探索信息化安全保密的方法与策略
王志东
中国核工业第二四建设有限公司信息与文档中心
【摘要】在人们享受高速方便信息化的同时,如何保障信息安全问题已越来越引起人们的注意,本文通过对信息化高速发展时期信息安全与保密的论述,提出自己的观点,对企业信息化建设重新定位,通过构思信息安全管理体系来实现信息安全与保密的系统思想理念, 以适应信息技术飞速发展对信息保密的迫切需要。
【关键词】信息化安全 信息化保密 信息化管理
一、 企业信息化安全保密工作面临的现状:
2000年4月,某军工集团下属研究所一职工家中失窃,一台存贮有重要涉密信息的笔记本电脑被盗。
11月,某市纪委案件管理专用的计算机被盗。该机存有1998年以来的信访、初核、立案、申诉等秘密资料。
2001年2 月,某省检察院反贪局一微机主机箱被盗,该主机箱内硬盘上存有1995年以来该省反贪局所办案件内部请示报告和法律文书及反贪工作主要数据。
3 月,某大学科技处副处长和一位副教授携带装有大量涉密软盘的密码箱到北京申报科研开发项目。返回学校后,才发现密码箱丢失。密码箱中装有大量涉及国防军工科研项目的软盘、论证材料。
4 月,中科院上海某研究所一研究员来京参加重要会议,所携带的手提电脑被盗,电脑内存有军工秘密文件若干。
2003年3月,航天科工集团某研究所技术人员王某违反保密管理规定,私自将存有涉密信息的笔记本电脑和移动硬盘带回家。笔记本电脑和移动硬盘被盗,硬盘中存储的1份机密级报告、2份秘密级资料草稿和4份秘密资料草稿失控。
7月,中国船舶重工集团某研究所某项绝密课题报告起草人应某研究单位的要求,误将原稿拷入软盘并委托他人以电子邮件形式发送,造成泄密。
2006年2月,富士康集团计算机机箱设计中心接戴尔的项目需求为戴尔设计几款电脑机箱,4月份,戴尔公司确定其中几款机箱作为2006年6月25日即将推出的新机型的机箱,并且由富士康集团的生产中心负责生产。6月18日,就在距离戴尔新型电脑上市的前一周,在深圳华强北电子市场居然发现有一款机箱与戴尔即将上市的电脑机箱一模一样,很明显这是一个泄密事例了。
2007年9月15日,全国一级建造师资格考试全国统考。最后一门科目《专业工程管理与实务》开考前两分钟,湖北的一个考场,监考老师在考场里发现了考试答案,经核对试卷后发现,答案顺序和试题几乎完全一致,还标注着“题目与答案顺序可能不对,请自己校对”的提醒。
2007年底,因在核电招标中涉嫌泄密,中国技术进出口总公司(下称中技公司)原总裁蒋新生于被中纪委“双规”。
208年3月8日,一篇题为《1997年南航深圳“5·8”空难黑匣子最后12分钟录音!》的帖子在网络疯传,在这篇帖子里,可以听到一段时长为12分44秒的音频,为机长与副驾驶间的对话。黑匣子这么机密的东西是谁把它公布在网上的?
2009 6月12日,福彩双色球第09066期开奖3天后,程伟因为涉嫌篡改深圳福彩中心数据系统伪造中奖号码被罗湖区公安分局抓获。7月8日,深圳警方发布消息,这则巨奖无人认领的事件是一起骗局:深圳电脑工程师程伟利用在福彩中心实施其他技术合作项目的机会,通过对计算机系统植入木马程序,对彩票数据进行了恶意篡改。
2009年7月9日,澳大利亚力拓集团上海办事处的4名员工因涉嫌窃取中国国家秘密被拘留。
据国家保密局不完全统计,2000年以来,计算机被盗、涉密信息失控事件频频发生,目前已占同期上报的泄密事件的20%,给国家安全和企业利益造成严重危害。
随着信息技术的飞速发展,网络信息对国家信息资源及其信息技术的需求越来越大,信息安全保密问题也随之凸显出来,一系列的调查结果及不断发生的信息泄密案件为企业敲响了警钟,使企业意识到,单纯的杀毒、防火墙、加密、备份、数据恢复等仍然无法从核心解决安全问题,因此,加强信息安全保密迫在眉睫。
当前,窃取计算机信息的手段在不断更新,关系整个国家安全的各种信息系统所面临的挑战极其严峻。信息技术的飞速发展,也使泄密的渠道、环节变得更为广泛和隐蔽,传统的行政管理模式已经不能适应信息技术发展的要求,提高防窃密技术的科技含量显得更加突出。 一些重点企业管理员工对信息安全保密工作还存在着模糊认识,有的在信息传递上明密界限不清,密件明发、在非保密电话上谈论涉密问题、不分场合地点使用手机、涉密电脑上互联网、涉密计算机随意外修等等;还有些涉密单位网络信息安全装置形同虚设,内部网络保密防护不力;有相当一部分人员的信息安全知识十分缺乏,在计算机和网络的使用中,重建设、轻防护、重交流、轻保密,使信息安全保密工作存在巨大的安全隐患。
二、 企业信息化安全保密工作与信息化快速发展的矛盾
一是企业信息化发展与信息安全保密的关系问题,信息化发展与信息安全保密关系是辩证统一的,处理得好,安全会有保障并促进发展;处理不好,安全就会制约并牵制信息化的发展。
二是管理和技术在信息安全中的作用问题。信息安全问题的解决需要技术,但又不能单纯依靠技术,信息化的过程其实是人与技术相互融合的过程,如何使管理与技术相得益彰十分重要。
三是应急处理与长效机制问题。要维护企业网络与信息安全的长治久安,就必须有行之有效的长效机制。但信息安全保密问题在信息化进程中广泛存在,且突发性强,同时又必须强调应急管理,一旦出现影响到企业安全利益的网络与信息安全事件,必须能采取有效措施,控制危机的发展,把损失降低到最低。
三、企业信息化安全保密工作问题分析:
企业信息化发展中之所以存在影响信息安全保密的因素,本人认为源头并非因信息化发展速度太快,而是与泄密企业对信息安全保密的重视程度有关,主要表现在以下几点。
一是领导对信息化安全保密工作的重视不够。企业主要领导一味提倡信息化提速,却忽视信息化安全与保密,使信息安全与保密出现漏洞,一旦出现泄密事件才亡羊补牢,修补漏洞,但已经造成无法挽回的损失。
二是企业管理人员对信息化安全保密认知程度不深。企业工作人员对信息化安全保密规定了解不深,对涉密信息的保密观念淡薄,常常抱着侥幸心理明知故犯,在下班后、出差时随意将涉密信息或计算机带出,公共场合谈论涉密信息,殊不知,谈者无心,听者有意,造成泄漏企业机密。
三是信息化建设与信息化安全保密投资与收益不成正比,导致个别单位对信息化管理应用产生负效应,致使配备的计算机,也是天天打字、填表格,真正利用计算机系统进行信息化处理和辅助办公、管理的广度、深度不够,对信息化安全保密更加是人为可有可无,严重忽视。
四是信息化安全保密应用软件和系统管理接口不合理,配置高性能微机,软件仍然停留在先前水平,软件的更新利用率不高,信息化安全保密工作被盲目认为人员管比软件管更符合企业需要,不肯就安全保密应用软件多加资金投入。
五是信息化安全保密交流与合作不够,造成各成员单位各自为政,引进、开发自己的信息化安全产品,形成了“信息孤岛”现象,难以进行信息化安全系统集成。信息不能共享,造成资源浪费。由于信息沟通交流不畅,一家企业出现安全泄密事件,其它单位不能及时采取措施,修补漏洞,造成二次出现安全泄密事故。
六是对信息化安全保密工作缺乏整体统筹规划。各单位满足现状习惯于传统的管理模式,信息资源的战略性意义还没有被充分认识,对信息化安全保密建设的内容、作用、途径了解较少,重视不够,直接导致对信息化安全保密缺乏深度的策划、建设、实施。
七是使用盗版软件严重。企业信息化安全保密单位宁可免费或几元钱下载使用盗版软件,也不肯多出不多的资金购买正版软件,致使部门涉密计算机被盗版软件内置的程序挂马,造成泄密。
八是企业重要涉密计算机未能有效按照涉密规定,将内网与外网进行物理隔离,或虽经隔离,但未启用防火墙、网络隔离卡和打开干扰器,相关信息安全保密保护设备形同虚设。
九是计算机维修维护及报废程序混乱,计算机随意外修,硬盘及移动存储设备任意携带,报废微机及储存涉密信息设备未经有效消磁、脱密处理便按照废品私自买卖,交有不具备处理涉密信息资质的单位或个人,造成涉密信息资源存在潜在泄密的危险。
十是对涉密计算机信息的监管不到位。企业信息安全保密机构不健全或根本就没有信息安全保密部门,对涉密信息资源缺乏统一的管理、监督和检查,存在大范围的涉密信息安全管理盲区。企业内部普遍存在涉密计算机不设防,磁介质不标密,管理跟不上,监督检查不落实的状况。
四、 企业信息化安全保密工作解决思路:
信息化不断的发展,使企业在流程管理和整体效率上得到了全面的提升,并且日益成为影响企业竞争的关键性因素。同时,伴随信息化不断深入企业的业务流程,大量的企业核心信息以电子化的形式存在和应用。也正是在这种电子化趋势下,电子信息的易传输和易复制属性为企业机密信息的安全管理带来了新的挑战。对于目前企业信息安全保密工作形势的严峻性和工作的紧迫性,我们必须要有一个清醒的认识,决不可掉以轻心。企业领导、保密部门要充分认识涉密工作的严峻性、复杂性和长期性,进一步增强涉密人员的信息安全保密意识、政治意识、大局意识、责任意识,切实采取有效措施,加强保密工作,确保企业及国家秘密绝对安全。
针对企业信息化安全保密工作中发现的、不容忽视的、容易出现的泄密源头,要在学、查、堵、防上抓落实下功夫,扎实做好网络信息安全保密工作,严密防范网络泄密。
(一)加强基础设施建设
在新形势下,信息安全保密工作任务越来越艰巨。企业的信息化建设首先要进一步增强做好安全保密工作的新本领,努力探索信息安全保密工作的新路子,创新保密工作方法,应对不断升级的高科技窃密手段。进一步完善管理制度,使信息化安全保密工作始终贯穿于机关各项工作之中,使全体干部职工更好地履行保密工作职责,推动企业信息安全保密工作健康发展。
1. 建立完善信息化安全保密制度
一是首先应该从加强信息安全制度建设入手,制订《企业信息化建设管理办法》,将信息化安全保密作为重中之重进行规范,用制度管人。其次建立企业信息化安全保密联络员队伍,重点负责企业的网络信息安全管理及保密工作协调、网络安全防范。再次,组织企业员工集中学习《保密法》及有关制度,根据《保密法》、《计算机信息系统国际联网保密管理规定》和《计算机信息系统保密管理暂行规定》,制定企业自己的信息安全保密制度或涉密标准,并就企业保密工作的现状及问题进行研讨,探索行之有效的保密工作方法和措施,使大家进一步明确当前信息安全保密工作的重点、难点和工作要求,进一步增强企业员工信息安全保密工作意识,提高对保密工作的警觉性。
二是加大信息安全的管理力度。积极采取宏观管理与重点监控相结合的方式来保证信息化项目的安全性,要系统调查全面掌握企业的计算机网络系统结构、涉密计算机管理情况、办公系统和业务系统安全性的基本情况,不定期对信息安全工作进行检查,发现问题及时解决。有条件的企业可以与重要部门签订网络信息安全保密责任书,规范员工行为,维护企业合法权益。
三是加强信息安全保密知识的宣传工作,提高企业的信息化知识水平和安全保密防范意识。在信息化建设中安全保密技术的推广与机关工作人员的保密意识有着很重要的关系。因此在信息化建设中,在深入了解及利用信息技术的同时,明确宣传安全保密工作的重要性。定期或不定期开展保密知识答卷、保密知识展板展览和安全保密座谈会。通过多种形式的活动宣传信息安全保密工作,不断增强企业员工的信息化安全保密意识。
2. 建立完善计算机设备的管理规范
一是完善计算机硬件安全管理策略。对计算机的硬件管理从采购、维护、修理、更新、报废等环节上设立安全管理规范,采购时要有信息化安全保密部门、企业纪委、保密委员会等应派员参与;维护、修理时计算机使用部门、信息化管理部门应遵照信息安全保密规定转移涉密信息,并现场参与修理,不得将含涉密信息的信息化设备随意交由他人带出管理人员视线;计算机更新、报废应先将涉密信息转移到安全存储设备,并对原存储设备进行消磁处理后,信息安全保密部门统一销毁处理。
二是完善计算机安全使用管理策略。首先是企业信息安全管理部门应制定自己的信息安全保密范围,保密范围传达各级管理人员,做到人人皆知,户户皆晓。坚持“谁上网谁负责”的原则,定期对涉密信息进行检测,及时发现隐患,堵塞漏洞。其次是严格涉密计算机使用管理,未经主管领导批准,禁止无关人员擅自使用涉密计算机,禁止私自下载涉密信息,使用、下载涉密信息应有严格规定和纪律。对涉密信息的使用应做必要的技术加密处理。
3. 配置安全可靠的网络信息化设备
一是要购置安全可靠的信息化硬件设备。信息化设备包括网络设备、服务器、硬件防火墙、布线、机房设备等,在购置时要重点考虑使用国产大企业名牌产品,要保证信息化网络的高可用性,在设备选择上必须坚持高性能和高可靠性,在系统设计上也要充分考虑网络和设备的冗余备份,尽量避免网络单点故障。服务器等关键设备的可靠性也要给予充分的重视。
二是建设安全高效网络。建设高可用性网络就是要建设具有高性能和高可靠性的信息化基础网络设施,实现信息化物理安全和网络安全。建设可用性网络的主要措施要涵盖信息化硬件和软件以及需要重点考虑系统和数据库的保护。
三是完善灾难恢复体系。灾难恢复是指当信息设备发生灾难时对数据和服务的恢复,完整的灾难恢复策略应包括备份硬件、备份软件、备份制度和灾难恢复计划等。对企业而言,最珍贵的不是信息化设备或系统,而是存储的各种文档和数据库信息,随着信息化进程的深入,企业对计算机设备的依赖也越来越多。所以灾难恢复是信息化安全中很重要的一个组成部分,必须想法保证数据存储的可靠性,保证网络服务和应用在故障时能尽快恢复。由于2008年汶川特大地震造成某些企业信息资源遭到严重灭失无法恢复的教训,建议有条件的企业实施异地备份策略。
4. 培养合格的信息化安全保密人才
一切先进技术,要发挥作用,最终都要取决于人。企业信息安全保密应规定由各单位、各部门选出1-2名懂计算机专业知识的工作人员,负责本单位或本部门的信息安全保密工作,会同专管领导对涉密信息资源进行甄别确认,确保信息安全保密有针对性,对挑选出来的管理人员要开展多种形式的培训工作,经培训合格后方可成为部门信息安全保密管理员。信息安全保密管理员要能够独立地负责本单位、本部门的个人证书发配、登记和使用管理, IP地址的配置等工作。对信息化安全管理员工的培训内容突出实用性,涉及网络资源开发、安全管理和信息维护等多个方面,鼓励军工企业或涉密企业参加信息化保密认证,员工可以参加信息化安全资格认证,取得证书单位给予适当奖励。
一是抓好重点涉密人员的管理。建立涉密人员管理制度,对新上岗涉密人员进行严格的资格审查,根据涉密程度的不同,对涉密人员离岗设定不同的脱密期。
二是抓好涉密岗位的保密工作。在工作中,要始终坚持贯彻落实中央、省、市有关保密规定,严格遵守保密制度,突出抓好人事、档案、财务、经营、信访接待等岗位的涉密事项的保密管理,配置必要的保密防范设施,落实专项保密措施,确保信息安全保密万无一失。
三是加强涉密载体的保密管理。按照“控制源头、加强检查,明确责任、落实制度”的要求,切实抓好涉密计算机及网络的保密管理,做到“涉密信息不上网、上网信息不涉密”;对涉密文件实行全过程监管,确保从起草、制作、分发、传递到使用、管理、复制、保存直到销毁的每一环节都合乎规范,不出差距,防止涉密文件随身携带、随意存放、随便复印等现象的发生。同时,加强对各种软盘、U 盘和光盘等涉密磁介质的保密管理,防止存储的秘密信息泄密。
5. 建立和完善信息化的等级保护制度,重点保护企业基础信息网络和关系到国家安全、经济命脉、社会稳定的重要信息系统。
我国政府高度重视信息安全保密工作,《信息安全等级保护管理办法》就是政府带头促进信息化安全应用的重要举措之一。 等级保护是以制度方式来确保保护对象的重要程度和要求的,等级管理的思想和方法具有科学、合理、规范、便于理解、掌握和运用等优点,因此,对计算机信息安全保密系统实行安全等级保护制度,是我国计算机信息系统安全保护工作的重要发展思路,对于正在发展中的信息系统安全保护工作更有着十分重要的意义。它与风险评估、应急处理、灾难恢复等前后衔接融为一体,确保信息安全体系正确、安全的运行。所以我们要重视信息化安全的等级保护制度,要求企业一
手抓信息化,一手抓网络信息安全,两手都要硬。要在安全中发展,要在发展中确保安全。
(二) 强化技术创新管理
信息化安全保密是一个很广泛的概念,许多安全问题如设备损坏、木马病毒危害、恶意攻击和网络入侵等都属于信息化安全范畴,特别是随着广域网和互联网应用的发展,安全保密问题变得更加突出。概括地讲,信息化安全保密问题主要重点在硬件管理和软件管理。
1. 硬件管理
涉密企业应制定计算机硬件日常维护管理规程,使计算机网络系统使用、管理、信息安全、资源共享有所遵循,规范公司上网操作流程,提高网络系统安全性,提高办公效率。
一是对加强计算机周边或外围设备的管理,泛指计算机及其网络基本配置外附属设备如光驱、软驱、打印机、条码打印机、扫描仪、扫描器、MODEM 、UPS 电源等;向外发送的数据:包括对外刻录的光盘,因工作需要向外发送的电子文件及通过其它途径传递的资料。新时期的窃密技术只要信息化设备通电开机,不法人员就有可能运用各种技术手段窃取企业秘密,所以,涉密企业信息安全管理人员要时刻保持警惕性,涉密信息设备不使用时,应关掉外部设备的电源。禁止长期打开不使用的外部设备电源及信息化设备,计算机要求做到人走机关,下班时关机。在打雷闪电时应暂时关闭信息化安全保密系统及周边设备,防止出现雷击现象,造成涉密资料丢失。
二是严格服务器控制机房内的温度, 做好消防工作,布线要规范、硬件设施摆放整齐,防止线路交叉短路等接触不良情况发生而引起涉密信息的灭失。
三是严禁利用涉密信息安全设备攻击数据库服务器或其它服务器,禁止利用黑客软件在涉密计算机上对其它电脑进行攻击。未经允许严禁使用磁盘、光盘和移动磁盘等传输介质复制拷贝涉密信息。
四是涉密对信息设备应架设防火墙、隔离卡、干扰器等必要的保密设施,防火墙目前最重要的信息安全产品,它可以提供实质上的网络安全,它对外承担着防御来自互联网的各种攻击,对内辅助企业安全策略的实施重任,是企业保护信息安全的第一道屏障,在信息化安全中应给予高度重视。硬件防火墙基于专门设计的硬件和系统,自身安全有保证、效率高、稳定性好,可以增强涉密信息资源的安全可靠性。
2. 软件管理
一是应尽量选用性能好安全性高的正版操作系统,在信息化网络中,操作系统的安全使用是保证信息安全的重要环节,操作系统安全使用主要包括以下几方面内容:用户密码管理、系统漏洞检测、信息加密等。
用户密码管理无论是对个人还是企业都是很重要的。用户密码管理有许多的原则要遵守,最重要的就是不要使用空密码,如当你使用Windows NT/2000时,如果不幸你使用空密码,局域网中的任何人都可以随意访问你的计算机资源。系统管理员应制定严谨的用户密码策略。
漏洞检测对关键服务器的操作系统是极为重要的,任何操作系统都不可避免地存在安全漏洞,操作系统的漏洞总是不断地被发现并公布在互联网上,争取在黑客没有攻击你的主机之前及时发现并修补漏洞是极为关键的。对服务器而言,还应该关闭不需要的服务或端口。
企业保密的信息在存储介质上的加密仍然是必要的,因为任何网络不能保证百分之百的安全。使用WindowsNT/2000等操作系统时,应尽量使用NTFS 分区,对重要信息起用加密保护功能,这样就是信息意外泄露,也增加破解了难度。
操作系统的易用性和安全总是难以兼得,安装操作系统时尽量不要使用默认值,应关闭系统自动打开默认的非安全性的,一些你并不熟悉且根本无用的服务程序和应用端口。
另外还要经常使用安全扫描工具。增强内部网络与系统的安全防护性能和抗破坏能力,加强网络和系统自身的安全性能。
二是推广安全的高性能应用软件,主要使用应用软件主要包括数据库、行业应用程序等。当然也应该选用有知识产权的国产正版软件,应首推经公安部及国家密码管理局经过认证的应用软件,这些软件的安全性能够得到足够的保障,可以保证信息的真实性、完整性和安全保密性。
三是网络监控系统,主要功能是监控操作计算机行为,一旦发现有违反信息安全规则行为,主动防御或报警,彻底抵御来自外网和内网的DOS 攻击,防止涉密信息被窃取,达到保护信息资产安全、预防机密信息泄露的目的,建议使用成熟的深信服科技的产品。在使用网络监控软件的同时,还应做到如下安全建议:
--废除系统所有默认的账号和密码。
--在用户合法性得到验证前不要显示任何有利于黑客攻击的信息如单位题头、在线帮助等各类信息。
--废除黑客可以攻击系统的网络服务。
--不要允许用户以超级用户身份直接登陆到主机上。
--尽量使用字母、数字等混合型密码。
--限制用户尝试登陆到系统的次数。
--记录违反安全性情况并对安全记录进行复查。
--对于重要信息,上网传输前要先进行加密。
--限制不需密码即可访问的主机文件。
--修改内核,以便将来自外部的TCP 连接限制到最低限度,不允许诸如登陆或远程执行之类的协议存在。
--去掉对操作并非至关重要的程序。
--将所有系统目录变更为攻击者无法看到它们当中有什么东西、而用户仍可执行的模式。
--只要可能,就将磁盘安装为只读模式。
--将系统软件升级为最新版本。
四是即时备份系统及重要数据,对系统要进行定期备份。当系统数据丢失或遭破坏而需要彻底恢复时,备份的价值就体现出来。工作中应尽可能做到重要数据天天备份,每周做一次增量备份,每月一次全系统备份。确保网络信息系统数据的安全可恢复性。
3. 网络安全
网络安全主要是指网络访问、使用、操作的安全,它是信息化安全中最普遍的内容。网络安全问题主要包括:病毒危害和访问安全。
一是病毒危害,在开放网络环境下,计算机病毒的危害比以往要大得多,特别是近几年,通过互联网进行传播的病毒数量急剧增长,危害范围也不断扩大,由于计算机病毒带来的经济损失数量是巨大的。对付计算机病毒的最好的方法是安装防病毒软件,要能够实时查杀病毒、智能安装、快速方便地升级、系统兼容性强、管理方便、系统恢复容易。
二是访问安全,访问安全也是最常见的安全问题,它的范围是极为广泛的,在企业中许多敏感的数据如财务数据和人事管理档案等,它的访问限制应该很严格的,只有部门相关业务人员或部分领导才有权查看;个人计算机上的文件如果不共享别人也不能查
看;企业中生产控制网络与管理网络之间要通过防火墙隔离;涉密信息要提高访问权限级别,并定期更换权限密码。
三是信息安全,信息安全主要是指信息交换安全。远程办公要求企业局域网具备远程接入设备,一般通过拨号或互联网实现远程接入,这两种情况都需要对连接者身份进行严格验证,防止非法用户的进入,为了防止传输过程中的信息被窃听,要求登录用户名和密码以及数据在传输过程中进行有效的加密。否则用户的重要信息一旦丢失或被窃取将会造成不可挽回的损失。所以远程登录必须要进行身份验证,所有信息的传输都要求经过验证和加密,保证数据的完整性和保密性。有条件的企业可以推广数字证书认证,数字证书可以存储在IC 卡、硬盘或磁盘等介质中,在基于数字证书的通过过程中,数字证书是合法身份的凭证,是建立保密通讯的基础,更是信息安全保密的坚强堡垒。
四是积极推广VPN 技术,VPN 是当前实现远程办公和电子商务合作伙伴间通讯的重要方法,可以实现从任何位置安全地访问企业内部网络,是企业内部重要资源访问控制的一种手段,VPN 通过Internet 或其他公用IP 网络实现,能满足远程通讯安全的基本需求,将通讯信息进行加密和认证传输,从而保证了信息传输的保密性、数据完整性和信息源的可靠性,实现安全的远程端到端连接。
总之,一系列的泄密案件为企业敲响了警钟,使我们意识到,单纯的杀毒、防火墙、加密、备份、数据恢复等仍然无法从根本上解决安全保密问题,预防泄密,做好事前准备才是关键。只有切实加强网络信息安全保密管理,才能保证企业信息安全和系统网络的可靠运行。与其被动的等待事件发生后再补救,不如主动出击,变被动防护为主动管理,做好企业数据保护与权限管理的基础工作,才能保证企业数据安全。通过细分化的权限控制,从源头上防止和堵截信息的泄漏和恶意窃取。
参考文献
[1] 中央保密委员会第一次会议 中国保密网 2008年10月14日
[2] 泄密就在身边 中国安全信息网 2008年9月9日
[3] 泄密案例 山东军工网<安全保密> 2007年8月2日
[4] 企业信息化安全分析及对策 安全文化网 2008年1月29日
[5] 信息化安全不要搞面子工程 网易科技报道(陈正清) 2008年3月28日
[6] VPN技术及应用 知识空间网杨春\李彬 2004年第4期
探索信息化安全保密的方法与策略
王志东
中国核工业第二四建设有限公司信息与文档中心
【摘要】在人们享受高速方便信息化的同时,如何保障信息安全问题已越来越引起人们的注意,本文通过对信息化高速发展时期信息安全与保密的论述,提出自己的观点,对企业信息化建设重新定位,通过构思信息安全管理体系来实现信息安全与保密的系统思想理念, 以适应信息技术飞速发展对信息保密的迫切需要。
【关键词】信息化安全 信息化保密 信息化管理
一、 企业信息化安全保密工作面临的现状:
2000年4月,某军工集团下属研究所一职工家中失窃,一台存贮有重要涉密信息的笔记本电脑被盗。
11月,某市纪委案件管理专用的计算机被盗。该机存有1998年以来的信访、初核、立案、申诉等秘密资料。
2001年2 月,某省检察院反贪局一微机主机箱被盗,该主机箱内硬盘上存有1995年以来该省反贪局所办案件内部请示报告和法律文书及反贪工作主要数据。
3 月,某大学科技处副处长和一位副教授携带装有大量涉密软盘的密码箱到北京申报科研开发项目。返回学校后,才发现密码箱丢失。密码箱中装有大量涉及国防军工科研项目的软盘、论证材料。
4 月,中科院上海某研究所一研究员来京参加重要会议,所携带的手提电脑被盗,电脑内存有军工秘密文件若干。
2003年3月,航天科工集团某研究所技术人员王某违反保密管理规定,私自将存有涉密信息的笔记本电脑和移动硬盘带回家。笔记本电脑和移动硬盘被盗,硬盘中存储的1份机密级报告、2份秘密级资料草稿和4份秘密资料草稿失控。
7月,中国船舶重工集团某研究所某项绝密课题报告起草人应某研究单位的要求,误将原稿拷入软盘并委托他人以电子邮件形式发送,造成泄密。
2006年2月,富士康集团计算机机箱设计中心接戴尔的项目需求为戴尔设计几款电脑机箱,4月份,戴尔公司确定其中几款机箱作为2006年6月25日即将推出的新机型的机箱,并且由富士康集团的生产中心负责生产。6月18日,就在距离戴尔新型电脑上市的前一周,在深圳华强北电子市场居然发现有一款机箱与戴尔即将上市的电脑机箱一模一样,很明显这是一个泄密事例了。
2007年9月15日,全国一级建造师资格考试全国统考。最后一门科目《专业工程管理与实务》开考前两分钟,湖北的一个考场,监考老师在考场里发现了考试答案,经核对试卷后发现,答案顺序和试题几乎完全一致,还标注着“题目与答案顺序可能不对,请自己校对”的提醒。
2007年底,因在核电招标中涉嫌泄密,中国技术进出口总公司(下称中技公司)原总裁蒋新生于被中纪委“双规”。
208年3月8日,一篇题为《1997年南航深圳“5·8”空难黑匣子最后12分钟录音!》的帖子在网络疯传,在这篇帖子里,可以听到一段时长为12分44秒的音频,为机长与副驾驶间的对话。黑匣子这么机密的东西是谁把它公布在网上的?
2009 6月12日,福彩双色球第09066期开奖3天后,程伟因为涉嫌篡改深圳福彩中心数据系统伪造中奖号码被罗湖区公安分局抓获。7月8日,深圳警方发布消息,这则巨奖无人认领的事件是一起骗局:深圳电脑工程师程伟利用在福彩中心实施其他技术合作项目的机会,通过对计算机系统植入木马程序,对彩票数据进行了恶意篡改。
2009年7月9日,澳大利亚力拓集团上海办事处的4名员工因涉嫌窃取中国国家秘密被拘留。
据国家保密局不完全统计,2000年以来,计算机被盗、涉密信息失控事件频频发生,目前已占同期上报的泄密事件的20%,给国家安全和企业利益造成严重危害。
随着信息技术的飞速发展,网络信息对国家信息资源及其信息技术的需求越来越大,信息安全保密问题也随之凸显出来,一系列的调查结果及不断发生的信息泄密案件为企业敲响了警钟,使企业意识到,单纯的杀毒、防火墙、加密、备份、数据恢复等仍然无法从核心解决安全问题,因此,加强信息安全保密迫在眉睫。
当前,窃取计算机信息的手段在不断更新,关系整个国家安全的各种信息系统所面临的挑战极其严峻。信息技术的飞速发展,也使泄密的渠道、环节变得更为广泛和隐蔽,传统的行政管理模式已经不能适应信息技术发展的要求,提高防窃密技术的科技含量显得更加突出。 一些重点企业管理员工对信息安全保密工作还存在着模糊认识,有的在信息传递上明密界限不清,密件明发、在非保密电话上谈论涉密问题、不分场合地点使用手机、涉密电脑上互联网、涉密计算机随意外修等等;还有些涉密单位网络信息安全装置形同虚设,内部网络保密防护不力;有相当一部分人员的信息安全知识十分缺乏,在计算机和网络的使用中,重建设、轻防护、重交流、轻保密,使信息安全保密工作存在巨大的安全隐患。
二、 企业信息化安全保密工作与信息化快速发展的矛盾
一是企业信息化发展与信息安全保密的关系问题,信息化发展与信息安全保密关系是辩证统一的,处理得好,安全会有保障并促进发展;处理不好,安全就会制约并牵制信息化的发展。
二是管理和技术在信息安全中的作用问题。信息安全问题的解决需要技术,但又不能单纯依靠技术,信息化的过程其实是人与技术相互融合的过程,如何使管理与技术相得益彰十分重要。
三是应急处理与长效机制问题。要维护企业网络与信息安全的长治久安,就必须有行之有效的长效机制。但信息安全保密问题在信息化进程中广泛存在,且突发性强,同时又必须强调应急管理,一旦出现影响到企业安全利益的网络与信息安全事件,必须能采取有效措施,控制危机的发展,把损失降低到最低。
三、企业信息化安全保密工作问题分析:
企业信息化发展中之所以存在影响信息安全保密的因素,本人认为源头并非因信息化发展速度太快,而是与泄密企业对信息安全保密的重视程度有关,主要表现在以下几点。
一是领导对信息化安全保密工作的重视不够。企业主要领导一味提倡信息化提速,却忽视信息化安全与保密,使信息安全与保密出现漏洞,一旦出现泄密事件才亡羊补牢,修补漏洞,但已经造成无法挽回的损失。
二是企业管理人员对信息化安全保密认知程度不深。企业工作人员对信息化安全保密规定了解不深,对涉密信息的保密观念淡薄,常常抱着侥幸心理明知故犯,在下班后、出差时随意将涉密信息或计算机带出,公共场合谈论涉密信息,殊不知,谈者无心,听者有意,造成泄漏企业机密。
三是信息化建设与信息化安全保密投资与收益不成正比,导致个别单位对信息化管理应用产生负效应,致使配备的计算机,也是天天打字、填表格,真正利用计算机系统进行信息化处理和辅助办公、管理的广度、深度不够,对信息化安全保密更加是人为可有可无,严重忽视。
四是信息化安全保密应用软件和系统管理接口不合理,配置高性能微机,软件仍然停留在先前水平,软件的更新利用率不高,信息化安全保密工作被盲目认为人员管比软件管更符合企业需要,不肯就安全保密应用软件多加资金投入。
五是信息化安全保密交流与合作不够,造成各成员单位各自为政,引进、开发自己的信息化安全产品,形成了“信息孤岛”现象,难以进行信息化安全系统集成。信息不能共享,造成资源浪费。由于信息沟通交流不畅,一家企业出现安全泄密事件,其它单位不能及时采取措施,修补漏洞,造成二次出现安全泄密事故。
六是对信息化安全保密工作缺乏整体统筹规划。各单位满足现状习惯于传统的管理模式,信息资源的战略性意义还没有被充分认识,对信息化安全保密建设的内容、作用、途径了解较少,重视不够,直接导致对信息化安全保密缺乏深度的策划、建设、实施。
七是使用盗版软件严重。企业信息化安全保密单位宁可免费或几元钱下载使用盗版软件,也不肯多出不多的资金购买正版软件,致使部门涉密计算机被盗版软件内置的程序挂马,造成泄密。
八是企业重要涉密计算机未能有效按照涉密规定,将内网与外网进行物理隔离,或虽经隔离,但未启用防火墙、网络隔离卡和打开干扰器,相关信息安全保密保护设备形同虚设。
九是计算机维修维护及报废程序混乱,计算机随意外修,硬盘及移动存储设备任意携带,报废微机及储存涉密信息设备未经有效消磁、脱密处理便按照废品私自买卖,交有不具备处理涉密信息资质的单位或个人,造成涉密信息资源存在潜在泄密的危险。
十是对涉密计算机信息的监管不到位。企业信息安全保密机构不健全或根本就没有信息安全保密部门,对涉密信息资源缺乏统一的管理、监督和检查,存在大范围的涉密信息安全管理盲区。企业内部普遍存在涉密计算机不设防,磁介质不标密,管理跟不上,监督检查不落实的状况。
四、 企业信息化安全保密工作解决思路:
信息化不断的发展,使企业在流程管理和整体效率上得到了全面的提升,并且日益成为影响企业竞争的关键性因素。同时,伴随信息化不断深入企业的业务流程,大量的企业核心信息以电子化的形式存在和应用。也正是在这种电子化趋势下,电子信息的易传输和易复制属性为企业机密信息的安全管理带来了新的挑战。对于目前企业信息安全保密工作形势的严峻性和工作的紧迫性,我们必须要有一个清醒的认识,决不可掉以轻心。企业领导、保密部门要充分认识涉密工作的严峻性、复杂性和长期性,进一步增强涉密人员的信息安全保密意识、政治意识、大局意识、责任意识,切实采取有效措施,加强保密工作,确保企业及国家秘密绝对安全。
针对企业信息化安全保密工作中发现的、不容忽视的、容易出现的泄密源头,要在学、查、堵、防上抓落实下功夫,扎实做好网络信息安全保密工作,严密防范网络泄密。
(一)加强基础设施建设
在新形势下,信息安全保密工作任务越来越艰巨。企业的信息化建设首先要进一步增强做好安全保密工作的新本领,努力探索信息安全保密工作的新路子,创新保密工作方法,应对不断升级的高科技窃密手段。进一步完善管理制度,使信息化安全保密工作始终贯穿于机关各项工作之中,使全体干部职工更好地履行保密工作职责,推动企业信息安全保密工作健康发展。
1. 建立完善信息化安全保密制度
一是首先应该从加强信息安全制度建设入手,制订《企业信息化建设管理办法》,将信息化安全保密作为重中之重进行规范,用制度管人。其次建立企业信息化安全保密联络员队伍,重点负责企业的网络信息安全管理及保密工作协调、网络安全防范。再次,组织企业员工集中学习《保密法》及有关制度,根据《保密法》、《计算机信息系统国际联网保密管理规定》和《计算机信息系统保密管理暂行规定》,制定企业自己的信息安全保密制度或涉密标准,并就企业保密工作的现状及问题进行研讨,探索行之有效的保密工作方法和措施,使大家进一步明确当前信息安全保密工作的重点、难点和工作要求,进一步增强企业员工信息安全保密工作意识,提高对保密工作的警觉性。
二是加大信息安全的管理力度。积极采取宏观管理与重点监控相结合的方式来保证信息化项目的安全性,要系统调查全面掌握企业的计算机网络系统结构、涉密计算机管理情况、办公系统和业务系统安全性的基本情况,不定期对信息安全工作进行检查,发现问题及时解决。有条件的企业可以与重要部门签订网络信息安全保密责任书,规范员工行为,维护企业合法权益。
三是加强信息安全保密知识的宣传工作,提高企业的信息化知识水平和安全保密防范意识。在信息化建设中安全保密技术的推广与机关工作人员的保密意识有着很重要的关系。因此在信息化建设中,在深入了解及利用信息技术的同时,明确宣传安全保密工作的重要性。定期或不定期开展保密知识答卷、保密知识展板展览和安全保密座谈会。通过多种形式的活动宣传信息安全保密工作,不断增强企业员工的信息化安全保密意识。
2. 建立完善计算机设备的管理规范
一是完善计算机硬件安全管理策略。对计算机的硬件管理从采购、维护、修理、更新、报废等环节上设立安全管理规范,采购时要有信息化安全保密部门、企业纪委、保密委员会等应派员参与;维护、修理时计算机使用部门、信息化管理部门应遵照信息安全保密规定转移涉密信息,并现场参与修理,不得将含涉密信息的信息化设备随意交由他人带出管理人员视线;计算机更新、报废应先将涉密信息转移到安全存储设备,并对原存储设备进行消磁处理后,信息安全保密部门统一销毁处理。
二是完善计算机安全使用管理策略。首先是企业信息安全管理部门应制定自己的信息安全保密范围,保密范围传达各级管理人员,做到人人皆知,户户皆晓。坚持“谁上网谁负责”的原则,定期对涉密信息进行检测,及时发现隐患,堵塞漏洞。其次是严格涉密计算机使用管理,未经主管领导批准,禁止无关人员擅自使用涉密计算机,禁止私自下载涉密信息,使用、下载涉密信息应有严格规定和纪律。对涉密信息的使用应做必要的技术加密处理。
3. 配置安全可靠的网络信息化设备
一是要购置安全可靠的信息化硬件设备。信息化设备包括网络设备、服务器、硬件防火墙、布线、机房设备等,在购置时要重点考虑使用国产大企业名牌产品,要保证信息化网络的高可用性,在设备选择上必须坚持高性能和高可靠性,在系统设计上也要充分考虑网络和设备的冗余备份,尽量避免网络单点故障。服务器等关键设备的可靠性也要给予充分的重视。
二是建设安全高效网络。建设高可用性网络就是要建设具有高性能和高可靠性的信息化基础网络设施,实现信息化物理安全和网络安全。建设可用性网络的主要措施要涵盖信息化硬件和软件以及需要重点考虑系统和数据库的保护。
三是完善灾难恢复体系。灾难恢复是指当信息设备发生灾难时对数据和服务的恢复,完整的灾难恢复策略应包括备份硬件、备份软件、备份制度和灾难恢复计划等。对企业而言,最珍贵的不是信息化设备或系统,而是存储的各种文档和数据库信息,随着信息化进程的深入,企业对计算机设备的依赖也越来越多。所以灾难恢复是信息化安全中很重要的一个组成部分,必须想法保证数据存储的可靠性,保证网络服务和应用在故障时能尽快恢复。由于2008年汶川特大地震造成某些企业信息资源遭到严重灭失无法恢复的教训,建议有条件的企业实施异地备份策略。
4. 培养合格的信息化安全保密人才
一切先进技术,要发挥作用,最终都要取决于人。企业信息安全保密应规定由各单位、各部门选出1-2名懂计算机专业知识的工作人员,负责本单位或本部门的信息安全保密工作,会同专管领导对涉密信息资源进行甄别确认,确保信息安全保密有针对性,对挑选出来的管理人员要开展多种形式的培训工作,经培训合格后方可成为部门信息安全保密管理员。信息安全保密管理员要能够独立地负责本单位、本部门的个人证书发配、登记和使用管理, IP地址的配置等工作。对信息化安全管理员工的培训内容突出实用性,涉及网络资源开发、安全管理和信息维护等多个方面,鼓励军工企业或涉密企业参加信息化保密认证,员工可以参加信息化安全资格认证,取得证书单位给予适当奖励。
一是抓好重点涉密人员的管理。建立涉密人员管理制度,对新上岗涉密人员进行严格的资格审查,根据涉密程度的不同,对涉密人员离岗设定不同的脱密期。
二是抓好涉密岗位的保密工作。在工作中,要始终坚持贯彻落实中央、省、市有关保密规定,严格遵守保密制度,突出抓好人事、档案、财务、经营、信访接待等岗位的涉密事项的保密管理,配置必要的保密防范设施,落实专项保密措施,确保信息安全保密万无一失。
三是加强涉密载体的保密管理。按照“控制源头、加强检查,明确责任、落实制度”的要求,切实抓好涉密计算机及网络的保密管理,做到“涉密信息不上网、上网信息不涉密”;对涉密文件实行全过程监管,确保从起草、制作、分发、传递到使用、管理、复制、保存直到销毁的每一环节都合乎规范,不出差距,防止涉密文件随身携带、随意存放、随便复印等现象的发生。同时,加强对各种软盘、U 盘和光盘等涉密磁介质的保密管理,防止存储的秘密信息泄密。
5. 建立和完善信息化的等级保护制度,重点保护企业基础信息网络和关系到国家安全、经济命脉、社会稳定的重要信息系统。
我国政府高度重视信息安全保密工作,《信息安全等级保护管理办法》就是政府带头促进信息化安全应用的重要举措之一。 等级保护是以制度方式来确保保护对象的重要程度和要求的,等级管理的思想和方法具有科学、合理、规范、便于理解、掌握和运用等优点,因此,对计算机信息安全保密系统实行安全等级保护制度,是我国计算机信息系统安全保护工作的重要发展思路,对于正在发展中的信息系统安全保护工作更有着十分重要的意义。它与风险评估、应急处理、灾难恢复等前后衔接融为一体,确保信息安全体系正确、安全的运行。所以我们要重视信息化安全的等级保护制度,要求企业一
手抓信息化,一手抓网络信息安全,两手都要硬。要在安全中发展,要在发展中确保安全。
(二) 强化技术创新管理
信息化安全保密是一个很广泛的概念,许多安全问题如设备损坏、木马病毒危害、恶意攻击和网络入侵等都属于信息化安全范畴,特别是随着广域网和互联网应用的发展,安全保密问题变得更加突出。概括地讲,信息化安全保密问题主要重点在硬件管理和软件管理。
1. 硬件管理
涉密企业应制定计算机硬件日常维护管理规程,使计算机网络系统使用、管理、信息安全、资源共享有所遵循,规范公司上网操作流程,提高网络系统安全性,提高办公效率。
一是对加强计算机周边或外围设备的管理,泛指计算机及其网络基本配置外附属设备如光驱、软驱、打印机、条码打印机、扫描仪、扫描器、MODEM 、UPS 电源等;向外发送的数据:包括对外刻录的光盘,因工作需要向外发送的电子文件及通过其它途径传递的资料。新时期的窃密技术只要信息化设备通电开机,不法人员就有可能运用各种技术手段窃取企业秘密,所以,涉密企业信息安全管理人员要时刻保持警惕性,涉密信息设备不使用时,应关掉外部设备的电源。禁止长期打开不使用的外部设备电源及信息化设备,计算机要求做到人走机关,下班时关机。在打雷闪电时应暂时关闭信息化安全保密系统及周边设备,防止出现雷击现象,造成涉密资料丢失。
二是严格服务器控制机房内的温度, 做好消防工作,布线要规范、硬件设施摆放整齐,防止线路交叉短路等接触不良情况发生而引起涉密信息的灭失。
三是严禁利用涉密信息安全设备攻击数据库服务器或其它服务器,禁止利用黑客软件在涉密计算机上对其它电脑进行攻击。未经允许严禁使用磁盘、光盘和移动磁盘等传输介质复制拷贝涉密信息。
四是涉密对信息设备应架设防火墙、隔离卡、干扰器等必要的保密设施,防火墙目前最重要的信息安全产品,它可以提供实质上的网络安全,它对外承担着防御来自互联网的各种攻击,对内辅助企业安全策略的实施重任,是企业保护信息安全的第一道屏障,在信息化安全中应给予高度重视。硬件防火墙基于专门设计的硬件和系统,自身安全有保证、效率高、稳定性好,可以增强涉密信息资源的安全可靠性。
2. 软件管理
一是应尽量选用性能好安全性高的正版操作系统,在信息化网络中,操作系统的安全使用是保证信息安全的重要环节,操作系统安全使用主要包括以下几方面内容:用户密码管理、系统漏洞检测、信息加密等。
用户密码管理无论是对个人还是企业都是很重要的。用户密码管理有许多的原则要遵守,最重要的就是不要使用空密码,如当你使用Windows NT/2000时,如果不幸你使用空密码,局域网中的任何人都可以随意访问你的计算机资源。系统管理员应制定严谨的用户密码策略。
漏洞检测对关键服务器的操作系统是极为重要的,任何操作系统都不可避免地存在安全漏洞,操作系统的漏洞总是不断地被发现并公布在互联网上,争取在黑客没有攻击你的主机之前及时发现并修补漏洞是极为关键的。对服务器而言,还应该关闭不需要的服务或端口。
企业保密的信息在存储介质上的加密仍然是必要的,因为任何网络不能保证百分之百的安全。使用WindowsNT/2000等操作系统时,应尽量使用NTFS 分区,对重要信息起用加密保护功能,这样就是信息意外泄露,也增加破解了难度。
操作系统的易用性和安全总是难以兼得,安装操作系统时尽量不要使用默认值,应关闭系统自动打开默认的非安全性的,一些你并不熟悉且根本无用的服务程序和应用端口。
另外还要经常使用安全扫描工具。增强内部网络与系统的安全防护性能和抗破坏能力,加强网络和系统自身的安全性能。
二是推广安全的高性能应用软件,主要使用应用软件主要包括数据库、行业应用程序等。当然也应该选用有知识产权的国产正版软件,应首推经公安部及国家密码管理局经过认证的应用软件,这些软件的安全性能够得到足够的保障,可以保证信息的真实性、完整性和安全保密性。
三是网络监控系统,主要功能是监控操作计算机行为,一旦发现有违反信息安全规则行为,主动防御或报警,彻底抵御来自外网和内网的DOS 攻击,防止涉密信息被窃取,达到保护信息资产安全、预防机密信息泄露的目的,建议使用成熟的深信服科技的产品。在使用网络监控软件的同时,还应做到如下安全建议:
--废除系统所有默认的账号和密码。
--在用户合法性得到验证前不要显示任何有利于黑客攻击的信息如单位题头、在线帮助等各类信息。
--废除黑客可以攻击系统的网络服务。
--不要允许用户以超级用户身份直接登陆到主机上。
--尽量使用字母、数字等混合型密码。
--限制用户尝试登陆到系统的次数。
--记录违反安全性情况并对安全记录进行复查。
--对于重要信息,上网传输前要先进行加密。
--限制不需密码即可访问的主机文件。
--修改内核,以便将来自外部的TCP 连接限制到最低限度,不允许诸如登陆或远程执行之类的协议存在。
--去掉对操作并非至关重要的程序。
--将所有系统目录变更为攻击者无法看到它们当中有什么东西、而用户仍可执行的模式。
--只要可能,就将磁盘安装为只读模式。
--将系统软件升级为最新版本。
四是即时备份系统及重要数据,对系统要进行定期备份。当系统数据丢失或遭破坏而需要彻底恢复时,备份的价值就体现出来。工作中应尽可能做到重要数据天天备份,每周做一次增量备份,每月一次全系统备份。确保网络信息系统数据的安全可恢复性。
3. 网络安全
网络安全主要是指网络访问、使用、操作的安全,它是信息化安全中最普遍的内容。网络安全问题主要包括:病毒危害和访问安全。
一是病毒危害,在开放网络环境下,计算机病毒的危害比以往要大得多,特别是近几年,通过互联网进行传播的病毒数量急剧增长,危害范围也不断扩大,由于计算机病毒带来的经济损失数量是巨大的。对付计算机病毒的最好的方法是安装防病毒软件,要能够实时查杀病毒、智能安装、快速方便地升级、系统兼容性强、管理方便、系统恢复容易。
二是访问安全,访问安全也是最常见的安全问题,它的范围是极为广泛的,在企业中许多敏感的数据如财务数据和人事管理档案等,它的访问限制应该很严格的,只有部门相关业务人员或部分领导才有权查看;个人计算机上的文件如果不共享别人也不能查
看;企业中生产控制网络与管理网络之间要通过防火墙隔离;涉密信息要提高访问权限级别,并定期更换权限密码。
三是信息安全,信息安全主要是指信息交换安全。远程办公要求企业局域网具备远程接入设备,一般通过拨号或互联网实现远程接入,这两种情况都需要对连接者身份进行严格验证,防止非法用户的进入,为了防止传输过程中的信息被窃听,要求登录用户名和密码以及数据在传输过程中进行有效的加密。否则用户的重要信息一旦丢失或被窃取将会造成不可挽回的损失。所以远程登录必须要进行身份验证,所有信息的传输都要求经过验证和加密,保证数据的完整性和保密性。有条件的企业可以推广数字证书认证,数字证书可以存储在IC 卡、硬盘或磁盘等介质中,在基于数字证书的通过过程中,数字证书是合法身份的凭证,是建立保密通讯的基础,更是信息安全保密的坚强堡垒。
四是积极推广VPN 技术,VPN 是当前实现远程办公和电子商务合作伙伴间通讯的重要方法,可以实现从任何位置安全地访问企业内部网络,是企业内部重要资源访问控制的一种手段,VPN 通过Internet 或其他公用IP 网络实现,能满足远程通讯安全的基本需求,将通讯信息进行加密和认证传输,从而保证了信息传输的保密性、数据完整性和信息源的可靠性,实现安全的远程端到端连接。
总之,一系列的泄密案件为企业敲响了警钟,使我们意识到,单纯的杀毒、防火墙、加密、备份、数据恢复等仍然无法从根本上解决安全保密问题,预防泄密,做好事前准备才是关键。只有切实加强网络信息安全保密管理,才能保证企业信息安全和系统网络的可靠运行。与其被动的等待事件发生后再补救,不如主动出击,变被动防护为主动管理,做好企业数据保护与权限管理的基础工作,才能保证企业数据安全。通过细分化的权限控制,从源头上防止和堵截信息的泄漏和恶意窃取。
参考文献
[1] 中央保密委员会第一次会议 中国保密网 2008年10月14日
[2] 泄密就在身边 中国安全信息网 2008年9月9日
[3] 泄密案例 山东军工网<安全保密> 2007年8月2日
[4] 企业信息化安全分析及对策 安全文化网 2008年1月29日
[5] 信息化安全不要搞面子工程 网易科技报道(陈正清) 2008年3月28日
[6] VPN技术及应用 知识空间网杨春\李彬 2004年第4期