第一篇:關于加強涉密地理信息數據應用安全監管的通知
關于加強涉密地理信息數據應用安全監管的通知
來源: 國家測繪局地理信息與地圖司 時間: 2009-10-29 09:19
【大 中 小】
國測信發〔2009〕2號
各省、自治區、直轄市、計劃單列市測繪行政主管部門,新疆生產建設兵團測繪主管部門,局所屬有關單位:
涉密地理信息數據是國家重要的基礎性、戰略性信息資源,關系到國家安全。近年來,我國地理信息產業發展迅猛,地理信息數據應用廣泛,有力促進了經濟社會又好又快發展。但在涉密地理信息數據開發利用中也出現了不少問題。一些企事業單位無測繪資質或超越資質等級許可范圍,非法處理、加工和使用涉密地理信息數據;一些企事業單位和個人違反保密制度和測繪成果管理規定,擅自提供、傳輸涉密地理信息數據,導致失、泄密事件不斷發生;一些企事業單位已經建成或正在建設的、集成了涉密地理信息數據的地理信息系統違反保密規定直接在互聯網或其它公開環境上運行;國外的一些組織或者個人通過與我國一些企事業單位合資合作,獲取我國涉密地理信息數據,給我國家安全和利益帶來隱患。
為深入貫徹落實中央關于加強保密工作的有關精神和《國務院關于加強測繪工作的意見》(國發〔2007〕30號),進一步加強涉密地理信息數據應用安全監管,保障地理信息資源有序開發利用,促進地理信息產業健康發展,現就有關要求通知如下:
一、經依法審批獲得涉密地理信息數據的企事業單位(以下簡稱用戶),必須遵守國家保密法律、法規和有關規定,建立健全保密管理制度,不得擅自向其他單位和個人復制、提供、轉讓或轉借涉密地理信息數據。嚴禁任何單位和個人未經批準擅自對外提供涉密地理信息數據。
二、涉密地理信息數據只能用于被許可的范圍。使用目的實現后不再需要使用涉密地理信息數據的用戶要按照國家相關規定及時銷毀涉密地理信息數據,并報涉密地理信息數據提供單位備案;也可請提供數據的單位核對、回收,統一銷毀。如需超許可范圍使用的,應另行辦理審批手續。
三、用戶在涉及加工、處理、集成等使用涉密地理信息數據的建設項目(以下簡稱涉密項目)招投標中,必須委托給國內具有相應測繪資質的單位(以下簡稱第三方)承擔。嚴禁委托給外國企業或者外商獨資、中外合資、合作企業以及具有外資背景的企業承擔涉密項目建設。
四、若需第三方參與涉密項目的,在涉密項目建設前,用戶必須與第三方簽訂地理信息數據保密責任書,明確責任和義務。涉密項目完成后,用戶必須及時回收或監督第三方按規定銷毀涉密地理信息數據及其衍生產品(新產生的涉密地理信息數據)。
五、在使用涉密地理信息數據的項目中,用戶必須嚴格管理,設定涉密環境,科學合理確定使用人,落實責任,確保使用過程中涉密地理信息數據及其衍生品的安全。嚴禁將涉密項目在公開環境下使用,特別是在互聯網上使用。
六、各級測繪行政主管部門要依法依規對持有涉密地理信息數據的用戶運行的地理信息系統進行定期或不定期的檢查。發現問題,要及時糾正,督促整改;情節嚴重的,要依法嚴肅處理。
七、各級測繪行政主管部門要切實強化對各有關企事業單位相關涉密人員的保密教育和崗位培訓,增強保密意識,筑牢嚴守國家秘密的思想防線。
各地區各單位要結合實際,認真研究,狠抓落實,確保涉密地理信息數據安全,切實維護國家安全和利益。工作中的有關問題以及意見、建議,請及時函告國家測繪局地理信息與地圖司。
國家測繪局
二〇〇九年十月二十日
第二篇:測繪地理信息安全監管體系的構建
測繪地理信息安全監管體系的構建
摘要:對新形勢下我國測繪地理信息安全監管中存在的問題進行分析,提出構建當前測繪地理信息安全監管體系的建議,為相關行業提供參考。
關鍵詞:測繪地理信息;安全監管;新形勢
測繪地理信息的安全關系到國家的安全和根本利益。國家非常重視測繪地理信息的安全監管,并將測繪地理信息安全監管列入法律法規和測繪地理信息行政管理職能。李克強總理2011年到中國測繪創新基地視察時指出:“我國國土廣袤、海域遼闊,測繪地理信息事關拓展發展空間,事關國家安全。”
1國家重視測繪地理信息的安全監管
1)國家法律明確要求測繪地理信息主管部門開展測繪地理信息安全監管工作。《中華人民共和國測繪法》(2017年修訂)明確提出“縣級以上人民政府測繪地理信息主管部門應當會同本級人民政府其他有關部門建立地理信息安全管理制度和技術防控體系,并加強對地理信息安全的監督管理。”2)自然資源部三定方案中將測繪地理信息安全監管作為測繪地理信息管理的重要職責。自然資源部三定方案中規定自然資源部關于測繪地理信息管理的職責是“負責測繪地理信息管理工作;負責基礎測繪和測繪行業管理;負責測繪資質資格與信用管理;監督管理國家地理信息安全和市場秩序;負責地理信息公共服務管理;負責測量標志保護。”自然資源部下設機構中,承擔測繪地理信息管理的地理信息管理司的職責是“擬定國家地理信息安全保密政策并監督實施,負責地理信息成果管理和測量標志保護,審核國家重要地理信息數據。負責地圖管理,審查向社會公開的地圖,監督互聯網地圖服務,開展國家版圖意識宣傳教育,協同擬訂界線標準樣圖。提供地理信息應急保障,指導監督地理信息公共服務。”
2當前測繪地理信息安全監管面臨新形勢
1)測繪地理信息處于更加開放、共享的互聯網和信息化的新環境。隨著測繪地理信息產業快速發展,測繪地理信息技術進入到數字化、信息化階段,由于互聯網具有開放性、交互性和分散性,測繪地理信息在開放、共享的網絡環境下,可控性大大降低,監管難度更大,數據安全和保密形勢更加嚴峻。2)測繪地理信息服務呈現廣泛化、在線化的新態勢。當前測繪地理信息廣泛服務于社會各領域,自然資源部倡導建設各級共享交換平臺,測繪地理信息為共享交換平臺提供越來越多的在線服務。測繪地理信息成果從服務器存儲、切片、提供在線服務,所經歷的環節增多,接觸人員呈現廣泛化,在線服務不可避免地面臨數據流轉、傳輸、處理、存儲的風險。3)國家機構改革的調整使測繪地理信息的內涵和外延發生了新變化。國家機構改革中,國家測繪地理信息局撤銷,測繪地理信息管理職能整體并入自然資源部,測繪地理信息與國土、礦產、山水林田湖草等自然資源信息結合更加緊密,測繪地理信息涉及面更深更廣,需要重新審視測繪地理信息的內涵和外延,并及時調整監管策略。
3新形勢下測繪地理信息安全監管中面臨的問題
1)當前測繪地理信息安全監管缺乏配套實施的行政規章指導。《中華人民共和國測繪法》、《中華人民共和國測繪成果條例》是從總體原則方面對測繪地理信息安全監管提出要求,作為測繪地理信息主管部門履行測繪地理信息安全監管職能的法律依據,但在新形勢下,缺乏專門的測繪地理信息安全監管行政規章對安全監管工作進行指導。2)當前國內地理信息安全技術儲備無法應對互聯網和信息化環境對測繪地理信息數據的安全威脅和沖擊。測繪地理信息處于更加開放、共享的互聯網和信息化的新環境,數據安全和保密形勢更加嚴峻,這對測繪生產、保管和應用過程中的測繪地理信息安全技術要求大大提升,然而目前國內測繪地理信息技術較弱,很多核心技術方面的研究和開發都未掌握自主產權,依賴國外進口,這種情況直接影響到測繪地理信息硬件和軟件方面的安全性,容易被國外生產廠家所留有的技術層面的“后門”所威脅。3)測繪地理信息安全監管缺乏自主性技術支撐。由于測繪地理信息安全監管技術是一種跨專業、多方向的技術,僅靠人力很難全面排除測繪地理信息的安全隱患,必須依靠先進的監管技術來實現安全隱患的掃描、分析和解除,但是當前我國測繪地理信息安全監管軟硬件的研發還處在初步階段,測繪地理信息安全監管缺乏自主性的技術支持。
4當前構建測繪地理信息安全監管體系的建議
1)盡快出臺配套的測繪地理信息安全專項行政法規,做好制度保障。盡快出臺國家層面的地理信息安全監管行政法規,明確監管對象和手段,對測繪地理信息生產、保管、利用單位在生產、持有、獲取、利用、保管環節進行有效統籌、監管;同時根據規章加大對泄密等違法行為的懲罰力度,真正將測繪地理信息安全監管從法律規章、政策保障上落到實處。2)實現測繪地理信息安全監管的內部聯動和外部聯動。內部聯動是履行測繪地理信息行政管理中,實現測繪地理信息安全監管職能與其他管理職能聯動,將測繪地理信息安全監管和測繪資質審查、測繪成果匯交、測繪產品質量檢查、測繪誠信等整合形成內部職能有效組合,提升執法的能動性。外部聯動是實現測繪地理信息管理部門的安全監管與國家應急、保密、安全管理部門的管理聯動,通過聯合行動,實現聯合執法、聯合排查、聯合監管,提升執法的深度和廣度。3)監督測繪地理信息生產、保管和應用環境的保密和安全防護的實施。①鼓勵生產單位開發、應用具有自主知識產權的技術,如排他性的身份識別技術、信息監測與檢測技術、安全評審技術、測評技術等。與此同時,要充分推動具有自主產權和技術研發的地理信息產業,充分保護已有的具有自主產權的產品。②要求實現測繪地理信息保管和存儲中的環境和安全防護軟硬件配置,確保測繪地理信息在保管過程中的安全。③推動建立測繪地理信息應用中的安全鎖、水印以及加鎖技術應用,提升后期對測繪地理信息成果使用環節監管的技術支撐能力。4)引進先進的安全監管技術,提升安全監管水平。測繪地理信息主管部門應采用先進地理信息安全監管技術,加強地理信息安全監管。建立測繪地理信息成果申領、使用、銷毀全應用過程的安全防控及追蹤系統,通過捆綁技術、內網監控技術、網絡爬蟲技術、對測繪地理信息安全監管的事前、事中、事后進行整體全局監管,保證整個地理信息安全監管的穩定、有效。
5結語
測繪地理信息安全是國家戰略安全的重要部分,事關國家安全和全民利益,應盡快構建有效的測繪地理信息安全監管體系,使測繪地理信息更安全地為國家發展提供服務保障。
參考文獻
[1]呂家騏.大數據背景下的地理信息數據網絡安全探討[j].測繪工程,2015(7):73-75
[2]周鴻昌,呂雁華.國外地理信息安全政策和法律建設研究[j].測繪通報,2015(11):115-118
[3]鄒成勇.試論地理信息安全行政保護問題及對策[j].市場周刊(理論研究),2015(10):106-107
[4]趙暉.構建我國網絡地理信息安全的政策體系[j].學海,2016(6):5-11
[5]朱長青.我國地理信息安全政策和法律的現狀、問題和對策[j].中國信息安全,2017(3):62-65
[6]孫威.我國測繪地理信息監管協調機制初步研究[j].測繪與空間地理信息,2017(6):5-7
[7]劉偉德.測繪地理信息中的問題分析及對策[j].住宅與房地產,2018(4):192
第三篇:大數據平臺應用的培訓通知
關于組織召開危化企業安全風險預防
大數據平臺應用的培訓通知
各街道辦事處、企業服務處: 根據《杭州市安全生產監督管理局轉發浙江省安全生產監督管理局關于印發危險化學品企業安全風險預防大數據平臺建設工作方案的通知》要求,現組織召開危化企業安全風險預防大數據平臺應用培訓,具體事項通知如下:
一、培訓時間
2017年10月18日9:15報到,9:30準時開始。
二、講座地點
大江東市場安監局四樓會議室。
三、參加人員 1、36家危化許可企業安全生產相關負責人; 2、8家帶儲存經營企業安全生產相關負責人; 3、15家加油站安全生產相關負責人。
四、講座議程
1、危化企業安全風險預防大數據平臺應用培訓;
2、關于安全風險預防大數據平臺應用互動答疑。
五、其他注意事項
1、請各街道辦事處、企業服務處通知所屬企業安全生產相關負責人按時參加;
2、請加油站安全生產相關負責人按時參加;
3、請參會人員安排好時間,準時參加培訓,如無特殊情況,不得請假。
聯系人:高佳佳;電話:0571-82987703。
杭州大江東產業集聚區市場與安全生產監督管理局
2017年10月16日
第四篇:涉密應用系統安全保密改造探討
涉密應用系統安全保密改造探討
信息管理部 陳金文
目前,國家保密形勢異常嚴峻,尤其計算機及其網絡已成為泄密的重要隱患,通過計算機信息系統采用信息技術手段發生的泄密案與竊密案頻發,隨著國家BMB相關標準的出臺,以及從業人員對國家BMB相關標準的深入理解,勢必對企業應用系統的安全保密防護提出更高的要求。已經運行的應用系統如企業0A、PDM、CAPP、項目管理系統、檔案等系統中存儲著本單位各方面的大量信息,可以說是本單位的核心機密所在,這些數據的安全保密要求就需要對原有的應用系統進行安全改造。
一、應用系統安全保密改造目的
隨著企業信息化程度的進一步推廣,應用深度也進一步增加,涉密應用系統的應用范圍和業務應用的規模伴隨著業務的需求必然會快速增長,信息的安全保密技術也會不斷出現新的安全隱患,也在不停地發展,對系統的安全保密管理的要求也會有所變化。隨著業務的發展,規模會變化,機構會變化人員會變化,環境會變化,涉密應用系統也會跟隨著調整、擴充、搬遷等,總會有或大或小的不同變化,因此,在涉密應用系統的安全保密工作中.我們在跟隨技術發展的同時,管理方法和技術手段也必須不斷調整來適應技術和要求的發展。只有這樣才能使涉密信息系統始終保持安全良好的運行狀態。就拿航宇公司而言,隨著信息化工作的不斷深入,企業先后陸續上了大量的應用系統,如:OA、PDM、TDM、CAPP、項目管理系統、門戶、檔案管理系統等,這些應用系統中積累了大量的數據,而且這些多數屬于涉密數據。在早年推廣的系統中,重點考慮應用的便利性和數據的安全性,很少會考慮到數據保密這個范疇,因此,原有的應用系統也就存在大量的漏洞和風險,如用戶管理、“三員”管理、日志管理、審計管理、身份鑒別等,或多或少存在由于功能缺陷導致的保密問題、安全問題等,這些問題不解決,勢必容易造成涉密信息被非授權訪問,以及對竊、泄密事件的無法追溯。因此,為了保證這些數據的安全,除做好單機防護、訪問控制和邊界防護外,還應該對已經投入使用的應用系統進行安全保密改造工作。
二、應用系統安全保密改造方案
應用系統安全保密改造方案的總體思路是要適應實際和發展的需要,既要滿足信息化對應用系統便捷性的要求,又要滿足保密對應用系統安全性的要求,整個改造過程動態推進,具體做法如下:
(一)用戶管理改造
原有的應用系統用戶一般有系統管理員和普通用戶兩類,沒有考慮“三員分立”管理功能。根據國家BMB標準的相關要求,在應用系統安全保密改造過程中將系統用戶分為以下幾類:用戶按照功能和權限一般劃分為三類:第一類是普通用戶。第二類是業務管理員.主要指管理某個業務的功能模塊的而設置的人員。例如OA協同辦公系統的表單管理員,主要負責表單的設計、制作、發布、修訂和表單流程的設立。第三類為“三員”。即系統管理員、安全管理員和安全審計員。“三員”應該按照最小權限的原則和權限分離原則進行權限劃分,各管理員的權限應相互獨立、相互監督和相互制約。系統管理員用于建立使用該應用系統的組織機構、建立和管理用戶組和用戶、用戶的新增、變更、注銷等等;安全管理員主要負責應用系統安全策略的設置、調整。用戶賬號安全策略的設置(口令復雜度、長度,口令更改周期,用戶和用戶組的訪問控制權限分配和調整)以及普通用戶操作系統信息(包括登錄、操作和退出等)的查看;安全審計員負責審計業務管理員、系統管理員和安全管理員的操作,并對操作結果進行驗證。因此,新上的應用系統除了具備“三員分立”的管理功能,實行三員分立的管理模式.三員的權限相互獨立,互不交叉,從而防范違規事件的發生外,還應刪除系統默認用戶、刪除超級管理員,避免管理員的權限過于集中導致信息安全問題。
(二)系統備份和恢復改造
1、系統備份
(1)應用軟件備份:系統應用軟件通過應用服務器發布,每次系統BUG修改和版本的升級、需求功能的補充,均會產生系統應用軟件的更新,程序的每次更新均有版本控制器記錄,每周對系統應用軟件進行備份,且備份后的程序與應用服務器不在同一臺機器中。該項工作由業務管理員進行負責操作和記錄。
(2)數據庫備份:系統提供數據庫自動備份的批處理命令文件,通過系統的計劃任務進行自定義設置,并定時對數據庫進行備份,且備份文件與數據庫服務器不在同一臺機器中。該項工作由業務管理員進行定期檢查和記錄。
2、系統恢復
業務管理員按照各系統恢復預案進行系統恢復,操作人員及接觸數據的范圍,數據存儲要求均符合保密要求。具體恢復分為以下兩個方面:
應用軟件恢復:一旦應用服務器出現故障或癱瘓,業務管理員應按照系統恢復預案進行恢復,協調有關部門和崗位人員配合該項工作的開展。首先,恢復應用服務器操作系統;其次,恢復應用服務器的WEB發布支撐軟件;最后,恢復備份的應用系統軟件,并在應用服務器上進行部署和發布,并記錄恢復過程。
數據庫恢復:一旦數據庫服務器出現故障或癱瘓,業務管理員應按照恢復預案進行恢復,根據系統備份的數據文件,首先恢復數據庫,然后按照數據庫恢復批處理命令文件進行數據的恢復,并記錄恢復過程。
(三)安全審計改造
涉密的應用系統需要有完整的安全審計功能,而我們很多應用系統在安全審計方面功能不足,需要改造。具體改造方案如下:首先,涉密應用系統的安全審計實現必須覆蓋所有用戶,并且能確保審計內容至少包括事件的日期、時間、事件發生的用戶身份標識、發生事件的設備標識、事件類型、描述和結果;其次,安全審計的記錄信息要符合機密性、完整性、可控性、可用性和不可否認性(抗抵賴)的原則;再次,應用系統要具備相當充分的審計條件,做好這方面的安全審計內容,主要反映在應用層面的審計數據收集工作,將有用的信息提取出來作為審計的內容,通過特定的管理頁面提供給進行審計工作的用戶,對審計數據能進行統計、分析、按條件查詢及生成統計報表等功能,方便審計人員的統一審計管理。
(四)日志管理改造
過去的應用系統在日志管理功能方面不足或者不全,日志可讀性、可管理性較差,我們現在的日志管理改造要求有日志管理策略設置的統一界面,該統一的日志管理界面將作為整個日志的管理中心,所有日志信息都將歸總到這個統一日志管理中心里進行管理。日志管理要求一般可以包括三個方面,一是日志的存放要求,如日志存儲路徑、日志存儲方式、目志存儲空間或存儲周期,所有的日志同時應具有存儲空間滿時的告警功能和自動覆蓋最早日志或自動轉存的功能等;二是日志容量和目志的覆蓋周期,一般可追溯周期不少于1個月。三是應用系統的安全日志應與系統日志分開,同時涉密應用系統還應具備對特定事件進行實時報警功能,并限制用戶對日志的訪問,能確保日志管理的安全性,防止用戶的惡意篡改日志記錄。此外,為增強日志的可讀性,日志管理還應該具備導出功能,建議應用系統采用SYSLOG接口、SNMP接口或者數據庫接口三種之一提供日志的導出接口。
(五)身份鑒別改造
保密標準對應用系統身份鑒別的要求主要歸納為幾點:“確保身份標識唯一性、可審計性和可核查性”、“口令設置長度、復雜度和更改周期”、“重鑒別”、“鑒別失敗”等。常用的鑒別方式有用戶名/口令,動態口令,數字證書,生物特征識別等。隨著應用系統的數量的增加,越來越多的用戶面臨著“分散身份鑒別”帶來的各種各樣的問題,也就是“身份漫游”功能,漫游功能在信息化來講是非常便利的,但從保密角度來講卻存在極大風險,因為不同身份所接觸的涉密信息是不同的,涉密信息內有機密級計算機和秘密級計算機,甚至還有非密計算機,而各密級計算機所能接觸的涉密信息等級不同,因此身份鑒別除了考慮上述要求同時,應考慮多個應用系統的單點登錄和統一身份鑒別功能的實現。筆者認為:為了達到便利又安全保密的要求,采用身份認證網關實現單點登錄訪問控制是較好的辦法。航宇公司的幾個主要應用系統如:OA系統,PDM系統等大部分采用B/S架構,采用CA數字證書的驗證的方式統一身份認證訪問應用系統,并用防火墻對應用系統的端口進行最小化授權開放,用戶成功登錄應用系統后,應用系統會根據用戶的角色出現相應的操作界面。在OA、PDM等重要的應用系統中均實現了通過門戶統一身份認證身份鑒別方式實現了應用系統登錄。
(六)涉密信息流向控制改造
涉密信息流向控制主要包括兩個方面:一是對于密級級別高的人員,不但可以獲取相同密級的數據信息,還可以獲取比其密級低的數據信息;相反,密級低的人員不能獲取比其密級高的數據信息。二是防止知悉范圍擴大,即非授權用戶無法查獲非授權的密級信息,授權用戶僅能查獲相應授權的密級信息。重點是通過菜單權限和數據權限對用戶權限進行限制。涉密信息的流向還可以通過企業內不同部門崗位和不同業務范圍來進行控制,這種控制通常是結合系統權限控制來實現。例如:班組級、車間級、工廠級,部門級別高的人員有權訪問下屬級別的數據信息,相反,則受到限制。相應密級用戶瀏覽相應的密級信息,低密級的人員無法獲取高密級信息的目的;相應的業務用戶瀏覽相應的業務信息,無法瀏覽不相關業務信息。實現方式主要有:
1、功能權限控制。
涉密應用系統的功能權控制也就是菜單權限,主要是針對用戶或用戶組設置不同的菜單權限,主要有兩個方面:一是針對管理員權限而言,企業普通用戶或用戶組具有授權的相關業務的瀏覽、查詢、處理等權限,但沒有用戶管理、權限管理和審計管理的功能,這些功能分別是系統管理員、安全保密管理員和安全審計員的功能。二是針對業務而言,不同的用戶和用戶組具有不同的業務權限權的控制由相應的業務應用系統內進行權限控制。
2、數據權限控制。
在應用系統中,系統提供對數據的訪問權限進行控制,即針對系統用戶或用戶組按用戶或用戶組的角色進行權限劃分,根據不同的用戶角色可以看到特定的內容。普通用戶可以看到業務上授權個人的可以看到的信息;系統管理員、安全管理員和安全審計員可以看到相應授權的信息或數據。如安全保密管理員可以看到的一般員工操作信息,安全審計員可以看到三員操作信息,別人看不到。
三、總結和建議
綜上所述,要提高涉密應用系統的安全水平,除了硬件和環境應具備相應防范措施外,重點應該關注應用系統的安全保密防護,而應用系統的安全保密防護除技術措施外,還應在管理措施和相應的標準規范上下功夫,才能真正做好應用系統的安全保密工作。相對于用戶改造,文中提到的密級流向控制是比較難改造的,很有可能會涉及到應用系統結構性調整。當然,原有的應用系統由于最初設計時目標的差異,應用系統進行改造過程中會由于歷史應用原因,無法徹底按照本文描述的內容進行改造,但應該重點關注應用系統改造的原因和目的,采用其他方法達到保護應用系統中的涉密信息得到防護的目的。
參考文獻:
『1】 王勇,李丹.物聯網信息安全體系結構分析
保密科學技術,2010,10 『2】 顧景民,郭利波,姜進成.企業信息軟件系統安全運行探討
山東煤炭科技,2009,3 『3】 國家軍工保密資格認證辦公室,軍工保密資格審查認證工作指導手冊
金城出版社,2009,5
第五篇:關于申請領用基礎地理信息數據的函
關于申請領用涉密基礎地理信息數據的函
(單位名稱):
根據**工作需要,我單位需實施**項目,需要領用**基礎地理信息數據,涉密成果領用有關規定,我單位的申請材料內容屬實,密級資料存放條件和保密管理制度符合要求。
此函。
(印章)
年 月 日
點擊咨詢 