如果说计算机是信息的"大脑",那么打印机、扫描仪、移动硬盘这些外部设备就是信息的"手和脚"。在保密管理中,这些设备同样需要被认真对待。今天我们来梳理计算机及其外部设备的保密管理要求。
第一条,也是基本前提:严格区分涉密信息设备与非涉密信息设备。个人计算机及外部设备不得用于存储、处理涉密信息。你家里的笔记本电脑无论配置多高,都不能拿来处理单位的涉密文件。这不是小题大做,而是因为非涉密设备不具备涉密设备的安全防护措施和安全运行环境。
第二条,涉密信息设备应当统一采购、登记、标识、配备,机关单位应当明确涉密信息设备的使用管理责任人。每一台涉密设备都要有"主人",这个主人要对设备的安全负责。
第三条讲的是采购原则。采购用于存储、处理国家秘密的信息设备,应当优先选用国产设备。确需选用进口设备的,应当进行详细调查和论证,不得选用国家保密行政管理部门明确禁用的设备或部件。采购安全保密产品应当选用经过国家保密行政管理部门授权检测机构检测、符合国家保密标准要求的产品。计算机病毒防护产品应当选用公安机关批准的国产产品,密码产品应当选用国家密码管理部门批准的产品。这条要求背后的考虑是供应链安全——你不知道进口设备在制造环节有没有被植入后门。
第四条,涉密信息设备的使用和保管场所应当安全可靠。便携式涉密信息设备应当保存在保密柜中。涉密笔记本电脑不能随手放在办公桌上过夜,必须锁进保密柜。
第五条,涉密计算机应当采取符合国家保密标准要求的身份鉴别、访问授权、违规外联监控、移动存储介质使用管控等安全保密措施。这些措施相互配合,形成纵深防护。
第六条到第十一条涉及设备生命周期中的各种变更场景:变更使用部门、密级、责任人需要经过批准并做信息消除;人员离职离岗要收回设备并取消权限;携带外出需要审批登记并采取保护措施;维修应在本单位内部进行,送外维修须拆除涉密存储部件;设备改作非涉密或淘汰处理时须拆除涉密存储部件并交指定单位销毁。
问:什么是违规外联监控?
答:是指在涉密计算机上安装监控软件,一旦检测到计算机通过任何方式连接了互联网或非涉密网络,立即报警并阻断连接。这是防止涉密计算机违规上网的重要技术手段。
问:送外维修时拆除的涉密存储部件怎么处理?
答:拆除下来的涉密硬盘等存储部件仍属于涉密载体,需要按涉密载体管理要求妥善保管,或直接送交销毁机构销毁。不能因为"拆下来了"就当作普通硬盘处理。
问:涉密打印机和普通打印机需要分开吗?
答:原则上涉密打印机应当独立使用,不与非涉密计算机共享。涉密打印输出的材料应按相应密级管理,废页要及时粉碎销毁。
北京企密安信息安全技术有限公司在服务客户时经常讲一句话:设备管理无小事。一台打印机、一个扫描仪、一个路由器,看似不起眼,但如果管理不到位,它们都可能成为泄密的通道。十一条规范看起来多,其实核心就一句话:涉密设备从生到死,每一步都要有人负责、有记录可查。
