为了照顾生病的女友,322所研究人员谷雨生违反保密规定,将资料使用U盘拷贝回家,继续工作。预谋已久的间谍趁谷雨生买早点的时间,打开他的电脑,将已被删除掉的涉密数据进行了恢复,并用U盘完成了拷贝窃取…
这是电视剧《密战》中的片段,涉密人员保密意识淡薄,管理制度不健全,涉密U盘保管不善,交叉使用,数据删除不彻底,最终造成了绝密级资料被窃取泄密。
据统计,近年来,在国家有关部门发现和查处的泄密案件中,有多起是由于对移动存储介质使用管理不善造成的。利用移动存储介质存在的漏洞,也成为境内外间谍组织窃取涉及国家秘密数据的重要手段之一。以U盘、移动硬盘为代表的移动存储介质,都存在哪些管理漏洞呢?
一、移动存储介质泄密隐患分析
结合《密战》中谷雨生的泄密事件,我们来分析一下涉密移动存储介质使用管理方面存在的安全隐患:
1.管理制度不健全,造成失泄密
涉密人员谷雨生随意将涉密数据拷贝到U盘中携带外出。保密意识淡薄、涉密移动存储介质使用管理的混乱,给了窃密者可乘之机。
2.交叉使用,造成失泄密
保密局在对322所的检查中,U盘随意接入涉密计算机中使用的现象频频出现。非涉密移动存储介质在涉密计算机上使用,涉密移动存储介质在非涉密计算机上使用,涉密移动存储介质在不同密级的涉密计算机上使用,都可能会造成涉密信息外泄,或高密级信息知悉范围扩大等问题。
3.数据xx不彻底,造成失泄密
谷雨生在接受保密局审问时,仍坚持认为U盘中的数据经过删除、清空回收站处理就安全了。而间谍正是对他删除后的数据进行了完整的恢复,才完成了涉密信息的窃取。
4.保管不善,造成失泄密
外出时涉密移动存储介质未随身携带,更无完善的数据加密等防护措施,使涉密数据被非法拷贝,最终造成了涉密数据被窃取。
正由于上述的种种安全隐患,移动存储介质的使用受到了广泛争议。有的单位索性对USB等物理端口进行封堵,甚至拆卸。这种被动的办法一定程度上解决了移动存储介质使用管理过程中出现的泄密问题,但计算机无法使用USB接口,无法通过移动存储介质进行合法的数据交换,对实际工作的方便性也造成了非常大的影响。如何在不影响正常工作的前提下,对移动存储介质的使用进行安全有效的管理,成为当前安全保密工作的首要问题。
正是在这样的背景下,“USB移动存储介质使用管理系统”应运而生。
二、USB移动存储介质使用管理系统解决方案
国家保密局制定了一系列标准和规范,用于指导相关产品的研制和检测,及时堵塞移动存储介质的泄密漏洞。国家保密局在《关于加强新技术产品使用保密管理的通知》和《涉及国家秘密的信息系统分级保护管理规范》,《涉密计算机及移动存储介质保密管理产品技术要求》等文件中,对此类问题也做出了明确要求。
USB移动存储介质使用管理系统应具备以下基本功能:
?对本单位所有涉密移动存储介质进行注册登记,加强涉密移动存储介质台帐管理;
?控制非涉密移动存储介质无法在涉密计算机上使用,避免信息被非法拷贝;
?经过注册的涉密移动存储介质应采取特殊处理,使其在非涉密计算机上无法识别;
?由管理员指定涉密移动存储介质密级、使用范围,控制涉密U盘在不同密级涉密计算机上的读写权限;
?支持配套使用带有数据加密等技术的安全U盘,防范保管不善造成的泄密;
?可对涉密移动存储介质中存储的数据,进行彻底销毁,防范数据恢复造成泄密;
?提供审计信息,可以查询所有涉密移动存储介质的使用情况;
中孚公司成立于1997年,是国内{yl}的信息安全保密产品供应商和安全服务提供商。凭借自身的技术优势,以及多年来对信息安全保密事业的专注,在国内率先研发成功“USB移动存储介质使用管理系统”,并获得首批国家保密局产品认证。
中孚“USB移动存储介质使用管理系统”提供了对移动存储介质从购买、使用到销毁整个过程的xxx管理和控制,在尽量不影响正常工作的前提下,对移动存储介质可能会引起的泄密漏洞进行了有效封堵。除了具备USB移动存储介质使用管理系统的基本要求,还自主研发出众多特色功能。
三、中孚产品特色
1.模块化设计:
系统管理端采用高度模块化设计,各功能模块可以完成不同的特定功能。每个模块既可以与其他模块共用一台服务器,也可以运行在单独一台服务器上,甚至是运行在由多台计算机组成的集群环境下,实现负载均衡。可以根据用户实际情况和具体需求任意组合,进行灵活的部署,即可满足用户大规模管理需求,又充分保护了广大用户的投资;此外未来在该系统基础上所开发的新功能也将采用同样的结构模型,需要新功能的时候只需要将对应模块安插在原有的系统中即可。
2.以分级管理为中心的功能体系:
中孚移动存储介质管理系统以分级管理贯穿整个功能体系,主要体现在:
①基于站点的分级管理
系统提供多级站点管理机制,更符合办公位置分散、机构复杂、人数众多的单位。站点之间相互独立,拥有整个系统全部功能,即使存在上下级关系,站点的封装性也不会被破坏。
分站点具备各自的管理员,可对自身站点内所有保密终端和移动存储介质使用情况进行日常管理,从而分担了上级主管部门繁重的管理工作;同时上级站点的审计管理员还具备对所属下级站点的日志进行审查的权限。各站点既相互独立,又存在上下级关系,从而保障了系统的统一性及兼容性,提高了各单位工作效率。
②基于组织的分级管理
各站点可根据实际情况建立多级组织结构。管理员通过对单位中人员及设备情况,基于部门、科室等结构进行逻辑划分,便于定位与管理。
③基于角色的管理员分级管理
操作系统的维护、保密系统的管理、保密日志的审计工作通常由不同的专职人员完成,中孚移动存储介质管理系统采用分角色管理,实现不同权限的分配。不同管理人员具备不同管理权限,有效避免权限集中造成的误操作、及人为泄密的发生。
④基于使用主体的分级管理
中孚移动存储介质管理系统将移动存储介质使用中的所涉及到的主体分为三类:主机、介质和用户。主机指单位中所有需要进行保密管理的涉密终端;介质指保密系统中使用到的所有移动存储介质;用户指主机与介质的使用者,是涉密终端与涉密介质的责任人。通过对单位中主机、介质、用户的xxx管理和监控,解决移动存储介质泄密的各个渠道。
3.基于磁盘驱动的介质控制技术:
采用基于磁盘驱动的介质控制技术,在操作系统与硬盘之间构建全面的安全防御体系,从硬件层面有效解决操作系统软件给保密系统带来的安全隐患。与基于文件驱动的控制技术相比,主要表现在:
·安全性:保密终端软件防绕过、防卸载能力增强,即使上层应用出现故障,底层驱动仍可对涉密计算机上的数据起到基本防护作用
·稳定性:整个系统有效避免了由于操作系统问题造成的客户端软件异常中断,使客户端软件具备更高稳定性,以保障保密系统整体安全性。
·兼容性:能够适应各式各样的软件环境,与其他安全软件兼容性得到大大增强。
4.联网机与单机,统一策略管理:
安全策略等信息,对于连接于涉密内网的主机,可以通过网络与管理服务器进行同步;对于无网络连接的涉密主机,可以通过“信息交互专用盘”进行策略传输。
同一个系统中,两种主机运行着相同版本的安全策略,涉密移动存储介质只需在管理服务器上进行一次设置,即可在所有授权主机上使用。
5.新技术的全面支持
在信息保密领域,持续不断的新技术的融入是产品革新的有效保证。
根据国家保密法规相关要求,严禁涉密信息由高等级安全域流向低等级安全域。外部数据如何xxx的导入到涉密主机中,成为方便日常工作的关键。目前{zx1}的技术是应用专业的“USB单向传输设备”,从硬件上保证了数据只能从低等级安全域向高等级安全域单向传输,杜绝安全隐患。中孚公司已经成功研发了基于光电转换的“USB单向传输设备”,并将自主研发的安全中间件技术融入到中孚移动存储介质管理系统,在保证安全和保密的前提下提高用户的工作效率。
规范合理的数据结构、闭环的业务处理流程,涵盖了移动存储介质使用过程的每一个环节,使得保密工作“有法可依,有章可循,有据可查”。
