涉密网络建设方案Word文档下载推荐.docx
- 文档编号:3622420
- 上传时间:2023-05-02
- 格式:DOCX
- 页数:28
- 大小:211.48KB
涉密网络建设方案Word文档下载推荐.docx
《涉密网络建设方案Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《涉密网络建设方案Word文档下载推荐.docx(28页珍藏版)》请在冰点文库上搜索。
6.3,网络与上级边界风险分析 错误!
6.4,各级客户端风险分析 错误!
6.5.网络层次风险分析 错误!
6.5.1,物理安全风险分析 错误!
6.5.2,链路层安全风险分析 错误!
6.5.3,网络层(包含传输层)安全风险分析 错误!
6.5.4.操作系统的安全风险分析 错误!
6.5.5.应用层安全风险分析 错误!
6.5.6,管理的安全风险分析 错误!
6.6,现存风险分析结果汇总 错误!
7.安全总体设计 错误!
7.1.总体分析 错误!
7.2,安全模型设计 错误!
7.3.安全策略设计 错误!
7.4.安全需求列表 错误!
7.5,需求实现技术措施 错误!
8.安全设计及实施 错误!
8.1.总体部署 错误!
8.2,远程网络安全部署 错误!
8.3,访问控制系统部署 错误!
8.4,入侵检测系统部署 错误!
8.5,网络安全审计系统部署 错误!
8.6,终端防护 错误!
8.6.1,解决方案 错误!
8.6.2,终端访问防护 错误!
8.7,设备联动 错误!
8.8,机房屏蔽 错误!
9.安全保密管理设计 错误!
9.1.涉密信息系统安全组织管理 错误!
9.1.1,涉密信息系统安全管理的性质 错误!
9.1.2,涉密信息系统安全管理机构 错误!
9.1.3.信息系统安全管理机构的职能 错误!
9.1.4.涉密信息系统信息安全负责人职能 错误!
9.2,安全管理机构 错误!
9.2.1,安全保密决策机构 错误!
9.2.2.保密日常执行机构 错误!
9.2.3,安全保密应急响应小组 错误!
9.3,安全人员管理 错误!
9.3.1,人员审查 错误!
9.3.2.岗位人选 错误!
9.3.3,人员培训 错误!
9.3.4,人员考核 错误!
9.3.5,签定保密合同 错误!
9.3.6,人员调离 错误!
9.4.技术安全管理 错误!
9.4.1,软件管理 错误!
9.4.2.设备管理 错误!
9.4.4.介质管理 错误!
9.4.5,备份管理 错误!
9.4.6,涉密信息管理 错误!
9.4.7,技术文档管理 错误!
9.4.8.传输线路和网络互连管理 错误!
9.4.9,应急响应计划 错误!
9.5,安全管理小结 错误!
10.风险解决情况 错误!
11.数据加密 错误!
12.安全保密设备选型 错误!
12.1,选型原则 错误!
12.2,选型依据 错误!
13.系统预算 错误!
13.1.总预算 错误!
13.2,产品清单 错误!
14.结束语 错误!
15.附录一:
公司资质 错误!
16.附录二:
产品资料 错误!
16.1,应用服务器曙光 错误!
16.2.KVM切换器ATEN4口 错误!
16.3,核心交换机华为LS-6503 错误!
16.4,楼层交换机 错误!
16.5路由器 错误!
16.6网络管理软件 错误!
16.7UPS电源科士达 错误!
16.8,门禁系统 错误!
16.9,网络安全产品 错误!
16.9.1,安全审计 错误!
16.9.2,入侵检测 错误!
16.9.3,防火墙 错误!
16.8.4.隔离卡 错误!
16,附录三:
产品资质 错误!
1.系统概述
(1)系统名称
中国航空工业标准件制造有限责任公司涉密网;
(2)系统密级
本系统用于处理秘密级以下级别的涉密信息;
(3)用途
用于传输、存储中国航空工业标准件制造有限责任公司的涉密信息;
中国航空工业标准件制造有限责任公司是我国航空工业唯一的整机、全系列标准件、高强度紧固件及小零件的专业化科研生产基地。
公司组建于1993年12月,由始建于二十世纪六十年代中期的原安湖机械厂和庆文机械厂合并异地搬迁而成。
在贵州省贵阳市白云区白云经济技术开发区内拥有14万平方米的生产经营场地,在职职工1400余人,其中科研、管理人员289人(其中:
中高级职称187人),现拥有固定资产21117万元,资产总值35740万元,拥有各类主要生产检测设备800余台(套),其中从美、德、法、日、瑞典、瑞士等国家引进的先进设备占固定资产总值的60%以上。
公司相继通过了IS09000——2000版和QS9000/VDA6.1质量体系认证,并通过了德国大众、上海大众、一汽大众、五羊本田、上汽通用五菱等汽车、摩托车行业的质量检查与评审。
在全系列、大批量生产经营航空、航天标准件的同时,亦大量生产汽车、摩托车、工程机械高强度紧固件、齿轮齿条式汽车转向器,集科研、生产、检测为一体。
多年来,为飞机、航空发动机、火箭、民用航空及汽车、摩托车、工程机械、纺织机械、化工、制冷压缩机与各类柴、汽油发动机等行业(专业)的发展做出了卓越的贡献。
公司航空标准件的制造技术、加工设备居国内领先地位,特别是关键技术、关键检测手段、关键加工设备已经接近或达到了国际同行业的先进水平。
随着信息化在中国航空工业标准件制造有限责任公司的不断深入,信息化安全的问题也日益突出,特别是涉密信息的管理成为急需解决的问题,因此,中国航空工业标准件制造有限责任公司提出建立一个计算机涉密信息系统的设想,由于中国航空工业标准件制造有限责任公司是重要涉密单位,因此其信息化建设必须符合国家保密局和相关部门的要求。
(4)系统总体方案
于TCP/IP网络本身的开放性质,随着网络建设及网络应用的开展,在信息网络技术带来了更高工作效率的同时,也带来了信息安全方面的问题。
在网络中,各种可能的攻击问题也日益严重,网络系统的安全,对信息系统建设乃至正常工作业务的开展,造成了潜在的威胁。
及其信息系统和网络所面临的安全威胁与日俱增,来源也日益广泛,包括计算机攻击、窃取资料、恶意诋毁破坏等行为。
危害的来源多种多样,如计算机病毒、计算机黑客行为、拒绝服务攻击等等,这些行为呈蔓延之势遍、用意更加险恶,而且手段更加复杂。
网络应用飞速发展的今天,信息安全问题对于任何单位来说,其重要性不言而喻。
由于涉密网的特殊性质,使得对网络安全性需求也就更为迫切。
涉密网的安全建设,应根据网络具体状况,以最大限度保障网络的核心价值,保证系统的安全稳定运行为目的,定位于有效保障服务器的安全,并保障内部网络的受控安全运行。
我公司根据中国航空工业标准件制造有限责任公司具体情况,经过反复论证、结合当前技术特性,特提出此网络建设实施方案。
根据涉密网的实际情况,本方案从以下几个方面的技术来满足涉密网的需求:
计算机网络设计
B计算机网络及服务器
C机房装修
D防雷接地
E系统软件及应用系统
网络安全设计
1)A、物理安全
2)B、运行安全
3)C、信息安全保密
4)D、安全保密管理
(5)发展目标
建成安全、高性能、高可靠性的涉密信息计算机局域网,和上级单位的涉密信息计算机局域网实现连接,传送涉密信息。
(6)设计和实施单位情况
贵州宏志科技开发有限责任公司是长期从事计算机网络集成的专业公司,获得国家保密局《涉密信息系统集成资质》、信息产业部《计算机信息系统集成三级资质》,具有该项目的设计和施工该项目的能力。
2.设计目标与原则
2.1设计目标
系统的安全保密建设是中国航空工业标准件制造有限责任公司涉密网建设的主要内容和关键措施之一,它的实施必须以信息化发展的现有条件为依据,并在充分整合现有网络资源、信息资源和应用资源的基础上加以进一步完善和提高。
根据国家关于涉密计算机网络系统安全保密建设的有关规定,涉密网安全保密方案设计和建设必须首先确保:
1.涉密网的网络与外网(Interner)网络系统严格的物理隔离。
2.涉密网处理秘密级以下信息。
3.本系统安全稳定运行。
4.采取安全保密技术和管理手段结合,两手都要硬的整体安全保密措施。
5.系统定期安全评估,及时完成涉密系统技术和设备的升级换代。
6.不断加强和完善信息安全保密管理。
涉密网安全保密方案的设计和建设将严格依据中华人民共和国保密指南文件、国家有关计算机办公系统安全保密的规定和标准,并参照国家保密局及国防科技工业办公室相关文件的计划纲要的指导精神进行。
2.2.设计原则
根据国家相关安全保密建设法律法规和相关标准,在保证实现系统安全设计目标的情况下,针对涉密网的特点提出了自己的设计原则。
1安全性
安全性是首要问题,该网络是专用涉密信息网络,决定了该网络的运行将承担更高要求的安全风险。
网络安全和网络易访问是一对矛盾,因此要掌握好网络安全控制度的问题,不能顾此失彼。
安全一方面要确保合法用户执行被授权任务、获取信息、防止外界的恶意攻击,另一方面还包括控制和避免错误结果和设备故障。
1先进性
在不脱离实际的前提下,选用先进、成熟的网络设备和组网技术,实现网络的高吞吐量,使系统在较长时期内保持一定的先进性;
计算机网络技术的发展非常迅速,在计算机应用领域占有越来越重要的地位。
必须认识到,建立计算机网络是一个动态的过程。
在这个过程中将不断有新技术产生,有新产品出现。
因此,网络一定要采用最先进的组网技术,选用当前主流计算机网络产品,才能在未来技术的发展中保持技术领先。
1标准化及开放性
采用的设备和技术要规范化、标准化,各种技术指标要符合国家标准。
现代计算机网络技术发展的趋势是遵循国际统一标准的开放系统,支持分布式计算和客户机/服务器应用模式。
网络应该是一个能够互联不同厂商的服务器/计算机,运行多种操作系统、网络协议,遵守国家标准的开放式系统。
这样,才能在将来的发展中保持网络配置和应用模式的灵活性,在行政条件及资金许可的情况下,为下一步区县级纪检、监察涉密网的连接提供网络接口。
1充足的、可扩展的带宽
随着应用软件复杂程度的增加,网络用户数量的增长以及多媒体技术的普及,对网络带宽的需求日益增加。
网络系统应该能够为每个用户提供充足的带宽,满足用户的实际应用需求,并且带宽应该是可调整、可扩展的。
1规模可扩展性及灵活性
在保证今后业务发展时,网络系统必须可灵活扩展,并且又能保证用户当前的投资;
随着应用业务不断扩大,技术也会不断的更新,计算机应用水平也会越来越高。
要适应这种变化,网络在配置上就必须具有可扩充性。
系统网络往往是一个范围很广、结点很多的大系统。
设计的灵活性可使网络管理人员能够方便的增加、减少或变动各种结点,或是方便各种逻辑网段和物理网段的划分。
1可靠性
保证网络系统具备很高的安全性和可靠性,确保单点故障不会使局部网络失去与整个网络的连接,多点故障不会造成整个网络被分成几个互不相连的部分。
在网络系统中网络的可靠性是衡量网络成功的一个重要指标。
计算机系统必须绝对可靠,网络设计必须对可靠性作重点考虑。
从结构的设计、设备的选型以及网络管理上都要对网络的可靠性作出保证。
安全性与可靠性同样重要,除了系统要提供多种安全控制的手段外,网络设计上也要提供保障其安全的手段。
1实用性
从目前的网络应用实际出发,根据具体情况确定网络结构和配置,以满足目前业务及将来发展的需要;
网络设计一定要充分保护和利用现有的资源,同时要根据实际情况,采用新技术和新设备,还要考虑组网过程要与平台建立及开发同步进行,建立一个实用的网络。
力求使网络既能满足目前需要,又能适应将来发展,同时达到较好的性/价比。
2.3.设计依据
安全保密网络的设计,必须以国家涉密计算机系统安全保密技术要求为设计根本,严格遵守国家相关法律法规及安全保密规范。
本方案设计过程中,严格遵循以下各类标准与文件:
1国家保密局中保办发[1998]6号《涉及国家秘密的通信、办公自动化和计算机系统审批暂
行办法》;
2中华人民共和国保密指南《涉及国家秘密的计算机信息系统安全保密方案设计指南》(BMZ2-2001);
3中华人民共和国保密指南《涉及国家秘密的计算机信息系统保密技术要求》(BMZ1-
2000);
4国家保密标准BMB3-1999《处理涉密信息的电磁屏蔽室的技术要求和测试方法》(BMB3-1999);
5国家保密标准《电磁干扰器技术要求和测试方法》(BMB4-2000);
6国家保密标准《涉密信息设备使用现场的电磁泄漏发射防护要求》(BMB5-2000);
7国家保密局《涉及国家秘密的计算机信息系统集成资质管理办法(试行)》(国保发[2001]7号文);
3.系统现状分析
网络的安全保密建设与具体的网络系统是紧密联系的,安全保密必须从系统整体把握,从网络系统的具体情况出发,根据网络结构及应用需求,有的放矢,把握系统安全隐患,采取相应措施来满足网络的安全保密建设要求。
为此,首先要明确中国航空工业标准件制造有限责任公司的网络系统现状。
3.1.网络状况分析
3.1.1.涉密网
将来建成的涉密网是中国航空工业标准件制造有限责任公司单独的一套网络,独立于Internet>网络物理隔离,是本安全方案设计防护的对象。
涉密网有50信息点接入网络、分布在其办公楼的三个楼层及厂区内的厂房之中。
涉密网通过租用电信的线路接入金航网。
3.1.2.办公内网
中国航空工业标准件制造有限责任公司在涉密网之外,另有一套网络用于内部办公,该网络与涉密网使用同一台核心交换机及网络安全产品,并采用VPN技术进行将办公内网与涉密网进行逻辑隔离。
3.1.3.外网
为了保证信息交互,中国航空工业标准件制造有限责任公司建立了另一套单独的外网系统。
外网通过电信网络与Internet联接,与中国航空工业标准件制造有限责任公司涉密网和办公内网物理隔离,外网不在本方案设计范围内。
3.2.网络应用分析
目前,中国航空工业标准件制造有限责任公司已经建立了一定程度的信息系统应用,将来的主要应用分为以下几类:
1内部Web系统
2业务数据库系统
3内部电子邮件系统
4办公自动化系统(OA)
5业务处理系统
3.3.系统现有设备
系统信息资产分析的最终目标是对信息资产进行适当的保护。
确定资产的责任帮助确保能够提供适当的保护。
应确定所有主要资产的所有者,并分配维护该资产的责任。
在此过程中,可以委托负责实施控制措施的责任。
资产的责任由资产的指定所有责负责。
物质资产主要指计算机设备(处理器、监视器、膝上型电脑、调制解调器)、通讯设备(路由器、PBX、传真机、应答机)、磁介质(磁带和磁盘)、其它技术设备(电源、空调器)、家具、机房等,列表如下:
序号
物品
数量
作用
责任人
1.
办公计算机
44台
职工工作使用
使用者
2.
打印机
43台
针式、喷墨、激光打印机
3.
扫描仪
8台
5.中国航空工业标准件制造有限责任公司与信息系统相关的各类资产中,最具价值的为信息资产,主要表现为各个应用系统的数据库内容。
一旦发生丢失或被黑客窃取,将带来巨大的损失。
6.服务器,作为物质资产的一种,是信息资产的载体,如果此载体发生损坏,而数据在没有备份的情况下,也会对信息资产造成破坏
7.网络设备,如交换机、路由器,一旦发生损坏,将对整个网络的正常运行造成损坏。
8.软件资产(系统软件),如果发生损坏,虽然重装不一定会带来直接经济损失,但对业务停顿造成的影响,会非常大,甚至在损坏时直接影响数据库,造成信息资产的损坏。
其次,如果软件资产本身存在隐患,将对寄托于软件平台的信息资产的存在安全和访问安全造成威胁。
9.机房,即场地,作为物质资产的一环,它承载了服务器、交换机、路由器等多类关键设备,如果发生水灾、火灾等灾难,将是席卷一切的灾难。
3.4.系统安全现状
中国航空工业标准件制造有限责任公司涉密网的安全建设是一个比较薄弱的环节,在网络内部目前没有任何安全措施进行防护,对于当前网络中的各种高技术手段的攻击,内部的不法分子及黑客很容易进行不法活动。
4.涉密网设计
4.1.综合布线设计
4.1.1,厂区主干子系统
本次厂区主干通讯线路子系统的建设涉及到7栋建筑物,分别是:
一号、二号、三号、四号、十七号、六号、六-A号,其中涉密网的中心机房设在一号楼的三层,从中心机房主配线柜引多模四芯光纤至各厂房分配线柜,光纤的四芯中其中两芯用于涉密网及办公内网接入,另外两芯用于接入外网(Internet)。
光纤采用国产室外多模四芯产品,用钢缆将其架设在厂区的电线杆之上。
4.1.2.建筑物内子系统
建筑物内的综合布线系统主要以一号办公楼的信息点数量比较多,因此,重点做该建筑物内的设计。
考虑到该布线系统是整个网络的核心,因此在设计上应该采用先进的产品和技术,以保证系统将来的扩展。
由于办公楼内的信息点比较集中、楼层数量少,因此采用集中式布线方案。
在产品的选型方面,根据用户对布线网络运行的要求,选用法国一阿尔卡特公司(耐克森)的超五类屏蔽布线产品。
1、信息插座
对于标准办公区信息插座是采用EIA/TIA568A标准的RJ45信息插座,即可接1台计算机;
均布于墙面,根据房间的结构或内装修方案,确定信息插座的位置采用墙面出口。
这里我们主要使用耐克森NEXANS(Alcatel)公司提供所有超五类信息出口插座,且所有模块均为超五类屏蔽模块。
其具有以下特点:
•无印刷电路板,无焊接点,性能稳定
•无需打线工具,安装简便,可反复安装10次
•超5类的性能,性价比高
考虑到信息出口的美观和一致性,以及未来信息点扩充问题,将所有信息出口都设计为双口86国标面板。
水平系统的终端,包括用于连接主干与水平系统的跳线架和用于本地的网络设备。
2、配线机柜
在主机房设有配线机柜(19英寸40U),以安装配线架和网络设备等,对各层信息点提供灵活、安全、整洁的管理场所。
3、施工方案
(1)水平线路
此水平布线设计从信息点引至配线间。
每个信息插座对应一根UTP超五类线,用于数据。
水平线走线:
吊顶走线向下引线到信息插座;
走廊或房间的吊顶上安装塑料线槽;
房间内,水平线缆从吊顶线管引出、线槽安装沿墙壁
而下,到各信息插座,见上图。
(2)室内施工
对于本项目,信息出口安装方式如下:
大楼内有四壁的小房间办公室,信息插座只需要安装于墙上,采用墙面明装,信息出口可设在三线单相电源插座的旁边20cm处;
信息插座和电源插座的低边距地面30cm。
见下图
地面
如果有大开间办公环境,而办公区是由隔板划分的,信息出口可以安装在办公隔板上,
同样在信息插座旁20cm处可设一个三线单相电源插座。
考虑到信息时代技术的飞速发展,建议一次布线到位,水平线全部采用超五类双绞线
UTP,用于传输数据信号,其数据传输速率可在100米范围内达到100Mbps;
由于水平线全部
采用相同的超五类双绞线,信息出口可以灵活地更换设备而不受传输介质的影响。
(3)抗干扰
综合布线系统所传输的信号绝大多数是弱电信号,因此存在强电对弱电干扰的问题。
计算机网络对强电信号的干扰特别敏感,所以这是施工中应注意的施工工艺。
EIA/TIA568A对综合布线系统与强电系统的隔离作了特别的规定,施工将按此规定进
行。
强电类型
综合布线系统与强电系统的隔离距离
平行走线
垂直相交
低电压AC<
42.4V
DC<
60V
无要求
低压
AC<
1000V
1500V
1.无绝缘条件下,2.
至少50mm
3.绝缘或金属套管接地条
件下,4.至少25mm
1.6mm绝缘条件下,2.
在所有方向上至少大于25mm
高压
AOIOOOV
D01500V
1.单芯强电线,2.至少450mm
3.多芯强电线,4.至少
300mm
单芯强电线,至少450imi多芯强电线,至少300mm
(4)施工工艺
A、弱电综合布线管路
方案一:
金属桥架
采用走吊顶的轻型装配式槽形电缆桥架的方案,这种方式适用于大型建筑物,为水平系统提供机械保护和支持。
装配式槽型电缆桥架是一种闭合式的金属托架,安装在吊顶内,从弱电竖井引向设有信息点的各展区,再由预埋在墙内不同的金属管,引至墙内或竖头的暗装铁盒内。
另外,对地面预埋的信息点,在从弱电竖井引向设有信息的各展区后通过垂直桥架引向地面线槽,并由地面线槽引向展项的地埋铁盒内。
结构化布线是幅射型的,线缆量较多,所以线槽容量的计算十分重要。
按照标准的线槽设计方法,应据水平缆径来确定线槽的容量:
线槽的横截面积X40%>水平线缆截面积和
线槽材料多为冷轧合金板表面可进行相应处理。
如镀锌,喷塑等。
线槽根据情况选用不同的规格。
为保证线缆的弯曲半径,线槽须配以相应规格的分支辅件。
为确保线路的安全,应使槽体有良好的接地端,金属软管、电缆桥架及各种配线箱均需要整
体连接后良好接地。
接地的方式视建筑物结构,以采用网状或星状接地形式。
方案二:
PVC槽板
采用走吊顶的PVC槽板的方案,PVC槽板是一种闭合式的PVC托架,安装在吊顶内,从弱电竖井引向设有信息点的各展区,再由预埋在墙内不同的PVC管,引至墙内的明装盒内,该
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 建设 方案