一、前言

“谋成于密而败于泄，三军之事莫重于密”，作为不同群体、不同阶级、不同国家之间永恒课题，保密工作事关最高利益成败，十分重要。信息化条件下，保密就是保信息、保安全、保生存、保发展。信息安全管理是信息的制权人持续地维护所控制的信息，保障涉密信息的安全属性，防止信息受到无意地或人为的泄露和破坏。面对全新信息安全挑战，加强安全技术研究，探索保密管理模式，既是保密业务时代需求，也是信息技术迭代发展驱动使然。

二、 信息安全属性与安全保密新特征

我们常称的“信息安全”包含三层含义，一是系统安全，即实体安全和系统运行安全；二是数据安全，即通过对用户权限的控制、数据加密等技术措施确保信息不被非授权者获取和篡改；三是管理安全，即用综合手段对信息资源和系统安全进行有效管理。具体讲，安全信息应具备不可否认性、完整性、合法性等属性。所有信息系统的安全建设目标均是围绕信息安全属性而展开的。信息安全保密作为保障信息安全的重要手段，在信息技术日新月异的时代背景下，呈现出以下新特征：

1、环境的复杂性

主要体现在三方面，一是战略性取向明显。窃密与反窃密、侦察与反侦察的较量己经突破传统范围，甚至一跃而升为综合国力、军事实力之间的直面交锋；二是对抗程度加剧。高技术手段广泛运用于情报领域后，“窃与保”之间的对抗持续白热化；三是人文环境复杂。人员变动、信息交互、网络空间的开放性，使得保密管理需要面对众多不可控因素。

2、信息超时空、全方位

随着新兴信息技术的飞速发展，安全保密工作己突破时空限制，计算机信息系统的电磁泄漏、电磁介质残留信息、网络系统漏洞以及管理上的薄弱环节等，都为窃密者提供了可乘之机，计算机信息网络的安全使用成为保密管理的工作重点。

3、信息的多样性

信息以纸介质、光介质、电磁介质等为载体，以声、光、电为传输途径，使得信息散布在多维空间中，而安全保密技术涉及众多学科、遍及各个领域，涵盖社会管理的各方面，涉密信息的多样性决定了保密工作的复杂性。

信息数字化与保密派生性

数字化信息传播具有很强的隐蔽性，流通范围可呈几何级数增长，这使涉密计算机、涉密计算机信息系统及涉密载体的保密管理面临很大的挑战。另外，因工作学习需要而涉及到的涉密信息，如未经过彻底脱密处理，将会派生出秘密，必定给保密管理带来新问题。

对于党、政、军、金融、公安等重点涉密行业，随着信息化建设进程不断加快推进，各类信息安全保密管理日趋繁重，尤其是终端安全管控、文件加密存储、涉密信息输出等方面的保密管理与现实安全隐患矛盾十分突出，具体表现：终端外设监管不到位、终端基础运行环境不可控、文件明文存储无法管控访问范围、文件流转监管困难、单位间的文件流转范围难以控制、文件输出流程管理复杂、终端操作缺乏全面的审计机制、文件发生泄露后难以追溯泄露源头等。

三、新形势下安全保密管理重点与实施策略

做好信息化条件下的保密工作，主要是管住人、管住密、管好网络，确保涉密信息安全和有序共享，重点做好两方面工作：

1、从严把控“五个关口”

①“人员口”，即涉密人员能力评估、上岗前培训考核、离岗前审计脱密；②“场所口”，重要涉密场所的物理访问控制和安全监控；③“载体口”，即各类涉密介质的存取访问控制；④“计算机及网络的外接端口”，即涉密终端及网络的接口控制、接入控制、传输控制和存取访问控制；⑤“通信、传真、复印、打印口”，即涉密通信、涉密文件的传真、复印、打印控制。

2、全程落实“四个审计”

①“涉密人员审计”，即基于身份认证，对其进出涉密场所、上岗、离岗、岗位变动、人员流动等进行审计；②“涉密载体审计”，即对涉密载体的存放位置、流转状况、使用记录、维修记录及销毁进行审计；③“涉密计算机及网络审计”，即对涉密软硬件操作维护记录、系统登录记录、数据传输记录，以及数据及服务的服务控制记录、数据传输记录，及数据及服务的服务控制记录等进行审计；④“定密审计”，即对涉密信息的确定、变更与解除等工作进行审计。

针对以上新形势下安全保密工作的时代特征和业务需求，提出“自主可控、保用结合；集中管理、精确控制”四轮驱动安全管理策略。其核心思想是：①自主可控是环境条件，从底层硬件、OS到上层应用采用国产化的信息设备和应用软件，以提升数字化信息整体环境的安全防护能力；②保用结合是工作要求，兼顾信息化建设和安全保密工作，统一建立安全域，确保涉密信息在安全域内的授权使用和高效共享；③集中管理是管理手段，为了压缩变数空间，提升可管控程度，要求对涉密信息逻辑集中，必要情况下可物理集中存储，还要输出操作集中；④精确控制是建设目标，为提高管理的细粒度，要求何人、何时、何地、通过何种网络、使用何种终端、对何种授权的涉密信息进行享用、享用多久以及对所有操作行为进行全程审计记录，将无序变有序实现高效管理。

四、信息安全保密综合管理解决方案

1、建设原则

为确保信息高度安全和万无一失，涉密信息系统建设应遵循“三化”原则：

（1）全程化原则。即对涉密信息的整个生命周期实施全过程、全方位管控，防止过程泄密，做到百密不疏。全过程，既包括从秘密本身的产生、流转到解除的逻辑形式，也包括从涉密载体的制作、使用到销毁的物理状态。全方位，是指全部管理对象，既包括涉密人员、涉密载体、涉密信息系统、保密要害部门部位及涉密会议活动等。

（2）最小化原则。涉密对象最少、知悉范围最小、管理环节最简，将失泄密概率控制最低。具体而言，一是定密方面，严格按照保密规定确定秘密，确保定密精准、知悉范围最小、保密期限和定密密级最合事宜；二是载体管理方面，严格控制涉密载体数量，统一集中管理；三在载体流转方面，环节尽量简化，防止中间环节过多，造成接触、知悉范围不必要的扩大。

（3）精准化原则。采用精细化管理模式，增强保密工作的科学性、针对性和有效性，确保管理对象清晰、管理措施有效、管理流程闭环。具体要求：定密精准，建立权责明晰、程序规范、解密及时、监督有力的定密机制；监管精准，做到涉密操作行为可溯，涉密载体有备可查，涉密环节高效管控。

2、系统架构

信息安全保密综合管理系统基于信创平台开发，适配主流信创产品，由一个基础平台和四个子系统组成。

基础平台：基于标准的通信协议格式和数据格式，实现用户组织管理、主机管理、软件分发管理、告警信息集中展现和处置等功能的软件平台。

终端管控子系统：综合运用计算机软件、网络安全、密码等技术，对涉密终端操作系统、端口、外设、移动存储介质、网络接入等进行安全管理。

标签管理子系统：使用电子标签技术，标记电子文件的密级、权限、流转等属性信息，实现涉密电子信息的全生命周期管理。

集中管控子系统：综合运用利用计算机软件、网络安全、密码等技术，对涉密行业办公中产生的涉密信息实施集中存储、加密保护、授权使用、精确控制、全程审计。

集中文印子系统：综合运用计算机软件、网络、打印驱动等技术，对计算机用户的集中打印、复印和刻录行为进行管理和审计。

3、应用价值

中孚信息安全保密综合管理系统采用模块化组件设计，结合多年来在保密领域技术攻关和经验积累，破解了“终端外设监管难、访问控制难、泄露文件追溯难、文件输出监管难、用户操作审计不全面”等一系列难题，完全满足涉密领域精准集中管控下的安全保密行业需求，具体优势为：

便捷部署：系统支持终端和管理端的“一键”安装，经过简单配置就可完成系统搭建，提升了部署效率。

系统升级便利：系统支持对各个子系统单独升级，同时各子系统支持覆盖安装的升级形式，大大提高的运维效率。

支持联网、单机模式：终端支持支持联网、单机部署模式。

全方位的审计管理：详细记录系统所有的业务操作的详细日志信息，同时支持多种审计报表的生成和导出。

可追溯性：系统通过数字水印、二维码注入、文件标签注入及完备的日志体系，实现数据的可追溯性。

五、总结

信息化程度越高，对信息的需求愈大，对信息安全的依赖也愈强。对于涉密行业来说，利用信息技术高效使用信息与确保信息的安全，本身就是一体两面，缺一不可的事。集中精确管控是不断发展、日趋完善的过程，不可能一蹴而就、一劳永逸，只有扎实做好秘密集中管控，不断改进完善系统，才能变“粗放管理”为“精确管理”，变“事后追查”为“事先防范”，确保涉密信息的安全和有序利用。随着网信技术不断发展，在信息化应用领域，安全保密一定会从幕后做“配角”走向台前唱“主角”，其发展趋势也一定会由被动应对走向主动防护、由粗放式管理走向精准式管理、由静态式检测走向动态持续化监管和自动化处置。