第一篇：涉密信息系統(tǒng)保密管理探討（模版）

涉密信息系統(tǒng)安全保密管理探討

摘要：本文通過分析信息化條件下涉密信息系統(tǒng)保密管理與技術(shù)的關(guān)系，結(jié)合目前涉密信息系統(tǒng)保密管理的現(xiàn)狀與問題，根據(jù)涉密信息分級保護(hù)標(biāo)準(zhǔn)規(guī)范要求，從宏觀層面初步探討提出了當(dāng)前形勢下涉密信息系統(tǒng)保密管理的原則、基本思路與方法，并提出了相應(yīng)的建議。

關(guān)鍵詞：涉密信息系統(tǒng) 分級保護(hù) 信息系統(tǒng)建設(shè)生命周期

一、引言

涉密計算機信息系統(tǒng)（以下簡稱涉密信息系統(tǒng)）是指涉及國家秘密和黨政機關(guān)工作秘密的計算機信息系統(tǒng)，主要包括黨政軍領(lǐng)導(dǎo)機關(guān)用于處理涉密信息的單機和用于內(nèi)部辦公自動化或涉密信息交換的信息系統(tǒng)；也包括企事業(yè)單位涉及國家秘密的信息系統(tǒng)。當(dāng)前，隨著我國黨政軍領(lǐng)導(dǎo)機關(guān)和國防科研軍工單位信息化進(jìn)程的全面加快，保密管理的對象、領(lǐng)域、方式和環(huán)境發(fā)生了深刻變化，在知密范圍、涉密行為以及涉密人員的界定和管控等方面，出現(xiàn)了許多新的問題，傳統(tǒng)的保密管理措施已經(jīng)不能適應(yīng)新形勢下保密工作發(fā)展的要求，由于涉密單位的業(yè)務(wù)特殊性，如何對涉密信息系統(tǒng)進(jìn)行科學(xué)有效的保密管理，已經(jīng)成為涉密信息系統(tǒng)建設(shè)使用單位急需解決的問題，迫切需要新的管理思路與辦法。

二、涉密信息系統(tǒng)保密管理與技術(shù)的關(guān)系

在網(wǎng)絡(luò)環(huán)境下，國家秘密的存儲、處理和流轉(zhuǎn)方式發(fā)生了根本性變化，涉密電子文件易復(fù)制、易傳播的特點，使得泄密渠道增多，一旦發(fā)生泄密情況，則擴散速度快，涉及范圍廣，且不易被發(fā)覺，危害特別大。面對信息化條件下保密工作新形勢，傳統(tǒng)的紙質(zhì)涉密文件的保密管理措施已經(jīng)不能完全適應(yīng)新形勢下保密工作發(fā)展的要求，涉密信息系統(tǒng)的保密管理亟需提升技術(shù)支撐能力。在當(dāng)前的形勢下，可以說技術(shù)與管理是涉密信息系統(tǒng)安全保障的兩個支撐要素，二者相輔相成，缺一不可：即使非常嚴(yán)密的管理，沒有技術(shù)手段支撐，也保證不了安全；無論多么先進(jìn)保密技術(shù)，沒有管理措施保障，也不能發(fā)揮應(yīng)有的作用。但在具備了一定技術(shù)手段的前提下，管理則成為決定因素。因此，各涉密單位應(yīng)當(dāng)根據(jù)涉密信息系統(tǒng)自身的特點，制定出具有針對性和可操作性的管理措施，并嚴(yán)格執(zhí)行。

三、涉密信息系統(tǒng)保密管理的現(xiàn)狀與問題

隨著我國綜合國力不斷增強和國際戰(zhàn)略地位顯著提高，我國已成為各種情報竊密的重點目標(biāo)，境內(nèi)外敵對勢力和國外情報機構(gòu)加緊對我實施全方位的信息監(jiān)測和情報戰(zhàn)略，竊密活動十分猖獗，各級黨政軍機關(guān)、國防軍工科研生產(chǎn)單位作為國家秘密的主要生成區(qū)、密集區(qū)，更是成為敵對勢力竊密的重點對象。但目前我國涉密信息系統(tǒng)建設(shè)使用單位保密管理水平比較低，與形勢的發(fā)展很不適應(yīng)，急需進(jìn)一步加強。就拿航宇公司為例，該公司先后建立的涉密應(yīng)用系統(tǒng)有：OA系統(tǒng)，CAPP系統(tǒng)，ERP系統(tǒng)，檔案管理系統(tǒng)，PDM系統(tǒng)等，這些系統(tǒng)在建設(shè)、規(guī)劃和保密管理中存在的問題主要表現(xiàn)在以下幾個方面：

(一)涉密信息系統(tǒng)定密的隨意性、不準(zhǔn)確問題

目前該公司很多涉密信息系統(tǒng)定密比較隨意，不準(zhǔn)確，界定不清楚，甚至很多涉密人員都不清楚自己管理的應(yīng)用系統(tǒng)的密級別。究其原因主要是沒有嚴(yán)格確定定密責(zé)任，缺乏專業(yè)定密人員，定密依據(jù)不夠明確和細(xì)化，定密程序不規(guī)范等。

(二)涉密信息系統(tǒng)安全保密工作 “重技術(shù)、輕管理”的現(xiàn)象比較突出

目前公司很多涉密信息系統(tǒng)的安全保密方案只注重安全保密技術(shù)建設(shè)，過于依賴技術(shù)來實現(xiàn)保密要求，而忽略保密管理的重要性。由于缺乏有針對性的保密管理措施進(jìn)行有機整合，所有的安全保密措施只是產(chǎn)品的簡單堆砌，使得整個安全保密方案先天性不足。眾所周知，如果沒有強有力的管理來支持，再好的技術(shù)防范措施都會大打折扣，再好的技術(shù)防范產(chǎn)品也將成為擺設(shè)，因此涉密信息系統(tǒng)安全保密工作的重點還是在于管理。

（三）涉密信息系統(tǒng)建設(shè)生命周期“重建設(shè)、輕監(jiān)管”

通常情況下，我們將信息系統(tǒng)建設(shè)生命周期（SDLC）劃分為五個階段：規(guī)劃需求階段、設(shè)計開發(fā)階段、實施階段、運行維護(hù)階段、廢棄階段。也就是說，系統(tǒng)是不斷變化的，安全保密工作也應(yīng)隨之發(fā)生變化，各個階段安全保密要求不同，每個階段都應(yīng)制定相應(yīng)的保密制度，并落實執(zhí)行、監(jiān)管。由于公司很多應(yīng)用項目都是和第三方公司合作，而這些公司可能存在著對系統(tǒng)建設(shè)生命周期各階段的保密標(biāo)準(zhǔn)的具體要求把握不準(zhǔn)的情況，使得工程實施各階段沒有嚴(yán)格執(zhí)行保密要求或者與安全保密建設(shè)不同步情況時有發(fā)生，而這一塊我們又缺乏最起碼的監(jiān)管手段，從而給系統(tǒng)增加了安全隱患。舉個例子，在涉密信息系統(tǒng)經(jīng)過保密審批投入運行后，由于一般都是由系統(tǒng)建設(shè)使用單位的信息化部門在負(fù)責(zé)日常的運行維護(hù)。但信息化部門并不清楚保密方面的要求，而保密部門又屬于行政部門，不熟悉系統(tǒng)業(yè)務(wù)應(yīng)用情況，只能制定一些原則性管理規(guī)章制度，無法對系統(tǒng)進(jìn)行有效的保密監(jiān)管，不能及時發(fā)現(xiàn)系統(tǒng)的違規(guī)行為和泄密隱患。

（四)涉密信息系統(tǒng)安全保密工作 “重制度、輕執(zhí)行”的現(xiàn)象比較突出

航宇公司在涉密信息系統(tǒng)安全保密工作上制定了大量的制度、規(guī)范，并且有專門的保密網(wǎng)站進(jìn)行宣貫，但由于保密工作的長期性和繁瑣性不可避免地對日常工作造成影響，而我們某些員工認(rèn)為保密工作對其日常工作造成居多不便，從而產(chǎn)生抵觸情緒，進(jìn)而對保密制度進(jìn)行抵制，或者“打折處理，表面執(zhí)行”，造成安全保密制度真正落實執(zhí)行的少，讓很多制度流于形式，流于紙面。另外，我們制定保密制度還存在一個錯誤觀念，就是：制定保密制度是為了應(yīng)付保密檢查，至于落實不落實，執(zhí)行不執(zhí)行沒有多大關(guān)系。所以，要堅決克服為了制定制度而制定制度的錯誤觀念。制定制度不是目的，通過制定安全保密制度，并堅決落實執(zhí)行來加強軍工單位保密管理，保證國家秘密安全才是制定制度的根本目的。

四、涉密信息系統(tǒng)安全保密管理原則

（一）基于安全需求、適度安全的原則：由于信息泄露、濫用、非法訪問或非法修改而造成的危險和損害相適應(yīng)的安全。沒有絕對安全的信息系統(tǒng)(網(wǎng)絡(luò))，任何安全措施都是有限度的。關(guān)鍵在于“實事求是”、“因地制宜”地去確定安全措施的“度”，即根據(jù)信息系統(tǒng)因缺乏安全性造成損害后果的嚴(yán)重程度和實際需求來決定采取什么樣的安全措施。組織機構(gòu)應(yīng)根據(jù)其信息系統(tǒng)擔(dān)負(fù)的使命，積累的信息資產(chǎn)的重要性，可能受到的威脅及面臨的風(fēng)險分析安全需求，按照信息系統(tǒng)等級保護(hù)要求確定相應(yīng)的信息系統(tǒng)安全保護(hù)等級，遵從相應(yīng)等級的規(guī)范要求，從全局上恰當(dāng)?shù)仄胶獍踩度肱c效果；

（二）最小化授權(quán)以及分權(quán)和授權(quán)相結(jié)合原則：涉密信息系統(tǒng)的建設(shè)規(guī)模要最小化，非工作所必需的單位和崗位，不得建設(shè)可登陸涉密信息系統(tǒng)的終端；其次，涉密信息系統(tǒng)中涉密信息的訪問權(quán)限要最小化，非工作必需知悉的人員，不得具有關(guān)涉密信息的訪問權(quán)限。分權(quán)和授權(quán)原則是指對特定職能或責(zé)任領(lǐng)域的管理功能實施分離、獨立審計等實行分權(quán)，避免權(quán)力過分集中所帶來的隱患，以減小未授權(quán)的修改或濫用系統(tǒng)資源的機會。任何實體（如用戶、管理員、進(jìn)程、應(yīng)用或系統(tǒng)）僅享有該實體需要完成其任務(wù)所必須的權(quán)限，不應(yīng)享有任何多余權(quán)限；

（三）同步建設(shè)、嚴(yán)格把關(guān)的原則：涉密信息系統(tǒng)的建設(shè)必須要與安全保密設(shè)施的建設(shè)同步規(guī)劃、同步實施、同步發(fā)展。要對涉密信息系統(tǒng)建設(shè)的全過程(各個環(huán)節(jié))進(jìn)行保密審查、審批、把關(guān)。要防止并糾正“先建設(shè)，后防護(hù)，重使用，輕安全”的傾向，建立健全涉密信息系統(tǒng)使用審批制度。不經(jīng)過保密部門的審批和論證，信息系統(tǒng)不得處理國家秘密信息。

（四）注重管理的原則：涉密信息系統(tǒng)的安全保密三分靠技術(shù)，七分靠管理。加強管理可以彌補技術(shù)上的不足；而放棄管理則再好的技術(shù)也不安全。采用管理與技術(shù)相結(jié)合，管理科學(xué)性和技術(shù)前瞻性結(jié)合的方法，保障信息系統(tǒng)的安全性達(dá)到所要求的目標(biāo)。信息安全管理工作主要體現(xiàn)為管理行為，應(yīng)保證信息系統(tǒng)安全管理主體合法、管理行為合法、管理內(nèi)容合法、管理程序合法。對安全事件的處理，應(yīng)由授權(quán)者適時發(fā)布準(zhǔn)確一致的有關(guān)信息，避免帶來不良的影響；

（五）主要領(lǐng)導(dǎo)負(fù)責(zé)、全員參與原則：主要領(lǐng)導(dǎo)應(yīng)確立其組織統(tǒng)一的信息安全保障的宗旨和政策，負(fù)責(zé)提高員工的安全意識，組織有效安全保障隊伍，調(diào)動并優(yōu)化配置必要的資源，協(xié)調(diào)安全管理工作與各部門工作的關(guān)系，并確保其落實、有效；信息系統(tǒng)所有相關(guān)人員應(yīng)普遍參與信息系統(tǒng)的安全管理，并與相關(guān)方面協(xié)同、協(xié)調(diào)，共同保障信息系統(tǒng)安全；

（六）系統(tǒng)方法、持續(xù)改進(jìn)原則：按照系統(tǒng)工程的要求，識別和理解信息安全保障相互關(guān)聯(lián)的層面和過程，采用管理和技術(shù)結(jié)合的方法，提高實現(xiàn)安全保障的目標(biāo)的有效性和效率；安全管理是一種動態(tài)反饋過程，貫穿整個安全管理的生存周期，隨著安全需求和系統(tǒng)脆弱性的時空分布變化，威脅程度的提高，系統(tǒng)環(huán)境的變化以及對系統(tǒng)安全認(rèn)識的深化等，應(yīng)及時地將現(xiàn)有的安全策略、風(fēng)險接受程度和保護(hù)措施進(jìn)行復(fù)查、修改、調(diào)整以至提升安全管理等級，維護(hù)和持續(xù)改進(jìn)信息安全管理體系的有效性；

（七）分級保護(hù)原則：涉密信息系統(tǒng)等級劃分需按照國家關(guān)于涉密計算機信息系統(tǒng)等級劃分指南，結(jié)合本單位實際情況進(jìn)行涉密信息系統(tǒng)定級。按等級劃分標(biāo)準(zhǔn)確定信息系統(tǒng)的安全保護(hù)等級，實行分級保護(hù)；對多個子系統(tǒng)構(gòu)成的大型信息系統(tǒng)，確定系統(tǒng)的基本安全保護(hù)等級，并根據(jù)實際安全需求，分別確定各子系統(tǒng)的安全保護(hù)等級，實行多級安全保護(hù)；

五、涉密信息系統(tǒng)保密管理的思路與方法

我國的涉密信息系統(tǒng)實行分級保護(hù)管理制度，即根據(jù)涉密程度，對涉密信息系統(tǒng)按照秘密級、機密級、絕密級進(jìn)行分等級實施保護(hù)。目前，國家保密局已經(jīng)制定發(fā)布了國家保密標(biāo)準(zhǔn)BMBl7--2006《涉及國家秘密的信息系統(tǒng)分級保護(hù)技術(shù)要求》和BMB20--2007《涉及國家秘密的信息系統(tǒng)分級保護(hù)管理規(guī)范》，從技術(shù)和管理兩個方面，詳細(xì)規(guī)定了涉密信息系統(tǒng)建設(shè)、使用和管理的保密要求。

涉密信息系統(tǒng)分級保護(hù)是國家信息安全等級保護(hù)的重要部分，其核心思想是“從實際出發(fā)，綜合平衡安全成本和風(fēng)險，優(yōu)化信息安全資源的配置，確保重點?！币虼耍婷苄畔⑾到y(tǒng)應(yīng)該遵循國家保密標(biāo)準(zhǔn)規(guī)范，在分級保護(hù)的框架下，按照“規(guī)范定密，準(zhǔn)確定級；分域分級，科學(xué)防護(hù)；風(fēng)險評估，動態(tài)調(diào)整；技管并重，全面保障”的基本思路進(jìn)行保密管理，具體方法為：

(一)涉密信息系統(tǒng)應(yīng)該嚴(yán)格按照以系統(tǒng)分域定級、方案設(shè)計、工程實施、系統(tǒng)測評為中心環(huán)節(jié)的操作流程，積極組織開展涉密信息系統(tǒng)建設(shè)工作

1．涉密信息系統(tǒng)建設(shè)使用單位應(yīng)按照信息密級、行政級別、業(yè)務(wù)類別、系統(tǒng)重要性和安全策略等因素劃分安全域，并根據(jù)各安全域所處理信息的最高密級確定等級。

2．涉密信息系統(tǒng)建設(shè)使用單位應(yīng)選擇具有涉密信息系統(tǒng)集成資質(zhì)單位進(jìn)行承建，結(jié)合國家保密標(biāo)準(zhǔn)BMBl7—2006《涉及國家秘密的信息系統(tǒng)分級保護(hù)技術(shù)要求》和BMB20--2007《涉及國家秘密的信息系統(tǒng)分級保護(hù)管理規(guī)范》等相關(guān)標(biāo)準(zhǔn)，在風(fēng)險評估的基礎(chǔ)上，從技術(shù)和管理兩個方面進(jìn)行綜合設(shè)計。保密工作部門應(yīng)當(dāng)參與方案審查論證，在系統(tǒng)總體安全保密性方面加強指導(dǎo)，嚴(yán)格把關(guān)。

3．涉密信息系統(tǒng)建設(shè)使用單位應(yīng)按照BMBl8--2006《涉及國家秘密的信息系統(tǒng)工程監(jiān)理規(guī)范》進(jìn)行工程監(jiān)理。在進(jìn)行工程監(jiān)理時，應(yīng)選擇具有涉密工程監(jiān)理單項資質(zhì)的單位或組織自身力量加強監(jiān)督檢查。

4．涉密信息系統(tǒng)在投入使用前，經(jīng)過保密工作部門授權(quán)測評機構(gòu)的安全保密測評和保密工作部門審批。涉密信息系統(tǒng)建設(shè)使用單位應(yīng)按照測評機構(gòu)的要求，提交測評所需的必要資料，并配合系統(tǒng)測評工作。

(二)涉密信息系統(tǒng)建設(shè)使用單位應(yīng)該整合保密部門、信息化建設(shè)部門和其他相關(guān)部門力量，密切合作，各負(fù)其責(zé)，形成合力共同加強系統(tǒng)的保密管理工作

1．在系統(tǒng)定級方面，保密部門發(fā)揮準(zhǔn)確掌握國家保密政策的優(yōu)勢，與信息化部門、業(yè)務(wù)工作部門一起研究確定系統(tǒng)和安全域所處理信息的最高密級，從而確定保護(hù)等級。

2．在方案設(shè)計方面，信息化部門利用熟悉技術(shù)的特點，按照分級保護(hù)技術(shù)要求和管理規(guī)范，組織開展分級保護(hù)方案的設(shè)計工作。保密部門應(yīng)對總體方案進(jìn)行監(jiān)督、檢查和指導(dǎo)，組織專家進(jìn)行評審論證。

3．在工程實施方面，信息化部門應(yīng)具體承擔(dān)組織實施工作，并定期與保密部門對安全保密措施落實情況和工程進(jìn)展情況監(jiān)督、檢查。4．在系統(tǒng)工程施工結(jié)束后，保密部門負(fù)責(zé)組織系統(tǒng)測評和系統(tǒng)審批工作，信息化部門密切配合。

5．在系統(tǒng)投入運行后，保密、信息化、密碼、業(yè)務(wù)工作、保衛(wèi)和人事等有關(guān)部門應(yīng)按照“分工合作、各司其責(zé)”的原則，在滿足基本管理要求的基礎(chǔ)上，主要從人員管理、物理環(huán)境與設(shè)施管理、設(shè)備與介質(zhì)管理、運行與開發(fā)管理和信息安全保密管理五個方面抓好系統(tǒng)應(yīng)用中的日常管理，積極開展風(fēng)險評估和保密監(jiān)督檢查，并做好系統(tǒng)廢止階段的善后工作。

六、涉密信息系統(tǒng)安全保密建議

（一）要樹立起有效控制的思想。

保密的實質(zhì)是什么？筆者認(rèn)為保密的實質(zhì)就是控制，要做到國家秘密在任何時候、任何情況下都受控。而做好控制的最有效方法就是盡一切可能縮小知悉范圍，做到知悉必須以工作需要為原則。為檢驗控制的效果，則要做好全程登記工作，將所有知悉國家秘密的人和情況記錄在案，做到可查、可追溯。

（二）要建立起一個高效的保密機制。

保密工作機制就是將保密工作各相關(guān)要素組合在一起，通過各要素之間的相互聯(lián)系、相互制約、相互作用，使其向既定的保密工作目標(biāo)自行運轉(zhuǎn)。比如保密資格認(rèn)證制度就是一個好的機制。它將軍工單位承擔(dān)武器裝備科研生產(chǎn)任務(wù)與保密緊密聯(lián)系起來，與單位生存發(fā)展緊密聯(lián)系起來，通過開展達(dá)標(biāo)活動，使保密工作按照相關(guān)標(biāo)準(zhǔn)的要求自行運轉(zhuǎn)。在單位內(nèi)部，將各項保密要求制定成保密檢查標(biāo)準(zhǔn)，通過定期檢查，量化打分，發(fā)現(xiàn)和改進(jìn)企業(yè)保密管理的薄弱環(huán)節(jié)，同時將每位涉密人員平時的保密工作情況納入年度綜合考評，與其晉級、晉職、獎懲等緊密聯(lián)系起來，激勵每一位涉密人員自覺地做好保密工作。建立這樣一個能夠自行運轉(zhuǎn)的系統(tǒng)，將從根本上解決做好保密工作的動力問題，由過去的讓我做變成我要做，促使軍工單位保密工作發(fā)生質(zhì)的變化。

（三）要抓好保密工作三大體系建設(shè)

保密工作三大體系是指：保密組織管理體系，保密法規(guī)制度體系，保密技術(shù)防護(hù)體系。保密是一項管理工作，是需要有職能部門和專職人員開展的工作，且必須有經(jīng)費的保障，建立保密組織管理體系是做好保密工作的基本條件和基本保障。保密法規(guī)制度是做好保密工作的重要基礎(chǔ)和前提。保密法規(guī)制度體系的建立要做到各類涉密事項和任何涉密活動都有制度進(jìn)行約束和控制。保密技術(shù)防護(hù)體系是做好保密工作的重要手段和措施。要將涉密區(qū)域和要害部門部位通過技術(shù)手段全面控制起來。安裝必要的電視監(jiān)控系統(tǒng)、門禁系統(tǒng)、區(qū)域紅外報警系統(tǒng)等。

（四）要重視安全保密的管理工作

隨著信息安全技術(shù)的發(fā)展，信息安全產(chǎn)品正在向智能、整合和管理方向發(fā)展，未來的涉密信息系統(tǒng)安全保密技術(shù)防范方案將會越來越完善。同時我們也應(yīng)該注意到，如果沒有強有力的管理來支持，再好的技術(shù)防范措施都會大打折扣，再好的技術(shù)防范產(chǎn)品也將成為擺設(shè)，因此涉密信息系統(tǒng)安全保密工作的重點還是在于管理，需要制定切實可行的規(guī)章制度，定期進(jìn)行涉密信息系統(tǒng)的安全保密檢查，發(fā)現(xiàn)問題及時整改，并嚴(yán)肅處理違規(guī)的責(zé)任人，從而不斷強化員工的安全保密意識，使員工能夠自覺遵守企業(yè)安全保密的規(guī)章制度。

七、結(jié)束語

傳統(tǒng)的“規(guī)章制度建設(shè)”式保密管理方法已經(jīng)不適應(yīng)新的形勢，“管理以技術(shù)為依托，技術(shù)靠管理來保障”的模式已經(jīng)成新的發(fā)展趨勢，因此必須按照“分級保護(hù)”和“技管并重”的原則開展涉密信息系統(tǒng)安全保密工作。

作者簡介：

陳金文，男，工程師，武漢理工大學(xué)畢業(yè)，目前從事航宇公司PDM、VPM等涉密應(yīng)用系統(tǒng)的實施、推廣運維方面的技術(shù)工作。

聯(lián)系方式：辦公室 1097 手機 ***

第二篇：涉密信息系統(tǒng)資質(zhì)保密標(biāo)準(zhǔn)

涉密信息系統(tǒng)集成資質(zhì)保密標(biāo)準(zhǔn) 適用范圍

本保密標(biāo)準(zhǔn)適用于涉密信息系統(tǒng)集成資質(zhì)申請、審查與資質(zhì)單位日常保密管理。定義

2.1 本標(biāo)準(zhǔn)所稱涉密人員，是指由于工作需要，在涉密信息系統(tǒng)集成崗位合法接觸、知悉和經(jīng)管國家秘密事項的人員。

2.2 本標(biāo)準(zhǔn)所稱涉密載體，主要指以文字、數(shù)據(jù)、符號、圖形、圖像、聲音等方式記載國家秘密信息的紙介質(zhì)、磁介質(zhì)、光盤等各類物品。磁介質(zhì)載體包括計算機硬盤、軟盤和錄音帶、錄像帶等。

2.3 本標(biāo)準(zhǔn)所稱信息系統(tǒng)是指由計算機及其相關(guān)和配套設(shè)備、設(shè)施構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則存儲、處理、傳輸信息的系統(tǒng)或者網(wǎng)絡(luò)。

2.4 本標(biāo)準(zhǔn)所稱信息設(shè)備是指計算機及存儲介質(zhì)、打印機、傳真機、復(fù)印機、掃描儀、照相機、攝像機等具有信息存儲和處理功能的設(shè)備。

保密標(biāo)準(zhǔn)

3.1 保密標(biāo)準(zhǔn)實施原則

3.1.1 積極防范，突出重點，嚴(yán)格標(biāo)準(zhǔn)，依法管理。3.1.2 業(yè)務(wù)工作誰主管，保密工作誰負(fù)責(zé)，保密責(zé)任落實到人。

3.1.3 具備健全的管理體系，保密管理與生產(chǎn)經(jīng)營管理相融合。

3.1.4 開展保密風(fēng)險評估與管理。3.1.5 建立保密管理的持續(xù)改進(jìn)機制。3.2 保密組織機構(gòu)及職責(zé) 3.2.1 保密工作領(lǐng)導(dǎo)小組

3.2.1.1 資質(zhì)單位應(yīng)當(dāng)成立保密工作領(lǐng)導(dǎo)小組，為本單位保密工作領(lǐng)導(dǎo)機構(gòu)。

甲級資質(zhì)單位應(yīng)當(dāng)設(shè)置專職保密總監(jiān)，保密總監(jiān)為單位領(lǐng)導(dǎo)班子成員。

3.2.1.2 甲級資質(zhì)單位保密工作領(lǐng)導(dǎo)小組由單位法定代表人（或主要負(fù)責(zé)人）、保密總監(jiān)和有關(guān)部門主要負(fù)責(zé)人組成。組長由法定代表人（或主要負(fù)責(zé)人）擔(dān)任，副組長由保密總監(jiān)擔(dān)任，保密工作領(lǐng)導(dǎo)小組各成員應(yīng)當(dāng)有明確的職責(zé)分工。

乙級資質(zhì)單位保密工作領(lǐng)導(dǎo)小組由單位法定代表人（或主要負(fù)責(zé)人）、分管保密工作負(fù)責(zé)人和有關(guān)部門主要負(fù)責(zé)人組成。組長由法定代表人（或主要負(fù)責(zé)人）擔(dān)任，副組長由分管保密工作負(fù)責(zé)人擔(dān)任，保密工作領(lǐng)導(dǎo)小組各成員應(yīng)當(dāng)有明確的職責(zé)分工。

3.2.1.3 保密工作領(lǐng)導(dǎo)小組實行例會制度。例會應(yīng)當(dāng)組織學(xué)習(xí)黨和國家保密工作方針政策及相關(guān)保密法律法規(guī)；研究部署、總結(jié)本單位的保密工作；解決保密工作中的重要問題。例會每年不少于2次，會議應(yīng)當(dāng)作記錄并形成會議紀(jì)要。

3.2.1.4 法定代表人（或主要負(fù)責(zé)人）為本單位保密工作第一責(zé)任人，對本單位保密工作負(fù)全面責(zé)任，履行下列職責(zé)：

（1）保證國家相關(guān)保密法律法規(guī)在本單位貫徹落實；（2）監(jiān)督檢查保密工作責(zé)任制的落實情況，解決保密工作中的重要問題；

（3）審核、簽發(fā)單位保密管理制度；

（4）為保密工作提供人力、財力、物力等條件保障。3.2.1.5 保密總監(jiān)或者分管保密工作負(fù)責(zé)人對本單位保密工作負(fù)具體領(lǐng)導(dǎo)和監(jiān)督責(zé)任，履行下列職責(zé)：

（1）組織制定單位保密管理制度、保密工作計劃，審定保密工作總結(jié)；

（2）監(jiān)督保密工作計劃落實情況，組織保密檢查；（3）為保密管理辦公室和保密管理人員履行職責(zé)提供保障。

3.2.1.6 涉密信息系統(tǒng)集成業(yè)務(wù)部門負(fù)責(zé)人對本部門的保密管理負(fù)直接領(lǐng)導(dǎo)責(zé)任，履行下列職責(zé)：

（1）嚴(yán)格按照工作需要，控制業(yè)務(wù)人員在工作中知悉涉密信息的范圍和程度；

（2）組織開展保密風(fēng)險評估，修訂生產(chǎn)管理制度，優(yōu)化業(yè)務(wù)流程，制定保密工作方案，落實保密風(fēng)險防控措施；

（3）監(jiān)督檢查涉密信息系統(tǒng)集成業(yè)務(wù)管理和保密制度執(zhí)行情況，督促業(yè)務(wù)人員履行保密職責(zé)；

（4）及時發(fā)現(xiàn)、研究解決保密管理中存在的問題。3.2.2 保密管理辦公室

3.2.2.1 資質(zhì)單位應(yīng)當(dāng)設(shè)立保密管理辦公室，為本單位的職能部門，負(fù)責(zé)人由中層以上管理人員擔(dān)任。

甲級資質(zhì)單位保密管理辦公室應(yīng)當(dāng)為專門機構(gòu)并配備專門的保密管理人員，乙級資質(zhì)單位可指定有關(guān)機構(gòu)承擔(dān)保密管理辦公室職能。

3.2.2.2 保密管理辦公室負(fù)責(zé)本單位保密工作的日常管理，履行下列職責(zé)：

（1）組織落實保密工作領(lǐng)導(dǎo)小組的工作部署，提出工作建議，擬定工作計劃、總結(jié)；

（2）制定、修訂保密制度；（3）參與單位各項管理制度的制定、修訂工作；（4）審查、確定保密要害部門部位，指導(dǎo)、監(jiān)督保密設(shè)施設(shè)備的建設(shè)、使用和維護(hù)管理；

（5）組織開展保密宣傳教育和培訓(xùn)；

（6）對涉密人員履行保密職責(zé)情況進(jìn)行指導(dǎo)監(jiān)督；（7）對本單位各部門保密管理有關(guān)情況進(jìn)行指導(dǎo)監(jiān)督；（8）組織開展保密檢查，針對存在的問題提出整改意見，并督促落實；

（9）報告、配合查處泄密事件；（10）管理保密工作檔案；

（11）承辦保密資質(zhì)申請、延續(xù)、審查、事項變更登記等工作；

（12）承辦保密工作領(lǐng)導(dǎo)小組交辦的其他任務(wù)。3.2.2.3 保密管理人員應(yīng)當(dāng)具備下列條件：（1）具備良好的政治素質(zhì)；

（2）熟悉保密法律法規(guī)，掌握保密知識技能，具有一定的管理能力；

（3）熟悉本單位業(yè)務(wù)工作和保密工作情況；（4）通過保密行政管理部門組織的培訓(xùn)和考核。3.3 保密制度

3.3.1 資質(zhì)單位應(yīng)當(dāng)建立規(guī)范、操作性強的保密制度，并根據(jù)實際情況及時修訂完善。保密制度的具體要求應(yīng)當(dāng)體現(xiàn)在單位相關(guān)管理制度和業(yè)務(wù)工作流程中。

3.3.2 保密制度包括以下主要方面：（1）保密工作機構(gòu)設(shè)置與職責(zé)；（2）保密教育培訓(xùn)；（3）涉密人員管理；（4）涉密載體管理；

（5）信息系統(tǒng)、信息設(shè)備和保密設(shè)施設(shè)備管理；（6）涉密信息系統(tǒng)集成場所等保密要害部位管理；（7）涉密項目實施現(xiàn)場管理；（8）保密監(jiān)督檢查；（9）保密工作考核與獎懲；（10）泄密事件報告與查處；（11）保密風(fēng)險評估與管理；（12）資質(zhì)證書使用與管理。3.4 保密風(fēng)險評估與管理

3.4.1 資質(zhì)單位應(yīng)當(dāng)定期對系統(tǒng)集成業(yè)務(wù)、人員、資產(chǎn)、場所等主要管理活動進(jìn)行保密風(fēng)險評估。各業(yè)務(wù)部門應(yīng)當(dāng)按照業(yè)務(wù)流程對保密風(fēng)險進(jìn)行識別、分析和評估，提出具體防控措施。

3.4.2 資質(zhì)單位應(yīng)當(dāng)將國家保密法規(guī)和標(biāo)準(zhǔn)要求、保密風(fēng)險防控措施融入到管理制度和業(yè)務(wù)工作流程中，并建立相應(yīng)的監(jiān)督檢查機制。

3.5 涉密人員管理

3.5.1 資質(zhì)單位應(yīng)當(dāng)對從事涉密業(yè)務(wù)的人員進(jìn)行審查，符合條件的方可將其確定為涉密人員。涉密人員應(yīng)當(dāng)通過保密教育培訓(xùn)，并簽訂保密承諾書后方能上崗。

3.5.2 涉密人員應(yīng)當(dāng)保守國家秘密，嚴(yán)格遵守各項保密規(guī)章制度，并符合以下基本條件：

（1）遵紀(jì)守法，具有良好的品行，無犯罪記錄；（2）資質(zhì)單位正式職工，并在其他單位無兼職；（3）社會關(guān)系清楚，本人及其配偶為中國境內(nèi)公民。3.5.3 涉密人員根據(jù)所在崗位涉密情況分為核心、重要、一般三個等級，實行分類管理。涉密等級發(fā)生變化時，應(yīng)當(dāng)履行審批程序。

3.5.4 資質(zhì)單位與涉密人員簽訂的勞動合同或補充協(xié)議，應(yīng)當(dāng)包括以下內(nèi)容：

（1）涉密人員的權(quán)利與義務(wù)；

（2）涉密人員應(yīng)當(dāng)遵守的保密紀(jì)律和有關(guān)限制性規(guī)定；（3）因履行保密職責(zé)導(dǎo)致涉密人員利益受到損害，資質(zhì)單位給予補償?shù)囊?guī)定；

（4）涉密人員因違反保密規(guī)定而被無條件調(diào)離涉密崗位或給予辭退等處罰的規(guī)定；

（5）因認(rèn)真履行保密職責(zé)，資質(zhì)單位給予涉密人員獎勵的規(guī)定；

（6）涉密人員應(yīng)當(dāng)遵守的其他有關(guān)事項。

3.5.5 資質(zhì)單位應(yīng)當(dāng)將涉密人員基本情況和調(diào)整變動情況向所在地省、自治區(qū)、直轄市保密行政管理部門備案。

3.5.6 在崗涉密人員每年參加保密教育與保密知識、技能培訓(xùn)的時間不少于10個學(xué)時。

3.5.7 資質(zhì)單位應(yīng)當(dāng)對在崗涉密人員進(jìn)行定期考核評價。

3.5.8 資質(zhì)單位應(yīng)當(dāng)向涉密人員發(fā)放保密補貼。3.5.9 涉密人員離崗離職須經(jīng)資質(zhì)單位保密審查，簽訂保密承諾書，并按相關(guān)保密規(guī)定實行脫密期管理。

3.5.10 涉密人員因私出國（境）的，應(yīng)當(dāng)經(jīng)資質(zhì)單位同意，出國（境）前應(yīng)當(dāng)經(jīng)過保密教育。擅自出境或逾期不歸的，資質(zhì)單位應(yīng)當(dāng)及時報告保密行政管理部門。

3.5.11 涉密人員泄露國家秘密或嚴(yán)重違反保密規(guī)章制度的，應(yīng)當(dāng)調(diào)離涉密崗位，并追究其法律責(zé)任。

3.6 涉密載體管理

3.6.1 資質(zhì)單位應(yīng)當(dāng)按照工作需要，嚴(yán)格控制涉密載體的接觸范圍和涉密信息的知悉程度。3.6.2 資質(zhì)單位應(yīng)當(dāng)建立涉密載體臺帳，臺帳應(yīng)當(dāng)包括載體名稱、編號、密級、保密期限等信息。

3.6.3 接收、制作、交付、傳遞、保存、維修、銷毀涉密載體，應(yīng)當(dāng)遵守國家相關(guān)保密規(guī)定，履行簽收、登記、審批手續(xù)。

3.6.4 復(fù)制本單位產(chǎn)生的涉密載體，應(yīng)當(dāng)經(jīng)單位相關(guān)部門審批；復(fù)制其他涉密載體，應(yīng)當(dāng)經(jīng)涉密載體制發(fā)機關(guān)、單位或所在地省、自治區(qū)、直轄市保密行政管理部門批準(zhǔn)。涉密載體復(fù)制場所應(yīng)當(dāng)符合保密要求，采取可靠的保密措施；不具備復(fù)制條件的，應(yīng)當(dāng)?shù)奖Ｃ苄姓芾聿块T審查批準(zhǔn)的定點單位復(fù)制。

3.6.5 機密、秘密級涉密載體應(yīng)當(dāng)存放在密碼文件柜中，絕密級涉密載體應(yīng)當(dāng)存放在密碼保險柜中。存放場所應(yīng)當(dāng)符合保密要求。

3.6.6 未經(jīng)批準(zhǔn)，個人不得私自留存涉密載體和涉密信息資料。確因工作需要保存的，應(yīng)當(dāng)建立個人臺帳，內(nèi)容包括載體密級、留存原因、審批部門或人員、留存期限等內(nèi)容。

3.6.7 攜帶涉密載體外出，應(yīng)當(dāng)履行審批手續(xù)，采取可靠的保密措施，并確保涉密載體始終處于攜帶人的有效控制下。

3.6.8 資質(zhì)單位應(yīng)當(dāng)定期對涉密載體進(jìn)行清查。需要銷毀的涉密載體應(yīng)當(dāng)履行清點、登記、審批手續(xù)，送交保密行政管理部門設(shè)立的銷毀工作機構(gòu)或者保密行政管理部門指定的單位銷毀；確因工作需要，自行銷毀少量秘密載體的，應(yīng)當(dāng)使用符合國家保密標(biāo)準(zhǔn)的銷毀設(shè)備和方法。

3.7 信息系統(tǒng)與信息設(shè)備管理

3.7.1 涉密信息系統(tǒng)的規(guī)劃、建設(shè)、使用等應(yīng)當(dāng)符合國家有關(guān)保密規(guī)定。涉密信息系統(tǒng)應(yīng)當(dāng)按照國家保密規(guī)定和標(biāo)準(zhǔn)，制定分級保護(hù)方案，采取身份鑒別、訪問控制、安全審計、邊界安全防護(hù)、信息流轉(zhuǎn)控制等安全保密防護(hù)措施。

3.7.2 涉密信息設(shè)備應(yīng)當(dāng)符合國家保密標(biāo)準(zhǔn)，有密級、編號、責(zé)任人標(biāo)識，并建立管理臺帳。

3.7.3 涉密計算機、移動存儲介質(zhì)應(yīng)當(dāng)按照存儲、處理信息的最高密級進(jìn)行管理與防護(hù)。

3.7.4 涉密信息設(shè)備的使用應(yīng)當(dāng)符合相關(guān)保密規(guī)定。禁止涉密信息設(shè)備接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)；禁止涉密信息設(shè)備接入內(nèi)部非涉密信息系統(tǒng)；禁止使用非涉密信息設(shè)備和個人設(shè)備存儲、處理涉密信息；禁止超越計算機、移動存儲介質(zhì)的涉密等級存儲、處理涉密信息；禁止在涉密計算機和非涉密計算機之間交叉使用移動存儲介質(zhì)；禁止在涉密計算機與非涉密計算機之間共用打印機、掃描儀等信息設(shè)備。3.7.5 涉密信息設(shè)備應(yīng)當(dāng)采取身份鑒別、訪問控制、違規(guī)外聯(lián)監(jiān)控、安全審計、移動存儲介質(zhì)管控等安全保密措施，并及時升級病毒和惡意代碼樣本庫，定期進(jìn)行病毒和惡意代碼查殺。

3.7.6 采購安全保密產(chǎn)品應(yīng)當(dāng)選用經(jīng)過國家保密行政管理部門授權(quán)機構(gòu)檢測、符合國家保密標(biāo)準(zhǔn)要求的產(chǎn)品，計算機病毒防護(hù)產(chǎn)品應(yīng)當(dāng)選用公安機關(guān)批準(zhǔn)的國產(chǎn)產(chǎn)品，密碼產(chǎn)品應(yīng)當(dāng)選用國家密碼管理部門批準(zhǔn)的產(chǎn)品。

3.7.7 涉密信息打印、刻錄等輸出應(yīng)當(dāng)相對集中、有效控制，并采取相應(yīng)審計措施。

3.7.8 涉密計算機及辦公自動化設(shè)備應(yīng)當(dāng)拆除具有無線聯(lián)網(wǎng)功能的硬件模塊，禁止使用具有無線互聯(lián)功能或配備無線鍵盤、無線鼠標(biāo)等無線外圍裝置的信息設(shè)備處理國家秘密。

3.7.9 涉密信息設(shè)備的維修，應(yīng)當(dāng)在本單位內(nèi)部進(jìn)行，并指定專人全程監(jiān)督，嚴(yán)禁維修人員讀取或復(fù)制涉密信息。確需送外維修的，須拆除涉密信息存儲部件。涉密存儲介質(zhì)的數(shù)據(jù)恢復(fù)應(yīng)當(dāng)?shù)絿冶Ｃ苄姓芾聿块T批準(zhǔn)的單位進(jìn)行。

3.7.10 涉密信息設(shè)備改作非涉密信息設(shè)備使用或淘汰處理時，應(yīng)當(dāng)將涉密信息存儲部件拆除。淘汰處理涉密存儲介質(zhì)和涉密信息存儲部件，應(yīng)當(dāng)按照國家秘密載體銷毀有關(guān)規(guī)定執(zhí)行。

3.7.11 涉密計算機及移動存儲介質(zhì)攜帶外出應(yīng)履行審批手續(xù)，帶出前和帶回后，均應(yīng)當(dāng)進(jìn)行保密檢查。

3.8 涉密辦公場所保密管理

3.8.1 資質(zhì)單位的涉密辦公場所應(yīng)當(dāng)固定在相對獨立的樓層或區(qū)域。

3.8.2 涉密辦公場所應(yīng)當(dāng)安裝門禁、視頻監(jiān)控、防盜報警等安防系統(tǒng)，實行封閉式管理。監(jiān)控機房應(yīng)當(dāng)安排人員值守。

3.8.3 建立視頻監(jiān)控的管理檢查機制，資質(zhì)單位安全保衛(wèi)部門應(yīng)當(dāng)定期對視頻監(jiān)控信息進(jìn)行回看檢查，保密管理辦公室應(yīng)當(dāng)對執(zhí)行情況進(jìn)行監(jiān)督。視頻監(jiān)控信息保存時間不少于3個月。

3.8.4 門禁系統(tǒng)、視頻監(jiān)控系統(tǒng)和防盜報警系統(tǒng)等應(yīng)當(dāng)定期檢查維護(hù)，確保系統(tǒng)處于有效工作狀態(tài)。

3.8.5 涉密辦公場所應(yīng)當(dāng)明確允許進(jìn)入的人員范圍，其他人員進(jìn)入，應(yīng)當(dāng)履行審批、登記手續(xù)，并由接待人員全程陪同。

3.8.6 未經(jīng)批準(zhǔn)，不得將具有錄音、錄像、拍照、存儲、通信功能的設(shè)備帶入涉密辦公場所。

3.9 涉密信息系統(tǒng)集成項目管理 3.9.1 資質(zhì)單位應(yīng)當(dāng)按照資質(zhì)等級、類別承接涉密信息系統(tǒng)集成業(yè)務(wù)。不得將資質(zhì)證書出借或轉(zhuǎn)讓。不得將承接的涉密信息系統(tǒng)集成業(yè)務(wù)分包或轉(zhuǎn)包給不具備相應(yīng)資質(zhì)的單位。

3.9.2 資質(zhì)單位與其他單位合作開展涉密信息系統(tǒng)集成業(yè)務(wù)的，合作單位應(yīng)當(dāng)具有相應(yīng)涉密信息系統(tǒng)集成資質(zhì)，且應(yīng)當(dāng)取得委托方書面同意。

3.9.3 資質(zhì)單位承接涉密信息系統(tǒng)集成項目的，應(yīng)當(dāng)在簽訂合同后，向項目所在地省、自治區(qū)、直轄市保密行政管理部門備案，接受保密監(jiān)督管理。

涉密信息系統(tǒng)集成項目完成后，資質(zhì)單位應(yīng)當(dāng)向項目所在地省、自治區(qū)、直轄市保密行政管理部門書面報告項目建設(shè)情況。

3.9.4 資質(zhì)單位應(yīng)當(dāng)對涉密信息系統(tǒng)集成項目實行全過程管理，明確崗位責(zé)任，落實各環(huán)節(jié)安全保密措施，確保管理全程可控可查。

3.9.5 資質(zhì)單位應(yīng)當(dāng)按照涉密信息系統(tǒng)集成項目的密級，對用戶需求文檔、設(shè)計方案、圖紙、程序編碼等技術(shù)資料和項目合同書、保密協(xié)議、驗收報告等業(yè)務(wù)資料是否屬于國家秘密或者屬于何種密級進(jìn)行確定。屬于國家秘密的，應(yīng)當(dāng)標(biāo)明密級，登記編號，明確知悉范圍。3.9.6 涉密信息系統(tǒng)集成項目實施期間，項目負(fù)責(zé)人對項目的安全保密負(fù)總體責(zé)任，應(yīng)當(dāng)按照工作需要，嚴(yán)格控制涉密載體的接觸范圍和涉密信息的知悉程度。

3.9.7 資質(zhì)單位應(yīng)當(dāng)對參與涉密信息系統(tǒng)集成項目的管理人員、技術(shù)人員和工程施工人員進(jìn)行登記備案，對其分工作出詳細(xì)記錄。

3.9.8 涉密信息系統(tǒng)集成項目實施驗收后，資質(zhì)單位應(yīng)當(dāng)將涉密技術(shù)資料全部移交委托方，不得私自留存或擅自處理。需要保留的業(yè)務(wù)資料，應(yīng)當(dāng)嚴(yán)格按照有關(guān)保密規(guī)定進(jìn)行管理。

3.9.9 涉密信息系統(tǒng)集成項目的設(shè)計方案、研發(fā)成果及有關(guān)建設(shè)情況，資質(zhì)單位及其工作人員不得擅自以任何形式公開發(fā)表、交流或轉(zhuǎn)讓。

3.9.10 資質(zhì)單位在與境外人員或機構(gòu)進(jìn)行交流合作時，應(yīng)當(dāng)嚴(yán)格遵守有關(guān)保密規(guī)定，交流材料不得涉及涉密信息系統(tǒng)集成項目的相關(guān)情況。

3.9.11 資質(zhì)單位利用涉密信息系統(tǒng)集成項目申請專利，應(yīng)當(dāng)嚴(yán)格遵守有關(guān)保密規(guī)定。

秘密級和機密級的項目，應(yīng)當(dāng)按照法定程序?qū)徟笊暾埍Ｃ軐＠?，符合專利申請條件的，應(yīng)當(dāng)按照有關(guān)規(guī)定辦理解密手續(xù)；絕密級的項目，在保密期限內(nèi)不得申請專利或者保密專利。

3.10 涉密項目實施現(xiàn)場管理

3.10.1 資質(zhì)單位進(jìn)入委托方現(xiàn)場進(jìn)行涉密信息系統(tǒng)集成項目開發(fā)、工程施工、運行維護(hù)等應(yīng)當(dāng)嚴(yán)格執(zhí)行現(xiàn)場工作制度和流程。

3.10.2 從事現(xiàn)場項目開發(fā)、工程施工、運行維護(hù)的人員應(yīng)當(dāng)是資質(zhì)單位確定的涉密人員。

3.10.3 現(xiàn)場項目開發(fā)、工程施工、運行維護(hù)應(yīng)當(dāng)在委托方的監(jiān)督下進(jìn)行。未經(jīng)委托方檢查和書面批準(zhǔn)，不得將任何電子設(shè)備帶入涉密項目現(xiàn)場。

3.10.4 資質(zhì)單位應(yīng)當(dāng)對現(xiàn)場項目開發(fā)、工程施工、運行維護(hù)的工作情況進(jìn)行詳細(xì)記錄并存檔備查。

3.11 宣傳報道管理

3.11.1 資質(zhì)單位通過媒體、互聯(lián)網(wǎng)等渠道對外發(fā)布信息，應(yīng)當(dāng)經(jīng)資質(zhì)單位相關(guān)部門審查批準(zhǔn)。

3.11.2 資質(zhì)單位涉及涉密信息系統(tǒng)集成項目的宣傳報道、展覽、公開發(fā)表著作和論文等，應(yīng)當(dāng)經(jīng)委托方批準(zhǔn)。

3.12 保密檢查

3.12.1 資質(zhì)單位應(yīng)當(dāng)定期對保密管理制度落實情況、技術(shù)防范措施落實情況等進(jìn)行檢查，及時發(fā)現(xiàn)和消除隱患。

3.12.2 保密檢查應(yīng)當(dāng)進(jìn)行書面記錄，內(nèi)容包括：檢查時間、檢查人、檢查對象、檢查事項、存在問題、整改措施及落實情況等。

3.13 泄密事件處理

3.13.1 資質(zhì)單位發(fā)生泄密事件，應(yīng)當(dāng)立即采取補救措施，并在發(fā)現(xiàn)后24小時內(nèi)書面向所在地保密行政管理部門報告。內(nèi)容包括：

（1）所泄露信息的內(nèi)容、密級、數(shù)量及其載體形式；（2）泄密事件的發(fā)現(xiàn)經(jīng)過；

（3）泄密事件發(fā)生的時間、地點和經(jīng)過；

（4）泄密責(zé)任人的基本情況；

（5）泄密事件造成或可能造成的危害；（6）已采取或擬采取的補救措施。

3.13.2 資質(zhì)單位應(yīng)當(dāng)配合保密行政管理部門對泄密事件進(jìn)行查處，不得隱瞞情況或包庇當(dāng)事人。

3.14 保密工作考核與獎懲

3.14.1 資質(zhì)單位應(yīng)當(dāng)將員工遵守保密制度、履行保密職責(zé)的情況納入績效考核內(nèi)容，考核結(jié)果作為發(fā)放保密補貼和評選先進(jìn)的依據(jù)。

3.14.2 資質(zhì)單位應(yīng)當(dāng)對嚴(yán)格執(zhí)行保密規(guī)章的集體和個人給予表彰獎勵。

3.14.3 資質(zhì)單位應(yīng)當(dāng)對違反保密法規(guī)制度的有關(guān)責(zé)任人給予相應(yīng)處罰；泄露國家秘密的，應(yīng)當(dāng)按照有關(guān)規(guī)定作出處理。

3.15 保密工作經(jīng)費

3.15.1 保密工作經(jīng)費分為保密管理經(jīng)費和保密專項經(jīng)費。保密管理經(jīng)費用于單位保密宣傳教育培訓(xùn)、發(fā)放保密補貼、獎勵保密先進(jìn)、保密檢查等日常保密管理工作；專項經(jīng)費用于保密設(shè)施設(shè)備的建設(shè)、配備、維護(hù)等。

3.15.2 甲級資質(zhì)單位保密管理經(jīng)費，標(biāo)準(zhǔn)不少于5萬元；乙級資質(zhì)單位保密管理經(jīng)費，標(biāo)準(zhǔn)不少于3萬元。保密管理經(jīng)費應(yīng)當(dāng)單獨列入單位財務(wù)預(yù)算，?？顚Ｓ?，保證開支。

3.15.3 保密專項經(jīng)費應(yīng)當(dāng)按實際需要予以保障。3.16 保密工作檔案

3.16.1 資質(zhì)單位應(yīng)當(dāng)建立保密工作檔案，記錄日常保密工作情況。

3.16.2保密工作檔案的內(nèi)容應(yīng)當(dāng)真實、完整，全面反映保密工作情況，并能夠與相關(guān)工作檔案相互印證。

3.17 本保密標(biāo)準(zhǔn)未明確涉密事項的保密管理，須嚴(yán)格執(zhí)行國家有關(guān)保密規(guī)定。

第三篇：非涉密網(wǎng)絡(luò)保密管理

關(guān)于認(rèn)真做好部機關(guān)非涉密網(wǎng)絡(luò)保密管理的

自查報告

為進(jìn)一步加強非涉密網(wǎng)絡(luò)保密管理，按照部機關(guān)《關(guān)于認(rèn)真做好非涉密網(wǎng)絡(luò)保密管理全面自查的通知》要求，我處積極開展了非涉密網(wǎng)絡(luò)保密管理自查自糾工作，現(xiàn)報告如下：

一、基本情況

我處目前共有非涉密網(wǎng)絡(luò)1個，即市委機關(guān)公用網(wǎng)絡(luò)，共連接非涉密計算機5臺。我處所有電腦均配備了殺毒軟件，定期殺毒與升級。對于非涉密單機的管理，我們明確了非涉密計算機不得處理涉密信息。對于計算機磁介質(zhì)的管理，采取專人保管、涉密文件單獨存放，嚴(yán)禁攜帶存有涉密內(nèi)容的磁介質(zhì)到上網(wǎng)的計算機上加工、儲存、傳遞處理文件。

二、保密管理情況

我處在非涉密網(wǎng)絡(luò)保密管理的自查中，對非涉密網(wǎng)絡(luò)處理信息類別進(jìn)行了明確規(guī)定，制定了符合國家有關(guān)保密法律法規(guī)的非涉密網(wǎng)絡(luò)安全保密管理制度。并對非涉密網(wǎng)絡(luò)定期開展了保密檢查，確保萬無一失。

三、保密制度落實情況

(一)以宣傳教育為主導(dǎo)，強化保密意識。

為加強計算機及其網(wǎng)絡(luò)的保密管理，防止計算機及其網(wǎng)絡(luò)泄密事件的發(fā)生，我處采取多種方式，多種渠道對計算機保密相關(guān)人員進(jìn)行宣傳教育。認(rèn)真組織學(xué)習(xí)《國家保密法》、《中華人民共和國國家安全法》、《中華人民共和國保守國家秘密法實施辦法》，并要求結(jié)合實際貫徹落實。非涉密計算機利用屏幕保護(hù)時間宣傳、張貼標(biāo)語等明確責(zé)任人及使用范圍，嚴(yán)禁在非涉密計算機上存儲、處理、傳遞涉密文件信息資料。

(二)以制度建設(shè)為保障，嚴(yán)格規(guī)范管理。

加強制度建設(shè)，是做好計算機網(wǎng)絡(luò)保密管理的保障。為了構(gòu)筑科學(xué)嚴(yán)密的制度防范體系，不斷完善各項規(guī)章制度，規(guī)范計算機及其網(wǎng)絡(luò)的保密管理，嚴(yán)禁在非涉密服務(wù)器和計算機終端上存儲、處理涉密文件信息資料。

(三)以督促檢查為手段，堵塞管理漏洞

為了確保計算機及其網(wǎng)絡(luò)保密管理工作各項規(guī)章制度的落實，及時發(fā)現(xiàn)計算機網(wǎng)絡(luò)保密工作中存在的泄密隱患，堵塞管理漏洞，我處十分重視對計算機及其網(wǎng)絡(luò)的保密工作的督促檢查，采取自查與抽查相結(jié)合等方式，對計算機及其網(wǎng)絡(luò)管理制度的落實情況、涉密網(wǎng)絡(luò)的管理和使用情況、防范措施的落實情況進(jìn)行檢查。

第四篇：重點涉密人員保密管理

重點涉密人員保密管理

一、黨政領(lǐng)導(dǎo)干部保密工作責(zé)任制

領(lǐng)導(dǎo)干部的保密責(zé)任制是指擔(dān)任縣處級以上（各縣處級）領(lǐng)導(dǎo)職務(wù)的干部，在對自己主管或者分管的業(yè)務(wù)工作負(fù)責(zé)的同時，必須對其中的保密工作承擔(dān)領(lǐng)導(dǎo)和管理責(zé)任。總的原則是：保密工作誰主管，誰負(fù)責(zé)；主管什么業(yè)務(wù)，同時領(lǐng)導(dǎo)和管理該項業(yè)務(wù)工作中的保密工作；業(yè)務(wù)工作管到哪一級，其中的保密工作也同時管到哪一級。

二、黨政領(lǐng)導(dǎo)干部落實保密工作責(zé)任制的分工

各級黨政主要領(lǐng)導(dǎo)對本地區(qū)、本部門的保密工作負(fù)有領(lǐng)導(dǎo)責(zé)任；分管保密工作的領(lǐng)導(dǎo)，對本地區(qū)、本部門的保密工作負(fù)有直接領(lǐng)導(dǎo)責(zé)任；分管其他方面工作的領(lǐng)導(dǎo)，對分管業(yè)務(wù)工作范圍內(nèi)的保密工作負(fù)有領(lǐng)導(dǎo)責(zé)任。

三、黨政領(lǐng)導(dǎo)干部必須遵守的保密守則

1、不泄露黨和國家秘密；

2、不在無保障的場所閱辦、存放秘密文件、資料；

3、不擅自或指使他人復(fù)制、摘抄、銷毀或私自留存帶密級的文件、資料。確因工作需要復(fù)印并按規(guī)定請示批準(zhǔn)復(fù)印的，復(fù)印件應(yīng)按同等密級文件管理；

4、不在非保密筆記本或未采取保密措施的電子信息設(shè)備中記錄、傳輸和儲存黨和國家秘密事項；

5、不攜帶秘密文件、資料進(jìn)入公共場所或進(jìn)行社交活動，特別情況確需攜帶時，須經(jīng)本單位保密部門或主管領(lǐng)導(dǎo)批準(zhǔn)，并由本人或指定專人嚴(yán)格保管；

6、不準(zhǔn)用無保密措施的通信設(shè)施和普通郵政傳遞黨和國家秘密；

7、不準(zhǔn)與親友和無關(guān)人員談?wù)擖h和國家秘密，管好身邊工作人員和配偶、子女；

8、不在私人通信及公開發(fā)表的文章、著作、講演中涉及黨和國家秘密；

9、不在涉外活動或接受記者采訪中涉及黨和國家秘密，確因工作需要涉及或提供黨和國家秘密的，應(yīng)事先報經(jīng)有相應(yīng)權(quán)限的機關(guān)批準(zhǔn)；

10、不在出國訪問、考察等外事活動中攜帶涉及黨和國家秘密的文件、資料或物品，確因工作需要攜帶的，須按有關(guān)規(guī)定辦理審批手續(xù)，并采取嚴(yán)格的保密措施。

四、黨政領(lǐng)導(dǎo)干部必須履行的保密工作職責(zé)

1、健全和完善保密組織，由一名領(lǐng)導(dǎo)主持保密委員會的工作，選配保密干部從事日常的保密管理工作；

4、對玩忽職守、拒不履行保密工作領(lǐng)導(dǎo)職責(zé)，造成嚴(yán)重泄密后果的黨政領(lǐng)導(dǎo)干部，要依法追究其法律責(zé)任。

六、對保密干部的基本要求

根據(jù)新時期保密工作的任務(wù)，保密干部在知識結(jié)構(gòu)和業(yè)務(wù)能力方面應(yīng)逐步達(dá)到下列要求：

1、了解我國保密工作的歷史和優(yōu)良傳統(tǒng)；

2、明確保密工作在革命戰(zhàn)爭時期和社會主義現(xiàn)代化建設(shè)中的地位和作用；

3、明確黨對保密工作的指導(dǎo)思想以及黨和國家有關(guān)保密工作的方針、政策；

4、熟悉國家有關(guān)保密法律、法規(guī)、規(guī)章以及其他法律中有關(guān)保密的條款規(guī)定，熟悉本地區(qū)、本部門、本單位的保密制度；

5、明確保密工作部門和保密干部的職責(zé)和任務(wù)；

6、熟悉有關(guān)國家秘密的基本知識以及劃定保密范圍，確定國家秘密事項及其密級、保密期限和解密的基本原則、法律程序和工作方法；

7、熟悉本地區(qū)、本部門、本單位保密工作的重點，可能造成泄密的渠道及相應(yīng)的防范措施；

8、了解國際竊密與反竊密斗爭形勢，了解重點國家和地區(qū)諜報機構(gòu)對我進(jìn)行竊密活動的主要手段（包括竊密技術(shù)手段），以及防范的基本措施；

9、了解國際經(jīng)濟、科技競爭勢態(tài)及其情報活動的方法手段和境外經(jīng)濟、科技、新聞及其他機構(gòu)獲取我國情報的主要手段和方法，及基本的防范措施；

人有權(quán)提出處理意見。

八、國家工作人員保守國家秘密守則的基本內(nèi)容

1、不該說的秘密不說；

2、不該問的秘密不問；

3、不該看的秘密不看；

4、不在公共場所談?wù)撁孛埽?/p>

5、不在私人信息交流中涉及秘密；

6、不擅自攜帶秘密參加涉外活動；

7、不攜帶涉密載體出入公共場所或進(jìn)行社交活動；

8、不在無保密保障的地方閱辦、存放秘密文件資料；

9、不擅自復(fù)制、留存、銷毀涉密載體；

10、不在普通電話、普通傳真、無線通信傳輸秘密，不在互聯(lián)網(wǎng)上存儲、傳遞、處理秘密文檔。

勤勞的蜜蜂有糖吃

二〇一〇年六月九日

第五篇：涉密網(wǎng)絡(luò)安全保密防護(hù)和管理

涉密網(wǎng)絡(luò)安全保密防護(hù)和管理

隨著信息化和工業(yè)化步伐的不斷加快，互聯(lián)網(wǎng)已經(jīng)融入社會生活方方面面，深刻改變了人們的生產(chǎn)和生活方式，無紙化辦公、網(wǎng)絡(luò)化辦公已經(jīng)成為社會主流。一些政府機關(guān)、科研院所、軍工企業(yè)等單位日常工作中需要存儲和處理大量涉密信息，對網(wǎng)絡(luò)和信息系統(tǒng)的依賴性不斷增強，泄密渠道和機會大大增加，由于網(wǎng)絡(luò)安全漏洞和人為管理疏忽而導(dǎo)致的安全危機、經(jīng)濟損失、重要資料泄密等重大事件層出不窮，因此網(wǎng)絡(luò)保密管理尤其是涉密網(wǎng)絡(luò)安全保密防護(hù)和管理工作成為保密工作的重中之重。

涉密網(wǎng)絡(luò)安全保密隱患

1.違規(guī)外聯(lián)。涉密網(wǎng)絡(luò)嚴(yán)禁和互聯(lián)網(wǎng)連接，但是有些工作人員貪圖便利，采用斷開內(nèi)網(wǎng)連接的方式違規(guī)將計算機接入互聯(lián)網(wǎng)，甚至直接將接入涉密網(wǎng)的計算機同時又通過撥號、寬帶和無線等方式接入互聯(lián)網(wǎng)，破壞了內(nèi)外網(wǎng)的物理隔離，極有可能將病毒、木馬、后門等帶入內(nèi)網(wǎng)，導(dǎo)致黑客入侵并把涉密計算機作為跳板，滲透到內(nèi)部網(wǎng)絡(luò)，給涉密網(wǎng)絡(luò)帶來非常嚴(yán)重的危害和后果。

2.計算機端口濫用。涉密網(wǎng)絡(luò)內(nèi)部使用的涉密計算機的光驅(qū)、USB接口、紅外接口等很容易被違規(guī)接入未經(jīng)授權(quán)批準(zhǔn)的外接設(shè)備，然后利用“信息擺渡”技術(shù)實現(xiàn)在物理隔離的兩臺計算機上的信息傳遞，在此過程中很容易造成信息泄漏或致使涉密計算機感染病毒。

3.權(quán)限失控。在涉密網(wǎng)絡(luò)中如果沒有使用用戶身份鑒別和權(quán)限控制措施，工作人員可以毫無障礙的調(diào)閱出高出自身知悉范圍內(nèi)的涉密信息，從而導(dǎo)致泄密?！袄忡R”事件就是一件典型的權(quán)限失控導(dǎo)致的泄密事件。

4.系統(tǒng)漏洞。系統(tǒng)漏洞是指應(yīng)用軟件或操作系統(tǒng)軟件在邏輯設(shè)計上的缺陷或錯誤，這些漏洞成為入侵者進(jìn)入計算機或網(wǎng)絡(luò)的一個“后門”，可通過植入木馬、病毒等方式來攻擊或控制整個計算機和網(wǎng)絡(luò)，竊取其中的涉密信息。由于涉密網(wǎng)絡(luò)與互聯(lián)網(wǎng)物理隔離，工作人員不便于進(jìn)行系統(tǒng)補丁升級，導(dǎo)致這些漏洞無法得到及時修補，極易被黑客所利用。

5.人為因素。一些單位的工作人員保密意識不強，在工作中沒有遵循基本的安全防范規(guī)則操作造成泄密，例如涉密計算機不按規(guī)定設(shè)置口令或者口令設(shè)置過于簡單容易被破解、沒有定期升級系統(tǒng)軟件或病毒庫等。此外還有一些由于保密技術(shù)知識缺乏或操作失誤導(dǎo)致的泄密，例如管理員對防火墻配置不當(dāng)為外來的程序攻擊創(chuàng)造了機會，計算機中的硬盤或某些文件夾被設(shè)置成共享狀態(tài)，使非法人員通過操作系統(tǒng)提供的功能非常容易地下載到這些計算機硬盤中的文件等。

涉密網(wǎng)絡(luò)安全保密防護(hù)技術(shù)

1.虛擬局域網(wǎng)技術(shù)。虛擬局域網(wǎng)技術(shù)可以根據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門或者根據(jù)網(wǎng)絡(luò)用戶所使用的應(yīng)用程序和協(xié)議來進(jìn)行分組，不同的虛擬局域網(wǎng)之間不能進(jìn)行相互的聯(lián)系和通訊，這就避免了病毒感染和黑客入侵。此外虛擬局域網(wǎng)技術(shù)中對于交換機端口的劃分操作簡單靈活，這就使得在涉密網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備的靈活移動成為可能，單位不同部門可以規(guī)劃到不同的虛擬局域網(wǎng)中來，既方便了數(shù)據(jù)的傳輸、信息的共享，又提高了涉密網(wǎng)絡(luò)的安全性。

2.防火墻系統(tǒng)。防火墻系統(tǒng)是計算機與內(nèi)部網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間安全的屏障，配置防火墻是實現(xiàn)涉密網(wǎng)絡(luò)安全最基本、最有效的安全措施之一。利用防火墻對涉密網(wǎng)絡(luò)進(jìn)行安全域劃分，禁止不同虛擬局域網(wǎng)在非應(yīng)用系統(tǒng)使用時相互訪問，同時在交換機配置階段，就進(jìn)行端口隔離，這樣同部門同虛擬局域網(wǎng)之間也存在了基礎(chǔ)的安全網(wǎng)絡(luò)防護(hù)，可實現(xiàn)重點服務(wù)器網(wǎng)段和非密服務(wù)區(qū)網(wǎng)段隔離，從而降低重要數(shù)據(jù)或敏感信息安全問題對整個涉密網(wǎng)絡(luò)造成的影響。此外，防火墻系統(tǒng)還能實時地記錄所有用戶訪問信息的日志情況，并對涉密網(wǎng)絡(luò)的流量情況進(jìn)行統(tǒng)計。一旦發(fā)生網(wǎng)絡(luò)異常現(xiàn)象，防火墻系統(tǒng)還能及時報警，確保涉密網(wǎng)絡(luò)的安全穩(wěn)定。

3.入侵檢測系統(tǒng)。入侵檢測系統(tǒng)是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它可以在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進(jìn)行監(jiān)測，提供內(nèi)部攻擊、外部攻擊和誤操作時的實時保護(hù)。在涉密網(wǎng)絡(luò)中，可以在需要保護(hù)的服務(wù)器網(wǎng)段上部署入侵檢測系統(tǒng)，實時監(jiān)視各種對服務(wù)器的訪問請求并及時將信息反饋給控制臺。

4.訪問控制技術(shù)。訪問控制是限制已授權(quán)的用戶、程序、進(jìn)程或計算機網(wǎng)絡(luò)中的其他的系統(tǒng)訪問本系統(tǒng)的資源的過程，它是涉密網(wǎng)絡(luò)安全防護(hù)的主要核心策略。通常在涉密網(wǎng)絡(luò)中實施訪問控制的策略是在交換機的某個端口上綁定合法的計算機MAC地址，所有未在該端口上綁定的MAC地址全部為非法入口，會在進(jìn)入該端口時予以屏蔽，這樣就杜絕了非法MAC地址的入侵，可以防止非授權(quán)的計算機從數(shù)據(jù)鏈路層進(jìn)入涉密網(wǎng)絡(luò)。

5.漏洞掃描技術(shù)。漏洞掃描技術(shù)是指通過掃描等手段對指定的遠(yuǎn)程或者本地計算機系統(tǒng)的安全脆弱性進(jìn)行檢測，發(fā)現(xiàn)可利用的漏洞的一種安全檢測技術(shù)。它和防火墻、入侵檢測系統(tǒng)互相配合，能夠有效提高網(wǎng)絡(luò)的安全性。通過漏洞掃描，網(wǎng)絡(luò)管理員能了解網(wǎng)絡(luò)的安全設(shè)置和運行的應(yīng)用服務(wù)，及時發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)計算機與服務(wù)器等網(wǎng)絡(luò)設(shè)備的各種漏洞和隱患，如端口和服務(wù)、系統(tǒng)漏洞、弱口令及共享文件等，并給出修正建議。此外，當(dāng)有計算機接入涉密網(wǎng)絡(luò)中時，還可以通過掃描計算機的系統(tǒng)漏洞，自動對入網(wǎng)計算機進(jìn)行系統(tǒng)補丁升級，確保所有接入涉密網(wǎng)絡(luò)的計算機系統(tǒng)漏洞都能及時得到修復(fù)，降低計算機被入侵攻擊的風(fēng)險。

6.身份鑒別和授權(quán)。身份鑒別是保證涉密網(wǎng)絡(luò)安全的重要措施。經(jīng)過身份鑒別進(jìn)入涉密網(wǎng)絡(luò)的合法用戶，需要對其訪問系統(tǒng)資源的權(quán)限進(jìn)行限制。設(shè)置訪問控制應(yīng)當(dāng)遵循“最小授權(quán)原則”，即在應(yīng)當(dāng)授權(quán)的范圍內(nèi)有權(quán)使用資源，非授權(quán)范圍內(nèi)無權(quán)使用資源。并且在授權(quán)時按照該人員的最高涉密等級進(jìn)行身份認(rèn)證授權(quán)。在涉密網(wǎng)絡(luò)中，工作人員的各種操作行為均需進(jìn)行個人身份鑒別。

7.涉密計算機監(jiān)控和審計。涉密計算機監(jiān)控是指通過安全策略對受控計算機的移動存儲設(shè)備、外部連接設(shè)備、網(wǎng)絡(luò)連接等輸入輸出端口進(jìn)行監(jiān)控，防止非法文件拷貝、打印、掃描、非法外聯(lián)等安全事件的發(fā)生，對于正在發(fā)生的高危行為予以及時制止或預(yù)警。涉密計算機審計是指記錄涉密計算機用戶的實際操作，包括計算機訪問應(yīng)用系統(tǒng)情況、文件的拷貝打印操作、病毒感染情況、擅自連接互聯(lián)網(wǎng)情況、非工作軟件的安裝和運行等內(nèi)容，通過分析日志，能夠在事后有效發(fā)現(xiàn)用戶的違規(guī)操作或非法入侵行為，以便管理人員及時發(fā)現(xiàn)問題以及事后追究責(zé)任。

8.數(shù)字加密和數(shù)字簽名。數(shù)據(jù)加密和數(shù)字簽名技術(shù)是提高涉密網(wǎng)絡(luò)安全性的必要手段。數(shù)據(jù)加密技術(shù)可以用于涉密文件的加密上，通過公鑰、密鑰的分發(fā)確保文件即使被盜取也無法解密。數(shù)字簽名是利用密碼技術(shù)生產(chǎn)一系列符號和代碼組成電子密碼進(jìn)行簽名，來代替書寫簽名和印章。將數(shù)字簽名添加到文件正文中后，能夠保證文件的機密性、發(fā)送者身份真實性、文件數(shù)據(jù)的完整性和發(fā)送者對自己行為的不可否認(rèn)性，構(gòu)造一種更加完善、高強度的文件加密方案。

9.電磁泄漏防護(hù)。涉密網(wǎng)絡(luò)電磁輻射主要有四個因素產(chǎn)生：顯示器輻射、通信線路輻射、主機輻射、輸出設(shè)備（打印機）輻射。這些設(shè)備是依靠高頻脈沖電路工作的，由于電磁場的變化，必然要向外輻射電磁波。這些電磁波會把計算機中的信息帶出去，竊密者只要具有相應(yīng)的接收設(shè)備，就可以通過接收電磁波從中竊取涉密信息。針對電磁泄漏可采用的防護(hù)措施有選用低輻射設(shè)備、利用噪聲干擾源、距離防護(hù)、電磁屏蔽等。

10.容災(zāi)備份技術(shù)。涉密網(wǎng)絡(luò)中的數(shù)據(jù)安全是重中之重，但由于敵對勢力、自然災(zāi)害或其他網(wǎng)絡(luò)、硬軟件故障、操作失誤、病毒等因素的影響，隨時可能導(dǎo)致數(shù)據(jù)丟失、破壞、業(yè)務(wù)中斷等災(zāi)難事故的發(fā)生。容災(zāi)技術(shù)可以保證在遭遇災(zāi)害時信息系統(tǒng)能正常運行，實現(xiàn)業(yè)務(wù)連續(xù)性的目標(biāo)，備份技術(shù)可以應(yīng)對災(zāi)難來臨時造成的數(shù)據(jù)丟失問題。在具體操作中，容災(zāi)備份技術(shù)通常是將系統(tǒng)變化發(fā)生時的每個時間點都捕獲下來，一旦系統(tǒng)發(fā)生寫數(shù)據(jù)的動作，就實時復(fù)制將要寫入存儲的寫操作，在寫入本地磁盤的同時復(fù)制一份到本地或遠(yuǎn)程數(shù)據(jù)保護(hù)中心，這樣一旦災(zāi)難發(fā)生，就可以從數(shù)據(jù)保護(hù)中心中獲取丟失的數(shù)據(jù)。

涉密網(wǎng)絡(luò)保密管理措施

1.完善涉密網(wǎng)絡(luò)安全保密規(guī)章制度建設(shè)。規(guī)章制度是涉密網(wǎng)絡(luò)安全管理的基礎(chǔ)，只有建立了完善的安全管理制度，明確安全保密職責(zé)，才能確保涉密網(wǎng)絡(luò)和涉密信息系統(tǒng)正常、有效運行。涉密單位應(yīng)根據(jù)國家出臺的相關(guān)規(guī)定，充分發(fā)揮創(chuàng)新精神，結(jié)合本單位的實際情況，按照“誰主管誰負(fù)責(zé)，誰運行誰負(fù)責(zé)，誰使用誰負(fù)責(zé)”的原則，建立有針對性的涉密網(wǎng)絡(luò)安全管理制度，將原則性的標(biāo)準(zhǔn)進(jìn)行細(xì)化，明確安全職責(zé)的劃分和人員分工安排，讓涉密網(wǎng)絡(luò)的建設(shè)、管理、使用、維護(hù)等各個環(huán)節(jié)都有相應(yīng)的制度作為保障。同時要對規(guī)章制度進(jìn)行動態(tài)化的管理，及時發(fā)現(xiàn)規(guī)章制度中不適和問題，對規(guī)章制度的適應(yīng)性進(jìn)行改進(jìn)。

2.提高工作人員保密意識和防護(hù)技能。工作人員的保密意識薄弱、保密防護(hù)技能缺乏是泄密事件發(fā)生的主因，由于網(wǎng)絡(luò)信息安全技術(shù)知識更新?lián)Q代頻繁，一些工作人員平時不注重學(xué)習(xí)，認(rèn)識不到安全威脅，保密意識淡漠，不注意個人的安全防護(hù)，認(rèn)為涉密網(wǎng)絡(luò)安全防護(hù)是信息中心的事兒，與他們毫無關(guān)系。還有部分人員存在僥幸心理，為圖方便甚至不遵守相關(guān)安全規(guī)定，違規(guī)接入互聯(lián)網(wǎng)或外部設(shè)備，給涉密網(wǎng)絡(luò)防護(hù)帶來較大隱患。因此需要加強工作人員的保密意識和網(wǎng)絡(luò)安全意識，切實使更多的工作人員充分認(rèn)清當(dāng)前網(wǎng)絡(luò)條件下的保密形勢，認(rèn)清網(wǎng)絡(luò)與信息技術(shù)快速發(fā)展給保密工作帶來的巨大負(fù)面影響，在思想上保持警惕，筑牢思想防線。同時要通過舉辦講座、學(xué)習(xí)班等形式普及涉密網(wǎng)絡(luò)安全防護(hù)知識，使其熟悉危害涉密網(wǎng)絡(luò)安全的行為以及其基本原理，讓安全操作成為一種工作習(xí)慣和自覺行為。

3.強化保密監(jiān)督和檢查。保密監(jiān)督和檢查是防止失泄密事件發(fā)生的有效手段。利用網(wǎng)絡(luò)安全技術(shù)做好日常保密監(jiān)督和檢查是充分發(fā)揮涉密網(wǎng)絡(luò)防護(hù)體系作用的一個重要的環(huán)節(jié)，具體措施有：對非授權(quán)存取、非授權(quán)外聯(lián)、非授權(quán)接入采取必要的技術(shù)檢測手段，作出及時響應(yīng)，并形成日志記錄；對涉密網(wǎng)絡(luò)中的設(shè)備運行態(tài)進(jìn)行監(jiān)測，例如可以每周查看安全審計記錄；每月對監(jiān)控和審計系統(tǒng)的日志進(jìn)行分析整理。通過日?；谋Ｃ鼙O(jiān)督和檢查，能夠及時發(fā)現(xiàn)存在的安全隱患與管理缺陷，及時消除安全隱患與改進(jìn)管理，提升涉密網(wǎng)絡(luò)安全防護(hù)的技術(shù)水平和保密管理水平。

涉密網(wǎng)絡(luò)的安全保密防護(hù)和管理是一個涉及網(wǎng)絡(luò)信息安全技術(shù)和保密管理的龐大課題，而且隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，會出現(xiàn)越來越多新的安全保密防護(hù)問題，因此我們必須綜合運用各種新技術(shù)新知識，不斷完善和調(diào)整防護(hù)策略，才能構(gòu)建一道網(wǎng)絡(luò)信息安全的銅墻鐵壁。

（作者單位：寧波國研軟件技術(shù)有限公司）