網(wǎng)絡(luò)環(huán)境下涉密信息管理與控制

1、網(wǎng)絡(luò)環(huán)境下涉密信息的安全保密管理與控制The Security and Secrecy Management and Control of Secret Information in Network Environment李旭陜西省西安市13號(hào)信箱91分箱 郵政編碼710021Email:lixu摘 要：本文從企業(yè)信息安全工作實(shí)際出發(fā)，在分析目前軍工企業(yè)信息安全保密管理工作中存在的問(wèn)題的基礎(chǔ)上，結(jié)合國(guó)家信息安全保密管理有關(guān)規(guī)定要求，論述了軍工企業(yè)網(wǎng)絡(luò)環(huán)境下涉密信息安全保密管理與控制要求。本文共分為概述、存在問(wèn)題、安全體系規(guī)劃、保密制度建設(shè)、人員管理、軟硬件配置管理、結(jié)束語(yǔ)等七章，詳細(xì)地闡述了網(wǎng)

2、絡(luò)環(huán)境下涉密信息安全保密管理與控制要求。 關(guān)鍵詞：網(wǎng)絡(luò)，涉密信息，安全保密.Keywords: Network, Secret Information, Security and Secrecy 企業(yè)信息安全保障的目標(biāo)在于確保企業(yè)整體業(yè)務(wù)的連續(xù)性和企業(yè)秘密信息的安全，通過(guò)部署安全設(shè)備、建立信息安全保密管理和運(yùn)行體系，從安全管理和安全防范技術(shù)手段著手，通過(guò)基礎(chǔ)設(shè)施、軟硬件配置和系統(tǒng)邊界三方面的安全技術(shù)措施以及相應(yīng)的管理措施來(lái)保障企業(yè)信息系統(tǒng)的安全。企業(yè)園區(qū)網(wǎng)絡(luò)環(huán)境下涉密信息管理與控制工作，應(yīng)在安全保密體系規(guī)劃與建設(shè)、保密制度建設(shè)、涉密人員管理、軟硬件配置等方面進(jìn)行規(guī)劃與控制。1. 概述隨著國(guó)防軍

3、工企業(yè)信息化建設(shè)不斷推進(jìn)，企業(yè)信息化成為企業(yè)改善管理、降低成本、提高效益和市場(chǎng)競(jìng)爭(zhēng)力的重要手段。信息技術(shù)在國(guó)防軍工企業(yè)應(yīng)用不斷推廣、深入，各單位的網(wǎng)絡(luò)和計(jì)算機(jī)是在企業(yè)園區(qū)網(wǎng)環(huán)境下聯(lián)網(wǎng)運(yùn)行。隨著企業(yè)的物資管理系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、車間管理系統(tǒng)、生產(chǎn)計(jì)劃管理系統(tǒng)、辦公自動(dòng)化系統(tǒng)、視頻監(jiān)控系統(tǒng)、決策支持系統(tǒng)等涉及到企業(yè)內(nèi)部秘密信息的信息化管理子系統(tǒng)不斷建立，不同密級(jí)的涉密信息在企業(yè)園區(qū)網(wǎng)絡(luò)內(nèi)各系統(tǒng)單元內(nèi)大量存在。通過(guò)園區(qū)網(wǎng)絡(luò)相互連接的計(jì)算機(jī)，無(wú)論本機(jī)是否存有涉密信息，計(jì)算機(jī)實(shí)質(zhì)上均已成為涉密計(jì)算機(jī)。存在沒(méi)有定為涉密人員的員工通過(guò)企業(yè)園區(qū)網(wǎng)絡(luò)登陸涉密管理系統(tǒng)，而接觸涉密信息的實(shí)際可能性，因此加強(qiáng)網(wǎng)絡(luò)環(huán)境

4、下涉密計(jì)算機(jī)及涉密信息管理系統(tǒng)單元的管理與控制，確保涉密計(jì)算機(jī)及企業(yè)園區(qū)網(wǎng)絡(luò)內(nèi)涉密信息的安全保密，是一項(xiàng)意義重大的系統(tǒng)工程。2 存在問(wèn)題不少軍工企業(yè)在網(wǎng)絡(luò)技術(shù)大規(guī)模應(yīng)用的新時(shí)期條件下，涉密信息的安全保密管理與控制存在不少問(wèn)題與隱患。園區(qū)網(wǎng)絡(luò)內(nèi)涉密信息定密、標(biāo)密不嚴(yán)格，各種涉及企業(yè)秘密信息的管理子系統(tǒng)登陸界面上沒(méi)有標(biāo)定密級(jí)，容易造成泄密；涉密信息管理子系統(tǒng)登陸賬號(hào)、密碼設(shè)置簡(jiǎn)單，又長(zhǎng)期不更換，容易被他人知悉造成泄密。涉密辦公室、機(jī)房管理不嚴(yán)，無(wú)關(guān)人員可隨意出入、操作計(jì)算機(jī)容易造成泄密。對(duì)涉密計(jì)算機(jī)存儲(chǔ)的文件、數(shù)據(jù)、資料缺乏有組織的保存管理，甚至在公用計(jì)算機(jī)或服務(wù)器上隨意存放容易造成泄密。涉密崗位

5、工作人員對(duì)技術(shù)防范手段、設(shè)備認(rèn)識(shí)不足，缺乏了解，操作不當(dāng)容易造成泄密。涉密系統(tǒng)打印出的資料作廢后隨意亂扔容易泄密。外出使用存有涉密信息的筆記本電腦不注意保密容易泄密。涉密網(wǎng)絡(luò)聯(lián)網(wǎng)計(jì)算機(jī)、顯示器通過(guò)電磁波輻射使秘密信息散發(fā)出去，被敵對(duì)勢(shì)力接收；涉密網(wǎng)絡(luò)與其它的信息處理設(shè)備或存儲(chǔ)載體相連接，使秘密信息通過(guò)其它傳輸渠道擴(kuò)散出去；涉密計(jì)算機(jī)維修、涉密載體數(shù)據(jù)恢復(fù)沒(méi)有到承接涉密信息系統(tǒng)業(yè)務(wù)資質(zhì)的單位，或采取必要安全護(hù)措施，造成涉密計(jì)算機(jī)、涉密載體內(nèi)涉密信息泄密。涉密信息網(wǎng)絡(luò)不可能向紙介質(zhì)涉密文件那樣用鐵柜子封閉起來(lái)，網(wǎng)絡(luò)系統(tǒng)暴露的部位多，接觸的人員廣，很容易受到攻擊或通過(guò)技術(shù)手段竊取其載有的秘密，且一旦

6、泄密，擴(kuò)散的速度快、范圍寬。目前國(guó)防軍工企業(yè)網(wǎng)絡(luò)所使用的設(shè)備和應(yīng)用軟件大都是進(jìn)口的，很難設(shè)想在保密技術(shù)防范上不存在泄密隱患。但不少軍工企業(yè)對(duì)加強(qiáng)內(nèi)部防范與控制，總感到會(huì)造成使用不便，認(rèn)為大家都是自己人，不必搞得太緊張。這種傾向使企業(yè)的網(wǎng)絡(luò)系統(tǒng)既沒(méi)有足夠的防范手段，也沒(méi)有健全的規(guī)章制度。內(nèi)部管理松弛，人員思想麻痹，防范措施形同虛設(shè)，泄密隱患隨處可見(jiàn)。3 安全體系規(guī)劃國(guó)防軍工企業(yè)信息安全保障的目標(biāo)在于確保企業(yè)整體業(yè)務(wù)的連續(xù)性、企業(yè)涉密信息的安全，通過(guò)部署安全設(shè)備、建立信息安全管理和運(yùn)行體系，保障涉密信息的安全。應(yīng)按照國(guó)家有關(guān)涉密信息系統(tǒng)等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，進(jìn)行園區(qū)網(wǎng)絡(luò)系統(tǒng)的安全設(shè)計(jì)規(guī)劃，

7、應(yīng)當(dāng)從網(wǎng)絡(luò)通訊和存儲(chǔ)體系的加密兩方面著手考慮。獨(dú)立建網(wǎng)，實(shí)施園區(qū)網(wǎng)絡(luò)與外界互聯(lián)網(wǎng)的物理隔離，并在園區(qū)網(wǎng)內(nèi)部規(guī)劃、安裝必要的電磁屏蔽手段。園區(qū)網(wǎng)絡(luò)系統(tǒng)的安全體系在設(shè)計(jì)前要對(duì)園區(qū)網(wǎng)絡(luò)系統(tǒng)的安全需求進(jìn)行調(diào)研，要保證任何涉密信息只能被具有相應(yīng)安全授權(quán)的用戶訪問(wèn)，是對(duì)園區(qū)網(wǎng)絡(luò)系統(tǒng)中的文件、數(shù)據(jù)庫(kù)表和記錄、網(wǎng)頁(yè)、電子郵件等對(duì)象實(shí)施加密保護(hù)，防止非法訪問(wèn)。要保證園區(qū)網(wǎng)絡(luò)內(nèi)信息的真實(shí)性，防止對(duì)信息的非法篡改，主要采用數(shù)字簽名的方法實(shí)現(xiàn)。要保證對(duì)信息的訪問(wèn)實(shí)施安全控制。要保證全部的安全措施對(duì)園區(qū)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行效率不會(huì)造成過(guò)大影響。在安全管理體系上，要按照涉密信息系統(tǒng)安全子系統(tǒng)的開(kāi)發(fā)階段和運(yùn)行階段的不同情況，從設(shè)

8、計(jì)規(guī)劃、工程實(shí)施、系統(tǒng)運(yùn)行、密碼管理、應(yīng)急處理、風(fēng)險(xiǎn)分析幾個(gè)方面實(shí)施等級(jí)保護(hù)安全管理，保障對(duì)涉密數(shù)據(jù)信息管理系統(tǒng)的安全管理可控性。建立和完善網(wǎng)絡(luò)信任體系為中心，利用身份認(rèn)證、數(shù)字簽名等技術(shù)，確保網(wǎng)絡(luò)信息安全可靠。在涉密載體檔案室、機(jī)房、網(wǎng)管中心等重要部位應(yīng)配備“三鐵兩器”（鐵門、鐵窗、鐵皮柜和報(bào)警器、滅火器），所有涉密場(chǎng)所都懸掛保密規(guī)定和警示牌，各個(gè)涉及企業(yè)秘密信息的管理系統(tǒng)應(yīng)在登陸界面上都標(biāo)明密級(jí)，并按照相應(yīng)密級(jí)要求設(shè)定訪問(wèn)密碼強(qiáng)度。企業(yè)內(nèi)部應(yīng)有專門部門負(fù)責(zé)企業(yè)網(wǎng)絡(luò)系統(tǒng)硬件維修、配置升級(jí)、硬件報(bào)廢、數(shù)據(jù)載體銷毀等業(yè)務(wù)，確保企業(yè)網(wǎng)絡(luò)系統(tǒng)及計(jì)算機(jī)存儲(chǔ)的涉密信息的安全保密。必要時(shí)，應(yīng)請(qǐng)國(guó)家信息安全

9、評(píng)估機(jī)構(gòu)將按照等級(jí)保護(hù)相關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，對(duì)園區(qū)網(wǎng)絡(luò)系統(tǒng)的安全等級(jí)保護(hù)狀況和安全保密體系進(jìn)行監(jiān)督檢查。發(fā)現(xiàn)安全體系有漏洞或安全保護(hù)措施不符合等級(jí)保護(hù)要求，存在安全隱患或未達(dá)到等級(jí)保護(hù)要求的，應(yīng)按照評(píng)估機(jī)構(gòu)整改建議積極整改，并請(qǐng)?jiān)u估機(jī)構(gòu)進(jìn)行復(fù)查，確保企業(yè)園區(qū)網(wǎng)絡(luò)安全體系、保護(hù)措施達(dá)到等級(jí)保護(hù)要求的安全水平。4 保密制度建設(shè)在國(guó)防軍工企業(yè)涉密信息安全保密體系中，要建立信息安全領(lǐng)導(dǎo)和辦事機(jī)構(gòu)，落實(shí)企業(yè)涉密信息安全責(zé)任制，將信息安全保密職責(zé)分工落實(shí)到人。按照“適度安全”的原則，定期進(jìn)行企業(yè)園區(qū)網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)評(píng)估和安全審計(jì)，明確安全保障的重點(diǎn)，加強(qiáng)對(duì)設(shè)秘信息的保護(hù)，切實(shí)提高企業(yè)的綜合信息安全管

10、理水平。應(yīng)根據(jù)國(guó)防軍工企業(yè)自身情況，制定包括安全責(zé)任制度、定期檢查制度、評(píng)估改進(jìn)制度、安全外包制度、事故報(bào)告制度等在內(nèi)的信息安全規(guī)章制度。對(duì)于園區(qū)網(wǎng)絡(luò)重要管理和維護(hù)人員要建立資質(zhì)審查制度，持證上崗。對(duì)涉密信息管理系統(tǒng)管理方面，要嚴(yán)格從物理安全、運(yùn)行安全、信息安全保密、安全保密管理4個(gè)方面進(jìn)行控制，尤其要強(qiáng)化開(kāi)發(fā)、管理與操作人員管理，相關(guān)開(kāi)發(fā)、設(shè)計(jì)、施工、管理人員要簽署保密協(xié)議，明確保密責(zé)任。必須管住涉密載體，加強(qiáng)涉密紙介質(zhì)、移動(dòng)存儲(chǔ)介質(zhì)和涉密信息系統(tǒng)的管理，制定具體規(guī)程，采取嚴(yán)密措施，強(qiáng)化經(jīng)常性督查，保證各類涉密載體的管理不出問(wèn)題；必須落實(shí)日常安全保密工作責(zé)任，建立健全加強(qiáng)領(lǐng)導(dǎo)、層層負(fù)責(zé)的工作

11、體制和機(jī)制，做到領(lǐng)導(dǎo)到位、責(zé)任到位、措施到位，真正把“誰(shuí)主管、誰(shuí)負(fù)責(zé)”的要求落到實(shí)處。5 人員管理科技以人為本，國(guó)防軍工企業(yè)園區(qū)網(wǎng)絡(luò)環(huán)境下涉密信息管理與控制工作不僅要加強(qiáng)掌握國(guó)家秘密的人員管理，更重要的是要加強(qiáng)軍工企業(yè)內(nèi)聯(lián)網(wǎng)計(jì)算機(jī)操作人員、普通員工的保密管理。首先要做好員工思想工作，定期進(jìn)行必要的保密知識(shí)教育，同時(shí)還要與普通員工簽訂保密協(xié)議，使普通員工認(rèn)識(shí)到保密工作的重要，不泄露自己在企業(yè)內(nèi)知悉的國(guó)家秘密，不在家屬、親友、熟人和其他無(wú)關(guān)人員面前談?wù)撟约褐さ膰?guó)家秘密，未經(jīng)許可不得擅自訪問(wèn)涉密管理系統(tǒng)，不得復(fù)制或破壞企業(yè)園區(qū)網(wǎng)內(nèi)的涉密文件、資料，明白泄密后應(yīng)負(fù)的各種責(zé)任。對(duì)園區(qū)網(wǎng)絡(luò)及各涉密信息管

12、理子系統(tǒng)的開(kāi)發(fā)、管理和維護(hù)等人員要建立資質(zhì)審查制度，應(yīng)做到持證上崗。相關(guān)開(kāi)發(fā)單位和管理、維護(hù)人員要簽署保密協(xié)議，明確保密責(zé)任。6 軟硬件配置管理國(guó)防軍工企業(yè)園區(qū)網(wǎng)絡(luò)環(huán)境下計(jì)算機(jī)系統(tǒng)配置應(yīng)統(tǒng)一規(guī)劃、專門管理。國(guó)防軍工企業(yè)園區(qū)網(wǎng)絡(luò)應(yīng)按照涉密計(jì)算機(jī)信息系統(tǒng)有關(guān)規(guī)定，保密設(shè)施及技術(shù)裝備必須與之同步規(guī)劃、同步建設(shè)，并報(bào)請(qǐng)國(guó)家保密部門審批后方可投入使用。保密防護(hù)設(shè)備只能采用按國(guó)家有關(guān)主管部門（公安部、安全部、國(guó)家保密局）的要求經(jīng)檢測(cè)、認(rèn)證和許可的國(guó)內(nèi)生產(chǎn)的安全保密產(chǎn)品。涉密系統(tǒng)的技術(shù)防范要在安全的基礎(chǔ)之上，對(duì)網(wǎng)絡(luò)系統(tǒng)、涉密數(shù)據(jù)、媒體介質(zhì)、機(jī)房等諸方面進(jìn)行整體防護(hù)，所采用的技術(shù)手段要按照要求規(guī)劃和建設(shè)。落實(shí)

13、園區(qū)網(wǎng)絡(luò)環(huán)境中重要服務(wù)器和涉密終端的保護(hù)措施、網(wǎng)絡(luò)設(shè)施安全保護(hù)措施、網(wǎng)絡(luò)邊界安全保護(hù)措施，通過(guò)部署網(wǎng)絡(luò)版防病毒軟件、垃圾郵件過(guò)濾系統(tǒng)、防火墻、安全路由器和安全網(wǎng)關(guān)等安全設(shè)備，提高企業(yè)園區(qū)網(wǎng)絡(luò)的信息安全防護(hù)能力。對(duì)應(yīng)當(dāng)加強(qiáng)園區(qū)網(wǎng)內(nèi)部涉密信息的安全防護(hù)，在園區(qū)網(wǎng)內(nèi)存儲(chǔ)重要涉密數(shù)據(jù)的服務(wù)器前端配置防火墻和防病毒網(wǎng)關(guān)等邊界防護(hù)設(shè)備，并部署非法入侵檢測(cè)設(shè)備，采用強(qiáng)制的訪問(wèn)控制措施，確保數(shù)據(jù)安全。對(duì)于聯(lián)網(wǎng)的計(jì)算機(jī)終端應(yīng)統(tǒng)一部署安裝終端監(jiān)控軟件系統(tǒng)，統(tǒng)一屏蔽光驅(qū)、軟驅(qū)、USB口、串口、打印端口，機(jī)箱貼上封條并加鉛封，實(shí)行集中打印許可制，禁止隨意打印園區(qū)網(wǎng)內(nèi)的文件。將聯(lián)網(wǎng)計(jì)算機(jī)名、設(shè)備編號(hào)、IP地址、操作者姓

14、名等記錄在數(shù)據(jù)庫(kù)中，以備維修及追溯時(shí)查閱。對(duì)于專門的涉密計(jì)算機(jī)終端應(yīng)由專門部門統(tǒng)一配置，統(tǒng)一設(shè)定開(kāi)機(jī)BIOS密碼，選擇安裝相對(duì)穩(wěn)定的、較為安全的操作系統(tǒng)，安裝最新的操作系統(tǒng)補(bǔ)丁和安全修補(bǔ)程序。7 結(jié)束語(yǔ)安全無(wú)小事，在國(guó)防軍工企業(yè)涉密信息安全保密具體工作中，企業(yè)負(fù)責(zé)人及安全保密負(fù)責(zé)部門應(yīng)明確企業(yè)安全保障的重點(diǎn)，要高度重視涉密網(wǎng)絡(luò)的保密防范和管理，千方百計(jì)地采取一切可以采用的技術(shù)防范措施，加強(qiáng)對(duì)國(guó)家秘密的安全保護(hù)，切實(shí)提高企業(yè)的信息安全保密管理水平。Abstract: After analyzing of the existing problems of security and secrecy

15、management and control of secret information in enterprises of war industry, the thesis discusses the requirement of security and secrecy management and control of secret information in network environment, on the basis of the work of security and secrecy. The thesis contains seven chapters, Summary, existing problems, layout of safety entireness, security system, personnel management, configuration of hardware and software, and conclude, and expatiates in detail the requirement of security and secrecy management and control of secret information in network environment. - 7 -參