分級保護(hù)方案設(shè)計詳細(xì)講解

1、iiu第三章安全保密風(fēng)險分析3.1 脆弱性分析脆弱性是指資產(chǎn)或資產(chǎn)組中能被威脅所利用的弱點，它包括物理環(huán)境、組織機(jī)構(gòu)、業(yè)務(wù)流程、人員、管理、硬件、軟件及通訊設(shè)施等各個方面。脆弱性是資產(chǎn)本身存在的，如果沒有被相應(yīng)的威脅利用，單純的脆弱性本身不會對資產(chǎn)造成損害，而且如果系統(tǒng)足夠強(qiáng)健，嚴(yán)重的威脅也不會導(dǎo)致安全事件發(fā)生，并造成損失。威脅總是要利用資產(chǎn)的脆弱性才可能造成危害。資產(chǎn)的脆弱性具有隱蔽性，有些脆弱性只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱性識別中最為困難的部分。不正確的、起不到任何作用的或沒有正確實施的安全措施本身就可能是一個弱點，脆弱性是風(fēng)險產(chǎn)生的內(nèi)在原因，各種安全薄弱環(huán)節(jié)、安全弱點自身并不

2、會造成什么危害，它們只有在被各種安全威脅利用后才可能造成相應(yīng)的危害。針對XXX機(jī)關(guān)涉密信息系統(tǒng)，我們主要從技術(shù)和管理兩個方面分析其存在的安全脆弱性。3.1.1 技術(shù)脆弱性1 .物理安全脆弱性：環(huán)境安全：物理環(huán)境的安全是整個基地涉密信息系統(tǒng)安全得以保障的前提。如果物理安全得不到保障，那么網(wǎng)絡(luò)設(shè)備、設(shè)施、介質(zhì)和信息就容易受到自然災(zāi)害、環(huán)境事故以及人為物理操作失誤或錯誤等各種物理手段的破壞，造成有價值信息的丟失。目前各級XXX企業(yè)的中心機(jī)房大部分采用獨立的工作空間，并且能夠達(dá)到國家標(biāo)準(zhǔn)GB50174.1993電子計算機(jī)機(jī)房設(shè)計規(guī)范、GB2887.1989計算機(jī)場地技術(shù)條件、GB9361.1998計算

3、站場地安全要求和BMB172006艇及國家秘密的信息系統(tǒng)分級保護(hù)技術(shù)要求等要求。設(shè)備安全：涉密信息系統(tǒng)的中心機(jī)房均按照保密標(biāo)準(zhǔn)要求采取了安全防范措施，防止非授權(quán)人員進(jìn)入，避免設(shè)備發(fā)生被盜、被毀的安全事故。介質(zhì)安全：目前各級XXX企業(yè)的軟磁盤、硬盤、光盤、磁帶等涉密媒體按所存儲信息的最高密級標(biāo)明密級，并按相應(yīng)的密級管理。2 .運(yùn)行安全脆弱性分析備份與恢復(fù)：備份與恢復(fù)是保證涉密信息系統(tǒng)運(yùn)行安全的一個不可忽視問題，當(dāng)遇到（如火災(zāi)、水災(zāi)等）不可抗因素，不會造成關(guān)鍵業(yè)務(wù)數(shù)據(jù)無法恢復(fù)的慘痛局面。同時將備份關(guān)鍵業(yè)務(wù)數(shù)據(jù)的存儲介質(zhì)放置在其他建筑屋內(nèi)，防止在異常事故發(fā)生時被同時破壞。網(wǎng)絡(luò)防病毒：各級XXX企業(yè)涉

4、密網(wǎng)絡(luò)中的操作系統(tǒng)主要是windows系列操作系統(tǒng)。雖有安全措施，卻在不同程度上存在安全漏洞。同時，病毒也是對涉密網(wǎng)絡(luò)安全的主要威脅，有些病毒可感染擴(kuò)展名為corn、exe和ovl的可執(zhí)行文件，當(dāng)運(yùn)行這些被感染的可執(zhí)行文件時就可以激活病毒，有些病毒在系統(tǒng)底層活動，使系統(tǒng)變得非常不穩(wěn)定，容易造成系統(tǒng)崩潰。還有蠕蟲病毒可通過網(wǎng)絡(luò)進(jìn)行傳播，感染的計算機(jī)容易導(dǎo)致系統(tǒng)的癱瘓。近年來，木馬的泛濫為計算機(jī)的安全帶來了嚴(yán)重的安全問題。木馬通常是病毒攜帶的一個附屬程序，在被感染的計算機(jī)上打開一個后門，使被感染的計算機(jī)喪失部分控制權(quán)，另外還有黑客程序等，可以利用系統(tǒng)的漏洞和缺陷進(jìn)行破壞，都會為涉密網(wǎng)絡(luò)帶來安全風(fēng)險

5、。各級XXX企業(yè)涉密網(wǎng)絡(luò)中采用網(wǎng)絡(luò)版殺毒軟件對涉密系統(tǒng)進(jìn)行病毒防護(hù)，并制定合理的病毒升級策略和病毒應(yīng)急響應(yīng)計劃以保證涉密網(wǎng)絡(luò)的安全。應(yīng)急響應(yīng)與運(yùn)行管理：各級XXX企業(yè)采用管理與技術(shù)結(jié)合的手段，設(shè)置定期備份機(jī)制，在系統(tǒng)正常運(yùn)行時就通過各種備份措施為災(zāi)害和故障做準(zhǔn)備；健全安全管理機(jī)構(gòu)，建立健全的安全事件管理機(jī)構(gòu)，明確人員的分工和責(zé)任；建立處理流程圖，制定安全事件響應(yīng)與處理計劃及事件處理過程示意圖，以便迅速恢復(fù)被安全事件破壞的系統(tǒng)。3 .信息安全保密脆弱性自身脆弱性：任何應(yīng)用軟件都存在不同程度的安全問題，主要來自于兩個方面：一方面是軟件設(shè)計上的安全漏洞；另一方面是安全配置的漏洞。針對軟件設(shè)計上的安全

6、漏洞和安全配置的漏洞，如果沒有進(jìn)行合適的配置加固和安全修補(bǔ)，就會存在比較多的安全風(fēng)險。由于目前防病毒軟件大多集成了部分漏洞掃描功能，并且涉密網(wǎng)絡(luò)中的涉密終端與互聯(lián)網(wǎng)物理隔離，因此可以通過對涉密網(wǎng)絡(luò)進(jìn)行漏洞掃描，定期下載升級補(bǔ)丁，并制定相應(yīng)的安全策略來防護(hù)。電磁泄漏發(fā)射防護(hù)：信息設(shè)備在工作中產(chǎn)生的時變電流引起電磁泄漏發(fā)射，將設(shè)備處理的信息以電磁波的形式泄露在自由空間和傳導(dǎo)線路上，通過接收這種電磁波并采取相應(yīng)的信號處理技術(shù)可以竊取到信息。這種竊收方式危險小，不易被發(fā)現(xiàn)和察覺，隨著我國信息化水平的不斷提高，我國涉密部門大量使用計算機(jī)、網(wǎng)絡(luò)終端等辦公自動化設(shè)備，涉密信息的安全保密受到嚴(yán)重威脅，這種威脅

7、不像病毒攻擊和網(wǎng)絡(luò)攻擊那樣可以看到或者有跡可尋，它的隱蔽性強(qiáng)，危害極大。安全審計：安全審計是對信息系統(tǒng)的各種事件及行為實行監(jiān)測、信息采集、分析并針對特定事件及行為采取相應(yīng)動作，XXXXXX企業(yè)涉密信息系統(tǒng)沒有有效的審計，應(yīng)用系統(tǒng)出現(xiàn)了問題之后無法追查，也不便于發(fā)現(xiàn)問題，造成了損失也很難對原因進(jìn)行定性。邊界安全防護(hù)：計算機(jī)連接互聯(lián)網(wǎng)存在著木馬、病毒、黑客入侵的威脅，并且我國安全保密技術(shù)手段尚不完備、對操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備的關(guān)鍵技術(shù)尚未掌握，不足以抵擋高技術(shù)竊密，因此涉密網(wǎng)絡(luò)必須與互聯(lián)網(wǎng)物理隔離，而僅將涉密系統(tǒng)置于獨立的環(huán)境內(nèi)進(jìn)行物理隔離，并不能做到與互聯(lián)網(wǎng)完全隔離，內(nèi)部用戶還可以通過ADSL、Mo

8、dem、無線網(wǎng)卡等方式連接國際互聯(lián)網(wǎng)，因此應(yīng)該通過技術(shù)手段，對違規(guī)外聯(lián)行為進(jìn)行阻斷，另外，涉密網(wǎng)絡(luò)中的內(nèi)部介入問題也為涉密網(wǎng)絡(luò)帶來安全威脅。數(shù)據(jù)庫安全：數(shù)據(jù)庫系統(tǒng)作為計算機(jī)信息系統(tǒng)的重要組成部分，數(shù)據(jù)庫文件作為信息的聚集體，擔(dān)負(fù)著存儲和管理數(shù)據(jù)信息的任務(wù)，其安全性將是信息安全的重中之重。數(shù)據(jù)庫的安全威脅主要分為非人為破壞和人為破壞，對于非人為破壞，主要依靠定期備份或者熱備份等，并在異地備份。人為破壞可以從三個方面來防護(hù)：一、物理安全，保證數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)庫所在環(huán)境、相關(guān)網(wǎng)絡(luò)的物理安全性；二、訪問控制，在帳號管理、密碼策略、權(quán)限控制、用戶認(rèn)證等方面加強(qiáng)限制；三、數(shù)據(jù)備份，定期的進(jìn)行數(shù)據(jù)備份是減

9、少數(shù)據(jù)損失的有效手段，能讓數(shù)據(jù)庫遭到破壞后，恢復(fù)數(shù)據(jù)資源。操作系統(tǒng)安全：操作系統(tǒng)的安全性在計算機(jī)信息系統(tǒng)的整體安全性中具有至關(guān)重要的作用，沒有操作系統(tǒng)提供的安全性，信息系統(tǒng)和其他應(yīng)用系統(tǒng)就好比建筑在沙灘上的城堡”。我國使用的操作系統(tǒng)95%以上是Windows,微軟的Windows操作系統(tǒng)源碼不公開，無法對其進(jìn)行分析，不能排除其中存在著人為陷阱”。現(xiàn)已發(fā)現(xiàn)存在著將用戶信息發(fā)送到微軟網(wǎng)站的后門”。在沒有源碼的情形下，很難加強(qiáng)操作系統(tǒng)內(nèi)核的安全性，從保障我國網(wǎng)絡(luò)及信息安全的角度考慮，必須增強(qiáng)它的安全性，因此采用設(shè)計安全隔離層中間件的方式，增加安全模塊，以解燃眉之急。3.1.2 管理脆弱性任何信息系統(tǒng)

10、都離不開人的管理，再好的安全策略最終也要靠人來實現(xiàn)，因此管理是整個網(wǎng)絡(luò)安全中最為重要的一環(huán)，所以有必要認(rèn)真地分析管理所存在的安全風(fēng)險，并采取相應(yīng)的安全措施。物理環(huán)境與設(shè)施管理脆弱性：包括周邊環(huán)境、涉密場所和保障設(shè)施等。人員管理脆弱性：包括內(nèi)部人員管理、外部相關(guān)人員管理等。設(shè)備與介質(zhì)管理脆弱性：采購與選型、操作與使用、保管與保存、維修與報廢等。運(yùn)行與開發(fā)管理脆弱性：運(yùn)行使用、應(yīng)用系統(tǒng)開發(fā)、異常事件等。信息保密管理脆弱性：信息分類與控制、用戶管理與授權(quán)、信息系統(tǒng)互聯(lián)。責(zé)權(quán)不明、管理混亂、安全管理制度不健全及缺乏可操作性等。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為、網(wǎng)絡(luò)受到其它一些安全威脅（如：內(nèi)部人員違規(guī)操作）以及網(wǎng)絡(luò)

11、中出現(xiàn)未加保護(hù)而傳播工作信息和敏感信息時，系統(tǒng)無法進(jìn)行實時的檢測、監(jiān)控、報告與預(yù)警。同時，當(dāng)事故發(fā)生后，也無法提供追蹤攻擊行為的線索及破案依據(jù)，即缺乏對網(wǎng)絡(luò)的可控性與可審查性。這就要求我們必須對網(wǎng)絡(luò)內(nèi)出現(xiàn)的各種訪問活動進(jìn)行多層次記錄，及時發(fā)現(xiàn)非法入侵行為和泄密行為。要建設(shè)涉密信息系統(tǒng)建立有效的信息安全機(jī)制，必須深刻理解網(wǎng)絡(luò)和網(wǎng)絡(luò)安全，并能提供直接的安全解決方案，因此最可行的做法是安全管理制度和安全解決方案相結(jié)合，并輔之以相應(yīng)的安全管理工具3.2 威脅分析3.2.1 威脅源分析作為一個較封閉的內(nèi)網(wǎng)，攻擊事件的威脅源以內(nèi)部人員為主，內(nèi)部人員攻擊可以分為惡意和無惡意攻擊，攻擊目標(biāo)通常為機(jī)房、網(wǎng)絡(luò)設(shè)備

12、、主機(jī)、介質(zhì)、數(shù)據(jù)和應(yīng)用系統(tǒng)等，惡意攻擊指XXX企業(yè)內(nèi)部人員對信息的竊?。粺o惡意攻擊指由于粗心、無知以及其它非惡意的原因而造成的破壞。對于XXX機(jī)關(guān)涉密信息系統(tǒng)來講，內(nèi)部人員攻擊的行為可能有以下幾種形式：1 .被敵對勢力、腐敗分子收買，竊取業(yè)務(wù)資料；2 .惡意修改設(shè)備的配置參數(shù)，比如修改各級XXX企業(yè)網(wǎng)絡(luò)中部署的防火墻訪問控制策略，擴(kuò)大自己的訪問權(quán)限；3 .惡意進(jìn)行設(shè)備、傳輸線路的物理損壞和破壞；4 .出于粗心、好奇或技術(shù)嘗試進(jìn)行無意的配置，這種行為往往對系統(tǒng)造成嚴(yán)重的后果，而且防范難度比較高。3.2.2 攻擊類型分析1 .被動攻擊：被動攻擊包括分析通信流，監(jiān)視未被保護(hù)的通訊，解密弱加密通訊，

13、獲取鑒別信息（比如口令）。被動攻擊可能造成在沒有得到用戶同意或告知用戶的情況下，將信息或文件泄露給攻擊者。對于各級XXX企業(yè)網(wǎng)絡(luò)來講，被動攻擊的行為可能有以下幾種形式：1）有意識的對涉密信息應(yīng)用系統(tǒng)進(jìn)行竊取和窺探嘗試；2）監(jiān)聽涉密信息網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包；3）對涉密信息系統(tǒng)中明文傳遞的數(shù)據(jù)、報文進(jìn)行截取或篡改；4）對加密不善的帳號和口令進(jìn)行截取，從而在網(wǎng)絡(luò)內(nèi)獲得更大的訪問權(quán)限；5）對網(wǎng)絡(luò)中存在漏洞的操作系統(tǒng)進(jìn)行探測；6）對信息進(jìn)行未授權(quán)的訪問；2 .主動攻擊：主動攻擊包括試圖阻斷或攻破保護(hù)機(jī)制、引入惡意代碼、偷竊或篡改信息。主動進(jìn)攻可能造成數(shù)據(jù)資料的泄露和散播，或?qū)е戮芙^服務(wù)以及數(shù)據(jù)的篡改。對于

14、XXX機(jī)關(guān)涉密信息系統(tǒng)來講，主動攻擊的行為可能有以下幾種形式：1）字典攻擊：黑客利用一些自動執(zhí)行的程序猜測用戶名和密碼，獲取對內(nèi)部應(yīng)用系統(tǒng)的訪問權(quán)限；2）劫持攻擊：在涉密信息系統(tǒng)中雙方進(jìn)行會話時被第三方（黑客）入侵，黑客黑掉其中一方，并冒充他繼續(xù)與另一方進(jìn)行會話，獲得其關(guān)注的信息；3）假冒：某個實體假裝成另外一個實體，以便使一線的防衛(wèi)者相信它是一個合法的實體，取得合法用戶的權(quán)利和特權(quán)，這是侵入安全防線最為常用的方法；4）截?。浩髨D截取并修改在本院涉密信息系統(tǒng)絡(luò)內(nèi)傳輸?shù)臄?shù)據(jù)，以及省院、地市院、區(qū)縣院之間傳輸?shù)臄?shù)據(jù)；5）欺騙：進(jìn)行IP地址欺騙，在設(shè)備之間發(fā)布假路由，虛假AI沖數(shù)據(jù)包；6）重放：攻擊

15、者對截獲的某次合法數(shù)據(jù)進(jìn)行拷貝，以后出于非法目的而重新發(fā)送：7）篡改：通信數(shù)據(jù)在傳輸過程中被改變、刪除或替代；8）惡意代碼：惡意代碼可以通過涉密信息網(wǎng)絡(luò)的外部接口和軟盤上的文件、軟件侵入系統(tǒng)，對涉密信息系統(tǒng)造成損害；9）業(yè)務(wù)拒絕：對通信設(shè)備的使用和管理被無條件地拒絕。絕對防止主動攻擊是十分困難的，因此抗擊主動攻擊的主要途徑是檢測，以及對此攻擊造成的破壞進(jìn)行恢復(fù)3.3 風(fēng)險的識別與確定3.3.1 風(fēng)險識別物理環(huán)境安全風(fēng)險：網(wǎng)絡(luò)的物理安全風(fēng)險主要指網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的不可用，而造成網(wǎng)絡(luò)系統(tǒng)的不可用，如：1）涉密信息的非授權(quán)訪問，異常的審計事件；2）設(shè)備被盜、被毀壞；3）線路

16、老化或被有意或者無意的破壞；4）因電子輻射造成信息泄露；5）因選址不當(dāng)造成終端處理內(nèi)容被窺視；6）打印機(jī)位置選擇不當(dāng)或設(shè)置不當(dāng)造成輸出內(nèi)容被盜竊；7）設(shè)備意外故障、停電；8）地震、火災(zāi)、水災(zāi)等自然災(zāi)害。因此，XXX企業(yè)涉密信息系統(tǒng)在考慮網(wǎng)絡(luò)安全風(fēng)險時，首先要考慮物理安全風(fēng)險。例如：設(shè)備被盜、被毀壞；設(shè)備老化、意外故障；計算機(jī)系統(tǒng)通過無線電輻射泄露秘密信息等。介質(zhì)安全風(fēng)險：因溫度、濕度或其它原因，各種數(shù)據(jù)存儲媒體不能正常使用；因介質(zhì)丟失或被盜造成的泄密；介質(zhì)被非授權(quán)使用等。運(yùn)行安全風(fēng)險：涉密信息系統(tǒng)中運(yùn)行著大量的網(wǎng)絡(luò)設(shè)備、服務(wù)器、終端，這些系統(tǒng)的正常運(yùn)行都依靠電力系統(tǒng)的良好運(yùn)轉(zhuǎn)，因電力供應(yīng)突然中

17、斷或由于UPS和油機(jī)未能及時開始供電造成服務(wù)器、應(yīng)用系統(tǒng)不能及時關(guān)機(jī)保存數(shù)據(jù)造成的數(shù)據(jù)丟失。因為備份措施不到位，造成備份不完整或恢復(fù)不及時等問題。信息安全保密風(fēng)險：涉密信息系統(tǒng)中采用的操作系統(tǒng)（主要為Windows2000server,WindowsXP）、數(shù)據(jù)庫都不可避免地存在著各種安全漏洞，并且漏洞被發(fā)現(xiàn)與漏洞被利用之間的時間差越來越大，這就使得操作系統(tǒng)本身的安全性給整個涉密信息系統(tǒng)帶來巨大的安全風(fēng)險。另一方面，病毒已成為系統(tǒng)安全的主要威脅之一，特別是隨著網(wǎng)絡(luò)的發(fā)展和病毒網(wǎng)絡(luò)化趨勢，病毒不僅對網(wǎng)絡(luò)中單機(jī)構(gòu)成威脅，同時也對網(wǎng)絡(luò)系統(tǒng)造成越來越嚴(yán)重的破壞，所有這些都造成了系統(tǒng)安全的脆弱性。涉密信

18、息系統(tǒng)中網(wǎng)絡(luò)應(yīng)用系統(tǒng)中主要存在以下安全風(fēng)險：1 .用戶提交的業(yè)務(wù)信息被監(jiān)聽或修改；用戶對成功提交的業(yè)務(wù)事后抵賴；2 .由于網(wǎng)絡(luò)一些應(yīng)用系統(tǒng)中存在著一些安全漏洞，包括數(shù)據(jù)庫系統(tǒng)與IIS系統(tǒng)中大量漏洞被越來越多地發(fā)現(xiàn)，因此存在非法用戶利用這些漏洞對專網(wǎng)中的這些服務(wù)器進(jìn)行攻擊等風(fēng)險。服務(wù)系統(tǒng)登錄和主機(jī)登錄使用的是靜態(tài)口令，口令在一定時間內(nèi)是不變的，且在數(shù)據(jù)庫中有存儲記錄，可重復(fù)使用。這樣非法用戶通過網(wǎng)絡(luò)竊聽，非法數(shù)據(jù)庫訪問，窮舉攻擊，重放攻擊等手段很容易得到這種靜態(tài)口令，然后，利用口令，可對資源非法訪問和越權(quán)操作。另外，在XXX企業(yè)涉密信息系統(tǒng)中運(yùn)行多種應(yīng)用系統(tǒng)，各應(yīng)用系統(tǒng)中幾乎都需要對用戶權(quán)限的劃

19、分與分配，這就不可避免地存在著假冒，越權(quán)操作等身份認(rèn)證漏洞。此外網(wǎng)絡(luò)邊界缺少防護(hù)或訪問控制措施不力、以及沒有在重要信息點采取必要的電磁泄漏發(fā)射防護(hù)措施都是導(dǎo)致信息泄露的因素。安全保密管理風(fēng)險：再安全的網(wǎng)絡(luò)設(shè)備離不開人的管理，再好的安全策略最終要靠人來實現(xiàn)，因此管理是整個網(wǎng)絡(luò)安全中最為重要的一環(huán)，尤其是對于一個比較龐大和復(fù)雜的網(wǎng)絡(luò)，更是如此。XXX企業(yè)在安全保密管理方面可能會存在以下風(fēng)險：當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(如內(nèi)部人員的違規(guī)操作等)，無法進(jìn)行實時的檢測、監(jiān)控、報告與預(yù)警。雖然制定了相關(guān)管理制度，但是缺少支撐管理的技術(shù)手段，使事故發(fā)生后，無法提供攻擊行為的追蹤線索及破案

20、依據(jù)。因此，最可行的做法是管理制度和管理解決方案的結(jié)合。3.3.2風(fēng)險分析結(jié)果描述風(fēng)險只能預(yù)防、避免、降低、轉(zhuǎn)移和接受，但不可能完全被消滅。風(fēng)險分析就是分析風(fēng)險產(chǎn)生/存在的客觀原因，描述風(fēng)險的變化情況，并給出可行的風(fēng)險降低計劃。XXX企業(yè)涉密信息系統(tǒng)的分級保護(hù)方案應(yīng)該建立在風(fēng)險分析的基礎(chǔ)之上，根據(jù)脆弱性分析”和威脅分析”中所得到的系統(tǒng)脆弱性和威脅的分析結(jié)果，詳細(xì)分析它們被利用的可能性的大小，并且要評估如果攻擊得手所帶來的后果，然后再根據(jù)涉密信息系統(tǒng)所能承受的風(fēng)險，來確定系統(tǒng)的保護(hù)重點。本方案所采用的風(fēng)險分析方法為安全威脅因素分析法”，圍繞信息的機(jī)密性"、完整性”和可用性”三個最基本的

21、安全需求，針對前述每一類脆弱性的潛在威脅和后果進(jìn)行風(fēng)險分析并以表格的形式表達(dá)，對于可能性、危害程度、風(fēng)險級別，采用五級來表示，等級最高為五級(*),如下表：層面脆弱和威脅可能性危害程度風(fēng)險級別物理層自然災(zāi)害與環(huán)境事故、電力中斷*重要設(shè)備被盜*內(nèi)外網(wǎng)信號干擾*電磁輻射*惡劣環(huán)境對傳輸線路產(chǎn)生電磁干擾*采用紙制介質(zhì)存儲重要的機(jī)密信息*線路竊聽*存儲重要的機(jī)密信息移動介質(zhì)隨意放置*網(wǎng)絡(luò)層網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)不合理造成旁路可以出現(xiàn)安全漏洞*不同用戶群、不同權(quán)限的訪問者混在一起，不能實現(xiàn)有效的分離*網(wǎng)絡(luò)阻塞，用戶不能實現(xiàn)正常的訪問*非法用戶對服務(wù)器的安全威脅*共享網(wǎng)絡(luò)資源帶來的安全威脅*系統(tǒng)重要管理信息的泄漏*

22、傳播黑客程序*進(jìn)行信息監(jiān)聽*ARP攻擊威脅*利用TCP協(xié)議缺陷實施拒絕服務(wù)攻擊*系統(tǒng)層操作系統(tǒng)存在著安全漏洞*系統(tǒng)配置小合理*操作系統(tǒng)訪問控制脆弱性*網(wǎng)絡(luò)病毒攻擊*合法用戶主動泄密*非法外連*存儲信息丟失*應(yīng)用層應(yīng)用軟件自身脆弱性*應(yīng)用系統(tǒng)訪問控制風(fēng)險*應(yīng)用軟件安全策略、代碼設(shè)計不當(dāng)*數(shù)據(jù)庫自身的安全問題*抵賴風(fēng)險*缺乏審計*操作系統(tǒng)安全帶來的風(fēng)險*數(shù)據(jù)庫安全風(fēng)險*管理層松散的管理面臨泄密的風(fēng)險*安全保密管理機(jī)構(gòu)不健全*人員缺乏安全意識*人員沒有足夠的安全技術(shù)的培訓(xùn)*安全規(guī)則制度不完善*表3-1XXX企業(yè)涉密信息系統(tǒng)風(fēng)險分析表第四章安全保密需求分析4.1 技術(shù)防護(hù)需求分析4.1.1 機(jī)房與重要

23、部位XXX企業(yè)內(nèi)網(wǎng)和外網(wǎng)已實現(xiàn)物理隔離，置于不同的機(jī)房內(nèi)。內(nèi)網(wǎng)機(jī)房、機(jī)要室等重要部位將安裝電子監(jiān)控設(shè)備，并配備了報警裝置及電子門控系統(tǒng)，對進(jìn)出人員進(jìn)行了嚴(yán)格控制，并在其他要害部門安裝了防盜門，基本滿足保密標(biāo)準(zhǔn)要求。4.1.2 網(wǎng)絡(luò)安全物理隔離：由于XXX企業(yè)的特殊性，XXX企業(yè)已組建了自己的辦公內(nèi)網(wǎng)，與其他公共網(wǎng)絡(luò)采取了物理隔離，滿足保密標(biāo)準(zhǔn)要求。網(wǎng)絡(luò)設(shè)備的標(biāo)識與安放：XXX企業(yè)現(xiàn)階段，雖然在管理制度上對專網(wǎng)計算機(jī)進(jìn)行管理要求，但沒有對設(shè)備的密級和主要用途進(jìn)行標(biāo)識，所以需要進(jìn)行改進(jìn)，并按照設(shè)備涉密屬性進(jìn)行分類安放，以滿足保密標(biāo)準(zhǔn)要求。違規(guī)外聯(lián)監(jiān)控：XXX企業(yè)專網(wǎng)建成后，網(wǎng)絡(luò)雖然采用了物理隔離，

24、但缺少對涉密計算機(jī)的違規(guī)外聯(lián)行為的監(jiān)控和阻斷，例如內(nèi)部員工私自撥號上網(wǎng)，通過無線網(wǎng)絡(luò)上網(wǎng)等。所以為了防止這種行為的發(fā)生，在涉密網(wǎng)建設(shè)中需要一套違規(guī)外聯(lián)監(jiān)控軟件對非授權(quán)計算機(jī)的上網(wǎng)行為進(jìn)行阻斷。網(wǎng)絡(luò)惡意代碼與計算機(jī)病毒防治：病毒對于計算機(jī)來說是個永恒的話題，就像人會感染病菌而生病一樣，計算機(jī)也會感染病毒而導(dǎo)致異常，同時有些病毒的爆發(fā)還會導(dǎo)致計算機(jī)網(wǎng)絡(luò)癱瘓、重要數(shù)據(jù)丟失等后果，XXX機(jī)關(guān)充分考慮到這一問題，配備了網(wǎng)絡(luò)版殺毒軟件，系統(tǒng)內(nèi)的關(guān)鍵入口點以及各用戶終端、服務(wù)器和移動計算機(jī)設(shè)備設(shè)置了防護(hù)措施，保證惡意代碼與計算機(jī)病毒不會通過網(wǎng)絡(luò)途徑傳播進(jìn)入涉密網(wǎng)，同時也確保移動存儲設(shè)備介入涉密網(wǎng)后，不會感染

25、涉密網(wǎng)絡(luò)。同時還制定了殺毒軟件升級的手段，基本滿足保密標(biāo)準(zhǔn)要求。網(wǎng)絡(luò)安全審計：目前網(wǎng)絡(luò)安全問題大多數(shù)出現(xiàn)在內(nèi)部網(wǎng)絡(luò)，而XXX企業(yè)涉密信息系統(tǒng)的建設(shè)卻缺少這種安全防護(hù)和審計手段，因此為了保證內(nèi)部網(wǎng)絡(luò)安全，需要配置安全審計系統(tǒng)，對公共資源操作進(jìn)行審計控制，了解計算機(jī)的局域網(wǎng)內(nèi)部單臺計算機(jī)網(wǎng)絡(luò)的連接情況，對計算機(jī)局域網(wǎng)內(nèi)網(wǎng)絡(luò)數(shù)據(jù)的采集、分析、存儲備案。通過實時審計網(wǎng)絡(luò)數(shù)據(jù)流，根據(jù)用戶設(shè)定的安全控制策略，對受控對象的活動進(jìn)行審計。安全漏洞掃描：解決網(wǎng)絡(luò)層安全問題，首先要清楚網(wǎng)絡(luò)中存在哪些隱患、脆弱點。面對大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況，依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗尋找安全漏洞、做出風(fēng)險評估，顯然是不現(xiàn)

26、實的。解決的方案是，尋找一種能掃描網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全掃描工具。所以本項目中需要配置安全漏洞掃描系統(tǒng)。信息傳輸密碼保護(hù)：加密傳輸是網(wǎng)絡(luò)安全重要手段之一。信息的泄露很多都是在鏈路上被搭線竊取，數(shù)據(jù)也可能因為在鏈路上被截獲、被篡改后傳輸給對方，造成數(shù)據(jù)真實性、完整性得不到保證。如果利用加密設(shè)備對傳輸數(shù)據(jù)進(jìn)行加密，使得在網(wǎng)上傳的數(shù)據(jù)以密文傳輸，因為數(shù)據(jù)是密文。所以即使在傳輸過程中被截獲，入侵者也讀不懂，而且加密機(jī)還能通過先進(jìn)性技術(shù)手段對數(shù)據(jù)傳輸過程中的完整性、真實性進(jìn)行鑒別。可以保證數(shù)據(jù)的保密性、完整性及可靠性。XXX機(jī)關(guān)對異地數(shù)據(jù)傳輸進(jìn)行加密，在區(qū)縣院設(shè)置加密卡完成傳數(shù)據(jù)局的

27、保密。網(wǎng)絡(luò)接口控制：在BMB17標(biāo)準(zhǔn)中明確規(guī)定，對系統(tǒng)中網(wǎng)絡(luò)設(shè)備暫不使用的所有之一要求的，需要套管理軟件對系統(tǒng)的USB、串口并口、1394、Modem、網(wǎng)卡、軟驅(qū)、光驅(qū)、紅外線等設(shè)備端口進(jìn)行控制，已滿足保密標(biāo)準(zhǔn)的要求。網(wǎng)絡(luò)連接口采取安全控制措施，防止被非授權(quán)使用所以僅靠管理制度是難以滿足電磁泄漏發(fā)射防護(hù)：計算機(jī)系統(tǒng)在工作時，系統(tǒng)的顯示屏、機(jī)殼縫隙、鍵盤、連接電纜和接口等處會發(fā)生信息的電磁泄漏，泄漏方式為線路傳導(dǎo)發(fā)射和空間輻射。利用計算機(jī)設(shè)備的電源泄漏竊取機(jī)密信息是國內(nèi)外情報機(jī)關(guān)截獲信息的重要途徑，因為用高靈敏度的儀器截獲計算機(jī)及外部設(shè)備中泄漏的信息，比用其他方法獲得情報要準(zhǔn)確、可靠、及時、連續(xù)

28、的多，而且隱蔽性好，不易被對方察覺，因此防電磁泄漏是信息安全的一個重要環(huán)節(jié)。XXXXXX企業(yè)對電磁泄漏發(fā)射防護(hù)缺少技術(shù)保護(hù)手段，不滿足保密標(biāo)準(zhǔn)要求，存在隱患，所以需要通過電磁泄漏防護(hù)措施，如：配置線路傳到干擾器，配置屏蔽機(jī)柜，配置低輻射設(shè)備（紅黑隔離插座）、干擾器（視頻干擾器），有效抵抗泄漏信息在空間擴(kuò)散被截獲對信息機(jī)密行的威脅。備份與恢復(fù)：是涉密網(wǎng)建設(shè)的重要組成部分，一旦出現(xiàn)數(shù)據(jù)丟失或網(wǎng)絡(luò)設(shè)備癱瘓所造成的損失是無法估量的。在涉密網(wǎng)建設(shè)中備份與恢復(fù)可以分為兩方面的內(nèi)容，一是對涉密數(shù)據(jù)及關(guān)鍵業(yè)務(wù)數(shù)據(jù)的備份?？梢酝ㄟ^在線備份、離線備份、異地備份等形式完成?，F(xiàn)在常用的是通過磁盤鏡像、磁帶機(jī)備份、刻錄

29、光盤等方式備份。二是對關(guān)鍵設(shè)備的備份與恢復(fù)，可以采用雙機(jī)熱備的形式進(jìn)行防護(hù)，并制定詳細(xì)的恢復(fù)方案和計劃。4.1.3 主機(jī)安全目前XXX企業(yè)內(nèi)網(wǎng)終端的安全保密建設(shè)只是安裝有防病毒軟件的客戶端程序,對主機(jī)安全的需求還有：（1）需要部署國產(chǎn)防病毒軟件客戶端程序，并及時、統(tǒng)一升級病毒庫，防止惡意代碼影響計算機(jī)正常運(yùn)行；(2)需要部署保密管理系統(tǒng)，對終端外設(shè)及接口進(jìn)行控制，對用戶敏感操作行為進(jìn)行審計，對移動存儲介質(zhì)的使用授權(quán)和管理，對可能發(fā)生的違規(guī)外聯(lián)行為進(jìn)行阻斷和報警，阻止與工作無關(guān)的應(yīng)用程序的運(yùn)行。(3)需要及時升級操作系統(tǒng)、數(shù)據(jù)庫補(bǔ)丁，防止由于系統(tǒng)漏洞造成涉密信息失泄密；(4)加強(qiáng)主機(jī)開機(jī)、系統(tǒng)登

30、陸、遠(yuǎn)程管理等操作的身份鑒別機(jī)制，根據(jù)標(biāo)準(zhǔn)要求執(zhí)行密碼設(shè)置或采取更為有效的身份鑒別措施；(5)需要安裝視頻信息保護(hù)機(jī)，防止終端顯示器設(shè)備電磁發(fā)射泄漏導(dǎo)致的失泄密風(fēng)險；(6)需要安裝紅黑電源隔離插座，有效隔離紅黑設(shè)備的供電電源，防止電源線傳導(dǎo)泄漏導(dǎo)致的失泄密風(fēng)險。4.1.4 介質(zhì)安全介質(zhì)標(biāo)識：對硬盤、軟盤、光盤、磁帶、USB盤等涉密信息存儲介質(zhì)根據(jù)其所處理信息的最高密級進(jìn)行標(biāo)識；涉密信息存儲介質(zhì)的密級標(biāo)識不易被涂改、損壞和丟失。介質(zhì)的收發(fā)和傳遞：制定介質(zhì)收發(fā)的管理制度，制定規(guī)定對涉密信息存儲介質(zhì)履行清點、等級、編號等手續(xù)的相關(guān)容；制定介質(zhì)收發(fā)記錄，記錄包括介質(zhì)名稱、用途、發(fā)送時間、發(fā)送單位、發(fā)送

31、人員、接收時間、接收單位、接收人員等相關(guān)內(nèi)容；制定介質(zhì)傳遞的管理制度，制度規(guī)定對涉密信息存儲介質(zhì)傳遞時的封裝、標(biāo)識、指派專人專車或者通過機(jī)要交通、機(jī)要通信、機(jī)要方法等方法進(jìn)行傳遞的相關(guān)內(nèi)容；制定介質(zhì)傳遞記錄，記錄包括介質(zhì)名稱、用途、時間、傳遞人員和傳遞方式等相關(guān)內(nèi)容、介質(zhì)的使用：制定介質(zhì)使用管理制度，規(guī)定涉密介質(zhì)按照規(guī)定不應(yīng)在非涉密信息系統(tǒng)內(nèi)使用，較高密級信息存儲介質(zhì)不應(yīng)在較低密級系統(tǒng)中使用，較高機(jī)密信息存儲介質(zhì)用于存儲較低密級的信息時應(yīng)仍按原有密級進(jìn)行管理。對報廢處理的涉密信息存儲介質(zhì)在非涉密信息系統(tǒng)內(nèi)重新使用或利用前，應(yīng)進(jìn)行信息消除處理，信息消除時所采用的信息消除技術(shù)、設(shè)備和措施應(yīng)符合國家

32、保密工作部門的相關(guān)規(guī)定；攜帶處理涉密信息的設(shè)備外出或出境時，應(yīng)按照相關(guān)保密規(guī)定采取保護(hù)措施，并辦理相關(guān)手續(xù)，此外還應(yīng)使用涉密信息存儲介質(zhì)始終處于攜帶人的有效控制之下；涉密信息存儲介質(zhì)的復(fù)制及制作應(yīng)在本機(jī)關(guān)、單位內(nèi)部或保密工作部門審查批準(zhǔn)的單位進(jìn)行，并標(biāo)明涉密和保密期限，注明發(fā)放范圍及制作數(shù)量，編排順序號。復(fù)制、制作過程中形成的不需要歸檔的涉密材料，應(yīng)及時銷毀等相關(guān)內(nèi)容；制定介質(zhì)使用記錄，記錄包括介質(zhì)的制作與復(fù)制、外出或處境和信息消除等相關(guān)內(nèi)容；采用涉密介質(zhì)安全管控與違規(guī)外聯(lián)預(yù)警系統(tǒng)，使用授權(quán)管理中心進(jìn)行授權(quán)使用，并對用戶終端使用中斷控制程序限制USB接口的使用，增強(qiáng)介質(zhì)使用的安全性。介質(zhì)保存：

33、介質(zhì)存放于公司保密辦的保密柜中；制定介質(zhì)保存的管理制度，制定規(guī)定相關(guān)責(zé)任部門應(yīng)定期對當(dāng)年所存涉密信息存儲介質(zhì)進(jìn)行清查、核對，發(fā)現(xiàn)問題及時向保密工作部門報告內(nèi)容；制定介質(zhì)保存記錄，記錄包括介質(zhì)清查與核對的時間、人員等內(nèi)容。介質(zhì)維修：制定介質(zhì)維修的管理制度，制度規(guī)定必須本單位專業(yè)人員全程參與現(xiàn)場維修，需要外修時必須按照國家有關(guān)規(guī)定到具有涉密信息系統(tǒng)數(shù)據(jù)恢復(fù)資質(zhì)的維修點進(jìn)行維修等內(nèi)容、制定介質(zhì)維修記錄，記錄包括介質(zhì)名稱、維修人員、陪同人員、維修時間、故障原因、排除方法、主要維修過程及維修結(jié)果等內(nèi)容備維修單位和維修人員簽訂安全保密協(xié)議介質(zhì)報廢：制定介質(zhì)報廢的管理制度，制定規(guī)定不再使用或無法使用的涉密信

34、息存儲介質(zhì)在進(jìn)行報廢處理前，應(yīng)進(jìn)行信息消除處理，信息消除處理時應(yīng)按照國家保密部門的有關(guān)規(guī)定，采取符合國家保密工作部門的有關(guān)規(guī)定的信息消除技術(shù)、設(shè)備和措施，并做好涉密介質(zhì)報廢批準(zhǔn)、清點、登記等手續(xù)的內(nèi)容；制定介質(zhì)報廢記錄，記錄包括設(shè)備名稱、審批人員、報廢時間和最終去向。以上針對介質(zhì)安全管理是通過制度進(jìn)行規(guī)范的，但僅靠管理制度是難以真正實現(xiàn)對介質(zhì)安全的管理要求，必須技管并舉，以技促管”。例如：通過制度難以實現(xiàn)一下需求控制：無法有效區(qū)分可信介質(zhì)與非可信介質(zhì)；無法實現(xiàn)有效接入控制；無法確保存儲在移動介質(zhì)中的保密信息與國際互聯(lián)網(wǎng)物理隔離等。所以需要一套完善的介質(zhì)管理系統(tǒng)來解決這些制度無法控制的隱患。4.

35、1.5 數(shù)據(jù)與應(yīng)用安全數(shù)據(jù)與應(yīng)用安全是XXX機(jī)關(guān)涉密信息系統(tǒng)建設(shè)的重要內(nèi)容，通過建立統(tǒng)一的網(wǎng)絡(luò)信任和授權(quán)管理體系，創(chuàng)建一體化的身份認(rèn)證、訪問控制及責(zé)任認(rèn)證平臺，為所有的應(yīng)用系統(tǒng)提供統(tǒng)一的身份認(rèn)證和訪問控制服務(wù)，并可對事故責(zé)任進(jìn)行追查：1 .建立全網(wǎng)統(tǒng)一的身份認(rèn)證機(jī)制，每個用戶擁有唯一身份標(biāo)識的數(shù)字證書；2 .建立訪問控制機(jī)制，確保僅擁有數(shù)字證書的合法用戶能通過授權(quán)訪問應(yīng)用系統(tǒng)；3 .在應(yīng)用系統(tǒng)中，分配每個用戶權(quán)限，限定用戶的操作范圍，通過數(shù)字簽名功能，防止抵賴行為，保證數(shù)據(jù)的完整性；4 .對用戶通過訪問控制系統(tǒng)的訪問進(jìn)行審計；5 .通過密級標(biāo)識手段，保證信息主體與密級標(biāo)識的不可分離，為信息流向

36、、訪問控制提供依據(jù)；6 .對關(guān)鍵業(yè)務(wù)系統(tǒng)采用雙機(jī)熱備，對關(guān)鍵業(yè)務(wù)數(shù)據(jù)采取異地容災(zāi)的方式保證數(shù)據(jù)及應(yīng)用安全。4.2管理需求分析4.2.1 人員管理人員管理包括內(nèi)部工作人員管理和外部相關(guān)人員管理。內(nèi)部工作人員管理包括本單位正式編制人員、聘用人員（工勤、服務(wù)人員）等人員錄用、崗位職責(zé)、保密協(xié)議簽訂、教育培訓(xùn)、保密監(jiān)控、人員獎懲和人員離崗離職的管理；外部相關(guān)人員管理包括內(nèi)部工作人員之外的其他人員（特別是境外人員）以及設(shè)備（特別是進(jìn)出口設(shè)備）的維修服務(wù)人員等外來的保密要求知會、安全控制區(qū)域隔離、攜帶物品限制和旁站陪同控制。4.2.2 物理環(huán)境與設(shè)備管理1 .從物理安全需求來分析，物理環(huán)境的安全是整個涉密

37、網(wǎng)絡(luò)安全得以保障的前提；2 .要保護(hù)網(wǎng)絡(luò)設(shè)備、設(shè)施、介質(zhì)和信息免受自然災(zāi)害、環(huán)境事故以及人為物理操作失誤或錯誤及各種物理手段進(jìn)行違法犯罪行為導(dǎo)致的破壞、丟失；3 .涉密網(wǎng)絡(luò)必須要具備環(huán)境安全、設(shè)備安全和介質(zhì)安全等物理支撐環(huán)境，切實保障實體的安全；4 .確保系統(tǒng)內(nèi)的環(huán)境安全，設(shè)備的物理安全，機(jī)房和配線間的環(huán)境安全，防止設(shè)備被盜、被破壞；5 .保證涉密網(wǎng)絡(luò)與非涉密網(wǎng)絡(luò)的物理隔離；6 .防止設(shè)備產(chǎn)生的電磁信息通過空間輻射和傳導(dǎo)泄漏7 .保障涉密介質(zhì)在使用、保存、維護(hù)方面的安全。4.2.3 運(yùn)行與開發(fā)管理1 .系統(tǒng)必須保證內(nèi)部網(wǎng)絡(luò)的持續(xù)有效的運(yùn)行，防止對內(nèi)部網(wǎng)絡(luò)設(shè)施的入侵和攻擊、防止通過消耗帶寬等方式

38、破壞網(wǎng)絡(luò)的可用性；2 .網(wǎng)絡(luò)安全系統(tǒng)應(yīng)保證內(nèi)網(wǎng)機(jī)密信息在存儲于傳輸時保密性；3 .對關(guān)鍵網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)的訪問必須得到有效地控制，這要求系統(tǒng)能夠可靠確認(rèn)訪問者的身份，謹(jǐn)慎授權(quán)，并對任何訪問進(jìn)行跟蹤記錄；4 .對于網(wǎng)絡(luò)安全系統(tǒng)應(yīng)具備審記和日志功能，對相關(guān)重要操作提供可靠而方便的可管理和維護(hù)功能；5 .確保涉密信息系統(tǒng)的服務(wù)器系統(tǒng)、終端在全方位、多層次的進(jìn)行安全配置和安全加固；6 .建立覆蓋全網(wǎng)的補(bǔ)丁集中管理機(jī)制，對操作系統(tǒng)進(jìn)行及時的補(bǔ)丁分發(fā)、安裝，保證操作系統(tǒng)處于最有狀態(tài)，進(jìn)而確保系統(tǒng)處于最佳使用狀態(tài)；7 .確保接入涉密網(wǎng)服務(wù)器的安全，對應(yīng)用服務(wù)器進(jìn)行內(nèi)核加固，對后端和管理服務(wù)器進(jìn)行安全加固，以

39、抵御針對操作系統(tǒng)的攻擊行為，保證其發(fā)布信息的真實性和可靠性；8 .對應(yīng)用系統(tǒng)的數(shù)據(jù)庫進(jìn)行安全加固，防止針對數(shù)據(jù)庫的攻擊行為；9 .對客戶端加強(qiáng)終端安全管理，對登錄用戶實行雙因素身份認(rèn)證，杜絕客戶端的非授權(quán)操作，確保存儲在終端設(shè)備中的工作信息和敏感信息的安全，使其不被非法篡改和破壞；10 .針對防病毒危害性極大并且傳播極為迅速，配備從客戶端到服務(wù)器的整套防病毒軟件，實現(xiàn)全網(wǎng)的病毒安全防護(hù)；11 .對系統(tǒng)內(nèi)終端用戶的非授權(quán)外聯(lián)行為采用技術(shù)手段進(jìn)行檢查和阻斷；12 .建立涉密移動存儲介質(zhì)集中的統(tǒng)一管理機(jī)制，并采用具體安全防護(hù)措施的涉密介質(zhì)，防止數(shù)據(jù)通過介質(zhì)方式泄露；13 .確保數(shù)據(jù)庫中所存儲的信息在

40、遭到破壞時能得到及時的恢復(fù)。4.2.4 設(shè)備與介質(zhì)管理1 .須指定專人負(fù)責(zé)管理涉密存儲介質(zhì)，定期清理、回收、檢查并掌握其使用情況，確保涉密信息的安全保密；2 .涉密存儲介質(zhì)的管理實行誰主管、誰負(fù)責(zé)”的原則；3 .涉密存儲介質(zhì)在使用和管理中要嚴(yán)格登記、集中管理、專人負(fù)責(zé)；4 .軟盤、U盤等移動存儲介質(zhì)要在顯著位置上貼上標(biāo)條，標(biāo)志條上要有統(tǒng)一編碼，密級標(biāo)識，要有登記；5 .涉密存儲介質(zhì)只能用來存儲涉密信息，非涉密存儲介質(zhì)只能來存儲非涉密信息；6 .涉密存儲介質(zhì)應(yīng)按存儲信息的最高密級標(biāo)注密級，并按相同密級的載體管理；7 .禁止將涉密存儲介質(zhì)接入互聯(lián)網(wǎng)；8 .嚴(yán)格限制互聯(lián)網(wǎng)將數(shù)據(jù)拷貝到涉密信息設(shè)備和涉

41、密信息系統(tǒng)；確因工作需要，經(jīng)審查批準(zhǔn)后，應(yīng)使用非涉密移動存儲介質(zhì)進(jìn)行拷貝，通過先對其進(jìn)行查殺病毒后，再進(jìn)行數(shù)據(jù)交換；9 .嚴(yán)禁將私人具有存儲功能的介質(zhì)和電子設(shè)備帶入要害部門、部位和涉密場所；10 .涉密移動存儲介質(zhì)只能在涉密場所使用，嚴(yán)禁借給外部使用。確因工作需要帶出辦公場所的，秘密級的經(jīng)本部門主管領(lǐng)導(dǎo)批準(zhǔn)，機(jī)密級以上的須經(jīng)本單位主管領(lǐng)導(dǎo)批準(zhǔn)后，信息安全員將對介質(zhì)進(jìn)行清空處理，確保介質(zhì)內(nèi)只存有與本次外出相關(guān)的涉密信息，采取嚴(yán)格的保密措施。歸還時，信息安全員還應(yīng)執(zhí)行信息消除處理；11 .涉密存儲介質(zhì)保存必須選擇安全保密的場所和部位，并由專人保管、存放在保密密碼柜里；12 .員工離開辦公場所時，必

42、須將涉密存儲介質(zhì)存放到保密設(shè)備里；13 .對涉密介質(zhì)需要維修時，應(yīng)提出申請，有信息中心派專人進(jìn)行現(xiàn)場維修，并有使用單位相關(guān)人員全程陪同，做好維修日志；14 .存儲過國家秘密信息的存儲介質(zhì)，不能降低密集使用，不再使用或損壞的涉密存儲介質(zhì)辦理報廢審批手續(xù)，及時交信息中心進(jìn)行確定，維修和銷毀由保密辦統(tǒng)一到國家保密局制定的地點進(jìn)行銷毀，或采用符合保密要求的物理、化學(xué)方式徹底銷毀，銷毀應(yīng)確保涉密信息無法還原；15 .對涉密存儲介質(zhì)要定期清查、核對，發(fā)現(xiàn)丟失要及時查處。4.2.5 信息保密管理信息保密管理應(yīng)從信息分類與控制、用戶管理與授權(quán)和信息系統(tǒng)安全互聯(lián)控制三個方面來進(jìn)行分析。信息分類與控制：應(yīng)根據(jù)國家

43、相關(guān)法律、規(guī)定，確定系統(tǒng)中涉密信息的密級和保密期限，定期對其中含有的涉密信息的總量進(jìn)行匯總，當(dāng)系統(tǒng)中高等級涉密信息含量明顯增多時應(yīng)考慮調(diào)整系統(tǒng)防護(hù)措施。系統(tǒng)中存在過的信息及其存儲介質(zhì)應(yīng)有相應(yīng)的密級標(biāo)識，電子文件密級標(biāo)識應(yīng)由信息主題不可分離，密級標(biāo)識不可篡改。用戶標(biāo)識與授權(quán)：應(yīng)建立完整的系統(tǒng)用戶清單，新增或刪除用戶時應(yīng)履行相應(yīng)的手續(xù)。每個用戶應(yīng)有唯一的身份標(biāo)識，表示有系統(tǒng)管理員產(chǎn)生，有保密管理員定期檢查，如有異常及時向系統(tǒng)安全保密管理機(jī)構(gòu)匯報。應(yīng)有明確的最小授權(quán)分配策略，并將所有用戶的權(quán)限明細(xì)文檔化，應(yīng)定期審查權(quán)限列表，如有異常及時向系統(tǒng)安全保密管理機(jī)構(gòu)匯報。信息系統(tǒng)互聯(lián)：應(yīng)注意不同密級信息系統(tǒng)

44、之間以及涉密系統(tǒng)與非涉密系統(tǒng)之間的互聯(lián)互通。第五章方案總體設(shè)計5.1 安全保密建設(shè)目標(biāo)XXX企業(yè)涉密信息系統(tǒng)安全保密建設(shè)的總體目標(biāo)是：嚴(yán)格參照國家相關(guān)安全保密標(biāo)準(zhǔn)和法規(guī)，將XXX企業(yè)信息系統(tǒng)建設(shè)成符合國家相關(guān)法規(guī)和標(biāo)準(zhǔn)要求的涉密信息系統(tǒng)，使之能夠處理相對應(yīng)密級的信息，為XXX企業(yè)信息化應(yīng)用提供安全保密平臺，使其能夠安全地接入全國XXX機(jī)關(guān)涉密信息系統(tǒng)。具體建設(shè)目標(biāo)如下：1 .具有抵御敵對勢力有組織的大規(guī)模攻擊的能力；2 .抵抗嚴(yán)重的自然災(zāi)害的能力；3 .建立統(tǒng)一的安全管理平臺，實現(xiàn)對全網(wǎng)設(shè)備的安全管理；4 .確保合法用戶使用合法網(wǎng)絡(luò)資源，實現(xiàn)對用戶的認(rèn)證和權(quán)限管理；5 .防范計算機(jī)病毒和惡意代

45、碼危害的能力；6 .具有檢測、發(fā)現(xiàn)、報警、記錄入侵行為的能力；7 .具有與各種應(yīng)用系統(tǒng)相適應(yīng)的業(yè)務(wù)安全保護(hù)機(jī)制，確保數(shù)據(jù)在存儲、傳輸過程中的完整性和敏感數(shù)據(jù)的機(jī)密性；8 .具有對安全事件進(jìn)行快速響應(yīng)處置，并能夠追蹤安全責(zé)任的能力；9 .在系統(tǒng)遭到損害后，具有能夠較快恢復(fù)正常運(yùn)行狀態(tài)的能力；10 .對于服務(wù)保障性要求高的系統(tǒng)，應(yīng)能迅速恢復(fù)正常運(yùn)行狀態(tài)；11 .建立有效的安全管理機(jī)制，并與之配套的風(fēng)險分析與安全評估機(jī)制、設(shè)備和人員管理制度、敏感信息管理制度、安全操作規(guī)程等。5.2 設(shè)計原則與依據(jù)5.2.1 設(shè)計原則根據(jù)安全保密建設(shè)目標(biāo)，XXX機(jī)關(guān)涉密信息系統(tǒng)分級保護(hù)總體方案的設(shè)計應(yīng)遵從規(guī)范定密、準(zhǔn)

46、確定級，依據(jù)標(biāo)準(zhǔn)、同步建設(shè)，突出重點、確保核心，明確責(zé)任、加強(qiáng)監(jiān)督”的原則。同時，還應(yīng)兼顧：1 .分域分級防護(hù)：涉密信息系統(tǒng)應(yīng)根據(jù)信息密級、行政級別等劃分不同的安全域并確定等級，按照相應(yīng)等級的保護(hù)要求進(jìn)行防護(hù)；2 .技術(shù)和管理并重：涉密信息系統(tǒng)分級保護(hù)時應(yīng)采取技術(shù)和管理相結(jié)合的、整體的安全保密措施；3 .最小授權(quán)與分權(quán)管理：涉密信息系統(tǒng)內(nèi)用戶的權(quán)限應(yīng)配置為確保其完成工作所必需的最小授權(quán)，網(wǎng)絡(luò)中的帳號設(shè)置、服務(wù)配置、主機(jī)間信任關(guān)系配置等應(yīng)該為網(wǎng)絡(luò)正常運(yùn)行所需的最小授權(quán)，并使不同用戶的權(quán)限相互獨立、相互制約，避免出現(xiàn)權(quán)限過大的用戶或帳號。5.2.2 設(shè)計依據(jù)1 .法規(guī)和文件中華XXX共和國保守國家

47、秘密法（1989年5月1日實施）中華XXX共和國保守國家秘密法實施辦法（1990年5月25日國家保密局令第1號發(fā)布）國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見（中辦發(fā)200327號）關(guān)于信息安全等級保護(hù)工作的實施意見（公通字200466號）中共中央保密委員會辦公室、國家保密局關(guān)于保密要害部門、部位保密管理規(guī)定（中辦廳字20051號）關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知（公信安2007861號）及國家秘密的信息系統(tǒng)分級保護(hù)管理辦法倜保發(fā)200516號）關(guān)于開展涉密信息系統(tǒng)分級保護(hù)工作的通知倜保發(fā)20069號）<#及國家秘密的信息系統(tǒng)審批管理規(guī)定（國保發(fā)200718號）及

48、國家秘密的計算機(jī)信息系統(tǒng)集成資質(zhì)管理辦法倜保發(fā)2005）信息安全等級保護(hù)管理辦法公通字200743號）2 .標(biāo)準(zhǔn)規(guī)范BMB17-2006杪及國家秘密的信息系統(tǒng)分級保護(hù)技術(shù)要求BMB18-2006<#及國家秘密的信息系統(tǒng)工程監(jiān)理規(guī)范BMB20-2007杪及國家秘密的信息系統(tǒng)分級保護(hù)管理規(guī)范BMB22-2007杪及國家秘密的信息系統(tǒng)分級保護(hù)測評指南BMB23-2008杪及國家秘密的信息系統(tǒng)分級保護(hù)方案設(shè)計指南5.3 安全保密防護(hù)整體框架在建設(shè)本方案中，根據(jù)BMB17-2006和BMB20-2007的具體規(guī)定，在滿足物理隔離與違規(guī)外聯(lián)監(jiān)控、邊界防護(hù)與控制、密級標(biāo)識與密碼保護(hù)、用戶身份鑒別與訪問

49、控制、電磁泄漏發(fā)射防護(hù)、安全保密產(chǎn)品選擇、安全保密管理機(jī)構(gòu)、安全保密管理制度和安全管理人員等基本測評項的基礎(chǔ)上，從物理安全、運(yùn)行安全、信息安全保密、安全保密管理、產(chǎn)品選型與安全服務(wù)等方面，設(shè)計涉密信息系統(tǒng)的安全保密防護(hù)框架，如圖5-1示圖5-1涉密信息系統(tǒng)安全保密防護(hù)框架第六章方案詳細(xì)設(shè)計6.1 物理安全6.1.1 環(huán)境安全1 .重要涉密部位和機(jī)房選址XXX企業(yè)都具有獨立的辦公場所，重要涉密部位和機(jī)房均在辦公室內(nèi)部，附近基本沒有境外駐華機(jī)構(gòu)、境外人員駐地等涉外場所，并且整個辦公區(qū)采用封閉式管理。機(jī)房選址基本滿足GB9361-1988中的安全機(jī)房場地選擇要求。并對重要涉密部位在防竊聽、防竊照、防

50、竊收、防實體入侵、防非授權(quán)進(jìn)入等方面均有相關(guān)防護(hù)措施。各級XXX企業(yè)涉密信息系統(tǒng)里沒有無線技術(shù)與無線設(shè)備，所以其帶來的無線設(shè)備的信息泄漏問題不用考慮防護(hù)措施。1）機(jī)房建設(shè)對主機(jī)房及重要信息存儲部門來說：首先要保證中央地點的安全防范工作，如：對能夠進(jìn)入機(jī)房及重要信息存儲部門的工作人員進(jìn)行嚴(yán)格的控制；出入記錄；錄像監(jiān)控；窗戶加防護(hù)欄、門磁、紅外報警等。出入記錄可以采用目前先進(jìn)的IC卡技術(shù)等來實現(xiàn)，具有做到實時記錄，方便查詢等優(yōu)點。另外門磁、紅外報警等作為安全技術(shù)防范的輔助手段加以使用，并在重要區(qū)域使用線路干擾等設(shè)備防止信號外泄。由于本次項目中將XXX企業(yè)劃分為不同的安全等級，所以在機(jī)房建設(shè)時應(yīng)根據(jù)

51、BM17要求，并在防火、防水、防震、電力、布線、配電、溫濕度、防雷、防靜電等方面達(dá)到GB9361中B類機(jī)房建設(shè)要求；機(jī)密級、秘密級應(yīng)滿足GB50174.GB/T2887-2000的要求，并在防火、防水、防震、電力、布線、配電、溫濕度、防雷、防靜電等方面達(dá)到GB9361中B類機(jī)房建設(shè)要求。在各級XXX企業(yè)的機(jī)房內(nèi)設(shè)置屏蔽機(jī)柜。在滿足GB50174.GB/T2887-2000要求的基礎(chǔ)上，在防火、防水、防震、電力、布線、配電、溫濕度、防雷、防靜電等方面達(dá)到GB9361-1988中機(jī)房建設(shè)要求。(1)在機(jī)房所在的建筑物均配備有安全保衛(wèi)人員，實現(xiàn)人員進(jìn)出審查和巡邏；(2)機(jī)房選址遠(yuǎn)離餐飲、旅游、賓館等

52、人員復(fù)雜的公共場所；(3)機(jī)房的水、電、防雷、溫濕度等符合GB9361-1988中機(jī)房建設(shè)要求；(4)核心機(jī)房采用屏蔽機(jī)柜設(shè)計，防范機(jī)房環(huán)境的電磁泄漏；(5)機(jī)房均配備電子門控系統(tǒng)，進(jìn)出機(jī)房人員均需要口令和門禁卡；(6)各機(jī)房均配備了視頻監(jiān)控系統(tǒng)，實現(xiàn)6個月或者更長的錄像存儲；(7)各機(jī)房的電子門控和視頻監(jiān)控系統(tǒng)均記錄日常的門禁日志和健康錄像，從而滿足了機(jī)密級的涉密要求；(8)機(jī)房設(shè)計有紅外報警裝置；2)重點部位監(jiān)控和區(qū)域控制XXX企業(yè)保密要害部位包括領(lǐng)導(dǎo)及秘書辦公室、黨組會議室、檢委會會議室、機(jī)要室、機(jī)要機(jī)房、網(wǎng)絡(luò)中心機(jī)房、檔案室、文印室等。對這些重點部位采取安全措施如門控、報警等，對中心機(jī)

53、房、設(shè)備間以及涉密用戶工作間的人員出入情況進(jìn)行健康，并應(yīng)配備敬畏人員加強(qiáng)涉密信息系統(tǒng)所處周邊環(huán)境邊界的安全控制。(1)在這些重點部位部署有監(jiān)控、報警系統(tǒng)；(2)在整個辦公場所配有視頻監(jiān)視和警衛(wèi)人員巡視；在各個樓宇的出入口有視頻監(jiān)控和警衛(wèi)人員登記檢查；在主(3)在機(jī)房和重要涉密部門有視頻監(jiān)控、警衛(wèi)人員登記檢查和門禁控制要涉密系統(tǒng)所在的建筑物均配備有安全保衛(wèi)人員，實現(xiàn)人員進(jìn)出審查和巡邏；(4)工作區(qū)周圍通過紅外報警和視頻監(jiān)控進(jìn)行重點部位和區(qū)域進(jìn)行健康。2 .1.2設(shè)備安全1)門控措施中心機(jī)房、重要的設(shè)備間和其他保密要害部門，應(yīng)采用有效的電子門控措施；使用的電子門控系統(tǒng)應(yīng)能自動記錄出入日志。XXX企

54、業(yè)涉密信息系統(tǒng)機(jī)房和其他保密要害部門設(shè)計部署有門控系統(tǒng)、攝像監(jiān)控系統(tǒng)和紅外報警系統(tǒng)。門控系統(tǒng)使用智能卡和口令相結(jié)合的身份鑒別方式，在機(jī)房中通過門控系統(tǒng)對進(jìn)出機(jī)房的人員進(jìn)行控制和審計，進(jìn)出人員實行身份等級，對進(jìn)出人員進(jìn)行監(jiān)控。具體流程是日常工作中需要向機(jī)房管理部門進(jìn)行申請，才允許進(jìn)入機(jī)房，并在進(jìn)出機(jī)房時進(jìn)行登記。登記記錄長期保存，以備查詢。同時在機(jī)房中部署有攝像頭，對進(jìn)出機(jī)房人員和行為進(jìn)行了監(jiān)控。2)網(wǎng)絡(luò)、設(shè)備數(shù)據(jù)接口措施(1)網(wǎng)絡(luò)接口：對系統(tǒng)中網(wǎng)絡(luò)設(shè)備暫不使用的所有網(wǎng)絡(luò)連接口采用安全控制措施，防止被非授權(quán)使用；對系統(tǒng)中暫不使用的所有網(wǎng)絡(luò)連接口(包括用戶終端，服務(wù)器以及網(wǎng)絡(luò)設(shè)備多余接口)采用安全

55、控制措施，防止被非授權(quán)使用。(2)設(shè)備數(shù)據(jù)接口：對系統(tǒng)中重要服務(wù)器和重要用戶終端的并口、串口、USB接口等數(shù)據(jù)接口以及光驅(qū)等設(shè)備采取安全控制措施，防止被非授權(quán)使用。XXX企業(yè)涉密信息系統(tǒng)核心交換機(jī)為可網(wǎng)管的網(wǎng)絡(luò)設(shè)備，通過在交換機(jī)上采用IP+MAC+端口及證書綁定,防止網(wǎng)絡(luò)連接口被非法使用。不用的端口均進(jìn)行禁用設(shè)置；通過部署終端安全系統(tǒng)，對終端、服務(wù)器的各類接口和外設(shè)，如并口、串口、USB接口等數(shù)據(jù)接口以及光驅(qū)等設(shè)備，根據(jù)相關(guān)規(guī)定，進(jìn)行嚴(yán)格控制。通過部署相關(guān)安全設(shè)備，防止高密級設(shè)備在低密級的涉密信息系統(tǒng)(或安全域)中使用。3)打印、顯示輸出設(shè)備及設(shè)備的標(biāo)識、安放等安全措施(1)設(shè)備的標(biāo)識與安放：對系統(tǒng)內(nèi)的所有設(shè)備根據(jù)其所出來信息的最高密級表明涉密屬性和主要用途，并按涉密屬性(非涉密，秘密級，機(jī)密級)進(jìn)行分類安放。(2)打印輸出設(shè)備：加強(qiáng)對打印機(jī)等系統(tǒng)輸