第一篇:政府内网中的移动存储介质管理
政府内网中的移动存储介质管理
一、引言
随着计算机应用技术的不断发展,笔记本电脑及移动硬盘、U盘、可擦写光盘等移动存储设备的购置成本不断降低,使用更为方便。由于其体积小、携带方便、存储海量、操作简单、不易损坏特点,笔记本电脑及移动硬盘、U盘等共同组成移动办公的全新理念,成为人们进行日常办公、信息处理与信息交换的首选设备。但是,正是移动办公的“移动”特性却给当前政务内网的信息安全保密工作带来了新的风险,如何防止政务内网敏感信息的外泄,成为政府主管部门当前急需解决的安全问题。
二、政务内网信息泄密的主要途径 ⒈内部网络传输泄密
从理论上讲,只要是物理连接,网络中的任意一台计算机都可以访问其他连在这个网络上正在工作的计算机。现有的安全系统对桌面终端的日常操作及攻击缺乏有效的监控、防护手段,由于网络可以方便地进行资源共享,信息在网络上传输不受监控,对涉密信息没有采取传输范围和传输前密码授权控制,使得一些涉密信息极有可能通过网络从一些开放的终端上方便地传出去而不留痕迹。移动设备与计算机网络相结合,使信息资料更容易散失,使用者不用与信息目标亲密接触,就可以直接从网络上获取共享资源。
⒉载体流转过程中泄密
如今的电子产品日新月异,小巧易带的U盘、移动硬盘、光盘、笔记本电脑甚至MP3等可移动存储的磁介质越来越小,装载的信息量越来越多。使用者对上述移动设备情有独钟,利用这些设备的方便性、实用性上网、储存拷贝一些信息资料实现信息共享、完成信息传递,在看似十分自然的操作中,泄密信息就很容易失密。使用者还往往存在这样的认识误区:只要删除了移动介质上的信息,就可借给他人使用,以为这样他人就无法取得信息。殊不知磁介质有可以被提取还原的特性,他人一样可以取走信息。⒊移动介质丢失造成信息失密
现代化办公产生的大量信息通常以电子文档形式存储,存储介质成为现代信息管理的重要对象。这些存储介质由于其体积小、重量轻,更容易丢失,从而造成信息失密。而笔记本电脑随时处于被盗或丢失的可能状态,如果其中存留有涉密信息,那么当它一旦被盗,将直接造成信息失密。⒋涉密信息的出口不受控造成泄密
对涉密信息没有进行加密处理或者保护处理,将涉密信息通过各种出口,如USB口、串口等方式拷贝出去,出口缺乏必要的监控和审计。对于打印文件的管理,很多部门主要是靠管理员督促,使用者打印时进行登记。如果使用者打印了涉密信息不进行登记,那么管理员便无从追查,更无法提供违规操作的证据。如此存有较大的安全隐患。
⒌非法外联造成泄密
笔记本电脑本身的技术优势,决定了有可能造成内外网的互联。政务内网周边建筑中难免存在家用无线网络或单位无线局域网,这些网络一般用于互联网共享上网或单位办公。因其组网简单,应用要求低,其使用者大多对信息安全意识不强,往往未进行任何安全设置。连接在政务内网中带无线网卡的笔记本电脑有可能自动接入外部无线网络,形成与互联网或外部办公网络的直接互连,如此失去物理隔离,使政务内网信息系统处于可能被嗅探、入侵、窃取信息的境地,从而造成内部信息泄密。而且这种无线外联对政务内网的安全影响具有较大隐蔽性。如果使用者为了工作方便,把与政务工作相关的重要信息,甚至属于保密范畴的信息通过移动存贮设备带入无线网络环境中加工,就更会无意中造成信息的外泄。
⒍涉密移动存储介质维修和报废环节管理松懈造成泄密 涉密移动存储介质管理的制度建设尚属起步阶段,一些单位虽建立了计算机信息管理办法,但原则性规定多,可操作性不强,对移动存储介质的保密管理仅注重于内联网非法外联,而对其购买、使用、检查、修复和销毁等环节缺乏相应的管理措施。如当机器设备发生故障时,随意叫自己的朋友或者外面的人进入机房维修,无关人员也可以随意进出机房,或者将发生故障的计算机、笔记本电脑以及移动存储介质送修前既不做消磁处理,又不安排专人监修,从而有可能导致涉密信息被窃。
三、政务内网移动设备使用中存在的问题与表现 ⒈内、外网交叉共用,存在失密隐患
一是通过U盘、可移动硬盘、MP3等在政务内网和外网之间交替使用,把保存有涉密信息的存储介质接入外网,甚至接入互联网,如此存在严重的泄密隐患;二是一机两用,笔记本电脑既上政务内网,又上互联网,如此存在工作信息通过互联网泄密的隐患。
⒉多人共用,容易造成信息泄密
虽然笔记本电脑购置成本降低,但是仍然没有达到人手一台的普及程度,就必然存在笔记本电脑多人共用的现象。共用的笔记本电脑主要用于出差到外地办公和参加会议,外出时除了用于工作外,不排除其闲暇时用于上网,这样存储在硬盘上的信息存在泄露的可能。另外,当共用笔记本电脑多人使用后,如果使用者没有养成及时清除使用信息的良好习惯,那么就会造成不该知道相关信息的人知道了还处于保密阶段的起草资料或相关数据,这样便出现信息失密情况。
⒊公私混用,存在一定的安全隐患
由于U盘等移动存储设备具有体积较小、存储量大、便于携带、使用方便的优点,因此不少人将U盘、MP3等随身携带和在不同的环境下使用。这样造成单位的资料和个人的资料混杂在一起,而且容易出现使用上的差错。另外当U盘、MP3被借用时,存储在移动介质中的一些重要信息资料存在泄露的风险。
⒋病毒防范不到位,容易形成病毒传播源
在使用过程中,使用者往往忽视对移动设备的查杀毒工作。由于移动设备使用范围较广,不可避免地会出现在外使用时感染计算机病毒的情况,如果不能及时有效地查杀病毒,轻易地将染毒文件在单位的计算机上打开,那么就很容易将病毒传播到政务内网,从而影响到政务内网计算机的应用操作。另外,部分使用者将在外拷贝的一些应用软件使用在政务内网计算机中,也给政务内网安全管理带来一定的困难。⒌缺少有效的移动设备管理监督机制
保密管理部门与移动设备使用者时常处于分离状态。虽然有许多信息安全管理的规章制度,但是不能保证移动设备使用者能够真正遵守规章制度。使用者究竟做了些什么,管理者并不清楚,而电子设备使用痕迹的易删除性,使事后检查无从查考。此外,保密管理人员缺乏,移动设备管理管理经验不足,设备的信息安全检查不严,往往会导致“感觉上重要,而行动上却无从下手”的管理空白。
⒍安全意识淡薄,违规操作现象普遍
一是高密低用,数据安全无保障。由于不同密级的信息系统防护技术要求不同,一些涉密人员为一时方便,存在侥幸心理或没有意识到涉密笔记本电脑和移动存储介质接入到低密级、非涉密系统中,会产生数据泄密隐患。二是低密高用,病毒传播成为可能。个别工作人员将未经授权的私人的移动存储介质使用在涉密系
统中,这些介质往往没有严格的管理和防护,很容易感染病毒或木马程序。如果这些介质被植入“轮渡”木马病毒程序,那么计算机上的涉密文件就会在不知不觉中被别有用心者窃取。
四、构建政务内网移动存储介质标识安全管理系统
技术手段在现代化的保密工作中扮演着越来越重要的角色。针对涉密介质的使用缺乏身份认证、访问控制和审计机制等问题,根据政务内网对涉密介质管理的要求,构建了基于政务内网的移动存储介质标识安全管理系统,以提供对移动存储介质从购买、使用到销毁全过程的管理和控制。⒈安全机制
该安全管理系统基于虚拟磁盘技术,从标识识别、认证授权、访问控制、自身防护、违规监控、数据加密、安全审计等方面对移动存储介质进行失泄密防护管理,以达到下列目的: ⑴进不来:非涉密介质接入涉密计算机上不能使用;⑵拿不走:涉密介质接入非涉密计算机上不能使用;⑶看不懂:数据始终以密文形式存储在介质上,非授权用户不能解密,涉密介质丢失不会造成泄密事故的发生;⑷逃不掉:详细的涉密介质使用日志,泄密事件可追踪,不法分子无处可逃。⒉工作原理
⑴创建标识:采用专用技术,在移动存储介质内结合用户的身份信息,创建唯一的用户标识信息,为移动存储介质的管理、用户身份认证提供鉴别基础;⑵设备及身份认证:利用创建的唯一电子标识信息,实现计算机系统与用户设备间的身份认证,保证没有标识的设备不能在政务内网的计算机上使用,有标识的设备不能在外网计算机上使用;⑶数据加密:采用虚拟磁盘技术,结合专用算法完成数据包加密,采用特殊磁盘格式,并结合身份认证功能达到保护数据机密性的目的;⑷自身防护:采用Windows过滤驱动技术从系统底层防止客户端程序被非法删除、卸载或停用,对客户端程序进行进程、注册表和文件的保护,以确保其自身安全性。⒊系统结构
该安全管理系统包括三大部分:管理员端、审计员端、用户端。其结构与功能关系如下(参见图1)。
⑴管理员端:负责本级用户标识设备的创建和管理,负责下级管理员和审计员根的生成和管理等;⑵审计员端:提取并审计用户端、管理员端的操作日志,在移动存储设备的使用过程中,审计员可随时提取包括注册信息、使用人、使用计算机、使用时间、使用信息和动作等审计记录,可以对移动存储设备的整个使用过程进行监督和审计;
⑶用户端:与移动存储介质之间做双向认证,判别设备是否为有效的标识设备,拒绝非合法标识设备的使用,同时对已标识移动存储介质中存储的数据实现自动透明的加密、解密功能等。⒋应用管理模式
⑴以管理员根的形式构造分级管理模式。上级管理员根创建下一级的管理员根、审计员根。管理员根信息存放在USB KEY内(管理员KEY),审计员根存放在审计员KEY内。
⑵通过管理员程序生成同根的标识设备并可在同根客户端上通用,不同管理员根下发的标识设备不可通用。如工作需要,经管理员程序授权可生成专用标识设备,用于不同根系统之间文件的交换。
⑶内部系统与外部系统之间的文件交换工作可由管理员程序完成。
⑷审计员程序经过审计员KEY认证,对同根管理员和用户客户端的操作行为做审计工作。
系统应用模式与分级管理如图2所示。⒌分级部署方案
⑴由最高管理员制作工具生成政务内网的移动存储介质标识系统的总根。
⑵由最高管理员根生成政务内网的第一级管理员根及审计员根。⑶由第一级管理员根制作与管理本根下的用户标识设备。
⑷可根据政务内网的行政区划管理工作需要,管理员根可向下制作第二级管理员、审计员根,用于生成第二级移动存储介质标识系统。依此类推,可继续向下生成下一级的标识系统。⑸管理员端可对政务内网中其他根生成的标识设备做特殊授权,允许其在本根下的客户端上使用,满足政务内网中不同部门间的文件交换,形成内部文件交换盘。
⑹政务内网与外网单位做文件交换时,通过管理员端将标识设备上的加密文件转换为明文,用普通移动设备带出。同时,带出文件的副本将加密保存在管理员端,以作审计之用。该加密文件副本需要经过管理员和审计员根的双重认证方可打开查看。
五、结束语
移动存储介质安全管理是政务内网信息安全管理的重要组成部分,通过认证和加密技术,提高了移动存储介质使用的安全性。但是,一个完整的内网安全系统应是技术手段和管理制度相结合的体系,还需要对涉密移动存储介质进行全过程监管,严把采购关、检查关、使用关、维护关及销毁关等各个环节,形成“制度保障、组织管理、技术防范”的整体合力,从而构建一个安全的可信赖的内部网络工作环境
第二篇:存储介质安全保密管理
存储介质安全保密管理制度
该制度旨在通过加强对存储涉密信息笔记本电脑与移动存储介质(包括移动硬盘、优盘、光盘和磁带等)的安全保密管理,增强使用人的防范意识,防止因为使用笔记本电脑与移动存储介质不当造成泄密。对于违反保密规定的,将追究相关人员的责任。科室负责人对全部门执行保密制度的情况进行检查,发现问题及时处理。具体管理制度如下:
一、本部门存储涉密信息的笔记本电脑和移动存储介质,限本部门人员使用;对存档使用的涉密应哦按、优盘、光盘、磁带等,同意交给科室专人保管。
二、个人使用的优盘、移动硬盘等移动存储介质,一般不得存储涉密信息,因工作需要确实必须使用的,使用后要及时消除涉密信息。
三、不准携带存储涉密信息的笔记本电脑和移动存储介质离开工作场所,确实因为工作需要携带的,必须办理相关审批手续。
四、禁止将存储涉密信息的笔记本电脑和移动介质外借,禁止通过移动存储介质将涉密信息拷贝在私人电脑或者外单位电脑,禁止将涉密信息上传至网络。
五、因为工作需要借用公司笔记本电脑、移动硬盘存储信息的,归还前必须清楚存储的涉密信息,并将使用的设备格式化。
六、对淘汰和报废的笔记本电脑和移动存储介质,必须统一删除所有信息后办理报废手续
第三篇:移动存储介质使用管理规定
××××有限公司
非涉密移动存储介质使用管理规定
为规范××××有限公司内移动存储介质的使用和管理,防止出现因移动存储的使用造成公司网络感染病毒、商业机密外泄等情况,根据公司信息化建设及保密保卫工作需要,特编制本规定。
本规定所述移动存储介质特指非涉密移动存储介质。
本规定适用于非涉密软盘、光盘、移动硬盘、U盘、CF卡、SD卡、MMC卡、SM卡、记忆棒、xD卡及手机、相机等移动存储介质在××××有限公司域和计算机上的使用。
1.各单位移动存储介质实行集中管理;
2.各单位移动存储介质应由专人管理;
3.各单位应对本单位的U盘、移动硬盘类别、编号进行标识;
4.严禁在非涉密移动介质上存储涉密信息;
5.不得在未经许可的计算机上使用移动存储介质;
6.不得将手机与接入公司域的计算机进行连接;
7.已获得许可的计算机上只能使用指定的移动存储介质;
8.外来移动存储介质或与外部计算机发生连接的移动存储介质与公司域进行数据交换时,必须经过中转完成;
9.未经单位保密部门许可,不得使用工具清除移动存储介质使用痕迹;
10.各单位信息管理部门、保密部门应定期对本单位的移动存储介质及使用移动存储介质的计算机进行检查。
第四篇:仪表控制系统存储介质管理规定
仪表控制系统存储介质管理制度适用范围
为了规范全厂仪表控制系统的使用和操作,防止发生人为或意外损坏系统事故以及误操作引起的设备停运,保证控制系统的稳定运行,特制定本制度。
本制度适用于公司DCS、SIS、PLC、SCADA等所有仪表
控制系统。本制度作为公司 《R-P05-307 生产操作控制室管理规定(暂行)》的补充文件执行。存储介质管理
2.1 严禁在计算机控制系统中使用非本计算机控制系统的软件。除非软件升级或补丁的需要,严禁在计算机控制系统中使用非本系统格式化或读写过的移动硬盘、光盘、U盘、内存卡等。
2.2 系统备份必须使用班组专用的蓝光刻录光驱,并且由自控维修站人员进行相关操作。禁止把可读写存储介质直接连接到控制系统中的计算机上进行任何工作。
2.3 禁止向DCS网络中连接系统外计算机。对于已经连接的计算机必须安装杀毒软件并定期升级病毒库。
2.4 在连接到控制系统网络中的计算机上进行操作时,例如事件记录、历史记录、趋势图的导出等,使用的可读写存储介质必须是固定的设备,并且在每次使用前对其进行格式化处理,然后才可以接入以上计算机。
2.5 严禁利用全厂任何一台控制系统计算机的USB口为手机、移动电源等设备充电。
第五篇:存储介质管理制度
存储介质管理制度
第一条 为进一步加强医院移动存储介质的管理,确保城市管理信息的安全,根据《中华人民共和国保守国家秘密法》和《中共中央保密委员会办公室、国家保密局关于国家秘密载体保密管理规定》,结合我院实际,制定出《乌当区人民医院移动存储介质管理规定》。
第二条 本规定所称移动存储介质,是指用于存储本单位保密信息的硬盘、软盘、U盘、光盘、磁带、存储卡等存储介质。
第三条 本单位移动存储设备要进行编号,不得借于他人使用,若需借于他人的,必须征得科室同意,并进行借还时间、借用人、审批人等详细登记。
第四条 新购计算机、移动存储等设备,要先进行保密标识和登记,再发放使用。
第五条 如使用移动设备转移存储保密数据,需在使用前格式化,并在使用后立即删除保密数据。
第六条 使用光盘备份的保密数据要登记编号,分类存放。
第七条 非本单位的移动存储设备一律不得和涉密计算机连接。
第八条 单位的涉密移动存储设备处理办法如下:
涉密和非涉密移动存储介质禁止交叉混用,即涉密移动存储介质不得在非涉密计算机中使用,非涉密移动存储介质不得在涉密计算机中使用。
存储过涉密信息的移动存储介质,不得与存储普通信息的移动存储介质混用;新启用存储涉密信息的移动存储介质或使用移动存储介质,必须进行安全检查和查杀病毒处理。
移动存储介质需要送外维修时,必须到信息科指定的单位进行维修;涉密移动存储介质在淘汰和报废前,应到保密部门进行消磁和粉碎处理。严禁将涉密移动存储介质作为废品出售。
点击咨询 