北京邮电大学计算机保密管理规定北京邮电大学保密处.docx

1、北京邮电大学计算机保密管理规定北京邮电大学保密处北京邮电大学计算机保密管理规定（2011年6月 修订颁布）第一章 总 则第一条 为规范和加强学校计算机保密管理工作，防止国家秘密信息泄露，确保国家秘密安全，根据中华人民共和国保守国家秘密法和涉及国家秘密的信息系统分级保护技术要求（BMB17-2006），为确保国家秘密的安全，结合我校工作实际，制定本规定。第二条 本规定所称的计算机统指在学校使用的各种台式计算机、服务器、工作站、便携式计算机及其他用户终端，这些设备包括涉密计算机、非涉密不联网计算机、上网计算机、中间机（含涉密中间机和非涉密中间机）和管理中心计算机（专用计算机）。第三条 学校计算机保

2、密原则是：“谁使用、谁负责”和“严格管理、技防到位、账物相符、安全可控”。第四条 本规定适用于学校所属各单位。第二章 组织结构与职责分工第五条 学校保密委员会是计算机保密管理的决策机构，其主要职责是：（一）贯彻国家有关计算机保密管理的法律法规；（二）研究部署学校计算机保密管理工作；（三）审查审批学校计算机保密工作中重要事项；（四）检查学校各单位计算机保密工作开展情况；（五）审定计算机安全保密策略和奖惩事项；（六）查处失泄密事件。第六条 保密处负责监督指导计算机的保密管理工作，其主要职责是：（一）拟定计算机保密管理工作规章制度；（二）组织、指导和协调对学校计算机及介质、设备、设施的授权使用、保管

3、、维护等保密管理工作；（三）研究学校涉密计算机保密问题，负责对涉密计算机提出加强保密管理措施的意见和建议；（四）确定计算机的密级并制作密级标识，审查审批使用计算机的涉密人员，指导、检查督促部门和涉密人员落实计算机及相关设备的保密管理规定和技术防护措施；（五）定期对计算机进行安全保密检查；（六）组织、协调和处理学校违规、违法和泄密事件；（七）销毁涉密计算机存储设备及相关涉密移动存储介质。第七条 学校信息化部门是学校计算机安全运行、技术保障和安全保密的责任部门。在学校保密委员会监督指导下履行以下职责：（一）落实国家和上级有关信息安全保密工作的法律法规，负责计算机的网络连接及安全保密策略的制定；（二

4、）协调相关部门对计算机安全的薄弱环节进行评估并采取措施，保证计算机安全； （三）对涉密计算机格式化和重装操作系统进行审批；（四）对涉密计算机移动存储介质、外部设备的安装和使用记录的更改和清除进行审批；（五）对涉密计算机和存储介质发生故障时的维修申请进行审批；（六）定期（绝密级1周、机密级1个月、秘密级3个月）形成文档化的安全保密审计报告；每6个月根据日志记录进行风险自评估，并形成文档化的风险评估报告，制定整改措施。（七）对涉密计算机安装或拆卸硬件设备和软件进行审批；（八）定期会同保密处对全校计算机的安全运行情况进行检查，提供计算机技术支持和服务；（九）组织和指导各单位对计算机实施技术防护措施，

5、并定期升级和更新有关技术防护措施；（十）负责全校从事计算机管理和使用人员的保密培训工作。第八条 设备管理部门在学校保密委员会监督指导下履行以下职责：（一）负责向保密管理部门提供计算机及相关信息设备台账；（二）负责计算机及相关信息设备维修、报废处理过程中保密管理。第九条 计算机的资产归属单位或保管使用单位是计算机设备的保密工作责任部门，全面负责本单位该项工作的日常管理。 第十条 各单位应当确定计算机安全保密管理人员，明确岗位职责，计算机安全保密管理员应具备信息安全保密知识和业务技能，认真履行岗位职责，积极完成与责任相关的工作，建立健全工作记录和日志文档，并妥善保管。计算机安全保密管理员应持证上岗

6、，定期接受培训。第十一条 计算机使用者的直接职责如下：（一）遵守学校有关计算机保密管理的规章制度；（二）确保使用的计算机及外接设备的保密安全。第三章 台式计算机保密管理第一部分 台式计算机保密管理总则第十二条 任何在工作场所使用的计算机，无论是直接利用学校经费（包括科研项目经费）还是个人经费（或其他经费）购置的计算机（包括为专用设备配置的），都必须按学校设备管理规定办理登记手续，并粘贴学校统一制作的设备标签。通过个人经费（或其他经费）购买或外单位赠送的计算机因故不能在学校设备管理部门进行登记的，由各单位自行进行登记、粘贴学院统一制作的设备标签并到保密处备案。第十三条 用于存储、处理国家秘密的信

7、息设备，应当优先选用国产设备；确需选用进口设备的，应当详细调查和论证；不得选用国家保密行政管理部门禁用的设备和部件。(一) 承担国防军工、国家重大科研项目的单位，原则上不得使用国外公司捐赠的搜索服务器、主机（服务器）、存储阵列等重要信息技术产品；确要使用，要由学校保密处进行信息安全风险评估和技术审查，确信没有安全隐患后才能使用。(二) 各单位在接受受赠信息技术产品（搜索服务器、主机、存储阵列等）时应当进行风险评估分析，要同捐赠方签订协议，明确双方信息安全保密责任和义务，确保受赠信息技术产品安全可靠，报学校保密部门检验审批备案后，方可投入使用。带有存储介质的受赠信息技术产品需要送修或捐赠机构提出

8、收回时，应当采取有效手段清除存储介质中的信息。第十四条 学校台式计算机必须建立台账，台账至少包括：部门、使用人、名称型号、密级（非密的标明用途）、操作系统版本、操作系统安装日期、硬盘序列号、使用情况（在用、停用、维修、报废、销毁）等。第十五条 学校各单位须建立台式计算机分台账，填写北京邮电大学涉密计算机统计表和北京邮电大学非涉密计算机统计表，分台账和学校总台账内容应当吻合，并与实物相符。学校信息化管理部门应当会同保密处定期（绝密级3个月，机密级6个月，秘密级12个月）对台式计算机设备进行清查核对。第十六条 学校台式计算机必须张贴相应的标识，涉密台式计算机必须标明保密编号、密级、使用部门和责任人

9、信息；非密台式计算机必须标明用途（互联网专用、中间转换、非涉密不联网等）。第十七条 涉密台式计算机的密级由其处理和存储信息的最高密级确定，未经保密处批准，不得对密级进行变更。第十八条 涉密台式计算机须按照学校制定的计算机安全保密策略要求进行设置。第十九条 学校涉密人员新增涉密台式计算机，需填写北京邮电大学涉密计算机配置审批表，逐级审批通过后，报保密处备案并安装安全保密防护系统。第二部分 涉密台式计算机保密管理第二十条 涉密台式计算机必须与国际互联网或其他公共信息网络实行物理隔离。涉密计算机在使用中严禁存在下列行为：（一）将涉密计算机直接或间接接入互联网和其他公共信息网络；（二）将涉密台式计算机

10、与其它非涉密计算机（包括非涉密台式计算机和非涉密便携式计算机）、数字化设备（包括打印机、复印机、扫描仪、手机、蓝牙、数码相机、MP3、MP4等）和其他非涉密存储介质连接；（三）使用低密级涉密计算机存储、处理高密级信息；（四）在未采取技术防护措施的情况下将互联网或其他公共信息网络上的数据复制到涉密计算机；（五）与非涉密计算机之间共用打印机、扫描仪及其他信息设备；（六）安装和使用具有无线互联功能或配备无线键盘、无线鼠标等无线外联装置；（七）擅自卸载涉密计算机上的安全保密防护软件或设备；（八）非涉密人员接触或操作涉密台式计算机；（九）将涉密计算机通过普通邮政或其他无保密措施的渠道邮寄、托运。第二十一

11、条 涉密台式计算机严禁使用软驱，涉密计算机软驱应当进行拆除或封闭，刻录光驱及打印功能应进行受限制使用，开放刻录功能须填写北京邮电大学涉密计算机策略开放授权备案表，逐级审批通过后报保密处备案并开通所申请功能。第二十二条 严禁涉密计算机用户进行非授权的外部连接（如违规拨号、违规上网等），并对非授权外联行为采用相关技术手段（主机监控系统、介质管理系统以及计算机和交换机端口MAC绑定技术）进行监控和阻断。第二十三条 涉密台式计算机严禁擅自转借、擅自带离工作区。第二十四条 涉密台式计算机必须设置BIOS启动口令、系统密码和空闲超时密码保护，密码设置必须符合以下要求：（一）秘密级计算机密码长度为8位以上；

12、机密级及以上计算机密码长度为10位以上。（二）密码必须符合复杂性要求，由数字、字母、特殊字符两者以上混合组成；（三）密码定期修改，秘密级计算机密码每月修改一次；机密级计算机每周修改一次；绝密级每次使用后立即修改；（四）使用者离开操作终端时，须锁定计算机，防止信息丢失或泄密。第二十五条 涉密台式计算机上登陆操作系统和应用系统须进行身份鉴别，身份鉴别成功后空闲操作时间超过规定值（不超过10分钟），须重新进行身份鉴别。当身份鉴别尝试失败次数达到3次时，须对用户进行锁定，同时形成审计事件并告警，且只能由计算机安全管理员恢复。第二十六条 涉密台式计算机须安装经国家公安部门批准的病毒和恶意代码防范查杀软件

13、（瑞星、江民、金山）并及时（不超过15天）更新病毒库及恶意代码特征库，填写，确保所处理涉密信息的安全。涉密台式计算机须统一设置安全策略，安全策略设置原则是：关闭所有的端口、共享、服务、链接和系统授权，根据实际需要有限制地开放。第二十七条 各单位涉密台式计算机须及时（不超过3个月）安装操作系统、数据库系统和应用系统的补丁程序，补丁程序由信息化管理部门指导各单位计算机安全员统一分发安装，禁止个人擅自安装。第二十八条 涉密台式计算机中处理和存储的涉密信息（含过程文件）必须依据其内容准确标注密级标识，并遵循以下原则：（一）处于起草、设计、编辑、修改过程中和已完成的电子文档、图表、图形、图像、数据，只要

14、涉及国家秘密，在首页必须标注密级标识；（二）电子数据文件、图表、图形、图像等涉密信息在首页无法直接标注密级标识的，将密级标识作为文件名称的一部分进行标注；（三）涉及国家秘密的软件程序、数据库文件、数据文件、视频文件等，在软件运行首页、数据视图首页和影像播映首页标注密级。第二十九条 未经学校信息化管理部门、保密处审批，涉密台式计算机禁止私自拆卸机箱、安装或拆卸硬件设备和软件。未经审批禁止对涉密台式计算机格式化或重装操作系统，禁止删除涉密台式计算机的移动存储介质及外部设备等日志记录。（一）各单位应根据实际需要制定软件白名单，填写软件白名单并经本单位保密工作负责人签发；安装白名单内的软件不需进行审批

15、，安装非白名单内的软件，需填写北京邮电大学涉密计算机软件安装审批表，经过审批后再进行安装；涉密计算机严禁安装和使用抓屏、擦除类软件。（二）涉密台式计算机因系统崩溃、操作系统损坏等原因确需重装操作系统，需填写北京邮电大学涉密计算机重装操作系统申请表，经逐级审批通过后，由本单位安全管理员安装。第三十条 学校涉密台式计算机必须严格控制涉密信息输出，安装介质管理系统客户端，并与注册的存储介质绑定，禁止未注册、未授权的存储介质接入涉密台式计算机。第三十一条 学校涉密台式计算机的安装和使用必须满足BMB5-2000涉密信息设备使用现场的电磁泄露发射防护要求，临街的涉密台式计算机须安装并使用视频保护装置。第

16、三十二条 学校涉密信息设备和导体必须满足红黑隔离要求，红设备和黑设备在安装摆放和铺设时，须按照BMB5-2000涉密信息设备使用现场的电磁泄露发射防护要求，保持1米以上的安全距离。涉密设备（计算机、办公自动化设备等）的电源插座严禁连接非涉密信息设备（如手机充电、微波炉、电热水壶等）。第三十三条 绝密级台式计算机管理（一）应选用符合安全距离要求的低泄射台式计算机；如采用普通台式计算机，必须放置在符合安全距离要求的屏蔽室、屏蔽机柜内使用。选用的低泄射台式计算机、屏蔽室和屏蔽机柜必须获得国家保密行政管理部门批准的具有资质的产品。（二）必须严格控制绝密级台式计算机和移动存储介质的使用，安装获得国家保密

17、行政管理部门批准的监控审计系统，加强对数据接口的监控和对使用情况的审计。（三）绝密级信息必须采用国家密码管理部门批准的密码保护措施进行加密存储和传输。第三部分 非涉密台式计算机保密管理第三十四条 非涉密台式计算机（含非涉密不联网计算机和上网计算机）使用中严禁存在下列行为：（一）使用非涉密台式计算机存储和处理涉密信息；（二）将非涉密台式计算机接入涉密信息系统；（三）在涉密场所连接互联网的计算机上配备或安装麦克风、摄像头等音频、视频输入设备；（四）在涉密场所连接互联网的计算机上使用具有无线互联功能或配备无线键盘、无线鼠标等无线外围装置； （五）与涉密计算机之间共用打印机、扫描仪及其他办公自动化设备

18、；（六）在非涉密计算机上使用涉密移动存储介质。第四章 便携式计算机保密管理第一部分 便携式计算机保密管理总则第三十五条 各单位便携式计算机应建立分台账，填写北京邮电大学涉密计算机统计表和北京邮电大学非涉密计算机统计表，台账至少包括：部门、使用人、名称型号、密级（非密的标明用途）、操作系统安装日期、硬盘序列号、IP地址、MAC地址、使用情况（在用、停用、维修、报废、销毁）等，并与学校总台账一致。第三十六条 便携式计算机必须张贴相应的标识，涉密便携式计算机必须标明密级和责任人。第二部分 涉密便携式计算机的保密管理第三十七条 学校保密处应当会同信息化管理部门定期（绝密级3个月，机密级6个月，秘密级1

19、2个月）对便携式计算机设备进行清查核对和登记。第三十八条 涉密便携式计算机是指用于处理国家秘密信息的便携式计算机。严禁使用采用迅驰技术的便携式计算机作为涉密计算机。学校涉密人员新增涉密便携式计算机，需填写北京邮电大学涉密计算机配置审批表，逐级审批通过后，安装安全保密防护系统。第三十九条 涉密便携式计算机的密级由其处理信息的最高密级确定，未经学校保密处批准，不得对密级进行变更。第四十条 涉密便携式计算机必须拆除具有无线联网功能的硬件模块，严禁使用具有无线功能的外部设备（无线键盘、无线鼠标等）。第四十一条 涉密便携式计算机禁止使用软驱，刻录光驱等设备，涉密便携式计算机软驱、刻录光驱应当进行拆除、封

20、闭或禁用。第四十二条 涉密便携式计算机严禁以任何方式与国际互联网、其他公共信息网络、涉密信息系统、非涉密信息系统连接。第四十三条 严禁非涉密人员接触或操作涉密便携式计算机。第四十四条 严禁将涉密便携式计算机与其它非涉密计算机（包括非涉密台式计算机和非涉密便携式计算机）、数字化设备（包括打印机、复印机、扫描仪、手机、蓝牙、数码相机、MP3、MP4等）、移动存储介质和其他外部设备连接。第四十五条 涉密便携式计算机须安装经国家公安部门批准的病毒和恶意代码防范查杀软件（瑞星、江民、金山）并及时（不超过15天）更新病毒库及恶意代码特征库，确保所处理涉密信息的安全。涉密便携式计算机须统一设置安全策略，安全

21、策略设置原则是：关闭所有的端口、共享、服务、链接和系统授权，根据实际需要有限制地开放。第四十六条 涉密便携式计算机必须设置BIOS启动口令、系统密码，设置空闲超时密码保护，密码必须符合保密安全相关要求：（一）秘密级计算机密码长度为8位以上；机密级及以上计算机密码长度为10位以上；（二）密码必须符合复杂性要求，由数字和字母大小写混合组成，不允许使用单一数字或单一字母组成的密码；（三）密码定期修改，秘密级计算机密码每月修改一次；机密级计算机每周修改一次；绝密级每次使用后立即修改；（四）使用者离开操作终端时，须锁定计算机，防止信息丢失或泄密。第四十七条 学校涉密便携式计算机登陆操作系统和应用系统须进

22、行身份鉴别，身份鉴别成功后空闲操作时间超过规定值（不超过10分钟），须重新进行身份鉴别。当身份鉴别尝试失败次数达到3次时，须对用户进行锁定，同时形成审计事件并告警。第四十八条 学校涉密便携式计算机须及时（不超过3个月）安装操作系统、数据库系统和应用系统的补丁程序。第四十九条 涉密便携式计算机严禁擅自转借、擅自带离工作区，必须存放在保密柜或有安全措施的装置中。 第五十条 涉密便携式计算机只能处理涉密信息，严禁存储涉密信息。携带涉密便携式计算机外出时必须和移动存储设备（含USBKey）分开存放，并妥善保管。第五十一条 确应工作需要，需要存储涉密信息的涉密便携式计算机，须填写北京邮电大学涉密便携式计

23、算机存储涉密信息审批表，经逐级审批通过后，才可存储涉密信息。第五十二条 涉密便携式计算机因工作原因需要外出携带时，须填写北京邮电大学携带涉密便携式计算机或移动存储介质外出审批表，经逐级审批通过后可带出；带回后，应及时交保密处进行带回检查，填写北京邮电大学携带涉密便携式计算机或移动存储介质外出带回检查记录表。第五十三条 对每次归还的涉密便携式计算机（含送外维修、报废处理前），由涉密便携计算机安全管理员检查便携式计算机中是否残留涉密信息，并采取有效措施予以清除或销毁。第五十四条 涉密便携式计算机一旦丢失，须立即报告保密处。第五十五条 各单位应对涉密便携式计算机进行相对集中管理，建立台账及使用情况记

24、录。第五十六条 涉密便携式计算机严禁私自安装或拆卸硬件设备和软件。严禁私自对涉密便携式计算机格式化或重装操作系统，严禁私自删除涉密便携式计算机的移动存储介质及外部设备等日志记录。涉密便携式计算机因系统崩溃、操作系统损坏等原因确需重装操作系统，需填写北京邮电大学涉密计算机重装操作系统申请表，经逐级审批通过后，由涉密便携计算机安全管理员安装。第五十七条 学校信息化管理部门须对涉密便携式计算机制定文档化的安全保密策略，并根据环境、系统和威胁变化情况及时调整更新。第五十八条 学校涉密便携式计算机须选择通过国家相关主管部门授权测评机构检测的保密产品，并及时升级更新；学校涉密便携式计算机必须安装介质管理系

25、统客户端，并与注册的存储介质绑定，禁止未注册、未授权的存储介质接入涉密便携式计算机。第五十九条 学校涉密便携式计算机的使用必须满足BMB5-2000涉密信息设备使用现场的电磁泄露发射防护要求。作为专用于为涉密计算机（含便携机及台式机）的涉密便携式计算机为专门计算机，由专人管理，只能存储审计数据和授权策略数据，安装基本的防护系统和身份鉴别软件，安装管理软件需经过审批备案，定期对涉密便携计算机进行检查和清理，严禁兼做其他用途，严禁与非涉密计算机交叉使用存储介质和办公自动化设备，必须与公共信息网络实行物理隔离。第三部分 非涉密便携式计算机的保密管第六十条 非涉密便携式计算机按照非涉密台式计算机的要求

26、进行使用和管理。第六十一条 个人便携式计算机严禁带入涉密工作区域，严禁在涉密工作区域登陆国际互联网，严禁存储工作信息。第五章 中间机保密管理第六十二条 中间机是指与任何计算机和信息系统实现物理隔离、独立运行的专用计算机，主要用于将外部信息导入到单位涉密计算机和信息系统。学校新增中间机，需填写北京邮电大学涉密计算机登记表，在用途中标明涉密中间机或非涉密中间机字样，逐级审批通过后，安装防护系统，投入使用。第六十三条 根据信息交换的要求，中间机实行相对集中、专人管理。各单位中间机应建立台账，台账至少包括：名称型号、密级（非密的标明用途）、操作系统安装日期、硬盘序列号、IP地址、MAC地址、使用情况（

27、在用、停用、维修、报废、销毁）等，填写北京邮电大学涉密中间机统计表和北京邮电大学非涉密中间机统计表。第六十四条 中间机分为涉密中间机和非涉密中间机。其中，涉密中间机的密级按其处理的涉密信息的最高密级确定，安装终端代理、非法外联、身份鉴别软件、主机监控和审计系统，对涉密中间机的端口进行控制；非涉密中间机安装必需的防护软件和刻录光驱，对数据接口进行适当控制。第六十五条 中间机安装与涉密计算机不同的公安部认证的国产防病毒软件并定期升级杀毒软件、更新病毒库和系统补丁。第六十六条 外部信息（电子文档）输入涉密计算机时，必须通过中间机按照要求进行。填写北京邮电大学信息输入输出审批表逐级审批通过后，先将存储

28、介质内的外部信息拷贝到中间机上，拔除存储介质，对所拷贝信息进行杀毒后，刻录写入一次性光盘，在涉密计算机上读取，并删除在中间机上临时存储的信息，做好审批、登记，填写北京邮电大学非涉密中间机使用登记表或北京邮电大学涉密中间机使用登记表以及北京邮电大学涉密计算机信息输入登记表。第六十七条 从涉密计算机输出信息（电子文档）时，填写北京邮电大学信息输入输出审批表，逐级审批通过后，通过涉密移动存储介质，将待输出信息在指定的通过审批的具有刻录输出功能的涉密中间机上刻录一次性光盘，并进行编号登记。 第六十八条 从中间机产生的专用光盘和涉密光盘，必须做好登记和载体归档。所有对外提供的涉密载体必须履行移交签收手续

29、，填写北京邮电大学涉密载体签收单。第六章 移动存储介质保密管理第六十九条 移动存储介质包括三类：（一）涉密移动存储介质，是指学校统一编号下发的优盘以及经过审批的移动硬盘、存储卡等，用于存储涉密信息，经过介质管理系统注册、授权处理的存储介质；（二）非涉密移动存储介质，是指只能存储非涉密信息的的存储介质，严禁存储和处理涉密信息；（三）光介质，是指可以存储涉密或非涉密信息光介质，根据所存储信息的密级进行定密和管理，分为涉密光介质和非涉密光介质。第七十条 学校移动存储介质归属或使用单位须建立移动存储介质台账，台账内容包括：单位、分类、使用人、名称型号、编号、序列号、密级（或用途）、使用情况（在用、停用

30、、维修、报废、销毁）等，填写北京邮电大学涉密移动存储介质统计表和北京邮电大学非涉密移动存储介质统计表。第七十一条 学校信息化管理部门会同保密处定期（绝密级3个月，机密级6个月，秘密级12个月）对移动存储介质和外部设备进行清查核对和登记。第七十二条 学校涉密存储介质必须粘贴相应的标识，标明密级、部门、责任人、编号信息；非密存储介质必须标明单位、用途、责任人。第七十三条 涉密移动存储介质使用流程：（一）新增涉密移动存储介质，须责任人填写北京邮电大学涉密移动存储介质登记表，逐级审批通过后，统一粘贴编号及密级标识，进行介质注册、授权并建立台账信息；（二）涉密移动存储介质报废，须填写北京邮电大学涉密移动

31、存储介质报废审批表，经逐级审批通过后，对存储介质注册信息进行清除，交保密处统一销毁；（三）移动存储介质维修，须填写北京邮电大学涉密信息设备维修申请表，维修应当在单位内部进行，如需外送，需送到具有保密资质的单位进行维修、签订保密协议书，并填写北京邮电大学涉密信息设备维修情况记录表。（四）移动存储介质变更，须填写北京邮电大学涉密信息设备变更申请表。第七十四条 存储介质的密级由其处理和存储信息的最高密级确定，未经学校保密处批准，不得对密级进行变更。第七十五条 复制及制作的涉密光介质应标明密级和保密期限，注明发放范围及复制、制作数量，编排顺序号。第七十六条 涉密移动存储介质一旦丢失，须立即报告保密处。自发现丢失之日起，绝密级载体10日内、机密级、秘密载体60日内查无结果的，按泄密事件处理。第七十七条 涉密移动存储介质的传递，需按规定进行封装，标明密级、编号和收发件单位名称，由专人专车或者通过机要交通、机要通信等方式进行传递。第七十八条 涉密移动存储介质中处理和存储的涉密信息必须依据其内容准确标注密级，遵循的原则符合本规定第十九条规定。第七十九条 学校涉密移动存储介质必须进行注册，并与安装介质管理客户端的涉密计算机进行绑定，严禁涉密存储介质接入非涉密计算机。第八十条 严禁非涉密的存储介质存储和处理涉密信息；严禁在低密级计算机上使用高密级存储介质；禁止在低密级存储介