|
|
知识路径: > 信息系统安全 > 信息系统安全管理 >
|
|
考试要求:了解
相关知识点:13个
|
|
|
|
|
国家秘密信息是国家主权的重要内容,关系到国家的安全和利益,一旦泄露,必将直接危害国家的政治安全、经济安全、国防安全、科技安全和文化安全。没有国家秘密信息的安全,国家就会丧失信息主权和信息控制权,所以国家秘密信息的安全是国家信息安全保障体系中的重要组成部分。
|
|
|
|
|
|
涉密信息系统分级保护的对象是所有涉及国家秘密的信息系统,重点是党政机关、军队和军工单位,由各级保密工作部门根据涉密信息系统的保护等级实施监督管理,确保系统和信息安全,确保国家秘密不被泄露。因为不同类别、不同层次的国家秘密信息,对于维护国家安全和利益具有不同的价值,所以应当合理平衡安全风险与成本,采取不同强度的保护措施,这就是分级保护的核心思想。
|
|
|
|
涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级,可以划分为秘密级、机密级和机密级(增强)、绝密级三个等级。
|
|
|
|
|
|
信息系统中包含有最高为秘密级的国家秘密,其防护水平不低于国家信息安全等级保护三级的要求,并且还必须符合分级保护的保密技术要求。
|
|
|
|
|
|
信息系统中包含有最高为机密级的国家秘密。属于下列情况之一的机密级信息系统应选择机密级(增强)的要求。
|
|
|
|
(1)信息系统的使用单位为副省级以上的党政首脑机关,以及国防、外交、国家安全、军工等要害部门。
|
|
|
|
|
|
|
|
|
|
信息系统中包含有最高为绝密级的国家秘密,其防护水平不低于国家信息安全等级保护五级的要求,还必须符合分级保护的保密技术要求,绝密级信息系统应限定在封闭、安全可控的独立建筑内,不能与城域网或广域网联网。
|
|
|
|
|
|
当前,包括云计算、3G应用与移动网络、手机移动支付、RFID技术应用与安全、面临破解挑战的某些国外商业密码技术、国家和公众对网络的安全与信息净化的要求等一系列信息化应用新概念、新技术、新应用、新问题相继出现,给信息安全产业不断提出新的挑战。这其中,涉密信息系统的信息内容安全问题作为信息安全的重要组成部分,越来越受到各级政府、企事业单位信息安全管理部门的高度重视。信息化条件下的保密管理要做到“集中管控、终端不存、个人不留”,这已经成为涉密信息系统重要的安全保密标准之一。即要求建立在应用安全理念基础上,实现集中存储、集中计算、集中管理三个层次的安全,将数据及处理数据的应用集中部署于服务器端,实现应用程序集中处理秘密信息及敏感信息,处理后的数据保存在服务器端。用户终端通过网络隔离与访问控制设备和服务器端隔离,通过虚拟技术访问应用及数据,秘密信息的存储和计算均在服务器端进行,终端没有秘密信息。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
在实际工作中,涉密信息系统的定级、安全规划方案设计的实施与调整、安全运行及维护三个阶段,尤其要引起重视。
|
|
|
|
涉密信息系统要按照分级保护的标准,结合涉密信息系统应用的实际情况进行方案设计。设计时要逐项进行安全风险分析,并根据安全风险分析的结果,对部分保护要求进行适当的调整和改造,调整应以不降低涉密信息系统整体安全保护强度,确保国家秘密安全为原则。当保护要求不能满足实际安全需求时,应适当选择采用部分较高的保护要求;当保护要求明显高于实际安全需求时,可适当选择采用部分较低的保护要求。对于安全策略的调整及改造方案进行论证,综合考虑修改项和其他保护要求之间的相关性,综合分析,改造方案的实施及后续测评要按照国家的标准执行,并且要求文档化。在设计完成之后要进行方案论证,由建设使用单位组织有关专家和部门进行方案设计论证,确定总体方案达到分级保护技术的要求后再开始实施;在工程建设实施过程中注意工程监理;建设完成之后应该进行审批;审批前由国家保密局授权的涉密信息系统测评机构进行系统测评,确定在技术层面是否达到了涉密信息系统分级保护的要求。
|
|
|
|
|
|
运行及维护过程的不可控性及随意性,往往是涉密信息系统安全运行的重大隐患。必须通过运行管理和控制、变更管理和控制,对安全状态进行监控,对发生的安全事件及时响应,在流程上对系统的运行维护进行规范,从而确保涉密信息系统正常运行。通过安全检查和持续改进,不断跟踪涉密信息系统的变化,并依据变化进行调整,确保涉密信息系统满足相应分级的安全要求,并处于良好安全状态。由于运行维护的规范化能够大幅度地提高系统运行及维护的安全级别,所以在运行维护中应尽可能地实现流程固化、操作自动化,减少人员参与带来的风险。还需要注意的是,在安全运行及维护中保持系统安全策略的准确性及其与安全目标的一致性,使安全策略作为安全运行的驱动力及重要的制约规则,从而保持整个涉密信息系统能够按照既定的安全策略运行。在安全运行及维护阶段,当局部调整等原因导致安全措施变化时,如果不影响系统的安全分级,应从安全运行及维护阶段进入安全工程实施阶段,重新调整和实施安全措施,确保满足分级保护的要求。当系统发生重大变更影响系统的安全分级时,应从安全运行及维护阶段进入系统定级阶段,重新开始一次分级保护实施过程。
|
|
|
