涉密信息系統(tǒng)涉密單機安全保密防護探討

【摘要】本文論述了涉密單機管理的目標和現狀，介紹了涉密單機必備防護方法及用單機組策略的方法構建涉密單機安全保密防范體系，規(guī)范相關操作，加強了涉密信息系統(tǒng)單機的防護能力，有效的降低了泄密風險。

【關鍵詞】涉密單機；安全保密；防范

一、涉密單機管理目標

涉密單機的管理最終要達成一個目標：建立一體化的便用可信可控涉密單機信息系統(tǒng)。

為滿足上述目標，最緊迫的就是要實現三個基本認證——第一，系統(tǒng)安全登錄認證；第二，可信接入認證；第三，健康可信程序運行認證。

同時，要突出涉密信息系統(tǒng)以下幾個基本控制項目：實施嚴格、全面的非法外聯(lián)監(jiān)控；監(jiān)控各種易于導致信息外泄的途徑，各種端口、外設以及終端用戶敏感行為，并實現系統(tǒng)內重要數據的安全存儲、銷毀。

此外，還要做好保密技術防護專用系統(tǒng)（“三合一”）的配備，解決緊要問題，加強移動存儲介質的控制，實現可信管理、介質綁定，徹底堵塞入侵途徑，解決涉密單機系統(tǒng)長期面臨病毒、木馬的入侵威脅。

二、涉密單機管理的現狀

現有涉密單機大多使用Windows操作系統(tǒng)，Windows為了提高易用性采用了許多默認設置，這些系統(tǒng)默認設置不僅不能做到安全，反而為我們增添了更多的風險，例如：

1.簡單文件共享。為了讓網絡上用戶只需點擊幾下鼠標就可以實現文件共享，Windows XP加入了一種成為“簡單文件共享”的功能，但同時也打開了許多NetBIOS漏洞。

2.FAT32分區(qū)。你以為安裝了所有補丁就很安全了嗎？其實不然，如果使用FAT32分區(qū)就是一個安全隱患，因為微軟系統(tǒng)的安全及穩(wěn)定性都是建立在NTFS分區(qū)的基礎上，為了提高安全性，我們要把FAT32文件系統(tǒng)轉換成NTFS。NTFS允許更全面地控制文件和文件夾的權限，進而還可以使用EFS（Encrypting File System，加密文件系統(tǒng)），從文件分區(qū)這一層次保證數據不被竊取。

3.Guest帳戶。Guest帳戶即所謂的來賓帳戶，它可以訪問計算機，但受到限制。但是Guest帳戶給黑客入侵打開了方便之門。

Administrator帳戶。系統(tǒng)一般都內建系統(tǒng)管理員帳戶，這個帳戶對這個系統(tǒng)擁有最高級別的控制權，該帳戶密碼是在安裝操作系統(tǒng)的時候輸入的，如果忽視了這個帳戶，沒有設置該密碼或者密碼過于簡單，就可能造成非授權的用戶進入，導致泄密。

4.多余的服務。為了方便用戶，Win XP默認啟動了許多不一定要用到的服務，同時也打開了侵入系統(tǒng)的后門，例如NetMeeting Remote Desktop Sharing，Telnet，Wireless Zero Configuration等等。

除此之外，過于開放的端口、BUG無處不在的應用軟件、防不勝防的“木馬”、日新月異的竊密手段等，加之管理措施不到位，對涉密單機的安全保密性造成了極大的隱患。

三、涉密單機必備防護方法

（一）BIOS設置及底層控制

在單機的BIOS設置中，必須要通過設置超級管理員口令來控制使用人員不得隨意打開各種端口，包括串、并口，PCI總線，火線IEEE1394等，不得修改設備啟動項（必須將硬盤設置為第一啟動設備），普通用戶只有設置開機口令并瀏覽各項設置結果的權限。

最好是在單位統(tǒng)一采購計算機前與設備廠商協(xié)商，一律取消計算機主板自帶的、嚴禁涉密單位使用的端口，甚至不安裝軟驅、光驅，并可以將BIOS版本初始化為不帶一鍵恢復功能的版本，這樣直接從設備入網前就能夠完成一些硬件底層的基礎控制工作，直接達到無非法設備可用的目的。當然，這些都要與機箱鎖或者封條配合使用才有效，如果機箱本身可以隨意打開或者拆卸，那么BIOS的控制是毫無意義的。

（二）安全登陸

安全登陸驗證必須通過USBKey與系統(tǒng)域帳戶綁定、結合PIN碼方式來實現，或采取證書逐級發(fā)放的模式進行身份鑒別。通過主機監(jiān)控與審計系統(tǒng)，可以實現用戶信息與終端信息的綁定，即該用戶的USBKey只能訪問綁定或者漫游的終端，當用戶嘗試使用自已的USBKey去登陸未授權的終端時，會被系統(tǒng)拒絕。鑒于單機的用途相對簡單，可考慮只給予使用人（User）權限，將單機的超級管理員（Administrator）帳戶權限收回，可以控制用戶的部分操作，如安裝軟件、變更設置等。

盡量避免多個用戶使用一臺計算機的情況，這樣存在很大安全隱患。如果必須，可使用NTFS格式的操作系統(tǒng)，通過主機監(jiān)控與審計系統(tǒng)，建立多個User帳戶，將多個用戶的USBKey與此臺終端綁定，分配用戶權限或建立系統(tǒng)加密文件夾，不同用戶使用自己的USBKey登陸操作系統(tǒng)后，其他User用戶無法瀏覽本人以外用戶的信息，最終達到“你是誰”、“你只能用什么”的目的。

（三）安全軟件

涉密單機必須安裝必要的安全軟件，例如殺毒軟件、主機監(jiān)控與審計、介質管理系統(tǒng)、防非法外聯(lián)等等。

以上基本實現了單機安全登陸及數據安全，下面考慮更全面的系統(tǒng)控制策略。

四、簡單組策略涉密單機安全保密防護方法

（一）用戶設置

1.回收本機BIOS超級管理員，由各單位系統(tǒng)管理員保管該密碼，并設置開機密碼。

2.回收操作系統(tǒng)超級管理員用戶admini-strator的密碼，由各單位系統(tǒng)管理員保管該密碼。

3.根據責任人的姓名全拼創(chuàng)建本地用戶，并加入本地超級管理員組。具體方法如下：

（1）“我的電腦”單擊右鍵，選擇“管理”，在新窗口中單擊“本地用戶和組”點擊“用戶”，在窗口右邊單擊右鍵，選擇“新用戶”進行創(chuàng)建，如圖1所示。

（2）用戶創(chuàng)建成功后，雙擊用戶，在彈出的用戶屬性窗口中選擇“隸屬于”選項卡，點“添加”按鈕，在新窗口中輸入adminis-trators點“確定”，如圖2所示。

（二）組策略設置

打開“開始菜單”，單擊“運行”，在運行框中輸入gpedit.msc后回車彈出的新窗口即為組策略編輯器窗口，也是以下主要要操作的界面。

1.設置密碼策略

找到密碼策略選項，如圖3所示右方所示設置密碼策略。

2.設置帳戶鎖定策略

找到帳戶鎖定策略選項，如圖4所示右方所示設置帳戶鎖定策略。

3.設置審核策略

找到審核策略選項，如圖5所示右方所示設置審核策略。

4.關閉系統(tǒng)還原

找到系統(tǒng)還原選項，如圖6所示右方所示設置系統(tǒng)還原策略。

5.打開文檔記錄

找到任務欄和開始菜單選項，如圖7所示右方所示設置最近打開的文檔策略。

6.屏幕保護

找到顯示選項，如圖8所示右方所示設置屏幕保護程序策略。

7.關閉服務

在“開始”——“運行”中輸入services.msc點“確定”。根據實際需求，在新彈出的“服務”窗口中將以下服務設置為禁用。

Wireless Zero Configuration

Telnet

Terminal Services

Telephony

Remote Registry

Messenger

………

五、安全保密管理措施

隨著涉密信息系統(tǒng)的安全保密管理日益受到重視，涉密信息系統(tǒng)管理人員單憑自己掌握的知識和手工設置仍不能保證信息的完全安全。除必要的技術手段外，通過建立健全安全保密管理制度，形成體系文件，做到專機專用、專人負責，目前技術上實現不了的暫時通過管理措施來彌補。

涉密信息系統(tǒng)安全保密管理應定期進行風險自評估，風險與安全是動態(tài)的，系統(tǒng)不可能做到絕對安全，發(fā)現系統(tǒng)存在的問題，及時啟動應急預案并調整策略和管理模式，將風險降至可承受的范圍之內。

六、結束語

信息安全觀念、概念不斷演變，信息安全理論、標準層出不窮，信息安全管理法規(guī)、制度不斷出臺，信息安全早已成為社會關注的熱點。用于處理、存儲、傳輸大量涉及國家秘密的涉密信息系統(tǒng)的信息安全更是國防軍工單位關注的重點，在實施分級保護的道路上，我們既要反對只重應用不講安全，防護措施不到位造成各種泄密隱患和漏洞的“弱保護”現象；又要反對不從實際出發(fā)，防護措施“一刀切”，造成經費與資源浪費的“過保護”現象。

現有安全保密技術水平還不能滿足日新月異的工作需求，在技術防范的基礎上，我們要利用制度約束和保密文化牽引，努力學習鉆研，不斷提高自身素質，做好涉密信息系統(tǒng)的安全保密工作，發(fā)現異常、及時處理，有效減免失泄密事件的發(fā)生，確保國家秘密安全。