1、国务院第一次全国水利普查领导小组办公室二一年十二月,第一次全国水利普查综合培训,水利普查数据保密的重要性,水利普查涉密数据范围,普查工作底图获取方式,保密管理机构和人员,安全保密技术要求,安全保密管理要求,主要内容,涉密单机安全管理,一、水利普查数据保密的重要性,1、密级高、责任大。水利普查涉及机密级国家秘密,数据的失泄密将危害国家安全和公共利益,保密责任大。2、范围广、难度大。水利普查数据保密涉及国家、流域、省、地市及县级单位,涉及范围广、人员多,数据保密难度大。,(一)水利普查数据保密的特点和难点,3、技术新、风险大。水利普查涉密数据采用计算机处理、网络化处理,失窃密环节多、失窃密风险大。
2、,从近年查处的失泄密案件看,90%以上的失泄密问题都与网络直接相关,网络已经成为当前失泄密的主要渠道,网络窃密已成为威胁最大的窃密方式,防范网络失泄密已成为保密工作的主战场。,(二)网络保密形势严峻,据统计,2004年全国发生重大网络泄密事件47起,占全年泄密案总数的32%,2005年就增加到74起,2006年又猛增到168起。去年我国网上泄密已经超过了泄密案总数的90%。,近年来,境外敌对势力和情报机构凭借其信息技术优势,利用“特种木马”、“僵尸网络”、“后门程序”等手段,对我机关单位的计算机网络实施有组织、有预谋、有重点的攻击窃密,手法花样翻新,渗透无孔不入,网络窃密活动频繁。,2010年
3、4月29日经全国人大常务委员会审议通过,并由胡锦涛亲自签署的国家主席令颁布了新修订的中华人民共和国保守国家秘密法,该法于今年10月1日起实施。,(三)保密责任重大,新法第三条规定“任何危害国家秘密安全的行为,都必须受到法律追究”这是我国保密法制建设的重大理念创新成果;也是与原法只追究泄密行为不追究违法行为的原则区别。,新法所规定的必须依法给予行政处分的12类违法行为:非法获取、持有国家秘密载体的; 买卖、转送或者私自销毁国家秘密载体的;通过普通邮政、快递等无保密措施的渠道传递国家秘密载体的;,邮寄、托运国家秘密载体出境,或者未经有关主管部门批准,携带、传递国家秘密载体出境的;非法复制、记录、存
4、储国家秘密的;在私人交往和通信中涉及国家秘密的;在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密的;,将涉密计算机、涉密存储设备接入互联网及其他公共信息网络的;在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换的;使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息的;,擅自卸载、修改涉密信息系统的安全技术程序、管理程序的;将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途的。,1:5万国家基础地理信息(包括线划数据中的行政区划、居民地、水系和道路交通矢量、水利工程要素),信息最高密级为机密级;经过
5、正射纠正的2.5m高分辨率遥感影像数据,信息最高密级为机密级;,二、水利普查涉密数据范围,第二次全国土地调查成果数据(土地利用数据中耕地(水田、水浇地、旱地)、园地、林地、草地、其他用地要素类),信息最高密级为机密级;水利工作中国家秘密及其密级具体范围的规定中界定的涉密数据,如国际河流相关水资源和水利工程规划数据,信息最高密级为机密级;国家相关法律规定的其他涉密数据。,三、普查工作底图获取方式,水利普查工作底图是合成了遥感影像、基础地理信息、土地利用情况、河湖流域分区和水利专题等形成的专用地图,是开展水利普查空间数据采集处理的基础资料。,流域机构和省级水利普查机构向国务院第一次全国水利普查领导
6、小组办公室申请涉密数据。流域机构和省级水利普查机构的数据处理支撑单位、所属地级、县级水利普查机构向流域机构和省级水利普查机构申请涉密数据。,(一)申请材料准备填写水利普查资料和数据使用申请表 签署水利普查涉密数据保密责任书(二)申请材料报送与审批申请单位将申请材料报送至国务院水利普查办。国务院水利普查办对申请材料进行审核和批复。,(三)涉密数据移交作业执行单位准备移交的数据及数据清单;审验涉密数据领取人员的身份;移交准备好的涉密数据,并现场填写涉密数据移交单。领取涉密数据均须严格履行国家相关规定,移送重要涉密数据及其介质时,必须两名以上专人执行,按交接清单对数据内容进行查验复核。,四、保密管理
7、机构和人员,水利普查涉密数据保密管理应遵循分级负责、各负其责、责任到人和方便工作的原则。各级水利普查机构对下级水利普查机构和本级涉密单位负有指导、监督、检查的职责。,(一)保密管理机构,保密主管部门负责水利普查涉密数据安全保密制度的组织制定、保密工作的监督与检查数据分发管理单位负责涉密数据使用申请审批程序的制定以及对使用单位申请材料的审核和批复;作业执行单位负责涉密数据的准备、加工、分发环节的保密工作,并做好相关记录;,数据使用单位负责涉密数据保管、使用的设备和环境安全管理,负责使用过程的保密管理,包括人员管理、数据使用操作管理等。各涉密数据使用管理相关单位应设置安全管理部门,并指定专人负责安
8、全与保密管理工作。,(二)涉密人员管理,涉密数据使用管理相关部门应根据本办法制定相应的安全保密工作制度和流程,加强对相关工作人员的管理,进行上岗前的保密培训,并定期进行保密教育和检查。涉密数据的系统管理人员应当经过严格审查,定期进行考核,保持相对稳定。,安全保密工作主管部门应与其他使用管理相关部门签订保守国家秘密责任书。涉密数据使用管理相关部门应与本部门相关工作人员签订保守国家秘密责任书。涉密数据使用管理相关部门和相关工作人员必须遵守相关法规规定。任何单位、部门和个人不得以任何形式泄露涉密数据。,涉密数据使用管理相关工作人员调离岗位,必须继续履行保守国家秘密的义务。对于涉密数据的复制、存储等重
9、要操作,可采用双人同时完成。,五、安全保密管理要求,各级保管和使用涉密数据的单位必须制定相应的保密管理制度,并通过正式文件发布。保密管理制度涉及涉密信息产生、存储、处理、传输、归档和销毁的全过程管理。,应加强数据处理系统和数据处理场所的安全保密管理,无关人员不得进入数据处理场所,不得擅自使用带有拍照、摄像功能的电子产品,人员出入需登记,有专人保管钥匙。存储涉密数据的介质(包括光盘、纸质文档)应当按所存储数据的最高密级标识密级,并按相应密级管理。,存储涉密数据的计算机硬盘或其他存储介质应严格保管,未经批准,严禁带离工作场所。做好下发和上报介质登记;加强介质的传递管理;防止被盗、被毁和被复制;不得
10、擅自更换或者报废。确需更换或者报废的,应当经批准后,进行登记、封存,或者按规定销毁。,应加强设备管理,涉密数据处理相关设备(包括打印机、扫描仪等)按保密设备(机密级)管理,发生故障需外出维修时应先拆除存储部件。,不得在因特网上存储、处理和传输涉密数据;涉密数据处理计算机不得使用无线键盘、无线鼠标、无线网卡以及其他无线互联设备和USB移动存储设备,不得接入因特网及其他公共信息网络;连接涉密网络的打印机、扫描仪等禁止使用具有传真功能的多功能一体机。,涉密数据的绘制与发布,对数据成果进行复制和申请数据库访问授权,均须填写申请表,说明应用申请理由及使用管理方式,获得批准后方可执行,任何个人和单位在未履
11、行完成上述手续之前,均不得擅自下载、复制、使用和发布。否则将被视为故意泄密行为,对涉密数据实施降密、脱密处理须按国家规定的处理程序和方法进行,其处理结果须经水利部保密办依照国家秘密及其密级具体范围的规定认定后方可在非涉密环境使用和发布。,应制定数据处理系统的运行管理制度,加强系统监控、管理维护,并制定应急响应预案,定期对计算机存储设备中的涉密数据进行检查、整理、备份和数据恢复测试。,建立数据备份管理制度,相关部门应当将涉密数据与备份数据分别保存在不同的地点,指定专人负责数据的备份工作。有条件的,应实行异地容灾备份。涉密数据备份介质等应按同等保密要求管理。,涉密部门在提供涉密数据时,应当标明数据
12、的秘密等级,并与使用方签订保密协议。使用方在使用过程中,应当遵守国家有关保密规定,履行保密义务。,应加强涉密数据导出管理,严格控制计算机的信息导出功能,信息导出由专人负责,采用光盘刻录方式,并做好登记、审批。应加强涉密数据打印管理,严格控制计算机打印功能,建立打印登记、审批制度。,六、安全保密技术要求,各级水利普查机构及其技术支撑单位应在满足保密要求的环境下使用涉密数据。根据水利普查数据处理系统部署情况,涉密设备与环境主要部署在水利普查数据处理涉密网部分(包含涉密单机),涉及国家、流域机构、省级、地级和县级5级水利普查机构。,根据水利普查数据处理工作实际,国家、流域机构、省级普查机构使用涉密网
13、处理涉密信息;地级和县级水利普查机构涉密单机处理涉密信息。,国家级、流域级及省级水利普查数据处理系统安全保护等级为机密级,需要达到涉密信息系统分级保护机密级的要求。水利部及流域机构已建涉密网,水利普查数据处理系统应纳入各单位涉密网中。省级单位可利用已建涉密网,或新建独立的专用涉密网,(一)涉密网络技术要求,终端安全。通过安装防病毒软件、更新系统补丁等技术措施加强普查数据处理系统终端计算机安全;配置终端安全管理系统等加强终端的身份认证、漏洞管理、安全审计、非法外联监控、移动存储介质管理、信息单向导入等。,各单位涉密网需至少满足以下要求:,网络安全。实行分区分域安全防护,将普查数据处理系统部署在符
14、合分级保护机密级要求的安全防护区,通过配置防火墙、入侵监测、安全审计系统等安全设备等措施加强防护区与其他安全防护区的安全隔离。,数据传输安全。流域级与国家级之间数据传输使用水利部政务内网,国家级与省级数据传输采用介质传递,所有传输数据进行加密处理。主机安全。通过安装防病毒软件、更新系统补丁、主机安全加固等技术措施加强普查数据处理系统涉密网主机安全。,系统和数据管理。水利普查数据应由专人管理和使用,定期自动进行数据备份,设置专门系统管理员和业务管理员,分别对系统进行管理和数据审查。,权限管理。水利普查数据处理信息系统中实现用户分权管理,用户可分为系统管理员和业务用户,每个用户拥有与其身份相应的权
15、限,用户身份鉴别应利用水利部及流域机构数字证书身份认证系统进行认证。,电磁泄露防护。加强普查数据处理系统涉密网系统、设备、线路、电源的电磁泄露防护措施,包括普查数据处理终端的电磁泄露防护。,身份鉴别与访问控制。违规外联管理。计算机病毒与恶意代码防护。终端安全审计。移动存储介质管理。普查数据的传输采用介质传递。,(二)涉密单机技术要求,七、涉密单机安全管理,各单位应做好水利普查涉密单机的安全保密管理工作,专机专用,并根据各单位实际情况,从涉密单机采购、使用、保管、维修与报废等环节落实安全保密管理措施。,(一)涉密单机安全保密管理措施,涉密单机必须为国产产品,必须从正规的国内供应商购置。涉密单机不
16、得配备无线网卡等无线互联设备和无线鼠标、无线键盘等无线外围设备。涉密单机正式使用前需安装统一配发的安全保密防护产品。,不得随意在涉密单机上安装或卸载软件。在水利普查期间,涉密单机仅用于水利普查工作,不得用于其他工作。涉密单机必须粘贴明显标识,在机箱开启处粘贴一次性标签,不得随意在涉密单机安装、拆卸配件。,涉密单机应由专人负责保管(即为涉密单机管理员)。涉密单机应放置在专门的场所,并仅允许在该场所使用。涉密单机管理员负责使用场所的安全管理,禁止无关人员进入,对进出人员进行登记,禁止携带具有录音、录像、拍照功能的设备,禁止将手机带入场所。,不得随意将涉密单机带出使用场所。涉密单机管理员负责涉密单机
17、登录USB Key的管理,涉密单机使用人员需要使用涉密单机时应从涉密单机管理员领取登录USB Key,用后及时归还,涉密单机管理员必须做好使用登记。,不得将涉密单机接入因特网及其他公共信息网络,不得连接除键盘、鼠标和显示器外其他外部设备(包括打印机、扫描仪等设备)涉密单机上不得使用USB移动存储设备。,严格控制在涉密单机上导入导出数据,确需导入导出数据时,由涉密单机管理员负责数据导入导出工作,并做好登记和审批。数据导入导出必须使用光盘,导入导出前应进行计算机病毒查杀。,从涉密单机上导出数据的光盘应作为机密级涉密存储介质管理,必须在介质上粘贴标识,介质必须由专人负责保管,介质收发和传递必须登记,
18、禁止将介质在水利普查涉密单机和涉密网络外使用。定期升级涉密单机上的计算机病毒与恶意代码防护产品。,涉密单机按机密级设备管理,发生故障需外出维修时应先拆除存储部件,存储介质发生故障应到国家保密部门指定机构维修,应做好维修登记。,不再使用的涉密介质应送到国家保密部门指定的机构销毁,或将介质送到所属省级或流域机构水利普查办,由省级或流域机构水利普查办统一到国家保密部门指定的机构销毁。,水利普查工作结束,涉密单机在拆除存储部件后可用于其他工作。拆除下来的存储部件必须送到所属省级或流域机构水利普查办,由省级或流域机构水利普查办统一到国家保密部门指定机构销毁。应做好涉密单机存储部件上交和销毁的登记。,在严
19、格的安全保密管理措施的基础上,还应采取必要的安全保密技术措施,更好的保证水利普查涉密单机的安全保密。涉密单机必须统一配备基本的安全保密技术措施,在此基础上,各单位可结合各自实际情况,选择配置电磁泄漏防护等其他有关安全保密措施。,(二)涉密单机安全保密技术措施,所有安全保密产品必须具有相关证书,其中电磁泄漏发射防护设备需具有国家保密局电磁泄漏发射防护产品检测中心的检测证书;计算机病毒查杀类产品必须具有公安部颁发的销售许可证;密码类产品必须具有国家密码主管部门的有关批准文件;其他安全保密设备必须具有国家保密局涉密信息系统安全保密测评中心的检测证书。,身份鉴别与访问控制。水利普查涉密单机应配置终端安
20、全登录系统,实现基于USB Key的身份鉴别措施,并可以对不同角色授予不同的权限,登录涉密单机必须使用USB Key加口令,拔出USB Key自动锁屏。,违规外联管理。水利普查涉密单机应配置违规外联监控系统,及时发现并阻断违规外联,告警及记录违规外联行为。,计算机病毒与恶意代码防护。水利普查涉密单机应配置计算机病毒与恶意代码防护产品,防止计算机病毒与恶意代码进入涉密单机移动存储介质管理。水利普查涉密单机应配置移动存储介质管理系统,实现对移动存储介质的管理,防止非授权移动存储介质在涉密单机使用。,终端安全审计。水利普查涉密单机应配置终端安全审计系统,对系统配置信息、系统帐号配置及当前进程信息进行
21、监控与审计;对文件操作行为进行监控与审计:对计算机中敏感信息操作行为的审计和控制;审计和控制涉密单机上输入输出设备(如:光驱、软驱、打印机等)、接口(如:USB接口等)的使用。,终端安全审计。水利普查涉密单机应配置终端安全审计系统,对系统配置信息、系统帐号配置及当前进程信息进行监控与审计;对文件操作行为进行监控与审计:对计算机中敏感信息操作行为的审计和控制;审计和控制涉密单机上输入输出设备(如:光驱、软驱、打印机等)、接口(如:USB接口等)的使用。,涉密单机安全保密防护系统以省级集中部署为主,各地市、县级自行部署为辅。1、各省组织各地市及部分县级水利普查涉密单机管理人员携带涉密单机进行集中安装使用培训,现场安装。涉密单机安全保密防护系统服务商负责培训和指导。,(三)涉密单机安全保密防护系统部署,2、参加培训人员负责本单位及下属单位未进行集中安装的涉密单机的安装或指导涉密单机管理人员自行安装。涉密单机安全保密防护系统服务商负责提供技术支持。3、各省水利普查保密主管部门定期组织进行涉密单机安全保密防护情况检查。,谢 谢!,
