隨著信息化進程的推進,關于文檔和數據的安全問題,日漸成為信息安全的重點。作為直屬于軍委的重點大學——國防科學技術大學,一直把機密信息保護作為重要工作。隨著現代化水平越來越高,信息化、科技化所帶來的結果是各種電子格式的文檔和數據,分布在終端、移動設備、服務器等各個設備,傳輸于內部網絡和外部網絡之間,文檔和數據可控性越來越差。軍事院校如何來保證內部文檔和數據不被泄露?如何確保軍事院校的機密信息安全?筆者經歷了國防科技大學的信息安全項目建設,把相關經驗與大家分享。
一、 軍事院校遭遇到的挑戰
當前,我國軍隊和軍工企業,內部管控極為嚴格,內網與外網界限分明,多數軍隊和軍工企業都用物理隔離、內網與外網隔離、特設內部專用網等方式來確保內部信息的安全。但是作為軍委直屬國防科技大學隸屬于軍方,同時又是一所綜合性大學,所以國防科技大學具備與其他項目不同的特別之處。
國防科技大學一方面承擔著國家重要任務,需要對內部機密信息絕對保密,另一方面又因為教學的需要,與外部保持大量的信息交互,這就造成了一個兩難問題:既要保證機密信息安全,又不能像軍隊那樣一刀切,把完全采用物理隔離、內外網隔離的辦法。有沒有什么辦法能從根本上解決這個問題?
二、 國防科技大學數據泄露防護(DLP)項目背景
國防科學技術大學是一所直屬中央軍委的綜合性大學。肩負著為全軍培養高級科學和工程技術人才與指揮人才,培訓高級領導干部,從事先進武器裝備和國防關鍵技術研究的重要任務。國防科技大學是全國重點大學,也是全國首批進入國家“211工程”建設并獲中央專項經費支持的全國重點院校之一,擁有先進的教學、科研實驗條件和公共服務體系。全校有3個國家級國防科技重點實驗室、1個國家“863”高技術重點實驗室、1個軍隊院校重點實驗室和一批高水平的教學科研實驗室,新建的現代化教學大樓擁有先進的計算機輔助教學系統。
三、 國防科技大學文檔信息現狀
1. 學校主要的核心信息主要包括學校領導、教員和學員信息、財務信息、研究報告、教學資料、內部文獻、科研成果等等;
2. 機密信息產生或者保存在終端、服務器或筆記本、U盤等可移動存儲設備上;
3. 文件類型包括電子表格、Word文檔、數據庫文件、幻燈片、HTML文件和電子郵件(E-Mail)和可執行文件等形式;
4. 從人員上看,需要對所有領導、教員和學員的資料進行保護;
5. 所有人員都在使用電子郵件E-Mail或是即時通訊工具MSN、QQ等工具與外部進行交流;
6. 局域網中共享文件服務器上的機密數據也需要進行保護;
7. 內部人員進行WEB瀏覽等網絡通信往往包含機密信息。
四、 國防科技大學項目獨有的特點
1. 內網工作平臺為無盤工作站
信息無盤工作站的原理就是在網內有一個系統服務器,這臺系統服務器上除了有它本身運行所需的操作系統外還需要有一個工作站運行所需的操作系統。無盤工作站的機箱中沒有硬盤,其它硬件都有(如主板、內存等),而且無盤工作站的網卡必須帶有可引導芯片(一般網卡沒有,可引導芯片可以買到)。在無盤工作站啟動時網卡上的可引導芯片從系統服務器中取回所需數據供用戶使用。
國防科技大學的無盤工作站把硬盤和主機分離,工作站只執行操作不執行存儲,所有的存儲都在集中在服務器上進行。
2. 需要與現有的OA系統相結合
一般來說,用戶都有實施OA系統。但與其他項目不一樣的是,國防科技大學要求把加密系統的界面嵌入到原有的OA系統當中。因此,作為通用型的加密系統,要做到這一點,就必須做二次開發。
3. 已有內網管理系統作為內網管理平臺
在采用加密系統之前,國防科技大學已經采用某品牌的內網管理軟件,作為內網管理平臺。但是,內網管理軟件側重點在于網絡流量控制、上網行為管理等內網安全方面的管理,不能對內部信息進行加密,不能從源頭上控制信息,也就無法從根本上防止泄密,因此,國防科技大學在采用內網管理系統之后,仍然要選用加密系統對內部信息進行加密保護。
五、 采用億賽通數據泄露防護(DLP)系統
國防科技大學經過長時間的選型考察,北京億賽通科技發展有限公司提供的分域安全與全面防護相結合的立體化數據泄露防護體系能完全滿足需求。在實施完畢之后,國防科技大學數據泄露防護(DLP)工程,達到了如下效果:
4. 結合該校文檔創建、存儲、流轉、使用、銷毀全生命周期特點,能完全與該校OA系統融合, 有效地保證了文檔管理與文檔安全的統一;
5. 有效實現了內部信息加密保護。通過實施億賽通DLP體系,國防科技大學電子文檔內容得到加密保護,從而杜絕了來自內部泄密和外部竊密的威脅;
6. 采用億賽通DLP體系,相對于其他加密方案,降低了系統采購、實施和售后成本,是性價比最優的解決方案。
