网络环境下涉密计算机的集中管控
2018-09-10田彦明
田彦明
摘 要:随着现代军工企业的迅速发展,计算机作为一种先进的辅助工具也迅速普及到企业的各个部门之中,同时与之相关的信息安全问题也日益凸显出来,本文首先陈述计算机管理现状及面临的问题,然后通过理论分析提出解决思路和实现方式。
关键词:计算机管理;信息安全
中图分类号:TP393.08 文献标识码:A 文章编号:2096-4706(2018)02-0168-02
Centralized Control of Computer in Network Environment
TIAN Yanming
(Shenyang Engine Research Institute,Shenyang 110015,China)
Abstract:With the rapid development of modern military enterprises,the computer as an auxiliary tool for advanced quickly spread to the various departments and enterprises,and information security related issues are also increasingly prominent,firstly,the current state of computer management and problems,through the analysis of the proposed solutions and implementation.
Keywords:computer management;information safety
0 引 言
随着信息化建设和应用地逐步深入,产品研制的效率和质量得到了极大地提高,研制周期大大缩短,这使得军工单位对应用系统和数据信息维护、监管等方面的要求越来越高。然而,当前军工企业信息安全与保密工作面临的形势十分严峻,境内外敌对势力一直把军工企业作为情报收集的重点目标,特别是通过网络发生的失窃密事件时有发生。与此同时,军工单位的信息安全保密意识在不断地提升,并按照国家标准建立了涉密信息系统。但现实情况是我国IT领域的硬件产品中的关键部件及大型工业软件都受制于国外,距离实现信息安全的自主可控还有很长的路要走。本文主要从信息安全的防护措施和安全管理角度进行论述,讨论如何对涉密信息系统中的计算机进行有效地安全管理。
1 网络计算机管理现状
按照涉及国家秘密的信息系统分级保护的相关要求,各单位都建立了能够满足科研生产需要的涉密园区网,并取得了涉密信息系统运行许可证。技防措施上,完成了安全域划分,在安全域之间采用防火墙进行边界控制,应用系统控制到服务端口;还对数据的输入输出、便携式计算机、移动存储介质进行了集中管理;另外还部署了打印审计和光盘刻录审计系统。对涉密计算机采用生理特征身份鉴别方式、计算机的外设端口管理、介质使用管理、网络接入认证管理、非法外联管理、计算机病毒和恶意代码防护等手段进行防护,对硬件设备的使用状况和计算机操作行为进行监控。在管理制度上对涉密信息系统的安全运行进行规范约定。涉密信息系统管理人员根据涉密信息系统的综合日志分析,形成审计月报和风险评估报告。
2 面临的难点及问题
2.1 系统维护人员不足
涉密信息设备和技防措施逐年增加带来了系统维护人员不足的情况。计算机作为日常科研生产的重要工具,數量在逐年增加。同时,随着涉密信息系统建设地逐步深入,安全技防措施也陆续实施部署,不同软件的兼容问题给系统管理员带来了更多的工作量。同时,三员还需定期对全单位范围的计算机进行安全保密检查,工作量巨大,而且周期长。另外计算机使用者缺少必备的计算机维护知识,信息系统三员数量不能满足日益加大的运维和安全管理的工作需要。
2.2 漏洞风险防护不及时
为满足涉密信息系统的安全保密防护要求,涉密计算机安全产品配备逐步到位。各安全产品均具有独立的管理界面、日志审计等功能,管理和维护工作繁琐。但安全审计员在进行日志审计分析时发现,实际操作时缺少能够反映全局安全状态的工具,导致分析结果不全面,从而涉密计算机的整体安全情况显示得不直观,即缺少掌握网络计算机安全状态的技术管理手段,因而不能及时有效地发现系统中的安全漏洞和风险。
3 管理思路及实现
信息安全的管理要与技术防范并重,不能出现短板,这就需要进一步完善涉密信息系统的安全策略和管理制度,并优化工作流程,还需要逐步提高信息安全管理三员的技术水平,责任落实到人。另外可运用信息化手段收集涉密计算机的状态信息,为信息安全管理人员提供完整的信息集中展现的管控平台,便于集中掌握和管控风险[1]。下面从四个方面讨论如何提高网络环境下计算机的安全管理工作。
3.1 制度流程化及策略表格化
依据国家相关标准要求制定的涉密信息系统管理制度和策略,是为了规范及加强涉密信息系统的安全保密管理,以保护国家秘密。但是制度和策略内容涉及的范围广且相对抽象,不容易理解,通过对涉密信息系统保密制度进行梳理,将保密制度落实到日常工作及业务流程中,在日常工作中潜移默化地加深内部人员对保密制度的理解,确保保密制度在企业内地严格执行。另外根据涉密信息系统安全策略内容建立规范化的策略表格,这样能够直观地展现安全策略的具体内容,指导信息安全管理人员开展保密工作。在内部安全检查过程中,既能够节约检查时间,也能快速地发现安全隐患,从而保障涉密信息系统安全运行。
3.2 提高工作人员素质
技术人才的培养是确保信息安全管理技术的重要内容。信息安全管理技术涉及多方面的专业技能,这意味着从事网络管理的三员要具备较强的专业技能。因此提高网络管理人员的管理水平,不仅能降低网络安全隐患,而且能防止发生人为事故,还能高效地解决网络安全问题。
除此之外,可以对网络计算机用户加强安全教育和安全技能培训,将一些晦涩难懂的网络安全知识和相对复杂的计算机操作应用以实例方式进行讲解,消除他们对保密的认识误区,使其掌握计算机安全自查的能力。同时,还需要在各部门设立管理员,负责一些日常简单的管理与维护工作,从而形成计算机三级维护管理机制,实现计算机安全风险及时消除的目的。
3.3 构建信息安全业务的集中管控平台
3.3.1 统一规范台帐和流程管理
建立一个完整的信息集中展现平台,供管理员统一查询和集中管控,具体包括:计算机类资产台账管理、保密日常业务流程化管理、系统文档化管理。这需要提升涉密信息系统的安全保密管理能力,将计算机管理、网络存储设备管理、便携式计算机管理、移动存储介质管理、兼职保密人员管理、输入输出管理和服务器管理通过信息化的手段实现统一管控,进行集中处理。同事通过该平台的实施和使用,实现对计算机和其它安全产品的实时管理和追溯,使涉密计算机等设备可视化和透明化,实现信息安全工作流程化、规范化和常态化管理。
3.3.2 使用高效的终端计算机监控工具
运用信息化手段收集涉密计算机的状态信息,对不同品牌、不同操作系统的计算机软硬件信息进行收集,然后将计算机信息传递给集中管控平台。根据相关保密要求,设置系统服务、进程、开机启动和应用软件白名单等基础数据库,将涉密计算机实际的运行状态与基础数据进行对比,将差异部分信息上传至服务器端进行比较,及时提示用户违规事项,这样能够方便管理人员维护系统并跟踪计算机使用情况。同时对计算机安全策略信息进行实时监控,对移动存储介质的使用、操作系统补丁、共享文件夹及杀毒防护软件的使用进行监控并上传监控结果,保证检查人员能够准确、全面、快捷地检查出计算机终端的相关违规行为,从而提升计算机终端的防护能力。通过多年的数据积累,现已形成一个庞大的计算机历史状态数据库。
3.3.3 充分利用通知报警机制
在日常工作中,安全风险通过检查和评估分析才得以显现,安全工作的时效性不强。实际上,及时修复安全隐患,才能避免形成漏洞和风险。让计算机自己“报告”自身的安全状态能够使管理员更及时地解决安全问题,信息安全业务的集中管控平台要提供迅捷的通知报警功能,将计算机的策略信息,安装的主机监控审计系统、三合一等安全产品日志及时传达给三员,三员根据职责分工将反馈的信息加以整理分类,及时处理各自的工作内容,从而形成一个相互监督,确保问题闭环的工作机制。
3.4 加强数据安全建设
信息安全的核心问题是确保数据安全。数据主要分为业务系统数据和个人数据,业务数据主要存储在企业的存储系统上;个人数据包括工作中产生的各种过程数据,主要存储在最终用户的计算机上。数据安全的风险主要体现在两个方面,即数据泄露及数据损坏。针对数据泄露风险,可采用电子文档加密系统对涉密信系统内部电子数据进行加密和权限管理[2]。当数据被合法授权访问时,文档解密实现透明化;当数据被非法获取访问时,数据内容无法解密查看,以保障数据防泄露。针对数据损坏风险,需要对存储系统上的业务数据采用两台存储双写的容灾架构部署。对最终用户计算机上的个人数据,为最终用户提供基于网络的个人数据备份存储空间,这样来摆脱硬件故障导致数据损坏的风险,从而保障数据安全。
4 结论及展望
网络是把双刃剑。管得好,它是科研生产的有利工具,能够缩短研制周期,提高生产效率;管不好,它是失窃密的主要途径,会给国家带来巨大的损失。网络计算机的集中管控理念能够在一定程度上减少运维人员的工作量,并及时发现网络中的漏洞和风险,促进问题归零。
参考文献:
[1] 胡建伟.网络安全与保密 [M].陕西:西安电子科技大學出版社,2013.
[2] 李米拉,喻新.信息网络安全的现状与对策 [J].河南科技,2001(11):22-23.