1、1涉密计算机安全策略文件文件一、概述为加强公司的保密工作,维护国家和公司的安全利益。以“谁主管谁负责、谁运行谁负责、谁使用负责”的工作原则,实行积极防范,突出重点、依法管理,既确保国家秘密又便利各项工作的方针。根据中华人民共和国保守国家秘密法结合公司实际情况,制定本策略文件。涉密计算机及信息系统安全策略文件是公司计算机和使用人员必须遵循的信息安全行为准则。由公司保密办公室制订发布,并组织公司相关人员学习与贯彻。二、 策略本策略文件主要包括:物理和环境安全策略、运行管理策略、信息安全策略、安全保密产品安全策略、涉密移动存储介质策略、计算机病毒与恶意代码防护策略、身份鉴别策略、安全审计策略、其他安
2、全策略。1、 物理和环境安全策略计算机信息和其他用于存储、处理或传输信息的物理设施,对于物理破坏来说是易受攻击的,同时也不可能完全消除这些风险。因此,应该将这些信息及物理设施放置于适当的环境中并在物理上给予保护使之免受安全威胁和环境危害。1) 应该对计算机介质进行控制,涉密机的 USB-Key 必须进行物理保2护;2) 涉密笔记本待用时,必须存放在密码柜中;3) 对设备应该进行保护,定期检查电源插排,防止电力异常而造成损坏等保护措施;4) 对计算机和设备环境应该进行监控,检查环境的影响因素,温度和湿度是否超过正常界限(正常工作室温:1035;相对湿度:35%80%) ;5) 设备应该按照生产商
3、的说明进行有序的维护与保养;2、 运行管理策略为避免信息遭受人为过失、窃取、欺骗、滥用的风险,应当识别计算机及信息系统内部每项工作的信息安全职责,并补充相关的程序文件。公司全体相关人员都应该了解计算机及系统的网络与信息安全需求。1) 信息设备和存储介质应当具有标识、涉密的应当标明密级,非密的应当标明用途;2) 涉密计算机应当与内部非涉密网络和互联网计算机实行物理隔离;3) 只有指定的涉密人员才能访问秘密、关键信息并处理这些信息;4) 禁止使用非涉密的计算机和存储介质存储和处理涉密信息;5) 未经保密办审批,禁止对计算机系统格式化或重装系统;6) 涉密人员在使用白名单软件时可以自行修改安装,但名
4、单以外的软件必须事先通过保密办的审批;37) 当涉密人员离开公司时应该移交信息系统的访问权限,或涉密人员在公司内部更换工作岗位时应该重新检查并调整其访问权限3、 信息安全策略为保护存储计算机的数据信息的安全性、完整性、可用性,保护系统中的信息免受恶意的或偶然的篡改、伪造和窃取,有效控制内部泄密的途径,防范来自外部的破坏,制订以下安全措施。1) 设置屏幕保护,要求设置保护时间为 10 分种,恢复时有密码保护;2) 终端计算机禁止安装多启动操作系统,只能安装一个操作系统;3) 及时安装操作系统、数据库、应用程序的升级补丁;4) 禁用终端危险服务(包括远程注册表管理、共享服务、终端服务等) ;5)
5、拆除便携式移动计算机中具有无线联网功能的硬件模块;6) 涉密计算机应配备电磁泄露发射防护装置;7) 非涉密机向涉密机导入信息时,必须通过非涉密中间机转换并一次性写入光盘导入的方式;8) 涉密机之间导入导出信息时,须采用一次性写入光盘,也可申请使用单项导入设备;4、 安全保密产品安全策略为了构建计算机良好的安全保密环境,每台涉密机都必须安装有安全保密产品。通过硬件、软件俩个方面多角度的保护涉密机的信息安全。41) 安全保密产品主要包括“三合一”安全系统、主机审计系统、防辐射干扰器等相关保密产品。2) 提供安全保密产品的单位必须具备相应的保密资质和相关产品的检测证书;3) 任何需求安装安全保密产品
6、的部门,保密办都须直接参与,并由保密办办理相关手续后,即可使用;4) 安全保密产品一旦安装,未经批准任何人不可私自修改、卸载;5) 按照要求正确使用安全保密产品,如有问题可以随时询问计算机安全管理员;6) 凡是安全保密产品涉及到的 USB-Key、遥控器、单项导入盒等,相关负责人使用完毕后应尽快放入密码柜中妥善保管; 5、 涉密移动存储介质策略涉密移动存储介质是指以文字、数据、符号、图形、图像、声音等方式记载国家秘密信息的存储介质载体,包括计算机硬盘、软盘、U 盘、光盘、磁带、存储卡及其它具有存储功能的各类介质。1) 涉密移动存储介质包括:计算机硬盘、软盘、闪盘、U 盘、光盘、磁带、存储卡、录
7、音笔等具备存储功能的介质;2) 涉密移动存储介质应遵循“统一购买、统一标识、严格登记、集中管理”的原则,涉密移动存储介质应统一保存在由专人管理的密码柜中;3) 未经批准禁止携带涉密移动存储设备外出以及出境;4) 涉密移动存储介质禁止在互联网机和非涉密机使用,计算机安全5管理员会对涉密移动存储介质定期进行保密技术检查;5) 涉密移动存储介质不得越级和降低密级使用;6、 计算机病毒与恶意代码防护策略病毒防范包括预防和检查病毒(包括实时扫描/过滤和定期检查),主要内容包括:1) 控制病毒入侵途径,外来资料必须进过安全杀毒后才能使用;2) 安装可靠的防病毒软件,公司杀毒软件使用 360 杀毒系统;3)
8、 对系统进行实时检测和过滤,执行检测和过滤的过程以自查为主,发现问题及时向计算机管理员报告;4) 定期杀毒并及时查杀(涉密机每半个月一次,非涉密机每月一次)5) 计算机安全管理员应及时对发现的病毒进行处理并记录,查杀不了的及时向有关部门报告;6) 防病毒软件的安装和使用由计算机安全管理员执行;7、 身份鉴别策略每台计算机都应该指定专门的使用和负责人,非工作需要,禁止他人登录使用。为保证计算机不被他人违规使用,制订以下措施:1) 涉密计算机需要分别设置 BIOS 密码、系统开机密码、屏幕保护三重密码;2) 采用有效的口令保护机制,包括:规定口令的长度、有效期、口令规则(密码由大小写字母、数字、符
9、号组成,且长度达到 106位) 。保障用户登录和口令的安全;3) 用户选择和使用密码时应参考良好的安全惯例,不得以生日、名字、身份证号做为密码的参考;4) 严格控制可以物理接触重要设备的人员,非我公司的涉密人员或者维护人员严禁为涉密机安装第三方软件和硬件;8、 安全审计策略计算机及信息系统的信息安全审计活动和风险评估应当定期执行。特别是系统建设前或系统进行重大变更之前,必须进行风险评估工作。1) 信息安全审计应当 1 个月进行一次,并形成文档化的安全报告;2) 安全审计内容主要内容包括:主机审计、杀毒审计、打印审计等;3) 信息安全风险评估应当至少 1 年一次,可由公司自己组织进行或委托有信息
10、系统风险评估资质的第三方机构进行。信息安全风险评估必须形成文档化的风险评估报告;9、 其他安全策略一、 输入输出安全策略1) 输入输出应实行“集中管理、有效控制、过程审计”的管理原则;2) 涉密中间机、非涉密机中间机、涉密打印机、涉密一体机、涉密计算机,只可单一方向导入或导出;3) 扫描输入时须由部门领导审批,完成后保密办收回纸介质;74) 电子文档录入时须经部门领导同意,才可将电子信息输入到固定文件夹内;5) 电子输出时只可采取一次性光盘写入,或者申请单导设备。写入光盘时须粘贴条码,标识光盘密级;6) 涉密信息打印时须经领导同意,打印完成后做涉密载体登记;二、 通讯设备安全策略1) 通讯设备主要包括:计算机、电话、手机、对讲机、网络电话、IPAD 等;2) 在使用通讯设备时严禁讨论或发送国家秘密事项;3) 严禁携带手机、无线共享装置、对讲机等无线装置进入国家秘密场合,确因工作需要应取出设备供电装置;4) 严禁将通讯设备连接涉密信息系统、设备或者载体;5) 重要涉密人员不得使用他人赠与的通讯设备,不得在任何通讯设备上存储核心涉密人员的工作单位、职务、红机电话号码等敏感信息;6) 不得将通讯设备带入到生产车间、实验室等要害部位;8