第三讲学习新《保密法》做好信息化建设保密工作

第三讲学习新《保密法》做好信息化建设保密工作第三讲学习新《保密法》做好信息化建设保密工作三台县国家保密局唐瑞荣 2010.9

目录一、前言二、新保密法的第一亮点三、电子政务保密管理四、分级保护管理规范五、当前主要问题与对策

一、前言 • 保密法修订的主要目标就是要依法加强对国家秘密的保护。 • 国家秘密是国家安全和利益的一种信息表现形式，也是国家的重要战略资源。 • 国家秘密一旦泄露，必将直接危害国家的政治安全、经济安全、国防安全、科技安全和文化安全，直接损害广大人民群众的根本利益。 • 保守国家秘密是一种国家行为，也是一种国家责任。 • 保密能力是国家能力的重要体现和保障。

一、前言 • 近年来,随着国际国内形势变化，特别是信息化建设快速推进，保密工作中出现了许多新情况新问题，需要对现行法律进行修改完善。国家秘密的存在形态和运行方式发生巨大变化，涉密载体由纸介质形式为主发展到声、光、电、磁等多种形式，泄密的渠道增多、风险加大、危害加重，亟需对现代通信和互联网条件下存储、处理和传输国家秘密的规定进行补充完善。

二、新保密法的第一亮点 即：计算机网络保密管理有了硬措施。 • 一是实行分级保护，计算机信息系统要按照涉密程度不同，采取不同强度的管理措施。 • 第二十三条　存储、处理国家秘密的计算机信息系统（以下简称涉密信息系统）按照涉密程度实行分级保护。

二、新保密法的第一亮点 即：计算机网络保密管理有了硬措施。 • 二是强化技术防护，保密技术设施、设备要按照国家标准配备，并与涉密信息系统同步规划、同步建设、同步运行。 • 第二十三条（第二款）涉密信息系统应当按照国家保密标准配备保密设施、设备。保密设施、设备应当与涉密信息系统同步规划，同步建设，同步运行。 • 　（第三款）涉密信息系统应当按照规定，经检查合格后，方可投入使用。

二、新保密法的第一亮点 即：计算机网络保密管理有了硬措施。 • 三是明确列举禁止事项，如不得将涉密计算机和涉密存储设备接入互联网及其他公共信息网络等。 • 第二十四条　机关、单位应当加强对涉密信息系统的管理，任何组织和个人不得有下列行为： • 　　（一）将涉密计算机、涉密存储设备接入互联网及其他公共信息网络； • 　　（二）在未采取防护措施的情况下，在涉密信息系统与互联网及其他公共信息网络之间进行信息交换；

二、新保密法的第一亮点 • （三）使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息； • 　（四）擅自卸载、修改涉密信息系统的安全技术程序、管理程序； • 　（五）将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途。

二、新保密法的第一亮点 即：计算机网络保密管理有了硬措施。 • 四是明确网络运营商、服务商的法律责任，主要是配合有关机关调查泄密事件，发现泄密事件要及时报告。 • 第二十八条　互联网及其他公共信息网络运营商、服务商应当配合公安机关、国家安全机关、检察机关对泄密案件进行调查；发现利用互联网及其他公共信息网络发布的信息涉及泄露国家秘密的，应当立即停止传输，保存有关记录，向公安机关、国家安全机关或者保密行政管理部门报告；应当根据公安机关、国家安全机关或者保密行政管理部门的要求，删除涉及泄露国家秘密的信息。

三、电子政务保密管理 • 2007年3月，国家保密局、国务院信息化工作办公室制定《电子政务保密管理指南》，把电子政务的信息系统分为电子政务涉密信息系统和电子政务非涉密信息系统两种类型，并分别对其安全保密要求作了详细的描述。

三、电子政务保密管理 涉密信息系统定义涉密信息系统是指由计算机及其相关和配套设备、设施构成的，按照一定的应用目标和规则存储、处理、传输国家秘密信息的系统或者网络。电子政务信息系统分类电子政务涉密信息系统用于存储、处理和传输国家秘密信息的电子政务信息系统。涉密信息系统的分级绝密级、机密级(机密增强)、秘密级(工作秘密参照)。

三、电子政务保密管理 • 电子政务非涉密信息系统用于存储、处理和传输内部信息或公开信息，但不得用于存储、处理和传输国家秘密信息的电子政务信息系统。网络的分类电子政务内网、专网、政务外网、网站。涉密非密

三、电子政务保密管理 电子政务涉密信息系统需按照“同步规划建设，严格审批，注重防范，规范（依法）管理”要求进行建设和运行。 1、同步规划和建设涉密信息系统必须与保密设施同步规划和建设，在系统、信息、介质和场所等方面进行整体防护。 2、严格审批涉密信息系统建设使用单位需按要求履行审批手续，保密行政管理部门应严格按照《涉及国家秘密的信息系统审批管理规定》对涉密信息系统进行审批。

三、电子政务保密管理 3、注意防范涉密信息系统从建设到投入使用都必须突出保密防范。 4、规范（依法）管理涉密信息系统的安全保密措施：1.技术，2.管理；管理以技术为依托，技术靠管理来保障。

三、电子政务保密管理 电子政务非涉密信息系统的保密管理工作，重点是加强对信息上网前的保密审查和对已上网信息的保密检查，防止涉及国家秘密的信息上网。基本原则：控制源头加强检查明确责任落实制度

三、电子政务保密管理 • 工作秘密的保护工作秘密一般是指：未列入国家秘密及其密级具体范围的事项，但扩大知悉范围会对机关的正常工作带来不利影响的工作秘密事项。在涉密信息系统中（电子政务内网）参照分级保护秘密级保护在非涉密信息系统中（电子政务外网）实行等级保护三级保护

我国信息安全等级保护与涉密信息系统分级保护关系我国信息安全等级保护与涉密信息系统分级保护关系

三、电子政务保密管理 • 四川党政网（政务内网）按照涉密网络建设和管理，与政务外网、互联网和其他公共网络物理隔离。目前党政网未达到分级保护技术要求，不得传输、处理涉密信息。涉密局域网建设与党政网逻辑隔离并达到分级保护要求（经审批）的，可在局域网内处理同等级别的涉密信息。

四、分级保护管理规范 • 2006年1月，国家保密局印发《涉及国家秘密的信息系统分级保护管理办法》，指出涉密信息系统的建设使用单位根据分级保护管理和有关标准，对涉密信息系统分等级实施保护。明确系统分级、系统保护和系统监管。同时发布《涉及国家秘密的信息系统分级保护技术要求》（BMB17-2006），规范涉密信息系统等级的划分、涉密信息系统基本技术保护要求。分别对秘密级、机密级（增强型）、绝密级信息系统保护要求。从物理安全、运行安全、信息安全保密三方面作出技术规范。

四、分级保护管理规范 • 2007年4月，国家保密局发布《涉及国家秘密的信息系统分级保护管理规范》（BMB20-2007），规范涉密信息系统分级保护管理全过程，基本管理要求。系统定级、方案设计、工程实施、系统测评、系统审批、日常管理、测评与检查和系统废止八个方面进行了规范。

四、分级保护管理规范 • 2008年5月，国家保密局发布《涉及国家秘密的信息系统分级保护方案设计指南》（BMB23-2008）提出了涉密信息系统分级保护方案主要内容：系统及其安全域定级、系统分析、安全保密风险分析、安全保密需求分析、安全保密需求分析、方案总体设计、方案详细设计、残留风险控制、实施计划、经费概算、相关附件。

信息定密 系统定级《保密法》《分级保护管理办法》《定密范围》《分级保护技术要求》风险评估、需求分析方案设计论证— — — 系统定级— — — 资质单位的选择(WWW.zizhi.com.cn) 甲级全国乙级本省（自治区、直辖市）单项全国（软件开发、综合布线、系统服务、系统咨询、工程监理、风险评估、屏蔽室建设、数据恢复、保密安防监控、军工系统集成）

国家保密局涉密信息系统安全保密测评中心及分中心进行系统测评国家保密局涉密信息系统安全保密测评中心及分中心进行系统测评给出测评结论并报保密工作部门备案方案设计论证— — 依据《方案设计指南》《分级保护技术要求》《分级管理规范》设计建设使用单位组织专家论证审批的保密部门派人参加组织实施、工程监理自身组织监理、资质公司监理工程实施— — — — 系统测评— — — —

地（市）以上保密工作部门审批 中央国家机关保密工作机构初审，报国家保密局审批跨地域的由上一级保密工作部门审批（审批完成后方可报工程竣工验收）系统运行与维护系统管理、信息与介质管理、人员管理; 系统管理员、安全保密管理员、安全审计员（三权分立）系统审批— — — 日常保密管理— —

各级保密工作部门组织进行的保密技术检查 （发现问题、堵塞漏洞、消除隐患）安全保密评估自评估检查评估系统使用单位自行开展委托风险评估资质单位进行保密工作部门组织涉密信息系统测评机构进行保密监督检查— — （完善措施适应需求和技术发展）系统废止— — — 向保密工作部门备案按规定处理涉密设备、介质、资料

五、当前主要问题与对策

主要问题 • 一、涉密信息系统分级保护工作实施缓慢 1、涉密信息系统与非涉密信息系统界定不清； 2、绝大部分涉密信息系统没有达到分级保护要求； 3、重应用、轻防护；只防外、不防内。

主要问题 • 二、涉密计算机、涉密信息设备直接、间接接入互联网络 1、宽带、ADSL直接上网，硬盘信息被盗； 2、通过手机、有线电话拨号上网，被植入木马； 3、使用MP3、MP4、照相卡等，摆渡木马盗走信息。

主要问题 • 三、非涉密计算机、非涉密信息设备中存储、处理涉密信息 1、如电子政务内外网都有存储、处理涉密信息； 2、办公室、打印室计算机、打印机涉密与非涉密不分； 3、笔记本电脑存有涉密信息，随处上网。

主要问题 • 四、涉密计算机与非涉密计算机信息随意交换 1、移动存储介质交叉使用； 2、涉密计算机互联网上下载，杀病毒（库）软件升级； 3、低密级计算机处理高密级信息。

主要问题 • 五、其他 1、在涉密场所连接互联网的计算机上配备或安装麦克风、摄像头等音频视频输入设备； 2、使用具有无线互联功能或配备无线键盘、无线鼠标等外围装置的信息设备处理国家秘密信息； 3、擅自卸载涉密计算机上的安全保密防护软件或设备； 4、退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途。

对策认真学习新《保密法》，遵照执行国家保密局印发的《信息系统和信息设备使用保密管理规定》（三保【2010】1号转发）机关、单位按照“谁主管谁负责、谁使用谁负责”的要求，负责本机关、单位信息系统和信息设备使用保密管理工作。

对策 • 保密法第四条　保守国家秘密的工作，实行积极防范、突出重点、依法管理的方针，既确保国家秘密安全，又便利信息资源合理利用。第七条　机关、单位应当实行保密工作责任制，健全保密管理制度，完善保密防护措施，开展保密宣传教育，加强保密检查。

对策 • 保密法第十四条　机关、单位对所产生的国家秘密事项，应当按照国家秘密及其密级的具体范围的规定确定密级，同时确定保密期限和知悉范围。第十七条　机关、单位对承载国家秘密的纸介质、光介质、电磁介质等载体以及属于国家秘密的设备、产品，应当做出国家秘密标志。　　不属于国家秘密的，不应当做出国家秘密标志。（国家秘密标志具有的专用性）

对策 • 保密法第二十七条　报刊、图书、音像制品、电子出版物的编辑、出版、印制、发行，广播节目、电视节目、电影的制作和播放，互联网、移动通信网等公共信息网络及其他传媒的信息编辑、发布，应当遵守有关保密规定。（涉密信息不上网，上网信息不涉密）

对策 1、定为涉密信息系统的尽快作出分级保护建设规划，确定系统级别，实施网络安全集成，即按分级保护方案设计指南、技术要求进行方案设计、论证、预算、工程实施、系统测评、审批、发证。联电子政务内网的，通过审批后在自己的子网中运行涉密信息。

对策 2、无涉密网络建设基础的单位，一律采取单机处理涉密信息，并卸载网络联接系统或网卡，控制输入输出口。联接电子政务内网的计算机按涉密计算机管理，与互联网和其他公共网络物理隔离，并控制输入输出口。强制实施违规外联阻断系统，凡是要求与互联网实行物理隔离的计算机（包括与电子政务内网相联的网络及终端、单机、涉密笔记本电脑）都必须户籍登记和安装外联阻断软件，彻底杜绝涉密计算机违规上互联网的行为。

对策 3、推行涉密移动存储介质管理系统及使用专用介质（U盘、硬盘），防止人为的将涉密和非涉密的介质交叉使用。互联网下载信息或非涉密工作信息需要输入涉密网络或涉密单机的，一律采取刻光盘单向导入（实际上采用了专用介质管控软件的计算机，已不识别其它介质，USB口得到控制）。目前，物理隔离卡+光单向导入技术的信息安全输入卡已通过国家有关部门检测，即将推广使用，可不用刻盘导入。光单向导入装置也很快出炉。

对策 4、在现运行状况下，为防止联接电子政务内网的单位办公网络工作秘密（可能有涉密信息）泄漏，其网内又没有达分级保护要求的，首先，完善保密管理制度，教育内部人员的遵守，开展办公网络的安全检查检测，清除涉密信息，把目前的安全风险和泄密隐患降至最低。其次，应安装安全可靠的逻辑隔离信息交换设备，使本单位办公网络与电子政务内网间的信息安全交换问题处理好。

对策 5、涉密计算机、涉密设备标注标志，不得有上网记录；涉密U盘、移动硬盘建立台帐，有使用记录；非涉密计算机、 U盘、移动硬盘清除涉密信息（工作秘密酌情），恢复检查无痕迹；涉密计算机与非涉密计算机不得共用打印机等带有存储功能设备。

对策省、市（州）保密部门已建保密技术平台 • 涉密计算机户籍管理与违规外联阻断告警系统平台 • 涉密移动存储介质管控系统平台 • 政府互联网门户网站保密检查平台 • 重要涉密单位互联网出口检查检测平台加强对涉密、非涉密计算机的管控和检查

结束语 • 通过学习保密法，提高保密意识和保密能力，认真履行保密责任和义务。在广大公民中深入开展保密法宣传教育，以切实增强公民保密意识，牢固树立保守国家秘密人人有责、国家安全和利益高于一切的观念，为贯彻实施保密法营造良好的社会环境。

三台县国家保密局 • 电话: 5336572 • 6537100 • 电子邮箱: bmj6537100@163.com • Q Q 邮箱: 1627043876

第三讲 学习新 《 保密法 》 做好信息化建设保密工作