信息系统安全管理

《信息系统安全管理》由会员分享，可在线阅读，更多相关《信息系统安全管理（19页珍藏版）》请在装配图网上搜索。

1、谈强化我区计算机信息系统安全保护工作的监督管理随着社会、经济及计算机应用技术的高速发展，计算机的应用已普及到现代社会的各行各业，信息产业已成为现代社会的三大支柱之一。广西和全国一样，计算机应用事业蓬勃发展，全区近年来以每年近万台的速度迅速增加。人类社会信息化程度越来越高，做为信息化核心支柱的计算机信息系统安全与否，将直接关系到国家安全、国计民生和社会稳定。然而，计算机信息系统的可靠性和安全性等方面尚存在许多不足和问题，计算机技术在给人类生活带来巨大进步的同时，也使得一些新型违法犯罪活动和新的社会问题随之产生。例如在金融部门，计算机已成为各项业务工作的基本工具，计算机信息系统成了大量资金流动的控

2、制中枢，因而也成为了犯罪分子攻击的主要目标。我区桂林市某储蓄所的一起计算机犯罪案件涉及金额为二千一百五十万元，是目前国内最大的计算机犯罪案件。此外，我国和俄罗斯先后发现带政治色彩的计算机病毒，我国名为“6.4”的计算机病毒，扩散了不良政治影响，破坏政治稳定。各式各样的计算机违法犯罪活动还有：制造、传播计算机病毒，利用计算机制作、传播、贩卖黄色淫秽物品，传播含有反动内容的计算机游戏和计算机教学软件，利用计算机国际联网进行反华宣传和传播黄色读物，青少年高智能犯罪等等。计算机的负面产品和负面作用不容忽视，去年12月18日人民日报的头版头条发表了一位母亲的强烈呼吁和该报评论员文章警惕“电脑犯罪”，说的

3、是一位女工控诉苏州宝碟公司制黄贩黄，毒害其16岁的孩子的事，引起了国家和整个社会的高度重视，全国各地纷纷开展扫“黄”打“非”行动。另一方面，目前许多计算机应用单位和部门计算机信息系统安全保护工作十分薄弱。计算机应用部门从领导到一般工程技术人员，普遍存在“重应用、轻安全”的倾向，有关安全的规章制度不健全或没有得到落实。计算机机房设施达不到安全标准，存在危害计算机信息系统安全的隐患。工作人员未参加过系统的安全培训，缺乏基本的计算机安全常识。多数党政机关用于处理机密信息的计算机没有防辐射泄密设施，不少金融部门计算机安全管理工作不够规范、不够落实，计算机主管部门想管而权力有限，保卫部门又不知如何去管。

4、由于上述原因，使得计算机信息系统的安全性、可靠性十分脆弱。如某单位计算机房由于没有完善的安全保护措施，一起火灾造成信息系统数据严重破坏，其恢复工作需十四个人干一年；又如由于缺乏安全知识，某硕士学位的青年教师，在扩大计算机磁盘自由空间时，由于误操作，将某油田及科研单位40多个人半年辛勤劳动取得的软件及数据全部清除，直接损失100万元。95年11月，新近开张的南宁市的某大型购物中心用于收款的计算机网络30多台工作站，因感染计算机病毒在一天之内全部瘫痪。有些单位在计算机机房附近施工，产生高强度的震动、大量的灰尘或挖断计算机系统地线等，也严重危害了计算机信息系统的安全。此外，由于缺乏统一有效的管理和技

5、术上的监督，计算机信息系统安全专用产品市场处于无秩序状态，各种伪劣、假冒、盗版的产品混杂其中，例如有的计算机病毒清除软件本身就带有计算机病毒，不仅损害了消费者的利益，更给计算机信息系统的安全带来新的隐患。94年2月颁布的中华人民共和国计算机信息系统安全保护条例（以下简称条例）和去年颁布的中华人民共和国人民警察法（以下简称警察法），明确公安机关主管计算机信息系统安全保护的监督管理工作。但是条例是一诠释性的行政法规，涉及的对象和范围很广，手段是以制度管理为主，通常以许可性条款和禁止性条款来进行调整，因此在实际执法工作中困难较多、较大。此外，条例颁布已两年多，而具体的实施、处罚办法（如安全等级划分标

6、准、安全专用产品销售许可证制度等）由于涉及各方面因素较多而久久未能出台，各地公安机关难以具体开展有效的监督管理工作。因此，根据当地实际制定地方性法规是十分必要的、急需的。正如公安管理中治安案件和刑事案件的关系一样，治安案件得到有效的控制和处理，其转化为刑事案件的可能性就小，如果在计算机安全管理中行政强制手段得力，计算机犯罪和计算机安全事件的隐患将大为减少，在“亡羊”之前“补牢”无疑远胜于在“亡羊”之后“补牢”。借鉴外省、市的成功经验，如黑龙江、山西、四川、福建、天津、重庆、长沙等制订了贯彻条例的地方性法规，或公安机关制定了贯彻条例的管理办法。这种本着积极管理、正确引导的态度，密切结合本地实际制

7、定地方法规或管理办法，强化计算机信息系统安全保护工作监督管理，寓监督于管理之中的做法，是符合我区当前实际的，是有利于促进我们广西计算机应用事业健康发展的。我们设想通过制定一系列规章来强化我区计算机信息系统安全保护工作监督管理。其主要内容是：一、计算机信息系统安全保护工作按安全级别实施监督管理。安全级别按计算机信息系统处理信息的内容分为四级：一级，涉及国家秘密、国家利益，或重要的、对社会影响面大的信息；二级，比较重要的或对社会影响面比较大的信息；三级，社会敏感信息，或部门、单位内部用于管理、控制的重要信息；四级，用户认为需要进行安全保护的其他信息。公安机关对安全级别为一、二级的计算机信息系统安全

8、保护工作实行重点监督指导，对安全级别为三级的计算机信息系统安全保护工作实行检查指导，对安全级别为四级的计算机信息系统安全保护工作实行登记管理。安全级别为一级、二级的计算机信息系统的使用单位，要建立由主管领导及业务管理、保密、保卫、审计、人事、技术等部门人员参加的计算机信息系统安全管理小组，制定计算机信息系统安全规章制度，确定安全保护工作内容，并根据本单位的实际情况定期做风险分析，提出对策，对不安全因素进行整改。安全管理制度应有下列内容：（一）机房环境安全；（二）信息数据安全（三）硬件、软件安全管理；（四）计算机病毒和其他有害数据的防治；（五）计算机网络或计算机通信安全；（六）系统管理、硬件维修

9、、软件开发、操作等人员的职责与管理；（七）应急方案。安全级别为一、二级的计算机信息系统使用单位要建立计算机信息系统安全保护工作年报表制度。计算机信息系统的使用单位在启用涉及国家秘密、国家利益或公众利益的软件系统（含购买、开发、移植等，国家部级单位统一下发的除外）之前先确定系统的安全级别。对安全级别为一级、二级的，由公安机关组织有关人员对软件系统进行安全测试、鉴定，合格后方可正式使用。安全级别为一级、二级、三级的计算机信息系统的新建（含扩建、改建）机房（注1），要对应符合计算机站场地安全要求（gb9361-88）中计算机机房安全类别a类、b类、c类的安全要求。在计算机机房附近施工或设在计算机机房

10、附近的设施，不得危害计算机信息系统的安全；新建、扩建、改建计算机机房实行审批制度。此外，涉及国家秘密的计算机信息，其处理和管理应符合中华人民共和国保守国家秘密法；处理涉及国家秘密的计算机信息系统的工作人员应按国家有关规定进行审查及管理。二、大力开展安全教育及培训。（一）各安全管理小组中的保卫、技术人员必须经过公安机关进行计算机安全管理培训。安全级别为一级、二级的计算机信息系统的操作人员必须通过公安机关认可的计算机安全知识考试，考试合格后由公安机关发给证书，持证上岗。各安全管理小组应定期对计算机工作人员进行安全、保密教育。（二）开设计算机课程的大中专院校及职业高中，其教材和课程应包含计算机安全法

11、规知识和计算机安全知识方面的内容，并列入教学方案中予以保证。（三）举办各种面向社会招生的计算机技术普及培训班（含电脑打字培训班）的单位，要向学员进行计算机职业道德和计算机安全常识教育。三、加强信息出入境管理。（一）运输、携带、邮寄计算机信息媒体（注2）出入境，应如实向海关申报，并应遵守国家保密局、海关总署关于禁止邮寄或非法携运国家秘密文件、资料和其他物品出境的规定等有关规定。（二）从事计算机信息系统国际联网的单位和个人，应按规定到公安机关办理备案手续。办理计算机信息系统国际联网业务及从事计算机信息系统国际联网的单位和个人，应自觉遵守国家有关法规，加强安全管理，不得利用国际联网传递有害数据，发现

12、境外通过国际联网传递有害数据的，应及时报告公安机关。四、查处涉及计算机的违法犯罪案件。各计算机信息系统使用单位和部门应加强对计算机工作人员的思想教育，树立良好的职业道德，并采取措施堵住管理中的漏洞，防止计算机违法犯罪案件的发生，制止有害数据的使用和传播。要按照“谁主管谁负责”的原则，对发生严重问题的单位追究领导责任。各计算机销售部门要对售出的计算机信息媒体（含随机奉送或配套销售）负责，不得含有有害数据（注3）。对计算机信息系统中发生的案件有关单位应当在24小时内向当地县级以上人民政府公安机关报告。五、计算机病毒防治及安全产品销售管理。要严禁任何单位和个人从事制造、故意传播计算机病毒的活动。并且

13、未经公安机关批准，任何单位和个人不得擅自从事下列活动：（一）公开发布计算机病毒疫情消息；（二）研究、收集和保存计算机病毒；（三）刊登、出版、发行、销售、出租描述计算机病毒机理及源程序的书籍和计算机信息媒体；（四）举办有关计算机病毒机理及其防治的讲座和培训班；（五）销售计算机信息系统安全专用产品（包括在工程中配套或整套系统中配套销售的安全专用产品）。单位中的安全小组应制定本单位计算机病毒防治制度并检查执行情况，负责清除本单位的计算机病毒，向当地公安机关报告所发现的计算机病毒及造成的危害，必要时需提供标本，协助公安机关追查计算机病毒的来源。安全级别为一级、二级、三级的计算机信息系统的使用单位必须具

14、有公安机关认可的计算机病毒防治技术措施；上述计算机信息系统中含有微机网络的，每个网络必须具有公安机关认可的网络预防、清除计算机病毒的技术措施。各销售、出租、安装、维修计算机硬件、软件的单位和个人必须保证所销售、出租、安装、维修的计算机硬件、软件不含计算机病毒。销售计算机信息系统安全专用产品的单位，必须向公安机关申请办理销售许可证，经审批后挂牌经营。凡在我区经营销售的计算机信息系统安全专用产品，经营销售单位必须向公安机关申报，经自治区公安厅认证审批后方可销售。六、奖励与处罚。对积极贯彻执行国家有关计算机安全法规及本办法，或协助公安机关查处涉及计算机的违法犯罪案件成绩突出的单位和个人，由各级人民政

15、府、行业主管部门和公安机关给予表彰或奖励。对违反计算机安全法规的，依法给予处罚。综上所述，强化计算机信息系统安全保护工作的监督管理必须在以法律为依据的基础上，辅以大量具体的、系统全面的管理制度，加上公安机关计算机安全监察部门的规范化的监督、指导，方能取得扎实、稳定的成效，确保我区计算机应用事业健康发展。附注：注1：计算机机房，是指放置计算机信息系统主要设备，保障计算机信息系统正常运行的专用功能较多，对环境条件要求相对普通办公室较高的专门场所。注2：计算机信息媒体，是指可存储、携带计算机程序、数据和信息的计算机硬磁盘、软磁盘、光盘、磁带、磁卡、纸带、卡片、打印纸、芯片等。注3：有害数据，是指计算

16、机信息系统及其存储介质中存在、出现的，以计算机程序、图像、文字、声音等多种形式表示的，含有攻击人民民主专政、社会主义制度，攻击党和国家领导人，破坏民族团结等危害国家安全内容的信息；含有宣扬封建迷信、淫秽色情、凶杀、教唆犯罪等危害社会治安秩序内容的信息，以及危害计算机信息系统运行和功能发挥，应用软件、数据可靠性、完整性和保密性，用于违法活动的计算机程序（含计算机病毒）。打造民族信息安全产业浪潮电子信息产业股份有限公司总裁 孙丕恕 作者简介：孙丕恕，教授级高工。长期从事国产计算机技术的开发研究，自84年以来，曾多次获得国家科技进步二，三等奖，机电部科技进步一，二等奖。 目前主持多项国家及部委级大型

17、项目，其中国产服务器应用系统，信息安全服务器被国家科委列为863项目；浪潮I6000系列服务器被国家计委列为九五科技攻关项目。由于在计算机领域的显著成就，被山东省委，省政府两次予以重奖；同时还获得省级拔尖人才，机电部突出贡献专家，山东省科技兴鲁积极分子，有突出贡献的中青年科学家等称号，并享有政府特殊津贴。发展民族信息安全产业已刻不容缓随着社会的发展，信息已成为最能代表综合国力的战略资源，信息安全已上升为一个事关国家政治稳定、社会安定、经济有序运行全局性问题，信息安全保障能力则成为了21世纪综合国力、经济竞争实力和民族生存能力的重要组成部分。没有信息安全，就没有真正的政治、军事和经济安全，就没有

18、完整意义上的国家安全。关注信息网络系统的安全问题成为业界的首要任务。特别是随着Internet的普及和电子商务、政府上网工程的启动，一方面，信息技术已经成为整个社会经济和企业生存发展的重要基础，在国民生活和企业经营中的重要性日益凸现；另一方面，政府主管机构、企业和用户对信息技术的安全性、稳定性、可维护性和可发展性提出了越来越迫切的要求，对于在国?quot;黑箱技术基础上建立起的关键性信息应用系统表现出了越来越多的疑虑。因此，从国家安全方面来看，发展民族信息安全技术已刻不容缓。国内信息安全产业现状虽然目前安全概念炒得比较热，但总体来说国内网络信息安全产业状况还不够成熟。一方面，一些传统IT大企业

19、纷纷投入安全领域，信息安全成为继网络产业之后又一被业内人士普遍看好的新产业发展方向。另一方面，目前还有为数众多的从事安全产品开发的公司规模较小，开发实力不强，或可持续发展能力不够。这些公司的成立大致有几种形式：一是上市公司收购或注资，其目的在于增加题材，推动自身股价；一种是匆匆上马，靠购买别人技术拥有几个产品，希望经过短期运作被收购。这是十分令人担忧的，因为安全产品不同于其他产品，从安全本身角度要求十分严谨，开发安全产品是一种长期的、不断积累的，精深的技术研究工作。由此可以想象，不能满足安全特性的产品投入市场无疑会造成不可想象的后果。 另一个问题是法规建设滞后和监督机制不力，一些出台的法规也没

20、有很好地被执行。在市场上经常可以看到一些未经过检测、未得到销售许可的，甚至严重违反国家有关规定的产品在作宣传，在进行推销。因此要真正达到防范于未然的目的，必须要有国家法规的严格约束，并建立起相应的监督机制和增强执法力度。 一般说来，国产安全技术及产品成熟度上与国外相比还有一定的差距，这是国内安全厂商都要面对的现实问题，更是在市场开发上面临的一个不利因素。但对安全产品而言，技术不是决定市场的唯一因素，更重要的一点是产品本身的安全性。很多研究成果表明国外安全产品存在着外国情报机构埋伏 后门的可能性，所以安全产品的研发及应用一定要以国产为主，尤其是密码产品，这一点也是国家有关管理政策硬性规定的。所以

21、，从竞争的角度看，国外产品存在后门这一明显漏洞，正是我们民族信息安全产业得以发展的契机。决心来源自使命感进军信息安全领域、为国家信息安全事业作贡献，是浪潮这类大型民族骨干IT企业义不容辞的责任。浪潮将以振兴我国民族信息安全产业为己任，以大力推进我国安全技术研发，生产水平和应用水平为目标，通过积累逐渐形成技术及人才优势，根据实际需要，重点展开体现国家意志的信息安全关键技术攻关研究，并进一步借助浪潮已有的产业化经验，以市场促发展，以发展推市场，大力推动我国信息安全产业的规模化。浪潮集团作为国家行业性骨干企业，拥有国家级企业技术中心，国家级博士后工作站、山东省服务器技术重点实验室和国家高新技术863

22、成果转化基地，因此具有较强的技术研发力量和完备的计算机软硬件开发试验环境。浪潮进军信息安全领域应该说是有备而来的，浪潮自96年就开始对安全技术及产品展开研究，已经取得了一些初步成绩，浪潮于2000年在国内率先推出了浪潮网泰信息安全服务器，浪潮网盾信息安全电脑等产品，这些产品填补了国内空白，在国家一些关键性安全敏感部门发挥着重要作用。所以说，多年积累形成的技术优势也是浪潮进军信息安全领域的一个重要的原因。 目前国家相关部门都非常重视信息安全产业化工作，在成都建立了我国第一个信息安全产业化基地，在上海建立信息安全产品的研发基地，在北京设立国家信息安全工程技术研究中心。全国的信息安全产业化已经有了一

23、个良好的开端。我们希望通过浪潮的带动，联合更多的企业，在山东孕育一个产业化氛围，形成一个新的集技术，人才，资金密集型的信息安全产业基地。浪潮信息安全产品理念信息安全产业将是浪潮今后几年的发展重点。除了浪潮自己在加速培养形成一支在国内安全领域拥有知名度的高级技术专业人才队伍之外，还通过建立一种开放式的研发协作体系，与国内研究机构、学校及社会上专家相结合，以产学研的方式完成了技术整合及成果嫁接，增强产品研发实力，加快产品研发速度，在同步跟踪国外先进技术同时，又结合中国市场的特殊需求进行技术及产品的创新。 浪潮在信息安全领域的定位是要成为核心安全设备的供应商。之所以有这样的定位，是浪潮基于对国内安全

24、产品的实际需求和对未来安全技术发展方向的理解。安全的覆盖面是非常大的，从底层硬件设备，到中间层操作系统，再到最上层的应用系统软件，应该都包括在系统范围以内。所以单纯靠哪个软件来解决安全问题是不现实的，在国?quot;黑箱技术基础上建立起的安全产品或系统，就像是建在沙滩上的大厦，或者说是空中楼阁。因此，研制开发自主版权的，具有国际先进技术水准的，从底层硬件，到操作系统，再到高层应用的系统化安全产品势在必行。浪潮安全产品理念可以用软件产品硬件化来概括，即在国产硬件平台上，运行开放的安全Liunx操作系统，再搭载自主版权的工具性应用软件来构建安全的应用系统平台。国产硬件平台提供了软件安全运行的环境，

25、而且是根据安全整体功能要求为软件量体裁衣而作，既保证软件性能能够得到充分发挥，又避免了不必要的浪费，反过来安全软件针对硬件平台又可做合理的安全性屏蔽和功能限制，两者结合在一起形成软硬件一体化的解决方案，为用户提供了真正可信，可控，并完全拥有公司發給員工一份員工使用電腦軟體保密公約,契約如下 1.xxxxx有限公司(以下簡稱本公司),由不同採購管道取得合法軟體之使用權,然本公司並不擁有該軟體及其相關文件,除非獲得軟體開發者許可,否則無權拷貝該等軟體及其相關文件.本公司員工應信守軟體倫理守則及遵行電腦軟體使用與著作權通告之規定. 2.本公司員工若發現公司內有任何對電腦軟體及相關文件的不當使用情形,

26、應即通知部門之主管妥善處理. 3.依據中華民國法律,凡未經授權而拷貝或使用軟體是違法行為,應付民事損害賠償責任,及包括有期徒刑之刑事責任.本公司決不寬待違法使用軟體的行為.所有員工必須對出現在你所使用的電腦中,未經授權的任何軟體負責.若違反軟體使用之規定,將遭受嚴厲(包括革職)之懲處.並自負一切相關責任. 軟體倫理守則 未經授權而拷貝具有著作權之電腦軟體,係違法行為且違反本公司政策,我們反對此種拷貝行為,並一下列原則,防止此類情勢的發生: .無論如何,我們不同意亦不容許拷貝或使用未經授權之軟體. .我們將適時提供足量之合法軟體,以符合本公司電腦之需求. .我們將遵守授權契約或購買條款之軟體使用

27、規範. .我們將及例行內部規範防止非法軟體的拷貝與使用.包括有效第查證上述準則的遵守情況,並對違反守則之行為予以嚴厲處分. 電腦軟體使用與著作權通告 本松脂美一個部門取得授權的軟體程式,在同一時間內只能在授權之電腦上運作.若電腦之硬碟上已存有軟體,則該編有序號之特定軟體,即不得在存入別的硬碟或電腦中. 本公司購買之個人電腦軍需安裝或得授權之軟體.資訊室及各部門之主管應負責部門使用之軟體均獲授權極受當管理,並應定期檢查各部門之電腦硬碟,確定硬碟上的每一份軟體產品均備有原本文件及磁片.相關文件及系統磁片應妥善保管,以方便檢查. 關於區域網路和多部電腦的使用,本公司員工只能按照授權契約的規定來使用軟

28、體. 所有員工都不得擅自將電腦內所安裝的原始版本軟體自行非法升級. 本公司不容許任何員工將任何授權予公司的軟體拷貝,轉借或給予外界第三者使用,包括有生意往來之公司和客戶.做好计算机信息处系统的保密工作是我们面临的新课题，突出表现是计算机系统容易泄密和被窃密。1、计算机电磁波辐射泄漏一类传导发射，通过电源线和信号线辐射另一类是由于设备中的计算机处理机、显示器有较强的电磁辐射。计算是靠高频脉冲电路工作的，由于电磁场的变化，必然要向外辐射电磁波。这些电磁波会把计算机中的信息带出去，犯罪分子只要具有相应的接收设备，就可以将电磁波接收，从中窃得秘密信息。据国外试验，在1000米以外能接收和还原计算机显示

29、终端的信息，而且看得很清晰。微机工作时，在开阔地带距其100米外，用监听设备就能收到辐射信号。这类电磁辐射大致又分为两类：第一类是从计算机的运算控制和外部设备等部分辐射，频率一般在10兆赫到1000兆赫范围内，这种电磁波可以用相应频段的接收机接收，但其所截信息解读起来比较复杂。第二类是由计算机终端显示器的阴极射线管辐射出的视频电磁波，其频率一般在65兆赫以下。对这种电磁波，在有效距离内，可用普通电视机或相同型号的计算机直接接收。接收或解读计算机辐射的电磁波，现在已成为国外情报部门的一项常用窃密技术，并已达到很高水平。2计算机网络化造成的泄密由于计算机网络结构中的数据是共享的，主机与用户之间、用

30、户与用户之间通过线路联络，就存在许多泄密漏洞。（1）计算机联网后，传输线路大多由载波线路和微波线路组成，这就使计算机泄密的渠道和范围大大增加。网络越大，线路通道分支就越多，输送信息的区域也越广，截取所送信号的条件就越便利，窃密者只要在网络中任意一条分支信道上或某一个节点、终端进行截取。就可以获得整个网络输送的信息。（2）黑客通过利用网络安全中存在的问题进行网络攻击，进入联网的信息系统进行窃密。（3）INTERNET造成的泄密在INTERNET上发布信息把关不严；INTERNET用户在BBS、网络新闻组上网谈论国家秘密事项等；使用INTERNET传送国家秘密信息造成国家秘密被窃取；内部网络连接I

31、NTERNET遭受窃密者从INTERNET攻击进行窃密；处理涉密信息的计算机系统没有与INTERNET进行物理隔离，使系统受到国内外黑客的攻击；间谍组织通过INTERNET搜集、分析、统计国家秘密信息。（4）在INTERNET上，利用特洛尹木马技术，对网络进行控制，如B、。（5）网络管理者安全保密意识不强，造成网络管理的漏洞。3、计算机媒体泄密越来越多的秘密数据和档案资料被存贮在计算机里，大量的秘密文件和资料变为磁性介质和光学介质，存贮在无保护的介质里，媒体的泄密隐患相当大。（1）用过程的疏忽和不懂技术。存贮在媒体中的秘密信息在联网交换被泄露或被窃取，存贮在媒体中的秘密信息在进行人工交换时泄密

32、。（2）大量使同磁盘、磁带、光盘等外存贮器很容易被复制。（3）处理废旧磁盘时，由于磁盘经消磁十余次后，仍有办法恢复原来记录的信息，存有秘密信息的磁盘很可能被利用磁盘剩磁提取原记录的信息。这很容易发生在对磁盘的报废时，或存贮过秘密信息的磁盘，用户认为已经清除了信息，而给其它人使用。（4）计算机出故障时，存有秘密信息的硬盘不经处理或无人监督就带出修理，或修理时没有懂技术的人员在场监督，而造成泄密。（5）媒体管理不规范。秘密信息和非秘密信息放在同一媒体上，明密不分，磁盘不标密级，不按有关规定管理秘密信息的媒体，容易造成泄密。（6）媒体失窃。存有秘密信息的磁盘等媒体被盗，就会造成大量的国家秘密外泄其危

33、害程度将是难以估量的。各种存贮设备存贮量大，丢失后造成后果非常严重。（7）设备在更新换代时没有进行技术处理。4内部工作人员泄密（1）无知泄密。如由于不知道计算机的电磁波辐射会泄露秘密信息，计算机工作时未采取任何措施，因而给他人提供窃密的机会。又如由于不知道计算机软盘上剩磁可以提取还原，将曾经存贮过秘密信息的软盘交流出去或废旧不作技术处理而丢掉，因而造成泄密。不知道上INTERNET网时，会造成存在本地机上的数据和文件会被黑客窃走。网络管理者没有高安全知识。（2）违反规章制度泄密。如将一台发生故障的计算机送修前既不做消磁处理，又不安排专人监修，造成秘密数据被窃。又如由于计算机媒体存贮的内容因而思

34、想麻痹，疏于管理，造成媒体的丢失。违反规定把用于处理秘密信息的计算机，同时作为上INTERNET的机器。使用INTERNET传递国家秘密信息等。（3）故意泄密。外国情报机关常常采用金钱收买、色情引和策反别国的计算机工作人员。窃取信息系统的秘密。如程序员和系统管理员被策反，就可以得知计算机系统软件保密措施，获得使用计算机的口令或密钥，从而打入计算机网络，窃取信息系统、数据库内的重要秘密；操作员被收买，就可以把计算机保密系统的文件、资料向外提供。维修人员被威胁引诱，就可对用进入计算机或接近计算机终端的机会，更改程序，装置窃听器等。计算机信息系统保密工作管理规定第一章 总 则第一条 为了保护计算机信

35、息系统处理的国家秘密安全，根据中华人民共和国保守国家秘密法、中华人民共和国计算机信息系统安全保护条例，结合我区实际，制定本规定。第二条 本规定适用于在本自治区行政区域内采集、加工、存储、处理、传递、输出、使用国家秘密信息的计算机信息系统（以下简称涉密计算机信息系统）。第三条 自治区国家保密局主管全区涉密计算机信息系统的保密工作。各行署、市、县（区）保密工作部门主管本地区计算机信息系统保密管理工作。各级国家机关，企业、事业单位保密工作机构，主管本系统、本部门、本单位涉密计算机信息系统的保密工作。第四条 涉密计算机信息系统实行申报审批制度。自治区所属国家机关、企业、事业单位使用涉密计算机信息系统，

36、由本单位保密工作机构报自治区国家保密局审批。各行署、市、县（区）所属国家机关、企业、事业单位使用涉密计算机信息系统，由本单位保密工作机构报所在地同级保密工作部门审批，并报自治区国家保密局备案。第五条 未经申报批准的涉密计算机信息系统不得投入使用。未经申报批准的计算机信息系统不得涉及国家秘密。第二章 硬件保密管理第六条 新建涉密计算机信息系统，必须同步规划和落实保密管理和保密技术防范措施。已建成投入使用的涉密计算机信息系统，应完善保密管理和保密技术防范措施，并依照本规定补办申报审批手续。第七条 涉密计算机信息系统的硬件设备及场所，必须符合下列要求：（一）机房选址应按国家有关规定与境外机构驻地、人

37、员住处保持相应的安全距离，并根据所处理信息的涉密程度和有关规定，设立必要的控制区域。未经保密机构批准不得进入。（二）应尽量选用国产机型；必须使用国外计算机时，应在安装和启用前，由所在地同级保密工作部门进行保密性能检查。（三）应采取防电磁信息泄露的保密防护措施。（四）计算机信息系统所采用的各种保密技术设备及措施，必须是经过国家保密局审批许可的。（五）其他物理安全要求，应符合国家有关保密标准。第八条 涉密计算机信息系统，需更新、租借、出卖硬件设备的，必须对硬件设备进行保密技术处理，确认系统中无国家秘密信息，并经主管部门保密工作机构批准后方可进行。第三章 软件保密管理第九条 涉密计算机信息系统处理的

38、信息和事项，未经法定程序确定秘级的，应按照国家有关规定确定密级和保密期限。第十条 涉密计算机信息系统涉及的国家秘密信息和事项，其密级和保密期限一经确定，应采取下列保密措施：（一）标明相应的密级标识，密级标识不能与正文分离。（二）计算机媒体应以存储信息的最高密级作出明显密级标识。（三）应按相应密级文件进行管理。第十一条 绝密级国家秘密信息未经自治区国家保密局批准，不得进入涉密计算机信息系统。第十二条 涉密计算机信息系统中涉及国家秘密信息的各种程序，应当在建库、检索、修改、打印等环节设置程序保密措施，其保密措施应按所处理秘密信息的最高密级进行管理。第十三条 涉密计算机信息系统不得处理与本系统业务无

39、关的业务；因特殊情况需要承担其它业务的，应由主管部门保密工作机构报所在地同级保密工作部门批准。第十四条 存储过国家秘密信息的计算机媒体，应遵守下列事项：（一）不得降低密级使用；（二）不再使用申请报废时，应向同级保密工作部门申报登记，经批准后按保密工作部门的要求销毁；（三）需要维修时应保证所存储的国家秘密信息不被泄露。第十五条 涉密计算机信息系统的各种计算机软件，不得进行公开学术交流，不得公开发表。第十六条 涉密计算机信息系统工作过程中，产生的各种废纸应使用粉碎机及时销毁。第十七条 涉密计算机信息系统打印输出标有密级标识的文件，应按相应密级的文件进行管理。第四章 网络保密管理第十八条 涉密计算机

40、信息系统联网，应采取系统访问控制、数据保护和系统安全保密监控管理等技术措施。第十九条 涉密计算机网络信息系统的访问，应按权限控制，不得进行越权操作。未采取技术安全保密措施的数据库不得联网。第二十条 涉密计算机信息系统，不得与境外机构、外国驻华机构及国际计算机网络进行直接或间接联网。第二十一条 已与国际计算机网络联网的计算机信息系统，应建立严格的保密管理制度；联网单位保密工作机构要指定专人对上网信息进行保密检查。国家秘密信息不得在与国际网络联网的计算机信息系统中存储、处理、传递。第五章 系统保密管理第二十二条 涉密计算机信息系统的保密管理实行领导负责制，由使用该系统单位的主管领导负责本单位涉密计

41、算机信息系统的保密工作，并指定有关机构和人员具体承办。第二十三条 各单位的保密工作机构应协助本单位的领导，对涉密计算机信息系统的保密工作进行指导、协调、监督和检查。第二十四条 涉密计算机信息系统的使用单位，应根据系统所处理的信息涉密等级和重要性制订相应的管理制度。第二十五条 县级以上保密工作部门应依照国家有关法规和标准，定期对本地区、本部门管辖的涉密计算机信息系统进行保密措施和保密技术检查，并对系统安全保密管理人员进行严格审查，定期考核。涉密计算机信息系统的安全保密管理人员应保持相对稳定。第二十六条 各单位保密工作机构应对涉密计算机信息系统的工作人员，进行上岗前的保密培训，并定期进行保密教育和

42、检查。第二十七条 任何单位和个人发现涉密计算机信息系统泄密后，都应及时采取补救措施，并按有关规定及时向上级报告。第六章 奖 惩第二十八条 在涉密计算机信息系统保密工作中做出显著成绩的单位和个人，由县级以上保密工作部门给予奖励。第二十九条 涉密计算机信息系统违反本规定的，由县级以上保密工作部门责令停止使用，限期改正；改正后再使用时，须经县级以上保密工作部门验收批准。第三十条 违反本规定，泄露国家秘密的，依据中华人民共和国保守国家秘密法及其实施办法进行处理，并追究有关领导和直接责任人的法律责任。第三十一条 违反本规定，故意或过失泄露国家秘密，情节严重构成犯罪的，由司法机关依法追究刑事责任。第七章

43、附 则第三十二条 本规定所称保密工作机构，是指各级国家机关，企业、事业单位承担本系统、本部门、本单位保密工作的专门或兼管机构。第三十三条 本规定所称计算机媒体是指：计算机硬盘、软盘、光盘、磁带以及其它设备，还包括各种计算机输出设备产生的信息载体、数据库软件和其它应用软件。第三十四条 本规定自发布之日起施行。计算机泄密的主要途径与防范 1946年世界上第一台电子计算机在美国诞生后，电子计算机很快经历了电子管、晶体管、集成电路次规模集成电路和超大规模集成电路五个发展阶段。微型计算机的出现和计算机网络化扩大了计算机的应用范围。使计算机仿应用深入到社会生活的各个方面。现在，我国在国访、科技、工业。农业

44、、商业、金融、交通、运输、文化教育、服务等领域和行业都已开始广泛地使用计算机。作为一项综合科学技术的办公自动化，更是以计算机为中心和基础，计算机大量装备于党政军要害部门，各种秘密情报被送入计算机进行加工、存贮和传递。如何做好计算机信息处思中的保密工作是我们面临的新课题。 计算机的广泛应用推动了社会的发展和进步，但也带来了一系列的社会问题。现在，西方发达国家把他们的社会由于广泛使用计算机称为“脆弱的社会”。一计算机的脆弱性一般表现在计算机犯罪、敌对国家的破坏、意外事故和自然灾害、电磁波干扰、工作人员的失误以及计算机本身的缺陷等许多方面，突出表现是容易泄密和被窃密。（一）计算机泄密的主要途径 1计

45、算机电磁波辐射泄密 计算机辐射主要有四个部分：显示器的辐射；通信线路（联接线）的辐射主机的辐射；输出设备（打印机）的辐射。计算机是靠高频脉冲电路工作的，由于电磁场的变化，必然要向外辐射电磁波。这些电磁波会把计算机中的信息带出去，犯罪分子只要具有相应的接收设备，就可以将电磁波接收，从中窃得秘密信息。据国外试验，在1000米以外能接收和还原计算机显示终端的信息，而且看得很清晰。微机工作时，在开阔地带距其100米外，用监听设备就能收到辐射信号。计算机电磁辐射大致分为两类：第一类是从计算机的运算控制和外部设备等部分辐射，频率一般在10兆赫到1000兆赫范围内，这种电磁波可以用相应频段的接收机接收，但其

46、所截信息解读起来比较复杂。第二类是由计算机终端显示器的阴极射线管辐射出的视频电磁波，其频率一般在65兆赫以下。对这种电磁波，在有效距离内，可用普通电视机或相同型号的计算机直接接收。接收或解读计算机辐射的电磁波，现在已成为国外情报部门的一项常用窃密技术，并已达到很高水平。2计算机联网泄密 计算机网络化是计算机发展史上的重要阶段，它使计算机只能在机房里对不同信息的单项数据的分类、加工和整理，发展成为使信息的收集、加工、贮存、传输融为一体，扩大了计算机的应用范围，使计算机的应用深入到社会各个方面。计算机网络校跨大陆和海洋，可将世界范围内的计算机联接起来，每个用户都可通过自己的终端，充分利用各个计算机

47、存贮的大量文字、数据和图像资料。计算机网络化带来的信息交流。知识融汇，使人们能充分利用全人类创造的全部知识财富，由此产生的深远影响将难以估量。然而，由于计算机网络结构中的数据是共享的，主机与用户之间、用户与用户之间通过线路联络，就存在许多泄密漏洞。首先，“数据共享”时计算机系统实行用户识别口令，由于计算机系统在分辨用户时认“码”不认“人”，这样，那些未经授权的非法用户或窃密分子就可能通过冒名顶替、长期试探或其它办法掌握用户口令，然后打入联网的信息系统进行窃密。 其次，计算机联网后，传输线路大多由载波线路和微波线路组成，这就使计算机泄密的渠道和范围大大增加。七矜网络越大，线路通道分支就越多，输送

48、信息的区域也越广，截取所送信号的条件就越便利，窃密者只要在网络中任意一条分支信道上或某一个节点、终端进行截取。就可以获得整个网络输送的信息。 3.计算机媒体泄密 计算机具有惊人的存贮功能。它可以对湖水般涌来的各种信息进行传递、加工和存贮，可以将大量约秘密文件和资料由纸张介质变为磁性介质和光学介质。一个汉字至少要占55平方毫米，行同样面积的集成电路存贮器可存贮50万个汉字。为了自动地、高效地加工和利用各种信息，越来越多的秘密数据和档案资料被存贮在计算机里。 计算机的存贮器分为内存贮据和外存贮器两种，内存贮器要求存取速度仇外存贮器要求存贮和容量大。如前所述，存贮在内存贮器的秘密信息可通过电磁辐射或

49、联网交换被泄露或被窃取，而大量使同磁盘、磁带、光盘的外存贮器很容易被非法篡改或复制。由于磁盘经消磁十余次后，仍有办法恢复原来记录的信息，存有秘密信息的磁盘被重新使用时，很可能被非法利用磁盘剩磁提取原记录的信息。计算机出故障时，存有秘密信息的硬盘不经处理或无人监督就带出修理，就会造成泄密。秘密信息和非秘密信息放在同一媒体上，明密不分，容易造成泄密。存有秘密信息的磁盘等媒体被盗或携带出国，就会造成大量的因家秘密外泄其危害程度将是难以估量的。4计算机工作人员泄密 （1）无知泄密。如由于不知道计算机的电磁波辐射会泄露秘密信息，计算机工作时未采取任何措施，因而给他人提供窃密的机会。又如由于不知道计算机软

50、盘上剩孩可以提取还原，将曾经存贮过秘密信息的软盘交流出去，因而造成泄密。 （2）违反规章制度两汉密。如将一台发生故障的计算机送修前既不做消磁处理，又不安排专人监修，造成秘密数据被窃。又如由于计算机媒体存贮的内容缺乏在观性，因而思想麻痹，疏于管理，容易造成媒体的丢失。 （3）故意泄密。外国情报机关常常采用金钱收买、色情引和策反别国的计算机工作人员。窃取信息系统的秘密。这比利用电子监听。攻击网络等办法有利得多。如程序员被策反，就可以得知计算机系统软件保密措施，获得使用计算机的口令或密钥，从而打入计算机网络，窃取信息系统、数据库内的重要秘密；操作员被收买，就可以把计算机保密系统的文件、资料向外提供。

51、维修人员被威胁，就可对用进入计算机或接近计算机终端的机会，更改程序，装置窃听器等。（二）计算机的保密防范措施 计算机的保密防范主要从技术、行政和法律三个方面着手： 1技术防范 （1）使用低辐射计算机设备。这是防止计算机辐射泄密的根本措施，这些设备在设计和生产时，已对可能产生信息辐射的元器件、集成电路、连接线和CRT等采取了防辐射措施，把设备的信息辐射抑制到最低限度。 （2）屏蔽。根据辐射量的大小和客观环境，对计算机机房或主机内部件加以屏蔽，检测合格后，再开机工作。将计算机和辅助设备用金周屏蔽笼（法拉第笼）封闭起来，并将全局屏蔽笼接地，能有效地防止计算机和辅助设备的电磁波辐射。不具备上述条件的，

52、可将计算机辐射信号的区域控制起来，不许外部人员接近。 （3）干扰。根据电子对抗原理，采用一定的技术措施，利用干扰器产生噪声与计算机设备产生的信息辐射一起向外辐射。对计算机的辐射信号进行干扰，增加接收还原解读的难度，保护计算机辐射的秘密信息。不具备上述条件的，也可将处理重要信息的计算机放在中间，四周置放处理一般信息的计算机。这种方法可降低辐射信息被接收还原的可能性。 （4）对联网泄密的技防范措施：一是身份鉴别。计算机对用户的识别，主要是核查用户输入的口令，网内合法用户使用资源信息也有使用权限问题，因此对口令的使用要严格管理。当然，对用户的识别还有其它方法，如使用磁性卡片、指纹、声音、视网膜图像等

53、对用户进行鉴别。二是监视报警。对网络内合法用户工作情况作详细记录，对非法用户，计算机将其闯入网络的尝试次数、时间。电话号码等记录下来，并发出报警，依此追寻非法用户的下落。三是加密。将信息加密后存贮在计算机里，并注上特殊调用口令。这样，窃密者突破一般口令进入计算机后，也无法将信息调出。在信息传输过程中，对信息进行加密（一次或二次伪装），窃密者即使截收到信号也一无所知。四是数字签名。 （5）对媒体泄密技术防范措施：一是防拷贝。防拷贝技术实际上是给媒体做特殊的标记，如在磁盘上产生激光点、穿孔、指纹技术等特殊标记，这个特殊标记可由被加密程序加以识别，但不能轻易地被复制。二是加密。对媒体中的文件进行加密

54、，使其以常规的办法不能调出。由于密文加密在理论上还没有形成完善的体系，所以其加赛方法繁多，没有一定的规律可循，通常可以分为代替密码、换位密码和条积密码方法。三是消磁。2行政管理 （1）建立严格的机房管理制度，禁止无关人员随便进出机房，网络系统的中心控制室更应该有严格的出入制度。同时，机房选址要安全可靠，重要部门的机房要有必要的保安措施。 （2）规定分级使用权限。首先，对计算机中心和计算机数据划分密级，采取不同的管理措施，秘密信息不能在公开的计算机中心处理，密级高的数据不能在密级低的计算机中心处理；其次，根据使用者的不同情况，规定不同使用级别，低级别的机房不能进行高级别的操作；在系统开发中，系统

55、分析员、程序员和操作员应职责分离，使知悉全局的人员尽可能少一些。 （3）加强对媒体的管理。录有秘密文件的媒体，应按照同等密级文件进行管理，对其复制、打印、借阅、存放、销毁等均应遵守有关规定。同一片软盘中不要混录秘密文件和公开文件，如果同时录有不同密级的文件，应按密级最高的管理。同时，还应对操作过程中临时存放过秘密文件的磁盘以及调试运行中打印的废纸作好妥善处理。 （4）加强对工作人员的管理。因为设备由人操纵，制度由人制定并遵守。人员的问题，首先要牢固树立保密观念，使其认识到新时期保密问题的重要性、紧迫性，从而增强保守国家秘密的意识。保密教育要经常抓，常抓不懈；要抓好人员的选配和日常的考察，做到不合格的坚决不用，现有工作人员中发现问题要及时处理，坚决调离，以保证队伍的纯洁精干和效能；要搞好智力投资，不断提高使用和管理人员的科学技术水平，使其真正了解所有设备的性能，掌握防止泄密的知识和防范措施；利用和创造机会扩展他们的知识面，增强主动性，减少盲目性，以防因无知而泄密；还要建立奖惩制度，定期考核，奖优罚劣，完善激励机制。3法律监督 计算机保密防范必须以法律法规为依据。目前我国已有保密法、计算机信息系统安全保护条例和计算机信息网络国际联网管理暂行规定，按照规定和要求，做好计算机的保密防范工作，不得利用计算机从事危害国家安全、泄露国家秘密的违法犯罪活动。