涉密信息系统分级保护项目
实 施 方 案
XXXXXX有限公司 2014年12月
一、概述
1.1 项目背景
信息技术的飞速发展正将人类推向全球化、网络化新时代。社会信息化、数字化改变了人们的生活、生产方式,深刻影响着国际政治经济关系,有力地推动了世界经济贸易发展。但是,随着我国国民经济和社会化信息化建设进程全面加快的同时,网络信息系统安全保密性保障问题得到了各级领导和各级政府及有关部门的重视。
党中央、国务院对加强检察机关信息化建设非常重视,近年来,国家有关部门也按照中央指示精神,采取多种措施支持检察机关信息化建设。根据国家信息安全分级保护的总体部署,高检院下发了《关于开展检察机关涉密信息系统分级保护工作的通知》(高检发办【2008】30号)及相关文件规定,明确指出全国各级检察机关连接检察专线网的信息系统(包括各级检察院分支网络信息系统,下同)均为涉密信息系统,要求各级检察院必须按照分级保护管理办法、标准和规划,对涉密信息系统根据处理信息的最高密级(密级、机密及绝密)划分等级实施保护,各级保密行政管理部门将根据涉密信息系统的保护等级实施监督管理,确保系统和信息安全。
XXXXXX(后文简称XXXXXX)作为国家的法律监督机关,为了贯彻落实高检院及国家保密局有关文件精神,将按照分级保护管理办法、标准和规划的要求,对本院涉密信息系统进行建设,加强安全防护,保护涉密信息的安全。
1.2 建设范围
本次XXXXXX涉密信息系统分级保护项目建设范围为XXXXX综合大楼(共7层)。
Page 2 of 17
1.3 建设目标
XXXXXX涉密信息系统分级保护建设的总体目标是:严格按照国家相关安全保密标准和法规,将XXXXXX涉密信息系统建设成符合国家相关法规和标准要求的涉密信息系统,使XXXXXXX涉密信息系统具备安全防护能力、隐患发现能力、应急反应能力和审计追踪能力等,保证XXXXX涉密信息系统中涉密信息的保密性、完整性、可用性和可控性等,确保XXXXX涉密信息系统符合BMB17-2006和BMB20-2007等的要求,使之能够处理相对应密级的信息,为单位日常政务处理、与市院传递政务信息提供安全可靠的信息化基础平台。
涉密信息系统建设完成后应达到如下安全防护能力: 1. 具有抵御敌对势力有组织的大规模攻击的能力; 2. 防范计算机病毒和恶意代码危害的能力; 3. 具有检测、发现、报警、记录入侵行为的能力;
4. 具有对安全事件进行快速响应处置,并能够追踪安全责任的能力; 5. 在系统遭到损害后,具有能够较快恢复正常运行状态的能力; 6. 对于服务保障性要求高的系统,应能迅速恢复正常运行状态; 7. 具有对系统资源、用户、安全机制等进行集中控管的能力。
Page 3 of 17
二、实施前准备
2.1 设备供货
货到后,由我公司负责将货物运送到用户指定地点,并由建设方、承建方人员共同开箱验货。检查器件是否齐全,设备有无缺损、表面有无损伤等。确认货物正常后,由建设方、承建方共同签署货物进场报验表。
2.2 实施环境前期准备
2.2.1物理环境
设备安装前必须保证物理安装环境合格,中心机房必须装修完毕,电源、线缆布放到位,机柜安装到位。 2.2.2设备安装环境
终端计算机操作系统安装完成且可以正常使用,违规涉密资料已清理完毕。中心机房和各楼层配线间机柜预留空间充足。 2.2.3系统配置和客户端电脑需求
必须事先规划好系统配置需求,包括网络设备,应用服务器,客户端,操作规章制度等方面。如IP地址规划和VLAN划分、网络安全控制策略,服务器操作系统,服务器主机名和ip地址确定,AD域名,域帐号花名册,软件应用服务器在硬件服务器上的安装规划、客户端电脑操作系统安装,客户端电脑资料清理等。 2.2.4 测试环境
在正式安装前期,需对网络及服务器设备进行测试,测试需要建立一个小型局域网用于试验。包括一台服务器,若干网线、1个交换机和至少一台终端。(测试若只需一台终端时则可以使用服务器与终端PC机直连的模式进行)。
Page 4 of 17
三、设备安装调试
本次设备安装调试分三个阶段,第一阶段为网络设备安装配置,第二阶段为应用服务器安装配置,第三阶段为终端设备安装。项目实施阶段首先实施网络设备安装配置,当网络设备安装调试完成后,再进行应用服务器安装和配置。
3.1 网络设备安装
网络设备分为硬件和软件,在网络设备安装中,首先安装网络硬件设备。在保证网络连通性的条件下再安装软件产品。网络硬件设备安装顺序如下: 3.1.1 防火墙
安装步骤:
首先,确定防火墙安装的机柜安装位置。 第二,设备上架、安装,连线。
第三,加电测试,并做相应配置。(提前规划好网络结构、IP划分。) 防火墙系统由防火墙管理/日志服务器和防火墙硬件组成,其部署方式如下:
防火墙管理/日志服务器部署在中心机房屏蔽机柜内,位于机密级安全管
理区;
防火墙部署在中心机房位于机密级安全管理区、机密级应用服务器区与
机密级用户终端区之间。 部署效果
在XXXXXXX涉密网部署了防火墙后,能满足BMB17-2006中对机密级信息系统的“边界安全防护”中对边界的“访问控制”的机密级要求。 3.1.2主机监控与审计
安装步骤:
首先,确定主机监控与审计的机柜安装位置。 第二,设备上架、安装,连线。
第三,加电测试,并做相应配置。(提前规划好网络结构、IP划分。) 主机监控与审计系统由监控管理中心和客户端代理组成,其部署方式如下:
Page 5 of 17
监控管理中心部署在中心机房屏蔽机柜内,位于机密级安全管理区; 客户端代理部署在所有Windows计算机和服务器上。 部署效果
在XXXXXX涉密网部署主机监控与审计系统后,满足BMB17-2006对机密级信息系统的“设备数据接口”、“设备接入控制”、 “操作系统安全”和“数据库安全”、“信息输出操作监控”的机密级要求,如下所示:
能对系统中服务器和用户终端的的并口、串口、USB接口等数据接口以
及软驱、光驱等设备进行监控,防止被非授权使用;
能对接入的设备进行管理,控制违规接入设备对系统资源的访问; 对系统内涉密信息和重要信息的输出(如拷贝等)操作采取技术措施进
行严格的控制;
能禁止系统内用户非授权的外部连接,并对系统内的非授权行为采取技
术手段进行检查和阻断;
能够对操作系统、数据库等系统进行补丁管理,增强系统安全; 能对终端行为和数据输入输出行为进行审计。 3.1.3网络审计系统
安装步骤:
首先,确定网络审计系统安装位置
第二,网络安全审计系统上架、安装,连线。
第三,加电测试,并做相应配置。(提前规划好网络结构、IP划分。) 网络审计系统其部署方式如下:
网络审计系统主机部署中心机房,连接到核心交换机的镜像端口上,管
理口连接到机密级安全管理区的交换机上。 部署效果
在XXXXXX院涉密网部署了网络审计系统后,满足BMB17-2006对机密级的“边界安全防护”中对边界的“网络审计”要求。
Page 6 of 17
3.2应用服务器安装
在网络设备上架安装配置完成后,再对服务器进行安装部署,具体步骤如下: 3.2.1硬件服务器
安装步骤:
首先,确定服务器安装位置。 第二,服务器上架、安装,连线。 第三,加电测试.
第四,应用服务连通测试。 3.2.2 打印监控与审计系统
安装步骤:
首先,安装打印监控与审计系统客户端 第二,进行相关参数设置及测试。
打印监控与审计系统为单机版,其部署方式如下: 客户端部署涉密单机上
部署效果
在XXXXX涉密网部署打印监控与审计系统,辅以相应的技术手段,能够满足BMB17-2006对机密级信息系统的“打印监控审计”的要求。 3.2.3 涉密计算机移动存储介质保密与管理系统
安装步骤:
首先,确定涉密计算机移动存储介质保密与管理系统要安装的硬件服务器。 第二,安装涉密计算机移动存储介质保密与管理系统服务端。 第三,进行相关参数设置及测试。 第四,测试客户端与服务端连通及应用。
涉密计算机及移动存储介质保密管理系统由专用系统软件(包括管理端和用户端)、多功能导入装置和涉密专用移动存储介质组成,其部署方式如下:
监控管理中心部署在中心机房屏蔽机柜内,位于机密级安全管理区;
Page 7 of 17
客户端代理部署在所有Windows终端和服务器上;
单向导入设备根据实际情况,部署在各部门或者是保密办的定点输入计
算机上;
涉密专用移动存储介质,由保密办或各部门保密员统一保管,注册、登
记使用。
部署效果
在XXXXX涉密网部署涉密计算机移动存储介质保密与管理系统,辅以相应的技术手段,能够满足BMB17-2006对机密级信息系统的“介质安全”、“违规外联监控”的要求。 3.2.4 刻录监控与审计系统
安装步骤:
首先,安装刻录监控与审计系统客户端 第二,进行相关参数设置及测试。
打印监控与审计系统为单机版,其部署方式如下: 客户端部署涉密单机上
部署效果
在XXXXX涉密网部署刻录监控与审计系统,辅以相应的技术手段,能够满足BMB17-2006对机密级信息系统的“打印监控审计”的要求。
3.3 系统联调及客户端部署测试
3.3.1网络设备和应用服务器系统联调
在网络设备和应用服务器基本配置和安装完成后进行系统联调,测试网络设备和应用服务器是否网络连通正常?网络控制策略是否有效?各应用服务器工作状态正常?配置策略是否正确?并保存备份网络设备和应用服务器配置文件。
3.3.2客户端部署测试
网络设备和应用服务器联调正常后,进行客户端部署测试。确定客户端电脑
Page 8 of 17
要安装的客户端软件种类,制作客户端软件安装包,确认安装顺序及排除软件冲突问题,根据实际情况制定高效率的客户端部署方案,多次验证确认客户端安装种类和次序及实施方案正确无误后,制作客户端部署操作手册并进行安装培训。
3.4 客户端部署
在网络设备和应用服务器安装配置完成后并正常工作下进行终端电脑软硬件的安装。在客户端部署之前,要保证客户端电脑操作系统工作正常,其上无违规涉密资料。如客户端操作系统和资料有问题,必须事先处理好后才能进行客户端部署安装。安装终端软件时,同时完成硬件设备红黑电源、视频干扰器的安装。
3.4.1 红黑电源安装 安装步骤:
首先,确定安装位置。 第二,连线,加电测试。 3.4.2 视频干扰器安装 安装步骤:
首先,确定安装的终端。
第二,确定安装位置有空余的电源接口。 第三,安装。 3.4.3 客户端加入域 安装步骤:
首先,确定安装的终端。
第二,配置相应的ip地址,主机名,DNS。 第三,将客户端加入域。
3.4.4 主机监控与审计客户端安装 安装步骤:
首先,确定安装的终端。
Page 9 of 17
第二,确定终端操作系统正常运作。 第三,安装程序。 第四,进行策略配置。 3.5.5 打印监控与审计客户端安装 安装步骤:
首先,确定安装的终端。
第二,确定终端操作系统正常运作。 第三,安装程序。 第四,进行策略配置。 3.5.6 三合一安装 安装步骤:
首先,确定安装的终端。
第二,确定终端操作系统正常运作。 第三,安装程序。 第四,进行策略配置。 3.5.7 刻录监控与审计客户端安装 安装步骤:
首先,确定安装的终端。
第二,确定终端操作系统正常运作。 第三,安装程序。 第四,进行策略配置。
说明:客户端部署时间取决于要安装的客户端电脑数量,客户端电脑是否满足安装前的要求(操作系统正常及涉密资料清理)及用户方的实际配合效力。
Page 10 of 17
四、实施进度计划表
本项目计划工期90天
注:此表横轴为时间轴,以日历日为计量单位。
1)、下表为计划实施进度、实际进度可在保证整体项目规定时间内进行相应调整。
2)、下表计划进度为理想情况下正常进度,如遇重大技术问题,用户需求调整,用户及第三方配合效力问题施工时间会相应增加。 3)、实施期间用户方必须积极配合并提供相应施工便利,出现问题双方积极沟通,以保证整个施工进度不受影响。 4.1 项目实施工期 工序名称 项目实施前准备 完成网络安全设备安装、调试 完成应用服务器安装、调试 完成项目系统联调 完成客户端部署测试 完成客户端部署 系统试运行及用户培训 项目验收 工期(天) 5 10 15 20 25 30 35 40 45 50 55 60 65 70 75 80 85 90 Page 11 of 17
4.2 终端设备/客户端软件安装工期
说明:
1)客户端安装软件之前必须保证客户端操作系统工作正常,违规涉密资料已经清理。 2)终端安装中红黑电源、视频干扰器的安装是随终端客户端软件的安装一起进行的。
工序名称 域客户端 红黑电源 视频信息干扰器 主机监控客户端 三合一客户端 打印监控客户端 刻录监控客户端 备注 工期(天) 1 5 10 15 20 25 30 35 40 45 50 55 60 65 70 75 80 85 90
Page 12 of 17
五、施工人员及组织
本次项目施工方保证X人,根据施工情况需求灵活安排使用。 职 务 项目经理 现场负责人 技术顾问 技术工程师
姓名 负责内容 确保工程质量和工期及总体协调,实现安全、文明生产。 全面负责项目施工。 全部负责项目设计方案及施工中出现技术问题沟通及解决。 协助项目施工。 附录
1、网络拓扑
Page 13 of 17
Page 14 of 17
2、VLAN和IP规划
VLAN划分表(新)
序号 1 2 3 4 5 6 7 8
项目 VLAN号 密级 IP地址 网关 DNS 备注 Page 15 of 17
3、项目包含产品概述
序号 安全保密产品 备注 服务端部署在中心机房。 客户端部署在内网终端及服务器。 1 主机监控与审计系统 用于对主机操作及端口的监控及审计,可记录操作行为、限制注册表等用户修改权限、关闭空余端口等。 服务端部署在中心机房。 2 “三合一”系统 客户端部署在内网终端及服务器。 使用三合一系统实现违规外联控制、移动介质管理。 3 红黑电源隔离插座 内网终端及服务器。 用于终端及服务器的电源电磁泄漏发射防护。 内网终端及服务器 用于机密级终端视频电磁泄漏发射防护。 部署在中心机房。 5 网络安全审计 用于对网络行为的审计,记录访问时间、源地址、目的地址、行为、事件;用于对数据库操作的审计,记录源、目的、时间、事件等,做到事后可追溯。 部署在中心机房。 6 防火墙 用于安全域的边界控制,设置访问控制列表控制不同安全域间的数据通信。 7 光盘刻录与审计 部署在带有刻录光驱的涉密机上。 用于对光盘刻录的授权控制与审计。 部署在服务器、终端。 8
打印监控与审计 用于对打印行为进行管控,强制进行电子审批流程,控制打印权限并记录打印行为。 4 终端视频干扰器 主机监控与审计系统:包括服务端软件和客户端软件,管理中心部署在涉密网中心机房系统服务区VLAN,客户端代理软件部署在所有终端,提供终端主机、外设、接口、用户行为监控、终端资产等管理。
“三合一”系统:包括服务端软件和客户端软件,管理中心部署在涉密网中
Page 16 of 17
心机房的系统服务区VLAN,客户端代理软件部署在所有windows终端和服务器端,提供移动存储介质可控管理、非法违规外联行为进行监控。
红黑电源隔离插座:提供涉密终端电源插座安全保护,防止电磁泄漏。 视频干扰器:部署在安全距离达不到要求的涉密计算机上,防止显示器的电磁泄漏。
防火墙系统:提供应用服务安全域、系统服务安全域、终端安全域边界的安全隔离,供安全区策略进行访问控制。
网络安全审计系统:部署在核心交换机上,使用旁路接入模式与核心交换机的镜像口对接。网络安全审计提供对全网数据进行审计,审计包括网络层及应用层信息。记录访问主体、客体、时间、事件等。
Page 17 of 17
因篇幅问题不能全部显示,请点此查看更多更全内容