摘要:新时期下,随着互联网技术的飞速迅猛发展,越来越多的新兴技术被应用到人们的日常工作生产生活领域,新兴技术的应用给信息安全保密工作提出了新的挑战。目前,世界各国都在严格地加强信息安全管控,包括计算机、网络、工控机、手机终端等信息设备的安全保密管理。但我国的现状是,金融、电信、国家电网等重点领域的核心IT系统、芯片几乎被国外厂商垄断。因此,国家也正推行国产设备替代国外的进口产品,并逐步建立完整的信息安全保障体系。尽管计算机网络信息技术安全的研究和实践已经取得了很大的进步,但泄密事件仍时有发生,且呈现上升趋势,其中计算机网络方面泄密成为目前最主要的泄密途径,给国家和单位造成了不可估量的损失。
关键词:新时期;信息安全; 保密管理;思考
1 影响信息系统安全的各种因素分析
新时期下影响信息系统安全保密的因素主要有以下几种:
(1)电磁波发射泄露
一类是传导发射,通过电源线和信号线发射。另一类是由于信息设备(包括手机、计算机、服务器等)中的处理器、显示器有较强的电磁波辐射。这些电磁波会把信息设备中的信息发射出去,只要有相应的接收设备,就可以将电磁波接收下来,从中窃取信息设备的所有信息。
(2)网络环境造成泄密
由于计算机网络中的数据默认存在共享,就存在许多泄密漏洞。不法分子可以利用其中存在的漏洞进行攻击,进入系统内进行窃取信息。另外,在互联网上发布信息时把关不严造成秘密被窃取,内部局域网络中的计算机非法连接互联网,极易遭受攻击被窃密;处理涉密信息的计算机系统没有与互联网及其他公共网络进行物理隔离进而造成泄密。
(3)存储介质泄密
计算机硬盘、磁性介质和光介质作为信息存储的主要场所,如果这些介质没有进行有效的管理或没有进行相应的技术防范措施,很容易被复制窃取。比如,在处理废旧硬盘、U盘时,由于磁盘经消磁十余次后,仍有办法可以把存储在里面的信息恢复出来,因此存有秘密信息的磁盘很有可能被不法分子进行利用造成泄密;计算机送外维修时存有秘密信息的硬盘没有拆除,在无人监督的情况下就送外进行修理而造成泄密;设备在更换时存储部件没有进行信息消除处理,就转卖、丢弃或捐赠等,造成泄密。
(4)内部人员泄密
无意识泄密。单位内部人员没有形成安全保密意识,无意中违反保密规章制度造成泄密。故意泄密。不法分子对信息知情人士采用金钱收买、色情诱惑、假意友情迷惑等手段以窃取所需要的秘密信息。信息知情人士一般是涉密人员、单位员工也有可能是单位的工勤人员等,特别信息系统操作员及管理人员尤其关键,如果这类人员被收买,就可以把信息系统内的涉密文件、信息资料等对外非法提供,造成重大泄密。
2 新时期下信息系统安全保密管理
(1)物理措施
物理措施的安全策略是为了保护信息系统、网络设备、打印复印机等硬件实体和网络通信线路免受自然灾害、人为破坏等攻击。单位要严禁用涉密计算机直接或间接地接入互联网,同时放置在同一间办公室的内外网计算机分离,间隔至少保持2米。涉密计算机如果放置于200米范围内不可控位置的话需要配置防电磁波发射泄露的红黑电源及视频保护器等安全保密设备。
(2)访问控制
在入网控制管理方面,采用交换机端口+IP+MAC捆绑的技术手段防止用户随意更改IP地址和随意更换交换机端口,做到设备入网可控。在网络边界配备防火墙,设置相应的访问控制策略,控制细粒度达到单个主机级别。设置允许策略规则,默认策略设置为禁止规则,主要是用来保护网络系统不受外部威胁,通过设置出和入的控制策略,保障网络信息安全。
另外,在核心交换机上设置访问控制策略,设置内部用户之间以及内部用户和服务器之间的访问控制规则,保障不同安全域的用户不能互相访问,不同业务的用户只能访问所需要的服务器及信息系统,保障了信息知悉的最小范围,保障了保密信息不扩大知悉范围。
(3)操作系统安全策略
服务器要设置好相应的安全管理策略,主要包括有服务器安全审核策略、组策略实施、服务器备份策略等。服务器安全审核是管理员日常工作,审核的范围包括安全漏洞检查、日志分析、系统补丁安装情况检查等。在部署组策略时,可以通过组策略配置软件限制策略、密码策略、账户锁定策略及Kerberos策略、审核策略、安全选项等控制一个域范围的所有信息设备的安全保密管理。服务器的备份策略包括应用软件备份和数据库备份两部分,应用软件备份利用专用备份程序,制定一个合理的备份内容、时间点的策略,对于关键应用系统每天都做完全的数据备份,同时把备份的数据及时进行异地备份,并定期检查其备份文件是否成功可用,并对备份数据采用虚拟机的形式恢复还原测试备份数据的完整性、可用性。
(4)人员方面安全管理措施
在信息安全保密管理方面,人的安全保密意识是至关重要的因素。即使我们配置最先进的安全防护设备设施工具,使用256位加密技术处理和存储信息数据,只要我们“人”这一拥有信息安全技术的主体没有真正的信息安全责任意识,那我们的信息照样是不安全不可靠的。要让每一位人员都深深地意识到安全保密是红线,是企业的生命线,从思想认识上增强信息安全保密意识。信息安全保密教育是做好信息安全保密工作的基础和前提,信息保密管理部门要制定切实可行的信息安全保密管理规章制度,简单明了操作性强,并认真培训贯彻严格执行。
(5)技术与管理并重保信息安全
我们应该认识到如果没有强有力的管理来支撑,就是再先进的技术防范措施都会大打折扣,再高深技术也离不开人的使用和管理,信息安全是“三分靠技术,七分靠管理”,所以信息安全保密工作不能完全寄希望于先进的安全保密技术设备,而应该是技术与管理并重。所以我们都要严格遵守执行国防军工单位的保密的“六条规定”:第一、禁止私自在机关、单位登录互联网;第二、禁止在家用计算机处理涉密信息;第三、禁止涉密网与互联网连接或在连接互联网计算机处理涉密信息;第四、禁止私自留存涉密计算机、涉密移动存储介质或涉密文件资料;第五、禁止在涉密计算机与非涉密计算机之间交叉使用移动存储介质;第六、禁止擅自对外披露单位涉密信息和内部信息。遵守单位的安全保密管理规章制度,规范安全保密行为,养成良好的习惯,防止泄密事件发生。从技术和管理方面加强信息安全保密体系建设,真正做到保密工作与业务工作同计划、同部署、同检查、同总结、同奖惩,确保信息安全,确保国家安全。
(6)信息安全评估
信息安全评估是信息系统全生命周期中一个重要环节,根据环境、人员、信息设备等方面的变化信息安全的风险也是动态变化的,只有动态的定期进行评估才能发现存在的安全风险。要做到每年至少进行一次安全风险评估,及时发现风险漏洞并及时整改,以消除或降低信息安全风险。
参考文献
[1] 李春波. 计算机信息系统安全与管理[J]. 中国科技投资,2019,(15).
[2] 林海军. 计算机信息系统保密技术及防范管理分析[J]. 数字通信世界,2020,(4).
[3] 王玲玲,张倩. 计算机信息系统的保密技术及安全管理研究[J]. 科技风,2020,(6).
[4] 杜婧子,刘烜塨. 计算机信息系统保密技术与安全管理方式研究[J]. 信息与电脑,2018,(5):208-210.
[5] 张晗. 计算机信息系统保密技术与安全管理方式研究[J]. 电脑迷,2018,(2):57.
[6] 肖小华,徐志刚.?计算机信息系统保密技术与安全管理方式分析[J]. 信息与电脑(理论版),2018,(21):205-206.