保密法规解读
什么是涉密计算机及涉密存储介质
运用采集、加工、存储、传输、检索等功能,处理涉及国家秘密信息的计算机通常称为涉密计算机。
涉密移动存储介质主要是指用于记录、存储、拷贝国家秘密信息的移动硬盘、软盘、磁带、光盘、优盘、存储卡等磁、光及半导体介质载体。
什么是涉密信息系统
涉密信息系统是有一定的安全保密要求的,按照国家有关标准,涉密信息系统的建设是需要达到较高的安全等级的计算机系统。一个计算机信息系统是否属于涉密信息系统,主要是看其系统里面的信息是否有涉及国家秘密的信息,不论其中的涉密信息是多还是少,只要是有(即存储、处理或传输了涉密信息),这个信息系统就是涉密信息系统。
但并非所有的涉密系统都是高安全等级的计算机信息系统 ;也并非所有的高安全等级的计算机信息系统都是涉密信息系统。
保密法规对涉密信息系统及设备的规定
1、涉密信息系统投入运行前,应当经省(自治区、直辖市)保密工作部门审批。(需取得《涉及国家秘密的信息系统使用许可证》,采用单机除外)
2、涉密计算机和信息系统应当与国际互联网和其它公共信息网络实行物理隔离;禁止使用非涉密的计算机、信息系统和存储介质存储和处理涉密信息;禁止将涉密计算机和信息系统接入内部非涉密信息系统;涉密信息的远程传输应当按国家有关部门要求采取密码保护措施;未经单位信息化管理部门审批,禁止对涉密计算机和信息系统格式化或重装操作系统,禁止删除涉密计算机和信息系统的移动存储介质及外部设备等日志记录。
3、应当建立信息设备和存储介质台帐;涉密信息设备和存储介质的维修、报废应当符合国家有关保密管理规定。
4、信息设备和存储介质应当具有标识,涉密的应当标明密级,非密的应当标明用途;涉密信息设备和存储介质中的涉密信息应当标明密级。
5、涉密计算机和信息系统应当制定文档化的安全保密策略,并根据环境、系统和威胁变化情况及时调整更新;每3个月形成文档化的安全保密审计报告;每12个月根据系统综合日志,进行一次风险自评估,形成文档化的风险分析报告,对存在的风险应当及时采取补救措施。
6、涉密计算机和信息系统应当按照存储和处理信息的相应密级进行管理和防护;涉密计算机和信息系统应当选择通过国家相关主管部门授权测评机构检测的安全保密产品,并正确配置和使用;涉密计算机和信息系统应当采取身份鉴别、访问控制和安全审计等技术保护措施,及时升级病毒和恶意代码样本库,进行病毒和恶意代码查杀,及时安装操作系统、数据库和应用系统的补丁程序;涉密计算机和信息系统中的信息输出应当相对集中,有效控制;未经单位信息化管理部门审批,涉密计算机和信息系统用户终端禁止安装或拆卸硬件设备和软件。
7、应当拆除涉密便携式计算机中具有无线联网功能的硬件模块;涉密计算机和信息系统禁止使用具有无线功能的外部设备;未经单位保密工作机构审批,涉密便携式计算机不得存储涉密信息。
8、在涉密计算机和信息系统内使用的存储介质应当采取有效的控制措施;禁止使用无标识的存储介质;禁止在低密级计算机上使用高密级存储介质;禁止在低密级存储介质上存储高密级信息;信息交换应当符合国家有关保密管理规定,并配备中间转换机。
39、涉密信息设备和传输线路的电磁泄漏发射防护措施应当符合国家有关保密管理规定。 (《涉密信息设备使用现场的电磁泄漏发射防护要求》涉密信息设备、传输线的红黑隔离)
10、涉密计算机和存储介质携带外出应当履行审批手续,确保仅存有与外出工作相关的涉密信息,带回时应当进行保密检查。
11、涉密信息系统应当配备系统管理员、安全保密管理员、安全审计员,权限设置应当相互独立、相互制约,三员角色不得兼任;没有涉密信息系统的单位应当配备涉密计算机安全保密管理员;涉密计算机和信息系统安全保密管理人员应当通过安全保密培训,持证上岗,并按照重要涉密人员管理。
12、要建立防止涉密信息上国际互联网和其它公共信息网络的控制措施,对外发布信息应当经过保密审查;从国际互联网和其它公共信息网络下载信息、程序和软件工具等到涉密计算机和信息系统中应当加强管理与控制。
涉密计算机管理的相关制度
涉密信息系统
涉密信息系统在投入使用前必须经省保密工作部门审批。
国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法和技术标准,目前,正在执行的几个分级保护的国家保密标准是
BMB17《涉及国家秘密的信息系统分级保护技术要求》
BMB20《涉及国家秘密的信息系统分级保护管理规范》
BMB22《涉及国家秘密的信息系统分级保护测评指南》
BMB23《涉及国家秘密的信息系统分级保护方案设计指南》。
国家保密科技测评中心是我国唯一的涉密信息系统安全保密测评机构。
涉密计算机的投入使用
1、涉密计算机尽量采购时选择国产品牌,选择可信的供应商;
2、涉密计算机不得有各种无线装置,主要有无线网卡,红外蓝牙设备等带有无线功能的设备,不得使用无线鼠标和无线键盘,如果已经安装有无线功能传输设备的,必须拆除。
3、涉密计算机使用前,应进行有关保密技术检测,检测合格后方可投入使用;
4、涉密计算机鉴于目前操作系统实际情况,和相关防护软件产品的运行环境,建议采用win7系统,XP系统目前微软已经不支持系统补丁更新。
涉密计算机的管理
1、禁止使用涉密计算机上国际互联网或其它非涉密信息系统。
2、禁止在非涉密计算机系统上处理涉密信息。
3、各涉密单位的计算机资源原则上只能用于该单位的涉密项目研究工作,禁止利用涉密计算机资源从事与工作无关的活动。
4、涉密计算机只能由专人使用,未经授权,任何人员不得随意开启或使用涉密计算机。
5、各涉密单位指定专人负责本单位计算机软件的安装、维护,严禁使用者私自安装计算机软件和擅自拆卸计算机设备。
6、涉密计算机要粘贴相应的密级标识,并登记、备案。
计算机的维护管理
1、涉密信息应定期做好备份,备份介质必须标明备份日期、备份内容以及相应密级,严格控制知悉此备份的人数,做好登记后进保密柜保存。
2、涉密计算机操作系统损坏需要重新安装时,须填写《涉密计算机操作系统安装登记表》,对故障原因、操作对象、操作人员、操作时间、操作结果做详细登记,并由负责人审核。
3、涉密计算机系统进行维护检修时,须保证所存储的涉密信息不被泄露,对涉密信息应采取安全保密措施(如将涉密信息转存、删除、异地转移存储媒体等)。
4、送外维修的涉密电脑,必须经过严格的登记审批并的保密机构制定的维修地点进行维修,维修时,应全程旁站陪同。
计算机密码管理
1、密码必须由数字、字符和特殊字符组成;
2、秘密级设置的密码长度不能少于8个字符,密码更换周期不得多于30天;
3、机密级设置的密码长度不得少于10个字符,密码更换周期不得超过7天;
4、涉密计算机需要分别设置BIOS、操作系统开机登录、系统管理员和屏幕保护密码。
病毒防治管理
1、 涉密网必须配备经过国家和地方安全保密部门或安全部门许可的查、杀病毒软件。
2、 定期(每周)升级查、杀计算机病毒软件的病毒样本,确保病毒样本始终处于最新版本,同时将升级记录登记备案。
3、 绝对禁止在线升级防病毒软件病毒库,同时对离线升级包的来源进行登记。
4、 每周对涉密计算机病毒进行一次查、杀检查,并将查、杀结果登记造册。
5、 涉密计算机应限制信息入口,如软盘、光盘、U盘、移动硬盘、MO盘等的使用。
6、 对于因未经许可而擅自使用外来介质导致严重后果的,要严格追究相关人员的责任。
涉密存储介质的规定
1、存有涉密信息的存储介质不得接入或安装在非涉密计算机或低密级的计算机上。
2、涉密存储介质必须根据密级存储在相应的保密设施里。
3、非密存储介质不得在涉密计算机上使用;
4、涉密存储介质应根据需存储的涉密内容,标明相应的密级。严禁高密级的移动存储介质在低密级计算机上使用;
5、废弃的或者故障无法继续使用的保密移动存储介质,必须按照规定办理销毁,销毁到指定的销毁机构进行销毁,严禁私自销毁。