第一篇:涉密信息系統保密管理探討(模版)
涉密信息系統安全保密管理探討
摘要:本文通過分析信息化條件下涉密信息系統保密管理與技術的關系,結合目前涉密信息系統保密管理的現狀與問題,根據涉密信息分級保護標準規范要求,從宏觀層面初步探討提出了當前形勢下涉密信息系統保密管理的原則、基本思路與方法,并提出了相應的建議。
關鍵詞:涉密信息系統 分級保護 信息系統建設生命周期
一、引言
涉密計算機信息系統(以下簡稱涉密信息系統)是指涉及國家秘密和黨政機關工作秘密的計算機信息系統,主要包括黨政軍領導機關用于處理涉密信息的單機和用于內部辦公自動化或涉密信息交換的信息系統;也包括企事業單位涉及國家秘密的信息系統。當前,隨著我國黨政軍領導機關和國防科研軍工單位信息化進程的全面加快,保密管理的對象、領域、方式和環境發生了深刻變化,在知密范圍、涉密行為以及涉密人員的界定和管控等方面,出現了許多新的問題,傳統的保密管理措施已經不能適應新形勢下保密工作發展的要求,由于涉密單位的業務特殊性,如何對涉密信息系統進行科學有效的保密管理,已經成為涉密信息系統建設使用單位急需解決的問題,迫切需要新的管理思路與辦法。
二、涉密信息系統保密管理與技術的關系
在網絡環境下,國家秘密的存儲、處理和流轉方式發生了根本性變化,涉密電子文件易復制、易傳播的特點,使得泄密渠道增多,一旦發生泄密情況,則擴散速度快,涉及范圍廣,且不易被發覺,危害特別大。面對信息化條件下保密工作新形勢,傳統的紙質涉密文件的保密管理措施已經不能完全適應新形勢下保密工作發展的要求,涉密信息系統的保密管理亟需提升技術支撐能力。在當前的形勢下,可以說技術與管理是涉密信息系統安全保障的兩個支撐要素,二者相輔相成,缺一不可:即使非常嚴密的管理,沒有技術手段支撐,也保證不了安全;無論多么先進保密技術,沒有管理措施保障,也不能發揮應有的作用。但在具備了一定技術手段的前提下,管理則成為決定因素。因此,各涉密單位應當根據涉密信息系統自身的特點,制定出具有針對性和可操作性的管理措施,并嚴格執行。
三、涉密信息系統保密管理的現狀與問題
隨著我國綜合國力不斷增強和國際戰略地位顯著提高,我國已成為各種情報竊密的重點目標,境內外敵對勢力和國外情報機構加緊對我實施全方位的信息監測和情報戰略,竊密活動十分猖獗,各級黨政軍機關、國防軍工科研生產單位作為國家秘密的主要生成區、密集區,更是成為敵對勢力竊密的重點對象。但目前我國涉密信息系統建設使用單位保密管理水平比較低,與形勢的發展很不適應,急需進一步加強。就拿航宇公司為例,該公司先后建立的涉密應用系統有:OA系統,CAPP系統,ERP系統,檔案管理系統,PDM系統等,這些系統在建設、規劃和保密管理中存在的問題主要表現在以下幾個方面:
(一)涉密信息系統定密的隨意性、不準確問題
目前該公司很多涉密信息系統定密比較隨意,不準確,界定不清楚,甚至很多涉密人員都不清楚自己管理的應用系統的密級別。究其原因主要是沒有嚴格確定定密責任,缺乏專業定密人員,定密依據不夠明確和細化,定密程序不規范等。
(二)涉密信息系統安全保密工作 “重技術、輕管理”的現象比較突出
目前公司很多涉密信息系統的安全保密方案只注重安全保密技術建設,過于依賴技術來實現保密要求,而忽略保密管理的重要性。由于缺乏有針對性的保密管理措施進行有機整合,所有的安全保密措施只是產品的簡單堆砌,使得整個安全保密方案先天性不足。眾所周知,如果沒有強有力的管理來支持,再好的技術防范措施都會大打折扣,再好的技術防范產品也將成為擺設,因此涉密信息系統安全保密工作的重點還是在于管理。
(三)涉密信息系統建設生命周期“重建設、輕監管”
通常情況下,我們將信息系統建設生命周期(SDLC)劃分為五個階段:規劃需求階段、設計開發階段、實施階段、運行維護階段、廢棄階段。也就是說,系統是不斷變化的,安全保密工作也應隨之發生變化,各個階段安全保密要求不同,每個階段都應制定相應的保密制度,并落實執行、監管。由于公司很多應用項目都是和第三方公司合作,而這些公司可能存在著對系統建設生命周期各階段的保密標準的具體要求把握不準的情況,使得工程實施各階段沒有嚴格執行保密要求或者與安全保密建設不同步情況時有發生,而這一塊我們又缺乏最起碼的監管手段,從而給系統增加了安全隱患。舉個例子,在涉密信息系統經過保密審批投入運行后,由于一般都是由系統建設使用單位的信息化部門在負責日常的運行維護。但信息化部門并不清楚保密方面的要求,而保密部門又屬于行政部門,不熟悉系統業務應用情況,只能制定一些原則性管理規章制度,無法對系統進行有效的保密監管,不能及時發現系統的違規行為和泄密隱患。
(四)涉密信息系統安全保密工作 “重制度、輕執行”的現象比較突出
航宇公司在涉密信息系統安全保密工作上制定了大量的制度、規范,并且有專門的保密網站進行宣貫,但由于保密工作的長期性和繁瑣性不可避免地對日常工作造成影響,而我們某些員工認為保密工作對其日常工作造成居多不便,從而產生抵觸情緒,進而對保密制度進行抵制,或者“打折處理,表面執行”,造成安全保密制度真正落實執行的少,讓很多制度流于形式,流于紙面。另外,我們制定保密制度還存在一個錯誤觀念,就是:制定保密制度是為了應付保密檢查,至于落實不落實,執行不執行沒有多大關系。所以,要堅決克服為了制定制度而制定制度的錯誤觀念。制定制度不是目的,通過制定安全保密制度,并堅決落實執行來加強軍工單位保密管理,保證國家秘密安全才是制定制度的根本目的。
四、涉密信息系統安全保密管理原則
(一)基于安全需求、適度安全的原則:由于信息泄露、濫用、非法訪問或非法修改而造成的危險和損害相適應的安全。沒有絕對安全的信息系統(網絡),任何安全措施都是有限度的。關鍵在于“實事求是”、“因地制宜”地去確定安全措施的“度”,即根據信息系統因缺乏安全性造成損害后果的嚴重程度和實際需求來決定采取什么樣的安全措施。組織機構應根據其信息系統擔負的使命,積累的信息資產的重要性,可能受到的威脅及面臨的風險分析安全需求,按照信息系統等級保護要求確定相應的信息系統安全保護等級,遵從相應等級的規范要求,從全局上恰當地平衡安全投入與效果;
(二)最小化授權以及分權和授權相結合原則:涉密信息系統的建設規模要最小化,非工作所必需的單位和崗位,不得建設可登陸涉密信息系統的終端;其次,涉密信息系統中涉密信息的訪問權限要最小化,非工作必需知悉的人員,不得具有關涉密信息的訪問權限。分權和授權原則是指對特定職能或責任領域的管理功能實施分離、獨立審計等實行分權,避免權力過分集中所帶來的隱患,以減小未授權的修改或濫用系統資源的機會。任何實體(如用戶、管理員、進程、應用或系統)僅享有該實體需要完成其任務所必須的權限,不應享有任何多余權限;
(三)同步建設、嚴格把關的原則:涉密信息系統的建設必須要與安全保密設施的建設同步規劃、同步實施、同步發展。要對涉密信息系統建設的全過程(各個環節)進行保密審查、審批、把關。要防止并糾正“先建設,后防護,重使用,輕安全”的傾向,建立健全涉密信息系統使用審批制度。不經過保密部門的審批和論證,信息系統不得處理國家秘密信息。
(四)注重管理的原則:涉密信息系統的安全保密三分靠技術,七分靠管理。加強管理可以彌補技術上的不足;而放棄管理則再好的技術也不安全。采用管理與技術相結合,管理科學性和技術前瞻性結合的方法,保障信息系統的安全性達到所要求的目標。信息安全管理工作主要體現為管理行為,應保證信息系統安全管理主體合法、管理行為合法、管理內容合法、管理程序合法。對安全事件的處理,應由授權者適時發布準確一致的有關信息,避免帶來不良的影響;
(五)主要領導負責、全員參與原則:主要領導應確立其組織統一的信息安全保障的宗旨和政策,負責提高員工的安全意識,組織有效安全保障隊伍,調動并優化配置必要的資源,協調安全管理工作與各部門工作的關系,并確保其落實、有效;信息系統所有相關人員應普遍參與信息系統的安全管理,并與相關方面協同、協調,共同保障信息系統安全;
(六)系統方法、持續改進原則:按照系統工程的要求,識別和理解信息安全保障相互關聯的層面和過程,采用管理和技術結合的方法,提高實現安全保障的目標的有效性和效率;安全管理是一種動態反饋過程,貫穿整個安全管理的生存周期,隨著安全需求和系統脆弱性的時空分布變化,威脅程度的提高,系統環境的變化以及對系統安全認識的深化等,應及時地將現有的安全策略、風險接受程度和保護措施進行復查、修改、調整以至提升安全管理等級,維護和持續改進信息安全管理體系的有效性;
(七)分級保護原則:涉密信息系統等級劃分需按照國家關于涉密計算機信息系統等級劃分指南,結合本單位實際情況進行涉密信息系統定級。按等級劃分標準確定信息系統的安全保護等級,實行分級保護;對多個子系統構成的大型信息系統,確定系統的基本安全保護等級,并根據實際安全需求,分別確定各子系統的安全保護等級,實行多級安全保護;
五、涉密信息系統保密管理的思路與方法
我國的涉密信息系統實行分級保護管理制度,即根據涉密程度,對涉密信息系統按照秘密級、機密級、絕密級進行分等級實施保護。目前,國家保密局已經制定發布了國家保密標準BMBl7--2006《涉及國家秘密的信息系統分級保護技術要求》和BMB20--2007《涉及國家秘密的信息系統分級保護管理規范》,從技術和管理兩個方面,詳細規定了涉密信息系統建設、使用和管理的保密要求。
涉密信息系統分級保護是國家信息安全等級保護的重要部分,其核心思想是“從實際出發,綜合平衡安全成本和風險,優化信息安全資源的配置,確保重點。”因此,涉密信息系統應該遵循國家保密標準規范,在分級保護的框架下,按照“規范定密,準確定級;分域分級,科學防護;風險評估,動態調整;技管并重,全面保障”的基本思路進行保密管理,具體方法為:
(一)涉密信息系統應該嚴格按照以系統分域定級、方案設計、工程實施、系統測評為中心環節的操作流程,積極組織開展涉密信息系統建設工作
1.涉密信息系統建設使用單位應按照信息密級、行政級別、業務類別、系統重要性和安全策略等因素劃分安全域,并根據各安全域所處理信息的最高密級確定等級。
2.涉密信息系統建設使用單位應選擇具有涉密信息系統集成資質單位進行承建,結合國家保密標準BMBl7—2006《涉及國家秘密的信息系統分級保護技術要求》和BMB20--2007《涉及國家秘密的信息系統分級保護管理規范》等相關標準,在風險評估的基礎上,從技術和管理兩個方面進行綜合設計。保密工作部門應當參與方案審查論證,在系統總體安全保密性方面加強指導,嚴格把關。
3.涉密信息系統建設使用單位應按照BMBl8--2006《涉及國家秘密的信息系統工程監理規范》進行工程監理。在進行工程監理時,應選擇具有涉密工程監理單項資質的單位或組織自身力量加強監督檢查。
4.涉密信息系統在投入使用前,經過保密工作部門授權測評機構的安全保密測評和保密工作部門審批。涉密信息系統建設使用單位應按照測評機構的要求,提交測評所需的必要資料,并配合系統測評工作。
(二)涉密信息系統建設使用單位應該整合保密部門、信息化建設部門和其他相關部門力量,密切合作,各負其責,形成合力共同加強系統的保密管理工作
1.在系統定級方面,保密部門發揮準確掌握國家保密政策的優勢,與信息化部門、業務工作部門一起研究確定系統和安全域所處理信息的最高密級,從而確定保護等級。
2.在方案設計方面,信息化部門利用熟悉技術的特點,按照分級保護技術要求和管理規范,組織開展分級保護方案的設計工作。保密部門應對總體方案進行監督、檢查和指導,組織專家進行評審論證。
3.在工程實施方面,信息化部門應具體承擔組織實施工作,并定期與保密部門對安全保密措施落實情況和工程進展情況監督、檢查。4.在系統工程施工結束后,保密部門負責組織系統測評和系統審批工作,信息化部門密切配合。
5.在系統投入運行后,保密、信息化、密碼、業務工作、保衛和人事等有關部門應按照“分工合作、各司其責”的原則,在滿足基本管理要求的基礎上,主要從人員管理、物理環境與設施管理、設備與介質管理、運行與開發管理和信息安全保密管理五個方面抓好系統應用中的日常管理,積極開展風險評估和保密監督檢查,并做好系統廢止階段的善后工作。
六、涉密信息系統安全保密建議
(一)要樹立起有效控制的思想。
保密的實質是什么?筆者認為保密的實質就是控制,要做到國家秘密在任何時候、任何情況下都受控。而做好控制的最有效方法就是盡一切可能縮小知悉范圍,做到知悉必須以工作需要為原則。為檢驗控制的效果,則要做好全程登記工作,將所有知悉國家秘密的人和情況記錄在案,做到可查、可追溯。
(二)要建立起一個高效的保密機制。
保密工作機制就是將保密工作各相關要素組合在一起,通過各要素之間的相互聯系、相互制約、相互作用,使其向既定的保密工作目標自行運轉。比如保密資格認證制度就是一個好的機制。它將軍工單位承擔武器裝備科研生產任務與保密緊密聯系起來,與單位生存發展緊密聯系起來,通過開展達標活動,使保密工作按照相關標準的要求自行運轉。在單位內部,將各項保密要求制定成保密檢查標準,通過定期檢查,量化打分,發現和改進企業保密管理的薄弱環節,同時將每位涉密人員平時的保密工作情況納入年度綜合考評,與其晉級、晉職、獎懲等緊密聯系起來,激勵每一位涉密人員自覺地做好保密工作。建立這樣一個能夠自行運轉的系統,將從根本上解決做好保密工作的動力問題,由過去的讓我做變成我要做,促使軍工單位保密工作發生質的變化。
(三)要抓好保密工作三大體系建設
保密工作三大體系是指:保密組織管理體系,保密法規制度體系,保密技術防護體系。保密是一項管理工作,是需要有職能部門和專職人員開展的工作,且必須有經費的保障,建立保密組織管理體系是做好保密工作的基本條件和基本保障。保密法規制度是做好保密工作的重要基礎和前提。保密法規制度體系的建立要做到各類涉密事項和任何涉密活動都有制度進行約束和控制。保密技術防護體系是做好保密工作的重要手段和措施。要將涉密區域和要害部門部位通過技術手段全面控制起來。安裝必要的電視監控系統、門禁系統、區域紅外報警系統等。
(四)要重視安全保密的管理工作
隨著信息安全技術的發展,信息安全產品正在向智能、整合和管理方向發展,未來的涉密信息系統安全保密技術防范方案將會越來越完善。同時我們也應該注意到,如果沒有強有力的管理來支持,再好的技術防范措施都會大打折扣,再好的技術防范產品也將成為擺設,因此涉密信息系統安全保密工作的重點還是在于管理,需要制定切實可行的規章制度,定期進行涉密信息系統的安全保密檢查,發現問題及時整改,并嚴肅處理違規的責任人,從而不斷強化員工的安全保密意識,使員工能夠自覺遵守企業安全保密的規章制度。
七、結束語
傳統的“規章制度建設”式保密管理方法已經不適應新的形勢,“管理以技術為依托,技術靠管理來保障”的模式已經成新的發展趨勢,因此必須按照“分級保護”和“技管并重”的原則開展涉密信息系統安全保密工作。
作者簡介:
陳金文,男,工程師,武漢理工大學畢業,目前從事航宇公司PDM、VPM等涉密應用系統的實施、推廣運維方面的技術工作。
聯系方式:辦公室 1097 手機 ***
第二篇:涉密信息系統資質保密標準
涉密信息系統集成資質保密標準 適用范圍
本保密標準適用于涉密信息系統集成資質申請、審查與資質單位日常保密管理。定義
2.1 本標準所稱涉密人員,是指由于工作需要,在涉密信息系統集成崗位合法接觸、知悉和經管國家秘密事項的人員。
2.2 本標準所稱涉密載體,主要指以文字、數據、符號、圖形、圖像、聲音等方式記載國家秘密信息的紙介質、磁介質、光盤等各類物品。磁介質載體包括計算機硬盤、軟盤和錄音帶、錄像帶等。
2.3 本標準所稱信息系統是指由計算機及其相關和配套設備、設施構成的,按照一定的應用目標和規則存儲、處理、傳輸信息的系統或者網絡。
2.4 本標準所稱信息設備是指計算機及存儲介質、打印機、傳真機、復印機、掃描儀、照相機、攝像機等具有信息存儲和處理功能的設備。
保密標準
3.1 保密標準實施原則
3.1.1 積極防范,突出重點,嚴格標準,依法管理。3.1.2 業務工作誰主管,保密工作誰負責,保密責任落實到人。
3.1.3 具備健全的管理體系,保密管理與生產經營管理相融合。
3.1.4 開展保密風險評估與管理。3.1.5 建立保密管理的持續改進機制。3.2 保密組織機構及職責 3.2.1 保密工作領導小組
3.2.1.1 資質單位應當成立保密工作領導小組,為本單位保密工作領導機構。
甲級資質單位應當設置專職保密總監,保密總監為單位領導班子成員。
3.2.1.2 甲級資質單位保密工作領導小組由單位法定代表人(或主要負責人)、保密總監和有關部門主要負責人組成。組長由法定代表人(或主要負責人)擔任,副組長由保密總監擔任,保密工作領導小組各成員應當有明確的職責分工。
乙級資質單位保密工作領導小組由單位法定代表人(或主要負責人)、分管保密工作負責人和有關部門主要負責人組成。組長由法定代表人(或主要負責人)擔任,副組長由分管保密工作負責人擔任,保密工作領導小組各成員應當有明確的職責分工。
3.2.1.3 保密工作領導小組實行例會制度。例會應當組織學習黨和國家保密工作方針政策及相關保密法律法規;研究部署、總結本單位的保密工作;解決保密工作中的重要問題。例會每年不少于2次,會議應當作記錄并形成會議紀要。
3.2.1.4 法定代表人(或主要負責人)為本單位保密工作第一責任人,對本單位保密工作負全面責任,履行下列職責:
(1)保證國家相關保密法律法規在本單位貫徹落實;(2)監督檢查保密工作責任制的落實情況,解決保密工作中的重要問題;
(3)審核、簽發單位保密管理制度;
(4)為保密工作提供人力、財力、物力等條件保障。3.2.1.5 保密總監或者分管保密工作負責人對本單位保密工作負具體領導和監督責任,履行下列職責:
(1)組織制定單位保密管理制度、保密工作計劃,審定保密工作總結;
(2)監督保密工作計劃落實情況,組織保密檢查;(3)為保密管理辦公室和保密管理人員履行職責提供保障。
3.2.1.6 涉密信息系統集成業務部門負責人對本部門的保密管理負直接領導責任,履行下列職責:
(1)嚴格按照工作需要,控制業務人員在工作中知悉涉密信息的范圍和程度;
(2)組織開展保密風險評估,修訂生產管理制度,優化業務流程,制定保密工作方案,落實保密風險防控措施;
(3)監督檢查涉密信息系統集成業務管理和保密制度執行情況,督促業務人員履行保密職責;
(4)及時發現、研究解決保密管理中存在的問題。3.2.2 保密管理辦公室
3.2.2.1 資質單位應當設立保密管理辦公室,為本單位的職能部門,負責人由中層以上管理人員擔任。
甲級資質單位保密管理辦公室應當為專門機構并配備專門的保密管理人員,乙級資質單位可指定有關機構承擔保密管理辦公室職能。
3.2.2.2 保密管理辦公室負責本單位保密工作的日常管理,履行下列職責:
(1)組織落實保密工作領導小組的工作部署,提出工作建議,擬定工作計劃、總結;
(2)制定、修訂保密制度;(3)參與單位各項管理制度的制定、修訂工作;(4)審查、確定保密要害部門部位,指導、監督保密設施設備的建設、使用和維護管理;
(5)組織開展保密宣傳教育和培訓;
(6)對涉密人員履行保密職責情況進行指導監督;(7)對本單位各部門保密管理有關情況進行指導監督;(8)組織開展保密檢查,針對存在的問題提出整改意見,并督促落實;
(9)報告、配合查處泄密事件;(10)管理保密工作檔案;
(11)承辦保密資質申請、延續、審查、事項變更登記等工作;
(12)承辦保密工作領導小組交辦的其他任務。3.2.2.3 保密管理人員應當具備下列條件:(1)具備良好的政治素質;
(2)熟悉保密法律法規,掌握保密知識技能,具有一定的管理能力;
(3)熟悉本單位業務工作和保密工作情況;(4)通過保密行政管理部門組織的培訓和考核。3.3 保密制度
3.3.1 資質單位應當建立規范、操作性強的保密制度,并根據實際情況及時修訂完善。保密制度的具體要求應當體現在單位相關管理制度和業務工作流程中。
3.3.2 保密制度包括以下主要方面:(1)保密工作機構設置與職責;(2)保密教育培訓;(3)涉密人員管理;(4)涉密載體管理;
(5)信息系統、信息設備和保密設施設備管理;(6)涉密信息系統集成場所等保密要害部位管理;(7)涉密項目實施現場管理;(8)保密監督檢查;(9)保密工作考核與獎懲;(10)泄密事件報告與查處;(11)保密風險評估與管理;(12)資質證書使用與管理。3.4 保密風險評估與管理
3.4.1 資質單位應當定期對系統集成業務、人員、資產、場所等主要管理活動進行保密風險評估。各業務部門應當按照業務流程對保密風險進行識別、分析和評估,提出具體防控措施。
3.4.2 資質單位應當將國家保密法規和標準要求、保密風險防控措施融入到管理制度和業務工作流程中,并建立相應的監督檢查機制。
3.5 涉密人員管理
3.5.1 資質單位應當對從事涉密業務的人員進行審查,符合條件的方可將其確定為涉密人員。涉密人員應當通過保密教育培訓,并簽訂保密承諾書后方能上崗。
3.5.2 涉密人員應當保守國家秘密,嚴格遵守各項保密規章制度,并符合以下基本條件:
(1)遵紀守法,具有良好的品行,無犯罪記錄;(2)資質單位正式職工,并在其他單位無兼職;(3)社會關系清楚,本人及其配偶為中國境內公民。3.5.3 涉密人員根據所在崗位涉密情況分為核心、重要、一般三個等級,實行分類管理。涉密等級發生變化時,應當履行審批程序。
3.5.4 資質單位與涉密人員簽訂的勞動合同或補充協議,應當包括以下內容:
(1)涉密人員的權利與義務;
(2)涉密人員應當遵守的保密紀律和有關限制性規定;(3)因履行保密職責導致涉密人員利益受到損害,資質單位給予補償的規定;
(4)涉密人員因違反保密規定而被無條件調離涉密崗位或給予辭退等處罰的規定;
(5)因認真履行保密職責,資質單位給予涉密人員獎勵的規定;
(6)涉密人員應當遵守的其他有關事項。
3.5.5 資質單位應當將涉密人員基本情況和調整變動情況向所在地省、自治區、直轄市保密行政管理部門備案。
3.5.6 在崗涉密人員每年參加保密教育與保密知識、技能培訓的時間不少于10個學時。
3.5.7 資質單位應當對在崗涉密人員進行定期考核評價。
3.5.8 資質單位應當向涉密人員發放保密補貼。3.5.9 涉密人員離崗離職須經資質單位保密審查,簽訂保密承諾書,并按相關保密規定實行脫密期管理。
3.5.10 涉密人員因私出國(境)的,應當經資質單位同意,出國(境)前應當經過保密教育。擅自出境或逾期不歸的,資質單位應當及時報告保密行政管理部門。
3.5.11 涉密人員泄露國家秘密或嚴重違反保密規章制度的,應當調離涉密崗位,并追究其法律責任。
3.6 涉密載體管理
3.6.1 資質單位應當按照工作需要,嚴格控制涉密載體的接觸范圍和涉密信息的知悉程度。3.6.2 資質單位應當建立涉密載體臺帳,臺帳應當包括載體名稱、編號、密級、保密期限等信息。
3.6.3 接收、制作、交付、傳遞、保存、維修、銷毀涉密載體,應當遵守國家相關保密規定,履行簽收、登記、審批手續。
3.6.4 復制本單位產生的涉密載體,應當經單位相關部門審批;復制其他涉密載體,應當經涉密載體制發機關、單位或所在地省、自治區、直轄市保密行政管理部門批準。涉密載體復制場所應當符合保密要求,采取可靠的保密措施;不具備復制條件的,應當到保密行政管理部門審查批準的定點單位復制。
3.6.5 機密、秘密級涉密載體應當存放在密碼文件柜中,絕密級涉密載體應當存放在密碼保險柜中。存放場所應當符合保密要求。
3.6.6 未經批準,個人不得私自留存涉密載體和涉密信息資料。確因工作需要保存的,應當建立個人臺帳,內容包括載體密級、留存原因、審批部門或人員、留存期限等內容。
3.6.7 攜帶涉密載體外出,應當履行審批手續,采取可靠的保密措施,并確保涉密載體始終處于攜帶人的有效控制下。
3.6.8 資質單位應當定期對涉密載體進行清查。需要銷毀的涉密載體應當履行清點、登記、審批手續,送交保密行政管理部門設立的銷毀工作機構或者保密行政管理部門指定的單位銷毀;確因工作需要,自行銷毀少量秘密載體的,應當使用符合國家保密標準的銷毀設備和方法。
3.7 信息系統與信息設備管理
3.7.1 涉密信息系統的規劃、建設、使用等應當符合國家有關保密規定。涉密信息系統應當按照國家保密規定和標準,制定分級保護方案,采取身份鑒別、訪問控制、安全審計、邊界安全防護、信息流轉控制等安全保密防護措施。
3.7.2 涉密信息設備應當符合國家保密標準,有密級、編號、責任人標識,并建立管理臺帳。
3.7.3 涉密計算機、移動存儲介質應當按照存儲、處理信息的最高密級進行管理與防護。
3.7.4 涉密信息設備的使用應當符合相關保密規定。禁止涉密信息設備接入互聯網及其他公共信息網絡;禁止涉密信息設備接入內部非涉密信息系統;禁止使用非涉密信息設備和個人設備存儲、處理涉密信息;禁止超越計算機、移動存儲介質的涉密等級存儲、處理涉密信息;禁止在涉密計算機和非涉密計算機之間交叉使用移動存儲介質;禁止在涉密計算機與非涉密計算機之間共用打印機、掃描儀等信息設備。3.7.5 涉密信息設備應當采取身份鑒別、訪問控制、違規外聯監控、安全審計、移動存儲介質管控等安全保密措施,并及時升級病毒和惡意代碼樣本庫,定期進行病毒和惡意代碼查殺。
3.7.6 采購安全保密產品應當選用經過國家保密行政管理部門授權機構檢測、符合國家保密標準要求的產品,計算機病毒防護產品應當選用公安機關批準的國產產品,密碼產品應當選用國家密碼管理部門批準的產品。
3.7.7 涉密信息打印、刻錄等輸出應當相對集中、有效控制,并采取相應審計措施。
3.7.8 涉密計算機及辦公自動化設備應當拆除具有無線聯網功能的硬件模塊,禁止使用具有無線互聯功能或配備無線鍵盤、無線鼠標等無線外圍裝置的信息設備處理國家秘密。
3.7.9 涉密信息設備的維修,應當在本單位內部進行,并指定專人全程監督,嚴禁維修人員讀取或復制涉密信息。確需送外維修的,須拆除涉密信息存儲部件。涉密存儲介質的數據恢復應當到國家保密行政管理部門批準的單位進行。
3.7.10 涉密信息設備改作非涉密信息設備使用或淘汰處理時,應當將涉密信息存儲部件拆除。淘汰處理涉密存儲介質和涉密信息存儲部件,應當按照國家秘密載體銷毀有關規定執行。
3.7.11 涉密計算機及移動存儲介質攜帶外出應履行審批手續,帶出前和帶回后,均應當進行保密檢查。
3.8 涉密辦公場所保密管理
3.8.1 資質單位的涉密辦公場所應當固定在相對獨立的樓層或區域。
3.8.2 涉密辦公場所應當安裝門禁、視頻監控、防盜報警等安防系統,實行封閉式管理。監控機房應當安排人員值守。
3.8.3 建立視頻監控的管理檢查機制,資質單位安全保衛部門應當定期對視頻監控信息進行回看檢查,保密管理辦公室應當對執行情況進行監督。視頻監控信息保存時間不少于3個月。
3.8.4 門禁系統、視頻監控系統和防盜報警系統等應當定期檢查維護,確保系統處于有效工作狀態。
3.8.5 涉密辦公場所應當明確允許進入的人員范圍,其他人員進入,應當履行審批、登記手續,并由接待人員全程陪同。
3.8.6 未經批準,不得將具有錄音、錄像、拍照、存儲、通信功能的設備帶入涉密辦公場所。
3.9 涉密信息系統集成項目管理 3.9.1 資質單位應當按照資質等級、類別承接涉密信息系統集成業務。不得將資質證書出借或轉讓。不得將承接的涉密信息系統集成業務分包或轉包給不具備相應資質的單位。
3.9.2 資質單位與其他單位合作開展涉密信息系統集成業務的,合作單位應當具有相應涉密信息系統集成資質,且應當取得委托方書面同意。
3.9.3 資質單位承接涉密信息系統集成項目的,應當在簽訂合同后,向項目所在地省、自治區、直轄市保密行政管理部門備案,接受保密監督管理。
涉密信息系統集成項目完成后,資質單位應當向項目所在地省、自治區、直轄市保密行政管理部門書面報告項目建設情況。
3.9.4 資質單位應當對涉密信息系統集成項目實行全過程管理,明確崗位責任,落實各環節安全保密措施,確保管理全程可控可查。
3.9.5 資質單位應當按照涉密信息系統集成項目的密級,對用戶需求文檔、設計方案、圖紙、程序編碼等技術資料和項目合同書、保密協議、驗收報告等業務資料是否屬于國家秘密或者屬于何種密級進行確定。屬于國家秘密的,應當標明密級,登記編號,明確知悉范圍。3.9.6 涉密信息系統集成項目實施期間,項目負責人對項目的安全保密負總體責任,應當按照工作需要,嚴格控制涉密載體的接觸范圍和涉密信息的知悉程度。
3.9.7 資質單位應當對參與涉密信息系統集成項目的管理人員、技術人員和工程施工人員進行登記備案,對其分工作出詳細記錄。
3.9.8 涉密信息系統集成項目實施驗收后,資質單位應當將涉密技術資料全部移交委托方,不得私自留存或擅自處理。需要保留的業務資料,應當嚴格按照有關保密規定進行管理。
3.9.9 涉密信息系統集成項目的設計方案、研發成果及有關建設情況,資質單位及其工作人員不得擅自以任何形式公開發表、交流或轉讓。
3.9.10 資質單位在與境外人員或機構進行交流合作時,應當嚴格遵守有關保密規定,交流材料不得涉及涉密信息系統集成項目的相關情況。
3.9.11 資質單位利用涉密信息系統集成項目申請專利,應當嚴格遵守有關保密規定。
秘密級和機密級的項目,應當按照法定程序審批后申請保密專利,符合專利申請條件的,應當按照有關規定辦理解密手續;絕密級的項目,在保密期限內不得申請專利或者保密專利。
3.10 涉密項目實施現場管理
3.10.1 資質單位進入委托方現場進行涉密信息系統集成項目開發、工程施工、運行維護等應當嚴格執行現場工作制度和流程。
3.10.2 從事現場項目開發、工程施工、運行維護的人員應當是資質單位確定的涉密人員。
3.10.3 現場項目開發、工程施工、運行維護應當在委托方的監督下進行。未經委托方檢查和書面批準,不得將任何電子設備帶入涉密項目現場。
3.10.4 資質單位應當對現場項目開發、工程施工、運行維護的工作情況進行詳細記錄并存檔備查。
3.11 宣傳報道管理
3.11.1 資質單位通過媒體、互聯網等渠道對外發布信息,應當經資質單位相關部門審查批準。
3.11.2 資質單位涉及涉密信息系統集成項目的宣傳報道、展覽、公開發表著作和論文等,應當經委托方批準。
3.12 保密檢查
3.12.1 資質單位應當定期對保密管理制度落實情況、技術防范措施落實情況等進行檢查,及時發現和消除隱患。
3.12.2 保密檢查應當進行書面記錄,內容包括:檢查時間、檢查人、檢查對象、檢查事項、存在問題、整改措施及落實情況等。
3.13 泄密事件處理
3.13.1 資質單位發生泄密事件,應當立即采取補救措施,并在發現后24小時內書面向所在地保密行政管理部門報告。內容包括:
(1)所泄露信息的內容、密級、數量及其載體形式;(2)泄密事件的發現經過;
(3)泄密事件發生的時間、地點和經過;
(4)泄密責任人的基本情況;
(5)泄密事件造成或可能造成的危害;(6)已采取或擬采取的補救措施。
3.13.2 資質單位應當配合保密行政管理部門對泄密事件進行查處,不得隱瞞情況或包庇當事人。
3.14 保密工作考核與獎懲
3.14.1 資質單位應當將員工遵守保密制度、履行保密職責的情況納入績效考核內容,考核結果作為發放保密補貼和評選先進的依據。
3.14.2 資質單位應當對嚴格執行保密規章的集體和個人給予表彰獎勵。
3.14.3 資質單位應當對違反保密法規制度的有關責任人給予相應處罰;泄露國家秘密的,應當按照有關規定作出處理。
3.15 保密工作經費
3.15.1 保密工作經費分為保密管理經費和保密專項經費。保密管理經費用于單位保密宣傳教育培訓、發放保密補貼、獎勵保密先進、保密檢查等日常保密管理工作;專項經費用于保密設施設備的建設、配備、維護等。
3.15.2 甲級資質單位保密管理經費,標準不少于5萬元;乙級資質單位保密管理經費,標準不少于3萬元。保密管理經費應當單獨列入單位財務預算,專款專用,保證開支。
3.15.3 保密專項經費應當按實際需要予以保障。3.16 保密工作檔案
3.16.1 資質單位應當建立保密工作檔案,記錄日常保密工作情況。
3.16.2保密工作檔案的內容應當真實、完整,全面反映保密工作情況,并能夠與相關工作檔案相互印證。
3.17 本保密標準未明確涉密事項的保密管理,須嚴格執行國家有關保密規定。
第三篇:非涉密網絡保密管理
關于認真做好部機關非涉密網絡保密管理的
自查報告
為進一步加強非涉密網絡保密管理,按照部機關《關于認真做好非涉密網絡保密管理全面自查的通知》要求,我處積極開展了非涉密網絡保密管理自查自糾工作,現報告如下:
一、基本情況
我處目前共有非涉密網絡1個,即市委機關公用網絡,共連接非涉密計算機5臺。我處所有電腦均配備了殺毒軟件,定期殺毒與升級。對于非涉密單機的管理,我們明確了非涉密計算機不得處理涉密信息。對于計算機磁介質的管理,采取專人保管、涉密文件單獨存放,嚴禁攜帶存有涉密內容的磁介質到上網的計算機上加工、儲存、傳遞處理文件。
二、保密管理情況
我處在非涉密網絡保密管理的自查中,對非涉密網絡處理信息類別進行了明確規定,制定了符合國家有關保密法律法規的非涉密網絡安全保密管理制度。并對非涉密網絡定期開展了保密檢查,確保萬無一失。
三、保密制度落實情況
(一)以宣傳教育為主導,強化保密意識。
為加強計算機及其網絡的保密管理,防止計算機及其網絡泄密事件的發生,我處采取多種方式,多種渠道對計算機保密相關人員進行宣傳教育。認真組織學習《國家保密法》、《中華人民共和國國家安全法》、《中華人民共和國保守國家秘密法實施辦法》,并要求結合實際貫徹落實。非涉密計算機利用屏幕保護時間宣傳、張貼標語等明確責任人及使用范圍,嚴禁在非涉密計算機上存儲、處理、傳遞涉密文件信息資料。
(二)以制度建設為保障,嚴格規范管理。
加強制度建設,是做好計算機網絡保密管理的保障。為了構筑科學嚴密的制度防范體系,不斷完善各項規章制度,規范計算機及其網絡的保密管理,嚴禁在非涉密服務器和計算機終端上存儲、處理涉密文件信息資料。
(三)以督促檢查為手段,堵塞管理漏洞
為了確保計算機及其網絡保密管理工作各項規章制度的落實,及時發現計算機網絡保密工作中存在的泄密隱患,堵塞管理漏洞,我處十分重視對計算機及其網絡的保密工作的督促檢查,采取自查與抽查相結合等方式,對計算機及其網絡管理制度的落實情況、涉密網絡的管理和使用情況、防范措施的落實情況進行檢查。
第四篇:重點涉密人員保密管理
重點涉密人員保密管理
一、黨政領導干部保密工作責任制
領導干部的保密責任制是指擔任縣處級以上(各縣處級)領導職務的干部,在對自己主管或者分管的業務工作負責的同時,必須對其中的保密工作承擔領導和管理責任。總的原則是:保密工作誰主管,誰負責;主管什么業務,同時領導和管理該項業務工作中的保密工作;業務工作管到哪一級,其中的保密工作也同時管到哪一級。
二、黨政領導干部落實保密工作責任制的分工
各級黨政主要領導對本地區、本部門的保密工作負有領導責任;分管保密工作的領導,對本地區、本部門的保密工作負有直接領導責任;分管其他方面工作的領導,對分管業務工作范圍內的保密工作負有領導責任。
三、黨政領導干部必須遵守的保密守則
1、不泄露黨和國家秘密;
2、不在無保障的場所閱辦、存放秘密文件、資料;
3、不擅自或指使他人復制、摘抄、銷毀或私自留存帶密級的文件、資料。確因工作需要復印并按規定請示批準復印的,復印件應按同等密級文件管理;
4、不在非保密筆記本或未采取保密措施的電子信息設備中記錄、傳輸和儲存黨和國家秘密事項;
5、不攜帶秘密文件、資料進入公共場所或進行社交活動,特別情況確需攜帶時,須經本單位保密部門或主管領導批準,并由本人或指定專人嚴格保管;
6、不準用無保密措施的通信設施和普通郵政傳遞黨和國家秘密;
7、不準與親友和無關人員談論黨和國家秘密,管好身邊工作人員和配偶、子女;
8、不在私人通信及公開發表的文章、著作、講演中涉及黨和國家秘密;
9、不在涉外活動或接受記者采訪中涉及黨和國家秘密,確因工作需要涉及或提供黨和國家秘密的,應事先報經有相應權限的機關批準;
10、不在出國訪問、考察等外事活動中攜帶涉及黨和國家秘密的文件、資料或物品,確因工作需要攜帶的,須按有關規定辦理審批手續,并采取嚴格的保密措施。
四、黨政領導干部必須履行的保密工作職責
1、健全和完善保密組織,由一名領導主持保密委員會的工作,選配保密干部從事日常的保密管理工作;
4、對玩忽職守、拒不履行保密工作領導職責,造成嚴重泄密后果的黨政領導干部,要依法追究其法律責任。
六、對保密干部的基本要求
根據新時期保密工作的任務,保密干部在知識結構和業務能力方面應逐步達到下列要求:
1、了解我國保密工作的歷史和優良傳統;
2、明確保密工作在革命戰爭時期和社會主義現代化建設中的地位和作用;
3、明確黨對保密工作的指導思想以及黨和國家有關保密工作的方針、政策;
4、熟悉國家有關保密法律、法規、規章以及其他法律中有關保密的條款規定,熟悉本地區、本部門、本單位的保密制度;
5、明確保密工作部門和保密干部的職責和任務;
6、熟悉有關國家秘密的基本知識以及劃定保密范圍,確定國家秘密事項及其密級、保密期限和解密的基本原則、法律程序和工作方法;
7、熟悉本地區、本部門、本單位保密工作的重點,可能造成泄密的渠道及相應的防范措施;
8、了解國際竊密與反竊密斗爭形勢,了解重點國家和地區諜報機構對我進行竊密活動的主要手段(包括竊密技術手段),以及防范的基本措施;
9、了解國際經濟、科技競爭勢態及其情報活動的方法手段和境外經濟、科技、新聞及其他機構獲取我國情報的主要手段和方法,及基本的防范措施;
人有權提出處理意見。
八、國家工作人員保守國家秘密守則的基本內容
1、不該說的秘密不說;
2、不該問的秘密不問;
3、不該看的秘密不看;
4、不在公共場所談論秘密;
5、不在私人信息交流中涉及秘密;
6、不擅自攜帶秘密參加涉外活動;
7、不攜帶涉密載體出入公共場所或進行社交活動;
8、不在無保密保障的地方閱辦、存放秘密文件資料;
9、不擅自復制、留存、銷毀涉密載體;
10、不在普通電話、普通傳真、無線通信傳輸秘密,不在互聯網上存儲、傳遞、處理秘密文檔。
勤勞的蜜蜂有糖吃
二〇一〇年六月九日
第五篇:涉密網絡安全保密防護和管理
涉密網絡安全保密防護和管理
隨著信息化和工業化步伐的不斷加快,互聯網已經融入社會生活方方面面,深刻改變了人們的生產和生活方式,無紙化辦公、網絡化辦公已經成為社會主流。一些政府機關、科研院所、軍工企業等單位日常工作中需要存儲和處理大量涉密信息,對網絡和信息系統的依賴性不斷增強,泄密渠道和機會大大增加,由于網絡安全漏洞和人為管理疏忽而導致的安全危機、經濟損失、重要資料泄密等重大事件層出不窮,因此網絡保密管理尤其是涉密網絡安全保密防護和管理工作成為保密工作的重中之重。
涉密網絡安全保密隱患
1.違規外聯。涉密網絡嚴禁和互聯網連接,但是有些工作人員貪圖便利,采用斷開內網連接的方式違規將計算機接入互聯網,甚至直接將接入涉密網的計算機同時又通過撥號、寬帶和無線等方式接入互聯網,破壞了內外網的物理隔離,極有可能將病毒、木馬、后門等帶入內網,導致黑客入侵并把涉密計算機作為跳板,滲透到內部網絡,給涉密網絡帶來非常嚴重的危害和后果。
2.計算機端口濫用。涉密網絡內部使用的涉密計算機的光驅、USB接口、紅外接口等很容易被違規接入未經授權批準的外接設備,然后利用“信息擺渡”技術實現在物理隔離的兩臺計算機上的信息傳遞,在此過程中很容易造成信息泄漏或致使涉密計算機感染病毒。
3.權限失控。在涉密網絡中如果沒有使用用戶身份鑒別和權限控制措施,工作人員可以毫無障礙的調閱出高出自身知悉范圍內的涉密信息,從而導致泄密。“棱鏡”事件就是一件典型的權限失控導致的泄密事件。
4.系統漏洞。系統漏洞是指應用軟件或操作系統軟件在邏輯設計上的缺陷或錯誤,這些漏洞成為入侵者進入計算機或網絡的一個“后門”,可通過植入木馬、病毒等方式來攻擊或控制整個計算機和網絡,竊取其中的涉密信息。由于涉密網絡與互聯網物理隔離,工作人員不便于進行系統補丁升級,導致這些漏洞無法得到及時修補,極易被黑客所利用。
5.人為因素。一些單位的工作人員保密意識不強,在工作中沒有遵循基本的安全防范規則操作造成泄密,例如涉密計算機不按規定設置口令或者口令設置過于簡單容易被破解、沒有定期升級系統軟件或病毒庫等。此外還有一些由于保密技術知識缺乏或操作失誤導致的泄密,例如管理員對防火墻配置不當為外來的程序攻擊創造了機會,計算機中的硬盤或某些文件夾被設置成共享狀態,使非法人員通過操作系統提供的功能非常容易地下載到這些計算機硬盤中的文件等。
涉密網絡安全保密防護技術
1.虛擬局域網技術。虛擬局域網技術可以根據網絡用戶的位置、作用、部門或者根據網絡用戶所使用的應用程序和協議來進行分組,不同的虛擬局域網之間不能進行相互的聯系和通訊,這就避免了病毒感染和黑客入侵。此外虛擬局域網技術中對于交換機端口的劃分操作簡單靈活,這就使得在涉密網絡中網絡設備的靈活移動成為可能,單位不同部門可以規劃到不同的虛擬局域網中來,既方便了數據的傳輸、信息的共享,又提高了涉密網絡的安全性。
2.防火墻系統。防火墻系統是計算機與內部網絡或內部網絡與外部網絡之間安全的屏障,配置防火墻是實現涉密網絡安全最基本、最有效的安全措施之一。利用防火墻對涉密網絡進行安全域劃分,禁止不同虛擬局域網在非應用系統使用時相互訪問,同時在交換機配置階段,就進行端口隔離,這樣同部門同虛擬局域網之間也存在了基礎的安全網絡防護,可實現重點服務器網段和非密服務區網段隔離,從而降低重要數據或敏感信息安全問題對整個涉密網絡造成的影響。此外,防火墻系統還能實時地記錄所有用戶訪問信息的日志情況,并對涉密網絡的流量情況進行統計。一旦發生網絡異常現象,防火墻系統還能及時報警,確保涉密網絡的安全穩定。
3.入侵檢測系統。入侵檢測系統是一種對網絡傳輸進行即時監視,在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。它可以在不影響網絡性能的情況下對網絡進行監測,提供內部攻擊、外部攻擊和誤操作時的實時保護。在涉密網絡中,可以在需要保護的服務器網段上部署入侵檢測系統,實時監視各種對服務器的訪問請求并及時將信息反饋給控制臺。
4.訪問控制技術。訪問控制是限制已授權的用戶、程序、進程或計算機網絡中的其他的系統訪問本系統的資源的過程,它是涉密網絡安全防護的主要核心策略。通常在涉密網絡中實施訪問控制的策略是在交換機的某個端口上綁定合法的計算機MAC地址,所有未在該端口上綁定的MAC地址全部為非法入口,會在進入該端口時予以屏蔽,這樣就杜絕了非法MAC地址的入侵,可以防止非授權的計算機從數據鏈路層進入涉密網絡。
5.漏洞掃描技術。漏洞掃描技術是指通過掃描等手段對指定的遠程或者本地計算機系統的安全脆弱性進行檢測,發現可利用的漏洞的一種安全檢測技術。它和防火墻、入侵檢測系統互相配合,能夠有效提高網絡的安全性。通過漏洞掃描,網絡管理員能了解網絡的安全設置和運行的應用服務,及時發現網絡內計算機與服務器等網絡設備的各種漏洞和隱患,如端口和服務、系統漏洞、弱口令及共享文件等,并給出修正建議。此外,當有計算機接入涉密網絡中時,還可以通過掃描計算機的系統漏洞,自動對入網計算機進行系統補丁升級,確保所有接入涉密網絡的計算機系統漏洞都能及時得到修復,降低計算機被入侵攻擊的風險。
6.身份鑒別和授權。身份鑒別是保證涉密網絡安全的重要措施。經過身份鑒別進入涉密網絡的合法用戶,需要對其訪問系統資源的權限進行限制。設置訪問控制應當遵循“最小授權原則”,即在應當授權的范圍內有權使用資源,非授權范圍內無權使用資源。并且在授權時按照該人員的最高涉密等級進行身份認證授權。在涉密網絡中,工作人員的各種操作行為均需進行個人身份鑒別。
7.涉密計算機監控和審計。涉密計算機監控是指通過安全策略對受控計算機的移動存儲設備、外部連接設備、網絡連接等輸入輸出端口進行監控,防止非法文件拷貝、打印、掃描、非法外聯等安全事件的發生,對于正在發生的高危行為予以及時制止或預警。涉密計算機審計是指記錄涉密計算機用戶的實際操作,包括計算機訪問應用系統情況、文件的拷貝打印操作、病毒感染情況、擅自連接互聯網情況、非工作軟件的安裝和運行等內容,通過分析日志,能夠在事后有效發現用戶的違規操作或非法入侵行為,以便管理人員及時發現問題以及事后追究責任。
8.數字加密和數字簽名。數據加密和數字簽名技術是提高涉密網絡安全性的必要手段。數據加密技術可以用于涉密文件的加密上,通過公鑰、密鑰的分發確保文件即使被盜取也無法解密。數字簽名是利用密碼技術生產一系列符號和代碼組成電子密碼進行簽名,來代替書寫簽名和印章。將數字簽名添加到文件正文中后,能夠保證文件的機密性、發送者身份真實性、文件數據的完整性和發送者對自己行為的不可否認性,構造一種更加完善、高強度的文件加密方案。
9.電磁泄漏防護。涉密網絡電磁輻射主要有四個因素產生:顯示器輻射、通信線路輻射、主機輻射、輸出設備(打印機)輻射。這些設備是依靠高頻脈沖電路工作的,由于電磁場的變化,必然要向外輻射電磁波。這些電磁波會把計算機中的信息帶出去,竊密者只要具有相應的接收設備,就可以通過接收電磁波從中竊取涉密信息。針對電磁泄漏可采用的防護措施有選用低輻射設備、利用噪聲干擾源、距離防護、電磁屏蔽等。
10.容災備份技術。涉密網絡中的數據安全是重中之重,但由于敵對勢力、自然災害或其他網絡、硬軟件故障、操作失誤、病毒等因素的影響,隨時可能導致數據丟失、破壞、業務中斷等災難事故的發生。容災技術可以保證在遭遇災害時信息系統能正常運行,實現業務連續性的目標,備份技術可以應對災難來臨時造成的數據丟失問題。在具體操作中,容災備份技術通常是將系統變化發生時的每個時間點都捕獲下來,一旦系統發生寫數據的動作,就實時復制將要寫入存儲的寫操作,在寫入本地磁盤的同時復制一份到本地或遠程數據保護中心,這樣一旦災難發生,就可以從數據保護中心中獲取丟失的數據。
涉密網絡保密管理措施
1.完善涉密網絡安全保密規章制度建設。規章制度是涉密網絡安全管理的基礎,只有建立了完善的安全管理制度,明確安全保密職責,才能確保涉密網絡和涉密信息系統正常、有效運行。涉密單位應根據國家出臺的相關規定,充分發揮創新精神,結合本單位的實際情況,按照“誰主管誰負責,誰運行誰負責,誰使用誰負責”的原則,建立有針對性的涉密網絡安全管理制度,將原則性的標準進行細化,明確安全職責的劃分和人員分工安排,讓涉密網絡的建設、管理、使用、維護等各個環節都有相應的制度作為保障。同時要對規章制度進行動態化的管理,及時發現規章制度中不適和問題,對規章制度的適應性進行改進。
2.提高工作人員保密意識和防護技能。工作人員的保密意識薄弱、保密防護技能缺乏是泄密事件發生的主因,由于網絡信息安全技術知識更新換代頻繁,一些工作人員平時不注重學習,認識不到安全威脅,保密意識淡漠,不注意個人的安全防護,認為涉密網絡安全防護是信息中心的事兒,與他們毫無關系。還有部分人員存在僥幸心理,為圖方便甚至不遵守相關安全規定,違規接入互聯網或外部設備,給涉密網絡防護帶來較大隱患。因此需要加強工作人員的保密意識和網絡安全意識,切實使更多的工作人員充分認清當前網絡條件下的保密形勢,認清網絡與信息技術快速發展給保密工作帶來的巨大負面影響,在思想上保持警惕,筑牢思想防線。同時要通過舉辦講座、學習班等形式普及涉密網絡安全防護知識,使其熟悉危害涉密網絡安全的行為以及其基本原理,讓安全操作成為一種工作習慣和自覺行為。
3.強化保密監督和檢查。保密監督和檢查是防止失泄密事件發生的有效手段。利用網絡安全技術做好日常保密監督和檢查是充分發揮涉密網絡防護體系作用的一個重要的環節,具體措施有:對非授權存取、非授權外聯、非授權接入采取必要的技術檢測手段,作出及時響應,并形成日志記錄;對涉密網絡中的設備運行態進行監測,例如可以每周查看安全審計記錄;每月對監控和審計系統的日志進行分析整理。通過日常化的保密監督和檢查,能夠及時發現存在的安全隱患與管理缺陷,及時消除安全隱患與改進管理,提升涉密網絡安全防護的技術水平和保密管理水平。
涉密網絡的安全保密防護和管理是一個涉及網絡信息安全技術和保密管理的龐大課題,而且隨著網絡技術的不斷發展,會出現越來越多新的安全保密防護問題,因此我們必須綜合運用各種新技術新知識,不斷完善和調整防護策略,才能構建一道網絡信息安全的銅墻鐵壁。
(作者單位:寧波國研軟件技術有限公司)
點擊咨詢 