第十六条 涉密系统不得直接或间接国际联网,必须实行物理隔离。
第十七条 涉密系统的身份认证应当符合以下要求;
(一)口令应当由系统安全保密管理人员集中产生供用户选用,并有口令更换记录,不得由用户产生;
(二)处理秘密级信息的系统口令长度不得少于六个字符,口令更换周期不得长于一个月;处理机密级信息的系统,口令长度不得少于八个字符,口令更换周期不得长于一周;处理绝密级信息的系统,应当采用一次性口令或生理特征等强认证措施;
(三)口令必须加密存储,并且保证口令存放载体的物理安全;
(四)口令在网络中必须加密传输。
第十八条 涉密系统的访问控制应当符合以下要求:
(一)处理秘密级、机密级信息的系统,访问应当按照用户类别控制;
(二)处理绝密级信息的系统,访问必须控制到单个用户。
第十九条 涉密信息的存储、传输应当符合以下要求:
(一)秘密级、机密级信息应当加密传输。涉密系统完全处于其主管部门(单位)独立使用和管理的封闭建筑群内,可以只采取物理保护措施;
(二)绝密级信息应当加密存储、加密传输;
(三)使用的加密措施应当经过有关主管部门批准,并且与保护的信息密级一致。
第二十条 涉密系统的审计跟踪应当符合以下要求:
(一)涉密系统应当有详细的系统日志,记录每个用户的每次活动(访问时间、地址、数据、程序、设备等)以及系统出错和配置修改等信息;
(二)处理秘密级、机密级信息的系统,系统安全保密管理人员应当定期审查系统日志并作审查记录,审查周期不得长于一个月;
(三)处理绝密级信息的系统,应当能够检测并且记录侵犯系统的事件,及时自动告警。系统安全保密管理人员应当定期审查系统日志并作审查记录,审查周期不得长于一周。
第二十一条 涉密系统有关设备电磁泄漏发射应当符合以下要求:
