【正文】 系統(tǒng)管理中心1. 管理控制臺(tái)管理員通過控制臺(tái)對(duì)整個(gè)系統(tǒng)的安全策略進(jìn)行配置與控制。? 開啟 windows 防火 墻:開啟 windows 防火墻是檢查終端的 windows 防火墻是否開啟，勾 選后表示只有 windows防火墻開啟的終端才能通過網(wǎng)關(guān)的安全審核，才能在內(nèi)網(wǎng)訪問相應(yīng)的資源。? 接出:接出表示該內(nèi)網(wǎng)終端可以接出到外網(wǎng)，并與外網(wǎng)終端互相訪問。同時(shí)，多線程的代理提供較高性能的連接速度。. 安全區(qū)域邊界建設(shè)在第三級(jí)系統(tǒng)安全保護(hù)環(huán)境中的安全區(qū)域邊界建設(shè)主要在于實(shí)現(xiàn)區(qū)域邊界訪問控制、區(qū)域邊界協(xié)議過濾、區(qū)域邊界安全審計(jì)、區(qū)域邊界惡意代碼防范、區(qū)域邊界完整性保護(hù)等安全功能。? 文件訪問協(xié)議，系統(tǒng)管理員通過 FTP、SMB、HTTP 等協(xié)議將操作系統(tǒng)、應(yīng)用系統(tǒng)產(chǎn)生的文件型日志開放給網(wǎng)絡(luò)行為審計(jì)系統(tǒng)探測(cè)器設(shè)備，由探測(cè)器設(shè)備主動(dòng)下載日志文件、從而分析并采集日志。參照上述第三級(jí)系統(tǒng)安全保護(hù)環(huán)境的安全通信網(wǎng)絡(luò)的安全技術(shù)要素，實(shí)現(xiàn)安全通信網(wǎng)絡(luò)安全功能。? 被加密的文件在涉密計(jì)算機(jī)打開之時(shí)，就應(yīng)該被解密，且解密要由計(jì)算機(jī)自動(dòng)地進(jìn)行，無需人工干預(yù)，文件的使用者也22 / 43無需知道“加密文檔安全管理系統(tǒng)碼”。? 鉤子在清零內(nèi)存時(shí)，要對(duì)原來的地址進(jìn)行映射，并保證通過21 / 43此映射能對(duì)相應(yīng)的內(nèi)存寫入全零。8) 程序可信執(zhí)行保護(hù)? 可構(gòu)建從操作系統(tǒng)到上層應(yīng)用的信任鏈，其中可采用可信計(jì)算技術(shù)，以實(shí)現(xiàn)系統(tǒng)運(yùn)行過程中可執(zhí)行程序的完整性檢驗(yàn)，防范惡意代碼等攻擊，并在檢測(cè)到其完整性受到破壞時(shí)采取有效的恢復(fù)措施。3) 標(biāo)記和強(qiáng)制訪問控制? 在對(duì)安全管理員進(jìn)行嚴(yán)格的身份鑒別和權(quán)限控制基礎(chǔ)上，由安全管理員通過特定操作界面對(duì)主、客體進(jìn)行安全標(biāo)記；? 應(yīng)按安全標(biāo)記和強(qiáng)制訪問控制規(guī)則，對(duì)確定主體訪問客體的操作進(jìn)行控制；強(qiáng)制訪問控制主體的粒度應(yīng)為用戶級(jí)，客體的粒度應(yīng)為文件或數(shù)據(jù)庫表級(jí)；? 應(yīng)確保系統(tǒng)安全計(jì)算環(huán)境內(nèi)的所有主、客體具有一致的標(biāo)記信息，并實(shí)施相同的強(qiáng)制訪問控制規(guī)則。此外，第三級(jí)系統(tǒng)安全保護(hù)環(huán)境還需相應(yīng)增強(qiáng)系統(tǒng)的審計(jì)能力、數(shù)據(jù)保密性和完整性保護(hù)能力。 針對(duì)信息系統(tǒng)中存在的安全隱患進(jìn)行系統(tǒng)建設(shè)，加強(qiáng)信息系統(tǒng)的信息安全保護(hù)能力，使其達(dá)到相應(yīng)等級(jí)的等級(jí)保護(hù)安全要求。? 資源控制：應(yīng)能夠?qū)σ粋€(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)進(jìn)行限制，應(yīng)能夠?qū)σ粋€(gè)訪問帳戶或一個(gè)請(qǐng)求進(jìn)程占用的資源分配最大限額和最小限額，應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警，應(yīng)提供服務(wù)優(yōu)先級(jí)設(shè)定功能，并在安裝后根據(jù)安全策略設(shè)定訪問帳戶或請(qǐng)求進(jìn)程的優(yōu)先級(jí)，根據(jù)優(yōu)先級(jí)分配系統(tǒng)資源。? 考慮應(yīng)用系統(tǒng)安全審計(jì)應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)。6) 剩余信息保護(hù)? 剩余信息保護(hù)應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲(chǔ)空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中。? 考慮網(wǎng)絡(luò)邊界對(duì)惡意代碼防范能力應(yīng)提供及時(shí)檢測(cè)和清除，維護(hù)病毒庫的升級(jí)更新。? 需要設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電，應(yīng)建立備用供電系統(tǒng)。? 需要對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域；? 重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。? 在水管安裝時(shí)，需要考慮不得穿過機(jī)房屋頂和活動(dòng)地板下。. 條件與假設(shè)1) 已完成對(duì)已定級(jí)系統(tǒng)的風(fēng)險(xiǎn)評(píng)估工作2) 此次建設(shè)方案僅針對(duì)于第三級(jí)的以定級(jí)系統(tǒng)進(jìn)行整改. 符合的標(biāo)準(zhǔn)規(guī)范1) GB 178591999《計(jì)算機(jī)信息系統(tǒng)安全防護(hù)等級(jí)劃分準(zhǔn)則》2) 國(guó)務(wù)院令第 147 號(hào) 《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全防護(hù)條例》3) 中辦發(fā)[2022]27 號(hào) 《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》4) 公通字【2022】66 號(hào) 關(guān)于印發(fā)《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》的通知5) 公通字【2022】43 號(hào) 信息安全等級(jí)保護(hù)管理辦法6) 《信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》6 / 432. 需求分析. 信息系統(tǒng)部署結(jié)構(gòu)現(xiàn)狀分析安全通信網(wǎng)絡(luò)設(shè)備遠(yuǎn)程接入移動(dòng)終端應(yīng)用服務(wù)器終端遠(yuǎn)程接入移動(dòng)終端. 物理安全分析目前現(xiàn)有的物理安全機(jī)制不夠完善，在物理安全的設(shè)計(jì)和施工中，需要考慮的安全要素包括：機(jī)房場(chǎng)地選擇安全、機(jī)房?jī)?nèi)部安全防護(hù)、機(jī)房防火、機(jī)房供、配電、機(jī)房空 調(diào)、降溫、機(jī)房防水與防潮、機(jī)房防靜電、機(jī)房接地與防雷擊、機(jī)房電磁防護(hù)。第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)。分別為：　　第一級(jí)：用戶自主保護(hù)級(jí)。第三級(jí)安全保護(hù)環(huán)境建設(shè)方案瑞達(dá)信息安全產(chǎn)業(yè)股份有限公司1 / 43（2022）目 錄1. 前言 ...................................................................................................................................................4. 項(xiàng)目名稱 ...................................................................................................................................4. 單位名稱 ...................................................................................................................................4. 建設(shè)背景 ...................................................................................................................................4. 條件與假設(shè) ...............................................................................................................................6. 符合的標(biāo)準(zhǔn)規(guī)范 .......................................................................................................................62. 需求分析 ...........................................................................................................................................7. 信息系統(tǒng)部署結(jié)構(gòu)現(xiàn)狀分析 ...................................................................................................7. 物理安全分析 ...........................................................................................................................7. 網(wǎng)絡(luò)安全分析 ...........................................................................................................................9. 主機(jī)安全分析 .........................................................................................................................10. 應(yīng)用安全分析 .........................................................................................................................12. 數(shù)據(jù)安全分析 .........................................................................................................................143. 總體建設(shè)方案 .................................................................................................................................15. 總體建設(shè)目標(biāo) .........................................................................................................................15. 總體建設(shè)原則 .........................................................................................................................15. 安全改造后的信息部署結(jié)構(gòu) .................................................................................................16. 安全保護(hù)體系建設(shè) .................................................................................................................16. 建立 “一個(gè)中心 ”管理下的 “三重保障體系 ” ........................................................16. 建立安全保護(hù)環(huán)境 ........................................................................................................17. 建立系統(tǒng)安全互聯(lián) ........................................................................................................184. 第三級(jí)安全保護(hù)體系建設(shè)方案 .....................................................................................................18. 安全計(jì)算環(huán)境建設(shè) ...........................................................................