涉密信息在计算机保密管理中的隐患与应对措施
2018-05-14陈彪
陈彪
摘 要:计算机的出现对于各行各业来说都有很大的帮助,有些保密信息不再应用纸质文件进行保密。可以把保密信息放在电脑里。但是有利就有弊,随着技术的不断创新,计算机的安全也不容忽视,本文就涉密信息在计算机保密管理中存在的隐患以及应对措施进行论述。
关键词:涉密信息;计算机保密管理;隐患以及应对措施
引言
随着信息化建设和应用地逐步深入,产品研制的效率和质量得到了极大地提高,研制周期大大缩短,这使得军工单位对应用系统和数据信息维护、监管等方面的要求越来越高。然而,当前军工企业信息安全与保密工作面临的形势十分严峻,境内外敌对势力一直把军工企业作为情报收集的重点目标,特别是通过网络发生的失窃密事件时有发生。与此同时,军工单位的信息安全保密意识在不断地提升,并按照国家标准建立了涉密信息系统。但现实情况是我国IT领域的硬件产品中的关键部件及大型工业软件都受制于国外,距离实现信息安全的自主可控还有很长的路要走。
1 涉密信息的含义
涉密信息主要指的是与安全,军事,政务,科技等方面有着密切关系的信息以及资料内容。国家机密分为秘密,机密和绝密这三个等级,因此在实际保密工作中需要根据实际情况对涉密信息进行及时有效的处理,严格按照“谁主管,谁负责”的基本原则,对涉密信息管理工作进行统筹规划,只有这样才能促进保密工作的有序开展。
2 网络信息安全与保密工作的现状
杜绝外发违规涉密敏感信息的事件,实现科研生产、经营管理涉及商业秘密的全过程管理,还面临三个方面的困难。
2.1网络信息安全、保密与科研业务彼此相互孤立
在工作中,部分科研院所为了保密而保密,不能将网络信息安全、保密与科研业务紧密融合,这样一来经常令科研人员对网络信息安全、保密产生抵触情绪,不仅管理措施执行效果不佳,也严重影响了科研的工作效率。由于科研管理信息化、智能化水平较低,精细化管理不足,科研领域的信息安全、保密存在隐患风险,不能做到全面系统识别,对重点对象的管控稍显不足。
2.2组织机构和人员不完备,责任未得到有效落实
由于监管主体模糊,造成网络信息安全、保密职责不明确,保密工作常提“业务工作谁主管、保密工作谁负责”,可部分科研院所不清楚其保密职责,出现责任主体缺失、职责不明的问题,造成管理失位。组织机构缺失导致对信息安全、保密工作重视程度不够,队伍力量相对不足,能力与要求之间存在较大差距。
2.3员工的网络信息安全和保密意识不强
部分员工对网络信息安全、保密的认识不足,只关注科研生产和经济指标,片面追求科研水平的提升,忽視网络信息安全、保密工作对科研生产的重要意义和深层影响。由于网络信息安全、保密工作未能给予充足的人财物保障,进而导致一般管理干部鲜有机会参加专业培训,出现宣传不到位、员工保密意识淡薄等问题。
2.4存储介质泄密
对国家部门存储工作来说,所有的存储介质处置权,使用权都归国家所有,一旦在存储介质中出现了泄密信息,就会导致涉密信息的监管能力失效,信息存储的安全性降低,从而不仅给保密工作带来安全隐患,还对国家的和谐稳定造成不利影响。如果是存储介质存在泄密现象,即使是对存储介质进行重新分区,格式化等处理,涉密文件依然存在安全隐患。主要是因为计算机系统将系统内删除的文件自行作了标记,同时重写了存储介质引导记录以及文件分配表,此时,尽管用户在电脑桌面上看不到相应的文件,但是仍旧可以借助数据恢复软件找到,并及时将删除掉的文件进行再次恢复,从而导致了信息安全隐患增加。
2.5信息设备泄密
保密工作中使用的扫描仪,复印机,传真机,3G手机屏蔽器,视频监控系统,红外入侵报警器等信息设备会在运行过程中产生电磁辐射,敌特分子可以在百米之外通过设备对这些电磁辐射有关的资料、信息进行放大,还原等处理,并使用芯片将这些软件进行安装,最终以维修和收购等多种方式将这些信息窃取,从而导致涉密信息被泄露,给保护工作造成不可预想的损失。
3 强化计算机保密管理的主要途径
3.1制度流程化及策略表格化
依据国家相关标准要求制定的涉密信息系统管理制度和策略,是为了规范及加强涉密信息系统的安全保密管理,以保护国家秘密。但是制度和策略内容涉及的范围广且相对抽象,不容易理解,通过对涉密信息系统保密制度进行梳理,将保密制度落实到日常工作及业务流程中,在日常工作中潜移默化地加深内部人员对保密制度的理解,确保保密制度在企业内地严格执行。另外根据涉密信息系统安全策略内容建立规范化的策略表格,这样能够直观地展现安全策略的具体内容,指导信息安全管理人员开展保密工作。在内部安全检查过程中,既能够节约检查时间,也能快速地发现安全隐患,从而保障涉密信息系统安全运行。
3.2提高工作人员素质
技术人才的培养是确保信息安全管理技术的重要内容。信息安全管理技术涉及多方面的专业技能,这意味着从事网络管理的三员要具备较强的专业技能。因此提高网络管理人员的管理水平,不仅能降低网络安全隐患,而且能防止发生人为事故,还能高效地解决网络安全问题。除此之外,可以对网络计算机用户加强安全教育和安全技能培训,将一些晦涩难懂的网络安全知识和相对复杂的计算机操作应用以实例方式进行讲解,消除他们对保密的认识误区,使其掌握计算机安全自查的能力。同时,还需要在各部门设立管理员,负责一些日常简单的管理与维护工作,从而形成计算机三级维护管理机制,实现计算机安全风险及时消除的目的。
3.3加强数据安全建设
信息安全的核心问题是确保数据安全。数据主要分为业务系统数据和个人数据,业务数据主要存储在企业的存储系统上;个人数据包括工作中产生的各种过程数据,主要存储在最终用户的计算机上。数据安全的风险主要体现在两个方面,即数据泄露及数据损坏。针对数据泄露风险,可采用电子文档加密系统对涉密信系统内部电子数据进行加密和权限管理。当数据被合法授权访问时,文档解密实现透明化;当数据被非法获取访问时,数据内容无法解密查看,以保障数据防泄露。针对数据损坏风险,需要对存储系统上的业务数据采用两台存储双写的容灾架构部署。对最终用户计算机上的个人数据,为最终用户提供基于网络的个人数据备份存储空间,这样来摆脱硬件故障导致数据损坏的风险,从而保障数据安全。
3.4强化磁盘装卸维修监督
在磁盘装卸过程中需要有专人对其进行严格监督,一旦计算机系统盘出现了问题,就会找人上门维修,这些维修人员掌握的技术较多,了解的信息管理内容多,为了确保信息的安全性,需要有人对磁盘维修过程中作出监督,并在维修前认真做好系统资料信息的备份工作,比如将系统盘中的文件、资料发送到D盘中,对重要的文件进行备份操作,切实做好文件、资料信息的保密工作,这样做不仅可以保证硬盘不被损坏,还大大提升了系统信息的安全性。
结语
保密与网络安全科学管理的水平不断提升,基本消除了管理体系与科研生产之间的屏障,管理效率明显提升,制度执行力明显增强,为科研院所今后保密与网络安全的精细化管理工作提供了借鉴。
参考文献
[1]李亚飞.计算机信息安全技术及防护方法[J].电子技术与软件工程,2018(8).
[2]祁新艳.建立动态保密管理体系的思考[J].企业文明,2018(2).
[3]孙铃.浅谈新形势下信息安全保密管理工作[J].现代国企研究,2018(2).
[4]电子政务涉密信息的指纹加密[J].曾庆林,钱同惠.长江科学院院报.2015(04).