随着信息化进程的推进,关于文档和数据的安全问题,日渐成为信息安全的重点。作为直属于军委的重点大学——国防科学技术大学,一直把机密信息保护作为重要工作。随着现代化水平越来越高,信息化、科技化所带来的结果是各种电子格式的文档和数据,分布在终端、移动设备、服务器等各个设备,传输于内部网络和外部网络之间,文档和数据可控性越来越差。军事院校如何来保证内部文档和数据不被泄露?如何确保军事院校的机密信息安全?笔者经历了国防科技大学的信息安全项目建设,把相关经验与大家分享。
一、 军事院校遭遇到的挑战
当前,我国军队和军工企业,内部管控极为严格,内网与外网界限分明,多数军队和军工企业都用物理隔离、内网与外网隔离、特设内部专用网等方式来确保内部信息的安全。但是作为军委直属国防科技大学隶属于军方,同时又是一所综合性大学,所以国防科技大学具备与其他项目不同的特别之处。
国防科技大学一方面承担着国家重要任务,需要对内部机密信息绝对保密,另一方面又因为教学的需要,与外部保持大量的信息交互,这就造成了一个两难问题:既要保证机密信息安全,又不能像军队那样一刀切,把完全采用物理隔离、内外网隔离的办法。有没有什么办法能从根本上解决这个问题?
二、 国防科技大学数据泄露防护(DLP)项目背景
国防科学技术大学是一所直属中央军委的综合性大学。肩负着为全军培养高级科学和工程技术人才与指挥人才,培训高级领导干部,从事先进武器装备和国防关键技术研究的重要任务。国防科技大学是全国重点大学,也是全国首批进入国家“211工程”建设并获中央专项经费支持的全国重点院校之一,拥有先进的教学、科研实验条件和公共服务体系。全校有3个国家级国防科技重点实验室、1个国家“863”高技术重点实验室、1个军队院校重点实验室和一批高水平的教学科研实验室,新建的现代化教学大楼拥有先进的计算机辅助教学系统。
三、 国防科技大学文档信息现状
1. 学校主要的核心信息主要包括学校领导、教员和学员信息、财务信息、研究报告、教学资料、内部文献、科研成果等等;
2. 机密信息产生或者保存在终端、服务器或笔记本、U盘等可移动存储设备上;
3. 文件类型包括电子表格、Word文档、数据库文件、幻灯片、HTML文件和电子邮件(E-Mail)和可执行文件等形式;
4. 从人员上看,需要对所有领导、教员和学员的资料进行保护;
5. 所有人员都在使用电子邮件E-Mail或是即时通讯工具MSN、QQ等工具与外部进行交流;
6. 局域网中共享文件服务器上的机密数据也需要进行保护;
7. 内部人员进行WEB浏览等网络通信往往包含机密信息。
四、 国防科技大学项目独有的特点
1. 内网工作平台为无盘工作站
信息无盘工作站的原理就是在网内有一个系统服务器,这台系统服务器上除了有它本身运行所需的操作系统外还需要有一个工作站运行所需的操作系统。无盘工作站的机箱中没有硬盘,其它硬件都有(如主板、内存等),而且无盘工作站的网卡必须带有可引导芯片(一般网卡没有,可引导芯片可以买到)。在无盘工作站启动时网卡上的可引导芯片从系统服务器中取回所需数据供用户使用。
国防科技大学的无盘工作站把硬盘和主机分离,工作站只执行操作不执行存储,所有的存储都在集中在服务器上进行。
2. 需要与现有的OA系统相结合
一般来说,用户都有实施OA系统。但与其他项目不一样的是,国防科技大学要求把加密系统的界面嵌入到原有的OA系统当中。因此,作为通用型的加密系统,要做到这一点,就必须做二次开发。
3. 已有内网管理系统作为内网管理平台
在采用加密系统之前,国防科技大学已经采用某品牌的内网管理软件,作为内网管理平台。但是,内网管理软件侧重点在于网络流量控制、上网行为管理等内网安全方面的管理,不能对内部信息进行加密,不能从源头上控制信息,也就无法从根本上防止泄密,因此,国防科技大学在采用内网管理系统之后,仍然要选用加密系统对内部信息进行加密保护。
五、 采用亿赛通数据泄露防护(DLP)系统
国防科技大学经过长时间的选型考察,北京亿赛通科技发展有限公司提供的分域安全与全面防护相结合的立体化数据泄露防护体系能完全满足需求。在实施完毕之后,国防科技大学数据泄露防护(DLP)工程,达到了如下效果:
4. 结合该校文档创建、存储、流转、使用、销毁全生命周期特点,能完全与该校OA系统融合, 有效地保证了文档管理与文档安全的统一;
5. 有效实现了内部信息加密保护。通过实施亿赛通DLP体系,国防科技大学电子文档内容得到加密保护,从而杜绝了来自内部泄密和外部窃密的威胁;
6. 采用亿赛通DLP体系,相对于其他加密方案,降低了系统采购、实施和售后成本,是性价比最优的解决方案。