山丽网安：涉密信息存安全隐患 数据加密软件渗透防护

秘密，不想被他人知道之事，其中有好有坏，是否有价值。不管是以什么形式存在，秘密的攻防战自古就开始了。古代人们通过改变字形和字符来达到防护的效果，而今人们通过信息技术同样改变秘密的内容来达到防护目的，从古至今这种防护方法有一个统一的名词——加密。加密防护作为防护涉密信息已经有千年的历史了。在这个信息爆炸的时代，加密这个名词又一次出现在人们的视野之中。下面就让信息安全防护领域的专家山丽网安带您来了解这个时代的涉密信息防护与数据加密软件吧。

涉密信息泄露正成为这个时代最为棘手的安全问题

随着信息技术的飞速发展和网络建设的不断深入，现代社会对信息网络的依赖度越来越高，许多单位和部门建立了内部局域网，实现了办公自动化，但在网络给工作带来便利的同时，网络信息安全问题也越来越突出。涉密信息、内部敏感内容在网络上流转，存在严重的安全隐患，受到了普遍关注。目前，人们把大部分的财力、物力放在来自外网的攻击上，但FBI和CSI对484家公司进行的网络安全专项调查结果显示：超过85%的安全威胁来自单位内部，其中16%来自内部未授权的存取，14%来自专利信息被窃取，12%来自内部人员的欺骗，只有5%是来自黑客的攻击;在损失金额上，由内部人员泄密导致的损失高达6056000美元，是黑客所造成损失的16倍，病毒所造成损失的12倍。这组数据充分说明了内部人员泄密的严重危害，可以说任何会操作电脑的内部人士都是潜在的内网安全威胁。目前，各级各类涉密网络外部信息安全防护程度较高，综合采取防火墙、多重安全网关、网闸、入侵检测、密码加密、物理隔离等技术方法，较好的实现了对来自外部入侵的安全防护，但是内部监管问题依然严重存在。

了解漏洞在哪里——泄密隐患大剖析

目前，信息网络安全已经得到了各行业、各部门的高度重视，采取了有力的措施，但是由于缺乏有效的信息安全内部监控管理措施，在相对安全的情况下，仍存在一些不安全因素，主要表现在以下几个方面。

【随意接入涉密网，窃取秘密信息】由于绝大多数涉密信息网络没有安装专业的监控管理系统，可以采取使用涉密网络IP地址的方法，将个人计算机终端随意接入涉密网，复制网络内的各种涉密信息，影响内部涉密信息安全。

【计算机在涉密网和互联网之间交替使用】为方便使用，工作用的涉密计算机“一机跨两网”，根据工作需要，将涉密计算机在涉密网络和国际互联网之间交替使用，造成涉密计算机内信息被互联网嗅探工具探侧并截获。

【使用移动存储设备，造成信息外泄】随着移动存储载体的广泛使用，个人工作或学习中使用的移动存储设备(U盘、移动硬盘等)，在涉密网主机上随意复制信息，再接入互联网等其他非密网络计算机终端，造成涉密信息外流;甚至外来人员故意使用移动存储设备，从涉密计算机上随意复制信息，造成涉密信息外泄。

【随意使用外部设备，导致信息泄露涉密网络中使用的计算机外部设备，若使用管理不当，也会成为泄露秘密信息的途径。比如，涉密计算机外接的打印机，如果不进行监控管理，可随意打印涉密文档资料，也极易造成涉密信息外泄。

因此，为加强涉密网络内部信息安全管理，必须对涉密网络的软、硬件进行有效的管理防护，对网络运行进行严密的监控审计，对网络接入和个人网络行为进行授权和访问控制，达到安全防护的目的，防止外部人员蓄意非法进入和内部人员出于各种动机导致的涉密信息外泄。

涉密网络内部安全监控管理系统设计

【系统总体设计】按照涉密信息网络建设总体要求和安全管理需求，综合运用网络信息安全技术对涉密网络和主机采用监视、控制、审计等安全防护手段，统筹考虑可能出现的各种信息泄密途径，对计算机的软硬件资源、文件系统等进行集中监控与管理。采取事前预防、事中监控、事后审计的管理方法，进行严格的管理、监控、审计，实现对整个网络和终端的实时管理与控制。

【安全管理系统】完成对网络内的各种设备、接入网络的主机软硬件资源进行统一管理和控制，对网络用户进行认证和注册，使用户按照自己的身份、权限进行正常办公和访问，控制非法用户进入网内。包括主机管理、网络管理和硬件管理。通过系统的管理功能，达到控制网络内部开放的目的，使得局域网内的涉密信息不被非法盗取，确保网络内部的安全运行。

【安全监控系统】对网络各级节点的运行状态、终端用户行为等进行实时监视，并对发现的违规操作或非法行为采取相应的控制措施。主要包括实时报警、网络监控、服务监控等。通过监控系统的监控功能，使网络管理人员能够准确定位事件发生的地点、机器、人员，及时发现网络内部的信息安全隐患和非法用户的违规行为，及时采取有效措施，消除安全隐患，阻止非法用户或内部人员的窃密行为。

【安全审计系统】主要对系统管理、监控所涉及的内容进行实时记录，将主机的行为活动进行记录并由客户端上传到服务器的数据库内，以备对用户的行为进行事后追查。

【涉密网络内部安全监控管理系统实现的功能】该系统要既能够使现有的信息网络发挥正常功能和作用，同时能够实现对网络及其使用状况的监控管理，综合运用信息安全技术，采用监视、控制、审计等安全防护手段，统筹考虑可能出现的各种信息内部泄密途径，实现对涉密信息网络和涉密计算机的软硬件资源、文件系统进行集中的监控与管理。

【对内网计算机进行安全管理】实现内网计算机的统一管理，计算机必须进行注册才能成为内网合法计算机，所有联网的计算机都处在系统的网络监控管理范围之内，通过本系统对网络连接情况、计算机软硬件资源使用情况、安全审计记录、使用权限、共享资源等进行有效的监督和管理。通过管理，使网内计算机的对内、对外访问权限处于管控之中，使其网络地址、可访问网络资源等由系统设定和指定，个人无法自行修改。

【对主机非法接入进行安全控制管理】任何其它非注册计算机接入内网均视为违规，通过网络控制功能可对违规接入的计算机采取阻断或隔离等响应措施。系统能够及时对危害网络及网内主机的信息安全、对网络信息安全造成威胁的行为进行报警。

【对计算机接口、输入输出设备进行统一管理】系统能够管理控制硬件设备包括所有的计算机接口(USB设备、串口、并口、RJ45等)和外设(光驱、键盘、鼠标、刻录机、打印机、扫描仪、传真机、红外设备等)的使用或禁用，并能够对打印机、扫描仪、传真机、移动存储设备等外挂硬件设备进行登记管理。系统能够通过配置安全策略，控制计算机外部设备及接口的使用。系统可关闭和开放输入/输出设备，并对设备的使用情况进行记录。

【对移动存储设备进行注册使用】系统可对移动存储设备(U盘、移动硬盘等)实行注册使用制，对本单位使用的各种各类移动存储设备进行统一注册管理，凡在网内或脱网机器上使用的存储设备必须经过注册，不注册不能使用，注册后不能在网络以外的计算机上使用，达到双向隔离的目的，避免移动存储设备在管控以外的计算机上使用，堵塞移动存储设备相互复制造成涉密信息外外泄的漏洞。

【对网络行为和内网计算机进行监控】系统能够对网络各级节点的运行状态、终端用户行为进行实时监视，并对发现的违规操作或非法行为采取必要的控制措施。主要包括实时报警、网络监控、服务监控等。通过监控功能，网络管理人员能够及时发现网络内部的信息安全隐患和非法用户的窃密行为，及时采取有效措施，消除安全隐患，阻止非法用户或内部人员的窃密行为。

【对网络运行情况和计算机操作进行审计】系统可对系统管理、监控所涉及的内容进行实时记录，将涉密计算机的行为活动进行记录、审计，并由客户端上传到服务器的数据库内，协助网络管理人员对网络安全问题进行定期分析，做出网络安全情况报告和备案，以备对用户的行为进行事后追查。

以上的这些功能，山丽的防水墙系列都能实现，同时由于防水墙采用的多模加密技术，又让这些功能在确保涉密信息安全的同时，有了更大的灵活性。多模加密技术采用对称和非对称算法相结合的技术，突破了传统加密防护的瓶颈，在确保加密防护质量的同时，让用户在进行加密防护时有了更多的选择，而这也正是防水墙系列能够构画出如此缜密多样的防护方案的重要原因之一。

关键字：信息安全  数据加密  加密软件