□ 文/ 許榮杰

如何在網(wǎng)絡(luò)時(shí)代做好企業(yè)的保密工作，是我們亟待認(rèn)真研究和探討的重要課題。

隨著石油企業(yè)辦公網(wǎng)絡(luò)信息化建設(shè)的迅速發(fā)展，給管理人員帶來極大工作便利的同時(shí)，也給許多單位和部門的保密工作帶來一定困難。如何在網(wǎng)絡(luò)時(shí)代做好企業(yè)的保密工作，確保信息安全，是我們亟待認(rèn)真研究和探討的重要課題。

驅(qū)“熊貓” 堵塞漏洞缺陷

有機(jī)可乘的系統(tǒng)漏洞。系統(tǒng)漏洞是指應(yīng)用軟件或操作系統(tǒng)軟件在邏輯設(shè)計(jì)上的缺陷或在編寫時(shí)產(chǎn)生的錯(cuò)誤。這些缺陷或錯(cuò)誤可以被他人利用以獲取遠(yuǎn)程計(jì)算機(jī)的控制權(quán)，輕易竊取遠(yuǎn)程計(jì)算機(jī)中的相關(guān)重要資料。盡管通過“打補(bǔ)丁”的方式可以緩解由“漏洞”引起的問題，但是大多數(shù)管理人員沒有及時(shí)“打補(bǔ)丁”的意識和習(xí)慣，造成計(jì)算機(jī)系統(tǒng)長期存在系統(tǒng)漏洞，這就給了一些別有用心的人以可乘之機(jī)。

形同虛設(shè)的簡單口令。隨著中石油系統(tǒng)信息化建設(shè)全面展開，各部門的管理工作越來越依賴互聯(lián)網(wǎng)，但信息化給我們工作帶來便利的同時(shí)，我們的一些基本防范措施卻沒有及時(shí)跟上。表現(xiàn)最為突出的是密碼口令的設(shè)置問題。在某公司進(jìn)行的幾次網(wǎng)絡(luò)信息檢查過程中，就發(fā)現(xiàn)有近一半的電腦未設(shè)置開機(jī)密碼、系統(tǒng)用戶名密碼等情況，即使在設(shè)置了密碼口令的電腦中，絕大部分設(shè)置的口令過短，口令使用周期過長等。這就為竊密者提供了一條通過建立一個(gè)空鏈接，悄悄進(jìn)入遠(yuǎn)程計(jì)算機(jī)的技術(shù)便利。

防不勝防的泄密載體。隨著芯片技術(shù)的高速發(fā)展，移動存儲介質(zhì)的種類日趨多樣，U盤、移動硬盤等在工作中的應(yīng)用十分廣泛。特別是U盤，由于其便于攜帶、方便存取，已經(jīng)普遍地出現(xiàn)在我們的日常工作中，所有工作信息均可以存儲在一個(gè)小小的U盤中。不少人用它私自下載和保存涉密文件，還有的人將工作U盤帶回家，在家庭電腦中進(jìn)行信息處理，甚至隨身攜帶涉密U盤，一旦丟失，損失巨大。除了這些泄密隱患外，U盤一旦被植入病毒，特別是“木馬”病毒后，如果接入石油系統(tǒng)涉密計(jì)算機(jī)，涉密文件就會在不知不覺中被別有用心者竊取。

里應(yīng)外合的病毒侵入。這幾年“熊貓燒香”、“木馬”等名詞，因?yàn)楹碗娔X病毒聯(lián)系在一起，讓我們深受其害。特別是“木馬”病毒，就是一個(gè)竊密者的“好幫手”。如果該U盤是在內(nèi)網(wǎng)中使用的，就有可能造成涉密文檔在內(nèi)網(wǎng)不同主機(jī)間的傳播；如果該U盤插入了外網(wǎng)主機(jī)，涉密文檔就會通過互聯(lián)網(wǎng)，被竊密者遠(yuǎn)程下載。

殺“木馬”完善防范手段

現(xiàn)在科學(xué)技術(shù)發(fā)展很快，竊密手段很先進(jìn)，僅靠人工手段和制度管理，不能完全發(fā)現(xiàn)泄密漏洞，不能保護(hù)企業(yè)秘密安全，需要增加技術(shù)手段，才能發(fā)現(xiàn)泄密漏洞和做好保密工作。

定期檢查涉密系統(tǒng)，從軟件上把好安全保密關(guān)。應(yīng)當(dāng)定期或不定期對操作系統(tǒng)進(jìn)行安全檢查，及時(shí)發(fā)現(xiàn)系統(tǒng)安全隱患，堵塞安全漏洞，消除不安全的苗頭。檢查的內(nèi)容應(yīng)該包括:系統(tǒng)安全漏洞補(bǔ)丁，硬盤的工作狀態(tài)，系統(tǒng)進(jìn)程中有無惡意插件運(yùn)行，病毒是否駐留內(nèi)存；檢查網(wǎng)絡(luò)狀態(tài)，發(fā)包的程度、大小等。一旦發(fā)現(xiàn)安全隱患就要立即采取措施彌補(bǔ)，保持系統(tǒng)和硬盤的正常工作。這樣既可以減少硬盤故障的可能，保證數(shù)據(jù)安全，也會減少涉密資料的丟失或泄露的風(fēng)險(xiǎn)。

設(shè)置相關(guān)防范技術(shù)，確保企業(yè)信息資源安全。設(shè)置訪問控制技術(shù)。訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。訪問控制是保證網(wǎng)絡(luò)安全最重要的核心策略之一，包含有多項(xiàng)技術(shù):一是注冊授權(quán)。各單位應(yīng)對移動磁盤及使用者相關(guān)信息進(jìn)行收集備案，如使用者、使用單位、啟用時(shí)間、磁盤容量、磁盤型號、授權(quán)碼等；在對上述信息注冊之后，將授權(quán)使用碼寫入磁盤。二是使用許可。管理軟件能封鎖當(dāng)前計(jì)算機(jī)的usb接口，當(dāng)經(jīng)過注冊的移動磁盤在安裝有管理軟件的機(jī)器上使用時(shí)，讀取授權(quán)碼，可實(shí)現(xiàn)對授權(quán)移動磁盤的許可，執(zhí)行讀寫操作，而未經(jīng)注冊的則不能在本機(jī)上使用。三是軟件自我保護(hù)。非管理人員，未經(jīng)授權(quán)不能對管理軟件執(zhí)行卸載功能，只有經(jīng)授權(quán)的保密工作人員才能執(zhí)行此功能。四是入網(wǎng)訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，同時(shí)也控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們從哪臺工作站入網(wǎng)。五是網(wǎng)絡(luò)的權(quán)限控制。網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源以及用戶可以執(zhí)行的操作。

全面使用安全防范技術(shù)。對于辦公信息安全防范技術(shù)主要可以采用防毒軟件、防火墻、密碼技術(shù)和虛擬專有網(wǎng)絡(luò)等技術(shù)手段，從技術(shù)手段上切斷企業(yè)信息泄密的渠道和途徑。同時(shí)，作為網(wǎng)絡(luò)信息安全防范的最基本手段密碼口令設(shè)置，要把握好以下4個(gè)原則:即密碼至少有8個(gè)字符長度；最好包含有非字母字符，包括數(shù)字和特殊字符和空格；必須容易記住而不必寫下來；不用看鍵盤而能迅速鍵入，使偷看的人不能識別出鍵入的字符。

加大投入，提高技術(shù)防范能力。在加強(qiáng)保密安全管理的同時(shí)，努力創(chuàng)造條件，不斷加大對保密工作經(jīng)費(fèi)的投入，做到設(shè)施建設(shè)與安全保密兩同步，著力改善安全保密防護(hù)措施，避免因安全防護(hù)設(shè)備落后而造成泄密。堅(jiān)持管理與投入并舉。統(tǒng)一規(guī)范標(biāo)準(zhǔn)，跟蹤檢查督促，發(fā)揮重點(diǎn)涉密單位自身優(yōu)勢，不斷加大單位內(nèi)部保密要害部位硬件設(shè)施投入，提高安全保密防范能力。

規(guī)范涉密存儲介質(zhì)處理工作。涉密存儲介質(zhì)一般都是發(fā)生了數(shù)據(jù)損壞需要維修，對于涉密數(shù)據(jù)恢復(fù)，國家保密局《涉密信息系統(tǒng)集成資質(zhì)管理辦法》規(guī)定有涉密數(shù)據(jù)發(fā)生損毀，應(yīng)該到具有涉密數(shù)據(jù)恢復(fù)資質(zhì)的單位進(jìn)行恢復(fù)。但是對于硬盤的銷毀還沒有具體明確的管理規(guī)定。在實(shí)際過程中，為了保證涉密數(shù)據(jù)的安全，應(yīng)經(jīng)過對硬盤等存儲介質(zhì)的檢測、消磁、安全鑒定等專業(yè)的技術(shù)處理后，再送到指定的涉密存儲介質(zhì)銷毀地點(diǎn)實(shí)施物理銷毀。在對損壞報(bào)廢磁盤進(jìn)行注銷時(shí)，保密工作人員要在管理軟件數(shù)據(jù)庫中將其信息注銷，并出具注銷清單。特別是對尚在保修期內(nèi)的存有涉密信息的新盤，不能為了省錢、省事而直接送到售后服務(wù)單位進(jìn)行維修，以防造成泄密。

完善信息安全管理制度。在網(wǎng)絡(luò)安全中，除了采用相應(yīng)技術(shù)措施之外，制定完善有關(guān)規(guī)章制度，對于確保網(wǎng)絡(luò)的安全、可靠運(yùn)行，將起到十分有效的作用。

完善網(wǎng)絡(luò)的安全管理制度。網(wǎng)絡(luò)安全管理包括確定安全管理等級和安全管理范圍、制定有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度和制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等。

完善行政管理制度。為確保企業(yè)網(wǎng)絡(luò)安全，在強(qiáng)化技術(shù)防范手段的基礎(chǔ)上，還應(yīng)該完善相應(yīng)的行政管理制度。保密工作人員要經(jīng)常對本單位保密工作情況進(jìn)行定期和不定期的檢查，及時(shí)發(fā)現(xiàn)問題，督促解決，檢查情況與單位的績效考核掛鉤；磁盤損壞需報(bào)廢時(shí)，使用人員應(yīng)將其及時(shí)上交，在處理報(bào)廢有關(guān)涉密設(shè)施設(shè)備時(shí)，要確保物理銷毀。

完善人員管理制度。在信息安全保密管理中，人是最基本的因素，加強(qiáng)對人員的培訓(xùn)和管理尤為重要。要強(qiáng)化教育培訓(xùn)制度，通過教育培訓(xùn)，使使用和管理人員有效提高對泄密隱患的認(rèn)識，使保密成為每個(gè)涉密人員的自覺行為。要強(qiáng)化動態(tài)管理，加強(qiáng)對單位內(nèi)流動人員的管理，使人員流動不影響保密管理。人員調(diào)走或離崗時(shí)，所涉及到的保密設(shè)施要到本單位保密工作部門注冊，人員調(diào)入或重新上崗，要重新到保密工作部門進(jìn)行備案、授權(quán)。