田彥明

摘 要：隨著現代軍工企業的迅速發展，計算機作為一種先進的輔助工具也迅速普及到企業的各個部門之中，同時與之相關的信息安全問題也日益凸顯出來，本文首先陳述計算機管理現狀及面臨的問題，然后通過理論分析提出解決思路和實現方式。

關鍵詞：計算機管理；信息安全

中圖分類號：TP393.08 文獻標識碼：A 文章編號：2096-4706（2018）02-0168-02

Centralized Control of Computer in Network Environment

TIAN Yanming

（Shenyang Engine Research Institute，Shenyang 110015，China）

Abstract：With the rapid development of modern military enterprises，the computer as an auxiliary tool for advanced quickly spread to the various departments and enterprises，and information security related issues are also increasingly prominent，firstly，the current state of computer management and problems，through the analysis of the proposed solutions and implementation.

Keywords：computer management；information safety

0 引 言

隨著信息化建設和應用地逐步深入，產品研制的效率和質量得到了極大地提高，研制周期大大縮短，這使得軍工單位對應用系統和數據信息維護、監管等方面的要求越來越高。然而，當前軍工企業信息安全與保密工作面臨的形勢十分嚴峻，境內外敵對勢力一直把軍工企業作為情報收集的重點目標，特別是通過網絡發生的失竊密事件時有發生。與此同時，軍工單位的信息安全保密意識在不斷地提升，并按照國家標準建立了涉密信息系統。但現實情況是我國IT領域的硬件產品中的關鍵部件及大型工業軟件都受制于國外，距離實現信息安全的自主可控還有很長的路要走。本文主要從信息安全的防護措施和安全管理角度進行論述，討論如何對涉密信息系統中的計算機進行有效地安全管理。

1 網絡計算機管理現狀

按照涉及國家秘密的信息系統分級保護的相關要求，各單位都建立了能夠滿足科研生產需要的涉密園區網，并取得了涉密信息系統運行許可證。技防措施上，完成了安全域劃分，在安全域之間采用防火墻進行邊界控制，應用系統控制到服務端口；還對數據的輸入輸出、便攜式計算機、移動存儲介質進行了集中管理；另外還部署了打印審計和光盤刻錄審計系統。對涉密計算機采用生理特征身份鑒別方式、計算機的外設端口管理、介質使用管理、網絡接入認證管理、非法外聯管理、計算機病毒和惡意代碼防護等手段進行防護，對硬件設備的使用狀況和計算機操作行為進行監控。在管理制度上對涉密信息系統的安全運行進行規范約定。涉密信息系統管理人員根據涉密信息系統的綜合日志分析，形成審計月報和風險評估報告。

2 面臨的難點及問題

2.1 系統維護人員不足

涉密信息設備和技防措施逐年增加帶來了系統維護人員不足的情況。計算機作為日常科研生產的重要工具，數量在逐年增加。同時，隨著涉密信息系統建設地逐步深入，安全技防措施也陸續實施部署，不同軟件的兼容問題給系統管理員帶來了更多的工作量。同時，三員還需定期對全單位范圍的計算機進行安全保密檢查，工作量巨大，而且周期長。另外計算機使用者缺少必備的計算機維護知識，信息系統三員數量不能滿足日益加大的運維和安全管理的工作需要。

2.2 漏洞風險防護不及時

為滿足涉密信息系統的安全保密防護要求，涉密計算機安全產品配備逐步到位。各安全產品均具有獨立的管理界面、日志審計等功能，管理和維護工作繁瑣。但安全審計員在進行日志審計分析時發現，實際操作時缺少能夠反映全局安全狀態的工具，導致分析結果不全面，從而涉密計算機的整體安全情況顯示得不直觀，即缺少掌握網絡計算機安全狀態的技術管理手段，因而不能及時有效地發現系統中的安全漏洞和風險。

3 管理思路及實現

信息安全的管理要與技術防范并重，不能出現短板，這就需要進一步完善涉密信息系統的安全策略和管理制度，并優化工作流程，還需要逐步提高信息安全管理三員的技術水平，責任落實到人。另外可運用信息化手段收集涉密計算機的狀態信息，為信息安全管理人員提供完整的信息集中展現的管控平臺，便于集中掌握和管控風險[1]。下面從四個方面討論如何提高網絡環境下計算機的安全管理工作。

3.1 制度流程化及策略表格化

依據國家相關標準要求制定的涉密信息系統管理制度和策略，是為了規范及加強涉密信息系統的安全保密管理，以保護國家秘密。但是制度和策略內容涉及的范圍廣且相對抽象，不容易理解，通過對涉密信息系統保密制度進行梳理，將保密制度落實到日常工作及業務流程中，在日常工作中潛移默化地加深內部人員對保密制度的理解，確保保密制度在企業內地嚴格執行。另外根據涉密信息系統安全策略內容建立規范化的策略表格，這樣能夠直觀地展現安全策略的具體內容，指導信息安全管理人員開展保密工作。在內部安全檢查過程中，既能夠節約檢查時間，也能快速地發現安全隱患，從而保障涉密信息系統安全運行。

3.2 提高工作人員素質

技術人才的培養是確保信息安全管理技術的重要內容。信息安全管理技術涉及多方面的專業技能，這意味著從事網絡管理的三員要具備較強的專業技能。因此提高網絡管理人員的管理水平，不僅能降低網絡安全隱患，而且能防止發生人為事故，還能高效地解決網絡安全問題。

除此之外，可以對網絡計算機用戶加強安全教育和安全技能培訓，將一些晦澀難懂的網絡安全知識和相對復雜的計算機操作應用以實例方式進行講解，消除他們對保密的認識誤區，使其掌握計算機安全自查的能力。同時，還需要在各部門設立管理員，負責一些日常簡單的管理與維護工作，從而形成計算機三級維護管理機制，實現計算機安全風險及時消除的目的。

3.3 構建信息安全業務的集中管控平臺

3.3.1 統一規范臺帳和流程管理

建立一個完整的信息集中展現平臺，供管理員統一查詢和集中管控，具體包括：計算機類資產臺賬管理、保密日常業務流程化管理、系統文檔化管理。這需要提升涉密信息系統的安全保密管理能力，將計算機管理、網絡存儲設備管理、便攜式計算機管理、移動存儲介質管理、兼職保密人員管理、輸入輸出管理和服務器管理通過信息化的手段實現統一管控，進行集中處理。同事通過該平臺的實施和使用，實現對計算機和其它安全產品的實時管理和追溯，使涉密計算機等設備可視化和透明化，實現信息安全工作流程化、規范化和常態化管理。

3.3.2 使用高效的終端計算機監控工具

運用信息化手段收集涉密計算機的狀態信息，對不同品牌、不同操作系統的計算機軟硬件信息進行收集，然后將計算機信息傳遞給集中管控平臺。根據相關保密要求，設置系統服務、進程、開機啟動和應用軟件白名單等基礎數據庫，將涉密計算機實際的運行狀態與基礎數據進行對比，將差異部分信息上傳至服務器端進行比較，及時提示用戶違規事項，這樣能夠方便管理人員維護系統并跟蹤計算機使用情況。同時對計算機安全策略信息進行實時監控，對移動存儲介質的使用、操作系統補丁、共享文件夾及殺毒防護軟件的使用進行監控并上傳監控結果，保證檢查人員能夠準確、全面、快捷地檢查出計算機終端的相關違規行為，從而提升計算機終端的防護能力。通過多年的數據積累，現已形成一個龐大的計算機歷史狀態數據庫。

3.3.3 充分利用通知報警機制

在日常工作中，安全風險通過檢查和評估分析才得以顯現，安全工作的時效性不強。實際上，及時修復安全隱患，才能避免形成漏洞和風險。讓計算機自己“報告”自身的安全狀態能夠使管理員更及時地解決安全問題，信息安全業務的集中管控平臺要提供迅捷的通知報警功能，將計算機的策略信息，安裝的主機監控審計系統、三合一等安全產品日志及時傳達給三員，三員根據職責分工將反饋的信息加以整理分類，及時處理各自的工作內容，從而形成一個相互監督，確保問題閉環的工作機制。

3.4 加強數據安全建設

信息安全的核心問題是確保數據安全。數據主要分為業務系統數據和個人數據，業務數據主要存儲在企業的存儲系統上；個人數據包括工作中產生的各種過程數據，主要存儲在最終用戶的計算機上。數據安全的風險主要體現在兩個方面，即數據泄露及數據損壞。針對數據泄露風險，可采用電子文檔加密系統對涉密信系統內部電子數據進行加密和權限管理[2]。當數據被合法授權訪問時，文檔解密實現透明化；當數據被非法獲取訪問時，數據內容無法解密查看，以保障數據防泄露。針對數據損壞風險，需要對存儲系統上的業務數據采用兩臺存儲雙寫的容災架構部署。對最終用戶計算機上的個人數據，為最終用戶提供基于網絡的個人數據備份存儲空間，這樣來擺脫硬件故障導致數據損壞的風險，從而保障數據安全。

4 結論及展望

網絡是把雙刃劍。管得好，它是科研生產的有利工具，能夠縮短研制周期，提高生產效率；管不好，它是失竊密的主要途徑，會給國家帶來巨大的損失。網絡計算機的集中管控理念能夠在一定程度上減少運維人員的工作量，并及時發現網絡中的漏洞和風險，促進問題歸零。

參考文獻：

[1] 胡建偉.網絡安全與保密 [M].陜西：西安電子科技大學出版社，2013.

[2] 李米拉，喻新.信息網絡安全的現狀與對策 [J].河南科技，2001（11）：22-23.