第八节 涉密网络的运行安全
适用要点
1.国家秘密信息的界定
2.涉密系统的分级保护
3.存储和处理国家秘密信息的具体要求
《网络安全法》第七十七条规定,存储、处理涉及国家秘密信息的网络的运行安全保护,除应当遵守本法外,还应当遵守保密法律、行政法规的规定。这与《保守国家秘密法》《保守国家秘密法实施条例》《商用密码管理条例》《信息安全等级保护管理办法》(含配套标准文件以及拟定中的可以视为其升级版的网络安全等级保护制度)涉密管理等现有规定共同构成了涉密安全保护的制度体系。
一、存储和处理国家秘密信息的具体要求
国家秘密一经泄露,可能损害国家在政治、经济、国防、外交等领域的安全和利益,故属于国家安全和利益的重大事项。对于涉及国家秘密的信息和网络运行安全保护,属于《网络安全法》第一条所保护的国家安全、公众利益的应有之意。具体而言,《网络安全法》对涉密信息、涉密网络的安全保护提出了以下要求。
(一)确保网络数据的保密性
《网络安全法》第十条对网络数据的保密性作了原则性规定。保密性即包括对国家秘密信息、法人等组织的商业秘密信息、个人信息特别是隐私信息等主体基于分类、分级保密的内容,特别是对于国家秘密,我国通过《保守国家秘密法》《保守国家秘密法实施条例》等建立了严格的分类、分级保护制度。在网络空间中运行、处理、存储国家秘密,涉及如何适用保密规定,特别是如何将保密规定中的“涉密信息系统”管理制度适用于网络空间。
《网络安全法》第三十六条将安全保密协议作为网络产品、服务提供者向包括涉密在内的关键信息基础设施运营者提供产品、服务时的强制性内容,对供应商提出了明确的保密义务和责任规定。该条规定与《保守国家秘密法》《保守国家秘密法实施条例》的条款相吻合。
运营国家秘密或“涉密信息系统”的机关、单位,除应遵守《保守国家秘密法》不得将涉密计算机、涉密存储设备接入互联网及其他公共信息网络,禁止在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密的规定外,还应按照《网络安全法》第二十一条、第七十七条的规定,参考《密码法(草案征求意见稿)》的相关规定,存储、传输涉密信息应当将涉密信息的数据加密作为一项基本义务和要求,以确保涉密信息在公共网络上的加密传输、存储。
(二)关键设备和专用产品应符合要求
根据《网络安全法》第二十三条、第三十五条的规定,涉密网络的运营者在采购网络关键设备和网络安全专用产品(含服务)时,应采购具备资格的机构安全认证合格或者安全检测符合的设备和产品。2017年6月,《网络关键设备和网络安全专用产品目录(第一批)》发布,明确了15类设备、产品的强制性认证、检测准入要求,以此为基准,对可能影响国家安全的,并应按照《网络产品和服务安全审查办法(试行)》接受国家安全审查,以实现安全、可控。
二、关联的法律规定
(一)《保守国家秘密法》
《保守国家秘密法》作为“保守国家秘密,维护国家安全和利益”的基本法,一方面,部分条文构成了对《网络安全法》加密传输、存储的技术措施、协议约定、管理制度等规定的细化;另一方面,作为对涉密信息、网络进行规范的专门法,强调了对人员、数据资产和保密程序等在内的全方位、系统化管理要求。其主要规定和要求包括以下几方面。
1.涉密范围与密级
《保守国家秘密法》第九条至第十五条明确了涉密范围、期限、密级划分,将国家秘密的密级分为绝密、机密、秘密三级。该规定构成了《网络安全法》对涉密信息、网络安全保护规定的前提。并在第十七条规定,机关、单位对承载国家秘密的纸介质、光介质、电磁介质等载体(国家秘密载体)以及属于国家秘密的设备、产品,应当作出国家秘密标志。该条规定为认定是否构成国家秘密提供了形式依据。
2.保密制度
对于涉密信息、网络安全保护应采取的保密措施,该法具体规定主要体现在保密制度专章中。
《保守国家秘密法》第二十三条规定,存储、处理国家秘密的计算机信息系统(以下简称涉密信息系统)按照涉密程度实行分级保护。涉密信息系统应当按照国家保密标准配备保密设施、设备。保密设施、设备应当与涉密信息系统同步规划、同步建设、同步运行。涉密信息系统应当按照规定,经检查合格后,方可投入使用。上述规定应理解为与《网络安全法》第三十一条、第三十三条对关键信息基础设施的涉密信息、网络的对应,其体现的分级保护、“三同步”规定基本一致。
《保守国家秘密法》第二十四条至第二十七条具体规定了有关机关、单位以及任何组织和个人禁止实施的行为:(1)将涉密计算机、涉密存储设备接入互联网及其他公共信息网络;(2)在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换;(3)使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息;(4)擅自卸载、修改涉密信息系统的安全技术程序、管理程序;(5)将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途;(6)非法复制、记录、存储国家秘密;(7)在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密;(8)在私人交往和通信中涉及国家秘密等。第二十四条至第二十七条的规定,构成了对《网络安全法》第二十一条的涉密补充,其体现的主要思想是,对涉密信息的传输、存储、使用等,应采取必要的技术措施和管理制度进行安全保护。
3.泄密案件处理
泄密案件处理是《网络安全法》第二十五条、第四十七条、第五十四条在涉密信息、网络场景的对应,《网络安全法》中作为网络安全事件监测和处置,在《保守国家秘密法》中则作为泄密案件处理。两者规定的义务与责任主体、处理程序基本一致。主要体现在第二十八条和第五十条规定中:(1)互联网及其他公共信息网络运营者应当配合公安机关、国家安全机关、检察机关对泄密案件进行调查;(2)发现利用互联网及其他公共信息网络发布的信息涉及泄露国家秘密的,应当立即停止传输,保存有关记录,向公安机关、国家安全机关或者保密行政管理部门报告;(3)应当根据公安机关、国家安全机关或者保密行政管理部门的要求,删除涉及泄露国家秘密的信息;(4)国家工作人员或者其他公民发现国家秘密已经泄露或者可能泄露时,应当立即采取补救措施并及时报告有关机关、单位。机关、单位接到报告后,应当立即作出处理,并及时向保密行政管理部门报告。
4.保密协议与保密审查制度
《保守国家秘密法》第二十九条规定,机关、单位公开发布信息以及对涉及国家秘密的工程、货物、服务进行采购时,应当遵守保密规定。第三十条规定,机关、单位对外交往与合作中需要提供国家秘密事项,或者任用、聘用的境外人员因工作需要知悉国家秘密的,应当报国务院有关主管部门或者省、自治区、直辖市人民政府有关主管部门批准,并与对方签订保密协议。第三十四条规定,从事国家秘密载体制作、复制、维修、销毁,涉密信息系统集成,或者武器装备科研生产等涉及国家秘密业务的企业事业单位,应当经过保密审查,具体办法由国务院规定。机关、单位委托企业事业单位从事前款规定的业务,应当与其签订保密协议,提出保密要求,采取保密措施。
5.场所和物理安全
《保守国家秘密法》第三十二条规定,机关、单位应当将涉及绝密级或者较多机密级、秘密级国家秘密的机构确定为保密要害部门,将集中制作、存放、保管国家秘密载体的专门场所确定为保密要害部位,按照国家保密规定和标准配备、使用必要的技术防护设施、设备。第三十三条规定,军事禁区和属于国家秘密不对外开放的其他场所、部位,应当采取保密措施,未经有关部门批准,不得擅自决定对外开放或者扩大开放范围。上述规定体现了《网络安全法》的网络安全等级保护和关键信息基础设施保护的思路。属于上述规定的要害部位、非开放部位,都可能纳入关键信息基础设施予以重点保护。
6.人员安全
《保守国家秘密法》第三十五条规定,在涉密岗位工作的人员(以下简称涉密人员),按照涉密程度分为核心涉密人员、重要涉密人员和一般涉密人员,实行分类管理。任用、聘用涉密人员应当按照有关规定进行审查。涉密人员应当具有良好的政治素质和品行,具有胜任涉密岗位所要求的工作能力。涉密人员的合法权益受法律保护。第三十六条规定,涉密人员上岗应当经过保密教育培训,掌握保密知识技能,签订保密承诺书,严格遵守保密规章制度,不得以任何方式泄露国家秘密。第三十九条规定,机关、单位应当建立健全涉密人员管理制度,明确涉密人员的权利、岗位责任和要求,对涉密人员履行职责情况开展经常性的监督检查。第三十一条规定,举办会议或者其他活动涉及国家秘密的,主办单位应当采取保密措施,并对参加人员进行保密教育,提出具体保密要求。以上规定可以理解为是对《网络安全法》第三十四条关键信息基础设施运营者应当履行的安全保护义务中第一款和第二款规定的涉密的细化。
(二)《保守国家秘密法实施条例》
《保守国家秘密法实施条例》第二十三条规定,涉密信息系统按照涉密程度分为绝密级、机密级、秘密级。机关、单位应当根据涉密信息系统存储、处理信息的最高密级确定系统的密级,按照分级保护要求采取相应的安全保密防护措施。第二十四条第一款规定,涉密信息系统应当由国家保密行政管理部门设立或者授权的保密测评机构进行检测评估,并经设区的市、自治州级以上保密行政管理部门审查合格,方可投入使用。第二十五条第一款规定,机关、单位应当加强涉密信息系统的运行使用管理,指定专门机构或者人员负责运行维护、安全保密管理和安全审计,定期开展安全保密检查和风险评估。第二十八条规定,企业事业单位从事国家秘密载体制作、复制、维修、销毁,涉密信息系统集成或者武器装备科研生产等涉及国家秘密的业务(以下简称涉密业务),应当由保密行政管理部门或者保密行政管理部门会同有关部门进行保密审查。保密审查不合格的,不得从事涉密业务。
其中,安全审计的规定尽管未在《网络安全法》中直接明确,但安全审计作为“保存有关记录”和实现信息、数据可追溯、可验证的“可信”综合规定,对于实现本条存储、处理涉及国家秘密信息的网络的运行安全保护目的具有重要现实意义。
(三)《信息安全等级保护管理办法》
1.测评与检测
《信息安全等级保护管理办法》在第二十二条、第二十三条、第二十八条至第三十三条等条款明确了以测评和检测作为衡量和评判安全等级保护水平的基准,并对测评机构资质和义务作出了规定。第二十二条规定第三级以上信息系统应当选择符合相应条件的等级保护测评机构进行测评,并在第二十三条规定了从事信息系统安全等级测评的机构的相应义务。
2.分级对应制度
《信息安全等级保护管理办法》通过专章“涉及国家秘密信息系统的分级保护管理”对涉及国家秘密的信息系统保护作出规定,其整体规定与《保守国家秘密法》相呼应,通过标准、指引进行规范是《信息安全等级保护管理办法》的重要特色,围绕《信息安全等级保护管理办法》构筑的相应标准、指引,目前仍是行之有效的规定;同时,第二十七条要求涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准,按照秘密、机密、绝密三级的不同要求,结合系统实际进行方案设计,实施分级保护,其保护水平总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平的规定,实现了涉密分级与等保分级的直接对应。
3.密码管理
《信息安全等级保护管理办法》第三十四条规定,国家密码管理部门对信息安全等级保护的密码实行分类分级管理。根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度,被保护对象的安全防护要求和涉密程度,被保护对象被破坏后的危害程度以及密码使用部门的性质等,确定密码的等级保护准则。第三十六条规定,信息系统运营、使用单位应当充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的,应报经国家密码管理局审批,密码的设计、实施、使用、运行维护和日常管理等,应当按照国家密码管理有关规定和相关标准执行;采用密码对不涉及国家秘密的信息和信息系统进行保护的,须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准,其密码的配备使用情况应当向国家密码管理机构备案。
(四)《商用密码管理条例》
在《密码法》出台之前,《商用密码管理条例》仍是有效的行政法规,对不涉及国家秘密内容的信息进行加密保护或者安全认证的商用密码进行监管。根据《商用密码管理条例》第三条的规定,商用密码技术属于国家秘密,同时考虑到现代密码学的算法、密钥技术特点,商用密码技术亦是核心密码、普通密码的技术参照和基础,商用密码与核心密码、普通密码具有某些共同特征。因此,应对商用密码技术的存储、处理涉及的网络既不可缺失,亦不能过度依赖,须予以适度安全保护。
需要强调的是,不受监管的商用密码使用会对国家秘密信息构成危害(例如,非标准的加密可能无法实现解密),因此,《商用密码管理条例》第十三条规定,进口密码产品以及含有密码技术的设备或者出口商用密码产品,必须报经国家密码管理机构批准。任何单位或者个人不得销售境外的密码产品。第十四条规定,任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制的或者境外生产的密码产品。第十五条规定,境外组织或者个人在中国境内使用密码产品或者含有密码技术的设备,必须报经国家密码管理机构批准;但是,外国驻华外交代表机构、领事机构除外。结合《信息安全等级保护管理办法》第三十七条规定:运用密码技术对信息系统进行系统等级保护建设和整改的,必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护,不得采用国外引进或者擅自研制的密码产品;未经批准不得采用含有加密功能的进口信息技术产品。事实上,对《网络安全法》中的国家安全审查制度从密码层面提出了具体要求。
整体而言,《保守国家秘密法》作为涉密信息保护的基本法,重点在于围绕涉密信息的安全构建保密体系,关注和强调的是存储涉密信息的涉密信息系统的保护,《信息安全等级保护管理办法》作为规范性文件,与行政法规《保守国家秘密法实施条例》一并体现衔接法律与标准的作用。网络空间中涉密信息和涉密信息系统并非一直处于孤立或静止状态,而是时刻处于网络运行的动态背景下,因此,在《网络安全法》中也需要提升和实现从信息安全等级保护到网络安全等级保护的升级与跃迁。《网络安全法》力图回应在“不安全”的网络上保护涉密信息这一新常态问题,未来的《密码法》则为这一问题的解答提供了加密的基本技术路径。三部基础法律将共同构筑和完善涉密信息、系统、网络的安全保护体系。
三、典型案例
2016年4月18日,中央电视台《焦点访谈》栏目播出了名为《致命的密码 身边的“暗战”(一)》的一期节目,引发全国震惊。犯罪嫌疑人黄某,1997年进入我国一家涉密科研所工作,其工作能力平平,工作态度不端正,在职期间频繁更换工作岗位与部门。按照末位淘汰制的规定,黄某将被解职。由于心怀不满,黄某便将其在工作期间获取的国家机密出卖给境外间谍组织。在金钱的诱惑下,黄某从一名研究所职员变成了间谍。其间,黄某以到国外开会出差、旅游为由掩盖自己的行踪。由于已经离职,黄某掌握的机密已经所剩不多,于是他打算寻求老同事闻某的帮助获取更多的情报,在遭到闻某的拒绝后,黄某开始将目标锁定为在另一家涉密单位工作的妻子唐某身上。之后,黄某又窃取了同一工作系统内其姐夫谭某笔记本中的资料,仍不满足的黄某还继续窃取其他同事电脑上的资料。2011年,国家安全机关对黄某实施了抓捕。根据黄某的护照显示,其出境为境外间谍组织提供情报共计21次。根据我国《刑法》第一百一十条和第一百一十三条的规定,参加间谍组织或者接受间谍组织及其代理人任务,从事间谍活动,危害国家安全的,处十年以上有期徒刑或者无期徒刑;对国家和人民危害特别严重,情节特别恶劣的,可以判处死刑。最终,黄某因“间谍罪”被依法判处死刑,剥夺政治权利终身,并收缴间谍经费。
法条链接目录
1.中华人民共和国网络安全法
2.中华人民共和国保守国家秘密法
3.信息安全等级保护管理办法
4.中华人民共和国保守国家秘密法实施条例
5.中华人民共和国密码法(草案征求意见稿)
6.网络关键设备和网络安全专用产品目录(第一批)
7.网络产品和服务安全审查办法(试行)
8.商用密码管理条例