信息系统安全管理

信息系统安全管理谈强化我区计算机信息系统安全保护工作的监督管理随着社会、经济及计算机应用技术的高速发展，计算机的应用已普及到现代社会的各行各业，信息产业已成为现代社会的三大支柱之一。广西和全国一样，计算机应用事业蓬勃发展，全区近年来以每年近万台的速度迅速增加。人类社会信息化程度越来越高，做为信息化核心支柱的计算机信息系统安全与否，将直接关系到国家安全、国计民生和社会稳定。然而，计算机信息系统的可靠性和安全性等方面尚存在许多不足和问题，计算机技术在给人类生活带来巨大进步的同时，也使得一些新型违法犯罪活动和新的社会问题随之产生。例如在金融部门，计算机已成为各项业务工作的基本工具，计算机信息系统成了大量资金流动的控制中枢，因而也成为了犯罪分子攻击的主要目标。我区桂林市某储蓄所的一起计算机犯罪案件涉及金额为二千一百五十万元，是目前国内最大的计算机犯罪案件。此外，我国和俄罗斯先后发现带政治色彩的计算机病毒，我国名为“6.4”的计算机病毒，扩散了不良政治影响，破坏政治稳定。各式各样的计算机违法犯罪活动还例》的管理办法。这种本着积极管理、正确引导的态度，密切结合本地实际制定地方法规或管理办法，强化计算机信息系统安全保护工作监督管理，寓监督于管理之中的做法，是符合我区当前实际的，是有利于促进我们广西计算机应用事业健康发展的。我们设想通过制定一系列规章来强化我区计算机信息系统安全保护工作监督管理。其主要内容是：一、计算机信息系统安全保护工作按安全级别实施监督管理。安全级别按计算机信息系统处理信息的内容分为四级：一级，涉及国家秘密、国家利益，或重要的、对社会影响面大的信息；二级，比较重要的或对社会影响面比较大的信息；三级，社会敏感信息，或部门、单位内部用于管理、控制的重要信息；四级，用户认为需要进行安全保护的其他信息。公安机关对安全级别为一、二级的计算机信息系统安全保护工作实行重点监督指导，对安全级别为三级的计算机信息系统安全保护工作实行检查指导，对安全级别为四级的计算机信息系统安全保护工作实行登记管理。安全级别为一级、二级的计算机信息系统的使用单位，要建立由主管领导及业务管理、保密、保卫、审计、人事、技术等部门人员参加的计算机信息系统安全管理小组，制定计算机信息系统安全规章制度，确定安全保护工作内容，并根据本单位的实际情况定期做风险分析，提出对策，对不安全因素进行整改。安全管理制度应有下列内容：（一）机房环境安全；（二）信息数据安全（三）硬件、软件安全管理；（四）计算机病毒和其他有害数据的防治；（五）计算机网络或计算机通信安全；（六）系统管理、硬件维修、软件开发、操作等人员的职责与管理；（七）应急方案。安全级别为一、二级的计算机信息系统使用单位要建立计算机信息系统安全保护工作年报表制度。计算机信息系统的使用单位在启用涉及国家秘密、国家利益或公众利益的软件系统（含购买、开发、移植等，国家部级单位统一下发的除外）之前先确定系统的安全级别。对安全级别为一级、二级的，由公安机关组织有关人员对软件系统进行安全测试、鉴定，合格后方可正式使用。安全级别为一级、二级、三级的计算机信息系统的新建（含扩建、改建）机房（注1），要对应符合《计算机站场地安全要求》（gb9361-88）中计算机机房安全类别a类、b类、c类的安全要求。在计算机机房附近施工或设在计算机机房附近的设施，不得危害计算机信息系统的安全；新建、扩建、改建计算机机房实行审批制度。此外，涉及国家秘密的计算机信息，其处理和管理应符合《中华人民共和国保守国家秘密法》；处理涉及国家秘密的计算机信息系统的工作人员应按国家有关规定进行审查及管理。二、大力开展安全教育及培训。（一）各安全管理小组中的保卫、技术人员必须经过公安机关进行计算机安全管理培训。安全级别为一级、二级的计算机信息系统的操作人员必须通过公安机关认可的计算机安全知识考试，考试合格后由公安机关发给证书，持证上岗。各安全管理小组应定期对计算机工作人员进行安全、保密教育。（二）开设计算机课程的大中专院校及职业高中，其教材和课程应包含计算机安全法规知识和计算机安全知识方面的内容，并列入教学方案中予以保证。（三）举办各种面向社会招生的计算机技术普及培训班（含电脑打字培训班）的单位，要向学员进行计算机职业道德和计算机安全常识教育。三、加强信息出入境管理。（一）运输、携带、邮寄计算机信息媒体（注2）出入境，应如实向海关申报，并应遵守国家保密局、海关总署《关于禁止邮寄或非法携运国家秘密文件、资料和其他物品出境的规定》等有关规定。（二）从事计算机信息系统国际联网的单位和个人，应按规定到公安机关办理备案手续。办理计算机信息系统国际联网业务及从事计算机信息系统国际联网的单位和个人，应自觉遵守国家有关法规，加强安全管理，不得利用国际联网传递有害数据，发现境外通过国际联网传递有害数据的，应及时报告公安机关。四、查处涉及计算机的违法犯罪案件。各计算机信息系统使用单位和部门应加强对计算机工作人员的思想教育，树立良好的职业道德，并采取措施堵住管理中的漏洞，防止计算机违法犯罪案件的发生，制止有害数据的使用和传播。要按照“谁主管谁负责”的原则，对发生严重问题的单位追究领导责任。各计算机销售部门要对售出的计算机信息媒体（含随机奉送或配套销售）负责，不得含有有害数据（注3）。对计算机信息系统中发生的案件有关单位应当在24小时内向当地县级以上人民政府公安机关报告。五、计算机病毒防治及安全产品销售管理。要严禁任何单位和个人从事制造、故意传播计算机病毒的活动。并且未经公安机关批准，任何单位和个人不得擅自从事下列活动：（一）公开发布计算机病毒疫情消息；（二）研究、收集和保存计算机病毒；（三）刊登、出版、发行、销售、出租描述计算机病毒机理及源程序的书籍和计算机信息媒体；（四）举办有关计算机病毒机理及其防治的讲座和培训班；（五）销售计算机信息系统安全专用产品（包括在工程中配套或整套系统中配套销售的安全专用产品）。单位中的安全小组应制定本单位计算机病毒防治制度并检查执行情况，负责清除本单位的计算机病毒，向当地公安机关报告所发现的计算机病毒及造成的危害，必要时需提供标本，协助公安机关追查计算机病毒的来源。安全级别为一级、二级、三级的计算机信息系统的使用单位必须具有公安机关认可的计算机病毒防治技术措施；上述计算机信息系统中含有微机网络的，每个网络必须具有公安机关认可的网络预防、清除计算机病毒的技术措施。各销售、出租、安装、维修计算机硬件、软件的单位和个人必须保证所销售、出租、安装、维修的计算机硬件、软件不含计算机病毒。销售计算机信息系统安全专用产品的单位，必须向公安机关申请办理销售许可证，经审批后挂牌经营。凡在我区经营销售的计算机信息系统安全专用产品，经营销售单位必须向公安机关申报，经自治区公安厅认证审批后方可销售。六、奖励与处罚。对积极贯彻执行国家有关计算机安全法规及本办法，或协助公安机关查处涉及计算机的违法犯罪案件成绩突出的单位和个人，由各级人民政府、行业主管部门和公安机关给予表彰或奖励。对违反计算机安全法规的，依法给予处罚。综上所述，强化计算机信息系统安全保护工作的监督管理必须在以法律为依据的基础上，辅以大量具体的、系统全面的管理制度，加上公安机关计算机安全监察部门的规范化的监督、指导，方能取得扎实、稳定的成效，确保我区计算机应用事业健康发展。附注：注1：计算机机房，是指放置计算机信息系统主要设备，保障计算机信息系统正常运行的专用功能较多，对环境条件要求相对普通办公室较高的专门场所。注2：计算机信息媒体，是指可存储、携带计算机程序、数据和信息的计算机硬磁盘、软磁盘、光盘、磁带、磁卡、纸带、卡片、打印纸、芯片等。注3：有害数据，是指计算机信息系统及其存储介质中存在、出现的，以计算机程序、图像、文字、声音等多种形式表示的，含有攻击人民民主专政、社会主义制度，攻击党和国家领导人，破坏民族团结等危害国家安全内容的信息；含有宣扬封建迷信、淫秽色情、凶杀、教唆犯罪等危害社会治安秩序内容的信息，以及危害计算机信息系统运行和功能发挥，应用软件、数据可靠性、完整性和保密性，用于违法活动的计算机程序（含计算机病毒）。打造民族信息安全产业浪潮电子信息产业股份有限公司总裁孙丕恕作者简介：孙丕恕，教授级高工。长期从事国产计算机技术的开发研究，自84年以来，曾多次获得国家科技进步二，三等奖，机电部科技进步一，二等奖。目前主持多项国家及部委级大型项目，其中"国产服务器应用系统"，"信息安全服务器"被国家科委列为863项目；"浪潮I6000系列服务器"被国家计委列为"九五"科技攻关项目。由于在计算机领域的显著成就，被山东省委，省政府两次予以重奖；同时还获得省级拔尖人才，机电部突出贡献专家，山东省科技兴鲁积极分子，有突出贡献的中青年科学家等称号，并享有政府特殊津贴。发展民族信息安全产业已刻不容缓随着社会的发展，信息已成为最能代表综合国力的战略资源，信息安全已上升为一个事关国家政治稳定、社会安定、经济有序运行全局性问题，信息安全保障能力则成为了21世纪综合国力、经济竞争实力和民族生存能力的重要组成部分。没有信息安全，就没有真正的政治、军事和经济安全，就没有完整意义上的国家安全。关注信息网络系统的安全问题成为业界的首要任务。特别是随着Internet的普及和电子商务、政府上网工程的启动，一方面，信息技术已经成为整个社会经济和企业生存发展的重要基础，在国民生活和企业经营中的重要性日益凸现；另一方面，政府主管机构、企业和用户对信息技术的安全性、稳定性、可维护性和可发展性提出了越来越迫切的要求，对于在国?quot;黑箱"技术基础上建立起的关键性信息应用系统表现出了越来越多的疑虑。因此，从国家安全方面来看，发展民族信息安全技术已刻不容缓。国内信息安全产业现状虽然目前安全概念炒得比较热，但总体来说国内网络信息安全产业状况还不够成熟。一方面，一些传统IT大企业纷纷投入安全领域，信息安全成为继网络产业之后又一被业内人士普遍看好的新产业发展方向。另一方面，目前还有为数众多的从事安全产品开发的公司规模较小，开发实力不强，或可持续发展能力不够。这些公司的成立大致有几种形式：一是上市公司收购或注资，其目的在于增加题材，推动自身股价；一种是匆匆上马，靠购买别人技术拥有几个产品，希望经过短期运作被收购。这是十分令人担忧的，因为安全产品不同于其他产品，从安全本身角度要求十分严谨，开发安全产品是一种长期的、不断积累的，精深的技术研究工作。由此可以想象，不能满足安全特性的产品投入市场无疑会造成不可想象的后果。另一个问题是法规建设滞后和监督机制不力，一些出台的法规也没有很好地被执行。在市场上经常可以看到一些未经过检测、未得到销售许可的，甚至严重违反国家有关规定的产品在作宣传，在进行推销。因此要真正达到防范于未然的目的，必须要有国家法规的严格约束，并建立起相应的监督机制和增强执法力度。一般说来，国产安全技术及产品成熟度上与国外相比还有一定的差距，这是国内安全厂商都要面对的现实问题，更是在市场开发上面临的一个不利因素。但对安全产品而言，技术不是决定市场的唯一因素，更重要的一点是产品本身的安全性。很多研究成果表明国外安全产品存在着外国情报机构埋伏'后门'的可能性，所以安全产品的研发及应用一定要以国产为主，尤其是密码产品，这一点也是国家有关管理政策硬性规定的。所以，从竞争的角度看，国外产品存在'后门'这一明显'漏洞'，正是我们民族信息安全产业得以发展的契机。决心来源自使命感进军信息安全领域、为国家信息安全事业作贡献，是浪潮这类大型民族骨干IT企业义不容辞的责任。浪潮将以振兴我国民族信息安全产业为己任，以大力推进我国安全技术研发，生产水平和应用水平为目标，通过积累逐渐形成技术及人才优势，根据实际需要，重点展开体现国家意志的信息安全关键技术攻关研究，并进一步借助浪潮已有的产业化经验，以市场促发展，以发展推市场，大力推动我国信息安全产业的规模化。浪潮集团作为国家行业性骨干企业，拥有国家级企业技术中心，国家级博士后工作站、山东省服务器技术重点实验室和国家高新技术"863"成果转化基地，因此具有较强的技术研发力量和完备的计算机软硬件开发试验环境。浪潮进军信息安全领域应该说是有备而来的，浪潮自96年就开始对安全技术及产品展开研究，已经取得了一些初步成绩，浪潮于2000年在国内率先推出了浪潮网泰信息安全服务器，浪潮网盾信息安全电脑等产品，这些产品填补了国内空白，在国家一些关键性安全敏感部门发挥着重要作用。所以说，多年积累形成的技术优势也是浪潮进军信息安全领域的一个重要的原因。目前国家相关部门都非常重视信息安全产业化工作，在成都建立了我国第一个信息安全产业化基地，在上海建立信息安全产品的研发基地，在北京设立国家信息安全工程技术研究中心。全国的信息安全产业化已经有了一个良好的开端。我们希望通过浪潮的带动，联合更多的企业，在山东孕育一个产业化氛围，形成一个新的集技术，人才，资金密集型的信息安全产业基地。浪潮信息安全产品理念信息安全产业将是浪潮今后几年的发展重点。除了浪潮自己在加速培养形成一支在国内安全领域拥有知名度的高级技术专业人才队伍之外，还通过建立一种开放式的研发协作体系，与国内研究机构、学校及社会上专家相结合，以产学研的方式完成了技术整合及成果嫁接，增强产品研发实力，加快产品研发速度，在同步跟踪国外先进技术同时，又结合中国市场的特殊需求进行技术及产品的创新。浪潮在信息安全领域的定位是要成为核心安全设备的供应商。之所以有这样的定位，是浪潮基于对国内安全产品的实际需求和对未来安全技术发展方向的理解。安全的覆盖面是非常大的，从底层硬件设备，到中间层操作系统，再到最上层的应用系统软件，应该都包括在系统范围以内。所以单纯靠哪个软件来解决安全问题是不现实的，在国?quot;黑箱"技术基础上建立起的安全产品或系统，就像是建在沙滩上的大厦，或者说是空中楼阁。因此，研制开发自主版权的，具有国际先进技术水准的，从底层硬件，到操作系统，再到高层应用的系统化安全产品势在必行。浪潮安全产品理念可以用"软件产品硬件化"来概括，即在国产硬件平台上，运行开放的安全Liunx操作系统，再搭载自主版权的工具性应用软件来构建安全的应用系统平台。国产硬件平台提供了软件安全运行的环境，而且是根据安全整体功能要求为软件量体裁衣而作，既保证软件性能能够得到充分发挥，又避免了不必要的浪费，反过来安全软件针对硬件平台又可做合理的安全性屏蔽和功能限制，两者结合在一起形成软硬件一体化的解决方案，为用户提供了真正可信，可控，并完全拥有公司發給員工一份"員工使用電腦軟體保密公約",契約如下1.xxxxx有限公司(以下簡稱本公司),由不同採購管道取得合法軟體之使用權,然本公司並不擁有該軟體及其相關文件,除非獲得軟體開發者許可,否則無權拷貝該等軟體及其相關文件.本公司員工應信守軟體倫理守則及遵行電腦軟體使用與著作權通告之規定.2.本公司員工若發現公司內有任何對電腦軟體及相關文件的不當使用情形,應即通知部門之主管妥善處理.3.依據中華民國法律,凡未經授權而拷貝或使用軟體是違法行為,應付民事損害賠償責任,及包括有期徒刑之刑事責任.本公司決不寬待違法使用軟體的行為.所有員工必須對出現在你所使用的電腦中,未經授權的任何軟體負責.若違反軟體使用之規定,將遭受嚴厲(包括革職)之懲處.並自負一切相關責任.軟體倫理守則未經授權而拷貝具有著作權之電腦軟體,係違法行為且違反本公司政策,我們反對此種拷貝行為,並一下列原則,防止此類情勢的發生:.無論如何,我們不同意亦不容許拷貝或使用未經授權之軟體..我們將適時提供足量之合法軟體,以符合本公司電腦之需求..我們將遵守授權契約或購買條款之軟體使用規範..我們將及例行內部規範防止非法軟體的拷貝與使用.包括有效第查證上述準則的遵守情況,並對違反守則之行為予以嚴厲處分.電腦軟體使用與著作權通告本松脂美一個部門取得授權的軟體程式,在同一時間內只能在授權之電腦上運作.若電腦之硬碟上已存有軟體,則該編有序號之特定軟體,即不得在存入別的硬碟或電腦中.本公司購買之個人電腦軍需安裝或得授權之軟體.資訊室及各部門之主管應負責部門使用之軟體均獲授權極受當管理,並應定期檢查各部門之電腦硬碟,確定硬碟上的每一份軟體產品均備有原本文件及磁片.相關文件及系統磁片應妥善保管,以方便檢查.關於區域網路和多部電腦的使用,本公司員工只能按照授權契約的規定來使用軟體.所有員工都不得擅自將電腦內所安裝的原始版本軟體自行非法升級.本公司不容許任何員工將任何授權予公司的軟體拷貝,轉借或給予外界第三者使用,包括有生意往來之公司和客戶.做好计算机信息处系统的保密工作是我们面临的新课题，突出表现是计算机系统容易泄密和被窃密。1、计算机电磁波辐射泄漏一类传导发射，通过电源线和信号线辐射另一类是由于设备中的计算机处理机、显示器有较强的电磁辐射。计算是靠高频脉冲电路工作的，由于电磁场的变化，必然要向外辐射电磁波。这些电磁波会把计算机中的信息带出去，犯罪分子只要具有相应的接收设备，就可以将电磁波接收，从中窃得秘密信息。据国外试验，在1000米以外能接收和还原计算机显示终端的信息，而且看得很清晰。微机工作时，在开阔地带距其100米外，用监听设备就能收到辐射信号。这类电磁辐射大致又分为两类：第一类是从计算机的运算控制和外部设备等部分辐射，频率一般在10兆赫到1000兆赫范围内，这种电磁波可以用相应频段的接收机接收，但其所截信息解读起来比较复杂。第二类是由计算机终端显示器的阴极射线管辐射出的视频电磁波，其频率一般在6．5兆赫以下。对这种电磁波，在有效距离内，可用普通电视机或相同型号的计算机直接接收。接收或解读计算机辐射的电磁波，现在已成为国外情报部门的一项常用窃密技术，并已达到很高水平。2．计算机网络化造成的泄密由于计算机网络结构中的数据是共享的，主机与用户之间、用户与用户之间通过线路联络，就存在许多泄密漏洞。（1）计算机联网后，传输线路大多由载波线路和微波线路组成，这就使计算机泄密的渠道和范围大大增加。网络越大，线路通道分支就越多，输送信息的区域也越广，截取所送信号的条件就越便利，窃密者只要在网络中任意一条分支信道上或某一个节点、终端进行截取。就可以获得整个网络输送的信息。（2）黑客通过利用网络安全中存在的问题进行网络攻击，进入联网的信息系统进行窃密。（3）INTERNET造成的泄密在INTERNET上发布信息把关不严；INTERNET用户在BBS、网络新闻组上网谈论国家秘密事项等；使用INTERNET传送国家秘密信息造成国家秘密被窃取；内部网络连接INTERNET遭受窃密者从INTERNET攻击进行窃密；处理涉密信息的计算机系统没有与INTERNET进行物理隔离，使系统受到国内外黑客的攻击；间谍组织通过INTERNET搜集、分析、统计国家秘密信息。（4）在INTERNET上，利用特洛尹木马技术，对网络进行控制，如BＯ、ＢＯ２０００。（5）网络管理者安全保密意识不强，造成网络管理的漏洞。3、计算机媒体泄密越来越多的秘密数据和档案资料被存贮在计算机里，大量的秘密文件和资料变为磁性介质和光学介质，存贮在无保护的介质里，媒体的泄密隐患相当大。（1）用过程的疏忽和不懂技术。存贮在媒体中的秘密信息在联网交换被泄露或被窃取，存贮在媒体中的秘密信息在进行人工交换时泄密。（2）大量使同磁盘、磁带、光盘等外存贮器很容易被复制。（3）处理废旧磁盘时，由于磁盘经消磁十余次后，仍有办法恢复原来记录的信息，存有秘密信息的磁盘很可能被利用磁盘剩磁提取原记录的信息。这很容易发生在对磁盘的报废时，或存贮过秘密信息的磁盘，用户认为已经清除了信息，而给其它人使用。（4）计算机出故障时，存有秘密信息的硬盘不经处理或无人监督就带出修理，或修理时没有懂技术的人员在场监督，而造成泄密。（5）媒体管理不规范。秘密信息和非秘密信息放在同一媒体上，明密不分，磁盘不标密级，不按有关规定管理秘密信息的媒体，容易造成泄密。（6）媒体失窃。存有秘密信息的磁盘等媒体被盗，就会造成大量的国家秘密外泄其危害程度将是难以估量的。各种存贮设备存贮量大，丢失后造成后果非常严重。（7）设备在更新换代时没有进行技术处理。4．内部工作人员泄密（1）无知泄密。如由于不知道计算机的电磁波辐射会泄露秘密信息，计算机工作时未采取任何措施，因而给他人提供窃密的机会。又如由于不知道计算机软盘上剩磁可以提取还原，将曾经存贮过秘密信息的软盘交流出去或废旧不作技术处理而丢掉，因而造成泄密。不知道上INTERNET网时，会造成存在本地机上的数据和文件会被黑客窃走。网络管理者没有高安全知识。（2）违反规章制度泄密。如将一台发生故障的计算机送修前既不做消磁处理，又不安排专人监修，造成秘密数据被窃。又如由于计算机媒体存贮的内容因而思想麻痹，疏于管理，造成媒体的丢失。违反规定把用于处理秘密信息的计算机，同时作为上INTERNET的机器。使用INTERNET传递国家秘密信息等。（3）故意泄密。外国情报机关常常采用金钱收买、色情引和策反别国的计算机工作人员。窃取信息系统的秘密。如程序员和系统管理员被策反，就可以得知计算机系统软件保密措施，获得使用计算机的口令或密钥，从而打入计算机网络，窃取信息系统、数据库内的重要秘密；操作员被收买，就可以把计算机保密系统的文件、资料向外提供。维修人员被威胁引诱，就可对用进入计算机或接近计算机终端的机会，更改程序，装置窃听器等。计算机信息系统保密工作管理规定第一章总则第一条为了保护计算机信息系统处理的国家秘密安全，根据《中华人民共和国保守国家秘密法》、《中华人民共和国计算机信息系统安全保护条例》，结合我区实际，制定本规定。第二条本规定适用于在本自治区行政区域内采集、加工、存储、处理、传递、输出、使用国家秘密信息的计算机信息系统（以下简称涉密计算机信息系统）。第三条自治区国家保密局主管全区涉密计算机信息系统的保密工作。各行署、市、县（区）保密工作部门主管本地区计算机信息系统保密管理工作。各级国家机关，企业、事业单位保密工作机构，主管本系统、本部门、本单位涉密计算机信息系统的保密工作。第四条涉密计算机信息系统实行申报审批制度。自治区所属国家机关、企业、事业单位使用涉密计算机信息系统，由本单位保密工作机构报自治区国家保密局审批。各行署、市、县（区）所属国家机关、企业、事业单位使用涉密计算机信息系统，由本单位保密工作机构报所在地同级保密工作部门审批，并报自治区国家保密局备案。第五条未经申报批准的涉密计算机信息系统不得投入使用。未经申报批准的计算机信息系统不得涉及国家秘密。第二章硬件保密管理第六条新建涉密计算机信息系统，必须同步规划和落实保密管理和保密技术防范措施。已建成投入使用的涉密计算机信息系统，应完善保密管理和保密技术防范措施，并依照本规定补办申报审批手续。第七条涉密计算机信息系统的硬件设备及场所，必须符合下列要求：（一）机房选址应按国家有关规定与境外机构驻地、人员住处保持相应的安全距离，并根据所处理信息的涉密程度和有关规定，设立必要的控制区域。未经保密机构批准不得进入。（二）应尽量选用国产机型；必须使用国外计算机时，应在安装和启用前，由所在地同级保密工作部门进行保密性能检查。（三）应采取防电磁信息泄露的保密防护措施。（四）计算机信息系统所采用的各种保密技术设备及措施，必须是经过国家保密局审批许可的。（五）其他物理安全要求，应符合国家有关保密标准。第八条涉密计算机信息系统，需更新、租借、出卖硬件设备的，必须对硬件设备进行保密技术处理，确认系统中无国家秘密信息，并经主管部门保密工作机构批准后方可进行。第三章软件保密管理第九条涉密计算机信息系统处理的信息和事项，未经法定程序确定秘级的，应按照国家有关规定确定密级和保密期限。第十条涉密计算机信息系统涉及的国家秘密信息和事项，其密级和保密期限一经确定，应采取下列保密措施：（一）标明相应的密级标识，密级标识不能与正文分离。（二）计算机媒体应以存储信息的最高密级作出明显密级标识。（三）应按相应密级文件进行管理。第十一条绝密级国家秘密信息未经自治区国家保密局批准，不得进入涉密计算机信息系统。第十二条涉密计算机信息系统中涉及国家秘密信息的各种程序，应当在建库、检索、修改、打印等环节设置程序保密措施，其保密措施应按所处理秘密信息的最高密级进行管理。第十三条涉密计算机信息系统不得处理与本系统业务无关的业务；因特殊情况需要承担其它业务的，应由主管部门保密工作机构报所在地同级保密工作部门批准。第十四条存储过国家秘密信息的计算机媒体，应遵守下列事项：（一）不得降低密级使用；（二）不再使用申请报废时，应向同级保密工作部门申报登记，经批准后按保密工作部门的要求销毁；（三）需要维修时应保证所存储的国家秘密信息不被泄露。第十五条涉密计算机信息系统的各种计算机软件，不得进行公开学术交流，不得公开发表。第十六条涉密计算机信息系统工作过程中，产生的各种废纸应使用粉碎机及时销毁。第十七条涉密计算机信息系统打印输出标有密级标识的文件，应按相应密级的文件进行管理。第四章网络保密管理第十八条涉密计算机信息系统联网，应采取系统访问控制、数据保护和系统安全保密监控管理等技术措施。第十九条涉密计算机网络信息系统的访问，应按权限控制，不得进行越权操作。未采取技术安全保密措施的数据库不得联网。第二十条涉密计算机信息系统，不得与境外机构、外国驻华机构及国际计算机网络进行直接或间接联网。第二十一条已与国际计算机网络联网的计算机信息系统，应建立严格的保密管理制度；联网单位保密工作机构要指定专人对上网信息进行保密检查。国家秘密信息不得在与国际网络联网的计算机信息系统中存储、处理、传递。第五章系统保密管理第二十二条涉密计算机信息系统的保密管理实行领导负责制，由使用该系统单位的主管领导负责本单位涉密计算机信息系统的保密工作，并指定有关机构和人员具体承办。第二十三条各单位的保密工作机构应协助本单位的领导，对涉密计算机信息系统的保密工作进行指导、协调、监督和检查。第二十四条涉密计算机信息系统的使用单位，应根据系统所处理的信息涉密等级和重要性制订相应的管理制度。第二十五条县级以上保密工作部门应依照国家有关法规和标准，定期对本地区、本部门管辖的涉密计算机信息系统进行保密措施和保密技术检查，并对系统安全保密管理人员进行严格审查，定期考核。涉密计算机信息系统的安全保密管理人员应保持相对稳定。第二十六条各单位保密工作机构应对涉密计算机信息系统的工作人员，进行上岗前的保密培训，并定期进行保密教育和检查。第二十七条任何单位和个人发现涉密计算机信息系统泄密后，都应及时采取补救措施，并按有关规定及时向上级报告。第六章奖惩第二十八条在涉密计算机信息系统保密工作中做出显著成绩的单位和个人，由县级以上保密工作部门给予奖励。第二十九条涉密计算机信息系统违反本规定的，由县级以上保密工作部门责令停止使用，限期改正；改正后再使用时，须经县级以上保密工作部门验收批准。第三十条违反本规定，泄露国家秘密的，依据《中华人民共和国保守国家秘密法》及其实施办法进行处理，并追究有关领导和直接责任人的法律责任。第三十一条违反本规定，故意或过失泄露国家秘密，情节严重构成犯罪的，由司法机关依法追究刑事责任。第七章附则第三十二条本规定所称保密工作机构，是指各级国家机关，企业、事业单位承担本系统、本部门、本单位保密工作的专门或兼管机构。第三十三条本规定所称计算机媒体是指：计算机硬盘、软盘、光盘、磁带以及其它设备，还包括各种计算机输出设备产生的信息载体、数据库软件和其它应用软件。第三十四条本规定自发布之日起施行。计算机泄密的主要途径与防范1946年世界上第一台电子计算机在美国诞生后，电子计算机很快经历了电子管、晶体管、集成电路次规模集成电路和超大规模集成电路五个发展阶段。微型计算机的出现和计算机网络化扩大了计算机的应用范围。使计算机仿应用深入到社会生活的各个方面。现在，我国在国访、科技、工业。农业、商业、金融、交通、运输、文化教育、服务等领域和行业都已开始广泛地使用计算机。作为一项综合科学技术的办公自动化，更是以计算机为中心和基础，计算机大量装备于党政军要害部门，各种秘密情报被送入计算机进行加工、存贮和传递。如何做好计算机信息处思中的保密工作是我们面临的新课题。计算机的广泛应用推动了社会的发展和进步，但也带来了一系列的社会问题。现在，西方发达国家把他们的社会由于广泛使用计算机称为“脆弱的社会”。一计算机的脆弱性一般表现在计算机犯罪、敌对国家的破坏、意外事故和自然灾害、电磁波干扰、工作人员的失误以及计算机本身的缺陷等许多方面，突出表现是容易泄密和被窃密。（一）计算机泄密的主要途径1．计算机电磁波辐射泄密计算机辐射主要有四个部分：显示器的辐射；通信线路（联接线）的辐射主机的辐射；输出设备（打印机）的辐射。计算机是靠高频脉冲电路工作的，由于电磁场的变化，必然要向外辐射电磁波。这些电磁波会把计算机中的信息带出去，犯罪分子只要具有相应的接收设备，就可以将电磁波接收，从中窃得秘密信息。据国外试验，在1000米以外能接收和还原计算机显示终端的信息，而且看得很清晰。微机工作时，在开阔地带距其100米外，用监听设备就能收到辐射信号。计算机电磁辐射大致分为两类：第一类是从计算机的运算控制和外部设备等部分辐射，频率一般在10兆赫到1000兆赫范围内，这种电磁波可以用相应频段的接收机接收，但其所截信息解读起来比较复杂。第二类是由计算机终端显示器的阴极射线管辐射出的视频电磁波，其频率一般在6．5兆赫以下。对这种电磁波，在有效距离内，可用普通电视机或相同型号的计算机直接接收。接收或解读计算机辐射的电磁波，现在已成为国外情报部门的一项常用窃密技术，并已达到很高水平。2．计算机联网泄密计算机网络化是计算机发展史上的重要阶段，它使计算机只能在机房里对不同信息的单项数据的分类、加工和整理，发展成为使信息的收集、加工、贮存、传输融为一体，扩大了计算机的应用范围，使计算机的应用深入到社会各个方面。计算机网络校跨大陆和海洋，可将世界范围内的计算机联接起来，每个用户都可通过自己的终端，充分利用各个计算机存贮的大量文字、数据和图像资料。计算机网络化带来的信息交流。知识融汇，使人们能充分利用全人类创造的全部知识财富，由此产生的深远影响将难以估量。然而，由于计算机网络结构中的数据是共享的，主机与用户之间、用户与用户之间通过线路联络，就存在许多泄密漏洞。首先，“数据共享”时计算机系统实行用户识别口令，由于计算机系统在分辨用户时认“码”不认“人”，这样，那些未经授权的非法用户或窃密分子就可能通过冒名顶替、长期试探或其它办法掌握用户口令，然后打入联网的信息系统进行窃密。其次，计算机联网后，传输线路大多由载波线路和微波线路组成，这就使计算机泄密的渠道和范围大大增加。七矜网络越大，线路通道分支就越多，输送信息的区域也越广，截取所送信号的条件就越便利，窃密者只要在网络中任意一条分支信道上或某一个节点、终端进行截取。就可以获得整个网络输送的信息。3.计算机媒体泄密计算机具有惊人的存贮功能。它可以对湖水般涌来的各种信息进行传递、加工和存贮，可以将大量约秘密文件和资料由纸张介质变为磁性介质和光学介质。一个汉字至少要占55平方毫米，行同样面积的集成电路存贮器可存贮50万个汉字。为了自动地、高效地加工和利用各种信息，越来越多的秘密数据和档案资料被存贮在计算机里。计算机的存贮器分为内存贮据和外存贮器两种，内存贮器要求存取速度仇外存贮器要求存贮和容量大。如前所述，存贮在内存贮器的秘密信息可通过电磁辐射或联网交换被泄露或被窃取，而大量使同磁盘、磁带、光盘的外存贮器很容易被非法篡改或复制。由于磁盘经消磁十余次后，仍有办法恢复原来记录的信息，存有秘密信息的磁盘被重新使用时，很可能被非法利用磁盘剩磁提取原记录的信息。计算机出故障时，存有秘密信息的硬盘不经处理或无人监督就带出修理，就会造成泄密。秘密信息和非秘密信息放在同一媒体上，明密不分，容易造成泄密。存有秘密信息的磁盘等媒体被盗或携带出国，就会造成大量的因家秘密外泄其危害程度将是难以估量的。4．计算机工作人员泄密（1）无知泄密。如由于不知道计算机的电磁波辐射会泄露秘密信息，计算机工作时未采取任何措施，因而给他人提供窃密的机会。又如由于不知道计算机软盘上剩孩可以提取还原，将曾经存贮过秘密信息的软盘交流出去，因而造成泄密。（2）违反规章制度两汉密。如将一台发生故障的计算机送修前既不做消磁处理，又不安排专人监修，造成秘密数据被窃。又如由于计算机媒体存贮的内容缺乏在观性，因而思想麻痹，疏于管理，容易造成媒体的丢失。（3）故意泄密。外国情报机关常常采用金钱收买、色情引和策反别国的计算机工作人员。窃取信息系统的秘密。这比利用电子监听。攻击网络等办法有利得多。如程序员被策反，就可以得知计算机系统软件保密措施，获得使用计算机的口令或密钥，从而打入计算机网络，窃取信息系统、数据库内的重要秘密；操作员被收买，就可以把计算机保密系统的文件、资料向外提供。维修人员被威胁，就可对用进入计算机或接近计算机终端的机会，更改程序，装置窃听器等。（二）计算机的保密防范措施计算机的保密防范主要从技术、行政和法律三个方面着手：1．技术防范（1）使用低辐射计算机设备。这是防止计算机辐射泄密的根本措施，这些设备在设计和生产时，已对可能产生信息辐射的元器件、集成电路、连接线和CRT等采取了防辐射措施，把设备的信息辐射抑制到最低限度。（2）屏蔽。根据辐射量的大小和客观环境，对计算机机房或主机内部件加以屏蔽，检测合格后，再开机工作。将计