王偉雄

（廣州民航職業(yè)技術(shù)學(xué)院，廣東廣州 510403）

內(nèi)網(wǎng)移動(dòng)存儲(chǔ)設(shè)備安全管理方案的探討

王偉雄

（廣州民航職業(yè)技術(shù)學(xué)院，廣東廣州 510403）

文章通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)中內(nèi)網(wǎng)移動(dòng)存儲(chǔ)設(shè)備安全現(xiàn)狀的分析，提出針對(duì)內(nèi)網(wǎng)移動(dòng)存儲(chǔ)設(shè)備的安全管理解決方案，從技術(shù)和管理等方面闡述在內(nèi)網(wǎng)移動(dòng)存儲(chǔ)設(shè)備安全管理方案制定中的關(guān)鍵問題，加強(qiáng)對(duì)內(nèi)網(wǎng)移動(dòng)存儲(chǔ)設(shè)備進(jìn)行妥善管理，防止信息泄密的方案。

內(nèi)網(wǎng)；移動(dòng)存儲(chǔ)設(shè)備；安全管理

2014年1 月各大媒體相繼報(bào)道了“湖南冷水江市公務(wù)員工資‘被公開’”的消息，經(jīng)查造成該信息被泄露的原因是由于湖南省冷水江市財(cái)政部門管理人員在自己工資查詢系統(tǒng)上設(shè)置了一個(gè)弱密碼，被網(wǎng)友發(fā)現(xiàn)后將密碼公布于網(wǎng)絡(luò)，從而導(dǎo)致該市公務(wù)員工資的詳細(xì)信息被眾多互聯(lián)網(wǎng)用戶瀏覽到。

上述是一起典型的單位內(nèi)部數(shù)據(jù)信息外泄事件。從表面來看，這是由于該市工資查詢系統(tǒng)與開放的互聯(lián)網(wǎng)連接，缺乏必要的安全保護(hù)措施所引起。但是，隨著互聯(lián)網(wǎng)、移動(dòng)存儲(chǔ)設(shè)備的應(yīng)用，越來越多的企業(yè)或機(jī)構(gòu)想將本部門的內(nèi)網(wǎng)與外網(wǎng)(因特網(wǎng))完全區(qū)分已經(jīng)非常困難，那么該如何對(duì)企業(yè)內(nèi)部的數(shù)據(jù)進(jìn)行安全防護(hù)呢？在這種情況下，怎樣才能保障企業(yè)的信息安全呢?相信每個(gè)企、事業(yè)部門內(nèi)的IT管理者都會(huì)關(guān)心問題的答案。所以內(nèi)網(wǎng)安全管理是非常重要和必要的，而內(nèi)網(wǎng)移動(dòng)存儲(chǔ)設(shè)備的安全管理不可能單獨(dú)存在的，它和內(nèi)網(wǎng)安全管理相互依存，它是內(nèi)網(wǎng)安全管理重要組成部分和一個(gè)復(fù)雜的系統(tǒng)工程。

1 內(nèi)網(wǎng)移動(dòng)存儲(chǔ)設(shè)備安全現(xiàn)狀概述

保證內(nèi)網(wǎng)信息安全的重要手段是對(duì)內(nèi)網(wǎng)中所使用的移動(dòng)存儲(chǔ)設(shè)備進(jìn)行有效和安全的管理。移動(dòng)存儲(chǔ)設(shè)備作為現(xiàn)代信息的載體，它具有靈活性和便捷性，從而使它迅速得到普及，當(dāng)移動(dòng)存儲(chǔ)設(shè)備里存儲(chǔ)越來越多的敏感信息、秘密數(shù)據(jù)和檔案資料時(shí)，而目前對(duì)于移動(dòng)存儲(chǔ)設(shè)備的管理是非常不規(guī)范的，但大多數(shù)單位缺乏嚴(yán)格的保密管理措施，要不是保密管理措施不具體，更甚者它就根本未被納入保密管理范疇內(nèi)：對(duì)涉及保密的軟盤、磁盤、移動(dòng)硬盤等沒有進(jìn)行登記，沒有進(jìn)行加密標(biāo)識(shí)，與普通存儲(chǔ)設(shè)備混合使用，出現(xiàn)故障后隨便丟棄或重新格式化后繼續(xù)使用等。上述這些現(xiàn)象肯定會(huì)給企、事業(yè)單位的涉密和敏感信息資料帶來了非常大的安全隱患，具體情況分析如下：

第一種情況是單位工作人員在內(nèi)部使用了沒有納入管理的移動(dòng)存儲(chǔ)設(shè)備，如個(gè)人U盤、移動(dòng)硬盤、軟盤或光盤等，造成攜帶各種計(jì)算機(jī)病毒或惡意代碼侵入內(nèi)部網(wǎng)絡(luò)，從而造成電腦病毒的傳播和泛濫。

第二種情況是一些帶有惡意的內(nèi)部工作人員使用移動(dòng)存儲(chǔ)設(shè)備把本單位重要數(shù)據(jù)復(fù)制帶出外面，從而造成本單位涉密信息向外涉密。

第三種情況是當(dāng)移動(dòng)存儲(chǔ)設(shè)備丟失或者被盜后，存儲(chǔ)在移動(dòng)存儲(chǔ)設(shè)備上的內(nèi)網(wǎng)涉密數(shù)據(jù)或文件很容易失控，從而造成信息泄密。

2 內(nèi)網(wǎng)移動(dòng)存儲(chǔ)設(shè)備的安全管理方案探討

通過上述內(nèi)網(wǎng)移動(dòng)存儲(chǔ)設(shè)備泄密隱患的分析，本文提出內(nèi)網(wǎng)移動(dòng)存儲(chǔ)設(shè)備安全管理的解決方案，目的是消除移動(dòng)存儲(chǔ)設(shè)備引起泄密的隱患，保證內(nèi)網(wǎng)涉密信息的安全，下面列舉幾種具體的解決方案。

2.1 建立統(tǒng)一的用戶身份管理認(rèn)證體系

建立統(tǒng)一的用戶身份管理認(rèn)證體系主要是通過移動(dòng)存儲(chǔ)設(shè)備的注冊(cè)授權(quán)、權(quán)限管理、訪問控制、數(shù)據(jù)保護(hù)等多種手段，既防止外部非法移動(dòng)設(shè)備在內(nèi)網(wǎng)中使用，又可防止因內(nèi)部移動(dòng)存儲(chǔ)設(shè)備丟失等而造成的數(shù)據(jù)信息泄密，同時(shí)通過對(duì)內(nèi)網(wǎng)移動(dòng)存儲(chǔ)設(shè)備的統(tǒng)一管理，記錄移動(dòng)存儲(chǔ)設(shè)備的使用情況，使得內(nèi)部移動(dòng)存儲(chǔ)設(shè)備可控制可管理，具體的系統(tǒng)部署如圖1所示。

2.2 建立內(nèi)網(wǎng)安全管理平臺(tái)

建立基于內(nèi)網(wǎng)安全和可信計(jì)算理論研發(fā)的內(nèi)網(wǎng)安全系列管理平臺(tái)，就是以密碼技術(shù)為支撐，以身份認(rèn)證為基礎(chǔ)，以數(shù)據(jù)安全為核心，以監(jiān)控審計(jì)為輔助，靈活全面的定制并實(shí)施各種安全策略，可以解決用戶在傳統(tǒng)PC架構(gòu)下的數(shù)據(jù)安全問題，并可針對(duì)內(nèi)部網(wǎng)絡(luò)的用戶身份和計(jì)算機(jī)終端管理、數(shù)據(jù)信息保密、數(shù)字知識(shí)產(chǎn)權(quán)保護(hù)、應(yīng)用系統(tǒng)保護(hù)、文檔安全保密以及網(wǎng)絡(luò)狀況監(jiān)控維護(hù)等安全問題提出了整體的解決方案。

內(nèi)網(wǎng)安全管理平臺(tái)可以從信息的源頭開始抓安全，對(duì)信息的存儲(chǔ)、交換和使用等環(huán)節(jié)實(shí)現(xiàn)全面保護(hù)，并可通過主動(dòng)加密、事前控制、事中監(jiān)視、事后審計(jì)等四種手段相結(jié)合，可以達(dá)到外部入侵進(jìn)不來、非法外接出不去、內(nèi)外勾結(jié)拿不走、拿走東西看不懂的效果，有效防止機(jī)密敏感信息的泄露，為企、事業(yè)單位構(gòu)建了一個(gè)可信可控的內(nèi)網(wǎng)環(huán)境。

2.3 建立移動(dòng)存儲(chǔ)設(shè)備的安全管理平臺(tái)

移動(dòng)安全管理平臺(tái)由移動(dòng)安全接入系統(tǒng)、移動(dòng)終端管理系統(tǒng)、移動(dòng)安全應(yīng)用系統(tǒng)和移動(dòng)安全SDK等四個(gè)子系統(tǒng)組成。

移動(dòng)安全接入系統(tǒng)從網(wǎng)絡(luò)的移動(dòng)用戶身份安全、移動(dòng)終端接入安全、網(wǎng)絡(luò)通信安全和應(yīng)用訪問控制等環(huán)節(jié)進(jìn)行綜合安全防護(hù)，為用戶確認(rèn)合法使用者提供安全通道，并通過移動(dòng)安全接入網(wǎng)關(guān)實(shí)現(xiàn)應(yīng)用系統(tǒng)的訪問控制。

移動(dòng)終端管理系統(tǒng)為企業(yè)用戶提供終端設(shè)備的遠(yuǎn)程管理能力，包括終端存儲(chǔ)設(shè)備及端口的管理、軟硬件資產(chǎn)日志審計(jì)報(bào)表、遠(yuǎn)程數(shù)據(jù)管理及銷毀等。

移動(dòng)安全應(yīng)用系統(tǒng)以應(yīng)用系統(tǒng)支撐框架為基礎(chǔ),提供插件式安全應(yīng)用。實(shí)現(xiàn)安全應(yīng)用數(shù)據(jù)加密、環(huán)境安全。

移動(dòng)安全SDK提供基于移動(dòng)安全管理平臺(tái)開發(fā)所需的函數(shù)、說明文檔、相關(guān)工具及示例。通過SDK開發(fā)可實(shí)現(xiàn)安全身份認(rèn)證、數(shù)據(jù)傳輸加密、數(shù)據(jù)存儲(chǔ)加密等功能。

2.4 建立科學(xué)規(guī)范的管理制度

既然移動(dòng)存儲(chǔ)設(shè)備管理存在那么多安全隱患，企、事業(yè)單位就應(yīng)該在上述措施的基礎(chǔ)上，建立起一套系統(tǒng)的、科學(xué)高效、規(guī)范的管理制度并嚴(yán)格執(zhí)行，具體如下：

第一，移動(dòng)存儲(chǔ)設(shè)備管理一定要遵循“統(tǒng)一購買、統(tǒng)一標(biāo)識(shí)、登記注冊(cè)、集中管理、責(zé)任到人”的原則。

第二，絕對(duì)禁止私人攜帶移動(dòng)存儲(chǔ)設(shè)備進(jìn)入辦公區(qū)域，移動(dòng)存儲(chǔ)設(shè)備不單單包括U盤、移動(dòng)硬盤、數(shù)據(jù)相機(jī)、存儲(chǔ)卡、帶拍照和存儲(chǔ)功能的手機(jī)等。

第三，涉及秘密的移動(dòng)存儲(chǔ)設(shè)備由單位指定的相關(guān)部門負(fù)責(zé)統(tǒng)一購買，所購置的設(shè)備必須為正規(guī)廠商生產(chǎn)的合格產(chǎn)品。

第四，各單位一定要建立起統(tǒng)一的移動(dòng)存儲(chǔ)設(shè)備資料庫，記錄設(shè)備的密級(jí)、用途、硬件特征碼、管理部門、責(zé)任人等信息備查，涉及機(jī)密的移動(dòng)存儲(chǔ)設(shè)備要在顯著位置上粘貼密級(jí)標(biāo)識(shí)。所標(biāo)密級(jí)應(yīng)按其所存儲(chǔ)信息的最高密級(jí)進(jìn)行標(biāo)識(shí)。

第五，各單位建立移動(dòng)存儲(chǔ)設(shè)備發(fā)放流程，由專門人員來負(fù)責(zé)設(shè)備的發(fā)放工作，使用移動(dòng)存儲(chǔ)設(shè)備的部門或者個(gè)人必須提出申請(qǐng)，且要說明用途，再到信息安全管理員處領(lǐng)取使用。

第六，如移動(dòng)存儲(chǔ)設(shè)備損壞不得私自拆卸，禁止將損壞的涉密移動(dòng)存儲(chǔ)設(shè)備出售給他人或隨意丟棄，一定要交回信息安全管理部門統(tǒng)一進(jìn)行處理。

第七，涉及機(jī)密的移動(dòng)存儲(chǔ)設(shè)備禁止送到外處進(jìn)行維修，如需要維修必須經(jīng)單位主管領(lǐng)導(dǎo)批準(zhǔn)后并且要在單位信息安全管理員的監(jiān)督下進(jìn)行修理。

第八，再不使用或報(bào)廢的涉及機(jī)密的移動(dòng)存儲(chǔ)設(shè)備，一定要交回信息安全管理部門，采用保密技術(shù)手段保證所存儲(chǔ)信息不可恢復(fù)或者進(jìn)行物理銷毀。銷毀涉及機(jī)密移動(dòng)存儲(chǔ)設(shè)備必須經(jīng)單位領(lǐng)導(dǎo)批準(zhǔn)后并且要履行登記、相關(guān)人員簽字等手續(xù)。

總之，如要實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)移動(dòng)存儲(chǔ)設(shè)備的安全管理，就必須使用嚴(yán)格的身份認(rèn)證系統(tǒng)和網(wǎng)絡(luò)安全管理系統(tǒng)，而且還要建立起一套科學(xué)嚴(yán)謹(jǐn)、細(xì)致完備、權(quán)責(zé)分明、高效有序的管理制度以確保系統(tǒng)的規(guī)范正常運(yùn)行，不然內(nèi)網(wǎng)移動(dòng)存儲(chǔ)設(shè)備的安全管理就根本無法實(shí)現(xiàn)。

3 結(jié)束語

移動(dòng)存儲(chǔ)設(shè)備的廣泛應(yīng)用為人們的信息傳遞帶來了無限的方便，但是也給計(jì)算機(jī)和信息的安全帶來了很大的隱患。如何對(duì)移動(dòng)存儲(chǔ)設(shè)備的使用進(jìn)行規(guī)范和有效的管理，成為計(jì)算機(jī)安全研究者們?cè)絹碓街匾暤囊粋€(gè)課題。目前一般企、事業(yè)的信息安全事故主要由企業(yè)內(nèi)部的員工通過勾結(jié)外部人員所為，為防范這種泄密行為對(duì)企業(yè)造成的損失，應(yīng)該從源頭上來預(yù)防，可以采取內(nèi)控為主，內(nèi)外兼顧的防范方式，提高內(nèi)部設(shè)備的安全性，盡量避免企業(yè)內(nèi)部的信息泄密，以求消除內(nèi)網(wǎng)移動(dòng)存儲(chǔ)設(shè)備中的各種泄密隱患，確保網(wǎng)絡(luò)的安全。

[1] 曾朝蓉.內(nèi)網(wǎng)安全管理方案探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2009⑼.

[2] 張翼春. 信息安全管理為先[J]. 計(jì)算機(jī)安全，2006⑴.

[3] 金波，張兵，王志海.內(nèi)網(wǎng)安全技術(shù)分析與標(biāo)準(zhǔn)探討[J].信息安全與通信保密，2007（7 ）.

[4] 王毅彥.國家電子政務(wù)信息安全平臺(tái)研究[J].計(jì)算機(jī)安全,2005⑹.

Exploration on Intranet mobile storage device security management scheme

WANG Wei-xiong
(Guangzhou Civil Aviation College, Guangzhou, Guangdong, China 510403）

Through the analysis of the security status of internal computer network in the mobile storage device, this paper is proposed to solve the security management for network of mobile storage equipment. It describes the key problems in the development of security program management network in mobile storage devices from the technical and management aspects.The proper management of Intranet mobile storage device should be strengthened to prevent the leakage of information.

Intranet; mobile storage device; security management

10.3969/j.issn.2095-7661.2014.02.0015】

TP309

A

2095-7661(2014)02-0064-03

2014-04-14

王偉雄（1974-），男，廣東河源人，廣州民航職業(yè)技術(shù)學(xué)院講師，研究方向：通信、網(wǎng)絡(luò)技術(shù)、項(xiàng)目管理。