5 月 6 日 |保密科技|A c a d e m i c Ex c ch es 學(xué)術(shù)交流 保密信息系統(tǒng)運(yùn)維管理及相關(guān)服務(wù)外包的符合性分析與研究 徐偉明 魏飛新 上海水務(wù)信息中心 1 引言 2008年以來 應(yīng)對(duì)日新月異的變化在世界保密形勢下��,國家保密局推動(dòng)了近20年來罕見的保密檢查����,這在系統(tǒng)中被稱為“保密風(fēng)暴”。它是由內(nèi)網(wǎng)和外網(wǎng)之間的互連和勾結(jié)造成的����。對(duì)此,各級(jí)政府部門日益將涉密信息系統(tǒng)建設(shè)����、使用、運(yùn)行和維護(hù)的合規(guī)性和保密性提高到重要位置��,涉密信息系統(tǒng)的安全意識(shí)和重要性大大提高�����。提升�。但是���,由于很多涉密信息系統(tǒng)在技術(shù)構(gòu)成和管理要求方面具有強(qiáng)制性和不公開的特點(diǎn)����,一些單位對(duì)涉密信息系統(tǒng)的管理機(jī)制、管理方式和相關(guān)規(guī)定仍存在一定的不兼容��,尤其是在在IT服務(wù)外包成為政府部門普遍采用的信息系統(tǒng)運(yùn)維管理方式的情況下����,準(zhǔn)確界定和有效控制IT企業(yè)在涉密信息系統(tǒng)運(yùn)維中的空間和作用已成為政府的關(guān)鍵問題。部門開展涉密信息系統(tǒng)運(yùn)維工作����。維度管理的一項(xiàng)重要任務(wù)。 2 BMB20-2007涉密信息系統(tǒng)運(yùn)維管理指導(dǎo)范圍和約束力 BMB全稱《涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》(以下簡稱BMB20-2007))����,經(jīng)國家保密局批準(zhǔn),公布國家安全標(biāo)準(zhǔn)��。
BMB20-2007規(guī)定了涉密信息系統(tǒng)分級(jí)保護(hù)的管理流程�����、管理要求和管理內(nèi)容����。保密信息系統(tǒng)的建設(shè)�����、使用和管理����,也可以用于保密工作部門對(duì)保密信息系統(tǒng)的管理和審批�����。在涉密信息系統(tǒng)分級(jí)保護(hù)和保密管理過程中�����,應(yīng)嚴(yán)格按照BMB20-2007執(zhí)行��。 3 涉密信息系統(tǒng)運(yùn)維管理存在的問題分析 3.1 運(yùn)維管理的范圍和內(nèi)容以涉密信息系統(tǒng)為基礎(chǔ) 在BMB20-2007標(biāo)準(zhǔn)的基礎(chǔ)上���,國家安全局還將部署具體的管理要求根據(jù)不同時(shí)期的管理需要��。目前����,大部分涉密信息系統(tǒng)的運(yùn)維管理,除技術(shù)支持外���,一般還包括涉密單機(jī)、涉密媒體�����、涉密辦公自動(dòng)化設(shè)備的運(yùn)維管理�����。網(wǎng)絡(luò)和安全設(shè)備的設(shè)備保障服務(wù)�。它涉及設(shè)備維護(hù)、應(yīng)用支持和保密檢查三個(gè)方面和六個(gè)類別�。 【摘要】 在IT服務(wù)外包已成為政府部門普遍采用的信息系統(tǒng)運(yùn)維管理方式的情況下,需要對(duì)IT企業(yè)的機(jī)密信息進(jìn)行準(zhǔn)確界定和有效管控��。信息系統(tǒng)運(yùn)維的空間和作用已成為政府部門開展涉密信息系統(tǒng)運(yùn)維管理的重要任務(wù)���。
結(jié)合BMB20-2007管理標(biāo)準(zhǔn)���,分析了IT服務(wù)外包的合規(guī)性和“三員工”的合規(guī)性和實(shí)際問題,探討了涉密信息系統(tǒng)的運(yùn)維管理��。管理事項(xiàng)有待調(diào)整和落實(shí)。 【關(guān)鍵詞】 運(yùn)維管理����;服務(wù)外包;三名工作人員�����;合規(guī) 9201 120 - 20 07 |保密科技|賬戶維護(hù)�、安全審計(jì)服務(wù)、應(yīng)用支??持服務(wù)��、設(shè)備保障服務(wù)�。 3.2 運(yùn)維管理服務(wù)外包合規(guī)性分析 BMB20-2007 涉密信息系統(tǒng)全生命周期服務(wù)類別 涉密終端和非涉密終端的服務(wù)范圍 服務(wù)內(nèi)容 定期檢查設(shè)備運(yùn)行狀態(tài)和性能等 合規(guī)判定網(wǎng)絡(luò)及安全設(shè)備維護(hù) 專項(xiàng)安全檢查 服務(wù)終端日常巡檢及臺(tái)賬維護(hù) 安全審計(jì)服務(wù) 應(yīng)用支持服務(wù) 移動(dòng)存儲(chǔ)介質(zhì)未分類 移動(dòng)存儲(chǔ)介質(zhì) 官網(wǎng)終端未分類終端 秘密介質(zhì)未分類 辦公自動(dòng)化設(shè)備 辦公自動(dòng)化設(shè)備 網(wǎng)絡(luò)設(shè)備 安全設(shè)備終端,不涉及用戶行為信息檢查�,適合外包 1.外接是否非法2.非機(jī)密媒體和設(shè)備是否被非法使用 3.是否l機(jī)要登錄需要用戶身份認(rèn)證4. 涉密機(jī)是否安裝殺毒等安全軟件并及時(shí)更新 1. 是否已接入涉密計(jì)算機(jī)信息系統(tǒng)2.是否對(duì)涉密信息進(jìn)行處理和存儲(chǔ) 3、是否使用過涉密移動(dòng)存儲(chǔ)介質(zhì)���?在機(jī)密計(jì)算機(jī)和非機(jī)密網(wǎng)絡(luò)上交叉使用 1.是否存儲(chǔ)了機(jī)密信息2.是否存儲(chǔ)了內(nèi)部工作信息 3.在機(jī)密計(jì)算機(jī)上交叉使用 機(jī)密信息的打印和傳輸是否與專項(xiàng)保密檢查服務(wù) 1.殺毒軟件更新2.保密保護(hù)專項(xiàng)系統(tǒng)檢查等 1.涉密終端臺(tái)賬�、戶籍維護(hù)更新2.臺(tái)賬���、戶籍維護(hù)更新涉密媒體3.涉密辦公設(shè)備臺(tái)賬��、戶口簿維護(hù)更新4.非保密終端臺(tái)賬維護(hù)更新 5.非保密移動(dòng)存儲(chǔ)臺(tái)賬維護(hù)更新媒體����。保密知識(shí)及相關(guān)建議等的技術(shù)咨詢和培訓(xùn),保障涉密單機(jī)臺(tái)賬等的維護(hù)���,定期進(jìn)行安全審計(jì)日志分析,統(tǒng)計(jì)現(xiàn)有違規(guī)行為��,進(jìn)行保密檢查和安全評(píng)估安全審計(jì)結(jié)果����。必須操作用戶PC終端,涉及用戶行為�。檢查分析可能導(dǎo)致機(jī)密信息泄露,不適合外包 1.需要查看網(wǎng)上記錄2.需要搜索“*.d oc, *.tx t”等文件�,檢查文件內(nèi)容并判斷。
可能導(dǎo)致用戶上網(wǎng)信息等行為信息及終端隱私泄露����。如果不適合外包可能會(huì)導(dǎo)致機(jī)密信息的泄露,從而可能導(dǎo)致用戶在線信息等行為信息的泄露����。不適合外包瀏覽、打印和傳輸信息內(nèi)容�,可能導(dǎo)致機(jī)密信息泄露��。它不應(yīng)該外包����。它不應(yīng)該外包�����。它不應(yīng)該外包��。會(huì)計(jì)信息不應(yīng)外包 根據(jù)B MB 20-2007的要求�,安全審計(jì)應(yīng)由配備保密信息系統(tǒng)的專職人員負(fù)責(zé),不宜外包����。它適合外包。它適合外包����。及相關(guān)服務(wù)外包合規(guī)分析表-05 |保密科技| A c a d e mi c Ex c h a g es 學(xué)術(shù)交流運(yùn)維、應(yīng)用支持和設(shè)備保障 除系統(tǒng)管理員職責(zé)外���,信息中心工作人員還適用于剩余的專項(xiàng)保密檢查�����、終端日常檢查���、臺(tái)賬維護(hù)安全審計(jì)包括:用戶操作行為檢查與分析��、用戶在線痕跡檢查��、文檔查看���、用戶終端賬號(hào)管理等主體資質(zhì)等具體工作內(nèi)容���。出了點(diǎn)問題�。
在工作要求方面��,由于涉密信息系統(tǒng)不同于一般業(yè)務(wù)系統(tǒng)����,國安局對(duì)涉密系統(tǒng)的使用有一套完整的管理要求,如:用戶列表管理���、用戶標(biāo)識(shí)管理�����、權(quán)限列表審核�����、需求分析評(píng)估�����、安全互聯(lián)控制等����,信息中心員工普遍不具備涉密終端的接入和使用資格。因此��,信息中心員工負(fù)責(zé)安全和保密管理員和安全審計(jì)員�。無論是學(xué)科資格還是具體執(zhí)業(yè),其基本要求是:無法按照國家保密局的要求有效開展相關(guān)管理工作�����。 3.3.3 “三人”實(shí)務(wù)分析 保密檢查是涉密信息系統(tǒng)應(yīng)用管理的重要內(nèi)容��。與一般信息系統(tǒng)不同�,工作內(nèi)容具有很強(qiáng)的剛性特征,加上人員相對(duì)固定和最少��。隨著涉密信息系統(tǒng)應(yīng)用范圍的不斷擴(kuò)大,安檢工作已成為一項(xiàng)工作量相當(dāng)大的事務(wù)性管理工作��。工作量測算見表2和表3��。根據(jù)表中的模擬計(jì)算���,總共需要大約116人/天�。在管理實(shí)踐中�,兼職“三名員工”不僅在知識(shí)和技能方面難以有效承擔(dān)專職安全保密管理工作,而且其工作量也會(huì)與本職工作發(fā)生沖突�,很容易被陷入兩難境地。 4 應(yīng)調(diào)整實(shí)施的管理事項(xiàng) 根據(jù)BMB20-2007管理標(biāo)準(zhǔn)pc運(yùn)維外包�����,保密信息系統(tǒng)的使用和管理應(yīng)從以下兩個(gè)方面加強(qiáng)合規(guī)調(diào)整:4.1服務(wù)外包合規(guī)管理(1) 外包人員不能掌握網(wǎng)絡(luò)設(shè)備和安全設(shè)備的密碼和密碼����; ( ) 外包人員不能掌握任何機(jī)密終端的User 2賬號(hào)����;已經(jīng)做出了明確的規(guī)定和約束,IT領(lǐng)域常用的服務(wù)角色必須嚴(yán)格限制涉密信息系統(tǒng)運(yùn)行����、使用和管理的外包����,即使是具備涉密信息系統(tǒng)集成資質(zhì)的IT企業(yè)���,也只是描述了其技術(shù)服務(wù)空間���,而沒有獲得和了解應(yīng)用信息資質(zhì)和信息。機(jī)密系統(tǒng)的權(quán)利����。
就責(zé)任主體而言,保密和安全不僅不能外包�����,客觀上也不能外包����。服務(wù)外包在涉密信息系統(tǒng)運(yùn)營、使用和管理方面的合規(guī)性分析見表1(服務(wù)提供方為具有涉密資質(zhì)的IT企業(yè))����。上述分析判斷進(jìn)一步說明BMB20-2007規(guī)定的管理對(duì)象為專門的安全保密管理人員�����,并對(duì)管理人員的管理職責(zé)�����、管理內(nèi)容和管理要求作出了具體規(guī)定��。服務(wù)����、探訪等外部人員也提出了全程陪伴的規(guī)定�。 3.3 “三人”合規(guī)性與實(shí)務(wù)分析 3.3.1 “三人”崗位職責(zé) 根據(jù)BMB20-2007標(biāo)準(zhǔn)要求,涉密信息系統(tǒng)應(yīng)配備系統(tǒng)管理員��、安全保密管理 安全保密管理人員分為三類(簡稱“三名成員”)��,分別負(fù)責(zé)系統(tǒng)日常運(yùn)行維護(hù)�、日常安全保密管理�、行為監(jiān)督管理安全保密人員:(1)系統(tǒng)管理員主要負(fù)責(zé)系統(tǒng)的日常運(yùn)維;(2)安全管理員主要負(fù)責(zé)系統(tǒng)的日常安全和安全管理����,包括用戶帳戶管理以及安全設(shè)備和系統(tǒng)生成的日志的審查和分析�����;(3)安全審計(jì)員是馬負(fù)責(zé)對(duì)系統(tǒng)管理員和安全保密管理員的操作行為進(jìn)行審計(jì)����、跟蹤��、分析和監(jiān)督���,并定期向安全保密管理機(jī)構(gòu)報(bào)告有關(guān)情況�����。
3 .3 .2“三人”合規(guī)分析 在“保密風(fēng)暴”發(fā)展過程中�����,多個(gè)政府部門將涉密信息系統(tǒng)“三人”委托給所屬信息中心的員工通過研究發(fā)現(xiàn)pc運(yùn)維外包���,在涉密信息系統(tǒng)運(yùn)行、維護(hù)和管理所涉及的設(shè)備維護(hù)��、應(yīng)用支持和安全檢查三個(gè)方面、六大類中��,網(wǎng)絡(luò)和安全設(shè)備除外 71201 1 |保密科技|年 5 月 (3) 專項(xiàng)安全檢查期間����,除純技術(shù)支持外,外包人員不能訪問涉密終端����、非涉密終端、涉密移動(dòng)媒體����、非涉密移動(dòng)媒體,以及涉密辦公自動(dòng)化設(shè)備����。用戶無權(quán)知曉用戶終端和媒體中的文件內(nèi)容,無權(quán)查看和分析用戶的行為信息���;(4)外包商不得允許了解和掌握分類系統(tǒng)的賬本信息�����,不能參與相關(guān)信息的維護(hù);(5)安全審計(jì)員的職責(zé)是對(duì)系統(tǒng)管理員的工作和安全及安全進(jìn)行合規(guī)性審計(jì)和檢查)保密管理員,所以邏輯上排除系統(tǒng)管理員和安全保密管理(6)對(duì)于外包商可以提供的技術(shù)服務(wù)���,內(nèi)部人員必須是伴隨著整個(gè)過程�����。因此���,從落實(shí)和落實(shí)合規(guī)性的角度來看,涉密信息系統(tǒng)的運(yùn)行維護(hù)管理��、日常終端巡查����、臺(tái)賬維護(hù)、安全審計(jì)等保密工作中的專項(xiàng)保密檢查���,不應(yīng)外包�����,而應(yīng)由具有資質(zhì)的人員進(jìn)行��。政府部門內(nèi)的機(jī)密資格����;網(wǎng)絡(luò)和安全設(shè)備的技術(shù)維護(hù)工作,如應(yīng)用支持�、設(shè)備支持等,在受上述(6)條款的約束)的情況下����,可能會(huì)在有限的范圍內(nèi)外包。
4.2“三人”的有效配置針對(duì)以上對(duì)“三人”合規(guī)性和常態(tài)化管理事務(wù)工作量測算的分析�����,各級(jí)政府部門保密辦公室應(yīng)重視并在內(nèi)部落實(shí)合格人員擔(dān)任涉密信息系統(tǒng)的系統(tǒng)管理員��、保安員�����、安全審計(jì)員�����,使涉密信息系統(tǒng)各項(xiàng)管理要求落到實(shí)處����。信息中心定位于提供技術(shù)支持��、應(yīng)用培訓(xùn)、維護(hù)支持�,隨時(shí)提供和響應(yīng)各種技術(shù)支持和應(yīng)急響應(yīng)。 5 結(jié)論涉密信息系統(tǒng)是分級(jí)保護(hù)的重要對(duì)象���,技術(shù)安全和信息安全是涉密信息系統(tǒng)運(yùn)維管理中的重要任務(wù)�����。具有高度的政治敏感性和強(qiáng)烈的責(zé)任感����,是涉密信息系統(tǒng)運(yùn)行管理的重要條件��;落實(shí)BMB20-2007各項(xiàng)管理要求�,是分類信息系統(tǒng)標(biāo)準(zhǔn)化管理的抓手;一支符合BMB20-2007規(guī)定條件的管理團(tuán)隊(duì)����,能夠有效控制服務(wù)外包帶來的安全風(fēng)險(xiǎn),是保障涉密信息系統(tǒng)安全應(yīng)用的基礎(chǔ)���。只有做到“規(guī)定動(dòng)作不變形”���,認(rèn)真研究�、判別����、明確IT企業(yè)在涉密信息系統(tǒng)運(yùn)維中的訪問條件和角色空間,才能確保涉密信息的全生命周期信息系統(tǒng)是標(biāo)準(zhǔn)化和嚴(yán)格的�。在管理軌道上運(yùn)行。參考文獻(xiàn): [1] BMB20-2007《涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》[S].[2]梁學(xué)貴�����。保密資格審查和認(rèn)證是一個(gè)好的制度:建立保密資格審查和認(rèn)證制度的基本思路和概念[J].保密工作��,() 3 [3] IT 服務(wù)管理最佳實(shí)踐指南 ITIL [S] 學(xué)術(shù)交流 A c a c a d e m i c E x c h a n g e s 表 2 核對(duì)賬本類型 模擬涉密信息系統(tǒng)終端數(shù)量 30 涉密單機(jī) 20 涉密-相關(guān) 移動(dòng)存儲(chǔ)介質(zhì) 1 5 涉密辦公自動(dòng)化設(shè)備 5 非涉密終端 15 0 非涉密移動(dòng)存儲(chǔ)介質(zhì) 1 50 表3 保密檢查人力投入(人/天) 工作內(nèi)容數(shù)量 單次投入 年投入終端日常維護(hù) 1 233 6 保密檢查 2408 0 總計(jì) 1 41 1 12009 11:29 - 0..
售前咨詢專員
