浅谈印包企业局域网终端涉密信息管理系统

罗龙

（上海烟草包装印刷有限公司，上海 200137）

1 研究背景

随着计算机软件和因特网技术的迅速发展，计算机和网络技术在生产和办公中得到了越来越多的运用。在各类组织中，运用电脑网络技术建立局域网，通过信息化技术处理数据、共享资源、获得信息，突破物理边界、提高工作效能。[1]同时，人们对网络信息安全的重视程度也与日俱增，能够经济、简便、有效地管控网络中的涉密信息是非常有必要的。印包企业中用于印刷生产的制版文件等图文制作类文件往往属于涉密信息，这类文件一旦外流，其他印包企业就可以轻松复制相关印刷产品。在印包企业中，通过在本地网络中对终端进行快速扫描与解析，配置相应的管控策略，能够使涉密信息管控更加高效、便捷，有一定实践价值和推广意义。

1.1 局域网系统管理理论

为防故障，系统、网络需要做好业务数据备份。高实时性的数据，应设计实施一套合适的备份制度，以便实现有效备份；非高实时性的数据，可由管理员进行人工备份；此外，存放备份数据物理地址的安全性也比较重要。[2]

每台存储和服务器都要面对安全问题，比如用户和用户组的安全及数据资料的安全存储和使用。为解决这些安全问题，常见的方法有设定使用者和使用者群的授权来增加安全度；合理设定使用者的授权，可有效提升使用者安全性。

1.2 涉密信息管理系统的意义

涉密信息管理系统运行有效的关键还是在于管好局域网内的各类终端，无论是windows操作系统终端，还是非windows操作系统终端，都需要有效地管控起来。一方面，需要满足印包企业对于各类终端的基础管控要求；另一方面，需要满足印包企业对于在各类终端间传递的图文制作类文件等涉密信息的管控需求。因此，基于《安全生产监管规定》的要求，在系统设计的过程中应遵循国家、行业有关于网络安全的基础性规范，同时还要结合印包企业各类终端的硬件结构、操作系统等实际状况，才能保障印包企业涉密信息得到有力管控。另外，为了保障涉密信息的管控力，一方面，梳理排摸印包企业涉密信息的类型、种类，可以建立正向约束机制；另一方面，根据已知的印包企业涉密信息的类型、种类，还可以建立反向追溯机制。[3]

本系统的设计意义主要包括：1）能够实现针对终端的集中管理，整合恶意代码防护、准入控制、桌面安全管理等终端安全防护能力，完善终端运营监测与行为管控，及时发现和快速处置各种类型终端安全事件；能够实现管理网终端准入和管控，实现印包企业涉密信息的传输控制和审计。2）能够完善终端敏感数据的管控流程，从梳理、发现、监控、保护和追溯等多个环节遏制印包企业潜在的涉密信息泄露风险。[4]3）能够使终端设备的安全性得到大幅提升，部分敏感的业务数据得到了保护，在一定程度提高了业务系统的安全性，从而确保业务系统可以更好的持续提供 服务。

2 涉密信息管理系统的设计

2.1 系统设计目标

目前，局域网由两类网络组成：一是网络中终端可以向因特网传递信息和发布信息，同时在终端上存储、处理和传输相关信息；二是根据BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》的规定，对涉密网络实施物理隔离，使用者在特定的密码服务器中存储相关资料。

因工作人员保密意识和能力的参差不齐，在没有建设涉密信息管理系统的局域网中，本地终端机无论是否涉密，涉密信息或多或少都有可能泄露；在这种模式下，局域网内部所有终端用户都不会信任这种模式。局域网内的涉密信息管理系统就是对以上两种网络条件进行监测。[5]基于尽可能确保涉密信息管控有效和使各类终端用户无感的目的，本系统的主要设计思路如下：

1）通过部署网络准入、终端安全管理统一管理平台，最终建立一套符合印包企业实际、符合国家、行业网络安全标准的专业化终端准入安全管理系统，保障企业信息系统稳定、高效、安全运行，通过各种策略和识别机制实现业务终端的统一管理。

2）为实现印包企业涉密信息的防泄露，进行敏感策略的定义，通过技术手段发现敏感数据，对敏感数据进行保护措施的设置，对整个过程进行全程审计。具体来说：

首先，要完成敏感数据的手动定义，定义方式主要有：①敏感关键词：支持关键字内容检测；②正则表达式：对于符合某种规则的内容，可以抽象出正则表达式，然后按正则表达式对文字内容进行检查；③文件大小或类型：基于文件属性检测，比如将图文制作类文件类型判定为敏感数据；④文件指纹：基于既有的文件固定模板，完成敏感数据的定义；⑤文件MD5：精确匹配不能被篡改的档案、公文、客户资料。印包企业图文制作类文件中所含敏感数据需要进行手动定义，比如：将某公司的商标名作为敏感关键词；将图文制作类文件的施工单号作为正则表达式，用于检查涉密文件；将图文制作类文件的常见后缀名作为需要核验的文件属性；将可用于印刷生产的图文制作类文件的模板设定文件指纹等。

然后，待敏感数据定义完成后，通过终端DLP或网关DLP识别文件中的敏感数据，匹配相应的管控策略。印包企业在完成图文制作类文件中敏感数据的手动定义后，可根据敏感数据的涉密程度设定合适的管控策略，包括但不限于拦截、警告、仅记录、使用人确认等。

最后，对文件外发过程中的敏感事件进行完整记录审计，对终端操作行为进行审计，如：对图文制作类文件的刻录、打印、粘贴板等行为进行审计。

总之，涉密信息管理系统对于敏感数据的手动定义、匹配管控策略、开展行为审计等手段，可适用于印包企业对于图文制作类文件的涉密信息管控需求。

2.2 系统主要功能

2.2.1 对局域网内各类终端文件进行审计

业务端发出指示，并按照设定原则由使用者终端执行档案检验。对文档进行扫描，发现与监测战略相符的文档，并利用不同文档的读取和写入界面对文档进行扫描，并与相关敏感策略进行比对。完成扫描后，向资料库中写入主机IP地址、MAC地址、文件存储位置等相关资讯。

2.2.2 对整个涉密信息管理系统进行控制

服务器端可以为涉密信息审查设定管控策略，包括要查看的档案的型别、机密关键字、检验项设定等，该业务也可以选择一些用户的终端装置进行监测。

2.2.3 提取使用移动存储介质记录

从用户终端登记数据中的关键数值，阅读先前在终端系统中所使用的移动存储媒体详细资料，与当前企业合法移动存储媒体台账进行比对，向网上报告没有记录的移动存储媒体记录。

2.3 涉密信息审计思路

本系统对用户端所有磁盘的文件系统匹配敏感信息管控策略的设计思路：

2.3.1 敏感信息管控审计流程

对所有使用者端的磁盘文件进行集中式的敏感信息管控审计，整个流程为：

用户终端：1）登陆域；2）接收并执行检验政策；3）返回自动输入的数据和生成报表。

服务端：1）将审计策略发送到负责监测管理的一端，2）涉密文件的分析和监测，3）返回的数据存储，4）生成表单。

2.3.2 管理端策略设定与发送

相关管理人员可以根据检查方式、受检用户、受检硬盘、受检文档类型、敏感数据、检查频次、检查时间等有关细节，制定匹配的管控策略并设置，生成的策略信息按照约定的顺序执行串行通讯，由域控制器向各个子网络的受检用户终端装置发送。

2.3.3 用户终端接收命令与涉密信息侦搜

随用户终端的操作系统启动或登录域而与服务器连接，完全自动接收和执行涉密信息管控策略，同时在背景中运行敏感信息校验软件。根据已知的涉密信息管控策略，分析磁盘上的某一部分或某一类型文档，提取其有关信息与设定的策略进行匹配，若出现匹配，则将该文档的相关信息整理并发送给数据库，直至完成全部搜索。整个检验流程均在控制端进行。

2.3.4 涉密信息管理端数据自动入库

涉密信息管理端的数据库接收来自各个用户的可疑文件，以一定的形式存储所接收的数据，完成对用户终端的涉密信息管控监测，监测结果将会发送到涉密信息管理端。[5]若因网络故障等原因无法完成数据库上传，可将监测结果记录保存到用户终端，生成日志文件。

2.3.5 涉密信息审计和形成报告

涉密信息审计可根据涉密度、登录名、IP地址等字段名进行单独分类或排列，并根据敏感信息的涉密等级对涉密信息进行核实，最后生成符合审计需求的相关报表备用备查。

2.4 局域网涉密信息管理系统结构

局域网涉密信息管理系统是由服务器端、用户端设备数据库进行的。局域网安全情报检查体系采用B/S结构建立并运行。该系统具备按照Windows server域响应指令执行，执行机密资料检查、资料传送到上端服务器，可通过网页查询或生成表单等功能。如图1所示：

图1 局域网涉密信息管理系统运行架构

局域网涉密信息管理系统的主要功能是存储在服务器上的程序运行和本地数据库的查找，两者协同工作，使局域网涉密信息管理系统的功能得到充分发挥。

2.5 局域网涉密信息管理系统功能

局域网涉密信息管理系统功能结构如图2所示：

图2 局域网涉密信息管理系统功能结构

局域网涉密信息管理系统的用户需求将根据各功能特点，按照“高内聚、低耦合”原则，将各个相对独立的功能模块组合成一个有机整体。

3 涉密信息管理系统的应用场景

企业若有涉密信息的管控需求，涉密信息管理系统的应用架构设计如图3。

图3 局域网涉密信息管理系统应用架构设计

上述涉密信息管理系统的主体功能可以通过引入专业化的终端管控系统予以实现，但目前市场上主流的网络安全厂商提供的终端管控系统基本都是基于windows系统，没有基于苹果mac系统的。考虑到局域网内的各类终端既有windows系统，也有非windows系统，其中苹果mac系统较为典型，尤其是印包企业，很多印包企业会将苹果mac电脑作为图文制作类文件编辑的主要终端设备。在现行主流基于windows系统的终端管控系统前提下，纯靠技术手段一揽子解决涉密信息管理是不现实的，要全面实现windows系统终端和非windows系统终端的涉密信息管控，必须同步配套相关管理措施，以苹果mac电脑举例：

1）所有苹果mac电脑需要联成一个局域网，集中在一个独立办公空间内，要进入办公需要将手机等能拍摄、传输的工具留在办公空间之外。印包企业可以将用于图文设计的苹果mac电脑集中在一个物理相对隔绝的空间内，按前述要求部署。

2）所有苹果mac电脑的外联设备信息传输接口，比如USB接口等，用硅胶封死，并贴上封条，禁止直接用U盘、移动硬盘等外联设备导入导出文件信息。

通过项1和项2这两项管理手段，可以保障不受终端管控系统制约的苹果mac电脑所编辑的图文制作类文件被约束在物理相对隔绝的空间内，达到印包企业图文制作类文件涉密管控的目的。

3）该局域网不能直连联结企业管理网、互联网，至少做到逻辑隔离，该局域网通过两台windows系统电脑作为摆渡机联接企业管理网，用于实现苹果mac电脑与企业管理网的文件信息交互；[5]两台windows系统电脑作为摆渡机的配置主要是为了实现用一备一的目的，防止单点故障影响正常办公。

通过项3，印包企业在物理相对隔绝空间内编辑的图文制作类文件可以通过两台摆渡机进入企业管理网，从而接受终端管控系统的管制。

4）涉密信息归口部门需要对涉密信息进行辨识、归类和管理，设置专人管理两台windows系统电脑摆渡机，做好开机密码管理等网络安全管理工作以及涉密信息的确认和标识等工作。

5）联接企业管理网的两台windows系统电脑摆渡机接受终端管控系统的管理，通过源头管控型或溯源追责型涉密控制功能管理涉密信息的传递，需要涉密信息归口部门设置专人负责涉密信息外发至非可控区域的审核和权限分发，确保涉密信息外发受控和可追溯。

通过项4和项5，可以实现印包企业对图文制作类文件敏感数据的手动定义、管控策略的匹配、操作行为的审计，即实现了对涉密信息的事前管控和事后追溯。

相关管控策略如图4。

图4 非windows系统终端涉密信息管控策略

对于印包企业来说，无论是windows系统终端，还是苹果mac系统等非windows系统终端，可以通过引入专业化的终端管控系统，辅以配套的管理手段，通过本文述及的信息化技术，实现数据安全防护与涉密防泄露，将企业从传统的涉密信息人工管控模式中解脱出来，提高了企业涉密信息管控的有效性。

4 结论

本文尝试从信息化技术应用角度解决印包企业图文制作类文件等涉密信息管理方面的问题，推动印包企业涉密信息管理向信息化、数字化方向发展，提高涉密信息管理效率。同时结合企业实际，对具体实施、现场部署的可行性开展了相应思考、策划和探索，包括系统结构、功能结构、管控策略等。由于系统的设计、开发和部署仍受现有技术和管理基础制约，仍存不足之处，需持续动态审视和完善。