|
分级保护建设方案分级保护建设方案一、系统总体部署 1.1涉密信息系统的组网模式为:服务器区、安全管理区、终端区共同连接至核心交换机上,组成类似于星型结构的网络模式,参照TCP/IP网络模型建立。核心交换机上配置三层网关并划分Vlan,在服务器安全访问控制中间件以及防火墙上启用桥接模式,核心交换机、服务器安全访问控制中间件以及防火墙上设置安全访问控制策略(ACL),禁止部门间Vlan互访,允许部门Vlan与服务器Vlan通信。核心交换机镜像数据至入侵检测系统以及网络安全审计系统;服务器区包含原有应用系统;安全管理区包含网络防病毒系统、主机监控与审计系统、windows域控及WSUS补丁分发系统、身份认证系统;终端区分包含所有业务部门。 服务器安全访问控制中间件防护的应用系统有:XXX系统、XXX系统、XXX系统、XXX系统以及XXX系统。 防火墙防护的应用系统有:XXX、XXX系统、XXX系统、XXX系统以及XXX系统。 1.2针对物理风险,采取红外对射、红外报警、视频监控以及门禁系统进行防护。针对电磁泄射,采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进行防护。 二、物理安全防护 总体物理安全防护设计如下: (1)周边环境安全控制 (2)要害部门部位安全控制 (3)电磁泄漏防护 2.1 红外对射 2.2 红外报警 2.3 视频监控 2.4 门禁系统 2.5 线路干扰仪 2.6 视频干扰仪 三、网络安全防护 3.1 防火墙 3.3 入侵检测系统 3.4 违规外联系统 四、应用安全防护 4.1 服务器群组安全访问控制中间件 涉密信息系统采用服务器群组安全访问控制中间件2台,用于涉密信息系统主中心秘密级服务器、从属中心秘密级服务器边界的安全控制、应用身份认证、邮件转发控制、网络审计以及邮件审计等。防护主中心的XXX系统、XXX系统、XXX系统、XXX系统、XXX系统以及XXX门户;防护从属中心的XXX系统以及XXX类软件系统。 4.2 windows域控及补丁分发 改造原有AD主域控制器及备份域控制器。 4.3 网络安全审计 使用网络安全审计系统2台,用于对涉密信息系统的网络及应用进行安全审计和监控。审计功能包括:应用层协议还原审计、数据库审计、网络行为审计、自定义关键字审计等。 五、终端安全防护 5.1 防病毒系统 5.2 恶意程序辅助检测系统 5.3 主机监控与审计系统 5.4 涉密计算机及移动存储介质保密管理系统 5.5 终端安全登录及身份认证系统 采用终端安全登录与监控审计系统(网络版),用于对机密级终端的“双因子”登录身份认证。采用终端安全登录与监控审计系统(单机版),用于对涉密单机、中间机登录身份认证、主机监控与审计。 5.6 光盘刻录监控与审计 采用光盘刻录监控与审计系统,用于对刻录行为的监控与审计。 六、管理改进建议 6.1界定三员职责、明晰工作内容 将三员的职责及分工明确具体化,建立健全的相互监督机制,系统管理员配置系统策略,安全保密管理员管理系统审计日志,安全审计员监督系统管理员以及安全保密管理员的操作行为,强化工作制度约束。 ①系统管理员的职责 a、保障涉密信息系统安全运行; b、负责涉密信息系统软件及硬件设备的安装和维护; c、参与涉密信息系统安全策略、计划和事件处理程序的制定; d、落实防病毒措施和系统补丁的分发,保证信息系统的正常运行。 ②安全保密管理员职责 a、建立健全涉密信息系统保密管理制度,监督、检查信息系统保密管理及技术措施的落实情况; b、负责对信息系统用户的身份的验证,防止非法用户进入系统。 c、负责用户的口令管理,建立口令管理规程和检验创建账户机制,避免口令泄露。 d、负责对安全保密设备和系统所产生日志的审查并进行分析。 e、承担涉密信息系统安全事件的处理。 ③安全审计员的职责 a、监督信息系统的运行情况,定期查看系统审计记录; b、对系统管理员、安全保密管理员的操作行为进行审计、跟踪、分析、监督和检查,及时发现违规行为; c、定期向系统安全保密管理机构汇报审计的有关情况。 6.2健全保密管理策略 制定网络技术环境下具体的安全业务、流程、职责、规范、要求的策略规范及制度。 6.3强化监督管理执行力度 在日后的保密安全审计监督管理中,指定关于执行效果奖惩制度,重视与执行效果相关的稽核审计。 6.4制定监督机制 建立针对个人、部门、机构、单位的监督机制,并在制度中明确要求对记录、惩戒、改进等监督手段和机制,提高监督机制的执行效果,加强可操作性,以明确的数字得分形式展现执行效果。 七、解决方案详情 解决方案详情请联系我司技术专家。
文章分类:
解决方案
|