位置:首页 >> 法律法规 >> 内容

保密知识简明读本(第四部分35-40)

时间:2013-3-8 9:45:11  
点击:3971    作者:    来源:    【字号: 】【打印


                       第四部分

                       涉密计算机和网络

      35 移动存储介质为什么不得在涉密计算机和非涉密计算机之间交叉使用?

      移动存储介质在非涉密计算机上使用时,有可能被植入"木马"等窃密程序。当这个移动存储介质又在涉密计算机上使用时,"木马"窃密程序会自动复制到涉密计算机中,并将涉密计算机中的涉密信息打包存储到移动存储介质上。当移动存储介质再次接入到连接互联网的计算机时,涉密信息就会被自动发往指定主机上,造成泄密。

      将非涉密信息复制到涉密计算机,应对复制的数据进行病毒查杀,并采取必要的技术防护措施,使用一次性光盘或经过国家保密行政管理部门批准的信息单向导入设备。

      知识链接

      2010年年底,某国下令禁止在连接国防部涉密网络的计算机上使用移动存储介质,并采取技术手段限制涉密计算机向移动设备复制文件,同时禁止全军使用CD光盘及USB移动存储介质,违者将以军法论处。

      36 非涉密计算机为什么不得存储、处理和传输涉密信息?

      非涉密计算机缺乏保密技术防护措施,如果存储、处理涉密信息,很可能通过互联网等公共信息网络或其他移动存储介质泄露,为他人特别是境外情报机构获取涉密信息提供可乘之机。

      37 机关、单位涉密网络安全保密技术防护有哪些保密要求?

      机关、单位应当采取下列措施,加强涉密网络安全保密技术防护:

      (1)采取身份鉴别措施,有效防范非授权用户登录服务器、终端、应用系统以及安全保密设备;

      (2)采取访问控制措施,有效防范用户对信息的越权访问;

      (3)采取安全审计措施,准确记录用户和管理人员的操作行为,有效监控违规操作;

      (4)采取边界安全防护措施,有效防范违规接入、违规外联和移动存储介质交叉使用等行为;

      (5)采取信息流转控制措施,防止高密级信息流人低密级网络或者安全域。

      38 机关、单位规划建设涉密网络有哪些保密要求?

      机关、单位规划建设涉密网络,应当按照同步规划、同步建设、同步运行的要求,根据国家保密规定和标准,制定分级保护方案,采取身份鉴别、访问控制、安全审计、密码保护等技术措施。涉密网络建设项目评估,应当有保密行政管理部门人员参加。

      项目审批部门应当将涉密网络建设项目的批复文件抄送同级保密行政管理部门。

      涉密网络建设完成后,应当经保密行政管理部门审批,方可报项目审批部门组织竣工验收。

      39 机关、单位涉密网络使用管理有哪些保密要求?

      机关、单位应当采取下列措施,加强涉密网络使用保密管理:

      (1)与互联网及其他公共信息网络实行物理隔离;

      (2)统一采购、登记、标识、配备信息设备,并明确使用管理责任人;

      (3)依据岗位职责严格设定用户权限,按照最高密级防护和最小授权管理的原则,控制国家秘密信息知悉范围;

      (4)严格规范文件打印、存储介质使用等行为,严格控制信息输出;

      (5)加强对用户操作记录的综合分析,及时发现违规或异常行为,并采取相应处置措施;

      (6)将互联网及其他公共信息网络上的数据复制到涉密网络,应当采取病毒查杀、单向导入等防护措施;

      (7)指定在编人员担任系统管理员、安全保密管理员、安全审计员,分别负责系统运行维护、安全保密管理和安全审计工作;

      (8)涉密网络建设和运行维护服务外包的,应当选择具有相应涉密信息系统集成资质的单位,签订保密协议,落实保密管理措施。

      知识链接

      2010年7月到11月,专门揭露大公司和政府机密的"维基揭秘"网站,先后获取了数十万份阿富汗、伊拉克战争中的相关军事文件和外交电文,并陆续公布,引爆最大泄密事件,泄密内容、涉及多个国家。

      在"维基揭秘"事件中泄露的美军涉密文件,是由美军的一名情报分析员曼宁,以其合法身份进入内部涉密网,利用网络缺陷和管理漏洞大量下载涉密信息,并传给了"维基揭秘"网站。而美军对超出访问授权、网络异常流量、信息异常下载、数据异常导出等诸多情况未能及时发现,导致这起严重泄密事件的发生。

      40 机关、单位互联网使用管理有哪些保密要求?

      机关、单位互联网使用管理有以下保密要求:

      (1)建立互联网接入审批和登记制度,严格控制互联网接入口数量和接入终端数量。中央和国家机关各部门互联网接入口数量原则上不超过两个,省级以下党政机关逐步实现互联网集中接入。

      (2)建立健全信息发布保密审查制度,指定机构和人员负责拟在互联网发布信息的保密审查,并建立审查记录档案。

      保密审查应当坚持一事一审、全面审查,确保发布的信息不涉及国家秘密,并综合分析信息关联性,防止因数据汇聚涉及国家秘密。

      (3)指定机构和人员负责本机关、本单位网站的信息发布、留言评论、博客信息等的保密管理,发现涉及国家秘密的信息,应当立即予以删除,并向同级保密行政管理部门报告。

      (4)严禁通过互联网电子邮箱、即时通信工具等办理涉密业务,或者存储、处理、传递国家秘密信息。

      知识链接

      有的国家早在2005年4月就公布首份政策备忘录,宣布对军人上网发布信息实行管制。规定军人在博客中不得发表任何有可能造成不良影响的信息,尤其是涉及政治、军事的敏感信息,甚至不能提及当前发生、正在调查研究中的事件,或者泄露伤亡军人的姓名。士兵在互联网上发布信息前须向上级指挥官报告。

  • 版权所有:辽宁省国家保密局          未经许可不得复制转载

    主办:辽宁省国家保密局      承办:辽宁省国家保密局

    技术支持:辽宁省工业和信息科学研究院

  • 你是第 3189222 位访问者