浅谈涉密计算机网络的安全防护措施

赵瑞霞

福建省福州市61716部队 福建 350001

0 引言

随着计算机网络异常迅猛的发展，网络逐渐成为企业、政府及各种组织的重要信息载体和传输渠道，成为人们日常工作中不可缺少的一部分。网络及其所带来的信息数字化大幅度提高了人们的工作效率，使得海量信息存储和处理成为现实。计算机网络在工作中越来越广泛、深入的运用，给工作带来便利的同时，也给安全保密工作带来了新的问题，防止计算机信息系统的泄密，已成为保密工作中一项重要任务与挑战。

涉密信息系统的基本防护手段是将涉密内网和国际互联网进行物理隔离，以防止病毒、木马，但这样是远远不够的。黑客技术的不断发展使得其攻击行为也早已不单单是利用漏洞编制相应的程序攻击，更可以利用人们的不良使用习惯，采取相应的策略实施攻击、窃取、控制等行为。计算机网络安全问题是一个涉及面非常广的问题，所以要做好计算机网络信息安全保护，就要从多方面入手，集成各种各样网络安全保护技术，使计算机的网络信息安全可靠。要实施一个完整的网络信息安全系统，至少应该包括三类措施：法律法规、规章制度和安全教育等外部环境；技术措施以及审计和管理措施。下面对本部计算机网络系统安全防护采取的主要技术措施及审计管理措施进行简要介绍。

1 安全防护的技术措施

1.1 物理安全策略

物理安全策略目的是保护计算机系统、网络设备等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击，以及非法入室的偷窃盗取等，采取的主要措施有：

（1）严格控制机房的“温度、湿度、洁净度”，采取防静电措施；

（2）机房实施防雷和接地；

（3）配备合适的UPS电源系统，保证供电安全；

（4）配备防火、防盗设施，以及门禁系统和监控系统。

1.2 终端安全防护措施

1.2.1 内部安全监控和失泄密保护

接入内网的终端要按规定设置 BIOS、操作系统和屏幕保护口令，并且一律安装计算机及涉密载体保密管理系统，对包括外设、接口、网络等的访问进行严格控制，外设主要包括打印机、光驱、移动硬盘、数码相机、以太网卡、无线网卡、红外、蓝牙、MODEM、鼠标、键盘等，接口主要包括USB接口、串口、并口等，防止滥用外设、内外网混用存储介质等，以避免由此带来的失泄密及病毒、木马感染等隐患。

1.2.2 安装杀毒软件并及时升级病毒库

终端用户统一安装防病毒软件，清除病毒和木马程序，并定期组织病毒库更新、升级。

1.2.3 操作系统安全策略管理

终端用户可以通过安装360安全卫士或者瑞星卡卡实现对操作系统安全策略的配置和管理，包括账户密码策略、账户锁定策略、审核策略、目录共享策略、屏保策略、补丁分发策略等，对客户端操作系统的安全性进行必要的设置，使其能够关闭不必要的服务和端口、避免弱口令、删除默认共享、及时更新系统补丁等，消除操作系统级的安全风险。

1.3 严格的访问控制保证网络接入安全

1.3.1 物理层访问控制

在物理层面限制用户非法接入网络。主要措施：关闭空闲的交换机端口，避免非法用户接入；在交换机上配置 IP+MAC+ PORT 绑定策略，防止合法用户的网络滥用；强化网络准入限制，禁止无线接入内部网。

1.3.2 网络层访问控制

网络层实施的访问控制措施主要有：VLAN间访问控制；防火墙安全策略等。

（1）利用VLAN技术实现各部门的逻辑隔离

根据业务类型以及访问权限划分不同级别的用户VLAN群，通过在交换机上划分VLAN实现用户群之间的隔离，可以强化网络管理和网络安全，控制不必要的数据广播，提高网络的安全性。VLAN之间的连通与隔断通过在交换机上配置访问控制列表实现。

（2）利用防火墙实现不同安全域之间的访问控制

防火墙是一种传统的安全设备，很方便实现不同安全区域之间的网络访问控制。重要的办公、业务系统服务器区、网络管理区等重要级别与普通用户区之间的隔离用防火墙来实现。通过实施安全访问控制规则，实现“禁止高密级信息由高等级安全域流向低等级安全域”。

1.3.3 应用层访问控制

按照保密要求，对涉密信息和重要信息的访问控制，主体控制到单个用户，客体控制到信息类别。对不同级别的用户进行权限分配与访问控制。

1.4 安全评估与加固

被动防御不如主动查漏补缺。定期对计算机、存储载体、应用系统和重要数据库进行漏洞扫描和隐患排查。

1.5 重要数据备份

定期对重要数据库、应用系统、网络核心设备以及安全设备配置文件、日志信息等进行备份。

2 安全防护的管理、审计措施

2.1 全面的日志收集与分析

定期组织网络安全行为审计，检测和分析用户行为、网络访问审计记录，对可疑行为和违规操作采取相应措施。除此之外还对网络设备、安全设备、操作系统、应用系统等设置日志系统，以监督系统管理员、安全员的行为。

2.2 系统管理员权限分割

系统管理员是一个特殊的群体，既要维护系统运行，行使管理职能，如果在系统运行时不采取措施，系统管理可以拥有控制系统的权利，可以访问系统中任何信息，这对涉密系统而言是不可接受的。所以，要对系统管理员进行权限分割，如普通管理员、用户管理员以及审计员具有不同权限，来制约管理员的行为。

另外还采用IP地址静态分配和实名管理，准确掌握IP地址归属；下载互联网信息采用一次性光盘刻录等方式等管理措施。

3 结束语

计算机网络安全是一项系统工程，不能认为进行了技术上的安全配置，计算机就是决对安全的，我们只能说一台计算机在一定的情况下一定的时间内是安全的，随着病毒、木马及网络结构的变化、新的漏洞的发现、用户的操作，计算机的安全状况是随时随地都在变化着的。所以，要想做好计算机网络安全保密工作，除了必要的技术防范以外，更重要的是要让安全意识和安全防范制度贯穿大家的工作、学习、行动中。

[1]周至鸣.浅探办公自动化的安全防范与措施.网络安全技术与应用.2010.

[2]张淮.网络安全系统在涉密单位的应用设计.网络安全技术与应用.2010.

[3]袁津生.计算机网络安全基础(修订本).北京:人民邮电出版社.2004.

[4]董军.白领就业指南:网络安全分析师之路.北京:电子工业出版社.2006.