中央企業商業秘密安全保護技術指引國資委保密委員會2015年4月目錄TOC\o"1-4"\h\z\u引言 1中央企業商業秘密安全保護技術指引 21范圍 22規范性引用文件 23術語和定義 23.1商業秘密commercialsecret 23.2信息系統informationsystem 23.3商業秘密信息系統commercialsecretinformationsystem 23.4商業秘密終端commercialterminal 33.5安全域securitydomain 33.6密級標識classificationlabel 33.7存儲介質storagemedium 34商業秘密安全保護概述 34.1商業秘密的保護范圍 34.2指引實施的目標 34.3指引實施的原則 34.3.1分級分域管理原則 44.3.2全生命周期管理原則 44.3.3整體規劃和分步實施原則 44.4商業秘密安全保護的基本要求 44.4.1定密與密級標識 44.4.2商業秘密數據分類保護 44.4.3商業秘密數據分級安全保護 44.4.4商業秘密數據分域安全保護 54.4.5安全保密產品選擇 55商業秘密全生命周期數據安全保護 55.1商業秘密全生命周期階段劃分 55.1.1商業秘密形成階段 55.1.2商業秘密流轉與應用階段 55.1.3商業秘密存儲階段 55.1.4商業秘密脫密及銷毀階段 65.2非結構化商業秘密數據安全保護 65.2.1形成階段數據安全 65.2.2流轉與應用階段數據安全 65.2.3存儲階段數據安全 85.2.4脫密及銷毀階段數據安全 95.3結構化商業秘密數據安全保護 96商業秘密信息系統安全保護 106.1物理安全 106.2網絡安全 116.2.1網絡邊界安全防護 116.2.2網絡區域防護 116.3服務器與應用安全 126.3.1身份鑒別 126.3.2權限管理 136.3.3安全防護 136.3.4安全審計 146.3.5資源控制 146.3.6備份與恢復 146.4終端安全 146.4.1終端準入控制 146.4.2終端安全管理 156.4.3運行安全管理 166.5移動存儲介質安全 176.5.1介質標記 176.5.2介質使用 176.5.3介質審計 176.6打印和刻錄安全 176.6.1打印控制 176.6.2刻錄控制 187商業秘密安全保護監測與審計 187.1商業秘密安全保護監測 187.2商業秘密安全保護審計 197.2.1審計范圍 197.2.2安全審計記錄內容 197.2.3審計記錄的存儲 197.2.4審計記錄的查閱 207.2.5審計記錄的保護 208管理保障 208.1管理制度 208.2職責分工 208.3人員管理 21引言中央企業商業秘密是中央企業的重要無形資產，是企業的核心競爭力所在，因此,加強商業秘密保護是有效維護中央企業自身權益，確保國有資產保值增值的必要前提和重要途徑。2010年3月25日，國務院國有資產監督管理委員會公布施行《中央企業商業秘密保護暫行規定》（以下簡稱《暫行規定》），明確規定中央企業商業秘密保護的機構、職責和措施，要求企業建立法定代表人負責制。隨著信息化時代的來臨，中央企業商業秘密主要存在于信息系統中，因此企業的生產經營極度依賴于信息系統的安全，一旦信息系統內的商業秘密保護不當，導致企業的經營信息、技術信息等商業秘密泄密或被竊取，將給企業生產經營帶來重大風險與隱患，因此，為了提高中央企業商業秘密的安全防護水平，須重點保護承載有商業秘密的信息系統安全。2012年5月14日，國資委公布施行第一版《中央企業商業秘密信息系統安全技術指引》（以下簡稱《指引》），提出了“突出重點，分步實施”的原則，要求各中央企業對集團層面的承載有商業秘密的信息系統在1-3年內部署完成有關安全保密措施，并結合本單位實際，利用3-5年的時間，在本企業系統內分步部署完成相關安全保密措施。根據當前信息安全形勢的發展及數據安全技術的發展進步，結合第一、二批部分試點單位建設中的經驗，對《指引》進行修訂形成本指引，修訂版在原有基礎上，結合商業秘密的形成、流轉、存儲、脫密以及銷毀等階段，著重強調了商業秘密數據全生命周期安全保護理念，提出了針對不同階段數據的安全保護標準，突出了商業秘密自身的安全保護，并將《指引》中的技術要求與現有的國家有關標準體系進行了有效銜接。中央企業在開展信息系統中的商業秘密保護時，應本著“講求效益、遵循標準、突出重點、便于操作”的建設原則，以“保數據、保核心、保安全”為目標，按照本指引有關內容，切實加強各類信息系統內商業秘密安全保護水平，最終實現“進不來、拿不走、打不開、賴不掉”的商業秘密安全保護目標。中央企業應根據本指引，結合實際，對承載于各類信息系統中的商業秘密安全防護體系進行建設或完善。本指引可與國家其他相關標準結合使用。本指引由國務院國資委保密委員會制定并負責解釋。中央企業商業秘密安全保護技術指引范圍本指引規定了中央企業商業秘密的等級劃分準則，對商業秘密全生命周期進行了階段劃分，并對不同階段中商業秘密的保護提出了具體的安全防護措施。本指引適用于中央企業商業秘密保護的安全建設和管理，中央企業中所有信息系統中的商業秘密的安全保護須符合本指引。規范性引用文件《中央企業商業秘密保護暫行規定》（國資保密﹝2010﹞41號）《中央企業商業秘密信息系統安全技術指引》（國資保密〔2012〕003號）《信息系統安全等級保護基本要求》GB/T22239—2008《信息系統安全等級保護實施指南》GB/T25058—2010《涉及國家秘密的信息系統分級保護技術要求》BMB17-2006術語和定義商業秘密commercialsecret是指不為公眾所知悉、具有實用性、能為企業帶來經濟利益，并且需要采取保密措施進行安全保護的經營信息和技術信息。信息系統informationsystem信息系統是由計算機硬件、網絡和通訊設備、計算機軟件、信息資源、信息用戶和規章制度組成的以處理信息流為目的的人機一體化系統。商業秘密信息系統commercialsecretinformationsystem指處理商業秘密的信息系統。商業秘密終端commercialterminal是指處理涉及商業秘密但不涉及國家秘密的計算機終端設備，以下簡稱終端。安全域securitydomain安全域是由一組具有相同安全保護需求、并相互信任的信息系統組成的邏輯區域。密級標識classificationlabel用于標明商業秘密等級的數字化信息。存儲介質storagemedium存儲介質是指存儲數據的載體,如光盤、DVD、硬盤、U盤、SD卡、紙質等。商業秘密安全保護概述商業秘密的保護范圍依據《暫行規定》，商業秘密的保護范圍主要包括：戰略規劃、管理方法、商業模式、改制上市、并購重組、產權交易、財務信息、投融資決策、產購銷策略、資源儲備、客戶信息、招投標事項等經營信息；設計、程序、產品配方、制作工藝、制作方法、技術訣竅等技術信息。各中央企業需根據《暫行規定》的要求，并結合企業實際情況，明確本企業商業秘密的具體范圍。具體范圍應包括商業秘密事項、密級、保密期限、責任部門等。中央企業商業秘密的密級，根據信息泄露會使企業利益遭受損害的程度，確定為普通商業秘密、核心商業秘密兩級，密級標注統一為“普通商密”、“核心商密”，并根據不同密級實行不同的保護要求。本指引中未特別說明之處均指對“普通商密”的保護要求，對“普通商密”的保護要求為一般性安全防護等級的技術要求；對“核心商密”的保護要求為高安全防護等級的技術要求，是在“普通商密”保護要求的基礎之上進行針對性加強的保護要求。指引實施的目標通過全面實施本技術指引，對中央企業商業秘密保護工作進行規范和指導，促進中央企業加強商業秘密安全技術保護建設，實現中央企業對商業秘密保護能力的動態管理，從而提升中央企業的商業秘密防護水平。指引實施的原則分級分域管理原則本指引針對普通商密和核心商密兩個級別的商業秘密數據采用不同的技術要求。根據信息系統網絡平臺和業務功能的不同，應明確劃分商業秘密信息系統的安全域，對于存在非商密、普通商密和核心商密的安全域應按照高級別安全域進行標識。安全域之間應有明確清晰的邊界。全生命周期管理原則商業秘密數據應從全生命周期角度進行全程全域的安全保護，做到事前防范、事中控制和事后追溯相結合，以有效保護商業秘密全生命周期的安全，避免商業秘密外泄，給企業帶來重大損失。整體規劃和分步實施原則商業秘密的安全保護建設應進行整體規劃和頂層設計。新建信息系統時，應同步規劃、同步設計、同步建設相應的商業秘密安全保護措施；已建的信息系統，根據企業的實際情況，可通過分步實施的途徑逐步實施。商業秘密安全保護的基本要求定密與密級標識企業應根據自身商業秘密數據安全管理的實際情況，建立商業秘密定密管理規范和定密流程，確定責任人、審核人、承辦人，并授予其相應定密權限，確定單位的定密依據、定密細目等。信息系統中的商業秘密應根據定密結果設定相應的密級標識，密級標注統一為“核心商密”、“普通商密”。商業秘密數據分類保護商業秘密數據分為結構化商密數據和非結構化商密數據兩個類別。非結構化商密數據應綜合運用身份鑒別、數據加密、細粒度訪問控制以及安全審計等多種技術進行全程全域的安全保護，以確保商業秘密數據全生命周期的安全；結構化商密數據應綜合運用身份鑒別、細粒度訪問控制以及安全審計等多種技術進行全程全域的安全保護，結構化商密數據在導出時應采用加密等技術確保使用過程中的安全。商業秘密數據分級安全保護商業秘密分為普通商密和核心商密兩個密級，商業秘密數據的安全保護應根據自身密級遵循相應的安全防護等級進行防護。即普通商密數據遵循普通商密安全等級進行防護，核心商密數據遵循核心商密安全等級進行防護。同一信息系統中，存在不同密級的商業秘密數據需要保護時，須遵循核心商密安全防護等級進行防護。商業秘密數據分域安全保護商業秘密信息系統應明確劃分安全域進行安全防護，安全域的安全防護須遵循域中最高密級的商業秘密數據的安全防護等級進行防護。不同安全域之間應劃分明確的邊界，安全域與安全域之間的所有數據通信應安全可控。對于不同等級的安全域之間的通信，應采取訪問控制措施禁止高密級信息由高等級安全域流向低等級安全域。處理商業秘密數據的安全域應采取適當的隔離或密碼保護等措施才能接入國際互聯網。既處理商密數據又處理非商密數據的同一終端，應綜合采用加密等多種技術手段確保終端上所承載的商密數據的安全。安全保密產品選擇商業秘密信息系統中使用的安全保密產品原則上應選用國產產品。所選用的安全保密產品應通過國家相關主管部門授權的測評機構的檢測。商業秘密全生命周期數據安全保護商業秘密全生命周期階段劃分商業秘密形成階段商業秘密形成階段主要分為非結構化商密數據形成階段和結構化商密數據形成階段。結構化商密數據形成階段為錄入商密數據并保存到數據庫的階段；非結構化商密數據形成階段主要包括文件的起草、定密、審核及簽發等。商業秘密流轉與應用階段商業秘密流轉與應用階段主要分為結構化商密數據流轉與應用階段與非結構化商密數據流轉與應用階段。結構化商密數據流轉與應用階段為數據庫表單數據的存取和利用；非結構化商密數據流轉與應用階段包括商密數據內部網絡應用與外部網絡傳輸階段。商業秘密存儲階段商業秘密存儲階段主要包括終端存儲、服務器存儲以及非信息系統存儲。商業秘密脫密及銷毀階段商業秘密脫密及銷毀階段主要包括信息系統中處理商密數據的設備、存儲介質以及商密數據本身等進行脫密或銷毀。非結構化商業秘密數據安全保護形成階段數據安全本階段主要以密級標識的設定與管理為核心，在商業秘密安全保護過程中，定密是商業秘密保護的首要環節，同時也是為商業秘密在信息系統中的保護提供依據。應采取統一定密、統一變更等措施管理密級標識；應對服務器、應用系統、數據庫中的商密數據及載體等設置并管理密級標識；密級標識應與商密數據主體不可分離，其自身不可篡改；密級標識應由權屬（單位規范簡稱或者標識等）、密級、保密期限三部分組成；商業秘密的密級、保密期限變更后，應在原標明位置的附近作出新標志，原標志以明顯方式廢除；應對終端上創建的商密數據及其使用過程中產生的數據采取加密等技術進行保護；應對商業秘密的知悉范圍和訪問權限進行細粒度的控制；應對商密數據在形成階段的操作行為進行安全審計,并形成安全審計統計分析報告；核心商密保護還應符合：核心商業秘密發生密級變更須經過流程審批并可追溯。流轉與應用階段數據安全本階段主要以商密數據安全管控為核心，通過加強數據管控，為商業秘密在不同流轉與應用階段的安全保護提供強有力的保障。流轉過程控制商密數據在非內部網絡傳輸時，應采取商用密碼加密等技術措施進行保護，防止傳輸的信息被竊取；應采取數字簽名、時間戳等技術防止參與通信的雙方或一方對自己行為以及所做的操作（如文件創建、信息發送、信息接收以及批示）進行部分或全部的否認；運行商業秘密信息系統的網絡中，未經授權不得使用帶有網絡嗅探功能（包括抓包、監聽、數據包回放分析等）的工具或設備；應通過黑/白名單等方式管理電子郵件的收發，并對郵件的相關信息進行審計；應通過黑/白名單等方式管理網頁訪問及FTP、P2P、即時通信等軟件的使用；核心商密保護還應符合：禁止租用第三方服務商提供的網絡應用服務傳輸核心商密數據，包括外部郵件服務、外部基于云計算技術的服務、即時通信服務等；使用無線網絡傳輸包含核心商密數據時，須對傳輸中的數據采用動態加密技術手段；核心商密數據如需通過內部網絡傳輸時，須采用加密的VPN或其他技術手段，防止數據被截獲后被解密或被破解；應能夠檢測到核心商密數據在傳輸過程中完整性，并采取必要的恢復措施。應用控制應根據企業自身實際情況對不同類別的商密數據設置相應權限。如：財務數據，只允許財務部具有編輯權限；董事長、總經理和相關人員具有閱讀權限；其他人員沒有閱讀或編輯的權限；應對商密數據的應用操作行為進行審計，對違規操作行為進行報警，審計的記錄至少保存半年；對商密數據的管理和控制，須以不影響員工正常的編輯閱讀、數據處理、數據交換、出差和在外辦公為前提，并且不受到網絡連通與否狀況的影響；核心商密保護還應符合：在終端上使用核心商密數據時，須在終端屏幕上自動顯示水印，水印位置、格式、透明度等可自定義，以防止通過拍照方式泄露商業秘密；應用開發人員原則上不準直接訪問核心商密數據，確有需要時須對其進行控制和管理，開發任務完成后應對相關的核心商密數據進行及時回收或轉移。外發過程控制應對商業秘密數據的外發行為進行審批、授權等控制；應對商密數據知悉范圍和權限進行控制，限制閱讀人員、閱讀次數以及閱讀期限，并且不受網絡連通情況的影響；應使用數據加密等安全技術，對外發的商業秘密數據內容進行安全保護；應對商密數據的外發行為進行審計，對違規操作行為進行報警，審計的記錄至少保存半年；核心商密保護還應符合：應對外發核心商密數據的設備進行保密檢查；核心商密數據的外發只能在指定地點及設備進行集中操作，對外發商密數據做集中式留檔便于審計；核心商密數據必須由兩個及以上相關人員審批通過后方可外發，外發后未經相關人員授權禁止脫離安全環境。存儲階段數據安全本階段主要以商密數據保密為核心，通過數據保密等相關技術，確保商業秘密不被泄露或竊取。終端存儲保護應采用商用密碼加密等技術措施，對終端上的商密數據進行保護，并對加密數據做讀寫訪問控制，避免保留在終端上商密數據被竊取；應啟動訪問控制措施，保護終端上的商業秘密數據不被非授權訪問；存儲在終端的商業秘密數據導出時須履行審批，并在系統中可審計；對采用虛擬化技術的終端應進行相關技術防護，防止商業秘密數據泄露；存放有商密數據的終端使用移動存儲介質時應進行嚴格的授權訪問控制；對下載到移動終端設備存儲區域的商密數據，應采取商用密碼加密等技術措施進行安全保護，防止存儲的信息被竊取；核心商密保護還應符合：終端上禁止大量存放核心商密數據，對核心商密數據應實現集中加密存儲，實現細粒度的使用權限控制，對使用情況進行統計分析，實現對企圖非法訪問的主動屏蔽和及時告警；應可實現對存儲在移動終端設備上的核心商密數據進行遠程銷毀。服務器存儲保護商密數據在服務器中存儲應采取商用密碼加密等技術措施進行機密性保護，防止存儲的商密數據被竊取；商密數據在存儲過程中應采取完整性監測措施，防止存儲的信息被篡改、被破壞，并采取必要的恢復措施；對于保存在服務器上的商密數據，應啟動訪問+++6對于因故障需要到外部機構維修的服務器存儲介質，應通過數據擦除工具/設備擦除介質中的數據，并確保被擦除的數據無法通過常規數據恢復工具得到恢復，再送出維修；服務器存儲介質的維修、報廢和銷毀應集中由專人統一處理，并進行登記。脫密及銷毀階段數據安全本階段主要以數據安全脫密及銷毀為核心,確保商密數據在超出有效期后得到及時處理。商密數據的脫密須經審批后執行解密，審批過程遵循嚴格的審批流程和制度約定，通過相關技術對審批行為以及脫密的商密數據進行審計，并對審計記錄進行集中管理；商密數據銷毀后應該對處理商密數據的載體進行數據擦除、盤體銷毀；應對超過使用權限的外發商業秘密數據，執行自動銷毀，以防超出知悉范圍人員越權查閱商密數據；核心商密保護還應符合：對處理核心商密的載體應采取物理銷毀的方式。結構化商業秘密數據安全保護應確保結構化商密數據訪問者身份的真實性、合法性；應提供訪問控制功能，依據安全策略控制用戶對結構化商密數據的訪問；應授予不同帳戶為完成各自承擔任務所需的最小權限，并在它們之間形成相互制約的關系；應提供覆蓋到每個用戶的安全審計功能，對結構化商密數據操作的重要安全事件進行審計，對違規操作行為及時告警；應提供覆蓋到每個系統運維人員的安全審計功能，對結構化商密數據維護的重要安全事件進行審計，對違規運維行為及時告警；應用系統與數據庫中商業秘密的導出，應采取商用密碼加密等技術進行保護，對數據庫的直接訪問應能防止通過拷貝、截屏、錄屏等方式造成的泄密；核心商密保護還應符合：應能夠檢測到結構化核心商密數據在存儲過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施；應通過商用密碼等技術保證結構化商密數據傳輸過程中的完整性和機密性；應通過商用密碼加密等技術保證結構化數據的存儲安全；應通過商用密碼等技術保證結構化核心商用數據的使用安全；應保證結構化核心商用數據所在的存儲空間被釋放或重新分配給其他用戶前得到完全清除。商業秘密信息系統安全保護物理安全應滿足GB9361-2011中B類安全機房場地選擇要求；應滿足GB50174，GB/T2887-2000的要求，并在防火、防水、溫濕度、防雷、防靜電等方面達到GB9361-2011中B類安全機房建設要求；機房或數據中心的所有出入口，應采取電子門禁系統或者專人值守的方式對進出的人員進行審核和登記，所有對機房進行物理訪問的人員須留有審計記錄。應安裝視頻監控系統對機房的關鍵通道進行不間斷的監控；非授權人員出入機房時須由機房值班人員陪同。網絡安全網絡邊界安全防護應根據安全域劃分情況，明確需進行安全保密防護的邊界；在明確的安全域邊界實施有效的訪問控制策略和機制；應根據信息安全對抗技術的發展，在系統或安全域邊界的關鍵點采用嚴格的安全防護機制，如嚴格的登錄/訪問控制、信息過濾、邊界完整性檢查等；應對非授權設備私自聯到內部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷；應對內部網絡用戶私自聯到外部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷；核心商密保護還應符合：網絡邊界處應具備入侵檢測能力；應在網絡邊界處對惡意代碼進行檢測和清除。網絡區域防護根據業務功能的不同，將處理商業秘密的應用系統劃分到一個或多個安全區域，安全區域間需設置訪問控制策略；處理商業秘密的安全域與其他安全域之間的邊界應劃分明確，安全域與安全域之間的所有數據通信都應安全可控：對于不同等級的安全域間通信，應禁止高密級信息由高等級安全域流向低等級安全域；同一網絡區域辦公計算機應通過統一出口連接外部網絡，對辦公計算機未經授權外聯行為進行監測和處置；應通過網絡區域的劃分，保證操作商業秘密的業務終端與產生商業秘密的應用服務器之間建立安全的訪問路徑；核心商密保護還應符合：重要網絡區域應采取技術手段防止地址欺騙。服務器與應用安全身份鑒別身份鑒別策略應制定明確的商密用戶的身份鑒別策略；應制定能夠確保身份鑒別策略正確實施的規章制度。實體鑒別應對登錄涉及處理商密數據的操作系統、數據庫系統和應用系統的用戶進行身份鑒別；應根據安全策略設置延時處理或超時鎖定；應定期對用戶賬號進行清查，及時禁用或刪除混用賬號、測試賬號、臨時賬號等無關賬號，離職人員的賬號要及時禁用；應為系統的不同用戶分配不同的用戶名，確保用戶名具有唯一性；同一用戶登錄不同處理商密數據的業務系統應采用不同口令，確保口令唯一性；口令賬號應啟用嚴格的口令策略，口令長度至少8位以上，采用大小寫英文字母、數字及特殊字符的組合；應定期更換口令，更換周期不得長于一個月；存儲口令的文件應采取商用密碼加密措施存儲、傳播，并保證其安全；核心商密保護還應符合：處理核心商業秘密的服務器和應用系統應采用數字證書與口令兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別。重鑒別用戶身份鑒別成功后，當其空閑操作的時間超過規定值（通常為10分鐘以內）后，在該用戶需要執行前操作前，應對該用戶重新進行身份鑒別。鑒別失敗當用戶身份鑒別嘗試失敗次數超過五次后，應采取以下措施：對于本地登錄，應進行登錄鎖定，同時形成審計事件并告警；對于遠程登錄（域登錄、網絡數據庫登錄等），應對該用戶標識進行鎖定，并且只能由安全保密管理員恢復或重建該賬號，同時形成審計信息并告警；對于應用程序，禁止使用該程序或延長一定時間后再允許嘗試，同時形成審計事件并告警。權限管理應啟用訪問控制功能，依據安全策略控制系統用戶對資源的訪問；應根據管理用戶的角色分配權限，實現管理用戶的權限分離，僅授予管理用戶所需的最小權限；數據庫賬號的權限應根據用戶的角色分配，僅授予用戶所需的最小權限；數據庫賬號應定期審核，對現有賬號的狀態、權限分配進行審查并及時清除無效賬號，至少三個月審核一次；業務系統賬號的權限應根據用戶的角色分配，僅授予用戶所需的最小權限；核心商密保護還應符合：數據庫系統開設賬號須經主管部門審批并留檔；處理核心商密數據的業務系統開設賬號須經主管部門審批，并留檔。安全防護應對商業秘密信息系統、數據庫和應用系統安裝補丁；應對商業秘密信息系統安裝防惡意代碼軟件，并及時更新軟件版本和惡意代碼庫；核心商密保護還應符合：與核心商密相關的服務器，應采用白名單方式管理服務器上運行的軟件；與核心商密相關的系統和設備，禁止通過互聯網在線安裝、升級軟件；應能檢測對重要系統進行入侵的行為，記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發生嚴重入侵事件時提供報警；應保證操作系統和數據庫系統用戶鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全消除，無論信息存放在硬盤或內存中；應確保系統內的文件、目錄和數據庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全消除。安全審計須對賬戶管理、權限分配等重要的操作行為和事件進行審計；審計對象包括本地的操作行為和遠程的操作行為；核心商密保護還應符合：應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等。資源控制應根據安全策略設置登錄終端操作的延時處理或超時鎖定；應對重要服務器及應用進行實時監視，包括監視服務器的CPU、硬盤、內存、網絡等資源的使用情況；應限制單個用戶對系統資源的最大或最小使用限度；應對系統的服務水平降低到預先規定的最小值進行檢測和報警。備份與恢復應定期對服務器及應用系統進行備份，防止系統宕機、數據篡改、訪問中斷、網絡被攻擊時，給系統造成損失；應有經過完整測試和演練的服務器系統應急恢復預案，在系統恢復過程中要保障商密數據的安全。終端安全終端準入控制應在涉及商業秘密的網絡部署并啟用準入控制功能，對準入控制進行集中管理；應能自動發現未通過準入控制驗證進入內部網絡的終端及設備，并掌握其接入時間、網絡端口、IP/MAC地址信息；應通過口令、證書、USB-Key、網卡信息、硬件特征等方式，或使用RADIUS實現對接入網絡中的設備的身份進行確認，準確定位出接入設備的位置，并對其進行訪問控制；應對接入設備的安全違規情況進行檢查，包括防病毒策略的違規，賬戶口令的違規，系統補丁的違規等；應實現對接入網絡中的外部人員進行管理，控制外部人員對內部資源訪問，包括阻斷、限制、臨時允許其對特定資源的訪問以及訪問時長；應根據接入設備的身份和安全違規情況，對該設備可訪問的域或者指定的資源進行阻斷、允許或限制訪問；應對接入設備的接入信息進行審計和集中處理，并實現對接入信息進行長時間保存；應實現不同終端設備（包括Windows系統、Linux系統、IP電話、網絡打印機、平板電腦、智能終端等）在不同接入環境下的網絡準入控制，包括HUB、無線、VPN、LAN、WAN等網絡接入方式；核心商密保護還應符合：針對處理核心商密的終端應實行端口綁定策略，實現終端只能通過限定的交換機端口接入網絡；針對處理核心商密的終端準入身份驗證應與PKI/CA進行集成，其認證過程無需用戶干預；應能自動校驗證書的合法性，自動判斷不合法的吊銷證書、過期證書、未知證書、其他軟證書等，禁止使用不合法證書驗證的用戶接入網絡；使用吊銷證書、過期證書、未知證書、其他軟證書等不合法的證書進行認證無法通過認證時，終端能夠自動彈出信息框提示用戶認證失敗原因。終端安全管理應管理Windows密碼權限、系統口令強度、BIOS口令強度，包括復雜性、長度、更新周期等，除BIOS口令外應實現集中管理；應集中監控Windows終端的本地安全策略及對注冊表項、鍵的各類操作，同時對于一些重要或敏感的注冊表項、鍵值具有保護功能；應安裝防病毒軟件，并確保實時在線并及時更新。應檢查終端是否含有禁止安裝使用的軟件；應使用相關安全技術加強智能終端、平板電腦等的安全管理；應自動檢測聯網終端已安裝和未安裝補丁，針對未安裝補丁終端能夠自動分發并安裝，根據補丁的重要性強制安裝補丁和選擇性安裝補丁；可采用終端虛擬化技術，如云終端實現方式，提高商業秘密安全保護水平；對虛擬化終端的安全管理也應達到上述技術要求.核心商密保護還應符合：對于涉及核心商密的終端，缺省應禁用所有外設端口，只有經過審核才允許終端開啟外設指定端口；對于涉及核心商密的終端，在離開網絡環境的情況下，要自行關閉終端上所有外設端口；應管理終端網絡環境，主要包括IP/MAC地址管理，終端端口的管理；對下載的補丁首先進行完整性和安全性測試，再進行大范圍分發；與核心商密相關的終端，禁止通過互聯網在線安裝或升級軟件。運行安全管理應能夠采集終端設置了哪些共享目錄，應能夠統一關閉終端的默認共享，應能夠針對指定終端關閉特定的共享目錄；應對終端進行統一的防火墻管理，應能夠對終端的IP訪問、端口訪問、協議訪問等進行限制；應對終端的上網行為進行統一管理，禁止通過非指定的網關邊界上網；應對終端操作系統賬戶的使用和變化情況進行審計，記錄的日志信息至少包括系統用戶和用戶組的添加、刪除、修改，用戶權限的修改，用戶狀態（啟用和停用）的修改等；核心商密保護還應符合：應對終端安裝的軟件情況進行統計和監控，自動統計終端安裝的各類軟件，通過黑白軟件名單的方式對應用軟件進行管控；應對涉及核心商密的終端流量進行管理，自動發現流量異常的終端，并能控制終端流量；應能收集系統的運行日志，并進行集中審計。移動存儲介質安全介質標記應對存儲商業秘密的移動存儲介質（U盤、Flash卡、刻錄光盤等）進行標記、注冊、審核；未經標記、注冊、審核過的移動存儲介質，接入服務器和終端后無法使用或只能導入數據而無法導出數據；核心商密保護還應符合：應對存儲核心商密的移動存儲介質在外觀上進行標記。介質使用存儲商密數據的移動存儲介質應通過口令、指紋、證書等方式進行身份鑒別，并在外部或非商業秘密的終端上無法使用； 應對移動存儲介質的使用進行權限控制，可按照終端、用戶、部門、安全級別等進行權限控制；核心商密保護還應符合：包含核心商密的數據保存到移動存介質中時，須加密保存；移動存儲設備中保存的核心商密數據在使用完畢后須進行安全清除。介質審計應對移動存儲介質的接入行為進行審計，包括接入時間、接入的終端等信息；應對移動存儲介質的使用行為進行審計，審計內容應包括訪問主體、被訪問客體、訪問方式、訪問結果、日期及時間、訪問所在的服務器或終端的主機名、IP地址、MAC地址、用戶等信息；應對移動存儲介質的使用行為進行審計，審計傳輸的數據內容。打印和刻錄安全打印控制應對商業秘密文檔的打印行為進行授權控制；應對商業秘密文檔的打印人、打印時間、打印文件名等進行記錄和審計；商業秘密文檔的打印文件應顯示包含使用者相關信息的背景水印；核心商密保護還應符合：核心商密文檔的打印需經過審批授權，并