摘 要：涉密網(wǎng)絡(luò)是存儲和處理國家秘密的內(nèi)部網(wǎng)絡(luò)。為提高涉密網(wǎng)絡(luò)的安全性，防止涉密信息泄露，本文從涉密網(wǎng)絡(luò)信息安全的要求入手，分析了當(dāng)前涉密網(wǎng)絡(luò)中面臨的安全威脅，并有針對性的對涉密網(wǎng)絡(luò)安全防護(hù)措施進(jìn)行分析研究。

關(guān)鍵詞：涉密網(wǎng)絡(luò)；信息安全

中圖分類號：TP393.08

隨著計算機(jī)網(wǎng)絡(luò)的日益普及，網(wǎng)絡(luò)的安全性越來越受到人們的關(guān)注。特別是政府、軍工等涉密內(nèi)部網(wǎng)絡(luò)中，往往存儲和處理著大量的涉密信息，一旦網(wǎng)絡(luò)安全防護(hù)措施不當(dāng)，容易造成涉密信息的泄漏，給國家利益帶來損害。為了防止泄密事件的發(fā)生，按照相關(guān)規(guī)定涉密網(wǎng)絡(luò)必須與互聯(lián)網(wǎng)進(jìn)行物理隔離。此舉雖然能夠很大限度地防止外部網(wǎng)絡(luò)的直接攻擊，但是卻無法有效解決從內(nèi)部泄露涉密信息的問題。因此，如何運(yùn)用一些網(wǎng)絡(luò)防護(hù)措施確保涉密網(wǎng)絡(luò)信息安全已成為一個重要的研究課題。

1 涉密網(wǎng)絡(luò)信息安全的要求

國家在對軍工單位的保密資格審查認(rèn)證中，要求軍工單位的涉密網(wǎng)絡(luò)必須由具備涉密信息系統(tǒng)建設(shè)資質(zhì)的單位進(jìn)行設(shè)計和建設(shè)，并遵循《涉及國家秘密的信息系統(tǒng)分級保護(hù)技術(shù)要求》（BMB17-2006）、《涉及國家秘密的信息系統(tǒng)分級保護(hù)方案設(shè)計指南》（BMB23-2008）。其中，明確提出涉密網(wǎng)絡(luò)必須具備以下技術(shù)措施：身份鑒別、訪問控制、邊界保護(hù)、病毒防范、入侵檢測、漏洞掃描、安全審計、信息加密等。

2 涉密網(wǎng)絡(luò)面臨的安全威脅

2.1 人為因素

有些工作人員安全意識不強(qiáng)，沒有遵循基本的安全防范規(guī)則，有時甚至對計算機(jī)的相關(guān)操作失誤是導(dǎo)致涉密網(wǎng)絡(luò)安全問題的主要原因。譬如用戶沒有定期對殺毒軟件病毒庫更新操作，使其自身計算機(jī)系統(tǒng)不具備對新型病毒的防護(hù)抵御能力；用戶口令設(shè)置簡單或?qū)⒆约旱馁~號信息隨意泄露，從而導(dǎo)致辦公資料很容易被他人竊?。还芾韱T對防火墻配置不當(dāng)為外來的程序攻擊創(chuàng)造了機(jī)會等等，這些人為因素都會給涉密網(wǎng)絡(luò)的安全帶來較大的威脅。

2.2 病毒攻擊

計算機(jī)病毒通常是一些具有破壞性的小程序，具有很強(qiáng)的隱藏性和潛伏性，常常依附在其他用戶程序上，當(dāng)這些用戶程序運(yùn)行時入侵系統(tǒng)并進(jìn)行擴(kuò)散。計算機(jī)病毒有著巨大的破壞性，尤其是網(wǎng)絡(luò)病毒，傳播速度和破壞性遠(yuǎn)超于單機(jī)病毒。計算機(jī)感染病毒后輕則系統(tǒng)工作效率低下，重則導(dǎo)致系統(tǒng)癱瘓，甚至造成整個涉密網(wǎng)絡(luò)的癱瘓，嚴(yán)重影響涉密網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性。

2.3 系統(tǒng)漏洞嚴(yán)重

在操作系統(tǒng)的編程過程中，程序員有時會出現(xiàn)一些失誤，從而導(dǎo)致操作系統(tǒng)產(chǎn)生漏洞，成為入侵者進(jìn)入主機(jī)的一個“后門”。入侵者可利用這些漏洞對計算機(jī)進(jìn)行攻擊，從而破壞和威脅計算機(jī)的安全甚至是整個涉密網(wǎng)絡(luò)的安全。此外，由于涉密網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)物理隔離，導(dǎo)致內(nèi)部網(wǎng)絡(luò)不便于進(jìn)行系統(tǒng)補(bǔ)丁的升級，這些漏洞長期得不到修復(fù)，存在被黑客攻擊的安全隱患。

2.4 違規(guī)外聯(lián)

違規(guī)外聯(lián)是指將涉密計算機(jī)非法接入外部網(wǎng)絡(luò)。通常情況下，涉密網(wǎng)絡(luò)與互聯(lián)網(wǎng)是物理隔離的，但是有些用戶為了方便，私自斷開涉密網(wǎng)絡(luò)后通過無線方式接入互聯(lián)網(wǎng)，破壞了涉密網(wǎng)絡(luò)的物理隔離。個別用戶還將手機(jī)接入涉密計算機(jī)充電，無意間處于違規(guī)外聯(lián)，非法用戶可以利用該鏈路入侵滲透到涉密網(wǎng)絡(luò)，給涉密網(wǎng)絡(luò)帶來非常嚴(yán)重的危害和后果。

3 涉密網(wǎng)絡(luò)安全防護(hù)措施

3.1 補(bǔ)丁升級系統(tǒng)

為了解決涉密網(wǎng)絡(luò)中計算機(jī)的操作系統(tǒng)等軟件補(bǔ)丁升級的問題，可以在涉密內(nèi)網(wǎng)中部署一套系統(tǒng)補(bǔ)丁升級系統(tǒng)，由系統(tǒng)管理員定期從互聯(lián)網(wǎng)上下載系統(tǒng)補(bǔ)丁，并通過內(nèi)外網(wǎng)“擺渡”方式導(dǎo)入至內(nèi)網(wǎng)服務(wù)器。當(dāng)有計算機(jī)入網(wǎng)認(rèn)證時，通過對計算機(jī)補(bǔ)丁檢測，自動對入網(wǎng)計算機(jī)進(jìn)行補(bǔ)丁升級，無需用戶進(jìn)行任何操作，確保所有接入內(nèi)網(wǎng)的計算機(jī)系統(tǒng)漏洞都能及時得到修復(fù)，降低了計算機(jī)被入侵攻擊的風(fēng)險。

3.2 防火墻系統(tǒng)

防火墻系統(tǒng)是計算機(jī)與內(nèi)部網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間安全的屏障，配置防火墻是實(shí)現(xiàn)涉密網(wǎng)絡(luò)安全最基本、最有效的安全措施之一。防火墻可以有效地防止涉密信息系統(tǒng)內(nèi)部信息外泄，利用防火墻對涉密網(wǎng)絡(luò)進(jìn)行安全域劃分，可實(shí)現(xiàn)重點(diǎn)服務(wù)器網(wǎng)段和非密服務(wù)區(qū)網(wǎng)段隔離，從而降低重要數(shù)據(jù)或敏感信息安全問題對整個涉密網(wǎng)絡(luò)造成的影響。此外，防火墻系統(tǒng)還能實(shí)時地記錄所有用戶訪問信息的日志情況，并對涉密網(wǎng)絡(luò)的流量情況進(jìn)行統(tǒng)計。一旦發(fā)生網(wǎng)絡(luò)異?，F(xiàn)象，防火墻系統(tǒng)還能及時報警，確保涉密網(wǎng)絡(luò)的安全穩(wěn)定。

3.3 入侵檢測系統(tǒng)

入侵檢測系統(tǒng)是一種主動的網(wǎng)絡(luò)安全防護(hù)措施，它從系統(tǒng)內(nèi)部各種網(wǎng)絡(luò)資源中主動采集信息，從中分析可能的網(wǎng)絡(luò)攻擊。在涉密網(wǎng)絡(luò)中，可以在需要保護(hù)的服務(wù)器網(wǎng)段上部署入侵檢測系統(tǒng)，實(shí)時監(jiān)視各種對服務(wù)器的訪問請求并及時將信息反饋給控制臺。此外，入侵檢測系統(tǒng)還能同防火墻進(jìn)行聯(lián)動，當(dāng)入侵檢測系統(tǒng)檢測到非法報文時，能自動提交給防火墻，由防火墻對后續(xù)非法報文進(jìn)行阻斷。因此，入侵檢測系統(tǒng)被認(rèn)為是防火墻之后的第二道安全閘門，對用戶的非法行為能有效監(jiān)控和震懾。

3.4 主機(jī)監(jiān)控與審計系統(tǒng)

主機(jī)監(jiān)控與審計系統(tǒng)能通過安全策略對受控計算機(jī)的移動存儲設(shè)備、外部連接設(shè)備、網(wǎng)絡(luò)連接等輸入輸出端口進(jìn)行監(jiān)控，防止非法文件拷貝、打印、掃描、非法外聯(lián)等安全事件的發(fā)生。同時，系統(tǒng)能記錄用戶的實(shí)際操作，通過審計和分析日志，能夠在事后有效發(fā)現(xiàn)用戶的違規(guī)操作或非法入侵行為，這將會對涉密網(wǎng)絡(luò)的違規(guī)操作和入侵行為起到強(qiáng)有力的威懾作用。

3.5 網(wǎng)絡(luò)版防病毒系統(tǒng)

在網(wǎng)絡(luò)環(huán)境下，病毒傳播速度快，僅用單機(jī)防病毒軟件已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒，必須涉密網(wǎng)絡(luò)中部署網(wǎng)絡(luò)版防病毒系統(tǒng)。通過全方位、多層次的防病毒系統(tǒng)配置，使聯(lián)網(wǎng)終端能自動升級病毒庫并進(jìn)行全盤查殺，使涉密網(wǎng)絡(luò)免受病毒的侵襲。

3.6 加強(qiáng)安全防護(hù)意識

要從根本上解決網(wǎng)絡(luò)安全問題，不僅需要相應(yīng)的管理制度和技術(shù)手段，還需要不斷提高網(wǎng)絡(luò)安全防范意識。不僅管理部門需要在思想上高度重視，形成規(guī)范的防范機(jī)制，每一個計算機(jī)用戶也要加強(qiáng)網(wǎng)絡(luò)安全意識，如賬戶密碼設(shè)置要復(fù)雜；不要輕易把涉密文件共享給他人；及時更新系統(tǒng)補(bǔ)丁和病毒庫等等。

4 結(jié)束語

總之，涉密網(wǎng)絡(luò)信息安全問題是一項(xiàng)長期、艱巨、重要的綜合性研究課題。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，必然會出現(xiàn)各種新的威脅。因此，我們必須綜合運(yùn)用各種防護(hù)措施，不斷完善和調(diào)整防護(hù)策略，努力營造安全的涉密網(wǎng)絡(luò)環(huán)境，逐步建立更好的涉密網(wǎng)絡(luò)信息安全防護(hù)體系。

參考文獻(xiàn)：

[1]孫志，齊學(xué)功.涉密內(nèi)網(wǎng)安全防護(hù)體系的研究與實(shí)踐[J].信息安全與通信保密，2011（06）：36-38.

[2]孫麗玲，唐杰.信息網(wǎng)絡(luò)安全及防護(hù)策略淺談[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（01）：152-153.

[3]史嘉林.計算機(jī)網(wǎng)絡(luò)信息安全分析與管理[J].電腦開發(fā)與應(yīng)用，2012（03）：36-38.

[4]趙瑞霞.淺談涉密計算機(jī)網(wǎng)絡(luò)的安全防護(hù)措施[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2010（05）：34-35.

[5]趙戰(zhàn)生，杜虹，呂述望.信息安全保密教程[M].合肥：中國科學(xué)技術(shù)大學(xué)出版社，2006.

作者簡介：倪?。?983-），男，上海南匯人，工程師，碩士，研究方向：網(wǎng)絡(luò)與信息安全。

作者單位：上海航天技術(shù)研究院第八〇二研究所信息中心，上海 200090