计算机信息安全策略-知识讲义.doc

密级：内部 涉密计算机安全保密策略 编写： 审核： 批准： XX公司 年月日 为确保我公司涉密计算机信息的安全性、完整性和可用性，依据《中华人民共和国保守国家秘密法》和《武器装备科研生产单位二级保密资格标准》的相关规定，制订本策略。 基本原则 本策略的基本原则是：积极防范，突出重点，严格标准，严格管理。 组织体系 管理体系 涉密计算机管理体系如表一所示。 表一 涉密计算机管理体系一览表 管理部门或人员 管理职责 保密委员会 确定涉密计算机和涉密人员，组织规划所有计算机的运行及管理体系。负责向公司申请为保证涉密计算机体系运行所必须的保障条件。 保密办公室 负责监督指导涉密计算机的日常安全保密工作。 计算机 安全管理员 具体负责涉密计算机的日常安全保密监督管理工作。 涉密人员 服从保密委和保密办的监督指导。对本人负责的涉密计算机具有使用权。 计算机体系 涉密计算机体系如图一所示。 图一 涉密计算机体系框图 如图一所示，涉密计算机体系主要由三部分组成。分别是信息的输入部分（包括涉密信息和非涉密信息），内部工作用单台涉密计算机，以及输出部分（包括涉密信息和非涉密信息）。 信息输入部分 信息的输入由涉密中间转换计算机（以下简称涉密中间机）和非涉密中间转换计算机（以下简称非涉密中间机）组成。涉密中间机负责外来涉密信息的输入，经病毒查杀后，将涉密信息刻录成只读光盘，进入内部工作用计算机。 非涉密中间机负责外来非涉密信息的输入，经病毒查杀后，将非涉密信息刻录成只读光盘，进入内部工作用计算机。 所有涉密计算机生成的所有信息严禁通过电子文档形式进入该计算机。除涉密信息外，如工作需要，可将非涉密信息通过扫描或人工录入的形式，将非涉密信息在该机上重新生成，再通过其它非涉密信息网向外发送。 内部工作用单台涉密计算机 内部工作用单台涉密计算机用于进行涉密和非涉密信息的处理，各单台涉密计算机均配备了国产正版江民杀毒软件。 信息输出部分 信息输出部分由打印机、光盘刻录机组成，用于涉密和非涉密信息的输出。 风险分析 对以上体系进行风险分析后，发现该体系存在如下风险。 信息输入时病毒侵入的风险。 通过中间机进行信息输入时，可能会有含恶意代码的病毒随有用信息进入内部各单台计算机。 数据丢失的风险。 各单台涉密计算机中存储的数据信息可能因各种原因损害，造成数据丢失。 体系中各责任人执行规定时懈怠的风险。 体系中各责任人在执行相关规定要求时，可能产生懈怠，不按照规定执行，从而产生风险。 防护措施 针对以上可能存在的风险，制定如下防范措施。 计算机病毒与恶意代码防护 每台涉密计算机中必须安装正版江民杀毒软件，由使用人员定期进行一次病毒查杀； 计算机安全管理员负责每15天更新计算机病毒与恶意代码样本库。 身份验证 所有单台涉密计算机的密码分二级。 一级密码 一级密码为主机BIOS密码，由计算机安全保密管理员掌握。密码有效期为一年，满一年后计算机安全保密管理员进行更换。 二级密码 二级密码包括主机开机密码，操作系统密码和屏幕保护密码（操作系统密码和屏幕保护密码相同）。由计算机安全保密管理员统一设置，并配发给涉密机使用人； 密码有效期为7天，满7天后由计算机安全保密管理员进行更换，然后配发给涉密机使用人； 涉密机使用人不得自行更改涉密机的任何密码。 密码要求 主机BIOS密码和开机密码长度不能少于10个字符，操作系统密码和屏幕保护密码长度不能少于10个字符，字符中需要包括英文字母、数字和字母的大、小写。 物理防护 所有涉密计算机要放置在具备防火防盗的房间内，距离其它非涉密通讯设备的安全距离不小于一米。 所有涉密计算机与其它非涉密信息设备实行物理隔离。 技术防护 涉密中间计算机、涉密计算机，必须安装和使用国产正版江民杀毒软件，防止非法外联和非法拷贝。 数据交换 内部单台涉密机使用绑定的涉密U盘进行数据交换。涉密U盘的使用采用登记制度，责任落实到具体人员。 数据存储 所有单台涉密计算机内的数据文件信息（包括输入信息，正在生成的文件等），必须存储在主机的D盘，按照所属项目类别分别存放在相应的文件夹中。并按《计算机和信息系统管理制度》的要求进行标密。 未按要求存放数据和标密的，根据情节严重程度和造成的破坏程度进行相应的行政和经济处罚。 数据备份 每个项目设计工作完成后，所有与之相关的数据和文件（包括纸介质和电子文档）必须上交给项目负责人或公司保密安全负责人统一办理存档手续（刻录光盘和纸介质存档）； 监督检查 每六个月对公司所有计算机进行保密安全检查，对发现的问题及时进行整改； 涉密计算机的使用人每个月