軍工信息系統分級保護建設與分析

◆賈曉軍

?

軍工信息系統分級保護建設與分析

◆賈曉軍

（太原理工天成電子信息技術有限公司 山西 030006）

軍工信息化是軍工企業實現辦公自動化、應用系統網絡化、管理信息化的重要組成部分，是衡量科技強軍水平的一個重要標志。目前，軍工企業基于專線網大力發展信息化水平，使科技強軍水平得到了提高。但是，基于信息化發展的信息安全問題日漸突出。本文從軍工信息系統分級保護背景出發，分析了分級保護實施過程以及實施過程中遇到的問題。

軍工信息系統分級保護；信息安全；虛擬局域網；防火墻；安全域

0 引言

近年來，隨著科技強軍步伐的推進，軍工系統的信息化建設水平有了顯著提高，系統內部已經基本上全面實現網絡化辦公、無紙化辦公。但是，隨著網絡技術的飛速發展，信息安全隱患問題已經滲透到社會的各個領域，做好軍工信息系統的分級保護工作已經迫在眉睫。本文通過作者在實施分級保護工作中的經驗和體會，對軍工信息系統分級保護工作的標準規范、實施步驟進行闡述，并對實施分級保護工作中遇到的問題進行分析。

1 分級保護項目背景

目前，我國軍工信息系統安全保障工作還處于起步階段。加快軍工行業信息系統的安全保障系統建設是國家信息安全體系建設的重要部分。隨著信息化的不斷發展，軍工行業的發展越來越依賴于信息系統，軍工信息系統是否安全關乎軍工行業的生存與發展。軍工信息系統是國家秘密非常集中的領域，一直是竊密與反竊密，滲透與反滲透的主戰場，據國家有關部門統計，在全國泄密事件中，軍工系統占有很大比例，由于一些軍工單位信息系統安全保障能力不夠，管理不力，導致信息泄密案件的比例逐年上升，安全保密形勢非常嚴峻。嚴格按照涉密信息系統分級保護的要求，加強軍工涉密信息系統建設意義重大。

軍工信息系統建設單位應根據《中華人民共和國保守國家秘密法》，以《涉及國家秘密的信息系統分級保護技術要求》（BMB17-2006）和《涉及國家秘密的信息系統分級保護管理規范》（BMB20-2007）為基礎，以《涉及國家秘密的信息系統分級保護方案設計指南》（BMB23-2008）為設計指南，并遵循“安全、實用、節儉”的原則，進行全面的、針對性的、可操作性強的方案設計。

2 系統定級及安全建設目標

根據信息系統被破壞后產生的損害，我國的軍工信息系統分為秘密級、機密級、絕密級三個密級。信息等級保護是我國實施信息安全管理的基本制度，應根據軍工信息系統處理信息的最高密級確定信息系統密級，并根據《涉及國家秘密的信息系統分級保護管理辦法》和《涉及國家秘密的信息系統分級保護技術要求》等標準和文件要求確定保護措施。安全保密建設目標是根據軍工涉密信息系統業務需求及信息現狀梳理和分析，規劃設計涉密網的基礎網絡設施、安全保密技術措施、安全保密管理體系，從基本要求、物理安全、運行安全、信息安全保密、安全保密管理等方面保證軍工信息系統內涉密信息的安全，確保涉密網的安全保密水平在技術上達到國家保密標準BMB17-2006中密級防護要求，安全管理上達到國家保密標準BMB20-2007中密級管理要求，促使項目建設結束后能夠通過國家保密局的分級保護測評。

3 建設內容

軍工信息網絡系統保護建設內容包括中心機房建設、安全系統、網絡系統、應用系統及終端建設工作，具體包括：身份認證系統、防火墻、漏洞掃描系統、網絡入侵檢測系統、網絡防病毒系統、主機監控與審計系統、三合一系統、相關的防電磁泄漏屏蔽措施等。項目總體階段包括方案設計階段、工程實施階段、工程試運行階段、工程驗收及測評階段。

4 分級保護中遇到的問題及分析

4.1 安全域劃分與定級

軍工信息網絡系統是一個獨立運行的網絡，將軍工信息網絡系統劃分為一個獨立的安全域，再根據應用功能不同，將安全域中再劃分為四個安全區，分別為：核心交換區、涉密服務器區、涉密用戶接入區、安全管理服務器區。

4.2 虛擬局域網（VLAN）技術的使用

VLAN中文又叫虛擬局域網，是指網絡中的站點根據需要可以靈活地加入到不同邏輯子網中的一種網絡技術。通過劃分VLAN，節省了帶寬，提高了網絡處理能力，防止廣播分暴，增強了局域網的安全性。基于交換式的以太網實現VLAN主機有三種方式，基于端口的虛擬局域網，基于MAC地址的虛擬局域網和基于IP地址的虛擬局域網。基于端口的虛擬局域網是適用面最廣的虛擬局域網，它可以跨越多個交換機，配置直觀簡單，所有VLAN成員不必局限于一個物理范圍內，軍工企業內部不同業務部門往往在同一樓層，或者同一辦公室，使用同一個交換設備，所以通過VLAN劃分能把不同業務部們分開。同時，通過交換機的控制，某一VLAN成員發送的數據包只能在同一VLAN之間發送，而不會發送給VLAN之外的其它終端，這樣就保證了涉密信息僅在本部門之間共享。基于端口方式劃分VLAN的缺點在于不夠靈活，由于系統內部大部分計算機終端都實行機隨人走的策略，當出現人員調動時，若新端口和舊端口不在同一個虛擬局域網內，就必須為他們重新配置IP地址。此外，若涉密信息需要在不同部門之間共享時，也存在因不在一個VLAN而無法傳送的問題。這就需要技術人員根據本單位情況具體問題具體分析，制定出最合理的VLAN劃分方式。

4.3 防火墻技術的應用

防火墻是用來阻檔外部不安全因素影響的內部網絡屏障，其目的就是限制未經授權的用戶訪問本企業的網絡和信息資源的措施，訪問者必需要能適用現行所有的服務和應用。它是一種計算機硬件和軟件的結合，使網絡之間建立起一個安全網關，從而保護內部網免受非法用戶的侵入。防火墻通常有兩種基本設計策略，黑名單策略（即允許任何服務，除非被明確禁止）和白名單策略（即禁止任何服務，除非被明確允許）。網絡級防火墻一般是基于源地址和目地地址、應用協議以及每個IP包的端口來做出通過與否的判斷。軍工信息系統防火墻一般部署在與外界軍工系統信息傳遞入口和涉密服務器安全域邊界處，通過配置防火墻可以防止內部信息的外泄，強化網絡安全策略。但由于各單位配置策略不盡相同，有的使用白名單，有的使用黑名單，就會出現防火墻啟用的情況下個別服務不能訪問的問題。這就需要整個系統內部上下級之間技術人員之間加強溝通，盡最大能力配置出安全系數最高、最合適的防火墻策略。

5 結束語

隨著軍工信息化技術飛速發展，信息系統分級保護管理工作責任重大，任重道遠，軍工企業員工也應該不斷提高，增強認識。通過實踐，我們充分認識到，領導重視、全員參與是做好分級保護管理工作的前提，提高能力、持續改進、構建長效機制是提升分級保護管理工作水平的關鍵。

[1]李元峰，蔡雅良.淺析涉密信息系統分級保護[J].信息安全與通信保密，2010.

[2]趙寶磊.淺談涉密信息系統分級保護工作的實施[J].信息技術與信息化，2010.

[3]王向超.入侵防御系統技術研究[J].中國科技信息，2009.

[4]楊宏寧，樂偉光.涉密信息系統分級保護建設中幾個常見問題分析[J].保密科學技術，2012.