保密信息定义？

一、保密信息定义？

本协议所称保密信息指：所有方认为应当保密的通过口头、书面或者其他媒体途径披露给接受方，或者由接受方利用所有方的设备亲自获取的，与所有方业务有关的所有信息，包括但不限于：图纸、 规格、生产计划、市场、申请书、文本数据、生产流程、工艺、设备工具、样品及其他类似信息

二、公民信息保密条例？

　　1、凡具有中华人民共和国国籍的人都是中华人民共和国公民。中华人民共和国公民在法律面前一律平等。国家尊重和保障人权。

　　2、 中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。

　　3、中华人民共和国公民的住宅不受侵犯。禁止非法搜查或者非法侵入公民的住宅。

　　4、 中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。

　　5、中华人民共和国公民对于任何国家机关和国家工作人员，有提出批评和建议的权利；对于任何国家机关和国家工作人员的违法失职行为，有向有关国家机关提出申诉、控告或者检举的权利，但是不得捏造或者歪曲事实进行诬告陷害。

　　对于公民的申诉、控告或者检举，有关国家机关必须查清事实，负责处理。任何人不得压制和打击报复。由于国家机关和国家工作人员侵犯公民权利而受到损失的人，有依照法律规定取得赔偿的权利。

　　6、 中华人民共和国公民有进行科学研究、文学艺术创作和其他文化活动的自由。国家对于从事教育、科学、技术、文学、艺术和其他文化事业的公民的有益于人民的创造性工作，给以鼓励和帮助。

　　7、中华人民共和国公民在行使自由和权利的时候，不得损害国家的、社会的、集体的利益和其他公民的合法的自由和权利。

三、信息保密法？

2010年8月4日国家安全监管总局办公厅以安监总厅〔2010〕143号 发文。

《国家安全监管总局网络运行和信息安全保密管理办法》是为加强安全生产系统网络信息安全保密管理，保障网络正常运行和信息安全，提高办公效率，根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》和国家有关规定而制定的办法。

总则

1.本办法所称网络包括各单位使用的内网、国家安全生产监督管理总局（以下简称总局）政务外网和各单位应用的互联网。其中，内网是指各单位内部与互联网物理隔离的局域网；总局政务外网是指全国安全生产系统信息化综合应用的专用广域网络，与互联网逻辑隔离。

2.总局政务外网建设和管理遵循总局统筹规划、统一建设和各省级单位分级管理的原则。

组织管理与职责

3.总局保密委员会是全国安全生产系统网络信息安全保密管理的领导机构，负责指导、审查安全生产系统信息安全保密管理工作。

4.总局办公厅是全国安全生产系统信息安全保密工作的日常管理部门，负责信息安全保密管理工作的指导、协调、监督、检查以及对失泄密事件的查处。

5.总局规划科技司负责总局政务外网和总局机关网络信息安全保障项目的规划、立项和建设管理工作。

6.总局通信信息中心是全国安全生产系统信息网络运行与维护的管理部门和信息安全保障能力建设的技术支撑部门，负责按照国家有关涉密、非涉密信息系统技术标准规范，提出总局政务外网和总局机关网络建设的技术需求，负责建设项目的技术管理和建成系统的运维管理。

7.总局通信信息中心配备符合信息系统运行管理需要的网络管理员，承担总局政务外网和总局机关网络IP地址分配、系统资源配置、安全防护管理，以及各应用系统的日常运行维护工作，是网络及系统各项安全保密技术防范措施正常运行的直接责任人。

8.总局政务外网的建设和使用遵循“谁建设，谁负责”、“谁使用，谁负责”的原则。各单位应明确信息安全保密管理部门和信息安全保障能力建设部门，并指定专门机构负责本单位网络运行与维护管理工作，配备符合信息系统运行管理需要的网络管理人员作为本地网络及系统各项安全保密技术防范措施正常运行的直接责任人，负责本单位接入总局政务外网以及本单位局域网的日常管理和应用系统的运行维护工作；网络用户是自用计算机信息处理、发布和管理的直接责任人。

9.各省级安全监管局、煤矿安监机构（以下统称各省局）信息安全保密工作部门、网络运行维护管理部门及联系人名单应报总局办公厅备案。

网络安全管理

10.各单位网络和信息系统建设必须按照国家非涉密信息系统等级保护和涉密信息系统分级保护的要求，进行定级、建设和管理，并根据防护等级采取相应的安全防护措施。

11.涉密内网的计算机必须按照国家保密部门的规定加装安全技术防护设备，统一配备专用移动存储介质。

12.接入内网的计算机必须实行严格的物理隔离，不得直接或间接地与总局政务外网(或互联网)联接；凡访问总局政务外网的，必须安装客户端管理软件；未经审批，禁止在涉密网络上使用笔记本电脑。

13.各省局信息安全保密管理部门负责本单位行政管理范围内接入总局政务外网的管理。需要接入总局政务外网的，应经省局信息安全保密管理部门审核同意并报总局办公厅备案后，方可由网络运行维护管理部门组织实施；未经同意，任何单位和个人不得擅自将任何设备接入总局政务外网。

14.总局政务外网的网络安全防范措施和安全管理应当遵循统一的建设方案和安全策略，未经总局办公厅批准，各单位不得改变总局政务外网的网络安全系统结构和部署方式。各级网络运行维护管理部门对各类安全设备进行安全规则的添加、修改、删除等操作，必须符合统一的安全策略要求，并报总局通信信息中心审核后方可实施。总局通信信息中心负责对总局政务外网各级节点安全系统的部署、安全规则的配置情况进行检查，检查结果报总局办公厅，同时通报相关单位网络运行维护管理部门进行整改。

15.凡在总局政务外网或互联网使用过的计算机转到内网使用前，必须将硬盘彻底格式化，重新安装操作系统和应用软件；凡在内网使用过的计算机转到总局政务外网或互联网使用前，必须更换硬盘，并将原硬盘按规定上缴信息安全保密管理部门保管或销毁。

16.严禁将内网与总局政务外网(或互联网)直接相连。严禁在内网与总局政务外网（或互联网）间交叉使用移动存储设备。

17.涉密计算机不得使用蓝牙、红外和无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备。

18.重要涉密岗位的办公场所中所使用的总局政务外网（或互联网）计算机不得安装麦克风、摄像头等音频、视频采集设备。

信息安全与保密管理

19.任何单位和个人不得利用安全生产系统网络从事危害国家安全的活动，不得泄露国家秘密和单位敏感信息，不得侵犯国家、社会、集体的利益和公民的合法权益，不得从事违法犯罪活动。

20.内网与总局政务外网(或互联网)进行数据交换，必须采用国家保密行政管理部门认可的方式进行，禁止擅自使用U盘、移动硬盘等移动存储介质进行数据交换。严禁在非涉密的内网、总局政务外网和互联网上传输、处理涉密信息。

21.各单位网络管理员应不定期修改操作密码，定期升级服务器防病毒软件并查杀病毒，定期下载和安装操作系统补丁，实时或定期备份服务器上的各种重要数据。

22.网络用户应安装客户端杀毒软件和系统补丁程序，定期对计算机进行查杀病毒。一旦发现网络病毒，应立即通知本单位网络管理员，共同采取相应措施，避免病毒扩散。定期做好个人重要数据的备份，定期修改个人密码，确保信息安全。

23.涉密计算机与移动存储介质的使用必须执行审批制度，实行统一配发管理。报废涉密存储设备(包括固定或移动硬盘、U盘、磁带机等)，须由本单位保密管理部门统一造册登记后交具备销毁资质的单位处理，严禁擅自处理。

24.各级信息安全保密管理部门负责组织网络运行维护管理部门对应用系统建设方案进行安全防护措施审查，提出纳入已有信息安全基础设施保护的具体方案，需要新增信息安全防护基础设施和对已有设施进行改造的，由应用系统建设单位报本级信息安全保障能力建设部门申请立项。接入总局政务外网和总局机关内网的应用系统的安全防护措施审查工作，由总局办公厅负责组织实施。

25.新建和接入网络的应用系统必须在信息安全防护措施到位后方可投入运行。

运行管理

26.任何单位和个人不得擅自改变网络设备用途，干扰网络运行。原则上不允许网络用户安装、下载与工作无关的软件。

27.采取数字证书（CA）、代理服务器、IP与计算机网卡地址绑定技术等措施，规范网络用户内网、总局政务外网和互联网的使用，并作为责任追溯的依据，禁止私自安装使用带有路由功能的小型交换机。

28.各级网络运行维护管理部门应建立网络管理员值班制度和突发事件应急处置预案，保障总局政务外网各种设备、应用系统以及运行基础环境的正常运转，做到24小时不停机。设备、系统一旦发生故障，要在第一时间报告本级信息安全保密管理部门和上级网络运行维护管理部门。在故障处理过程中，本级信息安全保密管理部门负责组织协调，网络运行维护管理部门负责现场处理，上级网络运行维护管理部门负责远程技术支持。

29.各级网络运行维护管理部门配备的网络管理员应相对固定，人员发生变动时应提前向本级信息安全保密管理部门和上级网络运行维护管理部门报备，上岗前必须经过培训。

30.各级网络运行维护管理部门应根据机关网络应用的需求，及时排除网络故障，并不定期开展网络巡查工作，配合本单位信息安全保密管理部门定期开展信息安全检查工作。

31.各单位应加强对各自网络运行状态的监控，及时排除故障。如发现大规模病毒爆发引起的网络堵塞，必须立即隔离可能影响安全的设备及网络，并报告本级信息安全保密管理部门和上级网络运行维护管理部门，待排除安全隐患后再联入网络；如遇总局政务外网线路故障，应立即与当地电子政务外网接入或建设负责单位联系进行维修，同时报告总局通信信息中心协助解决问题。

固定资产管理

32.各类网络建设项目、设备采购应遵循国家有关法律法规、标准规范所规定的流程，所有合同应在验收后提交固定资产清单，没有合同的由采购人提交固定资产清单，整体项目应由项目管理部门在整体项目验收后提交全部固定资产清单。

33.固定资产管理由各级财务部门负责，资产的登记、划拨、保管、维修、报废要严格按照国家有关法律法规、标准规范所规定的流程执行。

34.设备日常管理由资产所在单位负责，没有纳入固定资产管理的设备，一律不得接入总局政务外网和总局机关内网。

附则

35.凡违反本办法规定且造成危害的，视情节轻重给予通报批评或行政处分；涉嫌犯罪的，移交司法机关处理。

36.本办法适用于总局和国家煤矿安监局机关各司局、应急指挥中心，总局所属单位，接入总局政务外网的地方各级安全监管部门、驻地煤矿安监机构以及所有接入政务外网的单位和个人。

四、什么是信息对抗系统安全？

信息对抗系统安全是指通过各种手段对信息系统进行攻击、破坏、窃取和篡改等行为的全过程。在信息化时代，信息系统已经成为国家安全的重要组成部分，能够直接影响国家的战略利益以及个人的正常生活。因此，信息对抗系统安全的风险已成为国家和个人必须面对的挑战。为了保障信息系统安全，需要综合运用技术性手段、管理性手段、法律手段和宣传教育等综合性防御措施，构筑强大的信息安全防线。

五、信息系统安全7大技术？

1.信息加解密技术：目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。数据加密技术主要分为数据存储加密和数据传输加密,数据传输加密主要是对传输中的数据流进行加密。加密是一种主动安全防御策略,用很小的代价即可为信息提供相当大的安全保护,是一种限制网络上传输数据访问权的技术。

2.边界防护技术：防止外部网络用户以非法手段进入内部网络，访问内部资源，保护内部网络操作环境的特殊网络互连设备，典型的设备有防火墙和入侵检测设备。

3.访问控制技术：保证网络资源不被非法使用和访问。访问控制是网络安全防范和保护的主要核心策略，规定了主体对客体访问的限制，并在身份识别的基础上，根据身份对提出资源访问的请求加以权限控制。

4.主机加固技术：操作系统或者数据库的实现会不可避免地出现某些漏洞，从而使信息网络系统遭受严重的威胁。主机加固技术对操作系统、数据库等进行漏洞加固和保护，提高系统的抗攻击能力。

5.安全审计技术：包含日志审计和行为审计，通过日志审计协助管理员在受到攻击后察看网络日志，从而评估网络配置的合理性、安全策略的有效性，追溯分析安全攻击轨迹，并能为实时防御提供手段。通过对员工或用户的网络行为审计，确认行为的合规性，确保管理的安全。

6.防火墙技术：防火墙是建立在内外网络边界上的过滤机制,内部网络被认为是安全和可信赖的而外部网络被认为是不安全和不可信赖的。防火墙可以监控进出网络的流量,仅让安全、核准的信息进入,同时抵制对企业构成威胁的数据。防火墙的主要实现技术有:数据包过滤、应用网关和代理服务等。

7.身份认证技术：身份认证是系统核查用户身份证明的过程,其实质是查明用户是否具有它所请求资源的使用权。身份识别是指用户向系统出示自己身份证明的过程。身份认证至少应包括验证协议和授权协议。当前身份认证技术,除传统的静态密码认证技术以外,还有动态密码认证技术、IC卡技术、数字证书、指纹识别认证技术等。

8.安全协议：安全协议的建立和完善是安全保密系统走上规范化、标准化道路的基本因素。一个较为完善的内部网和安全保密系统,至少要实现加密机制、验证机制和保护机制。目前使用的安全协议有加密协议、密钥管理协议、数据验证协议和安全审计协议等。

9.入侵检测系统：这一种对网络活动进行实时监测的专用系统。该系统处于防火墙之后,可以和防火墙及路由器配合工作,用来检查一个LAN网段上的所有通信,记录和禁止网络活动,可以通过重新配置来禁止从防火墙外部进入的恶意活动。入侵检测系统能够对网络上的信息进行快速分析或在主机上对用户进行审计分析,并通过集中控制台来管理、检测。

六、信息系统安全保护等级划分？

是依据信息系统的安全威胁等级和安全防护需求等级，对信息系统进行分类，并为各类信息系统规定相应的安全保护措施和等级要求。根据我国的有关法律法规和标准，信息系统安全保护等级主要分为四个等级，分别是一般等级、较低等级、中等等级和较高等级。其中，一般等级适用于非涉密信息系统，较低等级适用于涉密程度较低的信息系统，中等等级适用于涉密程度较高的信息系统，较高等级适用于涉密程度极高的信息系统。各等级之间的安全保护要求和措施会有所不同，需要根据具体情况来选择适当的保护等级和措施。

七、信息系统安全保障要素包括？

（1） 保密性

      信息不被透露给非授权用户、实体或过程。保密性是建立在可靠性和可用性基础之上，常用保密技术有以下几点：

① 防侦收（使对手收不到有用的信息）

② 防辐射（防止有用信息以各种途径辐射出去）

③ 信息加密（在密钥的控制下，用加密算法对信息进行加密处理，即使对手得到了加密后的信息也会因没有密钥而无法读懂有用信息）

④ 物理保密（使用各种物理方法保证信息不被泄露）

（2） 完整性

      在传输、存储信息或数据的过程中，确保信息或数据不被非法篡改或在篡改后被迅速发现，能够验证所发送或传送的东西的准确性，并且进程或硬件组件不会被以任何方式改变，保证只有得到授权的人才能修改数据。

完整性服务的目标是保护数据免受未授权的修改，包括数据的未授权创建和删除。通过如下行为，完成完整性服务：

① 屏蔽，从数据生成受完整性保护的数据。

② 证实，对受完整性保护的数据进行检查，以检测完整性故障。

③ 去屏蔽，从受完整性保护的数据中重新生成数据。

（3） 可用性

      让得到授权的实体在有效时间内能够访问和使用到所要求的数据和数据服务，提供数据可用性保证的方式有如下几种：

① 性能、质量可靠的软件和硬件。

② 正确、可靠的参数配置。

③ 配备专业的系统安装和维护人员。

④ 网络安全能得到保证，发现系统异常情况时能阻止入侵者对系统的攻击。

（4） 可控性

      指网络系统和信息在传输范围和存放空间内的可控程度。是对网络系统和信息传输的控制能力特性。使用授权机制，控制信息传播范围、内容，必要时能恢复密钥，实现对网络资源及信息的可控性。

（5） 不可否认性

      对出现的安全问题提供调查，是参与者（攻击者、破坏者等）不可否认或抵赖自己所做的行为，实现信息安全的审查性。

八、信息系统安全需求方案？

信息安全建设是一项复杂的系统工程，内容涵盖广泛，数据安全是其中较为重要。在基本安全要求中，技术类安全要求与信息系统提供的技术安全机制有关，主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现。

保护侧重点的不同，技术类安全要求分为数据保护、系统服务功能保护、通用安全保护三大类。其中数据保护是信息安全建设的重要目标和核心内容。保护数据，要保护数据的什么？我们必须清楚，保护数据就是要保护数据的机密性（C）、完整性（I）和可用性（A）。针对数据保护的CIA原则。

九、信息系统安全运营模型是？

PDCA信息安全管理模型，即戴明环，主要包括以下四个环节:

1)P(计划)

在PDCA戴明环中,计划(Plan)是第一个环节｡所谓计划就是规定你应该做什么并形成文件｡戴明环的计划要求是:建立与管理风险和改进信息安全有关的ISMS方针､ISO27001目标､过程和ISO27001程序,以提供与组织整体ISO27001方针和ISO27001目标相一致的结果｡

组织对其所追求的ISO27001信息安全方针､ISO27001目标等安全战略层面的思考,要和组织的业务战略这个最高层面的战略方针､目标相匹配｡

PDCA计划环节的首要任务是建立ISMS体系,即它的范围､方针､风险评估和管理､管理者授权实施､运行ISMS和适用性声明｡

十、信息系统安全分析是指？

系统安全分析主要包括以下内容:调查和评价可能出现的初始的、诱发的和起作用的危害之间的相互关系;调查和评价与系统安全有关的环境条件、设备、人员以及其他因素;调查和评价调查和评价通过利用适当的设备、规程、工艺或材料避免或根除其他特殊危害的措施;调查和评价对可能的危害的控制措施及把这些控制措施应用到系统中的最好方法;调查和评价对不能避免或根除的危害失去或减少控制可能会出现的后果，调查和评价一旦对危害失去控制，为防止伤害和损坏的安全防护措施。

顶一下

(0)

0%

踩一下

(0)

0%