第一篇：開展涉密信息系統(tǒng)分級保護(hù)工作應(yīng)注意問題

開展涉密信息系統(tǒng)分級保護(hù)工作

應(yīng)注意的幾個問題

一、引言

2003年9月，中央 辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)的《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息 安全保障工作的意見》（中辦發(fā)〔2003〕27號）提出了“實行 信息安全等級保護(hù)”的要求，并指出“對涉及 國家秘密的信息系統(tǒng)，要按照黨和國家有關(guān)保密規(guī)定進(jìn)行保護(hù)”。中共 中央保密委員會《關(guān)于加強(qiáng)信息安全保障工作中 保密管理的若干意見》（中保委發(fā)〔2004〕7號）提出要建立涉密信息系統(tǒng)分級保護(hù)制度。自2005年起，國家保密局組織制定并頒布實施了一系列關(guān)于涉密信息系統(tǒng)分級保護(hù)的法規(guī)與標(biāo)準(zhǔn)，并于2006年9月至2007年3月，組織中央組織部、中央聯(lián)絡(luò)部和航天科技集團(tuán)進(jìn)行了分級保護(hù)試點工作。2007年9月7日，國家保密局召開了全國涉密信息系統(tǒng)分級保護(hù)工作會議，推廣了試點工作經(jīng)驗，部署了分級保護(hù)工作。自此，涉密信息系統(tǒng)分級保護(hù)工作已進(jìn)入了全面推進(jìn)階段。

二、領(lǐng)導(dǎo)重視，建立機(jī)制

我國的國家秘密分為 秘密、機(jī)密、絕密三級，涉密信息系統(tǒng)也按照秘密、機(jī)密、絕密三級進(jìn)行分級管理。根據(jù)“誰主管、誰負(fù)責(zé)”的保密管理原則，涉密信息系統(tǒng)建設(shè)使用單位應(yīng)負(fù)責(zé)本單位涉密信息系統(tǒng)分級保護(hù)的具體實施工作。涉密信息系統(tǒng)分級保護(hù)工作是一項復(fù)雜的系統(tǒng)工程，涉及到單位內(nèi)部的保密、信息化、業(yè)務(wù)工作、密碼、保衛(wèi)和人事等部門，各相關(guān)部門只有密切合作、統(tǒng)籌實施，才能保障整個工作的順利進(jìn)行。這就要求涉密信息系統(tǒng)的建設(shè)使用單位領(lǐng)導(dǎo)高度重視此項工作，組建強(qiáng)有力的領(lǐng)導(dǎo)班子，建立起確保措施到位、人員到位、資金到位的分級保護(hù)工作組織保障體系，形成強(qiáng)有力的工作機(jī)制。

⑴在系統(tǒng)定級方面，保密管理部門要發(fā)揮準(zhǔn)確掌握國家保密政策的優(yōu)勢，與信息化建設(shè)部門、業(yè)務(wù)工作部門一起研究確定系統(tǒng)和安全域所處理信息的最高密級，從而確定保護(hù)等級。

⑵在方案設(shè)計方面，信息化建設(shè)部門要充分利用熟悉技術(shù)的特點，按照分級保護(hù)技術(shù)要求和管理規(guī)范，組織設(shè)計符合保密要求的分級保護(hù)方案。保密管理部門應(yīng)對總體方案進(jìn)行監(jiān)督、檢查和指導(dǎo)，組織專家進(jìn)行評審論證。

⑶在工程實施方面，信息化建設(shè)部門應(yīng)具體承擔(dān)組織實施工作，并與保密管理部門定期檢查工作進(jìn)展情況，對于發(fā)現(xiàn)的問題及時協(xié)調(diào)處理，確保各項安全保護(hù)措施落到實處。

⑷在系統(tǒng)工程施工結(jié)束后，保密管理部門應(yīng)負(fù)責(zé)組織系統(tǒng)測評和系統(tǒng)審批工作。

⑸在系統(tǒng)投入運行后，保密、信息化、業(yè)務(wù)工作、密碼、保衛(wèi)和人事等有關(guān)部門應(yīng)按照“分工合作、各司其責(zé)”的原則，積極配合完成各方面的日常安全保密管理工作。

三、把握方法，遵循流程

涉密信息系統(tǒng)分級保護(hù)工作包括系統(tǒng)定級、方案設(shè)計、工程實施、系統(tǒng)測評、系統(tǒng)審批、日常管理、測評與檢查和系統(tǒng)廢止八個環(huán)節(jié)，貫穿于涉密信息系統(tǒng)的整個生命周期之中，是對涉密信息系統(tǒng)進(jìn)行的全過程保密管理。因此，涉密信息系統(tǒng)建設(shè)使用單位應(yīng)該按照“規(guī)范定密，準(zhǔn)確定級；依照標(biāo)準(zhǔn)，同步建設(shè)；突出重點，確保核心；明確責(zé)任，加強(qiáng)監(jiān)督”的原則，遵循分級保護(hù)工作的基本流程，突出重點環(huán)節(jié)，強(qiáng)化過程管理。

1.系統(tǒng)定級

涉密信息系統(tǒng)按照所處理信息的最高密級，由低到高劃分為秘密、機(jī)密、絕密三個等級。因此，在確定涉密信息系統(tǒng)內(nèi)信息的最高密級后，就可具體確定涉密信息系統(tǒng)安全等級。對于新建系統(tǒng)，涉密信息系統(tǒng)建設(shè)使用單位應(yīng)根據(jù)實際工作需要，通過下位系統(tǒng)所要處理信息的最高密級來確定系統(tǒng)等級；對于已建系統(tǒng)，應(yīng)對照定密范圍，對系統(tǒng)中處理的信息進(jìn)行密級核定，并補(bǔ)充采取相應(yīng)的保護(hù)措施。

2.方案設(shè)計

涉密信息系統(tǒng)建設(shè)使用單位在各級保密工作部門的指導(dǎo)與監(jiān)督下，選拔具有相應(yīng)涉密資質(zhì)的承建單位承擔(dān)或參與涉密信息系統(tǒng)的系統(tǒng)集成、軟件開發(fā)、綜合布線、系統(tǒng)服務(wù)、系統(tǒng)咨詢、風(fēng)險評估、屏蔽室建設(shè)、工程監(jiān)理和保密安防監(jiān)控的方案設(shè)計與實施工作。涉密信息系統(tǒng)建設(shè)使用單位在工程實施前，應(yīng)對系統(tǒng)設(shè)計方案進(jìn)行審查論證，保密工作部門應(yīng)當(dāng)參與方案審查論，在系統(tǒng)總體安全保密性方面加強(qiáng)指導(dǎo)，嚴(yán)格把關(guān)。

3.工程實施

在工程實施階段，主要抓好保密管理和工程監(jiān)理工作。涉密信息系統(tǒng)建設(shè)使用單位應(yīng)根據(jù)工程的具體情況劃定保密范圍，制定相應(yīng)的保密措施和保密控制流程，嚴(yán)格控制接觸涉密信息的人員范圍。同時還應(yīng)選擇具有涉密工程監(jiān)理單項資質(zhì)的單位或組織自身力量在安全保密控制、質(zhì)量控制、進(jìn)度控制、成本控制、合同管理和文檔管理六個方面加強(qiáng)監(jiān)督檢查。

4.測評階段

涉密信息系統(tǒng)投入運行必須先測評后審批涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)工程實施結(jié)束后，應(yīng)當(dāng)向保密工作部門提出申請，按照國家保密工作部門授權(quán)的系統(tǒng)測評機(jī)構(gòu)的要求，提交測評所需的必要資料。由測評機(jī)構(gòu)對涉密信息系統(tǒng)進(jìn)行安全保密測評，全面驗證所采取的安全保密措施能否滿足安全保密需求和分級保護(hù)的要求，為涉密信息系統(tǒng)審批提供依據(jù)。

5.系統(tǒng)審批

國家對涉密信息系統(tǒng)的投入運行實行行政審批制度。國家保密工作部門負(fù)責(zé)審批中央和國家機(jī)關(guān)各部 委及其所屬單位、國防武器裝備科研生產(chǎn)一級保密資格單位的涉密信息系統(tǒng)；?。ㄗ灾螀^(qū)、直轄市）保密工作部門負(fù)責(zé)審批省直機(jī)關(guān)各部門及其所屬單位、國防武器裝備科研生產(chǎn)二、三級保密資格單位的涉密信息系統(tǒng)；市（地）級保密工作部門負(fù)責(zé)審批市（地）、縣直機(jī)關(guān)及其所屬的涉密信息系統(tǒng)。

保密工作部門在系統(tǒng)測評的基礎(chǔ)上對系統(tǒng)進(jìn)行審批，對符合要求的涉密信息系統(tǒng)批準(zhǔn)其投入使用。對不符合要求的，保密工作部門提出整改意見，由使用單位對系統(tǒng)進(jìn)行整改后另行報批。未經(jīng)保密工作部門審批，擅自將涉密信息系統(tǒng)投入使用的，必須立即停止存儲、處理和傳輸國家秘密信息，并追究部門領(lǐng)導(dǎo)和相關(guān)責(zé)任人的責(zé)任；造成泄密的，依法追究法律責(zé)任。

6.日常管理

隨著涉密信息系統(tǒng)的開通運行，系統(tǒng)的規(guī)模、具體業(yè)務(wù)范圍以及用戶都可能發(fā)生變化，這些變化和運行過程出現(xiàn)的安全事件都可能使過去相對安全的系統(tǒng)不再安全。涉密信息系統(tǒng)的管理者和使用者，應(yīng)結(jié)合系統(tǒng)實際制定明確的安全保密管理策略，成立由單位主管領(lǐng)導(dǎo)任責(zé)任人，包括保密、信息化、業(yè)務(wù)工作、密碼、保衛(wèi)和人事等有關(guān)部門人員組成的安全保密管理機(jī)構(gòu)，使用先進(jìn)的安全保密管理技術(shù)，從人員管理、物理環(huán)境與設(shè)施管理、設(shè)備與介質(zhì)管理、運行與開發(fā)管理和信息保密管理五個方面進(jìn)行日常安全保密管理。

7.測評與檢查

系統(tǒng)經(jīng)審批投入運行后，應(yīng)加強(qiáng)風(fēng)險評估管理。秘密級、機(jī)密級信息系統(tǒng)，每兩年至少進(jìn)行一次保密檢查或系統(tǒng)測評；絕密級信息系統(tǒng)每年至少進(jìn)行一次保密檢查或系統(tǒng)測評。安全保密測評和保密技術(shù)檢查過程中形成的有關(guān)數(shù)據(jù)、刻錄和評估報告，應(yīng)定密并按照相應(yīng)級文件進(jìn)行管理。

8.系統(tǒng)廢止

涉密信息系統(tǒng)不再使用時，涉密信息系統(tǒng)建設(shè)使用單位應(yīng)向保密工作部門備案，并按照有關(guān)保密規(guī)定妥善處理涉及國家秘密信息的設(shè)備、產(chǎn)品介質(zhì)和文檔資料。對需要報廢的涉密設(shè)備和介質(zhì)，應(yīng)進(jìn)行信息消除和載體銷毀處理，所采取的技術(shù)、設(shè)備和措施應(yīng)符合相關(guān)標(biāo)準(zhǔn)和規(guī)定，防止泄密事件的發(fā)生。

四、了解政策，掌握標(biāo)準(zhǔn)

涉密信息系統(tǒng)分級保護(hù)是指涉密信息系統(tǒng)的建設(shè)使用單位根據(jù)分級保護(hù)管理辦法和有關(guān)標(biāo)準(zhǔn)，對涉密信息系統(tǒng)分等級實施保護(hù)。因此，涉密信息系統(tǒng)建設(shè)使用單位必須充分了解分級保護(hù)工作方面的政策要求，并熟練掌握和運用涉密信息系統(tǒng)分級保護(hù)的標(biāo)準(zhǔn)。

1.涉密信息系統(tǒng)分級保護(hù)是國家信息安全等級保護(hù)的重要部分

涉密信息系統(tǒng)根據(jù)涉密程度，按照秘密級、級、絕密級進(jìn)行分級保護(hù)；非涉密信息系統(tǒng)根據(jù)重要程度按照自主保護(hù)級（第一級）、指導(dǎo)保護(hù)級（第二級）、監(jiān)督保護(hù)級（第三級）、強(qiáng)制保護(hù)級（第四級）、專控保護(hù)級（第五級）進(jìn)行等級保護(hù)。秘密級、機(jī)密級、絕密級信息系統(tǒng)的整體防護(hù)水平不低于非涉密信息系統(tǒng)的第三、四、五級的要求。凡是用于處理、傳輸和存儲國家秘密的信息系統(tǒng)（網(wǎng)絡(luò)）都應(yīng)按照分級保護(hù)的要求進(jìn)行建設(shè)、使用和管理。

2.國家保密局是涉密信息系統(tǒng)分級保護(hù)工作的主管部門

國家保密工作部門負(fù)責(zé)全國涉密信息系統(tǒng)分級保護(hù)工作的指導(dǎo)、監(jiān)督和檢查；地方各級保密工作部門負(fù)責(zé)本行政區(qū)域涉密信息系統(tǒng)分級保護(hù)工作的指導(dǎo)、監(jiān)督和檢查。中央和國家機(jī)關(guān)各部門在其職權(quán)范圍內(nèi)，主管或指導(dǎo)本部門和本系統(tǒng)涉密信息系統(tǒng)的分級保護(hù)工作；涉密信息系統(tǒng)的建設(shè)使用單位則負(fù)責(zé)本單位涉密信息系統(tǒng)分級保護(hù)的具體實施工作。

3.國家保密法規(guī)與標(biāo)準(zhǔn)是組織開展分級保護(hù)工作的具體依據(jù)

涉密信息系統(tǒng)建設(shè)使用單位應(yīng)依據(jù)《涉及國家秘密的信息系統(tǒng)分級保護(hù)管理辦法》（國保發(fā)〔2005〕16號）確定系統(tǒng)等級，結(jié)合本單位業(yè)務(wù)需求和涉密信息制定安全保密需求，依據(jù)國家保密標(biāo)準(zhǔn)BMB17-2006《涉及國家秘密的信息系統(tǒng)分級保護(hù)技術(shù)要求》和BMB20-2007《涉及國家秘密的信息系統(tǒng)分級保護(hù)管理規(guī)范》，設(shè)計系統(tǒng)安全保密方案。在工程實施過程中，應(yīng)按照BMB18-2006《涉及國家秘密的信息系統(tǒng)工程監(jiān)理規(guī)范》的要求進(jìn)行工程監(jiān)理。工程實施結(jié)束后,涉密信息系統(tǒng)

建設(shè)使用單位應(yīng)當(dāng)向保密工作部門提出申請，由國家保密局的涉密信息系統(tǒng)測評機(jī)構(gòu)依據(jù)國家保密標(biāo)準(zhǔn)BMB22-2007《涉及國家秘密的計算機(jī)信息系統(tǒng)分級保護(hù)測評指南》，對涉密信息系統(tǒng)進(jìn)行安全保密測評。在系統(tǒng)投入使用前，涉密信息系統(tǒng) 建設(shè)使用單位應(yīng)當(dāng)按照《涉及國家秘密的信息系統(tǒng)審批管理規(guī)定》,向市(地)級以上保密工作部門申請進(jìn)行系統(tǒng)審批,涉密信息系統(tǒng)通過審批后方可投入使用。已投入使用的涉密信息系統(tǒng),其建設(shè)使用單位在按照分級保護(hù)要求完成系統(tǒng)整改后,應(yīng)當(dāng)向保密工作部門備案。

五、合理分域,準(zhǔn)確定級

涉密信息系統(tǒng)分級保護(hù)是以系統(tǒng)所處理信息的最高密級來確定安全等級的,在合理劃分安全域邊界安全可控的情況下,各安全域可根據(jù)涉密高定級單獨定級,實施“分域分級防護(hù)”的策略,從而降低系統(tǒng)建設(shè)成本和管理風(fēng)險。

⑴對于涉密程度層次分明、地域縱橫分布睥我國黨政部門的“電子政務(wù)廣域網(wǎng)涉密信息系統(tǒng)”，可根據(jù)行政級別、信息密級和系統(tǒng)重要性劃分不同的安全域。首先可根據(jù)行政級別將業(yè)務(wù)體系內(nèi)的“電子政務(wù)廣域網(wǎng)涉密信息系統(tǒng)”劃分為中央、省、市（地）和縣四個安全域，然后再根據(jù)各個安全域的所處理信息的最高密級單獨確定保護(hù)等級和防護(hù)措施，例如按照機(jī)密級增強(qiáng)（中央）、機(jī)密級（?。⒚孛芗墸ㄊ?、地）和工作秘密級（縣）“四層三級”的架構(gòu)進(jìn)行分域分級防護(hù)。

⑵對于使用范圍集中的局域網(wǎng)涉密信息系統(tǒng)，可根據(jù)業(yè)務(wù)部門和信息密級劃分不同的安全域。為了實現(xiàn)涉密信息系統(tǒng)的最小化，控制國家秘密的知曉范圍，降低失泄密的風(fēng)險，對于局域網(wǎng)涉密信息系統(tǒng)可根據(jù)業(yè)務(wù)部門和信息密級的不同劃分安全域。首先通過使用VLAN、防火墻等技術(shù)劃分不同的安全域，對不同部門的業(yè)務(wù)進(jìn)行分割；然后，在同一部門內(nèi)可再根據(jù)信息密級，將處理、存儲不同密級信息的服務(wù)器和用戶終端劃分到不同的安全域。例如，可將一個機(jī)密級局域網(wǎng)劃分為若干個機(jī)密級和秘密級安全域，進(jìn)行分級分域管理，實現(xiàn)多邊安全控制，保障系統(tǒng)的總體安全。

⑶對整體涉密程度高、使用范圍廣且應(yīng)用特殊的“軍工單位涉密信息系統(tǒng)”，可根據(jù)行政管理結(jié)構(gòu)和信息密級劃分不同的安全域。我國的國防武器裝備科研生產(chǎn)軍工部門基本實行集團(tuán)總部、院和廠所三級獨立法人負(fù)責(zé)制。因此可首先根據(jù)這種行政管理結(jié)構(gòu)模式對整個系統(tǒng)進(jìn)行安全域劃分，然后再根據(jù)各個安全域的所處理信息的最高密級單獨確定保護(hù)等級和防護(hù)措施。對于機(jī)密級的安全域，應(yīng)采用機(jī)密級增強(qiáng)保護(hù)要求進(jìn)行防護(hù)。

在對涉密信息系統(tǒng)進(jìn)行分域分級防護(hù)的情況，還應(yīng)考慮安全域邊界防護(hù)問題，并建立“集中控制、分級負(fù)責(zé)”的安全保密監(jiān)控平臺，實現(xiàn)全網(wǎng)統(tǒng)一的安全保密管理與監(jiān)控。

六、把握關(guān)鍵，確保安全

涉密信息系統(tǒng)分級保護(hù)就是要從實際出發(fā)，綜合平衡安全成本和風(fēng)險，優(yōu)化信息安全資源的配置，突出重點，確保國家秘密的安全。在方案設(shè)計和工程實施中，應(yīng)解決好以下幾個方面的關(guān)鍵技術(shù)與管理措施：

1.安全保密產(chǎn)品選擇

非涉密信息系統(tǒng)中使用的安全保密產(chǎn)品應(yīng)選用國產(chǎn)設(shè)備，非安全保密產(chǎn)品應(yīng)充分考慮國家安全保密需要，優(yōu)先選擇國產(chǎn)設(shè)備；在選用國外設(shè)備時，應(yīng)進(jìn)行詳細(xì)調(diào)查和論證，不得選用國家保密工作部門禁用的設(shè)備或附件，必要時，應(yīng)對選用的國外產(chǎn)品進(jìn)行安全保密檢測。

選用的計算機(jī)病毒防護(hù)產(chǎn)品應(yīng)獲得公安機(jī)關(guān)批準(zhǔn)，密碼產(chǎn)品應(yīng)獲得國家密碼管理部門批準(zhǔn)，其他安全保密產(chǎn)品均應(yīng)獲得國家保密工作部門批準(zhǔn)。

2.物理隔離與違規(guī)外聯(lián)監(jiān)控

涉密信息系統(tǒng)不得直接或間接聯(lián)網(wǎng)，應(yīng)與互聯(lián)網(wǎng)等其他公共通信系統(tǒng)實行物理隔離。同時還應(yīng)禁止系統(tǒng)內(nèi)用戶非授權(quán)的外部連接（如違規(guī)撥號、違規(guī)連接和違規(guī)無線上網(wǎng)等），并對系統(tǒng)內(nèi)的非授權(quán)外聯(lián)行為采取技術(shù)手段進(jìn)行檢查的阻斷。

3.安全域邊界防護(hù)與控制

涉密信息系統(tǒng)安全域之間的邊界應(yīng)劃分明確，安全域與安全域之間的所有數(shù)據(jù)通信都應(yīng)安全可控；對于不同等級的安全域間通信，應(yīng)實施有效的訪問控制策略和機(jī)制，禁止高密級信息由高等級安全域流向低等級安全域。

4.身份鑒別與訪問控制

應(yīng)對涉密信息系統(tǒng)中所有的服務(wù)器、用戶終端、安全保密設(shè)備和涉密業(yè)務(wù)應(yīng)用系統(tǒng)的本地登錄和遠(yuǎn)程登錄采取用戶身份鑒別措施，并根據(jù)應(yīng)根據(jù)涉密信息的密級和實際業(yè)務(wù)工作的對系統(tǒng)內(nèi)涉密信息和重要信息的訪問采用強(qiáng)制訪問控制措施。

5.密級標(biāo)識與密碼保護(hù)措施

涉密信息系統(tǒng)中產(chǎn)生、存儲、處理、傳輸、歸檔和輸出的信息及其存儲介質(zhì)應(yīng)有相應(yīng)的密級標(biāo)識。電子文件密級標(biāo)識應(yīng)與信息主體不可分離，密級標(biāo)識不得篡改。涉密信息系統(tǒng)之間的信息遠(yuǎn)程傳輸以及絕密級信息系統(tǒng)的信息傳輸與存儲應(yīng)采取密碼保護(hù)措施。

6.電磁泄漏發(fā)射防護(hù)

電磁泄漏發(fā)射是指信息設(shè)備的信息以雜散（寄生）電磁能量的方式通過導(dǎo)線或空間向外擴(kuò)散。任何處于工作狀態(tài)的電子信息設(shè)備，如：計算機(jī)、打印機(jī)、傳真機(jī)。電話機(jī)等，都存在不同程度的電磁泄漏發(fā)射。涉密信息系統(tǒng)內(nèi)的信息設(shè)備在不滿足BMB2-1998《使用現(xiàn)場的信息設(shè)備電磁泄漏發(fā)射檢查測試方法和安全判據(jù)》時，應(yīng)采用低泄射設(shè)備、電磁屏蔽室、電磁屏蔽機(jī)柜和電磁干擾器等措施進(jìn)行防護(hù)。

7.系統(tǒng)安全保密管理

質(zhì)樸與管理作為涉密信息系統(tǒng)安全保障的兩個支撐要素，二者相輔相成，缺一不可：即使非常嚴(yán)密的管理，沒有技術(shù)手段支撐，也保證不了安全；無論多么先進(jìn)的保密技術(shù)，沒有管理措施保障，也不能發(fā)揮應(yīng)有的作用。但在具備了一定技術(shù)手段的前提下，管理則決定因素。因此，涉密信息系統(tǒng)建設(shè)使用單位建立應(yīng)按照“技管并重”的要求，健全安全保密管理機(jī)構(gòu)，配備專職保密管理人員，根據(jù)涉密信息系統(tǒng)自身的特點，制定出具有針對性和可操作性的管理措施，并嚴(yán)格執(zhí)行。

第二篇：開展涉密信息系統(tǒng)分級保護(hù)工作應(yīng)注意的幾個問題

開展涉密信息系統(tǒng)分級保護(hù)工作應(yīng)注意的幾個問題

一、引言

2003年9月，中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)的《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)〔2003〕27號）提出了“實行信息安全等級保護(hù)”的要求，并指出“對涉及國家秘密的信息系統(tǒng)，要按照黨和國家有關(guān)保密規(guī)定進(jìn)行保護(hù)”。中共中央保密委員會《關(guān)于加強(qiáng)信息安全保障工作中保密管理的若干意見》（中保委發(fā)〔2004〕7號）提出要建立涉密信息系統(tǒng)分級保護(hù)制度。自2005年起，國家保密局組織制定并頒布實施了一系列關(guān)于涉密信息系統(tǒng)分級保護(hù)的法規(guī)與標(biāo)準(zhǔn)，并于2006年9月至2007年3月，組織中央組織部、中央聯(lián)絡(luò)部和航天科技集團(tuán)進(jìn)行了分級保護(hù)試點工作。20047年9月7日，國家保密局召開了全國涉密信息系統(tǒng)分級保護(hù)工作會議，推廣了試點工作經(jīng)驗，部署了分級保護(hù)工作。自此，涉密信息系統(tǒng)分級保護(hù)工作已進(jìn)入了全面推進(jìn)階段。

二、領(lǐng)導(dǎo)重視，建立機(jī)制

我國的國家秘密分為秘密、機(jī)密、絕密三級，涉密信息系統(tǒng)也按照秘密、機(jī)密、絕密三級進(jìn)行分級管理。根據(jù)“誰主管、誰負(fù)責(zé)”的保密管理原則，涉密信息系統(tǒng)建設(shè)使用單位應(yīng)負(fù)責(zé)本單位涉密信息系統(tǒng)分級保護(hù)的具體實施工作。涉密信息系統(tǒng)分級保護(hù)工作是一項復(fù)雜的系統(tǒng)工程，涉及到單位內(nèi)部的保密、信息化、業(yè)務(wù)工作、密碼、保衛(wèi)和人事等部門，各相關(guān)部門只有密切合作、統(tǒng)籌實施，才能保障整個工作的順利進(jìn)行。這就要求涉密信息系統(tǒng)的建設(shè)使用單位領(lǐng)導(dǎo)高度重視此項工作，組建強(qiáng)有力的領(lǐng)導(dǎo)班子，建立起確保措施到位、人員到位、資金到位的分級保護(hù)工作組織保障體系，形成強(qiáng)有力的工作機(jī)制。

⑴在系統(tǒng)定級方面，保密管理部門要發(fā)揮準(zhǔn)確掌握國家保密政策的優(yōu)勢，與信息化建設(shè)部門、業(yè)務(wù)工作部門一起研究確定系統(tǒng)和安全域所處理信息的最高密級，從而確定保護(hù)等級。

⑵在方案設(shè)計方面，信息化建設(shè)部門要充分利用熟悉技術(shù)的特點，按照分級保護(hù)技術(shù)要求和管理規(guī)范，組織設(shè)計符合保密要求的分級保護(hù)方案。保密管理部門應(yīng)對總體方案進(jìn)行監(jiān)督、檢查和指導(dǎo)，組織專家進(jìn)行評審論證。

⑶在工程實施方面，信息化建設(shè)部門應(yīng)具體承擔(dān)組織實施工作，并與保密管理部門定期檢查工作進(jìn)展情況，對于發(fā)現(xiàn)的問題及時協(xié)調(diào)處理，確保各項安全保護(hù)措施落到實處。

⑷在系統(tǒng)工程施工結(jié)束后，保密管理部門應(yīng)負(fù)責(zé)組織系統(tǒng)測評和系統(tǒng)審批工作。

⑸在系統(tǒng)投入運行后，保密、信息化、業(yè)務(wù)工作、密碼、保衛(wèi)和人事等有關(guān)部門應(yīng)按照“分工合作、各司其責(zé)”的原則，積極配合完成各方面的日常安全保密管理工作。

三、把握方法，遵循流程

涉密信息系統(tǒng)分級保護(hù)工作包括系統(tǒng)定級、方案設(shè)計、工程實施、系統(tǒng)測評、系統(tǒng)審批、日常管理、測評與檢查和系統(tǒng)廢止八個環(huán)節(jié)，貫穿于涉密信息系統(tǒng)的整個生命周期之中，是對涉密信息系統(tǒng)進(jìn)行的全過程保密管理。因此，涉密信息系統(tǒng)建設(shè)使用單位應(yīng)該按照“規(guī)范定密，準(zhǔn)確定級；依照標(biāo)準(zhǔn)，同步建設(shè)；突出重點，確保核心；明確責(zé)任，加強(qiáng)監(jiān)督”的原則，遵循分級保護(hù)工作的基本流程，突出重點環(huán)節(jié)，強(qiáng)化過程管理。

1.系統(tǒng)定級

涉密信息系統(tǒng)按照所處理信息的最高密級，由低到高劃分為秘密、機(jī)密、絕密三個等級。因此，在確定涉密信息系統(tǒng)內(nèi)信息的最高密級后，就可具體確定涉密信息系統(tǒng)安全等級。對于新建系統(tǒng)，涉密信息系統(tǒng)建設(shè)使用單位應(yīng)根據(jù)實際工作需要，通過下位系統(tǒng)所要處理信息的最高密級來確定系統(tǒng)等級；對于已建系統(tǒng)，應(yīng)對照定密范圍，對系統(tǒng)中處理的信息進(jìn)行密級核定，并補(bǔ)充采取相應(yīng)的保護(hù)措施。

2.方案設(shè)計

涉密信息系統(tǒng)建設(shè)使用單位在各級保密工作部門的指導(dǎo)與監(jiān)督下，選拔具有相應(yīng)涉密資質(zhì)的承建單位承擔(dān)或參與涉密信息系統(tǒng)的系統(tǒng)集成、軟件開發(fā)、綜合布線、系統(tǒng)服務(wù)、系統(tǒng)咨詢、風(fēng)險評估、屏蔽室建設(shè)、工程監(jiān)理和保密安防監(jiān)控的方案設(shè)計與實施工作。涉密信息系統(tǒng)建設(shè)使用單位在工程實施前，應(yīng)對系統(tǒng)設(shè)計方案進(jìn)行審查論證，保密工作部門應(yīng)當(dāng)參與方案審查論，在系統(tǒng)總體安全保密性方面加強(qiáng)指導(dǎo)，嚴(yán)

格把關(guān)。

3.工程實施

在工程實施階段，主要抓好保密管理和工程監(jiān)理工作。涉密信息系統(tǒng)建設(shè)使用單位應(yīng)根據(jù)工程的具體情況劃定保密范圍，制定相應(yīng)的保密措施和保密控制流程，嚴(yán)格控制接觸涉密信息的人員范圍。同時還應(yīng)選擇具有涉密工程監(jiān)理單項資質(zhì)的單位或組織自身力量在安全保密控制、質(zhì)量控制、進(jìn)度控制、成本控制、合同管理和文檔管理六個方面加強(qiáng)監(jiān)督檢查。

4.測評階段

涉密信息系統(tǒng)投入運行必須先測評后審批涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)工程實施結(jié)束后，應(yīng)當(dāng)向保密工作部門提出申請，按照國家保密工作部門授權(quán)的系統(tǒng)測評機(jī)構(gòu)的要求，提交測評所需的必要資料。由測評機(jī)構(gòu)對涉密信息系統(tǒng)進(jìn)行安全保密測評，全面驗證所采取的安全保密措施能否滿足安全保密需求和分級保護(hù)的要求，為涉密信息系統(tǒng)審批提供依據(jù)。

5.系統(tǒng)審批

國家對涉密信息系統(tǒng)的投入運行實行行政審批制度。國家保密工作部門負(fù)責(zé)審批中央和國家機(jī)關(guān)各部 委及其所屬單位、國防武器裝備科研生產(chǎn)一級保密資格單位的涉密信息系統(tǒng)；?。ㄗ灾螀^(qū)、直轄市）保密工作部門負(fù)責(zé)審批省直機(jī)關(guān)各部門及其所屬單位、國防武器裝備科研生產(chǎn)二、三級保密資格單位的涉密信息系統(tǒng)；市（地）級保密工作部門負(fù)責(zé)審批市（地）、縣直機(jī)關(guān)及其所屬的涉密信息系統(tǒng)。

保密工作部門在系統(tǒng)測評的基礎(chǔ)上對系統(tǒng)進(jìn)行審批，對符合要求的涉密信息系統(tǒng)批準(zhǔn)其投入使用。對不符合要求的，保密工作部門提出整改意見，由使用單位對系統(tǒng)進(jìn)行整改后另行報批。未經(jīng)保密工作部門審批，擅自將涉密信息系統(tǒng)投入使用的，必須立即停止存儲、處理和傳輸國家秘密信息，并追究部門領(lǐng)導(dǎo)和相關(guān)責(zé)任人的責(zé)任；造成泄密的，依法追究法律責(zé)任。

6.日常管理

隨著涉密信息系統(tǒng)的開通運行，系統(tǒng)的規(guī)模、具體業(yè)務(wù)范圍以及用戶都可能發(fā)生變化，這些變化和運行過程出現(xiàn)的安全事件都可能使過去相對安全的系統(tǒng)不再安全。涉密信息系統(tǒng)的管理者和使用者，應(yīng)結(jié)合系統(tǒng)實際制定明確的安全保密管理策略，成立由單位主管領(lǐng)導(dǎo)任責(zé)任人，包括保密、信息化、業(yè)務(wù)工作、密碼、保衛(wèi)和人事等有關(guān)部門人員組成的安全保密管理機(jī)構(gòu)，使用先進(jìn)的安全保密管理技術(shù)，從人員管理、物理環(huán)境與設(shè)施管理、設(shè)備與介質(zhì)管理、運行與開發(fā)管理和信息保密管理五個方面進(jìn)行日常安全保密管理。

7.測評與檢查

系統(tǒng)經(jīng)審批投入運行后，應(yīng)加強(qiáng)風(fēng)險評估管理。秘密級、機(jī)密級信息系統(tǒng)，每兩年至少進(jìn)行一次保密檢查或系統(tǒng)測評；絕密級信息系統(tǒng)每年至少進(jìn)行一次保密檢查或系統(tǒng)測評。安全保密測評和保密技術(shù)檢查過程中形成的有關(guān)數(shù)據(jù)、刻錄和評估報告，應(yīng)定密并按照相應(yīng)級文件進(jìn)行管理。

8.系統(tǒng)廢止

涉密信息系統(tǒng)不再使用時，涉密信息系統(tǒng)建設(shè)使用單位應(yīng)向保密工作部門備案，并按照有關(guān)保密規(guī)定妥善處理涉及國家秘密信息的設(shè)備、產(chǎn)品介質(zhì)和文檔資料。對需要報廢的涉密設(shè)備和介質(zhì)，應(yīng)進(jìn)行信息消除和載體銷毀處理，所采取的技術(shù)、設(shè)備和措施應(yīng)符合相關(guān)標(biāo)準(zhǔn)和規(guī)定，防止泄密事件的發(fā)生。

四、了解政策，掌握標(biāo)準(zhǔn)

涉密信息系統(tǒng)分級保護(hù)是指涉密信息系統(tǒng)的建設(shè)使用單位根據(jù)分級保護(hù)管理辦法和有關(guān)標(biāo)準(zhǔn)，對涉密信息系統(tǒng)分等級實施保護(hù)。因此，涉密信息系統(tǒng)建設(shè)使用單位必須充分了解分級保護(hù)工作方面的政策要求，并熟練掌握和運用涉密信息系統(tǒng)分級保護(hù)的標(biāo)準(zhǔn)。

1.涉密信息系統(tǒng)分級保護(hù)是國家信息安全等級保護(hù)的重要部分

涉密信息系統(tǒng)根據(jù)涉密程度，按照秘密級、級、絕密級進(jìn)行分級保護(hù)；非涉密信息系統(tǒng)根據(jù)重要程度按照自主保護(hù)級（第一級）、指導(dǎo)保護(hù)級（第二級）、監(jiān)督保護(hù)級（第三級）、強(qiáng)制保護(hù)級（第四級）、?？乇Ｗo(hù)級（第五級）進(jìn)行等級保護(hù)。秘密級、機(jī)密級、絕密級信息系統(tǒng)的整體防護(hù)水平不低于非涉密信息系統(tǒng)的第三、四、五級的要求。凡是用于處理、傳輸和存儲國家秘密的信息系統(tǒng)（網(wǎng)絡(luò)）都應(yīng)按照分級保護(hù)的要求進(jìn)行建設(shè)、使用和管理。

2.國家保密局是涉密信息系統(tǒng)分級保護(hù)工作的主管部門

國家保密工作部門負(fù)責(zé)全國涉密信息系統(tǒng)分級保護(hù)工作的指導(dǎo)、監(jiān)督和檢查；地方各級保密工作部門負(fù)責(zé)本行政區(qū)域涉密信息系統(tǒng)分級保護(hù)工作的指導(dǎo)、監(jiān)督和檢查。中央和國家機(jī)關(guān)各部門在其職權(quán)范圍內(nèi)，主管或指導(dǎo)本部門和本系統(tǒng)涉密信息系統(tǒng)的分級保護(hù)工作；涉密信息系統(tǒng)的建設(shè)使用單位則負(fù)責(zé)本單位涉密信息系統(tǒng)分級保護(hù)的具體實施工作。

3.國家保密法規(guī)與標(biāo)準(zhǔn)是組織開展分級保護(hù)工作的具體依據(jù)

涉密信息系統(tǒng)建設(shè)使用單位應(yīng)依據(jù)《涉及國家秘密的信息系統(tǒng)分級保護(hù)管理辦法》（國保發(fā)〔2005〕16號）確定系統(tǒng)等級，結(jié)合本單位業(yè)務(wù)需求和涉密信息制定安全保密需求，依據(jù)國家保密標(biāo)準(zhǔn)BMB17-2006《涉及國家秘密的信息系統(tǒng)分級保護(hù)技術(shù)要求》和BMB20-2007《涉及國家秘密的信息系統(tǒng)分級保護(hù)管理規(guī)范》，設(shè)計系統(tǒng)安全保密方案。在工程實施過程中，應(yīng)按照BMB18-2006《涉及國家秘密的信息系統(tǒng)工程監(jiān)理規(guī)范》的要求進(jìn)行工程監(jiān)理。工程實施結(jié)束后,涉密信息系統(tǒng)

建設(shè)使用單位應(yīng)當(dāng)向保密工作部門提出申請，由國家保密局的涉密信息系統(tǒng)測評機(jī)構(gòu)依據(jù)國家保密標(biāo)準(zhǔn)BMB22-2007《涉及國家秘密的計算機(jī)信息系統(tǒng)分級保護(hù)測評指南》，對涉密信息系統(tǒng)進(jìn)行安全保密測評。在系統(tǒng)投入使用前，涉密信息系統(tǒng) 建設(shè)使用單位應(yīng)當(dāng)按照《涉及國家秘密的信息系統(tǒng)審批管理規(guī)定》,向市(地)級以上保密工作部門申請進(jìn)行系統(tǒng)審批,涉密信息系統(tǒng)通過審批后方可投入使用。已投入使用的涉密信息系統(tǒng),其建設(shè)使用單位在按照分級保護(hù)要求完成系統(tǒng)整改后,應(yīng)當(dāng)向保密工作部門備案。

五、合理分域,準(zhǔn)確定級

涉密信息系統(tǒng)分級保護(hù)是以系統(tǒng)所處理信息的最高密級來確定安全等級的,在合理劃分安全域邊界安全可控的情況下,各安全域可根據(jù)涉密高定級單獨定級,實施“分域分級防護(hù)”的策略,從而降低系統(tǒng)建設(shè)成本和管理風(fēng)險。

⑴對于涉密程度層次分明、地域縱橫分布睥我國黨政部門的“電子政務(wù)廣域網(wǎng)涉密信息系統(tǒng)”，可根據(jù)行政級別、信息密級和系統(tǒng)重要性劃分不同的安全域。首先可根據(jù)行政級別將業(yè)務(wù)體系內(nèi)的“電子政務(wù)廣域網(wǎng)涉密信息系統(tǒng)”劃分為中央、省、市（地）和縣四個安全域，然后再根據(jù)各個安全域的所處理信息的最高密級單獨確定保護(hù)等級和防護(hù)措施，例如按照機(jī)密級增強(qiáng)（中央）、機(jī)密級（?。?、秘密級（市、地）和工作秘密級（縣）“四層三級”的架構(gòu)進(jìn)行分域分級防護(hù)。

⑵對于使用范圍集中的局域網(wǎng)涉密信息系統(tǒng)，可根據(jù)業(yè)務(wù)部門和信息密級劃分不同的安全域。為了實現(xiàn)涉密信息系統(tǒng)的最小化，控制國家秘密的知曉范圍，降低失泄密的風(fēng)險，對于局域網(wǎng)涉密信息系統(tǒng)可根據(jù)業(yè)務(wù)部門和信息密級的不同劃分安全域。首先通過使用VLAN、防火墻等技術(shù)劃分不同的安全域，對不同部門的業(yè)務(wù)進(jìn)行分割；然后，在同一部門內(nèi)可再根據(jù)信息密級，將處理、存儲不同密級信息的服務(wù)器和用戶終端劃分到不同的安全域。例如，可將一個機(jī)密級局域網(wǎng)劃分為若干個機(jī)密級和秘密級安全域，進(jìn)行分級分域管理，實現(xiàn)多邊安全控制，保障系統(tǒng)的總體安全。

⑶對整體涉密程度高、使用范圍廣且應(yīng)用特殊的“軍工單位涉密信息系統(tǒng)”，可根據(jù)行政管理結(jié)構(gòu)和信息密級劃分不同的安全域。我國的國防武器裝備科研生產(chǎn)軍工部門基本實行集團(tuán)總部、院和廠所三級獨立法人負(fù)責(zé)制。因此可首先根據(jù)這種行政管理結(jié)構(gòu)模式對整個系統(tǒng)進(jìn)行安全域劃分，然后再根據(jù)各個安全域的所處理信息的最高密級單獨確定保護(hù)等級和防護(hù)措施。對于機(jī)密級的安全域，應(yīng)采用機(jī)密級增強(qiáng)保護(hù)要求進(jìn)行防護(hù)。

在對涉密信息系統(tǒng)進(jìn)行分域分級防護(hù)的情況，還應(yīng)考慮安全域邊界防護(hù)問題，并建立“集中控制、分級負(fù)責(zé)”的安全保密監(jiān)控平臺，實現(xiàn)全網(wǎng)統(tǒng)一的安全保密管理與監(jiān)控。

六、把握關(guān)鍵，確保安全

涉密信息系統(tǒng)分級保護(hù)就是要從實際出發(fā)，綜合平衡安全成本和風(fēng)險，優(yōu)化信息安全資源的配置，突出重點，確保國家秘密的安全。在方案設(shè)計和工程實施中，應(yīng)解決好以下幾個方面的關(guān)鍵技術(shù)與管理措施：

1.安全保密產(chǎn)品選擇

非涉密信息系統(tǒng)中使用的安全保密產(chǎn)品應(yīng)選用國產(chǎn)設(shè)備，非安全保密產(chǎn)品應(yīng)充分考慮國家安全保密需要，優(yōu)先選擇國產(chǎn)設(shè)備；在選用國外設(shè)備時，應(yīng)進(jìn)行詳細(xì)調(diào)查和論證，不得選用國家保密工作部門禁用的

設(shè)備或附件，必要時，應(yīng)對選用的國外產(chǎn)品進(jìn)行安全保密檢測。

選用的計算機(jī)病毒防護(hù)產(chǎn)品應(yīng)獲得公安機(jī)關(guān)批準(zhǔn)，密碼產(chǎn)品應(yīng)獲得國家密碼管理部門批準(zhǔn)，其他安全保密產(chǎn)品均應(yīng)獲得國家保密工作部門批準(zhǔn)。

2.物理隔離與違規(guī)外聯(lián)監(jiān)控

涉密信息系統(tǒng)不得直接或間接聯(lián)網(wǎng)，應(yīng)與互聯(lián)網(wǎng)等其他公共通信系統(tǒng)實行物理隔離。同時還應(yīng)禁止系統(tǒng)內(nèi)用戶非授權(quán)的外部連接（如違規(guī)撥號、違規(guī)連接和違規(guī)無線上網(wǎng)等），并對系統(tǒng)內(nèi)的非授權(quán)外聯(lián)行為采取技術(shù)手段進(jìn)行檢查的阻斷。

3.安全域邊界防護(hù)與控制

涉密信息系統(tǒng)安全域之間的邊界應(yīng)劃分明確，安全域與安全域之間的所有數(shù)據(jù)通信都應(yīng)安全可控；對于不同等級的安全域間通信，應(yīng)實施有效的訪問控制策略和機(jī)制，禁止高密級信息由高等級安全域流向低等級安全域。

4.身份鑒別與訪問控制

應(yīng)對涉密信息系統(tǒng)中所有的服務(wù)器、用戶終端、安全保密設(shè)備和涉密業(yè)務(wù)應(yīng)用系統(tǒng)的本地登錄和遠(yuǎn)程登錄采取用戶身份鑒別措施，并根據(jù)應(yīng)根據(jù)涉密信息的密級和實際業(yè)務(wù)工作的對系統(tǒng)內(nèi)涉密信息和重要信息的訪問采用強(qiáng)制訪問控制措施。

5.密級標(biāo)識與密碼保護(hù)措施

涉密信息系統(tǒng)中產(chǎn)生、存儲、處理、傳輸、歸檔和輸出的信息及其存儲介質(zhì)應(yīng)有相應(yīng)的密級標(biāo)識。電子文件密級標(biāo)識應(yīng)與信息主體不可分離，密級標(biāo)識不得篡改。涉密信息系統(tǒng)之間的信息遠(yuǎn)程傳輸以及絕密級信息系統(tǒng)的信息傳輸與存儲應(yīng)采取密碼保護(hù)措施。

6.電磁泄漏發(fā)射防護(hù)

電磁泄漏發(fā)射是指信息設(shè)備的信息以雜散（寄生）電磁能量的方式通過導(dǎo)線或空間向外擴(kuò)散。任何處于工作狀態(tài)的電子信息設(shè)備，如：計算機(jī)、打印機(jī)、傳真機(jī)。電話機(jī)等，都存在不同程度的電磁泄漏發(fā)射。涉密信息系統(tǒng)內(nèi)的信息設(shè)備在不滿足BMB2-1998《使用現(xiàn)場的信息設(shè)備電磁泄漏發(fā)射檢查測試方法和安全判據(jù)》時，應(yīng)采用低泄射設(shè)備、電磁屏蔽室、電磁屏蔽機(jī)柜和電磁干擾器等措施進(jìn)行防護(hù)。

7.系統(tǒng)安全保密管理

質(zhì)樸與管理作為涉密信息系統(tǒng)安全保障的兩個支撐要素，二者相輔相成，缺一不可：即使非常嚴(yán)密的管理，沒有技術(shù)手段支撐，也保證不了安全；無論多么先進(jìn)的保密技術(shù)，沒有管理措施保障，也不能發(fā)揮應(yīng)有的作用。但在具備了一定技術(shù)手段的前提下，管理則決定因素。因此，涉密信息系統(tǒng)建設(shè)使用單位建立應(yīng)按照“技管并重”的要求，健全安全保密管理機(jī)構(gòu)，配備專職保密管理人員，根據(jù)涉密信息系統(tǒng)自身的特點，制定出具有針對性和可操作性的管理措施，并嚴(yán)格執(zhí)行。

第三篇：關(guān)于涉密信息系統(tǒng)分級保護(hù)的幾個問題

關(guān)于涉密信息系統(tǒng)分級保護(hù)的幾個問題

2003年9月7日，中共中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)了《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)國家信息安全保障工作的意見》，其中明確提出了開展信息安全等級保護(hù)的任務(wù)，并指出涉及國家秘密的信息系統(tǒng)（以下簡稱涉密信息系統(tǒng)）要按照黨和國家的有關(guān)保密規(guī)定進(jìn)行保護(hù)。在已經(jīng)開展的分級保護(hù)的具體工作中，有幾個問題需要引起重視。

一、分級保護(hù)與等級保護(hù)的關(guān)系

2004年9月17日，公安部、國家保密局、國家密碼管理委員會辦公室、國務(wù)院信息辦下發(fā)了《關(guān)于信息安全等級保護(hù)工作的實施意見》，明確了信息安全等級保護(hù)的重要意義、原則、基本內(nèi)容、工作職責(zé)分工、要求和實施計劃。2006年1月17日，四部門又下發(fā)了《信息安全等級保護(hù)管理辦法（試行）》，進(jìn)一步確定職責(zé)分工，明確了公安機(jī)關(guān)負(fù)責(zé)全面工作、國家保密工作部門負(fù)責(zé)涉密信息系統(tǒng)、國家密碼管理部門負(fù)責(zé)密碼工作、國務(wù)院信息辦負(fù)責(zé)負(fù)責(zé)的管理職責(zé)和要求。其中明確規(guī)定：涉及國家秘密的信息系統(tǒng)應(yīng)當(dāng)依據(jù)國家信息安全等級保護(hù)的基本要求，按照國家保密工作部門涉密信息系統(tǒng)分級保護(hù)的管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，結(jié)合系統(tǒng)實際情況進(jìn)行保護(hù)。

為貫徹落實兩辦文件精神，中央保密委員會于2004年12月23日下發(fā)了《關(guān)于加強(qiáng)信息安全保障工作中保密管理若干意見》明確提出要建立健全涉密信息系統(tǒng)分級保護(hù)制度。2005年12月28日，國家保密局下發(fā)了《涉及國家秘密的信息系統(tǒng)分級保護(hù)管理辦法》，頒布了國家保密標(biāo)準(zhǔn)《涉及國家秘密的信息系統(tǒng)分級保護(hù)技術(shù)要求》。目前，正在制訂并將頒布兩個國家保密標(biāo)準(zhǔn)：《涉及國家秘密的信息系統(tǒng)分級保護(hù)管理規(guī)范》和《涉及國家秘密的信息系統(tǒng)分級保護(hù)測平指南》。2007年將制訂其他標(biāo)準(zhǔn)，進(jìn)一步完善標(biāo)準(zhǔn)體系。

我國信息安全等級保護(hù)與涉密信息系統(tǒng)分級保護(hù)關(guān)系

等級保護(hù) 分級保護(hù) 保護(hù)對象不同 非涉密信息系統(tǒng) 涉密信息系統(tǒng) 管理體系不同 公安機(jī)關(guān) 國家保密工作部門

標(biāo)準(zhǔn)體系不同 國家標(biāo)準(zhǔn)（GB、GB/T）國家保密標(biāo)準(zhǔn)（BMB，強(qiáng)制執(zhí)行）級別劃分不同 第一級：自主保護(hù)級

第二級：指導(dǎo)保護(hù)級

第三級：監(jiān)督保護(hù)級 秘密級

第四級：強(qiáng)制保護(hù)級 機(jī)密級

第五級：專控保護(hù)級 絕密級

涉密信息系統(tǒng)分級保護(hù)與信息安全等級保護(hù)制度相銜接，三個等級的防護(hù)水平不低于國家等級保護(hù)的第三、四、五級要求

二、關(guān)于涉密信息系統(tǒng)分級保護(hù)概況

1、涉密信息系統(tǒng)分級保護(hù)的含義

涉密信息系統(tǒng)分級保護(hù)是指涉密信息系統(tǒng)的建設(shè)使用單位根據(jù)分級保護(hù)管理辦法和有關(guān)標(biāo)準(zhǔn)，對涉密信息系統(tǒng)分等級實施保護(hù)，各級保密工作部門根據(jù)涉密信息系統(tǒng)的保護(hù)等級實施監(jiān)督管理，確保系統(tǒng)和信息安全。

2、涉密信息系統(tǒng)分級保護(hù)管理原則

規(guī)范定密，準(zhǔn)確定級；依據(jù)標(biāo)準(zhǔn)，同步建設(shè)；突出重點，確保核心；明確責(zé)任，加強(qiáng)監(jiān)督。

3、涉密信息系統(tǒng)分級保護(hù)的管理職責(zé)

國家保密局負(fù)責(zé)全國涉密信息系統(tǒng)分級保護(hù)工作的指導(dǎo)、監(jiān)督和檢查；地方各級保密局負(fù)責(zé)本行政區(qū)域涉密信息系統(tǒng)分級保護(hù)工作的指導(dǎo)、監(jiān)督和檢查；中央和國家機(jī)關(guān)負(fù)責(zé)本部門和本系統(tǒng)內(nèi)涉密信息系統(tǒng)分級保護(hù)工作的主管和指導(dǎo)；建設(shè)使用單位負(fù)責(zé)本單位涉密信息系統(tǒng)分級保護(hù)工作的具體實施。

4、涉密信息系統(tǒng)的等級劃分

涉密信息系統(tǒng)按照處理信息的最高密級確定，由低到高劃分為秘密、機(jī)密和絕密三個等級。絕密級信息系統(tǒng)應(yīng)限定在封閉、安全可控的獨立建筑群內(nèi)。集中處理工作秘密的信息系統(tǒng)，可參照秘密級信息系統(tǒng)的有關(guān)要求進(jìn)行保護(hù)。

5、涉密信息系統(tǒng)分級保護(hù)的實施步驟（1）規(guī)范信息定密；（2）確定系統(tǒng)等級；（3）方案設(shè)計與審核；（4）落實保護(hù)措施；（5）系統(tǒng)測評；（6）系統(tǒng)審批；

（7）安全保密評估與保密監(jiān)督檢查。

6、涉密信息系統(tǒng)的監(jiān)管

（1）必須選擇具有相應(yīng)涉密資質(zhì)的單位承擔(dān)或參與涉密信息系統(tǒng)的方案設(shè)計與實施；（2）保密工作部門參加方案審查論證；

（3）國家保密局授權(quán)的系統(tǒng)測評機(jī)構(gòu)進(jìn)行安全保密測評；（4）經(jīng)保密工作部門審批后，系統(tǒng)方可投入使用；

（5）保密工作部門定期進(jìn)行保密檢查或系統(tǒng)測評：秘密級和機(jī)密級信息系統(tǒng)，每兩年至少一次；絕密級信息系統(tǒng)，每年至少一次。

三、關(guān)于涉密信息系統(tǒng)分級保護(hù)管理規(guī)范

根據(jù)“技管并重”的指導(dǎo)思想，一個不同等級的信息系統(tǒng)既要采取不同強(qiáng)度的技術(shù)保護(hù)措施，還要采取不同的管理強(qiáng)度，才能保障這個信息系統(tǒng)的安全，因此需制訂國家保密標(biāo)準(zhǔn)——《涉密信息系統(tǒng)分級保護(hù)管理規(guī)范》，它是以國家保密局《涉密信息系統(tǒng)分級保護(hù)管理辦法》作為指導(dǎo)，以《涉密信息系統(tǒng)保密技術(shù)要求》中安全保密管理部分作為基礎(chǔ)，結(jié)合ISO/ICE。TR13335《信息技術(shù)、IT安全管理指南》與涉密信息系統(tǒng)的管理實踐確定管理過程，結(jié)合ISO/IEE17799《信息技術(shù)、信息安全管理實用規(guī)則》與分級要求確定管理內(nèi)容。

在涉密信息系統(tǒng)的生命周期中應(yīng)把握好八個基本環(huán)節(jié)：

1、系統(tǒng)定級

明確系統(tǒng)所處理信息的最高密級，確定系統(tǒng)保護(hù)等級。

2、方案設(shè)計

組織自身的技術(shù)力量或委托資質(zhì)單位進(jìn)行設(shè)計前的風(fēng)險評估，確定系統(tǒng)風(fēng)險。選擇具有涉密資質(zhì)的集成單位依據(jù)相關(guān)國家保密標(biāo)準(zhǔn)進(jìn)行方案設(shè)計，并應(yīng)通過專家論證，負(fù)責(zé)系統(tǒng)審批的保密工作部門應(yīng)參加論證。

3、工程實施

組建工程監(jiān)理機(jī)構(gòu)，細(xì)化管理制度，對工程實施進(jìn)行監(jiān)督，或者選擇具有涉密資 質(zhì)的工程監(jiān)理單位進(jìn)行監(jiān)理。

4、系統(tǒng)測評

系統(tǒng)工程實施完畢后，建設(shè)使用單位向保密工作部門申請進(jìn)行系統(tǒng)測評，國家保密局涉密信息系統(tǒng)安全保密測評中心及分中心負(fù)責(zé)進(jìn)行系統(tǒng)測評。

5、系統(tǒng)審批

涉密信息系統(tǒng)在投入運行后前，應(yīng)經(jīng)過（地）以上保密工作部門根據(jù)系統(tǒng)測評結(jié)果進(jìn)行的審批。

6、日常管理

日常管理包括基本管理要求，人員管理、物理環(huán)境與設(shè)施管理、信息保密管理等。

7、測評與檢查

涉密信息系統(tǒng)投入運行后還應(yīng)定期進(jìn)行安全保密測評和檢查。

8、系統(tǒng)廢止

廢止涉密信息系統(tǒng)應(yīng)向相關(guān)保密工作部門備案，并按照有關(guān)保密規(guī)定妥善處理涉及國家秘密信息的設(shè)備、產(chǎn)品和資料。

涉密信息系統(tǒng)分級保護(hù)的核心思想是“實事求是”與“具體問題具體分析”，既防止欠保護(hù)，也防止過保護(hù)，以確保國家秘密安全為原則。我國的涉密信息系統(tǒng)分級保護(hù)已經(jīng)進(jìn)入了建立制度、完善體系的階段，但還有很長的路要走。由于存在信息系統(tǒng)所涉及技術(shù)、管理的復(fù)雜性、系統(tǒng)保護(hù)評價和不確定性以及安全防護(hù)與攻擊技術(shù)存在的非對稱性等因素，我們還有許多問題要研究、要探索，但只要我們堅持科學(xué)發(fā)展觀，勇于實踐，就會走出一條適合我國國情的道路。（杜虹）

第四篇：電子政務(wù)涉密信息系統(tǒng)的分級保護(hù)建設(shè)

電子政務(wù)涉密信息系統(tǒng)的分級保護(hù)建設(shè)

當(dāng)前，我國電子政務(wù)建設(shè)取得了顯著成效。同時，由于國際國內(nèi)形勢特點，信息安全保密問題日益突出，病毒、木馬、網(wǎng)絡(luò)攻擊等越來越多，給國家安全帶來威脅。很多單位開始準(zhǔn)備涉及國家秘密的信息系統(tǒng)（以下簡稱涉密信息系統(tǒng)）建設(shè),但由于對政策的不了解,加之建設(shè)標(biāo)準(zhǔn)的復(fù)雜和操作難度等問題,導(dǎo)致一些單位感到無從下手,建設(shè)進(jìn)度緩慢。本文從涉密信息系統(tǒng)準(zhǔn)備、實施、測評、監(jiān)管等方面作了闡述，供大家參考。

2003年9月7日，中共中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)了《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)國家信息安全保障工作的意見》，明確提出了開展信息安全等級保護(hù)的任務(wù)，指出涉密信息系統(tǒng)要按照黨和國家的有關(guān)保密規(guī)定進(jìn)行保護(hù)。中央保密委員會于2004年12月23日下發(fā)了《關(guān)于加強(qiáng)信息安全保障工作中保密管理若干意見》，明確提出要建立健全涉密信息系統(tǒng)分級保護(hù)制度。2006年1月17日，公安部等四部門下發(fā)了《信息安全等級保護(hù)管理辦法（試行）》，其中規(guī)定：涉密信息系統(tǒng)應(yīng)當(dāng)依據(jù)國家信息安全等級保護(hù)的基本要求，按照涉密信息系統(tǒng)分級保護(hù)的管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，結(jié)合系統(tǒng)實際情況進(jìn)行保護(hù)。從廣義上來講, 涉密信息系統(tǒng)分級保護(hù)是信息安全等級保護(hù)的一個重要內(nèi)容和組成部分，但兩者有區(qū)別也有聯(lián)系，從表一可以看出，涉密信息系統(tǒng)分級保護(hù)三個等級的防護(hù)水平不低于國家等級保護(hù)的第三、四、五級要求。

表一信息安全等級保護(hù)與涉密信息系統(tǒng)分級保護(hù)對照表

涉密信息系統(tǒng)分級保護(hù)是指建設(shè)使用單位根據(jù)分級保護(hù)管理辦法和有關(guān)標(biāo)準(zhǔn)，對涉密信息系統(tǒng)分等級實施保護(hù)，各級保密工作部門根據(jù)涉密信息系統(tǒng)的保護(hù)等級實施監(jiān)督管理，確保系統(tǒng)和信息安全。按照處理信息的最高密級確定，涉密信息系統(tǒng)由低到高劃分為秘密、機(jī)密和絕密三個等級。絕密級信息系統(tǒng)應(yīng)限定在封閉、安全可控的獨立建筑群內(nèi)。下面談下建設(shè)過程。

一、涉密信息系統(tǒng)分級保護(hù)實施過程

（一）學(xué)習(xí)相關(guān)文件和標(biāo)準(zhǔn)。近年來，由于信息安全技術(shù)的快速發(fā)展，涉密信息系統(tǒng)的建設(shè)標(biāo)準(zhǔn)也不斷變化。目前，以下四個文件基本涵蓋了建設(shè)內(nèi)容，建議學(xué)習(xí)掌握，具體如下：《涉及國家秘密的信息系統(tǒng)分級保護(hù)技術(shù)要求》、《涉及國家秘密的信息系統(tǒng)分級保護(hù)管理規(guī)范》、《涉及國家秘密的信息系統(tǒng)分級保護(hù)測評指南》和《涉及國家秘密的信息系統(tǒng)分級保護(hù)方案設(shè)計指南》。

（二）規(guī)范信息定密。規(guī)范信息定密是所有工作的基礎(chǔ)，有兩層含義：一是定密科學(xué)，確定哪些信息是涉密信息，同時明確涉密時限；二是確定涉密信息上網(wǎng)的范圍。

（三）確定涉密等級。原則是合理定密，防止過高或者過低，一般根據(jù)處理信息的最高等級確定分級保護(hù)等級。

（四）方案設(shè)計與審核。方案設(shè)計必須選擇具有相應(yīng)涉密資質(zhì)的單位承擔(dān),并且需要保密工作部門參加方案審查論證。根據(jù)相關(guān)要求，方案設(shè)計主要包括如下內(nèi)容：

1、系統(tǒng)分析。含使用單位情況、物理環(huán)境、網(wǎng)絡(luò)平臺、軟硬件、信息資源與應(yīng)用系統(tǒng)方面。

2、安全保密分析。包括脆弱性、威脅、風(fēng)險識別與確定。

3、安全保密需求分析。有技術(shù)和管理需求分析，其中技術(shù)防護(hù)分析，包括機(jī)房與重要部位、網(wǎng)絡(luò)、主機(jī)、介質(zhì)、數(shù)據(jù)與應(yīng)用、隔離與信息交換；管理需求分析，包括人員、物理環(huán)境和設(shè)施、運行和開發(fā)、設(shè)計與介質(zhì)、信息保密管理。

4、方案總體設(shè)計。目標(biāo)、原則與依據(jù)、防護(hù)框架、安全域劃分和定級、保護(hù)要求調(diào)整和確定。

5、方案詳細(xì)設(shè)計。包括物理安全、運行安全、信息安全保密、安全保密管理、產(chǎn)品選型與安全服務(wù)、殘留風(fēng)險控制、實施計劃、預(yù)算。

（五）落實保護(hù)措施。根據(jù)方案，進(jìn)行政府采購、項目實施、監(jiān)理執(zhí)行。在監(jiān)理執(zhí)行階段，建議了解《涉及國家秘密的信息系統(tǒng)工程監(jiān)理規(guī)范》，可把握質(zhì)量控制、進(jìn)度控制、驗收等相關(guān)環(huán)節(jié)。

（六）系統(tǒng)測評。建設(shè)完成后，必須經(jīng)過測評，測評機(jī)構(gòu)為國家保密局授權(quán)的系統(tǒng)測評機(jī)構(gòu)，一般為涉密信息系統(tǒng)測評中心或各地分中心。測評主要內(nèi)容如下：

1、技術(shù)要求?；颈Ｗo(hù)要求，物理安全（環(huán)境、設(shè)備和介質(zhì)），運行安全（備份與恢復(fù)、應(yīng)急響應(yīng)和運行管理），信息安全保密要求（身份鑒別、訪問控制、密碼保護(hù)、安全審計、數(shù)據(jù)庫、邊界防護(hù)等）。

2、管理要求。分級保護(hù)管理過程，基本管理要求（策略、機(jī)構(gòu)、制度和人員），系統(tǒng)管理要求。

測評流程主要如下：

1、資料審查，建設(shè)單位遞交《申請書》。

2、測評機(jī)構(gòu)現(xiàn)場考察，修改《申請書》。

3、根據(jù)考察結(jié)果，制定測評方案。

4、測評機(jī)構(gòu)現(xiàn)場檢測，出測評表。

5、根據(jù)檢測分析，結(jié)果為“合格”、“基本合格”、“不合格”。若“不合格”，建設(shè)單位需要整改，返回步驟1。

6、專家評估。專家對結(jié)果提出調(diào)整，給出完善意見。

7、測評機(jī)構(gòu)得出測評結(jié)論，并出具測評報告。

（七）系統(tǒng)審批。保密部門根據(jù)測評報告，對涉密信息系統(tǒng)進(jìn)行審批，經(jīng)過審批的涉密信息系統(tǒng)方可正式投入運行。

二、涉密信息系統(tǒng)的運行和監(jiān)管

根據(jù)相關(guān)要求，保密工作部門需要定期進(jìn)行保密檢查或系統(tǒng)測評：秘密級和機(jī)密級信息系統(tǒng)，每兩年至少一次；絕密級信息系統(tǒng)，每年至少一次。

三、實際工作中存在問題

由于涉密信息系統(tǒng)建設(shè)難度大，標(biāo)準(zhǔn)繁多，在實際執(zhí)行過程中，我們也發(fā)現(xiàn)不少問題，主要如下：

（一）保密技術(shù)宣傳教育滯后于應(yīng)用發(fā)展。國家下發(fā)的保密相關(guān)規(guī)范、標(biāo)準(zhǔn)幾乎都是秘級，有的保密部門自己保留，一般不下發(fā)，從而使這些標(biāo)準(zhǔn)不能及時傳達(dá)到各級政府及涉密承建企業(yè)。另外，保密部門平時也很少作建設(shè)專題培訓(xùn)，導(dǎo)致有些單位對如何建設(shè)非常迷茫，涉密承建企業(yè)設(shè)計方案時還參照作廢的標(biāo)準(zhǔn)和規(guī)范，從而阻礙了涉密信息系統(tǒng)建設(shè)。

（二）保密技術(shù)滯后于應(yīng)用發(fā)展。如隔離交換技術(shù)，涉密介質(zhì)管理技術(shù)等，無法跟上應(yīng)用的發(fā)展，說了很多年，具體可操作的產(chǎn)品還是很少。另外，有些保密技術(shù)制定出來后，非常苛刻，導(dǎo)致無法與應(yīng)用結(jié)合。

（三）測評方法部分脫離現(xiàn)實。由于現(xiàn)有政務(wù)內(nèi)網(wǎng)全國幾乎連在一起，如果按照斷網(wǎng)分開測評、合格一個接入一個的方式，所有應(yīng)用都要中斷，時間周期太長，不符合我國國情。建議可考慮分開和整體測評相結(jié)合的方式逐步推廣涉密信息系統(tǒng)建設(shè)。

我國的涉密信息系統(tǒng)分級保護(hù)已經(jīng)進(jìn)入了建立標(biāo)準(zhǔn)、完善體系的階段，但還有很長的路要走。由于所涉及技術(shù)、管理的復(fù)雜性、安全防護(hù)與攻擊技術(shù)存在的非對稱性等因素，還有許多問題要待研究，但只要我們堅持科學(xué)發(fā)展觀，實事求是地分析和解決問題,以應(yīng)用促發(fā)展，以安全作保障，就會探索出一條適合我國國情的電子政務(wù)涉密信息系統(tǒng)建設(shè)道路。

第五篇：涉密信息系統(tǒng)信息安全分級保護(hù)體系案例

涉密信息系統(tǒng)信息安全分級保護(hù)體系案例

2012年05月14日10:12 it168網(wǎng)站原創(chuàng) 作者：太極 編輯：李偉 我要評論項目背景

為落實某部委黨組“先從部機(jī)關(guān)信息化入手，帶動全行業(yè)信息化發(fā)展”的有關(guān)部署，2001年、2005年和2007年，部機(jī)關(guān)先后實施了信息化一期、二期工程以及通信信息系統(tǒng)改造工程，建設(shè)了XX行業(yè)主管部門的涉密局域辦公網(wǎng)，即某部委電子政務(wù)涉密信息系統(tǒng)，并與外網(wǎng)物理隔離，整體提高了部機(jī)關(guān)行政辦公的信息化水平。為加強(qiáng)涉及國家涉密信息系統(tǒng)的保密管理，依據(jù)BMB相關(guān)國家標(biāo)準(zhǔn)，某部委對其內(nèi)網(wǎng)電子政務(wù)涉密信息系統(tǒng)進(jìn)行了相應(yīng)等級的安全保密建設(shè)和管理。

2010年至2011年期間，先后開展了對分級保護(hù)建設(shè)的可研、方案設(shè)計、建設(shè)實施，并于2011年10月19日順利通過了相關(guān)國家保密測評機(jī)構(gòu)對某部委電子政務(wù)涉密信息系統(tǒng)的嚴(yán)格測評。建設(shè)路線

在某部委電子政務(wù)信息系統(tǒng)分級保護(hù)建設(shè)實施過程中，依據(jù)《某部委電子政務(wù)涉密信息系統(tǒng)分級保護(hù)工程詳細(xì)設(shè)計方案》及國家相關(guān)標(biāo)準(zhǔn)規(guī)范等文件，嚴(yán)格按照PMP項目管理方法論，對項目啟動后把實施過程分為設(shè)計(深化)過程、落地(建設(shè))過程、監(jiān)控過程三個過程組，并通過調(diào)研分析、體系規(guī)劃、體系建設(shè)和體系完善(PDCA)的建設(shè)思路，運用崗位與職責(zé)、策略體系、流程體系、技術(shù)工具、人員培訓(xùn)、安全管控等方法進(jìn)行落地實施。

在設(shè)計過程中，首先詳細(xì)解讀了《某部委電子政務(wù)涉密信息系統(tǒng)分級保護(hù)工程詳細(xì)設(shè)計方案》，周密分析了客戶信息系統(tǒng)應(yīng)用環(huán)境，全面展開了對技術(shù)以及管理等的全面細(xì)致調(diào)研，分析現(xiàn)狀與標(biāo)準(zhǔn)及客戶需求的差距，逐項梳理實施建設(shè)任務(wù)，完成《分級保護(hù)深化設(shè)計及實施方案》、《安全保密策略總綱》、建設(shè)任務(wù)一覽表、職責(zé)矩陣、《項目進(jìn)度計劃》等過程文檔。在落地過程中，通過太極信息安全保障體系落地方法論，建立技術(shù)、管理、運維三大保障體系，按照《分級保護(hù)深化設(shè)計及實施方案》，分為安全域改造、應(yīng)用系統(tǒng)改造、安全策略部署與試運行以及安全服務(wù)四個階段，遵照“綜合部署、分布落實、逐一核查”等原則，實現(xiàn)由標(biāo)準(zhǔn)緊扣方案、建設(shè)貼近客戶需求的完美落地，從而完成某部委電子政務(wù)信息系統(tǒng)安全保護(hù)的建設(shè)工作。

在監(jiān)控過程中，對常規(guī)項目落地過程中的內(nèi)容進(jìn)行監(jiān)督管理，通過技術(shù)、工具和專家判斷等方法對項目實施的內(nèi)容，包括管理、技術(shù)方面的內(nèi)容進(jìn)行有效性檢測，將不貼近客戶需求、無法落地或由于條件限制暫時無法落地的內(nèi)容進(jìn)行記錄，與客戶溝通、交流，協(xié)調(diào)資源(人力資源、環(huán)境資源、必要的設(shè)備等)保障實施過程按照既定的項目計劃進(jìn)行，最關(guān)鍵的因素還是要取得客戶認(rèn)同和達(dá)到標(biāo)準(zhǔn)要求。監(jiān)控手段包括有效性測量、不符合項記錄、控制測量、內(nèi)部審核、用戶評審等。建設(shè)落地

通過基礎(chǔ)調(diào)研，對某部委電子政務(wù)內(nèi)網(wǎng)物理、網(wǎng)絡(luò)、主機(jī)、終端、應(yīng)用和制度等層面展開了全面了解及分析?；诖朔治鼋Y(jié)果，編制體系完善的《某部委分級保護(hù)工程深化設(shè)計及實施方案》、《某部委涉密信息系統(tǒng)涉密安全保密策略總綱》、項目建設(shè)任務(wù)一覽表、項目職責(zé)矩陣和《項目進(jìn)度計劃》等過程文檔。

實施落地過程從安全域改造、網(wǎng)絡(luò)割接到應(yīng)用系統(tǒng)改造、集成部署、策略實施及安全服務(wù)全環(huán)節(jié)實現(xiàn)分級保護(hù)體系建設(shè)的落地過程。

(1)安全域改造

依據(jù)BMB標(biāo)準(zhǔn)要求，綜合考慮信息密級、信息分類、信息交換、行政級別、功能需要和業(yè)務(wù)需求等方面，將原有內(nèi)網(wǎng)結(jié)構(gòu)及連接信息作備份，通過網(wǎng)絡(luò)割接、區(qū)域調(diào)整、VLAN劃分等方式，重新調(diào)整某部委涉密內(nèi)網(wǎng)安全策略，包括內(nèi)網(wǎng)中的網(wǎng)絡(luò)、主機(jī)、終端、存儲等密級標(biāo)識、訪問控制、權(quán)限綁定等策略，使不同密級的信息資源、用戶不能互聯(lián)互通，且需要物理隔離，安全域邊界采用訪問控制、入侵監(jiān)測和網(wǎng)絡(luò)審計等邊界防護(hù)設(shè)備。通過劃分安全域，可將傳統(tǒng)的“按最高密級防護(hù)原則”轉(zhuǎn)變?yōu)椤胺钟蚍旨壏雷o(hù)策略”，大幅度降低建設(shè)成本和運營管理成本。

(2)應(yīng)用系統(tǒng)改造

應(yīng)用系統(tǒng)中嚴(yán)格遵照“最小授權(quán)原則”和“強(qiáng)制訪問控制要求”，安全認(rèn)證實現(xiàn)統(tǒng)一身份管理，統(tǒng)一身份認(rèn)證，統(tǒng)一權(quán)限管理，統(tǒng)一訪問控制、統(tǒng)一責(zé)任認(rèn)定和統(tǒng)一信息交換“六個統(tǒng)一”等。對應(yīng)用系統(tǒng)中產(chǎn)生的涉密文件進(jìn)行密級標(biāo)識，并與認(rèn)證賬戶相關(guān)聯(lián)實現(xiàn)抗抵賴性和不可否認(rèn)性設(shè)計。改造應(yīng)用系統(tǒng)實現(xiàn)賬戶管理和口令管理功能，根據(jù)賬戶授予其相應(yīng)的訪問權(quán)限，實現(xiàn)三權(quán)分立。對應(yīng)用系統(tǒng)設(shè)計實現(xiàn)系統(tǒng)安全審計功能，進(jìn)行系統(tǒng)啟動和關(guān)閉，賬戶登錄和修改，以及對涉密文件的操作：建立、復(fù)制、修改、刪除、打印等進(jìn)行審計內(nèi)容設(shè)計和實現(xiàn)。

(3)集成部署

集成部署分為三個階段，包括軟、硬件產(chǎn)品集成采購、硬件設(shè)備安裝、上架、軟硬件系統(tǒng)配置，集成期間太極對人力資源進(jìn)行優(yōu)化配置，通過項目質(zhì)量管理和溝通管理等手段協(xié)調(diào)各廠商工程師現(xiàn)場支持集成部署工作。

(4)安全策略實施與試運行

1.安全保密管理制度

成立推進(jìn)信息化安全保密管理工作的管理機(jī)構(gòu)，明確電子政務(wù)涉密信息系統(tǒng)中系統(tǒng)管理員、安全保密管理員和安全審計員三大員職責(zé)分工，設(shè)置三大員的具體負(fù)責(zé)人員。

某部委涉密信息系統(tǒng)保密管理制度以安全保密策略總綱為基石，以人員、終端管理為核心，圍繞環(huán)境安全管理、設(shè)備與介質(zhì)管理、運行與開發(fā)管理和信息保密管理等方面，制定滿足安全保密合規(guī)性的三級制度體系，包括制度規(guī)定、細(xì)則、流程和表單等：第一級強(qiáng)調(diào)宏觀：安全保密管理策略總綱。第二級強(qiáng)調(diào)合規(guī)：安全保密管理制度文件。第三級側(cè)重可執(zhí)行和可落地：安全保密管理制度細(xì)則及管理流程、表單類文件。

2.聯(lián)調(diào)測試與試運行

系統(tǒng)聯(lián)調(diào)測試及試運行時，對前期改造的結(jié)果進(jìn)行驗證性測試，監(jiān)控信息系統(tǒng)運行的穩(wěn)定性和安全性，記錄在試運行發(fā)現(xiàn)的問題，分析并與客戶達(dá)成一致，在獲得環(huán)境條件的允許

下，調(diào)整某些安全策略，滿足系統(tǒng)環(huán)境要求和客戶需求，提高信息系統(tǒng)的安全合規(guī)性和可用性。

(5)安全服務(wù)

1.安全加固

嚴(yán)格遵照PMP項目管理理論框架，通過統(tǒng)籌規(guī)劃、綜合協(xié)調(diào)、實效性落實、人員考核等管控過程，將安全加固實施落地。對于網(wǎng)絡(luò)及安全設(shè)備，提供專業(yè)加固建議和策略，防止大規(guī)模蠕蟲病毒的攻擊，將網(wǎng)絡(luò)病毒的攻擊影響降至最低;對于操作系統(tǒng)和應(yīng)用，關(guān)閉遠(yuǎn)程桌面服務(wù)、禁用Windows共享、停止Windows自動更新、加裝主機(jī)審計與補(bǔ)丁分發(fā)系統(tǒng)等安全加固策略;對于終端在涉密終端操作系統(tǒng)部署安全登錄、主機(jī)監(jiān)控與審計、補(bǔ)丁分發(fā)及網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，并對所有涉密終端進(jìn)行IP與MAC地址綁定。每次加固都遵從規(guī)范化原則，確保加固過程的可控性、有效性、安全性。

2.風(fēng)險評估

風(fēng)險評估是對某部委電子政務(wù)內(nèi)網(wǎng)中的服務(wù)器/網(wǎng)絡(luò)設(shè)備/安全設(shè)備等資產(chǎn)進(jìn)行威脅性和脆弱性分析，針對特定威脅利用資產(chǎn)一種或多種脆弱性，導(dǎo)致資產(chǎn)丟失或損害的潛在可能性評估分析，本項目中主要風(fēng)險評估服務(wù)包括資產(chǎn)識別、威脅分析、脆弱性分析、已有安全措施分析和風(fēng)險分析。經(jīng)過量化評估后，形成風(fēng)險評估報告，制定風(fēng)險處理計劃實施風(fēng)險管控措施。

3.安全培訓(xùn)

安全及保密培訓(xùn)是本項目的一個重要組成部分，展開對全員主要是三大員安全意識和保密意識培訓(xùn)。培訓(xùn)落實到?jīng)Q策層、管理層和執(zhí)行層各個層面，不僅是安全管理、使用、維護(hù)的一體化應(yīng)用上，更重要的是通過對各層級的政策、制度、標(biāo)準(zhǔn)，使客戶了解并掌握安全趨勢，把握信息安全戰(zhàn)略規(guī)劃在信息化建設(shè)規(guī)劃中的重要性，做好短中長期安全規(guī)劃。培訓(xùn)工作主要包含現(xiàn)場培訓(xùn)、集中培訓(xùn)、安全保密培訓(xùn)和認(rèn)證培訓(xùn)四個部分。項目價值

(1)響應(yīng)貫徹政策要求

黨中央、國務(wù)院高度重視新形勢下的保密工作。某部委電子政務(wù)涉密信息系統(tǒng)分級保護(hù)工程的建設(shè)良好地貫徹上級指示，積極應(yīng)對新形勢下的保密工作開展。

(2)實現(xiàn)對內(nèi)安全保護(hù)需求

當(dāng)前，隨著我國經(jīng)濟(jì)快速發(fā)展和國際地位不斷提高，我國已成為各種情報竊密活動的重點目標(biāo)。信息技術(shù)的發(fā)展和我國信息化建設(shè)的推進(jìn)，涉密載體呈現(xiàn)出多樣性和復(fù)雜性，泄密渠道隨之增多，竊密與反竊密越來越具有高技術(shù)抗衡的特點。某部委電子政務(wù)涉密信息系統(tǒng)分級保護(hù)建設(shè)工程為維護(hù)國家秘密安全、保障國家涉密信息、推進(jìn)XX行業(yè)系統(tǒng)保密工作，發(fā)揮重要作用。

(3)順利通過安全保密測評

體系落地實施覆蓋技術(shù)的物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)等層面，管理覆蓋策略、制度、流程、表單四級體系，做到技管并重，日常安全運維還包括了安全加固和風(fēng)險評估，具有全面性、合規(guī)性和前瞻性，較好的通過職責(zé)、策略、流程、工具等進(jìn)行落地，最終以較好的成績通過安全保密測評。項目特點

為保障項目按質(zhì)按量完成，并順利通過安全保密測評，我方在充分調(diào)研和深化設(shè)計的基礎(chǔ)上，將建設(shè)任務(wù)逐一分解，規(guī)劃出項目進(jìn)度計劃、項目資源分配表等項目過程穩(wěn)定，并將任務(wù)落實到具體的負(fù)責(zé)人身上，嚴(yán)格按照進(jìn)度計劃控制項目里程、交付成果和質(zhì)量管理。建設(shè)過程中接相關(guān)主管部門通知，分級保護(hù)整改工作要求提前完成，也就意味著在一個多月內(nèi)太極公司項目組要完成安全產(chǎn)品部署調(diào)試、700余臺涉密終端安全加固、多臺主機(jī)加固、網(wǎng)絡(luò)安全改造與割接、涉密郵件系統(tǒng)改造以及保密制度的編制工作。在既要保證實施質(zhì)量，又要管控時間進(jìn)度的前提下，項目組成員充分分析了關(guān)鍵里程碑及交付成果，出臺了項目趕工方案，加大了多種資源投入，最后以優(yōu)異的成績輔助某部委電子政務(wù)內(nèi)網(wǎng)順利通過了安全保密測評。