5 月 6 日 |保密科技|A c a d e m i c Ex c ch es 學(xué)術(shù)交流 保密信息系統(tǒng)運維管理及相關(guān)服務(wù)外包的符合性分析與研究 徐偉明 魏飛新 上海水務(wù)信息中心 1 引言 2008年以來 應(yīng)對日新月異的變化在世界保密形勢下,國家保密局推動了近20年來罕見的保密檢查����,這在系統(tǒng)中被稱為“保密風(fēng)暴”�。它是由內(nèi)網(wǎng)和外網(wǎng)之間的互連和勾結(jié)造成的。對此��,各級政府部門日益將涉密信息系統(tǒng)建設(shè)����、使用、運行和維護的合規(guī)性和保密性提高到重要位置�����,涉密信息系統(tǒng)的安全意識和重要性大大提高��。提升�。但是,由于很多涉密信息系統(tǒng)在技術(shù)構(gòu)成和管理要求方面具有強制性和不公開的特點�,一些單位對涉密信息系統(tǒng)的管理機制、管理方式和相關(guān)規(guī)定仍存在一定的不兼容���,尤其是在在IT服務(wù)外包成為政府部門普遍采用的信息系統(tǒng)運維管理方式的情況下���,準(zhǔn)確界定和有效控制IT企業(yè)在涉密信息系統(tǒng)運維中的空間和作用已成為政府的關(guān)鍵問題。部門開展涉密信息系統(tǒng)運維工作����。維度管理的一項重要任務(wù)����。 2 BMB20-2007涉密信息系統(tǒng)運維管理指導(dǎo)范圍和約束力 BMB全稱《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》(以下簡稱BMB20-2007))�,經(jīng)國家保密局批準(zhǔn),公布國家安全標(biāo)準(zhǔn)�。
BMB20-2007規(guī)定了涉密信息系統(tǒng)分級保護的管理流程、管理要求和管理內(nèi)容�。保密信息系統(tǒng)的建設(shè)、使用和管理�����,也可以用于保密工作部門對保密信息系統(tǒng)的管理和審批��。在涉密信息系統(tǒng)分級保護和保密管理過程中��,應(yīng)嚴(yán)格按照BMB20-2007執(zhí)行�����。 3 涉密信息系統(tǒng)運維管理存在的問題分析 3.1 運維管理的范圍和內(nèi)容以涉密信息系統(tǒng)為基礎(chǔ) 在BMB20-2007標(biāo)準(zhǔn)的基礎(chǔ)上�����,國家安全局還將部署具體的管理要求根據(jù)不同時期的管理需要��。目前��,大部分涉密信息系統(tǒng)的運維管理��,除技術(shù)支持外���,一般還包括涉密單機��、涉密媒體���、涉密辦公自動化設(shè)備的運維管理。網(wǎng)絡(luò)和安全設(shè)備的設(shè)備保障服務(wù)�����。它涉及設(shè)備維護��、應(yīng)用支持和保密檢查三個方面和六個類別���。 【摘要】 在IT服務(wù)外包已成為政府部門普遍采用的信息系統(tǒng)運維管理方式的情況下����,需要對IT企業(yè)的機密信息進行準(zhǔn)確界定和有效管控�����。信息系統(tǒng)運維的空間和作用已成為政府部門開展涉密信息系統(tǒng)運維管理的重要任務(wù)。
結(jié)合BMB20-2007管理標(biāo)準(zhǔn)�����,分析了IT服務(wù)外包的合規(guī)性和“三員工”的合規(guī)性和實際問題�����,探討了涉密信息系統(tǒng)的運維管理��。管理事項有待調(diào)整和落實����。 【關(guān)鍵詞】 運維管理;服務(wù)外包���;三名工作人員����;合規(guī) 9201 120 - 20 07 |保密科技|賬戶維護��、安全審計服務(wù)、應(yīng)用支??持服務(wù)����、設(shè)備保障服務(wù)����。 3.2 運維管理服務(wù)外包合規(guī)性分析 BMB20-2007 涉密信息系統(tǒng)全生命周期服務(wù)類別 涉密終端和非涉密終端的服務(wù)范圍 服務(wù)內(nèi)容 定期檢查設(shè)備運行狀態(tài)和性能等 合規(guī)判定網(wǎng)絡(luò)及安全設(shè)備維護 專項安全檢查 服務(wù)終端日常巡檢及臺賬維護 安全審計服務(wù) 應(yīng)用支持服務(wù) 移動存儲介質(zhì)未分類 移動存儲介質(zhì) 官網(wǎng)終端未分類終端 秘密介質(zhì)未分類 辦公自動化設(shè)備 辦公自動化設(shè)備 網(wǎng)絡(luò)設(shè)備 安全設(shè)備終端,不涉及用戶行為信息檢查���,適合外包 1.外接是否非法2.非機密媒體和設(shè)備是否被非法使用 3.是否l機要登錄需要用戶身份認(rèn)證4. 涉密機是否安裝殺毒等安全軟件并及時更新 1. 是否已接入涉密計算機信息系統(tǒng)2.是否對涉密信息進行處理和存儲 3����、是否使用過涉密移動存儲介質(zhì)����?在機密計算機和非機密網(wǎng)絡(luò)上交叉使用 1.是否存儲了機密信息2.是否存儲了內(nèi)部工作信息 3.在機密計算機上交叉使用 機密信息的打印和傳輸是否與專項保密檢查服務(wù) 1.殺毒軟件更新2.保密保護專項系統(tǒng)檢查等 1.涉密終端臺賬、戶籍維護更新2.臺賬��、戶籍維護更新涉密媒體3.涉密辦公設(shè)備臺賬�、戶口簿維護更新4.非保密終端臺賬維護更新 5.非保密移動存儲臺賬維護更新媒體。保密知識及相關(guān)建議等的技術(shù)咨詢和培訓(xùn)��,保障涉密單機臺賬等的維護�,定期進行安全審計日志分析,統(tǒng)計現(xiàn)有違規(guī)行為,進行保密檢查和安全評估安全審計結(jié)果�。必須操作用戶PC終端,涉及用戶行為��。檢查分析可能導(dǎo)致機密信息泄露����,不適合外包 1.需要查看網(wǎng)上記錄2.需要搜索“*.d oc, *.tx t”等文件,檢查文件內(nèi)容并判斷�。
可能導(dǎo)致用戶上網(wǎng)信息等行為信息及終端隱私泄露。如果不適合外包可能會導(dǎo)致機密信息的泄露�,從而可能導(dǎo)致用戶在線信息等行為信息的泄露。不適合外包瀏覽�����、打印和傳輸信息內(nèi)容����,可能導(dǎo)致機密信息泄露。它不應(yīng)該外包�����。它不應(yīng)該外包���。它不應(yīng)該外包�����。會計信息不應(yīng)外包 根據(jù)B MB 20-2007的要求���,安全審計應(yīng)由配備保密信息系統(tǒng)的專職人員負(fù)責(zé),不宜外包�。它適合外包。它適合外包�。及相關(guān)服務(wù)外包合規(guī)分析表-05 |保密科技| A c a d e mi c Ex c h a g es 學(xué)術(shù)交流運維、應(yīng)用支持和設(shè)備保障 除系統(tǒng)管理員職責(zé)外����,信息中心工作人員還適用于剩余的專項保密檢查、終端日常檢查��、臺賬維護安全審計包括:用戶操作行為檢查與分析��、用戶在線痕跡檢查�����、文檔查看��、用戶終端賬號管理等主體資質(zhì)等具體工作內(nèi)容。出了點問題���。
在工作要求方面�,由于涉密信息系統(tǒng)不同于一般業(yè)務(wù)系統(tǒng)�,國安局對涉密系統(tǒng)的使用有一套完整的管理要求,如:用戶列表管理�、用戶標(biāo)識管理、權(quán)限列表審核����、需求分析評估、安全互聯(lián)控制等�����,信息中心員工普遍不具備涉密終端的接入和使用資格�����。因此����,信息中心員工負(fù)責(zé)安全和保密管理員和安全審計員。無論是學(xué)科資格還是具體執(zhí)業(yè)��,其基本要求是:無法按照國家保密局的要求有效開展相關(guān)管理工作。 3.3.3 “三人”實務(wù)分析 保密檢查是涉密信息系統(tǒng)應(yīng)用管理的重要內(nèi)容�����。與一般信息系統(tǒng)不同���,工作內(nèi)容具有很強的剛性特征���,加上人員相對固定和最少��。隨著涉密信息系統(tǒng)應(yīng)用范圍的不斷擴大���,安檢工作已成為一項工作量相當(dāng)大的事務(wù)性管理工作�����。工作量測算見表2和表3�����。根據(jù)表中的模擬計算��,總共需要大約116人/天���。在管理實踐中�,兼職“三名員工”不僅在知識和技能方面難以有效承擔(dān)專職安全保密管理工作��,而且其工作量也會與本職工作發(fā)生沖突��,很容易被陷入兩難境地���。 4 應(yīng)調(diào)整實施的管理事項 根據(jù)BMB20-2007管理標(biāo)準(zhǔn)pc運維外包����,保密信息系統(tǒng)的使用和管理應(yīng)從以下兩個方面加強合規(guī)調(diào)整:4.1服務(wù)外包合規(guī)管理(1) 外包人員不能掌握網(wǎng)絡(luò)設(shè)備和安全設(shè)備的密碼和密碼��; ( ) 外包人員不能掌握任何機密終端的User 2賬號��;已經(jīng)做出了明確的規(guī)定和約束��,IT領(lǐng)域常用的服務(wù)角色必須嚴(yán)格限制涉密信息系統(tǒng)運行�����、使用和管理的外包�,即使是具備涉密信息系統(tǒng)集成資質(zhì)的IT企業(yè),也只是描述了其技術(shù)服務(wù)空間��,而沒有獲得和了解應(yīng)用信息資質(zhì)和信息。機密系統(tǒng)的權(quán)利��。
就責(zé)任主體而言����,保密和安全不僅不能外包,客觀上也不能外包�。服務(wù)外包在涉密信息系統(tǒng)運營、使用和管理方面的合規(guī)性分析見表1(服務(wù)提供方為具有涉密資質(zhì)的IT企業(yè))�����。上述分析判斷進一步說明BMB20-2007規(guī)定的管理對象為專門的安全保密管理人員���,并對管理人員的管理職責(zé)、管理內(nèi)容和管理要求作出了具體規(guī)定�����。服務(wù)����、探訪等外部人員也提出了全程陪伴的規(guī)定。 3.3 “三人”合規(guī)性與實務(wù)分析 3.3.1 “三人”崗位職責(zé) 根據(jù)BMB20-2007標(biāo)準(zhǔn)要求�,涉密信息系統(tǒng)應(yīng)配備系統(tǒng)管理員�����、安全保密管理 安全保密管理人員分為三類(簡稱“三名成員”)�,分別負(fù)責(zé)系統(tǒng)日常運行維護����、日常安全保密管理、行為監(jiān)督管理安全保密人員:(1)系統(tǒng)管理員主要負(fù)責(zé)系統(tǒng)的日常運維����;(2)安全管理員主要負(fù)責(zé)系統(tǒng)的日常安全和安全管理,包括用戶帳戶管理以及安全設(shè)備和系統(tǒng)生成的日志的審查和分析����;(3)安全審計員是馬負(fù)責(zé)對系統(tǒng)管理員和安全保密管理員的操作行為進行審計、跟蹤���、分析和監(jiān)督����,并定期向安全保密管理機構(gòu)報告有關(guān)情況���。
3 .3 .2“三人”合規(guī)分析 在“保密風(fēng)暴”發(fā)展過程中���,多個政府部門將涉密信息系統(tǒng)“三人”委托給所屬信息中心的員工通過研究發(fā)現(xiàn)pc運維外包��,在涉密信息系統(tǒng)運行���、維護和管理所涉及的設(shè)備維護、應(yīng)用支持和安全檢查三個方面���、六大類中�����,網(wǎng)絡(luò)和安全設(shè)備除外 71201 1 |保密科技|年 5 月 (3) 專項安全檢查期間���,除純技術(shù)支持外,外包人員不能訪問涉密終端�����、非涉密終端�����、涉密移動媒體�����、非涉密移動媒體��,以及涉密辦公自動化設(shè)備����。用戶無權(quán)知曉用戶終端和媒體中的文件內(nèi)容,無權(quán)查看和分析用戶的行為信息����;(4)外包商不得允許了解和掌握分類系統(tǒng)的賬本信息,不能參與相關(guān)信息的維護����;(5)安全審計員的職責(zé)是對系統(tǒng)管理員的工作和安全及安全進行合規(guī)性審計和檢查)保密管理員,所以邏輯上排除系統(tǒng)管理員和安全保密管理(6)對于外包商可以提供的技術(shù)服務(wù)����,內(nèi)部人員必須是伴隨著整個過程。因此��,從落實和落實合規(guī)性的角度來看�,涉密信息系統(tǒng)的運行維護管理、日常終端巡查、臺賬維護��、安全審計等保密工作中的專項保密檢查���,不應(yīng)外包����,而應(yīng)由具有資質(zhì)的人員進行�����。政府部門內(nèi)的機密資格���;網(wǎng)絡(luò)和安全設(shè)備的技術(shù)維護工作����,如應(yīng)用支持�、設(shè)備支持等,在受上述(6)條款的約束)的情況下�,可能會在有限的范圍內(nèi)外包。
4.2“三人”的有效配置針對以上對“三人”合規(guī)性和常態(tài)化管理事務(wù)工作量測算的分析��,各級政府部門保密辦公室應(yīng)重視并在內(nèi)部落實合格人員擔(dān)任涉密信息系統(tǒng)的系統(tǒng)管理員���、保安員�、安全審計員��,使涉密信息系統(tǒng)各項管理要求落到實處�����。信息中心定位于提供技術(shù)支持����、應(yīng)用培訓(xùn)、維護支持���,隨時提供和響應(yīng)各種技術(shù)支持和應(yīng)急響應(yīng)����。 5 結(jié)論涉密信息系統(tǒng)是分級保護的重要對象�,技術(shù)安全和信息安全是涉密信息系統(tǒng)運維管理中的重要任務(wù)。具有高度的政治敏感性和強烈的責(zé)任感��,是涉密信息系統(tǒng)運行管理的重要條件�����;落實BMB20-2007各項管理要求,是分類信息系統(tǒng)標(biāo)準(zhǔn)化管理的抓手���;一支符合BMB20-2007規(guī)定條件的管理團隊�,能夠有效控制服務(wù)外包帶來的安全風(fēng)險���,是保障涉密信息系統(tǒng)安全應(yīng)用的基礎(chǔ)����。只有做到“規(guī)定動作不變形”�,認(rèn)真研究、判別�����、明確IT企業(yè)在涉密信息系統(tǒng)運維中的訪問條件和角色空間��,才能確保涉密信息的全生命周期信息系統(tǒng)是標(biāo)準(zhǔn)化和嚴(yán)格的�。在管理軌道上運行。參考文獻: [1] BMB20-2007《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》[S].[2]梁學(xué)貴���。保密資格審查和認(rèn)證是一個好的制度:建立保密資格審查和認(rèn)證制度的基本思路和概念[J].保密工作�,() 3 [3] IT 服務(wù)管理最佳實踐指南 ITIL [S] 學(xué)術(shù)交流 A c a c a d e m i c E x c h a n g e s 表 2 核對賬本類型 模擬涉密信息系統(tǒng)終端數(shù)量 30 涉密單機 20 涉密-相關(guān) 移動存儲介質(zhì) 1 5 涉密辦公自動化設(shè)備 5 非涉密終端 15 0 非涉密移動存儲介質(zhì) 1 50 表3 保密檢查人力投入(人/天) 工作內(nèi)容數(shù)量 單次投入 年投入終端日常維護 1 233 6 保密檢查 2408 0 總計 1 41 1 12009 11:29 - 0..
售前咨詢專員
