軍工企業網絡安全技術研究綜述

（航天人才 北京 100830）

目前，軍工企業普遍使用計算機進行科研設計和生產工作，同時，為了滿足科研生產的需要，軍工企業也建立了面向企業內部的局域網和必要的外部互聯網接口。計算機網絡的構建大大促進了科研生產的進度，使我國的軍事裝備不斷發展創新，增強了我國的國防力量。但隨著計算機網絡技術的發展，來自網絡安全方面的問題也日益嚴重，由此造成的失泄密事件也時有發生。因此，軍工企業的網絡安全問題一直是計算機網絡安全技術研究的重點內容。

本文對我國軍工企業網絡安全研究的現狀、內容及解決措施進行了簡要概述，并對各種解決方法進行了比較。最后，對我國軍工企業網絡安全的發展做了簡要總結。

1 軍工企業網絡安全研究內容及現狀

近年來，各軍工廠所都建立了各自的內部網絡和專用的外部互聯網絡。軍工企業網絡技術普及的同時也為軍工企業的保密工作提出了更高的要求，從最初的對人員保密安全教育發展到對信息安全技術的提高。

軍工企業作為我國國防科工委的下屬單位，其進行的科研生產項目都是國家的保密項目，一旦某個環節發生失泄密事件，將對我國的國防外交造成潛在的危害和惡劣的影響。所以保密工作是軍工企業各項工作中極其重要的一部分。

1.1 軍工企業網絡安全面臨的問題

目前，我國軍工企業網絡安全面臨的問題主要集中在以下幾方面：

（1）人員的保密安全意識不強[1]

人員因素是造成失泄密首要因素。現今軍工科研生產相關人員大多使用計算機進行科研生產工作，個別人員在涉密信息的產生、交換、處理上保密意識淡薄，導致失泄密事件的發生。更有極個別人員借工作便利有意竊取、泄露國家秘密，致使我國的科研工作遭受不利影響。

（2）保密及網絡管理部門保密措施不完善

這里的措施不完善包括兩個方面：一是制度的不完善，在對涉密人員進行保密教育、檢查及日常行為準則方面要求的不夠嚴格；二是對計算機、網絡設備的管理及安全防范措施不完善。

1.2 軍工企業網絡安全研究的內容

現階段我國軍工企業網絡安全研究主要集中在以下幾個方面：

1.2.1 網絡安全保密制度

（1）人員的保密安全教育[2]；

（2）入網審批制度；

（3）計算機及網絡信息交換設備使用規定；

（4）涉密信息的產生、交換、處理規定。

1.2.2 網絡安全防護技術措施[3]

（1）網絡終端的安全防護技術措施；

（2）網絡設備的安全防護技術措施；

（3）網絡安全的審計與監督。

2 軍工企業網絡安全技術

本文主要對軍工企業網絡安全的技術研究作探討，軍工企業網絡安全其他方面（如制度、管理規定等）的研究在此不作重點討論。

根據對軍工企業網絡安全研究的現狀分析，本文對軍工企業網絡安全的技術措施作了以下綜述性研究。

2.1 物理隔離技術

本地涉密計算機上存儲著重要的科研生產涉密信息，在沒有實現本地計算機與外部互聯網物理隔離的情況下，一些有意竊取、攻擊本地計算機的人員很可能對本地計算機造成傷害。尤其使涉密資料遭受破壞或被竊取。

為此，涉密計算機必須從根源上隔斷與外部網絡的連接[4]。實現物理隔離的技術措施包含以下幾個方面：

（1）本地計算機電源采用紅黑隔離電源

紅黑隔離電源是一種具有隔離屏蔽作用的插座，是為本地計算機配備的專用插座。該插座只允許本地涉密終端連接供電，一旦有其他未知電子設備（如無線及電子信息存儲設備）連接到該電源上，該隔離電源會屏蔽外接電子設備的信息交互行為。

（2）拆除光驅、USB 等外部連接端口

本地涉密計算機實現物理隔離的另一項重要措施是切斷本地計算機與外部信息交互的接口（合規要求接口除外）。為了防止涉密資料從本地計算機通過硬件拷貝手段流失，涉密計算機在使用審批前就要將光驅、無線網卡、多余的USB 端口進行拆除處理，本地計算機僅保留必要的網卡及用于身份認證的USB 端口。

2.2 信息綁定技術

本地涉密計算機入網（內部局域網）實行入網申請審批制度，網絡管理部門要對入網的用戶基本信息（用戶名、ID、所屬部門等）、計算機基本信息（標識碼、處理器、操作系統類型、網卡信息等）和網絡綁定信息（ip、網絡接入端口、操作權限等）進行詳細登記。

這里需要特別說明的是，每一臺涉密計算機接入內網的ip 地址是網絡管理部門為其分配的固定的ip，并與入網人員的基本信息進行綁定，實行一人一機，固定人員、固定地點登錄[5]。這樣既有利于本地計算機的管理，也便于對本地計算機進行實時監測控制。

2.3 身份認證技術

目前，涉密人員登錄本地計算機一般采用硬件密鑰與口令相結合的方式。

硬件密鑰（通常是Ukey）是指計算機進入操作系統時需要認證的密碼存儲設備，認證正確才能登入操作系統。首先通過 PKI 系統生成用戶的私鑰存儲在UKey 中，然后將對應的用戶登錄密碼及聯網密碼存儲在與該密鑰對應的計算機特定位置上[6]。

計算機口令采取兩級口令方式，即Bios 口令和操作系統登入口令。計算機口令只能由操作該計算機的本人設置和知悉，同時為了防止破譯，密碼的設置不允許是簡單的純數字或純字母形式。

用戶每次登錄計算機時，均需要先插入硬件UKey，然后輸入Bios口令，計算機認證正確后運行Windows 登入程序，用戶需再次輸入Windows 登錄密碼，計算機認證Ukey 信息和登錄密碼均正確才能登錄操作系統。

此種兩級密碼加硬件Ukey的身份認證方式大大降低了計算機被非法用戶入侵的可能，增強了涉密計算機的安全性。

2.4 日志及審計技術

軍工單位根據涉密人員的職責權限及工作內容的不同，對涉密人員可操作的涉密信息內容實行分級管理。涉密網絡在對人員進行權限設置時，只對與操作權限相對應的模塊進行授權。

涉密資料的產生包括電子資料及紙質資料。對于電子資料，刻錄光盤需進行集中刻錄，刻錄機對刻錄的信息進行記錄并存檔。紙質資料的產生同樣進行集中打印，打印機系統對打印的信息進行記錄并存檔。

在涉密信息交換時，涉密郵件必須標明相應密級，涉密郵件在內網或專網之間傳送時，網絡監測系統實時檢測涉密信息內容及操作情況[7]。

2.5 網絡監督及防護技術

網絡監督和防護包括涉密信息流轉和外部入侵監控兩方面內容。

一是涉密信息流轉監控。軍工企業內部建立實時網絡監控系統，對涉密信息的流轉進行日志記錄和審計。本地計算機通過內網或專網對涉密信息進行流轉時，網絡監控系統會對涉密信息流轉的路徑和內容進行監控，一旦發現有可疑現象，監控系統立即對該信息進行攔截，并向信息管理部門發出報警。

二是外部入侵監控。針對外部入侵的威脅，每一臺本地涉密計算機都要安裝病毒查殺及監測軟件。同時，網絡安全防護系統對外部惡意攻擊進行實時監測和攔截[8]。

2.6 各技術措施的比較

本地計算機物理隔離是從物理隔離角度采取的措施，其技術實施難度低，易于操作；涉密計算機入網對用戶、本地計算機及ip 等進行綁定是控制用戶網絡操作權限的一項重要措施；身份認證技術使得特定用戶登錄指定的計算機，規范了計算機的使用和管理，能夠有效防止惡意竊取、修改涉密信息的行為；涉密信息的產生、交換所采取的監測及自動登記措施，能夠有效規范涉密信息的流轉，防止涉密信息的泄露；網絡監督防護措施能夠防止內部涉密信息違規流轉和外部惡意攻擊。

上述網絡安全技術措施從不同方面對軍工企業網絡安全進行了防護，幾種措施的結合使用能夠極大提高軍工企業內部網絡的安全性。

3 結束語

本文介紹了近年來我國軍工企業網絡安全的現狀及網絡安全研究的內容，并對具體的網絡安全技術進行了分析、比較。軍工企業網絡安全技術的重要性不言而喻，更為先進智能的網絡安全技術也不斷取得新突破，如近年來興起的分布式網絡入侵檢測技術及智能網絡監測技術，這些技術一旦成熟也將逐步應用到軍工網絡安全工程中來。