it信息安全与保密管理(精选12篇)
为了保护我院信息安全,为了保护患者信息,防止计算机失泄密问题的发生,为了加强医院信息系统的领导和管理,促进医院信息化工程的应用和发展,保障系统有序运行, 根据卫生部医管司修订《医院工作制度与人员岗位职责》,信息安全等级保护管理办法(公通字[2007]43号)结合我院实际,制定本制度。
一、计算机网络信息安全保密管理规定
(1)为防止病毒造成严重后果,对外来光盘、软件要严格管理,原则上不允许外来光盘、软件在我院计算机上使用。确因工作需要使用的,事先必须进行防(杀)毒处理,证实无病毒感染后,方可使用。
(2)接入本院网络的计算机严禁将计算机设定为网络共享,严禁将文件设定为网络共享文件。
(3)为防止黑客攻击和网络病毒的侵袭,接入本院网络的计算机一律安装杀毒软件,并要定时对杀毒软件进行升级。
(4)禁止将文件存放在网络共享硬盘上。(5)保密级别材料可通过本院内网OA软件,严禁院内材料通过电子信箱、QQ等网上传递和报送。
(6)计算机严禁直接或间接连接外网和其他公共信息网络,必须实行物理隔离。
(7)要坚持“谁上网,谁负责”的原则,信息上网必须经过信息科及主管院长审查,并经主管院长批准。
(8)外网必须与涉密计算机系统实行物理隔离。
(9)在与外网相连的信息设备上不得存储、处理和传输任何涉密信息。(10)应加强对上网人员的保密意识教育,提高上网人员保密观念,增强防范意识,自觉执行保密规定。
二、计算机维修维护管理规定
(1)计算机和存储介质发生故障时,应当向信息科提出维修申请,经批准后到指定维修地点修理,一般应当由信息科人员实施,须由外部人员到现场维修时,整个过程应当有信息科人员全程旁站陪同,禁止外来维修人员读取和复制被维修设备中的信息,维修后应当进行检查。
(2)信息科应将本院所属科室设备的故障现象、故障原因记录在设备的维修档案记录本上。
(3)凡需外送修理的设备,必须经信息科和主管领导批准,并将文件进行不可恢复性删除处理后方可实施。
(4)如不能保证安全保密,应当办理审批手续,由专人负责送到信息科予以销毁。
(5)由信息科工作人员负责办公室计算机软件的安装和设备的维护维修工作,严禁使用者私自安装计算机软件和擅自拆卸计算机设备。
(6)计算机的报废由信息科专人负责。
三、用户密码安全保密管理规定
(1)用户密码管理的范围是指办公室所有计算机所使用的密码。
(2)计算机的密码管理由信息科负责,计算机的密码管理由使用人负责。(3)用户密码使用规定
1)密码必须由数字、字符和特殊字符组成;
2)计算机设置的密码长度不能少于8个字符,密码更换周期不得多于30天;
3)计算机设置的密码长度不得少于10个字符,密码更换周期不得超过7天;
4)计算机需要分别设置BIOS、操作系统开机登录和屏幕保护三个密码。(4)密码的保存 1)计算机设置的用户密码由使用人自行保存,严禁将自用密码转告他人;若工作需要必须转告,应请示信息科工作人员认可;
2)计算机设置的用户密码须登记造册,并将密码本存放于文件柜内,由信息科管理。
四、涉密电子文件保密管理规定
(1)涉密电子文件是指在计算机系统中生成、存储、处理的机密、秘密和内部的文件、图纸、程序、数据、声像资料等。
(2)电子文件的密级按其所属项目的最高密级界定,其生成者应按密级界定要求标定其密级,并将文件存储在相应的目录下。
(3)各用户需在本人的计算机系统中创建“机密级文件”、“秘密级文件”、“内部文件”三个目录,将系统中的电子文件分别存储在相应的目录中。
(4)电子文件要有密级标识,电子文件的密级标识不能与文件的正文分离,一般标注于正文前面。
(5)电子文件必须定期、完整、真实、准确地存储到不可更改的介质上,并集中保存,然后从计算机上彻底删除。
(6)各院内科室自用信息资料由本部门管理员定期做好备份,备份介质必须标明备份日期、备份内容以及相应密级,严格控制知悉此备份的人数,做好登记后进保密柜保存。
(7)各部门要对备份电子文件进行规范的登记管理。每周做增量备份,每月做全量备份;备份可采用磁盘、光盘、移动硬盘、U盘等存储介质。
(8)涉密文件和资料的备份应严加控制。未经许可严禁私自复制、转储和借阅。对存储涉密信息的磁介质应当根据有关规定确定密级及保密期限,并视同纸制文件,分密级管理,严格借阅、使用、保管及销毁制度。
(9)备份文件和资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施,并进行异地备份。
五、涉密计算机系统病毒防治管理规定
(1)涉密计算机必须安装经过信息科许可的查、杀病毒软件。(2)每周升级和查、杀计算机病毒软件的病毒样本。确保病毒样本始终处于最新版本,同时将升级记录登记备案。
(3)绝对禁止计算机在线升级防病毒软件病毒库,同时对离线升级包的来源进行登记。
(4)每周对计算机、服务器病毒进行一次查、杀检查,并将查、杀结果登记造册。
(5)计算机、服务器应限制信息入口,如软盘、光盘、U盘、移动硬盘等的使用。
(6)对必须使用的外来介质(磁盘、光盘,U盘、移动硬盘等),必须先进行计算机病毒的查、杀处理,然后才可使用。
(7)对于因未经许可而擅自使用外来介质导致严重后果的,要严格追究相关人员的责任。
六、上网发布信息保密规定
(1)上网信息的保密管理坚持“谁发布谁负责”的原则。凡向外网站点提供或发布信息,必须经过信息科审查,报主管院长批准。提供信息的部门应当按照一定的工作程序,健全信息审批制度。
我军的驻扎点分散在全国许多地区, 有些军队靠近城镇, 有些甚至就驻扎在繁华的大中城市中心。由此可见, 我军的驻扎点和周围环境比较复杂, 并且能够出现在目视范围之内。尤其是一些涉密的军事部队附近, 有许多涉外机构和境外工作者。与此同时, 我军的驻扎地点已经实施了后勤保障社会化, 由地方的一些企业来承担部队单位的餐饮、保洁、维护以及重要工程的建设等。这些新的形势使得我军的驻扎地点具备越来越高的开放性, 也存在越来越复杂的工作者结构, 这些特点都对部队的信息安全保密工作带来了巨大的安全隐患。
2新形势下部队信息安全保密存在的主要问题
2.1部队的信息安全保密技术防范能力有待加强
我军信息系统安全保密技术防范能力不强, 尤其是还没有真正实现安全与保密的一体化建设。另外, 我军军事信息系统安全保密建设仍然缺乏全局性、相对统一、广泛适应、严密科学的安全保密机制。与此同时, 我国从美国进口的计算机、交换机、路由器, 给部队的信息安全保密工作埋下了非常巨大的安全隐患。在当前形势下, 我军所使用的计算机Windows操作系统和奔腾CPU处理器都是由美国的著名企业制造的, 美国的部分著名企业都在他们各自的新产品中不约而同地预留了会泄露我军重要资料的“后门”。
2.2部队高素质的信息安全保密人才比较缺乏
在现阶段, 虽然我军每年都会对信息安全保密工作者进行培训, 然而, 培训的力度和范围仍然很难满足部队信息安全保密工作的现实需求。另外, 在我军中, 进行信息安全保密工作的相关人才是严重缺乏的, 特别是缺乏计算机互联网环境下的密码学人才、信息对抗人才以及安全体系结构人才, 这是非常不适合现阶段我国日益复杂的信息安全保密形势的。
2.3部队官兵对信息安全保密管理的重要性认识不到位
根据目前我军信息安全保密工作的具体情况, 能够发现, 部队官兵对信息安全保密管理的重要性认识不到位, 部分部队官兵保密意识不强, 对于部队信息安全保密工作的正常开展起到非常严重的阻碍作用。具体来说, 部分部队官兵擅自携带秘密文件外出办公甚至是长途旅行, 部分部队官兵随意通过手机来探讨涉密问题, 甚至部分部队官兵将涉密资料当作废品出售。
3新形势下部队信息安全保密的策略分析
3.1增强部队的信息安全保密技术防范能力
国家要加强对于信息安全保密技术和相关保密产品的重视, 通过大力支持科学研究工作, 努力为我军信息安全保密机制的建设奠定良好的技术基础, 实现我军信息安全保密技术防范能力的全面提升。一方面, 必须尽快研究部队信息安全保密专用芯片的制造技术, 这是增强部队的信息安全保密技术防范能力的关键所在, 对我军信息安全保密技术防范能力的提升具有重要意义。另一方面, 必须研究安全路由器、防火墙、虚拟专用网和安全服务器等一系列计算机互联网安全产品, 并且研究出新型的适合我国部队的信息安全保密软件。与此同时, 应该研究空间信息系统安全防御技术, 从而切实保障我国部队运行于太空的各种航天器和地面航天基地设施的安全, 避免受到国外敌对势力的干扰、捕获、侦察、摧毁和破坏。另外, 在信息传输方式方面, 可以利用自适应调零天线技术、星上处理技术等新型的卫星通信技术;在防御攻击方面, 可以利用光电隐身、激光干扰与致盲、军事目标伪装、光电假目标、反空间信息侦察、卫星抗扰和电磁防护等新型技术。
3.2培养部队高素质的信息安全保密人才
应该将培养部队高素质的信息安全保密人才, 作为进行我军信息安全保密管理工作的重要着力点。具体来说, 可以通过以下3种方式来培养部队高素质的信息安全保密人才。
第一种方式就是通过高等院校进行培养, 这是培养部队高素质的信息安全保密人才的最关键途径。在高等院校, 存在着一些有关信息安全保密技术的专业, 比如信息安全、密码等, 可以通过合理设置这些高等院校的专业来建立一个完整的从本科、硕士到博士的部队高素质的信息安全保密人才培养机制。第二种方式就是通过短期集训进行培养。可以通过比较短的时间, 让部队的部分优秀信息安全保密人才来重点学习信息安全保密工作方面的新理论、新知识、新技术, 进一步提升他们进行信息安全保密工作的能力。第三种方式就是通过在实践中自学。让部队的信息安全保密人才通过他们的具体工作实践来进行自学是让他们积累进行信息安全保密工作经验的一个必由之路。部队信息安全保密人才要结合工作需要和个人实际, 充分利用时间和各种条件来加强对于部队的信息安全保密知识的学习, 并且做到理论联系实际, 真正提升他们自身进行部队信息安全保密工作的能力, 从而成为高素质的信息安全保密管理人才。
3.3加强部队官兵的信息网络安全保密教育
要定期和不定期地开展信息安全保密教育, 普及信息安全保密知识, 切实提高我军官兵的信息安全保密观念和警觉性。要组织开展针对性、科学性强的多种形式的宣传、教育、学习活动, 结合分析典型泄密事件, 提高所有部队官兵对部队信息安全保密重要性和泄密危害性的认识。与此同时, 结合信息时代的形势和特点, 有效地开展部队信息安全保密教育。另外, 也可以通过举办信息安全技术培训、组织专家到基层部队宣讲信息安全保密知识、举办“网上信息战知识竞赛”等各种各样的活动, 来保证广大官兵牢固树立“信息安全领域没有和平期, 保密就是保打赢”的观念, 在部队官兵头脑中筑起部队信息安全保密的“防火墙”。
4结束语
本文结合新形势下部队信息安全保密的特点, 通过分析新形势下部队信息安全保密存在的主要问题, 对新形势下部队的信息安全保密管理进行了较为系统的研究, 得出了新形势下部队信息安全保密的策略。
参考文献
[1]孙厚钊.军队信息安全保密浅探[J].安徽电子信息职业技术学院学报, 2004 (Z1) .
[2]曹锐, 孙厚钊.军队信息安全保密防线的探讨[J].网络安全技术与应用, 2006 (08) .
[3]刘德祥.信息化条件下军队计算机信息安全保密研究[A].节能环保, 和谐发展——2007中国科协年会论文集 (一) [C].2007.
[4]刘殿飞, 伍飞.浅谈通信系统信息安全的技术对策[J].中小企业管理与科技 (上旬刊) , 2010 (4) .
[5]周孟雷.江泽民国防科研和武器装备建设思想研究[J].中共云南省委党校学报, 2008 (5) .
一、适应形势需要,构筑强大的人事信息安全网络
目前,人事档案中的某些数据已经实现了联网,如公安部门已经建立的覆盖人事档案的信息系统,将整合个人信息资源,提供高效、快捷的服务和应用。但在个人信息电子化的过程中,个人信息泄漏成为最突出的问题,由于网络的共享性而造成的个人信息泄漏事件往往给个人及单位造成麻烦及致命打击。而且随着网络规模的日益扩大及深入应用,各单位自身对网络依赖程度将越来越高,网络结构及使用日趋复杂,网络安全问题越来越突出。近几年,个人信息的泄露已成为较严重的问题。2013年2月28日广州日报刊登了这样一则消息——“中国人寿个人信息泄露,80万份保单可上网任意查”的消息,据消息称有的人莫名收到一份免费保单,或刚在银行办完业务就接到保险公司的推销电话。中国人寿相关负责人回应称此问题因系统升级操作失误所致。目前,发生问题的查询模块已关闭。公司就此事公开道歉。由此看来人事档案个人情况信息化是把“双刃剑”,一方面个人信息资源共享可以实行资源整合,方便快捷查询;另方面,若保密安全防范措施做的不到位,人为失误,那么个人信息就会泄露,后果则不堪设想。
当今单位网络所面临的威胁主要可以分为对网络中设备的威胁和对网络中数据的威胁。因此,信息系统的安全性可分为物理安全和信息安全。
网络中的物理威胁主要包括对硬件设施、网络本身以及其它能够被利用、被盗窃或者可能被破坏的设备的威胁。信息安全主要对信息系统及数据实施安全保护,保证在意外事故及恶意攻击下系统不会遭到破坏,个人及单位数据信息不会泄露,保证信息的保密性、完整性和可用性。信息安全主要面临有病毒及黑客的攻击、人为恶意攻击、非法将信息泄露。其中病毒可以借助文件、网页、移动介质等诸多方式在网络中迅速进行传播和蔓延,具有隐蔽性强、传播速度快,破坏力大的特点,单位内部网络一旦受感染,就会利用被控制的计算机,破坏数据信息,造成网络性能下降、系统瘫痪、数据丢失及个人信息泄露事件。但真正的威胁还是来自内部。人为的恶意攻击是计算机网络所面临的最大威胁。如,对网络未采取有效的防范措施,系统共享情况比较普遍,缺乏有效的访问权控制等。此外信息安全意识和认识不足,网络安全基础设施利用和资金投入不足等非技术层面购成的网络信息安全缺陷也严重威胁个人信息系统的安全保密性。
二、加强对个人信息安全保密管理的督查力度,建立个人信息安全泄密隐患预警机制
在政务公开的背景下,人事档案部门应该积极探索增加人事档案透明度的方法,既不违背党和国家人事档案管理的有关规定,确保人事档案的安全,又通过人力资源信息系统的平台中,达到权限范围内的人力资源信息共享。人事信息系统必须采取安全有效的防范措施,防范非法人员冒用授权用户合法身份登录信息系统,窃取敏感信息。如何有效地管理人事档案的个人信息系统平台,提高系统的安全保密性,确保单位人力资源信息资源利用能够更加可靠、正常、高效地运行?这是一个集技术、管理、法规综合作用为一体的、长期的、复杂的系统工程。我认为主要应做好以下三点工作:
1.建立健全组织体系
单位应成立由法人代表或主要负责人担任组长的“人力资源信息系统安全保密工作领导小组,由人力资源处、保密办、信息化等有关部门人员共同组成,负责组织协调整个信息系统的安全工作,明确小组成员的具体职责和分工,形成层次清晰、职责明确的人力资源信息安全责任体系。
2.建立人事信息系统安全保密管控体制
在技术上采取隔离技术、鉴别技术、控制技术、加密技术、防漏技术等措施予以管控,防范个人信息泄漏;在管理上,建立健全“既满足单位实际需要,又符合国家有关人事信息系统安全保密管理策略和相关制度的要求。
3.加强对个人信息安全保密管理的督查力度
将人事信息系统安全保密工作执行情况纳入年底工作考核和评先评优的内容,设置考核标准,制定评分细则;建立相互关联的考核机制、奖惩机制、内审机制、日常检查机制、违规事件查处机制,个人信息泄露隐患预警机制,为在人事档案信息化进程中维护个人信息安全方面提供强有力的保障。
信息化网络运行维护与信息安全保密
管理制度
为规范我局信息化管理工作,使信息管理平台更好更安全的服务于工作,特制定以下管理制度:
1、数据保密。根据数据的保密规定和用途,确定数据使用人员的存取权限、存取方式和审批手续。
2、禁止泄露、外借和转移专业数据信息。
3、各科(室)站应制定业务数据的更改审批制度,未经批准不得随意更改已在中心域网内公布的业务数据。
4、各科(室)站与因特网连接的计算机不得录入机密文件和涉密信息。
5、加强信息设备使用、维护、安全的管理。
6、明确专人操作、使用、管理信息设备,做到制度落实、职责明确,按规范要求操作、保养。
7、严格执行规章制度,保证计算机系统安全运行。严禁将电脑用于私人学习或玩游戏。发现故障及时报请维修;发生事故妥善处理,并保护好现场。
8、启动设备前,先做状态检查,确认正常再开机。关闭系统时,按规定程序操作。严禁在通电情况下拆卸、移动、擦拭设备,严禁带电插拔电缆线。
9、正确应用各类软件,积极参与相关培训,及时做好系统优化、版本升级、设备维护工作。
10、严格遵守保密制度。对有关数据进行加密处理,定期或不定期地更换保密方法或密码口令。未经有关领导批准,不予查询、打印有关保密资料,不得泄露网络登录用户名和密码。未经许可,不得私自将计算机接入网络,不得将机器设备和数据带出机房。
11、定期对计算机进行查、杀病毒,定期对设备内部进行清扫。定期开机检测长期不使用设备。
12、建立信息收发责任制,确保中心信息、工作情况及时、准确地上传下达。
1、实行信息安全保密责任制,确保网络与信息安全保密的责任到位。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。
2、网站内容更新全部由公司正式工作人员完成,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站所有信息发布之前都经分管领导审核批准。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我公司网站散布相关法律法规明令禁止的信息(即“九不准”),一经发现,立即删除。
3、遵守对网站服务信息监视,保存、清除和备份的制度。开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。
4、所有信息都及时做备份。按照国家有关规定,网站服务系统将保存5个月以内的系统及用户收发网站记录。
柳立强 刘 清 武瑞凯
信息化条件下,军事秘密面临的风险不断加大,无意识泄密、间接泄密、计算机网络泄密等现象时有发生,给部队信息安全保密工作带来了严重挑战。信息安全保密风险管理从风险识别出发,对军事秘密面临的风险进行客观地全面分析和评估,并对风险实施有效控制,变事后补救为事先防范,这是形势发展的需要,是确保军事秘密安全的需要,也是做好信息化条件下部队保密工作的必然要求。
一、系统识别,找出部队信息安全保密重要风险
信息安全保密风险识别是指运用有关知识、方法、系统、全面和连续地发现部队军事秘密面临的风险。风险识别是风险管理的首要步骤。部队保密工作面临的风险是错综复杂的,需要进行认识和辨别。只有全面、准确地发现和辨识风险,才能进行风险评估和选择风险控制的措施。风险识别的方法有很多,比如保密清单损失法、专家调差分析法、经典案例分析法、等级全息建模法等等,不管用哪种方法,都要系统的识别以下几个方面。
1.对保密资产的识别。保密资产就是要保护的秘密资产。主要包括涉密的电子文档、涉密的实体信息以及涉密的装备设施等。一个单位保密资产越多,秘密的级别越高,保密的风险就越大,需要采取的措施就要更严密。
2.对资产脆弱性的识别。要清楚这些保密资产它们的弱电在哪里,也就是说,这些保密资产哪些方面容易被敌对势力利用。一般情况下,可以将脆弱性分为技术脆弱性和管理脆弱性两类。技术脆弱性主要是保护资产所涉及到的所有设备,包括移动载体、计算机网络、通信设备等本身所存在的一些技术隐患,比如一些后门程序等。管理的脆弱性主要是规章制度、责任区分等问题,要识别出在这些方面部队有哪些弱点。
3.对威胁的识别。威胁是指可能对保密资产或组织造成损害的一种潜在的侵害。比如信息泄露、信息破坏等。这些侵害有些是非人为,可能是无意识的行为,有些是故意的,是敌方情报机关或者我方人员有意识的行为。以上关于保密资产、脆弱性以及威胁的识别,不仅要清楚它们单个因素的种类,同是还要结合部队已有的安全措施,找出威胁利用脆弱性的可能性,以及发生以后对保密资产可能造成的损失,这就是保密风险。这些风险因素有很多,要通过进一步的识别,找出一些发生可能性大并且发生以后对保密资产影响较大的风险,也就是重要风险,将其进行评估。
二、量化评估,确定部队信息安全保密风险等级
在对信息安全保密风险进行充分的认识和分析之后,就应该对风险进行量化评估,确定保密的风险等级。保密风险评估综合分析资产、威胁、脆弱性、安全措施,判断系统风险,为部队识别安全重点、选择合理使用是安全对策提供依据,是保密风险管理的基础。
1.建立合理的评估指标体系。指标体系的建立对于风险的定量化评级至关重要。建立的指标不合理、不科学,即使评估的方法再科学,也会偏离评估的方向。风险识别阶段已经将保密重要风险因素进行了筛选,可依据筛选的这些风险因素进行归类。对哪些风险应该属于什么类别,要做到心中有数,这样便于评估,同事也便于制定合理的措施。风险从组织领导、保密环境、涉密岗位人员、技术条件、制度建设等方面进行归纳,形成保密风险的一级指标,再将一级指标进行系统归类,细分出更多的指标。
2.选择合适的评估方法。目前在风险评估领域评估方法已经十分广泛。部队在保密风险评估工作中起步较晚,但是这些方法可以借鉴。模糊综合评判法可以很好的解决保密风险评估量化问题。将建立的底层保密风险评估指标让专家打分,根据打分的情况利用模糊数学的一些方法进行处理,再通过底层指标的风险计算一级指标值,最终得出部队的保密风险综合值。
3.对评估的结果进行认真分析。风险评估一般将单位的风险状况区分为很低、低、中、高、很高五个等级。要根据评估的结果分析是什么原因导致的,对这些原因进行分析,进而找出影响评估结果的关键因素,为实施风险控制提供思路。
三、综合控制,规避和降低部队信息安全保密风险
在部队信息安全保密风险进行定量化评估以后,就应该根据风险评估的结果,对重要风险进行规避或降低,将保密风险控制在可接受范围内。风险控制是一个系统工程,不仅要找出风险和控制措施间的有效对应关系,还要从单位的保密文化环境、防范体系、防范策略等多方面进行综合控制,这样才能做到有的放矢,提高保密控制的效果。
1.营造信息安全保密的文化环境。忽略了官兵的信息安全保密意识和安全保密技能的提高,安全措施就不可能有效的发挥作用。通过对部队发生的失泄密事故调查和分析,大部分原因都是由人的因素引起的,这其中包括保密意识的淡薄和保密技能的缺失。因此,要制定周密的计划,通过安全教育和技能培训,提高官兵的信息安全保密意识和应对保密风险控制的技能,使遵守各种保密制度成为官兵的一种习惯,从而形成良好的保密文化环境。
2.构建全维实时的信息安全保密风险防范体系。要从组织领导、技术条件、管理制度、保密法规等各个方面,综合运用各种手段,实时监督各类安全措施的执行,落实安全奖惩措施,不断削除信息安全保密风险管理中的弱点。
3.注意防范策略的灵活运用。防范策略主要包括规避风险、降低风险和接受风险。信息安全保密工作中有些风险属于高风险,对于这类风险情况,可采取规避的方法,减少部队的损失;有些风险情景是部队在训练、演习、学习等工作中必须面对的,这时主要采取相应的安全措施来降低风险,使其控制在部队能接受的范围;有些风险是无法消除的,这时部队要勇敢面对,但是要实时监控,使其不影响保密工作的总体成效。
1 信息安全概念
指保护信息及信息系统在信息存储、处理、传输过程中不被非法访问或修改, 且对合法用户不发生拒绝服务的相关理论、技术和规范。它涵盖信息、信息载体、信息环境和接触信息的人的安全。
2 信息安全保密体系
随着信息技术的发展和系统规模、功能的不断演进, 系统安全风险始终存在, 从物理安全、平台安全、网络安全、数据安全和管理安全等不同层面, 必须建立起保护、检测与响应的动态安全保障体系, 运用技术控制风险, 实现系统可用性、完整性、机密性和可审计性等安全保密服务。服务体系:主要包括技术检查、调查取证、风险管理、系统测评、应急响应和咨询培训等。技术体系:包括物理的、平台的、数据的、通信的和网络的安全保密技术5类。管理体系:涉及4方面技术、制度、资产、风险。
3 信息系统安全保密技术检查
3.1 物理安全
3.1.1 场所
遮障和伪装等防窃照措施, 监控有无盲区;传感器监控分布的合理性, 传感器或报警器有无损害;电话电磁泄漏检查;采用反窃听器材和技术检查窃听设备, 主要采用环境检查、场强测试、非线性结探测等手段实施。检测音响设备寄生振荡电磁泄漏辐射, 新购设备使用前检查一次, 以后每2~3年再查一次。
3.1.2 涉密载体
①存放的硬件设施和环境, 按照“三铁一器”要求保障场所安全, 配备保密文件柜、碎纸机等;②存放、使用和管理情况, 是否采用防盗、防复制或防复印技术措施;③销毁须严格按程序进行, 其技术手段和效果应符合相关技术标准和规定。
3.1.3 电磁信号
主要的性能测试指标包括辐射发射特性、传导发射、视频信息还原、方向性、声光报警、重复性测试等。
3.2 平台安全
3.2.1 物理硬件
查看计算机机房环境、系统 (尤指服务器系统) 、终端及外设、电缆等安全隐患, 计算机系统的管理:机房安全等级;机房周围——环境的安全性;地质可靠性;场地抗电磁干扰性;强振动源和强噪声源;建筑物的选择等;设备技术检测——应确保设备在测试环境下经72h以上单机运行和联机48h应用系统兼容性运行测试, 并顺利通过试运行阶段。
3.2.2 系统软件
查看安全技术措施有效。①主机安全扫描和漏洞弥补——检测主机系统存在的漏洞、打补丁;安装防病毒工具;判断主机是否存在安全隐患。②访问控制策略检查——为防止对计算机信息系统的未经授权的访问, 需要建立一套控制对信息系统和服务的访问权限分配程序, 实现对系统的访问控制。
3.3 数据安全
3.3.1 认证安全
通过消息认证、数字签名、数据校验等技术手段, 检测数据的完整性、保密性和可用性。
3.3.2 密钥安全
密钥管理的原则, 通常有:最小特权原则、特别分散原则、最小设备原则、不影响系统正常工作原则。密钥安全性方面:存储密钥介质严加保护并以加密形式存储;其存储方式不能被非授权人员获得;密钥分配在通信网内通过机要传递渠道或采用加密算法;密钥更换过程有正确性检查机制, 根据密钥种类、系统要求确定其更换周期。
3.3.3 数据备份与灾难恢复
策略和计划要充分考虑其完备性和机密性。设备是否足够先进, 有无泄密的可能。操作流程有无泄密环节, 操作人员有无泄密可能。
3.3.4 通信安全
通过技术手段对涉密通信设备、设施、网络、系统等技术对象和目标进行检测, 及时发现问题和漏洞, 做到情况清楚、弱点明确, 为采取技术防护措施打下良好基础。
防技术泄密:检查通信网络传输涉密信息状况, 确保通信传输线路符合标准 (线路噪声不能超标) ;铺设通信线路应采用屏蔽电缆并有露天保护或埋于地下, 以降低载波辐射;远离强电线路或强电磁场发射源, 减少干扰引起的数据错误。
防技术窃密:包括主动式和被动式。主动式可侦知窃密装置和窃密技术。被动式能接收或感知窃密手段的威胁, 但不一定能侦知窃密源。
3.5 网络安全
网络安全扫描:模拟网络攻击手段对涉密网络进行攻击, 以主机接收数据包的回应作为判断标准, 对网络上各种网络设备与主机系统等开放的端口、服务以及各种应用程序的弱点, 在对攻防效果进行评估和分析的基础上提出需要增强的防范措施等。
采用网络监控工具:分析网络流量, 捕捉和分析网络数据, 监控是否涉密信息泄露。工具分两类:①基于软件实现的网络分析监控工具, 依赖网络操作系统, 提供数据捕获、分析、发现节点、流量转向、记录、报警和利用率预测等功能;②基于硬件实现的网络监视器和网络分析仪, 实现网络监控软件的全部功能, 且不依赖网络操作系统, 具有可移动性, 较网络监视软件更有优势。
4 信息系统安全风险管理
风险是一种潜在的、尚未发生但可能发生的安全事件。安全的信息系统, 是指在实施网络评估并做出风险控制后, 仍然存在的残余风险可被接受的信息系统。风险管理体系:包括风险评估和风险控制, 评估是信息安全风险管理的起点, 控制是落脚点。涉密信息系统评估方法:从系统拥有者角度分为自我评估、委托评估和检查评估3种。涉密信息系统评估方法:从系统拥有者角度分为自我评估、委托评估和检查评估3种。
自我评估是指定本机构信息系统安全管理人员, 在信息系统运行维护中使用相应的安全风险评估工具, 按规范进行。优点是可方便地进行经常性的评估, 及时采取对策降低安全风险的一种“自查自纠”方式。一般不会因引入评估带来新的风险, 缺点是专业性和客观性稍差。
委托评估即委托具有相应资质的评估单位, 按规范独立进行。优点是专业性、公证性和客观性较强, 需注意对评估可能引入的新风险, 要加强控制。“委托评估”从保密管理的要求来看不适于部队。
检查评估是信息系统拥有者的上级机关, 国家或军队赋予信息安全管理职能机关授权的评估单位根据一定的管理权限和程序, 按规范独立进行的评估活动。优点是专业性、公证性和客观性较强, 一般不会因引入评估带来新的风险。
自我评估是涉密信息系统拥有者进行的日常评估, 因此, 在国家和军队保密局指导和相关保密标准的指引下, 军队各部门各单位对所拥有的涉密信息系统进行自我评估应成为安全风险评估的主要方式。
检查评估是国家和军队保密局授权的, 专门评估机构“国家和军队保密局涉密信息系统安全保密测评中心”实施。可在已建涉密信息系统安全改进方案设计前进行, 作为方案设计的依据;可在已建涉密信息系统安全审批运行前进行, 作为保密局审批的依据;也可在已建涉密信息系统开通运行一段时间后进行, 作为控制新的安全风险的依据。
摘要:解决信息安全保密的问题, 必须基于信息技术的特点, 实施“工程化”的可靠管理和“过程化”的反馈控制。具体表现在:建立信息安全保密体系框架、对信息安全保密实施风险管理、增强对信息系统的安全控制。
关键词:技术检查要点,风险管理,评估,系统测评
参考文献
[1]王宇, 阎慧.信息安全保密技术[M].北京:国防工业出版社, 2010.
[2]周娜嘉.信息安全保密技术精讲 (第1版) [M].北京:金城出版社, 2006.
[3]中国人民解放军保密委员会办公室.计算机网络安全保密知识问答 (第1版) [M].金城出版社, 2002.
[4]虞金龙.保密技术检查参考 (第1版) [M].北京:金城出版社, 2001.
【关键词】信息安全 保密技术
【中图分类号】F224-39【文献标识码】A【文章编号】1672-5158(2013)07-0129-01
引言
互联网以惊人的速度改变了人类的生活方式,处理银行事务、发送电子邮件、网络化办公等等都可以通过互联网,同时互连网是一把双刃剑,其开放性、黑客、病毒等“不速之客”不仅仅严重威胁着普通家庭的计算机信息的安全,甚至政府、军队等部门的信息安全也受到威胁,怎样保护网络信息安全,已成为亟需解决的问题。
1 计算机信息安全与保密的概述
计算机信息的安全与保密主要包括计算机系统的安全与数据保护和信息保密两个方面,系统安全是指通过安全技术,保护计算机的硬件、应用软件、操作系统和数据,防止被破坏或窃取,本质就是保护计算机信息资源免受各种威胁、干扰和破坏,系统连续可靠运行,网络服务不中断,数据保护和信息保密是对信息系统中的信息资源的存取、修改、扩散和其它使用权限的控制。国家计算机网络应急技术处理协调中心的权威统计,新的漏洞攻击恶意代码平均每天112次,每天捕获最多高达4369次。因此,加强计算机安全防范意识,提高防范手段,刻不容缓。
2 计算机信息安全的现状
随着计算机网络的开放性、信息的共享性, 特别是伴随着互联网的不断延伸, 计算机网络的作用日益凸显,计算机网络已广泛的应用到军事领域。然而计算机信息安全与保密问题越来越严峻,网站被黑、军事信息被窃取等黑客入侵事件都在增加,网络信息的安全与保密工作已引起各国的高度重视。
3 威胁信息安全的因素分析
计算机信息安全威胁因素,一方面是来自于其内在的“先天不足”,另一方面是缺乏系统安全的标准。
3.1 客观因素
3.1.1 资源共享。计算机信息的最重要功能是资源共享,网络的强大功能和资源共享是任何传播媒体无法替代的,这为部队搜索信息资源共享提供了很大的便利,同时也为攻击者进行破坏提供了可趁之机。
3.1.2 操作系统的漏洞。计算机操作系统的漏洞直接导致了网络的安全漏洞,操作系统主要是管理和控制统中的软件、硬件、操作,用户都是通过操作系统来进出网络的,因此操作系统的安全至关重要。据统计,在传统的UNIX操作系统中,已发现的安全漏洞超过100个,而在微软Windows中也是“漏洞百出”,办公软件、邮件软件、浏览器软件都是如此。
3.1.3 网络协议的开放性。网络协议是计算机之间互联、互通所共同遵守的规则。目前计算机的主要主协议 (TCP/IP),在设计初期因强调其开放性,安全性问题没有过多的考虑,存在原始安全漏洞,目前发现了100多种安全弱点,使得TCP/IP协议运行中存在威胁和攻击。
3.1.4 人为的恶意攻击。截至目前,恶意攻击已成为计算机网络面临的最严重的威胁,其又可分为主动攻击与被动攻击,通过各种途径有选择地破坏信息的有效性和完整性,包括对信息的修改、删除、伪造、乱序、冒充、病毒等;即为主动攻击,而被动攻击是在不干扰网络系统正常运转的前提下,窃取、截获、破译最终得到相关信息。人的恶意攻击是最难防范的信息安全威胁,其危害性相当大。
3.2 主观因素
人为因素也是造成安全漏洞的重要因素,即使系统有较好的安全机制,但管理人员专业知识和经验上的缺陷及安全防范意识差等因素,也容易造成安全漏洞。部队现有计算机系统多数安全管理的规范不达标,没有定期的安全测试与检查,再加上安全管理水平低、操作失误、错误、用户口令人为的泄漏等,即便再好的安全体系也是无济于事的。
4 计算机信息保密安全的防护技术
4.1 隐藏IP地址
黑客经常利用一些网络探测技术探测主机的IP地址,攻击者获取到一个IP地址,可以随时向IP地址发动各种进攻,例如DoS攻击、Floop溢出攻击等。使用代理服务器后,其它用户只能探测到代理服务器的IP地址,就可以达到隐藏用户IP地址的目的,保障了信息的安全。
4.2 强化管理员帐户管理
Administrator帐户拥有最高的系统权限,一旦该帐户被人利用,后果不堪设想。所以要重新配置Administrator帐号。一是为Administrator帐户设置一个复杂、有效的密码,二是重命名Administrator帐户,创建一个没有管理员权限的Administrator帐户,在一定程度上减少了危险性。
4.3 杜绝Guest帐户的入侵
Guest帐户可以有限制的访问计算机,这也就为黑客打开了方便之门,禁用、删除Guest帐户是最好的办法,但在必须使用Guest帐户的情况下,首先要给Guest设一个复杂的密码,再详细设置Guest帐户对物理路径的访问权限。
4.4 密码技术
加密是通过对信息的重新组合、加密,使得只有收发方才能解码并还原信息的一种技术手段。加密系统是以密匙为基础的,是对称加密,即用户使用同一密匙加密和解密。
4.5 身份认证技术
身份认证就是用户必须提供他是谁的证明,认证的目的就是弄清楚他是谁,具备什么样的特征。身份认证是最基本的安全服务,其本质是控制对信息的访问,这也是预防和信息泄露的主要方法。单机状态下的身份认证主要通过用户身份、口令、密钥等口令认证;用户的体貌特征、指纹、签字等生物特征认证等;网络状态下的身份认证一般采用高强度的密码认证协议技术进行。
4.6 数字签名技术
数字签名技术是通过电子形式存在于数据信息之中的,或作为其附件的或逻辑上与之有联系的数据,可用于辨别数据签署人的身份,并表明签署人对数据信息中包含的信息的认可。建立在公钥密码技术上的数字签名方法有很多,例如RSA签名、DSA签名和椭圆曲线数字签名算法(ECDSA)等等。
5 加强信息安全的辅助措施
要实现信息的安全和保密需要不断的改进技术外,还要做到以下几点:
5.1 制定严格的信息保密措施
安全管理既要保证网络用户和网络资源不被非法使用,又要保证网络管理系统本身不被未经授权的访问。部队信息安全管理的重点是:部队安全组织机构设立、安全责任分工监管等。
5.2 强化安全标准
网络安全标准是一种多学科、综合性的标准,目的在于保障信息系统的安全运行。一个完整、统一、先进的标准体系是十分重要的,世界各国的军方都在积极强化信息安全标准。
5.3 完善相关的法律法规
国家高度重视网络信息工作安全,在现在已制定的相关法律法规的基础上,制定严格的计算机信息安全保密的法律、法规。针对部队的保障信息安全工作,应该实行更为严格的保密制度。
6 结束语
随着互联网技术的快速发展,信息安全保密技术也越来越完善, 但黑客攻击技术、网络病毒等也愈演愈烈,网络信息保密安全仍然是一个很重要的课题,特别是加强部队的计算机的信息安全与保密技术,需引起我国军方的高度重视。
参考文献
[1] 张娟.网络安全与保密综述.文章编号:1008-7354(2003)01-0053-03
[2] 黄慧民,酒海峰.论网络信息安全与保密.文章编号:1008-3944(2002)02-0022-02
[3] 白青松.浅谈计算机网络系统安全与保密.文章编号:1673-260X(2007)02-0032-02
[4] (美)Anonymous等,Maximun Security Third Edition,SAMS Press,2003-1-1
系
别:
姓
名:
学
号:
指导教师:
计算机科学与技术系 王光宇 20094203 吴长伟
如果建立一个信息系统,并对系统安全进行总体规划,你需要考虑哪些方面的安全问题,你是如何解决这些问题的?
随着新技术的不断发展,越来越多的高新技术产品进入应用领域,在带来方便、快捷的同时,也给信息保密工作带来了许多新的挑战。一段时间以来,在保密技术检查、测评工作和实际案例分析中发现,高新技术产品在保密要害部门的应用呈现出更新速度快、使用范围广的特点,一些高新技术产品的应用给保密工作带来了许多不容忽视的安全隐患,应该引起有关部门的重视,以避免在应用中出现泄密问题。
一、高新技术产品应用中的泄密隐患
(一)无线移动技术的泄密隐患随着无线互联的迅驰技术强力推出,笔记本电脑进入了无线时代。目前,迅驰技术已成为主流高端笔记本电脑的标准配置。应用了迅驰技术的笔记本电脑无需外加模块即可进行无线联网,既能够以对等方式与其他有此功能的笔记本电脑实现无线互联,又能够以接入方式通过无线交换机组成无线网络系统,其无线联接的有效距离最远可达300米。无线互联技术带给人们更大的便利,一面世就受到广泛欢迎,但是这种技术存在的泄密隐患也不容忽视。
1.隐患1 当应用了迅驰技术的笔记本电脑作为涉密单机处理涉密信息时,能够在无意识的情况下被在有效距离内的其他装配迅驰技术的笔记本电脑以对等方式或被无线交换机以接入方式实行无线联通,其中存储的涉密信息就可能被非法获取。
2.隐患2 当应用了迅驰技术的笔记本电脑作为涉密终端接入涉密网络工作时,会被其他无线设备进行无线联通,从而获取该笔记本电脑的使用权限,造成整个网络内涉密信息的泄露。
(二)打印、复印、传真一体机的泄密隐患多功能一体机在涉密单位的应用较多,通常会与涉密计算机连接用于涉密文件打印,同时与市话网相连用于收发普通传真。这样就使得打印的涉密信息、传真的非密信息和复印的信息都存储在同一内存中,形成泄密隐患。
1.隐患1 根据有关部门的检测发现,有些型号的多功能一体机具有通过电话线或网络向其维修中心发送数据的功能。一般情况下,如果此种多功能一体机既连接涉密计算机又连接市话网,或是既用于涉密计算机打印又用于非涉密计算机打印,就可能造成存储在内存中的涉密信息在打印时被非法获取。
2.隐患2 检测发现,对于具有通过连接的电话线或网络向其维修中心发送数据功能的普通多功能一体机,如果对其控制芯片做一些技术改造,就可以通过市话网对其内存中的信息实现远程获取。
(三)数字复印机的泄密隐患数字复印机的一个特点是含有大容量存储硬盘,凡复印过的文件都记录在内。数字复印机一旦发生故障,通常需要该复印机的专业售后服务人员进行现场维修。由于复印机数字化程度较高,现场维修时一般需要使用售后服务人员的专用笔记本电脑连接进行故障分析,如果该复印机处理过涉密信息,那么就存在着泄密隐患。
1.隐患1 如对维修人员的监督不够,别有用心的维修人员会将存储在数字复印机硬盘中的涉密信息进行复制,从而造成泄密。
2.隐患2 如果数字复印机故障较严重,一般还需要带离现场进行维修。如果涉密单位不了解数字复印机原理,带离前没有将其硬盘进行拆除,那么就会造成涉密载体失控的局面。
(四)高性能网络交换机的泄密隐患
目前,一些网络交换机设备商生产的高端产品具有无线联网功能,能够以无线方式自动识别其周围的网络设备和计算机,并与其进行通信联系和数据交换,无线连接范围最远可达几百米,同样存在着泄密隐患。
1.隐患1 根据目前的保密技术要求,泄密信息系统与其他网络均应实行物理隔离,同时涉密信息系统的交换机与非涉密信息系统的交换机必须距离1米以上。通过有关部门的检查发现,一些涉密单位涉密信息系统和非涉密信息系统均使用了具有无线功能的交换机,即使距离1米以上,但由于放置在同一房间内,2个交换机就能够实现自动通信,造成涉密信息系统与非涉密信息系统的互联,带来极大的泄密隐患。
2.隐患2 有的涉密单位外网使用了此类具有无线联网功能的交换机,会出现自动连接有效范围内无线终端的现象,具有无线功能的涉密计算机因此会被捕捉并连通,从而造成涉密信息外泄。
(五)计算机操作系统漏洞造成的泄密隐患
目前,大部分计算机使用的都是美国微软公司Windows操作系统,该操作系统存在许多漏洞,极易被利用,安全隐患突出。
1.隐患1 通常认为只要笔记本电脑不处理涉密信息,与互联网连接就不会出现泄密问题。检测发现,利用Win-dows操作系统共享会出现漏洞,通过互联网或使用无线互联能够取得该笔记本电脑的所有控制权,进而将其麦克风打开,变成窃听器。这样就能够通过网络监听到该笔记本电脑所在房间的通话内容。
2.隐患2 通过网络植入某些病毒,可使计算机在不知不觉中将硬盘的电子文档以电子邮件的形式发送出去。即使上网的计算机中没有秘密信息,但大量与工作有关的信息被窃取后,也具有威胁性。
(六)移动存储介质的泄密隐患移动存储介质,包括U盘、移动硬盘等,具有存储量大、使用方便的特点,目前在涉密单位使用非常普遍,同时存在着很多安全隐患。在缺乏有效技术保障的情况下,应通过管理手段加以解决。
1.隐患1 虽然对于存储涉密信息的介质有较严格的保密管理要求,外出携带需要严格控制并审批,但涉密介质丢失现象仍时有发生。这些涉密存储介质一旦丢失,就会造成秘密信息的外泄。当前急需采取严格的管理措施,规范存储介质的使用。
2.隐患2 按照保密要求,涉密网与互联网等应实行物理隔离。但一些涉密网在日常工作中经常需要从外网或互联网上复制数据,通常使用的是移动存储介质。检查发现,互联网上存在的一些病毒,如repoer病毒,可以感染在互联网上复制数据的移动存储介质。当该染病毒的移动存储介质在涉密网上使用时,病毒就会自动使用关键词检索等方式搜集涉密计算机上的信息,并自动复制到移动存储介质上。一旦该存储介质再次接入互联网,复制的信息就会自动发送出去,造成泄密。
二、做好计算机信息安全保密工作的建议
对于涉密单位来讲,安全考虑应该放在第一位,如果不了解高新技术产品的技术特点和工作原理就盲目使用,难免会留下安全隐患,危害国家秘密的安全。目前,国家有关部门对高新技术产品在涉密部门的应用已经提出了一些具体的要求,保密要害部门部位应遵照执行。应用于涉密信息系统的设备,按照规定必须经过国家有关主管部门检测,未经检测的设备不能使用。另外,涉密单位还要针对高新技术产品的特点和本部门的实际情况,加强管理。国家有关部门也要加强对涉密计算机信息系统的安全保密管理和涉密产品的认证认可工作,积极开展针对高新技术应用的保密技术研究,解决高新技术产品使用中的保密难题。作为基层单位还应从以下几个方面做好计算机信息安全保密工作。
(一)围绕责任,认真落实保密、密码工作责任制加强学习,提高保密意识,签订保密责任书,明晰保密责任。按照保密、密码工作领导责任制的要求,及时研究保密工作中存在的问题,把保密作为强化内部管理、防范风险隐患的一项重要工作来抓,不断完善一级抓一级、层层抓落实的责任体系。进一步健全保密和密码工作领导责任制,把领导干部履行责任制的情况纳入领导干部民主生活会和领导干部绩效考核内容。根据人员调整情况,及时调整保密委员会,加强保密工作目标责任管理,将业务工作和保密工作同布置、同安排、同要求,确保各项保密工作任务的落实,严防泄密事件发生。
(二)围绕规范,切实加强保密基础工作,严格保密要害部门、部位管理认真落实上级单位要求,严格确认系统保密要害部门、部位,及时更新工作台账,修订完善有关制度,完善人防、物防、技防措施,确保保密要害部门、部位的安全;认真落实政务信息公开保密审查制度,进一步明确审查责任和程序,促进政务公开、依法、合规开展。
(三)围绕创新,不断深化保密宣传教育坚持贴近形势、贴近工作、贴近涉密人员,深入开展保密宣传教育工作。在对象上,坚持把领导干部、涉密人员、新参加工作人员和行政文秘人员作为宣传教育重点;在内容上,强化保密法规教育、保密形势教育和保密知识教育,认真抓好《中共中央关于加强新形式下密码工作的决定》精神的学习、宣传和贯彻落实工作,把保密工作重要法规文件、制度纳入党委(党组)学习内容,发挥领导干部的带头示范作用;在形式上,充分利用内联网、宣传栏、保密工作简报、播放警示片等形式宣传相关保密法规、保密知识,编印《保密知识手册》,不断增强保密宣传教育的生动性和直观性,将保密宣传教育融入到“五五”普法、社会治安综合治理等工作中,使全体工作人员进一步了解和熟悉,充分认识到保密工作的重要意义,树立“为维护国家的安全和利益而保密”的神圣感、责任感和使命感,增强保密意识,提高法制观念。同时,加强调查研究,及时总结反馈工作动态和创新做法,不断推动保密宣传教育的深入开展。
(四)围绕安全,完善技防手段,努力提高保密技术防护水平加强对计算机网络安全保密管理。严禁用涉密计算机上国际互联网,严格做到内外网分离;及时安装系统补丁,修补计算机漏洞;及时升级防病毒软件病毒代码库,定期对计算机进行全面扫描,清除病毒、木马;严格落实《移动存储设备管理办法》,利用新技术手段加强对移动存储设备的使用实时监控和管理,对内网上使用的移动存储设备进行注册、加密,让外来移动存储设备“进不来”(即非内网使用的移动设备在内网计算机上不能用),内网使用的移动存储设备“拿不走”,内部使用的移动存储介质在外网计算机上“不能用、看不懂、改不了”(即内网上使用的移动设备进行了加密管理,在外网计算机上不能识别或信息无法读取),切实解决移动存储介质在内外网之间交叉使用的问题;完善涉密计算机、移动磁介质、涉密笔记本电脑、多功能一体机等办公设备的购置、领取、使用、清退、维修、销毁等环节的保密管理要求,抓好全过程安全保密职责的监督和落实;加强对重要涉密信息的保密管理,规范涉密文件传阅,严密跟踪公文流转,严格控制传阅范围,做到及时登记、专人专夹保管;加强对各种涉密载体的管理,对密件、密品的制作、传阅、销毁等各环节进行全过程监管,确保每一个环节不出差错。
二、信息科、机要科负责指导市政府办公室涉密人员的保密技术培训,落实技术防范措施。
三、涉密信息不得在与国际网络的计算机系统中存储,处理和传输。
四、凡上网的信息,上网前必须进行审查,进行登那一世小说网 http://记,“谁上网,谁负责”,确保国家机密不上网。
五、如在网上发现反动、黄色的宣传和出版物,要保护好现场,及时报向市委保密局汇报,依据有关规定处理;如发现泄露国家机密的情况,要及时采取措施,对违反规定造成后果的,依据有关规定进行处理。
六、加强个人主页管理,对于在个人主页中张贴,传播有害信息的责任人要依法处理,并删除个人主页。
七、发生重大突发事件期间,各涉密科室要加强网络监控,及时、果断地处理网上突发事件。
1.1 计算机信息辐射泄密
计算机信息系统运行还需要依靠一定的电力设备, 而在电力设备运行过程中会产生一定的寄生电磁信号以及谐波, 这些因素都会产生电磁辐射。将这些辐射的电磁信号有效的提取出来, 并做出相应的处理, 就能够恢复这些信息, 导致泄密危险。这种窃取信息的手段更加隐蔽与及时。其中辐射发射与传导发射是其中最主要的2种方式。辐射发射就是信息在计算机内部产生的电磁波向外界发射;而传导发射主要是信息电磁波通过电源线以及其他导电体辐射向外界。
1.2 计算机网络泄密
计算机信息系统依靠网络而运行, 在网络中的数据具有一定的共享性, 同时主机和用户之间也是相互联系的, 也存在较大的泄密危险。一方面, 在计算机与网络技术不断发展中, 网络安全问题始终存在, 电脑黑客利用这些漏洞等, 就会给计算机信息系统造成窃取信息的危险;另一方面, 我国现阶段与互联网相关的法律法规尚未完善, 一些计算机网络用户利用网络技术窃取国家安全信息。有时在信息管理过程中, 没有将信息系统进行有效的物理隔离, 给了不法分子可乘之机。
1.3 内部人员泄密
内部人员泄密主要体现在以下2个方面。第一, 内部工作人员相关知识薄弱, 不清楚电磁波辐射会导致信息泄露等, 因此在进行计算机信息系统操作过程中, 没有采取有效的防护措施, 最终导致泄密事件的发生。同时, 在使用计算机网络过程中, 忽视了黑客攻击问题, 操作中漏洞较为严重, 给黑客提供了机会, 导致本机上的文件和数据丢失。第二, 在计算机信息系统或者是相关设备发生故障后, 内部工作人员没有严格的按照相关的保密制度, 做好相关的消磁处理, 也没有专业化的检修, 导致修理过程中数据被窃取。
2 加强计算机信息系统保密技术应用于安全管理的重要性
在计算机技术与通信技术快速发展过会层中, 互联网已经成为世界范围内常见的技术形式, 实现了信息与资源的共享, 也给信息保密工作提出了相应的要求。要求计算机信息系统不仅需要能够满足人们交流、资源共享等需求, 同时也应该做好对应的保密工作, 保证人们在使用计算机信息系统中的相关信息不会泄露。在国家信息安全问题上, 很多国家都将信息保护当作是头等重要的大事, 在保密技术研发上都投入了很多精力。与此同时, 窃密技术也在信息技术发展中得到发展, 给计算机信息系统的安全造成极大的威胁。还需要不断的加强对计算机信息系统的安全防范, 强化对系统的保密管理, 保证计算机信息系统运行的安全。
在计算机信息系统设计过程中, 始终无法做到尽善尽美, 任何丁点的设计漏洞都容易成为信息泄漏的通道, 也是不法分子窃取信息的途径。近几年, 我国计算机信息系统窃密事件屡见不鲜, 有关部门必须不断的强化安全防护与管理, 将信息系统安全保密工作作为国防建设重要目标。
3 计算机信息系统保密技术
计算机信息系统安全保密技术有很多种, 包括防病毒技术、信道隐蔽技术、媒体介质技术、数据库技术、防火墙技术等等。
3.1 防病毒技术
传统的病毒处理主要是发现后分析, 分析后消灭, 这种事后处理的方式在信息安全保密工作中具有很大的局限性。从技术层面上来讲, 需要在计算机信息系统服务器中安装防病毒功能模块, 同时利用防病毒软件定期的检测与杀毒。或者是安装相应的插件, 在网络接口处安装对应的防毒芯片。
3.2 信道隐蔽技术
很多计算机信息系统中的信息泄漏都是通过信道, 因此可以将宽带信道隐蔽, 具体的方式有几种:一方面可以再计算机信息系统设计中, 尽可能的减少隐蔽性的信道;同时对于计算机测试, 还需要对信道实施测量, 提升计算机内核的审计功能。
3.3 媒体介质技术
计算机信息系统泄密介质包括软盘、硬盘、磁盘、光盘等, 这些媒介容易被损坏、窃取等, 同时其中残留的信息还能够通过一些特殊的处理技术恢复。因此, 需要加强对计算机信息系统媒体介质的管理, 采用分类标记的方式, 根据信息特征、保密级别等进行分类登记, 同时在介质中作上相应的标记。
3.4 数据库技术
数据库安全在技术方式、安全要求等方面都和计算机信息系统极为相似。为了保证计算机信息系统运行的安全性、稳定性, 必须采取有效的安全策略。在技术层面上, 可以利用身份认证技术、信息传输技术、数据加密技术、密钥技术等, 或者对传输媒介进行安全保护, 从根本上保证系统中信息的安全, 避免信息丢失或被窃取, 为计算机信息系统的安全运行提供保障。同时, 在数据库周边安装警卫系统、警报警戒、出入控制等, 提高系统安全防护的级别。在对计算机网络非法入侵的监测、防伪、审查和追踪过程中, 通信网络应该充分利用各种对应的安全防卫措施。终端用户在访问时, 可以通过网络管理的形式, 发放访问许可证书和有效口令, 以避免未经授权的用户进入通信网络, 并且利用密码、用户口令等控制用户的权限访问。在通信网络中健全数据鉴别机制, 以预防未被授权的用户对网络数据的删除、插入和修改等。
3.5 防火墙技术
防火墙技术主要是在现代通信网络技术基础上发展而来的安全技术, 在公共网络以及专用网络中应用十分广泛, 特别是在接入互联网中更是应用广泛。在不同网络或网络安全域之间, 设置的一系列部件的组合就是防火墙, 防火墙是不同网络之间唯一的出入口, 本身抗攻击的能力较强。从技术原理上来说, 可以将防火墙看作是一个分析器、限制器和分离器, 能够对内部网以及互联网之间所有活动进行实时的监控, 提高计算机信息系统运行的安全性, 将危险的网络信息过滤, 让网络环境更加安全。
4 计算机信息系统保密安全管理措施
4.1 完善相关规章制度
制度始终是保证有效秩序的基础。为了提高我国计算机信息系统运行的安全, 提高安全管理质量, 必须建立与完善我国计算机保密有关的法律法规, 同时强化相关的执法力度等, 确保相关制度的执行力。在计算机信息系统保密制度建立过程中, 需要重视其可操作性与安全性, 坚持可持续发展以及以人为本的原则, 避免规章制度流于形式。同时, 还需要完善有关的责任制度, 将计算机信息系统保密责任落实到个人, 避免内部工作人员因素导致的泄密问题出现, 提升保密防护质量。另外, 加强对计算机信息系统运行中保密工作的监督, 定期或不定期的进行抽查, 发现问题需要及时的进行处理。
4.2 加强宣传教育
针对我国目前网络信息安全意识薄弱的问题, 还需要加强网络信息安全教育, 提高全民网络信息安全的防范意识。一方面, 通过电视、广播、网络等媒体传播形式, 加大对网络信息安全的宣传, 提高人们对网络信息安全的正确认识;另一方面, 相关部门应该积极引导民众, 让更多的网络用户参与到安全防护工作中, 营造一个全民防范的网络信息安全氛围。
4.3 信息安全立法, 创建更加安全的网络信息环境
针对网络安全案件不断增多的事实, 还需要通过法律这个强有力的手段加以保障。虽然我国先后制定了几部关于网络信息安全的管理文件, 规定了制造以及传播病毒是违法行为, 但是在病毒、黑客程序等界定上却十分模糊, 给执法带来很多困扰。因此, 加强立法, 还需要对此加以完善, 包括信息安全责任界定、赔偿问题等都需要有明确的表示, 加大执法力度, 对于危害网络安全的人员与组织进行严厉的打击, 共同营造一个安全、秩序的互联网信息环境。
5 结语
通过上述分析可知, 随着我国计算机技术、网络技术、通信技术等信息技术的发展, 给计算机信息系统发展带来重大的发展机遇, 但同时也带来了一定的威胁。信息泄密的后果十分严重, 严重情况甚至会对国家的安全以及社会的稳定造成影响。因此, 必须采取有效的信息保密技术, 加强计算机信息系统安全管理, 切实提升信息系统运行的安全, 为我国计算机信息系统发展做出更大的贡献。
参考文献
[1]刘佳佳.浅谈计算机信息系统保密技术及安全管理[J].科技创新与应用, 2014 (9) :144-145.
[2]王义国.浅谈计算机信息系统的安全保密技术[J].信息系统工程, 2014 (2) :65-68.
[3]方林明.计算机信息系统的保密技术防范和管理[J].中国科技博览, 2013 (12) :52-55.
1、为了保证公司计算机网络系统的稳定运行及网络数据的安全保密,维持安全可靠的计算机应用环境,特制定本规定。
2、凡使用公司计算机网络系统的员工都必须执行本规定。
3、在公司保密工作小组领导下,由办公室负责接入网络的安全保密管理工作。办公室落实具体技术防范措施,负责设备、信息系统的安装调试和维护,并对用户指派信息维护员专门负责各部门的信息安全维护工作。
4、对接入公司网络系统的计算机及设备,必须符合一下规定: 1)凡接入公司网络系统的计算机,只在需要使用光驱和打印机的网络管理员计算机上安装相关设备,其他计算机不得安装和使用光驱、软驱、USB卡、磁盘、磁带、打印机等输入、输出端口一律屏蔽和禁用。
2)凡接入公司办公网络的计算机,禁止使用任何网络设备,将计算机与国际互联网联结。
3)各部门的计算机均不得与其它办公系统相联结,如有信息传输的需要,可使用软盘、光盘、USB盘或活动硬盘等数据介质盘片,由网络管理员在装有相应外设的计算机上进行数据传输。
4)在未经许可的情况下,不得擅自对处计算机及其相关设备的硬件部分进行修改、改装或拆卸配置,包括添加光驱、软驱,挂接硬盘等读写设备,以及增加串口或并口外围设备,如扫描仪、打印机等。
4)非我公司的计算机及任何外设,不得接入我公司的网络系统。5)严禁私自开启计算机机箱封条或机箱锁。
5、凡使用公司网络系统的员工,必须遵守以下规定; 1)未经批准,严禁非本公司工作人员使用除计算机及任何相关设备。
2)对新上网使用办公网络系统的员工,由办公室负责上岗前的计算机网络设备系统安全及信息保密的技术培训工作。
3)公司计算机网络系统中凡属于国家保密资料或商业秘密的任何文件、图形等数据(如地形图等),未经批准,任何人严禁将其以任何形式(如数据形式:Internet、软盘、光盘、硬磁盘等;硬拷贝形式:图纸打印、复印、照片等)复制、传输或对外提供。
4)任何员工均不得超越权限侵入网络中未开放的信息,不得擅自修改入库数据资料和修改他人数据资料。
6、公司办公网络系统及相关数据应严格执行国家、有关保密、安全及政府办公自动化系统的有关法律、法规的规定和要求。各部门应自觉按照有关规定和要求配合做好保密和信息安全工作。
7、任何经由我公司外网接入国际互联网的员工,必须严格遵守国家有关法律、法规。
8、凡使用公司网络系统的员工,必须配合网络管理员做好防病毒工作。
1)由办公室负责网络防病毒工作。信息维护员负责实施防病毒的日常管理工作。
2)凡装有可与外界进行数据传输的设备的计算机,必须安装防病毒程序,办公室定期对防病毒程序进行升级,增强对病毒的查杀能力。
3)凡需入网传输数据的盘片,由网络管理员负责检查、清查计算机病毒,确保没有病毒后方可传输数据。
4)员工在使用过程中如发现计算机病毒,应立即停止进行任何程序并报告网络管理员,如遇到现有防病毒程序无法清杀的病毒,网络管理员必须先将受感染的计算机从网络上隔开,协助员工做好数据备份工作,并为用户恢复系统。
9、办公室定期对有关部门进行计算机网络系统安全和数据保密检查,并将检查结果向处保密工作小组汇报。
10、公司网络运行中,发现有泄露国家机密,或发现有泄露不宜公开的内部信息的,或发现侵权访问其他员工未公开的数据,有关部门或员工应立即采取补救措施,并在十二小时内向公司保密工作小组报告,以便需要时在事发二十四小时内向当地保密、公安机关报告。
11、违反本规定的,由部门负责人或公司保密工作小组视情节给予批评、教育;严重的,可提请公司人事部门依据有关规定给以行政处罚;触犯有关法律、行政法规的,由公司保密工作小组报上级保密部门,依据有关法律追究责任。
12、本规定由公司保密工作小组负责解释。
13、本规定自发布之日起实施,原相关规定与本规定有不一致之处,按本规定执行。
为保证局域网安全运行,提高计算机的利用率,延长计算机的使用寿命,特制定本规定。
1、要保证计算机室内的卫生清洁,严禁在计算机室内吸烟,禁止乱扔碎纸、果皮等杂物,禁止在机桌、机器上乱画、乱贴等。
2、进入互联网的计算机必须实行物理隔离,禁止带有秘密载体的计算机进入互联网。
3、禁止利用计算机玩游戏、聊天、看电影,禁止浏览登入非法网站、浏览非法信息。
4、禁止随意拔弄、拆卸、搬动计算机设备、配件(键盘、鼠标等),严格按操作程序正常开机、关机。
5、禁止对计算机私设开机口令、对硬盘格式化操作、改变机器配置。禁止乱装软件,以防止感染病毒。
6、计算机系统专用资料(软件盘、系统盘、驱动盘)应由专人进行保管,不得随意带出或个人存放。
7、计算机使用人员应每周对计算机设备进行病毒检测,发现病毒感染应及时清除,防止扩散和蔓延。对国家通报的病毒发作时间禁止开机,如确需使用应由网管人员负责技术处理。要对计算机设备、电源电路进行定期检查,发现问题及时处理。
8、要严格使用专用清洁剂擦洗,不得用湿布擦试机器,以免影响计算机使用寿命。
9、计算机使用人员应认真做好计算机运行情况的日常记录,下班后要及时检查机器设备,切断电源后,关好门窗,方可离开。一.总则
1.为引进现代化计算机工具,推动现代化管理,使公司管理规范化、程序化、迅速快捷,特制定本制度。
二.管理原则和体制
1.公司按集中与分散相结合原则,有条件的可设立中心机房,各部门配备电脑系统。
2.条件成熟时,公司建立计算机内部网络系统。
3.计算机系统本着一次总体规划、分步建设方式实施。
4.计算机系统建设应综合考虑成本、费用、效率、效果、先进性、适用性,选择最优技术经济方案。
三.电脑系统选取型及采购
1.公司电脑系统统一采购。
2.按照计算机系统规划和工作需要,公司各部门或有关部门提出购置电脑系统的申请,公司列入固定资产投资计划,经公司常务会议或总经理批准方可采购。
3.电脑系统选取型须基于广泛的市场调研,在掌握各类电脑性能、价格之后选择合格的机型
4.。涉及重大电脑设备的选购,须邀请专业公司招标或咨询,确保电脑的功能升级,以及维修服务的承诺。
5.电脑采购过程中,做好硬件的验机工作和软件测试工作,确保电脑系统的可行性。
四.电脑使用和管理
1.公司落实电脑管理责任部门和责任人,负责电脑管理的各种工作。
2.未经许可,任何人不得随便支用电脑设备。
3.未经许可,任何人不得更换电脑硬件和软件,拒绝使用来历不明的软件和光盘。
4.严格按规定程序开启和关闭的电脑系统。
开机流程:
1.接通电源;
2.打开显示器、打印机等外设;
3.开通电脑主机;
4.按显示菜单提示,键入规定口令或密码;
5.在权限内内对工作任务操作。
关机流程:
1.退出应用程序、各个子目录;
2.关断主机;
3.关闭显示器、打印机;
4.关断电源。
五.公司鼓励员工使用电脑。在不影响业务情况下,员工应学习能熟练地进行电脑操作。
六.对公司中心机房、使用网络、工作站等高级电脑设备,则需经年产值和予上机操作,并登记使用情况。
七.公司禁止使用、传播、编制、复制电脑游戏,严禁上班时间地下铁路电脑游戏。
八.公司鼓励员工开发电脑资源,提高公司决策和管理水平。
九.电脑维护
1.公司确立专职或兼职工程师(或由电脑公司)负责电脑系统的维护。
2.电脑发生故障时,使用者作简易处理仍不能排除的,应立即报告电脑主管。
3.电脑维修维护过程中,首先确保对公司信息进行拷贝,并不遗失。
4.电脑软硬件更换需经主管同意,如涉及金额较大的维修,应报公司领导批准。
5.UPS
6.只作停电保护之用,在无市电情况下,迅速作存盘紧急操作;严禁将UPS作正常电源使用。对重大电脑软件、硬功夫件损失事故,公司列入专案调查处理。
7.外请人员对电脑进行维修时,公司应有人自始至终地陪同。
8.凡因个人使用不当所造成的电脑维护费用和损失,酌情由使用者赔偿。
十.机房管理制度
机房安全规定:
1.机房(工作台)不得携入易燃、易爆物品;
2.机房主内严禁吸烟;
3.机台不准吃饭、吃零食或进行其他有害、污损电脑的行为;
4.机房严禁乱拉接电源,以防造成短路或失火;
5.安装坚固门锁系统,防止电脑补充盗。
机房净化规定:
1.机房内不得有卫生死角、可见灰尘;
2.调节适合电脑的温度、湿度、负离子浓度,定时换风;
3.门窗密封,防止外来粉尘污染;
4.机房内不准带入无关物品,不准睡觉休息;
5.中心机房人员进入须穿软底鞋,着白色长衫工作服;
6.机房用品定期清洁。
机房参观管理的规定:
1.经公司批准,外来人员才予安排参观。
2.外来人员参观机房,须有公司指定人员陪同。
3.电脑处理秘密事务时,不得接待参观人员或靠近观看。
4.操作人员按公司陪同人员要求可以在电脑演示、咨询;对参观人员不合理要求,陪同人员应婉拒,地匀人员不得擅自操作。
5.经同意,参观人员可以实地操作电脑,但须有公司人员的认可,不得调阅公司机密文件。
6.参观人员不得拥挤、喧哗,应听从陪同人员安排。
7.参观结束后,操作人员应整理如常。
十一.计算机保密
依据公司保密管理办法,公司计算机管理应建立相应的保密制度,计算机保密方法有:
1.不同密级文件存放于不同电脑中;
2.设置进入电脑的密码;
3.设置进入电脑文件的密码或口令;
4.设置进入入电脑文件的权限表;
5.对电脑文件、数据进行加密处理。
1).为保密需要,定期或不定期地更换不同保密方法或密码口令。
2).经特殊申报批准,才能查询、打印有关电脑保密资料。
3).电脑操作员对保密信息严加看管,不得遗失、私自传播。
十二.电脑病毒的防治
1.公司购买使用公安部颁布批准的电脑杀毒产品。
2.未经许可证,任何人不得携入软件使用,防止病毒传染。
3.凡需引入使用的软件,均须首先防止病毒传染。
4.电脑出现病毒,操作人员不能杀除的,须及时报电脑主管处理。
5.在各种杀毒办法无效后,须重新对电脑格式化,装入正规渠道获得的无毒系统软件。
6.建立双备份制度,对重要资料除在电脑贮存外,还应拷贝到软盘上,以防遭病毒破坏而遗失。
7.及时关注电脑界病毒防治情况和提示,根据要求调节电脑参数,避免电脑病毒侵袭。
十三.软盘管理制度
1.软盘集中存放,由专人统一保管,个人不得随便带离公司。
2.公司建立软盘使用档案,注明软件名称、部门、使用人员等信息。
3.外一软盘经电脑主管检查后方可使用,必要时留存保管处。
4.公司统一添置空白盘片,员工不得随意外购空白软盘。
5.各部门使用软盘,均向管理人员登记借用。
十四.软件开发
1.公司根据需要可以开发各种单项工综合性信息系统,可由信息部负责统筹或协助。
2.软件开发需要公司高层领导的参与协调,在公司领导下确立开发总体方案、实施步骤、时间进度、费用预算、人员安排等事项。
3.软件开发一般分为系统调研、可行性分析、功能定义、框架设计、程序编制、调试、试用、反馈、完善验收等几个阶段。
一.总则
规范公司计算机以及计算机网络的管理,确保计算机以及计算机网络资源高效安全地用于工作,特制订本规定。第一条.公司计算机以及计算机网络资源是公司用于工作目的的投资,只能用于工作目的,个人不得由于一般业务、看新闻、娱乐等私人原因使用公司计算机以及计算机网络。第二条.本规定涉及的网络范围包括公司各办公地点的局域网、办公地点之间的广域连接、公司各厂区和办事处广域网、移动无线网络、Internet出口以及网络上提供的各类服务和Internet电子邮件、代理服务、所有计算机办公平台等。第三条.计算机以及计算机外设设备(U盘、移动硬盘、打印机、刻录机,公办设备)等以下简称信息设备。
第四条.公司落实计算机管理责任部门和责任人,负责计算机管理的各种工作,该部门有权对公司的每台计算机具有操作,查看的权限。
二.采购 第五条.按照计算机系统规划和工作需要,公司各部门提出购置信息设备的申请,填写信息设备申请单后,经总经理批准方可采购 三.计算机使用与管理
第六条.有需要使用计算机的部门及工作人员,填写信息设备使用申请单后,经电脑管理部门批准后申请使用。第七条.计算机系统及所有程序必需由计算机管理部门统一安装,其它各部门及工作人员未经许可下不可增删硬盘上的应用软件和系统软件,违者罚款100元。第八条.公司的计算机由管理部门管理维护、任何部门和个人不得私自更改计算机的各项设置,如:(计算机名,网络IP地址,计算机管理员密码,登陆方式等)违者罚款100元 第九条.与工作相关的文件必需保存在D盘以使用者为姓名的目录中,个人文件必需保存在E盘以使用者为姓名的目录中,未按规定而告成的文件丢失等原因,后果自负。不得将任何文件存放在C盘系统目录中及操作系统桌面与我的文档中。
第十条.使用者应经常整理计算机文件,以保持计算机文件的整齐。
第十一条.计算机上不得存放有破坏公司计算机网络正常运行的软件,如:(黑客程序,带病毒的文件,)电影文件,及不健康的文件如:(黄色图片、视频图像,但不包括各类学习资料),一经发现罚款100元,并无条件删除。
第十二条.严禁使用计算机玩游戏、看电影,第一次发现者罚款10元,再次发现者罚款20元,以此类推。第十三条.不得私自拆卸计算机及外设,更不能私自更换计算机硬件,如发现者,以更换硬件价值的5倍罚款。
第十四条.使用者离开计算机时,应该及时锁定以免他人操作计算机。更不能将计算机让他们操作使用,一经发现罚款20元。
第十五条.使用者不得设置计算机开机BOIS密码,如发现有设置者,网络管理部门有权在不通知使用者的情况下给予清除。四.网络管理
第十六条.任何人不得将私人计算机、笔记本、手机、mp3、数码相机等设备未经网络管理部门的许可下接入公司计算机网络。违者罚款200元。
第十七条.任何人不得因私挪用公司信息设备,网络资源,更不能破坏,计算机网络设备,对于有破坏的,以其价值的2倍赔偿。
第十八条.有上网需要的单位及个人,填写上网申请单后,经总经理批准后,由网络管理员给予开通。第十九条.因考虑到在部份工作人员有上网查资料方面的需要,目前暂定在中午午休时间(在不影响网管工作的情况下)开放网管计算机以方便大家。
第二十条.具有上网功能的工作人员,不能将计算机转借他人上网使用,其它工作人员也不能借用能上网的计算机上网,一经发现罚款100元
第二十一条.具有上网功能的工作人员,不得利用网络浏览黄色网站。未经许可利用网络下载软件,更不得下载电影,黑客及对公司计算机网络安全有破坏性的程序。一经发现罚款100元。
第二十二条.有上网功能的工作人员,不得删除、卸载、关闭其安装在计算机上的杀毒软件。对于收取的邮件应先进行杀毒再打开。
第二十三条.任何人在未经许可的情况下,发起工作无关的腾讯通多人对话、网络会议、广播信息,更不能在多人对话的情况下,发表、讨论、诽谤有损公司员工及公司利益的言论。一经发现者给予发起人罚款50元,参与讨论的每人罚款20元的处分。
五.计算机安全措施及计算机文件备份
第二十四条.未经许可严禁任何将私人的光盘、VCD(学习光盘除外)、软盘,移动存储器等在公司的计算机设备上使用,违者罚款30元。第二十五条.公司及各部门的业务数据如需备份的请通知计算机管理员作好备份工作,对于特别重要数据由使用者本人向管理员申请做立即备份。第二十六条.公司计算机系统的数据资料列入保密范围的,未经许可严禁非相关人员私自复制,拷贝。一经发现罚款100元。对于严重构成有损公司利益的行为,给予开除处理。第二十七条.计算机使用者必需设置用户密码并妥善保管,不得将用户密码泄露给第三者,严防被窃,如发现他人利用其账号和密码,而违反公司规定者,由其账号使用者负责
第二十八条.任何人不能利用各种手段、破解、攻击公司计算机网络系统与其各种服务平台,及公司计算机用户账号与密码。一经发现罚款500元上以上,情节特别严重的,给予开除处理。六.计算机清洁及保养
第二十九条.不得在计算机旁边堆放杂物,保持计算机正常通风散热。第三十条.计算机使用者必需经常清洁主机,显示器,键盘,以保持计算机的清洁卫生
第三十一条.操作人员在离开计算机半小时以上及下班之后,请关闭计算机。如发现未关闭计算机者每次罚款10元。
第三十二条.遇停电时,必需在停电之后12分内关闭计算机,以免损坏 UPS及计算机设备,对于未能及时关闭计算机而造成计算机设备损坏的,责任自负。第三十三条.遇到计算机问题的(包括经常性死机),请立即报网络管理部门修理处理。对于未能及申报而造成损失的,由计算机使用者负责赔偿 七.网络管理门职责 第三十四条.确保公司计算机网络及各种服务器正常运行,定期对公司计算机系统进行维护和故障检修病毒防范等工作,发现存在的事故隐患应及时排除。第三十五条.网络管理部门具有管理上网的权限,但不得私自为任何人在未经批准的情况下,给员工开通上网功能。一经发现罚款200元。第三十六条.网络管理部门应及时地处理公司计算机网络出现的故障,对于不能及时处理的,向总经理由申报 八.其它 第三十七条.公司鼓励员工使用计算机。在不影响计算机使用者正常工作的情况下,鼓励不会使用计算机员工在经网络管理部门批准并在指定的计算机上学习计算机知识。私自使用计算机者,罚款30元。多次发现者加倍罚款。九.附则
本制度由网络管理部门和监查门部负责共同监督。
本制度由网络管理部门解释、补充,经总经理批准颁布。
机房防火。下班前应注意检查水电开关和门窗安全。7.保持计算机室整洁与卫生,室内严禁吸烟。计算机运行日志制度
1、计算机操作人员必须登记当天所有上机操作情况。要求填写日期,操作员姓名,操作内容,运行时间和运行情况。
2、操作过程中没有问题则在运行情况及备注栏填写运行正常字样,若有问题发生则应及时登记记录并向负责人报告。
3、不得进行末作登记记录的任何软硬件维护工作。
4、系统在维护过程中发现的异常现象和处理方法,处理结果都应有所记载,对于重大运行故障,除按规定登记外还须另行填写故障报告单。
5、操作记录要装订成册,妥善保管,年终整理归档。
6、要真实完整地填写操作记录,发生总是不登记者,按经济责任制条款处理,以上规定请所有操作及维护人员遵照执行。信息化收集分析运用共享制度一、熟练掌握应用软件的操作使用规定,熟悉计生业务应用软件的流程,并按有关流程做好信息的收集和运用共享。
二、计算机及其外部设备实行定位安装、定位使用、定人管理。未经批准,不得挪作他用或借给他人使用。
三、严格遵守计算机使用管理规定和安全操作规程。确保人身、设备安全。使用者对计算机及外设负有保管和日常维护的责任。
四、注意保密,严禁将口令泄露给他人。因泄密而发生的一切后果由口令所有者自行负责。未经防病毒软件检验过的磁盘, 不得上网操作使用,严禁安装游戏软件。
五、除技术人员外,任何人不得私自安装、删除软件和更改计算机配置。
六、发现异常情况时,应正确采取应急措施,并报告网络主管部门和系统管理员。遇有计算机或网络设备出现故障,应按规定程序申报维修。严禁擅自拆机、检修。
七、网络管理人员离开工作机、台时,须退出当前应用程序,返回至初始状态,并锁定系统。机关工作人员在下班或确认不再用机时,必须按操作规程关闭计算机后方可离开。多人共用一机的,除专人负责外,其他人亦负有日常维护、保养责任。
八、严禁使用办公计算机访问国际互联网。确因工作需要使用互联网时,须经批准,在专设的“电子阅览室”使用专用的计算机进行,上网查阅资料时,应避免访问与工作无关的网站,以防各类网络安全事故的发生。信息质量保障制度
一、机房及配发了计算机(本文来自范文家http://
1、计算机网络系统属于公司固定资产,只为公司正常业务经营管理所使用,不得挪作它用;
2、公司所有电脑的技术支持和维护由IC部门***负责,每位员工在电脑使用过程中,如遇技术问题,可及时向其反馈,寻求解决;
3、员工不得随意修改系统参数,包括域名、计算机名、IP地址、网络通信协议等等;
4、域模式的情况下,员工必须以自己所分配的域用户名登录到域中;
5、员工不得随意删除已存在的网络共享,特别是网络打印机的共享;
6、员工上网不得浏览国家法律所禁止的包含色情、暴力、反动及封建迷信等内容的网页;
7、员工不得随意下载或安装和工作无关的软件,特别是可能危及计算机网络系统安全的带病毒程序或黑客程序;
8、员工不得随意修改或删除系统文件和文件夹,不得随意更改文件和文件夹的属性,非特殊情况下(要向公司申报),不得对文件进行加密处理;
9、实行管理责任制,每台电脑由相对应的人员负责使用、保管及日常维护,并登记签名确认;
10、每台电脑应安装杀毒软件,员工对个人使用的电脑杀毒软件应定期升级,更新病毒库,并至少两周查、杀病毒一次;
11、所有聊天工具(如MSN、QQ等)只能作为公司内部员工或对外客户联系之用途,每位员工应自觉遵守;
【it信息安全与保密管理】推荐阅读:
信息安全保密操作规程05-26
1.信息安全保密制度05-26
计算机信息安全保密审计报告06-12
电力信息化与信息安全06-08
信息安全原理与应用06-05
网络与信息安全技术小结06-06
网吧网络与信息安全制度09-14
公共信息网络发布信息保密管理规定07-20
信息系统保密管理规定06-14
信息系统保密管理制度09-06
