◎張學(xué)深

一、前言

由于計算機(jī)網(wǎng)絡(luò)的開放性、互連性等特征，致使網(wǎng)絡(luò)易受黑客、惡意軟件等的攻擊，尤其是軍工企業(yè)的涉密網(wǎng)絡(luò)，網(wǎng)絡(luò)的安全和保密工作就顯得尤為重要。因此，如何確保網(wǎng)絡(luò)安全，提高網(wǎng)絡(luò)防護(hù)能力，嚴(yán)防失泄密事件的發(fā)生，已成為涉密網(wǎng)絡(luò)建設(shè)與應(yīng)用中必須加以密切關(guān)注和高度重視的問題。為此我們必須做到思想認(rèn)識到位、管理措施到位、技術(shù)保障到位，切實做好涉密網(wǎng)絡(luò)安全工作。

二、涉密網(wǎng)絡(luò)運(yùn)行中存在的安全問題

涉密信息網(wǎng)絡(luò)是與國際互聯(lián)網(wǎng)等其他網(wǎng)絡(luò)實行物理隔離的獨立網(wǎng)絡(luò)。但是存在電磁輻射、移動存儲介質(zhì)交叉使用、系統(tǒng)漏洞等隱患，再加上涉密信息網(wǎng)絡(luò)建設(shè)、運(yùn)行、使用的時間不長，管理人才缺乏、經(jīng)驗不足，必然存在一些安全隱患問題。如網(wǎng)絡(luò)安全知識缺乏，網(wǎng)絡(luò)安全意識不強(qiáng)引發(fā)安全隱患；人為對網(wǎng)絡(luò)惡意攻擊造成的安全隱患；計算機(jī)軟件自身存在的漏洞和"后門"以及設(shè)備本身存在安全隱患。

三、信息安全保密管理措施

"三分技術(shù)七分管理"是網(wǎng)絡(luò)安全領(lǐng)域的一句至理名言，其意為：網(wǎng)絡(luò)安全中的30%依靠計算機(jī)系統(tǒng)信息安全設(shè)備和技術(shù)保障，而70%則依靠用戶安全管理意識的提高以及管理模式的更新。

1.注重管理，落實領(lǐng)導(dǎo)責(zé)任制。

各單位黨政領(lǐng)導(dǎo)要從講政治的高度，切實加強(qiáng)涉密網(wǎng)絡(luò)安全工作的領(lǐng)導(dǎo)。各個業(yè)務(wù)部門的領(lǐng)導(dǎo)要親自抓好網(wǎng)絡(luò)應(yīng)用中的保密工作，為了明確責(zé)任，應(yīng)該把履行保密工作責(zé)任制納入到領(lǐng)導(dǎo)干部年度考核中來，嚴(yán)格落實責(zé)任追究制。

2.積極引進(jìn)技術(shù)人才，加強(qiáng)教育培訓(xùn)。

保密管理部門技術(shù)人才特別是計算機(jī)專業(yè)技術(shù)人才是相對缺乏的。針對這一實際情況，要積極引進(jìn)計算機(jī)專業(yè)技術(shù)人才。強(qiáng)化網(wǎng)絡(luò)安全教育，增強(qiáng)全體員工的安全防范意識

3.加強(qiáng)制度建設(shè)，筑牢網(wǎng)絡(luò)安全工作的制度防線。

在涉密網(wǎng)絡(luò)中，加強(qiáng)網(wǎng)絡(luò)的安全管理，制定有關(guān)規(guī)章制度，對于確保網(wǎng)絡(luò)的安全、可靠地運(yùn)行，將起到十分有效的作用。對計算機(jī)應(yīng)用的各個環(huán)節(jié)，要制訂出符合實際，操作性強(qiáng)的規(guī)章制度，制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施、預(yù)案等。同時要建立健全上互聯(lián)網(wǎng)信息保密領(lǐng)導(dǎo)責(zé)任制，使計算機(jī)安全保密工作有章可循，網(wǎng)絡(luò)保密在各個環(huán)節(jié)都嚴(yán)格加以控制。

4.制定標(biāo)準(zhǔn)，確保監(jiān)督檢查到位。

各單位保密管理部門與信息化管理部門應(yīng)組成檢查組，按照標(biāo)準(zhǔn)，結(jié)合日常管理中的薄弱環(huán)節(jié)。定期對本單位進(jìn)行深入的專項檢查。為了提高保密監(jiān)督檢查的時效性，定期變更檢查題綱及范圍，對于業(yè)務(wù)工作中存在信息安全風(fēng)險提前發(fā)出提示預(yù)警，變事后懲罰為事前預(yù)防。

四、信息安全保密技術(shù)防護(hù)要點

1.實行涉密信息系統(tǒng)與其它公共信息網(wǎng)絡(luò)的物理隔離。

嚴(yán)禁涉密信息網(wǎng)絡(luò)直接或間接地與國際互連網(wǎng)或其它公共信息網(wǎng)絡(luò)相聯(lián)接。涉密信息系統(tǒng)與其它公共信息網(wǎng)絡(luò)必須實行物理隔離，這樣可以有效地防止黑客訪問或病毒入侵。

2.防止計算機(jī)電磁輻射泄密。

對機(jī)房設(shè)備、線路進(jìn)行保護(hù)性的屏蔽處理，并建設(shè)屏蔽機(jī)房，對重要的涉密網(wǎng)絡(luò)終端顯示設(shè)備安裝視頻干擾器，在機(jī)房電源線路上加裝紅黑隔離插座，從而避免因電磁輻射出現(xiàn)信息被竊取的情況發(fā)生。

3.使用身份鑒別技術(shù)。

一般而言，常用的身份鑒別技術(shù)包括：基于口令的鑒別方式、基于智能卡的鑒別方式、基于生物特征的鑒別方式、一次性口令等鑒別方式。

4.采用防火墻與防病毒技術(shù)是提高網(wǎng)絡(luò)安全性的關(guān)鍵。

防火墻是一種保護(hù)計算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施，它是一個用以阻止網(wǎng)絡(luò)中的黑客防問某個網(wǎng)絡(luò)屏障。采用防火墻技術(shù)，通過在網(wǎng)絡(luò)邊界上建立起來的通信控制系統(tǒng)來實現(xiàn)網(wǎng)內(nèi)不同功能子域的化分，以阻擋非法訪問，從而實施安全訪問控制，提高涉密網(wǎng)絡(luò)的安全性。安裝網(wǎng)絡(luò)版防病毒軟件，并及時升級病毒代碼庫，及時發(fā)現(xiàn)病毒并予以清殺，可有效阻止其在網(wǎng)絡(luò)上蔓延和破壞。

5.利用虛擬局域網(wǎng)（VLAN）技術(shù)提高內(nèi)網(wǎng)的安全性。

采用虛擬局域網(wǎng)提供的安全機(jī)制，可以限制特定用戶的訪問，控制廣播組的大小和位置，甚至鎖定網(wǎng)絡(luò)成員的物理（MAC）地址，這樣中，就限制了未經(jīng)安全許可的用戶和網(wǎng)絡(luò)成員對網(wǎng)絡(luò)的使用。通過設(shè)備端口和MAC 地址分配等VLAN 劃分原則，可以有效控制用戶訪問權(quán)限和邏輯網(wǎng)段大小，將不同用戶群劃分在不同VLAN 中，從而提高網(wǎng)絡(luò)的整體性能和安全性。

6.計算機(jī)信息安全管理系統(tǒng)。

為了能夠?qū)θ刖W(wǎng)計算機(jī)的外部接口進(jìn)行有效管理，防止移動載體的交叉混用，所有的入網(wǎng)計算機(jī)均要求安裝計算機(jī)信息安全管理系統(tǒng)。該系統(tǒng)能夠按照入網(wǎng)計算機(jī)不同的涉密等級，對其外部接口、外部設(shè)備等進(jìn)行不同程度的管控。經(jīng)過這樣的部署，可以有效防止移動存儲介質(zhì)的交叉混用，杜絕了通過移動存儲介質(zhì)涉密的安全隱患。

7.通過設(shè)置域控，提高內(nèi)部網(wǎng)絡(luò)的管理性和安全性。

針對目前網(wǎng)絡(luò)所采用的微軟系統(tǒng)平臺國，借助于操作系統(tǒng)的域控制功能，對網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)進(jìn)行劃分、管理，從而既滿足了對內(nèi)部用戶的管理要求，同時又在雙向信任關(guān)系的域結(jié)構(gòu)中實現(xiàn)同級、上下級之間的信息的安全交流。同時，充分利用系統(tǒng)的域控功能，嚴(yán)格控制網(wǎng)絡(luò)客戶端用戶帳號，設(shè)定所有用戶必須登錄域中進(jìn)行網(wǎng)絡(luò)操作，設(shè)定所有用戶的IP 地址和網(wǎng)卡物理地址進(jìn)行綁定，實施嚴(yán)密的身份識別和訪問控制。在全面實施了系統(tǒng)的域控結(jié)構(gòu)并進(jìn)行了對所有用戶的綁定后，我們就可以在安全策略中部署對所有敏感性操作進(jìn)行安全審計和記錄，并且可以在發(fā)生安全事故后依據(jù)綁定一直追查到底。

8.信息內(nèi)容保護(hù)與管理。

密碼技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一，信息內(nèi)容的保護(hù)采用加密技術(shù)對涉密數(shù)據(jù)信息進(jìn)行加密存儲。對涉密網(wǎng)絡(luò)遠(yuǎn)距離的數(shù)據(jù)傳輸要采用加密傳輸?shù)姆绞?，從而保證數(shù)據(jù)的安全性和完整性。采用身份認(rèn)證技術(shù)、單點登錄以及授權(quán)對各種應(yīng)用的安全性管理增強(qiáng)配置服務(wù)來保障涉密信息系統(tǒng)在應(yīng)用層的安全。根據(jù)用戶身份和現(xiàn)實工作中的角色和職責(zé)，確定訪問應(yīng)用資源的權(quán)限，應(yīng)做到對用戶接入網(wǎng)絡(luò)的控制和對信息資源訪問和用戶權(quán)限進(jìn)行綁定。

建立數(shù)據(jù)備份和恢復(fù)系統(tǒng)，制定備份和恢復(fù)策略，系統(tǒng)發(fā)生故障后能在軟短時間恢復(fù)應(yīng)用和數(shù)據(jù)。

9.軟件補(bǔ)丁升級。

為了解決內(nèi)網(wǎng)計算機(jī)的操作系統(tǒng)等軟件不便于進(jìn)行在線補(bǔ)丁升級的問題，應(yīng)在內(nèi)網(wǎng)中部署軟件補(bǔ)丁升級系統(tǒng)，由網(wǎng)絡(luò)管理員定期從互聯(lián)網(wǎng)上下載相關(guān)補(bǔ)丁，并安裝至內(nèi)網(wǎng)服務(wù)器。自動對園區(qū)網(wǎng)計算機(jī)系統(tǒng)進(jìn)行補(bǔ)丁升級，無需用戶進(jìn)行任何操作，確保所有接入內(nèi)網(wǎng)計算機(jī)的系統(tǒng)漏洞能夠及時得到修補(bǔ)，降低了主機(jī)被入侵或被病毒感染的概率。

10.入侵檢測技術(shù)。

入侵檢測技術(shù)通過從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中若干關(guān)鍵節(jié)點收集信息并加以分析，監(jiān)控網(wǎng)絡(luò)中是否有違反安全策略的行為或者是否存在入侵行為。它能提供安全審計、監(jiān)視、攻擊識別和反攻擊等多項功能，并采取相應(yīng)的行動，如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源、緊急告警等，是安全防御體系的一個重要組成部分。

11.漏洞掃描系統(tǒng)。

漏洞掃描系統(tǒng)可以主動探測網(wǎng)絡(luò)中的薄弱環(huán)節(jié)。通過網(wǎng)絡(luò)安全性掃描，系統(tǒng)管理員能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)主機(jī)與服務(wù)器等設(shè)備的各種漏洞和隱患，如端口和服務(wù)、系統(tǒng)漏洞、弱口令及共享文件等，并給出修正建議。管理人員可根據(jù)掃描結(jié)果對這些漏洞和隱患進(jìn)行及時修補(bǔ)。

五、結(jié)束語

涉密網(wǎng)絡(luò)安全建設(shè)和運(yùn)行是構(gòu)建安全體系結(jié)構(gòu)的前提，采用安全的網(wǎng)絡(luò)產(chǎn)品、制定嚴(yán)密的安全技術(shù)規(guī)范、建立安全保密管理制度和獎懲機(jī)制是涉密網(wǎng)絡(luò)可靠運(yùn)行的基礎(chǔ)。