涉密办公局域网及涉密终端安全防护解决方案

发布时间:2015-05-22 17:35:05

 
一、设计依据
    根据国家保密局发布的中华人民共和国保密标准BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》,涉密局域网安全防护包括信息数据分离、网络存储方式、区域划分、备份与恢复、身份鉴别、病毒防治、电磁泄漏防护、安全审计等信息数据安全、管理、应用结合的多层次防护方法,形成了较为整体的实施方案,并逐步投入使用,初步达到综合防护要求,降低了信息数据泄漏、破坏的风险。
二、存在问题
    1、在互联网计算机上处理、存储涉密或敏感信息;
    2、涉密计算机未加保密防护措施(如三合一或介质防护系统);
    3、办公设备使用不规范,优盘交叉混用;
    4、未建立计算机使用信息台账和移动存储介质登记防护措施;
    5、涉密网络及终端和电源布线未达到涉密安全要求的规定距离;
    6、打印设备直接共享与网络环境中,未对存储管理;
    7、办公计算机未作定期保密清查处理;
    8、涉密(视频)会议室安装有无线扩音设备和麦克风。
三、解决方案
    1、涉密办公局域网与互联网必须彻底物理隔离,相互数据交互采用单向导入装置,确保涉密信息不泄露。
    解决办法:涉密办公局域网信息接入点(机房)安装防电磁泄漏屏蔽机柜,涉密终端屏蔽网线节点安装信息传导干扰仪,涉密会议终端安装视频干扰仪,涉密计算机电源换成红黑白电源等。
采用桥架“上走线”或“下走线”,强弱电分开,内外网采用屏蔽双绞线,信息点布线端到端全部采用光纤+屏蔽双绞线,包括单模光纤、多模光纤、屏蔽双绞线、屏蔽模块、屏蔽配线架和屏蔽跳线,同时要求屏蔽布线与其他任何布线严格物理隔离,与其他任何布线保持15CM或45CM(平行长度大于或等于30M时)以上的隔离距离,采用专用的面板、底盒并且与其他面板底盒保持30CM以上的平行距离,布线时采用专用的套管,不能与其他布线重叠和交叉;建筑物之间的光纤布线采用地埋敷设路由方式,建筑物内部光纤布线采用桥架敷设路由方式,楼道主干双绞线布线采用金属桥架,信息点屏蔽双绞线布线采用KBG管暗装敷设。
    2、针对涉密计算机上优盘交叉混用和数据进出问题,建议涉密终端安装保密技术防护专用系统(简称“三合一”)。
    解决办法:在主要科室涉密计算机终端安装保密技术防护专用系统,其它涉密终端安装介质防护软件,部门之间数据传输采用涉密专用优盘和局域网共享传输,外部数据进入采用单项导入装置,内部数据导出采用刻录光碟、打印、涉密专用优盘等方式,网络使用一旦违规外联即刻报警并阻断,防止泄密。
    3、针对办公设备使用不规范和计算机台账建设问题,建议所有办公计算机安装移动介质安全防护系统,分类建账,科学管理。
    解决办法:所有计算机安装移动介质管理软件,有权限和安全模式的访问和存储并进行使用记录登记。由于各单位授权式移动介质使用频率较高,考虑单位实际使用情况,开放USB介质外用权限,即未注册登记的移动介质不能在涉密局域内网中识别使用,注册登记后的移动介质也可以在其它电脑上使用,但自动建立数据进出和使用电子档案。(需要人为控制泄密);对使用的所有优盘、移动硬盘等进行登记注册,凡是未登记注册的移动介质都不能在内网中识别,而一旦登记注册后的移动介质在内往外计算机上也不识别;内网中计算机已经进行了安全防护,可以共享打印;如果外部信息需要进行打印,则需要先通过单向导入装置进行导入内网计算机,再进行打印,并对使用记录进行登记。
    4、针对办公计算机定期清理检查和互联网计算机处理、存储涉密信息问题,首先加强保密安全教育,其次邀请专业公司(涉密定点维修单位)定期清理检查,再则单位购买检查清除工具进行自查自检。
    解决办法:单位每年举办1-2次保密安全培训和失泄密案件警示教育,部门每年邀请专业公司(涉密定点维修单位)进行3-4次保密清理检查,发现问题,及时清理整改。总之,禁止使用无线发射和传输设备,禁止网线交叉布线,禁止电源混接并联,禁止涉密网未测评投入运行。
    5、针对互联网计算机上网行为管理和监控问题,建议在本单位互联网接入口架设出口监控系统和行为管理服务器,绑定每台互联网计算机物理地址(IP\MAC\硬盘信息\主板信息等),有效管控上网行为(如游戏、购物、论坛、不良网站等),并对出口信息实时监控。
    解决办法:公司互联网总接入口通过光纤镜像技术,架设出口预警监控系统,时时查看和审阅出口信息;安装网络行为管理服务器,设置流量控制和上网行为规则。
四、设计图
\