【正文】 符；◆ 由大小寫字母、數(shù)字和其它字符混合組成。郵件分為內網(wǎng)郵件系統(tǒng)和外網(wǎng)郵件系統(tǒng)，內外網(wǎng)郵件系統(tǒng)相互隔離，二者之間不能互相發(fā)送和接收郵件。安全移動存儲介質主要用于在工作中產(chǎn)生的涉密和非涉密信息的存儲及內部傳遞，也可用于內網(wǎng)非涉密信息與外部計算機的交互，涉及國家秘密的信息必須存放在保密區(qū)。禁止將安全移動存儲介質中涉及國家秘密的信息拷貝到外網(wǎng)計算機，禁止在外網(wǎng)計算機上保存、處理涉及國家秘密的信息。對于重要數(shù)據(jù)和文件，應使用移動存儲設備、光盤介質等定期進行備份，避免病毒破壞、人為誤刪除或磁盤物理性損壞而導致數(shù)據(jù)丟失，確保意外發(fā)生可恢復重要數(shù)據(jù)和文件，一般可以采用本地備份或異地備份。使用正版壓縮軟件對文件進行加密壓縮，加密口令要求 6位以上，并包含字母數(shù)字，同時加密口令要采用不同的傳遞方式，在確保安全的前提下傳送。建議將日常文件保存在非系統(tǒng)盤，如：“本地磁盤（D:）/（E:）/（F:）”等位置。辦公計算機不得安裝、運行、使用與工作無關的軟件，不得隨意更改或卸載統(tǒng)一配置的軟件；從互聯(lián)網(wǎng)下載的軟件，應先使用殺毒軟件進行病毒查殺后再行使用。第三章 住房公積金信息安全防護知識篇系統(tǒng)漏洞是指應用軟件或操作系統(tǒng)在設計上存在的缺陷或在編寫時產(chǎn)生的錯誤，這個缺陷或錯誤可以被惡意人員利用，通過植入木馬、病毒等方式來發(fā)動攻擊或控制整個計算機，從而竊取重要資料和信息，甚至破壞系統(tǒng)。攻擊者啟動漏洞攻擊軟件實施攻擊，以獲得目標計算機的系統(tǒng)權限。防范對策◆ 嚴禁將涉及國家秘密信息的計算機接入互聯(lián)網(wǎng)；◆ 辦公計算機補丁及時升級；◆ 安裝企業(yè)級防病毒軟件；◆ 安裝防木馬軟件。案例：“灰鴿子”木馬攻擊者先將木馬程序捆綁在一些應用程序中，以電子郵件的形式發(fā)送給目標用戶。于是攻擊者便可通過“木馬”遠程監(jiān)控目標計算機，任意下載竊取其中的文件資料。嗅探是指植入特定功能程序，用以隱蔽探測和記錄鍵盤操作、口令密碼等信息的竊密技術。當目標計算機重新連接互聯(lián)網(wǎng)使用FTP時候 ，Sniffer 嗅探工具便開始記錄明文傳輸?shù)?FTP的用戶名和口令。數(shù)據(jù)恢復，指磁盤數(shù)據(jù)在刪除或格式化后可利用相關工具進行恢復。防范對策◆ 嚴禁將涉及國家秘密信息的計算機接入互聯(lián)網(wǎng)；◆ 涉及國家秘密的存儲介質淘汰、報廢時，必須作徹底的物理銷毀；◆ 嚴禁將涉密載體當作廢品出售。案例 ：“暴力破解”口令攻擊者首先啟動“暴力破解”口令破譯軟件，輸入目標計算機 IP 地址，對目標計算機進行口令破譯。一旦找到正確的口令，軟件顯示破譯成功。防范對策◆ 加強口令強度，使用數(shù)字、大小寫字母和特殊符號組成的高強度口令；◆ 口令長度至少 8 位以上，并定期進行修改。案例：U盤“擺渡”通過互聯(lián)網(wǎng)或其他途徑使U盤感染擺渡程序，當目標用戶將感染了擺渡程序的U盤插入涉密計算機時，在無任何操作和顯示的情況下，U盤內的擺渡程序能按事先設定好的竊密策略將文件從計算機中復制到 U 盤隱藏目錄下，同時將自身擺渡程序復制到計算機中。防范對策◆ 嚴禁移動存儲介質在辦公網(wǎng)、業(yè)務網(wǎng)和互聯(lián)網(wǎng)之間交叉使用；◆安裝殺毒軟件并及時更新升級。與一般漏洞相比，“后門”的隱蔽性更強、破壞力更大。防范對策◆ 嚴禁將涉及國家秘密信息的計算機接入互聯(lián)網(wǎng)；◆ 關鍵信息設備盡量選用安全性高的技術產(chǎn)品；◆ 加強對引進設備與軟件系統(tǒng)的安全檢測和漏洞發(fā)現(xiàn)，阻斷信息外泄的渠道。無線網(wǎng)卡、無線鍵盤、無線鼠標和藍牙、紅外接口都屬于這類設備。無線鍵盤、無線鼠標等無線外圍設備，因其傳輸采用開放的空間傳輸方式，傳輸信號極易被接收還原，也存在泄密隱患。擊者可將麥克風打開，使筆記本電腦變成竊聽器造成泄密，也可植入病毒木馬，竊取計算機中的信息。手機通信傳輸系統(tǒng)是一個開放的地面或衛(wèi)星無線通信系統(tǒng)，只要有相應的設備，即可截聽通話內容。在這種情況下，任何能使用手機進行通訊的地方，都可竊聽通話內容。在復印機、打印機、傳真機、碎紙機等辦公設備內加裝竊密裝置，或利用其存儲功能竊取數(shù)據(jù)信息，也是不可忽視的竊密手段。第二部分 住房公積金信息安全條例第一章 涉密計算機安全使用保密管理規(guī)定按照《中華人民共和國保守秘密法》的有關要求，結合我中心的實際，制定本規(guī)定。第二條 涉密計算機原則上專機專用，特殊情況需多人使用的，由科室指定專人管理，并做好登記備案并粘貼統(tǒng)一的密級標識。第四條 涉密計算機只能在本單位使用，嚴禁借給外單位、轉借他人使用。返回時，監(jiān)督檢查科對其攜帶的涉密計算機進行保密檢查，以確保涉密計算機的安全。第六條 涉密計算機不得直接或間接連入國際互聯(lián)網(wǎng)等非涉密網(wǎng)，必須與國際互聯(lián)網(wǎng)實行物理隔離。第七條 涉密計算機使用人員是涉密計算機安全保密的責任人,其日常保密管理職責如下:應設置8位數(shù)以上的開機密碼，以防止他人盜用和破譯，開機密碼應定期更改。第八條 監(jiān)督檢查科負責檢測和安裝、維護涉密計算機必須配備的安全保密軟件及查殺病毒、木馬等的殺毒軟件。第十條 涉密計算機的維修，原則上由綜合科負責。維修完畢后，由監(jiān)督檢查科進行核對、技術測試和審查，符合有關標準后才能投入使用。第十二條 不再使用的涉密計算機應由使用者提出報告，由科室負責人批準后，交綜合科和監(jiān)督檢查科統(tǒng)一處理，確保有關內容和數(shù)據(jù)不可恢復。第十三條 責任人每月對涉密計算機進行一次清查、核對，做出文字或電子記錄，發(fā)現(xiàn)丟失應及時向綜合科和監(jiān)督檢查科報告。第二條 計算機操作人員未經(jīng)上級領導批準，不得對外提供內部信息和資料以及用戶名、口令等內容。第三條 網(wǎng)絡設備必須安裝防病毒工具，并具有漏洞掃描和入侵防護功能，以進行實時監(jiān)控，定期檢測。禁止通過網(wǎng)絡傳遞涉密文件，軟盤、光盤等存貯介質要由相關責任人編號建檔，嚴格保管。第五條 具有互聯(lián)網(wǎng)訪問權限的計算機訪問互聯(lián)網(wǎng)及其它網(wǎng)絡時，嚴禁瀏覽、下載、傳播、發(fā)布違法信息；嚴禁接收來歷不明的電子郵件。備份工具可采用光盤、硬盤、軟盤等方式，并妥善保管。接替人員應對系統(tǒng)重新進行調整，重新設置用戶名、密碼。第三章 涉密移動存儲介質保密管理規(guī)定按照《中華人民共和國保守秘密法》的有關要求，結合我中心的實際，制定本規(guī)定。第二條 用于住房公積金數(shù)據(jù)信息的移動存儲介質必須做好登記備案并粘貼統(tǒng)一制作的密級標識。涉密移動存儲介質只能在本單位的涉密計算機或涉密信息系統(tǒng)中使用，嚴禁借給外單位、轉借他人使用。第四條 復制涉密移動存儲介質，須經(jīng)監(jiān)督檢查科批準，且每份介質各填一份“涉密移動存儲介質使用情況登記表”，并賦予不同編號。第六條 涉密移動存儲介質的外送維修或數(shù)據(jù)恢復，必須到中心指定的維修點，并有涉密移動存儲介質安全保密的責任人在場。第八條 不再使用的涉密移動存儲介質應由使用者提出報告，由科室負責人批準后，交綜合科和監(jiān)督檢查科統(tǒng)一處理，確保有關內容和數(shù)據(jù)不可恢復。第九條 責任人每月對涉密移動存儲介質進行一次清查、核對，做出文字或電子記錄，發(fā)現(xiàn)丟失應及時向綜合科和監(jiān)督檢查科報告，并依法追究責任。第二條 本規(guī)定所稱非涉密移動儲存介質是指不用來存儲、傳遞、國家秘密信息的移動儲存介質。第三條 非涉密移動儲存介質禁止以任何形式傳輸涉及國家秘密和工作秘密的信息。第五條 非涉密移動存儲介質不得在本單位的涉密計算機或涉密信息系統(tǒng)中使用。第五章 涉密網(wǎng)絡管理規(guī)定第一條 為了加強我中心計算機信息網(wǎng)絡的保密管理，確保國家秘密的安全，根據(jù)國家保密法規(guī)和計算機信息網(wǎng)絡保密管理的有關規(guī)定，結合實際，特制定本規(guī)定。第三條 涉密網(wǎng)絡保護管理方案規(guī)劃設計前，應組織自身技術力量或委托具有相應涉密資質單位進行系統(tǒng)風險評估。第四條 根據(jù)工程的具體情況制定相應的保密措施和保密控制流程，嚴格控制接觸涉密信息的人員范圍。第五條 涉密信息系統(tǒng)應先評測后審批，涉密信息系統(tǒng)工程施工結束后，向保密工作部門提出申請，由國家保密工作部門授權的系統(tǒng)評測機構按照《涉密信息系統(tǒng)分級保護測評指南》從技術和管理兩方面進行測評。第七條 堅持“控制源頭、加強檢查、明確責任、落實制度”和“涉密不上網(wǎng)，上網(wǎng)不涉密”的原則，規(guī)范和完善信息網(wǎng)絡的日常管理；注意加強對計算機及其存儲介質（硬盤、軟盤、光盤、磁帶等）的管理，特別是對涉密計算機及其存儲介質的管理，指定專人負責，明確管理職責，并采取相應的安全保密措施。第九條 接入涉密網(wǎng)的計算機必須與非涉密計算機系統(tǒng)實行物理隔離。第十一條 涉密計算機必須由專人操作管理，必要時只與專網(wǎng)相連且在工作完成后立即脫離網(wǎng)絡。第六章 互聯(lián)網(wǎng)發(fā)布信息保密管理制度為加強互聯(lián)網(wǎng)發(fā)布信息的保密管理，確保國家秘密安全，根據(jù)《中華人民共和國保守國家秘密法》、國家保密局《計算機信息系統(tǒng)保密管理暫行規(guī)定》、《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》，結合我中心實際，制定本規(guī)定。第二條 互聯(lián)網(wǎng)發(fā)布信息保密管理堅持“誰發(fā)布誰負責”的原則。第三條 除新聞媒體已公開發(fā)表的信息外，中心各科室提供的上網(wǎng)信息應確保不涉及國家秘密，各科室指派一人擔任信息員，主要負責采集、編錄本科室的信息并向網(wǎng)站提供，信息員對所提供的信息內容負責。第五條 中心內部工作秘密、內部資料等，雖不屬于國家秘密，但應作為內部事項進行管理，未經(jīng)分管領導批準不得擅自發(fā)布。（二） 未經(jīng)有關部門批準的，涉及國家安全、社會政治和經(jīng)濟穩(wěn)定等敏感信息。（四）中心認定為不宜公開的內部辦公事項。依照國家有關規(guī)定和本制度的要求，結合我中心工作流程和特點，明確審查的程序和責任，由分管信息公開工作的領導分管保密審查工作，指定綜合科和監(jiān)督檢查科負責保密審查的日常工作。第九條 提供信息發(fā)布的科室應履行的職責：（一） 對擬發(fā)布信息（即將向網(wǎng)絡發(fā)布的信息）是否涉及國家秘密進行審查。（三） 接受上級機關的監(jiān)督檢查。（二） 建立健全上網(wǎng)信息保密管理制度，落實各項安全保密防范措施。（四） 定期或不定期向保密工作部門通報網(wǎng)上發(fā)布信息保密管理情況。（二） 協(xié)助參與涉及多個科室擬發(fā)布信息的保密審查。（四） 負責對網(wǎng)上發(fā)布信息進行經(jīng)常性保密監(jiān)督檢查，發(fā)現(xiàn)問題，立即采取補救措施，查明原因，并及時向市委保密委員會報告。第十二條 違反本規(guī)定，對網(wǎng)上發(fā)布信息保密審查把關不嚴，導致嚴重后果或安全隱患的，要按照規(guī)定嚴肅查處；情節(jié)嚴重的依法予以處理；構成犯罪的，依法追究刑事責任。第一條 綜合科、監(jiān)督檢查科組成安全保密小組，主管涉密計算機的維修、更換、報廢工作，負責制定安全保密管理辦法，并對執(zhí)行情況進行監(jiān)督檢查。第三條 涉密計算機系統(tǒng)進行維護檢修時，須保證所存儲的涉密信息不被泄露，對涉密信息應采取涉密信息轉存、刪除、異地轉移存儲媒體等安全保密措施。第四條 各涉密科室應將本科室設備的故障現(xiàn)象、故障原因、擴充情況記錄在設備的維修檔案記錄本上。第六條 涉密計算機的報廢由安全保密小組專人負責定點銷毀。第二條 個人信用信息基礎數(shù)據(jù)庫是采集、整理、保存?zhèn)€人信用信息，為金融機構提供個人信用狀況查詢服務，為貨幣政策制定和金融監(jiān)管提供有關信息服務的數(shù)據(jù)庫系統(tǒng)。第三條 公積金管理中心的征信業(yè)務是指按照人民銀行規(guī)定的數(shù)據(jù)報送格式，定期向人民銀行征信服務中心報送的住房公積金業(yè)務數(shù)據(jù)信息；根據(jù)人民銀行授權，建立用戶體系，查詢、使用個人信用信息基礎數(shù)據(jù)庫提供的個人信用報告及其他數(shù)據(jù)信息。其中個人基本信息是指自然人身份識別信息、職業(yè)和居住地址等信息；個人信貸交易信息是指金融機構提供的自然人在個人貸款、擔保等信用活動中形成的交易記錄；反映個人信用狀況的其他信息是指除信貸交易信息之外的，反映個人信用狀況的相關信息。公積金管理中心向人民銀行征信服務中心報送及查詢到的信用信息屬客戶的商業(yè)秘密，嚴禁向無關人員泄漏。第七條 本辦法適用于公積金管理中心內部所有運行和使用個人信用信息基礎數(shù)據(jù)庫的部門和職工。第九條 公積金管理中心監(jiān)督檢查科負責住房公積金業(yè)務的報送數(shù)據(jù)質量，保證導入個人信用信息基礎數(shù)據(jù)庫信息數(shù)據(jù)的真實、完整、準確、及時，符合數(shù)據(jù)報送質量要求，并且對反饋的錯誤數(shù)據(jù)進行修改。業(yè)務科室需設立征信業(yè)務崗2個（分為A、B崗），負責本個人信用信息的查詢使用、信息核查、異議信息處理等日常管理工作。管理員用戶負責管理查詢用戶、數(shù)據(jù)上報用戶，管理權限包括新建用戶、修改用戶資料和權限、查詢用戶信息、停用或啟用用戶、重置用戶密碼等。數(shù)據(jù)上報用戶負責向人民銀行征信服務中心報送我中心個人征信數(shù)據(jù)，權限包括報文預處理、報文報送、報文上報情況查詢、修改登陸密碼、查看自己的基本資料和權限等。管理員用戶不得隨意增加、修改、刪除用戶的權限。人民銀行征信服務中心創(chuàng)建公積金管理中心管理員用戶。第十三條 個人信用信息基礎數(shù)據(jù)庫中已注冊用戶均不能刪除。凡離開相關崗位的查詢用戶和數(shù)據(jù)上報用戶，應及時停用，待返回本崗位后再重新啟用。管理員用戶應定期檢查清理用戶登記冊，保持用戶的系統(tǒng)內注冊信息、登記冊登記信息與實際情況一致。管理員用戶應根據(jù)申請內容修改用戶基本信息。 第十五條 管理員用戶應按照人民銀行征信服務中心的要求，向其備案公積金管理中心的查詢用戶、數(shù)據(jù)上報用戶的注冊信息。用戶ID和密碼被他人使用進入系統(tǒng)操作的，視為用戶本人的操作。經(jīng)用戶申請并填寫《個人信用信息基礎數(shù)據(jù)庫用戶密碼重置申請單》（見附表1），管理員用戶可以重置該用戶密碼。除上述三種情況外，不得查詢個人信用報告。上述授權需采取授權書的形式。第二十一條 對已發(fā)放的住房公積金貸款進行貸后風險管理時查詢個人信用信息基礎數(shù)據(jù)庫的，應填寫《個人信用信息基礎數(shù)據(jù)庫查詢申請單》（見附表2），經(jīng)部門負責人簽字確認后，由查詢用戶執(zhí)行查詢操作。第二十三條 查詢用戶發(fā)現(xiàn)個人信用報告內容與實際情況不一致時，應及時上報數(shù)據(jù)上報用戶處理。異議核查和糾錯處理要嚴格按照《濰坊市住房公積金管理中心個人信用信息基礎數(shù)據(jù)庫異議處理規(guī)程》中的具體規(guī)定執(zhí)行。第六章 數(shù)據(jù)報送第二十六條 公積金管理中心個人信用信息基礎數(shù)據(jù)庫數(shù)據(jù)信息報送應嚴格遵守中國人銀行《個人信用信息基礎數(shù)據(jù)庫數(shù)據(jù)報送管理規(guī)程（暫行）》和《濰坊市住房公積金管理中心個人信用信息基礎數(shù)據(jù)庫數(shù)據(jù)報送管理規(guī)程（暫行）》的有關規(guī)定。第七章 保密和安全管理第二十八