档案馆移动存储介质管理方法探讨
2018-06-12胡芳芳
胡芳芳
(中国第一历史档案馆 北京 100031)
1 引言
移动存储介质由于灵活性、方便性等特点,在档案馆信息化过程中普及使用,但移动存储介质在给工作带来方便的同时,也引入了安全隐患,成为当前我馆网络安全管理中的重点和难点。越来越多的敏感信息、档案资料存储在移动存储介质中,加强移动存储介质的风险分析和管理,确保档案电子数据安全已成为保障我馆局域网信息安全的重要基础。
2 移动存储介质的安全隐患
移动存储介质是指光盘、移动硬盘、U盘、存储卡等具有体积小、容量大并且可以作为信息交换的一种便捷介质。主要有以下安全隐患。
(1)易丢失,易交叉使用
移动介质普遍没有防护措施,一旦丢失就会造成大量信息外泄。同时由于U盘等移动存储介质常常在工作和生活中交叉使用,不便于管理,容易出现重要信息资料泄露。
(2)监管存在死角
很多电子产品如手机、移动存储卡等都可以作为移动存储设备使用,造成监管体系的薄弱环节和死角。
(3)病毒危害
由于移动存储设备使用范围较广,可能会出现感染计算机病毒的情况。摆渡技术是移动存储介质病毒中危害较大的,如果病毒与“摆渡”技术结合,当用户在互联网上使用移动存储介质时,病毒复制到移动存储介质中。若此移动存储介质插入工作电脑,木马病毒会搜集本地的文件夹并通过互联网向指定的服务器发送数据,使得内网与互联网之间有了连接的渠道[1]。
3 常用的解决方法
由于移动存储介质的使用中可能存在的各种安全隐患,目前采用了很多方法进行回避,主要采用的方法有以下几种。
(1)封锁计算机USB端口来禁止用户使用移动存储设备。这样做的缺点是不仅限制了USB移动存储介质的使用,也限制了其他USB设备的使用,如USB接口的鼠标、键盘等[2]。
(2)通过专用移动存储设备来实现保密防护。这类产品有专门的移动存储设备的数据写入,保证内部信息的正常交换。但也需要软件来进行辅助,确保普通磁盘也不可使用。
(3)采用移动介质管理软件系统。安全移动介质保密管理类的研发当前取得的一定成果。基于软件的移动存储设备安全解决方案,可以提供的安全管理功能,可以对移动存储介质进行管理。
4 我馆待构建的移动存储介质管理系统
4.1 我馆的需求
当前我馆馆内有计算机终端500余台,馆内环境分为馆内办公和外包公司两块,对移动存储介质的需求如下:馆内办公处室间可使用移动存储介质进行局域网内的文件交换,且有把馆内文件与馆外交换的需求;外包公司禁止使用移动存储介质。
4.2 可行的移动存储介质管理方法
在制度上,加强日常监督和管理,制定和健全相关法规,使移动存储的管理工作有据可依,有方可行。
在技术上,选用功能强大、运行稳定的安全软件系统和相关硬件设备,做到能够集中授权移动存储设备,对移动存储设备进行认证,防止信息泄露,并能实行数据加解密和操作行为的安全审计等。
为能有效地管理我馆的移动存储介质,具体方式如下:
采用分布式监控、集中式管理的模式。安全软件系统分为三个组件:客户端、服务器、控制台,采用C/S工作模式,组件的通信采用HTTPS加密传输方式。具体形式见图1。
图1 组件间的控制传输方式
操作流程如下:
确定所有馆内计算机的合法性,必须安装客户端,如果非馆内计算机连入馆内局域网,则硬盘不识别,防火墙自动阻断该计算机与局域网的通信,该计算机无法接入局域网。
(1)馆内计算机下发策略
针对不同的计算机下发不同的策略。馆内办公计算机只允许读取光盘数据,不可以使用未经授权的移动存储设备,通过下发策略“只允许只读使用光盘存储设备”和“禁止使用移动存储设备”实现。加工区计算机不允许使用光盘和所有移动存储介质,通过下发策略“禁止使用光盘设备”和“禁止使用移动存储设备”实现。
(2)建立移动存储介质信息数据库
进行库存管理,确保所有的移动存储介质都有唯一的标识,并登记磁盘的具体信息,包括使用者、启用时间、介质型号、授权码、磁盘登记员等。对于已经损坏或者不再使用的磁盘,要进行注销认证,及时在管理软件数据库中将其信息进行注销,在处理报废存储介质时,确保物理销毁。
(3)根据实际需要对移动存储介质进行授权
将磁盘登记入库后,即可对其进行授权管理。对移动存储介质由网络处进行分类授权注册,授权内容包括:密级标识、主管部门、责任人、使用部门等,分配其使用权限,确保使用的合法性,实现非软件注册的计算机不能使用注册授权过的移动存储介质以及软件注册的计算机不能使用非注册授权过得移动存储介质。根据授权信息产生移动存储器管理台账。
(4)根据授权区别使用
馆内办公计算机如要使用移动存储介质,需要在馆内领取,并详细登记。
如果此移动存储介质只馆内使用,将其授权为内部移动存储介质。如果此移动存储介质需要和馆外进行数据交换,将其授权为通用移动存储介质。通用磁盘处于未激活状态时,在可信环境下可以读写,在普通环境下不能访问。可以在控制台通过激活操作转换为激活状态。通用磁盘处于激活状态时,在可信环境下只读不能写,在普通环境下能读也能写,可以在控制台通过反激活操作转换为未激活状态。
(5)使用过程遵守程序
在使用过程中,使用者必须输入正确的访问口令,才能正常加载移动存储介质,并且在使用者使用移动存储介质时,会进行身份信息验证,不在使用许可范围的将禁止使用,此外授权后的移动存储介质,可能因为各种违规操作导致可信磁盘被锁定,禁止其使用。如果使用者有违规操作,移动存储介质会启动自我保护,如以只读方式加载磁盘或者对磁盘锁定,甚至磁盘自毁。
5 结语
可移动存储介质在为工作带来便利的同时,也带来了诸多失泄密隐患,只有明确职责,加强管理,才能最大限度的发挥可移动存储介质的效能。
[1] 蔡东蛟.基于物理隔离的网络安全的实现[J].计算机安全,2007,11.
[2] 王玉珍,马婧,贺滢,等.禁用USB移动存储设备的几种方法[J]。医疗设备信息,2007,22(08).