【文章內容簡介】 公局域網和安全系統(tǒng)的建設，為**** 公司未來的信息系統(tǒng)應用打好基礎。主要包括：綜合布線系統(tǒng)，機房建設，網 絡基礎平臺的搭建和安全保密系統(tǒng)的同步建設。 任務的目標本次任務有兩個目標：借“保密資格認證”的東風，搭建企業(yè)局域網平臺；　　 同步建設企 業(yè)安全保密系統(tǒng)，滿足保密資格認證的要求?！　? 系統(tǒng)概括****公司目前的信息系統(tǒng)規(guī)模小，信息 應用簡單，目前在三個主要辦公區(qū)域采用了 3 個 HUB 進行本部 門的網絡連接（這三個網之 間無相互連接），其拓撲示意圖如下：****公司目前的信息系統(tǒng)組成有：1）單機辦公共 計 100 多臺，主要運行 MS Office 軟件；2）財務審計部和技 術管理部的 計算機接于各自的 HUB 上，目的是網絡辦公和共享打印機；3）基于非網管的、同房 間使用的交換機組成的臨時網絡，主要運行 CAD 系　　 統(tǒng)，目的是共享文件和打印機；信息系統(tǒng)的 資產：****公司信息系統(tǒng)的資產主要有：全廠的 100 多臺的 PC 機，以及 CAD 和財務數據。信息系統(tǒng)的管理：目前是“誰使用、誰負責、 誰運行維護” 的狀態(tài)，沒有專業(yè)的信息技術部門統(tǒng)一管理。信息系統(tǒng)的 應用系統(tǒng)及重要性： 應用系統(tǒng)包括：財務系統(tǒng)和 CAD 聯(lián)網應用，這兩個系統(tǒng)中 CAD 是**** 公司的業(yè)務龍頭，有較大的重要性。信息系統(tǒng)之 間的互聯(lián)關系：實現了和國際互聯(lián)網的物理隔離，沒有和其他網絡有連接關系。系統(tǒng) 安全管理的 組織機構及措施： ****公司成立了保密辦， 負責檢查和教育應用系統(tǒng)確保同國際互聯(lián)網的物理隔離。信息系統(tǒng)承 載的密級 ****公司目前的單個計算機絕大部分不涉密，全廠涉密等級最高為秘密級，其主要集中在設計部門和管理部門。涉密人員及涉密 計算計算機設備狀況 ****公司是傳統(tǒng)的軍工單位，涉密人 員和涉密計算機設備狀況均有良好的制度管理。目前涉密人員定員明確，涉密 計算機的設備運行狀況也良好，實行“誰使用 誰負責誰應用 誰維護” 的管理模式?！　? 　　 設計依據國家標準? GB/T2887－2022 電子計算機場地通用規(guī)范? GB/ 第一部分：基本 術語? GB/ 第八部分：安全? GB/ 第九部分：數據通信? GB/93611988 計算站 場地安全要求? GB/ 安全體系結構? GB/T183362022 信息技術安全性評估準則? GB50174 電子計算機機房設計規(guī)范? GGBB11999 信息設備電磁泄漏發(fā)射限值? BMB21998 使用現場的信息設備電磁泄漏發(fā)射 檢查測試方法和安全判據? BMB31999 處理涉密信息的電磁屏蔽的技術要求和 測試方法? BMB42022 電磁干擾器技術要求和測試方法? BMB52022 涉密信息設備使用現場的電磁泄漏 發(fā)射防護要求? BMZ12022 涉及國家秘密的計算機信息系統(tǒng)保密技術要求? BMB172022 涉及國家秘密的信息系統(tǒng)分級保護技術要求? BMB202022 涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范? ISO/IEC17799國家政策? 中華人民共和國保守國家秘密法》? 《國家信息化領導小組關于加強信息安全保障工作的意見》中辦發(fā) 2022 年　　 27 號? 《關于加強信息安全保障工作中保密管理的若干意見》中保委發(fā) 2022 年 7號? 《涉及國家秘密的信息系統(tǒng)分級保護管理辦法》國保發(fā) 2022 年 16 號? 《信息安全等級保護管理辦法》公通字 2022 年 16 號系統(tǒng)安全建設目標和原則 建設目標建設****公司的安全、穩(wěn)定、高效的信息系 統(tǒng)平臺，為未來的系統(tǒng)應用和園區(qū)網絡的建設奠定良好的基礎和示范。 建設原則規(guī)范定密，準確定級；依據標準，同步建設；突出重點，確保核心；明確責任，加強監(jiān)督。 以上 32 字原則是本次方案 設計的政策性指導，****公司由保密保衛(wèi)部根據中國二航的相關規(guī)定負責定密，計算機信息系統(tǒng)的最高密級為秘密級；根據相關國家標準，在搭建企業(yè)局域網時同步建設安全系統(tǒng)；突出保密重點在科研生產和產品設計上，建立信息中心，集中存放產品數據，確實保障核心涉密數據；工廠保密委同時明確各個涉密部門和人員的責任，由保衛(wèi)保密部執(zhí)行技術部　　 協(xié)助加強對各個涉密系統(tǒng)和人員的監(jiān)督?！　? 信息系統(tǒng)安全需求分析四川**** 責任公司是國家重點保軍企業(yè)，廠 領導非常重 視信息化建設，全廠 經過多年的信息化發(fā)展，已經 取得了突出的成績，目前已經基本形成了軍品設計、 財務管理等局域網。為適應當前形勢和工作的需要， 結 合廠領導的要求，建 設安全、穩(wěn)定、高效的信息系統(tǒng)平臺是當前信息化建設工作的當務之急。而在信息系統(tǒng)平臺的建設工程中，辦公大樓的網絡建設是園區(qū)網的核心，同時也是整合全廠園區(qū)網的基礎。 需求的來源 國家信息安全政策的要求****公司是國家二級涉密單位，全廠的信息化建 設，必須符合國家相關規(guī)定，同時要接受國家職能部門的達標審查，因此，計算機信息系統(tǒng)的涉密安全建設更是重中之重。在本方案中，不論網絡系統(tǒng)設計、結構化布 線設計以及機房工程，均嚴格遵守國家相關保密規(guī)定， 進行對應的密級工程設計與施工。 科研生產的需要全廠在生產過程中，會產生大量的實驗數據和文檔資料，怎樣將這些數據資料有效的存儲和傳輸，以適應 分布式計算的需要，同 時 保證安全性、保密性的要求。因此，建立一個流暢、高速的網絡平臺與一個安全、穩(wěn)定、高效的系統(tǒng)平臺，是當前刻不容緩的任務?！　? 工廠管理的需要目前，計算機已成為****公司日常辦公的主要工具。怎樣有效的利用現有軟、硬件資源， 簡化工作流程，提高管理工作效率， 實現辦 公自動化和信息資源共享，同時實現安全有序的管理，是當前廠內各管理部門的迫切需要。 信息系統(tǒng)安全評估的結果****公司是全新的信息系統(tǒng)建設，通 過簡單的安全評估結果（見 章節(jié)）是信息系統(tǒng)重要的需求來源之一。 信息系統(tǒng)安全需求根據****公司涉密計算機信息系統(tǒng)現狀， 結合國家相關規(guī)范的要求，我 們如下表呈現本次安全需求（★數量越多，安全風險越大）。安全種類 項目 現狀 安全風險 安全需求門禁 不具備。 ★★ 建設中心機房建設門禁系統(tǒng) 防雷 原大樓建沒有防雷系統(tǒng) 采取防雷保護措施供電 僅有市電供應。 ★★ 部署 UPS防靜電、防盜 無中心機房，更無防靜電措施 ★★★ 設立中心機房，鋪設防靜電地 板，同時加強防盜建設。電磁泄漏 辦公大樓與公共區(qū)域距離在 50 米以內 ★★★★★需要建設有良好接地的屏蔽布線 系 統(tǒng)，并采用電磁干擾。物理安全介質安全 標準中有關于介質收發(fā)和傳遞的新要求。 ★ 加強 介質 管理，加 強計算機接口管理，部署安全審計系統(tǒng)存儲備份 中心機房服務器和重要的涉密單機缺少有效的備份手段， ★★★★ 使用刻錄光盤或移動硬盤備份方式實現定期數據備份。應急響應 沒有應急響應的制度與技術手段，缺乏定期培訓和演練。 ★★★★★制定應急響應計劃并培訓和演 練 ，并確定組織機構。運行安全運行管理 需要完善運行管理和建立統(tǒng)一的安全運行管理中心。 ★★★ 設立信息中心機構承擔，并輔 助以 AD 管理模式?！　? 病毒與惡意代碼防護需要在系統(tǒng)內的關鍵入口點（如電子郵件服務器）以及各用戶終端、服務器和移動計算機設備上采取計算機病毒和惡意代碼防護措施★★★★★需要安裝網絡版殺毒軟件并定期更新訪問控制現有網絡系統(tǒng)中沒有對資源的訪問控制，只限于自身資源自我控制,尚未建立一套整體的資源訪問控制?！铩铩铩锛訌娫L問控制措施，采用 AD方式安全審計現有的審計系統(tǒng)已不滿足新的安全保密要求，對資源的訪問存在著不可控的現象，同時涉密信息泄漏時，事后不可查的現象?！铩铩铩铩锊渴饘I(yè)安全審計系統(tǒng)信息加密與電磁泄漏 綜合布線采用非屏蔽線。 ★★★★在新的信息系統(tǒng)的建設中，采用 FTP 線纜，在系統(tǒng)的關鍵部位部署電磁防泄漏設備端口接入管理內網信息接入點分布廣泛，不方便進行管理，無法對接入網絡 的設備進行安全認證★★★★采用端口接入認證技術實現對接入設備的有效管理信息安全保密系統(tǒng)及網絡安全檢測沒有專業(yè)的安全軟件或設備對系統(tǒng)及網絡的安全進行有效的檢測和評估★★★★采用專業(yè)安全檢測工具對網絡和主機的安全進行檢測　　 信息定密、系統(tǒng)定級和劃分安全域 信息定密根據****公司上級主管部門的規(guī)定，信息確定的密 級為：秘密級。其中明確涉密信息主要是圍繞科研生產產生的信息和上級部門的密級文件（對于來自上級部門的、所占比例很少的機密級 文件，將不允 許進入本涉密 計算機信息系統(tǒng)中；嚴格限定將這些機密級文件采用單機處理）。 系統(tǒng)定級****公司涉密計算機信息系統(tǒng)所處理信息的最高密級是：秘密級 安全域的劃分安全域是對由實施共同安全策略的主體和客體組成的集合進行區(qū)域的劃分。根據****公司目前的現狀和即將建設的信息系統(tǒng)，我們劃分為 2 個安全域：普通辦公計算機系統(tǒng)和涉密人員使用的計算機系統(tǒng)分別為獨立的安全域?！　? 信息系統(tǒng)安全策略安全策略是信息系統(tǒng)安全的核心，對信息系統(tǒng)的安全起著至關重要的作用。在 241 的信息系 統(tǒng)中，安全策略的制定，最核心的問題就是如何保證數字資源的安全共享。保證數字資源的安全共享，就是從權限分級設置的角度出發(fā)，確定數據資產的身份認證和訪問控制。因此，應從各個安全要求出發(fā)， 對信息系統(tǒng)進行安全保障，保障安全目的能 夠得到實施。因此， 應以技術手段實現身份驗證、訪問 控制、安全審計，同時，為進一步保障，以各種附加安全產 品， 對單機和網絡安全進 行全方面加強， 針對網絡、操作系統(tǒng)、數據庫、信息共享授權提出具體的措施。除技術外，再輔以管理的加強，以制度化和技 術化的管理，全面加強安全整體體系。因此****公司應建立以下的安全策略： 涉密計算機信息系統(tǒng)基本要求? 物理隔離：采取管理和技術相結合的方式，確保涉密計算機信息系統(tǒng)與外部網絡的物理隔離。? 安全保密產品選擇：在涉密信息系統(tǒng)的建設中，選用和采購國產設備；安全保密產品應通過國家相關主管部門授權的測評機構的檢測。? 安全域邊界防護：劃分安全域，安全域之間邊界明確；禁止高密級信息由高等級安全域流向低等級安