安全保密管理(共12篇)
安全保密管理 篇1
0 引言
本文主要研究有关电子政务信息安全保密管理方面的问题, 分析中国电子政务中信息安全管理的现状中存在的问题, 系统地剖析电子政务安全保密管理研究所存在的需求、特性及所面临的威胁等;并学会借鉴国内外电子政务安全保密管理的理论经验, 从信息安全保密的视角中解决有关电子政务安全管理问题的途径。为保证政务活动能安全高效的进行, 需要从安全管理的信息层面上有效地解决电子政务安全问题。
1 电子商务发展现状与概念
1.1 电子政务信息安全的阶段
目前, 我国的电子政务信息安全保密管理具体分为三个阶段:第一阶段, 全自动化办公, 主要采用office软件和台式计算机, 将手写的形式转变为电子传输, 实现办公操作更为快捷、方便, 其还具有重复性的特性;第二阶段, 主要是以Internet为网络端, 各个用户、各个行业与各个终端等等相互贯通交互, 实现城域, 广域的信息交换、资源共用。将原来电子政务工作办事效率提高了几个层次;第三阶段, 以外部网络与内部网络建构电子政务信息为中心。
1.2 电子政务的概念及保密实施
电子政务是政府机构中应用现代信息技术和通信功能, 是现代政务信息交流的一种手段, 将管理与服务通过网络技术领域的深入而产生的, 其主要目的是政府内部组织结构和工作流程的优化重组, 突破时间和空间及部门之间的分隔限制, 使政府在执行行政管理等环节精简、高效和诚信, 向社会提供优质和全方位的、规范而透明的、符合国际水准的管理和服务。自2010年起, 全国人大第十四次会议新修订的《保密法》正式实施, 涉密条款事项步入法律法规, 加固了对网络技术信息安全的保密管理。其中有关规定:在确保国家的秘密安全的前提下运用电子网络信息。由于, 我国信息技术和信息产业的发展与技术先进的国家相比较为落后, 计算机安全软件和核心安全技术还不能达到国外先进的技术水平, 电子政务相关安全软件虽然能够起到防御的作用, 但也要考虑软件的性能符不符合当下电子政务信息的国情。
2 电子政务信息安全风险及防范措施
2.1 网络技术安全的脆弱性
网络得以正常运行取决于基础设施是否符合国家质检标准, 完善电子政务基础设施是至关重要的, 健全的系基础设施决定了电子政务能否正常运行。在网络平台中, 其数据传输风险极大, 需要采取加密管理, 如若不能有效拦截黑客窃听, 必然会使内部信息遭到泄露。对整个网络系统埋下隐患, 在正常运行的情况下, 没有安全软件作为防护, 必然会遭到入侵。同时, 终端数据库和网络边界都会增大极大的风险, 一旦黑客以篡改及窃取等方式进行攻击, 后果难以设想。需要采用安全保密措施以防诸多风险。电子政务网络的防范技术和安全软件都应适应国家经济的健康发展需要, 良好的经济秩序和社会是电子政务信息安全的保障。因此, 重视电子政务信息安全保密管理是目前首要出发点。
2.2 电子政务信息应用风险及技术
电子政务网络是21世纪全球范围内的一个不可扭转的趋势。在发展电子政务的过程中, 倍受人们关注的电子政务的首要问题就是安全性问题, 在电子政务系统的技术选择过程中, 可采用五种技术应对网络安全风险。1从物理层角度出发, 物理层是整个网络的地基, 如若被损坏及被盗, 整个网络系统便会瘫痪, 存在安全风险, 但在物理层保护前提的基础上, 能有效减轻整个网络的风险, 增高了物理安全性。2从链路传输层角度出发, 可以有效抵制外界用户攻击, 避免外界用户窃取, 然而链路层遭受损坏, 也难以组织窃听的风险, 严重威胁到整个网络系统的安全。3系统层虽然几乎不存在漏洞状态, 但需要使用特定服务进行设定安全策略, 一旦这些服务系统遭到更改即启动报警程序。4应用层的主要风险主要来自于各种应用软件。应用软件的功效主要是快捷、简便, 其潜在威胁随时存在, 由于涉及面广, 存在许多难以预知的漏洞。
在整个电子政务信息管理运行模式中, 需要对电子政务信息的各个环节进行分级保护, 严格要求其机制, 确保信息安全。只有对电子政务信息实施严密的规范化、标准化的管理模式, 才能有效的解决我国电子政务信息安全管理风险问题。
2.3 电子政务信息安全防范的措施
电子政务信息是一个网络平台, 它以计算机网络为起点贯穿于整个信息网络中。电子政务平台具有覆盖面广、易于系统更新与管理的特点。以下为信息平台的四种防患措施:1从全盘角度出发, 采用先进的仪器设备, 与时俱进, 保障网络信息与时代接轨, 避免了必要的资源浪费, 节约成本。2从系统安全性和稳定性出发, 构建电子政务保障平台, 网络信息有严格的保护屏障, 利于网络信息传输的安全性, 保密性强。3从规范性和扩展性角度出发, 采用的软件平台、硬件和应用程序, 应符合国际标准, 方便与其他终端的互联。同时提升网络兆值, 由于电子政务网络是以太网骨干网的建设, 并不具备数据传输能力, 此时需要采用较高的扩展端口。4从管理角度和网络性能出发, 采用先进的实际配置, 才能确保网络的性能, 使其效率发挥到最大化。
任何网络的建设需要一个管理核心, 建立安全可靠的信息管理系统, 使其更好的为电子政府这个信息平台服务, 相互统筹, 与时俱进。总之, 建立电子政务信息平台与安全防范的管理密不可分。
3 结束语
我国电子政务信息安全是我国主要的问题, 可将电子政务的安全管理化分为两个层次, 分别为政务网和政务信息保密管理, 为了使保密管理更为严格, 需要相关人员从电子政务管理对象及安全策略等方面进行系统的研究。综上所诉, 电子政务安全保密管理研究是一个系统工程, 采取有效方案可以从技术人员、技术、操作方面对保密系统进行统筹。只有技术上的支持和安全管理的保障才能将电子政务信息管理研究开展的更为精湛。安全管理是电子政务一个不可或缺的环节, 需要各界参与并扶持, 才能保障我国的电子政务安全管理体系。在未来国际安全管理领域, 与时俱进, 共同研究。
参考文献
[1]王瑞刚, 朱志祥.县级电子政务安全管理研究[J].信息安全与通信保密, 2010, (10) :70-72.
[2]杨碧霞.电子政务信息安全及防范对策[J].滁州学院学报, 2010, 12 (4) :65-66.
[3]唐喜庆.略论电子政务信息安全风险的来源、评估及管理[J].华章, 2012, (35) :316.
[4]梁斌, 杨大原.电子政务信息安全体系的研究与构建[J].软件产业与工程, 2011, (4) :45-48.
[5]付黎.基于我国省级电子政务信息安全保障体系建设研究[J].华人时刊 (中旬刊) , 2013, (12) :160-160, 162.
安全保密管理 篇2
该制度旨在通过加强对存储涉密信息笔记本电脑与移动存储介质(包括移动硬盘、优盘、光盘和磁带等)的安全保密管理,增强使用人的防范意识,防止因为使用笔记本电脑与移动存储介质不当造成泄密。对于违反保密规定的,将追究相关人员的责任。科室负责人对全部门执行保密制度的情况进行检查,发现问题及时处理。具体管理制度如下:
一、本部门存储涉密信息的笔记本电脑和移动存储介质,限本部门人员使用;对存档使用的涉密应哦按、优盘、光盘、磁带等,同意交给科室专人保管。
二、个人使用的优盘、移动硬盘等移动存储介质,一般不得存储涉密信息,因工作需要确实必须使用的,使用后要及时消除涉密信息。
三、不准携带存储涉密信息的笔记本电脑和移动存储介质离开工作场所,确实因为工作需要携带的,必须办理相关审批手续。
四、禁止将存储涉密信息的笔记本电脑和移动介质外借,禁止通过移动存储介质将涉密信息拷贝在私人电脑或者外单位电脑,禁止将涉密信息上传至网络。
五、因为工作需要借用公司笔记本电脑、移动硬盘存储信息的,归还前必须清楚存储的涉密信息,并将使用的设备格式化。
安全保密管理 篇3
一、适应形势需要,构筑强大的人事信息安全网络
目前,人事档案中的某些数据已经实现了联网,如公安部门已经建立的覆盖人事档案的信息系统,将整合个人信息资源,提供高效、快捷的服务和应用。但在个人信息电子化的过程中,个人信息泄漏成为最突出的问题,由于网络的共享性而造成的个人信息泄漏事件往往给个人及单位造成麻烦及致命打击。而且随着网络规模的日益扩大及深入应用,各单位自身对网络依赖程度将越来越高,网络结构及使用日趋复杂,网络安全问题越来越突出。近几年,个人信息的泄露已成为较严重的问题。2013年2月28日广州日报刊登了这样一则消息——“中国人寿个人信息泄露,80万份保单可上网任意查”的消息,据消息称有的人莫名收到一份免费保单,或刚在银行办完业务就接到保险公司的推销电话。中国人寿相关负责人回应称此问题因系统升级操作失误所致。目前,发生问题的查询模块已关闭。公司就此事公开道歉。由此看来人事档案个人情况信息化是把“双刃剑”,一方面个人信息资源共享可以实行资源整合,方便快捷查询;另方面,若保密安全防范措施做的不到位,人为失误,那么个人信息就会泄露,后果则不堪设想。
当今单位网络所面临的威胁主要可以分为对网络中设备的威胁和对网络中数据的威胁。因此,信息系统的安全性可分为物理安全和信息安全。
网络中的物理威胁主要包括对硬件设施、网络本身以及其它能够被利用、被盗窃或者可能被破坏的设备的威胁。信息安全主要对信息系统及数据实施安全保护,保证在意外事故及恶意攻击下系统不会遭到破坏,个人及单位数据信息不会泄露,保证信息的保密性、完整性和可用性。信息安全主要面临有病毒及黑客的攻击、人为恶意攻击、非法将信息泄露。其中病毒可以借助文件、网页、移动介质等诸多方式在网络中迅速进行传播和蔓延,具有隐蔽性强、传播速度快,破坏力大的特点,单位内部网络一旦受感染,就会利用被控制的计算机,破坏数据信息,造成网络性能下降、系统瘫痪、数据丢失及个人信息泄露事件。但真正的威胁还是来自内部。人为的恶意攻击是计算机网络所面临的最大威胁。如,对网络未采取有效的防范措施,系统共享情况比较普遍,缺乏有效的访问权控制等。此外信息安全意识和认识不足,网络安全基础设施利用和资金投入不足等非技术层面购成的网络信息安全缺陷也严重威胁个人信息系统的安全保密性。
二、加强对个人信息安全保密管理的督查力度,建立个人信息安全泄密隐患预警机制
在政务公开的背景下,人事档案部门应该积极探索增加人事档案透明度的方法,既不违背党和国家人事档案管理的有关规定,确保人事档案的安全,又通过人力资源信息系统的平台中,达到权限范围内的人力资源信息共享。人事信息系统必须采取安全有效的防范措施,防范非法人员冒用授权用户合法身份登录信息系统,窃取敏感信息。如何有效地管理人事档案的个人信息系统平台,提高系统的安全保密性,确保单位人力资源信息资源利用能够更加可靠、正常、高效地运行?这是一个集技术、管理、法规综合作用为一体的、长期的、复杂的系统工程。我认为主要应做好以下三点工作:
1.建立健全组织体系
单位应成立由法人代表或主要负责人担任组长的“人力资源信息系统安全保密工作领导小组,由人力资源处、保密办、信息化等有关部门人员共同组成,负责组织协调整个信息系统的安全工作,明确小组成员的具体职责和分工,形成层次清晰、职责明确的人力资源信息安全责任体系。
2.建立人事信息系统安全保密管控体制
在技术上采取隔离技术、鉴别技术、控制技术、加密技术、防漏技术等措施予以管控,防范个人信息泄漏;在管理上,建立健全“既满足单位实际需要,又符合国家有关人事信息系统安全保密管理策略和相关制度的要求。
3.加强对个人信息安全保密管理的督查力度
将人事信息系统安全保密工作执行情况纳入年底工作考核和评先评优的内容,设置考核标准,制定评分细则;建立相互关联的考核机制、奖惩机制、内审机制、日常检查机制、违规事件查处机制,个人信息泄露隐患预警机制,为在人事档案信息化进程中维护个人信息安全方面提供强有力的保障。
探究电子政务信息安全保密管理 篇4
一、电子政务信息含义和其安全保密管理现状
1. 电子政务信息含义。
电子政务信息是计算机网络技术快速发展的产物, 政府部门应用现代电子通信技术, 在网络上进行管理和服务工作, 优化了其组织结构和工作流程, 避免了由于时间和空间的限制而耽误效率的情况发生。国家政府部门的服务信息也可以在网上实行透明化的公开, 有利于公众对政府部门工作的监督, 提高服务质量。
2. 电子政务信息安全保密管理现状。
我国电子政务信息从20世纪90年代开始有了很大的发展, 经过这么久, 电子政务信息已经广泛应用政府部门的日常服务工作中。但是, 电子政务信息安全保密形势依然很严峻, 主要存在以下问题:首先是电子政务信息安全保密管理的法律法规建设不完善。虽然我国已经出台了一些与网络信息安全有关的法律法规, 但其结构单一, 各个体系间的关联度不大, 信息安全保护体系缺乏综合性的规划, 没有建立统一的电子政务管理机制, 各部门间达不到有效的沟通交流, 信息安全管理的制度也不太规范。电子政务信息安全保密工作与先进的信息安全技术分不开, 目前我国技术水平与国际水平还存在差距, 核心技术的掌握还不充分, 以致在面对电子政务信息出现漏洞时, 不能及时解决, 对政府部门的服务工作造成了一定的影响。电子政务信息系统使用人员的安全意识有待提高, 很多政府信息管理部门的工作人员对应用软件不够了解, 只是停留在会使用的层面, 对很多有关保密工作的事项不理解, 给工作带来了一定的阻力。
二、加强电子政务信息安全保密管理工作的对策
1. 健全网络信息安全法律制度。
当今社会是一个网络大爆炸的时代, 网络上的各种信息层出不穷, 电子政务信息在这样的一个环境下要想做好信息安全保密工作, 首先, 健全网络信息安全法律制度。保证电子政务信息处在一个受法律保护的环境下, 我国网络信息安全保护法的制定人员可以参考国外网络信息安全保护的经验, 结合国内网络环境的实际情况, 制定出适合我国网络信息安全保护的相关法律, 为电子政务信息安全保密工作保驾护航。国家的执法部门要加大对违反网络信息安全保护的执法力度, 制定相关的惩罚措施, 对电子政务信息的正常运行进行有效的监督, 对那些盗窃国家机密的网络犯罪分子, 要采取严厉的惩罚措施。
2. 提高电子信息安全技术。
电子政务信息安全保密管理工作离不开先进的电子信息安全技术的支持, 我国电子政务信息起步比较晚, 相关的安全保护技术和经验与国际水平还有一定的差距。因此, 电子信息安全保护部门要积极学习国外先进的安全保护技术。网络安全、数据安全、数据传输安全和储存安全是电子政务信息安全保密的主要内容, 要从这几方面入手, 提高计算机应用软件的安全性能, 增强从业人员的网络信息安全保护意识。国家要加大对网络信息安全建设的投资力度, 培养网络信息安全保密的技术人员, 并进行与网络信息安全保密管理有关的技术创新工作, 提高我国电子政务信息安全保密管理的软件和硬件水平。
3. 建立电子政务信息安全管理部门。
我国政府要建立电子政务信息安全管理部门, 该部门人员对日常的电子政务信息进行有效的监督工作, 一旦发现漏洞, 要马上采取补救措施。同时要对重要的国家机密信息进行特殊的保密工作, 加强网络安全防护等级, 建立预警机制。如果有外来人员进入政务信息系统中, 就马上发出警报并自动关闭系统, 使电子政务信息得到很好的保护。
三、结语
电子政务信息安全保密管理对我国的政务信息顺利进行有重要的作用, 保护的同时还能提高政府部门的工作效率。因此提高电子政务信息安全保密管理能力是网络信息安全保护人员要考虑的重要问题, 他们需了解网络安全技术、法律法规以及管理办法等内容, 制定有效的电子政务信息安全保密办法。
摘要:随着电子信息技术的发展, 我国政府部门日常工作中广泛应用电子政务信息, 同时提高了为民服务的效率。现在我国电子政务信息管理网站初具规模, 但也涉及到一些安全问题, 这就要求政府部门加强对电子政务信息安全保密管理的工作, 提高管理水平, 加大政府部门的服务力度。笔者主要是研究电子政务信息安全保密管理工作, 探索利用先进的科学技术提高电子政务信息保密管理的有效方法。
关键词:信息技术,电子政务信息,安全保密管理,探索方法
参考文献
[1]丁丽.电子政务信息安全保密管理研究[D].济南:山东师范大学, 2014.
[2]张效强.对电子政务信息安全保密管理的研究[J].信息安全与技术, 2016 (1) :6-7.
[3]辛一铭.电子政务信息安全保密管理探析[J].经贸实践, 2015 (10) :186.
[4]刘霄云.我国电子政务信息安全管理研究[D].大连:大连海事大学, 2015.
信息安全保密管理制度 篇5
1、配备2至4名计算机安全员(由技术负责人和技术操作人员组成),履行下列职责:严格审核系统所发布消息:根据法律法规要求,必须监视本系统的信息,对本系统的信息实行24小时审核巡查,防止有人通过本系统发布有害信息。如发现传输有害信息,应当立即停止传输,防止信息扩散,保存有关记录,并向公安机关网监部门报告;同时应配合公安机关追查有害信息的来源,协助做好取证工作。其中,网站发布的信息不得包含以下内容:煽动抗拒、破坏宪法和法律、行政法规实施的;煽动颠覆国家政权、推翻社会主义制度的;煽动分裂国家、破坏国家统一的;煽动民族仇恨、民族歧视,破坏民族团结的;捏造或者歪曲事实,散布谣言,扰乱社会秩序的;宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪的;公然侮辱他人或者捏造事实诽谤他人的,或者进行其他恶意攻击的;损害国家机关信誉的;其他违反宪法和法律行政法规的;
2、对电脑文件、数据进行加密处理。
3、定期对网站上的信息进行备份,对数据库进行定期的备份和保存。实行每天进行增量
备份,每周实行一次全备份。并且每月把备份的内容刻录成光盘进行存储
3、经申报批准,才能查询、打印有关资料。
4、对发布的信息,我们会对信息日志的记录至少保存3个月的记录,并建立有害信息过滤等管理制度。遵守国家有关规定,实行关键字过滤,对敏感的字和词组进行过滤
5、对相关管理人员设定网站管理权限,不得越权管理网站信息,对保密信息严加看管,不得遗失、私自传播。
议计算机安全保密技术 篇6
【关键词】計算机;安全保密技术;信息安全;网络传输
在一般情况下,谈及计算机安全保密工作往往涉及信息的安全,整个计算机安全保密既是对信息处理、传输、接收等方面的安全保密,更涉及计算机防入侵、信息存储安全等问题。因此在现代信息社会,计算机安安全保密作为一项复杂而重要的工作内容,对于整个社会的发展有着显著的影响。现阶段计算机安全保密技术随着信息化社会的发展获得了快速的提升,通过相关技术单位的努力以及网络人才的探究,计算机安全保密技术正在向新的高度发展。而相关人员应当继续积极的对计算机安全保密技术进行梳理探究,以从现阶段计算机安全保密技术发展的实际状况来探究其实际存在的问题与优势之处,进而为计算机安全保密技术的有效发展提供相关的参考,以保证现代信息社会环境下,信息安全能够得到真正有效的保障。
一、现阶段计算机技术发展过程中存在的安全隐患
文章在本节首先结合计算机发展的实际情况,梳理计算机技术在发展的过程中存在主要安全隐患,进而以计算机发展现状为切入点,探究计算机安全保密技术必要性以及实际发展需求。
(一)计算机病毒的不断更新为信息安全造成巨大隐患。现阶段,随着信息技术的快速发展以及计算机应用的逐步深化,人们对于信息安全的关注程度逐步提升,对于计算机防病毒等方面的工作也在逐步的完善化。但是计算机病毒同样也在不断的更新发展,为了窃取相关信息,谋取不当利益,计算机病毒制造者采取多样化的手段来更新病毒的数据、拓宽病毒的传播途径,进而使得整个网络环境的安全受到巨大的影响。从这一方面来看,计算机病毒不仅仅是计算机安全引用的威胁,更是信息安全隐患。
(二)网络黑客的扰乱使得计算机安全问题不断产生。网络黑客的存在同样对计算机安全问题造成了巨大的威胁,由于网络黑客的主动性、高攻击性、高技术性,现阶段在计算机使用的过程中,黑客的供给往往会让相关单位造成巨大的损失。尤其是信息的窃取、信息的非法转卖等方面,使得现代技术下计算机安全问题日益突出。黑客的攻击一方面是有目的性的进入他人网络,窃取他人计算内的相关信息;另一方面也可以通过计算机病毒来开设专门的通道,因此这一安全问题还存在一定的隐蔽性。从整体情况来看,由于网络黑客的扰乱,计算机安全问题也变得更加的多样、复杂,计算机安全造成的损失也在逐步的攀升。
(三)不法分子的违法行为造成计算机信息传递的截断。信息技术的发展使得信息的传递、接收、阅读与应用变得更加高效快捷,但是其相应的安全问题同样也伴随而生。不法分子为了获得不当利益,往往借助黑客技术等手段来窃取在传输过程中的相关信息。由于不法分子的违法行为,计算机信息传递的过程中往往会造成信息传递的截断、泄露等问题,甚至在信息截断后仍然可以继续执行原有的任务,因此其隐蔽性也非常的高。在这种情况下,因为信息泄露以及信息截断的隐蔽性而没有采取及时有效的措施,会使得计算机安全问题带来的损失不断地扩大。
二、计算机安全保密技术
通过前期的分析可以看出,现阶段计算机应用的过程中仍然存在着计算机病毒、黑客攻击、信息截断等问题,使得现代信息环境下,计算机的有效使用、信息的安全传递等受到了严重的威胁。因此相关部门应当对计算机安全保密技术进行梳理探究,以采取必要的手段来保障信息的安全。
(一)计算机防火墙技术。计算机防火墙技术是现代计算机应用过程中最为普遍的技术,通过相关代码的编写与设置,对相应的网络内容进行限制和保护,以防止计算机被黑客入侵或者防止计算机感染病毒。通过设置计算机防火墙,当计算机受到安全威胁时,防火墙就会进行报警处理,以提示用户及时进行问题处理。在防火墙技术有效应用的前提下,计算机安全问题得到了一定的保障,用户的相关信息可以在一定程度上得到相应保密处理。因此现阶段相关单位在使用计算机处理事务的过程中,要积极的采用防火墙技术,保障单位智能工具的安全,进而对单位信息进行保密处理。
(二)信息加密技术。信息加密技术是通过数据转码的方式来对存储或者传递过程中的信息进行加密处理,以保障只有目标用户能够读取信息,实现信息的安全保密。通过高效的加密技术,不法分子在窃取信息后也无法对信息进行处理应用,因此进一步防止了信息被窃取之后的所造成的损失。这一技术主要应用于依赖网络通道传递信息的单位,借助信息加密技术,相关单位不仅可以将内部保密信息进行加密存储,防止信息的泄露,还可以在传递的过程中对信息实现进一步的管控,以真正实现计算机和网络的安全应用。
(三)计算机杀毒技术。计算机杀毒技术是对计算机进行定期防护清理的相关技术,其目的是保障计算机运行过程中内部环境的清洁,预防信息的泄露与窃取,也阻断了黑客攻击的主要渠道。现阶段随着计算机杀毒技术的逐步完善,杀毒工具逐渐的智能化,普通用户自行进行计算机杀毒处理也愈发的便捷。因此作为普遍应用的智能技术,相关单位要积极的应用好适宜的软件,为计算机工具设定清洁的运营环境,最终保障自身信息处理过程中的安全有效。
三、结束语
文章结合计算机发展的实际情况,从计算机安全问题着手,尝试探究计算机安全保密技术。现阶段,由于不法分子的行为,计算机使用的过程中仍然存在着病毒威胁、黑客入侵微信、信息传递截断等问题,使得计算机安全保密工作受到了巨大的挑战,也为相关单位造成了巨大的损失。因此相关单位要加强计算机安全保密技术的探究与应用,一方面借助防火墙技术,为计算机的安全应用设定好屏障;另一方面以信息加密技术来切实的保障信息存储与传递的安全;最后在借助计算机杀毒技术,随时的对计算机运行环境进行扫描,清楚病毒威胁,最终为计算的有效运行设定一个安全、保密的环境。
参考文献
浅谈信息安全和保密管理工作 篇7
随着信息化建设程度的深入和竞争的日益激烈, 信息在企业生产经营中发挥的作用已越来越大, 信息安全问题也备受关注, 强化保密管理已成为一项重要工作。信息安全和保密管理工作不仅是管理与技术的问题, 更是企业保密安全、经营目标和管理体系紧密结合的, 是一整套体系建立和持续优化的过程。
目前石油企业使用的信息化项目包括企业邮箱管理、ERP、普OA、办公自动化、A7系统以及HSE管理、合同管理等多个办公系统以及井场数字化值班房、井场无线远程传输、井场无线局域网等多个网络系统, 同时计划推广云计算以及A12物联网等系统。计算机信息系统的广泛使用已与各单位、各部门、每位员工的日常办公、工作效率密不可分。随着公司信息化建设的快速推进, 技术人员缺乏, 管理经验欠缺, 运维体制不健全等问题日益凸显。在采集、传输、存储、处理企业商业秘密等环节中若未采取有效的保密措施, 未配置合格的保密专用设备和采取有效的技术管理手段, 容易造成信息泄密和窃密现象的发生。
计算机终端、移动存储介质及办公自动化设备使用人员较多, 管理分散, 技术落后, 存在的诸多问题已对信息安全和保密管理工作带来了较大的难度, 如终端安全等级设置较低、没有及时进行系统补丁和病毒库升级、随意安装盗版及来源不明的软件、访问非法网站等, 造成遭受异常攻击、感染木马、传播病毒、敏感数据泄密等严重后果;缺失统一的接入管理, 非授权终端随意接入, 给办公网络和信息安全造成安全隐患, 同时带来极大的负面影响。
承载在IP网络上的信息安全状况正在受到严重的威胁和影响, 传统的信息安全和保密管理模式缺乏现代的系统管理思想, 技术手段有其局限性, 造成无法适应信息化条件下的信息安全和保密管理工作的发展需要, 这时继续依靠传统手段保证信息安全, 已显得捉襟见肘。
从计算机病毒、黑客入侵、垃圾邮件、秘密失窃等事件的调查和报道中, 不难看出诸多问题的存在与发生已危及到正常办公和工作效率, 影响到公司的声誉, 甚至可能造成经济损失。因此, 在信息技术飞速发展的新形势下, 强化信息安全和保密管理工作有着必要性和迫切性。
2 加强信息安全和保密管理工作的具体措施
信息安全是一个多层面、多因素、综合的、系统的、动态的管理过程, 是一项“三分技术、七分管理”的工作, 需要管理和技术的有机结合。根据管理学上的木桶原理:木桶的最大容量不取决于长的木板, 而取决于最短的那块木板。这个原理同样适用于信息安全和保密管理。一个组织的信息安全水平的高低由与信息安全有关的所有环节中最薄弱的环节决定。技术层面, 在物理环境安全、网络安全、数据安全、防病毒安全、终端安全等方面实施先进的技术保障措施;管理层面, 最有效手段就是构建信息安全管理体系。采取先进的信息安全管理方法和技术措施有机结合, 行之有效地推行系统管理理念, 是保障信息安全和保密管理工作的有效手段之一。
2.1 建立信息安全管理体系
建立一个有效的桌面安全管理体系 (SEP) , 首先是确定信息安全管理策略和范围, 然后在风险分析的基础上选择适当的控制目标和控制方式, 搭建信息安全标准体系框架, 并建立一套行之有效的信息安全管理制度, 通过完整一致的安全管理手段, 将信息安全制度落实到每一位员工。
根据具体业务信息的实际安全需求确定SEP管理的内容, 根据具体业务信息安全保护的等级确定SEP管理的强度, 以确保对不同安全要求的信息实现不同的等级管理、分类管理、重点管理。2007年6月, 公安部、国际保密局、国家密码管理局、国务院信息化工作办公室四部局联合签发了《信息安全等级保护管理办法》 (公通字[2007]43号) 。
从信息安全保护的实际需求, 建立信息安全管理体系和推行等级化管理都势在必行。只有建立一个行之有效的信息安全管理体系 (SEP) , 才能使每一位工作人员自觉地遵守信息安全管理要求, 确保信息安全和保密管理工作的顺利开展。
2.2 加强信息安全和保密管理工作的组织管理
在信息安全和保密管理工作中, 各级领导和保密工作者对保密工作紧迫感和责任感的认知程度、人员和经费保障都是非常重要的因素, 直接影响到信息安全和保密管理工作的实施效果, 必须引起高度的重视。
2.2.1 提高全体员工的保密意识。
做好一个单位、一个部门的保密工作, 不仅是保密工作者的责任, 同时也是全体工作人员的义务。事实上, 保密工作所涉及的范围很广, 一张生产报表, 一份普通文件都有可能含有涉密内容。如果管理不善, 造成信息流失, 就可能给公司造成无法挽回的损失。因此, 开展全体员工的保密知识培训, 让全体员工认识到当前保密工作的复杂性、突发性和艰巨性, 认真落实公司保密工作相关规定, 并开展针对性学习、宣教和自查工作, 培养员工的保密意识, 提高他们的保密素质, 也是保密工作的重要内容之一。
2.2.2 提升保密工作者的自身素质。
在信息技术飞速发展的今天, 保密工作由过去简单传统的信息保密发展到今天高科技条件下的信息安全保密、商业秘密保护, 信息保密已变成了集管理和技术为一体的一项专业工作, 需要有一套系统的工作方法来保障。因此, 学习信息安全、保密基础知识及保密法等业务知识, 已成为每一个保密工作者的重要任务。将保密培训纳入年度计划或穿插于各专业培训中, 积极开展保密知识宣贯, 并按照要求组织保密自查工作, 使员工学习和掌握现代保密管理知识, 健全和完善各项保密工作管理制度, 在实践中不断提高自身素质和工作能力, 提高保密管理水平。
随着改革开发的深化和科学技术的飞速发展, 保密工作所遇到的挑战和困难前所未有。保密工作者要严格执行国家及集团公司、公司的相关保密法规, 加强保密理论的研究, 切实履行保密协议和保密承诺。更新观念, 与时俱进, 在探索中学习, 在实践中提高, 掌握新技能, 应用科学的思想方法和领导方法, 提高观察和处理保密工作中遇到的各种新问题的能力, 适应新形势发展对保密管理工作的要求, 确保信息安全。
2.2.3 完善保密管理体系
落实人员管理责任, 建立保密要害部门岗位、涉密人员统计台账, 各级干部职工签订保密责任书、保密协议。
涉密文件资料必须管理到位, 同时要及时登记, 严格按照涉密文件传阅规范进行操作, 涉密文件复制履行审批程序, 涉密文件通过机要渠道邮寄, 工作资料统一销毁, 明确要求内部文件资料严禁上网传输。
2.2.4 确保经费和人员投入, 保障保密工作的顺利开展。
保密经费是为了保守公司秘密, 维护安全和利益, 用于保护秘密信息及改进保密技术、措施和装备等方面的经费。保密工作开展得好坏, 在很大程度上取决于经费的投入。要确保保密专项经费的投入, 开展保密教育活动, 配备必要的保密技术检查设备, 这是保密工作顺利开展的基础。要积极通过各种方式, 采取各种形式开展涉密人员的保密教育培训。人是保密工作中最为活跃的基本要素, 保密工作队伍的稳定、涉密人员的业务素质和管理水平直接影响保密工作的质量。必须确保保密经费的投入, 保障保密工作的顺利开展和保密工作的质量。
3 信息安全和保密管理工作的总结与建议
信息安全和保密管理工作是个永恒话题。安全保密技术的应用, 或许在一段时期内有了“安全感”, 但随着信息技术的日益复杂、安全威胁和窃密手段的不断提高、安全需求的不断增加, 信息安全和保密管理工作也会面临各种挑战, 需要持续进行完善和加强。这是一个循序渐进的过程, 需要将信息安全和保密管理工作规范化、制度化、经常化。只有不断地加强保密教育, 健全保密法规, 发展保密技术, 强化保密管理, 不断研究新情况, 解决新问题, 坚持以安全保发展, 发展中求安全, 才能确保信息安全和保密管理工作的持续推进, 保持健康发展和竞争优势。
对此, 应从技术、管理和法律上来确保信息安全和保密工作的顺利推进。
技术上企业加强防火墙的可靠性, 并时刻关注防火墙的运行情况;确保病毒数据库的更新, 结合定时病毒扫描, 防毒与杀毒相结合, 保证系统安全;技术加密与认证密码技术的应用可防止非授权用户的窃听和入网, 有效的保护网内的数据、文件、口令和控制信息;同时应加强数据备份, 以便需要时重新录入, 以保障信息安全。
管理上强化各级管理者的安全保护意识, 建立健全企业信息安全管理制度和操作规程, 树立安全管理理念, 提高保密观念, 加强业务技术培训, 根据自身的、数据和网络等实际情况设置身份限制, 规定各级人员定期进行口令的修改, 从而确保信息的安全和保密。
法律上企业管理者及各级工作人员应该强化自己的法律意识, 认真学习领会相关法律条款的精神和规定, 从思想上真正认识到企业信息安全问题的重要性和必要性。同时要落实企业人员的法律责任, 建立合法健全的责任追究制, 从制度上保证各级人员的依法履行责任和义务;对于恶意侵犯企业信息安全的不法行为, 企业各级人员应当运用法律武器, 制止侵犯行为, 捍卫企业的信息安全。
摘要:安全工作无处不在, 无时不有。随着现代化办公的普及, 信息安全已提到议事日程。近几年, 根据各种报道了解, 涉及信息方面泄密现象时有发生, 直接影响到企业形象和经济利益。因此, 提高员工信息安全的意识和加强保密工作刻不容缓。
安全保密管理 篇8
一、加强档案管理安全保密和信息化管理的重要性分析
档案管理安全保密工作是以档案资源为对象, 信息技术、计算机技术以及网络技术等为手段, 以档案工作为依托, 以档案管理学理论为指导, 按照国家档案行政管理部门以及档案信息社会管理的实际需求开展档案采集、保存、管理、开发以及利用的现代化、规范化管理过程。随着信息化时代的到来, 加快档案信息化管理已经成为一种必然趋势, 这样才能够充分地利用档案资源, 为国家和社会的发展提供强劲的动力。但是, 档案信息安全保密工作面临众多威胁, 给档案管理工作人员的工作增加了很大的难度, 为了充分发挥档案管理工作在档案安全保密、信息化管理中的作用, 就应该创建档案信息安全管理体系。同时, 档案记录国家及其服务机构的重要历史活动, 和一般的信息存在一定的差别, 其内容可能直接关系到国家安全、国际机密等, 尤其是政治方面、科技方面、军事方面以及经济方面的档案资料必须进行重点保护, 一旦不法分子盗窃或者篡改上述信息, 将会对国家、社会以及民族等造成无法估计的损失和巨大的危害, 由此可见加强档案管理安全保密和信息化管理工作的重要性。
二、加强档案管理安全保密和信息化管理的有效措施分析
(一) 提高档案管理工作人员的保密意识。为了提高档案管理的安全性和保密性, 首先应该提高档案管理工作人员的安全保密意识、责任意识, 以此保证档案管理工作人员能够将更多的精力和时间放在档案管理安全保密工作上。同时, 单位或者企业应该定期或者不定期地对档案管理工作人员进行档案资料保密课程以及行业发展形势培训, 让所有的档案管理工作人员能够及时、全面地了解行业档案资料安全保密的手段以及新形势, 不断提高其安全保密意识和技术水平。此外, 还应该通过企业或者单位档案安全保密水平和档案管理工作人员薪酬相挂钩的方式, 然后创建科学的奖惩体系, 如果档案管理工作人员尽职尽责地做好自身的本职工作, 并且档案管理效果良好, 企业或者单位应该给予档案管理工作人员一定的精神奖励或者物质奖励, 相反则给予一定的处罚, 这样能够充分的激发所有档案管理工作人员的主动性, 显著提高档案管理的安全性、保密性。
(二) 创建科学的档案管理安全保密制度。制度是保证档案管理安全保密工作的重要依据, 但是, 由于我国关于档案资料安全保密的法律法规尚不完善, 一些不法分子利用法律空隙侵害或者盗窃企业或者单位的档案资料, 增加了企业或者单位档案管理安全保密工作的难度。因此, 现阶段企业或者单位的档案管理工作应该不断加强信息化建设或者改造, 更多地应用网络技术、计算技术进行档案资料的管理, 创建科学、完善的档案安全保密管理制度, 充分发挥法律法规的权威性和强制性, 对于恶意删改或者盗取档案资料的不法分子进行严厉的惩罚。因此, 我国应该不断的完善网络、计算机关于档案安全保密的法律法规, 进而不断完善档案管理安全保密制度体系, 为档案管理工作人员加强档案管理安全保密工作注入一支强心针。
(三) 加强档案传递过程中的安全保密管理。档案资料在传递的过程中并不是单个部门或者企业独立完成的, 而是通过众多部门相互配合协作完成的。因此, 为了保证档案传递过程中的安全保密性, 必须做好档案传递过程中的安全保密管理工作, 档案管理工作人员必须将国家与人民的利益放在首位, 不断提高档案传递过程中的安全性和保密性, 为实现档案的信息化管理奠定坚实的基础。
(四) 防写技术和加密技术的应用。为了提高档案资料的安全和保密工作, 就必须采取有效的技术手段, 主要包括防写技术和加密技术, 对于防写技术, 该种技术的优点在于将档案资料设置成“只读”模式, 在该种模式下智能通过客户端对信息进行读取, 但是不能够对档案资料进行修改, 采用不可逆的技术进行档案资料的保存, 防写技术的典型应用为一次写入光盘和只读光盘, 只读光盘只能进行信息的读出, 不能够进行续写和删除信息, 一次写入光盘只能一次写入, 但是能够进行多次读取;对于加密技术, 档案信息化管理的核心思想对档案资料进行加密管理, 这样在很大程度上能够提高档案资料的安全性, 密码技术是档案安全技术的核心, 能够将档案的资料处于不公开或者保密状态, 将机密的资料转化成乱码进行保存, 这样即使档案资料被盗窃, 没有相应的密码依然破解不了档案信息, 现阶段, 档案信息化管理最常采用的加密技术包括对称性加密技术和公钥密码算法。
三、结束语
总而言之, 档案管理工作一直是社会各界广泛关注的焦点, 特别是在信息化快速发展的今天, 如何保证档案资料的安全保密性, 同时实现档案的信息化管理, 就应该充分认识到档案安全保密管理和信息化管理的重要性, 并采用各种有效的措施进行加强管理, 以此达到档案安全、保密管理的最终目标。
摘要:文章针对加强档管理安全保密和信息化管理的重要性进行了分析, 并提出了加强档案管理安全保密和信息化管理的有效措施, 旨在为档案管理工作人员以及相关研究人员提供一定的参考。
关键词:档案管理,安全保密,信息化管理
参考文献
[1]刘红晶, 白洪云.基层单位档案安全保密工作的现状及对策[J].兰台内外, 2011 (5) :24.
[2]王若璇.宿迁市档案局部署档案安全保密检查工作[J].档案与建设, 2011 (10) :76.
安全保密管理 篇9
(1)为了防止档案数据在网络传输过程中被恶意窃取,需要解决档案数据的传输安全问题。
(2)档案管理系统与业务信息系统集成时,需要解决数据接口的安全问题。
(3)结合涉密信息系统的安全测评要求,需要设计一套严密的系统访问控制机制,确保系统只为授权的用户提供其权限范围内的服务。
本文主要通过对系统数据传输安全策略、Web Service安全策略、系统安全保密策略三个方面的设计解决以上面临的安全问题,保证航空企业档案管理系统与档案数据的安全。
1数据传输安全策略
航空企业档案管理系统采用SSL协议(全称Se- cure Socket Layer,安全套接字层协议)对传输的数据实现加密的http传输,以确保数据在网络上的安全传输, 即SSL over HTTP。传输过程中,数据包以密文形式在网络传输,未经许可、无合法证书的用户无法解读密文[1], 由此保证了数据极高的安全性。
采用SSL协议后,由于需要使用复杂的数学公式进行数据加密和解密,档案管理系统采用的Web服务器的吞吐量和性能会显著下降。为解决这种性能损失, 可以通过安装SSL加速器和卸载器来减少SSL交易中的时延。加速器是为了解决对CPU资源过量需求的SSL协议所造成的性能问题,在不增加Web服务器负担的条件下处理SSL任务。这类设备接管客户端到Web服务器的SSL请求,完成SSL握手,会话的加密、 解密等复杂的运算过程,将最终的明文数据提交给Web服务器,使Web服务器能够以线速处理SSL请求[2]。 如图1所示。
2 Web Service安全策略
档案管理系统不能独立于企业的各项业务活动, 构建档案管理系统与业务系统间的数据接口,可以实现业务系统(如:OA系统,PDM系统、协同平台)的数据自动归档到档案管理系统中。航空企业档案管理系统通常采用Web Service技术实现和业务信息系统的接口集成,而在接口设计和实现过程中,存在着潜在的危险(如图2所示),因此,针对危险因素制定相应的对策,是保证系统安全的重要因素。
(1)未授权的访问
对于包含敏感性或限制性信息的系统,Web Ser- vice通过对客户进行身份验证、授权实现权限的控制。 身份验证和授权机制过弱时,攻击者可以利用这些漏洞访问敏感信息。
对策:在SOAP头信息中使用密码摘要进行身份验证。
(2)参数操纵
未经授权情况下对系统双方间传递的数据进行修改的行为就是参数操纵。例如,攻击者在中间节点截获Web Service消息,将其修改后发送到目标终结点。
对策:加密消息有效负载,以便提供隐私保护并防止篡改。
(3)网络窃听
攻击者可以通过网络窃听查看网络中传输的Web Service消息中的敏感的应用程序级别的数据或凭据信息。
对策: 使用传输级别的加密,采用SSL方式。
(4)消息回复
通过消息回复攻击,攻击者可以捕获、复制或修改传递过程中经过多个中间服务器的Web Service消息, 并模拟客户端将其重播到Web Service。
对策: 使用传输级别的加密,采用SSL方式。
(5)配置数据的泄漏
在可下载的文件中提供动态生成的WSDL(Web Service描述语言),并且当异常处理时,泄露敏感信息。
对策:
1限制对WSDL文件的访问和下载,一般通过NTFS权限限制实现。
2加强异常动态监控,对于异常状态通过Soap Header Exception,实现最少信息或者无害信息的返回。
3系统安全保密策略
为了解决用户权限问题,档案管理系统从三员分立、身份鉴别、访问控制等方面进行了系统安全保密设计(如图3所示),系统安全保密的实现体现在安全策略配置、密级表维护、用户管理、角色管理、用户组权限设置、个人权限设置等功能。
3.1系统管理三员分立
加强信息系统的安全保密管理,防止由于系统管理员的权限过于集中所带来的安全隐患,档案管理系统配备系统管理员、系统安全管理员和系统审计员共同承担信息系统安全保密管理职责,分别管理维护档案管理系统的系统运行、安全保密以及安全审计工作, 并按最小授权原则分别授予它们为完成各自承担任务所需的最小权限,三员权限设置相互独立,相互制约。 系统管理员(admin):拥有系统日常维护相关的权限, 包括系统运行参数设置,档案库结构维护,用户账户创建、系统运行日志审查分析等。
安全管理员(security):拥有系统安全相关的权限, 包括角色管理、用户管理、权限设置(如口令安全策略, IP绑定策略、数据安全策略)、系统运行日志审计、安全审计员行为审计等。
安全审计员(audit):拥有系统操作审计的权限,对系统管理员、安全管理员的操作行为以及普通用户操作行为进行审计。
3.2身份鉴别
用户身份标识采用职工胸卡编号,并作为系统唯一性检查的依据。用户的身份鉴别通过用户名加口令的方式。采用MD5不可逆算法将口令加密存储在数据库中,同时通过口令长度、复杂度、差异度、有效限制以及次数限制的安全策略等配置达到控制要求。
3.3访问控制
访问控制是通过某种途径准许或者限制访问主体访问能力以及范围的一种方法[3],是信息得到安全保护的核心技术和有效手段。访问控制的目标是阻止未授权状态使用信息资源、公开信息资源或修改信息资源数据。访问控制机制通常作为一组机制使用,这些机制也可用于其他安全服务。航空企业档案管理系统采用粗粒度访问控制和细粒度访问控制。
3.3.1粗粒度访问控制策略
档案管理系统采用用户名/ 口令和IP地址限制可满足基本的粗粒度访问控制。见表1,如图4所示。
3.3.2基于角色的强制访问控制策略(细粒度访问控制策略)
基于角色的强制访问控制又被称为细粒度访问控制,通过定义不同角色,将资源的访问权限封装在角色中,给用户分配角色,让用户与访问权限相关联。制定用户的访问密级,通过标密使系统中的每个用户都有用户自己密级属性,以及密级的控制范围。根据用户的密级来控制其对档案资源的访问。密级表及用户密级信息如图5、图6所示。
3.3.3访问控制粒度
档案管理系统的访问控制粒度包括基于角色的功能访问权限控制和数据访问权限控制。
(1)基于角色的功能访问权限控制
将用户划分成不同的角色,角色管理中定义角色名称来设置每一类用户能使用的功能权限,功能权限控制到每一个功能模块的菜单项,可以限定用户对数据做哪些操作。如图7所示。
(2)数据访问权限
1用户组权限
定义用户组,用户组是具有相同数据权限和功能权限的一类用户的集合,起到一个批量设置用户权限的作用,在用户组可以设置组内用户能查看的数据范围,设置默认角色。如图8所示。
每一类用户组可以设置与数据条目相关联的电子全文的控制,包含全文的浏览,打印,下载控制。档案系统中不但对每个数据条目进行标密,对每条记录挂接的每个电子文件也进行标密,密级的范围来源于密级表。通过对用户的权限控制,用户在档案系统中进行档案检索时,只能检索到符合自己权限的数据,只能浏览符合自己权限的全文。
2用户的个人权限
用户组内的所有用户继承组的数据权限及角色, 也可以单独为用户缩小数据权限范围或扩展附加角色,如图9(- 1)所示。用户的数据权限和电子文件访问权限可以细化到设置记录条件,如图9(- 2)所示。
3数据安全策略
数据安全策略可以设置全文上传时是否加密, 全文在服务器上的存储方式如图10所示。为了数据安全,档案管理系统中的电子全文都采用PDF格式,同时档案系统集成专用的全文浏览器,能支持通用的电子文件格式,防止网上浏览电子文件时残留临时文件。
4结束语
档案信息资源是航空企业档案工作的核心,信息资源的安全与保密直接影响国家安全和利益。要保证电子档案接收、归档、保管、利用中真实性和完整性不受损害、内容不被泄密,就需要从系统数据传输安全策略、Web Service安全策略、系统安全保密策略三方面制定相应的安全技术策略。建设实践证明,合理的安全保密策略设计可以提高了档案系统的安全性,保证档案数据的安全。
参考文献
[1]王颖.基于.NET平台的商品库存管理系统的设计与实现[D].西安电子科技大学硕士论文,2009.
[2]蔡龙飞.基于XML数据及访问WEB服务的研究[J].科技创新导报,2008(01):199-200.
安全保密管理 篇10
2008年美军中央司令部保密军事网络遭遇到蠕虫病毒入侵,造成重大军事秘密泄露。经分析这起事件是由一个U盘而引起的,美军为此展开了代号为“杨基鹿弹”的专项行动,采取一系列措施全面加强网络空间防御能力。可见移动存储介质的使用管理,影响整个网络信息系统安全,因此认真分析军队移动存储介质保密管理存在的安全威胁,并积极采取防范措施极为重要。
1 美军“杨基鹿弹”行动起因及采取的措施
2008年秋天,美军中央司令部在中东某军事基地的一台军用笔记本电脑不慎接触到一个被植入蠕虫病毒的U盘。蠕虫病毒以U盘和其他移动存储介质为跳板,侵入到美军中央司令部网络。该网络承载着包括阿富汗和伊拉克战区指挥官使用的作战计划等重要秘密。侵入美军网络的蠕虫病毒经变种配置,具有扫描电脑、开启后门,并通过后门向远程指挥控制服务器传送数据的能力。为了抵御病毒入侵,消除恶意程序,美国国防部开展了名为“杨基鹿弹”的专项行动。
由于蠕虫病毒能够从移动载体自我复制到电脑,再从电脑复制到移动载体,如此循环进行传播,美军主要采取禁用U盘和其他移动存储介质拷贝、交换数据;禁用Windows操作系统的“自动运行”功能;对受到影响的联网电脑和服务器进行杀毒作业;暂时切断军队内网与外部公共网络的链接等方法进行清除,并采取HBSS网络安全解决方案。该方案的设备控制模块,可以限制U盘或其它移动存储介质对系统的访问。尽管如此,蠕虫病毒究竟搜集了多少信息、如何将信息传输到外网、传给了谁,这些问题至今都难以回答。
2 我军移动存储介质使用管理存在的安全威胁
2.1 违规使用感染病毒
军队对于移动存储介质的使用虽有明确的规定,但仍然存在违规使用情况。文件不分密级存储、在涉密与非涉密计算机之间交叉使用、随意拷贝存储数据均可能导致感染各类病毒,病毒经由移动存储介质反复使用广泛传播,极易导致泄密事件发生。
2.2 安全管理制度不完善
军队使用的移动存储介质从来源渠道上,缺少准入标准与监管机制,缺少制约制度和技术限制,缺乏介质安全生命周期的监控审计。移动存储介质从其购买、注册、标识、传递、使用、保存、维修到报废过程都与介质的存储信息安全性息息相关,但现实的移动存储介质在其整个生命周期中缺乏实时跟踪和事后审计,使得泄密事件发生后无法追根溯源,及时堵塞漏洞。
2.3 主要技术防范手段存在漏洞
军队目前针对移动存储介质采用的技术防范手段,是对军队使用计算机安装保密管理软件,并对使用的移动存储介质进行注册受权,从而实现只有安装管理软件的计算机和进行保密注册的移动存储介质才能相互匹配使用,避免了移动存储介质的交叉使用。但该软件存在一定的技术漏洞,如计算机重装系统后软件自动卸载,缺乏强制使用性;管理软件与内部使用的个别系统不兼容,个别电脑不能安装等。
3 对我军移动存储介质安全保密管理建议
3.1 完善移动存储介质管理制度
目前军队对移动载体的管理多重视使用时的管理,而忽视了采购,维修报废的初期和末端安全管理。应该统一购买安全认证的移动存储介质、统一保密注册登记,制定严格可行的使用管理制度、培养专门人才负责移动存储介质的维修和报废处理。建立从购买、注册、标识、传递、使用、保存、维修、报废的“户籍”档案,确保每个时间段的使用都有据可查。
3.2 使用专网安全U盘
为确保移动存储介质安全,禁止使用U盘等移动存储介质是不现实不可取的,针对部队网络安全保密一般采取建立内部专网和实际,可以使用专网安全U盘,其特有的安全防范技术可以保障秘密安全。
安全U盘可以记录其所有操作,即何时在哪台计算机上进行哪些操作。
安全U盘的私有文件系统应用,使重要资料只能在U盘资源管理器中加载和识别,无误差地实现了安全U盘内文件操作的使用审计。
安全U盘的解密存储技术,保证安全U盘即使被暴力拆开,读取其Flash芯片也不能恢复原有文件。同时,所有的安全U盘必须通过密钥管理中心进行密钥初始化,方能在政府、军队等专网上注册使用。因此,每个安全U盘都具有密钥唯一性,即使是其生产厂家也无法破解。
安全U盘具有互联网告警功能,自动检测当前计算机是否连接到互联网,如果已经连接则禁止U盘打开。如果打开安全U盘后,计算机再连接互联网,则安全U盘会强制关闭。
3.3 加强对具有移动存储功能电子设备管理
在涉及移动储存介质管理时,往往把目光集中在办公使用的U盘、移动硬盘上,而忽视了相机记忆棒、MP34、手机等管理。这些大多为个人用品,无法强制进行保密注册,在保密管理上,主要以制定保密政策来被动规范限制,很难主动防范。在这种情况下,必须加强检查监督,加大对违规使用的惩处力度。
3.4 强制性人员培训,确保根源安全
美国“杨基鹿弹”行动的起因就是人为的U盘违规操作造成失泄密,可见人的保密意识是做好防范的根本。在这个问题上不应该区分机关基层、干部战士、8小时以内以外,必须全员全时全方位的防范。要定期开展保密技术防范技能及保密法则法规的培训,增强官兵日常防范意识和技能,加强对移动存储介质使用的敏感性,消除可能的秘密隐患。
4 结束语
在军队信息化建设中,小小的移动储存介质可能给整个安全保密系统带来大大的威胁,如何采取制度、技术等措施主动防范,堵塞漏洞是当今部队必须重视的问题,我们必须把隐患消灭在平时,避免实施“我军杨基鹿弹”行动。
摘要:2008年美军网络严重感染蠕虫病毒,导致军事秘密泄露,为堵塞漏洞,美军开展了代号为“杨基鹿弹”的专项行动。本文由“杨基鹿弹”行动引起对我军移动存储介质安全保密管理的思考,分析了我军移动存储介质使用管理中存在的安全威胁,并提出安全防范建议。
关键词:“杨基鹿弹”,移动存储介质,保密,安全管理
参考文献
[1]周德川.“杨基鹿弹”行动之深度曝光[J].外军网络空间战.2012(1):36-39.
[2]周德川.一个U盘引发的大事件[J].外军网络空间战.2011(1):8-11.
浅谈计算机网络信息安全保密技术 篇11
[关键词]网络安全;保密技术;计算机
计算机网络技术已然成为带动经济建设的有效手段和主要途径,其开放性和自由性的特点,在带来使用便利性同时,也使得网络安全面临着严峻的挑战。所以,需要采取有效的电子资源保护措施,对网络系统的安全性进行有效的改善。
一、关于计算机网络安全及其主要内容
计算机网络安全包括计算机网络的全部内容,有计算机硬件、软件、网络共享资源、网络服务等,网络安全就是要保护硬件、软件及数据资源,使之不受破坏、泄露,网络系统能够正常运行,网络服务不被中断。网络安全的实质是网络信息安全,是指网络信息的完整性、真实性、保密性、可控性的技术与理论。
对计算机的网络安全造成威胁的原因很多,主要是软件自身的漏洞,以及人为的操作不当和人为的恶意性侵袭。信息的安全与畅通,局域网的安全防范措施已迫在眉睫。网络安全措施应能胜任、应对不同的威胁和脆弱性,才能实现网络信息的保密性、完整性和可用性。
网络通信安全性涉及面很广泛,网络通信安全自身主要关心的是确保其他无关人员不能读取,更无法修改传送给他人的资料。网络通信的安全也对合法消息的截获和重播进行处理与分析,一般来说,网络安全问题的出现往往是由于有人恶意对某种能够获取利用的信息和资料进行截取和拦截而引起的。
二、计算机网络安全保密技术应遵循的原则
(一)物理隔离与最高防护原则。物理隔离是指一些涉密部门的网络信息要间接接入国际网络,或者只在本部门的局域网内传播,以免信息泄露。程序人员在处理多种密级的网络信息时,要采取最高密级进行保护。
(二)动态性与整体性原则。网络保密技术的动态性原则指要不断改进和完善保密技术,实现保密设备的更新换代与技术升级,保密措施要紧跟互联网发展的潮流,要根据网络系统的性能,结构,安全需求与技术的变化而更新,要根据保密需求不断进行调整与升级。
一个优良的保密措施取决于多方面的因素,囊括了计算机软件、数据等,只有从整体的角度去考量计算机保密技术的安全性。才能切实有效的保证网络信息的安全。网络信息的保密技术的整体性原则指保密措施要系统、全面,涵盖计算机系统的各个方面。技术人员要及时改进或完善安全保密技术,及时对涉密系统与技术设备进行更新换代。
(三)一致性与易操作性原则。计算机网络安全中保密技术的一致性原则指计算机的保密技术要与有关部门规定的整个网络系统的安全保密技术相兼容,以保证在制度层面的可控性与协调性。
安全措施应具有易操作性原则,这样会降低管理成本。此外,易操作性原则指安全措施不能影响系统的日常运行与服务。
三、计算机网络信息保密技术
网络信息保密技术是利用物理或者数学手段,对信息在传输、存储过程中进行保护以防止信息泄露。保密技术又可称为信息保密技术,它主要是利用数学或物理手段,对电子信息在传输过程中和存储体内进行保护、防止泄漏的技术。
(一)密钥管理技术。口令作为数据安全的基础,为了数据的安全,需要格外重视密码的设置。建议密码的设置由数字和字符共同构成,密码设置长一点可以提高密码的复杂度,并且需要更换密码,以防被破解后泄露信息。此外,在使用数据库时,由于数据库分读写模块和修改模块,在设置密码时,让不同模块之间设置的口令彼此独立,可以增加破解难度,保证不同模块的信息都能安全。
网络数据信息的加密主要表现为密钥的管理,密钥是黑客窃取信息的主要对象,密钥有多种媒介,包括存储器、磁卡、磁盘等,密钥的管理主要体现在密钥保存、更换等环节上。密钥技术分为对称密钥与非对称密钥两种,对称密钥是指数据的两端使用同一种密钥,只要双方的密钥不被泄露,数据就能保证安全,这一技术目前主要用在邮件加密过程中,它的特点是数据的加密与解密是一致的,当前主要的对称加密技术有DES、AES等。非对称性密钥是指数据的加密与解密的密钥不通用,分为公开密钥与保密密钥,典型算法是1I SA体制,非对称性密钥有效提高了数据的可靠性与稳定性。
(二)数字签名技术。在网络环境下,发送方不承认自己发送过某一报文:接收方自己伪造一份报文,并声称它来自发送方;网络上的某个用户冒充另一个用户接收或发送报文;接收方对收到的信息进行篡改。数字签名技术可以解决上述情况引发的争端。数字签名与公钥密码学紧密相连,公开密钥和私有密钥共同组成了密钥的主要组成部分。数字签名的过程主要包括内容:签名过程使用私有密钥进行:验证过程采用接受方或验证方用公开密钥进行。一般来说,无法从公开密钥得出私有密钥,因此公开密钥对私有密钥的安全不产生影响;即认为无需对公开密钥进行保密。传播自由,但需对私有密钥进行保密。因此,在对消息进行私有密钥加密时,如果可以利用公开密钥进行解密,即可认为该签名的所有者就是加密者本人签名。造成这种现象的原因主要是由于其他人的通过公开密钥不可能对该消息进行解密,也无法获悉消息签名者的私有密钥来进行解密。从技术上来讲,数字签名其实就是通过一个单向函数对要传送的报文(或消息)进行处理产生别人无法识别的一段数字串,这个数字串用来证明报文的来源并核实报文是否发生了变化。在数字签名中,私有密钥是某个人知道的秘密值,与之配对的唯一公开密钥存放在数字证书或公共数据库中,用签名人掌握的秘密值签署文件,用对应的数字证书进行验证。
(三)防火墙技术。防火墙是内部网和外部网之间的一道保护屏障。它是由一种计算机硬件和软件共同结合而成,它在Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入。防火墙包括网络层防火墙、应用层防火墙、数据防火墙几个类型。防火墙有几个作用:
第一,扫描流经内部和外部网之间网络通信,过滤掉一些攻击,以免目标计算机受到攻击遭受损失;
第二,防火墙可以关闭后台不使用的端口,让你的系统变为铜墙铁壁,主要应该封闭的端口有:TCP 135、139、445、593、1025端口;UDP 135、137、138、445端口,一些流行病毒的端口TCP 2745、3127、6129端口和远程服务访问端口3389。
第三,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信,减少接触非友好因素的几率。
(四)接入控制技术。为了保护好数据信息,需要通过相应手段遏制不可信的、非安全终端接入局域网络,以抵御各种安全资源对网络资源的威胁。这就用到接入控制技术,它有安全要求:允许DNS查询;允许Intranet内局域网有权限的访问Internet;限制外部IP与内部主机直接连接;根据黑名单地址,屏蔽可疑连接;负责入侵设计和追踪,记录与安全相关的网络活动。目前,传统网络控制接入技术已经相对成熟,已建局域网可以考虑使用传统网络控制接入技术。
参考文献:
[1]高雪花计算机网络安全保密技术探索[J].中国校外教育(上旬刊).2013.z1.
[2]申智灵.计算机网络安全保密技术探讨[J].河南科技.2014.17.
安全保密管理 篇12
一、档案管理安全保密与信息化档案管理的必要性
档案管理安全保密工作是以网络、计算机、信息技术为手段, 以档案资源为对象, 以档案工作为依托, 以档案管理学最新理论为指导, 按照信息社会和国家档案行政管理部门的要求、开展档案的收集、整理、保管、开发和利用的现代化管理过程。
在信息化快速发展的今天, 加快档案管理的信息化进程是必须的, 只有这样才能对档案管理进行充分的利用, 从而促进社会的进步。而当下的档案信息保密工作对于处于信息社会的档案管理工作人员来讲, 也是其工作中重要的一环。这对于档案信息管理中的安全体系的完善与档案管理事业的健康、持续发展有着现实上的意义。档案记录国家或其服务机构的重要历史活动, 它与一般信息不同, 其内容对于国家机密与国家安全的保护有着至关重要的意义。特别是在国家经济、军事、科技以及政治方面的内容, 必须着重保护, 一旦泄露被非法分子利用就会对国家及社会产生巨大危害与无法估计的损失。
二、现今在档案管理安全保密与信息化档案管理中存在的问题
(一) 在档案管理方面缺乏标准与规范。
我国从事档案管理中的工作人员目前的现状是:对档案管理工作熟练的人, 信息化技术方面却比较薄弱;而精通信息化技术的人, 对档案管理工作却知之甚少。具备档案管理与信息技术两方面知识的专业人才十分匮乏, 这一现状, 尤其突出地表现在基层档案管理部门。由于这类人才的缺乏, 导致档案查阅、管理、保密等方面存在不便和漏洞, 管理信息软件的运用技术普及率低, 更无法统一档案信息化管理工作的标准, 即便有一定标准也无法做到全面推广, 只可以在某一部分或某一专业应用。但“无规矩不成方圆”, 不管是做什么工作, 都需要一整套完善的规范与标准, 这样才能保证档案管理工作健康有序的发展。同时也使得我国档案管理、案卷管理的信息化的进程受到了制约, 有关部门亟待出台相对较为统一的档案信息化管理的标准, 开发兼容性较强、易于操作的相关软件, 不定期地组织相关人员培训, 逐步完成档案管理信息化的进程。
(二) 对档案管理的重要性认识不足。
档案是指在各项工作中形成的、具有保存价值的、各种形式和载体的历史记录, 是领导决策的依据, 是对工作查考的凭证, 也是科学研究和基础设施设备建设的可靠资料。档案管理是日常管理工作中的有机组成, 其主要功能是为工作单位提供有关的资料管理服务。但现今的档案管理工作伴随社会的发展、市场经济的进步, 档案管理人员大都存在着服务意识以及保密观念不强的问题。究其原因, 是那些能获得直接经济利益且进展快速、见效早的工作往往更被人们重视, 如基础建设, 人们往往注重的是高楼大厦, 而对建设高楼大厦的一些资料如图纸、合同、各项政府批文等却淡然处之, 有关档案工作就容易被人们忽略。
不少单位对于档案管理工作的具体内容、工作性质以及工作内容也较为陌生, 把管理文件的工作思路妄加于档案管理, 这就导致了其按照统一原则与办法管理档案的不可能性, 工作单位也会因此导致在资源充分开发及合理利用上的短板。
(三) 档案管理的信息化水平偏低。
转变档案管理模式, 引入计算机、网络等信息技术, 对管理资源进行数字化转换, 就是当代档案管理的信息化理念。目前, 我国基层档案管理的信息化程度普遍偏低, 甚至有的还是许多年前的水平, 给档案的阅档等带来了极大的不便。当然, 档案管理的信息化进程不可能在朝夕之间完成, 对于档案管理信息化的建设是需要长期积累的, 并且信息化的过程中也会面临种种的难题挫折, 不会一帆风顺。这方面表现突出的美国有一种类型为各地方政府、院校、企业、社会组织等自行设立的档案管理机构, 它们形成了一种分散的、多元的、无中心的管理体制, 彼此之间可以通过协会来沟通和协作。
虽然我国在许多领域高度信息化, 但是由于档案的特殊性, 档案管理的信息化转变还处于刚起步阶段, 我国的档案管理信息化水平与国外的相比较为落后, 尤其是基层组织的档案管理, 更是如此。而且我国的档案管理信息化水平的发展还不够完善, 导致我国的档案管理软件与很多工作机构的工作性质不适配, 无法在档案管理中体现出来, 这种情况在一定程度上限制了档案信息化在各工作单位的实行。
三、建议针对档案管理中的这些问题应采取的对策
(一) 加强档案管理人员专业素质。
加强对档案管理人员的培训是档案安全保密工作与档案管理信息化的重点。在进行陪训时, 应加强对保密工作相关知识的学习, 并不断提高档案管理人员的业务技能, 使其档案信息化管理中的实践能力不断提高, 从而逐渐形成一支纪律严明、政治合格的档案管理队伍, 切实提高档案信息化管理水平。通过培训, 使档案管理人员的安全保密意识得到加强, 在加快信息化进程的同时, 逐步建立健全安全保密制度。加强对档案人员的教育和管理, 使档案管理人员充分了解国家的相关管理规定, 并努力提高档案管理软件的应用水平, 以满足档案管理现代化不断发展的需要。
(二) 加强档案信息管理中的安全意识。
相关机构应重视档案管理在其发展中的重要地位, 深刻了解其工作性质, 并在档案信息安全与保密工作方面, 对档案信息管理方面的从业人员加强部署, 对于利用信息网络偷取档案信息的行为要保证高度警惕, 做好在档案信息管理中的安全工作。同时加快自身档案管理的信息化进程, 在保证了其安全保密的前提上, 对其档案信息管理进行科学管理, 以达到对其资源进行充分利用的目的。
(三) 加快我国档案管理信息化进程。
相关机构也应该提高自身的忧患意识, 并对其行业改革的发展趋势与市场竞争中的规律予以把握, 加强在档案管理信息化的发展环境下对档案保密的规律性研究, 凭借档案管理技术与制度的创新来确保档案信息的安全保密, 并使自身的档案管理条件更加与国家的档案信息化管理软件适配, 加强档案管理信息化的落实, 不断适应现代化建设的新要求, 从而减少我国信息化进程中的难题, 提高我国的档案管理信息化进程。
四、结论
虽然一直以来档案管理并未受到人们的重视, 但是随着社会的发展, 档案作为具有巨大价值的信息资源在当前所体现出来的价值也越来越重要。因此, 在信息化快速发展的今天, 对于档案管理的安全保密工作就需要给予足够的重视, 在实现信息化档案管理且提升工作质量与效率的同时, 也要保证档案信息化管理的安全性, 对档案管理中的有效途径与有效措施加强研究, 以达到实现档案管理工作安全保密的最终目标。
摘要:信息化时代, 档案管理工作亟待加强信息技术应用研究, 尤其是在档案安全保密方面, 必须积极采取行之有效的保护性措施, 拓展工作思路, 提高工作水平, 切实解决我国当前档案管理中存在的安全问题。
关键词:档案管理,安全保密,信息化
参考文献
[1]尹淑琴.加强档案管理的安全保密及信息化档案管理[J].华章, 2012, (28) :302.
[2]辛影.浅析档案管理的安全保密及信息化档案管理[J].卷宗, 2014, (7) :93.
[3]刘洋.人事档案信息化管理系统的应用及改进[J].黑龙江史志, 2014, (13) :152.
[4]任晓萍.在信息化时代如何确保档案的安全[J].黑龙江史志, 2014, (20) :115.
[5]许志敏.档案管理信息化发展的制约因素及其应对策略和措施[J].科技创新导报, 2014, (17) :174.