探索信息化安全保密的方法與策略(王志東)

精品文檔就在這里-------------各類專業(yè)好文檔，值得你下載，教育，管理，論文，制度，方案手冊，應(yīng)有盡有-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------精品文檔---------------------------------------------------------------------探索信息化安全保密的方法與策略王志東中國核工業(yè)第二四建設(shè)有限公司信息與文檔中心【摘要】在人們享受高速方便信息化的同時(shí)，如何保障信息安全問題已越來越引起人們的注意，本文通過對信息化高速發(fā)展時(shí)期信息安全與保密的論述，提出自己的觀點(diǎn)，對企業(yè)信息化建設(shè)重新定位，通過構(gòu)思信息安全管理體系來實(shí)現(xiàn)信息安全與保密的系統(tǒng)思想理念,以適應(yīng)信息技術(shù)飛速發(fā)展對信息保密的迫切需要?！娟P(guān)鍵詞】信息化安全信息化保密信息化管理企業(yè)信息化安全保密工作面臨的現(xiàn)狀：2000年4月，某軍工集團(tuán)下屬研究所一職工家中失竊，一臺存貯有重要涉密信息的筆記本電腦被盜。11月，某市紀(jì)委案件管理專用的計(jì)算機(jī)被盜。該機(jī)存有1998年以來的信訪、初核、立案、申訴等秘密資料。2001年2月，某省檢察院反貪局一微機(jī)主機(jī)箱被盜，該主機(jī)箱內(nèi)硬盤上存有1995年以來該省反貪局所辦案件內(nèi)部請示報(bào)告和法律文書及反貪工作主要數(shù)據(jù)。3月，某大學(xué)科技處副處長和一位副教授攜帶裝有大量涉密軟盤的密碼箱到北京申報(bào)科研開發(fā)項(xiàng)目。返回學(xué)校后，才發(fā)現(xiàn)密碼箱丟失。密碼箱中裝有大量涉及國防軍工科研項(xiàng)目的軟盤、論證材料。4月，中科院上海某研究所一研究員來京參加重要會議，所攜帶的手提電腦被盜，電腦內(nèi)存有軍工秘密文件若干。2003年3月，航天科工集團(tuán)某研究所技術(shù)人員王某違反保密管理規(guī)定，私自將存有涉密信息的筆記本電腦和移動硬盤帶回家。筆記本電腦和移動硬盤被盜，硬盤中存儲的1份機(jī)密級報(bào)告、2份秘密級資料草稿和4份秘密資料草稿失控。

7月，中國船舶重工集團(tuán)某研究所某項(xiàng)絕密課題報(bào)告起草人應(yīng)某研究單位的要求，誤將原稿拷入軟盤并委托他人以電子郵件形式發(fā)送，造成泄密。2006年2月，富士康集團(tuán)計(jì)算機(jī)機(jī)箱設(shè)計(jì)中心接戴爾的項(xiàng)目需求為戴爾設(shè)計(jì)幾款電腦機(jī)箱，4月份，戴爾公司確定其中幾款機(jī)箱作為2006年6月25日即將推出的新機(jī)型的機(jī)箱，并且由富士康集團(tuán)的生產(chǎn)中心負(fù)責(zé)生產(chǎn)。6月18日，就在距離戴爾新型電腦上市的前一周，在深圳華強(qiáng)北電子市場居然發(fā)現(xiàn)有一款機(jī)箱與戴爾即將上市的電腦機(jī)箱一模一樣，很明顯這是一個(gè)泄密事例了。2007年9月15日，全國一級建造師資格考試全國統(tǒng)考。最后一門科目《專業(yè)工程管理與實(shí)務(wù)》開考前兩分鐘，湖北的一個(gè)考場，監(jiān)考老師在考場里發(fā)現(xiàn)了考試答案，經(jīng)核對試卷后發(fā)現(xiàn)，答案順序和試題幾乎完全一致，還標(biāo)注著“題目與答案順序可能不對，請自己校對”的提醒。2007年底，因在核電招標(biāo)中涉嫌泄密，中國技術(shù)進(jìn)出口總公司（下稱中技公司）原總裁蔣新生于被中紀(jì)委“雙規(guī)”。208年3月8日，一篇題為《1997年南航深圳“5·8”空難黑匣子最后12分鐘錄音！》的帖子在網(wǎng)絡(luò)瘋傳，在這篇帖子里，可以聽到一段時(shí)長為12分44秒的音頻，為機(jī)長與副駕駛間的對話。黑匣子這么機(jī)密的東西是誰把它公布在網(wǎng)上的？20096月12日，福彩雙色球第09066期開獎3天后，程偉因?yàn)樯嫦哟鄹纳钲诟２手行臄?shù)據(jù)系統(tǒng)偽造中獎號碼被羅湖區(qū)公安分局抓獲。7月8日，深圳警方發(fā)布消息，這則巨獎無人認(rèn)領(lǐng)的事件是一起騙局：深圳電腦工程師程偉利用在福彩中心實(shí)施其他技術(shù)合作項(xiàng)目的機(jī)會，通過對計(jì)算機(jī)系統(tǒng)植入木馬程序，對彩票數(shù)據(jù)進(jìn)行了惡意篡改。2009年7月9日，澳大利亞力拓集團(tuán)上海辦事處的4名員工因涉嫌竊取中國國家秘密被拘留。據(jù)國家保密局不完全統(tǒng)計(jì)，2000年以來，計(jì)算機(jī)被盜、涉密信息失控事件頻頻發(fā)生，目前已占同期上報(bào)的泄密事件的20％，給國家安全和企業(yè)利益造成嚴(yán)重危害。隨著信息技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)信息對國家信息資源及其信息技術(shù)的需求越來越大，信息安全保密問題也隨之凸顯出來，一系列的調(diào)查結(jié)果及不斷發(fā)生的信息泄密案件為企業(yè)敲響了警鐘，使企業(yè)意識到，單純的殺毒、防火墻、加密、備份、數(shù)據(jù)恢復(fù)等仍然無法從核心解決安全問題，因此，加強(qiáng)信息安全保密迫在眉睫。當(dāng)前，竊取計(jì)算機(jī)信息的手段在不斷更新，關(guān)系整個(gè)國家安全的各種信息系統(tǒng)所面臨的挑戰(zhàn)極其嚴(yán)峻。信息技術(shù)的飛速發(fā)展，也使泄密的渠道、環(huán)節(jié)變得更為廣泛和隱蔽，傳統(tǒng)的行政管理模式已經(jīng)不能適應(yīng)信息技術(shù)發(fā)展的要求，提高防竊密技術(shù)的科技含量顯得更加突出。

一些重點(diǎn)企業(yè)管理員工對信息安全保密工作還存在著模糊認(rèn)識，有的在信息傳遞上明密界限不清，密件明發(fā)、在非保密電話上談?wù)撋婷軉栴}、不分場合地點(diǎn)使用手機(jī)、涉密電腦上互聯(lián)網(wǎng)、涉密計(jì)算機(jī)隨意外修等等；還有些涉密單位網(wǎng)絡(luò)信息安全裝置形同虛設(shè)，內(nèi)部網(wǎng)絡(luò)保密防護(hù)不力；有相當(dāng)一部分人員的信息安全知識十分缺乏，在計(jì)算機(jī)和網(wǎng)絡(luò)的使用中，重建設(shè)、輕防護(hù)、重交流、輕保密，使信息安全保密工作存在巨大的安全隱患。企業(yè)信息化安全保密工作與信息化快速發(fā)展的矛盾一是企業(yè)信息化發(fā)展與信息安全保密的關(guān)系問題，信息化發(fā)展與信息安全保密關(guān)系是辯證統(tǒng)一的，處理得好，安全會有保障并促進(jìn)發(fā)展；處理不好，安全就會制約并牽制信息化的發(fā)展。二是管理和技術(shù)在信息安全中的作用問題。信息安全問題的解決需要技術(shù)，但又不能單純依靠技術(shù)，信息化的過程其實(shí)是人與技術(shù)相互融合的過程，如何使管理與技術(shù)相得益彰十分重要。三是應(yīng)急處理與長效機(jī)制問題。要維護(hù)企業(yè)網(wǎng)絡(luò)與信息安全的長治久安，就必須有行之有效的長效機(jī)制。但信息安全保密問題在信息化進(jìn)程中廣泛存在，且突發(fā)性強(qiáng)，同時(shí)又必須強(qiáng)調(diào)應(yīng)急管理，一旦出現(xiàn)影響到企業(yè)安全利益的網(wǎng)絡(luò)與信息安全事件，必須能采取有效措施，控制危機(jī)的發(fā)展，把損失降低到最低。三、企業(yè)信息化安全保密工作問題分析：企業(yè)信息化發(fā)展中之所以存在影響信息安全保密的因素，本人認(rèn)為源頭并非因信息化發(fā)展速度太快，而是與泄密企業(yè)對信息安全保密的重視程度有關(guān)，主要表現(xiàn)在以下幾點(diǎn)。一是領(lǐng)導(dǎo)對信息化安全保密工作的重視不夠。企業(yè)主要領(lǐng)導(dǎo)一味提倡信息化提速，卻忽視信息化安全與保密，使信息安全與保密出現(xiàn)漏洞，一旦出現(xiàn)泄密事件才亡羊補(bǔ)牢，修補(bǔ)漏洞，但已經(jīng)造成無法挽回的損失。二是企業(yè)管理人員對信息化安全保密認(rèn)知程度不深。企業(yè)工作人員對信息化安全保密規(guī)定了解不深，對涉密信息的保密觀念淡薄，常常抱著僥幸心理明知故犯，在下班后、出差時(shí)隨意將涉密信息或計(jì)算機(jī)帶出，公共場合談?wù)撋婷苄畔?，殊不知，談?wù)邿o心，聽者有意，造成泄漏企業(yè)機(jī)密。三是信息化建設(shè)與信息化安全保密投資與收益不成正比，導(dǎo)致個(gè)別單位對信息化管理應(yīng)用產(chǎn)生負(fù)效應(yīng)，致使配備的計(jì)算機(jī)，也是天天打字、填表格，真正利用計(jì)算機(jī)系統(tǒng)進(jìn)行信息化處理和輔助辦公、管理的廣度、深度不夠，對信息化安全保密更加是人為可有可無，嚴(yán)重忽視。四是信息化安全保密應(yīng)用軟件和系統(tǒng)管理接口不合理，配置高性能微機(jī)，軟件仍然停留在先前水平，軟件的更新利用率不高，信息化安全保密工作被盲目認(rèn)為人員管比軟件管更符合企業(yè)需要，不肯就安全保密應(yīng)用軟件多加資金投入。五是信息化安全保密交流與合作不夠，造成各成員單位各自為政，引進(jìn)、開發(fā)自己的信息化安全產(chǎn)品，形成了“信息孤島”現(xiàn)象，難以進(jìn)行信息化安全系統(tǒng)集成。信息不能共享，造成資源浪費(fèi)。由于信息溝通交流不暢，一家企業(yè)出現(xiàn)安全泄密事件，其它單位不能及時(shí)采取措施，修補(bǔ)漏洞，造成二次出現(xiàn)安全泄密事故。六是對信息化安全保密工作缺乏整體統(tǒng)籌規(guī)劃。各單位滿足現(xiàn)狀習(xí)慣于傳統(tǒng)的管理模式，信息資源的戰(zhàn)略性意義還沒有被充分認(rèn)識，對信息化安全保密建設(shè)的內(nèi)容、作用、途徑了解較少，重視不夠，直接導(dǎo)致對信息化安全保密缺乏深度的策劃、建設(shè)、實(shí)施。七是使用盜版軟件嚴(yán)重。企業(yè)信息化安全保密單位寧可免費(fèi)或幾元錢下載使用盜版軟件，也不肯多出不多的資金購買正版軟件，致使部門涉密計(jì)算機(jī)被盜版軟件內(nèi)置的程序掛馬，造成泄密。八是企業(yè)重要涉密計(jì)算機(jī)未能有效按照涉密規(guī)定，將內(nèi)網(wǎng)與外網(wǎng)進(jìn)行物理隔離，或雖經(jīng)隔離，但未啟用防火墻、網(wǎng)絡(luò)隔離卡和打開干擾器，相關(guān)信息安全保密保護(hù)設(shè)備形同虛設(shè)。九是計(jì)算機(jī)維修維護(hù)及報(bào)廢程序混亂，計(jì)算機(jī)隨意外修，硬盤及移動存儲設(shè)備任意攜帶，報(bào)廢微機(jī)及儲存涉密信息設(shè)備未經(jīng)有效消磁、脫密處理便按照廢品私自買賣，交有不具備處理涉密信息資質(zhì)的單位或個(gè)人，造成涉密信息資源存在潛在泄密的危險(xiǎn)。十是對涉密計(jì)算機(jī)信息的監(jiān)管不到位。企業(yè)信息安全保密機(jī)構(gòu)不健全或根本就沒有信息安全保密部門，對涉密信息資源缺乏統(tǒng)一的管理、監(jiān)督和檢查，存在大范圍的涉密信息安全管理盲區(qū)。企業(yè)內(nèi)部普遍存在涉密計(jì)算機(jī)不設(shè)防，磁介質(zhì)不標(biāo)密，管理跟不上，監(jiān)督檢查不落實(shí)的狀況。企業(yè)信息化安全保密工作解決思路：信息化不斷的發(fā)展，使企業(yè)在流程管理和整體效率上得到了全面的提升，并且日益成為影響企業(yè)競爭的關(guān)鍵性因素。同時(shí)，伴隨信息化不斷深入企業(yè)的業(yè)務(wù)流程，大量的企業(yè)核心信息以電子化的形式存在和應(yīng)用。也正是在這種電子化趨勢下，電子信息的易傳輸和易復(fù)制屬性為企業(yè)機(jī)密信息的安全管理帶來了新的挑戰(zhàn)。對于目前企業(yè)信息安全保密工作形勢的嚴(yán)峻性和工作的緊迫性，我們必須要有一個(gè)清醒的認(rèn)識，決不可掉以輕心。企業(yè)領(lǐng)導(dǎo)、保密部門要充分認(rèn)識涉密工作的嚴(yán)峻性、復(fù)雜性和長期性，進(jìn)一步增強(qiáng)涉密人員的信息安全保密意識、政治意識、大局意識、責(zé)任意識，切實(shí)采取有效措施，加強(qiáng)保密工作，確保企業(yè)及國家秘密絕對安全。針對企業(yè)信息化安全保密工作中發(fā)現(xiàn)的、不容忽視的、容易出現(xiàn)的泄密源頭，要在學(xué)、查、堵、防上抓落實(shí)下功夫，扎實(shí)做好網(wǎng)絡(luò)信息安全保密工作，嚴(yán)密防范網(wǎng)絡(luò)泄密。（一）加強(qiáng)基礎(chǔ)設(shè)施建設(shè)在新形勢下，信息安全保密工作任務(wù)越來越艱巨。企業(yè)的信息化建設(shè)首先要進(jìn)一步增強(qiáng)做好安全保密工作的新本領(lǐng)，努力探索信息安全保密工作的新路子，創(chuàng)新保密工作方法，應(yīng)對不斷升級的高科技竊密手段。進(jìn)一步完善管理制度，使信息化安全保密工作始終貫穿于機(jī)關(guān)各項(xiàng)工作之中，使全體干部職工更好地履行保密工作職責(zé)，推動企業(yè)信息安全保密工作健康發(fā)展。建立完善信息化安全保密制度一是首先應(yīng)該從加強(qiáng)信息安全制度建設(shè)入手，制訂《企業(yè)信息化建設(shè)管理辦法》，將信息化安全保密作為重中之重進(jìn)行規(guī)范，用制度管人。其次建立企業(yè)信息化安全保密聯(lián)絡(luò)員隊(duì)伍，重點(diǎn)負(fù)責(zé)企業(yè)的網(wǎng)絡(luò)信息安全管理及保密工作協(xié)調(diào)、網(wǎng)絡(luò)安全防范。再次，組織企業(yè)員工集中學(xué)習(xí)《保密法》及有關(guān)制度，根據(jù)《保密法》、《計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》和《計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》，制定企業(yè)自己的信息安全保密制度或涉密標(biāo)準(zhǔn)，并就企業(yè)保密工作的現(xiàn)狀及問題進(jìn)行研討，探索行之有效的保密工作方法和措施，使大家進(jìn)一步明確當(dāng)前信息安全保密工作的重點(diǎn)、難點(diǎn)和工作要求，進(jìn)一步增強(qiáng)企業(yè)員工信息安全保密工作意識，提高對保密工作的警覺性。二是加大信息安全的管理力度。積極采取宏觀管理與重點(diǎn)監(jiān)控相結(jié)合的方式來保證信息化項(xiàng)目的安全性，要系統(tǒng)調(diào)查全面掌握企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)、涉密計(jì)算機(jī)管理情況、辦公系統(tǒng)和業(yè)務(wù)系統(tǒng)安全性的基本情況，不定期對信息安全工作進(jìn)行檢查，發(fā)現(xiàn)問題及時(shí)解決。有條件的企業(yè)可以與重要部門簽訂網(wǎng)絡(luò)信息安全保密責(zé)任書，規(guī)范員工行為，維護(hù)企業(yè)合法權(quán)益。三是加強(qiáng)信息安全保密知識的宣傳工作，提高企業(yè)的信息化知識水平和安全保密防范意識。在信息化建設(shè)中安全保密技術(shù)的推廣與機(jī)關(guān)工作人員的保密意識有著很重要的關(guān)系。因此在信息化建設(shè)中，在深入了解及利用信息技術(shù)的同時(shí)，明確宣傳安全保密工作的重要性。定期或不定期開展保密知識答卷、保密知識展板展覽和安全保密座談會。通過多種形式的活動宣傳信息安全保密工作，不斷增強(qiáng)企業(yè)員工的信息化安全保密意識。建立完善計(jì)算機(jī)設(shè)備的管理規(guī)范一是完善計(jì)算機(jī)硬件安全管理策略。對計(jì)算機(jī)的硬件管理從采購、維護(hù)、修理、更新、報(bào)廢等環(huán)節(jié)上設(shè)立安全管理規(guī)范，采購時(shí)要有信息化安全保密部門、企業(yè)紀(jì)委、保密委員會等應(yīng)派員參與；維護(hù)、修理時(shí)計(jì)算機(jī)使用部門、信息化管理部門應(yīng)遵照信息安全保密規(guī)定轉(zhuǎn)移涉密信息，并現(xiàn)場參與修理，不得將含涉密信息的信息化設(shè)備隨意交由他人帶出管理人員視線；計(jì)算機(jī)更新、報(bào)廢應(yīng)先將涉密信息轉(zhuǎn)移到安全存儲設(shè)備，并對原存儲設(shè)備進(jìn)行消磁處理后，信息安全保密部門統(tǒng)一銷毀處理。二是完善計(jì)算機(jī)安全使用管理策略。首先是企業(yè)信息安全管理部門應(yīng)制定自己的信息安全保密范圍，保密范圍傳達(dá)各級管理人員，做到人人皆知，戶戶皆曉。堅(jiān)持“誰上網(wǎng)誰負(fù)責(zé)”的原則，定期對涉密信息進(jìn)行檢測，及時(shí)發(fā)現(xiàn)隱患，堵塞漏洞。其次是嚴(yán)格涉密計(jì)算機(jī)使用管理，未經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn)，禁止無關(guān)人員擅自使用涉密計(jì)算機(jī)，禁止私自下載涉密信息，使用、下載涉密信息應(yīng)有嚴(yán)格規(guī)定和紀(jì)律。對涉密信息的使用應(yīng)做必要的技術(shù)加密處理。配置安全可靠的網(wǎng)絡(luò)信息化設(shè)備一是要購置安全可靠的信息化硬件設(shè)備。信息化設(shè)備包括網(wǎng)絡(luò)設(shè)備、服務(wù)器、硬件防火墻、布線、機(jī)房設(shè)備等，在購置時(shí)要重點(diǎn)考慮使用國產(chǎn)大企業(yè)名牌產(chǎn)品，要保證信息化網(wǎng)絡(luò)的高可用性，在設(shè)備選擇上必須堅(jiān)持高性能和高可靠性，在系統(tǒng)設(shè)計(jì)上也要充分考慮網(wǎng)絡(luò)和設(shè)備的冗余備份，盡量避免網(wǎng)絡(luò)單點(diǎn)故障。服務(wù)器等關(guān)鍵設(shè)備的可靠性也要給予充分的重視。二是建設(shè)安全高效網(wǎng)絡(luò)。建設(shè)高可用性網(wǎng)絡(luò)就是要建設(shè)具有高性能和高可靠性的信息化基礎(chǔ)網(wǎng)絡(luò)設(shè)施，實(shí)現(xiàn)信息化物理安全和網(wǎng)絡(luò)安全。建設(shè)可用性網(wǎng)絡(luò)的主要措施要涵蓋信息化硬件和軟件以及需要重點(diǎn)考慮系統(tǒng)和數(shù)據(jù)庫的保護(hù)。三是完善災(zāi)難恢復(fù)體系。災(zāi)難恢復(fù)是指當(dāng)信息設(shè)備發(fā)生災(zāi)難時(shí)對數(shù)據(jù)和服務(wù)的恢復(fù)，完整的災(zāi)難恢復(fù)策略應(yīng)包括備份硬件、備份軟件、備份制度和災(zāi)難恢復(fù)計(jì)劃等。對企業(yè)而言，最珍貴的不是信息化設(shè)備或系統(tǒng)，而是存儲的各種文檔和數(shù)據(jù)庫信息，隨著信息化進(jìn)程的深入，企業(yè)對計(jì)算機(jī)設(shè)備的依賴也越來越多。所以災(zāi)難恢復(fù)是信息化安全中很重要的一個(gè)組成部分，必須想法保證數(shù)據(jù)存儲的可靠性，保證網(wǎng)絡(luò)服務(wù)和應(yīng)用在故障時(shí)能盡快恢復(fù)。由于2008年汶川特大地震造成某些企業(yè)信息資源遭到嚴(yán)重滅失無法恢復(fù)的教訓(xùn)，建議有條件的企業(yè)實(shí)施異地備份策略。培養(yǎng)合格的信息化安全保密人才一切先進(jìn)技術(shù)，要發(fā)揮作用，最終都要取決于人。企業(yè)信息安全保密應(yīng)規(guī)定由各單位、各部門選出1-2名懂計(jì)算機(jī)專業(yè)知識的工作人員，負(fù)責(zé)本單位或本部門的信息安全保密工作，會同專管領(lǐng)導(dǎo)對涉密信息資源進(jìn)行甄別確認(rèn)，確保信息安全保密有針對性，對挑選出來的管理人員要開展多種形式的培訓(xùn)工作，經(jīng)培訓(xùn)合格后方可成為部門信息安全保密管理員。信息安全保密管理員要能夠獨(dú)立地負(fù)責(zé)本單位、本部門的個(gè)人證書發(fā)配、登記和使用管理，IP地址的配置等工作。對信息化安全管理員工的培訓(xùn)內(nèi)容突出實(shí)用性，涉及網(wǎng)絡(luò)資源開發(fā)、安全管理和信息維護(hù)等多個(gè)方面，鼓勵軍工企業(yè)或涉密企業(yè)參加信息化保密認(rèn)證，員工可以參加信息化安全資格認(rèn)證，取得證書單位給予適當(dāng)獎勵。一是抓好重點(diǎn)涉密人員的管理。建立涉密人員管理制度，對新上崗涉密人員進(jìn)行嚴(yán)格的資格審查，根據(jù)涉密程度的不同，對涉密人員離崗設(shè)定不同的脫密期。二是抓好涉密崗位的保密工作。在工作中，要始終堅(jiān)持貫徹落實(shí)中央、省、市有關(guān)保密規(guī)定，嚴(yán)格遵守保密制度，突出抓好人事、檔案、財(cái)務(wù)、經(jīng)營、信訪接待等崗位的涉密事項(xiàng)的保密管理，配置必要的保密防范設(shè)施，落實(shí)專項(xiàng)保密措施，確保信息安全保密萬無一失。三是加強(qiáng)涉密載體的保密管理。按照“控制源頭、加強(qiáng)檢查，明確責(zé)任、落實(shí)制度”的要求，切實(shí)抓好涉密計(jì)算機(jī)及網(wǎng)絡(luò)的保密管理，做到“涉密信息不上網(wǎng)、上網(wǎng)信息不涉密”；對涉密文件實(shí)行全過程監(jiān)管，確保從起草、制作、分發(fā)、傳遞到使用、管理、復(fù)制、保存直到銷毀的每一環(huán)節(jié)都合乎規(guī)范，不出差距，防止涉密文件隨身攜帶、隨意存放、隨便復(fù)印等現(xiàn)象的發(fā)生。同時(shí)，加強(qiáng)對各種軟盤、U盤和光盤等涉密磁介質(zhì)的保密管理，防止存儲的秘密信息泄密。建立和完善信息化的等級保護(hù)制度，重點(diǎn)保護(hù)企業(yè)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系到國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定的重要信息系統(tǒng)。我國政府高度重視信息安全保密工作，《信息安全等級保護(hù)管理辦法》就是政府帶頭促進(jìn)信息化安全應(yīng)用的重要舉措之一。等級保護(hù)是以制度方式來確保保護(hù)對象的重要程度和要求的，等級管理的思想和方法具有科學(xué)、合理、規(guī)范、便于理解、掌握和運(yùn)用等優(yōu)點(diǎn)，因此，對計(jì)算機(jī)信息安全保密系統(tǒng)實(shí)行安全等級保護(hù)制度，是我國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作的重要發(fā)展思路，對于正在發(fā)展中的信息系統(tǒng)安全保護(hù)工作更有著十分重要的意義。它與風(fēng)險(xiǎn)評估、應(yīng)急處理、災(zāi)難恢復(fù)等前后銜接融為一體，確保信息安全體系正確、安全的運(yùn)行。所以我們要重視信息化安全的等級保護(hù)制度，要求企業(yè)一手抓信息化，一手抓網(wǎng)絡(luò)信息安全，兩手都要硬。要在安全中發(fā)展，要在發(fā)展中確保安全。強(qiáng)化技術(shù)創(chuàng)新管理信息化安全保密是一個(gè)很廣泛的概念，許多安全問題如設(shè)備損壞、木馬病毒危害、惡意攻擊和網(wǎng)絡(luò)入侵等都屬于信息化安全范疇，特別是隨著廣域網(wǎng)和互聯(lián)網(wǎng)應(yīng)用的發(fā)展，安全保密問題變得更加突出。概括地講，信息化安全保密問題主要重點(diǎn)在硬件管理和軟件管理。1.硬件管理涉密企業(yè)應(yīng)制定計(jì)算機(jī)硬件日常維護(hù)管理規(guī)程，使計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)使用、管理、信息安全、資源共享有所遵循，規(guī)范公司上網(wǎng)操作流程，提高網(wǎng)絡(luò)系統(tǒng)安全性，提高辦公效率。一是對加強(qiáng)計(jì)算機(jī)周邊或外圍設(shè)備的管理，泛指計(jì)算機(jī)及其網(wǎng)絡(luò)基本配置外附屬設(shè)備如光驅(qū)、軟驅(qū)、打印機(jī)、條碼打印機(jī)、掃描儀、掃描器、MODEM、UPS電源等；向外發(fā)送的數(shù)據(jù)：包括對外刻錄的光盤，因工作需要向外發(fā)送的電子文件及通過其它途徑傳遞的資料。新時(shí)期的竊密技術(shù)只要信息化設(shè)備通電開機(jī)，不法人員就有可能運(yùn)用各種技術(shù)手段竊取企業(yè)秘密，所以，涉密企業(yè)信息安全管理人員要時(shí)刻保持警惕性，涉密信息設(shè)備不使用時(shí)，應(yīng)關(guān)掉外部設(shè)備的電源。禁止長期打開不使用的外部設(shè)備電源及信息化設(shè)備，計(jì)算機(jī)要求做到人走機(jī)關(guān)，下班時(shí)關(guān)機(jī)。在打雷閃電時(shí)應(yīng)暫時(shí)關(guān)閉信息化安全保密系統(tǒng)及周邊設(shè)備，防止出現(xiàn)雷擊現(xiàn)象，造成涉密資料丟失。二是嚴(yán)格服務(wù)器控制機(jī)房內(nèi)的溫度,做好消防工作，布線要規(guī)范、硬件設(shè)施擺放整齊，防止線路交叉短路等接觸不良情況發(fā)生而引起涉密信息的滅失。三是嚴(yán)禁利用涉密信息安全設(shè)備攻擊數(shù)據(jù)庫服務(wù)器或其它服務(wù)器，禁止利用黑客軟件在涉密計(jì)算機(jī)上對其它電腦進(jìn)行攻擊。未經(jīng)允許嚴(yán)禁使用磁盤、光盤和移動磁盤等傳輸介質(zhì)復(fù)制拷貝涉密信息。四是涉密對信息設(shè)備應(yīng)架設(shè)防火墻、隔離卡、干擾器等必要的保密設(shè)施，防火墻目前最重要的信息安全產(chǎn)品，它可以提供實(shí)質(zhì)上的網(wǎng)絡(luò)安全，它對外承擔(dān)著防御來自互聯(lián)網(wǎng)的各種攻擊，對內(nèi)輔助企業(yè)安全策略的實(shí)施重任，是企業(yè)保護(hù)信息安全的第一道屏障，在信息化安全中應(yīng)給予高度重視。硬件防火墻基于專門設(shè)計(jì)的硬件和系統(tǒng)，自身安全有保證、效率高、穩(wěn)定性好，可以增強(qiáng)涉密信息資源的安全可靠性。2.軟件管理一是應(yīng)盡量選用性能好安全性高的正版操作系統(tǒng)，在信息化網(wǎng)絡(luò)中，操作系統(tǒng)的安全使用是保證信息安全的重要環(huán)節(jié)，操作系統(tǒng)安全使用主要包括以下幾方面內(nèi)容：用戶密碼管理、系統(tǒng)漏洞檢測、信息加密等。用戶密碼管理無論是對個(gè)人還是企業(yè)都是很重要的。用戶密碼管理有許多的原則要遵守，最重要的就是不要使用空密碼，如當(dāng)你使用WindowsNT/2000時(shí)，如果不幸你使用空密碼，局域網(wǎng)中的任何人都可以隨意訪問你的計(jì)算機(jī)資源。系統(tǒng)管理員應(yīng)制定嚴(yán)謹(jǐn)?shù)挠脩裘艽a策略。漏洞檢測對關(guān)鍵服務(wù)器的操作系統(tǒng)是極為重要的，任何操作系統(tǒng)都不可避免地存在安全漏洞，操作系統(tǒng)的漏洞總是不斷地被發(fā)現(xiàn)并公布在互聯(lián)網(wǎng)上，爭取在黑客沒有攻擊你的主機(jī)之前及時(shí)發(fā)現(xiàn)并修補(bǔ)漏洞是極為關(guān)鍵的。對服務(wù)器而言，還應(yīng)該關(guān)閉不需要的服務(wù)或端口。企業(yè)保密的信息在存儲介質(zhì)上的加密仍然是必要的，因?yàn)槿魏尉W(wǎng)絡(luò)不能保證百分之百的安全。使用WindowsNT/2000等操作系統(tǒng)時(shí)，應(yīng)盡量使用NTFS分區(qū)，對重要信息起用加密保護(hù)功能，這樣就是信息意外泄露，也增加破解了難度。操作系統(tǒng)的易用性和安全總是難以兼得，安裝操作系統(tǒng)時(shí)盡量不要使用默認(rèn)值，應(yīng)關(guān)閉系統(tǒng)自動打開默認(rèn)的非安全性的，一些你并不熟悉且根本無用的服務(wù)程序和應(yīng)用端口。另外還要經(jīng)常使用安全掃描工具。增強(qiáng)內(nèi)部網(wǎng)絡(luò)與系統(tǒng)的安全防護(hù)性能和抗破壞能力，加強(qiáng)網(wǎng)絡(luò)和系統(tǒng)自身的安全性能。二是推廣安全的高性能應(yīng)用軟件，主要使用應(yīng)用軟件主要包括數(shù)據(jù)庫、行業(yè)應(yīng)用程序等。當(dāng)然也應(yīng)該選用有知識產(chǎn)權(quán)的國產(chǎn)正版軟件，應(yīng)首推經(jīng)公安部及國家密碼管理局經(jīng)過認(rèn)證的應(yīng)用軟件，這些軟件的安全性能夠得到足夠的保障，可以保證信息的真實(shí)性、完整性和安全保密性。三是網(wǎng)絡(luò)監(jiān)控系統(tǒng)，主要功能是監(jiān)控操作計(jì)算機(jī)行為，一旦發(fā)現(xiàn)有違反信息安全規(guī)則行為，主動防御或報(bào)警，徹底抵御來自外網(wǎng)和內(nèi)網(wǎng)的DOS攻擊，防止涉密信息被竊取，達(dá)到保護(hù)信息資產(chǎn)安全、預(yù)防機(jī)密信息泄露的目的，建議使用成熟的深信服科技的產(chǎn)品。在使用網(wǎng)絡(luò)監(jiān)控軟件的同時(shí)，還應(yīng)做到如下安全建議：--廢除系統(tǒng)所有默認(rèn)的賬號和密碼。--在用戶合法性得到驗(yàn)證前不要顯示任何有利于黑客攻擊的信息如單位題頭、在線幫助等各類信息。--廢除黑客可以攻擊系統(tǒng)的網(wǎng)絡(luò)服務(wù)。--不要允許用戶以超級用戶身份直接登陸到主機(jī)上。--盡量使用字母、數(shù)字等混合型密碼。--限制用戶嘗試登陸到系統(tǒng)的次數(shù)。--記錄違反安全性情況并對安全記錄進(jìn)行復(fù)查。--對于重要信息，上網(wǎng)傳輸前要先進(jìn)行加密。--限制不需密碼即可訪問的主機(jī)文件。--修改內(nèi)核，以便將來自外部的TCP連接限制到最低限度，不允許諸如登陸或遠(yuǎn)程執(zhí)行之類的協(xié)議存在。--去掉對操作并非至關(guān)重要的程序。--將所有系統(tǒng)目錄變更為攻擊者無法看到它們當(dāng)中有什么東西、而用戶仍可執(zhí)行的模式。--只要可能，就將磁盤安裝為只讀模式。--將系統(tǒng)軟件升級為最新版本。四是即時(shí)備份系統(tǒng)及重要數(shù)據(jù)，對系統(tǒng)要進(jìn)行定期備份。當(dāng)系統(tǒng)數(shù)據(jù)丟失或遭破壞而需要徹底恢復(fù)時(shí)，備份的價(jià)值就體現(xiàn)出來。工作中應(yīng)盡可能做到重要數(shù)據(jù)天天備份，每周做一次增量備份，每月一次全系統(tǒng)備份。確保網(wǎng)絡(luò)信息系統(tǒng)數(shù)據(jù)的安全可恢復(fù)性。3.網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全主要是指網(wǎng)絡(luò)訪問、使用、操作的安全，它是信息化安全中最普遍的內(nèi)容。網(wǎng)絡(luò)安全問題主要包括：病毒危害和訪問安全。一是病毒危害，在開放網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒的危害比以往要大得多，特別是近幾年，通過互聯(lián)網(wǎng)進(jìn)行傳播的病毒數(shù)量急劇增長，危害范圍也不斷擴(kuò)大，由于計(jì)算機(jī)病毒帶來的經(jīng)濟(jì)損失數(shù)量是巨大的。對付計(jì)算機(jī)病毒的最好的方法是安裝防病毒軟件，要能夠?qū)崟r(shí)查殺病毒、智能安裝、快速方便地升級、系統(tǒng)兼容性強(qiáng)、管理方便、系統(tǒng)恢復(fù)容易。二是訪問安全，訪問安全也是最常見的安全問題，它的范圍是極為廣泛的，在企業(yè)中許多敏感的數(shù)據(jù)如