涉密網絡安全保密防護和管理

文/陳琴琴、鄔兆豐

涉密網絡安全保密防護和管理

文/陳琴琴、鄔兆豐

隨著信息化和工業化步伐的不斷加快，互聯網已經融入社會生活方方面面，深刻改變了人們的生產和生活方式，無紙化辦公、網絡化辦公已經成為社會主流。一些政府機關、科研院所、軍工企業等單位日常工作中需要存儲和處理大量涉密信息，對網絡和信息系統的依賴性不斷增強，泄密渠道和機會大大增加，由于網絡安全漏洞和人為管理疏忽而導致的安全危機、經濟損失、重要資料泄密等重大事件層出不窮，因此網絡保密管理尤其是涉密網絡安全保密防護和管理工作成為保密工作的重中之重。

涉密網絡安全保密隱患

1.違規外聯。涉密網絡嚴禁和互聯網連接，但是有些工作人員貪圖便利，采用斷開內網連接的方式違規將計算機接入互聯網，甚至直接將接入涉密網的計算機同時又通過撥號、寬帶和無線等方式接入互聯網，破壞了內外網的物理隔離，極有可能將病毒、木馬、后門等帶入內網，導致黑客入侵并把涉密計算機作為跳板，滲透到內部網絡，給涉密網絡帶來非常嚴重的危害和后果。

2.計算機端口濫用。涉密網絡內部使用的涉密計算機的光驅、USB接口、紅外接口等很容易被違規接入未經授權批準的外接設備，然后利用“信息擺渡”技術實現在物理隔離的兩臺計算機上的信息傳遞，在此過程中很容易造成信息泄漏或致使涉密計算機感染病毒。

3.權限失控。在涉密網絡中如果沒有使用用戶身份鑒別和權限控制措施，工作人員可以毫無障礙的調閱出高出自身知悉范圍內的涉密信息，從而導致泄密。“棱鏡”事件就是一件典型的權限失控導致的泄密事件。

4.系統漏洞。系統漏洞是指應用軟件或操作系統軟件在邏輯設計上的缺陷或錯誤，這些漏洞成為入侵者進入計算機或網絡的一個“后門”，可通過植入木馬、病毒等方式來攻擊或控制整個計算機和網絡，竊取其中的涉密信息。由于涉密網絡與互聯網物理隔離，工作人員不便于進行系統補丁升級，導致這些漏洞無法得到及時修補，極易被黑客所利用。

5.人為因素。一些單位的工作人員保密意識不強，在工作中沒有遵循基本的安全防范規則操作造成泄密，例如涉密計算機不按規定設置口令或者口令設置過于簡單容易被破解、沒有定期升級系統軟件或病毒庫等。此外還有一些由于保密技術知識缺乏或操作失誤導致的泄密，例如管理員對防火墻配置不當為外來的程序攻擊創造了機會，計算機中的硬盤或某些文件夾被設置成共享狀態，使非法人員通過操作系統提供的功能非常容易地下載到這些計算機硬盤中的文件等。

涉密網絡安全保密防護技術

1.虛擬局域網技術。虛擬局域網技術可以根據網絡用戶的位置、作用、部門或者根據網絡用戶所使用的應用程序和協議來進行分組，不同的虛擬局域網之間不能進行相互的聯系和通訊，這就避免了病毒感染和黑客入侵。此外虛擬局域網技術中對于交換機端口的劃分操作簡單靈活，這就使得在涉密網絡中網絡設備的靈活移動成為可能，單位不同部門可以規劃到不同的虛擬局域網中來，既方便了數據的傳輸、信息的共享，又提高了涉密網絡的安全性。

2.防火墻系統。防火墻系統是計算機與內部網絡或內部網絡與外部網絡之間安全的屏障，配置防火墻是實現涉密網絡安全最基本、最有效的安全措施之一。利用防火墻對涉密網絡進行安全域劃分，禁止不同虛擬局域網在非應用系統使用時相互訪問，同時在交換機配置階段，就進行端口隔離，這樣同部門同虛擬局域網之間也存在了基礎的安全網絡防護，可實現重點服務器網段和非密服務區網段隔離，從而降低重要數據或敏感信息安全問題對整個涉密網絡造成的影響。此外，防火墻系統還能實時地記錄所有用戶訪問信息的日志情況，并對涉密網絡的流量情況進行統計。一旦發生網絡異常現象，防火墻系統還能及時報警，確保涉密網絡的安全穩定。

3.入侵檢測系統。入侵檢測系統是一種對網絡傳輸進行即時監視，在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。它可以在不影響網絡性能的情況下對網絡進行監測，提供內部攻擊、外部攻擊和誤操作時的實時保護。在涉密網絡中，可以在需要保護的服務器網段上部署入侵檢測系統，實時監視各種對服務器的訪問請求并及時將信息反饋給控制臺。

4.訪問控制技術。訪問控制是限制已授權的用戶、程序、進程或計算機網絡中的其他的系統訪問本系統的資源的過程，它是涉密網絡安全防護的主要核心策略。通常在涉密網絡中實施訪問控制的策略是在交換機的某個端口上綁定合法的計算機MAC地址，所有未在該端口上綁定的MAC地址全部為非法入口，會在進入該端口時予以屏蔽，這樣就杜絕了非法MAC地址的入侵，可以防止非授權的計算機從數據鏈路層進入涉密網絡。

5.漏洞掃描技術。漏洞掃描技術是指通過掃描等手段對指定的遠程或者本地計算機系統的安全脆弱性進行檢測，發現可利用的漏洞的一種安全檢測技術。它和防火墻、入侵檢測系統互相配合，能夠有效提高網絡的安全性。通過漏洞掃描，網絡管理員能了解網絡的安全設置和運行的應用服務，及時發現網絡內計算機與服務器等網絡設備的各種漏洞和隱患，如端口和服務、系統漏洞、弱口令及共享文件等，并給出修正建議。此外，當有計算機接入涉密網絡中時，還可以通過掃描計算機的系統漏洞，自動對入網計算機進行系統補丁升級，確保所有接入涉密網絡的計算機系統漏洞都能及時得到修復，降低計算機被入侵攻擊的風險。

6.身份鑒別和授權。身份鑒別是保證涉密網絡安全的重要措施。經過身份鑒別進入涉密網絡的合法用戶，需要對其訪問系統資源的權限進行限制。設置訪問控制應當遵循“最小授權原則”，即在應當授權的范圍內有權使用資源，非授權范圍內無權使用資源。并且在授權時按照該人員的最高涉密等級進行身份認證授權。在涉密網絡中，工作人員的各種操作行為均需進行個人身份鑒別。

7.涉密計算機監控和審計。涉密計算機監控是指通過安全策略對受控計算機的移動存儲設備、外部連接設備、網絡連接等輸入輸出端口進行監控，防止非法文件拷貝、打印、掃描、非法外聯等安全事件的發生，對于正在發生的高危行為予以及時制止或預警。涉密計算機審計是指記錄涉密計算機用戶的實際操作，包括計算機訪問應用系統情況、文件的拷貝打印操作、病毒感染情況、擅自連接互聯網情況、非工作軟件的安裝和運行等內容，通過分析日志，能夠在事后有效發現用戶的違規操作或非法入侵行為，以便管理人員及時發現問題以及事后追究責任。

8.數字加密和數字簽名。

數據加密和數字簽名技術是提高涉密網絡安全性的必要手段。數據加密技術可以用于涉密文件的加密上，通過公鑰、密鑰的分發確保文件即使被盜取也無法解密。數字簽名是利用密碼技術生產一系列符號和代碼組成電子密碼進行簽名，來代替書寫簽名和印章。將數字簽名添加到文件正文中后，能夠保證文件的機密性、發送者身份真實性、文件數據的完整性和發送者對自己行為的不可否認性，構造一種更加完善、高強度的文件加密方案。

9.電磁泄漏防護。涉密網絡電磁輻射主要有四個因素產生：顯示器輻射、通信線路輻射、主機輻射、輸出設備（打印機）輻射。這些設備是依靠高頻脈沖電路工作的，由于電磁場的變化，必然要向外輻射電磁波。這些電磁波會把計算機中的信息帶出去，竊密者只要具有相應的接收設備，就可以通過接收電磁波從中竊取涉密信息。針對電磁泄漏可采用的防護措施有選用低輻射設備、利用噪聲干擾源、距離防護、電磁屏蔽等。

10.容災備份技術。涉密網絡中的數據安全是重中之重，但由于敵對勢力、自然災害或其他網絡、硬軟件故障、操作失誤、病毒等因素的影響，隨時可能導致數據丟失、破壞、業務中斷等災難事故的發生。容災技術可以保證在遭遇災害時信息系統能正常運行，實現業務連續性的目標，備份技術可以應對災難來臨時造成的數據丟失問題。在具體操作中，容災備份技術通常是將系統變化發生時的每個時間點都捕獲下來，一旦系統發生寫數據的動作，就實時復制將要寫入存儲的寫操作，在寫入本地磁盤的同時復制一份到本地或遠程數據保護中心，這樣一旦災難發生，就可以從數據保護中心中獲取丟失的數據。

涉密網絡保密管理措施

1.完善涉密網絡安全保密規章制度建設。規章制度是涉密網絡安全管理的基礎，只有建立了完善的安全管理制度，明確安全保密職責，才能確保涉密網絡和涉密信息系統正常、有效運行。涉密單位應根據國家出臺的相關規定，充分發揮創新精神，結合本單位的實際情況，按照“誰主管誰負責，誰運行誰負責，誰使用誰負責”的原則，建立有針對性的涉密網絡安全管理制度，將原則性的標準進行細化，明確安全職責的劃分和人員分工安排，讓涉密網絡的建設、管理、使用、維護等各個環節都有相應的制度作為保障。同時要對規章制度進行動態化的管理，及時發現規章制度中不適和問題，對規章制度的適應性進行改進。

2.提高工作人員保密意識和防護技能。工作人員的保密意識薄弱、保密防護技能缺乏是泄密事件發生的主因，由于網絡信息安全技術知識更新換代頻繁，一些工作人員平時不注重學習，認識不到安全威脅，保密意識淡漠，不注意個人的安全防護，認為涉密網絡安全防護是信息中心的事兒，與他們毫無關系。還有部分人員存在僥幸心理，為圖方便甚至不遵守相關安全規定，違規接入互聯網或外部設備，給涉密網絡防護帶來較大隱患。因此需要加強工作人員的保密意識和網絡安全意識，切實使更多的工作人員充分認清當前網絡條件下的保密形勢，認清網絡與信息技術快速發展給保密工作帶來的巨大負面影響，在思想上保持警惕，筑牢思想防線。同時要通過舉辦講座、學習班等形式普及涉密網絡安全防護知識，使其熟悉危害涉密網絡安全的行為以及其基本原理，讓安全操作成為一種工作習慣和自覺行為。

3.強化保密監督和檢查。保密監督和檢查是防止失泄密事件發生的有效手段。利用網絡安全技術做好日常保密監督和檢查是充分發揮涉密網絡防護體系作用的一個重要的環節，具體措施有：對非授權存取、非授權外聯、非授權接入采取必要的技術檢測手段，作出及時響應，并形成日志記錄；對涉密網絡中的設備運行態進行監測，例如可以每周查看安全審計記錄；每月對監控和審計系統的日志進行分析整理。通過日常化的保密監督和檢查，能夠及時發現存在的安全隱患與管理缺陷，及時消除安全隱患與改進管理，提升涉密網絡安全防護的技術水平和保密管理水平。

涉密網絡的安全保密防護和管理是一個涉及網絡信息安全技術和保密管理的龐大課題，而且隨著網絡技術的不斷發展，會出現越來越多新的安全保密防護問題，因此我們必須綜合運用各種新技術新知識，不斷完善和調整防護策略，才能構建一道網絡信息安全的銅墻鐵壁。

（作者單位：寧波國研軟件技術有限公司）