计算机信息安全策略.docVIP

密级：内部

涉密计算机平安保密策略

编写：

XX公司

年月日

为确保我公司涉密计算机信息的平安性、完整性和可用性，依据《中华人民共和国保守国家秘密法》和《武器装备科研生产单位二级保密资格标准》的相关规定，制订本策略。

根本原那么

本策略的根本原那么是：积极防范，突出重点，严格标准，严格管理。

组织体系

管理体系

涉密计算机管理体系如表一所示。

表一涉密计算机管理体系一览表

管理部门或人员

管理职责

保密委员会

确定涉密计算机和涉密人员，组织规划所有计算机的运行及管理体系。负责向公司申请为保证涉密计算机体系运行所必须的保障条件。

保密办公室

负责监督指导涉密计算机的日常平安保密工作。

计算机

平安管理员

具体负责涉密计算机的日常平安保密监督管理工作。

涉密人员

服从保密委和保密办的监督指导。对本人负责的涉密计算机具有使用权。

计算机体系

涉密计算机体系如图一所示。

打印

打印机

绘图仪

光盘刻录机

输出计算机

只允许单向输入操作

涉密中间计算机

外来涉密信息，

只允许单向输入操作

查杀病毒后刻录光盘输出，只允许单向输出操作

非涉密中间计算机

外来非涉密信息

只允许单向输入操作

查杀病毒后刻录光盘输出，只允许单向输出操作

=1\*ROMANI号涉密机

=2\*ROMANII号涉密机

=3\*ROMANIII号涉密机

=4\*ROMANIV号涉密机

=5\*ROMANV号涉密机

=6\*ROMANVI号涉密机

=7\*ROMANVII号涉密机

=8\*ROMANVIII号涉密机

内部各单台涉密机使用绑定U盘进行数据交换。

=9\*ROMANIX号涉密机

涉密计算机

输出

复印机

图一涉密计算机体系框图

如图一所示，涉密计算机体系主要由三局部组成。分别是信息的输入局部〔包括涉密信息和非涉密信息〕，内部工作用单台涉密计算机，以及输出局部〔包括涉密信息和非涉密信息〕。

信息输入局部

信息的输入由涉密中间转换计算机〔以下简称涉密中间机〕和非涉密中间转换计算机〔以下简称非涉密中间机〕组成。涉密中间机负责外来涉密信息的输入，经病毒查杀后，将涉密信息刻录成只读光盘，进入内部工作用计算机。

非涉密中间机负责外来非涉密信息的输入，经病毒查杀后，将非涉密信息刻录成只读光盘，进入内部工作用计算机。

所有涉密计算机生成的所有信息严禁通过电子文档形式进入该计算机。除涉密信息外，如工作需要，可将非涉密信息通过扫描或人工录入的形式，将非涉密信息在该机上重新生成，再通过其它非涉密信息网向外发送。

内部工作用单台涉密计算机

内部工作用单台涉密计算机用于进行涉密和非涉密信息的处理，各单台涉密计算机均配备了国产正版江民杀毒软件。

信息输出局部

信息输出局部由打印机、光盘刻录机组成，用于涉密和非涉密信息的输出。

风险分析

对以上体系进行风险分析后，发现该体系存在如下风险。

信息输入时病毒侵入的风险。

通过中间机进行信息输入时，可能会有含恶意代码的病毒随有用信息进入内部各单台计算机。

数据丧失的风险。

各单台涉密计算机中存储的数据信息可能因各种原因损害，造成数据丧失。

体系中各责任人执行规定时懈怠的风险。

体系中各责任人在执行相关规定要求时，可能产生懈怠，不按照规定执行，从而产生风险。

防护措施

针对以上可能存在的风险，制定如下防范措施。

计算机病毒与恶意代码防护

每台涉密计算机中必须安装正版江民杀毒软件，由使用人员定期进行一次病毒查杀；

计算机平安管理员负责每15天更新计算机病毒与恶意代码样本库。

身份验证

所有单台涉密计算机的密码分二级。

一级密码

一级密码为主机BIOS密码，由计算机平安保密管理员掌握。密码有效期为一年，满一年后计算机平安保密管理员进行更换。

二级密码

二级密码包括主机开机密码，操作系统密码和屏幕保护密码〔操作系统密码和屏幕保护密码相同〕。由计算机平安保密管理员统一设置，并配发给涉密机使用人；

密码有效期为7天，满7天后由计算机平安保密管理员进行更换，然后配发给涉密机使用人；

涉密机使用人不得自行更改涉密机的任何密码。

密码要求

主机BIOS密码和开机密码长度不能少于10个字符，操作系统密码和屏幕保护密码长度不能少于10个字符，字符中需要包括英文字母、数字和字母的大、小写。

物理防护

所有涉密计算机要放置在具备防火防盗的房间内，距离其它非涉密通讯设备的平安距离不小于一米。

所有涉密计算机与其它非涉密信息设备实行物理隔离。

技术防护

涉密中间计算机、涉密计算机，必须安装和使用