涉密计算机信息安全使用管理探析
2017-10-31陈燕群王海燕
陈燕群 王海燕
摘要:由于计算机技术和网络技术的迅猛发展,信息已经成为主导社会各方面的主要因素,计算机信息的安全就显得日益重要,而涉密计算机的信息安全尤为重中之重,许多单位、研究所、部队等岗位都使用涉密计算机。文章就安全使用涉密计算机信息进行了分析和研究,并就可能发生的问题给出了相关的解决方案。
关键词:涉密计算机;移动存储;加密;安全
1背景
现有涉密计算机信息出现的安全风险可能有以下几种:用户的违规操作、软硬件漏洞、木马和摆渡程序等,这些风险可能给使用单位带来重大经济损失或重大失泄密事件,因此,必须对涉密计算机的安全使用制定一系列的规则和措施,以保证涉密计算机的信息安全。
2移动存储设备带来的信息安全隐患及解决方案
2.1安全隐患
移动存储介质主要指的各种移动硬盘、u盘、手机、各种存储卡等,按照规定这些移动存储介质只能在内部网络使用,不能随便接入外部网络或互联网,以免造成严重泄密事件。由于u盘体积小、容量大、便于携带,因此许多使用者常常把u盘带到身上,存放单位的资料和信息,回家后又在家里上因特网拷贝信息。这样公私混用很容易出差错,使得u盘上的单位涉密信息外泄。由于公私混用,所以移动存储介质也易感染病毒,如果没有及时查杀,在涉密计算机中一旦感染,很容易将内网安全网络感染,破坏整个涉密网络。现在因特网上很流行的一种病毒木马叫摆渡程序,它一旦感染计算机,就会根据木马中的指定的内容来查找涉密计算机的信息,一旦找到就会自动将所需信息发送到指定的地址或邮箱,如果没有连接外部网,就会复制到移动存储介质中,当移动存储介质再次插入因特网的电脑,信息就会被自动发送出去。这样的事件国内已出现了不少事例。在一些单位中,移动存储介质的密级划分的不同的等级,不同密级的信息不能的相同的存储介质中使用,但一些工作人员为了省事,常常用同一种移动存储介质来拷贝不同密级的信息,使信息安全得不到有效控制。由于移动存储便于携带,使用方便,有些工作人员随意将其带出单位,一旦移动存储载体丢失,重要的信息就可能会被泄漏,这也是重大的安全隐患之一。
2.2解决方案
建立监管制度:所有的移动存储载体必须登记在册,登记的内容有购买日期、使用时间、申领日期等,要做到专人专用。同时要求不能将移动载体带出公司,上下班必须将载体交还管理中心,如果确有需要带出载体的,必须提交申请并严格监督使用。对于最高密级的移动载体,必须进行物理上的内外网隔离,并严令禁止带出。
加密认证管理:对所有的移动存储设备进行分区加密,使载体只有在涉密的计算机中才能正确识别,插入到普通的计算机中就不能识别,同时没有进行过加密的普通移动载体在涉密计算机中也不可识别。加密的方式可分为多种,根据涉密信息的等级,可以将载体设为只读、只写、可读可写等方式,便于不同的用户不同的密级来使用。为使用的载体创建使用用户的唯一标识,便于人员身份鉴别。如可采用人体生物认证来识别,包括指纹、虹膜等认证方式。对移动载体中的信息也采用数据加密方式,所有的涉密信息在涉密计算机中可以正常使用,但如果涉密信息在普通的电脑上显示的就是一堆毫无用处的乱码。
使用日志管理:所有载体的使用都有专用的日志文件记录,包括对文件的复制、删除、打开、修改等等,以此掌握载体的使用情况,便于日后进行审记。
维修报废管理:所有的移动载体如何出现损坏,需要维修或报废的,统一由信息管理部门处理,决不允许私自带出修理。信息管理人员注销报废的载体,清除数据,然后采用专用的设备对载体进行销毁。
3网络带来的信息安全隐患及解决方案
3.1安全隐患
由于网络技术的高速发展,所有的计算机都离不开网络,其中也包括涉密的计算机,除非在物理上完全隔离,成为完全独立的计算机,否则只要上网就会有风险,但同样网络又会使工作人员效率倍增,更好地完成各种任务。因为涉密计算机一般禁止连接外部因特网,相对来说,风险较小,但是有很多内部网络由于机构庞大(像美国军方的网络,在任何一个军队内部都能访问),内部网络又会由很多小的单位局域网连接而成,因此,各种信息也较多,而且复杂,各种内部管理方式的差异,也会给内部网络带来一定的风险,因此,也需要制定相应的解决方案。
3.2解决方案
上网身份认证:只要通过单位局域网访问的计算机必须经过专用认证服务器进行身份识别,通过认证的计算机才能访问局域网以外的网络。并且所有访问记录在认证服务器中都有日志文件进行审记,这种认证可通过人体生物认证技术等方式来进行,以实现身份的唯一性。
网络防火墙及网络杀毒软件:在信息管理中心部署防火墙及网络杀毒软件。防火墙可以对整个网络的访问进行管理,对所有出入局域网的信息进行扫描,然后主动过滤有害信息,打开或关闭需要的端口,阻止各种木马程序,防止未经授权的用户访问网络。网络杀毒软件可以对整个局域网的计算机进行全网杀毒,远程开关机,重启杀毒等方式,能够有效清除引导型及自我保护型病毒,为涉密计算机提供了一道安全屏障。
安全隔离网闸:安全隔离网闸是一种的专用的硬件和软件的组合设备,它可以在电路上切断网络与网络之间的链路层连接,并能够在两个网络之间安全的进行数据交换,由于物理隔离网闸所连接的两个独立主机系统之间,没有通信的相关连接和传输的协议,只有需要的数据文件的“摆渡”,所以是绝对的安全。因此,隔离网闸从物理上阻断了具有潜在攻击可能的一切连接,可以实现数据信息的真正安全。对于较高涉密级别的计算机通过网闸进行管理,可以有效保护计算机受到的安全隐患。
4计算机及笔记本电脑带来的信息安全隐患及解决方案
4.1安全隐患
每个工作人员的计算机都有很多的安全隐患,这里的计算机也包括了笔记本电脑。这里主要是人为因素带来的安全问题,人员在使用中不注重安全保密规定,泄露计算机密码、随意安装软件、拷贝文件、计算机外联网络、带出笔记本电脑使用等行为,这些行为很可能造成计算机信息数据丢失、密码被窃取、电脑中病毒和木马、涉密信息被盗等,都会造成严重的安全隐患。
4.2解决方案
加强人员安全使用培训:要对所有使用人员进行相关的保密法律法规学习,强化使用人员的保密意识,并由专业信息管理人员进行安全使用培训,提高使用人员的计算机技能,并定期进行信息安全检查。
制作计算机使用管理规定:所有的计算机必须安装保密管理系统进行统一安全管理,开机以及系统和屏保这三重密码必须符合要求,电脑所有的外设接口由信息管理人员统一关闭,只在需要的电脑上才打开这些端口,并由日志文件记录端口的使用情况以及信息文件的日志,每日电脑关机前会自动将使用日志文件上传到信息中心,由中心定期进行审记。电脑中的软件安装由信息管理中心统一进行部署,需要特殊软件的计算机也由中心管理并安装。笔记本电脑的WIFI处于禁止状态,只在需要时由管理人员打开并用专用信息过滤软件监控信息的流转并生成审记日志。涉密计算机只能读取加密过的移动存储设备,不能使用普通存储设备。计算机系统的安全补丁由信息中心提供的检测软件定期检测并及时修补系统漏洞,每台电脑安装网络版杀毒软件,由中心设备杀毒防毒策略,定期查杀病毒和木马。每台计算机接入局域网的登录认证中心,每次启动计算机由信息中心对系統登录用户进行认证(这些认证包括了人体生物认证、密码认证等)。
制作计算机维修管理规定:所有计算机数据必须定期备份,并做好登记保存。一旦计算机出现故障需要维修时,必须经主管部门同意后送信息管理中心进行检修,中心经过登记检修,如果遇到除存储设备以外的硬件故障损坏,需要对外送修时,要将存储设备拆下来然后送修,如遇存储设备已经损坏的需要登记后彻底销毁,更换硬盘后重新按要求安装系统。
5结束语
对于计算机信息安全隐患及其防范和解决是一个长期的系统工程,要求各单位主管和个人都要严肃认真处理,严格按安全保密法律法规执行,并要求技术管理人员充分利用多种保密技术手段,认真分析、解决问题,才能使计算机信息安全得到有效的保障。endprint