引言
檢察機(jī)關(guān)堅(jiān)持以信息化為主導(dǎo),在檢察專線網(wǎng)、局域網(wǎng)和互聯(lián)網(wǎng)門戶網(wǎng)站等基礎(chǔ)建設(shè)卓有成效的基礎(chǔ)上,依托網(wǎng)絡(luò)基本實(shí)現(xiàn)了公文傳輸、公文流轉(zhuǎn)、信息發(fā)布,同時(shí)積極推行網(wǎng)絡(luò)化的案件辦理和隊(duì)伍管理、電算化的財(cái)務(wù)應(yīng)用和裝備及資產(chǎn)管理。這些應(yīng)用的開展大大提升了檢務(wù)保障的能力,有利推動(dòng)了檢務(wù)公開、在線處理信訪等便民服務(wù),有力地促進(jìn)了辦公自動(dòng)化、辦案現(xiàn)代化和管理科學(xué)化,提高了檢察工作質(zhì)量、效率和管理水平。隨著檢察信息化不斷深化,各類業(yè)務(wù)應(yīng)用存在被非法竊聽、截取、篡改或破壞的危險(xiǎn),信息系統(tǒng)安全保密運(yùn)行已成為當(dāng)前檢察信息化領(lǐng)域的重要課題,如果不能很好地解決信息安全保密問題,必將阻礙檢察機(jī)關(guān)信息化發(fā)展的進(jìn)程。因此,做好等級(jí)保護(hù)工作,推進(jìn)檢察機(jī)關(guān)信息安全保障已成為檢察信息化工作的重要內(nèi)容。
1 .等級(jí)保護(hù)的政策背景
信息系統(tǒng)等級(jí)保護(hù)制度是在經(jīng)歷長(zhǎng)期的過程后,近幾年才在全國(guó)范圍內(nèi)大幅度推進(jìn)。1994年頒布的《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》就明確提出了對(duì)信息系統(tǒng)進(jìn)行等級(jí)劃分以及等級(jí)保護(hù)的理念;1999年頒發(fā)的《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》明確了相應(yīng)的等級(jí)保護(hù)標(biāo)準(zhǔn);2003年7月,《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》又提出“綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、涉密程度和面臨的信息安全風(fēng)險(xiǎn)等因素,進(jìn)行相應(yīng)等級(jí)的安全建設(shè)和管理”,使等級(jí)保護(hù)工作進(jìn)入到實(shí)質(zhì)性開展階段;2004年,公安部與國(guó)家保密局、密碼管理局、國(guó)務(wù)院信息辦四部委聯(lián)合會(huì)簽并印發(fā)了《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》對(duì)信息安全等級(jí)保護(hù)工作提出了具體的實(shí)施意見;中共中央保密委員會(huì)印發(fā)的《關(guān)于加強(qiáng)信息安全保障工作中保密管理的若干意見》提出建立涉密信息系統(tǒng)分級(jí)保護(hù)制度。
2005年9月,國(guó)信辦正式發(fā)布《電子政務(wù)信息安全等級(jí)保護(hù)實(shí)施指南》從標(biāo)準(zhǔn)的角度進(jìn)一步推動(dòng)著等級(jí)保護(hù)工作;國(guó)家保密局印發(fā)了《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理辦法》初步提出了涉密信息系統(tǒng)分級(jí)保護(hù)管理辦法,2006年2月,四部委又聯(lián)合印發(fā)《信息安全等級(jí)保護(hù)管理辦法》,制定了信息安全等級(jí)保護(hù)管理辦法,到2007年6月,在《信息安全等級(jí)保護(hù)管理辦法》實(shí)行一年后,正式印發(fā)了該管理辦法,提出了信息安全等級(jí)保護(hù)具體的管理辦法和定級(jí)指導(dǎo)意見。同年7月下發(fā)的《關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》全面、系統(tǒng)地對(duì)等級(jí)保護(hù)工作進(jìn)行了部署。根據(jù)管理辦法,涉密信息應(yīng)當(dāng)依據(jù)信息安全等級(jí)保護(hù)的基本要求,按照有關(guān)涉密信息系統(tǒng)分級(jí)保護(hù)的管理規(guī)定和技術(shù)標(biāo)準(zhǔn),結(jié)合系統(tǒng)實(shí)際情況進(jìn)行保護(hù)。
2 .檢察信息系統(tǒng)的分級(jí)保護(hù)
檢察專網(wǎng)是經(jīng)國(guó)家保密局確定的涉密網(wǎng)絡(luò),運(yùn)行于檢察專網(wǎng)上的信息系統(tǒng)大部分是重要的涉密信息系統(tǒng),應(yīng)嚴(yán)格按照分級(jí)保護(hù)要求和分級(jí)保護(hù)設(shè)計(jì)指南做好分級(jí)保護(hù)工作。在開展分級(jí)保護(hù)工作時(shí),可按照系統(tǒng)定級(jí)和分域、方案設(shè)計(jì)和實(shí)施、系統(tǒng)評(píng)測(cè)、運(yùn)維保障等四個(gè)步驟來組織進(jìn)行。
2.1 系統(tǒng)定級(jí)和分域
系統(tǒng)定級(jí)主要是按照國(guó)家秘密信息所定義的秘密級(jí)、機(jī)密級(jí)和絕密級(jí)三個(gè)密級(jí)對(duì)涉密信息系統(tǒng)確定保護(hù)等級(jí)。涉密信息系統(tǒng)應(yīng)根據(jù)系統(tǒng)所處理的信息的最高密級(jí),對(duì)應(yīng)國(guó)家秘密信息的密級(jí)確定為相應(yīng)的保護(hù)等級(jí)。根據(jù)檢查機(jī)關(guān)實(shí)際情況涉密信息系統(tǒng)按照所處理信息的最高密級(jí),由低到高分為秘密、機(jī)密兩個(gè)等級(jí),其中機(jī)密等級(jí)可根據(jù)信息系統(tǒng)使用單位的行政級(jí)別和對(duì)國(guó)家安全的重要程度、所定密級(jí)信息含量的多少、使用單位的依賴程度作一般或增強(qiáng)防護(hù)的實(shí)施。
系統(tǒng)分域是對(duì)一個(gè)大型復(fù)雜的信息系統(tǒng),按照業(yè)務(wù)應(yīng)用數(shù)據(jù)部署在不同區(qū)域和不同安全等級(jí)的保護(hù)需求,將其劃分為進(jìn)行不同安全保密等保護(hù)的安全域,同一安全保密等級(jí)域的信息系統(tǒng)采用相同的安全保密保護(hù)策略,不同的安全保密等級(jí)域的信息系統(tǒng)間應(yīng)有嚴(yán)格邊界及策略保護(hù)。檢察機(jī)關(guān)信息系統(tǒng)是一個(gè)全國(guó)性的信息系統(tǒng),既有基礎(chǔ)網(wǎng)絡(luò)通信平臺(tái)、計(jì)算機(jī)環(huán)境平臺(tái),又有多種業(yè)務(wù)應(yīng)用平臺(tái),這些應(yīng)用的安全保密等級(jí)不同,所應(yīng)采取的安全保密保護(hù)策略也不同,具體到每個(gè)單位每個(gè)部門的信息系統(tǒng)如何分域,則應(yīng)根據(jù)自身實(shí)際情況,進(jìn)行仔細(xì)分析認(rèn)真研究,可把每個(gè)單位的所有信息系統(tǒng)整體設(shè)為一個(gè)獨(dú)立的安全保密域,也可根據(jù)業(yè)務(wù)應(yīng)用對(duì)安全保密的要求將業(yè)務(wù)應(yīng)用平臺(tái)細(xì)分為工作秘密、秘密、機(jī)密等不同保護(hù)等級(jí)的安全保密域。
2.2 方案設(shè)計(jì)和實(shí)施
方案設(shè)計(jì)應(yīng)嚴(yán)格按照BMB23-2008的標(biāo)準(zhǔn)要求,依據(jù)最高人民檢察院制定的《全國(guó)檢察機(jī)關(guān)涉密信息系統(tǒng)分級(jí)保護(hù)總體方案》,按照信息系統(tǒng)所定保護(hù)等級(jí),在對(duì)系統(tǒng)進(jìn)行系統(tǒng)分析、安全保密風(fēng)險(xiǎn)分析和安全保密需求分析的基礎(chǔ)上,按照“缺什么補(bǔ)什么”的方針,從技術(shù)和管理兩個(gè)方面采取不同的安全策略措施,確保將檢察機(jī)關(guān)信息系統(tǒng)建設(shè)成符合國(guó)家相關(guān)法規(guī)和標(biāo)準(zhǔn)的涉密信息系統(tǒng)。
技術(shù)要求包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和運(yùn)行安全等5個(gè)方面,管理要求包括基本管理、人員管理和系統(tǒng)運(yùn)行管理等3個(gè)方面。
2.2.1 技術(shù)要求
1)物理安全
(1)物理隔離。通過加強(qiáng)管理的方式和部署違規(guī)外聯(lián)檢測(cè)系統(tǒng)來保證檢察專網(wǎng)與因特網(wǎng)及其它公共信息網(wǎng)的物理隔離;(2)環(huán)境安全。按照GB9361-1988的要求進(jìn)行機(jī)房、重要涉密部位的建設(shè)和改造,部署電子監(jiān)控系統(tǒng)、使用電子門控系統(tǒng)進(jìn)行環(huán)境安全監(jiān)控;(3)設(shè)備安全。使用電子門控、建立設(shè)備臺(tái)帳和標(biāo)識(shí)、調(diào)整設(shè)備擺放和安裝位置,對(duì)設(shè)備數(shù)據(jù)接口采取有效控制措施;(4)介質(zhì)安全。只有注冊(cè)授權(quán)才能使用,對(duì)使用的介質(zhì)的密級(jí)屬性和用途進(jìn)行規(guī)范標(biāo)識(shí)、統(tǒng)一造冊(cè),介質(zhì)使用除制定明確保密規(guī)定嚴(yán)禁介質(zhì)內(nèi)外網(wǎng)混用外,可采用移動(dòng)存儲(chǔ)介質(zhì)使用管理系統(tǒng)來進(jìn)一步控制;(5)電磁泄漏發(fā)射防護(hù)。建設(shè)屏蔽機(jī)房和配置屏蔽機(jī)柜,部署電磁泄漏發(fā)射防護(hù)系統(tǒng),對(duì)信息設(shè)備、傳輸線路的電磁泄漏進(jìn)行防護(hù)。
2)網(wǎng)絡(luò)安全
(1)安全域邊界防護(hù)。在安全域邊界部署防火墻、入侵檢測(cè)系統(tǒng)等設(shè)備并配置訪問控制策略進(jìn)行邊界防護(hù);(2)密碼保護(hù)措施。對(duì)信息傳輸、可移動(dòng)設(shè)備的外部使用進(jìn)行加密保護(hù)。在網(wǎng)絡(luò)邊界部署普通密碼設(shè)備,在終端安裝加密卡,通過密碼設(shè)備實(shí)現(xiàn)傳輸密碼保護(hù);(3)系統(tǒng)安全性能檢測(cè)。設(shè)定安全性能檢測(cè)策略,定期對(duì)信息設(shè)備進(jìn)行安全掃描,及時(shí)發(fā)現(xiàn)安全漏洞,根據(jù)掃描結(jié)果及時(shí)采取補(bǔ)救措施。采用保密檢查工具對(duì)于違規(guī)聯(lián)網(wǎng)、介質(zhì)混用、違規(guī)存儲(chǔ)處理涉密文件等違規(guī)操作行為進(jìn)行定期檢查;(4)訪問控制。加強(qiáng)訪問控制策略和訪問控制粒度,實(shí)現(xiàn)網(wǎng)絡(luò)中信息節(jié)點(diǎn)邏輯上盡量隔離,保證敏感區(qū)域的數(shù)據(jù)安全。必要時(shí)配置安全隔離與信息交換系統(tǒng)來控制高密級(jí)信息流向低等級(jí)安全域。
3)主機(jī)安全
加強(qiáng)操作系統(tǒng)的自身安全、訪問控制、系統(tǒng)漏洞等安全措施,明確操作系統(tǒng)補(bǔ)丁分發(fā)系統(tǒng)策略、安裝防(殺)毒軟件,及時(shí)更新操作系統(tǒng)補(bǔ)丁和病毒庫。
4)應(yīng)用安全
(1)安全審計(jì)。制定審計(jì)策略,實(shí)現(xiàn)審計(jì)記錄存儲(chǔ)、查閱、保護(hù)等功能;(2)信息完整性校驗(yàn)。制定信息完整性校驗(yàn)策略,加強(qiáng)涉密信息傳輸完整性和涉密信息系統(tǒng)存儲(chǔ)完整性;(3)數(shù)據(jù)庫安全。采取措施對(duì)數(shù)據(jù)庫進(jìn)行安全加固;(4)抗抵賴。采用數(shù)字簽名技術(shù),實(shí)現(xiàn)信息交換的抵賴功能;(5)身份鑒別。制定身份鑒別策略,對(duì)身份標(biāo)識(shí)符、鑒別方式、口令強(qiáng)度和復(fù)雜度及更換周期、重鑒別、鑒別失敗、可移動(dòng)設(shè)備的鑒別等有相應(yīng)安全策略并進(jìn)行配置。在實(shí)施系統(tǒng)過程中一般系統(tǒng)可采用“用戶名+口令”方式,重點(diǎn)系統(tǒng)應(yīng)采用“USB Key+PIN碼”或“密碼卡+用戶名+口令”鑒別方式;(6)強(qiáng)制訪問控制。建立信任體系,實(shí)現(xiàn)在不同等級(jí)安全域之間的訪問控制。
5)運(yùn)行安全
(1)備份與恢復(fù)。加強(qiáng)備份與恢復(fù)需求分析,做到涉密數(shù)據(jù)、關(guān)鍵業(yè)務(wù)數(shù)據(jù)、關(guān)鍵業(yè)務(wù)設(shè)備、網(wǎng)絡(luò)核心設(shè)備、主干線路都有備份措施,電源系統(tǒng)采用UPS電源和雙路供電備份手段。制定系統(tǒng)恢復(fù)預(yù)案,可快速做到信息系統(tǒng)恢復(fù)與重建;(2)病毒與惡意代碼防護(hù)。部署網(wǎng)絡(luò)防病毒系統(tǒng),加強(qiáng)防護(hù)策略、防護(hù)范圍、防護(hù)措施,提高防護(hù)能力,病毒庫更新采用一次性關(guān)盤刻錄導(dǎo)入;(3)操作系統(tǒng)漏洞庫控制。建立補(bǔ)丁分發(fā)系統(tǒng),制定分發(fā)策略,補(bǔ)丁庫更新采用一次性關(guān)盤刻錄導(dǎo)入;(4)非授權(quán)設(shè)備違規(guī)接入控制。對(duì)暫不使用的網(wǎng)絡(luò)接口采取物理斷開措施。通過交換機(jī)設(shè)置IP地址與MAC地址綁定,防止非授權(quán)設(shè)備違規(guī)接入。
2.2.2 管理要求
1)基本管理。完善安全保密管理機(jī)構(gòu)和配齊規(guī)范要求的安全審計(jì)員、系統(tǒng)管理員、安全保密管理員等“三員”,根據(jù)需要增設(shè)密鑰管理員,明確相應(yīng)職責(zé)。建立設(shè)備采購選購的保密機(jī)制,制定和執(zhí)行信息系統(tǒng)安全規(guī)劃、策略、標(biāo)準(zhǔn)、流程、應(yīng)急計(jì)劃,組織建立健全的信息安全管理規(guī)章制度。
2)人員管理。對(duì)內(nèi)部工作人員按保密要求進(jìn)行錄用、明確崗位職責(zé)、簽訂保密協(xié)議、組織必要的安全保密教育培訓(xùn)、進(jìn)行必要的保密監(jiān)管、保密要求知會(huì)。對(duì)外部相關(guān)人員實(shí)行安全控制區(qū)域隔離、攜帶物品限制、旁站陪同控制等安全措施。
3)系統(tǒng)運(yùn)行管理。加強(qiáng)對(duì)周邊環(huán)境安防監(jiān)控和出入控制,對(duì)涉密場(chǎng)所進(jìn)行安全巡防巡查,對(duì)設(shè)備、設(shè)施進(jìn)行定期檢修檢測(cè)和加強(qiáng)線路、線纜保護(hù),對(duì)設(shè)備操作使用、收發(fā)與傳遞、保存保管、維修報(bào)廢進(jìn)行規(guī)定,對(duì)系統(tǒng)運(yùn)行使用、應(yīng)用系統(tǒng)開發(fā)和異常事件處理等方面制定章程,對(duì)信息分類與控制有規(guī)范,對(duì)用戶管理、權(quán)限分配、信息系統(tǒng)互聯(lián)有控制。
2.2.3 系統(tǒng)測(cè)評(píng)
建設(shè)完成后,必須經(jīng)過測(cè)評(píng),測(cè)評(píng)機(jī)構(gòu)為國(guó)家保密授權(quán)的系統(tǒng)測(cè)評(píng)機(jī)構(gòu),一般為涉密信息系統(tǒng)測(cè)評(píng)中心或各地分中心。測(cè)評(píng)按照《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)測(cè)評(píng)指南》執(zhí)行。
2.2.4 運(yùn)維保障
1)日常運(yùn)維工作。建立和完善運(yùn)維保障日志記錄,加強(qiáng)對(duì)網(wǎng)絡(luò)狀況進(jìn)行監(jiān)測(cè),及時(shí)分析、處理安全事件,定期查詢?cè)O(shè)備日志。建立安全管理中心對(duì)信息系統(tǒng)中各種系統(tǒng)、應(yīng)用、設(shè)備、安全產(chǎn)品進(jìn)行集中管理和監(jiān)控,達(dá)到全面安全保密管理的目標(biāo)。
2)應(yīng)急響應(yīng)。制定應(yīng)急計(jì)劃和響應(yīng)策略,進(jìn)行應(yīng)急響應(yīng)培訓(xùn)和應(yīng)急響應(yīng)演練。
3.結(jié)束語
為保障監(jiān)察機(jī)關(guān)信息系統(tǒng)安全可靠,必須加強(qiáng)網(wǎng)絡(luò)與信息系統(tǒng)安全保障工作的檢查和監(jiān)督,制定具體的信息安全防護(hù)策略,全面落實(shí)各項(xiàng)制度、預(yù)案。堅(jiān)持科學(xué)發(fā)展觀,不斷強(qiáng)化信息安全觀念,明確發(fā)展戰(zhàn)略,加強(qiáng)技術(shù)積累,采取有效措施,切實(shí)加強(qiáng)網(wǎng)絡(luò)與信息系統(tǒng)安全保障工作,確保檢察機(jī)關(guān)信息系統(tǒng)的安全穩(wěn)定運(yùn)行。