涉密信息系統(tǒng)安全保密管理探討摘要：本文通過分析信息化條件下涉密信息系統(tǒng)保密管理與技術(shù)的關(guān)系，結(jié)合目前涉密信息系統(tǒng)保密管理的現(xiàn)狀與問題，根據(jù)涉密信息分級保護標準規(guī)范要求，從宏觀層面初步探討提出了當(dāng)前形勢下涉密信息系統(tǒng)保密管理的原則、基本思路與方法，并提出了相應(yīng)的建議。關(guān)鍵詞：涉密信息系統(tǒng)分級保護信息系統(tǒng)建設(shè)生命周期一、引言涉密計算機信息系統(tǒng)（以下簡稱涉密信息系統(tǒng)）是指涉及國家秘密和黨政機關(guān)工作秘密的計算機信息系統(tǒng)，主要包括黨政軍領(lǐng)導(dǎo)機關(guān)用于處理涉密信息的單機和用于內(nèi)部辦公自動化或涉密信息交換的信息系統(tǒng)；也包括企事業(yè)單位涉及國家秘密的信息系統(tǒng)。當(dāng)前，隨著我國黨政軍領(lǐng)導(dǎo)機關(guān)和國防科研軍工單位信息化進程的全面加快，保密管理的對象、領(lǐng)域、方式和環(huán)境發(fā)生了深刻變化，在知密范圍、涉密行為以及涉密人員的界定和管控等方面，出現(xiàn)了許多新的問題，傳統(tǒng)的保密管理措施已經(jīng)不能適應(yīng)新形勢下保密工作發(fā)展的要求，由于涉密單位的業(yè)務(wù)特殊性，如何對涉密信息系統(tǒng)進行科學(xué)有效的保密管理，已經(jīng)成為涉密信息系統(tǒng)建設(shè)使用單位急需解決的問題，迫切需要新的管理思路與辦法。二、涉密信息系統(tǒng)保密管理與技術(shù)的關(guān)系在網(wǎng)絡(luò)環(huán)境下，國家秘密的存儲、處理和流轉(zhuǎn)方式發(fā)生了根本性變化，涉密電子文件易復(fù)制、易傳播的特點，使得泄密渠道增多，一旦發(fā)生泄密情況，則擴散速度快，涉及范圍廣，且不易被發(fā)覺，危害特別大。面對信息化條件下保密工作新形勢，傳統(tǒng)的紙質(zhì)涉密文件的保密管理措施已經(jīng)不能完全適應(yīng)新形勢下保密工作發(fā)展的要求，涉密信息系統(tǒng)的保密管理亟需提升技術(shù)支撐能力。在當(dāng)前的形勢下，可以說技術(shù)與管理是涉密信息系統(tǒng)安全保障的兩個支撐要素，二者相輔相成，缺一不可：即使非常嚴密的管理，沒有技術(shù)手段支撐，也保證不了安全；無論多么先進保密技術(shù)，沒有管理措施保障，也不能發(fā)揮應(yīng)有的作用。但在具備了一定技術(shù)手段的前提下，管理則成為決定因素。因此，各涉密單位應(yīng)當(dāng)根據(jù)涉密信息系統(tǒng)自身的特點，制定出具有針對性和可操作性的管理措施，并嚴格執(zhí)行。三、涉密信息系統(tǒng)保密管理的現(xiàn)狀與問題隨著我國綜合國力不斷增強和國際戰(zhàn)略地位顯著提高，我國已成為各種情報竊密的重點目標，境內(nèi)外敵對勢力和國外情報機構(gòu)加緊對我實施全方位的信息監(jiān)測和情報戰(zhàn)略，竊密活動十分猖獗，各級黨政軍機關(guān)、國防軍工科研生產(chǎn)單位作為國家秘密的主要生成區(qū)、密集區(qū)，更是成為敵對勢力竊密的重點對象。但目前我國涉密信息系統(tǒng)建設(shè)使用單位保密管理水平比較低，與形勢的發(fā)展很不適應(yīng)，急需進一步加強。就拿航宇公司為例，該公司先后建立的涉密應(yīng)用系統(tǒng)有：OA系統(tǒng)，CAPP系統(tǒng)，ERP系統(tǒng)，檔案管理系統(tǒng)，PDM系統(tǒng)等，這些系統(tǒng)在建設(shè)、規(guī)劃和保密管理中存在的問題主要表現(xiàn)在以下幾個方面：(一)涉密信息系統(tǒng)定密的隨意性、不準確問題目前該公司很多涉密信息系統(tǒng)定密比較隨意，不準確，界定不清楚，甚至很多涉密人員都不清楚自己管理的應(yīng)用系統(tǒng)的密級別。究其原因主要是沒有嚴格確定定密責(zé)任，缺乏專業(yè)定密人員，定密依據(jù)不夠明確和細化，定密程序不規(guī)范等。(二)涉密信息系統(tǒng)安全保密工作“重技術(shù)、輕管理”的現(xiàn)象比較突出目前公司很多涉密信息系統(tǒng)的安全保密方案只注重安全保密技術(shù)建設(shè)，過于依賴技術(shù)來實現(xiàn)保密要求，而忽略保密管理的重要性。由于缺乏有針對性的保密管理措施進行有機整合，所有的安全保密措施只是產(chǎn)品的簡單堆砌，使得整個安全保密方案先天性不足。眾所周知，如果沒有強有力的管理來支持，再好的技術(shù)防范措施都會大打折扣，再好的技術(shù)防范產(chǎn)品也將成為擺設(shè)，因此涉密信息系統(tǒng)安全保密工作的重點還是在于管理。（三）涉密信息系統(tǒng)建設(shè)生命周期“重建設(shè)、輕監(jiān)管”通常情況下，我們將信息系統(tǒng)建設(shè)生命周期（SDLC）劃分為五個階段：規(guī)劃需求階段、設(shè)計開發(fā)階段、實施階段、運行維護階段、廢棄階段。也就是說，系統(tǒng)是不斷變化的，安全保密工作也應(yīng)隨之發(fā)生變化，各個階段安全保密要求不同，每個階段都應(yīng)制定相應(yīng)的保密制度，并落實執(zhí)行、監(jiān)管。由于公司很多應(yīng)用項目都是和第三方公司合作，而這些公司可能存在著對系統(tǒng)建設(shè)生命周期各階段的保密標準的具體要求把握不準的情況，使得工程實施各階段沒有嚴格執(zhí)行保密要求或者與安全保密建設(shè)不同步情況時有發(fā)生，而這一塊我們又缺乏最起碼的監(jiān)管手段，從而給系統(tǒng)增加了安全隱患。舉個例子，在涉密信息系統(tǒng)經(jīng)過保密審批投入運行后，由于一般都是由系統(tǒng)建設(shè)使用單位的信息化部門在負責(zé)日常的運行維護。但信息使用和管理的保密要求。涉密信息系統(tǒng)分級保護是國家信息安全等級保護的重要部分，其核心思想是“從實際出發(fā)，綜合平衡安全成本和風(fēng)險，優(yōu)化信息安全資源的配置，確保重點?！币虼耍婷苄畔⑾到y(tǒng)應(yīng)該遵循國家保密標準規(guī)范，在分級保護的框架下，按照“規(guī)范定密，準確定級；分域分級，科學(xué)防護；風(fēng)險評估，動態(tài)調(diào)整；技管并重，全面保障”的基本思路進行保密管理，具體方法為：(一)涉密信息系統(tǒng)應(yīng)該嚴格按照以系統(tǒng)分域定級、方案設(shè)計、工程實施、系統(tǒng)測評為中心環(huán)節(jié)的操作流程，積極組織開展涉密信息系統(tǒng)建設(shè)工作1．涉密信息系統(tǒng)建設(shè)使用單位應(yīng)按照信息密級、行政級別、業(yè)務(wù)類別、系統(tǒng)重要性和安全策略等因素劃分安全域，并根據(jù)各安全域所處理信息的最高密級確定等級。2．涉密信息系統(tǒng)建設(shè)使用單位應(yīng)選擇具有涉密信息系統(tǒng)集成資質(zhì)單位進行承建，結(jié)合國家保密標準BMBl7—2006《涉及國家秘密的信息系統(tǒng)分級保護技術(shù)要求》和BMB20--2007《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》等相關(guān)標準，在風(fēng)險評估的基礎(chǔ)上，從技術(shù)和管理兩個方面進行綜合設(shè)計。保密工作部門應(yīng)當(dāng)參與方案審查論證，在系統(tǒng)總體安全保密性方面加強指導(dǎo)，嚴格把關(guān)。3．涉密信息系統(tǒng)建設(shè)使用單位應(yīng)按照BMBl8--2006《涉及國家秘密的信息系統(tǒng)工程監(jiān)理規(guī)范》進行工程監(jiān)理。在進行工程監(jiān)理時，應(yīng)選擇具有涉密工程監(jiān)理單項資質(zhì)的單位或組織自身力量加強監(jiān)督檢查。4．涉密信息系統(tǒng)在投入使用前，經(jīng)過保密工作部門授權(quán)測評機構(gòu)的安全保密測評和保密工作部門審批。涉密信息系統(tǒng)建設(shè)使用單位應(yīng)按照測評機構(gòu)的要求，提交測評所需的必要資料，并配合系統(tǒng)測評工作。(二)涉密信息系統(tǒng)建設(shè)使用單位應(yīng)該整合保密部門、信息化建設(shè)部門和其他相關(guān)部門力量，密切合作，各負其責(zé)，形成合力共同加強系統(tǒng)的保密管理工作1．在系統(tǒng)定級方面，保密部門發(fā)揮準確掌握國家保密政策的優(yōu)勢，與信息化部門、業(yè)務(wù)工作部門一起研究確定系統(tǒng)和安全域所處理信息的最高密級，從而確定保護等級。2．在方案設(shè)計方面，信息化部門利用熟悉技術(shù)的特點，按照分級保護技術(shù)要求和管理規(guī)范，組織開展分級保護方案的設(shè)計工作。保密部門應(yīng)對總體方案進行監(jiān)督、檢查和指導(dǎo)，組織專家進行評審論證。3．在工程實施方面，信息化部門應(yīng)具體承擔(dān)組織實施工作，并定期與保密部門對安全保密措施落實情況和工程進展情況監(jiān)督、檢查。4．在系統(tǒng)工程施工結(jié)束后，保密部門負責(zé)組織系統(tǒng)測評和系統(tǒng)審批工作，信息化部門密切配合。5．在系統(tǒng)投入運行后，保密、信息化、密碼、業(yè)務(wù)工作、保衛(wèi)和人事等有關(guān)部門應(yīng)按照“分工合作、各司其責(zé)”的原則，在滿足基本管理要求的基礎(chǔ)上，主要從人員管理、物理環(huán)境與設(shè)施管理、設(shè)備與介質(zhì)管理、運行與開發(fā)管理和信息安全保密管理五個方面抓好系統(tǒng)應(yīng)用中的日常管理，積極開展風(fēng)險評估和保密監(jiān)督檢查，并做好系統(tǒng)廢止階段的善后工作。六、涉密信息系統(tǒng)安全保密建議（一）要樹立起有效控制的思想。保密的實質(zhì)是什么？筆者認為保密的實質(zhì)就是控制，要做到國家秘密在任何時候、任何情況下都受控。而做好控制的最有效方法就是盡一切可能縮小知悉范圍，做到知悉必須以工作需要為原則。為檢驗控制的效果，則要做好全程登記工作，將所有知悉國家秘密的人和情況記錄在案，做到可查、可追溯。（二）要建立起一個高效的保密機制。保密工作機制就是將保密工作各相關(guān)要素組合在一起，通過各要素之間的相互聯(lián)系、相互制約、相互作用，使其向既定的保密工作目標自行運轉(zhuǎn)。比如保密資格認證制度就是一個好的機制。它將軍工單位承擔(dān)武器裝備科研生產(chǎn)任務(wù)與保密緊密聯(lián)系起來，與單位生存發(fā)展緊密聯(lián)系起來，通過開展達標活動，使保密工作按照相關(guān)標準的要求自行運轉(zhuǎn)。在單位內(nèi)部，將各項保密要求制定成保密檢查標準，通過定期檢查，量化打分，發(fā)現(xiàn)和改進企業(yè)保密管理的薄弱環(huán)節(jié)，同時將每位涉密人員平時的保密工作情況納入年度綜合考評，與其晉級、晉職、獎懲等緊密聯(lián)系起來，激勵每一位涉密人員自覺地做好保密工作。建立這樣一個能夠自行運轉(zhuǎn)的系統(tǒng)，將從根本上解決做好保密工作的動力問題，由過去的讓我做變成我要做，促使軍工單位保密工作發(fā)生質(zhì)的變化。（三）要抓好保密工作三大體系建設(shè)保密工作三大體系是指：保密組織管理體系，保密法規(guī)制度體系，保密技術(shù)防護體系。保密是一項管理工作，是需要有職能部門和專職人員開展的工作，且必須有經(jīng)費的保障，建立保密組織管理體系是做好保密工作的基本條件和基本保障。保密法規(guī)制度是做好保密工作的重要基礎(chǔ)和前提。保密法規(guī)制度體系的建立要做到各類涉密事項和任何涉密活動都有制度進行約束和控制。保密技術(shù)防護體系是做好保密工作的重要手段和措施。要將涉密區(qū)域和要害部門部位通過技術(shù)手段全面控制起來。安裝必要的電視監(jiān)控系統(tǒng)、門禁系統(tǒng)、區(qū)域紅外報警系統(tǒng)等。（四）要重視安全保密的管理工作隨著信息安全技術(shù)的發(fā)展，信息安全產(chǎn)品正在向智能、整合和管理方向發(fā)展，未來的涉密信息系統(tǒng)安全保密技術(shù)防范方案將會越來越完善。同時我們也應(yīng)該注意到，如果沒有強有力的管理來支持，再好的技術(shù)防范措施都會大打折扣，再好的技術(shù)防范產(chǎn)品也將成為擺設(shè)，因此涉密信息系統(tǒng)安全保密工作的重點還是在于管理，需要制定切實可行的規(guī)章制度，定期進行涉密信息系統(tǒng)的安全保密檢查，發(fā)現(xiàn)問題及時整改，并嚴肅處理違規(guī)的責(zé)任人，從而不斷強化員工的安全保密意識，使員工能夠自覺遵守企業(yè)安