引言：某单位统计系统专网三级节点是依托基础设施建设，专网的互联互通也是依托互联网网。按照信息系统安全保密结构，该单位组织专网三级节点的基本保护、物理安全、运行安全、信息安全保密、安全保密管理等方面采取下列相应安全保密技术和措施。

系统专网三级节点是依托基础设施建设，通过其与上级主管部门专网二级节点及四级节点互联，实现系统专网互联互通的目标。按照信息系统安全保密结构，在专网三级节点的基本保护、物理安全、运行安全、信息安全保密、安全保密管理等方面采取下列相应安全保密技术和措施。

基本防护措施

按照相关标准规定，涉密系统不得直接或间接接入互联网，实现物理隔离（上级部门专网为独立网络，与互联网没有任何连接）。安全保密产品通过测评机构的检测。通过针对安全域边界进行明确的划分，通过防火墙和安全隔离与信息交换系统使安全域与安全域之间的所有数据通信都安全可控。

媒体（存储介质）包括光盘、硬盘盒磁带等按照规定管理。对于涉密设备的维修，在保密系统指定服务站进行统一维护，禁止在系统外对设备进行远程维护和远程监控，严格控制系统内的设备远程维护和远程监控操作，并且对所有维修情况进行日志记录，对于不再使用或无法使用的设备按照有关部门的相关规定在指定销毁中心及时报废处理。

物理安全措施

涉密系统与国际互联网物理隔离，同时对违规上网和非法外联进行监控，实时阻断。网络设备和服务器放置于屏蔽机柜。中心机房用门控系统进行身份鉴别，配备有监视系统。工作人员进行区域保护。

运行安全措施

首先对计算机病毒与恶意代码防护的部署，通过在客户端安装杀病毒软件，客户端通过控制中心进行定期升级更新，并制定明确的文档化计算机病毒与恶意代码防护策略和制度。

其次进行针对性备份与恢复。在本次组网方案中，针对网络关键节点采用冗余设计，能够大大提高系统的可靠性，同时配置了专用备份服务器对重要信息进行备份，逐步形成一套完整应急恢复方案，力求在最短时间对信息进行有效恢复。

第三应急计划和响应策略。针对应急计划中的异常事件处理办法和回报流程制定了能够确保应急计划和响应策略正确实施的规章制度和管理办法；对系统内的用户进行相关应急响应的各项知识、技术、技能的培训，明确了用户在系统应急响应中所担任的角色和责任；对系统内的异常事件结合系统内实施的安全审计措施，进行系统内异常事件的监测。

第四加强运行管理。制定明确的系统运行管理策略和确保系统运行管理策略正确实施的相关规章制度；加强系统配置的管理，并对系统配置操作进行安全审计；加强设备接入的管理，控制违规接入设备对系统资源的访问；对用户按最小权限原则进行权限划分，管理员间的权限能做到互相监督，避免由于用户权限过于集中带来的安全风险。

保密防护措施

首先强化访问控制。访问控制是对全单位统计系统专网内部用户进行文件和数据操作权限的限制，主要防范用户的越权访问。在各密级安全域之间通过防火墙系统划分安全域实现网络层面的权限控制，结合身份鉴别对应用系统进行应用级的访问控制。防火墙对数据包的检测是基于源IP、目的IP、源端口、目的端口和协议类型这五个元素。在防火墙上设置源IP、源端口（协议类型）与目的IP、目的端口（协议类型）之间的访问策略。凡是不符合防火墙访问策略的数据包一律予以丢弃。人为的造成通信失败，用以阻断非授权的网络访问。在统计系统专网用户公共程序区域根据业务应用的服务范围和用户类型制定网络层访问控制策略。

其次使用身份鉴别。在实现系统专网内部用户网络访问控制的基础上，依托防火墙系统加强身份认证系统，实现身份统一识别管理和安全访问的目的，能够满足保密标准中关于身份鉴别的技术要求。

第三进行信息完整性校验。通过身份认证系统中数字签名的双重加密的方式来实现防伪、防赖。专网系统内部制定文档化的明确的信息完整性保护策略，并且通过审计及入侵检测工具对系统内传输的涉密信息进行完整性检测，及时发现涉密信息被篡改、删除、插入等情况，并生成审计日志。

第四采取电磁泄漏发射防护。系统内设备及安装使用满足BMB2-1998标准要求，机房所处建筑物安装满足BMB4-2000要求的电磁干扰器。数据传输线路的电磁泄漏发射防护采用良好接地的屏蔽电缆，并与其他并行非屏蔽线缆应保持15cm或45cm（平行长度大于等于30m时）以上的隔离距离，当其他线缆也采取良好接地的屏蔽电缆时，最小间隔距离为5cm。本次组网方案对于综合布线采用光纤布线到房间结合房间内屏蔽线缆的方式，能够满足抗电磁干扰、搭线窃听、防雷击等方面的要求，同时在数据核心位置部署屏蔽机柜，在配线间安装干扰设备。

第五采取网络加密传输措施。涉密网络中，如采用数据明文传输方式，往往使得网络窃听可以非常容易得手，针对明文网络传输的弱点，在接受系统专网中，采用数据传输加密方法，对重要数据进行加密传输，确保数据的安全读取与传输。

第六定期进行性能检测与评估。采用国家相关主管部门批准使用的检测工具，对系统专网系统进行定期安全性检测，检测内容包括，操作系统版本、更新、开放端口、开放服务等，主要用于分析有关网络的安全漏洞及被测系统的薄弱环节，给出详细的检测报告，并针对检测的网络安全隐患给出相应的修补措施和安全建议。加强网络信息系统安全功能，提高内部网络安全防护性能和抗破坏能力。

第七加强安全审计和行为审计。在统计专网部署安全行为审计系统，对重要业务数据和敏感信息的存储、传播和处理过程实施安全防护。最大限度地防止敏感信息泄漏、被破坏和违规外传，并完整记录涉及敏感信息的操作日志，以便日后审计或追究相关的泄漏责任。内网审计系统从内部安全体系架构和网络管理层面上，实现内部涉密环境安全的统一。通过行为审计有效防止系统内部终端的信息泄漏，同时对终端系统的软硬件资源实施安全管理，并对终端系统的工作状况进行监控和审计，实现对电子文档的加密。

第八采取其他一些防护措施。通过在系统内部部署补丁分发系统，确保服务器和客户端在专网封闭环境内，可及时安装重要补丁；通过署数据库安全审计和运行监测系统，对于专网系统内数据库前台应用系统提供安全保护；通过入侵监控对入侵行为的检测与控制，在监测的同时结合访问控制系统实现攻击事件的阻断。