涉密信息系统与安全管理

  • 格式:doc
  • 大小:19.50 KB
  • 文档页数:5

龙源期刊网 http://www.qikan.com.cn 涉密信息系统与安全管理 作者:刘丽婕 来源:《中国管理信息化》2014年第24期

[摘 要] 涉密信息系统安全管理工作是一项持续而突出的现实任务。自20世纪90年代末起,互联网得到高速发展,互联网信息技术为政府提升工作效能提供了保障,但同时也带来一系列安全问题,如何提升涉密信息安全管理水平值得深思。本文从理论研究角度出发,对涉密信息相关概念进行分析,同时提出涉密信息系统安全管理的基本内容。

[关键词] 涉密信息;安全管理;分级 doi : 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 24. 067 [中图分类号] TP309 [文献标识码] A [文章编号] 1673 - 0194(2014)24- 0096- 02 随着经济发展和科技进步,全球信息往来越发频繁,信息安全已经成为一个非常突出的社会化问题。近年来,欧美发达国家频频爆发的信息泄露危机,已经为我们敲响警钟。信息安全关乎国家安全、社会稳定,通过应用信息系统技术提升效能是现代社会发展的必然选择,信息系统具有特定的自身优势,但同样信息系统也存在明显的缺陷。如何有效应用信息系统,在提升工作效率的同时,确保信息安全,已经成为一个突出的现实课题。涉密信息系统当中所传递的信息,往往涉及国家、军事、经济等各个层面的机密信息,一旦信息泄露、流失,将产生极大的社会影响,造成不可挽回的重大损失。在涉密信息系统的应用过程中,我们通过颁布政策法规的方式,设置安全使用标准,明确管理责任,进而有效提升了信息系统的应用安全性和稳定性。但在越发复杂的国内外形势下,涉密信息系统的发展和安全管理更需要我们去加以关注,从根本上解决长期存在的一系列主客体问题,防微杜渐使信息管理的有效性得到根本保障,使安全防范意识成为安全管理的基础条件,使安全防护技能成为安全管理的必要条件。涉密信息系统与安全管理具有时效性和时代性,不同的历史时期需要站在不同的角度和高度去加以分析和研究,只有这样,才能确保研究的针对性。新的历史时期下,涉密信息系统得到不断发展,也正是源于此安全管理更加突出与紧迫。

1 涉密信息系统概述 1.1 涉密信息系统界定 涉密信息系统主要指用于处理涉密信息的计算机设备或者用于实现内部办公自动化的涉密信息交换网络体系。通常情况下涉密信息系统是指有着一定安全保密需要和要求的计算机系统,按照国家强制性标准和规定,达到一定安全等级的计算机系统被称之为涉密信息系统。

简而言之,一个计算机信息系统是否具备涉密属性,能够称之为涉密信息系统,主要是看这个计算机系统里面的信息是不是涉及到国家秘密,涉密信息的数量多与少不论,只要存储或龙源期刊网 http://www.qikan.com.cn 者处理、传输了涉密信息,那么这个信息系统就应确定为涉密信息系统。从这个概念出发,可以看出并不是所有涉密信息系统都是较高安全等级的计算机信息系统,也不是所有安全等级的计算机信息系统都是涉密信息系统。随着商业竞争的越发激烈,目前,一些企业为保障其商业信息安全,采取了非常多的安全保密措施,引进了信息安全保密技术和设备,这些企业信息安全管理的等级非常高,但这些企业内部的信息系统,并不是涉密信息系统。通常的涉密信息系统都是党政机关内部使用的计算机系统,只要计算机系统当中运行或者存储、处理、传输了国家秘密信息,那么这个系统就是涉密信息系统,不论其信息等级高低,只要涉密,都应被称之为涉密信息系统,进而能够实现更为规范的管理,实现安全可控。

1.2 涉密信息系统分级保护 通常情况下对涉密信息系统施以保护都是按照分级原则进行分级实施的。涉密系统的安全管理级别分为绝密级、机密级、秘密级,有效分级后,才能更进一步实施分级保护,提升管理效能,提升安全标准。

1.2.1 秘密级 信息系统当中包含有秘密级的国家秘密,其总体的防护水平不应该低于国家信息安全等级保护三级的要求,信息系统应该达到分级保护的技术标准。

1.2.2 机密级 信息系统当中包含有机密级国家秘密,其防护水平不应低于国家信息安全等级保护四级要求,同时,还需要符合分级保护的保密技术要求。

1.2.3 绝密级 信息系统当中包含有绝密级国家秘密,其防护水平应不低于国家信息安全等级保护五级要求,需符合分级保护的保密技术要求。同时,绝密级涉密信息系统应该被建设并应用到封闭的场地建筑之内,不能与外网连接。

随着信息化技术的发展,建立系统标准化的分级保护体系已经成为一种必然之举。政府机关根据涉密信息的涉密等级,对涉密信息的重要性进行分析,结合不同的保护措施对信息系统加以有效保护。从过程控制的角度分析,当前涉密信息系统分级保护的管理过程主要分为8个具体阶段,即系统定级阶段、安全规划方案设计阶段、安全工程实施阶段、信息系统测评阶段、系统审批阶段、安全运行及维护阶段、定期评测与检查阶段和系统隐退终止阶段等。在涉密系统的实际使用过程中,在对系统定级、安全管理规划设计与实施、安全管理行为等方面重点关注。

为了规范涉密信息系统的管理和保护工作,国家保密局对涉密信息系统如何进行分级保护,进行了进一步明确,制定出台一系列的管理办法和技术标准。目前,通常使用的保密标龙源期刊网 http://www.qikan.com.cn 准,是BMB17《涉及国家秘密的信息系统分级保护技术要求》和BMB20《涉及国家秘密的信息系统分级保护管理规范》。涉密信息系统的保密等级和效果应通过专业机构测试方能明确。不同的管理规范和标准当中都明确指出了涉密信息系统应该按照国家保密标准去配备设备、设施,其保密设备、设施应该与信息系统建设管理同步规划、建设,涉密信息系统投入使用之前,需经保密管理部门的审核检查。

2 涉密信息系统安全管理主要内容分析 社会的发展进步,使信息技术越发被重视。为了有效适应信息化、网络化社会基础条件,需要构建一套全方位、系统化、稳定的信息管理模式,进而全面提升信息系统安全防范能力和水平,而构建涉密信息系统安全管理模式或体系,需要重点考虑多重问题,不论是制度问题还是执行问题都要涉及其中,缺一不可。

2.1 完善责任制度 突出管理职能 责任制度的不断完善,能够发挥基础保障作用,当涉密信息系统的管理责任更加突出,则信息系统的应用效率和安全水平更高。通过制度建设,各类政府机构应搭建符合本部门实际的涉密信息系统安全管理制度,实施涉密信息分类分级管理,在单位内部明确各个职能部门的安全信息管理职能,健全层级分明的安全工作责任制。

2.2 强化内部管理 实现过程控制 涉密信息系统的管理和使用机构,应做好工作人员的日常管理,对涉密信息系统的日常操作员加强规范和制约。从人员聘用到人员上岗整个过程都应该建立在安全管理需求的基础条件上。做好岗前培训和岗位职能培训,只有从根本上提升人员的综合素质,才能切实提升涉密信息系统的安全管理水平和效能。在签订管理责任书同时,政府机构要做好监督管理,对操作行为进行实时监督,一旦出现违规操作,视具体情节处理相关责任人。

2.3 做好长效化管理工作 实现日常规范化管理 涉密信息系统的维护重在日常,只有实现长效化管理,才能从根本上解决长期存在的一系列问题,避免泄密问题出现。信息系统的应用和运行本身就有一定的客观要求,长效化就是要求任何一名操作员要真正履行职责,严格按照规范进行操作,接入系统之前,需进行身份鉴别,对违规访问和登陆要及时予以清退。

2.4 突出涉密信息系统的多元化管理 涉密信息系统的管理涵盖于多方面,实施多元化管理是涉密信息系统最终能够有效得到推广和应用的关键所在,对于多元化管理这一概念,其目的在于编织一套层次分明、权责对等的管理网络,安全管理的主要责任就是要保证涉密信息不外泄,使信息能够安全存储和有效提取、转移。任何一家建设并使用涉密信息系统的政府机构都应该从管理有效性角度出发,自查龙源期刊网 http://www.qikan.com.cn 自纠尚存的安全性问题,进而使管理的多元化能够最终有所体现和显现,尤其是在高级别涉密信息管理过程中,如何突出多元化管理,已经成为一个主要课题。一方面,政府机关应遵守法律和政策规定,严格实施具体管理行为;另一方面,要结合本部门的实际情况,突出管理的实效性,不能脱离实际,在符合实际需求的基础上,提升管理的标准和效能。政府机关要建立起实时动态监控机制,对涉密信息系统的使用实施24小时监控,严格按照专网运行机制对涉密信息进行传输。一旦发现违规操作行为应及时预警,对于违规操作自动加以处理,暂停操作人员权限,只有通过这种人工与智能技术相结合的方式,才能实现多元化管理效果,才能确保安全管理工作落实到实处,制度上墙,虽然能够起到警示作用,但缺乏监督的制度体系,是不是能够发挥长效化作用,切实有实际价值,则值得推敲和反思,多元化并不是技术层面上的,而是多方面的。

2.5 从硬件入手 打造实时监控网络 涉密信息系统一般情况下不应该接入互联网、城域网等外网,通常都是运行在内网网络框架体系当中。内网的安全性是外网无法比拟的,而政府机构为了能够提升涉密信息系统的整体安全水平和质量,必然要从控制网络接入入手。当前的信息网络技术已经完全能够做到对每一台网络终端接入设备进行监控,对非授权接入外网的行为,涉密信息系统应具备自动断网和示警的功能,使网络管理员能够及时的掌握相关信息,进而做出决策和抉择,按照规范流程确保涉密信息的安全性。涉密信息系统的安全管理总的来看是一个综合性工作:一方面,需要技术支持;另一方面也需要管理体系制度的维护。技术是涉密信息系统安全管理水平提升的基础保障,实时监控网络的打造需要技术手段作为依托,硬件的构建必须严格按照技术标准和规范实施,通过分级管理的方式,使涉密信息系统安全管理技术标准有效分类,不同等级的涉密信息系统需要配置不同的硬性设施,进而使管理的针对性和有效性更加突出。

主要参考文献 [1]孔斌.涉密信息系统检测评估综述[J].保密科学技术,2011(5):14-17. [2]孔斌.试论涉密信息系统安全保障评价[J].保密科学技术,2011(2):71-74.

[3]李元峰,蔡雅良.浅析涉密信息系统的分级保护[J].信息安全与通信保密,2008(6):78-79.

[4]刘玉林,王建新,谢永志.涉密信息系统风险评估与安全测评实施[J].信息安全与通信保密,2007(1):142-144.

[5]王杰.涉密信息系统中风险评估开展过程的研究[J].信息安全与通信保密,2009(8):103-106.

[6]蔡萍.涉密信息系统保密管理工作的思考[J].计算机安全,2013(4):90-91. [7]王典.如何实现应用系统的信息分级保护功能[J].科技信息,2013(4):302.