涉密資訊系統與公共資訊系統的區別,主要體現在四個方面:
一是資訊內容不同,涉密資訊系統存盤、處理和傳輸的資訊涉及國家秘密和其他敏感資訊,應嚴格控制知悉范圍;公共資訊系統存盤、處理和傳輸的資訊不能涉及國家秘密,
二是設施、設備標準不同,涉密資訊系統的安全保密設施、設備,必須符合國家保密標準;公共資訊系統的安全保密設施、設備也應符合一定技術標準要求,但并不要求執行國家保密標準,
三是檢測審批要求不同,涉密資訊系統必須滿足安全保密要求,符合國家保密標準,投入使用前必須經安全保密檢測評估和審查批準;公共資訊系統投入使用前也需要進行相關檢測,但檢測的目的和要求不同,
四是使用權限不同,涉密資訊系統要嚴格控制使用權限;公共資訊系統則是開放性的,只要具備一定訪問條件就可以使用,
分級保護
通常情況下對涉密資訊系統施以保護都是按照分級原則進行分級實施的,涉密系統的安全管理級別分為絕密級、機密級、秘密級,有效分級后,才能更進一步實施分級保護,提升管理效能,提升安全標準,
1.秘密級
資訊系統當中包含有秘密級的國家秘密,其總體的防護水平不應該低于國家資訊安全等級保護三級的要求,資訊系統應該達到分級保護的技術標準,
2.機密級
資訊系統當中包含有機密級國家秘密,其防護水平不應低于國家資訊安全等級保護四級要求,同時,還需要符合分級保護的保密技術要求,
3.絕密級
資訊系統當中包含有絕密級國家秘密,其防護水平應不低于國家資訊安全等級保護五級要求,需符合分級保護的保密技術要求,同時,絕密級涉密資訊系統應該被建設并應用到封閉的場地建筑之內,不能與外網連接,
管理依據
2000年12月,第九屆全國人大常委會第十九次會議通過《關于維護互聯網安全的決定》,此外,我國還頒布了《計算機資訊系統保密管理暫行規定》、《計算機資訊系統國際聯網保密管理規定》、《計算機資訊網路國際互聯網安全保護管理辦法》、《互聯網資訊服務管理辦法》、《涉及國家秘密的資訊系統審批管理規定》、《資訊系統和資訊設備使用保密管理規定》等,
2003年9月,中共中央辦公廳、國務院辦公廳轉發的《國家資訊化領導小組關于加強資訊安全保障作業的意見》(中辦發[2003]27號)提出“實行資訊安全等級保護”的要求,并指出“對涉及國家秘密的資訊系統,要按照黨和國家有關保密規定進行保護”,
2004年12月,中共中央保密委員會下發的《關于加強資訊安全保障作業中保密管理的若干意見》(中保委發[2004]7號)指出,我國的國家秘密分為秘密、機密、絕密三級,涉密資訊系統也按照秘密、機密、絕密三級進行分級管理,為貫徹國家資訊安全等級保護制度,落實中央檔案精神,國家保密局下發《涉及國家秘密的資訊系統分級保護管理辦法》(國保發[2005]16號),并陸續制定了國家保密標準BMB17-2006《涉及國家秘密的資訊系統分級保護技術要求》、BMB20-2007《涉及國家秘密的資訊系統分級保護管理規范》、BMB22-2007《涉及國家秘密的資訊系統分級保護測評指南》、BMB23-2008《涉及國家秘密的資訊系統分級保護方案設計指南》,用于指導涉密資訊系統的建設、使用和管理,分級保護作業從技術要求、方案設計、管理規范到安全測評,具備了一套完整的標準與規范,
這些規章和標準對采集、存盤、處理、傳遞、輸出國家秘密資訊的計算機系統作了規定,《保密法》針對當前涉密資訊系統頻繁泄密的嚴峻形勢和我國近些年來對涉密資訊系統管理的做法,對涉密資訊系統的保密管理作了規定,《保密法》第二十三條確立了涉密資訊系統分級保護原則,規定了涉密資訊系統保密設施、設備規劃建設和配備要求,還規定涉密資訊系統投入使用必須經檢查合格,第二十四條是關于資訊系統和資訊設備保密管理的禁止性規定,
管理原則
(1)適度安全的原則:由于資訊泄露、溢用、非法訪問或非法修改而造成的危險和損害相適應的安全,沒有絕對安全的資訊系統(網路),任何安全措施都是有限度的,關鍵在于“實事求是”、“因地制宜”地去確定安全措施的“度”,即根據資訊系統因缺乏安全性造成損害后果的嚴重程度來決定采取什么樣的安全措施,
(2)按最高密級防護的原則:涉密資訊系統處理多種密級的資訊時,應當按照最高密級采取防護措施,
(3)最小化授權的原則:涉密資訊系統的建設規模要最小化,非作業所必需的單位和崗位,不得建設政務內網和設有內網終端;其次,涉密資訊系統中涉密資訊的訪問權限要最小化,非作業必需知悉的人員,不得具有關涉密資訊的訪問權限,
(4)同步建設、嚴格把關的原則:涉密資訊系統的建設必須要與安全保密設施的建設同步規劃、同步實施、同步發展,要對涉密資訊系統建設的全程序(各個環節)進行保密審查、審批、把關,要防止并糾正“先建設,后防護,重使用,輕安全”的傾向,建立健全涉密資訊系統使用審批制度,不經過保密部門的審批和論證,資訊系統不得處理國家秘密資訊,
(5)內、外網物理隔離的原則,即“涉及國家秘密的通信、辦公自動化和計算機資訊系統不得直接或間接與國際互聯網或其他公共資訊網路相連接,必須實行物理隔離,”
(6)安全保密措施與資訊密級一致的原則,涉密資訊系統應當采取安全保密措施,并保證所采取措施的力度與所處理資訊的秘密等級相一致,
(7)資格認證的原則,涉密資訊系統安全保密全面解決方案的設計、系統集成及系統維修作業,應委托經過國家保密部門批準授予資質證書的單位承擔,涉密系統不得采用未經國家主管部門鑒定、認可的保密技術設備,更不準使用國外進口的各類安全防范產品包括軟體,
(8)以人為本、注重管理的原則:涉密資訊系統的安全保密三分靠技術,七分靠管理,加強管理可以彌補技術上的不足;而放棄管理則再好的技術也不安全,
保密規定
編輯
1.規劃和建設計算機資訊系統,應當同步規劃落實相應的保密設施,
2.計算機資訊系統的研制、安裝和使用,必須符合保密要求,
3.計算機資訊系統應當采取有效的保密措施,配置合格的保密專用設備,防泄密、防竊密,所采取的保密措施應與所處理資訊的密級要求相一致,
4.計算機資訊系統聯網應當采取系統訪問控制、資料保護和系統安全保密監控管理等技術措施,
5.計算機資訊系統的訪問應當按照權限控制,不得進行越權操作,未采取技術安全保密措施的資料庫不得聯網,
系統建設
涉密資訊系統的建設應當選擇具有“涉密資訊系統集成資質”的單位承擔或者參與涉密資訊系統的設計與實施,
涉密資訊系統使用的資訊安全產品原則上應當選用國產產品,并應當通過國家保密局授權的檢測機構依據有關國家保密標準進行的檢測,通過檢測的產品由國家保密局審核發布目錄,
涉密資訊系統建設使用單位在系統工程實施結束后,應當向保密作業部門提出申請,由國家保密局授權的系統測評機構,依據國家保密標準BMB22-2007《涉及國家秘密的計算機資訊系統分級保護測評指南》,對建成的涉密資訊系統進行安全保密測評,
涉密資訊系統建設使用單位在系統投入使用前,應當按照《涉及國家秘密的資訊系統審批管理規定》,向設區的市級以上保密作業部門申請進行系統審批,涉密資訊系統通過審批后方可投入使用,已投入使用的涉密資訊系統,其建設使用單位在按照分級保護要求完成系統整改后,應當向保密作業部門備案,
掃一掃,加我微信了解更多
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/51335.html
標籤:其他
上一篇:TCP/IP網路協議初識
下一篇:阿里云CDN接入踩坑記錄