第一章 总 则

第一条 为保护计算机信息系统处理的国家秘密安全，保证校园网络系统的健康发展和可靠地运行，根据《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统保密管理暂行规定》等国家有关法规，结合我校实际，制定本制度。

第二条 本制度适用于接入校园网的所有用户。

第三条 校保密委员会主管计算机信息系统的保密工作。各单位的网络信息员协助单位领导主管本单位的计算机信息系统的保密工作。

第二章 系统保密要求

第四条 涉密计算机信息系统在规划和建设时，必须同步规划和落实保密管理制度和保密技术措施。已建成投入使用的涉密计算机信息系统，应完善保密管理制度和保密技术措施。涉密计算机信息系统的研制、安装和使用，必须达到保密要求。

第五条 涉密计算机信息系统应当采取有效的保密措施，制定切实可行的保密管理规定，配置合格的保密专用设备，防泄密、防窃密。所采取的保密措施应与处理信息的密级要求相一致。

第三章 场所保密要求

第六条 涉密计算机信息系统的安装、使用场所应当按照国家有关规定，与境外机构驻地、人员住所保持相应的安全距离。并根据所处理信息的涉密程度和有关规定，设立必要的控制区域，未经管理机关批准无关人员不得进入。

第七条 涉密计算机信息系统的安装、使用场所应采取有效的防电磁信息泄露的保密措施，有关设备电磁泄漏发射应当符合以下要求：

1.有关设备应当符合中华人民共和国公共安全和保密标准《信息设备电磁泄漏发射限值》（GBB-1）的相应标识；

2.不符合GBB-1标准的设备在处理绝密级信息的系统中应当在符合国家保密标准的屏蔽室内使用；

3.不符合GBB-1标准的设备在处理秘密、机密级信息的系统中使用，应安装经国家主管部门批准的干扰器。

第八条 涉密计算机信息系统的安装、使用场所应当定期或根据需要依据国家保密标准《使用现场的信息设备电磁泄漏发射测试方法和安全判据》（BMB-2）进行保密技术检查。

第九条 涉密计算机信息系统的安装、使用场所应建立健全安全保密制度和出入制度，应严格控制参观访问，必要的参观，须经校、院（部）主管领导批准，专人陪同，并停止涉密信息处理，对涉密设备采取有效的伪装措施。

第十条 涉密计算机信息系统的安装、使用场所的其他物理安全要求，应符合国家有关保密标准，保密级别按系统中的最高密级设定。

第四章 网络保密要求

第十一条 涉密计算机信息系统联网时，应当采取信息加密、数字签名、身份鉴别、访问控制、数据保护和系统安全保密监控管理等技术措施。

第十二条 涉密计算机网络系统应当采取身份鉴别技术，防止冒充、非法访问。对应不同的密级可采用不同程度的技术，如用户名/口令、指纹、视网膜识别等，并应具备防伪造、防猜测等手段。达不到安全保密措施的应用系统不得使用。身份鉴别应当符合以下要求：

1.口令应当由系统安全保密管理人员集中产生分配给用户使用，并有口令更换记录，不得由用户产生；

2.处理秘密级信息的系统口令长度不得少于八个字符，口令更换周期不得长于一个月；处理机密级信息的系统，口令长度不得少于十个字符，口令更换周期不得长于一周；处理绝密级信息的系统，应当采用一次性口令或生理特征等强认证措施；

3.口令必须加密存储，并且保证口令存放载体的物理安全；

4.口令在网络中必须加密传输。

第十三条 涉密计算机网络系统的访问应按权限控制，不得进行越权操作。未采取技术安全保密措施的数据库不得联网。访问控制应当符合以下要求：

1.处理秘密级、机密级信息的系统，访问应当按照用户类别控制；

2.处理绝密级信息的系统，访问控制必须控制到单个用户。

第十四条 涉密计算机网络系统的通信中应采用数字签名技术，以验证消息的完整性，有效地对抗冒充、等威胁。

第十五条 涉密计算机网络系统应具有审计功能，能够对网络操作进行完整记录。如果条件具备，应将审计功能与报警功能结合起来。审计跟踪应符合以下要求：

1.涉密系统应当有详细的系统日志，记录每个用户的每次活动（访问时间、地址、数据、程序、设备等）以及系统出错和配置修改等信息；

2.处理秘密级、机密级信息的系统，系统安全保密人员应当定期审查系统日志并作审查记录，审查周期不得长于一个月；

3.处理绝密级信息的系统，应当能够检测并且记录侵犯系统的事件，及时自动报警。系统安全保密管理人员应当定期审查系统日志并作审查记录，审查周期不得长于一周。

第十六条 涉密计算机网络系统在利用公网互连时，应综合运用网络加密、鉴别、防火墙等技术，构建安全的链路。安全路由器、网络加密机等设备只能使用国家有关机构认可的产品，并只能用于低于产品标称密级的涉密信息传递。

第十七条 涉密计算机网络系统与非密计算机网络系统必须物理断开。涉密计算机网络系统不得与境外机构、外国驻华机构及国际网络进行直接或间接联网。非密计算机网络系统中严禁存储、运行、传递、发布涉密信息。

第五章 信息保密要求

第十八条 涉密信息和数据必须按照保密规定进行采集、存储、处理、传递、使用和销毁。

第十九条 计算机信息系统存储、处理、传递、输出的涉密信息要有相应的密级标识，密级标识不能与正文分离。

第二十条 涉密信息应按相应密级文件进行管理。

第二十一条 涉密信息不得在与国际网络联网的计算机信息系统中存储、处理、传递。

第二十二条 涉及涉密信息的各种应用程序、数据库，必须有与涉密信息密级相适应的保密措施，确保涉密信息在建库、检索、修改、输出等环节的安全。

第二十三条 涉密信息的复制、分发、打印必须得到有效的控制，其管理方法与相同密级文件的管理方法相同。

第六章 管理机构与职责

第二十四条 涉密计算机信息系统在使用前必须报请保密部门审批，审批办法依照《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》（中保办发〔1998〕6号）执行。

第二十五条 计算机信息系统的保密管理实行领导责任制，由使用计算机信息系统的单位的主管领导负责本单位的计算机信息系统的保密工作，并指定有关人员具体承办。

第二十六条 信息与网络管理中心从技术角度协助校属各单位开展计算机信息系统的保密工作。

第二十七条 计算机信息系统的使用单位应根据系统所处理的信息涉密等级和重要性制定相应的管理制度。

第二十八条 学校保密委员会不定期对各单位的计算机应用安全保密情况进行检查。

第二十九条 计算机信息系统的系统安全保密管理人应经过严格审查，定期进行考核，并保持相对稳定。

第三十条 信息与网络管理中心对各单位使用计算机信息系统的工作人员进行上岗前的保密培训，并定期进行保密教育和检查。

第三十一条 任何单位和个人发现涉密计算机信息系统泄密后，都应及时采取补救措施，并按有关规定及时向上级报告。

第三十二条 本制度由信息与网络管理中心负责解释。