【 摘 要 】 論文以網(wǎng)絡(luò)準(zhǔn)入確認(rèn)信息發(fā)送者、接收者的身份為基礎(chǔ)，建立起計(jì)算機(jī)終端涉密文檔敏感數(shù)據(jù)庫，并對(duì)數(shù)據(jù)庫文件實(shí)施安全定級(jí)，應(yīng)用模糊匹配法、精確匹配法，實(shí)現(xiàn)了發(fā)現(xiàn)和控制計(jì)算機(jī)終端敏感文庫，并提出了運(yùn)用傳輸指紋庫技術(shù)、白名單機(jī)制，實(shí)現(xiàn)了在傳輸網(wǎng)絡(luò)數(shù)據(jù)中成功管理涉密敏感文檔數(shù)據(jù)，進(jìn)而提高了邊防部隊(duì)工作的效率。

【 關(guān)鍵詞 】 邊防部隊(duì)；計(jì)算機(jī)終端數(shù)據(jù)；防泄漏技術(shù)

【 Abstract 】 This paper on network access confirmed the identity of the sender and receiver based， to establish sensitive computer terminal secret document database， and security classification of the implementation of the database files. Application of fuzzy matching method， the exact matching method， to realize the detection and control of computer terminal sensitive library， and puts forward the application of transmission of fingerprint technology， white list mechanism， realize the successful management of confidential document data in the data transmission network， and improve the efficiency of the frontier forces work.

【 Keywords 】 frontier forces； computer terminal data； anti leakage technology

1 引言

在公安邊防信息技術(shù)不斷發(fā)展下，很多業(yè)務(wù)數(shù)據(jù)都需要在網(wǎng)絡(luò)環(huán)境中處理。但最近幾年來，發(fā)生了很多起網(wǎng)絡(luò)信息泄密的事件，對(duì)我國(guó)信息的安全有著很大的威脅。發(fā)生這樣的事件，直接表明當(dāng)前我國(guó)邊防部隊(duì)內(nèi)部信息系統(tǒng)安全保密工作做得不好，存在很多問題?；诖耍疚奶岢鼋鉀Q這些問題的辦法，希望能夠?yàn)檫叿啦筷?duì)信息安全部門起到借鑒的作用。

2 網(wǎng)絡(luò)準(zhǔn)入與定期健康檢查

2.1 “一機(jī)兩用”作為入網(wǎng)合規(guī)性的主要要求

在互聯(lián)網(wǎng)中，用戶終端計(jì)算機(jī)沒有安裝或者安裝不及時(shí)終端計(jì)算機(jī)，一旦在接入網(wǎng)絡(luò)后，就很有可能讓潛在安全威脅進(jìn)入，讓安全威脅在大范圍、大規(guī)模的擴(kuò)散，從而致使內(nèi)部信息出現(xiàn)泄漏的隱患。從本質(zhì)上而言，網(wǎng)絡(luò)安全是管理問題，內(nèi)部信息管理應(yīng)從用戶終端安全接入網(wǎng)絡(luò)控制上著手實(shí)施，對(duì)接入網(wǎng)絡(luò)用戶終端實(shí)施定期或者不定期的健康檢查，不斷提高計(jì)算機(jī)終端防御病毒能力，進(jìn)而避免計(jì)算機(jī)終端泄密應(yīng)做好幾點(diǎn)工作：（1） 在公安網(wǎng)范圍內(nèi)，構(gòu)建起嚴(yán)格、有效的認(rèn)證身份結(jié)構(gòu)體系；（2） 準(zhǔn)確判定外端設(shè)備，并對(duì)其控制；（3） 嚴(yán)格檢測(cè)公安網(wǎng)計(jì)算機(jī)終端的合法性、科學(xué)性。

內(nèi)部信息網(wǎng)絡(luò)層防護(hù)重點(diǎn)是對(duì)公安網(wǎng)計(jì)算機(jī)終端入網(wǎng)實(shí)施身份認(rèn)證，也就是用戶準(zhǔn)入機(jī)制的構(gòu)建，一機(jī)兩用監(jiān)控作為公安網(wǎng)準(zhǔn)入的根本要求，在注冊(cè)計(jì)算機(jī)終端成功之后，也就是通過了認(rèn)證，一機(jī)兩用監(jiān)控結(jié)構(gòu)體系就是及時(shí)采用綁定IP/MAC方式，對(duì)終端網(wǎng)絡(luò)配置實(shí)施鎖定，同時(shí)監(jiān)測(cè)終端網(wǎng)絡(luò)聯(lián)網(wǎng)基本狀況，避免違規(guī)外聯(lián)情況的發(fā)生，一旦出現(xiàn)這一情況，應(yīng)及時(shí)報(bào)警。

2.2 入網(wǎng)控制的主要方法

在確定出IP地址唯一性的前提下，公安網(wǎng)計(jì)算機(jī)基礎(chǔ)環(huán)境監(jiān)測(cè)終端入網(wǎng)行為通常都是借助于分析通信協(xié)議而完成的，查看和分析是否出現(xiàn)流量異常的行為，一旦有數(shù)據(jù)包突增的情況下，要在第一時(shí)間內(nèi)報(bào)警，并對(duì)其檢測(cè)是否正常，如果是一些帶有攻擊性的數(shù)據(jù)，要及時(shí)通過有關(guān)設(shè)備對(duì)其阻止，防止其繼續(xù)傳播。想要使此方法有效，應(yīng)借助于專用設(shè)備中所具有的協(xié)議分析功能，對(duì)網(wǎng)絡(luò)拓?fù)淇茖W(xué)規(guī)劃，這可以減少成本，但也有不足之處，劃分子網(wǎng)太多，雖然能夠?qū)⒉徽５膹V播數(shù)據(jù)屏蔽，但是也會(huì)使網(wǎng)絡(luò)拓?fù)湓桨l(fā)復(fù)雜。

3 信息數(shù)據(jù)傳輸全過程數(shù)據(jù)防護(hù)對(duì)策

3.1 分級(jí)數(shù)據(jù)

在上文中所闡述的公安邊防部隊(duì)文件、密級(jí)、組織等，只是為講述有關(guān)內(nèi)容而對(duì)其設(shè)置的，其實(shí)際應(yīng)用還要結(jié)合具體情況而言。核心數(shù)據(jù)：保密等級(jí)最高，需對(duì)其嚴(yán)格保護(hù)；重要數(shù)據(jù)：保密等級(jí)為中等，應(yīng)要重點(diǎn)保護(hù)的數(shù)據(jù)信息，適宜在機(jī)涉密網(wǎng)中進(jìn)行；內(nèi)部數(shù)據(jù)：保密等級(jí)一般，所需要的保護(hù)的數(shù)據(jù)信息，一般都是公安內(nèi)部網(wǎng)的資料；公開數(shù)據(jù)：對(duì)公安內(nèi)部人員所公開的數(shù)據(jù)，在內(nèi)部網(wǎng)上所發(fā)布的數(shù)據(jù)信息。

3.2 規(guī)劃角色屬性

對(duì)于保密主體而言，其創(chuàng)造文件者、使用文件者都將納入其中，在保密體系中的人員必須應(yīng)與自身所負(fù)責(zé)的工作和角色所關(guān)聯(lián)，除了高層領(lǐng)導(dǎo)者之外，無論哪個(gè)跨組織或者跨角色的人員使用文件都要受到限制。

（1） 在技術(shù)手段的利用下，對(duì)角色身份進(jìn)行確認(rèn)，在有關(guān)信息系統(tǒng)中確認(rèn)身份；（2） 角色并不是一成不變的，在角色職權(quán)范圍有變動(dòng)時(shí)，有關(guān)文件使用層次和范圍也應(yīng)發(fā)生相應(yīng)的變動(dòng)，但在實(shí)際執(zhí)行過程中，很難做到，必須要有強(qiáng)有力的制度體系才能做好這項(xiàng)工作；（3） 使用文件的范圍，應(yīng)結(jié)合各角色關(guān)系，在技術(shù)手段上對(duì)其控制。

3.3 對(duì)比數(shù)據(jù)防護(hù)技術(shù)

在實(shí)際應(yīng)用數(shù)據(jù)防泄漏過程中，每一類防護(hù)技術(shù)都有各自的實(shí)現(xiàn)原理和特性，具體表如表1所示。

從表1中能夠看出，無論是加密類、過濾類，還是控制類的數(shù)據(jù)防泄漏技術(shù)，既有優(yōu)點(diǎn)，也有不足，特別是在一些因素的影響下，導(dǎo)致數(shù)據(jù)防泄漏中還有很多問題。在這樣的情況下，用戶想要更安全的保護(hù)信息，就要采購多種安全防護(hù)產(chǎn)品，希望能夠在大投入、多設(shè)備的管理下，實(shí)現(xiàn)信息安全管理。但每個(gè)產(chǎn)品在整體設(shè)計(jì)上都有缺陷，不同廠商兼容性、配合度都很低，往往都達(dá)不到用戶安全管理數(shù)據(jù)的目的。

4 網(wǎng)絡(luò)層涉密數(shù)據(jù)傳輸檢查與防護(hù)

4.1 識(shí)別傳輸敏感數(shù)據(jù)

在工作過程中，F(xiàn)TP、即時(shí)通信工具、E-mailD等傳輸數(shù)據(jù)都成為了家常便飯，但也正因?yàn)槿绱耍孤稊?shù)據(jù)形式和渠道越發(fā)多樣，五花八門的網(wǎng)絡(luò)泄密案件為邊防部隊(duì)帶來了很大的工作壓力。為了能夠保護(hù)信息安全，必須要監(jiān)控網(wǎng)上信息。為了確保內(nèi)部信息的安全，基于多種保護(hù)信息安全的技術(shù)，降低泄露敏感數(shù)據(jù)的風(fēng)險(xiǎn)。對(duì)關(guān)鍵字過濾技術(shù)的敏感性監(jiān)控系統(tǒng)對(duì)其進(jìn)行部局，對(duì)終端信息安全動(dòng)態(tài)實(shí)時(shí)監(jiān)控，在發(fā)現(xiàn)匹配信息的第一時(shí)間內(nèi)，就給廣大用戶提示，并將其上報(bào)給上級(jí)部門，爭(zhēng)取及時(shí)制止違規(guī)違法行為。

（1） 檢測(cè)發(fā)送者、接收者的身份，在傳輸網(wǎng)絡(luò)數(shù)據(jù)中，公安邊防部已經(jīng)建立健全的角色和數(shù)據(jù)映射關(guān)系，對(duì)發(fā)送者和接收者的屬性實(shí)施檢測(cè)，進(jìn)而實(shí)現(xiàn)數(shù)據(jù)在安全領(lǐng)域內(nèi)傳輸。（2） 數(shù)據(jù)傳輸白名單的構(gòu)建。為了避免公安邊防部隊(duì)出現(xiàn)泄露數(shù)據(jù)信息的情況，在分類分級(jí)數(shù)據(jù)中，構(gòu)建起完善的白名單傳輸系統(tǒng)，確保敏感數(shù)據(jù)在網(wǎng)絡(luò)系統(tǒng)中良好傳播。

4.2 構(gòu)建起數(shù)據(jù)傳輸指紋庫

在公安網(wǎng)絡(luò)傳輸數(shù)據(jù)中包括結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)兩種類型。結(jié)構(gòu)化數(shù)據(jù)就是在數(shù)據(jù)庫中的數(shù)據(jù)；非結(jié)構(gòu)化數(shù)據(jù)文本、報(bào)表、音頻、辦公文檔等文件。

（1） 檢測(cè)非結(jié)構(gòu)化數(shù)據(jù)指紋。即檢測(cè)非結(jié)構(gòu)化數(shù)據(jù)指紋的生成，構(gòu)建出敏感的數(shù)據(jù)指紋特征庫。在檢測(cè)中，系統(tǒng)自動(dòng)對(duì)比需要檢測(cè)的數(shù)據(jù)指紋特征和受保護(hù)的文檔指紋特征，并給出檢測(cè)結(jié)果，一旦二者的相似度已大于閾值，就可以得出需要檢測(cè)的非結(jié)構(gòu)數(shù)據(jù)里有敏感數(shù)據(jù)這一結(jié)論，然后立即對(duì)其阻斷。

（2） 結(jié)構(gòu)化數(shù)據(jù)指紋的檢測(cè)。先要對(duì)需要保護(hù)的公安邊防部隊(duì)數(shù)據(jù)庫表關(guān)鍵單元格構(gòu)建出結(jié)構(gòu)化指紋庫。在對(duì)其實(shí)時(shí)檢測(cè)中，將需要檢測(cè)的指紋特征和受保護(hù)的結(jié)構(gòu)化指紋特征對(duì)比，一旦發(fā)現(xiàn)其中出現(xiàn)公安邊防部隊(duì)關(guān)鍵字?jǐn)?shù)據(jù)表特征中的內(nèi)容，將其視為敏感性的內(nèi)容，及時(shí)阻斷。

5 結(jié)束語

總之，公安網(wǎng)絡(luò)具有多變性、復(fù)雜性等特征，也正是因此如此，決定了公安網(wǎng)絡(luò)中會(huì)存在著安全威脅。在科學(xué)技術(shù)快速發(fā)展的今天，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的依賴越發(fā)加大，公安部門也毫不例外。為了能夠確保網(wǎng)絡(luò)通信系統(tǒng)的安全、有效，在計(jì)算機(jī)終端數(shù)據(jù)防泄漏工作中，公安邊防部門也要在網(wǎng)絡(luò)技術(shù)的提高下，不斷提高、不斷加強(qiáng)，及時(shí)清除一切安全隱患，確保網(wǎng)絡(luò)系統(tǒng)的正常、安全運(yùn)行。

參考文獻(xiàn)

[1] 石波，王紅艷，郭旭東.基于業(yè)務(wù)白名單的異常違規(guī)行為監(jiān)測(cè)研究[J].信息網(wǎng)絡(luò)安全，2015，（09）.

[2] 周益周，謝小權(quán).云環(huán)境下基于VMI技術(shù)的入侵檢測(cè)架構(gòu)研究[J].電子設(shè)計(jì)工程，2016，（01）.

[3] 周益周，王斌，謝小權(quán).云環(huán)境下軟件定義入侵檢測(cè)系統(tǒng)設(shè)計(jì)[J].信息網(wǎng)絡(luò)安全，2015，（09）.

作者簡(jiǎn)介：

施然（1981-），男，云南昆明人，本科學(xué)歷，助理工程師；主要研究方向和關(guān)注領(lǐng)域：計(jì)算機(jī)網(wǎng)絡(luò)研究。