构建信息安全保密体系

摘要：信息安全保密已经成为当前保密工作的重点。本文从策略和机制的角度出发，给出了信息安全保密的服务支持、标准规范、技术防范、管理保障和工作能力体系，体现了技术与管理相结合的信息安全保密原则。关键词：信息安全保密体系

一、引言

构建信息安全保密体系，不能仅仅从技术层面入手，而应该将管理和技术手段有机结合起来，用规范的制度约束人，同时建立、健全信息安全保密的组织体制，改变现有的管理模式，弥补技术、制度、体制等方面存在的不足，从标准、技术、管理、服务、策略等方面形成综合的信息安全保密能力，如图1所示。图1信息安全保密的体系框架

该保密体系是以信息安全保密策略和机制为核心，以信息安全保密服务为支持，以标准规范、安全技术和组织管理体系为具体内容，最终形成能够满足信息安全保密需求的工作能力。

二、信息安全保密的策略和机制所谓信息安全保密策略，是指为了保护信息系统和信息网络中的秘密，对使用者（及其代理）允许什么、禁止什么的规定。从信息资产安全管理的角度出发，为了保护涉密信息资产，消除或降低泄密风险，制订的各种纲领、制度、规范和操作流程等，都属于安全保密策略。例如：禁止（工作或技术人员）将涉密软盘或移动存储设备带出涉密场所；严禁（使用人员将）涉密计算机（连）上互联网；不允许（参观人员）在涉密场所拍照、录像等。

信息安全保密机制，是指实施信息安全保密策略的一种方法、工具或者规程。例如，针对前面给出的保密策略，可分别采取以下机制：

为涉密移动存储设备安装射频标识，为涉密场所安装门禁和报警系统；登记上网计算机的（物理）地址，实时监控上网设备；进入涉密场所前，托管所有摄录像设备等。

根据信息系统和信息网络的安全保密需求，在制定其安全保密策略时，应主要从物理安全保密策略，系统或网络的访问控制策略，信息的加密策略，系统及网络的安全管理策略，人员安全管理策略，内容监管策略等方面入手。在安全保密机制方面，应主要从组织管理、安全控制和教育培训等方面，针对给出的安全保密策略，确定详细的操作或运行规程，技术标准和安全解决方案。

三、信息安全保密的服务支持体系