1 引言

    隨著計算機網絡技術的飛速發展，計算機網絡日漸成為人類社會的一個重要組成部分，而計算機犯罪、計算機網絡攻擊也變得更加的普遍和猖獗。網絡安全成為了一個擺在我們面前亟待解決的問題。國有軍工企業作為承擔國家重大科研項目負責單位，其網絡信息安全更是受到國內外間諜的關注。

    國家保密局從2005年開始陸續頒發了涉及國家秘密的信息系統分級保護技術要求、管理規范和測評指南等一系列標準，對涉密信息系統安全保密技術防范和管理提出了更高的要求。軍工企業需要根據新的標準和要求，從管理上進行改進，形成閉環管理，從技術上進行提升，營造安全的網絡環境。從而有效地促進涉密信息系統保密工作整體水平的提升。

2 分級保護的背景

    近年來，我國國有企業特別是涉密企業的失泄密事件時有發生。2003年，某涉密單位一位主任，私自把50多張計算機軟盤帶回家，其中包括機密和秘密級的共16張，途中他將全部軟盤遺失在出租車上。遺失以后。他也未向單位匯報，等出租車司機送回時，軟盤已失控6天，致使公安部門對其進行了刑事拘留。同年，另一涉密科研單位一位專家接到一雜志社的約稿，專家請其博士生將修改后的稿件通過電子郵件發給雜志社，可是博士生發郵件時鼠標點錯了文件，誤把一份絕密文件稿發給了雜志社，至網絡檢查發現該郵件并刪除時，該文件已在網上停留了7個小時。再經深一步調查發現，這份涉密文稿已在博士生的筆記本里存放了兩個月。某基地下屬4個單位的計算機網絡先后遭到非法訪問和惡意攻擊，甚至發生主頁被篡改的事故。此類失泄密事件層出不窮，究其原因，則多因管理上或技術上的漏洞，因此國家保密局結合我國當前的安全形勢先后頒發了相關管理、技術標準來對涉密信息進行規范。

    2005年，國家保密局印發了《涉及國家秘密的信息系統分級保護管理辦法》，頒布了‘涉及國家秘密的信息系統分級保護技術要求》。

    2007年，國家保密局頒發了《涉及國家秘密的信息系統分級保護管理規范》和《涉及國家秘密的信息系統分級保護測評指南》。

    2008年，國家保密局頒發了《涉及國家秘密的信息系統分級保護方案設計指南》。

    制度的頒發一定程度上強化了企業員工的安全意識，提高了軍工企業信息系統的安全性，但各個企業還應結合自己的實際情況構建本單位的分級保護制度和策略。

3 分級保護要點

    實施分級保護應同時關注技術和管理兩方面。如網絡安全風險分析、網絡安全策略制訂、網絡安全保密技術防范手段的建設和使用、信息設備和介質的安全保密管理以及安全防范體系的建設等方面。

    3．1技術方面

    技術是確保信息安全的硬件，如果沒有技術的支撐，信息安全將成為一句空話。技術上應主要關注邊界防護、電磁泄漏防護、終端主機防護等方面。

    3．1．1邊界防護

    在實施有效的內外網隔離的基礎上根據組織機構和管理流程的不同涉密程度劃分不同的安全域，并采取相應的邊界防護措施。如添加防火墻并設置相應的訪問策略；購買相應的安全軟件以防止未經授權終端的非法接入等。

    3．1．2電磁泄露防護

    所有計算機均需配備電源隔離插座，重點人員終端計算機配備視頻信息保護機。根據單位從事科研項目和涉密等級，應建造屏蔽機房或在重點設備問配備屏蔽機柜，并為網絡線路設置線路傳輸干擾器。

    3．1．3終端主機防護

    終端主機是涉密信息生成、流轉的策源地，將終端主機管控好將事半功倍。應根據實際情況為系統部署終端安全登陸與監控審計系統，采取身份鑒別措施，嚴格實施違規外聯管控、輸入輸出端口管控等。

    對系統內的終端計算機、服務器應定期采用安全掃描工具進行掃描，及時發現并消除存在的風險和隱患。

    對涉密移動存儲介質進行注冊和綁定，不同存儲介質只能在不同類型的計算機中使用，確保內外網絡的信息隔離。

    3．1．4傳輸線路管控

    單位園區中不同建筑、不同區域之間的網絡傳輸線路應根據可控程度選擇數據傳輸方式，明文傳輸或加密傳輸。

    3．1．5應用系統安全

    系統中在線運行的應用系統必須由具備保密資質的開發商開發，系統中的管理人員必須做到三員、三權分立，系統的主客體訪問控制粒度應合理、可控。

    3．1．6備份和容災系統

    關鍵網絡設備采取硬件備份措施，部署數據備份系統對系統中的涉密數據、關鍵數據進行自動備份。

    3．1．7網絡安全產品

    所有的網絡安全產品都必須進行統一嚴格管理，所有產品都必須經過國家保密局的測評，而且在測評有效期之內。

    3．1．8設備與介質管理

    信息設備和介質的安全管理是保密管理的重點和難點，在涉番信息系統保密管理制度中戍實行“五統三定一集中”的管理原則，所有設備和介質從采購直至報廢的全生命周期均由特定部門按照該原則實行歸口管理。“五統”就是“統一購置、統一標識、統一編號、統一發放、統一保管”。“統一購置”即經相關主管領導審批后由采購人員統一購置；“統一標識、統一編號”即入庫后統一按密級進行標識并編號：“統一發放”即由資產管理人員統一發放：“統一保管”指涉密移動存儲介質由部門保密員統一保管存放。“三定”是指“定位使用、定期檢查、定點維修”，“定位使用”即系統內的信息設備所使用的網絡端口和資源由特定部門按照規劃指定使用，移動存儲介質使用終端安全登陸與監控審計系統進行注冊，只能在指定的授權終端計算機上使用；“定期檢查”即保密辦每個月對介質的使用情況進行檢查，信息中心每季度對信息設備和介質的分布狀況進行核查；“定點維修”即將涉密存儲部件拆除后涉密信息設備進行定點維修，涉密介質出現故障必須送國家保密上作部門指定的單位進行維修，不得交由銷售單位、生產廠家或社會普通維修地點進行維修。“一集中”即“集中銷毀”，涉密存儲部件或介質需要報廢處理的，必須經審核批準后送交國家保密工作部門指定的涉密載體銷毀中心實施集中監督銷毀。

    3．2管理方面

    信息安全的保障既要有堅實的技術保障，更要有嚴格的管理規范。隨著國內外間諜的不斷深入，在歷次泄密事件中，人為因素的比重越來越大。

    3．2．1人員管理

    涉密人員作為涉密信息的商接接觸者，必須進行嚴格的控制。應根據涉密人員的涉密程度。對其進行嚴格的區分。不同等級的人員只能接觸不同的信息，確保涉密信息的知悉范圍。

    對于網絡管理人員，也應該根據不同的職能給予不同的控制權限．且需要相互制約。

    3．2．2流程管理

    標準化的管理才會帶來快捷和便利，才會使得所有的審批具備可追溯性。國有企業的有關事項牽涉國家信息，必須經過嚴格的審批流程。只有規范流程、量化管理才能真正杜絕管理上的泄密意外發生。

    3．2．5制度制定

    有了人員的日常行為管理，審批的流程化實施，必須依靠制度來進行固化和約束。對于國有企業，應該制定嚴格的人員管理制度、信息系統相關審批制度、設備和介質管理制度、應用系統管理制度、機房管理制度等。只有合理、嚴格、標準的制度才能夠規范人的行為，才能為信息安全的保證提供有效支撐。

4 實施分級保護工作的體會

    4．1領導重視，嚴格落實分級保護保密職責

    實施分級保護管理工作，領導重視是關鍵，只有領導的大力支持才能確保各種資源和部門之間的密切配合。國有企業信息化的建設能取得多方面的快速發展，主要得益于高層領導層對人員配備、資金安排和體系建設的大力支持和重視。在涉密網絡安全保密管理方面，只有領導重視制度的制定和落實、手段的建設和更新、設備與介質的管理等，才能使網絡安全管理縱向到底、橫向到邊、面面俱到，才能建市起健全、有效的計算機信息系統保密安全管理體系，才能使安傘保密職責得到層層落實。

    4．2規范流程，提高信息系統安全防范能力

    近年來，國家不斷提出對涉密計算機信息系統的新標準、新要求，國有企業應緊扣標準，在完善和修訂信息系統安全保密管理制度上下功夫，峰持按照嚴密周全和操作便利相結合、保密管理與科研流程相結合的原則，注重管理制度的可操作性、全面性、系統性，力求做到制度流程清晰明了、工作表單合理實用。只有這樣，才能收到涉密信息系統安全保密工作既管得住，又管得好的效果。

    4．3監督檢查，加大分級保護的獎懲力度

    日常的監督檢查考核，是確保信息系統安全的重要手段。國有企業應在保密監督檢查中堅持做到“三嚴”，即嚴查、嚴罰、嚴究，力求通過保密監督檢查樹立“零容忍度”觀念，即不容忍泄密行為、違規現象存在，不容忍國家安全和集體利益受到損害。對違反保密規定的行為應給予堅決查處、考核兌現。

    檢杏應定期和不定期相結合，且采取頻度高、覆蓋面廣的各種保密檢查方式。實踐證明，嚴格的檢查考核與處罰，很大程度上消除了人為因素產生的問題和隱患，是確保企業保密制度落實到位、執行到位的關鍵。

    4．4加強培訓，形成員工自覺遵守制度的文化氛圍加強管理制度培，嚴格執行管理制度，管好用好信息系統，是企業提高信息系統抗泄密風險能力的堅強基礎。

    一方面，培訓可提高信息系統管理人員和專業人員的綜合業務素質。有針對性地參加操作系統、網絡安全以及信息管理師等相關培訓可使信息化部門從業人員的技術和管理水平、安全保密監管能力、防范以及處置能力都得到另一方面．培訓可提高全員的信息系統安全保密意識。通過網上宣傳、友情提醒、組織觀看有關錄像相結合的多種宣傳教育方式，在企業內部營造保密文化氛圍，使終端用戶知法、懂法，從被動約束向主動守法轉變。

5 小結

    信息技術飛速發展，信息系統分級保護管理工作責任重大，任重道遠，國有企業員工也應該不斷提高，增強認識。通過實踐，我們充分認識到，領導重視、全員參與是做好分級保護管理工作的前提，提高能力、持續改進、構建長效機制是提升分級保護管理工作水平的關鍵。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：國有企業涉密信息系統分級保護探討與體會

本文網址：http://www.guhuozai8.cn/html/consultation/1083956494.html