涉密信息系统

涉密信息系统与公共信息系统的区别,主要体现在四个方面:

一是信息内容不同。涉密信息系统存储、处理和传输的信息涉及国家秘密和其他敏感信息,应严格控制知悉范围;公共信息系统存储、处理和传输的信息不能涉及国家秘密。

二是设施、设备标准不同。涉密信息系统的安全保密设施、设备,必须符合国家保密标准;公共信息系统的安全保密设施、设备也应符合一定技术标准要求,但并不要求执行国家保密标准。

三是检测审批要求不同。涉密信息系统必须满足安全保密要求,符合国家保密标准,投入使用前必须经安全保密检测评估和审查批准;公共信息系统投入使用前也需要进行相关检测,但检测的目的和要求不同。

四是使用权限不同。涉密信息系统要严格控制使用权限;公共信息系统则是开放性的,只要具备一定访问条件就可以使用。

分级保护

通常情况下对涉密信息系统施以保护都是按照分级原则进行分级实施的。涉密系统的安全管理级别分为绝密级、机密级、秘密级,有效分级后,才能更进一步实施分级保护,提升管理效能,提升安全标准。

1.秘密级

信息系统当中包含有秘密级的国家秘密,其总体的防护水平不应该低于国家信息安全等级保护三级的要求,信息系统应该达到分级保护的技术标准。

2.机密级

信息系统当中包含有机密级国家秘密,其防护水平不应低于国家信息安全等级保护四级要求,同时,还需要符合分级保护的保密技术要求。

3.绝密级

信息系统当中包含有绝密级国家秘密,其防护水平应不低于国家信息安全等级保护五级要求,需符合分级保护的保密技术要求。同时,绝密级涉密信息系统应该被建设并应用到封闭的场地建筑之内,不能与外网连接。

管理依据

2000年12月,第九届全国人大常委会第十九次会议通过《关于维护互联网安全的决定》。此外,我国还颁布了《计算机信息系统保密管理暂行规定》、《计算机信息系统国际联网保密管理规定》、《计算机信息网络国际互联网安全保护管理办法》、《互联网信息服务管理办法》、《涉及国家秘密的信息系统审批管理规定》、《信息系统和信息设备使用保密管理规定》等。

2003年9月,中共中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)提出“实行信息安全等级保护”的要求,并指出“对涉及国家秘密的信息系统,要按照党和国家有关保密规定进行保护”。

2004年12月,中共中央保密委员会下发的《关于加强信息安全保障工作中保密管理的若干意见》(中保委发[2004]7号)指出,我国的国家秘密分为秘密、机密、绝密三级,涉密信息系统也按照秘密、机密、绝密三级进行分级管理。为贯彻国家信息安全等级保护制度,落实中央文件精神,国家保密局下发《涉及国家秘密的信息系统分级保护管理办法》(国保发[2005]16号),并陆续制定了国家保密标准BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》、BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》、BMB22-2007《涉及国家秘密的信息系统分级保护测评指南》、BMB23-2008《涉及国家秘密的信息系统分级保护方案设计指南》,用于指导涉密信息系统的建设、使用和管理。分级保护工作从技术要求、方案设计、管理规范到安全测评,具备了一套完整的标准与规范。

这些规章和标准对采集、存储、处理、传递、输出国家秘密信息的计算机系统作了规定。《保密法》针对当前涉密信息系统频繁泄密的严峻形势和我国近些年来对涉密信息系统管理的做法,对涉密信息系统的保密管理作了规定。《保密法》第二十三条确立了涉密信息系统分级保护原则,规定了涉密信息系统保密设施、设备规划建设和配备要求,还规定涉密信息系统投入使用必须经检查合格。第二十四条是关于信息系统和信息设备保密管理的禁止性规定。

管理原则

(1)适度安全的原则:由于信息泄露、溢用、非法访问或非法修改而造成的危险和损害相适应的安全。没有绝对安全的信息系统(网络),任何安全措施都是有限度的。关键在于“实事求是”、“因地制宜”地去确定安全措施的“度”,即根据信息系统因缺乏安全性造成损害后果的严重程度来决定采取什么样的安全措施。

(2)按最高密级防护的原则:涉密信息系统处理多种密级的信息时,应当按照最高密级采取防护措施。

(3)最小化授权的原则:涉密信息系统的建设规模要最小化,非工作所必需的单位和岗位,不得建设政务内网和设有内网终端;其次,涉密信息系统中涉密信息的访问权限要最小化,非工作必需知悉的人员,不得具有关涉密信息的访问权限。

(4)同步建设、严格把关的原则:涉密信息系统的建设必须要与安全保密设施的建设同步规划、同步实施、同步发展。要对涉密信息系统建设的全过程(各个环节)进行保密审查、审批、把关。要防止并纠正“先建设,后防护,重使用,轻安全”的倾向,建立健全涉密信息系统使用审批制度。不经过保密部门的审批和论证,信息系统不得处理国家秘密信息。

(5)内、外网物理隔离的原则。即“涉及国家秘密的通信、办公自动化和计算机信息系统不得直接或间接与国际互联网或其他公共信息网络相连接,必须实行物理隔离。”

(6)安全保密措施与信息密级一致的原则。涉密信息系统应当采取安全保密措施,并保证所采取措施的力度与所处理信息的秘密等级相一致。

(7)资格认证的原则。涉密信息系统安全保密全面解决方案的设计、系统集成及系统维修工作,应委托经过国家保密部门批准授予资质证书的单位承担。涉密系统不得采用未经国家主管部门鉴定、认可的保密技术设备,更不准使用国外进口的各类安全防范产品包括软件。

(8)以人为本、注重管理的原则:涉密信息系统的安全保密三分靠技术,七分靠管理。加强管理可以弥补技术上的不足;而放弃管理则再好的技术也不安全。

保密规定

编辑

1.规划和建设计算机信息系统,应当同步规划落实相应的保密设施。

2.计算机信息系统的研制、安装和使用,必须符合保密要求。

3.计算机信息系统应当采取有效的保密措施,配置合格的保密专用设备,防泄密、防窃密。所采取的保密措施应与所处理信息的密级要求相一致。

4.计算机信息系统联网应当采取系统访问控制、数据保护和系统安全保密监控管理等技术措施。

5.计算机信息系统的访问应当按照权限控制,不得进行越权操作。未采取技术安全保密措施的数据库不得联网。

系统建设

涉密信息系统的建设应当选择具有“涉密信息系统集成资质”的单位承担或者参与涉密信息系统的设计与实施。

涉密信息系统使用的信息安全产品原则上应当选用国产产品,并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测,通过检测的产品由国家保密局审核发布目录。

涉密信息系统建设使用单位在系统工程实施结束后,应当向保密工作部门提出申请,由国家保密局授权的系统测评机构,依据国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》,对建成的涉密信息系统进行安全保密测评。

涉密信息系统建设使用单位在系统投入使用前,应当按照《涉及国家秘密的信息系统审批管理规定》,向设区的市级以上保密工作部门申请进行系统审批,涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统,其建设使用单位在按照分级保护要求完成系统整改后,应当向保密工作部门备案。

扫一扫,加我微信了解更多

原文地址:https://www.cnblogs.com/csj0907569-/p/11967255.html

时间: 2024-10-06 01:28:42

涉密信息系统的相关文章

涉密信息系统处理安全问题

涉密信息系统处理安全问题 涉密信息系统安全保密策略是为确保涉密计算机及信息系统安全保密而制定的一系列文档化文件,是涉密信息系统安全保密防护技术和管理措施实施的规范,是涉密信息系统使用人员在使用涉密信息系统时必须遵循的行为准则. 安全保密策略的主要内容包括安全保密管理机构设置.物理安全策略.运行安全策略.信息安全策略.备份与恢复策略.病毒和恶意代码防护策略.应急计划与响应.在策略制定时,对每个策略模块按照不同的实施对象再细分为若干个子策略,这样涉密信息系统的策略就基本完善了.例如,信息安全策略模块

涉密网络内部安全过滤系统的设计与实现_爱学术

[摘要]着眼涉密网络内部不同密级间信息流传输提供可靠的安全保证,分析涉密网络内部不同密级间信息流动可能产生的安全威胁,从信息保障总体思路与框架的要求出发,以对象标定为基础,设计了基于WinPcap的信息过滤及监控系统,阐述了系统功能,设定了系统的体系及软件结构,编制了捕获过滤内核,研究了信息流的处理方法,给出了系统的安全策略.同时,对于数据风暴.数据处理等重点问题进行了深入研究.通过模拟论证,该系统可以有效地保证涉密网络内部信息流的安全传输. [作者] 李虎平  李尚柏  钟睿 转载至爱学术:h

广州涉密数据销毁流程

天仁密销电话:+V电:137-1111-1613,对于硬盘芯片销毁.集成电路销毁.主板销毁.线路板销毁.控制器销毁.硬盘销毁.数据设备销毁的销毁(包括消磁)还没有具体明确的管理规定,目前,国家有关主管部门正在考虑制定相应的规范,确保涉密硬盘等存储介质在维修销毁过程中的安全.当前,在涉密计算机使用过程中,涉密存储介质(涉密硬盘.涉密优盘等)的使用和管理环节存在一些安全隐患,尤其是在维修和报废处理上不遵守保密管理规定,缺乏安全保密意识,给涉密数据带来很大的安全风险. 硬盘如何彻底销毁如今的信息数据化

天仁密销文件涉密销毁|天仁密销档案

天仁密销电话:+V电:137-1111-1613,当一些文件越堆越多的时候,常常会令人们比较头疼,面对一些不需要的文件,人们往往不知道应该如何处理,不进行销毁的话,担心文件会出现外漏的情况,把一些不该泄漏的信息泄漏了出去,如果进行销毁的话,又不知道采取什么方式销毁比较好,销毁文件公司针对人们的这种现状,专门为人们提供文件销毁的服务,使文件可以快速被销毁. 纸质载体包括企业以往的重要办公文件.文稿.档案.电报.信函.图纸及其他图文资料,对存有涉密.重要信息的纸质文件,进行粉碎货熔浆销毁处理,确保信

银行涉密信用卡办公文档销毁

天仁密销电话:+V电:137-1111-1613,当一些文件越堆越多的时候,常常会令人们比较头疼,面对一些不需要的文件,人们往往不知道应该如何处理,不进行销毁的话,担心文件会出现外漏的情况,把一些不该泄漏的信息泄漏了出去,如果进行销毁的话,又不知道采取什么方式销毁比较好,销毁文件公司针对人们的这种现状,专门为人们提供文件销毁的服务,使文件可以快速被销毁. 纸质载体包括企业以往的重要办公文件.文稿.档案.电报.信函.图纸及其他图文资料,对存有涉密.重要信息的纸质文件,进行粉碎货熔浆销毁处理,确保信

银行涉密纸制资料销毁

天仁密销电话:+V电:137-1111-1613,当一些文件越堆越多的时候,常常会令人们比较头疼,面对一些不需要的文件,人们往往不知道应该如何处理,不进行销毁的话,担心文件会出现外漏的情况,把一些不该泄漏的信息泄漏了出去,如果进行销毁的话,又不知道采取什么方式销毁比较好,销毁文件公司针对人们的这种现状,专门为人们提供文件销毁的服务,使文件可以快速被销毁. 纸质载体包括企业以往的重要办公文件.文稿.档案.电报.信函.图纸及其他图文资料,对存有涉密.重要信息的纸质文件,进行粉碎货熔浆销毁处理,确保信

银行涉密图纸销毁

天仁密销电话:+V电:137-1111-1613,当一些文件越堆越多的时候,常常会令人们比较头疼,面对一些不需要的文件,人们往往不知道应该如何处理,不进行销毁的话,担心文件会出现外漏的情况,把一些不该泄漏的信息泄漏了出去,如果进行销毁的话,又不知道采取什么方式销毁比较好,销毁文件公司针对人们的这种现状,专门为人们提供文件销毁的服务,使文件可以快速被销毁. 纸质载体包括企业以往的重要办公文件.文稿.档案.电报.信函.图纸及其他图文资料,对存有涉密.重要信息的纸质文件,进行粉碎货熔浆销毁处理,确保信

去IOE,怎么去?

2013年5月17日,最后一台小型机在阿里巴巴支付宝下线,标志着阿里已经完成去IOE化.阿里巴巴的"去IOE"为市场带来了一个成功的范本,证明了打破国外厂商的垄断地位是有可能的,实现自主可控的"中国梦"并非遥不可及. 所谓 IOE 是个简称.是指以 IBM .Oracle.EMC 为代表的小型机.集中式数据库和高端存储的技术架构.其中 I 指 IBM p 系列小型机,操作系统是 AIX,IBM 专有的 Unix 系统: O 指 Oracle 数据库(RDBMS):E

系统设计的三员管理

一.“三员”职责 系统管理员:主要负责系统的日常运行维护工作.包括网络设备.安全保密产品.服务器和用户终端.操作系统数据库.涉密业务系统的安装.配置.升级.维护.运行管理:网络和系统的用户增加或删除:网络和系统的数据备份.运行日志审查和运行情况监控:应急条件下的安全恢复. 安全保密管理员:主要负责系统的日常安全保密管理工作.包括网络和系统用户权限的授予与撤销:用户操作行为的安全设计:安全保密设备管理:系统安全事件的审计.分析和处理:应急条件下的安全恢复. 安全审计员:主要负责对系统管理员和安全保