1、浅谈涉密信息系统移动存储介质保密管理流程优化摘 要移动存储介质以其存储容量大、体积小、便于携带等特点被广泛用于信息交换,但在移动存储技术不断发展的同时,由于使用中存在管理不到位而带了来种种安全隐患,对涉密信息的安全保密工作产生的威胁也大大增加。本文结合应用简要分析了“三合一”系统加强介质管理对优化涉密信息系统保密安全防护的作用。 摘 要涉密信息系统 移动存储介质 保密管理 流程优化 中图分类号:TP3091 文献标识码:A 文章编号:1009-914X(2016)01-0307-01 引言:近年来出现的“维基解密”和“棱镜门”等涉及泄露国家秘密的事件让世界各国更加重视对有关重要秘密的安全保密工
2、作,许多国家也及时对本国法律进行了补充、完善。我国一直以来都非常重视对各涉密单位和机构有关涉密信息的管理和安全防护工作,不但注重从法规、制度上完善保密体系的建设,也十分关注将新科技运用于其中,为保密工作提供可靠的技术保障。根据近些年来信息技术被广泛应用的实际情况,仅从 1998 年至今保密主管部门就多次下发关于涉密信息系统防护安全产品技术要求的保密技术标准,以加强从技术防护能力,结合管理制度建设提升整体的保密安全防护水平。 一、当前在移动存储介质管理中存在的问题 1、信息化建设程度不足,信息传递方式落后 科研生产单位存在大量的涉密单机、涉密便携式计算机,这些不联网的涉密计算机还需要与外界进行信
3、息交换,移动存储介质就成为其与外界进行信息交换的主要方式。由于移动存储介质本身具有隐蔽性强、易感染病毒等特点,因此给日常管理带来更大挑战,也易产生更多安全隐患。 2、涉密移动介质管理不到位,存在诸多漏洞 一些单位对于涉密移动介质加强管理的重要性意识不到位,疏于管理,制度建设也相对滞后,在实际使用中出现介质未进行严格密级划分,从而在工作中造成各密级移动介质混用甚至涉密介质和非涉密介质交叉使用的违规情况;其次在涉密介质借用、使用、归还和报废销毁等环节未严格按照有关规定办理审查批准手续,形成极大的泄密威胁;另外内部使用移动存储介质前不进行病毒查杀,使用后不将有关文件及时清理、删除,长期在移动介质内保
4、存,不但易造成病毒文件在涉密计算机之间相互传递形成安全攻击,也使介质在交换轮流使用时造成涉密内容被违规扩大知悉范围。 3、信息技术迅速发展,移动存储防护亟待提高 信息技术发展速度可谓日新月异,窃密形式也层出不穷,技术手段更加高超,泄密隐患无处不在,保密安全防不慎防,但移动存储介质的使用不可避免,繁杂的保密管理流程严重影响了采用移动存储介质进行信息交换的效率,移动存储防护技术亟待提高。 二、涉密系统移动存储介质使用流程优化 过去对于涉密内网系统的移动介质的防护手段采用过物理封闭 USB端口、注册表禁用 USB 设备以及主机审计监控系统等方法,本着“既有利保密管理又便于工作开展”的理念,也就要求提
5、升保密管理的方法和手段,随着技术水平不断进步,信息系统内部管控技术发展到了内网综合防护的第三阶段。各安全保密产品科研生产单位,接受国家保密主管部门委托研制开发适用于新形势下的保密工作需要,根据国家保密局有关保密工作规范文件的要求出发,研制开发保密技术防护专用系统(简称“三合一”系统) 。三合一系统主要是因为它是包含一套专用管理监控审计系统软件、一部多功能导入装置以及一个专用的移动存储介质三部分组成而得名。是将安全监控系统与综合审计系统紧密相联系,相互配合。从自动阻断违规行为和及时报警以及科学统计分析全方位对涉密信息实施安全防护,防止出现恶意攻击和窃密事件。 “三合一”系统的研发对军工企业信息保
6、密安全产生了巨大影响,优化和创新了信息输入输出流程,具有十分重要意义。 1、三合一系统构成简述 三合一系统软件由三个子系统组成:专用的内部网络终端监控管理系统、移动设备管理系统和违规外联系防范及预警系统,各系统既相互独立配置服务器、数据中心和系统设置,又相互关联,通过统一的管理中心可实现数据共享和安全策略同步下发。在系统部署思维考虑将整个系统划分为涉密工作区、中间交换区、非涉密区,分别负责对涉密终端主机监控、涉密移动介质管理、审计和非涉密区域的信息通过专用介质单向导入涉密区域的行为审计;以及涉密区域内各客户终端出现违规外联行为时进行网络阻断和信息报警功能的实现。 2、专用硬件配置,有效阻断 三
7、合一系统最大的改进之处就是对涉密介质管理理念的改进,引入了专门的涉密移动介质管理系统模块和多功能的专用导入设备加强外部信息导入涉密信息这环节的操作管控。 这样的硬件改进杜绝了摆渡型木马附加在普通 USB 介质进入涉密网络窃取并发送涉密信息,同时方便了涉密网络和涉密单机之间的信息交换,尽可能避免了通用 USB 接口移动存储介质错误插入涉密计算机及涉密专用移动存储介质错误插入非涉密计算机的可能。加以在涉密环境严格专用移动介质使用、管理制度,可以有效防范涉密介质与非涉密介质在同一台计算机设备上的通用接口使用而发生交叉使用带来安全隐患的情况。 3、流程优化设计强化介质安全管理 为达到三合一系统对移动介
8、质更好管理的目的,在使用专用导入设备和专用介质的基础上配合科学的管理流程设计是提升管理效能的很好手段。涉密系统内的介质使用的流程管理主要包含文件导入的流程与文件输出的流程两类。 信息导入的详细操作流程如图,可以看出将外来移动存储介质接入涉密中间转换计算机的多功能导入设备 1 上的通用 USB 端口,用中间机所安装的杀病毒软件进行病毒扫描查杀,在确保导入文件不存在病毒和木马威胁的情况下拷贝到专用的涉密存储介质中,然后再将专用移动介质接入到信息导入机的多功能导入设备 2 上,最后完成外部信息到涉密内网的信息导入,省去了涉密中间转换机到信息导入机的光盘转刻。 内部信息的输出过程区分涉密与非涉密两种不
9、同情况,非涉密的信息输出可在非涉密输出计算机采用光盘刻录的方式,而涉密信息的输出应通过涉密输出机将需要出网的涉密信息刻盘导出网络或将信息通过多功能导入设备 3 输出到涉密专用移动存储介质内。 在严格审批流程和采用集中办理的基础上灵活使用多功能专用设备和专用移动介质实现文件单向传递,可防止出现涉密介质与非涉密介质交叉使用带来泄密风险。同时在操作过程中减少了“非密中间机”的使用,从而减少了因过程繁琐或误操作带来安全风险的可能。 结语:在涉密信息系统中引入综合防护理念,辅助配合使用“三合一”管理系统,阻断涉密计算机违规连接互联网,控制涉密专用 U 盘使用,提供通用 USB 移动存储介质数据单向导入涉密计算机并能够对管理员及用户的操作行为进行审计的功能。加以角色授权、流程设计以及专用设备的科学运用可以为更好防范通过移动介质窃取涉密信息的风险,提高涉密系统整体保密安全管理能力。 参考文献 1 郑晨阳,曹蓉蓉,电子政务环境下移动存储载体安全使用对策J. 信息网络安全 2009(03) 2 高志鹏,徐志强,吴世雄,叶春民,硬盘自擦除技术的研究J. 信息网络安全 2012(12) 3 王利,刘畅,贾弘毅,制造业内网安全解决之策J. 信息安全与技术 2011(05)
