随着信息技术的飞速发展和广泛应用, 信息的承载和传输方式发生了根本性变化。 工程项目信息的存储已在纸质文档的基础上,扩展到光、电、磁等各种存储介质,计算机信息系统成为信息存储、传输和处理的主要工具。 海港工程项目内部网络中的主机通常是通过物理隔离的方式与外部网络隔离, 必须通过移动存储设备来实现内网主机与外网主机间以及不同内网主机间的信息交互,给病毒、黑客软件、间谍软件等提供了可乘之机。 因此,在对海港工程项目内部网络中的主机实行信息安全管理时,物理介质的安全管理是一项非常重要的内容。
1 加强移动存储介质的管理
移动存储设备管理主要是指当存储设备插入主机系统时,主机根据判断设备识别信息与数据库中身份注册信息是否相符, 再确定该移动存储介质是否能够被主机系统激活并为用户所用。 然后根据用户权限决定其所能使用的接口数量,如果超出则移动存储设备自动弹出。 建立合适的安全组织机构能合理地协调各方面因素,实现安全管理的规范化、科学化,通过各级组织机构对海港工程项目各级成员单位的信息安全建设进行监督管理和检查指导, 统一规划和设计出海港工程项目信息安全管理体系,保证安全策略有机整合,避免安全漏洞。 在部门之间,信息管理部门主要负责信息安全技术, 在安全管理上与本单位的保密部门、机要部门等相关部门协调合作,共同做好信息安全管理工作。
1.1 限制外接设备和接口
接口限制主要包括两个部分: 外接存储设备接口与网络接口限制。 一方面要限制外设接口滥用,一方面也要避免内部人员利用网络接口私自接入非法主机或接出外网。 对 USB 接口统一管理,要求在不影响鼠标、键盘等外接设备正常运行的前提下严格管理和控制存储设备接口的使用;对打印机、刻录机、光驱、软驱等常规外接设备严格限制,做到有用监管、无用封禁、统一管理、集中使用,避免内部人员私自利用本地打印或刻录方式窃取涉密信息;对涉密存储设备做到严格管制,专盘专用,由保密办负责编号登记,标明密级并由专人保管,需使用时向保管部门借出并及时交还, 不得在涉密计算机上使用未经认证的存储设备或将曾存储、处理过涉密信息的存储设备挪作他用。
1.2 实施集中刻录和打印安全审核
海港工程项目内部网络有着极高涉密安全需求, 除了需要防止用户通过移动存储设备拷贝涉密信息外, 也需要预防有人通过光盘刻录、打印等传统手段下载机密信息。 因此光盘刻录工作集中在专项部门进行,用户在使用前必须首先获得许可,并全程跟踪光盘的流向及使用情况。
打印安全简单来讲就是需要确保敏感或机密信息不在打印环节遭到泄露。 首先需要屏蔽用户主机的打印机接口,接着由用户端发起打印申请,审批备案后,再经过海港工程项目信息安全管理中心统一授权的打印机构予以打印。在打印过程中应注意以下几点:确保打印资料从电脑传输到打印机网络的过程中不被他人恶意截取; 确保打印好的文件不会被人有意无意取阅或拿走;对施工人员的打印作业进行有效的监控和管理,特别是严格落实与打印相关的审核和控制;对打印的完整生命周期的管理,包括权限认证,任务发起,任务审核,拷贝销毁等等;要求对所有安全文档进行分级管理,按照涉密的级别打印,并进行精细化管理。
1.3 防止存储设备管理失控
海港工程项目在项目的施工过程中,往往会涉及许多的施工单位和部门,因此,使用存储设备进行信息的临时性存储便变得十分平常,海港工程项目信息系统中大量的涉密信息都存储在软盘、磁盘和光盘里,而这些载体又十分容易被使用者带入不安全的环境之中,发生载体丢失、被盗或存储介质受到损毁等意外情况,造成严重的信息泄露事故,给国防和军队建设造成重大损失,故必须加强此方面的防范力度。 对于废弃磁介质的管理,由于磁性介质具有剩磁特性,因此存储过涉密信息的磁性存储介质可能会因为存储介质永久性磁化而造成信息的泄露。对于存储过涉密信息的废旧存储设备和介质必须严格控制其流通的范围,按照信息安全管理的相关规定和流程将准备废弃的设备交到保密机构集中统一保管或进行严格规范的脱密、销毁,并办理好相应的登记手续。
2 加强纸质文档资料的管理
在海港工程项目建设的过程中,信息在流动时,人们通常会使用大量的纸质类文件来记录、保存和传输各种涉密的信息。 为防止这些纸质文档上的资料和信息泄露。一般需要采取以下措施进行科学管理: 严格遵守保密条例中的各项规定和制度要求,特别要严禁文档资料的非法复印; 在文件和文档资料制作过程中,为防止丢弃的草稿纸、复写纸、计算机表格、演算纸、数据卡片和学习笔记等“废纸”造成泄密,必须严格按照保密守则销毁一切废品,并将所有废纸及时进行粉碎和焚烧;严格控制相关文档资料的传阅范围和人群,同时,还应周密审查、严格控制在各种报纸杂志等媒体上发布的消息,防止间接泄露海港工程项目涉密信息。
3 加强办公设备和工地设备的管理
3.1 强化电脑设备的审核与管理
严格区分涉密、非涉密计算机,涉密计算机必须登记在册,非涉密计算机严禁储存涉密信息。 通过用户访谈和网络收集工具,从技术、管理、策略等角度更深层次地了解与海港建设项目信息相关的安全要素,挖掘出信息安全管理背后的风险。 并收集海港工程项目信息安全管理的网络信息, 主机开放端口信息及共享信息等情况。 通过网管代理软件对涉密计算机进行实时监控,对海港工程项目内部网络的数据和信息流进行安全审核,对工作人员操作及用户行为进行记录, 建立即时预警平台并留存操作证据,以便信息安全管理部门的工作人员远程监控、查找和跟踪线索。
3.2 强化对工地施工设备的审查和管理
随着信息技术的飞速发展和高新技术手段的应用, 信息的承载和传输方式由有形、有线向无形、无线发展,使信息管理难度加大。 信息技术在施工设备上的使用和藏匿方式更加多样化,使海港工程项目面临的窃密和泄密威胁进一步增大。 海港工程项目信息安全管理部门应重点做好防范 “预置陷阱” 危害的工作,预置陷阱是指在信息系统、设备、部件中人为地预设了一些陷阱。 例如:从境外引进的信息产品和工程施工设备很可能带有“技术后门”和“陷阱”,对信息安全带来严重隐患 。 因此 ,必须对所有参与竞标的单位的施工设备进行严格的技术和安全审查,并制定一套有效的“技术后门”和“陷阱”应急处置方案。 由于海港工程项目中使用的信息产品有许多都是由外企生产或外方经营控制的,因此,务必加强对海港工程项目内部施工和通讯等设备的管理,做好施工设备的电、磁、光、声泄露防护,避免因对施工设备审查不严而造成涉密信息的泄露。
参考文献
[1]何芳,王川,肖森予 ,等.基于 MIV-BP 型网络实验的房地产项目风险识别研究[J].运筹与管理,2013(2).
[2]王周伟.风险管理[M].北京:机械工业出版社,2012.
[3]阎慧,王伟.防火墙原理与技术[M].北京:机械工业出版社,2010.
[4]任月鸥 ,高文举 ,李秋菊. 在校园网络环境下防火墙技术的应用研究[J].硅谷,2011(12).
