武器装备信息系统安全建设策略与实践

刘恒　周庆新

【摘要】随着武器装备行业信息化应用水平的发展，网络信息安全建设普遍引起企业高度重视，如何构建安全、快速的信息系统应用平台已成为关注焦点。本文由目前国内行业信息安全建设形势引发思考，从物理安全、运行安全、信息安全保密角度介绍了如何加强信息系统安全建设，结合不同类型安全产品介绍如何部署及应用网络安全产品，最大程度做到信息系统可管、可用、可控的高层次管理。

【关键词】信息系统；安全；建设

【中图分类号】P208 【文献标识码】A 【文章编号】1672-5158（2013）01—0080-01

一、国内武器装备行业信息安全建设形势

近年武器装备行业越来越多的单位组建了局域网或广域网，营造快速、高效的工作氛围，各类业务管理系统得到较高水平应用，但信息化快速发展的脚步已成为一把双刃剑，信息安全的外忧内患（内外部安全）已引起高度重视。武器装备行业作为特殊行业，不容有半点涉密信息泄露。但是我们也遗憾的看到，随着信息技术的发展，行业内部失、泄密事件时有发生，最常采用的途径恰恰是通过网络盗取、传输国家涉密信息，给国家的政治、经济都带来了无法弥补的损失。信息安全问题亦引起国家相关部门高度重视，近年不断出台各类管理制度、管理规范，总体规划指导网络安全建设，使信息网络安全建设逐渐走向成熟。

二、信息安全建设角度

信息系统安全建设主要从物理安全、运行安全、信息安全保密三方面入手。

物理安全。作为信息化建设核心部位的中心机房、信息存储关键部位的选址应符合标准，机房建设应在防火、防水、防震、电力、布线、配电、温湿度、防雷、防静电等方面达到国家相关建设要求，为设备运行提供良好环境。采用有效的电子门控措施，实现关键部位的安全控制。加强输出设备安全控制，防止打印输出结果被非授权查看和获取。

运行安全。对关键业务数据定期备份，除本机备份外充分考虑物理环境威胁，防止异常事故发生时被同时破坏。信息系统中关键设备也应备份，可能的话重要服务器应进行热备份，实现服务器异常时的平滑切换，不影响终端业务正常运行。建立完善的系绕恢复预案，对预案进行完整测试和演练，充分考虑各种可能，将系统基本功能恢复时间或重建能力控制在有效时间内。提高各环节反应能力及速度，定期对预案进行演练，根据演练结果进行修订，保证预案的可实施性。

信息安全保密管理。对系统内部本地登录和远程登录进行身份鉴别，对信息系统中重要信息的访问应采取强制访问控制策略，按照主体类别、客体类别进行访问控制设置。

三、安全产品部署及应用

防火墙：网络安全建设初期，综合考虑各部分访问控制情况，至少规划三个安全域，应用服务器域、安全管理服务器域、终端应用域，三个安全域接人防火墙不同接口，通过设置访问控制策略限制各域访问端口，实现第一层网络级访问控制，企业还可根据需要增加其他安全域满足其他访问控制需求，提高访问控制强度。访问控制列表最后应增加一条any到any的禁止策略，封锁一切不必要的端口。

CA认证系统：CA认证系统包含证书密钥管理系统、身份认证介质、安全代理网关和系统控制中心。证书密钥管理系统部署在信息系统安全管理组，身份认证介质配发给终端用户，证书密钥管理系统为身份认证介质分发数字证书，证书代表介质持有人用户身份；安全代理网关部署在防火墙与应用服务器组间，所有应用系统被代理网关隔离在受信网段内，安全代理网关代理应用服务器的服务端口，用户需要访问代理网关后面的应用服务器时，首先需通过身份认证系统认证，认证通过后，身份认证系统自动建立用户身份传递给应用系统。根据终端用户不同职能赋予每个人不同的角色，按照角色分配可以访问对应服务器端口。

漏洞扫描：漏洞扫描系统一般可分为独立式部署和分布式部署。对于规模较大的武器装备企业，一般都是组织结构复杂、分布点多、数据相对分散，因此多采用树形拓扑或者混合型拓扑。企业可根据自身的情况设置一台或多台漏洞扫描分析机，若拓扑结构简单，建议设置一台分析机，部署在核心交换设备上，漏洞扫描分析机通过核心交换设备扫描网络内部所有计算机，若拓扑结构复杂，建议使用分布式系统部署。

入侵检测：入侵检测部署方式较为单一，一般旁挂在核心交换机上。交换机开启镜像端口，将其他干线接口或普通接口镜像到镜像口，然后与入侵检测业务口相连接即可。同时为了对网络中的攻击达到较好的防御效果，一般采取入侵检测和防火期联动。即在入侵检测设备检测网络攻击行为时，及时和防火墙通信，由防火墙阻断非正常流量。

四、控制关键点：三分技术，七分管理

在信息安全领域“三分技术，七分管理”已成为不争的事实。任何高水平的技术措施或多或少掺杂人为因素，因此必须辅以严谨的管理措施才能达到最佳的应用效果。武器装备企业涉密信息的外泄已成为管理重点，必须严防死守信息的输入输出控制。系统内信息的输入输出有多种途径，包括承载电子格式数据的光盘、软盘、U盘、硬盘等，输入输出纸介质的扫描仪、打印机等。

介质安全：近年网络上流行摆渡病毒，以隐藏文件的形式存留在移动存储介质中达到窃取信息的目的。由于此病毒较为隐蔽不易被人发现，操作不当很容易将系统内部信息带出内部网络。针对这种可在介质中回写的病毒，开发商已研制出集单项导入、专用移动存储介质和违规外联相结合的三合一产品。单项导入设备，即普通U口移动存储介质可以直接插在该设备上，设备内部采用光纤传输，在物理条件上杜绝信息回写的可能。专用移动存储介质，与普通移动存储介质接口不同，须插入专用设备后接入受控计算机，方可实现读写功能，对于其他未授权计算机无法使用。管理上，封闭信鼠系统内部所有光驱、软驱、USB移动存储设备接口，信鼠输出工作归口到不连接任何网络的单机计算机。

打印安全：集中控制，设立独立打印间，保证输出介质可控，严格履行打印审批手续，打印管理员依据审批单发放打印文件。不具备集中打印条件的企业应限制打印输出点数量，为防止打印信息被非授权查看，禁止网络共享打印功能，只授权打印管理员打印权限，履行打印审批手续后由打印负责人打印相关内容，并及时交予申请人。

完善制度和管理措施：建立完善的信息系统管理制度。管理制度应结合武器装备企业自身实际情况，达到严谨、操作性强的标准，从系统安全策略管理、操作系统管理、设备管理、应用软件开发管理、应急备份管理、人员行为管理、文档管理、涉密载体管理等多方面，建立起一整套具有权威性信息安全保密管理制度，用铁的手段保证制度的执行，靠制度来管人管事，最终建立长效机制，使信息安全保密管理更加规范有序。