分級保護方案設(shè)計詳解

iiu第三章安全保密風險分析

3.1脆弱性分析

脆弱性是指資產(chǎn)或資產(chǎn)組中能被威脅所運用日勺弱點，它包括物理環(huán)境、組織機構(gòu)、

業(yè)務(wù)流程、人員、管理、硬件、軟件及通訊設(shè)施等各個方面。脆弱性是資產(chǎn)自身存在

的，假如沒有被對應(yīng)的I威脅運用，單純的脆弱性自身不會對資產(chǎn)導致?lián)p害，并且假如

系統(tǒng)足夠強健，嚴重的威脅也不會導致安全事件發(fā)生，并導致?lián)p失。威脅總是要運用

資產(chǎn)的脆弱性才也許導致危害。

資產(chǎn)的脆弱性具有隱蔽性，有些脆弱性只有在一定條件和環(huán)境下才能顯現(xiàn)，這是

脆弱性識別中最為困難H勺部分。不對的H勺、起不到任何作用H勺或沒有對H勺實行的安全

措施自身就也許是一種弱點，脆弱性是風險產(chǎn)生的內(nèi)在原因，多種安全微弱環(huán)節(jié)、安

全弱點自身并不會導致什么危害，它們只有在被多種安全威脅運用后才也許導致對應(yīng)

的危害。

針對XXX機關(guān)涉密信息系統(tǒng),我們重要從技術(shù)和管理兩個方面分析其存在的安全

脆弱性。

技術(shù)脆弱性

1.物理安全脆弱性：

環(huán)境安全：物理環(huán)境的安全是整個基地涉密信息系統(tǒng)安全得以保障的前提。假如

物理安全得不到保障，那么網(wǎng)絡(luò)設(shè)備、設(shè)施、介質(zhì)和信息就輕易受到自然災害、環(huán)境

事故以及人為物理操作失誤或錯誤等多種物理手段『、J破壞，導致有價值信息的丟失。

目前各級XXX企業(yè)的中心機房大部分采用獨立的工作空間，并口可以到達國標

GB50174.1993《電子計算機機房設(shè)計規(guī)范》、GB2887.1989《計算機場地技術(shù)條件》、

GB9361.1998《計算站場地安全規(guī)定》和BMBI7—2023《波及國家秘密日勺信息系統(tǒng)

分級保護技術(shù)規(guī)定》等規(guī)定。

設(shè)備安全：涉密信息系統(tǒng)的中心機房均按照保密原則規(guī)定采用了安全防備措施，

防止非授權(quán)人員進入，防止設(shè)備發(fā)生被盜、被毀日勺安全事故。

介質(zhì)安全：目前各級XXX企業(yè)歐|軟磁盤、硬盤、光盤、磁帶等涉密媒體按所存儲

信息的最高密級標明密級，并按對應(yīng)日勺密級管理。

2.運行安全脆弱性分析

備份與恢復：備份與恢第是保證涉密信息系統(tǒng)運行安全日勺一種不可忽視問題，當

碰到（如火災、水災等）不可抗原因，不會導致關(guān)鍵業(yè)務(wù)數(shù)據(jù)無法恢復的慘痛局面。同

步將備份關(guān)鍵業(yè)務(wù)數(shù)據(jù)1勺存儲介質(zhì)放置在其他建筑屋內(nèi)，防止在異常事故發(fā)生時被同

步破壞。

網(wǎng)絡(luò)防病毒：各級XXX企業(yè)涉密網(wǎng)絡(luò)中的操作系統(tǒng)重要是windows系列操作系

統(tǒng)。雖有安全措施，卻在不一樣程度上存在安全漏洞。同步，病毒也是對涉密網(wǎng)絡(luò)安

全的重要威脅，有些病毒可感染擴展名為corn、exe和。vl的可執(zhí)行文獻，當運行這

些被感染的可執(zhí)行文獻時就可以激活病毒，有些病毒在系統(tǒng)底層活動，使系統(tǒng)變得非

常不穩(wěn)定，輕易導致系統(tǒng)瓦解。尚有蠕蟲病毒可通過網(wǎng)絡(luò)進行傳播，感染的計算機輕

易導致系統(tǒng)口勺癱瘓。近年來，木馬的泛濫為計算機的安全帶來了嚴重口勺安全問題。木

馬一般是病毒攜帶的一種附屬程序，在被感染的計算機上打開一種后門，使被感染的

計算機喪失部分控制權(quán)，此外尚有黑客程序等，可以運用系統(tǒng)口勺漏洞和缺陷進行破壞,

都會為涉密網(wǎng)絡(luò)帶來安全風險。各級XXX企業(yè)涉密網(wǎng)絡(luò)中采用網(wǎng)絡(luò)版殺毒軟件對涉密

系統(tǒng)進行病毒防護，并制定合理的病毒升級方略和病毒應(yīng)急響應(yīng)計劃以保證涉密網(wǎng)絡(luò)

的安全。

應(yīng)急響應(yīng)與運行管理：各級XXX企業(yè)采用管理與技術(shù)結(jié)合日勺手段，設(shè)置定期備份

機制，在系統(tǒng)正常運行時就通過多種備份措施為災害和故障做準備；健全安全管理機

構(gòu)，建立健全區(qū)I安全事件管理機構(gòu)，明確人員歐I分工和責任；建立處理流程圖，制定

安全事件響應(yīng)與處理計劃及事件處理過程示意圖，以便迅速恢復被安全事件破壞的系

統(tǒng)。

3.信息安全保密脆弱性

自身脆弱性：任何應(yīng)用軟件都存在不一樣程度的安全問題，重要來自于兩個方面:

首先是軟件設(shè)計上的安全漏洞；另首先是安全配置的漏洞。針對軟件設(shè)計上的安全漏

洞和安全配置的漏洞，假如沒有進行合適的配置加固和安全修補，就會存在匕較多的I

安全風險。由于目前防病毒軟件大多集成了部分漏洞掃描功能，并且涉密網(wǎng)絡(luò)中的涉

密終端與互聯(lián)網(wǎng)物理隔離，因此可以通過對涉密網(wǎng)絡(luò)講行漏洞掃描，定期下載升級補

丁，并制定對應(yīng)日勺安全方略來防護。

電磁泄漏發(fā)射防護：信息設(shè)備在工作中產(chǎn)生的時變電流引起電磁泄漏發(fā)射，將設(shè)

備處理的信息以電磁波的形式泄露在自由空間和傳導線路上，通過接受這種電磁波并

采用對應(yīng)的信號處理技術(shù)可以竊取到信息。這種竊收方式危險小，不易被發(fā)現(xiàn)和察覺,

伴隨我國信息化水平的不停提高，我國涉密部門大量使用計算機、網(wǎng)絡(luò)終端等辦公自

動化設(shè)備，涉密信息的安全保密受到嚴重威脅，這種威脅不像病毒襲擊和網(wǎng)絡(luò)襲擊那

樣可以看到或者有跡可尋，它的隱蔽性強，危害極大。

安全審計：安全審計是對信息系統(tǒng)的多種事件及行為實行監(jiān)測、信息采集、分析

并針對特定事件及行為采用對應(yīng)動作，XXXXXX企業(yè)涉密信息系統(tǒng)沒有有效日勺審計，

應(yīng)用系統(tǒng)出現(xiàn)了問題之后無法追查，也不便于發(fā)現(xiàn)問題，導致了損失也很難對原因進

行定性。

邊界安全防護：計算機連接互聯(lián)網(wǎng)存在著木馬、病毒、黑客入侵的威脅，并且我

國安全保密技術(shù)手段尚不完備、對操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備日勺關(guān)鍵技術(shù)尚未掌握，局限性

以抵擋高技術(shù)竊密，因比涉密網(wǎng)絡(luò)必須與互聯(lián)網(wǎng)物理隔離，而僅將涉密系統(tǒng)置于獨立

的環(huán)境內(nèi)進行物理隔離，并不能做到與互聯(lián)網(wǎng)完全隔離，內(nèi)部顧客還可以通過ADSL、

Modem,無線網(wǎng)卡等方式連接國際互聯(lián)網(wǎng)，因此應(yīng)當通過技術(shù)手段，對違規(guī)外聯(lián)行

為進行阻斷，此外，涉密網(wǎng)絡(luò)中日勺內(nèi)部介入問題也為涉密網(wǎng)絡(luò)帶來安全威脅，

數(shù)據(jù)庫安全：數(shù)據(jù)庫系統(tǒng)作為計算機信息系統(tǒng)的重要構(gòu)成部分，數(shù)據(jù)庫文獻作為

信息的匯集體，肩負著存儲和管理數(shù)據(jù)信息日勺任務(wù)，其安全性將是信息安全口勺重中之

重。數(shù)據(jù)庫的安全威脅重要分為非人為破壞和人為破壞，對于非人為破壞，重要依托

定期備份或者熱備份等，并在異地備份。人為破壞可以從三個方面來防護：一、物理

安全，保證數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)庫所在環(huán)境、有關(guān)網(wǎng)絡(luò)日勺物理安全性；二、訪問控制，

在帳號管理、密碼方略、權(quán)限控制、顧客認證等方面加強限制；三、數(shù)據(jù)備份，定期

的進行數(shù)據(jù)備份是減少數(shù)據(jù)損失H勺有效手段，能讓數(shù)據(jù)庫遭到破壞后，恢復數(shù)據(jù)資源。

操作系統(tǒng)安全：操作系統(tǒng)H勺安全性在計算機信息系統(tǒng)的整體安全性中具有至關(guān)重

要口勺作用，沒有操作系統(tǒng)提供口勺安全性，信息系統(tǒng)和其他應(yīng)用系統(tǒng)就好比“建筑在沙

灘上的城堡”。我國使用的操作系統(tǒng)95%以上是Windows,微軟口勺Windows操作系

統(tǒng)源碼不公開，無法對其進行分析，不能排除其中存在著人為“陷阱”?，F(xiàn)已發(fā)現(xiàn)存

在著將顧客信息發(fā)送到微軟網(wǎng)站的“后門”。在沒有源碼的情形下，很難加強操作系

統(tǒng)內(nèi)核日勺安全性，從保障我國網(wǎng)絡(luò)及信息安全日勺角度考慮，必須增強它的安全性，因

此采用設(shè)計安全隔離層一一中間件的方式，增長安全模塊，以解燃眉之急。

管理脆弱性

任何信息系統(tǒng)都離不開人的管理，再好H勺安全方略最終也要靠人來實現(xiàn)，因此管

理是整個網(wǎng)絡(luò)安全中最為重要的一環(huán)，因此有必要認真地分析管理所存在口勺安全風

險，并采用對應(yīng)日勺安全措施。

物理環(huán)境與設(shè)施管理脆弱性：包括周圍環(huán)境、涉密場所和保障設(shè)施等。

人員管理脆弱性：包括內(nèi)部人員管理、外部有關(guān)人員管理等。

設(shè)備與介質(zhì)管理脆弱性：采購與選型、操作與使用、保管與保留、維修與報廢等。

運行與開發(fā)管理脆弱性：運行使用、應(yīng)用系統(tǒng)開發(fā)、異常事件等。

信息保密管理脆弱性：信息分類與控制、顧客管理與授權(quán)、信息系統(tǒng)互聯(lián)。責權(quán)

不明、管理混亂、安全管理制度不健全及缺乏可操作性等。

當網(wǎng)絡(luò)出現(xiàn)襲擊行為、網(wǎng)絡(luò)受到其他某些安全威脅（如：內(nèi)部人員違規(guī)操作）以及

網(wǎng)絡(luò)中出現(xiàn)未加保護而傳播工作信息和敏感信息時，系統(tǒng)無法進行實時日勺檢測、監(jiān)控、

匯報與預警。同步，當事故發(fā)生后，也無法提供追蹤襲擊行為的線索及破案根據(jù)，即

缺乏對網(wǎng)絡(luò)日勺可控性與可審查性。這就規(guī)定我們必須對網(wǎng)絡(luò)內(nèi)出現(xiàn)日勺多種訪問活動進

行多層次記錄，及時發(fā)現(xiàn)非法入侵行為和泄密行為。

要建設(shè)涉密信息系統(tǒng)建立有效的信息安全機制，必須深刻理解網(wǎng)絡(luò)和網(wǎng)絡(luò)安全，

并能提供直接的安全處理方案，因此最可行日勺做法是安全管理制度和安全處理方案相

結(jié)合，并輔之以對應(yīng)日勺安全管理工具。

3.2威脅分析

威脅源分析

作為一種較封閉H勺內(nèi)網(wǎng)，襲擊事件H勺威脅源以內(nèi)部人員為主，內(nèi)部人員襲擊可以

分為惡意和無惡意襲擊，襲擊目的一般為機房、網(wǎng)絡(luò)設(shè)備、主機、介質(zhì)、數(shù)據(jù)和應(yīng)用

系統(tǒng)等，惡意襲擊指XXX企業(yè)內(nèi)部人員對信息的竊??；無惡意襲擊指由于粗心、無知

以及其他非惡意日勺原因而導致的破壞。

對于XXX機關(guān)涉密信息系統(tǒng)來講，內(nèi)部人員襲擊H勺行為也許有如下幾種形式：

1.被敵對勢力、腐敗分子收買，竊取業(yè)務(wù)資料；

2.惡意修改設(shè)備日勺配置參數(shù)，例如修改各級XXX企業(yè)網(wǎng)絡(luò)中布署日勺防火墻訪問

控制方略，擴大自己日勺訪問權(quán)限；

3.惡意進行設(shè)備、傳播線路日勺物理損壞和破壞；

4.出于粗心、好奇或技術(shù)嘗試進行無意歐I配置，這種行為往往對系統(tǒng)導致嚴重

日勺后果，并且防備難度比較高。

襲擊類型分析

1.被動襲擊：被動襲擊包括分析通信流，監(jiān)視未被保護的通訊，解密弱加密通

訊，獲取鑒別信息（例圻口令）。被動襲擊也許導致在沒有得到顧客同意或告知顧客的

狀況下，將信息或文獻泄露給襲擊者。對于各級XXX企業(yè)網(wǎng)絡(luò)來講，被動襲擊的行為

也許有如下幾種形式：

1）故意識的對涉密信息應(yīng)用系統(tǒng)進行竊取和窺探嘗試；

2）監(jiān)聽涉密信息河絡(luò)中傳播口勺數(shù)據(jù)包;

3）對涉密信息系統(tǒng)中明文傳遞的I數(shù)據(jù)、報文進行截取或篡改;

4）對加密不善的I帳號和口令進行截取，從而?在網(wǎng)絡(luò)內(nèi)獲得更大的訪問權(quán)限；

5）對網(wǎng)絡(luò)中存在漏洞的操作系統(tǒng)進行探測；

6）對信息進行未授權(quán)的訪問；

2.積極襲擊：積極襲擊包括試圖阻斷或攻破聚護機制、引入惡意代碼、盜竊或

篡改信息。積極攻打也許導致數(shù)據(jù)資料日勺泄露和散播，或?qū)е戮芙^服務(wù)以及數(shù)據(jù)的篡

改。對于XXX機關(guān)涉密信息系統(tǒng)來講，積極襲擊日勺行為也許有如下幾種形式：

1）字典襲擊：黑客運用某些自動執(zhí)行日勺程序猜測顧客名和密碼，獲取對內(nèi)部應(yīng)

用系統(tǒng)日勺訪問權(quán)限；

2）劫持襲擊：在涉密信息系統(tǒng)中雙方進行會話時被第三方（黑客）入侵，黑客黑掉

其中一方，并冒充他繼續(xù)與另一方進行會話，獲得其關(guān)注的信息；

3）假冒：某個實體假裝成此外一種實體，以便使一線日勺防衛(wèi)者相信它是一種合

法的J實體，獲得合法顧客的權(quán)利和特權(quán)，這是侵入安全防線最為常用H勺措施：

4）截?。浩髨D截取并修改在本院涉密信息系統(tǒng)絡(luò)內(nèi)傳播的數(shù)據(jù)，以及省院、地

市院、區(qū)縣院之間傳播口勺數(shù)據(jù)；

5）欺騙：進行IP地址欺騙，在設(shè)備之間公布假路由，虛假AI沖數(shù)據(jù)包；

6）重放：襲擊者對截獲的某次合法數(shù)據(jù)進行拷貝，后來出于非法目的而重新發(fā)

送：

7）篡改：通信數(shù)據(jù)在傳播過程中被變化、刪除或替代；

8）惡意代碼：惡意代碼可以通過涉密信息網(wǎng)絡(luò)的外部接口和軟盤上的文獻、軟

件侵入系統(tǒng)，對涉密信息系統(tǒng)導致?lián)p害;

9）業(yè)務(wù)拒絕：對通信設(shè)備的使用和管理被無條件地拒絕。

絕對防止積極襲擊是十分困難的，因此抗擊積極襲擊的重要途徑是檢測，以及對

此襲擊導致日勺破壞進行恢復。

3.3風險的識別與確定

風險識別

物理環(huán)境安全風險：網(wǎng)絡(luò)日勺物理安全風險重要指網(wǎng)絡(luò)周圍環(huán)境和物理特性引起日勺

網(wǎng)絡(luò)設(shè)備和線路日勺不可用，而導致網(wǎng)絡(luò)系統(tǒng)日勺不可用，如：

1）涉密信息日勺非授權(quán)訪問，異常的審計事件；

2）設(shè)備被盜、被毀壞；

3）線路老化或被故意或者無意時破壞；

4）因電子輻射導致信息泄露；

5）因選址不妥導致終端處理內(nèi)容被窺視；

6）打印機位置選擇不妥或設(shè)置不妥導致輸出內(nèi)容被盜竊；

7）設(shè)備意外故障、停電；

8）地震、火災、水災等自然災害。

因此，XXX企業(yè)涉密信息系統(tǒng)在考慮網(wǎng)絡(luò)安全風險時，首先要考慮物理安全風險。

例如：設(shè)備被盜、被毀壞；設(shè)備老化、意外故障；計算機系統(tǒng)通過無線電輻射泄露秘

密信息等。

介質(zhì)安全風險：因溫度、濕度或其他原因，多種數(shù)據(jù)存儲媒體不能正常使用；因

介質(zhì)丟失或被盜導致的泄密；介質(zhì)被非授權(quán)使用等。

運行安全風險：涉密信息系統(tǒng)中運行著大量的網(wǎng)絡(luò)設(shè)備、服務(wù)器、終端，這些系

統(tǒng)日勺正常運行都依托電力系統(tǒng)的良好運轉(zhuǎn)，因電力供應(yīng)忽然中斷或由于UPS和油機

未能及時開始供電導致服務(wù)器、應(yīng)用系統(tǒng)不能及時關(guān)機保留數(shù)據(jù)導致的數(shù)據(jù)丟失。由

于備份措施不到位，導致備份不完整或恢復不及時等問題。

信息安全保密風險：涉密信息系統(tǒng)中采用日勺操作系統(tǒng)(重要為Windows2023

server,WindowsXP)＞數(shù)據(jù)庫都不可防止地存在著多種安全漏洞，并且漏洞被發(fā)現(xiàn)與

漏洞被運用之間日勺時間差越來越大，這就使得操作系統(tǒng)自身日勺安全性給整個涉密信息

系統(tǒng)帶來巨大的安全風險。另首先，病毒已成為系統(tǒng)安全的重要威脅之一，尤其是伴

隨網(wǎng)絡(luò)的發(fā)展和病毒網(wǎng)絡(luò)化趨勢，病毒不僅對網(wǎng)絡(luò)中單機構(gòu)成威脅，同步也對網(wǎng)絡(luò)系

統(tǒng)導致越米越嚴重的破壞，所將這些都導致了系統(tǒng)安全的脆弱性。

涉密信息系統(tǒng)中網(wǎng)絡(luò)應(yīng)用系統(tǒng)中重要存在如下安全風險：

1.顧客提交的業(yè)務(wù)信息被監(jiān)聽或修改；顧客對成功提交的'業(yè)務(wù)事后抵賴；

2.由于網(wǎng)絡(luò)某些應(yīng)用系統(tǒng)中存在著某些安全漏洞，包括數(shù)據(jù)庫系統(tǒng)與IIS系統(tǒng)中

大量漏洞被越來越多地發(fā)現(xiàn)，因此存在非法顧客運用這些漏洞對專網(wǎng)中口勺這些服務(wù)器

進行襲擊等風險。

服務(wù)系統(tǒng)登錄和主機登錄使用的是靜態(tài)口令，口令在一定期間內(nèi)是不變內(nèi)，且在

數(shù)據(jù)庫中有存儲記錄，可反復使用。這樣非法顧客通過網(wǎng)絡(luò)竊聽，非法數(shù)據(jù)庫訪問，

窮舉襲擊，重放襲擊等手段很輕易得到這種靜態(tài)口令，然后，運用口令，可對資源非

法訪問和越權(quán)操作。此外，在XXX企業(yè)涉密信息系統(tǒng)中運行多種應(yīng)用系統(tǒng)，各應(yīng)用系

統(tǒng)中幾乎都需要對顧客權(quán)限口勺劃分與分派，這就不可防止地存在著假冒，越權(quán)操作等

身份認證漏洞。此外網(wǎng)絡(luò)邊界缺乏防護或訪問控制措施不力、以及沒有在重要信息點

采用必要的電磁泄漏發(fā)射防護措施都是導致信息泄露的原因。

安全保密管理風險：再安全的網(wǎng)絡(luò)設(shè)備離不開人的管理，再好日勺安全方略最終要

靠人來實現(xiàn)，因此管理是整個網(wǎng)絡(luò)安全中最為重要的一環(huán)，尤其是對于一種匕較龐大

和復雜日勺網(wǎng)絡(luò)，更是如此。

XXX企業(yè)在安全保密管理方面也許會存在如下風險：當網(wǎng)絡(luò)出現(xiàn)襲擊行為或網(wǎng)絡(luò)

受到其他某些安全威脅時（如內(nèi)部人員日勺違規(guī)操作等），無法進行實時的檢測、監(jiān)控、

匯報與預警。雖然制定了有關(guān)管理制度，不過缺乏支撐管理歐I技術(shù)手段，使事故發(fā)生

后，無法提供襲擊行為的追蹤線索及破案根據(jù)。因此，最可行M故法是管理制度和管

理處理方案的結(jié)合。

風險分析成果描述

風險只能防止、防止、減少、轉(zhuǎn)移和接受，但不也許完全被消滅。風險分析就是

分析風險產(chǎn)生/存在日勺客觀原因，描述風險日勺變化狀況，并給出可行的風險減少計劃。

XXX企業(yè)涉密信息系統(tǒng)日勺分級保護方案應(yīng)當建立在風險分析日勺基礎(chǔ)之上，根據(jù)

“脆弱性分析”和“威脅分析”中所得到的系統(tǒng)脆弱性和威脅的分析成果，詳細分析

它們被運用日勺也許性日勺大小，并且要評估假如襲擊得手所帶來的后果，然后再根據(jù)涉

密信息系統(tǒng)所能承受日勺風險，來確定系統(tǒng)的保護重點。本方案所采用的風險分析措施

為“安全威脅原因分析法”，圍繞信息的“機密性”、“完整性”和“可用性”三個最

基本日勺安全需求，針對前述每一類脆弱性的潛在威脅和后果進行風險分析并以表格的

形式體現(xiàn)，對于也許性、危害程度、風險級別，采用五級來表達，等級最高為五級（表

****）,如下表：

層面脆弱和威脅也許性危害程度風險級別

自然災害與環(huán)境事故、電力中斷*******火*火

物理層

重要設(shè)備被盜**********火*

內(nèi)外網(wǎng)信號干擾***********

電磁輻射***********

惡劣環(huán)境對傳播線路產(chǎn)生電磁干擾大*火*********

采用紙制介質(zhì)存儲重要口勺機密信息*火*火********

線路竊聽***********

存儲重要日勺機密信息移動介質(zhì)隨意放置*****火****火火火

網(wǎng)絡(luò)拓撲構(gòu)造不合理導致旁路可以出現(xiàn)安

****火****

全漏洞

不一樣顧客群、K一樣權(quán)限的訪問省混在一

****火***

起，不能實既有效的分離

網(wǎng)絡(luò)阻塞，顧客不能實現(xiàn)正常的訪問**********

非法顧客對服務(wù)器口勺安全威脅*********

網(wǎng)絡(luò)層

共享網(wǎng)絡(luò)資源帶來的安全威脅*******

系統(tǒng)重要管理信息的泄漏火火**火*火***

傳播黑客程序**火火****

進行信息監(jiān)聽******火*

ARP襲擊威脅******火**

運用TCP協(xié)議缺陷實行拒絕服務(wù)襲擊********

操作系統(tǒng)存在著安全漏洞***火火火火****

系統(tǒng)配置不合理***********

操作系統(tǒng)訪問控制脆弱性********

系統(tǒng)層網(wǎng)絡(luò)病毒襲擊***火火********

合法顧客積極泄密火*********

非法外連**火火**火***

存儲信息丟失**********

應(yīng)用軟件自身脆弱性女女***女夫犬女

應(yīng)用系統(tǒng)訪問控制風險火火****火火火

應(yīng)用軟件安全方略、代碼設(shè)計不妥*********

數(shù)據(jù)庫自身口勺安全問題**********

應(yīng)用層

抵賴風險***********

缺乏審計*火***火火火*十**火

操作系統(tǒng)安全帶來口勺風險********今***

數(shù)據(jù)庫安全風險**********

松散的管理面臨泄密的風險火火火火*****火火火火火

安全保密管理機構(gòu)不健全火火火火火火火火火****

管理層人員缺乏安全意識**************

人員沒有足夠H勺安全技術(shù)的培訓***************

安全規(guī)則制度不完善***************

表3-1XXX企業(yè)涉密信息系統(tǒng)風險分析表

第四章安全保密需求分析

4.1技術(shù)防護需求分析

機房與重要部位

XXX企業(yè)內(nèi)網(wǎng)和外網(wǎng)已實現(xiàn)物理隔離，置于不一樣日勺機房內(nèi)。內(nèi)網(wǎng)機房、機要室

等重要部位將安裝電子監(jiān)控設(shè)備，并配置了報警裝置及電子門控系統(tǒng)，對進出人員進

行了嚴格控制，并在其他要害部門安裝了防盜門，基本滿足保密原則規(guī)定。

網(wǎng)絡(luò)安全

物理隔離：由于XXX企業(yè)口勺特殊性，XXX企業(yè)已組建了自己口勺辦公內(nèi)網(wǎng)，與其他

公共網(wǎng)絡(luò)采用了物理隔嗡，滿足保密原則規(guī)定。

網(wǎng)絡(luò)設(shè)備的標識與安放：XXX企業(yè)現(xiàn)階段，雖然在管理制度上對專網(wǎng)計算機進行

管理規(guī)定，但沒有對設(shè)客的密級和重要用途進行標識，因此需要進行改善，并按照設(shè)

備涉密屬性進行分類安放，以滿足保密原則規(guī)定。

違規(guī)外聯(lián)監(jiān)控：XXX企業(yè)專網(wǎng)建成后，網(wǎng)絡(luò)雖然采用了物理隔離，但缺乏對涉密

計算機的違規(guī)外聯(lián)行為H勺監(jiān)控和阻斷，例如內(nèi)部員工私自撥號上網(wǎng)，通過無線網(wǎng)絡(luò)上

網(wǎng)等。所認為了防止這種行為的發(fā)生，在涉密網(wǎng)建設(shè)中需要一套違規(guī)外聯(lián)監(jiān)控軟件對

非授權(quán)計算機的上網(wǎng)行為進行阻斷。

網(wǎng)絡(luò)惡意代碼與計算機病毒防治：病毒對于計算機來說是個永恒的話題，就像人

會感染病菌而生病同樣，計算機也會感染病毒而導致異常，同步有些病毒的爆發(fā)還會

導致計算機網(wǎng)絡(luò)癱瘓、重要數(shù)據(jù)丟失等后果，XXX機關(guān)充足考慮到這一問題，配置

了網(wǎng)絡(luò)版殺毒軟件，系統(tǒng)內(nèi)日勺關(guān)鍵入口點以及各顧客終端、服務(wù)器和移動計算機設(shè)備

設(shè)置了防護措施，保證惡意代碼與計算機病毒不會通過網(wǎng)絡(luò)途徑傳播進入涉密網(wǎng)，同

步也保證移動存儲設(shè)備介入涉密網(wǎng)后，不會感染涉密網(wǎng)絡(luò)。同步還制定了殺毒軟件升

級日勺手段，基本滿足保密原則規(guī)定。

網(wǎng)絡(luò)安全審計：目前網(wǎng)絡(luò)安全問題大多數(shù)出目前內(nèi)部網(wǎng)絡(luò)，而XXX企業(yè)涉密信息

系統(tǒng)的建設(shè)卻缺乏這種安全防護和審計手段，因此為了保證內(nèi)部網(wǎng)絡(luò)安全，需要配置

安全審計系統(tǒng)，對公共資源操作進行審計控制，理解計算機的局域網(wǎng)內(nèi)部單臺計算機

網(wǎng)絡(luò)的連接狀況，對計算機局域網(wǎng)內(nèi)網(wǎng)絡(luò)數(shù)據(jù)的采集、分析、存儲立案。通過實時審

計網(wǎng)絡(luò)數(shù)據(jù)流，根據(jù)顧客設(shè)定的I安全控制方略，對受控對象H勺活動進行審計，

安全漏洞掃描：處理網(wǎng)絡(luò)層安全問題，首先要清晰網(wǎng)絡(luò)中存在哪些隱患、脆弱點。

面對大型網(wǎng)絡(luò)的復雜性和不停變化的狀況，依托網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗尋找安全漏

洞、做出風險評估，顯然是不現(xiàn)實口勺。處理的方案是，尋找一種能掃描網(wǎng)絡(luò)安全漏洞、

評估并提出修改提議的網(wǎng)絡(luò)安全掃描工具。因此本項目中需要配置安全漏洞掃描系

統(tǒng)。

信息傳播密碼保護；加密傳播是網(wǎng)絡(luò)安全重要手段之一。信息口勺泄露諸多都是在

鏈路上被搭線竊取，數(shù)據(jù)也也許由于在鏈路上被截獲、被篡改后傳播給對方，導致數(shù)

據(jù)真實性、完整性得不到保證。假如運用加密設(shè)備對傳播數(shù)據(jù)進行加密，使得在網(wǎng)上

傳口勺數(shù)據(jù)以密文傳播，由于數(shù)據(jù)是密文。因此雖然在傳播過程中被截獲，入侵者也讀

不懂，并且加密機還能通過先進性技術(shù)手段對數(shù)據(jù)傳播過程中的完整性、真實性進行

鑒別?？梢员ＷC數(shù)據(jù)的保密性、完整性及可靠性。XXX機關(guān)對異地數(shù)據(jù)傳播進行加密,

在區(qū)縣院設(shè)置加密卡完畢傳數(shù)據(jù)局的保密。

網(wǎng)絡(luò)接口控制：在BMB0原則中明確規(guī)定，對系統(tǒng)中網(wǎng)絡(luò)設(shè)備暫不使用歐I所有

網(wǎng)絡(luò)連接口采用安全控制措施，防止被非授權(quán)使用。因此僅靠管理制度是難以滿足之

一規(guī)定的J,需要套管理軟件對系統(tǒng)的USB、串口并口、1394、Modem、網(wǎng)卡、軟驅(qū)、

光驅(qū)、紅外線等設(shè)備端口進行控制，已滿足保密原則日勺規(guī)定。

電磁泄漏發(fā)射防護：計算機系統(tǒng)在工作時，系統(tǒng)日勺顯示屏、機殼縫隙、鍵盤、連

接電纜和接口等處會發(fā)生信息的電磁泄漏，泄漏方式為線路傳導發(fā)射和空間輻射。運

用計算機設(shè)備的電源泄漏竊取機密信息是國內(nèi)外情報機關(guān)截獲信息的重要途徑，由于

用高敏捷度日勺儀器截獲計算機及外部設(shè)備中泄漏日勺信息，比用其他措施獲得情報要精

確、可靠、及時、持續(xù)的多，并且隱蔽性好，不易被對方察覺，因此防電磁泄漏是信

息安全的一種重要環(huán)節(jié)，XXXXXX企業(yè)對電磁泄漏發(fā)射防護缺乏技術(shù)保護手段，不滿

足保密原則規(guī)定，存在隱患，因此需要通過電磁泄漏防護措施，如：配置線路傳到干

擾器，配置屏蔽機柜，配置低輻射設(shè)備（紅黑隔離插座）、干擾器（視頻干擾器），有

效抵御泄漏信息在空間擴散被截獲對信息機密行的威脅。

備份與恢復：是涉密網(wǎng)建設(shè)的重要構(gòu)成部分，一旦出現(xiàn)數(shù)據(jù)丟失或網(wǎng)絡(luò)設(shè)備癱瘓

所導致的損失是無法估計的。在涉密網(wǎng)建設(shè)中備份與恢復可以分為兩方面的內(nèi)容，一

是對涉密數(shù)據(jù)及關(guān)鍵業(yè)務(wù)數(shù)據(jù)的備份。可以通過在線備份、離線備份、異地備份等形

式完畢。目前常用的是通過磁盤鏡像、磁帶機備份、刻錄光盤等方式備份。二是對關(guān)

鍵設(shè)備口勺備份與恢復，可以采用雙機熱備的形式進行防護，并制定詳細口勺恢復方案和

計劃。

主機安全

目前.XXX企業(yè)內(nèi)網(wǎng)終端日勺安全保密建設(shè)只是安裝有防病毒軟件的客戶端程序，對

主機安全的需求尚有:

（1）需要布署國產(chǎn)防病毒軟件客戶端程序，并及時、統(tǒng)一升級病毒庫，防止惡

意代碼影響計算機正常運行；

（2）需要布署保密管理系統(tǒng)，對終端外設(shè)及接口進行控制，對顧客敏感操作行

為進行審計，對移動存儲介質(zhì)歐I使用授權(quán)和管理，對也許發(fā)生歐J違規(guī)外聯(lián)行為進行阻

斷和報警，制止與工作無關(guān)日勺應(yīng)用程序的I運行。

（3）需要及時升級操作系統(tǒng)、數(shù)據(jù)庫補丁，防止由于系統(tǒng)漏洞導致涉密信息失

泄密；

（4）加強主機開機、系統(tǒng)登陸、遠程管理等操作日勺身份鑒別機制，根據(jù)原則規(guī)

定執(zhí)行密碼設(shè)置或采用更為有效日勺身份鑒別措施；

（5）需要安裝視頻信息保護機，防止終端顯示屏設(shè)備電磁發(fā)射泄漏導致的失泄

密風險；

（6）需要安裝紅黑電源隔離插座，有效隔離紅黑設(shè)備的供電電源，防止電源線

傳導泄漏導致的I失泄密風險。

介質(zhì)安全

介質(zhì)標識：對硬盤、軟盤、光盤、磁帶、USB盤等涉密信息存儲介質(zhì)根據(jù)其所處

理信息的最高密級進行標識；涉密信息存儲介質(zhì)的密級標識不易被涂改、損壞和丟失。

介質(zhì)的收發(fā)和傳遞：制定介質(zhì)收發(fā)日勺管理制度，制定規(guī)定對涉密信息存儲介質(zhì)履

行清點、等級、編號等手續(xù)日勺有關(guān)容；制定介質(zhì)收發(fā)記錄，記錄包括介質(zhì)名稱、用途、

發(fā)送時間、發(fā)送單位、發(fā)送人員、接受時間、接受單位、接受人員等有關(guān)內(nèi)容；制定

介質(zhì)傳遞的管理制度，制度規(guī)定對涉密信息存儲介質(zhì)傳遞時的封裝、標識、指派專人

專車或者通過機要交通、機要通信、機要措施等措施進行傳遞日勺有關(guān)內(nèi)容；制定介質(zhì)

傳遞記錄，記錄包括介質(zhì)名稱、用途、時間、傳遞人員和傳遞方式等有關(guān)內(nèi)容、

介質(zhì)的使用：制定介質(zhì)使用管理制度，規(guī)定涉密介質(zhì)按照規(guī)定不應(yīng)在非涉密信息

系統(tǒng)內(nèi)使用，較高密級信息存儲介質(zhì)不應(yīng)在較低密級系統(tǒng)中使用，較高機密信息存儲

介質(zhì)用于存儲較低密級H勺信息時應(yīng)仍按原有密級進行管理。對報廢處理日勺涉密信息存

儲介質(zhì)在非涉密信息系統(tǒng)內(nèi)重新使用或運用前，應(yīng)進行信息消除處理，信息消除時所

采用的信息消除技術(shù)、設(shè)備和措施應(yīng)符合國家保密工作部門日勺有關(guān)規(guī)定；攜帶處理涉

密信息的設(shè)備外出或出境時，應(yīng)按照有關(guān)保密規(guī)定采用保護措施，并辦理有關(guān)手續(xù)，

此外還應(yīng)使用涉密信息存儲介質(zhì)一直處在攜帶人日勺有效控制之下；涉密信息存儲介質(zhì)

的復制及制作應(yīng)在本機關(guān)、單位內(nèi)部或保密工作部門審查同意的單位進行，并標明涉

密和保密期限，注明發(fā)放范圍及制作數(shù)量，編排次序號。復制、制作過程中形成的不

需要歸檔的涉密材料，應(yīng)及時銷毀等有關(guān)內(nèi)容：制定介質(zhì)使用記錄，記錄包括介質(zhì)的

制作與第制、外出或處境和信息消除等有關(guān)內(nèi)容：采用涉密介質(zhì)安全管控與違規(guī)外聯(lián)

預警系統(tǒng)，使用授權(quán)管理中心進行授權(quán)使用，并對顧客終端使用中斷控制程序限制

USB接口的使用，增強介質(zhì)使用口勺安全性。

介質(zhì)保留：介質(zhì)寄存于企業(yè)保密辦H勺保密柜中；制定介質(zhì)保留的管理制度，制定

規(guī)定有關(guān)責任部門應(yīng)定期對當年所存涉密信息存儲介質(zhì)進行清查、查對，發(fā)現(xiàn)問題及

時向保密工作部門匯報內(nèi)容；制定介質(zhì)保留記錄，記錄包括介質(zhì)清查與查對的時間、

人員等內(nèi)容。

介質(zhì)維修：制定介質(zhì)維修的管理制度，制度規(guī)定必須本單位專業(yè)人員全程參與現(xiàn)

場維修，需要外修時必須按照國家有關(guān)規(guī)定到具有涉密信息系統(tǒng)數(shù)據(jù)恢復資質(zhì)的維修

點進行維修等內(nèi)容、制定介質(zhì)維修記錄，記錄包括介質(zhì)名稱、維修人員、陪伴人員、

維修時間、故障原因、排除措施、重要維修過程及維修成果等內(nèi)容；定點設(shè)備維修單

位和維修人員簽訂安全保密協(xié)議。

介質(zhì)報廢：制定介質(zhì)報廢的管理制度，制定規(guī)定不再使用或無法使用的涉密信息

存儲介質(zhì)在進行報廢處理前，應(yīng)進行信息消除處理，信息消除處理時應(yīng)按照國家保密

部門的有關(guān)規(guī)定，采用符合國家保密工作部門的有關(guān)規(guī)定的信息消除技術(shù)、設(shè)備和措

施，并做好涉密介質(zhì)報廢同意、清點、登記等手續(xù)日勺內(nèi)容；制定介質(zhì)報廢記錄，記錄

包括設(shè)備名稱、審批人員、報廢時間和最終去向。

以上針對介質(zhì)安全管理是通過制度進行規(guī)范日勺，但僅靠管理制度是難以真正實現(xiàn)

對介質(zhì)安全F月管理規(guī)定，必須“技管并舉，以技促管”。例如：通過制度難以實現(xiàn)一

下需求控制：無法有效辨別可信介質(zhì)與非可信介質(zhì)；無法實既有效接入控制；無法保

證存儲在移動介質(zhì)中的保密信息與國際互聯(lián)網(wǎng)物理隔離等。因此需要一套完善的介質(zhì)

管理系統(tǒng)來處理這些制度無法控制的隱患。

數(shù)據(jù)與應(yīng)用安全

數(shù)據(jù)與應(yīng)用安全是XXX機關(guān)涉密信息系統(tǒng)建設(shè)的重要內(nèi)容，通過建立統(tǒng)一歐I網(wǎng)絡(luò)

信任和授權(quán)管理體系，創(chuàng)立一體化日勺身份認證、訪問控制及責任認證平臺，為所有的

應(yīng)用系統(tǒng)提供統(tǒng)一的身份認證和訪問控制服務(wù)，并可對事故責任進行追查：

1.建立全網(wǎng)統(tǒng)一的身份認證機制，每個顧客擁有唯一身份標識的數(shù)字證書；

2.建立訪問控制機制，保證僅擁有數(shù)字證書的合法顧客能通過授權(quán)訪問應(yīng)用系

統(tǒng);

3.在應(yīng)用系統(tǒng)中，分派每個顧客權(quán)限，限定顧客日勺操作范圍，通過數(shù)字簽名功

能，防止抵賴行為，保證數(shù)據(jù)的完整性;

4.對顧客通過訪問控制系統(tǒng)日勺訪問進行審計；

5.通過密級標識手段，保證信息主體與密級標識日勺不可分離，為信息流向、訪

問控制提供根據(jù)；

6.對關(guān)鍵業(yè)務(wù)系統(tǒng)采用雙機熱備，對關(guān)鍵業(yè)務(wù)數(shù)據(jù)采用異地容災的方式保證數(shù)

據(jù)及應(yīng)用安全。

4.2管理需求分析

人員管理

人員管理包括內(nèi)部工作人員管理和外部有關(guān)人員管理。內(nèi)部工作人員管理包括木

單位正式編制人員、聘任人員（工勤、服務(wù)人員）等人員錄取、崗位職責、保密協(xié)議

簽訂、教育培訓、保密監(jiān)控、人員獎懲和人員離崗離職日勺管理；外部有關(guān)人員管理包

括內(nèi)部工作人員之外的其他人員（尤其是境外人員）以及設(shè)備（尤其是進出口設(shè)備）

的維修服務(wù)人員等外來R勺保密規(guī)定知會、安全控制區(qū)域隔離、攜帶物品限制和旁站陪

伴控制。

物理環(huán)境與設(shè)備管理

1.從物理安全需求來分析，物理環(huán)境的安全是整個涉密網(wǎng)絡(luò)安全得以俁障日勺前

提；

2.要保護網(wǎng)絡(luò)設(shè)備、設(shè)施、介質(zhì)和信息免受自然災害、環(huán)境事故以及人為物理

操作失誤或錯誤及多種物理手段進行違法犯罪行為導致的破壞、丟失；

3.涉密網(wǎng)絡(luò)必須要具有環(huán)境安全、設(shè)備安全和介質(zhì)安全等物理支撐環(huán)境，切實

保障實體的安全;

4.保證系統(tǒng)內(nèi)日勺環(huán)境安全，設(shè)備日勺物理安全，機房和配線間日勺環(huán)境安全，防止

設(shè)備被盜、被破壞；

5.保證涉密網(wǎng)絡(luò)與非涉密網(wǎng)絡(luò)的|物理隔離；

6.防止設(shè)備產(chǎn)生的電磁信息通過空間輻射和傳導泄漏；

7.保障涉密介質(zhì)在使用、保留、維護方面的安全。

運行與開發(fā)管理

1.系統(tǒng)必須保證內(nèi)部網(wǎng)絡(luò)的持續(xù)有效的運行，防止對內(nèi)部網(wǎng)絡(luò)設(shè)施的入侵和襲

擊、防止通過消耗帶寬等方式破壞網(wǎng)絡(luò)歐J可用性；

2.網(wǎng)絡(luò)安全系統(tǒng)應(yīng)保證內(nèi)網(wǎng)機密信息在存儲于傳播時保密性；

3.對關(guān)鍵網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)的訪問必須得到有效地控制，這規(guī)定系統(tǒng)可以可靠

確認訪問者日勺身份，謹慎授權(quán)，并對任何訪問進行跟蹤記錄；

4.對于網(wǎng)絡(luò)安全系統(tǒng)應(yīng)具有審記和日志功能，對有關(guān)重要操作提供可靠而以便

日勺可管理和維護功能；

5.保證涉密信息系統(tǒng)日勺服務(wù)器系統(tǒng)、終端在全方位、多層次日勺進行安全配置和

安全加固；

6.建立覆蓋全網(wǎng)的補丁集中管理機制，對操作系統(tǒng)進行及時的補丁分發(fā)、安裝,

保證操作系統(tǒng)處在最有狀態(tài)，進而保證系統(tǒng)處在最佳使用狀態(tài)；

7.保證接入涉密網(wǎng)服務(wù)器的安全，對應(yīng)用服務(wù)器進行內(nèi)核加固，對后端和管理

服務(wù)器進行安全加固，以抵御針對操作系統(tǒng)日勺襲擊行為，保證其公布信息的真實性和

可靠性:

8.對應(yīng)用系統(tǒng)的數(shù)據(jù)庫進行安全加固，防止針對數(shù)據(jù)庫日勺襲擊行為；

9.對客戶端加強終端安全管理，對登錄顧客實行雙原因身份認證，杜絕客戶端

的非授權(quán)操作，保證存儲在終端設(shè)備中日勺工作信息和敏感信息的安全，使其不被非法

篡改和破壞；

10.針對防病毒危害性極大并且傳播極為迅速，配置從客戶端到服務(wù)器日勺整套防

病毒軟件，實現(xiàn)全網(wǎng)的病毒安全防護；

11.對系統(tǒng)內(nèi)終端顧客的非授權(quán)外聯(lián)行為采用技術(shù)手段進行檢查和阻斷；

12.建立涉密移動存儲介質(zhì)集中的統(tǒng)一管理機制，并采用品體安全防護措施的涉

密介質(zhì)，防止數(shù)據(jù)通過介質(zhì)方式泄露；

13.保證數(shù)據(jù)庫中所存儲的信息在遭到破壞時能得到及時的恢復。

設(shè)備與介質(zhì)管理

1.須指定專人負責管理涉密存儲介質(zhì)，定期清理、回收、檢查并掌握其使用狀

況，保證涉密信息的安全保密；

2.涉密存儲介質(zhì)的管理實行“誰主管、誰負責"日勺原則；

3.涉密存儲介質(zhì)在使用和管理中要嚴格登記、集中管理、專人負責；

4.軟盤、U盤等移動存儲介質(zhì)要在明顯位置上貼上標條，標志條上要有統(tǒng)一編

碼，密級標識，要有登記；

5.涉密存儲介質(zhì)只能用來存儲涉密信息，非涉密存儲介質(zhì)只能來存儲書涉密信

息；

6.涉密存儲介質(zhì)應(yīng)按存儲信息的最高密級標注密級，并按相似密級日勺載體管理;

7.嚴禁將涉密存儲介質(zhì)接入互聯(lián)網(wǎng):

8.嚴格限制互聯(lián)網(wǎng)將數(shù)據(jù)拷貝到涉密信息設(shè)備和涉密信息系統(tǒng)；確因工作需要,

經(jīng)審查同意后，應(yīng)使用非涉密移動存儲介質(zhì)進行拷貝，通過先對其進行查殺病毒后，

再進行數(shù)據(jù)互換；

9.嚴禁將私人具有存儲功能日勺介質(zhì)和電子設(shè)備帶入要害部門、部位利涉密場所;

10.涉密移動存儲介質(zhì)只能在涉密場所使用，嚴禁借給外部使用。確因工作需要

帶出辦公場所的，秘密級時經(jīng)本部門主管領(lǐng)導同意，機密級以上時須經(jīng)本單位主管領(lǐng)

導同意后，信息安全員將對介質(zhì)進行清空處理，保證介質(zhì)內(nèi)只存有與本次外由有關(guān)時

涉密信息，采用嚴格日勺保密措施。償還時，信息安全員還應(yīng)執(zhí)行信息消除處理；

11.涉密存儲介質(zhì)保留必須選擇安全保密口勺場所和部位，并由專人保管、寄存在

保密密碼柜里；

12.員工離開辦公場所時，必須將涉密存儲介質(zhì)寄存到保密設(shè)備里；

13.對涉密介質(zhì)需要維修時，應(yīng)提出申請，有信息中心派專人進行現(xiàn)場維修，并

有使用單位有關(guān)人員全程陪伴，做好維修日志：

14.存儲過國家秘密信息的存儲介質(zhì)，不能減少密集使用，不再使用或損壞的涉

密存儲介質(zhì)辦理報廢審批手續(xù)，及時交信息中心進行確定，維修和銷毀由保密辦統(tǒng)一

到國家保密局制定的地點進行銷毀，或采用符合保密規(guī)定的物理、化學方式徹底銷毀,

銷毀應(yīng)保證涉密信息無法還原；

15.對涉密存儲介質(zhì)要定期清查、查對，發(fā)現(xiàn)丟失要及時查處。

信息保密管理

信息保密管理應(yīng)從信息分類與控制、顧客管理與授權(quán)和信息系統(tǒng)安全互聯(lián)控制三

個方面來進行分析。

信息分類與控制：應(yīng)根據(jù)國家有關(guān)法律、規(guī)定，確定系統(tǒng)中涉密信息的密級和保

密期限，定期對其中具有的涉密信息的總量進行匯總，當系統(tǒng)中高等級涉密信息含量

明顯增多時應(yīng)考慮調(diào)整系統(tǒng)防護措施。系統(tǒng)中存在過時信息及其存儲介質(zhì)應(yīng)有對應(yīng)日勺

密級標識，電子文獻密級標識應(yīng)由信息主題不可分離，密級標識不可篡改。

顧客標識與授權(quán)：應(yīng)建立完整日勺系統(tǒng)顧客清單，新增或刪除顧客時應(yīng)履行對應(yīng)日勺

手續(xù)。每個顧客應(yīng)有唯一的I身份標識，表達有系統(tǒng)管理員產(chǎn)生，有保密管理員定期檢

查，如有異常及時向系統(tǒng)安全保密管理機構(gòu)匯報。應(yīng)有明確的最小授權(quán)分派方略，并

將所有顧客日勺權(quán)限明細文檔化，應(yīng)定期審查權(quán)限列表，如有異常及時向系統(tǒng)安全保密

管理機構(gòu)匯報。

信息系統(tǒng)互聯(lián)：應(yīng)注意不一樣密級信息系統(tǒng)之間以及涉密系統(tǒng)與非涉密系統(tǒng)之間

的互聯(lián)互通。

第五章方案總體設(shè)計

5.1安全保密建設(shè)目的

XXX企業(yè)涉密信息系統(tǒng)安全保密建設(shè)的總體目的是：嚴格參照國家有關(guān)安全保密

原則和法規(guī),將XXX企業(yè)信息系統(tǒng)建設(shè)成符合國家有關(guān)法規(guī)和原則規(guī)定日勺涉密信息系

統(tǒng)，使之可以處理相對應(yīng)密級的信息，為XXX企業(yè)信息化應(yīng)用提供安全保密平臺，使

其可以安全地接入全國XXX機關(guān)涉密信息系統(tǒng)。詳細建設(shè)目H勺如下：

1.具有抵御敵對勢力有組織H勺大規(guī)模襲擊的能力；

2.抵御嚴重H勺自然災害H勺能力；

3.建立統(tǒng)一H勺安全管理平臺，實現(xiàn)對全網(wǎng)設(shè)備的安全管理；

4.保證合法顧客使用合法網(wǎng)絡(luò)資源，實現(xiàn)對顧客H勺認證和權(quán)限管理；

5.防備計算機病毒和惡意代碼危害H勺能力；

6.具有檢測、發(fā)現(xiàn)、報警、記錄入侵行為的能力；

7.具有與多種應(yīng)用系統(tǒng)相適應(yīng)H勺業(yè)務(wù)安全保護機制，保證數(shù)據(jù)在存儲、傳播過

程中H勺完整性和敏感數(shù)據(jù)的機密性；

8.具有對安全事件進行迅速響應(yīng)處置，并可以追蹤安全責任日勺能力；

9.在系統(tǒng)遭到損害后，具有可以較快恢復正常運行狀態(tài)日勺能力；

10.對于服務(wù)保障性規(guī)定高的系統(tǒng)，應(yīng)能迅速恢復正常運行狀態(tài)；

11.建立有效日勺安全管理機制，并與之配套日勺風險分析與安全評估機制、設(shè)備和

人員管理制度、敏感信息管理制度、安全操作規(guī)程等。

5.2設(shè)計原則與根據(jù)

設(shè)計原則

根據(jù)安全保密建設(shè)目的，XXX機關(guān)涉密信息系統(tǒng)分級保護總體方案H勺設(shè)計應(yīng)遵從

“規(guī)范定密、精確定級，根據(jù)原則、同步建設(shè)，突出重點、保證關(guān)鍵，明確貢任、加

強監(jiān)督”的原則。同步，還應(yīng)兼顧：

1.分域分級防護：涉密信息系統(tǒng)應(yīng)根據(jù)信息至級、行政級別等劃分不一樣的安

全域并確定等級，按攝影應(yīng)等級H勺保護規(guī)定進行防護；

2.技術(shù)和管理并重：涉密信息系統(tǒng)分級保護時應(yīng)采用技術(shù)和管理相結(jié)合的、整

體日勺安全保密措施；

3.最小授權(quán)與分權(quán)管理：涉密信息系統(tǒng)內(nèi)顧客的權(quán)限應(yīng)配置為保證其完畢工作

所必需的最小授權(quán)，網(wǎng)絡(luò)中的帳號設(shè)置、服務(wù)配置、主機間信任關(guān)系配置等應(yīng)當為網(wǎng)

絡(luò)正常運行所需日勺最小授權(quán)，并使不一樣顧客日勺權(quán)限互相獨立、互相制約，防止出現(xiàn)

權(quán)限過大的顧客或帳號，

設(shè)計根據(jù)

1.法規(guī)和文獻

《中華XXX共和國保守國家秘密法》（1989年5月1日實行）

《中華XXX共和國保守國家秘密法實行措施》（1990年5月25日國家保密局令

第1號公布）

《國家信息化領(lǐng)導小組有關(guān)加強信息安全保障工作的意見》（中辦發(fā)[2023]27

號）

《有關(guān)信息安全等級保護工作的實行意見》（公通字［2023］66號）

《中共中央保密委員會辦公室、國家保密局有關(guān)保密要害部門、部位保密管理規(guī)

定》（中辦廳字［2023］1號）

《有關(guān)開展全國重要信息系統(tǒng)安全等級保護定級工作的告知》（公信安（2023）

861號）

《波及國家秘密的信息系統(tǒng)分級保護管理措施》（國保發(fā)［2023］16號）

《有關(guān)開展涉密信息系統(tǒng)分級保護工作日勺告知》（國保發(fā)［2023］9號）

《波及國家秘密日勺信息系統(tǒng)審批管理規(guī)定》（國保發(fā)［2023］18號）

《波及國家秘密的計算機信息系統(tǒng)集成資質(zhì)管理措施》（國保發(fā)［2023］）

《信息安全等級保護管理措施》（公通字［2023］43號）

2.原則規(guī)范

BMB17-2023《波及國家秘密的信息系統(tǒng)分級保護技術(shù)規(guī)定》

BMB18-2023《波及國家秘密的信息系統(tǒng)工程監(jiān)理規(guī)范》

BMB20-2023《波及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》

BMB22-2023《波及國家秘密的信息系統(tǒng)分級保護測評指南》

BMB23-2023《波及國家秘密的信息系統(tǒng)分級保護方案設(shè)計指南》

5.3安全保密防護整體框架

在建設(shè)本方案中，根據(jù)BMB17-2023和BMB20-2023的詳細規(guī)定，在滿足物理隔

離與違規(guī)外聯(lián)監(jiān)控、邊界防護與控制、密級標識與密碼保護、顧客身份鑒別與訪問控

制、電磁池漏發(fā)射防護、安全保密產(chǎn)品選擇、安全保密管理機構(gòu)、安全保密管理制度

和安全管理人員等基本測評項的基礎(chǔ)上，從物理安全、運行安全、信息安全保密、安

全保密管理、產(chǎn)品選型與安全服務(wù)等方面，設(shè)計涉密信息系統(tǒng)的安全保密防護框架,

如圖5-1示。

安全保密防護框架

物理安全運行安全信息安全保密安全保密管理產(chǎn)品選型與安全服務(wù)

環(huán)境安全備份與恢嵬物理隔離”管理機構(gòu)*安全保密產(chǎn)品

選型*

密級標識*管理人員*

-設(shè)備安全系統(tǒng)安全性保護-通信信息技術(shù)

產(chǎn)品選型

身份鑒別*管理制度”

介質(zhì)安全應(yīng)急響應(yīng)

安全保密產(chǎn)品

訪問控制*運行維護管理部署與配置

由碼保護”-安全服務(wù)

電磁泄漏發(fā)射防護*

信息完整性校驗

系統(tǒng)安全性能檢測

安全審計與監(jiān)控

抗抵賴

操作系統(tǒng)安全

數(shù)據(jù)庫安全

邊界防護與控制*

圖5-1涉密信息系統(tǒng)安全保密防護框架

第六章方案詳細設(shè)計

6.1物理安全

環(huán)境安全

1.重要涉密部位和機房選址

XXX企業(yè)都具有獨立的辦公場所，重要涉密部位和機房均在辦公室內(nèi)部，附近基

本沒有境外駐華機構(gòu)、境外人員駐地等涉外場所，并且整個辦公區(qū)采用封閉式管理。

機房選址基本滿足GB9361-1988中的安全機房場地選擇規(guī)定。并對重要涉密部位在防

竊聽、防竊照、防竊收、防實體入侵、防非授權(quán)進入等方面均有有關(guān)防護措施。各級

XXX企業(yè)涉密信息系統(tǒng)里沒有無線技術(shù)與無線設(shè)備，因此其帶來的無線設(shè)備日勺信息泄

漏問題不用考慮防護措施。

1）機房建設(shè)

對主機房及重要信息存儲部門來說：首先要保證中央地點的安全防備工作，如：

對可以進入機房及重要信息存儲部門日勺工作人員進行嚴格日勺控制；出入記錄；錄像監(jiān)

控；窗戶加防護欄、門磁、紅外報警等。出入記錄可以采用目前先進日勺IC卡技術(shù)等

來實現(xiàn)，具有做到實時記錄，以便查詢等長處。此外門磁、紅外報警等作為安全技術(shù)

防備的輔助手段加以使用，并在重要區(qū)域使用線路干擾等設(shè)備防止信號外泄，

由于本次項目中將XXX企業(yè)劃分為不一樣的安全等級，因此在機房建設(shè)時應(yīng)根據(jù)

BM"規(guī)定，并在防火、防水、防震、電力、布線、配電、溫濕度、防雷、防靜電等

方面到達GB9361中B類機房建設(shè)規(guī)定；機密級、秘密級應(yīng)滿足

GB50174.GB/T2887-2023%|規(guī)定，并在防火、防水、防震、電力、布線、配電、溫濕

度、防雷、防靜電等方面到達GB9361中B類機房建設(shè)規(guī)定。

在各級XXX企業(yè)的機房內(nèi)設(shè)置屏蔽機柜。在滿足GB50174.GB/T2887-2023規(guī)定日勺

基礎(chǔ)上，在防火、防水、防震、電力、布線、配電、溫濕度、防雷、防靜電等方面到

達GB9361-1988中機房建設(shè)規(guī)定。

(1)在機房所在H勺建筑物均配置有安全保衛(wèi)人員，實現(xiàn)人員進出審查和巡查；

(2)機房選址遠離餐飲、旅游、賓館等人員復雜的公共場所；

(3)機房的水、電、防雷、溫濕度等符合GB9361-1988中機房建設(shè)規(guī)定；

(4)關(guān)鍵機房采用屏蔽機柜設(shè)計，防備機房環(huán)境的電磁泄漏；

(5)機房均配置電子門控系統(tǒng)，進出機房人員均需要口令和門禁卡；

(6)各機房均配置了視頻監(jiān)控系統(tǒng)，實現(xiàn)6個月或者更長的錄像存儲；

(7)各機房的電子門控和視頻監(jiān)控系統(tǒng)均記錄平常的門禁日志和健康錄像，從而

滿足了機密級的涉密規(guī)定；

(8)機房設(shè)計有紅外報警裝置：

2)重點部位監(jiān)控和區(qū)域控制

XXX企業(yè)保密要害部位包括領(lǐng)導及秘書辦公室、黨組會議室、檢委會會議室、機

要室、機要機房、網(wǎng)絡(luò)中心機房、檔案室、文印室等。對這些重點部位采用安全措施

如門控、報