1、秘级:秘密中国航空工业标准件制造有限责任公司涉密网 设计方案公司年 月中航标 涉密网设计方案第 2 页 目录1. 系统概述 .52. 设计目标与原则 .72.1 设计目标 .72.2. 设计原则 .72.3. 设计依据 .93. 系统现状分析 .103.1. 网络状况分析 .103.1.1. 涉密网 .103.1.2. 办公内网 .103.1.3. 外网 .103.2. 网络应用分析 .113.3. 系统现有设备 .113.4. 系统安全现状 .124. 涉密网设计 .134.1. 综合布线设计 .134.1.1. 厂区主干子系统 .134.1.2. 建筑物内子系统 .134.2. 网络设计
2、.184.3. 网络可靠性设计 .204.4. 网络安全措施 .214.5. 服务器及备份系统部署 .264.6. 防病毒系统部署 .284.7. 防雷接地 .304.8. 机房装修 .314.9. 门禁系统 .325. 项目组织 .356. 系统风险分析 .376.1. 分析的方法和流程 .376.2. 服务器群边界风险分析 .376.3. 网络与上级边界风险分析 .386.4. 各级客户端风险分析 .386.5. 网络层次风险分析 .386.5.1. 物理安全风险分析 .386.5.2. 链路层安全风险分析 .396.5.3. 网络层(包含传输层)安全风险分析 .396.5.4. 操作系统
3、的安全风险分析 .406.5.5. 应用层安全风险分析 .416.5.6. 管理的安全风险分析 .426.6. 现存风险分析结果汇总 .437. 安全总体设计 .447.1. 总体分析 .447.2. 安全模型设计 .457.3. 安全策略设计 .457.4. 安全需求列表 .467.5. 需求实现技术措施 .46中航标 涉密网设计方案第 3 页 8. 安全设计及实施 .488.1. 总体部署 .488.2. 远程网络安全部署 .508.3. 访问控制系统部署 .508.4. 入侵检测系统部署 .518.5. 网络安全审计系统部署 .528.6. 终端防护 .538.6.1. 解决方案 .53
4、8.6.2. 终端访问防护 .548.7. 设备联动 .558.8. 机房屏蔽 .569. 安全保密管理设计 .589.1. 涉密信息系统安全组织管理 .589.1.1. 涉密信息系统安全管理的性质 .589.1.2. 涉密信息系统安全管理机构 .589.1.3. 信息系统安全管理机构的职能 .589.1.4. 涉密信息系统信息安全负责人职能 .599.2. 安全管理机构 .599.2.1. 安全保密决策机构 .599.2.2. 保密日常执行机构 .609.2.3. 安全保密应急响应小组 .609.3. 安全人员管理 .619.3.1. 人员审查 .619.3.2. 岗位人选 .619.3.3
5、. 人员培训 .619.3.4. 人员考核 .629.3.5. 签定保密合同 .629.3.6. 人员调离 .629.4. 技术安全管理 .629.4.1. 软件管理 .629.4.2. 设备管理 .649.4.4. 介质管理 .679.4.5. 备份管理 .699.4.6. 涉密信息管理 .699.4.7. 技术文档管理 .709.4.8. 传输线路和网络互连管理 .719.4.9. 应急响应计划 .719.5. 安全管理小结 .7210. 风险解决情况 .7311. 数据加密 .7312. 安全保密设备选型 .7312.1. 选型原则 .7312.2. 选型依据 .7413. 系统预算 .
6、7413.1. 总预算 .7413.2. 产品清单 .7414. 结束语 .78中航标 涉密网设计方案第 4 页 15. 附录一:公司资质 .7816. 附录二:产品资料 .7916.1. 应用服务器曙光 .7916.2. KVM 切换器 ATEN 4 口 .8216.3. 核心交换机华为 LS-6503.8316.4. 楼层交换机 .8616.5 路由器 .8916.6 网络管理软件 .9116.7 UPS 电源 科士达 .9316.8. 门禁系统 .9516.9. 网络安全产品 .9616.9.1. 安全审计 .9616.9.2. 入侵检测 .9816.9.3. 防火墙 .10216.8.
7、4. 隔离卡 .10616. 附录三:产品资质 .106中航标 涉密网设计方案第 5 页 1. 系统概述(1)系统名称中国航空工业标准件制造有限责任公司涉密网;(2)系统密级本系统用于处理秘密级以下级别的涉密信息;(3)用途用于传输、存储中国航空工业标准件制造有限责任公司的涉密信息;中国航空工业标准件制造有限责任公司是我国航空工业唯一的整机、全系列标准件、高强度紧固件及小零件的专业化科研生产基地。公司组建于1993年12月,由始建于二十世纪六十年代中期的原安湖机械厂和庆文机械厂合并异地搬迁而成。在贵州省贵阳市白云区白云经济技术开发区内拥有14万平方米的生产经营场地,在职职工1400余人,其中科
8、研、管理人员289人(其中:中高级职称187人),现拥有固定资产21117万元,资产总值35740万元,拥有各类主要生产检测设备800余台(套) ,其中从美、德、法、日、瑞典、瑞士等国家引进的先进设备占固定资产总值的60%以上。 公司相继通过了ISO90002000版和QS9000/VDA6.1质量体系认证,并通过了德国大众、上海大众、一汽大众、五羊本田、上汽通用五菱等汽车、摩托车行业的质量检查与评审。在全系列、大批量生产经营航空、航天标准件的同时,亦大量生产汽车、摩托车、工程机械高强度紧固件、齿轮齿条式汽车转向器,集科研、生产、检测为一体。多年来, 为飞机、航空发动机、火箭、民用航空及汽车、
9、摩托车、工程机械、纺织机械、化工、制冷压缩机与各类柴、汽油发动机等行业(专业)的发展做出了卓越的贡献。公司航空标准件的制造技术、加工设备居国内领先地位,特别是关键技术、关键检测手段、关键加工设备已经接近或达到了国际同行业的先进水平。随着信息化在中国航空工业标准件制造有限责任公司的不断深入,信息化安全的问题也日益突出,特别是涉密信息的管理成为急需解决的问题,因此,中国航空工业标准件制造有限责任公司提出建立一个计算机涉密信息系统的设想,由于中国中航标 涉密网设计方案第 6 页 航空工业标准件制造有限责任公司是重要涉密单位,因此其信息化建设必须符合国家保密局和相关部门的要求。(4)系统总体方案于TCP/IP网络本身的开放性质,随着网络建设及网络应用的开展,在信息网络技术带来了更高工作效率的同时,也带来了信息安全方面的问题。在网络中,各种可能的攻击问题也日益严重,网络系统的安全,对信息系统建设乃至正常工作业务的开展,造成了潜在的威胁。及其信
