【文章內(nèi)容簡介】 管部門指定的測評機(jī)構(gòu)檢測的安全保密產(chǎn)品。涉密信息系統(tǒng)使用的軟件產(chǎn)品必須是正版軟件。第四章信息管理第一節(jié)信息分類與控制第十八條涉密信息系統(tǒng)的密級，按系統(tǒng)中所處理信息的最高密級設(shè)定，嚴(yán)禁處理 3 高于涉密信息系統(tǒng)密級的涉密信息。第十九條涉密信息系統(tǒng)中產(chǎn)生、存儲、處理、傳輸、歸檔和輸出的文件、數(shù)據(jù)、圖紙等信息及其存儲介質(zhì)應(yīng)按要求及時定密、標(biāo)密，并按涉密文件進(jìn)行管理。電子文件密級標(biāo)識應(yīng)與信息主體不可分離，密級標(biāo)識不得篡改。涉密信息系統(tǒng)中的涉密信息總量每半年進(jìn)行一次分類統(tǒng)計、匯總，并在保密辦備案。第二十條涉密信息系統(tǒng)應(yīng)建立安全保密策略，并采取有效措施，防止涉密信息被非授權(quán)訪問、篡改，刪除和丟失；防止高密級信息流向低密級計算機(jī)。涉密信息遠(yuǎn)程傳輸必須采取密碼保護(hù)措施。第二十一條向涉密信息系統(tǒng)以外的單位傳遞涉密信息，一般只提供紙質(zhì)文件，確需提供涉密電子文檔的，按信息交換及中間轉(zhuǎn)換機(jī)管理規(guī)定執(zhí)行。第二十二條清除涉密計算機(jī)、服務(wù)器等網(wǎng)絡(luò)設(shè)備、存儲介質(zhì)中的涉密信息時，必須使用符合保密標(biāo)準(zhǔn)、要求的工具或軟件。第二節(jié)用戶管理與授權(quán)第二十三條根據(jù)本部門、單位使用涉密信息系統(tǒng)的密級和實(shí)際工作需要，確定人員知悉范圍，以此作為用戶授權(quán)的依據(jù)。第二十四條用戶清單管理（一）科技信息部管理“研究試驗(yàn)堆燃料元件數(shù)字化信息系統(tǒng)”和“中核集團(tuán)涉密廣域網(wǎng)”用戶清單；財會部管理“財務(wù)會計核算網(wǎng)”用戶清單；（二）新增用戶時，由用戶本人提出書面申請，經(jīng)本部門、單位審核，科技信息部、保密辦審批后，由科技信息部備案并統(tǒng)一建立用戶；“財務(wù)會計核算網(wǎng)”的用戶由財會部統(tǒng)一建立；（三）刪除用戶時，由用戶本人所在部門、單位書面通知科技信息部，核準(zhǔn)后由安全保密管理員即時將用戶在涉密信息系統(tǒng)內(nèi)的所有帳號、權(quán)限廢止；“財務(wù)會計核算網(wǎng)” 4 的刪除用戶由財會部統(tǒng)一刪除用戶帳號、權(quán)限。第二十五條用戶標(biāo)識符管理（一）用戶登錄系統(tǒng)時所使用的用戶身份標(biāo)識，由用戶本人提出書面申請，經(jīng)本部門、單位審核，科技信息部、保密辦審批后，由系統(tǒng)管理員產(chǎn)生，并確保用戶標(biāo)識在此系統(tǒng)生命周期中的唯一性；（二）安全保密管理員每月一次檢查與用戶身份標(biāo)識相關(guān)的日志，發(fā)現(xiàn)異常情況，應(yīng)及時向保密辦報告。第二十六條 用戶授權(quán)管理（一）涉密信息系統(tǒng)用戶授權(quán)應(yīng)遵循最小授權(quán)分配原則，安全保密管理員對所有用戶的權(quán)限明細(xì)文檔化；（二）安全審計員每月審查權(quán)限列表，發(fā)現(xiàn)異常情況，應(yīng)及時向保密辦報告。第三節(jié)信息系統(tǒng)互聯(lián)第二十七條 涉密信息系統(tǒng)必須與國際互聯(lián)網(wǎng)和其它公共信息系統(tǒng)實(shí)行物理隔離。禁止將涉密計算機(jī)和涉密信息系統(tǒng)直接接入公司內(nèi)部非涉密信息系統(tǒng)，確因工作需要接入時必須采用符合保密標(biāo)準(zhǔn)的信息隔離交換系統(tǒng)進(jìn)行必要的邊界控制措施。第五章運(yùn)行維護(hù)管理第二十八條 涉密信息系統(tǒng)投入運(yùn)行前，應(yīng)當(dāng)經(jīng)過國家保密工作部門審批，未經(jīng)審批的涉密信息系統(tǒng)不得處理涉密信息。第二十九條涉密信息系統(tǒng)應(yīng)與用戶終端實(shí)施IPMAC，并隨人員、崗位等變化及時調(diào)整。涉密信息系統(tǒng)的用戶終端、服務(wù)器等設(shè)備設(shè)施應(yīng)進(jìn)行安全加固，關(guān)閉不必要的帳戶、服務(wù)和端口，并設(shè)置規(guī)范的口令策略。涉密設(shè)備（導(dǎo)線）與外網(wǎng)、通訊設(shè)備（導(dǎo)線）和其他導(dǎo)體的隔離應(yīng)符合保密要求。第三十條涉密信息系統(tǒng)與國際互聯(lián)網(wǎng)、公眾信息網(wǎng)絡(luò)等非涉密信息系統(tǒng)（以下簡稱外網(wǎng)）的信息交換，按信息交換及中間轉(zhuǎn)換機(jī)管理規(guī)定執(zhí)行。第三十一條禁止使用非涉密信息系統(tǒng)（包括非涉密單機(jī)）存儲和處理涉密信息。第三十二條建立健全防病毒軟件（含木馬查殺）升級、打補(bǔ)丁機(jī)制，及時升級病毒和惡意代碼樣本庫，進(jìn)行病毒和惡意代碼查殺，及時安裝操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)的補(bǔ)丁程序。防病毒軟件應(yīng)使用經(jīng)國家主管部門批準(zhǔn)的防病毒軟件。第三十三條未經(jīng)科技信息部審批，禁止對涉密信息系統(tǒng)格式化或重裝操作系統(tǒng)，禁止刪除涉密信息系統(tǒng)的移動存儲介質(zhì)及外部設(shè)備（包括服務(wù)器等網(wǎng)絡(luò)設(shè)備）等日志記錄。第三十四條涉密應(yīng)用軟件開發(fā)及運(yùn)行維護(hù)必須選擇具有相關(guān)保密資質(zhì)的單位承擔(dān)，并與之簽訂《保密協(xié)議書》，協(xié)議書必須經(jīng)保密辦審查備案，明確保密要求，防止國家秘密的泄露。第三十五條涉密信息系統(tǒng)中的信息輸出應(yīng)當(dāng)集中管理，有效控制，建立集中打印控制機(jī)制。第三十六條涉密信息系統(tǒng)用戶終端不準(zhǔn)安裝、運(yùn)行、使用與工作無關(guān)的軟件，嚴(yán)禁安裝具有無線通訊功能的軟件。未經(jīng)科技信息部審批，用戶終端禁止安裝或拆卸硬件設(shè)備和軟件及更改系統(tǒng)設(shè)置。用戶終端的應(yīng)用軟件安裝情況登記備案，每季度進(jìn)行一次核查。第三十七條涉密設(shè)備嚴(yán)禁具有無線互聯(lián)功能，不能安裝紅外接口、無線網(wǎng)卡、無線鼠標(biāo)、無線鍵盤等。第三十八條對集中存放涉密信息系統(tǒng)服務(wù)器、交換機(jī)等涉密設(shè)備的場所列入保密要害部位管理，建立出入登記、外來人員審查等管理制度。第三十九條涉密信息系統(tǒng)應(yīng)采取身份鑒別、訪問控制和安全審計等技術(shù)保護(hù)措施。第四十條涉密信息系統(tǒng)建立文檔化的安全保密策略，并根據(jù)環(huán)境、系統(tǒng)和威脅變 6 化情況及時調(diào)整更新安全保密策略。第四十一條涉密信息系統(tǒng)建立文檔化的安全保密審計報告，機(jī)密級1個月、秘密級3個月進(jìn)行一次審計日志收集、整理、分析，按要求形成文檔化安全審計報告并備案。第四十二條涉密信息系統(tǒng)建立文檔化的風(fēng)險評估分析報告，每半年根據(jù)系統(tǒng)綜合日志進(jìn)行一次風(fēng)險評估（自評估或檢查評估），形成文檔化的風(fēng)險分析報告，對存在的風(fēng)險及時采取補(bǔ)救措施。第四十三條涉密信息系統(tǒng)建立實(shí)時入侵檢測系統(tǒng)，做到實(shí)時監(jiān)測系統(tǒng)網(wǎng)絡(luò)設(shè)備、終端和服務(wù)器的各種攻擊行為。應(yīng)具有漏洞掃描技術(shù)，以提前警告網(wǎng)絡(luò)系統(tǒng)中系統(tǒng)的弱點(diǎn)所在，防止黑客入侵和內(nèi)部人員的誤用。第四十四條涉密信息系統(tǒng)使用國家有關(guān)主管部門批準(zhǔn)的檢測工具對系統(tǒng)進(jìn)行安全保密性能檢測，檢測工具版本應(yīng)及時更新、升級。第六章設(shè)備與介質(zhì)管理第四十五條計算機(jī)和信息系統(tǒng)設(shè)備包括：網(wǎng)絡(luò)設(shè)備、服務(wù)器、用戶終端（臺式計算機(jī)、便攜式計算機(jī)、工業(yè)控制機(jī)等）、掃描儀、打印輸出設(shè)備及網(wǎng)絡(luò)安全保密產(chǎn)品等；介質(zhì)包括：紙介質(zhì)、存儲介質(zhì)及其它記錄載體（如計算機(jī)硬盤、光盤、移動硬盤、優(yōu)盤、軟盤和錄音帶、錄像帶、數(shù)碼相機(jī)存儲卡等）。第四十六條接入涉密信息系統(tǒng)的設(shè)備和介質(zhì)稱為涉密設(shè)備和涉密存儲介質(zhì)，并按統(tǒng)一技術(shù)要求和部署方式進(jìn)行管理。涉密設(shè)備和存儲介質(zhì)應(yīng)與國際互聯(lián)網(wǎng)和其他公眾信息網(wǎng)絡(luò)實(shí)行物理隔離；系統(tǒng)內(nèi)的設(shè)備、介質(zhì)、設(shè)施根據(jù)其處理信息的最高密級標(biāo)明涉密等級和主要用途。第四十七條 計算機(jī)和信息系統(tǒng)中使用的設(shè)備、存儲介質(zhì)應(yīng)遵循“統(tǒng)一購置、統(tǒng)一標(biāo)識、嚴(yán)格登記、規(guī)范管理”的原則，嚴(yán)格執(zhí)行國家秘密載體保密管理規(guī)定。第四十八條 各部門、單位指定專人負(fù)責(zé)涉密設(shè)備和介質(zhì)的日常管理工作，建立存儲介質(zhì)登記備案、定期核查與信息清理制度。保密辦對涉密設(shè)備的采購、使用、維修、變更、報廢負(fù)有指導(dǎo)、監(jiān)督、檢查的職責(zé)，對存儲介質(zhì)歸口管理。第一節(jié)設(shè)備管理第四十九條 采購管理（一）涉密設(shè)備選用國產(chǎn)設(shè)備，涉密系統(tǒng)集成與系統(tǒng)服務(wù)、安全產(chǎn)品的采購，不得進(jìn)行公開招標(biāo)，須在具有資質(zhì)的單位和經(jīng)國家主管部門批準(zhǔn)范圍內(nèi)選擇，且供方應(yīng)具有完備的資質(zhì)證明和良好的信譽(yù)，以及長期供貨和代維護(hù)能力；（二）采購部門不得向供應(yīng)方透露涉密設(shè)備的最終用戶；（三）采購的計算機(jī)，統(tǒng)一不配備光驅(qū)、軟驅(qū)、視頻設(shè)備及具有無線互聯(lián)功能的無線鍵盤、無線鼠標(biāo)、紅外接口、無線網(wǎng)卡等。確因工作需要配備的，經(jīng)保密辦審批后配發(fā)；（四）科技信息部做好資產(chǎn)清單和臺帳管理，涉密設(shè)備需在保密辦備案并粘貼密級標(biāo)識后投入使用。臺帳注明涉密設(shè)備使用人、安全責(zé)任人、安全分類以及資產(chǎn)所在的位置，并且每半年對涉密設(shè)備清查核對一次。第五十條使用管理（一）各部門、單位建立涉密設(shè)備、打印機(jī)等準(zhǔn)入審批、使用登記、銷毀等備案制度。（二）涉密設(shè)備的電磁泄露發(fā)射應(yīng)符合國家有關(guān)保密標(biāo)準(zhǔn)，并采取相應(yīng)防護(hù)措施。涉密設(shè)備和傳輸線路應(yīng)符合紅黑隔離要求，并采取電源濾波防護(hù)措施。（三）用戶終端登錄識別技術(shù)應(yīng)采用以下二種方式之一：數(shù)字證書機(jī)制采用USBKey與PIN口令相結(jié)合的方式進(jìn)行身份鑒別，口令長度設(shè)置不少于十位。USBKey按機(jī)密級密件管理，應(yīng)及時修改初始的PIN碼，并將USBKey 8 妥善保管。密碼口令。機(jī)密級密碼口令長度不得少于十個字符，每周至少更換一次；秘密級密碼口令長度不得少于八個字符，每月至少更換一次；口令采用大小寫英文字母、數(shù)字和特殊字符等兩者以上的組合。（四）在其他信息系統(tǒng)使用過的設(shè)備以及新增設(shè)備接入涉密計算機(jī)和信息系統(tǒng)之前，應(yīng)進(jìn)行病毒（含木馬）及惡意代碼的檢測、查殺。第五十一條 維修管理（一）涉密設(shè)備維修時，應(yīng)向科技信息部提出申請，科技信息部對維修的涉密設(shè)備檢查診斷后，作出公司內(nèi)維修或外出維修的判斷，并通知部門、單位；（二）涉密設(shè)備維修原則上來公司現(xiàn)場維修，維修時應(yīng)有專人現(xiàn)場監(jiān)管；（三）涉密設(shè)備外出維修時，對涉密設(shè)備預(yù)先采取保密措施，拆除存儲部件，并有專人在場監(jiān)控維修全過程；外出維修的涉密設(shè)備，原則上不能在外存放，當(dāng)日未維修完畢的應(yīng)帶回公司存放，次日再送出去維修；涉密設(shè)備維修時應(yīng)與維修單位簽訂保密協(xié)議；（四）涉密設(shè)備確需恢復(fù)存儲的數(shù)據(jù)、信息時，應(yīng)經(jīng)保密辦審批后在具有涉密數(shù)據(jù)恢復(fù)資質(zhì)的單位進(jìn)行；（五）維修時更換下的硬盤、存儲卡，必須將舊件按涉密載體進(jìn)行管理，禁止將舊件抵價維修或隨意拋棄；（六）維修的涉密設(shè)備應(yīng)做好維修情況記錄，存檔備查。第五十二條 變更管理（一）涉密設(shè)備變更用途時，應(yīng)事先提出變更申請并清除其存儲的涉密信息，經(jīng)保密辦審核批準(zhǔn)后辦理變更。變更程序是：公司內(nèi)部門、單位之間調(diào)配涉密設(shè)備，由科技信息部提出變更調(diào)配計劃并作技術(shù)支持，接收單位辦理變更手續(xù)并到保密辦變更涉密設(shè)備臺帳；部門、單位內(nèi)部調(diào)整變更涉密設(shè)備，由部門、單位領(lǐng)導(dǎo)批準(zhǔn)，并通知保密辦變更涉密計算機(jī)臺帳；調(diào)配變更后的涉密設(shè)備要及時確定密級，并粘貼密級標(biāo)識。（二）涉密設(shè)備變更密級，遵循如下保密規(guī)定：絕密級設(shè)備不得進(jìn)行變更；不變更使用人及使用部門、單位，升密時存儲介質(zhì)（包括硬盤、儲存卡）可不更換，降密或脫密時必須更換存儲介質(zhì)；變更使用人或使用部門、單位，升密、降密必須更換存儲介質(zhì)；存儲介質(zhì)的更換由科技信息部辦理，新存儲介質(zhì)到保密辦領(lǐng)取，更換下的舊存儲介質(zhì)交保密辦；非涉密設(shè)備變更為涉密設(shè)備，需對存儲介質(zhì)進(jìn)行格式化，重新安裝操作系統(tǒng)，并拆除視頻設(shè)備和無線互聯(lián)功能模塊。第五十三條 報廢管理（一）對批準(zhǔn)報廢的信息設(shè)備拆除存儲介質(zhì)并交保密辦集中統(tǒng)一銷毀或再利用；（二）淘汰或報廢的涉密設(shè)備，不得用于公益捐贈，或流入舊貨市場。第二節(jié)介質(zhì)管理第五十四條購置和發(fā)放（一）申請部門、單位根據(jù)需要向保密辦提出所需存儲介質(zhì)種類、數(shù)量的申請；（二）保密辦對申請進(jìn)行審核后報主管領(lǐng)導(dǎo)審批，并按批準(zhǔn)的種類、數(shù)量集中采購；（三）保密辦按存儲介質(zhì)種類和密級統(tǒng)一編號、登記、粘貼標(biāo)識后發(fā)放存儲介質(zhì)；（四）各部門、單位由專人管理存儲介質(zhì)，建立臺帳，定期核查。第五十五條 使用和維護(hù)（一）涉密存儲介質(zhì)應(yīng)根據(jù)所存儲信息的最高密級劃定密級，并在明顯位置粘貼密 10 級標(biāo)識，禁止使用無標(biāo)識的存儲介質(zhì)。涉密存儲介質(zhì)嚴(yán)禁在聯(lián)接互聯(lián)網(wǎng)的計算機(jī)和非涉密計算機(jī)上使用；（二）在涉密信息系統(tǒng)內(nèi)使用的涉密存儲介質(zhì)采取綁定或有效的技術(shù)接入控制措施，使涉密存儲介質(zhì)只能在授權(quán)的涉密計算機(jī)上使用。未采用綁定技術(shù)的涉密計算機(jī)，須采取關(guān)閉和監(jiān)控數(shù)據(jù)端口（USB口）的物理防護(hù)措施進(jìn)行控制；（三）嚴(yán)格控制其它存儲介質(zhì)的使用，對光盤、軟盤等移動存儲介質(zhì)應(yīng)采用關(guān)閉數(shù)據(jù)接口或禁止驅(qū)動設(shè)備使用等方式加以控制；（四）禁止在低密級計算機(jī)上使用高密級存儲介質(zhì)，禁止在低密級存儲介質(zhì)上存儲高密級信息；（五）高密級存儲介質(zhì)用于存儲低密級信息時，應(yīng)當(dāng)按照存儲介質(zhì)原標(biāo)識的高密級進(jìn)行管理；（六）存放涉密存儲介質(zhì)的場所、部位和設(shè)備應(yīng)符合安全保密要求，集中統(tǒng)一管理；（七）禁止外來的存儲介質(zhì)接入涉密信息系統(tǒng)，如需導(dǎo)入信息，應(yīng)采取安全準(zhǔn)入許可制度，經(jīng)部門、單位領(lǐng)導(dǎo)審批后，按信息交換及中間轉(zhuǎn)換機(jī)管理規(guī)定執(zhí)行；（八）存儲過絕密級信息的介質(zhì)不能降低密級使用；（九）嚴(yán)禁將個人具有存儲功能的存儲介質(zhì)和電子設(shè)備（mpmp優(yōu)盤、手機(jī)、掌上電腦等）帶入公司；嚴(yán)禁將涉密存儲介質(zhì)帶出工作場所，確需攜帶外出，經(jīng)本部門、單位領(lǐng)導(dǎo)審批且備案后方可出廠，隨身攜帶，嚴(yán)防被盜或丟失；（十）經(jīng)保密辦批準(zhǔn)，允許與涉密信息系統(tǒng)相連的數(shù)碼設(shè)備（如相機(jī)、錄音筆）等，應(yīng)按涉密載體管理；（十一）涉密存儲介質(zhì)的維修和維護(hù)由科技信息部統(tǒng)一負(fù)責(zé)，外送維修須經(jīng)主管領(lǐng)導(dǎo)審批同意，并送指定維修點(diǎn)維修；（十二）發(fā)現(xiàn)存儲介質(zhì)丟失，應(yīng)立即報告本部門、單位和保密辦，并及時組織查處。第五十六條 保管和銷毀（一）涉密存儲介質(zhì)必須由本部門、單位集中統(tǒng)一保管并在有安全保障的保密柜中保存；（二）對重要的存儲介質(zhì)，應(yīng)定期進(jìn)行循環(huán)復(fù)制備份；（三）存儲介質(zhì)的報廢、銷毀，由應(yīng)編制銷毀清單，由本部門、單位主要領(lǐng)導(dǎo)簽字后，統(tǒng)一交保密辦鑒定并做消磁或粉碎處理。第七章信息交換及中間轉(zhuǎn)換機(jī)管理第五十七條涉密計算機(jī)和信息系統(tǒng)與其他計算機(jī)和信息系統(tǒng)的信息交換必須經(jīng)過中間轉(zhuǎn)換機(jī)。中間轉(zhuǎn)換機(jī)是指與任何計算機(jī)和信息系統(tǒng)實(shí)現(xiàn)物理隔離、獨(dú)立運(yùn)行的專用計算機(jī)，專門用于涉密計算機(jī)和涉密信息系統(tǒng)與其它計算機(jī)和信息系統(tǒng)之間的信息交換。中間轉(zhuǎn)換機(jī)分為非涉密中間轉(zhuǎn)換機(jī)和涉密中間轉(zhuǎn)換機(jī)，中間轉(zhuǎn)換機(jī)上應(yīng)安裝符合國家保密要求的計算機(jī)病毒和惡意代碼防護(hù)產(chǎn)品。非涉密中間轉(zhuǎn)換機(jī)用于從國際互聯(lián)網(wǎng)、公眾信息網(wǎng)絡(luò)和非涉密信息系統(tǒng)到涉密計算機(jī)和涉密信息系統(tǒng)進(jìn)行外部非涉密信息的載入，包括計算機(jī)病毒和惡意代碼樣本庫、補(bǔ)丁程序、應(yīng)用程序和其它相關(guān)信息等。涉密中間轉(zhuǎn)換機(jī)用于從公司外部的涉密計算機(jī)和涉密信息系統(tǒng)（涉密移動存儲介質(zhì)）到公司內(nèi)部涉密計算機(jī)和涉密信息系統(tǒng)的信息交換。涉密中間轉(zhuǎn)換機(jī)的密級應(yīng)根據(jù)轉(zhuǎn)換信息的最高密級確定。涉密網(wǎng)絡(luò)中間轉(zhuǎn)換機(jī)是指單位接入涉密信息系統(tǒng)的管理員專用于信息交換的涉密計算機(jī)。專用涉密傳遞盤是指經(jīng)技術(shù)綁定后的公司各單位內(nèi)部及各部門、單位之間用于涉密