信息系统安全与保密第一章
计算机信息系统保密管理规定
计算机信息系统保密管理规定______公司计算机信息系统保密管理规定编制:审核:批准:_____公司计算机信息系统保密管理规定第一章总则第一条为保护计算机信息系统处理的国家秘密信息安全,根据国保发(1998)1号文件精神,依照BMB17-20__6《涉及国家秘密的信息系统分级保护技术要求》、BMB20-20__7《涉及国家秘密的信息系统分级保护管理规范》的要求制定本规定。
第二条本规定适用于公司涉密信息系统的运行管理,规定所称的计算机信息系统由本单位的各类涉密计算机(便携式计算机、服务器、用户终端)、网络设备、外部设备、存储介质、安全保密产品等构成的人机系统。
第三条本规定包括:信息系统基本要求、台账、维修、报废、审计、安全保密防护、密码保护、存储介质、外出携带、互联网计算机使用等内容。
第四条计算机信息系统保密管理实行“积极防范、突出重点、分级负责、责任到人”的原则。
严禁涉密信息系统直接或间接连接互联网及其他公共网络;严禁使用连接国际互联网或其他公共信息网络的计算机和信息设备进行存储和处理涉密信息。
第五条保密办公室负责公司各部门计算机信息系统安全工作的监督和检查,发现问题,及时提出并督促整改。
各部门负责本部门计算机信息系统及涉密信息的安全保密工作。
第二章台账、维修、报废管理第六条本单位的计算机和信息系统设备总台账由保密办公室负责统计、维护和管理,涵盖本单位的各类计算机(便携式计算机、服务器、用户终端)、网络设备、外部设备、存储介质、安全保密产品等。
第七条各部门应建立本部门计算机和信息系统分台账。
由各部门负责统计、维护和管理。
第八条台账应以电子和文档版本形式存在,总台账和分台账内容应当吻合,并与实物相符,发现问题实时更新台账,保证台账与实物相符。
第九条台账信息按照设备分类,应包含以下信息:㈠计算机台账应当包含:密级、放置地点、使用人、操作系统版本、安装时间、硬盘物理号、IP地址、MAC地址和使用情况(包含再用、停用、报废、销毁等);见附表九。
公司信息系统安全及保密管理制度 Microsoft Office Word 文档
公司信息系统安全及保密管理制度第一章总则第一条为建设好公司信息化系统,保护公司信息资源,保证公司计算机网络信息系统安全,为公司安全顺利生产运行保驾护航,结合公司实际情况,特制定本制度。
第二条公司信息安全管理体系分为三级:运营改善部为信息安全管理中心,是第一级;各部门为分管单位,是第二级;各终端用户是第三级。
第三条本办法适用于公司各单位和接入公司局域网的相关单位和个人。
第二章职责分工第四条公司运营改善部负责公司范围内的信息安全系统的统一管理,结合总公司的要求组织部署公司信息安全系统并承担日常管理工作。
负责联络和组织安全管理人员、技术专家和安全产品厂家代表解决特殊或紧急情况。
(一)组织制定企业信息化建设规划中有关信息安全的内容。
(二)组织落实公司信息系统安全等级保护和信息安全风险评估等工作。
(三)负责企业专网内各信息系统及用户访问互联网的安全监督、访问控制策略的制定、用户分类及访问权限的审批等。
(四)负责公司各单位接入企业专网的各项信息化软硬件设施、应用系统及安全环境的检查。
(五)根据企业管理的要求,确定要害信息系统及相关设备;负责企业专网系统各项安全策略的制定及权限的审批。
(六)负责检查督促使用公司企业专网的各单位建立信息系统安全管理组织,明确组织的负责人和管理的责任人。
(七)负责组织对公司企业专网范围内的信息系统安全情况进行检查,落实有关信息安全方面的法律法规,督促开展对于信息安全隐患的整改工作。
(八)处理违反公司信息系统安全管理有关规定的事件和行为,配合公安机关及保卫部门查处危害企业网络和信息系统安全的违法犯罪案件。
(九)履行法律、法规、制度规定的其他有关网络信息系统安全保护方面的管理职责。
(十)配合上级单位的全局安全策略的实施工作;并结合公司的实际情况实施安全策略,审批相应的管理权限、制定相应的管理策略。
第五条公司各单位负责本单位信息化设备及系统的信息安全管理工作,职责为:(一)教育职工遵守内网信息系统安全制度的各项规定。
计算机信息系统保密管理规定(四篇)
计算机信息系统保密管理规定第一章总则第一条为加强计算机信息系统的保密管理,维护国家信息安全和社会公共利益,保护计算机信息系统中的重要信息和数据资源,制定本规定。
第二条本规定适用于使用计算机信息系统进行信息处理、传输、存储等活动的各类组织机构和个人。
第三条计算机信息系统保密管理应当坚持统筹规划、综合治理的原则,建立分工协作、职责明确的保密管理机制。
第四条计算机信息系统的保密管理工作应当遵循法律法规、技术标准和保密要求。
第二章保密责任和义务第五条计算机信息系统的管理者应当对计算机信息系统的安全进行全面负责,并确保相关人员按照规定履行保密责任和义务。
第六条计算机信息系统的使用者应当按照规定使用计算机信息系统,并严格遵守保密规定,保护计算机信息系统中的重要信息和数据资源。
第七条计算机信息系统的维护人员应当按照规定维护计算机信息系统的安全,做好防护工作,并及时发现和处理安全漏洞。
第八条计算机信息系统的管理者、使用者和维护人员应当经过保密教育培训,掌握必要的保密知识和技能。
第三章保密措施和技术要求第九条计算机信息系统应当采取适当的技术和管理措施,保护计算机信息系统中的重要信息和数据资源。
第十条计算机信息系统应当配置防火墙、入侵检测系统等安全设备,确保计算机信息系统的安全性。
第十一条计算机信息系统应当采取有效的身份认证和访问控制机制,限制非授权访问。
第十二条计算机信息系统应当定期进行安全评估和风险分析,及时修复存在的安全隐患。
第十三条计算机信息系统应当备份重要数据和信息,确保数据的可靠性和完整性。
第四章保密事件和应急处置第十四条发生计算机信息系统的保密事件,应当及时报告上级主管部门和保密管理机构,并采取相应的应急处置措施。
第十五条对于计算机信息系统的安全事故,应当及时调查处理,并追究相关人员的责任。
第十六条计算机信息系统的保密事件和应急处置应当按照国家相关法律法规和技术标准进行。
第五章监督检查和处罚第十七条计算机信息系统的保密管理工作应当受到上级主管部门和保密管理机构的监督检查。
信息安全保密管理制度条例全文
第一章总则第一条为了加强公司信息安全保密管理,保障公司信息安全,防止信息泄露,维护公司合法权益,根据《中华人民共和国网络安全法》、《中华人民共和国保密法》等相关法律法规,结合公司实际情况,制定本制度。
第二条本制度适用于公司所有信息系统、网络、设备、数据以及涉及公司秘密的文档、资料等。
第三条公司信息安全保密管理工作遵循以下原则:(一)依法管理:严格遵守国家有关信息安全保密的法律法规,确保信息安全保密工作的合法性、合规性。
(二)安全可控:确保信息系统、网络、设备等安全可控,防止信息泄露、篡改、破坏等安全事件发生。
(三)责任明确:明确各部门、各岗位在信息安全保密工作中的职责,确保信息安全保密工作落到实处。
(四)持续改进:不断优化信息安全保密管理体系,提高信息安全保密水平。
第二章组织与管理第四条公司成立信息安全保密工作领导小组,负责公司信息安全保密工作的组织、协调、监督和指导。
第五条信息安全保密工作领导小组下设信息安全保密办公室,负责日常信息安全保密工作的具体实施。
第六条各部门、各岗位应按照本制度要求,履行信息安全保密工作职责,确保信息安全保密工作落到实处。
第三章信息安全保密措施第七条信息系统安全:(一)信息系统建设应符合国家相关标准,确保系统安全可靠。
(二)信息系统应定期进行安全评估,及时消除安全隐患。
(三)信息系统应设置防火墙、入侵检测系统等安全防护措施,防止外部攻击。
(四)信息系统应设置用户权限管理,限制用户访问权限。
第八条网络安全:(一)网络设备应定期进行安全检查,确保设备安全可靠。
(二)网络应设置访问控制策略,限制非法访问。
(三)网络应定期进行安全审计,及时发现和处理安全隐患。
(四)网络应采取数据加密、安全传输等措施,确保数据传输安全。
第九条设备安全:(一)公司应采购符合国家相关标准的安全设备。
(二)设备应定期进行安全检查,确保设备安全可靠。
(三)设备应设置访问控制策略,限制非法访问。
第十条数据安全:(一)数据应进行分类分级,确保敏感数据得到有效保护。
信息系统安全保密制度(四篇)
信息系统安全保密制度信息系统的安全保密工作是保证数据信息安全的基础,同时给全院的信息安全保密工作提供了一个工作指导。
为了加强我院信息系统的安全保密管理工作,根据上级要求,结合我院的实际情况,现制定如下制度:第一章总则第一条____学院校园网和各个信息系统的服务对象是学校教学、科研和管理机构,全校教职工和学生,以及其他经学校授权的单位及个人。
第二条我院内任何部门及个人不得利用校园网危害国家安全、泄露国家____,不得侵犯国家、社会、____利益和个人的合法权益,不得从事违法犯罪活动。
第三条未经批准,任何单位或个人不得将校园网延伸至校外或将校外网络引入至校园内。
未经批准,任何数据业务运营商或电信代理商不得擅自进入____信息职业技术学院内进行工程施工,开展因特网业务。
第四条各部门应按照国家信息系统等级保护制度的相关法律法规、标准规范的要求,落实信息系统安全等级保护制度。
第五条各部门要规范信息维护、信息管理、运行维护等方面的工作流程和机制,指定专人负责系统运行的日常工作,做好用户授权等管理服务工作。
第二章数据安全第六条本制度中的数据是指各类信息系统所覆盖的所有数据,包括档案管理系统、财务管理系统、资产管理系统、安防监控系统以及学院网站等网站和系统的所有数据。
第七条各部门要及时补充和更新管理系统的业务数据,确保数据的完整性、时效性和准确性。
第八条各部门要保证信息系统安全和数据安全,制定重要数据库和系统主要设备的容灾备案措施。
记录并保留至少____天系统维护日志。
各系统管理员和个人要妥善保管好账号和____,定期更新____,防止____外泄。
第九条保证各系统相关数据安全。
各部门和系统管理人员,要对自己所管理的数据负责,保证数据安全,防止数据泄漏。
第十条学校数据信息主要用于教学、科研、管理、生活服务等,申请数据获取的单位有义务保护数据的隐秘性,不得将数据信息用于申请用途外的活动。
第十一条未经批准,任何部门和个人不得擅自提供信息系统的内部数据。
系统安全保密管理制度
第一章总则第一条为加强我单位信息系统的安全保密管理,确保信息系统安全稳定运行,防止信息泄露和非法侵入,根据《中华人民共和国保守国家秘密法》、《中华人民共和国网络安全法》等相关法律法规,结合我单位实际情况,制定本制度。
第二条本制度适用于我单位所有信息系统,包括但不限于内部办公系统、业务系统、网络系统等。
第三条系统安全保密管理遵循以下原则:1. 预防为主、防治结合;2. 依法管理、技术保障;3. 责任明确、奖惩分明。
第二章组织机构与职责第四条成立信息系统安全保密工作领导小组,负责统筹协调、监督指导全单位信息系统安全保密工作。
第五条信息安全管理部门负责以下工作:1. 制定信息系统安全保密管理制度;2. 组织实施信息系统安全保密措施;3. 开展信息系统安全保密培训和宣传;4. 监督检查信息系统安全保密工作;5. 负责信息系统安全事件的应急处理。
第六条各部门负责人对本部门信息系统安全保密工作负总责,负责以下工作:1. 组织落实信息系统安全保密管理制度;2. 配合信息安全管理部门开展信息系统安全保密工作;3. 加强本部门人员的安全保密意识教育;4. 定期对本部门信息系统安全保密工作进行自查自纠。
第三章安全保密措施第七条确保信息系统安全,采取以下措施:1. 物理安全:对信息系统设备、设施进行物理隔离,防止非法侵入和破坏。
2. 网络安全:采用防火墙、入侵检测、病毒防护等技术手段,防止网络攻击和信息泄露。
3. 数据安全:对重要数据进行加密存储和传输,防止数据泄露和篡改。
4. 访问控制:实行用户身份认证、权限控制,防止非法访问和滥用。
5. 安全审计:定期对信息系统进行安全审计,及时发现和纠正安全漏洞。
第八条信息系统安全保密管理制度应包括以下内容:1. 信息系统安全保密组织架构;2. 信息系统安全保密责任制;3. 信息系统安全保密操作规范;4. 信息系统安全保密培训与考核;5. 信息系统安全保密事件处理流程。
第四章奖励与惩罚第九条对在信息系统安全保密工作中表现突出的单位和个人,给予表彰和奖励。
计算机和信息系统安全保密管理规定
信息系统安全保密管理制度第一章总则第一条为加强公司信息化系统(包括涉密信息系统和非涉密信息系统)安全保密管理,确保国家秘密及公司商业秘密的安全,根据国家有关保密法规标准和中国华电集团公司有关规定,特制定本规定。
第二条本规定所称涉密信息系统是指由计算机及其相关的配套设备、设施构成的,按照一定的应用目标和规定存储、处理、传输涉密信息的系统或网络,包括机房、网络设备、软件、网络线路、用户终端、存储介质等内容。
第三条涉密信息系统的建设和应用要本着“预防为主、分级负责、科学管理、保障安全”的方针,坚持“谁主管、谁负责,谁使用、谁负责”和“控制源头、归口管理、加强检查、落实制度”的原则,确保涉密信息系统和国家秘密信息安全。
第四条涉密信息系统安全保密防护必须严格按照国家保密标准、规定和集团公司文件要求进行设计、实施、测评审查与审批和验收;未通过国家审批的涉密信息系统,不得投入使用。
第五条本规定适用于公司所有信息系统安全保密管理工作。
第二章组织机构与职责第六条公司成立信息系统安全保密组织机构,人员结构与信息化领导小组和办公室成员相同,信息化领导小组成员即为信息系统安全保密领导小组成员,信息化办公室成员即为信息系统安全保密办公室成员。
1、信息系统安全保密领导小组组长:陈宇肇副组长:吕碧辉组员:2、信息系统安全保密办公室主任:副主任:成员:第七条信息系统安全保密领导小组主要职责公司信息系统安全保密领导小组是涉密信息系统安全保密管理决策机构,其主要职责:(一)建立健全信息系统安全保密管理制度,并监督检查落实情况;(二)协调处理有关涉密信息系统安全保密管理的重大问题,对重大失泄密事件进行查处。
第八条信息系统安全保密办公室(简称保密办)主要职责:(一)拟定信息系统安全保密管理制度,并组织落实各项保密防范措施;(二)对系统用户和安全保密管理人员进行资格审查和安全保密教育培训,审查涉密信息系统用户的职责和权限,并备案;(三)组织对涉密信息系统进行安全保密监督检查和风险评估,提出涉密信息系统安全运行的保密要求;(四)会同信息中心对涉密信息系统中介质、设备、设施的授权使用的审查,建立涉密信息系统安全评估制度,每年对涉密信息系统安全措施进行一次评审;(五)对涉密信息系统设计、施工和集成单位进行资质审查,对进入涉密信息系统的安全保密产品进行准入审查和规范管理,对涉密信息系统进行安全保密性能检测;(六)对涉密信息系统中各应用系统进行定密、变更密级和解密工作进行审核;(七)组织查处涉密信息系统失泄密事件。
信息系统安全保密管理制度
第一章总则第一条为加强本单位的网络安全保密工作,保障信息系统安全稳定运行,防止国家秘密、商业秘密和个人隐私泄露,根据《中华人民共和国网络安全法》、《中华人民共和国保守国家秘密法》等相关法律法规,结合本单位实际情况,制定本制度。
第二条本制度适用于本单位所有信息系统、信息设备和存储设备,包括但不限于计算机、服务器、网络设备、移动存储设备等。
第三条本制度旨在规范信息系统安全保密管理,明确安全保密责任,提高全体员工的安全保密意识,确保信息系统安全稳定运行。
第二章组织与职责第四条成立信息系统安全保密工作领导小组,负责组织、协调、监督和指导本单位信息系统安全保密工作。
第五条信息安全管理部门负责本制度的组织实施和监督,具体职责如下:1. 制定和修订信息系统安全保密管理制度;2. 组织开展信息系统安全保密培训和宣传教育;3. 监督检查信息系统安全保密措施落实情况;4. 处理信息系统安全保密事件;5. 定期向上级领导汇报信息系统安全保密工作。
第六条各部门负责人对本部门信息系统安全保密工作负总责,具体职责如下:1. 组织实施本部门信息系统安全保密管理制度;2. 加强本部门员工信息系统安全保密意识教育;3. 配合信息安全管理部门开展信息系统安全保密检查和整改;4. 及时报告信息系统安全保密事件。
第三章安全保密措施第七条数据安全1. 对重要数据实行加密存储和传输,确保数据在存储、传输和使用过程中的安全;2. 定期对存储设备进行安全检查,确保数据不被非法访问和篡改;3. 建立数据备份制度,确保数据丢失或损坏时能够及时恢复。
第八条网络安全1. 采用防火墙、入侵检测系统等安全设备,防止网络攻击和非法访问;2. 定期对网络设备进行安全检查和更新,确保网络设备安全可靠;3. 对网络访问进行严格控制,限制非法访问和外部网络连接。
第九条访问控制1. 对信息系统进行分级管理,明确不同级别信息系统的访问权限;2. 对员工进行身份认证,确保访问人员具有相应的权限;3. 定期审查和调整员工访问权限,确保权限设置合理。
信息系统安全保密制度范本(3篇)
信息系统安全保密制度范本第一章总则第一条为了规范信息系统的安全保密管理工作,确保信息系统及其数据的安全性、完整性和可用性,保护国家利益和社会公共利益,促进信息系统安全发展,根据有关法律、法规和政策规定,制定本制度。
第二条本制度适用于全体使用信息系统的单位及相关人员。
第三条信息系统安全保密工作必须坚持以人为中心,充分发挥法律法规规定的权限与义务,建立健全工作体系和操作机制,加强保密教育和技术培训,建立健全保密监督检查和事故处置机制,维护信息系统的安全和稳定运行。
第四条信息系统安全保密采取预防为主、综合治理、防止事故为重点的原则。
第二章信息系统安全保密的基本要求第五条信息系统安全保密应当遵循以下基本要求:(一)坚持依法治理,建立和完善法律法规规定的信息安全保护制度;(二)建立科学合理的信息安全目标与策略,以确保信息系统的稳定运行;(三)保护国家、商业及个人信息的安全性和完整性;(四)建立健全的安全管理制度和技术规范,确保信息系统安全控制的有效性和切实可行性;(五)加强人员保密教育和技术培训,提高信息系统安全保密意识和技能;(六)建立健全保密监督检查和事故处置机制,及时处置安全事故,防止信息泄露和被攻击。
第三章信息系统安全保密管理组织架构第六条信息系统安全保密的组织架构应当包括以下部门或岗位:(一)指导部门:负责制定安全管理制度、技术规范和政策法规,并对安全工作进行管理和指导;(二)安全管理部门:负责信息系统安全管理的组织协调、技术支持和保密培训等工作;(三)技术保障部门:负责信息系统的安全技术支持和维护工作;(四)保密保障部门:负责对信息系统进行保密审查和保密工作的组织协调;(五)监察检查部门:负责信息系统安全保密的监督检查和事故处置工作。
第四章信息系统安全保密制度的内容第七条信息系统安全保密制度应包括以下内容:(一)保密责任:明确保密责任的主体和范围,确保信息系统的安全和保密工作的有效开展;(二)保密保障措施:包括信息系统的物理安全、逻辑安全、网络安全、数据安全等方面的措施,确保信息系统的安全性;(三)信息系统审计:建立健全信息系统的审计制度,定期对信息系统进行安全审计,发现隐患并及时处理;(四)保密培训:加强对信息系统使用人员的保密教育和技术培训,提高他们的保密意识和技能;(五)信息系统维护:制定信息系统的维护计划和操作规程,保证信息系统的正常运行和安全维护;(六)安全事故的处置:建立安全事故的报告、处置和追究责任的机制,及时处置安全事故,防止事故扩大化;(七)保密监督检查:建立保密监督检查制度,对信息系统安全保密工作进行检查和评估。
计算机和信息系统安全保密管理办法
计算机和信息系统安全保密管理办法第一章总则第一条为确保公司计算机和信息系统的运行安全,确保国家秘密安全,根据国家有关规定和要求,结合工作实际情况,制定本办法。
第二条公司计算机和信息系统安全保密工作遵循“积极防范、突出重点、依法管理”的方针,切实加强领导,明确管理职责,落实制度措施,强化技术防范,不断提高信息安全保障能力和水平。
第二章组织机构与职责第三条计算机和信息系统安全保密管理工作贯彻“谁主管,谁负责”、“谁使用,谁负责”的原则,实行统一领导,分级管理,分工负责,有效监督。
第四条保密委员会全面负责计算机和信息系统安全保密工作的组织领导。
主要职责是:(一)审订计算机和信息系统安全保密建设规划、方案;(二)研究解决计算机和信息系统安全保密工作中的重大事项和问题;(三)对发生计算机和信息系统泄密事件及严重违规、违纪行为做出处理决定。
第五条保密管理部门负责计算机和信息系统的安全保密指导、监督和检查。
主要职责是:(一)指导计算机和信息系统安全保密建设规划、方案的编制及实施工作;(二)监督计算机和信息系统安全保密管理制度、措施的落实;(三)组织开展计算机和信息系统安全保密专项检查和技术培训;(四)参与计算机和信息系统安全保密的风险评估、分析及安全保密策略的制定工作。
第六条信息化管理部门负责计算机和信息系统的安全保密管理工作。
主要职责是:(一)负责计算机和信息系统安全保密建设规划、方案、制度的制订和实施;(二)负责计算机和信息系统安全保密技术措施的落实及运行维护管理;(三)负责建立、管理信息设备台帐;(四)负责计算机和信息系统安全保密策略的制定、调整、更新和实施;(五)定期组织开展风险评估、风险分析,提出相应的安全措施建议,并编制安全保密评估报告;(六)开展计算机和信息系统安全保密技术检查工作;(七)涉及计算机和信息系统有关事项的审查、审批;(八)计算机和信息系统安全保密的日常管理工作。
第七条公司应结合工作实际设定涉密计算机和信息系统的系统管理员、安全保密管理员、安全审计员,分别负责涉密计算机和信息系统的运行、安全保密和安全审计工作。
信息安全与保密ppt课件
威胁源在未经许可的情况下,在系统中产生 出虚假的数据或服务。
5、重放 (replay) :
在网络通信中重放以前截收到的过时的信息, 使收方落入陷阱。
6、冒充 (impersonation) :
一个实体假冒另一个实体的身份是一种常 见的网络攻击手段。
5
7、抵赖 :
信息主要是指存放在信息系统中的数据和 程序。信息安全则是指这些数据和程度在被存 储、处理、执行和传输中的安全,主要包括以 下几个方面。
1、保 密 性
信息的保密性是指信息不能被未得到授权 的用户所获取。即信息在非授权情况下的泄露, 保密性是否安全的一个主要标志。
8
2、完 整 性
信息的完整性是指信息在任何情况下 保持不被篡改,不被破坏和不被丢失的特 性。即保持原型。
可靠性是指系统在运行过程中,抗干 扰(包括人为、机器及网络故障)和保持 正常工作的能力,即保持工作的连续性和 正确性的能力。
11
下面简要介绍在信息系统中保护信息安全的
几种基本技术。
1、访问控制: 基本任务:防止非法用户进入系统及合法用户
对系统资源的非法使用。
解决的问题:识别、确认访问系统的用户,决 定该用户对某一系统资源可进行何种类型的访 问。
隐通道是指两进程以违反系统安全策略的 方式传输信息的隐蔽通道,它可以造成严重的 信息漏洞。在操作系统和数据库系统中都可能 存在隐通道,分析并搜索出系统中存在的隐通 道,对其加以清除或限制是计算机系统安全设 计中的一个难点
14
6、安全管理
计算机信息系统是一个结构复杂、动态变 化的人机系统,仅仅依靠系统提供的安全服务 (它可能是多种安全技术的结合)的支持是不 够的。要想有效地保护信息系统的安全,最大 限度地减少面临的安全风险,还必须有对信息 系统严密的安全管理。
人民解放军计算机信息系统安全保密规定
中国人民解放军计算机信息系统安全保密规定第一章总则第一条为了加强军队计算机信息系统的安全保密,保障军队建设和军事行动的顺利进行,根据中国人民解放军保密条例和中国人民解放军技术安全保密条例,制定本规定;第二条本规定所称计算机信息系统,是指以计算机及其网络为主体、按照一定的应用目标和规则构成的用于处理军事信息的人机系统;计算机信息系统安全保密,是为防止泄密、窃密和破坏,对计算机信息系统及其所载的信息和数据、相关的环境与场所、安全保密产品的安全保护;第三条规定适用于军队涉及计算机信息系统的单位和人员;第四条军队计算机信息系统安全保密工作,实行保密委员会统一领导下的部门分工负责制,坚持行政管理与技术防范相结合;各级计算机信息系统建设主管部门,负责本级和所属计算机信息系统安全保密的规划和建设;各级密码主管部门,按照规定负责计算机信息系统所需密码系统的建设规划以及对密码设备和技术的研制开发管理;计算机信息系统的使用单位,负责上网信息的审批和日常安全保密管理工作;各级保密委员会办事机构,负责本级和所属计算机信息系统安全保密工作的组织协调和监督检查;解放军信息安全测评认证中心负责军队计算机信息系统安全技术和产品的测评认证工作;第五条军队计算机信息系统的安全保密建设,应当与计算机信息系统的总体建设同步规划,同步发展,其所需费用列入系统建设预算;第六条任何单位或者个人不得利用军队计算机信息系统从事危害国家、军队和公民合法权益的活动,不得危害军队计算机信息系统的安全和正常运行;第二章防护等级划分第七条军队计算机信息系统,按照下列规定划分防护等级:一处理绝密信息或者遭受攻击破坏后会给军队安全与利益造成特别严重损害的计算机信息系统,实行五级防护;二处理机密信息或者遭受攻击破坏后会给军队安全与利益造成严重损害的计算机信息系统,实行四级防护;三处理秘密信息或者遭受攻击破坏后会给军队安全与利益造成比较严重损害的计算机信息系统,实行三级防护;四处理军队内部信息或者遭受攻击破坏后会给军队安全与利益造成一定损害的计算机信息系统,实行二级防护;五接入军外信息网的计算机信息系统,实行一级防护;第八条军队计算机信息系统应当按照军队计算机信息系统安全防护标准见附录一,采取与其防护等级相应的防护措施,选用符合军用计算机安全评估准则的产品;因技术或者产品等原因,一时达不到防护标准要求的,必须采取有效的补救措施;第三章计算机及其网络第九条军队计算机及其网络的设计、研制、建设、运行、使用和维护应当满足规定的战术、技术条件下的安全保密要求;新建、改建重要计算机网络必须报上一级军事信息系统建设主管部门审批,并经军队技术安全保密检查机构检测评估;未通过检测评估的不得交付使用;第十条军队计算机及其网络应当尽量采取国产设备和软件;确需要采取境外产品时,应当按照安全保密要求进行技术改造;第十一条军队计算机及其网络的安装、调试和维修,应当由军内单位和人员承担;确需军外单位和人员承担时,必须经过师级以上单位批准,并指定专人陪同,工作结束后进行技术安全保密检查;第十二条军队计算机及其网络的设计、研制、建设和维修,不得使用国家和军队已明令禁用或者有严重安全保密缺陷的硬件和软件;第十三条用于处理内部信息和涉密信息的计算机及其网络,必须与国外、军外计算机及其网络实行物理隔绝,并不得出借、转让给军外单位或者个人;第十四条管理使用大型计算机信息系统的军队单位,应当设立安全保密小组;一般计算机信息系统,应当有负责安全保密日常工作的安全管理员;第十五条军队计算机信息系统操作人员、管理人员和安全保密人员以下统称计算机信息系统工作人员的涉密范围和访问权限,由业务主官部门按照权限分隔、相互制约与最小授权的原则确定;军队计算机信息系统工作人员上岗前应当经过安全保密培训,工作时佩带明显的标志,并遵守军队计算机信息系统工作人员安全保密守则见附录二;第十六条管理使用计算机信息系统的军队单位和人员,必须接受保密管理部门的监督检查;对检查中发现的问题,主管部门和使用单位应当及时解决;第四章信息与介质第十七条军队计算机信息系统中的涉密信息和重要数据,必须按照秘密性、完整性、可用性和安全性的要求进行生产、传递、存储和使用;第十八条军队计算机信息系统中的涉密信息,必须按照中国人民解放军保密条例的有关规定划定密级,并具有与该涉密信息不可分离的密级标记和出网标记;第十九条向军队计算机及其网络所在控制区外传输秘密信息,必须按照信息的密级采取加密措施;在控制区内传输秘密信息,视需要采取相应的加密措施;第二十条军队计算机信息系统中的涉密信息和重要数据,应当根据工作需要和最小授权原则进行存取,任何单位或者个人不得越权调阅、使用、修改、复制和删除;第二十一条用于存储涉密信息和重要数据的数据库,必须具备相应的安全保密防护措施;第二十二条军队计算机信息系统中重要的涉信息和数据,必须及时备份和异地存放,并按照其原密级采取相应的安全保护措施;第二十三条存储涉密信息的硬盘、软盘、光盘、磁带等介质,应当按照其中存放信息的最高密级划定秘密等级,并按照秘密载体安全保密要求进行管理;第二十四条处理过军队涉密信息或者重要数据的存储介质,不得转让或者出借给无关人员使用,不得私自带往境外,不得送往无安全保密保障的机构修理;已划定秘密等级的存储介质报废后,应当彻底销毁;第五章环境与场所第二十五条军队计算机信息系统所在的环境,必须符合国家和军队有关电磁环境的安全要求;对涉密或者重要的计算机信息系统,必须采取防电磁泄漏的措施;第二十六条集中设置计算机及其网络设备的场所,应当根据涉密程度、重要程度和周围环境状况,按照国家与军队的有关规定、标准进行建设管理,并划定带有明显标志的控制区;分散设置的涉密计算机及其网络设备,应当置于办公区域的安全部位,并采取相应的安全保密措施;第二十七条军队计算机信息系统的重要机房和网络设施,必须按照国家和军队的有关规定,与境外驻华机构、人员驻地和涉外建筑保持相应的安全距离,并不得共用电源、金属管线和通风管道;无法达到上述要求的,必须采取有效的防护措施;第二十八条新建涉密的大型机房,必须经过技术安全保密检查合格后方可使用;第六章安全保密产品第二十九条用于军队计算机信息系统安全保密防护与检测的硬件、软件和系统,必须选用军内或者国内研制开发并经解放军信息安全测评认证中心测评认证的产品;其中的密码技术和设备,必须符合国家和军队有关密码管理的政策和规定;经测评认证合格的安全保密产品,由解放军保密委员会技术安全检查办公室列入军队安全保密产品目录;需要在全军推广应用的,由解放军保密委员会批准;第三十条军队单位研制和开发安全保密产品,应当执行军队有关的规定和标准;军队暂无规定和标准的参照国家有关规定和标准执行;第三十一条专门用于军队计算机信息系统的安全保密产品,未经解放军保密委员会办事机构批准,不得对外宣传和销售;第七章应急处置第三十二条军队计算机信息系统在面临危险或者遭受攻击、破坏的情况下,必须采取安全保密应急处置行动;第三十三条军队计算机信息系统应急处置行动,由各级计算机信息系统主管部门组织实施;各级保密委员会技术安全检查办公室负责应急行动的协调与支援;第三十四条师级以上单位计算机信息系统主管部门应当指定安全保密应急组织,担负下列任务:一按照应急处置方案组织演练;二采取应急处置措施,实施应急处置计划,阻止侵袭蔓延,消除泄密、窃密隐患和破坏威胁;三查明侵袭破坏情况和威胁来源;四恢复系统正常运行;五上级赋予的其他任务;第三十五条军区级以上单位的技术安全检查办公室应当建立应急支援与协调组织,担负下列任务:一制定本级安全保密应急支援预案;二发布应急处置有关预警信息;三采取应急支援措施,实施应急计划;四查明侵袭破坏情况和威胁来源,必要时组织反击行动;五对指挥机关和部队有关的军事行动提供安全保密应急支援;六上级赋予的其他任务;第三十六条计算机信息系统工作人员发现针对军队计算机信息系统的恶意攻击、黑客侵袭、计算机病毒危害、网上窃密及破坏、电磁攻击以及其他重大破坏活动或者征候时,应当立即报告计算机信息系统主管部门和本级保密委员会办事机构,并采取相应的应急措施;第八章奖励与处分第三十七条符合下列条件之一的单位和人员,依照中国人民解放军纪律条令的有关规定,给予奖励:一在计算机信息系统安全保密理论研究和法规标准制定方面做出重要贡献的;二研究、开发计算机信息系统安全保密技术、产品、设施取得重要成果的;三在计算机信息系统安全保密检查、检测手段和方法方面有发明创造的;四及时发现或者有效消除计算机信息系统安全保密重大缺陷或者隐患的;五在紧急情况下保护计算机信息系统安全免遭损失的;六在计算机信息系统安全保密工作的其他方面做出显着成绩的;第三十八条有下列情形之一的,依照中国人民解放军纪律条令的有关规定,对负有直接责任的主管人员和其他直接责任人员给予处分;构成犯罪的,依法追究刑事责任:一侵袭计算机信息系统的;二非法删除、修改、增加、干扰计算机信息系统的功能、数据、程序,造成严重后果的;三制造、传播计算机病毒等破坏性程序,影响计算机信息系统正常运行的;四发现计算机信息系统安全保密隐患或者计算机病毒及其他破坏性威胁,不及时报告或者不采取措施,造成严重后果的;五泄漏军队计算机信息系统安全保密防护技术、方法、措施、产品性能、效果和应用范围,造成后果的;六使用已经禁用或者不符合规定的计算机信息系统、安全保密产品,造成严重安全保密隐患的;七其他危害计算机信息系统安全保密的;第九章附则第三十九条中国人民武装警察部队的计算机信息系统安全保密工作参照本规定执行;第四十条本规定由中国人民解放军保密委员会负责解释;第四十一条本规定自发布之日起施行;附录军队计算机信息系统安全防护标准军队计算机网络安全保密守则。
计算机信息系统保密管理规定
计算机信息系统保密管理制度第一章总则第一条为确保计算机信息系统存储、处理、传输国家秘密信息和公司内部信息的安全,根据中华人民共和国保守国家秘密法计算机信息系统保密管理暂行规定涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法涉及国家秘密的计算机信息系统保密技术要求、及关于转发涉及国家秘密的信息系统分级保护技术要求标准的通知和有关保密法律、法规,结合公司实际,制定本制度.第二条本制度适用于公司计算机信息系统存储、处理、传输国家秘密信息和公司内部信息的单位部门和个人.第三条本制度所称计算机信息系统是指以计算机和计算机网络为主体,按照一定应用目标和规则构成的用于处理各种信息的人机系统.第四条计算机信息系统的保密工作遵循“突出重点,积极防范,既保守秘密又要方便工作”的方针,实行“业务谁主管,保密谁负责”的原则,公司所属各单位的领导,对本单位部门主管业务范围内的计算机信息系统以下简称系统,指“人机”系统保密工作负有直接领导责任第五条各单位应设专兼职计算机管理员,负责系统的日常管理工作,管理人员应保持相对稳定.第六条任何单位和个人不得以任何借口拒绝上级主管部门和国家各级保密工作部门对系统进行职权范围内的保密检查、检测和监督.第二章计算机信息系统管理人员的职责第七条技术部负责公司计算机的安全保密管理及计算机信息系统的推广应用和资源配置,履行计算机信息系统的建设、管理与审查、审批职能,同时对与计算机相关的各种秘密载体介质负有管理和审查、审批责任.技术部应经常分析计算机及计算机信息系统的安全状况,建立健全保密安全制度,不断改进防护措施,提高公司计算机及计算机信息系统保密安全水平.配合保密办进行计算机信息系统的日常检查,协助查处计算机信息系统泄密事件.第八条各单位部门计算机信息系统保密安全实行领导负责制.各单位部门领导应指定一位人员担任计算机信息系统的安全管理员,管理本单位计算机信息系统的应用和保密工作.定期检查本单位部门的计算机信息系统安全保密管理制度落实执行情况.第九条各单位的专、兼职计算机信息安全员,在技术部计算机信息安全员的指导下,做好本单位的计算机信息保密管理工作.第十条各单位应按规范要求切实用好配备的计算机资源,加强安全管理.并对出现的各种不安全因素及时上报公司技术部协调解决.第十一条涉密信息系统安全员以下简称安全员是涉密信息系统安全保密管理的重要组成部分,和系统管理员互相监督、互相制约,保障涉密信息系统的顺利运行.其职责是:一计算机安全员是涉密信息系统安全保密的监督人和执行者,负责涉密信息系统的安全保密.二各单位部门计算机安全员应定期一个月更换计算机密码,做好密码更换日志,技术部定期审查,保密办协同检查.三各单位部门计算机安全员应做好涉密计算机上机人员的身份鉴别工作, 制定每月允许上机人员名单及其使用的计算机,交保密办审批备案.并填写密表17涉密计算机上机人员审批表四技术部计算机安全员要监控系统管理员维护系统、设置权限的全过程,要督促系统管理员做好病毒防治、漏洞修补工作.五安全员要定期与系统管理员协同进行应急演练.六涉密计算机出现故障需要送修时,安全员要检查是否拆除CPU、内存、硬盘等关键部件,并督促系统管理员全程监督.七安全员应参与涉密载体的监销过程,在保密办缺席时要作为主要监销人.八安全员应做好涉密载体和涉密计算机的台帐和标识,上报保密办备案登记,并维护标识的完好性.九安全员要严格监控涉密载体在计算机信息系统中的复制和出厂,督促系统管理员和复制载体使用人员严格按照保密制度执行.十安全管理员要随时检查计算机内涉密资料的存储和标识情况,并将不合格项及时反馈给系统管理员.十一对各单位部门信息管理员定期提交的各种日志、登记表、申批表等,安全员要认真检查,并交保密办审查.十二安全员和信息管理员应定期对各单位兼职计算机管理人员进行培训.十三安全员和信息管理员要互相监督,对彼此的失职行为要上报保密办,不得包庇隐瞒.第十二条涉密信息系统管理员以下简称信息员是涉密信息系统安全保密管理的重要组成部分,和系统安全员互相监督、互相制约,保障涉密信息系统的顺利运行.其职责是:一信息员是涉密信息系统的建设者和维护人,负责系统的顺利运行.二信息员负责做好系统维护工作,确保计算机的正常使用,根据安全员提供的使用人员名单及其使用的计算机情况,做好计算机安全防范系统的维护工作.三信息员应做好计算机防杀毒工作,定期对病毒库升级,并做好杀毒记录.四系统管理员要经常检查应急反应措施的可靠性,做好文件备份,协同安全员共同定期演练并做好记录.五涉密计算机出现故障时,信息员要全过程监控维修的全过程.六磁介质涉密载体需销毁时,信息员应在保密办或安全员的监督下进行销毁,并做好登记.七信息员要对涉密计算机的输入输出做好有效地控制,按照有关制度要求执行,杜绝非法的数据输入输出.八信息员要严格按照保密制度的规定,做好计算机涉密信息的复制和出厂审批.九信息员要督促各单位部门安全员按照保密制度规定存储和标识涉密资料.十信息员要做好计算机系统维护日志,并定期提交安全员检查.十一信息员和安全员应定期对各单位计算机管理人员进行培训.十二信息员和安全员要互相监督,对彼此的失职行为要上报保密办,不得包庇隐瞒.第三章涉密计算机安全保密管理第十三条涉密计算机网络的建设和使用一公司在规划建立涉密计算机网络前,涉及国家秘密的信息系统,要按照分级管理的原则,实行分级保护.具体要求详见中华人民共和国保密标准BMB17-2006涉及国家秘密的信息系统分级保护技术要求的标准.二公司在规划建立涉密计算机网络前,建设方案必须向地方市级以上的保密部门申报,经批准后方能实施.三网络建设方案和具体实施必须选择具有涉及国家秘密的计算机信息系统集成资质证书的单位具体实施.四网络安全产品的采购原则上必须采用国产设备,选择具有军用信息安全产品认证证书和涉密信息系统产品检测证书的产品.五涉密计算机网络在投入使用前,必须报市级以上地方保密部门验收,验收通过后方能使用.第十四条涉密计算机信息系统的安全保密管理一使用或存放涉密载体的部位必须配备密码柜,涉密载体必须集中存放在密码柜中.管理人员定期进行安全防范检查,并做好检查记录.二涉密计算机必须安装在有安全防护设施的部位,处理存储机密级信息的涉密计算机可采用口令进行身份鉴别.口令长度不得少于十个字符,口令更换周期不得长于一周.处理存储秘密级信息的涉密计算机口令长度不得少于八个字符,口令更换周期不得长于一个月.口令一般应是大小写英文字母、数字、特殊字符中两者以上的组合.口令必须加密存储,并且保证口令存放载体的物理安全.三经常操作使用涉密计算机的人员必须是经公司保密办审批允许的涉密人员.使用涉密计算机的涉密人员必须填写密表17涉密计算机上机人员审批表,如有人员变动及时向保密办重新申报上机人员名单.各单位部门建立完整的上机日志,填写密表18涉密计算机使用登记表.附密表17 涉密计算机上机人员审批表密表18 涉密计算机使用登记表四其他单位部门人员出入涉密机房,是要害部位的要严格按照公司要害部位管理制度中的出入规定执行.五涉密计算机在使用前必须向地方保密部门申请进行电磁辐射检测,不符合BMB5-2000涉密信息设备使用现场的电磁辐射发射防护要求的部位,必须购买电磁辐射干扰器.六加强涉密计算机的安全防护工作,严禁私自非法拆卸、更换计算机部件,涉密计算机在出现硬件故障时,首先报公司技术部维修,无法自行维修时,应选择有保密资质的计算机维修公司上门维修,在技术部计算机安全员、信息员的监控下进行修复并填写密表19涉密计算机维修记录单如需送外修理时,必须拆除CPU、内存及硬盘,由技术部管理人员送至维修站并监控维修全过程.附密表19涉密计算机维修记录单七涉密计算机及其关键部件如因故障无法修复需要报废时,应在技术部计算机管理员的监督下填写密表20涉密计算机设备报废申请单,在指定的场所物理销毁.附密表20涉密计算机设备报废申请单八涉密计算机需要用作其它用途,改做非涉密计算机使用时,必须填写密表21涉密计算机设备调出申请单.上报保密部门批准,技术部计算机管理员进行非密化处理,经脱密处理后方能调拨.附密表21涉密计算机设备调出申请单九新增计算机需要定为涉密计算机时,必须填写密表22新增计算机定密申请表经保密办审批登记后,由技术部加贴统一标签方能投入使用.附密表22 新增计算机定密申请表十涉密计算机应在显着位置加贴统一定制的涉密计算机标签,任何人不得撕毁破坏. 如下图标示涉密计算机标签十一连接有打印机、绘图仪的涉密计算机必须有专人负责管理,除管理人员外严禁任何人进行输出操作.对于输出的涉密载体按照涉密载体管理制度的第二章涉密载体的制作,第九条第二款执行.十二涉密计算机严禁上互联网及其他非涉密网,应实行物理隔离.十三涉密计算机严禁存储高于自身密级的文件.第十五条涉密载体的保密管理一涉密载体的密级根据存储文件的最高密级确定,严禁存储高于自身密级的文件,严禁在非涉密计算机、上网计算机上使用.二涉密载体由技术部加贴统一定制的标签,并在保密办备案.不得擅自破坏、加贴或更改标签内容,不得随意使用未贴标签的磁介质.三对涉密载体存储内容列出明细清单,并填写密表23涉密载体信息明细表清单内容必须与存储内容相一致.附密表23 涉密载体信息明细表四不得擅自在计算机中安装与工作无关的软件.五每台计算机都必须设置屏幕保护密码,密码设置为用户口令.用户在短时间离开计算机时必须启动屏幕保护,长时间超过半小时离开必须注销或关闭计算机.第十六条数据备份管理一涉密计算机中存储的涉密文件必须做好备份,数据备份采用软盘、移动硬盘、U盘或备份服务器进行,备份数量至少一份.二电子文档化的涉密文件必须及时进行数据备份,机密级文档备份的时间不得超过1天,秘密级文档备份的时间不得超过7天,具体保存期限视文件而定.三数据备份用载体或计算机应按照其中备份数据的最高密级定义.第十七条计算机病毒防治管理一每台计算机必须安装正版杀毒软件并定期人工杀毒,管理人员应做好杀毒记录.二各单位部门计算机管理员每周到技术部对杀毒软件进行一次升级,技术部信息员做好杀毒软件升级记录.第十八条应急措施一涉密信息系统必须具备应急反应断电和应急恢复数据备份手段.二涉密计算机必须配备UPS作为应急反应手段.三涉密计算机必须配备外部存储介质作为应急恢复手段.四系统管理人员应定期进行应急反应和应急恢复演练并做好记录,第四章非涉密计算机信息系统安全管理第十九条“非涉密计算机信息系统”是指非涉密计算机单机的人机系统和非涉密载体.第二十条非涉密计算机严禁存储和处理涉密信息,未经审批,不得擅自接入互联网,要在显着位置加贴非涉密计算机标识.非涉密计算机标签第二十一条非涉密计算机必须明确使用人员,非使用人员不得擅自使用计算机.第二十二条非涉密计算机必须安装杀毒软件并定期升级.第二十三条用于产品测试的非涉密计算机必须专机专用,不得用于其它用途.第二十四条存储敏感商业秘密信息的非涉密计算机要严格控制使用,必须设置开机口令和屏保口令.对此类计算机可参照本制度第三章规定进行管理.第二十五条非涉密载体管理一所有计算机配件由主管领导审批,审批后,由技术部统一编号,采运部统一采购,再由技术部登记发放,任何单位不得擅自购买.发现擅自购买者,技术部有权回收,统一处理.二各单位计算机管理员对载体领用情况应建帐.所有计算机使用场所严禁使用未经登记的载体进行数据复制、备份.三载体正常损坏后,使用者不得擅自处理,应由单位计算机管理员收回统一上交技术部集中销毁.销毁过程应由专人监销,并填写密表24非涉密载体销毁登记表四非涉密载体严禁存储涉密信息,严禁公盘私用.第五章笔记本电脑安全保密管理第二十六条涉密笔记本电脑管理一涉密笔记本电脑不得存储涉密信息,处理涉密信息时必须使用涉密载体进行存储.二涉密笔记本电脑出厂时,必须到经理部填写密表25笔记本电脑出厂许可证,随笔记本出厂的涉密载体必须填写密表12国家秘密载体外出携带登记表.严禁独自一人携带涉密笔记本电脑和涉密载体外出,至少要有两人分别携带.回厂后必须办理注销手续,确保涉密信息的安全.三涉密笔记本电脑、随机配备的涉密载体严禁用于上网,必须由专人管理并存储在密码柜中.第二十七条非涉密笔记本电脑管理一非涉密笔记本电脑不得存储和处理涉密信息.二因工作需要携带非涉密笔记本电脑外出时,使用人须填写密表25笔记本电脑出厂许可证,经技术部检查确认未存有涉密信息、保密办审查后,方可携带出厂.回厂后必须到经理部办理注销手续.第六章上网计算机安全保密管理制度第二十八条申请上网单位,必须提交书面申请,主管领导签字后报经理部审查批准.报公司技术部、保密办备案,由设备工程部具体负责安装.第二十九条接入互联网的计算机必须与其它计算机信息系统物理隔离.第三十条上网计算机不得存储或处理任何涉密信息,不得用于办公,必须专机专用.第三十一条上网计算机应在显着位置加贴有“上网计算机严禁存储工作信息”字样的标签予以警告.上网计算机标签第三十二条上网计算机要设置开机密码,任何人不得擅自使用.第三十三条上网计算机不得发送涉密信息.非涉密电子邮件的发送必须填写密表26信息、电子邮件发送表,经单位领导批准后方可发送.对发送信息内容是否涉密,把握不准的送保密办审批.发送的信息内容单位必须存档.第三十四条涉密载体不得在上网计算机上使用,只能使用专用的非涉密载体.第七章落实制度的保障措施第三十五条技术部和保密办定期对各单位的涉密计算机台式、便携式按密表27涉密计算机及载体保密检查表中的内容检查.第三十六条技术部和保密办定期对各单位的非涉密计算机台式、便携式、上网计算机按密表28非涉密计算机及载体检查表中的内容检查.第三十七条各单位计算机管理员和保密员要经常对计算机载体及存储内容进行检查,发现未经标识的载体坚决予以没收.第三十八条技术部、保密办定期对各单位载体使用情况进行检查,发现问题责令限期整改并进行相应处罚.第三十九条各单位要做好本单位计算机信息系统的自查工作,对照密表27涉密计算机及载体保密检查表、密表28非涉密计算机及载体检查表中的内容,作好自查记录.第八章附则第四十条本制度适用于在本公司范围内用于业务工作的所有计算机信息系统.包括台式、便携式计算机和各外联设备、计算机使用的载体.第四十一条本制度由公司技术部、保密办负责解释.第四十二条本制度自下发之日起执行.原制度废止.附件:密表17涉密计算机上机人员审批表密表18涉密计算机使用登记表密表19涉密计算机维修记录单密表20涉密计算机设备报废申请单密表21涉密计算机设备调出申请单密表22新增计算机定密申请表密表23涉密载体信息明细表密表24非涉密载体销毁登记表密表25笔记本脑出厂许可证密表26信息、电子邮件发送表密表27涉密计算机及载体保密检查表密表28非涉密计算机及载体检查表密表17涉密计算机上机人员审批表单位:单位领导:呈报人:保密办审批:密表18涉密计算机使用登记表密表19涉密计算机维修记录单维修日期:经办人员:机器编号:涉密编号:故障原因:维修部位:维修单位:维修方式:维修过程记录:维修结果:技术部计算机管理员:维修人员:年月日密表20涉密计算机设备报废申请单保密责任人应对报废的涉密计算机的销毁负责,在技术部、保密办的监督下进行销毁处理.密表21涉密计算机设备调出申请单1、保密责任人应对调出计算机的脱密负责,在保密办的监督下,由技术部计算机管理员进行脱密处理.2、本表格内容只适用于涉密计算机的厂内调配.密表22新增计算机定密申请表¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨新增计算机定密申请表密表23涉密载体信息明细表密表24非涉密载体销毁登记表密表25笔记本电脑出厂许可证存根联第号年月日笔记本电脑出厂许可证申请单位:第号年月日本许可证一式两联,存根联留经理部,使用者凭许可证出厂.许可证联由使用者妥善保管,设备归还后由技术部、保密办签署意见,交回经理部注销.密表26信息、电子邮件发送表信息、电子邮件发送表信息、电子邮件发送表信息、电子邮件发送表密表27 涉密计算机及载体保密检查表密表28 非涉密计算机及载体检查表办公自动化设备保密管理制度第一章总则第一条通信、办公自动化设备的保密管理遵循“谁主管、谁负责”,“谁使用、谁负责”的原则,实行“职能主管部门统一配置”与“基层单位定置管理”相结合的方法,对发送、传递、使用设备进行保密审查审批.第二条办公自动化设备特指用于业务工作的传真机、复印机、扫描仪、刻录机及拍照、摄像器材.第三条根据中华人民共和国保守国家秘密法涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法涉及国家秘密的计算机信息系统保密技术要求及有关保密法律、法规,结合公司实际,制定本制度.第二章普通机、传真机管理第四条本制度所称普通、传真机是指各种无加密措施的有线、移动、对讲机和传真机.第五条公司在新增或改装电讯通信设备时,应根据国家通信保密技术要求,满足机电磁泄漏发射限值和测试方法BMB1-94的标准要求,统筹安排保密措施.公司涉密人员和领导干部使用、配置应当符合国家使用管理有关规定.第六条公司经理部为普通主管单位,公司保密办对所有的保密管理进行指导、监督.一公司涉密人员不得使用别人赠送的机、等通讯工具处理公务;并禁止通过普通、谈论公司重要涉密事项.二涉密会议的会场严禁使用无线话筒、对讲机.涉密会议会场内,禁止携带等通讯工具入内,且要布置无线电信号屏蔽器.三在接待境外人员时,会议场所不允许携带等通讯工具,且要加装屏蔽装置;境外人员因工作需要而使用公司内部、普通传真机等通信设备,必须经公司主管领导批准备案,在有关人员的监控下进行.四严禁使用无加密措施的有线或无线通信设备含有线、移动、传真机、对讲机等和明码电报传输涉密事项.严禁私自在保密要害部位内用可拍照进行拍照,五传送国家秘密信息必须坚持“业务谁主管,保密谁负责”的原则.任何单位和个人严禁使用无保密措施的普通、传真机传递、发送国家秘密信息.凡出差在外的工作人员如需传送国家秘密信息,应通过出差单位的有保密措施的通信设备进行传送.六传递、发送信息实行自审与送审制度,各单位领导应对本单位需发送的信息进行审查,确定无涉密内容后方可发送.第七条凡配备传真机的单位,要采取保密措施,制定管理制度,并指定专人负责传真件的传送、接收,严禁通过普通传真机将涉密文字资料、图纸等对外传送.第八条在发送传真信息时,必须确保内容无敏感信息和字眼,发送非涉密信息时,填写密表26信息、电子邮件发送表.因工作确需传送涉密信息时,各单位必须首先根据公司所定密级项目、载体信息确定的密级,填写密表9对外提供资料审批表,由本单位领导审核,报业务主管领导签字.再到保密办审核备案.由发送单位到汉航集团加密传真机上发送,并做好记录.第九条已确定为国家秘密的传真件底稿必须严格按国家秘密载体进行管理,无条件进行保管的单位,应及时将涉密底稿交公司经理部,由保密办监督经理部进行销毁.第十条各单位对发送传真要建立台帐,并认真进行审查和登记.第十一条密码电报的传递、阅办、保管,必须严格执行航空工业总公司密码电报使用和管理实施细则,坚持“密来密复”的原则,严禁“密来明复”.公司涉密资料的传送,必须通过机要通信或专车接送,不得通过普通邮递渠道来传送密级资料.第三章复印机的管理。
信息安全与保密规定
信息安全与保密规定第一章总则第一条目的和依据为保护企业的信息安全、保密紧要信息和商业机密,维护企业的正常运营秩序和利益,依据《中华人民共和国保守国家秘密法》《中华人民共和国商业秘密法》等相关法律法规,订立本规定。
第二条适用范围本规定适用于本企业及其全体员工,在办公场合、公共场合、出差、外出、远程工作等情况下,保障企业信息安全与保密工作的进行。
第三条定义1.信息安全:保护企业信息资产,防止信息泄露、破坏、窜改、不合理使用等安全事件的一系列措施和方法。
2.保密紧要信息:指本企业在经营活动中,与产品研发、商业计划、市场策略、技术特点等相关,未公开的信息。
3.商业机密:指经济实体依法享有的技术信息和商业信息,对该信息进行保护并限制其公开使用的信息。
4.信息安全管理部门:企业设立的特地负责信息安全与保密工作的部门。
5.信息安全责任人:负责本企业信息安全与保密工作的重要责任人。
第二章信息安全管理第四条信息资产管理1.信息资产归属明确:明确划分信息资产的归属责任,明确对信息资产的使用、保护和销毁责任。
2.信息分类标识:依据信息的紧要性和保密级别,对信息进行分类标识,明确不同级别的信息处理措施。
3.信息备份与恢复:对紧要信息和系统进行定期备份,并确保备份资料的安全存储和恢复本领。
第五条网络和设备安全1.信息网络安全:建立健全网络和设备的安全保护机制,包含网络防火墙、入侵检测系统、安全敏感区域等,保障系统和网络的安全可靠。
2.设备使用管理:订立设备使用规定,禁止非法安装软件、插入外部存储设备,定期进行设备安全检查。
第六条系统和应用安全1.系统安全:确保系统软件及安全设备的安装、更新和维护,及时修补系统漏洞和弱点。
2.应用安全:规范应用软件的开发、测试、发布和更新等,定期检查应用程序的安全性。
第三章保密管理第七条保密意识教育培训1.新员工培训:新员工入职时,应进行信息安全与保密意识的培训,明确保密工作的紧要性和责任。
涉密信息系统安全保密管理制度
涉密信息系统安全保密管理制度涉密信息系统安全保密管理制度为了保障本局计算机信息系统的安全,防止泄密事件的发生,根据《中华人民共和国计算机信息系统安全保护条例》及有关法律法规,结合本局实际,制定了本局的安全保密制度。
为了防止病毒造成严重后果,对外来光盘、软件要严格管理,原则上不允许外来光盘、软件在局内局域网计算机上使用。
如果确实需要使用,必须先进行防病毒处理,确认无病毒感染后才能使用。
要严格限制接入网络的计算机设定为网络共享或网络共享文件,如果确实需要使用,必须在做好安全防范措施的前提下设置,确保信息安全保密。
为了防止黑客攻击和网络病毒的侵袭,接入网络的计算机必须安装杀毒软件,及时更新系统补丁和定时对杀毒软件进行升级,并安装必要的局域网ARP拦截防火墙。
本局酝酿或规划重大事项的材料,在保密期间,将有关涉密材料保存到非上网计算机上。
各科室禁止将涉密办公计算机擅自联接国际互联网。
保密级别在秘密以下的材料可通过电子信箱、QQ或MSN传递和报送,但严禁保密级别在秘密以上(含秘密)的材料通过电子信箱、QQ或MSN传递和报送。
岗位管理制度:计算机上网安全保密管理规定:1.未经批准的涉密计算机不得上互联网,如有特殊需求,必须事先提出申请报主管领导批准后方可实施,并安装物理隔离卡,在相关工作完成后撤掉网络。
2.要坚持“谁上网,谁负责”的原则,各科室科长负责严格审查上网机器资格工作,并报主管领导批准。
3.国际互联网必须与涉密计算机系统实行物理隔离。
4.在与国际互联网相连的信息设备上不得存储、处理和传输任何涉密信息。
5.加强对上网人员的保密意识教育,提高上网人员保密观念,增强防范意识,自觉执行保密规定。
涉密存储介质保密管理规定:1.涉密存储介质是指存储了涉密信息的硬盘、光盘、软盘、移动硬盘及U盘等。
2.有涉密存储介质的科室需妥善保管,且需填写“涉密存储介质登记表”。
3.存有涉密信息的存储介质不得接入或安装在非涉密计算机或低密级的计算机上,不得转借他人,不得带出工作区,下班后存放在本单位指定的柜中。
计算机信息系统保密管理规定
xxxxxx公司计算机信息系统保密管理规定编制:审核:批准:xxxxx公司计算机信息系统保密管理规定第一章总则第一条为保护计算机信息系统处理的国家秘密信息安全,根据国保发(1998)1号文件精神,依照BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》、BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》的要求制定本规定。
第二条本规定适用于公司涉密信息系统的运行管理,规定所称的计算机信息系统由本单位的各类涉密计算机(便携式计算机、服务器、用户终端)、网络设备、外部设备、存储介质、安全保密产品等构成的人机系统。
第三条本规定包括:信息系统基本要求、台账、维修、报废、审计、安全保密防护、密码保护、存储介质、外出携带、互联网计算机使用等内容。
第四条计算机信息系统保密管理实行“积极防范、突出重点、分级负责、责任到人”的原则。
严禁涉密信息系统直接或间接连接互联网及其他公共网络;严禁使用连接国际互联网或其他公共信息网络的计算机和信息设备进行存储和处理涉密信息。
第五条保密办公室负责公司各部门计算机信息系统安全工作的监督和检查,发现问题,及时提出并督促整改。
各部门负责本部门计算机信息系统及涉密信息的安全保密工作。
第二章台账、维修、报废管理第六条本单位的计算机和信息系统设备总台账由保密办公室负责统计、维护和管理,涵盖本单位的各类计算机(便携式计算机、服务器、用户终端)、网络设备、外部设备、存储介质、安全保密产品等。
第七条各部门应建立本部门计算机和信息系统分台账。
由各部门负责统计、维护和管理。
第八条台账应以电子和文档版本形式存在,总台账和分台账内容应当吻合,并与实物相符,发现问题实时更新台账,保证台账与实物相符。
第九条台账信息按照设备分类,应包含以下信息:㈠计算机台账应当包含:密级、放置地点、使用人、操作系统版本、安装时间、硬盘物理号、IP地址、MAC地址和使用情况(包含再用、停用、报废、销毁等);见附表九。
信息安全与保密管理制度
信息安全与保密管理制度第一章总则第一条目的和依据1.为了保障公司的信息安全和保密工作,确保公司经营活动的顺利进行,订立本制度。
2.本制度依据《中华人民共和国保守国家秘密法》《中华人民共和国网络安全法》等相关法律法规,结合公司实际情况订立。
第二条适用范围本制度适用于全体员工、领导和合作伙伴等与公司有关联的人员。
第三条定义1.信息安全:指对信息的保护,确保信息的机密性、完整性和可用性的本领。
2.保密:指为了国家利益、社会公共利益或者企事业单位的利益,对有关事项采取措施,以防止未经许可的人获知或者泄露有关事项。
第二章信息安全管理第四条信息分类依据信息对公司业务的紧要性和敏感程度,将信息划分为以下三个级别: 1. 一般信息:指对公司业务影响较小或者公开信息,无特殊保密要求。
2. 紧要信息:指对公司业务影响较大或者需要受限制传输的信息,需限制范围内使用,确保传输安全。
3. 机密信息:指对公司业务影响极大或者具有较高商业价值的信息,需严格限制使用和传输,确保肯定安全。
第五条信息安全责任1.公司领导及各部门负责人对本制度负有最终的信息安全与保密责任。
2.信息安全管理员负责公司信息安全与保密管理的组织、实施和监督。
第六条信息安全措施1.网络安全:建立完善的网络安全体系,包含防火墙、入侵检测系统、数据加密等技术手段,确保公司网络系统安全稳定运行。
2.访问掌控:设置严格的访问权限制度,确保只有经过授权的人员才略访问相关信息。
3.数据备份:定期对紧要信息进行备份,确保在意外情况下能够及时恢复数据。
4.系统更新与维护:定期更新和维护公司服务器和软件系统,及时修补安全漏洞,确保系统安全性。
5.系统监控与检测:建立系统日志监控机制,对异常操作进行及时检测和报警。
第七条信息安全意识培训1.公司将定期开展信息安全意识培训,提高全体员工对信息安全的认得和紧要性的理解。
2.全体员工应严格遵守公司的信息安全制度,不得从事违法、违规的行为,不得泄露信息。
信息系统安全保密制度(五篇)
信息系统安全保密制度为加强开发区计算机信息系统安全和保密管理,保障计算机信息系统的安全,特制定本管理制度。
第一条严格落实计算机信息系统安全和保密管理工作责任制。
按照“谁主管谁负责、谁运行谁负责、谁公开谁负责”的原则,各科室在其职责范围内,负责本单位计算机信息系统的安全和保密管理。
第二条办公室是全局计算机信息系统安全和保密管理的职能部门。
办公室负责具体管理和技术保障工作。
第三条计算机信息系统应当按照国家保密法标准和国家信息安全等级保护的要求实行分类分级管理,并与保密设施同步规划、同步建设。
第四条局域网分为内网、外网。
内网运行各类办公软件,专用于公文的处理和交换,属____网;外网专用于各部门和个人浏览国际互联网,属非____网。
上内网的计算机不得再上外网,涉及国家____的信息应当在指定的____信息系统中处理。
第五条购置计算机及相关设备须按保密局指定的有关参数指标由机关事务中心统一购置,并对新购置的计算机及相关设备进行保密技术处理。
办公室将新购置的计算机及相关设备的有关信息参数登记备案后统一发放。
经办公室验收的计算机,方可提供上网ip地址,接入机关局域网。
第六条计算机的使用管理应符合下列要求:(一)严禁同一计算机既上互联网又处理____信息;(二)各科室要建立完整的办公计算机及网络设备技术档案,定期对计算机及软件____情况进行检查和登记备案;(三)设置开机口令,长度不得少于____个字符,并定期更换,防止口令被盗;(四)____正版防病毒等安全防护软件,并及时进行升级,及时更新操作系统补丁程序;(五)未经办公室认可,机关内所有办公计算机不得修改上网ip地址、网关、dns服务器、子网掩码等设置;(六)严禁使用含有无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备处理____信息;(七)严禁将办公计算机带到与工作无关的场所;确因工作需要需携带有____信息的手提电脑外出的,必须确保____信息安全。
信息系统安全保密制度范文(4篇)
信息系统安全保密制度范文1. 背景和目的本制度旨在制定信息系统的安全保密管理措施,确保公司的信息系统和数据得到有效保护,防止信息泄露、篡改、丢失等安全事件的发生。
通过遵守本制度,员工将增强对信息安全的意识,增加对信息系统保密的责任感。
2. 适用范围本制度适用于公司内部所有员工、供应商、合作伙伴等与公司相关的人员,在使用公司信息系统和数据时必须遵守该制度。
3. 定义3.1 信息系统:指由一组相互依存的硬件、软件、网络设备及数据库组成的系统。
3.2 保密信息:指公司明确规定需要保密的商业秘密、客户资料、员工信息、合同协议、财务信息、技术研发成果等。
3.3 安全措施:指包括技术措施和管理措施在内的一系列保护信息系统安全的手段。
4. 管理要求4.1 全体员工应签署《保密协议》,并接受相关安全培训,了解保密要求和安全操作规范。
4.2 公司应建立完善的信息系统安全管理制度和相关流程,包括用户权限管理、网络及系统安全管理、应急响应措施等。
4.3 员工在使用公司信息系统时,应严格遵守公司的安全规范和操作程序,不得使用未经授权的账号、密码及权限,禁止私自安装软件、插件等。
4.4 员工应保密公司的商业秘密、客户资料、合同协议等信息,不得私自泄露、复制、篡改或盗用。
4.5 员工不得将公司的信息系统用于非法、损害公司利益的行为,包括但不限于传播违法、淫秽、暴力等信息。
4.6 在离职、调岗等情况下,员工应及时交出相关设备、账号、密码等,并确保不留下任何非法获取公司信息的渠道。
5. 违规处理5.1 对于违反本制度的人员,依照公司相关规定给予相应处罚,包括但不限于警告、记过、辞退等。
5.2 对于故意泄露、篡改、窃取公司重要信息的行为,公司将按照国家法律法规追究相关人员的法律责任。
6. 附则本制度的解释和修订权归公司所有,并由安全管理部门负责解释、执行和监督执行情况。
以上为信息系统安全保密制度范本,具体制度可根据企业实际情况进行调整和完善。
中华人民共和国计算机信息系统安全保护条例
中华人民共和国国务院令(147号)现发布《中华人民共和国计算机信息系统安全保护条例》,自发布之日起施行。
总理李鹏1994年2月18日中华人民共和国计算机信息系统安全保护条例第一章总则第一条为了保护计算机信息系统的安全,促进计算机的应用和发展,保障社会主义现代化建设的顺利进行,制定本条例。
第二条本条例所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第三条计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。
第四条计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。
第五条中华人民共和国境内的计算机信息系统的安全保护,适用本条例。
未联网的微型计算机的安全保护办法,另行制定。
第六条公安部主管全国计算机信息系统安全保护工作。
国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。
第七条任何组织或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。
第二章安全保护制度第八条计算机信息系统的建设和应用,应当遵守法律、行政法规和国家其他有关规定。
第九条计算机信息系统实行安全等级保护。
安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
第十条计算机机房应当符合国家标准和国家有关规定。
在计算机机房附近施工,不得危害计算机信息系统的安全。
第十一条进行国际联网的计算机信息系统,由计算机信息系统的使用单位报省级以上人民政府公安机关备案。
第十二条运输、携带、邮寄计算机信息媒体进出境的,应当如实向海关申报。
第十三条计算机信息系统的使用单位应当建立健全安全管理制度,负责本单位计算机信息系统的安全保护工作。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
16
国际标准化组织ISO(International Standand Organization), 于1989年在OSI参考模型的七层协议基础之上,提出了OSI (Open System Interconnetion)安全体系结构,定义了5种安全 服务和实现这些安全服务的8类安全机制,如图1-4所示。
• (2)第二层是管理制度的建立与实施。是指保证信息系 统安全所制定的安全管理制度和规定,是实现信息系统安 全的重要保证。主要包括安全管理人员的教育培训、制度 落实、职责的检查等内容。例如某部门或某单位的计算机 信息系统安全管理条例。
12
1.2信息安全技术的研究内容
• (3)第三、四层是物理实体的安全与硬件系统保护。计 算机物理上安全与硬件系统的保护是信息系统安全不可缺 少的重要环节。
S
R
发 送 方
S
(a)被动攻击
接
收
方 非法篡改
R
(b)主动攻击
图1-1 信息传输受到的攻击
6
1.1信息系统安全
• 2、信息存储过程中的威胁
存储于计算机系统中的信息,易于受到与通信线路同样的威 胁。非法用户在获取系统访问控制权后,可以浏览、拷贝或 修改存储介质上的保密数据或专利软件,并且对有价值的信 息进行统计分析,推断出所需的数据,使信息的保密性、真 实性和完整性遭到破坏。
Байду номын сангаас– (4)病毒防治
计算机病毒是一种危害极大的非法程序,它直接威胁着计 算机系统的安全。计算机病毒在一定条件下被激活后,立 刻感染计算机系统,侵占系统资源,毁坏系统信息,降低 工作效率,重者造成系统瘫痪。因此研究计算机病毒产生 的危害、机理,以及检测和清除病毒,是计算机安全不可 缺少的组成部分。
1.3信息系统安全体系结构
4
1.1信息系统安全
1.1.1 信息系统的概念
《中华人民共和国计算机信息系统安全保护条例》给出计 算机信息系统的定义:是指由计算机及其相关和配套的设备、 设施(含网络)构成的,按照一定的应用目标和规划,对信 息进行采集、加工、存储、传输和检索等处理的人机系统。
信息系统主要包括以下功能:
– (1)信息采集,是信息系统最基本的功能,负责收集分 散的信息,并整理成信息系统所需要的格式。
5
1.1信息系统安全
1.1.2 信息系统受到的威胁
• 1、信息通信过程中的威胁
众所周知,信息传输的公共信道十分脆弱,常常受到两方面 的攻击,如图1-1所示。 – 被动攻击:非法的截获传输信道上的信息,破坏信息的
保密性。
– 主动攻击:伪造或篡改传输信道上的信息,破坏信息的 真实性、完整性和可用性。
非法截获
一个完整的密码系统将由算法、密文、密钥组成,其中算 法、密文可以公开,因此密码系统的安全性取决于密钥的 保护。
• 4. 计算机系统安全
– (1)操作系统安全
操作系统是计算机的重要系统软件,他控制和管理系统资 源,是计算机的指挥中心。由于操作系统的重要地位,使 攻击者常常以操作系统为主要攻击对象。因此研究保护操 作系统的方法、设计安全操作系统,对整个计算机系统的 安全至关重要。
初的保证硬件的安全到保证信息系统及信息资源的安全, 使得计算机安全的内容变得愈加复杂。 – ②由于信息系统是以计算机为工具,对信息进行采集、 存储、加工、分析和传输的,因此计算机安全又可称为 信息系统安全。 – ③ 1983年Sun公司提出的“网络就是计算机”,即将网 络作为一种系统加以推广。计算机网络安全是计算机安 全概念在网络环境下的扩展和延伸,它的目标是保证网 络中的硬件、软件和数据免遭破坏、更改和泄漏。
OSI参考模型
认证 访问控制 数据保密性 数据完整性 不可否认性
安全服务
应用层 表示层 会话层 传输层 网络层 链路层 物理层
安全机制
加 数 访 数认 流 路 公 字 问 据证 量 由 证 签 控 完交 填 控 仲
密 名 制 整换 充 制 裁 性
图1-4 三维安全体系结构图
1.3信息系统安全体系结构
7
数据信息安全
6
软件系统安全措施
5
通信网络安全措施
4
硬件系统安全措施
3
物理实体安全环境
2
管理细则、保护措施
1 法律 规范 道德 纪律
安全技术
信
息
系
安全管理
统 安
安全法规
全
图1-2 信息系统安全层次模型
11
1.2信息安全技术的研究内容
• (1)第一层是法律制度与道德规范。是指由政府部门所 制定的一系列有关计算机犯罪的法令和法规,用于规范和 制约人们的思想与行为,将信息安全纳入规范化、法制化 和科学化的轨道。如保密法、数据保护法、计算机安全法、 计算机犯罪法、计算机系统安全标准、数据和信息安全标 准等(指“社会规范”和“技术规范”两方面)。
– (2)信息加工,负责对信息进行加工处理,如排序、分 类、归纳、检索、统计、模拟、预测以及各种数学运算 等。
– (3)信息存储,完成对有价值信息的存储和保管。 – (4)信息检索,是信息系统的重要功能,根据用户的需
要,查询存储在系统中的信息。
– (5)信息传输,是信息系统的信息交换功能,实现信息 的传递,以便信息迅速准确到达使用者手中。
资源的合法访问。 – 病毒:是指编制或在计算机系统中插入破坏计算机功能或数
据,影响计算机使用,并能自我复制的一组计算机指令或程 序代码。它直接威胁计算机系统和数据文件,破坏信息系统 的正常运行。
8
1.1信息系统安全
1.1.4 信息系统安全及其目标
• 1、信息系统安全
“计算机安全是指为信息处理系统建立和采取的技术的和管 理的安全保护措施,保护系统中硬件、软件及数据,不因偶 然或恶意的原因而遭受破坏、更改或泄漏。”这是国际标准 委员会对“计算机安全”的定义。从定义可见: – ① “计算机安全”一词一直处在不断的演变之中,从最
通信频度、消息格式等信息,从中发现有价值的信息和规律。 – 篡改:指对合法用户之间的通信消息进行修改或者改变消息
的顺序。 – 伪装:指一个实体冒充另一个实体。例如非法用户冒充成系
统的合法用户,对系统信息进行访问。 – 重放(Replay Attack):将窃取的信息修改或排序后,在适
当的时机重放出来,从而造成信息重复和混乱。 – 拒绝服务(DOS,Denial of Service):指阻止对信息或其它
• 3、信息加工处理中的威胁
信息在进行处理过程中,通常以源码(明文)出现,加密保 护对处理中的信息不起作用。因此信息处理过程中的有意攻 击或意外操作都极易使系统遭受破坏,造成损失。
此外,信息系统还会因为计算机硬件缺陷、软件的脆弱、电 子辐射和客观环境等原因造成损害,威胁计算机信息系统的 安全。
7
1.1信息系统安全
9
1.1信息系统安全
• 2、信息系统的安全目标(CIA)
安全目标(Security Goal)是指能够满足一个组织或者个人 的所有安全需求,通常包括保密性、完整性和可用性。
– 保密性(Confidentiality):防止非授权访问信息。
– 完整性(Integrity): 防止非法篡改和破坏信息。
1.2信息安全技术的研究内容
15
– (2)数据库系统安全
数据库是相关信息的集合,攻击者通过非法访问数据库, 达到篡改和破坏信息的目的。因此研究如何使数据库记录 保密、完整和可用,确保数据库系统安全,成为整个计算 机信息系统安全的重要组成部分。
– (3)网络安全
计算机网络就是将分撒在不同地理位置的自治计算机系统, 通过某种介质连接起来,实现信息传递和资源共享。互联 网的普及带动了世界各地计算机通信网络的发展,同时也 对网络系统的安全提出了更高的要求。
13
1.2信息安全技术的研究内容
1.2.2 信息安全保密研究内容
• 1.数据加解密算法
被保护信息或原始信息被称为明文M(Message),可以 通过某种方式变换成无法识别的密文C(Ciphertext), 这个变换处理过程称之为加密E(Enciphering)。密文可 以通过相应的逆变换再还原成明文,这个变换过程称之为 解密D(Deciphertext)。其中加密过程和解密过程分别 受参数k1和k2的控制,k1和k2分别被称为加密密钥和解密 密钥,统称为密钥。加解密通信模型如图1-3所示。
加密
明文M
过程
密文C
E
解密
密文C
过程
明文M
D
信源
加密密钥
k1
解密密钥 信宿 k2
图1-3 加密解密通信模型
14
1.2信息安全技术的研究内容 • 2. 密码分析
密码分析研究在不知道密钥的情况下,通过获取密文而恢 复明文的科学。成功的密钥分析可能会直接破译明文和密 钥。
• 3. 密码管理
密钥(Key)是由数字、字母或特殊符号组成的字符串, 用于控制加密和解密过程。密码算法的安全强度,在很大 程度上依赖于密钥的安全保护,由此引出密钥管理。密钥 管理是一门综合性技术,涉及到密钥的产生、分配、存储、 修改以及销毁的全过程,同时还与密钥的行政管理制度与 人员素质密切相关。只要严格保管好密钥,破译者就无法 将密文解密。
– 一是必须对自然灾害加强防护,如防火、防水、防雷 击等;
– 二是采取必要的措施防止计算机设备被盗,如添加锁、 设置警铃、刻上标签、购置机柜等;
– 三是尽量减少对硬件的损害,例如消除静电、系统接 地、键盘安全套、杜绝电磁干扰信号(攻击者可能利 用计算机硬件设备的电子辐射了解系统的内部信息, 因此要对计算机系统进行屏蔽,防电子辐射);
《信息系统安全与保密》
第一章 概 述
主讲教师:孙 捷
目录
2
信息系统安全
信息安全技术的研究内容