摘  要：根据军工行业涉密信息系统分级保护工作的实质，对军工企业涉密信息系统分级保护工作的几个关注点和容易混淆的问题进行了讨论，就如何开展好分级保护工作提出了解决办法或工作思路。
    关键词：分级保护；网络安全；信息安全
    0 前言
    涉密信息系统分级保护工作是在新的形势下，我国为规范涉密信息系统管理、应对信息安全挑战而采取的重大安全保密举措。分级保护的核心思想：对涉密信息系统内不同密级的信息，在合理平衡安全风险与成本的基础上，采取不同强度的保护措施，以实现保密技术防范工作由重点防护向全面综合防护的转变。简单地说，就是在同一个涉密网络内，通过划分不同的安全域，实现对涉密信息的分级保护，既防止欠保护，也防止过保护，以确保国家秘密安全为原则。军工生产企业是分级保护工作的重点推进单位，在园区网分级保护工作实施过程中如何抓住分级保护工作的实质，如何快速有效地推进工作，有着特别重要的意义。
    1 分级保护与其他信息安全相关工作的关系
    涉密信息系统分级保护来源于国家总体信息安全等级保护制度，其发展历程为：
    2003年，中办27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》提出：“对涉及国家秘密的信息系统，要按照党和国家有关保密规定进行保护”。
    2004年，四部委（公安部、国家保密局、国家密码管理局、国务院信息化工作办公室）联合下文将信息和信息系统的安全等级共分为5级，即：自主保护级、指导保护级、监督保护级、强制保护级、专控保护级。
    2004年，中保委在《关于加强信息安全保障工作中保密管理的若干意见》中提出：“要制定涉密信息分级保护管理规范和技术标准，建立和完善涉密信息系统的分级保护制度”、“涉密信息系统也按照秘密、机密、绝密三级进行分级管理”。
    2005年，国保发16号文件《涉密信息系统分级保护管理办法》，明确提出涉密信息系统分级管理要求。
    2006年，四部委发布公通字7号文，进一步明确了公安、保密、密码、信息化部门的职责。由国家保密工作部门负责涉密信息系统分级保护工作的指导、监督和检查。
    2006年至2007年，国家保密局相继下发《涉及国家秘密的信息系统分级保护技术要求》、《涉及国家秘密的信息系统分级保护管理规范》以及《涉及国家秘密的信息系统分级保护测评指南》等保密标准，从技术、管理以及系统测评等方面对涉密信息系统分级保护工作提出了具体要求和实施指导。

    2 军工涉密网络分级保护工作的关注点
    2.1 分级保护工作的几个关键环节
    要做好分级保护工作，首先要学习、领会与分级保护相关的文件及保密标准。其次，要熟知分级保护的工作流程。分级保护工作包括9个环节，其基本流程是：规范信息定密->系统定级->方案设计与审核->方案实施->系统测评->系统审批->日常管理->测评与检查->系统废止。只有正确理解了这9个环节，才能分阶段、按计划、有条不紊地做好工作。
    2.2 分级与分域
    军工涉密网络分级保护工作的落脚点就是要实现对涉密信息的 “分级分域”管理。因此，“分级”与“分域”是两项非常重要的基础工作。分级，即是在对网络内存储、处理的信息进行规范定密的前提下，界定涉密网络系统的密级。涉密信息系统一般分为秘密、机密、绝密三级。具体密级需按该网络系统所处理信息的最高密级以及所处理涉密信息的重要程度来界定。
    分域，即对园区网络划分不同的安全域。对应不同的保护级别，一般的安全域划分也可照此划为非密、秘密、机密、绝密四个不同的安全域。实行分级保护后，在一个涉密网络内允许存在非涉密安全域，但该涉密网络必须按照其最高安全域的密级定密，非涉密计算机只能安放在非密安全域中，且必须按照涉密机进行管理。
    2.3 关键的测评项
    对于分级保护工作，国家保密局在《涉及国家秘密的信息系统分级保护测评指南》中对具体的技术及管理指标都有明确的要求，因此，要做好分级保护的方案设计，应准确把握好测评标准。在测评标准中，有几个测评重点值得关注：
    2.3.1 物理隔离
    该项要求涉密信息系统不能直接或间接国际联网，应实行物理隔离。这里需要注意的一是“设备”，凡是处理涉密信息的终端物理设备，包括涉密传真机、复印机、IP电话等，都属于被禁止连接互联网的设备。另一个需注意的是“上网方式”，不论是有线还是无线，都应禁用。很多军工单位所用的涉密设备（如涉密笔记本以及鼠标、键盘等外设）都有无线及蓝牙等连网模块，应予以及时拆除或禁用。
    2.3.2 安全保密产品选择
    该项要求涉密信息系统中使用的安全保密产品原则上应选用通过国家相关主管部门授权的测评机构检测通过的国产设备。购置安全保密设备时，一定要仔细查看测评机构出具的报告和证书，分析拟采用的设备功能是否都通过了国家保密局指定测评机构的测评。因为产品的功能一般会有很多，而测评机构测评的往往也不是产品功能的全部，所以，要仔细分析测评报告，确定拟采用的设备功能是否通过了有关测评。
    2.3.3 安全域边界防护
一方面，要求安全域边界要明确，域之间的通信可控；另一方面，要求有安全措施禁止高密级信息由高等级安全域流向低等级安全域。一般做法是，在不同安全域之间采用防火墙、隔离网闸等边界安全设备或采用VLAN的方式划分不同安全域。对信息流向的控制，目前还没有特别有效的、比较通用的技术手段，采用较多的方法是通过在防火墙等边界安全设备中设置关键字过滤的手段。另外，通过应用程序与严格的管理制度相结合来实现信息流向控制，也不失为一个好办法。
    2.3.4 密级标识
    该项要求涉密网络中的信息都应有相应的密级标识，且密级标识应与信息主体不可分离、不得篡改。由于涉密信息系统中涉密信息形式的多样性，加之密级标识的技术标准目前尚缺，要具体落实该项要求难度很大。各军工企业一般都会根据自己的特点采用不同的解决办法。比如有的企业对文档类的涉密文件和目录采用在目录名和首页进行密级标注、在图档类文件采用在标题栏中增加密级标识栏的办法，还有的企业应用了专门的文档管理系统（如OA、PDM、图档管理系统等）结合数字签名技术对涉密信息进行了密级标识和保护。种种方法，不一而足，但关键还是要制定一个对涉密文档进行控制管理的制度和机制，只有做到对涉密文档的有效控制，密级标识才能落到实处。
    2.3.5 身份鉴别
    该项要求有两点，一是要对信息系统中涉密的服务器、用户终端以及应用程序的本地和远程登录进行用户身份鉴别，二是要对安全保密设备的本地和远程配置等操作也要进行用户身份鉴别。具体实施时，首先应根据自身特点采用不同的身份鉴别方式，如有的单位采用了安全认证网关、AD域用户管理等方式对内部网络账号进行了统一管理，有的还采用了实名制用户管理等形式，某些重点涉密单位还采用了IC卡、USB key或生理特征识别等方式进行身份鉴别；其次，要采取多种技术手段确保身份鉴别的有效性、唯一性，如做好口令、密钥的管理工作，加强对系统管理员操作的审计等。
    2.3.6 访问控制
    该项要求按照主体类别、客体类别进行涉密信息和重要信息的访问控制，主体应控制到单个用户，客体应控制到信息类别。此处的“主体”、“客体”可以理解为涉密的应用系统、数据库系统中的用户与信息。对系统的用户管理而言，必须做到单个用户与账号的一一对应，对系统中存放的信息而言，要做到信息的分类管理及授权访问。
    2.3.7 信息传输时的密码保护
    该项要求在远程传输信息时，应采取密码保护措施，但对处于独立、封闭建筑群内的涉密信息系统传输线路满足保密要求时，可不采用密码保护措施。因此，在可控的园区网范围内，可以不考虑信息的加密传输，超出园区范围，如有不可控区域，则应考虑对这部分的信息传输进行加密处理。需要注意的是，许多军工企业园区网的布线系统在初建时，均没有考虑电磁泄露防护的问题，这时需要按要求进行必要的整改，使之符合要求。
    2.3.8 电磁泄露发射防护
    该项要求信息设备在不满足BMB2-1998的要求时，应采取电源隔离防护装置和电磁干扰器等电磁泄露发射防护措施。电磁泄露防护是大部分军工企业园区网的弱项。因此，与此相关的整改工作应是分级保护工作的重点。在核心涉密机房建立电磁屏蔽室、配置红黑电源隔离插座、加装线路传导干扰仪都不失为一些好的方法。另外，在新建网络时，要把电磁屏蔽作为一项网络的基本要求来同步建设。
    2.3.9 集成资质单位的选择
    军工企业园区网在实施涉密信息系统建设时，应在各级保密工作部门的指导与监督下，按照《涉及国家秘密的计算机信息系统集成资质管理办法》有关要求选择好系统集成单位。要在方案设计的相关文档中体现对承建单位的资质要求。另外，建设单位如不能自己完成风险评估，则所委托的承建单位也需具有相应的涉密系统集成资质或单项资质。
    2.3.10 管理机构职责
    军工企业单位负责安全保密管理的机构要有完善的管理文档，并有明确的职责。其职责内容应包括涉密信息系统安全保密管理的各个方面。在具体测评时，体现在7个方面。概括起来，就是组织指导、制订策略和制度、进行检查与评估、开展教育与培训、确定涉密人员职责和权限、日常管理和监督检查、对外协调与联系等。
    2.3.11 管理制度
    军工涉密网络应建立相应的安全保密责任制度，明确岗位职责并实行领导责任制度，层层落实，责任到人。从人员、物理设施与环境、设备与介质、运行与开发和信息保密五个方面制订相应的安全保密工作制度。如：涉密人员管理制度、涉密机房管理制度、涉密介质和涉密设备管理制度、园区网运行维护管理制度、应急响应制度、灾难恢复制度和监督检查制度等。
    2.3.12 管理人员
    分级保护要求对涉密信息系统实行三员管理，配备系统管理员、安全保密管理员和安全审计员三类安全保密管理员（后两类人员不能兼任），分别负责系统的运行、安全保密和安全审计工作。其中，系统管理员主要负责系统的日常运行维护工作；安全保密管理员主要负责系统的日常安全保密管理工作，包括用户账号管理以及安全保密设备和系统所产生的日志文件的审查分析；安全审计员主要负责对系统管理员、安全保密管理员的操作行为进行审计跟踪分析和监督检查。需注意的是，正因为有这样的要求，我们在安全产品选型时，就要选择那些支持三员管理的产品；在制订保密制度时，要注意处理好三类管理员的职责与权限划分。使三员管理在技术与管理上都能落到实处。

    3 几个关键问题
    3.1 技术与管理，孰轻孰重？
    从以前的“七分管理、三分技术”到现在的“技管并重”，人们对涉密信息系统的安全保密工作的理解在具体实践中不断深化。在具体的企业分级保护实施工作过程中，对于涉密信息系统的技术体系建设与管理体系建设孰轻孰重，恐怕没有唯一的标准，而是要根据每个单位的具体情况而定，技术薄弱的单位重点在于技术改造，管理滞后的单位重点在于管理体系的建立和完善。关键是要做到“两手都要硬”：如果没有好的管理，光有好的技术架构和好的产品，保密体系也会形同虚设；而光有一套好的管理思想，却由一个漏洞百出的技术体系来保障，同样也发挥不出管理的效益。因此，军工企业在实施分级保护工作时，既要抛弃以买几个安全产品敷衍了事的错误思想，又要防止一味强调管理的重要性而忽视技术条件建设的麻痹思想。
    3.2 浩如烟海的产品，选谁为好？
    对涉密信息系统所选用的产品来说，首先应该确保符合国家保密标准的相关资质要求，其次才是根据用户自己的具体需要选择合适的产品。由于安全产品市场带有一定的政策导向，因此，提供安全产品的厂商也会越来越多。面对浩如烟海的产品，选谁为好？关键还是要做好自己的分级保护工作的总体规划和使之落地的实施方案。首先，安全保密工作是一个系统性的工作，做好分级保护工作也需要体系（技术体系和管理体系）的支撑，顶层规划尤为重要；其次，面对功能交叉的多类产品，如果事先不做好具体的总体实施方案，以保证各系统间衔接有序、利于集成，则难免会陷入重复建设的漩涡，事倍而功半。
    3.3 保密部门与信息部门，主角是谁？
    很多军工企业分级保护工作在推进过程中碰到的阻力，很多来源于对该项工作的责任主体不明。按“谁主管、谁负责”的保密管理原则，由军工涉密信息系统建设使用单位负责本单位涉密信息系统分级保护的具体实施工作。在系统定级阶段，保密部门要发挥准确掌握国家保密政策的优势，与信息化建设部门、业务工作部门一起研究确定系统和安全域所处理信息的最高密级、规范定密，从而确定等级。方案设计阶段，信息化建设部门要组织设计符合保密要求的分级保护方案，保密管理部门应对总体方案进行监督、检查和指导，并组织专家进行评审论证。工程实施阶段，信息化建设部门应具体承担组织实施工作，并与保密管理部门定期检查工作进展，及时协调处理各类问题。系统工程实施结束后，保密管理部门应负责组织系统测评和系统审批工作。系统投入运行后，保密、信息化、业务工作、密码、保卫和人事等有关部门应按“分工协作、各司其责”的原则，积极配合完成日常安全保密管理工作。

    4 分级保护测评通过后应该注意什么？
    分级保护测评通过后是否就可以高枕无忧了？答案显然是否定的。首先，如安全保密工作一样，分级保护工作也是动态的，不管是国家政策、法律法规，还是企业自身的安全需求，都处在变化、完善的过程中。所以，只有不断推进分级保护技术与管理体系建设，才能真正做到确保国家秘密安全；其次，分级保护测评只是从某些方面验证了涉密系统符合标准要求，要真正要做到“本质安全”，还需要经过保密部门与业务部门长期坚持不懈的努力。因此，常抓不懈、警钟长鸣始终是军工企业做好涉密信息系统安全保密工作应有的态度。

    参考文献： 
    1. 杜虹. 关于涉密信息系统分级保护的几个问题[J]. 保密工作.2006,11:16-17. 
    2. 赵占生，杜虹，吕述望等. 信息安全保密教程[M].合肥市: 中国科学技术大学出版社, 2006.
 

(责任编辑：)