涉密信息系統(tǒng)的分級保護方案設計

1、涉密信息系統(tǒng)的分級保護方案設計涉密信息系統(tǒng)的分級保護方案設計馬朝斌12杜虹1國家保密技術研究所1北京工業(yè)大學計算機學院2摘要：方案設計是涉及國家秘密的信息系統(tǒng)(以下簡稱涉密信息系統(tǒng))分級保護工作的重要環(huán)節(jié)，直接關系到涉密信息系統(tǒng)是否符合分級保護的技術要求和管理規(guī)范，關系到方案實施后能否通過測評與審批。本文在介紹國家保密標準BMB23—2008《涉及國家秘密的信息系統(tǒng)分級保護方案設計指南》的基礎上，對涉密信息系統(tǒng)分級保護方案設計中的常見問

2、題進行了討論，并提出了相應的建議。關鍵詞：涉密信息系統(tǒng)分級保護方案設計1引言2003年9月，中共中央辦公廳、國務院辦公廳轉發(fā)的《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號)提出了實行信息安全等級保護的要求。2004年12月，中共中央保密委員會《關于加強信息安全保障工作中保密管理的若干意見》(中保委發(fā)[2004]7號)提出要建立和完善涉密信息系統(tǒng)的分級保護制度，實現(xiàn)對不同等級的涉密信息系統(tǒng)進行分級保護。為

3、了貫徹落實中辦發(fā)[2003]27號和中保委發(fā)[2004]7號文件的要求，國家保密局組織制定并頒布實施了一系列關于涉密信息系統(tǒng)分級保護的法規(guī)與標準，包括2005年發(fā)布的《涉及國家秘密的信息系統(tǒng)分級保護管理辦法》(國保發(fā)[2005]16號)、2006年發(fā)布的國家保密標準BMBl7—2006《涉及國家秘密的信息系統(tǒng)分級保護技術要求》、2007年發(fā)布的國家保密標準BMB20—2007《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》與BMB22—200

4、7《涉及國家秘密的信息系統(tǒng)分級保護測評指南》，以及2008年5月發(fā)布的國家保密標準BMB23—2008《涉及國家秘密的信息系統(tǒng)分級保護方案設計指南》。自此，我國關于涉密信息系統(tǒng)分級保護的法規(guī)與標準體系基本建立。59涉密信息系統(tǒng)的分級保護方案設計續(xù)表《分級保護方案設計指南》的內容BMZ2—2001的內容安全保密技術和措施方案詳細設計(涵蓋BMZ2—2001相關內容安全保密產(chǎn)品的選型原則的同時，依據(jù)BMBl7和BMB20進行了細化安全保密產(chǎn)

5、品、設施選型和依據(jù)和完善)安全保密系統(tǒng)配置方案安全保密管理殘留風險控制實施計劃安全保密建設的實施計劃經(jīng)費概算安全保密系統(tǒng)的經(jīng)費概算相關附件22以BMBl7—2006和BMB20—2007為依據(jù)國家保密標準BMBl7—2006《涉及國家秘密的信息系統(tǒng)分級保護技術要求》規(guī)定了涉密信息系統(tǒng)等級劃分準則和相應等級的安全保密技術要求。BMB20—2007《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》規(guī)定了涉密信息系統(tǒng)分級保護的管理過程、管理內容和管理

6、要求。這兩個標準分別從技術和管理兩個方面提出了涉密信息系統(tǒng)的分級保護要求。因此，國家保密標準BMB23—2008應以BMBl7—2006和BMB20—2007為設計依據(jù)，針對不同密級的信息系統(tǒng)采取不同強度的技術和管理措施，提出科學、合理的保護方案，以確保按照方案實施后的涉密信息系統(tǒng)能夠符合BMBl7—2006和BMB20—2007的相關要求。23緊密結合涉密信息系統(tǒng)安全保密方案設計的實踐最近幾年，各涉密信息系統(tǒng)集成資質單位依據(jù)國家保密標