●為了加強涉及國家秘密的信息系統的保密管理，確保國家秘密信息安全，國家保密局于2005年發(fā)布了《涉及國家秘密的信息系統分級保護管理辦法》，明確了涉密信息系統實(shí)行分級保護。

●隨后國家保密局協(xié)同相關(guān)單位陸續發(fā)布了《涉及國家秘密的信息系統分級保護技術(shù)要求》、《涉及國家秘密的信息系統分級保護管理規范》、《涉及國家秘密的信息系統分級保護測評指南》、《涉及國家秘密的信息系統分級保護設計指南》等規范性文件，從技術(shù)、管理、測評、設計等方面規范了分級保護的建設。

●中華人民共和國第十屆全國人民代表大會(huì )于2010年4月公布了《中華人民共和國保守國家秘密法》，在法律層面進(jìn)一步明確了涉密信息系統必須按照涉密程度實(shí)行分級保護。

●隨著(zhù)法律法規、部門(mén)規章制度的頒布，各級單位參照法律法規、主管部門(mén)分級保護規章制度的要求，紛紛進(jìn)行了涉密信息系統分級保護安全配套設施和管理制度的建設，如《涉密計算機安全使用保密管理制度》、《互聯(lián)網(wǎng)信息發(fā)布信息保密管理制度》等，并每年根據評分表定期開(kāi)展信息安全檢查，以及時(shí)掌握計算機系統保密工作的管理狀況，發(fā)現存在的安全保密隱患和漏洞。

2020年是不平凡的一年，突然而來(lái)的疫情打亂了很多單位的工作節奏，但截至目前，保密檢查工作依然有條不紊地進(jìn)行中，各級單位紛紛發(fā)出信息安全檢查通知，明確要求對涉及國家安全、經(jīng)濟命脈、社會(huì )穩定的基礎信息網(wǎng)絡(luò )和重要信息系統進(jìn)行信息安全檢查。如何有效加強本單位安全保密管理，提高本單位工作人員的信息安全保密意識和整個(gè)單位信息安全保密防范能力，是各單位迫切需要解決的問(wèn)題，特別是對涉密網(wǎng)非法接入、涉密網(wǎng)計算機未經(jīng)許可違規外聯(lián)、涉密網(wǎng)移動(dòng)存儲介質(zhì)混插、高密級數據從高等級安全域流向低等級安全域、計算機病毒泛濫、內部計算機打印、復制、截屏等信息輸出行為難以控制等問(wèn)題，迫切需要采取相應技術(shù)措施加以控制，聯(lián)軟科技特推出針對保密檢查工作的全方位解決方案，幫助用戶(hù)解決以上問(wèn)題。

解決方案

Part 1邊界安全

根據《涉及國家秘密的信息系統分級保護技術(shù)要求》等相關(guān)內容，涉密網(wǎng)邊界安全涉及安全邊界明確、邊界控制、邊界訪(fǎng)問(wèn)控制、邊界防護措施、邊界訪(fǎng)問(wèn)控制審計、違規外聯(lián)監控六個(gè)方面，重點(diǎn)是要做好邊界控制和違規外聯(lián)監控，這2項在安全檢查中一旦發(fā)現不滿(mǎn)足要求，會(huì )被一票否決。

（1）安全邊界明確

各單位應根據信息系統密級、系統重要性和安全策略劃分不同的安全域，用戶(hù)可根據信息密級、行政級別、業(yè)務(wù)類(lèi)別、地域分布等方法劃分安全域，不同的安全域可單獨確定等級，并按照相應等級進(jìn)行安全防護，當然同一等級的不同安全域可根據風(fēng)險評估結果和實(shí)際安全需求，選擇采用不同的保護要求。

（2）邊界訪(fǎng)問(wèn)控制（可一票否決）

邊界的接入認證和訪(fǎng)問(wèn)控制是涉密網(wǎng)安全控制的基礎，也是分級保護技術(shù)標準中明確要求的必備設施之一，如果不構建涉密網(wǎng)的邊界接入控制設施，在檢查過(guò)程中如果發(fā)現，會(huì )被一票否決。因此，強烈建議用戶(hù)為涉密網(wǎng)部署網(wǎng)絡(luò )準入控制系統，通過(guò)該系統提供的訪(fǎng)問(wèn)控制策略，可實(shí)現基于用戶(hù)的強制訪(fǎng)問(wèn)控制，防止未授權、非合規的設備接入涉密網(wǎng)，并對其資源訪(fǎng)問(wèn)權限進(jìn)行控制，實(shí)現最小授權，防止越權訪(fǎng)問(wèn)非權限范圍內的涉密信息系統資源。

需要說(shuō)明的是，聯(lián)軟網(wǎng)絡(luò )接入控制系統V5.0是聯(lián)軟科技具有涉密信息系統產(chǎn)品檢測證書(shū)的系統，可以在涉密網(wǎng)中使用。同時(shí)，目前已完成了與主流操作系統（UOS、中標麒麟等）、CPU（兆芯、鯤鵬、飛騰、龍芯）的適配，可以滿(mǎn)足用戶(hù)國產(chǎn)化的要求，用戶(hù)可以靈活選擇操作系統和CPU。實(shí)現效果如下圖：

（3）邊界防護措施

根據區域劃分情況，在系統或安全區域邊界的關(guān)鍵點(diǎn)部署安全防護設施，如涉密網(wǎng)終端與網(wǎng)絡(luò )之間的邊界、不同安全等級的區域之間的邊界，針對機密增強、絕密級還應采用安全隔離與信息交換系統（俗稱(chēng)網(wǎng)閘）進(jìn)行邊界防護。

（4）邊界訪(fǎng)問(wèn)控制審計

主要是對邊界訪(fǎng)問(wèn)進(jìn)行訪(fǎng)問(wèn)控制和審計，記錄通過(guò)邊界訪(fǎng)問(wèn)控制設備進(jìn)出邊界的事件，如接入時(shí)間、接入用戶(hù)、接入位置、接入結果等。

（5）入侵檢測

采用入侵檢測等工具對系統內的安全事件進(jìn)行監控，檢測攻擊行為并可及時(shí)發(fā)現系統內非授權使用的情況，并針對機密增強、絕密級另外要求集中管理、與訪(fǎng)問(wèn)控制或流向控制聯(lián)動(dòng)、非授權接入行為發(fā)現。需要說(shuō)明的是聯(lián)軟網(wǎng)絡(luò )入侵檢測系統V5.0可以滿(mǎn)足絕密級入侵檢測的要求，并具有涉密信息系統產(chǎn)品檢測證書(shū)，可以在涉密網(wǎng)中使用，同時(shí)目前已完成了與主流操作系統、CPU的適配。

（6）違規外聯(lián)監控（可一票否決）

及時(shí)發(fā)現違規外聯(lián)行為，如違規連接互聯(lián)網(wǎng)、違規撥號上網(wǎng)等，并可對違規外聯(lián)行為進(jìn)行審計和阻斷，是分級保護技術(shù)標準中明確要求的必備設施之一。同樣一旦檢查中發(fā)現有違規外聯(lián)行為，可一票否決。違規外聯(lián)行為控制點(diǎn)涉及面比較廣，用戶(hù)可通過(guò)紅外、藍牙、軟驅、1394、PCMCI、串口、并口等接口外聯(lián)，如通過(guò)藍牙將涉密終端的數據傳送到非涉密終端，或通過(guò)串口接撥號使設備外聯(lián)互聯(lián)網(wǎng)等，可見(jiàn)非常有必要對終端這些接口進(jìn)行控制；除了通過(guò)上述接口外，也可通過(guò)自建WIFI熱點(diǎn)、雙網(wǎng)口等方式外聯(lián)，這些通道也必須具有控制的能力，如禁用、審計等；另外，移動(dòng)存儲介質(zhì)、智能設備、光驅等外設也可能違規外聯(lián)，導致涉密數據泄露，如手機私設熱點(diǎn)非法外聯(lián)泄露數據、U盤(pán)未經(jīng)允許拷貝涉密電腦數據等，因此對這些設施也需要進(jìn)行相應控制，如不允許光驅刻錄只能讀、不允許U盤(pán)寫(xiě)只能讀、智能設備只讀不允許寫(xiě)等。

Part 2密級標識及安全域間邊界防護

（1）密級標識

根據分保相關(guān)要求，針對涉密信息系統中存在大量電子文件等涉密數據，必須進(jìn)行相應的密級標識，同時(shí)密級標識還應與信息主體綁定，確保不可分割，且其自身也不可篡改。聯(lián)軟科技文檔智能加密系統可以滿(mǎn)足密級標識相關(guān)要求。

（2）安全域間的邊界防護

根據分保相關(guān)要求，所有安全域之間的數據通信必須安全可靠，應禁止高密級信息由高等安全域流向低等級安全域。通過(guò)聯(lián)軟文檔智能加密系統，可將文件進(jìn)行安全域分類(lèi)，設置用戶(hù)權限時(shí)，管理員可以自定義用戶(hù)針對安全域文件的操作權限，如打開(kāi)、打印等，最終可實(shí)現內部數據根據重要性進(jìn)行安全域劃分，高等級安全域的高密級信息不會(huì )流向低等級安全域，如保密部門(mén)的數據屬于絕密數據，只能在保密部門(mén)內部流轉，其他部門(mén)無(wú)法查看和使用保密部門(mén)的文件，但保密部門(mén)可以正常查看和使用其他部門(mén)的文件。

Part 3計算機病毒與惡意代碼防護

根據分保相關(guān)要求，計算機病毒與惡意代碼控制涉及傳播控制、計算機惡意代碼防護、軟件管理、惡意代碼更新四個(gè)方面。

（1）傳播控制

根據分保相關(guān)要求，傳播控制涉及網(wǎng)絡(luò )、電子郵件、U盤(pán)等，因此除了利用防毒墻、電子郵件網(wǎng)關(guān)等設施針對網(wǎng)絡(luò )、電子郵件通道進(jìn)行病毒與惡意代碼防護之外，建議重點(diǎn)做好移動(dòng)存儲介質(zhì)病毒傳播控制，如涉密網(wǎng)環(huán)境下對非授權U盤(pán)進(jìn)行控制，避免惡意代碼等風(fēng)險的帶入涉密網(wǎng)；涉密網(wǎng)非必要終端禁止U盤(pán)使用；指定進(jìn)程拷貝數據，避免惡意進(jìn)程拷貝數據等。

（2）計算機惡意代碼防護

根據分保相關(guān)要求，需要考慮計算機惡意代碼防護，該技術(shù)目前比較成熟，建議用戶(hù)選擇具有涉密信息產(chǎn)品檢測證書(shū)的網(wǎng)絡(luò )防病毒軟件，實(shí)現計算機設備的病毒和惡意代碼查殺。

（3）軟件管理

根據分保相關(guān)要求，涉密信息系統內不得隨意進(jìn)行軟件的安裝，軟件安裝應經(jīng)過(guò)系統使用單位的批準和備案，并進(jìn)行計算機病毒和惡意代碼檢查處理，有些甚至要求兩種計算機病毒惡意代碼防護產(chǎn)品檢查，因此主機安全監控與審計系統提供的終端標準化管理模塊可以禁止用戶(hù)私自安裝軟件，用戶(hù)只能從軟件商城下載和安裝經(jīng)過(guò)批準和備案的軟件，所有軟件在上傳到軟件商城都可經(jīng)過(guò)兩款以上惡意代碼防護產(chǎn)品的惡意代碼檢查處理。

（4）惡意代碼庫更新

根據分保相關(guān)要求，惡意代碼防護系統應及時(shí)更新惡意代碼庫，且明確要求避免在線(xiàn)更新，聯(lián)軟提供的計算機病毒和惡意代碼防護系統可以手動(dòng)離線(xiàn)更新。

Part 4主機監控與審計

根據分保相關(guān)要求，主機監控與審計涉及身份鑒別、訪(fǎng)問(wèn)控制、信息輸出控制、密碼保護、系統配置管理、安全審計、操作系統安全加固等方面。聯(lián)軟科技主機監控與審計，除了身份鑒別、訪(fǎng)問(wèn)控制、系統配置管理、操作系統加固等基礎功能之外，同時(shí)還可對打印、復制、屏幕截取、U盤(pán)拷貝、文件操作、上網(wǎng)等行為進(jìn)行審計和控制，另外在終端數據采集、網(wǎng)絡(luò )準入認證、數據安全存儲、安全U盤(pán)、數據內部流轉保護、數據外帶保護都應用到了相關(guān)密碼技術(shù)，主要包括SM2、SM3、SM4，可有效確保數據安全，對涉密數據存儲、使用、外發(fā)進(jìn)行保護。

方案特點(diǎn)及效果

（1）通過(guò)邊界控制可以協(xié)助用戶(hù)解決涉密網(wǎng)用戶(hù)和終端非法接入的難題，并可對涉密網(wǎng)網(wǎng)絡(luò )接入行為進(jìn)行記錄，以便審計。

（2）通過(guò)違規外聯(lián)控制可以防止涉密網(wǎng)內的計算機未經(jīng)許可違規連接外部網(wǎng)絡(luò )，并可對違規外聯(lián)行為進(jìn)行控制，如禁用等。

（3）通過(guò)移動(dòng)存儲介質(zhì)管理可以防止未經(jīng)許可的U盤(pán)、智能手機等移動(dòng)存儲介質(zhì)隨意使用，同時(shí)可對移動(dòng)存儲介質(zhì)進(jìn)行精細化管理，如手機只能充電不能寫(xiě)數據，防止涉密數據泄露。

（4）通過(guò)文檔智能加密系統可實(shí)現數據密級標識，并可有效禁止高密級數據從高等級安全域流向低等級安全域。

（5）通過(guò)采用傳播控制、計算機惡意代碼防護、軟件管理等綜合手段，有效防止惡意代碼泛濫。

（6）通過(guò)主機監控與審計系統可實(shí)現接入控制、終端安全管理和數據防泄露，對打印、復制、截屏等信息輸出行為進(jìn)行有效控制。