目前涉密信息系統在軍工企業、政府黨政機關單位及部分研究院所網絡建設中都有了明確規劃，涉密信息系統，在網絡中就會涉及國家秘密的信息，不論其中的涉密信息是多還是少，只要是有（即存儲、處理或傳輸了涉密信息），這個信息系統就是涉密信息系統。

涉密信息系統中的應用服務安全現狀分析

（1）涉密信息系統建設基本原則：

①物理隔離：所謂物理隔離技術是指內部信息網絡不和Internet等外部信息網絡相連，從物理上斷開的技術。這種方法基本杜絕了因為網絡互通互連所造成的外部攻擊或內部泄密的可能。物理隔離技術是近年來出現的安全保密手段，它解決了重要單位及要害部門對信息安全保密的突出需求。日趨完善的物理隔離技術和產品已成為網絡安全保密體系中不可缺少的重要環節；

②最高防護：在一個涉密網絡中會有各種各樣的涉密文件，這些文件的密級各不相同，有非密、秘密級、機密級，也可能有絕密級。對不同密級文件的防護要求也是不同的，密級越高保護的要求就越嚴格。那么，我們在設計一個涉密網絡的時候，應該以該網絡中可能出現的最高密級為標準來設計。此外，對涉密媒體中的信息進行復制、存儲、傳輸時也應按該媒體中信息的最高密級標明密級，并按相應密級進行管理。這就是我們通常所說的最高防護的原則；

③整體防護：網絡安全包括許多方面的內容，有設備安全、信息安全、系統安全、安全管理等。從技術角度講，網絡安全是由安全的操作系統、應用軟件、防火墻、網絡監控、信息審計、信息加密、災難恢復、安全掃描等來保證的。任何一個單獨的部分都無法完成整個網絡的安全管理工作。比如一個單位只購買了防火墻作為它保證網絡安全的惟一措施，那么該單位只能實現對網絡訪問的控制，而對于攻擊檢測、網絡安全監控等要求就無法滿足了。因此我們說網絡安全是一個整體的概念。在規劃涉密網絡時，必須保證網絡設備和各個組件的整體性安全，這就是網絡安全的整體性原則。整體的網絡安全模型由以下幾個部分組成：M（Management）管理；P（Prediction）預警；P（Protection）防護；D（Detection）發現、掃描、檢測；R（Response）反應；R（Recoveru）恢復/備份。

④動態原則：網絡安全管理是動態的。首先網絡本身是動態變化的，網絡的用戶在不斷增加，網絡規模在不斷擴大。其次網絡安全問題也具有動態性，網絡攻防技術不斷發展，黑客不斷地對網絡進行攻擊，病毒不斷地產生。這就促使網絡的防范策略也必須隨著網絡安全情況的變化而變化，從而形成一種相生相克的動態循環過程。

(2)涉密信息系統中的應用服務安全

涉密信息系統中的應用服務安全作為信息系統當中的防護重點，就是信息系統中的服務器以及存儲在服務器當中的涉密數據和應用。一個安全的涉密系統應用服務一定要進行分級管理，其中包括對信息保密程度分級（非密、絕密、機密、秘密）；對用戶操作權限分級（面向個人、面向群組）；對網絡安全程度分級（安全子網、安全區域）；對系統結構分級（應用層、網絡層、鏈路層等），從而針對不同級別的安全對象，提供全面可選的安全體系結構以滿足網絡中不同層次的需求。

頒布的新保密法中要求國家秘密的知悉范圍要能夠限定到具體人員的;不能限定到具體人員的，限定到機關、單位，并由機關、單位限定到具體人員。那么在一個涉密信息系統中如果一個涉密信息存放的應用服務沒有實施有效的分級管理，一些不符合知悉范圍人員也可以進行訪問和查看，這將嚴重違背涉密信息系統建設的基本原則。

長期以來很多單位在涉密信息系統建設中對系統當中的應用服務系統，在實施分級管理中通常走向兩種極端：一種是沒有對應用系統進行必要的分級管理，或通過采用防火墻等設備在網絡層面進行簡單的訪問控制，遠遠不能達到分級管理的要求；另一種則是對不同密級的應用系統采用完全的物理隔離，通過單機隔離或針對不同密級建立專用的涉密網絡。這樣既不便于日常辦公的使用，也因為重復的網絡建設造成資源浪費。

因此我們在涉密信息系統建設中針對應用服務需要找到一種科學、易用的解決方案，既要能夠符合分級管理的要求，同時在日常辦公應用中又不會對原有的使用習慣產生影響。