信息保密教案(精选9篇)
XX公司是从事高科技精细化工产品的科研、生产、进出口贸易企业。企业所属的科技成果、专有技术及国际市场的商贸信息是公司平稳发展的保证,也是全体员工稳定就业的基础。为此公司的技术信息、商业信息的保密极为重要,每个员工必须以高度的责任感遵守执行公司专有技术、商业信息保密条例。
第一章 企业技术商业保密范围
1、公司的总体布局、综合能力、远景规划和反映工业经济、技术实力的重要文件、统计资料。
2、公司科技开发、生产、国际商贸的建设方针、政策和经济活动的重要事项。
3、公司下达的企业内部文件、计划、总结。
4、公司科技开发、生产、贸易过程中的文件、资料、图纸、传真、记录等文档。
5、公司所属的专有技术工程、工艺设备资料和图纸。
6、公司人事安排与工作分工。
7、公司对国际市场的信息分析、外商动态、产品价格。
第二章 在职工作的保密要求
1、员工各负其责,保证本岗位工作任务的完成,不涉及其他岗位工作内容。
2、涉及公司技术、商贸、财务等方面的资料,不得随意放在办公桌上,应随时入柜加锁。
3、各部门技术档案需统一专人保管,非工作需要不得带出公司。
4、保管好技术商贸资料,不得随意丢弃,废弃不用的资料必须烧毁或用碎纸机处理。
5、非工作需要不得随意复印公司的文件、资料。
6、不得随意使用由他人负责的电脑。
7、不准传播尚未公布的内部消息,在一定范围内传达的事项不准擅自扩大。
8、不准翻阅和顺看别人桌上不需要自己知道的文件、资料。
9、与外单位接触,不得随意谈论涉及公司产品、工艺、技术、商贸、财务等问题。
10、若发生泄露或可能泄露事件,要及时向领导汇报,以便采取应急措施补救。
11、不是本职责范围,无权向外单位介绍公司产品开发、生产价
格、商贸情况。
12、外单位人员未经公司领导批准不得进入生产区域和生产岗位。
13、外单位的来访人员不得进入办公大厅。
14、不得带公司公章或空白介绍信外出办事。
第三章 应聘或离职保密要求
1、凡到公司应聘者(简称乙方),在开始试用期之前,必须与本公司(简称甲方)签订技术、商贸保密协议。
2、试用期间未被录用者,或经领导同意离职者,劳动合同到期不再续聘者,必须将分管的技术资料、商贸资料、财务账款移交清楚后,方可办理离职手续。
3、凡在甲方及其所属单位所从事的一切科研、生产、商贸活动均属甲方商业秘密,乙方必须严格保守机密,不得擅自向其它单位或个人泄露。
4、乙方在甲方工作期间的科研成果归甲方所有,乙方未经甲方允许不得擅
自使用或从事相关业务。
5、所属甲方商业机密,均受法律保护,无论劳动合同的终止和解除都有效。
6、乙方离开公司应遵守国家有关法律、法规及本条例的规定,不得披露公司的相关专业和商务秘密;乙方应严格遵守国家的《合同法》、《反不正当竞争法》等。
7、乙方因有意或无意披露、窃用所属甲方的商业秘密,甲方将诉讼法律,要求经济赔偿,或追究其刑事责任。
第四章 泄露或侵权的经济赔偿条款
凡公司员工或离职的员工违反本条例,泄露公司商业秘密,给公司造成直接或间接经济损失的,均应承担以下责任:
(1)在甲方工作期间,退还社会平均工资以外的其它收
入。(2)退还甲方解决的住房或租房租金。
(3)退还超过社会平均工资以上缴纳的社会保险额度。(4)乙方违反劳动合同的规定,赔偿违约金50,000.00元。(5)乙方应聘甲方时,甲方代缴纳的教育补偿费10,000.00元。(6)甲方为解决乙方工作,户口调动的费用由乙方自付。(7)赔偿造成甲方经济直接损失的60%。(8)赔偿造成甲方经济间接损失的30%。
公司技术商业信息保密条例修订后,于一九九九年一月一日开始执行,经双方签字,具有法律效力。
甲方:XXX公司
1 信息安全模型
1.1 信息安全与属性
信息安全是指为最大限度的获取投资和回报, 最大程度的保护信息机密性、完整性、可用性, 实现避免一系列信息威胁。信息安全包括了物理安全、运行安全、数据安全、内容安全、信息对抗以及信息不受到破坏或者被修改。信息安全的基本属性。信息安全威胁主要有人为威胁、环境中的威胁、计算机网络中的威胁, 人为威胁包括犯罪组织的威胁、处于各种目的的黑客行为带来的威胁、组织和个人计算机犯罪行为带来的威胁、不满的或者有预谋的内部成员对信息系统的恶意破坏造成的威胁;环境威胁包括自然灾害、物理环境、运行环境;计算机网络中的威胁包括软件隐患、计算机病毒、黑客入侵。
1.2 信息安全管理模型
信息安全模型是对信息安全管理体系抽象化描述, 其信息安全模型侧重点不同, 其信息安全模型包括:OSI安全体系结构、PDRR模型、信息安全管理PDCA持续改进模型、HTP信息安全模型、其它模型。
OSI安全体系结构主要是一系列特定安全服务的标准, 其体系模型包括安全服务、安全机制、安全管理三个方面的内容;传统网络安全模型主要是基于权限管理的访问控制理论基础上的静态控制模型。
PDRP模型是在整体安全策略的控制和指导下综合运用防护、检测、响应、恢复工具进行全方面保护系统安全, 首先利用防护工具对受保护系统提供基础设施防护, 同时利用检测工具了解和评估系统的安全状态, 通过响应将系统调整到最安全、风险最低的状态, 最后通过恢复操作实现系统被攻击后原始健康状态, 构成了一个完整的、动态的安全循环, 在安全策略环节是指在一个特定的环节里提供一定级别的安全保护, 在可信计算机系统评估准则定义安全策略, 在PDRP模型已经从以前的被动保护转到主动防御, 因此PDRP安全策略师对整个局部网络实施分层次、多级别的包括安全审计、入侵检测、告警和修复等应急反应功能的实施处理系统策略。
信息安全管理PDCA持续改进模型主要指一策划、实施、检查、行动组成的信息安全, 策划是工具商务运作需求及其相关法律法规确定安全管理范围和策略。通过风险控制的方式进行控制目标和方式。实施是按照组织设置的策略进行信息安全控制;检查环节主要是对安全过程和信息系统进行监控与验证;行动是指对策略适宜性评审方式评价ISMS有效性, 接着实施有效措施。
HTP信息安全模型包括人员与管理、技术与产品、流程与体系三个部分组成, 将人员、管理、技术、产品、流程、体系纳入到安全管理体系中进行信息安全控制。其它安全模型主要包括基于P2DR发展而来的ANSM自适应网络安全模型, 具体模型可以用PADIMEE进行技术、业务需求分析和客户信息安全的“生命周期”考虑, 在策略、评估、设计、执行、管理、紧急响应、教育几个方面进行评估。
2 安全保密方案设计
设计安全保密方案与建设系统安全体系结构一样, 主要着眼于安全防御和信息在系统中的安全流转, 系统安全需求、安全策略、安全机制与安全服务与检测技术、行为分析、响应与跟踪反击手段构建安全保密系统设计。
2.1 网络安全体系结构
网络安全体系结构中安全对象主要有网络、系统、数据库、信息系统、设备、信息介质、计算机病毒等。网络安全体系结构中采用层次化管理模型, 将整个网络安全分为了5层:应用层 (应用系统安全、应用平台安全) 、会话层安全、安全路由访问控制、链路层安全、物理层信息安全, 将网络安全层次贯穿于网络系统实际运行中。
安全体系结构构建起来后还需要进行风险分析和评估, 该环节主要是根据网络体系结构和网络安全形势确立的安全解决方案, 风险分析包括设计前的风险分析、系统试运行前的风险分析、系统运行期的分风险分析、运行后的风险分析。
2.2 安全保密方案设计
安全保密方案设计是对风险采取的对策, 针对具体系统及其特定环境的详细设计, 其安全保密方案设计一般采取的步骤包括系统模型建立、风险评估、阐明系统安全需求、确定安全策略、确定安全策略。在安全保密方案设计中, 需要确定物理安全、系统安全、人员操作和系统运行安全。
然而随着系统漏洞不断出现, 传统静态的安全策略已经无法适应动态变化的安全保密需求, 需要引入动态选择安全策略方法, 对新的安全风险应采用新的安全策略来对应, 以解决安全风险和策略间的对应关系, 因此需要对安全风险进行形式化描述, 其描述方法可以采用可扩展的标记语言XML语言来描述风险对象, 可以在XML节点和属性中记录如攻击对象, 破坏程度等, 然后对其节点进行风险分析和选用对应的安全策略
3 结束语
论文讨论了新形势下的信息安全保密管理概念及重要性, 分析了信息安全保密管理在强化保密观念、增强技术防护能力、提高保密人员素质等方面的薄弱环节, 分析了新形势下国内外信息安全保密管理现状、问题和原因, 并提出了基于PDRP安全模型强化信息安全保密。
参考文献
[1]于海涛, 李梓, 王振福等.入侵检测相关技术的研究[J].智能计算机与应用, 2013.
[2]周绪川, 蔡利平.移动Ad Hoc网络的入侵检测机制[J].中国民航飞行学院学报, 2011.
关键词:网络技术;信息保密;信息泄露
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 13-0000-02
Network Information Privacy and Security Maintenance
Tang Liang
(Head Office of China's Auto Industry International Cooperation,Beijing100080,China)
Abstract:Network information leakage and its information security safety hidden danger of more and more attention by people.This paper analyzes the network information leakage of the four kinds of performance,the maintenance information confidential and prevent information leakage puts forward the countermeasures.
Keywords:Network technology;Information secret;Information leakage
信息资源、信息技术和信息产业对社会和经济的发展关系密切,信息安全关系到一个企业、一个机构乃至一个国家、一个民族的盛衰兴亡。随着人类的生产和生活等一切社会活动越来越依赖于计算机网络系统,网络信息泄露及其给信息安全带来的安全隐患愈来愈受到人们的普遍关注,研究网络信息保密的安全维护有十分重要的意义。
一、网络信息保密安全维护的意义
信息论和控制论的奠基者美国学者维纳认为:“信息就是我们在适应外部世界和控制外部世界的过程中,同外部世界进行交换的内容的名称。”现在一般认为,信息资源包括维持网络服务运行的系统软件和应用软件,以及在网络中存储和传输的用户信息数据等。信息的保密性、完整性、可用性、真实性等是网络安全的关键。而信息的保密性是指信息不泄漏给非授权的用户、实体或过程,或供其利用的特性。一旦信息泄露给某个未经授权的实体,那么信息就会出现泄密问题。信息的保密性是信息安全中最主要的核心内容。
对个人来讲,通常个人电脑中发生的个人密码泄露、隐私信息泄露、银行账号泄露等事件通常都是病毒、木马以及恶意程序造成的,当然也可能是个人信息保管不善造成的信息泄露。当前,个人信息泄露正日益严重地妨碍着公众的正常生活,不仅让当事人不堪其扰,更可能为刑事犯罪提供土壤。
对社会经济来讲,信息保密性更为重要。信息作为社会的重要战略资源,已经成为人类最宝贵的资源,信息资源、信息技术和信息产业对社会和经济的发展关系密切信息关系到整个经济体系的良好运行,一旦重要信息非法泄露,就会对社会经济造成重大影响。
对国家安全来讲,信息保密最为重要。重要信息的泄露将直接导致国家安全的问题。当今各国都在努力的利用网络、间谍等方式来获得所需的情报,而网络又是最直接便利的途径,因此如何确保网络上的信息保密性就是摆在我们面前的突出问题。
二、网络信息泄漏的表现
目前,随着计算机科学技术的不断发展,信息的搜集渠道愈来愈多,范围也愈来愈广,信息泄露的机会也愈来愈多,使得信息保密性遭到极大威胁。下面主要介绍是常见的几种信息泄露的途径。
(一)各种途径和方法的窃听、窃取所造成的信息泄露
在网络时代,信息的传输干线主要通过光纤线路进行,传统的窃听手段和方法都将面临失效。当然,新的窃听、窃录、窃收方法和技术也在不断产生,比如把窃听、窃录、窃收装置放在计算器、打火机、电话或各种电器的插座内,甚至可以放在电容器、计算机芯片内。另外,在办公室、宿舍、汽车等地方谈话时声波在玻璃表面引起极微小的振荡,都可以通过光学接收机将其变为可以听到的谈话。美国甚至研究出了可以窃听海底光缆的先进潜艇。
(二)网络设备和线缆工作中电磁辐射造成的信息泄露
目前许多信息都离不开电脑和网络。除光纤外,这些设备在输入、输出、加工处理信息过程中,必然会产生电磁辐射。通过高科技设备就可以在离工作间几十米甚至上百米处检测测到计算机等设备的电磁辐射状况。将收集到的电磁辐射信号,经过专用仪器,就可以还原成正在处理的信息和显示装置上正在显示的内容。因此,在早期使用同轴缆线连接网络中,重要的军事部门的缆线必须在视力所及的范围内布线,主要就是为了防止电磁辐射造成的信息泄露。
(三)信息在有线网络及无线网络传输中的信息泄露
信息要通过电话线、网络、卫星等媒介来传输,如不采取有效的安全保护措施,这些信息就存在着传输泄露的可能性,随时可能被截获,甚至有人会以合法的身份访问网络内的信息。
随着近年来计算机和无线通信技术的发展,移动无线网络技术得到了越来越广泛的普及和应用,无线网络的安全问题也成为不可忽视的主题。由于不再受到线缆铺设的限制,配备移动计算机设备的用户能够方便而自由地移动,并可以与其他人在没有固定网络设施的情况下进行通讯。然而很多的无线网络都没有设置安全机制,使用默认的口令供人连接进入。这就给对无线网络进行非法攻击提供了机会,最终导致信息泄密的可能。
(四)信息储存介质管理不当造成的信息泄露
信息的存储介质没有统一的管理,在计算机软盘、硬盘、光盘,U盘等介质上随意存放一些十分重要的秘密资料。而存储在这些介质上的信息如不采取安全保护措施,就存在丢失和被人窃取的可能。另外,信息存储在芯片、软盘、硬盘等载体上,由于操作不当或机器发生故障等原因,可能造成这些信息载体的报废。而报废的载体,经过某种技术处理就可获得其内部的信息,导致信息的泄露。
三、维护信息保密和防止信息泄漏的策略
(一)树立全民的信息安全意识
三分技术和七分管理是网络安全的核心内容。在我国,网络用户乃至网站易受攻击的主要原因,是由于多数网民粗心大意、网站管理者缺乏保护意识。因此,强化人的信息安全意识是防止信息泄露的第一步。各级组织应该把加强网络信息安全教育,提高全民网络安全观念放到战略地位,使人人都能认识到网络信息安全的重要性,自觉地维护网络信息安全。这就要求对相关人员进行计算机软、硬件及数据信息和网络等方面的安全教育,提高他们的保密观念和责任心;加强业务、技术培训,提高操作技能;制定完善的管理机制并教育工作人员严格遵守操作规程和各项保密规定,专人负责定期或不定期对网络系统进行检查和维护。此外,国民的信息安全教育也不容忽视,当前环境下,彻底改变中国民众普遍存在的信息安全意识观念较差的状况,对于维护中国的信息安全极为重要。
(二)使用防火墙等有关的网络技术提供网络的安全保护。
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。防火墙的核心技术是包过滤,就是根据定义好的过滤规则审查数据包是否与过滤规则匹配,从而决定数据包能否通过。当然,仅使用防火墙所提供的访问控制能力是不能够完全保护信息的安全,还需要与其它技术共同使用。如身份认证、负载平衡流量分析、网络地址翻译、代理服务器等。代理服务器是使用代理技术阻断内外网络间的通信,达到隐藏内部网络的目的。它具有设置用户验证和记账功能,可按用户进行记账,没有登记的用户无权通过代理服务器访问Internet网。也可以利用在代理服务器上做安全设置,实现网络防火墙的功能。
(三)使用恰当的技术对信息进行加密处理
信息加密是使用数学或物理加密手段,来实现系统内信息传输和存储的安全、保密、真实和完整,它是保障信息安全最基本、最核心的技术手段。到目前为止,正式公布的加密算法已有数百种,主要有两种类型,一种是对称加密,用户使用同一个密钥加密和解密;一种是非对称加密,加密者和解密者各自拥有不同的密钥。比较著名的对称加密算法有的DES、RC4、RCS等,它要求密钥必须保密,需要用不同于发送信息的另一更安全的信道来分发密钥。RSA、RAB取则是较有名的不对称密码系统,它的密钥管理简单,可以实现数字签名和验证,更适应网络的开放性要求。使用数字签名可以保证信息的不可抵赖性,数字签名是利用字符串代替书写签名或印章,起到与手写签名或印章同样的法律效用。它在电子商务中应用广泛,通过电子签名证明当事人身份和数据的真实性,主要通过对称算法实现。
参考文献:
[1]王轶军.浅谈计算机信息网络安全问题的分析与对策[J].黑龙江科技信息,2011,6
1.目的为保证公司客户信息安全防止客户信息失密泄密事件发生特制定本制度
2.范围适合于公司内全体员工。
3.职责
3.1.品质管理部负责相关制度的拟订和对执行情况的监督IT管理员负责对管控系统客户信息权限的管理
3.2.各部门负责对本部门客户信息的日常管理。
3.3.各部门负责人
3.4.总经理负责客户信息需提供于公司外部使用时批示
3.5.各服务中心信息员
3.6.负责客户信息清单编制、保管对使用客户信息人员监督工作。
3.7.各服务中心项目经理
3.8.负责纸质客户信息打印申请批示。
3.9.监督部门人员实行客户信息保密工作。
3.10.3.11.总经理 负责客户信息需提供于公司外部使用时批示。
4.术语定义客户信息属于公司秘密信息公司秘密是指关系公司的利益依照一定程序确定在一定时间内只限一定范围的人员知悉的经公司采取保密措施并具有实用性的信息。
5.方法和过程控制
5.1.客户信息分类
5.1.1 纸质信息交付时产生的客户档案或其他信息
5.1.2 电子信息各种格式WORDEXCEL等电子客户信息
5.1.3 管控数据指管控系统中客户资料
5.2 客户信息权限、使用、保管、销毁
5.2.1 纸质信息
5.2.1.1除客户档案外不得保留任何形式的纸质客户信息。特殊情况需经部门负责人批示后方可打印打印件盖“受控文件”、使用期限后接收人签收领取。
5.2.1.2使用过程中不得转借他人不得带出办公区域。
5.2.2 电子信息
5.2.2.1交付时由地产提供电子版客户资料只能由项目负责人保管若信息员因工作需要项目负责人可授权给信息员使用。但需设置权限只能查看不能打印、复制、转发。5.2.2.2当信息员结合客户档案、地产提供的电子版客户资料完成管控数据的建立并确认无误后信息员与项目负责人保留的电子信息均需销毁处理。
5.2.2.3销毁需由项目负责人监销并记录。
5.2.2.4包括但不限于大范围访谈、人口普查所产生的纸质客户信息由信息员与管控进行核对及时更新核对完后再由客户经理将客户的其他诉求信息进行电子版归档整理但不得保留客户电话、工作单位等私密信息。
5.2.3管控数据
5.2.3.1品质管理部IT工程师有管控全部权限。
5.2.3.2各项目信息员有除客户信息导入导出外的所有权限。
5.2.3.3其他有管控使用需要人员只有录入、查看权限。
5.2.4各部门根据实际使用情况评估客户信息外泄风险决定是否封闭相关计算机USB接口、刻录光驱。
5.2.5 新员工入职需签定保密协议离职时做好相关移交、注消工作。
5.3 监督检查
5.3.1 各部门需每月对客户信息保密风险进行一次评估并及时整改。
5.3.2 品质管理部每两个月对各项目客户信息保密工作进行一次检查。对存在重大隐患的项目进行通报批评。
5.3.3凡有下列表现之一的公司员工公司根据其贡献给予奖励100--1000元 1对泄露或者非法获取公司客户信息的行为及时检举的 2发现他人泄露或者可能泄露公司客户信息立即采取补救措施避免或者减轻了损害后果的5.3.4凡有下列情形之一给予罚款300--2000元如情节严重给予辞职赔偿公司经济损失
1因疏忽大意而泄露公司客户信息。
2遗失书面客户信息清单。
3出卖公司利益利用公司客户信息为已谋利的除赔偿公司经济损失外还要交司法部门处理。
4.相关文件无
在河南省许昌市许继电气股份有限公司(以下简称许继公司)诉被告郑学生、河南省漯河市爱特电器设备有限公司(以下简称爱特公司)商业秘密侵权纠纷案。中,原告许继公司诉称:被告郑学生在原告公司工作期间,掌握了原告的电力线载波栅技术。被告爱特公司采用以技术\股的利诱手段,利用郑学生非法提供的技术秘密生产电力线载波机,侵犯了原告的商业秘密。被告爱特公司辩称:原告的起诉不符合事实,被告没有侵犯原告的商业秘密。一审判决:被告郑学生及被告爱特公司自判决生效之日起立即停止侵权,不得使用原告许继公司的电力线载波柳技术进行生产和经营活动,并对已知悉的许继公司的技术秘密承担睬密义务。被告郑学生不服第一审判决,向河南省高级人民法院提起L诉.主要
了三颗卫星。国家新闻机构在卫星发射后的第三天,刊登了某工程师写的几篇文章,其中全面详细地介绍了三颗卫星的运行轨道、运行无线电遥控频率等技术,暴露了绝对秘密的空间技术细节。【典型案例】3 杂交水稻技术是我国1979-1985年间的1089项发明奖中唯一的特等奖,处于世界领先地位。但是由于此后在各种公开的报刊杂志上发表了50余篇有关这项成果的论文,造成该项技术成果泄密,同时,使我国也失去了申请专利的条件。【案例解析】
案例1、2、3中,新闻出版工作的失误,致使秘密公开化,也就没有什么秘密可言,等于拱手将秘密送给了需要的谍报组织,这种工作上的失误造成秘密泄露说明我们的防范意识不够强,在宣传报导的时候缺少必要的技术环节,没有隐去关键的资料和技术造成不应有的损失。【典型案例】4 我国中成药“六神丸”,本是治喉良药,但日本人通过贸易交往,将它带回去,进行研究,发现“六神丸”还能治疗冠心病,他们便把此药进行简单加工改制,并改名为“救心丸”,这样该药一下子成为国际市场畅销货,每年收入数千万美元。【典型案例】5 宣纸生产技术的严重泄密。1981年某外商参观我某造纸厂,详细地了解了原料种类、配比、选择和处理以及原料所用碱水浓度等,对生产的全过程进行录相,还要走了生产宣纸的原料,并以帮助化验为名装走了造纸用的井水。结果,我国具有悠久传统的宣纸生产技术秘密顷刻间被轻易窃走。【典型案例】6 某日籍“爱国”华侨两次参观我景泰蓝厂,我方代表毫无戒备,慷慨地允许拍下全部工艺流程,热情“传经送宝”,唯恐“海外赤子”一知半解。这名华侨实际上是日本间谍,窃取了我景泰蓝全部秘密,开始自己生产。不到两年,我国的传统出口创汇产品直线贬值。【案例解析】
案例4、5、6中,针对改革开放、对外交流给我国带来了巨第大的经济效益,但由于我方人员疏于防范,违反有关保密规定行事,人为地造成机密技术泄露,给他人造成可乘之机,说明我们在保密制度的建立、完善及宣传工作上还存在很多不足之处,“防人之心不可无”鉴于此,我们要时刻警惕着。【典型案例】7 1980年美国在台湾省台北市阳明山建立针对中国大陆的监听站,其主要任务为监听中国大陆军队动向和无线电通讯,所获“信号情报资料”可能通过人造卫星直接传送到美国。【典型案例】8 南方某市科研所博士李某,承担一项重大高科技研究项目,在外出工作期间,经常在电话中与同事研讨科研项目进展情况,被境外谍报分子利用高科技手段进行监听,国家安全机关极时发现了这一情况,并立即与科研所取得联系,科研项目也不得不做重大修改。【案例解析】
案例7、8反映出随着电子通讯技术的发展,沟通变得越来越便利,人们在享受着先进科技带来的便利时,却疏忽了对它的防范,先进的技术能为人类造福,同样,不正当的使用先进的技术会给人类带来无尽的灾难,境外谍报组织利用其掌握的先进技术肆意窃听,截获他人的秘密,巧取豪夺。因此我们必须有充分的知识,学会利用先进的技术,更要防范他人利用先进的技术侵犯正当利益。【典型案例】9 卧龙区苏某窃密案。1998年5月下旬,卧龙区委办信息科一工作人员因编发关于“清官祠”问题的信息,从办公室档案室借阅了中央办公厅、省委对南阳“清官祠”事件的通报。在信息科存放期间,潦河坡乡副乡长苏某到该科打电话,趁室内无人,拉开抽斗窃走上述两份秘密级文件,将文件头技术处理后,拿到区委外个体复印部进行复制,而后乘人不备将原件放回。1998年6月,苏某亲自到北京将两份复印件送交李洪莲、樊沛二人手中。【典型案例】10 我国的沸腾熔烧技术在世界属领先地位,某外国情报机构就是从我国几个随身携带秘密载体的人员手中弄到这一技术的。【典型案例】11 一对夫妇携带国家机密资料跳槽案。原西安某科研工作人员袁某、孔某两人系夫妻,大学毕业后,两人在同一单位工作,在工作期间,私自将属于国家机密的某些国防电子产品的技术说明书、技术图纸、程序和图纸软盘等资料带回家中。2000年6月1日被高薪聘请,跳槽到南京某通讯研究所工作,并将非法获取的秘密图纸和资料藏匿于南京个人住所。案发后,在其住处查到存有国家机密的软盘、图纸、原始试验记录本和技术说明书等物。袁某和孔某采用非法手段窃取国家秘密,其行为已构成了非法获取国家秘密罪。为了维护国家的保密制度,根据《刑法》有关规定,判决袁某和孔某犯非法获取国家秘密罪,分别判处有期徒刑一年,缓刑两年。【案例解析】
案例9、10、11中的工作人员都有违反保密工作制度的行为。秘密资料在使用、管理上都有着严格的规定,违反规定携带、收藏秘密文件、资料都是违法行为,都应负法律责任,以上各案例中,都存在对国家机密管理不善的漏洞,造成机密外泄。【典型案例】12 某外国语学院大学生吕某,学习非常努力,经常与外教玛丽交流学习情况,玛丽外教也对她特别关照,在玛丽的引导下,吕某将父亲的科研资料拿来翻译,并交给外教评判,父亲知道后非常生气,严厉批评了吕某,并在父亲的指导下,吕某向国家安全机关进行了反映,经过调查,证实了玛丽以外教身份收集我国科技情报的违法事实。【典型案例】13 某大学的几个研究生,在导师的指导下,经过几年的苦心钻研获得了一些学术研究成果。这时有的想尽快得到国际上的认可;有的想拉关系出国,私自将研究资料寄出境外。结果寄出去的东西石沉大海,在相隔一年后被改头换面变成了他人的成果。【案例解析】
一、遵守《全国人民代表大会常务委员会关于维护互联网安全的决定》、《中华人民共和国电信条例》、《互联网信息服务管理办法》等法律法规的有关规定,依法从事互联网信息服务业务。
二、本公司所有工作人员必须保守国家机密的`各项法律和规定,严格执行网络信息安全保密制度。
三、不得利用网络从事危害国家安全、泄露国家秘密等犯罪活动,不得制作、查询、复制和传播有碍社会治安的信息,如发现有害信息,按照有关规定及时处理,并报告通信管理局。
四、按照分层负责的原则,建立信息安全保障责任制,由领导分管信息安全保密的安全工作。并设立计算机信息系统安全责任人和安全管理员,负责系统管理维护,制定计算机信息系统的安全策略、风险防范。
五、不在网上传送密件,不泄露用户个人资料。
六、建立公共信息内容自动过滤系统和人工值班监控制度,用户上传的公共信息在本网站上网前,必须经过本网站工作人员的人工审核后,方能上网发布。
七、因管理员对上网信息审查不严,出现严重问题,造成不良影响的,追究信息员的责任。若违反有关规定,严肃处理。
八、网站信息内容记录备份不少于60日,在国家有关机关依法查询时予以提供。
1 局域网信息的保密
计算机局域网由信息 (存储在计算机及其外部设备上的程序及数据) 和实体两大部分组成, 信息泄露是局域网的主要保密隐患之一。所谓信息泄露, 就是被故意或偶然地侦收、截获、窃取、分析、收集到系统中的信息, 特别是秘密信息和敏感信息, 从而造成泄密事件。
我们知道计算机局域网, 是由信息及实体两部分组成的, 保密措施就是针对其信息的保密而言的, 但是, 局域网在保密防护这方面有几点局限性。第一, 数据很容易被用户拷贝而不留痕迹, 增强了数据的可访问性;第二, 由于网络上存在大量的信息, 并聚集在一起, 从而产生了大的价值, 而一旦泄密, 损害性就越大。第三, 网络现有的保密措施不强, 很容易被技术人员突破。正因为以上种种原因使得系统中的信息面临着泄密的危险。
从某种意义上可以说, 网络的生命就在于其保密性。根据近几年的实践和保密技术发展的要求, 计算机局域网的保密防范应从以下四个方面入手。
1.1 利用网络系统中已有的保密措施
虽说网络的运用已经很普及了, 但有一部分的用户对于计算机网络的认识还停留在很浅的层面上, 由于这种认识的不足导致他们很少使用甚至是不使用网络操作系统中已提供的保密防护措施。那么, 为了加强局域网的信息安全, 首先第一步就是要充分利用网络操作系统所提供的保密措施, 例如以美国Novell公司的网络操作系统N etWa re, 它为用户就提供了四层保密措施。即第一层, 用户入网时必须按用户名登陆注册;第二层, 设置目录和稳健的访问权限;第三层, 隐藏重要文件;第四层, 对文件服务器进行安全保密。
1.2 加强数据库的信息保密防护
在计算机网络中, 数据的组成形式有两种, 即文件和数据库。前者的数据具有非共享性的特征, 从某种角度上来说对数据信息进行了保密防护, 并且现在已经成为了网络存储数据的主要手段。然而操作系统并未对数据库实施任何特殊的保密措施, 更重要的是数据库中的数据是以可读形式储存的, 很容易造成信息泄密。所以当下, 我们要开发另外的一些方法对数据库进行有效的防护。
1.3 采用现代密码技术, 加大保密强度
随着科学技术的不断发展与完善, 以及用户对于信息保密的重视, 于是开发出了很多现代密码技术, 例如对称加密、非对称加密技术等。我们在充分运用计算机系统自身加密措施的同时, 也要采取现代的一些加密技术, 加大对信息数据的保护, 从而加强保密强度。
1.4 采用防火墙技术, 防止内部网与外部网间泄密
使用局域网时, 最安全的保密防护措施就是内部网不与外部网络进行连接。但是在实际生活中, 除了一些重点单位和相关要害部门外, 内部网和外部网的链接是必不可少的。在这种形势下, 我们可以通过防火墙技术对其进行保护。所谓防火墙就是隔离本地网络与外界网络之间的一道防御系统, 它可以限制外部网络的访问, 从而起到对内部网络的保护作用。
2 局域网实体的保密
局域网实体是指实施信息收集、传输、存储、加工处理、分发和利用的计算机及其外部设备和网络部件。它的泄密渠道主要有四个。
(1) 电磁泄漏。当我们在使用计算机的时候, 它会辐射出电磁波, 这就造成了信息泄露的隐患, 因为任何人只要借助一定的通讯仪器设备就可以在一定范围内接收到用户正在处理的信息数据。另外网络端口、传输线路等都有可能因屏蔽不严或未加屏蔽而造成电磁泄露。针对这种情况, 我们可以选择使用低辐射的计算机设备, 同时还要采取一些相关措施, 例如屏蔽、噪声干扰等。
(2) 非法终端。非法用户有可能会使用非法终端从合法用户那里乘机窃取信息, 因此, 在防护的过程中我们一定要定期对实体进行检查, 防止这种非法的入侵。
(3) 搭线窃取。当局域网与外界连通后, 非法用户有可能通过未受保护的外部线路来窃取内部通讯信息。同样, 我们只有定期对光缆做检查, 才能减少搭线窃取所带来的泄密问题。
(4) 介质的剩磁效应。存储介质中的信息被擦除后有时仍会留下可读信息的痕迹。另外, 在大多数的信息系统中, 删除文件仅仅是删掉文件名, 而原文还原封不动地保留在存储介质中, 一旦被利用, 就会泄密。对局域网实体, 采取的相应保密措施一般有以下三种:一是防电磁泄露措施。如选用低辐射设备。显示器是计算机保密的薄弱环节, 而窃取显示的内容已是一项“成熟”的技术, 因此, 选用低辐射显示器十分必要。此外, 还可以采用距离防护、噪声干扰、屏蔽等措施, 把电磁泄露抑制到最低限度。二是定期对实体进行检查。特别是对文件服务器、光缆 (或电缆) 、终端及其他外设进行保密检查, 防止非法侵入。三是加强对网络记录媒体的保护和管理。如对关键的涉密记录媒体要有防拷贝和信息加密措施, 对废弃的磁盘要有专人销毁等。
摘要:从某种意义上可以说, 计算机局域网的生命在于其保密性。但是一些计算机局域网在实际投入运行的过程中, 由于没有设置有效的保密措施, 使得操作人员不便在网上处理、存储和传输本单位内部的机密信息, 从而导致无法充分发挥计算机局域网的作用。所以本文通过对于局域网信息的保密研究, 对信息安全问题提出了自己的一些见解。
关键词:局域网,信息,保密
参考文献
[1]彭凌西, 陈月峰, 刘才铭, 等.基于危险理论的网络风险评估模型[J].电子科技大学学报, 2007 (6) .
[2]李波.入侵检测技术面临的挑战与未来发展趋势[J].电子科技, 2007 (7) .
[3]丁丽萍.论计算机取证的原则和步骤[J].中国人民公安大学学报 (自然科学版) , 2005 (1) .
关键词:电磁辐射;安全漏洞
中图分类号: TP393.08 文献标识码: A 文章编号: 1673-1069(2016)17-42-2
0 引言
计算机、互联网的技术飞速发展,为各类信息传输共享带来了极大便利,推动了经济的增长与社会的发展;也为各类需要保密的行业领域的信息安全保密带来了极大的挑战。信息安全与保密与我国的政治、经济、文化以及国防现代化建设息息相关,已成为影响国家安全和利益的重要一环。随着涉密活动逐渐频繁,窃密技术更为先进,信息安全保密问题也变得更加严峻,安全保密建设任务更加紧迫。
1 安全保密的重要性
1.1 基本概念
安全保密工作就是从国家的安全和利益出发,依照法定程序确定,在一定时间内只限一定范围的人员知悉。安全保密管理建设是为了维护单位正常经营管理秩序,围绕保护好国家秘密而进行的组织、管理、协调、服务等职能活动,通过行政手段、技术手段和必要的经济手段,来约束和规范组织和个人的涉密行为,使他们的行为能够符合保密要求。
1.2 安全保密的重要性
党的四代领导都提出了加强保密工作的重要论述。毛泽东同志提出“保守机密,慎之又慎”; 邓小平同志强调:像原子弹一类的东西,不能让敌人摸底……;江泽民同志指出:必须守口如瓶,只做不说;胡锦涛同志重要批示:保守军事机密涉及国家安全,必须慎之又慎。
革命战争年代,保密就是保生存,保胜利;和平时期,保密就是保安全,保发展。
2 影响信息安全保密的因素
2.1 主要泄密途径
2.1.1 电磁辐射泄露
电子设备在工作的时候,就会产生电磁辐射,这些辐射信号就有可能会携带着正在处理的涉密信息。目前,辐射最可能造成泄密的是计算机的显示器、使用非屏蔽双绞线的计算机网络和计算机无线设备。
电脑显示器辐射通过专用设备处理后,可以恢复并还原出原来的信息。西方国家已能将一公里外的电脑屏幕电磁福射信号接收并复原。涉密网络如使用非屏蔽双绞线传输,非屏蔽网线就相当于一根发射天线,将传送的涉密信息发向空中并向远方传输,采用相应的接收设备即可还原出正在传输的涉密信息。电脑的无线设备主要包括无线网卡、无线键盘、无线鼠标和蓝牙、红外接口设备等。这些设备信号均采用空间传输方式,即使釆用了加密技术,也可能被窃密者可利用特殊设备进行信息拦截获取。
2.1.2 网络安全漏洞
计算机系统通过网络进行互联互通,各系统在远程访问、传输和资源共享的同时,也为网络渗透攻击提供了途径。
我国现有计算机技术存在着国产化程度不高,关键技术受国外垄断控制的约束,计算机系统如被人为预留后门、通道和漏洞,将造成极大威胁。另外,涉密计算机设备如配备了无线网卡,在机器工作状态下,就有可能无需任何人工操作就可联网被他人远程控制。敌对分子一是可以利用网络中存在的安全漏洞,入侵某个系统,取得管理员权限后,即可篡改或窃取涉密信息,二是利用“木马”程序进行远程操控,被植入的木马计算机将被当作跳板,所有信息均可被轻易窃取。
2.1.3 存储介质泄露
各类存储介质管理不善也是信息泄露的重要因素。存储介质如光盘、U盘、移动硬盘、磁盘阵列等,只做一般的删除或格式化处理的话,数据是可以通过专用软件等进行复原后造成泄密。一种被称为“摆渡木马”的恶意程序,主要感染对象就是移动存储。该木马会后台自动运行, 把电脑里的涉密资料打包成隐藏文件拷贝到存储中。当感染的移动存储在互联网和涉密网之间交叉使用时,木马将自动把存储的涉密信息发往互联网上的特定主机,造成信息外泄。
2.1.4 多功能一体机泄密
多功能一体机在使用或维护时,如未经专业处理将存有涉密信息的存储设备带走修理,或修理时无专人监督陪同,都有造成泄密的隐患。
使用多功能一体机的传真功能时,如连接到了普通电话线路,此时就会导致涉密信息在公共电话网络上进行传输。
2.1.5 人员泄密
人员泄密的表现主要包括违反相应的安全保密规范造成的失泄密,以及为利益驱动故意的卖密。
违反相应的安全保密规范下的失泄密,一是对文件资料或使用的设施设备管理不当、使用不当。二是保密意识淡薄,利用互联网交流时涉及了国家秘密。
为利益驱动故意出卖秘密,是指明知自己的所作所为会对国家安全和利益造成损害,却明知故犯的行为。
2.2 主要原因分析
2.2.1 相关制度规范缺乏或不完善
信息安全保密管理制度不够严谨和完善。一般单位都有相关的制度,但是如果不从实际出发,建立起的管理制度没有可操作性,没有相应的防范机制,将会形同虚设。因此,单位领导应重视保密制度的建设,制度应详细、规范、具体,且有详细具体的执行部门和执行程序,有了制度后要严格执行并责任落实到人,业务工作谁主管,保密工作谁负责。
2.2.2 技术管控手段欠缺
当今是网络信息化时代,几乎所有的信息和数据都是以电子化的形式存在和传输交换,窃密的方式也越来越多样化和高技术化,这就需要更高的信息安全保密的技术手段来保护秘密信息。但很多单位对窃密的技术管控手段认识不够,防护措施也不到位,有的甚至还停留在“三铁一器”的传统手段上。
3 大力加强安全保密管理
保密管理工作的原则是:积极防范,突出重点,严格标准,严格管理。
遵守这一原则,就必须要有健全的保密工作规章制度,强化的技术防护管控手段,优秀、有效的保密工作人员队伍。
3.1 建立健全的保密工作规章制度
保证有一个健全和完善的保密工作规章制度是做好保密工作的根本,应根据单位业务的牵涉对象、业务流程、秘密等级等具体实际情况,制定并及时修订完善,实现保密管理的持续性改进。
3.2 强化技术防护管控手段
3.2.1 对设备设施的防护
严格限制国外引进设备的使用范围。国外引进的产品, 必须重点检测产品是否带有恶意代码,采取加密措施。
3.2.2 对存储介质的技术防护
对于存储介质的技术防护分两方面进行,一方面是消磁,另一方面是防拷贝,可以通过加密码保护,使载体中的文件,不能用正常的方式读出。
移动存储介质交叉使用存在漏洞,采用单向导入技术加以防范。即可以完全的禁止数据在低级别的载体(如移动存储介质)和高级别的涉密计算机中交叉使用,带来泄密隐患。
3.2.3 网络使用管理防护
①实行物理隔离; ②明确网络使用管理人; ③依据岗位设定用户权限; ④严格控制信息输出; ⑤专人负责杀毒、系统运维、审计工作;⑥配置网络安全设备。
3.2.4 电磁辐射技术防护
在距离安全边界较近的涉密计算机上加装视频干扰保护设备,以扰乱计算机电磁辐射信号; 注意涉密设备与非密设备的间隔距离;涉密系统服务器和终端,禁止非涉密设备接入红黑隔离插座及扩展的普通插座;重要的涉密计算机及存储设备机房建造电磁屏蔽室。
3.3 加强人员培训与队伍建设
建立一支优秀、有效的保密工作人员队伍,是做好安全保密工作的必要条件,涉密人员必须是“可靠、可信、可控、可用”的,同时又要懂保密、会保密、善保密,有不断提高应对市场经济各种诱惑和社会信息化各种挑战的知识和本领。
对涉密人员开展定期的各项培训工作,逐渐强化涉密人员的保密意识和思维观念,在全方位、多角度的检查过程中综合培养,使其掌握现代最新的信息管理技术,提高解决和消除各种安全隐患的能力,成为具有专业素质的合格的涉密人员。
4 结束语
预防+治理=安全,安全+保密=和谐。我们要着力于“人防、物防、技防”三个层次,从制度上建立健全,从思想上高度重视,从行动上认真贯彻,坚持“保密工作无小事”的态度,充分认识信息安全保密工作的重要性,让每个员工切身为保密工作动起来,这样保密工作才能真正做到常态化管理。
参 考 文 献
[1] 办公室业务,2008年第7期.
[2] 保密科学技术,2016年2月.
[3] 周光霞,孙欣.赛博空间对抗[J].指挥信息系统与技术,2012,4(2):8-9.
[4] 王晓甜.如何做好网络信息化时代信息安全保密工作[J].科技创新导报,2015(5).
信息公开保密审查审批制度
为做好我局政府信息公开保密审查工作,根据《中华人民共和国保守国家秘密法》和《中华人民共和国政府信息公开条例》等有关法律法规,以及郑州市人民政府的有关规定,制定本制度。
一、本制度适用于各科(室)在履行职责过程中制作或者获取的,以一定形式记录、保存的信息拟公开前的保密审查工作。
二、政府信息公开坚持不得危及国家安全、公共安全、经济安全和社会稳定,按照“以公开为原则,以不公开为例外”的要求,遵循“先审查,后公开;谁主管、谁负责”的原则。拟公开的政府信息均应进行保密审查。
三、对拟公开政府信息的保密审查,应当以《中华人民共和国保守国家秘密法》等有关法律、法规的规定及由国家保密局同中央国家机关确定的国家秘密及其密级具体范围的规定为依据。
四、各科(室)不得公开涉及国家秘密、商业秘密、个人隐私的下列政府信息:(一)依照国家秘密范围和定密规定,明确标识为“秘密”、“机密”、“绝密”的信息;(二)虽未标识,但内容涉及国家秘密、商业秘密、个人隐私的信息;(三)其他公开后可能危及国家安全、公共安全、经济安全和社会稳定的信息。
五、在政府信息公开保密审查中,既要防止借口保密而出现该公开的事项不公开或不及时、不全面公开等情况,也要防止片面强调公开而发生失泄密事件。
六、成立保密工作领导小组,政府信息公开保密审查工作由分局保密工作领导小组具体负责,对所办公文、信息是否涉密进行严格把关。
七、开展保密审查时应履行审查审批手续。
八、需公开的政府信息是否属于国家秘密和密级不明确的,应逐级报至有权确定该事项密级的上级业务主管部门确定;其他方面的事项逐级报至有权确定该事项密级的保密工作部门确定。
九、加强保密教育,定期组织培训,提高政府信息公开保密审查能力和水平, 负责信息公开保密审查的责任人必须通过培训后,方可负责此项工作。
十、各科(室)拟公开的政府信息保密审查应当依照以下程序进行:由信息产生的机构提出是否公开的初步意见;由信息产生机构的负责人提出是否公开的审查意见;机关负责保密审查工作的机构提出审查意见;机关分管领导审查批准。
十一、各科(室)在政府信息产生、审签时标明是否属于保密事项;在进行保密审查时,负责保密审查工作的机构和人员应当提出“公开”、“不予公开”、“需报审”等审查意见,并注明其依据和理由。
十二、不同行政机关共同形成的政府信息拟公开时,应由主办的行政机关负责公开前的保密审查,并以文字形式征得其他机关单位同意后方可予以公开。
十三、拟公开的政府信息中含有部分涉密内容的,应当按照有关规定进行非密处理,采取属于国家秘密的部分不予公开、其余部分公开的方法处理。
十四、已确定为国家秘密但已超过保密期限并拟公开的政府信息,应在保密审查确认能够公开后,按保密规定办理解密手续,再予以公开。
十五、公民、法人或者其他组织对政府信息公开工作中因保密问题未公开相关信息存在质疑的,可以向政府信息产生的行政机关提出申请,要求该机关说明不予公开有关信息的依据和理由。
十六、负责保密审查工作的机构接到信息审查申请后,应在15个工作日内提出审查确认的意见。
十七、各科(室)未建立政府信息公开保密审查制度或执行保密审查制度不力的,由分局监察机关、保密工作部门及上级行政机关责令改正。情节严重的,对主要负责人依法给予处分。
十八、奖励对符合下列条件的各科(室)或干部职工可以参加保密工作先进集体或个人评选: 1.在危急情况下,保护国家秘密安全的;2.对泄露或者非法获取国家秘密的行为及时检举的;3.发现他人泄露或者可能泄露国家秘密,立即采取补救措施或者减轻危害后果的;4.在涉及国家秘密的专项活动中,严守国家秘密,对维护国家的安全和利益做出重要贡献的;5.从事涉密工作尽职尽责,未出现任何过失、泄密的; 6.将保密工作开展情况纳入年终考核,对保密先进集体和保密先进个人授予荣誉称号外,分别给予奖金奖励或其他方式奖励。
十九、各科(室)违反国家保密法律、法规个单位保密规章制度有关规定,公开涉及国家秘密的政府信息,发生泄密事件的,依照有关规定进行查处。情节严重的,对直接负责保密审查的主管人员和直接责任人依法给予处分;构成犯罪的,依法追究刑事责任:
1.对未认真履行保密管理职责、保密制度得不到落实的个人或部门,给予通报批评处罚;
2.凡泄漏国家秘密或违反保密法律法规和规章制度的行为,将视情况情节给予处罚,情节严重,触犯刑法的,移交国家有关部门依法追究刑事责任;
3.出现违规行为或失密事件后,若责任人态度端正、处理时间积极有效、整改措施及时到位,可适当减轻处罚;若责任人隐瞒事实真相、不配合事件的处理或未及时纠正错误再次发生违规或失密事件的,应从严加重处罚。
郑州市质量技术监督局郑州航空港区分局
【信息保密教案】推荐阅读:
信息安全保密操作规程05-26
1.信息安全保密制度05-26
信息保密承诺书11-12
公共信息网络发布信息保密管理规定07-20
信息系统保密管理规定06-14
信息系统保密管理制度09-06
信息公开保密审查管理规定09-17
it信息安全与保密管理10-17
计算机信息安全保密审计报告06-12
保密学习资料:保密工作知识点06-15