目前涉密信息系統(tǒng)在軍工企業(yè)、政府黨政機關(guān)單位及部分研究院所網(wǎng)絡(luò)建設(shè)中都有了明確規(guī)劃，涉密信息系統(tǒng)，在網(wǎng)絡(luò)中就會涉及國家秘密的信息，不論其中的涉密信息是多還是少，只要是有（即存儲、處理或傳輸了涉密信息），這個信息系統(tǒng)就是涉密信息系統(tǒng)。

涉密信息系統(tǒng)中的應(yīng)用服務(wù)安全現(xiàn)狀分析

（1）涉密信息系統(tǒng)建設(shè)基本原則：

①物理隔離：所謂物理隔離技術(shù)是指內(nèi)部信息網(wǎng)絡(luò)不和Internet等外部信息網(wǎng)絡(luò)相連，從物理上斷開的技術(shù)。這種方法基本杜絕了因為網(wǎng)絡(luò)互通互連所造成的外部攻擊或內(nèi)部泄密的可能。物理隔離技術(shù)是近年來出現(xiàn)的安全保密手段，它解決了重要單位及要害部門對信息安全保密的突出需求。日趨完善的物理隔離技術(shù)和產(chǎn)品已成為網(wǎng)絡(luò)安全保密體系中不可缺少的重要環(huán)節(jié)；

②最高防護：在一個涉密網(wǎng)絡(luò)中會有各種各樣的涉密文件，這些文件的密級各不相同，有非密、秘密級、機密級，也可能有絕密級。對不同密級文件的防護要求也是不同的，密級越高保護的要求就越嚴格。那么，我們在設(shè)計一個涉密網(wǎng)絡(luò)的時候，應(yīng)該以該網(wǎng)絡(luò)中可能出現(xiàn)的最高密級為標準來設(shè)計。此外，對涉密媒體中的信息進行復(fù)制、存儲、傳輸時也應(yīng)按該媒體中信息的最高密級標明密級，并按相應(yīng)密級進行管理。這就是我們通常所說的最高防護的原則；

③整體防護：網(wǎng)絡(luò)安全包括許多方面的內(nèi)容，有設(shè)備安全、信息安全、系統(tǒng)安全、安全管理等。從技術(shù)角度講，網(wǎng)絡(luò)安全是由安全的操作系統(tǒng)、應(yīng)用軟件、防火墻、網(wǎng)絡(luò)監(jiān)控、信息審計、信息加密、災(zāi)難恢復(fù)、安全掃描等來保證的。任何一個單獨的部分都無法完成整個網(wǎng)絡(luò)的安全管理工作。比如一個單位只購買了防火墻作為它保證網(wǎng)絡(luò)安全的惟一措施，那么該單位只能實現(xiàn)對網(wǎng)絡(luò)訪問的控制，而對于攻擊檢測、網(wǎng)絡(luò)安全監(jiān)控等要求就無法滿足了。因此我們說網(wǎng)絡(luò)安全是一個整體的概念。在規(guī)劃涉密網(wǎng)絡(luò)時，必須保證網(wǎng)絡(luò)設(shè)備和各個組件的整體性安全，這就是網(wǎng)絡(luò)安全的整體性原則。整體的網(wǎng)絡(luò)安全模型由以下幾個部分組成：M（Management）管理；P（Prediction）預(yù)警；P（Protection）防護；D（Detection）發(fā)現(xiàn)、掃描、檢測；R（Response）反應(yīng)；R（Recoveru）恢復(fù)/備份。

④動態(tài)原則：網(wǎng)絡(luò)安全管理是動態(tài)的。首先網(wǎng)絡(luò)本身是動態(tài)變化的，網(wǎng)絡(luò)的用戶在不斷增加，網(wǎng)絡(luò)規(guī)模在不斷擴大。其次網(wǎng)絡(luò)安全問題也具有動態(tài)性，網(wǎng)絡(luò)攻防技術(shù)不斷發(fā)展，黑客不斷地對網(wǎng)絡(luò)進行攻擊，病毒不斷地產(chǎn)生。這就促使網(wǎng)絡(luò)的防范策略也必須隨著網(wǎng)絡(luò)安全情況的變化而變化，從而形成一種相生相克的動態(tài)循環(huán)過程。

(2)涉密信息系統(tǒng)中的應(yīng)用服務(wù)安全

涉密信息系統(tǒng)中的應(yīng)用服務(wù)安全作為信息系統(tǒng)當(dāng)中的防護重點，就是信息系統(tǒng)中的服務(wù)器以及存儲在服務(wù)器當(dāng)中的涉密數(shù)據(jù)和應(yīng)用。一個安全的涉密系統(tǒng)應(yīng)用服務(wù)一定要進行分級管理，其中包括對信息保密程度分級（非密、絕密、機密、秘密）；對用戶操作權(quán)限分級（面向個人、面向群組）；對網(wǎng)絡(luò)安全程度分級（安全子網(wǎng)、安全區(qū)域）；對系統(tǒng)結(jié)構(gòu)分級（應(yīng)用層、網(wǎng)絡(luò)層、鏈路層等），從而針對不同級別的安全對象，提供全面可選的安全體系結(jié)構(gòu)以滿足網(wǎng)絡(luò)中不同層次的需求。

頒布的新保密法中要求國家秘密的知悉范圍要能夠限定到具體人員的;不能限定到具體人員的，限定到機關(guān)、單位，并由機關(guān)、單位限定到具體人員。那么在一個涉密信息系統(tǒng)中如果一個涉密信息存放的應(yīng)用服務(wù)沒有實施有效的分級管理，一些不符合知悉范圍人員也可以進行訪問和查看，這將嚴重違背涉密信息系統(tǒng)建設(shè)的基本原則。

長期以來很多單位在涉密信息系統(tǒng)建設(shè)中對系統(tǒng)當(dāng)中的應(yīng)用服務(wù)系統(tǒng)，在實施分級管理中通常走向兩種極端：一種是沒有對應(yīng)用系統(tǒng)進行必要的分級管理，或通過采用防火墻等設(shè)備在網(wǎng)絡(luò)層面進行簡單的訪問控制，遠遠不能達到分級管理的要求；另一種則是對不同密級的應(yīng)用系統(tǒng)采用完全的物理隔離，通過單機隔離或針對不同密級建立專用的涉密網(wǎng)絡(luò)。這樣既不便于日常辦公的使用，也因為重復(fù)的網(wǎng)絡(luò)建設(shè)造成資源浪費。

因此我們在涉密信息系統(tǒng)建設(shè)中針對應(yīng)用服務(wù)需要找到一種科學(xué)、易用的解決方案，既要能夠符合分級管理的要求，同時在日常辦公應(yīng)用中又不會對原有的使用習(xí)慣產(chǎn)生影響。