浅谈提高涉密文件安全防护能力的有效措施
摘 要:本文首先分析了当前涉密文件安全防护技术现状,找出了安全防护措施不力的根本原因,在此基础上提出了一种加强文件安全防护能力的有效措施——主动防泄密安全机制,并根据单位内部局域网信息安全防护的实际需要,提出了具体的技术实现方案,从根本上有效提高了涉密文件的安全防护能力。
关键词:涉密文件;加密;密钥;主动防泄密
1 引言
当前涉密文件的安全防护措施主要依赖于网络用户的安全意识和防范能力,而文件本身防护能力不强。为了实现涉密文件的安全主动防护,本文提出一种加强文件安全防护能力的有效措施——主动防泄密安全机制,以求达到加强文件本身的安全防护能力,从根本上提高涉密文件的安全防护能力。
2 当前涉密文件安全防护技术分析
2.1 当前主要采取的安全保密措施
当前对涉密文件的安全防护,主要采取以下安全保密措施:
1.基于防火墙、入侵检测、漏洞扫描等技术的系统安全防护,其基本思想是通过各种系统安全防护措施,禁止非法用户进入内部系统,防止非授权用户接触涉密数据或进行非授权操作。
2.行为管理手段,如禁止使用软盘、U盘、移动硬盘、卸载光驱、软驱,封锁USB及打印端口,禁用蓝牙、红外及各类网络连接等。
3.基于数据加密技术的加密存储,如“文件保险箱”、加密磁盘、桌面安全系统等,通过数据加密实现涉密文件的安全存储,同时往往与身份认证技术结合应用。
4.安装各种计算机涉密电子文档管理系统、计算机及其涉密载体保密管理系统等,严格注册并使用涉密计算机和移动存储介质,防止公私计算机和移动存储介质的串用。
2.2 当前安全保密措施的安全性分析
基于防火墙、入侵检测、漏洞扫描等技术的系统安全防护,实质是文档生存环境的防护,一旦攻击者非法入侵成功,文件信息就会暴露无遗;行为管理类手段,给用户的日常工作带来极大的不便,往往难以真正落实,也缺乏有效监督手段;基于数据加密技术的加密存储、计算机及其涉密载体保密管理系统,对文件的安全防护完全依赖于用户自身信息的安全防护,只要获取了用户密钥和身份认证信息就可方便地窃取文档信息,因而无法防止内部人员的主动失泄密,例如内部人员可以方便地将文档解密后存储在移动介质上或通过打印、刻录光盘等形式带出内部网络,造成失泄密。
3 主动防泄密安全机制
通过以上对当前安全保密措施的安全性分析,可知要从根本上提高涉密文件的安全防护能力和水平,必须在系统设计规划中,加强文件本身的安全防护能力,重点解决文件的通用性和可扩散性问题。如果文件始终以加密数据存储,并且将加密数据与特定网络系统及网络系统中特定用户绑定在一起,同时对文件处理过程进行实时监控,就可使文件只能被特定网络环境中的特定用户处理,即使文件被窃取也因其脱离了特定环境和特定用户而无法被处理或利用,从而有效保证了文件信息的安全,实现安全防护由让窃取者“进不来、拿不走”到“看不懂、用不成、跑不掉”的转变. 武汉:武汉大学.2006