下面是小编为大家整理的分级保护涉密信息,供大家参考。
分级保护涉密信息
一个计算机信息系统是否属于涉密信息系统,主要是看其系统里面的信息是否有涉及国家秘密的信息,不论其中的涉密信息是多还是少,只要是有(即存储、处理或传输了涉密信息),这个信息系统就是涉密信息系统。
但并非所有的涉密系统都是高安全等级的计算机信息系统 ;也并非所有的高安全等级的计算机信息系统都是涉密信息系统。
比如,一些企业的计算机信息系统为保护其商业秘密而采取了许多安全保密的技术和管理措施,达到了较高的安全等级,但由于其中没有涉及国家秘密的信息,就不能算是涉密信息系统;而有一些党政机关的涉密网,范围很小,只在一间或几间房内的若干台计算机联网,采取了较封闭的物理安全措施,与外界物理隔离,虽然没有采用更多的安全保密技术,系统安全等级并不是很高,但由于管理严密、安全可控,系统中又运行了国家秘密信息,这些系统就属于涉密信息系统。
——将涉密系统按照涉密程度分为绝密级、机密级、秘密级,实行分级保护。
分级保护针对的是涉密信息系统,根据涉密信息的涉密等级,涉密信息系统的重要性,遭到破坏后对国计民生造成的危害性,以及涉密信息系统必须达到的安全保护水平划分为秘密级、机密级和绝密级三个等级。
国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法和技术标准,目前,正在执行的两个分级保护的国家保密标准是 BMB17《涉及国家秘密的信息系统分级保护技术要求》 BMB20《涉及国家秘密的信息系统分级保护管理规范》。
国家保密科技测评中心是我国唯一的涉密信息系统安全保密测评机构。
——对涉密信息系统采取技术保护。修订草案规定:涉密信息系统应当按照国家保密标准配备保密设施、设备。保密设施、设备应当与涉密信息系统同步规划,同步建设,同步运行。涉密信息系统投入使用前,应当经设区的市级以上保密行政管理部门检查合格。
——对涉密信息系统中应当遵守的保密行为做了严格规范,修订草案规定:不得将涉密计算机、涉密存储设备接入互联网及其他公共信息网络;不得在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换;不得使用非涉密计算机、非涉密存储设备存储和处理国家秘密信息;不得擅自卸载涉密信息系统的安全技术程序、管理程序;不得将未经安全技术处理退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃;不得在未采取保密措施的有线和无线通信、互联网及其他公共信息网络中传递国家秘密。
根据国家保密局在《涉及国家秘密的信息系统分级保护测评指南》中对具体的技术及管理指标都有明确的要求,我就涉密信息系统分级关键部位简要阐述:
一、硬件隔离
首先涉密单位的涉密设备,包括计算机终端,传真集,IP 电话,复印机及移动存储设备等禁止接触除涉密网络以外的任何设备和网络。其次,涉密单位应该禁止一切无线传输设备,比如无线鼠标、键盘等外设还有笔记本无线及蓝牙等连网模块。
二、安保产品的选择
涉密信息系统中使用的安全保密产品一定要选用通过国家相关主管部门授权的测评机构检测通过的国产设备。这样的产品对以后涉密网络系统的稳定运行
起到相当大的作用。
三、涉密网络物理环境
涉密网络周边的环境要求安全域边界要明确,域之间的通信可控;禁止高密级信息由高等级安全域流向低等级安全域。一般采用防火墙、隔离网闸等边界安全设备或采用 VLAN 的方式划分不同安全域,对信息流向的控制,一般采用关键字过沱的手段。
四、机密级别划分
涉密网络中的信息都应有相应的密级标识,一般分为为非密、秘密、机密、绝密四个级别。对不同级别的信息应该有不同的保密措施。
五、硬件身份验证
首先,要对信息系统中的涉密服务器、终端以及应用程序的木地和远程登录进行用户身份鉴别,二是要对安全保密设备的本地和远程配置等操作也要进行用户身份鉴别,具体应根据自身特点采用不同的身份鉴别方式,其次,要采取多种技术手段确保身份鉴别的有效性、唯一性,如做好口令、密钥的管理工作,加强对系统管理员操作的审计等。
六、访问控制
做好控制访问,对涉密系统的用户,必须实行用户与账号的一一对应,对涉密信息,要做到信息的分类管理及授权访问。
七、加密传输信息
涉密网络在进行远程传输信息时,应采取加密保护措施,有专网或专门的涉密网络传输时也应该给信息进行加密,因为传输线路在外围环境中也有可能泄密。
八、电磁泄露防护
涉密网络在应采取电源隔离防护装置和电磁干扰器等电磁泄露发射防护措施。涉密单位应在核心涉密机房建立电磁屏蔽室、配置红黑电源隔离插座、加装线路传导干扰仪等。通过这些措施来减少泄密事件的发生。
九、资质单位的选择
涉密单位涉密网络建设时,应在各级保密 z 作部门的指导与监督下,按照《涉及国家秘密的计算机信息系统集成资质管理办法》有关要求选择好有资质的单位。按照要求完成网络建设和风险评估。
十、管理机构职贵和管理制度
涉密单位保密办或相关负责保密的部门要有明确的职责。其职责内容应包括涉密信息系统安全保密管理的各个方面。概括起来,就是组织指导、制订策略和制度、进行检查与评估、开展教育与培训、确定涉密人员职责和权限、日常管理和监督检查、对外协调与联系等,同时对涉密网络管理人员要分工明确。
涉密单位涉密网络应建立相应的安全保密责任制度,明确岗位职责并实行领导责任制度,层层落实,责任到人,从人员、物理设施与环境、设备与介质、运行与开发和信息保密五个方面制订相应的安全保密工作制度。
现在很多涉密单位的涉密网络都在建设,在做好分级保护的同时,一定要做好分级保护中的关键技术,从细节做起,让我们不再泄密。