淺談?dòng)“髽I(yè)局域網(wǎng)終端涉密信息管理系統(tǒng)

羅龍

（上海煙草包裝印刷有限公司，上海 200137）

1 研究背景

隨著計(jì)算機(jī)軟件和因特網(wǎng)技術(shù)的迅速發(fā)展，計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)在生產(chǎn)和辦公中得到了越來越多的運(yùn)用。在各類組織中，運(yùn)用電腦網(wǎng)絡(luò)技術(shù)建立局域網(wǎng)，通過信息化技術(shù)處理數(shù)據(jù)、共享資源、獲得信息，突破物理邊界、提高工作效能。[1]同時(shí)，人們對(duì)網(wǎng)絡(luò)信息安全的重視程度也與日俱增，能夠經(jīng)濟(jì)、簡(jiǎn)便、有效地管控網(wǎng)絡(luò)中的涉密信息是非常有必要的。印包企業(yè)中用于印刷生產(chǎn)的制版文件等圖文制作類文件往往屬于涉密信息，這類文件一旦外流，其他印包企業(yè)就可以輕松復(fù)制相關(guān)印刷產(chǎn)品。在印包企業(yè)中，通過在本地網(wǎng)絡(luò)中對(duì)終端進(jìn)行快速掃描與解析，配置相應(yīng)的管控策略，能夠使涉密信息管控更加高效、便捷，有一定實(shí)踐價(jià)值和推廣意義。

1.1 局域網(wǎng)系統(tǒng)管理理論

為防故障，系統(tǒng)、網(wǎng)絡(luò)需要做好業(yè)務(wù)數(shù)據(jù)備份。高實(shí)時(shí)性的數(shù)據(jù)，應(yīng)設(shè)計(jì)實(shí)施一套合適的備份制度，以便實(shí)現(xiàn)有效備份；非高實(shí)時(shí)性的數(shù)據(jù)，可由管理員進(jìn)行人工備份；此外，存放備份數(shù)據(jù)物理地址的安全性也比較重要。[2]

每臺(tái)存儲(chǔ)和服務(wù)器都要面對(duì)安全問題，比如用戶和用戶組的安全及數(shù)據(jù)資料的安全存儲(chǔ)和使用。為解決這些安全問題，常見的方法有設(shè)定使用者和使用者群的授權(quán)來增加安全度；合理設(shè)定使用者的授權(quán)，可有效提升使用者安全性。

1.2 涉密信息管理系統(tǒng)的意義

涉密信息管理系統(tǒng)運(yùn)行有效的關(guān)鍵還是在于管好局域網(wǎng)內(nèi)的各類終端，無論是windows操作系統(tǒng)終端，還是非windows操作系統(tǒng)終端，都需要有效地管控起來。一方面，需要滿足印包企業(yè)對(duì)于各類終端的基礎(chǔ)管控要求；另一方面，需要滿足印包企業(yè)對(duì)于在各類終端間傳遞的圖文制作類文件等涉密信息的管控需求。因此，基于《安全生產(chǎn)監(jiān)管規(guī)定》的要求，在系統(tǒng)設(shè)計(jì)的過程中應(yīng)遵循國(guó)家、行業(yè)有關(guān)于網(wǎng)絡(luò)安全的基礎(chǔ)性規(guī)范，同時(shí)還要結(jié)合印包企業(yè)各類終端的硬件結(jié)構(gòu)、操作系統(tǒng)等實(shí)際狀況，才能保障印包企業(yè)涉密信息得到有力管控。另外，為了保障涉密信息的管控力，一方面，梳理排摸印包企業(yè)涉密信息的類型、種類，可以建立正向約束機(jī)制；另一方面，根據(jù)已知的印包企業(yè)涉密信息的類型、種類，還可以建立反向追溯機(jī)制。[3]

本系統(tǒng)的設(shè)計(jì)意義主要包括：1）能夠?qū)崿F(xiàn)針對(duì)終端的集中管理，整合惡意代碼防護(hù)、準(zhǔn)入控制、桌面安全管理等終端安全防護(hù)能力，完善終端運(yùn)營(yíng)監(jiān)測(cè)與行為管控，及時(shí)發(fā)現(xiàn)和快速處置各種類型終端安全事件；能夠?qū)崿F(xiàn)管理網(wǎng)終端準(zhǔn)入和管控，實(shí)現(xiàn)印包企業(yè)涉密信息的傳輸控制和審計(jì)。2）能夠完善終端敏感數(shù)據(jù)的管控流程，從梳理、發(fā)現(xiàn)、監(jiān)控、保護(hù)和追溯等多個(gè)環(huán)節(jié)遏制印包企業(yè)潛在的涉密信息泄露風(fēng)險(xiǎn)。[4]3）能夠使終端設(shè)備的安全性得到大幅提升，部分敏感的業(yè)務(wù)數(shù)據(jù)得到了保護(hù)，在一定程度提高了業(yè)務(wù)系統(tǒng)的安全性，從而確保業(yè)務(wù)系統(tǒng)可以更好的持續(xù)提供 服務(wù)。

2 涉密信息管理系統(tǒng)的設(shè)計(jì)

2.1 系統(tǒng)設(shè)計(jì)目標(biāo)

目前，局域網(wǎng)由兩類網(wǎng)絡(luò)組成：一是網(wǎng)絡(luò)中終端可以向因特網(wǎng)傳遞信息和發(fā)布信息，同時(shí)在終端上存儲(chǔ)、處理和傳輸相關(guān)信息；二是根據(jù)BMB22-2007《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)測(cè)評(píng)指南》的規(guī)定，對(duì)涉密網(wǎng)絡(luò)實(shí)施物理隔離，使用者在特定的密碼服務(wù)器中存儲(chǔ)相關(guān)資料。

因工作人員保密意識(shí)和能力的參差不齊，在沒有建設(shè)涉密信息管理系統(tǒng)的局域網(wǎng)中，本地終端機(jī)無論是否涉密，涉密信息或多或少都有可能泄露；在這種模式下，局域網(wǎng)內(nèi)部所有終端用戶都不會(huì)信任這種模式。局域網(wǎng)內(nèi)的涉密信息管理系統(tǒng)就是對(duì)以上兩種網(wǎng)絡(luò)條件進(jìn)行監(jiān)測(cè)。[5]基于盡可能確保涉密信息管控有效和使各類終端用戶無感的目的，本系統(tǒng)的主要設(shè)計(jì)思路如下：

1）通過部署網(wǎng)絡(luò)準(zhǔn)入、終端安全管理統(tǒng)一管理平臺(tái)，最終建立一套符合印包企業(yè)實(shí)際、符合國(guó)家、行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的專業(yè)化終端準(zhǔn)入安全管理系統(tǒng)，保障企業(yè)信息系統(tǒng)穩(wěn)定、高效、安全運(yùn)行，通過各種策略和識(shí)別機(jī)制實(shí)現(xiàn)業(yè)務(wù)終端的統(tǒng)一管理。

2）為實(shí)現(xiàn)印包企業(yè)涉密信息的防泄露，進(jìn)行敏感策略的定義，通過技術(shù)手段發(fā)現(xiàn)敏感數(shù)據(jù)，對(duì)敏感數(shù)據(jù)進(jìn)行保護(hù)措施的設(shè)置，對(duì)整個(gè)過程進(jìn)行全程審計(jì)。具體來說：

首先，要完成敏感數(shù)據(jù)的手動(dòng)定義，定義方式主要有：①敏感關(guān)鍵詞：支持關(guān)鍵字內(nèi)容檢測(cè)；②正則表達(dá)式：對(duì)于符合某種規(guī)則的內(nèi)容，可以抽象出正則表達(dá)式，然后按正則表達(dá)式對(duì)文字內(nèi)容進(jìn)行檢查；③文件大小或類型：基于文件屬性檢測(cè)，比如將圖文制作類文件類型判定為敏感數(shù)據(jù)；④文件指紋：基于既有的文件固定模板，完成敏感數(shù)據(jù)的定義；⑤文件MD5：精確匹配不能被篡改的檔案、公文、客戶資料。印包企業(yè)圖文制作類文件中所含敏感數(shù)據(jù)需要進(jìn)行手動(dòng)定義，比如：將某公司的商標(biāo)名作為敏感關(guān)鍵詞；將圖文制作類文件的施工單號(hào)作為正則表達(dá)式，用于檢查涉密文件；將圖文制作類文件的常見后綴名作為需要核驗(yàn)的文件屬性；將可用于印刷生產(chǎn)的圖文制作類文件的模板設(shè)定文件指紋等。

然后，待敏感數(shù)據(jù)定義完成后，通過終端DLP或網(wǎng)關(guān)DLP識(shí)別文件中的敏感數(shù)據(jù)，匹配相應(yīng)的管控策略。印包企業(yè)在完成圖文制作類文件中敏感數(shù)據(jù)的手動(dòng)定義后，可根據(jù)敏感數(shù)據(jù)的涉密程度設(shè)定合適的管控策略，包括但不限于攔截、警告、僅記錄、使用人確認(rèn)等。

最后，對(duì)文件外發(fā)過程中的敏感事件進(jìn)行完整記錄審計(jì)，對(duì)終端操作行為進(jìn)行審計(jì)，如：對(duì)圖文制作類文件的刻錄、打印、粘貼板等行為進(jìn)行審計(jì)。

總之，涉密信息管理系統(tǒng)對(duì)于敏感數(shù)據(jù)的手動(dòng)定義、匹配管控策略、開展行為審計(jì)等手段，可適用于印包企業(yè)對(duì)于圖文制作類文件的涉密信息管控需求。

2.2 系統(tǒng)主要功能

2.2.1 對(duì)局域網(wǎng)內(nèi)各類終端文件進(jìn)行審計(jì)

業(yè)務(wù)端發(fā)出指示，并按照設(shè)定原則由使用者終端執(zhí)行檔案檢驗(yàn)。對(duì)文檔進(jìn)行掃描，發(fā)現(xiàn)與監(jiān)測(cè)戰(zhàn)略相符的文檔，并利用不同文檔的讀取和寫入界面對(duì)文檔進(jìn)行掃描，并與相關(guān)敏感策略進(jìn)行比對(duì)。完成掃描后，向資料庫中寫入主機(jī)IP地址、MAC地址、文件存儲(chǔ)位置等相關(guān)資訊。

2.2.2 對(duì)整個(gè)涉密信息管理系統(tǒng)進(jìn)行控制

服務(wù)器端可以為涉密信息審查設(shè)定管控策略，包括要查看的檔案的型別、機(jī)密關(guān)鍵字、檢驗(yàn)項(xiàng)設(shè)定等，該業(yè)務(wù)也可以選擇一些用戶的終端裝置進(jìn)行監(jiān)測(cè)。

2.2.3 提取使用移動(dòng)存儲(chǔ)介質(zhì)記錄

從用戶終端登記數(shù)據(jù)中的關(guān)鍵數(shù)值，閱讀先前在終端系統(tǒng)中所使用的移動(dòng)存儲(chǔ)媒體詳細(xì)資料，與當(dāng)前企業(yè)合法移動(dòng)存儲(chǔ)媒體臺(tái)賬進(jìn)行比對(duì)，向網(wǎng)上報(bào)告沒有記錄的移動(dòng)存儲(chǔ)媒體記錄。

2.3 涉密信息審計(jì)思路

本系統(tǒng)對(duì)用戶端所有磁盤的文件系統(tǒng)匹配敏感信息管控策略的設(shè)計(jì)思路：

2.3.1 敏感信息管控審計(jì)流程

對(duì)所有使用者端的磁盤文件進(jìn)行集中式的敏感信息管控審計(jì)，整個(gè)流程為：

用戶終端：1）登陸域；2）接收并執(zhí)行檢驗(yàn)政策；3）返回自動(dòng)輸入的數(shù)據(jù)和生成報(bào)表。

服務(wù)端：1）將審計(jì)策略發(fā)送到負(fù)責(zé)監(jiān)測(cè)管理的一端，2）涉密文件的分析和監(jiān)測(cè)，3）返回的數(shù)據(jù)存儲(chǔ)，4）生成表單。

2.3.2 管理端策略設(shè)定與發(fā)送

相關(guān)管理人員可以根據(jù)檢查方式、受檢用戶、受檢硬盤、受檢文檔類型、敏感數(shù)據(jù)、檢查頻次、檢查時(shí)間等有關(guān)細(xì)節(jié)，制定匹配的管控策略并設(shè)置，生成的策略信息按照約定的順序執(zhí)行串行通訊，由域控制器向各個(gè)子網(wǎng)絡(luò)的受檢用戶終端裝置發(fā)送。

2.3.3 用戶終端接收命令與涉密信息偵搜

隨用戶終端的操作系統(tǒng)啟動(dòng)或登錄域而與服務(wù)器連接，完全自動(dòng)接收和執(zhí)行涉密信息管控策略，同時(shí)在背景中運(yùn)行敏感信息校驗(yàn)軟件。根據(jù)已知的涉密信息管控策略，分析磁盤上的某一部分或某一類型文檔，提取其有關(guān)信息與設(shè)定的策略進(jìn)行匹配，若出現(xiàn)匹配，則將該文檔的相關(guān)信息整理并發(fā)送給數(shù)據(jù)庫，直至完成全部搜索。整個(gè)檢驗(yàn)流程均在控制端進(jìn)行。

2.3.4 涉密信息管理端數(shù)據(jù)自動(dòng)入庫

涉密信息管理端的數(shù)據(jù)庫接收來自各個(gè)用戶的可疑文件，以一定的形式存儲(chǔ)所接收的數(shù)據(jù)，完成對(duì)用戶終端的涉密信息管控監(jiān)測(cè)，監(jiān)測(cè)結(jié)果將會(huì)發(fā)送到涉密信息管理端。[5]若因網(wǎng)絡(luò)故障等原因無法完成數(shù)據(jù)庫上傳，可將監(jiān)測(cè)結(jié)果記錄保存到用戶終端，生成日志文件。

2.3.5 涉密信息審計(jì)和形成報(bào)告

涉密信息審計(jì)可根據(jù)涉密度、登錄名、IP地址等字段名進(jìn)行單獨(dú)分類或排列，并根據(jù)敏感信息的涉密等級(jí)對(duì)涉密信息進(jìn)行核實(shí)，最后生成符合審計(jì)需求的相關(guān)報(bào)表備用備查。

2.4 局域網(wǎng)涉密信息管理系統(tǒng)結(jié)構(gòu)

局域網(wǎng)涉密信息管理系統(tǒng)是由服務(wù)器端、用戶端設(shè)備數(shù)據(jù)庫進(jìn)行的。局域網(wǎng)安全情報(bào)檢查體系采用B/S結(jié)構(gòu)建立并運(yùn)行。該系統(tǒng)具備按照Windows server域響應(yīng)指令執(zhí)行，執(zhí)行機(jī)密資料檢查、資料傳送到上端服務(wù)器，可通過網(wǎng)頁查詢或生成表單等功能。如圖1所示：

圖1 局域網(wǎng)涉密信息管理系統(tǒng)運(yùn)行架構(gòu)

局域網(wǎng)涉密信息管理系統(tǒng)的主要功能是存儲(chǔ)在服務(wù)器上的程序運(yùn)行和本地?cái)?shù)據(jù)庫的查找，兩者協(xié)同工作，使局域網(wǎng)涉密信息管理系統(tǒng)的功能得到充分發(fā)揮。

2.5 局域網(wǎng)涉密信息管理系統(tǒng)功能

局域網(wǎng)涉密信息管理系統(tǒng)功能結(jié)構(gòu)如圖2所示：

圖2 局域網(wǎng)涉密信息管理系統(tǒng)功能結(jié)構(gòu)

局域網(wǎng)涉密信息管理系統(tǒng)的用戶需求將根據(jù)各功能特點(diǎn)，按照“高內(nèi)聚、低耦合”原則，將各個(gè)相對(duì)獨(dú)立的功能模塊組合成一個(gè)有機(jī)整體。

3 涉密信息管理系統(tǒng)的應(yīng)用場(chǎng)景

企業(yè)若有涉密信息的管控需求，涉密信息管理系統(tǒng)的應(yīng)用架構(gòu)設(shè)計(jì)如圖3。

圖3 局域網(wǎng)涉密信息管理系統(tǒng)應(yīng)用架構(gòu)設(shè)計(jì)

上述涉密信息管理系統(tǒng)的主體功能可以通過引入專業(yè)化的終端管控系統(tǒng)予以實(shí)現(xiàn)，但目前市場(chǎng)上主流的網(wǎng)絡(luò)安全廠商提供的終端管控系統(tǒng)基本都是基于windows系統(tǒng)，沒有基于蘋果mac系統(tǒng)的。考慮到局域網(wǎng)內(nèi)的各類終端既有windows系統(tǒng)，也有非windows系統(tǒng)，其中蘋果mac系統(tǒng)較為典型，尤其是印包企業(yè)，很多印包企業(yè)會(huì)將蘋果mac電腦作為圖文制作類文件編輯的主要終端設(shè)備。在現(xiàn)行主流基于windows系統(tǒng)的終端管控系統(tǒng)前提下，純靠技術(shù)手段一攬子解決涉密信息管理是不現(xiàn)實(shí)的，要全面實(shí)現(xiàn)windows系統(tǒng)終端和非windows系統(tǒng)終端的涉密信息管控，必須同步配套相關(guān)管理措施，以蘋果mac電腦舉例：

1）所有蘋果mac電腦需要聯(lián)成一個(gè)局域網(wǎng)，集中在一個(gè)獨(dú)立辦公空間內(nèi)，要進(jìn)入辦公需要將手機(jī)等能拍攝、傳輸?shù)墓ぞ吡粼谵k公空間之外。印包企業(yè)可以將用于圖文設(shè)計(jì)的蘋果mac電腦集中在一個(gè)物理相對(duì)隔絕的空間內(nèi)，按前述要求部署。

2）所有蘋果mac電腦的外聯(lián)設(shè)備信息傳輸接口，比如USB接口等，用硅膠封死，并貼上封條，禁止直接用U盤、移動(dòng)硬盤等外聯(lián)設(shè)備導(dǎo)入導(dǎo)出文件信息。

通過項(xiàng)1和項(xiàng)2這兩項(xiàng)管理手段，可以保障不受終端管控系統(tǒng)制約的蘋果mac電腦所編輯的圖文制作類文件被約束在物理相對(duì)隔絕的空間內(nèi)，達(dá)到印包企業(yè)圖文制作類文件涉密管控的目的。

3）該局域網(wǎng)不能直連聯(lián)結(jié)企業(yè)管理網(wǎng)、互聯(lián)網(wǎng)，至少做到邏輯隔離，該局域網(wǎng)通過兩臺(tái)windows系統(tǒng)電腦作為擺渡機(jī)聯(lián)接企業(yè)管理網(wǎng)，用于實(shí)現(xiàn)蘋果mac電腦與企業(yè)管理網(wǎng)的文件信息交互；[5]兩臺(tái)windows系統(tǒng)電腦作為擺渡機(jī)的配置主要是為了實(shí)現(xiàn)用一備一的目的，防止單點(diǎn)故障影響正常辦公。

通過項(xiàng)3，印包企業(yè)在物理相對(duì)隔絕空間內(nèi)編輯的圖文制作類文件可以通過兩臺(tái)擺渡機(jī)進(jìn)入企業(yè)管理網(wǎng)，從而接受終端管控系統(tǒng)的管制。

4）涉密信息歸口部門需要對(duì)涉密信息進(jìn)行辨識(shí)、歸類和管理，設(shè)置專人管理兩臺(tái)windows系統(tǒng)電腦擺渡機(jī)，做好開機(jī)密碼管理等網(wǎng)絡(luò)安全管理工作以及涉密信息的確認(rèn)和標(biāo)識(shí)等工作。

5）聯(lián)接企業(yè)管理網(wǎng)的兩臺(tái)windows系統(tǒng)電腦擺渡機(jī)接受終端管控系統(tǒng)的管理，通過源頭管控型或溯源追責(zé)型涉密控制功能管理涉密信息的傳遞，需要涉密信息歸口部門設(shè)置專人負(fù)責(zé)涉密信息外發(fā)至非可控區(qū)域的審核和權(quán)限分發(fā)，確保涉密信息外發(fā)受控和可追溯。

通過項(xiàng)4和項(xiàng)5，可以實(shí)現(xiàn)印包企業(yè)對(duì)圖文制作類文件敏感數(shù)據(jù)的手動(dòng)定義、管控策略的匹配、操作行為的審計(jì)，即實(shí)現(xiàn)了對(duì)涉密信息的事前管控和事后追溯。

相關(guān)管控策略如圖4。

圖4 非windows系統(tǒng)終端涉密信息管控策略

對(duì)于印包企業(yè)來說，無論是windows系統(tǒng)終端，還是蘋果mac系統(tǒng)等非windows系統(tǒng)終端，可以通過引入專業(yè)化的終端管控系統(tǒng)，輔以配套的管理手段，通過本文述及的信息化技術(shù)，實(shí)現(xiàn)數(shù)據(jù)安全防護(hù)與涉密防泄露，將企業(yè)從傳統(tǒng)的涉密信息人工管控模式中解脫出來，提高了企業(yè)涉密信息管控的有效性。

4 結(jié)論

本文嘗試從信息化技術(shù)應(yīng)用角度解決印包企業(yè)圖文制作類文件等涉密信息管理方面的問題，推動(dòng)印包企業(yè)涉密信息管理向信息化、數(shù)字化方向發(fā)展，提高涉密信息管理效率。同時(shí)結(jié)合企業(yè)實(shí)際，對(duì)具體實(shí)施、現(xiàn)場(chǎng)部署的可行性開展了相應(yīng)思考、策劃和探索，包括系統(tǒng)結(jié)構(gòu)、功能結(jié)構(gòu)、管控策略等。由于系統(tǒng)的設(shè)計(jì)、開發(fā)和部署仍受現(xiàn)有技術(shù)和管理基礎(chǔ)制約，仍存不足之處，需持續(xù)動(dòng)態(tài)審視和完善。