涉密数据修复安全的解决之道

涉密数据修复，是指涉及国家秘密的机构或单位的计算机数据在遭到破坏或丢失之后对其进行的修复。为了保证涉密数据的安全，国家保密局和数据修复单位共同“亮剑”，打造国家信息安全新局面。 字串4

    数据修复市场：乱花渐欲迷人眼

    美国政府近日信息安全频出问题。美国退伍军人事务部丢失了数以千万计的退伍军人和现役军人资料；一名黑客攻击了美国国家核安全管理局的电脑，造成核安全管理局1500名员工和承包商的个人记录泄露。

    以上数据外泄事件只属于国家信息安全“冰山之一角”。随着国家泄密事件的增多，信息安全日益引起各国政府的重视。对于我国政府来说，亦是如此。在十六届四中全会上，信息安全第一次被放到和政治安全、经济安全、文化安全同等重要的位置。

    数据修复作为信息安全保障工作中的重要一环，随着数据丢失现象的日益严重，其重要性也日渐突出。特别是涉及到国家秘密的单位和机构，如国防、公安、部队等涉密单位的数据修复的外泄问题，造成的危害涉及到国家的利益，成为信息安全保障的焦点和热点。 字串8

    数据修复市场的巨大空间，相对来说较低的准入门槛，引得众多良莠不齐的公司及个人进入这个领域。某资深IT评论家用“混乱”两个字概括了大多数数据修复公司的情况：随处乱放的待修硬盘、没有一定之规的操作流程、极为频繁的人员流动。在数据修复市场，相当多的公司或个人只是“一台电脑一张桌，一套软件一个人”，单打独斗，不按套路出牌。众多不法厂商或个人则如江湖“游医”，打一枪换一个地方，其行为不但扰乱市场，还给国家党政机关单位和众多企业造成巨大损失。就算正式注册的公司，由于管理上的不规范、操作上的不正规、思想上的不重视，亦不能满足涉密数据修复对保密性和安全性的严格要求。

    由于前几年对于涉密数据修复方面监督和认证资质的缺失，众多的涉密单位在数据丢失时处于数据恢复和数据保密的两难境地。据多次为涉密单位提供服务的国家信息中心DRS数据修复负责人叶红介绍：在涉密数据单项资质认证实施之前，虽然DRS是国家级的单位，而且早就制定了一整套数据修复的规范的服务流程，从报修、送修、检修、通知、验证、取件等环节均有严格的规定和手续，能够确保客户数据的不外泄，但依然免不了要面对初次上门的涉密客户的质疑。 字串2

    国家保密局：资质认证提高准入门槛

字串7

    面对数据修复市场龙蛇混杂的局面，也为了解决涉密单位数据修复时所面临的两难境地，解决数据修复层面的泄密问题，国家保密局两次通过授权定点单位和单项资质认证的方式，从制度和管理方面对涉密数据修复市场进行规范。 字串7

    国家保密局第一次认证是在2003年，对涉密数据修复的单位采取授权涉密数据修复定点单位的方式。国家保密局组织技术人员对相关单位的硬件、软件、管理等方面进行全方位考察，经过综合评定后指定其为国家保密局授权涉密数据修复单位。DRS数据修复中心成为当时唯一授权的涉密数据修复单位。 字串7

    国家保密局通过涉密数据修复授权，在很大程度上解决了涉密单位的数据恢复问题。众多前往DRS进行数据修复的涉密单位也认为，授权这种做法能够解决涉密数据修复市场龙蛇混杂的问题，不给不法分子可乘之机。

字串2

    随着信息安全得到前所未有的重视，对涉及国家秘密的计算机信息系统的规范化管理进一步加强，以确保国家秘密信息的安全。国家保密局于2005年第二次开展资质认证，重新修订了《涉及国家秘密的计算机信息系统集成资质管理办法》，并据此制定更加规范、严格的资质评审流程。新的管理办法显示，国家主管部门对企业的综合实力、保密能力、集成能力等诸多方面高度重视，引入了公平严格的第三方评估制度。企业提交信息给第三方评估公司，第三方评估公司对上报企业的详尽资料进行初审、复审筛选后，提交国家保密局终审。

    据国家保密局相关负责人介绍，涉密系统集成资质分为甲级、乙级和单项三种。这三项的职责划分均有严格规定。 字串6

    数据修复服务商：流程控制向泄密说不

字串5

    不管是授权还是资质认证，对于涉密数据修复单位来说，最重要的改变就是在思想上引起对涉密数据修复安全的高度重视。涉密数据修复单位必须认真学习国家保密局的要求和《保密法》相关条款，提高数据保护的安全等级，修正自己的业务流程，制定一套切实可行的专门针对涉密数据修复的流程控制，以确保在数据修复这个节点是安全可靠的。 字串3

    叶红介绍说，获得涉密数据单项资质认证就意味着取得了为全国各级党政机关以及涉及国家秘密的企事业单位从事数据恢复业务的资格。DRS是国内唯一一家连续两次通过国家保密局审核的单位。叶红认为，对于获得单项资质认证的单位来说，既是荣誉，同时更意味着责任和压力。 字串8

    叶红详细介绍了为涉密数据恢复制定的严格流程：涉密单位和数据修复公司双方在数据修复前需签订数据保密协议；为了防止数据外泄，涉密单位自备镜像盘,数据盘和双份数据拷贝盘；为了避免计算机网上泄密，数据修复单位用于数据修复的网络为专用网络，不与公用网络连接，避免他人直接通过共享方式窃取数据；涉密单位自备验证数据的系统环境，更加安全方便高效；验证涉密数据应该设置隔离区，涉密数据修复定点单位一般都让涉密数据单位客户在单独的一个房间内使用，不和网络连接的计算机验证数据，防止泄密；对于有硬件故障的硬盘,要及时销毁尚存的涉密数据。

字串1

    叶红说，只有信息安全的各个节点安全了，整个信息安全才能得到保障。数据修复授权和资质认证的开展，也有利于数据修复产业链的形成。 字串5