方案1 系统总体部署(1)涉密信息系统的组网模式为:服务器区、安全管理区、终端区共同连接至核心交换机上,组成类似于星型结构的网络模式,参照 TCP/IP 网络模型建立。核心交换机上配置三层网关并划分 Vlan,在服务器安全访问控制中间件以及防火墙上启用桥接模式,核心交换机、服务器安全访问控制中间件以及防火墙上设置安全访问控制策略(ACL),禁止部门间 Vlan 互访,允许部门 Vlan 与服务器 Vlan 通信.核心交换机镜像数据至入侵检测系统以及网络安全审计系统;服务器区包含原有应用系统;安全管理区包含网络防病毒系统、主机监控与审计系统、windows 域控及 WSUS 补丁分发系统、身份认证系统;终端区分包含所有业务部门。服务器安全访问控制中间件防护的应用系统有:XXX 系统、XXX 系统、XXX系统、XXX 系统以及 XXX 系统、。防火墙防护的应用系统有:XXX、XXX 系统、XXX 系统、XXX 系统以及 XXX 系统。(2)邮件系统的作用是:进行信息的驻留转发,实现点到点的非实时通信。完成集团内部的公文流转以及协同工作。使用 25、110 端口,使用 SMTP 协议以及 POP3 协议,内网终端使用 C/S 模式登录邮件系统。将内网用户使用的邮件账号在服务器群组安全访问控制中间件中划分到不同的用户组,针对不同的用户组设置安全级别,安全级别分为 1—7 级,可根据实际需求设置相应的级别。1-7 级的安全层次为:1 级最低级,7 级最高级,由 1到 7 逐级增高.即低密级用户可以向高密级用户发送邮件,高密级用户不得向低密级用户发送,保证信息流向的正确性,防止高密数据流向低密用户。(3)针对物理风险,实行红外对射、红外报警、视频监控以及门禁系统进行防护.针对电磁泄射,实行线路干扰仪、视频干扰仪以及红黑电源隔离插座进行防护。2 物理安全防护总体物理安全防护设计如下:(1)周边环境安全控制①XXX 侧和 XXX 侧部署红外对射和入侵报警系统。② 部署视频监控,建立安防监控中心,重点部位实时监控.具体部署见下表:表 1—1 周边安全建设序号保护部位现有防护措施需新增防护措施1人员出入通道序号保护部位现有防护措施需新增防护措施2物资出入通道3南侧4西侧5东侧6北侧(2)要害部门部位安全控制增加电子门禁系统,采纳智能 IC 卡和口令相结合的管理方式。具体防护措施如下表所示:表 1-2 要害部门部位安全建设序号保护部门出入口控制现有安全措施新增安全措施1门锁/登记/24H 警卫值班2门锁3门锁4门锁5门锁/登...
