根据国家保密局1998年2月26日制定下发的《计算机信息系统保密管理暂行规定》和1998年10月27日制定下发的《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》,使用计算机处理国家秘密信息主要应当遵守以下保密规定。
1、处理国家秘密信息的计算机信息系统必须采取身份认证、访问控制、审计跟踪、防电磁辐射非等技术防范措施。
(1)涉密系统的身份认证应当符合以下要求。
口令应当由系统管理人员集中产生供用户选用,并有口令更换记录,不得由用户产生;处理秘密级信息的系统口令长度不得少于8个字符,口令更换周期不得长于1个月;处理机密级信息的系统,口令长度不得少于10个字符,口令更换周期不得长于1周;处理绝密级信息的系统,应当采用一次性口令或生理特征等强认证措施;口令必须加密存储,并且保证口令存放载体的物理安全。
(2)涉密系统的访问控制应当符合以下要求。
处理秘密级、机秘密信息的系统,访问应当按照用户类别控制;处理绝密级信息的系统,访问必须控制到单个用户。
(3)涉密系统的审计跟踪应当符合以下要求。
涉密系统应当有详细的系统日志,记录每个用户的每次活动以及系统出错和配置修改等信息;处理秘密级、机密级信息的系统,系统安全保密管理人员应当定期审查系统日志并做审查记录,审查周期不得长于1月;处理绝密集信息的系统,应当能够检测并记录侵犯系统的事件,及时自动告警;系统安全保密管理人员应当定期审查系统日志并作审查记录,审查周期不得长于1周。涉密系统有关设备的电磁泄漏发射应当符合有关标准,不符合标准的设备在处理绝密级信息的系统中应当在符合国家保密标准的屏蔽室内使用。在处理秘密级、机密级信息的系统中使用,应当安装经国家主管部门批准的干扰器。
2、涉密信息的存储、传输应当符合以下要求。
(1)秘密级、机密级信息应当加密传输。涉密系统安全处于其主管部门,独立使用和管理的封闭建筑群内,可以只采取物理保护措施;
(2)绝密级信息应当加密存储、加密传输;
(3)使用的加密措施应当经过有关主管部门批准,并且与所保护的信息密级一致。
3、涉密系统不得直接或间接连接国际互联网,必须实行物理隔离。国家秘密信息不得在于国际网络联网的计算机系统中存贮、处理、传递。
4、存储过国家秘密信息的计算机媒体不能降低密级使用,维修时应保证所存储的国家秘密信息不被泄露,不再使用的应及时销毁。
5、涉及国家秘密的通信、办公自动化和计算机信息系统的建设,必须与保密设施的建设同步进行,报经地(市)级以上保密工作部门审批后,才能投入使用。