2023年构建信息安全保密体系..docx

构建信息平安保密体系. 构建信息平安保密体系 。信息平安保密已经成为当前保密工作的重点。本文从策略和机制的角度出发，给出了信息平安保密的效劳支持、标准标准、技术防范、管理保障和工作能力体系，表达了技术与管理相结合的信息平安保密原那么。 关键词：信息平安保密体系 一、引言 构建信息平安保密体系，不能仅仅从技术层面入手，而应该将管理和技术手段有机结合起来，用标准的制度约束人，同时建立、健全信息平安保密的组织体制，改变现有的管理模式，弥补技术、制度、体制等方面存在的缺乏，从标准、技术、管理、效劳、策略等方面形成综合的信息平安保密能力，如图1所示。 图1信息平安保密的体系框架 该保密体系是以信息平安保密策略和机制为核心，以信息平安保密效劳为支持，以标准标准、平安技术和组织管理体系为具体内容，最终形成能够满足信息平安保密需求的工作能力。 二、信息平安保密的策略和机制 所谓信息平安保密策略，是指为了保护信息系统和信息网络中的秘密，对使用者（及其代理允许什么、禁止什么的规定。从信息资产平安管理的角度出发，为了保护涉密信息资产，消除或降低泄密风险，制订的各种纲领、制度、标准和操作流程等，都属于平安保密策略。例如：禁止（工作或技术人员将涉密软盘或移动存储设备带出涉密场所;严禁（使用人员将涉密计算机（连上互联网;不允许（参观人员在涉密场所拍照、录像等。 信息平安保密机制，是指实施信息平安保密策略的一种方法、工具或者规程。例如，针对前面给出的保密策略，可分别采取以下机制： 为涉密移动存储设备安装射频标识，为涉密场所安装门禁和报警系统;登记上网计算机的（物理地址，实时监控上网设备;进入涉密场所前，托管所有摄录像设备等。 根据信息系统和信息网络的平安保密需求，在制定其平安保密策略时，应主要从物理平安保密策略，系统或网络的访问控制策略，信息的加密策略，系统及网络的平安管理策略，人员平安管理策略，内容监管策略等方面入手。在平安保密机制方面，应主要从组织管理、平安控制和教育培训等方面，针对给出的平安保密策略，确定详细的操作或运行规程，技术标准和平安解决方案。 三、信息平安保密的效劳支持体系 信息平安保密的效劳支持体系，主要是由技术检查效劳、调查取证效劳、风险管理效劳、系统测评效劳、应急响应效劳和咨询培训效劳组成的，如图2所示。其中，风险管理效劳必须贯穿到信息平安保密的整个工程中，要在信息系统和信息网络规划与建设的初期，就进行专业的平安风险评估与分析，并在系统或网络的运营管理过程中，经常性地开展保密风险评估工作，采取有效的措施控制风险，只有这样才能提高信息平安保密的效益和针对性，增强系统或网络的平安可观性、可控性。其次，还要大力加强调查取证效劳、应急响应效劳和咨询培训效劳的建设，对突发性的失泄密事件能够快速反响，同时尽可能提高信息系统、信息网络管理人员的平安技能，以及他们的法规意识和防范意识，做到“事前有准备，事后有措施，事中有监察〞。 加强信息平安保密效劳的主要措施包括：借用平安评估效劳帮助我们了解自身的平安性 通过平安扫描、渗透测试、问卷调查等方式对信息系统及网络的资产价值、存在的脆弱性和面临的威胁进行分析评估，确定失泄密风险的大小，并实施有效的平安风险控制。 采用平安加固效劳来增强信息系统的自身平安性 具体包括操作系统的平安修补、加固和优化;应用效劳的平安修补、加固和优化;网络设备的平安修补、加固和优化;现有平安制度和策略的改进与完善等。 部署专用平安系统及设备提升平安保护等级 借助目前成熟的平安技术和产品来帮助我们提升整个系统及网络的平安防护等级，可采用的产品包括防火墙、ids、vpn、防病毒网关等。 运用平安控制效劳增强信息系统及网络的平安可观性、可控性 通过部署面向终端、效劳器和网络边界的平安控制系统，以及集中式的平安控制平台，增强对整个信息系统及网络的可观性，以及对使用网络的人员、网络中的设备及其所提供效劳的可控性。 加强平安保密教育培训来减少和防止失泄密事件的发生 加强信息平安根底知识及防护技能的培训，尤其是个人终端平安技术的培训，提高使用和管理人员的平安保密意识，以及检查入侵、查处失泄密事件的能力。 引入应急响应效劳及时有效地处理重大失泄密事件 具体包括。协助恢复系统到正常工作状态;协助检查入侵来源、时间、方法等;对网络进行平安评估，找出存在的平安隐患;做出事件分析报告;制定并贯彻实施平安改进方案。 采用平安通告效劳来对窃密威胁提前预警 具体包括对紧急事件的通告，对平安漏洞和最新补丁的通告，对最新防护技术及措施的通告，对国家、军队的平安保密政策法规和平安标准的通告等。 四、信息平安保密的标准标准体系 信息平安保密的标准标准体系，主要是由国家和军队相关平安技术标准构成的，如图3所示。这些技术标准和标准涉及到物理场所、电磁环境、通信、计算机、网络、数据等不同的对象，涵盖信息获取、存储、处理、传输、利用和销毁等整个生命周期。既有对信息载体的相关平安保密防护规定，也有对人员的管理和操作要求。因此，它们是设计信息平安保密解决方案，提供各种平安保密效劳，检查与查处失泄密事件的准那么和依据。各部门应该根据本单位信息系统、信息网络的平安保密需 求，以及组织结构和使用维护人员的配置情况，制定相应的，操作性和针对性更强的技术和管理标准。 五、信息平安保密的技术防范体系 信息平安保密的技术防范体系，主要是由电磁防护技术、信息终端防护技术、通信平安技术、网络平安技术和其他平安技术组成的。这些技术措施的目的，是为了从信息系统和信息网络的不同层面保护信息的机密性、完整性、可用性、可控性和不可否认性，进而保障信息及信息系统的平安，提高信息系统和信息网络的抗攻击能力和平安可靠性。平安保密技术是随着信息技术、网络技术，以及各种入侵与攻击技术的开展不断完善和提高的，一些最新的平安防护技术，如可信计算技术、内网监控技术等，可以极大地弥补传统平安防护手段存在的缺乏，这就为我们降低平安保密管理的难度和本钱，提高信息系统和信息网络的平安可控性和可用性，奠定了技术根底。因此，信息平安保密的技术防范体系，是构建信息平安保密体系的一个重要组成局部，应该在资金到位和技术可行的情况下，尽可能采用最新的、先进的技术防护手段，这样才能有效抵御不断出现的平安威胁。 六、信息平安保密的管理保障体系 俗话说，信息平安是“三分靠技术，七分靠管理〞。信息平安保密的管理保障体系，主要是从技术管理、制度管理、资产管理和风险管理等方面，加强平安保密管理的力度，使管理成为信息平安保密工作的重中之重。 技术管理主要包括对泄密隐患的技术检查，对平安产品、系统的技术测评，对各种失泄密事件的技术取证;制度管理主要是指各种信息平安保密制度的制定、审查、监督执行与落实;资产管理主要包括涉密人员的管理，重要信息资产的备份恢复管理，涉密场所、计算机和网 络的管理，涉密移动通信设备和存储设备的管理等;风险管理主要是指保密平安风险的评估与控制。 现有的平安管理，重在保密技术管理，而极大地无视了保密风险管理，同时在制度管理和资产管理等方面也存在很多问题，要么是管理制度不健全，落实不到位;要么是一些重要的资产监管不利，这就给失窃密和遭受网络攻击带来了人为的隐患。加强平安管理，不但能改进和提高现有平安保密措施的效益，还能充分发挥人员的主动性和积极性，使信息平安保密工作从被动接受变成自觉履行。 七、信息平安保密的工作能力体系 将技术、管理与标准标准结合起来，以平安保密策略和效劳为支持，就能合力形成信息平安保密工作的能力体系，如图4所示。该能力体系既是信息平安保密工作效益与效率的表达，也能反映出当前信息平安保密工作是否到位。它以防护、检测、响应、恢复为核心，对信息平安保密的相关组织和个人进行工作考评，并通过标准化、流程化的方式加以持续改进，使信息平安保密能力随着信息化建设的进展不断提高。 八、结论 技术与管理相结合，是构建信息平安保密体系应该把握的核心原那么。为了增强信息系统和信息网络的综合平安保密能力，重点应该在健全上述保密体系，尤其是组织体系、管理体系、效劳体系和制度（技术标准及标准体系的根底上，标准数据备份、密钥管理、访问授权、风险控制、身份认证、应急响应、系统及应用平安等管理方案，努力提高系统漏洞扫描、信息内容监控、平安风险评估、入侵事件检测、病毒预防治理、系统平安审计、网络边界防护等方面的技术水平。 参考文献：[1]信息与网络平安研究新进展.全国计算机平安学术交流会论文集.第二十二卷[c].合肥：中国科技大学出版社，202223[2]中国计算机学会信息保密专业委员会论文集.第十六卷[c].合肥：中国科技大学出版社，2023 [3]胡建伟.网络平安与保密[m].西安：西安电子科技大学出版社，2022 第8页 共8页