涉密信息系统分级保护研究

涉密信息系统分级保护研究
摘要：本文对涉密信息系统的定义及其与公共信息系统的区别进行了分析，探讨了涉密信息系统分级保护的工作要点，阐述了涉密信息系统的设计与建设实施过程中应该注意的问题以及后续的管理与维护工作,探讨了实施这项工作的关键环节和组织措施,为涉密信息系统分级保护工作的实施提出了意见和建议。

关键词：涉密信息系统分级保护保密技术
1引言
近年来，随着网络技术的飞速发展和广泛应用，信息网络安全保密问题已成为信息化进程中的重大战略问题。

军工单位作为承担国家科研项目负责单位，其网络信息安全更是受到国内外黑客、间谍的关注。

因此，开展涉密信息系统分级保护工作已成为信息化管理部门的重要任务之一。

本文对涉密信息系统的定义及其与公共信息系统的区别进行了分析，而后探讨了涉密信息系统分析保护工作的要点，希望对后期开展涉密信息系统分级保护工作有一定的借鉴作用。

2涉密信息系统定义
2.1定义
2.1.1涉密信息系统
计算机信息系统是否属涉密信息系统，主要是由系统中是否存储
涉及国家秘密的信息。

不论其中的涉密信息数量，只要存储、处理或
传输了涉密信息，该信息系统就应被定义为涉密信息系统。

涉密信息系统有相应的安全保密要求，但并非所有的涉密系统都
是高安全等级的计算机信息系统，也并非所有的高安全等级的计算机
信息系统都是涉密信息系统。

例如，一些单位的计算机信息系统为保
护其商业秘密而采取了一些安全保密技术和管理措施，达到了较高的
安全等级，但由于其中没有存储、处理和传输涉及国家秘密信息，就
不能算是涉密信息系统；而另一些信息系统，虽然范围较小，但是采
取了与其他网络物理隔离，虽然没有采用更多的安全保密技术，系统
安全等级并不是很高，但由于管理严密、安全可控，系统中又存储了
国家秘密信息，这些系统就属于涉密信息系统。

2.1.2 分级保护
涉密信息系统的建设使用单位依据分级保护管理办法和国家保密
标淮，对不同级别的涉密信息系统采取相应的安全保密防护指施，确
保既不“过度防护”，也不“欠缺防护”。

涉密信息系统按照所处理国家秘密信息的不同等级，分为秘密、
机密、绝密三级进行保护和管理。

2.2 涉密信息系统与公共信息系统的区別
一是信息内容不同。

涉密信息系统存储、处理和传输的信息涉及
国家秘密和其他敏感信息，应严格控制知悉范国；公共信息系统存储、处理和传输的信息不能涉及国家秘密。

二是设施、设备标准不同。

涉密信息系统的安全保密设施、设备，必须符合国家保密标准；公共信息系统的安全保密设施、设备也应符
合一定技术标准要求，但并不要求执行国家保密标准。

三是检测审批要求不同。

涉密信息系统必须满足安全保密要求，
符合国家保密标准要求，投入使用前必须经安全保密检测评估和审查
批准；公共信息系统投入使用前也需要进行相关检测，但检测的目的
和要求不同。

四是使用权限不同。

涉密信息系统要严格控制使用权限；公共信
息系统则是开放性的，只要具备一定访问条件就可以使用。

3 涉密信息系统分级保护工作要点
涉密信息系统分级保护应遵循“实事求是”的原则，从实际出发，突出重点，综合平衡安全、风险和成本，优化信息安全资源的配置，
通过准确的分级分域和必要的控制措施，解决涉密信息系统安全保密
的问题。

3.1 边界防护
信息系统安全域之问的边界应划分明确，安全域与安全域之间的
所有数据通讯都应安全可控;对于不同等级的安全域问的通信，应实
施有效的访问控制策略和机制，禁止高密级信息由高等级域流向低等
级域。

不同的安全域，应采取相应的边界防护措施。

如添加防火墙并
设置相应的访问策略；配备相应的安全软件以防止未经授权终端的非
法接入等。

3.2 电磁泄漏防护
对于涉密信息系统内的信息设备，应采用低电磁泄露设备、电磁
屏蔽室、电磁屏蔽机柜等措施进行防护。

所有涉密计算机均需配备隔
离插座，重点终端计算机配备视频信号干扰器，并为网络线路设置线
路传输干扰器。

3.3 终端主机防护
对涉密信息系统中所有服务器、用户终端、安全保密设备和涉密
业务应用系统部署终端安全登陆与监控审计系统，采取身份鉴别措施，特别对系统内涉密信息和重要信息的范文采取强制访问控制措施，严
格实施违规外联管控、输入输出端口管控等。

对系统内的终端计算机、服务器应定期采用安全扫描工具进行扫描，及时发现并消除存在的风险和隐患。

对涉密移动存储介质使用终端监控与审计软件进行注册和绑定，
不同存储介质只能在不同类型的计算机中使用，确保内外网络的信息
隔离。

3.4 应用系统安全
应用系统是信息系统的重要组成部分之一。

系统中在线运行的应
用系统必须由具备保密资质的开发商开发，系统中的管理人员必须做
到三员、三权分立，系统的主客体访问控制粒度应合理、可控。

3.5 安全保密产品
安全保密产品的选型原则包括：
1）安全保密产品的介入应不明显影响网络系统运行效率，并满足
工作的要求；
2）原则上选用国产的安全保密产品，只有在无相应国产设备时方
可选用经国家主管部门批准的国外设备；
3）必须通过国家主管部门指定的测评机构的检测；
4）设计密码技术的安全保密产品必须获得国家密码主管部门的批准；
5）必须具有自我保护能力；
6）应符合相关国家标准。

所有安全保密产品都必须进行统一严格管理，必须经过国家保密
局测评，而且在测评有效期之内。

3.6 设备与介质管理
信息设备和介质的安全管理是保密管理的重点和难点，在涉密信
息系统保密管理制度中实行“五统、三定、一集中”的管理原则，所
有设备和介质从采购直至报废的全生命周期由特定部门按照该原则实
行归口管理。

“五统”是指“统一购置、统一标示、统一编号、统一发放、统
一保管”。

“统一购置”即经相关主管领导审批后由采购人员统一购置；“统一标示、统一编号”即入库后统一按密级进行标示并编号；“统一发放”即由资产管理人员统一发放；“统一保管”指涉密移动
存储介质由部门保密员统一保管存放。

“三定”是指“定位使用、定期检查、定点维修”。

“定位使用”即系统内的信息设备所使用的网络端口和资源由特定部门按照规划指
定使用，移动存储介质使用终端安全登陆与监控审计系统进行注册，
只能在指定的授权终端计算机上使用；“定期检查”即定期对介质的
使用情况进行检查；“定点维修”即将涉密存储部件拆除后涉密信息
设备进行定点维修，涉密介质出现故障必须送指定的单位进行维修，
不得交由销售单位、生产厂家或社会普通维修地点进行维修。

“一集中”即“集中销毁”。

涉密存储部件或介质需要报废处理的，必须经审核批淮后交指定的涉密载体销毁中心实施集中监督销毁。

4 结束语
涉密信息系统分级保护工作是一项长期的系统性工程，在具体实
施时，应严格遵循“规范定密，准确定级；依据标准，同步建设；突
出重点，确保核心；明确责任，加强监督”的管理原则，既要反对只
重应用不讲安全，防护措施不到位造成各种泄密隐患和漏洞的“弱
保护”现象；也要反对不从实际出发，防护措施“一刀切”，造成经
费与资源浪费的“过保护”现象。

实施涉密信息系统分级保护工作就
是要使保护重点更加突出，保护方法更加科学，保护的投入产出比更
加合理。

相信随着涉密信息分级保护工作的不断推进，困扰人们的网
络互连与安全保密问题必将得到有效的缓解和解决。

参考文献
[1] 刘彬.关于计算机网络信息安全保密技术研究[J].数码设
计,2019(12):26
[2]叶明达,胡一嗔,裘建开.计算机网络信息安全保密技术研究[J].科技风,2019(26):97.
[3]马融. 计算机网络技术的保密性分析[J].网络安全技术与应用,2018(10):35-36。