第一篇:對加強移動存儲載體管理的認識與思考
對加強移動存儲載體管理的認識與思考
舒宗文
隨著信息時代的到來,電子政務、辦公自動化的普及,各種信息的處理也越來越依賴于各類移動存儲載體。以U盤、移動硬盤、存儲卡為主的移動存儲載體已成為當今社會的主流信息載體。然而,人們對移動存儲載體的管理還遠遠沒有引起足夠的重視,在許多環節上,見密不識密、是密不管密的現象普遍存在,給國家秘密的安全帶來了嚴重的威脅。如何在兼顧移動存儲載體有效利用的同時,確保信息安全,已成為當前保密領域的一個重要課題。
一、移動存儲載體的功能特點給保密工作帶來的挑戰
(一)使用方便、兼容性強、擁有量大,使移動存儲載體泄密隨時隨地都可能發生。與傳統的存儲設備相比,移動存儲載體使用壽命長、攜帶方便、數據資料不易損壞、可重復使用。從硬件支持上來看,有USB接口的計算機都可以使用移動存儲載體,而目前的計算機基本上都配置了多個USB接口,方便了移動存儲載體的接入和數據資料的讀取。從操作系統的支持上來看,目前主流的Windows操作系統不需特別安裝驅動程序,即可實現移動存儲載體的即插即用,其它操作系統也可通過安裝專用驅動程序實現連接。正是因為移動存儲載體使用方便、兼容性強、價格低廉、擁有量大,一旦管理上失控,失泄密就可能隨時隨地發生。
(二)黑客和間諜程序多、信息易于復制且傳播速度快,使移動存儲載體泄密無影無形難以被察覺。由于移動存儲載體經常用于電子文檔交換、傳遞,經常拷貝外來軟件和文檔,不可避免地會感染到計算機病毒。如果不能及時有效地查殺這些病毒,黑客、間諜程序就很容易通過移動存儲載體的交叉使用侵入到涉密計算機和內部網上,不留痕跡地從涉密計算機和內部網上竊取敏感信息,再經移動存儲載體向外網傳播,將涉密信息泄露出去。
(三)體積小、容量大、不易管理,使移動存儲載體易失控或丟失。移動存儲載體具有容量大的特點,當前U盤容量大多達到1GB至16GB,移動硬盤達到500GB至1TB,甚至更大,可存儲的信息量十分驚人。一個4GB的U盤可存上萬份電子文檔,一個500GB的移動硬盤完全可以存儲一個企業所有產品的全套電子技術文檔,一旦泄密,信息量將十分巨大。
(四)數據易修復、徹底刪除難度大,使傳統的泄密防范方式在移動存儲載體上逐漸失效。移動存儲載體上保存的電子文檔經刪除甚至格式化后,仍有辦法恢復出原來記錄的信息,這使泄密防范的傳統方式逐漸失效。移動存儲載體改用、維修或報廢時,認為簡單刪除涉密信息即可達到保密要求,或脫密處理后就不需要嚴格管理,都會使移動存儲載體出現泄密危險。
二、當前移動存儲載體管理存在的突出問題和隱患
(一)對涉密移動存儲載體登記管理不嚴格。多數人員對保密管理的認識還停留在紙介質層面上,對移動存儲載體的保密管理僅注重于禁止接入互聯網,而對購買、登記、標識等環節缺乏相應的管理措施。保密法規明文規定用于保存涉密信息的移動存儲載體應該進行申報、審批、登記,并按其實際存儲信息的最高密級粘貼保密部門統一制作的密級標識。而有些單位沒有針對移動存儲載體制定專門的管理制度,對移動存儲載體的管理非常松懈。購買時沒有及時登記備案,載體的數量、底細不明,未做到專盤專用,涉密信息和非涉密信息存在同一載體上,明密不分,不標密級,存在失泄密隱患。
(二)存在移動存儲載體公私混用、內外網上交叉使用等現象。由于對移動存儲載體安全風險認識不足,有的人員隨意將個人非密移動存儲載體接入到辦公電腦上,習慣將工作上的敏感信息存入個人私用的移動存儲載體上保管,又將這些保存過敏感信息的載體隨意接入到家庭上網計算機上;有的人員喜歡將個人資料存儲到涉密移動存儲載體上,有時無意中將這些涉密載體接入到家庭非涉密計算機。等等這些,都造成移動存儲載體公私混用、內外網上交叉使用,使內、外網“隔而不離、藕斷絲連”。
(三)隨意攜帶涉密移動存儲載體外出,或將涉密載體借給他人使用。有的人員為了工作便利,廣泛收集各類信息資料,有意識地把單位和他人的工作信息甚至涉密信息存入個人保管的移動存儲載體上。外出時,不履行審批手續就將涉密移動存儲載體攜帶外出,以便隨時調用。有的人員隨意將存有涉密信息的載體借給同事、朋友使用,或在外單位使用。一旦這些保存有涉密信息的載體發生被盜、丟失等事故,或被人無意接入互聯網,都將造成重大失泄密風險。
(四)涉密移動存儲載體未采取安全防范措施。大多數單位的涉密移動存儲載體沒有采取安全芯片、指紋識別、數據加密等安全技術,涉密數據大多采用明文保存。如果這些涉密載體被不法分子控制,非法持有者可輕而易舉的獲取涉密信息,給國家利益和安全造成重大損失。
(五)涉密移動存儲載體維修和報廢管理松懈。有些單位在涉密移動存儲載體出現故障后,有時為了方便,在沒有資質的維修點維修,載體里的涉密信息也不經處理,也不派技術人員在場監督,存在涉密信息被竊的危險。此外,許多單位沒有把報廢的移動存儲載體按規定銷毀,或者銷毀的方法不當,都存在泄密風險。
(六)保密檢查時容易忽略對個人非密移動存儲載體的監督檢查。保密人員在進行保密檢查時,大多只關注登記在冊的涉密移動存儲載體的管理情況,對個人非密移動存儲載體的安全管理往往忽略不管。對個人非密移動存儲載體是否接入過涉密計算機、是否存儲過涉密敏感信息等情況不進行檢查,使個別保密意識淡薄的人員違反保密規定的行為得不到及時查處,使保密工作上的漏洞得不到及時堵塞,也會給保密工作帶來很大的隱患。
三、改進移動存儲載體管理的建議
(一)健全相關法規制度,加強日常監督和管理。各單位應把移動存儲載體管理作為保密工作的重要內容,根據有關法律法規,制定適合本單位的移動存儲載體管理規定。要加強日常監督和管理,落實好領導的保密責任,按照“誰主管,誰負責”的要求,真正形成一級抓一級、層層抓落實的責任機制,把移動存儲載體管理工作納入到單位、部門和個人年度目標考核,對造成失泄密事故的個人和領導要追究責任。同時對涉密移動存儲載體從購買到報廢進行全程監管,實行“統一購置、統一標識、嚴格登記、集中管理”。嚴禁私自復制、保存、出借、銷毀涉密存儲載體,嚴禁私自攜帶涉密載體外出或私自將涉密載體送往沒有保密資質的單位修理,處理過涉密信息的存儲載體報廢后應當徹底物理銷毀,確保保密管理制度落到實處,防止泄密事件的發生。
(二)加強保密知識教育和技術培訓,增強日常防范意識和技能。要加大宣傳培訓力度,開展多層次、全方位的安全知識宣傳教育,定期開展保密技術防范技能及保密法律法規的培訓,提高全員自覺防范意識和防范技能。對涉密計算機要安裝正版軟件,正確設置口令,定期升級殺毒軟件,定期掃描計算機系統,防止病毒的侵入。對涉密計算機網絡系統還要與外部互聯網物理隔離,要具備符合要求的身份鑒定機制、安全訪問控制機制、安全審計機制、違規外聯控制機制、入侵檢測監控機制和計算機病毒查殺功能,正確設置系統配置,關閉一切不需要提供的服務,關閉一切不需要使用的端口,關閉一切不需要開戶的共享,定期進行安全漏洞檢測,及時用補丁對系統進行修補,堵塞網絡安全漏洞。
(三)加強移動存儲載體技術防范力度,配備必要的安全管理軟件和硬件設備。有條件的單位可以通過認證和加密技術來防范移動存儲載體可能引起的敏感信息泄露,提高存儲載體應用的安全性。如:安裝了移動存儲載體使用管理系統后,經過注冊的存儲載體只能在安裝了管理系統的辦公計算機上使用,不能在未安裝管理系統的外部計算機上使用,限制了涉密移動存儲載體的使用范圍。而未經注冊的存儲載體也不能在安裝了管理系統的辦公計算機上使用,避免了非法存儲載體接入涉密計算機,減少了泄密隱患。在購置用于存儲涉密信息的移動存儲載體時,也應優先考慮采取了加密、身份認證、訪問控制等技術手段的移動存儲載體,最大限度保障信息的安全。
第二篇:對加強分院涉密計算機及移動存儲介質管理的思考
對燕山分院涉密計算機及移動存儲介質的風險分析和管理 一.前言
近年來,隨著信息技術的飛速發展,網絡及計算機的應用也更為廣泛。北京北化院燕山分院做為中石化直屬院,對信息保密的要求更為科學和規范。伴隨信息系統網絡化發展和高新技術設備的應用,作為網絡系統重要組成部分的涉密計算機(包括臺式機和筆記本電腦)(以下簡稱計算機)以及移動存儲介質(移動硬盤及U盤等外接存儲介質)的安全保密問題突現出來,成為當前保密管理中的重點和難點。因此,加強涉密計算機和移動存儲介質的風險分析和管理已成為有效保障涉密信息系統安全的重要基礎。
二、國內外相關管理和技術現狀
1、制定了一系列重要的保密管理法律法規和技術標準。對于涉密計算機和移動存儲介質等高新技術設備的保密管理和使用安全問題,我國歷來都非常重視,從1998年起到2006年先后下發了多個關于計算機信息系統和秘密載體的保密管理規定,中保委的2005年和2006年工作要點也提到要加強對涉密計算機、移動存儲介質的管理,并要求抓緊開發和推廣具有自主知識產權的、技術含量高的保密技術產品,國家保密局也制定了《涉及國家秘密的信息系統終端安全與文件保護產品技術要求》等相關保密技術標準。燕山分院也在2005年下發了《燕化研究院網絡信息保密管理辦法》及《燕化研究院國家秘密電子文件管理辦法》兩個制度文件。
從國外的情況看,據對40多個國家的調查統計,已制定信息安全專門法律的國家占40%,修訂原有法律的占60%。美國商務部下屬國家標準和技術研究所也制定了新的計算機安全準則《對聯邦信息設備的推薦安全控制》準則共1200多條,涉及計算機等信息設備的管理、操作和技術檢查,意在保障美國非國防用途信息設備的安全、完整和有效。準則涵蓋涉及信息安全的17個領域,重點放在風險評估、對突發和意外事故的管理、對計算機等信息設備的訪問控制和對使用
者的鑒別認證等。
2、計算機安全保密技術得到迅速發展和廣泛應用。針對計算機和移動存儲介質容易丟失、數據信息容易被非授權獲取等特點,國內外相關設備廠商采用安全芯片、防盜報警、指紋識別、智能卡識別、數據加密等安全技術,相繼推出了各類安全技術和加密移動存儲介質,如具有芯片級文件保護和指紋識別系統的聯想昭陽系列和IBM T系列對數據提供了有效的安全防護,華旗資訊具有硬件加密和指紋加密功能的移動存儲介質。此外,國內的安全廠商也開發出一些針對計算機防護和移動存儲介質鑒別的安全產品,如基于UKey的終端安全與文件保護系統、可信介質管理系統等。
燕山分院始終高度重視信息安全基礎建設,取得了很大進步,但應當指出的是,目前在分院的信息保密工作方面還存在不少薄弱環節和問題。在管理方面,雖然制定了相關的規章制度,但都有比較寬泛,針對性不強,不夠具體,可執行性弱。這些規章有的還停留在制度、條例的層面,沒有上升為法制、法規的高度。從專業技術管理的角度雖做了些工作,但缺乏頂層設計和統一的技術標準,統一管理力度不夠、政出多門,沒能實現綜合性的管理和協調,沒能實現以人為中心,以管理為橋梁,以技術為支持的管理體系。從技術方面來看,主要技術、關鍵技術受制于人、缺乏具有自主知識產權的信息安全技術和產品。
三、涉密計算機和移動存儲介質的風險隱患
目前,對于燕山分院辦公網及涉密信息系統存在的諸多安全隱患中,相當一部分來自于網絡終端。隨著網絡信息技術的發展和辦公自動化設備的更新換代,計算機及筆記本已成為科研人員辦公的基本工具,并作為網絡終端或涉密單機來使用,但這又給設備安全和數據安全帶來了新問題。移動存儲介質因其通用性強、存儲量大、體積小、易攜帶等特點而得到廣泛使用,但這也造成數據拷貝不受限、違規交叉使用等新情況。下面從日常使用和管理的角度對計算機和移動存儲介質進行風險分析,主要存在以下安全隱患:
(一)設備丟失
1、借用審批手續不全,設備隨意外出無登記。公用的筆記本電腦借用審批登記監管不嚴,存在設備借用不審批、外出不登記和設備長期借用不按期歸還、不定期復檢的現象。
2、設備外出防護薄弱,僥幸心理大意易丟失。個別涉密人員在攜帶筆記本電腦或移動存儲介質外出時存在僥幸心理,將設備放在賓館自己外出或讓不認識的人代為看管,也有的將設備放在自己防護范圍之外。
3、設備備案登記不詳,歸還技術檢查不詳細。對涉密臺式機、筆記本電腦、移動硬盤、U盤、光盤等沒有進行編號和詳細的登記。無法做到設備唯一性標識,以至于設備丟失和惡意替換也無法檢查和發現。
(二)違規使用
1、管理制度不嚴謹,責任落實不到位。許多部門沒有針對臺式機、筆記本電腦和移動存儲介質制定專門的管理制度,或制定的規章不具體、可操作性差,以至于日常管理中無章可循或管理松懈。
2、嚴重違規高密低用,數據安全無保障。由于不同密級的信息系統防護技術要求不同,一些涉密人員沒有意識到涉密筆記本電腦和移動存儲介質接入低密級、非涉密系統或國際互聯網中,會產生數據泄密隱患。
3、低密高用傳播病毒,輪渡木馬暗竊密。個別人員在涉密系統中使用未經授權的私人存儲介質,這些介質往往沒有嚴格的管理和防護,容易感染病毒或木馬程序。
4、意識淡薄非法外聯,系統后門開通道。在保密技術檢查時,發現一些部門的涉密計算機和移動存儲介質存有違規外聯接入互聯網的情況,這當中有的是為升級病毒庫短時間臨時接入,有的是長時間既上網又處理涉密文件,也有的是在聯接互聯網的計算機上用移動存儲介質打印涉密文件,這些都會直接造成國家秘密的失竊。
5、設備臺賬分布不清,設備變更和技改新購設備也沒有及時登
記。一些部門配備或私人擁有筆記本電腦的人員白天在單位用這臺設備處理涉密文件或連接內網,晚上又把這臺設備帶回家上互聯網,這都會造成泄密、傳播病毒等隱患,而且設備的管理松懈也會增加設備丟失的風險。
6、忽視過程管理,設備的報廢環節管理失控。涉密計算機、涉密介質出現故障時,如果隨意選擇維修、報廢和銷毀等處理方式,會造成存儲介質涉密信息的泄露。在物理結構上,存儲設備主要由控制電路和存儲介質組成。如果控制電路損壞,采取一定的數據恢復措施,也可以讀出其中未損壞部分的數據。
(三)數據被盜
1、設備防護薄弱,數據輸入輸出不受控。個別部門的筆記本電腦沒有設置必要的安全策略或未安裝終端防護軟件。有的接入內網的筆記本不安裝準入安全軟件,輸入輸出接口不受控制,成為網絡中一個不受控制的終端,對整個網絡造成安全隱患。
2、設備交叉使用,殘留數據容易被恢復。有個別部門忽視設備歸還后的技術檢查和技術處理,設備在二次交叉借用時通過數據恢復即可獲取殘留涉密數據,造成涉密信息擴大知悉范圍。
3、數據明文保存,文件信息讀取不受限。筆記本電腦和移動存儲介質帶出工作區使用時,設備的數據直接明文保存,如果設備丟失或被不法分子控制,非法持有者可輕而易舉的獲取涉密文件會造成重大損失。
4、開放多余服務,網絡入侵遭被動泄密。單位在選購涉密計算機時沒有要求禁用帶有無線通信功能的設備,也沒有要求使用時應禁用無線網卡、藍牙等無線通信接口,以及禁止連接手機等智能通信設備的規定,也給黑客入侵提供了通道。
5、斷網時使用涉密移動存儲設備。“在互聯網計算機上使用涉密移動存儲介質會造成泄密,而在斷開互聯網的計算機上使用涉密移動存儲介質就不會泄密了",這是一個錯誤的認識。目前已發現多種木馬,當移動存儲設備插入USB接口時,能自動將其中的數據復制到計
算機中,待計算機再次連接互聯網時,再將數據發出。
(四)意外損壞
數據備份未按時,意外損壞無法再恢復。存儲介質有時會遭遇到諸如墜落、擠壓、碰撞、濺水等意外損壞,這些情況有的可以通過數據恢復技術對介質上存儲的數據進行恢復,但有的則要面臨數據丟失的現實。
四、加強管理和技術防范的對策和建議
這些由于使用計算機和移動存儲介質而引起的安全問題給分院信息化保密工作帶來了很大困擾,這些問題隨著信息化建設的深入也會越發突出和嚴重。那么,就如何建立有效的管理機制和手段,結合本人工作實踐和相關調研,做一些淺顯分析和建議。
(一)保密法規標準方面
1、規范制度統一流程,提高設備管理的科學性。開展法規體系、管理體制、科研與產品等專題研究,根據臺式機、筆記本電腦和移動存儲介質的特點和隱患,進行深入的調研,抓緊研究制定嚴謹規范的保密管理制度和標準統一的工作流程;研究制定科學的防護要求和技術標準,以保證在人員管理、設備管理、檢查監督等環節有章可循,有法可依。做為科研項目的保密資格審查認證,隨著分級保護技術標準的實施,應對認證標準進行相應的更改,保留和增加對涉密單機的檢查內容,避免個別部門利用現行標準存在的缺陷,將本應采取網絡管理的系統改為單機管理來規避審查,做到上網不保密,保密不上網。
2、加強保密標準研究,提高保密技術水平。針對涉密計算機和移動存儲介質保密技術防護手段相對落后,安全防護類產品研發相對滯后、品種單一的現狀,今后應不斷加強保密技術和保密技術標準的研究,多應用并自主開發一些具有自主知識產權、科技含量高、實用有效的保密技術產品,多研究制定一些嚴謹規范、針對性和操作性強的計算機安全標準,并以國家標準的形式發布,用來指導涉密單位的保密技術管理,幫助用戶管理使用計算機,提高系統安全性。
(二)安全保密管理方面
1、加強法規技術培訓,提高防范意識和技能。網絡的安全包含人的安全、硬件設備的安全、及應用系統的安全,網絡終端及單機運行的涉密單機和移動存儲介質的安全不僅僅只是機器的安全,更重要的是人員的安全意識和正確的操作規范,因此,要把對人和設備的管理作為兩個重要環節來抓。定期開展保密技術防范技能及保密法律法規的培訓非常必要。各部門應遵照國家的法規制定切實可行的保密管理制度和作用性強的技術操作規范,用于規范日常的工作。
2、重視過程管理,逐步建立“戶籍式”管理工作模式,提高涉密設備資產安全。根據對設備運行周期進行閉環管理的要求,對設備采取“戶籍式”管理,即對每一個設備建立一套檔案,記錄設備的購置、發放、使用、變更、報廢、銷毀等環節內容。在設備登記時應遵循唯一標識原則,如計算機應登記硬盤序列號和網卡MAC地址,U盤應記錄設備ID號和人工編號等。對于設備和應用軟件的安裝、故障的維修、例行的檢查都應有時間和責任人記錄,這樣有助于在出現問題后進行責任認定和追究,并要限制設備使用人員隨意更改系統配置、安裝應用軟件等行為。涉密計算機、移動存儲介質等涉密設備的維修應嚴格管理、詳細記錄,現場維修時,應由有關人員全程陪同;外出維修時,應拆除所有存儲過涉密信息的硬件和固件;存儲過涉密信息的硬件和固件應到具有相應資質的維修點進行維修。
3、推薦名錄統一購置,嚴把設備入門關。對于涉密計算機設備的配置,應事先確定采購名錄,對擬作為涉密設備的產品應進行嚴格的安全保密性測試,并對供應商進行必要的安全審查和評估,以確保設備的安全可靠。對于產品技術上有缺陷、服務跟不上的企業要及時進行通報,不允許其產品進入涉密領域。
4、加大執法檢查監督力度,堵塞失泄密漏洞。科學構建安全監控體系,要以人為中心,以管理為橋梁,以技術為支持,各種信息安全設備為運行平臺,實現對相關涉密人員及設備的全時段、全方位監管和實時響應。
(三)保密技術防范方面
1、對歸還設備加大技術檢查力度。設備歸還時應先進行保密技術檢查,再對涉密數據進行有效清除。可用Windows自帶的工具和命令刪除文件或格式化分區(最好是低級格式化),同時確保刪除Windows操作系統和辦公系統所產生的一些臨時文件。防止設備因二次交叉借用,產生的泄密隱患。
2、嚴禁使用私有介質,有力控制移動介質。在涉密信息系統中應禁止使用私有移動存儲介質、MP3、數碼相機、智能手機等可存儲設備,而且要對移動存儲介質進行有效的技術鑒別,防止高密低用和非授權使用。結合網絡準入系統對移動存儲設備(包括U盤、移動硬盤)制訂準入策略,未授權的移動存儲設備不可使用。對于未聯網的計算機,需要用移動存儲設備進行數據交換時,應采取必要的數據加密和身份認證措施。此外,在從互聯網向涉密網或涉密單機拷貝文件時,應先通過中間機對下載文件進行病毒、木馬程序等惡意代碼的查殺,再用內部介質轉移到涉密網中,禁止接入互聯網的存儲介質在涉密網中使用。
3、推廣終端防護系統,提升計算機安全性。針對筆記本電腦和涉密臺式機不好管理的問題,采取必要技術防范措施,通過安裝經過終端安全與文件防護系統和非法外聯監控系統以提高設備的安全性。終端安全與文件防護具有安全登錄、身份認證、數據加密、文件防護等功能,可有效加強臺式、便攜式等涉密計算機的登錄安全,保護涉密、敏感文件。
4、設備外出加強技術防護,日常使用嚴防違規。筆記本電腦外出存放和攜帶可使用防盜鎖和超距報警器;移動存儲介質應隨身攜帶,杜絕隨意放置;對于采用硬件密鑰身份認證的設備,應分開保管和攜帶。涉密臺式機的外出應按照涉密筆記本電腦相關規定進行管理,在涉密臺式機外出和歸還時也應進行必要的保密技術檢查。對于需要外出的涉密臺式機應安裝硬盤加密卡,以提高設備的安全防護水平。在日常使用時應提高保密意識、嚴守保密法律,做到“不違規外
聯、不違規使用、不違規輸出”。避免在公共場所和其他無保護環境中使用筆記本電腦,如必須使用時應該十分謹慎,并采用一定的保護措施,避免這些設備存儲和處理的信息遭到非法訪問或泄密,還要注意防范被未經授權人員窺視的風險。
總之,對燕山分院涉密計算機及移動存儲介質的風險分析和管理工作是一個漫長和嚴肅的工作,如何應對并制訂相關制度進行科學防范是保證涉密信息安全的重要手段。
第三篇:移動存儲設備保密管理規定
一、本單位u盤、移動設備要進行編號,不得借于他人使用,若需借于他人的,必須征得單位領導同意,并進行時間、借還時間、借用人、審批人等詳細登記。
二、新購計算機、移動硬盤、u盤等設備,要先進行保密標識和登記,再發放使用。
三、如使用移動設備轉移存儲保密數據,需在使用前格式化,并在使用后立即刪除保密數據。
四、使用光盤備份的保密數據要登記編號,分類存放。
五、非本單位的移動存儲設備一律不得和涉密計算機連接。
第四篇:移動存儲設備保密管理規定
移動存儲設備保密管理規定
一、本單位U盤、移動設備要進行編號,不得借于他人使用,若需借于他人的,必須征得單位領導同意,并進行時間、借還時間、借用人、審批人等詳細登記。
二、新購計算機、移動硬盤、U盤等設備,要先進行保密標識和登記,再發放使用。
三、如使用移動設備轉移存儲保密數據,需在使用前格式化,并在使用后立即刪除保密數據。
四、使用光盤備份的保密數據要登記編號,分類存放。
五、非本單位的移動存儲設備一律不得和涉密計算機連接。
第五篇:移動存儲介質使用管理規定
××××有限公司
非涉密移動存儲介質使用管理規定
為規范××××有限公司內移動存儲介質的使用和管理,防止出現因移動存儲的使用造成公司網絡感染病毒、商業機密外泄等情況,根據公司信息化建設及保密保衛工作需要,特編制本規定。
本規定所述移動存儲介質特指非涉密移動存儲介質。
本規定適用于非涉密軟盤、光盤、移動硬盤、U盤、CF卡、SD卡、MMC卡、SM卡、記憶棒、xD卡及手機、相機等移動存儲介質在××××有限公司域和計算機上的使用。
1.各單位移動存儲介質實行集中管理;
2.各單位移動存儲介質應由專人管理;
3.各單位應對本單位的U盤、移動硬盤類別、編號進行標識;
4.嚴禁在非涉密移動介質上存儲涉密信息;
5.不得在未經許可的計算機上使用移動存儲介質;
6.不得將手機與接入公司域的計算機進行連接;
7.已獲得許可的計算機上只能使用指定的移動存儲介質;
8.外來移動存儲介質或與外部計算機發生連接的移動存儲介質與公司域進行數據交換時,必須經過中轉完成;
9.未經單位保密部門許可,不得使用工具清除移動存儲介質使用痕跡;
10.各單位信息管理部門、保密部門應定期對本單位的移動存儲介質及使用移動存儲介質的計算機進行檢查。
點擊咨詢 