涉密计算机及信息系统安全策略-资料下载页

　　

【正文】 划、同步实施、同步发展。要对涉密信息系统建设的全过程(各个环节)进行保密审查、审批、把关。要防止并纠正“先建设，后防护，重使用，轻安全”的倾向，建立健全涉密信息系统使用审批制度。不经过保密部门的审批和论证，信息系统不得处理国家秘密信息。（四）注重管理的原则：涉密信息系统的安全保密三分靠技术，七分靠管理。加强管理可以弥补技术上的不足；而放弃管理则再好的技术也不安全。采用管理与技术相结合，管理科学性和技术前瞻性结合的方法，保障信息系统的安全性达到所要求的目标。信息安全管理工作主要体现为管理行为，应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理，应由授权者适时发布准确一致的有关信息，避免带来不良的影响；（五）主要领导负责、全员参与原则：主要领导应确立其组织统一的信息安全保障的宗旨和政策，负责提高员工的安全意识，组织有效安全保障队伍，调动并优化配置必要的资源，协调安全管理工作与各部门工作的关系，并确保其落实、有效；信息系统所有相关人员应普遍参与信息系统的安全管理，并与相关方面协同、协调，共同保障信息系统安全；（六）系统方法、持续改进原则：按照系统工程的要求，识别和理解信息安全保障相互关联的层面和过程，采用管理和技术结合的方法，提高实现安全保障的目标的有效性和效率；安全管理是一种动态反馈过程，贯穿整个安全管理的生存周期，随着安全需求和系统脆弱性的时空分布变化，威胁程度的提高，系统环境的变化以及对系统安全认识的深化等，应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级，维护和持续改进信息安全管理体系的有效性；（七）分级保护原则：涉密信息系统等级划分需按照国家关于涉密计算机信息系统等级划分指南，结合本单位实际情况进行涉密信息系统定级。按等级划分标准确定信息系统的安全保护等级，实行分级保护；对多个子系统构成的大型信息系统，确定系统的基本安全保护等级，并根据实际安全需求，分别确定各子系统的安全保护等级，实行多级安全保护；五、涉密信息系统保密管理的思路与方法我国的涉密信息系统实行分级保护管理制度，即根据涉密程度，对涉密信息系统按照秘密级、机密级、绝密级进行分等级实施保护。目前，国家保密局已经制定发布了国家保密标准BMBl72006《涉及国家秘密的信息系统分级保护技术要求》和BMB202007《涉及国家秘密的信息系统分级保护管理规范》，从技术和管理两个方面，详细规定了涉密信息系统建设、使用和管理的保密要求。涉密信息系统分级保护是国家信息安全等级保护的重要部分，其核心思想是“从实际出发，综合平衡安全成本和风险，优化信息安全资源的配置，确保重点。”因此，涉密信息系统应该遵循国家保密标准规范，在分级保护的框架下，按照“规范定密，准确定级；分域分级，科学防护；风险评估，动态调整；技管并重，全面保障”的基本思路进行保密管理，具体方法为：(一)涉密信息系统应该严格按照以系统分域定级、方案设计、工程实施、系统测评为中心环节的操作流程，积极组织开展涉密信息系统建设工作1．涉密信息系统建设使用单位应按照信息密级、行政级别、业务类别、系统重要性和安全策略等因素划分安全域，并根据各安全域所处理信息的最高密级确定等级。2．涉密信息系统建设使用单位应选择具有涉密信息系统集成资质单位进行承建，结合国家保密标准BMBl7—2006《涉及国家秘密的信息系统分级保护技术要求》和BMB202007《涉及国家秘密的信息系统分级保护管理规范》等相关标准，在风险评估的基础上，从技术和管理两个方面进行综合设计。保密工作部门应当参与方案审查论证，在系统总体安全保密性方面加强指导，严格把关。3．涉密信息系统建设使用单位应按照BMBl82006《涉及国家秘密的信息系统工程监理规范》进行工程监理。在进行工程监理时，应选择具有涉密工程监理单项资质的单位或组织自身力量加强监督检查。4．涉密信息系统在投入使用前，经过保密工作部门授权测评机构的安全保密测评和保密工作部门审批。涉密信息系统建设使用单位应按照测评机构的要求，提交测评所需的必要资料，并配合系统测评工作。(二)涉密信息系统建设使用单位应该整合保密部门、信息化建设部门和其他相关部门力量，密切合作，各负其责，形成合力共同加强系统的保密管理工作1．在系统定级方面，保密部门发挥准确掌握国家保密政策的优势，与信息化部门、业务工作部门一起研究确定系统和安全域所处理信息的最高密级，从而确定保护等级。2．在方案设计方面，信息化部门利用熟悉技术的特点，按照分级保护技术要求和管理规范，组织开展分级保护方案的设计工作。保密部门应对总体方案进行监督、检查和指导，组织专家进行评审论证。3．在工程实施方面，信息化部门应具体承担组织实施工作，并定期与保密部门对安全保密措施落实情况和工程进展情况监督、检查。4．在系统工程施工结束后，保密部门负责组织系统测评和系统审批工作，信息化部门密切配合。5．在系统投入运行后，保密、信息化、密码、业务工作、保卫和人事等有关部门应按照“分工合作、各司其责”的原则，在满足基本管理要求的基础上，主要从人员管理、物理环境与设施管理、设备与介质管理、运行与开发管理和信息安全保密管理五个方面抓好系统应用中的日常管理，积极开展风险评估和保密监督检查，并做好系统废止阶段的善后工作。六、涉密信息系统安全保密建议（一）要树立起有效控制的思想。保密的实质是什么？笔者认为保密的实质就是控制，要做到国家秘密在任何时候、任何情况下都受控。而做好控制的最有效方法就是尽一切可能缩小知悉范围，做到知悉必须以工作需要为原则。为检验控制的效果，则要做好全程登记工作，将所有知悉国家秘密的人和情况记录在案，做到可查、可追溯。（二）要建立起一个高效的保密机制。保密工作机制就是将保密工作各相关要素组合在一起，通过各要素之间的相互联系、相互制约、相互作用，使其向既定的保密工作目标自行运转。比如保密资格认证制度就是一个好的机制。它将军工单位承担武器装备科研生产任务与保密紧密联系起来，与单位生存发展紧密联系起来，通过开展达标活动，使保密工作按照相关标准的要求自行运转。在单位内部，将各项保密要求制定成保密检查标准，通过定期检查，量化打分，发现和改进企业保密管理的薄弱环节，同时将每位涉密人员平时的保密工作情况纳入综合考评，与其晋级、晋职、奖惩等紧密联系起来，激励每一位涉密人员自觉地做好保密工作。建立这样一个能够自行运转的系统，将从根本上解决做好保密工作的动力问题，由过去的让我做变成我要做，促使军工单位保密工作发生质的变化。（三）要抓好保密工作三大体系建设保密工作三大体系是指：保密组织管理体系，保密法规制度体系，保密技术防护体系。保密是一项管理工作，是需要有职能部门和专职人员开展的工作，且必须有经费的保障，建立保密组织管理体系是做好保密工作的基本条件和基本保障。保密法规制度是做好保密工作的重要基础和前提。保密法规制度体系的建立要做到各类涉密事项和任何涉密活动都有制度进行约束和控制。保密技术防护体系是做好保密工作的重要手段和措施。要将涉密区域和要害部门部位通过技术手段全面控制起来。安装必要的电视监控系统、门禁系统、区域红外报警系统等。（四）要重视安全保密的管理工作随着信息安全技术的发展，信息安全产品正在向智能、整合和管理方向发展，未来的涉密信息系统安全保密技术防范方案将会越来越完善。同时我们也应该注意到，如果没有强有力的管理来支持，再好的技术防范措施都会大打折扣，再好的技术防范产品也将成为摆设，因此涉密信息系统安全保密工作的重点还是在于管理，需要制定切实可行的规章制度，定期进行涉密信息系统的安全保密检查，发现问题及时整改，并严肃处理违规的责任人，从而不断强化员工的安全保密意识，使员工能够自觉遵守企业安全保密的规章制度。七、结束语传统的“规章制度建设”式保密管理方法已经不适应新的形势，“管理以技术为依托，技术靠管理来保障”的模式已经成新的发展趋势，因此必须按照“分级保护”和“技管并重”的原则开展涉密信息系统安全保密工作。作者简介：陈金文，男，工程师，武汉理工大学毕业，目前从事航宇公司PDM、VPM等涉密应用系统的实施、推广运维方面的技术工作。联系方式：办公室 1097 手机 ***第五篇：计算机涉密自查报告定西市安定区永定路小学关于切实加强计算机、移动存储介质及国家秘密载体保密管理工作的自查报告按照安定区教育体育局《关于切实加强计算机、移动存储介质及国家秘密载体保密管理的通知》（安教发【2011】384号）文件精神，我校严格按文件要求对学校的计算机保密工作进行了自查，特汇报如下：一、高度重视作为教育机构，我校把保密工作作为一项重要工作常抓不懈。明确了保密工作的领导机构和人员，成立了由校长刘建国任组长，书记郭天宝、副校长王旭东、办公室主任爨晓平等为成员的安全保卫保密工作领导小组，制定了《永定路小学涉密计算机及网络管理制度》并且落实了保密工作岗位负责制。做到了保密工作机构、人员、职责、制度“四落实”。二、计算机保密管理现状我校共有非涉密计算机8台。所有电脑都配备了杀毒软件，能定期杀毒与升级。对于非涉密单机的管理，都设置了开机密码，并能作到定期更换，同时明确非涉密单机不得处理涉密信息。对于计算机存储介质（U盘、移动硬盘等）的管理，采取专人保管、涉密文件单独存放，严禁携带存有涉密内容的磁介质到上网的计算机上加工、贮存、传递处理文件。到目前为止，我校未发生一起计算机泄密事故。三、计算机保密工作落实情况（一）以宣传教育为主导，强化保密意识 为加强计算机及其网络的保密管理，防止计算机及其网络泄密事件发生，确保国家秘密信息安全，在计算机网络管理人员以及操作计算机的领导干部、涉密人员中强化计算机保密安全意识，我校采取多种方式，多渠道对计算机保密相关人员进行宣传教育。一是将《计算机及其网络保密管理规定》予以转发至各办公室，要求结合实际，认真组织学习，并抓好贯彻落实。二是进行警示教育。（二）以制度建设为保障，严格规范管理加强制度建设，是做好计算机保密管理的保障。为了构筑科学严密的制度防范体系，不断完善各项规章制度，规范计算机及其网络的保密管理，我校主要采取了以下几项措施：一是认真贯彻执行上级保密部门文件的有关项规定和要求，不断增强依法做好计算机保密管理的能力；二是制定《永定路小学涉密计算机及网络管理制度》；三是严格涉密信息流转的规范性，弥补管理上存在的空挡；四是针对信息发布中存在的不规范等问题，及时制定涉密信息发布审查制度，要求对上网信息严格审查、严格控制、严格把关，从制度上杜绝泄密隐患，做到“上网信息不涉密、涉密信息不上网”。（三）以督促检查为手段，堵塞管理漏洞为了确保计算机及其网络保密管理工作各项规章制度的落实，及时发现计算机保密工作中存在的泄密隐患，堵塞管理漏洞，我校十分重视对计算机及其网络保密工作的督促检查，采取自查与抽查相结合，常规检查与重点检查相结合，定期检查与突击检查相结合等方式，对计算机及其网络管理制度的落实情况、涉密网络的建设和使用情况以及涉密计算机、涉密网络采取的管理和防范措施的落实情况进行检查。今年以来，我校对计算机及其网络的情况进行了一次全面检查，通过检查，查找计算机保密工作中存在的管理漏洞，并整改到位。通过自查，我校的计算机保密工作能做到制度到位、管理到位、检查到位，但也存在一定的问题，主要是计算机防范技术有待学习提高。二〇一一年十月十九日