新形勢下信息系統安全保密管理的思考

◆莫新建

（河南航天精工制造有限公司 河南 464100）

新形勢下，隨著互聯網技術的飛速迅猛發展，越來越多的新興技術被應用到人們的日常工作生產生活領域，新興技術的應用給信息安全保密工作提出了新的挑戰。目前，世界各國都在嚴格地加強信息安全管控，包括計算機、網絡、工控機、手機終端等信息設備的安全保密管理。但我國的現狀是，金融、電信、國家電網等重點領域的核心IT 系統、芯片幾乎被國外廠商壟斷。因此，國家也正推行國產設備替代國外的進口產品，并逐步建立完整的信息安全保障體系。盡管計算機網絡信息技術安全的研究和實踐已經取得了很大的進步，但泄密事件仍時有發生，且呈現上升趨勢，其中計算機網絡方面泄密成為目前最主要的泄密途徑，給國家和單位造成了不可估量的損失。

1 影響信息系統安全的各種因素分析

新形勢下影響信息系統安全保密的因素主要有以下幾種： （1）電磁波發射泄露

一類是傳導發射，通過電源線和信號線發射。另一類是由于信息設備（包括手機、計算機、服務器等）中的處理器、顯示器有較強的電磁波輻射。這些電磁波會把信息設備中的信息發射出去，只要有相應的接收設備，就可以將電磁波接收下來，從中竊取信息設備的所有信息。

（2）網絡環境造成泄密

由于計算機網絡中的數據默認存在共享，就存在許多泄密漏洞。不法分子可以利用其中存在的漏洞進行攻擊，進入系統內進行竊取信息。另外，在互聯網上發布信息時把關不嚴造成秘密被竊取，內部局域網絡中的計算機非法連接互聯網，極易遭受攻擊被竊密；處理涉密信息的計算機系統沒有與互聯網及其他公共網絡進行物理隔離進而造成泄密。

（3）存儲介質泄密

計算機硬盤、磁性介質和光介質作為信息存儲的主要場所，如果這些介質沒有進行有效的管理或沒有進行相應的技術防范措施，很容易被復制竊取。比如，在處理廢舊硬盤、U 盤時，由于磁盤經消磁十余次后，仍有辦法可以把存儲在里面的信息恢復出來，因此存有秘密信息的磁盤很有可能被不法分子進行利用造成泄密；計算機送外維修時存有秘密信息的硬盤沒有拆除，在無人監督的情況下就送外進行修理而造成泄密；設備在更換時存儲部件沒有進行信息消除處理，就轉賣、丟棄或捐贈等，造成泄密。

（4）內部人員泄密

無意識泄密。單位內部人員沒有形成安全保密意識，無意中違反保密規章制度造成泄密。

故意泄密。不法分子對信息知情人士采用金錢收買、色情誘惑、假意友情迷惑等手段以竊取所需要的秘密信息。信息知情人士一般是涉密人員、單位員工也有可能是單位的工勤人員等，特別信息系統操作員及管理人員尤其關鍵，如果這類人員被收買，就可以把信息系統內的涉密文件、信息資料等對外非法提供，造成重大泄密。

2 技術方面的安全防范策略

（1）物理措施

物理措施的安全策略是為了保護信息系統、網絡設備、打印復印機等硬件實體和網絡通信線路免受自然災害、人為破壞等攻擊。單位要嚴禁用涉密計算機直接或間接地接入互聯網，同時放置在同一間辦公室的內外網計算機分離，間隔至少保持2 米。涉密計算機如果放置于200 米范圍內不可控位置的話需要配置防電磁波發射泄露的紅黑電源及視頻保護器等安全保密設備。

（2）訪問控制

在入網控制管理方面，采用交換機端口+IP+ MAC 捆綁的技術手段防止用戶隨意更改IP 地址和隨意更換交換機端口，做到設備入網可控。在網絡邊界配備防火墻，設置相應的訪問控制策略，控制細粒度達到單個主機級別。設置允許策略規則，默認策略設置為禁止規則，主要是用來保護網絡系統不受外部威脅，通過設置出和入的控制策略，保障網絡信息安全。另外，在核心交換機上設置訪問控制策略，設置內部用戶之間以及內部用戶和服務器之間的訪問控制規則，保障不同安全域的用戶不能互相訪問，不同業務的用戶只能訪問所需要的服務器及信息系統，保障了信息知悉的最小范圍，保障了保密信息不擴大知悉范圍。

（3）操作系統安全策略

服務器要設置好相應的安全管理策略，主要包括有服務器安全審核策略、組策略實施、服務器備份策略等。服務器安全審核是管理員日常工作，審核的范圍包括安全漏洞檢查、日志分析、系統補丁安裝情況檢查等。在部署組策略時，可以通過組策略配置軟件限制策略、密碼策略、賬戶鎖定策略及Kerberos 策略、審核策略、安全選項等控制一個域范圍的所有信息設備的安全保密管理。服務器的備份策略包括應用軟件備份和數據庫備份兩部分，應用軟件備份利用專用備份程序，制定一個合理的備份內容、時間點的策略，對于關鍵應用系統每天都做完全的數據備份，同時把備份的數據及時進行異地備份，并定期檢查其備份文件是否成功可用，并對備份數據采用虛擬機的形式恢復還原測試備份數據的完整性、可用性。

3 人員方面安全管理措施

在信息安全保密管理方面，人的安全保密意識是至關重要的因素。即使我們配置最先進的安全防護設備設施工具，使用256位加密技術處理和存儲信息數據，只要我們“人”這一擁有信息安全技術的主體沒有真正的信息安全責任意識，那我們的信息照樣是不安全不可靠的。要讓每一位人員都深深地意識到安全保密是紅線，是企業的生命線，從思想認識上增強信息安全保密意識。信息安全保密教育是做好信息安全保密工作的基礎和前提，信息保密管理部門要制定切實可行的信息安全保密管理規章制度，簡單明了操作性強，并認真培訓貫徹嚴格執行。

4 技術與管理并重保信息安全

我們應該認識到如果沒有強有力的管理來支撐，就是再先進的技術防范措施都會大打折扣，再高深技術也離不開人的使用和管理，信息安全是“三分靠技術，七分靠管理”，所以信息安全保密工作不能完全寄希望于先進的安全保密技術設備，而應該是技術與管理并重。所以我們都要嚴格遵守執行國防軍工單位的保密的“六條規定”：第一、禁止私自在機關、單位登錄互聯網；第二、禁止在家用計算機處理涉密信息；第三、禁止涉密網與互聯網連接或在連接互聯網計算機處理涉密信息；第四、禁止私自留存涉密計算機、涉密移動存儲介質或涉密文件資料；第五、禁止在涉密計算機與非涉密計算機之間交叉使用移動存儲介質；第六、禁止擅自對外披露單位涉密信息和內部信息。遵守單位的安全保密管理規章制度，規范安全保密行為，養成良好的習慣，防止泄密事件發生。從技術和管理方面加強信息安全保密體系建設，真正做到保密工作與業務工作同計劃、同部署、同檢查、同總結、同獎懲，確保信息安全，確保國家安全。

5 信息安全評估

信息安全評估是信息系統全生命周期中一個重要環節，根據環境、人員、信息設備等方面的變化信息安全的風險也是動態變化的，只有動態的定期進行評估才能發現存在的安全風險。要做到每年至少進行一次安全風險評估，及時發現風險漏洞并及時整改，以消除或降低信息安全風險。