淺析如何加強(qiáng)局域網(wǎng)絡(luò)信息安全的防范

楊 鵬

（南京醫(yī)科大學(xué)附屬淮安第一醫(yī)院，江蘇 淮安223300）

計(jì)算機(jī)的信息安全是一個(gè)越來越引起社會(huì)關(guān)注的重要問題，也是一個(gè)十分復(fù)雜的課題。隨著計(jì)算機(jī)在人類生活各領(lǐng)域中的廣泛應(yīng)用，計(jì)算機(jī)病毒也在不斷產(chǎn)生和傳播，計(jì)算機(jī)網(wǎng)絡(luò)被不斷非法入侵，重要情報(bào)資料被竊密，甚至由此造成網(wǎng)絡(luò)系統(tǒng)的癱瘓。作為一項(xiàng)綜合科學(xué)技術(shù)的辦公自動(dòng)化，更是以計(jì)算機(jī)為中心和基礎(chǔ)。計(jì)算機(jī)大量裝備于黨政軍要害部門，各種秘密文件被送入計(jì)算機(jī)進(jìn)行加工、存貯和傳遞。如何做好計(jì)算機(jī)信息處理中的保密工作是我們面臨的新課題。本文探討泄密的主要途徑和防范措施。

1 泄密的主要途徑

1．1 電磁波輻射泄密

計(jì)算機(jī)是靠高頻脈沖電路工作的，由于電磁場(chǎng)的變化，必然要向外輻射電磁波。這些電磁波會(huì)把計(jì)算機(jī)中的信息帶出去，犯罪分子只要具有相應(yīng)的接收設(shè)備，就可以將電磁波接收，從中竊得秘密信息。據(jù)國(guó)外試驗(yàn)，在1000米以外能接收和還原計(jì)算機(jī)顯示終端的信息，而且看得很清晰。計(jì)算機(jī)工作時(shí)，在開闊地帶距其100米外，用監(jiān)聽設(shè)備就能收到輻射信號(hào)。另外，網(wǎng)絡(luò)端口、傳輸線路等都有可能因屏蔽不嚴(yán)或未加屏蔽而造成電磁泄露。

1．2 計(jì)算機(jī)聯(lián)網(wǎng)泄密

計(jì)算機(jī)網(wǎng)絡(luò)可將世界范圍內(nèi)的計(jì)算機(jī)聯(lián)接起來，實(shí)現(xiàn)資源共享。然而，由于計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)相互之間通過線路聯(lián)絡(luò)，這樣就存在許多泄密漏洞。首先，“數(shù)據(jù)共享”時(shí)計(jì)算機(jī)系統(tǒng)實(shí)行用戶識(shí)別口令，在分辨用戶時(shí)認(rèn)“碼”不認(rèn)“人”，這樣，那些竊密分子就可能通過種種辦法掌握用戶口令，然后進(jìn)行竊密活動(dòng)。其次，計(jì)算機(jī)聯(lián)網(wǎng)后，傳輸線路大多由載波線路和微波線路組成，這就使計(jì)算機(jī)泄密的渠道和范圍大大增加。局域網(wǎng)與外界連通后，通過未受保護(hù)的外部線路，可以從外界訪問到系統(tǒng)內(nèi)部的數(shù)據(jù)，而內(nèi)部通訊線路也有被搭線竊取信息的可能。此外，非法用戶有可能在現(xiàn)有終端上并接一個(gè)終端，或趁合法用戶從網(wǎng)上斷開時(shí)乘機(jī)接入，使信息傳到非法終端。

1．3 介質(zhì)的剩磁效應(yīng)泄密

使用磁盤、磁帶、光盤的計(jì)算機(jī)外存貯器很容易被非法篡改或復(fù)制。磁盤經(jīng)消磁十余次后，仍有辦法恢復(fù)原來記錄的信息。在大多數(shù)的信息系統(tǒng)中，刪除文件僅僅是刪掉文件名，而原文原封不動(dòng)地保留在存儲(chǔ)介質(zhì)中，一旦被利用，就會(huì)泄密。

1．4 工作人員泄密

（1）無知泄密。如由于不知道電磁波輻射會(huì)泄露秘密信息，計(jì)算機(jī)工作時(shí)未采取任何措施而給他人提供竊密的機(jī)會(huì)。又如由于不知道軟盤上剩磁可以提取還原，將曾經(jīng)存貯過秘密信息的軟盤交流出去而造成泄密。另外，秘密信息和非秘密信息放在同一媒體上，明密不分，容易造成泄密。

（2）違反規(guī)章制度而泄密。計(jì)算機(jī)出故障時(shí)，存有秘密信息的硬盤不經(jīng)處理或無人監(jiān)督就帶出修理，就會(huì)造成泄密。又如由于計(jì)算機(jī)媒體存貯的內(nèi)容缺乏直觀性，因而思想麻痹，疏于管理，容易造成媒體的丟失。

（3）故意泄密。情報(bào)機(jī)關(guān)常常采用金錢收買、色情勾引和策反計(jì)算機(jī)工作人員竊取信息系統(tǒng)的秘密。這比利用電子監(jiān)聽、攻擊網(wǎng)絡(luò)等辦法有利得多。

2 保密的防范措施

計(jì)算機(jī)局域網(wǎng)由信息和實(shí)體兩大部分組成。其保密防范主要從技術(shù)、行政和法律三個(gè)方面著手：

2.1 技術(shù)防范

2．1．1 局域網(wǎng)信息的保密

信息泄露是局域網(wǎng)的主要保密隱患之一。所謂信息泄露，就是被故意或偶然地偵收、截獲、竊取、分析、收集到系統(tǒng)中的信息，從而造成泄密事件。局域網(wǎng)在保密防護(hù)方面有三點(diǎn)脆弱性：一是數(shù)據(jù)的可訪問性，數(shù)據(jù)信息可以很容易被終端用戶拷貝下來而不留任何痕跡；二是信息的聚生性，當(dāng)信息以零散形式存在時(shí)價(jià)值不大，一旦網(wǎng)絡(luò)將大量關(guān)聯(lián)信息聚集在一起時(shí)，其價(jià)值就相當(dāng)可觀；三是設(shè)防的困難性，盡管可以層層設(shè)防，但對(duì)熟悉網(wǎng)絡(luò)技術(shù)的人來說，下些功夫就可能突破這些關(guān)卡，給保密工作帶來極大的困難。

計(jì)算機(jī)局域網(wǎng)的保密防范應(yīng)從以下四個(gè)方面入手：

（1）充分利用網(wǎng)絡(luò)操作系統(tǒng)提供的保密措施。某些用戶對(duì)網(wǎng)絡(luò)的認(rèn)識(shí)不足，基本不用或很少使用網(wǎng)絡(luò)操作系統(tǒng)提供的保密措施，從而留下隱患。一般的網(wǎng)絡(luò)操作系統(tǒng)都有相應(yīng)的保密措施，一般包括四級(jí)保密措施：第一級(jí)是入網(wǎng)保密。用戶入網(wǎng)時(shí)，必須按用戶名進(jìn)行登錄注冊(cè)。使用網(wǎng)絡(luò)信息資源的用戶，必須準(zhǔn)確申報(bào)自己的用戶名，否則將被網(wǎng)絡(luò)拒之門外。第二級(jí)是設(shè)置目錄和文件訪問權(quán)限。訪問權(quán)限是對(duì)用戶訪問目錄和文件的合法范圍的規(guī)定，以控制用戶只能操作什么樣的目錄和文件。第三級(jí)是文件和目錄的屬性保密。屬性直接控制對(duì)文件或目錄的訪問特性。屬性的訪問控制高于文件、目錄的有效訪問權(quán)限，可以禁止有效訪問權(quán)限所允許的操作。第四級(jí)是文件服務(wù)器的安全保密。即控制臺(tái)鍵盤可以加口令封鎖，防止非法闖入者以超級(jí)用戶身份瀏覽網(wǎng)絡(luò)信息。

（2）加強(qiáng)數(shù)據(jù)庫(kù)的信息保密防護(hù)。網(wǎng)絡(luò)中的數(shù)據(jù)組織形式有文件和數(shù)據(jù)庫(kù)兩種。文件組織形式的數(shù)據(jù)缺乏共享性，現(xiàn)已成為網(wǎng)絡(luò)存儲(chǔ)數(shù)據(jù)的主要形式。由于操作系統(tǒng)對(duì)數(shù)據(jù)庫(kù)沒有特殊的保密措施，而數(shù)據(jù)庫(kù)的數(shù)據(jù)以可讀的形式存儲(chǔ)其中，所以數(shù)據(jù)庫(kù)的保密需采取另外的方法。

（3）采用現(xiàn)代密碼技術(shù)，加大保密強(qiáng)度。借助現(xiàn)代密碼技術(shù)對(duì)數(shù)據(jù)進(jìn)行加密，將重要秘密信息由明文變?yōu)槊芪摹?/p>

（4）采用防火墻技術(shù)，防止局域網(wǎng)與外部網(wǎng)連通后秘密信息的外泄。防火墻是建立在局域網(wǎng)與外部網(wǎng)絡(luò)之間的電子系統(tǒng)，用于實(shí)現(xiàn)訪問控制，即阻止外部入侵者進(jìn)入局域網(wǎng)內(nèi)部，而允許局域網(wǎng)內(nèi)部用戶訪問外部網(wǎng)絡(luò)。

2．1．2 局域網(wǎng)實(shí)體的保密

局域網(wǎng)實(shí)體是指實(shí)施信息收集、傳輸、存儲(chǔ)、加工處理、分發(fā)和利用的計(jì)算機(jī)及其外部設(shè)備和網(wǎng)絡(luò)部件。對(duì)局域網(wǎng)實(shí)體，采取的相應(yīng)保密措施一般有以下三種：一是防電磁泄露措施。如選用低輻射設(shè)備、距離防護(hù)、噪聲干擾、屏蔽等措施，把電磁泄露抑制到最低限度。二是定期對(duì)實(shí)體進(jìn)行檢查。特別是對(duì)文件服務(wù)器、光纜(或電纜)、終端及其他外設(shè)進(jìn)行保密檢查，防止非法侵入。三是加強(qiáng)對(duì)網(wǎng)絡(luò)記錄媒體的保護(hù)和管理。如對(duì)關(guān)鍵的涉密記錄媒體要有防拷貝和信息加密措施，對(duì)廢棄的磁盤要有專人銷毀等。

2．2 行政管理

（1）建立完善的安全保障體系。建立完善的安全保障體系是保證系統(tǒng)安全的前提，如管理人員安全培訓(xùn)、可靠的數(shù)據(jù)備份、緊急事件響應(yīng)措施、定期系統(tǒng)安全評(píng)估及更新升級(jí)系統(tǒng)，這些都能為系統(tǒng)的安全提供有力的保障，確保系統(tǒng)能一直處于最佳的安全狀態(tài)，即便系統(tǒng)受到攻擊，也能最大程度地挽回?fù)p失。

（2）建立嚴(yán)格的管理制度。禁止無關(guān)人員隨便進(jìn)出機(jī)房和使用計(jì)算機(jī)，重點(diǎn)放在網(wǎng)絡(luò)系統(tǒng)的中心控制室。同時(shí)，機(jī)房選址要安全可靠，重要部門的機(jī)房要有必要的保安措施。

（3）規(guī)定分級(jí)使用權(quán)限。首先，對(duì)計(jì)算機(jī)中心和計(jì)算機(jī)數(shù)據(jù)劃分密級(jí)，采取不同的管理措施：秘密信息不能在公開的計(jì)算機(jī)中心處理，密級(jí)高的數(shù)據(jù)不能在密級(jí)低的計(jì)算機(jī)中心處理；其次，根據(jù)使用者的不同情況，規(guī)定不同使用級(jí)別，低級(jí)別的機(jī)房不能進(jìn)行高級(jí)別的操作；在系統(tǒng)開發(fā)中，系統(tǒng)分析員、程序員和操作員應(yīng)職責(zé)分離，使知悉全局的人員盡可能少一些。

（4）加強(qiáng)對(duì)媒體的管理。錄有秘密文件的媒體，應(yīng)按照同等密級(jí)文件進(jìn)行管理，對(duì)其復(fù)制、打印、借閱、存放、銷毀等均應(yīng)遵守有關(guān)規(guī)定。同一片軟盤中不要混錄秘密文件和公開文件，如果同時(shí)錄有不同密級(jí)的文件，應(yīng)按密級(jí)最高的管理。同時(shí)，還應(yīng)對(duì)操作過程中臨時(shí)存放過秘密文件的磁盤以及調(diào)試運(yùn)行中打印的廢紙作好妥善處理。

（5）加強(qiáng)對(duì)工作人員的管理。要牢固樹立保密觀念，使其認(rèn)識(shí)到新時(shí)期保密問題的重要性、緊迫性，從而增強(qiáng)保守國(guó)家秘密的意識(shí)。抓好人員的選配和日常的考察，做到不合格的堅(jiān)決不用，現(xiàn)有工作人員中發(fā)現(xiàn)問題要及時(shí)處理，堅(jiān)決調(diào)離，以保證隊(duì)伍的純潔精干和效能；要搞好智力投資，不斷提高使用和管理人員的科學(xué)技術(shù)水平，掌握防止泄密的知識(shí)和防范措施；還要建立獎(jiǎng)懲制度，嚴(yán)格加強(qiáng)考核，完善激勵(lì)機(jī)制。

2．3 法律監(jiān)督

保密防范必須以法律法規(guī)為依據(jù)。目前我國(guó)已有《保密法》、《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》和《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》，按照規(guī)定和要求，做好計(jì)算機(jī)的保密防范工作，不得利用計(jì)算機(jī)從事危害國(guó)家安全、泄露國(guó)家秘密的違法犯罪活動(dòng)。

總之，計(jì)算機(jī)安全保密工作是一項(xiàng)綜合性的整體工作。既需要領(lǐng)導(dǎo)的高度重視和支持，也需要一支高素質(zhì)的工作隊(duì)伍，還需要高科技的防范手段，每一個(gè)環(huán)節(jié)出了問題都有可能造成泄密，給國(guó)家以及單位造成巨大的經(jīng)濟(jì)損失。因此，面臨計(jì)算機(jī)技術(shù)的日新月異，我們?nèi)匀蝗沃氐肋h(yuǎn)，有待在實(shí)踐中進(jìn)一步加強(qiáng)學(xué)習(xí)，提高技能，適應(yīng)新形勢(shì)保密工作的需要。

［1］鄧亞平．計(jì)算機(jī)網(wǎng)絡(luò)安全[M]．人民郵電出版社,2004.

［2］步山岳，張有東．計(jì)算機(jī)信息安全技術(shù)[M]．高等教育出版社,2005.