涉密计算机及信息系统安全策略-wenkub.com

　 　

【正文】 通过自查，我校的计算机保密工作能做到制度到位、管理到位、检查到位，但也存在一定的问题，主要是计算机防范技术有待学习提高。（二）以制度建设为保障，严格规范管理加强制度建设，是做好计算机保密管理的保障。到目前为止，我校未发生一起计算机泄密事故。二、计算机保密管理现状我校共有非涉密计算机8台。作者简介：陈金文，男，工程师，武汉理工大学毕业，目前从事航宇公司PDM、VPM等涉密应用系统的实施、推广运维方面的技术工作。安装必要的电视监控系统、门禁系统、区域红外报警系统等。保密法规制度是做好保密工作的重要基础和前提。在单位内部，将各项保密要求制定成保密检查标准，通过定期检查，量化打分，发现和改进企业保密管理的薄弱环节，同时将每位涉密人员平时的保密工作情况纳入综合考评，与其晋级、晋职、奖惩等紧密联系起来，激励每一位涉密人员自觉地做好保密工作。（二）要建立起一个高效的保密机制。六、涉密信息系统安全保密建议（一）要树立起有效控制的思想。保密部门应对总体方案进行监督、检查和指导，组织专家进行评审论证。4．涉密信息系统在投入使用前，经过保密工作部门授权测评机构的安全保密测评和保密工作部门审批。2．涉密信息系统建设使用单位应选择具有涉密信息系统集成资质单位进行承建，结合国家保密标准BMBl7—2006《涉及国家秘密的信息系统分级保护技术要求》和BMB202007《涉及国家秘密的信息系统分级保护管理规范》等相关标准，在风险评估的基础上，从技术和管理两个方面进行综合设计。按等级划分标准确定信息系统的安全保护等级，实行分级保护；对多个子系统构成的大型信息系统，确定系统的基本安全保护等级，并根据实际安全需求，分别确定各子系统的安全保护等级，实行多级安全保护；五、涉密信息系统保密管理的思路与方法我国的涉密信息系统实行分级保护管理制度，即根据涉密程度，对涉密信息系统按照秘密级、机密级、绝密级进行分等级实施保护。加强管理可以弥补技术上的不足；而放弃管理则再好的技术也不安全。要对涉密信息系统建设的全过程(各个环节)进行保密审查、审批、把关。关键在于“实事求是”、“因地制宜”地去确定安全措施的“度”，即根据信息系统因缺乏安全性造成损害后果的严重程度和实际需求来决定采取什么样的安全措施。所以，要坚决克服为了制定制度而制定制度的错误观念。举个例子，在涉密信息系统经过保密审批投入运行后，由于一般都是由系统建设使用单位的信息化部门在负责日常的运行维护。众所周知，如果没有强有力的管理来支持，再好的技术防范措施都会大打折扣，再好的技术防范产品也将成为摆设，因此涉密信息系统安全保密工作的重点还是在于管理。就拿航宇公司为例，该公司先后建立的涉密应用系统有：OA系统，CAPP系统，ERP系统，档案管理系统，PDM系统等，这些系统在建设、规划和保密管理中存在的问题主要表现在以下几个方面：(一)涉密信息系统定密的随意性、不准确问题目前该公司很多涉密信息系统定密比较随意，不准确，界定不清楚，甚至很多涉密人员都不清楚自己管理的应用系统的密级别。但在具备了一定技术手段的前提下，管理则成为决定因素。当前，随着我国党政军领导机关和国防科研军工单位信息化进程的全面加快，保密管理的对象、领域、方式和环境发生了深刻变化，在知密范围、涉密行为以及涉密人员的界定和管控等方面，出现了许多新的问题，传统的保密管理措施已经不能适应新形势下保密工作发展的要求，由于涉密单位的业务特殊性，如何对涉密信息系统进行科学有效的保密管理，已经成为涉密信息系统建设使用单位急需解决的问题，迫切需要新的管理思路与办法。为此，必须在技术上、管理上、思想上对系统的实时性、安全性予以高度重视。制定应急预案后，还要定期组织演练，以保证预案的切实可行，提高处理安全故障的应急能力。例如医院网络设备、服务器、医保通信线路、应用软件、供电、病毒防范、业务应用和工作站等应急方案等。成立以院长为组长的应急方案领导小组，负责全院应急工作的组织协调。 安全管理制度安全策略的执行要制度化,以便于实施和管理,这需要建立信息化设备及系统在使用、运行、管理及维护过程中的相关管理制度,并严格的实施与执行。另外，要通过全员培训，增强系统操作人员的安全意识。医院信息系统的安全管理“三分技术、七分管理”，医院信息系统的安全，光有安全设备和技术是远远不够的，必须有完善的管理制度和风险防范意识，制定切实可行的应急预案，将医院信息系统的安全风险降至最低。“健康档案”。要对备用设备定期检查和测试。三、利用远程管理工具，通过事先安装的远程控制管理软件（如Radmin、Pcmain、PcAnywhere等），进行示范性操作，可提高工作效率，减轻奔波之苦。采用网络版的杀毒软件，进行网络内远程管理、智能升级、自动分发、远程报警等防病毒措施，可以高效便捷的应对病毒的入侵。首先在数据库管理上，要清理和规范各类数据库特权用户，建立完善的权限分配管理，比如Oracle的sys、system用户等。 数据库存储安全采用稳定可靠的数据存储策略。所有我们必须建立完善数据的备份容灾体系，保证数据的万无一失。归档保存有关服务器的随机资料、操作系统、数据库、应用程序安装盘、补丁盘等资料，详细记录服务器的硬件类型、启用时间、软硬件配置(机器名、域名、IP地址、添加的服务、数据库配置等)相关参数。服务器安全服务器是医院信息系统运行的核心，在医院信息系统中，有数据库服务器、应用服务器等。硬件防火墙是一种部署在内外网边界上的访问控制设备,用来防止未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络的安全策略。核心交换设备要求中心结点的网络必须具备高可靠性、高性能，在不同层次上保证冗余性， 中心机房安全中心机房是医院信息系统设备运行的核心，要有专业的装修公司施工，主要包括机房物理环境、恒温恒湿、防水防鼠、电气安全等。 信息泄露的压力医院信息系统涉及大量医院经营和患者医疗等私密信息，信息的泄露和传播将会给医院、社会和患者带来安全风险。医院信息系统面临的安全挑战 行业应用的要求医院信息系统承载这越来越多的管理和医疗业务，要求724小时不间断运行。医院信息系统将承载着越来越多的管理和医疗业务，成为推动医院发展的内在驱动力。第四十六条 泄密事故相关人员应根据责任和损失大小承担相关事故责任，给本行造成重大损失的将被依法追究责任，情节严重的将送交司法机关处理。第四十二条 科技部门发现影响计算机信息系统安全保密的隐患时，应当及时通知本行保密领导小组采取保密保护措施，在紧急情况下，有权直接先采取必要的措施，然后再向领导报告，遇有重大问题，可以要求召集计算机保密领导小组成员会议商议对策。（二）各类人员在履行职责时要按规定行事，不得从事超越自己职责以外的任何操作。（六）中心系统管理人员。（二）事后监督系统操作员、管理人员。计算机信息系统操作安全管理的目标是：（一）对系统管理及系统操作均应进行有效的监督或监控；（二）所有接触系统的人员均应承担与其工作性质相应的安全责任。更换系统口令和用户名。对接触机密信息的人员，应规定在离岗后的一段时期内不得离境。人事部门要定期组织有关方面人员对计算机网络系统所有的工作人员从政治思想、业务水平、工作表现、遵守安全规程等方面进行考核，对于考核发现有违反安全法规行为的人员或发现不适于接触计算机网络系统的人员要及时调离岗位，不应让其再接触系统，对情节严重的应追究其法律责任。关键岗位人员要实行定期强制休假制度。人员的审查必须根据计算机网络系统所规定的安全等级来确定审查标准。本行员工一旦发现涉密信息泄露或可能发生泄露的情况时，应立即向保密领导小组报告，并采取相应的保护措施。第二十七条 本行与外单位因业务关系进行网络互联时，必须在双方设置硬件防火墙，并通过中间服务器访问我行数据，与关联单位签定的协议中，必须含有保密条款。第二十五条 上网信息的保密管理坚持“谁上网，谁负责”的原则。互联网实行专网管理，由信息科技部统一出口管理，并向通信运营商提出申请安装，严格控制各支行（部）自行申请安装。第二十一条 严禁任何涉及支行（部）机密的涉密计算机信息系统直接或间接地与国际互联网或其他公共信息网络相连接，必须实行内联网与互联网严格物理隔离。损坏、废弃或过期的介质（资料）应由专人负责处理，秘密级以上的介质（资料）在超过保密期或废弃不用时，要及时销毁。第十五条 存放介质、资料的库房，必须设有防火、防潮、防高温、防震、防电磁场、防静电及防盗等的设施。第十二条 应用系统在设计上严格控制涉密文件信息查询、检索的人员范围，严格管理用户使用权限。第八条总行保密领导小组不定期组织开展本行涉密计算机信息安全检查，对检查中发现的问题将及时予以纠正，对严重违反涉密规定，造成后果的，要进行通报，并按有关规定，追究领导责任，严肃处理。第四条本办法适用于支行（部）的业务网、办公网、互连网等三大计算机网络系统涉密工作的管理。第二条 本办法所称的计算机信息系统，是指由计算机、网络设备、数据信息以及其相关配套的设备、设施构成的，按照一定的应用目标和规则对数据信息进行采集、加工、存储、传输、检索等处理的人机系统。除本安全策略中涉及的要求之外，所有部门和工作人员同样需要遵守相关国家法律和法规的要求。12遵循性计算机及信息系统必须遵守国家法律和法规的要求。u 了解中断信息系统服务可能对业务造成的影响（必须找到适当的解决方案，正确处理较小事故以及可能威胁组织生存的大事故），并确定信息处理设施的业务目标。制定和实施应急计划，确保能够在要求的时间内恢复业务的流程。信息安全风险评估应当至少1年一次，可由公司自己组织进行或委托有信息系统风险评估资质的第三方机构进行。所有信息内容和信息技术过程应通过信息安全审计活动及风险评估活动来识别与它们相关的安全风险并执行适当的安全对策。对系统进行监控检查是否遵守所制定的规程。密钥失密或怀疑失密时，必须及时向安全主管部门报告，更新密钥。要求采用高强度的密钥管理系统，保证密钥全过程的安全。对于应用系统安全需求分析中要求采用加密措施，或相关法规中要求采用加密措施的处理，一定要满足要求。防病毒软件的安装和使用由信息安全管理部门专门的病毒防范管理员执行。网络管理员应确保计算机信息系统的数据安全，保障连接的服务的有效性，避免非法访问。对错误及时报告并采取措施予以纠正。鉴别和网络安全包括以下方面：u 网络访问控制应包括对人员的识别和鉴定；u 用户连接到网络的能力应受控，以支持业务应用的访问策略需求； u 专门的测试和监控设备应被安全保存，使用时要进行严格控制； u 通过网络监控设备访问网络应受到限制并进行适当授权； u 应配备专门设备自动检查所有网络数据传输是否完整和正确； u 应评估和说明使用外部网络服务所带来的安全风险； u 根据不同的用户和不同的网络服务进行网络访问控制； u 对IP地址进行合理的分配； u 关闭或屏蔽所有不需要的网络服务； u 隐藏真实的网络拓扑结构；u 采用有效的口令保护机制，包括：规定口令的长度、有效期、口令规则或采用动态口令等方式，保障用户登录和口令的安全；u 应该严格控制可以对重要服务器、网络设备进行访问的登录终端或登录 6 节点，并且进行完整的访问审计；u 严格设置对重要服务器、网络设备的访问权限； u 严格控制可以对重要服务器、网络设备进行访问的人员；u 保证重要设备的物理安全性，严格