信息安全保密管理措施及技術(shù)防護(hù)要點(diǎn)

◎張學(xué)深

一、前言

由于計(jì)算機(jī)網(wǎng)絡(luò)的開(kāi)放性、互連性等特征，致使網(wǎng)絡(luò)易受黑客、惡意軟件等的攻擊，尤其是軍工企業(yè)的涉密網(wǎng)絡(luò)，網(wǎng)絡(luò)的安全和保密工作就顯得尤為重要。因此，如何確保網(wǎng)絡(luò)安全，提高網(wǎng)絡(luò)防護(hù)能力，嚴(yán)防失泄密事件的發(fā)生，已成為涉密網(wǎng)絡(luò)建設(shè)與應(yīng)用中必須加以密切關(guān)注和高度重視的問(wèn)題。為此我們必須做到思想認(rèn)識(shí)到位、管理措施到位、技術(shù)保障到位，切實(shí)做好涉密網(wǎng)絡(luò)安全工作。

二、涉密網(wǎng)絡(luò)運(yùn)行中存在的安全問(wèn)題

涉密信息網(wǎng)絡(luò)是與國(guó)際互聯(lián)網(wǎng)等其他網(wǎng)絡(luò)實(shí)行物理隔離的獨(dú)立網(wǎng)絡(luò)。但是存在電磁輻射、移動(dòng)存儲(chǔ)介質(zhì)交叉使用、系統(tǒng)漏洞等隱患，再加上涉密信息網(wǎng)絡(luò)建設(shè)、運(yùn)行、使用的時(shí)間不長(zhǎng)，管理人才缺乏、經(jīng)驗(yàn)不足，必然存在一些安全隱患問(wèn)題。如網(wǎng)絡(luò)安全知識(shí)缺乏，網(wǎng)絡(luò)安全意識(shí)不強(qiáng)引發(fā)安全隱患；人為對(duì)網(wǎng)絡(luò)惡意攻擊造成的安全隱患；計(jì)算機(jī)軟件自身存在的漏洞和"后門(mén)"以及設(shè)備本身存在安全隱患。

三、信息安全保密管理措施

"三分技術(shù)七分管理"是網(wǎng)絡(luò)安全領(lǐng)域的一句至理名言，其意為：網(wǎng)絡(luò)安全中的30%依靠計(jì)算機(jī)系統(tǒng)信息安全設(shè)備和技術(shù)保障，而70%則依靠用戶(hù)安全管理意識(shí)的提高以及管理模式的更新。

1.注重管理，落實(shí)領(lǐng)導(dǎo)責(zé)任制。

各單位黨政領(lǐng)導(dǎo)要從講政治的高度，切實(shí)加強(qiáng)涉密網(wǎng)絡(luò)安全工作的領(lǐng)導(dǎo)。各個(gè)業(yè)務(wù)部門(mén)的領(lǐng)導(dǎo)要親自抓好網(wǎng)絡(luò)應(yīng)用中的保密工作，為了明確責(zé)任，應(yīng)該把履行保密工作責(zé)任制納入到領(lǐng)導(dǎo)干部年度考核中來(lái)，嚴(yán)格落實(shí)責(zé)任追究制。

2.積極引進(jìn)技術(shù)人才，加強(qiáng)教育培訓(xùn)。

保密管理部門(mén)技術(shù)人才特別是計(jì)算機(jī)專(zhuān)業(yè)技術(shù)人才是相對(duì)缺乏的。針對(duì)這一實(shí)際情況，要積極引進(jìn)計(jì)算機(jī)專(zhuān)業(yè)技術(shù)人才。強(qiáng)化網(wǎng)絡(luò)安全教育，增強(qiáng)全體員工的安全防范意識(shí)

3.加強(qiáng)制度建設(shè)，筑牢網(wǎng)絡(luò)安全工作的制度防線。

在涉密網(wǎng)絡(luò)中，加強(qiáng)網(wǎng)絡(luò)的安全管理，制定有關(guān)規(guī)章制度，對(duì)于確保網(wǎng)絡(luò)的安全、可靠地運(yùn)行，將起到十分有效的作用。對(duì)計(jì)算機(jī)應(yīng)用的各個(gè)環(huán)節(jié)，要制訂出符合實(shí)際，操作性強(qiáng)的規(guī)章制度，制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施、預(yù)案等。同時(shí)要建立健全上互聯(lián)網(wǎng)信息保密領(lǐng)導(dǎo)責(zé)任制，使計(jì)算機(jī)安全保密工作有章可循，網(wǎng)絡(luò)保密在各個(gè)環(huán)節(jié)都嚴(yán)格加以控制。

4.制定標(biāo)準(zhǔn)，確保監(jiān)督檢查到位。

各單位保密管理部門(mén)與信息化管理部門(mén)應(yīng)組成檢查組，按照標(biāo)準(zhǔn)，結(jié)合日常管理中的薄弱環(huán)節(jié)。定期對(duì)本單位進(jìn)行深入的專(zhuān)項(xiàng)檢查。為了提高保密監(jiān)督檢查的時(shí)效性，定期變更檢查題綱及范圍，對(duì)于業(yè)務(wù)工作中存在信息安全風(fēng)險(xiǎn)提前發(fā)出提示預(yù)警，變事后懲罰為事前預(yù)防。

四、信息安全保密技術(shù)防護(hù)要點(diǎn)

1.實(shí)行涉密信息系統(tǒng)與其它公共信息網(wǎng)絡(luò)的物理隔離。

嚴(yán)禁涉密信息網(wǎng)絡(luò)直接或間接地與國(guó)際互連網(wǎng)或其它公共信息網(wǎng)絡(luò)相聯(lián)接。涉密信息系統(tǒng)與其它公共信息網(wǎng)絡(luò)必須實(shí)行物理隔離，這樣可以有效地防止黑客訪問(wèn)或病毒入侵。

2.防止計(jì)算機(jī)電磁輻射泄密。

對(duì)機(jī)房設(shè)備、線路進(jìn)行保護(hù)性的屏蔽處理，并建設(shè)屏蔽機(jī)房，對(duì)重要的涉密網(wǎng)絡(luò)終端顯示設(shè)備安裝視頻干擾器，在機(jī)房電源線路上加裝紅黑隔離插座，從而避免因電磁輻射出現(xiàn)信息被竊取的情況發(fā)生。

3.使用身份鑒別技術(shù)。

一般而言，常用的身份鑒別技術(shù)包括：基于口令的鑒別方式、基于智能卡的鑒別方式、基于生物特征的鑒別方式、一次性口令等鑒別方式。

4.采用防火墻與防病毒技術(shù)是提高網(wǎng)絡(luò)安全性的關(guān)鍵。

防火墻是一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施，它是一個(gè)用以阻止網(wǎng)絡(luò)中的黑客防問(wèn)某個(gè)網(wǎng)絡(luò)屏障。采用防火墻技術(shù)，通過(guò)在網(wǎng)絡(luò)邊界上建立起來(lái)的通信控制系統(tǒng)來(lái)實(shí)現(xiàn)網(wǎng)內(nèi)不同功能子域的化分，以阻擋非法訪問(wèn)，從而實(shí)施安全訪問(wèn)控制，提高涉密網(wǎng)絡(luò)的安全性。安裝網(wǎng)絡(luò)版防病毒軟件，并及時(shí)升級(jí)病毒代碼庫(kù)，及時(shí)發(fā)現(xiàn)病毒并予以清殺，可有效阻止其在網(wǎng)絡(luò)上蔓延和破壞。

5.利用虛擬局域網(wǎng)（VLAN）技術(shù)提高內(nèi)網(wǎng)的安全性。

采用虛擬局域網(wǎng)提供的安全機(jī)制，可以限制特定用戶(hù)的訪問(wèn)，控制廣播組的大小和位置，甚至鎖定網(wǎng)絡(luò)成員的物理（MAC）地址，這樣中，就限制了未經(jīng)安全許可的用戶(hù)和網(wǎng)絡(luò)成員對(duì)網(wǎng)絡(luò)的使用。通過(guò)設(shè)備端口和MAC 地址分配等VLAN 劃分原則，可以有效控制用戶(hù)訪問(wèn)權(quán)限和邏輯網(wǎng)段大小，將不同用戶(hù)群劃分在不同VLAN 中，從而提高網(wǎng)絡(luò)的整體性能和安全性。

6.計(jì)算機(jī)信息安全管理系統(tǒng)。

為了能夠?qū)θ刖W(wǎng)計(jì)算機(jī)的外部接口進(jìn)行有效管理，防止移動(dòng)載體的交叉混用，所有的入網(wǎng)計(jì)算機(jī)均要求安裝計(jì)算機(jī)信息安全管理系統(tǒng)。該系統(tǒng)能夠按照入網(wǎng)計(jì)算機(jī)不同的涉密等級(jí)，對(duì)其外部接口、外部設(shè)備等進(jìn)行不同程度的管控。經(jīng)過(guò)這樣的部署，可以有效防止移動(dòng)存儲(chǔ)介質(zhì)的交叉混用，杜絕了通過(guò)移動(dòng)存儲(chǔ)介質(zhì)涉密的安全隱患。

7.通過(guò)設(shè)置域控，提高內(nèi)部網(wǎng)絡(luò)的管理性和安全性。

針對(duì)目前網(wǎng)絡(luò)所采用的微軟系統(tǒng)平臺(tái)國(guó)，借助于操作系統(tǒng)的域控制功能，對(duì)網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)進(jìn)行劃分、管理，從而既滿(mǎn)足了對(duì)內(nèi)部用戶(hù)的管理要求，同時(shí)又在雙向信任關(guān)系的域結(jié)構(gòu)中實(shí)現(xiàn)同級(jí)、上下級(jí)之間的信息的安全交流。同時(shí)，充分利用系統(tǒng)的域控功能，嚴(yán)格控制網(wǎng)絡(luò)客戶(hù)端用戶(hù)帳號(hào)，設(shè)定所有用戶(hù)必須登錄域中進(jìn)行網(wǎng)絡(luò)操作，設(shè)定所有用戶(hù)的IP 地址和網(wǎng)卡物理地址進(jìn)行綁定，實(shí)施嚴(yán)密的身份識(shí)別和訪問(wèn)控制。在全面實(shí)施了系統(tǒng)的域控結(jié)構(gòu)并進(jìn)行了對(duì)所有用戶(hù)的綁定后，我們就可以在安全策略中部署對(duì)所有敏感性操作進(jìn)行安全審計(jì)和記錄，并且可以在發(fā)生安全事故后依據(jù)綁定一直追查到底。

8.信息內(nèi)容保護(hù)與管理。

密碼技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一，信息內(nèi)容的保護(hù)采用加密技術(shù)對(duì)涉密數(shù)據(jù)信息進(jìn)行加密存儲(chǔ)。對(duì)涉密網(wǎng)絡(luò)遠(yuǎn)距離的數(shù)據(jù)傳輸要采用加密傳輸?shù)姆绞剑瑥亩ＷC數(shù)據(jù)的安全性和完整性。采用身份認(rèn)證技術(shù)、單點(diǎn)登錄以及授權(quán)對(duì)各種應(yīng)用的安全性管理增強(qiáng)配置服務(wù)來(lái)保障涉密信息系統(tǒng)在應(yīng)用層的安全。根據(jù)用戶(hù)身份和現(xiàn)實(shí)工作中的角色和職責(zé)，確定訪問(wèn)應(yīng)用資源的權(quán)限，應(yīng)做到對(duì)用戶(hù)接入網(wǎng)絡(luò)的控制和對(duì)信息資源訪問(wèn)和用戶(hù)權(quán)限進(jìn)行綁定。

建立數(shù)據(jù)備份和恢復(fù)系統(tǒng)，制定備份和恢復(fù)策略，系統(tǒng)發(fā)生故障后能在軟短時(shí)間恢復(fù)應(yīng)用和數(shù)據(jù)。

9.軟件補(bǔ)丁升級(jí)。

為了解決內(nèi)網(wǎng)計(jì)算機(jī)的操作系統(tǒng)等軟件不便于進(jìn)行在線補(bǔ)丁升級(jí)的問(wèn)題，應(yīng)在內(nèi)網(wǎng)中部署軟件補(bǔ)丁升級(jí)系統(tǒng)，由網(wǎng)絡(luò)管理員定期從互聯(lián)網(wǎng)上下載相關(guān)補(bǔ)丁，并安裝至內(nèi)網(wǎng)服務(wù)器。自動(dòng)對(duì)園區(qū)網(wǎng)計(jì)算機(jī)系統(tǒng)進(jìn)行補(bǔ)丁升級(jí)，無(wú)需用戶(hù)進(jìn)行任何操作，確保所有接入內(nèi)網(wǎng)計(jì)算機(jī)的系統(tǒng)漏洞能夠及時(shí)得到修補(bǔ)，降低了主機(jī)被入侵或被病毒感染的概率。

10.入侵檢測(cè)技術(shù)。

入侵檢測(cè)技術(shù)通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中若干關(guān)鍵節(jié)點(diǎn)收集信息并加以分析，監(jiān)控網(wǎng)絡(luò)中是否有違反安全策略的行為或者是否存在入侵行為。它能提供安全審計(jì)、監(jiān)視、攻擊識(shí)別和反攻擊等多項(xiàng)功能，并采取相應(yīng)的行動(dòng)，如斷開(kāi)網(wǎng)絡(luò)連接、記錄攻擊過(guò)程、跟蹤攻擊源、緊急告警等，是安全防御體系的一個(gè)重要組成部分。

11.漏洞掃描系統(tǒng)。

漏洞掃描系統(tǒng)可以主動(dòng)探測(cè)網(wǎng)絡(luò)中的薄弱環(huán)節(jié)。通過(guò)網(wǎng)絡(luò)安全性掃描，系統(tǒng)管理員能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)主機(jī)與服務(wù)器等設(shè)備的各種漏洞和隱患，如端口和服務(wù)、系統(tǒng)漏洞、弱口令及共享文件等，并給出修正建議。管理人員可根據(jù)掃描結(jié)果對(duì)這些漏洞和隱患進(jìn)行及時(shí)修補(bǔ)。

五、結(jié)束語(yǔ)

涉密網(wǎng)絡(luò)安全建設(shè)和運(yùn)行是構(gòu)建安全體系結(jié)構(gòu)的前提，采用安全的網(wǎng)絡(luò)產(chǎn)品、制定嚴(yán)密的安全技術(shù)規(guī)范、建立安全保密管理制度和獎(jiǎng)懲機(jī)制是涉密網(wǎng)絡(luò)可靠運(yùn)行的基礎(chǔ)。