某公司涉密计算机信息系统安全建设方案

1、某公司涉密计算机信息系统 安全建设方案 *公司 XXXX 高科信息技术有限公司 联合编写 20178 科技与服务创造客户价值 文档信息文档信息 文档名称*公司涉密计算机信息系统安全建设方案 保密级别内部文档版本编号V2.0 文档管理编号GK-A-AQZX-FA-*管理人蒋燕 制作人 制作日期 校对人 制表人 复审人复审日期 扩散范围:双方项目参与人员 文档控制文档控制 变更记录变更记录 日期日期作者作者版本号版本号说明说明 1.0创建文档初始版本 2.6修改和完善 3.0修订 3.9根据 月 日 评审意见修改 文档审核文档审核 日期日期姓名姓名职位职位 副总经理 高工、CISP 信息安全工程师 四川省国家保密局特邀专家 文档发布文档发布 拷贝号拷贝号文档接收人员文档接收人员单位单位 / 地址地址 *公司 四川省国家保密局 文档说明文档说明 此文档为“*公司涉密计算机信息系统安全建设方案” ，是 XXXX 高科信息技术 有限责任公司受*公司委托编写。本方案旨在根据国家对于涉密计算机信息系统的要 求，给出*公司涉密计算机信息系统安全建设建议，并及时请示国家保密局组织专家 评审。 版权说明版

2、权说明 本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有 特别注明，版权均属 XXXX 高科信息技术有限公司高科信息技术有限公司所有（部分内容版权属*公司公司所有） ， 受到有关产权及版权法保护。任何个人、机构未经双方书面授权许可，不得以任何方式复 制或引用本文件的任何片断。 科技与服务创造客户价值 目目 录录 前言前言.- 5 - 1、概述、概述 .- 6 - 1.1 任务的由来.- 6 - 1.2 任务的范围.- 6 - 1.3 任务的目标.- 6 - 2、系统概括、系统概括 .- 7 - 3、设计依据、设计依据 .- 9 - 4、系统安全建设目标和原则、系统安全建设目标和原则 .- 10 - 4.1 建设目标.- 10 - 4.2 建设原则.- 10 - 5、信息系统安全需求分析、信息系统安全需求分析 .- 11 - 5.1 需求的来源.- 11 - 5.1.1国家信息安全政策的要求.- 11 - 5.1.2科研生产的需要.- 11 - 5.1.3工厂管理的需要.- 11 - 5.1.4 信息系统安全评估的结果.- 12 - 5.2 信息系统安全需求.-

3、 12 - 6、信息定密、系统定级和划分安全域、信息定密、系统定级和划分安全域 .- 14 - 6.1 信息定密.- 14 - 6.2 系统定级.- 14 - 6.3 安全域的划分.- 14 - 7、信息系统安全策略、信息系统安全策略 .- 15 - 7.1 涉密计算机信息系统基本要求.- 15 - 7.2 物理安全策略.- 15 - 7.3 运行安全策略.- 16 - 7.3.1 网管中心服务器存储、备份及恢复安全策略.- 16 - 7.3.2 各部门服务器和客户端存储、备份及恢复安全策略.- 16 - 7.3.3 电源备份安全策略.- 16 - 7.3.4 病毒威胁安全策略.- 16 - 7.3.5 应急响应策略.- 16 - 7.3.6 运行策略.- 17 - 7.4 信息安全策略.- 17 - 7.4.1 身份认证策略.- 17 - 7.4.2 访问控制策略.- 18 - 7.4.3 安全审计策略.- 18 - 7.4.4 信息加密与电磁泄漏防护策略.- 18 - 7.4.5 系统安全性能检测策略.- 19 - 科技与服务创造客户价值 7.4.6 边界安全防护策略.- 19 -

4、 8、物理安全设计、物理安全设计 .- 21 - 8.1 环境安全.- 21 - 8.2 设备安全.- 21 - 8.3 介质安全.- 21 - 9、安全运行体系设计、安全运行体系设计 .- 22 - 9.1 安全存储与备份、恢复.- 22 - 9.2 增加 UPS 后备电源.- 22 - 9.3 计算机病毒防治.- 23 - 9.4 完善应急响应措施.- 23 - 9.5 完善运行管理措施.- 23 - 10、信息安全保密体系设计、信息安全保密体系设计.24 10.1 身份认证解决措施.24 10.2 访问控制解决措施.24 10.3 安全审计解决措施.25 10.4 信息加密与电磁泄漏防护解决方案.25 10.5 系统安全性能检测解决措施.25 10.6 边界安全保护解决措施.25 10.7 安全防范拓扑示意图.26 11.安全管理体系设计安全管理体系设计.27 12、建设实施内容、建设实施内容.28 12.1 综合布线.28 12.2 机房改造.28 12.3 信息系统基础平台建设.29 12.4 安全防范措施.29 13、工程计划、工程计划.30 14、结语、结语.32 科技与

5、服务创造客户价值 前言前言 四川* 责任公司（以下简称“*公司” ）是国家中型企业，属于制造业。 始建于*年，是中国*专业化厂家，是中国*设备制造企业之一，工 厂现有职工 700 余人。 随着*公司企业信息化建设的逐步推进，加强了技术创新和管理创新能力， 使企业及其产品获得市场竞争优势。 随着信息化建设的推进，必须加强信息系统的安全保密建设，以满足国家对 于涉密计算机信息系统的需求。按照保密的密级规定，*公司涉密计算机信息 系统需要按照秘密级进行安全防护建设。 本方案主要根据*公司涉密信息系统建设要求，由 XXXX 高科信息技术有 限公司（以下简称“清华高科公司” ）设计完成。 本方案依据 BMB17-2006/BMB20-2017，结合*公司在新的保密形式下的 需求，紧扣“建设安全保密、经济可用的秘密级信息系统”这一设计目标，旨在 采用先进的网络信息安全技术，保障系统的运行环境和设备安全，防范对信息资 源的非法访问，抵御对涉密资料的非法窃取，保护数据资产的安全，提高*公 司在复杂应用环境下的安全保密能力，达到国家的相关要求。 本方案在现状分析和需求分析的基础上，遵循国家相关保密法律和

6、规范，从 物理安全、网络运行安全、信息保密安全、安全保密管理等方面出发，开展对系 统的脆弱性和风险性分析，进行网络系统的扩展设计以及系统安全设计，提出了 包括访问控制、安全审计、管理监控等安全技术在内的一整套解决方案，满足 BMB17-2006 和 BMB20-2017 相关技术要求。 同时，按照规范的要求，本方案对*公司的安全保密管理提出了解决方法， 包括了管理机构的设立、管理制度的建立、管理技术的实施和人员管理的配套。 科技与服务创造客户价值 1、概述、概述 1.1 任务的由来任务的由来 *公司在企业分离破产后重组新建的四川* 责任公司，企业计划在 2017 年第三季度通过相关的保密资格认证，其中保密资格认证是*公司中重要认证 之一，经过*公司办公会上的充分讨论，以及对各个有涉密计算机信息系统集 成资质公司的比较和筛选，最终确定由清华高科公司来帮助*公司建设涉密计 算机信息系统，并同步建设安全保密系统。 1.2 任务的范围任务的范围 本次任务是编写*公司涉密计算机信息系统的安全建设方案。其范围是* 公司的办公局域网和安全系统的建设，为*公司未来的信息系统应用打好基础。 主要包括：综

7、合布线系统，机房建设，网络基础平台的搭建和安全保密系统的同 步建设。 1.3 任务的目标任务的目标 本次任务有两个目标： 1、借“保密资格认证”的东风，搭建企业局域网平台； 2、同步建设企业安全保密系统，满足保密资格认证的要求。 科技与服务创造客户价值 2、系统概括、系统概括 *公司目前的信息系统规模小，信息应用简单，目前在三个主要办公区域采 用了 3 个 HUB 进行本部门的网络连接（这三个网之间无相互连接） ，其拓扑示意 图如下： 1、*公司目前的信息系统组成有：公司目前的信息系统组成有： 1）单机办公共计 100 多台，主要运行 MS Office 软件； 2）财务审计部和技术管理部的计算机接于各自的 HUB 上，目的是网络办 公和共享打印机； 3）基于非网管的、同房间使用的交换机组成的临时网络，主要运行 CAD 系统，目的是共享文件和打印机； 2、信息系统的资产：、信息系统的资产： 科技与服务创造客户价值 *公司信息系统的资产主要有：全厂的 100 多台的 PC 机，以及 CAD 和财务数据。 3、信息系统的管理：、信息系统的管理： 目前是“谁使用、谁负责、谁运行维护”的状态，

8、没有专业的信息技术 部门统一管理。 4、信息系统的应用系统及重要性：、信息系统的应用系统及重要性： 应用系统包括：财务系统和 CAD 联网应用，这两个系统中 CAD 是* 公司的业务龙头，有较大的重要性。 5、信息系统之间的互联关系：、信息系统之间的互联关系： 实现了和国际互联网的物理隔离，没有和其他网络有连接关系。 6、系统安全管理的组织机构及措施：、系统安全管理的组织机构及措施： *公司成立了保密办，负责检查和教育应用系统确保同国际互联网的物 理隔离。 7、信息系统承载的密级、信息系统承载的密级 *公司目前的单个计算机绝大部分不涉密，全厂涉密等级最高为秘密级， 其主要集中在设计部门和管理部门。 8、涉密人员及涉密计算计算机设备状况、涉密人员及涉密计算计算机设备状况 *公司是传统的军工单位，涉密人员和涉密计算机设备状况均有良好的 制度管理。目前涉密人员定员明确，涉密计算机的设备运行状况也良好， 实行“谁使用谁负责谁应用谁维护”的管理模式。 科技与服务创造客户价值 3、设计依据、设计依据 国家标准国家标准 GB/T28872000 电子计算机场地通用规范 GB/5271.1-2000

9、第一部分：基本术语 GB/5271.8-2001 第八部分：安全 GB/5271.9-2001 第九部分：数据通信 GB/9361-1988 计算站场地安全要求 GB/T9387.2-1995 安全体系结构 GB/T18336-2001 信息技术安全性评估准则 GB50174 电子计算机机房设计规范 GGBB1-1999 信息设备电磁泄漏发射限值 BMB2-1998 使用现场的信息设备电磁泄漏发射检查测试方法和安全判据 BMB3-1999 处理涉密信息的电磁屏蔽的技术要求和测试方法 BMB4-2000 电磁干扰器技术要求和测试方法 BMB5-2000 涉密信息设备使用现场的电磁泄漏发射防护要求 BMZ1-2000 涉及国家秘密的计算机信息系统保密技术要求涉及国家秘密的计算机信息系统保密技术要求 BMB17-2006 涉及国家秘密的信息系统分级保护技术要求涉及国家秘密的信息系统分级保护技术要求 BMB20-2017 涉及国家秘密的信息系统分级保护管理规范涉及国家秘密的信息系统分级保护管理规范 ISO/IEC17799 国家政策国家政策 中华人民共和国保守国家秘密法1988.9.5 国家信

10、息化领导小组关于加强信息安全保障工作的意见中办发 2003 年 27 号 关于加强信息安全保障工作中保密管理的若干意见中保委发 2004 年 7 号 涉及国家秘密的信息系统分级保护管理办法国保发 2005 年 16 号 信息安全等级保护管理办法公通字 2006 年 16 号 科技与服务创造客户价值 4、系统安全建设目标和原则、系统安全建设目标和原则 4.1 建设目标建设目标 建设*公司的安全、稳定、高效的信息系统平台，为未来的系统应用和园区 网络的建设奠定良好的基础和示范。 4.2 建设原则建设原则 规范定密，准确定级；规范定密，准确定级； 依据标准，同步建设；依据标准，同步建设； 突出重点，确保核心；突出重点，确保核心； 明确责任，加强监督。明确责任，加强监督。 以上 32 字原则是本次方案设计的政策性指导，*公司由保密保卫部根据中 国二航的相关规定负责定密，计算机信息系统的最高密级为秘密级； 根据相关国家标准，在搭建企业局域网时同步建设安全系统； 突出保密重点在科研生产和产品设计上，建立信息中心，集中存放产品数据， 确实保障核心涉密数据； 工厂保密委同时明确各个涉密部门和人员的责任

《某公司涉密计算机信息系统安全建设方案》由会员取义分享，可在线阅读，更多相关《某公司涉密计算机信息系统安全建设方案》请在金锄头文库上搜索。