自1992年,国务院办公厅正式下发文件《国务院办公厅关于建设全国政府行政首脑机关办公决策服务系统的通知》((1992)25)推进政府机关信息化建设开始,各地就开始了持续的政府机关信息化过程。1993年底,中国正式启动了国民经济信息化的起步工程—“三金工程”,即金桥工程、金关工程和金卡工程。1999年1月,40多个部委的信息主管部门共同倡议发起丁“政府上网工程”,其目标是在1999年实现60%以上的部委和各级政府部门上网,在2000年实现80%以—的部委和各级政府部门上网。同年5月,gov.cn下注册的政府域名猛增到1470个。
2001年12月25日由时任国务院总理的国家信息化领导小组组长朱镕基主持召开了国家信息化领导小组第一次会议决定:政府信息化先行,带动整个信息化发展。国家信息化领导小组第二次会议,通过了《关于我国电子政务建设的指导意见》,明确了电子政务建设的指导思想和主要任务。“十五”期间我国电子政务建设的主要目标是:初步建成标准统一、功能完善、安全可靠的政务网络与信息平台;重点业务系统建设,基础性、战略性政务信息库建设取得实质性成效,信息资源共享程度有较大的提高;初步形成电子政务安全保障体系;人员培训工作得到加强;与电子政务相关法规和标准的制定取得重要进 展。建设的重点任务是:加快建设政务内外网平台和中央政府门户网站;整合信息资源,建立人口、法人单位、空间地理和自然资源、宏观经济等四个基础数据库;建设和完善宏观经济管理、金关、金税、金财、金卡、金盾和社会保障等十二个业务系统。
而随着电子政务的开展,又将带动新一轮政府信息化投入的高潮。未来三年,政府部门的信息化投人规模与增长速度仍很高,平均增速仍将达15%。
从《关于我国电子政务建设的指导意见》也可以看出,政府的信息化工作从横向看是税务、工商等为主体的信息化;从纵向看是中央及各级地方政府的信息化。信息化不仅面临单一主体的信息化改造问题,还包括各主体间信息化之间的相互衔接的投入。
随着政府信息化的深入,政府机关网络与信息安全问题也随之显现出来。这一问题不仅关系到信息化的健康发展,而且关系到国家的政治安全、经济安全、国防安全和社会稳定。从当前情况看,政府机关网络不论从硬件、软件及系统本身,还是从管理角度来看,都还不同程度地存在着各种安全隐患,因重大故障而引发系统停机、业务停顿的现象也曾有发生;被黑客攻击,病毒传染致使系统瘫痪,数据丢失也不乏其例。这些事实都说明在大力发展信息化的同时,必须十分重视并妥善解决好网络与信息安全问题。
要把采取技术手段与加强日常管理和健全体制紧密结合起来,加快国家信息和网络安全保障体系建设。大力研究开发具有自主知识产权和信息安全核心技术和产品,实现产业化。加大对有害信息的鉴别与打击力度,有效防范各种对信息网络的攻击,保障网络与信息内容的安全,促进国家信息化顺利发展。
在各类信息安全技术中,国内企业掌握核心技术的不多,而指纹识别技术恰恰是国内企业具备世界水平的技术之一。目前国内企业在算法研究、芯片技术、软件开发、产品配套等方面都具有了与世界先进水平相当或基本相当的水平。在国际生物识别算法大赛上,国内相关企业多次获奖。国内企业开发的应用价值极高得指纹身份集成认证平台,也具有世界领先水平。如由清华大学自主研发的“TH-ID多模生物特征身份认证系统”在国内首次实现了基于统一数据库的多模生物特征融合(包括人脸、笔迹、签名以及虹膜等四种生物特征识别)。而深圳亚略特公司的SkyWing天翼网络指纹身份认证平台,则是全球第一套将指纹识别技术应用于网络安全的产品。
可以说,在政府部门推广国内企业具有自主知识产权的指纹识别技术产品,对提升政府网络信息安全水平,将起到很好的作用。
一、政府网络常见信息安全问题
通常情况下,我们可以把政府网络的信息安全问题划分为四个方面:用户安全、数据安全、网络安全、物理安全。
用户安全包括的范围很广,主要是指与用户相关的各种身份鉴别、合法操作等问题,比如是确保不让非法用户进入,不让合法用户进行非法或恶意操作等。由于这里涉及到更多的是安全管理问题。在对用户的身份鉴别方面,指纹识别是一种很好的技术,也是到目前为止唯一能将安全与便捷很好地融合起来的一种技术。
数据安全包括数据存储安全和数据传输安全两部分。除了我们传统理解的在各种开放协议下的数据存储安全和传输安全问题之外,其实还存在一个网络之外的存储介质的安全问题,比如存储介质(包括存有数据的笔记本电脑等)被携带外出的安全问题。我们已听到过不少类似花旗银行存储有大量客户数据资料的电脑在被快递公司运输过程中丢失导致客户资料外泄的事件发生。在解决这一问题上,如指纹移动硬盘、指纹U盘等指纹存储介质将发挥出很大的作用。
网络安全涉及到的主要包括网络安全检测、入侵检测、访问控制三个方面。这一直是传统信息安全技术非常注重的方面。
物理安全主要涉及到网络的物理安全、电脑的物理安全、存储介质的物理安全三个方面。网络的物理安全,包括如通过电磁辐射或线路干扰等的物理威胁、泄漏或者存放机密信息的系统被攻击等威胁。
用户安全、数据安全、网络安全、物理安全,这都属于技术安全范畴,但安全问题,与管理同样密不可分。三分技术,七分管理。不过,就我们的理解,管理安全不是一个单独的概念,它其实是一个应该贯彻到用户安全、数据安全、网络安全、物理安全等各种安全环节中的思想和制度。包括安全审计等等,其实都可以归类到管理安全中去。
在具体实施上,我们认为要保证政府网络的信息安全,应该做到下面三点:
确保信息的可管理性:由于互联网上充斥有大量不良信息,政府网络在有效合理利用互联网资源的前提下,需要对信息进行一定的访问控制。
确保信息的保密性和完整性:由于政府网络上存在重要信息,对信息的保密性和完整性要求非常高。信息可能面临多层次的安全威胁,如通过电磁辐射或线路干扰等的物理威胁、泄漏或者存放机密信息的系统被攻击等威胁。同时针对网上保税等电子政务应用还要求严格保障信息的完整性,这都需要从网络安全角度整体考虑,配合统一的网络安全策略并 选择相应的安全产品,保障网络的信息安全。
建立统一的安全管理平台:目前政府信息系统较常见的安全威胁主要来自很多无意的人为因素而造成的风险。如由于用户安全意识不强导致的病毒泛滥、帐户口令安全薄弱等,对集中统一的安全管理软件,如病毒软件管理系统、身份认证管理系统以及网络安全设备统管理软件等要求较高。因此通过安全管理平台可有效的实现全网的安全管理,同时还 可以针对人员进行安全管理和培训,增强人员的安全防范意识。这就对安全管理平台和专业的网络安全服务提出了较高的要求。
二、政府网络在哪些方面可以应用指纹识别技术
从应用的角度来说,指纹识别发展到今天,已经非常成熟,目前已发展出了多种应用,如果从应用的性质来划分,主要有四大应用:一是比较纯粹的身份识别方面的应用,比如指纹门禁之类;二是由身份识别衍生出来的在信息安全方面的主要功能——替代密码,如用于电脑保护之类;三是以指纹特征数据作为密钥衍生出来的文件加解密等应用;四是通过用手指直接通过传感器直接操作各种需要身份识别的电子设备(不需要身份识别的设备当然一样操作,但那就不是指纹识别了),这种操作能让用户看起来省掉了身份认证过程。
指纹识别这四类应用,严格说来其应用方式和过程是一样的,不过在应用领域和算法等方面还是有较大的区别。
对比指纹识别的这四大应用,我们可以看出政府网络在用户安全、数据安全、物理安全中这三大安全需求中,都可以找到指纹识别的用武之地。在某些方面,指纹识别还具有无可替代的优势。
用户安全:主要用于用户的身份鉴别。在用户进入网络系统、使用电脑、使用程序、查看数据时,都需要进行身份鉴别。目前身份鉴别的方法和技术很多,但指纹识别的方便性和安全性,还是其他身份鉴别方式所无法替代的。尤其是对于政府部门中一些身居领导岗位但对电脑操作又不是很熟悉的老同志,指纹识别的“随身携带、不会遗忘、简单方便”的特性,有其它身份鉴别方式无法比拟的优势。
根据这些需求,我们可以制造出用于身份鉴别的指纹终端接入设备,比如目前早已存在的指纹鼠标、指纹仪、指纹U盘、指纹硬盘等;当然也可以制造出直接嵌入指纹读取设备的指纹电脑。
数据安全:在存储安全和传输安全方面,指纹识别技术都能发挥较大作用。根据这一需求,我们可以制造出指纹存储介质,例如指纹硬盘和指纹U盘。
指纹存储介质可以利用指纹识别的两大功能——替代密码进行身份识别和文件加解密。通过指纹替代密码后,不仅安全性和方便性有大大提高,而且可提升政府部门的安全管理水平。就像指纹考勤替代普通打卡机之后,代打卡完全消失。
在数据存储方面,存储介质加上指纹识别功能之后,可确保存储介质从技术上不可能被非法用户使用,这比单纯的规定更有效。而通过对文件的指纹加密,使得其他人即使对文件进行了复制,也不可能真正看到文件内容。
数据传输主要包括方面,一个是在网络上的传输,要确保数据安全,可以通过对数据进行指纹加密,同时让接收方进行指纹身份认证,然后再授权合法用户在通过指纹认证后可以打开文件。这比目前通行的其他方法都更简单,而在身份确认方面也更准确更安全。数据传输还有一个是通过指纹存储介质在不同电脑或系统之间进行数据交换。传统上使用的移动硬盘或U盘,主要是通过规章制度来保证其安全性,而如果使用指纹存储介质,则可从技术上杜绝可能的管理漏洞或管理不严的问题。
保密系统是国内各类政府机关中对信息安全有较高要求的部门,下面我们以保密系统为例来看看指纹存储介质在信息安全中能有哪些实际应用。
根据中共中央办公厅、国务院办公厅转发的《关于国家秘密载体保密管理的规定》(厅字[2000]58号,以下简称《规定》)中的有关精神,我们依次从涉密信息移动存储介质的生成、使用来谈怎样保障涉密信息移动存储安全。
1、根据《规定》,涉密信息移动存储介质的生成应做到以下两点:(1)对涉密的磁盘、闪存盘、硬盘等应当依照有关规定,确定并标明密级,按类别统一编号、登记,明确管理责任人,明确保密责任。(2)涉密移动存储介质不得降低密级使用和管理。
显然,涉密移动存储介质可以采用带有指纹识别功能的指纹硬盘、指纹U盘等,对涉密的指纹硬盘、指纹U盘的保管,在标明密级,按类别编号登记后,由于这些涉密存储介质具有指纹保护功能,可以在指纹注册登记时,明确涉密介质的管理责任人,从而通过技术手段确保了保密责任。
2、根据《规定》,涉密信息移动存储介质的使用应做到以下几点:
(1)涉密计算机不得与公共信息网和因特网相联。涉密微机和笔记本电脑与互联网相联,就等于把国家秘密信息放在互联网上,这是一种严重的泄密行为。
(2)配给个人的笔记本电脑,建议将涉密信息存储在闪存盘等移动存储介质上,并对相关介质标注密级,按照涉密文件进行保管。
(3)涉密移动存储介质应在密码柜中保存,涉密微机和服务器等的放置环境应当符合安全保密要求。
(4)携带涉密移动存储介质外出,须经单位领导批准,并采取必要的保护措施,使涉密载体始终处于携带人的有效控制之下。
(5)严禁携带涉密移动存储介质出境。确因工作需要携带出境的,应当按照有关保密规定办理批准和携带手续。
(6)涉密人员离职离岗前,要将自己保管的移动存储介质全部清退,并办理移交手续。
如果涉密存储介质采用带指纹识别功能的存储介质,则可以从技术上保证对以上规定的严格执行。以“法(技术方法)治”代替“人治”,显然更能保证规定的落实。
物理安全:物理安全与指纹识别有关的主要是在环境方面,通过设置指纹门禁等,可以确保无关人员不得进入相关场所;也可以通过为服务器或电脑设置物理指纹锁,防止非法人员打开相关设备。指纹门禁和指纹锁,在市场上都已有比较成熟的产品。电脑指纹锁,目前完善的产品还不多,其最大问题可能是完全独立的指纹锁成本较高,与电脑相连的又与现有的指纹U盘等差别不大。
三、亚略特专为政府网络信息安全设计的指纹产品
通过以上分析,我们可以看到,在政府部门的信息安全需求中,落实到产品范畴,实际有指纹识别终端产品——指纹仪、指纹鼠标等;指纹存储介质——指纹移动硬盘、指纹U盘等。
下面我们以国内领先的指纹识别厂商深圳亚略特公司的指纹识别产品来看一下指纹识别产品在政府机关、保密系统、军队等行业的应用。
例如,深圳亚略特公司推出了一款亚略特天盾300指纹移动硬盘。这是一款专为“对数据安全敏感”的特殊用户倾力打造的指纹识别移动硬盘。它提供基本的文件和文件夹指纹加密功能,加解密操作菜单条被集成到浮动菜单中,用户像使用普通文件一样,点击右键对文件进行加解密。在充分考虑到高端用户对数据安全的实际需求,针对两人共同监管数据文件的需求,这款产品增加了双指认证的功能,在注册时需要两人同时注册,打开硬盘时需要两人同时现场认证,从而保证了数据管理权限维系一人的安全隐患。
针对普通移动硬盘不能隐藏文件的缺陷,采用芯级加密技术,保证了在未通过指纹认证情况下硬盘是不可见的,就是拆除硬盘安装在其它计算机上,也被操作系统认为是一个未格式化的新盘,从而达到了彻底隐藏数据文件的作用。
从安全管理出发,实现了安全日志技术,记忆硬盘的所有用户(Admin和授权用户)对硬盘的访问记录,时间点精确到秒。凡是对文件的读写更改操作均记录在日志中,作为事后安全审计的重要依据。
考虑到职位和角色变化的现实情况,提出了安全交接的概念,即使由于原使用者工作角色或职位的变化、或者离职,指纹移动硬盘中的Admin使用权限都能够被安全交接过来。
另外考虑到日常使用的方便性,本款产品还具备了给临时用户授权使用的功能,由Admin用户分配一个授权用户ID并注册指纹,这个授权用户就可以拥有文件的加密和读写权限。另外在进行文件夹加密操作时提供了友好的操作界面,供用户选择需要加密的文件。
用户在挂接上硬盘设备之后,操作系统并不能找到硬盘。要能看到硬盘,首先需要通过存储于FLASH中激活程序启动指纹认证程序。认证时需要两个人同时在场(或者一个人的两个不同手指),输入指纹。认证所需的一切信息包括指纹都是存储于移动硬盘的,其它应用是无法窃取的。认证通过后,硬加密固件才打开磁盘的访问状态,操作系统才能看到硬盘。相应的指纹认证加密管理系统才能启动,用户才可以进行文件的加解密。如果把指纹移动硬盘挂接于另一台机器上,也需要通过激活程序启动指纹认证程序,并且只有Admin用户才可以通过认证。如果是非法用户,指纹认证必定失败,硬加密固件不会打开磁盘的访问状态,
丢失的移动硬盘,盘芯被换到其它类型的移动硬盘盒中,在资源管理器一级找不到硬盘,在设备管理中会被操作系统认为是一个未格式化的硬盘。
即使相同型号的移动硬盘,在某种情况下硬盘(盘芯)被“偷梁换柱”,启动FLASH上的激活程序打开指纹认证界面,也是无法通过认证,硬加密固件不会打开磁盘的安全读写状态,从而操作系统也找不到硬盘。
显然,如果使用类似亚略特天盾300指纹移动硬盘的指纹识别移动存储介质,就能从技术上保证以上规定的实施。如涉密载体在被携带外出时,通过对用户的指纹授权,确保无关人员无法打开文件,万一失落,也可以确保硬盘数据不会被无关人员打开。而双指认证功能,也确保了交接工作的彻底干净。
