第一篇:涉密信息系统保密管理探讨(模版)
涉密信息系统安全保密管理探讨
摘要:本文通过分析信息化条件下涉密信息系统保密管理与技术的关系,结合目前涉密信息系统保密管理的现状与问题,根据涉密信息分级保护标准规范要求,从宏观层面初步探讨提出了当前形势下涉密信息系统保密管理的原则、基本思路与方法,并提出了相应的建议。
关键词:涉密信息系统 分级保护 信息系统建设生命周期
一、引言
涉密计算机信息系统(以下简称涉密信息系统)是指涉及国家秘密和党政机关工作秘密的计算机信息系统,主要包括党政军领导机关用于处理涉密信息的单机和用于内部办公自动化或涉密信息交换的信息系统;也包括企事业单位涉及国家秘密的信息系统。当前,随着我国党政军领导机关和国防科研军工单位信息化进程的全面加快,保密管理的对象、领域、方式和环境发生了深刻变化,在知密范围、涉密行为以及涉密人员的界定和管控等方面,出现了许多新的问题,传统的保密管理措施已经不能适应新形势下保密工作发展的要求,由于涉密单位的业务特殊性,如何对涉密信息系统进行科学有效的保密管理,已经成为涉密信息系统建设使用单位急需解决的问题,迫切需要新的管理思路与办法。
二、涉密信息系统保密管理与技术的关系
在网络环境下,国家秘密的存储、处理和流转方式发生了根本性变化,涉密电子文件易复制、易传播的特点,使得泄密渠道增多,一旦发生泄密情况,则扩散速度快,涉及范围广,且不易被发觉,危害特别大。面对信息化条件下保密工作新形势,传统的纸质涉密文件的保密管理措施已经不能完全适应新形势下保密工作发展的要求,涉密信息系统的保密管理亟需提升技术支撑能力。在当前的形势下,可以说技术与管理是涉密信息系统安全保障的两个支撑要素,二者相辅相成,缺一不可:即使非常严密的管理,没有技术手段支撑,也保证不了安全;无论多么先进保密技术,没有管理措施保障,也不能发挥应有的作用。但在具备了一定技术手段的前提下,管理则成为决定因素。因此,各涉密单位应当根据涉密信息系统自身的特点,制定出具有针对性和可操作性的管理措施,并严格执行。
三、涉密信息系统保密管理的现状与问题
随着我国综合国力不断增强和国际战略地位显著提高,我国已成为各种情报窃密的重点目标,境内外敌对势力和国外情报机构加紧对我实施全方位的信息监测和情报战略,窃密活动十分猖獗,各级党政军机关、国防军工科研生产单位作为国家秘密的主要生成区、密集区,更是成为敌对势力窃密的重点对象。但目前我国涉密信息系统建设使用单位保密管理水平比较低,与形势的发展很不适应,急需进一步加强。就拿航宇公司为例,该公司先后建立的涉密应用系统有:OA系统,CAPP系统,ERP系统,档案管理系统,PDM系统等,这些系统在建设、规划和保密管理中存在的问题主要表现在以下几个方面:
(一)涉密信息系统定密的随意性、不准确问题
目前该公司很多涉密信息系统定密比较随意,不准确,界定不清楚,甚至很多涉密人员都不清楚自己管理的应用系统的密级别。究其原因主要是没有严格确定定密责任,缺乏专业定密人员,定密依据不够明确和细化,定密程序不规范等。
(二)涉密信息系统安全保密工作 “重技术、轻管理”的现象比较突出
目前公司很多涉密信息系统的安全保密方案只注重安全保密技术建设,过于依赖技术来实现保密要求,而忽略保密管理的重要性。由于缺乏有针对性的保密管理措施进行有机整合,所有的安全保密措施只是产品的简单堆砌,使得整个安全保密方案先天性不足。众所周知,如果没有强有力的管理来支持,再好的技术防范措施都会大打折扣,再好的技术防范产品也将成为摆设,因此涉密信息系统安全保密工作的重点还是在于管理。
(三)涉密信息系统建设生命周期“重建设、轻监管”
通常情况下,我们将信息系统建设生命周期(SDLC)划分为五个阶段:规划需求阶段、设计开发阶段、实施阶段、运行维护阶段、废弃阶段。也就是说,系统是不断变化的,安全保密工作也应随之发生变化,各个阶段安全保密要求不同,每个阶段都应制定相应的保密制度,并落实执行、监管。由于公司很多应用项目都是和第三方公司合作,而这些公司可能存在着对系统建设生命周期各阶段的保密标准的具体要求把握不准的情况,使得工程实施各阶段没有严格执行保密要求或者与安全保密建设不同步情况时有发生,而这一块我们又缺乏最起码的监管手段,从而给系统增加了安全隐患。举个例子,在涉密信息系统经过保密审批投入运行后,由于一般都是由系统建设使用单位的信息化部门在负责日常的运行维护。但信息化部门并不清楚保密方面的要求,而保密部门又属于行政部门,不熟悉系统业务应用情况,只能制定一些原则性管理规章制度,无法对系统进行有效的保密监管,不能及时发现系统的违规行为和泄密隐患。
(四)涉密信息系统安全保密工作 “重制度、轻执行”的现象比较突出
航宇公司在涉密信息系统安全保密工作上制定了大量的制度、规范,并且有专门的保密网站进行宣贯,但由于保密工作的长期性和繁琐性不可避免地对日常工作造成影响,而我们某些员工认为保密工作对其日常工作造成居多不便,从而产生抵触情绪,进而对保密制度进行抵制,或者“打折处理,表面执行”,造成安全保密制度真正落实执行的少,让很多制度流于形式,流于纸面。另外,我们制定保密制度还存在一个错误观念,就是:制定保密制度是为了应付保密检查,至于落实不落实,执行不执行没有多大关系。所以,要坚决克服为了制定制度而制定制度的错误观念。制定制度不是目的,通过制定安全保密制度,并坚决落实执行来加强军工单位保密管理,保证国家秘密安全才是制定制度的根本目的。
四、涉密信息系统安全保密管理原则
(一)基于安全需求、适度安全的原则:由于信息泄露、滥用、非法访问或非法修改而造成的危险和损害相适应的安全。没有绝对安全的信息系统(网络),任何安全措施都是有限度的。关键在于“实事求是”、“因地制宜”地去确定安全措施的“度”,即根据信息系统因缺乏安全性造成损害后果的严重程度和实际需求来决定采取什么样的安全措施。组织机构应根据其信息系统担负的使命,积累的信息资产的重要性,可能受到的威胁及面临的风险分析安全需求,按照信息系统等级保护要求确定相应的信息系统安全保护等级,遵从相应等级的规范要求,从全局上恰当地平衡安全投入与效果;
(二)最小化授权以及分权和授权相结合原则:涉密信息系统的建设规模要最小化,非工作所必需的单位和岗位,不得建设可登陆涉密信息系统的终端;其次,涉密信息系统中涉密信息的访问权限要最小化,非工作必需知悉的人员,不得具有关涉密信息的访问权限。分权和授权原则是指对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的权限,不应享有任何多余权限;
(三)同步建设、严格把关的原则:涉密信息系统的建设必须要与安全保密设施的建设同步规划、同步实施、同步发展。要对涉密信息系统建设的全过程(各个环节)进行保密审查、审批、把关。要防止并纠正“先建设,后防护,重使用,轻安全”的倾向,建立健全涉密信息系统使用审批制度。不经过保密部门的审批和论证,信息系统不得处理国家秘密信息。
(四)注重管理的原则:涉密信息系统的安全保密三分靠技术,七分靠管理。加强管理可以弥补技术上的不足;而放弃管理则再好的技术也不安全。采用管理与技术相结合,管理科学性和技术前瞻性结合的方法,保障信息系统的安全性达到所要求的目标。信息安全管理工作主要体现为管理行为,应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,应由授权者适时发布准确一致的有关信息,避免带来不良的影响;
(五)主要领导负责、全员参与原则:主要领导应确立其组织统一的信息安全保障的宗旨和政策,负责提高员工的安全意识,组织有效安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实、有效;信息系统所有相关人员应普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全;
(六)系统方法、持续改进原则:按照系统工程的要求,识别和理解信息安全保障相互关联的层面和过程,采用管理和技术结合的方法,提高实现安全保障的目标的有效性和效率;安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性;
(七)分级保护原则:涉密信息系统等级划分需按照国家关于涉密计算机信息系统等级划分指南,结合本单位实际情况进行涉密信息系统定级。按等级划分标准确定信息系统的安全保护等级,实行分级保护;对多个子系统构成的大型信息系统,确定系统的基本安全保护等级,并根据实际安全需求,分别确定各子系统的安全保护等级,实行多级安全保护;
五、涉密信息系统保密管理的思路与方法
我国的涉密信息系统实行分级保护管理制度,即根据涉密程度,对涉密信息系统按照秘密级、机密级、绝密级进行分等级实施保护。目前,国家保密局已经制定发布了国家保密标准BMBl7--2022《涉及国家秘密的信息系统分级保护技术要求》和BMB20--2022《涉及国家秘密的信息系统分级保护管理规范》,从技术和管理两个方面,详细规定了涉密信息系统建设、使用和管理的保密要求。
涉密信息系统分级保护是国家信息安全等级保护的重要部分,其核心思想是“从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。”因此,涉密信息系统应该遵循国家保密标准规范,在分级保护的框架下,按照“规范定密,准确定级;分域分级,科学防护;风险评估,动态调整;技管并重,全面保障”的基本思路进行保密管理,具体方法为:
(一)涉密信息系统应该严格按照以系统分域定级、方案设计、工程实施、系统测评为中心环节的操作流程,积极组织开展涉密信息系统建设工作
1.涉密信息系统建设使用单位应按照信息密级、行政级别、业务类别、系统重要性和安全策略等因素划分安全域,并根据各安全域所处理信息的最高密级确定等级。
2.涉密信息系统建设使用单位应选择具有涉密信息系统集成资质单位进行承建,结合国家保密标准BMBl7—2022《涉及国家秘密的信息系统分级保护技术要求》和BMB20--2022《涉及国家秘密的信息系统分级保护管理规范》等相关标准,在风险评估的基础上,从技术和管理两个方面进行综合设计。保密工作部门应当参与方案审查论证,在系统总体安全保密性方面加强指导,严格把关。
3.涉密信息系统建设使用单位应按照BMBl8--2022《涉及国家秘密的信息系统工程监理规范》进行工程监理。在进行工程监理时,应选择具有涉密工程监理单项资质的单位或组织自身力量加强监督检查。
4.涉密信息系统在投入使用前,经过保密工作部门授权测评机构的安全保密测评和保密工作部门审批。涉密信息系统建设使用单位应按照测评机构的要求,提交测评所需的必要资料,并配合系统测评工作。
(二)涉密信息系统建设使用单位应该整合保密部门、信息化建设部门和其他相关部门力量,密切合作,各负其责,形成合力共同加强系统的保密管理工作
1.在系统定级方面,保密部门发挥准确掌握国家保密政策的优势,与信息化部门、业务工作部门一起研究确定系统和安全域所处理信息的最高密级,从而确定保护等级。
2.在方案设计方面,信息化部门利用熟悉技术的特点,按照分级保护技术要求和管理规范,组织开展分级保护方案的设计工作。保密部门应对总体方案进行监督、检查和指导,组织专家进行评审论证。
3.在工程实施方面,信息化部门应具体承担组织实施工作,并定期与保密部门对安全保密措施落实情况和工程进展情况监督、检查。4.在系统工程施工结束后,保密部门负责组织系统测评和系统审批工作,信息化部门密切配合。
5.在系统投入运行后,保密、信息化、密码、业务工作、保卫和人事等有关部门应按照“分工合作、各司其责”的原则,在满足基本管理要求的基础上,主要从人员管理、物理环境与设施管理、设备与介质管理、运行与开发管理和信息安全保密管理五个方面抓好系统应用中的日常管理,积极开展风险评估和保密监督检查,并做好系统废止阶段的善后工作。
六、涉密信息系统安全保密建议
(一)要树立起有效控制的思想。
保密的实质是什么?笔者认为保密的实质就是控制,要做到国家秘密在任何时候、任何情况下都受控。而做好控制的最有效方法就是尽一切可能缩小知悉范围,做到知悉必须以工作需要为原则。为检验控制的效果,则要做好全程登记工作,将所有知悉国家秘密的人和情况记录在案,做到可查、可追溯。
(二)要建立起一个高效的保密机制。
保密工作机制就是将保密工作各相关要素组合在一起,通过各要素之间的相互联系、相互制约、相互作用,使其向既定的保密工作目标自行运转。比如保密资格认证制度就是一个好的机制。它将军工单位承担武器装备科研生产任务与保密紧密联系起来,与单位生存发展紧密联系起来,通过开展达标活动,使保密工作按照相关标准的要求自行运转。在单位内部,将各项保密要求制定成保密检查标准,通过定期检查,量化打分,发现和改进企业保密管理的薄弱环节,同时将每位涉密人员平时的保密工作情况纳入年度综合考评,与其晋级、晋职、奖惩等紧密联系起来,激励每一位涉密人员自觉地做好保密工作。建立这样一个能够自行运转的系统,将从根本上解决做好保密工作的动力问题,由过去的让我做变成我要做,促使军工单位保密工作发生质的变化。
(三)要抓好保密工作三大体系建设
保密工作三大体系是指:保密组织管理体系,保密法规制度体系,保密技术防护体系。保密是一项管理工作,是需要有职能部门和专职人员开展的工作,且必须有经费的保障,建立保密组织管理体系是做好保密工作的基本条件和基本保障。保密法规制度是做好保密工作的重要基础和前提。保密法规制度体系的建立要做到各类涉密事项和任何涉密活动都有制度进行约束和控制。保密技术防护体系是做好保密工作的重要手段和措施。要将涉密区域和要害部门部位通过技术手段全面控制起来。安装必要的电视监控系统、门禁系统、区域红外报警系统等。
(四)要重视安全保密的管理工作
随着信息安全技术的发展,信息安全产品正在向智能、整合和管理方向发展,未来的涉密信息系统安全保密技术防范方案将会越来越完善。同时我们也应该注意到,如果没有强有力的管理来支持,再好的技术防范措施都会大打折扣,再好的技术防范产品也将成为摆设,因此涉密信息系统安全保密工作的重点还是在于管理,需要制定切实可行的规章制度,定期进行涉密信息系统的安全保密检查,发现问题及时整改,并严肃处理违规的责任人,从而不断强化员工的安全保密意识,使员工能够自觉遵守企业安全保密的规章制度。
七、结束语
传统的“规章制度建设”式保密管理方法已经不适应新的形势,“管理以技术为依托,技术靠管理来保障”的模式已经成新的发展趋势,因此必须按照“分级保护”和“技管并重”的原则开展涉密信息系统安全保密工作。
简介:
陈金文,男,工程师,武汉理工大学毕业,目前从事航宇公司PDM、VPM等涉密应用系统的实施、推广运维方面的技术工作。
联系方式:办公室 1097 手机 ***
第二篇:涉密信息系统资质保密标准
涉密信息系统集成资质保密标准 适用范围
本保密标准适用于涉密信息系统集成资质申请、审查与资质单位日常保密管理。定义
2.1 本标准所称涉密人员,是指由于工作需要,在涉密信息系统集成岗位合法接触、知悉和经管国家秘密事项的人员。
2.2 本标准所称涉密载体,主要指以文字、数据、符号、图形、图像、声音等方式记载国家秘密信息的纸介质、磁介质、光盘等各类物品。磁介质载体包括计算机硬盘、软盘和录音带、录像带等。
2.3 本标准所称信息系统是指由计算机及其相关和配套设备、设施构成的,按照一定的应用目标和规则存储、处理、传输信息的系统或者网络。
2.4 本标准所称信息设备是指计算机及存储介质、打印机、传真机、复印机、扫描仪、照相机、摄像机等具有信息存储和处理功能的设备。
保密标准
3.1 保密标准实施原则
3.1.1 积极防范,突出重点,严格标准,依法管理。3.1.2 业务工作谁主管,保密工作谁负责,保密责任落实到人。
3.1.3 具备健全的管理体系,保密管理与生产经营管理相融合。
3.1.4 开展保密风险评估与管理。3.1.5 建立保密管理的持续改进机制。3.2 保密组织机构及职责 3.2.1 保密工作领导小组
3.2.1.1 资质单位应当成立保密工作领导小组,为本单位保密工作领导机构。
甲级资质单位应当设置专职保密总监,保密总监为单位领导班子成员。
3.2.1.2 甲级资质单位保密工作领导小组由单位法定代表人(或主要负责人)、保密总监和有关部门主要负责人组成。组长由法定代表人(或主要负责人)担任,副组长由保密总监担任,保密工作领导小组各成员应当有明确的职责分工。
乙级资质单位保密工作领导小组由单位法定代表人(或主要负责人)、分管保密工作负责人和有关部门主要负责人组成。组长由法定代表人(或主要负责人)担任,副组长由分管保密工作负责人担任,保密工作领导小组各成员应当有明确的职责分工。
3.2.1.3 保密工作领导小组实行例会制度。例会应当组织学习党和国家保密工作方针政策及相关保密法律法规;研究部署、总结本单位的保密工作;解决保密工作中的重要问题。例会每年不少于2次,会议应当作记录并形成会议纪要。
3.2.1.4 法定代表人(或主要负责人)为本单位保密工作第一责任人,对本单位保密工作负全面责任,履行下列职责:
(1)保证国家相关保密法律法规在本单位贯彻落实;(2)监督检查保密工作责任制的落实情况,解决保密工作中的重要问题;
(3)审核、签发单位保密管理制度;
(4)为保密工作提供人力、财力、物力等条件保障。3.2.1.5 保密总监或者分管保密工作负责人对本单位保密工作负具体领导和监督责任,履行下列职责:
(1)组织制定单位保密管理制度、保密工作计划,审定保密工作总结;
(2)监督保密工作计划落实情况,组织保密检查;(3)为保密管理办公室和保密管理人员履行职责提供保障。
3.2.1.6 涉密信息系统集成业务部门负责人对本部门的保密管理负直接领导责任,履行下列职责:
(1)严格按照工作需要,控制业务人员在工作中知悉涉密信息的范围和程度;
(2)组织开展保密风险评估,修订生产管理制度,优化业务流程,制定保密工作方案,落实保密风险防控措施;
(3)监督检查涉密信息系统集成业务管理和保密制度执行情况,督促业务人员履行保密职责;
(4)及时发现、研究解决保密管理中存在的问题。3.2.2 保密管理办公室
3.2.2.1 资质单位应当设立保密管理办公室,为本单位的职能部门,负责人由中层以上管理人员担任。
甲级资质单位保密管理办公室应当为专门机构并配备专门的保密管理人员,乙级资质单位可指定有关机构承担保密管理办公室职能。
3.2.2.2 保密管理办公室负责本单位保密工作的日常管理,履行下列职责:
(1)组织落实保密工作领导小组的工作部署,提出工作建议,拟定工作计划、总结;
(2)制定、修订保密制度;(3)参与单位各项管理制度的制定、修订工作;(4)审查、确定保密要害部门部位,指导、监督保密设施设备的建设、使用和维护管理;
(5)组织开展保密宣传教育和培训;
(6)对涉密人员履行保密职责情况进行指导监督;(7)对本单位各部门保密管理有关情况进行指导监督;(8)组织开展保密检查,针对存在的问题提出整改意见,并督促落实;
(9)报告、配合查处泄密事件;(10)管理保密工作档案;
(11)承办保密资质申请、延续、审查、事项变更登记等工作;
(12)承办保密工作领导小组交办的其他任务。3.2.2.3 保密管理人员应当具备下列条件:(1)具备良好的政治素质;
(2)熟悉保密法律法规,掌握保密知识技能,具有一定的管理能力;
(3)熟悉本单位业务工作和保密工作情况;(4)通过保密行政管理部门组织的培训和考核。3.3 保密制度
3.3.1 资质单位应当建立规范、操作性强的保密制度,并根据实际情况及时修订完善。保密制度的具体要求应当体现在单位相关管理制度和业务工作流程中。
3.3.2 保密制度包括以下主要方面:(1)保密工作机构设置与职责;(2)保密教育培训;(3)涉密人员管理;(4)涉密载体管理;
(5)信息系统、信息设备和保密设施设备管理;(6)涉密信息系统集成场所等保密要害部位管理;(7)涉密项目实施现场管理;(8)保密监督检查;(9)保密工作考核与奖惩;(10)泄密事件报告与查处;(11)保密风险评估与管理;(12)资质证书使用与管理。3.4 保密风险评估与管理
3.4.1 资质单位应当定期对系统集成业务、人员、资产、场所等主要管理活动进行保密风险评估。各业务部门应当按照业务流程对保密风险进行识别、分析和评估,提出具体防控措施。
3.4.2 资质单位应当将国家保密法规和标准要求、保密风险防控措施融入到管理制度和业务工作流程中,并建立相应的监督检查机制。
3.5 涉密人员管理
3.5.1 资质单位应当对从事涉密业务的人员进行审查,符合条件的方可将其确定为涉密人员。涉密人员应当通过保密教育培训,并签订保密承诺书后方能上岗。
3.5.2 涉密人员应当保守国家秘密,严格遵守各项保密规章制度,并符合以下基本条件:
(1)遵纪守法,具有良好的品行,无犯罪记录;(2)资质单位正式职工,并在其他单位无兼职;(3)社会关系清楚,本人及其配偶为中国境内公民。3.5.3 涉密人员根据所在岗位涉密情况分为核心、重要、一般三个等级,实行分类管理。涉密等级发生变化时,应当履行审批程序。
3.5.4 资质单位与涉密人员签订的劳动合同或补充协议,应当包括以下内容:
(1)涉密人员的权利与义务;
(2)涉密人员应当遵守的保密纪律和有关限制性规定;(3)因履行保密职责导致涉密人员利益受到损害,资质单位给予补偿的规定;
(4)涉密人员因违反保密规定而被无条件调离涉密岗位或给予辞退等处罚的规定;
(5)因认真履行保密职责,资质单位给予涉密人员奖励的规定;
(6)涉密人员应当遵守的其他有关事项。
3.5.5 资质单位应当将涉密人员基本情况和调整变动情况向所在地省、自治区、直辖市保密行政管理部门备案。
3.5.6 在岗涉密人员每年参加保密教育与保密知识、技能培训的时间不少于10个学时。
3.5.7 资质单位应当对在岗涉密人员进行定期考核评价。
3.5.8 资质单位应当向涉密人员发放保密补贴。3.5.9 涉密人员离岗离职须经资质单位保密审查,签订保密承诺书,并按相关保密规定实行脱密期管理。
3.5.10 涉密人员因私出国(境)的,应当经资质单位同意,出国(境)前应当经过保密教育。擅自出境或逾期不归的,资质单位应当及时报告保密行政管理部门。
3.5.11 涉密人员泄露国家秘密或严重违反保密规章制度的,应当调离涉密岗位,并追究其法律责任。
3.6 涉密载体管理
3.6.1 资质单位应当按照工作需要,严格控制涉密载体的接触范围和涉密信息的知悉程度。3.6.2 资质单位应当建立涉密载体台帐,台帐应当包括载体名称、编号、密级、保密期限等信息。
3.6.3 接收、制作、交付、传递、保存、维修、销毁涉密载体,应当遵守国家相关保密规定,履行签收、登记、审批手续。
3.6.4 复制本单位产生的涉密载体,应当经单位相关部门审批;复制其他涉密载体,应当经涉密载体制发机关、单位或所在地省、自治区、直辖市保密行政管理部门批准。涉密载体复制场所应当符合保密要求,采取可靠的保密措施;不具备复制条件的,应当到保密行政管理部门审查批准的定点单位复制。
3.6.5 机密、秘密级涉密载体应当存放在密码文件柜中,绝密级涉密载体应当存放在密码保险柜中。存放场所应当符合保密要求。
3.6.6 未经批准,个人不得私自留存涉密载体和涉密信息资料。确因工作需要保存的,应当建立个人台帐,内容包括载体密级、留存原因、审批部门或人员、留存期限等内容。
3.6.7 携带涉密载体外出,应当履行审批手续,采取可靠的保密措施,并确保涉密载体始终处于携带人的有效控制下。
3.6.8 资质单位应当定期对涉密载体进行清查。需要销毁的涉密载体应当履行清点、登记、审批手续,送交保密行政管理部门设立的销毁工作机构或者保密行政管理部门指定的单位销毁;确因工作需要,自行销毁少量秘密载体的,应当使用符合国家保密标准的销毁设备和方法。
3.7 信息系统与信息设备管理
3.7.1 涉密信息系统的规划、建设、使用等应当符合国家有关保密规定。涉密信息系统应当按照国家保密规定和标准,制定分级保护方案,采取身份鉴别、访问控制、安全审计、边界安全防护、信息流转控制等安全保密防护措施。
3.7.2 涉密信息设备应当符合国家保密标准,有密级、编号、责任人标识,并建立管理台帐。
3.7.3 涉密计算机、移动存储介质应当按照存储、处理信息的最高密级进行管理与防护。
3.7.4 涉密信息设备的使用应当符合相关保密规定。禁止涉密信息设备接入互联网及其他公共信息网络;禁止涉密信息设备接入内部非涉密信息系统;禁止使用非涉密信息设备和个人设备存储、处理涉密信息;禁止超越计算机、移动存储介质的涉密等级存储、处理涉密信息;禁止在涉密计算机和非涉密计算机之间交叉使用移动存储介质;禁止在涉密计算机与非涉密计算机之间共用打印机、扫描仪等信息设备。3.7.5 涉密信息设备应当采取身份鉴别、访问控制、违规外联监控、安全审计、移动存储介质管控等安全保密措施,并及时升级病毒和恶意代码样本库,定期进行病毒和恶意代码查杀。
3.7.6 采购安全保密产品应当选用经过国家保密行政管理部门授权机构检测、符合国家保密标准要求的产品,计算机病毒防护产品应当选用公安机关批准的国产产品,密码产品应当选用国家密码管理部门批准的产品。
3.7.7 涉密信息打印、刻录等输出应当相对集中、有效控制,并采取相应审计措施。
3.7.8 涉密计算机及办公自动化设备应当拆除具有无线联网功能的硬件模块,禁止使用具有无线互联功能或配备无线键盘、无线鼠标等无线外围装置的信息设备处理国家秘密。
3.7.9 涉密信息设备的维修,应当在本单位内部进行,并指定专人全程监督,严禁维修人员读取或复制涉密信息。确需送外维修的,须拆除涉密信息存储部件。涉密存储介质的数据恢复应当到国家保密行政管理部门批准的单位进行。
3.7.10 涉密信息设备改作非涉密信息设备使用或淘汰处理时,应当将涉密信息存储部件拆除。淘汰处理涉密存储介质和涉密信息存储部件,应当按照国家秘密载体销毁有关规定执行。
3.7.11 涉密计算机及移动存储介质携带外出应履行审批手续,带出前和带回后,均应当进行保密检查。
3.8 涉密办公场所保密管理
3.8.1 资质单位的涉密办公场所应当固定在相对独立的楼层或区域。
3.8.2 涉密办公场所应当安装门禁、视频监控、防盗报警等安防系统,实行封闭式管理。监控机房应当安排人员值守。
3.8.3 建立视频监控的管理检查机制,资质单位安全保卫部门应当定期对视频监控信息进行回看检查,保密管理办公室应当对执行情况进行监督。视频监控信息保存时间不少于3个月。
3.8.4 门禁系统、视频监控系统和防盗报警系统等应当定期检查维护,确保系统处于有效工作状态。
3.8.5 涉密办公场所应当明确允许进入的人员范围,其他人员进入,应当履行审批、登记手续,并由接待人员全程陪同。
3.8.6 未经批准,不得将具有录音、录像、拍照、存储、通信功能的设备带入涉密办公场所。
3.9 涉密信息系统集成项目管理 3.9.1 资质单位应当按照资质等级、类别承接涉密信息系统集成业务。不得将资质证书出借或转让。不得将承接的涉密信息系统集成业务分包或转包给不具备相应资质的单位。
3.9.2 资质单位与其他单位合作开展涉密信息系统集成业务的,合作单位应当具有相应涉密信息系统集成资质,且应当取得委托方书面同意。
3.9.3 资质单位承接涉密信息系统集成项目的,应当在签订合同后,向项目所在地省、自治区、直辖市保密行政管理部门备案,接受保密监督管理。
涉密信息系统集成项目完成后,资质单位应当向项目所在地省、自治区、直辖市保密行政管理部门书面报告项目建设情况。
3.9.4 资质单位应当对涉密信息系统集成项目实行全过程管理,明确岗位责任,落实各环节安全保密措施,确保管理全程可控可查。
3.9.5 资质单位应当按照涉密信息系统集成项目的密级,对用户需求文档、设计方案、图纸、程序编码等技术资料和项目合同书、保密协议、验收报告等业务资料是否属于国家秘密或者属于何种密级进行确定。属于国家秘密的,应当标明密级,登记编号,明确知悉范围。3.9.6 涉密信息系统集成项目实施期间,项目负责人对项目的安全保密负总体责任,应当按照工作需要,严格控制涉密载体的接触范围和涉密信息的知悉程度。
3.9.7 资质单位应当对参与涉密信息系统集成项目的管理人员、技术人员和工程施工人员进行登记备案,对其分工作出详细记录。
3.9.8 涉密信息系统集成项目实施验收后,资质单位应当将涉密技术资料全部移交委托方,不得私自留存或擅自处理。需要保留的业务资料,应当严格按照有关保密规定进行管理。
3.9.9 涉密信息系统集成项目的设计方案、研发成果及有关建设情况,资质单位及其工作人员不得擅自以任何形式公开发表、交流或转让。
3.9.10 资质单位在与境外人员或机构进行交流合作时,应当严格遵守有关保密规定,交流材料不得涉及涉密信息系统集成项目的相关情况。
3.9.11 资质单位利用涉密信息系统集成项目申请专利,应当严格遵守有关保密规定。
秘密级和机密级的项目,应当按照法定程序审批后申请保密专利,符合专利申请条件的,应当按照有关规定办理解密手续;绝密级的项目,在保密期限内不得申请专利或者保密专利。
3.10 涉密项目实施现场管理
3.10.1 资质单位进入委托方现场进行涉密信息系统集成项目开发、工程施工、运行维护等应当严格执行现场工作制度和流程。
3.10.2 从事现场项目开发、工程施工、运行维护的人员应当是资质单位确定的涉密人员。
3.10.3 现场项目开发、工程施工、运行维护应当在委托方的监督下进行。未经委托方检查和书面批准,不得将任何电子设备带入涉密项目现场。
3.10.4 资质单位应当对现场项目开发、工程施工、运行维护的工作情况进行详细记录并存档备查。
3.11 宣传报道管理
3.11.1 资质单位通过媒体、互联网等渠道对外发布信息,应当经资质单位相关部门审查批准。
3.11.2 资质单位涉及涉密信息系统集成项目的宣传报道、展览、公开发表著作和论文等,应当经委托方批准。
3.12 保密检查
3.12.1 资质单位应当定期对保密管理制度落实情况、技术防范措施落实情况等进行检查,及时发现和消除隐患。
3.12.2 保密检查应当进行书面记录,内容包括:检查时间、检查人、检查对象、检查事项、存在问题、整改措施及落实情况等。
3.13 泄密事件处理
3.13.1 资质单位发生泄密事件,应当立即采取补救措施,并在发现后24小时内书面向所在地保密行政管理部门报告。内容包括:
(1)所泄露信息的内容、密级、数量及其载体形式;(2)泄密事件的发现经过;
(3)泄密事件发生的时间、地点和经过;
(4)泄密责任人的基本情况;
(5)泄密事件造成或可能造成的危害;(6)已采取或拟采取的补救措施。
3.13.2 资质单位应当配合保密行政管理部门对泄密事件进行查处,不得隐瞒情况或包庇当事人。
3.14 保密工作考核与奖惩
3.14.1 资质单位应当将员工遵守保密制度、履行保密职责的情况纳入绩效考核内容,考核结果作为发放保密补贴和评选先进的依据。
3.14.2 资质单位应当对严格执行保密规章的集体和个人给予表彰奖励。
3.14.3 资质单位应当对违反保密法规制度的有关责任人给予相应处罚;泄露国家秘密的,应当按照有关规定作出处理。
3.15 保密工作经费
3.15.1 保密工作经费分为保密管理经费和保密专项经费。保密管理经费用于单位保密宣传教育培训、发放保密补贴、奖励保密先进、保密检查等日常保密管理工作;专项经费用于保密设施设备的建设、配备、维护等。
3.15.2 甲级资质单位保密管理经费,标准不少于5万元;乙级资质单位保密管理经费,标准不少于3万元。保密管理经费应当单独列入单位财务预算,专款专用,保证开支。
3.15.3 保密专项经费应当按实际需要予以保障。3.16 保密工作档案
3.16.1 资质单位应当建立保密工作档案,记录日常保密工作情况。
3.16.2保密工作档案的内容应当真实、完整,全面反映保密工作情况,并能够与相关工作档案相互印证。
3.17 本保密标准未明确涉密事项的保密管理,须严格执行国家有关保密规定。
第三篇:重点涉密人员保密管理
重点涉密人员保密管理
一、党政领导干部保密工作责任制
领导干部的保密责任制是指担任县处级以上(各县处级)领导职务的干部,在对自己主管或者分管的业务工作负责的同时,必须对其中的保密工作承担领导和管理责任。总的原则是:保密工作谁主管,谁负责;主管什么业务,同时领导和管理该项业务工作中的保密工作;业务工作管到哪一级,其中的保密工作也同时管到哪一级。
二、党政领导干部落实保密工作责任制的分工
各级党政主要领导对本地区、本部门的保密工作负有领导责任;分管保密工作的领导,对本地区、本部门的保密工作负有直接领导责任;分管其他方面工作的领导,对分管业务工作范围内的保密工作负有领导责任。
三、党政领导干部必须遵守的保密守则
1、不泄露党和国家秘密;
2、不在无保障的场所阅办、存放秘密文件、资料;
3、不擅自或指使他人复制、摘抄、销毁或私自留存带密级的文件、资料。确因工作需要复印并按规定请示批准复印的,复印件应按同等密级文件管理;
4、不在非保密笔记本或未采取保密措施的电子信息设备中记录、传输和储存党和国家秘密事项;
5、不携带秘密文件、资料进入公共场所或进行社交活动,特别情况确需携带时,须经本单位保密部门或主管领导批准,并由本人或指定专人严格保管;
6、不准用无保密措施的通信设施和普通邮政传递党和国家秘密;
7、不准与亲友和无关人员谈论党和国家秘密,管好身边工作人员和配偶、子女;
8、不在私人通信及公开发表的文章、著作、讲演中涉及党和国家秘密;
9、不在涉外活动或接受记者采访中涉及党和国家秘密,确因工作需要涉及或提供党和国家秘密的,应事先报经有相应权限的机关批准;
10、不在出国访问、考察等外事活动中携带涉及党和国家秘密的文件、资料或物品,确因工作需要携带的,须按有关规定办理审批手续,并采取严格的保密措施。
四、党政领导干部必须履行的保密工作职责
1、健全和完善保密组织,由一名领导主持保密委员会的工作,选配保密干部从事日常的保密管理工作;
4、对玩忽职守、拒不履行保密工作领导职责,造成严重泄密后果的党政领导干部,要依法追究其法律责任。
六、对保密干部的基本要求
根据新时期保密工作的任务,保密干部在知识结构和业务能力方面应逐步达到下列要求:
1、了解我国保密工作的历史和优良传统;
2、明确保密工作在革命战争时期和社会主义现代化建设中的地位和作用;
3、明确党对保密工作的指导思想以及党和国家有关保密工作的方针、政策;
4、熟悉国家有关保密法律、法规、规章以及其他法律中有关保密的条款规定,熟悉本地区、本部门、本单位的保密制度;
5、明确保密工作部门和保密干部的职责和任务;
6、熟悉有关国家秘密的基本知识以及划定保密范围,确定国家秘密事项及其密级、保密期限和解密的基本原则、法律程序和工作方法;
7、熟悉本地区、本部门、本单位保密工作的重点,可能造成泄密的渠道及相应的防范措施;
8、了解国际窃密与反窃密斗争形势,了解重点国家和地区谍报机构对我进行窃密活动的主要手段(包括窃密技术手段),以及防范的基本措施;
9、了解国际经济、科技竞争势态及其情报活动的方法手段和境外经济、科技、新闻及其他机构获取我国情报的主要手段和方法,及基本的防范措施;
人有权提出处理意见。
八、国家工作人员保守国家秘密守则的基本内容
1、不该说的秘密不说;
2、不该问的秘密不问;
3、不该看的秘密不看;
4、不在公共场所谈论秘密;
5、不在私人信息交流中涉及秘密;
6、不擅自携带秘密参加涉外活动;
7、不携带涉密载体出入公共场所或进行社交活动;
8、不在无保密保障的地方阅办、存放秘密文件资料;
9、不擅自复制、留存、销毁涉密载体;
10、不在普通电话、普通传真、无线通信传输秘密,不在互联网上存储、传递、处理秘密文档。
勤劳的蜜蜂有糖吃
二〇一〇年六月九日
第四篇:非涉密网络保密管理
关于认真做好部机关非涉密网络保密管理的
自查报告
为进一步加强非涉密网络保密管理,按照部机关《关于认真做好非涉密网络保密管理全面自查的通知》要求,我处积极开展了非涉密网络保密管理自查自纠工作,现报告如下:
一、基本情况
我处目前共有非涉密网络1个,即市委机关公用网络,共连接非涉密计算机5台。我处所有电脑均配备了杀毒软件,定期杀毒与升级。对于非涉密单机的管理,我们明确了非涉密计算机不得处理涉密信息。对于计算机磁介质的管理,采取专人保管、涉密文件单独存放,严禁携带存有涉密内容的磁介质到上网的计算机上加工、储存、传递处理文件。
二、保密管理情况
我处在非涉密网络保密管理的自查中,对非涉密网络处理信息类别进行了明确规定,制定了符合国家有关保密法律法规的非涉密网络安全保密管理制度。并对非涉密网络定期开展了保密检查,确保万无一失。
三、保密制度落实情况
(一)以宣传教育为主导,强化保密意识。
为加强计算机及其网络的保密管理,防止计算机及其网络泄密事件的发生,我处采取多种方式,多种渠道对计算机保密相关人员进行宣传教育。认真组织学习《国家保密法》、《中华人民共和国国家安全法》、《中华人民共和国保守国家秘密法实施办法》,并要求结合实际贯彻落实。非涉密计算机利用屏幕保护时间宣传、张贴标语等明确责任人及使用范围,严禁在非涉密计算机上存储、处理、传递涉密文件信息资料。
(二)以制度建设为保障,严格规范管理。
加强制度建设,是做好计算机网络保密管理的保障。为了构筑科学严密的制度防范体系,不断完善各项规章制度,规范计算机及其网络的保密管理,严禁在非涉密服务器和计算机终端上存储、处理涉密文件信息资料。
(三)以督促检查为手段,堵塞管理漏洞
为了确保计算机及其网络保密管理工作各项规章制度的落实,及时发现计算机网络保密工作中存在的泄密隐患,堵塞管理漏洞,我处十分重视对计算机及其网络的保密工作的督促检查,采取自查与抽查相结合等方式,对计算机及其网络管理制度的落实情况、涉密网络的管理和使用情况、防范措施的落实情况进行检查。
第五篇:涉密网络安全保密防护和管理
涉密网络安全保密防护和管理
随着信息化和工业化步伐的不断加快,互联网已经融入社会生活方方面面,深刻改变了人们的生产和生活方式,无纸化办公、网络化办公已经成为社会主流。一些政府机关、科研院所、军工企业等单位日常工作中需要存储和处理大量涉密信息,对网络和信息系统的依赖性不断增强,泄密渠道和机会大大增加,由于网络安全漏洞和人为管理疏忽而导致的安全危机、经济损失、重要资料泄密等重大事件层出不穷,因此网络保密管理尤其是涉密网络安全保密防护和管理工作成为保密工作的重中之重。
涉密网络安全保密隐患
1.违规外联。涉密网络严禁和互联网连接,但是有些工作人员贪图便利,采用断开内网连接的方式违规将计算机接入互联网,甚至直接将接入涉密网的计算机同时又通过拨号、宽带和无线等方式接入互联网,破坏了内外网的物理隔离,极有可能将病毒、木马、后门等带入内网,导致黑客入侵并把涉密计算机作为跳板,渗透到内部网络,给涉密网络带来非常严重的危害和后果。
2.计算机端口滥用。涉密网络内部使用的涉密计算机的光驱、USB接口、红外接口等很容易被违规接入未经授权批准的外接设备,然后利用“信息摆渡”技术实现在物理隔离的两台计算机上的信息传递,在此过程中很容易造成信息泄漏或致使涉密计算机感染病毒。
3.权限失控。在涉密网络中如果没有使用用户身份鉴别和权限控制措施,工作人员可以毫无障碍的调阅出高出自身知悉范围内的涉密信息,从而导致泄密。“棱镜”事件就是一件典型的权限失控导致的泄密事件。
4.系统漏洞。系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或错误,这些漏洞成为入侵者进入计算机或网络的一个“后门”,可通过植入木马、病毒等方式来攻击或控制整个计算机和网络,窃取其中的涉密信息。由于涉密网络与互联网物理隔离,工作人员不便于进行系统补丁升级,导致这些漏洞无法得到及时修补,极易被黑客所利用。
5.人为因素。一些单位的工作人员保密意识不强,在工作中没有遵循基本的安全防范规则操作造成泄密,例如涉密计算机不按规定设置口令或者口令设置过于简单容易被破解、没有定期升级系统软件或病毒库等。此外还有一些由于保密技术知识缺乏或操作失误导致的泄密,例如管理员对防火墙配置不当为外来的程序攻击创造了机会,计算机中的硬盘或某些文件夹被设置成共享状态,使非法人员通过操作系统提供的功能非常容易地下载到这些计算机硬盘中的文件等。
涉密网络安全保密防护技术
1.虚拟局域网技术。虚拟局域网技术可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组,不同的虚拟局域网之间不能进行相互的联系和通讯,这就避免了病毒感染和黑客入侵。此外虚拟局域网技术中对于交换机端口的划分操作简单灵活,这就使得在涉密网络中网络设备的灵活移动成为可能,单位不同部门可以规划到不同的虚拟局域网中来,既方便了数据的传输、信息的共享,又提高了涉密网络的安全性。
2.防火墙系统。防火墙系统是计算机与内部网络或内部网络与外部网络之间安全的屏障,配置防火墙是实现涉密网络安全最基本、最有效的安全措施之一。利用防火墙对涉密网络进行安全域划分,禁止不同虚拟局域网在非应用系统使用时相互访问,同时在交换机配置阶段,就进行端口隔离,这样同部门同虚拟局域网之间也存在了基础的安全网络防护,可实现重点服务器网段和非密服务区网段隔离,从而降低重要数据或敏感信息安全问题对整个涉密网络造成的影响。此外,防火墙系统还能实时地记录所有用户访问信息的日志情况,并对涉密网络的流量情况进行统计。一旦发生网络异常现象,防火墙系统还能及时报警,确保涉密网络的安全稳定。
3.入侵检测系统。入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它可以在不影响网络性能的情况下对网络进行监测,提供内部攻击、外部攻击和误操作时的实时保护。在涉密网络中,可以在需要保护的服务器网段上部署入侵检测系统,实时监视各种对服务器的访问请求并及时将信息反馈给控制台。
4.访问控制技术。访问控制是限制已授权的用户、程序、进程或计算机网络中的其他的系统访问本系统的资源的过程,它是涉密网络安全防护的主要核心策略。通常在涉密网络中实施访问控制的策略是在交换机的某个端口上绑定合法的计算机MAC地址,所有未在该端口上绑定的MAC地址全部为非法入口,会在进入该端口时予以屏蔽,这样就杜绝了非法MAC地址的入侵,可以防止非授权的计算机从数据链路层进入涉密网络。
5.漏洞扫描技术。漏洞扫描技术是指通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测技术。它和防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过漏洞扫描,网络管理员能了解网络的安全设置和运行的应用服务,及时发现网络内计算机与服务器等网络设备的各种漏洞和隐患,如端口和服务、系统漏洞、弱口令及共享文件等,并给出修正建议。此外,当有计算机接入涉密网络中时,还可以通过扫描计算机的系统漏洞,自动对入网计算机进行系统补丁升级,确保所有接入涉密网络的计算机系统漏洞都能及时得到修复,降低计算机被入侵攻击的风险。
6.身份鉴别和授权。身份鉴别是保证涉密网络安全的重要措施。经过身份鉴别进入涉密网络的合法用户,需要对其访问系统资源的权限进行限制。设置访问控制应当遵循“最小授权原则”,即在应当授权的范围内有权使用资源,非授权范围内无权使用资源。并且在授权时按照该人员的最高涉密等级进行身份认证授权。在涉密网络中,工作人员的各种操作行为均需进行个人身份鉴别。
7.涉密计算机监控和审计。涉密计算机监控是指通过安全策略对受控计算机的移动存储设备、外部连接设备、网络连接等输入输出端口进行监控,防止非法文件拷贝、打印、扫描、非法外联等安全事件的发生,对于正在发生的高危行为予以及时制止或预警。涉密计算机审计是指记录涉密计算机用户的实际操作,包括计算机访问应用系统情况、文件的拷贝打印操作、病毒感染情况、擅自连接互联网情况、非工作软件的安装和运行等内容,通过分析日志,能够在事后有效发现用户的违规操作或非法入侵行为,以便管理人员及时发现问题以及事后追究责任。
8.数字加密和数字签名。数据加密和数字签名技术是提高涉密网络安全性的必要手段。数据加密技术可以用于涉密文件的加密上,通过公钥、密钥的分发确保文件即使被盗取也无法解密。数字签名是利用密码技术生产一系列符号和代码组成电子密码进行签名,来代替书写签名和印章。将数字签名添加到文件正文中后,能够保证文件的机密性、发送者身份真实性、文件数据的完整性和发送者对自己行为的不可否认性,构造一种更加完善、高强度的文件加密方案。
9.电磁泄漏防护。涉密网络电磁辐射主要有四个因素产生:显示器辐射、通信线路辐射、主机辐射、输出设备(打印机)辐射。这些设备是依靠高频脉冲电路工作的,由于电磁场的变化,必然要向外辐射电磁波。这些电磁波会把计算机中的信息带出去,窃密者只要具有相应的接收设备,就可以通过接收电磁波从中窃取涉密信息。针对电磁泄漏可采用的防护措施有选用低辐射设备、利用噪声干扰源、距离防护、电磁屏蔽等。
10.容灾备份技术。涉密网络中的数据安全是重中之重,但由于敌对势力、自然灾害或其他网络、硬软件故障、操作失误、病毒等因素的影响,随时可能导致数据丢失、破坏、业务中断等灾难事故的发生。容灾技术可以保证在遭遇灾害时信息系统能正常运行,实现业务连续性的目标,备份技术可以应对灾难来临时造成的数据丢失问题。在具体操作中,容灾备份技术通常是将系统变化发生时的每个时间点都捕获下来,一旦系统发生写数据的动作,就实时复制将要写入存储的写操作,在写入本地磁盘的同时复制一份到本地或远程数据保护中心,这样一旦灾难发生,就可以从数据保护中心中获取丢失的数据。
涉密网络保密管理措施
1.完善涉密网络安全保密规章制度建设。规章制度是涉密网络安全管理的基础,只有建立了完善的安全管理制度,明确安全保密职责,才能确保涉密网络和涉密信息系统正常、有效运行。涉密单位应根据国家出台的相关规定,充分发挥创新精神,结合本单位的实际情况,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,建立有针对性的涉密网络安全管理制度,将原则性的标准进行细化,明确安全职责的划分和人员分工安排,让涉密网络的建设、管理、使用、维护等各个环节都有相应的制度作为保障。同时要对规章制度进行动态化的管理,及时发现规章制度中不适和问题,对规章制度的适应性进行改进。
2.提高工作人员保密意识和防护技能。工作人员的保密意识薄弱、保密防护技能缺乏是泄密事件发生的主因,由于网络信息安全技术知识更新换代频繁,一些工作人员平时不注重学习,认识不到安全威胁,保密意识淡漠,不注意个人的安全防护,认为涉密网络安全防护是信息中心的事儿,与他们毫无关系。还有部分人员存在侥幸心理,为图方便甚至不遵守相关安全规定,违规接入互联网或外部设备,给涉密网络防护带来较大隐患。因此需要加强工作人员的保密意识和网络安全意识,切实使更多的工作人员充分认清当前网络条件下的保密形势,认清网络与信息技术快速发展给保密工作带来的巨大负面影响,在思想上保持警惕,筑牢思想防线。同时要通过举办讲座、学习班等形式普及涉密网络安全防护知识,使其熟悉危害涉密网络安全的行为以及其基本原理,让安全操作成为一种工作习惯和自觉行为。
3.强化保密监督和检查。保密监督和检查是防止失泄密事件发生的有效手段。利用网络安全技术做好日常保密监督和检查是充分发挥涉密网络防护体系作用的一个重要的环节,具体措施有:对非授权存取、非授权外联、非授权接入采取必要的技术检测手段,作出及时响应,并形成日志记录;对涉密网络中的设备运行态进行监测,例如可以每周查看安全审计记录;每月对监控和审计系统的日志进行分析整理。通过日常化的保密监督和检查,能够及时发现存在的安全隐患与管理缺陷,及时消除安全隐患与改进管理,提升涉密网络安全防护的技术水平和保密管理水平。
涉密网络的安全保密防护和管理是一个涉及网络信息安全技术和保密管理的庞大课题,而且随着网络技术的不断发展,会出现越来越多新的安全保密防护问题,因此我们必须综合运用各种新技术新知识,不断完善和调整防护策略,才能构建一道网络信息安全的铜墙铁壁。
(单位:宁波国研软件技术有限公司)