【正文】 使用加密機進(jìn)行加密。（6）電磁泄漏發(fā)射防護計算機主機及其附屬電子設(shè)備如視頻顯示終端、打印機及各種線纜等在工作時不可避免地會產(chǎn)生電磁輻射，這些輻射中攜帶有計算機正在處理的信息。尤其是顯示器，由于顯示的信息是給人閱讀的，不加任何保密措施，所以其產(chǎn)生的輻射是最容易泄漏。使用專門的接收設(shè)備將這些電磁輻射信號接收，并經(jīng)過處理，就可還原出原信息，因此涉密信息系統(tǒng)必須要有嚴(yán)格的電磁泄漏發(fā)射防護措施。（7）信息完整性校驗完整性是網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性，即網(wǎng)絡(luò)信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。完整性是一種面向信息的安全性，它要求保持信息的原樣不被篡改，即信息的正確生成和正確存儲與傳輸。完整性與保密性不同，保密性要求信息不被泄露給未授權(quán)的訪問者，而完整性則要求信息不致受到各種原因的破壞。影響網(wǎng)絡(luò)信息完整性的主要因素有：設(shè)備故障、誤碼(傳輸、處理和存儲過程中產(chǎn)生的誤碼，定時的穩(wěn)定度和精度降低造成的誤碼，各種干擾源造成的誤碼)、人為攻擊、計算機病毒等。信息完整性通常在應(yīng)用系統(tǒng)設(shè)計開發(fā)階段完成，主要技術(shù)手段為通過哈希函數(shù)，通過數(shù)學(xué)運算形成信息摘要來進(jìn)行驗證。（8）系統(tǒng)安全性能檢測利用系統(tǒng)漏洞進(jìn)行惡意攻擊，利用木馬盜取數(shù)據(jù)，利用病毒破壞系統(tǒng)及數(shù)據(jù)，利用惡意代碼傳播木馬及病毒等，這些都是嚴(yán)重危害網(wǎng)絡(luò)運行安全的行為，因此系統(tǒng)的安全性能檢測是重要的一個環(huán)節(jié)。（9）信息輸入輸出和導(dǎo)入導(dǎo)出管控涉密信息的輸入輸出和導(dǎo)入導(dǎo)出是涉密信息系統(tǒng)信息安全管理的重點，如果不能嚴(yán)格控制信息的輸入輸出和導(dǎo)入導(dǎo)出，在用戶使用各種介質(zhì)進(jìn)行操作時將存在較大失泄密風(fēng)險。涉密信息系統(tǒng)已通過在終端部署“三合一”系統(tǒng)控制了數(shù)據(jù)輸入輸出和導(dǎo)入導(dǎo)出。（10）安全審計與監(jiān)控安全審計是針對信息系統(tǒng)中關(guān)鍵應(yīng)用的危險性訪問事件及防抵賴的審計。安全審計員通過安全審計信息分析、審查可能的危險性操作，起到事前防范、事中控制、事后可追查的作用。（11）應(yīng)用系統(tǒng)安全應(yīng)用系統(tǒng)是涉密信息運行及操作、存儲的平臺，大多應(yīng)用系統(tǒng)開發(fā)時間較早，在安全保密、三員分配及保密審計方面已不能滿足保密要求，必須對現(xiàn)無法滿足保密要求的應(yīng)用系統(tǒng)進(jìn)行重新定制或者升級開發(fā)。（12）操作系統(tǒng)安全操作系統(tǒng)是基本的業(yè)務(wù)支撐平臺，系統(tǒng)漏洞、木馬程序、病毒程序等造成操作系統(tǒng)被他人控制或是崩潰，都將給整個網(wǎng)絡(luò)的安全保密構(gòu)成極大威脅。（13）數(shù)據(jù)庫安全數(shù)據(jù)庫的安全是一個綜合的安全問題，它涉及到操作系統(tǒng)的安全，用戶身份認(rèn)證以及數(shù)據(jù)庫自身的安全隱患與配置安全等。（14）邊界防護與控制邊界安全是指各安全域互通引起的安全問題，有入侵、病毒與攻擊等。自治區(qū)檢察院涉密信息系統(tǒng)尚未劃分安全域。由于自治區(qū)檢察院分為兩處辦公區(qū)域，因此各劃為一個安全域，安全域邊界采用防火墻、IDS等安全設(shè)備進(jìn)行邊界防護，其中將主樓服務(wù)器劃為主樓重要服務(wù)安全域，并增加一臺防火墻進(jìn)行安全域邊界控制，反貪樓服務(wù)器劃分為反貪樓重要服務(wù)安全域。各網(wǎng)絡(luò)邊界采用防火墻進(jìn)行邊界防護和相關(guān)信息審計的同時，結(jié)合網(wǎng)絡(luò)入侵檢測系統(tǒng)對邊界危險性安全事件進(jìn)行檢測和預(yù)警。涉密信息系統(tǒng)需加強安全保密管理，設(shè)置安全保密管理機構(gòu)，制定嚴(yán)格的安全保密管理制度，采用適當(dāng)?shù)陌踩Ｃ芄芾砑夹g(shù)，將涉密信息系統(tǒng)中的各種安全保密產(chǎn)品進(jìn)行集成，并加強對涉密人員的管理。安全域的劃分主要以保護信息資產(chǎn)安全和數(shù)據(jù)安全為目的，將有限的人力、財力和物力投入到重點區(qū)域的保護中，突出重點，提高網(wǎng)絡(luò)安全保障的整體水平，依據(jù)的原則和方法如下：處理信息的密級：按照系統(tǒng)中處理不同密級信息的部分劃分為不同的安全域；功能區(qū)：將應(yīng)用服務(wù)區(qū)、安全管理區(qū)、工作區(qū)等劃分為不同的安全域；行政級別：可將涉密信息系統(tǒng)內(nèi)屬于不同行政級別的部分劃分為不同的安全域；信息交換需求：根據(jù)系統(tǒng)建設(shè)使用單位的組織結(jié)構(gòu)，將不同信息交換需求的用戶終端劃分在不同的安全域；其他因素：地域分布、業(yè)務(wù)類型等。安全域是由系統(tǒng)內(nèi)相同安全策略的主體和客體組成的集合，在劃分時根據(jù)系統(tǒng)重要性、信息密級、安全策略劃分為不同等級安全域，應(yīng)優(yōu)先考慮安全域的信息安全保密性，綜合考慮結(jié)構(gòu)簡化原則和縱深防御原則進(jìn)行設(shè)計。根據(jù)BMB172006《涉及國家秘密的信息系統(tǒng)分級保護技術(shù)要求》中“根據(jù)信息密級、系統(tǒng)重要性和安全策略劃分不同”進(jìn)行安全域劃分。在具體劃分**********************人民檢察院專網(wǎng)涉密信息系統(tǒng)安全域時，有以下兩方面具體需要：1)**********************人民檢察院專網(wǎng)安全域之間的邊界應(yīng)劃分明確，安全域與安全域之間的所有數(shù)據(jù)通信都應(yīng)安全可控。a)需要根據(jù)按照信息系統(tǒng)所處理信息的密級進(jìn)行安全域劃分；b)需要將**********************人民檢察院專網(wǎng)涉密信息系統(tǒng)的安全管理設(shè)備劃分為獨立的安全域；c)需要將**********************人民檢察院專網(wǎng)涉密信息系統(tǒng)的服務(wù)器按所在應(yīng)用系統(tǒng)最高等級進(jìn)行劃分，劃分為工作秘密級應(yīng)用服務(wù)域、秘密級應(yīng)用服務(wù)域和秘密級應(yīng)用服務(wù)域；d)需要明確**********************人民檢察院專網(wǎng)涉密信息系統(tǒng)的終端計算機與終端計算機之間的邊界，禁止終端計算機之間直接訪問。e)需要明確**********************人民檢察院專網(wǎng)涉密信息系統(tǒng)終端計算機與服務(wù)器之間的邊界，禁止非授權(quán)終端越權(quán)訪問服務(wù)器資源。f)需為**********************人民檢察院檢查內(nèi)部辦公劃分獨立安全工作域。2)**********************人民檢察院專網(wǎng)涉密信息系統(tǒng)不同等級的安全域間通信，應(yīng)禁止高密級信息由高等級安全域流向低等級安全域。序號保護等級VLAN范圍邊界主要功能主要信息資源和應(yīng)用系統(tǒng)與其它安全域的信息交換控制要求1秘密級安全管理主機主機審計、防病毒、身份認(rèn)證管理系統(tǒng)、補丁分發(fā)系統(tǒng)、電子文檔管理系統(tǒng)、安全管理平臺、漏洞掃描系統(tǒng)、終端管理系統(tǒng)以及各安全設(shè)備管理控制臺。管理安全域所管理的各個客戶端的VLAN組成集合對全網(wǎng)的網(wǎng)絡(luò)和安全產(chǎn)品進(jìn)行策略配置、密鑰分發(fā)和管理。安全系統(tǒng)產(chǎn)生信息資源防火墻的端口控制和交換機的VLAN訪問控制列表，網(wǎng)絡(luò)接入控制2應(yīng)用服務(wù)秘密級應(yīng)用系統(tǒng)應(yīng)用服務(wù)器與其所對應(yīng)的業(yè)務(wù)數(shù)據(jù)流向部門的VLAN組成集合應(yīng)用系統(tǒng)系統(tǒng)提供公文傳送應(yīng)用系統(tǒng)秘密級資源防火墻的端口控制、VLAN訪問控制列表、網(wǎng)絡(luò)接入控制（用戶+口令+USBkey）3用戶終端秘密級終端各個部門秘密級VLAN終端訪問應(yīng)用系統(tǒng)秘密級資源訪問秘密級信息資源防火墻的端口控制、交換機的VLAN訪問控制列表、網(wǎng)絡(luò)接入控制（用戶+口令+USBkey）4視頻會議視頻會議系統(tǒng)視頻會議設(shè)備三級視頻會議訪問非密級信息資源防火墻的端口控制、交換機的VLAN訪問控制根據(jù)對涉密信息系統(tǒng)的現(xiàn)狀分析，在綜合考慮處理信息的密級、行政級別、功能區(qū)，信息交換需求及地域分布的基礎(chǔ)上，由于**********************檢察院在同一個可控區(qū)域里，因此共劃為一個安全域，安全域邊界采用防火墻、IDS等安全設(shè)備進(jìn)行邊界防護，將機房中服務(wù)器劃為重要服務(wù)安全區(qū)域。在安全域內(nèi)部根據(jù)重要性、區(qū)域分布及業(yè)務(wù)情況劃分VLAN，不同VLAN之間設(shè)置嚴(yán)格的訪問控制策略。根據(jù)對**********************人民檢察院專網(wǎng)涉密信息系統(tǒng)脆弱性分析和風(fēng)險分析的結(jié)果，并依據(jù)相關(guān)法規(guī)進(jìn)行涉密信息系統(tǒng)的安全保密建設(shè)，將策略、管理、技術(shù)信息安全三要素融入了涉密信息系統(tǒng)的物理安全、運行安全、信息安全保密措施、安全管理四個安全層面上。本次建設(shè)從物理安全、運行安全、信息安全保密措施、安全管理及安全細(xì)化層面上分析并解決問題，以滿足信息保密要求。隨著應(yīng)用發(fā)展和環(huán)境的變化，**********************人民檢察院將定期對涉密網(wǎng)絡(luò)進(jìn)行風(fēng)險評估，根據(jù)風(fēng)險和威脅的變化，及時調(diào)整和改進(jìn)防護要求。使新的防護策略能夠不斷適應(yīng)涉密信息系統(tǒng)的發(fā)展需求?？傮w的安全策略是按照BMB172006《涉及國家秘密的信息系統(tǒng)分級保護技術(shù)要求》和BMB2020《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》的要求制定：1.**********************人民檢察院專網(wǎng)與外網(wǎng)之間實現(xiàn)物理隔離；2.**********************人民檢察院專網(wǎng)不同安全域之間實現(xiàn)邏輯隔離。配置有防火墻，實現(xiàn)安全代理、信息包過濾、內(nèi)外地址綁定等，防止非授權(quán)用戶經(jīng)過專網(wǎng)非法訪問新疆維吾爾自治區(qū)**********************人民檢察院專網(wǎng)。并部署入侵檢測系統(tǒng)進(jìn)行違規(guī)操作檢測，同時部署審計系統(tǒng)對檢察專網(wǎng)中數(shù)據(jù)進(jìn)行監(jiān)測。、區(qū)域、終端、服務(wù)器、應(yīng)用定密，并對不同密級進(jìn)行安全劃分；，不允許各VLAN之間進(jìn)行數(shù)據(jù)通信；；、文件進(jìn)行加密處理；、統(tǒng)一標(biāo)識、統(tǒng)一認(rèn)證；、防火墻、IDS、網(wǎng)絡(luò)審計、非法外聯(lián)、準(zhǔn)入控制等系統(tǒng)對重要的邊界防護；；，使系統(tǒng)內(nèi)信息的流向達(dá)到可控；、線路傳導(dǎo)干擾器、保密會議移動通信干擾器、微機視頻信息保護等系統(tǒng)進(jìn)行機房、重點區(qū)域及重要終端進(jìn)行電磁防輻射防護。，定期對網(wǎng)絡(luò)進(jìn)行掃描及整改；；；、服務(wù)器病毒抵抗能力，定期更新；，對外設(shè)接口、非法外聯(lián)行為等進(jìn)行控制；。為保護信息系統(tǒng)網(wǎng)絡(luò)設(shè)備、主機服務(wù)器等設(shè)施免遭自然災(zāi)害、人為物理操作失誤或錯誤以及各種以物理手段進(jìn)行違法犯罪行為導(dǎo)致的破壞、丟失等安全威脅，以下從環(huán)境、設(shè)備、介質(zhì)三個方面進(jìn)行詳細(xì)設(shè)計。重要涉密部位和機房選址**********************人民檢察院地理位置為獨立區(qū)域；檢察院周邊沒有防護圍墻，應(yīng)加強出入控制管理。遠(yuǎn)離境外駐華機構(gòu)、境外人員駐地等涉外場所，遠(yuǎn)離商業(yè)、娛樂、旅游餐飲和賓館等人員復(fù)雜的公共場所，滿足GB93611988中B類安全機房場地選擇要求；**********************人民檢察院專網(wǎng)涉密信息系統(tǒng)機房的管理區(qū)、機要室等重要涉密部位設(shè)置在獨立封閉的區(qū)域，遠(yuǎn)離對外業(yè)務(wù)及公用區(qū)。**********************人民檢察院專網(wǎng)中心機房機房最小警戒距離為5米。機房建設(shè)本次建設(shè)中，對于**********************人民檢察院專網(wǎng)涉密信息系統(tǒng)機房未按照GB5017GB/T 28872000、BMB172006的要求進(jìn)行建設(shè)的地方，如：防水、接地、防雷、消防、布線、配電及電磁泄漏等方面要求進(jìn)行改造，以符合國家標(biāo)準(zhǔn)GB93611988中B類機房建設(shè)要求進(jìn)行建設(shè)，建設(shè)完成后提供相關(guān)驗收文檔。重點部位監(jiān)控**********************人民檢察院涉密信息系統(tǒng)中心機房、配線間、要害保密部位以及涉密用戶工作間部署電子監(jiān)控系統(tǒng)，對人員出入情況進(jìn)行記錄及監(jiān)控；加強機要室和中心機房出入人員的控制，制定人員出入中心機房登記制度，不允許非工作人員隨意進(jìn)入中心機房，如需進(jìn)入須經(jīng)過信息中心的審批，并由相關(guān)工作人員進(jìn)行陪同，對于進(jìn)入人員所攜帶的設(shè)備必須進(jìn)行嚴(yán)格限制。區(qū)域控制辦公大院出入口配備警衛(wèi)人員，通過巡邏和視頻監(jiān)控對周邊環(huán)境邊界進(jìn)行有效的安全控制，并在辦公樓出入口設(shè)置警衛(wèi)，涉密場所出入口設(shè)置監(jiān)控系統(tǒng)。216。 **********************人民檢察院邊界控制**********************人民檢察院周邊部署了監(jiān)控裝置。警衛(wèi)人員對周邊進(jìn)行定期巡視。216。 **********************人民檢察院大門出入控制加強來訪人員管理，進(jìn)入**********************人民檢察院須出示有效證件，登記事由，警衛(wèi)人員與接洽人員確認(rèn)后，配發(fā)來訪人員臨時出入證，方可進(jìn)入**********************人民檢察院；加強職工進(jìn)出管理，出入車輛需有停車證，外單位車輛進(jìn)大門時需辦理臨時停車證明。216。 **********************人民檢察院內(nèi)部控制進(jìn)入**********************人民檢察院的來訪人員進(jìn)入保密要害部位時，必須由部門領(lǐng)導(dǎo)同意并由專人陪同方可進(jìn)入，同時登記出入相關(guān)信息。門控措施重要涉密部位具備“三鐵一器”，滿足秘密級要求。對于重要場所出入制定相關(guān)制度，需審批后有人員陪同進(jìn)入。建議在中心機房等重要涉密部位安裝門禁（指紋+口令），對進(jìn)出人員進(jìn)出情況進(jìn)行記錄。采用電子監(jiān)控系統(tǒng)對人員行為進(jìn)行監(jiān)控及錄像，用以防止設(shè)備被盜竊、被損毀和丟失。通過對重要涉密部門部位設(shè)置門禁系統(tǒng)，對非授權(quán)用戶進(jìn)行控制，對要嘗試進(jìn)入涉密部門的非授權(quán)用戶進(jìn)行報警提示。設(shè)備的標(biāo)識與安放對**********************人民檢察院專網(wǎng)涉密信息系統(tǒng)中的所有設(shè)備（含傳真、復(fù)印、打印、刻錄設(shè)備）標(biāo)明涉密屬性和主要用途，標(biāo)識制作時用顏色和文字區(qū)分其所處理信息的最高密級和主要用途，確保設(shè)備標(biāo)識不易被涂改、損壞和丟失；設(shè)備按涉密與非涉密進(jìn)行分類擺放，涉密設(shè)備按涉密屬性（非密、秘密級、機密級）進(jìn)行分類安放。密級標(biāo)簽一般包括：統(tǒng)一編號、設(shè)備型號、序號、密級、從事業(yè)務(wù)、用途、部門、責(zé)任人等內(nèi)容。打印輸出設(shè)備目前**********************人民檢察院內(nèi)打印機分散在各部門，易造成涉密信息擴散和硬件資源浪費，同時不利于文件打印統(tǒng)一管理和審計。此次建設(shè)將**********************人民檢察院現(xiàn)有打印方式改建為通過打印服務(wù)器集中打印，打印服務(wù)器安置在**********************人民檢察院（暫稱文印室）。同時關(guān)閉客戶端共享打印服務(wù)，打印設(shè)專人管理，打印涉密文件后需要登記記錄，其主要記錄內(nèi)容應(yīng)包括：打印人、打印時間、文件名稱、文檔類別、打印輸出主機。在技術(shù)上，通過主機監(jiān)控與審計系統(tǒng)對打印輸出設(shè)備使用進(jìn)行控制，并啟用“打印審計”功能用來記錄用戶的打印行為，根據(jù)實際情況進(jìn)行打印授權(quán)開放，以防止打印輸出結(jié)果被非授權(quán)查看，主機監(jiān)控與審計系統(tǒng)能對打印的行為進(jìn)行詳細(xì)記錄，其記錄內(nèi)容包括：打印時間、文