我们上一篇文章讲了移动存储介质的泄密隐患,有读者问:"既然U盘这么危险,那我们是不是干脆别用了?"这当然不现实。移动存储介质是现代办公中绕不开的工具,关键不是不用,而是怎么用得安全。今天我们来详细说说移动存储介质保密管理的具体要求。
移动存储介质是保密管理的薄弱环节,需要你在日常工作中重点把握以下几条管理要求。
第一条是核心原则:遵循"分网分类,不得交叉使用"。什么叫分网分类?简单说,就是涉密网络用的U盘只能插涉密网络的电脑,互联网用的U盘只能插互联网的电脑,两者之间严格禁止混用。这看似简单的规则,在实际工作中却是违规率较高的环节。有些同事图省事,把互联网上下载的资料直接拿U盘拷到内网电脑上,这个U盘就成了病毒和木马的"摆渡船"。
第二条是建立基础台账:对移动存储介质进行登记造册,明确用途,分为外网使用和内网使用两类,建立保密责任人制度。每个U盘、每个移动硬盘都要编号、登记、明确责任人。这样一旦出了问题,能追溯到是谁、在什么时候、做了什么操作。台账管理听起来麻烦,但它是保密管理的基础,没有台账就没有抓手。
第三条讲外网介质的禁令:用于连接互联网或电子政务外网的移动存储介质,严禁处理、存储涉及国家秘密的信息,并严禁在涉密信息系统上使用。这个规定的逻辑很清楚——互联网环境复杂,外网介质随时可能感染病毒木马,如果把它插到涉密系统上,就等于给攻击者搭了一座桥。
第四条关于内网介质分级管理:用于电子政务内网的移动存储介质分为两类。一类仅存储、处理一般信息或工作秘密信息,这类介质要在明显处标明"内网使用"字样。另一类用于存储、处理涉及国家秘密的信息,必须标明"内网使用 密级"标识,其中密级按存储信息的最高密级标明。为什么要做这个区分?因为不同密级的信息需要不同等级的保护,不能把所有信息混在一起处理。
第五条针对涉密介质专门管理:存储、处理涉及国家秘密信息的移动存储介质属于涉密移动存储介质,应当尽量将涉密信息集中存储在少数移动存储介质中,减少涉密介质的数量。同时要按照国家秘密载体保密管理规定的要求采取保密措施,严禁在电子政务外网或公众信息网上使用涉密移动存储介质。数量越少,管理越集中,出事的概率就越低。
第六条解决一个现实难题:内外网之间怎么安全地交换数据?对于确实需要在电子政务内网与外网之间进行数据转换的单位,要建立专门用于数据转换的移动存储介质,通过"专用中间机加安全U盘"的方式,采取人工转换的办法实现内外网间的数据交换。这里要特别强调:严禁将涉密文件或涉密信息从内网转到外网。数据可以从外网进入内网(经过查杀病毒后),但不能从内网流出到外网。这是单向流动的安全原则。
问:我们单位U盘很多,全部登记工作量太大了怎么办?
答:可以从清理闲置U盘入手,先统计实际在用的设备数量。优先级上,先管涉密介质再管非密介质,先管大容量硬盘再管小容量U盘,分步推进。
问:什么是"专用中间机"?
答:专用中间机是一台不接入任何网络的独立计算机,专门用于在内外网之间转换数据。先用外网介质拷贝数据到中间机,查杀病毒后,再用内网介质从中间机拷走数据。这台中间机本身也要定期检查清理。
问:工作秘密信息需要像国家秘密一样管理吗?
答:工作秘密的保护要求低于国家秘密,但同样需要规范管理,做好标识、登记,不能随意传播或拷贝。
北京企密安信息安全技术有限公司在帮助客户建立移动存储介质管理制度的过程中发现,很多时候不是缺制度,而是缺执行。制度贴在墙上,U盘依然在内外网之间"自由飞翔"。保密管理说到底,三分在制度,七分在执行。希望你能对照这六条要求,检查一下自己单位的U盘使用现状,看看有没有需要改进的地方。
