涉密计算机及移动存储介质保密管理系统(共10篇)
1.概况:
违规外联与移动存储介质交叉使用是造成网络失泄密案件的最主要原因。近年来,我国发生的一些网络泄密窃密案件追踪溯源,均与违规外联和移动存储介质交叉使用密切相关。
涉密计算机及移动存储介质保密管理系统是为切实消除涉密计算机违规外联及移动存储介质在涉密计算机与非涉密计算机之间交叉使用而带来的泄密隐患和漏洞而开发的。
涉密计算机及移动存储介质保密管理系统是在深入研究网络互联阻断技术、移动存储介质读写控制技术和光单向传输技术的基础上研制而成的。系统包括用户软件、管理软件、多功能导入装置和涉密U盘。
用户软件安装在内部的涉密计算机上,具有对涉密计算机违规外联实施阻断并报警、涉密U盘读写控制和非涉密移动存储介质禁止接入等功能。
管理软件安装在保密管理人员使用的计算机上,具有对内部涉密网计算机违规外联报警信息的自动采集和对涉密U盘的注册、认证和管理等功能。
多功能导入装置用于涉密人员向涉密计算机导入外部信息,同时负责涉密U盘的接入使用,既能在物理上切断涉密信息向外传输的渠道,又能实现外部信息安全完整地单向导入,满足涉密网内正常的信息交换需求。
涉密U盘是具有统一外观、统一标识、专用接插件和一系列安全保密防护措施的专用移动存储介质,用于存储涉密信息并在涉密计算机之间实现信息交换。
2.功能特点:
涉密计算机及移动存储介质保密管理系统是一款功能强大的管理系统。
2.1.违规外联监控
涉密计算机违规外联报警系统能够及时发现涉密计算机试图违规连接互联网的行为,同时阻断该行为,并向监控中心报警。系统由服务端软件和客户端软件两部分组成。(1).涉密计算机违规外联报警系统客户端软件
客户端软件部署在所有涉密计算机中,缺省状态就能够禁止MODEM/ISDN/ADSL拨号和WLAN/GPRS/CDMA无线上网等功能。对试图发生外联的行为,进行如下处理:
● 完全阻断。本系统考虑外联途径多样性和操作系统的复杂性,采取多种阻断方式,确保行为阻断的可靠性;
● 及时告警。发现违规连接互联网的行为,立即向服务端(监控中心)告警,并记录日志,日志内容包括违规外联涉密计算机的配置信息、使用人、所属单位等。
(2).涉密计算机违规外联报警系统服务端软件 根据需求,服务端软件将在互联网上部署。当监控到涉密计算机违规外联行为时,进行如下处理:
● 服务端软件收到报警信息,可采用声、光等多种形式通知管理员;
● 接收报警信息的服务端软件能够与客户端软件可靠通信,保证报警信息可靠上传。
(3).违规外联监控系统系统特点
●安全性保证。采用系统内核技术保证用户端程序不可删除、不可篡改、不可停止。当被监控计算机的网络连接异常中断后,能够将报警信息暂存在本地,待下次与服务端连接成功后,再上传到服务端。系统通信要做到安全可靠。
●可视化管理。系统可根据涉密计算机注册的地域及单位信息,形成可视化图形,对全国涉密计算机的违规外联行为进行可视化报警显示,全国的违规外联报警信息展现在一张全国地图上,管理人员可以非常直观地看出全国各地的违规外联情况,并可以通过点击轻松获取关心的详细信息。
2.2.移动存储介质保密管理
通过使用操作系统内核技术,禁止使用所有普通U盘、移动硬盘、手机存储卡、MP3、MP4等USB移动存储介质涉密计算机上使用。移动存储介质保密管理系统由管理端软件和客户端软件两部分组成:
(1).管理端软件功能
● 对涉密U盘进行唯一性标记,确保无法仿冒;
●对涉密U盘进行统一注册授权,并对发放、领用情况进行统一管理。能够根据涉密U盘的标识确定其领用单位、领用人,对违规使用涉密U盘的行为能够提供有效的事后追查线索; ●系统软件本身采取身份认证和权限管理措施,确保涉密专用U盘的注册信息、违规使用报警信息不被非授权访问、修改和删除; ● 支持分级管理,有效减轻管理员负担;
● 提供专用工具,用于对涉密计算机中客户端软件的卸载、维护等操作管理;● 充分考虑适用性和扩展性,采取统一注册方式,确保经过注册的涉密专用U盘能够在涉密计算机上互通使用。(2).客户端软件功能
● 介质识别功能,只识别已注册的涉密U盘,普通U盘、MP3、数码相机存储卡、移动硬盘等通用USB移动存储介质在涉密计算机的正常模式和安全模式都无法被识别和格式化; ● 客户端软件安装后,所有控制功能缺省为禁用状态,必须由管理员使用专用身份钥匙激活才能启用,有效规避因客户端软件被扩散所引起的保密安全风险;● 能够根据策略实现涉密U盘的分域管理,既可以限制优盘只能在指定范围内使用,也可以通过授权使得涉密U盘能够跨域使用,实现内部不同单位与部门之间的涉密U盘互通。● 客户端软件安装后,不影响使用鼠标、键盘等非存储类USB设备; ● 涉密U盘认证失败达到一定次数后,能够自动锁定; ● 支持用户修改U盘打开口令。
2.3.多功能导入装置
多功能导入装置布置在非涉密移动存储介质和涉密计算机之间。(1).采用光单向传输技术,涉密人员可以通过普通USB移动储存介质导入外部信息到涉密计算机,实现外部信息向涉密计算机安全完整的单向导入。
(2).多功能导入装置提供涉密移动存储介质专用接入接口,实现涉密移动存储介质与涉密计算机之间的信息交互。
2.4.涉密优盘
涉密U盘运用安全控制芯片对存储区域加强保密性。涉密U盘接入计算机时,首先会验证该计算机是否为涉密计算机,验证通过后,才根据访问权限开放自己的存储区域,并通过专用驱动读取盘中的内容,防止涉密U盘在非涉密环境中使用。涉密U盘有以下功能特点: 1.按统一规范生产,包括规格、颜色、标识均统一;2.按照统一规范进行编号,能够通过编号绑定责任人;
3.特殊形式的专用设备接插件,不同于普通USB接头,无法插入电脑的普通USB接口,有效的防止误操作;
4.具有计算机环境识别功能,在没有安装涉密计算机及移动存储介质保密管理系统客户端软件的涉密计算机或其他非涉密计算机环境下不能进行读取和格式化等操作;
5.涉密U盘采用专有的文件存储格式、专有参数区、专有接口函数、专有文件格式解析控制,保证只有专用的驱动程序才能解析存储的内容;
6.经过注册的涉密专用U盘在涉密计算机中的使用方法和使用普通U盘一样,对盘中所存储的各种格式的文件均可以直接打开、编辑和存储,完全符合用户使用习惯;
7.支持口令认证保护,使用时需要输入正确口令才能使用涉密专用U盘,用户自行修改口令;
关键词:移动存储介质,保密,安全管理,对策
随着计算机技术的飞速发展和计算机应用范围的不断拓展, 现在几乎所有的企事业单位都有自己的内部计算机网络, 一些涉密信息也不可避免的存储在位于内部网络的计算机当中。当前内网中的计算机的泄密途径, 主要有网络输出、移动存储介质带出、打印带出、电磁辐射泄漏、偷窥记忆带出等情况。其中, 移动存储介质以其使用方便、存储量大、隐蔽难以防范的特点, 成为内部网络泄密的主要途径。加强移动存储介质的风险分析和风险管理已成为有效保障涉密内网中信息安全的重要工作。
1 移动存储设备的安全隐患
1.1 内外网移动存储介质混用
内网移动存储介质指的是按照规定只能在企事业单位内部网当中使用的移动存储介质。内外网移动存储介质混用, 指的是通过U 盘、可移动硬盘、MP3等在内网和外网之间交替使用, 把保存有涉密信息的存储介质接入外网, 甚至接入互联网, 如此存在严重的泄密隐患。
1.2 移动存储介质公私混用
U盘等移动存储介质具有体积小、容量大、携带使用方便等优点, 因此, 常常被带到不同环境下使用, 比如:自己的私人U盘存放单位资料或者单位U盘又拿来存放私人信息, U盘被借来借去使用也是很常见的情况, 这样公私混杂很容易出差错, 使得移动存储介质中的重要信息存在泄漏的风险。
1.3 移动存储介质成为病毒传播源
使用者在使用移动存储介质的时候往往忽视对移动设备的查杀毒工作。由于移动设备使用范围较广, 不可避免地会出现在外使用时感染计算机病毒的情况, 如果不能及时有效地查杀病毒, 轻易地将染毒文件在单位内网的计算机上打开, 那么就很容易将病毒带到内网使其有机会在内网中扩散。甚至有些病毒程序在插入U盘后会立即被自动执行[1] , 使得移动存储介质传播病毒的可能性大大增加。
1.4 移动存储介质感染木马成为“摆渡机”
如果病毒仅仅是破坏系统还不会造成泄密, 但一旦感染了木马, 其危害就十分严重了。其中一种被称为“摆渡机”[2] 的木马, 该类木马会根据指定的关键字搜索计算机的文件夹, 并将窃取到的文件伺机通过因特网发送到指定的地址或邮箱, 使得物理隔离的内网与因特网之间有了连接的泄密渠道。
1.5 管理不善, 密级混乱
在一些企事业单位内网中, 涉密信息按照重要程度被分成不同的秘密等级, 同时对移动存储介质也划分了相应的等级, 不同密级的信息需用对应密级的移动存储介质承载。但一些工作人员常常疏忽大意或者一时图省事, 造成高密低用或者低密高用的情况。高密低用[3] , 就是密级等级高的信息使用密级等级低的移动存储介质承载, 数据安全无保障。例如:一是涉密笔记本电脑和移动存储介质接入到低密级、非涉密系统中, 会产生数据泄密隐患;二是低密高用, 就是将密级低的移动存储介质插入到密级高的计算机当中装载高密级的信息数据, 这使得病毒传播进而感染高密级信息数据成为可能。
1.6 缺少有效的监督机制
一些单位的安全保密部门虽然制定了移动存储介质相关的规章制度, 但监管部门与使用者处于分离状态, 不能有效的行使监督和管理职能, 使用者怎么使用移动存储介质的, 什么时候做了什么, 监管部门并不清楚。即便发生泄密事件要追查责任封堵漏洞也无从下手。
1.7 体积小易丢失, 重要信息也随之泄漏
移动存储介质尤其是目前被广泛使用的U盘, 体积小重量轻容量大使用方便应用广泛, 却很容易丢失。装有重要信息的U盘一旦丢失, 上面的信息数据必然会随之泄漏。
2 构建移动存储介质管理系统
一直以来, 国内外都非常重视涉密移动存储介质管理问题。国家保密局先后制定了《涉及国家秘密的信息系统安全审计产品技术要求》、《涉及国家秘密的信息系统终端安全与文件保护产品技术要求》和《涉及国家秘密的信息系统分级保护技术要求》等技术标准和规范。这些标准和规范都从技术和管理的双重角度对涉密信息系统中的移动存储介质的使用做出了必要的规定, 目的是实现移动存储介质管理的“五不”原则[4] :进不来、出不去、拿不走、改不了、逃不掉。
随着计算机技术的不断发展, 技术手段在现代化的保密工作中扮演着越来越重要的角色。针对涉密介质的使用缺乏身份认证、访问控制和审计机制等问题, 根据涉密内网对涉密介质管理的要求, 需构建移动存储介质安全管理系统, 以提供对移动存储介质从购买、使用到销毁全过程的管理和控制。
2.1 工作原理
(1) 创建标识:
采用专用技术, 在移动存储介质内结合用户的身份信息, 创建唯一的用户标识信息, 为移动存储介质的管理、用户身份认证提供鉴别基础;
(2) 设备及身份认证:
利用创建的唯一电子标识信息, 实现计算机系统与用户设备间的身份认证, 保证没有标识的设备不能在内网计算机上使用, 有标识的设备不能在外网计算机上使用;
(3) 数据加密:
采用虚拟磁盘技术, 结合专用算法完成数据包加密, 采用特殊磁盘格式, 并结合身份认证功能达到保护数据机密性的目的;
(4) 自身防护:
采用Windows 过滤驱动技术从系统底层防止客户端程序被非法删除、卸载或停用, 对客户端程序进行进程、注册表和文件等级别的保护, 以确保其自身安全性。
2.2 主要功能
2.2.1 移动存储介质认证
移动存储介质系统提供对移动存储介质的注册认证管理功能, 没有经过管理员注册认证的移动存储介质, 不能在内网计算机上使用。移动存储介质要想在网络内使用, 必须经过管理员对该移动存储介质进行注册, 并赋予相应的权限。管理员还可以取消对移动存储介质的注册, 收回对该移动存储介质的特殊授权。
2.2.2 移动存储介质权限管理
移动存储介质管理系统对移动存储介质的权限可分为禁用、只读、安全读写和直接读写4种方式。
禁用权限禁止移动存储介质在部署了移动存储介质管理系统的计算机上使用, 禁止该移动存储介质的所有文件和数据读写操作, 既不能从该移动存储介质读出文件, 也不能将计算机中的文件复制到该移动存储介质中。
只读权限的移动存储介质在部署了移动存储介质管理的计算机上, 只能将移动存储介质中的文件或者数据复制到计算机上, 但是不能将计算机上其他存储设备的数据和文件复制或者输出到移动存储介质中。
安全读写权限的移动存储介质在指定的域内可以自由交换数据, 但数据读写的时候都自动进行了格式转换, 并且这些数据仅在同一个域内的计算机上能够正常使用, 在非同域内的计算机上这些数据是无效的。安全读写权限实现了数据的安全共享, 即数据共享的同时, 有效限定了数据的使用范围, 从而不会造成信息泄密。
正常读写权限的移动存储介质, 在指定域内的计算机上其权限是最高的, 数据使用不受任何限制, 可以自由复制。该模式一般仅用作特殊权限, 输出数据使用, 不能作为日常的管理模式。
2.2.3 移动存储介质隔离
对于高安全级别的移动存储介质, 可将其使用范围严格锁定在内部工作环境中, 在外部网络计算机上无法使用注册过的内部移动存储设备。同时, 未注册移动存储介质的也无法在内部网络中使用。这种内外隔离、密级隔离既避免了信息的泄密问题, 也杜绝了通过移动存储介质传播病毒的问题。
2.2.4 数据透明加密保护
对于机密级别较高的移动存储介质, 移动存储介质管理系统还提供数据保护功能, 即所有写入移动存储介质的数据都会被自动进行格式转换;用户在读取文件时, 数据能够被自动还原。这个过程应由系统自动完成, 不需用户参与, 与普通磁盘上操作没有任何区别。这样, 即便移动存储介质丢失, 上面存储的加密信息也很难被破译。
2.2.5 文件安全删除
移动存储介质上的文件和文件夹采用常规方法删除以后, 还是可以使用专门的技术和工具进行恢复的[5] 。对于涉密等级较高的资料应采用更加彻底的办法加以“粉碎”, 确保资料在删除后不能被恢复。可采用密码置乱技术, 对删除文件后的移动存储设备进行8 次随机数填充, 即没有对移动存储设备进行硬件破坏又保证任何工具都不能恢复移动存储设备上的数据。
2.2.6 记录使用日志
对移动存储介质上所有的文件操作, 包括文件的创建、复制、删除和重命名等操作, 进行详细的监控记录, 记录的要素包括时间、用户名、计算机名、文件名和其他必要的信息, 以作为日后审计使用。如此一来, 即便发生通过移动存储介质造成的泄密问题, 也有据可查, 可以为追究责任和防堵漏洞提供有力的证据保障。
2.3 三权分立的管理机制
对于某些管理要求严格的大型企事业单位的涉密内网, 对移动存储介质管理除了使用技术加以管控以外, 还可进一步采用三权分立的管理机制。三权指的是:管理员权限、审计员权限、操作员权限。管理员负责本级用户标识设备的创建和管理, 负责下级管理员和审计员的生成和管理等;审计员负责提取所有角色的操作日志, 必要时加以分析和取证。在移动存储设备的使用过程中, 审计员可随时提取包括注册信息、使用人、使用计算机、使用时间、使用信息和动作等审计记录, 可以对移动存储设备的整个使用过程进行监督和审计;操作员负责移动存储介质的注册、授权、注销等等具体操作。
2.4 密级对应的使用原则
信息是分密级的。在一个合格的安全体系中, 不同密级的信息必须保存在不同的位置或不同的存储介质上, 这样便于最大限度保障信息的安全。为此, 可将可移动存储介质划分保密等级, 用以存放相应密级的数据, 只有具备相关权限的人员才能对涉密信息进行访问。密级对应不是说只有同等密级的计算机和移动存储介质之间才能建立互信的使用关系, 按照密级对应使用移动存储介质的一般原则是:数据从低密向高密流动不受限制。如, 高密级计算机能读取低密级移动存储介质上的数据, 但不能对其进行写入操作[6] 。按照密级对应的使用原则, 即灵活又有效的构筑了一道防止涉密信息泄露的安全堤坝。
3 结束语
移动存储介质安全管理是内网信息安全管理的重要组成部分。移动存储介质的使用范围越来越广, 必须因势利导, 坚持预防为主的方针, 通过认证和加密技术, 提高了移动存储介质使用的安全性。但是, 一个完整的内网安全系统应是技术手段和管理制度相结合的体系, 还需要对涉密移动存储介质进行全过程监管, 严把采购关、检查关、使用关、维护关及销毁关等各个环节, 形成“制度保障、组织管理、技术防范”的整体合力, 从而构建一个安全的可信赖的内部网络工作环境。
参考文献
[1]王琢, 刘建华, 范九伦.Autorun类病毒在移动存储中的传播方式分析[J].计算机安全, 2008 (11) :108-109.
[2]池同柱, 陈平.浅谈移动存储介质的信息安全[J].技术研究与应用, 2008 (10) :62.
[3]周俐军, 王冬梅, 宋皓.政务内网中的移动存储介质管理问题及对策[J].电子政务, 2008 (10) :97.
[4]池同柱, 陈平.浅谈移动存储介质的信息安全[J].技术研究与应用, 2008 (10) :63.
[5]闫安.论数据误删除后的恢复及数据的安全删除[J].网络与信息, 2008 (12) :26-28.
成文日期: 2009-02-25
编
号: ***20090045
标
题: 关于加强计算机及移动存储介质保密管理的规定
为进一步规范我局计算机及其网络、移动存储介质安全保密管理,加强局机关计算机信息安全管理,现依据相关法律法规和各级关于计算机信息安全保密的文件精神,结合我局的实际情况,特制定本规定。
第一章 计算机及移动存储介质使用的管理
按照国家信息安全等级保护的要求,对局机关计算机信息系统实行分类分级管理,具体要求如下:
(一)涉密计算机及网络的使用管理
第一条
涉密计算机应登记备案,定期核查,确定使用人和责任人,实行专机专用,定点存放。未经批准的无关人员不得对涉密计算机进行操作。
第二条
涉密计算机应设置数字与英文字符混合使用的开机口令,长度不得少于8个字符,并定期更换,防止口令被盗。
第三条
涉密计算机严禁安装使用无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备。
第四条
严禁将涉密计算机连接或间接连接到政务专网(金宏网)、互联网等非涉密网络,必须实行物理隔离,并安装非法外联监控软件。
第五条
严格限制从互联网向涉密计算机复制数据,确需复制的,应严格按照国家有关保密规定执行。非涉密介质严禁接入涉密计算机。
第六条
涉密计算机和涉密移动存储介质不得携带外出,确须携带外出的,必须履行审批手续。
第七条
涉密计算机及相关设备的维修必须进行登记,在单位内部现场进行,并由专人全程监督,严禁维修人员读取和复制涉密信息。确需送修的,应当到保密管理部门指定的单位维修。
第八条
涉密计算机及相关设备在变更用途时,应当使用数据清除工具彻底删除存储部件中的涉密信息。
第九条
涉密计算机及相关设备的报废销毁,应经局领导同意后,到市涉密载体销毁中心销毁,严禁自行销毁或作为废品处理。
(二)非涉密计算机及网络的使用管理
第十条
接入政务专网(金宏网)、内部局域网和其他内部办公的计算机,用于存储、处理、传输内部工作信息,必须与互联网实行物理隔离,并安装非法外联监控软件。任何处室、个人不得擅自将内部(金宏网)计算机与互联网连接。
第十一条
涉及国家秘密的信息,不得在政务专网(金宏网)和其他内部办公网的计算机中存储、处理、传输(含电子邮件)。
第十二条
接入互联网的计算机,不得存储、处理、传输(含电子邮件)涉及国家秘密和工作秘密的信息。保密管理实行“谁上网,谁负责”的原则,做到“涉密信息不上网,上网信息不涉密”。
第十三条
个人持有的计算机、笔记本电脑不得处理涉及国家秘密、工作秘密的信息。
(三)涉密及非涉密移动存储介质的使用管理
本规定所称的涉密存储介质包括计算机硬盘、便携式计算机、移动硬盘、软盘、U盘、光盘、录音带、录像带、数码复印机、手机等各种存储器和其它具有存储功能的电子产品。
第十四条
涉密和非涉密移动存储介质须建立台帐,由单位统一一登记、编号、标注密级。涉密存储介质应指定专人负责管理,定期检查,定点存放。严禁将涉密存储介质擅自转借(让)他人、挪作他用。
第十五条
涉密移动存储介质须按密级标识使用。高密级的存储介质不得在低密级计算机或非涉密计算机信息系统中使用。严禁在涉密计算机信息系统和非涉密计算机信息系统之间交叉使用移动存储介质。
第十六条
涉密移动存储介质一般只能在办公场所使用,确因工作需要带出办公场所的,须履行报批手续并采取保密措施。
第十七条
感染病毒、木马移动存储的设备应立即进行病毒查杀,防止病毒、木马在局机关办公网络中交叉感染。
第十八条
对发生故障的涉密移动存储介质,应做报废处理。需要进行数据恢复的,必须到由国家保密管理部门指定的具有保密资质的单位进行。需要销毁的,应经本部门领导审核批准,并履行清点、登记手续后,统一到市涉密载体销毁中心销毁,严禁自行销毁或作为废品处理。
第十九条
对涉密和非涉密移动存储介质要定期进行清查、核对。局保密办每半年组织一次涉密移动存储介质保密管理情况的检查。
第二章 在公共信息网络上发布信息的保密管理
第二十条
严格执行政务信息公开发布保密审查制度,凡是标明密级或内部资料的信息,一律不得上网发布。对没有标明密级,但认为信息内容敏感可能涉密的,须由局保密办研究确定。
第二十一条
对网上信息进行扩充或更新,应当认真执行信息保密审查制度。对不是本单位产生的信息,需要上网发布时,应征得原信息产生单位同意后,方可发布。
第二十二条
任何部门和个人不得在电子公告系统、聊天室、网络新闻组上发布、谈论和传播国家秘密信息和内部工作秘密。
第三章 计算机信息安全的监督、检查
第二十三条
局保密委(由局领导和各处室主要领导组成)负责对局机关计算机信息安全和保密工作的协调、指导和督促检查。局保密委办公室(由局办公室相关人员和各处室内勤组成)负责计算机安全日常事务。
第二十四条
局保密委办公室负责定期对局机关计算机安全保密情况开展检查,对发现的问题及时纠正。
第二十五条
对发生泄密和严重违规问题的,要依法依纪严肃处理。按照“谁使用,谁负责”、“谁主管,谁负责”的原则,依照《青岛市泄密事件查处》条例规定,对涉及党纪处分的,按党纪处分条例办理;涉及政纪处分的,按照公务员处分条例等有关法律法规办理,涉及追究刑事责任的,由司法机关依法处理。
四、本规定由局保密委办公室负责解释。
涉密和非涉密计算机保密管理制度
第一条 为进一步加强我局计算机信息保密管理工作,杜绝泄密隐患,确保国家秘密的安全,根据《保守国家秘密法》相关规定,结合我局实际,特制定本制度。
第二条 局保密工作领导小组及办公室负责本局计算机网络的统一建设和管理,维护网络正常运转,各股(室)所、局属事业单位、不得擅自在局系统网络上安装其他设备。
第三条 涉密计算机严禁直接或间接接入电子政务外网以及国际互联网等公共信息网络。非涉密计算机严禁直接或间接接入政务内网。
第四条 涉密计算机主要用于处理涉密业务和内部办公业务,不得处理绝密级国家秘密信息。非涉密计算机严禁存储、处理、传递和转载国家秘密信息和内部工作信息。
第五条 未经单位领导批准和授权,个人使用的计算机不得交由非本岗位工作人员操作。
第六条 不得使用移动存储设备在涉密和非涉密计算机间复制数据。确需复制的,应当利用中间计算机进行转存处理,并采取严格的保密措施,防止泄密。
第七条 国家秘密信息输出实行严格的登记、审批手续,特别是对国家秘密信息输出的范围、数量和介质要有明确的记载,确保国家秘密信息可控。
第八条 不得安装、运行、使用与工作无关的软件。
第九条 涉密计算机应由局保密工作领导小组办公室(以下简称“局保密办”)统一检修和保养。维修前,应进行登记,并将涉密信息和软件备份,彻底清除涉密信息或卸除所有涉密存储介质。不能彻底清除或卸除的应采取可靠的保密措施,保证所存储的国家秘密信息不被泄露。
第十条 涉密计算机不再继续使用时,须经单位领导批准,并在履行清点、登记手续,进行技术处理后将硬盘及时销毁,一律不得进行捐赠或当作废品出售。
第十一条 各股(室)所、事业单位单位发现计算机系统泄密后,应及时采取补救措施,并按规定及时向局保密办、县保密局报告。
第十二条 涉密的计算机信息在打印输出时,打印出的文件应当按照相应密级文件管理,打印过程中产生的残、次、废页应当及时销毁。
为贯彻落实《中共中央关于加强和改进保密工作的意见》(中发„2016‟5号)和《中共河南省委关于进一步加强和改进保密工作的实施意见》文件精神,进一步加强计算机和网络窃密泄密防范工作,我局严格按照文件要求,对计算 机网络保密管理开展自查自纠工作,现报告如下:
一、高度重视
防范网络窃密是信息化条件下保密管理工作的重中之 重。我局党委把保密工作作为一项重要工作常抓不懈。明确了保密工作的领导机构和人员,成立了由一名班子成员任组长,机关各处室主要负责人为成员的安全保卫保密工作领导小组,制定了保密工作岗位负责制和“属地管理” 原则,做到了保密工作机构、人员、职责、制度“四落实”。
二、计算机网络保密管理现状
我局机关共有涉密网络0 条,非涉密网络1 条,其中涉密计算机1台。我局所有电脑都配备了杀毒软件,能定期杀毒与升级。对涉密计算机的管理,明确了一名分管领导具体负责,并制定专人从事计算机保密管理工作。对非涉密单机的管理,明确非涉密计算机不得处理涉密信息。对于计算机磁介质(软盘、U 盘、移动硬盘等)的管理,采取专人保管、涉密文件单独存放,严禁携带存有涉密内容的磁介质到上网的计算机上加工、储存、传递处理文件。
三、工作落实情况
1、以宣传教育为主导,强化保密意识。为加强计算机及其网络的保密管理,防止计算机及其网 络泄密事件的发生,确保国家秘密信息安全,在计算机网络管理人员以及操作计算机的领导干部、涉密人员中强化计算机保密安全意识,我局采取多种方式、多种渠道对计算机保密相关人员进行宣传教育。一是认真组织学习《国家保密法》、《中华人民共和国国家安全法》、《中华人民共和国保守 国家秘密法实施办法》,并要求结合实际贯彻落实。二是加强警示教育。通过近几年互联网信息泄密事件,要求机关各处室汲取教训,进一步重视和加强网上信息的保密管理,确保计算机及其网络安全。
2、以制度建设为保障,严格规范管理加强制度建设。加强制度建设,是做好计算机网络保密管理的保障。为了构筑科学严密的制度防范体系,不断完善各项规章制度,规范计算机及其网络的保密管理,我局主要采取了以下几项措施:一是认真贯彻执行上级保密部门文件的有关规定和要求,不断增强依法做好计算机保密管理的能力;二是制定《涉密载体管理制度》;三是严格涉密信息流转的规范性,弥补管理上存在的空挡;四是针对信息发布中存在的不规范等问题,及时制定涉密信息发布审查制度,要求对上网信息严格审查、严格控制、严格把关,从制度上杜绝泄密隐患,做到“上网信息不涉密、涉密信息不上网”。以督促检查为手段,堵塞管理漏洞为了确保计算机及其网络保密管理工作各项规章制度的落实,及时发现计算机网络保密工作中存在的泄密隐患,堵塞管理漏洞,我局十分重视对计算机及其网络的保密工作的督促检查,采取自查与抽查相结合,常规检查与重点检查相结合,定期检查与突击检查相结合等方式,对计算机及其网络管理制度的落实情况、涉密网络的管理和使用情况、防范措施的落实情况进行检查。
今年以来,我局对全局计算机及其网络的情况进行了一次全面的检查,通过检查,查找到计算机及其网络保密工作中存在的管理漏洞,并整改到通过此次自查,我局计算机网络保密工作能做到制度到位、管理到位、检查到位。通过此次自查也发现存在一定的问题,主要是计算机防范技术有待学习提高,今后我们将继续加强学习,提高技术水平,严防计算机网络泄密事件的发生。
校保字〔2006〕107号
行政各处级单位:
为进一步加强我校保密工作的制度化、规范化建设,根据学校申报国家武器装备科研生产单位保密资格审查认证工作部署,校保密委员会办公室组织制定了《涉密项目过程管理及相关保密规定》,现予以下发,请各单位认真学习并遵照执行。
附件:涉密项目过程管理及相关保密规定
二○○六年三月二十七日
附件
涉密项目过程管理及相关保密规定
第一章 总 则
第一条 为了规范军工科研项目特别是涉密项目的全过程管理,参照《西北工业大学科研项目管理办法》及西北工业大学保密委员会有关文件,制订本细则。
第二条
军工科研项目分为纵向项目和横向项目,纵向项目是指来自各种国家计划渠道的项目。横向项目是指来自其它厂所、院校等法人单位的项目。第三条
军工科研项目全过程包含项目准备与申请阶段、项目的立项与执行阶段、项目结题验收阶段、项目推广转换阶段及项目申报奖励成果阶段。
第二章 项目准备与申请立项阶段
第四条
纵向项目准备与申请立项阶段主要工作包括项目指南建议及项目建议。科技处负责统筹规划、组织实施及上报工作。学院负责协助科技处做好本单位的组织实施及校内上报工作,各项目组负责具体实施。各部门在实施过程中应遵守有关保密规定。
第五条
科技处在进行项目指南建议部署和项目建议部署时,对于涉密指南建议和涉密项目,应根据不同的密级控制适当的知悉范围;召开涉密会议应按照有关保密规定进行;对于涉密的文件、资料和其它物品的制作、收发、传递、使用、复制、摘抄、保存和销毁,应按照有关规定履行审批和登记手续。
第六条
各项目组根据学校及学院的统一要求,撰写相关指南建议书及项目建议书,并提交学院,建议书中应包含对项目涉密情况的建议,学院汇总整理后统一上报学校科技处。各项目组有关人员和学院有关人员对于知悉的涉密文件、资料和其它物品承担保密义务,不得擅自扩大知悉范围。
第七条
对于各学院的指南建议书,科技处负责汇总整理,按照保密规定确定密级后上报有关上级部门。对于各学院的项目建议书科技处负责形式审查,形式审查应包括对项目涉密情况的审查。
第八条
横向项目的准备与申请立项阶段主要是指项目前期洽谈阶段及合同签订。前期洽谈主要由项目组与有关单位进行,洽谈中应明确合同涉密情况。合同签订时,项目组需填写合同审批表并经科技处审批,审批表中应对合同涉密情况进行说明。第三章 项目的立项与执行阶段 第九条
纵向科研项目经各主管上级部门批准后即可在学校立项管理。横向科研项目在双方签订的合同生效后即可在学校立项管理。
第十条
涉密项目立项时,项目组应根据项目密级确保项目组具备承担涉密项目的各项条件,包括涉密人员资格、涉密场地等条件,不具备条件的应进行整改。项目组承担涉密项目的资格需经学校保密办认可后方能到科技处进行项目立项。
第十一条
项目执行过程中,科技处负责项目执行情况和经费使用情况的管理。主要包括纵向项目年度报告、中期检查报告、GF报告、经费使用报表等工作的部署、形式审查及提交,以及对重大横向项目和对执行中有问题的横项项目的监督、检查和协调。学院负责协助科技处对项目的执行情况和经费使用情况进行部署、监督和检查。项目组负责项目的具体实施,包括按照要求完成年度报告、GF报告、试验报告以及各种上级部门规定或合同另一方要求的各种任务,确保项目保质按时完成。
第十二条
对于涉密项目,项目组应确保涉密载体使用,涉密文档密级确定,各种涉密介质的制作、传递、使用、复制、保存和销毁等涉密行为符合保密规定。第四章 项目的结题与验收阶段
第十三条
科研项目通过验收后,由项目组向档案馆提供技术档案资料,档案馆根据有关档案法规对归档资料进行审查,对涉密项目要按照有关保密规定进行审查,经审查符合有关归档要求后归档,档案馆出具已归档证明材料。
第十四条
通过验收的科研纵向项目,其项目负责人三个月内要向学校提出结题书面申请,逾期没有提出申请的,项目结余经费按国家有关规定执行。提出结题书面申请,经审批同意延期结算的项目,其项目负责人必须在提出申请后三个月内办理结题、结算手续。逾期未办理结题、结算手续的,项目结余经费按国家有关规定执行。
第十五条
在合同或任务书规定期限内未完成研究内容的科研项目,其项目负责人必须向甲方单位提出延期申请,并在科研处备案。
第十六条
办理科研项目结题时,项目组需填写科研项目结题审批表并附相关验收证明材料,经学院及档案馆审批同意后,方能到科技处办理结题手续。
第五章 项目的推广与转换阶段
第十七条
我校承担的涉密军工科研项目在推广与转换过程中,必须在列入相应涉密等级的《武器装备科研生产单位保密资格名录》的单位中招标或签订合同,并在合同中明确保密条款或签订保密协议,监督中标单位实施。
第十八条
科技处是学校军工科研项目的推广与转换的归口管理部门。
第六章 项目的申报奖励成果阶段
第十九条
申请鉴定的科研项目,凡涉及国家秘密事项的,依照《中华人民共和国保守国家秘密法》和科学技术保密的有关规定执行。
第二十条
涉密项目申报奖励过程中,项目组应确保涉密载体的使用,文档密级的确定、制作、传递、复制、保存和销毁等涉密行为符合保密规定。
第二十一条
科技处对项目组提交的鉴定材料和科技奖励材料进行形式审查并审批,合格后进行上报。涉密项目在传递、保存过程中要按有关保密规定执行。第七章 附则 第二十二条
军工科研项目的五个阶段过程的管理要符合《西北工业大学国防科技生产项目档案保密管理规定(试行)》的有关规定。
第二十三条
本办法由科技处负责解释。第二十四条
1、涉密网安全的脆弱性是体制性的、多层次的、多范畴的,这种复杂性导致涉密网安全机制的复杂性。因此,解决涉密网的安全保密问题需要整体的解决方案。针对这种情况,论文设计了涉密网安全保密整体解决方案(TheWholeSolutionofSecret-relatedNetworkSafety:WSSNS)。
2、涉密网安全风险威胁分析
涉密网安全风险威胁分析涉密网安全风险分析的目的是明确涉密网可能存在的安全风险,从而为制定安全保密解决方案提供依据。涉密网安全风险与网络系统结构和系统的应用等因素密切相关,下面从物理安全、系统安全、网络安全、应用安全及管理安全五个方面进行分别描述。
2.1物理安全风险分析物理安全风险分析涉密网物理安全是整个网络系统安全的前提。物理安全的风险主要有:
(1)地震、火灾、水灾等自然灾害。
(2)设备被盗、被毁,链路老化或被有意或者无意的破坏;
(3)设备意外故障、停电;
(4)因电磁辐射造成信息泄露。
2.2系统安全风险分析系统安全风险分析
涉密网系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统和应用系统或多或少存在安全漏洞,这些安全漏洞可能造成重大安全事故。从实际应用看,系统的安全程度与是否对其进行安全配置有很大关系,系统如果没有采用相应的安全配置,则会漏洞百出,掌握一般攻击技术的人都可能入侵得手。
2.3网络安全风险分析网络安全风险分析
目前涉及国家秘密的政府和企业网络系统通常建了三种网络:
(1)Internet接入网,简称外网。各个单位通过外网获取信息,对外发布相关信息。
(2)单位内网,简称内网。内网为单位应用系统提供统一的运行平台,统一管理内部的各类信息。
(3)涉密网。主要是针对秘密信息,构建的独立、完整、统一的涉密网平台,通过这个涉密网平台,实现内部涉密信息的安全流向和保密。
涉密网网络安全风险主要包括以下几种情况:
(1)涉密网与外网互联的安全危胁;
(2)涉密网与单位内网互联的安全威胁;
(3)涉密网内部的安全威胁。
2.4应用安全风险分析应用安全风险分析
涉密网应用安全涉及很多方面。应用系统是动态的、不断变化的,应用的安全性也是动态的,这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。应用安全风险主要有:
(1)资源共享所造成的重要信息泄密;
(2)病毒侵害所造成的信息泄漏、文件丢失、机器死机等。
2.5管理安全风险分析管理安全风险分析
管理是网络中安全得到保证的重要组成部分,是防止来自内部网络入侵的必要部分。责权不明,管理混乱、安全管理制度不健全等都可能引起管理安全的风险。
3、涉密网安全保密整体解决方案
涉密网安全保密整体解决方案在分析涉密网安全风险威胁的基础上,论文设计了涉密网安全保密整体解决方案(WSSNS),WSSNS从物理安全、系统安全、网络安全、应用安全和管理安全五个方面来实现涉密网的安全保护。涉密网安全保密体系框架如图1所示。单位内网网单位内外网网外物理隔离离物理隔物理隔离离物理隔涉密网涉密网物理安全物理安全系统安全系统安全网络安全网络安全应用安全应用安全管理安全管理安全环境安全全环境安设备安全全设备安媒体安全全媒体安操作系统安全全操作系统安应用系统安全全应用系统安物理隔离离物理隔身份认证证身份认安全审计跟踪踪安全审计跟入侵检测测入侵检共享控制制共享控病毒防护护病毒防安全管理体制制安全管理体安全管理平台台安全管理平图1涉密网安全保密体系框架图1涉密网安全保密体系框架。
3.1物理安全物理安全
物理安全是保护涉密网中的设备和媒体免遭地震、水灾、火灾等环境事故和其他人为事故的破坏。WSSNS的物理安全主要包括三个方面:
(1)环境安全针对涉密网的环境安全,国家制定了一些规范。WSSNS遵循国家制定的规范,要求设置防火、防水、防震、防雷和防静电等方面的装置和设施。
(2)设备安全WSSNS要求配置防盗报警系统装置;要求配置磁带机进行备份,对于涉密信息,要求配置光盘刻录机进行备份;同时要求电源设备冗余备份。
(3)媒体安全为了防止涉密网中的信息通过电磁波扩散出去,通常是在物理上采取一定的防护措施。WSSNS要求采用通过国家安全机关认证的电磁波干扰器进行保护,平均每30平方米的室内配1~2台电磁波干扰器。
3.2系统安全系统安全
WSSNS的系统安全包括两个方面:
(1)操作系统安全WSSNS要求采用安全性较高的网络操作系统,并且对操作系统进行必要的安全配置、关闭一些不常用却存在安全隐患的应用;同时要求配备操作系统安全扫描系统对操作系统进行安全性扫描,如果发现其中存在安全漏洞,必须对网络设备重新配置或升级。
(2)应用系统安全WSSNS要求应用系统加强登录身份认证,严格限制登录者的操作权限;同时要求充分利用操作系统和应用系统本身的日志功能,对用户所访问的信息做记录,为事后审查提供依据。
3.3网络安全网络安全
网络安全是WSSNS的核心,主要包括四个方面:
(1)物理隔离为了确保涉密网中的信息不被非法获取和访问,WSSNS要求涉密网与外网、涉密网与单位内网之间完全物理隔离。要求涉密网单独布线,采用独立交换机和专用服务器,不允许与其他网络相连接。
(2)身份认证和权限管理WSSNS采用严格的身份认证和权限管理,保留了口令方式进行身份认证和权限管理。针对涉密网,口令的使用有一些严格的要求,比如增加口令复杂程度、不要使用与用户身份有关的、容易猜测的信息作为口令等。
(3)安全审计跟踪WSSNS要求配置通过国家安全机关认证的安全审计跟踪系统。在涉密网系统中配置安全审计跟踪系统,可以跟踪用户的访问行为,并可根据需求对通信内容进行审计,防止敏感信息的泄漏以及非法信息的传播。
(4)入侵检测[3]WSSNS要求配置通过国家安全机关认证的入侵检测系统。入侵检测系统是根据系统已知的攻击模式对网络中的访问行为进行匹配,并按制定的策略实行响应。入侵检测系统可以在一定程度上识别并防范来自内部的攻击。
3.4应用安全应用安全应用安全主要包括两个方面:
(1)共享控制WSSNS严格控制内部员工对涉密网内资源的共享。要求在涉密网中一般不要轻易开放共享目录,对有经常交换信息需求的用户,在共享时也必须加上必要的口令认证机制。
(2)病毒防护由于病毒的传播难以控制,病毒一旦进入,有可能马上殃及整个涉密网,其破坏力将是非常大的。因此,WSSNS要求建立一个全方位的病毒防范系统,要求涉密网中的各个计算机都必须配置病毒防护系统。
3.5管理安全管理安全
保障涉密网的安全运行,安全管理显得尤为重要。WSSNS的管理安全包括两个方面:
(1)制定健全的安全管理体制WSSNS要求制定健全的安全管理体制。各单位可以根据自身的实际情况,制定如安全操作流程、安全事故的奖罚制度,网络安全防范的培训制度等。
(2)构建安全管理平台WSSNS要求构建安全管理平台对涉密网进行统一管理,实现全网的安全。
4、企业涉密网拓扑图企业涉密网拓扑图
目前在涉及国家秘密的行业系统中正在进行涉密网建设与保密资格审查认证工作。将WSSNS应用于国家某重点企业涉密网建设,建立的该企业涉密网拓扑图如图2所示。涉密网核心交换机涉密网核心交换机设计室一设计室一设计室二设计室二办公室一办公室一办公室二办公室二……涉密网备份服务器涉密网备份服务器入侵检测系统入侵检测系统安全审计跟踪系统安全审计跟踪系统图2某企业涉密网拓扑图图2某企业涉密网拓扑图涉密网服务器涉密网服务器磁带机磁带机该企业涉密网配备了涉密网服务器、涉密网备份服务器、磁带机、安全审计跟踪系统、入侵检测系统和涉密网核心交换机等,其中,涉密网核心交换机和涉密网服务器是整个涉密网的核心设备。根据WSSNS中物理安全方面的内容,该涉密网配置了备份服务器,一旦涉密网服务器出现故障,可以保持涉密网的继续运行;同时配置了磁带机,对某些重要信息进行备份。各设计室和办公室安装了电磁波干扰器,有效地防止了涉密网中的信息通过电磁波扩散出去。
根据WSSNS中系统安全方面的内容,涉密网服务器和涉密网备份服务器均安装安全性很高的UNIX操作系统,设计室和办公室计算机安装安全性较高的LINUX操作系统。同时对各计算机安装的应用软件或系统进行严格的控制。根据WSSNS中网络安全方面的内容,该涉密网与其他网络物理隔离,有效地防范了来自其他网络的攻击。
各服务器和计算机采用了严格的用户认证和权限管理,大大提高了涉密网内部的安全性。同时配置了安全审计跟踪系统和入侵检测系统,可以跟踪用户访问,有效地识别并防范来自内部的攻击。
根据WSSNS中应用安全方面的内容,该涉密网中服务器安装了网络杀毒软件,各设计室和办公室计算机安装客户版杀毒软件,建立了有效的防病毒体系。根据WSSNS中管理安全方面的内容,该企业制定了严格的管理制度和监控体系。半年的实际运行表明,根据WSSNS构建的该企业涉密网安全保密性很高,这就初步表明WSSNS是一个整体而有效的方案。
5、结束语
涉密网运行中出现任何问题都可能造成难以估量的损失,因此,确保其安全、稳定、高效的运行是十分重要的。论文设计了涉密网安全保密整体解决方案(WSSNS)。WSSNS应用在国家某重点企业涉密网中取得了良好的效果,受到了该厂领导和专家的一致好评。
2涉密计算机保密管理制度方案
为进一步加强涉密计算机信息保密管理工作,杜绝泄密隐患,确保国家秘密的安全,根据《中华人民共和国保守国家秘密法》,结合实际,制定本制度。
(一) 办公室负责本单位计算机网络的统一建设和管理,维护网 络正常运转,任何人不得擅自在网络上安装其他设备。
(二) 秘密信息不得在与国际互联网联网(外网)的计算机中存 储、处理、传递。涉密的材料必须与国际互联网(外网)物理隔离。涉密计算机不得擅自接连上互联网。
(三) 凡涉及涉密计算机设备的维修,应保证储存的信息不被泄 露。到保密工作部门指定的维修点进行维修,并派技术人员在现场负责监督。
(四) 发现计算机系统泄密后,应及时采取补救措施,并按规定 在24小时内向市保密局报告。
(五) 涉密的计算机信息在打印输出时,打印出的文件应当按照 相应密级文件管理,打印过程中产生的残、次、废页应当及时销毁。
(六) 不按规定管理和使用涉密计算机造成泄密事件的,将依法 依规追究责任,构成犯罪的将移送司法机关处理。
(七) 本制度由单位保密工作领导小组办公室负责解释。
(八) 本制度从x年x月x日起执行。
涉密计算机维修、更换、报废保密管理规定
为进一步加强涉密计算机信息保密管理工作,杜绝泄密隐患,确保国家秘密的安全,根据《中华人民共和国保守国家秘密法》,结合实际,制定本制度。
一、涉密计算机系统进行维护检修时,须保证所存储的涉密信息不被泄露,对涉密信息应采取涉密信息转存、删除、异地转移存储媒体等安全保密措施。无法采取上述措施时,安全保密人员和该涉密单位计算机系统维护人员必须在维修现场,对维修人员、维修对象、维修内容、维修前后状况进行监督并做详细记录。
二、涉及计算机设备的故障现象、故障原因、扩充情况记录在设备的维修档案记录本上。
三、凡需外送修理的涉密设备,必须经保密工作领导小组领导批准,并将涉密信息进行不可恢复性删除处理后方可实施。
四、办公室负责对办公计算机软件的安装和设备的维护维修工作,严禁使用者私自安装计算机软件和擅自拆卸计算机设备。
五、涉密计算机的报废由保密领导小组专人负责定点销毁。
信息管理部 陈金文
目前,国家保密形势异常严峻,尤其计算机及其网络已成为泄密的重要隐患,通过计算机信息系统采用信息技术手段发生的泄密案与窃密案频发,随着国家BMB相关标准的出台,以及从业人员对国家BMB相关标准的深入理解,势必对企业应用系统的安全保密防护提出更高的要求。已经运行的应用系统如企业0A、PDM、CAPP、项目管理系统、档案等系统中存储着本单位各方面的大量信息,可以说是本单位的核心机密所在,这些数据的安全保密要求就需要对原有的应用系统进行安全改造。
一、应用系统安全保密改造目的
随着企业信息化程度的进一步推广,应用深度也进一步增加,涉密应用系统的应用范围和业务应用的规模伴随着业务的需求必然会快速增长,信息的安全保密技术也会不断出现新的安全隐患,也在不停地发展,对系统的安全保密管理的要求也会有所变化。随着业务的发展,规模会变化,机构会变化人员会变化,环境会变化,涉密应用系统也会跟随着调整、扩充、搬迁等,总会有或大或小的不同变化,因此,在涉密应用系统的安全保密工作中.我们在跟随技术发展的同时,管理方法和技术手段也必须不断调整来适应技术和要求的发展。只有这样才能使涉密信息系统始终保持安全良好的运行状态。就拿航宇公司而言,随着信息化工作的不断深入,企业先后陆续上了大量的应用系统,如:OA、PDM、TDM、CAPP、项目管理系统、门户、档案管理系统等,这些应用系统中积累了大量的数据,而且这些多数属于涉密数据。在早年推广的系统中,重点考虑应用的便利性和数据的安全性,很少会考虑到数据保密这个范畴,因此,原有的应用系统也就存在大量的漏洞和风险,如用户管理、“三员”管理、日志管理、审计管理、身份鉴别等,或多或少存在由于功能缺陷导致的保密问题、安全问题等,这些问题不解决,势必容易造成涉密信息被非授权访问,以及对窃、泄密事件的无法追溯。因此,为了保证这些数据的安全,除做好单机防护、访问控制和边界防护外,还应该对已经投入使用的应用系统进行安全保密改造工作。
二、应用系统安全保密改造方案
应用系统安全保密改造方案的总体思路是要适应实际和发展的需要,既要满足信息化对应用系统便捷性的要求,又要满足保密对应用系统安全性的要求,整个改造过程动态推进,具体做法如下:
(一)用户管理改造
原有的应用系统用户一般有系统管理员和普通用户两类,没有考虑“三员分立”管理功能。根据国家BMB标准的相关要求,在应用系统安全保密改造过程中将系统用户分为以下几类:用户按照功能和权限一般划分为三类:第一类是普通用户。第二类是业务管理员.主要指管理某个业务的功能模块的而设置的人员。例如OA协同办公系统的表单管理员,主要负责表单的设计、制作、发布、修订和表单流程的设立。第三类为“三员”。即系统管理员、安全管理员和安全审计员。“三员”应该按照最小权限的原则和权限分离原则进行权限划分,各管理员的权限应相互独立、相互监督和相互制约。系统管理员用于建立使用该应用系统的组织机构、建立和管理用户组和用户、用户的新增、变更、注销等等;安全管理员主要负责应用系统安全策略的设置、调整。用户账号安全策略的设置(口令复杂度、长度,口令更改周期,用户和用户组的访问控制权限分配和调整)以及普通用户操作系统信息(包括登录、操作和退出等)的查看;安全审计员负责审计业务管理员、系统管理员和安全管理员的操作,并对操作结果进行验证。因此,新上的应用系统除了具备“三员分立”的管理功能,实行三员分立的管理模式.三员的权限相互独立,互不交叉,从而防范违规事件的发生外,还应删除系统默认用户、删除超级管理员,避免管理员的权限过于集中导致信息安全问题。
(二)系统备份和恢复改造
1、系统备份
(1)应用软件备份:系统应用软件通过应用服务器发布,每次系统BUG修改和版本的升级、需求功能的补充,均会产生系统应用软件的更新,程序的每次更新均有版本控制器记录,每周对系统应用软件进行备份,且备份后的程序与应用服务器不在同一台机器中。该项工作由业务管理员进行负责操作和记录。
(2)数据库备份:系统提供数据库自动备份的批处理命令文件,通过系统的计划任务进行自定义设置,并定时对数据库进行备份,且备份文件与数据库服务器不在同一台机器中。该项工作由业务管理员进行定期检查和记录。
2、系统恢复
业务管理员按照各系统恢复预案进行系统恢复,操作人员及接触数据的范围,数据存储要求均符合保密要求。具体恢复分为以下两个方面:
应用软件恢复:一旦应用服务器出现故障或瘫痪,业务管理员应按照系统恢复预案进行恢复,协调有关部门和岗位人员配合该项工作的开展。首先,恢复应用服务器操作系统;其次,恢复应用服务器的WEB发布支撑软件;最后,恢复备份的应用系统软件,并在应用服务器上进行部署和发布,并记录恢复过程。
数据库恢复:一旦数据库服务器出现故障或瘫痪,业务管理员应按照恢复预案进行恢复,根据系统备份的数据文件,首先恢复数据库,然后按照数据库恢复批处理命令文件进行数据的恢复,并记录恢复过程。
(三)安全审计改造
涉密的应用系统需要有完整的安全审计功能,而我们很多应用系统在安全审计方面功能不足,需要改造。具体改造方案如下:首先,涉密应用系统的安全审计实现必须覆盖所有用户,并且能确保审计内容至少包括事件的日期、时间、事件发生的用户身份标识、发生事件的设备标识、事件类型、描述和结果;其次,安全审计的记录信息要符合机密性、完整性、可控性、可用性和不可否认性(抗抵赖)的原则;再次,应用系统要具备相当充分的审计条件,做好这方面的安全审计内容,主要反映在应用层面的审计数据收集工作,将有用的信息提取出来作为审计的内容,通过特定的管理页面提供给进行审计工作的用户,对审计数据能进行统计、分析、按条件查询及生成统计报表等功能,方便审计人员的统一审计管理。
(四)日志管理改造
过去的应用系统在日志管理功能方面不足或者不全,日志可读性、可管理性较差,我们现在的日志管理改造要求有日志管理策略设置的统一界面,该统一的日志管理界面将作为整个日志的管理中心,所有日志信息都将归总到这个统一日志管理中心里进行管理。日志管理要求一般可以包括三个方面,一是日志的存放要求,如日志存储路径、日志存储方式、目志存储空间或存储周期,所有的日志同时应具有存储空间满时的告警功能和自动覆盖最早日志或自动转存的功能等;二是日志容量和目志的覆盖周期,一般可追溯周期不少于1个月。三是应用系统的安全日志应与系统日志分开,同时涉密应用系统还应具备对特定事件进行实时报警功能,并限制用户对日志的访问,能确保日志管理的安全性,防止用户的恶意篡改日志记录。此外,为增强日志的可读性,日志管理还应该具备导出功能,建议应用系统采用SYSLOG接口、SNMP接口或者数据库接口三种之一提供日志的导出接口。
(五)身份鉴别改造
保密标准对应用系统身份鉴别的要求主要归纳为几点:“确保身份标识唯一性、可审计性和可核查性”、“口令设置长度、复杂度和更改周期”、“重鉴别”、“鉴别失败”等。常用的鉴别方式有用户名/口令,动态口令,数字证书,生物特征识别等。随着应用系统的数量的增加,越来越多的用户面临着“分散身份鉴别”带来的各种各样的问题,也就是“身份漫游”功能,漫游功能在信息化来讲是非常便利的,但从保密角度来讲却存在极大风险,因为不同身份所接触的涉密信息是不同的,涉密信息内有机密级计算机和秘密级计算机,甚至还有非密计算机,而各密级计算机所能接触的涉密信息等级不同,因此身份鉴别除了考虑上述要求同时,应考虑多个应用系统的单点登录和统一身份鉴别功能的实现。笔者认为:为了达到便利又安全保密的要求,采用身份认证网关实现单点登录访问控制是较好的办法。航宇公司的几个主要应用系统如:OA系统,PDM系统等大部分采用B/S架构,采用CA数字证书的验证的方式统一身份认证访问应用系统,并用防火墙对应用系统的端口进行最小化授权开放,用户成功登录应用系统后,应用系统会根据用户的角色出现相应的操作界面。在OA、PDM等重要的应用系统中均实现了通过门户统一身份认证身份鉴别方式实现了应用系统登录。
(六)涉密信息流向控制改造
涉密信息流向控制主要包括两个方面:一是对于密级级别高的人员,不但可以获取相同密级的数据信息,还可以获取比其密级低的数据信息;相反,密级低的人员不能获取比其密级高的数据信息。二是防止知悉范围扩大,即非授权用户无法查获非授权的密级信息,授权用户仅能查获相应授权的密级信息。重点是通过菜单权限和数据权限对用户权限进行限制。涉密信息的流向还可以通过企业内不同部门岗位和不同业务范围来进行控制,这种控制通常是结合系统权限控制来实现。例如:班组级、车间级、工厂级,部门级别高的人员有权访问下属级别的数据信息,相反,则受到限制。相应密级用户浏览相应的密级信息,低密级的人员无法获取高密级信息的目的;相应的业务用户浏览相应的业务信息,无法浏览不相关业务信息。实现方式主要有:
1、功能权限控制。
涉密应用系统的功能权控制也就是菜单权限,主要是针对用户或用户组设置不同的菜单权限,主要有两个方面:一是针对管理员权限而言,企业普通用户或用户组具有授权的相关业务的浏览、查询、处理等权限,但没有用户管理、权限管理和审计管理的功能,这些功能分别是系统管理员、安全保密管理员和安全审计员的功能。二是针对业务而言,不同的用户和用户组具有不同的业务权限权的控制由相应的业务应用系统内进行权限控制。
2、数据权限控制。
在应用系统中,系统提供对数据的访问权限进行控制,即针对系统用户或用户组按用户或用户组的角色进行权限划分,根据不同的用户角色可以看到特定的内容。普通用户可以看到业务上授权个人的可以看到的信息;系统管理员、安全管理员和安全审计员可以看到相应授权的信息或数据。如安全保密管理员可以看到的一般员工操作信息,安全审计员可以看到三员操作信息,别人看不到。
三、总结和建议
综上所述,要提高涉密应用系统的安全水平,除了硬件和环境应具备相应防范措施外,重点应该关注应用系统的安全保密防护,而应用系统的安全保密防护除技术措施外,还应在管理措施和相应的标准规范上下功夫,才能真正做好应用系统的安全保密工作。相对于用户改造,文中提到的密级流向控制是比较难改造的,很有可能会涉及到应用系统结构性调整。当然,原有的应用系统由于最初设计时目标的差异,应用系统进行改造过程中会由于历史应用原因,无法彻底按照本文描述的内容进行改造,但应该重点关注应用系统改造的原因和目的,采用其他方法达到保护应用系统中的涉密信息得到防护的目的。
参考文献:
『1】 王勇,李丹.物联网信息安全体系结构分析
保密科学技术,2010,10 『2】 顾景民,郭利波,姜进成.企业信息软件系统安全运行探讨
山东煤炭科技,2009,3 『3】 国家军工保密资格认证办公室,军工保密资格审查认证工作指导手册
应急管理资料和档案实行谁分管,谁负责的管理原则,按有关规定,由各专业科室收集并进行整理与本单位有关的应急管理资料(包括电子资料和纸字资料),应急演练的相关记录等由调度室统一保管。应急救援资料档案归档、保管、借阅、保密、登记及销毁必须遵循以下规定。
一、归档
凡属本单位在应急救援管理活动中形成的具有查考利用价值的文件材料、图纸、表格、声像、实物等各种门类、各种载体的文件材料都应列入归档范围。
二、保管
资料档案质量符合完整、准确、系统的要求,分类编号保管;借出的档案须按时归还,利用后的档案应随即放回原处。切实做好防盗、防火、防水、防潮、防尘、防虫、防霉工作。
三、借阅
查阅涉密资料档案,必须严格履行登记手续,由借阅人写书面申请并经分管领导批准方可准予借阅。申请单上必须写明借阅目的、借阅时间及借阅人,同时有分管领导的同意签字。所借阅资料档案必须由借阅签字人负责保管,不得随意借与他人,文档在使用时需爱护,不得有破损、缺页。资料档案使用完毕应及时归还,统一交回。
四、保密
资料管理工作人员和借阅人不得以任何理由和方式对外泄露资料档案中的机密,对造成泄密事故者,应追究其责任。未经领导批准,不得擅自复印档案。认真执行《保密法》,严格遵守《保密守则》的规定,做好档案保密工作。
五、登记
申请人借阅资料必须在资料本上登记,注明借阅、归还时间及借阅人。同时,档案管理员必须借阅情况做好记录。
六、销毁
为加强涉密文件的保密管理,特制定本规定。
本规定适用于国家下达带有密级标识的型号研制任务合同(以下称纵向合同,协议书)、密级产品横向定货合同、公司技术文件及技术协议书的管理。2引用文件
《国家秘密载体保密管理制度》
3涉密文件的管理
对于纵向合同及横向密级合同,应严格执行《国家秘密载体保密管理制度》的规定,必须存放于密码文件柜中,并登记入册,技术文件及技术协议书必须存放于文件柜中,并登记入册,确保涉密文件的安全与完整。
4涉密文件的传递
涉密文件的传递分为公司内传递与公司外传递。
4.1公司内传递
订贷合同到公司,由市场部兼职保密员负责合同(含技术协议书)的签定,后将合同转交保密办公室归档。公司内其他部门未经批准均不得复印、保管合同,同时由专职人员将公司技术文件复印传递到技术部、生产制造部,密级合同及公司技术文件复印件的管理视同原件,设计定型后,销售部将所有相关文件移交保密办公室归档保管。
4.2公司外传递
涉密文件的公司外传递必须严格遵循保密原则,我公司、用户上级主管机关、用户单位的合同(包括技术协议书)通过公司保密机要途径发送,严禁通过普通邮政和电子邮件传递合同。
公司技术文件不得在公司外传递。
5涉密文件的销毁
【涉密计算机及移动存储介质保密管理系统】推荐阅读:
涉密和非涉密计算机保密管理制度03-21
涉密计算机自查07-08
涉密计算机自查报告07-26
涉密事项保密管理制度01-17
涉密网络保密管理规范05-05
涉密人员保密管理制度05-07
涉密人员保密管理规定05-18
涉密信息系统集成资质保密标准01-28
涉密文件信息资料保密管理规定04-01
涉密人员保密守则06-19
