第一篇：構(gòu)建企業(yè)信息安全保密技術(shù)防范體系

構(gòu)建企業(yè)信息安全技術(shù)防范措施

杜洪偉

天津第七市政公路工程有限公司，天津（300113）

摘 要：隨著計(jì)算機(jī)網(wǎng)絡(luò)的快速發(fā)展，網(wǎng)絡(luò)資源共享也更加廣泛。計(jì)算機(jī)網(wǎng)絡(luò)面臨著信息泄露、黑客攻擊、病毒感染等多種威脅,信息安全保密工作面臨著嚴(yán)峻挑。本文結(jié)合我國(guó)企業(yè)信息安全保密工作的相關(guān)要求和實(shí)際情況，從技術(shù)防范的角度出發(fā)，對(duì)保障網(wǎng)絡(luò)的信息安全進(jìn)行了分析，探討了構(gòu)建滿足企業(yè)信息安全保密工作需要的防范措施。

關(guān)鍵詞：企業(yè)信息化；信息安全保密；技術(shù)防范措施； 引言

信息網(wǎng)絡(luò)國(guó)際化、社會(huì)化、開(kāi)放化和個(gè)人化的特點(diǎn), 決定了,它在給人們提供高效率、高效益、高質(zhì)量的“信息共享”的同時(shí),也投下了不安全的陰影。隨著企業(yè)和人民對(duì)網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)資源依賴程度的不斷加深, 信息泄露、黑客入侵、計(jì)算機(jī)病毒傳播甚至于威脅信息安全的問(wèn)題會(huì)出現(xiàn)得越來(lái)越多。因此，如何在企業(yè)機(jī)構(gòu)中做好信息安全保密工作，事關(guān)企業(yè)發(fā)展的戰(zhàn)略安全與重要利益。試想一下如果有關(guān)我國(guó)企業(yè)技術(shù)研究的重要信息系統(tǒng)安全遭到泄漏、破壞，那么就會(huì)對(duì)我國(guó)企業(yè)技術(shù)研究開(kāi)發(fā)的各方面工作造成嚴(yán)重影響，使企業(yè)在該技術(shù)領(lǐng)域的研究陷于被動(dòng)的處境，甚至?xí)窟B整個(gè)社會(huì)和經(jīng)濟(jì)的發(fā)展進(jìn)程，引致災(zāi)難性的經(jīng)濟(jì)損失后果。總之，在企業(yè)機(jī)構(gòu)中做好信息安全保密工作是一項(xiàng)系統(tǒng)工程，本文從技術(shù)角度出發(fā)，以未雨綢繆，預(yù)防為主，兼顧防御及修復(fù)的原則為指導(dǎo)，加強(qiáng)信息安全保密工作的重要意識(shí)，在構(gòu)建防范體系的過(guò)程中把該安全意識(shí)落實(shí)到每個(gè)技術(shù)細(xì)節(jié)上。最終構(gòu)建一個(gè)系統(tǒng)、全面、可靠、有針對(duì)性的技術(shù)防范體系。網(wǎng)絡(luò)信息安全問(wèn)題

信息安全實(shí)質(zhì)上是信息系統(tǒng)安全，信息系統(tǒng)主要由計(jì)算機(jī)系統(tǒng)構(gòu)成，包括軟件、硬件等。國(guó)際標(biāo)準(zhǔn)化組織(ISO)將“信息安全”定義為: 為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù), 保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露。

網(wǎng)絡(luò)信息安全面臨的威脅是多方面的, 具有無(wú)邊界性、突發(fā)性、蔓延性和隱蔽性等新的特點(diǎn)。網(wǎng)絡(luò)模糊了地理、空間上的邊疆概念, 使得網(wǎng)上的沖突和對(duì)抗更具隱蔽性。對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的攻擊往往是在沒(méi)有任何先兆的情況下突然發(fā)生的, 而且會(huì)沿著網(wǎng)絡(luò)迅速蔓延。對(duì)網(wǎng)絡(luò)信息安全防御的困難還在于, 一個(gè)攻擊者僅需要發(fā)起一個(gè)成功的攻擊, 而防御者則需要考慮所有可能的攻擊;而且這種攻擊是在動(dòng)態(tài)變化的。因此,需從技術(shù)上采取綜合、系統(tǒng)性的多種措施構(gòu)建技術(shù)防范體系。

信息安全是一個(gè)綜合、交叉的學(xué)科領(lǐng)域,要涉及到安全體系結(jié)構(gòu)、安全協(xié)議、密碼理論、信息分析、安全監(jiān)控、應(yīng)急處理等各個(gè)方面, 還要利用數(shù)學(xué)、電子、信息、通信、計(jì)算機(jī)等諸多學(xué)科的長(zhǎng)期知識(shí)積累和最新發(fā)展成果。信息安全要綜合利用數(shù)學(xué)、物理、通信和計(jì)算機(jī)諸多學(xué)科的長(zhǎng)期知識(shí)積累和最新發(fā)展成果, 進(jìn)行自主創(chuàng)新研究, 加強(qiáng)頂層設(shè)計(jì), 提出系統(tǒng)的、完整的, 協(xié)同的解決方案。

實(shí)際上不論是局域網(wǎng)還是廣域網(wǎng), 都是一種系統(tǒng), 所以系統(tǒng)安全問(wèn)題的解決, 必然是一項(xiàng)系統(tǒng)工程, 必須采用系統(tǒng)工程學(xué)的方法、運(yùn)用系統(tǒng)工程學(xué)的原理來(lái)設(shè)計(jì)網(wǎng)絡(luò)信息安全體系。解決網(wǎng)絡(luò)信息安全的基本策略是技術(shù)、管理和法制并舉。技術(shù)是核心, 要通過(guò)關(guān)鍵技術(shù)的突破, 構(gòu)筑起國(guó)家信息安全技術(shù)防范體系。管理是關(guān)鍵, 根據(jù)“木桶原理”, 信息安全鏈條中任何一個(gè)環(huán)節(jié)的脆弱都有可能導(dǎo)致安全防護(hù)體系的失效, 必須要加強(qiáng)各管理部門和有關(guān)人員間的密切合作。法制是保障, 通過(guò)建立信息安全法規(guī)體系, 規(guī)范信息化社會(huì)中各類主體的行為, 以維持信息化社會(huì)的正常運(yùn)作秩序。

3.信息安全的技術(shù)體系構(gòu)成

3.1信息安全技術(shù)基礎(chǔ) 3.1.1邊界隔離技術(shù)

邊界隔離包括邏輯隔離、物理隔離、信息過(guò)濾、入侵檢測(cè)、防火墻、防病毒網(wǎng)關(guān)等，其實(shí)就是一種用于信息系統(tǒng)邊辦防護(hù)的安全技術(shù)，以阻止來(lái)自網(wǎng)絡(luò)系統(tǒng)外部的各種攻擊。運(yùn)用該項(xiàng)技術(shù)首先

巨大商業(yè)、社會(huì)價(jià)值，病毒的泛濫大有愈演愈烈之勢(shì)，其危害的深度、廣度和力度也越來(lái)越大。流行廣泛、各類繁多、潛伏期長(zhǎng)、破壞力大，對(duì)儲(chǔ)存了大量科研數(shù)據(jù)的計(jì)算機(jī)信息系統(tǒng)構(gòu)成了長(zhǎng)期與現(xiàn)實(shí)的威脅。

其次就是黑客入侵。通過(guò)技術(shù)手段，非法侵入計(jì)算機(jī)信息系統(tǒng)，獲取秘密信息或有選擇地破壞信息的有效性與完整性。這是當(dāng)前企業(yè)機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)所面臨的最大威脅。黑客除了在網(wǎng)上編寫程序利用軟件進(jìn)行直接的攻擊和破壞，還采用信號(hào)截取和聲像外露信號(hào)來(lái)獲取秘密信息。

再者就是存儲(chǔ)介質(zhì)失密，特別是隨著移動(dòng)存儲(chǔ)介質(zhì)的廣泛使用，使得利用存儲(chǔ)介質(zhì)竊取信息的事件日益增多。如涉密的優(yōu)盤、硬盤、光盤、筆記本電腦等。

系統(tǒng)漏洞，軟件是編程人員設(shè)計(jì)編寫的，有時(shí)因?yàn)槭韬觯袝r(shí)為了自便而專門設(shè)置，總是或多或少存在一些大大小小的漏洞。因此沒(méi)有無(wú)懈可擊，天衣無(wú)縫的軟件系統(tǒng)。利用計(jì)算機(jī)操作系統(tǒng)、信息管理系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)的自身安全漏洞，進(jìn)行竊取與破壞活動(dòng)。

非法訪問(wèn)，企業(yè)機(jī)構(gòu)以外人員利用非法手段進(jìn)入安全保密防范措施不完善的信息系統(tǒng)，對(duì)企業(yè)信息系統(tǒng)進(jìn)行的破壞活動(dòng)。另外還有人為因素。例如個(gè)別人員利用合法身份與國(guó)外的網(wǎng)絡(luò)非法連接，或者使用隨身攜帶的攝像等裝備進(jìn)行的竊取行為。

以上所列舉的情況是目前存在于企業(yè)機(jī)構(gòu)的主要信息安全威脅，針對(duì)上述威脅我們應(yīng)構(gòu)建有針對(duì)性的、強(qiáng)健的技術(shù)防范體系。

3.2.2構(gòu)建有針對(duì)性的技術(shù)防范體系

構(gòu)建符合企業(yè)機(jī)構(gòu)工作特點(diǎn)且有針對(duì)性的信息安全保密技術(shù)防范體系，實(shí)際上就是從信息系統(tǒng)和信息網(wǎng)絡(luò)的不同層面保證信息的機(jī)密性、完整性、可用性、可控性，進(jìn)而保障信息系統(tǒng)的安全，提高信息系統(tǒng)及網(wǎng)絡(luò)的防御能力。安全保密技術(shù)是隨著信息技術(shù)、網(wǎng)絡(luò)技術(shù)，以及各種入侵技術(shù)的發(fā)展而不斷完善和提高的，不斷采用一些最新的安全防護(hù)技術(shù)，可以極大地彌補(bǔ)傳統(tǒng)安全防護(hù)手段存在的不足。因此，信息安全保密的技術(shù)防范體系，是構(gòu)建整個(gè)信息安全保密體系的重要組成部分，在資金允許和技術(shù)可行的條件下，應(yīng)該盡可能采用先進(jìn)的、且經(jīng)得住實(shí)踐檢驗(yàn)的技術(shù)防護(hù)手段，這樣才能有效抵御不斷出現(xiàn)的信息安全威脅。

（1）物理安全防護(hù)

物理安全防護(hù)主要指內(nèi)網(wǎng)借助于某些網(wǎng)絡(luò)設(shè)備及軟件系統(tǒng)等方式間接地連接到外網(wǎng)，另外還包括對(duì)網(wǎng)絡(luò)設(shè)備保護(hù)層及電磁輻射的物理防護(hù)。物理安全防護(hù)的方法有以下幾種：

1)抑制電磁泄漏（即TEMPEST技術(shù)）是物理安全防護(hù)的一個(gè)重要問(wèn)題。目前主要防護(hù)措施有兩類：一類是對(duì)傳導(dǎo)發(fā)射的防護(hù)，主要對(duì)電源線和信號(hào)線加裝性能良好的濾波器，減小傳輸阻抗和導(dǎo)線間的交叉耦合。另一類是對(duì)輻射的防護(hù)，既要采用各種電磁屏蔽手段，還要應(yīng)對(duì)可能出現(xiàn)的干擾。

2）網(wǎng)絡(luò)隔離卡：在終端機(jī)上加裝網(wǎng)絡(luò)安全隔離卡，并額外配備1塊硬盤，這樣就能根據(jù)使用者的需求，靈活切換內(nèi)外網(wǎng)。

3）最直接的方法應(yīng)是一人雙機(jī)：如果經(jīng)濟(jì)條件允許，給專業(yè)管理人員配備2臺(tái)終端機(jī)，1臺(tái)接外網(wǎng)，1臺(tái)只接內(nèi)網(wǎng)。

（2）防火墻

目前，常見(jiàn)的防火墻主要有三類：

1）應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn)，起著監(jiān)視和隔離應(yīng)用層通信流的作用。2）包過(guò)濾型防火墻：數(shù)據(jù)分組的過(guò)濾或包過(guò)濾，其中包過(guò)濾原理和技術(shù)可以認(rèn)為是各種網(wǎng)絡(luò)防火墻的基礎(chǔ)構(gòu)件。

3）綜合型防火墻將數(shù)據(jù)包過(guò)濾和代理服務(wù)結(jié)合起來(lái)使用。

混合使用數(shù)據(jù)包過(guò)濾技術(shù)、代理服務(wù)技術(shù)和其他一些新技術(shù)將是未來(lái)防火墻的發(fā)展趨勢(shì)。（3）抗攻擊、防病毒網(wǎng)關(guān)

在通訊網(wǎng)絡(luò)中使用抗攻擊防病毒網(wǎng)關(guān)可以有效避免“拒絕服務(wù)攻擊（DoS）”和“連接耗盡攻擊”

第二篇：構(gòu)建信息安全保密體系

構(gòu)建信息安全保密體系

摘 要：信息安全保密已經(jīng)成為當(dāng)前保密工作的重點(diǎn)。本文從策略和機(jī)制的角度出發(fā)，給出了信息安全保密的服務(wù)支持、標(biāo)準(zhǔn)規(guī)范、技術(shù)防范、管理保障和工作能力體系，體現(xiàn)了技術(shù)與管理相結(jié)合的信息安全保密原則。關(guān)鍵詞：信息 安全 保密 體系

一、引言

構(gòu)建信息安全保密體系，不能僅僅從技術(shù)層面入手，而應(yīng)該將管理和技術(shù)手段有機(jī)結(jié)合起來(lái)，用規(guī)范的制度約束人，同時(shí)建立、健全信息安全保密的組織體制，改變現(xiàn)有的管理模式，彌補(bǔ)技術(shù)、制度、體制等方面存在的不足，從標(biāo)準(zhǔn)、技術(shù)、管理、服務(wù)、策略等方面形成綜合的信息安全保密能力，如圖1所示。圖 1 信息安全保密的體系框架

該保密體系是以信息安全保密策略和機(jī)制為核心，以信息安全保密服務(wù)為支持，以標(biāo)準(zhǔn)規(guī)范、安全技術(shù)和組織管理體系為具體內(nèi)容，最終形成能夠滿足信息安全保密需求的工作能力。

二、信息安全保密的策略和機(jī)制 所謂信息安全保密策略，是指為了保護(hù)信息系統(tǒng)和信息網(wǎng)絡(luò)中的秘密，對(duì)使用者（及其代理）允許什么、禁止什么的規(guī)定。從信息資產(chǎn)安全管理的角度出發(fā)，為了保護(hù)涉密信息資產(chǎn)，消除或降低泄密風(fēng)險(xiǎn)，制訂的各種綱領(lǐng)、制度、規(guī)范和操作流程等，都屬于安全保密策略。例如：禁止（工作或技術(shù)人員）將涉密軟盤或移動(dòng)存儲(chǔ)設(shè)備帶出涉密場(chǎng)所；嚴(yán)禁（使用人員將）涉密計(jì)算機(jī)（連）上互聯(lián)網(wǎng)；不允許（參觀人員）在涉密場(chǎng)所拍照、錄像等。

信息安全保密機(jī)制，是指實(shí)施信息安全保密策略的一種方法、工具或者規(guī)程。例如，針對(duì)前面給出的保密策略，可分別采取以下機(jī)制：為涉密移動(dòng)存儲(chǔ)設(shè)備安裝射頻標(biāo)識(shí)，為涉密場(chǎng)所安裝門禁和報(bào)警系統(tǒng)；登記上網(wǎng)計(jì)算機(jī)的（物理）地址，實(shí)時(shí)監(jiān)控上網(wǎng)設(shè)備；進(jìn)入涉密場(chǎng)所前，托管所有攝錄像設(shè)備等。

根據(jù)信息系統(tǒng)和信息網(wǎng)絡(luò)的安全保密需求，在制定其安全保密策略時(shí)，應(yīng)主要從物理安全保密策略，系統(tǒng)或網(wǎng)絡(luò)的訪問(wèn)控制策略，信息的加密策略，系統(tǒng)及網(wǎng)絡(luò)的安全管理策略，人員安全管理策略，內(nèi)容監(jiān)管策略等方面入手。在安全保密機(jī)制方面，應(yīng)主要從組織管理、安全控制和教育培訓(xùn)等方面，針對(duì)給出的安全保密策略，確定詳細(xì)的操作或運(yùn)行規(guī)程，技術(shù)標(biāo)準(zhǔn)和安全解決方案。

三、信息安全保密的服務(wù)支持體系

信息安全保密的服務(wù)支持體系，主要是由技術(shù)檢查服務(wù)、調(diào)查取證服務(wù)、風(fēng)險(xiǎn)管理服務(wù)、系統(tǒng)測(cè)評(píng)服務(wù)、應(yīng)急響應(yīng)服務(wù)和咨詢培訓(xùn)服務(wù)組成的，如圖2所示。其中，風(fēng)險(xiǎn)管理服務(wù)必須貫穿到信息安全保密的整個(gè)工程中，要在信息系統(tǒng)和信息網(wǎng)絡(luò)規(guī)劃與建設(shè)的初期，就進(jìn)行專業(yè)的安全風(fēng)險(xiǎn)評(píng)估與分析，并在系統(tǒng)或網(wǎng)絡(luò)的運(yùn)營(yíng)管理過(guò)程中，經(jīng)常性地開(kāi)展保密風(fēng)險(xiǎn)評(píng)估工作，采取有效的措施控制風(fēng)險(xiǎn)，只有這樣才能提高信息安全保密的效益和針對(duì)性，增強(qiáng)系統(tǒng)或網(wǎng)絡(luò)的安全可觀性、可控性。其次，還要大力加強(qiáng)調(diào)查取證服務(wù)、應(yīng)急響應(yīng)服務(wù)和咨詢培訓(xùn)服務(wù)的建設(shè)，對(duì)突發(fā)性的失泄密事件能夠快速反應(yīng)，同時(shí)盡可能提高信息系統(tǒng)、信息網(wǎng)絡(luò)管理人員的安全技能，以及他們的法規(guī)意識(shí)和防范意識(shí)，做到“事前有準(zhǔn)備，事后有措施，事中有監(jiān)察”。

加強(qiáng)信息安全保密服務(wù)的主要措施包括： 借用安全評(píng)估服務(wù)幫助我們了解自身的安全性

通過(guò)安全掃描、滲透測(cè)試、問(wèn)卷調(diào)查等方式對(duì)信息系統(tǒng)及網(wǎng)絡(luò)的資產(chǎn)價(jià)值、存在的脆弱性和面臨的威脅進(jìn)行分析評(píng)估，確定失泄密風(fēng)險(xiǎn)的大小，并實(shí)施有效的安全風(fēng)險(xiǎn)控制。采用安全加固服務(wù)來(lái)增強(qiáng)信息系統(tǒng)的自身安全性 具體包括操作系統(tǒng)的安全修補(bǔ)、加固和優(yōu)化；應(yīng)用服務(wù)的安全修補(bǔ)、加固和優(yōu)化；網(wǎng)絡(luò)設(shè)備的安全修補(bǔ)、加固和優(yōu)化；現(xiàn)有安全制度和策略的改進(jìn)與完善等。部署專用安全系統(tǒng)及設(shè)備提升安全保護(hù)等級(jí)

借助目前成熟的安全技術(shù)和產(chǎn)品來(lái)幫助我們提升整個(gè)系統(tǒng)及網(wǎng)絡(luò)的安全防護(hù)等級(jí)，可采用的產(chǎn)品包括防火墻、IDS、VPN、防病毒網(wǎng)關(guān)等。

運(yùn)用安全控制服務(wù)增強(qiáng)信息系統(tǒng)及網(wǎng)絡(luò)的安全可觀性、可控性

通過(guò)部署面向終端、服務(wù)器和網(wǎng)絡(luò)邊界的安全控制系統(tǒng)，以及集中式的安全控制平臺(tái)，增強(qiáng)對(duì)整個(gè)信息系統(tǒng)及網(wǎng)絡(luò)的可觀性，以及對(duì)使用網(wǎng)絡(luò)的人員、網(wǎng)絡(luò)中的設(shè)備及其所提供服務(wù)的可控性。

加強(qiáng)安全保密教育培訓(xùn)來(lái)減少和避免失泄密事件的發(fā)生 加強(qiáng)信息安全基礎(chǔ)知識(shí)及防護(hù)技能的培訓(xùn)，尤其是個(gè)人終端安全技術(shù)的培訓(xùn)，提高使用和管理人員的安全保密意識(shí)，以及檢查入侵、查處失泄密事件的能力。引入應(yīng)急響應(yīng)服務(wù)及時(shí)有效地處理重大失泄密事件

具體包括：協(xié)助恢復(fù)系統(tǒng)到正常工作狀態(tài)；協(xié)助檢查入侵來(lái)源、時(shí)間、方法等；對(duì)網(wǎng)絡(luò)進(jìn)行安全評(píng)估，找出存在的安全隱患；做出事件分析報(bào)告；制定并貫徹實(shí)施安全改進(jìn)計(jì)劃。采用安全通告服務(wù)來(lái)對(duì)竊密威脅提前預(yù)警 具體包括對(duì)緊急事件的通告，對(duì)安全漏洞和最新補(bǔ)丁的通告，對(duì)最新防護(hù)技術(shù)及措施的通告，對(duì)國(guó)家、軍隊(duì)的安全保密政策法規(guī)和安全標(biāo)準(zhǔn)的通告等。

四、信息安全保密的標(biāo)準(zhǔn)規(guī)范體系 信息安全保密的標(biāo)準(zhǔn)規(guī)范體系，主要是由國(guó)家和軍隊(duì)相關(guān)安全技術(shù)標(biāo)準(zhǔn)構(gòu)成的，如圖3所示。這些技術(shù)標(biāo)準(zhǔn)和規(guī)范涉及到物理場(chǎng)所、電磁環(huán)境、通信、計(jì)算機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)等不同的對(duì)象，涵蓋信息獲取、存儲(chǔ)、處理、傳輸、利用和銷毀等整個(gè)生命周期。既有對(duì)信息載體的相關(guān)安全保密防護(hù)規(guī)定，也有對(duì)人員的管理和操作要求。因此，它們是設(shè)計(jì)信息安全保密解決方案，提供各種安全保密服務(wù)，檢查與查處失泄密事件的準(zhǔn)則和依據(jù)。各部門應(yīng)該根據(jù)本單位信息系統(tǒng)、信息網(wǎng)絡(luò)的安全保密需求，以及組織結(jié)構(gòu)和使用維護(hù)人員的配置情況，制定相應(yīng)的，操作性和針對(duì)性更強(qiáng)的技術(shù)和管理標(biāo)準(zhǔn)。

五、信息安全保密的技術(shù)防范體系 信息安全保密的技術(shù)防范體系，主要是由電磁防護(hù)技術(shù)、信息終端防護(hù)技術(shù)、通信安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)和其他安全技術(shù)組成的。這些技術(shù)措施的目的，是為了從信息系統(tǒng)和信息網(wǎng)絡(luò)的不同層面保護(hù)信息的機(jī)密性、完整性、可用性、可控性和不可否認(rèn)性，進(jìn)而保障信息及信息系統(tǒng)的安全，提高信息系統(tǒng)和信息網(wǎng)絡(luò)的抗攻擊能力和安全可靠性。安全保密技術(shù)是隨著信息技術(shù)、網(wǎng)絡(luò)技術(shù)，以及各種入侵與攻擊技術(shù)的發(fā)展不斷完善和提高的，一些最新的安全防護(hù)技術(shù)，如可信計(jì)算技術(shù)、內(nèi)網(wǎng)監(jiān)控技術(shù)等，可以極大地彌補(bǔ)傳統(tǒng)安全防護(hù)手段存在的不足，這就為我們降低安全保密管理的難度和成本，提高信息系統(tǒng)和信息網(wǎng)絡(luò)的安全可控性和可用性，奠定了技術(shù)基礎(chǔ)。因此，信息安全保密的技術(shù)防范體系，是構(gòu)建信息安全保密體系的一個(gè)重要組成部分，應(yīng)該在資金到位和技術(shù)可行的情況下，盡可能采用最新的、先進(jìn)的技術(shù)防護(hù)手段，這樣才能有效抵御不斷出現(xiàn)的安全威脅。

六、信息安全保密的管理保障體系

俗話說(shuō)，信息安全是“三分靠技術(shù)，七分靠管理”。信息安全保密的管理保障體系，主要是從技術(shù)管理、制度管理、資產(chǎn)管理和風(fēng)險(xiǎn)管理等方面，加強(qiáng)安全保密管理的力度，使管理成為信息安全保密工作的重中之重。

技術(shù)管理主要包括對(duì)泄密隱患的技術(shù)檢查，對(duì)安全產(chǎn)品、系統(tǒng)的技術(shù)測(cè)評(píng)，對(duì)各種失泄密事件的技術(shù)取證；制度管理主要是指各種信息安全保密制度的制定、審查、監(jiān)督執(zhí)行與落實(shí)；資產(chǎn)管理主要包括涉密人員的管理，重要信息資產(chǎn)的備份恢復(fù)管理，涉密場(chǎng)所、計(jì)算機(jī)和網(wǎng)絡(luò)的管理，涉密移動(dòng)通信設(shè)備和存儲(chǔ)設(shè)備的管理等；風(fēng)險(xiǎn)管理主要是指保密安全風(fēng)險(xiǎn)的評(píng)估與控制。

現(xiàn)有的安全管理，重在保密技術(shù)管理，而極大地忽視了保密風(fēng)險(xiǎn)管理，同時(shí)在制度管理和資產(chǎn)管理等方面也存在很多問(wèn)題，要么是管理制度不健全，落實(shí)不到位；要么是一些重要的資產(chǎn)監(jiān)管不利，這就給失竊密和遭受網(wǎng)絡(luò)攻擊帶來(lái)了人為的隱患。加強(qiáng)安全管理，不但能改進(jìn)和提高現(xiàn)有安全保密措施的效益，還能充分發(fā)揮人員的主動(dòng)性和積極性，使信息安全保密工作從被動(dòng)接受變成自覺(jué)履行。

七、信息安全保密的工作能力體系

將技術(shù)、管理與標(biāo)準(zhǔn)規(guī)范結(jié)合起來(lái)，以安全保密策略和服務(wù)為支持，就能合力形成信息安全保密工作的能力體系，如圖4所示。該能力體系既是信息安全保密工作效益與效率的體現(xiàn)，也能反映出當(dāng)前信息安全保密工作是否到位。它以防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)為核心，對(duì)信息安全保密的相關(guān)組織和個(gè)人進(jìn)行工作考評(píng)，并通過(guò)標(biāo)準(zhǔn)化、流程化的方式加以持續(xù)改進(jìn)，使信息安全保密能力隨著信息化建設(shè)的進(jìn)展不斷提高。

八、結(jié)論

技術(shù)與管理相結(jié)合，是構(gòu)建信息安全保密體系應(yīng)該把握的核心原則。為了增強(qiáng)信息系統(tǒng)和信息網(wǎng)絡(luò)的綜合安全保密能力，重點(diǎn)應(yīng)該在健全上述保密體系，尤其是組織體系、管理體系、服務(wù)體系和制度（技術(shù)標(biāo)準(zhǔn)及規(guī)范）體系的基礎(chǔ)上，規(guī)范數(shù)據(jù)備份、密鑰管理、訪問(wèn)授權(quán)、風(fēng)險(xiǎn)控制、身份認(rèn)證、應(yīng)急響應(yīng)、系統(tǒng)及應(yīng)用安全等管理方案，努力提高系統(tǒng)漏洞掃描、信息內(nèi)容監(jiān)控、安全風(fēng)險(xiǎn)評(píng)估、入侵事件檢測(cè)、病毒預(yù)防治理、系統(tǒng)安全審計(jì)、網(wǎng)絡(luò)邊界防護(hù)等方面的技術(shù)水平。

參考文獻(xiàn)：

[1]信息與網(wǎng)絡(luò)安全研究新進(jìn)展．全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集．第二十二卷[C]．合肥：中國(guó)科技大學(xué)出版社, 2007 [2]中國(guó)計(jì)算機(jī)學(xué)會(huì)信息保密專業(yè)委員會(huì)論文集．第十六卷[C]．合肥：中國(guó)科技大學(xué)出版社, 2006 [3]胡建偉．網(wǎng)絡(luò)安全與保密[M]．西安：西安電子科技大學(xué)出版社, 2003

第三篇：構(gòu)建信息安全保密體系.

構(gòu)建信息安全保密體系

摘要:信息安全保密已經(jīng)成為當(dāng)前保密工作的重點(diǎn)。本文從策略和機(jī)制的角度出發(fā),給出了信息安全保密的服務(wù)支持、標(biāo)準(zhǔn)規(guī)范、技術(shù)防范、管理保障和工作能力體系,體現(xiàn)了技術(shù)與管理相結(jié)合的信息安全保密原則。

關(guān)鍵詞:信息安全保密體系

一、引言

構(gòu)建信息安全保密體系,不能僅僅從技術(shù)層面入手,而應(yīng)該將管理和技術(shù)手段有機(jī)結(jié)合起來(lái),用規(guī)范的制度約束人,同時(shí)建立、健全信息安全保密的組織體制,改變現(xiàn)有的管理模式,彌補(bǔ)技術(shù)、制度、體制等方面存在的不足,從標(biāo)準(zhǔn)、技術(shù)、管理、服務(wù)、策略等方面形成綜合的信息安全保密能力,如圖1所示。

圖1 信息安全保密的體系框架

該保密體系是以信息安全保密策略和機(jī)制為核心,以信息安全保密服務(wù)為支持,以標(biāo)準(zhǔn)規(guī)范、安全技術(shù)和組織管理體系為具體內(nèi)容,最終形成能夠滿足信息安全保密需求的工作能力。

二、信息安全保密的策略和機(jī)制

所謂信息安全保密策略,是指為了保護(hù)信息系統(tǒng)和信息網(wǎng)絡(luò)中的秘密,對(duì)使用者(及其代理允許什么、禁止什么的規(guī)定。從信息資產(chǎn)安全管理的角度出發(fā),為了保護(hù)涉密信息資產(chǎn),消除或降低泄密風(fēng)險(xiǎn),制訂的各種綱領(lǐng)、制度、規(guī)范和操作流程等,都屬于安全保密策略。例如:禁止(工作或技術(shù)人員將涉密軟盤或移動(dòng)存儲(chǔ)設(shè)備帶出涉密場(chǎng)所;嚴(yán)禁(使用人員將涉密計(jì)算機(jī)(連上互聯(lián)網(wǎng);不允許(參觀人員在涉密場(chǎng)所拍照、錄像等。

信息安全保密機(jī)制,是指實(shí)施信息安全保密策略的一種方法、工具或者規(guī)程。例如,針對(duì)前面給出的保密策略,可分別采取以下機(jī)制:為涉密移動(dòng)存儲(chǔ)設(shè)備安裝射頻標(biāo)識(shí),為涉密場(chǎng)所安裝門禁和報(bào)警系統(tǒng);登記上網(wǎng)計(jì)算機(jī)的(物理地址,實(shí)時(shí)監(jiān)控上網(wǎng)設(shè)備;進(jìn)入涉密場(chǎng)所前,托管所有攝錄像設(shè)備等。

根據(jù)信息系統(tǒng)和信息網(wǎng)絡(luò)的安全保密需求,在制定其安全保密策略時(shí),應(yīng)主要從物理安全保密策略,系統(tǒng)或網(wǎng)絡(luò)的訪問(wèn)控制策略,信息的加密策略,系統(tǒng)及網(wǎng)絡(luò)的安全管理策略,人員安全管理策略,內(nèi)容監(jiān)管策略等方面入手。在安全保密機(jī)制方面,應(yīng)主要從組織管理、安全控制和教育培訓(xùn)等方面,針對(duì)給出的安全保密策略,確定詳細(xì)的操作或運(yùn)行規(guī)程,技術(shù)標(biāo)準(zhǔn)和安全解決方案。

三、信息安全保密的服務(wù)支持體系

信息安全保密的服務(wù)支持體系,主要是由技術(shù)檢查服務(wù)、調(diào)查取證服務(wù)、風(fēng)險(xiǎn)管理服務(wù)、系統(tǒng)測(cè)評(píng)服務(wù)、應(yīng)急響應(yīng)服務(wù)和咨詢培訓(xùn)服務(wù)組成的,如圖2所示。其中,風(fēng)險(xiǎn)管理服務(wù)必須貫穿到信息安全保密的整個(gè)工程中,要在信息系統(tǒng)和信息網(wǎng)絡(luò)規(guī)劃與建設(shè)的初期,就進(jìn)行專業(yè)的安全風(fēng)險(xiǎn)評(píng)估與分析,并在系統(tǒng)或網(wǎng)絡(luò)的運(yùn)營(yíng)管理過(guò)程中,經(jīng)常性地開(kāi)展保密風(fēng)險(xiǎn)評(píng)估工作,采取有效的措施控制風(fēng)險(xiǎn),只有這樣才能提高信息安全保密的效益和針對(duì)性,增強(qiáng)系統(tǒng)或網(wǎng)絡(luò)的安全可觀性、可控性。其次,還要大力加強(qiáng)調(diào)查取證服務(wù)、應(yīng)急響應(yīng)服務(wù)和咨詢培訓(xùn)服務(wù)的建設(shè),對(duì)突發(fā)性的失泄密事件能夠快速反應(yīng),同時(shí)盡可能提高信息系統(tǒng)、信息網(wǎng)絡(luò)管理人員的安全技能,以及他們的法規(guī)意識(shí)和防范意識(shí),做到“事前有準(zhǔn)備,事后有措施,事中有監(jiān)察”。

加強(qiáng)信息安全保密服務(wù)的主要措施包括: 借用安全評(píng)估服務(wù)幫助我們了解自身的安全性

通過(guò)安全掃描、滲透測(cè)試、問(wèn)卷調(diào)查等方式對(duì)信息系統(tǒng)及網(wǎng)絡(luò)的資產(chǎn)價(jià)值、存在的脆弱性和面臨的威脅進(jìn)行分析評(píng)估,確定失泄密風(fēng)險(xiǎn)的大小,并實(shí)施有效的安全風(fēng)險(xiǎn)控制。

采用安全加固服務(wù)來(lái)增強(qiáng)信息系統(tǒng)的自身安全性

具體包括操作系統(tǒng)的安全修補(bǔ)、加固和優(yōu)化;應(yīng)用服務(wù)的安全修補(bǔ)、加固和優(yōu)化;網(wǎng)絡(luò)設(shè)備的安全修補(bǔ)、加固和優(yōu)化;現(xiàn)有安全制度和策略的改進(jìn)與完善等。

部署專用安全系統(tǒng)及設(shè)備提升安全保護(hù)等級(jí)

借助目前成熟的安全技術(shù)和產(chǎn)品來(lái)幫助我們提升整個(gè)系統(tǒng)及網(wǎng)絡(luò)的安全防護(hù)等級(jí),可采用的產(chǎn)品包括防火墻、IDS、VPN、防病毒網(wǎng)關(guān)等。

運(yùn)用安全控制服務(wù)增強(qiáng)信息系統(tǒng)及網(wǎng)絡(luò)的安全可觀性、可控性

通過(guò)部署面向終端、服務(wù)器和網(wǎng)絡(luò)邊界的安全控制系統(tǒng),以及集中式的安全控制平臺(tái),增強(qiáng)對(duì)整個(gè)信息系統(tǒng)及網(wǎng)絡(luò)的可觀性,以及對(duì)使用網(wǎng)絡(luò)的人員、網(wǎng)絡(luò)中的設(shè)備及其所提供服務(wù)的可控性。

加強(qiáng)安全保密教育培訓(xùn)來(lái)減少和避免失泄密事件的發(fā)生

加強(qiáng)信息安全基礎(chǔ)知識(shí)及防護(hù)技能的培訓(xùn),尤其是個(gè)人終端安全技術(shù)的培訓(xùn),提高使用和管理人員的安全保密意識(shí),以及檢查入侵、查處失泄密事件的能力。

引入應(yīng)急響應(yīng)服務(wù)及時(shí)有效地處理重大失泄密事件

具體包括:協(xié)助恢復(fù)系統(tǒng)到正常工作狀態(tài);協(xié)助檢查入侵來(lái)源、時(shí)間、方法等;對(duì)網(wǎng)絡(luò)進(jìn)行安全評(píng)估,找出存在的安全隱患;做出事件分析報(bào)告;制定并貫徹實(shí)施安全改進(jìn)計(jì)劃。

采用安全通告服務(wù)來(lái)對(duì)竊密威脅提前預(yù)警

具體包括對(duì)緊急事件的通告,對(duì)安全漏洞和最新補(bǔ)丁的通告,對(duì)最新防護(hù)技術(shù)及措施的通告,對(duì)國(guó)家、軍隊(duì)的安全保密政策法規(guī)和安全標(biāo)準(zhǔn)的通告等。

四、信息安全保密的標(biāo)準(zhǔn)規(guī)范體系

信息安全保密的標(biāo)準(zhǔn)規(guī)范體系,主要是由國(guó)家和軍隊(duì)相關(guān)安全技術(shù)標(biāo)準(zhǔn)構(gòu)成的,如圖3所示。這些技術(shù)標(biāo)準(zhǔn)和規(guī)范涉及到物理場(chǎng)所、電磁環(huán)境、通信、計(jì)算機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)等不同的對(duì)象,涵蓋信息獲取、存儲(chǔ)、處理、傳輸、利用和銷毀等整個(gè)生命周期。既有對(duì)信息載體的相關(guān)安全保密防護(hù)規(guī)定,也有對(duì)人員的管理和操作要求。因此,它們是設(shè)計(jì)信息安全保密解決方案,提供各種安全保密服務(wù),檢查與查處失泄密事件的準(zhǔn)則和依據(jù)。各部門應(yīng)該根據(jù)本單位信息系統(tǒng)、信息網(wǎng)絡(luò)的安全保密需

求,以及組織結(jié)構(gòu)和使用維護(hù)人員的配置情況,制定相應(yīng)的,操作性和針對(duì)性更強(qiáng)的技術(shù)和管理標(biāo)準(zhǔn)。

五、信息安全保密的技術(shù)防范體系

信息安全保密的技術(shù)防范體系,主要是由電磁防護(hù)技術(shù)、信息終端防護(hù)技術(shù)、通信安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)和其他安全技術(shù)組成的。這些技術(shù)措施的目的,是為了從信息系統(tǒng)和信息網(wǎng)絡(luò)的不同層面保護(hù)信息的機(jī)密性、完整性、可用性、可控性和不可否認(rèn)性,進(jìn)而保障信息及信息系統(tǒng)的安全,提高信息系統(tǒng)和信息網(wǎng)絡(luò)的抗攻擊能力和安全可靠性。安全保密技術(shù)是隨著信息技術(shù)、網(wǎng)絡(luò)技術(shù),以及各種入侵與攻擊技術(shù)的發(fā)展不斷完善和提高的,一些最新的安全防護(hù)技術(shù),如可信計(jì)算技術(shù)、內(nèi)網(wǎng)監(jiān)控技術(shù)等,可以極大地彌補(bǔ)傳統(tǒng)安全防護(hù)手段存在的不足,這就為我們降低安全保密管理的難度和成本,提高信息系統(tǒng)和信息網(wǎng)絡(luò)的安全可控性和可用性,奠定了技術(shù)基礎(chǔ)。因此,信息安全保密的技術(shù)防范體系,是構(gòu)建信息安全保密體系的一個(gè)重要組成部分,應(yīng)該在資金到位和技術(shù)可行的情況下,盡可能采用最新的、先進(jìn)的技術(shù)防護(hù)手段,這樣才能有效抵御不斷出現(xiàn)的安全威脅。

六、信息安全保密的管理保障體系

俗話說(shuō),信息安全是“三分靠技術(shù),七分靠管理”。信息安全保密的管理保障體系,主要是從技術(shù)管理、制度管理、資產(chǎn)管理和風(fēng)險(xiǎn)管理等方面,加強(qiáng)安全保密管理的力度,使管理成為信息安全保密工作的重中之重。

技術(shù)管理主要包括對(duì)泄密隱患的技術(shù)檢查,對(duì)安全產(chǎn)品、系統(tǒng)的技術(shù)測(cè)評(píng),對(duì)各種失泄密事件的技術(shù)取證;制度管理主要是指各種信息安全保密制度的制定、審查、監(jiān)督執(zhí)行與落實(shí);資產(chǎn)管理主要包括涉密人員的管理,重要信息資產(chǎn)的備份恢復(fù)管理,涉密場(chǎng)所、計(jì)算機(jī)和網(wǎng)

絡(luò)的管理,涉密移動(dòng)通信設(shè)備和存儲(chǔ)設(shè)備的管理等;風(fēng)險(xiǎn)管理主要是指保密安全風(fēng)險(xiǎn)的評(píng)估與控制。

現(xiàn)有的安全管理,重在保密技術(shù)管理,而極大地忽視了保密風(fēng)險(xiǎn)管理,同時(shí)在制度管理和資產(chǎn)管理等方面也存在很多問(wèn)題,要么是管理制度不健全,落實(shí)不到位;要么是一些重要的資產(chǎn)監(jiān)管不利,這就給失竊密和遭受網(wǎng)絡(luò)攻擊帶來(lái)了人為的隱患。加強(qiáng)安全管理,不但能改進(jìn)和提高現(xiàn)有安全保密措施的效益,還能充分發(fā)揮人員的主動(dòng)性和積極性,使信息安全保密工作從被動(dòng)接受變成自覺(jué)履行。

七、信息安全保密的工作能力體系

將技術(shù)、管理與標(biāo)準(zhǔn)規(guī)范結(jié)合起來(lái),以安全保密策略和服務(wù)為支持,就能合力形成信息安全保密工作的能力體系,如圖4所示。該能力體系既是信息安全保密工作效益與效率的體現(xiàn),也能反映出當(dāng)前信息安全保密工作是否到位。它以防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)為核心,對(duì)信息安全保密的相關(guān)組織和個(gè)人進(jìn)行工作考評(píng),并通過(guò)標(biāo)準(zhǔn)化、流程化的方式加以持續(xù)改進(jìn),使信息安全保密能力隨著信息化建設(shè)的進(jìn)展不斷提高。

八、結(jié)論

技術(shù)與管理相結(jié)合,是構(gòu)建信息安全保密體系應(yīng)該把握的核心原則。為了增強(qiáng)信息系統(tǒng)和信息網(wǎng)絡(luò)的綜合安全保密能力,重點(diǎn)應(yīng)該在健全上述保密體系,尤其是組織體系、管理體系、服務(wù)體系和制度(技術(shù)標(biāo)準(zhǔn)及規(guī)范體系的基礎(chǔ)上,規(guī)范數(shù)據(jù)備份、密鑰管理、訪問(wèn)授權(quán)、風(fēng)險(xiǎn)控制、身份認(rèn)證、應(yīng)急響應(yīng)、系統(tǒng)及應(yīng)用安全等管理方案,努力提高系統(tǒng)漏洞掃描、信息內(nèi)容監(jiān)控、安全風(fēng)險(xiǎn)評(píng)估、入侵事件檢測(cè)、病毒預(yù)防治理、系統(tǒng)安全審計(jì)、網(wǎng)絡(luò)邊界防護(hù)等方面的技術(shù)水平。

參考文獻(xiàn): [1]信息與網(wǎng)絡(luò)安全研究新進(jìn)展.全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集.第二十二卷[C].合肥:中國(guó)科技大學(xué)出版社, 2007 [2]中國(guó)計(jì)算機(jī)學(xué)會(huì)信息保密專業(yè)委員會(huì)論文集.第十六卷[C].合肥:中國(guó)科技大學(xué)出版社, 2006

[3]胡建偉.網(wǎng)絡(luò)安全與保密[M].西安:西安電子科技大學(xué)出版社, 2003

第四篇：企業(yè)信息安全保密管理辦法

企業(yè)信息安全保密管理辦法

1.目的作用

企業(yè)內(nèi)部的“信息流”與企業(yè)的“人流”、“物流”、“資金流”，均為支持企業(yè)生存與發(fā)展的最基本條件。可見(jiàn)信息與人、財(cái)、物都是企業(yè)的財(cái)富，但信息又是一種無(wú)形的資產(chǎn)，客觀上使人們利用過(guò)程中帶來(lái)安全管理上的困難。為了保護(hù)公司的利益不受侵害，需要加強(qiáng)對(duì)信息的保密管理，使公司所擁有的信息在經(jīng)營(yíng)活動(dòng)中充分利用，為公司帶來(lái)最大的效益，特制定本制度。2.管理職責(zé)

由于企業(yè)的信息貫穿在企業(yè)經(jīng)營(yíng)活動(dòng)的全過(guò)程和各個(gè)環(huán)節(jié)，所以信息的保密管理，除了領(lǐng)導(dǎo)重視而且需全員參與，各個(gè)職能部門人員都要嚴(yán)格遵守公司信息保密制度，公司督察部具體負(fù)責(zé)對(duì)各部門執(zhí)行情況的檢查和考核。3.公司文件資料的形成過(guò)程保密規(guī)定 擬稿過(guò)程

擬稿是文件、資料保密工作的開(kāi)始，對(duì)有保密要求的文件、資料，在擬稿過(guò)程應(yīng)按以下規(guī)定辦理：

初稿形成后，要根據(jù)文稿內(nèi)容確定密級(jí)和保密期限，在編文號(hào)時(shí)應(yīng)具體標(biāo)明。草稿紙及廢紙不得亂丟，如無(wú)保留價(jià)值應(yīng)及時(shí)銷毀。

文件、資料形成前的討論稿、征求意見(jiàn)稿、審議稿等，必須同定稿一樣對(duì)待，按保密原則和要求管理。印制過(guò)程

秘密文件、資料，應(yīng)由公司機(jī)要打字員打印，并應(yīng)注意以下幾點(diǎn)：

要嚴(yán)格按照主管領(lǐng)導(dǎo)審定的份數(shù)印制，不得擅自多印多留。要嚴(yán)格控制印制工程中的接觸人員。

打印過(guò)程形成的底稿、清樣、廢頁(yè)要妥善處理，即使監(jiān)銷。復(fù)制過(guò)程

復(fù)制過(guò)程是按照規(guī)定的閱讀范圍擴(kuò)大文件、資料發(fā)行數(shù)量，要求如下：

復(fù)制秘密文件、資料要建立嚴(yán)格的審批、登記制度。復(fù)制件與正本文件、資料同等密級(jí)對(duì)待和管理。嚴(yán)禁復(fù)制國(guó)家各種秘密文稿和國(guó)家領(lǐng)導(dǎo)人的內(nèi)部講話。絕密文件、資料、未經(jīng)原發(fā)文機(jī)關(guān)批準(zhǔn)不得自行復(fù)制。

4.公司文件資料傳遞、閱辦過(guò)程保密規(guī)定

收發(fā)過(guò)程

收進(jìn)文件時(shí)要核對(duì)收件單位或收件人，檢查信件封口是否被開(kāi)啟。

收文啟封后，要清點(diǎn)份數(shù)，按不同類別和密級(jí)，分別進(jìn)行編號(hào)、登記、加蓋收文章。發(fā)文時(shí)要按照文件、資料的類別和文號(hào)及順序號(hào)登記清楚去向，并填寫好發(fā)文通知單，封面要編號(hào)并加蓋密級(jí)章。

收發(fā)文件、資料都要建立登記制度和嚴(yán)格實(shí)行簽收手續(xù)。遞送過(guò)程

企業(yè)內(nèi)部建有文件、資料交換站的，可通過(guò)交換站進(jìn)行，一律直送直取。遞送外地文件、資料，要通過(guò)機(jī)要交通或派專人遞送。

凡攜帶秘密文件、資料外出，一般要有兩人以上同行，必須裝在可靠的文件包或箱內(nèi)，做到文件不離人。

遞送的秘密文件、資料，一律要包裝密封，并標(biāo)明密級(jí)。閱辦過(guò)程

呈送領(lǐng)導(dǎo)人批示的文件、資料、應(yīng)進(jìn)行登記。領(lǐng)導(dǎo)人批示后，要及時(shí)退還或由經(jīng)管文件部門當(dāng)日收回。領(lǐng)導(dǎo)人之間不得橫向傳批文件、不得把文件直接交承辦單位（人）。凡需有關(guān)部門（人）承辦的文件、資料，一律由文件經(jīng)管部門辦理。

絕密文件、資料，一般不傳閱，應(yīng)在特別設(shè)立的閱文室內(nèi)閱讀。

秘密文件、資料，不得長(zhǎng)時(shí)間在個(gè)人手中保留，更不能帶回家或公共場(chǎng)所。要控制文件、資料閱讀范圍，無(wú)關(guān)人員不能看文件、資料。

5.公司文件資料歸檔、保管過(guò)程中的保密規(guī)定

歸檔過(guò)程

秘密文件、資料在歸檔時(shí)，要在卷宗的扉頁(yè)標(biāo)明原定密級(jí)，并以文件資料中最高密級(jí)為準(zhǔn)。不宜于保留不屬于企業(yè)留存的“三密”文件、資料，要及時(shí)清理上交或登記銷毀，防止失散。

有密級(jí)的檔案，要按保密文件、資料管理辦法進(jìn)行管理。保密過(guò)程 秘密文件、資料應(yīng)集中管理，個(gè)人不得保存。

存放處應(yīng)裝有保密設(shè)置，專室、專柜及一切設(shè)施要能防盜，安全可靠，鑰匙應(yīng)專人保管。文件資料每半年要進(jìn)行一次清理，清理時(shí)應(yīng)將無(wú)用的上級(jí)發(fā)文交主管部門或上級(jí)發(fā)文機(jī)關(guān)；借出的文件應(yīng)做好清退，清退中如發(fā)現(xiàn)缺份，要及時(shí)向主管領(lǐng)導(dǎo)報(bào)告，認(rèn)真查處。每年底要組織一次對(duì)作廢的秘密文件、資料的銷毀工作。該項(xiàng)工作要按程序規(guī)定進(jìn)行，經(jīng)領(lǐng)導(dǎo)復(fù)核后，在有專人監(jiān)督下銷毀，嚴(yán)禁向廢品收購(gòu)部門出售“三密”文件、資料。

6.宣傳報(bào)告工作工程中的保密規(guī)定

宣傳報(bào)道保密，就是對(duì)宣傳報(bào)道中可能發(fā)生的泄密，采取一系列措施，確保企業(yè)秘密的安全。主要應(yīng)做好以下幾方面工作： 建立健全宣傳報(bào)道中的保密制度，要明確規(guī)定“三密”文件、資料的內(nèi)容都不能擅自公開(kāi)或在報(bào)導(dǎo)中引用。

公司對(duì)外宣傳報(bào)道的稿件，主管領(lǐng)導(dǎo)要認(rèn)真進(jìn)行保密審查。

做好確定密級(jí)的工作，使全體干部職工特別是領(lǐng)導(dǎo)和負(fù)責(zé)進(jìn)行宣傳報(bào)導(dǎo)的工作人員能了解掌握。因特殊需要，涉及到“三密“文件資料內(nèi)容時(shí)，必須向總經(jīng)理匯報(bào)請(qǐng)示，公司其他任何人均無(wú)權(quán)批準(zhǔn)。公司管理層應(yīng)經(jīng)常向下屬部門人員進(jìn)行保密教育，提高全員保密意識(shí)，對(duì)違規(guī)者，應(yīng)按制度進(jìn)行處罰。

7.辦公自動(dòng)化設(shè)備（設(shè)施）使用的保密措施

隨著企業(yè)辦公自動(dòng)化的普及，文件、資料保密工作面臨新的挑戰(zhàn)，為了消除辦公自動(dòng)化應(yīng)用中所產(chǎn)生的保密領(lǐng)域問(wèn)題，應(yīng)抓好以下幾個(gè)方面工作。

加強(qiáng)對(duì)工作人員的保密教育，樹(shù)立以下思想觀念：

樹(shù)立配有加密設(shè)施的微機(jī)網(wǎng)絡(luò)傳遞與機(jī)要通信收發(fā)的文件、資料同屬正式文件、資料的保密觀念。

樹(shù)立復(fù)印文件、資料與正式文件、資料都具有相同作用的保密觀念。

樹(shù)立機(jī)要室登記、分發(fā)的文件、資料與各部門自行登記、分發(fā)的文件、資料都同等重要的保密觀念。

樹(shù)立以紙張為材料的秘密載體與軟（硬）件為材料的秘密載體同樣重要的保密觀念。完善規(guī)章制度，認(rèn)真抓好落實(shí)

辦公自動(dòng)化的設(shè)備（設(shè)施）要指定專人使用與保管。要履行嚴(yán)格的審批手續(xù)，控制好文件、資料的制作數(shù)量。要根據(jù)保密原則，制定嚴(yán)格的違規(guī)處罰規(guī)定。抓好專業(yè)技術(shù)培訓(xùn)

要通過(guò)專業(yè)技術(shù)培訓(xùn)，提高工作人員對(duì)各種辦公自動(dòng)化設(shè)備的操作技術(shù)與知識(shí)水平，懂得泄密途徑和防范的辦法。

改善各類設(shè)備的環(huán)境條件，防止技術(shù)性泄密。

8.計(jì)算機(jī)的保密管理措施

電子計(jì)算機(jī)已經(jīng)廣泛應(yīng)用于工業(yè)，企業(yè)經(jīng)營(yíng)的信息、數(shù)據(jù)源源不斷地被輸入電腦。因此必須要做好計(jì)算機(jī)應(yīng)用中的保密工作。企業(yè)的各級(jí)主管人員應(yīng)學(xué)習(xí)和掌握計(jì)算機(jī)知識(shí)

首先要知道計(jì)算機(jī)方面的基礎(chǔ)知識(shí)，掌握和學(xué)會(huì)對(duì)它的運(yùn)用技能，才能了解到計(jì)算機(jī)信息系統(tǒng)的不安全因素，才能有針對(duì)性地做好保密管理。

造成計(jì)算機(jī)信息系統(tǒng)不安全因素的一般有以下方面：

8.1.1 計(jì)算機(jī)系統(tǒng)工作人員泄露計(jì)算機(jī)信息的秘密。8.1.2 直接從計(jì)算機(jī)電子文檔中竊取信息、資料。8.1.3 電磁輻射泄密。

8.1.4 冒名頂替和越權(quán)偷用，暗藏非法程序，定時(shí)破壞，篡改。8.1.5 復(fù)制和竊取磁介質(zhì)中的數(shù)據(jù)、信息。8.2 嚴(yán)格信息管理

除了加強(qiáng)對(duì)計(jì)算機(jī)工作人員經(jīng)常進(jìn)行保密教育之外，在信息管理中還應(yīng)有以下措施：

8.2.1 對(duì)計(jì)算機(jī)工作人員采取分工負(fù)責(zé)制的辦法，防止因一人的疏忽而影響整個(gè)系統(tǒng)的安全。

8.2.2 規(guī)定信息資源共享的等級(jí)和范圍，明確使用各密級(jí)信息的權(quán)限和人員。8.2.3 對(duì)存取秘密的信息，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)要自動(dòng)登記存取情況，以便查閱。8.2.4 對(duì)含有密級(jí)信息的磁記錄介質(zhì)（如磁帶、軟盤、硬盤、光盤等）要由專人負(fù)責(zé)保管。8.2.5 含有密級(jí)的打印紙要及時(shí)處理，對(duì)網(wǎng)絡(luò)系統(tǒng)中軟件清單要妥善保管，調(diào)試中的軟件清單要及時(shí)銷毀。

8.2.6 對(duì)新購(gòu)買的軟件和其他機(jī)器拷貝的軟件必須進(jìn)行檢查、消毒，以防計(jì)算機(jī)病毒帶入系統(tǒng)。

8.3 完善系統(tǒng)功能

8.3.1 系統(tǒng)應(yīng)有用戶存取資格檢查和用戶身份識(shí)別功能，對(duì)非法的操作和無(wú)資格存取的用戶要及時(shí)警告和登記。

8.3.2 用戶和網(wǎng)絡(luò)系統(tǒng)的界面要清晰，采用多層控制，以防用戶非法進(jìn)入系統(tǒng)而破壞整個(gè)系統(tǒng)的功能。

8.3.3 系統(tǒng)應(yīng)有很強(qiáng)的數(shù)據(jù)加密軟件，對(duì)需要保存在外存儲(chǔ)介質(zhì)上存貯介質(zhì)上的秘密信息和上信道傳輸?shù)拿孛苄畔⒈仨氝M(jìn)行加密。

8.3.4 要有多種經(jīng)受得住專業(yè)密碼分析人員攻擊的加密算法，對(duì)不同用戶使用不同的加密算法。

8.4 加強(qiáng)對(duì)計(jì)算機(jī)房的安全管理

8.4.1 對(duì)計(jì)算機(jī)房出入的要加以限制，非工作人員不得進(jìn)入，出入的物品也要進(jìn)行嚴(yán)格管理。

8.4.2 經(jīng)監(jiān)測(cè)發(fā)現(xiàn)有輻射的機(jī)器和部件，要采取屏蔽措施。

8.4.3 對(duì)進(jìn)入機(jī)房的各類設(shè)備、儀器都要經(jīng)過(guò)監(jiān)測(cè)，以防在使用這些設(shè)備和儀器時(shí)，將計(jì)算機(jī)內(nèi)的信息輻射或傳導(dǎo)出去。

第五篇：長(zhǎng)治久安區(qū)積極構(gòu)建安全防范體系

安全防范體系建設(shè)

政府安全工作，是一切工作的前提和基礎(chǔ)。為切實(shí)有效地保障廣大師生的生命財(cái)產(chǎn)安全，創(chuàng)造良好的學(xué)習(xí)、工作、生活環(huán)境是政府的頭等大事。只有堅(jiān)持“預(yù)防為主、防治結(jié)合、加強(qiáng)教育、群防群治”的原則，有效構(gòu)建政府安全防范體系，才能增強(qiáng)學(xué)生的安全意識(shí)和自我防護(hù)能力，維護(hù)政府正常的教育、教學(xué)秩序。

一、提高認(rèn)識(shí)，加強(qiáng)組織領(lǐng)導(dǎo)，明確職責(zé)

政府工作樹(shù)立“安全第一”的思想意識(shí)，形成齊抓共管的局面。成立以區(qū)長(zhǎng)為組長(zhǎng)，分管安全的副書記為常務(wù)副組長(zhǎng)、各科室負(fù)責(zé)人為成員的區(qū)綜治安全領(lǐng)導(dǎo)小組，進(jìn)一步明確了“誰(shuí)主管、誰(shuí)負(fù)責(zé)”的安全管理原則，各責(zé)任人認(rèn)真履行職責(zé)，切實(shí)落實(shí)《福建省政府安全“黨政同責(zé)、一崗雙責(zé)”工作機(jī)制》。區(qū)長(zhǎng)是街道安全工作的第一責(zé)任人，對(duì)街道安全工作負(fù)全面領(lǐng)導(dǎo)責(zé)任。分管街道安全工作的副職負(fù)責(zé)人是街道安全工作的綜合監(jiān)管責(zé)任人，對(duì)街道安全工作負(fù)組織協(xié)調(diào)和綜合監(jiān)管責(zé)任。黨政班子成員對(duì)分管業(yè)務(wù)范圍內(nèi)的安全工作負(fù)直接領(lǐng)導(dǎo)責(zé)任。各職能部門負(fù)責(zé)人是本部門職責(zé)范圍內(nèi)安全工作監(jiān)管第一責(zé)任人，對(duì)本部門安全工作負(fù)全面領(lǐng)導(dǎo)責(zé)任。在這基礎(chǔ)上，政府將安全工作擺上重要議事日程，納入工作計(jì)劃，按照制度規(guī)定對(duì)安全目標(biāo)執(zhí)行情況進(jìn)行監(jiān)督、考核，各崗位人員掌握本崗位的安全職責(zé)。

二、建立健全各項(xiàng)安全管理制度和安全教育培訓(xùn) 為維護(hù)政府正常教育教學(xué)秩序，創(chuàng)造良好的教書育人環(huán)境，確保師生員工生命財(cái)產(chǎn)安全，杜絕、減少安全事故的發(fā)生，政府建立一套完善的各類安全管理制度體系。政府各種有關(guān)安全日常工作事項(xiàng)記錄、安全會(huì)議記錄、隱患排查整改記錄、各種安全管理制度與預(yù)案、安全設(shè)備設(shè)施等檢維修記錄齊全。政府積極組織開(kāi)展安全管理法律法規(guī)、標(biāo)準(zhǔn)規(guī)范、規(guī)章制度、操作規(guī)程執(zhí)行情況檢查、評(píng)估。明確了各自安全工作責(zé)任制度和事故責(zé)任追究制度；各科室負(fù)責(zé)人還與科室部門人員及各社會(huì)化經(jīng)營(yíng)場(chǎng)所管理員簽訂安全生產(chǎn)責(zé)任書，明確各崗位安全職責(zé)，并檢查其執(zhí)行情況，督促落實(shí)安全職責(zé)。并按有關(guān)規(guī)定制定并實(shí)施崗位安全生產(chǎn)操作規(guī)程，并張貼上墻。保衛(wèi)科建立完整的安全工作記錄檔案，檔案內(nèi)容涵蓋了安全文件、國(guó)旗下講話、主題班會(huì)班主任例會(huì)等內(nèi)容，結(jié)合“六五”普法宣傳工作，利用多種方式組織師生學(xué)習(xí)《未成年人保護(hù)法》、《預(yù)防未成年人犯罪管理?xiàng)l件》、《教師職業(yè)道德規(guī)范》、《街道安全管理辦法》、《防震減災(zāi)法》等；通過(guò)街道網(wǎng)、宣傳欄、黑板報(bào)、廣播臺(tái)及LED屏廣泛開(kāi)展安全宣傳教育活動(dòng)。通過(guò)以上措施，在區(qū)內(nèi)營(yíng)造出良好的安全文化氛圍。

三、建立警區(qū)共建機(jī)制，強(qiáng)化聯(lián)防聯(lián)控，注重安全設(shè)施建設(shè)

我區(qū)高度重視安全工作,成立政府安全保衛(wèi)科，按照相關(guān)規(guī)定建立了與政府安全管理工作相適應(yīng)的安全工作管理機(jī)構(gòu)，并配備專（兼）職安全工作管理人員。切實(shí)做好街道治安保衛(wèi)工作，強(qiáng)化政府保安門衛(wèi)管理，督促保安員認(rèn)真履職，規(guī)范執(zhí)勤。各部門明確了專兼職安全聯(lián)絡(luò)員，班主任加強(qiáng)對(duì)學(xué)生日常行為規(guī)范和安全守紀(jì)的管理。為進(jìn)一步加強(qiáng)安全保衛(wèi)設(shè)施建設(shè)，目前，全區(qū)共安裝200多個(gè)高清探頭使街道安保水平更上一個(gè)臺(tái)階。在此基礎(chǔ)上，政府本著“以政府保衛(wèi)為主，治安防范指導(dǎo)為輔”的原則，加強(qiáng)與相關(guān)部門、派出所、社區(qū)、周邊政府聯(lián)防聯(lián)控、杜絕外來(lái)危險(xiǎn)源進(jìn)入政府，以優(yōu)勢(shì)互補(bǔ)、全方位共建的形式，以拓寬共建領(lǐng)域、豐富共建內(nèi)容、提高共建水平為重點(diǎn)，注重實(shí)效的“警區(qū)共建”平安街道的治安聯(lián)防工作機(jī)制。

四、加強(qiáng)隱患排查和治理

為促進(jìn)街道安全形勢(shì)持續(xù)穩(wěn)定好轉(zhuǎn)。政府堅(jiān)持每月及重要時(shí)段開(kāi)展安全隱患排查治理活動(dòng)，建立隱患排查治理長(zhǎng)效機(jī)制，進(jìn)一步落實(shí)政府的安全主體責(zé)任，全面排查街道事故隱患和薄弱環(huán)節(jié)及重點(diǎn)部位，切實(shí)解決存在的突出問(wèn)題、疑難問(wèn)題，建立健全安全防范措施和管理制度，健全和落實(shí)工作責(zé)任。我區(qū)全面落實(shí)“一崗雙責(zé)”機(jī)制，積極推進(jìn)安全隱患排查治理工作，落實(shí)整改資金和專職人員負(fù)責(zé)，制訂隱患監(jiān)控措施，確保機(jī)構(gòu)、人員、措施、資金四到位。

我區(qū)高度重視隱患排查治理工作，強(qiáng)化隱患排查和整改，做到排查不留死角，整改不留后患。突出政府安全隱患排查重點(diǎn)，對(duì)排查中發(fā)現(xiàn)的安全隱患，能夠立即整改排除的，立即整改，建立隱患管理信息臺(tái)賬，做到“一患一檔”；對(duì)治理難度大、自身無(wú)力解決的，及時(shí)向上級(jí)有關(guān)部門書面報(bào)告，加強(qiáng)溝通和緊密配合，確保安全隱患排查工作形成齊抓共管機(jī)制。進(jìn)一步強(qiáng)化修訂和完善應(yīng)急預(yù)案。我區(qū)每半年至少開(kāi)展5次以上災(zāi)害事故緊急疏散演練，確實(shí)提高師生逃生技能和自救互救能力。