【正文】 、計(jì)算機(jī)病毒與惡意代碼防護(hù)產(chǎn)品、漏洞掃描產(chǎn)品、安全監(jiān)控與審計(jì)產(chǎn)品、身份認(rèn)證系統(tǒng)、電磁泄漏發(fā)射防護(hù)產(chǎn)品等的管理 105 信息安全保密管理體系 ? 安全保密管理制度 –管理制度一般包括： ? 用戶終端、應(yīng)用系統(tǒng)安全保密管理規(guī)定 – 用戶終端的準(zhǔn)入控制、軟件安裝管理；應(yīng)用系統(tǒng)的開發(fā)、安裝、用戶管理與授權(quán)、涉密信息總量統(tǒng)計(jì) ? 保密檢查以及風(fēng)險(xiǎn)評(píng)估管理規(guī)定 – 保密檢查相關(guān)規(guī)定；風(fēng)險(xiǎn)評(píng)估內(nèi)容、程序、工具、人員、實(shí)施方式等 ? 安全保密管理人員管理規(guī)定 – 涉密網(wǎng)絡(luò)安全保密管理人員與使用人員的審查、確定、變更、備案以及教育培訓(xùn) 106 信息安全保密管理體系 ? 安全保密管理制度 –管理制度一般包括： ? 應(yīng)急預(yù)案與應(yīng)急響應(yīng)管理規(guī)定 – 軟硬件的備份要求；應(yīng)急預(yù)案的編制、完善以及恢復(fù)演練的要求 ? 信息輸入輸出管理規(guī)定 – 涉密網(wǎng)內(nèi)各類信息的輸入輸出管理要求；各類文檔的打印、刻錄、復(fù)制輸出控制的管理要求；信息的導(dǎo)入導(dǎo)出流程 ? 運(yùn)行維護(hù)服務(wù)外包管理規(guī)定 – 運(yùn)維委托單位與承接單位的職責(zé)；各類設(shè)備、系統(tǒng)的管理配置流程；委托單位和承接單位人員配備 107 本節(jié)課程提綱 ? 信息安全 、密碼 管理體制 概述 ? 信息安全保密管理標(biāo)準(zhǔn)體系 ? 信息安全保密管理體系 –安全保密管理機(jī)構(gòu) –安全保密管理制度 –安全保密管理策略 –安全保密管理人員 108 信息安全保密管理體系 ? 安全保密管理制度 –物理安全策略 ? 物理隔離、涉密場(chǎng)所環(huán)境與區(qū)域控制、中心機(jī)房與配線間、綜合布線、信息設(shè)備安全、無線與多媒體設(shè)備使用管控 109 信息安全保密管理體系 ? 安全保密管理制度 –信息安全技術(shù)策略 ? 網(wǎng)絡(luò)層訪問控制策略、應(yīng)用層訪問控制策略、身份認(rèn)證策略、違規(guī)外聯(lián)監(jiān)控安全策略、安全監(jiān)控與審計(jì)安全策略、入侵檢測(cè)安全策略、計(jì)算機(jī)病毒與惡意代碼防范策略、信息交換策略、漏洞掃描安全策略、密碼保護(hù)安全策略、信息完整性策略、抗抵賴策略、電磁泄漏發(fā)射防護(hù) –運(yùn)維策略 ? 涉密網(wǎng)絡(luò)運(yùn)行維護(hù)策略、備份與恢復(fù)策略、應(yīng)急響應(yīng)策略 110 本節(jié)課程提綱 ? 信息安全 、密碼 管理體制 概述 ? 信息安全保密管理標(biāo)準(zhǔn)體系 ? 信息安全保密管理體系 –安全保密管理機(jī)構(gòu) –安全保密管理制度 –安全保密管理策略 –安全保密管理人員 111 信息安全保密管理體系 ? 安全保密管理人員 –安全保密管理人員作用 –安全保密管理人員職責(zé) –安全保密管理人員任免 –安全保密管理人員監(jiān)管 112 信息安全保密管理體系 ? 安全保密管理人員作用 –涉密信息系統(tǒng)安全保密形勢(shì)依然嚴(yán)峻 ? 涉密網(wǎng)絡(luò)安全保密風(fēng)險(xiǎn)需要持續(xù)進(jìn)行降低 – 難以涵蓋所有惡意因素 – 風(fēng)險(xiǎn)只能降低到可控范圍內(nèi)，無法消除 – 頻率和危害程度難以量化 – 技術(shù)不斷發(fā)展，風(fēng)險(xiǎn)動(dòng)態(tài)變化 ? 涉密網(wǎng)絡(luò)安全保密管理仍需加強(qiáng) – 針對(duì)性、可操作性不強(qiáng) – 責(zé)任未作細(xì)化 – 技術(shù)防護(hù)未達(dá)標(biāo)準(zhǔn) – 監(jiān)管不到位 113 信息安全保密管理體系 ? 安全保密管理人員作用 –涉密信息系統(tǒng)安全保密管理仍需加強(qiáng) ? 安全保密管理應(yīng)建立制衡機(jī)制 – 超級(jí)管理員：創(chuàng)建、刪除各類用戶；對(duì)任意文件進(jìn)行任意操作；隨意安裝軟件程序；任意修改系統(tǒng)配置；任意訪問、獲取各類信息 – 三員的設(shè)立：系統(tǒng)管理員、安全保密管理員和安全審計(jì)員 114 信息安全保密管理體系 ? 安全保密管理人員職責(zé) 國(guó)家保密標(biāo)準(zhǔn) BMB202023《 涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范 》 要求：應(yīng)指定在編人員擔(dān)任 系統(tǒng)管理員 、 安全保密管理員 、 安全審計(jì)員 ,分別負(fù)責(zé) 系統(tǒng)運(yùn)行維護(hù) 、 安全保密管理 和 安全審計(jì)工作 115 信息安全保密管理體系 ? 安全保密管理人員職責(zé) –系統(tǒng)管理員職責(zé) 1. 負(fù)責(zé)網(wǎng)絡(luò)系統(tǒng)、服務(wù)器等日常運(yùn)行維護(hù)以及技術(shù)支持，保障網(wǎng)絡(luò)系統(tǒng)、服務(wù)器系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和各種軟硬件正常運(yùn)行 2. 在安全保密管理員配合下，定期升級(jí)安全保密設(shè)備及其規(guī)則庫 3. 配合安全保密管理員定期進(jìn)行病毒查殺，保障涉密網(wǎng)與安全保密設(shè)備協(xié)調(diào)，確保系統(tǒng)操作符合安全保密管理策略 116 信息安全保密管理體系 ? 安全保密管理人員職責(zé) –系統(tǒng)管理員職責(zé) 4. 對(duì)單位涉密網(wǎng)絡(luò)的系統(tǒng)日志、策略配置文件等數(shù)據(jù)定期備份 5. 負(fù)責(zé)定期分析網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)的系統(tǒng)日志，針對(duì)系統(tǒng)異常、錯(cuò)誤或報(bào)警等分析原因，提出解決辦法 6. 負(fù)責(zé)網(wǎng)絡(luò)與系統(tǒng)運(yùn)行狀況統(tǒng)計(jì)分析，定期編寫網(wǎng)絡(luò)運(yùn)行報(bào)告 7. 根據(jù)本機(jī)關(guān)、單位涉密網(wǎng)絡(luò)運(yùn)行需求變化，不斷優(yōu)化系統(tǒng)運(yùn)行環(huán)境，合理配置網(wǎng)絡(luò)與系統(tǒng)資源 117 信息安全保密管理體系 ? 安全保密管理人員職責(zé) –安全保密管理員職責(zé) 1. 負(fù)責(zé)編制涉密網(wǎng)絡(luò)安全保密策略文件，實(shí)施各類安全保密設(shè)備的安全策略，根據(jù)環(huán)境、系統(tǒng)和威脅變化情況及時(shí)調(diào)整、更新安全保密策略，及時(shí)備份安全保密策略 2. 負(fù)責(zé)實(shí)施系統(tǒng)用戶權(quán)限分配及調(diào)整 3. 協(xié)助系統(tǒng)管理員完成操作系統(tǒng)的各項(xiàng)配置，制定和實(shí)施安全保密策略 118 信息安全保密管理體系 ? 安全保密管理人員職責(zé) –安全保密管理員職責(zé) 4. 檢查分析安全保密設(shè)備、操作系統(tǒng)和應(yīng)用系統(tǒng)用戶操作日志，負(fù)責(zé)對(duì)用戶及安全審計(jì)員的操作行為進(jìn)行審計(jì) 5. 負(fù)責(zé)對(duì)系統(tǒng)日志審計(jì)、異常事件和行為進(jìn)行統(tǒng)計(jì)分析，定期形成文檔化的安全保密審計(jì)報(bào)告 6. 負(fù)責(zé)網(wǎng)絡(luò)安全日志、事件信息統(tǒng)計(jì)分析，定期開展風(fēng)險(xiǎn)評(píng)估工作并形成文檔化的風(fēng)險(xiǎn)分析報(bào)告 119 信息安全保密管理體系 ? 安全保密管理人員職責(zé) –安全審計(jì)員職責(zé) 1. 對(duì)系統(tǒng)管理員和安全保密管理員制定和更改操作系統(tǒng)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的安全策略、用戶權(quán)限以及參數(shù)設(shè)置等進(jìn)行審核和監(jiān)督 2. 定期檢查系統(tǒng)管理員和安全保密管理員填寫的維護(hù)記錄，通過記錄對(duì)系統(tǒng)管理員和安全保密管理員的操作行為實(shí)行監(jiān)督，對(duì)可疑的信息進(jìn)行安全審計(jì)和跟蹤控制，發(fā)現(xiàn)違規(guī)行為及時(shí)向安全保密管理機(jī)構(gòu)報(bào)告 120 信息安全保密管理體系 ? 安全保密管理人員職責(zé) –安全審計(jì)員職責(zé) 3. 負(fù)責(zé)對(duì)系統(tǒng)管理員和安全保密管理員的異常操作和行為統(tǒng)計(jì)分析，定期形成文檔化的安全保密審計(jì)報(bào)告 121 信息安全保密管理體系 ? 安全保密管理人員職責(zé) –“三員”管理流程舉例 ? 用戶使用涉密網(wǎng)時(shí)，首先提出書面申請(qǐng)（信息種類、密級(jí)、權(quán)限），履行必要審批手續(xù)，報(bào)送本單位保密管理機(jī)構(gòu)備案 ? 系統(tǒng)管理員根據(jù)用戶書面申請(qǐng)審批情況，在涉密系統(tǒng)中為該用戶生成標(biāo)識(shí)符，創(chuàng)建用戶賬號(hào) ? 安全保密管理員根據(jù)用戶書面申請(qǐng)審批情況，配置相應(yīng)權(quán)限，并激活賬號(hào) 122 信息安全保密管理體系 ? 安全保密管理人員職責(zé) –“三員”管理流程舉例 ? 當(dāng)用戶工作變動(dòng)或者權(quán)限發(fā)生變化時(shí)，由有關(guān)部門書面通知安全保密管理員注銷用戶賬號(hào)或進(jìn)行權(quán)限調(diào)整，并在本單位的保密管理部門備案 ? 安全審計(jì)員定期查看與系統(tǒng)管理員、安全保密管理員相關(guān)操作的審計(jì)日志，當(dāng)發(fā)現(xiàn)用戶賬號(hào)增加、刪除和用戶權(quán)限變化的情況時(shí)，及時(shí)查閱相關(guān)文件，以確定系統(tǒng)管理員、安全保密管理員的操作是否經(jīng)過授權(quán)和批準(zhǔn) 123 信息安全保密管理體系 124 用戶本人書面申請(qǐng) 領(lǐng)導(dǎo)審批 安全審計(jì)員 審計(jì) 系統(tǒng)管理員 通知 保密管理部門 備案 提出申請(qǐng) 設(shè)置權(quán)限 訪問 審計(jì) 涉密網(wǎng) 創(chuàng)建賬號(hào) 安全保密管理員 通知 審計(jì) 信息安全保密管理體系 ? 安全保密管理人員職責(zé) –“三員”的相關(guān)職責(zé) ? 配合管理本單位的設(shè)備臺(tái)賬 ? 配合定期開展對(duì)本單位涉密網(wǎng)絡(luò)使用人員的培訓(xùn)工作 ? 配合完成涉密網(wǎng)絡(luò)安全保密測(cè)評(píng)和審批工作 ? 配合完成涉密網(wǎng)絡(luò)保密自查以及不定期的保密檢查 125 信息安全保密管理體系 ? 安全保密管理人員任免 涉密網(wǎng)絡(luò)三員應(yīng)當(dāng)由本單位在編內(nèi)部人員擔(dān)任，通過保密管理部門組織的培訓(xùn)，取得保密管理部門統(tǒng)一頒發(fā)的資格證書后，方可上崗履行職責(zé) 126 信息安全保密管理體系 ? 安全保密管理人員任免 –三員應(yīng)具備的條件 1. 政治可靠為首要原則 2. 具有計(jì)算機(jī)網(wǎng)絡(luò)或信息安全保密相關(guān)專業(yè)背景以及業(yè)務(wù)能力 3. 參加保密管理部門組織的培訓(xùn)并獲得培訓(xùn)證書 4. 掌握國(guó)家保密法規(guī)、相關(guān)分級(jí)保護(hù)標(biāo)準(zhǔn)及保密知識(shí) 5. 定期接受上級(jí)部門或者單位組織的安全保密、網(wǎng)絡(luò)相關(guān)專業(yè)培訓(xùn) 6. 了解本單位涉密網(wǎng)絡(luò)環(huán)境，掌握所管理具體設(shè)備或系統(tǒng)的操作 127 信息安全保密管理體系 ? 安全保密管理人員監(jiān)管 系統(tǒng)管理員、安全保密管理員和安全審計(jì)管理員是涉密信息系統(tǒng)安全保密策略的具體執(zhí)行者，因此在開展涉密網(wǎng)絡(luò)運(yùn)行維護(hù)和使用保密管理的同時(shí)，應(yīng)接受保密管理部門、信息化工作機(jī)構(gòu)的監(jiān)管 128 信息安全保密管理體系 ? 安全保密管理人員監(jiān)管 –單位保密管理部門應(yīng)對(duì)“三員”在涉密網(wǎng)絡(luò)運(yùn)行維護(hù)中的工作情況進(jìn)行監(jiān)督 1. 是否遵守涉密網(wǎng)絡(luò)安全保密工作流程以及相關(guān)管理制度 2. 運(yùn)行維護(hù)的相關(guān)操作是否經(jīng)過審批后實(shí)施 3. 日常操作記錄是否全面完整 4. 是否定期編寫提交運(yùn)行報(bào)告和安全審計(jì)報(bào)告 129 信息安全保密管理體系 ? 安全保密管理人員監(jiān)管 –單位信息化機(jī)構(gòu)應(yīng)對(duì)“三員”在涉密網(wǎng)絡(luò)中的相關(guān)運(yùn)行維護(hù)操作工作進(jìn)行監(jiān)督，并考核是否具備崗位能力 1. 操作是否合規(guī) 2. 對(duì)涉密網(wǎng)絡(luò)安全運(yùn)行狀況的監(jiān)控是否到位 3. 是否定期編制審計(jì)報(bào)告和安全風(fēng)險(xiǎn)評(píng)估報(bào)告 4. 是否及時(shí)落實(shí)安全隱患、安全漏洞和安全風(fēng)險(xiǎn)的整改措施 130 信息安全保密管理體系 ? 安全保密管理人員監(jiān)管 –上級(jí)單位信息化工作機(jī)構(gòu)可通過審查各類安全審計(jì)日志，對(duì)三員的運(yùn)行維護(hù)操作工作進(jìn)行監(jiān)督檢查 –人事管理部門對(duì)“三員”的任用考察、教育培訓(xùn)、個(gè)人日常行為表現(xiàn)、工作紀(jì)律、社會(huì)交往和經(jīng)濟(jì)收入等進(jìn)行監(jiān)管 131 演講完畢，謝謝觀看！