1 引言

    隨著計算機網(wǎng)絡技術的飛速發(fā)展，計算機網(wǎng)絡日漸成為人類社會的一個重要組成部分，而計算機犯罪、計算機網(wǎng)絡攻擊也變得更加的普遍和猖獗。網(wǎng)絡安全成為了一個擺在我們面前亟待解決的問題。國有軍工企業(yè)作為承擔國家重大科研項目負責單位，其網(wǎng)絡信息安全更是受到國內外間諜的關注。

    國家保密局從2005年開始陸續(xù)頒發(fā)了涉及國家秘密的信息系統(tǒng)分級保護技術要求、管理規(guī)范和測評指南等一系列標準，對涉密信息系統(tǒng)安全保密技術防范和管理提出了更高的要求。軍工企業(yè)需要根據(jù)新的標準和要求，從管理上進行改進，形成閉環(huán)管理，從技術上進行提升，營造安全的網(wǎng)絡環(huán)境。從而有效地促進涉密信息系統(tǒng)保密工作整體水平的提升。

2 分級保護的背景

    近年來，我國國有企業(yè)特別是涉密企業(yè)的失泄密事件時有發(fā)生。2003年，某涉密單位一位主任，私自把50多張計算機軟盤帶回家，其中包括機密和秘密級的共16張，途中他將全部軟盤遺失在出租車上。遺失以后。他也未向單位匯報，等出租車司機送回時，軟盤已失控6天，致使公安部門對其進行了刑事拘留。同年，另一涉密科研單位一位專家接到一雜志社的約稿，專家請其博士生將修改后的稿件通過電子郵件發(fā)給雜志社，可是博士生發(fā)郵件時鼠標點錯了文件，誤把一份絕密文件稿發(fā)給了雜志社，至網(wǎng)絡檢查發(fā)現(xiàn)該郵件并刪除時，該文件已在網(wǎng)上停留了7個小時。再經(jīng)深一步調查發(fā)現(xiàn)，這份涉密文稿已在博士生的筆記本里存放了兩個月。某基地下屬4個單位的計算機網(wǎng)絡先后遭到非法訪問和惡意攻擊，甚至發(fā)生主頁被篡改的事故。此類失泄密事件層出不窮，究其原因，則多因管理上或技術上的漏洞，因此國家保密局結合我國當前的安全形勢先后頒發(fā)了相關管理、技術標準來對涉密信息進行規(guī)范。

    2005年，國家保密局印發(fā)了《涉及國家秘密的信息系統(tǒng)分級保護管理辦法》，頒布了‘涉及國家秘密的信息系統(tǒng)分級保護技術要求》。

    2007年，國家保密局頒發(fā)了《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》和《涉及國家秘密的信息系統(tǒng)分級保護測評指南》。

    2008年，國家保密局頒發(fā)了《涉及國家秘密的信息系統(tǒng)分級保護方案設計指南》。

    制度的頒發(fā)一定程度上強化了企業(yè)員工的安全意識，提高了軍工企業(yè)信息系統(tǒng)的安全性，但各個企業(yè)還應結合自己的實際情況構建本單位的分級保護制度和策略。

3 分級保護要點

    實施分級保護應同時關注技術和管理兩方面。如網(wǎng)絡安全風險分析、網(wǎng)絡安全策略制訂、網(wǎng)絡安全保密技術防范手段的建設和使用、信息設備和介質的安全保密管理以及安全防范體系的建設等方面。

    3．1技術方面

    技術是確保信息安全的硬件，如果沒有技術的支撐，信息安全將成為一句空話。技術上應主要關注邊界防護、電磁泄漏防護、終端主機防護等方面。

    3．1．1邊界防護

    在實施有效的內外網(wǎng)隔離的基礎上根據(jù)組織機構和管理流程的不同涉密程度劃分不同的安全域，并采取相應的邊界防護措施。如添加防火墻并設置相應的訪問策略；購買相應的安全軟件以防止未經(jīng)授權終端的非法接入等。

    3．1．2電磁泄露防護

    所有計算機均需配備電源隔離插座，重點人員終端計算機配備視頻信息保護機。根據(jù)單位從事科研項目和涉密等級，應建造屏蔽機房或在重點設備問配備屏蔽機柜，并為網(wǎng)絡線路設置線路傳輸干擾器。

    3．1．3終端主機防護

    終端主機是涉密信息生成、流轉的策源地，將終端主機管控好將事半功倍。應根據(jù)實際情況為系統(tǒng)部署終端安全登陸與監(jiān)控審計系統(tǒng)，采取身份鑒別措施，嚴格實施違規(guī)外聯(lián)管控、輸入輸出端口管控等。

    對系統(tǒng)內的終端計算機、服務器應定期采用安全掃描工具進行掃描，及時發(fā)現(xiàn)并消除存在的風險和隱患。

    對涉密移動存儲介質進行注冊和綁定，不同存儲介質只能在不同類型的計算機中使用，確保內外網(wǎng)絡的信息隔離。

    3．1．4傳輸線路管控

    單位園區(qū)中不同建筑、不同區(qū)域之間的網(wǎng)絡傳輸線路應根據(jù)可控程度選擇數(shù)據(jù)傳輸方式，明文傳輸或加密傳輸。

    3．1．5應用系統(tǒng)安全

    系統(tǒng)中在線運行的應用系統(tǒng)必須由具備保密資質的開發(fā)商開發(fā)，系統(tǒng)中的管理人員必須做到三員、三權分立，系統(tǒng)的主客體訪問控制粒度應合理、可控。

    3．1．6備份和容災系統(tǒng)

    關鍵網(wǎng)絡設備采取硬件備份措施，部署數(shù)據(jù)備份系統(tǒng)對系統(tǒng)中的涉密數(shù)據(jù)、關鍵數(shù)據(jù)進行自動備份。

    3．1．7網(wǎng)絡安全產(chǎn)品

    所有的網(wǎng)絡安全產(chǎn)品都必須進行統(tǒng)一嚴格管理，所有產(chǎn)品都必須經(jīng)過國家保密局的測評，而且在測評有效期之內。

    3．1．8設備與介質管理

    信息設備和介質的安全管理是保密管理的重點和難點，在涉番信息系統(tǒng)保密管理制度中戍實行“五統(tǒng)三定一集中”的管理原則，所有設備和介質從采購直至報廢的全生命周期均由特定部門按照該原則實行歸口管理。“五統(tǒng)”就是“統(tǒng)一購置、統(tǒng)一標識、統(tǒng)一編號、統(tǒng)一發(fā)放、統(tǒng)一保管”。“統(tǒng)一購置”即經(jīng)相關主管領導審批后由采購人員統(tǒng)一購置；“統(tǒng)一標識、統(tǒng)一編號”即入庫后統(tǒng)一按密級進行標識并編號：“統(tǒng)一發(fā)放”即由資產(chǎn)管理人員統(tǒng)一發(fā)放：“統(tǒng)一保管”指涉密移動存儲介質由部門保密員統(tǒng)一保管存放。“三定”是指“定位使用、定期檢查、定點維修”，“定位使用”即系統(tǒng)內的信息設備所使用的網(wǎng)絡端口和資源由特定部門按照規(guī)劃指定使用，移動存儲介質使用終端安全登陸與監(jiān)控審計系統(tǒng)進行注冊，只能在指定的授權終端計算機上使用；“定期檢查”即保密辦每個月對介質的使用情況進行檢查，信息中心每季度對信息設備和介質的分布狀況進行核查；“定點維修”即將涉密存儲部件拆除后涉密信息設備進行定點維修，涉密介質出現(xiàn)故障必須送國家保密上作部門指定的單位進行維修，不得交由銷售單位、生產(chǎn)廠家或社會普通維修地點進行維修。“一集中”即“集中銷毀”，涉密存儲部件或介質需要報廢處理的，必須經(jīng)審核批準后送交國家保密工作部門指定的涉密載體銷毀中心實施集中監(jiān)督銷毀。

    3．2管理方面

    信息安全的保障既要有堅實的技術保障，更要有嚴格的管理規(guī)范。隨著國內外間諜的不斷深入，在歷次泄密事件中，人為因素的比重越來越大。

    3．2．1人員管理

    涉密人員作為涉密信息的商接接觸者，必須進行嚴格的控制。應根據(jù)涉密人員的涉密程度。對其進行嚴格的區(qū)分。不同等級的人員只能接觸不同的信息，確保涉密信息的知悉范圍。

    對于網(wǎng)絡管理人員，也應該根據(jù)不同的職能給予不同的控制權限．且需要相互制約。

    3．2．2流程管理

    標準化的管理才會帶來快捷和便利，才會使得所有的審批具備可追溯性。國有企業(yè)的有關事項牽涉國家信息，必須經(jīng)過嚴格的審批流程。只有規(guī)范流程、量化管理才能真正杜絕管理上的泄密意外發(fā)生。

    3．2．5制度制定

    有了人員的日常行為管理，審批的流程化實施，必須依靠制度來進行固化和約束。對于國有企業(yè)，應該制定嚴格的人員管理制度、信息系統(tǒng)相關審批制度、設備和介質管理制度、應用系統(tǒng)管理制度、機房管理制度等。只有合理、嚴格、標準的制度才能夠規(guī)范人的行為，才能為信息安全的保證提供有效支撐。

4 實施分級保護工作的體會

    4．1領導重視，嚴格落實分級保護保密職責

    實施分級保護管理工作，領導重視是關鍵，只有領導的大力支持才能確保各種資源和部門之間的密切配合。國有企業(yè)信息化的建設能取得多方面的快速發(fā)展，主要得益于高層領導層對人員配備、資金安排和體系建設的大力支持和重視。在涉密網(wǎng)絡安全保密管理方面，只有領導重視制度的制定和落實、手段的建設和更新、設備與介質的管理等，才能使網(wǎng)絡安全管理縱向到底、橫向到邊、面面俱到，才能建市起健全、有效的計算機信息系統(tǒng)保密安全管理體系，才能使安傘保密職責得到層層落實。

    4．2規(guī)范流程，提高信息系統(tǒng)安全防范能力

    近年來，國家不斷提出對涉密計算機信息系統(tǒng)的新標準、新要求，國有企業(yè)應緊扣標準，在完善和修訂信息系統(tǒng)安全保密管理制度上下功夫，峰持按照嚴密周全和操作便利相結合、保密管理與科研流程相結合的原則，注重管理制度的可操作性、全面性、系統(tǒng)性，力求做到制度流程清晰明了、工作表單合理實用。只有這樣，才能收到涉密信息系統(tǒng)安全保密工作既管得住，又管得好的效果。

    4．3監(jiān)督檢查，加大分級保護的獎懲力度

    日常的監(jiān)督檢查考核，是確保信息系統(tǒng)安全的重要手段。國有企業(yè)應在保密監(jiān)督檢查中堅持做到“三嚴”，即嚴查、嚴罰、嚴究，力求通過保密監(jiān)督檢查樹立“零容忍度”觀念，即不容忍泄密行為、違規(guī)現(xiàn)象存在，不容忍國家安全和集體利益受到損害。對違反保密規(guī)定的行為應給予堅決查處、考核兌現(xiàn)。

    檢杏應定期和不定期相結合，且采取頻度高、覆蓋面廣的各種保密檢查方式。實踐證明，嚴格的檢查考核與處罰，很大程度上消除了人為因素產(chǎn)生的問題和隱患，是確保企業(yè)保密制度落實到位、執(zhí)行到位的關鍵。

    4．4加強培訓，形成員工自覺遵守制度的文化氛圍加強管理制度培，嚴格執(zhí)行管理制度，管好用好信息系統(tǒng)，是企業(yè)提高信息系統(tǒng)抗泄密風險能力的堅強基礎。

    一方面，培訓可提高信息系統(tǒng)管理人員和專業(yè)人員的綜合業(yè)務素質。有針對性地參加操作系統(tǒng)、網(wǎng)絡安全以及信息管理師等相關培訓可使信息化部門從業(yè)人員的技術和管理水平、安全保密監(jiān)管能力、防范以及處置能力都得到另一方面．培訓可提高全員的信息系統(tǒng)安全保密意識。通過網(wǎng)上宣傳、友情提醒、組織觀看有關錄像相結合的多種宣傳教育方式，在企業(yè)內部營造保密文化氛圍，使終端用戶知法、懂法，從被動約束向主動守法轉變。

5 小結

    信息技術飛速發(fā)展，信息系統(tǒng)分級保護管理工作責任重大，任重道遠，國有企業(yè)員工也應該不斷提高，增強認識。通過實踐，我們充分認識到，領導重視、全員參與是做好分級保護管理工作的前提，提高能力、持續(xù)改進、構建長效機制是提升分級保護管理工作水平的關鍵。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標題：國有企業(yè)涉密信息系統(tǒng)分級保護探討與體會

本文網(wǎng)址：http://www.oesoe.com/html/consultation/1083956494.html