第一篇:企業(yè)集團網(wǎng)絡與信息安全保密總體方案及策略
企業(yè)集團網(wǎng)絡與信息安全保密總體方案及策略
對大型企業(yè)集團網(wǎng)絡與信息安全現(xiàn)狀及安全隱患進行分析,提出了總體解決方案以及企業(yè)集團的管理對策,加強安全保密技術措施,構建系統(tǒng)的安全保密防范體系。主要內(nèi)容包括:網(wǎng)絡安全準入、移動介質注冊管理、電子文件加密保護、內(nèi)部網(wǎng)頁授權管理、國際互聯(lián)網(wǎng)應用管控、操作El志和郵件歸檔審計等。企業(yè)集團實施網(wǎng)絡與信息安全保密技術和管理策略將取得明顯的信息安全及保密效果。
1、大型企業(yè)集團的網(wǎng)絡與信息安全保密工作現(xiàn)狀與分析
1.1大型企業(yè)集團網(wǎng)絡與信息系統(tǒng)安全保密工作現(xiàn)狀
經(jīng)過對國內(nèi)大型企業(yè)集團的了解和分析得知,國內(nèi)大型企業(yè)集團的網(wǎng)絡和信息化部有一些共性。大型企業(yè)集團一般擁有自己國內(nèi)或國際的廣域網(wǎng),一般集團總部和各分部/分企業(yè)集團都有單獨的互聯(lián)網(wǎng)出口。集團和自已的上下游的合作伙伴會通過專線或互聯(lián)網(wǎng)交換信息(見圖1)。企業(yè)集團這種網(wǎng)絡架構存在互聯(lián)網(wǎng)出口多、安全性低,信息孤島、OA等應用需要整合等典型問題。同時企業(yè)和合作伙伴的聯(lián)網(wǎng)安傘也需要考慮。集團信息安全系統(tǒng)主要是由防火墻、入侵監(jiān)測和病毒防范等組成,這種方法造成安全投入不斷增加、維護與管理更加復雜、信息系統(tǒng)的使用效率大大降低、對內(nèi)部沒有防范,對新的攻擊入侵毫無防御能力(如沖擊波、振蕩波)等一系列問舾。目前企業(yè)集團急需一套完整的符合國家信息安全保障工作要求的安全保密方案。
1.2大型企業(yè)集團信息網(wǎng)絡的安全隱患
1.2.1互聯(lián)網(wǎng)的安全使用問題
由于互聯(lián)網(wǎng)使用的廣泛性、接入手段的多樣性(modem撥號、以太網(wǎng)卡、無線網(wǎng)卡、藍牙、紅外等等)、應用的復雜性以及攻擊行為的隱蔽性(蠕蟲,病毒、木馬、僵尸等等),近年來我國已發(fā)生多起嚴重的網(wǎng)上失、竊密案件。威脅互聯(lián)網(wǎng)安全的因素包括“黑客”的入侵,計算機病毒,數(shù)據(jù)“竊聽”和攔截等方面。
企業(yè)集團內(nèi)同樣存在因廣泛使用互聯(lián)網(wǎng)而可能發(fā)生的核心企業(yè)秘密外泄的嚴重風險。因此,必須采用有效的技術手段,加強監(jiān)督管理,規(guī)范互聯(lián)網(wǎng)的使用,以達到保護國家秘密和集團企業(yè)核心秘密的目的。
1.2.2終端安全問題
隨著企業(yè)信息網(wǎng)的對外開放,終端數(shù)量的日漸龐大,使企業(yè)信息網(wǎng)正在承受來自互聯(lián)網(wǎng)的各種信息安全威脅,如網(wǎng)絡蠕蟲、安全攻擊,垃圾郵件等。企業(yè)網(wǎng)終端沒有統(tǒng)一的管理,病毒庫不能得到嚴格升級,每臺終端上的操作系統(tǒng)安全漏洞補丁不能得到及時更新,這些威脅都會嚴再影響企業(yè)內(nèi)部網(wǎng)絡的安全使用,并進一步威脅企業(yè)的健康發(fā)展。
在現(xiàn)有網(wǎng)絡架構下,只要接入集團的一臺終端感染網(wǎng)絡病毒,就可能導致往有數(shù)千臺終端的網(wǎng)絡內(nèi)爆發(fā)蠕蟲病毒,網(wǎng)絡中會充斥大量的無用數(shù)據(jù)包,占用幾乎全部的網(wǎng)絡設備資源和帶寬,導致真正的應用數(shù)據(jù)包無法被傳輸,甚至出現(xiàn)交換機由于CPU利用率過高而近似死機的現(xiàn)象。因此,必須對集團網(wǎng)絡從交換機終端即網(wǎng)絡邊緣開始進行安全控制。
1.2.3 Web應用系統(tǒng)分級授權控制問題
企業(yè)集團一般授權系統(tǒng)比較單一,需要建立分級授權系統(tǒng)對應用系統(tǒng)進行保護,主要包括:(1)邊界權限控制:各企業(yè)集團內(nèi)部上頁屬于內(nèi)部辦公平臺,必須受限訪問。(2)重要模塊控制:各企業(yè)集團內(nèi)部主頁有企業(yè)秘密信息模塊,也有公開信息模塊。企業(yè)秘密信息模塊包括OA系統(tǒng)、競爭情報、工作報告、會議紀要、科技成果、管琿課題研究等內(nèi)容。應加強對企業(yè)秘密信息模塊的保密管理,依據(jù)工作分工、分級授權進行訪問控制和管理。
1.2.4文件保護問題
由于企業(yè)集團內(nèi)部網(wǎng)絡監(jiān)控的缺位,目前存在以下內(nèi)部泄密途徑:(1)內(nèi)部人員將資料通過移動存儲介質從電腦中拷出帶走;(2)內(nèi)部人員通過互聯(lián)網(wǎng)將資料通過電子郵件發(fā)送給外部人員;(3)將文件打印后帶出。(4)將辦公用便攜式電腦直接帶回家中,(5)電腦易手后,硬盤上的資料沒有處理;(6)隨意將文件設成共享,導致非相關人員獲取資料;(7)移動存儲介質設備共用,導致非相關人員獲取資料;(8)將私人便攜式電腦帶到企業(yè)集團,接入局域網(wǎng),竊取資料;(9)開啟同事電腦,瀏覽、復制同事電腦里的資料。此外,還有很多其他途徑可以被別有用心的內(nèi)部人員利用以竊取資料。
1.2.5移動存儲介質和設備管理問題
越來越多的敏感信息、秘密數(shù)據(jù)和檔案資料被存貯在移動存儲介質里,給企業(yè)信息資源管理帶來相當人的安全隱患。企業(yè)集團移動存儲介質使用管理中存在的問題主要包括:非法拷貝敏感信息和涉密信息到移動存儲介質中;企業(yè)外部移動仔儲介質未經(jīng)授權在內(nèi)部使用;企業(yè)內(nèi)部移動存儲介質及信息資源被帶出,在外部非授權使用;存貯征媒體中的秘密信息在聯(lián)網(wǎng)或人工交換時被泄露或被竊取;處理廢舊移動存儲介質時,末做信息清理;存有秘密信息的介質不經(jīng)處理或任無人監(jiān)督的情況下被帶出修理;存有秘密信息的存儲介質失竊;秘密信息和非秘密信息放在同一介質上。另外公私混用,存在一定安全隱患。
1.2.6涉密文件的等級保護問題
如果將涉密文件以明文方式存儲在涉密存儲介質中,一旦涉密存儲介質(硬盤、移動硬盤、U盤、筆記本電腦)意外遺失或者被盜,或者存儲在上面的涉密信息被惡意通過網(wǎng)絡發(fā)送出去,則可能造成涉密信息的泄漏。必須采用一定的技術于段,根據(jù)涉密文件的級別,以不同等級自動進行加密,使涉密存儲介質中存儲的文件為密文,即便涉密存儲介質被盜或意外遺失,或者被惡意外泄,也不至于造成直接泄密的重大損失。
1.2.7郵件加密及歸檔審計
企業(yè)集團一般用戶自主郵件恢復功能只能恢復30天之內(nèi)的數(shù)據(jù)。且有一定的限制,無法查詢和監(jiān)督更長時期內(nèi)的歷史郵件。
據(jù)調(diào)查顯示,目前全球范圍內(nèi)正式實行郵件歸檔系統(tǒng)的企業(yè)并不多,在我國企業(yè)中真正實施郵件歸檔的企業(yè)更是少之又少。與國外企業(yè)對郵件歸檔的認識不同的是,對于國內(nèi)的企業(yè)負責人來說,也許他們更關心的是企業(yè)中的機密文件是否會被不軌員工利用電子郵件外泄。因此,必須采用一定的技術手段,實現(xiàn)郵件加密傳輸以及對郵件進行歸檔審計。利用郵件系統(tǒng)歸檔功能,可以根據(jù)企業(yè)集團工作需要查詢和監(jiān)督用戶利用企業(yè)集團的郵件平臺收發(fā)的電子郵件,尤其是公務郵件,對知識產(chǎn)權的保護具釘現(xiàn)實意義。
1.2.8 網(wǎng)絡涉密傳輸
對于涉及氽業(yè)集團或國家秘密的數(shù)據(jù)傳輸,傳輸通道必須加密,以保證特殊條件下信息不被輕易竊取。
2、網(wǎng)絡與信息安全保密建設總體方案
2.1總體目標
大型企業(yè)集團網(wǎng)絡與信息安傘保密工作的總體目標可以定義為:針對集團網(wǎng)絡及信息安全保密需要,構建系統(tǒng)的安全保密技術和防護策略及其措施,通過制度管理和技術防范,雙管齊下,規(guī)范員工行為,以達到網(wǎng)絡和信息資產(chǎn)安全的總體目標。最終達到“外人進不來,進來之后看不到,看到了拿不走,拿走了用不了,操作了可追溯”的效果。
2.2總體要求
對于網(wǎng)絡與信息保密工作而言,管理方法和技術手段同等重要,缺一不可。只重視管理流程,缺乏足夠的技術手段,信息安全保密工作就只能取決于執(zhí)行者自身的政治覺悟。對于覺悟不高者而言,容易流于形式,只審視技術手段。不加強管理,信息安傘保密工作就容易受到輕視,技術手段反而成為絆腳石,安全保密工作無法有效開展。安全,特別是信息安全是一個系統(tǒng)工程,在這個系統(tǒng)工程中,體現(xiàn)著“三分技術,七分管理”。
2.3管理改進
大型企業(yè)集團應建立網(wǎng)絡與信息安全保密組織,制定相關的管理制度,大力宣傳信息保密工作的重要性。最大程度地保護企業(yè)的各種秘密信息。具體工作任務包括:(1)根據(jù)企業(yè)集團信息保密工作的具體要求建立適合本企業(yè)集團或部門的電子信息保密規(guī)定,建立可操作的工作制度。(2)對本企業(yè)集團有涉密信息的部門劃分級別,對用戶的電腦進行嚴格的安全配置,例如禁止使用USB盤、只能登錄特定的電脯等;(3)用戶不明確信息是否涉密時,由保密工作部門進行甄別;(4)為信息技術管理部門提供有關信息保密管理、技術改進、提升與完善的具體建議;(5)對本企業(yè)的員工進行信息保密培訓與教育;(6)對涉密信息的交流與傳遞進行監(jiān)督;(7)協(xié)助安全部門對違反保密規(guī)定的信息泄漏事件進行調(diào)查、取證。(8)與審計部門配合,定期或不定期對本企業(yè)集團的信息保密工作進行審計;(9)定期或不定期向企業(yè)高層與集團信息保密工作組報告本企業(yè)集團的信息保密工作情況。
2.4總體方案
2.4.1建立網(wǎng)絡分區(qū)分級管理
目前,企業(yè)集團的整個信息網(wǎng)絡是一個整體,沒有內(nèi)、外網(wǎng)之分以及保密專網(wǎng),網(wǎng)絡結構存在安全隱患。
為了提高信息安全性,根據(jù)信息的密級,結合工作的需要,對信息網(wǎng)絡進行分區(qū)分級管理。從長遠看,企業(yè)集團網(wǎng)絡應該分為困密網(wǎng)、專用網(wǎng)、外網(wǎng)、辦公內(nèi)網(wǎng)四個安全區(qū),如圖2所示。對于安全區(qū)內(nèi)的系統(tǒng)根據(jù)審要性進行分級管理。
2.4.2建立網(wǎng)絡安全準入系統(tǒng)
在企業(yè)集團范圍內(nèi)建立終端安全防護和全面的網(wǎng)絡準入控制系統(tǒng),實現(xiàn)如下目標:
(1)網(wǎng)絡準入控制。工作站必須符合定義的安全策略(例如安裝了指定的防病毒軟件、更新了病毒特征代碼、安裝了最新的微軟補丁等)才能夠接入網(wǎng)絡,實現(xiàn)自動修復以及用戶和設備的認證,保證網(wǎng)絡上所有終端都是健康的。
(2)應用程序控制。只有指定版本的軟件才能夠訪問網(wǎng)絡資源,禁止用戶私自安裝的軟件或木馬程序、蠕蟲訪問網(wǎng)絡。
(3)基于用戶/組的訪問控制策略。可以對不同的成員企業(yè)集團、部門、承包商、項目組、第三方接人人員采用不同的網(wǎng)絡訪問控制策略,構建集中管理的分布式防火墻體系。
2.4.3實施Web應用分級授權控制系統(tǒng)
隨著企業(yè)集團業(yè)務的發(fā)腰和集團各部門之間信息交流的增多,因估息系統(tǒng)建沒周期較長、系統(tǒng)眾多,技術架構趨于復雜,需要一套靈活的、易于管理的Web應用授權控制系統(tǒng)。
新的Web授權系統(tǒng)作為企業(yè)集團內(nèi)部Web應用統(tǒng)一的授權服務平臺,為企業(yè)門戶任應用層面提供信息瀏覽的安傘保障,滿足企業(yè)在業(yè)務需求不斷發(fā)展的過程中產(chǎn)生的信息安全方面的需要。同時,該系統(tǒng)也可以作為一項獨立的安全服務,為以后的集團門戶系統(tǒng)提供強有力的支撐。
2.4.4建立企業(yè)電子文件保護平臺
建立企業(yè)集團范圍的電子文件保護平臺,解決如下問題:
(1)按需對涉密電子文件進行加密。
(2)單一或組合授予用戶閱讀,打印、復制、編輯等權限。
(3)對于脫離受控環(huán)境的電子文件,可以限制其只能在特定的計算機上使用;或設置其可讀取的次數(shù)和有效期限。
(4)與各類信息系統(tǒng)進行集成。使得這些信息系統(tǒng)具備電子文件保護能力,并且不會改變系統(tǒng)的原有流程。
(5)無論使用U盤、移動硬盤、還是通過Email發(fā)附件的方式,在受控環(huán)境之外不能有效使用經(jīng)保護的涉密電子文件。
(6)關注電子文件本身,而不是層出不窮的各類電子設備和文件載體。
2.4.5移動存儲設備的使用管理
移動存儲設備應分密級使用,并必須保證密級文件的安全。
移動存儲設備應根據(jù)所保存的涉密內(nèi)容。分級別進行登記和管理;采取技術手段,禁止未經(jīng)許可的U盤在涉密計算機上進行使用,保證經(jīng)過許可的U盤在涉密計算機上能正常使用,保證存儲涉密文件的U盤丟失后不造成內(nèi)容泄密。
2.4.6涉密文件安全等級保護
(1)所有文件只能任內(nèi)部才能使用。即使被惡意通過互聯(lián)網(wǎng)發(fā)出去,或者通過U盤拷貝出去,文件不能被正常讀取。
(2)對文件征內(nèi)部的流轉進行等級劃分。密級文件只能在具備相應或更高密級的計算機上才能被讀取。
(3)文件以密文的方式在內(nèi)部流轉,即使在流轉過程中被竊取,也不會造成重大泄密。
(4)對加密文件進行解密時,必須得到明確的授權。
(5)文件的整個流轉過程具備完整的審計日志。
2.4.7實現(xiàn)郵件加密及歸檔審計
建立公開密鑰基礎設施(PKI)證書系統(tǒng),要求部門經(jīng)理以上用戶采用PKI/CA(CA證書)郵件加密與數(shù)字簽名的方式增加郵件系統(tǒng)訪問的安全性。建立歸檔機制,自動、實時地對現(xiàn)有郵件系統(tǒng)中的郵件進行分類存儲。終端用戶刪除郵件不會造成系統(tǒng)中數(shù)據(jù)的丟失。管理員可以根據(jù)需要隨時根據(jù)各種條件進行檢索。
2.4.8網(wǎng)絡涉密傳輸
采用內(nèi)置國家密碼管理局認證硬件加密卡的網(wǎng)絡加密機(VPN)進行數(shù)據(jù)傳輸通道的加密。即采用密碼技術在公用網(wǎng)絡中開辟出專用的隧道,形成專用網(wǎng)絡,主要用于解決公共網(wǎng)絡中數(shù)據(jù)傳輸?shù)陌踩珕栴},保證內(nèi)部網(wǎng)中的重要數(shù)據(jù)能夠安全地借助公共網(wǎng)絡進行交換。
3、網(wǎng)絡與信息安全保密技術基本實施策略
根據(jù)大型企業(yè)集團網(wǎng)絡與信息安傘保密總體方案,從六個方面加強安全保密技術措施,構建系統(tǒng)的安全保密防范體系。主要內(nèi)容包括:網(wǎng)絡安全準入、移動介質注冊管理、電子文件加密保護、內(nèi)部網(wǎng)頁授權管理、國際互聯(lián)網(wǎng)應用管控、操作日志和郵件歸檔審計等。
3.1網(wǎng)絡安全準入
策略內(nèi)容:對終端電腦實行注冊管理,接入企業(yè)集團網(wǎng)絡時需進行設備和賬號雙重認證控制。首先,通過系統(tǒng)后臺驗證終端電腦是否已在企業(yè)集團注冊,是否符合安全標準(安裝準入客戶端和指定病毒防火墻),驗證合格后方允許接入系統(tǒng);其次,用戶輸入賬號、密碼,經(jīng)身份驗證后方可訪問內(nèi)部信息資源。非注冊終端設備或非授權賬號不能接入內(nèi)部辦公網(wǎng)絡,非安全終端設備(染毒)訪問內(nèi)部辦公網(wǎng)絡資源時受限。
解決問題:網(wǎng)絡入口控制。防范非法接入網(wǎng)絡;降低網(wǎng)絡被病毒感染和攻擊的概率。
3.2移動介質注冊管理
策略內(nèi)容:對移動存儲介質(U盤、移動硬盤等)的使用進行注冊管理。已注冊移動存儲介質在企業(yè)集團內(nèi)網(wǎng)、工作電腦上可正常使用和交換數(shù)據(jù);在外網(wǎng)或外部設備中,只有將移動存儲介質設置為商旅模式并輸入密碼后方可使用;非注冊移動仔儲介質中的電子數(shù)據(jù)可拷貝至企業(yè)集團內(nèi)網(wǎng)、工作電腦上,企業(yè)集團內(nèi)網(wǎng)、工作電腦上的電子數(shù)據(jù)不能拷貝到非注冊移動存儲介質上;因工作需要向企業(yè)集團以外的電腦中拷貝電子數(shù)據(jù)時,經(jīng)保密審查后,統(tǒng)一由企業(yè)集團或部門機要員將移動存儲介質設置為商旅模式并進行解密;對注冊移動存儲介質中資料的所有更改、轉移、交換、解密等行為,進行后臺記錄,作為審計依據(jù)。
解決問題:防范電子文件通過移動介質拷貝泄密,防范移動介質遺失造成失、泄密。
3.3 Web網(wǎng)頁授權管理
策略內(nèi)容:對企業(yè)集團內(nèi)部主頁進行三級授權管理。第一級為整個豐頁的訪問授權;第二級為主頁內(nèi)欄目或業(yè)務系統(tǒng)的訪問授權,第三級為應用程序授權。各級授權管理分別由網(wǎng)頁、欄目、業(yè)務系統(tǒng)的用戶應用管理員負責。
解決問題:按授權范圍查閱、利用網(wǎng)絡信息資源,在安全范圍內(nèi)進行成果交流。
3.4電子文件加密保護
策略內(nèi)容:禁止在企業(yè)集團網(wǎng)絡上存儲、處理、傳輸涉及國家秘密的電子文件、信息,對涉及企業(yè)秘密的電子文件、信息進行加密保護。豐委包括以下三個方面:
(1)對網(wǎng)頁中需要保護的附件電子文件進行加密,根據(jù)需要對附件的查閱、修訂、復制、下載、打印等權限進行控制。
(2)對部門或個人的最終成果類電子文件提供網(wǎng)絡存儲、備份管理審問,提供基于加密和授權保護的共享利用手段,進行成果管理和共享。設置個人文件夾備份保管個人成果文件,設置部門成果文件夾存儲保管部門成果文件,設置部門共享文件夾任加密授權保護的前提下對成果文件進行共享。
(3)使用加密技術對重要或涉及企業(yè)秘密的電子文件進行加密管理,設置查閱、修訂、復制、下載、打印等權限,按授權利用文件成果。
解決問題:進行成果管理,提供基于加密和授權保護的共享。防范非授權或無關人員接觸涉密或敏感電于文件;防范二次傳輸泄密(授權人二次傳送給無關人員或集團以外人員造成泄密);防范移動電腦遺失造成的數(shù)據(jù)丟失或泄密。
3.5國際互聯(lián)網(wǎng)應用管控
策略內(nèi)容:實施互聯(lián)網(wǎng)出口認證和流量管理系統(tǒng),加強互聯(lián)網(wǎng)系統(tǒng)監(jiān)控和管理。禁止進行聯(lián)機游戲、基金炒股、P2P下載、BBS交流以及QQ、MSN等即時通訊網(wǎng)絡操作;禁止使用超文本傳輸協(xié)議(http)以外的應用;禁止一個賬號在多臺機器上同時登錄互聯(lián)網(wǎng);按國家相關規(guī)定對訪問互聯(lián)網(wǎng)的行為進行后臺監(jiān)控,必要時對后臺監(jiān)控日志進行審計;禁止訪問非工作相關網(wǎng)站或不良信息網(wǎng)站。對違反互聯(lián)網(wǎng)使用管理規(guī)定的用戶,收回其權限并在企業(yè)集團內(nèi)部通告。
解決問題:依法安全使用互聯(lián)網(wǎng),提高網(wǎng)絡安全性。監(jiān)督防范擅自向外網(wǎng)(如BBS、博客等)張貼涉密文件資料而造成泄密。
3.6電子郵件管理
策略內(nèi)容:與集團外部進行工作郵件往來時必須使用企業(yè)集團外部郵件系統(tǒng),禁止使用郵件系統(tǒng)傳送國家秘密文件信息;使用郵件系統(tǒng)傳送企業(yè)秘密文件信息時,應使用電于文件保護系統(tǒng)或企業(yè)集團配發(fā)的USB Key CA證書對郵件進行加密;企業(yè)集團對員工的郵件收發(fā)行為進行監(jiān)控、記錄并歸檔,作為審計依據(jù)。
解決問題:防范通過非企業(yè)集團郵箱發(fā)送工作郵件可能造成的泄密,提供監(jiān)控和追溯審查手段,加強郵件安全保密管理。
3.7監(jiān)控審計
策略內(nèi)容:完整記錄用戶訪問互聯(lián)網(wǎng)、收發(fā)郵件、電子文件拷貝、電腦操作以及信息系統(tǒng)管理員操作等所有信息傳遞活動日志,可對重點部門、部位或個人的電腦操作進行監(jiān)控;根據(jù)需要對各種信息進行監(jiān)控審計。審計工作由審計郜人員組織執(zhí)行。
解決問題:提供監(jiān)控審計手段,便于稽核追蹤管理。區(qū)分管理權(用戶)、操作杈(管理員)、審計權(審計人員)。
4、結束語
大型企業(yè)集團實施上述網(wǎng)絡與信息安全保密技術和管理策略將取得明顯的效果。比如,限制非法或不安全登錄網(wǎng)絡,提高了計算機信息系統(tǒng)的安全性;對計算機及移動存儲介質進行注冊管理,對涉密電子文件采取加密措施,實現(xiàn)了對電子文件的有效保密管控;安裝應用國際互聯(lián)網(wǎng)監(jiān)控管理系統(tǒng),確保安全、合法、規(guī)范地使用互聯(lián)網(wǎng),加強了信息保密管理;制定計算機網(wǎng)絡與信息安全保密管理規(guī)定,提高了規(guī)范化管理水平;此外,通過該項日的建設與實施,深入推動了保密宣傳教育工作,提高了員工的保密意識,對深入開展網(wǎng)路與信息安全保密工作具有重要的現(xiàn)實意義。
隨著上述方案在大瓔企業(yè)集團的逐步傘面推廣實施,集團的網(wǎng)絡與信息安傘保密技術防范能力將顯著得到加強,安令保密管理水平必將邁上新臺階。
第二篇:網(wǎng)絡信息安全和保密責任制
網(wǎng)絡信息安全和保密責任制
為加強企業(yè)信息安全,維護企業(yè)合法權益,明確員工對企業(yè)所負的信息安全與保密責任,根據(jù)國家相關法規(guī)、制度要求,特制定本責任制:
一、監(jiān)控中心負責對相關系統(tǒng)所涉及資料重點檔案的各種存儲載體、收集、登記、存檔等管理工作。
二、加強計算機系統(tǒng)的保密安全管理,對涉密與非保密計算機予以明確區(qū)分,涉密機必須完全與局域網(wǎng)脫離連接,并禁止上因特網(wǎng)以防泄密,做到上網(wǎng)信息不涉密,涉密信息不上網(wǎng)。
三、信息收集、整理和加工應分別由專人負責,互相監(jiān)督,不得編造或篡改信息,各部門或個人所提供信息應在顯著位置標明信息保密等級。
四、為保護知識產(chǎn)權和防止信息泄密,任何部門和個人不得私自向他人提供互聯(lián)網(wǎng)發(fā)布的信息。
如確需要時,由各部門報分管副礦批準后,同時報監(jiān)控中心記錄備案后方可。
五、存儲于計算機設備及媒體中的信息,低于保密等級及無關人員不得私自調(diào)閱。
六、接觸機密信息的有關人員,應嚴格執(zhí)行保密制度,未經(jīng)領導批準,不得向低于保密等級無關人員傳播。
七、存儲過秘密信息的計算機媒體委外維修應保證所存儲的信息不被泄露,同時報監(jiān)控中心備案。
記載有機密信息的報廢磁介質和紙張,必須進行銷毀。
八、對外來參觀人員,不經(jīng)領導批準,任何部門和個人均不得通過屏幕顯示和打印方式輸出機密信息,更不得進行磁介質拷貝。
九、任何部門和個人發(fā)現(xiàn)計算機信息系統(tǒng)泄密后,應及時采取補救措施,并按有關規(guī)定及時向上級報告。
十、發(fā)現(xiàn)信息泄密、利用單位機密信息進行違法犯罪、發(fā)布有害信息等違法犯罪行為,任何部門和個人均有義務及時向監(jiān)控中心及有關部門進行匯報,并協(xié)助有關部門或管理人員對上述人或事進行調(diào)查、取證、處理,向調(diào)查人員如實提供所需證據(jù)。
部門負責人: 責任人:
二○一一年一月
第三篇:網(wǎng)絡信息安全保密管理制度
計算機網(wǎng)絡信息安全保密管理制度
一、為保障隨州金戈馬網(wǎng)絡科技有限公司(以下簡稱公司)內(nèi)的計算機信息系統(tǒng)安全,防止計算機網(wǎng)絡失密泄密事件發(fā)生,根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》及有關法律法規(guī),結合本公司實際制定本公司的安全保密制度。
二、為防止病毒造成嚴重后果,對外來光盤、軟件要嚴格管理,原則上不允許外來光盤、軟件在公司內(nèi)局域網(wǎng)計算機上使用。確因工作需要使用的,事先必須進行防(殺)毒處理,證實無病毒感染后,方可使用。
三、嚴格限制接入網(wǎng)絡的計算機設定為網(wǎng)絡共享或網(wǎng)絡共享文件,確因工作需要,要在做好安全防范措施的前提下設置,確保信息安全保密。
四、為防止黑客攻擊和網(wǎng)絡病毒的侵襲,接入網(wǎng)絡的計算機一律安裝殺毒軟件,及時更新系統(tǒng)補丁和定時對殺毒軟件進行升級,并安裝必要的局域網(wǎng)ARP攔截防火墻。
五、本公司醞釀或規(guī)劃重大事項的材料,在保密期間,將有關涉密材料保存到非上網(wǎng)計算機上。
六、各科室禁止將涉密辦公計算機擅自聯(lián)接國際互聯(lián)網(wǎng)。
七、保密級別在秘密以下的材料可通過電子信箱、QQ傳遞和報送,嚴禁保密級別在秘密以上(含秘密)的材料通過電子信箱、QQ傳遞和報送。
一、崗位管理制度:
(一)計算機上網(wǎng)安全保密管理規(guī)定
1、未經(jīng)批準涉密計算機一律不許上互聯(lián)網(wǎng),如有特殊需求,必須事先提出申請報主管領導批準后方可實施,并安裝物理隔離卡,在相關工作完成后撤掉網(wǎng)絡。
2、要堅持“誰上網(wǎng),誰負責”的原則,各科室科長負責嚴格審查上網(wǎng)機器資格工作,并報主管領導批準。
3、國際互聯(lián)網(wǎng)必須與涉密計算機系統(tǒng)實行物理隔離。
4、在與國際互聯(lián)網(wǎng)相連的信息設備上不得存儲、處理和傳輸任何涉密信息。
5、加強對上網(wǎng)人員的保密意識教育,提高上網(wǎng)人員保密觀念,增強防范意識,自覺執(zhí)行保密規(guī)定。
(二)涉密存儲介質保密管理規(guī)定
1、涉密存儲介質是指存儲了涉密信息的硬盤、光盤、軟盤、移動硬盤及U盤等。
2、有涉密存儲介質的科室需妥善保管,且需填寫“涉密存儲介質登記表”。
3、存有涉密信息的存儲介質不得接入或安裝在非涉密計算機或低密級的計算機上,不得轉借他人,不得帶出工作區(qū),下班后存放在本單位指定的柜中。
4、各科室負責管理其使用的各類涉密存儲介質,應當根據(jù)有關規(guī)定確定密級及保密期限,并視同紙制文件,按相應密級的文件進行分密級管理,嚴格借閱、使用、保管及銷毀制度。借閱、復制、傳遞和清退等必須嚴格履行手續(xù),不能降低密級使用。
5、涉密存儲介質的維修應保證信息不被泄露,需外送維修的要經(jīng)主管領導批準,維修時要有涉密科室科長在場。
6、不再使用的涉密存儲介質應由使用者提出報告,由單位領導批準后,交主管領導監(jiān)督專人負責定點銷毀。
二、人員管理制度及操作規(guī)程:(一)計算機維修維護管理規(guī)定
1、涉密計算機系統(tǒng)進行維護檢修時,須保證所存儲的涉密信息不被泄露,對涉密信息應采取涉密信息轉存、刪除、異地轉移存儲媒體等安全保密措施。無法采取上述措施時,涉密科室科長必須在維修現(xiàn)場,對維修人員、維修對象、維修內(nèi)容、維修前后狀況進行監(jiān)督并做詳細記錄。
2、各涉密科室應將本科室設備的故障現(xiàn)象、故障原因、擴充情況記錄在設備的維修檔案記錄本上。
3、凡需外送修理的涉密設備,必須經(jīng)主管領導批準,并將涉密信息進行不可恢復性刪除處理后方可實施。
4、高密級設備調(diào)換到低密級單位使用,要進行降密處理,并做好相應的設備轉移和降密記錄。
5、由辦公室指定專人負責各涉密科室計算機軟件的安裝和設備的維護維修工作,嚴禁使用者私自安裝計算機軟件和擅自拆卸計算機設備。
6、涉密計算機的報廢交主管領導監(jiān)督專人負責定點銷毀。
(二)用戶密碼安全保密管理規(guī)定
1、用戶密碼管理的范圍是指本公司所有涉密計算機所使用的密碼。
2、機密級涉密計算機的密碼管理由涉密科室負責人負責,秘密級涉密計算機的密碼管理由使用人負責。
3、用戶密碼使用規(guī)定。
(1)密碼必須由數(shù)字、字符和特殊字符組成;
(2)秘密級計算機設置的密碼長度不能少于8個字符,密碼更換周期不得多于30天;
(3)機密級計算機設置的密碼長度不得少于10個字符,密碼更換周期不得超過7天;
4、密碼的保存。
(1)秘密級計算機設置的用戶密碼由使用人自行保存,嚴禁將自用密碼轉告他人;若工作需要必須轉告,應請示主管領導認可。
(2)機密級計算機設置的用戶密碼須登記造冊,并將密碼本存放于保密柜內(nèi),由科室主任、科長管理。
(三)涉密電子文件保密管理規(guī)定
1、涉密電子文件是指在計算機系統(tǒng)中生成、存儲、處理的機密、秘密和內(nèi)部的文件、圖紙、程序、數(shù)據(jù)、聲像資料等。
2、電子文件的密級按其所屬項目的最高密級界定,其生成者應按密級界定要求標定其密級,并將文件存儲在相應的目錄下。
3、各用戶需在本人的計算機系統(tǒng)中創(chuàng)建“機密級文件”、“秘密級文件”、“內(nèi)部文件”三個目錄,將系統(tǒng)中的電子文件分別存儲在相應的目錄中。
4、電子文件要有密級標識,電子文件的密級標識不能與文件的正文分離,一般標注于正文前面。
5、電子文件必須定期、完整、真實、準確地存儲到不可更改的介質上,并集中保存,然后從計算機上徹底刪除。
6、各涉密科室自用信息資料要定期做好備份,備份介
質必須標明備份日期、備份內(nèi)容以及相應密級,嚴格控制知悉此備份的人數(shù),做好登記后進保密柜保存。
7、各科室要對備份電子文件進行規(guī)范的登記管理。備份可采用磁盤、光盤、移動硬盤、U盤等存儲介質。
8、涉密文件和資料的備份應嚴加控制。未經(jīng)許可嚴禁私自復制、轉儲和借閱。對存儲涉密信息的磁介質應當根據(jù)有關規(guī)定確定密級及保密期限,并視同紙制文件,分密級管理,嚴格借閱、使用、保管及銷毀制度。
9、備份文件和資料保管地點應有防火、防熱、防潮、防塵、防磁、防盜設施,并進行異地備份。
(四)涉密計算機系統(tǒng)病毒防治管理規(guī)定
1、涉密計算機必須安裝經(jīng)過國家安全保密部門許可的查、殺病毒軟件。
2、每周升級和查、殺計算機病毒軟件的病毒樣本。確保病毒樣本始終處于最新版本。
3、絕對禁止涉密計算機在線升級防病毒軟件病毒庫,同時對離線升級包的來源進行登記。
4、每周對涉密計算機病毒進行一次查殺檢查。
5、涉密計算機應限制信息入口,如軟盤、光盤、U盤、移動硬盤等的使用。
6、對必須使用的外來介質(磁盤、光盤,U盤、移動硬盤等),必須先進行計算機病毒的查、殺處理,然后才可使用。
7、對于因未經(jīng)許可而擅自使用外來介質導致嚴重后果的,要嚴格追究相關人員的責任。
(五)上網(wǎng)發(fā)布信息保密規(guī)定
1、上網(wǎng)信息的保密管理堅持“誰發(fā)布誰負責”的原則。凡向國際聯(lián)網(wǎng)或本單位的網(wǎng)站提供或發(fā)布信息,必須經(jīng)過保密審查批準,報主管領導審批。提供信息的單位應當按照一定的工作程序,健全信息保密審批制度。
2、凡以提供網(wǎng)上信息服務為目的而采集的信息,除在其它新聞媒體上已公開發(fā)表的,組織者在上網(wǎng)發(fā)布前,應當征得提供信息單位的同意。凡對網(wǎng)上信息進行擴充或更新,應當認真執(zhí)行信息保密審核制度。
3、涉密人員在其它場所上國際互聯(lián)網(wǎng)時,要提高保密意識,不得在聊天室、電子公告系統(tǒng)、網(wǎng)絡新聞上發(fā)布、談論和傳播國家秘密信息。
4、使用電子函件進行網(wǎng)上信息交流,應當遵守國家保密規(guī)定,不得利用電子函件傳遞、轉發(fā)或抄送國家秘密信息。
隨州金戈馬網(wǎng)絡科技有限公司
2012年10月12日
第四篇:網(wǎng)絡和信息安全保密責任書
網(wǎng)絡和信息安全保密責任書
為堅決杜絕計算機違規(guī)事件發(fā)生,進一步做好網(wǎng)絡安全工作,為信息化建設工作提供強有力的網(wǎng)絡安全保障,為提高網(wǎng)絡和應用系統(tǒng)使用人員的安全保密意識,增強責任感,確保網(wǎng)絡和信息安全保密,根據(jù)“誰使用、誰負責”的管理責任制,結合實際,制定了《網(wǎng)絡和信息安全保密責任書》,并要求所有使用計算機的干警簽訂。
一、辦公專網(wǎng)與國際互聯(lián)網(wǎng)完全物理隔離,不使用任何其他網(wǎng)絡設備造成“一機兩用”。
二、原則上辦公用的電腦不得安裝軟驅、光驅和開放USB接口,因工作需要必須安裝軟驅、光驅和開放USB接口,的計算機。不得使用外來和自用的移動存儲設備。外來的軟盤、光盤和移動存儲設備必須由計算機信息安全管理組查殺病毒和登記后,轉入辦公專網(wǎng)才能使用。全面防止移動存儲設備使用中“公私不分”。
三、計算機安全日常防范
1、管理好本人使用的計算機,不準外來和無關人員使用和亂動計算機。
2、任何人不得隨意安裝軟件,如有需要安裝與工作相關的軟件。應由計算機信息安全管理組指定人員協(xié)助安裝。
3、計算機均應設置開機熱啟動、網(wǎng)絡登陸及屏幕保護密碼,暫時離開電腦要確保正在編輯的文件已關閉或正在使用的應用系統(tǒng)已退出且屏幕保護已啟動。
4、重要文件要設置開啟密碼。
5、電腦系統(tǒng)或文件設置的密碼或口令其長度不得少于8個字符;應采用組成復雜、不易猜測的口令,一般應是:大小寫英文字母、數(shù)字、特殊字符中兩者以上的組合;口令更換周期不得長于一個月。
6、每個用戶必須妥善管理自己的密碼、口令,要定期更換并不得隨意泄露。
四、本責任書一式三份,自簽訂之日起生效,計算機信息安全管理組與責任人各執(zhí)一份。
管理機構:計算機信息安全管理組 責任人簽名:
負 責 人:
聯(lián)系電話 :
簽訂日期 :
年 月 日 簽訂日期 :
年 月 日
第五篇:信息與網(wǎng)絡管理中心信息安全保密管理辦法
信息與網(wǎng)絡管理中心信息安全保密管理辦法
為加強信息化建設安全保密工作,維護集團安全和利益,結合信息化建設工作實際,特制定本管理辦法。
一、信息安全與保密
1、建立信息系統(tǒng)安全等級保護制度,建立人員權限控制表,進行信息分級管理,不同級別的人員只能查看相應級別的數(shù)據(jù);
2、發(fā)布任何信息必須經(jīng)過合法的工作程序或主管領導的審批;
3、記錄敏感數(shù)據(jù)的操作日志,并長期保存;
4、對數(shù)據(jù)中心的運行拓撲結構、服務器軟硬件信息,包括操作系統(tǒng)和應用軟件的配置等信息應分級管理并嚴格保密;
5、在開發(fā)、運行、維護過程中,每位成員要有保密意識,不該看的不看,不該說的不說;
6、禁止在自己管理的計算機(工作用機、服務器)上開設與工作無關的服務;
7、禁止在個人用機(筆記本電腦、臺式 PC 機)上存放敏感數(shù)據(jù);
8、系統(tǒng)管理員、數(shù)據(jù)庫管理員、信息系統(tǒng)開發(fā)人員及相關人員不得對外宣揚本職工作所從事的具體內(nèi)容;
9、所有上互聯(lián)網(wǎng)的人員必須遵守國家有關法律法規(guī)的規(guī)定
10、如發(fā)生信息安全與保密事故,當事人立即向信息中心主任匯報,相關信息不得向無關人員透露。
二、數(shù)據(jù)安全
1、對存放敏感數(shù)據(jù)的運行服務器須嚴格管理。系統(tǒng)賬號必須登記并定期檢查;
2、嚴格控制對運行數(shù)據(jù)庫和試運行庫的直接訪問。原則上只有運行服務室數(shù)據(jù)庫管理人員、技術支持人員可以直接訪問,其他人員訪問數(shù)據(jù)庫必須得到相關領導批準并備案;
3、建立數(shù)據(jù)備份制度,對數(shù)據(jù)進行定期備份,包括數(shù)據(jù)容災備份;備份的數(shù)據(jù)應注意保密,不得隨意存放;
4、運行數(shù)據(jù)庫不得用于系統(tǒng)的開發(fā)調(diào)試;
5、測試數(shù)據(jù)庫和開發(fā)數(shù)據(jù)庫中不得存放敏感數(shù)據(jù);
6、所有管理員(數(shù)據(jù)庫系統(tǒng)、應用系統(tǒng))應嚴格管理自己的帳號和密碼,并定期更換密碼;
7、管理員登錄系統(tǒng)應采用加密方式;
8、不得利用郵件、移動存儲介質、筆記本電腦等將數(shù)據(jù)中心的涉密資源帶出辦公室。
三、網(wǎng)絡和服務器安全
1、設立信息系統(tǒng)安全保密責任人,加強對信息安全工作的組織落實;
2、設立信息安全管理員崗位,并制定相應的崗位職責;
3、建立數(shù)據(jù)中心網(wǎng)絡信息安全防范體系,保證服務器特別是關鍵服務器的安全;
4、凡用于對外提供服務的服務器必須保留至兩年的日志。
四、數(shù)據(jù)中心機房安全
1、對存放服務器的數(shù)據(jù)中心機房建立機房管理制度和嚴密的保安措施,無關人員嚴禁入內(nèi),相關人員進出機房必須有相應登記;
2、對信息備份的介質要專人保管,定期檢查,防止丟失或受損;
3、加強機房日常管理,制定數(shù)據(jù)中心機房值班制度;
4、對于進出數(shù)據(jù)中心機房的設備必須經(jīng)過嚴格的審批和登記手續(xù)。
五、辦公環(huán)境安全
1、對于新裝的計算機必須嚴格按照規(guī)范進行;
2、每位成員在其辦公用機安裝操作系統(tǒng)后,必須安裝補丁程序、防病毒軟件并進行安全檢查。每位成員負責自己使用的辦公用機的安全,及時更新補丁,升級相關軟件及病毒庫;
3、所有成員都有責任和義務保管好所使用的網(wǎng)絡設施和計算機設備,非管理人員禁止隨意更改設備配置,確保設備的正常穩(wěn)定運行;
4、禁止未授權的其他人員接入中心的計算機網(wǎng)絡以及訪問網(wǎng)絡中的資源;
5、IP 地址為計算機網(wǎng)絡的重要資源,使用者應在管理員的規(guī)劃下使用這些資源,不能擅自更改。某些系統(tǒng)服務對網(wǎng)絡產(chǎn)生影響,使用者應在安全管理員的指導下使用,禁止隨意開啟計算機中的系統(tǒng)服務,保證計算機網(wǎng)絡暢通運行;
6、計算機使用者應保管好分配給自己的用戶賬號和密碼。禁止隨意向他人泄露、借用自己的賬號和密碼,嚴禁不以真實身份登錄系統(tǒng)。計算機使用者應定期更改密碼、使用復雜密碼。不得猜測他人的密碼,不得使用黑客程序進行密碼破解,不得竊取系統(tǒng)管理員的密碼;
7、上網(wǎng)時必須將殺毒軟件的實時監(jiān)測功能打開;
8、接到可疑郵件時不要隨意打開,以免感染病毒;
9、禁止利用掃描、監(jiān)聽、偽裝等工具對網(wǎng)絡和服務器進行惡意攻擊,禁止非法侵入他人網(wǎng)絡和服務器系統(tǒng),禁止利用計算機和網(wǎng)絡干擾他人正常上課和工作的行為。
點擊咨詢 