5 月 6 日 |保密科技|A c a d e m i c Ex c ch es 学术交流 保密信息系统运维管理及相〗关服务外包的符合性分析与研究 徐伟明 魏飞新 上『海水务信息中心 1 引言 2008年以来 应对日新月异的变化在世界保密形势下，国家保密局推动了近20年来罕见◇的保密检查，这在系统中被称为“保密风暴”。它是由内网和外网之间的互连和勾结造成的。对此，各级政府部门日益将涉密信息系统建设、使用、运行和维护的合规性和保密性提高到重要位置，涉密︼信息系统的安全意识和重要性大大提高。提升。但是，由于很多涉密◣信息系统在技术构成和管理要求方面具有强制性和不公开的特点，一些单位对涉密信息系统的管理机制、管理方式和相关■规定仍存在一定的不兼容，尤其是在在IT服务外包成为政府部门普》遍采用的信息系统运维管理方式的情况下Ψ，准确界定和有效控制IT企∩业在涉密信息系统运维中的空间和ω作用已成为政府的关键问题。部门开展涉密信息系统运维工作。维度管理的一项重要任务。 2 BMB20-2007涉密信息系统运维管理指导范围和约束力 BMB全称《涉及国家秘密的信息系统分级保护管理规范》（以下简称BMB20-2007）)，经国家保密局▅批准，公布国家¤安全标准。

BMB20-2007规定了涉密信息系统分级保护的管理流程、管理要求和管理内容。保密信息系统的建设、使用和管理，也可以用于保密工作部门对保密信息系统的管理和审批。在涉密信息系统分级保护和保密管理过程中，应严∞格按照BMB20-2007执行。 3 涉密信息系统运维管理→存在的问题分析 3.1 运维管理的范围和内容以涉密信息系统为基础 在BMB20-2007标准的基础上，国家安全局还将部署具体的管理要求根据不→同时期的管理需要。目前，大部分涉密↑信息系统的运维管理，除技术支持外，一般还包括涉密单机、涉密媒体、涉密办公自动化设备的运维管理。网络和安全设备的设备保障服务。它涉及设备维∏护、应用支持和保密检查三个方面和六个类别。 【摘要】 在IT服务外包已成为政府部门普遍采用的信息系统运维管理方式的情况下，需要对IT企业的机密『信息进行准确界定和有效管控。信息系统运维的空间和作用已成为政府部门开展涉密信息系统运维管理的重要任务。

结合BMB20-2007管理标准，分析了IT服务外包的合规性和“三员工”的合规性和实际问︽题，探讨了涉密信息系统的运维管∑　理。管理事项有待调整和落实。 【关键词】 运维管理；服务外包；三名工作人员；合规 9201 120 - 20 07 |保密科技|账户维护、安全审计服务、应用支??持服务、设备保障服务。 3.2 运维管理服务外∏包合规性分析 BMB20-2007 涉密信息系统全生命周期服务类别 涉密终端和非涉密终端的服务范围 服务内容 定期检查设备运行状态和性□能等 合规判定网络及安全设备维护 专项安全检查 服务终端日常巡检及台账维护 安全审计服务 应用支持服务 移动存储ㄨ介质未分类 移动存储介质 官网终端未分类终端 秘密介质未分类 办公自动化设备 办公自动化设备 网络设备 安全↓设备终端，不涉及⌒用户行为信息检查，适合外包 1.外接是否非法2.非机密媒体和设备◣是否被非法使用 3.是否l机要登录需要用户身份认证4. 涉密机是否安装杀毒等安全软件并及时更新 1. 是否已接入涉密计算机信息系统2.是否对涉密信息进行处理和存储 3、是否使用过涉密移动存储介质？在机密ぷ计算机和非机密网络上交叉使用 1.是否存储了机密信息2.是否存储了内部工作信息 3.在机密计算机上交叉使用 机密信息的打印和传输是否与专项保密检查服务 1.杀毒软件更卐新2.保密保护专项系统检查等 1.涉密终端台账、户籍√维护更新2.台账、户籍维护更新涉密媒体3.涉密办公设备台账、户口簿维护更新4.非保密终端台账维护更新 5.非保密移动存储台账维护更新媒体。保密知识及相关建议等的技⌒　术咨询和培训，保障涉密单机台账等的维护，定期进行安全审计日志分析，统计现有违规行为，进行保密检查和安全评估安全审计结果。必须操作用户PC终端，涉及用户行为。检查分析可能导致机密信息泄露，不适合外包 1.需要查看▽网上记录2.需要搜索“*.d oc, *.tx t”等文件，检查文件内容并判断。

可能导致用户上网信息等行为信息及终端隐私泄露。如果不适合外包可能会导致机密信息〗的泄露，从而可能导致用户在线信息等行为信∑　息的泄露。不适合外包浏览、打印和传输信息内容，可能导致机密信息泄露。它□　不应该外包。它不应该外包。它不应该外包。会计信息不应外包 根据B MB 20-2007的要求，安全审计应由配备保密信息系统的专△职人员负责，不宜外包。它适合外包。它适合外包。及相关服务外包合规分析表-05 |保密科技| A c a d e mi c Ex c h a g es 学术交流运维、应用支持和设备保障 除系统管理员职责外▂，信息中心工作人员还适用于剩余的专项保密检查、终端日常检查、台账维护安全审计包括：用户操作行为检查与分析、用户在线痕】迹检查、文档查看、用户终端账号管理等主体资质等具体工作内容。出了点问∩题。

在工作要求方面，由于涉密信息系统不同于一般业务系统，国安局对涉密系统的使用有一套完整的管理要求，如：用户列表管理、用户标◥识管理、权限列表审核、需求分析评估、安全互联控制等，信息中心员工普遍不具备涉密终端的接入和使用资格。因此，信息中心█员工负责安全和保密管理员和安全↘审计员。无论是学科资格还是具体执业，其基本◣要求是：无法按照国家保密局的要求有效开展相关管理工作。 3.3.3 “三人”实务分析 保密检查是涉密信息系统应用管理的重要内容。与一般信息系统不同，工作内容具有很强的刚性特※征，加上人员相对固定和最少。随着涉密信息系统应用范围的不断扩大，安检工作已成为一项工作量相当大的事务性管理工作。工作量测算见表2和表3。根据表中的模∮拟计算，总共需要大约116人/天。在管理实践中，兼职“三名员工”不仅在知识和技能方面难以有效√承担专职安全保密管理工作，而且其工作量也会与本职工作发生冲突，很容易被陷入两难境地。 4 应调整实施的管理事项 根据BMB20-2007管理标准pc运维外包，保密信息系统的使用和管理应从以下两个方面加强●合规调整：4.1服务外包合规管理（1） 外包人员不能掌握网络设备和安全设备的密码和密码； ( ) 外包人员不能掌握任何机密终端的User 2账号；已经做出了明确的规定和约束，IT领域常用╳的服务角色必须严格限制涉密信息系统运☆行、使用和管理的外包，即使是具备涉密信息ξ系统集成资质的IT企业，也只是描述了其技术服务空间，而没有获得和了解应用信息资质和信息。机密系统的权◆利。

就责任主体而言，保密和安全不仅不能外包，客观♀上也不能外包。服务外包在涉密信息系统运营、使用和管理方面的合规性分析见表1（服务提供方为具有涉密资质的IT企业）。上述分析判断进一步说明BMB20-2007规定的管理对象为专门的安全保密管理人员，并对管理人员的管理▓职责、管理内容和管理要求作出了具体规定。服务、探访等外部人员也提出了全程陪伴的规定。 3.3 “三人”合规『性与实务分析 3.3.1 “三人”岗位职责 根据BMB20-2007标准要求，涉密信息系统应配备系统管理员、安全保密管理 安全保密管理」人员分为三类（简称“三名成员”），分别负责系统日常运行维护、日常安全保密管理、行为监督管理安全保密人员：（1）系统管理员主要负责系统的日常运维；（2）安全管理员主要负责系统的日常安全和安全管理，包括用户帐户管理以及安全设备和系统生成的日志的审查和分析；（3）安全审计员是马㊣负责对系统管理员和安全保密管理员的操作行为进行审计、跟踪、分析和监督，并定期向安全保密》管理机构报告有关情况。

3 .3 .2“三人”合规分析 在“保密风暴”发展过程中，多个政府部门将涉密信息系统“三人”委托△给所属信息中心的员工通过研究发现pc运维外包，在涉密信息系统运行、维护和管理所涉及的设备维护、应用支持和安←全检查三个方面、六大类中，网络和安全设备除外 71201 1 |保密科技|年 5 月 (3） 专项安全检查期间，除纯技术支持外，外包人员不能访问涉密终端、非涉密终端、涉⊙密移动媒体、非涉密移动媒←体，以及涉密办公自动化设备。用户无╱权知晓用户终端和媒体中的文件内容，无权查看和分析用户的行为信息；（4）外包商不得允许了解和掌握分类系统的账本信息，不能参与相关信息的维护；（5）安全审计员的职责是对系统管理员的♂工作和安全及安全进行合规性审计和检查）保密管理员，所以逻辑上排除系统管理员和安全保密管理（6）对于外包商可以提供的技术服务，内部人员必须是伴随着整个过程。因此，从落实和落实合规性的角度来看，涉密信息系统的运行☆维护管理、日常终端巡查、台账维护、安全审计等保密工作中的专项保密检查，不应外包，而应由具有资质的人』员进行。政府部门内的机密资格；网络和安全设备的技术维护工作，如√应用支持、设备支持等，在受上述（6）条款的约束）的情况下，可能会在有〓限的范围内外包。

4.2“三人”的有效配置针对以上对“三人”合规性和常态化管理事务工作量测算的分析，各级政府部门保密办公室应重视并在内部落实合格人员担任涉密信息系统的系统管理员、保安员、安全审计员，使涉密信息系统各项管理要求▲落到实处。信息中心定位于提供技术支持、应用培训、维护支持，随时提供和响∏应各种技术支持和应急响应。 5 结论涉密信息系统是分级保护的重要对象，技术安全和信息安全是涉密信息系统运维管理中的▼重要任务。具有高度的政治敏感性和强烈的责任感，是涉密信息系统运行管理的重要条件；落实BMB20-2007各项管理要求，是分类信息系统标准化管理的抓手；一支符合BMB20-2007规定条件的管理团队，能够有效控制服务外包带来的安全风险，是保障涉密信息系统安全应用的基础。只有做到“规定动作不变形”，认真研究、判别、明确IT企业在涉密信息系统运维中的访●问条件和角色空间，才能确保涉密信息的全生命周期信息系统是标准化和严格的╲。在管理轨道上运行。参考文献： [1] BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》[S].[2]梁学贵。保密资格审查和认证是一个好的制度：建立保密资格审查和认证制度的基本思路和概念[J].保密工作，() 3 [3] IT 服务管理最佳〓实践指南 ITIL [S] 学术交流 A c a c a d e m i c E x c h a n g e s 表 2 核对账本类型 模拟涉密信息系统终端数量 30 涉密单机 20 涉密-相关 移动存储介质 1 5 涉密办公自动化设备 5 非涉密终端 15 0 非涉密ξ　移动存储介质 1 50 表3 保密检查人力投入（人/天） 工作内容数量 单次投入 年投入终端日卐常维护 1 233 6 保密检查 2408 0 总计 1 41 1 12009 11:29 - 0..