當前位置:主頁>產 業>業界新聞>

軍工企業涉密信息系統分級保護工作的關注點

    摘  要:根據軍工行業涉密信息系統分級保護工作的實質,對軍工企業涉密信息系統分級保護工作的幾個關注點和容易混淆的問題進行了討論,就如何開展好分級保護工作提出了解決辦法或工作思路。
    關鍵詞:分級保護;網絡安全;信息安全
    0 前言
   
涉密信息系統分級保護工作是在新的形勢下,我國為規范涉密信息系統管理、應對信息安全挑戰而采取的重大安全保密舉措。分級保護的核心思想:對涉密信息系統內不同密級的信息,在合理平衡安全風險與成本的基礎上,采取不同強度的保護措施,以實現保密技術防范工作由重點防護向全面綜合防護的轉變。簡單地說,就是在同一個涉密網絡內,通過劃分不同的安全域,實現對涉密信息的分級保護,既防止欠保護,也防止過保護,以確保國家秘密安全為原則。軍工生產企業是分級保護工作的重點推進單位,在園區網分級保護工作實施過程中如何抓住分級保護工作的實質,如何快速有效地推進工作,有著特別重要的意義。
    1 分級保護與其他信息安全相關工作的關系
   
涉密信息系統分級保護來源于國家總體信息安全等級保護制度,其發展歷程為:
    2003年,中辦27號文件《國家信息化領導小組關于加強信息安全保障工作的意見》提出:“對涉及國家秘密的信息系統,要按照黨和國家有關保密規定進行保護”。
    2004年,四部委(公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室)聯合下文將信息和信息系統的安全等級共分為5級,即:自主保護級、指導保護級、監督保護級、強制保護級、專控保護級。
    2004年,中保委在《關于加強信息安全保障工作中保密管理的若干意見》中提出:“要制定涉密信息分級保護管理規范和技術標準,建立和完善涉密信息系統的分級保護制度”、“涉密信息系統也按照秘密、機密、絕密三級進行分級管理”。
    2005年,國保發16號文件《涉密信息系統分級保護管理辦法》,明確提出涉密信息系統分級管理要求。
    2006年,四部委發布公通字7號文,進一步明確了公安、保密、密碼、信息化部門的職責。由國家保密工作部門負責涉密信息系統分級保護工作的指導、監督和檢查。
    2006年至2007年,國家保密局相繼下發《涉及國家秘密的信息系統分級保護技術要求》、《涉及國家秘密的信息系統分級保護管理規范》以及《涉及國家秘密的信息系統分級保護測評指南》等保密標準,從技術、管理以及系統測評等方面對涉密信息系統分級保護工作提出了具體要求和實施指導。

    2 軍工涉密網絡分級保護工作的關注點
   
2.1 分級保護工作的幾個關鍵環節
    要做好分級保護工作,首先要學習、領會與分級保護相關的文件及保密標準。其次,要熟知分級保護的工作流程。分級保護工作包括9個環節,其基本流程是:規范信息定密->系統定級->方案設計與審核->方案實施->系統測評->系統審批->日常管理->測評與檢查->系統廢止。只有正確理解了這9個環節,才能分階段、按計劃、有條不紊地做好工作。
    2.2 分級與分域
    軍工涉密網絡分級保護工作的落腳點就是要實現對涉密信息的 “分級分域”管理。因此,“分級”與“分域”是兩項非常重要的基礎工作。分級,即是在對網絡內存儲、處理的信息進行規范定密的前提下,界定涉密網絡系統的密級。涉密信息系統一般分為秘密、機密、絕密三級。具體密級需按該網絡系統所處理信息的最高密級以及所處理涉密信息的重要程度來界定。
    分域,即對園區網絡劃分不同的安全域。對應不同的保護級別,一般的安全域劃分也可照此劃為非密、秘密、機密、絕密四個不同的安全域。實行分級保護后,在一個涉密網絡內允許存在非涉密安全域,但該涉密網絡必須按照其最高安全域的密級定密,非涉密計算機只能安放在非密安全域中,且必須按照涉密機進行管理。
    2.3 關鍵的測評項
    對于分級保護工作,國家保密局在《涉及國家秘密的信息系統分級保護測評指南》中對具體的技術及管理指標都有明確的要求,因此,要做好分級保護的方案設計,應準確把握好測評標準。在測評標準中,有幾個測評重點值得關注:
    2.3.1 物理隔離
    該項要求涉密信息系統不能直接或間接國際聯網,應實行物理隔離。這里需要注意的一是“設備”,凡是處理涉密信息的終端物理設備,包括涉密傳真機、復印機、IP電話等,都屬于被禁止連接互聯網的設備。另一個需注意的是“上網方式”,不論是有線還是無線,都應禁用。很多軍工單位所用的涉密設備(如涉密筆記本以及鼠標、鍵盤等外設)都有無線及藍牙等連網模塊,應予以及時拆除或禁用。
    2.3.2 安全保密產品選擇
    該項要求涉密信息系統中使用的安全保密產品原則上應選用通過國家相關主管部門授權的測評機構檢測通過的國產設備。購置安全保密設備時,一定要仔細查看測評機構出具的報告和證書,分析擬采用的設備功能是否都通過了國家保密局指定測評機構的測評。因為產品的功能一般會有很多,而測評機構測評的往往也不是產品功能的全部,所以,要仔細分析測評報告,確定擬采用的設備功能是否通過了有關測評。
    2.3.3 安全域邊界防護
一方面,要求安全域邊界要明確,域之間的通信可控;另一方面,要求有安全措施禁止高密級信息由高等級安全域流向低等級安全域。一般做法是,在不同安全域之間采用防火墻、隔離網閘等邊界安全設備或采用VLAN的方式劃分不同安全域。對信息流向的控制,目前還沒有特別有效的、比較通用的技術手段,采用較多的方法是通過在防火墻等邊界安全設備中設置關鍵字過濾的手段。另外,通過應用程序與嚴格的管理制度相結合來實現信息流向控制,也不失為一個好辦法。
    2.3.4 密級標識
    該項要求涉密網絡中的信息都應有相應的密級標識,且密級標識應與信息主體不可分離、不得篡改。由于涉密信息系統中涉密信息形式的多樣性,加之密級標識的技術標準目前尚缺,要具體落實該項要求難度很大。各軍工企業一般都會根據自己的特點采用不同的解決辦法。比如有的企業對文檔類的涉密文件和目錄采用在目錄名和首頁進行密級標注、在圖檔類文件采用在標題欄中增加密級標識欄的辦法,還有的企業應用了專門的文檔管理系統(如OA、PDM、圖檔管理系統等)結合數字簽名技術對涉密信息進行了密級標識和保護。種種方法,不一而足,但關鍵還是要制定一個對涉密文檔進行控制管理的制度和機制,只有做到對涉密文檔的有效控制,密級標識才能落到實處。
    2.3.5 身份鑒別
    該項要求有兩點,一是要對信息系統中涉密的服務器、用戶終端以及應用程序的本地和遠程登錄進行用戶身份鑒別,二是要對安全保密設備的本地和遠程配置等操作也要進行用戶身份鑒別。具體實施時,首先應根據自身特點采用不同的身份鑒別方式,如有的單位采用了安全認證網關、AD域用戶管理等方式對內部網絡賬號進行了統一管理,有的還采用了實名制用戶管理等形式,某些重點涉密單位還采用了IC卡、USB key或生理特征識別等方式進行身份鑒別;其次,要采取多種技術手段確保身份鑒別的有效性、唯一性,如做好口令、密鑰的管理工作,加強對系統管理員操作的審計等。
    2.3.6 訪問控制
    該項要求按照主體類別、客體類別進行涉密信息和重要信息的訪問控制,主體應控制到單個用戶,客體應控制到信息類別。此處的“主體”、“客體”可以理解為涉密的應用系統、數據庫系統中的用戶與信息。對系統的用戶管理而言,必須做到單個用戶與賬號的一一對應,對系統中存放的信息而言,要做到信息的分類管理及授權訪問。
    2.3.7 信息傳輸時的密碼保護
    該項要求在遠程傳輸信息時,應采取密碼保護措施,但對處于獨立、封閉建筑群內的涉密信息系統傳輸線路滿足保密要求時,可不采用密碼保護措施。因此,在可控的園區網范圍內,可以不考慮信息的加密傳輸,超出園區范圍,如有不可控區域,則應考慮對這部分的信息傳輸進行加密處理。需要注意的是,許多軍工企業園區網的布線系統在初建時,均沒有考慮電磁泄露防護的問題,這時需要按要求進行必要的整改,使之符合要求。
    2.3.8 電磁泄露發射防護
    該項要求信息設備在不滿足BMB2-1998的要求時,應采取電源隔離防護裝置和電磁干擾器等電磁泄露發射防護措施。電磁泄露防護是大部分軍工企業園區網的弱項。因此,與此相關的整改工作應是分級保護工作的重點。在核心涉密機房建立電磁屏蔽室、配置紅黑電源隔離插座、加裝線路傳導干擾儀都不失為一些好的方法。另外,在新建網絡時,要把電磁屏蔽作為一項網絡的基本要求來同步建設。
    2.3.9 集成資質單位的選擇
    軍工企業園區網在實施涉密信息系統建設時,應在各級保密工作部門的指導與監督下,按照《涉及國家秘密的計算機信息系統集成資質管理辦法》有關要求選擇好系統集成單位。要在方案設計的相關文檔中體現對承建單位的資質要求。另外,建設單位如不能自己完成風險評估,則所委托的承建單位也需具有相應的涉密系統集成資質或單項資質。
    2.3.10 管理機構職責
    軍工企業單位負責安全保密管理的機構要有完善的管理文檔,并有明確的職責。其職責內容應包括涉密信息系統安全保密管理的各個方面。在具體測評時,體現在7個方面。概括起來,就是組織指導、制訂策略和制度、進行檢查與評估、開展教育與培訓、確定涉密人員職責和權限、日常管理和監督檢查、對外協調與聯系等。
    2.3.11 管理制度
    軍工涉密網絡應建立相應的安全保密責任制度,明確崗位職責并實行領導責任制度,層層落實,責任到人。從人員、物理設施與環境、設備與介質、運行與開發和信息保密五個方面制訂相應的安全保密工作制度。如:涉密人員管理制度、涉密機房管理制度、涉密介質和涉密設備管理制度、園區網運行維護管理制度、應急響應制度、災難恢復制度和監督檢查制度等。
    2.3.12 管理人員
    分級保護要求對涉密信息系統實行三員管理,配備系統管理員、安全保密管理員和安全審計員三類安全保密管理員(后兩類人員不能兼任),分別負責系統的運行、安全保密和安全審計工作。其中,系統管理員主要負責系統的日常運行維護工作;安全保密管理員主要負責系統的日常安全保密管理工作,包括用戶賬號管理以及安全保密設備和系統所產生的日志文件的審查分析;安全審計員主要負責對系統管理員、安全保密管理員的操作行為進行審計跟蹤分析和監督檢查。需注意的是,正因為有這樣的要求,我們在安全產品選型時,就要選擇那些支持三員管理的產品;在制訂保密制度時,要注意處理好三類管理員的職責與權限劃分。使三員管理在技術與管理上都能落到實處。

    3 幾個關鍵問題
   
3.1 技術與管理,孰輕孰重?
    從以前的“七分管理、三分技術”到現在的“技管并重”,人們對涉密信息系統的安全保密工作的理解在具體實踐中不斷深化。在具體的企業分級保護實施工作過程中,對于涉密信息系統的技術體系建設與管理體系建設孰輕孰重,恐怕沒有唯一的標準,而是要根據每個單位的具體情況而定,技術薄弱的單位重點在于技術改造,管理滯后的單位重點在于管理體系的建立和完善。關鍵是要做到“兩手都要硬”:如果沒有好的管理,光有好的技術架構和好的產品,保密體系也會形同虛設;而光有一套好的管理思想,卻由一個漏洞百出的技術體系來保障,同樣也發揮不出管理的效益。因此,軍工企業在實施分級保護工作時,既要拋棄以買幾個安全產品敷衍了事的錯誤思想,又要防止一味強調管理的重要性而忽視技術條件建設的麻痹思想。
    3.2 浩如煙海的產品,選誰為好?
    對涉密信息系統所選用的產品來說,首先應該確保符合國家保密標準的相關資質要求,其次才是根據用戶自己的具體需要選擇合適的產品。由于安全產品市場帶有一定的政策導向,因此,提供安全產品的廠商也會越來越多。面對浩如煙海的產品,選誰為好?關鍵還是要做好自己的分級保護工作的總體規劃和使之落地的實施方案。首先,安全保密工作是一個系統性的工作,做好分級保護工作也需要體系(技術體系和管理體系)的支撐,頂層規劃尤為重要;其次,面對功能交叉的多類產品,如果事先不做好具體的總體實施方案,以保證各系統間銜接有序、利于集成,則難免會陷入重復建設的漩渦,事倍而功半。
    3.3 保密部門與信息部門,主角是誰?
    很多軍工企業分級保護工作在推進過程中碰到的阻力,很多來源于對該項工作的責任主體不明。按“誰主管、誰負責”的保密管理原則,由軍工涉密信息系統建設使用單位負責本單位涉密信息系統分級保護的具體實施工作。在系統定級階段,保密部門要發揮準確掌握國家保密政策的優勢,與信息化建設部門、業務工作部門一起研究確定系統和安全域所處理信息的最高密級、規范定密,從而確定等級。方案設計階段,信息化建設部門要組織設計符合保密要求的分級保護方案,保密管理部門應對總體方案進行監督、檢查和指導,并組織專家進行評審論證。工程實施階段,信息化建設部門應具體承擔組織實施工作,并與保密管理部門定期檢查工作進展,及時協調處理各類問題。系統工程實施結束后,保密管理部門應負責組織系統測評和系統審批工作。系統投入運行后,保密、信息化、業務工作、密碼、保衛和人事等有關部門應按“分工協作、各司其責”的原則,積極配合完成日常安全保密管理工作。

    4 分級保護測評通過后應該注意什么?
   
分級保護測評通過后是否就可以高枕無憂了?答案顯然是否定的。首先,如安全保密工作一樣,分級保護工作也是動態的,不管是國家政策、法律法規,還是企業自身的安全需求,都處在變化、完善的過程中。所以,只有不斷推進分級保護技術與管理體系建設,才能真正做到確保國家秘密安全;其次,分級保護測評只是從某些方面驗證了涉密系統符合標準要求,要真正要做到“本質安全”,還需要經過保密部門與業務部門長期堅持不懈的努力。因此,常抓不懈、警鐘長鳴始終是軍工企業做好涉密信息系統安全保密工作應有的態度。

    參考文獻: 
   
1. 杜虹. 關于涉密信息系統分級保護的幾個問題[J]. 保密工作.2006,11:16-17. 
    2. 趙占生,杜虹,呂述望等. 信息安全保密教程[M].合肥市: 中國科學技術大學出版社, 2006.
 

 

(責任編輯:)

分享到:

更多
發表評論
請自覺遵守互聯網相關的政策法規,嚴禁發布色情、暴力、反動的言論。
評價:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奮斗/fd
  • 疑問/yw
  • 暈/y
  • 偷笑/wx
  • 可愛/ka
  • 傲慢/am
  • 驚恐/jk
用戶名: 驗證碼:點擊我更換圖片
資料下載專區
圖文資訊

中國重啟銀行業安全新規 下月征集意見

中國重啟銀行業安全新規 下月征集意見

8月19日,路透社今日援引知情人士的消息稱,中國將重啟銀行業安全新規。在此之前,該...[詳細]

網絡安全準則還需“下一步”

網絡安全準則還需“下一步”

近日,聯合國信息安全問題政府專家組召開會議,并向聯合國秘書長提交報告。專家組包括...[詳細]

用大數據為互聯網金融保駕護航

用大數據為互聯網金融保駕護航

近日,在2015上海新金融年會暨外灘互聯網金融外灘峰會上,中國人民銀行條法司司長張濤...[詳細]

互聯網深刻變革:世界正向黑客帝國演進

互聯網深刻變革:世界正向黑客帝國演進

2015年中國互聯網大會于7月23日在北京國家會議中心閉幕了,很顯然,由于去年辦過一次...[詳細]

《網絡安全法》有望在三季度出臺

《網絡安全法》有望在三季度出臺

2015年,第十二屆全國人大常委會第十五次會議初次審議了《中華人民共和國網絡安全法(...[詳細]

返回首頁 返回頂部
体彩31选7开奖结果