基于“技術+制度”的單機管理方法研究

陳旸 陳輝

1 核工業理化工程研究院 天津 300180

2 中核404有限公司 甘肅 732850

0 引言

隨著計算機的普及應用，無論政府、軍隊、企事業單位，還是承擔國家項目的科研部門，都有大量的涉密資料存儲在計算機中。對于這些研單位和部門而言一旦發生計算機失泄密事件，其損失將是難以估量的。目前涉密計算機的安全管理已經成為了一個被高度重視的問題，大家都在積極的探索可用的有效的涉密計算機管理方法。一些單位通過建設涉密網絡并部署各類網絡安全管理軟件，在降低涉密計算機的失泄密的風險上取得了顯著的效果，但由于涉密網絡初期投入較大，目前還有很多單位受制于客觀條件還沒有建設涉密網絡，計算機的使用也還停留在單機狀態。而單機類安全管理軟件的功能與網絡類相比存在著很大的差距，很多功能如網上流程審批、自動升級系統補丁和病毒庫等受客觀條件的限制根本無法實現。因此要想做好涉密單機的管理就必須特別加強對保密安全管理的主體，用戶層面的管理即人的管理，通過完善的規章制度，特別是通過保證制度的落實情況來實現對涉密單機的有效管理。

1 常見的單機技術管理措施

1.1 主機審計技術

單機的安全審計機制一般情況下并不干涉和影響用戶的操作，而是通過對用戶的操作進行記錄、檢查、監控等來完成以審計、完整性等要求為主的安全功能。單機審計的主要問題在于：所有的審計信息都存儲在本機，一旦本機的操作系統出現故障，則很可能造成審計日志的丟失。與網絡相比單機審計的困難性在于：審計員無法在服務器端直接讀取審計日志，而必須到每臺主機的現場逐臺的去讀取該臺計算機的審計日志，工作量巨大。而且由于在審計時只能看到本臺計算機的審計日志，也很難對很多關聯性的事件作出正確的分析和判斷。

1.2 USB介質管理技術

介質管理是指通對具有數據存儲功能的USB移動設備進行身份注冊使之只能在一定范圍內的計算機上進行使用。它的使用范圍包括通過USB接口連接到計算機上并以邏輯磁盤方式進行數據存取的存儲設備，如U盤、移動硬盤等。相對于網絡涉密單機需要更多數量的存儲介質來進行數據的交互和備份，涉密介質越多泄密的風險和隱患也就越大，管理起來也就越困難。

1.3 USBKEY身份認證技術

目前常見的身份認證方式主要有三種，最常見的是使用用戶名加口令的方式，但這也是最原始、最不安全的身份確認方式，非常容易由于外部泄露等原因或通過口令猜測、線路竊聽、重放攻擊等手段導致合法用戶身份被偽造；第二種是生物特征識別技術(包括指紋、聲音、手跡、虹膜等)，該技術以人體唯一的生物特征為依據，具有很好的安全性和有效性，但實現的技術復雜，技術不成熟，實施成本昂貴，在應用推廣中不具有現實意義；第三種也是現最流行的身份認證方式--基于USB Key的身份認證。基于USB Key的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設備，它內置單片機或智能卡芯片，可以存儲用戶的密鑰或數字證書，利用USBKey內置的密碼算法實現對用戶身份的認證。雖然目前絕大部分單位的涉密計算機已經采用了USB KEY身份認證技術，但很多時候用戶為了方便經常不按規定定期更改口令，甚至使用默認口令的情況仍然還屢見不鮮。

1.4 病毒防范技術

首先通過設置中間機來對進入涉密計算機的信息進行惡意代碼檢測和病毒查殺，并在涉密計算機與中間機上安裝不同的殺毒軟件來進行多重防御。由于單機無法像網絡那樣自動對殺毒軟件進行升級和全盤查殺，往往要依靠用戶自己進行升級和病毒查殺，因此如果用戶不按規定操作就會影響病毒查殺的成功率，增加涉密計算機感染病毒和木馬的風險。另外由于單機對傳輸數據的客觀要求，很少有單位能完全禁用單機的光驅，而光驅的存在就使得用戶可以繞過中間機而直接將信息導入到涉密計算機中，而單機狀態下這種行為又是很難被發現的，因此會有部分用戶不通過中間機而通過光驅直接將數據導入到涉密計算機，造成計算機感染病毒和木馬。

2 單機管理存在的主要問題

首先是維護管理困難，在網絡中如果某臺客戶端上的安全產品發生了問題，管理員可以很容易的從服務器端獲悉，并在第一時間做出處理。而單機狀態下管理員無法清楚每臺機器的使用狀態，只能靠計算機的使用人員進行反映，而使用人員往往又不清楚或者根本不關心保密軟件的使情況。筆者就曾經經歷過在進行安全審計時才發現某臺計算機的審計軟件和介質管理軟件已經失效將近 3個月，也就是說這臺涉密計算機在此期間一直是處于沒有任何技術防護的狀態下的，如果出現什么問題后果將不堪設想。

其次是輸入輸出控制困難，網絡可以比較方便的實現輸入輸出的集中管理，即整個網絡可以指定一個或者幾個入口作為外來信息進入網絡的唯一路徑，信息可以借助于網絡進行傳遞，因此現在大部分涉密網絡的客戶端都已經取消了光驅，甚至是取消了USB介質。而在單機狀態下信息的傳遞必須要借助于光盤、U盤，因此不可避免的造成了輸入點得增加。同理在輸出信息時相比于網絡，單機由于傳遞信息不如網絡方便，因此往往需要有更多的輸出點很難做到和網絡一樣集中管理。而且網絡可以在網上完成輸出信息的登記、審批等流程，操作簡單方便，而單機則仍需要紙質的登記、審批等環節費時費力。

3 “技術+制度”強化單機的管理

制度建設是涉密計算機保護的基礎。近年來，為加強和規范涉密計算機的管理，國家保密局頒布了BMB系列標準，甚至在新的保密法中也對計算機泄密做出了相關的規定。只有通過制度建設才能建立起對涉密計算機安全有效運行的有效屏障。同時結合本單位實際情況，各軍工單位也都制定了相應的計算機管理規章制度。以筆者所在的單位為例，保密處和信息中心依據國家相關的法律法規制定了一系列的計算機管理規章制度，如：《計算機及信息系統安全策略》、《涉及國家秘密的計算機信息系統安全保密管理規定》、《通信及辦公自動化設備保密管理規定》、《內部計算機管理規定(試行)》等。這些管理規章制度首先明確了涉密計算機“誰使用、誰負責”的原則，主要從用戶層面要求責任人要做好自身計算機的防護安全及數據保密措施；并規定了操作涉密計算機及配套的辦公自動化設備的規范流程、審批手續，以及電子文檔的密級標識等。

針對目前技術防護手段上存在的一些問題，我們必須將技術防護和制度管理相結合，通過制度來彌補技術上存在的不足。例如：

通過建立交叉審計制度，對各個部門的計算機管理員和保密員進行培訓，在信息化部門和保密處進行審計的時候配合進行配合，解決了審計工作量大，人員不足的問題。

通過建立涉密載體管理制度，給每個涉密U盤和移動硬盤都指定專門的責任人負責進行管理，為每個涉密U盤配備“涉密U盤使用登記本”，規定除專人使用的涉密U盤，所有的U盤使用都必須進行登記。

在《計算機及信息系統安全策略》中明確規定涉密計算機必須按照要求設置3重口令(BIOS口令、用戶口令、屏保口令)，禁止使用默認口令、口令復雜度應符合相關要求，并按照要求定期更換密碼。

中間機是信息交換的樞紐，因此首先要抓住源頭建立嚴格的中間機使用制度，中間機制定專人進行管理，為每個部門配備“中間機使用登記審批本”，所有的數據交換必須經過部門領導的批準。在對涉密計算機進行審計的時候要對比涉密計算機的審計日志，和中間機的轉換記錄是否一致。

建立打印審批制度，每個部門盡量減少輸出端口，做到“相對集中，有效控制”，為每臺打印機配備“打印登記審批本”規定每臺打印機的每次打印操作都要進行登記，打印涉密文件必須進行審批。在對涉密計算機進行審計的時候要對比打印審批登記記錄與計算機審計日志是否一致。

建立嚴格詳細的考核與獎懲制度，對于不按規定操作的行為，按照規定予以懲罰。

4 結論

盡管我們采取了各種技術上和管理上的措施，但實際上我們不可能完全消除涉密計算機在管理和使用上所存在的風險，而只能將風險控制在我們可以接受的范圍之內。單機與網絡相比存在的很多客觀缺陷是無法彌補的，因此盡快提升信息化水平建立符合國家要求的涉密網絡，才是提升涉密計算機技術管理水平的真正解決之道。

計算機的信息安全的根本在人，以目前計算機的防護水平即便是防護級別最高的涉密網絡也很難防范使用者的故意泄密，因此做好涉密人員的保密教育和定期的監督檢查工作是搞好所有保密工作的先決條件。總而言之涉密計算機的防護涉及到國家秘密的安全，是一個綜合性的復雜問題，它不可能單靠某項技術或某項制度解決，所以應該綜合各項安全技術、制度、管理等多項措施，才能保證國家秘密的安全。

[1] 國家軍工保密資格審查認證辦公室,軍工保密資格審查認證工作指導手冊.北京：金城出版社.2009.

[2] 莫泓銘,蔡智勇.基于“技術+制度”的校園網絡管理方法研究.北京：網絡安全與技術應用.2013.

[3] 歐獻勇.關于網絡安全問題的研究,北京：網絡安全與技術應用.2013.

[4] 邢雪梅,劉劍鋒.在校園部署上網行為管理系統初探.2013.