涉密信息系统分级保护制度的基本问题_下_杨芸

信息安全/2014年第1期

涉密信息系统分级保护制度的

基本问题（下）

□杨 芸

本文将继续介绍分级保护测评审批、“三员”培训、风险评估等其余3个方面的内容。

统通过测评后，由机关单位保密部门按照有关要求，向具有相应审批权限的保密行政管理部门提出投入使用申请，由保密行政管理管理部门组织审查，确保符合安全保密要求后，向机关单位颁发《涉及国家秘密的信息系统使用许可证》。机关单位收到许可证后，方可在涉密信息系统中存储、处理国家秘密信息。

涉密信息系统审批主要包括资料审查和现场审查。资料审查阶段，主要看机关单位是否按照要求提交了正式、完整的审批申请材料。申请材料的内容要充分反映涉密信息系统的技术防护和管理现状，尤其需要针对测评发现的问题提交详细的整改情况报告。如果资料审查通过，则可以进行下一步的现场审查。现场审查由保密行政管理部门组织技术人员，到机关单位涉密信息系统现场验证整改措施是否落实有效，安全保密管理制度是否履行到位，安全保密管理人员是否能够有效开展系统的安全保密管理工作。只有资料审查和现场审查都通过，保密行政管理部门才能颁发使用许可证。

国家对保密行政管理部门的

审批权限也作出了相应规定：中央和国家机关各部委及其所属单位、国防武器装备科研生产一级保密资格单位的涉密信息系统由国家保密局负责审批；省直机关及其所属单位、国防武器装备科研生产二、三级保密资格单位的涉密信息系统由省（区、市）保密局负责审批；市（地）直机关及其所属单位、县直机关所属单位的涉密信息系统由市（地）级保密局负责审批。

需要强调的是，“谁审批，谁负责”，审批责任相当重大。涉密信息系统审批是涉密信息系统管理的重要环节，是保密行政管理部门管理涉密信息系统的一个重要手段。对涉密信息系统进行测评审批，一方面是对机关单位的涉密信息系统和国家秘密信息负责，另一方面也是让保密行政管理部门对所管理的涉密信息系统做到心中有数。

测评审批

涉密信息系统建成之后，投入使用以前要通过国家保密行政管理部门授权的测评机构的安全保密测评，并通过具有审批权限的保密行政管理部门审批之后方能存储、处理国家秘密信息。

1.系统测评

系统测评，是指涉密信息系统建成后，由机关单位保密部门向国家保密行政管理部门授权的系统测评机构提出申请，由测评机构按照涉密信息系统测评标准，对系统进行安全保密检测评估，验证安全保密措施能否满足安全保密需求和国家保密标准要求。涉密信息系统测评机构有明确的分工，各地区党政机关的涉密信息系统由本地区测评分中心负责测评，军工集团系统内的涉密信息系统由本机关测评分中心负责测评。关于测评工作和要求，由测评机构具体负责。

2.系统审批

系统审批，是指涉密信息系

“三员”培训

有关国家保密标准规定：涉密信息系统应配备系统管理员、安全保密管理员和安全审计员三类安全保密管理人员（以下简

58 bmgz@263.net2014年第1期/

信息安全

■

称“三员”），分别负责系统运行、安全保密和安全审计工作。“三员”是涉密信息系统安全保密管理的核心人员，对网络和系统的正常运行和使用安全保密，具有举足轻重的作用。

1.“三员”基本概念“三员”的设立旨在分割涉密信息系统管理权限，禁止存在超级管理员，确保涉密信息系统管理人员操作行为受到制约和监督，保证涉密信息系统和国家秘密安全。“三员”并不是特指三个人，而是代表涉密信息系统安全保密管理的三类岗位或角色。“三员”岗位和角色按照“相互独立、相互制约”的原则进行划分，由相关人员担任。在实际管理过程中，如从技术上可实现某个配置两人操作方可生效，则将该项配置的操作分工由两个角色来完成，并且由第三个角色对前两个角色的操作进行审计和监督。如从技术上不能实现配置操作的分工，则要求一人完成配置工作后，由另一人对操作日志进行审计和监督。例如，系统管理员负责交换机的配置和端口的开放与关闭工作，其操作日志由安全审计员进行审计。

涉密信息系统中网络设备管理、安全保密产品管理、服务器和用户终端管理、操作系统管理、数据库管理、涉密业务应用系统管理等都应由“三员”共同完成。同一类管理人员之间工作可以兼任，如系统管理员可同时负责网络设备、服务器的维护管理。但同一设备或系统的系统管理员和安全审计员不得由一人兼任，安全保密管理员和安全审计员不得由一人兼任。

2.“三员”持证上岗制度按照中央有关文件要求，“三员”应当经过保密行政管理部门组织的培训，持证上岗。涉密信息系统安全保密管理人员资格认定和技能培训是涉密信息系统分级保护工作的重要内容。为落实“三员”持证上岗制度，切实提高“三员”业务能力和水平，国家保密局组织有关专家和一线技术骨干，编写了培训教材，并在全国范围内组织开展“三员”培训考核工作。从2011年底开始，国家保密局先后举办了多期中央和国家机关涉密信息系统“三员”培训班，对中央和国家机关的涉密信息系统“三员”进行了业务培训和资格认定；同时，还举办了多期教员培训，对31个省（区、市）、新疆生产建设兵团涉密信息系统“三员”培训教员进行了培训和资格认定。

相一致的防护水平。当系统环境或应用发生重大改变时，要及时进行系统变更方案设计论证、系统变更和安全保密测评。同时，保密行政管理管理部门还要组织人员和技术力量，定期对机关单位的涉密网络开展检查评估。秘密级、机密级网络，每两年至少进行一次安全保密风险评估；绝密级网络每年至少进行一次安全保密风险评估。

风险评估主要依据涉密信息系统分级保护规定和标准展开，评估过程除了验证标准规定的技术手段是否部署到位之外，还要验证技术策略的设置是否有效，是否存在策略失效、监管盲点的情况；检查“三员”是否能够有效开展日常安全保密管理工作；检查机关单位涉密网络安全保密管理制度是否真正履行到位，是否存在制度和执行“两张皮”的情况。通过常态化的风险评估，及时发现和消除泄密隐患，使涉密网络始终保持良好的安全保密防护状态。

经过十余年实践，涉密信息系统分级保护制度得到确立，分级保护法规标准体系逐步建立和完善，立项建设和投入使用安全保密管理日益规范。但是，仍然存在一些问题：有的机关单位经费保障不足、技术力量薄弱，涉密信息系统分级保护建设和整改推进缓慢；有的机关单位涉密信息系统安全保密风险评估长效机制尚未健全；云计算等新技术和新应用在涉密信息系统中不断尝试使用，涉密信息系统分级保护时刻面临新的变化和挑战。这些都是我们在开展涉密信息系统分级保护工作中应当注意的问题。

bmgz@263.net 风险评估

风险评估是涉密信息系统日常安全保密管理的重要内容，旨在监测涉密信息系统安全保密运行状态，对新发生的变化和新出现的威胁进行评估，以保障系统的技术防护和管理始终有效。涉密信息系统日常运行的安全保密风险评估，主要采取机关单位自查和保密行政管理部门检查相结合的方式进行。

机关单位要在保密行政管理部门的指导下，定期开展系统运行风险评估，分析由于系统需求及技术与管理因素变化而新出现的安全威胁，动态调整安全策略，适时补充和完善技术与管理措施，以使系统保持与等级要求

59