1、- 1 -网络环境下涉密信息的安全保密管理与控制The Security and Secrecy Management and Control of Secret Information in Network Environment李旭陕西省西安市 13号信箱 91分箱 邮政编码 710021Email:摘 要:本文从企业信息安全工作实际出发,在分析目前军工企业信息安全保密管理工作中存在的问题的基础上,结合国家信息安全保密管理有关规定要求,论述了军工企业网络环境下涉密信息安全保密管理与控制要求。本文共分为概述、存在问题、安全体系规划、保密制度建设、人员管理、软硬件配置管理、结束语等七章,详细地
2、阐述了网络环境下涉密信息安全保密管理与控制要求。 关键词:网络,涉密信息,安全保密.Keywords: Network, Secret Information, Security and Secrecy 企业信息安全保障的目标在于确保企业整体业务的连续性和企业秘密信息的安全,通过部署安全设备、建立信息安全保密管理和运行体系,从安全管理和安全防范技术手段着手,通过基础设施、软硬件配置和系统边界三方面的安全技术措施以及相应的管理措施来保障企业信息系统的安全。企业园区网络环境下涉密信息管理与控制工作,应在安全保密体系规划与建设、保密制度建设、涉密人员管理、软硬件配置等方面进行规划与控制。1. 概述随
3、着国防军工企业信息化建设不断推进,企业信息化成为企业改善管理、降低成本、提高效益和市场竞争力的重要手段。信息技术在国防军工企业应用不断推广、深入,各单位的网络和计算机是在企业园区网环境下联网运行。随着企业的物资管理系统、财务管理系统、车间管理系统、生产计划管理系统、办公自动化系统、视频监控系统、决策支持系- 2 -统等涉及到企业内部秘密信息的信息化管理子系统不断建立,不同密级的涉密信息在企业园区网络内各系统单元内大量存在。通过园区网络相互连接的计算机,无论本机是否存有涉密信息,计算机实质上均已成为涉密计算机。存在没有定为涉密人员的员工通过企业园区网络登陆涉密管理系统,而接触涉密信息的实际可能性
4、,因此加强网络环境下涉密计算机及涉密信息管理系统单元的管理与控制,确保涉密计算机及企业园区网络内涉密信息的安全保密,是一项意义重大的系统工程。2 存在问题不少军工企业在网络技术大规模应用的新时期条件下,涉密信息的安全保密管理与控制存在不少问题与隐患。园区网络内涉密信息定密、标密不严格,各种涉及企业秘密信息的管理子系统登陆界面上没有标定密级,容易造成泄密;涉密信息管理子系统登陆账号、密码设置简单,又长期不更换,容易被他人知悉造成泄密。涉密办公室、机房管理不严,无关人员可随意出入、操作计算机容易造成泄密。对涉密计算机存储的文件、数据、资料缺乏有组织的保存管理,甚至在公用计算机或服务器上随意存放容易
5、造成泄密。涉密岗位工作人员对技术防范手段、设备认识不足,缺乏了解,操作不当容易造成泄密。涉密系统打印出的资料作废后随意乱扔容易泄密。外出使用存有涉密信息的笔记本电脑不注意保密容易泄密。涉密网络联网计算机、显示器通过电磁波辐射使秘密信息散发出去,被敌对势力接收;涉密网络与其它的信息处理设备或存储载体相连接,使秘密信息通过其它传输渠道扩散出去;涉密计算机维修、涉密载体数据恢复没有到承接涉密信息系统业务资质的单位,或采取必要安全护措施,造成涉密计算机、涉密载体内涉密信息泄密。涉密信息网络不可能向纸介质涉密文件那样用铁柜子封闭起来,网络系统暴露的部位多,接触的人员广,很容易受到攻击或通过技术手段窃取其
6、载有的秘密,且一旦泄密,扩散的速度快、范围宽。目前国防军工企业网络所使用的设备和应用软件大都是进口的,很难设想在保密技术防范上不存在泄密隐患。但不少军工企业对加强内部防范与控制,总感到会造成使用不便,认为大家都是自己人,不必搞得太紧张。这种倾向使企业的网络系统既没有足够的防范手段,也没有健全的规章制度。内部管理松弛,人员思想麻痹,防范措施形同虚设,泄密隐患随处可见。- 3 -3 安全体系规划国防军工企业信息安全保障的目标在于确保企业整体业务的连续性、企业涉密信息的安全,通过部署安全设备、建立信息安全管理和运行体系,保障涉密信息的安全。应按照国家有关涉密信息系统等级保护的管理规范和技术标准,进行
7、园区网络系统的安全设计规划,应当从网络通讯和存储体系的加密两方面着手考虑。独立建网,实施园区网络与外界互联网的物理隔离,并在园区网内部规划、安装必要的电磁屏蔽手段。园区网络系统的安全体系在设计前要对园区网络系统的安全需求进行调研,要保证任何涉密信息只能被具有相应安全授权的用户访问,是对园区网络系统中的文件、数据库表和记录、网页、电子邮件等对象实施加密保护,防止非法访问。要保证园区网络内信息的真实性,防止对信息的非法篡改,主要采用数字签名的方法实现。要保证对信息的访问实施安全控制。要保证全部的安全措施对园区网络系统的运行效率不会造成过大影响。在安全管理体系上,要按照涉密信息系统安全子系统的开发阶
8、段和运行阶段的不同情况,从设计规划、工程实施、系统运行、密码管理、应急处理、风险分析几个方面实施等级保护安全管理,保障对涉密数据信息管理系统的安全管理可控性。建立和完善网络信任体系为中心,利用身份认证、数字签名等技术,确保网络信息安全可靠。在涉密载体档案室、机房、网管中心等重要部位应配备“三铁两器” (铁门、铁窗、铁皮柜和报警器、灭火器) ,所有涉密场所都悬挂保密规定和警示牌,各个涉及企业秘密信息的管理系统应在登陆界面上都标明密级,并按照相应密级要求设定访问密码强度。企业内部应有专门部门负责企业网络系统硬件维修、配置升级、硬件报废、数据载体销毁等业务,确保企业网络系统及计算机存储的涉密信息的安
9、全保密。必要时,应请国家信息安全评估机构将按照等级保护相关管理规范和技术标准的要求,对园区网络系统的安全等级保护状况和安全保密体系进行监督检查。发现安全体系有漏洞或安全保护措施不符合等级保护要求,存在安全隐患或未达到等级保护要求的,应按照评估机构整改建议积极整改,并请评估机构进行复查,确保企业园区网络安全体系、保护措施达到等级保护要求的安全水平。- 4 -4 保密制度建设在国防军工企业涉密信息安全保密体系中,要建立信息安全领导和办事机构,落实企业涉密信息安全责任制,将信息安全保密职责分工落实到人。按照“适度安全”的原则,定期进行企业园区网络系统的风险评估和安全审计,明确安全保障的重点,加强对设
10、秘信息的保护,切实提高企业的综合信息安全管理水平。应根据国防军工企业自身情况,制定包括安全责任制度、定期检查制度、评估改进制度、安全外包制度、事故报告制度等在内的信息安全规章制度。对于园区网络重要管理和维护人员要建立资质审查制度,持证上岗。对涉密信息管理系统管理方面,要严格从物理安全、运行安全、信息安全保密、安全保密管理 4个方面进行控制,尤其要强化开发、管理与操作人员管理,相关开发、设计、施工、管理人员要签署保密协议,明确保密责任。必须管住涉密载体,加强涉密纸介质、移动存储介质和涉密信息系统的管理,制定具体规程,采取严密措施,强化经常性督查,保证各类涉密载体的管理不出问题;必须落实日常安全保
11、密工作责任,建立健全加强领导、层层负责的工作体制和机制,做到领导到位、责任到位、措施到位,真正把“谁主管、谁负责”的要求落到实处。5 人员管理科技以人为本,国防军工企业园区网络环境下涉密信息管理与控制工作不仅要加强掌握国家秘密的人员管理,更重要的是要加强军工企业内联网计算机操作人员、普通员工的保密管理。首先要做好员工思想工作,定期进行必要的保密知识教育,同时还要与普通员工签订保密协议,使普通员工认识到保密工作的重要,不泄露自己在企业内知悉的国家秘密,不在家属、亲友、熟人和其他无关人员面前谈论自己知悉的国家秘密,未经许可不得擅自访问涉密管理系统,不得复制或破坏企业园区网内的涉密文件、资料,明白泄
12、密后应负的各种责任。对园区网络及各涉密信息管理子系统的开发、管理和维护等人员要建立资质审查制度,应做到持证上岗。相关开发单位和管理、维护人员要签署保密协议,明确保密责任。- 5 -6 软硬件配置管理国防军工企业园区网络环境下计算机系统配置应统一规划、专门管理。国防军工企业园区网络应按照涉密计算机信息系统有关规定,保密设施及技术装备必须与之同步规划、同步建设,并报请国家保密部门审批后方可投入使用。保密防护设备只能采用按国家有关主管部门(公安部、安全部、国家保密局)的要求经检测、认证和许可的国内生产的安全保密产品。涉密系统的技术防范要在安全的基础之上,对网络系统、涉密数据、媒体介质、机房等诸方面进
13、行整体防护,所采用的技术手段要按照要求规划和建设。落实园区网络环境中重要服务器和涉密终端的保护措施、网络设施安全保护措施、网络边界安全保护措施,通过部署网络版防病毒软件、垃圾邮件过滤系统、防火墙、安全路由器和安全网关等安全设备,提高企业园区网络的信息安全防护能力。对应当加强园区网内部涉密信息的安全防护,在园区网内存储重要涉密数据的服务器前端配置防火墙和防病毒网关等边界防护设备,并部署非法入侵检测设备,采用强制的访问控制措施,确保数据安全。对于联网的计算机终端应统一部署安装终端监控软件系统,统一屏蔽光驱、软驱、USB口、串口、打印端口,机箱贴上封条并加铅封,实行集中打印许可制,禁止随意打印园区网
14、内的文件。将联网计算机名、设备编号、IP 地址、操作者姓名等记录在数据库中,以备维修及追溯时查阅。对于专门的涉密计算机终端应由专门部门统一配置,统一设定开机BIOS密码,选择安装相对稳定的、较为安全的操作系统,安装最新的操作系统补丁和安全修补程序。7 结束语安全无小事,在国防军工企业涉密信息安全保密具体工作中,企业负责人及安全保密负责部门应明确企业安全保障的重点,要高度重视涉密网络的保密防范和管理,千方百计地采取一切可以采用的技术防范措施,加强对国家秘密的安全保护,切实提高企业的信息安全保密管理水平。Abstract: After analyzing of the existing probl
15、ems of security and secrecy management and control of secret information in enterprises of war industry, the thesis discusses the requirement of security and secrecy - 6 -management and control of secret information in network environment, on the basis of the work of security and secrecy. The thesis
16、 contains seven chapters, Summary, existing problems, layout of safety entireness, security system, personnel management, configuration of hardware and software, and conclude, and expatiates in detail the requirement of security and secrecy management and control of secret information in network environment. - 7 -参考文献:1文献 1 主编马虎民 :计算机信息系统安全法原理与实务陕西人民出版社 2000年8月第一版。2文献 2 周锡龄编著:计算机数据安全原理 ,上海交通大学出版社 1987年版。2文献 3 美Chris Brenton 著,马树奇、金燕译网络安全从入门到精通电子工业出版社 1999年版作者简介:李旭,38 岁,高级工程师,西安航空发动机(集团)有限公司信息技术处工作,联系电话 029-86152543,Email : 。作者 1989 年毕业于北京航空航天大学电子工程系。从 1999 年起,一直从事企业信息安全工作。
