内网涉密信息泄露途径及防范

内网涉密信息泄露途径及防范

李培修 敖勇 贾永强

随着企业信息技术越来越广泛、深入地应用，各种先进的网络及应用技术在给企业带来工作和管理高效率的同时，由于网络和计算机系统固有的特性，一方面大大提高了数据与设备的共享性，另一方面却易造成信息、数据被非法窃取、复制、使用，给涉及国家机密及企业内部敏感数据的安全管理带来了极大的挑战。为防止信息外泄，企业往往不惜花巨资购进防火墙、入侵检测、防病毒、漏洞扫描等网络安全产品及软件，再经过多次的实际攻击考验，系统未被外来者侵入，便以为从此可以高枕无忧。其实这种想法是错误而且是极其危险的，据权威资料记载，大部份的机密、敏感数据，７０％以上都是被内部员工通过合法或非法手段，在企业内部网络系统的桌面终端计算机上通过各种传输、复制途径泄露出去的。因此，如何防止企业内部员工或外来者有意或无意的操作将涉及国家机密及企业内部敏感的数据外泄，已是企业当前急需解决的安全问题。

一、内部数据信息被窃取的主要途径

１、内部网络传输泄密

内网大多是将各员工的计算机物理连接起来组成的一个网络，只要是物理连接，理论上来讲，网络中的任意一台计算机都可以访问其他连在这个网络上正在工作的计算机。现有的安全系统对桌面终端的日常操作及攻击缺乏有效地监控、防护手段，由于网络可以方便地进行资源共享，信息在网络上传输不受监控，对涉密信息没有采取传输范围和传输前密码授权控制，使得一些涉密信息极有可能通过网络从一些开放的终端上方便地传出去而不留痕迹。

２、载体流转过程中泄密

科技高度发展的今天，电子产品日新月异，小巧易带的软盘、光盘、Ｕ盘、移动硬盘、软盘、笔记本电脑甚至ＭＰ３等可移动存储的磁介质越来越小，装载的信息量越来越多。在使用中，为防信息泄露，要求员工用完后，即时将信息或数据删除掉再借出，以为这样他人就无法取得信息，殊不知磁介质有可以被提取还原的特性，他人一样可以取走信息。与上一种情况相比，其泄密量要小得多。但其中装载大量涉密信息的笔记本

电脑的失窃，造成的损失与上面情况一样也是很严重的。

３、涉密信息的出口不受控造成泄密

对涉密信息没有进行加密处理或者保护处理，将涉密信息

通过各种出口，如：ＵＳＢ口、串口等方式拷出去，出口缺乏必

要的监控和审计。对于打印文件的管理，很多企业主要是靠管

理员督促，员工打印时进行登记，但员工若打印了涉密信息不

进行登记，便无从追查，更无法提供违规操作的证据，安全隐

患较大。

４、规章制度不健全或者违反规章制度泄密

如有的企业没有配备专门的计算机维护管理人员，或者机

房管理不严格，无关人员可以随意进出机房。当机器发生故障时，随意叫自己的朋友或者外面的人进入机房维修，或者将发

生故障的计算机送修前既不做消磁处理，又不安排专人监修，

造成涉密数据被窃。

二、构建内控安全系统

针对各种泄密途径，要防止内网涉密信息外泄，应着重从

加强内网安全防范措施，从桌面终端的监控审计入手，封堵信

息外泄途径。

那么，应在内网中构筑一个怎样的内控安全体系或系统呢？金鹰国际集团软件有限公司开发的易视桌面监控审计系统

给我们带来很大的启示，该系统针对与电子文件信息流转相关

的环节，通过建立一系统列的监控规则，对涉密信息进行集中

受控管理，对违规行为实时报警阻断，增强了内网用户之间访

问安全。

一个比较完善的内控安全产品技术手段上应主要具备以下

几大功能：

（１）涉密信息按等级管理并集中受控传输功能

按保密制度的新要求，涉密信息和涉密载体按等级管理，

等级越高，知悉和传输范围应越窄。如果能集中控制涉密信息

流向，泄密的可能性将大大降低。

计算机安全 ２００５?７75

（２）监控记录管理员操作行为功能

安全的系统应有对所有系统管理员人为操作记录操作行为功能，以防系统管理员与终端用户串通作案，造成涉密信息外泄。

（３）终端自身设备封堵及外部设备连接监控阻断功能

在终端自身设备封堵方面，应对终端自身的设备（ＵＳＢ存储设备、软驱、光驱、刻录机）等进行有效的封堵或受控使用。

在外部设备连接监控阻断方面，系统可在Ｗｉｎｄｏｗｓ操作状态下实现对各种方式连接终端自身设备接口进行封堵，以防信息通过这些接口外泄。对ＵＳＢ移动存储设备能进行身份识别并限制在一定范围内使用。对文件的输出或光盘刻录输出也应能阻断或记录打印文件日志。

（４）网络连接监控管理功能

对各终端的拨号、手机上网、无线网卡上网等进行监控报警、阻断，以防员工通过互联网外联泄密。

对各终端共享端口及与工作无关的服务端口进行封堵，防止通过内网对服务器非法访问。

对网内未授权ＦＴＰ、ＴＥＬＮＥＴ、ＩＣＱ、ＱＱ、ＭＳＮ、ＨＴＴＰ、ＳＭＴＰ等通讯方式进行有效的监控和阻断。

对外来终端接入内网进行发现报警、阻断。

（５）离线阻断监控管理功能

离线监控功能使系统在离线状态下仍能发挥作用，特别是对容易造成信息外泄的严重违规行为能及时阻断，确保内网信息不会被非法取走，这一点是相当重要的，也是很有必要的。

（６）应用程序管理功能

对终端允许运行的防病毒软件、个人防火墙等或不允许运行的程序（如游戏、木马程序、口令破解工具等）进行监控和阻断。可以防止终端用户使用攻击软件通过网络对其它终端机器发起攻击。

三、金鹰国际易视桌面监控审计系统

一个完整的内控安全系统应是技术手段和管理制度相结合的体系，所以管理制度是相当必要的，管理制度可以有效地弥补产品无法用技术手段解决的安全漏洞。

如前所述的金鹰国际集团软件有限公司开发的易视桌面监控审计系统目前已称得上是内控安全产品界的佼佼者，但随着科技的发展，新电子产品的推出，产品终究会出现新的漏洞。

综上所述，构建内控安全系统，网络中最薄弱的环节桌面终端的安全防护是重中之重，作为整个体系，需要：（１）桌面监控审计技术与企业原有部署的网络安全技术相结合，形成技术的整体防范能力；

（２）在企业现有的保密制度基础之上，结合监控审计系统，制定相应的管理措施，增强各级人员安全意识，建立健全保密制度；

（３）加强信息安全人员的队伍建设，加强培训，将各项保密工作落到实处，确保各项管理措施得到贯彻执行。通过以上各方面的工作，最终形成“制度保障、组织管理、技术防范”的整体合力，建立内控安全的整体防范体系，从而构建一个安全的可信赖的内部网络工作环境。

估定级。

评估对照表一般可以按照“从高”原则（即参考要素的安全级别为相关基本要素中的最高安全级别）来编制。在该原则不适用或不适合本部门特殊情况时，评估对照表需要安全管理人员结合本部门的实际情况来进行编制。

三、应注意问题

通过以上描述可知，要素分析法可以很好地解决信息安全时间定级问题。通过预先制定好安全事件分级标准、基本要素分级标准、参考要素分级标准及相关的评估对照表，信息安全管理人员在遇到具体的信息安全事件时，通过现场分析得到基本要素的安全级别后，就可以通过查表的方式很快得到该安全事件的安全级别，从而可以为后续的处理节约宝贵的时间。在条件允许的情况下，还可以将相关的查表过程用计算机来处理，可以获得更好的效果。

在实际采用要素分析法进行安全定级时还应注意以下几点。

（１）　由于信息安全事件本身是在不断发展变化的、评估信息安全事件的人员的认知水平的差异性、局限性以及事件本身的复杂性造成了对信息安全事件定级具有动态性和主观性的特点。在出现信息安全事件时，相关单位的相关人员在运用要素分析法时，可根据当时所掌握的信息对该事件的定级给出阶段性评定结果。当由于事件升级或对事件认识程度提高而引起对同一事件的定级结果发生变化时，应及时更新定级结果。

（２）　要素分析法适合针对一个部门的信息安全事件进行定级，当该部门的信息安全事件上报给上级部门时，上级部门应根据自身的情况对该安全事件进行重新评定，以确定该信息安全事件在本部门的安全级别。

（３）　由于各单位具体情况的不一致，在具体采用要素分析法时应根据本单位的实际情况对相关的要素分级标准定义及相关评估对照表进行调整，才能更加准确合理地进行信息安全事件定级。

（上接７４页）

计算机安全 ２００５?７76

最新整理浅论现代网络信息安全当前泄密的主要途径.docx

最新整理浅论现代网络信息安全当前泄密的主要途径浅论现代网络信息安全当前泄密的主要途径 (―)电磁辖射泄密 几乎所有的电子设备，例如电脑主机及其显示器、投影仪、扫描仪、xxx机等，只要在运行工作状态都会产生电磁辖射，这些电磁辐射就携带着电子设备自身正在处理的信息，这些信息可能是涉密信息。计算机福射主要有四个方面的脆弱性，g卩：处理器的辖射；通线路的辖射；转换设备的辖射；输出设备的辐射。其中辐射最危险的是计算机显示器，它不仅福射强度大，而且容易还原。经专用接收设备接收和处理后，可以恢复还原出原信息内容。 对于电子设备福射问题的研究，美国科学家韦尔博士得出了四种方式：处理器的辖射；通信线路的辐射；转换设备的福射；输出设备的福射。根据新闻媒体报道，西方国家已成功研制出了能将一公里外的计算机电磁福射信息接受并复原的设备，这种通过电磁辖射还原的途径将使敌对分子、恐怖势力能及时、准确、广泛、连续而且隐蔽地获取他们想要的情报信息。 此外，涉密计算机网络如采用非屏蔽双绞线（非屏蔽网线）传输信息，非屏蔽网线在传输信息的同时会造成大量的电磁泄漏，非屏蔽网线如同发射天线，将传输的涉密信息发向空中并向远方传播，如不加任何防护，采用相应的接收设备，既可接收还原出正在传输的涉密信息，从而造成秘密信息的泄露。 (二）网络安全漏洞泄密 电子信息系统尤其是计算机信息系统，通过通信网络进行互联互通，各系统之间在远程xxx、远程传输、信息资源共享的同时也为敌对势力、恐怖分子提供了网络渗透攻击的有利途径。由于计算机信息系统运行程序多，同步使用通信协议复杂，导致计算机在工作时存在着多种漏洞（配置、系统、协议)、后门和隐通道

信息安全岗位设置管理办法

信息安全岗位设置管理办法 健全的岗位设置、职责分配及技能要求等是安全组织建设的重点内容，对于以后安全管理工作的顺利开展具有巨大的意义。 缺乏健全的岗位设置、职责分配及技能要求将导致无人负责、难以落实责权利，难以胜任安全管理工作等严重问题。 1.组织机构 1)XXXXXXXXXX成立信息安全领导小组，是信息安全的最 高决策机构，下设办公室，负责信息安全领导小组的日常事务。 2)信息安全工作领导小组，其最高领导由单位主管领导委任 或授权。 3)信息安全领导小组负责研究重大事件，落实方针政策和制 定总体策略等。职责主要包括： a)根据国家和行业有关信息安全的政策、法律和法规， 批准公司信息安全总体策略规划、管理规范和技术标 准； b)确定公司信息安全各有关部门工作职责，指导、监督 信息安全工作。 c)信息安全领导小组下设两个工作组：信息安全工作组、

应急处理工作组。组长均由公司负责人担任。 4)信息安全工作组的主要职责包括： a)贯彻执行公司信息安全领导小组的决议，协调和规范 公司信息安全工作； b)根据信息安全领导小组的工作部署，对信息安全工作 进行具体安排、落实； c)组织对重大的信息安全工作制度和技术操作策略进行 审查，拟订信息安全总体策略规划，并监督执行； d)负责协调、督促各职能部门和有关单位的信息安全工 作，参与信息系统工程建设中的安全规划，监督安全措施的执行； e)组织信息安全工作检查，分析信息安全总体状况，提 出分析报告和安全风险的防范对策； f)负责接受各单位的紧急信息安全事件报告，组织进行 事件调查，分析原因、涉及范围，并评估安全事件的严重程度，提出信息安全事件防范措施； g)及时向信息安全工作领导小组和上级有关部门、单位 报告信息安全事件。 h)跟踪先进的信息安全技术，组织信息安全知识的培训 和宣传工作。 5)应急处理工作组的主要职责包括： a)审定公司网络与信息系统的安全应急策略及应急预

信息人员安全管理制度(1)

xxxx 信息化人员安全管理制度

第一章总则 第一条为规范xxxx的人员信息安全管理，提高人员信息安全意识，承担并切实履行各岗位相应的信息安全职责，特制定本规定。 第二条本制度适用于xxxx人员信息安全管理的相关活动。 第三条本制度中所指“内部人员”包括编制内的正式人员，借调、轮岗、派遣的内部人员，以及从事常设岗位的非编制人员。“外部人员”是为指xxxx提供服务的供应商或合作方的临时人员，以及其他临时使用的非编制人员。 第二章职责与权限 第四条 xxxx信息科为信息化人员安全管理主管部门，xxxx信息科为本单位信息化人员安全管理主管部门。并应负责以下工作： （一）负责本规定的制订和修订更新。 （二）负责组织开展本单位的人员信息安全培训。 （三）在日常工作中对各部门人员信息安全管理要求的执行情况进行监督检查。 （四）负责所有人员信息系统的准入离岗审批管理。 第五条 xxxx为xxxx人员主管部门，xxxx人事科为本单位人员管理部门。 （一）负责参与本规定的制定和更新，并协助信息科做好

信息系统人员安全管理。 （二）协助信息科在人员管理的全过程中应落实对信息安全管理的各项要求，包括对人员的背景调查、签订保密协议、技术考核、离职审核、年度考核等。 第六条各部门负责人为本部门人员信息安全管理的责任人。 （一）落实人员信息安全管理制度的各项要求。 （二）确保本部门人员参加各项信息安全培训。 （三）负责本部门人员信息系统准入和离岗的审核。 第三章人员准入 第七条人员上岗前，信息科应会同人事部门根据信息安全的要求负责对其人员身份、背景和专业资格等进行审查，签订保密协议。对于重要关键岗位信息科应对其所具有的技术能力进行考核。 第八条上岗人员明确其承担信息安全责任。内部人员上岗前应安排参加信息安全培训，包括信息安全制度的学习、信息安全意识教育等相关内容。外部人员上岗前可根据工作需要，接受信息安全教育或培训。 第九条人员上岗前应填写《xxxx信息系统人员调整申请表》，外部人员由其所在的部门责任人填写，填写包括工作内容、岗位、权限等内容。信息科审核通过后发放信息化设备，开通网络、账号、权限、邮箱等。

净网2021几种个人信息泄露途径

净网2021几种个人信息泄露途径当我们在网上留下痕迹时，个人信息也许正面临着被窃取甚至被利用的风险。提升个人信息安全意识，养成良好操作习惯，是降低风险隐患的重要手段。不要小看这些个人信息的泄露问题，可能会导致除了垃圾短信、骚扰电话的烦恼，还有个人身份被冒用这类较为严重的问题。同时，个人信息泄露是诈骗成功实施的关键因素，不法分子在精准掌握用户个人信息的前提下，能编造出迷惑性更高的诈骗场景，继而对公众实施欺诈。 个人信息有以下几种泄露途径 一、快递包装 各类单据泄露个人信息快递包装上的物流单含有网购者的姓名、电话、住址等信息，网友收到货物后不经意把快递单扔掉导致信息泄露；火车票实行实名制后，车票上印有购票者的姓名、身份证等信息，很多人在乘坐完火车后，会顺手丢弃火车票，不法分子一旦捡到，就可以通过读票仪器窃取车票中的个人信息；在刷卡购物的纸质对账单上，记录了持卡人的姓名、银行卡号、消费记录等信息，随意丢弃同样会造成个人信息泄露。 二、社交媒体

社交小细节泄露信息使用微博、微信等社交工具与人进行线上互动时，不自觉透露姓名、职务、单位等信息；家长在朋友圈晒娃的同时，无意中透露了孩子的姓名、就读学校、所住小区；部分网友旅行发朋友圈打卡、晒火车票、登机牌时，忘了将身份证号码、二维码等敏感信息进行模糊处理……这些网上社交的小细节，都有可能出卖你的个人信息。 三、购物平台 网购平台泄露信息网上购物平台需要注册信息，如手机号，QQ号码等。通过这些，不法分子可以从QQ资料、空间等渠道获得更多个人信息。 四、抽奖活动 有奖活动泄露信息在街上，人们有时候会碰到商家邀请参加“调查问卷表”、购物抽奖活动或者申请免费邮寄会员卡等活动，他们一般会要求路人填写详细联系方式和家庭住址等，这相当于把自己的信息送上门！ 五、求职网站 海投简历泄露信息大部分人找工作都是通过网上投简历的方式进行，而简历中的个人信息一应俱全，这些内容可能会被不法分子利用，以极低价格转手。不法分子可以通过这些私人信息赢得你的信任，对你进行诈骗。 六、打印资料

个人信息泄露安全解决办法案例

个人信息泄露安全解决办法案例 个人信息泄露的主要途径就是通过网络，如果是在论坛、Blog以及静态网站发布的文章或者消息中包含个人隐私信息，用户将这些包含个人隐私的页面删除后，从表面上来看，似乎解决了个人隐私信息泄露问题，但是由于搜索引擎搜索网页过程中会将页面放入缓存，这个缓存也就是通常说的"网页快照"，网页快照就是搜索引擎在收录网页时，都会做一个备份，大多是文本的，保存了这个网页的主要文字内容，这样当这个网页被删除或连接失效时，用户可以使用网页快照来查看这个网页的主要内容，由于这个快照以文本内容为主，所以会加快访问速度。 在个人信息信息泄露中，一个最大的安全隐患就是搜索引擎抓取的网页快照。一般情况下，搜索引擎都不会自动删除网页快照，只要其被搜索引擎收录，其信息就能访问。因此要解决网站信息泄露问题，其中一个关键的问题就是要删除网页快照。本案例就个人隐私信息泄露安全解决办法进行了探讨，下面是具体的解决办法。 删除网页快照，以删除百度搜索引擎为例。删除搜索引擎中的网页快照。有的搜索引擎提供了网页快照删除功能，例如Google，用户需要在网站管理工具中进行注册，然后将一个标识插入到网站首页后，用户就可以管理网页快照。百度没有提供自动删除网页快照功能，只能通过发邮件或者电话联系的方式进行。可以直接给Webmaster@https://www.360docs.net/doc/729502583.html,发求助删除网页快照的邮件。 说明 ① 直接跟百度联系是一种较好的办法，也可以通过百度自己提供的百度对话平台进行沟通，其访问地址为： https://www.360docs.net/doc/729502583.html,/quality/quality_form.php?word=%2E。 ② 删除程序文件或者更改链接。通过研究帮助文件，发现最为快捷和方便的方法是更改网站泄露文件的名称或者直接删除信息泄露文件或者更改链接地址，不过该方法需要一个月左右才会生效。 删除Google搜索引擎中的网页快照。删除Google搜索引擎中的网页快照相对就容易多了，而且在Google的帮助文件中有关于如何删除网页快照的具体方法。具体进入方式为：Google首页->"Google大全"->"搜索帮助"，其中有很多关于删除网页快照的解决方法，详细地址为： https://https://www.360docs.net/doc/729502583.html,/support/bin/answer.py?answer=61808&hl=zh_CN。 说明 ① Google搜索引擎比较严密，它注意很多细节。 ② 使用Google网站管理员工具。Google提供的网站管理员工具使用起来非常方便，不过使用它来管理需要两个前置条件：首先需要拥有Google账号或者

信息安全管理组织机构及岗位职责

一.组织机构 1.公司成立信息安全领导小组，是信息安全的最高决策机构，下设办公室， 负责信息安全领导小组的日常事务。 2.信息安全领导小组负责研究重大事件，落实方针政策和制定总体策略等。 职责主要包括：根据国家和行业有关信息安全的政策、法律和法规，批准公司信息安全总体策略规划、管理规范和技术标准；确定公司信息安全各有关部门工作职责，指导、监督信息安全工作。 3.信息安全领导小组下设两个工作组：信息安全工作组、应急处理工作组。 组长均由公司负责人担任。 4.信息安全工作组的主要职责包括： 1)贯彻执行公司信息安全领导小组的决议，协调和规范公司信息安全工作； 2)根据信息安全领导小组的工作部署，对信息安全工作进行具体安排、落 实； 3)组织对重大的信息安全工作制度和技术操作策略进行审查，拟订信息安 全总体策略规划，并监督执行； 4)负责协调、督促各职能部门和有关单位的信息安全工作，参与信息系统 工程建设中的安全规划，监督安全措施的执行； 5)组织信息安全工作检查，分析信息安全总体状况，提出分析报告和安全 风险的防范对策； 6)负责接受各单位的紧急信息安全事件报告，组织进行事件调查，分析原 因、涉及范围，并评估安全事件的严重程度，提出信息安全事件防范措施； 7)及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。 8)跟踪先进的信息安全技术，组织信息安全知识的培训和宣传工作。 5.应急处理工作组的主要职责包括： 1)审定公司网络与信息系统的安全应急策略及应急预案； 2)决定相应应急预案的启动，负责现场指挥，并组织相关人员排除故障， 恢复系统；

3)每年组织对信息安全应急策略和应急预案进行测试和演练。 6.公司应指定分管信息的领导负责本单位信息安全管理，并配备信息安全 技术人员，有条件的应设置信息安全工作小组或办公室，对公司信息安全领导小组和工作小组负责，落实本单位信息安全工作和应急处理工作。 二.关键岗位 1.设置信息系统的关键岗位并加强管理，配备系统管理员、网络管理员、 应用开发管理员、安全审计员、安全保密管理员，要求五人各自独立。 要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。 2.系统管理员主要职责有： 1)负责系统的运行管理，实施系统安全运行细则； 2)严格用户权限管理，维护系统安全正常运行； 3)认真记录系统安全事项，及时向信息安全人员报告安全事件； 4)对进行系统操作的其他人员予以安全监督。 3.网络管理员主要职责有： 1)负责网络的运行管理，实施网络安全策略和安全运行细则； 2)安全配置网络参数，严格控制网络用户访问权限，维护网络安全正常运 行； 3)监控网络关键设备、网络端口、网络物理线路，防范黑客入侵，及时向 信息安全人员报告安全事件； 4)对操作网络管理功能的其他人员进行安全监督。 4.应用开发管理员主要职责有： 1)负责在系统开发建设中，严格执行系统安全策略，保证系统安全功能的 准确实现； 2)系统投产运行前，完整移交系统相关的安全策略等资料； 3)不得对系统设置“后门”； 4)对系统核心技术保密等。 5.安全审计员负责对涉及系统安全的事件和各类操作人员的行为进行审计 和监督，主要职能包括：

信息安全管理制度

信息安全管理制度 第一条信息安全是指通过各种计算机、网络（内部信息平台）和密码技术，保护信息在传输、交换和存储过程中的机密性、完整性和真实性。具体包括以下几个方面。 1、信息处理和传输系统的安全。系统管理员应对处理信息的系统进行详细的安全检查和定期维护，避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。 2、信息内容的安全。侧重于保护信息的机密性、完整性和真实性。系统管理员应对所负责系统的安全性进行评测，采取技术措施对所发现的漏洞进行补救，防止窃取、冒充信息等。 3、信息传播安全。要加强对信息的审查，防止和控制非法、有害的信息通过本委的信息网络（内部信息平台）系统传播，避免对国家利益、公共利益以及个人利益造成损害。 第二条涉及国家秘密信息的安全工作实行领导负责制。 第三条信息的内部管理 1、各科室（下属单位）在向委网络（内部信息平台）系统提交信息前要作好查毒、杀毒工作，确保信息文件无毒上载； 2、根据情况，采取网络（内部信息平台）病毒监测、查毒、杀毒等技术措施，提高网络（内部信息平台）的整体搞病毒能力；

3、各信息应用科室（单位）对本单位所负责的信息必须作好备份； 4、各科室（单位）应对本部门的信息进行审查，网站各栏目信息的负责科室（单位）必须对发布信息制定审查制度，对信息来源的合法性，发布范围，信息栏目维护的负责人等作出明确的规定。信息发布后还要随时检查信息的完整性、合法性；如发现被删改，应及时向信息安全协调科报告； 5、涉及国家秘密的信息的存储、传输等应指定专人负责，并严格按照国家有关保密的法律、法规执行； 6、涉及国家秘密信息，未经委信息安全分管领导批准不得在网络上发布和明码传输； 7、涉密文件不可放置个人计算机中，非涉密电子邮件的收发也要实行病毒查杀。 第四条信息加密 1、涉及国家秘密的信息，其电子文档资料应当在涉密介质中加密单独存储； 2、涉及国家和部门利益的敏感信息的电子文档资料应当在涉密介质中加密单独存储； 3、涉及社会安定的敏感信息的电子文档资料应当在涉密介质中加密单独存储；； 4、涉及国家秘密、国家与部门利益和社会安定的秘密信

现代网络信息安全当前泄密的主要途径

(―)电磁辖射泄密 几乎所有的电子设备，例如电脑主机及其显示器、投影仪、扫描仪、传真机等，只要在 运行工作状态都会产生电磁辖射，这些电磁辐射就携带着电子设备自身正在处理的信息，这些信息可能是涉密信息。计算机福射主要有四个方面的脆弱性，g卩：处理器的辖射；通线路的辖射；转换设备的辖射；输出设备的辐射。其中辐射最危险的是计算机显示器，它不仅福射强度大，而且容易还原。经专用接收设备接收和处理后，可以恢复还原出原信息内容。对于电子设备福射问题的研究，美国科学家韦尔博士得出了四种方式：处理器的辖射；通信线路的辐射；转换设备的福射；输出设备的福射。根据新闻媒体报道，西方国家已成功研制出了能将一公里外的计算机电磁福射信息接受并复原的设备，这种通过电磁辖射还原的途径将使敌对分子、恐怖势力能及时、准确、广泛、连续而且隐蔽地获取他们想要的情报信息。此外，涉密计算机网络如采用非屏蔽双绞线（非屏蔽网线）传输信息，非屏蔽网线在传输信息的同时会造成大量的电磁泄漏，非屏蔽网线如同发射天线，将传输的涉密信息发向空中并向远方传播，如不加任何防护，采用相应的接收设备，既可接收还原出正在传输的涉密信息，从而造成秘密信息的泄露。 (二）网络安全漏洞泄密 电子信息系统尤其是计算机信息系统，通过通信网络进行互联互通，各系统之间在远程 访问、远程传输、信息资源共享的同时也为敌对势力、恐怖分子提供了网络渗透攻击的有利途径。由于计算机信息系统运行程序多，同步使用通信协议复杂，导致计算机在工作时存在着多种漏洞（配置、系统、协议)、后门和隐通道等，极易被窃密者利用。大型软件每1000-4000 行源程序就可能存在一个漏洞。存储重要数据的信息系统一旦接入网络（互联网、通信专网等）时，就有可能被窃密者利用已经存在的漏洞进行网络扫描、渗透攻击，从而达到远程控制系统主机的目的。我国的计算机技术先天技术不足，如果是窃密者人为的预留后门、通道和漏洞，将对我国的信息安全造成极大的威胁。“黑客”可以利用网络中存在的安全漏洞，轻松进行网络攻击，包括进入联接网络的计算机中进行窃密，或者利用“木马”程序对网络上的计算机进行远程控制；把远程植入木马的计算机作为跳板，蛙跳式攻击和窃取网络内其他计 算机的信息，有的对重点窃密计算机进行长期监控，被监控的计算机一旦幵机，涉密信息就会自动传到境外主机上。近年来，安全漏洞层出不穷。根据国内某权威网站安全测评机构的抽样调查显示，我国大约有75%的网站存在高风险漏洞，全球大约有40%的网站存在大量高风险漏洞。利用黑客技术通过这些漏洞就可以入侵某个网站，取得管理员权限后，即可篡改网页内容或窃取数据库信息。许多漏洞都会造成远程恶意代码的执行，成为黑客远程攻击的重要途径。统计数据表明，因未修补漏洞导致的安全事件占发生安全事件总数的50%。(三）移动存储介质泄密 移动存储介质，包括优盘、移动硬盘、mp3、mp4、数码相机、记忆棒等，具有存储量大、使用方便的特点，目前在涉密单位使用非常普遍，同时也存在着很多安全隐患。信息科技产品日益普及的同时，存储在这些数码科技产品中的涉密信息也日益增多。这些数码存储介质、存储载体如果使用和管理不当就很容易造成信息泄密。当前比较流行的一种恶意程序叫“摆渡木马”，摆渡木马感染的主要对象是优盘，感染了摆渡木马的优盘在互联网计算机和涉密网计算机之间交叉使用时，就会造成涉密信息外泄。摆渡木马的工作原理是，一开始，摆渡木马会以隐藏文件的形式跟随其他正常文件一同复制到优盘内，当用户将该优盘插入涉密计算机上使用，该木马就会在计算机后台悄悄地自动运行，按照事先配置好的木马工作方式，把涉密计算机内的涉密数据打包压缩之后，以隐藏文件的形式拷贝到优盘中，当用户把该优盘插到互联网计算机时，该木马就会自动将存储在优盘内的涉密信息自动发往互联网上的特定主机。移动存储介质的特点是重量轻、占地小、携带方便，可以存储和拷贝数据较大的涉

信息安全管理机构及岗位设置

1 总则 1.1 目的 为加强医院信息安全管理工作，保障网络与信息系统的正常运行，依据有关法律、法规及信息安全标准，特制定本制度。 1.2 适用范围 本制度适用于本院的信息安全组织机构和人员职责管理。 2 信息安全领导小组 2.1 本院成立信息安全领导小组，领导小组组长由分管本院信息工作的院长担任。领导小组是信息安全的最高决策机构。 2.2 信息安全领导小组下设信息安全工作组。 2.3 信息安全领导小组的职责主要包括： 1）根据国家和行业有关信息安全的政策、法律和法规，批准医本院信息安全总体决策规划、管理规范和技术标准； 2）确定本院信息安全各有关部门工作职责，指导、监督信息安全工作； 3）审定本院网络与信息系统的安全应急策略及应急预案； 4）决定相应应急预案的启动，负责现场指挥。 3 信息安全工作组 3.1 信息安全工作组组长由医院信息科负责人担任。 3.2信息安全工作组的主要职责包括： 1）贯彻执行医院信息安全领导小组的决议，协调和规范医院信息安全工作；

2）根据信息安全领导小组的工作部署，对信息安全工作进行具体安排、落实； 3）组织对信息安全工作制度和技术操作策略的制定，拟订信息安全总体规划，制定近期和远期的安全建设工作计划并监督执行； 4）负责协调、督促各职能部门的信息安全工作，参与信息系统工程建设中的安全规划，监督安全措施的执行； 5）组织信息安全工作检查，分析信息安全总体状况，提出分析报告和安全风险的防范对策； 6）采取相应应急措施，组织协调相关人员排除系统故障，恢复系统； 7）负责医院的紧急信息安全事件报告，组织事件调查，分析原因、涉及范围，并评估安全事件的严重程度，提出信息安全事件防范措施； 8）及时向信息安全工作领导小组和上级有关部门报告信息安全事件。 9）组织信息安全知识的培训和宣传工作。 10）每年组织对信息安全应急预案进行测试和演练。 4 信息安全人员基本要求 4.1 信息安全管理人员和专（兼）职信息安全技术人员应当政治可靠、业务素质高、遵纪守法、恪尽职守。 4.2信息安全管理人应有计算机专业工作三年以上经历，具备专科以上学历。 4.3违反国家法律、法规和行业规章受到处罚的人员，不得从事信息安全管理与技术工作。 5 信息安全人员管理 5.1 信息安全人员的配备和变更情况，应向分管院长报告、备案。

信息安全工作人员的岗位职责

信息安全工作人员的岗位职责 一、信息安全员的职责 信息安全员主要负责信息网络系统的信息安全和保密信息的管理。其主要职责是： （1）负责涉密信息网信息安全，监督检查涉密信息的报送、接受和传输的安全性； （2）负责监督检查信息网对外发布的信息，保证符合安全保密规定； （3）负责监督检查各部门的涉密信息安全保密措施，防止泄密事件的发生； （4）负责监督检查信息网对国际互联网上国家禁止的网站的非法访问记有害信息的侵入； （5）负责协助有关部门对网络泄密事件进行调查与技术分析。 二、系统安全员的职责 系统安全员主要负责信息网操作系统及服务器操作系统的安全及管理。其主要职 责是： （1）负责信息网操作系统及服务器操作系统的安装、运行和维护、管理，保障系统的安全稳定地运行。 （2）负责对用户的身份进行验证，防止非法用户进入系统； （3）负责用户的口令管理，建立口令管理规程和检验创建账户机制，避免口令泄露； （4）负责实时监控系统，发现异常现象及时采取措施，恢复系统正常运行状态； （5）负责对系统各种硬软件资源的合理分配和科学使用，避免造成系统资源的浪费。 三、网络安全员的职责 网络安全员主要负责信息网络系统的安全保密工作。其主要职责是： （1）负责信息网络系统及其网络安全保密系统的运行于维护，发现故障及时排除，保障系统安全可靠运行； （2）负责配置和管理访问控制表，根据安全需求为各用户配置相应的访问权限； （3）负责网络审计系统的管理和维护，认真记录、检查和保管审计日志；

（4）负责检查系统的安全漏洞和隐患，发现安全隐患及时进行修复或提出改进意见； （5）负责实时对系统进行非法入侵检测，防止和阻止“黑客”入侵。 四、设备安全员的职责 设备安全员负责对专用计算机安全保密设备（防火墙、加密机、干扰仪等）的管理、使用和维护。其主要职责是： （1）负责设备的领用和保管，做好设备的领用、进出库、报废登记； （2）负责设备的正确使用和安全运行，并建立详细的运行日志； （3）负责设备的清洁和定期的保养维护，并做好维护记录； （4）负责设备的维修，制定设备的维修计划，做好设备维修记录； （5）负责对安全保密设备密钥的管理。 五、数据库安全员的职责 数据库安全员负责数据库管理系统的安全及维护管理工作。其主要管理职责是： （1）负责数据库管理系统的安装、备份与维护，保证系统安全、正常运行； （2）负责定期检查系统运行情况，检测并优化系统性能； （3）负责检查数据库系统的用户权限，防止非法用户的入侵和越权访问； （4）负责定期检查数据库数据的完整性和可用性，发现系统故障及时排除，做好系统恢复。 六、数据安全员的职责 数据安全员负责信息网络中运行数据的安全。其主要职责是： （1）负责信息网络数据的安全，保障信息的保密性、完整性和可用性； （2）负责对信息网络数据备份与灾难恢复系统的维护与管理，实时对重要数据进行安全备份； （3）负责对信息采集、传输及存储的技术手段和工作环境以及介质管理各环节的监督检查，发现问题及漏洞及时解决； （4）负责定期对重要数据存储备份介质的检查，防止数据的丢失或被破坏。

9个易导致企业信息泄露的途径

9个易导致商业机密信息泄露的途径 近年来，随着互联网的飞速发展和企业信息系统的应用，企业信息资产安全日渐成为企业面临的严峻问题。信息安全关乎着企业的发展与声誉，一旦发生信息安全事件，企业所遭受的经济损失及名誉损失是难以预估的，可能一次信息泄露事件就能将一个企业置于“死地”。翼火蛇信息安全专家梳理了9个可能导致信息泄露的途径，希望大家多加防范，注重对企业信息资产的防护。 1、邮件系统、即时通讯软件 在企业工作中，无论对内对外，大家越来越多的依靠邮件进行沟通。虽然它给我们的工作带来了便利，也在一定程度上，加大了企业的信息安全隐患。因为，邮件在传递的过程中需要先经过代理服务器，这一过程使有心人能够趁机截取邮件信息。所以，当你使用邮箱发送文件时，最好先压缩文件并进行加密处理。2、数据库漏洞 黑客在这个时代已经不再是神话，数据库漏洞引起的信息泄密案件众多。Uber、雅虎都曾因数据库漏洞被黑客攻击而遭受用户信息泄露。 3、员工离职 有调查显示，83%的员工在离职时会带走以前企业的关键信息。曾经作为公司一份子的员工提出离职申请时，为了增加在下一个老板面前的分量（职位、待遇），会毫不犹豫地将原企业的秘密拱手转给下一个老板。该途径也是企业泄密最常见最主要的途径！ 4、便签 有些员工习惯将重要的工作安排写在便签上，用以提醒自己。这种行为无异于使公司的重要信息毫无遮掩的暴露在公众视野内。别人可以根据你的便签内容推算出公司当前进行的项目、合作对象、活动规模等等难以估量的信息。因此，为了更好的保护企业隐私，尽量不要在便签上留下核心信息。 5、笔记本 和便签一样，笔记本或许含有更加详细的工作内容、计划、目标等等。如果将笔记本随手放置在桌面等易于窃取的地方，很容易被有心人顺手牵羊，成为他人窃

信息安全管理制度全

信息安全管理制度一、总则 为了进一步加强公司信息安全管理，根据公司的要求和保密规定，结合公司实际情况，特制定本制度。 二、信息管理员职责 1、公司负责信息安全的职能部门为XX。 2、公司设置专人为信息管理员，负责信息系统和网络系统的运行维护管理。 3、负责公司计算机的系统安装、备份、维护。 4、负责督促各部及时对计算机中的数据进行备份。 5、负责计算机病毒入侵防范工作。 6、定期对网络信息系统安全检查。 7、违规对外联网的监控，信息安全的监督。 8、负责组织计算机使用人进行内部网络使用规范的宣传教育和培训工作。 9、负责与上级管理部门联络工作，参加上级组织的各类培训，并及时上报相关报表。． 三、管理制度 （一）密级制度 从保密性角度，公司对于信息分成两大类：公开信息和保密信息。 1、公开信息：公司已对外公开发布的信息，如公司宣传册、

产品或公司介绍视频等。 2、保密信息：公司仅允许在一定范围内发布的信息，一旦 泄露，将可能给公司或相关方造成不良影响。比如公司投资计划等。 3、保密信息密级划分 根据信息价值、影响及发放范围的不同，公司将保密信息划分为绝密、机密、秘密、内部公开四个级别。 绝密信息：关系公司前途和命运的公司最重要、最敏感的信息，对公司根本利益有着决定性影响的保密信息，如：公司订单，研发资料，重大投资决议等。 机密信息：公司重要秘密，一旦泄露将使公司利益受到严重损害的保密信息,如：未发布的任命文件，公司财务分析报告等文件。 秘密信息：公司一般性信息，但一旦泄露会使公司利益受到损害的保密信息，如：人事档案，供应商选择评估标准等 文件。． 内部公开：仅在公司内部公开或仅在公司某一个部门内公开，对外泄露可能会使公司利益造成损害的保密信息的保密信息，如：年度培训计划，员工手册，各种规章制度等。 4、密级标识 创建文档时，需要根据内容在页眉处添加正确的密级，页脚处注明“XX机密，未经许可不得扩散”或类似字样。电子

供应链信息泄露途径及其防范措施【分享】

供应链信息泄露途径及其防范措施 摘要:供应链信息共享过程中共享的信息被有意或者无意的泄露给没有参与共享的其他企业给供应链造成的不良影响，甚至会导致供应链合作关系的破裂。如何有效地防范信息共享过程中的信息泄露对于供应链信息共享和供应链合作有着十分重耍的意义。 关键词:供应链;信息共享;信息泄露 实施信息共享是实现供应链体系高效、协调运转的关键所在。然而，在供应链实际运作过程中，看似有百利而无一害的信息共享实施起来却并不顺利，企业担心信息共享过程中共享的信息会被泄露给竞争对手，从而导致企业丧失竞争优势。因此，使得很多企业不愿意参与信息共享。随着共享信息被频繁泄露及其对供应链的运作产生的不良后果，供应链信息共享过程中的信息泄露问题越来越引起学术界和企业界的关注。 一、供应链信息泄露的概念 信息泄露最早见诸r经济学文献，Grossman和Stiglitz认为在市场中价格有信息收集者的功能，因此，可以将信息从拥有信息的企业传递给没有信息的企业[1],这个传递过程就是信息泄露的过程。在R&D的研究中，为了强调技术创新的私有性,学者们也引入了信息泄露的概念，它专指在R&D过程中研发信息的无意传播，因为从R&D中获利的可能性会让一些搭便车者从其对本身价格的影响推断出信息的内容。Baccara认为信息泄露是指在企业委托承包商(contractor) 生产产品时,承包商将产品技术泄露给企业的竞争者的过程[2]。因为，若要委托承包商生产产品,则必须令其了解产品的生产技术,因此，承包商就有了将委托企业的技术泄露给其竞争者的机会。一般来说,承包商会通过以下两种途径把委托企业的信息泄露给其他的企业:一是由于承包商没有很好的控制所掌握的信息而通过溢出效应(spillover)泄露给其他的企业;二是承包商将自己掌握的信息标价出售给其他的企业。 在供应链中，信息共享不仅对于参与共享的零售商有“直接效应”（direct effect),而且由于制造商制定的批发价格是共享的需求信息的函数，没有参与共享的零售商可以通过它推断出共享信息的内容，从而信息共享对于没有参与其中的零售商也会产生“间接效应”（indirect effect)，也被称为“泄露效应”（leakage effect)，即由于信息泄露对于没有参与信息共享的零售商的决策产生的影响[3]。 综合上述关于信息泄露的描述，所谓供应链信息泄露是指在供应链信息共享过程中，共享的信息被有意或者无意的泄露给没有参与信息共享的其他企业的过程。这里所说的没有参与共享的其他企业既包括供应链上没有参与信息共享的成员企业，也包括供应链之外的企业。 从定义可以看出，供应链信息泄露可以分为无意的信息泄露和有意的信息泄露两种类型。不难发现文献[3]描述的泄露效应，只是片面的强调了没有参与信息共享的企业通过批发价格获得共享信息，即无意的信息泄露的过程，而忽略了

网络与信息安全工作管理办法

- 网络与信息安全工作管理办法 世茂房地产控股有限公司 资讯科技部 内部资料，未经同意，请勿翻印 版本修订日期修订人审核人

目录 第一节安全组织原则 (3) 第二节安全组织结构 (3) 第一节概述 (4) 第二节安全规划与建设 (4) 第三节物理安全管理 (5) 第四节人员安全管理 (6) 第五节安全培训 (7) 第六节信息资产安全管理 (8) 第七节安全运维管理 (10) 第八节安全事件处理 (10) 第九节应急计划 (11) 第十节系统开发与维护 (11) 第十一节符合性 (14) 第十二节管理审计与评估 (14) 第十三节奖惩 (15) 第一节概述 (15) 第二节访问控制 (16) 第三节身份认证 (16) 第四节冗余恢复 (17) 第五节日志审计与响应 (17) 第六节内容安全 (18)

第一章总则 第一条随着上海世茂投资管理有限公司（以下简称：上海世茂）信息系统规模越来越大，随之带来的安全问题也不断增多，为及时快速处理各种故障和安全事件，防范与化解安全风险，保障网络连续性以及高质量的服务水平，特制定《上海世茂网络与信息安全工作管理办法》，以下简称“本办法”。 第二条本办法依据《中华人民共和国计算机信息系统安全保护条例》，参考《ISO27001信息安全管理体系规范》而制定。 第三条本办法的适用范围包括上海世茂信息系统在规划、设计、开发、建设和运行维护过程中所涉及到的各种安全问题，包括组织管理、物理安全、操作系统安全、应用安全、数据安全、网络架构安全、安全事件处理。 第四条上海世茂网络与信息安全工作的管理原则 1.整体规划，分步实施：需要对网络与信息安全工作进行整体规划，分步实施，逐渐建立完善的网络与信息安全体系。 2.三同步原则：安全系统应与业务系统及网络同步规划、同步建设、同步运行。 3.适度安全：安全具有相对性和动态性的特点，必须做好安全建设的成本效益分析，在安全性和投入成本之间、安全性和易用性

关于信息泄露及其安全的分析

关于信息泄露及其安全的分析 在二十一世纪这个崭新的时代里，随着社会的不断发展，科技的不断进步，极大的满足了人们的各种需求。特别市互联网的广泛普及，不仅方便信息的交流，而且还可以通过其满足物质需求。但与此同时，也会产生许多问题，信息泄露就是一个亟待解决的问题。其中包括个人信息、政府信息和企业信息，甚至国家信息，都可能成为被泄露的对象。 近年来，国家加大力度打击非法买卖公民个人信息的行为。面对互联网的普及给公民个人信息安全的保护带来新的挑战，不久前在公安部统一部署指挥下，我国首次大规模集中打击侵害公民个人信息犯罪的专项行动取得显著成果，共抓获犯罪嫌疑人1700余名。但是，由于侵害公民个人信息的手段、方式不断翻新，公民信息安全保障的形式依然严峻。 对于个人信息泄露的途径，调查发现，银行、保险公司、商场等商业单位是民众认为最有可能泄露个人信息的机构，有1530名受访者对此表达了担心，占参与调查总人数的51％。此外，当前不少网站在用户注册、参与线下活动时要求用户提供个人信息，也被34％的受访者认为是可能造成个人信息泄露的重要途径。 调查显示，公众对个人信息安全的认知和重视程度还有待加强，38％的受访者日常并不注意保护个人信息，在网站需要提供个人信息时不清楚信息收集的目的。

长期关注网络社会问题的中国传媒大学詹骞老师认为，网上个人信息频频被泄露的根源，一方面是由于公民个人的信息保护意识和能力还不够强，另一方面在于技术和商业利益裹挟在一起，不法分子通过各种技术手段盗取用户的个人信息，背后是商业利益的驱使。另外，人们在享受互联网便捷性的过程中，也不知不觉地将个人信息和隐私交换出去，如通过微博和交际网站晒个人的生活细节等，都存在信息泄露的隐患。 面对个人信息泄露可能给公民人身和财产安全造成的威胁，民众普遍呼吁出台保障个人信息安全的专门政策，加强立法。“保障个人在信息泄露后有获得补偿和救济的权利”“对盗取个人信息的行为予以法律制裁”“强调个人在信息收集时的权利，若所收集信息与办理的业务无关，个人可选择不提供信息”是网民呼声最高的三个选项，有近70％的受访者表达了这样的期待。 除了相关政策法规的完善，詹骞还认为，网站有义务从技术上为用户提供保护，以防止不法分子对网民个人信息的盗取和挖掘。“除了法律规定的一些机密信息，采集公民个人信息的机构、网站也应对用户个人隐私数据的保护承担更多责任。”詹骞说。以下将会介绍几则关于个人信息安全的实例。 （1）手机登录网站“领奖” 聊城男子被骗1500元。“尊敬的用户您好：您的手机号被《快乐大本营》节目后台抽取为场外幸运号，您将获得由苹果公司赞助提供的79000元奖金与苹果笔记本电脑一台，

信息安全人员管理制度

信息安全人员管理制度 (一)岗位职责 1. XXX单位应根据各岗位信息安全特性和业务特点，确定各岗位信息安全角色和 职责。信息安全角色及职责应包括以下内容： ?在信息安全管理组织架构中的角色和职责； ?在执行信息安全方针和目标方面的职责； ?在遵守国家、地方各种信息安全相关法律法规方面的职责； ?在保护信息资产免受未授权访问、泄露、修改、销毁或干扰方面的职责； ?执行特定的安全过程或活动方面的职责； ?在报告信息安全事故和弱点方面的职责。 2. XXX单位应根据已确定的岗位安全角色和职责，在岗位职责或协议中通过信息 安全相关条款加以明确。信息安全相关条款可以包括以下方面： ?岗位相关的法律职责和权利； ?信息系统相关资产的管理职责； ?操作其他组织和机构信息的职责； ?保护个人信息方面的安全职责，包括对个人隐私保密，不滥用个人信息等； ?在办公区域外和正常工作时间之外的职责； ?信息安全违规将受到的惩戒措施。 (二)人员录用和上岗 ?指定或授权专门的部门或人员负责人员录用； ?严格规范人员录用过程，对被录用人的身份、背景、专业资格和资质等进行审查，对其所具有的技术技能进行考核； ?岗位人员在任用之前应签署保密协议； ?从内部人员中选拔从事关键岗位的人员，并签署岗位安全协议。 ?各单位（部门）应通过教育和培训活动，确保本单位（部门）员工、外来人员在上岗前，理解其岗位信息安全角色和职责。

?各单位（部门）应确保在针对本单位员工的岗前培训中，包括信息安全管理体系和相关管理制度、岗位信息安全职责等信息安全相关的内容。(三)教育和培训 ?对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训； ?对安全责任和惩戒措施进行书面规定并告知相关人员，对违反违背安全策略和规定的人员进行惩戒； ?对定期安全教育和培训进行书面规定，针对不同岗位制定不同的培训计划，对信息安全基础知识、岗位操作规程等进行培训； ?对安全教育和培训的情况和结果进行记录并归档保存。 (四)撤销访问权 ?各单位（部门）在人员任用终止时，应按照离岗手续，通知相关单位（部门）对该人员使用信息和信息系统的权限进行调整； ?各单位（部门）依照相关人员的个人权限清单和XXX单位的要求，修改、限制或删除相关信息和信息系统的访问权限，包括物理访问、逻辑访问、密 钥及ID卡等，并作相应记录； ?各单位（部门）应立即撤销或停用离岗人员所使用的账户，或者修改离岗人员所掌握的系统帐户口令。 (五)离职管理 ?XXX单位应明确人员离职和转岗时的手续，明确离职和转岗管理职责。职责一般包括： ◆在归还资产方面各相关单位（部门）的职责； ◆在撤销访问权方面各相关单位（部门）的职责； ◆在岗位人员变动方面各相关单位（部门）的职责； ◆离开岗位后还应承担的责任，如保密限制等。

内网涉密信息泄露途径及防范

内网涉密信息泄露途径及防范 李培修 敖勇 贾永强 随着企业信息技术越来越广泛、深入地应用，各种先进的网络及应用技术在给企业带来工作和管理高效率的同时，由于网络和计算机系统固有的特性，一方面大大提高了数据与设备的共享性，另一方面却易造成信息、数据被非法窃取、复制、使用，给涉及国家机密及企业内部敏感数据的安全管理带来了极大的挑战。为防止信息外泄，企业往往不惜花巨资购进防火墙、入侵检测、防病毒、漏洞扫描等网络安全产品及软件，再经过多次的实际攻击考验，系统未被外来者侵入，便以为从此可以高枕无忧。其实这种想法是错误而且是极其危险的，据权威资料记载，大部份的机密、敏感数据，７０％以上都是被内部员工通过合法或非法手段，在企业内部网络系统的桌面终端计算机上通过各种传输、复制途径泄露出去的。因此，如何防止企业内部员工或外来者有意或无意的操作将涉及国家机密及企业内部敏感的数据外泄，已是企业当前急需解决的安全问题。 一、内部数据信息被窃取的主要途径 １、内部网络传输泄密 内网大多是将各员工的计算机物理连接起来组成的一个网络，只要是物理连接，理论上来讲，网络中的任意一台计算机都可以访问其他连在这个网络上正在工作的计算机。现有的安全系统对桌面终端的日常操作及攻击缺乏有效地监控、防护手段，由于网络可以方便地进行资源共享，信息在网络上传输不受监控，对涉密信息没有采取传输范围和传输前密码授权控制，使得一些涉密信息极有可能通过网络从一些开放的终端上方便地传出去而不留痕迹。 ２、载体流转过程中泄密 科技高度发展的今天，电子产品日新月异，小巧易带的软盘、光盘、Ｕ盘、移动硬盘、软盘、笔记本电脑甚至ＭＰ３等可移动存储的磁介质越来越小，装载的信息量越来越多。在使用中，为防信息泄露，要求员工用完后，即时将信息或数据删除掉再借出，以为这样他人就无法取得信息，殊不知磁介质有可以被提取还原的特性，他人一样可以取走信息。与上一种情况相比，其泄密量要小得多。但其中装载大量涉密信息的笔记本 电脑的失窃，造成的损失与上面情况一样也是很严重的。 ３、涉密信息的出口不受控造成泄密 对涉密信息没有进行加密处理或者保护处理，将涉密信息 通过各种出口，如：ＵＳＢ口、串口等方式拷出去，出口缺乏必 要的监控和审计。对于打印文件的管理，很多企业主要是靠管 理员督促，员工打印时进行登记，但员工若打印了涉密信息不 进行登记，便无从追查，更无法提供违规操作的证据，安全隐 患较大。 ４、规章制度不健全或者违反规章制度泄密 如有的企业没有配备专门的计算机维护管理人员，或者机 房管理不严格，无关人员可以随意进出机房。当机器发生故障时，随意叫自己的朋友或者外面的人进入机房维修，或者将发 生故障的计算机送修前既不做消磁处理，又不安排专人监修， 造成涉密数据被窃。 二、构建内控安全系统 针对各种泄密途径，要防止内网涉密信息外泄，应着重从 加强内网安全防范措施，从桌面终端的监控审计入手，封堵信 息外泄途径。 那么，应在内网中构筑一个怎样的内控安全体系或系统呢？金鹰国际集团软件有限公司开发的易视桌面监控审计系统 给我们带来很大的启示，该系统针对与电子文件信息流转相关 的环节，通过建立一系统列的监控规则，对涉密信息进行集中 受控管理，对违规行为实时报警阻断，增强了内网用户之间访 问安全。 一个比较完善的内控安全产品技术手段上应主要具备以下 几大功能： （１）涉密信息按等级管理并集中受控传输功能 按保密制度的新要求，涉密信息和涉密载体按等级管理， 等级越高，知悉和传输范围应越窄。如果能集中控制涉密信息 流向，泄密的可能性将大大降低。 计算机安全 ２００５?７75