邊防部隊計算機終端數據防泄漏技術的探討

【 摘 要 】 論文以網絡準入確認信息發送者、接收者的身份為基礎，建立起計算機終端涉密文檔敏感數據庫，并對數據庫文件實施安全定級，應用模糊匹配法、精確匹配法，實現了發現和控制計算機終端敏感文庫，并提出了運用傳輸指紋庫技術、白名單機制，實現了在傳輸網絡數據中成功管理涉密敏感文檔數據，進而提高了邊防部隊工作的效率。

【 關鍵詞 】 邊防部隊；計算機終端數據；防泄漏技術

【 Abstract 】 This paper on network access confirmed the identity of the sender and receiver based， to establish sensitive computer terminal secret document database， and security classification of the implementation of the database files. Application of fuzzy matching method， the exact matching method， to realize the detection and control of computer terminal sensitive library， and puts forward the application of transmission of fingerprint technology， white list mechanism， realize the successful management of confidential document data in the data transmission network， and improve the efficiency of the frontier forces work.

【 Keywords 】 frontier forces； computer terminal data； anti leakage technology

1 引言

在公安邊防信息技術不斷發展下，很多業務數據都需要在網絡環境中處理。但最近幾年來，發生了很多起網絡信息泄密的事件，對我國信息的安全有著很大的威脅。發生這樣的事件，直接表明當前我國邊防部隊內部信息系統安全保密工作做得不好，存在很多問題。基于此，本文提出解決這些問題的辦法，希望能夠為邊防部隊信息安全部門起到借鑒的作用。

2 網絡準入與定期健康檢查

2.1 “一機兩用”作為入網合規性的主要要求

在互聯網中，用戶終端計算機沒有安裝或者安裝不及時終端計算機，一旦在接入網絡后，就很有可能讓潛在安全威脅進入，讓安全威脅在大范圍、大規模的擴散，從而致使內部信息出現泄漏的隱患。從本質上而言，網絡安全是管理問題，內部信息管理應從用戶終端安全接入網絡控制上著手實施，對接入網絡用戶終端實施定期或者不定期的健康檢查，不斷提高計算機終端防御病毒能力，進而避免計算機終端泄密應做好幾點工作：（1） 在公安網范圍內，構建起嚴格、有效的認證身份結構體系；（2） 準確判定外端設備，并對其控制；（3） 嚴格檢測公安網計算機終端的合法性、科學性。

內部信息網絡層防護重點是對公安網計算機終端入網實施身份認證，也就是用戶準入機制的構建，一機兩用監控作為公安網準入的根本要求，在注冊計算機終端成功之后，也就是通過了認證，一機兩用監控結構體系就是及時采用綁定IP/MAC方式，對終端網絡配置實施鎖定，同時監測終端網絡聯網基本狀況，避免違規外聯情況的發生，一旦出現這一情況，應及時報警。

2.2 入網控制的主要方法

在確定出IP地址唯一性的前提下，公安網計算機基礎環境監測終端入網行為通常都是借助于分析通信協議而完成的，查看和分析是否出現流量異常的行為，一旦有數據包突增的情況下，要在第一時間內報警，并對其檢測是否正常，如果是一些帶有攻擊性的數據，要及時通過有關設備對其阻止，防止其繼續傳播。想要使此方法有效，應借助于專用設備中所具有的協議分析功能，對網絡拓撲科學規劃，這可以減少成本，但也有不足之處，劃分子網太多，雖然能夠將不正常的廣播數據屏蔽，但是也會使網絡拓撲越發復雜。

3 信息數據傳輸全過程數據防護對策

3.1 分級數據

在上文中所闡述的公安邊防部隊文件、密級、組織等，只是為講述有關內容而對其設置的，其實際應用還要結合具體情況而言。核心數據：保密等級最高，需對其嚴格保護；重要數據：保密等級為中等，應要重點保護的數據信息，適宜在機涉密網中進行；內部數據：保密等級一般，所需要的保護的數據信息，一般都是公安內部網的資料；公開數據：對公安內部人員所公開的數據，在內部網上所發布的數據信息。

3.2 規劃角色屬性

對于保密主體而言，其創造文件者、使用文件者都將納入其中，在保密體系中的人員必須應與自身所負責的工作和角色所關聯，除了高層領導者之外，無論哪個跨組織或者跨角色的人員使用文件都要受到限制。

（1） 在技術手段的利用下，對角色身份進行確認，在有關信息系統中確認身份；（2） 角色并不是一成不變的，在角色職權范圍有變動時，有關文件使用層次和范圍也應發生相應的變動，但在實際執行過程中，很難做到，必須要有強有力的制度體系才能做好這項工作；（3） 使用文件的范圍，應結合各角色關系，在技術手段上對其控制。

3.3 對比數據防護技術

在實際應用數據防泄漏過程中，每一類防護技術都有各自的實現原理和特性，具體表如表1所示。

從表1中能夠看出，無論是加密類、過濾類，還是控制類的數據防泄漏技術，既有優點，也有不足，特別是在一些因素的影響下，導致數據防泄漏中還有很多問題。在這樣的情況下，用戶想要更安全的保護信息，就要采購多種安全防護產品，希望能夠在大投入、多設備的管理下，實現信息安全管理。但每個產品在整體設計上都有缺陷，不同廠商兼容性、配合度都很低，往往都達不到用戶安全管理數據的目的。

4 網絡層涉密數據傳輸檢查與防護

4.1 識別傳輸敏感數據

在工作過程中，FTP、即時通信工具、E-mailD等傳輸數據都成為了家常便飯，但也正因為如此，泄露數據形式和渠道越發多樣，五花八門的網絡泄密案件為邊防部隊帶來了很大的工作壓力。為了能夠保護信息安全，必須要監控網上信息。為了確保內部信息的安全，基于多種保護信息安全的技術，降低泄露敏感數據的風險。對關鍵字過濾技術的敏感性監控系統對其進行部局，對終端信息安全動態實時監控，在發現匹配信息的第一時間內，就給廣大用戶提示，并將其上報給上級部門，爭取及時制止違規違法行為。

（1） 檢測發送者、接收者的身份，在傳輸網絡數據中，公安邊防部已經建立健全的角色和數據映射關系，對發送者和接收者的屬性實施檢測，進而實現數據在安全領域內傳輸。（2） 數據傳輸白名單的構建。為了避免公安邊防部隊出現泄露數據信息的情況，在分類分級數據中，構建起完善的白名單傳輸系統，確保敏感數據在網絡系統中良好傳播。

4.2 構建起數據傳輸指紋庫

在公安網絡傳輸數據中包括結構化數據、非結構化數據兩種類型。結構化數據就是在數據庫中的數據；非結構化數據文本、報表、音頻、辦公文檔等文件。

（1） 檢測非結構化數據指紋。即檢測非結構化數據指紋的生成，構建出敏感的數據指紋特征庫。在檢測中，系統自動對比需要檢測的數據指紋特征和受保護的文檔指紋特征，并給出檢測結果，一旦二者的相似度已大于閾值，就可以得出需要檢測的非結構數據里有敏感數據這一結論，然后立即對其阻斷。

（2） 結構化數據指紋的檢測。先要對需要保護的公安邊防部隊數據庫表關鍵單元格構建出結構化指紋庫。在對其實時檢測中，將需要檢測的指紋特征和受保護的結構化指紋特征對比，一旦發現其中出現公安邊防部隊關鍵字數據表特征中的內容，將其視為敏感性的內容，及時阻斷。

5 結束語

總之，公安網絡具有多變性、復雜性等特征，也正是因此如此，決定了公安網絡中會存在著安全威脅。在科學技術快速發展的今天，對計算機網絡技術的依賴越發加大，公安部門也毫不例外。為了能夠確保網絡通信系統的安全、有效，在計算機終端數據防泄漏工作中，公安邊防部門也要在網絡技術的提高下，不斷提高、不斷加強，及時清除一切安全隱患，確保網絡系統的正常、安全運行。

參考文獻

[1] 石波，王紅艷，郭旭東.基于業務白名單的異常違規行為監測研究[J].信息網絡安全，2015，（09）.

[2] 周益周，謝小權.云環境下基于VMI技術的入侵檢測架構研究[J].電子設計工程，2016，（01）.

[3] 周益周，王斌，謝小權.云環境下軟件定義入侵檢測系統設計[J].信息網絡安全，2015，（09）.

作者簡介：

施然（1981-），男，云南昆明人，本科學歷，助理工程師；主要研究方向和關注領域：計算機網絡研究。