沙艷鑫

（吉林職業(yè)技術(shù)學(xué)院，吉林 龍井）

涉密信息系統(tǒng)包含了大量的敏感、涉密信息，一旦發(fā)生信息泄露除了會造成財產(chǎn)和信譽的損失外，還有可能危及國家和社會安全，加強涉密信息系統(tǒng)的安全控制尤為重要。在設(shè)計安全控制方案時，應(yīng)結(jié)合涉密信息系統(tǒng)的物理架構(gòu)，分別從物理層、網(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層等方面開展安全風(fēng)險的檢測、識別和控制，切實提高安全控制水平。

1 涉密信息系統(tǒng)安全控制方案的設(shè)計

1.1 涉密信息系統(tǒng)安全控制管理體系的架構(gòu)

本文圍繞保障涉密信息系統(tǒng)安全和盡量減少效率損失兩個目標(biāo)，基于成本效益原則、可評估原則、易實現(xiàn)原則，設(shè)計了涉密信息系統(tǒng)安全控制管理體系。該體系采用“四縱兩橫”架構(gòu)，“四縱”包括物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層，“兩橫”包括預(yù)防性安全控制和檢測性安全控制，整體結(jié)構(gòu)如圖1 所示。

1.2 物理層的安全控制

面向物理層的安全控制可保護(hù)計算機網(wǎng)絡(luò)設(shè)備、設(shè)施等硬件免遭破壞，具體設(shè)計內(nèi)容如下：

（1） 預(yù)防性安全控制措施，嚴(yán)格按照《數(shù)據(jù)中心設(shè)計規(guī)范》(GB 50174-2017) 等相關(guān)規(guī)定，建設(shè)獨立的計算機中心機房，機房墻壁涂刷電磁屏蔽涂料，并設(shè)置防火、防潮、防雷設(shè)施。配備UPS（不間斷電源），當(dāng)發(fā)生電力故障時提供電源中斷保護(hù)。對于涉密信息系統(tǒng)所在區(qū)域，實行門禁隔離，出入人員核驗身份和權(quán)限，同時進(jìn)行全天候視頻監(jiān)控[1]。

（2） 檢測性安全控制措施，定期檢測設(shè)備維修記錄，所有計算機網(wǎng)絡(luò)設(shè)備、設(shè)施必須定期檢查、維護(hù)。檢查設(shè)備鎖和封條，確認(rèn)鎖、封條完好。對重點設(shè)備和敏感數(shù)據(jù)存儲介質(zhì)的物理訪問進(jìn)行重點控制。

1.3 網(wǎng)絡(luò)層的安全控制

網(wǎng)絡(luò)層負(fù)責(zé)完成涉密信息系統(tǒng)內(nèi)部之間，以及涉密信息系統(tǒng)與其他系統(tǒng)之間的數(shù)據(jù)傳輸，是安全控制的重點對象，設(shè)計內(nèi)容如下：

（1） 預(yù)防性安全控制措施，對內(nèi)網(wǎng)（局域網(wǎng)）和外網(wǎng)（互聯(lián)網(wǎng)）做物理隔離，避免互聯(lián)網(wǎng)上的木馬、病毒等危害涉密信息系統(tǒng)的安全。需要傳輸涉密信息時，對信息進(jìn)行加密后才允許傳輸，避免出現(xiàn)第三方攔截、竊聽的情況[2]。對于閑置的交換機端口予以關(guān)閉，對于正常使用的交換機端口要綁定IP 地址，避免非法訪問的情況。配置了VLAN 的通信設(shè)備，只允許“一對一”通信，本文設(shè)計的涉密信息系統(tǒng)根據(jù)部門職能的不同細(xì)分為5個VLAN，VLAN 名稱與IP 地址的分配見表1。

表1 涉密信息系統(tǒng)VLAN 規(guī)劃

通過上述劃分，不同職能的部門之間無法做到數(shù)據(jù)共享，切斷了病毒、木馬在各個部門之間橫向傳播的途徑，保證了涉密信息系統(tǒng)的安全；同時，切斷了各職能部門訪問服務(wù)器群的路徑。

（2） 檢測性安全控制措施，目前主流的網(wǎng)絡(luò)檢測方法有防火墻和入侵檢測兩種方式。防火墻位于內(nèi)網(wǎng)和外網(wǎng)之間，對來自外網(wǎng)的訪問行為進(jìn)行驗證，如果存在安全隱患則禁止訪問，從而保護(hù)涉密信息系統(tǒng)的安全。根據(jù)過濾機制的不同，又可分為包過濾防火墻、狀態(tài)檢測防火墻等若干類型。本文在設(shè)計安全控制方案時，選擇了包過濾防火墻，其核心是ACL(訪問控制列表)，判斷訪問涉密信息系統(tǒng)的數(shù)據(jù)包是否在ACL 中，如果在則允許訪問，反之則禁止訪問。包過濾防火墻的原理如圖2 所示。

圖2 包過濾防火墻工作原理

入侵檢測通過檢測涉密信息系統(tǒng)所在的計算機網(wǎng)絡(luò)中是否存在違反安全策略的行為，進(jìn)而決定是否允許訪問[3]。本文設(shè)計的入侵檢測系統(tǒng)（IDS）基于通用入侵檢測框架（CIDF）建立起來，該框架包含響應(yīng)單元、事件數(shù)據(jù)庫、事件分析器和事件產(chǎn)生器4 個模塊，如圖3 所示。

圖3 CIDF 模型示意

本文在設(shè)計安全控制方案時，將IDS 與防火墻同時應(yīng)用于網(wǎng)絡(luò)層的安全控制，能夠保障網(wǎng)絡(luò)層的深度安全。

1.4 系統(tǒng)層的安全控制

黑客攻擊和病毒入侵主要危害涉密信息系統(tǒng)的系統(tǒng)層，本文面向系統(tǒng)層設(shè)計的安全控制方案如下：

（1） 預(yù)防性控制措施，啟用身份鑒別、密碼管理、桌面鎖定等策略，禁止非相關(guān)人員登錄該系統(tǒng)。

（2） 檢測性控制措施，除了安裝防病毒軟件外，同時應(yīng)用漏洞掃描技術(shù)和內(nèi)網(wǎng)審計技術(shù)。

1.5 應(yīng)用層的安全控制

應(yīng)用層存在的安全威脅也會對系統(tǒng)層產(chǎn)生影響，本文從兩方面進(jìn)行了應(yīng)用層安全控制設(shè)計：

（1） 預(yù)防性控制措施，包括安裝補丁、默認(rèn)設(shè)置更改、關(guān)閉不需要服務(wù)等。由于涉密信息系統(tǒng)中的許多應(yīng)用軟件會定期升級，每次升級后可能會出現(xiàn)軟件不兼容而導(dǎo)致的安全風(fēng)險。在軟件升級后安裝不定可以修補漏洞，從而保障應(yīng)用安全。

（2） 檢測性控制措施，包括使用內(nèi)網(wǎng)安全審計系統(tǒng)，以及對各類應(yīng)用的日志信息進(jìn)行定期審計等。

2 涉密信息系統(tǒng)安全控制方案的實現(xiàn)

2.1 物理層安全控制的實現(xiàn)

面向物理層的安全控制是基于各類安全產(chǎn)品實現(xiàn)的，如電磁屏蔽機柜、微機視頻信息保護(hù)機、電磁泄漏防護(hù)插座等。電磁屏蔽機柜能夠?qū)ι婷苄畔⑾到y(tǒng)中服務(wù)器、路由器、交換機等設(shè)備進(jìn)行電磁泄露防護(hù)，從而保障涉密信息的存儲安全和傳輸安全。本文選用了HLS-G 型電磁屏蔽機柜，尺寸為800 mm×800 mm×1500 mm，屏蔽殼體是由冷軋鋼板焊接而成的密封箱體，并在鋼板內(nèi)外側(cè)使用鍍鋅處理。殼體上預(yù)留直徑為15 mm 的出線孔，從內(nèi)部引出超五類屏蔽線與外部設(shè)備連接[4]。本文選用VIP-3 型微機視頻信息保護(hù)，可有效屏蔽干擾信號，縮短干擾輻射的有效時間，該設(shè)備的技術(shù)指標(biāo)如表2 所示。

表2 VIP-3 型危機視頻信息保護(hù)機的技術(shù)指標(biāo)

2.2 網(wǎng)絡(luò)層安全控制的實現(xiàn)

面向網(wǎng)絡(luò)層的安全控制產(chǎn)品是國內(nèi)某公司研發(fā)的入侵檢測和管理系統(tǒng)，該產(chǎn)品可以量化、定位來自網(wǎng)絡(luò)內(nèi)、外部的威脅信息，并根據(jù)信息來源、信息類型，自動給出相應(yīng)的安全決策，從而保障涉密信息的安全。該入侵檢測和管理系統(tǒng)可以做到全面的協(xié)議分析和事件分析，具有檢測范圍大、檢測效率高等優(yōu)勢。同時，還能直觀、精確地呈現(xiàn)報警信息，方便管理員及時采取應(yīng)對操作，保障網(wǎng)絡(luò)層的安全。在部署入侵檢測和管理系統(tǒng)時，將其安裝在一臺專用PC 機上，相當(dāng)于獨立的網(wǎng)絡(luò)設(shè)備接入交換機，可以實時采集涉密信息系統(tǒng)的運行情況，達(dá)到實時監(jiān)控的效果。該系統(tǒng)提供“入侵檢測報告”功能，利用日志管理工具，調(diào)用日志展開分析，根據(jù)分析結(jié)果評估涉密信息系統(tǒng)的入侵風(fēng)險。管理人員參考評估結(jié)果，對入侵風(fēng)險較高的部分采取重點保護(hù)，從而保證網(wǎng)絡(luò)層安全控制目標(biāo)的實現(xiàn)。

2.3 系統(tǒng)層安全控制的實現(xiàn)

本文使用Windows 平臺作為涉密信息系統(tǒng)的操作系統(tǒng)，客戶端選用Windows 10，服務(wù)器選用Windows Server 2008 企業(yè)版。調(diào)用Windows 組策略配置工具，在“組策略”界面中依次選擇“計算機配置-軟件設(shè)置-Windows 設(shè)置- 安全設(shè)置- 密碼策略”，在彈出的對話框中設(shè)置密碼策略，包括密碼長度、密碼留存期、密碼復(fù)雜性要求等。選擇“密碼復(fù)雜性要求”，彈出新的對話框，并在“定義這個策略設(shè)置”選項下勾選“已啟用”選項。重啟系統(tǒng)后，新用戶在注冊時，設(shè)置的密碼必須符合復(fù)雜性要求，從而保障用戶涉密信息的安全。系統(tǒng)層安全控制功能基于某公司研發(fā)的脆弱性掃描和管理系統(tǒng)實現(xiàn)，該系統(tǒng)通過“發(fā)現(xiàn)- 掃描-定性- 修復(fù)- 審核”處理流程，能夠?qū)ι婷苄畔⑾到y(tǒng)存在的安全漏洞作出準(zhǔn)確識別，并通過智能算法評估風(fēng)險級別，給出修復(fù)建議并對風(fēng)險控制策略的執(zhí)行情況進(jìn)行審核，顯著提升了系統(tǒng)層的安全性[5]。

2.4 應(yīng)用層安全控制的實現(xiàn)

本文研究的涉密信息系統(tǒng)，應(yīng)用層由郵件子系統(tǒng)、數(shù)據(jù)庫子系統(tǒng)等構(gòu)成，各系統(tǒng)的名稱與應(yīng)用服務(wù)器見表3。

表3 涉密信息系統(tǒng)應(yīng)用層數(shù)據(jù)

上述系統(tǒng)的安全控制可通過身份鑒別與口令管理、禁用不需要服務(wù)等方式實現(xiàn)。除此之外還使用了某公司研發(fā)的內(nèi)網(wǎng)審計系統(tǒng)，可以對涉密信息系統(tǒng)運行的內(nèi)網(wǎng)環(huán)境進(jìn)行全面監(jiān)測，并提供報警管理、補丁分發(fā)、桌面遠(yuǎn)程管理等功能。該安全產(chǎn)品可通過I/O 端口禁用的方式控制敏感數(shù)據(jù)的輸出，同時在敏感數(shù)據(jù)出現(xiàn)刪除、修改、復(fù)制等操作時進(jìn)行報警，以便于系統(tǒng)管理員核實。

結(jié)束語

與一般信息系統(tǒng)相比，涉密信息系統(tǒng)對計算機網(wǎng)絡(luò)的安全性、可靠性提出了更高的要求。本文設(shè)計的適用于涉密信息系統(tǒng)的安全控制方案，結(jié)合物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層的安全控制需要，選擇了電磁屏蔽機柜、入侵檢測和管理系統(tǒng)等多種安全產(chǎn)品，對識別和預(yù)防安全風(fēng)險，切實保障涉密信息系統(tǒng)運行安全起到了積極幫助。