信息防泄漏體系的研究與建設

葉水勇

(國網黃山供電公司，安徽 黃山 245000)

成果與經驗

信息防泄漏體系的研究與建設

葉水勇

(國網黃山供電公司，安徽 黃山 245000)

針對各種敏感數據被破壞和泄漏途徑大大增加的問題，圍繞可能產生信息泄漏的主體“人”和對象“數據”進行重點防御，建立了以文檔主體、圍繞文檔在產生、傳輸、存儲、銷毀4種生命狀態下的信息防泄漏技術管理體系；建立了以保密行為協議簽訂、計算機行為規范、運維行為審計等為核心的信息防泄漏行為管理體系；建立了涵蓋信息保密、內外網郵箱等的信息防泄漏制度保障體系。通過3個體系的建立，為防止企業出現信息泄密事件提供了堅強的技術支撐和保障。

敏感數據；信息泄漏；管理體系

無線通信技術、智能采集設備及智能終端設備隨著堅強智能電網的快速發展得到廣泛的應用，但同時也使各種敏感數據容易出現被破壞或被涉密的可能。在國網公司的各類信息安全事件通報中，涉及到敏感信息涉密的事件頻繁發生[1]。如何保證智能移動終端不會出現信息涉密事件，就成為國網公司在信息化建設過程中迫切需要思考和解決的問題[2]。在這種形勢下，國網黃山供電公司圍繞可能產生信息泄漏的主體“人”和對象“數據”進行重點防御，開展了比較完備的信息防泄漏體系研究與建設。

1 主要的防御措施

1.1 專業管理工作的流程圖

信息防泄密主要包含技術管理體系、行為管理體系、制度保障體系三個方面[3]，具體見圖1。

1.2 技術管理體系

隨著三集五大體系的建設深入，信息化建設和部署也呈現出集中部署的態勢，在市縣公司層面，信息載體的一個主要方面體現在各類電子文檔，也就是桌面終端的電子文檔，因信息系統原因造成泄密行為的主要來源就主要鎖定在電子文檔方面，而文檔按照生命周期來劃分，又可分為產生、傳輸、存儲和銷毀4個階段[4]，因此圍繞這4個階段的技術防御措施也就是采取措施的切入點。

1.2.1 文檔的產生

目前電子文檔的新建和產生主要依賴的環境為信息網絡中的桌面終端，從而信息網絡和桌面終端是否安全穩定就成為電子文檔能否安全新建和產生的兩個重要因素。

(1) 信息內外網分離

國網公司系統的信息網絡從一級網到四級網逐級分布的局面，在2008年以前，因信息網絡與互聯網物理上直接相連，病毒感染、信息泄密等事件發生概率很高，圍繞電子文檔的安全面臨很大壓力。從2008年奧運會開始，國網公司實施信息內網、外網分離的戰略，將信息內網邏輯上與互聯網通過邏輯強隔離裝置進行隔離，給信息內網創造一個安全的運行環境。

由于在互聯網上存在著各種各樣的安全威脅，而公司的一部分外網系統又必須在互聯網上進行業務的發布，針對上述問題采取第三方邊界安全防護措施對信息外網的系統進行安全防護；公司信息內網只與部分外部網絡實現連接，網絡的運行環境比較封閉，因此在公司的內、外網之間采用邏輯強隔離裝置進行安全隔離，且對各個安全域進行嚴格的劃分，從而保證公司信息內網的安全運行。通過上述采取措施，電子文檔的外部運行環境有了一個大的保障。信息內網、信息外網邊界分類如圖2所示。

圖2 信息內網、信息外網邊界分類示意圖

(2) 桌面終端安全管理

桌面終端在新建、存放各類電子文檔之前，操作系統需要一個安全穩定的環境，面向桌面終端的安全管理自然就成為文檔正常產生的一個基礎性問題。

通過漏洞補丁的自動分發功能、對桌面終端進行網絡監控及遠程協助以及對桌面終端的注冊表、流量、進程及安裝軟件進行監控管理，從而實現對桌面終端的各個使用環節進行全方位的監控，使桌面終端系統的健壯性得到最大限度的保證，從而確保公司系統桌面終端的安全穩定運行。

通過桌面終端的實時監測報警系統，當桌面終端出現違規操作、病毒攻擊等信息事件時，可以實時發出報警信號，及時提供桌面出現不安全的狀態信息；這樣管理人員就可以根據系統提供的報警信息以及桌面終端上報的安全信息，對異常網絡或違規的桌面終端在控制臺上進行遠程的緊急處理，從而為企業內網建設一個完善的桌面終端綜合防護和報警體系。

1.2.2 文檔的傳輸

文檔的傳輸主要包括兩個方面的內容，一是傳輸的流程化管理，二是對文檔進行的加密、解密管理[5-6]。

(1)傳輸流程

方法是利用程序對文檔進行快速判斷，主要表現為文檔復制和郵件傳送流程[7]。本流程主要針對公司員工，終端計算機用戶需要拷貝文件到移動存儲或者通過郵件發送文檔時將發起此流程，在復制和發送文檔等操作必須經過是否涉密檢測，主要通過敏感字檢測和敏感內容檢測等判定文檔是否含涉密內容，再選擇相應的操作。文檔傳輸流程如圖3所示。

1)使用趨勢防病毒系統進行敏感字過濾，若文檔不包含敏感字，進行下一步常規操作；若存在敏感字，則進入含敏感字文檔傳輸流程。

2)進入部門審核階段，該節點主要由部門負責人判斷郵件內容是否涉密。在部門主任處經過審查，無論文檔是否含敏感字，只要內容涉密，則需要在操作時進行加密處理，若內容不涉密，則等同普通文件處理。部門負責人對文檔是否涉密進行判斷，若文檔掃描含敏感字，但內容不涉密，也需要部門領導進行操作上的備注。涉密文檔需要領導在系統中進行準許。

3)領導將流程傳輸至辦公室保密專責，由專責人最終確認文檔是否涉密，并確定文檔屬于的秘密等級，在流程說明中要求申請人根據不同密級進行操作。

4)申請人收到辦公室保密專責的操作意見，對經過準許傳輸的文檔進行操作。

圖3 文檔傳輸流程示意圖

(2)加解密管理

加密后的文檔，在安全性上得到保障，具體與普通文檔有不一樣的地方。

自動加密方式，是利用操作系統內核技術，對指定程序做到自動加密[8]，例如Word，新建或編輯Word文檔后，將會自動加密。受保護程序加密文件中的內容不能被復制、黏貼出去。并對常用截屏進行防護。加密文件被擴散到系統外部，打開后為亂碼，無法正常使用。

加密文件在另存、導出、郵件外發均為加密。有解密權限的用戶可以解密文檔，沒有解密權限的用戶只有通過解密申請并通過審批后，才可以獲得解密的文檔。

系統管理員能夠禁止客戶端計算機進行打印操作，也能強制客戶端計算機打印出的文檔都帶有自定義的水印文字，水印文字內容及形式可靈活設置，包含水印內容、打印者的用戶名稱、打印時間、所在部門、IP地址等信息。

加解密管理支持組織分級管理，根據單位組織結構劃分，部門管理員可以為本部門設置權限，上級部門管理員可以管理下級。

加解密管理同樣支持部門間的文件流轉，當分部門的密碼管理功能被啟動后，由于各部門使用的密碼不同，各自文件在不同部門之間無法被查看；因此可通過添加部門文件的流轉功能，就可以在不同密鑰部門之間實現轉換加密的文件。

解密申請復審，擁有解密審批權限的用戶在收到解密申請消息后可以進行審批也可以提交復審到上一級審核員進行審核。可針對整個系統或某個部門進行受控程序設置，解決多個部門受控程序不一致的問題。

1.2.3 文檔的存儲

文檔存儲在桌面終端上，一方面可以通過保密檢測工具對其進行敏感性檢查，使其符合安全存儲要求；另一方面在文檔拷貝到移動存儲時，對移動存儲進行一些安全性設置，從而提高文檔存儲的安全級別。

(1) 保密檢測工具

利用保密檢測工具可以對桌面終端里面的所有文檔進行掃描檢測，包括常規檢查、深度檢查、清理與粉碎以及白名單管理[9]。

常規檢查，主要是進行“敏感信息安全檢查”，通過此項檢查，可以對事先設置的關鍵字進行掃描，若發現含關鍵字的文件后，可在列表中顯示并可以針對某一文件進行刪除、加入白名單等操作，在常規檢查中，可以使用U盤使用記錄檢測和清理、最近使用文檔檢測和清理等功能。

深度檢查，主要為扇區基本的檢測，所以部分數據可能耗時較長。

清理與粉碎，可以清理客戶端PC的相關記錄，如“清理上網記錄”、“清除系統痕跡”等操作。

白名單管理，在此處顯示客戶手動添加的白名單文件，包括查看文件的名稱、路徑等信息。

對敏感文件進行粉碎、刪除、加入白名單操作。被粉碎的文件將不可恢復，刪除的文件通過特定程序可以恢復，加入白名單的文件下次掃描將不再被檢查，如需要查看白名單列表，可以通過網絡保密自動檢測工具內的白名單列表進行查看。

對提示信息進行歷史記錄查詢、刪除的操作，其他信息查詢的操作，可以對此窗口進行隱藏、調出、退出的操作。選擇“定時顯示”，則每日固定時間內彈出窗口、選“本日內不顯示”則需要手動調起才可顯示、選擇“退出本次”顯示，則下次有消失觸發時會自動顯示。

對所有的敏感信息進行處理之后，應該達到終端PC機通過桌面系統無法檢測出敏感信息的效果。可以選擇“網絡保密自動檢測工具”調出，在基本信息中，可以查看當前終端的基本信息、上網記錄、已安裝軟件等信息，并且可以清理部分數據。

(2)安全移動存儲介質

安全移動存儲介質是指通過專用注冊工具對普通的移動存儲介質(主要為移動硬盤、U盤)內的數據先進行高強度的算法加密，再依據安全控制策略對數據的區域進行劃分，使其具有較高安全性能的移動存儲介質。

安全移動存儲介質主要用于本部員工在工作中產生的涉及公司秘密信息的存儲和內部傳遞(包括商密一級、商密二級和工作秘密)，也可用于內網非涉密信息與外部計算機的交互，不得用于涉及國家秘密(包括絕密、機密、秘密)信息的存儲和傳遞。

安全移動存儲介質管理系統將存儲介質和指定的一臺或多臺內網計算機進行信息綁定，在同一安全策略的控制下，這些被綁定的計算機就構成同一個信任域。只有屬于同一信任域的內網計算機能夠使用注冊過的存儲介質進行信息交換。安全移動存儲介質原理如圖4所示。

圖4 安全移動存儲介質原理示意圖

經過注冊的專用存儲設備共有三個區域，分別為啟動區、、交換區和保密區。其中用戶通過密碼認證后，交換區就可以在內、外網的計算機上使用；而保密區不能在非授權計算機上使用，只能在授權的計算機上使用。在非授權計算機上可以顯示啟動區工具。專用存儲設備在非授權計算機上只能憑密碼使用“交換區”，無法使用“保密區”。

外委人員進行文檔復制和傳輸操作流程。外委人員在內部計算機進行操作時，應當由人員全程監護，并在操作前進行信息安全教育。并且通過趨勢防病毒系統和防泄密系統，沒有經過內部審核的文檔則只要含敏感字都將定義成涉密文檔，不予拷貝和傳輸。

1.2.4 文檔的銷毀

電子文檔的銷毀不同紙質文檔，需要結合具體的情況來分析，主要包括以下幾種情況。

(1)廢棄硬盤的處理

有一些硬盤已損壞不能再使用，但硬盤盤片上還有一些保密信息或敏感信息，在丟棄或粉碎之前需要進行特殊的處理，確保硬盤上面的信息徹底消除。針對廢棄的硬盤，需要將硬盤盤片粉碎成顆粒狀的碎片或進行消磁處理。

(2)內部電腦換部門使用

單位內部在更新電腦時，需要將原有的電腦調給其他部門使用，或更換使用人員，此時，需要有專門的軟件系統能夠徹底銷毀電腦里面的信息，而且經過處理后，這個電腦還能繼續使用。

(3)內部硬盤信息銷毀后再利用

單位內部有一些硬盤還可以使用，決定不丟棄，繼續派發給其他人員使用，但是需要將里面的信息使用專業的工具或軟件進行徹底清除，而且經過處理后，這個硬盤還可以繼續使用。

(4)廢棄光盤及U盤的處理

針對廢棄光盤或U盤，這些光盤里面含有一些機密信息或者是敏感信息，需要采取特殊的粉碎方式，確保不能夠被第三方使用任何辦法獲取。

1.3 行為管理體系

人是行為的主體，也是信息泄露風險的主要來源，對其行為的管控自然成為重中之重，根據行為的特點，可以從信息保密行為、計算機使用行為、系統運維行為三個方面進行防御。

1.3.1 簽訂信息保密行為協議

通過信息保密行為協議對公司各員工的保密行為進行規范, 信息保密行為協議包括保密工作責任書、涉密人員保證書和保密承諾書和離崗保密承諾書4個部分。而協議的簽訂按照分級管理、逐級落實責任的原則，共分三個層級：一是公司各部門、各單位主要責任人與公司保密委員會簽訂保密工作責任書； 二是涉密人員與本單位保密委員會簽訂涉密人員保證書；三是公司系統員工與所在部門負責人簽訂保密承諾書。

1.3.2 明確計算機使用行為規范

對信息安全有關的計算機使用行為進行等級劃分，分為紅線行為和黃線行為，紅線行為10條，黃線行為35條，對計算機常用和必選軟件及配置進行了明確，編制了信息安全行為規范的口訣歌。

紅線行為中對計算機雙網卡、內外網混接、私接3G無線上網卡、私自將筆記本電腦接入內網、私自更改內外網計算機IP地址、私自卸載桌面終端管理系統客戶端、私自卸載內網計算機趨勢防病毒軟件、失泄密行為等進行嚴格的限制。

黃線行為中對內網遠程維護、無線網絡設備、移動存儲介質交叉使用、掃描儀打印機交叉使用、私自更改計算機中文實名、發布涉及公司秘密的信息、傳送涉及公司秘密信息敏感信息等行為進行了具體的限制。

1.3.3 進行信息系統運維行為審計

針對各類信息系統運維人員，包括主業、集體、外委等并存的情況，運維行為審計管理系統通過對運維人員的賬號管理、認證管理、授權管理、以及審計管理來實現對運維過程中產生的風險進行規避，針對運維過程提供運維管理和運維審計，能對多種操作系統進行管理并將管理行為進行審計，同時整合成集中、統一的安全服務系統解決方案，有效保證了企業的信息安全。

運維行為管理審計系統是基于自然人進行賬號的管理[10]，根據不同安全級別的安全策略來判斷賬號的合法性，并提供相應的安全憑據；對通過認證的賬號，可以通過事先預定的規則、策略對該賬號可以訪問的資源及操作級別進行限定，并通過運維管理審計系統對該用戶的活動過程進行記錄并保存，作為今后的審計素材。運維行為管理審計系統通過對IT管理架構的優化，對訪問的用戶實現了集中化的管理，并進行統一的授權及認證，使細粒度的控制更加嚴格。系統運維行為管理流程如圖5所示。

圖5 系統運維行為管理流程示意圖

1.4 制度保障體系

建立健全了計算機信息系統保密管理規定、安全移動存儲介質管理辦法、用戶身份認證系統管理暫行辦法、網絡與信息安全管理規定等十六項各類信息防泄漏工作規章制度，并根據工作需要及時進行修訂，內容涵蓋了技術管理體系和行為管理體系兩個部分。

2 結語

黃山公司針對各類挑戰，多種措施并舉[11]。圍繞可能產生信息泄漏的主體“人”和對象“數據”進行重點防御，建立了以文檔主體、圍繞文檔在產生、傳輸、存儲、銷毀四種生命狀態下的信息防泄漏技術管理體系；建立了以保密行為協議簽訂、計算機行為規范、運維行為審計為核心的信息防泄漏行為管理體系；建立了涵蓋信息保密、內外網郵箱等的信息防泄漏制度保障體系。通過三個體系的建立，為防止企業出現信息泄密事件提供了堅強的技術支撐和保障。

[1]鄧雄榮. 供電企業敏感數據防泄漏體系研究與實踐[J]. 數字通信世界，2015,12(10):160.

DENG Xiongrong. Research and practice of the sensitive data leakage prevention system of power supply enterprises[J]．Digital communication World，2015，12 (10)：160．

[2]馬京勝. 企業信息化系統數據防泄漏技術分析[J]. 電信技術，2012，59(08):44-45.

[3]馮建云,張月琴.內網安全信息防泄漏系統的開發與實現[J]. 電腦開發與應用，2010，23(07):31.

FENG Jianyun, ZHANG Yueqin. Development and implementation of a system against the information to divulge in the internal net safety[J]．Computer Development & Applications，2010，23(07)：31．

[4]劉東鑫,劉國榮,沈軍. 移動互聯網信息內容安全技術體系分析[J]. 電信技術，2011，58(11):12-13.

[5]趙尹琛,馬國華,文開豐. 企業信息安全防護策略的研究[J]. 電腦知識與技術，2011，7(22):5346-5347.

[6]林秀. IT安全管理與綜合審計系統應用探討[J]. 電信技術，2011，58(6):66-69.

[7]李偉偉，張濤，林為民，等.電力系統敏感數據全生命周期安全風險分析[J]. 電力信息化，2012,10(11)：78-81.

LI Weiwei, ZHANG Tao, LIN Weimin, et al. Lifecycle security risk analysis for electric power system sensitive data[J]. Electric Power Information Technology,2012,10(11):78-81.

[8]鄧松，林為民，張濤，等.數據防泄漏技術在電網信息化建設中的應用規劃[J]. 電力信息化,2013，11(1): 1-4.

DENG Song, LIN Weimin, ZHANG Tao, et al. Applied planning of data leak prevention in power grid information construction[J]. Electric Power Information Technology,2013,11(1):1-4.

[9]董鳳慧. 計算機網絡安全問題及防范策略探討[J]. 軟件，2012，33(9):102-103.

DONG Suhui. Investigate of computer network security problems and prevention strategies[J]. Software,2012,33(9):102-103

[10]張鑫,陳雪華,劉新. 電力系統信息安全基線標準體系的構建[J]. 電力信息與通信技術, 2013,11(11):110-114.

ZHANG Xin, CHEN Xuehua. LIU Xin. Construction of information security baseline standardization system for power systems [J]．Electric Power Information and Communication Technology，2013，11(11)：110-114.

[11] 董勇，謝雪峰，鄭瑾，等.文檔安全防泄密系統的研究與實現[J]. 電力信息化, 2013，11(1): 117-120.

DONG Yong, XIE Xuefeng, ZHENG Jin, et al. Research and implementation of a document security anti-leakage system[J]. Electric Power Information Technology,2013,11(1):117-120

(本文編輯：嚴 加)

Research and Construction of Information Leakage Prevention System

YE Shuiyong

(State Grid Huangshan Power Supply Company, Huangshan 245000, China)

Considering that various sensitive data are destroyed and leakage is greatly increasing, this paper focuses on the defense for "human" and "data" subjects vulnerable for "information leakage". The information leakage prevention technology management system is established surrounding the documents′ generation, transmission, storage and destroy, whose focuses include confidentiality protocol signing, computer behavior regulation and operation and maintenance behavior auditing. It has established a security system of information leakage protection such as information security, and internal and external webmail. The establishment of the three systems can provide strong technical support and guarantee for preventing information leak in enterprises.

sensitive data; information leakage; management system

10.11973/dlyny201703033

葉水勇(1964—)，男，高級工程師，從事電力行業信息化研究、開發和應用工作。

TP309.2

B

2095-1256(2017)03-0358-06

2017-02-15