计算机信息安全保密审计报告(推荐13篇)
根据省保密局要求,公司领导非常重视计算机信息系统安全保密工作,在公司内部系统内开展自查,认真对待,不走过场,确保检查不漏一机一人。虽然在检查中没有发现违反安全保密规定的情况,但是,仍然要求计算机使用管理人员不能放松警惕,要时刻注意自己所使用和管理的计算机符合计算机信息系统安全保密工作规定,做到专机专用,专人负责,专人管理,确保涉密计算机不上网,网上发布信息严格审查,涉密资料专门存储,不交换使用涉密存储设备,严格落实计算机信息系统安全保密制度。通过检查,进一步提高了全公司各个部门员工对计算机信息系统安全保密工作的认识,增强了责任感和使命感。现将自查情况汇报如下:
一、加大保密宣传教育,增强保密观念。始终把安全保密宣传教育作为一件大事来抓,经常性地组织全体职工认真学习各级有关加强安全保密的规定和保密常识,如看计算机泄密录像等,通过学习全公司各部门员工安全忧患意识明显增强,执行安全保密规定的自觉性和能力明显提高。
二、明显界定涉密计算机和非涉密计算机。涉密计算机应有相应的标识,设置开机、屏保口令,定期更换口令,存放环境要安全可靠。涉密移动硬盘、软盘、光盘、U盘等移动存储介质加强管理,涉密移动存储介质也应有标识,不得在非涉密计算机中使用,严防泄密。非涉密计算机、非涉密存储介质不得以任何理由处理涉密信息,非涉密存储介质不得在涉密计算机中使用涉密信息。涉密信息和数据必须按照保密规定进行采集、存储、处理、传递、使用和销毁。计算机信息系统存储、处理、传递、输出的涉密信息要有相应的密级标识,密级标识不能与正文分离。涉密信息不得在与国际网络连接的计算机信息系统中存储、处理、传递。
三、加强笔记本电脑的使用管理。笔记本电脑主要在公司内部用于学习计算机新软件、软件调试,不得处理涉密数据或文件。
四、计算机的使用人员要定期对电脑进行安全检查,及时升级病毒软件,定时查杀病毒。对外来计算机介质必须坚持先交计算机管理人员查杀病毒再上中转机使用的原则。
五、对需要维修的涉密计算机,各部门必须事先将计算机内的涉密信息进行清除;如需调换计算机硬盘,清楚涉密信息后方可允许维修人员将硬盘带走。对报废的涉密计算机必须彻底清除计算机内的信息,方可处理。
六、小结
安全审计作为一门新的信息安全技术,能够对整个计算机信息系统进行监控,如实记录系统内发生的任何事件,一个完善的安全审计系统可以根据一定的安全策略记录和分析历史操作事件及数据,有效的记录攻击事件的发生,提供有效改进系统性能和安全性能的依据。本文从安全审计的概念、在涉密信息系统中需要审计的内容、安全审计的关键技术及安全审计系统应该注意的问题等几个方面讨论了安全审计在涉密信息系统中的应用。安全审计系统应该全面地对整个涉密信息系统中的网络、主机、应用程序、数据库及安全设备等进行审计,同时支持分布式跨网段审计,集中统一管理,可对审计数据进行综合的统计与分析,从而可以更有效的防御外部的入侵和内部的非法违规操作,最终起到保护机密信息和资源的作用。
计算机管理小组 2012.4.25
计算机信息安全保密审计报告
一、审计信息渠道
审计信息主要来源于审计管理系统及平台信息和审计业务信息收集两个方面:
第一, 审计管理系统及平台信息是审计人员在实施审计项目、进行审计管理的过程中, 通过审计应用系统及平台获取审计业务操作与管理的业务和数据信息, 包括非现场审计系统 (OAS系统) 信息、审计管理信息系统 (AMIS系统) 信息、审计知识库系统信息、任期经济责任审计信息资料库信息、总审计室信息平台等信息。
第二, 审计业务信息是审计项目和日常审计工作中由各级机构提供的业务信息以及审计项目信息。业务信息包括审计机构审计计划、审计研究成果、被审计机构经营计划及业务指标、客户及其账户信息、业务管理信息等, 以及通过Notes邮箱、办公自动化系统 (OA系统) 、档案管理信息系统等收集整理的各类业务信息。审计项目信息包括审计方案、审计报告、审计模型、审计证据、审计工作底稿, 以及审计过程中通过会计档案管理系统、UAAP统一报表发布平台、对公信贷业务流程系统 (CLPM系统) 、个人信贷管理系统 (A+P系统) 、信贷管理系统 (CMISII系统) 、ODSB二期及ERPF报表查询等收集加工整理的各类信息。
二、主要问题和风险
(一) 审计信息未集中管理, 存在泄密的潜在风险隐患
便携式计算机是审计人员的必备工具, 其中存储大量重要信息, 实施审计项目按照审计方案要求分组开展, 审计现场点多面广, 审计资料不便于集中, 审计人员注重信息资料使用忽视保密管理, 对敏感及涉密信息未经加密处理采取保密措施, 形成审计信息安全隐患。一是项目实施过程中审计信息处于分散失控状态, 缺乏安全管理;二是审计项目结束后, 由于未明确和指定专人负责归集审计项目信息, 致使审计人员未及时清理、归集移除审计项目电子信息资料, 长久滞留审计人员计算机中将可能导致审计信息流失和泄密。
(二) 计算机上网导致审计信息失密, 造成损失形成银行声誉风险
计算机上网成为信息泄露的主要途径, 涉密计算机使用无线键盘或鼠标上网、移动存储介质与联网计算机交叉使用将会导致失泄密。一是审计人员因工作需要, 有时通过互联网传送或下载工作信息, 或上网查询信贷客户企业注册登记等信息, 如果客户敏感信息被不法分子截获并利用, 给客户带来不利影响的同时, 将会导致银行声誉风险的严重后果。二是审计人员使用的计算机、U盘等磁介质若不采取保密措施, 未经加密在互联网上传输行内重要数据或信息, 被窃密者运用技术软件窃取, 无意中将泄露银行敏感信息或商业秘密, 给银行造成无可估量的损失。
(三) 审计管理系统用户认证安全机制低、对客户敏感信息访问无控制
由于非现场审计系统对相关敏感数据字段未能加密, 在审计项目实施过程中, 审计人员登录系统可任意查询导出相关的信息及数据, 存在敏感信息和商业秘密泄漏的风险。
三、审计信息安全管理措施
第一, 健全制度, 落实责任。为加强审计信息安全保密, 对于计算机设备使用管理、审计管理系统运行管理及数据信息安全保密管理, 制定信息安全管理制度, 明确责任, 落实保密职责。
第二, 加强安全保密培训和教育, 筑牢审计人员的安全和风险意识。一是要警钟长鸣, 加强警示教育, 做到防患于未然。二是建立信息安全的长效机制, 将审计信息安全保密作为审计人员培训教育的重要内容, 使之深刻认识安全无小事, 牢记“失之毫厘、谬以千里”道理, 始终绷紧安全保密意识的弦, 严守保密纪律, 自觉履行保密职责。
第三, 加强审计系统用户管理, 严格用户操作权限, 禁止将用户口令及UKEY转借他人使用。在未开展审计项目阶段限制非现场审计系统操作用户, 使用系统必须经过申请批准, 以防止敏感信息泄露。搭建开放的非现场审计系统学习培训环境, 提供审计人员用于学习操作非现场系统。
第四, 利用管理信息平台FTP服务器对审计重要信息进行管理, 实现远程资源共享, 审计人员可查询相关工作信息, 本机不再保存敏感信息和数据, 切实防范便携机或移动硬盘存储审计信息失泄密的风险隐患。
第五, 落实安全管理责任, 签订《审计岗位人员保密协议》, 强化保密意识, 约束审计信息保密行为。
第六, 加强涉密计算机管理, 严防信息失泄密。设置屏幕保护的时间和密码, 确保在长时间不使用计算机时对屏幕上和系统内的敏感信息进行安全保护。涉密计算机做到专机专用, 与互联网物理隔离, 禁止通过电子邮箱或互联网传输涉密及重要工作信息, 避免移动存储介质交叉使用。
第七, 应用技术手段加强信息安全管理, 审计条线全员推广使用Windows7 (企业版) 操作系统, 应用全盘加密 (Bit Locker) 功能, 能够有效降低因设备物理丢失导致的审计信息泄露风险, 有助于加强审计信息安全管理。
第八, 以检查促落实, 严堵泄密漏洞。设立安全管理员负责信息安全日常检查监督, 采取实时监控和定期检查相结合的方式, 在全面自查的基础上, 对审计人员的计算机进行检查和抽查, 落实整改。
【关键词】计算机信息安全;网络;安全威胁;影响
计算机相关技术的积极应用和开发是目前世界发展的趋势,利用计算机技术来实现人类各个方面的发展是信息时代的重要特征。但是由于计算机网络的加入和普及,计算机技术的应用变得复杂而充满变数,那就是计算机网络带来的安全威胁,它降低了信息系统的安全性。
1.计算机信息安全
1.1计算机信息安全的概念
计算机系统是一个复杂的、多元化的、涉及方面广泛的智能电子终端,它主要包括了软件和硬件。如果对计算机系统的操作或管理不当,就会导致各种病毒和恶意代码的入侵,最终使计算机系统崩溃,影响到计算机系统内部的信息安全。所以,对计算机信息安全的概念主要包括以下三个方面。
(1)物理方面。计算机系统是由多个电子元件组合而成的,每个元件都有各自的工作机理和分工,它们共同组成整个计算机硬件系统。计算机信息的物理安全能够保证计算机及网络在运行时的安全性和正确性。由于计算机的电子元件一般均为弱电设备,所以在防范自然灾害的问题上要格外注意。如果是团体机关的计算机机房和网络设施要注重对于雷、电、电磁波等的干扰,确保计算机在物理方面的安全运行。
(2)网络方面。由于现在计算机都接入网络,而病毒入侵的主要途径就是通过网络,它主要通过网络感染和破坏计算机的软件系统硬件数据,所以要保证计算机网络服务的正常和稳定性,通过各种措施避免网络中病毒和非法信息的入侵,从而避免因为网络植入病毒而带来的计算机信息系统内数据的改变,泄漏和破坏,保证计算机信息网络系统的可持续性运行。
1.2计算机信息安全问题的特点
计算机通过网络实现了信息资源的共享与扩散,这也给信息系统带来了安全方面的隐患。目前国内使用的计算机系统芯片均为进口产品,在系统安全的保护和预设上不能自主控制,可能会留下一些安全方面的漏洞,通过这些漏洞进入计算机信息系统就能造成信息的窃取和修改,甚至系统的崩溃。这是计算机网络和硬件方面的不可控性所带来的安全威胁,需要得到重视。
通过各种软件,计算机信息系统也能遭到严重的破坏。由于计算机软件中信息资源的开放性,所以就导致了它的安全性降低。虽然目前已经出现了许多防范恶意入侵的计算机杀毒软件,但是对于自身的安全保护级别还并不完善。这是因为计算机防病毒软件的设计永远是被动的,永远是根据目前病毒的发展而更新信息库的,所以在计算机软件与网络的应用中,由于它开放自由化的特性,病毒入侵和信息系统遭到破坏依然不是没有可能。
2.引发计算机信息安全问题的原因
在信息流通高度发达的社会,计算机信息安全受到各方的威胁,尤其是政府安全或者一些比较重要企业的信息部门。他们的系统尤其需要加强防范,因为病毒的入侵和信息的盗取无时无刻不在,所以我们要充分认识到计算机信息安全系统并不安全,它是滞后和脆弱的,加强信息系统的密保才有可能将安全威胁拒之门外。以下我们主要介绍几种引发计算机信息系统安全问题的因素。
2.1计算机信息系统能够受到威胁,最大的隐患还是来自于人本身
目前一些具备高素质网络技术的黑客是计算机安全的最大威胁。他们攻击计算机信息安全系统主要目的有两种,一种是破坏性的,这种破坏就是为了打击和摧毁信息系统,造成信息的丢失,而且很多情况下是无法挽回的,并且这种信息破坏是具有选择性和针对性的;其次是非破坏性的攻击,这种攻击的原则就是不影响计算机系统的正常运行,在无声无息的情况下进行信息的盗取、截获和破译,一般常常用于盗取一些重要企业或者信息部门的关键机密信息。
2.2由计算机系统操作人员自己的误操作也能够带来计算机信息安全的隐患
这种情况常常是由于操作人员的业务不熟而导致的,主要体现在计算机信息安全系统的安全配置不当、资源访问权限控制的不合理、用户口令密码设置有误、网络共享资源设置密保简单等等。如果不能够及时更改或者加强密保设置,重要信息就会在操作人员不知情的情况下丢失,且很难被发现。
2.3计算机病毒是比较常见的系统安全老问题
通过病毒对计算机系统程序造成功能上的紊乱和数据的毁坏,是最直接的影响计算机信息安全的方法。它主要通过制造和复制计算机指令或程序代碼,对计算机系统中的运行代码进行模拟和篡改,具有很高的隐蔽性、传染性、破坏性和可执行性。
3.计算机信息系统安全的保密措施
目前,为了防范计算机信息系统中可能存在的各种安全威胁,在国际上已经确立了一系列的关于计算机系统的安全保密措施,以此来规范和保护计算机信息系统安全。
3.1计算机信息系统保密管理
保密管理是一种对于涉密人员、涉密载体和涉密事项进行管理的活动。这里包括了政府机关和企业信息部门的日常保密管理工作。对于计算信息系统的保密管理一定要确定公开的涉密人员之间的关系,并限制涉密人员和涉密事项的数量。与此同时,建立健全的保密法规并加强保密管理的关键技术和设备也是十分必要的。
3.2计算机信息系统的安全保密措施
由于要兼顾计算机软件、硬件、网络三方面的保护,所以为了确保保密措施的正常实施,要做到以下几点:
(1)首先要做好物理方面的安全防范,它主要涉及到工作环境的内部安全和外部安全。内部安全主要指系统内部的维护与修理;外部安全是指硬件和系统周围例如对于恶劣天气的防范,注意雷雨天气对设备硬件的影响,做好网络的布线系统。另外还要确保计算机不要遭受电磁波的干扰和辐射。物理方面的安全重点就是保证重要数据的集中管理,避免数据的丢失。一般来说,这种威胁来自于自然,特别是恶劣天气下,应该注重计算机的运行与休息。而对于安保部门来说,采用屏蔽隔断周围辐射的威胁,是最好的办法。
(2)要进行杀毒软件的安装和定期的杀毒。正常情况下,杀毒软件能够兼顾大部分病毒的查杀,如果不是特殊的病毒感染都能应付。
(3)在网络方面要做到选择安全保密性强的网络操作系统,确认并记录好账户和密保口令。在数据库的密保方面,确立目录文件的安全密保机制,利用密码密匙原理进行数据的加密,保证数据在传输过程中是被加密且不易被识别破解的。对于网络系统的保护就是让内部网络的涉密系统与物理隔绝,并对网络的审计措施、防毒措施、传输加密措施以及对用户的监控管理措施等。而资源共享方面是网络保密最容易出现漏洞的地方。要严格设置访问控制手段,在网络安全等级和链路层安全等方面要做到严密把关,确保网络终端的信息安全。
(4)交互涉密文件是最容易泄漏密保的环节,尤其是对外的涉密文件交互。因为涉及到比较常见的复制、传输、保存等环节,文件很可能在这一时间段内被窃取。在交互涉密文件时,一定要确保存储介质和内部网络的安全可靠,并适当的在每个环节都设立加密,以确保涉密文件交互安全进行。
(5)计算机信息安全保密体系的敏感地带就是对终端的防护。因为传统的安全方案只能阻止外部入侵,而不能防范内盗。所以在企业内部一定要规范并做好相关方面的培训和问责机制,确保(下转第183页)(上接第64页)防止内部人员的操作疏忽或有意为之,对系统信息安全进行恶意攻击和偷盗行为。
(6)对于计算机信息安全的保密最直观的方法就是加密。为了确保涉密数据的安全,应该通过数据加密的方式对计算机的系统、内外传输介质和网络信息系统进行上锁和加密保护。例如在会计信息系统的数据库中,对其的OS操作系统、DBMS内核和DBMS外层都要进行加密,形成有层次的保护。
首先是OS层加密,加密的对象是整个文件系统。因为无法辨别数据库中文件之间的数据关系,所以应该在OS层直接对数据库文件进行加密;对于DBMS内核层的加密涉及到数据在物理存储之前和之后的加密与解密工作。利用DBMS加密器和DBMS接口协议对文件系统进行加密,其优点是加密性强而且加密功能不会影响DBMS的任何功能操作。但是它也有缺点,那就是在服务器端进行加密和解密运算,会加重数据库服务器的负载从而使系统运行速度下降。一般在会计信息数据库的加密都采用基于Oracle提供的安全包为基础制定加密策略。它的优点就是能够合理分配系统资源,既能兼容系统的加密与解密工作,也能让系统在运行时保持一定的流畅性;DBMS的外层加密主要采用的是传统的密匙管理。这样做的理由和内核层的加密有异曲同工之妙,那就是在不加重系统负载的前提下,灵活的配置数据库加密,其缺点是加密功能会受到一些限制。
(7)做好计算机信息安全的安全审计工作也很重要,这包括对于数据库、主机、操作系统和安全设备等系统动作行为的审计,审计记录所有发生的事件。建立健全的安全管理制度,规范技术管理員的操作规程并提供系统维护的防范依据。一旦有突发事件发生可以快速查询行为记录,以便采取相应的处理措施。
4.总结
计算机信息安全保密的管理和建设,涉及到国家建设的许多层面,需要在规范和技术方面不断加强。我国应该尽快订制一套完整全面系统的信息保护法和计算机信息系统的安全标准,以此来规范和提高我们对于计算机信息安全系统的保护意识和安全防范技术手段。 [科]
【参考文献】
[1]佟守权.计算机管理信息系统安全保密的探讨[A].第十次全国计算机安全学术交流会论文集[C].2008.
[2]唐中学.计算机网络信息安全保密问题浅析[J].电脑知识与技术(学术交流),2013,1(4).
关于印发计算机信息安全保密管理制度的通知
各股室、事业单位、所:
为进一步加强我局计算机信息安全保密管理,经研究同意,制定本制度,现予以发布,请认真贯彻落实。
赫章县国土资源局二0一二年四月十八日
赫章县国土资源局
计算机信息安全保密管理制度
第一条为了加强我局计算机信息安全保密,依据有关法律、法规和行政规章制定本办法。
第二条各股室、事业单位、所的计算机信息安全保密,适用本办法。
第三条本办法所指保密信息,除国家秘密信息外,也包括我局工作秘密。
第四条由局办公室负责本局计算机信息安全保密管理工作。
第五条各股室、事业单位、所计算机采用第一责任人负责制,任何股室造成信息泄密,由第一责任人承担一切责任。
第六条各股室、事业单位、所涉密计算机要设置口令并定期更改口令,工作人员离开电脑必须退出应用系统并关闭计算机。
第七条局机关计算机信息系统的规划、设计和实施由局办公室负责,其内容必须符合国家保密部门规定的网络与信
息安全建设的相关标准,能够满足安全运行和信息保密的需要。
第八条局机关已建和新建的计算机信息系统及其采用的安全产品,必须经过国家认可的相关机构的测评认证。
第九条各股室、事业单位、所涉密计算机不得接入任何网络。
第十条存储有涉密信息的计算机移动存储介质,必须标明密级和保密期限,由专人保管。
第十一条所有损坏的磁盘、硬盘和其它存储介质一律交人秘股统一处理后销毁。
第十二条各股室、事业单位、所使用的计算机必须安装具有实时监控功能的防病毒软件并及时升级。
第十三条各股室、事业单位、所应定期对自己股室计算机信息的安全状况进行检查。
第十四条任何部门和个人发现信息涉密,应当及时报告人秘股。
第十五条对违反本办法的,给以通报批评;情节严重的,追究相关责任人的责任。
(试行)
一、制订安全与保密领导责任制和岗位责任制,安全与保密工作必须专人负责。严格执行《中华人民共和国统计法》、《计划生育统计工作管理办法》和《中华人民共和国保守国家秘密法》。
二、县级人口计生部门分管领导对分管工作的计算机信息安全和保密负责,各科室科(股)长或负责人负责本科室计算机信息的安全和保密。
规划统计部门负责本辖区内育龄妇女信息系统(WIS)信息的安全和保密。网络管理人员负责网络的联通和网络的安全。WIS网络版维护人员应保证WIS系统的正常运行。未经规划统计部门允许,不得对外提供信息。
乡级计生办主任对乡级人口计生部门的计算机信息安全保密负责,WIS软件操作员负责平时育龄妇女信息系统的信息录入工作,未经计生办主任允许,不得对外提供信息。属于调查对象的私人、家庭单项调查资料,非经本人同意,不得泄露。
三、上网信息的保密管理坚持“谁上网谁负责”的原则。凡向国际互联网的站点提供或发布信息,必须经过保密审查批准。保密审批实行部门管理,各地应当根据国家保密法规,建立健全上网信息保密审批领导责任制。
涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行物理隔离。人口计生广域资源网内的所有计算机均不得上国际互联网,使用硬盘隔离卡的必须切换到外部硬盘或物理分隔成的外部区域,才能上国际互联网。
网络上的所有计算机账户均设置密码,对服务器的各种账户和密码严格保密。根据信息的安全规定和权限,确定使用人员的存取、使用权限,未经批准,不得随意更改业务数据,不得擅自对外提供信息系统中的信息,不得外借和转移专业数据信息,防止数据的泄密。通地网络传送的程序或信息,必须经过安全检测,方可使用。对涉密的电脑文件、数据要进行加密外理。对保密信息严加看管,不得遗失、泄露。
四、机房管理人员必须具有病毒防范意识,定期进行病毒的查杀,做好防病毒系统的升级工作,发现病毒要及时处理,并做好记录。未经许可,不得在各类应用服务器上安装新软件,确实工作需要安装的,要经过领导批准。
五、管理人员要及时做好数据的备份工作,保证系统发生故障时,数据能够快速、安全恢复。所有备份数据不得更改。
业务数据必须定期、完整、真实、准确地备份到不可更改的介质上,并要求做到集中和异地双备份保存。妥善保存备份介质,人口计生业务数据和WIS数据必须每月备份,信息备份长期保存,当年变更信息至少保存5年。对需要长期保存的数据光盘等,应在每年进行一次以上检查,以防止存储介质损坏造成损失。
第二章管理职责
第四条集团公司办公室负责集团公司计算机信息系统的保密管理工作。主要职责是:
(一)负责全公司计算机信息系统保密管理的指导、监督、检查和考核。
(二)协助信息管理部门,负责查处造成计算机信息系统故障、损坏、数据丢失或涉密信息泄露事件。
(三)负责集团公司本部计算机信息系统保密设备的审批、备案。
第五条 各单位保密主管领导对所属单位和人员在使用计算机信息系统过程中的保密工作负全责,分管领导负具体组织领导责任。
(一)要定期对相关人员进行计算机信息系统安全保密的法制教育和防范意识教育,加强防范技能培训。组织安全保密检查,对存在的问题及时采取整改措施。协助查处计算机信息系统的泄密隐患及事件。
(二)各单位、各部门要明确计算机信息系统安全保密管理员,并进行日常保密管理工作。
(三)各单位信息网络管理部门要确保计算机信息系统运行中的保密安全,发现重大隐患要及时整改,并将情况及时报单位保密办。
1.1 计算机信息辐射泄密
计算机信息系统运行还需要依靠一定的电力设备, 而在电力设备运行过程中会产生一定的寄生电磁信号以及谐波, 这些因素都会产生电磁辐射。将这些辐射的电磁信号有效的提取出来, 并做出相应的处理, 就能够恢复这些信息, 导致泄密危险。这种窃取信息的手段更加隐蔽与及时。其中辐射发射与传导发射是其中最主要的2种方式。辐射发射就是信息在计算机内部产生的电磁波向外界发射;而传导发射主要是信息电磁波通过电源线以及其他导电体辐射向外界。
1.2 计算机网络泄密
计算机信息系统依靠网络而运行, 在网络中的数据具有一定的共享性, 同时主机和用户之间也是相互联系的, 也存在较大的泄密危险。一方面, 在计算机与网络技术不断发展中, 网络安全问题始终存在, 电脑黑客利用这些漏洞等, 就会给计算机信息系统造成窃取信息的危险;另一方面, 我国现阶段与互联网相关的法律法规尚未完善, 一些计算机网络用户利用网络技术窃取国家安全信息。有时在信息管理过程中, 没有将信息系统进行有效的物理隔离, 给了不法分子可乘之机。
1.3 内部人员泄密
内部人员泄密主要体现在以下2个方面。第一, 内部工作人员相关知识薄弱, 不清楚电磁波辐射会导致信息泄露等, 因此在进行计算机信息系统操作过程中, 没有采取有效的防护措施, 最终导致泄密事件的发生。同时, 在使用计算机网络过程中, 忽视了黑客攻击问题, 操作中漏洞较为严重, 给黑客提供了机会, 导致本机上的文件和数据丢失。第二, 在计算机信息系统或者是相关设备发生故障后, 内部工作人员没有严格的按照相关的保密制度, 做好相关的消磁处理, 也没有专业化的检修, 导致修理过程中数据被窃取。
2 加强计算机信息系统保密技术应用于安全管理的重要性
在计算机技术与通信技术快速发展过会层中, 互联网已经成为世界范围内常见的技术形式, 实现了信息与资源的共享, 也给信息保密工作提出了相应的要求。要求计算机信息系统不仅需要能够满足人们交流、资源共享等需求, 同时也应该做好对应的保密工作, 保证人们在使用计算机信息系统中的相关信息不会泄露。在国家信息安全问题上, 很多国家都将信息保护当作是头等重要的大事, 在保密技术研发上都投入了很多精力。与此同时, 窃密技术也在信息技术发展中得到发展, 给计算机信息系统的安全造成极大的威胁。还需要不断的加强对计算机信息系统的安全防范, 强化对系统的保密管理, 保证计算机信息系统运行的安全。
在计算机信息系统设计过程中, 始终无法做到尽善尽美, 任何丁点的设计漏洞都容易成为信息泄漏的通道, 也是不法分子窃取信息的途径。近几年, 我国计算机信息系统窃密事件屡见不鲜, 有关部门必须不断的强化安全防护与管理, 将信息系统安全保密工作作为国防建设重要目标。
3 计算机信息系统保密技术
计算机信息系统安全保密技术有很多种, 包括防病毒技术、信道隐蔽技术、媒体介质技术、数据库技术、防火墙技术等等。
3.1 防病毒技术
传统的病毒处理主要是发现后分析, 分析后消灭, 这种事后处理的方式在信息安全保密工作中具有很大的局限性。从技术层面上来讲, 需要在计算机信息系统服务器中安装防病毒功能模块, 同时利用防病毒软件定期的检测与杀毒。或者是安装相应的插件, 在网络接口处安装对应的防毒芯片。
3.2 信道隐蔽技术
很多计算机信息系统中的信息泄漏都是通过信道, 因此可以将宽带信道隐蔽, 具体的方式有几种:一方面可以再计算机信息系统设计中, 尽可能的减少隐蔽性的信道;同时对于计算机测试, 还需要对信道实施测量, 提升计算机内核的审计功能。
3.3 媒体介质技术
计算机信息系统泄密介质包括软盘、硬盘、磁盘、光盘等, 这些媒介容易被损坏、窃取等, 同时其中残留的信息还能够通过一些特殊的处理技术恢复。因此, 需要加强对计算机信息系统媒体介质的管理, 采用分类标记的方式, 根据信息特征、保密级别等进行分类登记, 同时在介质中作上相应的标记。
3.4 数据库技术
数据库安全在技术方式、安全要求等方面都和计算机信息系统极为相似。为了保证计算机信息系统运行的安全性、稳定性, 必须采取有效的安全策略。在技术层面上, 可以利用身份认证技术、信息传输技术、数据加密技术、密钥技术等, 或者对传输媒介进行安全保护, 从根本上保证系统中信息的安全, 避免信息丢失或被窃取, 为计算机信息系统的安全运行提供保障。同时, 在数据库周边安装警卫系统、警报警戒、出入控制等, 提高系统安全防护的级别。在对计算机网络非法入侵的监测、防伪、审查和追踪过程中, 通信网络应该充分利用各种对应的安全防卫措施。终端用户在访问时, 可以通过网络管理的形式, 发放访问许可证书和有效口令, 以避免未经授权的用户进入通信网络, 并且利用密码、用户口令等控制用户的权限访问。在通信网络中健全数据鉴别机制, 以预防未被授权的用户对网络数据的删除、插入和修改等。
3.5 防火墙技术
防火墙技术主要是在现代通信网络技术基础上发展而来的安全技术, 在公共网络以及专用网络中应用十分广泛, 特别是在接入互联网中更是应用广泛。在不同网络或网络安全域之间, 设置的一系列部件的组合就是防火墙, 防火墙是不同网络之间唯一的出入口, 本身抗攻击的能力较强。从技术原理上来说, 可以将防火墙看作是一个分析器、限制器和分离器, 能够对内部网以及互联网之间所有活动进行实时的监控, 提高计算机信息系统运行的安全性, 将危险的网络信息过滤, 让网络环境更加安全。
4 计算机信息系统保密安全管理措施
4.1 完善相关规章制度
制度始终是保证有效秩序的基础。为了提高我国计算机信息系统运行的安全, 提高安全管理质量, 必须建立与完善我国计算机保密有关的法律法规, 同时强化相关的执法力度等, 确保相关制度的执行力。在计算机信息系统保密制度建立过程中, 需要重视其可操作性与安全性, 坚持可持续发展以及以人为本的原则, 避免规章制度流于形式。同时, 还需要完善有关的责任制度, 将计算机信息系统保密责任落实到个人, 避免内部工作人员因素导致的泄密问题出现, 提升保密防护质量。另外, 加强对计算机信息系统运行中保密工作的监督, 定期或不定期的进行抽查, 发现问题需要及时的进行处理。
4.2 加强宣传教育
针对我国目前网络信息安全意识薄弱的问题, 还需要加强网络信息安全教育, 提高全民网络信息安全的防范意识。一方面, 通过电视、广播、网络等媒体传播形式, 加大对网络信息安全的宣传, 提高人们对网络信息安全的正确认识;另一方面, 相关部门应该积极引导民众, 让更多的网络用户参与到安全防护工作中, 营造一个全民防范的网络信息安全氛围。
4.3 信息安全立法, 创建更加安全的网络信息环境
针对网络安全案件不断增多的事实, 还需要通过法律这个强有力的手段加以保障。虽然我国先后制定了几部关于网络信息安全的管理文件, 规定了制造以及传播病毒是违法行为, 但是在病毒、黑客程序等界定上却十分模糊, 给执法带来很多困扰。因此, 加强立法, 还需要对此加以完善, 包括信息安全责任界定、赔偿问题等都需要有明确的表示, 加大执法力度, 对于危害网络安全的人员与组织进行严厉的打击, 共同营造一个安全、秩序的互联网信息环境。
5 结语
通过上述分析可知, 随着我国计算机技术、网络技术、通信技术等信息技术的发展, 给计算机信息系统发展带来重大的发展机遇, 但同时也带来了一定的威胁。信息泄密的后果十分严重, 严重情况甚至会对国家的安全以及社会的稳定造成影响。因此, 必须采取有效的信息保密技术, 加强计算机信息系统安全管理, 切实提升信息系统运行的安全, 为我国计算机信息系统发展做出更大的贡献。
参考文献
[1]刘佳佳.浅谈计算机信息系统保密技术及安全管理[J].科技创新与应用, 2014 (9) :144-145.
[2]王义国.浅谈计算机信息系统的安全保密技术[J].信息系统工程, 2014 (2) :65-68.
[3]方林明.计算机信息系统的保密技术防范和管理[J].中国科技博览, 2013 (12) :52-55.
近年来网络个人信息泄露事件频发,给个人和社会都造成了不良影响。计算机网路信息安全保密不到位是产生这一问题的主要原因。要想保障网络信息的安全,就必须认真分析产问题的原因,并据此采取针对性的解决措施。
1影响网络信息安全保密的主要因素
信息网络自身的脆弱性和信息安全技术发展的滞后性是产生网络信息安全问题的根本原因。现阶段,主要由以下几种因素能够对网络信息安全保密造成影响。
1)骇客攻击:
计算机网络的最大威胁来自于骇客攻击。骇客攻击有两种形式,包括非破坏性攻击和破坏性攻击。信息的完整性和有效性被某种方式选择性的破坏是破坏性攻击的特点,这种攻击的目的完全在于破坏信息。在对网络正常工作造成影响的情况下,通过破译、窃取、截获而获得重要机密信息是非破坏性攻击的特点。计算机网络在受到这两种攻击时会产生极大的危害,进而造成机密信息被泄露。
2)人为因素:
网络安全的威胁还来自于内部人员破坏网络系统、更改网络配置和记录信息、内部非授权人员有意无意偷窃机密信息、用户与别人共享网络资源或将自己的账号转借他人、用户选择口令不慎、资源访问控制设置不合理、操作员安全配置不当等人员因素。
3)计算机病毒:
具有自我复制能力,通过在计算机程序中扰乱功能或者毁坏数据影响计算机使用的计算机指令或程序代码是计算机病毒。可执行性、破坏性、隐蔽性、潜伏性、传染性是计算机病毒的重要特点,能够随着软硬件的发展而不断升级和变化。计算机病毒的变化能力、适应能力、破坏能力、传播能力因信息网络规模的日益扩大和计算机技术不断发展而不断得到强化,人们越来越难以防范计算机病毒,国家信息网络安全因此而受到严重威胁。
4)预置陷阱:
预置一些可对系统运行造成干扰、破坏的程序或者窃取系统信息的“后门”于计算机系统的软硬件中行为就是预置陷阱,硬件制造商或软件公司编程人员为了自便而设置了这些“后门”,人们通常不会发觉。在需要的时候,硬件制造商或者软件编程人员会通过“后门”进入系统而无需进行安全检查,在没有获得授权的情况下对系统进行访问或者实施对事先预置好的程序的激活操作,最终造成对系统运行的破坏。
5)电磁泄漏:
计算机技术的广泛应用促进了信息的计算机系统存储和信息的计算机网络传输的实现。同其他电子系统一样,计算机系统也会发生电磁泄漏问题。电磁辐射不同程度地存在于网络端口、传输线路、打印机、键盘、显示器、计算机主机等,原来的信息能够被这些泄露的电测信息还原。实践证明,如果计算机在没有采取防范措施的.情况下工作,其内容可以在一千米之内被普通计算机和截收装置抄收,当前已经有很成熟的技术能够窃取显示其内容。
2网络信息安全保护防范对策
高技术的网络攻击手段需要高技术的防范措施来制衡,网络信息安全才能够得到保障。根据现阶段影响计算机网络信息安全保密的内容,要使网络信息的安全保密得到保证,就应当鸡西几个方面管理使用网络。
1)严格行政管理、加强法律监督
第一,加强人员管理。人的管理和技术时计算机网络信息安全保护的核心问题。因此,要实现计算机网络信息安全的有效治理,就应当先对人的因素进行考虑。内部人员存在问题是国内外大量危害计算机网络信息安全事件的根本原因,所以有必要对相关人员进行定期培训和教育,提升他们的职业道德水平和思想品质。此外还应当对相关规章制度进行建立健全,提升对内部人员性的监督管理水平,从根本上对非法入侵和非法访问进行预防。最后,还应提升计算机网络信息技术人员的守法意识和职业能力,使他们在工作中能够自觉规范自身的行为并且有效保证计算机网络信息安全。第二,对安全管理体制进行健全。制度是机制的载体,机制的完善有赖于规章制度的高效运作。密钥管理、访问控制管理、运行管理、鉴别管理、资源管理是网络信息安全管理机制的主要内容。进行每一项管理的过程中都应当实现制度的严格遵守。实践中应当通过对在职人员安全意识的强化,使管理责任和目标得到明确。在工作中执行职责分工原则,使得各项有关安全制度得到有效贯彻。为有效实施计算机网络信息安全管理,应当使各个层次的安全工作机制得到有效建立,进而为工作活动提供依据。第三,强化信息安全法规建设。为了和信息化发展相适应,责任部门应当从实际应用基础和安全技术标准出发,对相关计算机网络信息安全保密的法规、制度进行不断完善,为计算机网络信息安全管理提供依据。相关计算机网络信息安全保密法规、制度应当具有稳定、严密、科学、宏观的特点,对相关实体、用户、信息主体的职责和权力以及安全保密检查管理部门的职责和权力进行明确。应当设置科学制度对信息的使用、保管、形成过程进行规范,并确保其得到有效落实。对于危害计算机网络信息技术保密安全的违规违法行为,相关法规和制度应当强化行为人的责任,加大处罚力度,提高责任人的违法违规成本。技术性强是计算机信息网络安全保密的重要特点,因此需要制定和完善相关的技术法规。要保证计算机网络信息的保密、及时、准确、完整,就必须对相关法律法规进行望山,严厉追究违法者的责任。
2)加强技术防范
第一,采用访问控制策略。防止网络资源被非法访问和非法使用是访问控制的主要任务。作为保证网络安全重要的核心策略,它包括多项内容,具体有网络终端及阶段安全控制、网络监测和锁定控制策略、网络服务器安全控制策略、属性安全控制策略、目录安全控制策略、操作权限控制策略、入网访问控制策略。它的实现技术包括网络签证、基于目的的地址过滤管理、基于资源的集中式控制等。
第二,采用身份鉴别技术。验明信息或用户的身份是鉴别的目的,该技术是在识别实体身份的基础上,对实体的访问请求进行验证或为信息达到和来自指定目的和源提供保证。信息的完整性能够通过鉴别技术得到验证,重演、非法访问、冒充也可因此而得到避免。通信以鉴别对象双方相互鉴别和消息源鉴别是为依据对鉴别技术做的分类;消息内容鉴别和用户身份鉴别是以鉴别对象为依据对鉴别技术做的分类。实践中有很多鉴别方法:通过鉴别码对消息的完整性进行验证;通过访问控制机制、密钥机制、通行字机制对用户身份进行鉴别;通过单方数字签名鉴别消息源、鉴别访问身份、鉴别消息完整性;通过收发双方数字签名同时鉴别收发双方身份和消息完整性。
第三,传输与存储加密技术。线路加密和脱线加密是传输加密技术的两种形式。从起点到终点数据始终以加密形式存在是脱线加密的特点,在该种形式下数据只有在到达终端后才会被解密,使加密系统的同步问题得到了有效避免。容易维护、容易实现、容易控制成本是脱线加密的特点。不考虑端口的信息安全,只对网络线路进行加密是线路加密的特点。密文存储和存取控制是存储机密技术的两种分类,防止信息在存储过程中泄密是它的主要目的。为防止客户非法窃取数据信息或越权使用数据信息,而对用户的资质和使用权限进行严格审查是存取控制的主要内容。而加密模块、多层加密、算法转换则是密文存储的主要内容。
第四,密钥管理技术。密钥管理是计算机网络数据信息加密的主要表现方式,骇客窃取信息的主要对象就是密钥,磁盘、磁卡、存储器是密钥的媒介,对蜜月的更换、保存是管理密钥的主要内容。非对称密钥和对称密钥是密钥技术的两种分类。数据解密和加密是一致的,在不泄露双方密钥的情况下,数据安全就不会受到威胁是对称密钥的特点,邮件加密现阶段就是使用的这个技术,AES、DES是应用最多的对称密钥。数据的解密密钥和加密密钥不通用是非对称性密钥的特点,保密密钥和公开密钥是其两种分类,在非对称性密钥中数据的稳定性和可靠性得到了有效提升。
第五,采用数字签名技术。篡改、冒充、伪造等安全问题能够通过数字签名机制提供的鉴别方法得到解决。一种数据交换协议被应用于数字签名中,它要求两个条件能够被收发数据双方满足。两个条件是:发送方所宣称的身份能够被接受方鉴别;自身发送过数据这一事实无法被发送方否认。对称加密技术很少应用于数据签名中,将整个明文被发送方加密变换得到的值作为签名。接收者解密运算发送者的签名时需借助公开密钥,若结果为明文,则签名有效,进而证明对方身份真实。
第六,采用反病毒技术。消除病毒、检测病毒、预防病毒是反病毒技术的三种分类,内存中常驻反病毒程序能够实现对系统的优先监控,进而对系统中是否存在病毒进行判断和监视,实现对计算机系统中进入病毒的有效预防,使计算机系统免遭破坏。我们应当对病毒的严重性形成充分的重视,首先保证严格审查所有软件,使用前必须经过相应的控制程序,其次加强对病毒软件的应用,及时检测系统中的应用软件和工具软件,避免各种病毒入侵到系统中。
第七,采用防火墙技术。将一组或一个系统用于两个网络之间的控制策略的强制实施就形成了防火墙。防火墙对网络安全有效管理的实现有赖于网络之间的信息交换、访问的检测和控制,防火墙的基本功能有:对非法用户和不安全的服务进行过滤,对未授权的用户访问受保护网络的行为进行控制;对特殊站点的访问进行控制,保护受保护网的一部分主机的同时,允许外部网络访问另一部分的主机;对所有通过的访问进行记录,进而提供统计数据和预警审计功能。
3结束语
定
湖南省人民政府法制办公室
计算机信息系统安全和保密管理的若干规定
为加强省政府法制办机关计算机信息系统安全和保密管理,保障计算机信息系统和国家秘密的安全,针对机关当前网络安全保密管理工作存在的突出问题和薄弱环节,依据国家有关法律、法规和政策,制定本规定。
第一条严格落实计算机信息系统安全和保密管理工作责任制。各处室主要负责人是主要责任人,兼职保密员、信息员是直接责任人。按照“谁主管谁负责、谁运行谁负责、谁公开谁负责”的原则,各处室在其职责范围内,负责本单位计算机信息系统的安全和保密管理。
第二条综合处和研究中心是我办计算机信息系统安全和保密管理的职能部门。综合处负责具体管理工作,研究中心负责技术保障工作。
第三条计算机信息系统应当按照国家保密法标准和国家信息安全等级保护的要求实行分类分级管理,并与保密设施同步规划、同步建设。
第四条办公计算机局域网分为内网、外网。内网运行各类办公软件,专用于公文的处理和交换,属涉密网;外网专用于各部门和个人浏览国际互联网,属非涉密网。内、外网采用双线路、双硬盘,并利用隔离卡实行物理隔离。涉及国家秘密的信息(以下简称涉密信息)应当在指定的涉密信息系统中处理。
第五条购买计算机及相关设备须按研究中心指定的有关参数指标由综合处统一购买,并对新购买的(含赠送的)计算机及相关设备进行保密技术处理。研究中心将新购买的(含赠送的)计算机及相关设备的有关信息参数登记备案后统一发放。
经研究中心验收的计算机,方可提供上网IP地址,接入机关局域网。
第六条计算机的使用管理应符合下列要求:
(一)严禁同一计算机既上互联网又处理涉密信息;
(二)研究中心要建立完整的办公计算机及网络设备技术档案,定期对计算机及软件安装情况进行检查和登记备案;
(三)设置开机口令,长度不得少于8个字符,并定期更换,防止口令被盗;
(四)安装正版防病毒等安全防护软件,并及时进行升级,及时更新操作系统补丁程序;
(五)未经研究中心认可,机关内所有办公计算机不得修改上网IP地址、网关、DNS服务器、子网掩码等设置;
(六)严禁使用含有无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备处理涉密信息;
(七)严禁将办公计算机带到与工作无关的场所;确因工作需要需携带有涉密信息的手提电脑外出的,必须确保涉密信息安全。
第七条涉密移动存储设备的使用管理应符合下列要求:
(一)分别由各处室兼职保密员负责登记,做到专人专用专管,并将登记情况报综
合处备案;
(二)严禁涉密移动存储设备在内、外网之间交叉使用;
(三)移动存储设备在接入本部门计算机信息系统之前,应查杀病毒、木马等恶意代码;
(四)鼓励采用密码技术等对移动存储设备中的信息进行保护;
(五)严禁将涉密存储设备带到与工作无关的场所。
第八条数据复制操作管理应符合下列要求:
(一)将互联网上的信息复制到内网时,应采取严格的技术防护措施,查杀病毒、木马等恶意代码,严防病毒等传播;
(二)使用移动存储设备从内网向外网复制数据时,应当采取严格的保密措施,防止泄密;
(三)复制和传递密级电子文档,应当严格按照复制和传递同等密级纸质文件的有关规定办理。不得利用电子邮件传递、转发或抄送涉密信息;
(四)各处、中心因工作需要向外网公开内部信息资料时,必须由该处室负责人审核同意,交由研究中心统一发布。
第九条办公计算机及相关设备由研究中心负责维护,按保密要求实行定点维修。需外请维修的,要派专人全程监督;需外送维修的,应由研究中心拆除信息存储部件,以防止存储资料泄密。
第十条办公计算机及相关设备在变更用途时,必须进行严格的消磁技术处理。
第十一条办公计算机及相关设备报废时,应由研究中心拆除存储部件,然后交综合处核定,由研究中心按有关要求统一销毁,同时作好备案登记。严禁各单位自行处理报废计算机。
第十二条加强对兼职保密员的管理,积极参加国家保密工作部门组织的岗位职能培训。同时,在机关范围内开展经常性的保密教育培训,提高机关工作人员的计算机信息安全保密意识与技能。
第十三条综合处和研究中心要加强机关计算机信息系统安全和保密管理情况的监督,定期进行检查,提高泄密隐患发现能力和泄密事件应急处置能力。其它各处室要密切配合,共同做好计算机信息系统安全和保密工作。
第十四条机关工作人员离岗离职,有关处室应即时取消其计算机涉密信息系统访问授权,收回计算机、移动存储设备等相关物品。
第十五条各处、中心和个人应当接受并配合机关保密工作领导小组组织的保密监督检查,协助核查有关泄密行为。对违反本规定的有关人员应给予批评教育,并责令限期整改;造成泄密事件的,由有关部门根据国家相关保密法律法规进行查处,并追究相关责任人的责任。
编著:IT
中国人民人寿保险股份有限公司海南省分公司
2008-4-9 第一条 为了加强计算机信息保密管理,确保国家秘密的安全,根据《中华人民共和国保守国家秘密法》和国家有关法规的规定,制定本规定。
第二条 各接入单位和个人,都应当遵守本规定。
第三条 计算机信息保密管理,实行控制源头、归口管理、分级负责、突出重点、有利发展的原则。
第四条 涉及公司秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行物理隔离。
第五条 涉及公司秘密的信息,不得在国际联网的计算机信息系统中存储、处理、传递。
第六条 上网信息的保密管理坚持“谁上网谁负责”的原则。凡向国际联网的站点提供或发布信息,必须经过保密审查批准。保密审批实行部门管理,相关分、支公司应当根据国家保密法规,建立健全上网信息保密审批领导责任制。提供信息的单位应当按照一定的工作程序,健全信息保密审批制度。
第七条 凡以提供网上信息服务为目的而采集的信息,除在其它新闻媒体上已公开发表的,组织者在上网发布前,应当征得提供信息单位的同意;凡对网上信息进行扩充或更新,应当认真执行信息保密审核制度。
第八条 凡在网上开设电子公告系统、聊天室、网络新闻组的部门和用户,应由相应的保密工作机构审批,明确保密要求和责任。任何部门和用户不得在电子公告系统、聊天室、网络新闻组 上发布、谈论和传播公司秘密信息。面向社会开放的电子公告系统、聊天室、网络新闻组,开办人或其上级主管部门应认真履行保密义务,建立完善的管理制度,加强监督检查。发现有涉密信息,应及时采取措施,并报告当地保密工作部门。
第九条 用户使用电子函件进行网上信息交流,应当遵守公司有关保密规定,不得利用电子函件传递、转发或抄送公司秘密信息。互联单位、接入单位对其管理的邮件服务器的用户,应当明确保密要求,完善管理制度。
海南省分公司综合部制定
按照县办文件《关于全县开展计算机保密检查的通知》精神,我乡严格按文件要求对我乡的计算机保密工作进行了自查,特汇报如下:
一、高度重视
作为政府机构,我乡党委、行政把保密工作作为一项重要工作常抓不懈。明确了保密工作的领导机构和人员,成立了由纪委书记徐元光任组长,办公室主任赵锐奇等为成员的安全保卫保密工作领导小组,制定了《高堡乡涉密计算机及网络管理制度》并且落实了保密工作岗位负责制和“属地管理”原则。做到了保密工作机构、人员、职责、制度“四落实”。
二、计算机保密管理现状
我乡机关共有计算机7台非涉密机算机7台。我乡所有电脑都配备了杀毒软件,能定期杀毒与升级。对于非涉密单机的管理,都设置了开机密码,并能作到定期更换,同时明确非涉密单机不得处理涉密信息。对于计算机磁介质(软盘、u盘、移动硬盘等)的管理,采取专人保管、涉密文件单独存放,严禁携带存有涉密内容的磁介质到上网的计算机上加工、贮存、传递处理文件。
到目前为止,我乡范围内未发生一起计算机泄密事故。
三、计算机保密工作落实情况
(一)以宣传教育为主导,强化保密意识
为加强计算机及其网络的保密管理,防止计算机及其网络泄密事件发生,确保国家秘密信息安全,在计算机网络管理人员以及操作计算机的领导干部、涉密人员中强化计算机保密安全意识,我乡采取多种方式,多渠道对计算机保密相关人员进行宣传教育。一是将《河南省计算机及其网络保密管理规定》予以转发至各办公室,要求结合实际,认真组织学习,并抓好贯彻落实。二是进行警示教育。
(二)以制度建设为保障,严格规范管理
加强制度建设,是做好计算机保密管理的保障。为了构筑科学严密的制度防范体系,不断完善各项规章制度,规范计算机及其网络的保密管理,我乡主要采取了以下几项措施:一是认真贯彻执行上级保密部门文件的有关项规定和要求,不断增强依法做好计算机保密管理的能力;二是制定《高堡乡涉密计算机及网络管理制度》;三是严格涉密信息流转的规范性,弥补管理上存在的空挡;四是针对信息发布中存在的不规范等问题,及时制定涉密信息发布审查制度,要求对上网信息严格审查、严格控制、严格把关,从制度上杜绝泄密隐患,做到“上网信息不涉密、涉密信息不上网”。
(三)以督促检查为手段,堵塞管理漏洞
为了确保计算机及其网络保密管理工作各项规章制度的落实,及时发现计算机保密工作中存在的泄密隐患,堵塞管理漏洞,我乡十分重视对计算机及其网络保密工作的督促检查,采取自查与抽查相结合,常规检查与重点检查相结合,定期检查与突击检查相结合等方式,对计算机及其网络管理制度的落实情况、涉密网络的建设和使用情况以及涉密计算机、涉密网络采取的管理和防范措施的落实情况进行检查。今年以来,我乡对全乡计算机及其网络的情况进行了进行了一次全面检查,通过检查,查找计算机保密工作中存在的管理漏洞,并整改到位。
第1条 为了加强知识产权保护,防止信息数据丢失和外泄,保持信息系统库正常运行,特制定安全保密制度。
第2条 安全保障对象包括办公场所安全,设备安全,软件安全,系统库安全,计算机及通信安全;保密对象包括档案资料,医疗数据资料,信息系统库资料。
第3条 信息中心主任、工程师必须严格执行国家的有关规定和院里的有关制度,认真管理档案、医疗数据资料、数据库系统。
第4条 信息中心的所有工作人员必须严格遵守院里的规章制度和信息中心的有关规定,认真做好档案、医疗数据资料、数据库系统的管理和维护工作。
第5条 未经院领导和信息中心负责人同意,非管理人员不得进入控制机房,不得擅自操作系统服务器、镜像服务器、应用服务器、控制服务器及控制机房的其他设备。
第6条 未经院领导和信息中心负责人同意,严禁任何人以任何形式向外提供数据。实行严格的安全准入制度,档案管理、信息系统管理、作业流程管理权限明确。管理者在授权范围内按资料应用程序提供数据。
第7条 档案资料安全保密管理,遵循《档案库房管理制度》、《保密守册》、《档案室职责》、《档案资料利用管理规定》、《档案安全消防措施》执行。
第8条 医疗数据资料、信息系统库资料,除参照执行第7条相关规定外,还应遵循:
第1款 资料建档和资料派发要履行交接手续。
第2款 原始数据、中间数据、成果数据等,应按规定作业流程办理。数据提供方要确保数据齐全、正确、安全、可靠;办公文员要对数据进行校验,注意
作业流程把关、资料完整性检查、数据杀毒处理;数据处理员要严格按照“基础地理信息系统建库技术规范” 要求作业;专检员要严格按照“资料成果专检”规定把关;系统入库员、系统管理员、网络管理员要保证入库、出库数据质量和数据安全保密。
第3款 定期对数据库进行检查、维护,发现问题及时解决和备案,保证数据库系统的正常运行。
第4款 未经许可数据库内的数据信息不得随意修改或删除,更不能对外提供。
第5款 除授权管理人员外,未经许可,任何人不能动用他人设备,不得通过网络(局域网、VPN虚拟专网、内部网等)联机调阅数据。
第6款 医疗数据资料按规定要求进行计算机建档和处理,数据入库后要及时删除工作终端中的原有数据。
第7款 严格遵守信息中心工作流程,不得做任何违反工作流程的操作。
第8款 定期对数据库的信息数据进行备份,要求每增加或更新批次,数据备份一次,包括异地热机备份和刻盘备份两种方式;每月定期刻盘两套,异地保存。
第9条 软件开发要求功能齐全、操作方便、容错能力强、运行效率高、安全保密性好,建库技术标准规范、应用服务体系完善。
第10条 信息中心办公场所要建立防火、防盗、防爆、防尘、防潮、防虫、防晒、防雷击、防断电、防腐蚀、防高温等基本防护设施。消除安全隐患,杜绝安全事故。
第11条 权限管理是生产有序进行和信息资料合法利用的有效保证。任何法人或自然人只能在授权范围操作。
第12条 权限管理从安全级别上分为绝密、机密、秘密;从适用对象上分为高级管理员、系统管理员、高级用户、中级用户、一般用户、特殊用户;从操作承载体上分为服务器(包括系统服务器、镜像服务器、应用服务器和控制服务器)、工作终端、用户终端;从设定内容上分为完全控制、权限设置变更废止、创建、删除、添加、编辑、更新、运行、读取、拷贝、其他操作。
第1款 安全级别中绝密资料内容包括用户名及密钥、信息系统库密钥、系统运行日志、控制信息资料;
第2款 设定内容中,完全控制是指对VPN虚拟专网中服务器(包括系统服务器、镜像服务器、应用服务器和控制服务器)、终端(包括工作终端和用户终端)有绝对控制权,包括IP地址、网关、DNS服务器地址、超级用户密码、系统库密码、操作系统、程序、信息数据的设定、修改、删除权利等;
第3款 高级管理员为最高权限人,设定权限为完全控制,即拥有对所有用户名及密钥管理,查看系统运行日志,拥有对服务器、终端的所有权限管理,即对绝密、机密、秘密资料拥有权限、创建、删除、添加、编辑、更新、运行、读取、拷贝及其他操作权;系统管理员权限包括对工作终端用户名及密钥管理,拥有对服务器(不包括控制服务器)和终端所有权限管理,即对机密、秘密资料拥有权限、创建、删除、添加、编辑、更新、运行、读取、拷贝及其他操作权;高级用户在本工作终端拥有对系统服务器中的机密、秘密资料进行编辑、更新、运行、读取、部分拷贝及其他操作权;中级用户在本工作终端拥有对系统服务器中的秘密资料进行更新、运行、读取、部分拷贝及其他操作权;一般用户在本工作终端拥有对系统服务器中的秘密资料进行读取、部分拷贝及其他操作权;特殊用户在本工作终端拥有对应用服务器中的机密资料进行读取、部分拷贝及其他操作权。
第13条 控制服务器中建立运行日志,以便记录系统运行痕迹。运行日志中至少包括各服务器开关记录及运行诊断情况记录;信息系统库运行情况记录;各终端访问系统服务器时的用户名、对象级别、访问内容、访问起止时间。运行日志中内容记录方式以时间为序。
第14条 强化信息安全保密管理,加强安全保密意识教育。因人为原因造成信息数据泄密及安全事故,追究当事人责任;触犯法律的,依法追究。
信息中心
为了保护我院信息安全,为了保护患者信息,防止计算机失泄密问题的发生,为了加强医院信息系统的领导和管理,促进医院信息化工程的应用和发展,保障系统有序运行, 根据卫生部医管司修订《医院工作制度与人员岗位职责》,信息安全等级保护管理办法(公通字[2007]43号)结合我院实际,制定本制度。
一、计算机网络信息安全保密管理规定
(1)为防止病毒造成严重后果,对外来光盘、软件要严格管理,原则上不允许外来光盘、软件在我院计算机上使用。确因工作需要使用的,事先必须进行防(杀)毒处理,证实无病毒感染后,方可使用。
(2)接入本院网络的计算机严禁将计算机设定为网络共享,严禁将文件设定为网络共享文件。
(3)为防止黑客攻击和网络病毒的侵袭,接入本院网络的计算机一律安装杀毒软件,并要定时对杀毒软件进行升级。
(4)禁止将文件存放在网络共享硬盘上。(5)保密级别材料可通过本院内网OA软件,严禁院内材料通过电子信箱、QQ等网上传递和报送。
(6)计算机严禁直接或间接连接外网和其他公共信息网络,必须实行物理隔离。
(7)要坚持“谁上网,谁负责”的原则,信息上网必须经过信息科及主管院长审查,并经主管院长批准。
(8)外网必须与涉密计算机系统实行物理隔离。
(9)在与外网相连的信息设备上不得存储、处理和传输任何涉密信息。(10)应加强对上网人员的保密意识教育,提高上网人员保密观念,增强防范意识,自觉执行保密规定。
二、计算机维修维护管理规定
(1)计算机和存储介质发生故障时,应当向信息科提出维修申请,经批准后到指定维修地点修理,一般应当由信息科人员实施,须由外部人员到现场维修时,整个过程应当有信息科人员全程旁站陪同,禁止外来维修人员读取和复制被维修设备中的信息,维修后应当进行检查。
(2)信息科应将本院所属科室设备的故障现象、故障原因记录在设备的维修档案记录本上。
(3)凡需外送修理的设备,必须经信息科和主管领导批准,并将文件进行不可恢复性删除处理后方可实施。
(4)如不能保证安全保密,应当办理审批手续,由专人负责送到信息科予以销毁。
(5)由信息科工作人员负责办公室计算机软件的安装和设备的维护维修工作,严禁使用者私自安装计算机软件和擅自拆卸计算机设备。
(6)计算机的报废由信息科专人负责。
三、用户密码安全保密管理规定
(1)用户密码管理的范围是指办公室所有计算机所使用的密码。
(2)计算机的密码管理由信息科负责,计算机的密码管理由使用人负责。(3)用户密码使用规定
1)密码必须由数字、字符和特殊字符组成;
2)计算机设置的密码长度不能少于8个字符,密码更换周期不得多于30天;
3)计算机设置的密码长度不得少于10个字符,密码更换周期不得超过7天;
4)计算机需要分别设置BIOS、操作系统开机登录和屏幕保护三个密码。(4)密码的保存 1)计算机设置的用户密码由使用人自行保存,严禁将自用密码转告他人;若工作需要必须转告,应请示信息科工作人员认可;
2)计算机设置的用户密码须登记造册,并将密码本存放于文件柜内,由信息科管理。
四、涉密电子文件保密管理规定
(1)涉密电子文件是指在计算机系统中生成、存储、处理的机密、秘密和内部的文件、图纸、程序、数据、声像资料等。
(2)电子文件的密级按其所属项目的最高密级界定,其生成者应按密级界定要求标定其密级,并将文件存储在相应的目录下。
(3)各用户需在本人的计算机系统中创建“机密级文件”、“秘密级文件”、“内部文件”三个目录,将系统中的电子文件分别存储在相应的目录中。
(4)电子文件要有密级标识,电子文件的密级标识不能与文件的正文分离,一般标注于正文前面。
(5)电子文件必须定期、完整、真实、准确地存储到不可更改的介质上,并集中保存,然后从计算机上彻底删除。
(6)各院内科室自用信息资料由本部门管理员定期做好备份,备份介质必须标明备份日期、备份内容以及相应密级,严格控制知悉此备份的人数,做好登记后进保密柜保存。
(7)各部门要对备份电子文件进行规范的登记管理。每周做增量备份,每月做全量备份;备份可采用磁盘、光盘、移动硬盘、U盘等存储介质。
(8)涉密文件和资料的备份应严加控制。未经许可严禁私自复制、转储和借阅。对存储涉密信息的磁介质应当根据有关规定确定密级及保密期限,并视同纸制文件,分密级管理,严格借阅、使用、保管及销毁制度。
(9)备份文件和资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施,并进行异地备份。
五、涉密计算机系统病毒防治管理规定
(1)涉密计算机必须安装经过信息科许可的查、杀病毒软件。(2)每周升级和查、杀计算机病毒软件的病毒样本。确保病毒样本始终处于最新版本,同时将升级记录登记备案。
(3)绝对禁止计算机在线升级防病毒软件病毒库,同时对离线升级包的来源进行登记。
(4)每周对计算机、服务器病毒进行一次查、杀检查,并将查、杀结果登记造册。
(5)计算机、服务器应限制信息入口,如软盘、光盘、U盘、移动硬盘等的使用。
(6)对必须使用的外来介质(磁盘、光盘,U盘、移动硬盘等),必须先进行计算机病毒的查、杀处理,然后才可使用。
(7)对于因未经许可而擅自使用外来介质导致严重后果的,要严格追究相关人员的责任。
六、上网发布信息保密规定
(1)上网信息的保密管理坚持“谁发布谁负责”的原则。凡向外网站点提供或发布信息,必须经过信息科审查,报主管院长批准。提供信息的部门应当按照一定的工作程序,健全信息审批制度。
【计算机信息安全保密审计报告】推荐阅读:
计算机信息安全自荐信05-31
保密制度计算机公司09-15
计算机信息技术在食品安全控制中的应用07-19
计算机审计发展09-23
审计署计算机中级培训心得体会06-27
试析计算机检察信息系统10-04
计算机信息管理专业求职简历07-22
计算机信息系统集成合同09-21
计算机信息管理专业论文选题10-24
计算机信息管理专业个人简历模版06-05
