信息保密

信息保密（精选十篇）

信息保密 篇1

一、目前信息公开环境下档案信息保密工作存在的问题

目前我国网络环境较为开放, 信息公开力度较大。加之相应的保密机制不完善等, 使得档案信息保密工作出现了一系列问题。

1.保密制度不健全

目前在我国的档案信息保密工作中, 相关保密制度还不够健全, 管理也不够规范。具体表现在企业内部就是企业并没有根据自身的实际情况建立起一套系统的保密制度, 没有对保密工作的各种规则进行规定, 导致员工的行为无法得到有效的规范。而且在管理方面也存在疏漏, 从而导致泄密事件的发生。

2.保密意识不强烈

保密意识的强弱决定了能否对档案信息进行彻底保密。目前我国很多企事业单位的工作人员保密观念薄弱, 保密意识淡漠, 导致对客户的基本信息以及其他需要保密的信息随意泄露, 结果不但破坏了双方的合作关系, 还对己方的经济利益及信誉造成了不良影响, 阻碍了企业的长远发展。

3.对信息泄露责任追究方面的相关规定不明确

使得信息泄露频发的一个重要原因, 是对信息泄露责任追究方面的相关规定不明确。由于没有明确的追责办法或追责办法, 无法对泄密事件的影响进行彻底消除, 而且对责任人的处理也采取最基本的方式, 例如辞退等等, 却没有对其信誉等问题进行公开, 也没有使用舆论的力量对其进行谴责等等, 使得处理结果无法对泄密责任人起到制约作用。

二、信息公开环境下档案信息保密的重要性和必要性

1.档案信息保密的重要性

在信息公开环境下, 档案信息保密的重要性主要体现在:一方面, 对客户的档案信息进行保密, 能够使客户对企业更加信任, 双方的合作关系更加稳定, 以此来促进双方的互利共赢。另一方面, 在信息传播速度非常快的当今社会, 企业很好地对客户信息进行保密, 能够为企业树立良好的信誉和企业形象, 从而使更多的企业有意向与本企业进行合作, 而且合作对象会越来越多, 从而促使本企业不断发展壮大。

2.档案信息保密的必要性

在信息公开环境下, 档案信息保密的必要性主要体现在:一方面, 档案信息属于企业的机密, 也是企业竞争力的重要组成部分。它对企业发展具有重要意义, 因此对其进行保密是非常必要的。另一方面, 在信息公开环境下, 极易发生信息泄露事件。一旦信息泄露, 企业所具有的竞争力就会下降。在市场竞争如此激烈的今天, 竞争力下降可能就意味着企业将要面临“被吃掉”的命运。因此必须对信息进行保密。

三、促进信息公开环境下档案信息保密工作的有效途径

1.不断建立健全相应的档案信息保密制度

一方面, 根据我国《保密法》的相关规定, 并结合本企业的具体特点和实际状况, 以及各项相关制度, 制定出与本企业的发展相契合的保密制度, 使之更好地为本企业的保密工作服务。制度中应该包括对保密工作的内涵、重要性、必要性、专门针对本企业所制定的条款以及贯彻落实的基本措施等等。另一方面, 根据企业的发展特点不断对其进行调整。随着企业新业务的不断拓展以及新项目的不断推出, 关于保密的范围等等可能会发生相应变化, 因此应及时进行调整, 以便对员工的行为进行约束和规范。

2.不断强化工作人员的保密意识

总体来说, 不断强化工作人员的保密意识, 就是不断加强对工作人员保密意识的教育工作。具体来说, 一方面, 以座谈会的形式对员工进行教育, 使其畅所欲言地表达自身对保密工作的意见和看法, 并组织专门的讨论环节, 加强员工对保密重要性和必要性的认识。另一方面, 组织员工进行相关案例的学习, 并对因保密意识不强导致的无意或有意的信息泄露及其严重后果进行讨论, 使员工能够深刻认识到其中利弊。

3.建立明确的档案信息泄露追责制

企业要建立明确的档案信息泄露追责制, 并对其具体的贯彻落实程度及效果进行监督检验, 这是对员工的行为进行制约的有效方法。具体来说, 在追责制中可对员工有意及无意泄露信息进行区分, 并做出不同的处理结果。对于故意泄露档案信息者, 可加大对其处罚的力度, 例如首次发生时只做扣除工资或警告处理, 但后面继续发生者无论情节是否严重, 都对其信誉度进行公开, 使其很多经济活动都受到限制, 从而对信息泄露行为进行严厉打击。

四、结束语

综上所述, 在信息公开环境下, 档案信息泄露发生的可能性较大。此时就需要工作人员具有较强的保密意识和信念, 对客户信息守口如瓶, 做到在任何情况下都绝不泄露相关信息。但目前由于制度等方面的原因, 导致保密工作的结果不尽如人意。企业领导层要不断完善相关制度, 并加强对员工的教育, 同时明确泄密追责制, 从而对员工行为进行规范和制约, 减少泄密事件的发生。

摘要：在互联网环境下, 信息公开是大势所趋。但对于部分信息, 保密却是非常必要的。尤其是对于一些客户信息, 更是要做好保密工作。只有如此才能和客户进行长期合作。本文主要从目前信息公开环境下档案信息保密工作存在的问题、信息公开环境下档案信息保密的重要性, 以及促进信息公开环境下档案信息保密工作的有效途径三方面对信息公开环境下档案信息保密的相关问题进行了探讨。

关键词：信息公开环境,档案信息,保密

参考文献

[1]王毅, 陈燕.新形势下的档案信息保密与公开机制研究[J].兰台世界, 2011, (2) :6-7.

[2]张宝玲.大数据时代如何做好发电企业档案信息保密工作[J].办公室业务, 2014, (23) :158.

[3]关明杰.新《保密法》实施后应如何做好档案信息保密与公开工作[J].黑龙江档案, 2011, (2) :20.

信息保密 篇2

一、高新技术产品应用中的泄密隐患

（一）无线移动技术的泄密隐患随着无线互联的迅驰技术强力推出，笔记本电脑进入了无线时代。目前，迅驰技术已成为主流高端笔记本电脑的标准配置。应用了迅驰技术的笔记本电脑无需外加模块即可进行无线联网，既能够以对等方式与其他有此功能的笔记本电脑实现无线互联，又能够以接入方式通过无线交换机组成无线网络系统，其无线联接的有效距离最远可达300米。无线互联技术带给人们更大的便利，一面世就受到广泛欢迎，但是这种技术存在的泄密隐患也不容忽视。

1.隐患1 当应用了迅驰技术的笔记本电脑作为涉密单机处理涉密信息时，能够在无意识的情况下被在有效距离内的其他装

入方式实行无线联通，其中存储的涉密信息就可能被非法获取。

2.隐患2 当应用了迅驰技术的笔记本电脑作为涉密终端接入涉密网络工作时，会被其他无线设备进行无线联通，从而获取该笔记本电脑的使用权限，造成整个网络内涉密信息的泄露。

（二）打印、复印、传真一体机的泄密隐患多功能一体机在涉密单位的应用较多，通常会与涉密计算机连接用于涉密文件打印，同时与市话网相连用于收发普通传真。这样就使得打印的涉密信息、传真的非密信息和复印的信息都存储在同一内存中，形成泄密隐患。

1.隐患1 根据有关部门的检测发现，有些型号的多功能一体机具有通过电话线或网络向其维修中心发送数据的功能。一般情况下，如果此种多功能一体机既连接涉密计算机又连接市话网，或是既用于涉密计算机打印又用于非涉密计算机打印，就可能造成存储在内存中的涉密信息在打印时被非法获取。

2.隐患2 检测发现，对于具有通过连接的电话线或网络向其维修

做一些技术改造，就可以通过市话网对其内存中的信息实现远程获取。

（三）数字复印机的泄密隐患数字复印机的一个特点是含有大容量存储硬盘，凡复印过的文件都记录在内。数字复印机一旦发生故障，通常需要该复印机的专业售后服务人员进行现场维修。由于复印机数字化程度较高，现场维修时一般需要使用售后服务人员的专用笔记本电脑连接进行故障分析，如果该复印机处理过涉密信息，那么就存在着泄密隐患。

1.隐患1 如对维修人员的监督不够，别有用心的维修人员会将存储在数字复印机硬盘中的涉密信息进行复制，从而造成泄密。

2.隐患2 如果数字复印机故障较严重，一般还需要带离现场进行维修。如果涉密单位不了解数字复印机原理，带离前没有将其硬盘进行拆除，那么就会造成涉密载体失控的局面。

（四）高性能网络交换机的泄密隐患

目前，一些网络交换机设备商生产的高端产品具有无线联网功能，能够以无线方式自动识别其周围的网络设备和计

可达几百米，同样存在着泄密隐患。

1.隐患1 根据目前的保密技术要求，泄密信息系统与其他网络均应实行物理隔离，同时涉密信息系统的交换机与非涉密信息系统的交换机必须距离1米以上。通过有关部门的检查发现，一些涉密单位涉密信息系统和非涉密信息系统均使用了具有无线功能的交换机，即使距离1米以上，但由于放置在同一房间内，2个交换机就能够实现自动通信，造成涉密信息系统与非涉密信息系统的互联，带来极大的泄密隐患。

2.隐患2 有的涉密单位外网使用了此类具有无线联网功能的交换机，会出现自动连接有效范围内无线终端的现象，具有无线功能的涉密计算机因此会被捕捉并连通，从而造成涉密信息外泄。

（五）计算机操作系统漏洞造成的泄密隐患

目前，大部分计算机使用的都是美国微软公司Windows操作系统，该操作系统存在许多漏洞，极易被利用，安全隐患突出。

1.隐患1 通常认为只要笔记本电脑不处理涉密信息，与互联网连

Win-dows操作系统共享会出现漏洞，通过互联网或使用无线互联能够取得该笔记本电脑的所有控制权，进而将其麦克风打开，变成窃听器。这样就能够通过网络监听到该笔记本电脑所在房间的通话内容。

2.隐患2 通过网络植入某些病毒，可使计算机在不知不觉中将硬盘的电子文档以电子邮件的形式发送出去。即使上网的计算机中没有秘密信息，但大量与工作有关的信息被窃取后，也具有威胁性。

（六）移动存储介质的泄密隐患移动存储介质，包括U盘、移动硬盘等，具有存储量大、使用方便的特点，目前在涉密单位使用非常普遍，同时存在着很多安全隐患。在缺乏有效技术保障的情况下，应通过管理手段加以解决。

1.隐患1 虽然对于存储涉密信息的介质有较严格的保密管理要求，外出携带需要严格控制并审批，但涉密介质丢失现象仍时有发生。这些涉密存储介质一旦丢失，就会造成秘密信息的外泄。当前急需采取严格的管理措施，规范存储介质的使用。

2.隐患2

一些涉密网在日常工作中经常需要从外网或互联网上复制数据，通常使用的是移动存储介质。检查发现，互联网上存在的一些病毒，如repoer病毒，可以感染在互联网上复制数据的移动存储介质。当该染病毒的移动存储介质在涉密网上使用时，病毒就会自动使用关键词检索等方式搜集涉密计算机上的信息，并自动复制到移动存储介质上。一旦该存储介质再次接入互联网，复制的信息就会自动发送出去，造成泄密。

二、做好计算机信息安全保密工作的建议

对于涉密单位来讲，安全考虑应该放在第一位，如果不了解高新技术产品的技术特点和工作原理就盲目使用，难免会留下安全隐患，危害国家秘密的安全。目前，国家有关部门对高新技术产品在涉密部门的应用已经提出了一些具体的要求，保密要害部门部位应遵照执行。应用于涉密信息系统的设备，按照规定必须经过国家有关主管部门检测，未经检测的设备不能使用。另外，涉密单位还要针对高新技术产品的特点和本部门的实际情况，加强管理。国家有关部门也要加强对涉密计算机信息系统的安全保密管理和涉密产品的认证认可工作，积极开展针对高新技术应用的保密技术研究，解决高新技术产品使用中的保密难题。作为基层单位还

（一）围绕责任，认真落实保密、密码工作责任制加强学习，提高保密意识，签订保密责任书，明晰保密责任。按照保密、密码工作领导责任制的要求，及时研究保密工作中存在的问题，把保密作为强化内部管理、防范风险隐患的一项重要工作来抓，不断完善一级抓一级、层层抓落实的责任体系。进一步健全保密和密码工作领导责任制，把领导干部履行责任制的情况纳入领导干部民主生活会和领导干部绩效考核内容。根据人员调整情况，及时调整保密委员会，加强保密工作目标责任管理，将业务工作和保密工作同布置、同安排、同要求，确保各项保密工作任务的落实，严防泄密事件发生。

（二）围绕规范，切实加强保密基础工作，严格保密要害部门、部位管理认真落实上级单位要求，严格确认系统保密要害部门、部位，及时更新工作台账，修订完善有关制度，完善人防、物防、技防措施，确保保密要害部门、部位的安全；认真落实政务信息公开保密审查制度，进一步明确审查责任和程序，促进政务公开、依法、合规开展。

（三）围绕创新，不断深化保密宣传教育坚持贴近形势、贴近工作、贴近涉密人员，深入开展保密宣传教育工作。在对象上，坚持把领导干部、涉密人员、新参加工作人员和行

育、保密形势教育和保密知识教育，认真抓好《中共中央关于加强新形式下密码工作的决定》精神的学习、宣传和贯彻落实工作，把保密工作重要法规文件、制度纳入党委（党组）学习内容，发挥领导干部的带头示范作用；在形式上，充分利用内联网、宣传栏、保密工作简报、播放警示片等形式宣传相关保密法规、保密知识，编印《保密知识手册》，不断增强保密宣传教育的生动性和直观性，将保密宣传教育融入到“五五”普法、社会治安综合治理等工作中，使全体工作人员进一步了解和熟悉，充分认识到保密工作的重要意义，树立“为维护国家的安全和利益而保密”的神圣感、责任感和使命感，增强保密意识，提高法制观念。同时，加强调查研究，及时总结反馈工作动态和创新做法，不断推动保密宣传教育的深入开展。

（四）围绕安全，完善技防手段，努力提高保密技术防护水平加强对计算机网络安全保密管理。严禁用涉密计算机上国际互联网，严格做到内外网分离；及时安装系统补丁，修补计算机漏洞；及时升级防病毒软件病毒代码库，定期对计算机进行全面扫描，清除病毒、木马；严格落实《移动存储设备管理办法》，利用新技术手段加强对移动存储设备的使用实时监控和管理，对内网上使用的移动存储设备进行注

（即非内网使用的移动设备在内网计算机上不能用），内网使用的移动存储设备“拿不走”,内部使用的移动存储介质在外网计算机上“不能用、看不懂、改不了”（即内网上使用的移动设备进行了加密管理，在外网计算机上不能识别或信息无法读取），切实解决移动存储介质在内外网之间交叉使用的问题；完善涉密计算机、移动磁介质、涉密笔记本电脑、多功能一体机等办公设备的购置、领取、使用、清退、维修、销毁等环节的保密管理要求，抓好全过程安全保密职责的监督和落实；加强对重要涉密信息的保密管理，规范涉密文件传阅，严密跟踪公文流转，严格控制传阅范围，做到及时登记、专人专夹保管；加强对各种涉密载体的管理，对密件、密品的制作、传阅、销毁等各环节进行全过程监管，确保每一个环节不出差错。

（五）围绕落实，扎实开展密码保密、信息安全工作检查认真按照密码、保密和信息安全管理制度以及工作人员保守国家秘密各项禁令的要求，定期开展密码保密和计算机安全工作检查，全面排查工作中存在的问题和隐患，从源头上堵塞漏洞。重点抓好计算机信息系统、移动办公设备和绝密级文件资料等方面的检查，进一步明确工作标准、内容和程序，对发现的问题要迅速整改，切实做到“四个不放过”（一，规范建立整改台账，确保各项规章制度真正落到实处；及时修订并完善密码、保密及信息安全工作规章制度，制定保密、密码和信息安全应急预案，进一步细化工作流程，强化责任追究，不断提高信息安全、密码、保密工作规范化水平。

怎样认识现阶段我国保密知识教育普及的意义？举证浅谈如何有效进行新形势下的保密法制宣传教育？

现阶段主要的泄密途径包括哪些？举证浅谈作为大学生，如何去理解认识及防范这些泄密途径？

结合各类新时期泄密案例，预测未来科技发展趋势及保密管理工作的防范中心。

这两年，“网游大盗”、“熊猫烧香”、“德芙”、“QQ木马”、“灰鸽子”、“僵尸木马”等入侵用户电脑，盗取密码帐号、个人隐私、商业秘密、网络财产甚至国家机密等，就是典型的例子。这次出现的黑客利用“微软黑屏正版验证”传播变种灰鸽子新病毒，让用户电脑成为被远程控制的“肉鸡”，就是最新的佐证。严峻的现实是，一个以获利为核心的黑客培训、病毒制作、病毒加工、病毒贩卖、信息窃取等构成的灰色产业链，正严重侵害着用户的安全。如果不对这些木马、间谍病毒加以防范，就容易造成用户在不知不觉中被动泄密信息。

传统杀毒软件对付当前病毒新威胁勉为其难

记者：几乎所有的计算机都配置了杀毒软件，但用户为什么屡遭攻击甚至发生被动信息泄密，您如何看待？

刘旭：传统杀毒软件在过去病毒数量不多、传播速度不快的背景下还是比较有效的工具，但在互联网广泛应用、全球病毒特征出现了颠覆性变化的今天，显然已经力不从心。

记者：什么原因？

刘旭：传统杀毒软件采用的是特征值扫描技术--“病毒出现--用户提交――厂商人工分析――软件升级”的思路，对病毒的防范始终是落后于病毒出现。换句话说，当前病毒都已经自动化产业化了，杀毒厂商还在采用落后的人工分析的思路，必然做不到对未知病毒和新病毒的防范，更谈不上有效防止用户被动泄密。实现反病毒技术由被动事后杀毒到主动防御的变革，不仅是全球反病毒产业的共同课题和新的竞争焦点，更是计算机用户的迫切需求。

四项具体措施实现对用户信息资产的保护

记者：您认为，作为一个用户，怎样才能保护好自己的信息资产？

刘旭：我认为首先应养成良好的上网习惯。良好的习惯，应该是不该上的网站，尽量别上，往往一些不健康的网站也是造成用户病毒感染的重要原因。

其次，应有自觉的信息安全意识。在一个单位，同事之间，应给注意存储信息的工具不能轻易共享。随意通过U盘把自己的文件拷给别人，或者到别人机器上拷文件，不仅是感染并传播病毒的途径，也是造成病毒攻击、黑客入侵而导致信息被动泄密的重要原因。我认为，在实际工作中，特别是对信息安全要求高的用户，应该杜绝用U盘在不同的用户间来回拷文件的做法，并且还应加强对用户自身邮件安全的保护，拒收不明邮件。同时，有条件应该做到专机专用。

第三，采用安全可靠的反病毒工具。传统杀毒软件在原理和技术根基上就难以对付未知病毒和新病毒，依赖杀毒软件难以很好的保障用户信息安全。越来越多的例子已经证明，杀毒软件自身也容易被攻击。所以，我认为不仅要慎用非正版软件，还要谨慎选用反病毒工具。采用具有主动防御技术的反病毒工具是比较可靠的选择。

记者：能否说具体点，现在的杀毒软件不都称具有主动防御功能？

刘旭：您说的没错，现在绝大多数杀毒软件都自称具有主动防御功能，但是主动防御作为基于程序行为自主分析判断的实时防护技术，必须具备对未知病毒和新病毒自主识别、明确报出并自动清除三大基本特征，这是区分真假主动防御的试金石，尤其“明确报出”未知病毒和新病毒，大多数杀毒软件根本做不到。

记者：我国主动防御技术的研究，在国际上处于什么样地位？

刘旭：几年前，我们就率先提出了尽快研制以程序行为自动监控、程序行为自动分析、程序行为自动诊断为主要功能的主动防御型产品全新思路，并研发成功了世界首套主动防御软件--微点主动防御软件。微点主动防御软件模拟反病毒专家及其病毒判定机制，实现了“动态仿真反病毒专家系统，自动准确判定新病毒、程序行为监控并举、自动提取特征值实现多重防护、可视化显示监控信息”等五项核心技术的突破。经过近百万种病毒的测试，微点主动防御软件防杀未知病毒和新病毒的有效率达99％以上，在摒弃传统杀毒软件技术、推动反病毒产业变革方面取得了重大跨越。

记者：我很想了解微点主动防御软件使用案例。

刘旭：北京奥运会开闭幕式运营中心自采用国家863项目--微点主动防御软件以来，成功阻止了黑客和各种新老病毒的攻击和入侵，运营中心网络信息系统从未发生过开闭幕式有关方案等信息泄密事件，这标志着我国反病毒技术成功经受了北京奥运会、残奥会的重大考验。北京奥组委为此向微点公司颁发了“突出贡献”纪念证书，开闭幕式运营中心也专门致信感谢，应该说这是我国反病毒技术的光荣和骄傲。

记者：您前面提到了良好的上网习惯、自觉的安全意识、可靠的反病毒工具，作为单位的网络，如何防止信息被动泄密？

董事会信息保密战 篇3

信息时代，机密情报比以前更容易泄露。即时通讯工具和社交媒体赋予每个人通过英特网广泛传播消息的能力，而机密信息总是陷入被有意或无意暴露的风险中。追捧透明度和披露的文化潮流盛行，高调的泄密者时不时登上头版头条，维权股东和他们的提名董事推波助澜……在这样的氛围中，公司越来越难守住敏感的信息。事实上，能够规范董事会及其成员的相关法律很有限，市场参与者和媒体评论员对于泄露信息（除了非法的内幕透露）是不是一个问题也意见不一。

目前，针对董事保密要求的法律并不明晰，而机密的董事会信息又是如此重要，包含着非公开信息、按监管规定需要披露的信息以及公司内部政策与流程，也包含着敏感的董事会会议讨论，牵扯私人信息和业务情况。

为了保证董事会有效实现职能，必须让董事们能够自由畅快、诚恳实际地表达观点，而不用担心他们的谈话会被公开。然而，上市公司总有一些董事是经由委托代理或者代理权之争推选进入董事会的，往往被认为是提名股东的代表，很可能与背后支持自己的股东分享董事会议程的细节。如果敏感的董事会会议信息被某个董事故意泄露，相应的回复与处理会很麻烦。事实上，董事会和公司可以采取的补救措施有限，尤其无奈的是：总不可能让董事会要求某一名董事辞职。为了保护机密敏感信息，董事会至少应该建设起稳健的保密政策，而公司也应在风险管理方案中预定针对董事泄密的相关措施。

关键机密信息

保密的、非公开的公司信息主要有三类：一是关乎公司竞争力、商业价值的专有信息；二是公司财务、运营和战略方面的内部信息；三是董事会会议记录和审议意见等敏感的董事会信息。未经授权就披露专有信息可能危及公司的竞争优势与成功，而未经授权就披露内部信息可能导致非法的内幕交易和股票价格操纵。鉴于此，公司必须制定综合的保密政策，不仅要针对员工，也应约束董事，同时规范合理披露公司机密信息的流程和渠道。

第三类机密信息尤其需要关注，因为董事们接触着全公司各种类型的重要非公开信息，也知道各种内幕新闻，知道董事会是如何讨论、使用和理解各种机密信息的；他们了解各个董事怎样看待公司高管、战略计划、可能的收购、公司面临的竞争和法律威胁，甚至于董事之间彼此关系如何；并且，他们还清楚董事会的审议意见。这些“元信息”十分重要，一旦泄露，势必导致破坏性影响。

杰西潘尼风波

最轰动的信息泄露事件莫过于某位董事因为不满而向媒体提供机密信息、向董事会施压了。最近的一起重大泄密事件，就出自美国零售公司杰西潘尼（J.C. Penney）董事和维权投资者威廉？阿克曼（William Ackman）之手。

阿克曼是杰西潘尼的大股东，其通过对冲基金潘兴广场资本管理公司持有杰西潘尼18%的股份。2013年8月，阿克曼向一家大型新闻机构提供了两封来自杰西潘尼董事会的信，信中详述了董事会的会议讨论内容，涉及董事会对公司领导力表示失望、尤其是对正在进行的CEO搜寻进程不满等机密内容。这一爆炸性新闻没给任何人带去好处：阿克曼的行为遭到强烈谴责，阿克曼本人也辞去了杰西潘尼董事会的职务；潘兴广场资本管理公司卖出了持有的股份，导致杰西潘尼公司股价大幅下跌。

麻烦的提名股东

另一种影响较轻但更为普遍的董事会信息泄露，发生在董事和提名股东之间。据悉，维权股东和投资界越来越多提名董事进入上市公司董事会。美国特拉华州衡平法院（Delaware Chancery Court）近来表达了一个观点：“当某一董事服务于提名股东、作为提名股东代表行动时，相关股东总体上有资格获取与董事相同的信息。”只要不违背信托责任，此类董事可以向背后支持他的股东披露信息。如果公司因为上述私下的信息披露而遭受损失，或者董事知道提名股东会利用告知的信息篡夺本属于公司的机遇，该董事将被认定为违反忠诚责任。

然而，很多时候无关董事个人意愿，一旦消息走出董事会，很难控制信息在提名股东、股东员工乃至投资界等没有保密义务的地方传播。

一些维权对冲基金已开始对自己提名的董事提供特别补偿安排，这一安排备受质疑：无论提名自己的是何人，董事必须对所有股东兑现信托责任，也不能出于个人利益优先安排特定议程。董事会应该考虑设置细则，将接受特别补偿安排的董事候选人剔除出名单。

制定保密政策

当机密信息泄露时，公司有遭受损失的风险；而如果董事会的敏感信息被公开，则必然对董事会的功能造成损害。一个有效的董事团队需要信任和依赖，鼓励讨论与争议，能够包容根深蒂固的不同意见。一旦信任被破坏，董事会的效力就会严重折损。重大的违背保密原则的事件，或者断断续续的消息走漏，都会影响到董事会的日常讨论，令董事会功能紊乱，阻碍董事提供经验和判断，最终削弱股东从中获取的收益。

上市公司董事会应当考虑制定针对董事的保密政策。首先，充分而广泛地定义“机密信息”，列出各类机密信息的例子，强调因董事在董事会中的位置而获取的所有非公开信息都包括在其中。其次，提醒董事的信托责任，声明董事只能将机密信息用于有益公司的方面，不能出于私人利益或者其他团体的利益使用机密信息。第三，保密政策要特别强调由提名股东支持的董事需要注意的披露事项，要求他们在任期结束后也应遵守保密义务。第四，清晰地指出，如果董事根据法律规定需要披露机密信息，应预先通知董事会、董事长以及CEO，并且积极与公司配合，通过合法途径，避免或者尽量减少必须进行信息披露的情况。

缜密稳定的董事会保密政策既有助于董事尽到保护敏感董事会信息的义务，又利于形成视泄露信息为不可接受、不诚实行为的董事会文化。董事长应该在董事候选人被提名前就公示保密政策，不妨要求相关人员口头或签字保证他们了解并会遵守保密政策的规定。另一项可行机制是由董事会批准一条细则，要求获得提名的董事接受董事会保密政策、同意不会在董事会中代表某些特定赞助者的立场。此外，董事及其提名股东之间难免会交流公司的机密信息，董事会也应该要求提名股东执行保密协议。

董事会每年复查公司治理规范时，也要重新审查保密政策。而每逢敏感时期或者要讨论争议话题时，董事长或董事会顾问不妨在正式议事前提醒董事们履行保密义务。

事实上，如果真的出现法律纠纷，公司精心设计的保密政策可以成为法庭判定相关信息是否为机密信息的参考因素。

预案应对泄密

披露重要的非公开信息可能导致民事或刑事诉讼。某些情况下，破坏性的机密材料泄露相当于违反忠诚责任，董事个人须对损失承担赔偿责任。然而在董事会层面，董事泄密事件总是很棘手。董事会不敢轻举妄动，唯恐再度引发对公司的负面报道，使情况恶化。而辞退董事只能由股东们决定，董事会无能为力；相关的流程困难、耗时，很可能引起旷日持久的公众争议。

事实上，如果发生了恶性的机密泄露事件，董事会不能要求董事辞职，除非该董事事先签署过在某些特定情况下必须辞职的预先辞职信。这种预先辞职信的生效还要建立在合理判定协议情况是否发生的基础上。一旦董事及其提名股东拒不承认，又将导致影响恶劣的公众争议。而如果法庭判决董事违反了应尽的责任，事情的解决就会更加拖沓。因此，董事会通常会耐心等待董事任期结束，然后拒绝该董事的再度提名。针对这一情况，董事会不妨事先制定细则，明确指出一旦董事会判断董事违反了保密政策，该董事便不再具备继续服务于董事会的资格。

最后，董事会的危机管理计划应该包括如何应对董事泄露公司敏感信息——无论是在公开场合还是私下情况，无论是故意的还是无心的。预先的准备有助于保证处理流程的公平公正，避免情绪反应。

董事的保密义务根本上源自信托义务要求的忠诚。最终我们会发现，什么也无法替代真诚的信任、共同治理公司的理念以及董事会成员之间的尊重。由此观之，创建互相信任的文化可能是董事会防范信息泄露的最佳措施，董事长应该以身作则，率先在董事会中营造充满信任与凝聚力的氛围。在此基础上，建设和保持清晰明确的保密政策以及处理泄密的流程。

提高保密意识、减少信息泄密 篇4

科技进步, 计算机产业爆炸式的发展使社会步入网络时代, 互联网拉开世界之窗, 架起我们与外界联系的桥梁, 给我们的生活带来质的改变, 与此同时也留下了信息安全的隐患, 拉近了窥视者与我们之间的距离, 窥视者甚至可以攀爬到我们的“桌面”, 窃取我们计算机的内部信息, 众多泄密事件让我们损失惨重、心有余悸。

用“木桶理论”来解读信息安全和保密工作100-1=0的结论就是正确的, 一次泄密事件的发生致使所有安全保密工作功亏一篑, 留给我们的是不良的社会影响和沉重的经济损失, 只有提高保密意识, 加强保密措施, 才能有效避免和减少信息泄密。

1 计算机保密现状分析

历年来安全漏洞有增无减, 安全事件逐年递增, 计算机病毒感染率居高不下, 木马攻击屡见不鲜。种种迹象表明计算机保密现状形式十分严峻, 问题比较突出。

2 计算机泄密主要途径

计算机泄密的途径多种多样, 泄密形式主要包括四大方面:即网络泄密、介质泄密、无线泄密以及电磁泄露, 不同形式的泄密事件又分为多种类型, 如下所示:

(1) 网络泄密: (1) 黑客入侵; (2) 木马窃密; (3) 音频视频泄密; (4) 网站泄密。

(2) 介质泄密: (1) 介质丢失; (2) 维修不当; (3) 内外网混用; (4) 数据恢复。

(3) 无线泄密: (1) 无线键盘; (2) 无线网卡。

(4) 电磁泄露: (1) 显示器; (2) 主机; (3) 电源; (4) 线缆。

3 涉密计算机保密要求

泄密途径如此广泛, 必须制定严格的管理制度、保密要求, 并且不遗余力的执行和遵守才能确保信息的安全可靠, 有效避免和减少泄密事件的发生, 具体来讲, 我们必须在物理隔离、安全防盗、密级标识、身份识别、信息存储、无线设备、电磁防漏、维修报废等8个方面制定行之有效的管理措施。

(1) 物理隔离:要求涉密计算机不得以任何方式直接或间接接入国际互联网, 可以采用单机单用、网络隔离等手段杜绝来自互联网的安全隐患。

(2) 安全防盗:要求涉密计算机 (笔记本、服务器) 的存放环境应安全可靠, 符合要害部门部位的防护要求, 防止涉密计算机被盗。

(3) 密级标识:要求涉密计算机内处理的涉密信息要有相应的密级标识, 密级标识不得与正文分离;标明涉密计算机的密级属性和用途, 提醒使用者按照有关保密要求使用。

(4) 身份识别:要求对登录用户的身份进行鉴别, 可以采用静态口令、动态口令、IC卡、USBKey、指纹验证等手段防止非授权用户使用。

(5) 信息存储:要求绝密级必须加密后存储, 机密级和秘密级可以采用明文存储以增强安全强度。

(6) 无线设备:要求不得使用无线设备 (主要是指无线键盘和无线网卡) , 防止无线泄露。

(7) 电磁防漏:要求测试是否满足BMB2—1998的要求, 如果满足可以不采取电磁泄露发射防护措施, 否则应加装电磁干扰设备。可以使用视频干扰器、电源隔离插座、光纤或屏蔽线缆有效避免电磁泄露。

(8) 维修报废:要求现场维修, 应由有关人员全程陪同, 需带离现场维修时, 应拆除存储过涉密信息的硬件和固件;存储过涉密信息的硬件和固件应到具有资质的定点单位进行维修;涉密计算机不得降低密级使用, 报废时应确保存储过的涉密信息无法还原;维修和报废应有记录。

4 涉密计算机网络保密要求

涉密计算机网络必须具备以下几个基本要求, 即:准确定级、与互联网实现物理隔离、由资质单位负责承担或参与建设、在设备选择上必须遵循国产且通过安全认证的选择原则、最后网络整体要经过市国家保密局的系统审批方可投入使用。

不同的涉密计算机网络在建设和运行维护中要有不同等侧重点, 总体而言应该考虑以下几个方面, 即:物理安全 (环境、设备、介质) 、运行安全 (备份与恢复、病毒防护、应急响应) 、信息安全 (身份鉴别、访问控制、密码保护、电磁防护、性能监测、安全审计、边界防护) 、安全管理 (人员管理、物理环境与设施管理、设备与介质管理、运行与开发管理、信息保密管理) 。

5 涉密移动存储介质保密要求

除了涉密计算机和涉密计算机网络需要严格管理、谨慎使用外, 对涉密载体也要采取一定措施防止信息泄露, 例如严禁在非涉密计算机上使用、外出携带需严格审批、如有损坏需到指定地点维修、销毁前应该确保所存数据不可恢复。

6 自查工作

为确保涉密信息的安全性, 有关部门或个人一个严格自查, 自查工作应该侧重在以下几个方面涉密计算机是否违规上网、涉密笔记本是否配有无线网卡、移动存储介质有无混用现象、非涉密计算机上是否存储 (过) 、处理 (过) 涉密信息、使用隔离卡的用户是否按要求正确使用计算机、要害部位的非涉密计算机上是否安装了可视设备、操作系统是否存在漏洞、用户口令设置是否合理。

参考文献

信息安全保密制度 篇5

第35条：信息安全保密制度管理办法

1、建立密码共设协管制度 1）、his系统服务器操作系统密码，由院长和信息科专职人员共同设置并定期更改，保证信息中心单人无法擅自进入服务器。2）、his系统数据密码，由院长和信息科专职人员共同设置并定期更改，确保信息科单人无法擅自登入his系统数据。

2、建立调用敏感数据申报制度 1）、药械科工作人员调用药品销售（科室、医技）相关报表，由药剂科主任负责确认每个工作人员具体调用范围，以书面形式提出申请，经院长审批后，交由信息中心授予相关权限。如申报批准授予权限后发生数据泄露，由药械科负责人解释及承担责任。2）、其他科室工作人员无权调用敏感数据，不得以任何理由要求信息科授予相关权限。如有发生，信息科有权拒绝授予并报告院长。3）、网络管理员不得利用职务之便为他人提供统方信息，一旦发生将严肃处理。

3、建立机房准入制度

确需进入信息机房参观的非本科室工作人员，必须经院领导批准后可入内参观，进入信息网络机房后必须听从网络管理人员的安排。

4、签订信息安全保密协议书 1）、医院同his厂家签订信息安全保密协议书，约束his厂家泄露信息。2）、同厂家工程实施人员签订信息安全保密保证书，约束实施人员不泄露信息，如有发生，由his厂家承担全部责任。3）、信息中心和his厂家双方共同对现有医生、护士工作站及药库、药房子系统进行清查，凡涉及敏感数据项，在不影响正常工作的前提下，予以屏蔽。4）、his厂家负责监督信息中心，取消信息中心授予敏感数据权限的功能，并由his厂家出具相关证明。

为保障本实施办法的有效执行及公证严明，本实施办法由院方及第三方厂家共同负责监督落实。

第36条：信息网络机房管理制度

1、信息网络机房直接由院长管理，在院长和院办室的领导下，负责制定全院信息化建设工作规划和实施方案。

2、信息网络机房是医院网络数据的储存、交换中心、非本室工作人员严禁入内。确需进入网络机房参观的非本室工作人员，必须经医院领导批准后方可入内参观，进入网络机房后必须听从网络管理员的安排。

3、网络机房设备、门窗、水电暖安全每天检查一次，并做好检查记录。

4、网络机房的卫生每天清洁一次。严禁在网络机房内吸烟。

5、网络机房工作人员不得在机房内会客，不得将易燃、易腐蚀品带入机房，不做与工作无关的事。

6、机房工作人员离开时必须检查电源、设备、严防人为事故的发生。

7、建立健全和落实医院信息化建设的各项管理规章制度，如信息网络系统操作规程、升级、维护制度、安全检查制度、信息网络系统应急制度。

8、负责医院管理信息网络的维护工作，加强医院信息系统网络和数据的安全性，确保其正常运行。

9、负责医院医疗信息的收集、传递和反馈，保证信息流通渠道的畅通。加强职工信息化知识技术培训、提高全员信息化意识和信息技术应用水平。

10、负责医院门户网站建设与管理，及时更新医院网站。及时完成医院下达的临时性工作任务。篇二：信息安全保密制度 信息安全保密制度

为加强对计算机信息网络国际联网安全保护，加强对计算机信息服务的管理，保障通过计算机网络国际联网传播信息安全，维护公共秩序和社会稳定，特制定如下规定： 第一条 公司设立网络信息安全管理小组，由公司领导和相

关技术人员、管理人员组成、负责信息内容审核，信息发布登记，网络安全技术防范与管理等工作。

第二条 网络信息安全管理小组进行信息内容审核，信息发

布登记，电子公告系统审计，违法犯罪案件保安等工作，并采取网络安全技术防范措施，保证网络的安全。

第三条 任何单位、部门和个人不得利用国际联网危害国家

安全、泄露国家秘密、不得侵犯国家的、社会的、集体的利益和公民的合法权益，不得从事违法犯罪活动。所有工作人员必须严格遵守《中华人民共和国计算机信息网络国际联网管理暂行规定》以及国家有关法律、法规。

第四条 任何单位、部门和个人不得利用国际联网制作、复 制、查阅和传播下列信息：

（一）煽动抗拒、破坏宪法和法律、行政法规实施的；

（二）煽动颠覆国家政权，推翻社会主义制度的；

（三）煽动分裂国家、破坏国家统一的；

（四）煽动民族仇恨、民族歧视，破坏民族团结的；

（五）捏造或者歪曲事实，散布谣言，扰乱社会秩序 的；

（六）宣扬封建迷信、淫秽、色情、赌博、暴力、凶 杀、恐怖、教唆犯罪的；

（七）公然侮辱他人或者捏造事实诽谤他人的；

（八）损害国家机关信誉的；

（九）其他违反宪法和法律、行政法规的。

第五条 任何单位、部门和个人不得从事下列危害计算机信 息网络安全的活动。

（一）未经允许，进入计算及信息网络或者使用计算机 网络资源的；

（二）未经允许，对计算机信息网络功能进行删除、修 改或者增加的；

（三）未经允许，对计算机信息网络中存储、处理或者 传输的数据和应用程序进行删除、修改或者增 加的；

（四）故意制作、传输计算机病毒等破坏性程序的；

（五）其他危害计算机信息网络安全的。

第六条 用户的通信自由和通信秘密受法律保护，任何单位、部门和个人不得违反法律规定，利用国际联网侵犯用的通信自由和通信秘密。

第七条 公司设立网络安全管理员，每天对网上信息惊醒检

查，发现有异常信息须立即按照有关规定处理。发现有不良信息，应立即删除并做好备份及详细记录； 第八条

第九条发现有违反犯罪现象立即按照规定处理并立即向公司领导汇报，在24小时内向公安部门报告。自觉接收公安机关的安全监督、检查和知道。如实向公安机关提供安全操作的信息、资料及数据文件，协助公安机关查处各项违法犯罪行为。入网部门办理备案手续，并送交公安机关备案。篇三：信息安全保密管理制度 信息安全保密管理制度

为保守秘密，防止泄密问题的发生，根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》，结合本单位实际，制定本制度。

一、计算机网络信息安全保密管理规定

(1)为防止病毒造成严重后果，对外来光盘、软件要严格管理，坚决不允许外来光盘、软件在公安专网计算机上使用。

(2)接入公安专网的计算机严禁将计算机设定为网络共享，严禁将机内文件设定为网络共享文件。

(3)为防止黑客攻击和网络病毒的侵袭，接入公安专网的计算机一律安装杀毒软件，并要定时对杀毒软件进行升级。

(4)禁止将保密文件存放在网络硬盘上。

(5)禁止将涉密办公计算机擅自联接国际互联网。(6)保密级别在秘密以下的材料可通过电子信箱传递和报送，严禁保密级别在秘密以上的材料通过警综平台传递和报送。

(7)涉密计算机严禁直接或间接连接国际互联网和其他公共信息网络，必须实行物理隔离。(8)要坚持“谁上网，谁负责”的原则，各部门要有一名领导负责此项工作，信息上网必须经过所领导严格审查，并经主管领导批准。

(9)国际互联网必须与涉密计算机系统实行物理隔离。

(10)在与国际互联网相连的信息设备上不得存储、处理和传输任何涉密信息。

(11)应加强对上网人员的保密意识教育，提高上网人员保密观念，增强防范意识，自觉执行保密规定。

(12)涉密人员在其它场所上国际互联网时，要提高保密意识，不得在聊天室、电子公告系统、网络新闻上发布、谈论和传播国家秘密信息。使用电子函件进行网上信息交流，应当遵守国家保密规定，不得利用电子函件传递、转发或抄送国家秘密信息。（13）严禁互联网计算机接入公安专网。（14）严禁公安业务计算机接入互联网。

二、涉密存储介质保密管理规定

(1)涉密存储介质是指存储了涉密信息的硬盘、光盘、软盘、移动硬盘及u盘等。(2)存有涉密信息的存储介质不得接入或安装在非涉密计算机或低密级的计算机上，不得转借他人，存放在本单位指定的密码柜中。(3)需归档的涉密存储介质，因及时归档。

(4)各部门负责管理其使用的各类涉密存储介质，应当根据有关规定确定密级及保密期限，并视同纸制文件，按相应密级的文件进行分密级管理，严格借阅、使用、保管及销毁制度。借阅、复制、传递和清退等必须严格履行手续，不能降低密级使用。

(5)涉密存储介质的维修应保证信息不被泄露，由各涉密部门负责人负责。需外送维修的，要经领导批准，到国家保密主管部门指定的维修点维修，并有保密人员在场。(6)不再使用的涉密存储介质应由使用者提出报告，由所领导批准后，交保密办公室负责销毁。

三、计算机维修维护管理规定

(1)涉密计算机和存储介质发生故障时，应当向所信息中心提出维修申请，经批准后到指定维修地点修理，一般应当由本局内部维修人员实施，须由外部人员到现场维修时，整个过程应当由有关人员全程旁站陪同，禁止外来维修人员读取和复制被维修设备中的涉密信息，维修后应当进行保密检查。

(2)凡需外送修理的涉密设备，必须经保密小组和主管领导批准，并将涉密信息进行不可恢复性删除处理后方可实施。

(3)高密级设备调换到低密级单位使用，要进行降密处理，并做好相应的设备转移和降密记录。(4)由局保密委员会指定专人负责办公室计算机软件的安装和设备的维护维修工作，严禁使用者私自安装计算机软件和擅自拆卸计算机设备。

四、用户密码安全保密管理规定

(1)用户密码管理的范围是指办公室所有涉密计算机所使用的密码。(2)机密级涉密计算机的密码管理由涉密科室负责人负责，秘密级涉密计算机的密码管理由使用人负责。(3)密码必须由数字、字符和特殊字符组成，秘密级计算机设置的密码长度不能少于8个字符，机密级计算机设置的密码长度不得少于10个字符，密码更换周期不得超过60天。(4)秘密级计算机设置的用户密码由使用人自行保存，严禁将自用密码转告他人；若工作需要必须转告，应请示所保密委员会负责人认可。

五、涉密电子文件保密管理规定

(1)涉密电子文件是指在计算机系统中生成、存储、处理的机密、秘密和内部的文件、图纸、程序、数据、声像资料等。

(2)电子文件必须定期、完整、真实、准确地存储到不可更改的介质上，并集中保存，然后从计算机上彻底删除。

浅谈信息安全保密管理建设 篇6

关键词：电磁辐射；安全漏洞

中图分类号： TP393.08 文献标识码： A 文章编号： 1673-1069（2016）17-42-2

0 引言

计算机、互联网的技术飞速发展，为各类信息传输共享带来了极大便利，推动了经济的增长与社会的发展；也为各类需要保密的行业领域的信息安全保密带来了极大的挑战。信息安全与保密与我国的政治、经济、文化以及国防现代化建设息息相关，已成为影响国家安全和利益的重要一环。随着涉密活动逐渐频繁，窃密技术更为先进，信息安全保密问题也变得更加严峻，安全保密建设任务更加紧迫。

1 安全保密的重要性

1.1 基本概念

安全保密工作就是从国家的安全和利益出发，依照法定程序确定，在一定时间内只限一定范围的人员知悉。安全保密管理建设是为了维护单位正常经营管理秩序，围绕保护好国家秘密而进行的组织、管理、协调、服务等职能活动，通过行政手段、技术手段和必要的经济手段，来约束和规范组织和个人的涉密行为，使他们的行为能够符合保密要求。

1.2 安全保密的重要性

党的四代领导都提出了加强保密工作的重要论述。毛泽东同志提出“保守机密，慎之又慎”； 邓小平同志强调：像原子弹一类的东西，不能让敌人摸底……；江泽民同志指出：必须守口如瓶，只做不说；胡锦涛同志重要批示：保守军事机密涉及国家安全，必须慎之又慎。

革命战争年代，保密就是保生存，保胜利；和平时期，保密就是保安全，保发展。

2 影响信息安全保密的因素

2.1 主要泄密途径

2.1.1 电磁辐射泄露

电子设备在工作的时候，就会产生电磁辐射，这些辐射信号就有可能会携带着正在处理的涉密信息。目前，辐射最可能造成泄密的是计算机的显示器、使用非屏蔽双绞线的计算机网络和计算机无线设备。

电脑显示器辐射通过专用设备处理后，可以恢复并还原出原来的信息。西方国家已能将一公里外的电脑屏幕电磁福射信号接收并复原。涉密网络如使用非屏蔽双绞线传输，非屏蔽网线就相当于一根发射天线，将传送的涉密信息发向空中并向远方传输，采用相应的接收设备即可还原出正在传输的涉密信息。电脑的无线设备主要包括无线网卡、无线键盘、无线鼠标和蓝牙、红外接口设备等。这些设备信号均采用空间传输方式，即使釆用了加密技术，也可能被窃密者可利用特殊设备进行信息拦截获取。

2.1.2 网络安全漏洞

计算机系统通过网络进行互联互通，各系统在远程访问、传输和资源共享的同时，也为网络渗透攻击提供了途径。

我国现有计算机技术存在着国产化程度不高，关键技术受国外垄断控制的约束，计算机系统如被人为预留后门、通道和漏洞，将造成极大威胁。另外，涉密计算机设备如配备了无线网卡，在机器工作状态下，就有可能无需任何人工操作就可联网被他人远程控制。敌对分子一是可以利用网络中存在的安全漏洞，入侵某个系统，取得管理员权限后，即可篡改或窃取涉密信息，二是利用“木马”程序进行远程操控，被植入的木马计算机将被当作跳板，所有信息均可被轻易窃取。

2.1.3 存储介质泄露

各类存储介质管理不善也是信息泄露的重要因素。存储介质如光盘、U盘、移动硬盘、磁盘阵列等，只做一般的删除或格式化处理的话，数据是可以通过专用软件等进行复原后造成泄密。一种被称为“摆渡木马”的恶意程序，主要感染对象就是移动存储。该木马会后台自动运行， 把电脑里的涉密资料打包成隐藏文件拷贝到存储中。当感染的移动存储在互联网和涉密网之间交叉使用时，木马将自动把存储的涉密信息发往互联网上的特定主机，造成信息外泄。

2.1.4 多功能一体机泄密

多功能一体机在使用或维护时，如未经专业处理将存有涉密信息的存储设备带走修理，或修理时无专人监督陪同，都有造成泄密的隐患。

使用多功能一体机的传真功能时，如连接到了普通电话线路，此时就会导致涉密信息在公共电话网络上进行传输。

2.1.5 人员泄密

人员泄密的表现主要包括违反相应的安全保密规范造成的失泄密，以及为利益驱动故意的卖密。

违反相应的安全保密规范下的失泄密，一是对文件资料或使用的设施设备管理不当、使用不当。二是保密意识淡薄，利用互联网交流时涉及了国家秘密。

为利益驱动故意出卖秘密，是指明知自己的所作所为会对国家安全和利益造成损害，却明知故犯的行为。

2.2 主要原因分析

2.2.1 相关制度规范缺乏或不完善

信息安全保密管理制度不够严谨和完善。一般单位都有相关的制度，但是如果不从实际出发，建立起的管理制度没有可操作性，没有相应的防范机制，将会形同虚设。因此，单位领导应重视保密制度的建设，制度应详细、规范、具体，且有详细具体的执行部门和执行程序，有了制度后要严格执行并责任落实到人，业务工作谁主管，保密工作谁负责。

2.2.2 技术管控手段欠缺

当今是网络信息化时代，几乎所有的信息和数据都是以电子化的形式存在和传输交换，窃密的方式也越来越多样化和高技术化，这就需要更高的信息安全保密的技术手段来保护秘密信息。但很多单位对窃密的技术管控手段认识不够，防护措施也不到位，有的甚至还停留在“三铁一器”的传统手段上。

3 大力加强安全保密管理

保密管理工作的原则是：积极防范，突出重点，严格标准，严格管理。

遵守这一原则，就必须要有健全的保密工作规章制度，强化的技术防护管控手段，优秀、有效的保密工作人员队伍。

3.1 建立健全的保密工作规章制度

保证有一个健全和完善的保密工作规章制度是做好保密工作的根本，应根据单位业务的牵涉对象、业务流程、秘密等级等具体实际情况，制定并及时修订完善，实现保密管理的持续性改进。

3.2 强化技术防护管控手段

3.2.1 对设备设施的防护

严格限制国外引进设备的使用范围。国外引进的产品， 必须重点检测产品是否带有恶意代码，采取加密措施。

3.2.2 对存储介质的技术防护

对于存储介质的技术防护分两方面进行，一方面是消磁，另一方面是防拷贝，可以通过加密码保护，使载体中的文件，不能用正常的方式读出。

移动存储介质交叉使用存在漏洞，采用单向导入技术加以防范。即可以完全的禁止数据在低级别的载体（如移动存储介质）和高级别的涉密计算机中交叉使用，带来泄密隐患。

3.2.3 网络使用管理防护

①实行物理隔离； ②明确网络使用管理人； ③依据岗位设定用户权限； ④严格控制信息输出； ⑤专人负责杀毒、系统运维、审计工作；⑥配置网络安全设备。

3.2.4 电磁辐射技术防护

在距离安全边界较近的涉密计算机上加装视频干扰保护设备，以扰乱计算机电磁辐射信号； 注意涉密设备与非密设备的间隔距离；涉密系统服务器和终端，禁止非涉密设备接入红黑隔离插座及扩展的普通插座；重要的涉密计算机及存储设备机房建造电磁屏蔽室。

3.3 加强人员培训与队伍建设

建立一支优秀、有效的保密工作人员队伍，是做好安全保密工作的必要条件，涉密人员必须是“可靠、可信、可控、可用”的，同时又要懂保密、会保密、善保密，有不断提高应对市场经济各种诱惑和社会信息化各种挑战的知识和本领。

对涉密人员开展定期的各项培训工作，逐渐强化涉密人员的保密意识和思维观念，在全方位、多角度的检查过程中综合培养，使其掌握现代最新的信息管理技术，提高解决和消除各种安全隐患的能力，成为具有专业素质的合格的涉密人员。

4 结束语

预防+治理=安全，安全+保密=和谐。我们要着力于“人防、物防、技防”三个层次，从制度上建立健全，从思想上高度重视，从行动上认真贯彻，坚持“保密工作无小事”的态度，充分认识信息安全保密工作的重要性，让每个员工切身为保密工作动起来，这样保密工作才能真正做到常态化管理。

参 考 文 献

[1] 办公室业务，2008年第7期.

[2] 保密科学技术，2016年2月.

[3] 周光霞，孙欣.赛博空间对抗[J].指挥信息系统与技术，2012，4（2）：8-9.

[4] 王晓甜.如何做好网络信息化时代信息安全保密工作[J].科技创新导报，2015（5）.

数据信息安全保密技术研究 篇7

1 保密技术对数据信息安全的重要性

保密技术是企业为获得自身利益和安全, 将与自身发展密切相关的信息进行隐藏的一种手段, 随着互联网的快速发展, 企业信息的保密也越发重要。保守企业秘密是指严格按照有关经济法律和企业内部的规章制度, 将涉及信息和涉密信息的载体控制在一定的范围之内, 限制知悉的人员, 同时也包含了企业自身或内部员工保守秘密的职责, 并以此采取相应的保密活动。通常情况下, 属于保密范畴的信息, 都应当明确内容, 并规定相应的期限, 在此阶段内, 保密主体不能够擅自改变, 并且其知悉范围是通过强制性手段和措施来实现控制的[1]。

企业为防止关乎自身利益的秘密被公开, 对自身的信誉和形象造成损失, 需要对这些数据信息进行保密, 并将一些重要信息列入所实施的保护行为中。在信息大爆炸时代, 数据信息安全保密能够保障社会的健康、有序发展, 同时还能够推动各个企业的持续进步。而如果企业中重要的数据信息被泄露或者遭到恶意破坏, 会直接影响企业的经济安全, 甚至会导致企业经济瘫痪。

2 数据信息安全保密技术类型

2.1 口令保护

对数据信息设置口令是数据信息安全的基础保障。在对数据保密信息设置安全保障的过程中, 可以先根据计算机技术设置登录密码, 并确保密码的复杂性, 如字母与数字混合、大小写字母与数字混合等, 以免被黑客破解。如果有提示密码可能被盗的消息, 则应当及时辨别消息的真实性, 并登录到安全中心重新设置密码, 从而确保数据信息登录的安全性和可靠性。

2.2 数据加密

在信息的存储及传输过程中有一个重要的手段, 就是对数据进行加密, 这样才能够保证数据信息的安全性, 从而提升信息保密的抗攻击度。所谓数据加密, 主要是指根据较为规律的加密变化方法, 对需要设置密码的数据进行加密处理, 由此得到需要密钥才能识别的数据[2]。加密变化不仅能够保护数据, 还能够检测数据的完整性, 是现代数据信息系统安全中最常用也是最重要的保密技术手段之一。数据加密和解密的算法和操作一般都由一组密码进行控制, 形成加密密钥和相应的解密密钥。在数据信息传输的过程中, 可以根据相应的加密密钥, 加密数据信息, 然后根据解密密钥得出相应的数据信息。在此过程中, 大大保障了数据信息的安全, 避免被破解。

数据加密主要是指根据加密算法E和加密密钥Ke, 将明文X变换成不容易识读的密文Y, 记为:Y=EKe (X) 。

数据解密主要是指根据解密算法D和加密密钥Ka, 将密文Y变换成为容易试读的明文X, 记为:X=DKd (Y) 。

2.3 存取控制

为保证用户能够存取相关权限内的数据, 已经具备使用权的用户必须事先将定义好的用户操作权限进行存取控制。在一般情况下, 只要将存取权限的定义通过科学的编译处理, 将处理后的数据信息存储到相应的数据库中。如果用户对数据库发出使用信息的命令请求, 数据库操作管理系统会通过对数据字典进行查找, 来检查每个用户权限是否合法。如果存在不合法的行为, 则可能是用于用户的请求不符合数据库存储定义, 并超出了相应的操作权限, 这样则会导致数据库对于用户的指令无法识别, 并拒绝执行。因此, 只有在采取存取控制保护措施下, 数据库才能够对发出请求的用户进行识别, 并对用户身份的合法性进行验证。同时还需要注意不同用户之间的标识符都具有一定差异, 经过识别和验证后, 用户才能够获取进入数据库的指令, 以此确保数据信息的安全性, 为用户提供一个良好的数据应用环境。

系统在对用户身份进行识别和验证后, 还需要对用户的输入信息进行分辨。如果用户的数据信息符合数据库信息应用要求, 则允许其对数据库中的资源进行共享, 这样不仅能够确保各个用户的数据应用需求, 同时还能够保证数据库信息的安全性。对于登录数据库的用户一般被分为以下四种类型:一是特殊用户, 也就是系统的管理人员, 具有较高级别的特权。特殊用户能够任意访问系统的资源, 并且具有全部的操作能力。二是一般用户, 对于数据库的访问受到一定限制, 系统管理员会对用户的指令进行分辨处理。三是指审计用户, 系统管理员应当对数据库内的资源使用情况及安全控制情况进行分析和统计。四是指作废用户, 一般为非法用户, 被系统拒绝访问。

2.4 其他技术措施

出现的计算机犯罪行为, 大多是为得到数据库信息而攻击数据库。而导致数据库信息泄密的主要因素就是计算机病毒, 它不仅入侵计算机系统, 同时还会导致计算机因出现病毒而无法使用[3]。很多计算机病毒能够篡改、复制和窃取数据信息, 从而造成泄密。计算机病毒能在计算机上自动运行, 并且隐藏在系统内存中创建进程。应安装和使用安全软件对U盘病毒进行彻底查杀, 并对计算机进行保护, 如对系统进行安全优化, 定期进行体检等。对于插入计算机的光盘或U盘等外来硬件, 则应当首先进行扫描处理, 以避免病毒入侵。此外, 还可在Windows系统中点击运行 (R) , 在弹出的对话框中输入gpedit.msc命令, 在弹出的组策略窗口中依次点击“计算机配置”、“管理模块”、“系统”、“关闭自动播放”即可。其中“计算机配置”中的设置优先, 并且不阻止自动播放音乐CD。

3 增强数据信息安全保密技术

3.1 数字签名技术

在计算机网络通信中, 经常会出现一些假冒、伪造、篡改的数据信息, 对企业应用数据信息造成了严重影响, 对此, 采取相应的技术保护措施也就显得非常重要。数字签名技术主要是指对数据信息的接收方身份进行核实, 在相应的报文上面签名, 以免事后影响到数据信息的真实性[4]。在交换数据信息协议的过程中, 接收方能够对发送方的数据信息进行鉴别, 并且不能够出现否认这一发送信息的行为。通过在数据签名技术中应用不对称的加密技术, 能够明确文件发送的真实性, 而通过解密与加密技术, 能够实现对数据信息传输过程的良好控制, 以免出现信息泄露的情况。

3.2 接入控制技术

接入控制技术主要是指针对用户所应用的计算机信息系统进行有效控制, 实现一般用户对数据库信息的资源共享, 这是避免非法入侵者窃取涉密信息的另一关卡。对于需要密切保密的数据信息库, 用户在访问之前应当明确是否能够登陆, 及登陆之后是否涉及保密信息, 以加强数据信息控制。在对绝密级信息系统进行处理时, 访问应当控制到每个用户。在系统内部用户非授权的接入控制中, 任意访问控制是指用户可以随意在系统中规定的范围内活动, 这对于用户来说较为方便, 而且成本费用也比较低廉。但是此种做法的安全性较低, 如果有用户进行强制访问, 势必会导致外来信息入侵系统。对此, 采用强制访问方法能够有效避免非法入侵行为, 虽然安全费用较大, 但是安全系数较高[5]。

3.3 跟踪审计技术

跟踪审计技术主要是指对数据信息的应用过程进行事后的审计处理, 也就是一种事后追查手段, 对数据系统的安全操作情况进行详细记录。通过采用此种技术, 如果数据库系统出现泄密事件, 能够对泄密事件的发生时间、地点及过程进行记录, 同时对数据库信息进行实时监控, 并给出详细的分析报告, 以保证数据库系统的可靠性。跟踪审计技术可以分为好几种类型, 如数据库跟踪审计、操作系统跟踪审计等。这些技术的应用及实施, 能够加强对数据库信息的安全限制, 以免再次出现病毒入侵的情况。

3.4 防火墙技术

防火墙技术主要是指对计算机网络的接入进行有效控制, 如果有外部用户采用非法手段接入访问内部资源, 防火墙能够进行识别并进行相应的反击处理, 从而将不良信息隔在网络之外。防火墙的基本功能是对网络数据信息进行过滤处理, 同时对外来用户的访问进行分析和管理, 拦截不安全信息, 将网络攻击挡在网络之外[6]。

网络防火墙所采用的技术措施不同, 可分为四种类型: (1) 包过滤型技术。该技术是分组交换技术在网络中的应用, 将数据分割成一定大小的数据包后, 在每个分组包含一定信息的情况下, 防火墙一旦发现来自危险站点的分组包, 就会自动选择丢弃。这种技术的优势是成本较低, 并且能够进一步加强数据库系统的安全保障。但也存在一定的缺点, 就是对于应用层的恶意侵入信息无法有效识别。 (2) 网络地址转化。网络地址转换技术的应用允许具有私有化的IP地址的内部网络访问因特网, 在内部网络通过安全网卡访问外部网络时, 将会产生映射记录, 系统将外出的源地址和源端口映射为一个伪装的地址和端口, 该地址和端口通过非安全网卡与外部网络相连接。这样, 虽然通过非安全网络, 但隐藏了真实地址。防火墙根据事先定义好的映射规则检测请求访问的IP地址的安全性, 符合规则的则会接受访问请求。 (3) 代理型防火墙技术。它的安全性比包过滤技术要高很多, 能够完全阻挡客户机和服务器之间的数据交流。代理服务器根据客户机的请求向服务器索取数据, 然后由代理服务器传回, 内部网络系统很难遭到外部的恶意侵害。 (4) 监测型防火墙技术。它与传统防火墙技术有本质区别, 此种技术措施不仅能够对各个层次的数据信息进行检测和存储, 同时还能够对这些数据信息进行分析和过滤, 以避免出现非法侵入。同时能够检测网络外部的攻击, 还能对来自内部的恶意破坏进行有效防范。

3.5 数据信息安全保密人才的培养

人才是技术的载体和关键, 企业要想应用数据信息安全保密技术, 应当注重人才的培养, 以适应信息化背景下保密工作的高要求。可对有关技术人员进行短期集中训练, 训练工作要重点突出, 并且具有一定的针对性。为技术人员提供进入院校进修的机会[7]。技术人员应注意总结经验和提高个人素质, 根据工作需要和个人实际情况, 充分利用有效资源和条件进行学习, 将所学理论知识和实际工作进行有效结合。

4 结语

对数据信息进行安全保密管理是信息安全的关键, 也是安全管理的核心。随着现代科学技术的不断发展, 信息化条件下的保密工作和传统的保密工作已经有了截然不同的特点。因此, 在未来的发展过程中, 对于数据信息的安全保密显得更加重要, 需要进一步改进相关技术, 需要企业不断努力。

摘要：数据信息安全保密技术是保障数据信息化水平和信息能力的基础, 也是保障企业经济利益的基础。随着计算机技术的广泛应用, 信息安全保密管理的对象、范围、手段、方式等都发生了很大的变化, 安全保密技术的要求, 难度也不断加大。本文将对数据信息安全保密技术进行详细研究。

关键词：数据信息,安全技术,保密技术

参考文献

[1]杨通胜, 徐芳萍.数据信息安全保密技术浅析[J].计算机与网络, 2012, 08 (05) :55-57.

[2]胡鑫.公共部门在发展电子政务中的信息安全保密管理对策研究[D].内蒙古大学, 2011, 08 (12) :156-157.

[3]周瑾, 杨倩.构建海洋科研机构信息安全保密技术防范体系[J].信息系统工程, 2012, 09 (03) :68-69+50.

[4]罗滦.档案信息“三轴四维能力”安全保障体系研究[D].浙江大学, 2013, 06 (05) :108-109.

[5]柳琰.信息安全专家眼中的保密科技与发展——访北京邮电大学信息安全中心主任杨义先教授[J].保密科学技术, 2011, 04 (10) :116-118.

[6]宋文江.基于电子签章技术的电子政务系统设计与实现[D].电子科技大学, 2013, 03 (08) :157-158.

信息保密 篇8

随着互联网的迅速发展及人民银行各项工作网络化、信息化的普及,基层央行计算机信息安全和保密工作面临新的挑战。主要体现在计算机网络、重要业务应用系统和移动存储设备安全的管理等诸多方面。因此,正确处理计算机信息安全与信息保密,切实做好基层央行计算机信息安全与信息保密已经成为基层央行科技工作的一项重要内容。

2 信息泄密的主要途径及威胁计算机信息安全的因素

要确保计算机信息安全,首先要了解和掌握其信息是如何失密、泄密的,其安全隐患是如何产生的,才能更有效地杜绝隐患。

2.1 物理途径泄密

每台计算机运行时其固有电磁波辐射会产生信息泄漏,主要是通过其显示器、信号线和电源线的电磁辐射导致信息泄漏。众所周知,计算机是依靠高频脉冲电路产生脉冲信号进行工作的,由于电磁场的变化,必然要向外辐射电磁波。这些电磁波会把计算机中的信息泄漏出去,作案人员只要具备相应的接收设备,就可以将其接收,从而窃得秘密信息。据有关专家试验,计算机运行时,通过相关接收设备,在1000米以外能接收并清晰地还原计算机显示终端的信息;在开阔地带距其100米以外,用特殊的监听设备也能接收到其辐射信号。

2.2 网络途径泄密

计算机信息系统网络化运行容易造成信息泄漏而引起泄密,也容易大范围感染计算机病毒而造成网络堵塞、瘫痪甚至系统崩溃,存在巨大的安全隐患,这是由于计算机网络结构中的数据是共享的,主机与用户之间、用户与用户之间通过传输网线相联,就存在许多泄密漏洞,使得泄密的渠道和范围大大增加,感染计算机病毒的概率也就大大增加。

2.2.1 网络节点泄密

计算机联网,其信息短距离(100米内)传导多由铜芯网线传输,长距离传导则多由光纤线路传输,传输线路中还包括许多交换机、路由器及其它通信转换设备;网络越大,线路通道分支就越多,输送信息的区域也就越广,存在泄密漏洞的可能性也就越大,截取网络输送信息的条件也就越便利,重要信息传输若不进行加密处理,窃密者只要在网络中任意一条分支信道上或某一个节点、终端进行截取,就可获得所需的信息。

2.2.2 侵入泄密

黑客或者间谍组织利用操作系统、重要业务系统及网络交换机中存在的安全漏洞进行网络攻击,进入联网内的计算机信息系统进行窃密与破坏或是利用非法手段进入安全保密措施不强的计算机信息系统进行非法访问,对系统内的信息进行修改、破坏和窃取。

2.2.3 数据交叉传输泄密

日常办公的网络化和自动化,使得U盘等移动存储设备成为病毒攻击和泄密的又一个主要途径。一些人员由于安全保密意识淡薄,在使用过程中,同一个移动设备在内联网和互联网之间交叉混用、在工作电脑上和家庭电脑上共用,为病毒传播提供了温床,为黑客窃取存储介质中的秘密信息(如涉密的U盘、硬盘、光盘、笔记本电脑等)大开方便之门,泄密隐患相当严重。

2.3 人员因素泄密

人员管理是防止安全事件和泄密事件发生的关键环节,也是难点。

2.3.1 无知泄密

由于相关人员平时不加强计算机安全知识的学习,保密意识淡薄,容易因操作不当而导致泄密事件的发生。如由于不知道计算机的电磁波辐射会泄露秘密信息,计算机工作时未采取任何措施,因而给他人提供窃密的机会;还有的由于不知道计算机存储介质(如软盘、U盘、硬盘等)上的剩磁可以提取还原,将曾经存贮过秘密信息的存储介质借给别人或交流出去或不作技术处理而丢掉,因而造成泄密。还有的由于没有高安全防范知识及手段,在上互联网时,无法保证存在本地计算机上的数据和文件不被黑客窃走。

2.3.2 违章无意识泄密

如将发生故障的计算机送至人民银行系统外的电脑公司去维修,送修前既不做消磁处理,又不安排专人监修,由电脑公司随意处置而造成秘密数据外泄,或者由电脑公司将其上互联网造成非法外联,秘密数据被黑客或间谍组织窃走;还有的为了下载材料图一时方便,将内联网办公用机非法外联上互联网,造成秘密数据被黑客或间谍组织窃取;还有的由于思想麻痹,对计算机媒体存贮的涉密内容疏于管理,造成媒体的丢失;还有的人员违反规定把秘密信息在上互联网的家用电脑中进行处理而造成泄密,还有的人员使用互联网传递国家秘密信息而泄密等。

2.3.3 人为故意泄密

操作人员因利益驱使,向不法分子泄漏本单位的信息系统、数据库等重要秘密;主要就是间谍组织常常采用金钱收买、色情引诱等手段来策反掌握重大秘密的计算机工作人员,以窃取所需信息系统的秘密。如程序员和系统管理员被收买策反,就可以得知计算机系统软件保密措施,获得使用计算机的口令或密钥,从而进入计算机网络系统,窃取该系统的信息或数据库内的重要秘密;操作员被收买,就可以把计算机保密系统的文件、资料向外提供;维修人员因利益引诱,就可利用进入计算机或接近计算机终端的机会,更改程序,装置窃听器等。

3 强化计算机信息安全与信息保密的主要措施

计算机信息安全与保密工作重在防范,它的核心就在于管理,从许多泄密的案情来看,大多数是由于管理工作不到位造成的。所以,在强化信息安全与保密工作中,务必对症下药,把好关口,守住要隘,做到技术防范手段与管理措施相结合,严防失密、泄密及系统崩溃等安全事件发生。

3.1 强化工作人员的保密观念,筑牢思想防线

基层央行信息保密工作是一项基础性、群众性的工作,点多面广量大,它不是一项单独的工作,而是与基层央行各项特色工作密不可分的。一是面对高科技的发展,要改变过去那种只要关好门,锁好柜、管好文件就不会泄密的传统观念,而是要从维护国家安全和秘密信息安全这一角度出发,深入学习保密知识,不断强化保密观念,筑牢思想防线。二是要针对存在的计算机网络信息安全意识淡薄、保密知识缺乏和认识模糊等特点,加大保密宣传教育力度,坚持不懈、不厌其烦地对广大员工进行经常性的讲形势、讲责任、讲危害的保密教育和保密提醒,并通过各种方式,引导大家充分认识窃密与反窃密斗争的严峻形势,充分认识计算机网络泄密的严重危害和加强网络信息安全工作的重要意义,增强危机感和紧迫感,提高做好计算机网络信息安全工作的自觉性,从而使每一位员工能够严格执行保密制度,自觉把住容易泄密的环节,掌握防范的方法,切断泄密渠道,杜绝信息安全隐患。

3.2 加强涉密人员、涉密介质、涉密事项的管理

一是要根据国家信息安全和保密的有关规定,结合工作特点,制定符合实际并且操作性强的保密管理制度,强化制度建设。二是要管理好涉密人员,主要包括保密要害部门、要害岗位上的工作人员,并从上到下层层签订信息保密责任状,把保密工作的各项方针政策和措施落到实处。三是要加强涉密载体在使用、保管、维修、处理及销毁等各个环节的管理。四是涉密事项及涉密活动的管理,事前要制定切实可行的保密工作方案,事中要严格组织实施,事后要进行检查总结,建立健全涉密文件资料传递、复印、销毁登记,严格把关,确保涉密信息的安全传递使用。五是不论是互联网还是内部往来的计算机都要严格实行审批登记制度并采取MAC地址绑定、网络接入管理、入侵检测和网络运行管理等多种技术手段确保计算机信息保密。

3.3 提高防泄密、反窃密的技术保障能力

保密工作是一个系统工程,既要着眼于全面、全局,更要突出重点,确保万无一失。一是要加强涉密设备的物理隔离。严禁涉密计算机或连接涉密信息系统的计算机直接或间接接入互联网,密级信息不得存储在非涉密移动存储介质上。二是加强计算机信息安全检查。运用保密监督和技术监测检查等多种手段,及时发现信息保密问题,并采取切实有效措施,堵塞漏洞,消除隐患。三是做好数据加密处理,保证信息数据的安全。对涉密的计算机设置登录密码、屏保密码,对网络交换机、路由器增设网络加密机并做好符合保密规定的安全设置。四是确保安全防护软件有效运行。及时检查网络防火墙、入侵检测设备、防杀病毒软件病毒库及安全补丁自动分发系统等安全防护软件的有效运行,确保数据更新。五是做好数据备份处理。对重要的信息及系统采取数据备、系统备份和异地备份等多种形式,并经常性的对数据进行恢复检测,提高信息数据备份的可靠性和有效性。六是了解掌握计算机信息安全的最新成果,及时提出信息保密的对策和建议,及时采购并部署最先进保密技术的设施。

参考文献

[1]李伟.基层央行信息安全风险防范[J].中国金融,2014年09期.

[2]刘瑞.对基层央行信息安全保密工作的思考[J].金融科技时代,2011年08期.

从“维基解密”看信息保密和泄密 篇9

“维基解密”网的基本情况

“维基解密”网站成立于2006年, 2007年1月首次在网络上露面。它是一家非营利性网站, 专门发表从匿名来源处获得的保密文件或者报告。“维基解密”网站的定位, 是监督政府行为的“揭秘”网站。它一直声称:反对权力过度扩张的政府, 支持公民活动家、记者以及其他挑战强权的人士。该网站运营以来, 让不少国家的政府和企业头痛不已。

“维基解密”网站专门公布机密“内部”文件, 其宣称要揭发政府或企业的腐败甚至是不法的内幕, 追求信息透明化。“维基解密”网站没有公布自己的办公地址和电话号码, 也没列举该网站的主要运营者的姓名, 甚至连办公邮箱都没留。外界既不知道它的总部在哪, 更不知雇员是哪些人。该网站依靠服务器和数十个国家的支持者, 做了很多事情。材料的提供者全都是匿名的。该网站由一些新闻记者、技术人员以及活动家来运行, 内容可谓“兼收并蓄”。截至目前, 该机构已经发布大量“维基解密”文档, 自称此举很可能会改善调查性报道的质量, 减少政府腐败, 重建企业伦理文化。

该网站创立者为澳大利亚记者朱利安·阿桑奇, 被称为“黑客罗宾汉”。作为“维基解密”的创始人, 他认为, 透露公共治理机构的秘密文件和信息, 对大众来说是件有益的事。9万多份驻阿美军秘密文件的解密让他足以成为创造历史的人物。这给美国政府、军方和相关企业带来很大麻烦, 一些国家也似乎感到“维基解密”带来的潜在威胁, 纷纷对维基网站发出禁止令, 阿桑奇最终迫于国际社会的各种压力, 以强奸罪在英国自首并被捕, 美国、瑞典纷纷提出引渡要求。一时间, 看似“维基解密”网站即将销声匿迹, 但随后事态的发展充分证明, 关闭“维基解密”是不可能的, 因为他们拥有由镜像站点组成的网络。即使他们关闭其中一个, 那么另一个又会出现。根据“维基解密”网站提供的信息, 截至12月10日, “维基解密”拥有1559个镜像站点, 分别位于瑞典、荷兰、新西兰、俄罗斯、波兰和其他国家。那么, “维基解密”网站是怎样运作并扩大影响的呢?

通过大量的解密内容和相关技术细节, 可以看到“维基解密”网站的运作方式。用户可以通过表单匿名上传材料, 然后“维基解密”给予核实。作为给嵌入表单的回报, 这些网站将得到经过核实的保密文档, 并首发报道。“维基解密”可以在自己的网站上转发这些新闻故事, 并自由传播。目前“维基解密”提供三种文档提交方式:上传到网站、E-mail和邮件。

网络专家通过常规经验和相关证据, 初步判断出“维基解密”的盈利模式。直到现在, 该网站的运营资金仍来自志愿者的捐助以及团队成员自掏腰包。据说费用每年为30万美元, 其中绝大部分用于支付服务器和技术支持的费用。借助现在的超高人气, 该网站正想方设法吸引新的捐助者以及基金会的支持。

“维基解密”通过公布大量信息机密吸引大众眼球的同时, 也招致不少的质疑之声。有人称, 该网站不遵循平衡报道原则。由于它本身具有秘密特征, “维基解密”相对而言很少受到审查者、律师或地方政府的压力。这个全球性的“解密机器”也不受传统的记者规则以及平衡报道原则的限制, 这点也让人深为忧虑。现在, 主流的新闻媒体也密切关注该网站。

任何网络讯号都有可能被ISP所拦截, 如果在自宅、学校、工作场所、或是具有录影设备或会记录使用者身分的网吧把文档泄露的话, 可能危害告密者的人身安全。同时“维基解密”不经任何机构审查公布所谓重大信息, 也可能使揭秘所涉及的人物受到生命威胁。因此, “维基解密”所破坏的是传统的网络信息传播秩序, 颠覆了大众网络信息传播的传统, 给大众带来网络传播的新理念, 也必将引起人们对网络信息安全的新思考。

“维基解密”网站揭秘的内容

综合各界信息, 可以梳理出“维基解密”近几年来所泄露的几大“不能说的秘密”。

美军袭击伊平民视频。“维基解密”网页上的一段视频录像显示, 驻伊拉克美军士兵在直升机上朝地面上的人群开火, 结果造成包括2名英国路透社记者在内的18人死亡。这段视频立即引起舆论大哗, 外界纷纷指责美军的暴行。但美国军方却拒绝对开枪士兵进行惩处。

关塔那摩监狱手册。2007年, “维基解密”公布了一份美国国防部下发给士兵的《关塔那摩监狱管理指导手册》。该手册内容显示, 监狱管理士兵有权阻止红十字会工作人员探视囚犯。如果被关押人员表现良好或是积极与军方配合, 还可获得“特别奖励”, 而这“特别奖励”就是一卷手纸。

气候学家擅自改数据。2009年, 超过1000封英格兰东安格利亚大学气候研究所的邮件内容被公布在“维基解密”网站上。邮件内容显示, 气候学家擅自更改对自己研究不利的气候数据, 以证明全球气候变暖主要是由人类活动造成的。此事导致人们对全球变暖理论产生怀疑, 影响很恶劣, 外界纷纷指责科学家操纵研究结果的行为。

佩林私人邮件。在2008年美国总统竞选期间, 美国共和党总统候选人麦凯恩的竞选搭档佩林的私人邮件账户曾被黑客窃取, 之后, 她和家人的大量私人照片以及一些邮件内容被“维基解密”网站公布在网上, 引发民众热议。

50万条“9·11”短信。2009年11月, “维基解密”网站曝光了超过50万条“9·11”事件发生当天美国民众通过手机发送的短消息内容, 其中包括美国联邦政府以及地方官员的短信。“维基解密”表示, 这批短信是匿名人士提供的, 他们公布这些短信只是为了尽可能地还原“9·11”事件发生当天的情形。

251287份美国国务院秘密外交文件。2010年11月28日, “维基解密”网站不顾美国政府的多次警告, 公布了美国驻全球各地使馆、领事馆或者代表处发给美国华盛顿国务院的电报和近8000多份国务院发给全球各地驻外机构的指示。大多数电报由大使、领事或者他们的工作人员起草, 包括他们对所在国家的政治形势分析、访谈, 对有关人员决定和事件信息的背景材料。电报在许多情况下提供了具体政治家和领导人的政治活动和个人信息情况。

“维基解密”对国际社会的影响和美国的应对措施

“维基解密”11月28日公布了近25万份来自美国国务院的秘密文件后, 在美国国内引起强烈反响。有人认为这给奥巴马政府带来了极大的难堪, 它不仅严重影响了美国的外交形象, 也对美国与盟国关系造成隔阂;也有人指责, 这是奥巴马政府内部信息共享政策过于宽松, 是信息安全管理的失败。为此, 美国政府表示将采取激进手段来预防未来的泄露事件, 并要对泄密者绳之以法。美国当局当地时间2010年11月27日晚表示, 拒绝与“维基解密”网站就其拟泄漏300多万份机密文件一事进行谈判, 同时宣布“维基解密”持有这些密件, 属于违反美国法律的非法行为。美国司法部正在对政府文档泄密事件进行刑事调查, 并称这类泄密将使美国民众的生命安全遭到威胁。美国国务卿希拉里29日对记者称, 她对国务院25万份资料外泄事件深表遗憾。她表示, 这些资料的公开不仅损害了美国的外交政策利益, 破坏了美国与同盟伙伴的关系, 而且影响了美国与其他国家进行对话与沟通的协商机制, 削弱了美国和其他国家一同解决问题的努力。希拉里称, 为预防泄露事件再次发生, 美国政府正采取一系列积极手段。针对这次全球规模的外泄事件, 美国国务院已成立了工作小组并持续和美国在全球的各外派单位保持联系, 进行追踪调查。

与此同时, 美国五角大楼28日公布了加强信息控制的新措施, 将采取短期和长期措施来防止机密信息被盗取。新措施包括:禁止官员在可移动媒介上“书写任何东西”。这将被作为一个暂时的技术解决方案, 以防止发生机密数据被移动至非保密系统的行为;限制批准将机密系统内数据移动至非机密系统计算机设施的数量。同时, 国防部还将开发监控和探测可疑、异常用户行为的程序。五角大楼发言人惠特曼表示, 国防部公布实施这些新措施的最基本目的就是打击欲通过非准许手段获取机密信息的行为。据国外媒体报道, 鉴于今年早些时候“维基解密”网站发布了几千份机密文件和几段军事视频, 出于安全考虑, 美国国防部现在发布禁令, 禁止美国国防部机密网络的用户使用移动驱动器。

这项禁令, 最初由美国空军发布, 后来其他部队也陆续进行了发布。该项禁令禁止美国国防部机密网络SIPRNet的用户在该网络的“所有系统、服务器和独立电脑上使用可移动的驱动器”。这些可移动的驱动器包括U盘、DVD光盘和CD光盘等类似设备。“在机密网站上, 经常会有未经授权的利用可移动驱动器传输数据的活动发生, 这给黑客窃取机密信息提供了可乘之机。”

希拉里称, 除国防部等地采取的新安全保障措施之外, 美国国务院将采取具体行动保护国务院信息, 使这类破坏无法也不会再度发生。美国国务院已经切断了军方进入其外交电报数据库的路径, 以防止今后再次发生泄密事件。美国国务院呼吁网站不要公开秘密文件, 任何泄露文件行为都是违法的, 还会危害无数无辜人士。美国政府和国防部已经下令, 除非具有相应的安全等级或授权, 否则联邦政府雇员和承包商不得阅读“维基解密”和新闻媒体公开的机密电文和文件。

美国国防部也在一则通知中告诉下属军事人员和承包商, 没有适当的授权就浏览这些信息违反了长期存在的规章制度, 尽管这些信息在互联网上是对公众开放的。在近期的声明中, 一位女发言人也表示, 在非机密的政府电脑上浏览或下载机密文件是安全违规行为。美国国会图书馆也在所有的员工电脑和无线网络上屏蔽了“维基解密”网站, 并指出未经授权公开这些机密文件并不能改变这些文件的状态, 也不会使这些文件自动解密。

“维基解密”显露网络对信息安全的威胁

网络信息多以明文方式存储在计算机硬盘中, 分发出去的信息无法控制, 极大地增加了管理的复杂程度。影响信息安全的因素很多, 既有自然因素, 也有人为因素, 其中人为因素危害较大, 通过“维基解密”的相关文件, 按照对网络信息的使用密级程度和传播方式的不同, 信息泄密的途径简单归纳为如下几方面:

由电磁波辐射 (传导辐射、设备辐射等) 泄漏泄密。这类泄密风险主要是针对国家重要机构、重要科研机构或其他保密级别非常高的企、事业单位或政府、军工、科研场所等, 由于这类机构具备非常严密的保密措施, 只需要通过健全的管理制度和物理屏蔽手段就可以实现有效的信息保护。

网络化 (网络拦截、黑客攻击、病毒木马等) 造成的泄密。网络化造成的泄密成为了目前企业重点关注的问题, 常用的防护手段为严格的管理制度加访问控制技术, 特殊的环境中采用网络信息加密技术来实现对信息的保护。访问控制技术能一定程度地控制信息的使用和传播范围, 但是当控制的安全性和业务的高效性发生冲突时, 信息明文存放的安全隐患就会暴露出来, 泄密在所难免。现在网络病毒、木马猖獗, 许多电脑一不小心就成为“肉鸡”, 这已经成为普遍现象。黑客已经不再是一个技术问题、道德问题, 而已经成为一种社会现象。黑客窃密已经成为信息安全的一大威胁, 所以不得不防。

存储介质 (维修、报废、丢失等) 泄密。便携机器、存储介质的丢失、报废、维修、遭窃等常见的事件, 同样会给企业带来极大的损失, 在监管力量无法到达的场合, 泄密无法避免。

内部工作人员泄密 (违反规章制度泄密、无意识泄密、故意泄密等) 。目前由于内部人员行为所导致的泄密事故占总泄密事故的70%以上, 内部人员的主动泄密是目前各企业普遍关注的问题, 通过规范管理制度、约束访问控制, 再加上一定的审计手段威慑等防护措施, 能很大程度地降低内部泄密风险。但是, 对于终端由个人灵活掌控的今天, 这种防护手段依然存在很大的缺陷, 终端信息一旦脱离企业内部环境, 泄密可能依然存在。美国密西根州的珀纳蒙研究所研究报告结果显示, 离职人员带走的公司信息对竞争者具有价值, 67%的人表示他们使用前雇主的商业机密、敏感信息和专利信息帮助其在新公司立足。离职雇员这种行为不仅是将公司客户信息以及其他公司商业机密置于危险之中, 还将对公司的竞争力和公司未来的经营造成很大的负面影响。

外部窃密。国家机密、军事机密往往被国外间谍觊觎, 商业机密具备巨大的商业价值, 往往被竞争对手关注。自古以来对机密信息的保护, 都不可避免以防止竞争对手窃密作为首要目标。不管是政府、军队和企事业单位, 都不可避免面对间谍的威胁。中国处于高速发展时期, 国外许多敌对势力或者是跨国竞争对手, 一直在对中国虎视眈眈。间谍案件屡见不鲜, 仍然不可掉以轻心。商场如战场, 现代的商业竞争往往不择手段, 近几年竞争对手派人到对方公司卧底, 或者是收买竞争公司人员窃取资料, 也时常见诸报端。

“维基解密”带来的深层次影响

“维基解密”事件随着其创办人在伦敦的自首, 以及必将受到相关国家的引渡及审判而告一段落, 但围绕文件的保密和泄密问题必将引起各国政府和社会大众的深思。“维基解密”所带来的社会影响为:

一定时期会带来黑客狂魔乱舞。自网络产生并建立以来, 黑客也就成为网络安全的恶魔。由于黑客的存在, 使得网络安全面临极大的威胁, 其行为给政府和社会带来影响和损失。“维基解密”更加暴露了当今网络技术安全的脆弱, “维基解密”网的巨大成功, 也必将使得黑客势力跃跃欲试, 充分利用其娴熟的技术, 肆无忌惮地攻击网络漏洞, 达到一夜成名甚至达到其非法目的, 因此, 危机事件将会带来新一轮的网络安全威胁, 我们必须对此保持高度警惕。

将带来网络信息法律法规的进一步完善。“维基解密”事件也充分暴露了世界各国在应对网络信息保密和泄密问题上法规不健全。面对如此影响国家集团利益的行为, 相关法律法规的漏洞甚至空白, 使得有关国家应对乏力, 职责难明。从理论上讲, 政府是保密政策的制定者和坚持者, 而社会公众和舆论媒体处于好奇及某些利益, 从而成为泄密的最大动力。因此, 通过“维基解密”事件, 会促使世界各国政府和相关组织进一步建立健全网络信息安全法律法规。

会带来网络信息安全的技术进步。在网络技术产生之日起, 网络信息的安全保密和失密泄密总是在相互的斗争和制约当中各自发展升级。正可谓:道高一尺魔高一丈。“维基解密”事件在很大程度上暴露了网络安全的技术漏洞, 相关国家和组织可以通过事件显露出的漏洞加紧网络技术改造和产品升级, 以网络技术的更加进步来确保国家和集团核心利益的安全。可以想象, “维基解密”事件后, 将会带来新一轮的网络技术革命, 以保证正常社会秩序。

浅谈信息安全保密的主要对策 篇10

1 筑牢“防火墙”意识, 加强信息安全保密教育

首先, 观念上转变是信息安全保密教育的前提。在抓好高技术信息安全保密的新形势下, 保密工作的思路要从单纯地“保”转变到“保放结合, 确保重点”上来, 切实做到该保密的能够保住, 严防死守;保不住也无需再保的, 应大胆放开, 以适应国家经济建设、社会发展对信息的需求。保密工作的重点, 不仅只注重抓常规保密工作不放松, 还要做到信息安全保密管理能过硬。保密管理方式, 要从以行政管理为主的传统方式转变到行政管理与技术防护相结合的方式上来。同时要把有形的技术网与无形的思想网结合起来, 多管齐下, 形成思想、技术、管理三位一体的联防“网络”。其次, 内容上求新是信息安全保密教育的关键。新形势下保密教育应突出高科技发展的特点, 增加高科技知识含量, 调整、充实、完善保密教育知识体系, 提供适应形势发展的保密工作新教材, 使保密宣传教育具有时代性、针对性和前瞻性。应针对计算机网络技术含量高的特点, 大力普及计算机网络安全保密知识, 在基本常识、操作程序、防护手段、应急措施上下功夫, 实现所学知识向能力方面的转化。最后, 效果上求实是信息安全保密教育的根本。人是网络安全保密工作的主体, 搞好网络安全保密工作, 首要是做好人的工作, 把“防火墙”建在大家头脑中, 不断增强做好保密工作的自觉性。改变只注重教育上了多少课, 文件学过了多少个的现象, 把教育的实效定位在高技术条件下保密知识多与少, 保密意思的强与弱, 泄密事件有与无的标尺上。不断探索新形势下保密工作的特点和规律, 研究和解决保密工作面临的新情况、新问题, 切实在增长知识、强化意识、提高技能上下功夫。

2 锻造安全卫士, 加强信息安全保密人才队伍

首先, 人才建设至关重要。高技术条件下的窃密与反窃密斗争, 既是技术的较量, 又是管理的较量, 但归根到底是人才的较量。现如今, 国家机密已经不只是以红头文件的形式存在, 还大量存在于声、光、电、磁之中。面对新形势, 信息安全必须要有新的发展, 从重点抓一般条件下的保密转到重点抓现代技术的保密上来, 必须建立和培养一支掌握现代技术的高素质人才队伍。其次, 树立新的人才观念。新的历史时期, 信息安全工作的内容和方式正逐步向技术含量较高的专业性发展。因而, 信息安全人才就必须具有时代特征:复合性标准, 即政治思想要强, 知识结构要新, 具有较高的综合素质;适应性标准, 即对任职岗位、突发性情况要有很强的适应能力;创新性标准, 即针对信息安全保密工作的复杂性、多变性和不可预测性具有创新意识。最后, 大力培养高素质人才。抓信息安全人才建设, 既要坚持“人才共享”的原则, 又要始终以本单位人才的培养提高为主体。通过以老带新、对外交流的方式使人才在工作岗位上不断实践, 提高实际工作能力。要瞄准强敌, 加大信息技术的科技含量, 使受训人员熟悉和掌握信息安全保密的专业知识和专业技能, 更好地胜任本职工作。

3 坚持同步建设, 加强信息安全保密防护体系