Conocimientos de seguridad del sistema de redes informáticas
Derecho (√) Capítulo 1 Disposiciones Generales Artículo 1 Con el fin de proteger la seguridad de los secretos de Estado procesados por los sistemas de información informáticos, de conformidad con la "Ley de la República Popular de China sobre la protección de secretos de Estado", "Reglamento de China sobre la protección de la seguridad de los sistemas de información informática de la República Popular China", estos reglamentos se formulan en función de la situación real de nuestra región.
Artículo 2 El presente reglamento se aplica a los sistemas de información informática que recopilen, procesen, almacenen, procesen, transmitan, generen y utilicen información secreta de estado dentro del área administrativa de esta región autónoma (en adelante, informática confidencial sistemas de información). Artículo 3 La Oficina del Secreto de Estado de la Región Autónoma será responsable de las labores de seguridad de los sistemas de información informática confidencial en toda la Región.
Cada departamento de seguridad de la oficina administrativa, ciudad, condado (distrito) es responsable de la gestión de seguridad de los sistemas de información informática locales. Las agencias, empresas e instituciones estatales y las agencias de confidencialidad de todos los niveles son responsables de la confidencialidad de los sistemas de información informática confidencial de sus propios sistemas, departamentos y unidades.
Artículo 4 Se implantará un sistema de solicitud y aprobación de los sistemas de información informática confidencial. El uso de sistemas de información informática confidencial por parte de agencias, empresas e instituciones estatales afiliadas a la región autónoma será informado a la Oficina de Seguridad del Estado de la región autónoma para su revisión y aprobación por la agencia de confidencialidad de la unidad.
El uso de sistemas de información informática confidencial por parte de agencias estatales, empresas e instituciones afiliadas a diversas oficinas administrativas, ciudades, condados (distritos) será informado por el departamento de confidencialidad de la unidad al departamento de confidencialidad local en el mismo nivel para su aprobación, y reportado a la Oficina de Seguridad del Estado de la región autónoma para su registro. Artículo 5 No se pondrán en funcionamiento los sistemas de información informática confidencial que no hayan sido declarados y homologados.
Los sistemas de información informática que no hayan sido declarados y aprobados no deben implicar secretos de estado. Capítulo 2 Gestión de la seguridad del hardware Artículo 6 Al construir un nuevo sistema de información informática confidencial, las precauciones de gestión de la seguridad y tecnología de seguridad deben planificarse e implementarse simultáneamente.
Los sistemas de información informática confidencial que hayan sido completados y puestos en uso deberán mejorar la gestión de seguridad y las medidas de prevención de tecnologías de seguridad, y pasar por los procedimientos de solicitud y aprobación de acuerdo con esta normativa. Artículo 7 El hardware, el equipo y la ubicación de los sistemas de información informática confidencial deben cumplir los siguientes requisitos: (1) La selección del sitio de la sala de informática deberá mantener una distancia segura correspondiente de las residencias de las instituciones y el personal extranjeros de acuerdo con las regulaciones nacionales pertinentes. y se basará en la naturaleza de la información que se procesa. Establecerá las áreas de control necesarias según la densidad y la normativa pertinente.
No se permite el ingreso a nadie sin la aprobación de los organismos de seguridad. (2) Se deben seleccionar modelos nacionales tanto como sea posible; cuando se deban utilizar computadoras extranjeras, el departamento de seguridad local debe verificar el desempeño de seguridad al mismo nivel antes de la instalación y puesta en servicio.
(3) Se deben tomar medidas de protección de seguridad para evitar la fuga de información electromagnética. (4) Los diversos equipos y medidas técnicas de seguridad utilizados en los sistemas de información informática deben ser aprobados por la Oficina de Seguridad del Estado.
(5) Otros requisitos de seguridad física deben cumplir con los estándares nacionales de confidencialidad pertinentes. Artículo 8 Si es necesario actualizar, alquilar o vender equipos de hardware del sistema de información informática confidencial, el equipo de hardware debe tratarse con técnicas de confidencialidad y se debe confirmar que no hay información secreta de estado en el sistema, y solo puede ser se llevará a cabo previa aprobación de la agencia de confidencialidad del departamento competente.
Capítulo 3 Gestión de la seguridad del software Artículo 9 Si la información y los asuntos procesados por los sistemas de información informática confidenciales no han sido clasificados de acuerdo con los procedimientos legales, su clasificación y período de confidencialidad se determinarán de acuerdo con las regulaciones nacionales pertinentes. Artículo 10 Una vez determinado el nivel de confidencialidad y el período de confidencialidad de la información secreta de Estado y los asuntos involucrados en los sistemas de información informática clasificada, se tomarán las siguientes medidas de confidencialidad: (1) Marcar la marca del nivel de confidencialidad correspondiente, que no se puede separar del texto principal. .
(2) Los medios informáticos deben estar marcados con el nivel de seguridad más alto de la información almacenada. (3) Debe gestionarse según los documentos confidenciales correspondientes.
Artículo 11 La información secreta de Estado ultrasecreta no podrá introducirse en los sistemas de información informática confidencial sin la aprobación de la Oficina de Seguridad del Estado de la región autónoma. Artículo 12 Para diversos programas que involucran información secreta de estado en sistemas de información informática confidencial, se deben establecer medidas de seguridad del programa en la construcción, recuperación, modificación, impresión, etc. de la base de datos, y las medidas de seguridad deben administrarse de acuerdo con el nivel más alto de seguridad del secreto. información que se está procesando.
Artículo 13 Un sistema de información informática confidencial no manejará negocios no relacionados con el negocio del sistema si es necesario realizar otros negocios debido a circunstancias especiales, el departamento de confidencialidad del departamento competente informará al; departamento de confidencialidad local al mismo nivel para su aprobación. Artículo 14 Los medios informáticos que almacenen información secreta de estado deberán cumplir con los siguientes aspectos: (1) No se reducirá el uso de los medios informáticos (2) Cuando ya no se utilicen y soliciten su eliminación, se informará al departamento de confidencialidad; en el mismo nivel para el registro, y una vez aprobado, se clasificará como confidencial. Destruir según lo requiera el departamento. (3) Cuando se requiera mantenimiento, se debe garantizar que la información secreta de estado almacenada no se filtre;
Artículo 15 Los programas informáticos que involucren sistemas de información informática confidencial no se divulgarán para intercambios académicos ni se publicarán públicamente. Artículo 16 Durante el proceso de funcionamiento de los sistemas de información informática confidencial, todo tipo de papel usado debe destruirse oportunamente mediante una trituradora.
Artículo 17. Los documentos impresos mediante sistemas de información informática confidencial y marcados con una marca de nivel de confidencialidad se gestionarán de acuerdo con los documentos del nivel de confidencialidad correspondiente. Capítulo 4 Gestión de la seguridad de la red Artículo 18 Se adoptarán medidas técnicas tales como control de acceso al sistema, protección de datos y supervisión y gestión de la seguridad del sistema para la conexión en red de sistemas de información informática confidencial.
Artículo 19 El acceso a los sistemas de información confidencial de las redes informáticas se controlará de acuerdo con la autoridad y no se operará sin autorización. No se permite la conexión a Internet de bases de datos que no hayan adoptado medidas técnicas de seguridad y confidencialidad.
Artículo 20: Los sistemas de información informática confidenciales no estarán conectados directa o indirectamente a instituciones extranjeras, instituciones extranjeras en China y redes informáticas internacionales. Artículo 21 Los sistemas de información informática que se hayan conectado a redes informáticas internacionales deben establecer un estricto sistema de gestión de seguridad; la agencia de trabajo de seguridad de la unidad en red debe designar una persona dedicada a realizar inspecciones de seguridad de la información en línea.
La información secreta de Estado no se almacenará, procesará ni transmitirá en sistemas de información informáticos conectados en red internacional. Capítulo 5 Gestión de la seguridad del sistema Artículo 22 La gestión de la seguridad de los sistemas de información informática confidencial implementará un sistema de responsabilidad de liderazgo. El líder de la unidad que utiliza el sistema será responsable del trabajo de seguridad de los sistemas de información informática confidencial de la unidad y designará las instituciones y el personal pertinentes. ser responsable de responsabilidades específicas.
Artículo 23 La agencia de seguridad de la unidad ayudará al líder de la unidad a orientar, coordinar, supervisar e inspeccionar el trabajo de seguridad de los sistemas de información informática confidencial. Artículo 24 Los usuarios de sistemas de información informática confidencial formularán los sistemas de gestión correspondientes en función del nivel de confidencialidad y la importancia de la información procesada por el sistema.
Artículo 25: Los departamentos de seguridad a nivel de condado o superior, de conformidad con las leyes y normas nacionales pertinentes, llevarán a cabo periódicamente medidas de seguridad e inspecciones técnicas de seguridad de los sistemas de información informática confidencial bajo la jurisdicción de sus propias regiones y departamentos.
2. Tecnología de seguridad para impedir el contenido de sentido común
Tecnología de seguridad para impedir el sentido común:
1. No conecte ordenadores ni redes confidenciales a Internet o otras redes de información pública.
2. No se permite el uso cruzado de medios de almacenamiento extraíbles, como discos flash USB, entre computadoras confidenciales y computadoras no confidenciales.
3. Los datos de Internet y otras redes de información pública no se copiarán a ordenadores y redes confidenciales que no hayan tomado medidas de protección.
4. No establezca contraseñas para computadoras confidenciales en violación de las regulaciones.
5. No está permitido instalar software ni copiar archivos de otras personas en computadoras confidenciales sin autorización.
6. Los periféricos inalámbricos no se pueden utilizar con ordenadores clasificados.
7. Las computadoras confidenciales y los medios de almacenamiento móvil no se enviarán a través de canales de correo ordinario ni se entregarán ilegalmente a otros para su uso y almacenamiento.
8. No saque computadoras portátiles confidenciales ni medios de almacenamiento extraíbles sin autorización.
9. No se podrán entregar a personal externo para su mantenimiento ordenadores, medios de almacenamiento extraíbles, máquinas de fax, fotocopiadoras y otros equipos ofimáticos que manejen información confidencial.
10. No venda, regale ni deseche ordenadores confidenciales y otros equipos de ofimática sin ventas profesionales.
11. No utilice líneas telefónicas comunes para conectar computadoras todo en uno que manejan información confidencial.
12. No se equiparán ni instalarán dispositivos de entrada de vídeo y audio en ordenadores conectados a Internet en lugares confidenciales.
13. No lleves teléfonos móviles a lugares importantes y confidenciales.
14. No almacenar ni procesar información confidencial en ordenadores conectados a Internet y otras redes públicas de información.
15. No almacenar ni procesar información confidencial en redes de oficinas no confidenciales.
16. No se publicará información confidencial en el portal * * *.
17. No se permite el uso de computadoras con capacidad de interconexión inalámbrica para procesar información confidencial.
18. No se utilizarán computadoras personales ni medios de almacenamiento extraíbles para almacenar o procesar información confidencial.
19. Los equipos de automatización de oficinas que no hayan sido probados con tecnología de seguridad no se utilizarán en departamentos y ubicaciones clave relacionados con el secreto.
20. No utilice máquinas de fax, teléfonos y teléfonos móviles comunes para transmitir o discutir información confidencial.
3. Seguridad y confidencialidad informática
El propósito de la protección de seguridad del sistema de red informática es proteger la información sensible, la información secreta y los datos importantes, así como los recursos de la computadora/red.
La seguridad del sistema debe lograr tres objetivos:
●Confidencialidad: la información y los recursos no pueden filtrarse a usuarios o procesos no autorizados.
●Integridad: Garantizar que la información y los recursos no sean modificados ni utilizados por usuarios o procesos no autorizados.
●Disponibilidad: Garantizar que la información y los recursos se utilicen cuando los usuarios o procesos autorizados lo requieran.
La tarea se puede decir así: garantizar que la información y los recursos no puedan filtrarse a usuarios o procesos no autorizados y, al mismo tiempo, garantizar que la información y los recursos no puedan ser modificados ni utilizados por usuarios o procesos no autorizados. y garantizar que la información y los recursos puedan utilizarse cuando estén autorizados. Utilizados cuando lo requiera el usuario o el proceso.
Parece que esta explicación todavía es un poco descabellada
4. ¿Cómo hacer un buen trabajo en seguridad y confidencialidad de la red?
(1) Fortalecer el liderazgo organizacional y mejorar la conciencia de confidencialidad. El primero es fortalecer el liderazgo y enriquecer el equipo de talento confidencial. Los líderes de todos los niveles siempre deben adherirse al concepto de "nada es trivial en el trabajo confidencial", dar el ejemplo, tomar la iniciativa en dar el ejemplo y fortalecer la formación de equipos. Es necesario llevar a cabo capacitación profesional en tecnología de la información de manera regular para mejorar la calidad profesional y el nivel del personal de seguridad y cultivar un equipo de trabajo de seguridad de tiempo completo con una estructura razonable, excelentes habilidades y una especialidad y múltiples habilidades. El segundo es mejorar el sistema e implementar las responsabilidades laborales del personal. Para el uso y mantenimiento de computadoras, medios de almacenamiento, archivos y computadoras confidenciales en la red de seguridad pública, es necesario implementar la gestión del personal asignado y las responsabilidades asignadas, apegarse a los principios de "quién manda, quién es responsable". y "quién lo usa, quién es responsable", y aclara todos los niveles Responsabilidad de confidencialidad, los certificados de responsabilidad de confidencialidad se firman paso a paso para crear una atmósfera sólida de "todos respetan la confidencialidad y todos son responsables". El tercero es promover la educación y mejorar la concienciación sobre la confidencialidad. A través del aprendizaje organizado de las leyes y regulaciones de confidencialidad y el conocimiento de seguridad informática, podemos mejorar aún más la conciencia de prevención del personal confidencial y reducir los malentendidos y los puntos ciegos.
(2) Resaltar los puntos clave y hacer un buen trabajo en la gestión de la seguridad. El primero es prevenir y gestionar activamente las partes clave. Es necesario comenzar por mejorar las capacidades internas de prevención de la confidencialidad, y de acuerdo con los principios de prevención activa y resaltar los puntos clave, determinar el grado de confidencialidad y las medidas de confidencialidad específicas de acuerdo con las características y alcance del trabajo de cada unidad y departamento, y llevar a cabo evaluaciones de riesgos. El segundo es poner a las personas en primer lugar y fortalecer la gestión del personal confidencial. Gestionar archivos confidenciales, comunicaciones y otro personal involucrado en trabajos de confidencialidad, y realizar revisiones políticas periódicas para evitar que personas con pensamientos impuros, posiciones inestables o defectos de carácter dominen información secreta, y construir una base sólida para el trabajo de confidencialidad ideológicamente y desde la fuente. Línea de defensa. En tercer lugar, estándares estrictos y gestión unificada de proyectos clave. Gestionar estrictamente los diversos tipos de medios de almacenamiento móviles, computadoras y otros equipos, numerarlos uniformemente, verificar cuidadosamente la información relevante para su registro y archivo e implementar normas de gestión para el uso de diversos tipos de equipos. Está estrictamente prohibido sacar de la oficina o utilizar medios extraíbles que almacenen información confidencial sin aprobación en computadoras conectadas a Internet. Al mismo tiempo, centrarse en el uso y la gestión de dispositivos terminales móviles de Internet, como los teléfonos inteligentes, e introducir rápidamente nuevas medidas para evitar filtraciones. Cuarto, auditar a este nivel y gestionar bien la información confidencial. El envío de trabajos comerciales o eventos relacionados a los medios de comunicación debe estar sujeto a revisión interna y aprobación previa para evitar que se publique contenido confidencial en línea.
(3) Prestar atención a la construcción del estilo de trabajo y mejorar el mecanismo de confidencialidad a largo plazo. Primero, aumentar la inversión y mejorar la construcción de infraestructura. Aumentar la inversión en "hardware", insistir en gastar dinero sobre la base de la confidencialidad, garantizar que el equipo esté en su lugar, invertir los recursos humanos, materiales y financieros necesarios en la construcción de infraestructura y equipar lugares clave como salas confidenciales, salas confidenciales y archivos. con equipos de alta calidad, gabinetes confidenciales y sistemas de alarma altamente sensibles, y compre herramientas especiales de inspección de seguridad y software de protección. En el caso de computadoras confidenciales que tengan problemas, se debe contratar personal especial para revisarlas y repararlas oportunamente, de modo que el personal especial sea responsable de mantener el equipo funcionando con normalidad y eficiencia y poner fin resueltamente a las fugas causadas por una infraestructura inadecuada. El segundo es centrarse en el nivel de base y fortalecer la orientación y la asistencia. En vista de la falta de conocimiento sobre la seguridad y la confidencialidad de la red entre parte del personal de base, se puede establecer un grupo de asistencia especial y se puede asignar personal designado para llevar a cabo capacitación individual para los oficiales de seguridad de base. Fortalecimiento de la educación sobre seguridad y confidencialidad. La mejora del conocimiento de las redes informáticas y la tecnología de defensa son contenidos importantes. De acuerdo con los requisitos unificados, se debe guiar a las unidades de base para que utilicen aviones y personal dedicados para la gestión, y establecer regulaciones claras sobre a qué información se puede acceder en línea y a qué información no se puede acceder en línea. El tercero es recompensar y castigar estrictamente a las personas y construir un fuerte cordón de seguridad. Muchos peligros y accidentes ocultos se deben en gran medida a la falta de mecanismos confidenciales de supervisión y castigo. Cada unidad debe establecer un sistema de evaluación del desempeño para el trabajo de confidencialidad vinculado a la evaluación cuantitativa del personal y la promoción de rango, proporcionar recompensas espirituales y materiales a las unidades e individuos que se desempeñen bien en el trabajo de confidencialidad e imponer sanciones a quienes violen las disciplinas, reglas y regulaciones de confidencialidad.
En particular, aquellos que pierden la confidencialidad debido a operaciones ilegales deben ser castigados resueltamente hasta que se investigue la responsabilidad penal y se debe establecer una "línea de alerta" para el trabajo de confidencialidad. Cuarto, fortalecer la supervisión e implementar los problemas existentes. Todas las unidades deben aumentar la supervisión e inspección del trabajo de confidencialidad, resaltar las inspecciones irregulares de la gestión diaria y las inspecciones especiales en días festivos importantes o tareas importantes, y lograr inspecciones periódicas del orden de confidencialidad, inspecciones periódicas de piezas clave, inspecciones oportunas en temporadas sensibles y seguimiento de Principales peligros ocultos. Verifique, bloquee oportunamente y elimine los peligros ocultos. En respuesta a los peligros y señales ocultos identificados, se debe organizar al personal relevante para encontrar cuidadosamente las causas fundamentales, investigar las causas, indagar sobre las responsabilidades y mejorar el sentido de urgencia y responsabilidad del trabajo de seguridad.