涉密信息系统保密管理探讨

涉密信息系统安全保密管理探讨摘要：本文通过分析信息化条件下涉密信息系统保密管理与技术的关系，结合目前涉密信息系统保密管理的现状与问题，根据涉密信息分级保护标准规范要求，从宏观层面初步探讨提出了当前形势下涉密信息系统保密管理的原则、基本思路与方法，并提出了相应的建议。关键词：涉密信息系统分级保护信息系统建设生命周期一、引言涉密计算机信息系统（以下简称涉密信息系统）是指涉及国家秘密和党政机关工作秘密的计算机信息系统，主要包括党政军领导机关用于处理涉密信息的单机和用于内部办公自动化或涉密信息交换的信息系统；也包括企事业单位涉及国家秘密的信息系统。当前，随着我国党政军领导机关和国防科研军工单位信息化进程的全面加快，保密管理的对象、领域、方式和环境发生了深刻变化，在知密范围、涉密行为以及涉密人员的界定和管控等方面，出现了许多新的问题，传统的保密管理措施已经不能适应新形势下保密工作发展的要求，由于涉密单位的业务特殊性，如何对涉密信息系统进行科学有效的保密管理，已经成为涉密信息系统建设使用单位急需解决的问题，迫切需要新的管理思路与办法。二、涉密信息系统保密管理与技术的关系在网络环境下，国家秘密的存储、处理和流转方式发生了根本性变化，涉密电子文件易复制、易传播的特点，使得泄密渠道增多，一旦发生泄密情况，则扩散速度快，涉及范围广，且不易被发觉，危害特别大。面对信息化条件下保密工作新形势，传统的纸质涉密文件的保密管理措施已经不能完全适应新形势下保密工作发展的要求，涉密信息系统的保密管理亟需提升技术支撑能力。在当前的形势下，可以说技术与管理是涉密信息系统安全保障的两个支撑要素，二者相辅相成，缺一不可：即使非常严密的管理，没有技术手段支撑，也保证不了安全；无论多么先进保密技术，没有管理措施保障，也不能发挥应有的作用。但在具备了一定技术手段的前提下，管理则成为决定因素。因此，各涉密单位应当根据涉密信息系统自身的特点，制定出具有针对性和可操作性的管理措施，并严格执行。三、涉密信息系统保密管理的现状与问题随着我国综合国力不断增强和国际战略地位显著提高，我国已成为各种情报窃密的重点目标，境内外敌对势力和国外情报机构加紧对我实施全方位的信息监测和情报战略，窃密活动十分猖獗，各级党政军机关、国防军工科研生产单位作为国家秘密的主要生成区、密集区，更是成为敌对势力窃密的重点对象。但目前我国涉密信息系统建设使用单位保密管理水平比较低，与形势的发展很不适应，急需进一步加强。就拿航宇公司为例，该公司先后建立的涉密应用系统有：OA系统，CAPP系统，ERP系统，档案管理系统，PDM系统等，这些系统在建设、规划和保密管理中存在的问题主要表现在以下几个方面：(一)涉密信息系统定密的随意性、不准确问题目前该公司很多涉密信息系统定密比较随意，不准确，界定不清楚，甚至很多涉密人员都不清楚自己管理的应用系统的密级别。究其原因主要是没有严格确定定密责任，缺乏专业定密人员，定密依据不够明确和细化，定密程序不规范等。(二)涉密信息系统安全保密工作“重技术、轻管理”的现象比较突出目前公司很多涉密信息系统的安全保密方案只注重安全保密技术建设，过于依赖技术来实现保密要求，而忽略保密管理的重要性。由于缺乏有针对性的保密管理措施进行有机整合，所有的安全保密措施只是产品的简单堆砌，使得整个安全保密方案先天性不足。众所周知，如果没有强有力的管理来支持，再好的技术防范措施都会大打折扣，再好的技术防范产品也将成为摆设，因此涉密信息系统安全保密工作的重点还是在于管理。（三）涉密信息系统建设生命周期“重建设、轻监管”通常情况下，我们将信息系统建设生命周期（SDLC）划分为五个阶段：规划需求阶段、设计开发阶段、实施阶段、运行维护阶段、废弃阶段。也就是说，系统是不断变化的，安全保密工作也应随之发生变化，各个阶段安全保密要求不同，每个阶段都应制定相应的保密制度，并落实执行、监管。由于公司很多应用项目都是和第三方公司合作，而这些公司可能存在着对系统建设生命周期各阶段的保密标准的具体要求把握不准的情况，使得工程实施各阶段没有严格执行保密要求或者与安全保密建设不同步情况时有发生，而这一块我们又缺乏最起码的监管手段，从而给系统增加了安全隐患。举个例子，在涉密信息系统经过保密审批投入运行后，由于一般都是由系统建设使用单位的信息化部门在负责日常的运行维护。但信息使用和管理的保密要求。涉密信息系统分级保护是国家信息安全等级保护的重要部分，其核心思想是“从实际出发，综合平衡安全成本和风险，优化信息安全资源的配置，确保重点。”因此，涉密信息系统应该遵循国家保密标准规范，在分级保护的框架下，按照“规范定密，准确定级；分域分级，科学防护；风险评估，动态调整；技管并重，全面保障”的基本思路进行保密管理，具体方法为：(一)涉密信息系统应该严格按照以系统分域定级、方案设计、工程实施、系统测评为中心环节的操作流程，积极组织开展涉密信息系统建设工作1．涉密信息系统建设使用单位应按照信息密级、行政级别、业务类别、系统重要性和安全策略等因素划分安全域，并根据各安全域所处理信息的最高密级确定等级。2．涉密信息系统建设使用单位应选择具有涉密信息系统集成资质单位进行承建，结合国家保密标准BMBl7—2006《涉及国家秘密的信息系统分级保护技术要求》和BMB20--2007《涉及国家秘密的信息系统分级保护管理规范》等相关标准，在风险评估的基础上，从技术和管理两个方面进行综合设计。保密工作部门应当参与方案审查论证，在系统总体安全保密性方面加强指导，严格把关。3．涉密信息系统建设使用单位应按照BMBl8--2006《涉及国家秘密的信息系统工程监理规范》进行工程监理。在进行工程监理时，应选择具有涉密工程监理单项资质的单位或组织自身力量加强监督检查。4．涉密信息系统在投入使用前，经过保密工作部门授权测评机构的安全保密测评和保密工作部门审批。涉密信息系统建设使用单位应按照测评机构的要求，提交测评所需的必要资料，并配合系统测评工作。(二)涉密信息系统建设使用单位应该整合保密部门、信息化建设部门和其他相关部门力量，密切合作，各负其责，形成合力共同加强系统的保密管理工作1．在系统定级方面，保密部门发挥准确掌握国家保密政策的优势，与信息化部门、业务工作部门一起研究确定系统和安全域所处理信息的最高密级，从而确定保护等级。2．在方案设计方面，信息化部门利用熟悉技术的特点，按照分级保护技术要求和管理规范，组织开展分级保护方案的设计工作。保密部门应对总体方案进行监督、检查和指导，组织专家进行评审论证。3．在工程实施方面，信息化部门应具体承担组织实施工作，并定期与保密部门对安全保密措施落实情况和工程进展情况监督、检查。4．在系统工程施工结束后，保密部门负责组织系统测评和系统审批工作，信息化部门密切配合。5．在系统投入运行后，保密、信息化、密码、业务工作、保卫和人事等有关部门应按照“分工合作、各司其责”的原则，在满足基本管理要求的基础上，主要从人员管理、物理环境与设施管理、设备与介质管理、运行与开发管理和信息安全保密管理五个方面抓好系统应用中的日常管理，积极开展风险评估和保密监督检查，并做好系统废止阶段的善后工作。六、涉密信息系统安全保密建议（一）要树立起有效控制的思想。保密的实质是什么？笔者认为保密的实质就是控制，要做到国家秘密在任何时候、任何情况下都受控。而做好控制的最有效方法就是尽一切可能缩小知悉范围，做到知悉必须以工作需要为原则。为检验控制的效果，则要做好全程登记工作，将所有知悉国家秘密的人和情况记录在案，做到可查、可追溯。（二）要建立起一个高效的保密机制。保密工作机制就是将保密工作各相关要素组合在一起，通过各要素之间的相互联系、相互制约、相互作用，使其向既定的保密工作目标自行运转。比如保密资格认证制度就是一个好的机制。它将军工单位承担武器装备科研生产任务与保密紧密联系起来，与单位生存发展紧密联系起来，通过开展达标活动，使保密工作按照相关标准的要求自行运转。在单位内部，将各项保密要求制定成保密检查标准，通过定期检查，量化打分，发现和改进企业保密管理的薄弱环节，同时将每位涉密人员平时的保密工作情况纳入年度综合考评，与其晋级、晋职、奖惩等紧密联系起来，激励每一位涉密人员自觉地做好保密工作。建立这样一个能够自行运转的系统，将从根本上解决做好保密工作的动力问题，由过去的让我做变成我要做，促使军工单位保密工作发生质的变化。（三）要抓好保密工作三大体系建设保密工作三大体系是指：保密组织管理体系，保密法规制度体系，保密技术防护体系。保密是一项管理工作，是需要有职能部门和专职人员开展的工作，且必须有经费的保障，建立保密组织管理体系是做好保密工作的基本条件和基本保障。保密法规制度是做好保密工作的重要基础和前提。保密法规制度体系的建立要做到各类涉密事项和任何涉密活动都有制度进行约束和控制。保密技术防护体系是做好保密工作的重要手段和措施。要将涉密区域和要害部门部位通过技术手段全面控制起来。安装必要的电视监控系统、门禁系统、区域红外报警系统等。（四）要重视安全保密的管理工作随着信息安全技术的发展，信息安全产品正在向智能、整合和管理方向发展，未来的涉密信息系统安全保密技术防范方案将会越来越完善。同时我们也应该注意到，如果没有强有力的管理来支持，再好的技术防范措施都会大打折扣，再好的技术防范产品也将成为摆设，因此涉密信息系统安全保密工作的重点还是在于管理，需要制定切实可行的规章制度，定期进行涉密信息系统的安全保密检查，发现问题及时整改，并严肃处理违规的责任人，从而不断强化员工的安全保密意识，使员工能够自觉遵守企业安