1、和静县国家保密局贾 俊 杰2007-8-10 前言 电子政务涉密信息系统的安全保密要求 电子政务非涉密信息系统的保密要求 电子政务信息系统间的安全隔离与信息交换 结束语一、前 言 随着科学技术的迅猛发展和和信息技术的广泛应用,特别是我国国民经济和社会信息化进程的全面加快,信息及信息系统已经成为重要的战略资源和战略基础设施。二、电子政务涉密信息系统的安全保密要求 1、涉 密 定位:电子政务信息系统分为两种类型:电子政务涉密信息系统 用于存储、处理和传输国家秘密信息的电子政务信息系统。电子政务非涉密信息系统 用于存储、处理和传输内部信息或公开信息,但不得用于存储、处理和传输国家秘密信息的电子政务信
2、息系统。二、电子政务涉密信息系统的安全保密要求 2、安全保密管理原则:同 步 建 设 严 格 审 批 注 重 防 范 规 范 管 理二、电子政务涉密信息系统的安全保密要求 同 步 建 设 中共中央关于加强新形势下保密工作的决定明确提出“涉及国家秘密的通信、办公自动化和计算机信息系统的建设,必须与保密设施的建设同步进行”二、电子政务涉密信息系统的安全保密要求 严 格 审 批 涉及国家秘密的信息系统审批管理规定(以下简称审批管理规定)明确提出,未经保密工作部门审批,涉密信息系统不得投入使用。二、电子政务涉密信息系统的安全保密要求 注 重 防 范 涉密信息系统保密防范能力的强弱,关系到国家秘密的安全
3、,也是涉密信息系统建设成败的关键。二、电子政务涉密信息系统的安全保密要求规 范 管 理 涉密系统的安全保密措施主要包括技术和管理两个方面,管理以技术为依托,技术靠管理来保障,二者相辅相成,缺一不可。二、电子政务涉密信息系统的安全保密要求3、分 级 保 护:涉密信息系统分级保护是国家信息安全等级保护的重要组成部分。涉密信息系统根据涉密程度,按照秘密级、机密级、绝密级进行分级保护秘密级、机密级、绝密级信息系统的整体防护水平分别不低于非涉密信息系统的第三、四、五级的要求。涉密信息系统的建设使用单位按照“谁主管、谁负责”的原则,负责本单位涉密信息系统的分级保护工作的具体实施。二、电子政务涉密信息系统的
4、安全保密要求3.1系统定级:l 分级保护管理办法规定,涉密信息系统按照所处理信息的最高密级,由低到高划分为秘密、机密、绝密三个等级。l 应按照保密法、实施办法和“保密范围”的规定,结合自身的工作特点,根据涉密信息系统将要处理信息的最高密级确定系统的密级。确定密级必须准确,避免随意性。二、电子政务涉密信息系统的安全保密要求3.2泄密事件分级处置 泄密事件分级处置是指根据涉密信息系统发生泄密事件对国家安全和利益所造成的危害程度,采取不同的应急处理措施,以便及时上报查处、善后补救、消除隐患。二、电子政务涉密信息系统的安全保密要求4、安全保密管理全过程:系统定级 方案设计 工程施工 系统测评 系统审批
5、 日常管理 测评与检查系统废止二、电子政务涉密信息系统的安全保密要求4、安全保密管理全过程:4.1 日常管理 从人员管理、物理环境与设施管理、设备与介质管理、运行与开发管理和信息保密管理五个方面进行日常安全保密管理二、电子政务涉密信息系统的安全保密要求4、安全保密管理全过程:4.1 日常管理 l 设备与介质管理 应按照安全保密法规、国家保密标准的要求,做好设备与介质的管理工作。主要包括:采购与选型、操作与使用、保管与保存、维修与报废管理。二、电子政务涉密信息系统的安全保密要求4、安全保密管理全过程:系统废止 涉密系统不再使用时,建设使用单位应向保密工作部门备案 对需要报废的涉密设备和介质,应进
6、行信息消除和载体销毁处理 三、电子政务非涉密信息系统的保密要求 涉及国家秘密的信息,包括在对外交往与合作中经审查、批准与境外特定对象合法交换的国家秘密信息,不得在电子政务非涉密信息系统上存储、处理和传输 任何单位和个人不得在电子邮件、网上论坛、即时通讯和博客等公共信息媒体上发布、谈论和传播国家秘密信息 在使用互联网进行信息交流时,应当遵守国家有关保密规定,不得在互联网上传输、转发或抄送国家秘密信息 三、电子政务非涉密信息系统的保密要求1、保密管理原则:控 制 源 头 加 强 检 查 明 确 责 任 落 实 制 度 三、电子政务非涉密信息系统的保密要求 控 制 源 头 严格防止涉及国家秘密的信息
7、在电子政务非涉密信息系统上存储、处理和传输 建立信息上网公开发布前的保密审查制度 涉密信息不上网,上网信息不涉密 三、电子政务非涉密信息系统的保密要求 加 强 检 查 对上网的信息进行经常性检查 一旦发现国家秘密,要立即报告,查清来源,及时删除,并严肃处理泄密人员 各级保密工作部门负责本行政区域内电子政务非涉密信息系统以及互联网或其他公共信息网络的保密检查工作 三、电子政务非涉密信息系统的保密要求 明 确 责 任 层层建立责任制,责任到人,做到“谁上网、谁负责”对上网信息的保密审查要有专人负责,落实领导责任 保密工作部门要指导、督促有关单位建立责任制 三、电子政务非涉密信息系统的保密要求 落
8、实 制 度 要把有关保密管理的制度规定落到实处 凡向国际联网的站点提供或发布信息,必须经过保密审查批准 提供信息的单位应当按照一定的工作程序,健全上网信息保密审批制度 三、电子政务非涉密信息系统的保密要求 2、工作秘密的保护:工作秘密一般是指:未列入国家秘密的范围但扩大知悉范围会对机关的正常工作带来不利影响的秘密事项。工作秘密与国家秘密可能存在交叉 对于集中处理工作秘密的信息系统,可参照秘密级信息系统保护的有关要求进行保护与管理 四、电子政务信息系统间的安全隔离与信息交换、物理隔离 :2000年1月1日正式实施的计算机信息系统国际联网保密管理规定中明确规定:“涉及国家秘密的计算机信息系统,不得
9、直接或间接地与国际互联网或其他公共信息网络相联接,必须实行物理隔离。”四、电子政务信息系统间的安全隔离与信息交换、物理隔离 :电子政务涉密信息系统不得直接或间接与国际联网,应与国际互联网或其他公共信息网络实行物理隔离 电子政务非涉密信息系统应与国际互联网或其他公共信息网络采取必要的逻辑隔离措施 四、电子政务信息系统间的安全隔离与信息交换.1物理隔离 用户终端的隔离方案:目前国家保密局认可的“双布线单用户终端”物理隔离解决方案主要有:(1)双主板、双硬盘 (2)单主板、双硬盘 (3)单主板、单硬盘四、电子政务信息系统间的安全隔离与信息交换1.2 物理隔离远程传输的隔离方案 :(1)在采取密码保护措施的情况下,涉密数据远程传输目前可以使用独立铺设线路和交换设备,以及使用永久虚拟电路(PVC)两种交换方式。(2)在使用独立铺设的线路或使用基于复用技术的线路能够达到独享时隙或频段(如DDN、X.25、帧中继、ATM、SDH等)时,可以使用VPN技术和IP密码机构建涉密信息系统
