軍工企業涉密網絡統一化安全防護

摘要:軍工企業涉密網絡安全是軍工涉密網絡系統建設和使用中面臨的重大課題，該文從用戶終端安全的角度出發，闡述了統一安全防護的思路，并對其具體內容做了較為詳細的論述。

關鍵詞:軍工企業涉密網絡;安全防護;統一化

Unified Security of Secret-Relatingnetwork in Military Enterprises

XIE Jian-zhang

(Xiangtan Electric Manufacturing Corporation Ltd Institute of Special Electrical Division， Xiangtan 411101， China)

Abstract: Security is the most important issue in the construction and utilization of confidential network. This articlesets forth the thought of integrative safety protecting technologies， and makes more detailed discussion to specific mattersfrom the terminal consumeros angle.

Key words: classified military enterprise network; security protection; unionization

1 單一的軍工涉密網絡安全防護系統的主要問題

目前，軍工企業為了提升自身競爭力和管理水平，開始大規模的應用計算機和網絡進行產品設計和企業管理，隨著軍工企業網絡應用的開展，各種安全問題和泄密事件開始增多。為了保護國家秘密，各種軍工涉密網絡安全管理的產品不斷涌現，如加強個人電腦登陸安全的身份認證，規范終端用戶行為的監控管理軟件，保護軍工涉密文檔的加密軟件，保護計算機操作系統的殺毒軟件等等。然而，各種安全系統都有自己一套獨立的工作策略，導致安全軟件各自防護，并且不同的安全軟件之間可能會出現部分功能重疊，不但會消耗額外的系統資源甚至會相互沖突，使系統的穩定性下降。安全系統各自獨立，無法進行統一的管理，這樣一來，增大了管理的成本和復雜性，也難以對各種安全問題做出快速正確的反應。因此需要統一化的安全防護系統來保護軍工企業涉密網絡。

2 安全防護系統的統一化

保障軍工企業涉密網絡信息系統的安全需要統一的運行管理、統一的安全策略配置和統一的安全審計，即統一化的安全防護系統。通過安全軟件實現內網接入管理、用戶身份認證、行為監控、終端失泄密防護、移動存儲介質授權等功能，各個功能模塊之間協調工作，在統一的安全策略下實現全面完整的安全管理，為應用系統的運行提供可靠的運行環境，保證安全防護的最大化。統一化的安全防護系統以終端的失泄密防護和安全管理為核心，并在此基礎上涵蓋了認證、授權、加密、監控、審計等管理信息安全需求的各個方面，實現了信息安全功能的統一化，將安全軟件由多個合并成一個。

3 統一的安全防護系統應具有的功能

3.1 終端身份鑒別與授權

終端用戶各種操作行為的均需要進行個人身份驗證，包括計算機登錄認證、網絡接入的認證、登錄應用的認證、各種移動存儲設備的接入認證，終端用戶均需要使用并輸入正確的信息來判斷其權限。

1) 計算機登錄認證。計算機登錄是軍工企業涉密網絡安全防護的第一道門檻，因此可以將用戶登錄操作系統的個人信息與數字證書設備(如IC卡或USB Key)結合來提高計算機登錄認證的安全強度、增強個人終端的安全保護。終端用戶登錄計算機，必須持有經過授權的數字證書設備，并且輸入個人設置的PIN碼后，方可登錄計算機;拔除證書設備自動鎖定計算機;插入證書設備輸入PIN碼認證后解除鎖定;同時可以對用戶登錄情況進行審計。

2) 網絡終端接入認證。為防止非法設備接入軍工企業涉密網絡，涉密網絡對接入的設備要進行嚴格的身份認證，確保得到授權的設備才能接入涉密網絡，避免非法用戶的侵入。網絡接入認證應以不改變原有網絡拓撲結構、不影響原有上層應用服務、不增加用戶的學習成本為前提。網絡接入認證以基于端口的訪問控制協議(即IEEE 802.1x協議)為基礎，該協議可以對局域網內對應的用戶端口(可以是物理端口，也可以是用戶設備的MAC地址，VLAN，IP等)接入的設備進行認證和控制。用戶設備如果能通過認證，就可以訪問局域網內的資源;如果不能通過認證，則無法訪問局域網內的資源，相當于物理上斷開連接。IEEE 802.1x協議在二層網絡上實現用戶認證，可以結合MAC，端口，賬戶，密碼，用戶數字證書等;綁定技術具有很高的安全性，大大增強網絡的安全性，可以有效防止非法用戶接入涉密網絡而造成的信息泄漏。在此基礎上的網絡終端接入認證具有靈活的授權策略，能夠針對終端用戶、客戶端、接入點等進行各種組合配置，嚴格控制用戶的接入方式、接入設備、接入地點甚至接入時間等。同時能夠對用戶及設備的認證過程進行全程的詳細審計，對認證失敗的過程進行特別標注，必要時進行報警處理。

3) 登錄應用的認證。數字證書設備作為網絡認證的基礎，用戶在登錄計算機和網絡時使用的數字證書設備在完成相應的登錄認證和接入認證的同時，也可作為應用系統的認證設備人證書的信息來判斷其權限。

3.2 涉密信息加密保護

1) 文件存儲加密。通過工具在本地硬盤上劃出一個存放本地重要文件的加密存儲空間，通過加密算法對空間內的文檔進行加密，這樣雙重加密，即使文檔丟失、意外脫離了涉密網絡后也無法使用，這樣就將涉密網絡中的一些核心數據牢牢限定在了安全可控的環境中，有效地保證了核心數據的安全性。

2) 網絡傳輸加密。系統的各功能模塊之間以及服務器與客戶端之間的通信采用SSL加密技術，從而保證網絡通訊的安全性。

3.3 終端運行情況檢測和管理

1) 資產管理。對用戶終端上的軟硬件資產的安裝、使用情況進行跟蹤，實現對終端軟硬件資產的自動獲取和查看，同時對資產情況的變化進行報警，有效防止內部資產的流失，并防止內部人員安裝軟硬件進行竊密。

2) 內部安全監控和失泄密保護。對使用涉密網絡內計算機的行為進行限制、監控和記錄，包括對文檔的修改、拷貝、打印的監控和記錄，撥號上網行為的監控和記錄，各種外置接口的禁止或啟用(并口、串口、USB接口等)，對USB設備進行分類管理，如USB存儲設備(U盤，移動硬盤)、USB輸入設備(USB鍵盤、鼠標)、USB2KEY以及自定義設備。通過分類和靈活設置，增強實用性，對受控主機添加和刪除設備進行監控和記錄，對未安裝安全系統的主機接入網絡拒絕并報警，防止非法主機的接入。

3) 移動存儲介質的認證。安全防護系統對接入計算機的存儲介質進行認證、控制和報警。做到經過認證的合法介質可以從主機拷貝信息;未通過認證的非法介質只能將信息拷入主機內，不能從主機拷出信息到介質內，否則產生報警信息，防止信息被有意或者無意從存儲設備(尤其是移動存儲設備)泄漏出去。在認證時，把介質分類標識為非密、秘密、機密。當合法介質從主機拷貝信息時，判斷信息密級(國家有關部門規定，涉密信息必須有密級標識)，拒絕低密級介質拷貝高密級信息。在認證時，把移動介質編號，編號與使用人員對應。移動介質接入主機操作時記錄下移動介質編號，以便審計時介質與人對應。涉密信息被拷貝時會自動加密存儲在移動介質上，加密存儲在移動介質上的信息也只能在裝有安全防護客戶端的主機上讀寫，讀寫時自動解密。認證信息只有在移動介質被格式化時才能清除，否則無法刪除。有防止系統自動讀取介質內文檔的功能，避免移動介質接在計算機上(無論是合法還是非法計算機)被系統自動將所有文檔讀到計算機上。

4) 安全策略管理。安全軟件應實現客戶端的安全策略統一配置和分發，對客戶端操作系統進行必要的安全性設置，使其能夠避免弱口令、刪除默認共享、關閉部分端口和非必要的服務等，降低操作系統的安全風險。

5) 涉密網內安全漏洞掃描和補丁分發管理。軍工企業涉密網由于要求與外網物理上斷開連接， Windows操作系統補丁和辦公軟件補丁的分發和管理依賴于微軟WSUS，安全軟件應做到能檢查終端補丁狀態，并對補丁升級情況進行統計，形成報告。

3.4 集中安全審計

統一化的安全防護系統以統一的審計接口，按照各功能模塊對用戶行為進行監控、審計，對各功能模塊的審計日志進行統一管理，以安全事件知識庫為基礎進行行為分析，并提供詳細的查詢和統計功能，對于發現和審計軍工企業涉密網內違規行為提供強有力的平臺支撐。

4 結束語

統一化安全防護系統是在現有安全技術的基礎上，從用戶終端安全的角度出發進一步整合資源，圍繞內部涉密信息安全防范這一核心，實現了對用戶行為、網絡訪問、用戶身份認證、資源使用、移動存儲介質審計和授權等方面的監控和管理，保證了安全策略的統一，為涉密網絡信息系統的安全運行提供了完整的管理和技術平臺。

參考文獻:

[1] 楊世松，王大會，王連海，等.涉密信息系統與建設實務[M].北京:金城出版社，2002.

[2] 苗莽.策略化的集中安全管理模型[J].計算機安全，2005(2).