检察机关信息系统分级保护工作研究

  中央保密委员会于2004年12月23日下发了《关于加强信息安全保障工作中保密管理若干意见》明确提出要建立健全涉密信息系统分级保护制度。自2005年起，国家保密局组织制定并颁布实施了一系列关于涉密信息系统分级保护的法规与标准。2007年9月7日，国家保密局召开了全国涉密信息系统分级保护工作会议，推广了试点工作经验，部署了分级保护工作。自此，涉密信息系统分级保护工作已进入了全面推进阶段。

  检察机关作为国家法律监督机关，是国家保密局确定的高涉密单位，检察专网因而成为全国检察机关当前唯一的涉密网络。随着检察信息化建设快速推进，检察机关各类信息包括涉及国家秘密的信息越来越多的以电子数据形式出现在检察专网上，大量涉密信息材料都将在检察专网上运行，因此检察专网分级保护工作已成为当前刻不容缓的工作任务。

  一、涉密信息系统分级保护工作概况

  1、涉密信息系统分级保护的含义

  涉密信息系统分级保护是指涉密信息系统的建设使用单位根据分级保护管理办法和有关标准，对涉密信息系统分等级实施保护，各级保密工作部门根据涉密信息系统的保护等级实施监督管理，确保系统和信息安全。

  2、涉密信息系统分级保护管理原则

  涉密信息系统分级保护管理原则为：规范定密，准确定级;依据标准，同步建设;突出重点，确保核心;明确责任，加强监督。

  3、涉密信息系统的等级划分

  涉密信息系统安全分级保护根据涉密信息系统处理信息的最高密级，由低到高可以划分为秘密、机密和绝密三个等级。秘密级：信息系统中包含有最高为秘密级的国家秘密，其防护水平不低于国家信息安全等级保护三级的要求，并且还必须符合分级保护的保密技术要求。机密级：信息系统中包含有最高为机密级的国家秘密，其防护水平不低于国家信息安全等级保护四级的要求，还必须符合分级保护的保密技术要求。绝密级：信息系统中包含有最高为绝密级的国家秘密，其防护水平不低于国家信息安全等级保护五级的要求，还必须符合分级保护的保密技术要求，绝密级信息系统应限定在封闭的安全可控的独立建筑内，不能与城域网或广域网相联。

  二、涉密信息系统分级保护工作开展

  根据“谁主管、谁负责”的保密管理原则，涉密信息系统建设使用单位负责本单位涉密信息系统分级保护的具体实施工作。涉密信息系统分级保护工作是一项复杂的系统工程，为了保证检察机关涉密信息系统分级保护工作顺利开展，检察长应高度重视此项工作，成立专项工作领导小组，研究并解决分级保护工作涉及的资金、技术、管理、方案设计、审批等问题，组织协调各部门沟通配合，由保密部门负责做好涉密设施设备的台账工作;技术部门负责分级保护实施方案设计和信息系统软硬件设备的安全技术防范工作;政工部门负责保密人员的调配和政审工作，计财部门负责分级保护项目申报、资金以及相关安全设备购置工作;法警部门负责落实安全保卫工作。科学管理，突出重点，顺利开展检察机关涉密信息系统分级工作。

  按照国家保密局颁布实施的一系列关于涉密信息系统分级保护的法规与标准，检察机关涉密信息系统分级保护工作应把握好四个基本步骤：系统定级与分域、方案设计与实施、系统测试与审批、系统运行与维护。

  1、 系统定级与分域

  在开展检察机关涉密信息系统分级保护工作中，系统定级决定了系统方案的设计实施、安全措施、运营等涉密信息系统建设的各个环节，因此，如何准确地对涉密信息系统进行定级在组织信息系统实施分级保护中尤为重要。

  涉密信息系统定级应遵循“谁建设、谁定级”的原则。检察专网是经国家保密局确定的涉密网络，运行于检察专网上的信息系统大部分是重要的涉密信息系统，根据其涉密信息系统处理信息的最高密级，确定系统保护等级。

  在涉密信息系统的分级保护中，涉密信息系统可以根据信息密级，系统重要性和安全策略划分为不同的安全域，针对不同的安全域确定不同的等级，并进行相应的保护。同时，在同一系统里，还允许划分不同的安全域，在每个安全域可以分别定级，不同级别的信息系统间设置严格边界及策略保护，更加科学地实施分级保护，在一定程度上解决了保重点、保核心的问题，也有效避免了因过度保护而造成应用系统的运行效能降低以及投资浪费等问题。

  检察机关涉密信息系统是一个全国性的信息系统，既有基础网络通信平台、计算机环境平台，又有多种业务应用平台，这些应用的安全保密等级不同，所应采取的安全保密保护策略也不同，具体到每个单位每个部门的信息系统如何分域，则应根据自身实际情况，进行仔细分析认真研究，可把每个单位的所有信息系统整体设为一个独立的安全保密域，也可根据业务应用对安全保密的要求将业务应用平台细分为工作秘密、秘密、机密等不同保护等级的安全保密域。

  2、 方案设计与实施

  涉密信息系统建设使用单位在各级保密工作部门的指导与监督下，选拔具有相应涉密资质的承建单位承担或参与涉密信息系统的系统集成、软件开发、综合布线、系统服务、系统咨询、风险评估、屏蔽室建设、工程监理和保密安防监控的方案设计与实施工作。涉密信息系统建设使用单位在工程实施前，应对系统设计方案进行审查论证，保密工作部门应当参与方案审查论，在系统总体安全保密性方面加强指导，严格把关。

  在工程实施阶段，主要抓好保密管理和工程监理工作。涉密信息系统建设使用单位应根据工程的具体情况划定保密范围，制定相应的保密措施和保密控制流程，严格控制接触涉密信息的人员范围。同时还应选择具有涉密工程监理单项资质的单位或组织自身力量在安全保密控制、质量控制、进度控制、成本控制、合同管理和文档管理六个方面加强监督检查。

  3、系统测试与审批

  涉密信息系统投入运行必须先测评后审批。涉密信息系统建设使用单位在系统工程实施结束后，应当向保密工作部门提出申请，按照国家保密工作部门授权的系统测评机构的要求，提交测评所需的必要资料。测评按照《涉及国家秘密的信息系统分级保护测评指南》执行，全面验证所采取的安全保密措施能否满足安全保密需求和分级保护的要求，为涉密信息系统审批提供依据。

  保密工作部门在系统测评的基础上对系统进行审批，对符合要求的涉密信息系统批准其投入使用。对不符合要求的，保密工作部门提出整改意见，由使用单位对系统进行整改后另行报批。

  4、系统运行与维护

  为了保证涉密信息系统的安全运行，涉密信息系统的管理者和使用者，应结合系统实际制定明确的安全保密管理策略，使用先进的安全保密管理技术，从人员管理、物理环境与设施管理、设备与介质管理、运行与开发管理和信息保密管理五个方面进行日常安全保密管理。建立和完善运维保障日志记录，加强对网络状况进行监测，及时分析、处理安全事件，定期查询设备日志。建立安全管理中心对信息系统中各种系统、应用、设备、安全产品进行集中管理和监控，达到全面安全保密管理的目标。

  运行及维护过程的不可控性以及随意性，往往是信息系统安全运行的重大隐患，应据此制定应急计划和响应策略，进行应急响应培训和应急响应演练，确保涉密信息系统正常运行。

  涉密信息系统分级保护工作是一项系统工程，由于所涉及技术、管理的复杂性、安全防护与攻击技术存在的非对称性等因素，还有许多问题要待研究。为保障检察机关信息系统安全可靠，必须不断强化信息安全观念，制定具体的信息安全防护策略，全面落实各项制度、预案加强技术积累，确保检察机关信息系统的安全稳定运行。