涉密计算机自查(通用11篇)
关于切实加强计算机、移动存储介质及国家秘密载体
保密管理工作的自查报告
按照安定区教育体育局《关于切实加强计算机、移动存储介质及国家秘密载体保密管理的通知》(安教发【2011】384号)文件精神,我校严格按文件要求对学校的计算机保密工作进行了自查,特汇报如下:
一、高度重视
作为教育机构,我校把保密工作作为一项重要工作常抓不懈。明确了保密工作的领导机构和人员,成立了由校长刘建国任组长,书记郭天宝、副校长王旭东、办公室主任爨晓平等为成员的安全保卫保密工作领导小组,制定了《永定路小学涉密计算机及网络管理制度》并且落实了保密工作岗位负责制。做到了保密工作机构、人员、职责、制度“四落实”。
二、计算机保密管理现状
我校共有非涉密计算机8台。所有电脑都配备了杀毒软件,能定期杀毒与升级。对于非涉密单机的管理,都设置了开机密码,并能作到定期更换,同时明确非涉密单机不得处理涉密信息。对于计算机存储介质(U盘、移动硬盘等)的管理,采取专人保管、涉密文件单独存放,严禁携带存有涉密内容的磁介质到上网的计算机上加工、贮存、传递处理文件。
到目前为止,我校未发生一起计算机泄密事故。
三、计算机保密工作落实情况
(一)以宣传教育为主导,强化保密意识 为加强计算机及其网络的保密管理,防止计算机及其网络泄密事件发生,确保国家秘密信息安全,在计算机网络管理人员以及操作计算机的领导干部、涉密人员中强化计算机保密安全意识,我校采取多种方式,多渠道对计算机保密相关人员进行宣传教育。一是将《计算机及其网络保密管理规定》予以转发至各办公室,要求结合实际,认真组织学习,并抓好贯彻落实。二是进行警示教育。
(二)以制度建设为保障,严格规范管理
加强制度建设,是做好计算机保密管理的保障。为了构筑科学严密的制度防范体系,不断完善各项规章制度,规范计算机及其网络的保密管理,我校主要采取了以下几项措施:一是认真贯彻执行上级保密部门文件的有关项规定和要求,不断增强依法做好计算机保密管理的能力;二是制定《永定路小学涉密计算机及网络管理制度》;三是严格涉密信息流转的规范性,弥补管理上存在的空挡;四是针对信息发布中存在的不规范等问题,及时制定涉密信息发布审查制度,要求对上网信息严格审查、严格控制、严格把关,从制度上杜绝泄密隐患,做到“上网信息不涉密、涉密信息不上网”。
(三)以督促检查为手段,堵塞管理漏洞
为了确保计算机及其网络保密管理工作各项规章制度的落实,及时发现计算机保密工作中存在的泄密隐患,堵塞管理漏洞,我校十分重视对计算机及其网络保密工作的督促检查,采取自查与抽查相结合,常规检查与重点检查相结合,定期检查与突击检查相结合等方式,对计算机及其网络管理制度的落实情况、涉密网络的建设和使用情况以及涉密计算机、涉密网络采取的管理和防范措施的落实情况进行检查。今年以来,我校对计算机及其网络的情况进行了一次全面检查,通过检查,查找计算机保密工作中存在的管理漏洞,并整改到位。
通过自查,我校的计算机保密工作能做到制度到位、管理到位、检查到位,但也存在一定的问题,主要是计算机防范技术有待学习提高。
随着隔离技术的发展, 隔离卡也
产生了切电源线隔离, 切数据线隔离两种主要方式。目前市场上这两种方式并存。切电源线隔离的方式是最早的隔离卡类型, 采用继电器开关来切换电源线。由于早期硬盘对电源通断的处理不成熟, 切电隔离卡会造成硬盘的损坏。随着硬盘技术的发展, 这这现象得以改善。切数据线的方式目前是主流方向, 相对也有切换IDE数据线和STAT数据线的隔离卡。
2、涉密计算机日常故障维护
涉密计算机在维护的时候必须严格按照相关规定执行, 涉密计算机维护的关键就是对涉密硬盘的维修维护。涉密单位或涉密人员在硬盘出现问题时, 忽视了硬盘中还存有大量的涉密数据, 将没经过任何处理的硬盘直接送到经销商手中维修, 特别是处于产品保质期内的新硬盘, 这种现象更为普遍。目前, 市场上流行的硬盘, 基本上是国外生产的, 均由国外生产或国内的外资 (独资) 企业组装, 关键技术我们很少掌握。需调换或检修的硬盘在到达经销商手中之后, 一般都会再被送往生产厂家进行维修, 这就意味着将涉密信息移交给了涉外机构, 失去了对涉密信息的有效控制, 存在重大涉密隐患, 一旦这些数据被恢复利用, 后果不堪设想。同样, 将没有经过消磁处理的涉密硬盘, 直接送到硬盘的销毁地点, 工作中产生的大量数据、图表资料等涉密信息, 很可能会落入一些别有用心者的手中, 极易造成泄密。因此需要信息中心硬件组对涉密计算机维修维护进行监管, 并采取外部修时将硬盘拔掉;内部维修时, 采用中间机措施。
2.1 涉密硬盘常见故障
在对涉密硬盘进行维护时, 如需要拷贝则就一定要使用信息中心的中间机进行拷贝, 这样才能有效地保障信息安全。下面介绍几种日常维护过程中出现的状况。
2.1.1 系统不认硬盘
系统从硬盘无法启动, 从A盘启动也无法进入C盘, 使用CMOS中的自动监测功能也无法发现硬盘的存在。这种故障大都出现在连接电缆或IDE端口上, 硬盘本身故障的可能性不大, 可通过重新插接硬盘电缆或者改换IDE口及电缆等进行替换试验, 就会很快发现故障的所在。如果新接上的硬盘也不被接受, 一个常见的原因就是硬盘上的主从跳线, 如果一条IDE硬盘线上接两个硬盘设备, 就要分清楚主从系。
2.1.2 硬盘无法法读写或不能辨认
这种故障一般是由于C M O S设置故障引起的。CMOS中的硬盘类型正确与否直接影响硬盘的正常使用。现在的机器都支持“IDE Auto Detect”的功能, 可自动检测硬盘的类型。当硬盘类型错误时, 有时干脆无法启动系统, 有时能够启动, 但会发生读写错误。
2.1.3 系统无法启动
造成这种故障通常是基于以下四种原因:
主引导程序损坏、分区表损坏、分区有效位错误、DOS引导文件损坏, 其中, DOS引导文件损坏最简单, 用启动盘引导后, 向系统传输一个引导文件就可以了。主引导程序损坏和分区有效位损坏一般也可以用FDISK/MBR强制覆写解决。分区表损坏就比较麻烦了, 因为无法识别分区, 系统会把硬盘作为一个未分区的裸盘处理, 因此造成一些软件无法工作。
2.2 涉密计算机网络为什么必须与国际互联网实现物理隔离呢?
首先, 目前还没有十分可靠的技术手段, 使与国际互联网联接的计算机信息系统得到安全保障。
其次, 国际互联网是一个完全开放的网络空间, 网络中的任何一个计算机信息系统随时都会受到来自国际互联网各个角落、出于各种目的的访问的攻击。而且攻击的技术手段日益高超, 网上入侵活动十分猖獗。
最后, 我国的计算机硬件和软件主要依赖于从国外进口, 容易被国外情报机关监控。
2.3 涉密硬盘数据恢复
涉密硬盘数据恢复包括:
误格式化硬盘数据的恢复
在D O S高版本状态下, 格式化操作format在缺省状态下都建立了用于恢复格式化的磁盘信息, 实际上是把磁盘的DOS引导扇区, fat分区表及目录表的所有内容复制到了磁盘的最后几个扇区中 (因为后面的扇区很少使用) , 而数据区中的内容根本没有改变。
分区表损坏时的数据修复
硬盘主引导记录 (MBR) 所在的扇区也是病毒重点攻击的地方, 通过破坏主引导扇区中的DPT (分区表) , 就可以轻易地损毁硬盘分区信息, 达到对资料的破坏目的。分区表的损坏是分区数据被破坏而使记录被破坏的。
误删除之后的数据恢复
在计算机使用过程中我们最常见的数据恢复就是误删除之后的数据恢复了, 但是在这个时候一定要记住, 千万不要再向该分区或者磁盘写入信息, 因为刚被删除的文件被恢复的可能性最大。
3、结论
为保障涉密计算机数据安全, 信息
中心维修人员必须要求有高度的责任心, 凡是都要按照要求去做, 在维修过程中正确判断涉密计算机的故障原因, 确保涉密信息不能外泄或丢失, 信息中心要配合经理办对涉密计算机上网和使用情况进行检查, 以便及时发现问题, 解决问题。
摘要:随着现代科学技术的飞速发展, 计算机也在各项领域中广泛使用, 成为企业经营、生产管理不可缺少的工具。然而, 在计算机使用过程中很可能在使用过程中出现涉密内容泄密, 分公司对涉密计算机进行了改造, 来确保涉密计算机的可靠安全运行, 这就对涉密计算机日常维护带来了更大的要求。
关键词:硬盘,数据,涉密
参考文献
舜风工作室, 《电脑硬件故障检测与维修从入门到精通》, 中国铁道出版社, 201007舜风工作室, 《电脑硬件故障检测与维修从入门到精通》, 中国铁道出版社, 201007
关于进一步加强网络窃密泄密防范工作的自查整改报告
区保密局:
根据兰密发[2010]5号文件要求,我单位认真负责明确责任,组织人员参加加强网络窃密泄密防范工作自查行动,着力对照检查项目进行逐一整改,确保符合省市区各级保密检查的要求。现将自查整改情况汇报如下:
一、加强领导,高度重视
领导重视是做好保密工作的前提,领导班子对保密工作十分重视,把它做为一项重要任务来抓,及时建立保密领导小组,成立了由一把手主任任组长,相关人员为成员的保密工作领导小组,建立健全保密规章制度。
二、保密工作开展情况
我单位现有电脑6台,其中有1台是连接的政务网,用来接收内部电子文件的,没有连接互联网络,另外5台都是连接互联网来查讯信息和写作,其计算机中均未存储涉密文件。
每台电脑系统都安装防火墙或杀毒软件,定时查杀,防止黑客、病毒入侵。其中涉密计算机严格按照上级保密局规定要求,凡涉及机密的公文,不得使用公用网络进行传输,涉密载体不上国际互联网,完全实现了内网与外网及公众网络的隔离,严禁使用任何连接方式与互联网进行连接,并采用了相应的加密措施;严禁将具有存储功能的电磁存储介质和电子设备带入重要场所,移动存储介质没有出现交叉使用现象,严禁我单位计算机上安装使用摄像头等视频输入设备,对通信设备和其它办公自动化设备的使用进行了保密管理。
三、结合这次检查,我单位保密工作存在的主要问题及整改措施 按照“谁上网,谁负责”的原则,加强涉密载体的使用管理。我单位在上级保密局的领导下,保密工作逐步规范化、制度化,没有出现过涉密事故。在今后的工作中,今后将继续努力,进一步加强网络窃密泄密工作的防范意识,积极探索研究新时期保密工作的新情况、新问题,力争保密工作再上新台阶。
县保密局:
按照你局《关于集中开展网络清理检查工作的通知》要求,我办认真对本单位文件制发管理情况和计算机网络使用管理情况进行了全面清理检查,现将自查情况汇报如下:
(一)加强保密教育,强化责任落实。一是积极开展保密教育活动,组织档案保管、文件收发、计算机管理等涉密人员,强化学习《保密法》及《保密工作规程》等有关制度,明确保密工作要求,主动遵守保密规定,履行保密义务,承担保密责任。通过培训,使涉密人员进一步掌握必要的保密法律知识和技能,自觉履行保密责任和义务。同时,加大对涉密人员在岗、离岗的教育管理,加强对保密人员工作的业务指导及监督检查。二是成立清查小组。对各相关科室涉密文件、载体及涉密计算机和办公网络管理情况进行逐一检查;加强涉密人员日常管理,落实岗位制度、职责,并将责任落实到人,同时加强对涉密工作人员的监督和管理。
(二)严格管理载体,健全保密制度。一是按照《保密法》等相关法律法规及文件要求,文件制发管理由专人负责文件的收发、传阅、整理和归档工作;对上级部门转来的涉密文件资料、绝密级秘密文件,坚决做到严格按文件要求,按级传达,实行了专门登记专卷管理;对涉密、内网计算机、u盘、光盘等涉密载体,按照“谁使用谁管理”的原则,责任落实到人。二是进一步完善基础资料管理办法和保密规定,明确专人负责,认真做好保密制度上墙;进一步强化档案室管理,健全档案管理制度和机要文件登记、传阅、清理和回交规程,对公文传输等秘密资料的收发,严格履行登记、编号、签收、清理手续。
(三)网络清理自查开展情况。通过自查,我办网络保密工作能做到制度到位、管理到位、检查到位,并结合实际做到禁止在未采取防护措施的情况下,涉密信息系统与互联网及其公共信息网络之间进行信息交换;做到禁止将涉密计算机、涉密存储设备和内部网络接入互联网及其他公共信息网络;做到严禁通过互联网电子邮箱办理公务,存储、处理、传输涉密文件资料和敏感信息;对无需保存的文件资料及纸质材料全部进行了处理,基本做到了无违规、泄密现象发生。
(四)存在问题及整改措施。对照保密工作自查目录进行自查发现,我办保密工作仍存在一定问题。一是职工保密意识仍需增强;二是计算机、移动存储介质及网络管理仍需规范;三是保密制度规范仍需完善。经过自查,我单位已对计算机及移动存储介质等存在的问题进行了整改。下一步,我办将加大保密工作宣传教育力度,加强计算机、移动存储介质及网络管理规范,进一步完善保密工作制度,使保密工作逐步规范化、制度化,力争保密工作再上新台阶。
夏邑县人民政府办公室
项保密工作自查情况的报告
攀枝花市环境保护局
关于非涉密网络要害部门要害部位 专项保密工作自查情况的报告
市委保密委办公室:
根据市委保密委办公室的工作要求,现就我局开展非涉密网络、要害部门、要害部位保密管理工作相关情况报告如下。
一、加强保密工作的组织领导
我局历来重视保密工作,切实加强了保密工作的组织领导,成立了以局长为组长,分管副局长为副组长,办公室、机关相关处室、直属单位主要负责人为成员的保密工作领导小组。领导小组办公室设在局办公室,领导小组办公室主任由办公室负责人担任。明确了局办公室是全局保密工作的具体承办部门,明确了机关各处室、各直属单位的保密工作职责和目标任务,梳理了局办公室、信息中心、规划财务处为全局保密重点部门,明晰了办公室、打字室、档案室、信息中心、财务室为全局保密重点部位。领导小组定期或不定期研究保密工作重大问题,解决保密工作所涉及的设备物资配备、经费人员保障,防患失泄密事故,确保秘密安全,推动保密工作有序开展。
二、健全保密管理工作制度
为推进我局保密工作规范有序、有章可循、奖惩到位,我们在已有保密制度的基础上,根据保密工作新时期的形势和任务,制定、完善了相关保密制度并印发实施。修改完善的保密制度主要有以下19项:《政务信息公开保密审查制度》《保、密守则》、《保密领导小组职责》、《专(兼)职保密干部的职责》、《保密室管理制度》、《保密工作制度》、《文件的保密管理制度》、《档案保密工作制度》、《要害部门保密制度》、《计算机信息系统使用管理规定》、《复印机、传真机、有线和无线通信设备使用管理规定》、《计算机保密及操作守则》、《领导干部保密工作制度》、《新闻报道的保密审查制度》、《失泄密事故处理制度》、《保密工作奖惩制度》、《保密工作检查评比制度》、《保密干部培训制度》、《阅文保密制度》。通过保密工作制度完善和严格考核奖惩,有力地促进了我局保密工作的有效开展。
三、专项保密工作开展情况
(一)非涉密网络保密管理情况
因工作需要,我局在2006年建设和启用了非涉密的办公局域网,总共拥有网络终端设备60台(套)。应用系统3个:攀枝花市环境保护局门户网站(三级)、攀枝花市环境保护局政务协同办公系统(三级)、国控重点污染源自动监控系统(三级),这3个局域网络系统均未与包括涉密网络等其他网络连接,系统采用逻辑隔离措施,明确了不允许存储、处理涉密信息,制定完善了非涉密网络安全保密管理制度,并定期开展保密核查,没有介入涉密计算机及移动存储介质,没有在系统中存储、处理、传递涉密文件信息资料,没有在服务器、计算机终端上存储、处理涉密文件信息资料。
(二)要害部门、要害部位保密管理情况
突出要害部门、要害部位的安全保密管理,认真做好人防、物防、技防保密工作。
加强对保密要害部门、部位工作人员的管理是做好保密要害部门、部位保密管理工作的关键。我局十分重视对保密要害部位工作人员的管理,重点抓好五个环节的保密教育:岗前教育、在岗教育、离岗教育、出国(境)境教育、涉密、外事活动前教育。同时建立健全了8项保密管理制度,使保密工作有章可循,有依可据。
按照有关规定,我局对保密部位机要室的物防管理进行了加强,在原来的“三铁”基础上,增加了密码报警箱、碎纸机等配置,从硬件上保证了保密要害部位的防火、防水、防盗。近年来,随着形势的发展,我局在网络建立上的投入不断加强,而计算机信息系统的保密工作相对滞后。为改变这一状况,今年我们将提高技改作为保密管理工作的重点。配置了安全U盘、桌面安全管理系统、视频辐射干扰器等技防设备。同时对我局所有计算机的进行了一次涉密情况清查,今后将对内外网实行严格的物理隔离。
四、存在主要问题及改进措施
(一)存在的问题
1.干部的保密意识、保密知识有待进一步提高。2.对计算机和局域网络的保密管理还缺乏有效的手段。3.目前保密干部身兼多职,在保密工作方面有时力不从心。
(二)整改措施
1.全面落实保密工作责任制,将保密工作纳入局目标进行管理,在责任状中予以明确。
2.不断加强宣传教育力度,增强干部职工的保密意识,提高做好保密工作的主动性和自觉性。
3.加强对保密工作人员的业务培训,提高保密干部的素质。4.配备一名兼职涉密人员,协助专职机要员工作。近年来,我局在市委保密办的领导下,保密工作正在逐步制度化、规范化,没有出现过泄密事件。今后我们将继续努力,力争保密工作更上一层楼。
附件:非涉密网络保密管理情况检查表
攀枝花市环境保护局
国家保密局针对涉密系统提出了相应的保密管理原则, 即同步建设、严格审批、注重防范以及规范管理等。
二、涉密系统安全保密方案
2.1系统分析
涉密系统安全保密方案应该详细说明系统资源的情况, 如:硬件、软件以及信息资源、存储介质等;系统用户与网络管理员以及应用系统相关情况, 如:系统名称、性能、访问权限、使用对象以及安全保密手段等;传输介质、结构图及其相关说明。
2.2安全保密系统设计
网络安全控制系统可以秘密监控计算机的终端、服务器和无线移动平台。其具体涵盖内容比较多, 包括认证与监控网络使用人员以及范围内计算机的身份;授权和控制USB、光盘以及网络接口等受信涉密终端外部接口的访问;加密网络传输数据并进行监测;保护重点涉密数据库系统以及服务器的安全域等。图1中, 内容审计系统的安装能随时监测网络传输数据和其用户的日常行为;入侵检测系统的安装, 可以保护重点涉密数据库系统以及服务器的安全域, 还有检测到审计试图进行的攻击行为;由安全网关对安全域进行划分, 从而可以根据秘密等级以及业务范围对涉密网络进行秘密划分;涉密终端与服务器上安装的安全控制终端可以授权与控制一切数据与系统操作的访问, 以及对整个过程的审计。
以下是它的具体安全功能: (1) 服务器安全即是服务器与通信端口的连接与加密, 同时还要对其认证;对本地硬盘进行加密;而有管理权限的控制连接是通过USB令牌的密码协议实现的;只有采用合法的授权令牌才能使服务器正常运行。 (2) 客户端安全即是一种不错的自保护手段, 隐藏与保护客户端所控制代理的文件、进程以及注册表, 对系统远程线程的接入进行监控, 防止对客户端代理可能造成破坏性的现象发生;其认证是双向的, 使客户端之间的身份具有可信保障;对本地硬盘进行加密;彻底监控客户端的外部接口, 以便对网络端口、光驱、USB接口以及串口等任意I/O端口进行访问控制以及审查。 (3) 通信安全即是通过全面加密体系, 对数据、指令以及策略的传输均进行加密, 使窃听、篡改等具有破坏性的行为得到有效的制止。 (4) 管理安全即是通过授权的USB令牌实现与服务器之间的认证以及连接, 这样才能获取管理权限;通过分权制衡原则将管理员与审计员两者分离开来。
三、加强涉密网络安全保密的措施
下面几个问题是涉密系统安全保密方案设计中尤其要注意的。 (1) 涉密系统与非涉密系统的划分。该系统安全保密方案的设计第一步就是要根据相应的工作要求进行涉密系统与非涉密系统的划分。要对涉密系统的规模与范围进行适当的明确实现要定密准确。系统对所处理与传输的部分信息定密太严或不恰当, 不应定密的也定密了, 或者将密级定高了, 使得安全保密的成本加大, 应用也受到阻碍, 埋下信息安全隐患。 (2) 涉密系统内安全域的划分。涉密系统的安全域由两个部分构成, 即实施安全策略的域和当中的主客体。涉密系统应通过局域网、逻辑子网等网络结构, 按照信息密级以及重要程度来划分系统的安全域。如果不一样的安全域需要相互连通, 就要使用防火墙等安全保密设备对边界进行防护, 并对访问进行控制。同个安全域应该以VLAN、域等方式, 按照信息的密级、重要程度以及授权来进行划分。 (3) 重视管理。当前该系统的安全保密方案设计还存在着一些不足, 如对管理的重视不足, 以技术弥补管理的不足。而实际上管理与技术的比例应是7:3。管理在某种程度上可以弥补技术方面的不足, 若没有一个良好的管理, 技术再强还是不安全的。所以, 在设计该系统的安全保密方案时, 一定要突出安全保密管理的重要性, 并将管理与技术两者相结合。
四、小结
如果没有解决好安全保密问题, 会对整个计算机网络的应用造成影响。特别是涉密系统, 其专门对国家机密信息进行处理和传送, 若在安全保密方面做的不到位, 很容易损害国家的安全及利益。
摘要:文中基于涉密计算机的网络安全对设计方案进行了脆弱性和威胁性分析, 重点分析了方案设计中的存在的问题及加强涉密网络安全保密的措施。
关键词:涉密计算机,网络安全,脆弱,威胁性
参考文献
[1]赵瑞霞.浅谈涉密计算机网络的安全防护措施[J].网络安全技术与应用, 2010, 05:34-35
一、按照“谁主管谁负责、谁运行谁负责”的原则,保密员负责保密计算机系统的安全和保密管理;
二、设计国家秘密的信息(以下简称涉密信息)应当在涉密信息系统中处理。非涉密信息系统不得处理涉密信息。涉密信息系统必须与互联网及其他公共信息网络实行屋里隔离
三、严禁同一计算机既上互联网又处理涉密信息;严禁使用含有无线网卡、无线鼠标、无线键盘等具有无限互联功能的设备处理涉密信息;严禁涉密计算机带到与工作无关的场所
四、严格限制从互联网向涉密信息系统复制数据。确需复制的,应当严格按照国家有关保密标准执行;不得使用移动存储设备从涉密计算机向非涉密计算机复制数据。确需复制的,应当采取严格的保密措施,防止泄密;复制和传递涉密电子文档,应当严格按照复制和传递同等密级纸质文件的有关规定办理
五、涉密计算机及相关设备维修,应当在本单位内部现场进行,并指定专人全程监督,严禁维修人员读取和复制涉密信息。确需送修的,应当拆除涉密信息存储部件
六、任何个人不得擅自销毁、淘汰、报废处理过涉密文件资料的计算机,应当通过技术手段进行处理,确保有关内容和数据不可恢复
七、涉密计算机及相关设备存储数据的恢复,必须由国家保密工作部门指定的具有涉密数据恢复资质的单位进行
八、处理内部信息的计算机及相关设备在变更用途时,应当使用能够有效删除数据的工具删除存储部件中的内部信息
九、加强对涉密计算机及使用人员的管理,开展经常性的保密教育培训,提高计算机使用人员的安全和保密意识和技能
十、涉密计算机信息系统使用管理人员违反本规定,情节较轻的,由本单位予以批评教育;情节严重,造成安全和泄密隐患的,按有关规定处理
涉密计算机及信息系统安全策略文件属于顶层的管理文档,是公司网络与信息安全保障工作的出发点和核心,是公司计算机与信息系统安全管理和技术措施实施的指导性文件。涉密计算机及信息系统安全策略文件是公司计算机和信息系统全体管理和使用人员必须遵循的信息安全行为准则,由公司信息安全管理部门制订及解释,由公司保密委员会审批发布,并由信息安全管理部门组织公司全体人员学习与贯彻。
公司涉密计算机及信息系统涉及到存储、传输、处理国家秘密、公司商业秘密和业务关键信息,关系到公司的形象和公司业务的持续运行,必须保证其安全。因此,必须从技术、管理、运行等方面制定确保涉密计算机和信息系统持续可靠运行的安全策略,做好安全保障。
本策略文件主要内容包括:物理安全策略、信息安全策略、运行管理策略、备份与恢复策略、应急计划和响应策略、计算机病毒与恶意代码防护策略、身份鉴别策略、访问控制策略、信息完整性保护策略、安全审计策略等十个方面。2 适用范围
2.1本策略所称的涉密计算机和信息系统指公司所有通过计算机及信息系统存贮、处理或传输的信息及存贮、处理或传输这些信息的硬件、软件及固件。
2.2本策略适用于与公司涉密计算机及信息系统相关的所有部门及人员。3 目标
制定涉密计算机及信息系统安全策略的目标就是确保公司掌握的国家秘密、公司商业秘密和业务关键信息的安全性,并通过一系列预防措施将信息安全可能受到的危害降到最低。信息安全管理应在确保信息和计算机受到保护的同时,确保计算机和信息系统能够在允许的范围内正常运行使用。
同时,本策略的目的也是让所有员工能够了解信息安全问题以及明确各自的信息安全职责,严格遵守本安全策略,并遵守国家相关的计算机或信息安全法律要求。4 组织 4.1保密委员会是计算机及信息系统安全管理的领导机关,负责领导信息安全管理体系的建立和信息安全管理的实施,主要包括:
提供清晰的指导方向,可见的管理支持,明确的信息安全职责授权; 审查、批准信息安全策略和岗位职责; 审查业务关键安全事件;
批准增强信息安全保障能力的关键措施和机制;
保证必要的资源分配,以实现数据有效性以及信息安全管理体系的持续发展。
4.2信息安全管理部门具体负责建立和维持信息安全管理体系,协调相关活动,主要承担如下职责:
调整并制定所有必要的信息安全管理规程、制度以及实施指南等; 提议并配合执行信息安全相关的实施方法和程序,如风险评估、信息管理分层等;
主动采取部门内的信息安全措施,如安全意识培训及教育等; 配合执行新系统或服务的特殊信息安全措施; 审查对信息安全策略的遵循性; 配合并参与安全评估事项;
根据信息安全管理体系的要求,定期向上级主管领导和保密委员会报告。分层管理与控制
5.1公司计算机及信息系统管理分为涉密计算机管理、内部网络(局域网)及计算机信息管理、互联网计算机信息管理三个管理层次。
5.2 涉密计算机只能处理涉及国家秘密的信息,实行物理隔离管理,只能由公司涉密人员使用,由公司保密员管理。涉密计算机信息数据必须被保护以防止被泄漏、破坏或修改。
5.3 内部网络(局域网)及计算机配置加密管理措施,与互联网隔离,配置保密管理措施,只能通过局域网传输、储存技术文档、软件等涉及公司商业机密信息。上述信息必须定期备份进行保护,以免破坏和非授权修改。
5.4 互联网计算机主要处理来自于外部资源的普通信息,配置上网行为管理 2 措施,同样在信息安全防护上进行安全考虑。
5.5上述计算机及信息系统根据分层次管理的要求应当依据其分类进行物理标记。
物理安全策略
6.4信息处理设备可接受的使用策略
公司禁止工作人员滥用计算机及信息系统的计算机资源,仅为工作人员提供工作所需的信息处理设备。公司所有人员对系统网络和计算资源的使用(包括访问互联网)都必须遵守计算机及信息系统的安全策略和标准及所有适用的法律。
公司的计算机及信息系统应能防止使用人员连接到访问含有色情、种族歧视及其他不良内容的网站及某些非业务网站。
包括但不限于以下例子是不可接受的使用行为:
使用信息系统资源故意从事影响他人工作和生活的行为。
工作人员通过信息系统的网络服务及设备传输、存储任何非法的、有威胁的、滥用的材料。
任何工作人员使用信息系统的计算机工具、设备和互联网访问服务来从事用于个人获益的商业活动(如炒股)。
工作人员使用信息系统服务来参与任何政治或宗教活动。
在没有信息安全管理部门的事先允许或审批的情况下,工作人员在使用的计算机中更改或安装任何类型的计算机软件和硬件。
在没有信息安全管理部门的事先允许或审批的情况下,工作人员拷贝、安装、处理或使用任何未经许可的软件。6.5处理从互联网下载的软件和文件
必须使用病毒检测软件对所有通过互联网(或任何其他公网)从信息系统之外的途径获得的软件和文件进行检查,同时,在获得这些软件和文件之前,信息安全管理部门必须研究和确认使用这些工具的必要性。
6.6工作人员保密协议
公司所有人员必须在开始工作前,亲自签订计算机及信息系统保密协议。6.7知识产权权利
尊重互联网上他人的知识产权。
公司工作人员在被雇佣期间使用公司系统资源开发或设计的产品,无论是以何种方式涉及业务、产品、技术、处理器、服务或研发的资产,都是公司的专有资产。物理和环境安全策略
计算机信息和其他用于存储、处理或传输信息的物理设施,例如硬件、磁介质、电缆等,对于物理破坏来说是易受攻击的,同时也不可能完全消除这些风险。因此,应该将这些信息及物理设施放置于适当的环境中并在物理上给予保护使之免受安全威胁和环境危害。
7.1安全区域
根据信息安全的分层管理,应将支持涉密信息或关键业务活动的信息技术设备放置在安全区域中。安全区域应当考虑物理安全边界控制及有适当的进出控制措施保护,安全区域防护等级应当与安全区域内的信息安全等级一致,安全区域的访问权限应该被严格控制。
7.2设备安全
对支持涉密信息或关键业务过程(包括备份设备和存储过程)的设备应该适当地在物理上进行保护以避免安全威胁和环境危险。包括:
设备应该放置在合适的位置或加强保护,将被如水或火破坏、干扰或非授权访问的风险降低到可接受的程度。
对涉密信息或关键业务过程的设备应该进行保护,以免受电源故障或其他电力异常的损害。
对计算机和设备环境应该进行监控,必要的话要检查环境的影响因素,如温度和湿度是否超过正常界限。
对设备应该按照生产商的说明进行有序地维护。 安全规程和控制措施应该覆盖该设备的安全性要求。 设备包括存储介质在废弃使用之前,应该删除其上面的数据。7.3物理访问控制
信息安全管理部门应建立访问控制程序,控制并限制所有对计算计及信息系统计算、存储和通讯系统设施的物理访问。应有合适的出入控制来保护安全场所,确保只允许授权的人员进入。必须仅限公司工作人员和技术维护人员访问公司办 4 公场所、布线室、机房和计算基础设施。
7.4建筑和环境的安全管理
为确保计算机处理设施能正确的、连续的运行,应至少考虑及防范以下威胁:偷窃、火灾、温度、湿度、水、电力供应中断、爆炸物、吸烟、灰尘、振动、化学影响等。
必须在安全区域建立环境状况监控机制,以监控厂商建议范围外的可能影响信息处理设施的环境状况。应在运营范围内安装自动灭火系统。定期测试、检查并维护环境监控警告机制,并至少每年操作一次灭火设备。
7.5保密室、计算机房访问记录管理
保密室、计算机房应设立物理访问记录,信息安全管理部门应定期检查物理访问记录本,以确保正确使用了这项控制。物理访问记录应至少保留12个月,以便协助事件调查。应经信息安全管理部门批准后才可以处置记录,并应用碎纸机处理。
8计算机和网络运行管理策略
计算机和信息系统所拥有的和使用的大多数信息都在计算机上进行处理和存储。为了保护这些信息,需要使用安全且受控的方式管理和操作这些计算机,使它们拥有充分的资源。
由于公司计算机和信息系统采用三层管理模式,不排除联接到外部网络,计算机和信息系统的运行必须使用可控且安全的方式来管理,网络软件、数据和服务的完整性和可用性必须受到保护。
8.1操作规程和职责
应该制定管理和操作所有计算机和网络所必须的职责和规程,来指导正确的和安全的操作。这些规程包括:
数据文件处理规程,包括验证网络传输的数据;
对所有计划好的系统开发、维护和测试工作的变更管理规程; 为意外事件准备的错误处理和意外事件处理规程;
问题管理规程,包括记录所有网络问题和解决办法(包括怎样处理和谁处理); 事故管理规程; 为所有新的或变更的硬件或软件,制定包括性能、可用性、可靠性、可控性、可恢复性和错误处理能力等方面的测试/评估规程;
日常管理活动,例如启动和关闭规程,数据备份,设备维护,计算机和网络管理,安全方法或需求;
当出现意外操作或技术难题时的技术支持合同。8.2操作变更控制
对信息处理设施和系统控制不力是导致系统或安全故障的常见原因,所以应该控制对信息处理设施和系统的变动。应落实正式的管理责任和措施,确保对设备、软件或程序的所有变更得到满意的控制。
8.3介质的处理和安全性
应该对计算机介质进行控制,如果必要的话需要进行物理保护: 可移动的计算机介质应该受控;
应该制定并遵守处理包含机密或关键数据的介质的规程; 与计算相关的介质应该在不再需要时被妥善废弃。8.4鉴别和网络安全
鉴别和网络安全包括以下方面:
网络访问控制应包括对人员的识别和鉴定;
用户连接到网络的能力应受控,以支持业务应用的访问策略需求; 专门的测试和监控设备应被安全保存,使用时要进行严格控制; 通过网络监控设备访问网络应受到限制并进行适当授权; 应配备专门设备自动检查所有网络数据传输是否完整和正确; 应评估和说明使用外部网络服务所带来的安全风险; 根据不同的用户和不同的网络服务进行网络访问控制; 对IP地址进行合理的分配; 关闭或屏蔽所有不需要的网络服务; 隐藏真实的网络拓扑结构;
采用有效的口令保护机制,包括:规定口令的长度、有效期、口令规则或采用动态口令等方式,保障用户登录和口令的安全;
应该严格控制可以对重要服务器、网络设备进行访问的登录终端或登录 6 节点,并且进行完整的访问审计;
严格设置对重要服务器、网络设备的访问权限; 严格控制可以对重要服务器、网络设备进行访问的人员;
保证重要设备的物理安全性,严格控制可以物理接触重要设备的人员,并且进行登记;
对重要的管理工作站、服务器必须设置自动锁屏或在操作完成后,必须手工锁屏;
严格限制进行远程访问的方式、用户和可以使用的网络资源; 接受远程访问的服务器应该划分在一个独立的网络安全区域; 安全隔离措施必须满足国家、行业的相关政策法规。
个人终端用户(包括个人计算机)的鉴别,以及连接到所有办公自动化网络和服务的控制职责,由信息安全管理部门决定。
8.5操作人员日志
操作人员应保留日志记录。根据需要,日志记录应包括: 系统及应用启动和结束时间; 系统及应用错误和采取的纠正措施; 所处理的数据文件和计算机输出; 操作日志建立和维护的人员名单。8.6错误日志记录
对错误及时报告并采取措施予以纠正。应记录报告的关于信息处理错误或通信系统故障。应有一个明确的处理错误报告的规则,包括:1)审查错误日志,确保错误已经得到满意的解决;2)审查纠正措施,确保没有违反控制措施,并且采取的行动都得到充分的授权。
8.7网络安全管理策略
网络安全管理的目标是保证网络信息安全,确保网络基础设施的可用性。网络管理员应确保计算机信息系统的数据安全,保障连接的服务的有效性,避免非法访问。应该注意以下内容:
应将网络的操作职责和计算机的操作职责分离;
制定远程设备(包括用户区域的设备)的管理职责和程序;
应采取特殊的技术手段保护通过公共网络传送的数据的机密性和完整性,并保护连接的系统,采取控制措施维护网络服务和所连接的计算机的可用性;
信息安全管理活动应与技术控制措施协调一致,优化业务服务能力; 使用远程维护协议时,要充分考虑安全性。8.8电子邮件安全策略
计算机和信息系统应制定有关使用电子邮件的策略,包括: 对电子邮件的攻击,例如病毒、拦截;
必要时,使用相关技术保护电子邮件的机密性、完整性和不可抵赖。8.9病毒防范策略
病毒防范包括预防和检查病毒(包括实时扫描/过滤和定期检查),主要内容包括:
控制病毒入侵途径; 安装可靠的防病毒软件; 对系统进行实时监测和过滤; 定期杀毒; 及时更新病毒库; 及时上报; 详细记录。
防病毒软件的安装和使用由信息安全管理部门专门的病毒防范管理员执行。严格控制盗版软件及其它第三方软件的使用,必要时,在运行前先对其进行病毒检查。
内部工作人员因为上不安全的网站下载文件或其他方式导致中毒,造成的后果由其本人负责。
8.10备份与恢复策略
定义计算机及信息系统备份与恢复应该采用的基本措施: 建立有效的备份与恢复机制; 定期检测自动备份系统是否正常工作;
明确备份的操作人员职责、工作流程和工作审批制度;
建立完善的备份工作操作技术文档;
明确恢复的操作人员职责、工作流程和工作审批制度; 建立完善的恢复工作操作技术文档; 针对建立的备份与恢复机制进行演习; 对备份的类型和恢复的方式进行明确的定义; 妥善保管备份介质。8.11加密策略
对于应用系统安全需求分析中要求采用加密措施,或相关法规中要求采用加密措施的处理,一定要满足要求。
采用加密技术或选用加密产品,要求符合国家有关政策或行业规范的要求。选用的加密机制与密码算法应符合国家密码政策,密钥强度符合国家规定。对于敏感或重要信息,要求通过加密保障其私密性、通过信息校验码或数字签名保障其完整性、通过数字签名保障其不可否认性。
要求采用高强度的密钥管理系统,保证密钥全过程的安全。包括密钥的生成、使用、交换、传输、保护、归档、销毁等。
对敏感或重要密钥,要求分人制衡管理。
对敏感或重要密钥,要求采用一定的密钥备份措施以保障在密钥丢失、破坏时系统的可用性。
密钥失密或怀疑失密时,必须及时向安全主管部门报告,更新密钥。并采取有效措施,防止再次发生类似情况。9访问控制策略
为了保护计算机系统中信息不被非授权的访问、操作或破坏,必须对信息系统和数据实行控制访问。
计算机系统控制访问包括建立和使用正式的规程来分配权限,并培训工作人员安全地使用系统。对系统进行监控检查是否遵守所制定的规程。
9.1计算机访问控制
应该根据相关国家法律的要求和指导方针控制对信息系统和数据的访问: 计算机活动应可以被追踪到人;
访问所有多用户计算机系统应有正式的用户登记和注销规程; 应使用有效的访问系统来鉴别用户;
应通过安全登录进程访问多用户计算机系统; 特殊权限的分配应被安全地控制;
用户选择和使用密码时应慎重参考良好的安全惯例; 用户应确保无人看管的设备受到了适当的安全保护; 应根据系统的重要性制定监控系统的使用规程。 必须维护监控系统安全事件的审计跟踪记录; 为准确记录安全事件,计算机时钟应被同步。10风险管理及安全审计策略
信息安全审计及风险管理对于帮助公司识别和理解信息被攻击、更改和不可用所带来的(直接和间接的)潜在业务影响来说至关重要。所有信息内容和信息技术过程应通过信息安全审计活动及风险评估活动来识别与它们相关的安全风险并执行适当的安全对策。
计算机及信息系统的信息安全审计活动和风险评估应当定期执行。特别是系统建设前或系统进行重大变更前,必须进行风险评估工作。
信息安全审计应当3个月进行一次,并形成文档化的信息安全审计报告。信息安全风险评估应当至少1年一次,可由公司自己组织进行或委托有信息系统风险评估资质的第三方机构进行。信息安全风险评估必须形成文档化的风险评估报告。
11信息系统应急计划和响应策略
11.1信息应急计划和响应的必要性
应该制定和实施应急计划和响应管理程序,将预防和恢复控制措施相结合,将灾难和安全故障(可能是由于自然灾害、事故、设备故障和蓄意破坏等引起)造成的影响降低到可以接受的水平。
应该分析灾难、安全故障和服务损失的后果。制定和实施应急计划,确保能够在要求的时间内恢复业务的流程。应该维护和执行此类计划,使之成为其它所有管理程序的一部分。
11.2应急计划和响应管理程序
应该在整个计算机信息系统内部制定应急计划和响应的管理流程。包括以下 主要内容:
考虑突发事件的可能性和影响。
了解中断信息系统服务可能对业务造成的影响(必须找到适当的解决方案,正确处理较小事故以及可能威胁组织生存的大事故),并确定信息处理设施的业务目标。
适当考虑风险处理措施,可以将其作为业务连续性程序的一部分。 定期对应急计划和响应程序进行检查和进行必要的演练,确保其始终有效。
适当地对技术人员进行培训,让他们了解包括危机管理在内的应急程序。
12遵循性
计算机及信息系统必须遵守国家法律和法规的要求。
公司所有工作人员都有责任学习、理解并遵守安全策略,以确保公司敏感信息的安全。对违反安全策略的行为,根据事件性质和违规的严重程度,采取相应的处罚措施。信息安全管理部门应根据违规的严重程度向相关领导提出建议惩罚措施。除本安全策略中涉及的要求之外,所有部门和工作人员同样需要遵守相关国家法律和法规的要求。
计算机和信息系统安全策略文件由信息安全管理部门负责制定和解释,由公司保密委员会审批发布。
第一章 总 则
第一条
为加强涉及国家保密的计算机信息系统(以下简称“涉密系统”)的保密管理,确保国家秘密的安全,根据《中华人民共和国保守国家秘密法》和有关法律法规,制定本办法。
第二条
本办法下列用语的含义:
涉密系统集成,是指涉密系统工程的总体规划、设计、开发、实施、服务及保障。
涉密系统集成资质,是指从事涉密系统集成工程所需要具备的综合能力,包括人员构成、技术水平、管理水平、技术装备、服务保障能力和安全保密保障设施等要素。
涉密系统集成单位,是指从事涉密系统集成业务的企业或事业单位。
涉密系统建设单位,是指主持建设涉密系统的单位。
第三条
本办法适用于涉密系统的建设单位和集成单位。
第四条
涉密系统集成单位必须经过保密工作部门资质认定,并取得《涉及国家秘密的计算机信息系统集成资质证书》(以下简称《资质证书》)。
未经保密工作部门资质认定的任何单位,不得承接涉密系统集成业务。
第五条
涉密系统建设单位应当选择具有《资质证书》的集成单位来承建涉密系统。
未取得《资质证书》的集成单位建设的涉密系统,保密工作部门不予审批。
第二章 资质申请与审批
第六条
涉密系统集成单位应当是中华人民共和国境内具有独立法人地位的企业或事业单位。外商独资、中外合资、中外合作企业不得从事涉密系统集成业务。
涉密系统集成单位应当具备下列条件:
(一)遵守国家保密法律和法规,具有健全的保密制度;
(二)具有信息产业部颁发的《计算机信息系统集成资质证书》(一级或二级),并有网络安全集成的成功范例;
无《计算机信息系统集成资质证书》的企、事业单位,应为专门从事信息安全技术研究开发,并独立开展网络安全集成业务两年以上(含两年),有成功范例;
(三)具有系统集成能力的计算机硬件、软件和网络工程专业高中级技术职称的专业队伍和组织管理人员,熟悉保密技术标准;
(四)具有先进的信息系统设计、开发设备,具有良好的安全保密环境;
(五)具有良好的经营业绩和资产状况;
(六)接受保密工作部门指导、监督和检查。
第七条
申请涉密系统集成资质的单位,应向所在地的省、自治区、直辖市、计划单列市、副省级城市保密局提出申请,并提供相关的资信证明资料。
第八条
受理申请的保密局,应对申请单位的资质进行审查。对初审符合资质条件的,由所在地的省、自治区、直辖市、计划单列市、副 省级城市保密局报国家保密局审核批准,颁发《资质证书》。
《资质证书》有效期限为三年,期满后依照本办法的规定重新核发。
第三章 资质管理
第九条
涉密系统建设单位和承接涉密系统集成的单位应签订保密协议,规定集成单位应履行的保密义务。
第十条
涉密系统集成单位在承接系统集成过程中,需要与其他单位合作完成的,其合作单位应有《资质证书》。
第十一条
涉密系统建成后,集成单位应将涉密系统资料全部移交给涉密系统建设单位,不得私自留存或擅自处理。
第十二条
已取得《资质证书》的集成单位,名称、经营范围、企业性质、隶属关系变更的,应当依照本办法第七条、第八条的规定,重新办理审批手续。
第十三条
省、自治区、直辖市、计划单列市、副省级城市保密局对本行政区域的涉密系统集成单位实施保密监督管理。
第十四条
涉密系统集成单位违反本办法规定的,由省、自治区、直辖市、计划单列市、副省级城市保密局责令其限期改正;逾期不改或整改后仍不符合要求的,报国家保密局收回其《资质证书》。
第四章 附则
第十五条 《涉及国家秘密的计算机信息系统集成资质证书》、《涉及国家秘密的计算机信息系统集成资质申请表》由国家保密局统一印制。
第十六条
本办法由国家保密局负责解释。
第十七条
天津光电久远科技有限公司
产品概述:
本产品拥有国家发明专利,集“违规外联监控”、“涉密移动存储介质使用管控”和“非涉密信息单向导入”功能于一身,是国内首家取得国家保密局授权的产品。产品能够监管并阻断涉密机通过调解器、ADSL拨号、无线网卡等方式进行的违规外联行为,并可解决移动存储介质在涉密机与非涉密机间交叉使用的问题,较好地处理数据应用和信息保密间的矛盾。
功能特点:
【系统功能 】
违规外联管理控制
能够监测并阻断涉密计算机通过多种方式接入互联网或者其他网络的违规行为,并能够向管理端发送报警信息。
移动存储介质使用管理控制
系统内全部使用专用物理接口设计的涉密专用优盘,不能在涉密计算机上直接使用,经过注册登记的涉密专用优盘只能在系统设定的范围内配合多功能导入装置使用,在外部计算机上无法使用;普通优盘只能通过多功能导入装置将信息单向导入到涉密计算机中。
非涉密信息单向导入
存储非涉密信息的普通优盘只能通过多功能导入装置将信息单向导入到涉密计算机中,保证普通优盘中的信息在导入涉密计算机过程中无任何反馈,防止信息被恶意程序窃取。
【系统组成】
用户端
实时监控涉密计算机的外联行为;对USB存储介质的使用进行安全接入控制和身份鉴别;与内网通讯
服务器通讯,汇报在线状态,发送审计信息,接收并执行安全策略。
涉密专用优盘
具有国家保密局相关标准规定的外形、接口、内部数据格式、唯一ID和认证方式。用于和多功能导入装置配合使用完成优盘与计算机的双向涉密数据交互。
多功能导入装置
在本系统涉密终端上通用,专用接口连接涉密专用优盘,实现涉密专用优盘的数据存取。
通用接口连接普通优盘,可以将非涉密通用优盘内的非涉密数据单向导入到涉密计算机。
保密管理中心
对组织结构、责任人信息,涉密计算机和涉密专用优盘进行统一管理,对涉密计算机违规外联日志、设备使用日志进行查询、统计,对联网主机提供即时的设备策略控制,信息修改、信息同步、客户端程序升级等功能。
外联监控中心
接收涉密计算机发来的外联报警信息,通过单向传输装置实现互联网监控报警接收服务器信息到内网报警处理服务器的实时传输。
【系统特点】
符合国家标准和要求
该系统设计、研制、生产和检测均严格遵守国家保密局相关标准和技术要求,并首批通过国家保密主管部门测评。
技术先进,专用设备确保安全可靠
该系统在违规外联管理控制、移动存储介质使用管理控制、非涉密信息单向导入等方面采用最新技术实现,内部使用涉密专用介质和多功能导入装置,安全性更高。
驱动级设备接口控制,全面覆盖
能够有效的控制光驱读写、USB、1394、Modem、串口、并口、红外、蓝牙、无线等多种接口设备。
强大的软件自我保护功能
驱动层实现的自我保护功能,防止用户违规删除、卸载。
界面友好、操作简单。
关于开展计算机专项保密检查工作的自查报告
县委保密局:
按照《关于开展计算机专项保密检查的通知》(大保
[20XX]XX号)要求,县政府办公室对本单位计算机保密工作进行自查,现将自查情况报告如下:
一、计算机保密管理现状
我单位所有电脑都配备了杀毒软件,能定期杀毒与升级,做到发现问题及时处理。对于涉密计算机和党政内网的电脑配备了动态口令管理系统,明确了有分管领导具体负责,专人从事计算机保密管理工作责任体系,增强了计算机的保密和安全性。对计算机磁介质(U盘、移动硬盘等)的管理,采取专人保管、涉密文件单独存放,严禁携带存有涉密内容的磁介质到上网的计算机上加工、贮存、传递处理文件。到目前为止,我单位未发生一起计算机泄密事故。
二、加强宣传教育,强化保密意识
1、为加强计算机及其网络的保密管理工作,防止计算机及其网络泄密事件发生,确保国家秘密信息安全,我单位采取多种方式,多渠道对计算机保密相关人员进行宣传教育,强化计算机网络管理人员以及操作计算机人员的保密安全意识,进一步加强网上信息的保密管理,确保计算机及其网络安全。
2、为确保计算机及其网络保密管理工作各项规章制度的落实,及时发现计算机保密工作中存在的泄密隐患,堵塞管理漏洞,我单位十分重视对计算机及其网络保密工作的督促检查,建立了计算机及其网络保密工作的督促检查台帐,采取自查与抽查相结合,常规检查与重点检查相结合,定期检查与突击检查相结合等方式,对计算机及其网络管理制度的落实情况、涉密网络的建设和使用情况以及涉密计算机、涉密网络采取的管理和防范措施的落实情况进行检查。
近期单位对全单位计算机及其网络的情况进行了一次全面检查,查找计算机保密工作中可能存在的管理漏洞和安全隐患,通过检查,未发现泄密漏洞和安全隐患,整个涉密计算机信息系统及终端运转正常。
特此报告。
XX人民政府办公室
