推荐第1篇:内幕信息泄露
内幕信息泄露的过失
钟日好
内容提要:如果不对过失泄露内幕信息行为进行处罚将不利于约束内幕信息知情人的行为,使其尽到最大程度的谨慎、诚实义务。由于过失泄露内幕信息行为在刑法中不列为犯罪,如果证券法也不处罚过失泄露内幕信息行为,将使得过失泄露内幕信息者为自己的过失行为付出的代价为零。由于现实中过失泄露内幕消息时有发生,为了严厉打击内幕交易行为,规范市场秩序,应当将过失作为泄露内幕消息的主观要件之一。
关键词:过失信息泄露内幕交易重大过失 内幕交易、泄露内幕信息罪是指证券、期货交易内幕信息的知情人员或者非法获取证券、期货交易内幕信息的人员,在涉及证券的发行,证券、期货交易或者其他对证券、期货交易价格有重大影响的信息尚未公开前,买入或者卖出证券,或者从事与该内幕信息有关的期货交易,或者泄露该信息,情节严重的行为。
一、对于我国首例过失泄露内幕信息案件
2007年10月,珠海格力集团准备将房地产业务借壳上市,格力集团副总裁、珠海格力房产有限公司董事长鲁某委托况勇联系寻找壳资源。况勇曾任格力集团财务部副部长、格力电器董事会秘书、格力集团投资部部长等职,2005年从格力集团辞职。况勇通过其同学黄某找到了西安海星现代科技股份有限公司总经理韩某,商谈海星科技卖壳事宜。但就在双方口头达成一致意见的当天(10月25日,两个神秘账户分别动用35万多元和25万多元,买入海星科技55000股和39600股,第二天海星科技就涨停了,随后股价一路飙涨。经查,两个神秘账户的主人一个叫徐琴,一个是李某,这是一对夫妻。特殊的是,徐琴是格力地产借壳上市谈判主要参与者况勇的外甥女,更特殊的是,况勇妻子张蜀渝是徐琴账户的全权代理人。在调查过程中,况勇否认他利用内幕信息买卖股票,而是表示自己与海星科技联系格力地产借壳一事时,妻子在电话里听到了,妻子张蜀渝也称是从丈夫打电话中听到此事,因而推荐徐琴买入海星科技股票,这次操作最终获利112346.05元。对于这种情况如何认定,最终证监会还是认定这是内幕交易,属于重大过失泄露内幕信息和意外被动获知、传递内幕信息案例,是我国证券市场第一起类似案件。
如何认定况勇这一“非故意”泄密行为的违法性。在证监会做出的行政处罚决定中,实际上已经对内幕信息知情人类似的违规行为做出界定:“(况勇)对相关并购重组事项的进展、 2012335720083
前景、细节有着全面、准确的了解,本应保持高度的注意与谨慎,认真做好相关信息的保密与管理,但却未采取必要的保密措施,将有关内幕信息泄露给其配偶”。
实际上,按照“非故意的重大过失”对泄露内幕信息行为进行认定,也是证监会首次做出的执法尝试。在先期调查中,由于没有证据表明况勇系故意泄露有关信息,因此对案件如
〔1〕何认定一度也让调查部门感到非常棘手。此前的很多执法实践也表明,在现实中,由于客
观条件制约,以行政手段证明故意泄露非常困难。通常情况下,当事人会以无意泄露来搪塞推脱。
相比较而言,过失泄露的举证难度相对较低。因此,将泄露者的责任扩展至“过失”,既有利于督促内幕信息知情人加强保密意识,完善保密措施,又可以堵住当事人“舍卒保帅”、规避法律制约的口子。从本案的情况看,况勇的一些行为已经构成了重大过失,应该承担法律责任。
二、关于泄露内幕信息罪的观点
关于内幕交易、泄露内幕信息罪的主观方面,学者们存在不同看法:一是直接故意说。认为本罪的主观方面是直接故意,即明知是内幕信息而故意利用该信息进行证券、期货交易,或故意将该信息泄露给他人进行证券、期货交易。二是故意说。认为本罪主观方面只能由故意构成,如果行为人在无意中泄露证券、期货内幕信息的,不构成本罪。三是分别说。认为内幕交易行为的主观方面只能是直接故意,并且是以为自己或者他人牟取非法利益为目的。泄露内幕信息行为的主观方面可以是故意,也可以是过失。四是故意、过失说。认为本罪主观上可以是故意,也可以是过失。中国证监会虽然在况勇案中首次对于过失泄露内幕信息开除了罚单,对于泄露内幕信息行为的主观方面是否包括过失这一问题目前尚存争议。赞同的观点认为,由于现实中过失泄露内幕消息时有发生,为了严厉打击内幕交易行为,规范市场秩序,应当将过失作为泄露内幕消息的主观要件之一,因此内幕信息知情人员过失泄露内幕
〔2〕信息应当承担责任。同时,由于《禁止证券欺诈行为暂行办法》钟并没有用“故意”来限
定泄露行为。然而反方的观点认为,由于内幕交易者的主观方面都要求明知,从中国证券法使用“知情人员”和“非法获知”的措辞可以推断内幕交易者在主观上是明知,即过失不构成内幕交易。
三、内幕信息泄露应当包括故意和过失
我国的内幕交易犯罪立法和理论及其不完善,随和证券市场的发展完善,内幕交易行为的日益增多和突显,市场和投资人越来越关注内幕交易行为,国家和理论界越来越关注这一新类型犯罪,立法和司法监管也正着手深入研究这一犯罪,以跟上新形势的需要。
我觉得内幕信息泄露的主观构成要件应当包括故意和过失,从根本意义上来讲,证券管理监督机构对内幕交易行为进行处罚实际上是一种行政处罚,过失泄露内幕消息是否应当受到行政处罚这一问题的本质就是行政处罚的主观要件是否包括过失。一般认为,行政处罚作为一种法律责任形式的具体形式,应当适用无过错既无责任原则,过错就应当同时包括主观上的故意和过失。而且通常行政法对于因为过失而实施的违法行为也给予处罚,除非法律、
〔3〕法规中明确规定过时违法修改为可以免除处罚。我国证券法第76条禁止证券交易的知情
人和非法获取内幕消息的人,在内幕消息公开前泄露该消息就表明泄露内幕消息行为本身是违法的,同时并没有其他法律法规对于过失泄露内幕消息的行为应承担的法律责任给予免除。根据行政处罚的原则,在没有法律明确免除的情况下应当对违法行为给予处罚,所以中国证监会对于况勇过失泄露内幕消息给予处罚的决定符合行政处罚法的一般法理要求。〔1〕
〔2〕
〔3〕 参见于杨:《证券时报》,2010年9月14日。 参见白建军:《证券欺诈及对策》,中国法制出版社1996年班,第38页。 参见沈福俊、邹荣主编:《行政法与行政诉讼法学》,北京大学出版社2007年版,第198页。
《证券法》的颁布与实施,给我国证券市场的持续、健康发展提供了源源不断的动力,也为我国证券监管机构和司法机关行使职权、打击犯罪提供了非常重要的法律依据。在世界范围内,由于内幕交易存在着暴利引诱、行为隐蔽、司法机关调查取证难等主客观因素,犯罪发生率比较频繁,甚至牵涉到国家高级领导人,使法律不可能从根本上扑灭这类罪行,但有效地打击内幕交易罪,采取切实有效的措施把它控制在一个公众可以容忍的限度内,切实保护投资公众的合法权益,则是广大投资者的愿望,也是立法的目的。
四、对过失泄露内幕信息进行处罚的现实意义
近年来我国证券市场上的内幕交易行为不断存续,且发生着新的变化,如内幕交易群体化、隐蔽化越来越明显。其具体表现为,直接以内幕信息知情人自己的账户从事内幕交易的情形减少,代之以借助他人的账户私下建立代持关系从事证券交易。公司内部人、机构投资者、保荐人等市场主体利用内幕信息进行利益交换,建立隐性利益分成机制,形成庞大的内幕交易受益链条。由于内幕交易的表现形式的不断多样化,将过失泄露内幕信息行为纳人打击内幕交易范围的必要性是显而易见的。其一,如果不对过失泄露内幕信息行为进行处罚将构成证券法的一大漏洞,使证券法难以堵住内幕交易的源头。一方面,内幕信息知情人会利用这一漏洞,故意伪造事实和证据用于证明自己泄露内幕信息的行为是基于过失而非故意,
〔4〕从而通过内幕交易隐蔽化的手段逃脱法律的制裁。另一方面,在我国证券市场内幕交易
呈现隐蔽化、群体化趋势的背景下,本已受制于执法成本等客观因素的证券市场监管面对内幕交易行为显得更加力不从心。如果要求监管机关在处罚泄露内幕信息行为的时候必须承担证明内幕信息泄露者主观故意的举证责任,那对于本已不堪重负的监管工作而言无疑是雪上加霜。监管机关将会面临内幕信息泄露行为肆意猖撅,却无法查处内幕信息泄露者的窘境。
其二,如果不对过失泄露内幕信息行为进行处罚将不利于约束内幕信息知情人的行为,
〔5〕使其尽到最大程度的谨慎、诚实义务。由于过失泄露内幕信息行为在刑法中不列为犯罪,
如果证券法也不处罚过失泄露内幕信息行为,将使得过失泄露内幕信息者为自己的过失行为付出的代价为零。内幕信息的知情人在这种情况下就不会在行为上约束自己,并不断警示自己要格守保密义务。内幕信息的泄露将成为证券市场上普遍的现象。
五、结语
有关法律专家表示,对于过失泄露,也不主张打击范围过广,所掌握的尺度一般限于“重大过失”,并非任何过失都能构成泄密。何种情形构成重大过失需要考虑如下因素:一是内幕信息的市场敏感程度及其对证券交易价格的影响程度;二是因泄露导致的信息扩散广度和深度;三是泄露者对内幕信息的了解与掌握程度;四是信息泄露的频度与清晰程度;五是泄露者所采取的加密与防护措施。
对于防止内幕信息的泄露,最应当加强的是监督制约机制。无论是上市公司本身的制度对于公司高管,知情人员的监督,防止其利用内幕信息犯罪,而对于证监会等有关部门,对于内幕交易行为的查处,应当加大力度,完善其制度,真正发挥证监会应有的作用。
〔4〕 参见方志桢:《惩罚的边界》,《公司法律评论》,2011年卷。
年卷。 〔5〕参见方志桢:《惩罚的边界》,《公司法律评论》,2011
推荐第2篇:内幕交易、泄露内幕信息罪
对内幕交易、泄露内幕信息罪及利用未公开信息交易罪的认定
撰稿人:崔洋洋
大家好,今天我们组讲的课题是内幕交易、泄露内幕信息罪以及利用未公开信息交易罪。
内幕交易、泄露内幕信息罪是随着市场经济的发展,融资市场的产生而出现的一种新型经济犯罪。刑法学界通说认为:内幕交易、泄露内幕信息罪,是指证券、期货交易内幕信息的知情人员或者非法获取证券、期货交易内幕信息的人员,在涉及证券的发行,证券、期货交易或者其他对证券、期货交易的价格有重大影响的信息尚未公开前,买人或者卖出该证券,或者从事与该内幕信息有关的期货交易,或者泄露该信息,情节严重的行为。这一新型罪名由于其诞生时间短,因此目前司法实践部门对这一罪名的理解和把握并不太准确,因而有必要对其认定问题进行深入的讨论。
一、对内幕交易、泄露内幕信息罪的客观方面进行考察
1、行为人进行内幕交易或者泄露内幕信息。进行内幕交易,即在涉及证券的发行,证券、期货交易价格或者其他对证券、期货交易价格有重大影响的信息尚未公开前,买入或者卖出该证券,或者从事与该内幕信息有关的期货交易。所谓内幕信息,指在证券、期货交易活动中,涉及公司的经营、财务或者对该公司证券、期货的市场价格有重大影响,尚未公开的信息。根据《中华人民共和国证券法》第75条规定,“证券交易活动中,涉及公司的经营、财务或者对该公司证券的市场价格有重大影响的尚未公开的信息,为内幕信息。下列信息皆属内幕信息:(一)本法第六十七条第二款所列重大事件;(二)公司分配股利或者增资的计划;(三)公司股权结构的重大变化;(四)公司债务担保的重大变更;(五)公司营业用主要资产的抵押、出售或者报废一次超过该资产的百分之三十;(六)公司的董事、监事、高级管理人员的行为可能依法承担重大损害赔偿责任;(七)上市公司收购的有关方案;(八)国务院证券监督管理机构认定的对证券交易价格有显着影响的其他重要信息。”内幕信息具有两个特征:
一、秘密性,即未公开性,
二、重要性。如何认定犯罪嫌疑人利用或泄露的信息属于内幕信息,也应当从这两个方面进行考察。
内幕信息的秘密性,是指该信息尚未公开,尚未为证券、期货市场上的有关证券、期货投资者所获悉。对该信息未公开的认定,我国《股票发行与交易管理暂行条例》规定,公布和公开应以有关信息和文件刊登在中国证监会指定的报刊上为准。《证券法》第69条明文规定:“依照法律、行政法规规定必须作出的公告,应当在国家有关部门规定的报刊上或者在专项出版的公报上刊登,同时将其置备于公司住所、证券交易所,供社会公众查阅。”也就是说,只要证实行为人的交割单所载日期先于其交易行为所利用的信息的合法公开日期,就认定为利用的信息属于“未公开”的信息。内幕人员在该信息公开前,使用他人尚未掌握的信息进行相关证券、期货合约买卖或建议未知该信息的他人买卖相关证券、期货合约,为自己和他人牟取非法利益,应当认为是涉嫌内幕交易,泄露内幕信息罪。
对于内幕信息的重要性的评判标准,我们小组认为应当根据案件的实际情况进行分析。第一,该信息公开后是否对相关证券、期货合约价格形成了影响,一般不应该考虑该信息的内容最终是否被实际付诸实行。若该信息公开后对相关证券、期货的交易产生了重大影响,则应当认定该信息的重要性。第二,犯罪嫌疑人是否使用该信息未自己或者他人牟取了不法利益。若犯罪嫌疑人利用该内幕信息牟取了巨额不法利益,相应的就会造成他人合法利益的被侵犯,也从一方面说明了该内幕信息的重要性。
行为人有利用掌握的内幕信息操纵相关证券、期货交易市场,牟取非法利益,或者将内幕信息泄露给他人,使得他人牟取非法利益的行为。对内幕信息“利用”的认定,,《刑法》第180条虽然没有明文规定“利用内幕信息”的文字,但其表述方法实际上包含有“利用内幕信息”之意。只要对内幕信息“知情”,或非法获悉内幕信息,又在信息未公开前买卖或使人买卖该证券,也就是利用内幕信息进行交易,而不需要再规定利用内幕信息,以免产生歧义。该行为具体体现在:
一、行为人利用内幕信息,直接参与证券、期货买卖,即行为人在涉及证券发行,证券、期货交易或者其他对证券、期货交易价格有重大影响的信息正式公开以前,本人利用自己所处的特殊位置而获悉的内幕信息,掌握有利的条件和时机,进行证券、期货的买入或卖出,从而使自己从中获利或减少损失;
二、行为人在涉及证券发行,证券、期货交易或者其他对证券、期货交易价格有重大影响的信息正式公开前,将自己所知悉的内幕信息故意予以泄露,主要是指行为人以明示或者暗示的方式透露、提供给与公司没有关系的第三人;
三、非内幕人员通过不正当的手段或者其他途径获得内幕信息,并根据该信息买卖证券、期货或者建议他人买卖证券、期货。行为人通过对已公开信息进行分析判断,利用自己的聪明才智掌握别人未掌握的信息对证券、期货进行买卖,牟取利益的行为,不应当认为是内幕交易、泄露内幕信息罪。当然,立法中也规定了内幕交易行为的例外情况。根据我国实际经验,下列行为不属于内幕交易行为:依法回购本公司股份的行为;买卖行为与内幕信息无关;行为人有理由相信内幕信息已经公开;事先不知道泄露内幕信息的人为内幕人或不知道该信息为内幕信息。
2、行为达到情节严重程度。所谓情节严重,在刑法理论上通常指内幕交易人非法获利数额巨大?或非法避免损失数额巨大?,给不知内幕信息的其他投资者造成严重损失或引起了其他严重后果,导致证券、期货市场动荡、紊乱等情况。
二、对内幕交易、泄露内幕信息罪的主体进行考察——是特殊主体还是一般主体。
1、有学者认为,内幕交易、泄露内幕信息罪的主体属特殊主体,即证券交易内幕信息的知情人员或者非法获取证券交易内幕信息的人员,具体来说包括两个方面的人员,一方面是证券交易内幕信息的知情人员,即内幕人员;另一方面是内幕知情人员之外的通过各种非法途径获取证券交易内幕信息的人员,即非内幕人员。粗看刑法第180条第1款的规定,内幕交易、泄露内幕信息罪的主体似乎是“特殊主体”只有“内幕知情人员”和“非法获取内幕信息的人员”才构成该罪。在刑法理论中,以主体是否要求以特定身份为要件,犯罪主体可以分为一般主体与特殊主体;刑法规定以特殊身份作为要件的主体,称为特殊主体。判断某一犯罪构成的主体是否为“特殊主体”,其关键之处即在于是否要求犯罪主体必须具备“特定身份”, 非法获取证券交易内幕信息的人员”并不具有任何刑法意义上的特殊身份”某些学者之所以将“非法获取证券交易内幕信息的人员”视作“特殊主体”,其理由可能在于:一般人没有掌握证券交易内幕信息,当然也就不可能去实施内幕交易或泄露内幕信息;只有具备特殊身份即“非法获取了证券交易内幕信息”的人(以及通过职权掌握了内幕信息的人即内幕人员)才具备实施上述犯罪行为的条件。
2、非法获取证券交易内幕信息”并不是犯罪主体方面的特征,而是犯罪客观方面的表现,因为,社会中的任何一个人都有可能去实施“非法获取证券交易内幕信息”的行为。即只要同时具备“非法获取证券交易内幕信息”以及“内幕交易或泄露内幕信息”两个行为,实施该行为的主体就可以成为内幕交易、泄露内幕信息罪的主体,而这个主体可以是任何人,并不需要其拥有某种特定身份,因此,内幕交易、泄露内幕信息罪的主体是一般主体。
3、内幕交易的主体被称为内幕人员。从我国证券法73条的叙述中可以看出,我国内幕主体包括两大类:一是证券交易内幕信息的知情人;二是非法获取内幕信息的人员。我国《证券法》在第7
3、74条规定了内幕人员的范围。主要可以分为以下四类:(1)公司内幕人员。这主要包括证券法第74条所列的前四项,即发行人的董事、监事、高级管理人员;持有公司5%以上股份的股东及其董事、监事、高级管理人员;由于所任公司职务可以获取公司有关内幕信息的人员。(2)政府机构内幕人员。这主要是指政府机构中由于其监督、管理地位而能够接触获得证券交易内幕信息的人,这主要体现在《证券法》第74条第5项的规定,即证券监督管理机构工作人员以及由于法定职责对证券的发行、交易进行管理的其他人员。(3)市场内幕人员。这是指与公司没有隶属关系,但由于其业务或职业而获取有关公司内幕信息的人。《证券法》第74条第6项中规定的保荐人、承销的证券公司、证券交易所、证券登记结算机构、证券服务机构的有关人员等均属此类。(4)非法获取内幕交易信息的人员。这些人本身没有条件获取内幕信息,却采用不合法的方法获取内幕信息或没有法律上的根据而接受内幕信息。这类主体有两个要件:一是不属于前述三类有条件或职权获得内幕信息的人员;二是他们或得内幕信息的手段是非法的,实践中主要是窃取、骗取等方式。
三、对内幕交易、泄露内幕信息罪罪的主观方面进行考察——是否包括过失
1、内幕交易行为构成犯罪,其主观方面必须是故意,这基本上没有争议;但是,“过失”泄露内幕信息的行为是否构成犯罪,刑法第l5条第2款明确规定:“过失犯罪,法律有规定的才负刑事责任。”过失泄露国家秘密之所以构成犯罪,其根本原因就在于刑法第398条有明文规定。但足,我们不能简单地以此作类比,就认为“泄露内幕信息罪”的主观方面也包括“过失”。因为,刑法第180条并没有规定“过失”泄露证券交易内幕信息的行为构成犯罪。其他条款也没有相应的内容。因此,内幕交易、泄露内幕信息罪的主观方面只能是故意,不包括过失。
四、对利用未公开信息交易罪的理解
1、随着证券、期货市场在我国的兴起与发展,证券、期货交易领域利用职务便利获取的内幕信息以外的未公开其他的信息进行证券、期货交易或者泄露利用职务便利获取的内幕信息以外的未公开其他的信息明示、暗示他人从事相关交易的行为时有发生,这种行为被证券、期货业界称为“老鼠仓”。这些行为严重违反了证券、期货交易应当遵循的公开、公平、公正的原则,危害了证券、期货交易信息保密制度,侵害了投资者的利益,破坏了证券、期货市场秩序。刑法第一百八十条第四款:“证券交易所、期货交易所、证券公司、期货经纪公司、基金管理公司、商业银行、保险公司等金融机构的从业人员以及有关监管部门或者行业协会的工作人员,利用因职务便利获取的内幕信息以外的其他未公开的信息,违反规定,从事与该信息相关的证券、期货交易活动,或者明示、暗示他人从事相关交易活动,情节严重的,依照第一款的规定处罚。
2、与内幕交易、泄露内幕信息罪不同的是,本罪属于特殊主体,即与证券、期货交易密切相关的金融机构从业人员以及监管人员或者行业协会人员,如证券交易所、期货交易所、证券公司、期货经纪公司、基金管理公司、商业银行、保险公司等金融机构的从业人员以及有关监管部门或者行业协会的工作人员。只有这些人员才能成为该罪的犯罪主体,其他人员不能成为该罪的犯罪主体。另外,犯罪分子所利用的信息不属于内幕信息的范畴,即不受证券、期货管理方面的法律法规的约束如基金投资公司即将建仓、出仓的信息等。因为不属于法律规定的“内幕信息”,也未要求必须公开,故称“内幕信息以外的其他未公开的信息”。 “内幕信息”主要是围绕上市公司本身的信息,如公司的重组计划、公司高管人员的变动、公司的重大合同、公司的盈利情况等对该公司证券、期货的市场价格有重大影响、按照有关规定应当及时向社会公开但是还尚未公开的信息;而“老鼠仓”所利用的信息一般属于单位内部的商业秘密,属于“内幕信息以外的其他未公开的信息”;二是从犯罪行为损害的利益看,内幕交易更多是损害不特定的社会公众投资者和股民的合法权益,“老鼠仓”交易更多是损害资产管理机构的客户的利益
3、利用未公开信息交易罪在客观方面主要表现为证券交易所、期货交易所、证券公司、期货经纪公司、基金管理公司、商业银行、保险公司等金融机构的从业人员以及有关监管部门或者行业协会的工作人员,利用因职务便利获取的内幕信息以外的其他未公开的信息,违反规定,从事与该信息相关的证券、期货交易活动,或者明示、暗示他人从事相关交易活动的行为,必须发生在涉及证券的发行、证券交易、期货交易或者其他对证券、期货价格有重大影响的内幕信息以外的信息尚未公开前,这是构成利用未公开信息交易罪所必须具备的时间要件。但是,如果在涉及证券的发行,证券、期货交易或者其他对证券、期货的价格有重大影响的内幕信息以外的其他信息已经公开,由于该信息已不再是未公开性质,也就不存在利用未公开信息交易的问题,此时上述从业人员、工作人员即使买入或者卖出了该证券、进行了证券、期货交易也不构成该罪;即使将该信息告知别人,明示、暗示别人从事与该信息相关的交易也不构成符合该罪犯罪的客观方面的时间要素。
4、证券交易所、期货交易所、证券公司、期货经纪公司、基金管理公司、商业银行、保险公司等金融机构的从业人员以及有关监管部门或者行业协会的工作人员,利用因职务便利获取的内幕信息以外的其他未公开的信息,违反规定,从事与该信息相关的证券、期货交易活动,或者明示、暗示他人从事相关交易活动,必须达到情节严重的程度才能构成犯罪。否则虽然有上述两项行为,但是不属于情节严重,也不能以利用未公开信息交易罪论处。所谓“情节严重”, 《关于刑事案件立案追诉标准的规定
(二)》规定:涉嫌下列情形之一的,应予立案追诉,
1、证券交易成交额累计在五十万元以上的;
2、期货交易占用保证金数额累计在三十万元以上的;
3、获利或者避免损失数额累计在十五万元以上的;
4、多次利用内幕信息以外的其他未公开信息进行交易活动的;
5、其他情节严重的情节。我们认为,行为人利用未公开信息交易的主要动机就是在于获取非法利益,或者避免、转嫁自己的损失。因此,非法获取利益或者避免、转嫁自己的损失的多少应当也是情节严重的一个重要内容。所谓“获取非法利益”,是指行为人通过利用未公开信息交易非法获取利益的数额。在司法实践中,要注意不能将行为人利用未公开信息交易时买入或者卖出的证券,以及进行期货交易价值的全部计算为违法所得,后者显然包括成本在内和应得利益在内,不属于获取非法利益的范围。
5、利用未公开信息罪所侵害的客体是复杂客体,既包括国家证券、期货交易管理制度(或者秩序),又包括他人的财产权利。其犯罪对象为“利用因职务便利获取的内幕信息以外的其他未公开的信息”。对于“内幕信息”包含哪些内容,我们已在上文进行论述。
6、作为一种新型的市场经济犯罪,利用未公开信息交易罪的危害主要体现在:
1、对具体投资者的危害。当有人利用因职务便利获取的内幕信息以外的其他未公开的信息进行证券交易时,其他外部投资者整体利益将遭受损失,而且该投资者整体损失等于建立“老鼠仓”行为的收益。
2、对发行公司的危害。如果发行公司的管理人员可以利用利空消息来规避损失甚至牟利的话,这样管理人员谨慎经营、规避风险的经营技巧将被淡化,增加公司经营成本。
3、对为发行公司提供专业服务的中介机构及其他市场媒介的损害。如果上市公司的管理层从事利用未公开信息交易的话,不仅损害了一般投资者的利益,无形中也把为其提供专业服务的中介机构拖下水,从而对这些中介机构的声誉造成损害。四是对证券、期货市场乃至国民经济的危害。当其他投资者意识到有人利用未公开信息进行交易,就可能退出证券、期货市场,影响证券、期货市场的长期发展。可以说,利用未公开信息交易罪是一种投机取巧,违反市场交易竞争公平、公正、公开的交易欺诈行为。
利用未公开信息交易罪的立法,对于预防、打击“老鼠仓”的犯罪行为有着重要的现实意义,对此有还待进一步地深入研究。
推荐第3篇:国庆将至,防火防盗防信息泄露!
国庆将至,防火防盗防信息泄露!
目前,信息网络已经渗入到人类社会的各个领域。网络的普遍建立不仅使人与人之间的信息交流空前简化,同时也使得个人信息安全问题越来越突显。
网络安全和信息化是相辅相成的,安全是发展的前提,发展是安全的保障。良好的网络环境,才能有效保障人民的利益,所以每一位网民都需增强使命感与责任感,保护好个人信息安全。
个人信息包括什么?
网络时代的个人信息,主要是指存储于个人计算机、手机或网络上的一切与个人利益有关的数字信息。
具体来看,主要包括姓名、年龄、性别、生日、身份证号码等个人基本资料,常被用于需要实名认证的软件;手机号码、固定电话、电子邮箱、通信地址等个人联系方式,常被用于外卖、购物类软件;网银、支付宝、游戏等账号密码及财政状况,常被用于金融类软件;GPS定位服务,常被用于打车、地图类软件。 另外,网页浏览记录、网上交易记录、论坛和聊天室发言记录等个人网络习惯,以及个人不愿被公开浏览、复制、传递的照片及录像、各类文档等个人文件数据也属于个人信息。
个人信息是如何泄露的?
造成个人信息泄露有法律法规和制度的不完善,信息安全管理理念滞后等多种因素,但最主要的应该是网民自己对个人信息安全保护意识不强。
近年来,各种信息秘密泄露事件比比皆是。人民网曾经开展过一次关于个人信息泄露的调查。调查结果显示,90%的网友曾遭遇过个人信息被泄露;94%的网友认为,当前个人信息泄露问题非常严重。宋警官表示,个人信息泄露的途径可分为主动泄露和被动窃取两种。
1.主动泄露。是指个人为实现某种目的而主动将个人信息提供给商家、公司或他人。比如消费者在就医、求职、买车、买房、买保险、办理各种会员卡或银行卡时填写的个人信息;或参加“调查问卷”及参与抽奖活动时,填写的联系方式、收入情况、信用卡情况等内容;或登录网站注册会员填写的个人信息等等。
个人主动将有关信息泄露给商家,而商家对个人信息没有尽到妥善保管的义务,在使用过程当中把个人信息泄露出去。
2.被动窃取。是指个人信息被别有用心的人采取各种手段收集盗卖。比如利用互联网搜索引擎搜索个人信息,然后汇集成册,再出售给需要购买的人;或通过建立挂马网站、发送垃圾电子邮件或者电话查询等方式,以各种“诱饵”,诱使受害人透露个人信息;或通过病毒、木马和黑客攻击个人电脑或者网络服务器盗取个人电子账号、密码等等。 国庆将至,大家一定要提高警惕,谨防电信和网络诈骗,提高网络安全意识,增强文明上网素养。
推荐第4篇:大学生信息泄露问题总结与观点
大学生信息泄露:问题总结和小组观点
寻找某件事物所存在的问题的过程就像打扫一个房间,你总要站在不同的角度去观察才能找到大多数的污渍并清理干净它们。信息泄露,这是个在我们大学生这个群体乃至整个社会中都存在的问题,其普遍性和影响使得我们不得不重视它。所以让我们从不同的角度看看这个问题。
第一个角度:自身。
有个总是被人忽略的词叫做:灯下黑。因为相对于看到自身的问题,人们往往更倾向于找别人的差错。这个问题也是如此,当你看过许许多多的事例你会发现,其实故事的主人公自己也并不重视自己的信息或是他人的信息。现如今是信息时代,你的信息比你想象的更有价值。当事情没有真正发生前,你不会知道自己的一时疏忽会造成怎样的后果。 评论:长点心吧孩子,当你费劲心思想要到你女神或男神电话号码的时候,你还不知道个人信息有多重要吗?这方面的问题需要我们自己来解决,提高自己的意识。不要轻易泄露自己或是他人的信息。在任何可能泄露重要信息的地方留给心眼。
第二个角度:周围的朋友。
有时候你的信息不是由你而是你身边的人泄露的。他们可能并不是有意,甚至有时候是好意。说出来可能过于现实,但是当涉及到不关乎自己切身利益的事时,人往往没有什么警惕性。更何况在如今的世界,不论是口头,书面,还是网络,总有各式各样的方法让你落入陷阱。
评论:如果你知道别人的一些重要信息,没有他/她本人的允许不要透露出去。因为知道对方的重要信息,这已经是相互之间的信任。
第三个角度:社会。
社会是个大环境,它可能不会直接改变一个人,但它会影响人们。今天的世界,人们都在追逐利益,而信息时代的来临让他们发现了新的商机。他们发现一个人的信息居然也可以有这么多用处,而当一个东西扯上金钱,它就变得奇怪了。有人开始收购个人信息,这使得信息的泄露变得更为普遍,造成的影响也更加恶劣。酒店会泄露房客信息,医院有可能为了利益出卖病人信息,诸如此类的例子数不胜数。
评论:社会的问题需要政府的介入,相应的规章制度固不可少,但政府的宣传也很有必要,民众需要看到一个信息安全的大趋势,这才能压制住信息泄露的洪流,让人们放心。这一普遍的现象已经不是宣传一下信息安全观念就行的了,我们不得不求助于相关的法律制度。 那么信息已经泄露我们又该怎么办?
一, 更换账号。个人信息泄漏后,要第一时间换账号。由于现在网络十分发达,信息泄露之后如果不换账号,那么在这个账号下登陆的各种信息就会源源不断地流出。因此,一旦发现了泄露的源头,就要立刻终止使用这个账号,从源头切断泄漏源。
二, 更改重要的密码。现在的人离不开网络,一旦个人信息泄露,涉及面非常广。尤其对于喜欢网购的人来说,个人信息往往和银行账号、密码等重要的信息联系在一起。因此一旦个人信息泄露,应该马上更改重要的密码,避免造成经济损失。
三, 报案。个人信息一旦泄露,应该报警。报案的目的一来是保护自己的权益,二来也是可以备案。一旦有更多的人遇到和你类似的情况,就可以一起处理。这样不仅可以维护自己的隐私权,还可以避免更多的经济损失。 四, 律师起诉。如果个人重要的信息丢失,而且知道怎么丢失的或者是有很多线索,那么就可以向专业的律师咨询相关的法律法规。如果律师给予肯定的答复,就可以利用法律的武器维护自己的权益。
五, 收集证据。在信息泄露之后,很容易收到各种各种的邮件,接到天南海北的电话。这时候要留心,记下对方的电话或者是邮箱地址等有用的信息。可能这些信息很琐碎,但是一旦收集好这些信息不仅能帮助自己维权,而且还可能帮助更多的人。
六, 提醒身边的亲朋好友防止被骗。个人信息泄漏后,不仅可以用这些信息盗用你的账号,甚至还可能骗你身边的亲朋好友。所以一旦你的信息泄露,或者联系工具账号丢失,一定要第一时间通知你的亲朋好友,要他们倍加防范,以免上当受骗。
推荐第5篇:关于信息泄露及其安全的分析
关于信息泄露及其安全的分析
在二十一世纪这个崭新的时代里,随着社会的不断发展,科技的不断进步,极大的满足了人们的各种需求。特别市互联网的广泛普及,不仅方便信息的交流,而且还可以通过其满足物质需求。但与此同时,也会产生许多问题,信息泄露就是一个亟待解决的问题。其中包括个人信息、政府信息和企业信息,甚至国家信息,都可能成为被泄露的对象。
近年来,国家加大力度打击非法买卖公民个人信息的行为。面对互联网的普及给公民个人信息安全的保护带来新的挑战,不久前在公安部统一部署指挥下,我国首次大规模集中打击侵害公民个人信息犯罪的专项行动取得显著成果,共抓获犯罪嫌疑人1700余名。但是,由于侵害公民个人信息的手段、方式不断翻新,公民信息安全保障的形式依然严峻。
对于个人信息泄露的途径,调查发现,银行、保险公司、商场等商业单位是民众认为最有可能泄露个人信息的机构,有1530名受访者对此表达了担心,占参与调查总人数的51%。此外,当前不少网站在用户注册、参与线下活动时要求用户提供个人信息,也被34%的受访者认为是可能造成个人信息泄露的重要途径。
调查显示,公众对个人信息安全的认知和重视程度还有待加强,38%的受访者日常并不注意保护个人信息,在网站需要提供个人信息时不清楚信息收集的目的。 长期关注网络社会问题的中国传媒大学詹骞老师认为,网上个人信息频频被泄露的根源,一方面是由于公民个人的信息保护意识和能力还不够强,另一方面在于技术和商业利益裹挟在一起,不法分子通过各种技术手段盗取用户的个人信息,背后是商业利益的驱使。另外,人们在享受互联网便捷性的过程中,也不知不觉地将个人信息和隐私交换出去,如通过微博和交际网站晒个人的生活细节等,都存在信息泄露的隐患。
面对个人信息泄露可能给公民人身和财产安全造成的威胁,民众普遍呼吁出台保障个人信息安全的专门政策,加强立法。“保障个人在信息泄露后有获得补偿和救济的权利”“对盗取个人信息的行为予以法律制裁”“强调个人在信息收集时的权利,若所收集信息与办理的业务无关,个人可选择不提供信息”是网民呼声最高的三个选项,有近70%的受访者表达了这样的期待。
除了相关政策法规的完善,詹骞还认为,网站有义务从技术上为用户提供保护,以防止不法分子对网民个人信息的盗取和挖掘。“除了法律规定的一些机密信息,采集公民个人信息的机构、网站也应对用户个人隐私数据的保护承担更多责任。”詹骞说。以下将会介绍几则关于个人信息安全的实例。
(1)手机登录网站“领奖” 聊城男子被骗1500元。“尊敬的用户您好:您的手机号被《快乐大本营》节目后台抽取为场外幸运号,您将获得由苹果公司赞助提供的79000元奖金与苹果笔记本电脑一台,请用电脑登录网站:www.daodoc.com及时领取,您的验证码为XXXX。”5月17日,聊城男子小周的手机上收到这样一条短信,结果他按对方的提示进行操作后被骗1500元。东昌府警方表示,现在骗子行骗的手段越来越高明,而且故意在短信中提示用电脑登录网站,从心理上误导大家,现在不少人都用手机直接登录,这样很容易上当受骗。因为在电脑上登录网站,会显示湖南快乐大本营官方网站的提醒。
(2)胡某是四川成都一家非法调查公司的主要犯罪嫌疑人。在近日落网之后,记者对他作了采访。“3年以下有期徒刑或者拘役”,这是胡某可能面临的刑罚,这还有一个前提——“情节严重的”。过低的违法犯罪成本和丰厚的获利,让不法分子不惜以身试法。
胡某的犯罪行为,只是侵害公民个人信息犯罪利益链条的一环。他所掌握的个人信息,来自于网上的众多“上家”。公安部刑侦局副局长廖进荣介绍,这种利益链条的构成为:泄露信息的源头→买卖信息的中介平台→从事非法调查、暴力讨债的犯罪组织,每一个环节均有利可图。
从案情上看,警方认为,只要堵住信息源头,这种“生意”就没法做了。廖进荣告诉记者,已被挖出的“源头”中,大都是掌握公民个人信息的单位和部门的“内鬼”,涉及电信、银行、工商、民政、保险等多个行业和部门。
还有证据显示,倒卖信息行为在一些行业内部已成“公开的秘密”。个别企业或机构的内部监管流于形式。 (3) 沃尔玛旗下山姆会员店被指买卖个人资料
网易财经5月21日讯 昨日,网友“作家-天佑”称自己家里的每个人都接到了来自深圳星河时代沃尔玛山姆会员店的入会邀请信,并称其邻居也受到了类似的邀请信。他表示担忧自己个人信息被泄露并被用于买卖,并在其后深圳警方举报沃尔玛“买卖个人资料”。
沃尔玛中国公共关系高级总监李玲今日下午向网易财经表示,“山姆会员店的邮寄广告是由合作的广告公司通过邮政系统进行入户投递,邮政本身有这样的服务提供”,并强调沃尔玛并不是前述信息的收集主体。
网易财经编辑查询发现,中国邮政确实有较详细的名址信息服务。不过,中国邮政还有另一种仅提供投放的服务,由于网易财经未能联系上中国邮政,尚不能判定信息来自于何方。
(4)数据的价值 删除无用数据可降低风险2012年05月21日00:00
【IT168 编译】本月早些时候,一名美国密苏里州参议员阻挠议事,以阻止该州创建新的处方追踪数据库,因为一旦这个数据库发生数据泄露事故,有关公民的处方信息将会被泄露。这个事件说明大家都逐渐意识到保护敏感个人识别信息(PII)的最佳方式之一删除它。
针对各种个人信息泄露的事件,自然就要对其采取解决措施。 以下将用具体的实例来说明。 (1)近日,泰安工行岱岳支行根据省市行和《中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知》的要求,支行高度重视,强化制度执行力,采取有效措施,所辖部室网点扎实开展自查工作,将客户个人信息安全保护不泄露,确保万无一失。领导重视,强化责任心。支行成立客户个人金融信息保护工作领导小组,行长任小组长,负总责,分管内控行长为副组长亲自抓,所辖营业网点主任、内控副主任为成员,综合管理部上下协调,明确责任,各负其责,细化分工。
强化执行力,签订保密承诺。1.针对2011年“个人客户信息安全大检查”中发现的问题,从机制、制度、流程等方面提出解决方案,落实改进措施。2.与网点负责人和个人客户经理逐人签订了《保密承诺》。3.对柜员办理业务过程中知晓的客户身份证信息,要求严格保密,身份证复印件随传票装订,不得遗留在柜台和个人物品中,身份证复印件要留存核查信息。
加强监督检查力度,保护好客户信息。1.对包括个人客户信息系统(ECIS)、个人客户营销管理系统(PBMS)、个人客户信贷管理系统(PCM2003)等涉及个人客户信息管理的系统及其他个人金融业务应用中涉及的客户信息管理环节,重点关注各类数据库信息的安全,业务应用中对客户信息的查询、下载、保存等符合制度要求,不存在泄露客户信息情况。2.对自查中发现的问题,认真分析原因,立即整改,深入查找制度缺陷及管理中存在的薄弱环节。3.对所辖员工存在泄露个人客户信息嫌疑的,支行领导要采取与经办员工面谈、调阅监控录像等方式认真核实,属实泄露个人客户信息的,严格按照相关规定,采取对有关责任人当事人进行严肃处理,视为高压线,警钟长鸣。
积极开展客户个人金融信息保护培训。利用晨会、周会、省行网讯、LED屏、宣传栏等多种形式积极开展客户个人金融信息保护的培训教育工作,使员工充分了解、认真贯彻相关法律、法规、规章和规范性文件的规定,明确个人金融信息泄露和滥用对本机构及员工个人带来的法律后果,落实各项内控制度,提升全体员工依法自我保护、防范风险防控意识。
(2)连日来,一些被曝光的单位、部门陆续开始采取整改措施。例如,中国移动(行情,资讯,评论)相关负责人日前表示,针对用户信息保护链条长和环节多的实际情况,中国移动已经成立专门机构强化管理,发布并实施了严禁泄露或交易客户信息等“五条禁令”,并制定了《客户信息安全保护管理规定》等10余项制度,对客户信息产生、传输、存储、处理、消除的各个环节进行严格监管。
对此,不少专家予以肯定。他们表示,对于个人信息保护来说,需要国家立法、有关单位和部门自我监管及与行业监管的协调配合。在法律尚未出台的情况下,相关单位和部门的自我监管及行业监管应该先行一步。
北京大学法学院教授储槐植表示,一是要增加非法获取信息的难度和成本。二是要增加信息泄露者被查处的风险。
相应的问责机制也应同时发力。北京市律师协会刑事诉讼业务委员会主任钱列阳建议,有必要在既有法律框架下,尽快建立一个完善的、具有可操作性的处罚体系,同时进一步明确行政处罚和刑事处罚这两部分的追责标准。
在如今的这个信息时代,网络安全技术也是维护信息安全的主要手段。
在网络安全领域,攻击随时可能发生,系统随时可能崩溃,因此必须一年365天、一天24小时地监视网络系统的状态这些工作仅靠人工完成是不可能的,所以,必须借助先进的技术和工具来帮助企业完成如此繁重的劳动,下面给大家介绍一些网络安全方面的内容。
杀毒软件
与一般单机的杀毒软件相比,杀毒软件的网络版市场更多是技术及服务的竞争。其特点表现在:
首先,杀病毒技术的发展日益国际化。世界上每天有13种到50种新病毒出现,并且60%的病毒均通过Internet传播,病毒发展有日益跨越疆界的趋势,杀病毒企业的竞争也随之日益国际化。
其次,杀毒软件面临多平台的挑战。一个好的企业级杀病毒软件必须能够支持所有主流平台,并实现软件安装、升级、配置的中央管理及自动化,要达到这样的要求需要大量工程师几年的技术积累。
第三,杀毒软件面临着Internet的挑战。好的企业级杀病毒软件要保护企业所有的可能病毒入口,也就是说要支持所有企业可能用到的 Internet协议及邮件系统,能适应并且及时跟上瞬息万变的Internet时代步伐。现今60%以上的病毒是通过Internet传播,可以说 Internet的防毒能力成为杀病毒软件的关键技术,在这方面,国际的杀毒软件如:Norton、McAfee、熊猫卫士走到了前面,它们均可以支持所有的Internet协议,辨识出其中病毒。
当前国内正从杀病毒软件的单机应用逐步过渡到企业级的防护,企业防病毒软件的市场无疑将越来越大。企业级用户会更多考虑如何保护自身的数据、程序,对技术、服务和管理的要求比较高。国内大部分的杀毒软件目前在价格和对本土病毒的查杀能力两个方面存在着优势,但在企业级的某些特殊性能上存在差距。例如管理方面,一个企业要管理1000台机器,Norton的SRC有一台管理器就可以处理,它可以自动分发,自动安装到所有机器里,使管理人员节省很多时间,减少重复劳动。另外,企业级需要更安全的保护,现在政府上网、企业上网都会遇到很多国际病毒,国内部分厂商在这些方面尚待改进。
防火墙
网络安全中系统安全产品使用最广泛的技术就是防火墙技术,即在Internet和内部网络之间设一个防火墙。目前在全球连入Internet的计算机中约有三分之一是处于防火墙保护之下。
对企业网络用户来说,如果决定设定防火墙,那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略,即确定什么类型的信息允许通过防火墙,什么类型的信息不允许通过防火墙。防火墙的职责就是根据本单位的安全策略,对外部网络与内部网络之间交流的数据进行检查,符合的予以放行,不符合的拒之门外。
防火墙的技术实现通常是基于所谓\"包过滤\"技术,而进行包过滤的标准通常就是根据安全策略制定的。在防火墙产品中,包过滤的标准一般是靠网络管理员在防火墙设备的访问控制清单中设定。访问控制一般基于的标准有:包的源地址、包的目的地址、连接请求的方向(连入或连出)、数据包协议(如TCP/IP 等)以及服务请求的类型(如ftp、www等)等。
除了基于硬件的包过滤技术,防火墙还可以利用代理服务器软件实现。早期的防火墙主要起屏蔽主机和加强访问控制的作用,现在的防火墙则逐渐集成了信息安全技术中的最新研究成果,一般都具有加密、解密和压缩、解压等功能,这些技术增加了信息在互联网上的安全性。现在,防火墙技术的研究已经成为网络信息安全技术的主导研究方向。
当然,网络的安全性通常是以网络服务的开放性、便利性、灵活性为代价的,对防火墙的设置也不例外。防火墙的隔断作用一方面加强了内部网络的安全,一方面却使内部网络与外部网络的信息系统交流受到阻碍,因此必须在防火墙上附加各种信息服务的代理软件来代理内部网络与外部的信息交流,这样不仅增大了网络管理开销,而且减慢了信息传递速率。针对这个问题,近期,美国网屏(NetScreen)技术公司推出了第三代防火墙,其内置的专用ASIC处理器用于提供硬件的防火墙访问策略和数据加密算法的处理,使防火墙的性能大大提高。
需要说明的是,并不是所有网络用户都需要安装防火墙,一般而言,只有对个体网络安全有特别要求,而又需要和Internet联网的企业网、公司网,才建议使用防火墙。另外,防火墙只能阻截来自外部网络的侵扰,而对于内部网络的安全还需要通过对内部网络的有效控制和管理来实现。
加密技术
网络安全的另一个非常重要的手段就是加密技术,它的思想核心就是既然网络本身并不安全可靠,那么所有重要信息就全部通过加密处理。加密的技术主要分两种:
单匙技术
这种技术无论加密还是解密都是用同一把钥匙(secretkey)。这是比较传统的一种加密方法。发信人用某把钥匙将某重要信息加密,通过网络传给收信人,收信人再用同一把钥匙将加密后的信息解密。
这种方法快捷简便,即使传输信息的网络不安全,被别人截走信息,加密后的信息也不易泄露。
但这种方法也存在一个问题,即如果收信者和发信者不在同一地理位置,那么他们必须确保有一个安全渠道来传送加密钥匙。但是如果确实存在这样一个安全渠道(如通过信差、长途电话等等),他们又何必需要加密呢?后来出现的双匙技术解决了这个难题。
双匙技术
此技术使用两个相关互补的钥匙:一个称为公用钥匙(publickey),另一个称为私人钥匙(secretkey)。公用钥匙是大家被告知的,而私人钥匙则只有每个人自己知道。发信者需用收信人的公用钥匙将重要信息加密,然后通过网络传给收信人。收信人再用自己的私人钥匙将其解密。除了私人钥匙的持有者,没有人--即使是发信者--能够将其解密。公用钥匙是公开的,可以通过网络告知发信人(即使网络不安全)。而只知道公用钥匙是无法导出私人钥匙的。现有软件如Internet免费提供的PGP(PrettyGoodPrivacy)可直接实现这些功能。
加密技术主要有两个用途,一是加密信息,正如上面介绍的;另一个是信息数字署名,即发信者用自己的私人钥匙将信息加密,这就相当于在这条消息上署上了名。任何人只有用发信者的公用钥匙,才能解开这条消息。这一方面可以证明这条信息确实是此发信者发出的,而且事后未经过他人的改动(因为只有发信者才知道自己的私人钥匙);另一方面也确保发信者对自己发出的消息负责,消息一旦发出并署了名,他就无法再否认这一事实。
如果既需要保密又希望署名,则可以将上面介绍的两个步骤合并起来。即发信者先用自己的私人钥匙署名再用收信者的公用钥匙加密,再发给对方。反过来收信者只需用自己的私人钥匙解密,再用发信者的公用钥匙验证签名。这个过程说起来有些繁琐,实际上很多软件都可以只用一条命令实现这些功能,非常简便易行。
在网络传输中,加密技术是一种效率高而又灵活的安全手段,值得在企业网络中加以推广。目前,加密算法有多种,大多源于美国,但是大多受到美国出口管制法的限制。现在金融系统和商界普遍使用的算法是美国数据加密标准DES.近几年来我国对加密算法的研究主要集中在密码强度分析和实用化研究上。
除了上面介绍的几种之外,还有一些被广泛应用的网络安全技术,在此做一个简单介绍。
身份验证
身份验证是一致性验证的一种,验证是建立一致性证明的一种手段。身份验证主要包括验证依据、验证系统和安全要求。身份验证技术是在计算机中最早应用的安全技术,现在也仍在广泛应用,它是互联网上信息安全的第一道屏障。
存取控制
存取控制规定何种主体对何种客体具有何种操作权力。存取控制是网络安全理论的重要方面,主要包括人员限制、数据标识、权限控制、类型控制和风险分析。存取控制也是最早采用的安全技术之一,它一般与身份验证技术一起使用,赋予不同身份的用户以不同的操作权限,以实现不同安全级别的信息分级管理。 数据完整性
完整性证明是在数据传输过程中,验证收到的数据和原来数据之间保持完全一致的证明手段。检查是最早采用数据完整性验证的方法,它虽不能保证数据的完整性,只起到基本的验证作用,但由于它的实现非常简单(一般都由硬件实现),现在仍广泛应用于网络数据的传输和保护中。近几年来研究比较多的是数字签名等算法,它们虽可以保证数据的完整性,但由于实现起来比较复杂,系统开销比较大,一般只用于完整性要求较高的领域,特别是商业、金融业等领域。 安全协议
安全协议的建立和完善是安全保密系统走上规范化、标准化道路的基本因素。一个较为完善的内部网和安全保密系统,至少要实现加密机制、验证机制和保护机制。
需要强调的是,网络安全是一个系统工程,不是单一的产品或技术可以完全解决的。这是因为网络安全包含多个层面,既有层次上的划分、结构上的划分,也有防范目标上的差别。在层次上涉及到网络层的安全、传输层的安全、应用层的安全等;在结构上,不同节点考虑的安全是不同的;在目标上,有些系统专注于防范破坏性的攻击,有些系统是用来检查系统的安全漏洞,有些系统用来增强基本的安全环节(如审计),有些系统解决信息的加密、认证问题,有些系统考虑的是防病毒的问题。任何一个产品不可能解决全部层面的问题,这与系统的复杂程度、运行的位置和层次都有很大关系,因而一个完整的安全体系应该是一个由具有分布性的多种安全技术或产品构成的复杂系统,既有技术的因素,也包含人的因素。用户需要根据自己的实际情况选择适合自己需求的技术和产品。
1
推荐第6篇:快递管理新办法能否制止信息泄露
快递管理新办法能否制止信息泄露?
一张普通的快递单竟成了泄露个人隐私的“导火索”,前段时间央视集中曝光了“快递信息遭泄露”的行业黑幕,让快递企业形象大打折扣。消费者填在快递单上的地址、电话、单号等信息,在网上被公开叫卖,因快递单信息泄露而引发的诈骗和入室盗窃等恶性案件也屡见报端。针对消费者的担忧,新版《快递市场管理办法》也于近日发布,并将从3月1日起实施。然而新版快递市场管理办法能否制止信息泄露,为网民的隐私权保驾护航? 快递市场管理新办法规定,快递从业人员有泄露客户信息的违法行为,尚不构成犯罪的,由邮政管理部门责令改正,没收违法所得,并处五千元以上一万元以下的罚款。构成犯罪的,将依法追究刑事责任。而修订前的《快递市场管理办法》规定,从业人员违法泄露在从事快递服务过程中知悉的用户信息,不仅个人要受到处罚,邮政管理部门还要“对快递企业处以5000元以上,30000元以下的罚款”。但办法修订后,只剩下了对直接责任人员的5000元至1万元的罚款。处罚企业的规定被删除了,如果一些快递企业违法泄露用户信息,利用这一规定把责任推到员工身上,自己金蝉脱壳,逃避处罚,那么法律岂不成了一纸空文。
事实上,对快递企业“利好”的规定还不止于此。修订前要求快递企业及员工对用户信息不得“违法泄露”,修订后改为不得“违法提供”。很显然,“泄露”包括主观故意和过失两种情况,而“提供”只能是主观故意。这又为违法者提供了一个辩护角度:一旦落网,便会努力辩解不是“故意”而是“过失”。新版《快递市场管理办法》看似是在为快递企业谋福利,其实不然因为只要查阅一下《中华人民共和国邮政法》就会发现,该规章修订前后的上述变化,都是为了与邮政法的规定实现一致。
《快递市场管理办法》自2008年7月12日施行以来,执法时一直遭遇尴尬。虽然《快递市场管理办法》明文规定:企业及从业者不得泄露用户信息,违反规定的企业和个人会被处以高额罚款,构成犯罪的还将被追究刑事责任。但在实际操作中由于每张快递单的交易金额只有几角钱或几元钱,打击起来执法成本过高。加上泄露信息的主体很难确定,取证十分困难,所以维权存在一定的难度。笔者认为,要从根本上遏制快递单的买卖,不仅需要立法部门做到有法可依,而且需要执法部门做到执法必严,保护法律的尊严,只有这样新版《快递市场管理办法》才能真正的保护消费者的隐私权。
其实企业和个人的保密意识不高也是快递信息泄露的重要因素,现在很多写字楼的垃圾箱里都能发现随意丢弃的快递单。中国物通网小编温馨提醒您:为防止住址信息泄露,尽量不要将收货地址写为居住地址,可把快递寄至公司或学校。如果非要填写居住地址不可,就填写小区或村庄的名称,不填写具体的楼号或房号,然后跟快递员约定交货地点。此外,在丢弃快递包装之前务必抹去个人信息,为自己建立起一道信息防线。
推荐第7篇:学生信息再泄露 信息安全谁保证
学生信息再泄露 信息安全谁保证
随着我国经济快速发展和网络技术的广泛运用,非法买卖公民个人信息行为引发的恶性犯罪案件,已严重影响到人们的生命财产安全。近日,深圳三所重点高中发生学生信息泄露事件。校方再次对初三年级教师、学校中层以及有可能接触到信息系统平台的相关教师进行调查,学校负责人称,可以肯定的是,学生信息不是学校泄露出来的,但是学校信息系统管理确实存在漏洞。学校将在下周邀请信息安全专家,对校园内网相关系统加密,提高学生信息安全防范级别。
根据山丽信息安全专家的研究发现,校方可看到所有学生信息。区里统考,组织考试的教育部门可以看到各校学生成绩,需要对各校成绩进行对比分析。在这段时间内,学生的信息是共享资源。若学校自己组织考试,老师会将学生考试成绩统计输入电脑,对照学生成绩开分析会。便于老师对学生成绩长期跟踪,学校内网老师可以查看所有学生信息。山丽信息安全专家表示,校方信息系统管理存在漏洞,没有严格遵守国家重点强调的分级保护规定。此次泄露事件,对于学校来说,对学生信息没有尽到保护的义务,是一大教训!
山丽信息安全专家通过网络搜索发现,在2008年,该中学曾发生千余学生资料被泄露,多名家长接到诈骗电话。更让人惊讶的是,公布学生信息的网页居然属于区教育局的官方网站。事后,该区教育局公布的调查结果是,不是人为的,是系统操作中的失误。
如何防范学生信息再次泄露?山丽信息安全专家建议,使用专业的信息安全防护软件,以数据加密为基础,结合文档密级权限管理进行安全防护,全面保护学生个人信息,提高校方安全防护能力。
多模加密是信息安全防护的基础
在此次学生信息泄露的事件中,泄露的信息均以明文的形式存放。校方采用的信息管理系统并没有数据加密的防护措施,信息安全又从何谈起?多模加密作为领先的加密技术,从数据源头进行动态透明的防护。不仅保护了教师的课程资料,还对学生的个人信息进行安全防护。
密级管理为信息安全防护添砖加瓦
山丽信息安全推出文件密级管理模块,透过加密技术以及访问控制,确保学校的所有文件在可管理的范围内实现安全访问。通过添加对文件的签名和设置加密标识,保证密级文件的保密性、完整性和一致性。帮助学校完善信息管理系统,保证信息统一授权、控制和管理。 信息安全防护问题不仅出现在学校,如今社会各行各业都存在信息泄露的问题。山丽信息安全呼吁企事业单位的管理人员,重视信息安全防护。信息安全,人人有责!
推荐第8篇:北京信息科技大学涉嫌泄露考研人个人信息
http:///
北京信息科技大学涉嫌泄露考研人个人信息
中广网北京3月20日消息(实习记者肖淼)据中国之声《新闻晚高峰》报道,近期各大高校考研初试成绩陆续公布,考生在学校的官方网站就可以进行查询。报考了北京信息科技大学的刘先生拨打央广新闻热线400-800-0088反映说,在该校研究生部招生信息平台查询成绩时,只用输入名字,就可以查到住址和详细履历等考生个人信息。这究竟是学校有意为之还是查询平台出现漏洞呢?
今年报考了北京信息科技大学研究生考试的刘先生发现,登陆学校官方网站查询初试成绩时,不需要输入密码或者准考证号,只要输入姓名就可以查到每一科的具体成绩。而这一情况存在了有将近一个月的时间。
刘先生:我就是那天晚上要查询成绩,找到那个页面点击以后就出来一个查询框,然后输入姓名以后,按正常来讲应该出现的是考分,但实际出现的是整个报名表的全部信息,基本是和研究生招生网上信息是一致的。
随后,记者也登陆了学校官网上的查询界面,只输入了刘先生的姓名之后,就显示出了四页表格。除了考试成绩之外,还包括:考生的身份证号码,联系电话,家庭住址和个人履历,甚至包括考生家庭成员的工作情况和联系方式。这意味着只要知道了参加该校研究生初试的考生姓名,就能通过官网的查询平台获取考生的详细个人信息。这让刘先生感到非常后怕。
刘先生:因为那个系统是完全公开的,查询的时候没有任何一个需要验证身份的程序,比如说你要查询的话,按道理你应该输入你的准考证号,一个大概的密码,你才能查到你个人成绩。不仅是没有这种程序,不仅查到的是个人成绩,而且是你的全部的个人信息,有些人恶意的把他所知道的考生的姓名输入的话,那肯定个人信息就被泄露了。
那么,出现考生资料不加密就能查询的情况,究竟是学校有意为之还是查询平台出现了漏洞呢?记者也以考生的身份联系了北京信息科技大学招生办,表示对个人信息泄露的担忧,相关工作人员说,出现这种只用名字就可以查询信息的情况是为了方便考生查询,并且表示不认为会出现信息泄露的情况。
高校负责人:当时我是以你这个报名库制作的,但是你这个别人看不到的,你只能自己看到,你们一般的考生能知道别人的姓名吗?这个完了也就挂一段时间。
根据记者了解,各大高校考研成绩均在三月初陆续公布,网上查询除了考生姓名之外,仍需要输入准考证号或个人用户密码等,而成绩公布页面也不会显示考生详细履历资料。
推荐第9篇:个人信息泄露
2011年12月,中国互联网集中爆发了一系列网络个人信息泄露事件。主要事件有:12月21日,国内最大的程序员网站CSDN数据库保存的约600万用户注册信息被黑客泄露;22日,深圳上万名新生儿资料被泄露;25日,国内知名社区网站天涯社区宣称部分用户隐私遭窃,涉及用户数量达4000万;27日,美团网、京东商城等网络购物网站确认系统存在漏洞,部分用户注册信息被泄露;29日,广东省出入境政务服务网泄露了包括真实姓名、护照号码等信息在内的约400万用户资料,等等。这一系列事件泄露的个人信息达上亿条,其规模之大、影响之广、危害之严重前所未有,成为中国互联网发展史上最大的一起个人信息泄露事件,引起了社会各界的广泛关注和广大网民的担忧,也折射出中国互联网安全的脆弱性,以及部分互联网企业对客户个人信息资料保护的轻视与疏忽。
一般说来,用户的手机号、邮箱账号等个人资料,通常是由木马病毒、恶意程序在网络上自动收集,这些资料都是黑客个人控制和使用,其影响范围相对较小,对用户的威胁也较小。但是,现在许多国内网站复制发达国家成熟的网络商业模式或者借助心理诱导手段,吸引大量用户注册,从而收集到海量的用户个人信息。于是一些不法分子通过各种非法途径从这些网站大量收集用户个人信息,然后通过贩卖个人信息或敲诈用户获利,有的甚至窃取网上银行用户名和密码盗取用户资金。
①网站内部管理人员主动泄密。堡垒最容易从内部攻破,泄密事件多数是由网站内部管理人员违规引起的。不论是有意识卖密还是无意识泄密,造成的影响是极大的。②黑客通过网站技术漏洞窃密。随着网络技术的发展,网络攻击和渗透手段也不断升级,部分网站在网络安全方面的人员和资金投入不足,导致网站存在着可被黑客利用的安全漏洞,部分网站系统甚至使用明文存储用户密码,一旦网站被攻击导致用户数据库被下载,用户密码就会立即暴露,毫无安全性可言。③黑客通过网上诈骗行为骗密。随着黑客技术的发展,除利用系统漏洞对网站进行攻击外,还出现了许多新的方法和手段,通过网页挂马、开设钓鱼网站和下载数据库成为不法分子获取和收集网民个人信息的主要方式。
为减少个人信息泄露事件的发生,政府、企业、个人等各方都需要高度重视,明确责任,采取切实可行的措施,不断加强个人信息安全。
①健全完善法律法规,严厉打击不法行为。我国当前对个人信息的保护机制还很不完善。只有顶层的《刑法》和电信行业有相关规定,严重缺少一般性法律、行政执法体系等末端制度设计,执法较难,可操作性上还需要进一步提高。从权利保护、责任认定、责任追究和法律保障上对个人信息予以保护,将个人、网站和监管机构所应承担的责任、义务厘清,同时掐断地下个人信息买卖黑市渠道。②建立应急机制,及时降低影响。保存有大量用户信息的网络企业和机构,应设置专门的信息安全管理部门并明确其职责,完善网络泄密预警机制,制定应对网络安全威胁预案,一旦发生网络安全事件,立即启动预案。③增强安全意识,养成良好的上网习惯。当前,尤其要注意对于不同网站的账号,不能为了便于记忆都使用相同的密码,也不能以规则数字和字母,以及姓名、生日等与用户个人相关性很强的信息作为密码。
推荐第10篇:法律监管漏洞致信息泄露成“常态”
法律监管漏洞致信息泄露成“常态”
对于个人信息的泄露,可能很多人都深有体会:接到推销房子的电话,对方开口就能准确称呼出你的姓;收到理财产品的短信,完全针对你的收入情况而言;甚至你刚刚刷卡消费了一笔钱,立马就“凑巧”地接到一个电话问你需不需要贷款„„
近日,有媒体曝光我国银行信用卡客户数据泄露现象颇为严重,不法商贩在网络上公开贩卖,每条价格从2分到5元不等,数据中含姓名、电话、地址等内容。
信用卡客户信息泄露,绝非偶然巧合,背后更多的是必然因素,法律法条、机构监管等环节措施都需有快速提升。
“数据”泄露泛滥成灾
据报道,目前我国已发行超过4亿张信用卡,每年通过信用卡交易的资金总额超过13万亿元。庞大的用户信息在这个大数据时代显得耀眼,信息泄露的情况也十分严重。
这些信息在QQ群大肆售卖,通过搜索“银行数据”、“电话销售”等关键词就能跳出不少群,正在售卖银行卡主个人信息。只要花钱,任何人都可以获取别人的个人信息资料。
银行“内鬼”倒卖信息易得手
如此庞大的信用卡个人信息资料是如何暴露的呢?实际上,作为银行内部人员,要获取客户信息其实是很容易。如果说普通职员要获取信息需通过批准,那么从客户经理开始,级别越高,权限越大,即越容易获取信息。至少,分到客户经理手上的用户信息是可以被客户经理复制的。
有的银行虽然不允许员工把客户资料带出办公室,但有时候因加班需求而把资料带回家的情况也是存在的。也就是说,银行内部人员只要想窃取用户信息,总是有办法。
另外,有相当部分的信息并非银行直接泄露,而来自与银行有合作关系的企业。不过,根据《商业银行信用卡业务监督管理办法》,商业银行未经客户授权,不得将客户相关信息用于本行信用卡业务以外的其他用途。
那么,究竟部分企业如何获得“未授权信息”的?有媒体此前披露,每张信用卡办理时都会签订合同,合同上密密麻麻条款多大几十条,而部分代理企业则在合同角落中隐藏“猫腻”称有权获取相关信息。
事实上,认真看几十条乃至上百条条款的客户其实不多,签名时不注意往往就会授权银行“个人信息共享”。单凭一己之力,又是自主授权的行为,要追究责任就会变得艰难。
法律不完善监管力度不够需反思
经常受到个人信息泄露造成的骚扰,但又常束手无策。其实,早在2009年,刑法修正案就已明确,金融单位的工作人员将本单位在履行职责或提供服务过程中获得的公民个人信息,出售或非法提供给他人,将可能触犯刑律。
但是到目前为止,我国还没有专门的银行保密法,在客户个人信息保密方面的规定,分散在《中华人民共和国商业银行法》、《银行卡业务管理办法》、《银行结算办法》等中,这些规定零散抽象,缺乏可操作性,对于哪类客户信息应受保护等问题也没有系统性的界定。
从诉讼的角度看,一般人很难知道自己的信息是在什么时间、地点、方式、被谁泄露的,想要起诉他人泄露自己个人信息的成本非常高,以一人之力和千头万绪的信息泄露做斗争,无异于拳头打到了空气中。要保护用户个人信息,就要明确金融机构与用户的责任与义务,就要必须完善相关领域的法律条款。
此外,银监会等金融机构管理部门也要加强监管,信息保护机构也必不可少,如果信息泄露给用户带来了严重的后果,用户至少不用单枪匹马作战。在国外,很多国家有专门的信息保护机构。比如,法国有国家信息处理与自由保护委员会、丹麦有信息保护局,澳大利亚有隐私权保护委员办公室„„这些独立的信息安全保护机构具有跨部门职能,主要职能范围大致都包括授权、监督、协调和保护,可帮助个人维权。
在数据时代,个人信息泄露现象泛滥成灾,给人们生活带来困扰。保护个人隐私势在必行,相关法律需完善,监管部门更应反思与行动。
第11篇:强化保密措施 防止信息泄露 论文4
强化保密措施 防止信息泄露 国外军队网
近年来,网络窃密事件此起彼伏,引起人们的特别关注。一些国家和军队纷纷行动起来,建立和完善网络管理法规制度。欧盟理事会决定,在现有的惩罚黑客行为的立法基础上,增加对黑客工具生产者的惩罚条例。按照新的监管法规,凡是生产和传播诸如恶意软件、电脑 病毒一类的网络攻击工具,或者非正当获取电脑口令和密码的行为,一律被视为网络犯罪,相关个人或组织将面临最高两年的监禁,情节严重者可获三年监禁。美国也加大了网络安全立法的力度,奥巴马政府正考虑将攻击重要基础设施的黑客行为列入刑法惩治范围。
2010年,曾揭露驻伊美军机密的网站“维基解密”公开后,被认为是美军历来最严重的情 报泄密事件之一,美军军事网络安全再一次引起官方高度关注。随着博客之风在美军中越刮 越盛,美军发现士兵除了在博客上与战友和家人交流思想、互谈感受外,还详细记录在战地 的所见所闻所感,有时甚至“胡言乱语”。其中就有相当一部分是美军方不愿公开的内容。 美军规定军人不得随意带手机出入部队的作战指挥室、办公自动化机房、传真室及其他信 息防护部门。为确保军事网络安全,美军的网络危险评估小组,专门在网上监视美军大兵们 发布的文章和图片等。一旦发现涉及“敏感内容”的博客网页,监视小组就根据内容的敏感 程度进行相应的处理。对于涉及一般性敏感内容的博客,小组会通过电子邮件方式通知发帖 人,除要求其删除所公布的内容外,还必须在指定时间内以电子邮件的方式回复认错。对于 涉及官方使用的文件、军人身份认证信息等敏感程度较高的内容,小组将立即电话通知发帖 人或相应机构,要求其立即删除,并将其行为通知其上级部门,由上级部门决定相应处罚。
还有一些士兵将自己使用的武器的照片和性能公布在博客里。有些士兵甚至将自己的身份 认证信息在博客里透露。美军称,这些身份认证信息正是一些黑客想获得的,利用这些信息 ,就可以进入美军的一些保密网络中,获取更多涉密材料。 针对博客中出现的问题,美军采取了一些措施严加管制。首先是公布“25-1”号政策指令,要求士兵们在上网时不得发表任何有可能造成不良影响的信息,尤其是涉及作战的“敏感信息”,甚至不可提及当前发生、正在调查研究中的事件,或者泄露伤亡军人的姓名等。但这项政策实施效果并不理想。2000年3月29日,有关北约在科索沃维和军事行动中的一份文件就被人公然放在了互联网上。据报道,这份文件是北约驻科索沃维和部队地面战斗计划的附录,其中包括北约维和部队在科索沃的作战细则。一时间,全世界的互联网用户都目睹了北约在科索沃的维和作战计划。尽管这一事件被西方有关部门称为“误入”民用电脑系统的“错误”,但据一些电脑专家分析,导致这份作战计划进入民用电脑系统的真正原因是这封电子邮件遭到了“黑客”的 “劫持”。伊拉克战争中,部署在伊拉克周边国家的部分美军部队已经开始准备就士兵使用电子邮件与家人和朋友保持联系采取一定的限制措施,以防在电子邮件中泄露美军作战计划及相关军事机密。平时,美军不会禁止士兵使用电子邮件与家人联系,但是“对他们在邮件中什么该说,什么不该说有严格的要求”。战争中,美军虽然允许官兵与本土亲人通过网络视频聊天,但对聊天内容进行秘密审查。驻伊美军就曾发布“博客禁令”,主要内容是:“正在执行任务的士兵不得创建和公开博客;其他军方人员的博客中不能含有对日常军事行动的评论,不得涉及部队人员、装备情况、行动效果。”目前,美军对军人上网违反规定的,采取相应处罚措施。为防止军方人员无意间在网络上泄密,美国国防部出台一项新政策,禁止其工作人员利用工作电脑进入包括“我的空间”在内的11个网站。在对上网信息的管理方面,美军早在2005年4月就公布首份政策备忘录,宣布对上网信息的内容实行管制,要求士兵们在得到官方准许后方可在网上撰文、发帖。按规定,博客作者不得发表任何有可能造成不良影响的信息,尤其是涉及政治、军事的“敏感信息”,士兵们甚至不可以提及当前发生、正在调查研究中的事件,或者泄露伤亡军人的姓名。美国陆军2007年4月中旬颁布新条令规定,士兵在互联网上发布信息前须向上级指挥官报告。士兵在创建博客时,须向上级指挥官报告,这样长官可以告诉他们哪些信息他们不能发布,从而让他们避免违反作战保密规定。士兵如果在网上公开部队动向、袭击计划、高官旅行路线、伤亡照片等敏感信息,将受到违抗合法命令的指控或军事法庭、联邦法律和国家法规的制裁。美国空军警告军人不要使用 Facebook以及其他社交网站,因为这些网站有可能暴露军队的行踪,让“敌人”有可乘之机。据说,在Facebook等一些社交网站上,开设有定位功能,使用黑莓手机等有GPS的移动通信设备可以通过网络与移动电话结合,将自己的行踪公告天下。为此,美军新修订的反间谍规章规定,如果军方怀疑保密信息落入无权知晓者手上,应向政府发出警报;如果发现有人从办公地点移动保密信息时,士兵也应发出警报;军队应建立收集系统,收集保密信息面临威胁的报告。 2010年底,美军下令禁止全军使用优盘存储器、CD光盘等移动存储介质,违者将以军法论处。
第12篇:信息系统安全自查报告
信息系统安全自查报告
根据《国务院办公厅关于印发〈政府信息系统安全检查办法〉的通知》和省厅做好国庆60周年我省交通系统信息安全保障工作指示精神,学院领导高度重视立即组织开展全院范围的信息系统安全检查工作。现按照省厅安全检查内容汇报如下:
(一)安全制度落实情况。根据学院重大事件应急预案,学院在05年就制定了学院计算机网络管理办法和信息报送管理办法。办法明确了以学院分管院长为主管领导,办公室为信息安全主管部门及各系部信息员为管理人员的金字塔型信息安全管理模式。办公室成立专职网络管理员负责全院信息网络管理,各系部设立信息管理员。各系部信息员均为系骨干人员担任,负责各系部信息网络安全管理工作。各信息管理员严格按照保密责任制度和信息报送管理办法执行工作。针对新中国60周年国庆期间信息安全保障工作,学院领导高度重视,借鉴08年奥运会期间安全保障工作经验,积极组织安排信息安全保障工作。60周年国庆期间学院将继续执行专人值班制度,要求值班人员保持24小时通信畅通,并坚决执行“谁主管谁负责、谁运行谁负责、谁使用谁负责”的管理原则。
(二)安全防范措施落实情况。
1、为尽可能的减少信息安全事故发生,学院已于去年建立学院安全网络防护系统,系统以防火墙和防毒墙为核心对学院网络服务器及整个校园网络安全提供了保障。同时我们邀请网御神州的网络安全工程师对学院现有的网络结构进行优化管理,提高了学院网络安全性能。
2、凡学院涉密计算机全部按照省厅网络安全隔离系统要求实施,同时对重点计算机进行了杀毒软件升级和补丁修复。国庆前我们已
对完成了对服务器的帐户和口令的更改,对服务器上的应用和服务漏洞做了整理和修复。
(三)应急响应机制建设情况。我院于08年针对奥运期间建立了《浙江交通技师学院网络信息安全应急处置预案》。目前预案的演练还只在部门范围内进行,暂无全院组织演练。对于重大信息安全事故处置我们完全按照应急预案实施细则进行处理。针对60周年国庆,学院已制定了完善的应急工作方案和安全保障工作安排,同时对学院重点数据及系统业务我们也做了全部数据备份工作。
(四)安全教育培训情况。针对学院信息管理人员实际情况学院每年组织二期信息化教育培训,以掌握信息化管理技能为目的进行实践操作能力培训。在校园内网上我们实时对一些最新网络病毒及安全事件进行播报以提高信息管理人员的安全防范意思。
(五)此次学院信息系统安全自查后,学院信息安全薄弱环节和漏洞主要体现在以下几个方面:
1、部分核心交换设备老化存在安全隐患。
2、部分服务器操作系统无安装正版杀毒软件存在系统安全隐患。
3、部分网站系统由于网站开发人员开发水平有限存在网站安全漏洞隐患。针对以上情况学院已落实到责任人进行限时整改。
(六)为做好60周年国庆学院信息安全保障工作,学院领导高度重视,亲自组织信息安全检查工作,对违反信息安全规定的行为和泄密事故的处理坚决执行 “谁主管谁负责、谁运行谁负责、谁使用谁负责”的管理原则。经自查目前学院无违反信息安全规定的行为和泄密事故发生。
第13篇:系统信息自查报告
计算机信息中心:
关于接省局进一步加强网络与信息安全管理的通知,在我局系统内开展自查,认真对待,不走过场,确保检查不漏一机一人。虽然在检查中没有发现违反安全保密规定的情况,但是,仍然要求计算机使用人员不能放松警惕,要时刻注意自己所使用的计算机是否符合计算机信息系统安全保密工作的相关规定。严格要求做到专机专用,专人负责,确保涉密计算机不上网,涉密资料专门存储,不交叉使用涉密存储设备,严格落实计算机信息系统安全保密制度。通过检查,进一步提高了全局干部职工对计算机信息系统安全保密工作的认识,增强了责任感和使命感。现将自查情况汇报如下:
一、加大保密宣传教育学习,增强保密观念。始终把安全保密宣传教育作为一件大事来抓,认真学习各级有关加强安全保密的规定和保密常识,如看计算机泄密录像、电影、杂志等,通过平时提示互相交流使干部职工安全忧患意识明显增强,执行安全保密规定的自觉性和能力明显提高。
二、明确界定涉密计算机和非涉密计算机。涉密计算机应有相应标识,设置开机、屏保口令,定期更换口令,存放环境要安全可靠。涉密移动硬盘、软盘、光盘、U盘等移动存储介质加强管理,涉密移动存储介质也应有标识,不得在非涉密计算机中使用,严防泄密。非涉密计算机、非涉密存储介质不得以任何理由处理涉密信息,非涉密存储介质不得在涉密计算机中使用涉密信息。涉密信息和数据必须按照保密规定进行采集、存储、处理、传递、使用和销毁。计算机信息系统存储、处理、传递、输出的涉密信息要有相应的密级标识,密级标识不能与正文分离。涉密信息不得在与国际网络联接的计算机信息系统中存储、处理、传递。
三、计算机的使用人员要定期对电脑进行安全检查,及时升级杀毒软件,定时查杀病毒。对外来计算机介质必须坚持先查杀病毒再上机使用的原则。
四、对需要维修的涉密计算机,相关人员必须事先将计算机内的涉密信息进行清除;如需调换计算机硬盘,清除涉密信息后方可允许维修人员将硬盘带走。对报废的涉密计算机必须彻底清除计算机内的信息,方可处理。
五、对相关网络数据库要及时备份,保证数据不丢失并以安全保管。
第14篇:保密信息自查报告
保密专项检查自查报告
根据市保密委员会《关于组织开展机关、单位互联网门户网站等保密专项检查的通知》的精神,按照要求认真开展了自查工作,现将自查情况报告如下:
一、领导高度重视,认真组织学习,切实加强涉密载体保密管理工作
局领导高度重视我局涉密载体保密管理工作,文件收到后,XX专门作了批示,对我局加强涉密载体保密管理工作提出了要求。局保密委下发了局保密工作要点并与科室、二级单位主要领导签订了《保密工作领导责任书》,与保密岗位的涉密人员签订了《涉密人员岗位保密责任书》,切实加强各单位的保密管理工作,预防和杜绝失泄密事件发生。
二、认真开展自查自纠,加强重点岗位的保密防范
局保密委员会对局保密岗位进行了检查。局办公室有专职保密员负责文函的接收和管理;存放保密文件资料的场所符合保密和防火、防盗等安全要求;对收到和发出的保密文件资料有书面登记和签收、借阅手续;借阅带密级的文、电档案须经单位分管保密工作副局长批准;保密文件资料办理完毕后收集齐全并立卷归档;复制、抄存涉密文件和密码电报,必须经单位分管保密工作副局长批准,履行登记手续,任何密件复印件视同原件管理,用完及时收回;连接互联网的计算机没有处理过保密文件资料(包括登记文件目录);保密文件资料销毁有登记,并经单位分管保密工作副局长审定,在保密工作部门指定的销毁单位进行,没有向废品收购部门出售密级文件资料的现象。
三、存在问题和整改措施
通过此次检查,发现全局系统涉密载体保密管理工作基本是好的,没有发现涉密文件资料流失。局保密委员会要求保密工作人员进一步加强保密意识,建立管理制度,细化管理措施,完善各类手续,彻底杜绝涉密文件资料流失,确保涉密文件的安全。
第15篇:信息检查自查报告
信息系统安全和政府网站安全专项检查工作
自 查 报 告
根据《xxx重要信息系统和政府网站安全专项检查工作方案》的文件精神,结合我单位实际情况,认真开展了信息系统安全自查工作。现将有关情况报告如下:
一、我局信息系统安全基本情况:
1、信息系统安全工作得到局领导高度重视,信息系统安全相关防护设施建设、运行、维护和管理经费均纳入预算,为信息系统安全提供了经费保障。落实具体负责信息系统安全工作的人员,对涉密信息文件、材料实行专人管理;对重要办公计算机等设备进行了严格管理,确保信息保密工作。
2、计算机及网络已经配置安装了专业杀毒软件和硬件防火墙,同时严格进行内外网物理隔离,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。
3、互联网连接的端口使用了硬件防火墙。对服务器系统帐户、口令等进行检查,对服务器的应用、服务、端口和链接进行了检查。同时,日常工作中,及时对计算机进行漏洞扫描、木马检测等,加强安全监管。目前,网络运行良好,安全防范措施和设备运行良好。
4、制定了初步应急预案,建立了信息系统安全的相关规章制度,并随着信息化程度的深入,结合我局实际,处于不断完善阶段。
5、定期对本局信息化系统中运行各种设备参数、服务器系统和各种信息数据实行光盘备份,以便出现软硬件故障系统崩溃时能够快速、有效地恢复,防范计算机系统故障带来的损失和影响。
6、系统运行和用户使用日志记录保存60日以上。
7、操作系统为windowsXP、Windows Server 2003,数据库为SQL Server
- 12 -
第16篇:信息系统安全自查报告
XXXX市人防办信息系统安全自查报告
根据XXXX市信息化工作领导小组办公室《关于开展2011年度政府信息系统安全检查的通知》(信化办【2011】8号)要求,我办高度重视,立即召开专题会议部署信息系统安全工作,成立自查工作小组,对我办的信息系统安全保密等情况进行了系统全面的检查,下面将自查情况报告如下:
一、信息安全总体状况
我办目前各网络系统运转良好,未在网上存储、传输涉密信息,未发生过失密、泄密现象。
(一)领导重视制度完善
1、为进一步加强我办政府信息安全工作的领导,成立了信息安全工作领导小组,有局长任组长,分管领导任副组长、各科室负责人为成员,办公室身在综合科,设专人负责除了日常工作,同时建立了安全责任制、应急预案、值班制度、信息发布审核制度、政府信息公开工作制度、保密审查制度、责任追究制度等。近年以来都没发生过安全责任事故。
2、为确保我办网络信息安全工作有效顺利开展,我办要求以各部门为单位认真组织学习相关法律、法规和网络信息安全的相关知识,是全体人员都能正确领会信息安全工作的重要性,都能掌握计算机安全使用的规定要求,都能正确的使用计算机网络和各类信息系统。
(二)严格要求,措施到位
1、强化安全防范措施。我办严格按照网站程序升级、服务器托管、网站维护等方面存在的突出问题,进一步强化了安全防范措施。一是对本单位信息系统的账户、口令、软件补丁等每周进行了一次清理检查,及时更新和升级、杜绝了弱口令、弱密码、消除了安全隐患。二是每台计算机都安装了杀毒软件,并定期进行病毒查杀、对操作系统存在的漏洞、防毒软件配置不到位的计算机坚决断掉网络连接,发现问题,及时上报、处理。三是对本单位有计算机的使用者进行了安全培训和对每台入网计算机的使用者、ip地址和物理MAC地址进行了登记造册,由行政办公室进行管理,此外,对涉密网络、涉密信息系统、涉密计算机、由专人维护使用,并严禁接入互联网,严禁与非涉密移动存储介质交叉使用,确保信息安全。
2、采取特殊管理措施。我办一是关闭或删除不必要的应用、服务、端口和链接,限制易被攻击,禁止打开不必要的网站。二是严格信息发布审核,确保所发布信息内容的准确性和真实性。三严格执行信息安全规定。严禁在非涉密计算机上处理、存储、传递涉密信息。严禁办公内网与互联网相连。严禁在互联网上利用电子邮件系统传递涉密信息。严禁在各种论坛、聊天室、博客等发布、谈论涉密信息。严禁利用qq等聊天工具传送涉密信息。
3、落实安全应急预案和应急演练,我办已经做好各项准备工作,对可能发生的各类信息安全事件做到心中有数,进一步完善了信息安全应急预案,明确应急处置流程,落实了应急技术支撑队伍,把工作做深做细做在前面。积极组织开展了应急演练,检验了应急预案的可操作性,提高了应急处置能力。
二、信息安全检查发现的主要问题及整改情况
(一)存在的主要问题
1、信息安全意识不够。干部职工的信息安全教育还不够,缺乏维护信息安全主动性和自觉性。
2、设备维护、更新还不够及时。
3、专业技术人员少,信息系统安全力量有限,信息系统安全技术水平还有待提高。
4、信息系统安全工作机制有待进一步完善。
(二)下一步的整改计划
根据自查过程中发现的不足,同时结合我办实际,将着重一下几个方面进行整改。
1、要继续加强对全办干部职工的信息安全教育,提高做好安全工作的主动性和自觉性。
2、要切实增强信息安全制度的落实工作,不定期的对安全制度执行情况进行检查,对于导致不良后果的责任人,要严肃追进责任,从而提高人员安全防范意识。
3、要加强专业信息技术人员的培养,进一步提高信息安全工作技术水平,便于我们进一步加强计算机信息系统安全防范和保密工作。
4、要加大对线路、系统、网络设备的维护和保养,同时,针对信息技术发展迅速的特点,要加大系统设备更新力度。
5、要创新完善信息安全工作机制,进一步规范办公秩序,提高信息工作安全性。
三、对信息安全检查工作的建议和意见
希望市政府能够经常组织有关信息系统安全的培训,从而进一步提高信息系统管理工作人员的专业水平,从而进一步强化信息系统的安全防范工作。
第17篇:信息系统安全自查报告
信息系统安全自查报告
一、自查情况
1、安全制度落实情况: 目前我院已制定了、、等制度并严格执行。信息管护人员负责信息系统安全管理,密码管理,且规定严禁外泄。
2、安全防范措施落实情况: (1)计算机经过了信息系统安全技术检查,并安装了防火墙,同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。 (2)禁止使用来历不明或未经杀毒的一切移动存储介质。 (3)在安装杀毒软件时采用国家主管部门批准的查毒杀毒软件适时查毒和杀毒,不使用来历不明、未经杀毒的软件、软盘、光盘、u盘等载体,不访问非法网站,自觉严格控制和阻断病毒来源。在单位外的u盘,不得携带到单位内使用。(4)安装了准入准出管理系统,对内部网络中出现的内部用户未通过允许私自联到外部网络的行为进行检查。对外来终端接入医院网络必须进行健康度审查,直至符合相关要求后,经管理员审核才能接入医院网络。对接入互联网的终端计算机采取控制措施,包括实名接入认证、IP地址与MAC地址绑定等,定期对终端计算机进行安全审计;规范化使用终端软硬件,不得擅自更改软硬件配置,不得擅自安装软件,严禁在计算机上安装非法盗版软件;监控系统开启服务与程序情况,关闭不必要的服务、端口、来宾组等,防止恶意程序后台运行,防止安装过多应用软件及病毒、木马程序的自运行;加强网络访问控制,防止计算机进行违规互联,防止信息因共享等方式进行违规流转,防止木马、病毒在信息系统内大规模爆发。(5)安装了防病毒系统、威肋预警系统,服务器安装支持统一管理的防病毒软件,及时更新软件版本和病毒库;整改配备威胁管理平台和杀软,主机与网络的防范产品统一管理,且必须与终端杀毒软件属不同的安全库;定期(如每半年年)进行系统漏洞扫描,并根据扫描发现的漏洞开展整改工作,应定期(如每月)对恶意代码查杀结果进行分析,对于查杀发现的病毒及其传播、感染方式进行通告,并出具分析报告,及时更新操作系统的安全补丁,更新前应对补丁进行测试,确认其不影响操作系统的业务性能后,再安装系统安全补丁。(6)安装了数据库审计系统(防统方)软件, 审计范围覆盖到服务器上的每个操作系统用户和数据库用户;审计内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等;保护审计记录,避免受到未预期的删除、修改或覆盖等;对医院数据库几张重要的表格(统方)采取相应的安全措施,降低国家省里卫计委三令五声的统方信息泄露事件。整改配备数据库审计系统(反统方),对重要客户端的审计和审计报表计记录的保护。部署数据库审计系统,赋予安全管理员审计系统管理权限,其中系统管理员无审计系统日志访问权限,安全管理员无数据库系统管理权限;(7)安装了网闸隔离设备,医院内网与外网原本是物理上隔离,因部份数据需要内外网进行交互,采用专用三机统的安全网闸来实现内外网数据交互,保障安全。
3、应急响应机制建设情况: (1)制定了初步应急预案,并处于不断完善阶段。 (2)对信息系统数据进行定期备份,以降低或消除各种灾难对正常工作的影响。
4、信息技术产品应用情况: 使用防火墙、安全网闸与入侵检测系统,有效保护信息系统安全。
5、信息安全教育培训情况: (1)我院不断加强对计算机使用者的安全培训工作,强化每一个使用者安全使用网络的能力,提高安全防范意识,对每台入网计算机的使用者、ip地址进行登记造册。 (2)组织人员参加网络安全员培训。增强内部人员的信息安全防护意识,有效提高信息安全防护能力。
二、信息安全检查发现的主要问题及整改情况
1、目前存在的问题: (1)规章制度体系初步建立,但还不够完善,未能覆盖信息系统安全的所有方面。 (2)不少信息系统使用人员安全意识不强,在管理上缺乏主动性和自觉性。 (3)网络安全技术管理人员配备较少,信息系统安全方面投入的力量有限。
2、整改措施: (1)再次检查规章制度各个环节的安全策略与安全制度,并对其中不完善部分进行重新修订与修改,切实增强信息安全制度的落实工作,不定期对安全制度执行情况进行检查。 (2)继续加强人员的安全意识教育,提高人员安全工作的主动性和自觉性。 (3)加大对线路、系统等的及时维护和保养,加大更新力度。提高安全工作的现代化水平,便于进一步加强对计算机信息系统安全的防范和信息系统安全工作。
三、对信息安全检查工作的意见和建议
1、加强信息网络安全技术人员培训,使安全技术人员及时更新信息网络安全管理知识。
2、加强人员的信息安全意识,不断地加强信息系统安全管理和技术防范水平。
3、增加安全管理的经费。
第18篇:信息系统安全自查报告
**市旅游局2014年政府信息系统安全
检查工作自查报告
市工信委:
根据《关于开展2014年全市重点领域网络与信息安全检查的通知》(洪工信字【2014】177号)文件的精神,我局领导高度重视,立即组织开展全局范围的信息系统安全检查工作。按照《中华人民共和国计算机信息系统安全保护条例》、《**市政府信息系统安全检查指南》的要求,我局对政务网站信息安全管理工作认真组织自查,现将情况汇报如下:
我局信息系统运转以来,能严格按照上级部门要求,积极完善各项安全制度、充分加强信息化安全工作人员教育培训、全面落实安全防范措施、全力保障信息安全工作经费,信息安全风险得到有效降低,应急处置能力得到切实提高,保证了政府信息系统持续安全稳定运行
一、信息安全制度落实情况
1、建立管理机构。我局于2010年成立了信息安全和保密管理工作领导小组,并于2014年调整后,由局长**任组长,副调研员**负责分管信息安全工作。各科室负责人为成员,办公室设在局办公室,设专人负责处理日常工作。
2、建立建全信息安全制度。我局专门制订了信息化工作有关规章制度,对信息化工作管理、内部电脑安全管理、计算机及网络设备管理、数据、资料和信息的安全管理、网络安全管理、计算机操作人员管理、网站内容管理、网站维护责任等各方面都作了详细规定,进一步规范了我局信息安全管理工作。并在今年对信息安全制度进行了修订,完善制度,确保政府信息系统安全防护措施。
二、日常信息安全管理情况
1.在信息收集上传过程中,由办公室统一协调,各处室、下属单位把信息统一上报至局办公室,由局办公室审核后再把信息上传发布,从而保证了信息上传的准确性、安全性,决执行“谁主管谁负责、谁运行谁负责、谁使用谁负责”的管理原则。
2.我局严格文件的收发工作,完善了清点、整理、编号、签收制度,并要求信息管理员定期进行系统全备份。
3.我局每台涉密计算机采用独立内网管理,不与外网接触,防火墙、杀毒软件等皆为国产产品,公文处理软件具体使用微软公司的office系统、金山公司的WPS系统,信息系统的第三方服务外包均为国内公司。
4、为确保我局网络信息安全工作有效顺利开展,我局要求以各科室、下属单位为单位认真组织学习相关法律、法规和网络信息安全的相关知识,使全体人员都能正确领会信息安全工作的重要性,都能掌握计算机安全使用的规定要求,都能正确的使用计算机网络和各类信息系统。全体工作人员签订《网络信息安全承诺书》。
三、安全防范措施落实情况
1.我局网络系统的组成结构及其配置合理,并符合有关的安全规定;网络使用的各种硬件设备、软件和网络接口是也过安全检验、鉴定合格后才投入使用的,自安装以来运转基本正常。
2.我局实行领导审查签字制度。凡上传网站的信息,须经有关领导审查签字后方可上传;二是开展经常性安全检查,主要对SQL注入攻击、跨站脚本攻击、弱口令、操作系统补丁安装、应用程序补丁安装、防病毒软件安装与升级、木马病毒检测、端口开放情况、系统管理权限开放情况、访问权限开放情况、网页篡改情况等进行监管,认真做好系统安全日记。
3.我局切实抓好内网、外网、网站和应用软件“五层管理”,确保“涉密计算机不上网,上网计算机不涉密”,严格按照保密要求处理光盘、硬盘、优盘、移动硬盘等管理、维修和销毁工作。重点抓好“三大安全”排查:一是硬件安全,包括防雷、防火、防盗和电源连接等;二是网络安全,包括网络结构、安全日志管理、密码管理、IP管理、互联网行为管理等;三是应用安全,包括网站、资源库管理、软件管理等。涉密计算机都设有专人管理。公文、财务、人事等系统都设有专人管理负责。
四、应急响应机制建设情况
1、制定了应急预案,并随着信息化程度的深入,结合我局实际,处于不断完善阶段。
2、及时对系统和软件进行更新,对重要文件、信息资源做到及时备份,数据恢复。
五、信息安全检查工作发现的主要问题及整改情况 1.存在的主要问题
一是专业技术人员较少,信息系统安全方面可投入的力量有限。
二是规章制度体系初步建立,但还不完善,未能覆盖到信息系统安全的所有方面;
三是设备维护、更新还不够及时。
2.下一步的整改计划
根据自查过程中发现的不足,同时结合我局实际,将着重以下几个方面进行整改:
一是要加强专业信息技术人员的培养,进一步提高信息安全工作技术水平,便于我们进一步加强对计算机信息系统安全防范和保密工作。
二是要创新完善信息安全工作机制,进一步规范办公秩序,提高信息工作安全性。
三是要要创新完善信息安全工作机制,进一步规范办公秩序,提高信息工作安全性。
最后,希望市政府能够经常组织有关信息系统安全的培训,从而进一步提高信息系统管理工作人员的专业水平,从而进一步强化信息系统的安全防范工作。
2014年7月10日
第19篇:信息系统安全自查报告
信息系统安全自查报告
根据局传达印发《
》的通知精神,和我处关于做好信息系统安全保障工作指示,处领导高度重视并立即组织相关科室和人员开展全处范围的信息系统安全检查工作。现按照通知要求汇报如下:
(一)安全制度建设情况。根据处信息系统建设计划,我处在2009年就制定了市场处计算机网络和信息工作的相关管理规定和办法。明确了以处领导为主管领导,以处办公室为联系纽带,建立以信息科为执行骨干的系统建设和维护的金字塔型信息安全管理模式。早在2007市场处就成立专职网络管理科室并设立了专职人员,负责交易大厅及附属办公楼的信息化建设和网络安全管理以及设备维护工作。具体负责人员均由专业技术人员担任,目前设有2人分别负责内网和外网及设备保障工作,其中1人按市统一要求进行了专职的网络安全培训,并按要求签有保密协议,已在政府相关部门备案。已制定了基本的网络安全工作制度和工作机制来规范各项信息网络安全管理工作。信息管理人员能够严格按照保密责任制度和信息报送管理办法执行工作。针对当前和未来一段时间的信息安全保障工作,处领导高度重视,借鉴以往的安全保障工作经验和未来一段时期内的发展趋势,积极组织安排信息安全保障工作。在未来的工作中,市场处将继续严格制度,严格要求,严谨管理,严肃工作,保障信息系统的安全、稳定运行,并坚决执行“谁管理谁负责、谁运行谁负责、谁使用谁负责”的管理原则。
(二)安全防范措施落实情况。
1、为尽可能的减少信息安全事故发生,我处已经设立的相应的网络防护措施,以防火墙和防毒软件为核心对内网网络服务器及整个局域网安全提供保障。同时我们通过服务外包的形式,借助专业公司的较高专业水平,进一步加强了外网建设的安全管理措施,整体上提高了我处内外网络安全性能。
2、凡我处工作用计算机全部按照网络安全隔离系统要求实施,同时对重点计算机进行了杀毒软件升级和补丁修复,定期对服务器的帐户和口令进行更改,对服务器上的应用和服务漏洞做了整理和修复。
3、保证专业人员24小时待命,对任何可能危及信息安全的事态能够做到及时响应,有效处理。
(三)应急响应机制建设情况。我处目前已经做到了内网数据双机热备,外网数据定期备份等基础工作,工作人员能熟练进行数据灾难恢复工作。对于可能发生的重大信息安全事故,我们完全有能力进行迅速和妥善的处理。针对此次通知精神,我处准备继续强化信息安全的制度建设和教育工作,从上到下继续加强信息安全工作的意识,端正信息安全工作的态度,严肃信息安全工作的纪律,并严格执行。
(四)安全教育培训情况。我处已多次对工作人员进行了信息安全方面的教育和培训,有高级信息管理工程师(CIO)1名。对于普通工作人员以掌握信息化管理技能为目的进行经常性的理论学习和实践操作能力培训,借此不断的提高所有工作人员的的安全防范意识和技能。
(五)此次我处信息系统安全自查后,信息安全薄弱环节和漏洞主要体现在以下几个方面:
1、部分核心交换设备老化存在安全隐患,很多设备已经使用超过8年。
2、制度上仍有缺失存在,后台维护和前台业务存在一定的交叉,这不符合信息安全工作的最基本要求。
2、部分计算机杀毒软件的病毒库未能进行及时的更新。
3、部分网站系统由于各种原因仍存在网站安全漏洞隐患。
对于工作中尚存的以上缺陷,我们将尽快落实解决。
(六)为落实通知精神,处领导高度重视,亲自组织信息安全检查工作,对违反信息安全规定的行为和泄密事故的处理坚决执行 “谁主管谁负责、谁运行谁负责、谁使用谁负责”的管理原则。经自查自纠目前我处尚无违反信息安全规定的行为和泄密事故发生。
2013年9月3日
第20篇:检查内存泄露
Debug Aertion Failed!
这个错误的原因可能是数组越界或出现了野指针.
内存释放(或资源释放)时出现了错误
这是个很一般性的错误, 就像Windows报告说执行了非法操作一样.凭此信息无法判 断具体错误位置, 只能靠自己跟踪了
当出现这个错误的时候,我重新检查了自己new的指针,由于对于这块很发怵,所以把所有new的指针都避掉。但还是出现同样的问题。
后来又上网搜了一下,在《VC++6.0中内存泄漏检测》这篇文章中提到,“可用于被多态继承的基类其析构函数应当有virtual修饰\"的法则( 一不小心就忘了写virtual ^_^ ),”,哈哈,我也违反了,后来加上virtual后就没有问题了。
下面把那篇文章贴上来以供自己日后查看。
VC++6.0中内存泄漏检测(转)
VC++6.0中内存泄漏检测
这篇文章是对2004-09-02日发表的《VC++6.0中简单的内存泄漏检测事例代码》(已经删除)的更新.
对C++代码而言,内存泄漏问题虽然有诸多方法避免,但实际代码编写的时候,或出于自信或出于复杂性的考虑,常常还会用到原始的operator new,这不可避免的会带来内存泄漏的可能,不久前本人因为违反了\"可用于被多态继承的基类其析构函数应当有virtual修饰\"的法则( 一不小心就忘了写virtual ^_^ ),导致了内存泄漏,因此我觉得出于安全考虑,在代码中加入内存泄漏检查机制还是很必要的,也因为这次的内存泄漏事件促使我写出这一篇文章.
VC++中本身就有内存泄漏检查的机制,你可以在向导生成的支持MFC的工程中看到如下代码:
#ifdef _DEBUG
#define new DEBUG_NEW
#undef THIS_FILE
static char THIS_FILE[] = __FILE__;
#endif
通过它们,你能非常容易的发现代码中的内存泄漏,但是如果手工将这个功能移植到非MFC工程中去是很繁琐的一件事,另外它还有一个bug,在多线程并发调用这个DEBUG_NEW时会导致系统级错误,因此本人在此重写了这个功能,将以下的debug_new.h和debug_new.cpp添加到工程中,并在需要检测的cpp中#include \"debug_new.h\"和main中一开始处加入REG_DEBUG_NEW宏即可.
1.debug_new.h 源代码
/************************************************************************/ /* comment: 此文件与debug_new.cpp配合使用,用于在调试期发现内存泄漏 */
/* 仅在VC++编译器中适用(包括Intel C++,因为它使用了相同的库) */
/* 作者: 周星星*/
/* 版权申明: 无,可任意 使用,修改 和 发布 */
/************************************************************************/ /* sample
#include
#include \"debug_new.h\" // +
using namespace std;
int main( void )
{
REG_DEBUG_NEW; // +
char* p = new char[2];
cout
return 0;
}
在VC++ IDE中按F5调试运行将会在Output窗口的Debug页看到类似如下的提示: Dumping objects ->
d:\\test.cpp(10) : {45} normal block at 0x003410C8, 2 bytes long.
Data: CD CD
Object dump complete.
如果不出现如上提示请Rebuild All一次.
*/
#ifndef _DEBUG_NEW_H_
#define _DEBUG_NEW_H_
#ifdef _DEBUG
#undef new
extern void _RegDebugNew( void );
extern void* __cdecl operator new( size_t, const char*, int );
extern void __cdecl operator delete( void*, const char*, int);
#define new new(__FILE__, __LINE__)
#define REG_DEBUG_NEW _RegDebugNew();
#else
#define REG_DEBUG_NEW
#endif // _DEBUG
#endif // _DEBUG_NEW_H_
2.debug_new.cpp 源代码
/************************************************************************/ /* comment: 此文件与debug_new.h配合使用,用于在调试期发现内存泄漏 */
/* 仅在VC++编译器中适用(包括Intel C++,因为它使用了相同的库) */
/* 作者: 周星星*/
/* 版权申明: 无,可任意 使用,修改 和 发布 */
/************************************************************************/ //#include \"debug_new.h\"
#ifdef _DEBUG
#include
#include
cla _CriSec
{
CRITICAL_SECTION criSection;
public:
_CriSec() { InitializeCriticalSection( &criSection ); }
~_CriSec() { DeleteCriticalSection( &criSection ); }
void Enter() { EnterCriticalSection( &criSection ); }
void Leave() { LeaveCriticalSection( &criSection ); }
} _cs;
void _RegDebugNew( void )
{
_CrtSetDbgFlag( _CRTDBG_REPORT_FLAG | _CRTDBG_LEAK_CHECK_DF );
}
void* __cdecl operator new( size_t nSize, const char* lpszFileName, int nLine )
{
// comment 1: MFC中提供的debug new虽然加了锁,但我在实际测试的时候发现多线程并发 // 调用的时候还是抛出了系统错误,所以我在这里加了一个线程互斥量.
// comment 2: debug new和debug delete之间需不需要互斥我并不知道,保险起见,我同样 // 加了线程互斥量.
// comment 3: 按照C++标准规定,在operator new失败后应当调用set_new_handler设置的 // 函数,但是MSDN中却说\"头文件new中的set_new_handler是stub的,而应该使 // 用头文件new.h中的_set_new_handler\",这简直是滑天下之大稽.
// 以下是VC++6.0中的set_new_handler定义:
// new_handler __cdecl set_new_handler( new_handler new_p )
// {
// aert( new_p == 0 ); // cannot use stub to register a new handler
// _set_new_handler( 0 );
// return 0;
// }
// 所以我也无计可施,只能舍弃set_new_handler的作用.
_cs.Enter();
void* p = _malloc_dbg( nSize, _NORMAL_BLOCK, lpszFileName, nLine );
_cs.Leave();
return p;
}
void __cdecl operator delete( void* p, const char* /*lpszFileName*/, int /*nLine*/ )
{
_cs.Enter();
_free_dbg( p, _CLIENT_BLOCK );
_cs.Leave();
}
#endif
3.事例代码
#include
#include \"debug_new.h\"
using namespace std;
int main( void )
{
REG_DEBUG_NEW;
char* p = new char[2];
p[0] = \'A\';
p[1] = \'B\';
cout
return 0;
}
4.结果输出
在VC++ IDE中按F5调试运行将会在Output窗口的Debug页看到类似如下的提示: ……
Dumping objects ->
d:\\test.cpp(10) : {45} normal block at 0x003410C8, 2 bytes long.
Data: 41 42
Object dump complete.
……
