張明春

（鄭州海諾電子科技有限公司，河南 鄭州 450000）

涉密信息在計(jì)算機(jī)保密管理中的隱患及對(duì)策研究

張明春

（鄭州海諾電子科技有限公司，河南 鄭州 450000）

當(dāng)前我國(guó)信息技術(shù)發(fā)展速度很快，各企事業(yè)單位的業(yè)務(wù)管理活動(dòng)對(duì)信息系統(tǒng)的應(yīng)用不斷加大，對(duì)此需要做好涉密信息保密管理工作，保證不出現(xiàn)問(wèn)題。很多企業(yè)都很重視信息化建設(shè)，其中涉密信息對(duì)企業(yè)發(fā)展影響很大，在網(wǎng)絡(luò)共享化環(huán)境中，企業(yè)逐步加大了對(duì)計(jì)算機(jī)保密管理工作，尤其是重視涉密信息的管理。文章將簡(jiǎn)述涉密信息在計(jì)算機(jī)保密管理中的隱患，并提出了具體可行的對(duì)策。

涉密信息；計(jì)算機(jī)保密管理；信息技術(shù)

隨著互聯(lián)網(wǎng)的發(fā)展與普及，涉密信息主要通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)存儲(chǔ)，如國(guó)家政治、經(jīng)濟(jì)和軍事秘密等通過(guò)計(jì)算機(jī)對(duì)信息進(jìn)行存儲(chǔ)與處理。由此可見(jiàn)，“信息化戰(zhàn)略”逐步成了今后發(fā)展的主流趨勢(shì)，計(jì)算機(jī)涉密信息保密管理工作也變得越來(lái)越重要。對(duì)企業(yè)而言，更要注重對(duì)涉密信息的保密管理，深入分析現(xiàn)階段存在的隱患，有針對(duì)性地采取解決辦法，這樣才能避免出現(xiàn)涉密信息泄露的問(wèn)題，為自身的發(fā)展創(chuàng)造良好的條件。

1 涉密信息在計(jì)算機(jī)保密管理中的隱患

因?yàn)楦髌笫聵I(yè)單位有著極其復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)，對(duì)各種安全軟件而言，也很難實(shí)現(xiàn)兼容聯(lián)動(dòng)，用戶(hù)意識(shí)不強(qiáng)，運(yùn)用軟件時(shí)能力也有高有低，造成涉密信息在計(jì)算機(jī)保密管理中還有很多問(wèn)題，具體而言包括以下3點(diǎn)：（1）涉密計(jì)算機(jī)終端操作不當(dāng)與外界設(shè)備。以前計(jì)算機(jī)保密管理工作重點(diǎn)是預(yù)防外部入侵，未實(shí)行有效的計(jì)算機(jī)入網(wǎng)監(jiān)管措施，很多用戶(hù)存在著越權(quán)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行操作的情況，同時(shí)也未嚴(yán)格檢查外接設(shè)備，及時(shí)處理存在的安全隱患，這樣與內(nèi)部網(wǎng)絡(luò)連接，這樣會(huì)讓黑客、病毒等有了入侵的途徑。（2）移動(dòng)存儲(chǔ)介質(zhì)交叉使用。移動(dòng)存儲(chǔ)介質(zhì)在涉密計(jì)算機(jī)與其他信息網(wǎng)絡(luò)之間交互使用，因?yàn)槠渚邆渥x寫(xiě)信息雙向性特點(diǎn)，所以容易引起病毒、木馬在涉密網(wǎng)中傳播，造成大范圍感染，并出現(xiàn)涉密信息泄露的問(wèn)題[1]。如果通過(guò)光盤(pán)的信息交互，不僅將浪費(fèi)光盤(pán)，還將由于過(guò)程的繁雜，造成處理速度降低。（3）不同的安全產(chǎn)品缺乏較好的兼容聯(lián)動(dòng)性。為加強(qiáng)計(jì)算機(jī)保密管理工作，確保涉密信息的安全，需要做好物理安全、運(yùn)行安全和信息安全保密等環(huán)節(jié)的工作。但是從已有的安全產(chǎn)品防護(hù)功能上看，通常只側(cè)重于信息系統(tǒng)某個(gè)方面，無(wú)法按照用戶(hù)安全需求裁剪系統(tǒng)功能，加之各安全產(chǎn)品間兼容聯(lián)動(dòng)性不強(qiáng)，在發(fā)生問(wèn)題后不能立即處理，既增加了管理人員的工作量，還影響了安全產(chǎn)品整體功效的發(fā)揮。

2 加強(qiáng)計(jì)算機(jī)涉密信息保密管理工作的對(duì)策

2.1 物理安全

企業(yè)一般會(huì)將視頻監(jiān)控系統(tǒng)、入侵探測(cè)系統(tǒng)和報(bào)警系統(tǒng)等安裝在涉密信息系統(tǒng)工作區(qū)的出入口，在采購(gòu)、使用及維護(hù)設(shè)備的過(guò)程中，應(yīng)將相關(guān)控制措施做到位。不僅要采用上述方法，在采購(gòu)時(shí)也要堅(jiān)持合理應(yīng)用控制方法，使用高性能的服務(wù)器、存儲(chǔ)器及網(wǎng)絡(luò)設(shè)備等，對(duì)應(yīng)用系統(tǒng)而言，主要采用具備涉密信息系統(tǒng)軟件單項(xiàng)開(kāi)發(fā)資質(zhì)廠家的產(chǎn)品，安全產(chǎn)品要具備較強(qiáng)的自我保護(hù)能力，能夠通過(guò)相關(guān)測(cè)評(píng)機(jī)構(gòu)的檢測(cè)。對(duì)技術(shù)層面而言，在對(duì)涉密信息系統(tǒng)進(jìn)行連接的過(guò)程中，先要提交申請(qǐng)，得到信息管理部門(mén)同意后，作出端口綁定和IP-MAC綁定。此外，還優(yōu)化用戶(hù)計(jì)算機(jī)的配置，加強(qiáng)管理，將多的服務(wù)和端口關(guān)閉，設(shè)置口令保護(hù)等[2]。與涉密信息系統(tǒng)連接的計(jì)算機(jī)，先將主機(jī)監(jiān)控審計(jì)軟件安裝好，得到相應(yīng)授權(quán)，而交換機(jī)、安全保密設(shè)備等無(wú)法按照這個(gè)軟件，需要先獲得信息管理部門(mén)的授權(quán)，之后才能訪(fǎng)問(wèn)網(wǎng)絡(luò)資源。此外，將保密管理系統(tǒng)在計(jì)算機(jī)終端上安裝好，以此加強(qiáng)涉密管理，當(dāng)其與外部互聯(lián)網(wǎng)連接后，會(huì)對(duì)這種行為進(jìn)行記錄，并阻斷違規(guī)外聯(lián)行為。該系統(tǒng)能夠有效控制計(jì)算機(jī)終端光驅(qū)、軟驅(qū)及其他移動(dòng)存儲(chǔ)介質(zhì)，注冊(cè)涉密專(zhuān)用U盤(pán)的過(guò)程中，需要進(jìn)行口令保護(hù)，從而只可以用到某個(gè)涉密區(qū)域內(nèi)。若是缺少授權(quán)，或者是口令不合法，則無(wú)法進(jìn)行非授權(quán)查閱、復(fù)制和獲取，有效保證了涉密信息的安全。

2.2 運(yùn)行安全

一是對(duì)重點(diǎn)數(shù)據(jù)信息進(jìn)行備份與恢復(fù)，制定科學(xué)的系統(tǒng)恢復(fù)方案，對(duì)于網(wǎng)絡(luò)核心層而言，應(yīng)采用雙機(jī)熱備方法。安裝程序和軟件中形成的數(shù)據(jù)，需要進(jìn)行復(fù)制備份，數(shù)據(jù)庫(kù)內(nèi)將實(shí)行自動(dòng)遠(yuǎn)程備份的措施，對(duì)很多關(guān)鍵信息數(shù)據(jù)而言，要通過(guò)備份軟件自動(dòng)對(duì)數(shù)據(jù)進(jìn)行備份。二是將主機(jī)審計(jì)監(jiān)控和補(bǔ)丁分發(fā)系統(tǒng)設(shè)置在涉密信息系統(tǒng)內(nèi)部，可以持續(xù)將探測(cè)信息發(fā)出來(lái)，只要有非授權(quán)設(shè)備，控制中心將發(fā)出指令，這樣就無(wú)法使用網(wǎng)絡(luò)資源，同時(shí)形成審計(jì)信息[3]。管理人員利用這個(gè)系統(tǒng)，能夠統(tǒng)一控制管理全部涉密計(jì)算機(jī)，這樣聯(lián)網(wǎng)計(jì)算機(jī)可以得到集中防護(hù)，實(shí)現(xiàn)了系統(tǒng)安全性的提升。還要將網(wǎng)絡(luò)版殺毒軟件與漏洞掃描產(chǎn)品安裝在涉密信息系統(tǒng)內(nèi)部，讓所有具備IP地址的設(shè)備通過(guò)木馬程序查殺，并進(jìn)行漏洞檢測(cè)，這樣才能解決系統(tǒng)內(nèi)所有的風(fēng)險(xiǎn)。

2.3 信息安全保密

為加強(qiáng)計(jì)算機(jī)保密管理工作，為涉密信息提供安全保護(hù)，要對(duì)充分考慮到產(chǎn)品防護(hù)兼容聯(lián)動(dòng)性。在對(duì)信任度高的用戶(hù)進(jìn)行訪(fǎng)問(wèn)控制的時(shí)候，需要采取先隔離再放開(kāi)的方法，用戶(hù)必須先獲得授權(quán)，才能使用系統(tǒng)資源。要利用交換機(jī)端口、IP地址以及介質(zhì)訪(fǎng)問(wèn)控制層（Media Access Control，MAC）地址綁定，這樣可以加強(qiáng)主機(jī)監(jiān)控審計(jì)系統(tǒng)和統(tǒng)一身份認(rèn)證網(wǎng)關(guān)的聯(lián)動(dòng)，用戶(hù)之后獲得相關(guān)授權(quán)，才能進(jìn)行接入。交換機(jī)要作虛擬局域網(wǎng)（Virtual Local Area Network，VLAN）設(shè)置，這樣在服務(wù)器域以外應(yīng)用的所有安全域與VLAN作出邏輯公立，既要采用統(tǒng)一身份認(rèn)證網(wǎng)關(guān)，并采用先進(jìn)防火墻技術(shù)，用戶(hù)在得到授權(quán)后，可以訪(fǎng)問(wèn)規(guī)定范圍內(nèi)的IP地址端口。對(duì)所有安全域而言，應(yīng)發(fā)揮出防火墻技術(shù)的作用，實(shí)現(xiàn)與服務(wù)器域的通信，這樣防火墻和核心交換機(jī)端口連接后，能夠讓所有入侵檢測(cè)系統(tǒng)接入端口獲得映射，從而每個(gè)數(shù)據(jù)在進(jìn)出服務(wù)器域的過(guò)程中，可以得到有效的檢測(cè)。此外，網(wǎng)絡(luò)安全漏洞掃描系統(tǒng)應(yīng)與核心交換機(jī)進(jìn)行接入，讓系統(tǒng)中可以檢測(cè)各個(gè)網(wǎng)絡(luò)通信設(shè)備，查找出漏洞，通過(guò)各個(gè)系統(tǒng)的有效聯(lián)動(dòng)，能夠快速對(duì)攻擊事件源進(jìn)行隔離與消除，從而有效防止涉密信息系統(tǒng)被攻擊的情況出現(xiàn)。要打造保密管理信息化平臺(tái)，全面控制計(jì)算機(jī)保密管理工作，采取集中管理打印的方法，并對(duì)打印內(nèi)容進(jìn)行審計(jì)與監(jiān)控，光盤(pán)刻錄采取審計(jì)與監(jiān)控[4]。對(duì)應(yīng)用系統(tǒng)管理而言，主要選擇三權(quán)分立的管理模型，管理人員通過(guò)對(duì)用戶(hù)權(quán)限的文檔化，用系統(tǒng)賬戶(hù)表作出備案，按照最小權(quán)分配的方式，在安全標(biāo)簽的基礎(chǔ)上，加大訪(fǎng)問(wèn)控制力度，同時(shí)要與統(tǒng)一身份認(rèn)證網(wǎng)絡(luò)進(jìn)行聯(lián)動(dòng)，并運(yùn)用強(qiáng)制訪(fǎng)問(wèn)控制等方法，這樣信息屬主才不會(huì)故意出現(xiàn)泄密情況，避免了出現(xiàn)越級(jí)訪(fǎng)問(wèn)的情況，有力保護(hù)了信息數(shù)據(jù)的安全，讓傳統(tǒng)自主訪(fǎng)問(wèn)控制機(jī)制的問(wèn)題得以解決。要合理選用屏蔽干擾措施，可以使用電磁屏蔽機(jī)柜和線(xiàn)路傳導(dǎo)干擾器等，將各個(gè)信息設(shè)備及傳輸線(xiàn)路等保護(hù)措施做到位。在管理信息交互和移動(dòng)介質(zhì)的時(shí)候，要加強(qiáng)系統(tǒng)與網(wǎng)關(guān)的聯(lián)動(dòng)，不斷提升信息的高效性與交互性，移動(dòng)存儲(chǔ)介質(zhì)使用才更加安全，管理水平也能得到提升，并及時(shí)監(jiān)控與切斷違規(guī)外聯(lián)。此外，采取管理KEY和管理軟件結(jié)合起來(lái)的方法，讓單臺(tái)涉密計(jì)算機(jī)拓展和管理更為安全與方便。

3 實(shí)施效果

采取以下方法加強(qiáng)計(jì)算機(jī)涉密信息的保密管理，主要目的是在確保物理安全與運(yùn)行安全的前提下，讓涉密信息在生產(chǎn)、處理、存儲(chǔ)和傳遞等過(guò)程中的完整性和保密性得到提升，同時(shí)也更加便捷與可用。一是加強(qiáng)了對(duì)涉密計(jì)算機(jī)違規(guī)外聯(lián)健監(jiān)控。通過(guò)采取以上措施，把監(jiān)控系統(tǒng)程序在所有涉密計(jì)算機(jī)內(nèi)安裝好，當(dāng)發(fā)生違規(guī)與國(guó)際互聯(lián)網(wǎng)相連，系統(tǒng)將會(huì)把警報(bào)信息發(fā)送到監(jiān)控中心，同時(shí)對(duì)該違規(guī)外聯(lián)作出阻斷，這樣報(bào)警中心將接收到報(bào)警信息。二是對(duì)計(jì)算機(jī)接口與外聯(lián)設(shè)備實(shí)行嚴(yán)格的管理。對(duì)涉密計(jì)算機(jī)接口與外界設(shè)備進(jìn)行有效的控制，通過(guò)設(shè)備過(guò)濾驅(qū)動(dòng)，讓用戶(hù)自定義設(shè)備得到控制，常用方行與禁用兩種措施，這樣設(shè)備與接口管理效率才能得到提升。三是發(fā)生產(chǎn)生涉密介質(zhì)交叉運(yùn)用的狀況[5]。對(duì)涉密計(jì)算機(jī)內(nèi)安裝的涉密移動(dòng)存儲(chǔ)介質(zhì)，要加強(qiáng)注冊(cè)管理，且必須用于安裝有涉密計(jì)算機(jī)及移動(dòng)存儲(chǔ)介質(zhì)保密管理系統(tǒng)的涉密計(jì)算機(jī)中，但是普通介質(zhì)不能安裝涉密計(jì)算機(jī)及移動(dòng)存儲(chǔ)介質(zhì)保密管理系統(tǒng)，必須借助多功能信息導(dǎo)入設(shè)備，這樣涉密計(jì)算機(jī)才會(huì)導(dǎo)入單向信息，從而防止發(fā)生異動(dòng)存儲(chǔ)介質(zhì)交叉運(yùn)用的狀況，讓病毒和木馬程序傳播的途徑被切斷，從而保證了涉密信息的安全。四是保證各安全軟件有更加強(qiáng)大的兼容聯(lián)動(dòng)性。當(dāng)前應(yīng)對(duì)兼容聯(lián)動(dòng)性作充分的考慮，將核心交換機(jī)中的各項(xiàng)安全系統(tǒng)安裝到位，實(shí)現(xiàn)訪(fǎng)問(wèn)、流向兩種控制系統(tǒng)的有效聯(lián)動(dòng)，這樣才能解決攻擊事件源。不僅如此，在網(wǎng)關(guān)、監(jiān)控審計(jì)和補(bǔ)丁分發(fā)系統(tǒng)的聯(lián)動(dòng)之下，這樣身份鑒別、訪(fǎng)問(wèn)控制、補(bǔ)丁分發(fā)以及信息交互等的控制才能得到加強(qiáng)，并將服務(wù)器內(nèi)安裝好安全內(nèi)核加固系統(tǒng)，保證從整體上增強(qiáng)服務(wù)器的安全性與透明性，能夠達(dá)到規(guī)定的標(biāo)準(zhǔn)，從而最大限度避免出現(xiàn)漏洞攻擊的問(wèn)題。管理員應(yīng)充分發(fā)揮出日志管理系統(tǒng)的作用，讓涉密計(jì)算機(jī)得到有效的審計(jì)，確保及時(shí)診斷與排除存在的故障。

4 結(jié)語(yǔ)

總之，隨著時(shí)代的發(fā)展與進(jìn)步，讓計(jì)算機(jī)保密管理工作面臨著更大的挑戰(zhàn)。為避免涉密信息出現(xiàn)泄漏的問(wèn)題，需要充分認(rèn)識(shí)到涉密信息在計(jì)算機(jī)保密管理工作中的隱患，有針對(duì)性采取解決措施，這樣才能確保涉密信息的完整性，最大限度減少其為企業(yè)帶來(lái)的損失。此外，企業(yè)還要引起高度的重視，注重新技術(shù)與新方法的應(yīng)用，全方位、多層次做好計(jì)算機(jī)保密管理工作，提升涉密信息的安全性與可靠性，并嚴(yán)格執(zhí)行各項(xiàng)規(guī)章制度，有效降低出現(xiàn)涉密信息被盜取的風(fēng)險(xiǎn)，為自身的發(fā)展創(chuàng)造更加有利的條件。

[1]張敬華.涉密信息在計(jì)算機(jī)保密管理中的隱患與對(duì)策[J].中國(guó)新通信，2017（3）：62.

[2]張宇佳.涉密信息在計(jì)算機(jī)保密管理中的隱患與對(duì)策[J].信息通信，2015（12）：187-188.

[3]黃俊儀.涉密信息在計(jì)算機(jī)保密管理中的隱患與對(duì)策[J].中國(guó)新通信，2014（21）：18.

[4]黃貴寧.涉密信息在計(jì)算機(jī)保密管理的隱患與對(duì)策[J].計(jì)算機(jī)安全，2014（2）：52-56.

[5]張富強(qiáng).淺析涉密環(huán)境下的公司網(wǎng)絡(luò)安全[J].才智，2013（15）：275.

Study on hidden dangers and countermeasures of classified information in computer security management

Zhang Mingchun
（Zhengzhou Heino Technology Co., Ltd., Zhengzhou 450000, China）

At present, the development of information technology in our country is very fast, and the business management activities of enterprises and institutions are constantly increasing. In this regard, it needs to do a good job of classified information security management to ensure that no problems arise. Many enterprises have attached importance to the informatization construction, among them, classified information has a great influence on the development of enterprises. In the network sharing environment, enterprises have gradually increased the management of computer security, especially the management of classified information. This paper introduces the hidden dangers of classified information in computer security management, and puts forward some concrete and feasible countermeasures.

classified information; computer security management; information technology

張明春（1986— ），男，河南周口人，建造師，學(xué)士；研究方向：保密管理和信息安全。