邊防部隊計算機終端數(shù)據(jù)防泄漏技術的探討

【 摘 要 】 論文以網(wǎng)絡準入確認信息發(fā)送者、接收者的身份為基礎，建立起計算機終端涉密文檔敏感數(shù)據(jù)庫，并對數(shù)據(jù)庫文件實施安全定級，應用模糊匹配法、精確匹配法，實現(xiàn)了發(fā)現(xiàn)和控制計算機終端敏感文庫，并提出了運用傳輸指紋庫技術、白名單機制，實現(xiàn)了在傳輸網(wǎng)絡數(shù)據(jù)中成功管理涉密敏感文檔數(shù)據(jù)，進而提高了邊防部隊工作的效率。

【 關鍵詞 】 邊防部隊；計算機終端數(shù)據(jù)；防泄漏技術

【 Abstract 】 This paper on network access confirmed the identity of the sender and receiver based， to establish sensitive computer terminal secret document database， and security classification of the implementation of the database files. Application of fuzzy matching method， the exact matching method， to realize the detection and control of computer terminal sensitive library， and puts forward the application of transmission of fingerprint technology， white list mechanism， realize the successful management of confidential document data in the data transmission network， and improve the efficiency of the frontier forces work.

【 Keywords 】 frontier forces； computer terminal data； anti leakage technology

1 引言

在公安邊防信息技術不斷發(fā)展下，很多業(yè)務數(shù)據(jù)都需要在網(wǎng)絡環(huán)境中處理。但最近幾年來，發(fā)生了很多起網(wǎng)絡信息泄密的事件，對我國信息的安全有著很大的威脅。發(fā)生這樣的事件，直接表明當前我國邊防部隊內部信息系統(tǒng)安全保密工作做得不好，存在很多問題?；诖耍疚奶岢鼋鉀Q這些問題的辦法，希望能夠為邊防部隊信息安全部門起到借鑒的作用。

2 網(wǎng)絡準入與定期健康檢查

2.1 “一機兩用”作為入網(wǎng)合規(guī)性的主要要求

在互聯(lián)網(wǎng)中，用戶終端計算機沒有安裝或者安裝不及時終端計算機，一旦在接入網(wǎng)絡后，就很有可能讓潛在安全威脅進入，讓安全威脅在大范圍、大規(guī)模的擴散，從而致使內部信息出現(xiàn)泄漏的隱患。從本質上而言，網(wǎng)絡安全是管理問題，內部信息管理應從用戶終端安全接入網(wǎng)絡控制上著手實施，對接入網(wǎng)絡用戶終端實施定期或者不定期的健康檢查，不斷提高計算機終端防御病毒能力，進而避免計算機終端泄密應做好幾點工作：（1） 在公安網(wǎng)范圍內，構建起嚴格、有效的認證身份結構體系；（2） 準確判定外端設備，并對其控制；（3） 嚴格檢測公安網(wǎng)計算機終端的合法性、科學性。

內部信息網(wǎng)絡層防護重點是對公安網(wǎng)計算機終端入網(wǎng)實施身份認證，也就是用戶準入機制的構建，一機兩用監(jiān)控作為公安網(wǎng)準入的根本要求，在注冊計算機終端成功之后，也就是通過了認證，一機兩用監(jiān)控結構體系就是及時采用綁定IP/MAC方式，對終端網(wǎng)絡配置實施鎖定，同時監(jiān)測終端網(wǎng)絡聯(lián)網(wǎng)基本狀況，避免違規(guī)外聯(lián)情況的發(fā)生，一旦出現(xiàn)這一情況，應及時報警。

2.2 入網(wǎng)控制的主要方法

在確定出IP地址唯一性的前提下，公安網(wǎng)計算機基礎環(huán)境監(jiān)測終端入網(wǎng)行為通常都是借助于分析通信協(xié)議而完成的，查看和分析是否出現(xiàn)流量異常的行為，一旦有數(shù)據(jù)包突增的情況下，要在第一時間內報警，并對其檢測是否正常，如果是一些帶有攻擊性的數(shù)據(jù)，要及時通過有關設備對其阻止，防止其繼續(xù)傳播。想要使此方法有效，應借助于專用設備中所具有的協(xié)議分析功能，對網(wǎng)絡拓撲科學規(guī)劃，這可以減少成本，但也有不足之處，劃分子網(wǎng)太多，雖然能夠將不正常的廣播數(shù)據(jù)屏蔽，但是也會使網(wǎng)絡拓撲越發(fā)復雜。

3 信息數(shù)據(jù)傳輸全過程數(shù)據(jù)防護對策

3.1 分級數(shù)據(jù)

在上文中所闡述的公安邊防部隊文件、密級、組織等，只是為講述有關內容而對其設置的，其實際應用還要結合具體情況而言。核心數(shù)據(jù)：保密等級最高，需對其嚴格保護；重要數(shù)據(jù)：保密等級為中等，應要重點保護的數(shù)據(jù)信息，適宜在機涉密網(wǎng)中進行；內部數(shù)據(jù)：保密等級一般，所需要的保護的數(shù)據(jù)信息，一般都是公安內部網(wǎng)的資料；公開數(shù)據(jù)：對公安內部人員所公開的數(shù)據(jù)，在內部網(wǎng)上所發(fā)布的數(shù)據(jù)信息。

3.2 規(guī)劃角色屬性

對于保密主體而言，其創(chuàng)造文件者、使用文件者都將納入其中，在保密體系中的人員必須應與自身所負責的工作和角色所關聯(lián)，除了高層領導者之外，無論哪個跨組織或者跨角色的人員使用文件都要受到限制。

（1） 在技術手段的利用下，對角色身份進行確認，在有關信息系統(tǒng)中確認身份；（2） 角色并不是一成不變的，在角色職權范圍有變動時，有關文件使用層次和范圍也應發(fā)生相應的變動，但在實際執(zhí)行過程中，很難做到，必須要有強有力的制度體系才能做好這項工作；（3） 使用文件的范圍，應結合各角色關系，在技術手段上對其控制。

3.3 對比數(shù)據(jù)防護技術

在實際應用數(shù)據(jù)防泄漏過程中，每一類防護技術都有各自的實現(xiàn)原理和特性，具體表如表1所示。

從表1中能夠看出，無論是加密類、過濾類，還是控制類的數(shù)據(jù)防泄漏技術，既有優(yōu)點，也有不足，特別是在一些因素的影響下，導致數(shù)據(jù)防泄漏中還有很多問題。在這樣的情況下，用戶想要更安全的保護信息，就要采購多種安全防護產品，希望能夠在大投入、多設備的管理下，實現(xiàn)信息安全管理。但每個產品在整體設計上都有缺陷，不同廠商兼容性、配合度都很低，往往都達不到用戶安全管理數(shù)據(jù)的目的。

4 網(wǎng)絡層涉密數(shù)據(jù)傳輸檢查與防護

4.1 識別傳輸敏感數(shù)據(jù)

在工作過程中，F(xiàn)TP、即時通信工具、E-mailD等傳輸數(shù)據(jù)都成為了家常便飯，但也正因為如此，泄露數(shù)據(jù)形式和渠道越發(fā)多樣，五花八門的網(wǎng)絡泄密案件為邊防部隊帶來了很大的工作壓力。為了能夠保護信息安全，必須要監(jiān)控網(wǎng)上信息。為了確保內部信息的安全，基于多種保護信息安全的技術，降低泄露敏感數(shù)據(jù)的風險。對關鍵字過濾技術的敏感性監(jiān)控系統(tǒng)對其進行部局，對終端信息安全動態(tài)實時監(jiān)控，在發(fā)現(xiàn)匹配信息的第一時間內，就給廣大用戶提示，并將其上報給上級部門，爭取及時制止違規(guī)違法行為。

（1） 檢測發(fā)送者、接收者的身份，在傳輸網(wǎng)絡數(shù)據(jù)中，公安邊防部已經(jīng)建立健全的角色和數(shù)據(jù)映射關系，對發(fā)送者和接收者的屬性實施檢測，進而實現(xiàn)數(shù)據(jù)在安全領域內傳輸。（2） 數(shù)據(jù)傳輸白名單的構建。為了避免公安邊防部隊出現(xiàn)泄露數(shù)據(jù)信息的情況，在分類分級數(shù)據(jù)中，構建起完善的白名單傳輸系統(tǒng)，確保敏感數(shù)據(jù)在網(wǎng)絡系統(tǒng)中良好傳播。

4.2 構建起數(shù)據(jù)傳輸指紋庫

在公安網(wǎng)絡傳輸數(shù)據(jù)中包括結構化數(shù)據(jù)、非結構化數(shù)據(jù)兩種類型。結構化數(shù)據(jù)就是在數(shù)據(jù)庫中的數(shù)據(jù)；非結構化數(shù)據(jù)文本、報表、音頻、辦公文檔等文件。

（1） 檢測非結構化數(shù)據(jù)指紋。即檢測非結構化數(shù)據(jù)指紋的生成，構建出敏感的數(shù)據(jù)指紋特征庫。在檢測中，系統(tǒng)自動對比需要檢測的數(shù)據(jù)指紋特征和受保護的文檔指紋特征，并給出檢測結果，一旦二者的相似度已大于閾值，就可以得出需要檢測的非結構數(shù)據(jù)里有敏感數(shù)據(jù)這一結論，然后立即對其阻斷。

（2） 結構化數(shù)據(jù)指紋的檢測。先要對需要保護的公安邊防部隊數(shù)據(jù)庫表關鍵單元格構建出結構化指紋庫。在對其實時檢測中，將需要檢測的指紋特征和受保護的結構化指紋特征對比，一旦發(fā)現(xiàn)其中出現(xiàn)公安邊防部隊關鍵字數(shù)據(jù)表特征中的內容，將其視為敏感性的內容，及時阻斷。

5 結束語

總之，公安網(wǎng)絡具有多變性、復雜性等特征，也正是因此如此，決定了公安網(wǎng)絡中會存在著安全威脅。在科學技術快速發(fā)展的今天，對計算機網(wǎng)絡技術的依賴越發(fā)加大，公安部門也毫不例外。為了能夠確保網(wǎng)絡通信系統(tǒng)的安全、有效，在計算機終端數(shù)據(jù)防泄漏工作中，公安邊防部門也要在網(wǎng)絡技術的提高下，不斷提高、不斷加強，及時清除一切安全隱患，確保網(wǎng)絡系統(tǒng)的正常、安全運行。

參考文獻

[1] 石波，王紅艷，郭旭東.基于業(yè)務白名單的異常違規(guī)行為監(jiān)測研究[J].信息網(wǎng)絡安全，2015，（09）.

[2] 周益周，謝小權.云環(huán)境下基于VMI技術的入侵檢測架構研究[J].電子設計工程，2016，（01）.

[3] 周益周，王斌，謝小權.云環(huán)境下軟件定義入侵檢測系統(tǒng)設計[J].信息網(wǎng)絡安全，2015，（09）.

作者簡介：

施然（1981-），男，云南昆明人，本科學歷，助理工程師；主要研究方向和關注領域：計算機網(wǎng)絡研究。