方案
1 系统总体部署
(1)涉密信息系统的组网模式为:服务器区、安全管理区、终端区共同连
接至核心交换机上,组成类似于星型结构的网络模式,参照 TCP/IP 网络模型建
立。核心交换机上配置三层网关并划分 Vlan ,在服务器安全访问控制中间件以
及防火墙上启用桥接模式, 核心交换机、 服务器安全访问控制中间件以及防火墙
上设置安全访问控制策略 (ACL),禁止部门间 Vlan 互访, 允许部门 Vlan 与服务
器 Vlan 通信。核心交换机镜像数据至入侵检测系统以及网络安全审计系统;服
务器区包含原有应用系统; 安全管理区包含网络防病毒系统、 主机监控与审计系
统、windows 域控及 WSUS补丁分发系统、身份认证系统;终端区分包含所有业
务部门。
服务器安全访问控制中间件防护的应用系统有: XXX 系统、 XXX 系统、 XXX
系统、 XXX系统以及 XXX系统、。
防火墙防护的应用系统有: XXX、XXX系统、XXX系统、XXX系统以及 XXX系
统。
(2 )邮件系统的作用是: 进行信息的驻留转发, 实现点到点的非实时通信。
完成集团内部的公文流转以及协同工作。使用 25、110 端口,使用 SMTP协议以
及 POP3协议,内网终端使用 C/S 模式登录邮件系统。
将内网用户使用的邮件账号在服务器群组安全访问控制中间件中划分到不
同的用户组, 针对不同的用户组设置安全级别, 安全级别分为 1-7 级,可根据实
际需求设置相应的级别。 1-7 级的安全层次为: 1 级最低级, 7 级最高级,由 1
到 7 逐级增高。 即低密级用户可以向高密级用户发送邮件, 高密级用户不得向低
密级用户发送,保证信息流向的正确性,防止高密数据流向低密用户。
(3 )针对物理风险,采取红外对射、红外报警、视频监控以及门禁系统进
行防护。针对电磁泄射, 采取线路干扰仪、 视频干扰仪以及红黑电源隔离插座进
行防护。
2 物理安全防护
总体物理安全防护设计如下:
(1)周边环境安全控制
①XXX侧和 XXX侧部署红外对射和入侵报警系统。
②部署视频监控,建立安防监控中心,重点部位实时监控。
具体部署见下表:
表 1-1 周边安全建设
序号 保护部位 现有防护措施 需新增防护措施
1 人员出入通道
2 物资出入通道
序号 保护部位 现有防护措施 需新增防护措施
3 南侧
4 西侧
5 东侧
6 北侧
(2 )要害部门部位安全控制
增加电子门禁系统,采用智能 IC 卡和口令相结合的管理方式。具体防护措
施如下表所示:
表 1-2 要害部门部位安全建设
序号 保护部门 出入口控制 现有安全措施 新增安全措施
1 门锁 / 登记 /
24H 警卫值班
2 门锁
3 门锁
4 门锁
5 门锁 / 登记
6 门锁 / 登记
7 门锁 / 登记