●為了加強涉及國家秘密的信息系統(tǒng)的保密管理，確保國家秘密信息安全，國家保密局于2005年發(fā)布了《涉及國家秘密的信息系統(tǒng)分級保護管理辦法》，明確了涉密信息系統(tǒng)實行分級保護。

●隨后國家保密局協(xié)同相關(guān)單位陸續(xù)發(fā)布了《涉及國家秘密的信息系統(tǒng)分級保護技術(shù)要求》、《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》、《涉及國家秘密的信息系統(tǒng)分級保護測評指南》、《涉及國家秘密的信息系統(tǒng)分級保護設(shè)計指南》等規(guī)范性文件，從技術(shù)、管理、測評、設(shè)計等方面規(guī)范了分級保護的建設(shè)。

●中華人民共和國第十屆全國人民代表大會于2010年4月公布了《中華人民共和國保守國家秘密法》，在法律層面進一步明確了涉密信息系統(tǒng)必須按照涉密程度實行分級保護。

●隨著法律法規(guī)、部門規(guī)章制度的頒布，各級單位參照法律法規(guī)、主管部門分級保護規(guī)章制度的要求，紛紛進行了涉密信息系統(tǒng)分級保護安全配套設(shè)施和管理制度的建設(shè)，如《涉密計算機安全使用保密管理制度》、《互聯(lián)網(wǎng)信息發(fā)布信息保密管理制度》等，并每年根據(jù)評分表定期開展信息安全檢查，以及時掌握計算機系統(tǒng)保密工作的管理狀況，發(fā)現(xiàn)存在的安全保密隱患和漏洞。

2020年是不平凡的一年，突然而來的疫情打亂了很多單位的工作節(jié)奏，但截至目前，保密檢查工作依然有條不紊地進行中，各級單位紛紛發(fā)出信息安全檢查通知，明確要求對涉及國家安全、經(jīng)濟命脈、社會穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)進行信息安全檢查。如何有效加強本單位安全保密管理，提高本單位工作人員的信息安全保密意識和整個單位信息安全保密防范能力，是各單位迫切需要解決的問題，特別是對涉密網(wǎng)非法接入、涉密網(wǎng)計算機未經(jīng)許可違規(guī)外聯(lián)、涉密網(wǎng)移動存儲介質(zhì)混插、高密級數(shù)據(jù)從高等級安全域流向低等級安全域、計算機病毒泛濫、內(nèi)部計算機打印、復(fù)制、截屏等信息輸出行為難以控制等問題，迫切需要采取相應(yīng)技術(shù)措施加以控制，聯(lián)軟科技特推出針對保密檢查工作的全方位解決方案，幫助用戶解決以上問題。

解決方案

Part 1邊界安全

根據(jù)《涉及國家秘密的信息系統(tǒng)分級保護技術(shù)要求》等相關(guān)內(nèi)容，涉密網(wǎng)邊界安全涉及安全邊界明確、邊界控制、邊界訪問控制、邊界防護措施、邊界訪問控制審計、違規(guī)外聯(lián)監(jiān)控六個方面，重點是要做好邊界控制和違規(guī)外聯(lián)監(jiān)控，這2項在安全檢查中一旦發(fā)現(xiàn)不滿足要求，會被一票否決。

（1）安全邊界明確

各單位應(yīng)根據(jù)信息系統(tǒng)密級、系統(tǒng)重要性和安全策略劃分不同的安全域，用戶可根據(jù)信息密級、行政級別、業(yè)務(wù)類別、地域分布等方法劃分安全域，不同的安全域可單獨確定等級，并按照相應(yīng)等級進行安全防護，當然同一等級的不同安全域可根據(jù)風(fēng)險評估結(jié)果和實際安全需求，選擇采用不同的保護要求。

（2）邊界訪問控制（可一票否決）

邊界的接入認證和訪問控制是涉密網(wǎng)安全控制的基礎(chǔ)，也是分級保護技術(shù)標準中明確要求的必備設(shè)施之一，如果不構(gòu)建涉密網(wǎng)的邊界接入控制設(shè)施，在檢查過程中如果發(fā)現(xiàn)，會被一票否決。因此，強烈建議用戶為涉密網(wǎng)部署網(wǎng)絡(luò)準入控制系統(tǒng)，通過該系統(tǒng)提供的訪問控制策略，可實現(xiàn)基于用戶的強制訪問控制，防止未授權(quán)、非合規(guī)的設(shè)備接入涉密網(wǎng)，并對其資源訪問權(quán)限進行控制，實現(xiàn)最小授權(quán)，防止越權(quán)訪問非權(quán)限范圍內(nèi)的涉密信息系統(tǒng)資源。

需要說明的是，聯(lián)軟網(wǎng)絡(luò)接入控制系統(tǒng)V5.0是聯(lián)軟科技具有涉密信息系統(tǒng)產(chǎn)品檢測證書的系統(tǒng)，可以在涉密網(wǎng)中使用。同時，目前已完成了與主流操作系統(tǒng)（UOS、中標麒麟等）、CPU（兆芯、鯤鵬、飛騰、龍芯）的適配，可以滿足用戶國產(chǎn)化的要求，用戶可以靈活選擇操作系統(tǒng)和CPU。實現(xiàn)效果如下圖：

（3）邊界防護措施

根據(jù)區(qū)域劃分情況，在系統(tǒng)或安全區(qū)域邊界的關(guān)鍵點部署安全防護設(shè)施，如涉密網(wǎng)終端與網(wǎng)絡(luò)之間的邊界、不同安全等級的區(qū)域之間的邊界，針對機密增強、絕密級還應(yīng)采用安全隔離與信息交換系統(tǒng)（俗稱網(wǎng)閘）進行邊界防護。

（4）邊界訪問控制審計

主要是對邊界訪問進行訪問控制和審計，記錄通過邊界訪問控制設(shè)備進出邊界的事件，如接入時間、接入用戶、接入位置、接入結(jié)果等。

（5）入侵檢測

采用入侵檢測等工具對系統(tǒng)內(nèi)的安全事件進行監(jiān)控，檢測攻擊行為并可及時發(fā)現(xiàn)系統(tǒng)內(nèi)非授權(quán)使用的情況，并針對機密增強、絕密級另外要求集中管理、與訪問控制或流向控制聯(lián)動、非授權(quán)接入行為發(fā)現(xiàn)。需要說明的是聯(lián)軟網(wǎng)絡(luò)入侵檢測系統(tǒng)V5.0可以滿足絕密級入侵檢測的要求，并具有涉密信息系統(tǒng)產(chǎn)品檢測證書，可以在涉密網(wǎng)中使用，同時目前已完成了與主流操作系統(tǒng)、CPU的適配。

（6）違規(guī)外聯(lián)監(jiān)控（可一票否決）

及時發(fā)現(xiàn)違規(guī)外聯(lián)行為，如違規(guī)連接互聯(lián)網(wǎng)、違規(guī)撥號上網(wǎng)等，并可對違規(guī)外聯(lián)行為進行審計和阻斷，是分級保護技術(shù)標準中明確要求的必備設(shè)施之一。同樣一旦檢查中發(fā)現(xiàn)有違規(guī)外聯(lián)行為，可一票否決。違規(guī)外聯(lián)行為控制點涉及面比較廣，用戶可通過紅外、藍牙、軟驅(qū)、1394、PCMCI、串口、并口等接口外聯(lián)，如通過藍牙將涉密終端的數(shù)據(jù)傳送到非涉密終端，或通過串口接撥號使設(shè)備外聯(lián)互聯(lián)網(wǎng)等，可見非常有必要對終端這些接口進行控制；除了通過上述接口外，也可通過自建WIFI熱點、雙網(wǎng)口等方式外聯(lián)，這些通道也必須具有控制的能力，如禁用、審計等；另外，移動存儲介質(zhì)、智能設(shè)備、光驅(qū)等外設(shè)也可能違規(guī)外聯(lián)，導(dǎo)致涉密數(shù)據(jù)泄露，如手機私設(shè)熱點非法外聯(lián)泄露數(shù)據(jù)、U盤未經(jīng)允許拷貝涉密電腦數(shù)據(jù)等，因此對這些設(shè)施也需要進行相應(yīng)控制，如不允許光驅(qū)刻錄只能讀、不允許U盤寫只能讀、智能設(shè)備只讀不允許寫等。

Part 2密級標識及安全域間邊界防護

（1）密級標識

根據(jù)分保相關(guān)要求，針對涉密信息系統(tǒng)中存在大量電子文件等涉密數(shù)據(jù)，必須進行相應(yīng)的密級標識，同時密級標識還應(yīng)與信息主體綁定，確保不可分割，且其自身也不可篡改。聯(lián)軟科技文檔智能加密系統(tǒng)可以滿足密級標識相關(guān)要求。

（2）安全域間的邊界防護

根據(jù)分保相關(guān)要求，所有安全域之間的數(shù)據(jù)通信必須安全可靠，應(yīng)禁止高密級信息由高等安全域流向低等級安全域。通過聯(lián)軟文檔智能加密系統(tǒng)，可將文件進行安全域分類，設(shè)置用戶權(quán)限時，管理員可以自定義用戶針對安全域文件的操作權(quán)限，如打開、打印等，最終可實現(xiàn)內(nèi)部數(shù)據(jù)根據(jù)重要性進行安全域劃分，高等級安全域的高密級信息不會流向低等級安全域，如保密部門的數(shù)據(jù)屬于絕密數(shù)據(jù)，只能在保密部門內(nèi)部流轉(zhuǎn)，其他部門無法查看和使用保密部門的文件，但保密部門可以正常查看和使用其他部門的文件。

Part 3計算機病毒與惡意代碼防護

根據(jù)分保相關(guān)要求，計算機病毒與惡意代碼控制涉及傳播控制、計算機惡意代碼防護、軟件管理、惡意代碼更新四個方面。

（1）傳播控制

根據(jù)分保相關(guān)要求，傳播控制涉及網(wǎng)絡(luò)、電子郵件、U盤等，因此除了利用防毒墻、電子郵件網(wǎng)關(guān)等設(shè)施針對網(wǎng)絡(luò)、電子郵件通道進行病毒與惡意代碼防護之外，建議重點做好移動存儲介質(zhì)病毒傳播控制，如涉密網(wǎng)環(huán)境下對非授權(quán)U盤進行控制，避免惡意代碼等風(fēng)險的帶入涉密網(wǎng)；涉密網(wǎng)非必要終端禁止U盤使用；指定進程拷貝數(shù)據(jù)，避免惡意進程拷貝數(shù)據(jù)等。

（2）計算機惡意代碼防護

根據(jù)分保相關(guān)要求，需要考慮計算機惡意代碼防護，該技術(shù)目前比較成熟，建議用戶選擇具有涉密信息產(chǎn)品檢測證書的網(wǎng)絡(luò)防病毒軟件，實現(xiàn)計算機設(shè)備的病毒和惡意代碼查殺。

（3）軟件管理

根據(jù)分保相關(guān)要求，涉密信息系統(tǒng)內(nèi)不得隨意進行軟件的安裝，軟件安裝應(yīng)經(jīng)過系統(tǒng)使用單位的批準和備案，并進行計算機病毒和惡意代碼檢查處理，有些甚至要求兩種計算機病毒惡意代碼防護產(chǎn)品檢查，因此主機安全監(jiān)控與審計系統(tǒng)提供的終端標準化管理模塊可以禁止用戶私自安裝軟件，用戶只能從軟件商城下載和安裝經(jīng)過批準和備案的軟件，所有軟件在上傳到軟件商城都可經(jīng)過兩款以上惡意代碼防護產(chǎn)品的惡意代碼檢查處理。

（4）惡意代碼庫更新

根據(jù)分保相關(guān)要求，惡意代碼防護系統(tǒng)應(yīng)及時更新惡意代碼庫，且明確要求避免在線更新，聯(lián)軟提供的計算機病毒和惡意代碼防護系統(tǒng)可以手動離線更新。

Part 4主機監(jiān)控與審計

根據(jù)分保相關(guān)要求，主機監(jiān)控與審計涉及身份鑒別、訪問控制、信息輸出控制、密碼保護、系統(tǒng)配置管理、安全審計、操作系統(tǒng)安全加固等方面。聯(lián)軟科技主機監(jiān)控與審計，除了身份鑒別、訪問控制、系統(tǒng)配置管理、操作系統(tǒng)加固等基礎(chǔ)功能之外，同時還可對打印、復(fù)制、屏幕截取、U盤拷貝、文件操作、上網(wǎng)等行為進行審計和控制，另外在終端數(shù)據(jù)采集、網(wǎng)絡(luò)準入認證、數(shù)據(jù)安全存儲、安全U盤、數(shù)據(jù)內(nèi)部流轉(zhuǎn)保護、數(shù)據(jù)外帶保護都應(yīng)用到了相關(guān)密碼技術(shù)，主要包括SM2、SM3、SM4，可有效確保數(shù)據(jù)安全，對涉密數(shù)據(jù)存儲、使用、外發(fā)進行保護。

方案特點及效果

（1）通過邊界控制可以協(xié)助用戶解決涉密網(wǎng)用戶和終端非法接入的難題，并可對涉密網(wǎng)網(wǎng)絡(luò)接入行為進行記錄，以便審計。

（2）通過違規(guī)外聯(lián)控制可以防止涉密網(wǎng)內(nèi)的計算機未經(jīng)許可違規(guī)連接外部網(wǎng)絡(luò)，并可對違規(guī)外聯(lián)行為進行控制，如禁用等。

（3）通過移動存儲介質(zhì)管理可以防止未經(jīng)許可的U盤、智能手機等移動存儲介質(zhì)隨意使用，同時可對移動存儲介質(zhì)進行精細化管理，如手機只能充電不能寫數(shù)據(jù)，防止涉密數(shù)據(jù)泄露。

（4）通過文檔智能加密系統(tǒng)可實現(xiàn)數(shù)據(jù)密級標識，并可有效禁止高密級數(shù)據(jù)從高等級安全域流向低等級安全域。

（5）通過采用傳播控制、計算機惡意代碼防護、軟件管理等綜合手段，有效防止惡意代碼泛濫。

（6）通過主機監(jiān)控與審計系統(tǒng)可實現(xiàn)接入控制、終端安全管理和數(shù)據(jù)防泄露，對打印、復(fù)制、截屏等信息輸出行為進行有效控制。