涉密計(jì)算機(jī)信息系統(tǒng)保密設(shè)施建設(shè)實(shí)施規(guī)范

涉密計(jì)算機(jī)信息系統(tǒng)保密設(shè)施建設(shè)實(shí)施規(guī)范（試行）第一章\l"總則"總則第二章\l"計(jì)算機(jī)及計(jì)算機(jī)系統(tǒng)保密"計(jì)算機(jī)及計(jì)算機(jī)系統(tǒng)保密一．機(jī)房安全要求二．訪問(wèn)控制三．?dāng)?shù)據(jù)加密四．磁盤(pán)加密五．微機(jī)的安全保密六．WindowsNT操作系統(tǒng)的安全保密七．辦公自動(dòng)化系統(tǒng)和管理信息系統(tǒng)軟件的安全保密第三章\l"計(jì)算機(jī)網(wǎng)絡(luò)安全與保密"計(jì)算機(jī)網(wǎng)絡(luò)安全與保密一．網(wǎng)絡(luò)邊界的安全保密二．網(wǎng)絡(luò)內(nèi)部的安全保密控制和防范第四章\l"計(jì)算機(jī)信息傳輸?shù)谋Ｃ?計(jì)算機(jī)信息傳輸?shù)谋Ｃ芤唬?jì)算機(jī)撥號(hào)進(jìn)入Internet網(wǎng)或其它公共網(wǎng)時(shí)信息傳輸?shù)谋Ｃ芏钟蚓W(wǎng)信息傳輸?shù)谋Ｃ苋畯V域網(wǎng)信息傳輸?shù)谋Ｃ芩模荑€的管理第五章\l"管理制度保障"管理制度保障一．法律制度規(guī)范二．管理制度的約束三．道德規(guī)范及宣傳教育第一章總則為貫徹《中共中央關(guān)于加強(qiáng)新形勢(shì)下保密工作的決定》，加強(qiáng)計(jì)算機(jī)涉密信息系統(tǒng)的保密管理，配合《涉密信息系統(tǒng)保密管理暫行規(guī)定》的實(shí)施而制定本規(guī)范。本實(shí)施規(guī)范適用范圍包括：市直黨政機(jī)關(guān)單位及各區(qū)、縣級(jí)市黨政機(jī)關(guān)單位管理的用于辦公自動(dòng)化或信息交換的計(jì)算機(jī)涉密信息系統(tǒng)。本實(shí)施規(guī)范只適用于《涉密信息系統(tǒng)保密管理暫行規(guī)定》中的D級(jí)（工作秘密級(jí)）、C級(jí)（國(guó)家秘密級(jí)）和B級(jí)（國(guó)家機(jī)密級(jí)），不適用于A級(jí)（國(guó)家絕密級(jí)）。本實(shí)施規(guī)范中涉及的安全加密系統(tǒng)設(shè)備，必須是經(jīng)過(guò)中央機(jī)要局或國(guó)家保密局認(rèn)可的國(guó)產(chǎn)非純軟件加密系統(tǒng)設(shè)備，所采用的加密措施應(yīng)有國(guó)家密碼委員會(huì)或中央辦公廳機(jī)要局的批件，并與所保護(hù)的涉密信息密級(jí)相符。第二章計(jì)算機(jī)及計(jì)算機(jī)系統(tǒng)保密計(jì)算機(jī)及計(jì)算機(jī)系統(tǒng)的保密主要是指存放于磁盤(pán)上的文件、數(shù)據(jù)庫(kù)等數(shù)據(jù)傳輸和存儲(chǔ)的保密措施，應(yīng)用于這方面的技術(shù)主要有訪問(wèn)控制、數(shù)據(jù)加密等。加密系統(tǒng)有數(shù)據(jù)加/解密卡、數(shù)據(jù)加密機(jī)、數(shù)據(jù)采編加密系統(tǒng)、抗輻射干擾器、電子印章系統(tǒng)等。一、機(jī)房安全要求計(jì)算機(jī)機(jī)房的安全是計(jì)算機(jī)實(shí)體安全的一個(gè)重要組成部分。計(jì)算機(jī)機(jī)房應(yīng)該符合國(guó)家標(biāo)準(zhǔn)和國(guó)家有關(guān)規(guī)定。其中，D級(jí)信息系統(tǒng)機(jī)房應(yīng)符合GB9361-88的B類(lèi)機(jī)房要求；B級(jí)和C級(jí)信息系統(tǒng)機(jī)房應(yīng)符合GB9361-88的A類(lèi)機(jī)房要求。二、訪問(wèn)控制訪問(wèn)控制是指防止對(duì)計(jì)算機(jī)及計(jì)算機(jī)系統(tǒng)非授權(quán)訪問(wèn)和存取。對(duì)計(jì)算機(jī)及計(jì)算機(jī)系統(tǒng)訪問(wèn)進(jìn)行控制主要采用兩種方式實(shí)現(xiàn)：一種是限制訪問(wèn)系統(tǒng)的人員；另一種是限制進(jìn)入系統(tǒng)的用戶(hù)所能做的操作。前一種主要通過(guò)用戶(hù)標(biāo)識(shí)與驗(yàn)證來(lái)實(shí)現(xiàn)，而后一種則依靠存取控制來(lái)實(shí)現(xiàn)。（一）用戶(hù)標(biāo)識(shí)與驗(yàn)證用戶(hù)標(biāo)識(shí)與驗(yàn)證是訪問(wèn)控制的基礎(chǔ)，是對(duì)用戶(hù)身份的合法性驗(yàn)證。對(duì)于所有涉密信息系統(tǒng)，必須采用利用口令字（又稱(chēng)通行字）的比較對(duì)用戶(hù)進(jìn)行身份識(shí)別與驗(yàn)證的方法。涉密計(jì)算機(jī)系統(tǒng)口令的使用和管理應(yīng)符合中共中央保密委員會(huì)辦公室和國(guó)家保密局聯(lián)合發(fā)布的《涉及國(guó)家秘密的通信、辦公自動(dòng)化和計(jì)算機(jī)信息系統(tǒng)審批暫行辦法》（中保辦發(fā)[1998]6號(hào)）第十七條規(guī)定的要求。其中，對(duì)于B級(jí)和C級(jí)涉密信息，其口令字應(yīng)實(shí)行加密傳輸，口令文件應(yīng)加密存儲(chǔ)。同時(shí)，應(yīng)視涉密信息系統(tǒng)的安全保密需求和條件，至少采用以下之一方法進(jìn)行識(shí)別與驗(yàn)證：1．基于人的物理特征的識(shí)別。包括：簽名識(shí)別法、指紋識(shí)別法、語(yǔ)音識(shí)別法。2．基于用戶(hù)所擁有特殊安全物品的識(shí)別（即：標(biāo)志憑證識(shí)別）。包括：智能IC卡識(shí)別法、磁條卡識(shí)別法。（二）存取控制存取控制是對(duì)所有的直接存取活動(dòng)通過(guò)授權(quán)進(jìn)行控制以保證計(jì)算機(jī)系統(tǒng)安全保密機(jī)制，是對(duì)處理狀態(tài)下的信息進(jìn)行保護(hù)。涉密計(jì)算機(jī)系統(tǒng)必須采取以下之一進(jìn)行存取控制：1．隔離技術(shù)法隔離技術(shù)即在電子數(shù)據(jù)處理成分的周?chē)⑵琳?，以便在該環(huán)境中實(shí)施存取規(guī)則。隔離技術(shù)的主要實(shí)現(xiàn)方式包括：（1）物理隔離方式：各過(guò)程使用不同的物理目標(biāo)，比如用不同的打印機(jī)輸出不同安全級(jí)別的數(shù)據(jù)；（2）時(shí)間隔離方式：具有不同安全性要求的處理在不同的時(shí)間被執(zhí)行；（3）邏輯隔離方式：操作系統(tǒng)限制程序的訪問(wèn)，不允許程序訪問(wèn)其授權(quán)區(qū)域之外的目標(biāo)；（4）密碼技術(shù)隔離方式：對(duì)數(shù)據(jù)處理及計(jì)算活動(dòng)進(jìn)行加密,使其它用戶(hù)訪問(wèn)不能理解。2．限制權(quán)限法限制特權(quán)以便有效地限制進(jìn)入系統(tǒng)的用戶(hù)所進(jìn)行的操作，具體措施包括：（1）對(duì)用戶(hù)進(jìn)行分類(lèi)，把所有擁有指定安全密級(jí)授權(quán)的用戶(hù)分在相同類(lèi)別；（2）正確設(shè)置目錄的訪問(wèn)控制權(quán)限；（3）正確設(shè)置文件的訪問(wèn)控制權(quán)限；（4）放在臨時(shí)目錄或通信緩沖區(qū)的文件要加密，并盡快移走。（三）系統(tǒng)安全監(jiān)控涉密系統(tǒng)必須建立一套安全監(jiān)控系統(tǒng)，全面監(jiān)控系統(tǒng)的活動(dòng)，并隨時(shí)檢查系統(tǒng)的使用情況，一旦有非法入侵者進(jìn)入系統(tǒng)，能及時(shí)發(fā)現(xiàn)并采取相應(yīng)措施，確定和堵塞安全及保密的漏洞。利用日志和審計(jì)功能對(duì)系統(tǒng)進(jìn)行安全監(jiān)控，涉密系統(tǒng)應(yīng)建立完善的審計(jì)系統(tǒng)和日志管理系統(tǒng)，除此之外，還應(yīng)經(jīng)常了解和檢查以下情況：1．監(jiān)控當(dāng)前正在進(jìn)行的進(jìn)程，正在登錄的用戶(hù)情況；2．檢查文件的所有者、授權(quán)、修改日期情況和文件的特定訪問(wèn)控制屬性；3．檢查系統(tǒng)命令安全配置文件、口令文件、核心啟動(dòng)運(yùn)行文件、任何可執(zhí)行文件的修改情況；4．檢查用戶(hù)登錄的歷史記錄和超級(jí)用戶(hù)登錄的記錄。特別要注意由于人為因素對(duì)計(jì)算機(jī)系統(tǒng)的安全和保密的影響，避免諸如失效的系統(tǒng)控制、不適當(dāng)?shù)娜耸鹿芾砗筒缓侠淼墓芾碇贫鹊仁褂?jì)算機(jī)系統(tǒng)受到惡意的攻擊或造成保密信息泄漏。三、數(shù)據(jù)加密數(shù)據(jù)加密是指將計(jì)算機(jī)及計(jì)算機(jī)系統(tǒng)中數(shù)據(jù)（即信息的表達(dá)形式）轉(zhuǎn)換成不可讀的形式，并在必要時(shí)再轉(zhuǎn)換回來(lái)（即解密）以保證只有獲授權(quán)者才能讀取該數(shù)據(jù)。它包括文件信息和數(shù)據(jù)庫(kù)數(shù)據(jù)的加密以及存放保密數(shù)據(jù)的介質(zhì)的加密。（一）文件信息的加密文件加密主要是防止非法竊取或調(diào)用。文件加密一般應(yīng)采用以下兩種方式：1．文件加密，即對(duì)文件的代碼或數(shù)據(jù)本身進(jìn)行的數(shù)據(jù)源加密。B級(jí)和C級(jí)涉密文件信息應(yīng)采用這種加密方式。2．文件名加密，也就是利用文件名屏幕顯示形式的變換，使得實(shí)際注冊(cè)的文件名與顯示的不相符或者根本不顯示，造成無(wú)法訪問(wèn)文件。一般D級(jí)涉密文件信息可采用這種加密方式。（二）數(shù)據(jù)庫(kù)數(shù)據(jù)的安全與加密數(shù)據(jù)庫(kù)安全和保密主要通過(guò)對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的管理和對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)的加密來(lái)實(shí)現(xiàn)。應(yīng)采用下列五種方法實(shí)現(xiàn)：1．用戶(hù)身份的識(shí)別和確認(rèn)；2．訪問(wèn)操作的鑒別和控制；3．審計(jì)和跟蹤。4．?dāng)?shù)據(jù)庫(kù)外加密，它可由操作系統(tǒng)來(lái)完成。比如，采用文件加密的方法，把數(shù)據(jù)形成存儲(chǔ)塊送入數(shù)據(jù)庫(kù)。D級(jí)涉密數(shù)據(jù)庫(kù)數(shù)據(jù)可采用這種加密方式。5．?dāng)?shù)據(jù)庫(kù)內(nèi)加密，也就是對(duì)數(shù)據(jù)進(jìn)行加密的單位可以是數(shù)據(jù)元素、域或記錄。因此，按數(shù)據(jù)庫(kù)內(nèi)的加密對(duì)象劃分，可分為數(shù)據(jù)元素加密方式、域（屬性）加密方式和記錄加密方式。B級(jí)和C級(jí)涉密數(shù)據(jù)庫(kù)數(shù)據(jù)應(yīng)采用這種加密方式。四、磁盤(pán)加密磁盤(pán)加密在于防拷貝。這類(lèi)加密只適用于對(duì)存放D級(jí)涉密信息的磁盤(pán)進(jìn)行加密。對(duì)于B級(jí)和C級(jí)涉密信息還應(yīng)依靠嚴(yán)格的安全管理來(lái)實(shí)現(xiàn)。磁盤(pán)加密的主要方法包括：固化部分程序、激光穿孔加密、掩膜加密和芯片加密等，還可利用修改磁盤(pán)參數(shù)表（如：扇區(qū)間隙、空閑的高磁道）來(lái)實(shí)現(xiàn)磁盤(pán)的加密。五、微機(jī)的安全保密使用微機(jī)應(yīng)遵循以下基本安全保密措施：1．使用開(kāi)機(jī)熱啟動(dòng)密碼；2．使用帶口令的屏幕保護(hù)；3．限制文件共享功能的使用，如需使用，必須設(shè)置訪問(wèn)控制權(quán)限和密碼；4．對(duì)重要文件設(shè)置讀寫(xiě)口令；5．離開(kāi)機(jī)器前，確保已關(guān)機(jī)或進(jìn)入屏幕保護(hù)狀態(tài);6．對(duì)于B級(jí)和C級(jí)涉密信息，存取信息時(shí)必須有身份的識(shí)別和驗(yàn)證，如電子印章等。六、WindowsNT操作系統(tǒng)的安全保密由于WindowsNT在口令管理、系統(tǒng)訪問(wèn)上存在較多的安全問(wèn)題，因此在使用中必須采取以下的措施：1．嚴(yán)格控制Administrator組用戶(hù)、備份操作員、服務(wù)器操作員等帳戶(hù)的使用;2．在防火墻上，截止所有135至142上的TCP和UDP端口。另外，在內(nèi)部路由器上，設(shè)置ACL，在各個(gè)獨(dú)立子網(wǎng)之間，截止從端口135到142的連接;3．安裝最新的ServerPack軟件;七、辦公自動(dòng)化系統(tǒng)和管理信息系統(tǒng)軟件的安全保密辦公自動(dòng)化系統(tǒng)和管理信息系統(tǒng)應(yīng)采用下列安全保密措施：1．對(duì)數(shù)據(jù)設(shè)置級(jí)別和使用權(quán)限；2．對(duì)用戶(hù)進(jìn)行分類(lèi)；3．規(guī)定各類(lèi)用戶(hù)對(duì)應(yīng)用系統(tǒng)功能的使用范圍；4．對(duì)不同級(jí)別數(shù)據(jù)，規(guī)定可以訪問(wèn)的用戶(hù)；5．根據(jù)實(shí)際工作流程確定對(duì)數(shù)據(jù)和系統(tǒng)功能的使用權(quán)限。6．對(duì)涉密信息必須進(jìn)行標(biāo)密。第三章計(jì)算機(jī)網(wǎng)絡(luò)安全與保密計(jì)算機(jī)網(wǎng)絡(luò)安全保密主要是指計(jì)算機(jī)網(wǎng)絡(luò)抵御來(lái)自外界侵襲等應(yīng)采取的安全保密措施。根據(jù)國(guó)家保密的規(guī)定，必須采用國(guó)產(chǎn)的設(shè)備來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保密。目前主要通過(guò)采用安全防火墻系統(tǒng)、安全代理服務(wù)器、安全加密網(wǎng)關(guān)等來(lái)實(shí)現(xiàn)。一、網(wǎng)絡(luò)邊界的安全保密網(wǎng)絡(luò)邊界是指本單位（或部門(mén)）的網(wǎng)絡(luò)與外界網(wǎng)絡(luò)或Internet網(wǎng)互聯(lián)的出口邊界。其安全保密主要是針對(duì)經(jīng)邊界進(jìn)出訪問(wèn)和傳輸數(shù)據(jù)包時(shí)要采取的控制和防范措施。根據(jù)國(guó)家保密局和市政府的有關(guān)規(guī)定網(wǎng)絡(luò)安全保密要采取以下措施：1．各部門(mén)的D級(jí)涉密計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)采用市政府統(tǒng)一的國(guó)際互聯(lián)網(wǎng)出口，以便加強(qiáng)管理。2．D級(jí)涉密計(jì)算機(jī)網(wǎng)絡(luò)與Internet網(wǎng)或外界其它網(wǎng)絡(luò)接入口處必須設(shè)置D密級(jí)的安全防火墻系統(tǒng)，該防火墻要具有加密功能或安全加密網(wǎng)關(guān)。3．B級(jí)和C級(jí)涉密計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)必須在物理上與外界隔離。4．由非政府部門(mén)承建的涉密計(jì)算機(jī)網(wǎng)絡(luò)，對(duì)于網(wǎng)絡(luò)邊界安全保密設(shè)備系統(tǒng)的IP地址分配、數(shù)據(jù)包過(guò)濾策略、認(rèn)證機(jī)制、端口及VPN設(shè)置等必須與實(shí)際使用的配置方案不同，實(shí)際使用的配置方案不準(zhǔn)對(duì)外公開(kāi)。5．定期掃描網(wǎng)絡(luò)的安全漏洞，及時(shí)消除網(wǎng)絡(luò)安全的隱患。6．Internet網(wǎng)或外界其它網(wǎng)絡(luò)上的授權(quán)用戶(hù)要通過(guò)安全防火墻或安全加密網(wǎng)關(guān)遠(yuǎn)程進(jìn)入涉密網(wǎng)絡(luò)時(shí)，必須配備電子印章認(rèn)證系統(tǒng)，只有認(rèn)證系統(tǒng)通過(guò)的授權(quán)用戶(hù)才可進(jìn)入。7．各部門(mén)的涉密網(wǎng)絡(luò)不允許設(shè)置撥號(hào)訪問(wèn)服務(wù)器和提供遠(yuǎn)程Modem接入，如確需設(shè)置，必須經(jīng)市保密局和市信息辦共同審批，并采用如下措施：①設(shè)置訪問(wèn)控制服務(wù)器，對(duì)撥號(hào)上網(wǎng)的用戶(hù)身份、電話號(hào)碼等進(jìn)行驗(yàn)證。在安全性要求較高的情況下，采取斷開(kāi)正在進(jìn)行的連接，再回?fù)苓h(yuǎn)程Modem的連接方法；②要求撥號(hào)用戶(hù)采用比較安全的口令，并確保不把用戶(hù)名和口令外傳給任何其他人；③在撥號(hào)訪問(wèn)服務(wù)器和涉密網(wǎng)絡(luò)之間設(shè)置安全防火墻，對(duì)遠(yuǎn)程訪問(wèn)進(jìn)行控制和監(jiān)測(cè)；④對(duì)撥號(hào)上網(wǎng)的電話號(hào)碼嚴(yán)格保密；⑤不能對(duì)非政府部門(mén)用戶(hù)開(kāi)放使用。8．各委局部門(mén)的計(jì)算機(jī)涉密網(wǎng)絡(luò)若通過(guò)市政府機(jī)關(guān)互聯(lián)網(wǎng)絡(luò)交換中心與其他委局部門(mén)網(wǎng)絡(luò)互聯(lián)，其計(jì)算機(jī)網(wǎng)絡(luò)上不允許設(shè)置撥號(hào)訪問(wèn)服務(wù)器和提供遠(yuǎn)程Modem接入，所有撥號(hào)訪問(wèn)服務(wù)和遠(yuǎn)程接入，均由交換中心負(fù)責(zé)設(shè)置和提供，并保障網(wǎng)絡(luò)的安全及保密。對(duì)于各部門(mén)已設(shè)置的，必須與該網(wǎng)絡(luò)物理斷開(kāi)。9．涉密網(wǎng)絡(luò)上的用戶(hù)遠(yuǎn)程接入ISP之前，必須斷開(kāi)與涉密網(wǎng)絡(luò)的連接（如將雙絞線從網(wǎng)卡或信息插座上拔下），并且要確定該接入單機(jī)不存在涉密信息，單機(jī)接入。10．涉密網(wǎng)絡(luò)使用ISDN接入時(shí)，必須注意用戶(hù)名、密碼、電話號(hào)碼的保密，并在接入端口處加裝安全防火墻或加密網(wǎng)關(guān)等相關(guān)安全保密設(shè)備。二、網(wǎng)絡(luò)內(nèi)部的安全保密控制和防范網(wǎng)絡(luò)內(nèi)部安全保密是指應(yīng)采取防范措施以控制外界遠(yuǎn)程用戶(hù)（或網(wǎng)絡(luò)）對(duì)涉密網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)存取。常用的技術(shù)手段包括：網(wǎng)絡(luò)安全監(jiān)測(cè)報(bào)警系統(tǒng)、數(shù)據(jù)加/解密卡、電子印章系統(tǒng)等。具體應(yīng)采取以下措施：1．在網(wǎng)絡(luò)中應(yīng)采取對(duì)涉密信息進(jìn)行相應(yīng)級(jí)別的數(shù)據(jù)源加密。2．涉密信息所需采用的各種加解密設(shè)備應(yīng)采用統(tǒng)一的加密算法和密鑰管理，并具有權(quán)限分級(jí)，以適合不同級(jí)別的用戶(hù)存取。同時(shí)密鑰必須定期更換。3．加裝網(wǎng)絡(luò)安全監(jiān)測(cè)報(bào)警系統(tǒng)，定期掃描網(wǎng)絡(luò)的安全漏洞，一旦有非法用戶(hù)進(jìn)入網(wǎng)絡(luò)讀取信息或篡改網(wǎng)絡(luò)系統(tǒng)配置，則自動(dòng)報(bào)警。4．必須通過(guò)電子印章系統(tǒng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)用戶(hù)讀取涉密信息進(jìn)行身份認(rèn)證，并由此獲得相應(yīng)身份的讀取權(quán)限,以適應(yīng)不同級(jí)別的用戶(hù)讀取不同級(jí)別的信息；未經(jīng)或通不過(guò)電子印章系統(tǒng)認(rèn)證的用戶(hù),將無(wú)權(quán)讀取信息,網(wǎng)絡(luò)邊界安全保密設(shè)備將禁止信息傳出網(wǎng)絡(luò)。5．涉密信息從網(wǎng)絡(luò)邊界傳輸出去以前，必須經(jīng)過(guò)相應(yīng)密級(jí)的數(shù)據(jù)源加密后才能傳輸，否則將無(wú)法通過(guò)網(wǎng)絡(luò)邊界安全保密設(shè)備。6．對(duì)于D級(jí)涉密信息，必須首先通過(guò)相應(yīng)密級(jí)的數(shù)據(jù)源加密后，才能通過(guò)ISP提供的電子郵件、FTP等服務(wù)進(jìn)行傳遞；7．不允許C級(jí)及其以上級(jí)別的涉密信息使用電子郵件、FTP等服務(wù)進(jìn)行傳遞。8．計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器必須加裝網(wǎng)絡(luò)病毒自動(dòng)檢測(cè)系統(tǒng)，以保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全，防范計(jì)算機(jī)病毒的侵襲，并且必須定期更新網(wǎng)絡(luò)病毒檢測(cè)系統(tǒng)。第四章計(jì)算機(jī)信息傳輸?shù)谋Ｃ苡?jì)算機(jī)信息傳輸?shù)谋Ｃ苁侵冈谟?jì)算機(jī)網(wǎng)絡(luò)中傳輸涉密信息時(shí)所采取的安全保密措施。要求采取不易被截取的通信方法（如光纖通信）和采用分組交換的方法（通過(guò)調(diào)換分組及變更路由防止整個(gè)數(shù)據(jù)被盜），并要對(duì)傳輸數(shù)據(jù)進(jìn)行數(shù)據(jù)流加密，使非法攻擊者無(wú)法讀出所截獲的傳輸數(shù)據(jù)。一、計(jì)算機(jī)撥號(hào)進(jìn)入Internet網(wǎng)或其它公共網(wǎng)時(shí)信息傳輸?shù)谋Ｃ苡?jì)算機(jī)撥號(hào)進(jìn)入Internet網(wǎng)或其它公共網(wǎng)時(shí)信息傳輸?shù)谋Ｃ苤饕侵赣?jì)算機(jī)通過(guò)電話線及調(diào)制解調(diào)器，用異步或同步方式撥入Internet網(wǎng)或其它公共網(wǎng)時(shí)，在傳輸數(shù)據(jù)時(shí)應(yīng)采取的保密措施。一般采用電話信道加密機(jī)實(shí)現(xiàn)。在此基礎(chǔ)上，應(yīng)視保密級(jí)別不同采取如下措施：（一）對(duì)于D級(jí)涉密數(shù)據(jù)傳輸，必須采用以下方法：1．?dāng)?shù)據(jù)傳送前，要對(duì)數(shù)據(jù)經(jīng)過(guò)D級(jí)加密機(jī)或加密調(diào)制解調(diào)器進(jìn)行數(shù)據(jù)流加密；2．?dāng)?shù)據(jù)接收后，通過(guò)加密機(jī)、加密調(diào)制解調(diào)器或PC解密卡解密。（二）對(duì)于B級(jí)和C級(jí)涉密數(shù)據(jù)傳輸，必須采用以下方法：1．計(jì)算機(jī)必須在單機(jī)狀態(tài)時(shí)，才能撥號(hào)上網(wǎng)連接；2．?dāng)?shù)據(jù)傳送前，必須對(duì)數(shù)據(jù)經(jīng)過(guò)B級(jí)和C級(jí)加密機(jī)或加密調(diào)制解調(diào)器進(jìn)行數(shù)據(jù)流加密；3．?dāng)?shù)據(jù)接收后，通過(guò)加密機(jī)、加密調(diào)制解調(diào)器或PC解密卡解密；4．加密數(shù)據(jù)應(yīng)具有權(quán)限分級(jí)，以適合不同級(jí)別的用戶(hù)存取。二、局域網(wǎng)信息傳輸?shù)谋Ｃ芫钟蚓W(wǎng)信息傳輸?shù)谋Ｃ苁侵赣?jì)算機(jī)局域網(wǎng)內(nèi)不同網(wǎng)段之間，在傳輸數(shù)據(jù)時(shí)應(yīng)采取的保密措施。一般采用加密路由器、協(xié)議加密機(jī)、數(shù)據(jù)加/解密卡實(shí)現(xiàn)。（一）對(duì)于D級(jí)涉密數(shù)據(jù)傳輸，必須采用以下方法：1．局域網(wǎng)上各計(jì)算機(jī)或服務(wù)器應(yīng)配置D級(jí)的加解密卡；2．計(jì)算機(jī)之間的數(shù)據(jù)傳送應(yīng)符合D級(jí)的數(shù)據(jù)流加密，但已經(jīng)過(guò)D級(jí)的數(shù)據(jù)源加密的數(shù)據(jù)則可以不經(jīng)過(guò)數(shù)據(jù)流加密而直接傳輸；3．加密數(shù)據(jù)應(yīng)具有權(quán)限分級(jí)，以適合不同級(jí)別的用戶(hù)存取。（二）對(duì)于B級(jí)和C級(jí)涉密數(shù)據(jù)傳輸，必須采用以下方法：1．局域網(wǎng)上各計(jì)算機(jī)或服務(wù)器應(yīng)配置B級(jí)和C級(jí)的加解密卡；2．計(jì)算機(jī)之間的數(shù)據(jù)傳送應(yīng)符合B級(jí)和C級(jí)的數(shù)據(jù)流加密，但已經(jīng)過(guò)B級(jí)和C級(jí)的數(shù)據(jù)源加密的數(shù)據(jù)則可以不經(jīng)過(guò)數(shù)據(jù)流加密而直接傳輸；3．加密數(shù)據(jù)應(yīng)具有權(quán)限分級(jí)，以適合不同級(jí)別的用戶(hù)存取。三、廣域網(wǎng)信息傳輸?shù)谋Ｃ軓V域網(wǎng)信息傳輸?shù)谋Ｃ苁侵高M(jìn)入公網(wǎng)（廣域網(wǎng)）的各個(gè)局域網(wǎng)之間，在傳輸數(shù)據(jù)時(shí)應(yīng)采取的保密措施。可供采用的加密措施有：數(shù)據(jù)加/解密卡、數(shù)據(jù)加密機(jī)、數(shù)據(jù)采編加密系統(tǒng)、加密路由器、IP加密機(jī)、加密網(wǎng)關(guān)、防火墻系統(tǒng)、電子印章系統(tǒng)等。（一）對(duì)于D級(jí)涉密數(shù)據(jù)傳輸，必須采用以下方法：1．兩個(gè)計(jì)算機(jī)系統(tǒng)（或計(jì)算機(jī)局域網(wǎng)）通過(guò)廣域網(wǎng)數(shù)據(jù)傳輸時(shí)，應(yīng)首先根據(jù)其傳輸協(xié)議進(jìn)行符合D級(jí)的數(shù)據(jù)流加密，然后再進(jìn)行傳輸；2．計(jì)算機(jī)網(wǎng)間互連時(shí)必須采用加密路由器。3．信息經(jīng)過(guò)中間計(jì)算機(jī)網(wǎng)絡(luò)或互聯(lián)網(wǎng)絡(luò)交換中心時(shí)不應(yīng)解密，必須到達(dá)目標(biāo)局域網(wǎng)后由接收方通過(guò)解密設(shè)備自行解密。（二）對(duì)于B級(jí)和C級(jí)涉密數(shù)據(jù)傳輸，必須采用以下方法：1．局域網(wǎng)上各計(jì)算機(jī)或服務(wù)器應(yīng)配置B級(jí)和C級(jí)的加解密卡；2．兩個(gè)計(jì)算機(jī)系統(tǒng)（或計(jì)算機(jī)局域網(wǎng)）通過(guò)廣域網(wǎng)數(shù)據(jù)傳輸時(shí)應(yīng)首先根據(jù)其傳輸協(xié)議進(jìn)行符合B級(jí)和C級(jí)的數(shù)據(jù)流加密，然后再進(jìn)行傳輸；3．計(jì)算機(jī)網(wǎng)間互連時(shí)必須采用加密路由器；4．信息經(jīng)過(guò)中間計(jì)算機(jī)網(wǎng)絡(luò)或互聯(lián)網(wǎng)絡(luò)交換中心時(shí)不應(yīng)解密，必須到達(dá)目標(biāo)局域網(wǎng)后由接收方通過(guò)解密設(shè)備自行解密。四、密鑰的管理1．必須采用國(guó)家密碼管理委員會(huì)批準(zhǔn)的密碼產(chǎn)品；2．必須按國(guó)家密碼管理委員會(huì)密鑰管理的有關(guān)規(guī)定嚴(yán)格管理。第五章管理制度保障一、法律制度規(guī)范：法律制度是規(guī)范管理計(jì)算機(jī)網(wǎng)絡(luò)安全和保密的基礎(chǔ)、打擊各類(lèi)利用和針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)犯罪的有利武器，也是保障計(jì)算機(jī)網(wǎng)絡(luò)用戶(hù)