中央企業(yè)商業(yè)秘密安全保護(hù)技術(shù)指引2015版

中央企業(yè)商業(yè)秘密安全保護(hù)技術(shù)指引國資委保密委員會2015年4月目錄TOC\o"1-4"\h\z\u引言 1中央企業(yè)商業(yè)秘密安全保護(hù)技術(shù)指引 21范圍 22規(guī)范性引用文件 23術(shù)語和定義 23.1商業(yè)秘密commercialsecret 23.2信息系統(tǒng)informationsystem 23.3商業(yè)秘密信息系統(tǒng)commercialsecretinformationsystem 23.4商業(yè)秘密終端commercialterminal 33.5安全域securitydomain 33.6密級標(biāo)識classificationlabel 33.7存儲介質(zhì)storagemedium 34商業(yè)秘密安全保護(hù)概述 34.1商業(yè)秘密的保護(hù)范圍 34.2指引實(shí)施的目標(biāo) 34.3指引實(shí)施的原則 34.3.1分級分域管理原則 44.3.2全生命周期管理原則 44.3.3整體規(guī)劃和分步實(shí)施原則 44.4商業(yè)秘密安全保護(hù)的基本要求 44.4.1定密與密級標(biāo)識 44.4.2商業(yè)秘密數(shù)據(jù)分類保護(hù) 44.4.3商業(yè)秘密數(shù)據(jù)分級安全保護(hù) 44.4.4商業(yè)秘密數(shù)據(jù)分域安全保護(hù) 54.4.5安全保密產(chǎn)品選擇 55商業(yè)秘密全生命周期數(shù)據(jù)安全保護(hù) 55.1商業(yè)秘密全生命周期階段劃分 55.1.1商業(yè)秘密形成階段 55.1.2商業(yè)秘密流轉(zhuǎn)與應(yīng)用階段 55.1.3商業(yè)秘密存儲階段 55.1.4商業(yè)秘密脫密及銷毀階段 65.2非結(jié)構(gòu)化商業(yè)秘密數(shù)據(jù)安全保護(hù) 65.2.1形成階段數(shù)據(jù)安全 65.2.2流轉(zhuǎn)與應(yīng)用階段數(shù)據(jù)安全 65.2.3存儲階段數(shù)據(jù)安全 85.2.4脫密及銷毀階段數(shù)據(jù)安全 95.3結(jié)構(gòu)化商業(yè)秘密數(shù)據(jù)安全保護(hù) 96商業(yè)秘密信息系統(tǒng)安全保護(hù) 106.1物理安全 106.2網(wǎng)絡(luò)安全 116.2.1網(wǎng)絡(luò)邊界安全防護(hù) 116.2.2網(wǎng)絡(luò)區(qū)域防護(hù) 116.3服務(wù)器與應(yīng)用安全 126.3.1身份鑒別 126.3.2權(quán)限管理 136.3.3安全防護(hù) 136.3.4安全審計 146.3.5資源控制 146.3.6備份與恢復(fù) 146.4終端安全 146.4.1終端準(zhǔn)入控制 146.4.2終端安全管理 156.4.3運(yùn)行安全管理 166.5移動存儲介質(zhì)安全 176.5.1介質(zhì)標(biāo)記 176.5.2介質(zhì)使用 176.5.3介質(zhì)審計 176.6打印和刻錄安全 176.6.1打印控制 176.6.2刻錄控制 187商業(yè)秘密安全保護(hù)監(jiān)測與審計 187.1商業(yè)秘密安全保護(hù)監(jiān)測 187.2商業(yè)秘密安全保護(hù)審計 197.2.1審計范圍 197.2.2安全審計記錄內(nèi)容 197.2.3審計記錄的存儲 197.2.4審計記錄的查閱 207.2.5審計記錄的保護(hù) 208管理保障 208.1管理制度 208.2職責(zé)分工 208.3人員管理 21引言中央企業(yè)商業(yè)秘密是中央企業(yè)的重要無形資產(chǎn)，是企業(yè)的核心競爭力所在，因此,加強(qiáng)商業(yè)秘密保護(hù)是有效維護(hù)中央企業(yè)自身權(quán)益，確保國有資產(chǎn)保值增值的必要前提和重要途徑。2010年3月25日，國務(wù)院國有資產(chǎn)監(jiān)督管理委員會公布施行《中央企業(yè)商業(yè)秘密保護(hù)暫行規(guī)定》（以下簡稱《暫行規(guī)定》），明確規(guī)定中央企業(yè)商業(yè)秘密保護(hù)的機(jī)構(gòu)、職責(zé)和措施，要求企業(yè)建立法定代表人負(fù)責(zé)制。隨著信息化時代的來臨，中央企業(yè)商業(yè)秘密主要存在于信息系統(tǒng)中，因此企業(yè)的生產(chǎn)經(jīng)營極度依賴于信息系統(tǒng)的安全，一旦信息系統(tǒng)內(nèi)的商業(yè)秘密保護(hù)不當(dāng)，導(dǎo)致企業(yè)的經(jīng)營信息、技術(shù)信息等商業(yè)秘密泄密或被竊取，將給企業(yè)生產(chǎn)經(jīng)營帶來重大風(fēng)險與隱患，因此，為了提高中央企業(yè)商業(yè)秘密的安全防護(hù)水平，須重點(diǎn)保護(hù)承載有商業(yè)秘密的信息系統(tǒng)安全。2012年5月14日，國資委公布施行第一版《中央企業(yè)商業(yè)秘密信息系統(tǒng)安全技術(shù)指引》（以下簡稱《指引》），提出了“突出重點(diǎn)，分步實(shí)施”的原則，要求各中央企業(yè)對集團(tuán)層面的承載有商業(yè)秘密的信息系統(tǒng)在1-3年內(nèi)部署完成有關(guān)安全保密措施，并結(jié)合本單位實(shí)際，利用3-5年的時間，在本企業(yè)系統(tǒng)內(nèi)分步部署完成相關(guān)安全保密措施。根據(jù)當(dāng)前信息安全形勢的發(fā)展及數(shù)據(jù)安全技術(shù)的發(fā)展進(jìn)步，結(jié)合第一、二批部分試點(diǎn)單位建設(shè)中的經(jīng)驗(yàn)，對《指引》進(jìn)行修訂形成本指引，修訂版在原有基礎(chǔ)上，結(jié)合商業(yè)秘密的形成、流轉(zhuǎn)、存儲、脫密以及銷毀等階段，著重強(qiáng)調(diào)了商業(yè)秘密數(shù)據(jù)全生命周期安全保護(hù)理念，提出了針對不同階段數(shù)據(jù)的安全保護(hù)標(biāo)準(zhǔn)，突出了商業(yè)秘密自身的安全保護(hù)，并將《指引》中的技術(shù)要求與現(xiàn)有的國家有關(guān)標(biāo)準(zhǔn)體系進(jìn)行了有效銜接。中央企業(yè)在開展信息系統(tǒng)中的商業(yè)秘密保護(hù)時，應(yīng)本著“講求效益、遵循標(biāo)準(zhǔn)、突出重點(diǎn)、便于操作”的建設(shè)原則，以“保數(shù)據(jù)、保核心、保安全”為目標(biāo)，按照本指引有關(guān)內(nèi)容，切實(shí)加強(qiáng)各類信息系統(tǒng)內(nèi)商業(yè)秘密安全保護(hù)水平，最終實(shí)現(xiàn)“進(jìn)不來、拿不走、打不開、賴不掉”的商業(yè)秘密安全保護(hù)目標(biāo)。中央企業(yè)應(yīng)根據(jù)本指引，結(jié)合實(shí)際，對承載于各類信息系統(tǒng)中的商業(yè)秘密安全防護(hù)體系進(jìn)行建設(shè)或完善。本指引可與國家其他相關(guān)標(biāo)準(zhǔn)結(jié)合使用。本指引由國務(wù)院國資委保密委員會制定并負(fù)責(zé)解釋。中央企業(yè)商業(yè)秘密安全保護(hù)技術(shù)指引范圍本指引規(guī)定了中央企業(yè)商業(yè)秘密的等級劃分準(zhǔn)則，對商業(yè)秘密全生命周期進(jìn)行了階段劃分，并對不同階段中商業(yè)秘密的保護(hù)提出了具體的安全防護(hù)措施。本指引適用于中央企業(yè)商業(yè)秘密保護(hù)的安全建設(shè)和管理，中央企業(yè)中所有信息系統(tǒng)中的商業(yè)秘密的安全保護(hù)須符合本指引。規(guī)范性引用文件《中央企業(yè)商業(yè)秘密保護(hù)暫行規(guī)定》（國資保密﹝2010﹞41號）《中央企業(yè)商業(yè)秘密信息系統(tǒng)安全技術(shù)指引》（國資保密〔2012〕003號）《信息系統(tǒng)安全等級保護(hù)基本要求》GB/T22239—2008《信息系統(tǒng)安全等級保護(hù)實(shí)施指南》GB/T25058—2010《涉及國家秘密的信息系統(tǒng)分級保護(hù)技術(shù)要求》BMB17-2006術(shù)語和定義商業(yè)秘密commercialsecret是指不為公眾所知悉、具有實(shí)用性、能為企業(yè)帶來經(jīng)濟(jì)利益，并且需要采取保密措施進(jìn)行安全保護(hù)的經(jīng)營信息和技術(shù)信息。信息系統(tǒng)informationsystem信息系統(tǒng)是由計算機(jī)硬件、網(wǎng)絡(luò)和通訊設(shè)備、計算機(jī)軟件、信息資源、信息用戶和規(guī)章制度組成的以處理信息流為目的的人機(jī)一體化系統(tǒng)。商業(yè)秘密信息系統(tǒng)commercialsecretinformationsystem指處理商業(yè)秘密的信息系統(tǒng)。商業(yè)秘密終端commercialterminal是指處理涉及商業(yè)秘密但不涉及國家秘密的計算機(jī)終端設(shè)備，以下簡稱終端。安全域securitydomain安全域是由一組具有相同安全保護(hù)需求、并相互信任的信息系統(tǒng)組成的邏輯區(qū)域。密級標(biāo)識classificationlabel用于標(biāo)明商業(yè)秘密等級的數(shù)字化信息。存儲介質(zhì)storagemedium存儲介質(zhì)是指存儲數(shù)據(jù)的載體,如光盤、DVD、硬盤、U盤、SD卡、紙質(zhì)等。商業(yè)秘密安全保護(hù)概述商業(yè)秘密的保護(hù)范圍依據(jù)《暫行規(guī)定》，商業(yè)秘密的保護(hù)范圍主要包括：戰(zhàn)略規(guī)劃、管理方法、商業(yè)模式、改制上市、并購重組、產(chǎn)權(quán)交易、財務(wù)信息、投融資決策、產(chǎn)購銷策略、資源儲備、客戶信息、招投標(biāo)事項等經(jīng)營信息；設(shè)計、程序、產(chǎn)品配方、制作工藝、制作方法、技術(shù)訣竅等技術(shù)信息。各中央企業(yè)需根據(jù)《暫行規(guī)定》的要求，并結(jié)合企業(yè)實(shí)際情況，明確本企業(yè)商業(yè)秘密的具體范圍。具體范圍應(yīng)包括商業(yè)秘密事項、密級、保密期限、責(zé)任部門等。中央企業(yè)商業(yè)秘密的密級，根據(jù)信息泄露會使企業(yè)利益遭受損害的程度，確定為普通商業(yè)秘密、核心商業(yè)秘密兩級，密級標(biāo)注統(tǒng)一為“普通商密”、“核心商密”，并根據(jù)不同密級實(shí)行不同的保護(hù)要求。本指引中未特別說明之處均指對“普通商密”的保護(hù)要求，對“普通商密”的保護(hù)要求為一般性安全防護(hù)等級的技術(shù)要求；對“核心商密”的保護(hù)要求為高安全防護(hù)等級的技術(shù)要求，是在“普通商密”保護(hù)要求的基礎(chǔ)之上進(jìn)行針對性加強(qiáng)的保護(hù)要求。指引實(shí)施的目標(biāo)通過全面實(shí)施本技術(shù)指引，對中央企業(yè)商業(yè)秘密保護(hù)工作進(jìn)行規(guī)范和指導(dǎo)，促進(jìn)中央企業(yè)加強(qiáng)商業(yè)秘密安全技術(shù)保護(hù)建設(shè)，實(shí)現(xiàn)中央企業(yè)對商業(yè)秘密保護(hù)能力的動態(tài)管理，從而提升中央企業(yè)的商業(yè)秘密防護(hù)水平。指引實(shí)施的原則分級分域管理原則本指引針對普通商密和核心商密兩個級別的商業(yè)秘密數(shù)據(jù)采用不同的技術(shù)要求。根據(jù)信息系統(tǒng)網(wǎng)絡(luò)平臺和業(yè)務(wù)功能的不同，應(yīng)明確劃分商業(yè)秘密信息系統(tǒng)的安全域，對于存在非商密、普通商密和核心商密的安全域應(yīng)按照高級別安全域進(jìn)行標(biāo)識。安全域之間應(yīng)有明確清晰的邊界。全生命周期管理原則商業(yè)秘密數(shù)據(jù)應(yīng)從全生命周期角度進(jìn)行全程全域的安全保護(hù)，做到事前防范、事中控制和事后追溯相結(jié)合，以有效保護(hù)商業(yè)秘密全生命周期的安全，避免商業(yè)秘密外泄，給企業(yè)帶來重大損失。整體規(guī)劃和分步實(shí)施原則商業(yè)秘密的安全保護(hù)建設(shè)應(yīng)進(jìn)行整體規(guī)劃和頂層設(shè)計。新建信息系統(tǒng)時，應(yīng)同步規(guī)劃、同步設(shè)計、同步建設(shè)相應(yīng)的商業(yè)秘密安全保護(hù)措施；已建的信息系統(tǒng)，根據(jù)企業(yè)的實(shí)際情況，可通過分步實(shí)施的途徑逐步實(shí)施。商業(yè)秘密安全保護(hù)的基本要求定密與密級標(biāo)識企業(yè)應(yīng)根據(jù)自身商業(yè)秘密數(shù)據(jù)安全管理的實(shí)際情況，建立商業(yè)秘密定密管理規(guī)范和定密流程，確定責(zé)任人、審核人、承辦人，并授予其相應(yīng)定密權(quán)限，確定單位的定密依據(jù)、定密細(xì)目等。信息系統(tǒng)中的商業(yè)秘密應(yīng)根據(jù)定密結(jié)果設(shè)定相應(yīng)的密級標(biāo)識，密級標(biāo)注統(tǒng)一為“核心商密”、“普通商密”。商業(yè)秘密數(shù)據(jù)分類保護(hù)商業(yè)秘密數(shù)據(jù)分為結(jié)構(gòu)化商密數(shù)據(jù)和非結(jié)構(gòu)化商密數(shù)據(jù)兩個類別。非結(jié)構(gòu)化商密數(shù)據(jù)應(yīng)綜合運(yùn)用身份鑒別、數(shù)據(jù)加密、細(xì)粒度訪問控制以及安全審計等多種技術(shù)進(jìn)行全程全域的安全保護(hù)，以確保商業(yè)秘密數(shù)據(jù)全生命周期的安全；結(jié)構(gòu)化商密數(shù)據(jù)應(yīng)綜合運(yùn)用身份鑒別、細(xì)粒度訪問控制以及安全審計等多種技術(shù)進(jìn)行全程全域的安全保護(hù)，結(jié)構(gòu)化商密數(shù)據(jù)在導(dǎo)出時應(yīng)采用加密等技術(shù)確保使用過程中的安全。商業(yè)秘密數(shù)據(jù)分級安全保護(hù)商業(yè)秘密分為普通商密和核心商密兩個密級，商業(yè)秘密數(shù)據(jù)的安全保護(hù)應(yīng)根據(jù)自身密級遵循相應(yīng)的安全防護(hù)等級進(jìn)行防護(hù)。即普通商密數(shù)據(jù)遵循普通商密安全等級進(jìn)行防護(hù)，核心商密數(shù)據(jù)遵循核心商密安全等級進(jìn)行防護(hù)。同一信息系統(tǒng)中，存在不同密級的商業(yè)秘密數(shù)據(jù)需要保護(hù)時，須遵循核心商密安全防護(hù)等級進(jìn)行防護(hù)。商業(yè)秘密數(shù)據(jù)分域安全保護(hù)商業(yè)秘密信息系統(tǒng)應(yīng)明確劃分安全域進(jìn)行安全防護(hù)，安全域的安全防護(hù)須遵循域中最高密級的商業(yè)秘密數(shù)據(jù)的安全防護(hù)等級進(jìn)行防護(hù)。不同安全域之間應(yīng)劃分明確的邊界，安全域與安全域之間的所有數(shù)據(jù)通信應(yīng)安全可控。對于不同等級的安全域之間的通信，應(yīng)采取訪問控制措施禁止高密級信息由高等級安全域流向低等級安全域。處理商業(yè)秘密數(shù)據(jù)的安全域應(yīng)采取適當(dāng)?shù)母綦x或密碼保護(hù)等措施才能接入國際互聯(lián)網(wǎng)。既處理商密數(shù)據(jù)又處理非商密數(shù)據(jù)的同一終端，應(yīng)綜合采用加密等多種技術(shù)手段確保終端上所承載的商密數(shù)據(jù)的安全。安全保密產(chǎn)品選擇商業(yè)秘密信息系統(tǒng)中使用的安全保密產(chǎn)品原則上應(yīng)選用國產(chǎn)產(chǎn)品。所選用的安全保密產(chǎn)品應(yīng)通過國家相關(guān)主管部門授權(quán)的測評機(jī)構(gòu)的檢測。商業(yè)秘密全生命周期數(shù)據(jù)安全保護(hù)商業(yè)秘密全生命周期階段劃分商業(yè)秘密形成階段商業(yè)秘密形成階段主要分為非結(jié)構(gòu)化商密數(shù)據(jù)形成階段和結(jié)構(gòu)化商密數(shù)據(jù)形成階段。結(jié)構(gòu)化商密數(shù)據(jù)形成階段為錄入商密數(shù)據(jù)并保存到數(shù)據(jù)庫的階段；非結(jié)構(gòu)化商密數(shù)據(jù)形成階段主要包括文件的起草、定密、審核及簽發(fā)等。商業(yè)秘密流轉(zhuǎn)與應(yīng)用階段商業(yè)秘密流轉(zhuǎn)與應(yīng)用階段主要分為結(jié)構(gòu)化商密數(shù)據(jù)流轉(zhuǎn)與應(yīng)用階段與非結(jié)構(gòu)化商密數(shù)據(jù)流轉(zhuǎn)與應(yīng)用階段。結(jié)構(gòu)化商密數(shù)據(jù)流轉(zhuǎn)與應(yīng)用階段為數(shù)據(jù)庫表單數(shù)據(jù)的存取和利用；非結(jié)構(gòu)化商密數(shù)據(jù)流轉(zhuǎn)與應(yīng)用階段包括商密數(shù)據(jù)內(nèi)部網(wǎng)絡(luò)應(yīng)用與外部網(wǎng)絡(luò)傳輸階段。商業(yè)秘密存儲階段商業(yè)秘密存儲階段主要包括終端存儲、服務(wù)器存儲以及非信息系統(tǒng)存儲。商業(yè)秘密脫密及銷毀階段商業(yè)秘密脫密及銷毀階段主要包括信息系統(tǒng)中處理商密數(shù)據(jù)的設(shè)備、存儲介質(zhì)以及商密數(shù)據(jù)本身等進(jìn)行脫密或銷毀。非結(jié)構(gòu)化商業(yè)秘密數(shù)據(jù)安全保護(hù)形成階段數(shù)據(jù)安全本階段主要以密級標(biāo)識的設(shè)定與管理為核心，在商業(yè)秘密安全保護(hù)過程中，定密是商業(yè)秘密保護(hù)的首要環(huán)節(jié)，同時也是為商業(yè)秘密在信息系統(tǒng)中的保護(hù)提供依據(jù)。應(yīng)采取統(tǒng)一定密、統(tǒng)一變更等措施管理密級標(biāo)識；應(yīng)對服務(wù)器、應(yīng)用系統(tǒng)、數(shù)據(jù)庫中的商密數(shù)據(jù)及載體等設(shè)置并管理密級標(biāo)識；密級標(biāo)識應(yīng)與商密數(shù)據(jù)主體不可分離，其自身不可篡改；密級標(biāo)識應(yīng)由權(quán)屬（單位規(guī)范簡稱或者標(biāo)識等）、密級、保密期限三部分組成；商業(yè)秘密的密級、保密期限變更后，應(yīng)在原標(biāo)明位置的附近作出新標(biāo)志，原標(biāo)志以明顯方式廢除；應(yīng)對終端上創(chuàng)建的商密數(shù)據(jù)及其使用過程中產(chǎn)生的數(shù)據(jù)采取加密等技術(shù)進(jìn)行保護(hù)；應(yīng)對商業(yè)秘密的知悉范圍和訪問權(quán)限進(jìn)行細(xì)粒度的控制；應(yīng)對商密數(shù)據(jù)在形成階段的操作行為進(jìn)行安全審計,并形成安全審計統(tǒng)計分析報告；核心商密保護(hù)還應(yīng)符合：核心商業(yè)秘密發(fā)生密級變更須經(jīng)過流程審批并可追溯。流轉(zhuǎn)與應(yīng)用階段數(shù)據(jù)安全本階段主要以商密數(shù)據(jù)安全管控為核心，通過加強(qiáng)數(shù)據(jù)管控，為商業(yè)秘密在不同流轉(zhuǎn)與應(yīng)用階段的安全保護(hù)提供強(qiáng)有力的保障。流轉(zhuǎn)過程控制商密數(shù)據(jù)在非內(nèi)部網(wǎng)絡(luò)傳輸時，應(yīng)采取商用密碼加密等技術(shù)措施進(jìn)行保護(hù)，防止傳輸?shù)男畔⒈桓`取；應(yīng)采取數(shù)字簽名、時間戳等技術(shù)防止參與通信的雙方或一方對自己行為以及所做的操作（如文件創(chuàng)建、信息發(fā)送、信息接收以及批示）進(jìn)行部分或全部的否認(rèn)；運(yùn)行商業(yè)秘密信息系統(tǒng)的網(wǎng)絡(luò)中，未經(jīng)授權(quán)不得使用帶有網(wǎng)絡(luò)嗅探功能（包括抓包、監(jiān)聽、數(shù)據(jù)包回放分析等）的工具或設(shè)備；應(yīng)通過黑/白名單等方式管理電子郵件的收發(fā)，并對郵件的相關(guān)信息進(jìn)行審計；應(yīng)通過黑/白名單等方式管理網(wǎng)頁訪問及FTP、P2P、即時通信等軟件的使用；核心商密保護(hù)還應(yīng)符合：禁止租用第三方服務(wù)商提供的網(wǎng)絡(luò)應(yīng)用服務(wù)傳輸核心商密數(shù)據(jù)，包括外部郵件服務(wù)、外部基于云計算技術(shù)的服務(wù)、即時通信服務(wù)等；使用無線網(wǎng)絡(luò)傳輸包含核心商密數(shù)據(jù)時，須對傳輸中的數(shù)據(jù)采用動態(tài)加密技術(shù)手段；核心商密數(shù)據(jù)如需通過內(nèi)部網(wǎng)絡(luò)傳輸時，須采用加密的VPN或其他技術(shù)手段，防止數(shù)據(jù)被截獲后被解密或被破解；應(yīng)能夠檢測到核心商密數(shù)據(jù)在傳輸過程中完整性，并采取必要的恢復(fù)措施。應(yīng)用控制應(yīng)根據(jù)企業(yè)自身實(shí)際情況對不同類別的商密數(shù)據(jù)設(shè)置相應(yīng)權(quán)限。如：財務(wù)數(shù)據(jù)，只允許財務(wù)部具有編輯權(quán)限；董事長、總經(jīng)理和相關(guān)人員具有閱讀權(quán)限；其他人員沒有閱讀或編輯的權(quán)限；應(yīng)對商密數(shù)據(jù)的應(yīng)用操作行為進(jìn)行審計，對違規(guī)操作行為進(jìn)行報警，審計的記錄至少保存半年；對商密數(shù)據(jù)的管理和控制，須以不影響員工正常的編輯閱讀、數(shù)據(jù)處理、數(shù)據(jù)交換、出差和在外辦公為前提，并且不受到網(wǎng)絡(luò)連通與否狀況的影響；核心商密保護(hù)還應(yīng)符合：在終端上使用核心商密數(shù)據(jù)時，須在終端屏幕上自動顯示水印，水印位置、格式、透明度等可自定義，以防止通過拍照方式泄露商業(yè)秘密；應(yīng)用開發(fā)人員原則上不準(zhǔn)直接訪問核心商密數(shù)據(jù)，確有需要時須對其進(jìn)行控制和管理，開發(fā)任務(wù)完成后應(yīng)對相關(guān)的核心商密數(shù)據(jù)進(jìn)行及時回收或轉(zhuǎn)移。外發(fā)過程控制應(yīng)對商業(yè)秘密數(shù)據(jù)的外發(fā)行為進(jìn)行審批、授權(quán)等控制；應(yīng)對商密數(shù)據(jù)知悉范圍和權(quán)限進(jìn)行控制，限制閱讀人員、閱讀次數(shù)以及閱讀期限，并且不受網(wǎng)絡(luò)連通情況的影響；應(yīng)使用數(shù)據(jù)加密等安全技術(shù)，對外發(fā)的商業(yè)秘密數(shù)據(jù)內(nèi)容進(jìn)行安全保護(hù)；應(yīng)對商密數(shù)據(jù)的外發(fā)行為進(jìn)行審計，對違規(guī)操作行為進(jìn)行報警，審計的記錄至少保存半年；核心商密保護(hù)還應(yīng)符合：應(yīng)對外發(fā)核心商密數(shù)據(jù)的設(shè)備進(jìn)行保密檢查；核心商密數(shù)據(jù)的外發(fā)只能在指定地點(diǎn)及設(shè)備進(jìn)行集中操作，對外發(fā)商密數(shù)據(jù)做集中式留檔便于審計；核心商密數(shù)據(jù)必須由兩個及以上相關(guān)人員審批通過后方可外發(fā)，外發(fā)后未經(jīng)相關(guān)人員授權(quán)禁止脫離安全環(huán)境。存儲階段數(shù)據(jù)安全本階段主要以商密數(shù)據(jù)保密為核心，通過數(shù)據(jù)保密等相關(guān)技術(shù)，確保商業(yè)秘密不被泄露或竊取。終端存儲保護(hù)應(yīng)采用商用密碼加密等技術(shù)措施，對終端上的商密數(shù)據(jù)進(jìn)行保護(hù)，并對加密數(shù)據(jù)做讀寫訪問控制，避免保留在終端上商密數(shù)據(jù)被竊??；應(yīng)啟動訪問控制措施，保護(hù)終端上的商業(yè)秘密數(shù)據(jù)不被非授權(quán)訪問；存儲在終端的商業(yè)秘密數(shù)據(jù)導(dǎo)出時須履行審批，并在系統(tǒng)中可審計；對采用虛擬化技術(shù)的終端應(yīng)進(jìn)行相關(guān)技術(shù)防護(hù)，防止商業(yè)秘密數(shù)據(jù)泄露；存放有商密數(shù)據(jù)的終端使用移動存儲介質(zhì)時應(yīng)進(jìn)行嚴(yán)格的授權(quán)訪問控制；對下載到移動終端設(shè)備存儲區(qū)域的商密數(shù)據(jù)，應(yīng)采取商用密碼加密等技術(shù)措施進(jìn)行安全保護(hù)，防止存儲的信息被竊取；核心商密保護(hù)還應(yīng)符合：終端上禁止大量存放核心商密數(shù)據(jù)，對核心商密數(shù)據(jù)應(yīng)實(shí)現(xiàn)集中加密存儲，實(shí)現(xiàn)細(xì)粒度的使用權(quán)限控制，對使用情況進(jìn)行統(tǒng)計分析，實(shí)現(xiàn)對企圖非法訪問的主動屏蔽和及時告警；應(yīng)可實(shí)現(xiàn)對存儲在移動終端設(shè)備上的核心商密數(shù)據(jù)進(jìn)行遠(yuǎn)程銷毀。服務(wù)器存儲保護(hù)商密數(shù)據(jù)在服務(wù)器中存儲應(yīng)采取商用密碼加密等技術(shù)措施進(jìn)行機(jī)密性保護(hù)，防止存儲的商密數(shù)據(jù)被竊?。簧堂軘?shù)據(jù)在存儲過程中應(yīng)采取完整性監(jiān)測措施，防止存儲的信息被篡改、被破壞，并采取必要的恢復(fù)措施；對于保存在服務(wù)器上的商密數(shù)據(jù)，應(yīng)啟動訪問+++6對于因故障需要到外部機(jī)構(gòu)維修的服務(wù)器存儲介質(zhì)，應(yīng)通過數(shù)據(jù)擦除工具/設(shè)備擦除介質(zhì)中的數(shù)據(jù)，并確保被擦除的數(shù)據(jù)無法通過常規(guī)數(shù)據(jù)恢復(fù)工具得到恢復(fù)，再送出維修；服務(wù)器存儲介質(zhì)的維修、報廢和銷毀應(yīng)集中由專人統(tǒng)一處理，并進(jìn)行登記。脫密及銷毀階段數(shù)據(jù)安全本階段主要以數(shù)據(jù)安全脫密及銷毀為核心,確保商密數(shù)據(jù)在超出有效期后得到及時處理。商密數(shù)據(jù)的脫密須經(jīng)審批后執(zhí)行解密，審批過程遵循嚴(yán)格的審批流程和制度約定，通過相關(guān)技術(shù)對審批行為以及脫密的商密數(shù)據(jù)進(jìn)行審計，并對審計記錄進(jìn)行集中管理；商密數(shù)據(jù)銷毀后應(yīng)該對處理商密數(shù)據(jù)的載體進(jìn)行數(shù)據(jù)擦除、盤體銷毀；應(yīng)對超過使用權(quán)限的外發(fā)商業(yè)秘密數(shù)據(jù)，執(zhí)行自動銷毀，以防超出知悉范圍人員越權(quán)查閱商密數(shù)據(jù)；核心商密保護(hù)還應(yīng)符合：對處理核心商密的載體應(yīng)采取物理銷毀的方式。結(jié)構(gòu)化商業(yè)秘密數(shù)據(jù)安全保護(hù)應(yīng)確保結(jié)構(gòu)化商密數(shù)據(jù)訪問者身份的真實(shí)性、合法性；應(yīng)提供訪問控制功能，依據(jù)安全策略控制用戶對結(jié)構(gòu)化商密數(shù)據(jù)的訪問；應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系；應(yīng)提供覆蓋到每個用戶的安全審計功能，對結(jié)構(gòu)化商密數(shù)據(jù)操作的重要安全事件進(jìn)行審計，對違規(guī)操作行為及時告警；應(yīng)提供覆蓋到每個系統(tǒng)運(yùn)維人員的安全審計功能，對結(jié)構(gòu)化商密數(shù)據(jù)維護(hù)的重要安全事件進(jìn)行審計，對違規(guī)運(yùn)維行為及時告警；應(yīng)用系統(tǒng)與數(shù)據(jù)庫中商業(yè)秘密的導(dǎo)出，應(yīng)采取商用密碼加密等技術(shù)進(jìn)行保護(hù)，對數(shù)據(jù)庫的直接訪問應(yīng)能防止通過拷貝、截屏、錄屏等方式造成的泄密；核心商密保護(hù)還應(yīng)符合：應(yīng)能夠檢測到結(jié)構(gòu)化核心商密數(shù)據(jù)在存儲過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復(fù)措施；應(yīng)通過商用密碼等技術(shù)保證結(jié)構(gòu)化商密數(shù)據(jù)傳輸過程中的完整性和機(jī)密性；應(yīng)通過商用密碼加密等技術(shù)保證結(jié)構(gòu)化數(shù)據(jù)的存儲安全；應(yīng)通過商用密碼等技術(shù)保證結(jié)構(gòu)化核心商用數(shù)據(jù)的使用安全；應(yīng)保證結(jié)構(gòu)化核心商用數(shù)據(jù)所在的存儲空間被釋放或重新分配給其他用戶前得到完全清除。商業(yè)秘密信息系統(tǒng)安全保護(hù)物理安全應(yīng)滿足GB9361-2011中B類安全機(jī)房場地選擇要求；應(yīng)滿足GB50174，GB/T2887-2000的要求，并在防火、防水、溫濕度、防雷、防靜電等方面達(dá)到GB9361-2011中B類安全機(jī)房建設(shè)要求；機(jī)房或數(shù)據(jù)中心的所有出入口，應(yīng)采取電子門禁系統(tǒng)或者專人值守的方式對進(jìn)出的人員進(jìn)行審核和登記，所有對機(jī)房進(jìn)行物理訪問的人員須留有審計記錄。應(yīng)安裝視頻監(jiān)控系統(tǒng)對機(jī)房的關(guān)鍵通道進(jìn)行不間斷的監(jiān)控；非授權(quán)人員出入機(jī)房時須由機(jī)房值班人員陪同。網(wǎng)絡(luò)安全網(wǎng)絡(luò)邊界安全防護(hù)應(yīng)根據(jù)安全域劃分情況，明確需進(jìn)行安全保密防護(hù)的邊界；在明確的安全域邊界實(shí)施有效的訪問控制策略和機(jī)制；應(yīng)根據(jù)信息安全對抗技術(shù)的發(fā)展，在系統(tǒng)或安全域邊界的關(guān)鍵點(diǎn)采用嚴(yán)格的安全防護(hù)機(jī)制，如嚴(yán)格的登錄/訪問控制、信息過濾、邊界完整性檢查等；應(yīng)對非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對其進(jìn)行有效阻斷；應(yīng)對內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對其進(jìn)行有效阻斷；核心商密保護(hù)還應(yīng)符合：網(wǎng)絡(luò)邊界處應(yīng)具備入侵檢測能力；應(yīng)在網(wǎng)絡(luò)邊界處對惡意代碼進(jìn)行檢測和清除。網(wǎng)絡(luò)區(qū)域防護(hù)根據(jù)業(yè)務(wù)功能的不同，將處理商業(yè)秘密的應(yīng)用系統(tǒng)劃分到一個或多個安全區(qū)域，安全區(qū)域間需設(shè)置訪問控制策略；處理商業(yè)秘密的安全域與其他安全域之間的邊界應(yīng)劃分明確，安全域與安全域之間的所有數(shù)據(jù)通信都應(yīng)安全可控：對于不同等級的安全域間通信，應(yīng)禁止高密級信息由高等級安全域流向低等級安全域；同一網(wǎng)絡(luò)區(qū)域辦公計算機(jī)應(yīng)通過統(tǒng)一出口連接外部網(wǎng)絡(luò)，對辦公計算機(jī)未經(jīng)授權(quán)外聯(lián)行為進(jìn)行監(jiān)測和處置；應(yīng)通過網(wǎng)絡(luò)區(qū)域的劃分，保證操作商業(yè)秘密的業(yè)務(wù)終端與產(chǎn)生商業(yè)秘密的應(yīng)用服務(wù)器之間建立安全的訪問路徑；核心商密保護(hù)還應(yīng)符合：重要網(wǎng)絡(luò)區(qū)域應(yīng)采取技術(shù)手段防止地址欺騙。服務(wù)器與應(yīng)用安全身份鑒別身份鑒別策略應(yīng)制定明確的商密用戶的身份鑒別策略；應(yīng)制定能夠確保身份鑒別策略正確實(shí)施的規(guī)章制度。實(shí)體鑒別應(yīng)對登錄涉及處理商密數(shù)據(jù)的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應(yīng)用系統(tǒng)的用戶進(jìn)行身份鑒別；應(yīng)根據(jù)安全策略設(shè)置延時處理或超時鎖定；應(yīng)定期對用戶賬號進(jìn)行清查，及時禁用或刪除混用賬號、測試賬號、臨時賬號等無關(guān)賬號，離職人員的賬號要及時禁用；應(yīng)為系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性；同一用戶登錄不同處理商密數(shù)據(jù)的業(yè)務(wù)系統(tǒng)應(yīng)采用不同口令，確?？诹钗ㄒ恍裕豢诹钯~號應(yīng)啟用嚴(yán)格的口令策略，口令長度至少8位以上，采用大小寫英文字母、數(shù)字及特殊字符的組合；應(yīng)定期更換口令，更換周期不得長于一個月；存儲口令的文件應(yīng)采取商用密碼加密措施存儲、傳播，并保證其安全；核心商密保護(hù)還應(yīng)符合：處理核心商業(yè)秘密的服務(wù)器和應(yīng)用系統(tǒng)應(yīng)采用數(shù)字證書與口令兩種或兩種以上組合的鑒別技術(shù)對管理用戶進(jìn)行身份鑒別。重鑒別用戶身份鑒別成功后，當(dāng)其空閑操作的時間超過規(guī)定值（通常為10分鐘以內(nèi)）后，在該用戶需要執(zhí)行前操作前，應(yīng)對該用戶重新進(jìn)行身份鑒別。鑒別失敗當(dāng)用戶身份鑒別嘗試失敗次數(shù)超過五次后，應(yīng)采取以下措施：對于本地登錄，應(yīng)進(jìn)行登錄鎖定，同時形成審計事件并告警；對于遠(yuǎn)程登錄（域登錄、網(wǎng)絡(luò)數(shù)據(jù)庫登錄等），應(yīng)對該用戶標(biāo)識進(jìn)行鎖定，并且只能由安全保密管理員恢復(fù)或重建該賬號，同時形成審計信息并告警；對于應(yīng)用程序，禁止使用該程序或延長一定時間后再允許嘗試，同時形成審計事件并告警。權(quán)限管理應(yīng)啟用訪問控制功能，依據(jù)安全策略控制系統(tǒng)用戶對資源的訪問；應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限；數(shù)據(jù)庫賬號的權(quán)限應(yīng)根據(jù)用戶的角色分配，僅授予用戶所需的最小權(quán)限；數(shù)據(jù)庫賬號應(yīng)定期審核，對現(xiàn)有賬號的狀態(tài)、權(quán)限分配進(jìn)行審查并及時清除無效賬號，至少三個月審核一次；業(yè)務(wù)系統(tǒng)賬號的權(quán)限應(yīng)根據(jù)用戶的角色分配，僅授予用戶所需的最小權(quán)限；核心商密保護(hù)還應(yīng)符合：數(shù)據(jù)庫系統(tǒng)開設(shè)賬號須經(jīng)主管部門審批并留檔；處理核心商密數(shù)據(jù)的業(yè)務(wù)系統(tǒng)開設(shè)賬號須經(jīng)主管部門審批，并留檔。安全防護(hù)應(yīng)對商業(yè)秘密信息系統(tǒng)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)安裝補(bǔ)??；應(yīng)對商業(yè)秘密信息系統(tǒng)安裝防惡意代碼軟件，并及時更新軟件版本和惡意代碼庫；核心商密保護(hù)還應(yīng)符合：與核心商密相關(guān)的服務(wù)器，應(yīng)采用白名單方式管理服務(wù)器上運(yùn)行的軟件；與核心商密相關(guān)的系統(tǒng)和設(shè)備，禁止通過互聯(lián)網(wǎng)在線安裝、升級軟件；應(yīng)能檢測對重要系統(tǒng)進(jìn)行入侵的行為，記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴(yán)重入侵事件時提供報警；應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全消除，無論信息存放在硬盤或內(nèi)存中；應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全消除。安全審計須對賬戶管理、權(quán)限分配等重要的操作行為和事件進(jìn)行審計；審計對象包括本地的操作行為和遠(yuǎn)程的操作行為；核心商密保護(hù)還應(yīng)符合：應(yīng)保護(hù)審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。資源控制應(yīng)根據(jù)安全策略設(shè)置登錄終端操作的延時處理或超時鎖定；應(yīng)對重要服務(wù)器及應(yīng)用進(jìn)行實(shí)時監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；應(yīng)限制單個用戶對系統(tǒng)資源的最大或最小使用限度；應(yīng)對系統(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報警。備份與恢復(fù)應(yīng)定期對服務(wù)器及應(yīng)用系統(tǒng)進(jìn)行備份，防止系統(tǒng)宕機(jī)、數(shù)據(jù)篡改、訪問中斷、網(wǎng)絡(luò)被攻擊時，給系統(tǒng)造成損失；應(yīng)有經(jīng)過完整測試和演練的服務(wù)器系統(tǒng)應(yīng)急恢復(fù)預(yù)案，在系統(tǒng)恢復(fù)過程中要保障商密數(shù)據(jù)的安全。終端安全終端準(zhǔn)入控制應(yīng)在涉及商業(yè)秘密的網(wǎng)絡(luò)部署并啟用準(zhǔn)入控制功能，對準(zhǔn)入控制進(jìn)行集中管理；應(yīng)能自動發(fā)現(xiàn)未通過準(zhǔn)入控制驗(yàn)證進(jìn)入內(nèi)部網(wǎng)絡(luò)的終端及設(shè)備，并掌握其接入時間、網(wǎng)絡(luò)端口、IP/MAC地址信息；應(yīng)通過口令、證書、USB-Key、網(wǎng)卡信息、硬件特征等方式，或使用RADIUS實(shí)現(xiàn)對接入網(wǎng)絡(luò)中的設(shè)備的身份進(jìn)行確認(rèn)，準(zhǔn)確定位出接入設(shè)備的位置，并對其進(jìn)行訪問控制；應(yīng)對接入設(shè)備的安全違規(guī)情況進(jìn)行檢查，包括防病毒策略的違規(guī)，賬戶口令的違規(guī)，系統(tǒng)補(bǔ)丁的違規(guī)等；應(yīng)實(shí)現(xiàn)對接入網(wǎng)絡(luò)中的外部人員進(jìn)行管理，控制外部人員對內(nèi)部資源訪問，包括阻斷、限制、臨時允許其對特定資源的訪問以及訪問時長；應(yīng)根據(jù)接入設(shè)備的身份和安全違規(guī)情況，對該設(shè)備可訪問的域或者指定的資源進(jìn)行阻斷、允許或限制訪問；應(yīng)對接入設(shè)備的接入信息進(jìn)行審計和集中處理，并實(shí)現(xiàn)對接入信息進(jìn)行長時間保存；應(yīng)實(shí)現(xiàn)不同終端設(shè)備（包括Windows系統(tǒng)、Linux系統(tǒng)、IP電話、網(wǎng)絡(luò)打印機(jī)、平板電腦、智能終端等）在不同接入環(huán)境下的網(wǎng)絡(luò)準(zhǔn)入控制，包括HUB、無線、VPN、LAN、WAN等網(wǎng)絡(luò)接入方式；核心商密保護(hù)還應(yīng)符合：針對處理核心商密的終端應(yīng)實(shí)行端口綁定策略，實(shí)現(xiàn)終端只能通過限定的交換機(jī)端口接入網(wǎng)絡(luò)；針對處理核心商密的終端準(zhǔn)入身份驗(yàn)證應(yīng)與PKI/CA進(jìn)行集成，其認(rèn)證過程無需用戶干預(yù)；應(yīng)能自動校驗(yàn)證書的合法性，自動判斷不合法的吊銷證書、過期證書、未知證書、其他軟證書等，禁止使用不合法證書驗(yàn)證的用戶接入網(wǎng)絡(luò)；使用吊銷證書、過期證書、未知證書、其他軟證書等不合法的證書進(jìn)行認(rèn)證無法通過認(rèn)證時，終端能夠自動彈出信息框提示用戶認(rèn)證失敗原因。終端安全管理應(yīng)管理Windows密碼權(quán)限、系統(tǒng)口令強(qiáng)度、BIOS口令強(qiáng)度，包括復(fù)雜性、長度、更新周期等，除BIOS口令外應(yīng)實(shí)現(xiàn)集中管理；應(yīng)集中監(jiān)控Windows終端的本地安全策略及對注冊表項、鍵的各類操作，同時對于一些重要或敏感的注冊表項、鍵值具有保護(hù)功能；應(yīng)安裝防病毒軟件，并確保實(shí)時在線并及時更新。應(yīng)檢查終端是否含有禁止安裝使用的軟件；應(yīng)使用相關(guān)安全技術(shù)加強(qiáng)智能終端、平板電腦等的安全管理；應(yīng)自動檢測聯(lián)網(wǎng)終端已安裝和未安裝補(bǔ)丁，針對未安裝補(bǔ)丁終端能夠自動分發(fā)并安裝，根據(jù)補(bǔ)丁的重要性強(qiáng)制安裝補(bǔ)丁和選擇性安裝補(bǔ)??；可采用終端虛擬化技術(shù)，如云終端實(shí)現(xiàn)方式，提高商業(yè)秘密安全保護(hù)水平；對虛擬化終端的安全管理也應(yīng)達(dá)到上述技術(shù)要求.核心商密保護(hù)還應(yīng)符合：對于涉及核心商密的終端，缺省應(yīng)禁用所有外設(shè)端口，只有經(jīng)過審核才允許終端開啟外設(shè)指定端口；對于涉及核心商密的終端，在離開網(wǎng)絡(luò)環(huán)境的情況下，要自行關(guān)閉終端上所有外設(shè)端口；應(yīng)管理終端網(wǎng)絡(luò)環(huán)境，主要包括IP/MAC地址管理，終端端口的管理；對下載的補(bǔ)丁首先進(jìn)行完整性和安全性測試，再進(jìn)行大范圍分發(fā)；與核心商密相關(guān)的終端，禁止通過互聯(lián)網(wǎng)在線安裝或升級軟件。運(yùn)行安全管理應(yīng)能夠采集終端設(shè)置了哪些共享目錄，應(yīng)能夠統(tǒng)一關(guān)閉終端的默認(rèn)共享，應(yīng)能夠針對指定終端關(guān)閉特定的共享目錄；應(yīng)對終端進(jìn)行統(tǒng)一的防火墻管理，應(yīng)能夠?qū)K端的IP訪問、端口訪問、協(xié)議訪問等進(jìn)行限制；應(yīng)對終端的上網(wǎng)行為進(jìn)行統(tǒng)一管理，禁止通過非指定的網(wǎng)關(guān)邊界上網(wǎng)；應(yīng)對終端操作系統(tǒng)賬戶的使用和變化情況進(jìn)行審計，記錄的日志信息至少包括系統(tǒng)用戶和用戶組的添加、刪除、修改，用戶權(quán)限的修改，用戶狀態(tài)（啟用和停用）的修改等；核心商密保護(hù)還應(yīng)符合：應(yīng)對終端安裝的軟件情況進(jìn)行統(tǒng)計和監(jiān)控，自動統(tǒng)計終端安裝的各類軟件，通過黑白軟件名單的方式對應(yīng)用軟件進(jìn)行管控；應(yīng)對涉及核心商密的終端流量進(jìn)行管理，自動發(fā)現(xiàn)流量異常的終端，并能控制終端流量；應(yīng)能收集系統(tǒng)的運(yùn)行日志，并進(jìn)行集中審計。移動存儲介質(zhì)安全介質(zhì)標(biāo)記應(yīng)對存儲商業(yè)秘密的移動存儲介質(zhì)（U盤、Flash卡、刻錄光盤等）進(jìn)行標(biāo)記、注冊、審核；未經(jīng)標(biāo)記、注冊、審核過的移動存儲介質(zhì)，接入服務(wù)器和終端后無法使用或只能導(dǎo)入數(shù)據(jù)而無法導(dǎo)出數(shù)據(jù)；核心商密保護(hù)還應(yīng)符合：應(yīng)對存儲核心商密的移動存儲介質(zhì)在外觀上進(jìn)行標(biāo)記。介質(zhì)使用存儲商密數(shù)據(jù)的移動存儲介質(zhì)應(yīng)通過口令、指紋、證書等方式進(jìn)行身份鑒別，并在外部或非商業(yè)秘密的終端上無法使用； 應(yīng)對移動存儲介質(zhì)的使用進(jìn)行權(quán)限控制，可按照終端、用戶、部門、安全級別等進(jìn)行權(quán)限控制；核心商密保護(hù)還應(yīng)符合：包含核心商密的數(shù)據(jù)保存到移動存介質(zhì)中時，須加密保存；移動存儲設(shè)備中保存的核心商密數(shù)據(jù)在使用完畢后須進(jìn)行安全清除。介質(zhì)審計應(yīng)對移動存儲介質(zhì)的接入行為進(jìn)行審計，包括接入時間、接入的終端等信息；應(yīng)對移動存儲介質(zhì)的使用行為進(jìn)行審計，審計內(nèi)容應(yīng)包括訪問主體、被訪問客體、訪問方式、訪問結(jié)果、日期及時間、訪問所在的服務(wù)器或終端的主機(jī)名、IP地址、MAC地址、用戶等信息；應(yīng)對移動存儲介質(zhì)的使用行為進(jìn)行審計，審計傳輸?shù)臄?shù)據(jù)內(nèi)容。打印和刻錄安全打印控制應(yīng)對商業(yè)秘密文檔的打印行為進(jìn)行授權(quán)控制；應(yīng)對商業(yè)秘密文檔的打印人、打印時間、打印文件名等進(jìn)行記錄和審計；商業(yè)秘密文檔的打印文件應(yīng)顯示包含使用者相關(guān)信息的背景水印；核心商密保護(hù)還應(yīng)符合：核心商密文檔的打印需經(jīng)過審批授權(quán)，并對打印的數(shù)據(jù)做集中式留檔審計；應(yīng)對核心商密文檔的打印頁數(shù)、打印份數(shù)、所用打印機(jī)進(jìn)行記錄，實(shí)現(xiàn)核心商密文檔打印紙介質(zhì)的回收管理和閉環(huán)審計；核心商密數(shù)據(jù)在打印時應(yīng)盡量禁止以明文形式在網(wǎng)絡(luò)中傳輸給網(wǎng)絡(luò)打印機(jī)；刻錄控制應(yīng)對商業(yè)秘密文檔的刻錄行為進(jìn)行授權(quán)控制；應(yīng)對商業(yè)秘密文檔的刻錄人、刻錄時間、刻錄文件名等行為進(jìn)行記錄和審計；商業(yè)秘密文檔的刻錄光盤盤面應(yīng)提供刻錄流水號便于識別和審計；核心商密保護(hù)還應(yīng)符合：核心商密文檔的刻錄需經(jīng)過審批授權(quán)，并對刻錄的數(shù)據(jù)做集中式留檔審計；應(yīng)對核心商密文檔的刻錄機(jī)型號、光盤型號、刻錄流水號等進(jìn)行記錄，實(shí)現(xiàn)核心商密文檔刻錄光盤的回收管理和閉環(huán)審計；核心商密數(shù)據(jù)在刻錄時應(yīng)盡量禁止以明文形式在網(wǎng)絡(luò)中傳輸給網(wǎng)絡(luò)刻錄機(jī)；商業(yè)秘密安全保護(hù)監(jiān)測與審計商業(yè)秘密安全保護(hù)監(jiān)測應(yīng)通過相關(guān)技術(shù)完善定密管理流程，防止出現(xiàn)未定密、漏定密以及定密不準(zhǔn)的事件，對違規(guī)行為及時報