1 引言
隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)日漸成為人類社會(huì)的一個(gè)重要組成部分,而計(jì)算機(jī)犯罪、計(jì)算機(jī)網(wǎng)絡(luò)攻擊也變得更加的普遍和猖獗。網(wǎng)絡(luò)安全成為了一個(gè)擺在我們面前亟待解決的問(wèn)題。國(guó)有軍工企業(yè)作為承擔(dān)國(guó)家重大科研項(xiàng)目負(fù)責(zé)單位,其網(wǎng)絡(luò)信息安全更是受到國(guó)內(nèi)外間諜的關(guān)注。
國(guó)家保密局從2005年開(kāi)始陸續(xù)頒發(fā)了涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求、管理規(guī)范和測(cè)評(píng)指南等一系列標(biāo)準(zhǔn),對(duì)涉密信息系統(tǒng)安全保密技術(shù)防范和管理提出了更高的要求。軍工企業(yè)需要根據(jù)新的標(biāo)準(zhǔn)和要求,從管理上進(jìn)行改進(jìn),形成閉環(huán)管理,從技術(shù)上進(jìn)行提升,營(yíng)造安全的網(wǎng)絡(luò)環(huán)境。從而有效地促進(jìn)涉密信息系統(tǒng)保密工作整體水平的提升。
2 分級(jí)保護(hù)的背景
近年來(lái),我國(guó)國(guó)有企業(yè)特別是涉密企業(yè)的失泄密事件時(shí)有發(fā)生。2003年,某涉密單位一位主任,私自把50多張計(jì)算機(jī)軟盤帶回家,其中包括機(jī)密和秘密級(jí)的共16張,途中他將全部軟盤遺失在出租車上。遺失以后。他也未向單位匯報(bào),等出租車司機(jī)送回時(shí),軟盤已失控6天,致使公安部門對(duì)其進(jìn)行了刑事拘留。同年,另一涉密科研單位一位專家接到一雜志社的約稿,專家請(qǐng)其博士生將修改后的稿件通過(guò)電子郵件發(fā)給雜志社,可是博士生發(fā)郵件時(shí)鼠標(biāo)點(diǎn)錯(cuò)了文件,誤把一份絕密文件稿發(fā)給了雜志社,至網(wǎng)絡(luò)檢查發(fā)現(xiàn)該郵件并刪除時(shí),該文件已在網(wǎng)上停留了7個(gè)小時(shí)。再經(jīng)深一步調(diào)查發(fā)現(xiàn),這份涉密文稿已在博士生的筆記本里存放了兩個(gè)月。某基地下屬4個(gè)單位的計(jì)算機(jī)網(wǎng)絡(luò)先后遭到非法訪問(wèn)和惡意攻擊,甚至發(fā)生主頁(yè)被篡改的事故。此類失泄密事件層出不窮,究其原因,則多因管理上或技術(shù)上的漏洞,因此國(guó)家保密局結(jié)合我國(guó)當(dāng)前的安全形勢(shì)先后頒發(fā)了相關(guān)管理、技術(shù)標(biāo)準(zhǔn)來(lái)對(duì)涉密信息進(jìn)行規(guī)范。
2005年,國(guó)家保密局印發(fā)了《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理辦法》,頒布了‘涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》。
2007年,國(guó)家保密局頒發(fā)了《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》和《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)測(cè)評(píng)指南》。
2008年,國(guó)家保密局頒發(fā)了《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)方案設(shè)計(jì)指南》。
制度的頒發(fā)一定程度上強(qiáng)化了企業(yè)員工的安全意識(shí),提高了軍工企業(yè)信息系統(tǒng)的安全性,但各個(gè)企業(yè)還應(yīng)結(jié)合自己的實(shí)際情況構(gòu)建本單位的分級(jí)保護(hù)制度和策略。
3 分級(jí)保護(hù)要點(diǎn)
實(shí)施分級(jí)保護(hù)應(yīng)同時(shí)關(guān)注技術(shù)和管理兩方面。如網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析、網(wǎng)絡(luò)安全策略制訂、網(wǎng)絡(luò)安全保密技術(shù)防范手段的建設(shè)和使用、信息設(shè)備和介質(zhì)的安全保密管理以及安全防范體系的建設(shè)等方面。
3.1技術(shù)方面
技術(shù)是確保信息安全的硬件,如果沒(méi)有技術(shù)的支撐,信息安全將成為一句空話。技術(shù)上應(yīng)主要關(guān)注邊界防護(hù)、電磁泄漏防護(hù)、終端主機(jī)防護(hù)等方面。
3.1.1邊界防護(hù)
在實(shí)施有效的內(nèi)外網(wǎng)隔離的基礎(chǔ)上根據(jù)組織機(jī)構(gòu)和管理流程的不同涉密程度劃分不同的安全域,并采取相應(yīng)的邊界防護(hù)措施。如添加防火墻并設(shè)置相應(yīng)的訪問(wèn)策略;購(gòu)買相應(yīng)的安全軟件以防止未經(jīng)授權(quán)終端的非法接入等。
3.1.2電磁泄露防護(hù)
所有計(jì)算機(jī)均需配備電源隔離插座,重點(diǎn)人員終端計(jì)算機(jī)配備視頻信息保護(hù)機(jī)。根據(jù)單位從事科研項(xiàng)目和涉密等級(jí),應(yīng)建造屏蔽機(jī)房或在重點(diǎn)設(shè)備問(wèn)配備屏蔽機(jī)柜,并為網(wǎng)絡(luò)線路設(shè)置線路傳輸干擾器。
3.1.3終端主機(jī)防護(hù)
終端主機(jī)是涉密信息生成、流轉(zhuǎn)的策源地,將終端主機(jī)管控好將事半功倍。應(yīng)根據(jù)實(shí)際情況為系統(tǒng)部署終端安全登陸與監(jiān)控審計(jì)系統(tǒng),采取身份鑒別措施,嚴(yán)格實(shí)施違規(guī)外聯(lián)管控、輸入輸出端口管控等。
對(duì)系統(tǒng)內(nèi)的終端計(jì)算機(jī)、服務(wù)器應(yīng)定期采用安全掃描工具進(jìn)行掃描,及時(shí)發(fā)現(xiàn)并消除存在的風(fēng)險(xiǎn)和隱患。
對(duì)涉密移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行注冊(cè)和綁定,不同存儲(chǔ)介質(zhì)只能在不同類型的計(jì)算機(jī)中使用,確保內(nèi)外網(wǎng)絡(luò)的信息隔離。
3.1.4傳輸線路管控
單位園區(qū)中不同建筑、不同區(qū)域之間的網(wǎng)絡(luò)傳輸線路應(yīng)根據(jù)可控程度選擇數(shù)據(jù)傳輸方式,明文傳輸或加密傳輸。
3.1.5應(yīng)用系統(tǒng)安全
系統(tǒng)中在線運(yùn)行的應(yīng)用系統(tǒng)必須由具備保密資質(zhì)的開(kāi)發(fā)商開(kāi)發(fā),系統(tǒng)中的管理人員必須做到三員、三權(quán)分立,系統(tǒng)的主客體訪問(wèn)控制粒度應(yīng)合理、可控。
3.1.6備份和容災(zāi)系統(tǒng)
關(guān)鍵網(wǎng)絡(luò)設(shè)備采取硬件備份措施,部署數(shù)據(jù)備份系統(tǒng)對(duì)系統(tǒng)中的涉密數(shù)據(jù)、關(guān)鍵數(shù)據(jù)進(jìn)行自動(dòng)備份。
3.1.7網(wǎng)絡(luò)安全產(chǎn)品
所有的網(wǎng)絡(luò)安全產(chǎn)品都必須進(jìn)行統(tǒng)一嚴(yán)格管理,所有產(chǎn)品都必須經(jīng)過(guò)國(guó)家保密局的測(cè)評(píng),而且在測(cè)評(píng)有效期之內(nèi)。
3.1.8設(shè)備與介質(zhì)管理
信息設(shè)備和介質(zhì)的安全管理是保密管理的重點(diǎn)和難點(diǎn),在涉番信息系統(tǒng)保密管理制度中戍實(shí)行“五統(tǒng)三定一集中”的管理原則,所有設(shè)備和介質(zhì)從采購(gòu)直至報(bào)廢的全生命周期均由特定部門按照該原則實(shí)行歸口管理。“五統(tǒng)”就是“統(tǒng)一購(gòu)置、統(tǒng)一標(biāo)識(shí)、統(tǒng)一編號(hào)、統(tǒng)一發(fā)放、統(tǒng)一保管”。“統(tǒng)一購(gòu)置”即經(jīng)相關(guān)主管領(lǐng)導(dǎo)審批后由采購(gòu)人員統(tǒng)一購(gòu)置;“統(tǒng)一標(biāo)識(shí)、統(tǒng)一編號(hào)”即入庫(kù)后統(tǒng)一按密級(jí)進(jìn)行標(biāo)識(shí)并編號(hào):“統(tǒng)一發(fā)放”即由資產(chǎn)管理人員統(tǒng)一發(fā)放:“統(tǒng)一保管”指涉密移動(dòng)存儲(chǔ)介質(zhì)由部門保密員統(tǒng)一保管存放。“三定”是指“定位使用、定期檢查、定點(diǎn)維修”,“定位使用”即系統(tǒng)內(nèi)的信息設(shè)備所使用的網(wǎng)絡(luò)端口和資源由特定部門按照規(guī)劃指定使用,移動(dòng)存儲(chǔ)介質(zhì)使用終端安全登陸與監(jiān)控審計(jì)系統(tǒng)進(jìn)行注冊(cè),只能在指定的授權(quán)終端計(jì)算機(jī)上使用;“定期檢查”即保密辦每個(gè)月對(duì)介質(zhì)的使用情況進(jìn)行檢查,信息中心每季度對(duì)信息設(shè)備和介質(zhì)的分布狀況進(jìn)行核查;“定點(diǎn)維修”即將涉密存儲(chǔ)部件拆除后涉密信息設(shè)備進(jìn)行定點(diǎn)維修,涉密介質(zhì)出現(xiàn)故障必須送國(guó)家保密上作部門指定的單位進(jìn)行維修,不得交由銷售單位、生產(chǎn)廠家或社會(huì)普通維修地點(diǎn)進(jìn)行維修。“一集中”即“集中銷毀”,涉密存儲(chǔ)部件或介質(zhì)需要報(bào)廢處理的,必須經(jīng)審核批準(zhǔn)后送交國(guó)家保密工作部門指定的涉密載體銷毀中心實(shí)施集中監(jiān)督銷毀。
3.2管理方面
信息安全的保障既要有堅(jiān)實(shí)的技術(shù)保障,更要有嚴(yán)格的管理規(guī)范。隨著國(guó)內(nèi)外間諜的不斷深入,在歷次泄密事件中,人為因素的比重越來(lái)越大。
3.2.1人員管理
涉密人員作為涉密信息的商接接觸者,必須進(jìn)行嚴(yán)格的控制。應(yīng)根據(jù)涉密人員的涉密程度。對(duì)其進(jìn)行嚴(yán)格的區(qū)分。不同等級(jí)的人員只能接觸不同的信息,確保涉密信息的知悉范圍。
對(duì)于網(wǎng)絡(luò)管理人員,也應(yīng)該根據(jù)不同的職能給予不同的控制權(quán)限.且需要相互制約。
3.2.2流程管理
標(biāo)準(zhǔn)化的管理才會(huì)帶來(lái)快捷和便利,才會(huì)使得所有的審批具備可追溯性。國(guó)有企業(yè)的有關(guān)事項(xiàng)牽涉國(guó)家信息,必須經(jīng)過(guò)嚴(yán)格的審批流程。只有規(guī)范流程、量化管理才能真正杜絕管理上的泄密意外發(fā)生。
3.2.5制度制定
有了人員的日常行為管理,審批的流程化實(shí)施,必須依靠制度來(lái)進(jìn)行固化和約束。對(duì)于國(guó)有企業(yè),應(yīng)該制定嚴(yán)格的人員管理制度、信息系統(tǒng)相關(guān)審批制度、設(shè)備和介質(zhì)管理制度、應(yīng)用系統(tǒng)管理制度、機(jī)房管理制度等。只有合理、嚴(yán)格、標(biāo)準(zhǔn)的制度才能夠規(guī)范人的行為,才能為信息安全的保證提供有效支撐。
4 實(shí)施分級(jí)保護(hù)工作的體會(huì)
4.1領(lǐng)導(dǎo)重視,嚴(yán)格落實(shí)分級(jí)保護(hù)保密職責(zé)
實(shí)施分級(jí)保護(hù)管理工作,領(lǐng)導(dǎo)重視是關(guān)鍵,只有領(lǐng)導(dǎo)的大力支持才能確保各種資源和部門之間的密切配合。國(guó)有企業(yè)信息化的建設(shè)能取得多方面的快速發(fā)展,主要得益于高層領(lǐng)導(dǎo)層對(duì)人員配備、資金安排和體系建設(shè)的大力支持和重視。在涉密網(wǎng)絡(luò)安全保密管理方面,只有領(lǐng)導(dǎo)重視制度的制定和落實(shí)、手段的建設(shè)和更新、設(shè)備與介質(zhì)的管理等,才能使網(wǎng)絡(luò)安全管理縱向到底、橫向到邊、面面俱到,才能建市起健全、有效的計(jì)算機(jī)信息系統(tǒng)保密安全管理體系,才能使安傘保密職責(zé)得到層層落實(shí)。
4.2規(guī)范流程,提高信息系統(tǒng)安全防范能力
近年來(lái),國(guó)家不斷提出對(duì)涉密計(jì)算機(jī)信息系統(tǒng)的新標(biāo)準(zhǔn)、新要求,國(guó)有企業(yè)應(yīng)緊扣標(biāo)準(zhǔn),在完善和修訂信息系統(tǒng)安全保密管理制度上下功夫,峰持按照嚴(yán)密周全和操作便利相結(jié)合、保密管理與科研流程相結(jié)合的原則,注重管理制度的可操作性、全面性、系統(tǒng)性,力求做到制度流程清晰明了、工作表單合理實(shí)用。只有這樣,才能收到涉密信息系統(tǒng)安全保密工作既管得住,又管得好的效果。
4.3監(jiān)督檢查,加大分級(jí)保護(hù)的獎(jiǎng)懲力度
日常的監(jiān)督檢查考核,是確保信息系統(tǒng)安全的重要手段。國(guó)有企業(yè)應(yīng)在保密監(jiān)督檢查中堅(jiān)持做到“三嚴(yán)”,即嚴(yán)查、嚴(yán)罰、嚴(yán)究,力求通過(guò)保密監(jiān)督檢查樹(shù)立“零容忍度”觀念,即不容忍泄密行為、違規(guī)現(xiàn)象存在,不容忍國(guó)家安全和集體利益受到損害。對(duì)違反保密規(guī)定的行為應(yīng)給予堅(jiān)決查處、考核兌現(xiàn)。
檢杏應(yīng)定期和不定期相結(jié)合,且采取頻度高、覆蓋面廣的各種保密檢查方式。實(shí)踐證明,嚴(yán)格的檢查考核與處罰,很大程度上消除了人為因素產(chǎn)生的問(wèn)題和隱患,是確保企業(yè)保密制度落實(shí)到位、執(zhí)行到位的關(guān)鍵。
4.4加強(qiáng)培訓(xùn),形成員工自覺(jué)遵守制度的文化氛圍加強(qiáng)管理制度培,嚴(yán)格執(zhí)行管理制度,管好用好信息系統(tǒng),是企業(yè)提高信息系統(tǒng)抗泄密風(fēng)險(xiǎn)能力的堅(jiān)強(qiáng)基礎(chǔ)。
一方面,培訓(xùn)可提高信息系統(tǒng)管理人員和專業(yè)人員的綜合業(yè)務(wù)素質(zhì)。有針對(duì)性地參加操作系統(tǒng)、網(wǎng)絡(luò)安全以及信息管理師等相關(guān)培訓(xùn)可使信息化部門從業(yè)人員的技術(shù)和管理水平、安全保密監(jiān)管能力、防范以及處置能力都得到另一方面.培訓(xùn)可提高全員的信息系統(tǒng)安全保密意識(shí)。通過(guò)網(wǎng)上宣傳、友情提醒、組織觀看有關(guān)錄像相結(jié)合的多種宣傳教育方式,在企業(yè)內(nèi)部營(yíng)造保密文化氛圍,使終端用戶知法、懂法,從被動(dòng)約束向主動(dòng)守法轉(zhuǎn)變。
5 小結(jié)
信息技術(shù)飛速發(fā)展,信息系統(tǒng)分級(jí)保護(hù)管理工作責(zé)任重大,任重道遠(yuǎn),國(guó)有企業(yè)員工也應(yīng)該不斷提高,增強(qiáng)認(rèn)識(shí)。通過(guò)實(shí)踐,我們充分認(rèn)識(shí)到,領(lǐng)導(dǎo)重視、全員參與是做好分級(jí)保護(hù)管理工作的前提,提高能力、持續(xù)改進(jìn)、構(gòu)建長(zhǎng)效機(jī)制是提升分級(jí)保護(hù)管理工作水平的關(guān)鍵。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:國(guó)有企業(yè)涉密信息系統(tǒng)分級(jí)保護(hù)探討與體會(huì)
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083956494.html