1.信息安全保密制度(通用11篇)
1.安全保障对象包括办公场所安全,设备安全,软件安全,系统库安全,计算机及通信安全;保密对象包括档案资料,医疗数据资料,信息系统库资料。
2.信息科科长、工程师必须严格执行国家的有关规定和院里的有关制度,认真管理档案、医疗数据资料、数据库系统。
3.信息科的所有工作人员必须严格遵守院里的规章制度和信息科的有关规定,认真做好档案、医疗数据资料、数据库系统的管理和维护工作。4.未经院领导和信息科负责人同意,非管理人员不得进入机房,不得擅自操作医院系统服务器、存储设备、各应用服务器、防火墙及控制机房的其他设备。
5.未经院领导和信息科负责人同意,严禁任何人以任何形式向外提供数据。实行严格的安全准入制度,档案管理、信息系统管理、作业流程管理权限明确。管理者在授权范围内按资料应用程序提供数据。6.医疗数据资料、信息系统库资料应遵循: 1)资料建档和资料派发要履行交接手续。
2)定期对数据库进行检查、维护,发现问题及时解决和备案,保证数据库的正常运行。
3)未经许可数据库内的数据信息不得随意修改或删除,更不能对外提供。
4)除授权管理人员外,未经许可,任何人不能动用他人设备,不得通过网络(局域网、VPN虚拟专网、内部网等)联机调阅数据。5)医疗数据资料按规定要求进行计算机建档和处理,数据入库后要及时删除工作终端中的原有数据。
6)严格遵守信息科工作流程,不得做任何违反工作流程的操作。7)定期对数据库的信息数据进行备份,要求每增加或更新批次,定期对数据备份一次。
7.信息中心办公场所要建立防火、防盗、防爆、防尘、防潮、防虫、防晒、防雷击、防断电、防腐蚀、防高温等基本防护设施。消除安全隐患,杜绝安全事故。
8.权限管理是生产有序进行和信息资料合法利用的有效保证。任何法人或自然人只能在授权范围操作。
9.在服务器中建立运行日志,以便记录系统运行痕迹。运行日志中至少包括各服务器开关记录及运行诊断情况记录;运行日志中内容记录方式以时间为序。
10.强化信息安全保密管理,加强安全保密意识教育。因人为原因造成信息数据泄密及安全事故,追究当事人责任;触犯法律的,依法追究。
二、计算机信息网络安全管理
1.计算机中心主管全院计算机网络系统的安全保护。计算机网络系统的安全保护工作包括保障硬件、软件和数据的安全、运行环境的安全、保证医院信息系统稳定和安全运行。
2.任何科室或个人,必须遵守国家有关法律及医院规章制度;不得利用上网计算机从事危害医院利益和其它违法、违规的活动,不得危害计算机网络系统的安全。
3.对计算机网络发生的问题,有关人员应及向计算机中心报告。
4.计算机网络中系统软件、设备、设施的安装、调试、排除故障由计算机中心技术人员负责,其它任何科室和个人不得私自拆卸、安装任何软、硬件设施,否则后果自负。
5.计算机中心负责处理计算机病毒和危害网络系统安全的其他有害数据信息的防治工作。
6.计算机中心网络管理人员发现计算机网络安全隐患时,可采取各种有效措施给予制止。
1 信息安全模型
1.1 信息安全与属性
信息安全是指为最大限度的获取投资和回报, 最大程度的保护信息机密性、完整性、可用性, 实现避免一系列信息威胁。信息安全包括了物理安全、运行安全、数据安全、内容安全、信息对抗以及信息不受到破坏或者被修改。信息安全的基本属性。信息安全威胁主要有人为威胁、环境中的威胁、计算机网络中的威胁, 人为威胁包括犯罪组织的威胁、处于各种目的的黑客行为带来的威胁、组织和个人计算机犯罪行为带来的威胁、不满的或者有预谋的内部成员对信息系统的恶意破坏造成的威胁;环境威胁包括自然灾害、物理环境、运行环境;计算机网络中的威胁包括软件隐患、计算机病毒、黑客入侵。
1.2 信息安全管理模型
信息安全模型是对信息安全管理体系抽象化描述, 其信息安全模型侧重点不同, 其信息安全模型包括:OSI安全体系结构、PDRR模型、信息安全管理PDCA持续改进模型、HTP信息安全模型、其它模型。
OSI安全体系结构主要是一系列特定安全服务的标准, 其体系模型包括安全服务、安全机制、安全管理三个方面的内容;传统网络安全模型主要是基于权限管理的访问控制理论基础上的静态控制模型。
PDRP模型是在整体安全策略的控制和指导下综合运用防护、检测、响应、恢复工具进行全方面保护系统安全, 首先利用防护工具对受保护系统提供基础设施防护, 同时利用检测工具了解和评估系统的安全状态, 通过响应将系统调整到最安全、风险最低的状态, 最后通过恢复操作实现系统被攻击后原始健康状态, 构成了一个完整的、动态的安全循环, 在安全策略环节是指在一个特定的环节里提供一定级别的安全保护, 在可信计算机系统评估准则定义安全策略, 在PDRP模型已经从以前的被动保护转到主动防御, 因此PDRP安全策略师对整个局部网络实施分层次、多级别的包括安全审计、入侵检测、告警和修复等应急反应功能的实施处理系统策略。
信息安全管理PDCA持续改进模型主要指一策划、实施、检查、行动组成的信息安全, 策划是工具商务运作需求及其相关法律法规确定安全管理范围和策略。通过风险控制的方式进行控制目标和方式。实施是按照组织设置的策略进行信息安全控制;检查环节主要是对安全过程和信息系统进行监控与验证;行动是指对策略适宜性评审方式评价ISMS有效性, 接着实施有效措施。
HTP信息安全模型包括人员与管理、技术与产品、流程与体系三个部分组成, 将人员、管理、技术、产品、流程、体系纳入到安全管理体系中进行信息安全控制。其它安全模型主要包括基于P2DR发展而来的ANSM自适应网络安全模型, 具体模型可以用PADIMEE进行技术、业务需求分析和客户信息安全的“生命周期”考虑, 在策略、评估、设计、执行、管理、紧急响应、教育几个方面进行评估。
2 安全保密方案设计
设计安全保密方案与建设系统安全体系结构一样, 主要着眼于安全防御和信息在系统中的安全流转, 系统安全需求、安全策略、安全机制与安全服务与检测技术、行为分析、响应与跟踪反击手段构建安全保密系统设计。
2.1 网络安全体系结构
网络安全体系结构中安全对象主要有网络、系统、数据库、信息系统、设备、信息介质、计算机病毒等。网络安全体系结构中采用层次化管理模型, 将整个网络安全分为了5层:应用层 (应用系统安全、应用平台安全) 、会话层安全、安全路由访问控制、链路层安全、物理层信息安全, 将网络安全层次贯穿于网络系统实际运行中。
安全体系结构构建起来后还需要进行风险分析和评估, 该环节主要是根据网络体系结构和网络安全形势确立的安全解决方案, 风险分析包括设计前的风险分析、系统试运行前的风险分析、系统运行期的分风险分析、运行后的风险分析。
2.2 安全保密方案设计
安全保密方案设计是对风险采取的对策, 针对具体系统及其特定环境的详细设计, 其安全保密方案设计一般采取的步骤包括系统模型建立、风险评估、阐明系统安全需求、确定安全策略、确定安全策略。在安全保密方案设计中, 需要确定物理安全、系统安全、人员操作和系统运行安全。
然而随着系统漏洞不断出现, 传统静态的安全策略已经无法适应动态变化的安全保密需求, 需要引入动态选择安全策略方法, 对新的安全风险应采用新的安全策略来对应, 以解决安全风险和策略间的对应关系, 因此需要对安全风险进行形式化描述, 其描述方法可以采用可扩展的标记语言XML语言来描述风险对象, 可以在XML节点和属性中记录如攻击对象, 破坏程度等, 然后对其节点进行风险分析和选用对应的安全策略
3 结束语
论文讨论了新形势下的信息安全保密管理概念及重要性, 分析了信息安全保密管理在强化保密观念、增强技术防护能力、提高保密人员素质等方面的薄弱环节, 分析了新形势下国内外信息安全保密管理现状、问题和原因, 并提出了基于PDRP安全模型强化信息安全保密。
参考文献
[1]于海涛, 李梓, 王振福等.入侵检测相关技术的研究[J].智能计算机与应用, 2013.
[2]周绪川, 蔡利平.移动Ad Hoc网络的入侵检测机制[J].中国民航飞行学院学报, 2011.
关键词:信息安全 保密管理 保密措施 保密技术
中图分类号:TP393文献标识码:A文章编号:1674-098X(2014)01(c)-0125-01
随着整个社会信息化程度的深入和加快,信息对任何一个国家党政机关和企事业单位的运作及发展发挥着十分重要的作用,信息安全保密关系着一个国家和一个民族的根本利益。但信息泄密案件却逐年上升,信息安全保密形势非常严峻,所以我们必须提高保密意识,加强保密管理积极查找泄密隐患,制定可行的对策,从管理措施、技术措施、法律法规上严防泄密事件的发生。
1 信息安全保密工作存在的问题
1.1 保密意识的淡薄
很多人都认为保密工作是保密部门的事情,与自己无关。甚至认为,不产生秘密就无秘密可保,也不需要保密。但是实际上,在我们日常工作、生活中处处都有缺乏安全保密意识的现象存在。例如,银行卡、电子邮箱、网络账户设密简单;不定期更换密码;将保密文件没有加密保管或传输;不知道“涉密计算机不上网,上网计算机不涉密”的保密要求;将涉密与非涉密U盘混用;没有及时按照系统安全漏洞补丁程序;没有及时升级杀毒软件;涉密计算机违规使用U盘等移动介质,接受资料没有先进行杀毒处理等等。
1.2 管理环节很薄弱
在很多单位虽然都对涉密计算机、涉密移动存储介质的保管进行了规定,明确了连接互联网的计算机不得存储、处理、传递涉密信息等,处理涉密信息必须在涉密计算机上进行,但是在实际工作中,仍旧有随意安装软件、有重硬件建设,轻视软件管理的现象。很多信息安全人员都以技术为主,不注重安全制度的落实,单位领导对保密工作重视度不够,管理不力,对违背安全保密管理条例的人员处罚措施不及时、不严格。
1.3 制度制定不完善
在很多部门都没有制定相关的信息安全保密制度,或者制定的制度不完善;没有及时根据信息安全威胁的变化而进行补充;对保密定级的准确度不高,没有按照相关规定要求随意定密级。
1.4 技术防御能力参差不齐
很多单位不注重信息安全保密意识,往往用淘汰的计算机代替涉密计算机,人为的制造了泄密漏洞;有的部门涉密计算机所设置的口令长度过短,使用周期过长,忽视了网络防盗;对计算机网络监控不投资,致使保密工作人员没有专业检测工具对计算机存储信息进行檢测,计算机信息安全保密检测处于空白,当发现威胁时也处于不能进行“亡羊补牢”的状态。
1.5 涉密和非涉密计算机使用不规范
涉密计算机没有专用的放置场所,没有专人管理和负债,有的还存在不设置密码的状态;有的涉密计算机还违规上互联网,或者使用非涉密移动存储介质、安装无线网卡等设备;对非涉密计算机处理涉密信息、传输涉密信息等现象比较突出。
2 信息安全保密工作的有效措施
(1)强化宣传教育。开展全民性的信息安全教育,增强国民的信息安全意识,提高国民信息安全的自觉性。利用舆论媒体宣传信息安全的重要性,组织学习信息安全与保密工作的法律法规,普及信息防护的常识,介绍信息防护的技术。
(2)加强日常管理,提高领导的重视程度。各级领导干部要把做好信息安全保密工作作为自己的一项重要职责,自觉地执行各项制度和规定,提高警惕,做好保守秘密的模范,通过定期的保密教育培训、签订责任书、形成保密工作记录等形式,切实落实好领导干部保密责任制。
(3)做好涉密工作人员的培训工作。涉密工作人员担负着秘密信息的收发和保密责任,抓好这支涉密工作人员队伍建设工作,就是做好了信息安全工作的关键。涉密信息技术人员在精通信息安全保密技术的同时,要提高思想认识、培养科学严谨的工作作风、严守法纪法规,才能把技术与管理紧密结合;涉密信息管理人员也要对他们进行高技术条件下信息安全保密的专业训练,进一步掌握现现代技术管理信息的知识和排除各种隐患的本领,以及一切高水平的反窃密技术,对可能造成泄密的现象有较高的判断力和洞察力;这样的措施才能做好涉密信息系统的安全、保密、监督、检查工作。
(4)政策支持及法律法规的完善。政策是政府管理职能的体现,信息安全需要政府综合运用各种手段,采取切实有效的对策、措施,不断提高防范和保障信息安全能力。信息安全保密已经成为国家安全的一个重要组成部分和非传统安全因素的一个重要方面,必须强化信息安全意识,加强健全相关法律法规,做到有法可依。
(5)加大投入力度。做好计算机信息安全保密工作,除人是第一因素外,其次设备是关键。要明确专项费用,购置相关保密技术设备和信息检查、清除工具等。加强技术培训,尤其是新知识、新技术的跟踪培训。对计算机操作系统、密码加密、病毒防治、防火墙等技术上下功夫,下投入力度,确保基本技术防护不出问题。
(6)加强涉密计算机和涉密存储介质的管理。凡是涉密计算机要确定专人进行操作,确定专人进行管理,禁止任何非涉密移动介质插入USB接口。严禁涉及计算机上互联网,严禁在连接互联网的计算机上使用涉密存储介质,严禁在非涉密计算机处理、保存各类涉密文件盒其他涉密信息。对涉密文件的起草、制作、分发、传递、复制、保存和销毁过程,实施全程监管。
(7)加强监督检查的力度。牢固树立“执行第一、落实为重”的理念,定期开展保密检查工作,采取全民检查与重点检查相结合、综合检查与专项检查相结合、定期检查与随机检查项结合的方式,对相关部门(单位)的保密工作进行抽查,及时发现和解决问题,加强对保密工作的长效管理,督促、指导保密工作人员遵守有关制度。
(8)加强系统软硬件管理。制定相关的安全管理规定和访问规定,定期进行计算机病毒库和安全补丁的升级,严格控制外来软、硬件的安装,加强口令管理、做好系统安全审计等。
参考文献
[1]中华人民共和国国家安全法.
[2]中华人民共和国保密法.
[3]敖卓缅.信息安全保密探析[J].信息与电脑(理论版),2013(5).
第一条 河源市教育信息网是利用先进实用的计算机技术和网络通讯技术,实现全市学校联网,为保证我校计算机网络系统的安全运行,更好地为教学科研和管理服务,根据《中华人民共和国计算机信息系统国际联网保密管理工作暂行规定》,制定本办法。
第二条 本市联入的所有教育单位和个人用户以及拥有电子邮件信箱的单位和个人,都必须执行本办法和国家的有关法律法规,严格执行安全保密制度,并对所提供信息负责。严禁利用国际联网进行危害国家安全、泄露国家秘密、损害集体利益和他人利益的活动及其它一些违法犯罪活动。
第三条 建立河源市教育系统计算机信息系统国际联网保密工作管理领导小组,统一领导全市教育系统计算机国际联网的安全保密管理工作,其主要任务是:组织贯彻落实上级有关计算机信息及互联网的保密法律、规章、组织宣传教育、制订保密制度及防范措施、依法进行保密检查,查处有关计算机信息系统的泄密问题。
第四条 下列内容不得进行国际联网传输或存储:党和国家以及地方党委、政府的秘密文件、资料,中央和地方党政领导人未公开发表的讲话,各种内部的文件、资料及相关的信息;国家委托的攻关科研秘密信息;获省、部级以上奖的科学技术秘密信息;特殊渠道掌握的科技资料及相关信息;与境外合作中经审查、批准合法向对方提供的秘密信息或内部信息,双方共同约定不对第三方公开的信息;不宜公开或可能损害学校集体利益的信息;非本单位产生的秘密及其他不宜公开的内部信息。
第五条 本局资源进行国际联网的保密审查实行分口把关,各单位对上网的信息应事先根据业务归口进行保密审查(私人邮件除外),经同意后方可上网。
第六条 涉及国家秘密的计算机信息系统不得进入国际联网,并采取与国际联网完全隔离的保密技术措施。本局内部使用的计算机信息系统,要从管好科技秘密、工作秘密、维护教育局的利益出发,采取保密防范措施。
第七条 网络中心负责运用技术设备和手段,防范联网运行中的泄密行为及危害国家安全的违法犯罪行为,和损害教育系统的集体利益。互联网络管理人员(含操作人员)应经常学习国家有关法律、行政法规和保密规章,熟悉内容,带头遵守和执行。执行情况列入考核的主要内容。
第八条 各单位对本单位的用户要加强国家安全教育和保密教育,要有领导分管负责,建立联网保密制度,进行安全保密检查,加强防范工作。
第九条 在网上发现危害国家安全,泄露国家秘密和本局的秘密信息,要立即采取补救措施,并同时报告保密委员会,严禁制作、查阅、复制和传播。
第十条 用户应接受网络技术、管理和保密培训,自觉接受和配合保密检查,发现联网运行违规,要立即纠正。第十一条 教育信息网实行统一管理,分层负责制。本局内部从事施工建设不得危害计算机网络系统的安全,任何单位和个人,未经网络中心同意,不得擅自安装、拆卸或改变网络设备。
第十二条 违反规定,将给予批评或通报批评教育,造成后果的,给予行政处分并处以暂停止联网的处罚。触犯刑律的由司法处理。
第十三条 附则
1、实行信息安全保密责任制,确保网络与信息安全保密的责任到位。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。
2、网站内容更新全部由公司正式工作人员完成,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站所有信息发布之前都经分管领导审核批准。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我公司网站散布相关法律法规明令禁止的信息(即“九不准”),一经发现,立即删除。
3、遵守对网站服务信息监视,保存、清除和备份的制度。开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。
4、所有信息都及时做备份。按照国家有关规定,网站服务系统将保存5个月以内的系统及用户收发网站记录。
一、严格遵守《中华人民共和国保密法》、《中华人民共和国互联网管理办法》等相关的法律、法规、条例及其各项规定、制度。按照国家安全保密规定,实行控制源头、归口管理、分级负责、突出重点、有利发展的原则。
二、信息科负责指导人口健康网络和信息系统网安全保密工作。
三、严格执行国家有关规定,做好人口健康网络和信息系统的保密工作。在通过计算机网络传输时各个终端设备及用户不得直接或间接地与国际互联网或其它公共信息网相连接,必须实行物理隔离,要加装硬件防火墙,并规定网络访问只能出不能进,网络管理员每天要注意浏览服务器工作记录,发现问题及时防患及处理。
四、人口健康网络和信息系统内的计算机要处理好共享资源与保密源的关系,应分别把他们存放到相应的位置。应用软件要设置密码,密码要大于8位并使用数字、大小写字母、特殊符号混合的密码,定期更换密码,不得泄露给外人。
五、在本单位局域网的互联网出口前加装网络防火墙,并做好相应的安全设置,安装正版杀毒软件,并做好杀毒软件病毒库的及进更新。每台设备至少一星期进行一次病毒的查杀,一旦机器感染病毒后,应立即将病毒机与网络隔离并做妥善处理。
六、涉及国家秘密的信息不得在国际互联网的计算机信息系统中存储、处理、传递;要严格遵守国家的保密法律,不得泄露国家及本地区的秘密信息。不浏览互联网上不健康的网页、不发表反动言论、不接收和打开来历不时的邮件、不随意向陌生人接收和发送文件、不随意使用来历不明的光盘、软盘、优盘等移动存储介质,不利用办公机器玩游戏。对设备的重要数据要及时做好备份工作,并安全存放,以便于设备出现紧急事故时的数据恢复工作。
七、网络管理员和计算机使用者要提高网络安全和病毒防范的意识。对本单位单机和服务器使用的操作系统、办公软件、数据库等软件及时更新升级,及进打安全补丁,尽量减少系统安全漏洞。对于上传的数据要经过杀毒、加密等安全程序,确保数据的安全性。
八、未经主管领导同意,各科室和信息中心不得向外发布和提供任何与人口健康网络和信息的信息。
九、不以任何形式攻击网站防火墙和网上服务器,不做任何危及网络安全的行为。未经单位同意不得自行在外网建立网站,不得设立电子公告系统、聊天室、网络新闻组,不得发布、谈论危及国家的政治言论或传播国家秘密信息。
十、通过网络向社会发布的信息应按照工作程序必须经单位主管领导同意和保密审查后方可发布。用户使用电子邮件进行网上交流,应遵守国家有关保密及安全规定。
一、审计信息渠道
审计信息主要来源于审计管理系统及平台信息和审计业务信息收集两个方面:
第一, 审计管理系统及平台信息是审计人员在实施审计项目、进行审计管理的过程中, 通过审计应用系统及平台获取审计业务操作与管理的业务和数据信息, 包括非现场审计系统 (OAS系统) 信息、审计管理信息系统 (AMIS系统) 信息、审计知识库系统信息、任期经济责任审计信息资料库信息、总审计室信息平台等信息。
第二, 审计业务信息是审计项目和日常审计工作中由各级机构提供的业务信息以及审计项目信息。业务信息包括审计机构审计计划、审计研究成果、被审计机构经营计划及业务指标、客户及其账户信息、业务管理信息等, 以及通过Notes邮箱、办公自动化系统 (OA系统) 、档案管理信息系统等收集整理的各类业务信息。审计项目信息包括审计方案、审计报告、审计模型、审计证据、审计工作底稿, 以及审计过程中通过会计档案管理系统、UAAP统一报表发布平台、对公信贷业务流程系统 (CLPM系统) 、个人信贷管理系统 (A+P系统) 、信贷管理系统 (CMISII系统) 、ODSB二期及ERPF报表查询等收集加工整理的各类信息。
二、主要问题和风险
(一) 审计信息未集中管理, 存在泄密的潜在风险隐患
便携式计算机是审计人员的必备工具, 其中存储大量重要信息, 实施审计项目按照审计方案要求分组开展, 审计现场点多面广, 审计资料不便于集中, 审计人员注重信息资料使用忽视保密管理, 对敏感及涉密信息未经加密处理采取保密措施, 形成审计信息安全隐患。一是项目实施过程中审计信息处于分散失控状态, 缺乏安全管理;二是审计项目结束后, 由于未明确和指定专人负责归集审计项目信息, 致使审计人员未及时清理、归集移除审计项目电子信息资料, 长久滞留审计人员计算机中将可能导致审计信息流失和泄密。
(二) 计算机上网导致审计信息失密, 造成损失形成银行声誉风险
计算机上网成为信息泄露的主要途径, 涉密计算机使用无线键盘或鼠标上网、移动存储介质与联网计算机交叉使用将会导致失泄密。一是审计人员因工作需要, 有时通过互联网传送或下载工作信息, 或上网查询信贷客户企业注册登记等信息, 如果客户敏感信息被不法分子截获并利用, 给客户带来不利影响的同时, 将会导致银行声誉风险的严重后果。二是审计人员使用的计算机、U盘等磁介质若不采取保密措施, 未经加密在互联网上传输行内重要数据或信息, 被窃密者运用技术软件窃取, 无意中将泄露银行敏感信息或商业秘密, 给银行造成无可估量的损失。
(三) 审计管理系统用户认证安全机制低、对客户敏感信息访问无控制
由于非现场审计系统对相关敏感数据字段未能加密, 在审计项目实施过程中, 审计人员登录系统可任意查询导出相关的信息及数据, 存在敏感信息和商业秘密泄漏的风险。
三、审计信息安全管理措施
第一, 健全制度, 落实责任。为加强审计信息安全保密, 对于计算机设备使用管理、审计管理系统运行管理及数据信息安全保密管理, 制定信息安全管理制度, 明确责任, 落实保密职责。
第二, 加强安全保密培训和教育, 筑牢审计人员的安全和风险意识。一是要警钟长鸣, 加强警示教育, 做到防患于未然。二是建立信息安全的长效机制, 将审计信息安全保密作为审计人员培训教育的重要内容, 使之深刻认识安全无小事, 牢记“失之毫厘、谬以千里”道理, 始终绷紧安全保密意识的弦, 严守保密纪律, 自觉履行保密职责。
第三, 加强审计系统用户管理, 严格用户操作权限, 禁止将用户口令及UKEY转借他人使用。在未开展审计项目阶段限制非现场审计系统操作用户, 使用系统必须经过申请批准, 以防止敏感信息泄露。搭建开放的非现场审计系统学习培训环境, 提供审计人员用于学习操作非现场系统。
第四, 利用管理信息平台FTP服务器对审计重要信息进行管理, 实现远程资源共享, 审计人员可查询相关工作信息, 本机不再保存敏感信息和数据, 切实防范便携机或移动硬盘存储审计信息失泄密的风险隐患。
第五, 落实安全管理责任, 签订《审计岗位人员保密协议》, 强化保密意识, 约束审计信息保密行为。
第六, 加强涉密计算机管理, 严防信息失泄密。设置屏幕保护的时间和密码, 确保在长时间不使用计算机时对屏幕上和系统内的敏感信息进行安全保护。涉密计算机做到专机专用, 与互联网物理隔离, 禁止通过电子邮箱或互联网传输涉密及重要工作信息, 避免移动存储介质交叉使用。
第七, 应用技术手段加强信息安全管理, 审计条线全员推广使用Windows7 (企业版) 操作系统, 应用全盘加密 (Bit Locker) 功能, 能够有效降低因设备物理丢失导致的审计信息泄露风险, 有助于加强审计信息安全管理。
第八, 以检查促落实, 严堵泄密漏洞。设立安全管理员负责信息安全日常检查监督, 采取实时监控和定期检查相结合的方式, 在全面自查的基础上, 对审计人员的计算机进行检查和抽查, 落实整改。
关键词 高校 计算机 信息安全 安全保密
中图分类号:G47 文献标识码:A
随着高科技迅速发展,办公自动化的全面推进,网络电子泄密已经成为当前泄密的主要模式,而泄密的原凶主要是:移动介质、计算机终端和互联网。作为国家人才培养和科学研究的重要基地,高校每年都产生一些具有国内或国际先进水平的成果,其中很多是与国家经济、军事等领域密切相关的。因此,做好高校计算机信息安全保密工作十分必要且意义重大。
1 高校计算机信息安全保密工作面临的问题
(1)计算机信息安全保密工作多头管理。和政府部门设有专门的信息化工作部门负责计算机信息安全保密工作不同,绝大多数高校都没有设立专门的信息化工作部门,相关工作由网络中心、宣传部、信息中心、保密办等多个部门分别负责。当前多数高校是网络中心负责网络服务器的安全,宣传部、信息中心负责上网信息的审查,保密办负责保密监管。由于保密工作人员不熟悉信息技术与计算机技术,难以有效地对计算机信息系统进行保密监督检查;而网络中心的管理人员又不甚了解保密规定要求,对学校涉密计算机、涉密移动存储介质等信息设备的情况也不清楚,不能实施重点管理,造成管理“几张皮”现象。
(2)信息安全保密意识淡薄。在高校日常工作中普遍存在“重业务、轻保密”、“无密可保”、“有密难保”的思想。一些从事涉密项目的科研人员保密意识不强,对日趋尖锐、复杂的窃密形势认识不足,对泄密后应承担的法律责任不清,警惕性不高,有章不循现象突出。例如,不设置计算机口令或者不定期更换涉密计算机的口令、不及时升级杀毒软件和操作系统补丁、在非涉密计算机或联网计算机上处理涉密信息、移动存储介质在涉密计算机和非涉密计算机上交叉使用等,从而埋下信息安全隐患。
(3)计算机信息安全保密知识缺乏。高校教职员工没有人不在使用计算机、互联网,但除计算机专业毕业的人之外,真正懂得如何防护计算机信息的人少之又少。对一些计算机安全知识,如:如何设置计算机开机口令、guest用户该开启还是禁用、如何进行系统补丁和病毒库升级、何样的软件能安装、非法网站如何辨别等,大多数教职工都不知道,即使知道也没有引起足够的重视,更谈不上按要求执行。有的教职工使用移动硬盘或U盘前从不查杀病毒,致使病毒感染到办公(内网)计算机,对内网的安全造成威胁。
(4)计算机信息安全威胁和攻击手段多种多样,防不胜防。诸如:蠕虫,冲击整个网络造成瘫痪;木马,秘密潜伏的间谍武器,造成窃泄密事件的多发;网络欺诈,以假乱真,盗窃金钱和隐私信息;网页篡改,政治宣传,设饵钓鱼;僵尸网络,一呼百应的攻击网络;间谍软件,无所不在的窃听者;入侵,非法闯入为所欲为;病毒,主机及数据破坏者等等。随着网络的发展,信息安全威胁和窃密手段也在不断提高,防范难度增大。
2 做好高校计算机信息安全保密工作的措施
(1)加强组织领导。我国对信息安全保密工作是非常重视的,中央机要管理部门、国家安全机关、公安机关和国家保密主管部门分工协作,各司其职,形成了维护国家信息安全的管理体系。高校也应如此。高校应成立“一把手”担任组长,网络中心、宣传部、学生工作、保密工作等部门人员为组员的信息安全保密工作领导小组,加强对计算机信息安全保密工作的组织领导,对网络运行、网上信息、计算机信息安全保密执行情况进行监督检查,为计算机信息安全保密提供保障。
(2)加强教育培训。计算机信息安全保密工作涉及的范围很广,高校的每一个计算机终端都有可能成为“最短的那块木板”,做好高校计算机信息安全保密工作,不仅是网络管理部门、保密工作部门的责任,更是全校教职工的共同责任。因此,要对所有教职工进行教育培训。一是进行基本知识的普及。通过面对面的知识讲座或答题等方式普及计算机信息安全、网络安全和保密知识,使广大教职工知保密、懂保密、善保密。二是进行警示教育。通过通报计算机信息泄密引发的案件,警示教职工,从而增强信息安全保密的危机感。三是签订保密承诺书。通过和计算机网络安全系统管理员、安全管理员、安全审计员、涉密人员等签订保密承诺书,增强其责任感。
(3)加强技术防护。从学校网络管理部门来说,要采取入侵检测、网络隔离、信息加密、访问控制等必要的技术措施,及时对操作系统、应用软件、病毒防护软件进行补丁升级,保障网络的各个环节特别是互联网接入的安全性,将攻击和入侵造成的威胁限制在最小范围内;同时通过物理防火墙和信息过滤软件对有害信息、有害电子邮件等进行过滤与封堵,保障网络信息安全。从职工个人来讲,主要是定期升级杀毒软件,经常查杀病毒;不打开陌生人的电子邮件;不安装来历不明的软件;设置计算机开机密码应含数字、字母及特殊字符且长度足够并定期更新;谨慎利用共享软件,确保个人计算机信息的安全。
(4)加强数据备份。重要信息应及时备份,防止计算机被病毒感染或遭受黑客攻击致使重要资料被修改、损毁;或因一些不可抗拒因素(自然灾害)致使计算机损坏而数据丢失;或者误操作将重要资料删除,从而给教学、管理、科研造成无法挽回的损失。
(5)加强监督检查。高校信息安全保密工作领导小组要采取定期检查、不定期抽查等方式,对计算机网络安全系统管理员、安全管理员、安全审计员履职情况,信息上网审查审批情况,涉密信息系统、涉密计算机、涉密移动存储介质的保密管理和使用情况,涉密科研人员遵守保密规章情况等进行监督,发现问题及时督促整改,确保学校不出信息安全事故。
(6)加强制度建设。建立健全计算机和信息系统管理规定,对涉密计算机、涉密移动存储介质的使用、维修,涉密信息的传递等进行规范,有效预防泄密事件发生。制定校园网信息安全保密管理制度、校园网信息发布审批制度、网络服务器机房管理制度,确保网络服务器安全运行、涉密信息不上互联网。
计算机信息安全保密工作是一项复杂的系统工程,涉及技术、设备、管理和制度等多方面的因素,但关键因素是人。只有教职工充分认识信息安全保密的重要性,不断增强信息安全保护意识,不断学习新的计算机信息安全防护知识和措施,严格执行各项计算机信息安全保密管理规定,共同改善网络安全保密环境,才能最大限度地保护计算机信息安全。
参考文献
[1] 王振洋等.新形势下加强基层行计算机信息安全保密工作的思考[J].华南金融电脑,2010(5).
[2] 曹步荣.克州中支计算机信息安全保密分析及对策[J].华南金融电脑,2009(7).
[3] 牛华伟,于静.信息公开与信息安全研究[J].计算机安全,2009(11).
石嘴山国土资源信息中心
二零一三年
为加强我局信息化岗位管理,保证局计算机信息系统安全,根据《中华人民共和国保密法》、《信息等级保护管理办法》以及省、市信息化保密管理的相关规定和要求,制定本制度。
第一条 本制度所指的信息化岗位是指从事计算机信息系统建设、管理、维护和信息公开工作的岗位,主要包括信息中心工作人员,以及各处室(单位)信息采编、审核、发布人员。
第二条 为切实加强信息化安全和保密管理工作,成立局信息安全领导小组,由局长任组长,局分管领导任副组长,局办公室和各相关业务处室负责人任成员,负责本局信息安全和保密工作制度措施的制定,研究信息化安全和保密工作的重大事项。领导小组下设办公室,设在局办公室,负责信息安全和保密管理的日常工作。
第三条 局信息化岗位管理遵循“谁主管谁负责、谁运行谁负责、谁公开谁负责”的原则,实行安全和保密管理工作责任制。岗位所在处室(单位)负责人作为第一责任人,负责其职责范围内的计算机信息系统安全和保密管理。
第四条 信息化岗位实行岗位职责分离制度,岗位操作权限严格受岗位职责限制。信息化岗位人员不得打听、了解或参与职责以外的任何涉及岗位安全和保密的内容。
第五条 实行信息发布责任追究制度,局和各直属单位所发布的所有信息必须按规定办理审核、审签手续,必须真实有效且符合中华人民共和国法规。凡发布虚假、反动、色情、泄密等内容,追究信息报送者和审核者责任,如属个人因素影响信息发布工作,也将追究相关责任。
第六条 信息化岗位人员应保管好自己的信息系统操作口令,不定期予以更换。严禁向他人泄露自己的信息系统操作口令。因工作需要必须告知他人的,应在使用完毕后即时更换口令。
第七条 信息化岗位人员使用的台式和便携式计算机必须有密码保护措施,工作中离开岗位时计算机应置于屏幕保护状态,且设置屏幕保护密码。计算机无人使用时不得置于上网状态。
第八条 非经分管领导批准,信息化岗位工作人员不得携带存有工作信息的便携式计算机外出。经主管领导批准携带便携式计算机外出的,应采取措施保证机内信息安全。因工作需要携带外出的便携式计算机禁止留存涉及国家秘密和工作秘密的内容。
第九条 重要的信息化岗位休息日和节假日安排人员值班,重大事件期间应组织安排24小时值班。值班期间,重点监控提供公共服务的信息子系统(如网站)运行状况,发现异常按局信息安全应急预案处理,并即时向主管领导报告。
第十条 局信息安全领导小组办公室应组织开展经常性的保密教育培训,提高局机关工作人员,尤其是信息化岗位工作人员的计算机信息安全保密意识与技能。
第十一条 局信息安全领导小组办公室负责局计算机信息系统安全和保密管理情况的监督。不定期地组织专业技术人员对信息化岗位人员使用的台式和便携式计算机应进行安全检查,发现并排除病毒、木马等安全隐患。
第十二条 信息化岗位工作人员离岗离职,按以下程序办理:
(一)整理好涉及信息安全和保密的资料或文档,形成信息交接档案,移交给指定的工作交接人员;
(二)逐项取消其拥有的信息系统访问授权;
(三)收回其使用的计算机存储介质,包括光盘、U盘、移动硬盘等;
(四)全部移交过程必须有完整的移交记录,经主管领导签字确认后生效。
未完成以上程序,信息化岗位工作人员不得办理离岗离职手续。
(五)涉密人员离岗前应签订离岗保密承诺书,在6个月至3年的涉密期内,其择业和因私出境等情况应参照在职涉密人员进行管理。
第十三条 对违反本规定的人员责令限期整改。引发信息系统运行异常、工作信息丢失损坏等安全事故的,追究相关人员的行政责任;如触犯国家有关法律、法规者,移交公安、司法机关处理;造成泄密事件的,根据国家相关保密法律法规进行查处。
第一节
总则
第一条
为保护公司计算机信息资源的安全,并规范公司计算机及网络硬件的采购、安装(建设)、维护、管理等环节的管理要求,根据《中华人民共和国保守国家秘密法》,《中华人民共和国计算机信息网络国际互联网管理暂行规定》和《中国公用计算机互联网
国际联网管理办法》,特制定本规定。
第二条 本规定适用于公司内部所有单位所使用的计算机系统。
第二节
计算机的涉密管理规定
第三条 公司内部计算机信息系统的安全保密工作由信息技术部负责具体实施。公司
各下属单位、部门主要领导主管本单位、本部门的计算机信息系统的安全保密工作。
第四条 存放过秘密信息的计算机及相应介质未在彻底格式化前不能降低密级使用。
第五条 存储有秘密信息的计算机及相应存储装置在维修时,应采取措施保证所存储 的秘密信息不被泄露。
第六条 企业内部规划和建设任何计算机信息系统,应当同步规划落实相应的信息资
源安全保密措施。
第七条 对涉及企业经营、管理、技术和人事秘密的数据库以及计算机应用系统,必
须采取技术安全保密措施,并且不得与外部连通。
第三节
计算机及网络硬件管理
第八条 所有计算机及网络硬件的采购和建设实施,须在总体规划目标指导下进行。
第九条 进入总体规划的计算机及网络硬件在采购和建设实施时,需提前预算。作为 预算的申请依据,信息技术部每年第四季度在公司开始下一的预算工作前,发布次年
各类主要计算机设备的采购计划价。
第十条 总部部门或事业部在申请预算(或追加预算)时若涉及计算机购买计划,须
提交《计算机设备预算追加及采购审批表》,并履行相应的审核手续。
第十一条 信息技术部负责编制公司网络中心及主干网络硬件采购计划和预算,报公
司批准后执行。总部各部门获批准的计算机预算,由信息技术部监管使用。
第十二条 各事业部每年底将下的计算机及网络硬件采购计划和预算报信息技术
部审核。信息技术部有权纠正事业部硬件采购计划或硬件预算中不合理的需求。
第十三条 每预算定稿之后,运营管理部负责将总部部门及各事业部获准采购计
算机的数字通报信息技术部,信息技术部负责监管各单位的采购行为。
第十四条 信息技术部在每季度的第一周发布本季度的计算机硬件采购选型指导,供
全公司统一执行。
第十五条 对公司总部及各事业部需求量较大的计算机设备,信息技术部会同运营管
理部通过招标谈判在计算机供货商中选定战略合作伙伴,使公司总部及各事业部能够以统一的优惠价格采购到所需的计算机产品。
第十六条 公司总部的硬件采购工作,委托装载机事业部代为实施。装载机事业部接
受委托时须对申请部门提交的《计算机设备预算追加及采购审批表》确认后,方可采购。
第十七条 各事业部计算机维修配件的采购,由各事业部根据不同计算机的具体情况
相应处理。
第十八条 在硬件采购合同执行的过程中,如遇到特殊情况需要更改采购技术型号的,必须经过信息技术部复审同意。
第十九条 公司总部的计算机,由信息技术部负责硬件安装、维修、服务和管理。各
事业部的计算机,由事业部备案的硬件岗位人员负责软硬件安装、维修、服务和管理。
第二十条 公司总部各部门和各事业部每年底要将本单位的计算机设备状况、配置变
动、责任人变动等情况填表报信息技术部。
第二十一条 岗位上的计算机超过使用年限之后,如果因为主要部件的故障频率高并
无法修复的,经过所在资产管理实体的资产管理人员及硬件专业人员审核同意后,可以申
请计算机淘汰处理。
第四节
网络的接入管理
第二十二条 信息技术部是管理企业网络接入的责任部门。信息技术部的网络管理员
是整个柳工网络的总管理员,对全网安全总负责,并牵头与各子域网络管理员组建企业网
络管理委员会,共同维护企业的网络安全以及信息安全。
第二十三条 为保障企业网络的安全,所有连接到企业内部网的计算机必须经过信息
技术部的企业网络管理员注册登记。每台联网的计算机都必须确定责任人,对该机的遵纪
使用及安全状况负责。不得私自在内部网上接入未经网管注册的计算机,否则视同窃取企
业机密,一旦发现,按照有关规定进行处理。
第二十四条 为保证网络信息资源安全,严格便携机的管理,在柳工网内使用便携机 的特殊用户必须登记备案,并接受网络安全措施、信息安全培训和病毒防护管理。
第二十五条 为防止信息流失和计算机病毒,要严格控制内部网与外部的直接 I/O 通
道,所有联网的计算机都要拆除软驱、光驱、刻录设备及其他移动存储设备。需要保留的,必须经过企业信息工作主管领导的特别批准,向信息技术部的网络管理员登记注册。
第二十六条 未经信息技术部批准和备案,私自在企业网络的计算机上安装各种通讯
和存储设备(如 MODEM、软驱、光驱等)、私自往厂区内带入未经注册登记的便携机和
存储设备等行为,均视同窃取企业机密,一经发现,须没收上交企业保密委员会,按照有
关规定进行处理。
第二十七条 合作单位人员因业务交流需要带入计算机及有关设备的,不得接入企业
网络,由接待部门领导负责相应的信息安全责任。要进行数据交换的,按本规定有关条文 处理。
第二十八条 通过 MODEM、VPN 等各种方式连入企业内部网的远程访问用户也要
柳工内部控制制度
接受企业网络总管理员的管理,否则将不允许连接到企业内部网。
第二十九条 企业网络是工作网络,禁止任何利用企业网络以及企业集成信息平台进
行有损企业安定团结局面的行为,违犯者将被追究纪律甚至法律的责任。
第三十条 企业的网络和计算机都属于企业生产、工作的重要设备,任何破坏企业网
络和计算机的行为都视同破坏企业生产、工作的严重行为,需要追究纪律和法律的责任。
第五节
数据及信息安全的管理
第三十一条 数据及信息的安全包括数据的物理安全以及信息保密。企业各计算机信
息系统都要建立相应的安全管理制度,信息技术部对企业的全局数据库信息资源安全负
责,各应用系统、单位部门的主要负责人对本应用系统、单位部门的计算机信息资源安全 负责。
第三十二条 各应用系统、主要单位部门及各域都必须建立相应的数据备份与灾难恢
复制度和策略,并切实执行。
第三十三条 确有特殊需求经批准在企业网的某些计算机上保留有光驱和软驱的部
门,其部门领导和系统管理员必须对该 I/O 通道的安全负责,各类数据的拷出必须有相
关领导的审批以及文字性记录备案。
第三十四条 除网络管理员及其授权人员外,其余人员无权擅自在网络上传播、扩散
来自企业网络以外的其它软件和电子文档。
第三十五条 计算机信息系统联网应当采取系统访问控制、数据保护和系统安全防火 墙等技术措施。企业网内的所有计算机都必须安装有效的杀毒软件进行在线监控和定时杀 毒。
第三十六条 对计算机信息系统的访问应当按照相应的权限控制进行,不得进行越权
操作。企业网络的总管理员要对整个网络实行动态监控,发现违规操作人员,按照有关规 定处置。
第三十七条 所有连网计算机要定期或不定期进行硬盘检查,清理个人无用的文件,防止受到计算机病毒破坏和黑客程序的恶意攻击。
第三十八条 所有接入企业内部网的计算机,其所使用的电子邮件软件程序及其设
置,统一由信息技术部规定。
第三十九条 接收到的外部电子邮件、从网络上下载的各种软件、外来的光盘或软盘
等移动存储介质的数据和软件,必须经两种以上杀毒软件的交叉查毒杀毒处理,方可在计
算机系统中使用。
第四十条 各域的数据出入口安全由该域的网络管理员或者授权人员保证,所有具有
数据交换外设的计算机均要求安装三种以上的杀毒软件,并且要定期更新。
第四十一条 所有对外交换的电子邮件及其附件中的内容都不得泄露企业的秘密。经
由信息技术部及其授权人员代发的电子邮件,代发者要将其保留备查。
第四十二条 为防范病毒、黑客软件等侵袭,保证企业网络的正常工作环境,严禁在
网络中传播、接受和使用外来非工作用软件(特别是游戏软件),违者将按照有关规定予
以处理。因此造成网络和企业信息资源损害的,将从重处罚。
第四十三条 严禁除企业网络总管理员及其特别授权用户外的任何人员在网络计算
机上安装各种形式的网络监控程序,违者视同破坏企业网络。
第四十四条 严禁存储、传播和使用各种黑客及木马程序,违者视同破坏企业网络和
信息资源。对采用各种形式对企业网络和集成信息平台以及各应用系统进行攻击者,将被
追究纪律和法律的责任。
第四十五条 为保障企业网络和信息安全,在必要时经公司信息工作主管领导授权,信息技术部可以对柳工网络上的计算机进行安全检查,并采取相应的制止措施。信息技术部的专业人员在进行安装和维护工作时,可以根据业务工作需要,使用必要的工具软件。
第四十六条 严禁用户对非其管理的网络及联网计算机进行网络地址扫描或端口扫描。各域网络管理员应切实加强对所属用户的教育与管理,制止所属用户进行的非法网络地址扫描或端口扫描活动。违规发起扫描将被认为是对网络的攻击事件,公司保密委员会以及信息技术部、各域网管人员在查处网络攻击事件过程中有权要求有关部门予以切实配合和支持。
第四十七条 企业内部电子邮件系统是为方便企业正常工作而建立的,禁止无必要地滥发电子邮件,以免造成信息垃圾泛滥。
第四十八条 任何单位和个人发现计算机信息系统泄密或遭到破坏后,应及时采取补救措施,并根据具体情况及时向公司保密委员会或信息技术部报告,再由公司保密委员会向市保密委员会以及市公安局计算机监察科报告。
第六节
连接国际互联网的管理规定
第四十九条
加强对企业计算机登录国际互联网的管理控制,各单位确因业务需要,计算机要连入互联网的,必须经公司信息工作主管领导批准,并报公司保密委员会登记备案,由信息技术部负责统一管理。
第五十条 计算机登录国际互联网的单位、部门,其主要领导对入网计算机的安全保密工作负责,并负责对上网人员的教育管理。
第五十一条 所有接入互联网的计算机管理人员和操作人员都必须学习《中华人民共和国计算机信息网络国际互联网管理暂行规定》和《中国公用计算机互联网国际联网管理办法》,并接受相关的安全培训教育。
第五十二条 任何单位登录互联网的计算机系统,不得让企业外部计算机访问。在互联网上设置的有关宣传公司以及各子公司的网页内容,必须先经公司相关工作主管领导审查确定。
第五十三条 信息技术部对通过网络中心代理服务器连入互联网的计算机用户要采取相应的技术手段进行监控,不允许各部门和单位直接接入互联网。所有通过网络中心的代理服务器连入互联网的用户,必须自觉接受信息技术部的网络管理员以及安全保密员的监督。
第五十四条 企业的计算机是为开展业务工作而设置的,要教育上网人员不得在互联网上进行危害国家、社会、企业利益的违法犯罪活动,不得利用登录国际互联网之机制作、复制、查阅和传播下列信息:
(一)煽动抗拒、破坏宪法和法律、行政法规实施、颠覆国家政权、推翻社会主义制 度的;
(二)捏造或者歪曲事实,扰乱社会秩序的,破坏民族团结、破坏国家统一的;
(三)宣扬封建迷信、淫秽、暴力、恐怖,教唆犯罪的;
(四)公然侮辱他人或者捏造事实诽谤他人的;
随着互联网的迅速发展及人民银行各项工作网络化、信息化的普及,基层央行计算机信息安全和保密工作面临新的挑战。主要体现在计算机网络、重要业务应用系统和移动存储设备安全的管理等诸多方面。因此,正确处理计算机信息安全与信息保密,切实做好基层央行计算机信息安全与信息保密已经成为基层央行科技工作的一项重要内容。
2 信息泄密的主要途径及威胁计算机信息安全的因素
要确保计算机信息安全,首先要了解和掌握其信息是如何失密、泄密的,其安全隐患是如何产生的,才能更有效地杜绝隐患。
2.1 物理途径泄密
每台计算机运行时其固有电磁波辐射会产生信息泄漏,主要是通过其显示器、信号线和电源线的电磁辐射导致信息泄漏。众所周知,计算机是依靠高频脉冲电路产生脉冲信号进行工作的,由于电磁场的变化,必然要向外辐射电磁波。这些电磁波会把计算机中的信息泄漏出去,作案人员只要具备相应的接收设备,就可以将其接收,从而窃得秘密信息。据有关专家试验,计算机运行时,通过相关接收设备,在1000米以外能接收并清晰地还原计算机显示终端的信息;在开阔地带距其100米以外,用特殊的监听设备也能接收到其辐射信号。
2.2 网络途径泄密
计算机信息系统网络化运行容易造成信息泄漏而引起泄密,也容易大范围感染计算机病毒而造成网络堵塞、瘫痪甚至系统崩溃,存在巨大的安全隐患,这是由于计算机网络结构中的数据是共享的,主机与用户之间、用户与用户之间通过传输网线相联,就存在许多泄密漏洞,使得泄密的渠道和范围大大增加,感染计算机病毒的概率也就大大增加。
2.2.1 网络节点泄密
计算机联网,其信息短距离(100米内)传导多由铜芯网线传输,长距离传导则多由光纤线路传输,传输线路中还包括许多交换机、路由器及其它通信转换设备;网络越大,线路通道分支就越多,输送信息的区域也就越广,存在泄密漏洞的可能性也就越大,截取网络输送信息的条件也就越便利,重要信息传输若不进行加密处理,窃密者只要在网络中任意一条分支信道上或某一个节点、终端进行截取,就可获得所需的信息。
2.2.2 侵入泄密
黑客或者间谍组织利用操作系统、重要业务系统及网络交换机中存在的安全漏洞进行网络攻击,进入联网内的计算机信息系统进行窃密与破坏或是利用非法手段进入安全保密措施不强的计算机信息系统进行非法访问,对系统内的信息进行修改、破坏和窃取。
2.2.3 数据交叉传输泄密
日常办公的网络化和自动化,使得U盘等移动存储设备成为病毒攻击和泄密的又一个主要途径。一些人员由于安全保密意识淡薄,在使用过程中,同一个移动设备在内联网和互联网之间交叉混用、在工作电脑上和家庭电脑上共用,为病毒传播提供了温床,为黑客窃取存储介质中的秘密信息(如涉密的U盘、硬盘、光盘、笔记本电脑等)大开方便之门,泄密隐患相当严重。
2.3 人员因素泄密
人员管理是防止安全事件和泄密事件发生的关键环节,也是难点。
2.3.1 无知泄密
由于相关人员平时不加强计算机安全知识的学习,保密意识淡薄,容易因操作不当而导致泄密事件的发生。如由于不知道计算机的电磁波辐射会泄露秘密信息,计算机工作时未采取任何措施,因而给他人提供窃密的机会;还有的由于不知道计算机存储介质(如软盘、U盘、硬盘等)上的剩磁可以提取还原,将曾经存贮过秘密信息的存储介质借给别人或交流出去或不作技术处理而丢掉,因而造成泄密。还有的由于没有高安全防范知识及手段,在上互联网时,无法保证存在本地计算机上的数据和文件不被黑客窃走。
2.3.2 违章无意识泄密
如将发生故障的计算机送至人民银行系统外的电脑公司去维修,送修前既不做消磁处理,又不安排专人监修,由电脑公司随意处置而造成秘密数据外泄,或者由电脑公司将其上互联网造成非法外联,秘密数据被黑客或间谍组织窃走;还有的为了下载材料图一时方便,将内联网办公用机非法外联上互联网,造成秘密数据被黑客或间谍组织窃取;还有的由于思想麻痹,对计算机媒体存贮的涉密内容疏于管理,造成媒体的丢失;还有的人员违反规定把秘密信息在上互联网的家用电脑中进行处理而造成泄密,还有的人员使用互联网传递国家秘密信息而泄密等。
2.3.3 人为故意泄密
操作人员因利益驱使,向不法分子泄漏本单位的信息系统、数据库等重要秘密;主要就是间谍组织常常采用金钱收买、色情引诱等手段来策反掌握重大秘密的计算机工作人员,以窃取所需信息系统的秘密。如程序员和系统管理员被收买策反,就可以得知计算机系统软件保密措施,获得使用计算机的口令或密钥,从而进入计算机网络系统,窃取该系统的信息或数据库内的重要秘密;操作员被收买,就可以把计算机保密系统的文件、资料向外提供;维修人员因利益引诱,就可利用进入计算机或接近计算机终端的机会,更改程序,装置窃听器等。
3 强化计算机信息安全与信息保密的主要措施
计算机信息安全与保密工作重在防范,它的核心就在于管理,从许多泄密的案情来看,大多数是由于管理工作不到位造成的。所以,在强化信息安全与保密工作中,务必对症下药,把好关口,守住要隘,做到技术防范手段与管理措施相结合,严防失密、泄密及系统崩溃等安全事件发生。
3.1 强化工作人员的保密观念,筑牢思想防线
基层央行信息保密工作是一项基础性、群众性的工作,点多面广量大,它不是一项单独的工作,而是与基层央行各项特色工作密不可分的。一是面对高科技的发展,要改变过去那种只要关好门,锁好柜、管好文件就不会泄密的传统观念,而是要从维护国家安全和秘密信息安全这一角度出发,深入学习保密知识,不断强化保密观念,筑牢思想防线。二是要针对存在的计算机网络信息安全意识淡薄、保密知识缺乏和认识模糊等特点,加大保密宣传教育力度,坚持不懈、不厌其烦地对广大员工进行经常性的讲形势、讲责任、讲危害的保密教育和保密提醒,并通过各种方式,引导大家充分认识窃密与反窃密斗争的严峻形势,充分认识计算机网络泄密的严重危害和加强网络信息安全工作的重要意义,增强危机感和紧迫感,提高做好计算机网络信息安全工作的自觉性,从而使每一位员工能够严格执行保密制度,自觉把住容易泄密的环节,掌握防范的方法,切断泄密渠道,杜绝信息安全隐患。
3.2 加强涉密人员、涉密介质、涉密事项的管理
一是要根据国家信息安全和保密的有关规定,结合工作特点,制定符合实际并且操作性强的保密管理制度,强化制度建设。二是要管理好涉密人员,主要包括保密要害部门、要害岗位上的工作人员,并从上到下层层签订信息保密责任状,把保密工作的各项方针政策和措施落到实处。三是要加强涉密载体在使用、保管、维修、处理及销毁等各个环节的管理。四是涉密事项及涉密活动的管理,事前要制定切实可行的保密工作方案,事中要严格组织实施,事后要进行检查总结,建立健全涉密文件资料传递、复印、销毁登记,严格把关,确保涉密信息的安全传递使用。五是不论是互联网还是内部往来的计算机都要严格实行审批登记制度并采取MAC地址绑定、网络接入管理、入侵检测和网络运行管理等多种技术手段确保计算机信息保密。
3.3 提高防泄密、反窃密的技术保障能力
保密工作是一个系统工程,既要着眼于全面、全局,更要突出重点,确保万无一失。一是要加强涉密设备的物理隔离。严禁涉密计算机或连接涉密信息系统的计算机直接或间接接入互联网,密级信息不得存储在非涉密移动存储介质上。二是加强计算机信息安全检查。运用保密监督和技术监测检查等多种手段,及时发现信息保密问题,并采取切实有效措施,堵塞漏洞,消除隐患。三是做好数据加密处理,保证信息数据的安全。对涉密的计算机设置登录密码、屏保密码,对网络交换机、路由器增设网络加密机并做好符合保密规定的安全设置。四是确保安全防护软件有效运行。及时检查网络防火墙、入侵检测设备、防杀病毒软件病毒库及安全补丁自动分发系统等安全防护软件的有效运行,确保数据更新。五是做好数据备份处理。对重要的信息及系统采取数据备、系统备份和异地备份等多种形式,并经常性的对数据进行恢复检测,提高信息数据备份的可靠性和有效性。六是了解掌握计算机信息安全的最新成果,及时提出信息保密的对策和建议,及时采购并部署最先进保密技术的设施。
参考文献
[1]李伟.基层央行信息安全风险防范[J].中国金融,2014年09期.
[2]刘瑞.对基层央行信息安全保密工作的思考[J].金融科技时代,2011年08期.
【1.信息安全保密制度】推荐阅读:
信息安全保密操作规程05-26
it信息安全与保密管理10-17
计算机信息安全保密审计报告06-12
信息系统保密管理制度09-06
校园安全信息上报制度10-29
定期分析安全信息制度11-09
食品安全信息公开制度06-06
食品安全信息报告制度07-03
网吧网络与信息安全制度09-14
学校安全稳定信息报送制度09-18