网站信息安全保密管理制度(精选18篇)
1.网站信息安全保密管理制度 篇一
安全管理员保密协议甲方: 乙方:
鉴 于:
1、乙方为甲方员工。
2、乙方因履行单位网站管理职责将知悉甲方秘密信息。
为明确乙方的保密义务,甲、乙双方订立本保密协议。
一、根据《中华人民共和国计算机信息系统安全保护条例》等相关法律法规规定、单位的各项规章制度规定,乙方向甲方承诺:
1、不制作、复制、发布、转载、传播和存储国家法律法规和有关规定所禁止的信息内容,不利用办公计算机从事与日常办公无关的事项。
2、不外传单位信息系统运维管理信息(包括计算机、网络相关信息)及其他各项数据信息,确需外传的,提交单位领导审批。
3、不将涉密计算机联入非涉密网络,不在涉密计算机上联接和使用非涉密移动存储设备;不使用非涉密计算机处理和存储涉密信息,不在非涉密计算机上联接和使用涉密移动存储设备。
4、不将涉密计算机和涉密移动存储设备带到与工作无关的场所,确需携带外出的,须经单位主管领导批准。
二、双方同意,乙方离职之后仍对其在甲方任职期间接触、知悉的属于甲方或者虽属于第三方但甲方承诺或负有保密义务的秘密信息,承担如同任职期间一样的保密义务和不擅自使用的义务,直至该秘密信息成为公开信息,而无论乙方因何种原因离职。
四、乙方因职务上的需要所持有或保管的一切记录着甲方秘密信息的文件、资料、图表、笔记、报告、信件、传真、磁带、磁盘、仪器以及其他任何形式的载体,均归甲方所有,乙方承诺决不私自复制、传播、泄露。
五、乙方应当于离职时,或者于甲方提出请求时,返还全部属于甲方的财物,包括记载着甲方秘密信息的一切载体。
六、双方确认,乙方的保密义务自乙方知道秘密信息起,到该秘密信息被甲方对社会不特定的公众公开时止;乙方是否在职,不影响保密义务的承担。
八、本协议自双方签字后生效。独立于双方签订的劳动合同。
九、双方签章:
甲 方:(盖章)
授权代表:(签字)
乙方(签章):(身份证号:)
年 月 日
2.网站信息安全保密管理制度 篇二
1 部队信息安全保密风险管理现状
当前, 我国部队在安全保险风险管理上有所提升, 部队的风险意识也在不断的增强, 现在很多部队已经建立了一定的保密体系, 也将信息安全保密风险纳入该体系当中, 但是在管理上仍存在一定的问题。信息安全风险管理没有独立出来, 没有专门的功能性部门和专业的评估人员, 在很大程度上, 造成了风险管理的实效, 导致部队信息泄密的现象时有发生。在整个运作过程中, 也缺少配套的基础设施及技术支持, 管理理念落后, 风险评估能力较低, 存在致险因子“盲点”。从一般意义上来讲, 我国部队的信息安全保密风险所产生的原因在于信息化条件下黑客的攻击、信息不对称下的国之间的博弈、不可预期事件的发生等。在很大程度上, 完善的信息风险管理能够有效地规避该风险的发生。然而, 由于我国的信息安全体制尚处于初级及不断完善的阶段, 信息安全保密销售管理技术还极为落户, 信息安全保密风险管理水平较低家。因此, 优化信息安全保密风险管理, 降低风险管理给部队造成的巨大信息安全保密损失, 是当前部队及相关学术研究面临的重要课题[2]。
2 部队信息安全保密风险管理运行过程中存在的问题
2.1 管理技术与管理理念落后
随着科技的进步, 在信息技术的推动下, 使我国在信息安全保密风险管理技术方面得到了一定程度的提高, 但是很多部队由于技术成本及人才结构等方面的缺陷, 使其在引入和应用先进管理技术上出现困境。基于技术的落后, 部队在信息安全上缺少对保密风险的管理, 严重制约了其部队信息的安全性及保密性, 加大了部队及国家的安全风险。而且在落后的管理技术下, 造成部队信息安全保密决策的失误, 不仅不能有效防范和降低风险, 而且还造成巨大的物力、人力的损失甚至是生命[3]。另外, 很对部队在管理理念上也相对落后, 只注重对人员的管理收益, 忽视管理等软环境的建设, 特备是下风险管理理念存在着诸多的不足。部队在管理理念上重人力轻管理的意识形态, 极大地制约了部队对信息安全保密管理体系的建构。
2.2 缺失有效的风险动态评估机制
信息安全保密风险虽然客观存在于部队的整体运作过程中, 但是具有一定的不可见性、不可提前预知性和滞后性, 因此, 这就要求部队对其进行有效的评估, 科学地进行决策判断。但是, 当前我国大多部队内部缺少对信息安全保密风险的评估手段与机制, 对风险的评价上相对落后, 而且信息安全保密风险具有一定的随机性, 对方部队的管理管理都会引发信息安全风险, 面对这样的情况, 部队应及时采取相关措施加以应对。但是, 当前我国部队在评价风险时除了没有科学的、现金的评估预测方法还缺少一定的动态运作机制, 导致部队信息安全保密风险评估能力的低下, 造成了风险的频发, 严重阻碍了其发展的规模及速度。
2.3信息安全保密风险意识淡薄, 缺少综合素质较高的管理队伍
由于信息安全保密管理研究与应用在我国起步较晚, 还没有形成系统的、完善的发展规模体系, 而且很多部队对其没有足够的了解, 导致其内部成员信息安全保密风险意识淡薄, 缺少相关管理人员。很多部队没有专门的信息安全保密风险管理部门及管理团队, 信息安全保密风险管理方面的活动主要由部队的销售部门及财务部门来完成, 缺少专业的人才, 导致信息安全保密风险管理队伍能力上的有限。这种现象致使信息安全保密风险管理比较混乱, 缺少管理力度, 甚至是流于形式, 起不到任何的作用。另外, 很多部队将信息安全保密风险管理置于内部管理体制之外, 没有将信息安全保密风险管理作为战略发展布局的重要组成部分, 更没有相关的监督及考核机制, 导致管理人员对此项工作的积极性不高, 严重阻碍了部队风险管理的水平的提高[4]。
3 建立健全部队信息安全保密风险管理运行机制的对策
3.1 建立健全部队信息安全保密风险管理体系
部队信息安全保密风险管理水平低下, 最主要的原因在于没有完善的信息安全保密风险管理体系作为保障, 因此, 部队应从机制上建立科学的、合理的风险管理体系, 减少和有效抵御由信息安全保密风险所带来的致险因素, 通过一系列的制度方面的规范, 减少人为的信息泄密。信息安全保密风险管理体系的建立能够给部队的风险评估、预测及决策提供一个可操作性的平台, 部队信息安全保密风险管理将在一个系统的、完整的机制下进行合理运作, 通过一定的制度标准对风险管理行为进行规制, 有效降低由信息安全保密风险所带来的损失, 提高部队的管理效益。
3.2促进管理技术与管理理念的有机融合, 提高管理运行水平
通过产研结合的方式, 加大开发适合部队自身发展运营的信息安全保密管理系统力度, 不断进行管理技术的革新与应用, 建立以政府为主导, 部队与科研机构互为支撑的信息安全保密管理技术交流合作平台, 加快推进技术的革变, 提高部队对信息安全保密风险的判断与预警能力。而且引入相关科学的管理理念, 使管理技术得到最大限度的应用于发挥。
3.3 建立切实有效的部队信息安全保密风险动态评估机制
部队所面临的信息安全保密风险是一个动态的系统行为, 因此, 部队应建立有效的风险动态评估机制, 在部队各部门之间建立有效的互动联络体系, 密切关注信息安全保密销售的对象主体的管理状况, 关注行业相关政策信息及市场情况的变化, 根据具体情况实施相对应的措施, 减少风险损失及安全隐患, 加强国家安全。
3.4 提高信息安全保密风险意识, 全面提升管理人员的综合素质
部队应加强对管理人员信息安全保密风险方面知识及管理防范手段的教育及培训, 提高管理人员的风险管理意识, 提升管理人员的综合素质, 加强部队的团结合作, 建立协调发展的运行机制, 提高信息安全保密风险管理的实效性[5]。
4 结语
部队信息安全保密风险管理及其运行机制的优化完善, 是一个长期的系统工程, 关系着国家的安全与稳定, 意义重大。因此, 需要部队各层级的通力配合, 加强对先进技术及理念的引入, 提高风险管理人员的综合素质更需要政府及相关科研机构的外部支撑, 给部队信息安全风险管理工作提供一定的理论及政策基础。
参考文献
[1]李静.基层部队信息安全管理定量评估及对策研究[J].西安政治学院学报, 2011 (6) :43-46.
[2]周金.军队信息安全保密管理研究[J].软件导刊, 2012 (4) :159-160.
[3]阮谢虹.辨识保密风险建立控制机制[J].国防科技工业, 2013 (6) :40-42.
[4]张鹤.新形势下如何加强部队信息安全防线的研究[J].信息与电脑:理论版, 2013 (9) :38-39.
3.网站信息安全保密管理制度 篇三
【关键词】档案管理;安全保密;信息化;加强措施
引言
随着电子信息时代的到来,信息更新的速度不断加快,要求在档案管理工作中,不断加强档案信息化建设。电子档案的出现,打破了传统纸介档案厚重、不便存档与利用的僵局,推动档案建设信息化发展。随着人们对电子档案逐渐认可,其应用也越来越广泛,加强档案信息化建设已成为发展的必然趋势。不论是传统纸介档案还是电子档案,安全保密问题都是非常重要的。本文着重探讨如何加强档案管理的安全保密及信息化档案管理。
一、加强档案管理安全保密重要性分析
档案是记录信息的重要载体,对于人们的生产生活来说有着重要的意义,档案的应用有着非常悠久的历史,从古至今,人们都习惯用记录归档的方式,记载古今中外的重要事宜,发展至今已经发生了质的变化,传统的档案以纸为介质记录各种信息,随着经济水平的不断提高,信息化技术发展迅速,人们已经开始应用电子档案储存重要信息,应用越来越广泛,逐渐渗透到生活及工作中的方方面面,故而做好档案管理工作十分必要。在档案管理过程中,最突出的问题就是安全保密管理,档案信息可根据机密程度区分机密等级,机密等级越高的档案信息,越要重点管理,这些档案信息往往对于个人或者集体来说至关重要,一旦档案信息泄露,被不法分子窃取,不仅会带来较多的困扰,而且很有可能会造成不可估量的损失,后果不堪设想,故而加强档案安全保密管理非常重要。
二、探討加强档案安全保密管理相关措施
1.提高档案管理人员专业素质水平
提高档案管理人员的专业素质水平是强化安全保密管理的重点。首先,档案管理要坚持集中统一的原则,将所有的档案整合归类,交由专门的管理人员进行管理;再者,在聘用管理人员时,要提高“门槛”,所有应聘的档案管理人员都必须要经过层层考核,择优汰劣,确保档案管理人员的工作能力符合规定的要求。再次,档案管理人员要不断提高自身专业素质水平,给予档案安全机密管理充分的重视,强化安全保密管理技能,切实保护好档案信息;最后,要定期开展档案管理人员的安全保密培训工作,重点培训档案管理人员的阶级立场和职业操守,提高他们的保密意识,坚决不做任何危害国家安全和人民利益的事情。并要结合实际情况,定期的进行电子计算机操作的业务培训,以便于适应信息化的档案管理趋势。
2.完善安全管理制度
在完善安全管理制度时,要综合考虑各种因素对数字化档案信息安全的影响。在人员安全管理方面,要设立具体的安全审查制度、岗位安全考核制度、安全培训制度等。对已经存储的数字信息均应进行密级分类,对敏感信息与机密信息应当加密并脱机存储在安全的环境中,防止信息被窃听、变更与毁坏。在系统安全运行方面,要做好机房出入控制、环境条件保障管理、自然灾害防护、防护设施管理、电磁波与磁场防护等工作。设立操作安全管理、操作权限管理、操作规范管理、操作责任管理、操作监督管理、操作恢复管理、应用系备份管理、应用软件维护安全管理等制度。从技术上防止文件被人为地修改,增强电子文件的凭证性和可靠性。
三、档案管理信息化相关介绍
所谓的档案信息化建设是指在不改变档案内容的前提下使档案的结构与存在方式都进行符合信息化原则的转变,档案管理部门利用信息技术将分散的信息资源以信息化的形式存储,以网络化的方式连接,以标准化的方法管理,进而提高资源利用率。
加强档案信息化建设可以提高档案管理质量,改善传统档案管理中的不足,有效实现档案信息的科学管理与合理配置,大大提高档案信息质量的同时,也有利于档案管理工作的开展,提高管理质量与管理效率。不仅如此,加强档案信息化建设有利于信息的存档、利用,同时对于机密档案还可以增强档案的安全性,有利于推动档案的进一步发展。除此之外,档案信息化建设还可以确保档案信息的时效性、全面性、准确性,解决了传统档案管理中的一些不足,促使档案管理工作顺利开展。
四、探讨加强信息化档案管理
强化档案信息化基础可以为档案信息化建设做好铺垫,有效推进档案信息化的实现。若要加强档案信息化基础,就要引进较为成熟的信息技术与强大的基础设备,完善相关操作系统,为档案信息化创造良好的建设环境。与此同时还要加大资金的投入,档案行政机关应督促政府增加档案经费预算,争取把档案信息化建设纳入到政府或行业专项建设经费中,尤其是纳入到地方信息化建设、电子政务建设规划中,以争取更多的资金支持。其次,档案信息化资金需求量大,仅依靠政府支持是难以开展的,因此,档案部门有必要充分动员社会各界的力量,多元化开展档案信息化建设,如与网络服务商可做争取网络资源的优惠或免费;与大型企业联合获取资金、技术支持与资源服务等。不仅如此,也要做好充分的安保保密工作,利用先进技术加强网络环境的安全性,这需要进行定期的软件管理,以及相关漏洞检查,需要运用科学技术手段来不断的完善,同时,也要求工作人员严格按照相应的计算机操作说明进行规范操作,避免出人为的工作失误。对于这一问题的处理,可以进行档案管理的二次审查处理,这样能够更加提高档案信息的安全性。
五、结束语
综上浅述,档案管理中的安全保密管理对档案的应用及发展至关重要,为了切实加强档案安全保密管理,就要从提高管理人员专业素质水平和完善安全管理制度入手,还可以应用信息化技术确保档案的安全性。现阶段档案管理信息化建设已经成为了发展的必然趋势,本文主要从强化信息化建设基础与加强安全保密工作两方面探讨如何强化档案管理信息化建设,为档案管理进一步发展贡献一份力量。
参考文献
[1]王若璇.宿迁市档案局部署档案安全保密检查工作[J].档案与建设,2011(10):76
4.信息安全保密管理制度 篇四
第一章 总则
一、为加强计算机应用的保密工作,确保国家秘密的安全,根据国家保密局《关于加强政府上网信息保密管理的通知》(国保发[1999]4号)和中央保密委员会办公室、国家保密局关于《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》(中保办发[1998]6号)的规定,促进计算机的应用与发展,保障存贮于计算机设备中各种信息的安全可靠,防止人为或意外的损坏,特制定本制度。
二、本规定适用本校所有联网计算机系统,所有使用单位均遵守本制度。
第二章 上网信息保密管理
一、必须十分重视上网信息的保密工作,坚持“谁上网,谁负责”的原则,信息上网必须经过信息提供单位的严格审查和审批,确保保密信息不上网。
二、上网信息必须经主管部门领导审查和批准,确保本校的秘密不上网,各单位应担负起网上保密的检查职责,发现问题,及时处理。
三、涉及保密信息网络必须与公共信息网实行物理隔离。要加强对涉密信息源的保密管理,在与公共信息网相连的信息设备上,不得存储、处理和传递秘密信息。
四、要加强上网人员的保密教育和管理。提高上网人员的保密观念,增强防范意识,自觉执行有关规定。
五、要强化监督与管理,明确各级领导保密责任制,切实落实各项保密制度,确保在公共信息网上不发生泄露秘密事件。
六、本校局域网为校园内部网络,任何接入的单位不得私自另行开出口,直接接入因特网,如因某种需要的,确实需要接入,必须采取隔离措施。
七、有关信息中心领导要负责上网信息的管理。系统管理员负责网络信息的保密工作,监控网络信息的正常运行。
八、各网络子系统负责人及运行人员应加强网络保密管理,发现泄露秘密的,应及时汇报,采取补救措施,并向有关单位报告。
第三章 计算机信息系统安全管理
一、本规定所称的计算机信息系统,是指由计算机极其相关的和配套的设备、设施(含网络)构成的安全运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。
二、计算机机房是保证系统安全运行的重要的地点,应设专人维护系统安全。
三、要保证计算机信息系统的安全可靠运行,在信息采集、处理、传输、存储过程中,避免人为或自然因素的危害造成信息丢失、泄露、或破坏。
四、存贮于计算机设备中的保密信息,无关人员不得私自调阅。
五、采用加密、口令等技术措施,防止电脑黑客盗用本校信息及非法侵入我校计算机系统进行破坏。
六、对外来参观人员,不经主管领导批准,与本工作无关人员不得进入计算机机房,工作人员不经主管领导同意不得将保密信息带出机房,不得通过屏幕显示和打印方式输出机密信息,更不得进行磁介质拷贝。
七、未经主管部门批准,计算机房内不得进行拍照和摄像。
八、机房管理人员要加强值班,坚持对电源柜、电源接插件、空调开关的正常巡视,及时发现事故隐患。
第四章 网络安全管理
一、所有用户必须经过主管领导批准后,方可上网,计算机人员必须在主管领导批准了用户的使用权限的基础上,才能安装相应软件允许用户上网,信息中心人员不得随意更改用户权限及私自开设用户。
二、信息中心人员负责初始用户注册及口令设置、严禁泄露口令等保密信息、定期更换管理员口令,用户必须定期更换口令以保证安全。
三、所有系统的权限由各部门领导批准,由各部门负责人负责分配。
四、信息中心工作人员及各系统负责人有责任
保守各种机密,认真执行安全保密措施,保障用户的权利不受侵害,保障重要的数据不会泄露。
五、接触机密文件的有关人员,应严格执行保密制度。未经领导批准,不得向无关人员传播。记载有机密信息的报废磁介质和纸张,必须进行销毁后方可丢弃。
六、各用户如忘记口令须向信息中心提交申请,出示有关证明及相关批示方可由信息中心专门工作人员负责查询或进行重新注册等工作。
七、所有上网用户应严格遵守《计算机管理制度》的规定,严禁在入网的计算机上使用未经病毒检查的外来软件、盘片。严禁各工作站私自修改本机的软、硬件配置,不得随意从网上下载未经检查的软件。
八、对于重要的计算机信息子系统,应定期检查是否感染病毒,实行专机、专盘、专用。
九、网络管理人员如向主服务器中添加或删除文件时,须制定工作方案经批准后方可进行,所有的重要操作须有记录,不得擅自进行操作。
十、所有的联网布线不得任意改动,如有变动,须制订修改方案或出示图纸,作好记录。
十一、对系统进行维护时,应采取数据保护措施,如修改、抽取、转储等,应事先对数据库进行备份。
十二、信息中心工作人员应定期对系统进行安全分析,包括:硬件资源的破坏和丢失、程序与数据文件的破坏及丢
失、数据的失窃对系统的不利影响、对系统资源的非法使用等。对系统的安全分析的过程与结果要保密,以免招致外人对系统弱点的攻击。
5.信息安全与保密管理 篇五
为了保护我院信息安全,为了保护患者信息,防止计算机失泄密问题的发生,为了加强医院信息系统的领导和管理,促进医院信息化工程的应用和发展,保障系统有序运行, 根据卫生部医管司修订《医院工作制度与人员岗位职责》,信息安全等级保护管理办法(公通字[2007]43号)结合我院实际,制定本制度。
一、计算机网络信息安全保密管理规定
(1)为防止病毒造成严重后果,对外来光盘、软件要严格管理,原则上不允许外来光盘、软件在我院计算机上使用。确因工作需要使用的,事先必须进行防(杀)毒处理,证实无病毒感染后,方可使用。
(2)接入本院网络的计算机严禁将计算机设定为网络共享,严禁将文件设定为网络共享文件。
(3)为防止黑客攻击和网络病毒的侵袭,接入本院网络的计算机一律安装杀毒软件,并要定时对杀毒软件进行升级。
(4)禁止将文件存放在网络共享硬盘上。(5)保密级别材料可通过本院内网OA软件,严禁院内材料通过电子信箱、QQ等网上传递和报送。
(6)计算机严禁直接或间接连接外网和其他公共信息网络,必须实行物理隔离。
(7)要坚持“谁上网,谁负责”的原则,信息上网必须经过信息科及主管院长审查,并经主管院长批准。
(8)外网必须与涉密计算机系统实行物理隔离。
(9)在与外网相连的信息设备上不得存储、处理和传输任何涉密信息。(10)应加强对上网人员的保密意识教育,提高上网人员保密观念,增强防范意识,自觉执行保密规定。
二、计算机维修维护管理规定
(1)计算机和存储介质发生故障时,应当向信息科提出维修申请,经批准后到指定维修地点修理,一般应当由信息科人员实施,须由外部人员到现场维修时,整个过程应当有信息科人员全程旁站陪同,禁止外来维修人员读取和复制被维修设备中的信息,维修后应当进行检查。
(2)信息科应将本院所属科室设备的故障现象、故障原因记录在设备的维修档案记录本上。
(3)凡需外送修理的设备,必须经信息科和主管领导批准,并将文件进行不可恢复性删除处理后方可实施。
(4)如不能保证安全保密,应当办理审批手续,由专人负责送到信息科予以销毁。
(5)由信息科工作人员负责办公室计算机软件的安装和设备的维护维修工作,严禁使用者私自安装计算机软件和擅自拆卸计算机设备。
(6)计算机的报废由信息科专人负责。
三、用户密码安全保密管理规定
(1)用户密码管理的范围是指办公室所有计算机所使用的密码。
(2)计算机的密码管理由信息科负责,计算机的密码管理由使用人负责。(3)用户密码使用规定
1)密码必须由数字、字符和特殊字符组成;
2)计算机设置的密码长度不能少于8个字符,密码更换周期不得多于30天;
3)计算机设置的密码长度不得少于10个字符,密码更换周期不得超过7天;
4)计算机需要分别设置BIOS、操作系统开机登录和屏幕保护三个密码。(4)密码的保存 1)计算机设置的用户密码由使用人自行保存,严禁将自用密码转告他人;若工作需要必须转告,应请示信息科工作人员认可;
2)计算机设置的用户密码须登记造册,并将密码本存放于文件柜内,由信息科管理。
四、涉密电子文件保密管理规定
(1)涉密电子文件是指在计算机系统中生成、存储、处理的机密、秘密和内部的文件、图纸、程序、数据、声像资料等。
(2)电子文件的密级按其所属项目的最高密级界定,其生成者应按密级界定要求标定其密级,并将文件存储在相应的目录下。
(3)各用户需在本人的计算机系统中创建“机密级文件”、“秘密级文件”、“内部文件”三个目录,将系统中的电子文件分别存储在相应的目录中。
(4)电子文件要有密级标识,电子文件的密级标识不能与文件的正文分离,一般标注于正文前面。
(5)电子文件必须定期、完整、真实、准确地存储到不可更改的介质上,并集中保存,然后从计算机上彻底删除。
(6)各院内科室自用信息资料由本部门管理员定期做好备份,备份介质必须标明备份日期、备份内容以及相应密级,严格控制知悉此备份的人数,做好登记后进保密柜保存。
(7)各部门要对备份电子文件进行规范的登记管理。每周做增量备份,每月做全量备份;备份可采用磁盘、光盘、移动硬盘、U盘等存储介质。
(8)涉密文件和资料的备份应严加控制。未经许可严禁私自复制、转储和借阅。对存储涉密信息的磁介质应当根据有关规定确定密级及保密期限,并视同纸制文件,分密级管理,严格借阅、使用、保管及销毁制度。
(9)备份文件和资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施,并进行异地备份。
五、涉密计算机系统病毒防治管理规定
(1)涉密计算机必须安装经过信息科许可的查、杀病毒软件。(2)每周升级和查、杀计算机病毒软件的病毒样本。确保病毒样本始终处于最新版本,同时将升级记录登记备案。
(3)绝对禁止计算机在线升级防病毒软件病毒库,同时对离线升级包的来源进行登记。
(4)每周对计算机、服务器病毒进行一次查、杀检查,并将查、杀结果登记造册。
(5)计算机、服务器应限制信息入口,如软盘、光盘、U盘、移动硬盘等的使用。
(6)对必须使用的外来介质(磁盘、光盘,U盘、移动硬盘等),必须先进行计算机病毒的查、杀处理,然后才可使用。
(7)对于因未经许可而擅自使用外来介质导致严重后果的,要严格追究相关人员的责任。
六、上网发布信息保密规定
(1)上网信息的保密管理坚持“谁发布谁负责”的原则。凡向外网站点提供或发布信息,必须经过信息科审查,报主管院长批准。提供信息的部门应当按照一定的工作程序,健全信息审批制度。
6.信息中心数据保密及安全管理制度 篇六
近年随着数据中心职能的转变,网络的管理中心已逐步过渡到数据的集散中心,最后成为决策的支持中心即信息中心。确保信息中心、数据中心机房重要数据安全保密已成为金保工程信息化建设的重要工作。因此为保障我市信息中心数据保密及安全管理,特制订如下相应规定:
1、明确信息中心工作职能,落实工作责任。进出数据中心执行严格记录,门禁口令定期更换和保密制度,数据中心管理人员对数据中心综合环境每日监测。并对数据中心中应用系统使用、产生的介质或数据按其重要性进行分类,对存放有重要数据的介质,应备份必要份数,并分别存放在不同的安全地方,做好防火、防高温、防震、防磁、防静电及防盗工作,建立严格的安全保密保管制度。
2、做好机房内重要数据(介质)的安全保密工作。保留在机房内的重要数据(介质),应为系统有效运行所必需的最少数量,除此之外不应保留在机房内。对入网(公网、专网)PC机(网卡、IP、硬盘)必须进行登记、定期升级杀毒软件,使用前先进行病毒和恶意软件扫描再进行操作的流程。
3、根据数据的保密规定和用途,确定使用人员的存取权限、存取方式和审批手续。
4、重要数据(介质)库,应设专人负责登记保管,未经批准,不得随意挪用重要数据(介质)。
5、在使用重要数据(介质)期间,应严格按国家保密规定控制转借或复制,需要使用或复制的须经批准。
6、对所有重要数据(介质)应定期检查,要考虑介质的安全保存期限,及时更新复制。损坏、废弃或过时的重要数据(介质)应由专人负责消磁处理,秘密级以上的重要数据(介质)在过保密期或废弃不用时,要及时销毁。
7、机密数据处理作业结束时,应及时清除存储器、联机磁带、磁盘及其它介质上有关作业的程序和数据。
8、机密级及以上秘密信息存储设备不得并入互联网。重要数据不得外泄,重要数据的输入及修改应由专人来完成。重要数据的打印输出及外存介质应存放在安全的地方,打印出的废纸应及时销毁。
9、门户网站和政府公开信息必须执行分级审核录入、安全运行的管理制度。
10、在实际工作中不断完善制度,以有效的对局域网进行监测,以防止保密数据流入公网,造成不必要的损失。保障网络的畅通,所录入的数据合法有效,防止数据非法纂改,病毒攻击等。确保市中心数据库平稳运行。
数据安全保密管理
第一条 所有数据必须经过合法的手续和规定渠道采集、加工、处理和传播,数据应只用于明确规定的目的,未经批准不得它用,采用的数据范围应与规定用途相符,不得超越。
第二条 根据数据使用者的权限合理分配数据存取授权,保障数据使第三条 第四条 第五条 第六条 第七条 用者的合法存取。
设置数据库用户口令,并监督用户定期更改;数据库用户在操作数据过程中,不得使用他人口令或者把自己的口令提供给他人使用。
未经领导允许,不得将存储介质(含磁带、光盘、软盘、技术资料等)带出机房,不得随意通报数据内容,不得泄露数据给内部或外部无关人员。
严禁直接对数据库进行操作修改数据。如遇特殊情况进行此操作时,必须由申请人提出申请,填写《数据变更申请表》,经申请人所属部门领导确认后提交至信息中心,信息中心相关领导确认后,方可由数据库管理人员进行修改,并对操作内容作好记录,长期保存。修改前应做好数据备份工作。
应按照分工负责、相互制约的原则制定各类系统操作人员的数据读写权限,读写权限不允许交叉覆盖。
一线生产系统和二线监督系统进行系统维护、复原、强行更改数据时,至少应有两名操作人员在场,并进行详细的登记及签名。第八条 对业务系统操作员权限实行动态管理,确保操作员岗位调整后及时修改相应权限,保证业务数据安全。
7.网站信息安全保密管理制度 篇七
一、档案管理安全保密与信息化档案管理的必要性
档案管理安全保密工作是以网络、计算机、信息技术为手段, 以档案资源为对象, 以档案工作为依托, 以档案管理学最新理论为指导, 按照信息社会和国家档案行政管理部门的要求、开展档案的收集、整理、保管、开发和利用的现代化管理过程。
在信息化快速发展的今天, 加快档案管理的信息化进程是必须的, 只有这样才能对档案管理进行充分的利用, 从而促进社会的进步。而当下的档案信息保密工作对于处于信息社会的档案管理工作人员来讲, 也是其工作中重要的一环。这对于档案信息管理中的安全体系的完善与档案管理事业的健康、持续发展有着现实上的意义。档案记录国家或其服务机构的重要历史活动, 它与一般信息不同, 其内容对于国家机密与国家安全的保护有着至关重要的意义。特别是在国家经济、军事、科技以及政治方面的内容, 必须着重保护, 一旦泄露被非法分子利用就会对国家及社会产生巨大危害与无法估计的损失。
二、现今在档案管理安全保密与信息化档案管理中存在的问题
(一) 在档案管理方面缺乏标准与规范。
我国从事档案管理中的工作人员目前的现状是:对档案管理工作熟练的人, 信息化技术方面却比较薄弱;而精通信息化技术的人, 对档案管理工作却知之甚少。具备档案管理与信息技术两方面知识的专业人才十分匮乏, 这一现状, 尤其突出地表现在基层档案管理部门。由于这类人才的缺乏, 导致档案查阅、管理、保密等方面存在不便和漏洞, 管理信息软件的运用技术普及率低, 更无法统一档案信息化管理工作的标准, 即便有一定标准也无法做到全面推广, 只可以在某一部分或某一专业应用。但“无规矩不成方圆”, 不管是做什么工作, 都需要一整套完善的规范与标准, 这样才能保证档案管理工作健康有序的发展。同时也使得我国档案管理、案卷管理的信息化的进程受到了制约, 有关部门亟待出台相对较为统一的档案信息化管理的标准, 开发兼容性较强、易于操作的相关软件, 不定期地组织相关人员培训, 逐步完成档案管理信息化的进程。
(二) 对档案管理的重要性认识不足。
档案是指在各项工作中形成的、具有保存价值的、各种形式和载体的历史记录, 是领导决策的依据, 是对工作查考的凭证, 也是科学研究和基础设施设备建设的可靠资料。档案管理是日常管理工作中的有机组成, 其主要功能是为工作单位提供有关的资料管理服务。但现今的档案管理工作伴随社会的发展、市场经济的进步, 档案管理人员大都存在着服务意识以及保密观念不强的问题。究其原因, 是那些能获得直接经济利益且进展快速、见效早的工作往往更被人们重视, 如基础建设, 人们往往注重的是高楼大厦, 而对建设高楼大厦的一些资料如图纸、合同、各项政府批文等却淡然处之, 有关档案工作就容易被人们忽略。
不少单位对于档案管理工作的具体内容、工作性质以及工作内容也较为陌生, 把管理文件的工作思路妄加于档案管理, 这就导致了其按照统一原则与办法管理档案的不可能性, 工作单位也会因此导致在资源充分开发及合理利用上的短板。
(三) 档案管理的信息化水平偏低。
转变档案管理模式, 引入计算机、网络等信息技术, 对管理资源进行数字化转换, 就是当代档案管理的信息化理念。目前, 我国基层档案管理的信息化程度普遍偏低, 甚至有的还是许多年前的水平, 给档案的阅档等带来了极大的不便。当然, 档案管理的信息化进程不可能在朝夕之间完成, 对于档案管理信息化的建设是需要长期积累的, 并且信息化的过程中也会面临种种的难题挫折, 不会一帆风顺。这方面表现突出的美国有一种类型为各地方政府、院校、企业、社会组织等自行设立的档案管理机构, 它们形成了一种分散的、多元的、无中心的管理体制, 彼此之间可以通过协会来沟通和协作。
虽然我国在许多领域高度信息化, 但是由于档案的特殊性, 档案管理的信息化转变还处于刚起步阶段, 我国的档案管理信息化水平与国外的相比较为落后, 尤其是基层组织的档案管理, 更是如此。而且我国的档案管理信息化水平的发展还不够完善, 导致我国的档案管理软件与很多工作机构的工作性质不适配, 无法在档案管理中体现出来, 这种情况在一定程度上限制了档案信息化在各工作单位的实行。
三、建议针对档案管理中的这些问题应采取的对策
(一) 加强档案管理人员专业素质。
加强对档案管理人员的培训是档案安全保密工作与档案管理信息化的重点。在进行陪训时, 应加强对保密工作相关知识的学习, 并不断提高档案管理人员的业务技能, 使其档案信息化管理中的实践能力不断提高, 从而逐渐形成一支纪律严明、政治合格的档案管理队伍, 切实提高档案信息化管理水平。通过培训, 使档案管理人员的安全保密意识得到加强, 在加快信息化进程的同时, 逐步建立健全安全保密制度。加强对档案人员的教育和管理, 使档案管理人员充分了解国家的相关管理规定, 并努力提高档案管理软件的应用水平, 以满足档案管理现代化不断发展的需要。
(二) 加强档案信息管理中的安全意识。
相关机构应重视档案管理在其发展中的重要地位, 深刻了解其工作性质, 并在档案信息安全与保密工作方面, 对档案信息管理方面的从业人员加强部署, 对于利用信息网络偷取档案信息的行为要保证高度警惕, 做好在档案信息管理中的安全工作。同时加快自身档案管理的信息化进程, 在保证了其安全保密的前提上, 对其档案信息管理进行科学管理, 以达到对其资源进行充分利用的目的。
(三) 加快我国档案管理信息化进程。
相关机构也应该提高自身的忧患意识, 并对其行业改革的发展趋势与市场竞争中的规律予以把握, 加强在档案管理信息化的发展环境下对档案保密的规律性研究, 凭借档案管理技术与制度的创新来确保档案信息的安全保密, 并使自身的档案管理条件更加与国家的档案信息化管理软件适配, 加强档案管理信息化的落实, 不断适应现代化建设的新要求, 从而减少我国信息化进程中的难题, 提高我国的档案管理信息化进程。
四、结论
虽然一直以来档案管理并未受到人们的重视, 但是随着社会的发展, 档案作为具有巨大价值的信息资源在当前所体现出来的价值也越来越重要。因此, 在信息化快速发展的今天, 对于档案管理的安全保密工作就需要给予足够的重视, 在实现信息化档案管理且提升工作质量与效率的同时, 也要保证档案信息化管理的安全性, 对档案管理中的有效途径与有效措施加强研究, 以达到实现档案管理工作安全保密的最终目标。
摘要:信息化时代, 档案管理工作亟待加强信息技术应用研究, 尤其是在档案安全保密方面, 必须积极采取行之有效的保护性措施, 拓展工作思路, 提高工作水平, 切实解决我国当前档案管理中存在的安全问题。
关键词:档案管理,安全保密,信息化
参考文献
[1]尹淑琴.加强档案管理的安全保密及信息化档案管理[J].华章, 2012, (28) :302.
[2]辛影.浅析档案管理的安全保密及信息化档案管理[J].卷宗, 2014, (7) :93.
[3]刘洋.人事档案信息化管理系统的应用及改进[J].黑龙江史志, 2014, (13) :152.
[4]任晓萍.在信息化时代如何确保档案的安全[J].黑龙江史志, 2014, (20) :115.
[5]许志敏.档案管理信息化发展的制约因素及其应对策略和措施[J].科技创新导报, 2014, (17) :174.
8.计算机信息安全保密的研究与分析 篇八
【关键词】计算机信息安全;网络;安全威胁;影响
计算机相关技术的积极应用和开发是目前世界发展的趋势,利用计算机技术来实现人类各个方面的发展是信息时代的重要特征。但是由于计算机网络的加入和普及,计算机技术的应用变得复杂而充满变数,那就是计算机网络带来的安全威胁,它降低了信息系统的安全性。
1.计算机信息安全
1.1计算机信息安全的概念
计算机系统是一个复杂的、多元化的、涉及方面广泛的智能电子终端,它主要包括了软件和硬件。如果对计算机系统的操作或管理不当,就会导致各种病毒和恶意代码的入侵,最终使计算机系统崩溃,影响到计算机系统内部的信息安全。所以,对计算机信息安全的概念主要包括以下三个方面。
(1)物理方面。计算机系统是由多个电子元件组合而成的,每个元件都有各自的工作机理和分工,它们共同组成整个计算机硬件系统。计算机信息的物理安全能够保证计算机及网络在运行时的安全性和正确性。由于计算机的电子元件一般均为弱电设备,所以在防范自然灾害的问题上要格外注意。如果是团体机关的计算机机房和网络设施要注重对于雷、电、电磁波等的干扰,确保计算机在物理方面的安全运行。
(2)网络方面。由于现在计算机都接入网络,而病毒入侵的主要途径就是通过网络,它主要通过网络感染和破坏计算机的软件系统硬件数据,所以要保证计算机网络服务的正常和稳定性,通过各种措施避免网络中病毒和非法信息的入侵,从而避免因为网络植入病毒而带来的计算机信息系统内数据的改变,泄漏和破坏,保证计算机信息网络系统的可持续性运行。
1.2计算机信息安全问题的特点
计算机通过网络实现了信息资源的共享与扩散,这也给信息系统带来了安全方面的隐患。目前国内使用的计算机系统芯片均为进口产品,在系统安全的保护和预设上不能自主控制,可能会留下一些安全方面的漏洞,通过这些漏洞进入计算机信息系统就能造成信息的窃取和修改,甚至系统的崩溃。这是计算机网络和硬件方面的不可控性所带来的安全威胁,需要得到重视。
通过各种软件,计算机信息系统也能遭到严重的破坏。由于计算机软件中信息资源的开放性,所以就导致了它的安全性降低。虽然目前已经出现了许多防范恶意入侵的计算机杀毒软件,但是对于自身的安全保护级别还并不完善。这是因为计算机防病毒软件的设计永远是被动的,永远是根据目前病毒的发展而更新信息库的,所以在计算机软件与网络的应用中,由于它开放自由化的特性,病毒入侵和信息系统遭到破坏依然不是没有可能。
2.引发计算机信息安全问题的原因
在信息流通高度发达的社会,计算机信息安全受到各方的威胁,尤其是政府安全或者一些比较重要企业的信息部门。他们的系统尤其需要加强防范,因为病毒的入侵和信息的盗取无时无刻不在,所以我们要充分认识到计算机信息安全系统并不安全,它是滞后和脆弱的,加强信息系统的密保才有可能将安全威胁拒之门外。以下我们主要介绍几种引发计算机信息系统安全问题的因素。
2.1计算机信息系统能够受到威胁,最大的隐患还是来自于人本身
目前一些具备高素质网络技术的黑客是计算机安全的最大威胁。他们攻击计算机信息安全系统主要目的有两种,一种是破坏性的,这种破坏就是为了打击和摧毁信息系统,造成信息的丢失,而且很多情况下是无法挽回的,并且这种信息破坏是具有选择性和针对性的;其次是非破坏性的攻击,这种攻击的原则就是不影响计算机系统的正常运行,在无声无息的情况下进行信息的盗取、截获和破译,一般常常用于盗取一些重要企业或者信息部门的关键机密信息。
2.2由计算机系统操作人员自己的误操作也能够带来计算机信息安全的隐患
这种情况常常是由于操作人员的业务不熟而导致的,主要体现在计算机信息安全系统的安全配置不当、资源访问权限控制的不合理、用户口令密码设置有误、网络共享资源设置密保简单等等。如果不能够及时更改或者加强密保设置,重要信息就会在操作人员不知情的情况下丢失,且很难被发现。
2.3计算机病毒是比较常见的系统安全老问题
通过病毒对计算机系统程序造成功能上的紊乱和数据的毁坏,是最直接的影响计算机信息安全的方法。它主要通过制造和复制计算机指令或程序代碼,对计算机系统中的运行代码进行模拟和篡改,具有很高的隐蔽性、传染性、破坏性和可执行性。
3.计算机信息系统安全的保密措施
目前,为了防范计算机信息系统中可能存在的各种安全威胁,在国际上已经确立了一系列的关于计算机系统的安全保密措施,以此来规范和保护计算机信息系统安全。
3.1计算机信息系统保密管理
保密管理是一种对于涉密人员、涉密载体和涉密事项进行管理的活动。这里包括了政府机关和企业信息部门的日常保密管理工作。对于计算信息系统的保密管理一定要确定公开的涉密人员之间的关系,并限制涉密人员和涉密事项的数量。与此同时,建立健全的保密法规并加强保密管理的关键技术和设备也是十分必要的。
3.2计算机信息系统的安全保密措施
由于要兼顾计算机软件、硬件、网络三方面的保护,所以为了确保保密措施的正常实施,要做到以下几点:
(1)首先要做好物理方面的安全防范,它主要涉及到工作环境的内部安全和外部安全。内部安全主要指系统内部的维护与修理;外部安全是指硬件和系统周围例如对于恶劣天气的防范,注意雷雨天气对设备硬件的影响,做好网络的布线系统。另外还要确保计算机不要遭受电磁波的干扰和辐射。物理方面的安全重点就是保证重要数据的集中管理,避免数据的丢失。一般来说,这种威胁来自于自然,特别是恶劣天气下,应该注重计算机的运行与休息。而对于安保部门来说,采用屏蔽隔断周围辐射的威胁,是最好的办法。
(2)要进行杀毒软件的安装和定期的杀毒。正常情况下,杀毒软件能够兼顾大部分病毒的查杀,如果不是特殊的病毒感染都能应付。
(3)在网络方面要做到选择安全保密性强的网络操作系统,确认并记录好账户和密保口令。在数据库的密保方面,确立目录文件的安全密保机制,利用密码密匙原理进行数据的加密,保证数据在传输过程中是被加密且不易被识别破解的。对于网络系统的保护就是让内部网络的涉密系统与物理隔绝,并对网络的审计措施、防毒措施、传输加密措施以及对用户的监控管理措施等。而资源共享方面是网络保密最容易出现漏洞的地方。要严格设置访问控制手段,在网络安全等级和链路层安全等方面要做到严密把关,确保网络终端的信息安全。
(4)交互涉密文件是最容易泄漏密保的环节,尤其是对外的涉密文件交互。因为涉及到比较常见的复制、传输、保存等环节,文件很可能在这一时间段内被窃取。在交互涉密文件时,一定要确保存储介质和内部网络的安全可靠,并适当的在每个环节都设立加密,以确保涉密文件交互安全进行。
(5)计算机信息安全保密体系的敏感地带就是对终端的防护。因为传统的安全方案只能阻止外部入侵,而不能防范内盗。所以在企业内部一定要规范并做好相关方面的培训和问责机制,确保(下转第183页)(上接第64页)防止内部人员的操作疏忽或有意为之,对系统信息安全进行恶意攻击和偷盗行为。
(6)对于计算机信息安全的保密最直观的方法就是加密。为了确保涉密数据的安全,应该通过数据加密的方式对计算机的系统、内外传输介质和网络信息系统进行上锁和加密保护。例如在会计信息系统的数据库中,对其的OS操作系统、DBMS内核和DBMS外层都要进行加密,形成有层次的保护。
首先是OS层加密,加密的对象是整个文件系统。因为无法辨别数据库中文件之间的数据关系,所以应该在OS层直接对数据库文件进行加密;对于DBMS内核层的加密涉及到数据在物理存储之前和之后的加密与解密工作。利用DBMS加密器和DBMS接口协议对文件系统进行加密,其优点是加密性强而且加密功能不会影响DBMS的任何功能操作。但是它也有缺点,那就是在服务器端进行加密和解密运算,会加重数据库服务器的负载从而使系统运行速度下降。一般在会计信息数据库的加密都采用基于Oracle提供的安全包为基础制定加密策略。它的优点就是能够合理分配系统资源,既能兼容系统的加密与解密工作,也能让系统在运行时保持一定的流畅性;DBMS的外层加密主要采用的是传统的密匙管理。这样做的理由和内核层的加密有异曲同工之妙,那就是在不加重系统负载的前提下,灵活的配置数据库加密,其缺点是加密功能会受到一些限制。
(7)做好计算机信息安全的安全审计工作也很重要,这包括对于数据库、主机、操作系统和安全设备等系统动作行为的审计,审计记录所有发生的事件。建立健全的安全管理制度,规范技术管理員的操作规程并提供系统维护的防范依据。一旦有突发事件发生可以快速查询行为记录,以便采取相应的处理措施。
4.总结
计算机信息安全保密的管理和建设,涉及到国家建设的许多层面,需要在规范和技术方面不断加强。我国应该尽快订制一套完整全面系统的信息保护法和计算机信息系统的安全标准,以此来规范和提高我们对于计算机信息安全系统的保护意识和安全防范技术手段。 [科]
【参考文献】
[1]佟守权.计算机管理信息系统安全保密的探讨[A].第十次全国计算机安全学术交流会论文集[C].2008.
[2]唐中学.计算机网络信息安全保密问题浅析[J].电脑知识与技术(学术交流),2013,1(4).
9.计算机信息系统安全保密制度 篇九
为了切实加强我局计算机网络信息系统安全保密管理工作,根据国家保密局《计算机信息系统保密管理暂行规定》的要求,结合本局实际,制订本制度。
一、我局计算机信息网络系统的保密管理由局保密领导小组负责。具体工作由办公室专人承办。
二、涉密信息不得在与互联网络联网的计算机信息系统中存储、处理、传递。
三、计算机信息系统打印输出的涉密文件,应当按相应密级的文件进行管理。
四、存储过涉密信息的计算机媒体的维修应原地维修,保证其所存储的国家秘密不被泄露。
五、存储涉密信息的计算机媒体,应按所存储信息的密级标明密级,并按相应密级的文件进行管理。
六、存储涉密信息的计算机安装的操作系统软件和重要的应用软件必须具有合法的使用权,严禁把非法版权软件安装在装有重要数据的计算机上。
七、计算机信息网络的访问采取严格的权限控制和数据保护措施。计算机信息网络系统的用户定期更换口令,严禁将口令告诉无关人员。
10.网站信息安全保密管理制度 篇十
为进一步加强我局计算机信息系统安全和保密管理,保障计算机信息系统和数据的安全,特制定本制度。
第一条 严格落实计算机信息系统安全和保密管理工作责任制,各部门负责人为信息安全系统第一责任人。按照“谁主管谁负责、谁运行谁负责、谁公开谁负责”的原则,各处室在其职责范围内,负责本单位计算机信息系统安全和保密管理。
第二条 办公室是全局计算机信息系统安全和保密管理的职能部门,信息中心具体负责技术保障工作。
第三条 局域网分为内网、外网。内网运行各类办公软件,专用于公文的处理和交换,属涉密网;外网专用于各处室和个人浏览国际互联网,属非涉密网。上内网的计算机不得再上外网,涉及国家秘密的信息应当在制定的涉密信息系统中处理。
第四条 购置计算机及相关设备须按照保密局指定的有关参数指标,信息中心将新购置的计算机及相关设备的有关信息参数登记备案后,经办公室验收后,方可提供上网IP地接入机关局域网。
第五条 计算机的使用管理应符合下列要求:
(一)严禁同一计算机既上互联网又处理涉密信息;
(二)信息中心要建立完整的办公计算机及网络设备技术档案,定期对计算机及软件安装情况进行检查和登记备案;
(三)设置开机口令,长度不得少于8个字符,并定期更换,防止口令被盗;
(四)安装正版防病毒等安全防护软件,并及时进行升级,及时更新操作系统补丁程序;
(五)未经信息中心认可,机关内所有办公计算机不得修改上网IP地址、网关、DNS服务器、子网掩码等设置;
(六)严禁使用含有无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备处理涉密信息;
(七)严禁将办公计算机带到与工作无关的场所;确因工作需要需携带有涉密信息的手提电脑外出的,必须确保涉密信息安全。
第六条 涉密移动存储设备的使用管理应符合下列要求:
(一)分别由各处室兼职保密员负责登记,做到专人专用专管,并将登记情况报综合处备案;
(二)严禁涉密移动存储设备在内、外网之间交叉使用;
(三)移动存储设备在接入本部门计算机信息系统之前,应查杀病毒、木马等恶意代码;
(四)鼓励采用密码技术等对移动存储设备中的信息进行保护;
(五)严禁将涉密存储设备带到与工作无关的场所。
第七条 数据复制操作管理应符合下列要求:
(一)将互联网上的信息复制到内网时,应采取严格的技术防护措施,查杀病毒、木马等恶意代码,严防病毒等传播;
(二)使用移动存储设备从内网向外网复制数据时,应当采取严格的保密措施,防止泄密;
(三)复制和传递密级电子文档,应当严格按照复制和传递同等密级纸质文件的有关规定办理。不得利用电子邮件传递、转发或抄送涉密信息;
(四)各处室因工作需要向外网公开内部信息资料时,必须由该处室负责人审核同意,交由信息中心统一发布。
第八条 办公计算机及相关设备由信息中心负责维护,按保密要求实行定点维修。需外
请维修的,要派专人全程监督;需外送维修的,应由信息中心拆除信息存储部件,以防止存储资料泄密。
第九条 办公计算机及相关设备报废时,应由信息中心拆除存储部件,然后交办公室核定,由信息中心按有关要求统一销毁,同时作好备案登记。严禁各单位自行处理报废计算机。
第十条 办公室和信息中心要加强机关计算机信息系统安全和保密管理情况的监督,定期进行检查,提高泄密隐患发现能力和泄密事件应急处置能力。其它各处室要密切配合,共同做好计算机信息系统安全和保密工作。
第十一条 机关工作人员离岗离职,有关处室应即时取消其计算机涉密信息系统访问授权,收回计算机、移动存储设备等相关物品。
第十二条 各处室和个人应当接受并配合保密监督检查,协助核查有关泄密行为。对违反本规定的有关人员应给予批评教育,并责令限期整改;造成泄密事件的,由有关部门根据国家相关保密法律法规进行查处,并追究相关责任人的责任。
11.涉密网络安全保密防护和管理 篇十一
涉密网络安全保密隐患
1.违规外联。涉密网络严禁和互联网连接,但是有些工作人员贪图便利,采用断开内网连接的方式违规将计算机接入互联网,甚至直接将接入涉密网的计算机同时又通过拨号、宽带和无线等方式接入互联网,破坏了内外网的物理隔离,极有可能将病毒、木马、后门等带入内网,导致黑客入侵并把涉密计算机作为跳板,渗透到内部网络,给涉密网络带来非常严重的危害和后果。
2.计算机端口滥用。涉密网络内部使用的涉密计算机的光驱、USB接口、红外接口等很容易被违规接入未经授权批准的外接设备,然后利用“信息摆渡”技术实现在物理隔离的两台计算机上的信息传递,在此过程中很容易造成信息泄漏或致使涉密计算机感染病毒。
3.权限失控。在涉密网络中如果没有使用用户身份鉴别和权限控制措施,工作人员可以毫无障碍的调阅出高出自身知悉范围内的涉密信息,从而导致泄密。“棱镜”事件就是一件典型的权限失控导致的泄密事件。
4.系统漏洞。系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或错误,这些漏洞成为入侵者进入计算机或网络的一个“后门”,可通过植入木马、病毒等方式来攻击或控制整个计算机和网络,窃取其中的涉密信息。由于涉密网络与互联网物理隔离,工作人员不便于进行系统补丁升级,导致这些漏洞无法得到及时修补,极易被黑客所利用。
5.人为因素。一些单位的工作人员保密意识不强,在工作中没有遵循基本的安全防范规则操作造成泄密,例如涉密计算机不按规定设置口令或者口令设置过于简单容易被破解、没有定期升级系统软件或病毒库等。此外还有一些由于保密技术知识缺乏或操作失误导致的泄密,例如管理员对防火墙配置不当为外来的程序攻击创造了机会,计算机中的硬盘或某些文件夹被设置成共享状态,使非法人员通过操作系统提供的功能非常容易地下载到这些计算机硬盘中的文件等。
涉密网络安全保密防护技术
1.虚拟局域网技术。虚拟局域网技术可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组,不同的虚拟局域网之间不能进行相互的联系和通讯,这就避免了病毒感染和黑客入侵。此外虚拟局域网技术中对于交换机端口的划分操作简单灵活,这就使得在涉密网络中网络设备的灵活移动成为可能,单位不同部门可以规划到不同的虚拟局域网中来,既方便了数据的传输、信息的共享,又提高了涉密网络的安全性。
2.防火墙系统。防火墙系统是计算机与内部网络或内部网络与外部网络之间安全的屏障,配置防火墙是实现涉密网络安全最基本、最有效的安全措施之一。利用防火墙对涉密网络进行安全域划分,禁止不同虚拟局域网在非应用系统使用时相互访问,同时在交换机配置阶段,就进行端口隔离,这样同部门同虚拟局域网之间也存在了基础的安全网络防护,可实现重点服务器网段和非密服务区网段隔离,从而降低重要数据或敏感信息安全问题对整个涉密网络造成的影响。此外,防火墙系统还能实时地记录所有用户访问信息的日志情况,并对涉密网络的流量情况进行统计。一旦发生网络异常现象,防火墙系统还能及时报警,确保涉密网络的安全稳定。
3.入侵检测系统。入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它可以在不影响网络性能的情况下对网络进行监测,提供内部攻击、外部攻击和误操作时的实时保护。在涉密网络中,可以在需要保护的服务器网段上部署入侵检测系统,实时监视各种对服务器的访问请求并及时将信息反馈给控制台。
4.访问控制技术。访问控制是限制已授权的用户、程序、进程或计算机网络中的其他的系统访问本系统的资源的过程,它是涉密网络安全防护的主要核心策略。通常在涉密网络中实施访问控制的策略是在交换机的某个端口上绑定合法的计算机MAC地址,所有未在该端口上绑定的MAC地址全部为非法入口,会在进入该端口时予以屏蔽,这样就杜绝了非法MAC地址的入侵,可以防止非授权的计算机从数据链路层进入涉密网络。
5.漏洞扫描技术。漏洞扫描技术是指通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测技术。它和防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过漏洞扫描,网络管理员能了解网络的安全设置和运行的应用服务,及时发现网络内计算机与服务器等网络设备的各种漏洞和隐患,如端口和服务、系统漏洞、弱口令及共享文件等,并给出修正建议。此外,当有计算机接入涉密网络中时,还可以通过扫描计算机的系统漏洞,自动对入网计算机进行系统补丁升级,确保所有接入涉密网络的计算机系统漏洞都能及时得到修复,降低计算机被入侵攻击的风险。
6.身份鉴别和授权。身份鉴别是保证涉密网络安全的重要措施。经过身份鉴别进入涉密网络的合法用户,需要对其访问系统资源的权限进行限制。设置访问控制应当遵循“最小授权原则”,即在应当授权的范围内有权使用资源,非授权范围内无权使用资源。并且在授权时按照该人员的最高涉密等级进行身份认证授权。在涉密网络中,工作人员的各种操作行为均需进行个人身份鉴别。
7.涉密计算机监控和审计。涉密计算机监控是指通过安全策略对受控计算机的移动存储设备、外部连接设备、网络连接等输入输出端口进行监控,防止非法文件拷贝、打印、扫描、非法外联等安全事件的发生,对于正在发生的高危行为予以及时制止或预警。涉密计算机审计是指记录涉密计算机用户的实际操作,包括计算机访问应用系统情况、文件的拷贝打印操作、病毒感染情况、擅自连接互联网情况、非工作软件的安装和运行等内容,通过分析日志,能够在事后有效发现用户的违规操作或非法入侵行为,以便管理人员及时发现问题以及事后追究责任。
nlc202309010757
8.数字加密和数字签名。数据加密和数字签名技术是提高涉密网络安全性的必要手段。数据加密技术可以用于涉密文件的加密上,通过公钥、密钥的分发确保文件即使被盗取也无法解密。数字签名是利用密码技术生产一系列符号和代码组成电子密码进行签名,来代替书写签名和印章。将数字签名添加到文件正文中后,能够保证文件的机密性、发送者身份真实性、文件数据的完整性和发送者对自己行为的不可否认性,构造一种更加完善、高强度的文件加密方案。
9.电磁泄漏防护。涉密网络电磁辐射主要有四个因素产生:显示器辐射、通信线路辐射、主机辐射、输出设备(打印机)辐射。这些设备是依靠高频脉冲电路工作的,由于电磁场的变化,必然要向外辐射电磁波。这些电磁波会把计算机中的信息带出去,窃密者只要具有相应的接收设备,就可以通过接收电磁波从中窃取涉密信息。针对电磁泄漏可采用的防护措施有选用低辐射设备、利用噪声干扰源、距离防护、电磁屏蔽等。
10.容灾备份技术。涉密网络中的数据安全是重中之重,但由于敌对势力、自然灾害或其他网络、硬软件故障、操作失误、病毒等因素的影响,随时可能导致数据丢失、破坏、业务中断等灾难事故的发生。容灾技术可以保证在遭遇灾害时信息系统能正常运行,实现业务连续性的目标,备份技术可以应对灾难来临时造成的数据丢失问题。在具体操作中,容灾备份技术通常是将系统变化发生时的每个时间点都捕获下来,一旦系统发生写数据的动作,就实时复制将要写入存储的写操作,在写入本地磁盘的同时复制一份到本地或远程数据保护中心,这样一旦灾难发生,就可以从数据保护中心中获取丢失的数据。
涉密网络保密管理措施
1.完善涉密网络安全保密规章制度建设。规章制度是涉密网络安全管理的基础,只有建立了完善的安全管理制度,明确安全保密职责,才能确保涉密网络和涉密信息系统正常、有效运行。涉密单位应根据国家出台的相关规定,充分发挥创新精神,结合本单位的实际情况,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,建立有针对性的涉密网络安全管理制度,将原则性的标准进行细化,明确安全职责的划分和人员分工安排,让涉密网络的建设、管理、使用、维护等各个环节都有相应的制度作为保障。同时要对规章制度进行动态化的管理,及时发现规章制度中不适和问题,对规章制度的适应性进行改进。
2.提高工作人员保密意识和防护技能。工作人员的保密意识薄弱、保密防护技能缺乏是泄密事件发生的主因,由于网络信息安全技术知识更新换代频繁,一些工作人员平时不注重学习,认识不到安全威胁,保密意识淡漠,不注意个人的安全防护,认为涉密网络安全防护是信息中心的事儿,与他们毫无关系。还有部分人员存在侥幸心理,为图方便甚至不遵守相关安全规定,违规接入互联网或外部设备,给涉密网络防护带来较大隐患。因此需要加强工作人员的保密意识和网络安全意识,切实使更多的工作人员充分认清当前网络条件下的保密形势,认清网络与信息技术快速发展给保密工作带来的巨大负面影响,在思想上保持警惕,筑牢思想防线。同时要通过举办讲座、学习班等形式普及涉密网络安全防护知识,使其熟悉危害涉密网络安全的行为以及其基本原理,让安全操作成为一种工作习惯和自觉行为。
3.强化保密监督和检查。保密监督和检查是防止失泄密事件发生的有效手段。利用网络安全技术做好日常保密监督和检查是充分发挥涉密网络防护体系作用的一个重要的环节,具体措施有:对非授权存取、非授权外联、非授权接入采取必要的技术检测手段,作出及时响应,并形成日志记录;对涉密网络中的设备运行态进行监测,例如可以每周查看安全审计记录;每月对监控和审计系统的日志进行分析整理。通过日常化的保密监督和检查,能够及时发现存在的安全隐患与管理缺陷,及时消除安全隐患与改进管理,提升涉密网络安全防护的技术水平和保密管理水平。
涉密网络的安全保密防护和管理是一个涉及网络信息安全技术和保密管理的庞大课题,而且随着网络技术的不断发展,会出现越来越多新的安全保密防护问题,因此我们必须综合运用各种新技术新知识,不断完善和调整防护策略,才能构建一道网络信息安全的铜墙铁壁。
(作者单位:宁波国研软件技术有限公司)
12.网站信息安全保密管理制度 篇十二
1 系统功能漏洞
1.1 概述
系统功能漏洞是指系统由于受开发技术等条件的限制,存在的暂时无法实现的网站信息管理系统使用功能上的缺失。系统化的开发软件(如DREAMWEAVER)很难在设计系统过程中针对不同系统的功能需求进行详细设计,势必在建立系统后留下各方面的功能残缺,这就需要设计者根据实际需求进行对系统进行综合分析,找出漏洞点,提出解决方案。
1.2 出错提示
用户在填写个人信息时常常会出现不规范填写的情况,如用户名不填、密码长度不符和要求、邮件格式非法等。在已建立的系统中,如果输入上述类型的错误数据,系统将把那些不符合要求的信息保存在数据库或者进入死页面,给用户信息管理和用户的使用造成不必要的困难。由于具体的出错提示应该因系统而异,所以解决此功能漏洞的方法为编写适合自己系统的ASP控制语句。比如设计用户没有填写用户名就提交信息的出错提示时,可在注册页面代码中加入如下函数:
同样,在提示其他项目填写不规范时,可以在上述函数中加入类似的IF判断语句。
1.3 跳过注册系统直接登录
许多上网用户不进入网站的首页而是直接输入网址进入关心的网页,虽然这样做节约了上网者的时间,可对于需要身份验证的系统来说,如果用户使用同样的方法跳过注册界面而直接登录正文界面,则整个身份验证系统就形同虚设。而已建立的系统框架常常不具备这种防止直接登录的功能,这是系统设计中的一个重要功能漏洞。通过仔细分析,最好的解决方法就是利用ASP中的Session对象。
Session简单来说就是服务器给客户端的一个编号。当一台WWW服务器运行时,可能有若干个用户浏览正运行在这台服务器上的网站。当每个用户首次与这台WWW服务器建立连接时,就与这个服务器建立了一个Session,同时服务器会自动为其分配一个SessionID,用以标识这个用户的唯一身份。
具体解决方案是在防止用户直接登录的正文界面zhengwen.asp前面加入以下程序:
这时如浏览器中直接执行zhengwen.asp文件,就不能直接进入预约界面,原因是Session变量从未被赋值,所以网页会被转到登录界面login.asp。同时相应的login.asp程序代码中应加入代码Session(“homepage”)=True,这样用户只要通过login.asp页面,Session(“homepage”)就会被赋值True,接着顺利通过验证进入zhengwen.asp。
2 信息安全漏洞
2.1 概述
由于网站信息系统为共享型软件系统,一般放置在网络上使用。所以信息安全漏洞,主要是指因数据保护措施不完备,导致的一些容易被网络攻击者利用来破坏系统信息的缺陷。
为了加强Internet信息安全保护,有必要针对目前攻击者对Internet网站采取的攻击手段制定相应有效的防范措施。
2.2 用户查看源代码
攻击者可以利用代码保护的漏洞修改系统代码,使系统瘫痪。另外,如果缺少了代码保护,编辑者精心设计的JavaScript特效将很容易被访问者所抄袭,所以需要对文本代码进行加密保护。要禁止访问者查看网页源代码,首先要了解一下查看源代码的方式(以IE 5.0为例)。一般的源代码查看方式有两种:一是窗口菜单栏查看方式,即选择“查看”—“源文件”(如图1所示);二是右键菜单方式(如图2所示)。要彻底禁止访问者查看网页源代码,就必须屏蔽这两种查看源代码的方式。
2.2.1 屏蔽右键菜单查看方式
可以采用了如下的代码禁止点击鼠标右键:
('右键已被锁定,有什么需要帮忙的话,请与管理员联
系!谢谢您的合作!');
利用上面的方法,当点击鼠标右键时,系统会进行禁止提示,如图3所示。
2.2.2 屏蔽窗口菜单栏查看方式
使用从父页面中打开子页面的方法实现子页面窗口的菜单栏和地址栏隐藏。这种方法的原理就是首先将自己网站的首页制作成index.asp形式,把首页设计成一个过渡页,然后将自己的真正主页制作成login.asp形式。当打开index.asp时将自动转向隐藏了菜单栏和地址栏的主页面。这样访问者无论如何也无法查看网页源代码了。过渡页index.asp实现代码如下:
以上两种防护措施就保证了页面的源代码无法被轻易地查看,提高了系统的安全性。
2.3 密码破解问题
用户密码被盗会给用户的正常使用造成不必要的麻烦,而现实注册中用户往往忽视密码选择的技巧,所以对于较大型的系统,设计强大的密码保护功能十分必要,而对于一般网站系统来说,攻击者并没有使用高技术破解用户密码的必要,所以只需提示用户最好按照密码设置技巧选择密码就可以基本保障账号安全。即尽可能地避开黑客字典的破解,必须在密码的选择上复杂化,采用大小写与数字相结合的方式并且不使用容易被猜测的词组,这就是常说的密码复杂化原则。
2.4 数据库信息安全问题
注册信息对于用户和网站都是很重要的资源,不能随意透露,更加不能存在安全上的隐患。网站系统中至少应有用数据库建立的一个用于存放用户信息的表,这个表中包括用户帐号字段和用户密码字段等属性,一般将用户资料直接保存在数据库的表中,并没有进行任何的保密措施,对于一些文件型数据库比如Access等,如果有人得到这个文件,岂不是所有的资料都泄露无疑?所以,为了增加安全性,有必要对数据库中的资料进行加密,这样,即使有人得到了整个数据库,如果没有解密算法,也一样不能查看到数据库中的用户信息。
在现阶段,一般认为存在两种加密方式,单向加密和双向加密。双向加密是加密算法中最常用的,它可以直接理解的明文数据加密为不可直接理解的密文数据,在需要的时候,可以使用一定的算法将这些加密以后的密文解密为原来可以理解的明文。单向加密刚好相反,只能对数据进行加密,也就是说,没有办法对加密以后的数据进行解密。在实际中的一个应用就是数据库中的用户信息加密,当用户创建一个新的帐号或者密码,信息不是直接保存到数据库,而是经过一次加密以后再保存。这样,即使这些信息被泄露,也不能立即理解这些信息的真正含义。
2.5 用户无限制注册问题
所谓用户无限制注册问题,是指攻击者利用某些自动注册程序进行快速的、大量的无用帐号注册。解决这一问题的方法为验证码技术。
2.5.1 验证码作用分析
现在在登录网站时常常需要输入验证码由数字字母和图片组成的验证码。键入图片中的字符有助于确保是普通用户而不是自动化的程序在填写注册表单。这一点很重要,因为攻击者会使用有害程序注册大量的Web服务帐号为其他的用户制造麻烦,如发送垃圾邮件或通过同时反复登录多个帐号来延缓服务的速度。在大多数情况下,自动注册程序不能识别图片中的字符。简单地说,验证码就是防止攻击者编写程序、自动注册、重复登录和暴力破解密码。
2.5.2 验证码实现流程
服务器端随机生成验证码字符串,保存在内存中,并写入图片,发送给浏览器端显示,浏览器端输入验证码图片上字符,然后提交服务器端,提交的字符和服务器端保存的该字符比较是否一致。一致就继续,否则返回提示。
在文中,尝试地使用了一种较为简便的验证码技术,设计方法为用一副布满红点的图片作为数字的遮盖,用数学函数MATH.RANDOM()随机生成一串数字,用户登录时需要将图片中的数字输入文本框进行验证。通过这样的手段达到了防止攻击者利用程序无限制注册的目的。如图4所示,代码为:
3 结语
网站系统的主要注册、登录等功能的实现成功并非整个设计的大功告成,因为系统设计的目的是使用,并非草率地完成任务,而要使自己设计的系统从一份实验室中的作业转变为实用性较强软件系统,就必须针对现行系统的不足之处进行全面而且深入的探讨,就需要对系统功能和安全漏洞分析与改进。
参考文献
[1]王庆华.ASP 3.0.北京:北京邮电大学出版社,2001:160-172.
[2]谭浩强.Access应用系统开发教程.北京:清华大学出版社,2004:31-48.
13.网站信息安全保密管理制度 篇十三
**县委保密委会印发关于转发《中国共产党中央保密委员会〈关于加强信息安全保障工作中保密管理的若干意见〉的通知》的通知后,根据通知精神,为保守国家秘密和企业商业秘密,维护国家安全利益及企业的合法权益,进一步加强保密工作的落实,防止失泄密现象发生,我公司召开信息安全保密管理工作专题会议,研究开展做好信息安全保密工作。经过全面自查、整改,使公司上下再次接受有关保密工作的各项教育,全体干部员工对信息安全保密管理工作的认识有了进一步提高,技管水平有进了进一步提高。现将工作开展情况汇报如下:
一、调整保密委员会
公司根据实际工作情况,相应调整保密委员会成员,调整后组织构成如下:(人员设置情况)委员会下设办公室,办公室主任由***兼任,办公室设在公司综合办公室。
二、根据通知,开展培训
4月13日,我公司在全体职工大会上认真贯彻传达了大保发[2005]2号通知精神,对保密工作落实不彻底的薄弱环节进行了修正,同时对职工中存在的麻痹、松懈思想进行了纠正。同时,在职能、班组长参加的两级会议上再次进行传达,要求将文件精神再次传达到公司每位职工,同时结合各部门的工作实际,在日常工作中深入贯彻各项保密制度。
机关工作人员,是接触秘密最多的群体,工作范围包括文件资料、通信、工程建设、公务活动、人员机构、计算机网络管理等等,是信息安全保密管理工作培训的重点对象。公司领导专门强调机关工作人员要不断加强保密技能教育,保密自查要细之又细,严之又严。
三、严格执行保密流程
在各部门接收到文件后,作为第一责任人向部门主管汇报,由主管审核后送交保密委员会进行秘级签订,交接收部门进行工作处理。
在制作秘密文件时,保密委员会确定秘级文件种类后,由第一责任人填写《**公司秘密事项一览表》及《**公司内部管理事项一览表》,之后按照相关工作流程做好信息安全保密工作。
在使用计算机等电子设备时,由安全技术人员做好使用前后的维护工作,做到使用前设备安全,工作人员使用中安全,工作人员使用后安全。同时对需要保存的电子文档做好保密工作。
在文件的上传下达及复印过程中,严格履行审批手续,执行文件保密管理操作流程,对文件管理员和档案员严加管理,勤于监督和检查,增强保密意识,增强保密观念,养成良好的自觉保密习惯,杜绝泄密、失密事件的发生。
14.网站信息安全保密管理制度 篇十四
(试行)
一、制订安全与保密领导责任制和岗位责任制,安全与保密工作必须专人负责。严格执行《中华人民共和国统计法》、《计划生育统计工作管理办法》和《中华人民共和国保守国家秘密法》。
二、县级人口计生部门分管领导对分管工作的计算机信息安全和保密负责,各科室科(股)长或负责人负责本科室计算机信息的安全和保密。
规划统计部门负责本辖区内育龄妇女信息系统(WIS)信息的安全和保密。网络管理人员负责网络的联通和网络的安全。WIS网络版维护人员应保证WIS系统的正常运行。未经规划统计部门允许,不得对外提供信息。
乡级计生办主任对乡级人口计生部门的计算机信息安全保密负责,WIS软件操作员负责平时育龄妇女信息系统的信息录入工作,未经计生办主任允许,不得对外提供信息。属于调查对象的私人、家庭单项调查资料,非经本人同意,不得泄露。
三、上网信息的保密管理坚持“谁上网谁负责”的原则。凡向国际互联网的站点提供或发布信息,必须经过保密审查批准。保密审批实行部门管理,各地应当根据国家保密法规,建立健全上网信息保密审批领导责任制。
涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行物理隔离。人口计生广域资源网内的所有计算机均不得上国际互联网,使用硬盘隔离卡的必须切换到外部硬盘或物理分隔成的外部区域,才能上国际互联网。
网络上的所有计算机账户均设置密码,对服务器的各种账户和密码严格保密。根据信息的安全规定和权限,确定使用人员的存取、使用权限,未经批准,不得随意更改业务数据,不得擅自对外提供信息系统中的信息,不得外借和转移专业数据信息,防止数据的泄密。通地网络传送的程序或信息,必须经过安全检测,方可使用。对涉密的电脑文件、数据要进行加密外理。对保密信息严加看管,不得遗失、泄露。
四、机房管理人员必须具有病毒防范意识,定期进行病毒的查杀,做好防病毒系统的升级工作,发现病毒要及时处理,并做好记录。未经许可,不得在各类应用服务器上安装新软件,确实工作需要安装的,要经过领导批准。
五、管理人员要及时做好数据的备份工作,保证系统发生故障时,数据能够快速、安全恢复。所有备份数据不得更改。
业务数据必须定期、完整、真实、准确地备份到不可更改的介质上,并要求做到集中和异地双备份保存。妥善保存备份介质,人口计生业务数据和WIS数据必须每月备份,信息备份长期保存,当年变更信息至少保存5年。对需要长期保存的数据光盘等,应在每年进行一次以上检查,以防止存储介质损坏造成损失。
15.水声网络信息安全保密风险分析 篇十五
现代战争需要及时获取尽可能全局的敌我信息和环境信息, 准确识别目标, 得出战场态势并进行信息共享, 及时做出有利的战略决策或战术决策, 以立于不败之地。而水下战场环境涉及多维的作战空间和复杂的电磁环境, 面临各种威胁和攻击, 所以保证其通信网络的安全性和可靠性是首要问题。由于水下环境和水下通信网络的特殊性, 现有传统无线通信网络的安全技术不能直接移植应用到水下。因此, 研究水下无线通信网络的安全风险, 研究适用于水下无线通信网络的安全技术, 使水下无线通信网络能更好地、更安全地为构建一体化的水下信息预警探测网络、有效扩大信息优势、增加侦察和捕获目标的范围和效力提供重要支撑作用。
2 水下网络特点与隐患
利用水下通信网络进行预警探测主要是建立反潜监视网络和海洋环境监视网络, 包括水面舰艇、潜艇、水下UUV、浮标、海底声呐阵等。网络传感器节点主要装备有各类综合声呐、侦察声呐, 探测声呐、噪声测距声呐、磁感应量测等设备。对于这些节点, 当采用被动探测方式时, 在对目标稳定跟踪后可获得的目标信息主要是方位;采用侦察方式或用侦察节点则可获得目标方位、载频、脉冲宽度和重复周期等数据;通过噪声测距节点可获得目标距离和方位。出于安全、隐蔽的考虑, 舰艇 (特别是潜艇) 装备的声呐设备通常采用被动方式工作, 只能得到目标的方位信息。由于海水声传播特性极其复杂, 水下无线通信网络通常包括大量在水下分布的、能源受限的、自配置和自感知的传感器节点, 在诸多方面不同于传统网络系统。军用水下无线通信网络具有如下重要特性:
(1) 各种移动模式:尽管一些传感器以超音速移动, 其他的水下节点可能是固定的。
(2) 广泛的终端类型:范围广泛的设备, 如传感器、单声道收音机和计算机, 可能是军事水下通信网络的终端。
(3) 可变的通信距离:通信距离从几米到几千千米, 无线电波在海水中选择性衰减严重, 无法满足远距离传输的要求, 因此, 水下无线通信系统多采用声波作为传输载体, 但水声通信技术存在着难以克服的传输速率低、高延时、功耗大等缺陷。
(4) 可变的通信介质特征:各种媒介类型 (如有线、光纤、空气和海水) 可台会组合起来使用。
(5) 快速改变通信地点:被广泛的水下通信网络覆盖的区域可能需要清空, 同时在一次军事行动中, 同样的网络在不同的地区内几天之内能够安装好。
(6) 敌对和嘈杂的环境:在水下战场, 对方的通信设施是高优先级目标。此外上千的炸弹爆炸、车辆和故意干扰会产生噪声。
(7) 突发流量:通信流量常常是与时间和空间相关的。长时间的无线电静默可能在特定的地区突然被极其密集的报告和通信需求打破, 然而其他的地区保于静默。
(8) 各种安全限制:非涉密数据与涉密数据在同一个通信信道里传输。
3 安全设计考虑
在水下无线通信网络环境中, 设计实现一个完善的无线网络系统时, 首先要分析网络中存在的各种安全威胁, 针对这些威胁提炼必需的安全需求, 从而设计相应的安全方案, 需要考虑的因素包括以下几个方面。
(1) 无线传输信道。水下无线通信网络节点有严格的能量限制、低容量和微型传感器节点的小尺寸。在水下无线通信网络中, 能量最小化假设具有重大意义, 超过衰变、散射、阴影、反射、衍射、多径效应和衰落影响。总的来说, 在距离d内传输信号需要的最小输出功率与dn成比例, 其中2≤n <4。因此, 有着更多跳数和更短距离的路径比那些少跳数长距离的路径, 能效更高。
(2) 网络体制。在水下无线通信网络中, 一个中心点或一个关键节点的存在使得它们在敌对环境中更加脆弱。通过分析流量可能发现一个收集节点, 并且在这些关键节点中监视或阻止所有数据流量。在水下无线通信网络中, 节点间相互依靠来传送一个包。这种多跳自组织特性也带来了额外的弱点, 使它们易受攻击。当一个恶意节点使其他节点相信它是一个中继节点时, 它可以接收它们的包, 且不转发它们。
(3) 流量特性。在水下无线通信网络中, 数据流量通常是与时间和空间相关的。网络节点覆盖范围通常是重叠的, 因此当一个事件发生时, 它在同一个区域触发多个传感器。时间和空间的相关性表明, 对于某些区域和时间段来说过度使用, 对另一些区域和时间段来说未充分利用。这给通信协议和算法设计包括安全方案带来了额外的挑战。当数据流量是相关的, 对付流量分析攻击变得更具有挑战性。
(4) 服务质量。在水下无线通信网络中, 功率是首先要考虑的, 当然这取决于应用。当网络用于军事实时应用方面时, 延时也是一个重要的限制, 通常和功率限制相冲突。对于这术的网络, 带宽需求可能会高些。水下通信网络应用中, 延时和带宽问题是一个最重要的挑战。对于声纳水下介质, 传播延迟很长时间 (平均每100m为67ms) , 容量十分有限 (5~30kbit/s) 。
(5) 容错性。水下无线通信网络中的收集节点代表了故障的关键点。数据通过这些节点中继到外部系统, 若它们不存在, 网络将变得不相连。这在网络中尤其重要, 因为如果传感器收集的数据没有到达用户, 它们不会有任何用处, 而且传感器节点中的数据只能通过收集节点访问。因此, 它们可能成为拒绝服务攻击的重要目标, 容错性方案应该考虑到这一点。
(6) 操作环境。水下无线通信网络的设计是在恶劣和难以接近的地区无人值守运行的, 这给容错方案带来了额外的挑战。此外, 传感器网络可能在敌后的对抗性环境中。在这种情况下, 它们易受物理攻击, 且更容易篡改。
(7) 能效问题。功耗是影响水下无线通信网络协议设计的最重要因素之一, 这也需要安全方面的特殊处理。水下无线通信的安全方案必须在计算和网络需求方面都是低成本的。
(8) 可扩展性。水下无线通信网络设计方案需要高度可扩展, 这也影响到了安全协议。对于水下军事通信网络来说, 可扩展需求和功率限制一起阻碍了后部署密钥分配方案的适用性, 因此, 在这种应用中, 密钥应在节点部署之前先行部署。
(9) 硬件成本。水下无线通信网络节点的存储和计算能力有限, 因此, 有着更少存储和计算需求的安全方案更适合于水下军事通信网络。
4 认证与完整性设计
在一个安全的水下无线通信网络中, 节点由网络授权, 并且只有被授权的节点才被允许使用网络资源。建立这样一个网络的一般步骤包括自举、预认证、网络安全关联、认证、行为监控和安全关联撤销。在这几部分中, 认证是最重要的, 同时也是网络安全中最基本的一项服务。其它的基本安全服务例如机密性、完整性和不可抵赖性均取决于认证。秘密信息只有在节点进行互相验证和确认后才能进行交换。
4.1 认证问题
在水下无线通信网络中, 敌手很容易篡改数据, 并把一些消息注入数据, 这样接收者应该确保接收到的数据来自一个合法的发送方, 并且没有被篡改过。数据认证允许接收方验证数据真正是由声称的发送方发送的。这样, 接收方需要确保任何决策过程用到的数据来自正确的源节点。
在双方通信情况下, 发送方用秘密密钥计算消息内容的校验和, 产生一个消息认证码 ( MAC) 。数据认证能被接收方验证, 这个接收方拥有用于产生相同消息认证码 ( MAC) 的共享密钥和源消息。然而在水下多方通信中, 比如基站广播数据给一些节点时, 就不能使用对称的数据认证。这种情况下, 可采用非对称机制如定时高效流容忍损耗认证 (TESLA) 。在这种方法中, 首先发送方用密钥产生的消息认证码 (MAC) 广播一个消息, 这里的密钥稍后将公开。当节点收到消息时, 如果它还没收到发送方透露的密钥, 将首先缓存消息。当节点收到密钥以后, 它将用密钥和缓存的消息产生消息认证码 ( MAC) 来认证此消息。TESLA的缺点是认证的初始参数应该单播给每一个接收方, 这对拥有庞大数量节点的网络来说是低效的。因此将多级密钥链用于密钥分配中, 初始参数是预设的, 并广播给接收方, 而不是单播发送, 这样做增加了拥有大量节点网络的可扩展性, 同时可抵抗重放攻击和拒绝服务攻击。
4.2 完整性问题
数据完整性的含义是接收方收到的数据和发送方发出的数据是一样的。在水下无线通信网络中, 如果一个节点被敌手捕获, 敌手可能会修改数据或把一些错误的信息注入网络里。由于节点有限的资源和节点部署在恶劣的环境中, 通信数据会丢失或被损坏, 或数据的完整性可能会受到破坏。为了保护数据完整性, 最简单的办法是使用循环冗余校验 ( CRC) ;另一个方法是使用基于加密的完整性方法, 比如在认证时使用消息认证码MAC, 这会更加安全, 但也更复杂。
机密性可以阻止信息泄漏。然而, 为了扰乱通信, 敌手仍然可能会篡改数据。比如, 一个恶意节点可能会在一个包里添加片段或操纵包中的数据。这个新数据包会被发送给原接收方。由于恶劣的通信环境, 甚至都不需要出现恶意节点, 数据就会丢失或遭到破坏。因此, 数据完整性要确保任何接收到的数据在传输过程中不会被修改。
5 结语
水下通信网络的迅速部署、自组织和容错特性使其在军事C4ISR系统中有着非常广阔的应用前景。因此需要针对水下无线通信网的威胁提炼必需的安全保密需求, 从而设计相应的安全体系架构与安全方案, 通常包括用户接入控制设计、用户身份认证方案设计、密钥协商及密钥管理方案设计等, 以满足其安全保密需求。尤其是认证与完整性问题, 是水下通信网络安全需要解决的首要问题, 这也是今后开展研究工作的重点。
摘要:水下战场环境涉及多维的作战空间和复杂的电磁环境, 研究水下无线通信网络的安全风险, 是研究适用于海战场水下无线通信网络安全保密技术及体系的前提。本文根据水下通信网络的特点, 分析了水下无线通信网络的安全保密需求, 研究了水声网络信息安全保密设计考虑要素, 并对认证与完整性问题进行了探讨, 可为研究军用水声网络安全保密体系提供借鉴参考。
关键词:水声网络,安全保密,风险
参考文献
[1]吴学智, 靳煜, 何如龙.水声网络及其军事应用研究[J].电声技术, 2012 (08) .
[2]郎为民, 杨宗凯, 吴世忠, 谭运猛.一种基于无线传感器网络的密钥管理方案[J].计算机科学, 2005 (04) .
[3]熊飞, 吴浩波, 徐启建.一种传感器网络的分布式信任模型[J].无线电工程, 2009 (08) .
[4]荆琦, 唐礼勇, 陈钟.无线传感器网络中的信任管理[J].软件学报, 2008 (07) .
16.医院网站的日常维护与安全管理 篇十六
关键词:网站;日常维护;安全管理
中图分类号:TN915.08
网站与医院形象、医院发展、医院知名度等多个方面有着千丝万缕的联系,若网站遭到木马病毒等非法软件的侵害,不仅会影响网站信息数据的准确性与安全性,同时还会给医院造成一定的负面影响,制约医院发展。基于这一危害性,医院及相关工作人员应树立网站安全管理意识,做好网站日常维护更新工作。
1 网站日常维护的基本内容及作用
1.1 网站日常维护基本内容
(1)网站日常维护。网站的日常维护主要负责对网站内容进行及时更新调整,对于网站中存在的垃圾信息应及时予以处理,从而提升网络运行速度。另外要对网络与计算机的工作状态进行定期检查,在检查中若发现系统故障应立即处理,降低网站系统故障的发生率。与此同时负责网站维护的工作人员还需要提交系统维护报告。
(2)网站故障恢复。网站中的资料应建立备份文件,这是为了预防网站系统在运行中突然发生严重故障导致整个网站系统瘫痪,建立备份可以让网站资料在最短时间内恢复,以免影响工作人员调用资料。若网站中的重要文件或数据信息被木马病毒等破坏后,维护人员应立即采取抢救措施,使文件或者数据信息得到恢复。
(3)网站安全维护。网站安全维护中包括网站数据库备份维护、网站数据库导入导出维护、网站数据库后台维护及及网站紧急恢复等内容。
(4)网站内容更新。文章撰写、图形设计、页面设计及政策发布等都属于网站内容范畴,在网站日常维护中要对这些内容进行实时更新,让患者和人们能够快速了解网站最新动态,及时掌握网站所反馈的信息意见,并做出合理化处理。
(5)网络基础维护。网站基础维护内容主要有网站空间维护、网站流量报告域名续费、网站域名维护及医院邮局维护等。
(6)网站优化。网站优化工作中涉及的范围较为比较广泛,例如医疗信息的更新、招聘信息更新、网站新闻动态更新、网站页面设计的更新制作、网站设计风格更新、网站系统维护服务等。
1.2 网站日常维护的作用
网站日常维护十分必要,对网站进行日常维护,能够及时排除网站系统故障,更新网站内容信息,使整个网站看起来更具生命力。网站日常维护对网站的作用尤为明显主要表现在三方面:
(1)吸引更多的关注。对网站进行日常维护,实现网站内容的及时更新,能够有效吸引人的关注。近年来,各类网站层出不穷,要想在众多网站中脱颖而出,应及时为网站加入新鲜,具有时代意义的新闻,同时在网站维护中不断更新服务信息及预防保健知识等,能够引发人的关注欲望,为网络大力推广服务信息提供帮助。
(2)使网站充满活力。人往往对新鲜事物或者不了解的内容充满好奇,对网站进行日常维护,实时为人们提供其所关注的新闻或内容,只有这样才能保证自身网站内容独具魅力,使整个网站充满活力。
(3)合理维护网站,能够实现网站维护与推广并进。网站维护与网站推广可以说是相辅相成的,两者具有互为连带的关系,在网站日常维护中不仅要对网站进行及时更新,同时还要对网站进行推广,这样能够为网站带来更多的访问量,从根本上提高网站的应用价值与知名度。
2 网站日常维护的方法研究
2.1 安排专人负责网站建设
要做好网站日常维护工作,应从源头做起,网站建设是网站初步工作,在网站建设中要确保后期网站维护所需要的资金与人力。近年来,我国网站业务得到了迅速发展,需要开展与管理的网站业务也随之不断增加,患者向网站提交的电子邮件、留言及多种回馈表单都需要有人及时进行处理与跟进,因此安排专人负责网站建设尤为必要,应对网站建设系统不断完善,从而满足患者不同阶段的需求,为患者提供更好的诊疗咨询服务。
2.2 实时维护与更新网站
网站建设信息内容应实时更新维护,假如说在患者在浏览医院网站时,看到的依然是上次访问内容,那么患者就会对医院的创新力及信息传达能力等因素提出质疑,从而会使患者对医院的印象大打折扣,为了避免这一状况,医院应根据自身发生状况及社会信息等相关内容,对网站进行全面维护更新,对于所要发布的信息要统一处理,经过审核后方可发布到网站上,要保证网站信息内容的及时性、客观性、统一性及实用性。
2.3 全面推广网站
在网站日常维护过程中,要想提高自身网站的知名度,得到广大患者的认可,就应该在网站日常维护工作中对网站进行积极的推广工作。网站推广手段不具有唯一性,搜索引擎注册、论坛留言、邮件宣传、友情链接、新闻组、BBS站点发布信息等等,这些都属于网站推广。另外还可以通过网上与网下相结合的方式,使其准确掌握医院发展最新动态。
3 网站安全管理措施
3.1 使用防火墙,强化网站服务器的安全性能
防火墙可以说是计算机与外界进行通讯的通道,对网站安全运行具有一定的保护作用。将防火墙应用到网站中,那么计算机所流入流出的信息数据需要经过防火墙,此时防火墙会将一些带有威胁性或者病毒的文件或者软件过滤掉,以免其影响文件或者软件整体的安全性,在一定程度上防火墙能够实现网站的安全控制。入侵检测产品是防火墙产品之一,在网站安全管理中应用较为广泛,利用它能够实现度网站中非法行为的实时监控。一般情况下,防火墙默认的安全选项都是拒绝所有流量,因此若在网站中使用防火墙,需要将一些必要端口打开,使用户通过验证之后能够顺利访问网站系统,由此可见,防火墙配置十分重要。现今,有部分医院采取的硬件防火墙,这种防火墙安全性能一般,其成本较低。选择防火墙配置时应以自身医院的网站安全级别要求及自身医院的资金投入状况为依据,确保防火墙配置符合医院网站要求,使防火墙辅助网站安全管理人员共同管理网站。
3.2 强化网站自身安全管理
在网站安全管理中仅仅依靠防火墙等安全设置是不够的,还需要强化网站自身安全管理。首先应规范网站安全管理,以免网站数据库受损而影响整个网站业务活动,并且不能够随意更改网站数据库中的用户名、使用权限及密码等内容。另外还需要间将IIS服务器设置成独立的服务器,定时进行服务器重启操作,重启时要对服务器进行仔细检查,确保服务器各项服务恢复正常及安全运行。其次,应定期对服务器中的信息数据进行备份设置,以免网站系统遭到破坏影响信息数据的安全性、真实性与完整性,达到网站安全管理的目的。
4 结束语
患者通过网站可以了解医院内部信息、最新的医疗咨询、预防保健知识等服务信息。从某种角度来看,网站设计及内容发布可以突出医院的形象,所以网站在医院发展中扮演者重要角色,医院应安排专业人员进行网站建设、网站维护与更新及网站安全管理等工作,保证网站系统的安全与稳定运行,为患者提供实时准确的信息内容。
参考文献:
[1]龚建明.浅谈网站的日常维护与安全管理[J].计算机光盘软件与应用,2011(11):139.
[2]朱传玲.中小企业网站的管理与维护[J].安徽科技,2012(05):147-148.
[3]杨晔.谈网站的安全性管理[J].电脑与电信,2010(32):265-268.
[4]王智强.浅谈网站的日常维护与安全管理[J].同煤科技,2010(03):72-73.
17.网站信息安全责任制度 篇十七
一、领导机构
按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”和属地化管理的原则,成立网络信息安全领导小组。由 同志担任组长,同志为副组长,成员为 主要负责人,负责网站有关信息发布的组织、审查、监督和检查。
二、工作职责
(一)办公室负责有关信息发布的组织、监督和检查,对信息工作实行目标管理考核。
(二)校网络中心对信息的发布、平台的管理、维护以及技术支持。同时管理、维护以及信息采编、上传、发布和更新。
(三)各教研室负责承办网站相应栏目:在网站上设立教研室相应栏目;维护栏目,并确定专人负责;开展信息的收集、整理和发布上传工作。
(四)各教研室负责相应栏目的内容更新,并积极主动向网站提供本单位和本地区有关信息。
三、保密安全
要严格执行信息安全“五禁止”规定。
(一)禁止将涉密信息系统接入国际互联网等公共信息网络。
(二)禁止在涉密计算机之间交叉使用U盘等移动存储设备。
(三)禁止在没有防护措施的情况下将公共信息网络上的数据拷贝到涉密信息系统。
(四)禁止涉密计算机、涉密移动存储设备与非涉密计算机、非涉密移动存储设备混用。
(五)禁止使用具有无线互联功能的设备处理涉密信息。
四、信息审核
信息发布坚持谁发布谁负责的原则,要求准确、严肃、讲究时效,确保所发布信息内容的准确性和真实性,严禁发布危害国家安全、影响社会稳定和涉及党和国家秘密的信息。
各单位、各部门信息经本单位、本部门负责人审核后发布。重大信息、敏感信息须报分管领导审核,上报主要领导审定后才能发布。
五、责任追究
凡有以下情况的,给予通报批评或追究相应责任:
一是发布虚假信息。
二是违反规定出现失密、泄密现象。
三是未经审核擅自发布信息。
18.保密管理和信息安全知识考试 篇十八
一、填空题(20分)
1. 年 月 日新修订的《中华人民共和国保守国家秘密法》经第十一届全国人民代表大会常务委员会第十四次会议审议通过,中华人民共和国主席胡锦涛签发主席令予以公布,自2010年10月1日起施行。
2.国家秘密是指关系国家的 和,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。
3.保守国家秘密的工作,实行、、的方针,既确保国家秘密安全,又便于。4.机关、单位应当实行,健全保密管理制度,完善保密防护措施,开展保密宣传教育,加强保密检查。
5.各级国家机关、单位对所产生的国家秘密事项,应当按照有关的 确定密级。
6.机关、单位 为定密责任人,负责本机关、单位的国家秘密确定、变更和解除工作。机关、单位确定、变更和解除本机关、单位的国家秘密,应当由 提出具体意见,经 审核批准。
7.中央国家机关、省级机关及其授权的机关、单位可以确定、、国家秘密;设区的市、自治州一级的机关及其授权的机关、单位可以确定 国家秘密。
8.秘密文件、资料汇编本,应当按所汇编秘密文件、资料的 和 | 做出密级标志和进行保密管理。
9.摘录、引用国家秘密内容的笔记本和其他形式的涉密载体,要做出与原件一致的 标志和进行同样措施的。10.保守国家秘密是我国公民的一项。
11.涉密人员是指因工作需要,接触、知悉、管理和掌握 的人员。12.涉密人员上岗前要经过,签定保密承诺书,严格遵守保密规章制度,不得以任何方式泄露国家秘密。13.涉密人员脱密期届满的,对其知悉的国家秘密仍负有。14.涉密人员出境应当经过有关部门批准,有关机关认为涉密人员出境将对国家安全造成危害或者 的,不得批准出境。15.任用、聘用涉密人员应当按照有关规定进行。
16.涉密人员在脱密期内,应当按照规定履行保密义务,不得违反规定就业,不得以 任何方式。
17.“绝密”是 的国家秘密,泄露会使国家的安全和利益遭受 的损害。
18.国家秘密的密级、保密期限和知悉范围的变更,由、决定,也可以由其上级机关决定。
19.不准在私人交往和通信中泄露。
20.不准在普通手机通话和发送短信中涉及。
二、判断题(对下列各题,正确的打“√”,错误的打“×”)(30分)
1.国家秘密是指关系国家的安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。()
2.国家秘密的密级分为绝密、机密、秘密三个等级。()
3.保守国家秘密工作的方针是积极防范、重点突出、依法管理,既确保国家秘密安全又便利信息资源合理利用。()
4.“业务工作谁主管,保密工作谁负责”是保密工作的重要原则。()5.绝密级国家秘密是最重要的国家秘密,泄露会使国家的安全和利益遭受特别严重的损害。()
6.机密级国家秘密是重要的国家秘密,泄露会使国家的安全和利益遭受严重的损害。()
7.秘密级国家秘密是一般的国家秘密,泄露会使国家的安全和利益遭受损害。()
8.保守国家秘密是我国公民的一项基本义务。()
9.涉密岗位根据涉及国家秘密的程度分为核心(绝密级)、重要(机密级)和一般(秘密级)三个等级。()10.核心涉密岗位是指产生、管理、掌握或者经常处理绝密级或较多机密级事项的工作岗位。()
11.涉密人员应当具有中华人民共和国国籍。()
12.涉密人员上岗前要经过审查和批准,并接受保密教育培训。()13.涉密人员在岗期间,保密工作机构应当会同人事部门、涉密人员所在部门有针对性地对其进行保密教育和检查、考核,对严重违反保密规定不适合继续在涉密岗位工作的应当及时调离涉密岗位。()
14.涉密人员与境外人员通婚或者接受境外机构、组织资助的应当向单位报告。()
15.涉密人员本人或者直系亲属获得境外永久居留权以及取得外国国籍的应当向单位报告。()
16.涉密人员在脱密期内可以因私出境。()
17.涉密人员脱密期满后,可以不再履行保密责任和义务。()
18.涉密人员脱密期满后,对所知悉的国家秘密仍然要承担保密责任和义务。()
19.涉密单位应对聘用的保安和临时工进行保密教育培训。()20.各级国家机关、单位对所产生的国家秘密事项,应当按照国家秘密及其密级具体范围的规定及时确定密级。()
21.不准在私人交往和通信中泄露国家秘密。()
22.配偶、子女和本人都是涉密人员,互相谈涉密事项没有关系。()23.定密工作是指对机关、单位业务活动中所产生的国家秘密事项及时、准确确定其密级、保密期限、知悉范围,并对国家秘密载体作出标志,及时通知应当知悉的机关、单位和人员,并按规定进行全过程管理的活动。()
24.一个人在涉密工作岗位上工作年限越长,知道国家秘密就越多,因此,应当 根据个人在涉密岗位的工作年限确定涉密等级。()
25.保密范围定得越宽,密级越高,越利于国家秘密的安全。()26.国家秘密的标志为★,★前标密级,★后标保密期限。()27.纸质载体的密件,其密级和保密期限应在首页(或者封页)标明。()28.文件、资料汇编中有密件的,应当对各独立密件的密级和保密期限作出标志,并在封面或者首页以其中的最低密级和最短保密期限作出标志。()29.国家秘密事项的密级和保密期限一经确定,就不能改变。()
30.国家秘密的保密期限,除有特殊规定外,绝密级事项不超过20年,机密级事项不超过10年,秘密级事项不超过5年。()
三、单项选择题(下列各项中只有一个正确答案)(20分)1.国家秘密是关系国家安全和利益,(),在一定时间内只限一定范围的人员知悉的事项。
A.根据实际需要确定 B.依照法定程序确定 C.按照领导的意图确定
2.一切国家机关、武装力量、政党、社会团体、()都有保守国家秘密的义务。
A.国家公务员 B.共产党员
C.企业事业单位和公民
3.保守国家秘密的工作实行积极防范、突出重点,依法管理,()的方针。A.确保国家秘密安全 B.便利各项工作的开展
C.既确保国家秘密安全又便利信息资源合理利用
4.各级机关、单位对产生的国家秘密事项,应当按照()及时确定密级。A.保密法实施办法 B.保密规章制度
C.国家秘密及其密级具体范围的规定
5.一份文件为机密级,保密期限是10年,应当标注为()。A.机密10年 B.机密★ C.机密★10年
6.某文件标注“绝密★”,表示该文件保密期限为()。A.30年 B.20年 C.长期
7.国家秘密的保密期限届满的,自行()。A.变更 B.公开 C.解密
8.重要涉密部门的人员选配,应当坚持()的原则,并定期进行考核,不适合的应及时调整。A.谁选配谁负责 B.先审后训 C.先选后训
9.涉密人员离岗、离职前,应当将所保管和使用的涉密载体全部清退,并()。A.登记销毁 B.订卷归档 C.办理移交手续
10.复制属于国家秘密的文件、资料或摘录、引用、汇编属于国家秘密内容形成的涉密载体,()原件的密级、保密期限和知悉范围。A.不得擅自改变 B.可以根据情况改变 C.可以改变
四、多项选择题(下列各题中有两个或者两个以上的正确答案)(30分)
1.涉密人员的责任是()
A.熟悉本职岗位的保密要求 B.按规定履行保密工作责任 C.熟知保密法律法规和相关知识技能 D.做好涉密载体管理工作
2.保密委员会或保密工作领导小组的职责是()
A.对保密工作负领导责任
B.为保密工作机构履行职责提供人力、财力、物力等条件保障
C.对保密工作进行研究、部署和总结 D.及时解决保密工作中的重大问题 3.单位保密委员会组成人员是()A.单位法定代表人 B.主要负责人 C.单位负责人
D.有关部门的主要负责人
4.下列不属于专职保密管理人员的是()
A.机要人员 B.档案管理人员 C.密码通信人员 D.兼职保密员
5.保密监督管理的内容包括()
A.涉密人员管理 B.涉密载体管理 C.涉密会议管理 D.定密管理
6.应当确定为核心涉密人员的条件是()
A.了解和掌握涉及绝密级国家秘密的程度深 B.了解和掌握涉及绝密级国家秘密的事项多 C.在涉及绝密级国家秘密岗位上工作的时间长 D.在涉及绝密级国家秘密的单位中负责后勤保障的领导 7.有关涉密人员管理正确的说法是()
A.涉密人员上岗前应当接受单位组织的保密资格审查和培训
B.单位应当与涉密人员签订保密承诺书 C.对在岗涉密人员每年都应当进行保密教育培训 D.涉密人员严重违反保密规定的应当调离涉密岗位 8.下列有关涉密载体管理错误的说法是()
A.涉密载体都应当存放在密码保险柜中
B.对体积较大,不便于存放在保险柜中的涉密产品,其保管场所应当具备相应的保密防护措施
C.涉密人员岗位调整以后,仍然在本单位其他涉密岗位工作的不需要清退所保管和使用的国家秘密载体
D.涉密人员辞职时应当在办理完辞职手续后,清退所有保管和使用过的国家秘密载体
9.不得在非涉密计算机中处理和存储的信息有()
A.涉密的文件 B.个人隐私文件 C.涉密的图纸 D.已解密的图纸
10.为防止涉密计算机在使用时被他人窥视,应()
A.避免显示屏幕正对门、窗或透明过道 B.采取安全隔离措施
C.设置屏幕保护,确保离开时屏幕处于关闭状态 D.与非涉密设备保持安全距离
11.在口令字设置中,属于易被破解口令字的有()
A.使用计算机的用户名(账号)作为口令字 B.使用自己或亲友的生日、电话号码作为口令字 C.使用常用英文单词作为口令字
D.使用数字、英文字母和特殊字符的混合组合
12.为预防计算机病毒的侵入与破坏,以下做法中正确的有()
A.使用正版软件 B.定期备份数据
C.设置登录口令 D.安装防病毒软件
13.从互联网拷贝信息至涉密计算机,下列哪些操作不符合保密要求()
A.直接用涉密U盘从互联网拷贝至涉密计算机 B.用非涉密U盘从互联网拷贝至涉密计算机
C.在中间机上采用刻录只读光盘方式,拷贝至涉密计算机
D.在中间机上使用写保护功能U盘拷贝至涉密计算机,该U盘在涉密计算机上使用时处于只读状态 14.涉密计算机禁止使用具有无线功能的外部设备,下列哪些属于具有无线功能的外部设备()A.无线键盘 B.无线鼠标 C.普通U盘
D.USB蓝牙适配器 E.USB无线网卡 F.无线耳机
15.当本单位需要将涉密文件与其他单位进行交换时,下列交换方式中不符合保密要求的是()
A.如果外单位带涉密U盘来,在专用的供涉密文件交换的涉密转换计算机上进行杀毒处理,再将涉密文件拷至对方U盘
B.在专用的供涉密文件交换的涉密转换计算机上采取刻录光盘的方式 C.在专用的供涉密文件交换的涉密转换计算机上将文件拷贝至本单位专供信息交换用的涉密U盘
【网站信息安全保密管理制度】推荐阅读:
网站信息安全责任制度02-22
网站信息安全保证书08-14
网站系统信息安全等级保护建设整改方案07-31
信息系统安全和网站对标整改工作汇报11-25
就业信息及相关网站01-17
赤峰信息村村通网站合同08-14
分类信息网站商业计划01-06
中国信息大学网站总体策划书11-24
网站信息销售代理协议书02-14
地方生活信息服务网站运营计划方案11-18