摘要：信息安全保密已經成為當前保密工作的重點。本文從策略和機制的角度出發，給出了信息安全保密的服務支持、標準規范、技術防范、管理保障和工作能力體系，體現了技術與管理相結合的信息安全保密原則。 關鍵詞：信息安全保密體系

一、引言 構建信息安全保密體系，不能僅僅從技術層面入手，而應該將管理和技術手段有機結合起來，用規范的制度約束人，同時建立、健全信息安全保密的組織體制，改變現有的管理模式，彌補技術、制度、體制等方面存在的不足，從標準、技術、管理、服務、策略等方面形成綜合的信息安全保密能力，如圖1所示。 圖 1 信息安全保密的體系框架 該保密體系是以信息安全保密策略和機制為核心，以信息安全保密服務為支持，以標準規范、安全技術和組織管理體系為具體內容，最終形成能夠滿足信息安全保密需求的工作能力。 二、信息安全保密的策略和機制 所謂信息安全保密策略，是指為了保護信息系統和信息網絡中的秘密，對使用者（及其代理）允許什么、禁止什么的規定。從信息資產安全管理的角度出發，為了保護涉密信息資產，消除或降低泄密風險，制訂的各種綱領、制度、規范和操作流程等，都屬于安全保密策略。例如：禁止（工作或技術人員）將涉密軟盤或移動存儲設備帶出涉密場所；嚴禁（使用人員將）涉密計算機（連）上互聯網；不允許（參觀人員）在涉密場所拍照、錄像等。 信息安全保密機制，是指實施信息安全保密策略的一種方法、工具或者規程。例如，針對前面給出的保密策略，可分別采取以下機制：為涉密移動存儲設備安裝射頻標識，為涉密場所安裝門禁和報警系統；登記上網計算機的（物理）地址，實時監控上網設備；進入涉密場所前，托管所有攝錄像設備等。 根據信息系統和信息網絡的安全保密需求，在制定其安全保密策略時，應主要從物理安全保密策略，系統或網絡的訪問控制策略，信息的加密策略，系統及網絡的安全管理策略，人員安全管理策略，內容監管策略等方面入手。在安全保密機制方面，應主要從組織管理、安全控制和教育培訓等方面，針對給出的安全保密策略，確定詳細的操作或運行規程，技術標準和安全解決方案。 三、信息安全保密的服務支持體系 信息安全保密的服務支持體系，主要是由技術檢查服務、調查取證服務、風險管理服務、系統測評服務、應急響應服務和咨詢培訓服務組成的，如圖2所示。其中，風險管理服務必須貫穿到信息安全保密的整個工程中，要在信息系統和信息網絡規劃與建設的初期，就進行專業的安全風險評估與分析，并在系統或網絡的運營管理過程中，經常性地開展保密風險評估工作，采取有效的措施控制風險，只有這樣才能提高信息安全保密的效益和針對性，增強系統或網絡的安全可觀性、可控性。其次，還要大力加強調查取證服務、應急響應服務和咨詢培訓服務的建設，對突發性的失泄密事件能夠快速反應，同時盡可能提高信息系統、信息網絡管理人員的安全技能，以及他們的法規意識和防范意識，做到“事前有準備，事后有措施，事中有監察”。 加強信息安全保密服務的主要措施包括： 借用安全評估服務幫助我們了解自身的安全性 通過安全掃描、滲透測試、問卷調查等方式對信息系統及網絡的資產價值、存在的脆弱性和面臨的威脅進行分析評估，確定失泄密風險的大小，并實施有效的安全風險控制。 采用安全加固服務來增強信息系統的自身安全性 具體包括操作系統的安全修補、加固和優化；應用服務的安全修補、加固和優化；網絡設備的安全修補、加固和優化；現有安全制度和策略的改進與完善等。 部署專用安全系統及設備提升安全保護等級 借助目前成熟的安全技術和產品來幫助我們提升整個系統及網絡的安全防護等級，可采用的產品包括防火墻、IDS、VPN、防病毒網關等。 運用安全控制服務增強信息系統及網絡的安全可觀性、可控性 通過部署面向終端、服務器和網絡邊界的安全控制系統，以及集中式的安全控制平臺，增強對整個信息系統及網絡的可觀性，以及對使用網絡的人員、網絡中的設備及其所提供服務的可控性。

參考文獻： [1]信息與網絡安全研究新進展．全國計算機安全學術交流會論文集．第二十二卷[C]．合肥：中國科技大學出版社， 2007 [2]中國計算機學會信息保密專業委員會論文集．第十六卷[C]．合肥：中國科技大學出版社， 2006 [3]胡建偉．網絡安全與保密[M]．西安：西安電子科技大學出版社， 2003