国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

民營企業(yè)涉密軟件研發(fā)保密管理體系研究

2018-11-06 03:08:48成都中科合迅科技有限公司吳永宏
網(wǎng)信軍民融合 2018年10期
關(guān)鍵詞:保密信息安全體系

◎成都中科合迅科技有限公司 吳永宏

一、引言

在當(dāng)前復(fù)雜的國際環(huán)境下,強(qiáng)軍是強(qiáng)國的堅(jiān)實(shí)保障,軍民融合是強(qiáng)軍的必經(jīng)之路。民營企業(yè)建立涉密研發(fā)保密管理體系,要先自上而下樹立先進(jìn)的保密意識,從建立保密防線、構(gòu)建保密體系、做好保密工作、確保國家秘密安全的立意出發(fā);分析企業(yè)在管理模式、研發(fā)體系、業(yè)務(wù)流程以及保密技術(shù)防護(hù)、保密管控措施等方面存在的問題和不足;通過歸口部門落實(shí)保密管理措施,達(dá)到加強(qiáng)員工保密意識,約束日常行為,規(guī)范業(yè)務(wù)活動的目的。圖1為民營企業(yè)涉密研發(fā)保密管理體系的基本組成和建設(shè)依據(jù)。

涉密研發(fā)體系以確保涉密信息安全為核心,以信息安全技術(shù)服務(wù)為支持,通過安全技術(shù)規(guī)范和組織管理,聚合多種要素形成滿足涉密軟件研發(fā)的工作能力。該體系由涉密產(chǎn)品研發(fā)、技術(shù)配套服務(wù)、信息技術(shù)防范、技管并重保障、綜合工作能力以及研發(fā)標(biāo)準(zhǔn)規(guī)范等子體系組成,沒有順序關(guān)系、層次關(guān)系。

二、涉密產(chǎn)品研發(fā)體系

非涉密企業(yè)的研發(fā)體系建設(shè)主要從方便管理、利于實(shí)施和高效運(yùn)行等方面進(jìn)行設(shè)計(jì)。因?yàn)椴簧婕皣颐孛埽灾恍铦M足保護(hù)商業(yè)秘密的要求即可。涉密企業(yè)研發(fā)體系要求能夠保護(hù)國家秘密,因此在保密制度流程、防范手段和管理模式等方面必須嚴(yán)格按照《中華人民共和國保守國家秘密法》、《中華人民共和國保守國家秘密法實(shí)施條例》及《武器裝備科研生產(chǎn)單位保密標(biāo)準(zhǔn)》等法律法規(guī)的要求進(jìn)行規(guī)范設(shè)計(jì)。在制定涉密研發(fā)制度、規(guī)范和操作流程時,充分考慮到保護(hù)涉密信息安全,消除或降低失泄密風(fēng)險。

本章將對涉密研發(fā)企業(yè)在需求調(diào)研管理、設(shè)計(jì)規(guī)范管理、研發(fā)場所管理、交接流程管理、聯(lián)試調(diào)試管理、運(yùn)行維護(hù)管理6個方面的保密相關(guān)工作進(jìn)行闡述。

(一)需求調(diào)研管理

圖1 民營企業(yè)涉密研發(fā)體系框架

需求調(diào)研是軟件研發(fā)的基礎(chǔ)。調(diào)研內(nèi)容是否全面、清晰直接關(guān)系到軟件產(chǎn)品的研發(fā)質(zhì)量。在涉軍、涉密項(xiàng)目需求調(diào)研過程中,用戶需求往往被拆分為多個子項(xiàng),調(diào)研到的需求往往都不夠系統(tǒng)全面。如何在有限的條件下做好需求調(diào)研呢?建議進(jìn)行如下考慮:

1、選派業(yè)務(wù)工作經(jīng)驗(yàn)豐富、保密意識強(qiáng)、保密能力強(qiáng)的研發(fā)人員。

2、在沒有超出資質(zhì)、合同密級的情況下,多了解軟件使用場景。

3、對超出資質(zhì)、合同密級的模塊、數(shù)據(jù),要與客戶商定接口方式及參數(shù)。

4、了解第三方軟硬件模塊的對外接口,進(jìn)行仿真模擬測試設(shè)計(jì)。

5、對涉及的硬件設(shè)備進(jìn)行接口類型、通信協(xié)議、性能參數(shù)的調(diào)研。

6、了解項(xiàng)目最終的交付材料的文檔模板和驗(yàn)收標(biāo)準(zhǔn)。

(二)設(shè)計(jì)規(guī)范管理

加強(qiáng)涉密軟件的數(shù)據(jù)保護(hù)設(shè)計(jì),確保當(dāng)系統(tǒng)受到網(wǎng)絡(luò)攻擊、病毒感染、異常操作時不出現(xiàn)數(shù)據(jù)被盜取、篡改、損壞的情況。在涉密軟件中通常還會加入三員管理、數(shù)據(jù)加密傳輸、存儲等安全性設(shè)計(jì)。企業(yè)可根據(jù)客戶的需求,在現(xiàn)有軟件架構(gòu)、代碼規(guī)范的基礎(chǔ)上進(jìn)行改造。

(三)研發(fā)場所管理

根據(jù)安全等保相關(guān)制度的要求,涉密研發(fā)企業(yè)的研發(fā)場所在設(shè)計(jì)和管理制度方面與普通軟件企業(yè)不同。要求企業(yè)制定符合等保規(guī)范的安全制度、風(fēng)險預(yù)案和操作規(guī)程。從物理安全防護(hù)、應(yīng)用系統(tǒng)訪問、數(shù)據(jù)存儲和傳輸以及研發(fā)人員活動等方面進(jìn)行管理,確保對涉密研發(fā)場所管理中突出重點(diǎn)、積極防范、嚴(yán)格標(biāo)準(zhǔn)并依法管理。對研發(fā)場所的建設(shè)和管理建議如下:

1、按照標(biāo)準(zhǔn)建設(shè)涉密開發(fā)場所,安裝視頻監(jiān)控、濾波電源、視頻干擾儀等安防設(shè)備。

2、拆除涉密計(jì)算機(jī)上的無線網(wǎng)卡、藍(lán)牙、攝像頭、麥克風(fēng)、光驅(qū)等存在失泄密風(fēng)險模塊,安裝三合一、主機(jī)審計(jì)、殺毒軟件等安全防護(hù)軟件。

3、在建設(shè)涉密信息系統(tǒng)條件不具備的情況下,可先行采用涉密單機(jī)模式開發(fā),雖然有些影響開發(fā)效率,但失泄密風(fēng)險也比較低。

4、規(guī)范涉密研發(fā)區(qū)域的人員進(jìn)出、數(shù)據(jù)拷貝、資料擺渡,留下相應(yīng)操作審批記錄,確保研發(fā)活動處在有效監(jiān)管之下。

5、加強(qiáng)對有泄密風(fēng)險設(shè)備的檢查,比如手機(jī)、相機(jī)、存儲卡等,履行嚴(yán)格的審批手續(xù)后方可帶入涉密研發(fā)場所。

(四)交接流程管理

歷史的經(jīng)驗(yàn)教訓(xùn)告訴我們,大量的失泄密事件發(fā)生在涉密載體交接過程之中。作為涉密項(xiàng)目的參與方,必須加強(qiáng)涉密交接過程管理。建立涉密載體攜帶外出管理制度,制定風(fēng)險防控預(yù)案。對涉密載體外出的審批流程、安全措施、責(zé)任人、出入場所、保管存放、交接手續(xù)等方面進(jìn)行規(guī)范要求,避免交接過程中出現(xiàn)失泄密事件。

(五)聯(lián)調(diào)聯(lián)試管理

軟件項(xiàng)目經(jīng)常到客戶指定的場所進(jìn)行聯(lián)調(diào)聯(lián)試,參與人員有客戶、第三合作方甚至是非密人員。相對涉密研發(fā)場所,聯(lián)調(diào)聯(lián)試階段的環(huán)境保密條件通常比較脆弱,失泄密風(fēng)險也較高,更需要做好保密工作。注意如下事項(xiàng):

1、管理好涉密載體,避免丟失涉密載體。

2、控制好設(shè)備訪問接口,按需打開端口,用完后及時關(guān)閉。

3、與其它涉密計(jì)算機(jī)互聯(lián)時,先進(jìn)行病毒、木馬查殺。

4、向客戶了解項(xiàng)目參與人員情況,嚴(yán)格控制閑雜人員出入。與其他人員溝通時,控制好涉密信息的知悉范圍,避免密從口出。

(六)運(yùn)行維護(hù)管理

涉軍、涉密研發(fā)項(xiàng)目的運(yùn)行維護(hù),多數(shù)涉及代碼缺陷修復(fù)或功能修改,運(yùn)維人員基本上是項(xiàng)目研發(fā)人員。由于涉密數(shù)據(jù)知悉范圍等原因,客戶發(fā)現(xiàn)的缺陷或新增的需求,很可能會因?yàn)樯婷艿燃壿^高而無法悉數(shù)提供給運(yùn)維人員。所以,在項(xiàng)目研發(fā)過程中,要多了解項(xiàng)目的應(yīng)用場景,以便進(jìn)行模擬或仿真測試,提高運(yùn)維工作的質(zhì)量和效率。

三、技術(shù)配套服務(wù)體系

技術(shù)配套服務(wù)體系,主要由技術(shù)檢查、風(fēng)險管理、系統(tǒng)評測、應(yīng)急響應(yīng)以及保密教育培訓(xùn)服務(wù)組成。其中風(fēng)險管理服務(wù)貫穿于整個涉密研發(fā)體系。

在研發(fā)體系和場所建設(shè)初期,企業(yè)聘請保密專家、專業(yè)人員對擬建方案進(jìn)行保密風(fēng)險評估,根據(jù)評估結(jié)果制定解決方案、預(yù)案;在研發(fā)過程中,詳細(xì)收集風(fēng)險控制數(shù)據(jù),經(jīng)常開展保密專項(xiàng)風(fēng)險評估工作,采取有效措施及時控制風(fēng)險;加強(qiáng)應(yīng)急響應(yīng)服務(wù)能力,有效應(yīng)對各類失泄密事件;通過保密教育培訓(xùn)等服務(wù)不斷提升員工法規(guī)知識和風(fēng)險防范意識,提高研發(fā)人員保密意識,確保整個涉密研發(fā)活動在“事前有準(zhǔn)備,事后有措施,事中有監(jiān)察”中進(jìn)行。信息安全的保密技術(shù)服務(wù)措施主要事項(xiàng)包括:

1、分析評估安全工作,了解自身安全性

通過對涉密人員、環(huán)境及設(shè)備進(jìn)行定期安全掃描、滲透測試、現(xiàn)場檢查、問卷調(diào)查等活動,分析評估出涉密研發(fā)過程中可能存在或面臨的威脅以及失泄密風(fēng)險點(diǎn)。制定風(fēng)險防控計(jì)劃,實(shí)施安全風(fēng)險防控。

2、對信息系統(tǒng)進(jìn)行安全加固,增加安全性

定期對涉密計(jì)算機(jī)操作系統(tǒng)、應(yīng)用軟件、網(wǎng)絡(luò)設(shè)備進(jìn)行安全修補(bǔ)、防護(hù)加固和優(yōu)化。使用正規(guī)渠道獲得最新安全補(bǔ)丁、病毒庫和修復(fù)建議,提升涉密信息系統(tǒng)防護(hù)能力。

3、部署專用安全系統(tǒng)設(shè)備提升安全保護(hù)等級

借助于業(yè)界成熟的安全技術(shù)和產(chǎn)品,提升涉密研發(fā)環(huán)境安全防護(hù)等級,常用的產(chǎn)品有:堡壘機(jī)、三合一、主機(jī)審計(jì)、NAS、防火墻、IDS、VPN、防病毒網(wǎng)關(guān)等。

4、加強(qiáng)安全保密教育培訓(xùn),增強(qiáng)保密意識

加強(qiáng)對涉密研發(fā)人員信息安全知識及防護(hù)技能的培訓(xùn),尤其是涉及信息安全技術(shù)和典型失泄密事件案例的教育,以提高涉密研發(fā)人員甄別風(fēng)險、防范入侵的能力。

5、制定應(yīng)急響應(yīng)預(yù)案,及時有效地處理失泄密事件

對涉密研發(fā)環(huán)境可能造成的安全影響進(jìn)行分析,找出涉密研發(fā)過程中的安全保密隱患;檢查非法入侵的來源、時間、方法;編寫失泄密事件情況分析、影響報(bào)告;制定整改計(jì)劃和保密安全整改方案等。

6、采用安全通告對竊密威脅提前預(yù)警

保持與上級和客戶保密主管部門的經(jīng)常性溝通,及時對企業(yè)保密緊急事件、失泄密典型案例、信息系統(tǒng)安全漏洞、最新保密防護(hù)技術(shù)進(jìn)行了解和學(xué)習(xí),對國家、軍隊(duì)的安全保密相關(guān)政策法規(guī)和安全標(biāo)準(zhǔn)等進(jìn)行通告、預(yù)警。

四、研發(fā)標(biāo)準(zhǔn)規(guī)范體系

信息安全保密的標(biāo)準(zhǔn)規(guī)范體系,由國家和軍隊(duì)的保密職能部門制定。為涉密研發(fā)企業(yè)在物理場所安全、電磁環(huán)境防護(hù)、計(jì)算機(jī)信息保護(hù)、網(wǎng)絡(luò)通信安全、數(shù)據(jù)處理及存儲方面的建設(shè)提供了指導(dǎo);涵蓋了數(shù)據(jù)信息的獲取、存儲、處理、傳輸、使用以及銷毀的整個生命周期;是參與涉密研發(fā)企業(yè)進(jìn)行信息安全保密解決方案設(shè)計(jì),提供安全保密服務(wù),檢查與查處失泄密事件的準(zhǔn)則和依據(jù)。涉密研發(fā)企業(yè)須根據(jù)本單位涉密研發(fā)等級,制定與之相適應(yīng)的、可操作的技術(shù)和管理標(biāo)準(zhǔn)。

涉密企業(yè)所遵循的研發(fā)體系質(zhì)量管理標(biāo)準(zhǔn)為《GJB9001C-2017》,它是基于ISO9000系列標(biāo)準(zhǔn)的國標(biāo)轉(zhuǎn)化版本,由中央軍委裝備發(fā)展部頒布,為承接武器裝備生產(chǎn)研制單位的整體研發(fā)質(zhì)量管理活動提供了標(biāo)準(zhǔn)化要求。對涉密研發(fā)企業(yè)在研發(fā)過程中如何開展質(zhì)量保證活動進(jìn)行了規(guī)定,規(guī)范了涉密企業(yè)論證、研制、生產(chǎn)、試驗(yàn)、維修活動的質(zhì)量保障行為。是企業(yè)制定研發(fā)體系時必須遵守的標(biāo)準(zhǔn)規(guī)范,也是企業(yè)參與涉密、涉軍研發(fā)的前提條件。

五、信息技術(shù)防范體系

由電磁防護(hù)、設(shè)備終端防護(hù)、通信安全、網(wǎng)絡(luò)安全和其他安全防護(hù)等關(guān)鍵技術(shù)組成了信息安全保密技術(shù)防范體系。搭建信息技術(shù)防范體系,為涉密研發(fā)體系構(gòu)建一道防火墻,保障企業(yè)的數(shù)據(jù)資產(chǎn)安全。涉密研發(fā)企業(yè)在資金到位以及技術(shù)可行的情況下,應(yīng)盡量采用最新的、先進(jìn)的技術(shù)防護(hù)手段,以更有效地抵御不斷出現(xiàn)的各種安全威脅。不斷地提高抵抗信息攻擊破壞的能力,以應(yīng)對可能出現(xiàn)的數(shù)據(jù)失泄密情況,從而保障數(shù)據(jù)信息的安全。

在建設(shè)涉密信息系統(tǒng)時采用一些最新的安全防護(hù)技術(shù),如:NAS、可信計(jì)算、內(nèi)網(wǎng)監(jiān)控、堡壘機(jī)、三合一等技術(shù)和設(shè)備,在一定程度上控制用戶對設(shè)備的使用,限制數(shù)據(jù)的知悉范圍,提高數(shù)據(jù)的正確性、可靠性和不可否認(rèn)性,以彌補(bǔ)傳統(tǒng)安全防護(hù)手段存在的不足。

六、技管并重保障體系

涉密企業(yè)研發(fā)管理體系要“技管并重,深度融合”。要從技術(shù)、制度、資產(chǎn)和風(fēng)險等方面,不斷地加強(qiáng)安全保密的管理力度,提升技術(shù)和安全保密管理水平。下面對常見的管理內(nèi)容進(jìn)行簡要描述:

技術(shù)管理:對失泄密隱患進(jìn)行技術(shù)檢查管理;對研發(fā)涉密場所、安全產(chǎn)品、信息系統(tǒng)進(jìn)行技術(shù)評測管理;對各種失泄密事件進(jìn)行技術(shù)取證管理。

制度管理:按照企業(yè)實(shí)際情況制定安全保密制度和規(guī)程,持續(xù)監(jiān)督檢查執(zhí)行情況。

資產(chǎn)管理:涉密人員管理;涉密資產(chǎn)備份與恢復(fù)管理;涉密研發(fā)場所、要害部位、計(jì)算機(jī)設(shè)備、軟件產(chǎn)品、通信設(shè)施和存儲設(shè)備管理。

風(fēng)險管理:識別保密安全風(fēng)險,對其進(jìn)行評估、控制和整改。

出于歷史習(xí)慣等原因,涉密研發(fā)企業(yè)的安全管理重心大多在保密技術(shù)和管理上,對保密風(fēng)險的識別、管理和控制投入不足。保密制度設(shè)計(jì)和資產(chǎn)管理等方面也較為忽視,導(dǎo)致保密制度不夠健全、資產(chǎn)標(biāo)識不夠清晰、風(fēng)險未能有效識別。全面提升信息安全保密管理水平,需要發(fā)揮各級人員的積極主動性,在信息安全保密工作方面做到主動防護(hù),而不是被動接受。

七、綜合工作能力體系

“保國家秘密安全,就是保企業(yè)自身發(fā)展”,要確保企業(yè)能夠長期在涉軍、涉密領(lǐng)域發(fā)展,企業(yè)必須以制度規(guī)范核心,將保密技術(shù)、管理制度與標(biāo)準(zhǔn)規(guī)范相結(jié)合,形成涉密研發(fā)企業(yè)保密工作的能力體系。使用標(biāo)準(zhǔn)化、流程化的手段持續(xù)改進(jìn)安全保密工作,不斷提升企業(yè)信息安全保密能力。

涉密研發(fā)企業(yè)的保密工作能力如同公司的質(zhì)量系統(tǒng)和管理能力一樣,是涉密研發(fā)企業(yè)生存和發(fā)展的必要條件。該能力體系既體現(xiàn)企業(yè)具有按保密標(biāo)準(zhǔn)要求開展研發(fā)能力,也反映出企業(yè)對安全保密工作的理解和支持是否清晰到位。具有該能力需要全面統(tǒng)籌公司的資源,自上而下全面建立起保密意識,嚴(yán)格遵照執(zhí)行保密制度流程。

按照保密歸口管理的要求,各業(yè)務(wù)部門制定相關(guān)業(yè)務(wù)的保密歸口管理細(xì)則,例如:

1、經(jīng)營部門:銷售業(yè)務(wù)拓展、需求采集、合同簽署及溝通交流等。

2、研發(fā)部門:研發(fā)過程中的需求調(diào)研、開發(fā)測試、配置管理、聯(lián)調(diào)聯(lián)試、交付評審、經(jīng)驗(yàn)總結(jié)、售后維護(hù)等。

3、運(yùn)維部門:涉密/非密信息化設(shè)施設(shè)備的管理與維護(hù)。

4、產(chǎn)品部門:產(chǎn)品設(shè)計(jì)、交流及推廣活動等。

5、商務(wù)部門:業(yè)務(wù)合同審批、歸檔及數(shù)據(jù)統(tǒng)計(jì)分析。

6、財(cái)務(wù)部門:業(yè)務(wù)合同金額、收付款情況等數(shù)據(jù)。

7、人力資源部門:人員招聘、入職、培訓(xùn)、考核、離崗等。

8、總經(jīng)辦:對合作交流、對外宣傳等。

八、結(jié)論

作為強(qiáng)國、強(qiáng)軍的國家戰(zhàn)略,“軍民融合”已經(jīng)不再只是一句口號,已經(jīng)實(shí)實(shí)在在涉及到軍隊(duì)、軍工科研院所和廣大民營企業(yè)。涉軍涉密業(yè)務(wù)已經(jīng)向廣大企業(yè)敞開了大門?!皩掃M(jìn)嚴(yán)出”,對具備條件和想進(jìn)入軍用軟件開發(fā)的企業(yè)都有很好的機(jī)會。

軍用標(biāo)準(zhǔn)就是高標(biāo)準(zhǔn),守住國家秘密也就守住了企業(yè)的生命線。涉密研發(fā)企業(yè)只有緊繃保密這根弦不放松,才能在這片廣闊的天地里取得更好的發(fā)展。不斷地提升涉密研發(fā)安全保密能力,在健全制度規(guī)范和增強(qiáng)技術(shù)能力上下功夫,提升相關(guān)參與者的能力水平和意識,盡最大的努力保護(hù)國家秘密的安全。確保了國家秘密的安全,才能確保企業(yè)的長期發(fā)展。

猜你喜歡
保密信息安全體系
多措并舉筑牢安全保密防線
中國石化(2022年5期)2022-06-10 06:39:32
《信息安全與通信保密》征稿函
構(gòu)建體系,舉一反三
保護(hù)信息安全要滴水不漏
高校信息安全防護(hù)
論中國共產(chǎn)黨的保密觀
保護(hù)個人信息安全刻不容緩
“曲線運(yùn)動”知識體系和方法指導(dǎo)
保密
小說月刊(2014年2期)2014-04-18 14:06:42
信息安全
江蘇年鑒(2014年0期)2014-03-11 17:10:07
白银市| 高安市| 达尔| 南和县| 麟游县| 大渡口区| 星子县| 静宁县| 凌云县| 怀远县| 大同县| 定结县| 卢氏县| 谢通门县| 偃师市| 那曲县| 武城县| 安顺市| 手机| 彩票| 榆社县| 灵丘县| 广河县| 张掖市| 吴川市| 南靖县| 静安区| 静海县| 林西县| 二手房| 根河市| 遂平县| 奉贤区| 镇平县| 连山| 平阳县| 富宁县| 藁城市| 武定县| 黄梅县| 株洲市|