第一篇:安全与保密培训材料
天津市营配贯通项目安全与保密培训
********有限公司
一、安全培训
现场施工采集人员应牢记以下安全责任:
1.在施工中必须坚持安全第一、预防为主的安全生产方针,建立健全安全生产管理制度、消防安全制度、安全操作规程、安全生产责任制、防火责任制、保卫制度和群防群治制度。
2.现场施工应遵守国家和地方关于劳动安全劳务用工方面的法律法规及规章制度,保证其用工的合法性。必须按国家有关规定,为施工人员办理人身保险,配备合格的劳动防护用品、安全用具。
3.加强对施工现场和防护措施的检查和管理,及时纠正违章指挥和违章作业、消除火灾隐患,并提出改进措施,如期整改。
4.用于项目的测绘仪器及安全防护用具的数量和质量必须满足施工需要,并经有资质检验单位检验符合安全规定,且在有效期内,有明显检验标识,对因使用工器具不当所造成的人员伤害及设备损坏负责。
5.应佩戴甲方办理的临时工作证进入施工现场,工作证严禁转借他人。6.未经安全生产教育培训的人员,严禁上岗作业。
7.应提前熟悉工作现场环境,做好各类应急准备。在特殊偏远、戈壁荒漠区域工作,要保持通讯畅通。进入工作现场,要按照规定穿工作服,戴安全帽,戴手套。现场作业执行安全风险管控的要求及规定。
8.在采集涉及低压设备如开、锁表箱、配电箱时,要先验电,后工作。涉及临近高压设备如GIS数据采集、核对设备型号、容量等工作,要保持与带电设备的安全距离;需停电的工作必须停电进行;需开工作票的工作,需持有效合格的工作票开展工作。
9.在现场作业时要随时注意并提醒周围的人员做好防人身触电、防高处坠落、防物体打击等防范措施。
10.采集人员未经许可不得擅自进入危险区域作业。11.严禁采集人员在雷雨、台风、冰雹、雨雪天进行数据采集工作,如在数据采集过程中突遇雷雨等恶劣天气,采集人员应及时寻找安全地带躲避,不得继续作业或停滞于电网设备旁。
12.在街道等交通沿线测量时,应自觉遵守交通规则,并在测量现场附近设置警示标志,注意人员安全,避免交通隐患。
13.在郊外测量时,采集人员要随身携带防蛇、防蜂、防暑等药品。14.在数据采集中,在安置仪器和标志时要避开电缆、电线,避免触电。保证仪器设备安全。
15.严格遵守《测绘安全工作规程》、《国家电网公司电力安全工作规程》、《国家电网公司安全文明施工标准规程》以及国家有关法律法规。
二、保密培训
现场施工采集人员必须牢记以下保密责任:
1、必须根据测绘成果的密级,按国家有关保密法律法规的要求,采取有效的保密措施,严防泄密。
2、仅限于在本单位范围内使用测绘成果,不得扩展到所属系统和上级、下级、同级其他单位或者其他人。
3、对测绘成果不拥有复制、传播、出版、翻译成外国语言等的权利,不得向第三方提供。测绘成果的任何格式或者任何复制品视同原始测绘成果。
4、不得利用测绘成果编制出版其他地图。
5、应严格遵守国家电网公司信息安全制度,项目成果资料不得经过外网(互联网)传送。
6、存放成果资料的电脑必须与外网(互联网)保持物理隔绝。
7、项目员工的个人电脑不得留存项目成果数据。
8、在使用内网(国家电网公司信息内网)电脑时,不得插入非国网公司专配的外网U盘、手机、平板以及各类通信设备。
9、工作人员应严格遵守《中华人民共和国测绘法》、《中华人民共和国测绘成果管理条例》、《基础测绘成果提供使用管理暂行办法》、《国家电网公司保密工作管理办法》、《国家电网公司信息安全“三不发生”目标、“五禁止”要求和“八不准”措施》及有关法律法规和条例的要求。
参与培训人员签字:
第二篇:信息安全与保密
信息安全与保密小组实验报告
小组成员:沈婷婷
黄海忠
汪芙蓉
Word.Excel.PPT是微软office套装中,最常用的几个软件,而软件加密,成为了日常必需学习的东西,因为密码,可以保护你的隐私或者商业机密。文件加密简单地说就是对原来为明文的文件按某种算法进行处理,使其成为不可读的一段代码,通常称为”密文”。使其只能在输入相应的密钥之后才能显示出本来内容,通过这样的途径达到保护数据不被人非法窃取、阅读的目的。该过程的逆过程为解密,即将该编码信息转化为其原来数据的过程。
本试验中3个软件的加密方法和密码取消,非常简单,在本文中,就不加解释了,主要是介绍一下,信息加密和解密的关系。密码是指为了保护文档安全,当你不希望别人打开或修改你的word时,你可以设置密码。不过不推荐这种加密方法,很容易破解,在线破解10秒钟破解结了,可以用winrar加密,这种加密吧密码直接加到文件中,一般是无法破解的。(WinRAR加密,是指长加密,不是简单的2-3位加密)
本实验使用解密软件是Rar Password Unlocker v3.2.0.1,该软件是一款基本学习型软件,支持1-3位简单密码破解,其中破解方法有暴力破解和字典破解两种,也是主流破解方法,暴力破解相对于字典破解,具有操作简单的优势,但是在破解精准度和时间上,会有所欠缺。本实验中,我们首先对word进行加密111,然后使用Rar Password Unlocker v3.2.0.1软件的暴力破解方法,经过130秒以后,破解出密码为111,同时也可以通过该软件取消密码,但是为了后续取消密码步骤,在这就不取消了,直接输入111进入文档,这样就是说,暴力破解通过每一个数字,字母,字符,按顺序尝试排列,最终还是可以获取密码的。该方法适用于一般无损坏可能的加密。而后面的Excel中,我们使用的是字典加密,该加密是通过规则破解也是一种非常有效的方式,这里面还会具体分为两种,一种是与帐号关联的规则,另外一种是与帐号无关的规则,与帐号关联的规则,比如注册帐号test,注册密码test123这样的(是不是很多人有这个习惯?),那简直是任何一个破解器的简单规则都可以胜任的;与帐号无关的,通常是有限度遍历模式,比如日期类型8位数字(如19730221)或6位数字(如780112)遍历或两位字母+六位数字遍历,(我知道很多朋友喜欢用生日做密码,那可真就不妙了),或者13+8个数字遍历(用手机号码做密码的朋友小心了),以及6位任意数字遍历,6位小写字母遍历(对付那些密码简单的朋友),2位字母+四位任意数字密码混排遍历(如ma1234),1位字母+4-5位数字混排遍历(如s7564),这些都是比较容易出彩的规则,按照规则遍历,是黑客对用户心理的一种考验,一些用户图好记而采用的密码,也就是黑客最容易想到和突破的了。该方式的破解能力较强,能快速破解.解密,常用于文件失去时间价值以后,例如试卷已经考完以后。解密过程和加密过程相似,在本报告中,也不详细介绍。
常用加密方法
(一)利用组策略工具,把存放隐私资料的硬盘分区设置为不可访问。
首先在开始菜单中选择”运行”,输入 gpedit.msc,回车,打开组策略配置窗口。选择”用户配置”->”管理模板”->”Windows 资源管理器”,双击右边的”防止从”我的电脑”访问驱动器”,选择”已启用”,然后在”选择下列组合中的一个”的下拉组合框中选择你希望限制的驱动器,点击确定就可以了。
这时,如果你双击试图打开被限制的驱动器,将会出现错误对话框,提示”本次操作由于这台计算机的限制而被取消。请与您的系统管理员联系。”这样就可以防止大部分黑客程序和病毒侵犯你的隐私了。这种加密方法比较实用,但是其缺点在于安全系数很低。厉害一点的电脑高手都知道怎么修改组策略,他们也可以把用户设置的组策略限制取消掉。因此这种文件加密方法不太适合对保密强度要求较高的用户。对于一般的用户,这种文件加密方法还是有用的。
(二)利用注册表中的设置,把某些驱动器设置为隐藏。
在注册表的HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion PoliciesExplorer中新建一个DWORD值,命名为NoDrives,并为它赋上相应的值。例如想隐藏驱动器C,就赋上十进制的4(注意一定要在赋值对话框中设置为十进制的4)。如果我们新建的NoDrives想隐藏A、B、C三个驱动器,那么只需要将A、B、C 驱动器所对应的DWORD值加起来就可以了。同样的,如果我们需要隐藏D、F、G三个驱动器,那么NoDrives就应该赋值为8+32+64=104。怎么样,应该明白了如何隐藏对应的驱动器吧。目前大部分磁盘隐藏软件的功能都是利用这个小技巧实现的。隐藏之后,WIndows下面就看不见这个驱动器了,就不用担心别人窥探你的隐私了。
但这仅仅是一种只能防君子,不能防小人的加密方法。因为一个电脑高手很可能知道这个技巧,病毒就更不用说了,病毒编写者肯定也知道这个技巧。只要把注册表改回来,隐藏的驱动器就又回来了。虽然加密强度低,但如果只是对付一下自己的小孩和其他的菜鸟,这种方法也足够了。
(三)利用Windows自带的”磁盘管理”组件也可以实现硬盘隐藏!
具体操作步骤如下:右键”我的电脑”->”管理”,打开”计算机管理”配置窗口。选择”存储”->”磁盘管理”,选定你希望隐藏的驱动器,右键选择”更改驱动器名和路径”,然后在出现的对话框中选择”删除”即可。很多用户在这里不敢选择”删除”,害怕把数据弄丢了,其实这里完全不用担心,Windows仅仅只是删除驱动器的在内核空间的符号链接,并不会删除逻辑分区。如果要取消隐藏驱动器,重复上述过程,在这里选择选择”添加”即可。
这种方法的安全系数和前面的方法差不多,因为其他电脑高手或者病毒程序也可以反其道而行之,把你隐藏的驱动器给找回来。利用第三方文件加密软件进行加密。
在这一领域的代表性文件加密软件是超级加密3000。超级加密3000采用了成熟先进的加密算法、加密方法和文件系统底层驱动,使文件加密和文件夹加密后的达到超高的加密强度,并且还能够防止被删除、复制和移动。其安全性和加解密速度都是可以让人放心的。不但适用于个人用户,而且企业用户的文件加密效果也极佳。
第三篇:通信网安全与保密
通信网的安全与保密课程综述
通信网的安全与保密课程综述
摘要:在社会不断进步,技术不断革新的现代社会。通信技术和网络的不断强大使得我们对于通信网络的安全与保密有了更高的关注。通信网络安全与保密主要是指保护网络信息系统,保证其保密性、完整性、可用性、真实性和可控性。现代通信网的安全与保密主要体现在有线网络和无线网络安全与保密方面。关键字: 安全性 保密性 有线网络 无线网络
正文:
1、我国当前通信网络安全现状
互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间,网络技术的迅速发展和广泛应用,为人类社会的进步提供了巨大推动力。然而,正是由于互联网的上述特性,产生了许多安全同题。计算机系统及网络固有的开放性、易损性等特点使其受攻击不可避免。计算机病毒的层出不穷及其大范围的恶意传播,对当今El愈发展的社会网络通信安全产生威胁。现在企业单位各部门信息传输的的物理媒介,大部分是依靠普通通信线路来完成的。虽然也有一定的防护措施和技术,但还是容易被窃取。通信系统大量使用的是商用软件,由于商用软件的源代码.源程序完全或部分公开化,使得这些软件存在安全问题。在中国互联网络信息中心(cNMc)和国家互联网应急中心(cNCER曰近日联合发布的调查报告显示,在2009年。我国52%的网民曾遭遇过网络安全事件,网民处理安全事件所支付的相关服务费用共计153亿元人民币。据报告中显示,在遭遇网络安全事件的网民中,77.5%是因为在网络下载或浏览时遭遇病毒或木马的攻击。其中。网络安全事件给21.2%的网民带来直接经济损失,包括网络游戏、即时通信等账号被盗造成的虚拟财产损失,网银密码、账号被盗造成的财产损失等。
下面主要讲一下有线通信网络和3G移动通信网络安全和发展:
2、有线通信网络
2.1 有线网络面临安全威胁
有线网络面临的安全威胁包括:
电磁安全:随着侦听技术的发展以及计算机处理能力的增强,电磁辐射可能引发安全问题。
设备安全:当前设备容量越来越大,技术越来越复杂。复杂的技术和设备更容易发生安全问题。
链路安全:通信光缆电缆敷设规范性有所下降。在长江、黄河、淮河等几条大江大河上布放光缆时,基本都敷设并集中在铁路桥(或公路桥)上,可能出现“桥毁缆断”通信中断的严重局面。
通信网的安全与保密课程综述
信令网安全:传统电话网络的信令网曾经是一个封闭的网络,相对安全。然而随着软交换等技术的引入,信令网逐渐走向开放,无疑增加安全隐患。
同步外安全:同步网络是当前SDH传输网络以及CDMA网络正常运行的重要保障。当前大量网络包括CDMA等主要依赖GPS系统。如GPS系统出现问题将对现有网络造成不可估量的损失。
网络遭受战争、自然灾害:在网络遭受战争或自然灾害时,网络节点可能经受毁灭性打击,链路可能大量中断。
网络被流量冲击:当网络收到流量冲击时,可能产生雪崩效应:网络性能急剧下降甚至停止服务。网络流量冲击可能因突发事件引起,也可能是受到恶意攻击。
终端安全:典型的多业务终端是一个计算机,与传统的专用傻终端例如电话相比,智能终端故障率以及配置难度都大大提高。
网络业务安全:多业务网络很少基于物理端口或者线路区分用户,因此业务被窃取时容易产生纠纷。
网络资源安全:多业务网络中,用户恶意或无意(感染病毒)滥用资源(例如带宽资源)会严重威胁网络正常运行。垃圾邮件几乎摧毁了互联网电子邮件的信誉。
通信内容安全:网络传输的内容可能被非法窃取或被非法使用。
有害信息扩散:传统电信网不负责信息内容是否违法。随着新业务的开展,NGN必须关注有害信息通过网络扩散传播。2.2 网络与信息安全分层
通信网络安全应当分层研究。根据通信系统特点,通信网络和信息安全研究可以分成网络自身安全、业务提供安全、信息传递安全以及有害信息控制四个层面研究。
(1)网络自身安全
网络自身安全包括网络可靠性与生存性。网络可靠性与生存性依靠环境安全、物理安全、节点安全、链路安全、拓扑安全、系统安全等方面来保障。这里承载与业务网是拥有自己节点、链路、拓扑和控制的网络,例如传输网、互联网、ATM网、帧中继网、DDN网、x.25网、电话网、移动通信网、支撑网等电信网络。
网络自身安全应在控制、管理和数据层面保障。在控制层面,应在控制信息访问控制、控制信息验证、控制信息保密、控制信息通信安全和控制信息完整性方面保障安全。在管理层面,应在管理访问控制、管理信息验证、管理信息不可抵赖、管理信息保密性、管理信息通信安全、管理信息完整性方面保障安全。在数据平面,应在资源可用性方面保障安全。
(2)业务提供安全
网络服务安全包括服务可用性与服务可控性。服务可控性依靠服务接入安
通信网的安全与保密课程综述
全、服务防否认、服务防攻击等方面来保障。服务可用性与承载、业务网络可靠性以及维护能力等相关。服务可以是网络提供的DDN专线、ATM专线、话音业务、VPN业务、Internet业务等。
业务提供安全应在控制层面和管理层面保障。在控制层面,应在控制信息访问控制、控制信息验证、控制信息不可抵赖、控制信息保密、控制信息通信安全、控制信息完整性和控制信息隐私性方面保障安全。在管理层面应在管理访问控制、管理信息验证、管理信息不可抵赖、管理信息保密性、管理信息通信安全、管理信息完整性方面保障安全。
(3)信息传递安全
信息传递安全包括信息完整性、机密性和不可否认性。信息完整性可以依靠报文鉴别机制例如哈希算法等来保障;信息机密性可以依靠加密机制以及密钥分发等来保障;信息不可否认性可以依靠数字签名等技术保障。
(4)有害信息控制
有害信息控制主要是指传递的信息不包含中华人民共和国电信条例第五十七条所规定内容。第五十七条规定不得利用电信网制作、复制、发布、传播含有违反国家宪法、危害国家安全,泄露国家机密,颠覆国家政权,破坏国家统一、损害国家荣誉和利益、煽动民族仇恨,民族歧视,破坏满足团结等内容。
有害信息还包括当前突出的一些问题例如垃圾邮件、垃圾短信、BBS不良信息、病毒等。有害信息控制是指网络应采用一定技术和管理手段防止有害信息在网络上泛滥和扩散。
2.3 有线网络中与安全相关的技术发展趋势
终端趋向智能化:当前技术条件下,网络已经能承载多种业务。每个业务建设一张新网的模式已不再适合。为在一张网络上开展多种业务,必须将部分网络的智能转移到终端上。随着智能向终端的转移,可以预期会出现很多过去公共电信基础设施上没有出现过的安全问题。因此未来终端智能化是不可避免的,必须将智能在网络和终端合理分配才能有效保障公共电信基础设施安全。
业务趋向多样化:当前公共电信基础设施提供的业务比较单一,除了点到点的传输外就是电话业务。随着技术和市场的进一步发展,增值业务已成为运营中重要的内容。公共电信基础设施将不可避免地提供多种业务,满足各种个性化的需求。当然增值业务可以由公共电信基础设施运用商直接提供,也可以由内容提供商、应用提供商单独提供。
接入趋向无线:移动通信的出现已经极大地改变的生活。随着802.11的广泛使用,桌面局域网技术有了新的重要选择。未来能进行短距离(10米内)特别连接的无线个人域网(WPAN)设备会有很大的发展。3G技术可以预期。农村和偏僻地区会有低成本无线接入设备。
通信网的安全与保密课程综述
计算能力不断增强:个人计算机系统的计算能力不断增强。原有安全的加密算法逐渐变得不安全。随着终端计算能力的不断增加,为终端智能化提供了技术可能性。按照莫尔定律,可以预见计算能力还会不断增加。计算能力不断增加,伴随体积进一步减小仍然是不可避免的趋势。
网络规模继续扩张:随着技术的发展,电信网络规模越来越大。随着社会的进步,通信需求也会进一步增长,可以预期的是网络规模会进一步增长。在一个规模空前的大网上可能会出现各种意想不到的问题。网络复杂性也会随着网络规模的增长而增加。在当前网络上的运营经验并不能完全照搬到未来网络上。因此在“十一五”期间网络规模的增长会影响公共电信基础设施的安全。
新的通信技术不断出现:技术的发展决定随着技术的进步,新的通信技术和手段会不断涌现。
新的网络安全威胁不断出现:随着新技术、新业务、新运营方式的不断涌现,新的网络威胁会不断出现。公共电信基础设施会受到越来越多,各种各样新的安全威胁。随着互联网成为电信网络,互联网上的安全威胁越来越影响通信。垃圾邮件当前已成为全世界关注的问题。因此在“十一五”期间安全威胁的不断涌现将不可避免。
公共电信基础设施逐渐重视服务提供安全和内容安全:最初公共电信基础设施主要提供专线业务以及话音业务,上述网络与业务完全不能分离。在业务与网络合一情况下,只要网络自身是安全的就能正常提供服务。此外最初公共电信基础设施不关注传输的内容,只作一定的服务质量保障。因此最初公共电信基础设施主要关注网络自身安全。在越来越注重隐私的现实环境中必须关注内容传输的私密性。因此公共电信基础设施安全将从只关注网络自身安全转变为网络自身安全、服务提供安全与内容安全、传输安全并重。2.
4、有线网络安全标准进展
有线网络信息安全工作组是一个年轻的标准化组织,目前只有一个标准达到发布阶段,2个标准达到报批稿阶段,绝大部分文稿处于起草阶段。
当前网络安全比较关注设备安全,大部分项目都是设备安全技术要求以及设备安全测试方法。这些设备方面的技术要求和测试方法都将与入网管制配套。
当前网络层安全研究较少,主要是框架研究,包括感知IP网络安全框架与电信级IP承载网安全框架。
当前业务网安全主要集中在VoIP业务方面,主要是软交换和H.323方面的安全。包括安全框架、管理运维等。其他业务相关的安全还主要在各个业务的总体技术要求中考虑。
3、移动通信网络 3.1 3G安全威胁
通信网的安全与保密课程综述
3G系统的安全威胁大致可以分为如下几类:
(1)对敏感数据的非法获取,对系统信息的保密性进行攻击,主要包括: A、窃听:攻击者对通信链路进行非法窃听,获取消息;
B、伪装:攻击者伪装合法身份,诱使用户或网络相信其身份合法,从而窃取系统信息;
C、业务分析:攻击者对链路中信息的时间、速率、长度、源及目的等信息进行分析,从而判断用户位置或了解正在进行的重要的商业交易;
D、浏览:攻击者对敏感信息的存储位置进行搜索; E、泄露:攻击者利用合法接入进程获取敏感信息; F、试探:攻击者通过向系统发送信号来观察系统反应。
(2)对敏感数据的非法操作,对信息的完整性进行攻击,主要包括对信息进行操作:攻击者故意地对信息进行篡改、插入、重放或删除。
(3)对网络服务的干扰或滥用,从而导致系统拒绝服务或导致系统服务质量的降低,主要包括:
A、干扰:攻击者通过阻塞用户业务、信令或控制数据使合法用户无法使用网络资源;
B、资源耗尽:用户或服务网络利用其特权非法获取非授权信息;
C、误用权限:用户或服务网络可以利用它们的权限来越权获得业务或信息; D、服务滥用:攻击者通过滥用某些特定的系统服务,从而获取好处,或者导致系统崩溃。
E、拒绝:用户或网络拒绝发出响应。
(4)否认,主要指用户或网络否认曾经发生的动作。(5)对服务的非法访问,主要包括:
A、攻击者伪造成网络和用户实体,对系统服务进行非法访问; B、用户或网络通过滥用访问权利非法获取未授权服务。3.2 3G的安全策略1、3G安全体系结构
3G系统的安全体系结构中共定义了5组安全特性,如图1所示,每一组安全特性针对特定的威胁,并完成特定的安全目标。(1)网络接入安全
定义了为用户提供安全接入3G服务的安全特性,特别强调防止无线接入链路的攻击。包括: 用户标识的保密性;实体认证;加密;数据完整性。(2)网络域安全
定义了在营运商结点间安全传输数据的安全特性,保护对有线网络的攻击。网络域安全分为3个层次:
通信网的安全与保密课程综述
第一层(密钥建立):密钥管理中心产生并存储非对称密钥对,保存其他网络的公开密钥,产生、存储并分配用于加密信息的对称会话密钥,接收并分配来自其他网络的用于加密信息的对称会话密钥;
第二层(密钥分配):为网络中的结点分配会话密钥;
第三层(安全通信):使用对称密钥实现数据加密、数据源认证、数据完整性保护。
(3)用户域安全
定义了安全接入移动站的安全特性。用户域安全包含用户到USIM的认证;USIM到终端的连接两个方面。
(4)应用程序域安全
定义了用户应用程序与营运商应用程序安全交换数据的安全特性。USIM应用程序为操作员或第三方营运商提供了创建驻留应用程序的能力,这就需要确保通过网络向USIM应用程序传输信息的安全性。其安全级别可由网络操作员或应用程序提供商根据需要选择。
(5)安全的可见度与可配置性
定义了用户能够得知操作中是否安全,以及对安全程度自行配置的安全特性。
2、认证与密钥协商(AKA)机制
3、数据加密与完整性保护
结论:在社会不断进步,技术不断革新的现代社会,通信技术和网络的不断强大使得我们对于网络安全与保密有了更高的关注。学完这门课,通信保密与安全的观念也更加深刻的贯穿于心中。而这个观念在军事、企业、银行等重要部门中尤为重要,在一些敏感的部分和掌握重要资料的部门都应该强化这一思想。虽然当前的一些相关技术能保证在运行中一些重要资料的安全,但是潜在的威胁还是不容忽视,应定期进行系统的检查,排除可能的漏洞。参考文献:
【l】张咏梅.计算机通信网络安全概速啊.中国科技信息,2006. 【2】杨华.网络安全技术的研宄与应用叨.计算机与网络,2008. 【3】冯苗苗.网络安全技术的探讨忉-科技信息,2008. 【4】4罗绵辉,郭鑫.通信网络安全的分层及关键技术,2007.【5】周伟勋.通信网络安全维护佣.中国新技术新产品,2009.
第四篇:公司保密与信息安全
公司保密与信息安全制度
企业的数据和文件是企业的商业机密,为了防止企业内部数据和文件造成丢失、外泄、扩散和被人窃取,公司特作如下严格规定:
【名词解释】:
1、企业数据:指企业经营的所有财务软件数据、客户资料数据(CRM)、经营数据、服务管理数据(IT-SMS)、进销存软件数据等以数据库格式存在的重要信息资料;
2、企业文件:指企业的发展规划规划、会议文件、重要制度文件、内部沟通交流文件等以word、EXCEL、WPS、POWERPOINT等OFFICE格式存在的文件;
3、保密制度:指企业的重要数据和文件使用者和拟订者必须加密,严禁造成外泄和被人窃取的规定;
4、安全制度:指企业的重要数据和文件的使用者和拟订者必须通过第三方硬盘存储进行双重或者三重备份,严禁造成丢失的规定;
5、双(和三)重备份:方式有:(1)本地电脑+服务器(上面数据必须做Raid镜像);(2)本地电脑+移动硬盘;(3)本地电脑+服务器(上面数据必须做Raid镜像)+移动硬盘;
一. 企业需要安全保密的数据和文件包括:
1、企业财务数据,包括:报表凭证、财务软件数据、进销存软件数据、资金状况(银行和现金)、库存状况等一切和财务相关的数据;
2、员工档案、劳动合同、薪资数额及薪资制度;
3、企业经营数据,包括:赢收报表、库存报表、销售报表等一切和企业经营息息相关的数据;
4、企业战略决策,包括:企业发展规划;
5、企业内部文件,包括:会议文件、沟通文件、制度信息发布文件等一切属于企业内部行为的文件;
6、内部制度和管理手册;
7、内部mail、工作QQ沟通记录;
8、重要技术资料;
9、重要培训资料;
10、重要产品资料;
11、重要活动资料;
12、其他一切已经注明需要保密的数据和文件;
说明:任何有关以上规定范围内的文件,拟订者都必须严格注明文件的保密和安全级别;(参照下面第二项规定)
二. 企业数据或者文件的保密和安全级别规定:
1、一级:永久性安全保密数据和文件,绝不允许外泄于此数据不相干的人员;同时数据使用者和文件拟订者必须对数据和文件进行密码加密,同时三重备份,以及抄送者双重备份和密码加密;
2、二级:从数据生成和文件发布之日起,和5年以内安全保密的数据和文件,在此期间绝不允许外泄与此数据文件不相干的任何人员;同时数据使用者和文件拟订者必须三重备份和抄送者必须双重备份,以及密码加密;
3、三级:从数据生成和文件发布之日起,3年以内安全保密的数据和文件,在此期间绝不允许外泄与此数据文件不相干的任何人员;同时数据使用者和文件拟订者和抄送者必须做双重备份和密码加密;
4、四级:从数据生成和文件发布之日起,1年以内安全保密的数据和文件,在此期间绝不允许外泄与此数据文件不相干的任何人员;同时数据使用者和文件拟订者必须做双重备份;
5、五级:从数据生成和文件发布之日起,6个月以内安全保密的数据和文件,在此期间绝不允许外泄与此数据文件不相干的任何人员;同时数据使用者和文件拟订者必须做双重备份;
6、普通:允许自由传阅,不硬性规定是否备份和加密;
说明:任何数据使用者和文件拟订者、抄送者都必须严格遵守相应级别的文件保密和安全规定;
三. 数据安全保密措施:
1、数据使用者和文件拟订者每天、每周、每月定时、准时、及时备份(最长备份限制为每月);
2、五级以上数据和文件最少要做到双重备份,特别重要数据必须做到三重备份;
3、重要和敏感数据和文件必须做加密处理,密码只允许告知可以知晓文件的相关人员,并定时变更密码;
4、企业的服务器数据必须做镜像备份,而且专人专管(暂由管理部经理代管);
5、部门主管级别以上员工的数据和文件都必须至少做到双重备份:(1)本地电脑+服务器;(2)本地电脑+移动硬盘;
6、其他一切可以对数据和文件进行安全保密的措施手段;
四. 数据允许知道的范围:
1、部门内部数据和文件,分:普通员工、主管、经理三个级别知道程度;
2、跨部门内部数据和文件,分:主管、经理、总经理三个级别知道程度;
3、企业内部数据和文件,分:普通员工、主管、经理、总经理四个级别知道程度;
说明:任何直接和分管上级都有权知道其下级的文件和数据情况;而下级不得以任何不道德手段窃取上级的文件和数据;
五. 违反本制度的处罚和法律措施:
1、违反五级数据安全和保密规定,罚款200元,并进行教育改造;
2、违反四级数据安全和保密规定,罚款300元,并进行教育改造,如有造成重大经济损失,则必须进行相应的赔偿;
3、违反三级数据安全和保密规定,罚款500元,公司对其辞退,并由其赔偿由此造成的经济损失,同时保留后续法律追究权力;
4、违反二级数据安全和保密规定,罚款1000元,公司对其辞退并扣除所有绩效奖金,并由其赔偿由此造成的经济和精神损失,同时保留后续法律追究权力;
5、违反一级数据安全和保密规定,罚款2000元,公司对其辞退并扣除所有绩效奖金,除了由其赔偿由此造成的经济和精神损失外,公司将直接通过法律途径追究其法律责任。
第五篇:信息安全与保密承诺书
信息安全与保密承诺书
为保障公司信息安全,本人承诺在使用信息网络资源及有关信息化业务应用系统的过程中严格遵守公司有关信息安全与保密规定,承诺如下:
一、不利用公司信息网络侵犯或损害国家的、社会的、集体及公司的利益和其他公民的合法权益。
二、严格遵守公司信息网络管理及其他信息化业务应用系统管理制度,不对公司信息网络、工业控制系统、各信息化业务应用系统等重要服务器等进行发送垃圾邮件、传播计算机病毒、删除数据、修改设置等恶意破坏、攻击行为。
三、严格按照分配到的公司信息网络及有关信息化业务应用系统的用户名及相应权限处理岗位职责内业务,及时修改有关系统默认口令并安全保管,不泄漏、传播或转借他人。
四、不通过公司信息网络系统及信息化业务应用系统平台发表、转摘、传播各种造谣滋事、煽动偏激情绪、制造恐慌气氛或扰乱正常工作秩序的有害信息。
五、坚持“涉密不上网,上网不涉密”的原则。如属公司计划招投标、财务、人事管理、档案等涉密用户,要做好涉密计算机设备、记载有公司重要信息的计算机设备及其他存储介质的安全保管与使用。要不断增强保密意识,不利用聊天室、电子公告系统、电子邮件等传递、转发或抄送公司商业机密及其他保密信息。
六、离岗(职)后仍保守公司商业机密及有关信息安全保密信息。
七、服从公司其他信息安全管理规定和要求,并密切配合信息安全事故的调查工作。
八、若违反上述规定,本人服从公司按照生产、经营业绩指标管理制度及有关信息化管理制度进行考核等惩戒。
承诺人:(签字)
日期:年月日
点击咨询 