淺談軍工企業(yè)信息安全及保密技術(shù)的研究

◆吳 思 王子平 郭 萌

（北京宇航系統(tǒng)工程研究所 北京 100076）

淺談軍工企業(yè)信息安全及保密技術(shù)的研究

◆吳 思 王子平 郭 萌

（北京宇航系統(tǒng)工程研究所 北京 100076）

軍工企業(yè)網(wǎng)絡(luò)是涉及國(guó)家安全的重要基礎(chǔ)設(shè)施，網(wǎng)絡(luò)的安全關(guān)系到國(guó)家的安全，目前網(wǎng)絡(luò)攻擊者不斷提高其技術(shù)，給信息安全的防護(hù)帶來(lái)了更高的挑戰(zhàn)。本文介紹了當(dāng)今軍工企業(yè)網(wǎng)絡(luò)安全面臨的諸多問題，針對(duì)這些問題提出了相應(yīng)的措施。

網(wǎng)絡(luò)安全；軍工企業(yè)信息；保密技術(shù)

0 引言

信息化作為當(dāng)今時(shí)代發(fā)展的大趨勢(shì)，是推動(dòng)經(jīng)濟(jì)社會(huì)變革的重要力量。大力推進(jìn)信息化，軍工制造業(yè)正在向以信息化、網(wǎng)絡(luò)化為特征的“數(shù)字軍工”發(fā)展，信息化成為軍工企業(yè)提高核心競(jìng)爭(zhēng)力的重要內(nèi)容。

1 軍工企業(yè)信息安全的影響因素

軍工企業(yè)負(fù)責(zé)國(guó)家軍備生產(chǎn)任務(wù)，網(wǎng)絡(luò)中的數(shù)據(jù)必須時(shí)刻高度保密，尤其需要加強(qiáng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全。網(wǎng)絡(luò)系統(tǒng)要防止未經(jīng)授權(quán)的訪問或遭受破壞和非法入侵，要防止敏感數(shù)據(jù)盜竊或非法復(fù)制等。構(gòu)建一個(gè)安全網(wǎng)絡(luò)架構(gòu)系統(tǒng)，防止內(nèi)部信息泄露是軍工企業(yè)網(wǎng)絡(luò)必須關(guān)注的問題。

1.1 計(jì)算機(jī)病毒的威脅

近年來(lái)，由于軟件功能日益復(fù)雜，漏洞日益增多，越來(lái)越多的非安全節(jié)點(diǎn)可以從多種途徑連接到企業(yè)內(nèi)部網(wǎng)絡(luò)，從漏洞被發(fā)現(xiàn)到發(fā)現(xiàn)病毒攻擊的時(shí)間越來(lái)越短，病毒的感染可以帶來(lái)諸多難以預(yù)計(jì)的后果。

1.2 外部黑客攻擊

企業(yè)外部攻擊多數(shù)利用遠(yuǎn)程登錄或木馬的方式通過(guò)系統(tǒng)漏洞進(jìn)行攻擊，黑客通過(guò)掃描系統(tǒng)漏洞收集被攻擊服務(wù)器信息從而得到賬戶授權(quán)入侵至內(nèi)網(wǎng)。

1.3 企業(yè)內(nèi)部人員竊取

根據(jù)統(tǒng)計(jì)，被攻擊的服務(wù)器多數(shù)來(lái)自內(nèi)網(wǎng)員工的惡意威脅，內(nèi)部人員的攻擊對(duì)于外部黑客的威脅更大也更容易進(jìn)行。

2 主要的信息安全技術(shù)措施

2.1 物理隔離

根據(jù)《計(jì)算機(jī)信息系統(tǒng)國(guó)際互聯(lián)網(wǎng)保密管理規(guī)定》“涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)，不得直接或間接與國(guó)際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡(luò)相連接，必須實(shí)行物理隔離。”軍工企業(yè)多為涉密單位，為保障涉密信息的安全物理隔離已成為防范外部遠(yuǎn)程攻擊的最直接和有效手段。

采用物理隔離用戶可根據(jù)需要采用網(wǎng)閘設(shè)備隔離或空間隔離。空間隔離保證涉密網(wǎng)與非涉密網(wǎng)保持一定安全距離，可采用專用介質(zhì)進(jìn)行數(shù)據(jù)傳輸。

物理安全策略：門禁系統(tǒng)，視頻監(jiān)控，防電磁。

2.2 防火墻技術(shù)

防火墻是一種實(shí)施訪問策略的系統(tǒng)，它作為一道網(wǎng)絡(luò)之間信息交換的安全屏障，隔離外部網(wǎng)絡(luò)的惡意信息流，阻止非可信任用戶進(jìn)入到受保護(hù)系統(tǒng)。防火墻也可以限制一個(gè)內(nèi)聯(lián)網(wǎng)段對(duì)另一個(gè)內(nèi)聯(lián)網(wǎng)的訪問，它就像是網(wǎng)絡(luò)中的“咽喉”，因?yàn)樗型ㄐ哦紡倪@里流過(guò)，并且也是所有流量被檢查和限制的地方。

防火墻可以是運(yùn)行軟件防火墻產(chǎn)品或硬件防火墻設(shè)備。它監(jiān)視流進(jìn)和流出其保護(hù)的網(wǎng)絡(luò)數(shù)據(jù)包，過(guò)濾掉不滿足安全策略要求的數(shù)據(jù)包。

多數(shù)情況，企業(yè)還可以通過(guò)設(shè)立防火墻構(gòu)建（DMZ）區(qū)，DMZ位于受保護(hù)網(wǎng)絡(luò)和未受保護(hù)網(wǎng)絡(luò)直接的網(wǎng)段。它提供了一個(gè)在危險(xiǎn)公網(wǎng)和企業(yè)內(nèi)網(wǎng)的緩沖區(qū)域，通常包括WEB服務(wù)器、郵件服務(wù)器和DNS服務(wù)器等。

2.3 入侵檢測(cè)系統(tǒng)

入侵檢查系統(tǒng)(IDS)是動(dòng)態(tài)的防御技術(shù)，可以從網(wǎng)絡(luò)系統(tǒng)中多個(gè)觀測(cè)點(diǎn)收集信息、分析信息，從而發(fā)現(xiàn)網(wǎng)絡(luò)中違反策略或遭受攻擊的跡象。

防火墻更重要的作用是抵御外部攻擊，而入侵檢測(cè)系統(tǒng)是一種主動(dòng)防御技術(shù)，實(shí)時(shí)地對(duì)涉密網(wǎng)中異常情況進(jìn)行監(jiān)控，不僅可以監(jiān)測(cè)到外部攻擊也防止內(nèi)部人員的惡意破壞，有效地彌補(bǔ)了防火墻的不足，被認(rèn)為是防火墻后的第二道閘門。

入侵檢測(cè)技術(shù)具有監(jiān)視分析用戶和系統(tǒng)的能力。審計(jì)系統(tǒng)漏洞和配置、感知系統(tǒng)和數(shù)據(jù)的完整性、識(shí)別攻擊行為，使系統(tǒng)管理員可以高效地審查、監(jiān)視或評(píng)估網(wǎng)絡(luò)安全。

不過(guò)目前的入侵檢測(cè)也存在自身問題：1、在較大規(guī)模的網(wǎng)絡(luò)環(huán)境中監(jiān)測(cè)并非十分精確；2、經(jīng)常出現(xiàn)誤報(bào)與漏報(bào)的現(xiàn)象，系統(tǒng)管理員常陷于海量的告警信息中難以識(shí)別真正的告警信息而疲于使用該產(chǎn)品。因此在IDS的基礎(chǔ)上結(jié)合入侵防御系統(tǒng)IPS（Intrusion Protect System），即更為智能的防御系統(tǒng)，能夠更精確地定位危險(xiǎn)存在。

2.4 防病毒軟件

防病毒軟件掃描通過(guò)特定協(xié)議傳遞的文件、電子郵件或其他數(shù)據(jù)，然后將它們與病毒特征數(shù)據(jù)庫(kù)進(jìn)行比較。如果匹配成功，防病毒軟件將執(zhí)行預(yù)先設(shè)置的活動(dòng)，如隔離文件、刪除病毒、向用戶發(fā)送一個(gè)警告消息并記錄事件。防病毒軟件可以有效地防御病毒以及木馬等惡意程序。

2.5 主機(jī)監(jiān)控與審計(jì)系統(tǒng)

主機(jī)監(jiān)控與審計(jì)系統(tǒng)是軍工涉密網(wǎng)強(qiáng)制要求進(jìn)行安裝使用的安全產(chǎn)品，用戶登錄使用USBkey或IC卡等手段進(jìn)行認(rèn)證。其作用主要針對(duì)硬件端口，包括串口、并口、1394接口、藍(lán)牙紅外等端口進(jìn)行禁用控制。能夠?qū)K端用戶的操作以及資源情況進(jìn)行審計(jì)，有效監(jiān)測(cè)終端用戶是否進(jìn)行違規(guī)操作。

2.6 漏掃技術(shù)

漏洞掃描系統(tǒng)連接到涉密網(wǎng)系統(tǒng)，并對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)漏洞進(jìn)行安全掃描，給出按照風(fēng)險(xiǎn)類別等級(jí)的掃描結(jié)果。漏洞掃描可分為獨(dú)立式部署和分布式部署。

2.7 防病毒系統(tǒng)

防病毒系統(tǒng)俗稱殺毒軟件，計(jì)算機(jī)感染病毒后會(huì)出現(xiàn)無(wú)法正常啟動(dòng)、死機(jī)、文件無(wú)法打開、系統(tǒng)內(nèi)存不足、丟失文件等各種系統(tǒng)問題。系統(tǒng)管理員需定期及時(shí)升級(jí)殺毒軟件，根據(jù)審計(jì)日志分析病毒趨勢(shì)并提前采取防范措施。

2.8 身份認(rèn)證系統(tǒng)

身份認(rèn)證系統(tǒng)串接在終端和服務(wù)器中間，應(yīng)用系統(tǒng)被身份認(rèn)證系統(tǒng)隔離在被信任網(wǎng)段中，所有用戶需要訪問身份認(rèn)證系統(tǒng)并通過(guò)認(rèn)證后，身份認(rèn)證系統(tǒng)會(huì)自動(dòng)將用戶身份傳遞至應(yīng)用系統(tǒng)中。

2.9 電磁泄露發(fā)射防護(hù)系統(tǒng)

涉密環(huán)境中紅設(shè)備（涉密設(shè)備）與黑設(shè)備（非涉密設(shè)備）之間應(yīng)保持一定距離；辦公環(huán)境使用移動(dòng)設(shè)備裝置等應(yīng)與涉密相關(guān)設(shè)備保持一定距離隔離。電磁泄露防護(hù)系統(tǒng)可參照 BMB5-2000的相關(guān)標(biāo)準(zhǔn)要求實(shí)施。

2.1 0安全管理

涉密信息系統(tǒng)根據(jù)國(guó)家保密相關(guān)標(biāo)準(zhǔn)規(guī)定應(yīng)配備系統(tǒng)管理員、安全保密管理員和安全審計(jì)員，實(shí)行“三員分立”制度。分別是系統(tǒng)管理員負(fù)責(zé)網(wǎng)絡(luò)系統(tǒng)、服務(wù)器系統(tǒng)的日常運(yùn)維管理和維護(hù)技術(shù)支持；安全保密管理員負(fù)責(zé)制定安全策略，授權(quán)等相關(guān)職責(zé)；安全審計(jì)員負(fù)責(zé)對(duì)前兩員的操作進(jìn)行審計(jì)、跟蹤、分析和監(jiān)督檢查，以及時(shí)發(fā)現(xiàn)違規(guī)行為。

3 結(jié)束語(yǔ)

涉密網(wǎng)絡(luò)安全保密是軍工科研單位取得生產(chǎn)資格的重要條件。在網(wǎng)絡(luò)和信息化飛速發(fā)展的今天，信息安全的問題越來(lái)越受到人們的重視，信息安全的建設(shè)并不能一勞永逸，企業(yè)需構(gòu)建完善的安全體系，引入風(fēng)險(xiǎn)分析以及控制措施，信息安全的工作者們也需不斷與時(shí)俱進(jìn)提高技術(shù)實(shí)力和保密意識(shí)來(lái)應(yīng)對(duì)未來(lái)信息領(lǐng)域的威脅。

[1]蔡貴榮.提高計(jì)算機(jī)網(wǎng)絡(luò)可靠性的研究方法[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015.

[2]王麗.安全信息化的建設(shè)和實(shí)現(xiàn)[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2016.

[3]常健.典型軍工科研生產(chǎn)基地規(guī)劃[J].數(shù)字軍工，2015.