涉密事项保密管理制度(精选9篇)
为进一步加强涉密计算机信息保密管理工作,杜绝泄密隐患,确保国家秘密的安全,根据《中华人民共和国保守国家秘密法》,结合实际,制定本制度。
第一条 专人负责本计算机的管理,维护计算机正常运转,不得擅自接入网络或安装其他网络设备。
第二条 秘密信息不得在与国际互联网联网(外网)的计算机中存储、处理、传递。涉密的材料必须与国际互联网(外网)物理隔离。
第六条 各室发现计算机系统泄密后,应及时采取补救措施,并按规定在24小时内向县国家保密单位报告。
第七条 涉密的计算机信息在打印输出时,打印出的文件应当按照相应密级文件管理,打印过程中产生的残、次、废页应当及时销毁。
第八条 不按规定管理和使用涉密计算机造成泄密事件的,将依法依规追究责任,构成犯罪的将移送司法机关处理。
第九条 本制度由单位保密工作领导小组办公室负责解释。
第十条 本制度从印发之日起执行。
一、涉密科技档案集中存放的管理要求
涉密档案要统一管理, 作为集中存储单位涉密介质的场所, 档案室作为保密要害部门 (位) 进行管理, 根据军工保密资格认证的要求, 库房周边需安置防盗报警装置、视屏监控和电子门禁系统, 监控室配备24小时安全值班人员, 单位周边24小时设置巡逻值班。库房应配套空调、加热、除湿、消毒、除虫、灭火等适合档案长期保管的相关设备。
(一) 涉密档案库房存在的保密、安全隐患
作为科研单位的档案室, 受办公条件或科研人员的利用便利等原因的影响, 通常涉密档案库房设置存在的以下安全隐患。第一, 库房与档案管理人员办公室与整理间、借阅室和库房, 在功能未实行三分离制度。有些单位将整理间、阅览室、库房混合在一起, 涉密档案的接收、整理、查阅在办公室、库房间交叉进行, 存在较大泄密安全隐患。第二, 有些单位在档案室设置上实现了功能区域的完全划分, 办公室设置在办公楼内, 库房独立设置在离办公室较远的一楼或顶楼, 库房的门窗未单独设计或简单安装防护栏, 未安置防盗报警装置、视屏监控和电子门禁系统等。如库房设置在一楼或顶楼, 在门窗不符合库房设计要求 (木质门窗) 、存在监控盲区等情况下, 极易发生入室盗窃、洪水、鼠灾、虫 (白蚁) 害等失、泄密安全隐患;南方一楼常年潮湿, 顶楼日照强, 北方气温低, 靠抽湿、降温等手段难以达到45%~60%的湿度、14℃~24℃的温度要求, 如常年无人打理, 存在霉变、字迹消退、纸张老化等安全隐患。
(二) 涉密库房保密及涉密档案存放安全措施
档案室库房是档案室的重要部位, 钥匙由专人管理, 工作岗位变动时, 钥匙进行移交, 任何人不得私自留存档案室库房钥匙, 如发生钥匙丢失、门锁故障等安全隐患时, 务必及时报告, 采用更换门锁等相关处理措施, 消除安全隐患。库房设置严禁入内标示, 除工作人员外, 严禁无关人员入内。如因工作需要进入库房, 需履行出入保密要害部门审批和登记制度, 在库房工作期间, 由工作人员全程陪同。档案室对入库档案, 应在相应位置 (背脊、卷皮) 标识与卷内文件相符的密级和保管期限。卷内有多份不同密级文件时, 按其中最高密级和保管期限标识。秘密和机密级文件存放在专用档案保管柜中, 绝密级档案存放在密码保险柜中。绝密级档案的保管指定双人管理, 并不定期进行检查、核对, 确保绝密级档案的安全。
二、涉密档案管理人员的保密管理
技防措施设置、完善的保密规章制度, 最终将落实到人员的执行上。保密实施过程的核心基础是人, 核心因素是人的思想意识, 在人 (意识) 、机 (设施) 、料 (介质) 、法 (制度) 、环 (环境) 要素中, 人的意识是第一位的, 先进的设施等是外因, 人的保密意识是内因, 外因是通过内因才能起到根本作用。
(一) 上岗前的基本要求
对进入涉密档案管理的人员入职前进行保密审查及保密培训教育。对档案管理人员的审查重点是个人的基本情况、工作经历、政治素质、品行表现以及是否与海外人员有婚姻、密切亲属等关系。保密培训教育包括国内外保密形势的学习, 国家、行业、单位保密相关规章制度的学习, 保密的岗位职责要求等, 保密培训后进行考试, 考试不合格人员严禁上岗。考核合格后的涉密人员上岗前, 单位要签订保密责任协议书, 明确相关的保密岗位要求及责任。
(二) 在岗人员保密意识需持续提升
做好科技档案的保密工作, 必须不断增强档案人员的保密意识。档案工作是一项政治性很强的工作, 档案工作人员要具备较高的政治素质、业务素质和文化素质, 他们每天担负着科技资料的收集、整理、保管和提供利用的任务。因此, 他们的保密意识强弱, 政治素质的高低, 对档案保密工作起着重要的作用。需要加强档案工作人员的教育力度, 不定期组织深入学习贯彻《保密法》, 以提高档案人员的政治素质。保密教育要留下教育记录, 持续的保密教育才能使档案工作人员都具有了良好的保密意识, 能更好地把保密工作同档案工作结合起来, 落实到具体业务工作中去, 做好科技档案的保密工作。
涉密工作期间, 单位需建立保密自查制度, 对涉密人员的工作进行不定期检查和考评, 对严重违法涉密相关规定的人员要及时调离涉密岗位。
(三) 离岗、退休人员脱密期管理
对离岗、退休人员要办理交接手续, 对管理期间的工作进行移交, 包括管理的涉密档案的清理、交接, 涉密介质、物品的清退。对离岗、退休人员签订保密协议, 实行脱密期管理, 重要涉密人员脱密期2~3年, 核心涉密人员脱密期3~5年, 脱密期间不能擅自出国出境。
三、涉密科技档案的利用和保密管理关系
档案的保密管理固然重要, 但保密管理归根结底还是为利用提供服务, 否则, 保而不用只会失去保的意义, 失去档案的价值。当然, 利用必须是在保密基础上的利用, 是有时间、地点、范围限制的利用。所以, 对档案工作而言, 保密与利用二者都十分重要, 不可偏废。如何处理好保密和利用效益之间的关系?笔者认为应该从规范收集并集中管理、准确界定科技档案的密级和知悉范围、建立健全档案管理和利用过程中的保密制度, 多方面结合是解决档案开放利用与安全保密管理关系的根本。
(一) 涉密科技档案规范收集与集中管理制度
档案部门根据《档案法》、《国家秘密保护法》等要求制定相应的档案管理工作办法、收集归档实施细则等, 对涉密活动中产生的涉密资料及时收集归档管理。如果许多涉密文件留存在科研人员手中, 长此以往, 涉密文件处于失控状态, 存在较大的保密隐患, 规范收集归档并集中管理可大大降低保密风险。
(二) 科技档案的定密管理与及时解密
保密档案是有等级的, 其划分等级是根据《保密法》规定, 划分为“绝密”、“机密”、“秘密”三级。确定档案的密级, 就是为了让档案工作人员根据不同的密级采取不同的管理措施, 最大限度地提供利用档案。但是秘密不是一成不变的, 一旦秘密保管期限届满或者特定环境和形势发生变化后, 便失去了它的保密价值。为此, 我们就不能按原有的密级文件管理, 而应该按降密或解密后的密级进行管理, 降低管理成本并提高利用范围和效率。
(三) 健全查询、利用管理制度
涉密档案利用实行审批制度。涉密档案的调阅、移出、销毁等应严格按规定手续办理, 必须经指定领导人审批, 认真履行登记、签字手续, 任何人无权擅自调阅。使用完毕后应及时清对、检查, 发现异常, 应及时查明原因, 进行补救, 确保涉密档案的安全。涉密档案定期和不定期清查制度, 档案管理人员还需不定期对库存涉密档案进行清理, 如发现账、物不符或丢失, 要及时查找并上报, 确保丢失、泄密事件发生。
(四) 改进档案管理人员工作理念和服务意识
受档案工作长期封闭的影响, 档案工作者思维方式局限、工作理念落后、开放意识淡薄、保密意识过度, 直接影响了档案信息利用的效果。由于工作性质的原因, 档案管理人员的每天都要面对纷繁复杂的工作任务, 对档案进行整理、归类和存放, 这难免在他们的心态上引起一定的波动。然而, 档案管理人员必须认识到, 档案工作在科研项目管理中是属于服务行业的性质, 因此档案管理人员必须具有工作良好的工作责任感, 需要持续提升自身的换位思考意识和为他人服务的意识。而不能由于职业倦怠或明哲保身思想指引下过渡强调保密, 疏于提供服务, 从而大大降低档案利用效能。
四、总结
综上所述, 涉密档案的管理涉及到人员、措施、制度、记录等方方面面的管理, 是一项系统、细致、细心的工作。除采取一定的技防措施之外, 在建立健全档案管理的基本制度基础上, 发挥核心关键作用的始终是“人”, 即不断提升培养涉密档案管理人员的专业技能和保密意识, 提高他们的职业成就感和服务意识, 就能够实现在保密的前提下充分利用, 做到保密工作与档案管理的有机结合和完美统一。
摘要:本文简要分析了涉密科技档案管理中保密的基本要求, 对日常管理中存在的安全隐患进行了论述, 提出了对涉密档案库房存放管理、涉密档案管理人员管理、以及科技档案高效利用与国家秘密保护之间如何协调统一的具体管理措施。
关键词:科技档案,保密管理
参考文献
[1]刘丽丽.军工企业科研档案的保密管理[J].机电船舶档案, 2013 (5) :25-26.
关键词:国有企业涉密人员保密教育培训
.引言
涉密人员保密教育培训是国有企事业单位保密工作中主要内容之一,是国有企业做好保密工作的前提和保障,良好的保密教育培训可以提高国有企业广大领导干部和职工群众的保密素质,规范员工行为杜绝违章违纪,指导单位开展日常保密工作。国有企业作为国民经济中的中流砥柱,是国家安全与经济命脉的重要产业,其涉密人员掌握与管理的国家秘密密级高、范围广、事项多,通常是境外情报机构拉拢和策反的重点目标,同时也是过失或故意泄密事件的责任主体。因此,加强涉密人员保密教育培训具有非常现实的意义。
国有企事业单位只有不断研究完善符合涉密人员保密教育培训特点的方式和方法,不断加大对涉密人员保密教育培训工作的投入力度,加强对涉密人员保密教育培训工作的监督管理,切实提高涉密人员保密教育培训的整体水平,全面提高全体涉密人员保密综合素质,逐步形成“人人懂保密、人人讲保密、人人会保密”的保密工作氛围,才能最终实现确保国家秘密安全的核心目标。
2.目前国有企业涉密人员保密教育培训工作存在的主要问题
2.1涉密人员保密教育培训内容缺乏针对性
国有企业涉密人员由于所处岗位千差万别,接触和知悉到的涉密事项不尽相同,承担的保密责任和义务也各不相同,传统的保密教育培训方式通常采取“一刀切”的方式,所有的涉密人员统一进行一种模式的教育培训,获取到的知识途径和内容通常有限,有的员工对所授课程已经进行了多次反复地学习,难免对保密工作产生厌倦感和麻痹大意的后果;有的员工只是囫囵吞枣的接受一些观念和做法,没有很好的吸收消化,还需要进一步加深学习,经常造成保密教育培训均未达到预期效果、事倍功半。
2.2涉密人员保密教育培训形式缺乏灵活性
国有企业目前普遍仍然采用最简单的课堂式教学,以领导讲话、保密法律法规和规章制度等单纯的偏向理论的填鸭式灌输方式为主,缺少典型失泄密事件案例剖析和参与互动讨论实践行为,使接受保密教育培训的涉密人员从始至终都处于被动接受状态,容易产生急躁和疲劳感,从而丧失主动获取保密知识和技能的欲望,不能很好的激发和引导更深层次的主观能动性思考,使教育培训效率低下,保密教育培训实际效果大打折扣。
2.3涉密人员保密教育培训评估缺乏科学性
大部分国有企业已经建立保密教育培训管理办法,将保密教育培训工作纳入单位年度教育培训工作总体计划,但实际每年制定教育培训计划时,通常仍然只是参照上年度教育培训进行简单机械的重复,没有很好的结合当前国家保密工作形势、保密法律法规和单位业务工作实际情况的变化,有针对性地对保密教育培训内容进行调整,最主要的原因就是缺乏保密教育培训效果评价评估机制,无法真正了解和掌握到涉密人员参加保密教育培训的实际需求,不能做到有的放矢。
2.4涉密人员保密教育培训监督缺乏时效性
多数国有企业均没有对涉密人员接受保密教育培训进行有效的控制,涉密人員参加或不参加保密教育培训不实施严格管控,随意性和偶然性大,缺乏对保密教育培训实际运行情况的追踪。涉密人员的考核又流于形式,未与涉密人员绩效考核等切身利益相挂钩,缺乏必要的奖励和处罚,严重打击了涉密人员学习保密知识的积极性和主动性,降低了涉密人员对保密教育培训的重视程度,未能给涉密人员接受保密教育培训实现自我增值,提供正向激励和正确引导。
3.关于做好国有企业涉密人员保密教育培训工作的解决对策
3.1突出重点,分层级加强涉密人员保密教育培训管理
3.1.1加强领导干部的保密教育培训。领导干部既是部门、单位业务工作的负责人,也是部门、单位保密工作的负责人,日常工作中接触和知悉大量国家秘密信息,同时对部门、单位保密工作负领导责任。对领导干部保密教育培训要加强自身认知在保密工作中的地位和本职岗位职责,增加其做好保密工作的责任感和使命感,帮助理清做好保密工作的具体方法和思路,协助培养保密工作的驾驭和指挥能力,提升保密工作管理水平。
3.1.2加强重要岗位涉密人员和保密要害部门部位涉密人员的保密教育培训。对重要岗位人员如核心涉密人员、重要涉密人员和经常产生、使用、管理、存放较多高密级涉密载体的部门部位人员应根据单位实际情况,采取集中和分散培训相结合的方式,保密管理部门、人力资源部门和人员所在部门相互配合、形成合力分期分批对涉密人员进行系统的教育培训,对涉密人员保密教育培训应紧密结合业务工作,认清本职岗位应履行的保密职责,提高做好保密工作的执行力度;熟悉与业务工作紧密结合所涉及到的各项保密管理、技术防范措施要求和保密审查审批流程。
3.1.3加强专兼职保密工作人员的保密教育培训。重点是丰富专兼职保密工作人员的教育培训内容,确保他们掌握第一手的保密法规和信息安全知识,将常规保密知识培训和专业培训相结合,不断提高保密业务素质,做到专业干部保密化,保密干部专业化。通过保密教育培训,系统学习保密管理和技术相关专业知识和技能,提高保密工作理论和实践水平,培养爱岗敬业的奉献精神,主动为在单位内部贯彻执行保密法律法规和规定要求铺平道路。
3.1.4加强新进入涉密岗位人员、调离涉密岗位人员和出国(境)涉密人员的保密教育培训。涉密人员频繁变动和流动是当今保密工作面临的一大难题,员工进入涉密岗位前应重点开展诸如保密形势、单位保密事项和保密规章制度等的教育培训内容,涉密人员离岗前应重点宣讲涉密人员进入脱密期后应继续承担的保密义务和法律责任,涉密人员因私和因公出国(境)前加强警示教育和保密提醒,回国(境)后进行回访。
nlc202309011817
3.2注重效果,分门类丰富涉密人员保密教育培训类别形式
3.2.1邀请保密行政管理部门或上级机关单位的领导和专家以专题会议、作报告、举办专题讲座的方式,宣讲党和国家有关保密工作大政方针、法律法规和标准规定,解析典型案例,与涉密人员进行现场互动、答疑解惑。
3.2.2利用单位内部网站、宣传栏、展览、报纸杂志、广播等方式对涉密人员进行教育培训,普及保密基本常识,快速全面准确传递保密工作信息资讯。
3.2.3采用流媒体形式播放警示教育系列片光盘、录播保密题材电影和电视剧等作品,直观获取保密工作知识技能和经验教训,树立和增强保密意识。
3.2.4举办保密知识竞赛、保密精英大赛和保密演讲比赛,开展保密宣传月,部署保密征文和发送保密短信等特色活动,有条件的单位还可组织保密文艺汇演,使保密工作深入人心,推动保密文化在单位的广泛传播,营造单位保密工作氛围。
3.2.5把握外出调研培训学习的机会提高保密意识、增强保密业务素质。组织涉密人员参观各地区保密警示教育基地,与友邻单位沟通交流学习保密工作先进经验,参加国家、上级机关单位组织的专业培训或攻读国家承认的保密学历学位。涉密人员具体保密教育培训内容和形式参考以下信息:
3.3按部就班,分步骤创建涉密人员保密教育培训评估体系
国有企业要加强涉密人员保密教育培训的跟踪调查,努力提高教育培训质量,达到预期设定的效果。根据国际和国内经典的教育培训效果评估模型,可将保密教育培訓评估分为反应评估、学习效果评估、行为影响效果评估、绩效影响效果评估四个方面内容。在实际操作过程中,国有企业可先侧重关注反应评估和学习效果评估两个层面,待今后涉密人员保密教育培训评估体系完善成熟后,再对行为影响效果评估和绩效影响效果评估两个更高的层面进行考量。
3.3.1反应评估主要是通过涉密人员的听课注意力、课程满意度、提问积极性等现场情况对保密教育培训效果做出评价,通过问卷或面谈等方式,收集保密意识、保密教育培训现状、日常保密行为等多维度反馈意见,及时发现保密教育培训中存在的盲点和误区,逐步完善涉密人员保密教育培训的内容和形式。
3.3.2学习效果评估主要是了解涉密人员学习掌握保密知识和技能的程度,通过运用保密知识考试等方式,以涉密人员考试整体成绩对保密教育培训效果做出评价,进一步验证教育培训内容是否适度和有效,是否能达到单位保密教育培训目标指标的要求。
3.4监督落实,分情况完善涉密人员保密教育培训考核与奖惩机制
为调动和激发广大涉密人员参与保密教育培训的积极性和主动性,体现保密教育培训的实际价值和功效,使保密教育培训工作走上正轨,实现规范化、规模化和体系化终极目标,国有企业要不断建立健全涉密人员保密教育培训的监督考核与奖惩机制,修订细化保密教育培训监督考核和奖惩管理办法,落实各级领导干部保密责任制,将教育培训与监督检查结合,将考评结果与薪酬奖金挂钩,对保密教育培训工作做出突出成绩的部门和个人给予表彰和奖励,对违反保密法律法规行为的部门和个人给予批评和处罚,将考核结果作为领导干部选拔任用、员工提职加薪的优选条件和主要依据。
4.结语
国有企业涉密人员保密教育培训工作是一项长期复杂而又艰巨的系统工程,在实际操作和运行过程中,要擅于发现问题、分析问题和解决问题,避免保密教育培训形式化和空洞化,增强保密教育培训的针对性和实用性,积极改进并创新保密教育培训方法,不断提高保密教育培训质量和效果,不断完善保密教育培训考核与奖惩机制,促进涉密人员保密意识和业务素质的显著提高,使涉密人员真正实现从“要我保密到我要保密”思想观念转变,逐步孕育形成保密教育培训工作的新风尚。
参考文献:
[1]王守信,等.保密工作管理概论[M].北京:金城出版社,2003:44-48.
[2]朱宏斌,崔玉臻,等.精益保密与二次保密资格认证[M].北京:金城出版社,2010:167-168.
[3]刘进.关于创新保密法制宣传教育若干问题的思考[C].∥保密法制论坛文集编委会.保密法制论坛文集(2008),金城出版社,2008:282-291.
[4]郭联发.保密教育培训长效机制建设研究[D].南昌大学:南昌大学,2010:39-41.
[5]姜新文,等.《信息安全保密》课程教学的探索实践[J].高等教育研究学报,2009,32(3):66-68.
一、涉密电子文件是指在计算机系统中生成、存储、处理的机密、秘密和内部的文件、图纸、程序、数据、声像资料等。
二、电子文件的密级按其所属项目的最高密级界定,其生成者应按密级界定要求标定其密级,并将文件存储在相应的目录下。
三、各用户需在本人的计算机系统中创建“机密级文件”、“秘密级文件”、“内部文件”三个目录,将系统中的电子文件分别存储在相应的目录中。
四、电子文件要有密级标识,电子文件的密级标识不能与文件的正文分离,一般标注于正文前面。
五、电子文件必须定期、完整、真实、准确地存储到不可更改的介质上,并集中保存,然后从计算机上彻底删除。
六、各涉密科室自用信息资料由本单位管理员定期做好备份,备份介质必须标明备份日期、备份内容以及相应密级,严格控制知悉此备份的人数,做好登记后进保密柜保存。
七、各科室要对备份电子文件进行规范的登记管理。每周做增量备份,每月做全量备份;备份可采用磁盘、光盘、移动硬盘、U盘等存储介质。
八、涉密文件和资料的备份应严加控制。未经许可严禁私自复制、转储和借阅。对存储涉密信息的磁介质应当根据有关规定确定密级及保密期限,并视同纸制文件,分密级管理,严格借阅、使用、保管及销毁制度。
随着信息化和工业化步伐的不断加快,互联网已经融入社会生活方方面面,深刻改变了人们的生产和生活方式,无纸化办公、网络化办公已经成为社会主流。一些政府机关、科研院所、军工企业等单位日常工作中需要存储和处理大量涉密信息,对网络和信息系统的依赖性不断增强,泄密渠道和机会大大增加,由于网络安全漏洞和人为管理疏忽而导致的安全危机、经济损失、重要资料泄密等重大事件层出不穷,因此网络保密管理尤其是涉密网络安全保密防护和管理工作成为保密工作的重中之重。
涉密网络安全保密隐患
1.违规外联。涉密网络严禁和互联网连接,但是有些工作人员贪图便利,采用断开内网连接的方式违规将计算机接入互联网,甚至直接将接入涉密网的计算机同时又通过拨号、宽带和无线等方式接入互联网,破坏了内外网的物理隔离,极有可能将病毒、木马、后门等带入内网,导致黑客入侵并把涉密计算机作为跳板,渗透到内部网络,给涉密网络带来非常严重的危害和后果。
2.计算机端口滥用。涉密网络内部使用的涉密计算机的光驱、USB接口、红外接口等很容易被违规接入未经授权批准的外接设备,然后利用“信息摆渡”技术实现在物理隔离的两台计算机上的信息传递,在此过程中很容易造成信息泄漏或致使涉密计算机感染病毒。
3.权限失控。在涉密网络中如果没有使用用户身份鉴别和权限控制措施,工作人员可以毫无障碍的调阅出高出自身知悉范围内的涉密信息,从而导致泄密。“棱镜”事件就是一件典型的权限失控导致的泄密事件。
4.系统漏洞。系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或错误,这些漏洞成为入侵者进入计算机或网络的一个“后门”,可通过植入木马、病毒等方式来攻击或控制整个计算机和网络,窃取其中的涉密信息。由于涉密网络与互联网物理隔离,工作人员不便于进行系统补丁升级,导致这些漏洞无法得到及时修补,极易被黑客所利用。
5.人为因素。一些单位的工作人员保密意识不强,在工作中没有遵循基本的安全防范规则操作造成泄密,例如涉密计算机不按规定设置口令或者口令设置过于简单容易被破解、没有定期升级系统软件或病毒库等。此外还有一些由于保密技术知识缺乏或操作失误导致的泄密,例如管理员对防火墙配置不当为外来的程序攻击创造了机会,计算机中的硬盘或某些文件夹被设置成共享状态,使非法人员通过操作系统提供的功能非常容易地下载到这些计算机硬盘中的文件等。
涉密网络安全保密防护技术
1.虚拟局域网技术。虚拟局域网技术可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组,不同的虚拟局域网之间不能进行相互的联系和通讯,这就避免了病毒感染和黑客入侵。此外虚拟局域网技术中对于交换机端口的划分操作简单灵活,这就使得在涉密网络中网络设备的灵活移动成为可能,单位不同部门可以规划到不同的虚拟局域网中来,既方便了数据的传输、信息的共享,又提高了涉密网络的安全性。
2.防火墙系统。防火墙系统是计算机与内部网络或内部网络与外部网络之间安全的屏障,配置防火墙是实现涉密网络安全最基本、最有效的安全措施之一。利用防火墙对涉密网络进行安全域划分,禁止不同虚拟局域网在非应用系统使用时相互访问,同时在交换机配置阶段,就进行端口隔离,这样同部门同虚拟局域网之间也存在了基础的安全网络防护,可实现重点服务器网段和非密服务区网段隔离,从而降低重要数据或敏感信息安全问题对整个涉密网络造成的影响。此外,防火墙系统还能实时地记录所有用户访问信息的日志情况,并对涉密网络的流量情况进行统计。一旦发生网络异常现象,防火墙系统还能及时报警,确保涉密网络的安全稳定。
3.入侵检测系统。入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它可以在不影响网络性能的情况下对网络进行监测,提供内部攻击、外部攻击和误操作时的实时保护。在涉密网络中,可以在需要保护的服务器网段上部署入侵检测系统,实时监视各种对服务器的访问请求并及时将信息反馈给控制台。
4.访问控制技术。访问控制是限制已授权的用户、程序、进程或计算机网络中的其他的系统访问本系统的资源的过程,它是涉密网络安全防护的主要核心策略。通常在涉密网络中实施访问控制的策略是在交换机的某个端口上绑定合法的计算机MAC地址,所有未在该端口上绑定的MAC地址全部为非法入口,会在进入该端口时予以屏蔽,这样就杜绝了非法MAC地址的入侵,可以防止非授权的计算机从数据链路层进入涉密网络。
5.漏洞扫描技术。漏洞扫描技术是指通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测技术。它和防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过漏洞扫描,网络管理员能了解网络的安全设置和运行的应用服务,及时发现网络内计算机与服务器等网络设备的各种漏洞和隐患,如端口和服务、系统漏洞、弱口令及共享文件等,并给出修正建议。此外,当有计算机接入涉密网络中时,还可以通过扫描计算机的系统漏洞,自动对入网计算机进行系统补丁升级,确保所有接入涉密网络的计算机系统漏洞都能及时得到修复,降低计算机被入侵攻击的风险。
6.身份鉴别和授权。身份鉴别是保证涉密网络安全的重要措施。经过身份鉴别进入涉密网络的合法用户,需要对其访问系统资源的权限进行限制。设置访问控制应当遵循“最小授权原则”,即在应当授权的范围内有权使用资源,非授权范围内无权使用资源。并且在授权时按照该人员的最高涉密等级进行身份认证授权。在涉密网络中,工作人员的各种操作行为均需进行个人身份鉴别。
7.涉密计算机监控和审计。涉密计算机监控是指通过安全策略对受控计算机的移动存储设备、外部连接设备、网络连接等输入输出端口进行监控,防止非法文件拷贝、打印、扫描、非法外联等安全事件的发生,对于正在发生的高危行为予以及时制止或预警。涉密计算机审计是指记录涉密计算机用户的实际操作,包括计算机访问应用系统情况、文件的拷贝打印操作、病毒感染情况、擅自连接互联网情况、非工作软件的安装和运行等内容,通过分析日志,能够在事后有效发现用户的违规操作或非法入侵行为,以便管理人员及时发现问题以及事后追究责任。
8.数字加密和数字签名。数据加密和数字签名技术是提高涉密网络安全性的必要手段。数据加密技术可以用于涉密文件的加密上,通过公钥、密钥的分发确保文件即使被盗取也无法解密。数字签名是利用密码技术生产一系列符号和代码组成电子密码进行签名,来代替书写签名和印章。将数字签名添加到文件正文中后,能够保证文件的机密性、发送者身份真实性、文件数据的完整性和发送者对自己行为的不可否认性,构造一种更加完善、高强度的文件加密方案。
9.电磁泄漏防护。涉密网络电磁辐射主要有四个因素产生:显示器辐射、通信线路辐射、主机辐射、输出设备(打印机)辐射。这些设备是依靠高频脉冲电路工作的,由于电磁场的变化,必然要向外辐射电磁波。这些电磁波会把计算机中的信息带出去,窃密者只要具有相应的接收设备,就可以通过接收电磁波从中窃取涉密信息。针对电磁泄漏可采用的防护措施有选用低辐射设备、利用噪声干扰源、距离防护、电磁屏蔽等。
10.容灾备份技术。涉密网络中的数据安全是重中之重,但由于敌对势力、自然灾害或其他网络、硬软件故障、操作失误、病毒等因素的影响,随时可能导致数据丢失、破坏、业务中断等灾难事故的发生。容灾技术可以保证在遭遇灾害时信息系统能正常运行,实现业务连续性的目标,备份技术可以应对灾难来临时造成的数据丢失问题。在具体操作中,容灾备份技术通常是将系统变化发生时的每个时间点都捕获下来,一旦系统发生写数据的动作,就实时复制将要写入存储的写操作,在写入本地磁盘的同时复制一份到本地或远程数据保护中心,这样一旦灾难发生,就可以从数据保护中心中获取丢失的数据。
涉密网络保密管理措施
1.完善涉密网络安全保密规章制度建设。规章制度是涉密网络安全管理的基础,只有建立了完善的安全管理制度,明确安全保密职责,才能确保涉密网络和涉密信息系统正常、有效运行。涉密单位应根据国家出台的相关规定,充分发挥创新精神,结合本单位的实际情况,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,建立有针对性的涉密网络安全管理制度,将原则性的标准进行细化,明确安全职责的划分和人员分工安排,让涉密网络的建设、管理、使用、维护等各个环节都有相应的制度作为保障。同时要对规章制度进行动态化的管理,及时发现规章制度中不适和问题,对规章制度的适应性进行改进。
2.提高工作人员保密意识和防护技能。工作人员的保密意识薄弱、保密防护技能缺乏是泄密事件发生的主因,由于网络信息安全技术知识更新换代频繁,一些工作人员平时不注重学习,认识不到安全威胁,保密意识淡漠,不注意个人的安全防护,认为涉密网络安全防护是信息中心的事儿,与他们毫无关系。还有部分人员存在侥幸心理,为图方便甚至不遵守相关安全规定,违规接入互联网或外部设备,给涉密网络防护带来较大隐患。因此需要加强工作人员的保密意识和网络安全意识,切实使更多的工作人员充分认清当前网络条件下的保密形势,认清网络与信息技术快速发展给保密工作带来的巨大负面影响,在思想上保持警惕,筑牢思想防线。同时要通过举办讲座、学习班等形式普及涉密网络安全防护知识,使其熟悉危害涉密网络安全的行为以及其基本原理,让安全操作成为一种工作习惯和自觉行为。
3.强化保密监督和检查。保密监督和检查是防止失泄密事件发生的有效手段。利用网络安全技术做好日常保密监督和检查是充分发挥涉密网络防护体系作用的一个重要的环节,具体措施有:对非授权存取、非授权外联、非授权接入采取必要的技术检测手段,作出及时响应,并形成日志记录;对涉密网络中的设备运行态进行监测,例如可以每周查看安全审计记录;每月对监控和审计系统的日志进行分析整理。通过日常化的保密监督和检查,能够及时发现存在的安全隐患与管理缺陷,及时消除安全隐患与改进管理,提升涉密网络安全防护的技术水平和保密管理水平。
涉密网络的安全保密防护和管理是一个涉及网络信息安全技术和保密管理的庞大课题,而且随着网络技术的不断发展,会出现越来越多新的安全保密防护问题,因此我们必须综合运用各种新技术新知识,不断完善和调整防护策略,才能构建一道网络信息安全的铜墙铁壁。
国家保密局针对涉密系统提出了相应的保密管理原则, 即同步建设、严格审批、注重防范以及规范管理等。
二、涉密系统安全保密方案
2.1系统分析
涉密系统安全保密方案应该详细说明系统资源的情况, 如:硬件、软件以及信息资源、存储介质等;系统用户与网络管理员以及应用系统相关情况, 如:系统名称、性能、访问权限、使用对象以及安全保密手段等;传输介质、结构图及其相关说明。
2.2安全保密系统设计
网络安全控制系统可以秘密监控计算机的终端、服务器和无线移动平台。其具体涵盖内容比较多, 包括认证与监控网络使用人员以及范围内计算机的身份;授权和控制USB、光盘以及网络接口等受信涉密终端外部接口的访问;加密网络传输数据并进行监测;保护重点涉密数据库系统以及服务器的安全域等。图1中, 内容审计系统的安装能随时监测网络传输数据和其用户的日常行为;入侵检测系统的安装, 可以保护重点涉密数据库系统以及服务器的安全域, 还有检测到审计试图进行的攻击行为;由安全网关对安全域进行划分, 从而可以根据秘密等级以及业务范围对涉密网络进行秘密划分;涉密终端与服务器上安装的安全控制终端可以授权与控制一切数据与系统操作的访问, 以及对整个过程的审计。
以下是它的具体安全功能: (1) 服务器安全即是服务器与通信端口的连接与加密, 同时还要对其认证;对本地硬盘进行加密;而有管理权限的控制连接是通过USB令牌的密码协议实现的;只有采用合法的授权令牌才能使服务器正常运行。 (2) 客户端安全即是一种不错的自保护手段, 隐藏与保护客户端所控制代理的文件、进程以及注册表, 对系统远程线程的接入进行监控, 防止对客户端代理可能造成破坏性的现象发生;其认证是双向的, 使客户端之间的身份具有可信保障;对本地硬盘进行加密;彻底监控客户端的外部接口, 以便对网络端口、光驱、USB接口以及串口等任意I/O端口进行访问控制以及审查。 (3) 通信安全即是通过全面加密体系, 对数据、指令以及策略的传输均进行加密, 使窃听、篡改等具有破坏性的行为得到有效的制止。 (4) 管理安全即是通过授权的USB令牌实现与服务器之间的认证以及连接, 这样才能获取管理权限;通过分权制衡原则将管理员与审计员两者分离开来。
三、加强涉密网络安全保密的措施
下面几个问题是涉密系统安全保密方案设计中尤其要注意的。 (1) 涉密系统与非涉密系统的划分。该系统安全保密方案的设计第一步就是要根据相应的工作要求进行涉密系统与非涉密系统的划分。要对涉密系统的规模与范围进行适当的明确实现要定密准确。系统对所处理与传输的部分信息定密太严或不恰当, 不应定密的也定密了, 或者将密级定高了, 使得安全保密的成本加大, 应用也受到阻碍, 埋下信息安全隐患。 (2) 涉密系统内安全域的划分。涉密系统的安全域由两个部分构成, 即实施安全策略的域和当中的主客体。涉密系统应通过局域网、逻辑子网等网络结构, 按照信息密级以及重要程度来划分系统的安全域。如果不一样的安全域需要相互连通, 就要使用防火墙等安全保密设备对边界进行防护, 并对访问进行控制。同个安全域应该以VLAN、域等方式, 按照信息的密级、重要程度以及授权来进行划分。 (3) 重视管理。当前该系统的安全保密方案设计还存在着一些不足, 如对管理的重视不足, 以技术弥补管理的不足。而实际上管理与技术的比例应是7:3。管理在某种程度上可以弥补技术方面的不足, 若没有一个良好的管理, 技术再强还是不安全的。所以, 在设计该系统的安全保密方案时, 一定要突出安全保密管理的重要性, 并将管理与技术两者相结合。
四、小结
如果没有解决好安全保密问题, 会对整个计算机网络的应用造成影响。特别是涉密系统, 其专门对国家机密信息进行处理和传送, 若在安全保密方面做的不到位, 很容易损害国家的安全及利益。
摘要:文中基于涉密计算机的网络安全对设计方案进行了脆弱性和威胁性分析, 重点分析了方案设计中的存在的问题及加强涉密网络安全保密的措施。
关键词:涉密计算机,网络安全,脆弱,威胁性
参考文献
[1]赵瑞霞.浅谈涉密计算机网络的安全防护措施[J].网络安全技术与应用, 2010, 05:34-35
为贯彻落实市保密局对涉密文件资料管理工作的要求,进一步做好我院涉密文件资料管理,特制定本规定。
一、保密工作
1、保守国家秘密,确保国家安全和利益,认真学习宣传贯彻执行《保密法》。
2、印制秘密文件按照规定标明密级,规定发放范围,密级变更按照规定处理。
3、秘密文件不得随便复印,如确需复印,必须请示领导,履行审批、登记手续,并将复印件按原件要求管理。
4、严格执行保密文件,资料、档案的查借阅审批手续不得擅自扩大知密范围并只限于阅文室阅读,绝密文件应单独保管。
5、秘密文件不准通过普通邮政邮寄,不准在普通的传真机上传递。
6、严禁在亲属子女及其他无关人员面前谈论党和国家的秘密事项,不得在私人通信中涉及机密,不得在普通电话、明码电报中泄露党和国家的秘密。
7、不得向废品收购部门出售秘密文件资料。销毁秘密文件须经领导批准,并登记造册,专人护送。
8、对造成失泄露事故的单位和个人,首先追究领导责任,并追究当事人责任,同时视情节轻重给予处罚。
二、定密工作
1、本院产生的秘密文件、资料及物品,依据国家保密法规进行定密工作,指定专人负责定密工作。
2、定密工作的内容包括:确定密级;变更密级;解密;确定保密期限;密级及保密期限的标志等。
3、确定密级程序:定密人员当文件、资料起草完毕时,根据其内容依照有关《保密范围》进行对号入座,对上什么密级就确定什么密级,同时确定该密级的保密期限及标志,尔后,随文送领导一同审批。
4、单位定密人员,遇有疑难问题,自己解决不了的要及时与保密部门取得联系,以便解决疑难问题。
定密人员,要认真搞好定密工作。有密不定,造成失泄密故的要负责任,定密不准的,要及时纠正。定密工作成 绩显著的,单位要给予表彰或奖励。
三、密件管理
1、密件一律由保密人员签收,拆封、登记、清点。收文登记一定要在当日完成,及时分送有关领导和主办部门阅办,不得积压。
2、传阅密件,要严格按照规定的范围传阅,领导之间不许横传,阅办后及时收回,妥善保管。
3、借阅密件、查阅档案要经领导批准,履行借阅和登记手续。
4、密件一般只能在办公室阅办,不准外带,确因工作需要必须把密件带出时,须经主管部门批准,办理借文手续,用后及时退还。借文人不准再把密件转借他人。
5、密件要由专人保管,存放密件要有专柜、专室(阅文室)。专室的门要用铁门,窗要安装铁栏杆,并安装防窃报警装置。密件柜要用保险柜。下班时,不准将密件放在办公
桌上。发现丢失密件要及时报告,会同有关部门认真追查处理。
6、不经批准不得擅自翻印(复印)上级密件和领导内部讲话。
7、绝密件,要严格控制阅读范围,阅后立即清退,不得在个人手里过夜。阅读时不准摘抄。
8、凡到上级部门开会带回的密件、资料,必须交本院保密人员登记保管,用时办理借阅手续,用后交还保密人员,不准长期保留在个人手里。
9、不准利用工作之便私抄密件、资料,不准携带密件出入公共场所,不准在公共场所谈论密件内容,不准向废品收购部门销售密件和内部资料。
10、领导阅处密件,要做到随阅随清退,不得积压密件。
11、在清退密件及立卷归档工作结束后,要将需要销毁的密件和资料逐一登记,送保密部门统一销毁。由两人在现场监销,严禁错销、漏销。不准个人私自销毁密件和资料。
12、领导和保密人员在工作调动时,要严格履行交接手续。工作调动前必须将密件开列清单,核对无误后,双方办理签字交接手续。
四、办公自动化保密
1、目前所用的有线电话、无线电话、对讲机、无线话筒、扩音机、传真机、复印机、微机打字机、电子计算机及计算机网络等,绝大多数是不保密的。因此,严禁在无保密设施中谈论,传递、打字、复印、贮存国家秘密信息。
2、国家秘密进入办公自动化设备中,一定要有保密措施,要经领导批准方可进入。
3、无线电台、传真电报。要明电明复,密电密复,二者不得混用。
4、复印秘密文件、资料,要经制文单位批准才能复印。复印文件,视同正规文件一样保密管理。
5、存有国家秘密的磁盘、磁带及存贮介质要同密件一样管理;存放处要有三铁(铁门、铁窗、铁柜)及管理人负责。
6、不能使用本单位的通信设备与境外机构人员联系。
7、办公自动化操作人员,要严格按照机要人员的条件审查录用,并保持相对稳定。一要坚持先审后用,先培训后工作的制度,二要先经保密机关考核合格后方准上岗。
9、操作人员,要遵守保密法规,增强保密观念,不得向外界提供,透露设备中的秘密信息。
10、对办公自动化保密工作成绩显著的单位和个人,要予以表彰、奖励,对不遵守保密制度,保密法规造成失泄密事件的根据情节轻重,依法查处。
五、保密工作人员
1、严格执行《保密法》,做到:不该说的秘密(指国家秘密下同),绝对不说;不该知道的秘密,绝对不问,不该看的秘密,绝对不看;不该记录的秘密,绝对不记录。
2、经管的秘密文件资料必须存放在有保密保障的地方;对平时工作使用或传阅的秘密文件、资料在阅办后,应及时入柜加锁,并经常检查保管情况。
3、不用普邮寄送秘密文件、资料;传递、领取秘密文件、资料应派人专程往返,严格履行签字,登记手续。
4、外出工作必须携带秘密文件的,要经领导批准,并采取安全措施;严禁带秘密文件、资料参观、游览、探亲、访友、逛商店、下饭馆、办私事等。
5、不准擅自翻印、复印、传抄秘密文件、资料;不得携带秘密文件、资料回家;不得将秘密文件资料给不应知悉者阅看。
6、严禁在公共场所和普通电话中谈论秘密事宜;不准在私人通信中涉及国家秘密。
7、不准私自携带秘密文件、资料和记有秘密内容的笔记本参加外事活动和出国。
8、工作调动和离、退休时,必须把自己经管的秘密文件、资料全部移交清楚。
9、不准向废品收购部门出售秘密文件、资料和笔记本;不准私自销毁秘密文件、资料。
第一条 非涉密计算机是指为实现机关办公现代化,提高办公效率,用于处理各类非涉密工作事项的各类计算机。
第二条 涉及国家秘密的信息,不得在非涉密计算机信息系统中存储、处理、传递和发布。计算机操作人员必须遵守国家有关法律,任何人不得利用计算机从事违法活动。未经上级领导批准,不得对外来人员提供内部信息和资料以及用户名、口令等内容。
第三条 非涉密计算机信息系统信息发布也应坚持“涉密信息不上网、上网信息不涉密、谁上网谁负责”的原则,严格履行保密审批制度。
第四条 对在非涉密信息系统中所发布信息是否涉及国家秘密不确定的,应报公司保密办公室进行审批。
第五条 任何人都不得在非涉密计算机上自行安装系统和其他应用软件,禁止安装游戏、拷贝电影等与工作无关的数据,需要安装系统和应用软件的报公司保密办公室,由专人负责安装并做详细的台帐记录。遇到网络问题禁止擅自处理,要与技术管理人员取得联系,同时报公司保密办公室。
第六条 公司保密办公室负责对非涉密计算机管理制度落实情况进行安全保密监督、检查。所有非涉密计算机使用人员应当积极接受并配合公司保密办公室开展的保密监督、检查,协助查处泄露国家秘密的行为,并根据要求及时删除非涉密计算机信息系统中涉及国家秘密的信息。
第七条 各部门要加强对非涉密计算机使用人员的保密教育和培训。必须安装防病毒工具,并具有漏洞扫描和软件防火墙,配置相应安全策略,以阻断来自网络病毒等恶意攻击。定期对非涉密计算机进行杀毒、维护,以免病毒在内部传播;定期对上网计算机进行漏洞扫描,发现漏洞及时报公司保密办公室,有专人负责安装。
第八条非涉密计算机操作人员对计算机系统要经常检查,防止漏洞,禁止传递涉密文件,严禁涉密软件、光盘、U盘、移动存储介质等在涉密与非涉密计算机之间交叉使用。
第九条 对重要数据要定期备份,定期复制副本以防止因存储工具损坏造成数据丢失。备份工具可采用专用光盘、硬盘、U盘等方式,并妥善保管。
第十条 计算机操作人员调离时应将有关材料、档案、软件移交给其他工作人员,调离后对需要保密的内容要严格保密。接替人员应对系统重新进行调整,重新设置用户名、密码。
第十一条 各部门发现上网信息泄露国家秘密或可能泄露时,应当立即向公司保密办公室报告。对于未按规定审批而擅自在非涉密计算机发布信息造成国家秘密泄露的,公司保密办公室将追究当事人和有关责任人的责任,并根据情节轻重给予相应的行政处分,涉嫌犯罪的,将移交司法机关,依法追究刑事责任。
第十二条 对于违反本规定,发生泄密事件的,将视情节轻重追究责任。
互联网发布信息保密管理制度
第一条 在互联网上发布的信息是指经公司主要领导或分管领导审核批准,提供给国际互联网站或其他公众信息网站,向社会公开、让公众了解和使用的信息。使用公共信息网的用户,应当遵守有关计算机安全、保密的相关法规。不得利用公共信息网从事危害国家安全、泄露国家秘密等违法犯罪活动。
第二条 互联网发布信息保密管理坚持“谁发布谁负责”的原则。凡向国际互联网站提供或者发布信息,必须经公司主要领导或分管领导审查批准,并应该按照一定的工作程序,完善和落实信息登记、审批责任制。在网上发布任何信息及对网上信息进行维护或更新,都应当认真执行信息保密审核制度,必须经过严格审查,确保保密信息不上网。
第三条 除新闻媒体已公开发表的信息外,公司各部门提供的上网信息应确保不涉及国家秘密。具有互联网访问权限的计算机访问互联网及其它网络时,严禁浏览、下载、传播、发布违法信息;严禁接收来历不明的电子邮件。
第四条 公司任何个人不得利用网站、网页上开设的电子公告系统、聊天室、论坛、邮件等发布、谈论和传播国家秘密信息。各部门应担负起网上保密的检查职责,发现问题,及时处理。
第五条 公司内部工作秘密、内部资料等,虽不属于国家秘密,但应作为内部事项进行管理,未经单位领导批准不得擅自发布。
第六条 禁止网上发布信息的基本范围:
(一)标有密级的国家秘密。
(二)未经有关部门批准的,涉及国家安全、社会政治和经济稳定等敏感信息。
(三)未经制文单位批准,标注有“内部文件(资料)”和“注意保存”(保管、保密)等警示字样的信息。
(四)本部门或公司认定为不宜公开的内部办公事项。
第七条 提供信息发布的单位应履行的职责:
(一)对拟发布信息(即将向网络发布的信息)是否涉及国家秘密进行审查。
(二)对已发布信息进行定期地保密检查,发现涉密信息的,立即采取补救措施,查清泄密渠道和原因,并及时向公司保密办公室报告。
(三)接受保密工作部门的监督检查。
第八条 发布信息人员应履行的职责:
(一)向保密办公室报告网上发布信息保密审查中的重要情况。
(二)负责对网上发布信息自行检查,发现问题,立即采取补救措施,查明原因,并及时向保密办公室报告。
(五)协助有关部门对造成网上泄密的事件进行查处。
第九条违反本规定,对网上发布信息保密审查把关不严,导致严重后果或安全隐患的,要按照规定严肃查处。
复印机保密管理制度
一、本制度适用公司内部非营业性复印机的管理。
二、复印机必须指定思想好、忠诚老实、工作认真负责的人员专门管理及操作。
三、不得利用内部复印机擅自复印国家秘密载体(包括国家秘密文件、资料、图表等),确因工作需要复制时,须经制文机关或其授权单位批准后方可复印。
四、代外单位复印国家秘密载体时,应先验明《国家秘密载体准印证》,并对委托单位名称、批准人、经办人、复制载体名称、密级、保密期限、复印日期、份数等项目进行详细登记,以备后查。凡未持有《国家秘密载体准印证》者,应拒绝复印。
五、不准复印货币、各种有价证券以及反动淫秽作品。
六、对复印机要重视保密管理,定期进行保密检查,发现违反保密规定使用复印机造成泄密事件,除对当事人追究责任外,还要追究有关领导责任。
传真机保密管理制度
根据《保密法》以及有关保密法规的精神制定本制度:
一、传真机必须指定思想好,保密观念强,工作认真负责的人专门管理和操作。
二、利用传真机传输国家秘密载体(指密件、密报、资料、图表等)必须利用加密装置,并且必须履行审批登记制度。
三、传真机的管理使用情况列入保密检查的内容,定期检查,发现问题及时解决。
一、涉密计算机及移动存储介质的定义
1、涉密计算机是指存储、处理、传输涉及国家秘密信息的计算机(含笔记本电脑)。
2、涉密移动存储介质是指以文字、数据、符号、图形、图像、声音等方式记载国家秘密信息的存储介质载体,包括计算机硬盘、软盘、优盘、光盘、磁带、存储卡及其它具有存储功能的各类介质。
二、涉密计算机及移动存储介质的管理原则
3、涉密计算机及移动存储介质的管理坚持“谁主管、谁负责;积极防范,突出重点,明确责任,依法管理、确保安全”的原则。
4、各机关、单位涉密计算机及移动存储介质的保密管理要建立制度、明确职责、分级负责、责任到人。
三、涉密计算机及移动存储介质的确定
5、凡拟用于处理国家秘密信息的计算机及移动存储介质,必须经本单位保密委员会(领导组)审核批准确定,并报同级保密工作部门备案。严禁在未确定的涉密计算机及移动存储介质中存储、处理和传递国家秘密信息。
6、涉密移动存储介质要由各机关、单位保密委员会(领导组)统一购置、统一标识、统一备案、授权使用、集中管理;确定后的涉密计算机及移动存储介质,要统一进行密级标识、建档管理并报同级保密工作部门备案。
7、各机关、单位要依据《国家秘密及其密级具体范围的规定》,对确定在涉密计算机及移动存储介质中存储的涉密信息进行规范定密,并按照涉密信息的最高密级,对涉密计算机及移动存储介质进行涉密级别定级。按照绝密、机密、秘密三个级别对涉密计算机及移动存储介质实行分级管理和采取相应的保密技术防范措施。
8、各机关、单位确定的涉密计算机要严格按照中共太原市委办公厅、太原市人民政府办公厅《关于安装使用涉密计算机监控管理系统的通知》(并办发[2008]48号)的要求,纳入太原市涉密计算机监控管理平台,安装涉密计算机监控软件。
四、涉密计算机及移动存储介质的使用
9、涉密计算机及移动存储介质严禁随意更换操作人员和使用人。
10、涉密计算机和移动存储介质在使用时要有口令和身份识别认证。口令安全,秘密级不少于8位,更换周期不长于1个月;机密级不少于10位,更换周期不长于1周;绝密级应使用生理特征(指纹、虹膜等)、智能卡等与口令相结合的方式进行保护。
11、涉密计算机待机5分钟以上,应采取保密防范措施,恢复使用时应有身份识别机制。
12、涉密计算机及移动存储介质不使用时,应关机或存入安全可靠的保密防范设备中。
13、严禁将涉密计算机及移动存储介质带入与工作无关的场合。确因工作需要带出办公场所的,秘密级的需经使用部门主要负责人批准,机密级以上的需经单位主管领导批准,报单位保密委员会(领导组)备案并采取严格的保密措施。
14、涉密计算机及移动存储介质严禁安装、存储和运行与工作无关的软件和信息;严禁擅自更改与涉密性质相关的监控软件、系统软件、硬件连接方式和有关设置。
15、涉密计算机及移动存储介质严禁连接国际互联网和非涉密网,不得具有红外、蓝牙及无线联网功能,严禁使用无线网卡、键盘、鼠标及其它能够与互联网连接的外围设备。
16、严禁在涉密计算机上使用非涉密移动存储介质或在非密机上使用涉密移动存储介质;高密级涉密信息严禁在低密级涉密计算机及移动存储介质中存储、传输和处理。
17、涉密移动存储介质拷贝、复制涉密信息要履行严格审批手续。拷贝、复制秘密、机密级信息,须制发机关允许后经本机关、单位主管领导批准;拷贝、复制绝密级信息,须经信息产生单位批准。
18、处理秘密级或机密级信息的计算机,要采用低泄射的信息设备,或安装经国家保密部门批准使用的电磁信号干扰器。处理绝密级信息的涉密计算机,应当采用符合相应密级标准的低泄射设备,或在防电磁泄漏发射的屏蔽机柜及电磁屏蔽室内使用。
19、与涉密计算机联接的输出载体,也要按照同等密级及有关涉密载体的保密管理规定进行管理,严格保密安全防范,防止显示、打印输出结果被非授权查看和获取。
20、涉密计算机配置使用的安全保密防范设备(产品),必须使用国家保密局等相关主管部门认证许可或经保密、安全等主管部门授权的测评机构检测合格的国产设备(产品),在无相应国产设备时,可使用经国家保密、安全等主管部门检测、批准的国外设备。
21、涉密计算机配置的安全保密技术产品不得对外公开招标采购。
五、涉密计算机及移动存储介质的维护维修及报废
22、涉密计算机及移动存储介质和相关设备的维护应当在现场进行,并指定专人全程监控,确需到外维修的,应到市国家保密局指定的涉密计算机定点维修单位进行维修。
23、涉密计算机及移动存储介质和相关设备存储数据的恢复,须经本机关保密委员会(保密领导组)批准后,到保密工作部门审批指定的具有相关资质的单位进行。
24、涉密计算机及移动存储介质和相关设备在变更用途时,须到市保密技术站进行技术处理后方可变更用途,并要进行登记备案注销涉密计算机编号。
25、涉密计算机及移动存储介质和相关设备报废时,要上交市保密技术站进行技术处理或销毁,确认计算机内不包含任何形式的国家秘密信息并登记备案、注销涉密计算机及移动存储介质编号。
26、涉密计算机及移动存储介质使用人员因调动、调离或退休等原因离开工作岗位,所在部门应当即时变更涉密计算机系统访问授权,收回其使用的与涉密计算机及移动存储介质和相关物品,并将变更的使用人员情况报同级保密工作部门备案。
六、其它
27、集中处理工作秘密的单台计算机,参照秘密级涉密计算机信息系统基本防护要求进行防护和管理。
28、对违反保密法律法规或本细则,故意或过失泄露国家秘密的,依据《中华人民共和国保守国家秘密法》及相关法律法规依法追究有关人员的法律责任。
