用好“三合一”系統 確保信息安全

董和民 /文

由于計算機發展迅猛，而計算機犯罪具有獲利的高效性、手段的隱蔽性、影響的廣泛性和偵破的難度大等特點，無疑加劇了信息安全形勢的嚴重性，增加了維護信息安全的困難。

信息安全是過程、政策、標準、管理、指導、監控、法規、培訓和工具技術的有機總和。信息安全問題主要依靠口令密碼、數字簽名、身份認證、防火墻、安全審計、災難恢復、防病毒、防黑客入侵等安全機制解決。其中，密碼技術和管理是信息安全的核心，安全標準和系統評估是構成信息安全的基礎。

信息安全存在的一些主要問題

一是信息安全意識不強。信息時代的保密工作，涉密文件的存儲介質由紙質媒體向數字媒體轉移，傳輸方式從傳統交通工具轉為計算機網絡。對數字文件的保管，不僅要關注其物理安全，更重要的是要防止被其他人非法拷貝，并保證其真實性、可靠性和可用性。面臨這些新情況，有的保密工作者的思想觀念還停留在老做法上，存在僥幸心理，沒有主動防范、積極應對意識。

二是信息安全投入不足。在信息化建設過程中，重視信息系統功能和特性，輕視安全設備和安全系統的配備和使用。信息系統開發在進行經費預算時沒有計入系統安全成本，在設計階段很少進行安全方面的考慮和設計，在實際保密工作運行中又沒有必要的安全手段和措施，因此，基本處于不設防狀態，千瘡百孔的系統甚至成了初級黑客“練手”的工具。一旦出了問題，只能采取“亡羊補牢”式的封堵修補，信息安全狀況十分被動。

三是信息安全管理松懈。“三分靠技術，七分靠管理”是信息安全業界奉行的座右銘，即使采用最先進的安全技術和設備，如果沒有嚴格的管理和制度相配合，也不可能充分發揮效用。

四是信息安全常識匱乏。信息安全涉及計算機、網絡、通信和密碼等方面的專業知識和技術，需要進行系統的學習。在日常工作中，不設置或不會設置計算機口令，不會為操作系統及時升級，不安裝殺毒軟件和防火墻，對計算機的異常狀況不敏感等現象，都是缺少信息安全常識的表現，都會給攻擊者以可乘之機，最終有可能釀成大禍，造成無法挽回的損失。

“三合一”系統是確保信息安全的重要手段

所謂“三合一”系統即保密技術防護專用系統的簡稱，之所以稱之為“三合一”系統，是因為它是由專用系統軟件、專用移動存儲介質和多功能導入裝置三部分結合而成，相互配合使用。其中，專用系統軟件由管理端程序和用戶端程序組成，管理端程序包含服務器和控制端兩部分，系統遵循二員職責設計，即將操作員劃分管理員、審計員。二員可以通過控制端連接服務器實施相應權限控制。用戶端程序安裝在終端計算機上，專用移動存儲介質是具有特殊接口的存儲設備，多功能導入裝置用于信息的單向導入和專用移動存儲介質的管理。

傳統的保密管理思路已不適應當前的信息安全形勢，因此亟須利用現代先進信息技術研究信息安全保密新課題，提出相應方法，“三合一”系統就是這一思路的結晶。“三合一”系統最重要的功能就是信息的單向導入，只允許信息由外部移動存儲介質導入計算機，主要通過多功能導入裝置來實現。通俗地講就是利用光纖單向傳輸原理，先讀取移動存儲介質中的信息，將其轉變為光信號“發射”，“接收端”將接收到的光信號，再通過一定的機制傳輸到計算機，這樣就完成了信息從外部移動在儲介質到計算機的單向導入過程。

“三合一”系統改變了原來分設非密中間機、涉密中間機用于信息輸入的模式，僅使用一臺中間機即可完成所有外部信息的導入，因此減少了管理成本和相應操作，同時避免了非密中間機存儲處理涉密信息的泄密風險。其次，“三合一”系統改變了原有的信息輸入輸出必須刻盤的模式，利用專用移動存儲介質管理功能，保證了信息的安全性，同時減少了涉密光盤載體產生數量，便于管理。三是“三合一”系統實現了信息單向導入，保證信息不回流，即使中了木馬病毒，信息也無法通過多功能導入裝置傳輸到外部介質，消除了因介質感染木馬、隱蔽收集和盜取信息導致泄密的隱患。四是“三合一”系統創造了專用移動存儲介質，具有異形USB 接口，只能通過多功能導入裝置讀寫，避免了因誤操作造成介質交叉使用，即使該介質丟失，數據亦不會輕易泄漏。

涉密人員的管理是確保信息安全的核心

軍工保密工作要做好，必須管住人。人不安全，保密肯定不安全，同時，最不好管的也是人，因為人有思想、有感情、有社交圈，是流動著的“涉密載體”。在對涉密人員管理上，按照工作需要，應以長期、大量產生、使用、管理、接觸不同密級國家秘密為標準界定涉密人員等級。

自從開展軍工保密資格認證工作以來，企業的涉密人員管理工作一直在穩步推進，先后出臺了《國防科技工業涉密人員保密管理辦法》《國防科技工業涉密人員保密行為十不準》等多項涉密人員管理措施。在保密工作中融入“內化于心，外化于行”和“抓鐵有痕，踏石留印”的保密文化建設，把涉密人員管理貫穿于保密規定的硬性約束，真正把“國家利益高于一切，保密責任重于泰山”銘記于心植根于心，以高度的政治責任感來提升保密意識，充分認識保密責任的重要性、必要性。在保密工作中，探索出保密對管理涉密人員“嚴慎實細”的管理新理念，形成了“嚴慎”、誠勇勤和細實的保密作風建設和保密文化建設，對于加強信息安全發揮了重要作用。