版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
中央企業(yè)商業(yè)秘密安全保護(hù)技術(shù)指引國資委保密委員會(huì)2015年4月目錄TOC\o"1-4"\h\z\u引言 1中央企業(yè)商業(yè)秘密安全保護(hù)技術(shù)指引 21范圍 22規(guī)范性引用文件 23術(shù)語和定義 23.1商業(yè)秘密commercialsecret 23.2信息系統(tǒng)informationsystem 23.3商業(yè)秘密信息系統(tǒng)commercialsecretinformationsystem 23.4商業(yè)秘密終端commercialterminal 33.5安全域securitydomain 33.6密級(jí)標(biāo)識(shí)classificationlabel 33.7存儲(chǔ)介質(zhì)storagemedium 34商業(yè)秘密安全保護(hù)概述 34.1商業(yè)秘密的保護(hù)范圍 34.2指引實(shí)施的目標(biāo) 34.3指引實(shí)施的原則 34.3.1分級(jí)分域管理原則 44.3.2全生命周期管理原則 44.3.3整體規(guī)劃和分步實(shí)施原則 44.4商業(yè)秘密安全保護(hù)的基本要求 44.4.1定密與密級(jí)標(biāo)識(shí) 44.4.2商業(yè)秘密數(shù)據(jù)分類保護(hù) 44.4.3商業(yè)秘密數(shù)據(jù)分級(jí)安全保護(hù) 44.4.4商業(yè)秘密數(shù)據(jù)分域安全保護(hù) 54.4.5安全保密產(chǎn)品選擇 55商業(yè)秘密全生命周期數(shù)據(jù)安全保護(hù) 55.1商業(yè)秘密全生命周期階段劃分 55.1.1商業(yè)秘密形成階段 55.1.2商業(yè)秘密流轉(zhuǎn)與應(yīng)用階段 55.1.3商業(yè)秘密存儲(chǔ)階段 55.1.4商業(yè)秘密脫密及銷毀階段 65.2非結(jié)構(gòu)化商業(yè)秘密數(shù)據(jù)安全保護(hù) 65.2.1形成階段數(shù)據(jù)安全 65.2.2流轉(zhuǎn)與應(yīng)用階段數(shù)據(jù)安全 65.2.3存儲(chǔ)階段數(shù)據(jù)安全 85.2.4脫密及銷毀階段數(shù)據(jù)安全 95.3結(jié)構(gòu)化商業(yè)秘密數(shù)據(jù)安全保護(hù) 96商業(yè)秘密信息系統(tǒng)安全保護(hù) 106.1物理安全 106.2網(wǎng)絡(luò)安全 116.2.1網(wǎng)絡(luò)邊界安全防護(hù) 116.2.2網(wǎng)絡(luò)區(qū)域防護(hù) 116.3服務(wù)器與應(yīng)用安全 126.3.1身份鑒別 126.3.2權(quán)限管理 136.3.3安全防護(hù) 136.3.4安全審計(jì) 146.3.5資源控制 146.3.6備份與恢復(fù) 146.4終端安全 146.4.1終端準(zhǔn)入控制 146.4.2終端安全管理 156.4.3運(yùn)行安全管理 166.5移動(dòng)存儲(chǔ)介質(zhì)安全 176.5.1介質(zhì)標(biāo)記 176.5.2介質(zhì)使用 176.5.3介質(zhì)審計(jì) 176.6打印和刻錄安全 176.6.1打印控制 176.6.2刻錄控制 187商業(yè)秘密安全保護(hù)監(jiān)測與審計(jì) 187.1商業(yè)秘密安全保護(hù)監(jiān)測 187.2商業(yè)秘密安全保護(hù)審計(jì) 197.2.1審計(jì)范圍 197.2.2安全審計(jì)記錄內(nèi)容 197.2.3審計(jì)記錄的存儲(chǔ) 197.2.4審計(jì)記錄的查閱 207.2.5審計(jì)記錄的保護(hù) 208管理保障 208.1管理制度 208.2職責(zé)分工 208.3人員管理 21引言中央企業(yè)商業(yè)秘密是中央企業(yè)的重要無形資產(chǎn),是企業(yè)的核心競爭力所在,因此,加強(qiáng)商業(yè)秘密保護(hù)是有效維護(hù)中央企業(yè)自身權(quán)益,確保國有資產(chǎn)保值增值的必要前提和重要途徑。2010年3月25日,國務(wù)院國有資產(chǎn)監(jiān)督管理委員會(huì)公布施行《中央企業(yè)商業(yè)秘密保護(hù)暫行規(guī)定》(以下簡稱《暫行規(guī)定》),明確規(guī)定中央企業(yè)商業(yè)秘密保護(hù)的機(jī)構(gòu)、職責(zé)和措施,要求企業(yè)建立法定代表人負(fù)責(zé)制。隨著信息化時(shí)代的來臨,中央企業(yè)商業(yè)秘密主要存在于信息系統(tǒng)中,因此企業(yè)的生產(chǎn)經(jīng)營極度依賴于信息系統(tǒng)的安全,一旦信息系統(tǒng)內(nèi)的商業(yè)秘密保護(hù)不當(dāng),導(dǎo)致企業(yè)的經(jīng)營信息、技術(shù)信息等商業(yè)秘密泄密或被竊取,將給企業(yè)生產(chǎn)經(jīng)營帶來重大風(fēng)險(xiǎn)與隱患,因此,為了提高中央企業(yè)商業(yè)秘密的安全防護(hù)水平,須重點(diǎn)保護(hù)承載有商業(yè)秘密的信息系統(tǒng)安全。2012年5月14日,國資委公布施行第一版《中央企業(yè)商業(yè)秘密信息系統(tǒng)安全技術(shù)指引》(以下簡稱《指引》),提出了“突出重點(diǎn),分步實(shí)施”的原則,要求各中央企業(yè)對(duì)集團(tuán)層面的承載有商業(yè)秘密的信息系統(tǒng)在1-3年內(nèi)部署完成有關(guān)安全保密措施,并結(jié)合本單位實(shí)際,利用3-5年的時(shí)間,在本企業(yè)系統(tǒng)內(nèi)分步部署完成相關(guān)安全保密措施。根據(jù)當(dāng)前信息安全形勢的發(fā)展及數(shù)據(jù)安全技術(shù)的發(fā)展進(jìn)步,結(jié)合第一、二批部分試點(diǎn)單位建設(shè)中的經(jīng)驗(yàn),對(duì)《指引》進(jìn)行修訂形成本指引,修訂版在原有基礎(chǔ)上,結(jié)合商業(yè)秘密的形成、流轉(zhuǎn)、存儲(chǔ)、脫密以及銷毀等階段,著重強(qiáng)調(diào)了商業(yè)秘密數(shù)據(jù)全生命周期安全保護(hù)理念,提出了針對(duì)不同階段數(shù)據(jù)的安全保護(hù)標(biāo)準(zhǔn),突出了商業(yè)秘密自身的安全保護(hù),并將《指引》中的技術(shù)要求與現(xiàn)有的國家有關(guān)標(biāo)準(zhǔn)體系進(jìn)行了有效銜接。中央企業(yè)在開展信息系統(tǒng)中的商業(yè)秘密保護(hù)時(shí),應(yīng)本著“講求效益、遵循標(biāo)準(zhǔn)、突出重點(diǎn)、便于操作”的建設(shè)原則,以“保數(shù)據(jù)、保核心、保安全”為目標(biāo),按照本指引有關(guān)內(nèi)容,切實(shí)加強(qiáng)各類信息系統(tǒng)內(nèi)商業(yè)秘密安全保護(hù)水平,最終實(shí)現(xiàn)“進(jìn)不來、拿不走、打不開、賴不掉”的商業(yè)秘密安全保護(hù)目標(biāo)。中央企業(yè)應(yīng)根據(jù)本指引,結(jié)合實(shí)際,對(duì)承載于各類信息系統(tǒng)中的商業(yè)秘密安全防護(hù)體系進(jìn)行建設(shè)或完善。本指引可與國家其他相關(guān)標(biāo)準(zhǔn)結(jié)合使用。本指引由國務(wù)院國資委保密委員會(huì)制定并負(fù)責(zé)解釋。中央企業(yè)商業(yè)秘密安全保護(hù)技術(shù)指引范圍本指引規(guī)定了中央企業(yè)商業(yè)秘密的等級(jí)劃分準(zhǔn)則,對(duì)商業(yè)秘密全生命周期進(jìn)行了階段劃分,并對(duì)不同階段中商業(yè)秘密的保護(hù)提出了具體的安全防護(hù)措施。本指引適用于中央企業(yè)商業(yè)秘密保護(hù)的安全建設(shè)和管理,中央企業(yè)中所有信息系統(tǒng)中的商業(yè)秘密的安全保護(hù)須符合本指引。規(guī)范性引用文件《中央企業(yè)商業(yè)秘密保護(hù)暫行規(guī)定》(國資保密﹝2010﹞41號(hào))《中央企業(yè)商業(yè)秘密信息系統(tǒng)安全技術(shù)指引》(國資保密〔2012〕003號(hào))《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》GB/T22239—2008《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》GB/T25058—2010《涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》BMB17-2006術(shù)語和定義商業(yè)秘密commercialsecret是指不為公眾所知悉、具有實(shí)用性、能為企業(yè)帶來經(jīng)濟(jì)利益,并且需要采取保密措施進(jìn)行安全保護(hù)的經(jīng)營信息和技術(shù)信息。信息系統(tǒng)informationsystem信息系統(tǒng)是由計(jì)算機(jī)硬件、網(wǎng)絡(luò)和通訊設(shè)備、計(jì)算機(jī)軟件、信息資源、信息用戶和規(guī)章制度組成的以處理信息流為目的的人機(jī)一體化系統(tǒng)。商業(yè)秘密信息系統(tǒng)commercialsecretinformationsystem指處理商業(yè)秘密的信息系統(tǒng)。商業(yè)秘密終端commercialterminal是指處理涉及商業(yè)秘密但不涉及國家秘密的計(jì)算機(jī)終端設(shè)備,以下簡稱終端。安全域securitydomain安全域是由一組具有相同安全保護(hù)需求、并相互信任的信息系統(tǒng)組成的邏輯區(qū)域。密級(jí)標(biāo)識(shí)classificationlabel用于標(biāo)明商業(yè)秘密等級(jí)的數(shù)字化信息。存儲(chǔ)介質(zhì)storagemedium存儲(chǔ)介質(zhì)是指存儲(chǔ)數(shù)據(jù)的載體,如光盤、DVD、硬盤、U盤、SD卡、紙質(zhì)等。商業(yè)秘密安全保護(hù)概述商業(yè)秘密的保護(hù)范圍依據(jù)《暫行規(guī)定》,商業(yè)秘密的保護(hù)范圍主要包括:戰(zhàn)略規(guī)劃、管理方法、商業(yè)模式、改制上市、并購重組、產(chǎn)權(quán)交易、財(cái)務(wù)信息、投融資決策、產(chǎn)購銷策略、資源儲(chǔ)備、客戶信息、招投標(biāo)事項(xiàng)等經(jīng)營信息;設(shè)計(jì)、程序、產(chǎn)品配方、制作工藝、制作方法、技術(shù)訣竅等技術(shù)信息。各中央企業(yè)需根據(jù)《暫行規(guī)定》的要求,并結(jié)合企業(yè)實(shí)際情況,明確本企業(yè)商業(yè)秘密的具體范圍。具體范圍應(yīng)包括商業(yè)秘密事項(xiàng)、密級(jí)、保密期限、責(zé)任部門等。中央企業(yè)商業(yè)秘密的密級(jí),根據(jù)信息泄露會(huì)使企業(yè)利益遭受損害的程度,確定為普通商業(yè)秘密、核心商業(yè)秘密兩級(jí),密級(jí)標(biāo)注統(tǒng)一為“普通商密”、“核心商密”,并根據(jù)不同密級(jí)實(shí)行不同的保護(hù)要求。本指引中未特別說明之處均指對(duì)“普通商密”的保護(hù)要求,對(duì)“普通商密”的保護(hù)要求為一般性安全防護(hù)等級(jí)的技術(shù)要求;對(duì)“核心商密”的保護(hù)要求為高安全防護(hù)等級(jí)的技術(shù)要求,是在“普通商密”保護(hù)要求的基礎(chǔ)之上進(jìn)行針對(duì)性加強(qiáng)的保護(hù)要求。指引實(shí)施的目標(biāo)通過全面實(shí)施本技術(shù)指引,對(duì)中央企業(yè)商業(yè)秘密保護(hù)工作進(jìn)行規(guī)范和指導(dǎo),促進(jìn)中央企業(yè)加強(qiáng)商業(yè)秘密安全技術(shù)保護(hù)建設(shè),實(shí)現(xiàn)中央企業(yè)對(duì)商業(yè)秘密保護(hù)能力的動(dòng)態(tài)管理,從而提升中央企業(yè)的商業(yè)秘密防護(hù)水平。指引實(shí)施的原則分級(jí)分域管理原則本指引針對(duì)普通商密和核心商密兩個(gè)級(jí)別的商業(yè)秘密數(shù)據(jù)采用不同的技術(shù)要求。根據(jù)信息系統(tǒng)網(wǎng)絡(luò)平臺(tái)和業(yè)務(wù)功能的不同,應(yīng)明確劃分商業(yè)秘密信息系統(tǒng)的安全域,對(duì)于存在非商密、普通商密和核心商密的安全域應(yīng)按照高級(jí)別安全域進(jìn)行標(biāo)識(shí)。安全域之間應(yīng)有明確清晰的邊界。全生命周期管理原則商業(yè)秘密數(shù)據(jù)應(yīng)從全生命周期角度進(jìn)行全程全域的安全保護(hù),做到事前防范、事中控制和事后追溯相結(jié)合,以有效保護(hù)商業(yè)秘密全生命周期的安全,避免商業(yè)秘密外泄,給企業(yè)帶來重大損失。整體規(guī)劃和分步實(shí)施原則商業(yè)秘密的安全保護(hù)建設(shè)應(yīng)進(jìn)行整體規(guī)劃和頂層設(shè)計(jì)。新建信息系統(tǒng)時(shí),應(yīng)同步規(guī)劃、同步設(shè)計(jì)、同步建設(shè)相應(yīng)的商業(yè)秘密安全保護(hù)措施;已建的信息系統(tǒng),根據(jù)企業(yè)的實(shí)際情況,可通過分步實(shí)施的途徑逐步實(shí)施。商業(yè)秘密安全保護(hù)的基本要求定密與密級(jí)標(biāo)識(shí)企業(yè)應(yīng)根據(jù)自身商業(yè)秘密數(shù)據(jù)安全管理的實(shí)際情況,建立商業(yè)秘密定密管理規(guī)范和定密流程,確定責(zé)任人、審核人、承辦人,并授予其相應(yīng)定密權(quán)限,確定單位的定密依據(jù)、定密細(xì)目等。信息系統(tǒng)中的商業(yè)秘密應(yīng)根據(jù)定密結(jié)果設(shè)定相應(yīng)的密級(jí)標(biāo)識(shí),密級(jí)標(biāo)注統(tǒng)一為“核心商密”、“普通商密”。商業(yè)秘密數(shù)據(jù)分類保護(hù)商業(yè)秘密數(shù)據(jù)分為結(jié)構(gòu)化商密數(shù)據(jù)和非結(jié)構(gòu)化商密數(shù)據(jù)兩個(gè)類別。非結(jié)構(gòu)化商密數(shù)據(jù)應(yīng)綜合運(yùn)用身份鑒別、數(shù)據(jù)加密、細(xì)粒度訪問控制以及安全審計(jì)等多種技術(shù)進(jìn)行全程全域的安全保護(hù),以確保商業(yè)秘密數(shù)據(jù)全生命周期的安全;結(jié)構(gòu)化商密數(shù)據(jù)應(yīng)綜合運(yùn)用身份鑒別、細(xì)粒度訪問控制以及安全審計(jì)等多種技術(shù)進(jìn)行全程全域的安全保護(hù),結(jié)構(gòu)化商密數(shù)據(jù)在導(dǎo)出時(shí)應(yīng)采用加密等技術(shù)確保使用過程中的安全。商業(yè)秘密數(shù)據(jù)分級(jí)安全保護(hù)商業(yè)秘密分為普通商密和核心商密兩個(gè)密級(jí),商業(yè)秘密數(shù)據(jù)的安全保護(hù)應(yīng)根據(jù)自身密級(jí)遵循相應(yīng)的安全防護(hù)等級(jí)進(jìn)行防護(hù)。即普通商密數(shù)據(jù)遵循普通商密安全等級(jí)進(jìn)行防護(hù),核心商密數(shù)據(jù)遵循核心商密安全等級(jí)進(jìn)行防護(hù)。同一信息系統(tǒng)中,存在不同密級(jí)的商業(yè)秘密數(shù)據(jù)需要保護(hù)時(shí),須遵循核心商密安全防護(hù)等級(jí)進(jìn)行防護(hù)。商業(yè)秘密數(shù)據(jù)分域安全保護(hù)商業(yè)秘密信息系統(tǒng)應(yīng)明確劃分安全域進(jìn)行安全防護(hù),安全域的安全防護(hù)須遵循域中最高密級(jí)的商業(yè)秘密數(shù)據(jù)的安全防護(hù)等級(jí)進(jìn)行防護(hù)。不同安全域之間應(yīng)劃分明確的邊界,安全域與安全域之間的所有數(shù)據(jù)通信應(yīng)安全可控。對(duì)于不同等級(jí)的安全域之間的通信,應(yīng)采取訪問控制措施禁止高密級(jí)信息由高等級(jí)安全域流向低等級(jí)安全域。處理商業(yè)秘密數(shù)據(jù)的安全域應(yīng)采取適當(dāng)?shù)母綦x或密碼保護(hù)等措施才能接入國際互聯(lián)網(wǎng)。既處理商密數(shù)據(jù)又處理非商密數(shù)據(jù)的同一終端,應(yīng)綜合采用加密等多種技術(shù)手段確保終端上所承載的商密數(shù)據(jù)的安全。安全保密產(chǎn)品選擇商業(yè)秘密信息系統(tǒng)中使用的安全保密產(chǎn)品原則上應(yīng)選用國產(chǎn)產(chǎn)品。所選用的安全保密產(chǎn)品應(yīng)通過國家相關(guān)主管部門授權(quán)的測評(píng)機(jī)構(gòu)的檢測。商業(yè)秘密全生命周期數(shù)據(jù)安全保護(hù)商業(yè)秘密全生命周期階段劃分商業(yè)秘密形成階段商業(yè)秘密形成階段主要分為非結(jié)構(gòu)化商密數(shù)據(jù)形成階段和結(jié)構(gòu)化商密數(shù)據(jù)形成階段。結(jié)構(gòu)化商密數(shù)據(jù)形成階段為錄入商密數(shù)據(jù)并保存到數(shù)據(jù)庫的階段;非結(jié)構(gòu)化商密數(shù)據(jù)形成階段主要包括文件的起草、定密、審核及簽發(fā)等。商業(yè)秘密流轉(zhuǎn)與應(yīng)用階段商業(yè)秘密流轉(zhuǎn)與應(yīng)用階段主要分為結(jié)構(gòu)化商密數(shù)據(jù)流轉(zhuǎn)與應(yīng)用階段與非結(jié)構(gòu)化商密數(shù)據(jù)流轉(zhuǎn)與應(yīng)用階段。結(jié)構(gòu)化商密數(shù)據(jù)流轉(zhuǎn)與應(yīng)用階段為數(shù)據(jù)庫表單數(shù)據(jù)的存取和利用;非結(jié)構(gòu)化商密數(shù)據(jù)流轉(zhuǎn)與應(yīng)用階段包括商密數(shù)據(jù)內(nèi)部網(wǎng)絡(luò)應(yīng)用與外部網(wǎng)絡(luò)傳輸階段。商業(yè)秘密存儲(chǔ)階段商業(yè)秘密存儲(chǔ)階段主要包括終端存儲(chǔ)、服務(wù)器存儲(chǔ)以及非信息系統(tǒng)存儲(chǔ)。商業(yè)秘密脫密及銷毀階段商業(yè)秘密脫密及銷毀階段主要包括信息系統(tǒng)中處理商密數(shù)據(jù)的設(shè)備、存儲(chǔ)介質(zhì)以及商密數(shù)據(jù)本身等進(jìn)行脫密或銷毀。非結(jié)構(gòu)化商業(yè)秘密數(shù)據(jù)安全保護(hù)形成階段數(shù)據(jù)安全本階段主要以密級(jí)標(biāo)識(shí)的設(shè)定與管理為核心,在商業(yè)秘密安全保護(hù)過程中,定密是商業(yè)秘密保護(hù)的首要環(huán)節(jié),同時(shí)也是為商業(yè)秘密在信息系統(tǒng)中的保護(hù)提供依據(jù)。應(yīng)采取統(tǒng)一定密、統(tǒng)一變更等措施管理密級(jí)標(biāo)識(shí);應(yīng)對(duì)服務(wù)器、應(yīng)用系統(tǒng)、數(shù)據(jù)庫中的商密數(shù)據(jù)及載體等設(shè)置并管理密級(jí)標(biāo)識(shí);密級(jí)標(biāo)識(shí)應(yīng)與商密數(shù)據(jù)主體不可分離,其自身不可篡改;密級(jí)標(biāo)識(shí)應(yīng)由權(quán)屬(單位規(guī)范簡稱或者標(biāo)識(shí)等)、密級(jí)、保密期限三部分組成;商業(yè)秘密的密級(jí)、保密期限變更后,應(yīng)在原標(biāo)明位置的附近作出新標(biāo)志,原標(biāo)志以明顯方式廢除;應(yīng)對(duì)終端上創(chuàng)建的商密數(shù)據(jù)及其使用過程中產(chǎn)生的數(shù)據(jù)采取加密等技術(shù)進(jìn)行保護(hù);應(yīng)對(duì)商業(yè)秘密的知悉范圍和訪問權(quán)限進(jìn)行細(xì)粒度的控制;應(yīng)對(duì)商密數(shù)據(jù)在形成階段的操作行為進(jìn)行安全審計(jì),并形成安全審計(jì)統(tǒng)計(jì)分析報(bào)告;核心商密保護(hù)還應(yīng)符合:核心商業(yè)秘密發(fā)生密級(jí)變更須經(jīng)過流程審批并可追溯。流轉(zhuǎn)與應(yīng)用階段數(shù)據(jù)安全本階段主要以商密數(shù)據(jù)安全管控為核心,通過加強(qiáng)數(shù)據(jù)管控,為商業(yè)秘密在不同流轉(zhuǎn)與應(yīng)用階段的安全保護(hù)提供強(qiáng)有力的保障。流轉(zhuǎn)過程控制商密數(shù)據(jù)在非內(nèi)部網(wǎng)絡(luò)傳輸時(shí),應(yīng)采取商用密碼加密等技術(shù)措施進(jìn)行保護(hù),防止傳輸?shù)男畔⒈桓`??;應(yīng)采取數(shù)字簽名、時(shí)間戳等技術(shù)防止參與通信的雙方或一方對(duì)自己行為以及所做的操作(如文件創(chuàng)建、信息發(fā)送、信息接收以及批示)進(jìn)行部分或全部的否認(rèn);運(yùn)行商業(yè)秘密信息系統(tǒng)的網(wǎng)絡(luò)中,未經(jīng)授權(quán)不得使用帶有網(wǎng)絡(luò)嗅探功能(包括抓包、監(jiān)聽、數(shù)據(jù)包回放分析等)的工具或設(shè)備;應(yīng)通過黑/白名單等方式管理電子郵件的收發(fā),并對(duì)郵件的相關(guān)信息進(jìn)行審計(jì);應(yīng)通過黑/白名單等方式管理網(wǎng)頁訪問及FTP、P2P、即時(shí)通信等軟件的使用;核心商密保護(hù)還應(yīng)符合:禁止租用第三方服務(wù)商提供的網(wǎng)絡(luò)應(yīng)用服務(wù)傳輸核心商密數(shù)據(jù),包括外部郵件服務(wù)、外部基于云計(jì)算技術(shù)的服務(wù)、即時(shí)通信服務(wù)等;使用無線網(wǎng)絡(luò)傳輸包含核心商密數(shù)據(jù)時(shí),須對(duì)傳輸中的數(shù)據(jù)采用動(dòng)態(tài)加密技術(shù)手段;核心商密數(shù)據(jù)如需通過內(nèi)部網(wǎng)絡(luò)傳輸時(shí),須采用加密的VPN或其他技術(shù)手段,防止數(shù)據(jù)被截獲后被解密或被破解;應(yīng)能夠檢測到核心商密數(shù)據(jù)在傳輸過程中完整性,并采取必要的恢復(fù)措施。應(yīng)用控制應(yīng)根據(jù)企業(yè)自身實(shí)際情況對(duì)不同類別的商密數(shù)據(jù)設(shè)置相應(yīng)權(quán)限。如:財(cái)務(wù)數(shù)據(jù),只允許財(cái)務(wù)部具有編輯權(quán)限;董事長、總經(jīng)理和相關(guān)人員具有閱讀權(quán)限;其他人員沒有閱讀或編輯的權(quán)限;應(yīng)對(duì)商密數(shù)據(jù)的應(yīng)用操作行為進(jìn)行審計(jì),對(duì)違規(guī)操作行為進(jìn)行報(bào)警,審計(jì)的記錄至少保存半年;對(duì)商密數(shù)據(jù)的管理和控制,須以不影響員工正常的編輯閱讀、數(shù)據(jù)處理、數(shù)據(jù)交換、出差和在外辦公為前提,并且不受到網(wǎng)絡(luò)連通與否狀況的影響;核心商密保護(hù)還應(yīng)符合:在終端上使用核心商密數(shù)據(jù)時(shí),須在終端屏幕上自動(dòng)顯示水印,水印位置、格式、透明度等可自定義,以防止通過拍照方式泄露商業(yè)秘密;應(yīng)用開發(fā)人員原則上不準(zhǔn)直接訪問核心商密數(shù)據(jù),確有需要時(shí)須對(duì)其進(jìn)行控制和管理,開發(fā)任務(wù)完成后應(yīng)對(duì)相關(guān)的核心商密數(shù)據(jù)進(jìn)行及時(shí)回收或轉(zhuǎn)移。外發(fā)過程控制應(yīng)對(duì)商業(yè)秘密數(shù)據(jù)的外發(fā)行為進(jìn)行審批、授權(quán)等控制;應(yīng)對(duì)商密數(shù)據(jù)知悉范圍和權(quán)限進(jìn)行控制,限制閱讀人員、閱讀次數(shù)以及閱讀期限,并且不受網(wǎng)絡(luò)連通情況的影響;應(yīng)使用數(shù)據(jù)加密等安全技術(shù),對(duì)外發(fā)的商業(yè)秘密數(shù)據(jù)內(nèi)容進(jìn)行安全保護(hù);應(yīng)對(duì)商密數(shù)據(jù)的外發(fā)行為進(jìn)行審計(jì),對(duì)違規(guī)操作行為進(jìn)行報(bào)警,審計(jì)的記錄至少保存半年;核心商密保護(hù)還應(yīng)符合:應(yīng)對(duì)外發(fā)核心商密數(shù)據(jù)的設(shè)備進(jìn)行保密檢查;核心商密數(shù)據(jù)的外發(fā)只能在指定地點(diǎn)及設(shè)備進(jìn)行集中操作,對(duì)外發(fā)商密數(shù)據(jù)做集中式留檔便于審計(jì);核心商密數(shù)據(jù)必須由兩個(gè)及以上相關(guān)人員審批通過后方可外發(fā),外發(fā)后未經(jīng)相關(guān)人員授權(quán)禁止脫離安全環(huán)境。存儲(chǔ)階段數(shù)據(jù)安全本階段主要以商密數(shù)據(jù)保密為核心,通過數(shù)據(jù)保密等相關(guān)技術(shù),確保商業(yè)秘密不被泄露或竊取。終端存儲(chǔ)保護(hù)應(yīng)采用商用密碼加密等技術(shù)措施,對(duì)終端上的商密數(shù)據(jù)進(jìn)行保護(hù),并對(duì)加密數(shù)據(jù)做讀寫訪問控制,避免保留在終端上商密數(shù)據(jù)被竊?。粦?yīng)啟動(dòng)訪問控制措施,保護(hù)終端上的商業(yè)秘密數(shù)據(jù)不被非授權(quán)訪問;存儲(chǔ)在終端的商業(yè)秘密數(shù)據(jù)導(dǎo)出時(shí)須履行審批,并在系統(tǒng)中可審計(jì);對(duì)采用虛擬化技術(shù)的終端應(yīng)進(jìn)行相關(guān)技術(shù)防護(hù),防止商業(yè)秘密數(shù)據(jù)泄露;存放有商密數(shù)據(jù)的終端使用移動(dòng)存儲(chǔ)介質(zhì)時(shí)應(yīng)進(jìn)行嚴(yán)格的授權(quán)訪問控制;對(duì)下載到移動(dòng)終端設(shè)備存儲(chǔ)區(qū)域的商密數(shù)據(jù),應(yīng)采取商用密碼加密等技術(shù)措施進(jìn)行安全保護(hù),防止存儲(chǔ)的信息被竊??;核心商密保護(hù)還應(yīng)符合:終端上禁止大量存放核心商密數(shù)據(jù),對(duì)核心商密數(shù)據(jù)應(yīng)實(shí)現(xiàn)集中加密存儲(chǔ),實(shí)現(xiàn)細(xì)粒度的使用權(quán)限控制,對(duì)使用情況進(jìn)行統(tǒng)計(jì)分析,實(shí)現(xiàn)對(duì)企圖非法訪問的主動(dòng)屏蔽和及時(shí)告警;應(yīng)可實(shí)現(xiàn)對(duì)存儲(chǔ)在移動(dòng)終端設(shè)備上的核心商密數(shù)據(jù)進(jìn)行遠(yuǎn)程銷毀。服務(wù)器存儲(chǔ)保護(hù)商密數(shù)據(jù)在服務(wù)器中存儲(chǔ)應(yīng)采取商用密碼加密等技術(shù)措施進(jìn)行機(jī)密性保護(hù),防止存儲(chǔ)的商密數(shù)據(jù)被竊?。簧堂軘?shù)據(jù)在存儲(chǔ)過程中應(yīng)采取完整性監(jiān)測措施,防止存儲(chǔ)的信息被篡改、被破壞,并采取必要的恢復(fù)措施;對(duì)于保存在服務(wù)器上的商密數(shù)據(jù),應(yīng)啟動(dòng)訪問+++6對(duì)于因故障需要到外部機(jī)構(gòu)維修的服務(wù)器存儲(chǔ)介質(zhì),應(yīng)通過數(shù)據(jù)擦除工具/設(shè)備擦除介質(zhì)中的數(shù)據(jù),并確保被擦除的數(shù)據(jù)無法通過常規(guī)數(shù)據(jù)恢復(fù)工具得到恢復(fù),再送出維修;服務(wù)器存儲(chǔ)介質(zhì)的維修、報(bào)廢和銷毀應(yīng)集中由專人統(tǒng)一處理,并進(jìn)行登記。脫密及銷毀階段數(shù)據(jù)安全本階段主要以數(shù)據(jù)安全脫密及銷毀為核心,確保商密數(shù)據(jù)在超出有效期后得到及時(shí)處理。商密數(shù)據(jù)的脫密須經(jīng)審批后執(zhí)行解密,審批過程遵循嚴(yán)格的審批流程和制度約定,通過相關(guān)技術(shù)對(duì)審批行為以及脫密的商密數(shù)據(jù)進(jìn)行審計(jì),并對(duì)審計(jì)記錄進(jìn)行集中管理;商密數(shù)據(jù)銷毀后應(yīng)該對(duì)處理商密數(shù)據(jù)的載體進(jìn)行數(shù)據(jù)擦除、盤體銷毀;應(yīng)對(duì)超過使用權(quán)限的外發(fā)商業(yè)秘密數(shù)據(jù),執(zhí)行自動(dòng)銷毀,以防超出知悉范圍人員越權(quán)查閱商密數(shù)據(jù);核心商密保護(hù)還應(yīng)符合:對(duì)處理核心商密的載體應(yīng)采取物理銷毀的方式。結(jié)構(gòu)化商業(yè)秘密數(shù)據(jù)安全保護(hù)應(yīng)確保結(jié)構(gòu)化商密數(shù)據(jù)訪問者身份的真實(shí)性、合法性;應(yīng)提供訪問控制功能,依據(jù)安全策略控制用戶對(duì)結(jié)構(gòu)化商密數(shù)據(jù)的訪問;應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限,并在它們之間形成相互制約的關(guān)系;應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能,對(duì)結(jié)構(gòu)化商密數(shù)據(jù)操作的重要安全事件進(jìn)行審計(jì),對(duì)違規(guī)操作行為及時(shí)告警;應(yīng)提供覆蓋到每個(gè)系統(tǒng)運(yùn)維人員的安全審計(jì)功能,對(duì)結(jié)構(gòu)化商密數(shù)據(jù)維護(hù)的重要安全事件進(jìn)行審計(jì),對(duì)違規(guī)運(yùn)維行為及時(shí)告警;應(yīng)用系統(tǒng)與數(shù)據(jù)庫中商業(yè)秘密的導(dǎo)出,應(yīng)采取商用密碼加密等技術(shù)進(jìn)行保護(hù),對(duì)數(shù)據(jù)庫的直接訪問應(yīng)能防止通過拷貝、截屏、錄屏等方式造成的泄密;核心商密保護(hù)還應(yīng)符合:應(yīng)能夠檢測到結(jié)構(gòu)化核心商密數(shù)據(jù)在存儲(chǔ)過程中完整性受到破壞,并在檢測到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施;應(yīng)通過商用密碼等技術(shù)保證結(jié)構(gòu)化商密數(shù)據(jù)傳輸過程中的完整性和機(jī)密性;應(yīng)通過商用密碼加密等技術(shù)保證結(jié)構(gòu)化數(shù)據(jù)的存儲(chǔ)安全;應(yīng)通過商用密碼等技術(shù)保證結(jié)構(gòu)化核心商用數(shù)據(jù)的使用安全;應(yīng)保證結(jié)構(gòu)化核心商用數(shù)據(jù)所在的存儲(chǔ)空間被釋放或重新分配給其他用戶前得到完全清除。商業(yè)秘密信息系統(tǒng)安全保護(hù)物理安全應(yīng)滿足GB9361-2011中B類安全機(jī)房場地選擇要求;應(yīng)滿足GB50174,GB/T2887-2000的要求,并在防火、防水、溫濕度、防雷、防靜電等方面達(dá)到GB9361-2011中B類安全機(jī)房建設(shè)要求;機(jī)房或數(shù)據(jù)中心的所有出入口,應(yīng)采取電子門禁系統(tǒng)或者專人值守的方式對(duì)進(jìn)出的人員進(jìn)行審核和登記,所有對(duì)機(jī)房進(jìn)行物理訪問的人員須留有審計(jì)記錄。應(yīng)安裝視頻監(jiān)控系統(tǒng)對(duì)機(jī)房的關(guān)鍵通道進(jìn)行不間斷的監(jiān)控;非授權(quán)人員出入機(jī)房時(shí)須由機(jī)房值班人員陪同。網(wǎng)絡(luò)安全網(wǎng)絡(luò)邊界安全防護(hù)應(yīng)根據(jù)安全域劃分情況,明確需進(jìn)行安全保密防護(hù)的邊界;在明確的安全域邊界實(shí)施有效的訪問控制策略和機(jī)制;應(yīng)根據(jù)信息安全對(duì)抗技術(shù)的發(fā)展,在系統(tǒng)或安全域邊界的關(guān)鍵點(diǎn)采用嚴(yán)格的安全防護(hù)機(jī)制,如嚴(yán)格的登錄/訪問控制、信息過濾、邊界完整性檢查等;應(yīng)對(duì)非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查,準(zhǔn)確定出位置,并對(duì)其進(jìn)行有效阻斷;應(yīng)對(duì)內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查,準(zhǔn)確定出位置,并對(duì)其進(jìn)行有效阻斷;核心商密保護(hù)還應(yīng)符合:網(wǎng)絡(luò)邊界處應(yīng)具備入侵檢測能力;應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測和清除。網(wǎng)絡(luò)區(qū)域防護(hù)根據(jù)業(yè)務(wù)功能的不同,將處理商業(yè)秘密的應(yīng)用系統(tǒng)劃分到一個(gè)或多個(gè)安全區(qū)域,安全區(qū)域間需設(shè)置訪問控制策略;處理商業(yè)秘密的安全域與其他安全域之間的邊界應(yīng)劃分明確,安全域與安全域之間的所有數(shù)據(jù)通信都應(yīng)安全可控:對(duì)于不同等級(jí)的安全域間通信,應(yīng)禁止高密級(jí)信息由高等級(jí)安全域流向低等級(jí)安全域;同一網(wǎng)絡(luò)區(qū)域辦公計(jì)算機(jī)應(yīng)通過統(tǒng)一出口連接外部網(wǎng)絡(luò),對(duì)辦公計(jì)算機(jī)未經(jīng)授權(quán)外聯(lián)行為進(jìn)行監(jiān)測和處置;應(yīng)通過網(wǎng)絡(luò)區(qū)域的劃分,保證操作商業(yè)秘密的業(yè)務(wù)終端與產(chǎn)生商業(yè)秘密的應(yīng)用服務(wù)器之間建立安全的訪問路徑;核心商密保護(hù)還應(yīng)符合:重要網(wǎng)絡(luò)區(qū)域應(yīng)采取技術(shù)手段防止地址欺騙。服務(wù)器與應(yīng)用安全身份鑒別身份鑒別策略應(yīng)制定明確的商密用戶的身份鑒別策略;應(yīng)制定能夠確保身份鑒別策略正確實(shí)施的規(guī)章制度。實(shí)體鑒別應(yīng)對(duì)登錄涉及處理商密數(shù)據(jù)的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應(yīng)用系統(tǒng)的用戶進(jìn)行身份鑒別;應(yīng)根據(jù)安全策略設(shè)置延時(shí)處理或超時(shí)鎖定;應(yīng)定期對(duì)用戶賬號(hào)進(jìn)行清查,及時(shí)禁用或刪除混用賬號(hào)、測試賬號(hào)、臨時(shí)賬號(hào)等無關(guān)賬號(hào),離職人員的賬號(hào)要及時(shí)禁用;應(yīng)為系統(tǒng)的不同用戶分配不同的用戶名,確保用戶名具有唯一性;同一用戶登錄不同處理商密數(shù)據(jù)的業(yè)務(wù)系統(tǒng)應(yīng)采用不同口令,確保口令唯一性;口令賬號(hào)應(yīng)啟用嚴(yán)格的口令策略,口令長度至少8位以上,采用大小寫英文字母、數(shù)字及特殊字符的組合;應(yīng)定期更換口令,更換周期不得長于一個(gè)月;存儲(chǔ)口令的文件應(yīng)采取商用密碼加密措施存儲(chǔ)、傳播,并保證其安全;核心商密保護(hù)還應(yīng)符合:處理核心商業(yè)秘密的服務(wù)器和應(yīng)用系統(tǒng)應(yīng)采用數(shù)字證書與口令兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別。重鑒別用戶身份鑒別成功后,當(dāng)其空閑操作的時(shí)間超過規(guī)定值(通常為10分鐘以內(nèi))后,在該用戶需要執(zhí)行前操作前,應(yīng)對(duì)該用戶重新進(jìn)行身份鑒別。鑒別失敗當(dāng)用戶身份鑒別嘗試失敗次數(shù)超過五次后,應(yīng)采取以下措施:對(duì)于本地登錄,應(yīng)進(jìn)行登錄鎖定,同時(shí)形成審計(jì)事件并告警;對(duì)于遠(yuǎn)程登錄(域登錄、網(wǎng)絡(luò)數(shù)據(jù)庫登錄等),應(yīng)對(duì)該用戶標(biāo)識(shí)進(jìn)行鎖定,并且只能由安全保密管理員恢復(fù)或重建該賬號(hào),同時(shí)形成審計(jì)信息并告警;對(duì)于應(yīng)用程序,禁止使用該程序或延長一定時(shí)間后再允許嘗試,同時(shí)形成審計(jì)事件并告警。權(quán)限管理應(yīng)啟用訪問控制功能,依據(jù)安全策略控制系統(tǒng)用戶對(duì)資源的訪問;應(yīng)根據(jù)管理用戶的角色分配權(quán)限,實(shí)現(xiàn)管理用戶的權(quán)限分離,僅授予管理用戶所需的最小權(quán)限;數(shù)據(jù)庫賬號(hào)的權(quán)限應(yīng)根據(jù)用戶的角色分配,僅授予用戶所需的最小權(quán)限;數(shù)據(jù)庫賬號(hào)應(yīng)定期審核,對(duì)現(xiàn)有賬號(hào)的狀態(tài)、權(quán)限分配進(jìn)行審查并及時(shí)清除無效賬號(hào),至少三個(gè)月審核一次;業(yè)務(wù)系統(tǒng)賬號(hào)的權(quán)限應(yīng)根據(jù)用戶的角色分配,僅授予用戶所需的最小權(quán)限;核心商密保護(hù)還應(yīng)符合:數(shù)據(jù)庫系統(tǒng)開設(shè)賬號(hào)須經(jīng)主管部門審批并留檔;處理核心商密數(shù)據(jù)的業(yè)務(wù)系統(tǒng)開設(shè)賬號(hào)須經(jīng)主管部門審批,并留檔。安全防護(hù)應(yīng)對(duì)商業(yè)秘密信息系統(tǒng)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)安裝補(bǔ)??;應(yīng)對(duì)商業(yè)秘密信息系統(tǒng)安裝防惡意代碼軟件,并及時(shí)更新軟件版本和惡意代碼庫;核心商密保護(hù)還應(yīng)符合:與核心商密相關(guān)的服務(wù)器,應(yīng)采用白名單方式管理服務(wù)器上運(yùn)行的軟件;與核心商密相關(guān)的系統(tǒng)和設(shè)備,禁止通過互聯(lián)網(wǎng)在線安裝、升級(jí)軟件;應(yīng)能檢測對(duì)重要系統(tǒng)進(jìn)行入侵的行為,記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間,并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警;應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶鑒別信息所在的存儲(chǔ)空間,被釋放或再分配給其他用戶前得到完全消除,無論信息存放在硬盤或內(nèi)存中;應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲(chǔ)空間,被釋放或重新分配給其他用戶前得到完全消除。安全審計(jì)須對(duì)賬戶管理、權(quán)限分配等重要的操作行為和事件進(jìn)行審計(jì);審計(jì)對(duì)象包括本地的操作行為和遠(yuǎn)程的操作行為;核心商密保護(hù)還應(yīng)符合:應(yīng)保護(hù)審計(jì)記錄,避免受到未預(yù)期的刪除、修改或覆蓋等。資源控制應(yīng)根據(jù)安全策略設(shè)置登錄終端操作的延時(shí)處理或超時(shí)鎖定;應(yīng)對(duì)重要服務(wù)器及應(yīng)用進(jìn)行實(shí)時(shí)監(jiān)視,包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況;應(yīng)限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度;應(yīng)對(duì)系統(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報(bào)警。備份與恢復(fù)應(yīng)定期對(duì)服務(wù)器及應(yīng)用系統(tǒng)進(jìn)行備份,防止系統(tǒng)宕機(jī)、數(shù)據(jù)篡改、訪問中斷、網(wǎng)絡(luò)被攻擊時(shí),給系統(tǒng)造成損失;應(yīng)有經(jīng)過完整測試和演練的服務(wù)器系統(tǒng)應(yīng)急恢復(fù)預(yù)案,在系統(tǒng)恢復(fù)過程中要保障商密數(shù)據(jù)的安全。終端安全終端準(zhǔn)入控制應(yīng)在涉及商業(yè)秘密的網(wǎng)絡(luò)部署并啟用準(zhǔn)入控制功能,對(duì)準(zhǔn)入控制進(jìn)行集中管理;應(yīng)能自動(dòng)發(fā)現(xiàn)未通過準(zhǔn)入控制驗(yàn)證進(jìn)入內(nèi)部網(wǎng)絡(luò)的終端及設(shè)備,并掌握其接入時(shí)間、網(wǎng)絡(luò)端口、IP/MAC地址信息;應(yīng)通過口令、證書、USB-Key、網(wǎng)卡信息、硬件特征等方式,或使用RADIUS實(shí)現(xiàn)對(duì)接入網(wǎng)絡(luò)中的設(shè)備的身份進(jìn)行確認(rèn),準(zhǔn)確定位出接入設(shè)備的位置,并對(duì)其進(jìn)行訪問控制;應(yīng)對(duì)接入設(shè)備的安全違規(guī)情況進(jìn)行檢查,包括防病毒策略的違規(guī),賬戶口令的違規(guī),系統(tǒng)補(bǔ)丁的違規(guī)等;應(yīng)實(shí)現(xiàn)對(duì)接入網(wǎng)絡(luò)中的外部人員進(jìn)行管理,控制外部人員對(duì)內(nèi)部資源訪問,包括阻斷、限制、臨時(shí)允許其對(duì)特定資源的訪問以及訪問時(shí)長;應(yīng)根據(jù)接入設(shè)備的身份和安全違規(guī)情況,對(duì)該設(shè)備可訪問的域或者指定的資源進(jìn)行阻斷、允許或限制訪問;應(yīng)對(duì)接入設(shè)備的接入信息進(jìn)行審計(jì)和集中處理,并實(shí)現(xiàn)對(duì)接入信息進(jìn)行長時(shí)間保存;應(yīng)實(shí)現(xiàn)不同終端設(shè)備(包括Windows系統(tǒng)、Linux系統(tǒng)、IP電話、網(wǎng)絡(luò)打印機(jī)、平板電腦、智能終端等)在不同接入環(huán)境下的網(wǎng)絡(luò)準(zhǔn)入控制,包括HUB、無線、VPN、LAN、WAN等網(wǎng)絡(luò)接入方式;核心商密保護(hù)還應(yīng)符合:針對(duì)處理核心商密的終端應(yīng)實(shí)行端口綁定策略,實(shí)現(xiàn)終端只能通過限定的交換機(jī)端口接入網(wǎng)絡(luò);針對(duì)處理核心商密的終端準(zhǔn)入身份驗(yàn)證應(yīng)與PKI/CA進(jìn)行集成,其認(rèn)證過程無需用戶干預(yù);應(yīng)能自動(dòng)校驗(yàn)證書的合法性,自動(dòng)判斷不合法的吊銷證書、過期證書、未知證書、其他軟證書等,禁止使用不合法證書驗(yàn)證的用戶接入網(wǎng)絡(luò);使用吊銷證書、過期證書、未知證書、其他軟證書等不合法的證書進(jìn)行認(rèn)證無法通過認(rèn)證時(shí),終端能夠自動(dòng)彈出信息框提示用戶認(rèn)證失敗原因。終端安全管理應(yīng)管理Windows密碼權(quán)限、系統(tǒng)口令強(qiáng)度、BIOS口令強(qiáng)度,包括復(fù)雜性、長度、更新周期等,除BIOS口令外應(yīng)實(shí)現(xiàn)集中管理;應(yīng)集中監(jiān)控Windows終端的本地安全策略及對(duì)注冊(cè)表項(xiàng)、鍵的各類操作,同時(shí)對(duì)于一些重要或敏感的注冊(cè)表項(xiàng)、鍵值具有保護(hù)功能;應(yīng)安裝防病毒軟件,并確保實(shí)時(shí)在線并及時(shí)更新。應(yīng)檢查終端是否含有禁止安裝使用的軟件;應(yīng)使用相關(guān)安全技術(shù)加強(qiáng)智能終端、平板電腦等的安全管理;應(yīng)自動(dòng)檢測聯(lián)網(wǎng)終端已安裝和未安裝補(bǔ)丁,針對(duì)未安裝補(bǔ)丁終端能夠自動(dòng)分發(fā)并安裝,根據(jù)補(bǔ)丁的重要性強(qiáng)制安裝補(bǔ)丁和選擇性安裝補(bǔ)??;可采用終端虛擬化技術(shù),如云終端實(shí)現(xiàn)方式,提高商業(yè)秘密安全保護(hù)水平;對(duì)虛擬化終端的安全管理也應(yīng)達(dá)到上述技術(shù)要求.核心商密保護(hù)還應(yīng)符合:對(duì)于涉及核心商密的終端,缺省應(yīng)禁用所有外設(shè)端口,只有經(jīng)過審核才允許終端開啟外設(shè)指定端口;對(duì)于涉及核心商密的終端,在離開網(wǎng)絡(luò)環(huán)境的情況下,要自行關(guān)閉終端上所有外設(shè)端口;應(yīng)管理終端網(wǎng)絡(luò)環(huán)境,主要包括IP/MAC地址管理,終端端口的管理;對(duì)下載的補(bǔ)丁首先進(jìn)行完整性和安全性測試,再進(jìn)行大范圍分發(fā);與核心商密相關(guān)的終端,禁止通過互聯(lián)網(wǎng)在線安裝或升級(jí)軟件。運(yùn)行安全管理應(yīng)能夠采集終端設(shè)置了哪些共享目錄,應(yīng)能夠統(tǒng)一關(guān)閉終端的默認(rèn)共享,應(yīng)能夠針對(duì)指定終端關(guān)閉特定的共享目錄;應(yīng)對(duì)終端進(jìn)行統(tǒng)一的防火墻管理,應(yīng)能夠?qū)K端的IP訪問、端口訪問、協(xié)議訪問等進(jìn)行限制;應(yīng)對(duì)終端的上網(wǎng)行為進(jìn)行統(tǒng)一管理,禁止通過非指定的網(wǎng)關(guān)邊界上網(wǎng);應(yīng)對(duì)終端操作系統(tǒng)賬戶的使用和變化情況進(jìn)行審計(jì),記錄的日志信息至少包括系統(tǒng)用戶和用戶組的添加、刪除、修改,用戶權(quán)限的修改,用戶狀態(tài)(啟用和停用)的修改等;核心商密保護(hù)還應(yīng)符合:應(yīng)對(duì)終端安裝的軟件情況進(jìn)行統(tǒng)計(jì)和監(jiān)控,自動(dòng)統(tǒng)計(jì)終端安裝的各類軟件,通過黑白軟件名單的方式對(duì)應(yīng)用軟件進(jìn)行管控;應(yīng)對(duì)涉及核心商密的終端流量進(jìn)行管理,自動(dòng)發(fā)現(xiàn)流量異常的終端,并能控制終端流量;應(yīng)能收集系統(tǒng)的運(yùn)行日志,并進(jìn)行集中審計(jì)。移動(dòng)存儲(chǔ)介質(zhì)安全介質(zhì)標(biāo)記應(yīng)對(duì)存儲(chǔ)商業(yè)秘密的移動(dòng)存儲(chǔ)介質(zhì)(U盤、Flash卡、刻錄光盤等)進(jìn)行標(biāo)記、注冊(cè)、審核;未經(jīng)標(biāo)記、注冊(cè)、審核過的移動(dòng)存儲(chǔ)介質(zhì),接入服務(wù)器和終端后無法使用或只能導(dǎo)入數(shù)據(jù)而無法導(dǎo)出數(shù)據(jù);核心商密保護(hù)還應(yīng)符合:應(yīng)對(duì)存儲(chǔ)核心商密的移動(dòng)存儲(chǔ)介質(zhì)在外觀上進(jìn)行標(biāo)記。介質(zhì)使用存儲(chǔ)商密數(shù)據(jù)的移動(dòng)存儲(chǔ)介質(zhì)應(yīng)通過口令、指紋、證書等方式進(jìn)行身份鑒別,并在外部或非商業(yè)秘密的終端上無法使用; 應(yīng)對(duì)移動(dòng)存儲(chǔ)介質(zhì)的使用進(jìn)行權(quán)限控制,可按照終端、用戶、部門、安全級(jí)別等進(jìn)行權(quán)限控制;核心商密保護(hù)還應(yīng)符合:包含核心商密的數(shù)據(jù)保存到移動(dòng)存介質(zhì)中時(shí),須加密保存;移動(dòng)存儲(chǔ)設(shè)備中保存的核心商密數(shù)據(jù)在使用完畢后須進(jìn)行安全清除。介質(zhì)審計(jì)應(yīng)對(duì)移動(dòng)存儲(chǔ)介質(zhì)的接入行為進(jìn)行審計(jì),包括接入時(shí)間、接入的終端等信息;應(yīng)對(duì)移動(dòng)存儲(chǔ)介質(zhì)的使用行為進(jìn)行審計(jì),審計(jì)內(nèi)容應(yīng)包括訪問主體、被訪問客體、訪問方式、訪問結(jié)果、日期及時(shí)間、訪問所在的服務(wù)器或終端的主機(jī)名、IP地址、MAC地址、用戶等信息;應(yīng)對(duì)移動(dòng)存儲(chǔ)介質(zhì)的使用行為進(jìn)行審計(jì),審計(jì)傳輸?shù)臄?shù)據(jù)內(nèi)容。打印和刻錄安全打印控制應(yīng)對(duì)商業(yè)秘密文檔的打印行為進(jìn)行授權(quán)控制;應(yīng)對(duì)商業(yè)秘密文檔的打印人、打印時(shí)間、打印文件名等進(jìn)行記錄和審計(jì);商業(yè)秘密文檔的打印文件應(yīng)顯示包含使用者相關(guān)信息的背景水??;核心商密保護(hù)還應(yīng)符合:核心商密文檔的打印需經(jīng)過審批授權(quán),并
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 道德講堂建設(shè)實(shí)施方案例文(3篇)
- 開發(fā)區(qū)農(nóng)村環(huán)境整治方案樣本(2篇)
- 公路施工安全事故報(bào)告制度(3篇)
- 公司文員的崗位職責(zé)模版(3篇)
- 宿舍火災(zāi)應(yīng)急預(yù)案例文(2篇)
- 燃?xì)獠AЦG熔化應(yīng)急處理預(yù)案(4篇)
- 2024年學(xué)校德育處工作計(jì)劃(5篇)
- 學(xué)生勞動(dòng)、實(shí)踐活動(dòng)安全責(zé)任制度(3篇)
- 安全作業(yè)票管理制度(4篇)
- 滅火器操作規(guī)程及管理模版(2篇)
- 內(nèi)蒙古工業(yè)大學(xué)建筑系館案例分析
- 屋面輕質(zhì)混凝土找坡層技術(shù)交底
- 部編版八年級(jí)歷史上冊(cè)《第18課從九一八事變到西安事變》說課稿
- 食品工程原理課程設(shè)計(jì)花生油換熱器的設(shè)計(jì)
- 國開2023春計(jì)算機(jī)組網(wǎng)技術(shù)形考任務(wù)二參考答案
- 五年級(jí)上冊(cè)英語人教PEP版課件書面表達(dá)
- PPT:增進(jìn)民生福祉提高人民生活品質(zhì)
- 開具紅字發(fā)票情況說明
- 2022 年奧賽希望杯二年級(jí)培訓(xùn) 100題含答案
- 水利工程建設(shè)匯報(bào)材料(通用3篇)
- 10篇罪犯矯治個(gè)案
評(píng)論
0/150
提交評(píng)論