所谓网络保密防护界限,是指网络保密防护的终极目标。所有网络保密防护措施,最终都要指向这一终极目标。党政机关计算机网络一般有四种类型:用于存储、处理、传输涉密信息的电子政务内网;用于面向公众或特定群体服务的电子政务外网;用于存储、处理、传输工作秘密信息和敏感信息的内部办公网;用于搜集信息、浏览信息、通信交往、使用公共服务资源的互联网局域网。不连接网络的计算机有涉密计算机单机、内部办公计算机单机两种。不同性质的网络,有着明确的保密防护界限。
(一)电子政务内网使用中的保密防护界限
电子政务内网是党政机关最核心的网络,也是党政机关涉密事项运行的中枢,是保密防护的重中之重。电子政务内网的保密防护界限主要有四个基准点:一是网络之外任何信息设备和电磁存储设备都无法以任何形式访问;二是网络内涉密文件未经授权访问任何人员都无法以任何方式访问;三是网络内任何信息设备和电磁存储设备都无法在非涉密网和其他涉密网络中使用;四是网络内任何涉密信息导出都必须经过必要性审查和批准。围绕上述界限目标的实现,电子政务内网使用中的保密防护主要有以下要求:
(1) 在阻断外部访问方面,一般采取与外部非涉密网络、非涉密信息设备、非涉密电磁存储设备物理隔离和边界安全防护措施;特殊情况下需要与非涉密网连接的,必须经国家保密行政管理部门审查并采用国家保密行政管理部门检测合格的安全隔离与信息交换设备。
(2) 在阻断网络内部非法越权访问方面,采取身份鉴别、访问控制、安全审计等管控措施。
(3) 在阻断网络内信息设备和电磁存储设备擅自连接其他网络方面,采取网络设备违规外连监测、阻断、报警等技术管控措施;禁止在网络设备和网络终端设备上使用无线网卡、无线鼠标、无线键盘。
(4) 在阻断涉密信息非法流转方面,采取信息流转管控、安全审计等措施。
(二)电子政务外网使用中的保密防护界限
电子政务外网是党政机关信息公开、社会服务和社会管理的窗口,也是党政机关公开事务运行的中枢。近年来,党政机关门户网站由于信息公开不当造成的泄密案件居高不下,保密防护的任务十分艰巨。电子政务外网的保密防护界限主要有两个基准点:一是网络中使用的任何信息设备和移动存储设备都不得存储、处理和传输国家秘密、工作秘密和其他敏感信息;二是网络中的各类网站、网页和专用服务界面不得刊载国家秘密、工作秘密和其他敏感信息。围绕上述界限目标的实现,电子政务外网使用中的保密防护主要突出以下几个方面:
(1) 在禁绝国家秘密、工作秘密和其他敏感信息在网络内运行方面,采取与电子政务内网、内部办公网完全物理隔离措施;建立网络信息监管制度,加强监督检查,发现网络中有涉密信息或不宜公开的敏感信息,应及时采取措施清除并杜绝后患;系统接收的信息数据导入电子政务内网或内部办公网必须采取符合国家保密标准的单向导入或安全交换设备。
(2) 在禁绝信息公开泄密问题发生方面,实行信息公开保密审查制度,采取信息公开审查流程与外网隔离措施,部署党政机关门户网站涉密信息检查监测设备。
(3) 在终端设备管控方面,在网络终端设备显著位置标注禁止处理涉密信息的标志;对放置在涉密场所或者旁边有涉密计算机的电子政务外网计算机,采取禁止安装音频视频等智能设备的措施,消除窃听、窃照和“跳板攻击”隐患。
(三)内部办公网使用中的保密防护界限
内部办公网是党政机关内部工作流程的主要承载体,是工作秘密和敏感信息运行的中枢,也是保密防护的重点。内部办公网的保密防护界限主要有四个基准点:一是网络中使用的任何信息设备和移动存储设备不得存储、处理和传输国家秘密;二是网络之外任何信息设备和电磁存储设备都无法以任何形式对网络进行访问;三是网络内任何受保护的文件未经授权访问人员都无法以任何方式访问;四是网络内任何信息设备和电磁存储设备都无法在互联网及其他公共网络中使用。围绕上述界限目标的实现,内部办公网使用中的保密防护主要有以下要求:
(1) 在防止网络中运行国家秘密方面,采取涉及国家秘密信息实时检查监控技术措施;对网内信息汇聚后可能涉及国家秘密的,及时将信息单向导入到涉密网或者涉密信息设备,并清除网络中的相关信息。
(2) 在防止外部访问方面,采取与互联网及其他公共网络物理隔离措施;参照秘密级涉密网的技术标准和管理要求,配备网络边界防护设备和非法用户入侵报警系统;与电子政务内网、电子政务外网、互联网之间的数据交换,采取符合国家保密标准的信息单向导入或数据安全交换设备。
在防止网络内部非法越权访问方面,采取身份鉴别、访问控制、安全审计等管控措施。
(3) 在防止网络内信息设备和电磁存储设备擅自连接互联网及其他公共网络方面,采取网络设备和电磁存储设备违规外连监测、阻断、报警等技术管控措施。
(四)互联网局域网使用中的保密防护界限
互联网局域网是机关、单位建立的对上互联网计算机进行统一管理的相对独立的网络,是机关、单位辅助办公设施。鉴于互联网泄密案件频发的态势,互联网局域网的保密防护管理显得十分重要。互联网局域网的保密防护界限只有一个基准点,就是禁止网络内任何信息设备和移动存储设备存储、处理、传输国家秘密信息、工作秘密信息和敏感信息。围绕上述界限目标的实现,互联网局域网使用中的保密防护主要有以下要求:
(1) 在互联网接入口管控方面,原则上要求省级以下党政机关实行互联网集中一个口接入,中央国家机关各部门互联网接入口不超过两个。
(2) 在输出信息管控方面,部署互联网接入口涉密信息检测设备,及时发现和处置泄密问题。
(3) 在防止涉密信息上网方面,采取与电子政务内网、内部办公网完全物理隔离措施;建立网络信息监管制度,加强监督检查,发现网络设备和终端设备中有涉密信息或不宜公开的敏感信息,应及时采取措施清除并杜绝后患;部署互联网计算机涉密文档实时监测等技术措施,及时发现和阻断违规泄密行为,清除涉密信息;在网络终端设备显著位置标注禁止处理国家秘密信息、工作秘密信息和敏感信息的标志。
(4) 在终端设备管控方面,对处在涉密场所的、或者旁边有涉密计算机的互联网计算机,采取禁止安装音频视频等智能设备、禁止安装使用具有无线收发功能的智能设备等措施,消除窃听、窃照、“跳板攻击”窃密和电磁泄漏泄密等隐患。
