新《保密法》讲座.ppt

1、第三讲学习新保密法做好信息化建设保密工作,三台县国家保密局 唐瑞荣 2010.9,目录,一、前言 二、新保密法的第一亮点 三、电子政务保密管理 四、分级保护管理规范 五、当前主要问题与对策,一、前言,保密法修订的主要目标就是要依法加强对国家秘密的保护。 国家秘密是国家安全和利益的一种信息表现形式，也是国家的重要战略资源。 国家秘密一旦泄露，必将直接危害国家的政治安全、经济安全、国防安全、科技安全和文化安全，直接损害广大人民群众的根本利益。 保守国家秘密是一种国家行为，也是一种国家责任。 保密能力是国家能力的重要体现和保障。,一、前言,近年来,随着国际国内形势变化，特别是信息化建设快速推进，保密

2、工作中出现了许多新情况新问题，需要对现行法律进行修改完善。 国家秘密的存在形态和运行方式发生巨大变化，涉密载体由纸介质形式为主发展到声、光、电、磁等多种形式，泄密的渠道增多、风险加大、危害加重，亟需对现代通信和互联网条件下存储、处理和传输国家秘密的规定进行补充完善。,二、新保密法的第一亮点,即：计算机网络保密管理有了硬措施。 一是实行分级保护，计算机信息系统要按照涉密程度不同，采取不同强度的管理措施。 第二十三条存储、处理国家秘密的计算机信息系统（以下简称涉密信息系统）按照涉密程度实行分级保护。,二、新保密法的第一亮点,即：计算机网络保密管理有了硬措施。 二是强化技术防护，保密技术设施、设备要

3、按照国家标准配备，并与涉密信息系统同步规划、同步建设、同步运行。 第二十三条（第二款） 涉密信息系统应当按照国家保密标准配备保密设施、设备。保密设施、设备应当与涉密信息系统同步规划，同步建设，同步运行。 （第三款） 涉密信息系统应当按照规定，经检查合格后，方可投入使用。,二、新保密法的第一亮点,即：计算机网络保密管理有了硬措施。 三是明确列举禁止事项，如不得将涉密计算机和涉密存储设备接入互联网及其他公共信息网络等。 第二十四条机关、单位应当加强对涉密信息系统的管理，任何组织和个人不得有下列行为： （一）将涉密计算机、涉密存储设备接入互联网及其他公共信息网络； （二）在未采取防护措施的情况下，在

4、涉密信息系统与互联网及其他公共信息网络之间进行信息交换；,二、新保密法的第一亮点,（三）使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息； （四）擅自卸载、修改涉密信息系统的安全技术程序、管理程序； （五）将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途。,二、新保密法的第一亮点,即：计算机网络保密管理有了硬措施。 四是明确网络运营商、服务商的法律责任，主要是配合有关机关调查泄密事件，发现泄密事件要及时报告。 第二十八条互联网及其他公共信息网络运营商、服务商应当配合公安机关、国家安全机关、检察机关对泄密案件进行调查；发现利用互联网及其他公共信息网络发

5、布的信息涉及泄露国家秘密的，应当立即停止传输，保存有关记录，向公安机关、国家安全机关或者保密行政管理部门报告；应当根据公安机关、国家安全机关或者保密行政管理部门的要求，删除涉及泄露国家秘密的信息。,三、电子政务保密管理,2007年3月，国家保密局、国务院信息化工作办公室制定电子政务保密管理指南，把电子政务的信息系统分为电子政务涉密信息系统和电子政务非涉密信息系统两种类型，并分别对其安全保密要求作了详细的描述。,三、电子政务保密管理,涉密信息系统定义 涉密信息系统是指由计算机及其相关和配套设备、设施构成的，按照一定的应用目标和规则存储、处理、传输国家秘密信息的系统或者网络。 电子政务信息系统分类

6、 电子政务涉密信息系统 用于存储、处理和传输国家秘密信息的电子政务信息系统。 涉密信息系统的分级 绝密级、机密级(机密增强)、秘密级(工作秘密参照)。,三、电子政务保密管理,电子政务非涉密信息系统 用于存储、处理和传输内部信息或公开信息，但不得用于存储、处理和传输国家秘密信息的电子政务信息系统。 网络的分类 电子政务内网、专网、政务外网、网站。 涉密 非密,电子政务涉密信息系统需按照“同步规划建设，严格审批，注重防范，规范（依法）管理”要求进行建设和运行。 1、同步规划和建设 涉密信息系统必须与保密设施同步规划和建设，在系统、信息、介质和场所等方面进行整体防护。 2、严格审批 涉密信息系统建设

7、使用单位需按要求履行审批手续，保密行政管理部门应严格按照涉及国家秘密的信息系统审批管理规定对涉密信息系统进行审批。,三、电子政务保密管理,三、电子政务保密管理,3、注意防范 涉密信息系统从建设到投入使用都必须突出保密防范。 4、规范（依法）管理 涉密信息系统的安全保密措施：1.技术，2.管理；管理以技术为依托，技术靠管理来保障。,电子政务非涉密信息系统的保密管理工作，重点是加强对信息上网前的保密审查和对已上网信息的保密检查，防止涉及国家秘密的信息上网。基本原则： 控制源头 加强检查 明确责任 落实制度,三、电子政务保密管理,三、电子政务保密管理,工作秘密的保护 工作秘密一般是指：未列入国家秘密

8、及其密级具体范围的事项，但扩大知悉范围会对机关的正常工作带来不利影响的工作秘密事项。 在涉密信息系统中（电子政务内网）参照分级保护秘密级保护 在非涉密信息系统中（电子政务外网）实行等级保护三级保护,我国信息安全等级保护与涉密信息系统分级保护关系,三、电子政务保密管理,四川党政网（政务内网）按照涉密网络建设和管理，与政务外网、互联网和其他公共网络物理隔离。目前党政网未达到分级保护技术要求，不得传输、处理涉密信息。涉密局域网建设与党政网逻辑隔离并达到分级保护要求（经审批）的，可在局域网内处理同等级别的涉密信息。,四、分级保护管理规范,2006年1月，国家保密局印发涉及国家秘密的信息系统分级保护管理

9、办法，指出涉密信息系统的建设使用单位根据分级保护管理和有关标准，对涉密信息系统分等级实施保护。明确系统分级、系统保护和系统监管。 同时发布涉及国家秘密的信息系统分级保护技术要求（BMB17-2006），规范涉密信息系统等级的划分、涉密信息系统基本技术保护要求。分别对秘密级、机密级（增强型）、绝密级信息系统保护要求。从物理安全、运行安全、 信息安全保密三方面作出技术规范。,四、分级保护管理规范,2007年4月，国家保密局发布涉及国家秘密的信息系统分级保护管理规范（BMB20-2007），规范涉密信息系统分级保护管理全过程，基本管理要求。系统定级、方案设计、工程实施、系统测评、系统审批、日常管理、

10、测评与检查和系统废止八个方面进行了规范。,四、分级保护管理规范,2008年5月 ，国家保密局发布涉及国家秘密的信息系统分级保护方案设计指南（BMB23-2008）提出了涉密信息系统分级保护方案主要内容：系统及其安全域定级、系统分析、安全保密风险分析、安全保密需求分析、安全保密需求分析、方案总体设计、方案详细设计、残留风险控制、实施计划、经费概算、 相关附件。,系统定级 ,资质单位的选择(WWW) 甲级 全国 乙级 本省（自治区、直辖市） 单项 全国 （软件开发、综合布线、系统服务、 系统咨询、工程监理、风险评估、 屏蔽室建设、数据恢复、 保密安防监控、军工系统集成）,工程实施 ,系统测评 ,组

11、织实施、工程监理 自身组织监理、资质公司监理,建设使用单位组织专家论证 审批的保密部门派人参加,依据方案设计指南分级保护技术要求分级管理规范设计,方案设计论证 ,系统审批 ,日常保密管理 ,保密监督检查 ,系统废止 ,（完善措施适应需求和技术发展）,向保密工作部门备案,按规定处理涉密设备、介质、资料,五、当前主要问题与对策,主要问题,一、涉密信息系统分级保护工作实施缓慢 1、涉密信息系统与非涉密信息系统界定不清； 2、绝大部分涉密信息系统没有达到分级保护要求； 3、重应用、轻防护；只防外、不防内。,主要问题,二、涉密计算机、涉密信息设备直接、间接接入互联网络 1、宽带、ADSL直接上网，硬盘信

12、息被盗； 2、通过手机、有线电话拨号上网，被植入木马； 3、使用MP3、MP4、照相卡等，摆渡木马盗走信息。,主要问题,三、非涉密计算机、非涉密信息设备中存储、处理涉密信息 1、如电子政务内外网都有存储、处理涉密信息； 2、办公室、打印室计算机、打印机涉密与非涉密不分； 3、笔记本电脑存有涉密信息，随处上网。,主要问题,四、涉密计算机与非涉密计算机信息随意交换 1、移动存储介质交叉使用； 2、涉密计算机互联网上下载，杀病毒（库）软件升级； 3、低密级计算机处理高密级信息。,主要问题,五、其他 1、在涉密场所连接互联网的计算机上配备或安装麦克风、摄像头等音频视频输入设备； 2、使用具有无线互联功

13、能或配备无线键盘、无线鼠标等外围装置的信息设备处理国家秘密信息； 3、擅自卸载涉密计算机上的安全保密防护软件或设备； 4、退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途。,对策,认真学习新保密法，遵照执行国家保密局印发的信息系统和信息设备使用保密管理规定（三保【2010】1号转发） 机关、单位按照“谁主管谁负责、谁使用谁负责”的要求，负责本机关、单位信息系统和信息设备使用保密管理工作。,对策,保密法 第四条保守国家秘密的工作，实行积极防范、突出重点、依法管理的方针，既确保国家秘密安全，又便利信息资源合理利用。 第七条机关、单位应当实行保密工作责任制，健全保密管理制度，完善保

14、密防护措施，开展保密宣传教育，加强保密检查。,对策,保密法 第十四条机关、单位对所产生的国家秘密事项，应当按照国家秘密及其密级的具体范围的规定确定密级，同时确定保密期限和知悉范围。 第十七条机关、单位对承载国家秘密的纸介质、光介质、电磁介质等载体以及属于国家秘密的设备、产品，应当做出国家秘密标志。 不属于国家秘密的，不应当做出国家秘密标志。 （国家秘密标志具有的专用性）,对策,保密法 第二十七条报刊、图书、音像制品、电子出版物的编辑、出版、印制、发行，广播节目、电视节目、电影的制作和播放，互联网、移动通信网等公共信息网络及其他传媒的信息编辑、发布，应当遵守有关保密规定。 （涉密信息不上网，上网

15、信息不涉密）,对策,1、 定为涉密信息系统的尽快作出分级保护建设规划 ，确定系统级别，实施网络安全集成，即按分级保护方案设计指南、技术要求进行方案设计、论证、预算、工程实施、系统测评、审批、发证。 联电子政务内网的，通过审批后在自己的子网中运行涉密信息。,对策,2、 无涉密网络建设基础的单位，一律采取单机处理涉密信息，并卸载网络联接系统或网卡，控制输入输出口。联接电子政务内网的计算机按涉密计算机管理，与互联网和其他公共网络物理隔离，并控制输入输出口。强制实施违规外联阻断系统，凡是要求与互联网实行物理隔离的计算机（包括与电子政务内网相联的网络及终端、单机、涉密笔记本电脑）都必须户籍登记和安装外联

16、阻断软件，彻底杜绝涉密计算机违规上互联网的行为。,对策,3、 推行涉密移动存储介质管理系统及使用专用介质（U盘、硬盘），防止人为的将涉密和非涉密的介质交叉使用。互联网下载信息或非涉密工作信息需要输入涉密网络或涉密单机的，一律采取刻光盘单向导入（实际上采用了专用介质管控软件的计算机，已不识别其它介质，USB口得到控制）。目前，物理隔离卡+光单向导入技术的信息安全输入卡已通过国家有关部门检测，即将推广使用，可不用刻盘导入。光单向导入装置也很快出炉。,对策,4、 在现运行状况下，为防止联接电子政务内网的单位办公网络工作秘密（可能有涉密信息）泄漏，其网内又没有达分级保护要求的，首先，完善保密管理制度，教育内部人员的遵守，开展办公网络的安全检查检测，清除涉密信息，把目前的安全风险和泄密隐患降至最低。其次，应安装安全可靠的逻辑隔离信息交换设备，使本单位办公网络与电子政务内网间的信息安全交换问题处理好。,对策,5、 涉密计算机、涉密设备标注标志，不得有上网记录； 涉密U盘、移动硬盘建立台帐，有使用记录； 非涉密计算机、 U盘、移动硬盘清除涉密信息（工作秘密酌情），恢复检查无痕迹； 涉密计算机与非涉密计算机不得共用打印机等带有存储功能设备。,对策,省、市（州）保密部门已建保密技