保密实验室涉密设备保密管理制度(通用13篇)
保密实验室涉密设备保密管理制度 篇1
涉密人员保密管理制度
1.工作人员进入涉密岗位前,必须进行涉密资格审查。未取得涉密资格,不得从事涉密岗位工作,不得接触国家秘密。
2.保密工作领导小组会同人事部门等对涉密人员的涉密资格进行审查,填写《涉密人员审查表》。
3.对涉密人员要经常进行保密教育和必要的保密培训。保证涉密人员知悉其必须承担的保密义务和责任,以及应当享有的权利;熟悉基本的保密法规制度;掌握与其工作相关的保密知识和技能。
4.各级领导和保密工作管理部门要对涉密人员履行保密义务和责任的情况,进行有效的监督和管理。
涉密人员要严格履行保密责任书中确定的责任和义务。对涉密人员履行职责情况进行定期考核。考核不合格的涉密人员应调离涉密岗位。
5.涉密人员实行脱密期制度。涉密人员脱密期期限根据涉密程度确定,一般为六个月至三年。
6.涉密人员脱离涉密岗位时,应主动清退期保管和使用的秘密载体。
7、对申请辞职的涉密人员,要征求保密工作领导小组的意见。
8、涉密人员请假逾期不归,单位保密部门应采取相应措施进行处理。
保密实验室涉密设备保密管理制度 篇2
信息化办公设备具有智能程度高、 功能强大等优点,可以极大程度地提高办公效率,但同时也面临着安全保密方面的严峻挑战。 本文系统分析了信息化办公设备面临的泄密隐患,并有针对性地设计了办公设备安全保密体系和防护措施,为构建安全保密的办公化境提供理论和技术支撑。
当前, 办公环境已由各式信息化办公设备所组成, 办公条件已实现自动化和信息化。 信息化办公设备能够为工作人员提供智能化的操作手段,极大地提高工作效率。 但与此同时,信息化办公设备也因其某些方面的缺陷,也极易造成涉密办公信息的泄密。 因此,系统分析当前涉密信息化办公设备存在的泄密隐患,并制定有针对性的保密防护方案, 对于确保涉密办公信息的安全保密,具有十分重要的现实意义。
2涉密办公设备面临的泄密隐患
目前,主要的信息化办公设备包括计算机、打印机、 扫描仪、传真机、路由器、交换机及移动存储介质等。 在这些办公设备的使用过程中, 因为各个方面的原因,极易导致涉密办公信息的泄露。
2.1非自主可控易被植入后门
“斯诺登事件”证明:办公设备不能实现自主可控,就不能确保办公信息的安全保密。 但是,在当前的办公环境中,一些主要的办公设备,如计算机、打印机、扫描仪、路由器和交换机等,还尚未完全实现国产化。 即使是有了国产品牌的产品, 但是其中的一些核心元器件仍然产自国外。 如果使用了非自主可控的办公设备,生产国就会因意欲窃取我国涉密信息而故意在这些设备中预先植入后门,由此对我实施窃密。 甚至,到了一些关键时期可能会采取致命性的破坏,从而直接瘫痪我们的办公环境。
2.2违规使用极易造成泄密
在使用办公设备过程中,还存在一些违反规定的操作使用现象,也极易造成信息泄密。 比如私自使用打印/ 扫描/ 传真多功能一体机、办公电脑违规接入个人移动存储介质等。 虽然,在这些操作过程中,采取了一定的安全保密措施,比如使用多功能一体机时仅用于与内部单位之间传递文件,但是这些做法极易给敌特分子留下可趁之机,在无意之间造成办公信息的泄密。
2.3电磁辐射泄漏涉密信息
在办公环境中,计算机主机及其附属电子设备都会产生电磁波辐射,辐射的电磁波可能携带计算机正在处理的数据信息。 尤其是显示器,由于显示的信息是供操作人员阅读所用,未采取任何保密措施,所以其产生的辐射很容易造成信息泄密。 使用专门的接收设备就能够将这些电磁辐射接收下来,经过处理,就可恢复还原出原始信息。
2.4维修报废不慎致使泄密
维修报废环节不慎也极易造成泄密。在信息化的办公设备中,其内置的存储磁盘、内存、核心芯片等元器件都会存储一些办公信息。 如果将办公设备送到一些不具有保密资质的地方进行维修, 就极有可能导致留存信息被读出, 导致泄密。此外,报废环节不按规定操作也会造成泄密。因为,即使是不能正常运行的办公设备中,也会留存有以前的办公信息,如果不将其完全清除干净就进行报废,那么回收人员就可能采取数据恢复手段将信息还原。
3涉密办公设备保密方案设计
确保涉密办公设备的安全保密是一项复杂的系统工程。 基于以上对其泄密隐患的分析,可以从生产制造、 技术防护、操作管理等三个方面着手,建立起一体化的安全保密方案,如图1所示。
3.1生产制造环节
生产制造环节是确保办公设备安全保密的根基。 只有在生产制造环节确保了办公设备的安全可靠,才能真正实现办公设备的保密。 为此,首先要力求办公设备国产化,能够实现办公设备的自主生产,摆脱对国外设备的依赖。 此外,还要实现办公设备信息技术的自主可控, 确保办公设备安全可信。 但是,目前我国在生产一些设备时还不能完全实现国产化,那么就应该在已具有能力的基础上,逐步攻坚,最终实现国产化和自主可控。
3.2技术防护环节
该环节主要目的是通过采用相关的信息化技术,提高办公设备的安全保密性,增强安全保密能力。 其中,安全检测技术主要目的是对装备的办公设备进行安全检查,查找可能隐藏的安全泄密隐患;病毒防护主要是采取病毒查找和杀毒技术,对信息化的办公设备进行安全防护;电磁防护主要是针对办公设备存在的电磁泄漏威胁,采取电磁干扰、电磁屏蔽等技术手段,防止电磁辐射泄漏; 入侵防护则是综合采用入侵检测和防御技术,对办公设备所处的网络环境进行防护,防止办公设备被远程控制实施窃密。
3.3操作管理环节
操作管理环节主要侧重管理过程中存在的问题,通过综合采取建立保密规章制度、建立保密人才体系、定期进行保密检查和管好维修报废环节等三个主要措施予以解决。 制度是保障保密工作圆满完成的依据。 所以,首先必须建立完善的保密管理规章制度, 将办公设备的保密管理纳入到保密整体工作之中,并列为日常工作的重点; 其次,完成保密工作还需要建立高素质的保密人才体系, 充实办公设备保密管理工作队伍;此外,要建立定期检查制度,对办公环境定期进行安全保密检查,及时查找隐藏的安全保密问题;最后,还要注意办公设备的维修报废环节,对办公设备进行全生命周期的保密管理。
4结束语
信息化的办公设备具有应用范围广、 自动化程度高、功能强大等优点,极大地提高了办公的效率。 但在给工作带来极大便利的同时, 也给安全保密带来了诸多问题。
通过系统分析信息化办公设备隐藏的安全保密隐患,设计了办公设备的安全保密方案,从生产制造、技术防护和操作管理三个环节着手,建立起一体化的安全保密体系,确保信息化办公环境的安全保密。
参考文献
[1]李伟玲.办公自动化中安全保密技术的应用研究[J].河南科技,2014(9).
[2]许国锋,许鹏文,邹红霞.国产自主可控技术在军队院校办公自动化中的应用[J].四川兵工学报,2014,35(3).
[3]曹品军.做好办公设备保密管理的几点思考[J].电子世界,2013(18).
[4]吕立波.浅谈计算机终端设备信息辐射及其防范措施[J].广东公安科技,2000(1).
涉密网络安全保密防护和管理 篇3
涉密网络安全保密隐患
1.违规外联。涉密网络严禁和互联网连接,但是有些工作人员贪图便利,采用断开内网连接的方式违规将计算机接入互联网,甚至直接将接入涉密网的计算机同时又通过拨号、宽带和无线等方式接入互联网,破坏了内外网的物理隔离,极有可能将病毒、木马、后门等带入内网,导致黑客入侵并把涉密计算机作为跳板,渗透到内部网络,给涉密网络带来非常严重的危害和后果。
2.计算机端口滥用。涉密网络内部使用的涉密计算机的光驱、USB接口、红外接口等很容易被违规接入未经授权批准的外接设备,然后利用“信息摆渡”技术实现在物理隔离的两台计算机上的信息传递,在此过程中很容易造成信息泄漏或致使涉密计算机感染病毒。
3.权限失控。在涉密网络中如果没有使用用户身份鉴别和权限控制措施,工作人员可以毫无障碍的调阅出高出自身知悉范围内的涉密信息,从而导致泄密。“棱镜”事件就是一件典型的权限失控导致的泄密事件。
4.系统漏洞。系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或错误,这些漏洞成为入侵者进入计算机或网络的一个“后门”,可通过植入木马、病毒等方式来攻击或控制整个计算机和网络,窃取其中的涉密信息。由于涉密网络与互联网物理隔离,工作人员不便于进行系统补丁升级,导致这些漏洞无法得到及时修补,极易被黑客所利用。
5.人为因素。一些单位的工作人员保密意识不强,在工作中没有遵循基本的安全防范规则操作造成泄密,例如涉密计算机不按规定设置口令或者口令设置过于简单容易被破解、没有定期升级系统软件或病毒库等。此外还有一些由于保密技术知识缺乏或操作失误导致的泄密,例如管理员对防火墙配置不当为外来的程序攻击创造了机会,计算机中的硬盘或某些文件夹被设置成共享状态,使非法人员通过操作系统提供的功能非常容易地下载到这些计算机硬盘中的文件等。
涉密网络安全保密防护技术
1.虚拟局域网技术。虚拟局域网技术可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组,不同的虚拟局域网之间不能进行相互的联系和通讯,这就避免了病毒感染和黑客入侵。此外虚拟局域网技术中对于交换机端口的划分操作简单灵活,这就使得在涉密网络中网络设备的灵活移动成为可能,单位不同部门可以规划到不同的虚拟局域网中来,既方便了数据的传输、信息的共享,又提高了涉密网络的安全性。
2.防火墙系统。防火墙系统是计算机与内部网络或内部网络与外部网络之间安全的屏障,配置防火墙是实现涉密网络安全最基本、最有效的安全措施之一。利用防火墙对涉密网络进行安全域划分,禁止不同虚拟局域网在非应用系统使用时相互访问,同时在交换机配置阶段,就进行端口隔离,这样同部门同虚拟局域网之间也存在了基础的安全网络防护,可实现重点服务器网段和非密服务区网段隔离,从而降低重要数据或敏感信息安全问题对整个涉密网络造成的影响。此外,防火墙系统还能实时地记录所有用户访问信息的日志情况,并对涉密网络的流量情况进行统计。一旦发生网络异常现象,防火墙系统还能及时报警,确保涉密网络的安全稳定。
3.入侵检测系统。入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它可以在不影响网络性能的情况下对网络进行监测,提供内部攻击、外部攻击和误操作时的实时保护。在涉密网络中,可以在需要保护的服务器网段上部署入侵检测系统,实时监视各种对服务器的访问请求并及时将信息反馈给控制台。
4.访问控制技术。访问控制是限制已授权的用户、程序、进程或计算机网络中的其他的系统访问本系统的资源的过程,它是涉密网络安全防护的主要核心策略。通常在涉密网络中实施访问控制的策略是在交换机的某个端口上绑定合法的计算机MAC地址,所有未在该端口上绑定的MAC地址全部为非法入口,会在进入该端口时予以屏蔽,这样就杜绝了非法MAC地址的入侵,可以防止非授权的计算机从数据链路层进入涉密网络。
5.漏洞扫描技术。漏洞扫描技术是指通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测技术。它和防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过漏洞扫描,网络管理员能了解网络的安全设置和运行的应用服务,及时发现网络内计算机与服务器等网络设备的各种漏洞和隐患,如端口和服务、系统漏洞、弱口令及共享文件等,并给出修正建议。此外,当有计算机接入涉密网络中时,还可以通过扫描计算机的系统漏洞,自动对入网计算机进行系统补丁升级,确保所有接入涉密网络的计算机系统漏洞都能及时得到修复,降低计算机被入侵攻击的风险。
6.身份鉴别和授权。身份鉴别是保证涉密网络安全的重要措施。经过身份鉴别进入涉密网络的合法用户,需要对其访问系统资源的权限进行限制。设置访问控制应当遵循“最小授权原则”,即在应当授权的范围内有权使用资源,非授权范围内无权使用资源。并且在授权时按照该人员的最高涉密等级进行身份认证授权。在涉密网络中,工作人员的各种操作行为均需进行个人身份鉴别。
7.涉密计算机监控和审计。涉密计算机监控是指通过安全策略对受控计算机的移动存储设备、外部连接设备、网络连接等输入输出端口进行监控,防止非法文件拷贝、打印、扫描、非法外联等安全事件的发生,对于正在发生的高危行为予以及时制止或预警。涉密计算机审计是指记录涉密计算机用户的实际操作,包括计算机访问应用系统情况、文件的拷贝打印操作、病毒感染情况、擅自连接互联网情况、非工作软件的安装和运行等内容,通过分析日志,能够在事后有效发现用户的违规操作或非法入侵行为,以便管理人员及时发现问题以及事后追究责任。
nlc202309010757
8.数字加密和数字签名。数据加密和数字签名技术是提高涉密网络安全性的必要手段。数据加密技术可以用于涉密文件的加密上,通过公钥、密钥的分发确保文件即使被盗取也无法解密。数字签名是利用密码技术生产一系列符号和代码组成电子密码进行签名,来代替书写签名和印章。将数字签名添加到文件正文中后,能够保证文件的机密性、发送者身份真实性、文件数据的完整性和发送者对自己行为的不可否认性,构造一种更加完善、高强度的文件加密方案。
9.电磁泄漏防护。涉密网络电磁辐射主要有四个因素产生:显示器辐射、通信线路辐射、主机辐射、输出设备(打印机)辐射。这些设备是依靠高频脉冲电路工作的,由于电磁场的变化,必然要向外辐射电磁波。这些电磁波会把计算机中的信息带出去,窃密者只要具有相应的接收设备,就可以通过接收电磁波从中窃取涉密信息。针对电磁泄漏可采用的防护措施有选用低辐射设备、利用噪声干扰源、距离防护、电磁屏蔽等。
10.容灾备份技术。涉密网络中的数据安全是重中之重,但由于敌对势力、自然灾害或其他网络、硬软件故障、操作失误、病毒等因素的影响,随时可能导致数据丢失、破坏、业务中断等灾难事故的发生。容灾技术可以保证在遭遇灾害时信息系统能正常运行,实现业务连续性的目标,备份技术可以应对灾难来临时造成的数据丢失问题。在具体操作中,容灾备份技术通常是将系统变化发生时的每个时间点都捕获下来,一旦系统发生写数据的动作,就实时复制将要写入存储的写操作,在写入本地磁盘的同时复制一份到本地或远程数据保护中心,这样一旦灾难发生,就可以从数据保护中心中获取丢失的数据。
涉密网络保密管理措施
1.完善涉密网络安全保密规章制度建设。规章制度是涉密网络安全管理的基础,只有建立了完善的安全管理制度,明确安全保密职责,才能确保涉密网络和涉密信息系统正常、有效运行。涉密单位应根据国家出台的相关规定,充分发挥创新精神,结合本单位的实际情况,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,建立有针对性的涉密网络安全管理制度,将原则性的标准进行细化,明确安全职责的划分和人员分工安排,让涉密网络的建设、管理、使用、维护等各个环节都有相应的制度作为保障。同时要对规章制度进行动态化的管理,及时发现规章制度中不适和问题,对规章制度的适应性进行改进。
2.提高工作人员保密意识和防护技能。工作人员的保密意识薄弱、保密防护技能缺乏是泄密事件发生的主因,由于网络信息安全技术知识更新换代频繁,一些工作人员平时不注重学习,认识不到安全威胁,保密意识淡漠,不注意个人的安全防护,认为涉密网络安全防护是信息中心的事儿,与他们毫无关系。还有部分人员存在侥幸心理,为图方便甚至不遵守相关安全规定,违规接入互联网或外部设备,给涉密网络防护带来较大隐患。因此需要加强工作人员的保密意识和网络安全意识,切实使更多的工作人员充分认清当前网络条件下的保密形势,认清网络与信息技术快速发展给保密工作带来的巨大负面影响,在思想上保持警惕,筑牢思想防线。同时要通过举办讲座、学习班等形式普及涉密网络安全防护知识,使其熟悉危害涉密网络安全的行为以及其基本原理,让安全操作成为一种工作习惯和自觉行为。
3.强化保密监督和检查。保密监督和检查是防止失泄密事件发生的有效手段。利用网络安全技术做好日常保密监督和检查是充分发挥涉密网络防护体系作用的一个重要的环节,具体措施有:对非授权存取、非授权外联、非授权接入采取必要的技术检测手段,作出及时响应,并形成日志记录;对涉密网络中的设备运行态进行监测,例如可以每周查看安全审计记录;每月对监控和审计系统的日志进行分析整理。通过日常化的保密监督和检查,能够及时发现存在的安全隐患与管理缺陷,及时消除安全隐患与改进管理,提升涉密网络安全防护的技术水平和保密管理水平。
涉密网络的安全保密防护和管理是一个涉及网络信息安全技术和保密管理的庞大课题,而且随着网络技术的不断发展,会出现越来越多新的安全保密防护问题,因此我们必须综合运用各种新技术新知识,不断完善和调整防护策略,才能构建一道网络信息安全的铜墙铁壁。
(作者单位:宁波国研软件技术有限公司)
涉密网络保密管理规定 篇4
第二条接入互联网的计算机不得处理涉密资料。涉密计算机要专人管理、专人负责、专人使用,并设置密码,禁止访问互联网及其他外部网络系统。
第三条凡涉密数据的传输和存贮均应采取相应的保密措施;涉密移动存储介质要妥善保管,严防丢失。
第四条严禁私自将涉密移动存储介质带出机关,因工作需要必须带出机关的要经领导批准,并有专人保管。
第五条使用电子文件进行网上信息交流,要遵守有关保密规定,不得利用电子文件传递、转发或抄送涉密信息。
第六条接入互联网的计算机必须安装防病毒工具,进行实时监控和定期杀毒,定期对其计算机系统进行维护以加强防护措施。
第七条涉密计算机如需送到机关外维修时,要将涉密文件拷贝后,对硬盘上的有关内容进行必要的技术处理。外请人员到机关维修存有涉密文件的计算机,要事先征求有关领导批准,并做相应的技术处理,采取严格的保密措施,以防泄密。
第八条对重要数据要定期备份,防止因存储介质损坏造成数据丢失,备份介质可用光盘、硬盘等方式,要妥善保存。
涉密计算机保密管理制度 篇5
第一条 涉密计算机由办公室统一购买,并登记编号,建立台账,张贴标签,统一配发,专人负责,专机专用。聘请相对固定的技术人员负责维护维修,并做好维修记录。
第二条 涉及计算机必须设置具有高安全性的开机密码,并确保工作环境安全。任何无关人员不得接触和使用涉密专用计算机。涉密机必须安装杀毒软件,定时查杀病毒。
第三条 涉及计算机存放于安全场所,与国际互联网和其他公共信息网必须实现物理隔离,不得安装无线键盘、无线鼠标、无线网卡灯设备。
第四条 连接内网的计算机坚持“涉密信息不上网,上网信息不涉密”。
第五条 涉密计算机不得安装与工作无关的软件程序,不得存放私人信息;与涉密机连接的打印机、复印机、扫描仪等设备,也不能与其他任何网络连接。
第六条 涉密计算机确定密级后,不能处理高密集信息。
第七条 涉密计算机只能使用涉密移动存储介质,非涉密计算机只能使用非涉密移动存储介质,不得交叉使用。
第八条 用涉密计算机处理的信息在打印输出时,打印出的文件应当按照相应密级文件管理,打印过程中产生的残、次、废页等过程文件应按保密要求及时销毁。
非涉密计算机保密管理制度
第一条 非涉密机应由单位统一购买,登记编号,张贴标签,建立台账。
第二条 非涉密计算机不得与涉密计算机相互连接使用,操作人员必须遵守国家有关法律法规。连接互联网的计算机严禁浏览、下载、传播、发布违法信息;不接收来历不明的电子邮件。
第三条 非涉密计算机不得制作、处理、存储、传递、发布涉密信息和文件资料。第四条 非涉密计算机只能使用非涉密移动存储介质。
第五条 计算机操作人员调离时应将有关材料、档案、软件移交给其他工作人员;接替人员应对系统重新进行调整,重新设置用户密码。
第十七条 机关、单位对承载国家秘密的纸介质、光介质、电磁介质等载体以及属于国家秘密的设备、产品,应当做出国家秘密标志。
第二十一条 国家秘密载体的制作、收发、传递、使用、复制、保存、维修和销毁,应当符合国家保密规定。
第二十四条 任何组织和个人不得有下列行为:
(一)将涉密计算机、涉密存储设备接入互联网及其他公共信息网络;
(二)在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换;
(三)使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息;
(四)擅自卸载、修改涉密信息系统的安全技术程序、管理程序;
(五)将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途。
第二十五条 任何组织和个人不得有下列行为:
(一)非法获取、持有国家秘密载体;
(二)买卖、转送或者私自销毁国家秘密载体;
(三)通过普通邮政、快递等无保密措施的渠道传递国家秘密载体;
(四)邮寄、托运国家秘密载体出境;
(五)未经有关主管部门批准,携带、传递国家秘密载体出境。
第二十六条 禁止非法复制、记录、存储国家秘密。
禁止在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密。
禁止在私人交往和通信中涉及国家秘密。
第二十七条 报刊、图书、音像制品、电子出版物的编辑、出版、印制、发行,广播节目、电视节目、电影的制作和播放,互联网、移动通信网等公共信息网络及其他传媒的信息编辑、发布,应当遵守有关保密规定。
第三十二条 机关、单位应当将涉及绝密级或者较多机密级、秘密级国家秘密的机构确定为保密要害部门,将集中制作、存放、保管国家秘密载体的专门场所确定为保密要害部位,按照国家保密规定和标准配备、使用必要的技术防护设施、设备。
第三十九条 机关、单位应当建立健全涉密人员管理制度,明确涉密人员的权利、岗位责任和要求,对涉密人员履行职责情况开展经常性的监督检查。
第四十八条 有下列行为之一的,依法给予处分;构成犯罪的,依法追究刑事责任:
(一)非法获取、持有国家秘密载体的;
(二)买卖、转送或者私自销毁国家秘密载体的;
(三)通过普通邮政、快递等无保密措施的渠道传递国家秘密载体的;
(四)邮寄、托运国家秘密载体出境,或者未经有关主管部门批准,携带、传递国家秘密载体出境的;
(五)非法复制、记录、存储国家秘密的;
(六)在私人交往和通信中涉及国家秘密的;
(七)在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密的;
(八)将涉密计算机、涉密存储设备接入互联网及其他公共信息网络的;
(九)在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换的;
(十)使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息的;
(十一)擅自卸载、修改涉密信息系统的安全技术程序、管理程序的;
(十二)将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途的。
涉密网络安全保密防护和管理 篇6
随着信息化和工业化步伐的不断加快,互联网已经融入社会生活方方面面,深刻改变了人们的生产和生活方式,无纸化办公、网络化办公已经成为社会主流。一些政府机关、科研院所、军工企业等单位日常工作中需要存储和处理大量涉密信息,对网络和信息系统的依赖性不断增强,泄密渠道和机会大大增加,由于网络安全漏洞和人为管理疏忽而导致的安全危机、经济损失、重要资料泄密等重大事件层出不穷,因此网络保密管理尤其是涉密网络安全保密防护和管理工作成为保密工作的重中之重。
涉密网络安全保密隐患
1.违规外联。涉密网络严禁和互联网连接,但是有些工作人员贪图便利,采用断开内网连接的方式违规将计算机接入互联网,甚至直接将接入涉密网的计算机同时又通过拨号、宽带和无线等方式接入互联网,破坏了内外网的物理隔离,极有可能将病毒、木马、后门等带入内网,导致黑客入侵并把涉密计算机作为跳板,渗透到内部网络,给涉密网络带来非常严重的危害和后果。
2.计算机端口滥用。涉密网络内部使用的涉密计算机的光驱、USB接口、红外接口等很容易被违规接入未经授权批准的外接设备,然后利用“信息摆渡”技术实现在物理隔离的两台计算机上的信息传递,在此过程中很容易造成信息泄漏或致使涉密计算机感染病毒。
3.权限失控。在涉密网络中如果没有使用用户身份鉴别和权限控制措施,工作人员可以毫无障碍的调阅出高出自身知悉范围内的涉密信息,从而导致泄密。“棱镜”事件就是一件典型的权限失控导致的泄密事件。
4.系统漏洞。系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或错误,这些漏洞成为入侵者进入计算机或网络的一个“后门”,可通过植入木马、病毒等方式来攻击或控制整个计算机和网络,窃取其中的涉密信息。由于涉密网络与互联网物理隔离,工作人员不便于进行系统补丁升级,导致这些漏洞无法得到及时修补,极易被黑客所利用。
5.人为因素。一些单位的工作人员保密意识不强,在工作中没有遵循基本的安全防范规则操作造成泄密,例如涉密计算机不按规定设置口令或者口令设置过于简单容易被破解、没有定期升级系统软件或病毒库等。此外还有一些由于保密技术知识缺乏或操作失误导致的泄密,例如管理员对防火墙配置不当为外来的程序攻击创造了机会,计算机中的硬盘或某些文件夹被设置成共享状态,使非法人员通过操作系统提供的功能非常容易地下载到这些计算机硬盘中的文件等。
涉密网络安全保密防护技术
1.虚拟局域网技术。虚拟局域网技术可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组,不同的虚拟局域网之间不能进行相互的联系和通讯,这就避免了病毒感染和黑客入侵。此外虚拟局域网技术中对于交换机端口的划分操作简单灵活,这就使得在涉密网络中网络设备的灵活移动成为可能,单位不同部门可以规划到不同的虚拟局域网中来,既方便了数据的传输、信息的共享,又提高了涉密网络的安全性。
2.防火墙系统。防火墙系统是计算机与内部网络或内部网络与外部网络之间安全的屏障,配置防火墙是实现涉密网络安全最基本、最有效的安全措施之一。利用防火墙对涉密网络进行安全域划分,禁止不同虚拟局域网在非应用系统使用时相互访问,同时在交换机配置阶段,就进行端口隔离,这样同部门同虚拟局域网之间也存在了基础的安全网络防护,可实现重点服务器网段和非密服务区网段隔离,从而降低重要数据或敏感信息安全问题对整个涉密网络造成的影响。此外,防火墙系统还能实时地记录所有用户访问信息的日志情况,并对涉密网络的流量情况进行统计。一旦发生网络异常现象,防火墙系统还能及时报警,确保涉密网络的安全稳定。
3.入侵检测系统。入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它可以在不影响网络性能的情况下对网络进行监测,提供内部攻击、外部攻击和误操作时的实时保护。在涉密网络中,可以在需要保护的服务器网段上部署入侵检测系统,实时监视各种对服务器的访问请求并及时将信息反馈给控制台。
4.访问控制技术。访问控制是限制已授权的用户、程序、进程或计算机网络中的其他的系统访问本系统的资源的过程,它是涉密网络安全防护的主要核心策略。通常在涉密网络中实施访问控制的策略是在交换机的某个端口上绑定合法的计算机MAC地址,所有未在该端口上绑定的MAC地址全部为非法入口,会在进入该端口时予以屏蔽,这样就杜绝了非法MAC地址的入侵,可以防止非授权的计算机从数据链路层进入涉密网络。
5.漏洞扫描技术。漏洞扫描技术是指通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测技术。它和防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过漏洞扫描,网络管理员能了解网络的安全设置和运行的应用服务,及时发现网络内计算机与服务器等网络设备的各种漏洞和隐患,如端口和服务、系统漏洞、弱口令及共享文件等,并给出修正建议。此外,当有计算机接入涉密网络中时,还可以通过扫描计算机的系统漏洞,自动对入网计算机进行系统补丁升级,确保所有接入涉密网络的计算机系统漏洞都能及时得到修复,降低计算机被入侵攻击的风险。
6.身份鉴别和授权。身份鉴别是保证涉密网络安全的重要措施。经过身份鉴别进入涉密网络的合法用户,需要对其访问系统资源的权限进行限制。设置访问控制应当遵循“最小授权原则”,即在应当授权的范围内有权使用资源,非授权范围内无权使用资源。并且在授权时按照该人员的最高涉密等级进行身份认证授权。在涉密网络中,工作人员的各种操作行为均需进行个人身份鉴别。
7.涉密计算机监控和审计。涉密计算机监控是指通过安全策略对受控计算机的移动存储设备、外部连接设备、网络连接等输入输出端口进行监控,防止非法文件拷贝、打印、扫描、非法外联等安全事件的发生,对于正在发生的高危行为予以及时制止或预警。涉密计算机审计是指记录涉密计算机用户的实际操作,包括计算机访问应用系统情况、文件的拷贝打印操作、病毒感染情况、擅自连接互联网情况、非工作软件的安装和运行等内容,通过分析日志,能够在事后有效发现用户的违规操作或非法入侵行为,以便管理人员及时发现问题以及事后追究责任。
8.数字加密和数字签名。数据加密和数字签名技术是提高涉密网络安全性的必要手段。数据加密技术可以用于涉密文件的加密上,通过公钥、密钥的分发确保文件即使被盗取也无法解密。数字签名是利用密码技术生产一系列符号和代码组成电子密码进行签名,来代替书写签名和印章。将数字签名添加到文件正文中后,能够保证文件的机密性、发送者身份真实性、文件数据的完整性和发送者对自己行为的不可否认性,构造一种更加完善、高强度的文件加密方案。
9.电磁泄漏防护。涉密网络电磁辐射主要有四个因素产生:显示器辐射、通信线路辐射、主机辐射、输出设备(打印机)辐射。这些设备是依靠高频脉冲电路工作的,由于电磁场的变化,必然要向外辐射电磁波。这些电磁波会把计算机中的信息带出去,窃密者只要具有相应的接收设备,就可以通过接收电磁波从中窃取涉密信息。针对电磁泄漏可采用的防护措施有选用低辐射设备、利用噪声干扰源、距离防护、电磁屏蔽等。
10.容灾备份技术。涉密网络中的数据安全是重中之重,但由于敌对势力、自然灾害或其他网络、硬软件故障、操作失误、病毒等因素的影响,随时可能导致数据丢失、破坏、业务中断等灾难事故的发生。容灾技术可以保证在遭遇灾害时信息系统能正常运行,实现业务连续性的目标,备份技术可以应对灾难来临时造成的数据丢失问题。在具体操作中,容灾备份技术通常是将系统变化发生时的每个时间点都捕获下来,一旦系统发生写数据的动作,就实时复制将要写入存储的写操作,在写入本地磁盘的同时复制一份到本地或远程数据保护中心,这样一旦灾难发生,就可以从数据保护中心中获取丢失的数据。
涉密网络保密管理措施
1.完善涉密网络安全保密规章制度建设。规章制度是涉密网络安全管理的基础,只有建立了完善的安全管理制度,明确安全保密职责,才能确保涉密网络和涉密信息系统正常、有效运行。涉密单位应根据国家出台的相关规定,充分发挥创新精神,结合本单位的实际情况,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,建立有针对性的涉密网络安全管理制度,将原则性的标准进行细化,明确安全职责的划分和人员分工安排,让涉密网络的建设、管理、使用、维护等各个环节都有相应的制度作为保障。同时要对规章制度进行动态化的管理,及时发现规章制度中不适和问题,对规章制度的适应性进行改进。
2.提高工作人员保密意识和防护技能。工作人员的保密意识薄弱、保密防护技能缺乏是泄密事件发生的主因,由于网络信息安全技术知识更新换代频繁,一些工作人员平时不注重学习,认识不到安全威胁,保密意识淡漠,不注意个人的安全防护,认为涉密网络安全防护是信息中心的事儿,与他们毫无关系。还有部分人员存在侥幸心理,为图方便甚至不遵守相关安全规定,违规接入互联网或外部设备,给涉密网络防护带来较大隐患。因此需要加强工作人员的保密意识和网络安全意识,切实使更多的工作人员充分认清当前网络条件下的保密形势,认清网络与信息技术快速发展给保密工作带来的巨大负面影响,在思想上保持警惕,筑牢思想防线。同时要通过举办讲座、学习班等形式普及涉密网络安全防护知识,使其熟悉危害涉密网络安全的行为以及其基本原理,让安全操作成为一种工作习惯和自觉行为。
3.强化保密监督和检查。保密监督和检查是防止失泄密事件发生的有效手段。利用网络安全技术做好日常保密监督和检查是充分发挥涉密网络防护体系作用的一个重要的环节,具体措施有:对非授权存取、非授权外联、非授权接入采取必要的技术检测手段,作出及时响应,并形成日志记录;对涉密网络中的设备运行态进行监测,例如可以每周查看安全审计记录;每月对监控和审计系统的日志进行分析整理。通过日常化的保密监督和检查,能够及时发现存在的安全隐患与管理缺陷,及时消除安全隐患与改进管理,提升涉密网络安全防护的技术水平和保密管理水平。
涉密网络的安全保密防护和管理是一个涉及网络信息安全技术和保密管理的庞大课题,而且随着网络技术的不断发展,会出现越来越多新的安全保密防护问题,因此我们必须综合运用各种新技术新知识,不断完善和调整防护策略,才能构建一道网络信息安全的铜墙铁壁。
保密工作在涉密档案管理中的应用 篇7
一、档案的存放
因经济发展和社会进步, 档案逐步从纸质形式向电子形式发展, 目前两种形式并存, 出于保密的要求, 我们要采取不同方式对档案进行保存。存放纸质类档案的库房应该单独设立, 并且尽量远离闲杂人员经常出入的地方, 同时要对库房的墙体加厚, 门窗加固。结合档案的种类、保密级别、保密年限等要求, 将档案分门别类予以存放, 配备必要的灭火、控温、通风设施。但在通风口必须安装防盗设备, 有条件的机构要单独设置档案存放地。对于电子档案采用单独的存储设备, 并且必须按照规定予以备份, 切不可使用可以接入互联网并且没有高等级防火墙的电子设备存储档案。
例如: 县及县级以上政府都建有档案馆专门存放保管各类档案, 各级行政事业性单位也都设有专人对本单位的档案进行管理, 但档案库房建设因经费问题、办公场地问题等限制有的还不规范, 很容易导致泄密现象的发生, 随着国家对档案工作的重视, 应该加大此方面的建设投入力度。
二、档案的运输
随着人员流动及各级相关需求, 档案的正常调动时有发生, 但是一定要严格按照程序规范执行档案的运送方式。作为各种数据的真实记载, 运送过程中须预防灭失、篡改等事件的发生。档案保管机关在档案发出前必须查验档案封装袋内的各种记载事项是否齐全, 内装物品与档案袋外标注是否相符, 无误后将绳扣编花打结, 贴好封条, 并加盖骑缝章。各级档案原则上不允许个人携带, 不允许通过社会快递公司、物流公司邮寄。出于保密需求, 必须填写中国邮政机要函件发运单, 并通过此渠道运输。电子档案的传送必须考虑保密工作的需要, 不能通过日常QQ、MSN、电子邮件传输。同时作为电子文档必须进行专业的加密工作。档案寄达接收单位后, 档案管理员务必按照程序检查封条、印章、外包装粘和处有无异常, 确认无异常后, 认真填写接收记录单, 将调入的档案归类保存。
如大学生毕业后档案需要发送至工作地点, 出于“省事”的考虑, 让本人随身携带档案, 最终导致伪造档案、添加虚假荣誉、抽出违纪记录、篡改成绩记录等事件的发生, 失去档案真实性的特质。
又如档案管理员不执行规范要求, 利用民营的快递公司寄送本应由邮政专营的机要递寄业务, 运输过程中的各项防范、监管、交接制度不健全, 执行不到位, 很容易导致档案丢失、损毁。
三、档案的调阅
档案根据重要程度分为三种保密级别: 绝密、机密和秘密。在调阅档案时, 一定要严格审查调阅者的查看权限, 切勿越级调阅, 超过审批范围查阅, 避免内容的泄密。档案管理员的工作枯燥乏味, 但十分重要。管理者必须拥有强烈的责任心和较高的政治觉悟, 在实际工作中不能因上下级关系、同事朋友关系等违规进行档案的调阅, 不得复印、抄写档案, 更不可以带出档案室。档案回收后应立即锁在保险柜里, 不得在外存放。当今社会关系错综复杂, 敌对势力通过各种办法向我方渗透, 企图刺探我国经济情报、军事情报、对外政策等信息, 一旦泄密必将给国家、社会、个人带来不可估量的损失, 因此必须把好审查关。
如政府职能部门的人事安排是一个十分敏感的问题, 经过组织部门考察推荐, 拿到常委会上讨论通过, 每个人的表态都会以会议纪要的形式存档, 这些一般属于机密档案, 一般工作人员是无权调阅的, 即使是领导干部, 未经授也不得调阅, 否则很可能导致同事间的不团结, 影响正常的工作和生活。
四、档案的解密
在涉密档案的保密期内, 根据国家发展建设需要, 有很多涉密档案有一定的保密期, 在保密期内能接触到档案内容的任何集体和个人都有责任和义务保守秘密。并按相关保密级别处理相关事宜。但档案有其特殊性, 保密期限结束, 需要解密的应该及时履行相关解密手续, 以便更好地为社会发展和经济建设服务。
如涉密档案根据密级大体上可以分为三类, 绝密级保密期限不超过三十年, 机密级保密期限不超过十年, 秘密级保密期限不超过三年, 保密期限是长期的必须报中央相关部门批准。因此, 保密期限已过的, 档案管理员应该及时报批对档案进行解密, 以便供查阅、引用、研究等。
总之, 档案管理工作中, 特别对涉密档案的管理, 不但要有严格的保密制度, 而且要根据不同情况, 尽可能将保密工作落到实处。
摘要:档案管理工作纷繁复杂, 特别由于历史原因没有实施《档案法》以前, 档案管理工作无法可依, 也没有先进的手段和专门的人员对档案实行有效管理, 造成档案管理工作存在很多不规范的操作, 丢失、泄密现象给国家、社会、个人造成巨大的不可估量的损失。随着制度的完善, 在档案管理过程中的保密工作尤为重要。
关键词:保密工作,涉密档案管理,应用
参考文献
[1]1996年7月5日第八届全国人民代表大会常务委员会第二十次会议修正.中华人民共和国档案法.
保密实验室涉密设备保密管理制度 篇8
第一条 为加强涉密人员的管理,确保国家秘密,制定本制度。第二条 对涉密人员的确定,应遵循“先审后用”的原则,涉密人员第三条 第四条 第五条 一经确定,由涉密领导小组会同公司人事部门对涉密人员进行管理及保密教育工作。
涉密人员应具备的基本条件
(一)政治坚定,具有较强的政治鉴别力和政治敏锐性;(二)忠于职守,爱岗敬业,具有较强的事业心和责任感;(三)主动、自觉接受保密教育;遵守保密纪律,执行保密规章制度,具有较强的保密法制观念;
(四)能够妥善保管、处理涉密文件、资料;掌握一定的保密工作技能。
下述涉密岗位工作的人员界定为涉密人员:
(一)涉及秘密事项的公司部门经理;(二)涉密要害部门直接接触涉密内容的人员;(三)涉密部门的主要负责人和涉密事项、项目负责人。
对涉密人员的管理
(一)涉密领导小组对涉密人员的管理工作具有教育、指导、协调、监督和检查职责。
(二)公司人事部门负责对涉密人员的政治审查工作,负责涉密人员保密教育工作。
(三)人事部门负责涉密人员岗位调动、调配工作及保密教育工作。
第六条 涉密人员要主动、自觉学习和遵守各项保密法规和规章制度,严格遵守保密纪律,履行保密责任,接受保密教育,并自觉接受涉密领导小组的监督和检查。
攀枝花市志林网络科技有限责任公司
涉密移动存储介质的保密管理规定 篇9
涉密移动存储介质包括移动硬盘、存储卡、U盘、软盘、光盘、磁带、录音笔等。
(1)涉密移动存储介质的管理应遵循“统一购买、统一标识,严格登记,集中管理”的原则。
(2)涉密移动存储介质由保密办或指定相关部门负责购买,并统一编号登记,集中管理。涉密移动存储介质应在密码柜中保存。
(3)涉密移动存储介质应在显著位置粘贴密级标识(密级、用途、责任人)。所标密级应按其所存储信息的最高密级进行标识。
(4)借用涉密移动存储介质要履行登记手续,即填写借用审批单,经单位分管领导审批后借用,使用后要及时归还。
(5)单位计算机安全保密管理员对涉密移动存储介质要定期进行保密技术检查。
(6)涉密移动存储介质严禁在与国际互联网相连接的计算机上使用。严禁使用非涉密移动存储介质存储、处理国家秘密信息。
(7)涉密移动存储介质不得降低密级使用。严禁将涉密移动存储介质进行重新格式化或删除信息等方式后,作为普通存储介质使用。
(8)携带涉密移动存储介质外出,须经单位领导批准,并采取必要的保护措施,使涉密移动存储介质始终处于携带人的有效控制之下。
(9)严禁携带涉密移动存储介质出境。确因工作需要携带出境的,应当按照有关保密规定办理批准和携带手续。
(10)涉密人员离职离岗前,要将所保管的涉密移动存储介质全部清退,并办理移交手续。
保密实验室涉密设备保密管理制度 篇10
(试行)第一章总则
第一条 为了加强军工涉密业务咨询服务安全保密监督管理,确保国防科技工业国家秘密安全,维护国家安全和利益,根据《中华人民共和国保守国家秘密法》和国防科工局“三定”规定,制定本办法。
第二条本办法所称军工涉密业务咨询服务,是指法人单位或者其他组织受军工企事业单位及民口配套单位(以下简称军工单位)委托,对军工涉密业务提供咨询、审计、法律、评估、评价、招标等服务。
第三条国防科工局负责全国军工涉密业务咨询服务的安全保密监督管理。
省级国防科技工业管理部门负责本行政区域内军工涉密业务咨询服务的安全保密监督管理。
第四条军工单位应当委托符合本办法规定条件的法人单位或者其他组织从事军工涉密业务咨询服务。
第五条从事军工涉密业务咨询服务的法人单位或者其他组织(以下简称咨询服务单位),应当具备相应的安全保密条件,并严格遵守国家保密法律法规。
第二章安全保密条件
第六条咨询服务单位应当具备以下条件:
(一)基本条件。
1.中华人民共和国境内登记注册的法人单位或者其他组织: 2.无外商(含港澳台)投资; 3.有固定的办公场所,经营业绩良好; 4.法律、法规规定的其他要求。
(二)组织条件。
1.成立保密委员会或保密工作领导小组;
2.法定代表人或主要领导担任保密委员会主任或保密工作领导小组组长;
3.相关部门负责人为单位保密委员会或保密工作领导小组成员;
4.保密委员会或保密工作领导小组有明确工作分工; 5.保密委员会或保密工作领导小组实行例会制度,每年至少召开2次以上会议研究部署安全保密工作。
(三)机构条件。
1.涉密人员100人(含100人)以上的,要有专门独立机构
管理安全保密工作,编制2-3人;
2.涉密人员50人(含50人)以上,100人以下的,要明确一个部门管理安全保密工作,设1名专职安全保密管理人员;
3.涉密人员50人以下的,要明确一个部门管理安全保密工作,配1名兼职安全保密管理人员。
(四)制度条件。
1.基本制度,主要包括:保密教育、涉密人员管理、涉密专家管理、涉密载体管理、涉密场所管理、涉密会议管理、涉密计算机和信息系统管理、通信和办公自动化设备管理、保密监督检查等内容:
2.承担绝密级、机密级项目咨询服务的,应当制定专项保密管理制度。
(五)人员(包括外聘专家)条件。
1.具有中华人民共和国国籍,无其他国家或地区的永久或长期居留权,在中华人民共和国境内居住,与境外人员无婚姻关系:
2.具有良好的政治素质和品行; 3.掌握安全保密基本知识和技能:
4.参加安全保密教育培训,累计不少于15学时; 5.法律、法规规定的其他要求。
(六)场所条件。
1.具有专门处理涉密事项和存储涉密载体的场所; 2.涉密场所应当门窗坚固,建立电子门禁、视频监控、入侵报警等技术防范系统。
(七)设备保障条件。
1.配备专门用于处理国家秘密信息的计算机(便携式计算机)、存储介质和办公自动化设备;
2.配备专门存放涉密载体的保密柜; 3.有绝密级载体的,应当配备密码保险柜; 4.配备必要的保密技术检查工具;
5.日常保密工作经费有保障并列入预算。
第七条军工单位选择咨询服务单位,应当对其安全保密条件进行审查,符合条件的,方可委托军工涉密业务咨询服务。
第八条咨询服务单位应当向所在地省级国防科技工业管理部门提出安全保密条件备案申请,经审查符合条件的,报国防科工局列入《军工涉密业务咨询服务单位备案名录》。
第三章安全保密管理措施 第九条军工单位委托涉密业务应当与咨询服务单位签订委托协议和安全保密协议,明确安全保密要求。
第十条对咨询服务单位的安全保密管理措施:
(一)涉密人员管理
从事军工涉密业务咨询服务的人员(包括外聘专家)应当按照有关规定进行安全保密审查,与单位签订安全保密责任书,明确安全保密责任和义务。离开涉密业务咨询服务岗位,应当清退涉密载体,实行脱密期管理。
(二)涉密载体管理。
涉密载体应当按照有关规定标明密级和保密期限,建立台账,集中统一管理;制作、收发、传递、使用、复制、保存、维修和销毁涉密载体(含纸介质、磁介质等),应当严格按照国家保密管理规定,履行签收、登记、审批等手续;对接触或知悉绝密级国家秘密的人员应当作出文字记载。
(三)项目管理。
绝密级或机密级军工项目,应当明确一名领导负责保密管理工作,并严格控制知悉范围。
(四)涉密计算机管理。
涉密计算机及其移动存储介质应当集中管理,并建立台账:涉密计算机和信息系统应当与国际互联网和其他公共信息网物理隔离;涉密计算机不得安装任何无线通信设备;涉密信息系统投入使用前必须经过国家保密部门系统测评和审批;非涉密计算机和信息系统不得存储和处理涉密信息;涉密信息远程传输应当按照国家保密部门要求采取密码保护措施;涉密计算机和信息系统内使用的移动存储介质应当采取绑定或有效的技术控制措施,信息导入和导出应当符合国家有关保密要求;存储、处理国家秘密的计算机和信息系统应当按照有关法律法规及标准进行技术防护。
(五)涉密通信和办公自动化设备管理。
涉密办公自动化设备不得连接互联网或其他公共信息网:不得使用具有无线互联功能的办公自动化设备赴理涉密信息;不得使用普通通信设备传递涉密信息;不得使用普通电话(手机)谈论涉密事项;不得在涉密场所使用无绳电话。
(六)外协管理
外协涉密业务应当选择符合本办法规定的单位,并与对方签订安全保密协议。
第四章监督检查
第十一条国防科技工业管理部门应当定期对军工单位和咨询服务单位的安全保密工作情况进行监督检查,指导督促安全保密管理措施落实。
第十二条军工单位应当按照本办法和安全保密协议的规定,督促咨询服务单位做好安全保密工作。
第十三条咨询服务单位应当按照本办法的规定,自觉做好军工涉密业务的安全保密工作,并于每年12月底前向所在地省级国防科技工业管理部门报送安全保密自查报告。
第十四条咨询服务单位有下列情形之一的,应当自发生变化之曰起10个工作日内向所在地省级国防科技工业管理部门报 告,省级国防科技工业管理部门收到报告之日起10个工作日内向国防科工局报告,国防科工局视情做出相应处理:
(一)单位法定代表人或主要负责人、注册地址、资本构成发生重大变化的;
(二)不再继续从事军工涉密业务咨询服务的;
(三)被收购重组的:
(四)不符合安全保密条件的。
第五章责任追究 第十五条军工单位违反本办法,委托不符合安全保密条件的咨询服务单位从事军工涉密业务咨询服务的,国防科工局将在系统内通报批评,并建议追究相关人员的责任。
第十六条咨询服务单位违反国家保密法律法规和本办法规定,泄露国家秘密的,国防科工局将视情节轻重建议有关部门进行责任追究。
第十七条咨询服务单位在申请备案过程中,隐瞒重要情况或提供虚假材料的,1年内不予受理备案申请。
第十八条咨询服务单位有下列情形之一的,国防科工局将其撤出备案:
(一)以欺骗、贿赂等不正当手段通过条件审查的:
(二)存在重大泄密隐患,经警告逾期不改的;
(三)严重违反保密规定,发生泄密事件的:
(四)有非法获取、持有国家秘密行为以及其他严重违法行 为的。
被撤出备案的,自撤出之曰起1年内不再予以备案。同时,军工单位应当解除委托咨询服务协议。
第十九条国防科技工业管理部门安全保密监督管理人员有渎职、失职情形的,依照有关法律法规,严肃处理。
第六章附则
保密实验室涉密设备保密管理制度 篇11
实施细则 第一章
总则
第一条
根据《军工涉密业务咨询服务安全保密监督管理办法(试行)》(以下简称《办法》)及国家有关安全保密管理的规定,制定本细则。
第二条
未军工单位涉密业务提供咨询、审计、法律、评估、评价、招标、设计、施工、监理、载体制作、设备设施维修、展览展示、物资采购代理、信息系统集成和安全防范工程等服务的法人单位或组织,应当具备相应的安全保密条件,在国防科技工业管理部门备案。
第三条
经国防科技工业管理部门审查,符合安全保密条件的法人单位或组织,列入《军工涉密业务咨询服务单位备案名录》(以下简称《名录》),颁发《军工涉密业务咨询服务安全保密条件合格证书》以下简称《合格证书》)。
第四条
国防科工局负责全国军工涉密业务咨询服务的安全保密监督管理,主要履行下列职责:
(一)制定军工涉密业务咨询服务安全保密监督管理政策、规范要求;
(二)负责为国防科工局、局属单位等提供咨询服务单位的安全保密条件审查;
(三)负责省级国防科技工业管理部门审查报备咨询服务单位审查审批;
(四)负责统一发布《名录》、颁发《合格证书》;
(五)负责备案咨询服务单位变更、撤销等审查审批;
(六)对各省(区、市)军工涉密业务咨询服务安全保密条件备案工作进行监督指导。
第五条
省级国防科技工业管理部门负责本行政区域内军工涉密业务咨询服务的安全保密监督管理,主要履行下列职责:
(一)对本行政区域内咨询服务单位安全保密工作进行监督检查;
(二)受理本行政区域内咨询服务单位安全保密条件备案工作;
(三)对本行政区域内申请安全保密条件备案的咨询服务单位进行初审,条件合格的报国防科工局审核审批;
(四)受理、初审本行政区域内备案咨询服务单位的变更、撤销等工作,报国防科工局审批。
第六条
国防科工局委托军工保密资格审查认证中心负责军工涉密业务咨询服务安全保密条件备案监督管理工作。
省级国防科技工业管理部门应当明确相应部门负责本行政区域内军工涉密业务咨询服务安全保密条件备案监督管理工作。
第二章
安全保密条件具体要求
第七条
咨询服务单位应当符合《办法》规定的相关条件和《军工涉密业务咨询服务单位安全保密条件现场审查评分标准》(以下简称《评分标准》)有关要求。
第八条
咨询服务单位的专、兼职保密工作人员应当通过国防科工局组织的安全保密管理知识和技能培训,考试合格,获得上岗资格。
第九条
咨询服务单位的涉密人员(包括外聘专家)应当通过国防科工局组织的军工涉密业务咨询服务安全保密专项培训和考核,获得相应的《安全保密培训证书》。
第十条
处理涉密事项和存储涉密载体的场所要划定专门区域,做到集中、可控。涉密场所应当安装防盗门、防盗窗、防护栏和防盗报警装置。处理机密级以上(含机密级)事项的涉密场所还应当安装电子门禁、视频监控和入侵报警装置。
第十一条
处理国家秘密信息的计算机(含便携式计算机)、存储介质和办公自动化设备应当根据所处理、存储信息的最高密级粘贴标签,涉密信息应当标明密级。
第十二条
机密级以下(含机密级)国家秘密载体应当存在密码文件柜中,绝密级国家秘密载体应当存放在密码保险柜中。
第十三条
军工单位委托涉密业务咨询服务,应当严格按照《办法》和本细则规定,审核咨询服务单位是否列入《名录》,承担涉密业务咨询服务的人员是否获得《安全保密培训证书》,对不符合安全保密条件的,不得委托军工涉密业务咨询服务。
第三章
安全保密管理具体措施
第十四条
军工单位与咨询服务单位签订安全保密协议,应当明确保密内容、保密要求、保密期限、违约责任等。
第十五条
咨询服务单位应当根据涉密人员接触、知悉或经管国家秘密的情况,对涉密岗位和涉密人员等级作出界定。
涉密岗位和涉密人员的涉密等级分为核心(绝密级)、重要(机密级)和一般(秘密级)三个等级,并根据从业情况变化及时调整。
第十六条
任用、聘用涉密业务咨询服务人员(包括外聘专家),咨询服务单位人事部门应当会同保密工作机构对其个人经历、政治表现、道德品质、家庭社会关系进行审查。审查合格后,方可从事涉密咨询服务。
第十七条
涉密人员离开涉密岗位,应当将管理、使用的全部涉密载体及涉密设备列出清单,移交单位,不得私自留存,并签订保密承诺书。实行脱密期管理,一般涉密人员1年、重要涉密人员2年、核心涉密人员3年。在脱密期内,未经审查批准,不得应聘到境外驻华机构、外国企业工作,不得擅自出境,不得为境外人员或者外资企业提供劳务、咨询或者服务。
第十八条
对记载有国家秘密的纸介质、光介质、磁介质等载体以及属于国家秘密的设备、产品,应当做出国家秘密标志,正确标明密级、保密期限。
单位应当建立涉密载体台帐,做到帐物相符、适时更新。
第十九条
咨询服务单位应当根据工作需要,按照“最小化”原则,将国家秘密的知悉范围限定到具体人员,对接触和知悉绝密级、机密级国家秘密的人员应当作出文字记载。
第二十条
涉密计算机和移动存储介质维修应当选择国家保密部门指定的单位,涉密计算机和移动存储介质的报废和销毁必须经过安全技术处理。
第二十条
对记载有国家秘密的纸介质、光介质、磁介质等载体以及属于国家秘密的设备、产品,应当做出国家秘密标志,正确标明密级、保密期限。
第二十一条
不得使用非涉密计算机或信息系统及办公自动化设备存储、处理和传输涉密信息。
第二十二条
严禁使用连接互联网的计算机或办公自动化设备存储、处理和传输涉密信息。
第二十三条
禁止使用无标志的存储介质,禁止在低密级计算机上使用高密级存储介质,禁止在低密级存储介质上存储高密级信息,信息交换应当符合国家有关保密管理规定。
第二十四条
涉密计算机应选择通过国家相关主管部门授权测评机构检测的安全保密产品,依据安全策略进行配置和管理,采取必要的身份鉴别、访问控制、安全审计、病毒和恶意代码防护、电磁泄漏发射防护等措施,对软、硬件设备接入和信息输出进行有效控制。
第二十五条
对涉密办公自动化设备应当建立台帐,明确专人管理,其维修、维护应当全程旁站陪同,丢设备报废、销毁要按照国家保密管理要求进行处理。
第二十六条
不得使用普通传真机、电话机和手机传输或谈论涉密信息,处理涉密信息的多功能一体机不得与普通电话线连接。不得在涉密场所使用无绳电话、无线话筒等设备,涉密场所不得带入3G手机,保密要害部门部位不得带入手机。
第二十七条
分包涉密业务,应当选择列入《名录》的单位,签订安全保密协议应当明确项目级与安全保密要求,并监督安全保密协议的执行。
第四章
备案程序
第二十八条
申请安全保密条件备案的咨询服务单位,应当填写《军工涉密业务咨询服务单位安全保密条件备案申请书》(以下简称《申请书》),并提供以下材料(纸质文件2份、电子版光盘1份):
(一)申请书;
(二)工商营业执照正本、副本(复印件);
(三)组织机构代码证书(复印件);
(四)公司章程或职能证明;
(五)上一财务验资报告或财务审计报告;
(六)经营或办公场所产权证书或租赁合同(复印件);
(七)国防科工局和国防科技工业管理部门要求提供的其他材料。
其中,拟为国防科工局、局属单位军工集团提供涉密业务咨询服务的,向国防科工局军工保密资格审查认证中心提出申请。
为各省级国防科技工业管理部门和军工单位提供涉密业务单位,按照属地化管理原则向所在地省级国防科技工业管理部门提出申请。
第二十九条
安全保密条件备案审查分为书面审查和现场审查。
国防科工局或省级国防科技工业管理部门收到申请后,在10个工作日内作出是否受理的决定,并通知对方。
对决定受理的单位,国防科工局或省级国防科技工业管理部门应当组成审查组在30个工作日内进行现场审查。
第三十条
审查组负责人由国防科工局或省级国防科技工业管理部门指定,审查组成员2至5人(包括1-2名保密技术检查人员)。
第三十一条
现场审查按照《评分标准》,实行评分制,满分为100分,达到90分以上(含90分)为符合条件。
第三十二条
审查组现场审查程序:
(一)提前5个工作日通知被审查单位;
(二)听取被审查单位情况汇报和对有关事项的说明;
(三)审查有关文字材料和保密工作档案;
(四)向负责人和有关人员了解情况;
(五)进行现场审查,并作出审查记录;
(六)对现场审查情况进行评议,形成审查意见和评分结果,填写《军工涉密业务咨询服务单位安全保密条件审查意见书》(以下简称《审查意见书》);
(七)向被审查单位通报审查意见和评分结果,对存在问题提出整改要求;
(八)被审查单位负责人在《审查意见书》上签署意见。
第三十三条
审查合格单位由各省国防科技工业管理部门报国防科工局审核,国防那个科工局应当在30个工作日内作出是否备案或列入《名录》的决定,《名录》由国防科工局在一定范围内公布。
第三十四条
安全保密条件现场审查不合格的单位,6个月后方可重新申请。第三十五条
咨询服务单位安全保密条件备案有效期为3年。有效期满,需继续从事军工涉密业务咨询服务的单位,应当提前60个工作日重新提出申请。
第五章
监督管理
第三十六条
对咨询服务单位实行保密自查制度,每年12月底前,向国防科工局或省级国防科技工业管理部门报送《军工涉密业务咨询服务单位安全保密自查报告》(样式见附件)。
第三十七条
咨询服务单位具有下列情形之一的,应当申请变更备案:
(一)法定代表人变更的;
(二)单位名称变更的;
(三)注册地址变更的。
第三十八条
咨询服务单位具有下列情形之一,需继续从事军工涉密业务咨询服务的,应当重新申请备案:
(一)备案有效期届满;
(二)资本构成、企业性质发生重大变化;
(三)因单位搬迁等涉密场所保密环境和技术安全措施发生重大改变。第三十九条
咨询服务单位具有下列情形之一的,撤出备案,停止军工涉密业务咨询服务,造成泄密的,移送有关部门依法追究责任:
(一)以欺骗、贿赂等不正当手段通过条件审查;
(二)出租、转让、转借《合格证书》;
(三)跨省(区、市)从事军工涉密业务咨询服务,不按照本细则规定到委托单位所在地的国防科技工业管理部门登记;
(四)选择为列入《名录》的单位分包涉密咨询服务;
(五)存在重大泄密隐患,经警告逾期不改;
(六)严重违法保密规定,发生泄密事件;
(七)有非法获取、持有国家秘密行为以及其他严重违法行为。
第四十条
军工单位违反规定,委托《名录》之外的单位从事军工涉密业务咨询服务的,两年内不受理项目申请,并视情追究有关人员责任。
第四十一条
有关工作人员在从事军工涉密业务咨询服务安全保密监督管理工作中有渎职、失职、腐败情形的,依照法律法规,严肃处理。
第六章
附则
第四十二条
已经取得国家武器装备科研生产保密资格的单位,从事军工涉密业务咨询服务,应当根据《办法》及本细则的要求,申请安全保密条件备案。国防科技工业管理部门视情对其安全保密条件进行核实和备案。
第四十三条
取得安全保密条件备案的单位跨省(区、市)从事军工涉密业务咨询服务的,应当到委托单位所在地的国防科技工业管理部门登记。
第四十四条
本细则自印发之日起施行。
附件:
1.军工涉密业务咨询服务单位安全保密条件备案申请书
涉密人员保密承诺书 篇12
我了解有关保密法规制度,知悉应当承担的保密义务和法律责任。本人承诺:
一、不将涉密计算机连接互联网或其他公共信息网;
二、不在非涉密计算机尤其是在连接互联网或其他公共信息网的计算机上存储、处理涉密信息和使用涉密移动存储介质;
三、不在涉密计算机上使用无线键盘、无线鼠标、无线网卡等无线设备;
四、不在涉密与非涉密计算机之间交叉使用移动存储介质,或者在未采取防护措施的情况下将互联网上的资料下载拷贝到涉密计算机上;
五、不以任何方式泄露所接触和知悉的国家秘密;
六、不将手机带入重要涉密场所或通过手机等通信工具谈论国家秘密事项、发送涉密短信;
七、不使用普通传真机或多功能一体机传输、处理涉密信息,或者将处理过涉密信息的多功能一体机接入普通电话网及其他公共信息网;
八、不将涉密计算机、涉密移动存储介质交由无关人员使用和保管,或者在涉密计算机上安装、拷贝来历不明的软件和硬件;
九、不将淘汰、报废的涉密计算机或涉密移动存储介质作非涉密载体处理;
十、不在涉密场所的连接互联网或其他公共信息网的计算机上安装摄像头、麦克风等视频、音频输入设备。
十一、认真遵守国家保密法律、法规和规章制度,履行保密义务;
十二、不提供虚假个人信息,自愿接受保密审查;
十三、离岗时,自愿接受脱密期管理,签订保密承诺书。违反上述承诺,自愿承担党纪、政纪责任和法律后果。
机关涉密人员保密承诺书 篇13
1、认真遵守国家保密法律、法规和规章制度,履行保密义务,不提供虚假个人信息,自愿接受保密审查。
2、不违规记录、存储、复制国家秘密信息,不违规留存国家秘密载体;不以任何方式泄露所接触和知悉的国家秘密;未经单位审查批准,不擅自发表涉及未公开工作内容的文章、著述;离岗时,自愿接受脱密期管理,签订保密承诺书。
3、涉密岗位的相关人员要进行保密知识教育,要求涉密人员带头履行承诺,带头学习保密知识,掌握保密技能,真正做到懂保密、会保密、善保密。
【保密实验室涉密设备保密管理制度】推荐阅读:
非涉密网络保密管理05-12
艾滋病实验室保密制度09-01
涉密计算机保密管理07-04
涉密会议保密管理规定08-26
涉密网络安全保密防护和管理05-17
【参考答案】涉密资质保密知识测试07-05
涉密计算机信息系统安全保密要求07-25
移动存储设备保密管理规定09-16
安全保密管理05-20