第一篇:网络安全保密承诺书
网络安全保密承诺书
本人庄重承诺:
一、认真遵守国家保密法律、法规和规章制度,履行保密义务;
二、不提供虚假个人信息,自愿接受保密审查;
二、不违规记录、存储、复制国家秘密和企业商业秘密信息,不 违规留存国家秘密和企业商业秘密载体;
三、不以任何方式泄露所接触和知悉的国家秘密和企业商业秘 密;
四、未经单位审查批准,不擅自发表涉及未公开工作内容的文章、著述;
五、离岗时,自愿接受脱密期管理,签订保密承诺书。违反上 述承诺,自愿承担党纪、政纪责任和法律后果。
承诺人签名:
年 月 日
第二篇:保密网络安全自查报告
今年以来,为深入贯彻各级领导关于加强保密工作的指示精神,按照市保密局的工作要求,结合我单位保密工作实际,现将我单位保密工作网络安全自查情况报告如下:
一、强化保密知识宣传教育,增强干部职工的保密意识
针对包括部分领导在内的广大干部职工中普遍存在的保密工作说起来重要、做起来次要、忙起来不要的懈怠观念,今年,我局把保密工作作为内部工作的一项重点来抓,严格执行上级保密工作要求,切实加强自身保密工作建设。本着预防为主的原则,组织所有干部职工认真学习并严格执行有关保密法规。学习的内容主要有:《中华人民共和国保守国家秘密法》、《领导干部保密制度》、《会议保密规定》和《公文保密制度》等与机关日常工作密切相关的法规制度、上级有关保密工作的指示、保密规章制度以及科技、地方志法律法规等等。在保密教育中,我们做到了三个结合:即保密工作与科技工作实际相结合;日常性教育和重大活动前的教育相结合;正面教育与反面案例教育相结合。同时加强了对涉密人员的保密教育和管理。领导班子、科室负责人、档案人员等按规定每年签订《保密承诺书》,进一步增强保密意识,克服麻痹大意思想,避免泄密事件的发生。
二、及时传达保密工作精神,认真完成保密工作任务
我局始终将保密工作作为重点工作摆上工作议程。对上级保密部门下发的文件力争做到及时传达和认真落实,并能很好地完成保密部门交予的各项任务。能够把保密工作纳入业务工作中同步考虑,避免泄密事件发生。在今年文件归档中,局领导特别要求文件清理归档人员要注意涉密文件,对涉密文件要严格按照保密规定的程序处理,不得随意归档。
三、健全保密制度建设,抓住保密工作管理环节
我局根据保密工作规定,成立了保密工作领导小组,并明确各自工作职责。进一步完善了《保密工作制度》、《涉密人员保密管理制度》、《计算机安全保密制度》、《科技安全保密制度》、《科技保密制度》、《保密员岗位职责》、《科技查阅制度》、《涉密文件处理(管理)规定》、《保密工作人员管理规定》等保密工作规章制度,并装订成册,分管领导以及所有涉密人员做到了人手一册,使保密工作有据可依、有章可循,严格按制度规范办事程序。
四、加强对保密重点部位的安全管理
(一)为真正做到保守机密慎之又慎,我局结合工作实际,确定科技库房管理人员、办公室人员、文秘工作岗位、计算机系统、财务管理等几个保密重点部位,并列入要害部位管理之中切实加强防范。
(二)根据业务工作特点对涉密与非涉密计算机予以明确区分,确定了商密网专用电脑、财务专用电脑、办公文件制作专用电脑处理内部单位保密信息涉密计算机,做到上网不涉密,涉密不上网,同时规定不准上因特网以防失泄密;其次是对涉密计算机逐台设置开机密码,重要目录设置密钥口令进行身份认证,对计算机病毒进行查毒杀毒。加强电脑资料的保管,未经单位领导同意,严禁将单位软件资料打印或拷贝给外单位人员。
(三)加强对涉密机和磁介质的维修保密管理。当涉密机和涉密软、硬盘、移动磁盘发生故障时,由办公室查明原因及具体情况后,联系专业电脑公司派技术人员直接上门到单位对故障机和磁介质进行现场维修,以确保秘密信息不被泄密和被窃。同时按规定加强做好对新闻出版、对外提供信息的保密监管工作,防范于未然。
(四)加强对机要文件的管理和各类文件的印制、保管、清理、归档、销毁工作的保密安全措施。特别是对起草文件过程中产生的废弃稿纸,不准随便乱扔,集中进行烧毁或用保密碎纸机进行碎纸销毁。传阅夹内的文件,不许随意抽取,不得擅自扩大文件的传阅范围,文件阅毕后,必须签注姓名(全称)及时间。传阅文件一般每次不得超过两天,急件阅后即退,不得任意积压与延长时间。凡发给领导干部私人圈阅的各类文件,在年终必须按规定做好清退工作。
五、制订保密工作计划,加强保密检查
年初,我局根据上级保密部门工作精神,制定了本单位保密工作计划,并认真对照计划,定期开展检查,发现隐患,认真整改。在文件清理归档过程中,保密领导小组多次进行督查指导,保证了文件归档的质量。
今年以来,对保密工作高度重视,本着预防为主的原则,加强了保密工作建设,认真进行自查,使保密工作得到了较好地落实,有力地推动了单位保密工作向依法管理、依法治密迈进,保障了全市经济社会的健康有序发展。
第三篇:网络安全保密基本知识
网络安全保密基本知识
2007-10-11 被阅读3557次
一、网络安全保密基础知识
1、网络系统有哪些不安全因素?
一是协议的开放性。TCP/IP协议不提供安全保证,网络协议的开放性方便了网络互连,同时也为非法入侵者提供了方便。非法入侵者可以冒充合法用户进行破坏,篡改信息,究取报文内容。
二是因特网主机上有不安全业务,如远程访问。许多数据信息是明文传输,明文传输既提供了方便,也为入侵者提供了窃取条件。入侵者可以利用网络分析工具实时窃取到网络上的各种信息,甚至可以获得主机系统网络设备的超级用户口令,从而轻易地进入系统。
三是因特网连接基于主机上社团的彼此信任,只要侵入一个社团,其他就可能受到攻击。
由于计算机网络存在以上种种不安全因素,因此,凡是在没有经过保密部门审查认可的计算机网络上,尤其是在公共信息网络上,利用电子邮件、远程登录等5大功能传递、交流信息都是不安全的。
2、什么是政务外网?什么是政务内网?
“电子政务网络由政务内网和政务外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离。”
政务外网是政府的业务专网,主要运行政务部门面向社会的专业性服务业务和不需要在内网上运行的业务。因此,政务外网不能处理、存储国家秘密信息,是非涉密网。
政务内网属于涉密网,主要运行国家秘密信息和“密”与“非密”区分不清的信息。
什么是政府网站?什么是政府上网工程?
是指在各政府部门信息化建设的基础上,建立起跨部门的、综合的业务应用系统,使公民、企业与政府工作人员都能快速便捷地接入所有相关政府部门的业务应用系统,获得适时的个性化服务。
政府网站有外网网站和内网网站之分。外网网站主要为社会提供公共服务。内网网站主要是为政府各部门的公务人员提供服务。
“政府上网工程”,是由电信总局和中央国家相关部委信息主管机构于1999年策划发运和统一规划部署,使我国政府各级各部门在163/169网上建立正式站点并提供信息共享和便民服务的应用项目。
3、政务(党务)信息如何分类?
政务(党务)信息按其敏感程度可分为三种:国家秘密信息、内部信息和公开信息。
(1)国家秘密
《保密法》第二条规定:“国家秘密是关系国家的安全和利益,依照法定程序确定,在一定时间内只限一定范围人的员知悉的事项。”
国家秘密事项分为:绝密级、机密级、秘密级三个等级。“绝密”是最重要的国家秘密,泄露会使国家的安全和利益遭受特别严重的损害;“机密”是重要的国家秘密,泄露会使国家的安全和利益遭受严重的损害;“秘密“是一般的国家秘密,泄露会使国家的安全和利益遭受损害。
(2)内部信息
内部信息分为:工作秘密和商业秘密。
工作秘密——《国家公务员暂行条例》提出工作秘密的概念。它是指各级国家机关在其公务活动和内部管理中产生的不属于国家秘密而又不宜对外公开,一旦公开或被泄露,会给本机关、单位的工作带来被动,造成损害的事项。
工作秘密不分等级,只在属于工作秘密载体的正面(文件、资料的首页)标注“内部”、“内部文件”、“内部资料”、“内部刊物”等字样,作为工作秘密的标志。
商业秘密——根据《刑法》和《反不正当竞争法》的规定,“商业秘密是指不为公众所知悉,能为权利人带来经济利益,具有实用性,并经权利人采取保密措施的技术信息和经营信息。”所谓技术信息,是指具有经济价值的技术知识,通常包括产品的工艺设计、配方、质量标准、质量管理及其他生产技术等方面的技术知识。所谓经营信息,通常包括生产经营的发展规划和计划、营销范围和方式及手段、货源和客户名单、产品成本、对外谈判底盘和策略、标底、财务住处等等。
(3)公开信息
政务(党务)信息在正式定稿后,可以通过新闻媒体或公共信息网络向外界公布,与社会有偿或无偿共享的,都属于公开信息。
4、政务(党务)信息安全保密的内涵是什么?
政务(党务)信息安全保密是指政务(党务)信息具有保密性、完整性、可用性、可控性和抗抵赖性。
(1)保密性 即保证信息在产生、传输、处理和存储的各个环节不泄露给未被授权的用户或供其使用。
(2)完整性 即保证信息在存储或传输过程中不被未经授权的人篡改、破坏,保证真实的信息从真实的信源无失真地到达真实的信宿。
(3)可用性 即保证合法用户在需要时可以使用所需的准确信息,防止由于病毒等其他主客观因素造成系统拒绝服务,妨碍合法用户对信息的正常使用。
(4)可控性 即保证合法用户对信息能够进行读取和修改,防止非法用户对信息进行恶意篡改和破坏,并对信息内容和信息系统实施安全监控管理。
(5)抗抵赖性 即保证发送信息的行为人不能否认自己的行为,使发送行为具有可信度。常用的方法是数字签名。
5、网络安全保密面临哪些主要威胁?
据有关部门统计,党政机关和军队的网络安全威胁70%来自于外部,而金融、证券系统和企业的网络安全威胁70%来自于内部。网络安全保密面临的主要威胁是:
(1)黑客攻击
所谓“黑客”(Hacker)是指那些未经计算机信息系统所有者许可或默许而进入该系统的人。他们或窃取信息,或破坏系统。
据最新统计显示,全球网络每20秒就遭遇一次黑客的袭击。因为Intenet是一个开放的空间,任何人都可以在这个空间中跨地域登陆、漫游、调阅信息。这使得闯入他人信息系统窃取信息或进行破坏的行为不宜被发觉和追究,因而使得一些别有用的组织和个人有恃无恐。
(2)病毒侵扰
“病毒”是“指编造或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或程序代码”。从本质上讲,计算机病毒是一种具有自我繁殖能力的程序。它具有寄生性、传染性、潜伏性和危害性等特点。
病毒主要有3个作用,一是破坏计算机功能,二是毁坏计算机中的数据,三是窃取数据。
病毒传播的主要渠道有:
(1)在因特网和公共信息网上传播;
(2)通过软盘和光盘传播;
(3)靠计算机硬件(带病毒的芯片)传播。
当前,电子邮件是病毒传播的主要媒介。据统计,近年来用电子邮件感染病毒的电脑占87%。
利用病毒技术用为信息战中的隐型武器,已经成为西方发达国家公开的秘密。
(3)电磁泄漏发射
我国从20世纪90年代开始研究电磁泄漏发射技术,其标准、测试和防护技术及产品归口国家保密局管理。
电磁泄漏发射的方式主要有以下两种:
(1)辐射泄漏。电子设备处在高频工作状态下,会向外辐射电磁波。所有的信息设备,包括计算机、传真机、电话、服务器、路由器等,在工作时都会产生电磁辐射信号,其中辐射最危险的是微机显示器,它不仅辐射强度大,而且容易还原。
据资料报道,病因视频还原接收机的可接收距离为250米,英国的接收距离可达1500米。我国用于保密检查的视频接收设备,最远可在75米处还原微机显示器的辐射信息。
(2)传导泄漏。这是计算机特有的一种现象。即计算机在工作时,其处理的信息能沿着其电源线和通信线路进行传播发射。
(4)磁介质疏于管理
磁介质具有惊人的存储功能。涉密磁介质已经成为另一个“机要室”。目前磁介质存储信息存在以下泄密隐患:
一是在操作系统中,简单的“删除”命令,只是删掉文件名,并没有清除磁盘上的文件信息,通过文件恢复工具就可以找到文件内容。
二是磁介质具有剩磁效应,即一般“格式化”或覆盖写入其他信息后,通过专有技术设备,仍可以将原涉密信息复原出来。
三是普通用户对报废磁介质的处理,缺乏可靠的消磁手段,只是简单地丢弃。
目前,施工单位没有将存储过国家秘密信息的磁介质作为国家秘密载体,纳入保密工作的管理范围,存在很大的泄密隐患。比如涉密软盘没有标密、登记、编号、备案,实行统一管理,而是由个人自行管理;有的没有存放在密码保险柜中而被盗;有的随意降低密级使用,复制其他信息进行交流。再如涉密笔记本电脑,携带外出,没有采取可靠的保密措施,在旅行中被盗,有的在宾馆中被盗;涉密服务器和台式电脑,放置的环境不安全,被人破门而入,卸走硬盘。另外,涉密电脑和其他涉密磁介质的维修和更新淘汰较随意,缺乏统一管理,等等。
(5)内部人员意识不强,防范不力
内部人员,主要包括机关工作人员和信息系统的管理、编程和维护人员等。内部人员在建设、使用网络或微机过程中,存在以下几个方面的问题:
一是认识上存在误区。有的片面强调信息网络建设应用第一,把安全保密放在从属、次要的地位,对保密设施的建设重视不够,投入太少,对保密管理措施的落实避重就轻,应付了事;有的盲目自信,认为网络安全了也就保密了,把对涉密网络的安全保密建设和管理等同于普通网络的安全建设和管理。
二是思想麻痹,有章不循。有的缺乏信息安全保密意识,对有关规定和要求熟视无睹;有的有章不循,违反操作规程。比如安装物理隔离卡的微机,有“内网”和“外网”两种工作环境,国家秘密和内部办公信息只有在“内网”状态下处理才是安全的。有的却在“外网”状态下处理涉密信息。有的明密不分,将本来应该用密码传输的内容,却用明码发出。有的密电明复、明电密复。有的擅自带游戏软盘在涉密网中使用,造成涉密网感染病毒,留下泄密隐患。还有的存有侥幸心理,认为涉密计算机偶尔上一次互联网,不会出现什么问题,造成严重泄密隐患,等等。
三是恶意攻击,蓄意破坏。有的因对工作不满、或对单位领导不满,蓄意破坏计算机网络;有的为一己私利,利用网络漏洞,对网络实施恶意攻击,越权操作,盗取有关数据、资金等。这种情况多发生在金融、证券等部门。
二、涉密网络的保密建设与管理
1、涉密网络保密建设和管理应遵循哪些基本原则
根据国家有关规定,政务内网是涉密网络,是专门处理国家秘密和内部办公信息的网络。党和国家对涉密网络的保密建设和管理非常重视,制定了一系列方针政策、法律法规和标准规范。根据这些规定,涉密网络保密建设和管理应当遵循以下基本原则:
(1)适度安全的原则。所谓“适度安全”是指与由于信息泄露、滥用、非法访问或非法修改而造成的危险和损害相适应的安全。没有绝对安全的信息系统(网络),任何安全措施都是有限度的。关键在于“实事求是”、“因地制宜”地去确定安全措施的“度”,即根据信息系统因缺乏安全性造成损害后果的严重程度来决定采取什么样的安全措施。国家保密技术规定对绝密级信息系统的机密、秘密级信息系统应当采取的安全措施分别提出了具体要求。
(2)按最高密级防护的原则。涉密信息系统处理多种密级的信息时,应当按照最高密级采取防护措施。
(3)最小化授权的原则。一是涉密信息系统的建设规模要最小化,非工作所必需的单位和岗位,不得建设政务内风和设有内网终端;二是涉密信息系统中涉密信息的访问权限要最小化,非工作必需知悉的人员,不得具有关涉密信息的访问权限。
(4)同步建设,严格把关的原则。涉密信息系统的建设必须要与安全保密设施的建设同步规划、同步实施、同步发展。要对涉密信息系统建设的全过程(各个环节)进行保密审查、审批、把关。
要防止并纠正“先建设,后防护,重使用,轻安全”的倾向,建立健全涉密信息系统使用审批制度。不经过保密部门的审批和论证,有关信息系统不得处理国家秘密信息。
(5)注重管理的原则。涉密信息系统的安全保密三分靠技术,七分靠管理。加强管理可以弥补技术上的不足;而放弃管理则再好的技术也不安全。要通过引进和培养计算机技术人员,使其尽快成为既懂“电子”又懂政务(党务)、还懂“保密”的复合型人才,利用行政和技术手段的综合优势,实现对涉密信息在网络环境下的有效监管。同时,实现人员和技术的有机结合——健全制度,并利用技术手段保证制度的落实。
2、涉密网络保密建设的基本措施有哪些?
根据国家保密技术规定的要求,涉密信息系统的安全保密建设必须采取以下基本措施:
(1)存放安全。即保证涉密信息系统的机房设备和终端存放在安全可靠的地方,做到防火、防水、防震、防爆炸和防止外来人员进行物理上的盗取和破坏等,还要防止外界电磁场对涉密信息系统各个设备的电磁干扰,保证涉密信息系统的正常运行。
涉密信息系统的中心机房建设,在条件许可的情况下,应满足国家《电子计算机机房设计规定规范》、《计算站场地技术条件》、《计算站场地安全要求》和要求。处理国家秘密信息的电磁屏蔽室的建设,必须符合国家保密标准BMB3的要求。处理秘密级、机密级信息的系统中心机房,应当彩有效的电子门控系统。处理绝密级信息和重要信息的系统中心机房的门控系统,还应采取IC卡或生理特征进行身份鉴别,并安装电视监视系统,且配备警卫人员进行区域保护。
(2)物理隔离。即涉密信息系统(政务内网)要与政务外网和因特网实行物理隔离。这是涉密信息系统免遭来自因特网上的黑客攻击和病毒侵扰的最有效措施。实现物理隔离,必须做到以下几点:
一是一个单位的政务内网和政务外网的机房要分别建设,相互物理隔离。隔离距离要符合国家保密标准BMB5的相关规定。
二是政务内网的布线要采用光缆或屏蔽电缆;如政务内、外网同时建设,可实行双布线,政务外网的布线可以使用普通电缆或双绞线;对已建网络要改造成政务内、外网两个网络、单布线不可改变时,可以采用安装安全隔离集线器的办法,使客户端微机不能同时与内、外网相通。
三是客户端的物理隔离可以采取以下方法解决:(A)安装双主板、双硬盘的微机(如浪潮金盾安全电脑);(B)对原的微机进行物理隔离改造,即增中一块硬盘和一块双硬盘隔离卡(如中孚隔离卡);(C)对客户端微机只增加一块单礓盘隔离卡等。
四是对单位与单位政务内网之间的信息传输,可采用以下方法解决:(A)利用各地政务内网平台提供的宽带保密通道;(B)采用单独交换设备和单独铺设线路,并安装网络加密机;(C)使用面向连接的电路交换方式(如PSTN、ISDN、ADSL等)时,应采用认证和链路加密措施。采用的加密设备必须经国家密码主管部门批准。
(3)身份鉴别。在用户进入(即使用)涉密信息系统前,系统要对用户的身份进行鉴别,以判断该用户是否为系统的合法用户。其目的是防止非法用户进入。这是系统安全控制的第一道防线。
身份鉴别一般采用3种方法:一是设置口令字;二是采用智能卡和口令字相结合的方式;三是用人的生物特征等强认证措施,如指纹、视网膜等。
口令字的设置原理是:在信息系统中存放一张“用户信息表”,它记录所有的可以使用这个系统的用户的有关信息,如用户名和口令字等。用户名是可以公开的,不同用户使用不同的用户名,但口令字是秘密的。当一个用户要使用系统时,必须键入自己的用户名和相应的口令字,系统通过查询用户信息表,验证用户输入的用户名和口令字与用户信息表中的是否一致,如果一致,该用户即是系统的合法用户,可进入系统,否则被挡在系统之外。
根据国家保密规定,处理秘密级信息的系统口令长度不得少于8位,且口令更换周期不得长于30天;处理机密级信息的系统,口令长度不得少于10位,且口令更换周期不得长于7天;处理绝密级信息的系统,应当采用一次性口令。口令有组成应当是大小写英文字母、数字、特殊字符中两者以上的组合,而且口令必须加密存储、加密传输,并且保证口令存放载体的物理安全。
采用口令字进行身份鉴别,特别是成本低,实现容易,但使用管理很不方便,不宜记忆。
采用“智能卡+口令字”的方式进行身份鉴别,其特别是,口令字长度4位即可,便于用户使用,增加了身份鉴别的安全性和可靠性,成本较高,一般涉密信息系统的身份鉴别在多采用这种方式。
采用人的生理特征进行身份鉴别,其特点是成本高,安全性好。国家保密规定要求,绝密级信息系统的身份鉴别应采用这种强认证方式。
(4)访问控制。经过身份鉴别进入涉密信息系统的合法用户,需要对其访问系统资源的权限进行限制。访问控制的任务就是根据一定的原则对合法用户的访问权限进行控制,以决定他可以使用哪些系统资源,以什么样的方式使用。例如,在系统中,对于各种密级的文件,哪个用户可以查阅,哪个用户可以修改等。这是系统安全控制的第二道防线,它可以阻合法用户对其权限范围以外的资源的非法访问。设置访问控制应遵循“最小授权原则”,即在应当授权的范围内有权使用资源,非授权范围内无权使用资源。
访问控制可以分为自主访问控制、强制访问控制和角色控制等3种访问控制策略。
自主访问控制是指资源的拥有者有权决定系统中哪些用户具有该资源的访问权限,以及具有什么样的访问权限(读、改、删等)。也就是说系统中资源的访问权限,由资源的所有者决定。
强制访问控制是指信息系统根据事先确定的安全策略,对用户的访问权限进行强制性控制。它首先要分别定义用户和信息资源的安全属性;用户的安全属性为“所属部门”和“可查阅等级”。用户“所属部门”是指用户分管或所在的部门。用户“可查阅等级”分为A、B、C三级(可以任意确定),其级别为A>B>C。信息资源的安全属性分为“所属部门”和“查阅等级”。信息“所属部门”是指信息产生的部门。信息“查阅等级”可分为A、B、C三级(同上),其级别为A>B>C。强制访问控制的规则是:仅当用户安全属性中的“可查阅等级”大于等于信息安全属性中的“查阅等级”且用户安全属性中的“所属部门”包含了信息安全属性中的“所属部门”时,用户才能阅读该信息;仅当用户安全属性中的“可查阅等级”小于等于信息安全属性中的“查阅等级”,且用户安全属性中的“所属部门”包含了信息安全属性中的“所属部门”时,用户才能改写该信息。
角色控制是指信息系统根据实际工作职责设置若干角色,不同用户可以具有相同角色,在系统中享有相同的权力。当工作职责变动时,可按照新的角色进行重新授权。角色控制既可以在自主访问控制中运用,也可以在强制访问控制中运用。
根据国家保密规定,涉密信息系统必须采用强制访问控制策略。处理秘密级、机密级信息的涉密系统,访问应当按照用户类别、信息类别控制,处理绝密级信息的涉密系统,访问控制到单个用户、单个文件。
(5)数据存储加密。对涉密信息系统中存放的文件和数据进行加密,使这成为密文,用在用户对其进行访问(查询、插入、修改)时,按其需要对数据实时进行加密/解密。这是系统安全控制的第三道防线。在系统的身份鉴别和访问控制这两道防线万一遭到破坏或用户绕过身份鉴别和访问控制,通过其他途径进入系统时,加密可以保护文件或数据的秘密性,并可发现数据的被修改。通俗地讲,系统的身份鉴别与访问控制的作用是“进不来”和“拿不走”,加密的作用是,即使拿走了也“看不懂”。
采用什么样的密码体制对数据进行加密,是密码控制中的一个很关键的问题,要保证密码算法既有很强的密码强度,又对系统的运行效率不致于有太大影响。现代密码体制是将密码算法公开,而仅保持密钥的秘密性,即一切秘密寓于密钥之中。因此,必须对密钥的生成、传递、更换和保存采取严格的保护措施。
根据国家保密规定,绝密级信息系统中的数据存储应当采取加密措施。使用的加密算法应当经过国家密码主管部门的批准。
(6)安全审计。审计是模拟社会检察机构在信息系统中用来监视、记录和控制用户活动的一种机制,它使影响系统安全的访问和访问企图留下线索,以便事后分析追查。主要的安全审计手段包括:设置审计开关、事件过滤、查询审计日志和违远见事件报警等。
审计系统应当有详细的日志,记录每个用户的每次活动(访问时间、地址、数据、程序、设备等)以及系统出错和配置修改等信息。应保证审计日志的保密性和完整性。
按照国家保密规定,机密级以下的涉密信息系统应采用分布式审计系统,审计信息存放在各服务器和安全保密设备上,用于系统审计员审查,审查记录不得修改、删除,审查周期不得长于30天。绝密级信息系统应当采用集中式审计系统,能够对各级服务器和安全保密设备中的审计信息收集、整理、分析汇编成审计报表,并能检测、记录侵犯系统的事件和各种违规事件,及时自动告警,系统审计员定期审查日志的不得长于7天。
(7)防电磁泄漏。涉密信息系统中涉密设备的安装使用,应满足国家保密标准BMB2的要求。对不符合BMB2要求的,必须采取电磁泄漏的防护措施。电磁泄漏的防护技术共有3种:电磁屏蔽室、低泄射设备和电磁干扰器。
根据国家有关规定,对处理绝密级信息的系统机房应当建设电磁屏蔽室,处理绝密级信息的计算机要安装电磁屏蔽台,且电磁屏蔽室和电磁屏蔽台都要符合国家保密标准BMB3的要求。否则处理绝密级信息的计算机必须是符合国家公安和保密标准GGBB1的低泄射设备。
处理秘密级、机密级信息的设备应当采取安装电磁干扰器或采用低泄射设备等防电磁泄漏措施。所使用的干扰器应满足国家保密标准BMB4的要求,即处理机密级以下(含机密级)信息的设备应当采用一级电磁干扰器;二级电磁干扰器用于保护处理内部敏感信息的设备和最小警戒距离大于等于100米处理秘密级信息的设备。
4、涉密网络保密管理应采取哪些基本措施?
根据国家有关规定,涉密网络的保密管理应当采取以下基本措施:
(1)明确安全保密责任,落实网络安全保密管理机构。要确定分管领导。该领导应当了解系统中的涉密信息及处理性质,了解保护系统所需要的管理、人事、运行和技术等方面的措施。
成立网络安全保密管理机构。该机构应当由分管领导亲自负责,成员包括保密员、系统管理员、系统安全员、系统审计员和操作员代表以及保安员等。其具体职责是,制定网络安全保密策略,包括技术策略和管理策略;制定、审查、确定保密措施;组织实施安全保密措施并协调、监督、检查安全保密措施执行情况;组织开展网络信息安全保密的咨询、宣传和培训等。
机构领导的主要任务是:对系统修改的授权;对特权和口令的授权;冥违章报告、审计记录、报警记录;制定并组织实施安全人员培训计划,以及遇到重大问题时及时报告单位主要领导和上级等。
保密员的主要职责是,建立健全信息保密管理制度,监督、检查网络保密管理及技术措施的落实情况,确定系统用户和信息的安全属性等。
系统管理员的主要职责是:负责系统及设备的安装和维护,分配和管理用户口令,落实防病毒措施,保证系统的正常运行。
系统安全员的主要职责是,设置用户和信息的安全属性,格式化新介质,应急条件下的安全恢复,启动与停止系统等。
系统审计员的主要职责是,监督系统的运行情况,定期查看审计记录,对系统资源的各种非法访问事件进行分析、处理,必要时及时上报主管领导。
保安员的主要职责是,负责非技术性的、常规的安全工作,如场地警卫、验证出入手续,落实规章制度等。
(2)制定系统安全计划。
主要包括:
一是制定系统规章。涉密信息系统安全保密制度有:系统和设备使用的安全保密规定,涉密介质的使用管理规定,物理安全管理制度,身份鉴别管理制度,访问控制规则设置的规定,密钥与密码设备管理制度以及系统管理员、系统安全员、系统审计员、保密员和保安员的工作职责等。
二是制定培训计划。对新上岗人员进行培训,培训的内容应当包括:职业道德、系统各个岗位的新技术、操作规程和使用信息系统应当掌握的安全保密管理制度。对己在岗人员也要进行定期培训,以不断提高所有工作人员的工作能力和水平。
三是加强人员管理。主要有3个方面:(A)人员审查,确保涉密信息系统每个用户的安全可靠。审查内容包括个人经历、社会关系、政治思想状况、人品和职业道德等。(B)确定岗位和职责范围。使每一位用户按照自己的岗位和职权使用信息系统。(C)考核评价。对系统用户的政治思想、业务水平、工作表现等要定期进行全面考核,并作出评价。对不适于接触涉密信息系统的人员要及时调离。对提升、调动、离岗和退休人员,要收回所有证件、钥匙、智能卡,检查是否把全部手册、文件或程序清单交回。有关人员离岗后,应更换口令和智能卡。
四是成立事故处理小组。制定应急计划和处理预案,帮助用户解决安全事故,向用户定期通报有关信息系统薄弱环东和外来威胁的情况,定期检测应急能力。
(3)制定评审安全措施。涉密信息系统建成后,要由涉密计算机网络测评中心对其进行安全保密性能的测评。由于信息系统的安全性将随着时间的推移而发生变化,因此在对该信息系统进行重大修改时,要重新进行测评;即使没有重大修改,至少每三年也要测评一次。
(4)信息系统的授权使用。涉密信息系统的安全关系国家的安全和利益,因此,该系统必须经保密部门审批合格并书面授权,方能投入运行;如该系统做重大修改,须经保密部门重新审批、授权;至少每三年,涉密信息系统的使用要重新授权。
三、非涉密网(政务外网和政府网站)的保密管理
1、非涉密网保密管理应遵循哪些基本原则?
根据国家有关规定精神,非涉密网保密管理必须遵循以下4个基本原则:
(1)控制源头的原则。政务外网和政府网站不是处理国家秘密信息的网络。要保证国家秘密信息不上政务外网和政府网站。通过采取建立制度、落实责任、培训人员等各项措施,将国家秘密信息排队在政务外网和政府网站之外。
(2)归口管理的原则。政务外网和政府网站的保密管理实行责任追究制度。哪个单位建设、管理的网络和网站,其保密管理应由哪个单位负责;哪个单位提供的信息,应有哪个单位负责对该信息进行保密审查。坚持“谁上网谁负责”原则,保证在政务外网和政府网站上运行、发布的信息,都经过保密审查批准。
(3)加强检查的原则。政务外网和网站与国际互联网相联,一旦再现泄密事件,覆水难收,后果不堪设想。要不断加强对政务外网和网站信息的保密检查,以便及时发现涉密信息,迅速采取补救措施,将损失降低到最低限度。
(4)违规必纠的原则。法律社会学研究表明,法律2的权威和力度不是由处罚的苛厉程度决定的,而是由处罚的必然性决定的。只要所有的网上违规泄密事件都能得到追究,法律和规章的权威就足以建立。要坚持做到违规必纠,发现一起,查处一起,纠正一起,使法规制度成为每个上网人员必须遵守的行为准则。
2、非涉密网保密管理有哪些基本要求?
根据国家有关规定,政务外网和网站的保密管理应当遵循以下基本要求:
(1)“上网信息不涉密”。由于政务外网和网站与国际互联网相联,是公共信息交流的平台,凡在政务外网和网站上处理、存储、传递的政务信息不得涉及国家秘密。
在实际工作中,要注意做到以下两点:
一是在与政务外网和网站连接的计算机上不得处理国家秘密和内部办公信息。
二是经过物理隔离改造的计算机,在外网状态下,不得处理国家秘密和内部办公信息。
在实际工作中,要注意做到以下两点:
一是处理国家秘密和内部办公信息的计算机(笔记本电脑)或网络,不得与政务外网和网站以及互联网相联。
二是经过物理隔离改造的微机,要在内网状态下处理国家秘密和内部办公信息。
3、非涉密网保密管理应采取哪些基本措施?
为了确保国家秘密信息的安全,同时最大限度地发挥政务外网和网站的作用,积极推进政务信息公开,根据国家保密规定,政务外网和网站保密管理应采取以下基本措施:
(1)明确政务信息的涉密属性。政务信息分为可公开信息和不公开信息两大类,不公开信息又为分国家秘密信息、内部信息(工作秘密和商业秘密)和个人隐私三类。要根据国家保密及其他有关规定,将政务信息分别确定为国家秘密、内部信息、个人隐私和可公开信息等,对不公开信息要分别作出明确的保护(定密)标识。
要做好政务信息的定密工作,必须做到以下三点:
一是制订政务信息涉密属性划分标准,使不该公开的政务信息列入保护范围,使该公开的信息能够得到明示。
二是规范定密程序。由公务人员先行拟定密级和保密期限,定密责任人审查认可。
三是明确定密责任人的权利义务。使单位定密责任人对政务信息的涉密属性负责,定密责任人的工作对本单位的行政首长负责。
(2)制定和完善有关规章制度。主要有3项制度:
一是制定政务信息公开审查制度。政务信息公开是一种组织行为,必须有制度保障。要明确除国家秘密、内部信息、个人隐私和正在起草、审议、讨论过程中的政务信息以及法律法规禁止公开的其他政府信息外,其他政务信息一律可以公开,同时要对政务信息公开的程序和审查的方法步骤进行规定,便于公务人员执行。
二是建立健全上风信息保密自审和送审制度,做到对政务信息先审查后处理,同时明确上网人员和定密责任人各自的权力义务和责任。
三是制定泄密责任的处罚规定。使各种违反保密法规和制度、造成国家秘密泄露的行为,在处理时都能做到有法可依、有章可循。
(3)开展网络保密基本知识和基本技能的培训。要通过制定计划,分期分批对所有上网的公务人员进行保密基本知识和基本技能的培训,使掌握政务信息涉密属性划分标准和定密程序,知悉有关规章制度,明确自己的权力和责任,熟悉有关内网和外网的操作规程,提高网络保密的意识和技能。
(4)对网上信息进行保密检查。有关单位要安排专人对所属政务外网和网站上的信息进行不定期的保密检查。发现涉密信息,立即通知网络管理部门和相关的上网人员删除。
各级保密部门根据国家授权,在互联网上进行不定期检查,对各单位“上网信息不涉密,涉密信息不上网”的执行情况实施监督。对查出的问题及时提出整改意见。对发现的泄密问题,要认真追查原因,亡羊补牢,同时对泄密责任人提出处理建议。
(5)定期检查评比。有关单位每年要对网络各个终端处理政务信息的保密情况进行一次检查评比,鼓励先进,鞭策后进,发现问题,及时改进,确保国家秘密信息的安全。
四、涉密磁介质和光盘的保密管理
1、涉密磁介质的生成有哪些保密要求?
根据中共中央办公厅、国务院办公厅转发的《关于国家秘密载体保密管理的规定》(厅字[2000]58号)精神,涉密磁介质的生成应做到以下两点:
(1)对涉密的电脑、磁盘、服务器应当依照有关规定,确定并标明密级,按类别统一编号、登记,明确管理责任人,明确保密责任。
(2)涉密磁介质不得降低密级使用和管理。
2、涉密磁介质和光盘使用有哪些规定?
根据中共中央办公厅、国务院办公厅转发的《关于国家秘密载体保密管理的规定》(厅字[2000]58号)精神,涉密磁介质和光盘的使用应注意以下几点:
(1)使用电脑处理涉密信息,应采取防电磁泄漏的保密技术措施。如安装电磁干扰器或电磁屏蔽台等。
(2)涉密计算机不得与公共信息网和因特网相联。涉密微机和笔记本电脑与互联网相联,就等于把国家秘密信息放在互联网上,这是一种严重的泄密行为。
(3)配给个人的笔记本电脑,建议将涉密信息存储在软盘上,并对软盘标注密级,按照涉密文件进行保管。
(4)处理涉密信息的微机,要放置在安全可靠的地方,并设置开机密码,控制其接触范围。
(5)涉密软盘、光盘应在密码柜中保存,涉密微机和服务器等的放置环境应当符合安全保密要求。
(6)携带涉密电脑、软盘、光盘外出,须经单位领导批准,并采取必要的保护措施,使涉密载体始终处于携带人的有效控制之下。
(7)严禁携带涉密笔记本电脑、光盘出境。确因工作需要携带出境的,应当按照有关保密规定办理批准和携带手续。
(8)涉密人员离职离岗前,要将自己保管的涉密电脑、软盘、光盘等全部清退,并办理移交手续。
3、涉密磁介质和光盘的维修和淘汰应注意什么?
根据中共中央办公厅、国务院办公厅转发的《关于国家秘密载体保密管理的规定》(厅字[2000]58号)和《中央保密委员会关于加强高技术条件下保密工作的意见》(中保发[1997]7号)精神,涉密磁介质和光盘的维修和淘汰应注意以下几点:
(1)涉密磁介质的维修必须作出登记、说明后,送到保密部门指定的单位进行,不得送到社会上的维修单位维修。
(2)处在保修期内的涉密信息设备,在送往销售单位保修时,必须将存储有国家秘密信息的磁介质卸下,放在机关保密柜中,或派责任心强、懂保密技术的公务人员对送修的涉密信息设备实行现场监控,确保涉密信息不外泄。
(3)涉密磁介质和光盘的淘汰必须经单位领导审批批准,并履行清点、登记手续,交由保密部门指定的单位负责,不得擅自做淘汰处理。
我省保密部门在某市进行例行检查时,发现一些党政机关办公用的计算机,对硬盘未作任何处理,就淘汰给社会上的一些废旧计算机收购公司。经查,有些计算机内存有大量国家秘密信息,有些存有极为敏感的内部信息。
4、涉密磁介质和光盘的销毁有哪些规定?
根据中共中央办公厅、国务院办公厅转发的《关于国家秘密载体保密管理的规定》(厅字[2000]58号)和《中央保密委员会关于加强高技术条件下保密工作的意见》(中保发[1999]7号)精神,涉密磁介质和光盘的销毁应遵循以下规定:
(1)涉密磁介质和光盘的销毁必须经单位领导审批批准,并履行清点、登记手续,交由保密部门指定的单位负责,不得自行销毁。
(2)涉密磁介质和光盘的销毁,应当采用物理或化学的方法彻底销毁,确保秘密信息无法还原。
(3)禁止将涉密磁介质和光盘作为废品出售。
(4)具有自行消除磁介质涉密信息资格的单位,必须具备保密部门推广使用的专用销磁设备。
五、个人计算机的保密管理
个人计算机是指那些没有联网、且单独使用的微机和笔记本电脑。
1、利用个人计算机处理政务(党务)信息,要做的第一项工作是什么?
利用具人计算机处理政务(党务)信息,首先对要处理信息是否涉密进行判定。如果是涉密信息,则须在涉密微机或笔记本电脑中处理,或者在经过物理隔离改造后的微机、且在内网状态下进行处理,处理前要输入相应的密级标识。如果是非涉密信息,则可以在非涉密的电脑或经过物理隔离改造后的微机、且在外网状态下处理。
2、用于处理国家秘密信息的个人计算机为什么不能与公共信息网相联?
根据国家保密规定,涉密的个人计算机必须与公共信息网和因特网实行物理隔离。主要原因是:
(1)目前我国网络建设中使用的硬件(主机、CPU、互联设备)、操作系统大都依赖国外进口,很难断定其是否有故意留下的陷阱(也称“后门”)。这些陷阱一旦被国外情报机构所利用,极易造成计算机被遥控、数据泄密或系统瘫痪。
我国有关主管部门曾做过试验,用人工的方法在UNIX多用户系统中,找到了50多条隐蔽通道(即“后门”)。试验人员通过因特网,联通该信息系统,利用这些隐蔽通道,盗取了管理人员的口令,直接进入了信息系统,看到了硬盘中存有的秘密信息。
(2)从窃密技术和保密技术的发展历程看,始终呈现出“道高一尺,魔高一丈”的态势,即先进的保密与窃密技术的发展总是交替进行的。迄今为止,几乎所有经过计算机安全专家研究出来的对抗电脑入侵的技术,都无一例外地遭到了黑客的成功反击。事实证明,万无一失的安全保密产品是根本不存在的。我国主管部门曾组织有关单位,对采用两级代理服务器后接入因特网的涉密网,从因特网上进行模拟攻击试验。结果,很快就突破了“防火墙”,进入了涉密网。目前,国外(包括美国)涉及国家核心秘密的计算机及其网络也是与公共信息网实行物理隔离。
3、物理隔离的含义是什么?
《计算机信息系统国际联网保密管理规定》指出:“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网相联,必须实行物理隔离。” 物理隔离是相对于使用防火墙、网关等设备进行的逻辑隔离而言,是指涉密网络与公共网络彼此断开,两个网络之间不存在任何数据通路,使涉密网络的数据不能有意或无意地泄露出去,也不能通过外部网络窃取或破坏涉密网络内的数据。
实行物理隔离,就为涉密网络提供了一个安全可靠的网络边界。
4、安装物理隔离卡后的微机使用是否就安全了?
如果不能正确使用,仍不能保证处理国家秘密信息的安全。正确的使用方法是:开机后,如果微机屏屏幕显示“内网”状态,则可以直接处理国家秘密和内部办公信息;如果屏幕显示“外网”状态,则必须重新开机,将“外网”状态改为“内网”状态,才能处理国家秘密信息。微机正常工作时,在屏幕的右下角有“内”或者“外”字样的显示,分别表明微机目前正处于“内网”状态或“外网”状态。如果图方便,在“外网”状态下,直接处理涉密信息,就使物理隔离卡形同虚设,起不到任何安全隔离作用,也就等于把涉密信息放到公共信息网上,“这是一种严惩的的泄密行为。”
5、怎样正确连接电磁干扰器?
根据国家保密标准BMB4的要求,处理机密级以下(含机密级)信息的计算机,必须安装一级电磁干扰器。其正确的接法是:
(1)将计算机主机的电源线接在电磁干扰器的电源输出端,电磁干扰器的电源输入端接机房电源,这样是为了防止通过电源线的传导辐射造成信息泄漏。
(2)将电磁干扰器的数据线接在主机显示卡输出端,显示器的数据线接在电磁干扰器的数据接口上,使干扰器能正确地接收计算机主机产生的视频辐射信号,并遂即产生对视频辐射信号进行相关干扰的信号,目前的接收设备是无法从这种混合信号中还原出主机处理的信息的,从而达到保密的目的。
6、怎样设置计算机的开机口令?
设置CMOS开机口令(密码)是当今大多数计算机都有的一项基本的保护功能,用来保护计算机本身不被非法用户使用。
CMOS开机口令的方法是:首先,计算机加电后屏幕上会出现计算机的自检性提示,按〈DEL〉键进入CMOS设置,选择“Pass word”(口令)或“Security”(安全设置)项,输入所设置的口令;然后,进入CMOS设置的“Advanced”(高级设置)项,将“Password-Check”(口令检查)项改为“Always”(总是要求输入口令)。这样计算机每一次开机,都要求使用者输入开机口令,输入口令正确,计算机才能启动使用。
为了提高口令的抗破译性,根据国家保密技术规范的要求。输入的口令应当是数据、字符、字母等两种以上的组合,口令长度8位以上,同时要保证口令的秘密性。
值得注意的是,如果非法用户有机会打开计算机机箱,断开CMOS存储器的电源,则存放其中的全部信息就会丢失,存入的开机口令也会消失,再开机时就不需要输入口令了。因此,要保证计算机存放环境的安全。
7、处理绝密级国家秘密信息的个人计算机必须采取哪些保密措施?
根据国家有关规定,处理绝密级国家秘密的个人计算机应当采取以下措施:
(1)存放处理绝密级国家秘密信息的微机场所要安装“两铁一探”,即铁门、铁窗和监控设备,以确保环境安全。
(2)安装符合国家保密标准BMB3的电磁屏蔽台(室)。
(3)禁止与互联网相连接。
(4)设置开机密码,并做到专人专用、单机单用。
(5)存有绝密级信息的软盘、硬盘要按照绝密级国家秘密的管理要求采取保护措施。
8、处理机密、秘密级国家秘密信息的微机应当采取哪些保密措施?
根据国家有关规定,处理机密、秘密级国家秘密信息的个人计算机应当采取以下措施:
(1)存放场所应在单位保卫部门的有效监控范围之内。
(2)安装经国家主管部门批准使用的一级电磁干扰器。
(3)禁止与互联网相连接。
(4)必要对设置开机密码,并对有关使用人员提出保密要求。
(5)存有机密、秘密信息的软盘、硬盘要按照机密、秘密级国家秘密的管理要求采取保护措施。
9、涉密个人计算机携带外出,应遵循哪些保密规定?
根据国家有关保密规定,携带涉密的个人计算机外出,须经单位领导批准,并采取必要的保护措施,使涉密载体始终入于携带人的有效控制之下。外出使用,不得与公共信息网和因特网相联。
10、用于存储国家秘密信息的个人计算机在维修、淘汰时应当如何办理?
根据保密有关规定,用于存储国家秘密信息的个人计算机在维修、淘汰时,应当做到:
(1)维修时,必须作出登记、说明后,送到保密部门指定的单位进行维修,不得送到社会上的维修点维修。
(2)处在保修期内的微机,在送往销售单位保修时,必须将存储国家秘密信息的磁介质卸下,放在机关保密柜中,否则必须派责任心强、懂得保密知识的公务人员,对送修的微机实行现场监控,确保涉密信息不外泄。
(3)淘汰时,必须经单位领导审核批准,并履行清点、登记手续,交由保密部门指定的单位负责,不得擅自做出淘汰处理。
(4)各部门单位的保密工作机构要负责本系统、所属二级单位存储国家秘密信息的微机维修、淘汰的管理工作。
第四篇:网络安全保密自查报告
网络安全保密自查报告1
根据20xx年联合开展网络信息安全和保密检查工作方案精神,我局高度重视,及时部署,对照做好网络信息安全工作的要求,认真开展自查工作,现将自查情况报告如下:
一、自查情况
(一)加强领导、健全机制。近年来,我局把做好网络信息安全管理工作作为一项重要任务,按照“谁主管谁负责、谁使用谁负责、谁运行谁负责”的原则,建立健全了网络信息安全责任制。成立了网络信息安全管理工作领导小组,具体负责组织和实施全局网络信息安全管理和保密审查工作,对通过网络发布的政府信息是否涉密进行严格把关。目前,我局已形成了主要领导亲自抓,分管领导直接抓,专职人员具体抓,机关各科室、直属各单位各负其职并全力配合的工作机制,确保网络信息安全和保密审查工作落到实处。并进一步做好网络和信息安全事件应急和通报工作,落实技术支撑队伍,建立应急预案处理机制,提高应急响应处理能力。
(二)完善制度,规范管理。为进一步规范网络信息安全管理工作,我局制定了《汕尾市商务局门户网站管理办法》、《汕尾市商务局政府信息发布保密审查制度》、《汕尾市商务局计算机信息系统安全保密管理制度》等规章制度,进一步明确有关保密审查的职责分工、审查程序和责任追究办法。在通过网络公开政府信息前,依照《中华人民共和国保守国家秘密法》以及其他法律、法规和国家有关规定,局办公室负责对拟公开的政府信息的保密性及合法性分别进行审查,确保不发生泄密事件,做到以制度管人、按程序办事。
(三)加强网络信息安全防护体系建设。我局参照国家信息系统等级保护或涉密信息系统分级保护等标准要求,加强了网络层、应用层、数据层安全防护措施,确保信息系统防泄密、防篡改、防攻击的安全策略及软硬件设备正常运行。
一是在市保密局的指导下,涉密计算机经过了信息系统安全技术检查,并安装了防火墙,同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。
二是涉密计算机信息系统处于物理隔离未接入互联网,除专人使用和管理之外,任何人不得接触或查看涉密计算机信息系统。禁止在非涉密计算机及信息系统内保存或流转任何涉密文件和内部敏感信息,所有涉密文件和内部敏感信息一律保存在涉密计算机信息系统中。涉密计算机信息系统配备单独的移动存储介质,不使用本局内其他科室的移动存储介质,禁止使用来历不明或未经杀毒的一切移动存储介质。
三是除政务信息公开场所个别使用无线路由外,局其他一切硬件设施均采用有线连接,有效地避免了信息在无线局域网中泄漏。
四是各科室在安装杀毒软件时采用国家主管部门批准的查毒软件适时查毒和杀毒,不使用来历不明、未经杀毒的软件、软盘、U盘、光盘等载体,不访问非法网站,自觉严格控制和阻断病毒来源。在单位外的U盘,不得携带到单位内使用,计算机在局域网中正常使用多功能一体机进行打印、扫描等,都是公开的、未涉密的。
(四)加强门户网站安全管理工作。
首先,加强对门户网站信息发布的审查和监控工作。明确办公室负责网站维护和技术支持、其它各类应用信息系统的监控和维护,并指定专人负责网站后台管理、网站信息上传,严禁涉密信息泄漏。严格执行政府信息公开保密审查制度和网络信息发布登记制度,坚持“先审查、后公开”和“一事一审”原则,对拟通过网站公开的公文、信息是否涉密进行严格把关。
其次,进一步提升网站服务水平。近年来,我局对门户网站“汕尾招商网”的版式不断更新优化、调整栏目,及时市委、市政府重大活动和决策部署信息;及时反馈本局贯彻落实上级决策、部署情况;及时发布商务运行情况、工作动态,为全市商务工作提供信息保障。20xx年又在“办事大厅”栏目开设了办事指南、资料下载、表格下载等功能,主要针对外经贸主要业务工作进行在线服务;在“汕尾招商”栏目,增添投资环境宣传图片,并与“汕尾招商信息云平台”系统进行超链接,图文并茂地宣传汕尾投资环境,进一步扩大宣传推介层面。目前,“汕尾招商网”已成为我市集宣传推介、投资引导、政策咨询、项目进度、经济运行于一体的网络信息平台。
二、存在问题
(一)规章制度体系初步建立,但还不够完善,信息系统安全体系未能全方位覆盖,工作机制有待进一步完善。
(二)个别干部职工网络信息安全意识不强,缺乏主动性和自觉性。
(三)网络安全技术管理人员配备较少,遇到恶意攻击、计算机病毒侵袭等突发事件处理能力不够,信息系统安全方面投入的力量有限。
三、整改措施
(一)完善规章制度,继续检查各个环节安全策略与安全制度,对其中不完善部分进行重新修订与修改,并不定期对安全制度执行情况进行检查,确保网络信息安全制度落到实处。
(二)做好网络安全宣传教育工作,增强全局干部职工在推行政务公开、政府信息公开中的保密意识,进一步提高网络安全工作的主动性和自觉性,把计算机安全保护知识真正融于实际工作中。
(三)加大对网络线路、信息系统的维护和保养,及时更新和维护好故障设备,以免出现重大安全隐患,为网络的稳定运行提供硬件保障,提高安全工作的现代化水平。
(四)加强对计算机操作人员的操作技术、网络安全技术方面的培训,强化对网络病毒、信息安全威胁的防范意识,提高安全防范和处理能力,做到早发现,早报报告,早处理。
网络安全保密自查报告2
为进一步加强政府信息保密工作,根据政府办[20xx]10号文件精神,我会严格按照文件要求,结合妇联实际,及时查找问题,采取有效措施,政府信息安全保密工作取得实效。
一、领导重视、责任落实
信息保密工作是维护国家和单位安全和利益的工作,做好信息保密工作是我们的基本职责。我会领导十分重视保密工作,我会成立了信息安全保密工作领导小组,设立办公室,安排专人承办日常工作。领导班子在做好保密带头作用的同时,时时开展保密法规、政策宣传,不定期对单位信息保密工作执行情况进行检查、指导,督促信息保密工作的落实,推进了信息保密工作纵深发展。
二、加强学习、增强认识
三、严格管理、措施到位
我会涉密工作不多,但领导却很重视保密工作的管理。在各涉密工作中,始终坚持以领导审签制度为原则,采取专人管理和纵向传递,严格做好收文、发文、传阅、销毁等登记管理,专人传递,定人阅办的工作方法,减少了保密信息的流通环节和知晓范围,保证涉密资料在工作中的严肃性和密级性。对于涉密计算机仍然采取专机、专人管理,采用与因特网脱离的裸机工作方式运作,并设置了必要的身份认证,配置了泄密干扰等措施加强防范。在保密资料制作、存储、传输过程中加载密码设置等措施,有效防范了网络泄密、失密事件。在政府信息公开工作方面,我会成立了信息公开审查领导小组,建立了政府信息公开审查制度,对信息公开进行严格审签,保障了政府信息公开无泄密发生。
四、网络安全存在的不足及整改措施目前,我会网络安全仍然存在以下几点不足:
一是安全防范意识较为薄弱;
二是病毒监控能力有待提高;
三是如遇到恶意攻击、计算机病毒侵袭等突发事件,可能会导致处理不够及时。
针对目前我会网络安全方面存在的不足,提出以下几点整改办法:
1、加强我会全员计算机操作技术、网络安全技术方面的培训,强化我会计算机操作人员对网络病毒、信息安全的防范意识;
2、加强我会信息及网管人员在计算机技术、网络技术方面的学习,不断提高我会计算机专管人员的技术水平。
3、合理规划及配置相关软硬件系统,保障计算机网络及信息的安全。
网络安全保密自查报告3
根据x高法〔20xx〕75号《关于加强全省法院信息网络安全保密管理和开展建设整改的通知》文件的要求,我院网络安全保密工作领导小组高度重视,对全院网络安全保密工作进行了一次全面的自评自查。现将本次自评自查情况汇报如下:
一、加强学习,提高保密工作认识
迅速贯彻落实文件精神,组织全院干警认真学习《中华人民共和国保密法》、《国家工作人员保密守则》、《党政机关和涉密单位网络保密管理规定》等,强调保密工作的极端重要性,提高干警对国家秘密和审判秘密的认识,牢固树立“涉密无小事,失密是大事”的保密意识。对公文收发人员、档案管理员、书记员等加强保密教育,加强做好保密工作的检查督促,促进全体干警提高思想认识,增强做好保密工作的责任感。同时,进一步明确涉密人员对文件收发、登记、传递、归档、销毁等环节的职能,使保密工作真正做到行有规章、做有依据、查有准则,真正实现制度化、规范化、科学化。
二、自纠自查,排除泄密安全隐患
按照本院制定的《网络信息安全及保密工作制度》,明确自查的内容和标准,并对自查工作进行了统一部署和安排。各部门根据所负保密工作职责,对信息系统保密管理工作进行了全面、认真地自查,对可能存在的泄密隐患进行了重点排查,认真整改。
一是严格要害部门的管理与防护。档案室、办公室等部门是保密重点部门,涉密文件的收发,卷宗的存档与查阅应重点防护。通过自查,这些部门的规章制度健全,能从每个环节做起,保密观念强,措施得力,落实较好,能严格控制机要文件、加密传真和归档案卷的阅读范围,严格阅读纪律,严格机要文件存放点和保密防范,对传真文件坚决做到明来明往,密来密复。
二是加强涉密计算机的管理。涉密计算机主要用于处理电子政务、涉密文件和公文的收发,经定期检查,未感染“木马”等危害性病毒,做到了专机专用,未与非涉密介质互用,严格执行了公文处理的有关保密规定,未发现违规行为。
三是严格存储介质的使用管理。涉密U盘主要是将秘密文件直接在专用计算机上处理。经检查,未用存储介质来回移动及在介质上存储涉密信息,对交叉使用移动存储介质的问题及时进行了纠正和整改。
四是强化办公网络使用的管理。根据工作需要,经区法院计算机所连网络分为法院系统内部网络与互联网,做到了专网专用,定位准确,非涉密计算所连互联网未存储、处理涉密信息。
五是狠抓涉密载体的清理。及时对涉密载体进行严密保管和认真清理,对发现存在的问题及时进行了纠正。
三、强化监督,落实保密工作责任
一是保密监督检查工作长效制,定期对各个庭室的保密情况进行督察,发现保密工作未到位的,及时督促整改。每庭室确定一名内勤人员负责文件收发与保管,堵塞漏洞,确保秘密安全。
二是坚持日常规范与重点督察相结合。切实做到法院工作做到哪里,保密工作就跟进到哪里。在落实保密工作的过程中,抽调专人对保密工作进行经常检查,尤其对于涉密的要害部门、重点部门进行定期检查,一旦发现不严格执行保密规定的责令整改。
三是坚持接受监督与责任追究相结合。严格内部保密管理的同时,主动接受上级部门的监督、检查、指导。规定对于缺乏保密观念和保密意识、思想严重麻痹、保密管理责任不落实、保密人员疏于管理,由此造成失泄密事件的人和事
都要做到发生一起查处一起,绝不姑息迁就,保密管理水平明显提高,自建院以来无失、泄密事件发生。
四、物力保障,夯实保密工作物质基础
保密工作除了人员到位、定密到位,还要经费到位,才能较好地防止失泄密事件的发生。近年来,我院加大保密工作物质保障,对保密工作的资金投入近五万元,配置购买了保密柜、文件粉碎机,安装防火墙、隔离卡,使用专网U盘等,为做好保密工作提供有力的物质保障。
五、加大教育宣传,务求保密工作落实到位
结合当前信息网络安全保密工作的形势和任务,定期开展保密宣传教育活动,提高全院干警的保密意识、保密责任和保密技能。并将保密工作完成情况纳入年终绩效考核,确保信息网络安全保密工作落实到位。
通过这次的自评自查活动,提高了我院保密工作水平,也提升了我院全体干警的保密工作意识,但按照上级的要求还存在一定的的差距和不足,做好保密工作仍然任重道远。在今后的工作中,我院将进一步加强对保密工作的重视,强化对涉密内容的管理,力争保密工作取得新的成绩,确保审判执行工作顺利开展。
网络安全保密自查报告4
根据中共隆回县委办《关于开展党政机关、单位门户网站信息发布工作保密检查的通知》,我镇对本单位门户网站上已公开的信息进行了全面自查,未发现泄密内容和不宜公开的政务信息,现将自查情况汇报如下。
一、保密审查制度建立情况
我镇严格按照要求,根据《中华人民共和国保守国家秘密法》及有关法律法规,制定了《司门前镇人民政府信息公开保密审查制度》、《司门前镇政务公开责任追究制度》、《政府信息发布保密审查工作领导小组工作职责》,并经党政班子会讨论通过,以文件形式发布。
二、工作机制和责任制落实情况
为切实加强政府门户网站信息公开保密工作,我镇指定懂业务、会管理的网络管理员专门负责加密计算机的管理工作,按有关要求及时组织人员对机关各办公室的办公自动化设备配置、使用情况进行整理、协调。进一步明确有关保密审查的职责分工、审查程序和责任追究办法,确保不发生泄密事件,做到以制度管人、按程序办事,确保政府门户网信息公开工作顺利开展。
对主动公开的政府信息,由相关部门确定并制作、更新,并交由分管领导审批后由网络管理员统一发布;对属于免于公开的政府信息应当说明具体理由,由部门负责人审核报审查领导审批。对依申请公开的政府信息,按照“统一受理、分别办理”的原则,根据工作职责分流到相关部门,由相关部门负责办理,经本部门负责人审核报分管领导审批并发布。
三、政府公开信息发布情况
我镇严格遵照有关规定,对维护稳定、政法、信访、民族宗教、国家安全、公共安全、经济安全等涉密信息进行严格控制,确保“涉密信息不上网,上网信息不涉密”。按照“控制源头、加强检查、明确责任、落实制度”和“谁上网,谁负责”的原则,加强对涉密网络的检查。经审查,截止目前,我镇在政府门户网站上共发布信息151条,未发现涉密信息。
四、自查过程中发现的问题及整改措施
(一)以宣传教育为主导,强化保密意识。基层干部职工对于政府信息公开保密工作的了解相对较少,保密意识不强,需要进一步加强保密规章制度学习,提高做好保密工作的主动性和自觉性。各相关部门需要进一步完善相应的保密机制,切实加强和重视网上信息的保密管理,确保信息公开审查到位。
(二)以制度建设为保障,严格规范管理。加强制度建设,是做好保密审查管理的保障。虽然已经建立了有关保密审查制度,但审查的依据范围广,有时难以找到依据,因此,必须结合单位实际,进一步细化保密审查依据。认真贯彻执行上级保密部门文件的有关规定和要求,不断增强依法做好保密审查管理的`能力。针对信息发布中存在的不规范等问题,要求对上网信息严格审查、严格控制、严格把关,从制度上杜绝泄密隐患。
(三)以督促检查为手段,堵塞管理漏洞。为了确保保密审查管理工作各项规章制度的落实,及时发现保密审查工作中存在的泄密隐患,堵塞管理漏洞,采取自查与抽查相结合,常规检查与重点检查相结合,定期检查与突击检查相结合等方式,对计算机及其网络管理制度的落实情况、涉密网络的建设和使用情况以及涉密计算机、涉密网络采取的管理和防范措施的落实情况进行定期检查。
网络安全保密自查报告5
为了认真贯彻关于XX省、市区财政厅办公室印发的《关于开展重点财政系统网络保密检查的通知》精神,玉兴街道财政所专门召开了以网络保密管理为主题的会议,成立以财政所所长担任第一责任人、各工作人员参与、信息网络安全员负责具体工作的网络保密管理工作领导小组,统一协调全县财政系统开展网络保密管理工作。现将自查情况总结如下:
一、计算机涉密信息管理情况
近年以来,财政系统加强组织领导,强化宣传教育,落实工作责任,加强日常监督检查,将涉密计算机管理抓在手上。对于计算机磁介质(软盘、U盘、移动硬盘等)的管理,采取专人保管、涉密文件单独存放,严禁携带存在涉密内容的磁介质到上网的计算机上加工、贮存、传递处理文件,形成了良好的安全保密环境。对涉密计算机实行了与国际互联网及其他公共信息网物理隔离,并按照有关规定落实了安全措施,到目前为止,未发生一起计算机失密、泄密事故。
二、计算机和网络安全情况
一是网络安全方面。县财政系统配备了防病毒软件、业务内网与互联网双线隔离,采用了强口令密码、数据库存储备份、移动存储设备管理、数据加密等安全防护措施,明确了网络安全责任,强化了网络安全工作。
二是日常管理方面切实抓好内网、外网和应用软件“五层管理”,确保“涉密计算机不上网,上网计算机不涉密”,严格按照要求处理光盘、硬盘、优盘、移动硬盘等管理、维修和销毁工作。
重点抓好“三大安全”排查:
一是硬件安全,包括防雷、防火、防盗和电源连接等;
二是网络安全,包括网络结构、安全日志管理、密码管理、IP管理、互联网行为管理等;
三是应用安全,包括邮件系统、资源库管理、软件管理等。
三、硬件设备使用合理,软件设置规范,设备运行状况良好。
全县财政系统每台终端机都安装了防病毒软件,系统相关设备的应用一直采取规范化管理,硬件设备的使用符合国家相关产品质量安全规定,单位硬件的运行环境符合要求,打印机配件、色带架等基本使用设备原装产品;防雷地线正常,对于有问题的防雷插座已进行更换,防雷设备运行基本稳定,没有出现雷击事故;UPS基本运转正常。网站系统安全有效,无任何安全隐患。
四、通讯设备运转正常
财政系统网络系统的组成结构及其配置合理,并符合有关的安全规定;网络使用的各种硬件设备、软件和网络接口是也过安全检验、鉴定合格后才投入使用的,自安装以来运转基本正常。
五、严格管理、规范设备维护
财政系统对电脑及其设备实行“谁使用、谁管理、谁负责”的管理制度。在管理方面我们一是坚持“制度管人”。二是强化信息安全教育、提高员工计算机技能。同时在行内开展网络安全知识宣传,使全体人员意识到了,计算机安全保护是“三防一保”工作的有机组成部分。而且在新形势下,计算机犯罪还将成为安全保卫工作的重要内容。在设备维护方面,专门设置了网络设备故障登记簿、计算机维护及维修表对于设备故障和维护情况属实登记,并及时处理。对外来维护人员,要求有相关人员陪同,并对其身份和处理情况进行登记,规范设备的维护和管理。
六、安全教育
为保证我行网络安全有效地运行,减少病毒侵入,我行就网络安全及系统安全的有关知识进行了培训。期间,大家对实际工作中遇到的计算机方面的有关问题进行了详细的咨询,并得到了满意的答复。
自查存在的问题及整改意见
我们在管理过程中发现了一些管理方面存在的薄弱环节,今后我们还要在以下几个方面进行改进。
(一)对于线路不整齐、暴露的,立即对线路进行限期整改,并做好防鼠、防火安全工作。
(二)加强设备维护,及时更换和维护好故障设备。
(三)自查中发现个别人员计算机安全意识和保密意识不强。在以后的工作中,我们将继续加强计算机安全和保密意识教育和防范技能训练,让员工充分认识到泄密案件的严重性。人防与技防结合,确实做好单位的网络安全及保密工作。
网络安全保密自查报告6
根据中共兰州市委办公厅《关于进一步加强保密工作的通知》要求,我公司结合实际工作,按照保密工作要求,认真开展自查工作,现将保密工作自查情况报告如下:
一、加强保密教育,提高思想认识
为认真做好保密工作,我公司高度重视,切实把保密教育工作贯穿于日常工作中,在平时的学习例会上,多次强调做好保密工作的重要性,组织涉密人员认真学习了《中华人民共和国保密法》,并根据《保密工作》杂志刊登的典型泄密案例和保密工作部门提供的宣传教育材料,对公司领导干部和涉密人员进行保密警示教育。及时传达,组织学习,领会省、市保密工作的有关文件和会议精神,加强办公室档案管理、文书收发等工作的保密教育。按照要求组织涉密人员签订了《20xx年保密目标责任书》、《涉密人员书》,督促保密工作的监督检查,提高保密工作人员思想认识,增强做好保密工作的责任感。同时,进一步明确了涉密人员对文件收发、登记、传递、归档、销毁等环节的职能,使保密工作真正做到行有规章、做有依据、查有准则,真正实现制度化、规范化、科学化。
二、落实各项措施,确保机密安全
1、严格文件资料管理。办公室是文件资料的处理、储存场所,为确保文件不随意外流,我公司由行政办公室安排专职人员,统一负责公司纸制文件和电子文档的管理。各部室和基层单位也设立专人,具体做好文件资料的收发、整理、归档、销毁等。对涉密的文件资料,只准在机关办公室由具体办理人员阅处,未经主要领导批准,不得带出机关;做好电子文档的输入、存档、发送、印制、备份等,确保电子文档安全。同时加大对档案室的日常管理,非工作人员一般不准进入档案室,防止机密外泄。
2、严格计算机管理。按照上级有关部门的要求,我公司对涉密计算机进行加密,实行物理隔离,严禁上网,做到“涉密信息不上网,上网信息不涉密”,并指定专人负责加密计算机和涉密信息的管理工作,全年未发生计算机泄密事件。公司对上网计算机进行登记造册,在管理上做到心中有数,并安装了防火墙和杀毒软件,定期进行清理,删除与工作无关的信息和软件,防止信息流失或遭受外界恶意攻击。
3、严格会议管理。对于公司党委、行政各类会议,尤其是对涉及人事、财务商议等涉密的会议,严格落实保密措施,遵守保密纪律。对于各类会议,一般指定有关人员参加,并指定专人作会议记录。会议讨论的内容,未作出决定待定的、需要保密或一段时间内保密的,不得随意扩散传播。
4、严格公章管理。公司指定专人负责公司各类印章的保管和使用工作,所有需加盖公司印章、公章的文件材料,严格按照制度填写印章使用登记表,通过审核,经得经办部门负责人、主管部门负责人、主管领导同意后方可加盖;任何人不得随意使用、加盖公司印章。
20xx年我公司的保密工作制度严格,措施到位,管理规范,全年未发生违规、泄密情况。
三、下一步工作方向
1、保密工作的宣传教育力度需要不断加大。近年来开展保密工作的实践使我们认识到,加强干部职工保密教育,提高涉密人员的保密意识十分重要,我公司需要不断加强宣传力度,增强保密意识,提高做好保密工作的主动性和自觉性,并制定出相应的规章制度,使公司保密工作得到规范,消除可能发生失、泄密事件的隐患,以确保公司和社会安全。
2.加强保密工作的业务培训,提升工作人员综合素质。公司开展的保密工作专题培训相对较少,涉密人员的业务知识水平还有待提高。在今后的工作中,公司将加强保密工作的业务知识培训,提升保密工作人员的专业知识和综合素质,以适应新形势下保密工作的实际要求。
今年,我公司在市委保密办的正确领导下,进一步加强对保密工作的重视,强化对涉密内容的管理,改进和创新保密工作方式,巩固和发扬已取得的成绩,积极探索研究新时期保密工作的新情况、新问题,力争保密工作取得新成绩,确保我公司保密工作的顺利进行。
网络安全保密自查报告7
我镇严格按照《对于开展全县信息安全保密检查的通知》有关精神,对开展政府信息安全保密审查工作进行了仔细自查,现有关事情汇报如下:
一、领导重视,组织健全
我镇成立了镇政府信息公开领导小组以及保密工作领导小组,领导小组下设办公室,具体负责保密审查的日常工作,对拟公开的公文、信息是否涉密进行严格把关。
二、加强学习宣传,提高安全保密意识
及时、仔细地组织涉密人员学习有关保密工作的方针,加强宣传教育工作,别断提高干部职工的保密观念和政治责任感,尤其加强对重点涉密人员的保密教育和治理。抓好新形势下的信息安全保密工作。
三、严格执行信息安全保密制度
能仔细按照信息安全保密制度的规定,严格执行信息公开申请、公布、保密和审核制度,政府信息公开保密审查办公室坚持做到严格把好审查关,防止涉密信息和内部信息公开,保证镇政府信息公开内容别危及国家安全、公共安全、经济安全和社会稳定。
1、做好电子政务内交换工作,一是安排了政治素养高、工作责任心强的同志负责对党政上的文件进行签收、办理,确保文件安全签收;二是配备了专供上党政的计算机,该机别做任何涉密文件的处理,确保了上别涉密,涉密别上。
2、办公络使用治理事情。办公络属非涉密,别存在混用现象。没有经过涉密人员的电子邮箱存储、处理、传输涉密信息或曾经存储、处理、传输过密信息。
对连接互联的内部重要计算机,均配备专(兼)职安全员,严格信息公布及其他上机人员的安全责任,所有涉密文件资料(内部重要资料)没有使用连接互联的计算机进行处理,需要在上公开(布)的信息经保密审查经过后才进行公开。在计算机的使用期间,定期或别定期对计算机操作系统以及应用软件的漏洞进行检测并升级,重点检测木马等络病毒,并且定期给系统及重要数据进行备份。
3、计算机及挪移存储介质使用治理事情。经检查,党政办用于存储重要内部文件资料的计算机没有连接互连,配备专用挪移储存介质(U盘),并有登记,编号明确为内部使用,未浮现使用挪移存储介质或非涉密计算机存储、处理过涉密信息,其余部门的计算机和挪移储存介质(U盘)的使用程序并别严格,有时还在公私混用的现象。
四、存在咨询题及整改方向。
1、计算机保密治理制度及信息络安全保密治理制度尚别健全,计算机使用及络安全方面存在一定风险,对系统漏洞缺乏有效防范措施,将来将逐步制定完善相关治理制度,进一步规范计算机的使用程序。
2、由于保密员(信息员)为兼职人员,受水平能力限制,对计算机(络)安全技术处理别够专业,从而加大计算机的安全隐患。将来将加强保密员(信息员)的专业知识培训,提高保密员(信息员)的操作水平。
3、工作人员的保密意识别强,导致工作较为被动。将来将加大工作和宣传力度,增强工作人员的安全保密意识和遵守各项安全保密制度的自觉性,坚持信息安全保密工作别松懈。
网络安全保密自查报告8
为贯彻落实威委密办发[20xx]6号文件精神,进一步加强网络窃密泄密防范工作,我镇严格按照文件要求,对非涉密网络保密管理和本单位门户网站保密管理开展自查自纠工作,现报告如下:
一、我镇机关目前没有政府内网,非涉密网络1个,即中国电信宽带网,由光纤接入8个部门,共连接非涉密计算机40台,都属于物理隔离;有3台连接上级网络,即2台党政网络和1台劳动保障所连接其上级部门的专网。我镇所有电脑都配备了360杀毒软件,能定期杀毒与升级。
二、计算机网络基本情况及保密管理现状
对涉密单机的管理,明确了一名分管领导具体负责,并制定专人从事计算机保密管理工作。对非涉密单机的管理,明确非涉密计算机不得处理涉密信息。对于计算机磁介质(软盘、U盘、移动硬盘等)的管理,采取专人保管、涉密文件单独存放,严禁携带存有涉密内容的磁介质到上网的计算机上加工、储存、传递处理文件。
三、计算机网络保密工作落实情况
(一)以宣传教育为主导,强化保密意识。
为加强计算机及其网络的保密管理,防止计算机及其网络泄密事件的发生,确保国家秘密信息安全,在计算机网络管理人员以及操作计算机的领导干部、涉密人员中强化计算机保密安全意识,我镇采取多种方式,多种渠道对计算机保密相关人员进行宣传教育。认真组织学习《国家保密法》、《中华人民共和国国家安全法》、《中华人民共和国保守国家秘密法实施办法》,并要求结合实际贯彻落实。涉密计算机专人专用,并设立独立的登录账号及密码。非涉密计算机利用屏幕保护时间宣传、张贴标语等明确责任人及使用范围,严禁在非涉密计算机上处理涉密文件或接入涉密移动存储介质。
(二)以制度建设为保障,严格规范管理。
加强制度建设,是做好计算机网络保密管理的保障。为了构筑科学严密的制度防范体系,不断完善各项规章制度,规范计算机及其网络的保密管理,我镇主要采取了以下几项措施:一是认真贯彻执行上级保密部门文件的有关规定和要求,不断增强依法做好计算机保密管理的能力;二是对处理信息类别进行了明确规定,制定《非涉密网络安全保密管理制度》;三是定期对非涉密网络开展保密检查,严格涉密信息流转的规范性,弥补管理上存在的空挡;四是针对信息发布中存在的不规范等问题,及时对照《政府信息公开保密审查制度》进行整改,要求对上网信息严格审查、严格控制、严格把关,从制度上杜绝泄密隐患,做到“上网信息不涉密、涉密信息不上网”。
(三)以督促检查为手段,堵塞管理漏洞
为了确保计算机及其网络保密管理工作各项规章制度的落实,及时发现计算机网络保密工作中存在的泄密隐患,堵塞管理漏洞,我镇十分重视对计算机及其网络的保密工作的督促检查,采取自查与抽查相结合,常规检查与重点检查相结合,定期检查与突击检查相结合等方式,对计算机及其网络管理制度的落实情况、涉密网络的管理和使用情况、防范措施的落实情况进行检查。今年以来,我镇对全镇计算机及其网络的情况进行了一次全面的检查,通过检查,查找到计算机及其网络保密工作中存在的管理漏洞,并整改到位。
四、自查结果
通过此次自查,我镇非涉密网络保密工作能做到制度到位、管理到位、检查到位,并做到以下几点:
(一)做到禁止在未采取防护措施的情况下,涉密信息系统与非涉密网络及其他公共信息网络之间进行信息交换;
(二)做到禁止将涉密计算机、涉密存储设备和内部办公网络接入非涉密网络及其他公共信息网络;
(三)做到严禁使用非涉密计算机、非涉密存储设备存储、处理涉密信息;
(四)做到严禁通过非涉密网络电子邮箱办理公务,存储、处理、传输涉密文件资料和敏感信息。
(五)做到本单位门户网站信息公开坚持“先审查、后公开”和“一事一审”原则。
通过此次自查也发现存在一定的问题,主要是计算机防范技术有待学习提高,今后我们将继续加强学习,提高技术水平,严防计算机网络泄密事件的发生。
网络安全保密自查报告9
为进一步加强政府信息保密工作,根据政府办[20xx]10号文件精神,我会严格按照文件要求,结合妇联实际,及时查找问题,采取有效措施,政府信息安全保密工作取得实效。
一、领导重视、责任落实
信息保密工作是维护国家和单位安全和利益的工作,做好信息保密工作是我们的基本职责。我会领导十分重视保密工作,我会成立了信息安全保密工作领导小组,设立办公室,安排专人承办日常工作。领导班子在做好保密带头作用的同时,时时开展保密法规、政策宣传,不定期对单位信息保密工作执行情况进行检查、指导,督促信息保密工作的落实,推进了信息保密工作纵深发展。
二、加强学习、增强认识
今年我会组织各科室学习了《中华人民共和国保守国家秘密法》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中华人民共和国信息公开条例》等保密法律法规,对全体工作人员进行保密教育,提升了职工对保密工作重要性和严肃性的认识,增强了全体干部职工的保密意识。为加强对保密工作的领导,切实落实保密工作责任制,保守党和国家秘密,我会及时制定了《保密工作制度》、《网站信息报送制度》、《计算机网络管理制度》、《网络管理员工作职责》等制度,对计算机上网安全保密、涉密存储介质保密、计算机维修维护、用户密码安全保密、笔记本电脑安全保密、涉密电子文件保密、涉密计算机系统病毒防治、上网发布信息保密、上网信息涉密审查等各方面都作了详细规定,进一步规范了我会网络与信息安全管理工作。做到涉密信息不上网,上网信息不涉密。
三、严格管理、措施到位
我会涉密工作不多,但领导却很重视保密工作的管理。在各涉密工作中,始终坚持以领导审签制度为原则,采取专人管理和纵向传递,严格做好收文、发文、传阅、销毁等登记管理,专人传递,定人阅办的工作方法,减少了保密信息的流通环节和知晓范围,保证涉密资料在工作中的严肃性和密级性。对于涉密计算机仍然采取专机、专人管理,采用与因特网脱离的裸机工作方式运作,并设置了必要的身份认证,配置了泄密干扰 器等措施加强防范。在保密资料制作、存储、传输过程中加载密码设置等措施,有效防范了网络泄密、失密事件。在政府信息公开工作方面,我会成立了信息公开审查领导小组,建立了政府信息公开审查制度,对信息公开进行严格审签,保障了政府信息公开无泄密发生。
四、网络安全存在的不足及整改措施
目前,我会网络安全仍然存在以下几点不足:一是安全防范意识较为薄弱;二是病毒监控能力有待提高;三是如遇到恶意攻击、计算机病毒侵袭等突发事件,可能会导致处理不够及时。
五、针对目前我会网络安全方面存在的不足,提出以下几点整改办法:
1、加强我会全员计算机操作技术、网络安全技术方面的培训,强化我会计算机操作人员对网络病毒、信息安全的防范意识;
2、加强我会信息及网管人员在计算机技术、网络技术方面的学习,不断提高我会计算机专管人员的技术水平。
3、合理规划及配置相关软硬件系统,保障计算机网络及信息的安全。
第五篇:网络安全保密管理制度
网络安全保密管理制度
第一条 为规范xxxxxx(以下简称中心)计算机网络(以下简称网络)安全保密工作的管理,保证网络能够安全稳定地运行,结合中心实际,制定本制度。
第二条 网络管理部负责网络安全保密管理工作。
第三条 网络安全管理部门应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。中心所在终端接入计算机网络时,都应按照已规划的域名、IP地址规范进行配置,未经批准不得随意改动。6个月未使用过的IP地址经与用户确认后回收。
第四条 在网络边界部署访问控制设备,启用访问控制功能,设定过滤规则集,规则集涵盖对所有出入边界的数据包的处理方式。
第五条 系统内所有工作人员均需按权限使用涉密网、政务内网和政务外网,各用户需妥善保管自己的用户名和密码,并定期自行更改密码。
第六条 凡使用网络中心计算机网络的部门和个人,必须遵守国家保密法规和计算机信息网络安全保密管理的有关规定,不得利用网络从事危害国家安全、泄露国家秘密等违法犯罪活动,不得制作、复制、查阅、传播反动、色情、邪教等有害信息。
第七条 各部门应落实安全保密管理责任制,由部长负责本部门网络节点内安全保密工作,监督、检查本部门网络的运行情况,加强系统防范能力,及时处理所发现的问题,消除安全隐患,确保中心信息网络的安全和保密。
第八条 各部门坚持“控制源头、加强检查、明确责任、落实制度”和“涉密不上网,上网不涉密”的原则,规范和完善信息网络的日常管理;要注意加强对计算机及其存储介质(硬盘、软盘、光盘、磁带等)的管理,特别是对涉密计算机及其存储介质的管理,应严格按照科技工贸和信息化委员会《保密工作制度》执行。
第九条 加强对上网人员的安全保密教育和管理,增强防范意识,自觉执行保密法规,坚持“谁上网谁负责”的原则,加强监督,杜绝网上泄密事件发生。重视和加强网络信息系统操作、管理人员安全保密知识的学习和培训,提高信息网络的安全防范能力。
第十条 涉密计算机和涉密计算机信息系统的管理应严格按照信息化委员会《保密工作制度》执行。
第十一条 凡涉及网络中心秘密的信息,包括在对外交往与合作中经审查、批准与境外特定对象合法交换的网络中心秘密信息,不得在国际互联网等公共网络或与公共网络相联的计算机信息网络上存储、处理、传递。不得利用电子邮件传递、转发或抄送涉及网络中心秘密的信息。
第十二条 建立上网信息保密审查制度,指定专人对拟上网的信息根据网络中心保密范围的规定进行审查把关,凡属于网络中心秘密事项的,一律禁止上网。对是否属于网络中心秘密界限不清的信息,应报送网络信息中心领导审定。在审定结果未答复之前,不得上网。对其他不宜公开的内部信息,也不得上网公布。
第十三条 要按照“积极防范、突出重点”的原则,加强信息网络的技术防范工作,配备必要的安全保密设备,重视网络安全防范技术的研究,制定应急处置方案,提高应急处置能力,确保信息网络的安全性与保密性。
第十四条
各部门应重视计算机资产处置前实施技术处理工作。凡存储处理过国家秘密信息的计算机,在资产转移或报废前,必须进行严格的消磁技术处理,不能以简单的删除文件代替。
第十五条
各部门和个人在网络上发现网络中心秘密信息存在时,应立即报告中心领导,及时采取补救措施,删除网上涉密信息。
第十六条
各部门和个人在网络使用过程中,如收到反动、色情、邪教等有害信息应立即删除,并及时报告部门主管领导,不得扩散。
第十七条 各部门和个人应当接受并配合中心组织的保密监督检查,协助查处有关泄密行为。对于违反本规定的有关人员应给予批评教育,并责令其限期整改;发生泄、失密事件要及时向相关部门报告,配合有关部门及时查处,根据泄密情节轻重,依法追究当事人责任。
第十八条 本规定自印发之日起执行。