对于军工保密资格认证单位来说,信息安全的风险防范是重中之重,针对保密要害部门或部位的安全防护都有所了解,都有参考依据,比如按照评审标准,应用相应的安全保密产品诸如红黑电源、身份认证、视频干扰器、保密碎纸机、保密工具等等一系列的保密设备,但是,对于内网、互联网又如何防护呢,需要采取哪些必要措施呢?今天就多年的项目经验来说一下。
为了能保证保密认证顺利通过,又能对今后公司的管理规范化,建议各单位对内网和互联网进行严格管理,因为从目前的泄密事件来看,主要原因都是来自对公司内部的缺乏严格的管理。
内网与互联网对于有些单位来说有严格的划分,如内网与互联网物理隔离,员工上网时得到能有互联网的办公区域上网,而绝大多数公司并没有严格的划分,即所有员工电脑都能上互联网,我们暂且不必理会,我们只要关注终端计算机及互联网出口的安全即可。
对于互联网,必须采用网络安全审计系统进行安全监控与审计,即对员工的上网行为、收发邮件、贴吧、博客、即时通讯等进行监控、内容审计,并能实现实名认证,出现问题能具体定位到哪个人。
终端计算机:目前绝大多数保密单位对计算机终端缺乏管理,对单位内的U盘等移动存储介质没有实现安全管控,风险很大,内部的科研数据、重要电子资料很容易通过U盘等途径拷走,因此,建议采用内网安全管理系统或移动介质安全管理系统来对终端计算机或USB存储设备来进行严格管控,只有单位内合法注册的才可以应用等,并应用系统的其他功能来实现对计算机的诸多控制,比如:光驱、主机审计等。
从实际工作中来看,只要对互联网出口、对单位内的USB存储介质进行安全管控,单位的信息泄露风险降大大降低。
1358
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
