全域是对由实行共同安全方略主体和客体构成集合进行区域划分。依照****公司当前现状和即将建设信息系统，咱们划分为2个安全域：普通办公计算机系统和涉密人员使用计算机系统分别为独立安全域。 7、信息系统安全方略 安全方略是信息系统安全核心，对信息系统安全起着至关重要作用。 在241信息系统中，安全方略制定，最核心问题就是如何保证数字资源安全共享。 保证数字资源安全共享，就是从权限分级设立角度出发，拟定数据资产身份认证和访问控制。 因而，应从各个安全规定出发，对信息系统进行安全保障，保障安全目可以得到实行。因而，应以技术手段实现身份验证、访问控制、安全审计，同步，为进一步保障，以各种附加安全产品，对单机和网络安全进行全面加强，针对网络、操作系统、数据库、信息共享授权提出详细办法。 除技术外，再辅以管理加强，以制度化和技术化管理，全面加强安全整体体系。因而****公司应建立如下安全方略： 7.1 涉密计算机信息系统基本规定 l 物理隔离：采用管理和技术相结合方式，保证涉密计算机信息系统与外部网络物理隔离。 l 安全保密产品选取：在涉密信息系统建设中，选用和采购国产设备；安全保密产品应通过国家有关主管部门授权测评机构检测。 l 安全域边界防护：划分安全域，安全域之间边界明确；禁止高密级信息由高级别安全域流向低级别安全域。 l 密级标记：在涉密计算机信息系统建设和运营过程中，做好定密和密级标记工作；防止密级标记与信息主体分离或被篡改。 7.2 物理安全方略 l 建立IDC机房 l 各部门服务器均统一托管到新IDC机房 l 加强对共享打印机、制图机等公用输出设备安全控制，防止打印输出成果被非授权查看和获取 l 按照新规定完善设备管理和介质收发与传递 7.3 运营安全方略 7.3.1 网管中心服务器存储、备份及恢复安全方略 l 完善备份系统，最大限度减少数据存储备份脆弱。 l 制定文档化备份与恢复方略。 l 保证备份与恢复正的确施规章制度。 7.3.2 各部门服务器和客户端存储、备份及恢复安全方略 l 完善备份系统，最大限度减少数据存储备份脆弱。 l 制定文档化备份与恢复方略； l 保证备份与恢复正的确施规章制度。 7.3.3 电源备份安全方略 l 对与系统正常运营有关设备，进行电源备份。 l 后备电源时间应满足数据备份规定。 7.3.4 病毒威胁安全方略 l 制定文档化计算机病毒与恶意代码防护方略；保证计算机病毒与恶意代码防护正的确施规章制度 l 应严格控制存储设备接入系统和软件安装。如接入和安装需经计算机病毒与恶意代码产品检测 7.3.5 应急响应方略 l 完善应急响应文档、规章制度。 l 应急筹划中应涉及发生异常事件应急响应基本环节、解决办法和报告流程。 7.3.6 运营方略 l 制定文档化运营管理方略；保证系统配备正的确施规章制度 l 拟定安全底线，不能为满足应用而突破此底线 l 以技术和管理手段保证违规接入网络设备无法访问网络资源 l 最小权限原则；注意特权顾客权限互相制约、监督关系解决，避免权限过于集中 7.4 信息安全方略 7.4.1 身份认证方略 l 建立网络身份认证体系。 l 制定文档化身份鉴别方略；保证身份鉴别正的确施规章制度。 l 对涉密服务器和顾客终端本地登陆、远程登陆、应用程序等进行顾客身份鉴别。 l 身份标记符由系统管理员统毕生成，在此系统生命周期中唯一性；对身份标记符列表进行管理和维护，保证不被非授权地访问、修改或删除；身份标记符应与审计有关联，保证可核查性 l 长度：不少于10位 ； 复杂度：大小写字母、数字和特殊字符中两者以上组合； 更换周期：不长于一月；口令文献：加密存储、传播 l 失败5次，采用相应办法：1、本地登陆，在被登陆端进行锁定，并形成审计事件并警告；2、远程登陆（域、网络数据库等）对顾客标记进行锁定，并形成审计事件并警告，只能由管理员恢复或重建。3、应用程序，禁止使用该程序或延长一段时间再容许尝试，并形成审计事件并告警 7.4.2 访问控制方略 l 建立域管理体系，采用强制访问控制方略。 l 应制定明确访问控制方略；涉密信息系统安全域由实行共同安全方略域及其中主体、客体构成；应依照信息密级和信息重要性划分系统安全域 7.4.3 安全审计方略 l 采用专业安全审计系统。 l 制定文档化安全审计方略；保证安全审计正的确施规章制度 l 审计范畴：1、服务器、涉密重要顾客终端、安全保密设备启动和关闭； 2、审计功能启动和关闭； 3、系统内顾客增、删或顾客权限更改； 4、系统管理员、系统安全员、审计员和普通操作员所实行操作； 5、其她与系统安全关于事件或专门定义可审计事件。 l 审计内容：事件发生时间、地点、类型、主体和成果（成功或失败） l 独立审计系统指将审计信息存储在各个服务器和安全保密设备上，各审计日记独立，彼此没有联系。检查解决涉密信息涉密系统与否将审计信息存储在各服务器和安全保密设备上，供系统安全保密管理员审查 7.4.4 信息加密与电磁泄漏防护方略 l 在重点区域采用电磁泄露防护办法。 l 涉密系统设备安装使用应满足国家保密原则BMB5—《涉密信息设备使用现场电磁泄漏发射防护规定》；涉密系统各种设备安装、摆放位置、接地屏蔽等与否符合BMB5—《涉密信息设备使用现场电磁泄漏发射防护规定》规定；解决绝密级信息设备应采用满足GGBBl—1999《信息设备电磁泄漏发射限值》低辐射没备 l 如不满足系统电磁泄露发射防护规定，应使用BMB4-一级电磁干扰器，警戒距离不不大于100米时可使用该原则二级电磁干扰器；相对集中设备可采用屏蔽机柜 l 便携设备及可移动存储介质在系统外部使用，应加密保证不被非授权查看 l 远程传播时数据应加密；不满足数据传播线路电磁泄露发射防护封闭、独立建筑群内应加密 7.4.5 系统安全性能检测方略 l 采用安全性能检测工具，定期对系统进行安全性检测。 l 制定文档化系统安全性能检测方略；保证系统安全性能检测正的确施规章制度 l 国家保密主管部门批准检测工具，版本及时更新 l 对检测数据进行详细地记录，对记录进行分析，及时弥补漏洞或脆弱点 7.4.6 边界安全防护方略 l 依照信息密级和重要性划分安全域 l 明确安全域与以外系统边界 l 在明确边界实行有效访问控制方略 l 进出安全域数据访问都应通过各自安全边界完毕 l 在系统安全边界核心点采用严格安全防护机制。如：严格登陆/连接控制、高功能防火墙、防病毒网关、入侵防范、信息过滤 l 对于跨安全域访问（针相应用系统）使用级别保护网关 l 记录边界访问控制事件时间、地点、类型、主体、客体和成果 l 禁止系统内顾客非授权外部连接（擅自拨号和无线上网等），并采用技术手段对此行为进行检查和控制 ****公司网络安全基于以上安全方略，从技术和管理出发，采用安全技术办法和管理手段，实现全方位立体化安全体系建设，详细保护技术规定如下图所示。 8、物理安全设计 8.1 环境安全 Ø 应尽量减少工作区域无关人员流动。 Ø 增长出入管理警卫和强化登记制度。 Ø 机房选址：依照当前****公司既有条件，结合保密管理规定，机房选在办公5楼与其她办公区域相对隔离。 Ø 机房建设：本次建设内容为机房装修，功能分区；添加空调、防盗、门禁系统。按B类机房建设：建立机房监控系统，对机房温湿度、漏水、烟雾、UPS、空调、数字电表进行监控并报警。 8.2 设备安全 Ø 增长保安人员，加强对重点区域监管来保障设备物理安全，用管理和制度保障设备生命周期安全（购买、使用、定密级、保存、维修、销毁）。 Ø 使用AAA网络身份认证对设备接入进行控制和管理。 8.3 介质安全 Ø 对使用涉密U盘、移动硬盘、软盘必要按规定进行密级标记。标明密级和保密期限，注明发放范畴及数量。涉密介质保存、携带、维修、报废必要按有关规定解决。 Ø 单纯依托制度对U盘、移动硬盘进行管理并不可靠，必要结合管理技术对计算机USB口进行管理。 Ø 对介质传递按新规定，指派专人专车或者通过机要交通、机要通信、机要互换等办法进行传递。 9、安全运营体系设计 运营安全是为保障系统功能安全实现，涉及备份与恢复，计算机病毒防治、应急响应、运营管理等。 9.1 安全存储与备份、恢复 安全存储与备份、恢复是网络安全基本，如果不能实现安全存储和可靠备份恢复，一切数字资产安全都无从谈起。因而，为了保障涉及服务器和客户端数据存储安全，实现先进、可靠备份、恢复环境，应采用如下办法： l 完善既有备份与恢复方略；保证备份与恢复对的；建立培训和演习机制。 l 应备有核心应用数据安装程序。 l 增长备份设备。 9.2 增长UPS后备电源 为保障系统正常运营，配备与信息系统规模相适应UPS后备电源。 9.3 计算机病毒防治 l 在系统内布置统一网络防病毒系统； l 及时更新病毒代码，并通过网络自动下发和安装； l 加强病毒检查。 9.4 完善应急响应办法 l 制定应急响应筹划和响应方略； l 定期评估和修正应急响应筹划和方略； l 组织应急响应培训，明确成员在应急响应中角色与责任； l 定期进行应急响应演习。 9.5 完善运营管理办法 l 完善运营管理方略及制度； l 加强系统配备管理，系统配备变更应通过审核和批准； l 加强设备接入控制，控制违规接入设备对系统资源访问； 10、信息安全保密体系设计 保证信息保密性、完整性、可用性和抗抵赖性是信息安全保密中心任务，信息安全保密技术重要涉及身份认证、访问控制、审计、信息加密、电磁泄漏防护、信息完整性校验、抗抵赖、安全保密性能检测、入侵检测、操作系统安全、数据库安全。 10.1 身份认证解决办法 l 完善身份鉴别方略和制度； l 采用网络身份认证； l 由系统管理员统毕生成顾客身份标记符； l 身份鉴别口令设立满足国家保密有关规定； l 启用空闲操作重鉴别功能； l 启用鉴别失败保护办法。 10.2 访问控制解决办法 l 建立域管理体系（Active Directory），对共享资源进行权限管理。 l 按照机构职能和安全需求，对网络系统进行安全域规划，按照安全域规划来划分VLAN。 依照详细网络拓朴构造和网络应用状况，可以将网络分为如下安全域。 在划分过程中，咱们将安全级别分为三等，其中C为最低，A为最高。 安全域划分 序号 安全区域 安全级别 访问对象 可访问对象 获准访问该安全域对象 1 非技术类外来人员安全域 C 服务器安全域 网管 防毒、软件及网管工作域 2 服务器安全域 B 不能访问任何对象 所有对象 3 防毒、软件及网管工作域 B 不能访问任何对象 所有对象 4 科室、生产部门 A 所级服务器安全域 网管 （部门间彼此不能访问） 防毒、软件及网管工作域 将以上安全域，在互换机上通过VLAN划分来实现，并且从业务实际状况出发对VLAN间通信关系进行系统分析，配备VLAN间路由和访问控制列表(ACL)，既保证VLAN间通信，又保护各VLAN之间安全。 10.3 安全审计解决办法 l 完善审计方略和制度； l 采用专业安全审计系统； l 妥善保存审计记录，防止审计记录被非授权查阅； 10.4 信息加密与电磁泄漏防护解决方案 l 在进行网络基本设施建设时，采用屏蔽线缆； l 在涉密计算机比较集中区域布置电磁泄露发射防护产品； l 加强周边环境安全警戒。 10.5 系统安全性能检测解决办法 l 完善系统安全性能检测制度； l 采用专业安全性能检测工具，定期检测； l 及时更新检测工具版本； l 及时分析检测成果，并对发现漏洞和脆弱点进行修补。 10.6 边界安全保护解决办法 l 在明确系统或安全域边界核心点； l 建立域管理体系（Active Directory），对系统边界进行保护； 10.7 安全防范拓扑示意图 11.安全管理体系设计 n 在安全管理制度中，明确管理主体、管理客体、如何管、靠什么来管等。 n 安全管理体系涉及：信息系统整个生命周期中与人有关安全管理、与操作有关运营安全管理和与技术有关技术安全管理，以及为平衡系统安全与成本控制所进行风险管理。 n 下图所示安全管理体系重要关注与人有关安全管理，涉及：安全政策、法律法规，安全规章、制度与方针，安全组织、人员安全、物理安全、安全意识、培训与教诲以及安全管理原则。 n 强化员工信息安全意识，规范组织信息安全行为 n 对核心信息资产进行全面系统保护，维持竞争优势 n 促使管理层坚持贯彻信息安全保障体系 n 建立安全管理组织机构，明确安全管理职能 12、建设实行内容 本次****公司涉密计算机信息系统安全建设，涉及网络基本设施建设（综合布线）、机房改造、信息系统基本平台、安全防范办法四个某些： 12.1 综合布线 序号 项目名称 规格型号 单位 数量 1 超五类屏蔽双绞线 CAT5e双层屏蔽305米 箱 28 2 超五类屏蔽24口模块化配线架 CAT5e 个 8 3 超五类屏蔽模块 CAT5e 个 121 4 英式双孔面板 86*86 个 121 5 超五类屏蔽1米跳线 CAT5e 根 121 6 超五类屏蔽3米跳线 CAT5e 根 121 7 导线器 1U 个 8 8 6芯多模室内光缆 50/125,天津立孚 米 300 9 6芯多模室外铠装光缆 50/125,天津立孚 米 250 10 24口光纤信息盒 ST,天津立孚 个 5 11 ST法兰盘 ST-ST,天津立孚 个 48 12 ST尾纤 ST,天津立孚 根 48 13 光纤跳线 ST-SC,天津立孚 根 20 14 光纤熔接 　 芯 48 15 9U墙柜 600*800 台 4 16 PVC穿线管 ∮25 米 1,000 17 PVC穿线管 ∮32 米 400 18 PVC穿线管 ∮40 米 400 19 PVC线槽 100*40 米 260 20 PVC线槽 80*30 米 120 21 86明装底盒 　 个 121 22 信息点端接 　 点 121 23 信息点和光缆测试报告 　 点 169 24 光缆敷设 　 米 550 12.2 机房改造 序号 产品名称 规格型号 产品阐明 数量 单位 1 墙面乳胶漆 立邦 人工及材料费 160 平方米 2 全钢防静电地板 30mm 华东 45 平方米 3 玻璃地弹门 含不锈钢门套 12mm钢化玻璃 1 樘 4 地弹簧 　 皇冠 1 只 5 上、下门夹 　 雄业 1 套 6 大拉手 　 雅托 1 套 7 不锈钢玻璃隔断 　 定制 26 平方米 8 防盗窗 　 定制 5 平方米 9 门禁控制器（含读卡器） SC7600 集佳 1 套 10 磁力锁（含支架） DZ03J 宏泰 1 只 11 卡 　 　 20 张 12 出门按钮 　 　 1 只 13 专用电源 　 　 1 只 14 控制线缆 RVVP 4X1.0 扬州联通 20 米 15 电源线 RVV 2X1.5 扬州联通 10 米 16 成品实木踢脚线 　 国产 30 米 18 服务器机柜 42U ×600×900 3 个 19 辅助材料 　 　 1 批 12.3 信息系统基本平台建设 序号 产品名称 规格型号 产品阐明 数量 单位 1 华为3COM 3628EI和4个SFP 核心互换 1 台 2 华为3COM 3126C（6个堆叠＋4个光纤） 接入互换 7 台 3 UPS 山特C6K 不间断电源 1 台 4 安全域控制 网络管理模式 网络域管理 1 套 5 服务器1 DELL 2950核心服务器(4核CPU/4G/146*3) 核心服务器 1 台 6 服务器2 DELL 2950邮件服务器 邮件服务器 1 台 7 网络版防毒系统 KV（江明）防病毒软件公司版1＋4＋150 网络防病毒 1 套 8 电磁防泄漏系统 (LixinC) 台 10 套 12.4 安全防范办法 序号 产品名称 规格型号 产品阐明 数量 单位 1 安全审计系统 50顾客含硬件服务器1台 网络监管和审计 1 套 2 单机审计软件 单机审计系统 单机审计 1 套 3 网络版本漏洞扫描 漏洞扫描，100顾客可安装在PC中，PC顾客自备 网络扫描 1 套 4 端口接入管理 AAA认证系统 防止端口接入失控 1 套 13、工程筹划 工程筹划 序号 项目阶段 工作内容 甲方职责 乙方职责 共同完毕 甲方职责描述 乙方职责描述 时间安排 备注 一 前 期 需求调研 　 　 专人陪伴、提供有关素材 记录、提问 1 　 1 保密合同订立 　 　 订立保密合同 订立保密合同 1 　 2 需求确认 　 　 确认需求 根具调研状况分析后提出需求 0.5 　 3 方案合同订立 　 　 　 订立方案设计合同 订立方案设计合同 0.5 　 4 方案草稿 　 　 　 无 依照前期调研成果出具方案 3 　 5 方案内审 　 　 　 　 内部评审 0.5 　 6 方案递交甲方审查 　 　 　 就草稿进行评审 递交甲方 0.5 　 7 方案修改 　 　 　 提出修改意见 依照实际状况和修改意见综合评议后修改草稿 2 　 8 方案定稿 　 　 　 拟定方案 提交终稿，甲方若有修改意见返回上一种流程 1 　 9 订立合同和技术合同 　 　 　 就方案中所涉及产品和服务订立商务和技术合同 就方案中所涉及产品和服务订立商务和技术合同 0.5 　 10 基本培训 　 　 　 应对参加本项目人员进行基本培训，如参加化为HCSE培训 　 5 该时间不计入项目时间 11 递交保密局评审 　 　 　 向保密局报批 协助甲方报批 3 　 12 召开评审会议 　 　 　 参加评审会 协助组织评审会 1 　 13 获得批复文献 　 　 　 获得批复文献 获得批复文献 7 　 二 中 期 构成项目实行小组 　 　 　 提供参加本项目人员名单和拟定其职责，与乙方人员共同构成项目小组 提供参加本项目人员名单和拟定其职责，与乙方人员共同构成项目小组 0.5 　 1 备货 　 　 　 　 依照合同订货和交付甲方 7 该时间不计入项目时间 2 递交实行方案