信息安全策略保密

2024-08-06

信息安全策略保密(11篇)

1.信息安全策略保密 篇一

信息安全保密协议

甲方(披露方):

地址:

法定代表人/负责人:

乙方(接受方):

地址:

法定代表人/负责人:

鉴于:

1、甲乙双方(“双方”)正在进行[ *****类应用服务合作]项目(“项目”)。

2、在项目合作过程中,甲方已经或将要向乙方提供或披露(或乙方可能获悉)甲方的某些秘密性、专有性或保密性信息(“保密信息”),且该保密信息属甲方合法所有或掌握。

3、双方均希望对本协议所述保密信息予以有效保护。

经双方协商,达成本协议。

信息未经授权的披露。

2.3乙方保证对保密信息按本协议约定予以保密,并至少采取不低于对乙方保密信息的保护手段进行保密。

2.4乙方保证仅为执行项目的目的向乙方确有知悉必要的雇员、股东、董事、顾问和/或咨询人员披露保密信息,且对保密信息的披露及利用符合甲方的利益。在乙方上述人员知悉该保密信息前,应向其说明保密信息的保密性及其应承担的义务,保证上述人员同意接受本协议条款的约束,并对上述人员的保密行为进行有效的监督管理。乙方如发现保密信息泄露,应采取有效措施防止泄密进一步扩大,并及时告知甲方。

2.5项目终止后,乙方应及时将承载保密信息的介质原件及复制件全部返还甲方,最迟不得超过甲方发出交还通知之日起三十日。

2.6上述限制条款不适用于以下情况:

2.6.1在依本协议披露之时,该保密信息已以合法方式属乙方所有或由乙方知悉。

2.6.2在依本协议披露之时,该保密信息已经公开或能从公开领域获得。

2.6.3保密信息是乙方从没有违反对甲方保密或不披露义务的人合法取得的。

2.6.4该保密信息是乙方或其关联或附属公司独立开发,而且未从甲方或其关联或附属公司披露或提供的信息中获益。

2.6.5经甲方书面同意对外披露,但仅限于甲方书面同意的范围、方式且遵循书面同意中规定的其他前提条件。

2.6.6乙方应法律、行政法规要求披露的信息(通过口头提问、询问、要求资料或文件、传唤、民事或刑事调查或其他程序披露保密信息)。

2.7如果乙方拟以本协议第2.6.5条、第2.6.6条为依据作出披露的,应至少于实际作出披露行为前五个工作日通知甲方,说明其拟根据上述约定披露有关的保密信息,并就披露对象和披露范围、方式等作出说明。

2.8甲方不保证保密信息的精确性与合理性。

2.9如果乙方得知第三方获得任何保密信息,则应及时书面通知甲方,并向甲方提供掌握的所有相关情况。

2.10双方一致认同,对于本协议签订及履行过程中、项目的商谈及

合作过程中所接触到的甲方关联公司的保密信息,乙方并应依据本协议约定履行保密义务、承担责任。

第三条 违约责任

乙方未履行或未完全履行本协议项下的条款均构成违约乙方应赔偿因此而给甲方造成的一切损失,包括但不限于甲方因调查违约行为而支付的合理费用。

第四条 甲方在履行本协议的任何条款时,如有放松、放弃或迟延,均不构成对甲方在本协议下任何权利的不利影响或限制。如果甲方对某一违约行为免予追究,并不构成放弃追究乙方随后或持续违约行为的权利。

第五条 法律适用和争议解决

5.1本协议适用中华人民共和国法律。

5.2所有因本协议引起的或与本协议有关的任何争议将通过双方友好协商解决。如果双方不能通过友好协商解决争议,则任何一方均可采取下述争议解决方式:

(1)将该争议提交*******仲裁委员会,按照申请仲裁时该会的仲裁规则进行仲裁。仲裁在******进行。仲裁语言为中文。仲裁裁决是终局的,对双方均有约束力。仲裁费用由败诉方承担。

5.3仲裁进行过程中,双方将继续履行本协议未涉仲裁的其它部分。

第六条 协议生效及其他

6.1本协议自双方于年月日签字盖章之日起生效。有效期为双发合作协议的有效期限或提供平台维护、技术支撑的有效期限。本协议签署前,甲方已经向乙方提供或披露的本协议范围内的保密信息也受本协议约束,此时本协议于该等保密信息提供或披露时发生效力。

6.2本协议一式肆份,甲乙双方各执贰份,具有同等法律效力。

6.3如果本协议的任何条款在任何时候变成不合法、无效或不可强制执行而不从根本上影响本协议的效力时,本协议的其它条款不受影响。

6.4本协议各条标题仅为提示之用,应以条文内容确定各方的权利义务。

6.5本协议替代此前双方所有关于本协议事项的口头或书面的纪要、备忘录、合同和协议。

6.6 对协议内容做出的任何修改和补充应为书面形式,由双方签字盖章后成为协议不可分割的部分。

6.7双方因履行本协议或与本协议有关的一切通知都必须按照本协议中的地址,以书面信函形式或双方确认的传真或类似的通讯方式进行。采用信函方式的应使用挂号信或者具有良好信誉的特快专递送达。如使用传真或类似的通讯方式,通知日期即为通讯发出日期,如使用挂号信件或特快专递,通知日期即为邮件寄出日期并以邮戳为准。

甲方:

地址:

联系人:

电话:

传真:

邮编:

乙方:

地址:

联系人:

电话:

传真:

邮编:

甲方:

法定代表人

或授权代表(签字):

年月日

乙方:

法定代表人

或授权代表(签字):

年月日

2.信息安全策略保密 篇二

信息安全保密存在的问题

1. 制度不完善

信息安全保密管理制度应包括:涉密计算机和非涉密计算机保密管理制度;涉密移动存储介质和非涉密移动存储介质保密管理制度;涉密网络保密管理制度;计算机维修、更换、报废保密管理制度;在公共信息网络发布信息保密管理制度等。有些部门没有制定相关的信息安全保密制度, 或是制度不完善。同时, 有些信息定密不准确, 没有按相关的规定要求随意定密级。

2. 管理存在薄弱环节

随意安装软件, 保密安全建设存在重硬件建设, 轻软件管理的现象, 网络安全未形成多部门联动机制。对技术人员缺乏全方位的继续教育培训, 现有信息安全人员以技术人员为主, 平常工作主要是日常维护, 无暇从总体角度把握信息安全建设的动态, 不能做到防患于未然。

3.信息安全保密意识淡薄

理论宣传过多, 缺乏具体生动的演示, 正面宣传过多, 反面警示教育过少。造成用户对安全规定知其然不知其所以然, 认为信息安全保密是保密部门和技术部门的事情, 与自己无关, 思想上容易麻痹大意。涉密与非涉密U盘混用, 没有采取主动防御措施防止泄密事件的发生。部分工作人员存在泄密离自己很远的错误认识, 将安全风险抛在脑后, 忘记“安全来自长期警惕、事故源于瞬间麻痹”的警示。

4.涉密和非涉密计算机使用不规范

涉密计算机与非涉密计算机混放, 涉密计算机没有专用的放置场所, 没有专人管理与负责, 没有设置密码, 处于开放状态。涉密计算机没有按要求安装涉密计算机违规上互联风监管软件, 或违规上互联网及其它公共信息网, 或使用非涉密移动存储介质, 或安装无线网卡等无线设备。非涉密计算机存储、处理涉密信息或曾经存储、处理过涉密信息, 使用过涉密移动存储介质等现象突出。

5.计算机感染病毒

操作人员病毒防护意识淡薄, 没有及时安装系统安全漏洞补丁程序, 没有及时升级防病毒软件, 违规使用U盘等移动介质, 接收资料没有先进行病毒查杀处理。计算机操作人员擅自安装、运行、查看、拷贝与工作无关的、从互联网下载的携带病毒的软件、文件资料、图片等, 导致计算机感染病毒。

信息安全保密措施

单一的保密措施很难保证信息的安全, 必须综合运用行政的、管理的、技术的手段, 实现对信息的保护, 以达到信息安全保密的目的。

1政策制度

有效的政策制度是保障信息安全的重要基础。

(1) 政策方面

政策是政府管理职能的体现, 包括政策的制订和执行两方面。信息安全需要政府综合运用各种手段, 采取切实有效的对策、措施, 不断提高防范和保障信息安全能力。

(2) 法律制度方面

法律制度的建立是依法行政所必需的, 也是政府行使职能的基础。信息安全保密已成为国家安全的一个重要组成部分和非传统安全因素的一个重要方面, 必须强化信息安全意识, 加快健全相关法律法规, 切实做到有法可依, 为保障信息安全提供良好的法律环境。

2信息安全措施

人是信息安全中最重要的一个环节, 同时也是最薄弱的一个环节。信息安全不是纯技术的问题, 要想保证信息的安全, 应当根据实际使用的要求, 制定合适的安全措施。

(1) 领导作用

要保证信息的安全, 提高各级领导的信息安全与保密素质尤为重要。各级领导干部要把做好信息安全保密工作作为自己的一项重要职责, 自觉地执行各项制度和规定, 提高警惕, 加强防范, 做保守秘密的模范。加强调查研究, 注意总结经验, 指导帮助保密工作部门增强工作的科学性、预见性, 把保密工作同经常性的各项工作结合起来, 形成齐抓共管、综合治理的局面。

(2) 全民信息安全教育

开展全民性的信息安全教育, 增强国民的信息安全意识, 提高国民信息安全的自觉性。做到任何情况下, 特别是在当前窃密与反窃密斗争日益尖锐复杂的形势下, 确保党和国家秘密的安全。利用舆论媒体宣传信息安全的重要性, 组织学习信息安全与保密工作的法规, 普及信息防护的常识, 介绍信息防护的技术。只要全民的信息安全意识增强了, 国家的信息安全才会有充分的保证。

(3) 涉密工作人员培训

涉密工作人员是秘密信息安全的重要管理者, 担负着秘密信息的收发和保密责任, 抓好涉密工作人员的队伍建设, 提高其素质, 是做好信息安全工作的关键。要提高涉密工作人员素质, 除了提高思想认识、培养科学严谨的作风、严守法纪和各项规章制度外, 还要进行高技术条件下信息安全保密的专业训练, 不断强化保密观念和保密意识, 使其掌握用现代技术管理信息的知识, 掌握排除各种隐患的本领, 以及掌握一定水平的反窃密技术, 提高规避风险的能力, 对可能造成失泄密的现象有较高的判断力和洞察力。

(4) 加强制度建设

制订信息安全各项规章制度, 完善和落实《涉密和非涉密计算机保密管理制度》、《涉密和非涉密移动存储介质保密管理制度》、《涉密网络保密管理制度》、《涉密计算机维修、更换、报废保密管理制度》、《建立在公共信息网络上发布信息保密管理制度》等规章制度, 使信息保密工作有章可循, 有法可依, 从制度上消除泄密隐患。做好定密工作, 严格按定密规程操作, 确保定密工作的严密、规范。严格执行涉密载体的保存和销毁制度, 在做好纸质涉密载体管理的同时, 重点加强移动硬盘、U盘等各类移动存储介质的使用、管理和销毁工作。

(5) 加强涉密计算机和涉密存储介质的管理

涉密计算机确定专人进行操作, 确定专人管理, 禁止任何非涉密移动介质插入USB接口, 保证涉密计算机的安全、保密和高效。规定涉密计算机不准上互联网以防泄密, 确保涉密计算机信息的安全。严禁在连接互联网的计算机上使用涉密存储介质, 严禁在非涉密计算机处理、保存各类涉密文件和其它任何涉密信息。对涉密文件的起草、制作、分发、传递、复制、保存和销毁过程, 进行严格规范管理, 实行全过程监管。

(6) 加大监督检查力度

坚持保密工作的检查制度, 采取全面检查与重点检查相结合、综合检查与专项检查相结合、定期检查与随机检查相结合的方式对相关部门 (单位) 的保密工作进行抽查, 及时发现和解决苗头性、倾向性问题, 加强对保密工作的长效管理, 督促、指导保密工作人员遵循相关制度。

信息安全保密技术

1.物理保护

加强信息保密场所硬件建设, 安排专用房间, 配备专用桌柜, 安装防盗门窗和报警装置, 实行专人专管, 做到设施配套、万无一失。防止信息在空间的扩散, 避免信息通过电磁辐射使信息被截获而泄密, 重要部门的涉密计算机机房采用电磁屏蔽措施。涉及机密以上信息的信息系统, 可根据辐射强度划定警戒区域, 并将设备置于建筑物的最内层, 禁止无关人员进入该区域。

2.计算机病毒的防治

要建立一套快速的预警机制, 能够在最短的时间内发现并捕获病毒, 提供计算机病毒的防治方案。制定严格的病毒防治技术规范, 树立牢固的计算机病毒的预防思想, 一旦遭受病毒攻击, 应采取隔离措施。涉密计算机必须安装经过国家安全保密部门许可的查、杀病毒软件, 坚持定期对计算机系统进行计算机病毒检测。定期更新防病毒定义文件和引擎, 及时打补丁, 确保病毒样本始终处于最新版本。对新软件和要做传递的磁盘坚持先杀毒后使用的原则, 确保计算机安全运行。

3. 访问控制技术

实施访问控制是维护计算机安全运行、保护系统信息的重要技术手段, 它包括网络的访问控制技术、主机的访问控制技术、微型机的访问控制技术和文件的访问控制技术。访问控制技术可以起到保护存储在计算机中信息的保密性和机密性, 维护机器内信息的完整性, 减少病毒感染机会等作用。

4. 强制配备保密安全U盘

保密安全U盘安全防护性强, 使用方便, 能有效应对高技术条件下的保密工作需求。保密安全U盘包括有数据交换盘、保密安全盘、数据导入盘和数据导出盘。

(1) 数据交换盘

根据涉密环境和非涉密环境自动切换工作模式, 实现两环境之间单向文件交换。一次性全部导出文件, 杜绝可能的人为进程终止和反向导入。文件全部导出后, 全盘擦除文件痕迹, 杜绝非法获取文件行为。

(2) 保密安全盘

非经授权涉密计算机无法读取任何信息, 即使插入安全盘也毫无反应。安全盘能自动切断网络, 并记录当前计算机信息向告警中心告警。能够有效地防止病毒, 木马主动传播。

(3) 数据导入盘

适用于非涉密环境到涉密环境的文件单向导入, 划分只读保护CDROM区, 一次性全部导出文件, 文件全部导出后, 全盘擦除文件痕迹, 杜绝非法获取文件行为。

(4) 数据导出盘

从指定的涉密计算机内单向导出数据到非涉密计算机, 划分只读保护的CDROM区, 登录后关闭某些系统程序。利用数据加密对涉密文件进行保护。如果非涉密互联网环境使用, 主动报警并自动切断网络。

保密安全U盘可以有效解决移动存储介质交叉使用、公私混用等重大泄密隐患, 提高保密技术防护能力, 确保国家秘密安全。

结束语

信息安全防范工作是一项综合性、系统性较强的工程, 要求严格按照《保密法》要求, 做到有领导管、有专人抓。要坚持把有关信息安全保密问题列入重要议事日程, 完善各项政策制度, 健全信息安全保密措施, 加强信息安全保密技术保证和检查指导, 不断提高保密工作水平和质量, 使信息安全保密工作充分发挥“保安全、促发展”的作用。

摘要:信息安全保密是国家工作的重要组成部分, 必须提高保密意识, 加强保密管理, 保障我国社会主义现代化建设的顺利发展。论文分析了信息安全保密存在的问题, 然后从信息安全保密措施和技术两方面论述如何保证信息安全, 使信息安全保密工作充分发挥“保安全、促发展”的作用。

关键词:信息安全,安全保密,保密措施,保密技术

参考文献

[1]国家保密法。

[2]中华人民共和国国家安全法。

[3]中华人民共和国保守国家秘密法实施办法。

3.信息安全保密课程教学浅谈 篇三

关键词 信息安全保密 课程教学 军事教育

中图分类号:G64 文献标识码:A

0概述

《信息安全保密》课程是军事教育中的一项重要内容,掌握基本的信息安全保密知识对自身的安全乃至国家的安全都起到至关重要的作用。在当代信息化背景下,信息的内涵与外延都发生了很大的变化。如何使学员认识到保密的深刻含义,确保在今后的工作与学习中做好信息安全保密工作,是本门课程教学的重中之重。而如何在有限的时间内,组织好本课程的教学活动,却是对教员的最大考验。下面笔者结合自身的教学体验谈一下对本课程教学的思考。

1课程特点

一是该课程教学内容涉及通信学、计算机科学、网络、法律等多个学科,可以说是一门综合性很强的交叉学科。作为一门面向各专业、所有培养类型及层次开设的课程,虽然涉及的知识内容不深,但要补充的背景知识非常多。二是保密和窃密从来都是此消彼长的,该课程涉及的知识,每几个月甚至几天都会有新的技术和手段出现,课堂教学内容也必须做相应的更新。以上特点要求授课内容知识点全面,与时俱进,相关技术点必须紧跟时代发展潮流,要具有很强的生活贴切性。

2学员特征分析

学员信息安全保密意识淡薄,保密技能较差。主要表现为:一是学员来自社会的各个阶层,受教育情况和认知特点各有不同,学习自信心不足。二是学员长期长活在一个相对封闭的培训环境,对于一些高科技产品例如手机、移动存储介质、计算机及网络等常用工具的安全隐患知之甚少,信息安全保密知识欠缺,技能较差,对于信息安全保密技术防范的衣服、措施更是鲜有涉及。三是学习方式僵化,大部分学员学习思维方式基本还停留在“被填灌式”阶段,思维的主动性、灵活性较差。常规保密法规不了解,也不关心。对信息安全尚不具备做事时,依照保密规章制度,进行信息安全保密方面的自我管理能力。

3课程教学思维的转变

思想是行动的指南,提高信息化条件下安全保密工作的质量和效益,最根本的还在于进一步解放思想,更新观念。首先,课程教学中要坚持“管”与“疏”相结合。长期以来,教员的教学理念受到了传统思维的深刻影响,以知识传授为主的传统教学占据着统治地位,因此要克服“单纯封堵”的被动思维,坚持“管”与“疏”相结合。其次,课程教学中要坚持“技”与“管”相结合。做好“信息安全保密”课程的教学,必须一面强调技术防范,一面强调管理教育,忽视了任何一面都将顾此失彼,劳而无功。第三,课程教学中要坚持“用”与“研”相结合。当前各级保密工作普遍存在着科技含量不高、发现隐患和漏洞能力较弱的问题。要在引进先进技术的同时搞好科研开发,不断研制开发有自主知识产权的保密技术,掌握信息安全的主动权。第四,课程教学中要坚持“保”与“放”相结合。保密工作同其他各项工作是相辅相成的,“只强调方便工作而忽视安全保密”或“过分强调安全保密而影响工作”都是不对的。教学过程中,应让学生思考如何更好地把课堂学到的知识运用到日常或今后的学习、部队工作中。第五,课程教学中要坚持“分”与“统”相结合。保密工作是一个大系统,没有各自的利益,只有共同的责任。只要有利于提高保密工作的质量与效益,不管软件系统、设施设备是哪个单位、哪个部门研制的,生产的各单位、各部门都要坚决地“拿来”。各级保密委员会要有效整合保密、保卫、通信、机要等部门人员的力量,形成抓保密工作的合力。

4关于课程教学形式的思考

本课程教材是全军统一配发的,根据教学对象和教学硬环境的实际情况,笔者及课程组考虑全课程安排85%课堂讲授和实验演示,15%为学生综合讨论。从重视基础内容教学和加强综合研讨实践环节两个方面,运用掌握的现代教育技术,充分利用多媒体等辅助教学手段开展教学。在调动学生的积极性和参与感的同时,有效的活跃课堂气氛和提高教学效果。

(1)基础内容教学方面。针对教材的前四章,主要采取教员讲授的方式。由于很多内容学员是头一次接触,例如窃听器内容的介绍等,所以学员就很感兴趣。用很多古今中外的实例充实课堂教学,让学员从心里感到课上的知识有很强的生活背景且源于生活,学的知识很实用。对于通信系统的安全隐患,通过课堂上讲授现存电话网与无线通信网存在的漏洞和隐患,配上对口的视频资料,使学员真正体会到,哪些是有必要防范的,哪些是早就应该予以重视的。第四章网络安全也是学员比较感兴趣的焦点。课程内容从技术角度分析计算机终端和网络传输的安全问题,许多学员对这个领域具有很浓厚的兴趣,也纷纷意识到自己知识的不足。在未来的工作学习生活中,可以让他们更加关注计算机的安全使用、关注自己上网的安全,也真正起到增强安全保密意识,加强和提升信息安全保密管理的能力。

(2)综合研讨实践环节方面。考虑到学员对第五、六章的内容不大感兴趣,笔者所在课程组研究决定这部分以学生自学、讨论的方式展开教学。这样的学习方式一方面避免了教员讲课学生不认真听,教学效果不理想的情况;另一方面又给学员自主扩展的空间。让学员以主人翁姿态来备课,收集素材,实践表明,取得了非常好的效果。

5结束语

关于信息安全保密课程教学,前辈们已经取得了很多宝贵的研究成果,笔者也只是把前辈们的研究成果拿来在教学中进行尝试运用,发现效果确实不错。但笔者能力和水平有限,这里也只是粗浅的梳理探讨,有不足和不对的地方请大家批评。愿和大家一道共同做好信息安全保密教育工作。

4.信息系统安全保密制度 篇四

信息系统的安全保密工作是保证数据信息安全的基础,同时给全院的信息安全保密工作提供了一个工作指导。为了加强我院信息系统的安全保密管理工作,根据上级要求,结合我院的实际情况,现制定如下制度:

第一章总则

第一条***学院校园网和各个信息系统的服务对象是学校教学、科研和管理机构,全校教职工和学生,以及其他经学校授权的单位及个人。

第二条我院内任何部门及个人不得利用校园网危害国家安全、泄露国家秘密,不得侵犯国家、社会、集体利益和个人的合法权益,不得从事违法犯罪活动。第三条未经批准,任何单位或个人不得将校园网延伸至校外或将校外网络引入至校园内。未经批准,任何数据业务运营商或电信代理商不得擅自进入山东信息职业技术学院内进行工程施工,开展因特网业务。

第四条各部门应按照国家信息系统等级保护制度的相关法律法规、标准规范的要求,落实信息系统安全等级保护制度。

第五条各部门要规范信息维护、信息管理、运行维护等方面的工作流程和机制,指定专人负责系统运行的日常工作,做好用户授权等管理服务工作。

第二章数据安全

第六条本制度中的数据是指各类信息系统所覆盖的所有数据,包括档案管理系统、财务管理系统、资产管理系统、安防监控系统以及学院网站等网站和系统的所有数据。

第七条各部门要及时补充和更新管理系统的业务数据,确保数据的完整性、时效性和准确性。第八条各部门要保证信息系统安全和数据安全,制定重要数据库和系统主要设备的容灾备案措施。记录并保留至少60天系统维护日志。各系统管理员和个人要妥善保管好账号和密码,定期更新密码,防止密码外泄。

第九条保证各系统相关数据安全。各部门和系统管理人员,要对自己所管理的数据负责,保证数据安全,防止数据泄漏。

第十条学校数据信息主要用于教学、科研、管理、生活服务等,申请数据获取的单位有义务保护数据的隐秘性,不得将数据信息用于申请用途外的活动。第十一条未经批准,任何部门和个人不得擅自提供信息系统的内部数据。对于违反规定、非法披露、提供数据的单位和个人,应依照相关规定予以处罚。

第三章信息安全

第十二条任何部门和个人不得利用校园网及各系统制作、复制、传播和查阅下列信息:

(一)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;

(二)损害国家荣誉和利益的;

(三)煽动民族仇恨、民族歧视,破坏民族团结的;

(四)破坏国家宗教政策,宣扬邪教和封建迷信的;

(五)散布谣言,扰乱社会公共秩序,破坏国家稳定的;

(六)散步淫秽、色情、暴力、凶杀、恐怖或者教唆犯罪的;

(七)侮辱和诽谤他人,侵害他人合法权益的;

(八)含有国家法律和行政法规禁止的其他内容的;

(九)煽动抗拒、破坏宪法和法律、法规实施的;

第十三条未经批准,任何个人和部门不能擅自发布、删除和改动学院网站和系统信息。凡发布信息,必须经过严格审核。

第十四条校园网用户必须自觉配合国家和学校有关部门依法进行的监督、检查。用户若发现违法有害信息,有义务向学校有关部门报告。第十五条学院内部所有人员上网均需实名制,并执行严格的实名备案制度。一经发现上网本制度禁止信息,要尽快查处,情节严重者交由公安机关。

第四章学院网站安全

第十六条学院网站是学院的门户,学院网站信息安全是至关重要的。****学院门户网站已按照相关部门要求,委托信息中心备案,备案域名为:***。

第十七条凡上线网站,山东信息职业技术学院实行网站备案,未经备案的网站,学院一律停止对该网站的运行。

第十八条各部门要保证网站的数据安全和系统安全,制定重要数据库和系统主要设备的容灾备案措施。记录并保留至少60天系统维护日志。

第十九条各部门网站信息发布严格实行信息发布审核登记制度,发现有害信息,应当在保留有关原始记录后,及时予以删除,并在第一时间向学校办公室和网络管理中心报告。发现计算机犯罪案件,要立即向公安机关网警部门报案。第二十条学院办公室、网络管理中心负责对学校网站进行监督、检查。对于存在安全隐患的网站,网络信息中心有权停止其对外服务。

第五章其他

第二十一条违反本管理规定的,视情节轻重采用以下其中一种或多种处理措施:

(一)批评整改;

(二)报相关部门领导处理;

(三)移交公安、司法部门处理。

5.信息安全保密管理制度 篇五

1、配备2至4名计算机安全员(由技术负责人和技术操作人员组成),履行下列职责:严格审核系统所发布消息:根据法律法规要求,必须监视本系统的信息,对本系统的信息实行24小时审核巡查,防止有人通过本系统发布有害信息。如发现传输有害信息,应当立即停止传输,防止信息扩散,保存有关记录,并向公安机关网监部门报告;同时应配合公安机关追查有害信息的来源,协助做好取证工作。其中,网站发布的信息不得包含以下内容:煽动抗拒、破坏宪法和法律、行政法规实施的;煽动颠覆国家政权、推翻社会主义制度的;煽动分裂国家、破坏国家统一的;煽动民族仇恨、民族歧视,破坏民族团结的;捏造或者歪曲事实,散布谣言,扰乱社会秩序的;宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪的;公然侮辱他人或者捏造事实诽谤他人的,或者进行其他恶意攻击的;损害国家机关信誉的;其他违反宪法和法律行政法规的;

2、对电脑文件、数据进行加密处理。

3、定期对网站上的信息进行备份,对数据库进行定期的备份和保存。实行每天进行增量

备份,每周实行一次全备份。并且每月把备份的内容刻录成光盘进行存储

3、经申报批准,才能查询、打印有关资料。

4、对发布的信息,我们会对信息日志的记录至少保存3个月的记录,并建立有害信息过滤等管理制度。遵守国家有关规定,实行关键字过滤,对敏感的字和词组进行过滤

5、对相关管理人员设定网站管理权限,不得越权管理网站信息,对保密信息严加看管,不得遗失、私自传播。

6.信息安全保密承诺书 篇六

本人(姓名: 身份证号:)是XXX公司员工,将于 年 月 日离职。

鉴于本人在公司的职位为重要涉密岗位,且工作期间接触了很多公司的商业秘密和信息,为保障XXX公司与我本人的正当权益,本人现出具本承诺书。

1、本人承诺:不带走XXX公司商业秘密和信息的一切载体,且承诺不将上述载体及复制件擅自转交或故意泄露给其他任何人,不在离开公司后向任何人、以任何形式泄露公司的商业秘密和信息,不在离开公司后随意使用或允许他人使用公司的商业秘密和信息。

本承诺书所指的商业秘密和信息包含所有的知识产权、专有技术、公司经营管理、公司人事和制度、公司财务状况、商业秘密等方面的信息,包括但不限于公司的专利、商标、着作权、专有技术,公司的产品名称、价格信息,公司产品开发技术及开发计划,重要客户信息、公司的商业策略市场策略,经营信息、公司核心制度、人力资源名单档案等。

本承诺书所指载体范围包括但不限于:凡记录公司秘密信息的文件、数据、资料、图表、笔记、报告、电子文档以及其他任何形式的载体。

2、本人承诺离开公司后,不利用任何非法途径从事或做出任何有损公司形象或利益的活动,不将上述资料及经营信息向任何第三方透露。

我将遵守以上承诺,如有违反,由此引起的相关法律责任均由本人承担。

7.筑牢保密意识确保审计信息安全 篇七

一、审计信息渠道

审计信息主要来源于审计管理系统及平台信息和审计业务信息收集两个方面:

第一, 审计管理系统及平台信息是审计人员在实施审计项目、进行审计管理的过程中, 通过审计应用系统及平台获取审计业务操作与管理的业务和数据信息, 包括非现场审计系统 (OAS系统) 信息、审计管理信息系统 (AMIS系统) 信息、审计知识库系统信息、任期经济责任审计信息资料库信息、总审计室信息平台等信息。

第二, 审计业务信息是审计项目和日常审计工作中由各级机构提供的业务信息以及审计项目信息。业务信息包括审计机构审计计划、审计研究成果、被审计机构经营计划及业务指标、客户及其账户信息、业务管理信息等, 以及通过Notes邮箱、办公自动化系统 (OA系统) 、档案管理信息系统等收集整理的各类业务信息。审计项目信息包括审计方案、审计报告、审计模型、审计证据、审计工作底稿, 以及审计过程中通过会计档案管理系统、UAAP统一报表发布平台、对公信贷业务流程系统 (CLPM系统) 、个人信贷管理系统 (A+P系统) 、信贷管理系统 (CMISII系统) 、ODSB二期及ERPF报表查询等收集加工整理的各类信息。

二、主要问题和风险

(一) 审计信息未集中管理, 存在泄密的潜在风险隐患

便携式计算机是审计人员的必备工具, 其中存储大量重要信息, 实施审计项目按照审计方案要求分组开展, 审计现场点多面广, 审计资料不便于集中, 审计人员注重信息资料使用忽视保密管理, 对敏感及涉密信息未经加密处理采取保密措施, 形成审计信息安全隐患。一是项目实施过程中审计信息处于分散失控状态, 缺乏安全管理;二是审计项目结束后, 由于未明确和指定专人负责归集审计项目信息, 致使审计人员未及时清理、归集移除审计项目电子信息资料, 长久滞留审计人员计算机中将可能导致审计信息流失和泄密。

(二) 计算机上网导致审计信息失密, 造成损失形成银行声誉风险

计算机上网成为信息泄露的主要途径, 涉密计算机使用无线键盘或鼠标上网、移动存储介质与联网计算机交叉使用将会导致失泄密。一是审计人员因工作需要, 有时通过互联网传送或下载工作信息, 或上网查询信贷客户企业注册登记等信息, 如果客户敏感信息被不法分子截获并利用, 给客户带来不利影响的同时, 将会导致银行声誉风险的严重后果。二是审计人员使用的计算机、U盘等磁介质若不采取保密措施, 未经加密在互联网上传输行内重要数据或信息, 被窃密者运用技术软件窃取, 无意中将泄露银行敏感信息或商业秘密, 给银行造成无可估量的损失。

(三) 审计管理系统用户认证安全机制低、对客户敏感信息访问无控制

由于非现场审计系统对相关敏感数据字段未能加密, 在审计项目实施过程中, 审计人员登录系统可任意查询导出相关的信息及数据, 存在敏感信息和商业秘密泄漏的风险。

三、审计信息安全管理措施

第一, 健全制度, 落实责任。为加强审计信息安全保密, 对于计算机设备使用管理、审计管理系统运行管理及数据信息安全保密管理, 制定信息安全管理制度, 明确责任, 落实保密职责。

第二, 加强安全保密培训和教育, 筑牢审计人员的安全和风险意识。一是要警钟长鸣, 加强警示教育, 做到防患于未然。二是建立信息安全的长效机制, 将审计信息安全保密作为审计人员培训教育的重要内容, 使之深刻认识安全无小事, 牢记“失之毫厘、谬以千里”道理, 始终绷紧安全保密意识的弦, 严守保密纪律, 自觉履行保密职责。

第三, 加强审计系统用户管理, 严格用户操作权限, 禁止将用户口令及UKEY转借他人使用。在未开展审计项目阶段限制非现场审计系统操作用户, 使用系统必须经过申请批准, 以防止敏感信息泄露。搭建开放的非现场审计系统学习培训环境, 提供审计人员用于学习操作非现场系统。

第四, 利用管理信息平台FTP服务器对审计重要信息进行管理, 实现远程资源共享, 审计人员可查询相关工作信息, 本机不再保存敏感信息和数据, 切实防范便携机或移动硬盘存储审计信息失泄密的风险隐患。

第五, 落实安全管理责任, 签订《审计岗位人员保密协议》, 强化保密意识, 约束审计信息保密行为。

第六, 加强涉密计算机管理, 严防信息失泄密。设置屏幕保护的时间和密码, 确保在长时间不使用计算机时对屏幕上和系统内的敏感信息进行安全保护。涉密计算机做到专机专用, 与互联网物理隔离, 禁止通过电子邮箱或互联网传输涉密及重要工作信息, 避免移动存储介质交叉使用。

第七, 应用技术手段加强信息安全管理, 审计条线全员推广使用Windows7 (企业版) 操作系统, 应用全盘加密 (Bit Locker) 功能, 能够有效降低因设备物理丢失导致的审计信息泄露风险, 有助于加强审计信息安全管理。

第八, 以检查促落实, 严堵泄密漏洞。设立安全管理员负责信息安全日常检查监督, 采取实时监控和定期检查相结合的方式, 在全面自查的基础上, 对审计人员的计算机进行检查和抽查, 落实整改。

8.信息安全策略保密 篇八

关键词:信息安全 计算机网络 保密

0 引言

“安全”,从汉语字面上解释,是“无危为安,无损为全”[1]。学校一贯重视对学生进行安全方面的教育,如学生在教学楼要注意上下楼梯、防坠落的安全;在宿舍里要防火灾、防偷窃,注意个人及物品的安全;在放假回家与返校时要注意交通安全;在组织集体活动时要注意人身安全等等。然而我们却忽视了另一个同样重要的安全教育:当下是信息化的时代,我们时时刻刻处在计算机信息网络之中。它就像空气和血液一般,我们使用之频繁以致感觉不到它了。网络的最大特点是开放,我们工作、生活都不曾离开的计算机信息网络,它总是安全的吗?

1 信息安全的基本概念

与信息安全相关的“安全”有两方面含义,一是安全的状态,二是指对安全的维护即安全措施和安全机构。实际上,信息安全可细分为计算机安全、计算机网络安全和计算机系统信息安全。

1.1 计算机安全

计算机安全是指计算机系统的硬件、软件、数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改和泄露,系统能连续正常运行[2]。它从技术上又分为三种:①实体的安全性:它用来保证硬件和软件本身的安全。②运行环境的安全性:它用来保证计算机能在良好的环境中持续工作。③信息的安全性:它用来保证信息不会被非法阅读、修改和泄露。

1.2 计算机网络安全

计算机网络是一个扩大了的计算机系统,许多计算机为了共享资源、联合工作而加入了联网环境。联网是需要传输介质和传输设备的,只要有传输介质,就有电磁信号;有电磁信号,就会有电磁辐射;有电磁辐射,就能够被有目的的人(称为“黑客”)截获辐射量中的电磁信号,也就是经过传输介质的信息,从而对网络造成安全威胁。网络安全包括四个方面:①网络实体安全:计算机机房的物理条件、物理环境及设施的安全标准,计算机硬件、设备及网络传输线路的安装及配置等。②软件安全:保护网络系统不被非法侵入,系统软件与应用软件不被非法复制与篡改,以及不受病毒的侵害等。③网络中的数据安全:网络中的数据安全包括保护网络信息的数据安全,不被非法存取,保护其完整性与可靠性等。④网络安全管理:网络安全管理包括运行时突发事件的安全处理,采取计算机安全技术、建立安全管理制度、开展安全审计、进行风险分析等。

保护网络系统中的硬件、软件及其数据不为偶然或恶意原因而遭到破坏、更改与泄露,系统连续可靠地正常运行,网络服务不中断,是网络安全的主要内容。由此可见,计算机网络安全是指综合利用技术、管理和法律上的措施,以保证网络信息资源在存储和传输过程中的安全。

1.3 计算机系统信息安全

计算机系统信息安全是指系统中存储、传输和交换信息的保密效果和可控性高、完整性好、真实可靠且相关的全部操作行为不可抵赖。

2 信息安全的相关事件分析

我们讨论的信息安全涵盖了计算机安全、计算机网络安全、计算机系统信息安全。有学者认为,信息安全事件将出现以下趋势[3]:第一,泄露机密。人为的有意识或无意识的将保密信息外泄给他人均属泄露机密。第二,与计算机设备相关的网络攻击。这类信息安全事件通常威胁社会和国家安全,造成的损失严重,且方法多样、手段隐蔽。第三,变更或破坏内部信息资料。第四,信息情报不当处理。第五,黑客增加。第六,金融犯罪增长。第七,电脑淫秽物的传播和诈骗行为。第八,电脑病毒。第九,歪曲舆论调查、诽谤等。

日常中人们对黑客、网络金融犯罪与电脑病毒已经有了一定的认识,但是,防范这几个事件不等同于信息安全。

例一 网络舆论攻击

2011年7月6日腾讯新闻的社会万象栏目出现一条标题为“警校学生虐杀小猪手段残忍 称为法医课做实验”的新闻,此文一出,即引来众多网友的评论(网络截图内容见图1和图2)。经过调查,事件源于学校的一次正常进行的法医学基础课的实训环节,有学生出于新鲜好奇,将上课的过程用手机拍照,并上传到了个人网上博客。结果,经由各方网友转载、评论后,事情就此“变味”了,一次普通的课堂教学摇身一变成了“虐猪门”。除了腾讯新闻,许多网站和电子论坛都相继转载了这一“新闻”,网络上流言蜚语铺天盖地。一方面,作为广西区内一所严肃的公安院校,学校一直坚持政治建校和政治育警的方针,是八桂警官的摇篮,在广西全区4万多名公安民警中,学校毕业生就占了一半以上。某种程度上说,成为警校的学生,就成了“半个警察”。另一方面,警民关系是当今最基本的社会关系之一,人民警察和人民群众的关系(警民关系)是和谐社会的重要内容。在当前社会多元化的新形势下,各类矛盾错综复杂,出现了很多影响警民关系的不利因素。有一部分不明真相的群众,会跟风造谣,在网络中流露出对警察的不满情绪,总在寻找机会利用信息网络中的媒体,把一些事件大肆传播、炒作,或者歪曲,目的就是想给公安机关造成不良影响。“虐猪门”不仅成全了这样的人,也将学校推上了被社会舆论批评的风口浪尖,成了无辜的受害者,对学校的形象造成了很不利的影响。

例二 网络淫秽物

在校大学生姜某在一次上网时无意中登录了黄色网站,这之后为了能够浏览更多更刺激的内容,他申请成为了该网站的管理员,负责对“审阅编辑”上传的色情图片。然而令他想不到的是,在他“荣升”管理员若干天后,正在宿舍上网的他被民警找上了门,理由是他涉嫌传播淫秽物品。

曾有信息安全研究者说:“如果您在因特网上,那么很容易被监视。”时下的因特网是一个与现实世界不同的虚拟世界,信息安全时刻受到威胁,黄色网站是其中的一个重磅炸弹。五花八门的黄色网站利用网页链接、电子邮件、广告条、博客、网络游戏、即时通讯软件、电子论坛、网络聊天室等流行的营销手段将自己的网址和黄色信息四处传播。黄色网站,也称色情网站,是指传播淫秽、色情等信息的网站。这种信息对普通人特别是未成年人身心健康极其有害,因此在很多国家受到管制。在我国,黄色网站是非法的,传播淫秽和色情内容需要被追究法律责任[4]。大学生多数处于青年中期(18-24岁),在这个年龄阶段,个体的生理发育已接近完成,具备了成年人的体格及种种生理功能,但心理则尚未发育成熟。对大学生而言,其面临的重要任务之一就是促进个体心理日益成熟,成为一个心理健康的成年人,为走向社会做好充分的准备。在这个关键的时期,大学生由于生活阅历不多,还未正式踏入社会,他们在谈论、评价、思考各种问题的时候并不能十分切合实际;对事物的认识也表现出片面性,不能全面、深刻、准确地认识问题。黄色网站的出现势必影响大学生的心理。就本案例引发两个思考:①假设是我们这样一所公安院校的学生因类似事件被公安机关查办,如何向学生家长、社会交代?②如何预防和管理此类事件的发生?

例三 网络泄密

有网友在网络“天涯论坛”上发帖称,2010年1月16日开考的广西公务员考试公共科目涉嫌试题泄露。部分网友指出,有公务员考试培训机构将申论和行政职业能力测验两门科目试题答案上传到相关培训的QQ群里,还有网友透露,这次考试广西北海的考生中,有来自于公安系统的,他们中的80%在行政能力测验考试这一科目上达到90多分。针对网友提出的“考前有人将考题泄露在网上”的说法,广西人事部门展开了调查。调查结果最终定性为轰动全国的“2010年广西公务员考试泄密案(以下简称泄密案)”。案件涉及多位就职于国家机关、企事业单位、公安系统(包括监狱、公安院校等)的工作人员,他们均因构成故意泄露国家机密罪受到了法律的严惩。泄密案之所以影响面广、后果严重,不仅是因为有人利用职务之便从中获利,更是因为一些拿到试题的考生“助人为乐”,把试题通过网络即时通讯工具、电子邮件等方式“分享”到了他们的网络社交圈,而网络社交圈里出现这样“有用的辅导资料”又备受希望考出好成绩的人的关注,一传十,十传百,才“帮助”了大量考生。从中可以看出,许多人是间接地促进了这次事件的发展,无意识地成了案件的中间人。这一次的公务员考试里高分考生很多是报考公安系统的,相当一部分人是公安院校的毕业生,受过专业高等教育的学生知法犯法,这在社会上造成了极其恶劣的影响。

这起事件暴露出一个问题:学生在使用网络共享信息资源的时候,更多地关注了发布与获取信息资源的快捷便利,却忽视了思考和审视信息资源本身的性质。面对网络信息,什么我们能够去获取,什么我们可以去传递,应该成为学校、特别是公安院校在教育和培养学生时考虑的一个重要教育内容。

例四 网络新媒体诈骗

计算机网络已经进入4G时代,高速、高效的移动互联网络和笔记本电脑、平板电脑、智能手机的飞速更新换代,让近年新生的“微博”、“微信”成为了继“QQ”之后网络用户的新宠。当下,无论在任何地方,都能看见用各种电子设备拍照“发微博、聊微信”的网友。与此同时,随着“微博”及“微信”开启手机支付功能,它们变成了淘宝之外网络购物的另一个主要环境,越来越多的商品通过新媒体来展示和售卖。其实,互联网是一把双刃剑,它已经成为了一个巨大的战场[5]。不同的人使用互联网,有不同的预期。一些不法分子盯上了网络新媒体,严重威胁到我们的信息安全:2013年,有网络监控系统监测到大量利用微博发布“打折”商品信息,售卖假冒伪劣产品、甚至制造“庞氏骗局”骗取网络用户钱财的事件。“庞氏骗局”又称为“拆东墙补西墙”或“空手套白狼”,即利用新投资人的钱来向老投资者支付利息和短期回报,以制造赚钱的假象进而骗取更多的投资。2013年5月,一名女子在微博上出售低价“自拍神器”(即照相机),赚取了人民币1000多万元。随后被曝光她并没有真正的低价货源,只是靠消费者的预付款进行资金运作。2013年10月底,媒体连续曝光了网友因在朋友圈购物而“被钓鱼”(各种各样的网络陷阱“花样翻新”,获得消费者的信任后循序渐进骗取金钱)的事件,轻者花几百元购买到的是假冒伪劣的“奢侈品”,重者则在付款后杳无音讯。

熟悉网络的用户都知道,微信和QQ同属于一个公司的产品,二者的账号是连通的,用户可以通过授权的方式让微信读取个人手机通讯录里的联系人列表及QQ中的好友列表,方便将他们加为微信朋友。黑客只要盗取了其中一个账号,另外一个也能同时丢失,如果被骗子利用,这可以使诈骗的对象范围扩大许多。由于早年QQ诈骗泛滥,被曝光的次数多了,大多数用户对它有了戒心,但是新媒体高度宣传的安全性在分隔了网络朋友圈的同时,让用户对其中的“好友”不设防备,因此这个网络社交媒体的新环境变成了不法分子“施展拳脚”的平台。

结合实际,在校学生大多数都有微博、微信和QQ聊天工具,几乎所有院系学生都有QQ或微信的群账号。为了方便日常联络和交流,管理学生的教师常在群中放置共享文件或者发通知通告,学生之间通过群上传、下载平时的课件与复习资料。公安院校的很多课程和校外任务(安保执勤)是普通院校没有的,是与公安工作紧密联系的,一定程度上说,这些课程和校外任务所涉及的内容是信息敏感的。部分教材虽然都是内部发行,并有一定的规章制度限制这类教材的外流;在校学生所承担的校外任务虽然是相对简单的,并且每次执行任务之前都有工作安排和动员大会,但是,网络新媒体这一环节的教育依然不能疏忽,学生通过网络通讯工具进行的很多看似普通的行为,如谈论上课内容;发课件、发资料、发照片;谈论校外任务的时间、地点和内容等,都有可能因为网络新媒体诈骗导致敏感信息泄密,产生不可预期的后果。综上所述,信息不安全因素无孔不入,已然开启了新一轮的“安全战争”,因此,我们应全面提高警惕,加强自我保护。

3 教育的可行性措施

不论学生学习什么专业,不论学生毕业以后从事什么工作,信息安全保密意识都非常重要。因此,从学生入学开始,学校就应该开展全面、立体化的信息安全保密教育。所谓全面,指学生从入学到毕业,根据年级开展教育;所谓立体化,指不仅仅开展相关专题教育,在入学教育、学年教育、实习教育和毕业教育各个阶段,增加相关知识点,把信息安全保密教育融合并贯穿到学生的每一个教育环节中去,使学生真正从意识形态上固化对信息安全的认识,从被动学习到主动接受。

信息安全有三方面的内容:首先是防御:目的是识别危险,通过一些机制和技术措施方面的努力,降低受到破坏和窃取的风险;其次是制止:目的是阻止危险,通过规范、制度、法律、纪律限制不正常行为。第三是检测:目的是防范危险。通过各种专业技术手段来检测攻击行为和系统漏洞。除了检测是计算机技术专业才需要学习,防御和制止的知识则是每个人都应该了解学习的。《周易·既济》里说:“君子以思患而豫防之”;《乐府诗集·君子行》里也提到:“君子防未然”。古人总结出经验:防止事故或祸害于尚未发生之前。只有我们的行为防范意识增强了,才能最大限度地降低出现信息安全危机的几率。

可将信息安全保密教育分成两部分:①安全防范教育;②保密行为教育。相关内容见表3.1,模块化的教育内容彼此独立。由于教育的目标不是让学生取得什么样的成绩,而是为了加强学生的安全保密意识,因此教育可采取多种形式:选修课、校园宣传栏、学期内思想教育、学术报告会、专题讲座、各种大型集体活动前的动员会、年级大会、班务会等,坚持教育不间断。

表3.1 信息安全保密教育内容安排表

3.1 针对学生的相关教育

公安院校一般有公安类专业和非公安类专业。相较于非公安类专业,公安类专业的学生应该具有更好的政治素养,更严肃的纪律作风,更强的对社会问题的敏感认识度,更专业的保密意识。公安类专业的学生毕业前都要到公安机关进行对口实习,公安机关内部信息安全管理规章制度很多,学生如果没有接受过相关教育,在实习时往往很容易出问题。出现问题后实习单位更多地是质疑学校是如何进行教育的。因此,对公安类专业的学生要特别注重保密行为教育。

3.2 针对教职人员的相关教育

韩愈在《师说》中有:“师者,所以传道授业解惑也。”“传道”一词在先,说的是老师首先要言传身教,培养学生的人格品质。在教育学生之前,首先是教育好我们的教学团队。

3.2.1 学生管理老师的教育

日常管理学生的政工人员、队长与学生接触最多,也最密切。对这部分老师应开展相关业务培训,讲解信息安全保密教育的重要性,使他们在管理过程中起到直接引导的作用。

3.2.2 专任教师的教育

公安院校的专任教师不仅是老师,也是人民警察,双重的身份要求专任教师既要有高水平的专业知识能够完成教学任务,又要有严肃的政治纪律以身作则影响学生。教师的教学包里都有大量电子课件和电子辅导资料。这些电子资料有可能是从信息网络上获取的,网络上的内容很多,容易左右教师对问题的客观态度。不少教师上课时的教学实例都参入了个人意见和观点,这是值得注意的。公安院校的教师和普通院校的教师在讨论问题时不应该一样。因此,学校一方面在鼓励教师使用电子媒体教学的同时,另一方面应继续加强督导听课制度,安排具备信息安全技术知识的成员加入督导组,如果发现教师在课堂内存在与信息安全或者保密制度相关的问题,应及时地提出意见和建议。

3.2.3 外聘教师的教育

外聘教师应接受一定的教育才上岗教学,确保这部分教师了解公安院校的纪律,遵守公安院校的行为规范,帮助学校培养好学生。

4 结语

早在2000年教育部就下发了《关于加强高等学校思想政治教育进网络工作的若干意见》(教社政[2000]10号)(以下简称《意见》)。《意见》指出:“要将管理和教育结合起来,自律与他律结合起来,通过各种形式增强师生上网的法律意识、责任意识、政治意识、自律意识和安全意识。”《意见》还强调:“各高校要培养一支既具有较高的政治理论水平、熟悉思想政治工作规律,又能较有效地掌握网络技术、熟悉网络文化特点,能够在网络上进行思想政治教育工作的队伍。”如今,信息技术飞速发展,带来了一系列新生无法预期的信息安全威胁,高校教育工作者面临重大的挑战。关注信息安全及保密教育,采取必要的措施开展教育工作,有助于培养更符合时代发展规律的合格人才,为社会尽一份力。

参考文献:

[1]姜波,李柏青.计算机网络技术基础与应用[M].大连:东软电子出版社,2013,7:217.

[2]李桂玲.计算机网络安全知识问答[M].北京:中国电力出版社,2008,6:11.

[3]杨永川,李冬静.信息安全[M].清华大学出版社.北京:中国人民公安大学出版社,2007,1:14.

[4]百度百科[EB/OL].http://baike.baidu.com/link?url=U38ptEXe

TI5ryBnm1lo _ 66gdHTpCJJk7eq - Kgyx5blM5hlhYNUM - 2QlndZP

hxp84b9F0g8zKmCvp-GHpezccna.

[5]Michal Zalewski.网络安全之道:被动侦查和间接攻击实用指南[M].北京:中国水利水电出版社,2007,1:81.

基金项目:2013年度广西法学会重点课题(2013-6)。

9.企业信息安全保密管理办法 篇九

1.目的作用

企业内部的“信息流”与企业的“人流”、“物流”、“资金流”,均为支持企业生存与发展的最基本条件。可见信息与人、财、物都是企业的财富,但信息又是一种无形的资产,客观上使人们利用过程中带来安全管理上的困难。为了保护公司的利益不受侵害,需要加强对信息的保密管理,使公司所拥有的信息在经营活动中充分利用,为公司带来最大的效益,特制定本制度。2.管理职责

由于企业的信息贯穿在企业经营活动的全过程和各个环节,所以信息的保密管理,除了领导重视而且需全员参与,各个职能部门人员都要严格遵守公司信息保密制度,公司督察部具体负责对各部门执行情况的检查和考核。3.公司文件资料的形成过程保密规定 拟稿过程

拟稿是文件、资料保密工作的开始,对有保密要求的文件、资料,在拟稿过程应按以下规定办理:

初稿形成后,要根据文稿内容确定密级和保密期限,在编文号时应具体标明。草稿纸及废纸不得乱丢,如无保留价值应及时销毁。

文件、资料形成前的讨论稿、征求意见稿、审议稿等,必须同定稿一样对待,按保密原则和要求管理。印制过程

秘密文件、资料,应由公司机要打字员打印,并应注意以下几点:

要严格按照主管领导审定的份数印制,不得擅自多印多留。要严格控制印制工程中的接触人员。

打印过程形成的底稿、清样、废页要妥善处理,即使监销。复制过程

复制过程是按照规定的阅读范围扩大文件、资料发行数量,要求如下:

复制秘密文件、资料要建立严格的审批、登记制度。复制件与正本文件、资料同等密级对待和管理。严禁复制国家各种秘密文稿和国家领导人的内部讲话。绝密文件、资料、未经原发文机关批准不得自行复制。

4.公司文件资料传递、阅办过程保密规定

收发过程

收进文件时要核对收件单位或收件人,检查信件封口是否被开启。

收文启封后,要清点份数,按不同类别和密级,分别进行编号、登记、加盖收文章。发文时要按照文件、资料的类别和文号及顺序号登记清楚去向,并填写好发文通知单,封面要编号并加盖密级章。

收发文件、资料都要建立登记制度和严格实行签收手续。递送过程

企业内部建有文件、资料交换站的,可通过交换站进行,一律直送直取。递送外地文件、资料,要通过机要交通或派专人递送。

凡携带秘密文件、资料外出,一般要有两人以上同行,必须装在可靠的文件包或箱内,做到文件不离人。

递送的秘密文件、资料,一律要包装密封,并标明密级。阅办过程

呈送领导人批示的文件、资料、应进行登记。领导人批示后,要及时退还或由经管文件部门当日收回。领导人之间不得横向传批文件、不得把文件直接交承办单位(人)。凡需有关部门(人)承办的文件、资料,一律由文件经管部门办理。

绝密文件、资料,一般不传阅,应在特别设立的阅文室内阅读。

秘密文件、资料,不得长时间在个人手中保留,更不能带回家或公共场所。要控制文件、资料阅读范围,无关人员不能看文件、资料。

5.公司文件资料归档、保管过程中的保密规定

归档过程

秘密文件、资料在归档时,要在卷宗的扉页标明原定密级,并以文件资料中最高密级为准。不宜于保留不属于企业留存的“三密”文件、资料,要及时清理上交或登记销毁,防止失散。

有密级的档案,要按保密文件、资料管理办法进行管理。保密过程 秘密文件、资料应集中管理,个人不得保存。

存放处应装有保密设置,专室、专柜及一切设施要能防盗,安全可靠,钥匙应专人保管。文件资料每半年要进行一次清理,清理时应将无用的上级发文交主管部门或上级发文机关;借出的文件应做好清退,清退中如发现缺份,要及时向主管领导报告,认真查处。每年底要组织一次对作废的秘密文件、资料的销毁工作。该项工作要按程序规定进行,经领导复核后,在有专人监督下销毁,严禁向废品收购部门出售“三密”文件、资料。

6.宣传报告工作工程中的保密规定

宣传报道保密,就是对宣传报道中可能发生的泄密,采取一系列措施,确保企业秘密的安全。主要应做好以下几方面工作: 建立健全宣传报道中的保密制度,要明确规定“三密”文件、资料的内容都不能擅自公开或在报导中引用。

公司对外宣传报道的稿件,主管领导要认真进行保密审查。

做好确定密级的工作,使全体干部职工特别是领导和负责进行宣传报导的工作人员能了解掌握。因特殊需要,涉及到“三密“文件资料内容时,必须向总经理汇报请示,公司其他任何人均无权批准。公司管理层应经常向下属部门人员进行保密教育,提高全员保密意识,对违规者,应按制度进行处罚。

7.办公自动化设备(设施)使用的保密措施

随着企业办公自动化的普及,文件、资料保密工作面临新的挑战,为了消除办公自动化应用中所产生的保密领域问题,应抓好以下几个方面工作。

加强对工作人员的保密教育,树立以下思想观念:

树立配有加密设施的微机网络传递与机要通信收发的文件、资料同属正式文件、资料的保密观念。

树立复印文件、资料与正式文件、资料都具有相同作用的保密观念。

树立机要室登记、分发的文件、资料与各部门自行登记、分发的文件、资料都同等重要的保密观念。

树立以纸张为材料的秘密载体与软(硬)件为材料的秘密载体同样重要的保密观念。完善规章制度,认真抓好落实

办公自动化的设备(设施)要指定专人使用与保管。要履行严格的审批手续,控制好文件、资料的制作数量。要根据保密原则,制定严格的违规处罚规定。抓好专业技术培训

要通过专业技术培训,提高工作人员对各种办公自动化设备的操作技术与知识水平,懂得泄密途径和防范的办法。

改善各类设备的环境条件,防止技术性泄密。

8.计算机的保密管理措施

电子计算机已经广泛应用于工业,企业经营的信息、数据源源不断地被输入电脑。因此必须要做好计算机应用中的保密工作。企业的各级主管人员应学习和掌握计算机知识

首先要知道计算机方面的基础知识,掌握和学会对它的运用技能,才能了解到计算机信息系统的不安全因素,才能有针对性地做好保密管理。

造成计算机信息系统不安全因素的一般有以下方面:

8.1.1 计算机系统工作人员泄露计算机信息的秘密。8.1.2 直接从计算机电子文档中窃取信息、资料。8.1.3 电磁辐射泄密。

8.1.4 冒名顶替和越权偷用,暗藏非法程序,定时破坏,篡改。8.1.5 复制和窃取磁介质中的数据、信息。8.2 严格信息管理

除了加强对计算机工作人员经常进行保密教育之外,在信息管理中还应有以下措施:

8.2.1 对计算机工作人员采取分工负责制的办法,防止因一人的疏忽而影响整个系统的安全。

8.2.2 规定信息资源共享的等级和范围,明确使用各密级信息的权限和人员。8.2.3 对存取秘密的信息,计算机网络系统要自动登记存取情况,以便查阅。8.2.4 对含有密级信息的磁记录介质(如磁带、软盘、硬盘、光盘等)要由专人负责保管。8.2.5 含有密级的打印纸要及时处理,对网络系统中软件清单要妥善保管,调试中的软件清单要及时销毁。

8.2.6 对新购买的软件和其他机器拷贝的软件必须进行检查、消毒,以防计算机病毒带入系统。

8.3 完善系统功能

8.3.1 系统应有用户存取资格检查和用户身份识别功能,对非法的操作和无资格存取的用户要及时警告和登记。

8.3.2 用户和网络系统的界面要清晰,采用多层控制,以防用户非法进入系统而破坏整个系统的功能。

8.3.3 系统应有很强的数据加密软件,对需要保存在外存储介质上存贮介质上的秘密信息和上信道传输的秘密信息必须进行加密。

8.3.4 要有多种经受得住专业密码分析人员攻击的加密算法,对不同用户使用不同的加密算法。

8.4 加强对计算机房的安全管理

8.4.1 对计算机房出入的要加以限制,非工作人员不得进入,出入的物品也要进行严格管理。

8.4.2 经监测发现有辐射的机器和部件,要采取屏蔽措施。

10.信息安全与保密王光宇 篇十

别:

名:

号:

指导教师:

计算机科学与技术系 王光宇 20094203 吴长伟

如果建立一个信息系统,并对系统安全进行总体规划,你需要考虑哪些方面的安全问题,你是如何解决这些问题的?

随着新技术的不断发展,越来越多的高新技术产品进入应用领域,在带来方便、快捷的同时,也给信息保密工作带来了许多新的挑战。一段时间以来,在保密技术检查、测评工作和实际案例分析中发现,高新技术产品在保密要害部门的应用呈现出更新速度快、使用范围广的特点,一些高新技术产品的应用给保密工作带来了许多不容忽视的安全隐患,应该引起有关部门的重视,以避免在应用中出现泄密问题。

一、高新技术产品应用中的泄密隐患

(一)无线移动技术的泄密隐患随着无线互联的迅驰技术强力推出,笔记本电脑进入了无线时代。目前,迅驰技术已成为主流高端笔记本电脑的标准配置。应用了迅驰技术的笔记本电脑无需外加模块即可进行无线联网,既能够以对等方式与其他有此功能的笔记本电脑实现无线互联,又能够以接入方式通过无线交换机组成无线网络系统,其无线联接的有效距离最远可达300米。无线互联技术带给人们更大的便利,一面世就受到广泛欢迎,但是这种技术存在的泄密隐患也不容忽视。

1.隐患1 当应用了迅驰技术的笔记本电脑作为涉密单机处理涉密信息时,能够在无意识的情况下被在有效距离内的其他装配迅驰技术的笔记本电脑以对等方式或被无线交换机以接入方式实行无线联通,其中存储的涉密信息就可能被非法获取。

2.隐患2 当应用了迅驰技术的笔记本电脑作为涉密终端接入涉密网络工作时,会被其他无线设备进行无线联通,从而获取该笔记本电脑的使用权限,造成整个网络内涉密信息的泄露。

(二)打印、复印、传真一体机的泄密隐患多功能一体机在涉密单位的应用较多,通常会与涉密计算机连接用于涉密文件打印,同时与市话网相连用于收发普通传真。这样就使得打印的涉密信息、传真的非密信息和复印的信息都存储在同一内存中,形成泄密隐患。

1.隐患1 根据有关部门的检测发现,有些型号的多功能一体机具有通过电话线或网络向其维修中心发送数据的功能。一般情况下,如果此种多功能一体机既连接涉密计算机又连接市话网,或是既用于涉密计算机打印又用于非涉密计算机打印,就可能造成存储在内存中的涉密信息在打印时被非法获取。

2.隐患2 检测发现,对于具有通过连接的电话线或网络向其维修中心发送数据功能的普通多功能一体机,如果对其控制芯片做一些技术改造,就可以通过市话网对其内存中的信息实现远程获取。

(三)数字复印机的泄密隐患数字复印机的一个特点是含有大容量存储硬盘,凡复印过的文件都记录在内。数字复印机一旦发生故障,通常需要该复印机的专业售后服务人员进行现场维修。由于复印机数字化程度较高,现场维修时一般需要使用售后服务人员的专用笔记本电脑连接进行故障分析,如果该复印机处理过涉密信息,那么就存在着泄密隐患。

1.隐患1 如对维修人员的监督不够,别有用心的维修人员会将存储在数字复印机硬盘中的涉密信息进行复制,从而造成泄密。

2.隐患2 如果数字复印机故障较严重,一般还需要带离现场进行维修。如果涉密单位不了解数字复印机原理,带离前没有将其硬盘进行拆除,那么就会造成涉密载体失控的局面。

(四)高性能网络交换机的泄密隐患

目前,一些网络交换机设备商生产的高端产品具有无线联网功能,能够以无线方式自动识别其周围的网络设备和计算机,并与其进行通信联系和数据交换,无线连接范围最远可达几百米,同样存在着泄密隐患。

1.隐患1 根据目前的保密技术要求,泄密信息系统与其他网络均应实行物理隔离,同时涉密信息系统的交换机与非涉密信息系统的交换机必须距离1米以上。通过有关部门的检查发现,一些涉密单位涉密信息系统和非涉密信息系统均使用了具有无线功能的交换机,即使距离1米以上,但由于放置在同一房间内,2个交换机就能够实现自动通信,造成涉密信息系统与非涉密信息系统的互联,带来极大的泄密隐患。

2.隐患2 有的涉密单位外网使用了此类具有无线联网功能的交换机,会出现自动连接有效范围内无线终端的现象,具有无线功能的涉密计算机因此会被捕捉并连通,从而造成涉密信息外泄。

(五)计算机操作系统漏洞造成的泄密隐患

目前,大部分计算机使用的都是美国微软公司Windows操作系统,该操作系统存在许多漏洞,极易被利用,安全隐患突出。

1.隐患1 通常认为只要笔记本电脑不处理涉密信息,与互联网连接就不会出现泄密问题。检测发现,利用Win-dows操作系统共享会出现漏洞,通过互联网或使用无线互联能够取得该笔记本电脑的所有控制权,进而将其麦克风打开,变成窃听器。这样就能够通过网络监听到该笔记本电脑所在房间的通话内容。

2.隐患2 通过网络植入某些病毒,可使计算机在不知不觉中将硬盘的电子文档以电子邮件的形式发送出去。即使上网的计算机中没有秘密信息,但大量与工作有关的信息被窃取后,也具有威胁性。

(六)移动存储介质的泄密隐患移动存储介质,包括U盘、移动硬盘等,具有存储量大、使用方便的特点,目前在涉密单位使用非常普遍,同时存在着很多安全隐患。在缺乏有效技术保障的情况下,应通过管理手段加以解决。

1.隐患1 虽然对于存储涉密信息的介质有较严格的保密管理要求,外出携带需要严格控制并审批,但涉密介质丢失现象仍时有发生。这些涉密存储介质一旦丢失,就会造成秘密信息的外泄。当前急需采取严格的管理措施,规范存储介质的使用。

2.隐患2 按照保密要求,涉密网与互联网等应实行物理隔离。但一些涉密网在日常工作中经常需要从外网或互联网上复制数据,通常使用的是移动存储介质。检查发现,互联网上存在的一些病毒,如repoer病毒,可以感染在互联网上复制数据的移动存储介质。当该染病毒的移动存储介质在涉密网上使用时,病毒就会自动使用关键词检索等方式搜集涉密计算机上的信息,并自动复制到移动存储介质上。一旦该存储介质再次接入互联网,复制的信息就会自动发送出去,造成泄密。

二、做好计算机信息安全保密工作的建议

对于涉密单位来讲,安全考虑应该放在第一位,如果不了解高新技术产品的技术特点和工作原理就盲目使用,难免会留下安全隐患,危害国家秘密的安全。目前,国家有关部门对高新技术产品在涉密部门的应用已经提出了一些具体的要求,保密要害部门部位应遵照执行。应用于涉密信息系统的设备,按照规定必须经过国家有关主管部门检测,未经检测的设备不能使用。另外,涉密单位还要针对高新技术产品的特点和本部门的实际情况,加强管理。国家有关部门也要加强对涉密计算机信息系统的安全保密管理和涉密产品的认证认可工作,积极开展针对高新技术应用的保密技术研究,解决高新技术产品使用中的保密难题。作为基层单位还应从以下几个方面做好计算机信息安全保密工作。

(一)围绕责任,认真落实保密、密码工作责任制加强学习,提高保密意识,签订保密责任书,明晰保密责任。按照保密、密码工作领导责任制的要求,及时研究保密工作中存在的问题,把保密作为强化内部管理、防范风险隐患的一项重要工作来抓,不断完善一级抓一级、层层抓落实的责任体系。进一步健全保密和密码工作领导责任制,把领导干部履行责任制的情况纳入领导干部民主生活会和领导干部绩效考核内容。根据人员调整情况,及时调整保密委员会,加强保密工作目标责任管理,将业务工作和保密工作同布置、同安排、同要求,确保各项保密工作任务的落实,严防泄密事件发生。

(二)围绕规范,切实加强保密基础工作,严格保密要害部门、部位管理认真落实上级单位要求,严格确认系统保密要害部门、部位,及时更新工作台账,修订完善有关制度,完善人防、物防、技防措施,确保保密要害部门、部位的安全;认真落实政务信息公开保密审查制度,进一步明确审查责任和程序,促进政务公开、依法、合规开展。

(三)围绕创新,不断深化保密宣传教育坚持贴近形势、贴近工作、贴近涉密人员,深入开展保密宣传教育工作。在对象上,坚持把领导干部、涉密人员、新参加工作人员和行政文秘人员作为宣传教育重点;在内容上,强化保密法规教育、保密形势教育和保密知识教育,认真抓好《中共中央关于加强新形式下密码工作的决定》精神的学习、宣传和贯彻落实工作,把保密工作重要法规文件、制度纳入党委(党组)学习内容,发挥领导干部的带头示范作用;在形式上,充分利用内联网、宣传栏、保密工作简报、播放警示片等形式宣传相关保密法规、保密知识,编印《保密知识手册》,不断增强保密宣传教育的生动性和直观性,将保密宣传教育融入到“五五”普法、社会治安综合治理等工作中,使全体工作人员进一步了解和熟悉,充分认识到保密工作的重要意义,树立“为维护国家的安全和利益而保密”的神圣感、责任感和使命感,增强保密意识,提高法制观念。同时,加强调查研究,及时总结反馈工作动态和创新做法,不断推动保密宣传教育的深入开展。

(四)围绕安全,完善技防手段,努力提高保密技术防护水平加强对计算机网络安全保密管理。严禁用涉密计算机上国际互联网,严格做到内外网分离;及时安装系统补丁,修补计算机漏洞;及时升级防病毒软件病毒代码库,定期对计算机进行全面扫描,清除病毒、木马;严格落实《移动存储设备管理办法》,利用新技术手段加强对移动存储设备的使用实时监控和管理,对内网上使用的移动存储设备进行注册、加密,让外来移动存储设备“进不来”(即非内网使用的移动设备在内网计算机上不能用),内网使用的移动存储设备“拿不走”,内部使用的移动存储介质在外网计算机上“不能用、看不懂、改不了”(即内网上使用的移动设备进行了加密管理,在外网计算机上不能识别或信息无法读取),切实解决移动存储介质在内外网之间交叉使用的问题;完善涉密计算机、移动磁介质、涉密笔记本电脑、多功能一体机等办公设备的购置、领取、使用、清退、维修、销毁等环节的保密管理要求,抓好全过程安全保密职责的监督和落实;加强对重要涉密信息的保密管理,规范涉密文件传阅,严密跟踪公文流转,严格控制传阅范围,做到及时登记、专人专夹保管;加强对各种涉密载体的管理,对密件、密品的制作、传阅、销毁等各环节进行全过程监管,确保每一个环节不出差错。

11.网络信息安全策略浅析 篇十一

关键词:计算机;网络;安全;防火墙

中图分类号:TP393 文献标识码:A文章编号:1007-9599 (2011) 08-0000-01

Network Information Security Policy Analysis

Zhang Jiwang

(Harbin Information Engineering Vocational Technical School,Harbin150000,China)

Abstract:This paper discusses the network environment,information security technology,network saboteurs intent and possible means are described,focusing on network security policy and the common network information security technology are discussed.

Keywords:Computer;Network;Security;Firewall

一、引言

安全的核心是人,必须以人为核心进行安全管理,采用各种先进的安全技术,使系统免受非法攻击,排除没有访问权限的使用者窃取系统机密信息,确保系统安全可靠地运行。

二、网络安全策略

计算机网络安全策略是关于网络安全问题的总的原则、对安全使用的要求及怎样保障网络的安全运行。在制定安全策略时,首先需要确定的原则为:准许访问除明确拒绝以外的全部服务还是拒绝访问明确准许以外的所有服务。前者由于用户可能使用不安全的服务而危及网络安全,只有在网络的实验阶段才可采用,后者一般被选择作为总的原则,总的原则确定后还应考虑的问题有:

(一)将系统资源分类,确定需保护的资源及其保护的级别,规定可以访问资源的实体和能够执行的动作。

(二)根据网络使用单位的实际需要确定内部网的服务类型,规定内部用户和外部用户能够使用的服务种类。

(三)规定审计功能,记录用户的活动及资源使用情况。

三、信息安全技术

网络安全性与每一层都有关系。在物理层,可通过把传输线封装在包含压氩气的封装管中来挫败偷听。任何钻管的尝试都会导致漏气、减压,并能触发警报装置。一些军用系统就采用了这种装置。在数据链路层,点点线上的分组在离开一台机器时被编上密码,到达另一台时再解码。在网络层,可以安装防火墙来限制分组的进出。在传输层,整个连接都能被加密(端端,即过程到过程)。在应用层可想办法采用一种通用的方法有效地解决身份认证或反拒认问题。

网络信息安全技术通常从防止信息窃密和防止信息破坏两方面来考虑。

防止信息窃密的技术通常采用通信反侦察、防电磁泄露、防火墙技术、密钥管理、通信保密、文件保密、报文鉴别、数字签名、存储加密等。

(一)通信反侦察。网络在传输信息过程中很容易被网络破坏者侦收,为了防止这一点,有线电通信常采用光缆和可防窃听的保密电缆线路等;无线电通信则通常采用扩频技术、悴发传输技术、毫米波和激光通信技术等,这几种通信手段都具有强的抗截获能力和抗干扰能力。

(二)防电磁泄露。计算机系统电磁辐射泄露也会使信息失密,因此,通常采用机房屏蔽和设备屏蔽技术来抑制和防护电磁辐射泄漏。机房屏蔽是用屏蔽室对计算机系统实施屏蔽。屏蔽性能最好的是采用实体的钢和钢板的双层屏蔽以及双层间绝缘的屏蔽室。设备屏蔽,比如为防止视频显示器电磁辐射,在其玻璃止喷涂一层导电薄膜,在玻璃周围用导电条将导电薄膜与机壳相连接地,达到屏蔽电磁场的效果。另外,还要从设备的研制和生产上加以考虑(如改善电路布局、搞好电源线路和信号线路滤波等)电子设备电磁辐射的防护和抑制。

(三)防火墙技术。防火墙是目前所有保护网络的方法中最能普遍接受的方法,而且防火墙技术还属于新兴技术,95%的入侵者无法突破防火墙。防火墙的主要功能是控制对受保护网络的非法往返访问,他通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险站点,用来防范内外部的非法访问。防火墙是阻止网络入侵者对网络进行访问的任何设备。此设备通常是软件和硬件的组合体,他通常根据一些规则来挑选想要或不想要的地址。防火墙可用软件构成,也可由硬件或软、硬件共同构成。软件部分可以是专利软件、共享软件或免费软件,而硬件部分是指能支持软件部分运行的任何硬件。网络中的防火墙主要有包过滤器和应用网关两种类型。

(四)密钥管理。网络安全系统运行效率的高低与密钥管理密切相关,若对于DES和RSA密码体制丢失密钥,则整个网络安全系统变成为虚有。密钥管理由密钥的产生、分配和安装三个部分组成。

(五)通信保密。在计算机网络中,通信保密分为链路加密、节点加密和端对端加密。在三种方式中,端端加密从成本、灵活性和保密性方面看是优于其他两种方式。端端加密指的是在发送结点加密数据,在中间结点传送加密数据(数据不以明文出现),而在接受结点解密数据。

(六)报文鉴别。报文鉴别能提供对传输报文数据的有效性及完整性的验证,它是数据保密的一部分。它允许每个通信者验证收报文的来源、内容、时间性和规定的目的的地址。

(七)文件保密。网络中的重要资源是文件,网络安全系统一般采用口令、访问控制等安全措施,但这些措施抗渗透性不强,容易被伪造、假冒,从而使非法用户侵入文件名系统,针对这种攻击,必须采用文件加密来保护。这样,即使非法用户获得了文件,也无法看懂,只有文件的合法使用者用自己的秘密密钥,才能看到文件的真实原文。

(八)数字签名。在网络环境中,签署决定和文件是各部门负责人经常要做的事,因此在网络中要解决与书写签名有对等功能的数字签名问题。数字签名可以采用DES体制或RES体制,对于DES体制需要复杂的协议,并需要第三方仲裁服务。而公开密钥算法得到的数字签名是通用的、一般的签名,因为他能为任何存取发送方公开密钥的人所证实,因此RES体制常被采用。为达到只有合法发送方才能通过所持有的密钥对数据解密,人们通常把数据保密通信和数字签名合为一体。

参考文献:

[1]吴煜煜.网络与信息安全教程(21世纪高等院校计算机系列教材)[M].北京:水利水电出版社,2006

[2]杨茂云.信息与网络安全使用教程[M].北京:电子工业出版社,2007

上一篇:班级管理考核评价体系下一篇:高中数学教学论文构建数学课堂教学的基本框架