涉密网络安全保密防护和管理(共10篇)
涉密网络安全保密防护和管理 篇1
涉密网络安全保密防护和管理
随着信息化和工业化步伐的不断加快,互联网已经融入社会生活方方面面,深刻改变了人们的生产和生活方式,无纸化办公、网络化办公已经成为社会主流。一些政府机关、科研院所、军工企业等单位日常工作中需要存储和处理大量涉密信息,对网络和信息系统的依赖性不断增强,泄密渠道和机会大大增加,由于网络安全漏洞和人为管理疏忽而导致的安全危机、经济损失、重要资料泄密等重大事件层出不穷,因此网络保密管理尤其是涉密网络安全保密防护和管理工作成为保密工作的重中之重。
涉密网络安全保密隐患
1.违规外联。涉密网络严禁和互联网连接,但是有些工作人员贪图便利,采用断开内网连接的方式违规将计算机接入互联网,甚至直接将接入涉密网的计算机同时又通过拨号、宽带和无线等方式接入互联网,破坏了内外网的物理隔离,极有可能将病毒、木马、后门等带入内网,导致黑客入侵并把涉密计算机作为跳板,渗透到内部网络,给涉密网络带来非常严重的危害和后果。
2.计算机端口滥用。涉密网络内部使用的涉密计算机的光驱、USB接口、红外接口等很容易被违规接入未经授权批准的外接设备,然后利用“信息摆渡”技术实现在物理隔离的两台计算机上的信息传递,在此过程中很容易造成信息泄漏或致使涉密计算机感染病毒。
3.权限失控。在涉密网络中如果没有使用用户身份鉴别和权限控制措施,工作人员可以毫无障碍的调阅出高出自身知悉范围内的涉密信息,从而导致泄密。“棱镜”事件就是一件典型的权限失控导致的泄密事件。
4.系统漏洞。系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或错误,这些漏洞成为入侵者进入计算机或网络的一个“后门”,可通过植入木马、病毒等方式来攻击或控制整个计算机和网络,窃取其中的涉密信息。由于涉密网络与互联网物理隔离,工作人员不便于进行系统补丁升级,导致这些漏洞无法得到及时修补,极易被黑客所利用。
5.人为因素。一些单位的工作人员保密意识不强,在工作中没有遵循基本的安全防范规则操作造成泄密,例如涉密计算机不按规定设置口令或者口令设置过于简单容易被破解、没有定期升级系统软件或病毒库等。此外还有一些由于保密技术知识缺乏或操作失误导致的泄密,例如管理员对防火墙配置不当为外来的程序攻击创造了机会,计算机中的硬盘或某些文件夹被设置成共享状态,使非法人员通过操作系统提供的功能非常容易地下载到这些计算机硬盘中的文件等。
涉密网络安全保密防护技术
1.虚拟局域网技术。虚拟局域网技术可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组,不同的虚拟局域网之间不能进行相互的联系和通讯,这就避免了病毒感染和黑客入侵。此外虚拟局域网技术中对于交换机端口的划分操作简单灵活,这就使得在涉密网络中网络设备的灵活移动成为可能,单位不同部门可以规划到不同的虚拟局域网中来,既方便了数据的传输、信息的共享,又提高了涉密网络的安全性。
2.防火墙系统。防火墙系统是计算机与内部网络或内部网络与外部网络之间安全的屏障,配置防火墙是实现涉密网络安全最基本、最有效的安全措施之一。利用防火墙对涉密网络进行安全域划分,禁止不同虚拟局域网在非应用系统使用时相互访问,同时在交换机配置阶段,就进行端口隔离,这样同部门同虚拟局域网之间也存在了基础的安全网络防护,可实现重点服务器网段和非密服务区网段隔离,从而降低重要数据或敏感信息安全问题对整个涉密网络造成的影响。此外,防火墙系统还能实时地记录所有用户访问信息的日志情况,并对涉密网络的流量情况进行统计。一旦发生网络异常现象,防火墙系统还能及时报警,确保涉密网络的安全稳定。
3.入侵检测系统。入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它可以在不影响网络性能的情况下对网络进行监测,提供内部攻击、外部攻击和误操作时的实时保护。在涉密网络中,可以在需要保护的服务器网段上部署入侵检测系统,实时监视各种对服务器的访问请求并及时将信息反馈给控制台。
4.访问控制技术。访问控制是限制已授权的用户、程序、进程或计算机网络中的其他的系统访问本系统的资源的过程,它是涉密网络安全防护的主要核心策略。通常在涉密网络中实施访问控制的策略是在交换机的某个端口上绑定合法的计算机MAC地址,所有未在该端口上绑定的MAC地址全部为非法入口,会在进入该端口时予以屏蔽,这样就杜绝了非法MAC地址的入侵,可以防止非授权的计算机从数据链路层进入涉密网络。
5.漏洞扫描技术。漏洞扫描技术是指通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测技术。它和防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过漏洞扫描,网络管理员能了解网络的安全设置和运行的应用服务,及时发现网络内计算机与服务器等网络设备的各种漏洞和隐患,如端口和服务、系统漏洞、弱口令及共享文件等,并给出修正建议。此外,当有计算机接入涉密网络中时,还可以通过扫描计算机的系统漏洞,自动对入网计算机进行系统补丁升级,确保所有接入涉密网络的计算机系统漏洞都能及时得到修复,降低计算机被入侵攻击的风险。
6.身份鉴别和授权。身份鉴别是保证涉密网络安全的重要措施。经过身份鉴别进入涉密网络的合法用户,需要对其访问系统资源的权限进行限制。设置访问控制应当遵循“最小授权原则”,即在应当授权的范围内有权使用资源,非授权范围内无权使用资源。并且在授权时按照该人员的最高涉密等级进行身份认证授权。在涉密网络中,工作人员的各种操作行为均需进行个人身份鉴别。
7.涉密计算机监控和审计。涉密计算机监控是指通过安全策略对受控计算机的移动存储设备、外部连接设备、网络连接等输入输出端口进行监控,防止非法文件拷贝、打印、扫描、非法外联等安全事件的发生,对于正在发生的高危行为予以及时制止或预警。涉密计算机审计是指记录涉密计算机用户的实际操作,包括计算机访问应用系统情况、文件的拷贝打印操作、病毒感染情况、擅自连接互联网情况、非工作软件的安装和运行等内容,通过分析日志,能够在事后有效发现用户的违规操作或非法入侵行为,以便管理人员及时发现问题以及事后追究责任。
8.数字加密和数字签名。数据加密和数字签名技术是提高涉密网络安全性的必要手段。数据加密技术可以用于涉密文件的加密上,通过公钥、密钥的分发确保文件即使被盗取也无法解密。数字签名是利用密码技术生产一系列符号和代码组成电子密码进行签名,来代替书写签名和印章。将数字签名添加到文件正文中后,能够保证文件的机密性、发送者身份真实性、文件数据的完整性和发送者对自己行为的不可否认性,构造一种更加完善、高强度的文件加密方案。
9.电磁泄漏防护。涉密网络电磁辐射主要有四个因素产生:显示器辐射、通信线路辐射、主机辐射、输出设备(打印机)辐射。这些设备是依靠高频脉冲电路工作的,由于电磁场的变化,必然要向外辐射电磁波。这些电磁波会把计算机中的信息带出去,窃密者只要具有相应的接收设备,就可以通过接收电磁波从中窃取涉密信息。针对电磁泄漏可采用的防护措施有选用低辐射设备、利用噪声干扰源、距离防护、电磁屏蔽等。
10.容灾备份技术。涉密网络中的数据安全是重中之重,但由于敌对势力、自然灾害或其他网络、硬软件故障、操作失误、病毒等因素的影响,随时可能导致数据丢失、破坏、业务中断等灾难事故的发生。容灾技术可以保证在遭遇灾害时信息系统能正常运行,实现业务连续性的目标,备份技术可以应对灾难来临时造成的数据丢失问题。在具体操作中,容灾备份技术通常是将系统变化发生时的每个时间点都捕获下来,一旦系统发生写数据的动作,就实时复制将要写入存储的写操作,在写入本地磁盘的同时复制一份到本地或远程数据保护中心,这样一旦灾难发生,就可以从数据保护中心中获取丢失的数据。
涉密网络保密管理措施
1.完善涉密网络安全保密规章制度建设。规章制度是涉密网络安全管理的基础,只有建立了完善的安全管理制度,明确安全保密职责,才能确保涉密网络和涉密信息系统正常、有效运行。涉密单位应根据国家出台的相关规定,充分发挥创新精神,结合本单位的实际情况,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,建立有针对性的涉密网络安全管理制度,将原则性的标准进行细化,明确安全职责的划分和人员分工安排,让涉密网络的建设、管理、使用、维护等各个环节都有相应的制度作为保障。同时要对规章制度进行动态化的管理,及时发现规章制度中不适和问题,对规章制度的适应性进行改进。
2.提高工作人员保密意识和防护技能。工作人员的保密意识薄弱、保密防护技能缺乏是泄密事件发生的主因,由于网络信息安全技术知识更新换代频繁,一些工作人员平时不注重学习,认识不到安全威胁,保密意识淡漠,不注意个人的安全防护,认为涉密网络安全防护是信息中心的事儿,与他们毫无关系。还有部分人员存在侥幸心理,为图方便甚至不遵守相关安全规定,违规接入互联网或外部设备,给涉密网络防护带来较大隐患。因此需要加强工作人员的保密意识和网络安全意识,切实使更多的工作人员充分认清当前网络条件下的保密形势,认清网络与信息技术快速发展给保密工作带来的巨大负面影响,在思想上保持警惕,筑牢思想防线。同时要通过举办讲座、学习班等形式普及涉密网络安全防护知识,使其熟悉危害涉密网络安全的行为以及其基本原理,让安全操作成为一种工作习惯和自觉行为。
3.强化保密监督和检查。保密监督和检查是防止失泄密事件发生的有效手段。利用网络安全技术做好日常保密监督和检查是充分发挥涉密网络防护体系作用的一个重要的环节,具体措施有:对非授权存取、非授权外联、非授权接入采取必要的技术检测手段,作出及时响应,并形成日志记录;对涉密网络中的设备运行态进行监测,例如可以每周查看安全审计记录;每月对监控和审计系统的日志进行分析整理。通过日常化的保密监督和检查,能够及时发现存在的安全隐患与管理缺陷,及时消除安全隐患与改进管理,提升涉密网络安全防护的技术水平和保密管理水平。
涉密网络的安全保密防护和管理是一个涉及网络信息安全技术和保密管理的庞大课题,而且随着网络技术的不断发展,会出现越来越多新的安全保密防护问题,因此我们必须综合运用各种新技术新知识,不断完善和调整防护策略,才能构建一道网络信息安全的铜墙铁壁。
(作者单位:宁波国研软件技术有限公司)
涉密网络安全保密防护和管理 篇2
关键词:信息安全,防护,保密
档案信息安全包括系统运行安全和数据安全, 所谓系统运行安全是指档案信息系统设计合理、运行正常, 管理人员操作规范、管理严密, 整个信息系统能够按照设定的要求正常运转, 发挥预定的各项功能, 系统运行安全是信息安全的基础。档案数据安全是指档案信息的存储和传输安全, 即在保管利用档案信息的过程中, 维护档案信息的真实性、完整性、保密性和有效性。
从系统结构来看, 档案信息安全贯穿于信息系统各个层次。物理层安全的主要任务是防止对物理通路的损坏、窃听、攻击、干扰, 保证只给授权客户提供授权服务;操作系统安全要求保证用户资料、操作系统访问控制安全, 同时对操作系统中的应用进行审计;应用平台安全的任务是保证应用软件服务器、数据库服务器、电子邮件服务器、WEB服务器等设备软件环境的安全;档案应用系统的任务则是在档案管理系统设计和实现过程中, 有效利用应用平台提供的各种安全服务, 构筑起满足档案管理安全要求的安全保障体系。
一、防护策略
1. 应用综合手段, 构筑立体防护体系。
档案信息系统的复杂性、开放性及其面临威胁的多面性, 决定着其安全防护是一项整体、综合性的系统工程, 必须采用综合的防护措施, 任何一个环节出现漏洞, 都可导致整个安全体系的崩溃, 带来灾难性的后果。拥有500台大中型计算机的美国国防部MILNET安全防护体系可谓极其严密, 但仅因为其中一台计算机的网关偶然出现问题而被黑客侵入, 使系统遭受巨大损失。事实证明, 有效的安全防护体系必须从系统设计、人员管理、制度规范、技术手段等各个方面进行综合保障。
2. 确立适宜的防护等级。
安全体系的构建需要相当的经费投入, 并且往往以牺牲运行性能为代价。例如, 在信息网络的内外之间加置防火墙, 安全性能要求越高, 价格就越贵, 对内外信息流的滞延就越大。因此, 对档案信息安全性能的要求不是无限度的, 必须以威胁的风险系数为依据, 确定适宜的安全等级, 设计相应的安全体系。所谓“安全等级”是为规范对计算机系统安全状况的认定而统一规定的计算机系统安全保护能力的若干等级。在国际上, 比较通行的是美国国防部发布的《可信计算机系统评价准则》, 该准则将计算机系统及其产品的安全可信程度划分为D、C1、C2、B1、B2、B3和A1七个层次。我国国家标准则将计算机信息系统 (包括系统) 的安全保护能力设定为用户自主保护级、系统审计保护级、安全标记保护级、机构化保护级、访问验证保护级五个安全保护等级。
3. 加快国产化研发步伐。
如前所述, 目前我国信息产品主要依赖于进口, IT技术受控于西方。这种对产品缺乏自主权和自控权的状况, 潜伏着极大的风险。必须意识到国外产品在设计初衷里可能已包含了政治目的, 进口产品中可能存在嵌入式固件病毒、隐性通道等。根据美国的国防政策, 美国政府规定, 向国外出口的交换机的交换次数不能太多, 向中国出口的信息安全产品必须是美国能够充分破解的。目前, 美国向中国出口的产品, 加密强度非常低, 鉴于此, 安全系统的设计和建设应尽可能采用国有技术, 尤其是实现安全产品的国产化, 以保证档案信息的安全性。
4. 提升防护技术能力。
在构筑档案信息的安全检查体系时, 必须采用当时最先进的防护技术 (不一定是最高档的措施) , 同时, 既考虑到用户环境的发展, 也考虑到风险的存在。安全威胁与安全防护是相互对抗的动态过程。随着技术的发展, 危害安全的手段越来越高明, 工具越来越先进, 与之对峙的安全技术必须相应发展。档案信息安全防护技术只有不断升级, 安全措施不断改善, 才可能适应日趋严峻的安全问题。
5. 层级防护不留漏洞。
信息系统具有层次性, 因此, 其安全防护也是一个层次结构。在不同层次, 有不同安全需求和不同解决方案。安全防护体系唯有全方位覆盖, 才可能做到安全可靠、不留漏洞。安全防护遵循著名的“木桶理论”, 即一个系统的防护能力不超过其中安全性能最薄弱环节的安全防护能力。为提高档案信息安全防护的效率和效益, 防护体系中各个层次、各个方面的防护力度相差不能太大, 换言之, 各个层次每一环节的安全防护等级应当相同。
二、保密措施
档案信息不同于一般信息, 它记录着党和国家事务活动的历史过程。档案中有相当部分涉及国家机密, 关系国家安全, 包含国家政治、经济、科技、军事、文化等方面的敏感信息, 具有较强的保密性和利用限制性。这些信息一旦泄密或被非法利用, 将威胁到国家的安全, 损害公众的利益, 危及社会稳定。档案信息特有的原生性及其在凭证历史方面的不可替代性, 也决定了对其在数字环境中存储、传输的可靠性、稳定性要求高于其它信息, 安全措施更为复杂。
1. 库房是档案保密的重点。
档案库房应按照国家有关规定单独兴建, 但是有一些不具备条件的单位, 往往将库房附设在机关办公楼内。从档案保密的角度来看, 不是任何一间办公室都可以用作库房。而且不宜将库房设在办公楼的最底层, 库房门窗等设施应专门加固, 以防被盗。尽量做到库房与办公室分开, 库房与阅览室分开。档案库房应指定专人负责管理, 制定严格的库房管理制度, 无关人员一律禁止入内。实践证明, 档案库房的科学管理, 是做好档案保密、维护档案安全的基本保障。
2. 档案利用中的保密措施。
档案利用中的监督是保密工作的一项重要措施, 它能有效地发现、制止、纠正档案利用中的各种不良行为, 从而起到既能利用档案, 又能保证档案完整与安全的作用。 (1) 制度建设。档案利用规章制度一般有阅览制度、外借制度、复印制度等。根据实际情况确定不同的利用范围, 规定不同的审批手续, 使提供“利用”工作有章可循, 确保不失密、不泄密及文件的完好无损。 (2) 队伍建设。档案管理人员对档案的安全负有直接责任, 必须具备较高的素质。一是政治素质, 要有高度的政治责任心和全心全意为人民服务的精神, 热爱档案事业。二是业务素质, 要具备专业知识, 熟悉所保管的档案内容。三是文化素质, 要有较高的知识水平, 能总结和分析“利用”工作中的经验与问题, 从中掌握“利用”工作的规律。 (3) 监督措施。除了安装摄像监视器外, 一要嘴勤, 勤宣传“利用”档案的制度与规定, 勤与“利用者”交谈, 掌握其“利用”目的与动机;二是眼勤, 勤观察动态, 置每个“利用者”于视觉之中;三是手勤脑勤, 勤分析“利用者”的情况和利用效果, 勤检查“利用”的案卷, 勤督促“利用”登记制度的落实。要在“利用者”离去之前, 仔细检查翻阅被“利用”过的案卷和文件, 发现问题及时查处, 并在“利用”登记簿上备注说明。对损毁档案较为严惩的违法行为, 应及时报告有关领导, 以便及时查处, 挽回损失。
3. 档案开放中的保密措施。
一成不变地看待档案的秘密性, 无视其秘密性的时效和范围, 缺乏保密观念, 无限地扩大开放利用范围, 这种想法和做法非常危险。 (1) 做好档案的审查工作。审查工作是档案开放的一项重要工作和环节, 其主要任务是科学准确地区分、判定档案的开放与控制使用范围。一是初审, 对开放期限内的档案逐件进行审查, 初步判定开放与控制使用范围。二是中审, 由具有较高政策水平和业务能力的同志, 重点审查初审中没能判定开放与控制使用的部分档案, 以确定其取舍。三是终审, 由有关领导根据初审和中审的情况, 进行综合分析、审查, 最终决定、批准档案的开放与否。 (2) 做好档案的解密工作。保密档案等级的划分根据《保密法》分为“绝密”、“机密”、“秘密”三级。确定档案的密级, 采取不同的管理措施, 最大限度地提供“利用”档案。但是秘密不是一成不变的, 一旦秘密保管期限届满, 便失去了它的保密价值, 为此就不能按原有的保密文件管理, 而应按照公开文件进行管理, 这就是档案保密的时效性。向社会各界开放的档案, 必须是到了一定时限的档案, 要开放必须先进行划密、解密, 把未解密的列入控制使用范围。对划密档案进行解密, 应遵循保密法的有关规定, 即“国家秘密事项在保密期限内不需要继续保密的, 原确定密级和保密期限的机关、单位或者其上级机关应当及时解密”。
4. 对绝密档案要重点保密。
涉密网络安全保密防护和管理 篇3
涉密网络安全保密隐患
1.违规外联。涉密网络严禁和互联网连接,但是有些工作人员贪图便利,采用断开内网连接的方式违规将计算机接入互联网,甚至直接将接入涉密网的计算机同时又通过拨号、宽带和无线等方式接入互联网,破坏了内外网的物理隔离,极有可能将病毒、木马、后门等带入内网,导致黑客入侵并把涉密计算机作为跳板,渗透到内部网络,给涉密网络带来非常严重的危害和后果。
2.计算机端口滥用。涉密网络内部使用的涉密计算机的光驱、USB接口、红外接口等很容易被违规接入未经授权批准的外接设备,然后利用“信息摆渡”技术实现在物理隔离的两台计算机上的信息传递,在此过程中很容易造成信息泄漏或致使涉密计算机感染病毒。
3.权限失控。在涉密网络中如果没有使用用户身份鉴别和权限控制措施,工作人员可以毫无障碍的调阅出高出自身知悉范围内的涉密信息,从而导致泄密。“棱镜”事件就是一件典型的权限失控导致的泄密事件。
4.系统漏洞。系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或错误,这些漏洞成为入侵者进入计算机或网络的一个“后门”,可通过植入木马、病毒等方式来攻击或控制整个计算机和网络,窃取其中的涉密信息。由于涉密网络与互联网物理隔离,工作人员不便于进行系统补丁升级,导致这些漏洞无法得到及时修补,极易被黑客所利用。
5.人为因素。一些单位的工作人员保密意识不强,在工作中没有遵循基本的安全防范规则操作造成泄密,例如涉密计算机不按规定设置口令或者口令设置过于简单容易被破解、没有定期升级系统软件或病毒库等。此外还有一些由于保密技术知识缺乏或操作失误导致的泄密,例如管理员对防火墙配置不当为外来的程序攻击创造了机会,计算机中的硬盘或某些文件夹被设置成共享状态,使非法人员通过操作系统提供的功能非常容易地下载到这些计算机硬盘中的文件等。
涉密网络安全保密防护技术
1.虚拟局域网技术。虚拟局域网技术可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组,不同的虚拟局域网之间不能进行相互的联系和通讯,这就避免了病毒感染和黑客入侵。此外虚拟局域网技术中对于交换机端口的划分操作简单灵活,这就使得在涉密网络中网络设备的灵活移动成为可能,单位不同部门可以规划到不同的虚拟局域网中来,既方便了数据的传输、信息的共享,又提高了涉密网络的安全性。
2.防火墙系统。防火墙系统是计算机与内部网络或内部网络与外部网络之间安全的屏障,配置防火墙是实现涉密网络安全最基本、最有效的安全措施之一。利用防火墙对涉密网络进行安全域划分,禁止不同虚拟局域网在非应用系统使用时相互访问,同时在交换机配置阶段,就进行端口隔离,这样同部门同虚拟局域网之间也存在了基础的安全网络防护,可实现重点服务器网段和非密服务区网段隔离,从而降低重要数据或敏感信息安全问题对整个涉密网络造成的影响。此外,防火墙系统还能实时地记录所有用户访问信息的日志情况,并对涉密网络的流量情况进行统计。一旦发生网络异常现象,防火墙系统还能及时报警,确保涉密网络的安全稳定。
3.入侵检测系统。入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它可以在不影响网络性能的情况下对网络进行监测,提供内部攻击、外部攻击和误操作时的实时保护。在涉密网络中,可以在需要保护的服务器网段上部署入侵检测系统,实时监视各种对服务器的访问请求并及时将信息反馈给控制台。
4.访问控制技术。访问控制是限制已授权的用户、程序、进程或计算机网络中的其他的系统访问本系统的资源的过程,它是涉密网络安全防护的主要核心策略。通常在涉密网络中实施访问控制的策略是在交换机的某个端口上绑定合法的计算机MAC地址,所有未在该端口上绑定的MAC地址全部为非法入口,会在进入该端口时予以屏蔽,这样就杜绝了非法MAC地址的入侵,可以防止非授权的计算机从数据链路层进入涉密网络。
5.漏洞扫描技术。漏洞扫描技术是指通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测技术。它和防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过漏洞扫描,网络管理员能了解网络的安全设置和运行的应用服务,及时发现网络内计算机与服务器等网络设备的各种漏洞和隐患,如端口和服务、系统漏洞、弱口令及共享文件等,并给出修正建议。此外,当有计算机接入涉密网络中时,还可以通过扫描计算机的系统漏洞,自动对入网计算机进行系统补丁升级,确保所有接入涉密网络的计算机系统漏洞都能及时得到修复,降低计算机被入侵攻击的风险。
6.身份鉴别和授权。身份鉴别是保证涉密网络安全的重要措施。经过身份鉴别进入涉密网络的合法用户,需要对其访问系统资源的权限进行限制。设置访问控制应当遵循“最小授权原则”,即在应当授权的范围内有权使用资源,非授权范围内无权使用资源。并且在授权时按照该人员的最高涉密等级进行身份认证授权。在涉密网络中,工作人员的各种操作行为均需进行个人身份鉴别。
7.涉密计算机监控和审计。涉密计算机监控是指通过安全策略对受控计算机的移动存储设备、外部连接设备、网络连接等输入输出端口进行监控,防止非法文件拷贝、打印、扫描、非法外联等安全事件的发生,对于正在发生的高危行为予以及时制止或预警。涉密计算机审计是指记录涉密计算机用户的实际操作,包括计算机访问应用系统情况、文件的拷贝打印操作、病毒感染情况、擅自连接互联网情况、非工作软件的安装和运行等内容,通过分析日志,能够在事后有效发现用户的违规操作或非法入侵行为,以便管理人员及时发现问题以及事后追究责任。
nlc202309010757
8.数字加密和数字签名。数据加密和数字签名技术是提高涉密网络安全性的必要手段。数据加密技术可以用于涉密文件的加密上,通过公钥、密钥的分发确保文件即使被盗取也无法解密。数字签名是利用密码技术生产一系列符号和代码组成电子密码进行签名,来代替书写签名和印章。将数字签名添加到文件正文中后,能够保证文件的机密性、发送者身份真实性、文件数据的完整性和发送者对自己行为的不可否认性,构造一种更加完善、高强度的文件加密方案。
9.电磁泄漏防护。涉密网络电磁辐射主要有四个因素产生:显示器辐射、通信线路辐射、主机辐射、输出设备(打印机)辐射。这些设备是依靠高频脉冲电路工作的,由于电磁场的变化,必然要向外辐射电磁波。这些电磁波会把计算机中的信息带出去,窃密者只要具有相应的接收设备,就可以通过接收电磁波从中窃取涉密信息。针对电磁泄漏可采用的防护措施有选用低辐射设备、利用噪声干扰源、距离防护、电磁屏蔽等。
10.容灾备份技术。涉密网络中的数据安全是重中之重,但由于敌对势力、自然灾害或其他网络、硬软件故障、操作失误、病毒等因素的影响,随时可能导致数据丢失、破坏、业务中断等灾难事故的发生。容灾技术可以保证在遭遇灾害时信息系统能正常运行,实现业务连续性的目标,备份技术可以应对灾难来临时造成的数据丢失问题。在具体操作中,容灾备份技术通常是将系统变化发生时的每个时间点都捕获下来,一旦系统发生写数据的动作,就实时复制将要写入存储的写操作,在写入本地磁盘的同时复制一份到本地或远程数据保护中心,这样一旦灾难发生,就可以从数据保护中心中获取丢失的数据。
涉密网络保密管理措施
1.完善涉密网络安全保密规章制度建设。规章制度是涉密网络安全管理的基础,只有建立了完善的安全管理制度,明确安全保密职责,才能确保涉密网络和涉密信息系统正常、有效运行。涉密单位应根据国家出台的相关规定,充分发挥创新精神,结合本单位的实际情况,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,建立有针对性的涉密网络安全管理制度,将原则性的标准进行细化,明确安全职责的划分和人员分工安排,让涉密网络的建设、管理、使用、维护等各个环节都有相应的制度作为保障。同时要对规章制度进行动态化的管理,及时发现规章制度中不适和问题,对规章制度的适应性进行改进。
2.提高工作人员保密意识和防护技能。工作人员的保密意识薄弱、保密防护技能缺乏是泄密事件发生的主因,由于网络信息安全技术知识更新换代频繁,一些工作人员平时不注重学习,认识不到安全威胁,保密意识淡漠,不注意个人的安全防护,认为涉密网络安全防护是信息中心的事儿,与他们毫无关系。还有部分人员存在侥幸心理,为图方便甚至不遵守相关安全规定,违规接入互联网或外部设备,给涉密网络防护带来较大隐患。因此需要加强工作人员的保密意识和网络安全意识,切实使更多的工作人员充分认清当前网络条件下的保密形势,认清网络与信息技术快速发展给保密工作带来的巨大负面影响,在思想上保持警惕,筑牢思想防线。同时要通过举办讲座、学习班等形式普及涉密网络安全防护知识,使其熟悉危害涉密网络安全的行为以及其基本原理,让安全操作成为一种工作习惯和自觉行为。
3.强化保密监督和检查。保密监督和检查是防止失泄密事件发生的有效手段。利用网络安全技术做好日常保密监督和检查是充分发挥涉密网络防护体系作用的一个重要的环节,具体措施有:对非授权存取、非授权外联、非授权接入采取必要的技术检测手段,作出及时响应,并形成日志记录;对涉密网络中的设备运行态进行监测,例如可以每周查看安全审计记录;每月对监控和审计系统的日志进行分析整理。通过日常化的保密监督和检查,能够及时发现存在的安全隐患与管理缺陷,及时消除安全隐患与改进管理,提升涉密网络安全防护的技术水平和保密管理水平。
涉密网络的安全保密防护和管理是一个涉及网络信息安全技术和保密管理的庞大课题,而且随着网络技术的不断发展,会出现越来越多新的安全保密防护问题,因此我们必须综合运用各种新技术新知识,不断完善和调整防护策略,才能构建一道网络信息安全的铜墙铁壁。
(作者单位:宁波国研软件技术有限公司)
涉密网络安全保密防护和管理 篇4
涉密和非涉密移动存储介质保密管理制度
为进一步加强我院移动存储介质的管理,确保测绘信息的安全,根据《中华人民共和国保守国家秘密法》和《中共中央保密委员会办公室、国家保密公司关于国家秘密载体保密管理规定》以及西安市保密局、市规划局有关涉密移动存储介质保密管理的规定,结合我院实际,制定出本规定
一、本规定所称移动存储介质,是指用于存储国家和我院秘密信息的硬盘、软盘、U盘、光盘、磁带、存储卡等存储介质。
二、移动存储介质分为涉密和非涉密两类。涉密移动存储介质又分为绝密、机密、秘密三种。
三、本院各部门拟用于处理我院秘密信息的移动存储介质必须填进行申报、登记、编号,并按其所涉及的秘密等级粘贴我院统一制作的密级标识,方能投入使用。凡未进行申报、登记均属非涉密移动存储介质,严禁用于存储秘密信息
四、密级移动存储介质只能存储绝密级信息;机密级、秘密级信息应存储在对应密级的移动存储介质内,其中高密级的移动存储介质可存储低密级信息。
五、涉密移动存储介质在单位内部部门之间相互借用或复制时,秘密级的由涉密移动存储介质管理部门主要负责人批准,机密级以上的须经主管领导批准,并办理严格的登记手续。
六、涉密移动存储介质只能在本单位涉密计算机和涉密信息系统内使用;严禁借给外单位使用。因工作需要使用涉密移动存储介质向有关机关、单位提供涉密信息的,应由主管生产院长批准,并履行相关手续和采取严格的保密措施,必须一事一盘(可用软盘)严禁提供与该项工作无关的其他涉密信息。
七、涉密移动存储介质不能直接与上国际互连网或其它公共信息网的计算机相连接。如需从网上下载资料,应该用非涉密移动存储介质从上网计算机上下载资料后,通过中间机进行杀毒处理后,对资料进行存储并导入涉密计算机。
八、如使用移动设备转移存储保密数据,需在使用前格式化,并在使用后立即删除保密数据。
九、使用光盘备份的保密数据要登记编号,分类存放。
十、非本单位的移动存储设备一律不得和涉密计算机连接。因工作需要接收外来的移动存储介质应进行登记,进行病毒检查和杀毒后才可在涉密计算机上使用。严禁将个人具有存储功能的移动存储介质重要涉密场所。
十一、涉密移动存储介质的保存必须选择安全保密的场所和部位,存放在保密设备里,每年要对涉密移动存储介质进行一次清查、核对;工作人员离职前必须将所保管、使用的涉密移动存储介质全部退回
十二、含有涉密信息的计算机移动存储介质需送外部进行维修或作数据恢复时,必须到院保密小组进行备案,再到指定的具有保密资质的单位进行处理,并将废旧的存储介质(硬盘、软盘、U盘、光盘、磁带、存储卡)收回。
十三、涉密移动存储介质报废应由院保密小组履行批准、清点、登记手续,由院国资处统一组织实施。涉密移动存储介质在报废前,必须进行信息清除处理。信息清除处理时所采取的信息清除技术、设备和措施应符合国家保密工作部门的有关规定。
十四、涉密移动存储介质的销毁,由院保密小组登记造册,并经单位主管领导批准后进行销毁,任何单位或个人不得擅自销毁。
涉密网络安全保密防护和管理 篇5
一、涉密信息网络应严格按照《计算机信息系统保密管理暂行规定》和《涉及国家秘密的通信、办公自动化和计算机系统审批暂行办法》的规定,采取相应的保密技术防范措施。
二、所有上网用户严禁在接有涉密网络的计算机上使用未经病毒检查的外来软件、盘片,严禁用户私自修改本机的软、硬件配置,对于重要的计算机信息子系统,网络管理人员应定期检查是否感染病毒,实行专机、专盘、专用,对系统进行维护时,应采取数据保护措施,如修改、抽取、转储等,应事先对数据库进行备份。
三、禁止在涉密计算机上使用非涉密移动储存介质,禁止在涉密与非涉密计算机之间进行移动存储介质数据交换。
四、涉密信息网络使用者有责任保守各种机密,认真执行安全保密措施,严格执行保密制度,保障重要的数据不会泄露,记载有机密信息的报废磁介质和纸张,必须进行销毁后方可丢弃。
五、存储涉密信息的计算机媒体,应按所存储信息的最高密级标明密级,并按相应密级的文件进行管理,不再使用的信息应及时销毁。
六、涉密信息网络及其用户不得直接或间接与公共信息网联网,必须与公共信息实行物理隔离。
涉密系统安全保密方案 篇6
对于涉密系统的建设,国家保密局提出了涉密系统保密管理的原则:“同步建设、严格审批、注重防范、规范管理”。具体来说,同步建设,就是涉密系统的建设必须与采用的保密设施同步规划和建设;严格审批,就是涉密系统建成后必须经过保密部门批准才能使用;注重防范,就是涉密系统的建设必须突出保密防范,并加大技术和资金投入;规范管理,就是要针对涉密系统制定一套严格的防范和管理措施。
近年来,国家保密局已经发布了如下规定和技术规范,本文作者先后参与了这些规定和技术规范的制定:
1、《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》(中保办发[20XX]6号),主要提供保密部门审批涉密系统使用。
2、国家保密指南BMZ1-20XX《涉及国家秘密的计算机信息系统保密技术要求》,主要提供涉密系统用户单位使用。
3、国家保密指南BMZ2-20XX《涉及国家秘密的计算机信息系统安全保密方案设计指南》,主要提供涉密系统安全保密设计、建设单位使用。
4、国家保密指南BMZ3-20XX《涉及国家秘密的计算机信息系统安全保密测评指南》,主要提供保密部门指定的涉密系统测评机构使用。
二、涉密系统安全保密方案的主要内容
涉密系统安全保密建设是一个复杂的系统工程,无论是对已建计算机信息系统进行安全保密改造,还是新建一个涉密系统,都必须进行安全保密设计,提供安全保密方案。
进行涉密系统安全保密方案设计,首先要进行系统分析,以了解、掌握涉密系统的详细情况;然后,根据涉密系统的实际情况分析网络的脆弱性和面临的威胁,并进行风险分析,确定安全保密的防护重点;依据国家有关信息安全保密标准、法规和文件进行安全保密系统设计,明确所采用的安全保密技术、措施和产品,提供恰当的配置方案,并规范整个涉密系统的安全保密管理;最后,提出安全保密建设的实施计划和经费概算。因此,涉密系统安全保密方案的主要内容应包括:
系统分析=623;
脆弱性分析和威胁分析
风险分析=623;
安全保密系统设计
安全保密技术和措施=623;
安全保密产品的选型原则=623;
安全保密产品、设施选型和依据=623;
安全保密系统配置方案=623;
安全保密管理措施
安全保密建设实施计划=623;
安全保密系统的经费概算
2.1系统分析
涉密系统安全保密方案应提供涉密系统的详细情况,主要包括:
(1)硬件资源、存储介质、软件资源、信息资源等系统资源的情况;
(2)涉密系统的用户和网络管理人员的情况;
(3)网络结构图(含传输介质的情况)及相关描述;
(4)应用系统的情况,如应用系统的名称、功能、所处理信息的密级、用户范围、访问权限、安全保密措施等。
2.2脆弱性分析和威胁分析
涉密系统安全保密方案应分析网络的脆弱性,结合涉密系统的实际情况分析所面临的威胁。例如,如果网络中采用了公共网络进行数据传输,就存在通信数据被窃听的威胁。除此之外,可能还存在如下威胁:
(1)非法访问
(2)电磁泄漏发射
(3)通信业务流分析
(4)假冒
(5)恶意代码
(6)破坏信息完整性
(7)抵赖
(8)破坏网络的可用性
(9)操作失误
(10)自然灾害和环境事故
(11)电力中断
2.3风险分析
涉密系统安全保密方案应对涉密系统进行风险分析。根据脆弱性分析和威胁分析的结果,分析利用这些薄弱环节进行攻击的可能性,评估如果攻击成功所带来的后果,根据涉密系统所能承受的风险确定涉密系统的防护重点。
不同的网络所能承受的风险不同。例如,如果网络提供电子商务业务,那么其数据库服务器和认证服务器的安全就是业务的直接保证;对于涉密系统,信息的保密性就是安全保密防护的重点;对于重要的涉密系统,如果日常工作对涉密系统的依赖性特别强,一旦网络瘫痪后果非常严重,难以承受,就必须考虑建立比较完善的应急处理和灾难恢复中心。
2.4安全保密系统设计
涉密系统安全保密方案应根据脆弱性分析、威胁分析和风险分析的结果,依据国家有关信息安全保密标准、法规和文件进行涉密系统的安全保密系统设计,应该提出安全保密系统设计的目标、原则、安全策略和安全保密功能结构。
2.5安全保密技术和措施
涉密系统安全保密方案应提供实现安全保密系统所采用的安全保密技术和措施。通常包括:
(1)物理安全防护措施
(2)备份与恢复
(3)计算机病毒防治
(4)电磁兼容
(5)身份鉴别
(6)访问控制
(7)信息加密
(8)电磁泄漏发射防护
(9)信息完整性校验
(10)抗抵赖
(11)安全审计
(12)安全保密性能检测
(13)入侵监控
(14)操作系统安全
(15)数据库安全
2.6安全保密产品的选型原则
涉密系统安全保密方案应提出安全保密产品的选型原则,通常包括:
(1)安全保密产品的接入应该不明显影响网络系统运行效率,并满足工作的要求。
(2)涉密系统中使用的安全保密产品原则上必须选用国产设备,只有在无相应国产设备时方可选用经国家主管部门批准的国外设备。
(3)安全保密产品必须通过国家主管部门指定的测评机构的检测。
(4)涉及密码技术的安全保密产品必须获得国家密码主管部门的批准。
(5)安全保密产品必须具有自我保护能力。
2.7安全保密产品、设施选型和依据
涉密系统安全保密方案应根据涉密系统的安全保密需求,比较不同厂家的产品,进行安全保密产品、设施的选型并提供有关情况,如生产厂家、主要功能、主要技术指标、是否通过测评机构的检测等。
2.8安全保密系统配置方案
涉密系统安全保密方案应提供安全保密系统的配置图,指出安全控制点及其配置的安全保密产品,并说明安全保密产品配置符合安全保密系统的要求。
2.9安全保密管理措施
安全保密管理在涉密系统的安全保密中占有非常重要的地位,即使有了较完善的安全保密技术措施,如果管理的力度不够,将会造成很大的安全隐患。因此,涉密系统安全保密方案应特别强调不能忽视安全保密管理,并提供安全保密管理的具体措施,如安全保密管理机构、管理制度、管理技术和涉密人员的管理。
2.10安全保密建设实施计划
涉密系统安全保密方案应提供安全保密建设的实施计划,包括:工程组织、任务分解、进度安排等。
2.11安全保密系统的经费概算
涉密系统安全保密方案应提供安全保密系统的经费概算,包括产品名称、数量、单价、总价、合计等。如果安全保密系统的建设需要跨年度,应提供各年度的经费概算。
三、方案设计中的几个主要问题
涉密系统安全保密方案设计中应该特别注意以下几个主要问题。
1、涉密系统与非涉密系统的划分
涉密系统安全保密方案设计首先应根据单位的业务工作要求,划分涉密系统与非涉密系统。。由于涉密系统不得直接或间接国际联网,必须实行物理隔离,并严格按照涉密系统的安全保密技术要求进行防护,因此,应该使涉密最小化,才能使安全保密经费更加合理,才能更有利于网络的发展应用。
确定恰当的涉密系统规模和范围的前提是定密准确。对涉密系统所处理和传输的信息,有的定密过严,把不该定密的定了密,该定低密级的定高了,增加了安全保密经费的负担,也制约了应用;有的该定密的没有定密,该定高密级的定低了,增加了泄密隐患。
2、涉密系统内安全域的划分
涉密系统的安全域由实施共同安全策略的域及其中的主体、客体组成。涉密系统应该利用其网络结构(如广域网、局域网、物理子网和逻辑子网等),并按信息密级和信息重要性进行系统安全域划分。不同的安全域需要互连互通时,应采用安全保密设备(如防火墙、保密网关等)进行边界防护,并实施访问控制。同一安全域应采用VLAN、域、组等方式根据信息的密级、重要性和授权进行进一步划分。
3、重视管理
涉密网络安全保密防护和管理 篇7
近年来,敌特窃密活动异常猖獗,泄密案件呈上升趋势。分析2000年以来的一系列泄密案件,可以发现这些泄密案件大部分是由于涉密人员主动或者不作为造成的。由此可见,保密的第一要素是人。进一步分析可以发现在涉密人员管理上存在以下几个方面的深层次原因:第一、涉密人员管理缺乏健全的监督机制;第二、涉密人员管理缺乏科学的风险预警管控手段;第三、涉密人员管理缺乏实施有效管理的信息化平台。
因此,基于涉密人员风险评估的管理信息系统应运而生,它针对涉密人员管理存在的现实问题,通过研究信息条件下涉密人员风险评估工作模式、方法,改进传统管理方式和机制中存在的不足,提高管理工作的效益,进而实现保密人员管理可信、可控。
1 系统分析与设计
1.1 需求分析
涉密人员保密管理系统的设计目的是为涉密人员管理信息化服务,就是要实现对业务的流程控制,使工作流程清晰可控,而不是事后的工作完成情况的填表系统,就是要实现为涉密人员管理工作提供科学有效的辅助决策,而不是简单的涉密信息统计反馈,就是要实现涉密人员管理由粗放式向精细化转变,由涉密人员管理繁琐向业务流程规范化转变。系统的总体设计思想如图1。
系统是面向本单位涉密人员的管理信息系统,有以下三个方面的基本功能需求,第一,系统应具备信息管理功能如信息浏览、查询等基本功能,提供保密管理过程信息的日志记录。第二,系统应满足政治考核、资质审查、定岗、定密等日常业务的开展,提供业务信息的流转平台。第三,系统通过社会网络分析法和风险评估技术为涉密人员管理提供辅助决策工具。
1.2 功能模块设计
结合保密工作实际,本系统区分涉密人员、单位管理、科研任务等功能模块,具体内容见图2。
2 系统的关键技术
2.1 社会网络分析法
社会网络分析(SNA)是20世纪70年代以来在社会学、心理学、人类学、数学、信息科学等领域逐步发展起来的一个的研究分支。社会网络分析不仅仅是一种工具,更是一种关系论的思维方式,提供了联系宏观和微观的之间桥梁[1]。
在涉密人员领域应用社会网络分析方法,重点分析涉密人员之间因涉密信息流动而构成的涉密关系网络,主要考虑静态关系和动态关系两个方面,静态关系是指因涉密岗位、保密业务等相互联系产生的稳定关系,动态关系是指因科研任务、临时业务等结合而建立的关系。
涉密关系网络分析主要是进行中心-边缘分析。个人或组织在其网络中具有怎样的权力,或者说居于怎样的中心地位,是本研究最重要的研究内容之一。个体的中心度(Centrality)测量个体处于网络中心的程度,反映了该点在网络中的重要性程度。根据计算方法的不同,中心度可以分为3种:点度中心度、中介中心度、接近中心度[2]。
对涉密关系网络进行中心性分析,就是要找出以下三类节点,第一类是具有较高点度中心度的节点甲,第二类是具有较高中介中心性的丁,第三类是具有较高接近中心性的丙和乙。最后通过边缘分析找出涉密组织中处于涉密网络边缘的涉密人员。中心-边缘性分析重点是分析以下两类涉密人员,即处于边缘化的核心涉密人员和处于中心的一般涉密人员。涉密人员的中心边缘性分析,主要通过顶点度分布、凝聚系数、最短路径、网络直径和顶点介数相关统计量来确定。
2.2 涉密人员风险评估
人员风险是安全科学重点关注的内容。对涉密人员的风险评估不同于一般事物的保密风险评估,涉密人员的风险是由多项因素构成的,有因个人素质能力引起的主观风险,有因外部环境、管理水平、部门氛围引起的客观风险,不同涉密人员因其掌握秘密等级数量等不同,其相对风险也不同。此外,人具有突变性,接受的业务和事物是动态变化的,不同时期动态风险也会发生显著变化。本系统综合模糊层次和证据理论两种方法对涉密人员进行风险评估。
模糊层次分析法是一种定性与定量结合的多目标决策分析方法,该方法使用较少的定量信息使评估过程数学化,为目标、无结构的复杂问题提供有效的评估方法,对涉密人员保密风险进行评估。第一步是建立评估指标体系,第二步是构造模糊判断矩阵,第三步确定初始权重,第四步是去模糊化得到最终权重,第五步是进行层次总排序进行一致性检验,得出评估结果[3]。
证据理论是一种处理不确定性的推理方法,能处理由随机性和模糊性所导致的不确定性,能将“不知道”和“不确定”区分开,适用于存在人为和不确定因素的评估,在不确定信息的表达及合成方面具有明显优势[4]。涉密人员的动态风险评估,首先通过对人员状态进行观察和测量,给出评语集的模型评价值和底层因素层各个因素的对评语集的确信度表示,然后由证据合成法则组曾合成,最后可得到涉密人员动态保密风险的量化值。
3 系统实现
3.1 信息管理功能
本系统作为单位的管理信息系统,其实质就是涉密人员管理思想的信息化实现,是面向功能的管理信息系统。具有涉密人员基本资料管理,涉密实体信息管理、岗位信息管理和科研任务资料管理等基本信息功能
3.2 日常业务功能
作为单位的保密管理系统,开展保密业务是系统的基本功能,在传统业务流程的基础上,系统紧贴单位保密工作的实际,对政治考核、资质审查、岗位定人、岗位定密、脱密期管理、保密教育检查等基本业务流程进行了规范。
3.3 辅助决策功能
决策支持系统(DSS)就是帮助决策者利用数据、模型、方法、知识推理等去解决非结构化决策问题的人机交互系统。此系统意在辅助决策者进行的决策,而不是代替决策。因此系统通过信息统计、网络分析、风险评估为业务开展提供辅助决策依据,并通过一定的规则限制涉密人员的行为,如考核不合格人员不能通过资质审查、政治考核不合格不能定密定岗、高风险人员不能定为核心涉密岗位。
3.3.1 涉密网络分析
涉密网络通过形象直观图示显示分析的结果,三种不同颜色分别代表核心、重要、一般涉密人员,连线的长度代表相互关系的强弱,图4所示是以红色圆形所代表人员为中心的涉密关系网络。
3.3.2 风险评估
系统通过日常业务采集涉密人员风险评估信息,做到评估过程零输入,主要依靠保密业务客观采集评估信息。通过风险评估,反馈涉密人员保密风险现状,为涉密人员日常业务提供辅助决策依据,主要体现在涉密人员保密风险预警、定岗定密信息反馈环节加强涉密人员管理,如图5所示。
4 结束语
本文通过结合科研领域涉密人员管理的实际,在分析涉密人员管理的不足的基础上,吸收了优秀的管理方法和流程,并把风险评估和网络分析方法运用到涉密人员管理工作中,研制了涉密人员保密管理系统,提供了涉密人员管理的一种新的手段和方法。由于系统的设计还有不科学、不合理和界面不友好的地方,还需要经过实践的检验并进一步改进。
摘要:当前涉密人员管理还不够完善,有必要开展涉密人员风险管理。本文在分析当前涉密人员管理现实的基础之上,提出了涉密人员保密管理系统的解决方案,并进行了系统需求分析、功能模块设计,同时对关键技术进行研究。涉密人员保密管理系统的研制,将大幅提高涉密人员管理的效率,改进保密工作机构的人员管理方法。
关键词:涉密人员,保密管理系统,风险管理
参考文献
[1]罗家德.社会网络分析讲义[M].北京:社会科学文献出版社,2010.
[2]王瑞.社会网络分析方法在美国空军领导力建设中的应用[J].军队建设,2011,7:13-15.
[3]张吉军.模糊层次分析法[J].模糊系统与数学,2000,24(2):80-88.
涉密计算机保密管理制度 篇8
第一条 涉密计算机由办公室统一购买,并登记编号,建立台账,张贴标签,统一配发,专人负责,专机专用。聘请相对固定的技术人员负责维护维修,并做好维修记录。
第二条 涉及计算机必须设置具有高安全性的开机密码,并确保工作环境安全。任何无关人员不得接触和使用涉密专用计算机。涉密机必须安装杀毒软件,定时查杀病毒。
第三条 涉及计算机存放于安全场所,与国际互联网和其他公共信息网必须实现物理隔离,不得安装无线键盘、无线鼠标、无线网卡灯设备。
第四条 连接内网的计算机坚持“涉密信息不上网,上网信息不涉密”。
第五条 涉密计算机不得安装与工作无关的软件程序,不得存放私人信息;与涉密机连接的打印机、复印机、扫描仪等设备,也不能与其他任何网络连接。
第六条 涉密计算机确定密级后,不能处理高密集信息。
第七条 涉密计算机只能使用涉密移动存储介质,非涉密计算机只能使用非涉密移动存储介质,不得交叉使用。
第八条 用涉密计算机处理的信息在打印输出时,打印出的文件应当按照相应密级文件管理,打印过程中产生的残、次、废页等过程文件应按保密要求及时销毁。
非涉密计算机保密管理制度
第一条 非涉密机应由单位统一购买,登记编号,张贴标签,建立台账。
第二条 非涉密计算机不得与涉密计算机相互连接使用,操作人员必须遵守国家有关法律法规。连接互联网的计算机严禁浏览、下载、传播、发布违法信息;不接收来历不明的电子邮件。
第三条 非涉密计算机不得制作、处理、存储、传递、发布涉密信息和文件资料。第四条 非涉密计算机只能使用非涉密移动存储介质。
第五条 计算机操作人员调离时应将有关材料、档案、软件移交给其他工作人员;接替人员应对系统重新进行调整,重新设置用户密码。
第十七条 机关、单位对承载国家秘密的纸介质、光介质、电磁介质等载体以及属于国家秘密的设备、产品,应当做出国家秘密标志。
第二十一条 国家秘密载体的制作、收发、传递、使用、复制、保存、维修和销毁,应当符合国家保密规定。
第二十四条 任何组织和个人不得有下列行为:
(一)将涉密计算机、涉密存储设备接入互联网及其他公共信息网络;
(二)在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换;
(三)使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息;
(四)擅自卸载、修改涉密信息系统的安全技术程序、管理程序;
(五)将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途。
第二十五条 任何组织和个人不得有下列行为:
(一)非法获取、持有国家秘密载体;
(二)买卖、转送或者私自销毁国家秘密载体;
(三)通过普通邮政、快递等无保密措施的渠道传递国家秘密载体;
(四)邮寄、托运国家秘密载体出境;
(五)未经有关主管部门批准,携带、传递国家秘密载体出境。
第二十六条 禁止非法复制、记录、存储国家秘密。
禁止在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密。
禁止在私人交往和通信中涉及国家秘密。
第二十七条 报刊、图书、音像制品、电子出版物的编辑、出版、印制、发行,广播节目、电视节目、电影的制作和播放,互联网、移动通信网等公共信息网络及其他传媒的信息编辑、发布,应当遵守有关保密规定。
第三十二条 机关、单位应当将涉及绝密级或者较多机密级、秘密级国家秘密的机构确定为保密要害部门,将集中制作、存放、保管国家秘密载体的专门场所确定为保密要害部位,按照国家保密规定和标准配备、使用必要的技术防护设施、设备。
第三十九条 机关、单位应当建立健全涉密人员管理制度,明确涉密人员的权利、岗位责任和要求,对涉密人员履行职责情况开展经常性的监督检查。
第四十八条 有下列行为之一的,依法给予处分;构成犯罪的,依法追究刑事责任:
(一)非法获取、持有国家秘密载体的;
(二)买卖、转送或者私自销毁国家秘密载体的;
(三)通过普通邮政、快递等无保密措施的渠道传递国家秘密载体的;
(四)邮寄、托运国家秘密载体出境,或者未经有关主管部门批准,携带、传递国家秘密载体出境的;
(五)非法复制、记录、存储国家秘密的;
(六)在私人交往和通信中涉及国家秘密的;
(七)在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密的;
(八)将涉密计算机、涉密存储设备接入互联网及其他公共信息网络的;
(九)在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换的;
(十)使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息的;
(十一)擅自卸载、修改涉密信息系统的安全技术程序、管理程序的;
(十二)将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途的。
涉密网络安全保密防护和管理 篇9
计算机网络技术的迅猛发展,带来了信息化的时代,人们都学会了使用网络技术,继而,各行各业都将计算机网络融入行业的运营之中,这是时代的进步,但网络技术同样是一把双刃剑,一旦信息安全遭到泄漏,带来的是客户的损失,个人的损失,公司的损失等重大后果,所以对计算机网络采取安全防护措施尤为重要。
1 关于安全防护的管理措施
1.1 访问权限管理
关于访问权限的安全设置是物理层面的安全问题,这主要涉及到文件传输和保存时带来的安全隐患,例如设备故障或者人为破坏造成不能正常通信,导致信息泄露,带来的信息安全问题。凡事都应以预防为主,对网络安全行为进行频繁的审查,对访问过该网络的用户进行行为检测,查找是否存在可疑行为,对有破坏倾向操作的用户进行管制。同时对管理员的行为也要实施相应的监督。系统管理员在计算机网络的安全维护中起到至关重要的作用,科学有效的管理措施是安全防护的关键,系统维护部门应由多人同时负责,分别在各自的岗位上,任职一定时间,定期更换,管理员的权限不能过大,要多个管理员分别管理不同的领域,不能全盘操作,从而对管理员的行为进行相应的约束。对访问网站的用户进行权限设置,规则的设定可以防止用户的非法访问,这是对网络信息安全的第一步保护措施。
在此基础上更进一步的保护策略是属性安全管理,人为的恶意攻击是一种常见的破坏网络安全问题,不能做到有效防护是信息泄露的巨大威胁,有的是犯罪分子为图谋钱财的主动攻击,例如黑客对网络系统的恶意破坏,有的也可能是在不知情的状况下由于错误操作带来的无意攻击,但结果都是一样的,都会造成数据传输过程中的泄露,为用户和网站带来难以想象的损失。确保指定信息只能给特定人群公开查看,安全措施要环环相扣,任何环节有所疏漏都会形成安全隐患。
1.2 提高安全意识
营造一个安全的网络环境是对用户的负责,对自己的负责。用户不该嫌登录网站验证过程的繁琐,权限设置和监控用户的使用行为是保护计算机网络安全的重要环节,不仅如此,还要加强访问用户的身份认证以及对路由器的监测。而用户在自己的计算机系统中药安装保护软件,例如关于监控和杀毒的软件,并定期对系统进行清理检测、查杀木马。在不熟悉的不知名的网站中浏览,不要随意下载其中的文件,若需下载也不能立即使用,应首先进行杀毒,确保安全后再使用,切不可图一时之快造成系统的紊乱或个人细心的泄露。现如今,恶意诈骗的网站很多,作为用户最容易做的就是提高自己的安全意识,不要随意打开不知名的文件,更不可轻易填入自己的个人信息,以防落入不法分子之手。除了必要的杀毒软件,还要安装相应的防火墙软件,对数据的传输过程进行检测。对于非常重要的信息,除了一般性的保护,还要做加密处理,防止被黑客轻易打开盗取数据。在计算机上进行网上银行交易等直接涉及钱财的网站,一定要安装数字证书,加强保护。总之,个人保护计算机网络安全的措施有很多,提高安全意识,尽可能的减少信息被侵略的机会,降低损失。
1.3 道德与法律管理
人的自我约束一部分来源于内心的道德水准,社会的良好治安需要人们的自我约束,需要不断提高整体的道德水平,所以各行各业都有职业道德要求,对于保护信息安全如此重要的计算机网络行业,更要对从业人员,进行岗前培训教育,任职期间,定期进行职业道德教育,提高他们的自我道德修养,以此来尽可能的减少网络犯罪的产生。通过网络有意窃取他人信息,进而实施诈骗行为盗取他人钱财,这要遭到法律的制裁。在道德规范不能完全有效保护网络安全的时候,需要严格的法律制度加强管理,随着科技的发展,应继续不断完善我国现有的关于网络安全的法律制度,跟上时代的步伐,不能让不法分子钻到法律的空子,加强制度管理。虽然我们不能保证可以做到绝对安全,但不能坐以待毙。首先我们要有绝对的安全意识,并尽可能的去控制。用户的安全意识需要不断培养,让用户知道网络安全的相关管理条例并懂得如何安全使用网络技术,这需要相关人员对用户进行不断的宣传教育,加强使用计算机网络时的安全意识,懂得如何保护个人信息,并知晓有意破坏他人的信息安全会遭到法律的制裁,对网络安全有敬畏之心,起到预防的作用,在知道法律的同时,也知道如何使用法律,不侵犯他人权利的同时,也知道如何维护自身的权力。
2 关于安全防护的技术措施
2.1 补丁升级与入侵检测系统
计算机网络时一个复杂而缜密的系统,所以对计算机网络的安全防护也是一个复杂而缜密的过程。数据源、传输中介、传输端和接收端等一连串的通信设施都会出现安全问题,所以对每一个设备都需要进行严谨的安全保护措施,并保持全面性和系统性。
补丁升级系统是网络安全管理员在内网服务系统上安装的系统补丁,当用户的计算机进入该网站时,其补丁会进行自动升级,是对用户计算机系统出现的漏洞进行自动的修复,减少计算机网络系统被黑客或病毒攻击的机会。入侵检测系统是保护计算机网络安全的一项网络技术,安装此项系统会主动收集数据并进行缜密分析,实时检测出可能出现的安全危机,控制台立即对危机进行维修。入侵检测系统可以与防火墙系统完美配合,阻止不合理的操作。
2.2 主机监控与网络版防病毒系统
主机对硬盘的存储和外部衔接功能实施监控,阻止外来人员对文件的非法复制窃取信息,对网络连接端口实施主动监控,阻止非法人员通过打印或扫描等手段恶意获取数据,造成信息泄露带来损失。除此之外,主机对操作用户的行为进行实时记录,审计分析违规操作,对发生数据泄露事件后进行证据的采集,有利于案件的调查。不联网的杀毒软件已经不能适应现代的网络环境,必须使用能全方位阻止多层次控制的网络版杀毒软件系统,使其在联网情况下,在访问网站时,随时对出现的病毒进行查杀,有效控制病毒的入侵。
不断发展对计算机网络安全的防护技术,并不断宣传教育提高用户的安全意识以及提高从业人员的道德修养,未来计算机网络的环境会越来越安全,技术人员正在努力研发更缜密的信息安全产品,完善安全机制,个人和企业要同样重视网络安全问题,在计算机网络普遍的今天,每个人都要不断学习网络安全的技术知识,学会保护自己的信息安全。对网络安全员定制更科学合理的工作规范和奖惩制度,提高我国网络技术的发展前景。
3 结束
总而言之,网络技术不断向前发展的同时,新的安全威胁也会层出不穷,因此对涉密计算机网络安全的防护问题是一项需要长久坚持,任重而道远的任务,网络安全,人人有责,不断完善计算机网络安全的环境,使计算机网络技术可以安全融入更多的行业,带来更多的效益和发展。
参考文献
[1]赵瑞霞.浅谈涉密计算机网络的安全防护措施[J].网络安全技术与应用,2010.
[2]杨昆仑.浅析公安消防部队涉密计算机网络的安全防护措施[J].科技信息,2010.
重庆大学涉密会议保密管理规定 篇10
第一章 总则
第一条 为加强学校涉密会议的保密管理,防止泄密、窃密事件的发生,根据《中华人民共和国保守国家秘密法》、《武器装备科研生产单位保密资格审查认证管理办法》及有关保密要求,结合学校实际,制定本规定。
第二条
学校涉密会议主要包括国防科技涉密会议和其它关系国家安全和利益,涉及学校和谐稳定,在一定时间内只限一定范围的人员知悉的有关工作部署会议。国防科技涉密会议是指涉及国防科研和军工产品生产秘密的研讨、汇报、座谈、答辩、验收、评估、鉴定等各种形式的涉密会议。
第三条 涉密会议的保密工作,坚持“会议谁主办,保密谁负责”的原则。主办单位应指定专人负责会议保密管理工作,并制定具体的保密措施。
第四条 涉密会议的保密管理应按照保密要求制定并严格执行保密工作方案,主要包括会议场所、会议设备、会议涉密资料及参会人员等管理。上级有关单位或部门委托学校承办的涉密会议,应根据上级有关单位或部门提出的保密要求采取严格的保密措施。
第五条 涉密会议的涉密等级根据会议内容或发放载体的密级进行确定。若会议内容或发放载体涉及机密级(含)以上国家秘密的,且涉密人数较多的会议,应当确定为重要涉密会议。
第二章 涉密会议筹备阶段
第六条 涉密会议实行保密审批制度。会议主办单位应填写《重庆大学涉密会议保密审批登记表》(附表1),明确涉密会议基本内容、涉密等级、参会人员等。重要涉密会议应在校内召开,并按要求制定详细具体的保密工作方案。
第七条 涉密会议保密工作方案主要包括以下内容:
(一)明确会议保密事项及密级,确定会议保密任务和重点;
(二)指定会议保密工作负责人及相关人员的保密职责;
(三)限定参会人员范围;
(四)确定会议使用电子设备的保密技术标准;
(五)制定会议涉密文件资料及其他物品的保障措施;
(六)明确会议保密纪律或保密守则;
(七)预备非正常情况下发生保密问题的应急、补救措施;
(八)明确泄密问题和严重违规违章行为的处理意见。第八条 涉密会议原则上应选择在校内具有保密条件的场所召开;确需在校外召开的,应报学校审批。经审批同意后,会议主办或承办单位应与会议所在宾馆签订保密协议,提出保密要求,严格防范措施,加强督促检查。
第九条 会议主办单位应对涉密会议会场的保密环境和会议使用的通信及办公自动化等设备的保密性能进行安全保密检查,并填写《重庆大学涉密会议会场保密检查表》(附表2)。
第十条 涉密会议保密工作责任人要对参与组织和服务工作的人员进行保密教育,明确会议工作人员的保密纪律、责任和义务。重要涉密会议必须配备使用手机屏蔽仪等必要的技术防范措施,防止电磁辐射、窃听窃照等。
第十一条 保密办应对重要涉密会议保密措施进行审查,对保密措施不完善或没有保密措施的,应责令主办单位立即整改。
第三章 涉密会议召开期间
第十二条
召开机密级以上的重要涉密会议,有关业务主管部门和保密办应派专人进行全过程的保密指导和监督。
第十三条
涉密会议应严格控制参会人员范围,组织与会人员在《重庆大学涉密会议签到表》(附表3)上签到,杜绝无关人员和审批范围以外人员参加会议。
第十四条 涉密会议开始时,应对与会人员进行保密教育,宣布保密纪律,提出保密纪律。涉密会议参加人员应严格遵守会议保密要求,不得将手机带入会场,因特殊原因带入会场的手机应取出电池。会议明确规定不准记录的,与会人员不得私自记录。会议允许记录的,与会人员应使用保密本记录,且不得以任何形式向外泄漏会议秘密内容。
第十五条 涉密会议期间应指定专人负责涉密载体管理,按规定标明密级、保密期限和编号,分发领用涉密载体应履行签收手续或登记分发手续,并填写《重庆大学涉密会议资料发放回收登记表》(附表4),休会期间应指定专人集中保管,使用完毕的会议文件应及时收回,按文件销毁规定办理销毁手续。严禁向与会议无关人员提供涉密会议材料。
第十六条 涉密会议会场应设置手机干扰器,配备红黑电源插座,严禁使用无线话筒、无绳电话和对讲机;禁止未经涉密会议主办单位保密工作责任人批准,涉密会议不得录音、摄像和拍照;禁止携带装有无线网卡、蓝牙、红外等具有无线上网功能的便携式计算机或其他设备进入会场。
第十七条 涉密会议保密工作责任人要加强对会议场所、驻地的的巡视,检查会议设备使用过程中的保密状况,有无违反保密规定、保密纪律的行为和泄密隐患。发现问题必须及时解决。
第四章 涉密会议结束后
第十八条 涉密会议结束后,主办单位要对会议场所、驻地进行全面检查,不得将涉密载体遗漏在会议场所和驻地。
第十九条 允许与会人员自行带走的涉密载体载体,应明确要求与会人员回单位后及时交单位保密室保管,不得私自留存,并向与会者单位发出会议涉密文件材料清单。第二十条
不允许与会人员自带的涉密文件、资料和其它物品,如需要发给与会单位的,由会议主办单位通过机要交通或者机要通信寄发。
第二十一条 有关涉密会议的宣传报道须经涉密会议保密工作责任人认真审核,并严格按照《重庆大学宣传报道保密管理规定》,履行相应的保密审查审批程序。
第二十二条 涉密会议保密责任人对会议执行保密工作方案的情况进行实事求是的总结,签署意见后将《重庆大学涉密会议保密审批登记表》,交保密办备案。
第五章 附则
第二十三条
本规定由党委保密委员会办公室负责解释。第二十四条 本规定自发布之日起执行,原《重庆大学涉密会议保密管理规定》同时废止。
附表:1.重庆大学涉密会议保密审批登记表 2.重庆大涉密会议会场保密检查表 3.重庆大学涉密会议签到表
【涉密网络安全保密防护和管理】推荐阅读:
非涉密网络保密管理05-12
涉密计算机保密管理07-04
涉密会议保密管理规定08-26
保密实验室涉密设备保密管理制度08-13
涉密计算机信息系统安全保密要求07-25
非涉密计算机保密管理暂行规定12-13
涉密体系文件-涉密岗位保密承诺书11-23
涉密人员保密自查表10-25
涉密项目保密承诺函11-17
涉密工程保密责任书12-05