電子政務(wù)建設(shè)與應(yīng)用中的保密管理工作

1、電 子 政 務(wù) 保 密 管 理 指 南,和靜縣國(guó)家保密局賈 俊 杰2007-8-10,主要內(nèi)容：,前言電子政務(wù)涉密信息系統(tǒng)的安全保密要求電子政務(wù)非涉密信息系統(tǒng)的保密要求電子政務(wù)信息系統(tǒng)間的安全隔離與信息交換結(jié)束語(yǔ),,,一、前 言,隨著科學(xué)技術(shù)的迅猛發(fā)展和和信息技術(shù)的廣泛應(yīng)用，特別是我國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)信息化進(jìn)程的全面加快，信息及信息系統(tǒng)已經(jīng)成為重要的戰(zhàn)略資源和戰(zhàn)略基礎(chǔ)設(shè)施。,,二、電子政務(wù)涉密信息系統(tǒng)的安全保密要求,1、涉

2、密 定位：,電子政務(wù)信息系統(tǒng)分為兩種類(lèi)型： 電子政務(wù)涉密信息系統(tǒng) 用于存儲(chǔ)、處理和傳輸國(guó)家秘密信息的電子政務(wù)信息系統(tǒng)。 電子政務(wù)非涉密信息系統(tǒng) 用于存儲(chǔ)、處理和傳輸內(nèi)部信息或公開(kāi)信息，但不得用于存儲(chǔ)、處理和傳輸國(guó)家秘密信息的電子政務(wù)信息系統(tǒng)。,,二、電子政務(wù)涉密信息系統(tǒng)的安全保密要求,,2、安全保密管理原則：,同 步 建 設(shè) 嚴(yán) 格 審 批 注 重 防 范 規(guī) 范

3、管 理,,二、電子政務(wù)涉密信息系統(tǒng)的安全保密要求,,同 步 建 設(shè) 《中共中央關(guān)于加強(qiáng)新形勢(shì)下保密工作的決定》明確提出“涉及國(guó)家秘密的通信、辦公自動(dòng)化和計(jì)算機(jī)信息系統(tǒng)的建設(shè)，必須與保密設(shè)施的建設(shè)同步進(jìn)行”,,二、電子政務(wù)涉密信息系統(tǒng)的安全保密要求,嚴(yán) 格 審 批 《涉及國(guó)家秘密的信息系統(tǒng)審批管理規(guī)定》（以下簡(jiǎn)稱(chēng)《審批管理規(guī)定》）明確提出，未經(jīng)保密工作部門(mén)審批，涉密信息系統(tǒng)不得投入使用。,,二、電

4、子政務(wù)涉密信息系統(tǒng)的安全保密要求,,注 重 防 范 涉密信息系統(tǒng)保密防范能力的強(qiáng)弱，關(guān)系到國(guó)家秘密的安全，也是涉密信息系統(tǒng)建設(shè)成敗的關(guān)鍵。,,二、電子政務(wù)涉密信息系統(tǒng)的安全保密要求,規(guī) 范 管 理 涉密系統(tǒng)的安全保密措施主要包括技術(shù)和管理兩個(gè)方面，管理以技術(shù)為依托，技術(shù)靠管理來(lái)保障，二者相輔相成，缺一不可。,,,二、電子政務(wù)涉密信息系統(tǒng)的安全保密要求,3、分 級(jí) 保 護(hù)：,涉密信息系統(tǒng)分級(jí)保

5、護(hù)是國(guó)家信息安全等級(jí)保護(hù)的重要組成部分。涉密信息系統(tǒng)根據(jù)涉密程度，按照秘密級(jí)、機(jī)密級(jí)、絕密級(jí)進(jìn)行分級(jí)保護(hù)秘密級(jí)、機(jī)密級(jí)、絕密級(jí)信息系統(tǒng)的整體防護(hù)水平分別不低于非涉密信息系統(tǒng)的第三、四、五級(jí)的要求。涉密信息系統(tǒng)的建設(shè)使用單位按照“誰(shuí)主管、誰(shuí)負(fù)責(zé)”的原則，負(fù)責(zé)本單位涉密信息系統(tǒng)的分級(jí)保護(hù)工作的具體實(shí)施。,二、電子政務(wù)涉密信息系統(tǒng)的安全保密要求,3.1系統(tǒng)定級(jí)：,《分級(jí)保護(hù)管理辦法》規(guī)定，涉密信息系統(tǒng)按照所處理信息的最高密級(jí)，由低到高劃分

6、為秘密、機(jī)密、絕密三個(gè)等級(jí)。 應(yīng)按照《保密法》、《實(shí)施辦法》和“保密范圍”的規(guī)定，結(jié)合自身的工作特點(diǎn)，根據(jù)涉密信息系統(tǒng)將要處理信息的最高密級(jí)確定系統(tǒng)的密級(jí)。確定密級(jí)必須準(zhǔn)確，避免隨意性。,,,二、電子政務(wù)涉密信息系統(tǒng)的安全保密要求,3.2泄密事件分級(jí)處置,泄密事件分級(jí)處置是指根據(jù)涉密信息系統(tǒng)發(fā)生泄密事件對(duì)國(guó)家安全和利益所造成的危害程度，采取不同的應(yīng)急處理措施，以便及時(shí)上報(bào)查處、善后補(bǔ)救、消除隱患。,,,二、電子政務(wù)涉密信息

7、系統(tǒng)的安全保密要求,4、安全保密管理全過(guò)程：,系統(tǒng)定級(jí) —— 方案設(shè)計(jì) —— 工程施工 ——系統(tǒng)測(cè)評(píng) ——系統(tǒng)審批—— 日常管理—— 測(cè)評(píng)與檢查——系統(tǒng)廢止,,二、電子政務(wù)涉密信息系統(tǒng)的安全保密要求,4、安全保密管理全過(guò)程：,4.1 日常管理 從人員管理、物理環(huán)境與設(shè)施管理、設(shè)備與介質(zhì)管理、運(yùn)行與開(kāi)發(fā)管理和信息保密管理五個(gè)方面進(jìn)行日常安全保密管理,,二、電子政務(wù)涉密信息系統(tǒng)的安全保密要求,4、安全保密管

8、理全過(guò)程：,4.1 日常管理 設(shè)備與介質(zhì)管理 應(yīng)按照安全保密法規(guī)、國(guó)家保密標(biāo)準(zhǔn)的要求，做好設(shè)備與介質(zhì)的管理工作。主要包括：采購(gòu)與選型、操作與使用、保管與保存、維修與報(bào)廢管理。,,,二、電子政務(wù)涉密信息系統(tǒng)的安全保密要求,4、安全保密管理全過(guò)程：,系統(tǒng)廢止 ——涉密系統(tǒng)不再使用時(shí)，建設(shè)使用單位應(yīng)向保密工作部門(mén)備案 ——對(duì)需要報(bào)廢的涉密設(shè)備和介質(zhì)，應(yīng)進(jìn)行信息

9、消除和載體銷(xiāo)毀處理,,三、電子政務(wù)非涉密信息系統(tǒng)的保密要求,——涉及國(guó)家秘密的信息，包括在對(duì)外交往與合作中經(jīng)審查、批準(zhǔn)與境外特定對(duì)象合法交換的國(guó)家秘密信息，不得在電子政務(wù)非涉密信息系統(tǒng)上存儲(chǔ)、處理和傳輸 ——任何單位和個(gè)人不得在電子郵件、網(wǎng)上論壇、即時(shí)通訊和博客等公共信息媒體上發(fā)布、談?wù)摵蛡鞑?guó)家秘密信息 ——在使用互聯(lián)網(wǎng)進(jìn)行信息交流時(shí)，應(yīng)當(dāng)遵守國(guó)家有關(guān)保密規(guī)定，不得在互聯(lián)網(wǎng)上傳輸、轉(zhuǎn)發(fā)或抄送國(guó)

10、家秘密信息,,三、電子政務(wù)非涉密信息系統(tǒng)的保密要求,1、保密管理原則：,控 制 源 頭 加 強(qiáng) 檢 查 明 確 責(zé) 任 落 實(shí) 制 度,,三、電子政務(wù)非涉密信息系統(tǒng)的保密要求,控 制 源 頭 ——嚴(yán)格防止涉及國(guó)家秘密的信息在電子政務(wù)非涉密信息系統(tǒng)上存儲(chǔ)、處理和傳輸 ——建立信息上網(wǎng)公開(kāi)發(fā)布前的保密審查制度 ——涉密信息不上網(wǎng)，上網(wǎng)信息不涉密,,三、電子政務(wù)非涉密信息系統(tǒng)的保密要

11、求,加 強(qiáng) 檢 查 —— 對(duì)上網(wǎng)的信息進(jìn)行經(jīng)常性檢查 —— 一旦發(fā)現(xiàn)國(guó)家秘密，要立即報(bào)告，查清來(lái)源，及時(shí)刪除，并嚴(yán)肅處理泄密人員 —— 各級(jí)保密工作部門(mén)負(fù)責(zé)本行政區(qū)域內(nèi)電子政務(wù)非涉密信息系統(tǒng)以及互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)的保密檢查工作,,三、電子政務(wù)非涉密信息系統(tǒng)的保密要求,明 確 責(zé) 任 —— 層層建立責(zé)任制，責(zé)任到人，做到“誰(shuí)上網(wǎng)、誰(shuí)負(fù)責(zé)” ——

12、 對(duì)上網(wǎng)信息的保密審查要有專(zhuān)人負(fù)責(zé)，落實(shí)領(lǐng)導(dǎo)責(zé)任 —— 保密工作部門(mén)要指導(dǎo)、督促有關(guān)單位建立責(zé)任制,,三、電子政務(wù)非涉密信息系統(tǒng)的保密要求,落 實(shí) 制 度 —— 要把有關(guān)保密管理的制度規(guī)定落到實(shí)處 —— 凡向國(guó)際聯(lián)網(wǎng)的站點(diǎn)提供或發(fā)布信息，必須經(jīng)過(guò)保密審查批準(zhǔn) —— 提供信息的單位應(yīng)當(dāng)按照一定的工作程序，健全上網(wǎng)信息保密審批制度,,三、電子政務(wù)非涉密信息系統(tǒng)的保密要

13、求,2、工作秘密的保護(hù)： 工作秘密一般是指：未列入國(guó)家秘密的范圍但擴(kuò)大知悉范圍會(huì)對(duì)機(jī)關(guān)的正常工作帶來(lái)不利影響的秘密事項(xiàng)。,工作秘密與國(guó)家秘密可能存在交叉 對(duì)于集中處理工作秘密的信息系統(tǒng)，可參照秘密級(jí)信息系統(tǒng)保護(hù)的有關(guān)要求進(jìn)行保護(hù)與管理,,四、電子政務(wù)信息系統(tǒng)間的安全隔離與信息交換,１、物理隔離 ：,2000年1月1日正式實(shí)施的《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》中明確規(guī)定：“涉及國(guó)家秘密的計(jì)算機(jī)信息

14、系統(tǒng)，不得直接或間接地與國(guó)際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相聯(lián)接，必須實(shí)行物理隔離?！?,四、電子政務(wù)信息系統(tǒng)間的安全隔離與信息交換,１、物理隔離 ：,電子政務(wù)涉密信息系統(tǒng)不得直接或間接與國(guó)際聯(lián)網(wǎng)，應(yīng)與國(guó)際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)實(shí)行物理隔離 電子政務(wù)非涉密信息系統(tǒng)應(yīng)與國(guó)際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)采取必要的邏輯隔離措施,,四、電子政務(wù)信息系統(tǒng)間的安全隔離與信息交換,１.1物理隔離 ——用戶(hù)終端的隔離方案 ：,目前國(guó)家保密局認(rèn)可的“雙布線

15、單用戶(hù)終端”物理隔離解決方案主要有： （1） 雙主板、雙硬盤(pán) （2）單主板、雙硬盤(pán) （3）單主板、單硬盤(pán),,四、電子政務(wù)信息系統(tǒng)間的安全隔離與信息交換,1.2 物理隔離——遠(yuǎn)程傳輸?shù)母綦x方案 ：,（1）在采取密碼保護(hù)措施的情況下，涉密數(shù)據(jù)遠(yuǎn)程傳輸目前可以使用獨(dú)立鋪設(shè)線路和交換設(shè)備，以及使用永久虛擬電路（PVC）兩種交換方式。 （2）在使用獨(dú)