涉密信息系统建设管理
涉密信息系统“三员”是指系统管理员、安全保密管理员和安全审计员。系统管理员主要负责系统的日常运行维护工作;安全保密管理员主要负责系统的日常安全保密管理工作,包括用户账号管理以及安全保密设备和系统所产生日志的审查分析;安全审计员主要负责对系统管理员、安全保密管理员的操作行为进行审计、跟踪、分析和监督检查,以及时发现违规行为,并定期向安全保密管理机构汇报相关情况。“三员”权限设置应相互独立,相互制约,相互之间不得兼任或者替代。 [6]
涉密信息系统“三员”应具备信息安全保密知识和业务技能,认真履行岗位职责,积极完成与职责相关的工作,按照有关保密标准的要求建立健全工作记录和日志文档,并妥善保存;“三员”应掌握常见安全产品的适用方法和技术手段,熟悉数据库、操作系统、网络设备和应用系统的安全知识和技术防护措施;“三员”应当定期接受管理和业务方面的集中培训,熟练掌握国家保密法规和标准要求,不断提高技术技能和管理水平。
管理改进
1、根据实际工作需要足额配备“三员”
“三员”应当设置独立的工作权限,实现相互监督、相互制约,相互之间不得兼任或者替代;单位“三员”应该设立A、B角,互为备份;单位应该按照最大化原则配备“三员”以满足日常运维工作;无涉密信息系统仅使用涉密计算机的单位,应当配备安全保密管理员。
2、扎实做好“三员”上岗前及上岗后的技能培训
“三员”上岗前需要参加有关部门组织的培训,具备上岗能力后方可上岗;“三员”上岗后要定期参加安全保密管理和专业技能方面的培训,熟练掌握国家信息安全保密法规和标准要求,不断提高技术技能和管理水平。
3、从技术和管理上做好对“三员”的监督工作
在系统运行维护过程中,如果可以从技术上实现配置变更两人操作方可生效,则将该项配置的变更职责分属于两人;如果从技术上不能实现,则通过管理手段实现:要求一人完成配置变更,其操作日志由另一人负责审计。还可以通过部署堡垒主机等技术手段加强对“三员”的监督。
4、相关管理员也应该纳入“三员”管理范畴
网络管理员、数据库管理员、应用系统管理员不是“三员”,不在单位的正式“三员”名单中,但是应当纳入“三员”的管理范畴。以涉密应用系统为例,可以参照“三员”模式分别设立系统管理员、安全保密管理员、安全审计员。系统管理员注册用户账号、注册角色名称;安全保密管理员为用户和角色赋权并使账号生效,审计用户操作;安全审计员审计系统管理员和安全保密管理员的操作。
管理原则
(1)适度安全的原则:由于信息泄露、溢用、非法访问或非法修改而造成的危险和损害相适应的安全。没有绝对安全的信息系统(网络),任何安全措施都是有限度的。关键在于“实事求是”、“因地制宜”地去确定安全措施的“度”,即根据信息系统因缺乏安全性造成损害后果的严重程度来决定采取什么样的安全措施。
(2)按最高密级防护的原则:涉密信息系统处理多种密级的信息时,应当按照最高密级采取防护措施。
(3)最小化授权的原则:涉密信息系统的建设规模要最小化,非工作所必需的单位和岗位,不得建设政务内网和设有内网终端;其次,涉密信息系统中涉密信息的访问权限要最小化,非工作必需知悉的人员,不得具有关涉密信息的访问权限。
(4)同步建设、严格把关的原则:涉密信息系统的建设必须要与安全保密设施的建设同步规划、同步实施、同步发展。要对涉密信息系统建设的全过程(各个环节)进行保密审查、审批、把关。要防止并纠正“先建设,后防护,重使用,轻安全”的倾向,建立健全涉密信息系统使用审批制度。不经过保密部门的审批和论证,信息系统不得处理国家秘密信息。
(5)内、外网物理隔离的原则。即“涉及国家秘密的通信、办公自动化和计算机信息系统不得直接或间接与国际互联网或其他公共信息网络相连接,必须实行物理隔离。
(6)安全保密措施与信息密级一致的原则。涉密信息系统应当采取安全保密措施,并保证所采取措施的力度与所处理信息的秘密等级相一致。
(7)资格认证的原则。涉密信息系统安全保密全面解决方案的设计、系统集成及系统维修工作,应委托经过国家保密部门批准授予资质证书的单位承担。涉密系统不得采用未经国家主管部门鉴定、认可的保密技术设备,更不准使用国外进口的各类安全防范产品包括软件。
(8)以人为本、注重管理的原则:涉密信息系统的安全保密三分靠技术,七分靠管理。加强管理可以弥补技术上的不足;而放弃管理则再好的技术也不安全。
保密规定
编辑
1、规划和建设计算机信息系统,应当同步规划落实相应的保密设施。
2、计算机信息系统的研制、安装和使用,必须符合保密要求。
3、计算机信息系统应当采取有效的保密措施,配置合格的保密专用设备,防泄密、防窃密。所采取的保密措施应与所处理信息的密级要求相一致。
4、计算机信息系统联网应当采取系统访问控制、数据保护和系统安全保密监控管理等技术措施。
5、计算机信息系统的访问应当按照权限控制,不得进行越权操作。未采取技术安全保密措施的数据库不得联网。
系统建设
涉密信息系统的建设应当选择具有“涉密信息系统集成资质”的单位承担或者参与涉密信息系统的设计与实施。
涉密信息系统使用的信息安全产品原则上应当选用国产产品,并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测,通过检测的产品由国家保密局审核发布目录。
涉密信息系统建设使用单位在系统工程实施结束后,应当向保密工作部门提出申请,由国家保密局授权的系统测评机构,依据国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》,对建成的涉密信息系统进行安全保密测评。
涉密信息系统建设使用单位在系统投入使用前,应当按照《涉及国家秘密的信息系统审批管理规定》,向设区的市级以上保密工作部门申请进行系统审批,涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统,其建设使用单位在按照分级保护要求完成系统整改后,应当向保密工作部门备案。
分级保护
通常情况下对涉密信息系统施以保护都是按照分级原则进行分级实施的。涉密系统的安全管理级别分为绝密级、机密级、秘密级,有效分级后,才能更进一步实施分级保护,提升管理效能,提升安全标准。
1、秘密级
信息系统当中包含有秘密级的国家秘密,其总体的防护水平不应该低于国家信息安全等级保护三级的要求,信息系统应该达到分级保护的技术标准。
2、机密级
信息系统当中包含有机密级国家秘密,其防护水平不应低于国家信息安全等级保护四级要求,同时,还需要符合分级保护的保密技术要求。
3、绝密级
信息系统当中包含有绝密级国家秘密,其防护水平应不低于国家信息安全等级保护五级要求,需符合分级保护的保密技术要求。同时,绝密级涉密信息系统应该被建设并应用到封闭的场地建筑之内,不能与外网连接。