涉密信息系统安全保密保障体系的构建.docVIP

浅议涉密信息系统安全保密保障体系的构建

陈金文

航宇救生装备有限公司信息管理部襄阳441003

摘要本文从涉密信息系统安全保密建设原则、技术体系以及运行管理体系的构建等三个方面对涉密信息系统安全保密保障体系的构建进行了讨论，并提出了技术与管理相结合，是构建涉密信息系统安全保密体系应该把握的核心原则的结论。

关键词涉密信息系统安全保密风险评估分级保护体系

一、引言

当前，随着信息技术的发展，企业OA系统、CAPP系统、档案管理系统，PDM系统陆续建立，企业信息化建设取得了显著成效。随着企业信息系统建设的不断深化，信息安全保密问题日益突出，安全保密建设任务更加紧迫。由于涉密单位的业务特殊性，如何设计并建设一个技术先进、安全高效、可靠可控的涉密信息系统，成为安全保密建设至关重要的问题，而信息系统安全保密保障体系的构建是一切涉密信息系统建设的基础，所以构建涉密信息系统安全保密保障体系是当前安全保密工作的首要任务。

二、涉密信息系统安全保密建设原则

（一）纵深防御、整体安全原则。在信息安全保密体系建设中，要建立纵深防御的技术防范体系，依托支撑性基础设施，围绕保卫网络基础设施、保卫辖域和边界、保卫计算环境，平衡人、技术、运营多种因素，多重保护，全面治理，完成信息安全保障的使命。同时，管理与技术并重，建立综合防范机制，从网络、系统、数据和应用等方面保证的整体安全。

（二）分级保护、务求实效的原则。要以应用为主导，充分利用已有资源，根据不同应用的特点和安全需求，综合衡量不同业务系统的重要性和所面临风险大小等因素，科学划分网络与信息系统安全等级，并依据安全等级进行安全建设和管理，提高信息安全体系的有效性；

（三）同步建设、严格把关的原则：涉密信息系统的建设必须要与安全保密设施的建设同步规划、同步实施、同步发展。要对涉密信息系统建设的全过程(各个环节)进行保密审查、审批、把关。要防止并纠正“先建设，后防护，重使用，轻安全”的倾向，建立健全涉密信息系统使用审批制度。不经过保密部门的审批和论证，信息系统不得处理国家秘密信息。

（四）循环改进，常抓不懈，注重管理的原则：涉密信息系统的安全保密三分靠技术，七分靠管理。加强管理可以弥补技术上的不足；而放弃管理则再好的技术也不安全。信息系统安全保密是相对的，没有绝对的安全保密。信息安全是一个动态的、复杂的长期过程，要形成不断创新的机制，与时俱进地从手段、工具、制度、组织等方面长抓不懈，建立机制保障。要不断地评估系统的安全保密，找出系统新的威胁和新的安全保密漏洞，利用新的安全保密技术和相应安全保密管理措旅来提高系统的安全保密性。

三、涉密信息系统安全保密保障体系框架

涉密信息系统的安全保密保障体系建设包括两方面：一是技术安全体系建设；二是管理运行安全体系建设。为确保涉密信息系统高可靠性、高可用性和高可控性的三高原则，应贯彻以策略为指导、以管理为核心、以技术为手段的指导思想，建立安全保密保障技术体系和安全保密保障管理体系，为涉密信息系统提供鉴别服务、访问控制服务、机密性服务、完整性服务、防抵赖服务、可用和可控性保障服务，通过形成安全的局部计算环境、安全的网络基础设施及边界安全保护体系，实现身份安全、数据安全、应用安全和网络安全。涉密信息系统安全保密保障体系框架见下图：

涉密信息系统安全保密保障体系框架图

四、涉密信息系统安全保密保障体系的实施

信息系统的安全保密保障需求是全方位的、整体的，相应的安全体系也是分层次的，在不同层次反映了不同的安全问题。整个安全保密保障体系的构建分为技术层面和管理层面来实施。

（一）技术体系建设的实施

(1)突出防范重点

安全保密建设应把终端安全和各个层面自身的安全放在同等重要的位置。在安全管理方面尤其要突出强化终端安全。终端安全的防范重点包括接入网络计算机本身安全及用户操作行为安全。

(2)强化内部审计

对涉密信息系统来说，如果内部审计没有得到重视，会对安全保密造成较大的威胁。强化内部审计不但要进行网络级审计，更重要是对内网里用户进行审计。对用户终端系统本身和操作行为进行控制和审计，做到状态可监控，过程可跟踪，结果可审计。从而在用户终端层面做到涉密信息系统安全保密。

(3)加强终端用户培训

加强安全保密教育培训来减少和避免失泄密事件的发生；加强信息安全基础知识及防护技能的培训，尤其是个人终端安全技术的培训，提高使用和管理人员的安全保密意识，以及检查入侵、查处失泄密事件的能力。

（二）安全保密管理体系的实施

参照国家信息安全等级保护制度中的相关标准，在信息系统安全保密保障建设中，管理贯穿于技术的物理层面、网络层面、系统层面和应用层面之中，可以说管理是技术各个层面实施分等级安全保护的基本要素。涉密信息系统安全保密建设完成后，应建立运行管理体系