信息安全保密工作(精选12篇)
信息安全保密工作 篇1
一、信息安全管理的内涵
(一) 信息安全管理的定义
所谓信息安全管理, 指的是一种管理和保护信息资产的体制, 通过指导、规范和管理等一系列活动对信息安全进行保障, 以达到保证信息的机密性、完整性和可用性的目的。
(二) 信息安全管理的内容
信息安全管理包括:信息安全战略管理、信息安全组织结构、信息安全领导、信息安全人力资源管理开发与管理、信息安全政策及法律法规、信息安全标准与认证、信息安全等级保护。
(三) 信息安全管理的重要性
第一、信息安全管理可以使员工的信息安全意识得到强化, 使组织的信息安全行为得到规范;
第二、信息安全管理可以将组织的关键信息资产得到全面的、系统的保护, 使组织的竞争优势得以维持;
第三、当组织的信息系统被恶意侵袭时, 信息安全管理可以使组织的业务开展不受影响, 将组织的损失降到最低;
二、我国信息安全管理的现状
(一) 法律法规问题
第一、还没有形成一个完整性、适用性、针对性的完善的法律体系
现有法律法规仅仅调整某一个方面的问题, 缺少综合性的信息安全法作为主导使之相互呼应形成体系。因而, 在实践中造成多环节、多部门分割管理的状况, 这在一定程度上造成了法律资源的严重浪费。
同时, 也说明了我国现行的信息安全法律基本上还处于法规规章的层次上, 在法律层面上的信息安全立法还比较少, 还很不完善。
第二、不具有开放性
法律结构比较单一、层次较低, 难以适应信息网络技术发展的需要和不断出现的信息安全问题。
第三、缺乏兼容性
我国的信息安全按法律法规存在着许多难以同传统法律原则、法律规范协调的地方。
第四、难以操作
如果一部法律难以操作, 那么该法律就难以起到应有的规范约束作用。我国的信息安全法律中就存在着这些问题。如, 同一行为有多个行政处罚主体;不同法律规定的处罚幅度不一致;行政审批部门及审批事项多等问题。
(二) 管理问题
管理包括三个层次的内容:组织建设、制度建设和人员意识。组织建设是指有关信息安全管理机构的建设。信息安全的管理包括安全规划、风险管理、应急计划、安全教育培训、安全系统的评估、安全认证等多方面的内容, 因此只靠一个机构是无法解决这些问题的。在各信息安全管理机构之间, 要有明确的分工, 以避免“政出多门”和“政策拉车”现象的发生。明确了各机构的职责之后, 还需要建立切实可行的规章制度, 即进行制度建设, 以保证信息安全。如对人的管理, 需要解决多人负责、责任到人的问题, 任期有限的问题, 职责分离的问题, 最小权限的问题等。有了组织机构和相应的制度, 还需要领导的高度重视和群防群治, 即强化人员的安全意识, 这需要信息安全意识的教育和培训, 以及对信息安全问题的高度重视。
(三) 国家信息基础设施建设问题
第一、缺乏信息安全意识与明确的信息安全方针
大多数组织的最高管理层对信息资产所面临威胁的严重性认识不足, 或者仅局限于IT方面的安全, 没有形成一个合理的信息安全方针来指导组织的信息安全管理工作, 这表现为缺乏完整的信息安全管理制度, 缺乏对员工进行必要的安全法律法规和防范安全风险的教育与培训, 现有的安全规章组织未必能严格实施等。
第二、重视安全技术, 轻视安全管理
目前组织普遍采用现代通信、计算机和网络技术来构建信息系统, 以提高组织效率与竞争能力, 但相应的管理措施不到位, 如系统的运行、维护和开发等岗位不清, 职责不分, 存在一人身兼数职现象。而大约70%以上的信息安全问题是由管理方面的原因造成的, 也就是说解决信息安全问题不仅应从技术方面着手, 同时更应加强信息安全的管理工作。
三、加强信息安全保密工作的措施
(一) 提高全体员工的保密意识
做好一个单位、一个部门的保密工作, 不仅是保密工作者的责任, 同时也是全体工作人员的义务。事实上, 保密工作所涉及的范围很广, 一张简单的图纸、一份普通的文件都有可能含有涉密内容。如果管理不善, 造成信息流失, 就可能给国家或者企事业单位造成无法挽回的损失。因此, 开展全体员工的保密知识培训, 培养全员的保密意识, 提高他们的保密素质, 也是保密工作的重要内容之一。
(二) 提升保密工作者的自身素质
随着改革开放的深化和科学技术的飞速发展, 保密工作所遇到的挑战和困难是前所未有的。保密工作者要严格执行国家及有关部委、我省的相关保密法规, 加强保密理论的研究, 更新观念, 与时俱进, 在探索中学习, 在实践中提高, 掌握新技能, 应用科学的思想方法和领导方法, 提高观察和处理保密工作中遇到的各种新问题的能力, 适应新形势发展对保密管理工作的要求, 确保信息安全。
(三) 确保经费投入, 保障保密工作的顺利开展。
保密经费是为了保守国家机关或企事业单位的秘密, 维护安全和利益, 用于保护秘密信息及改进保密技术、措施和装备等方面的经费。保密工作开展得好坏, 在很大程度上取决于经费的投入。要确保保密专项经费的投入, 开展保密教育活动, 配备必要的保密技术检查设备, 这是保密工作顺利开展的基础。要积极通过各种方式, 采取各种形式开展涉密人员的保密教育培训。人是保密工作中最为活跃的基本要素, 保密工作队伍的稳定、涉密人员的业务素质和管理水平直接影响保密工作的质量。必须确保保密经费的投入, 保障保密工作的顺利开展和保密工作的质量。
摘要:在本文中, 笔者首先对信息安全管理的内涵进行阐述, 然后对我国信息安全管理的现状进行分析, 最后提出加强信息安全保密工作的措施。
关键词:信息安全,管理,内涵,现状,措施
参考文献
[1]郑其明, 庄民芳, 邱华苗:新时期保密工作的实践与思考[J].办公室业务, 2006, (04) .
[2]林芬:浅析保密工作的内容及实施措施[J].今日科苑, 2009, (06) .
信息安全保密工作 篇2
第35条:信息安全保密制度管理办法
1、建立密码共设协管制度 1)、his系统服务器操作系统密码,由院长和信息科专职人员共同设置并定期更改,保证信息中心单人无法擅自进入服务器。2)、his系统数据密码,由院长和信息科专职人员共同设置并定期更改,确保信息科单人无法擅自登入his系统数据。
2、建立调用敏感数据申报制度 1)、药械科工作人员调用药品销售(科室、医技)相关报表,由药剂科主任负责确认每个工作人员具体调用范围,以书面形式提出申请,经院长审批后,交由信息中心授予相关权限。如申报批准授予权限后发生数据泄露,由药械科负责人解释及承担责任。2)、其他科室工作人员无权调用敏感数据,不得以任何理由要求信息科授予相关权限。如有发生,信息科有权拒绝授予并报告院长。3)、网络管理员不得利用职务之便为他人提供统方信息,一旦发生将严肃处理。
3、建立机房准入制度
确需进入信息机房参观的非本科室工作人员,必须经院领导批准后可入内参观,进入信息网络机房后必须听从网络管理人员的安排。
4、签订信息安全保密协议书 1)、医院同his厂家签订信息安全保密协议书,约束his厂家泄露信息。2)、同厂家工程实施人员签订信息安全保密保证书,约束实施人员不泄露信息,如有发生,由his厂家承担全部责任。3)、信息中心和his厂家双方共同对现有医生、护士工作站及药库、药房子系统进行清查,凡涉及敏感数据项,在不影响正常工作的前提下,予以屏蔽。4)、his厂家负责监督信息中心,取消信息中心授予敏感数据权限的功能,并由his厂家出具相关证明。
为保障本实施办法的有效执行及公证严明,本实施办法由院方及第三方厂家共同负责监督落实。
第36条:信息网络机房管理制度
1、信息网络机房直接由院长管理,在院长和院办室的领导下,负责制定全院信息化建设工作规划和实施方案。
2、信息网络机房是医院网络数据的储存、交换中心、非本室工作人员严禁入内。确需进入网络机房参观的非本室工作人员,必须经医院领导批准后方可入内参观,进入网络机房后必须听从网络管理员的安排。
3、网络机房设备、门窗、水电暖安全每天检查一次,并做好检查记录。
4、网络机房的卫生每天清洁一次。严禁在网络机房内吸烟。
5、网络机房工作人员不得在机房内会客,不得将易燃、易腐蚀品带入机房,不做与工作无关的事。
6、机房工作人员离开时必须检查电源、设备、严防人为事故的发生。
7、建立健全和落实医院信息化建设的各项管理规章制度,如信息网络系统操作规程、升级、维护制度、安全检查制度、信息网络系统应急制度。
8、负责医院管理信息网络的维护工作,加强医院信息系统网络和数据的安全性,确保其正常运行。
9、负责医院医疗信息的收集、传递和反馈,保证信息流通渠道的畅通。加强职工信息化知识技术培训、提高全员信息化意识和信息技术应用水平。
10、负责医院门户网站建设与管理,及时更新医院网站。及时完成医院下达的临时性工作任务。篇二:信息安全保密制度 信息安全保密制度
为加强对计算机信息网络国际联网安全保护,加强对计算机信息服务的管理,保障通过计算机网络国际联网传播信息安全,维护公共秩序和社会稳定,特制定如下规定: 第一条 公司设立网络信息安全管理小组,由公司领导和相
关技术人员、管理人员组成、负责信息内容审核,信息发布登记,网络安全技术防范与管理等工作。
第二条 网络信息安全管理小组进行信息内容审核,信息发
布登记,电子公告系统审计,违法犯罪案件保安等工作,并采取网络安全技术防范措施,保证网络的安全。
第三条 任何单位、部门和个人不得利用国际联网危害国家
安全、泄露国家秘密、不得侵犯国家的、社会的、集体的利益和公民的合法权益,不得从事违法犯罪活动。所有工作人员必须严格遵守《中华人民共和国计算机信息网络国际联网管理暂行规定》以及国家有关法律、法规。
第四条 任何单位、部门和个人不得利用国际联网制作、复 制、查阅和传播下列信息:
(一)煽动抗拒、破坏宪法和法律、行政法规实施的;
(二)煽动颠覆国家政权,推翻社会主义制度的;
(三)煽动分裂国家、破坏国家统一的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)捏造或者歪曲事实,散布谣言,扰乱社会秩序 的;
(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶 杀、恐怖、教唆犯罪的;
(七)公然侮辱他人或者捏造事实诽谤他人的;
(八)损害国家机关信誉的;
(九)其他违反宪法和法律、行政法规的。
第五条 任何单位、部门和个人不得从事下列危害计算机信 息网络安全的活动。
(一)未经允许,进入计算及信息网络或者使用计算机 网络资源的;
(二)未经允许,对计算机信息网络功能进行删除、修 改或者增加的;
(三)未经允许,对计算机信息网络中存储、处理或者 传输的数据和应用程序进行删除、修改或者增 加的;
(四)故意制作、传输计算机病毒等破坏性程序的;
(五)其他危害计算机信息网络安全的。
第六条 用户的通信自由和通信秘密受法律保护,任何单位、部门和个人不得违反法律规定,利用国际联网侵犯用的通信自由和通信秘密。
第七条 公司设立网络安全管理员,每天对网上信息惊醒检
查,发现有异常信息须立即按照有关规定处理。发现有不良信息,应立即删除并做好备份及详细记录; 第八条
第九条发现有违反犯罪现象立即按照规定处理并立即向公司领导汇报,在24小时内向公安部门报告。自觉接收公安机关的安全监督、检查和知道。如实向公安机关提供安全操作的信息、资料及数据文件,协助公安机关查处各项违法犯罪行为。入网部门办理备案手续,并送交公安机关备案。篇三:信息安全保密管理制度 信息安全保密管理制度
为保守秘密,防止泄密问题的发生,根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》,结合本单位实际,制定本制度。
一、计算机网络信息安全保密管理规定
(1)为防止病毒造成严重后果,对外来光盘、软件要严格管理,坚决不允许外来光盘、软件在公安专网计算机上使用。
(2)接入公安专网的计算机严禁将计算机设定为网络共享,严禁将机内文件设定为网络共享文件。
(3)为防止黑客攻击和网络病毒的侵袭,接入公安专网的计算机一律安装杀毒软件,并要定时对杀毒软件进行升级。
(4)禁止将保密文件存放在网络硬盘上。
(5)禁止将涉密办公计算机擅自联接国际互联网。(6)保密级别在秘密以下的材料可通过电子信箱传递和报送,严禁保密级别在秘密以上的材料通过警综平台传递和报送。
(7)涉密计算机严禁直接或间接连接国际互联网和其他公共信息网络,必须实行物理隔离。(8)要坚持“谁上网,谁负责”的原则,各部门要有一名领导负责此项工作,信息上网必须经过所领导严格审查,并经主管领导批准。
(9)国际互联网必须与涉密计算机系统实行物理隔离。
(10)在与国际互联网相连的信息设备上不得存储、处理和传输任何涉密信息。
(11)应加强对上网人员的保密意识教育,提高上网人员保密观念,增强防范意识,自觉执行保密规定。
(12)涉密人员在其它场所上国际互联网时,要提高保密意识,不得在聊天室、电子公告系统、网络新闻上发布、谈论和传播国家秘密信息。使用电子函件进行网上信息交流,应当遵守国家保密规定,不得利用电子函件传递、转发或抄送国家秘密信息。(13)严禁互联网计算机接入公安专网。(14)严禁公安业务计算机接入互联网。
二、涉密存储介质保密管理规定
(1)涉密存储介质是指存储了涉密信息的硬盘、光盘、软盘、移动硬盘及u盘等。(2)存有涉密信息的存储介质不得接入或安装在非涉密计算机或低密级的计算机上,不得转借他人,存放在本单位指定的密码柜中。(3)需归档的涉密存储介质,因及时归档。
(4)各部门负责管理其使用的各类涉密存储介质,应当根据有关规定确定密级及保密期限,并视同纸制文件,按相应密级的文件进行分密级管理,严格借阅、使用、保管及销毁制度。借阅、复制、传递和清退等必须严格履行手续,不能降低密级使用。
(5)涉密存储介质的维修应保证信息不被泄露,由各涉密部门负责人负责。需外送维修的,要经领导批准,到国家保密主管部门指定的维修点维修,并有保密人员在场。(6)不再使用的涉密存储介质应由使用者提出报告,由所领导批准后,交保密办公室负责销毁。
三、计算机维修维护管理规定
(1)涉密计算机和存储介质发生故障时,应当向所信息中心提出维修申请,经批准后到指定维修地点修理,一般应当由本局内部维修人员实施,须由外部人员到现场维修时,整个过程应当由有关人员全程旁站陪同,禁止外来维修人员读取和复制被维修设备中的涉密信息,维修后应当进行保密检查。
(2)凡需外送修理的涉密设备,必须经保密小组和主管领导批准,并将涉密信息进行不可恢复性删除处理后方可实施。
(3)高密级设备调换到低密级单位使用,要进行降密处理,并做好相应的设备转移和降密记录。(4)由局保密委员会指定专人负责办公室计算机软件的安装和设备的维护维修工作,严禁使用者私自安装计算机软件和擅自拆卸计算机设备。
四、用户密码安全保密管理规定
(1)用户密码管理的范围是指办公室所有涉密计算机所使用的密码。(2)机密级涉密计算机的密码管理由涉密科室负责人负责,秘密级涉密计算机的密码管理由使用人负责。(3)密码必须由数字、字符和特殊字符组成,秘密级计算机设置的密码长度不能少于8个字符,机密级计算机设置的密码长度不得少于10个字符,密码更换周期不得超过60天。(4)秘密级计算机设置的用户密码由使用人自行保存,严禁将自用密码转告他人;若工作需要必须转告,应请示所保密委员会负责人认可。
五、涉密电子文件保密管理规定
(1)涉密电子文件是指在计算机系统中生成、存储、处理的机密、秘密和内部的文件、图纸、程序、数据、声像资料等。
(2)电子文件必须定期、完整、真实、准确地存储到不可更改的介质上,并集中保存,然后从计算机上彻底删除。
高校计算机信息安全保密工作浅谈 篇3
关键词 高校 计算机 信息安全 安全保密
中图分类号:G47 文献标识码:A
随着高科技迅速发展,办公自动化的全面推进,网络电子泄密已经成为当前泄密的主要模式,而泄密的原凶主要是:移动介质、计算机终端和互联网。作为国家人才培养和科学研究的重要基地,高校每年都产生一些具有国内或国际先进水平的成果,其中很多是与国家经济、军事等领域密切相关的。因此,做好高校计算机信息安全保密工作十分必要且意义重大。
1 高校计算机信息安全保密工作面临的问题
(1)计算机信息安全保密工作多头管理。和政府部门设有专门的信息化工作部门负责计算机信息安全保密工作不同,绝大多数高校都没有设立专门的信息化工作部门,相关工作由网络中心、宣传部、信息中心、保密办等多个部门分别负责。当前多数高校是网络中心负责网络服务器的安全,宣传部、信息中心负责上网信息的审查,保密办负责保密监管。由于保密工作人员不熟悉信息技术与计算机技术,难以有效地对计算机信息系统进行保密监督检查;而网络中心的管理人员又不甚了解保密规定要求,对学校涉密计算机、涉密移动存储介质等信息设备的情况也不清楚,不能实施重点管理,造成管理“几张皮”现象。
(2)信息安全保密意识淡薄。在高校日常工作中普遍存在“重业务、轻保密”、“无密可保”、“有密难保”的思想。一些从事涉密项目的科研人员保密意识不强,对日趋尖锐、复杂的窃密形势认识不足,对泄密后应承担的法律责任不清,警惕性不高,有章不循现象突出。例如,不设置计算机口令或者不定期更换涉密计算机的口令、不及时升级杀毒软件和操作系统补丁、在非涉密计算机或联网计算机上处理涉密信息、移动存储介质在涉密计算机和非涉密计算机上交叉使用等,从而埋下信息安全隐患。
(3)计算机信息安全保密知识缺乏。高校教职员工没有人不在使用计算机、互联网,但除计算机专业毕业的人之外,真正懂得如何防护计算机信息的人少之又少。对一些计算机安全知识,如:如何设置计算机开机口令、guest用户该开启还是禁用、如何进行系统补丁和病毒库升级、何样的软件能安装、非法网站如何辨别等,大多数教职工都不知道,即使知道也没有引起足够的重视,更谈不上按要求执行。有的教职工使用移动硬盘或U盘前从不查杀病毒,致使病毒感染到办公(内网)计算机,对内网的安全造成威胁。
(4)计算机信息安全威胁和攻击手段多种多样,防不胜防。诸如:蠕虫,冲击整个网络造成瘫痪;木马,秘密潜伏的间谍武器,造成窃泄密事件的多发;网络欺诈,以假乱真,盗窃金钱和隐私信息;网页篡改,政治宣传,设饵钓鱼;僵尸网络,一呼百应的攻击网络;间谍软件,无所不在的窃听者;入侵,非法闯入为所欲为;病毒,主机及数据破坏者等等。随着网络的发展,信息安全威胁和窃密手段也在不断提高,防范难度增大。
2 做好高校计算机信息安全保密工作的措施
(1)加强组织领导。我国对信息安全保密工作是非常重视的,中央机要管理部门、国家安全机关、公安机关和国家保密主管部门分工协作,各司其职,形成了维护国家信息安全的管理体系。高校也应如此。高校应成立“一把手”担任组长,网络中心、宣传部、学生工作、保密工作等部门人员为组员的信息安全保密工作领导小组,加强对计算机信息安全保密工作的组织领导,对网络运行、网上信息、计算机信息安全保密执行情况进行监督检查,为计算机信息安全保密提供保障。
(2)加强教育培训。计算机信息安全保密工作涉及的范围很广,高校的每一个计算机终端都有可能成为“最短的那块木板”,做好高校计算机信息安全保密工作,不仅是网络管理部门、保密工作部门的责任,更是全校教职工的共同责任。因此,要对所有教职工进行教育培训。一是进行基本知识的普及。通过面对面的知识讲座或答题等方式普及计算机信息安全、网络安全和保密知识,使广大教职工知保密、懂保密、善保密。二是进行警示教育。通过通报计算机信息泄密引发的案件,警示教职工,从而增强信息安全保密的危机感。三是签订保密承诺书。通过和计算机网络安全系统管理员、安全管理员、安全审计员、涉密人员等签订保密承诺书,增强其责任感。
(3)加强技术防护。从学校网络管理部门来说,要采取入侵检测、网络隔离、信息加密、访问控制等必要的技术措施,及时对操作系统、应用软件、病毒防护软件进行补丁升级,保障网络的各个环节特别是互联网接入的安全性,将攻击和入侵造成的威胁限制在最小范围内;同时通过物理防火墙和信息过滤软件对有害信息、有害电子邮件等进行过滤与封堵,保障网络信息安全。从职工个人来讲,主要是定期升级杀毒软件,经常查杀病毒;不打开陌生人的电子邮件;不安装来历不明的软件;设置计算机开机密码应含数字、字母及特殊字符且长度足够并定期更新;谨慎利用共享软件,确保个人计算机信息的安全。
(4)加强数据备份。重要信息应及时备份,防止计算机被病毒感染或遭受黑客攻击致使重要资料被修改、损毁;或因一些不可抗拒因素(自然灾害)致使计算机损坏而数据丢失;或者误操作将重要资料删除,从而给教学、管理、科研造成无法挽回的损失。
(5)加强监督检查。高校信息安全保密工作领导小组要采取定期检查、不定期抽查等方式,对计算机网络安全系统管理员、安全管理员、安全审计员履职情况,信息上网审查审批情况,涉密信息系统、涉密计算机、涉密移动存储介质的保密管理和使用情况,涉密科研人员遵守保密规章情况等进行监督,发现问题及时督促整改,确保学校不出信息安全事故。
(6)加强制度建设。建立健全计算机和信息系统管理规定,对涉密计算机、涉密移动存储介质的使用、维修,涉密信息的传递等进行规范,有效预防泄密事件发生。制定校园网信息安全保密管理制度、校园网信息发布审批制度、网络服务器机房管理制度,确保网络服务器安全运行、涉密信息不上互联网。
计算机信息安全保密工作是一项复杂的系统工程,涉及技术、设备、管理和制度等多方面的因素,但关键因素是人。只有教职工充分认识信息安全保密的重要性,不断增强信息安全保护意识,不断学习新的计算机信息安全防护知识和措施,严格执行各项计算机信息安全保密管理规定,共同改善网络安全保密环境,才能最大限度地保护计算机信息安全。
参考文献
[1] 王振洋等.新形势下加强基层行计算机信息安全保密工作的思考[J].华南金融电脑,2010(5).
[2] 曹步荣.克州中支计算机信息安全保密分析及对策[J].华南金融电脑,2009(7).
[3] 牛华伟,于静.信息公开与信息安全研究[J].计算机安全,2009(11).
信息安全保密探析 篇4
信息安全保密存在的问题
1. 制度不完善
信息安全保密管理制度应包括:涉密计算机和非涉密计算机保密管理制度;涉密移动存储介质和非涉密移动存储介质保密管理制度;涉密网络保密管理制度;计算机维修、更换、报废保密管理制度;在公共信息网络发布信息保密管理制度等。有些部门没有制定相关的信息安全保密制度, 或是制度不完善。同时, 有些信息定密不准确, 没有按相关的规定要求随意定密级。
2. 管理存在薄弱环节
随意安装软件, 保密安全建设存在重硬件建设, 轻软件管理的现象, 网络安全未形成多部门联动机制。对技术人员缺乏全方位的继续教育培训, 现有信息安全人员以技术人员为主, 平常工作主要是日常维护, 无暇从总体角度把握信息安全建设的动态, 不能做到防患于未然。
3.信息安全保密意识淡薄
理论宣传过多, 缺乏具体生动的演示, 正面宣传过多, 反面警示教育过少。造成用户对安全规定知其然不知其所以然, 认为信息安全保密是保密部门和技术部门的事情, 与自己无关, 思想上容易麻痹大意。涉密与非涉密U盘混用, 没有采取主动防御措施防止泄密事件的发生。部分工作人员存在泄密离自己很远的错误认识, 将安全风险抛在脑后, 忘记“安全来自长期警惕、事故源于瞬间麻痹”的警示。
4.涉密和非涉密计算机使用不规范
涉密计算机与非涉密计算机混放, 涉密计算机没有专用的放置场所, 没有专人管理与负责, 没有设置密码, 处于开放状态。涉密计算机没有按要求安装涉密计算机违规上互联风监管软件, 或违规上互联网及其它公共信息网, 或使用非涉密移动存储介质, 或安装无线网卡等无线设备。非涉密计算机存储、处理涉密信息或曾经存储、处理过涉密信息, 使用过涉密移动存储介质等现象突出。
5.计算机感染病毒
操作人员病毒防护意识淡薄, 没有及时安装系统安全漏洞补丁程序, 没有及时升级防病毒软件, 违规使用U盘等移动介质, 接收资料没有先进行病毒查杀处理。计算机操作人员擅自安装、运行、查看、拷贝与工作无关的、从互联网下载的携带病毒的软件、文件资料、图片等, 导致计算机感染病毒。
信息安全保密措施
单一的保密措施很难保证信息的安全, 必须综合运用行政的、管理的、技术的手段, 实现对信息的保护, 以达到信息安全保密的目的。
1政策制度
有效的政策制度是保障信息安全的重要基础。
(1) 政策方面
政策是政府管理职能的体现, 包括政策的制订和执行两方面。信息安全需要政府综合运用各种手段, 采取切实有效的对策、措施, 不断提高防范和保障信息安全能力。
(2) 法律制度方面
法律制度的建立是依法行政所必需的, 也是政府行使职能的基础。信息安全保密已成为国家安全的一个重要组成部分和非传统安全因素的一个重要方面, 必须强化信息安全意识, 加快健全相关法律法规, 切实做到有法可依, 为保障信息安全提供良好的法律环境。
2信息安全措施
人是信息安全中最重要的一个环节, 同时也是最薄弱的一个环节。信息安全不是纯技术的问题, 要想保证信息的安全, 应当根据实际使用的要求, 制定合适的安全措施。
(1) 领导作用
要保证信息的安全, 提高各级领导的信息安全与保密素质尤为重要。各级领导干部要把做好信息安全保密工作作为自己的一项重要职责, 自觉地执行各项制度和规定, 提高警惕, 加强防范, 做保守秘密的模范。加强调查研究, 注意总结经验, 指导帮助保密工作部门增强工作的科学性、预见性, 把保密工作同经常性的各项工作结合起来, 形成齐抓共管、综合治理的局面。
(2) 全民信息安全教育
开展全民性的信息安全教育, 增强国民的信息安全意识, 提高国民信息安全的自觉性。做到任何情况下, 特别是在当前窃密与反窃密斗争日益尖锐复杂的形势下, 确保党和国家秘密的安全。利用舆论媒体宣传信息安全的重要性, 组织学习信息安全与保密工作的法规, 普及信息防护的常识, 介绍信息防护的技术。只要全民的信息安全意识增强了, 国家的信息安全才会有充分的保证。
(3) 涉密工作人员培训
涉密工作人员是秘密信息安全的重要管理者, 担负着秘密信息的收发和保密责任, 抓好涉密工作人员的队伍建设, 提高其素质, 是做好信息安全工作的关键。要提高涉密工作人员素质, 除了提高思想认识、培养科学严谨的作风、严守法纪和各项规章制度外, 还要进行高技术条件下信息安全保密的专业训练, 不断强化保密观念和保密意识, 使其掌握用现代技术管理信息的知识, 掌握排除各种隐患的本领, 以及掌握一定水平的反窃密技术, 提高规避风险的能力, 对可能造成失泄密的现象有较高的判断力和洞察力。
(4) 加强制度建设
制订信息安全各项规章制度, 完善和落实《涉密和非涉密计算机保密管理制度》、《涉密和非涉密移动存储介质保密管理制度》、《涉密网络保密管理制度》、《涉密计算机维修、更换、报废保密管理制度》、《建立在公共信息网络上发布信息保密管理制度》等规章制度, 使信息保密工作有章可循, 有法可依, 从制度上消除泄密隐患。做好定密工作, 严格按定密规程操作, 确保定密工作的严密、规范。严格执行涉密载体的保存和销毁制度, 在做好纸质涉密载体管理的同时, 重点加强移动硬盘、U盘等各类移动存储介质的使用、管理和销毁工作。
(5) 加强涉密计算机和涉密存储介质的管理
涉密计算机确定专人进行操作, 确定专人管理, 禁止任何非涉密移动介质插入USB接口, 保证涉密计算机的安全、保密和高效。规定涉密计算机不准上互联网以防泄密, 确保涉密计算机信息的安全。严禁在连接互联网的计算机上使用涉密存储介质, 严禁在非涉密计算机处理、保存各类涉密文件和其它任何涉密信息。对涉密文件的起草、制作、分发、传递、复制、保存和销毁过程, 进行严格规范管理, 实行全过程监管。
(6) 加大监督检查力度
坚持保密工作的检查制度, 采取全面检查与重点检查相结合、综合检查与专项检查相结合、定期检查与随机检查相结合的方式对相关部门 (单位) 的保密工作进行抽查, 及时发现和解决苗头性、倾向性问题, 加强对保密工作的长效管理, 督促、指导保密工作人员遵循相关制度。
信息安全保密技术
1.物理保护
加强信息保密场所硬件建设, 安排专用房间, 配备专用桌柜, 安装防盗门窗和报警装置, 实行专人专管, 做到设施配套、万无一失。防止信息在空间的扩散, 避免信息通过电磁辐射使信息被截获而泄密, 重要部门的涉密计算机机房采用电磁屏蔽措施。涉及机密以上信息的信息系统, 可根据辐射强度划定警戒区域, 并将设备置于建筑物的最内层, 禁止无关人员进入该区域。
2.计算机病毒的防治
要建立一套快速的预警机制, 能够在最短的时间内发现并捕获病毒, 提供计算机病毒的防治方案。制定严格的病毒防治技术规范, 树立牢固的计算机病毒的预防思想, 一旦遭受病毒攻击, 应采取隔离措施。涉密计算机必须安装经过国家安全保密部门许可的查、杀病毒软件, 坚持定期对计算机系统进行计算机病毒检测。定期更新防病毒定义文件和引擎, 及时打补丁, 确保病毒样本始终处于最新版本。对新软件和要做传递的磁盘坚持先杀毒后使用的原则, 确保计算机安全运行。
3. 访问控制技术
实施访问控制是维护计算机安全运行、保护系统信息的重要技术手段, 它包括网络的访问控制技术、主机的访问控制技术、微型机的访问控制技术和文件的访问控制技术。访问控制技术可以起到保护存储在计算机中信息的保密性和机密性, 维护机器内信息的完整性, 减少病毒感染机会等作用。
4. 强制配备保密安全U盘
保密安全U盘安全防护性强, 使用方便, 能有效应对高技术条件下的保密工作需求。保密安全U盘包括有数据交换盘、保密安全盘、数据导入盘和数据导出盘。
(1) 数据交换盘
根据涉密环境和非涉密环境自动切换工作模式, 实现两环境之间单向文件交换。一次性全部导出文件, 杜绝可能的人为进程终止和反向导入。文件全部导出后, 全盘擦除文件痕迹, 杜绝非法获取文件行为。
(2) 保密安全盘
非经授权涉密计算机无法读取任何信息, 即使插入安全盘也毫无反应。安全盘能自动切断网络, 并记录当前计算机信息向告警中心告警。能够有效地防止病毒, 木马主动传播。
(3) 数据导入盘
适用于非涉密环境到涉密环境的文件单向导入, 划分只读保护CDROM区, 一次性全部导出文件, 文件全部导出后, 全盘擦除文件痕迹, 杜绝非法获取文件行为。
(4) 数据导出盘
从指定的涉密计算机内单向导出数据到非涉密计算机, 划分只读保护的CDROM区, 登录后关闭某些系统程序。利用数据加密对涉密文件进行保护。如果非涉密互联网环境使用, 主动报警并自动切断网络。
保密安全U盘可以有效解决移动存储介质交叉使用、公私混用等重大泄密隐患, 提高保密技术防护能力, 确保国家秘密安全。
结束语
信息安全防范工作是一项综合性、系统性较强的工程, 要求严格按照《保密法》要求, 做到有领导管、有专人抓。要坚持把有关信息安全保密问题列入重要议事日程, 完善各项政策制度, 健全信息安全保密措施, 加强信息安全保密技术保证和检查指导, 不断提高保密工作水平和质量, 使信息安全保密工作充分发挥“保安全、促发展”的作用。
摘要:信息安全保密是国家工作的重要组成部分, 必须提高保密意识, 加强保密管理, 保障我国社会主义现代化建设的顺利发展。论文分析了信息安全保密存在的问题, 然后从信息安全保密措施和技术两方面论述如何保证信息安全, 使信息安全保密工作充分发挥“保安全、促发展”的作用。
关键词:信息安全,安全保密,保密措施,保密技术
参考文献
[1]国家保密法。
[2]中华人民共和国国家安全法。
[3]中华人民共和国保守国家秘密法实施办法。
校园安全工作信息 篇5
为准确、全面、及时反映全区中小学安全工作开展情况,交流工作经验,推动全区中小学安全工作顺利开展,教育局决定建立校园安全工作信息报送制度,校园安全工作信息。现将有关事宜通知如下:
一、建立信息报送制度。各校原则上每周至少报送一篇信息,重要事件、突发事件要及时报送。
二、教育局将定期通报各校报送数量及采用情况,并采用积分制方法进行考核,工作总结《校园安全工作信息》。
三、编写要求
1、文章标题能准确概括报送信息的核心内容。
2、正文文字简明、语言平实;具有真实性,反映本校工作的客观真实情况;具有时效性,反映当前工作动态及情况;具有创新性,反映工作中的新思路、新办法。
3、信息内容包括:
本校开展安全工作的思路、措施、经验和成效;
上级领导亲自关心和推动工作的情况,工作结束后半小时内上报教育局;
开展安全工作遇到的困难和问题,以及解决这些困难和问题的对策、措施、经验和成效。
重要事件、突发事件要第一时间上报,凡漏报或隐瞒不报者要追究相关责任人的责任。
4、信息采用电子版形式及时报送。
信息及相关照片请同时报送
5、请各校尽快上报一个学校校园安全工作的专用邮箱,以便教育局相关的信息及工作要求能够及时下传给各校园。
信息安全保密工作 篇6
一、适应形势需要,构筑强大的人事信息安全网络
目前,人事档案中的某些数据已经实现了联网,如公安部门已经建立的覆盖人事档案的信息系统,将整合个人信息资源,提供高效、快捷的服务和应用。但在个人信息电子化的过程中,个人信息泄漏成为最突出的问题,由于网络的共享性而造成的个人信息泄漏事件往往给个人及单位造成麻烦及致命打击。而且随着网络规模的日益扩大及深入应用,各单位自身对网络依赖程度将越来越高,网络结构及使用日趋复杂,网络安全问题越来越突出。近几年,个人信息的泄露已成为较严重的问题。2013年2月28日广州日报刊登了这样一则消息——“中国人寿个人信息泄露,80万份保单可上网任意查”的消息,据消息称有的人莫名收到一份免费保单,或刚在银行办完业务就接到保险公司的推销电话。中国人寿相关负责人回应称此问题因系统升级操作失误所致。目前,发生问题的查询模块已关闭。公司就此事公开道歉。由此看来人事档案个人情况信息化是把“双刃剑”,一方面个人信息资源共享可以实行资源整合,方便快捷查询;另方面,若保密安全防范措施做的不到位,人为失误,那么个人信息就会泄露,后果则不堪设想。
当今单位网络所面临的威胁主要可以分为对网络中设备的威胁和对网络中数据的威胁。因此,信息系统的安全性可分为物理安全和信息安全。
网络中的物理威胁主要包括对硬件设施、网络本身以及其它能够被利用、被盗窃或者可能被破坏的设备的威胁。信息安全主要对信息系统及数据实施安全保护,保证在意外事故及恶意攻击下系统不会遭到破坏,个人及单位数据信息不会泄露,保证信息的保密性、完整性和可用性。信息安全主要面临有病毒及黑客的攻击、人为恶意攻击、非法将信息泄露。其中病毒可以借助文件、网页、移动介质等诸多方式在网络中迅速进行传播和蔓延,具有隐蔽性强、传播速度快,破坏力大的特点,单位内部网络一旦受感染,就会利用被控制的计算机,破坏数据信息,造成网络性能下降、系统瘫痪、数据丢失及个人信息泄露事件。但真正的威胁还是来自内部。人为的恶意攻击是计算机网络所面临的最大威胁。如,对网络未采取有效的防范措施,系统共享情况比较普遍,缺乏有效的访问权控制等。此外信息安全意识和认识不足,网络安全基础设施利用和资金投入不足等非技术层面购成的网络信息安全缺陷也严重威胁个人信息系统的安全保密性。
二、加强对个人信息安全保密管理的督查力度,建立个人信息安全泄密隐患预警机制
在政务公开的背景下,人事档案部门应该积极探索增加人事档案透明度的方法,既不违背党和国家人事档案管理的有关规定,确保人事档案的安全,又通过人力资源信息系统的平台中,达到权限范围内的人力资源信息共享。人事信息系统必须采取安全有效的防范措施,防范非法人员冒用授权用户合法身份登录信息系统,窃取敏感信息。如何有效地管理人事档案的个人信息系统平台,提高系统的安全保密性,确保单位人力资源信息资源利用能够更加可靠、正常、高效地运行?这是一个集技术、管理、法规综合作用为一体的、长期的、复杂的系统工程。我认为主要应做好以下三点工作:
1.建立健全组织体系
单位应成立由法人代表或主要负责人担任组长的“人力资源信息系统安全保密工作领导小组,由人力资源处、保密办、信息化等有关部门人员共同组成,负责组织协调整个信息系统的安全工作,明确小组成员的具体职责和分工,形成层次清晰、职责明确的人力资源信息安全责任体系。
2.建立人事信息系统安全保密管控体制
在技术上采取隔离技术、鉴别技术、控制技术、加密技术、防漏技术等措施予以管控,防范个人信息泄漏;在管理上,建立健全“既满足单位实际需要,又符合国家有关人事信息系统安全保密管理策略和相关制度的要求。
3.加强对个人信息安全保密管理的督查力度
将人事信息系统安全保密工作执行情况纳入年底工作考核和评先评优的内容,设置考核标准,制定评分细则;建立相互关联的考核机制、奖惩机制、内审机制、日常检查机制、违规事件查处机制,个人信息泄露隐患预警机制,为在人事档案信息化进程中维护个人信息安全方面提供强有力的保障。
信息安全保密工作 篇7
为进一步推动信息安全等级保护安全建设整改工作的开展, 交流安全建设整改工作的典型经验, 2010年6月10日, 公安部在国土资源部组织召开了信息安全等级保护工作现场会, 国土资源部、水利部等五部门分别介绍了本行业、本部门开展信息安全等级保护安全建设整改工作情况。国家信息安全等级保护安全建设指导专家委员会专家和相关行业、部门代表共30多人参加了会议。
水利部信息化工作领导小组办公室蔡阳主任在会上作了“强化等保整改、完善安全体系, 为水利信息化提供支撑保障”的主题发言, 从水利信息化安全体系建设情况、信息安全等级保护工作进展、下一步工作计划等方面全面介绍了水利部在信息安全保护工作取得的成效, 总结了水利部在信息安全等级保护工作中的体会, 并就如何更好的推动信息安全等级保护工作提出了建议。
与会专家和领导充分肯定了水利部在贯彻落实信息安全等级保护制度, 组织开展安全建设整改工作中的具体做法和典型经验, 特别是肯定了水利部组织编制的《水利网络与信息安全体系建设基本技术要求》, 认为《水利网络与信息安全体系建设基本技术要求》提出了“两网三区四级”的水利网络与信息安全体系框架和分区、分域防护的安全策略, 实现了国家信息安全等级保护制度与水利网络与信息安全体系要求的有效结合, 为组织好水利行业各单位、各部门等级保护安全建设整改工作奠定了基础。
欧盟加大信息安全工作力度 篇8
在制定实施信息安全宏观政策方面, 欧盟正在制定“欧洲互联网安全战略”, 计划改进欧洲网络与信息安全署的职能, 并将其作为欧盟信息安全管理的核心机构;完善计算机应急小组功能, 提高应对信息安全突发事件的能力;加强这两个机构之间的合作, 以及它们与欧盟其他机构和北约的合作, 提高信息安全管理能力。
在网络数据和隐私保护领域, 欧盟将在2012年年初修订《数据保护指令》, 特别强调云计算和社交媒体等对消费者和销售者信息的保护义务。2012年中期, 欧盟委员会还计划讨论通过有关加强电子隐私保护的具体措施。
在信息基础设施安全保障方面, 欧盟委员会2010年提出了《关于应对信息系统受攻击的指令》的提案, 这一提案正在讨论修改之中, 预计今后两年内将获通过并实施。
为了打击网络犯罪, 欧盟正在调研论证成立欧洲打击网络犯罪中心, 其论证结果将于2012年公布。欧盟还计划成立欧洲打击网络犯罪平台, 建立健全各成员国网络犯罪预警机制。
另外, 欧盟正在加大对不良网络信息特别是网络儿童色情信息的打击力度。欧盟委员会认为, 青少年鉴别力和自制力较弱, 易受不良网络信息的影响, 因此必须加大打击针对青少年的网络不良信息的管理力度。为此, 2011年年底欧盟发起一项由网络技术机构和网络媒体参与的联合行动, 共同为青少年创造一个良好的上网环境。欧盟还将出台一系列措施, 打击针对青少年的网络犯罪。
信息安全保密工作 篇9
一、计算机设备存在的泄密隐患
(一) 计算机剩磁效应泄密
计算机的存贮器分为内存贮器和外存贮器两种。删除存储介质中的信息, 删掉的只是文件名, 原文还原封不动地保留在存储介质中, 一旦被利用, 就会造成泄密。
(二) 计算机电磁波辐射泄密
打印、复印、传真一体机和数字复印机在涉密单位应用较多, 通常会与涉密计算机连接用于涉密文件打印, 同时与市话网相连用于收发普通传真。计算机设备工作时辐射出的电磁波, 可以借助仪器设备在一定范围内接收到它, 尤其是利用高灵敏度的装置可以清晰地看到计算机正在处理的信息。计算机辐射主要有四个部分:显示器的辐射、通信线路 (联接线) 的辐射、主机的辐射、输出设备 (打印机等) 的辐射, 这些都是造成计算机泄密的“源头”。
(三) 计算机操作系统漏洞泄密
目前, 大部分计算机使用的都是美国微软公司Windows操作系统, 该操作系统存在许多漏洞, 极易被利用, 安全隐患突出。通常人们认为只要笔记本电脑不处理涉密信息, 与互联网连接就不会出现泄密问题。然而检测发现, 利用Windows操作系统共享会出现漏洞, 通过互联网或使用无线互联能够取得该笔记本电脑的所有控制权, 进而将其麦克风打开, 变成窃听器。这样就能够通过网络监听到该笔记本电脑所在房间的通话内容。
(四) 移动存储介质泄密
移动存储介质, 包括U盘、移动硬盘等, 具有存储量大、使用方便的特点, 目前在涉密单位使用非常普遍, 同时存在着很多安全隐患。虽然对存储涉密信息的介质有较严格的保密管理要求, 外出携带需要严格控制并审批, 但涉密介质丢失现象仍时有发生。这些涉密存储介质一旦丢失, 就会造成秘密信息的外泄。当前急需采取严格的管理措施, 规范存储介质的使用。
二、计算机操作人员造成的泄密隐患
(一) 信息安全保密工作宣传不到位而泄密
由于不知道计算机的电磁波辐射会泄露秘密信息, 计算机工作时未采取任何措施, 因而给他人提供窃密的机会。不知道计算机软盘上的剩磁可以提取还原, 将曾经存贮过秘密信息的软盘交流出去, 因而造成泄密。因事离机时没有及时关机, 或者没有采取屏幕保护加密措施, 使各种输入、输出信息暴露在界面上。
(二) 内控机制不健全或者违反规章制度泄密
缺乏外部监督, 对上级行安全管理制度的落实和执行情况、对内部安全保密管理制度的建立和完善情况没有制定有效的外部监督机制, 造成制度落实不够、内控机制不完善。例如当机器发生故障时, 自己随意处理或者叫同事朋友进行维修, 不找科技人员, 造成秘密数据被窃。操作人员对涉密信息与非涉密信息没有分开存储, 甚至将所有的文件都放在一个公共目录里, 也没有进行加密处理, 使涉密信息处于无密可保的状态。
三、做好计算机信息安全保密工作的建议
(一) 加强信息安全保密教育
面对高科技的发展, 基层央行员工必须从维护党和国家秘密以及内部信息安全这一角度出发, 深入学习信息化环境下的保密知识, 不断强化保密观念, 进一步加强保密宣传教育工作。充分利用内联网、宣传栏、保密工作简报、播放警示片等形式宣传相关保密法规、保密知识, 编印《保密知识手册》;增强保密宣传教育的生动性和直观性, 使广大职工进一步了解和熟悉, 从而充分认识计算机网络泄密的严重危害和加强网络安全保密工作的重要意义, 增强危机感和紧迫感, 提高做好信息安全保密工作的自觉性, 从而能够严格执行保密制度, 防止在计算机网络中发生泄密事件。
(二) 强化信息安全保密管理机制
建立健全信息安全保密风险管理保障机制、风险评估和预警机制、风险应急处置机制。把信息安全保密风险管理控制工作提上工作日程, 完善信息安全保密风险管理部门和岗位责任制度, 层层抓好落实。全面落实风险评估制度, 建立信息安全风险监测体系, 及时分辨风险因素, 排查隐患, 对各类问题刨根问底。要把信息安全保密风险控制前移, 从业务部门需求管理抓起, 把风险控制贯穿于信息流动的整个过程, 加强风险控制。同时多部门齐抓共管、协调一致, 认真落实安全保密工作责任制, 并加强学习, 提高保密意识, 签订保密责任书, 明晰责任。根据人员调整情况, 及时调整保密委员会, 加强保密工作目标责任管理, 将业务工作和保密工作同布置、同安排、同要求, 确保各项保密工作任务的落实, 严防泄密事件发生。
(三) 对计算机严格实行审查审批制度
信息安全保密工作 篇10
一、设施建设
测绘地理信息的存储环境是做好安全保密工作的基础保障。对此, 我们不仅要考虑内部设施的建设, 还要考虑周边环境的影响。近年来, 我们根据自己的实际能力和需求, 改善了一些硬件设施, 如改造库房, 添置密集架、防磁柜、防火设备、除湿器、空调设备, 以及符合保密要求的碎纸和碎光盘设备; 加装防盗门、红外报警系统、视频监控装置和电子门禁系统。
硬件设施的投入, 就是要把整个涉密区域置于一个外部环境符合要求、内部设施安全保密的信息存放空间。
二、管理制度
制度是测绘地理信息安全保密的基石, 任何安全保密工作, 都需要一些具有强烈保密意识和责任感的工作者来完成。
1. 控防管理
严格落实各涉密环节的人防、物防和技防措施。控制好涉密场所的出入口。采取有效的门禁措施, 使用智能卡和口令结合的身份鉴别方式, 防止非授权人员进出。对涉密场所外来人员进行监控、登记。
档案部门严格控制进入库房人员。非本单位人员, 原则上不得进入库房。外部人员需进入档案库房的, 必须履行审批手续。由接待部门经办人员填写“进入要害部门 ( 部位) 审批表”。审批通过后, 应在“进入保密要害部门 ( 部位) 登记表”上登记, 签订保密承诺书, 并由档案室管理人员全程陪同。
工作人员下班或节假日期间, 应关闭信息设备, 锁好门窗、切断电源。
禁止在涉密区域拍照。
2. 教育宣传
保密教育培训工作是提高工作人员安全保密意识的重要手段。涉密工作人员应加强《测绘法》、《保密法》等相关法律法规的学习, 从保密教育培训中熟悉什么是国家秘密, 如何保守国家秘密, 增强保密意识和国家安全意识。
职工上岗前, 必须事先进行保密方面的教育培训, 熟悉基本的保密法律法规, 掌握必要的保密知识和基本要求, 知悉本岗位涉密事项及其保密职责。经审查合格进入涉密工作岗位的涉密人员, 必须与单位签订“保密协议”。涉密人员违反国家保密法律法规和单位保密规章制度的, 立即调离涉密岗位。
3. 自查措施
在工作中不断查找安全保密点, 堵塞漏洞。不定期进行安全保密自查。自查工作做到有组织、有计划, 规范化操作。不流于形式, 对检查中发现的问题, 要坚持原则, 认真负责地提出整改意见和建议。同时, 检查要与宣传教育相结合。相关人员结合国家保密有关法律法规和单位保密管理规章制度, 对发现的问题, 找原因、做总结。
这方面工作的重点在申请审批材料、输入输出操作、成果资料和档案库房的安全管理。它们是自查的主要内容。
三、节点管理
对于安全保密工作, 在建立全面控制的情况下, 还要做好保密点的设置与管理。
1. 涉密终端的管理
所有涉密计算机终端都必须符合以下要求:不允许安装无线鼠标、键盘或无线联网功能硬件模块及调制解调器; 必须安装杀毒软件, 每周进行病毒查杀, 而且病毒库每一个月更新一次; 必须设置8 位以上系统登录口令 ( 由大、小写字母、数字、特殊符号两种以上混合组成) , 并且定期更换口令, 更换周期不得长于1 个月; 必须设置屏保, 启动时间在10 分钟以内, 并设置恢复时密码保护;涉密终端之间禁止网络共享。
单位涉密信息系统内所有联网计算机终端, 均安装北信源主机监控审计与补丁分发系统, 保证操作行为的可审计、可追查。除特殊申请、报批外禁用所有输入输出端口功能。
所有涉密终端都登记备案并进行标识, 涉密信息系统符合分级保护要求。涉密信息系统严禁接入互联网及其他公共信息网络。
2. 涉密移动存储介质管理
涉密移动存储介质不得在非涉密计算机上或非涉密信息系统中使用; 非涉密移动存储介质以及手机、音视频播放器等具有存储功能的电子产品不得在涉密计算机或涉密信息系统中使用; 严禁非法复制、记录、存储涉密测绘地理信息; 严禁外来硬盘接入涉密终端。硬盘使用前必须打上标签。
3. 涉密资料、涉密介质的销毁
严格执行《涉及国家秘密载体与信息消除安全保密要求》规定, 销毁所采用的技术、设备和措施必须符合国家保密工作部门的有关规定。涉密载体的销毁设备必须是获得国家保密部门认可的产品。
涉密硬盘在被淘汰或报废后, 必须进行销毁处理。对于需要报废的涉密硬盘, 需事先造册登记, 经保密委员会审核、批准, 送至保密局指定销毁单位, 履行报废硬盘移交手续, 由该单位处理。
涉密光盘和纸质成果的销毁要严格进行登记造册、监销, 并向保密委员会或保密领导小组书面报告。派两人以上监销, 并在指定地点销毁, 防止成果遗失和泄密。销毁人、监销人、批准人均应在销毁清册上签字, 以示负责。
四、监管措施
测绘地理信息成果资料的出入, 是安全保密的重要节点, 需要把好关。在操作上, 我们的宗旨是可防、可控、可查, 紧紧围绕这一点制定工作流程, 主要监管点就是资料申请审批以及准备过程中的登记事项。
1. 成果资料的接受
档案成果部负责测绘地理信息成果资料的接收工作。每一年要接收大量的测绘地理信息成果资料。成果资料的接收, 必须要有移交清单。纸质介质成果按清单清点。移交的电子数据, 档案成果部负责在指定的中间机上, 对硬盘或光盘进行病毒和恶意代码查杀。查杀结束确保安全后, 部门工作人员严格按资料移交清单清点, 在确保资料齐全后, 再办理登记、编号、签收等手续, 并填写“测绘资料收入登记表”。
接收资料这一块的主要矛盾, 就是移交资料的完整性。为此, 我们根据各类资料实质内容, 制定了资料清单模板, 要求移交单位按照模板的内容组织资料移交, 为资料的及时归档创造条件。
2. 成果资料的提供
地理信息安全保密的重头戏在成果资料的分发上。安徽省测绘档案资料馆既是成果资料的保管单位, 也是生产作业单位。因此, 我们根据资料的申请对象, 分对外、对内提供两部分。
( 1) 对外提供
严格按照《安徽省涉密基础测绘成果资料提供使用审批程序规定》执行。申请使用涉密测绘成果资料的单位应按照规定的要求, 填写有关申请资料和证明材料到省行政审批中心受理。经受理后, 带上受理后的材料, 到安徽省基础测绘信息中心审批。审批通过后, 成果资料分发部门, 依据申请材料, 把申请单位信息、所需成果资料信息, 录入“安徽省测绘档案管理信息系统”, 并形成涉密基础测绘成果资料发送三联单, 发送单应详细记录载体名称、用途、发送时间、发送单位、发送人员、接收时间、接收单位和接收人员的相关信息。
部门工作人员依据涉密基础测绘成果资料发送单, 根据资料的介质类型, 按规范要求为用户准备成果资料。涉密成果资料以移动硬盘、光盘或纸质形式提供。电子数据的导出操作在档案成果部指定的端口计算机上执行。计算机责任人作为电子数据导出操作员, 档案成果部负责人作为监督人监督, 整个操作过程如下:
1) 硬盘介质。外单位硬盘在涉密中间机上杀毒、格式化; 工作人员首先在涉密端口上, 对将要提供的数据添加水印, 再复制到专用的摆渡移动硬盘上; 将摆渡移动硬盘接到中间机上, 将所需数据复制到对外提供数据的移动硬盘上; 复制完成后, 对摆渡移动硬盘执行信息消除处理。操作结束后, 操作人填写“电子信息输入输出登记表”。
2) 光盘介质。由端口计算机操作员通过“北信源”刻录软件, 在涉密端口机上, 将添加水印后的数据刻录到光盘上, 并禁止追加刻录。操作结束后, 操作人填写“电子信息输入输出登记表”。
3) 资质介质。由档案成果部门, 指派具有打印权限的工作人员, 依据数据发送单的内容, 采用防复印纸打印。档案成果部负责人作为打印监督人监督打印过程。打印操作结束后, 填写“打印登记表”。对外提供的图纸上, 还须加盖保密号。
在资料准备结束以后, 申请单位签订“涉密基础测绘成果安全保密责任书”, 方可领取涉密基础测绘成果。申请单位将涉密基础测绘成果资料发送单第三联, 加盖单位公章后送回档案成果部留存。
该环节的重点是对申请材料的审核。申请人要有明确的、合法的使用目的, 不接受超范围的申请需求。申请的基础测绘成果精度、数量与使用目的要相一致、相适应, 并且科学、合理、切合实际。资料准备过程中的操作登记不能遗漏。
( 2) 对内提供
1) 成果资料提供。即对本单位的成果资料提供进行严格要求。档案成果部会依据本单位业务部门的申请, 向系统内导入测绘地理信息数据, 具体要求及操作流程如下。
业务部门申请人填写“电子信息输入输出审批表”, 报中心保密委员会审批。审批通过后, 业务部门经办人执“电子信息输入输出审批表”到档案成果部办理导入。在档案成果部指定的端口计算机上执行导入操作。计算机责任人作为信息导入操作员, 按照“电子信息输入输出审批表”填报的信息内容执行导入操作, 档案成果部负责人作为监督人监督整个操作过程。导入操作结束后, 档案成果部负责填写“电子信息输入输出登记表”。
2) 成果资料的借阅。借阅使用资料, 应当履行审批、登记手续。申请人填写“借阅审批表”, 经申请部门和保密委员会批准后, 到档案成果部办理借阅。档案管理人员应做好登记和签收手续, 填写“借阅登记表”, 并随时掌握秘密载体的去向。
( 3) 成果资料的打印/复印/扫描
申请人填写“打印/复印/扫描”审批表, 报保密委审批。审批通过后, 由相关工作人员依据“打印/复印/扫描”填报的信息内容执行打印操作, 工作人员所在部门负责人作为监督人监督整个操作过程。操作结束后, 责任人填写“打印/复印/扫描登记表”, 然后, 把资料提交分发。
( 4) 成果资料的备份
成果的备份, 是保证测绘地理信息安全的重要环节。它有效地消除了信息载体的丢失、损坏所造成的影响。档案成果部和网络部定期需要对涉密信息系统内的涉密基础测绘成果数据做备份工作。备份以硬盘、光盘和磁带形式进行。档案成果部负责涉密基础测绘成果数据的硬盘和光盘备份; 网络部负责涉密基础测绘成果数据的磁带备份, 工作流程如下:
1) 硬盘和光盘备份。在档案成果部指定的端口计算机上执行, 端口计算机的责任人为操作人, 档案成果部责任人为操作监督人。备份完成后, 存储介质应及时入库, 由操作人填写“电子信息输入输出登记表”和“涉密信息存储介质制作复制登记表”。负责硬盘和光盘台账的档案管理员及时做好台账更新。
2) 磁带备份。由网络部工作人员在中心机房执行。备份完成后, 由备份操作人和备份检查人共同清点磁带, 填写“涉密信息存储介质制作复制登记表”, 送至档案库房入库, 最后填写“涉密信息系统磁带备份出入库登记表”。
五、安全保管
1. 档案库房的管理
档案库房为单位批准指定的测绘地理信息载体保存场所。库房在保证有必要的基础设施后, 还要求加强管理。
( 1) 档案库房是保管档案专用区域, 任何人不得在档案库内存放与档案管理无关的物品。
( 2) 档案库房必须设专人负责管理, 采取有效的防护措施, 保证档案安全。
( 3) 档案库房设有防盗、防火、防潮、防尘、防虫、防鼠、防高温、防强光的设备和措施。档案室内备有温度湿度计和记录本 ( 簿) , 坚持每日观察记录, 做好温湿度调控工作, 维持良好的保管环境并不断改善保管条件。档案库房内应当安置除湿器、空调等设备。库房的温湿度应相对稳定, 库房的温度应控制在14℃ ~ 24℃, 相对湿度应控制在40% ~ 60% 。
( 4) 档案室应安装防火防盗装置, 置放灭火器材, 加强防火、防盗工作。档案室周围要灭绝火源。室内严禁吸烟, 严禁将易燃易爆物品带入档案室。宣传贯彻上级有关安全防火的规章制度, 树立防火意识。不准擅自安装电器开关和其他电器设备, 严禁乱接、乱搭临时线。
( 5) 定期检查消防器材并定点放置, 管理人员要了解其性能并能熟练使用。
2. 成果资料的管理
档案成果部负责人为档案库房责任人, 并依据秘密载体类型设置秘密载体管理人员。
( 1) 档案管理人员离开办公场所, 应当将秘密载体存放在库房内。
( 2) 档案成果部负责每年对当年所存秘密载体进行清查、核对, 发现问题及时向保密工作部门报告。
( 3) 及时归档上架各单位汇交的成果资料。做好纸质资料、电子数据的双备份。
( 4) 纸质载体存放在档案专用秘籍架内, 数据硬盘、光盘要存放在消磁柜。同时, 不同密级的数据分别存放。硬盘、光盘数据都按照要求, 贴上标签和盘号, 并及时做好台账, 录入安徽省测绘档案管理系统。
( 5) 硬盘、光盘数据每年都要查看一遍, 及时补救有缺损数据。
( 6) 加快测绘地理信息成果资料的异地备份。
六、结语
涉密测绘地理信息的安全保密工作事关国家安全和利益, 我们要牢固树立“国家安全无小事”意识, 严格执行安全保密的管理制度, 加强测绘生产加工和应用服务过程中的保密工作, 培养工作人员细致、谨慎的工作习惯。要相信, 为国家这个“大家”守好秘密, 也就为我们这个“小家”带来平安。
摘要:依据国家的法律法规, 对测绘地理信息成果接收、分发、整理、归档等实际工作, 进行了归纳总结。从保密设施建设、管理制度、节点管理、监管措施、安全保管方面提出了一系列工作流程。
关键词:测绘地理信息,安全保密,涉密终端,成果资料
参考文献
[1]杜虹.关于涉密信息系统分级保护的几个问题[J].保密工作, 2006, (11) :16-17.
[2]赵占生, 等.信息安全保密教程[M].北京:中国科学技术大学出版社, 2006.
[3]国测成发[2012]11号.关于加强涉密测绘地理信息安全管理的通知[G].国家测绘地理信息局, 2012.
[4]国测成发[2010]6号.国家测绘局关于进一步加强涉密测绘成果行政审批与使用管理工作的通知[G].国家测绘局, 2010.
[5]国测办字[2003]17号.测绘管理工作国家秘密范围的规定[G].国家测绘局、国家保密局, 2003.
[6]国测办字[2007]1号.基础测绘成果网络化分发服务系统建设指导意见[G].国家测绘局, 2007.
[7]郑泓.浅谈涉密测绘成果的管理[J].兰台世界, 2014, (S6) :19-20.
计算机信息安全保密的研究与分析 篇11
【关键词】计算机信息安全;网络;安全威胁;影响
计算机相关技术的积极应用和开发是目前世界发展的趋势,利用计算机技术来实现人类各个方面的发展是信息时代的重要特征。但是由于计算机网络的加入和普及,计算机技术的应用变得复杂而充满变数,那就是计算机网络带来的安全威胁,它降低了信息系统的安全性。
1.计算机信息安全
1.1计算机信息安全的概念
计算机系统是一个复杂的、多元化的、涉及方面广泛的智能电子终端,它主要包括了软件和硬件。如果对计算机系统的操作或管理不当,就会导致各种病毒和恶意代码的入侵,最终使计算机系统崩溃,影响到计算机系统内部的信息安全。所以,对计算机信息安全的概念主要包括以下三个方面。
(1)物理方面。计算机系统是由多个电子元件组合而成的,每个元件都有各自的工作机理和分工,它们共同组成整个计算机硬件系统。计算机信息的物理安全能够保证计算机及网络在运行时的安全性和正确性。由于计算机的电子元件一般均为弱电设备,所以在防范自然灾害的问题上要格外注意。如果是团体机关的计算机机房和网络设施要注重对于雷、电、电磁波等的干扰,确保计算机在物理方面的安全运行。
(2)网络方面。由于现在计算机都接入网络,而病毒入侵的主要途径就是通过网络,它主要通过网络感染和破坏计算机的软件系统硬件数据,所以要保证计算机网络服务的正常和稳定性,通过各种措施避免网络中病毒和非法信息的入侵,从而避免因为网络植入病毒而带来的计算机信息系统内数据的改变,泄漏和破坏,保证计算机信息网络系统的可持续性运行。
1.2计算机信息安全问题的特点
计算机通过网络实现了信息资源的共享与扩散,这也给信息系统带来了安全方面的隐患。目前国内使用的计算机系统芯片均为进口产品,在系统安全的保护和预设上不能自主控制,可能会留下一些安全方面的漏洞,通过这些漏洞进入计算机信息系统就能造成信息的窃取和修改,甚至系统的崩溃。这是计算机网络和硬件方面的不可控性所带来的安全威胁,需要得到重视。
通过各种软件,计算机信息系统也能遭到严重的破坏。由于计算机软件中信息资源的开放性,所以就导致了它的安全性降低。虽然目前已经出现了许多防范恶意入侵的计算机杀毒软件,但是对于自身的安全保护级别还并不完善。这是因为计算机防病毒软件的设计永远是被动的,永远是根据目前病毒的发展而更新信息库的,所以在计算机软件与网络的应用中,由于它开放自由化的特性,病毒入侵和信息系统遭到破坏依然不是没有可能。
2.引发计算机信息安全问题的原因
在信息流通高度发达的社会,计算机信息安全受到各方的威胁,尤其是政府安全或者一些比较重要企业的信息部门。他们的系统尤其需要加强防范,因为病毒的入侵和信息的盗取无时无刻不在,所以我们要充分认识到计算机信息安全系统并不安全,它是滞后和脆弱的,加强信息系统的密保才有可能将安全威胁拒之门外。以下我们主要介绍几种引发计算机信息系统安全问题的因素。
2.1计算机信息系统能够受到威胁,最大的隐患还是来自于人本身
目前一些具备高素质网络技术的黑客是计算机安全的最大威胁。他们攻击计算机信息安全系统主要目的有两种,一种是破坏性的,这种破坏就是为了打击和摧毁信息系统,造成信息的丢失,而且很多情况下是无法挽回的,并且这种信息破坏是具有选择性和针对性的;其次是非破坏性的攻击,这种攻击的原则就是不影响计算机系统的正常运行,在无声无息的情况下进行信息的盗取、截获和破译,一般常常用于盗取一些重要企业或者信息部门的关键机密信息。
2.2由计算机系统操作人员自己的误操作也能够带来计算机信息安全的隐患
这种情况常常是由于操作人员的业务不熟而导致的,主要体现在计算机信息安全系统的安全配置不当、资源访问权限控制的不合理、用户口令密码设置有误、网络共享资源设置密保简单等等。如果不能够及时更改或者加强密保设置,重要信息就会在操作人员不知情的情况下丢失,且很难被发现。
2.3计算机病毒是比较常见的系统安全老问题
通过病毒对计算机系统程序造成功能上的紊乱和数据的毁坏,是最直接的影响计算机信息安全的方法。它主要通过制造和复制计算机指令或程序代碼,对计算机系统中的运行代码进行模拟和篡改,具有很高的隐蔽性、传染性、破坏性和可执行性。
3.计算机信息系统安全的保密措施
目前,为了防范计算机信息系统中可能存在的各种安全威胁,在国际上已经确立了一系列的关于计算机系统的安全保密措施,以此来规范和保护计算机信息系统安全。
3.1计算机信息系统保密管理
保密管理是一种对于涉密人员、涉密载体和涉密事项进行管理的活动。这里包括了政府机关和企业信息部门的日常保密管理工作。对于计算信息系统的保密管理一定要确定公开的涉密人员之间的关系,并限制涉密人员和涉密事项的数量。与此同时,建立健全的保密法规并加强保密管理的关键技术和设备也是十分必要的。
3.2计算机信息系统的安全保密措施
由于要兼顾计算机软件、硬件、网络三方面的保护,所以为了确保保密措施的正常实施,要做到以下几点:
(1)首先要做好物理方面的安全防范,它主要涉及到工作环境的内部安全和外部安全。内部安全主要指系统内部的维护与修理;外部安全是指硬件和系统周围例如对于恶劣天气的防范,注意雷雨天气对设备硬件的影响,做好网络的布线系统。另外还要确保计算机不要遭受电磁波的干扰和辐射。物理方面的安全重点就是保证重要数据的集中管理,避免数据的丢失。一般来说,这种威胁来自于自然,特别是恶劣天气下,应该注重计算机的运行与休息。而对于安保部门来说,采用屏蔽隔断周围辐射的威胁,是最好的办法。
(2)要进行杀毒软件的安装和定期的杀毒。正常情况下,杀毒软件能够兼顾大部分病毒的查杀,如果不是特殊的病毒感染都能应付。
(3)在网络方面要做到选择安全保密性强的网络操作系统,确认并记录好账户和密保口令。在数据库的密保方面,确立目录文件的安全密保机制,利用密码密匙原理进行数据的加密,保证数据在传输过程中是被加密且不易被识别破解的。对于网络系统的保护就是让内部网络的涉密系统与物理隔绝,并对网络的审计措施、防毒措施、传输加密措施以及对用户的监控管理措施等。而资源共享方面是网络保密最容易出现漏洞的地方。要严格设置访问控制手段,在网络安全等级和链路层安全等方面要做到严密把关,确保网络终端的信息安全。
(4)交互涉密文件是最容易泄漏密保的环节,尤其是对外的涉密文件交互。因为涉及到比较常见的复制、传输、保存等环节,文件很可能在这一时间段内被窃取。在交互涉密文件时,一定要确保存储介质和内部网络的安全可靠,并适当的在每个环节都设立加密,以确保涉密文件交互安全进行。
(5)计算机信息安全保密体系的敏感地带就是对终端的防护。因为传统的安全方案只能阻止外部入侵,而不能防范内盗。所以在企业内部一定要规范并做好相关方面的培训和问责机制,确保(下转第183页)(上接第64页)防止内部人员的操作疏忽或有意为之,对系统信息安全进行恶意攻击和偷盗行为。
(6)对于计算机信息安全的保密最直观的方法就是加密。为了确保涉密数据的安全,应该通过数据加密的方式对计算机的系统、内外传输介质和网络信息系统进行上锁和加密保护。例如在会计信息系统的数据库中,对其的OS操作系统、DBMS内核和DBMS外层都要进行加密,形成有层次的保护。
首先是OS层加密,加密的对象是整个文件系统。因为无法辨别数据库中文件之间的数据关系,所以应该在OS层直接对数据库文件进行加密;对于DBMS内核层的加密涉及到数据在物理存储之前和之后的加密与解密工作。利用DBMS加密器和DBMS接口协议对文件系统进行加密,其优点是加密性强而且加密功能不会影响DBMS的任何功能操作。但是它也有缺点,那就是在服务器端进行加密和解密运算,会加重数据库服务器的负载从而使系统运行速度下降。一般在会计信息数据库的加密都采用基于Oracle提供的安全包为基础制定加密策略。它的优点就是能够合理分配系统资源,既能兼容系统的加密与解密工作,也能让系统在运行时保持一定的流畅性;DBMS的外层加密主要采用的是传统的密匙管理。这样做的理由和内核层的加密有异曲同工之妙,那就是在不加重系统负载的前提下,灵活的配置数据库加密,其缺点是加密功能会受到一些限制。
(7)做好计算机信息安全的安全审计工作也很重要,这包括对于数据库、主机、操作系统和安全设备等系统动作行为的审计,审计记录所有发生的事件。建立健全的安全管理制度,规范技术管理員的操作规程并提供系统维护的防范依据。一旦有突发事件发生可以快速查询行为记录,以便采取相应的处理措施。
4.总结
计算机信息安全保密的管理和建设,涉及到国家建设的许多层面,需要在规范和技术方面不断加强。我国应该尽快订制一套完整全面系统的信息保护法和计算机信息系统的安全标准,以此来规范和提高我们对于计算机信息安全系统的保护意识和安全防范技术手段。 [科]
【参考文献】
[1]佟守权.计算机管理信息系统安全保密的探讨[A].第十次全国计算机安全学术交流会论文集[C].2008.
[2]唐中学.计算机网络信息安全保密问题浅析[J].电脑知识与技术(学术交流),2013,1(4).
四川铁通全面落实信息安全工作 篇12
本刊讯根据四川铁通公司信息安全工作总体部署, 德阳分公司立即行动起来, 安排专人对信息安全、网络安全管理进行自查整改, 组织相关人员认真学习文件, 按照文件要求制定信息安全保障措施, 全面清理公司管内应用服务器, 梳理网站备案流程, 进行各应用系统用户帐号清理、密码加强工作, 以确保信息安全工作落到实处。
广元本地网从2014年10月起, 在抓好移动代办、宽带倒接等生产经营工作的同时, 大力整改基础管理方面存在的问题。结合经营部生产办公环境修缮, 通过3个月的努力, 取得了明显的效果。2月11日, 由绵分领导牵头, 对广元本地网前期基础管理存在问题进行整改情况进行了全面复查, 整改效果得到了领导的肯定。
【信息安全保密工作】推荐阅读:
安全信息工作08-05
学校安全工作信息05-14
信息安全阶段工作汇报10-20
信息安全保密技术09-02
信息安全工作实施方案07-07
信息安全年度工作总结10-23
档案信息网络安全工作06-05
信息系统安全与保密期09-11
银行信息安全工作计划05-21
企业信息安全工作报告11-08