1. 移动存储介质的发展趋势
趋势一:各种信息安全技术走向融合
在企业数据安全管理领域,一个最重要的趋势就是与各种安全技术的集成以及与各种安全产品的整合。移动存储介质的保密管理已经远远超越了设备单点安全的范畴,移动存储介质泄密防护作为企业信息失泄密防护的重要环节,需要结合企业现有组织结构,并能与现有的企业安全产品相整合,特别是与信息防护和控制系统(IPC)的整合,成为全面信息安全解决方案中的一部分。
一些厂家认识到基于软、硬件的保密防护的必要性、优点和不足,将单点设备安全和移动存储介质管理系统结合起来,并推出了软硬件结合的产品,这类产品的出现是技术融合的产物,它综合了以上两类产品的优点,实现了移动存储介质的数据安全、介质访问控制,介质使用环境安全、数据摆渡安全等多层次保护,对移动存储介质进行全生命周期管理。这类产品是迄今为止最全面的移动存储介质保密管理方案。
趋势二:基于安全芯片的验证和加密被越来越多的产品所采用
随着安全移动存储设备应用环境的复杂化,简单地依靠桌面操作系统的单向认证方式,无法抵挡假冒身份,数据拦截等恶意的窃密手段。基于安全芯片的身份认证方式,将大大提高移动存储设备数据访问的安全性。在安全移动存储设备芯片中运行独立的COS操作系统,通过USBKEY等安全通道进行身份认证,并由COS完成数据的动态加密。这种认证和保密技术是SIM卡、网上银行等应用认证技术的拓展。
趋势三:介质的分级保护成为产品的必要功能
国家保密部门在保密制度上做出了明确规定,对信息系统提出了分密级保护的要求,并规定不同密级实体之间的访问规则,比如高密级移动存储介质不能在低密级计算机上使用,高密级电子文件不能存储在低密级存储设备上。为满足保密部门这些要求,密级标识和基于主客体密级标识的访问控制成为移动存储介质保密管理的必备功能。
趋势四:安全数据摆渡成为热门技术
传统的数据摆渡威胁来自于移动存储介质在内外网之间的交叉使用。近几年,病毒(木马)通过移动存储介质摆渡来窃取用户文件,逐渐成为信息安全的焦点问题,如何有效地鉴别用户和病毒(木马)行为,通过有效的手段来保证移动存储介质在内外部网络之间进行数据摆渡的安全,成为移动存储介质保密管理越来越重要的课题。
趋势五:审计跟踪趋向多维度、立体化
移动存储介质的便携性决定它需要把传统的终端数据审核功能拓展到受控的环境之外,系统审计跟踪需要从简单一维空间发展到多维空间,实现基于身份、时间,地点、设备、不同安全模式等多维跟踪。人员操作审计,终端操作审计、设备使用审计,文件跟踪审计等构成了立体化的审计跟踪体系。
易产生的安全隐患
隐患1:使用人员安全意识不高,将带有与工作有关的资料、单位机密文件的移动存储介质随意外借或者麻痹大意而丢失,被他人将移动存储介质中的资料悉数窃取。
隐患2:移动存储介质在内外网之间直接交互使用,在接入互联网等网络时,容易被黑客利用高科技手段获取有用的个人或者公司信息,从而导致一些重要数据或信息的泄密,造成不必要的个人或者集体损失。
隐患3:由于移动介质的不规范使用,使其作为媒介将病毒从外网带入内网成为了可能,如银行内部发生了计算机病毒攻击内网导致网络瘫痪、系统崩溃和数据丢失。
隐患4:由于移动介质的方便性,常常随身携带,造成移动介质震动或跌落使其受损,从而造成数据和信息的丢失。
隐患5:目前市场假货很多,大多数都是扩容产品,实际容量与标识有很大的出入,往往使存储的资料丢失,所以,在购买时,一定要买正品。
2. 移动存储介质的管理
管理措施为了规范移动存储介质的使用,切实保障信息安全与网络安全,应建立移动存储介质管理制度,并按照制度要求将移动存储介质分为涉密和非涉密两类,而且要着重管理涉密移动存储介质,具体做法如下。
1、严禁非涉密移动存储介质用于涉密领域,严禁涉密移动存储介质用于非涉密领域,禁止涉密移动存储介质在接人互联网的电脑上使用。
2、涉密移动存储介质在配发、领取、制作、使用、保管、维护和销毁过程中,应遵循“统一购置、集中管理、严密防范、确保安全”的原则。
3、配发涉密移动存储介质时必须进行登记、编号、贴注密级标识。对领取、发放、外带、报废、归档、维修等实行全过程的管理,每个环节都要填写申请并经保密部门审批同意后方可执行。由负责保密管理工作的部门建立台账,逐一记录各个移动存储介质的不同环节的变动情况;外带时要确保涉密移动存储介质始终处于携带人的有效控制之中;严禁将涉密移动存储介质转借给外单位或他人使用。
4、及时查杀病毒、木马等恶意代码,防止其蔓延传播。
5、严禁将以报废的涉密移动存储介质转为非涉密载体继续使用。对报废的涉密移动存储介质要进行彻底的损毁。
3. 如何加强移动存储介质的管理
近年来,随着信息技术的飞速发展和高新技术设备的应用,移动存储介质,如U盘、移动硬盘的出现和普及,极大方便了数据交换和存储便利性。但是,移动存储介质在给人们带来方便的同时,也给保密工作引入了极大的安全隐患,移动存储介质的安全保密问题突现出来,成为当前保密管理中的重点和难点。因此,加强移动存储介质的管理已成为有效保障涉密信息安全的重要基础。 一、存在的主要问题 移动存储介质因其通用性强、存储量大、体积小、易携带等特点而得到广泛使用,越来越多的秘密数据和档案资料被存储在移动存储介质里或通过移动存储介质传递资料,大量的秘密文件和资料变为磁性介质和光学介质,存储在无保护的介质里,泄密隐患相当大。目前,移动存储介质管理还存在不少薄弱环节和问题。 一是对涉密移动存储介质的管理不规范,存在违规使用现象。保密法规规定各单位对于保存秘密信息的移动存储介质应该进行申报登记,并按其所涉及的秘密等级粘贴标识。而有些单位没有针对移动存储介质制定专门的管理制度,或制定的制度不具体、可操作性差,以至于使日常管理无章可循或管理松懈,存在一机多用、交叉使用等情况,大大增加了泄密隐患。 二是对涉密移动存储介质未采取加密和控制技术。很多单位的涉密存储介质的数据采用明文保存,如果设备丢失或被不法分子控制,非法持有者可轻而易举获取涉密文件,给国家利益和安全造成重大损失。 三是涉密移动存储介质维修和销毁环节管理放松。计算机出故障后,存有涉密信息的移动存储介质不经处理或无人监督就带出修理,或修理时没有懂技术的人员在场监督,容易造成泄密。在没有资质的维修点维修;简单删除涉密移动存储介质中的涉密信息后卖给维修站等情况,增加了保密数据被窃的可能性,造成不可估量的损失。 二、对策和建议 由于使用移动存储介质而引起的安全问题给保密工作带来了很大困扰,这些问题随着信息化建设的深入也会越发突出和严重。针对存在的问题,提出以下建议: 一是加强日常监督和管理,制定和健全相关法规。根据国家有关保密规定,涉密移动存储介质应由单位统一发放,并建立严格的登记、使用、销毁等技术措施和管理制度与非密载体严格区分,不能既处理涉密信息,又上互联网;要严格控制携带移动存储介质外出,带出工作区要经过单位批准移动存储介质要定期回收,在挪用、捐赠或不再使用时要统一对介质内的数据进行彻底销毁同时,应对移动介质的日常使用进行监督检查,以利于各项规章制度的严格执行。此外,对涉密移动存储设备从购买到报废进行全程监管,严格把守采购关,检查关,使用关、维护关和报废关等各个环节,从制度上防止泄密事件的可能发生。 二是利用先进的软件和硬件技术加强移动存储介质安全管理。为满足国家规定的各种保密要求,各单位仅靠传统的保密措施,显得捉襟见肘,迫切需要选用一个功能强大、运行稳定的安全软件系统和相关硬件设备。技术手段在现代化的保密工作中扮演着越来越重要的角色。通过认证和加密技术来防范移动存储介质可能引起的敏感信息泄露,可以提高存储介质应用的安全性。一些产品已经问世,比如利用密码、身份认证、访问控制和审计跟踪等技术手段,对涉密信息、重要业务数据和技术专利等敏感信息的存储、传播和处理过程实施安全保护,最大限度地防止敏感信息的泄漏、被破坏和违规外传,并完整记录涉及敏感信息的操作日志以便事后审计和追究泄密责任。 三是加强保密知识教育和技术培训。增强日常防范意识和技能除了管理和技术防范措施外,还应该加强对涉密计算机操作人员进行现有法律法规的宣传和保密知识的教育丁作,定期开展保密技术防范技能及保密法律法规的培训,增强日常防范措施,使相关的操作和使用人员了解移动存储介质保密管理的相关知识,加强对移动存储介质使用的敏感性,消除可能的泄密隐患。涉密计算机操作人员还应该加强防病毒的意识。目前互联网上的病毒很多,对于需要从网上下载资料的人员,应注意涉密移动存储介质不能直接与上国际互联网或其他公共信息网的计算机相连接;用于下载国际互联网、公共信息网信息的移动存储介质不得与涉密计算机和涉密计算机信息系统相连接。如需从网上下载资料,应该用非涉密移动存储介质从上网计算机上下载资料后,通过中间机(中间机指的是既不用于上网又不是涉密的计算机)进行杀毒处理后,对资料进行存储并导入涉密计算机。 四是密级标识。在一个合格的安全体系中,不同密级的信息必须保存在不同的位置或不同的存储介质上,这样可以最大限度保障信息的安全。为此,需要将网络体系中所有可移动介质按其所涉及的秘密等级粘贴单位统一制作的密级标识,用以存放相应密级的数据,只有具备相关权限的人员才能对涉密信息进行访问。在移动存储设备的使用过程中,应提供详细的审计记录,包括注册信息、使用信息和文件操作信息,记录要素包括使用人、使用计算机、使用时间和动作等,并提供丰富的审计报告。这样可以对移动存储设备的整个使用过程进行记录,以利于监督和审计。
4. 涉密存储介质的管理实行原则是什么
涉密存储介质的管理应当实行谁使用谁负责的原则。日常安全保密管理由使用人负责按照机关单位的信息设备和存储设备管理办法执行。
更加严格的管理措施是专盘专用,一人一盘,临时存储,集中管理。
5. 磁带介质存储数据安全管理
唐卫
(中国地质调查局广州海洋地质调查局)
摘要 随着数据量的增长,大容量数据存储介质的需求大幅增加。数据存储也成为大家共同关注的问题。磁带存储技术是一种安全、可靠、易使用和相对投资小的备份方式,是档案存储备份之首选。但对长时间保存的磁带怎样保障其数据的安全性是档案行业最为关注的重要问题之一。本文从磁带保存、转储等实际管理过程中遇到的问题出发,介绍怎样保障存储在磁带介质上数据的安全并提出初步建议。
关键词 磁带 数据存储 数据安全
随着社会的发展,档案资料的存储形式呈现多样化,电子数据的存储问题越来越突出,电子文件长期安全保存问题已引起我们的高度重视。磁带存储技术是一种安全、可靠、易使用和相对投资小的备份方式,是档案存储备份之首选。本文从磁带保存、转储等实际管理过程中遇到的问题出发,介绍怎样保障存储在磁带介质上数据的安全并提出初步建议。
1 磁带介质简介
1.1 磁带介质的特点
磁带是一种顺序存取的存储介质,与磁盘相比,磁带的价格很便宜。除了驱动器和介质成本,磁带保存在库中,不消耗电能,不需要使用昂贵的数据中心存储空间。
磁带具有存储海量数据的绝对优势,虽然磁带读取速度相对较慢,但磁带技术的发展,在大文件、大容量数据的存取上具有较大优势,速度甚至比磁盘还要快。在数据安全性方面,磁带可以离站携带,并可以离线保护,以免数据受到在线攻击,因此使用磁带进行离线备份的优势就逐渐凸显出来。另外,磁带具有30年的有效期(视存储环境而定),非常可靠,具有高级伺服系统、一流的磁头和介质模式、写入验证后的读取功能等。磁带应当是档案存储备份之首选介质。《GB/T 18894—2002 电子文件归档与管理规范》中规定,磁带是档案存储载体的形式之一。
1.2 磁带的类型
在选择合适的归档存储介质时,有许多因素需要考虑,如为什么需要归档? 归档数据的属性、数据量大小、归档数据需要保存的期限、访问档案的可能性和频率以及需要的搜索能力、预算如何等。
目前根据要储存的数据特点以及发展的需要,主要磁带类型有:8mm磁带、DV磁带、3480、3490、3590 B、3592等。
1.3 磁带存储环境要求
磁带存储应远离强磁场、强热源,并与有害气体隔离,环境温度选定合适的范围。长期保存的磁带,库房温度应控制在15~22℃,库房相对湿度应控制在40%~60%,同时磁带应保存在清洁的环境和洁净的空气中,注意防灰尘和有害气体。另外,磁场对磁带影响极大,据资料报道,磁带档案上的信息随磁场强弱和距离而变化。总之,应严格按照磁带的特点和对环境的特殊要求,建立良好的保存环境。
2 广州海洋地质调查局磁带存储数据安全现状及原因分析
2.1 安全现状
到目前为止,广州海洋地质调查局(以下简称广海局)馆藏有各类原始电子数据和成果电子数据的磁带2万多盒。广海局配有精密空调移机加湿机等设备,从环境上保障磁带储存要求,还配备有专用的倒带机,对磁带进行读带和检测评价。根据制度要求,广海局每年按照要求对磁带进行抽检,检验磁带是否正常,及时发现问题,及时进行数据备份,对长时间保存的磁带进行评价和转储工作。虽然广海局采取了一定的保障措施,但仍有部分磁带因保存年代久远、野外以及早期库房存放等因素,导致其某些数据发生损坏、丢失等问题。
2.2 原因分析
磁带发生损破或数据丢失问题的主要表现为磁带层间粘连、磁带盒物理结构损坏、磁带数据丢失等。这些问题磁带如不能有效处理,会使得磁带机加载时磁带的张力系数大于磁带伺服系统释放的反张力系数,造成张力与反张力不能匹配,严重时会导致磁带拉伸变形后果或现象。根据广海局的实际工作情况,主要包括下列情况:
1)早期库房软硬件环境无法达到磁带标准存放要求。
2)磁带使用年限过长,个别磁带磁粉脱落导致磁性减弱或数据丢失。
3)磁带保存年限过久导致其物理结构老化,个别部件运行过程无法恢复至正常位置。
对于当前出现的问题,解决的方法之一就是转录。
3 磁带存储数据的转录
3.1 转录的意义和作用
磁带存储数据的有效期视存储环境而定,另外由于磁带存储介质的发展,从最早的九轨磁带、3480、3490、3590到目前普遍使用的到3592磁带,如果只是单纯地进行读带、倒带等基本工作,很难保障数据的长久安全,很有必要将原来的磁带存储介质转储成当前比较普遍使用的存储介质,以保证磁带数据的存储安全。
在保管的磁带中,有些磁带虽然经过多次清洗和倒带处理,都不能正确地被读取,造成了数据的丢失。为了解决磁带保管年代久远、磁粉脱落等客观原因,造成数据不完整等问题,应该定期对磁带存储数据进行数据转录工作。
3.2 转录前检查
核对工作包括磁带编号、文件个数、MD5码(每盘磁带转储后系统会生成一个MD5码,如数据在上传、下载等过程中数据发生变化时,此MD5码会发生改变系统会自动报警)等一系列数据内容进行一致性检查。对此次项目所有磁带核对后,除原始磁带本身存在问题的磁带外(此类磁带经过多种恢复处理手段后,只有个别数据块无法读取),其余磁带检查均与原始磁带内实际数据一致。
3.3 磁带的转录过程
在磁带转录过程中,采用数据拷贝、数据解析、检测处理以及恢复处理等模块对磁带数据进行相关的分析以及处理,并按照MD5 模块格式进行数据校验检测等。对于二进制文本文件,数据检查工具有:TXT记事本或写字板文件;FlexHEX.exe软件等。对于海底摄像磁带数据检查工具:采用流行的播放工具Media Player软件,QQ影音,Quicktime Player等播放软件。
在保管的磁带中,原始数据磁带格式为SEG-D和SEG-Y,成果磁带数据格式为SEG-Y,按照《SY/T6550—2003 地震勘探数据转储》要求,原始磁带应将SEG-D 格式解编后转换为SEG-Y 格式输出。但在实际中发现SEG-D格式数据解编后会丢失部分数据头段信息。因此,为保持数据的完整性,原始磁带数据(SEG-D)转录时不进行数据格式转换,所有磁带做无损拷贝转储。
3.4 磁带转录输出存储
磁带库现有的磁带类型包括3480、3490、3590及8mm磁带。目前广海局野外船只上采集系统配置的是IBM 3592磁带机,为与野外磁带类型互相兼容,选用3592磁带作为磁带转储的输出磁带介质,这样在磁带机及磁带的配置选型方面都是比较合理的,同时为了数据存储安全进行了双备份磁带输出。
4 结论
磁带作为数据存储的主要载体,在日常管理中必须加强安全管理工作,对磁带存储介质的定期检查工作,如发现问题应及时采取恢复措施。为保证磁带数据的存储安全,磁带转录工作将是一个常态的过程。只有科学有效地正确理解和掌握磁带的使用、管理、清洁和存储环境等方面要求,才能保证磁带的长久安全和有效。
参考文献
[1]张晶晶.论磁带存储系统在档案备份存储中的适用性[J].浙江档案,2008(2).
[2]王伟红.对做好新型载体海洋档案保护技术工作的几点思考[J].海洋信息,2010(4).
[3]秦书凰.数字磁带在档案数字化存储中的应用技巧[J].机电兵船档案,2004(5).
6. 内网终端安全管理都包括哪些方面
内网终端安全管理主要包括信息安全重点基础知识、使用现有安全设备构建安全网络、安全管理体系的建立与维护等几方面。终端安全管理推荐使用联软科技的UniAccess 终端安全管理系统。
UniAccess 终端安全管理系统帮助企业搭建集中管控平台,提供资产管理、补丁管理、企业软件管理、用户操作权限管控、安全状态评估、主机监控审计、行为管理、移动存储介质管理、桌面安全管控等主要功能模块,解决终端的各种安全管理问题和满足各种合规需求,是强大的终端安全管理软件。
想要了解更多有关数据防泄漏的相关信息,推荐咨询联软科技。联软科技研发出全新一代企业级安全保护平台 ESPP,是一个集网络准入控制、终端安全管理、杀毒管理、数据防泄密、威胁检测等功能于一体的智能亩宏差化、自动化的大平台,可覆盖 PC、移动设备、云主机、工控设备、IoT 设备的安全管控平台,满足各行业用户的各种场景,从网络到终端和服务器、从桌面PC到移动终端、从系统和设备层面的管理到敏感业务数据的防泄露保护等各项需求,通过事前防御、绝卖事中监控迅皮、事后修复,帮助企业用户建立完整的网络与信息安全的防护体系。
7. 涉密移动存储介质的使用应注意哪些方面
下面介绍下使用注意事项:
一、所涉密移动存储介质,是指用于存储秘密信息的硬盘、软盘、U盘、光盘、磁带、存储卡等存储介质。
二、涉密移动存储介质的管理由各单位涉密人员进行专管。
三、涉密移动存储介质只能在本单位涉密计算机和涉密信息系统内使用。
四、严禁涉密移动存储介质在与互联网连接的计算机和个人计算机上使用。
五、不得使用个人存储介质或非涉密存储介质存储国家秘密信息。
六、涉密移动存储介质只能在本办公场所使用,确因需要带出办公场所的,需要保密工作机构备案并采取严格的保密措施。严禁将涉密移动存储介质借给外单位或转借他人使用。
七、工作人员严禁将个人具有存储功能的电磁存储介质和电子设备带入核心和重要涉密场所。涉密移动存储介质保存必须选择安全保密的场所和部位,存放在保密设备里。
八、工作人员离职前必须将所保管、使用的涉密移动存储介质全部退回。
九、含有涉密信息的计算机移动存储介质需送外部进行维修或作数据恢复时,必须到保密局进行备案,再到指定的具有保密资质的单位进行处理,并将废旧的存储介质(硬盘、软盘、U盘、光盘、磁带、存储卡)收回,与保密局共同销毁。
十、涉密移动存储介质报废应由各保密工作机构履行批准、清点、登记手续,由保密工作机构统一组织实施。涉密移动存储介质在报废前,必须进行信息清除处理。信息清除处理时所采取的信息清除技术、设备和措施应符合国家保密工作部门的有关规定。
十一、涉密移动存储介质的销毁,由保密工作机构登记造册,并经单位领导批准后,到保密局指定的销毁点进行销毁,任何单位或个人不得擅自销毁。
十二、违反本规定泄露国家秘密的,会按照有关规定给予责任人行政或党纪处分;构成犯罪的,会移交司法机关,依法追究刑事责任。
8. 有适合中小企业数据存储管理的一体机吗
备份一体机,是比较传统的数据备份方式,云备份是近年来兴起的数据备份方式,一个代表传统技术,一个是大数据时代的趋势。
价格方面,备份一体机,国内有爱数、浪擎这些,国外的就是塞门铁克,惠普、CommVault 这些,一套设备下来都是要几十万,国内要稍微便宜一点,但是也是要十万 。云备份国外有亚势备份,国内有多备份, 对比起来成本就会低很多,价格方面一般几万能搞定。有些微型企业数据量没那么大的,花费会更少。云备份这方面会灵活很多,对于一些中小企业来说用备份一体机,会有点资源浪费的感觉。
功能方面,备份一体机能实现数据的 实时备份、定时备份、数据存储、灾难时业务接管、
数据容错等功能。这些功能现在的云备份产品也能做到,不过,对比备份一体机在发生灾难之后,立马业务接管,云备份貌似还做不到这么快的速度。部分云备份产品会把备份在云端的同时,也会备份到本地,这样在数据发生故障的时候,也可以很快就恢复数据。另外就算本地数据除了问题,丢失了,云端还存有一份,所以云备份数据几乎是没有可能丢失的。
总的来说,备份一体机功能会更齐全,但是价格昂贵;云备份,虽然还达不到备份一体机的全面和恢复速度,但是灵活性更强,性价比很高了。对于中小企业来说,其实是更加适合的。
9. 如何用涉密移动存储介质管理系统来禁用移动存储设备,禁止U盘使用
方法一、通过BIOS禁用移动存储设备或者通过安全机箱的方式来屏蔽移动存储介质的使用。
通过BIOS禁用移动存储设备是一种简单有效的方法,设置也相对简单。一般是在电脑开机的时候按住Del键即可进入BIOS里面,然后就可以通过BIOS禁用USB端口、BIOS禁用光驱、BIOS禁用PCI卡等,这样就可以完全禁止USB存储设备、禁用光驱等移动存储介质(尤其是USB移动光驱)。进入BIOS里面进行设置,默认是Enable,在这里回车,即可选择“Disabled”,然后就可以完全禁用USB端口了,如下图所示:
图:BIOS禁用USB端口
但是通过上述禁用USB端口的方式,虽然可以完全禁用USB存储设备,但同时也会导致USB鼠标键盘、U盾、USB打印机等无法使用,而现在电脑主板通常只支持USB鼠标键盘而不再支持PS2鼠标键盘,因此上述禁用USB端口的方法存在一定的缺憾,会导致非USB存储设备也无法使用,比较适合那些对USB存储设备的控制极为严密的单位使用。
方法二、通过专门的移动存储介质禁用软件、屏蔽USB存储设备的软件来实现。
相对于BIOS禁用USB端口的方式,通过专门的移动介质禁用软件、屏蔽移动存储介质的软件来禁用USB存储设备相对更为简单,同时还可以实现对USB端口设备的精确控制。例如有一款“大势至禁用USB端口软件”(网络搜索自己下载吧),只需要在电脑安装完毕之后,就可以自动禁用USB存储设备,如U盘、移动硬盘、手机、光驱、蓝牙、PCI卡、SD卡、CF卡等移动存储介质的使用。同时,在禁用上述USB存储设备的同时,还不影响非USB存储设备的使用,如USB鼠标、键盘、加密狗、USB打印机等,从而可以帮助企事业单位实现对移动存储介质的全面控制而不影响非USB存储设备的使用。如下图所示: