【文章內(nèi)容簡(jiǎn)介】 ..................... . . ...............20二、網(wǎng)絡(luò)內(nèi)部的安全保密控制和防范........................ . . . . . ...........22第四章計(jì)算機(jī)信息傳輸?shù)谋Ｃ?........................................... . . . .................23一、計(jì)算機(jī)撥號(hào)進(jìn)入Internet網(wǎng)或其它公共網(wǎng)時(shí)信息傳輸?shù)谋Ｃ?23二、局域網(wǎng)信息傳輸?shù)谋Ｃ?.......................... . . ...........................24三、廣域網(wǎng)信息傳輸?shù)谋Ｃ?.................... . . . . . . ........................25四、密鑰的管理.......................................... . . . . . . . .....................25第五章管理制度保障............................................................. . . ................26一、法律制度規(guī)范：.....................................................................26二、管理制度的約束：....................................... . . ......................27三、道德規(guī)范及宣傳教育：............................ . . . . . . .................27第一章總則為貫徹《中共中央關(guān)于加強(qiáng)新形勢(shì)下保密工作的決定》，加強(qiáng)計(jì)算機(jī)涉密信息系統(tǒng)的保密管理，配合《涉密信息系統(tǒng)保密管理暫行規(guī)定》的實(shí)施而制定本規(guī)范。本實(shí)施規(guī)范適用范圍包括：市直黨政機(jī)關(guān)單位及各區(qū)、縣級(jí)市黨政機(jī)關(guān)單位管理的用于辦公自動(dòng)化或信息交換的計(jì)算機(jī)涉密信息系統(tǒng)。本實(shí)施規(guī)范只適用于《涉密信息系統(tǒng)保密管理暫行規(guī)定》中的D級(jí)（工作秘密級(jí)）、C級(jí)（國(guó)家秘密級(jí)）和B級(jí)（國(guó)家機(jī)密級(jí)），不適用于A級(jí)（國(guó)家絕密級(jí)）。本實(shí)施規(guī)范中涉及的安全加密系統(tǒng)設(shè)備，必須是經(jīng)過中央機(jī)要局或國(guó)家保密局認(rèn)可的國(guó)產(chǎn)非純軟件加密系統(tǒng)設(shè)備，所采用的加密措施應(yīng)有國(guó)家密碼委員會(huì)或中央辦公廳機(jī)要局的批件，并與所保護(hù)的涉密信息密級(jí)相符。第二章計(jì)算機(jī)及計(jì)算機(jī)系統(tǒng)保密計(jì)算機(jī)及計(jì)算機(jī)系統(tǒng)的保密主要是指存放于磁盤上的文件、數(shù)據(jù)庫(kù)等數(shù)據(jù)傳輸和存儲(chǔ)的保密措施，應(yīng)用于這方面的技術(shù)主要有訪問控制、數(shù)據(jù)加密等。加密系統(tǒng)有數(shù)據(jù)加解密卡、數(shù)據(jù)加密機(jī)、數(shù)據(jù)采編加密系統(tǒng)、抗輻射干擾器、電子印章系統(tǒng)等。一、機(jī)房安全要求計(jì)算機(jī)機(jī)房的安全是計(jì)算機(jī)實(shí)體安全的一個(gè)重要組成部分。計(jì)算機(jī)機(jī)房應(yīng)該符合國(guó)家標(biāo)準(zhǔn)和國(guó)家有關(guān)規(guī)定。其中，D級(jí)信息系統(tǒng)機(jī)房應(yīng)符合GB936188的B類機(jī)房要求；B級(jí)和C級(jí)信息系統(tǒng)機(jī)房應(yīng)符合GB936188的A類機(jī)房要求。二、訪問控制訪問控制是指防止對(duì)計(jì)算機(jī)及計(jì)算機(jī)系統(tǒng)非授權(quán)訪問和存取。對(duì)計(jì)算機(jī)及計(jì)算機(jī)系統(tǒng)訪問進(jìn)行控制主要采用兩種方式實(shí)現(xiàn)：一種是限制訪問系統(tǒng)的人員；另一種是限制進(jìn)入系統(tǒng)的用戶所能做的操作。前一種主要通過用戶標(biāo)識(shí)與驗(yàn)證來實(shí)現(xiàn)，而后一種則依靠存取控制來實(shí)現(xiàn)。（一）用戶標(biāo)識(shí)與驗(yàn)證用戶標(biāo)識(shí)與驗(yàn)證是訪問控制的基礎(chǔ)，是對(duì)用戶身份的合法性驗(yàn)證。對(duì)于所有涉密信息系統(tǒng)，必須采用利用口令字（又稱通行字）的比較對(duì)用戶進(jìn)行身份識(shí)別與驗(yàn)證的方法。涉密計(jì)算機(jī)系統(tǒng)口令的使用和管理應(yīng)符合中共中央保密委員會(huì)辦公室和國(guó)家保密局聯(lián)合發(fā)布的《涉及國(guó)家秘密的通信、辦公自動(dòng)化和計(jì)算機(jī)信息系統(tǒng)審批暫行辦法》（中保辦發(fā)[1998]6號(hào)）第十七條規(guī)定的要求。其中，對(duì)于B級(jí)和C級(jí)涉密信息，其口令字應(yīng)實(shí)行加密傳輸，口令文件應(yīng)加密存儲(chǔ)。同時(shí)，應(yīng)視涉密信息系統(tǒng)的安全保密需求和條件，至少采用以下之一方法進(jìn)行識(shí)別與驗(yàn)證：1．基于人的物理特征的識(shí)別。包括：簽名識(shí)別法、指紋識(shí)別法、語(yǔ)音識(shí)別法。2．基于用戶所擁有特殊安全物品的識(shí)別（即：標(biāo)志憑證識(shí)別）。包括：智能IC卡識(shí)別法、磁條卡識(shí)別法。（二）存取控制存取控制是對(duì)所有的直接存取活動(dòng)通過授權(quán)進(jìn)行控制以保證計(jì)算機(jī)系統(tǒng)安全保密機(jī)制，是對(duì)處理狀態(tài)下的信息進(jìn)行保護(hù)。涉密計(jì)算機(jī)系統(tǒng)必須采取以下之一進(jìn)行存取控制：1． 隔離技術(shù)法隔離技術(shù)即在電子數(shù)據(jù)處理成分的周圍建立屏障，以便在該環(huán)境中實(shí)施存取規(guī)則。隔離技術(shù)的主要實(shí)現(xiàn)方式包括：（1）物理隔離方式：各過程使用不同的物理目標(biāo)，比如用不同的打印機(jī)輸出不同安全級(jí)別的數(shù)據(jù)；（2）時(shí)間隔離方式：具有不同安全性要求的處理在不同的時(shí)間被執(zhí)行；（3）邏輯隔離方式：操作系統(tǒng)限制程序的訪問，不允許程序訪問其授權(quán)區(qū)域之外的目標(biāo)；（4）密碼技術(shù)隔離方式：對(duì)數(shù)據(jù)處理及計(jì)算活動(dòng)進(jìn)行加密,使其它用戶訪問不能理解。2．限制權(quán)限法限制特權(quán)以便有效地限制進(jìn)入系統(tǒng)的用戶所進(jìn)行的操作，具體措施包括：（1）對(duì)用戶進(jìn)行分類，把所有擁有指定安全密級(jí)授權(quán)的用戶分在相同類別；（2）正確設(shè)置目錄的訪問控制權(quán)限；（3）正確設(shè)置文件的訪問控制權(quán)限；（4）放在臨時(shí)目錄或通信緩沖區(qū)的文件要加密，并盡快移走。（三）系統(tǒng)安全監(jiān)控涉密系統(tǒng)必須建立一套安全監(jiān)控系統(tǒng)，全面監(jiān)控系統(tǒng)的活動(dòng)，并隨時(shí)檢查系統(tǒng)的使用情況，一旦有非法入侵者進(jìn)入系統(tǒng)，能及時(shí)發(fā)現(xiàn)并采取相應(yīng)措施，確定和堵塞安全及保密的漏洞。利用日志和審計(jì)功能對(duì)系統(tǒng)進(jìn)行安全監(jiān)控，涉密系統(tǒng)應(yīng)建立完善的審計(jì)系統(tǒng)和日志管理系統(tǒng)，除此之外，還應(yīng)經(jīng)常了解和檢查以下情況：1．監(jiān)控當(dāng)前正在進(jìn)行的進(jìn)程，正在登錄的用戶情況；2．檢查文件的所有者、授權(quán)、修改日期情況和文件的特定訪問控制屬性；3．檢查系統(tǒng)命令安全配置文件、口令文件、核心啟動(dòng)運(yùn)行文件、任何可執(zhí)行文件的修改情況；4．檢查用戶登錄的歷史記錄和超級(jí)用戶登錄的記錄。特別要注意由于人為因素對(duì)計(jì)算機(jī)系統(tǒng)的安全和保密的影響，避免諸如失效的系統(tǒng)控制、不適當(dāng)?shù)娜耸鹿芾砗筒缓侠淼墓芾碇贫鹊仁褂?jì)算機(jī)系統(tǒng)受到惡意的攻擊或造成保密信息泄漏。三、數(shù)據(jù)加密數(shù)據(jù)加密是指將計(jì)算機(jī)及計(jì)算機(jī)系統(tǒng)中數(shù)據(jù)（即信息的表達(dá)形式）轉(zhuǎn)換成不可讀的形式，并在必要時(shí)再轉(zhuǎn)換回來（即解密）以保證只有獲授權(quán)者才能讀取該數(shù)據(jù)。它包括文件信息和數(shù)據(jù)庫(kù)數(shù)據(jù)的加密以及存放保密數(shù)據(jù)的介質(zhì)的加密。（一）文件信息的加密文件加密主要是防止非法竊取或調(diào)用。文件加密一般應(yīng)采用以下兩種方式：1．文件加密，即對(duì)文件的代碼或數(shù)據(jù)本身進(jìn)行的數(shù)據(jù)源加密。B級(jí)和C級(jí)涉密文件信息應(yīng)采用這種加密方式。2．文件名加密，也就是利用文件名屏幕顯示形式的變換，使得實(shí)際注冊(cè)的文件名與顯示的不相符或者根本不顯示，造成無法訪問文件。一般D級(jí)涉密文件信息可采用這種加密方式。（二）數(shù)據(jù)庫(kù)數(shù)據(jù)的安全與加密數(shù)據(jù)庫(kù)安全和保密主要通過對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的管理和對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)的加密來實(shí)現(xiàn)。應(yīng)采用下列五種方法實(shí)現(xiàn)：1．用戶身份的識(shí)別和確認(rèn)；2．訪問操作的鑒別和控制；3．審計(jì)和跟蹤。4．?dāng)?shù)據(jù)庫(kù)外加密，它可由操作系統(tǒng)來完成。比如，采用文件加密的方法，把數(shù)據(jù)形成存儲(chǔ)塊送入數(shù)據(jù)庫(kù)。D級(jí)涉密數(shù)據(jù)庫(kù)數(shù)據(jù)可采用這種加密方式。5．?dāng)?shù)據(jù)庫(kù)內(nèi)加密，也就是對(duì)數(shù)據(jù)進(jìn)行加密的單位可以是數(shù)據(jù)元素、域或記錄。因此，按數(shù)據(jù)庫(kù)內(nèi)的加密對(duì)象劃分，可分為數(shù)據(jù)元素加密方式、域（屬性）加密方式和記錄加密方式。B級(jí)和C級(jí)涉密數(shù)據(jù)庫(kù)數(shù)據(jù)應(yīng)采用這種加密方式。四、磁盤加密磁盤加密在于防拷貝。這類加密只適用于對(duì)存放D級(jí)涉密信息的磁盤進(jìn)行加密。對(duì)于B級(jí)和C級(jí)涉密信息還應(yīng)依靠嚴(yán)格的安全管理來實(shí)現(xiàn)。磁盤加密的主要方法包括：固化部分程序、激光穿孔加密、掩膜加密和芯片加密等，還可利用修改磁盤參數(shù)表（如：扇區(qū)間隙、空閑的高磁道）來實(shí)現(xiàn)磁盤的加密。五、微機(jī)的安全保密使用微機(jī)應(yīng)遵循以下基本安全保密措施：1．使