雷越辰

【摘 要】在國(guó)際形勢(shì)日益復(fù)雜的今天，涉及國(guó)家秘密的信息安全一直是國(guó)防軍工領(lǐng)域關(guān)注的重點(diǎn)問(wèn)題。本文針對(duì)單機(jī)運(yùn)行環(huán)境下的信息安全，提出了一種涉密單機(jī)安全保密技術(shù)防護(hù)方法，有效降低了涉密單機(jī)的失泄密風(fēng)險(xiǎn)。

【關(guān)鍵詞】涉密單機(jī)； 信息安全； 技術(shù)防護(hù)

【Abstract】Today， the international situation is becoming increasingly complex. Information security which involves state secrets has always been a important aspect in the field of national defense. This paper presents a technical safeguard method of single secret-related computer， which effectively reduced the risk of secret leakage.

【Key words】Single secret-related computer； Information security； Technical safeguard

0 前言

時(shí)至今日，信息化建設(shè)成為了軍工行業(yè)發(fā)展不可或缺的重要組成部分，計(jì)算機(jī)的應(yīng)用滲透到了軍工單位科研生產(chǎn)的各個(gè)領(lǐng)域。承擔(dān)國(guó)家軍工項(xiàng)目的科研院所，都將大量的涉密資料存儲(chǔ)在計(jì)算機(jī)中，隨之而來(lái)的計(jì)算機(jī)信息安全問(wèn)題也越來(lái)越突出。目前還有很多單位受制于客觀條件還沒(méi)有建設(shè)涉密信息系統(tǒng)，計(jì)算機(jī)的使用也還停留在單機(jī)運(yùn)行。由于軟件及硬件存在的漏洞易被不法分子利用，造成數(shù)據(jù)的丟失或者是系統(tǒng)的破壞，因此對(duì)涉密單機(jī)進(jìn)行安全保密技術(shù)防護(hù)勢(shì)在必行。本文提出了一種涉密單機(jī)安全保密技術(shù)防護(hù)方法，對(duì)涉密單機(jī)的信息安全保密具有實(shí)際參考意義。

1 涉密單機(jī)信息安全風(fēng)險(xiǎn)

計(jì)算機(jī)信息在編輯、儲(chǔ)存、接收、發(fā)送的各個(gè)環(huán)節(jié)都面臨著非授權(quán)訪(fǎng)問(wèn)或惡意篡改破壞等諸多風(fēng)險(xiǎn)，下面對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行簡(jiǎn)單介紹。

1.1 非授權(quán)訪(fǎng)問(wèn)風(fēng)險(xiǎn)

非授權(quán)訪(fǎng)問(wèn)主要指利用軟硬件漏洞，通過(guò)賬戶(hù)密碼破譯等手段，在未被授權(quán)的情況下對(duì)計(jì)算機(jī)內(nèi)的信息進(jìn)行訪(fǎng)問(wèn)和竊取。非授權(quán)訪(fǎng)問(wèn)的風(fēng)險(xiǎn)級(jí)別高，一旦發(fā)生后果嚴(yán)重。

1.2 系統(tǒng)漏洞及惡意代碼風(fēng)險(xiǎn)

隨著操作系統(tǒng)和應(yīng)用軟件功能的多樣化、復(fù)雜化發(fā)展，系統(tǒng)安全漏洞日益增多，很容易被病毒木馬等惡意程序利用來(lái)操縱或攻擊主機(jī)，并通過(guò)信息交換感染其他計(jì)算機(jī)。被感染的計(jì)算機(jī)通常會(huì)出現(xiàn)無(wú)法啟動(dòng)、資源占用、數(shù)據(jù)丟失、運(yùn)行遲緩等現(xiàn)象，嚴(yán)重影響日常工作，對(duì)信息安全造成重大威脅。

1.3 用戶(hù)違規(guī)行為風(fēng)險(xiǎn)

涉密單機(jī)用戶(hù)與網(wǎng)絡(luò)終端用戶(hù)相比，他們的操作行為很難被計(jì)算機(jī)管理員監(jiān)督和管控。正是由于這種隱蔽性，為實(shí)現(xiàn)個(gè)人便利，涉密單機(jī)用戶(hù)可能會(huì)在計(jì)算機(jī)上進(jìn)行違規(guī)操作，如連接互聯(lián)網(wǎng)、使用非授權(quán)移動(dòng)存儲(chǔ)介質(zhì)、連接違規(guī)外設(shè)等，如果沒(méi)有在單機(jī)上采取硬件控制措施，這些違規(guī)操作則會(huì)存在相當(dāng)大的泄密風(fēng)險(xiǎn)。

1.4 電磁泄漏風(fēng)險(xiǎn)

電磁泄漏是指信息系統(tǒng)的設(shè)備在工作時(shí)能經(jīng)過(guò)地線(xiàn)、電源線(xiàn)、信號(hào)線(xiàn)、寄生電磁信號(hào)或諧波等輻射出去，產(chǎn)生電磁泄漏。這些電磁信號(hào)如果被接收下來(lái)，經(jīng)過(guò)提取處理，就可恢復(fù)出原信息。利用計(jì)算機(jī)設(shè)備的電磁泄漏竊取機(jī)密信息是國(guó)內(nèi)外情報(bào)機(jī)關(guān)截獲信息的重要途徑，因?yàn)橛酶哽`敏度的儀器截獲計(jì)算機(jī)及外部設(shè)備中泄漏的信息，比用其他方法獲得情報(bào)要準(zhǔn)確、可靠、及時(shí)、連續(xù)得多，而且隱蔽性好，不易被對(duì)方察覺(jué)。

2 涉密單機(jī)安全保密技術(shù)防護(hù)方法

2.1 操作系統(tǒng)安全配置

首先，在BIOS中設(shè)置管理員密碼和啟動(dòng)密碼，禁用多余啟動(dòng)項(xiàng)；其次，在賬戶(hù)設(shè)置中刪除多余賬戶(hù)，停用Guest賬戶(hù)，對(duì)用戶(hù)賬戶(hù)設(shè)置滿(mǎn)足需要的最小化權(quán)限；第三，關(guān)閉多余端口和服務(wù)，尤其是與共享和網(wǎng)絡(luò)相關(guān)的服務(wù)；第四，配置日志文件保護(hù)策略，方便管理員進(jìn)行系統(tǒng)日志查詢(xún)；第五，配置本地安全策略，包括審核策略、密碼策略、賬戶(hù)鎖定策略和安全選項(xiàng)。

2.2 系統(tǒng)更新及病毒防護(hù)

為了防范惡意程序的攻擊，涉密單機(jī)要定期更新系統(tǒng)安全補(bǔ)丁和防病毒軟件病毒庫(kù)。防病毒軟件需配置相應(yīng)策略，如實(shí)時(shí)監(jiān)控、定期掃描、防護(hù)白名單、U盤(pán)防護(hù)等。

2.3 基于身份認(rèn)證的安全登錄

將身份認(rèn)證介質(zhì)與計(jì)算機(jī)用戶(hù)賬戶(hù)綁定，通過(guò)加PIN碼的方式實(shí)現(xiàn)終端安全登錄，同時(shí)設(shè)置PIN碼復(fù)雜度策略和賬戶(hù)鎖定策略。妥善保管USB Key并定期修改PIN碼，可以有效地防止涉密單機(jī)被非授權(quán)訪(fǎng)問(wèn)。

2.4 主機(jī)監(jiān)控與審計(jì)

針對(duì)涉密單機(jī)用戶(hù)操作不易監(jiān)控的特點(diǎn)，在涉密單機(jī)上安裝主機(jī)監(jiān)控與審計(jì)系統(tǒng)，通過(guò)配置用戶(hù)賬戶(hù)策略、打印輸出策略、軟件安裝策略等審計(jì)監(jiān)控策略，可以對(duì)用戶(hù)的登錄、打印、程序安裝卸載、存儲(chǔ)介質(zhì)使用等操作進(jìn)行監(jiān)控和審計(jì)，定期形成審計(jì)記錄以備查閱。而且通過(guò)本地安全策略設(shè)置，可以有效防止本地策略被篡改，提高了系統(tǒng)的安全性。

2.6 保密技術(shù)防護(hù)專(zhuān)用系統(tǒng)

保密技術(shù)防護(hù)專(zhuān)用系統(tǒng)又叫三合一系統(tǒng)，包括管理端軟件、用戶(hù)端軟件、單向?qū)胙b置、專(zhuān)用移動(dòng)存儲(chǔ)介質(zhì)。三合一系統(tǒng)可以同時(shí)實(shí)現(xiàn)硬件控制、違規(guī)外聯(lián)監(jiān)控、存儲(chǔ)介質(zhì)管理和單向?qū)?。硬件與外設(shè)控制可以對(duì)光驅(qū)、打印機(jī)、掃描儀等外部設(shè)備進(jìn)行啟用和禁用的控制；違規(guī)外聯(lián)監(jiān)控實(shí)現(xiàn)對(duì)用戶(hù)違規(guī)聯(lián)接互聯(lián)網(wǎng)的實(shí)時(shí)監(jiān)控和網(wǎng)絡(luò)阻斷；存儲(chǔ)介質(zhì)管理是通過(guò)管理端軟件對(duì)T型口U盤(pán)進(jìn)行注冊(cè)綁定，綁定的U盤(pán)只可在有相應(yīng)注冊(cè)信息的計(jì)算機(jī)上使用；單向?qū)胧墙柚庑盘?hào)單向傳輸?shù)奶匦?，通過(guò)單向?qū)胙b置方便地實(shí)現(xiàn)普通U盤(pán)信息的輸入。

2.7 電磁泄漏發(fā)射防護(hù)

涉密單機(jī)環(huán)境下的電磁泄漏主要來(lái)源于計(jì)算機(jī)顯示器、各部件連接線(xiàn)以及電源線(xiàn)路，此情形下的電磁泄漏發(fā)射防護(hù)要做到三個(gè)方面。一是涉密信息設(shè)備與非涉密信息設(shè)備的擺放要求保持安全距離；二是采用紅黑電源濾波隔離插座，將涉密設(shè)備電源與非涉密設(shè)備電源進(jìn)行隔離防護(hù)；三是為涉密單機(jī)配備視頻干擾器，通過(guò)對(duì)電磁泄漏的信號(hào)進(jìn)行干擾和疊加，降低信息被復(fù)原的可能。

3 涉密單機(jī)信息的輸入輸出

涉密單機(jī)禁用光驅(qū)并且只能使用已綁定的涉密U盤(pán)，所以其信息的輸入輸出需要借助中間機(jī)以光盤(pán)為信息載體來(lái)實(shí)現(xiàn)。中間機(jī)要求安裝防病毒軟件和三合一用戶(hù)端，啟用刻錄光驅(qū)，以實(shí)現(xiàn)病毒掃描和信息轉(zhuǎn)錄的功能。

3.1 涉密單機(jī)信息輸入流程

1）辦理涉密單機(jī)信息輸入審批手續(xù)；

2）在中間機(jī)上對(duì)輸入信息進(jìn)行病毒掃描，其中光盤(pán)信息通過(guò)光驅(qū)輸入中間機(jī)，普通U盤(pán)信息使用單向?qū)胙b置導(dǎo)入（下轉(zhuǎn)第194頁(yè)）（上接第116頁(yè)）中間機(jī)；

3）通過(guò)單向?qū)胙b置將待輸入信息復(fù)制到涉密U盤(pán)內(nèi)；

4）將涉密U盤(pán)內(nèi)信息導(dǎo)入涉密單機(jī)。

3.2 信息輸出流程

1）辦理涉密單機(jī)信息輸出審批手續(xù)；

2）將單機(jī)中待輸出信息復(fù)制到涉密U盤(pán)里；

3）使用單向?qū)胙b置將涉密U盤(pán)信息導(dǎo)入中間機(jī)，并通過(guò)刻錄一次性光盤(pán)輸出。

4 結(jié)束語(yǔ)

在國(guó)際形勢(shì)日益復(fù)雜的環(huán)境下，信息安全一直是國(guó)防軍工單位關(guān)注的重點(diǎn)問(wèn)題。本文提出的單機(jī)安全保密技術(shù)防護(hù)措施經(jīng)過(guò)實(shí)踐檢驗(yàn)，證明能有效地提高涉密單機(jī)信息的安全性。但信息安全的主體在人，現(xiàn)有的安全保密技術(shù)還不能完全消除涉密單機(jī)在使用中存在的風(fēng)險(xiǎn)只有，技術(shù)防護(hù)輔以制度管理才能有效提升單機(jī)信息安全保密水平，將失泄密隱患控制在可以接受的范圍內(nèi)。

【參考文獻(xiàn)】

[1]陳旸，陳輝.基于“技術(shù)+制度”的單機(jī)管理方法研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013.

[2]鮑捷.涉密信息系統(tǒng)涉密單機(jī)安全保密防護(hù)探討[J].電子世界，2013.

[3]胡剛. 計(jì)算機(jī)信息安全及其防范技術(shù)[J].信息通信，2013.

[責(zé)任編輯：曹明明]