◆曲 進(jìn)

（軍工保密資格審查認(rèn)證中心 北京 100089）

淺析網(wǎng)絡(luò)安全保密管理技術(shù)

◆曲 進(jìn)

（軍工保密資格審查認(rèn)證中心 北京 100089）

技術(shù)創(chuàng)新是推進(jìn)網(wǎng)絡(luò)安全保密管理的基本手段。隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)信息安全及保密管理工作的形勢(shì)更加嚴(yán)峻。做好安全應(yīng)急防護(hù)，需要從操作系統(tǒng)安全、防衛(wèi)控制安全、身份授權(quán)與鑒別安全、數(shù)據(jù)庫(kù)安全、介質(zhì)安全、數(shù)據(jù)備份與恢復(fù)等關(guān)鍵技術(shù)上來(lái)實(shí)現(xiàn)，才能確保計(jì)算機(jī)網(wǎng)絡(luò)安全保密管理工作有序進(jìn)行。

網(wǎng)絡(luò)安全；信息技術(shù)；信息保密管理

0 引言

隨著企事業(yè)單位信息化建設(shè)進(jìn)度的加快，基于計(jì)算機(jī)系統(tǒng)的網(wǎng)絡(luò)信息管理系統(tǒng)在構(gòu)建無(wú)紙化、信息化平臺(tái)實(shí)踐中發(fā)揮了重要推動(dòng)作用。然而，信息技術(shù)在利用過(guò)程中也同樣面臨更多的安全挑戰(zhàn)，特別是網(wǎng)絡(luò)病毒、黑客入侵、數(shù)據(jù)竊取等安全隱患，成為當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)安全保密管理工作的重點(diǎn)任務(wù)和迫切難題。推進(jìn)信息化建設(shè)，做好安全防范，必然需要在信息技術(shù)的運(yùn)用中保障網(wǎng)絡(luò)安全，確保網(wǎng)絡(luò)系統(tǒng)安全、穩(wěn)定、高效。

1 網(wǎng)絡(luò)安全保密管理與信息技術(shù)的關(guān)系

信息技術(shù)是利用現(xiàn)代通信手段從信息的獲取、傳遞、存儲(chǔ)、處理、顯示、分配等各個(gè)方面來(lái)實(shí)現(xiàn)信息的互聯(lián)互通。而對(duì)于信息安全保密管理來(lái)說(shuō)，由于所涉及信息具有一定保密性，一旦外泄可能給企事業(yè)單位帶來(lái)重要損失或危害，甚至造成犯罪。因此，制定完善的網(wǎng)絡(luò)安全保密管理制定，必須依據(jù)國(guó)家保密法律、法規(guī)的要求，根據(jù)企事業(yè)單位信息安全保密管理實(shí)際，來(lái)完善具體的保密規(guī)則和安全防范對(duì)策。從信息安全保密管理工作本身來(lái)看，信息技術(shù)手段的創(chuàng)新與發(fā)展，所帶來(lái)的安全保密工作難度更高，而信息技術(shù)的運(yùn)用則是保障網(wǎng)絡(luò)安全，、保障信息安全的最基本手段。

為此，依托信息技術(shù)，構(gòu)建科學(xué)、全面、完善的網(wǎng)絡(luò)系統(tǒng)風(fēng)險(xiǎn)評(píng)估和保障體系，需要從四個(gè)方面來(lái)重點(diǎn)推進(jìn)：一是做好邊界安全風(fēng)險(xiǎn)評(píng)估，特別是對(duì)網(wǎng)頁(yè)插件、垃圾郵件、網(wǎng)絡(luò)黑客的攻擊進(jìn)行處置；二是做好內(nèi)網(wǎng)安全管理，主要通過(guò)系統(tǒng)服務(wù)器、系統(tǒng)漏洞、系統(tǒng)安全策略的配置來(lái)實(shí)現(xiàn)；三是應(yīng)用軟件安全風(fēng)險(xiǎn)防范，主要通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)、文件數(shù)據(jù)庫(kù)、Web數(shù)據(jù)庫(kù)等進(jìn)行防護(hù)；四是網(wǎng)絡(luò)安全管理制度建設(shè)，主要從網(wǎng)絡(luò)信息訪問(wèn)機(jī)制、人員安全管理、網(wǎng)絡(luò)信息安全制度建設(shè)等方面來(lái)實(shí)現(xiàn)。網(wǎng)絡(luò)安全保密管理系統(tǒng)結(jié)構(gòu)如圖1所示。

圖1 網(wǎng)絡(luò)安全保密管理系統(tǒng)結(jié)構(gòu)

2 網(wǎng)絡(luò)信息安全保密管理關(guān)鍵技術(shù)

從現(xiàn)有網(wǎng)絡(luò)系統(tǒng)安全保密管理現(xiàn)狀來(lái)看，對(duì)于網(wǎng)絡(luò)系統(tǒng)可以分為兩類，一類是公共信息網(wǎng)絡(luò)，也稱為公眾網(wǎng)絡(luò)，不涉及國(guó)家秘密的網(wǎng)絡(luò)系統(tǒng)；另一類是涉密網(wǎng)絡(luò)。在加強(qiáng)網(wǎng)絡(luò)信息安全保密管理工作中，信息技術(shù)是關(guān)鍵支撐，也是最有效的提升網(wǎng)絡(luò)安全性的手段。參照國(guó)家相關(guān)保密制度和標(biāo)準(zhǔn)，對(duì)于網(wǎng)絡(luò)信息安全保密管理，主要從物理網(wǎng)絡(luò)安全、網(wǎng)絡(luò)運(yùn)行安全及網(wǎng)絡(luò)信息安全保密三個(gè)層面來(lái)融合信息技術(shù)。如設(shè)備安全管理、網(wǎng)絡(luò)介質(zhì)安全、惡意攻擊行為監(jiān)測(cè)、訪問(wèn)控制安全、密碼防護(hù)安全、信息完整性校驗(yàn)、操作系統(tǒng)安全、數(shù)據(jù)庫(kù)安全等。網(wǎng)絡(luò)安全系統(tǒng)保密管理設(shè)計(jì)如圖2所示?，F(xiàn)就幾項(xiàng)關(guān)鍵技術(shù)進(jìn)行闡述。

圖2 網(wǎng)絡(luò)安全系統(tǒng)保密管理設(shè)計(jì)

2.1 介質(zhì)安全管理

網(wǎng)絡(luò)系統(tǒng)中各類存儲(chǔ)介質(zhì)，因其種類多、容量大、使用便捷而受到廣泛應(yīng)用。如各類硬盤、U盤、存儲(chǔ)卡等。這些常見(jiàn)的存儲(chǔ)介質(zhì)，很容易感染病毒，而危及到整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全。如基于U盤的病毒，其傳播速率及危害是巨大的。因此，在技術(shù)防范上，通過(guò)對(duì)不同介質(zhì)的安全檢測(cè)，利用殺毒軟件來(lái)進(jìn)行介質(zhì)安全區(qū)劃分、一次性寫入檢測(cè)、惡意代碼查殺等減少安全風(fēng)險(xiǎn)。在保障涉密信息安全上，可以對(duì)各類存儲(chǔ)介質(zhì)進(jìn)行病毒或惡意代碼查殺檢測(cè)，做好介質(zhì)綁定，嚴(yán)格防范涉密信息流向非涉密安全域。

2.2 病毒掃描、惡意代碼防護(hù)

病毒掃描和防護(hù)是對(duì)計(jì)算機(jī)系統(tǒng)內(nèi)可能存在的破壞網(wǎng)絡(luò)信息安全性的各類風(fēng)險(xiǎn)的檢測(cè)技術(shù)，如一些病毒是通過(guò)一組程序代碼或指令來(lái)破壞和損毀網(wǎng)絡(luò)數(shù)據(jù)。因此在進(jìn)行網(wǎng)絡(luò)病毒掃描時(shí)，要對(duì)各類惡意代碼進(jìn)行檢測(cè)，如通過(guò)全盤掃描技術(shù)，將所有程序代碼進(jìn)行逐次掃描和對(duì)比分析，特別是對(duì)與安全策略相關(guān)聯(lián)的一些軟件及代碼，更需要進(jìn)行全面檢測(cè)。防病毒軟件及病毒庫(kù)更新是加強(qiáng)網(wǎng)絡(luò)系統(tǒng)安全防御策略的重要技術(shù)手段，通過(guò)病毒庫(kù)對(duì)照，對(duì)可能存在的木馬病毒進(jìn)行及時(shí)地清除，避免泄密事件的發(fā)生。如定期升級(jí)病毒庫(kù)，定期進(jìn)行病毒掃描和分析，定期進(jìn)行漏洞掃描，定期對(duì)操作系統(tǒng)進(jìn)行升級(jí)補(bǔ)丁等。

2.3 身份授權(quán)與鑒別技術(shù)

從網(wǎng)絡(luò)信息管理中，對(duì)網(wǎng)絡(luò)中的不同用戶需要進(jìn)行身份認(rèn)證和鑒別，對(duì)于不合法用戶要給予訪問(wèn)拒絕處理。通常情況下采用口令認(rèn)證方式，用戶在訪問(wèn)前，需要進(jìn)行用戶請(qǐng)求登錄和身份鑒別，通過(guò)身份鑒別的用戶才能訪問(wèn)網(wǎng)絡(luò)服務(wù)，并根據(jù)用戶身份及對(duì)資源的存取等級(jí)，利用相應(yīng)的授權(quán)策略來(lái)完成訪問(wèn)控制。在鑒別技術(shù)上，還有智能卡鑒別、一次性口令鑒別、指紋鑒別及其他生物特征鑒別方式。

2.4 訪問(wèn)控制技術(shù)

訪問(wèn)控制是對(duì)越權(quán)行為的防御對(duì)策，也是提升網(wǎng)絡(luò)安全保密管理的重要策略。針對(duì)來(lái)自網(wǎng)絡(luò)的各類訪問(wèn)請(qǐng)求，從身份驗(yàn)證方面來(lái)進(jìn)行處理；而對(duì)于非法用戶訪問(wèn)和請(qǐng)求，則需要從網(wǎng)絡(luò)訪問(wèn)控制技術(shù)上來(lái)進(jìn)行防范和處置。如網(wǎng)絡(luò)入侵訪問(wèn)控制、目標(biāo)級(jí)控制、服務(wù)器權(quán)限控制、網(wǎng)絡(luò)應(yīng)用系統(tǒng)訪問(wèn)權(quán)限控制技術(shù)等。如在防止非法用戶獲取網(wǎng)絡(luò)資源控制技術(shù)上，通過(guò)劃分交換機(jī)虛擬空間，建立訪問(wèn)控制列表ACLs，綁定MAC地址、IP地址和訪問(wèn)端口，借助于網(wǎng)絡(luò)防火墻，利用路由器模式、混合模式來(lái)制定網(wǎng)絡(luò)安全訪問(wèn)策略，實(shí)現(xiàn)對(duì)特定服務(wù)器、特定端口的訪問(wèn)控制管理。另外，針對(duì)網(wǎng)絡(luò)TCP協(xié)議、TELNET協(xié)議等，從配置網(wǎng)絡(luò)控制協(xié)議，配置域控服務(wù)器用戶權(quán)限上，對(duì)不同用戶及用戶組設(shè)置相應(yīng)的安全策略，以確保各類服務(wù)的合法使用；還可以通過(guò)RMS網(wǎng)絡(luò)安全管理軟件，來(lái)對(duì)各類文檔資源進(jìn)行權(quán)限分級(jí)管理和控制。

2.5 網(wǎng)絡(luò)安全審計(jì)技術(shù)

網(wǎng)絡(luò)審計(jì)是對(duì)網(wǎng)絡(luò)環(huán)境下各類網(wǎng)絡(luò)訪問(wèn)及網(wǎng)絡(luò)行為進(jìn)行審計(jì)驗(yàn)證，并得出相應(yīng)評(píng)價(jià)的過(guò)程。根據(jù)審計(jì)系統(tǒng)的目標(biāo)，可以分為主機(jī)審計(jì)、網(wǎng)絡(luò)審計(jì)兩類。對(duì)于主機(jī)審計(jì)，主要是通過(guò)收集主機(jī)系統(tǒng)各類日志文件來(lái)實(shí)現(xiàn)審計(jì)，網(wǎng)絡(luò)審計(jì)是通過(guò)網(wǎng)絡(luò)收集相關(guān)會(huì)話信息，并從網(wǎng)絡(luò)行為分析中提取審計(jì)結(jié)果。網(wǎng)絡(luò)安全審計(jì)主要包括四項(xiàng)內(nèi)容，一是審計(jì)目標(biāo)，二是安全漏洞，三是審計(jì)控制措施，四是審計(jì)控制。對(duì)于目標(biāo)的跟蹤，安全人員可以通過(guò)報(bào)告方式來(lái)對(duì)可能存在的安全隱患進(jìn)行果斷處置；對(duì)于漏洞掃描主要是通過(guò)審計(jì)監(jiān)控系統(tǒng)，利用軟件來(lái)完成入侵檢測(cè)，并對(duì)違規(guī)行為進(jìn)行處置。如禁用串口、禁用藍(lán)牙、禁用紅外；利用安全審計(jì)來(lái)禁止安裝或卸載軟件、硬件；利用安全審計(jì)來(lái)記錄各類網(wǎng)絡(luò)訪問(wèn)信息，綁定MAC地址、IP地址；對(duì)各類存儲(chǔ)介質(zhì)的密級(jí)進(jìn)行管理等。

2.6 數(shù)據(jù)庫(kù)技術(shù)

數(shù)據(jù)庫(kù)是依照特定數(shù)據(jù)結(jié)構(gòu)來(lái)存儲(chǔ)和管理數(shù)據(jù)的倉(cāng)庫(kù)。數(shù)據(jù)庫(kù)技術(shù)的發(fā)展，在提升數(shù)據(jù)管理效率的同時(shí)，也伴隨更多的數(shù)據(jù)安全問(wèn)題。一是數(shù)據(jù)本身的安全，由于數(shù)據(jù)庫(kù)中存放大量數(shù)據(jù)，一旦存在安全隱患，可能導(dǎo)致數(shù)據(jù)庫(kù)崩潰，帶來(lái)數(shù)據(jù)丟失或破壞；二是數(shù)據(jù)庫(kù)系統(tǒng)安全，對(duì)于各類網(wǎng)絡(luò)入侵、黑客攻擊等行為，主要從杜絕非法訪問(wèn)數(shù)據(jù)庫(kù)入手，防范數(shù)據(jù)庫(kù)被竊取、被篡改、被破壞。通過(guò)配置數(shù)據(jù)庫(kù)安全策略，升級(jí)數(shù)據(jù)庫(kù)漏洞補(bǔ)丁程序，對(duì)數(shù)據(jù)庫(kù)進(jìn)行加密處理，構(gòu)建完善的數(shù)據(jù)庫(kù)備份系統(tǒng)，設(shè)置數(shù)據(jù)庫(kù)訪問(wèn)權(quán)限及口令管理來(lái)提升數(shù)據(jù)庫(kù)安全。

3 結(jié)語(yǔ)

網(wǎng)絡(luò)信息安全保密管理工作至關(guān)重要，而信息技術(shù)作為重要的防范措施，需要從多種技術(shù)的綜合運(yùn)用中，嚴(yán)把“進(jìn)出口”關(guān)。如做好網(wǎng)絡(luò)設(shè)備與周邊物理環(huán)境的安全管理，做好網(wǎng)絡(luò)設(shè)備及介質(zhì)存儲(chǔ)安全，做好網(wǎng)絡(luò)系統(tǒng)軟件及安全防范技術(shù)融合，提升安全人員安全防范意識(shí)等。只有充分發(fā)揮信息技術(shù)的優(yōu)勢(shì)，提升人員安全管理防范意識(shí)，才能推進(jìn)網(wǎng)絡(luò)信息安全保密工作良好發(fā)展。

[1]鐘志剛.系統(tǒng)安全防護(hù)策略分析[J].信息與電腦（理論版），2013.

[2]閆智，詹靜.大數(shù)據(jù)應(yīng)用模式及安全風(fēng)險(xiǎn)分析[J].計(jì)算機(jī)與現(xiàn)代化，2014.

[3]梁蕊，孫旭紅，楊鵬飛.基于移動(dòng)應(yīng)用的企業(yè)安全檢查管理系統(tǒng)[J].天津理工大學(xué)學(xué)報(bào)，2015.