物理隔项离、数据交换-彭俊辉.docVIP

严格物理隔离 安全数据交换 切实做好彝州计算机信息系统 安全保密工作 （楚雄州国家保密局　彭俊辉） 2010年10月1日新《保密法》正式施行，新《保密法》充分体现了中央领导关于“用高科武装保密工作”的指示精神，它的提出为保密技术发展提供了坚实的法律依据，对信息安全保密工作提出了更高要求。新修订的《保密法》规定，对由于疏忽大意而导致的信息泄露将追究刑事责任，强调信息化手段在加强安全建设过程中起到的作用。新《保密法》列举了12种最常见、最典型的违规行为，不论是否产生泄密的实际后果，只要发生其中违规行为之一的，都要依法追究当事人的行政后果，只要发生其中违规行为之一的，都要依法追究当事人行政和刑事责任。不难看出，新《保密法》的颁布将信息安全保密工作提升到一个新的法律高度，要求各级保密相关单位和保密个人从过去的被动“保守”秘密向主动“保护”秘密转化，着力促进传统的完全保障措施向信息化建设转变。只有真正真将计算机网络安全保密工作落到实处，才能更有效地避免因非主动过失而导致的信息泄露。 七年来，我州各单位在保密技术宣传、防范、服务方面做了大量的工作，取得了一定的成绩。龙其是我州保密部门针对解决我州信息化发展中的安全保密管理工作的四种方案（非涉密单机、涉密单机、“一机两用”实时切换双硬盘物理隔系统、电子阅览室）在许多单位得到有效的应用。但是，与发达地区相比我州的计算机信息系统安全保密工作还存在很大差距。主要表现在：计算机及网络性质界定不清，防护措施不到位；涉密计算机联接互联网，管理缺位情况严重；工作秘密计算机处理涉密信息、违规联接互联网；有在互联网计算机上办公、处理工作秘密现象；移动存储介质交叉混用：内外混用、密与非密混用，公私混用；对物理隔离系统存在认识上的误区。 为了确保国家秘密在我州的绝对安全，根据处理信息涉密程度不同，我们将目前工作中使用的计算机分为三类：涉密计算机、办公计算机（内部计算机）和互联网计算机。涉密计算机是指用于处理、存储涉密信息的计算机。办公计算机（内部计算机）是指与互联网物理隔离的用于处理内部办公文件、资料的单机或内网计算机；互联网计算机指所有党政机关企事业单位联接互联网的计算机。针对我州计算机信息安全保密管理工作的实际情况，依据“既确保国家秘密安全，又便利信息资源合理利用”的原则，分别制定了不同的管理方案： 涉密计算机安全保密管理方案 涉密计算机安全防护管理标准—国家保密局“三合一标准产品”：非授权外联监管系统、移动存储介质使用管理系统和基于专用介质的单向导入系统；“三合一”核心技术：由国家保密局研制；生产安装：由授权单位生产安装；技术标准：强制性技术标准；配备方式：强制配备；系统价格：全国统一；配备原则：涉密计算机最小化。 办公计算机系统安全保密管理方案 办公计算机安全保密管理系统由办公计算机管理中心、U盘发行中心、终端安全防护系统组成。管理中心系统软件是系统管理员和审计员使用的计算机管理控制平台软件。实现系统参数的配置、信息管理审计、计算机备案信息管理、违规外联报警信息配置、违规外联日志管理、U盘操作日志管理、安装卸载授权认证等功能。管理中心系统采用分权授权模式，审计员、管理员权限分离以提高系统的安全性，保证检测信息的保密性；U盘发行中心系统软件是系统管理员使用的U盘管理控制平台系统。U盘发行系统软件实现U盘的发行、回收、U盘备案登记信息管理、U盘操作日志管理审计、U盘属性查询、专用U盘急救、系统配置等功能。U盘发行系统采用分权授权模式，审计员、管理员权限分离以提高系统的安全性，保证检测信息的保密性；终端安全防护系统软件是安装在受监控主机上的安全防护、监控软件。终端安全防护系统软件可通过网络授权安装，同时也支持单机版用户安装，并采用了严密的措施防止用户自行卸载、关闭监控程序。 三、互联网及互联网计算机管理方案 针对联接互联网计算机的管理，采取增强教育力度、规范制度建设、加大检查力度三方面措施。一是增强保密教育。清醒地认识当前保密工作形势的严峻性、泄密问题的严重性以及防范工作的艰巨性，提高工作人员的保密意识；二是规范审查制度。建立健全互联网信息发布审查制度，必须经过保密审查批准，严格履行审批制度；三是加大自检自查力度。借助专用检查工具对互联网计算机现场检查和网络检查，是否违规处理、存储涉密信息及敏感内部信息；四是增强涉密文档违规处理监控能力。建立涉密文档违规处理监控系统，一旦发现有外网电脑处理涉密信息，立即报警，并通过联网方式将抓取到的涉密文档传到州保密局，及时消除泄密隐患，堵塞漏洞。 四、安全数据交换安全解决方案。针对我州一些单位在实际工作中，在交换数据时容易发生许多不安全的因素，特提出如下方案：一是网络间不同安全域之是的数据交换问题：在与互联网逻辑离的安全域与涉密的安全域之发生数据交换时采用信息单向导入系统