关于企业涉密信息系统安全防范措施的思考

0引言

我国涉密信息系统和国际互联网是物理隔离的，因此受到外来攻击的可能性不大，主要的威胁是来自内部。但彻底防止内部人员的主动泄密从技术上讲是不可能的，内部知情人员可以不通过任何计算机就可以把所知的秘密透露出去，因此涉密信息系统安全保密的技术防范工作主要是防止无意、意外的泄密，并严格控制知密的范围，尽量降低泄密事件对国家和企业的危害和影响程度。从上述角度来看，涉密信息系统目前安全保密实际需要解决的问题主要包括：（1）便携电脑和移动存储介质的意外丢失不可避免而且客易发生。（2）访问撞制管理不严可能导致员工看到了不该看到的涉密资料。（3）计算机输入输出控制不严会大大增加泄密的风险。（4）审计手段的缺乏难以及时发现员工的违规行为。

我们需要重点解决企业实际存在的这些问题，确保做到有的放矢。下面从便携电脑、移动存储介质、信息共享、网络安全、桌面安全、安全审计等方面的技术防范角度，来分析企业涉密信息系统安全保密技术防范措施。

1便携电脑的技术防范

便携电脑的丢失难以避免且容易发生，因此企业必须做好便携电脑的技术防范工作，以减少因无法避免的丢失而带来的风险。便携电脑的技术防范措施主要包括：安装强身份认证系统，例如指纹或usbkey等，以确保盗窃者无法打开计算机;采用加密软件加密涉密文件，使盗窃者无法打开涉密文件;规定便携电脑上不能够存储涉密文件，涉密文件存储在移动存储介质上，存储介质和便携电脑分开存放。

目前国内主要采取第三条技术防范措施，要求便携电脑上不得存储涉密文件，这种措施实施起来有一定的难度，需要定期检查便携电脑中是否存有涉密文件或曾经存储过涉密文件，一旦发现就需要用永久性删除软件彻底删除涉密文件以及记录，特别是用户已经删除了涉密文件但留有记录，需要对整个逻辑分区进行未用空间的彻底清除，费时又费力。

这里建议还要联合采用第一条和第二条技术措施。目前国内的单机版主机监控审计软件大都能实现这两种功能，一方面可以通过usbkey实现便携电脑的强身份认证，另一方面如果确实需要将涉密文件存放在便携电脑中，那就要求将涉密文件存放在加密文件夹中，由主机监控审计软件实现涉密文件的自动加密，涉密文件使用完后应及时删除。但国内这些加密软件都不能实现对整个硬盘的加密，如果用户将涉密文件存放在加密文件夹之外，涉密文件就不能实现自动加密。

目前市场上已经出现了全加密硬盘，例如希捷的全加密硬盘，可以从硬盘内部加密全部的存储数据，甚至是临时文件。这种硬盘即使丢失，盗贼即使可以登录系统，也无法访问硬盘。此外还有全硬盘加密软件，例如pgp公司和pointset移动技术公司都提供这种类型的软件，微软vista用可信赖平台模块（tpm）的内置式安全芯片作为自己的bitlocker驱动器加密的一部分，也可以实现全硬盘的加密。以上的加密措施可以较好地保证涉密文件的安全，但国内保密管理部门目前还没有对任何商用的加密产品提供过安全保密认证，也就是说，企业丢失加密的涉密文件还是要负责任的。2移动存储介质的技术防范

移动存储介质和便携电脑一样，丢失难以避免，因此企业也必须实施好移动存储介质的技术防范措施。移动存储介质的技术防范措施主要是加密，使盗窃者无法打开移动存储介质中的涉密文件。