1 引言
随着计算机网络技术的飞速发展,计算机网络日渐成为人类社会的一个重要组成部分,而计算机犯罪、计算机网络攻击也变得更加的普遍和猖獗。网络安全成为了一个摆在我们面前亟待解决的问题。国有军工企业作为承担国家重大科研项目负责单位,其网络信息安全更是受到国内外间谍的关注。
国家保密局从2005年开始陆续颁发了涉及国家秘密的信息系统分级保护技术要求、管理规范和测评指南等一系列标准,对涉密信息系统安全保密技术防范和管理提出了更高的要求。军工企业需要根据新的标准和要求,从管理上进行改进,形成闭环管理,从技术上进行提升,营造安全的网络环境。从而有效地促进涉密信息系统保密工作整体水平的提升。
2 分级保护的背景
近年来,我国国有企业特别是涉密企业的失泄密事件时有发生。2003年,某涉密单位一位主任,私自把50多张计算机软盘带回家,其中包括机密和秘密级的共16张,途中他将全部软盘遗失在出租车上。遗失以后。他也未向单位汇报,等出租车司机送回时,软盘已失控6天,致使公安部门对其进行了刑事拘留。同年,另一涉密科研单位一位专家接到一杂志社的约稿,专家请其博士生将修改后的稿件通过电子邮件发给杂志社,可是博士生发邮件时鼠标点错了文件,误把一份绝密文件稿发给了杂志社,至网络检查发现该邮件并删除时,该文件已在网上停留了7个小时。再经深一步调查发现,这份涉密文稿已在博士生的笔记本里存放了两个月。某基地下属4个单位的计算机网络先后遭到非法访问和恶意攻击,甚至发生主页被篡改的事故。此类失泄密事件层出不穷,究其原因,则多因管理上或技术上的漏洞,因此国家保密局结合我国当前的安全形势先后颁发了相关管理、技术标准来对涉密信息进行规范。
2005年,国家保密局印发了《涉及国家秘密的信息系统分级保护管理办法》,颁布了‘涉及国家秘密的信息系统分级保护技术要求》。
2007年,国家保密局颁发了《涉及国家秘密的信息系统分级保护管理规范》和《涉及国家秘密的信息系统分级保护测评指南》。
2008年,国家保密局颁发了《涉及国家秘密的信息系统分级保护方案设计指南》。
制度的颁发一定程度上强化了企业员工的安全意识,提高了军工企业信息系统的安全性,但各个企业还应结合自己的实际情况构建本单位的分级保护制度和策略。
3 分级保护要点
实施分级保护应同时关注技术和管理两方面。如网络安全风险分析、网络安全策略制订、网络安全保密技术防范手段的建设和使用、信息设备和介质的安全保密管理以及安全防范体系的建设等方面。
3.1技术方面
技术是确保信息安全的硬件,如果没有技术的支撑,信息安全将成为一句空话。技术上应主要关注边界防护、电磁泄漏防护、终端主机防护等方面。
3.1.1边界防护
在实施有效的内外网隔离的基础上根据组织机构和管理流程的不同涉密程度划分不同的安全域,并采取相应的边界防护措施。如添加防火墙并设置相应的访问策略;购买相应的安全软件以防止未经授权终端的非法接入等。
3.1.2电磁泄露防护
所有计算机均需配备电源隔离插座,重点人员终端计算机配备视频信息保护机。根据单位从事科研项目和涉密等级,应建造屏蔽机房或在重点设备问配备屏蔽机柜,并为网络线路设置线路传输干扰器。
3.1.3终端主机防护
终端主机是涉密信息生成、流转的策源地,将终端主机管控好将事半功倍。应根据实际情况为系统部署终端安全登陆与监控审计系统,采取身份鉴别措施,严格实施违规外联管控、输入输出端口管控等。
对系统内的终端计算机、服务器应定期采用安全扫描工具进行扫描,及时发现并消除存在的风险和隐患。
对涉密移动存储介质进行注册和绑定,不同存储介质只能在不同类型的计算机中使用,确保内外网络的信息隔离。
3.1.4传输线路管控
单位园区中不同建筑、不同区域之间的网络传输线路应根据可控程度选择数据传输方式,明文传输或加密传输。
3.1.5应用系统安全
系统中在线运行的应用系统必须由具备保密资质的开发商开发,系统中的管理人员必须做到三员、三权分立,系统的主客体访问控制粒度应合理、可控。
3.1.6备份和容灾系统
关键网络设备采取硬件备份措施,部署数据备份系统对系统中的涉密数据、关键数据进行自动备份。
3.1.7网络安全产品
所有的网络安全产品都必须进行统一严格管理,所有产品都必须经过国家保密局的测评,而且在测评有效期之内。
3.1.8设备与介质管理
信息设备和介质的安全管理是保密管理的重点和难点,在涉番信息系统保密管理制度中戍实行“五统三定一集中”的管理原则,所有设备和介质从采购直至报废的全生命周期均由特定部门按照该原则实行归口管理。“五统”就是“统一购置、统一标识、统一编号、统一发放、统一保管”。“统一购置”即经相关主管领导审批后由采购人员统一购置;“统一标识、统一编号”即入库后统一按密级进行标识并编号:“统一发放”即由资产管理人员统一发放:“统一保管”指涉密移动存储介质由部门保密员统一保管存放。“三定”是指“定位使用、定期检查、定点维修”,“定位使用”即系统内的信息设备所使用的网络端口和资源由特定部门按照规划指定使用,移动存储介质使用终端安全登陆与监控审计系统进行注册,只能在指定的授权终端计算机上使用;“定期检查”即保密办每个月对介质的使用情况进行检查,信息中心每季度对信息设备和介质的分布状况进行核查;“定点维修”即将涉密存储部件拆除后涉密信息设备进行定点维修,涉密介质出现故障必须送国家保密上作部门指定的单位进行维修,不得交由销售单位、生产厂家或社会普通维修地点进行维修。“一集中”即“集中销毁”,涉密存储部件或介质需要报废处理的,必须经审核批准后送交国家保密工作部门指定的涉密载体销毁中心实施集中监督销毁。
3.2管理方面
信息安全的保障既要有坚实的技术保障,更要有严格的管理规范。随着国内外间谍的不断深入,在历次泄密事件中,人为因素的比重越来越大。
3.2.1人员管理
涉密人员作为涉密信息的商接接触者,必须进行严格的控制。应根据涉密人员的涉密程度。对其进行严格的区分。不同等级的人员只能接触不同的信息,确保涉密信息的知悉范围。
对于网络管理人员,也应该根据不同的职能给予不同的控制权限.且需要相互制约。
3.2.2流程管理
标准化的管理才会带来快捷和便利,才会使得所有的审批具备可追溯性。国有企业的有关事项牵涉国家信息,必须经过严格的审批流程。只有规范流程、量化管理才能真正杜绝管理上的泄密意外发生。
3.2.5制度制定
有了人员的日常行为管理,审批的流程化实施,必须依靠制度来进行固化和约束。对于国有企业,应该制定严格的人员管理制度、信息系统相关审批制度、设备和介质管理制度、应用系统管理制度、机房管理制度等。只有合理、严格、标准的制度才能够规范人的行为,才能为信息安全的保证提供有效支撑。
4 实施分级保护工作的体会
4.1领导重视,严格落实分级保护保密职责
实施分级保护管理工作,领导重视是关键,只有领导的大力支持才能确保各种资源和部门之间的密切配合。国有企业信息化的建设能取得多方面的快速发展,主要得益于高层领导层对人员配备、资金安排和体系建设的大力支持和重视。在涉密网络安全保密管理方面,只有领导重视制度的制定和落实、手段的建设和更新、设备与介质的管理等,才能使网络安全管理纵向到底、横向到边、面面俱到,才能建市起健全、有效的计算机信息系统保密安全管理体系,才能使安伞保密职责得到层层落实。
4.2规范流程,提高信息系统安全防范能力
近年来,国家不断提出对涉密计算机信息系统的新标准、新要求,国有企业应紧扣标准,在完善和修订信息系统安全保密管理制度上下功夫,峰持按照严密周全和操作便利相结合、保密管理与科研流程相结合的原则,注重管理制度的可操作性、全面性、系统性,力求做到制度流程清晰明了、工作表单合理实用。只有这样,才能收到涉密信息系统安全保密工作既管得住,又管得好的效果。
4.3监督检查,加大分级保护的奖惩力度
日常的监督检查考核,是确保信息系统安全的重要手段。国有企业应在保密监督检查中坚持做到“三严”,即严查、严罚、严究,力求通过保密监督检查树立“零容忍度”观念,即不容忍泄密行为、违规现象存在,不容忍国家安全和集体利益受到损害。对违反保密规定的行为应给予坚决查处、考核兑现。
检杏应定期和不定期相结合,且采取频度高、覆盖面广的各种保密检查方式。实践证明,严格的检查考核与处罚,很大程度上消除了人为因素产生的问题和隐患,是确保企业保密制度落实到位、执行到位的关键。
4.4加强培训,形成员工自觉遵守制度的文化氛围加强管理制度培,严格执行管理制度,管好用好信息系统,是企业提高信息系统抗泄密风险能力的坚强基础。
一方面,培训可提高信息系统管理人员和专业人员的综合业务素质。有针对性地参加操作系统、网络安全以及信息管理师等相关培训可使信息化部门从业人员的技术和管理水平、安全保密监管能力、防范以及处置能力都得到另一方面.培训可提高全员的信息系统安全保密意识。通过网上宣传、友情提醒、组织观看有关录像相结合的多种宣传教育方式,在企业内部营造保密文化氛围,使终端用户知法、懂法,从被动约束向主动守法转变。
5 小结
信息技术飞速发展,信息系统分级保护管理工作责任重大,任重道远,国有企业员工也应该不断提高,增强认识。通过实践,我们充分认识到,领导重视、全员参与是做好分级保护管理工作的前提,提高能力、持续改进、构建长效机制是提升分级保护管理工作水平的关键。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:国有企业涉密信息系统分级保护探讨与体会
本文网址:http://www.toberp.com/html/consultation/1083956494.html
相关文章
