文/陳琴琴、鄔兆豐

涉密網(wǎng)絡(luò)安全保密防護(hù)和管理

文/陳琴琴、鄔兆豐

隨著信息化和工業(yè)化步伐的不斷加快，互聯(lián)網(wǎng)已經(jīng)融入社會(huì)生活方方面面，深刻改變了人們的生產(chǎn)和生活方式，無紙化辦公、網(wǎng)絡(luò)化辦公已經(jīng)成為社會(huì)主流。一些政府機(jī)關(guān)、科研院所、軍工企業(yè)等單位日常工作中需要存儲(chǔ)和處理大量涉密信息，對(duì)網(wǎng)絡(luò)和信息系統(tǒng)的依賴性不斷增強(qiáng)，泄密渠道和機(jī)會(huì)大大增加，由于網(wǎng)絡(luò)安全漏洞和人為管理疏忽而導(dǎo)致的安全危機(jī)、經(jīng)濟(jì)損失、重要資料泄密等重大事件層出不窮，因此網(wǎng)絡(luò)保密管理尤其是涉密網(wǎng)絡(luò)安全保密防護(hù)和管理工作成為保密工作的重中之重。

涉密網(wǎng)絡(luò)安全保密隱患

1.違規(guī)外聯(lián)。涉密網(wǎng)絡(luò)嚴(yán)禁和互聯(lián)網(wǎng)連接，但是有些工作人員貪圖便利，采用斷開內(nèi)網(wǎng)連接的方式違規(guī)將計(jì)算機(jī)接入互聯(lián)網(wǎng)，甚至直接將接入涉密網(wǎng)的計(jì)算機(jī)同時(shí)又通過撥號(hào)、寬帶和無線等方式接入互聯(lián)網(wǎng)，破壞了內(nèi)外網(wǎng)的物理隔離，極有可能將病毒、木馬、后門等帶入內(nèi)網(wǎng)，導(dǎo)致黑客入侵并把涉密計(jì)算機(jī)作為跳板，滲透到內(nèi)部網(wǎng)絡(luò)，給涉密網(wǎng)絡(luò)帶來非常嚴(yán)重的危害和后果。

2.計(jì)算機(jī)端口濫用。涉密網(wǎng)絡(luò)內(nèi)部使用的涉密計(jì)算機(jī)的光驅(qū)、USB接口、紅外接口等很容易被違規(guī)接入未經(jīng)授權(quán)批準(zhǔn)的外接設(shè)備，然后利用“信息擺渡”技術(shù)實(shí)現(xiàn)在物理隔離的兩臺(tái)計(jì)算機(jī)上的信息傳遞，在此過程中很容易造成信息泄漏或致使涉密計(jì)算機(jī)感染病毒。

3.權(quán)限失控。在涉密網(wǎng)絡(luò)中如果沒有使用用戶身份鑒別和權(quán)限控制措施，工作人員可以毫無障礙的調(diào)閱出高出自身知悉范圍內(nèi)的涉密信息，從而導(dǎo)致泄密?！袄忡R”事件就是一件典型的權(quán)限失控導(dǎo)致的泄密事件。

4.系統(tǒng)漏洞。系統(tǒng)漏洞是指應(yīng)用軟件或操作系統(tǒng)軟件在邏輯設(shè)計(jì)上的缺陷或錯(cuò)誤，這些漏洞成為入侵者進(jìn)入計(jì)算機(jī)或網(wǎng)絡(luò)的一個(gè)“后門”，可通過植入木馬、病毒等方式來攻擊或控制整個(gè)計(jì)算機(jī)和網(wǎng)絡(luò)，竊取其中的涉密信息。由于涉密網(wǎng)絡(luò)與互聯(lián)網(wǎng)物理隔離，工作人員不便于進(jìn)行系統(tǒng)補(bǔ)丁升級(jí)，導(dǎo)致這些漏洞無法得到及時(shí)修補(bǔ)，極易被黑客所利用。

5.人為因素。一些單位的工作人員保密意識(shí)不強(qiáng)，在工作中沒有遵循基本的安全防范規(guī)則操作造成泄密，例如涉密計(jì)算機(jī)不按規(guī)定設(shè)置口令或者口令設(shè)置過于簡單容易被破解、沒有定期升級(jí)系統(tǒng)軟件或病毒庫等。此外還有一些由于保密技術(shù)知識(shí)缺乏或操作失誤導(dǎo)致的泄密，例如管理員對(duì)防火墻配置不當(dāng)為外來的程序攻擊創(chuàng)造了機(jī)會(huì)，計(jì)算機(jī)中的硬盤或某些文件夾被設(shè)置成共享狀態(tài)，使非法人員通過操作系統(tǒng)提供的功能非常容易地下載到這些計(jì)算機(jī)硬盤中的文件等。

涉密網(wǎng)絡(luò)安全保密防護(hù)技術(shù)

1.虛擬局域網(wǎng)技術(shù)。虛擬局域網(wǎng)技術(shù)可以根據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門或者根據(jù)網(wǎng)絡(luò)用戶所使用的應(yīng)用程序和協(xié)議來進(jìn)行分組，不同的虛擬局域網(wǎng)之間不能進(jìn)行相互的聯(lián)系和通訊，這就避免了病毒感染和黑客入侵。此外虛擬局域網(wǎng)技術(shù)中對(duì)于交換機(jī)端口的劃分操作簡單靈活，這就使得在涉密網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備的靈活移動(dòng)成為可能，單位不同部門可以規(guī)劃到不同的虛擬局域網(wǎng)中來，既方便了數(shù)據(jù)的傳輸、信息的共享，又提高了涉密網(wǎng)絡(luò)的安全性。

2.防火墻系統(tǒng)。防火墻系統(tǒng)是計(jì)算機(jī)與內(nèi)部網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間安全的屏障，配置防火墻是實(shí)現(xiàn)涉密網(wǎng)絡(luò)安全最基本、最有效的安全措施之一。利用防火墻對(duì)涉密網(wǎng)絡(luò)進(jìn)行安全域劃分，禁止不同虛擬局域網(wǎng)在非應(yīng)用系統(tǒng)使用時(shí)相互訪問，同時(shí)在交換機(jī)配置階段，就進(jìn)行端口隔離，這樣同部門同虛擬局域網(wǎng)之間也存在了基礎(chǔ)的安全網(wǎng)絡(luò)防護(hù)，可實(shí)現(xiàn)重點(diǎn)服務(wù)器網(wǎng)段和非密服務(wù)區(qū)網(wǎng)段隔離，從而降低重要數(shù)據(jù)或敏感信息安全問題對(duì)整個(gè)涉密網(wǎng)絡(luò)造成的影響。此外，防火墻系統(tǒng)還能實(shí)時(shí)地記錄所有用戶訪問信息的日志情況，并對(duì)涉密網(wǎng)絡(luò)的流量情況進(jìn)行統(tǒng)計(jì)。一旦發(fā)生網(wǎng)絡(luò)異?，F(xiàn)象，防火墻系統(tǒng)還能及時(shí)報(bào)警，確保涉密網(wǎng)絡(luò)的安全穩(wěn)定。

3.入侵檢測(cè)系統(tǒng)。入侵檢測(cè)系統(tǒng)是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它可以在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，提供內(nèi)部攻擊、外部攻擊和誤操作時(shí)的實(shí)時(shí)保護(hù)。在涉密網(wǎng)絡(luò)中，可以在需要保護(hù)的服務(wù)器網(wǎng)段上部署入侵檢測(cè)系統(tǒng)，實(shí)時(shí)監(jiān)視各種對(duì)服務(wù)器的訪問請(qǐng)求并及時(shí)將信息反饋給控制臺(tái)。

4.訪問控制技術(shù)。訪問控制是限制已授權(quán)的用戶、程序、進(jìn)程或計(jì)算機(jī)網(wǎng)絡(luò)中的其他的系統(tǒng)訪問本系統(tǒng)的資源的過程，它是涉密網(wǎng)絡(luò)安全防護(hù)的主要核心策略。通常在涉密網(wǎng)絡(luò)中實(shí)施訪問控制的策略是在交換機(jī)的某個(gè)端口上綁定合法的計(jì)算機(jī)MAC地址，所有未在該端口上綁定的MAC地址全部為非法入口，會(huì)在進(jìn)入該端口時(shí)予以屏蔽，這樣就杜絕了非法MAC地址的入侵，可以防止非授權(quán)的計(jì)算機(jī)從數(shù)據(jù)鏈路層進(jìn)入涉密網(wǎng)絡(luò)。

5.漏洞掃描技術(shù)。漏洞掃描技術(shù)是指通過掃描等手段對(duì)指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測(cè)，發(fā)現(xiàn)可利用的漏洞的一種安全檢測(cè)技術(shù)。它和防火墻、入侵檢測(cè)系統(tǒng)互相配合，能夠有效提高網(wǎng)絡(luò)的安全性。通過漏洞掃描，網(wǎng)絡(luò)管理員能了解網(wǎng)絡(luò)的安全設(shè)置和運(yùn)行的應(yīng)用服務(wù)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)與服務(wù)器等網(wǎng)絡(luò)設(shè)備的各種漏洞和隱患，如端口和服務(wù)、系統(tǒng)漏洞、弱口令及共享文件等，并給出修正建議。此外，當(dāng)有計(jì)算機(jī)接入涉密網(wǎng)絡(luò)中時(shí)，還可以通過掃描計(jì)算機(jī)的系統(tǒng)漏洞，自動(dòng)對(duì)入網(wǎng)計(jì)算機(jī)進(jìn)行系統(tǒng)補(bǔ)丁升級(jí)，確保所有接入涉密網(wǎng)絡(luò)的計(jì)算機(jī)系統(tǒng)漏洞都能及時(shí)得到修復(fù)，降低計(jì)算機(jī)被入侵攻擊的風(fēng)險(xiǎn)。

6.身份鑒別和授權(quán)。身份鑒別是保證涉密網(wǎng)絡(luò)安全的重要措施。經(jīng)過身份鑒別進(jìn)入涉密網(wǎng)絡(luò)的合法用戶，需要對(duì)其訪問系統(tǒng)資源的權(quán)限進(jìn)行限制。設(shè)置訪問控制應(yīng)當(dāng)遵循“最小授權(quán)原則”，即在應(yīng)當(dāng)授權(quán)的范圍內(nèi)有權(quán)使用資源，非授權(quán)范圍內(nèi)無權(quán)使用資源。并且在授權(quán)時(shí)按照該人員的最高涉密等級(jí)進(jìn)行身份認(rèn)證授權(quán)。在涉密網(wǎng)絡(luò)中，工作人員的各種操作行為均需進(jìn)行個(gè)人身份鑒別。

7.涉密計(jì)算機(jī)監(jiān)控和審計(jì)。涉密計(jì)算機(jī)監(jiān)控是指通過安全策略對(duì)受控計(jì)算機(jī)的移動(dòng)存儲(chǔ)設(shè)備、外部連接設(shè)備、網(wǎng)絡(luò)連接等輸入輸出端口進(jìn)行監(jiān)控，防止非法文件拷貝、打印、掃描、非法外聯(lián)等安全事件的發(fā)生，對(duì)于正在發(fā)生的高危行為予以及時(shí)制止或預(yù)警。涉密計(jì)算機(jī)審計(jì)是指記錄涉密計(jì)算機(jī)用戶的實(shí)際操作，包括計(jì)算機(jī)訪問應(yīng)用系統(tǒng)情況、文件的拷貝打印操作、病毒感染情況、擅自連接互聯(lián)網(wǎng)情況、非工作軟件的安裝和運(yùn)行等內(nèi)容，通過分析日志，能夠在事后有效發(fā)現(xiàn)用戶的違規(guī)操作或非法入侵行為，以便管理人員及時(shí)發(fā)現(xiàn)問題以及事后追究責(zé)任。

8.數(shù)字加密和數(shù)字簽名。

數(shù)據(jù)加密和數(shù)字簽名技術(shù)是提高涉密網(wǎng)絡(luò)安全性的必要手段。數(shù)據(jù)加密技術(shù)可以用于涉密文件的加密上，通過公鑰、密鑰的分發(fā)確保文件即使被盜取也無法解密。數(shù)字簽名是利用密碼技術(shù)生產(chǎn)一系列符號(hào)和代碼組成電子密碼進(jìn)行簽名，來代替書寫簽名和印章。將數(shù)字簽名添加到文件正文中后，能夠保證文件的機(jī)密性、發(fā)送者身份真實(shí)性、文件數(shù)據(jù)的完整性和發(fā)送者對(duì)自己行為的不可否認(rèn)性，構(gòu)造一種更加完善、高強(qiáng)度的文件加密方案。

9.電磁泄漏防護(hù)。涉密網(wǎng)絡(luò)電磁輻射主要有四個(gè)因素產(chǎn)生：顯示器輻射、通信線路輻射、主機(jī)輻射、輸出設(shè)備（打印機(jī)）輻射。這些設(shè)備是依靠高頻脈沖電路工作的，由于電磁場(chǎng)的變化，必然要向外輻射電磁波。這些電磁波會(huì)把計(jì)算機(jī)中的信息帶出去，竊密者只要具有相應(yīng)的接收設(shè)備，就可以通過接收電磁波從中竊取涉密信息。針對(duì)電磁泄漏可采用的防護(hù)措施有選用低輻射設(shè)備、利用噪聲干擾源、距離防護(hù)、電磁屏蔽等。

10.容災(zāi)備份技術(shù)。涉密網(wǎng)絡(luò)中的數(shù)據(jù)安全是重中之重，但由于敵對(duì)勢(shì)力、自然災(zāi)害或其他網(wǎng)絡(luò)、硬軟件故障、操作失誤、病毒等因素的影響，隨時(shí)可能導(dǎo)致數(shù)據(jù)丟失、破壞、業(yè)務(wù)中斷等災(zāi)難事故的發(fā)生。容災(zāi)技術(shù)可以保證在遭遇災(zāi)害時(shí)信息系統(tǒng)能正常運(yùn)行，實(shí)現(xiàn)業(yè)務(wù)連續(xù)性的目標(biāo)，備份技術(shù)可以應(yīng)對(duì)災(zāi)難來臨時(shí)造成的數(shù)據(jù)丟失問題。在具體操作中，容災(zāi)備份技術(shù)通常是將系統(tǒng)變化發(fā)生時(shí)的每個(gè)時(shí)間點(diǎn)都捕獲下來，一旦系統(tǒng)發(fā)生寫數(shù)據(jù)的動(dòng)作，就實(shí)時(shí)復(fù)制將要寫入存儲(chǔ)的寫操作，在寫入本地磁盤的同時(shí)復(fù)制一份到本地或遠(yuǎn)程數(shù)據(jù)保護(hù)中心，這樣一旦災(zāi)難發(fā)生，就可以從數(shù)據(jù)保護(hù)中心中獲取丟失的數(shù)據(jù)。

涉密網(wǎng)絡(luò)保密管理措施

1.完善涉密網(wǎng)絡(luò)安全保密規(guī)章制度建設(shè)。規(guī)章制度是涉密網(wǎng)絡(luò)安全管理的基礎(chǔ)，只有建立了完善的安全管理制度，明確安全保密職責(zé)，才能確保涉密網(wǎng)絡(luò)和涉密信息系統(tǒng)正常、有效運(yùn)行。涉密單位應(yīng)根據(jù)國家出臺(tái)的相關(guān)規(guī)定，充分發(fā)揮創(chuàng)新精神，結(jié)合本單位的實(shí)際情況，按照“誰主管誰負(fù)責(zé)，誰運(yùn)行誰負(fù)責(zé)，誰使用誰負(fù)責(zé)”的原則，建立有針對(duì)性的涉密網(wǎng)絡(luò)安全管理制度，將原則性的標(biāo)準(zhǔn)進(jìn)行細(xì)化，明確安全職責(zé)的劃分和人員分工安排，讓涉密網(wǎng)絡(luò)的建設(shè)、管理、使用、維護(hù)等各個(gè)環(huán)節(jié)都有相應(yīng)的制度作為保障。同時(shí)要對(duì)規(guī)章制度進(jìn)行動(dòng)態(tài)化的管理，及時(shí)發(fā)現(xiàn)規(guī)章制度中不適和問題，對(duì)規(guī)章制度的適應(yīng)性進(jìn)行改進(jìn)。

2.提高工作人員保密意識(shí)和防護(hù)技能。工作人員的保密意識(shí)薄弱、保密防護(hù)技能缺乏是泄密事件發(fā)生的主因，由于網(wǎng)絡(luò)信息安全技術(shù)知識(shí)更新?lián)Q代頻繁，一些工作人員平時(shí)不注重學(xué)習(xí)，認(rèn)識(shí)不到安全威脅，保密意識(shí)淡漠，不注意個(gè)人的安全防護(hù)，認(rèn)為涉密網(wǎng)絡(luò)安全防護(hù)是信息中心的事兒，與他們毫無關(guān)系。還有部分人員存在僥幸心理，為圖方便甚至不遵守相關(guān)安全規(guī)定，違規(guī)接入互聯(lián)網(wǎng)或外部設(shè)備，給涉密網(wǎng)絡(luò)防護(hù)帶來較大隱患。因此需要加強(qiáng)工作人員的保密意識(shí)和網(wǎng)絡(luò)安全意識(shí)，切實(shí)使更多的工作人員充分認(rèn)清當(dāng)前網(wǎng)絡(luò)條件下的保密形勢(shì)，認(rèn)清網(wǎng)絡(luò)與信息技術(shù)快速發(fā)展給保密工作帶來的巨大負(fù)面影響，在思想上保持警惕，筑牢思想防線。同時(shí)要通過舉辦講座、學(xué)習(xí)班等形式普及涉密網(wǎng)絡(luò)安全防護(hù)知識(shí)，使其熟悉危害涉密網(wǎng)絡(luò)安全的行為以及其基本原理，讓安全操作成為一種工作習(xí)慣和自覺行為。

3.強(qiáng)化保密監(jiān)督和檢查。保密監(jiān)督和檢查是防止失泄密事件發(fā)生的有效手段。利用網(wǎng)絡(luò)安全技術(shù)做好日常保密監(jiān)督和檢查是充分發(fā)揮涉密網(wǎng)絡(luò)防護(hù)體系作用的一個(gè)重要的環(huán)節(jié)，具體措施有：對(duì)非授權(quán)存取、非授權(quán)外聯(lián)、非授權(quán)接入采取必要的技術(shù)檢測(cè)手段，作出及時(shí)響應(yīng)，并形成日志記錄；對(duì)涉密網(wǎng)絡(luò)中的設(shè)備運(yùn)行態(tài)進(jìn)行監(jiān)測(cè)，例如可以每周查看安全審計(jì)記錄；每月對(duì)監(jiān)控和審計(jì)系統(tǒng)的日志進(jìn)行分析整理。通過日?；谋Ｃ鼙O(jiān)督和檢查，能夠及時(shí)發(fā)現(xiàn)存在的安全隱患與管理缺陷，及時(shí)消除安全隱患與改進(jìn)管理，提升涉密網(wǎng)絡(luò)安全防護(hù)的技術(shù)水平和保密管理水平。

涉密網(wǎng)絡(luò)的安全保密防護(hù)和管理是一個(gè)涉及網(wǎng)絡(luò)信息安全技術(shù)和保密管理的龐大課題，而且隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，會(huì)出現(xiàn)越來越多新的安全保密防護(hù)問題，因此我們必須綜合運(yùn)用各種新技術(shù)新知識(shí)，不斷完善和調(diào)整防護(hù)策略，才能構(gòu)建一道網(wǎng)絡(luò)信息安全的銅墻鐵壁。

（作者單位：寧波國研軟件技術(shù)有限公司）