信息安全保密管理措施及技术防护要点

◎张学深

一、前言

由于计算机网络的开放性、互连性等特征，致使网络易受黑客、恶意软件等的攻击，尤其是军工企业的涉密网络，网络的安全和保密工作就显得尤为重要。因此，如何确保网络安全，提高网络防护能力，严防失泄密事件的发生，已成为涉密网络建设与应用中必须加以密切关注和高度重视的问题。为此我们必须做到思想认识到位、管理措施到位、技术保障到位，切实做好涉密网络安全工作。

二、涉密网络运行中存在的安全问题

涉密信息网络是与国际互联网等其他网络实行物理隔离的独立网络。但是存在电磁辐射、移动存储介质交叉使用、系统漏洞等隐患，再加上涉密信息网络建设、运行、使用的时间不长，管理人才缺乏、经验不足，必然存在一些安全隐患问题。如网络安全知识缺乏，网络安全意识不强引发安全隐患；人为对网络恶意攻击造成的安全隐患；计算机软件自身存在的漏洞和"后门"以及设备本身存在安全隐患。

三、信息安全保密管理措施

"三分技术七分管理"是网络安全领域的一句至理名言，其意为：网络安全中的30%依靠计算机系统信息安全设备和技术保障，而70%则依靠用户安全管理意识的提高以及管理模式的更新。

1.注重管理，落实领导责任制。

各单位党政领导要从讲政治的高度，切实加强涉密网络安全工作的领导。各个业务部门的领导要亲自抓好网络应用中的保密工作，为了明确责任，应该把履行保密工作责任制纳入到领导干部年度考核中来，严格落实责任追究制。

2.积极引进技术人才，加强教育培训。

保密管理部门技术人才特别是计算机专业技术人才是相对缺乏的。针对这一实际情况，要积极引进计算机专业技术人才。强化网络安全教育，增强全体员工的安全防范意识

3.加强制度建设，筑牢网络安全工作的制度防线。

在涉密网络中，加强网络的安全管理，制定有关规章制度，对于确保网络的安全、可靠地运行，将起到十分有效的作用。对计算机应用的各个环节，要制订出符合实际，操作性强的规章制度，制定网络系统的维护制度和应急措施、预案等。同时要建立健全上互联网信息保密领导责任制，使计算机安全保密工作有章可循，网络保密在各个环节都严格加以控制。

4.制定标准，确保监督检查到位。

各单位保密管理部门与信息化管理部门应组成检查组，按照标准，结合日常管理中的薄弱环节。定期对本单位进行深入的专项检查。为了提高保密监督检查的时效性，定期变更检查题纲及范围，对于业务工作中存在信息安全风险提前发出提示预警，变事后惩罚为事前预防。

四、信息安全保密技术防护要点

1.实行涉密信息系统与其它公共信息网络的物理隔离。

严禁涉密信息网络直接或间接地与国际互连网或其它公共信息网络相联接。涉密信息系统与其它公共信息网络必须实行物理隔离，这样可以有效地防止黑客访问或病毒入侵。

2.防止计算机电磁辐射泄密。

对机房设备、线路进行保护性的屏蔽处理，并建设屏蔽机房，对重要的涉密网络终端显示设备安装视频干扰器，在机房电源线路上加装红黑隔离插座，从而避免因电磁辐射出现信息被窃取的情况发生。

3.使用身份鉴别技术。

一般而言，常用的身份鉴别技术包括：基于口令的鉴别方式、基于智能卡的鉴别方式、基于生物特征的鉴别方式、一次性口令等鉴别方式。

4.采用防火墙与防病毒技术是提高网络安全性的关键。

防火墙是一种保护计算机网络安全的技术性措施，它是一个用以阻止网络中的黑客防问某个网络屏障。采用防火墙技术，通过在网络边界上建立起来的通信控制系统来实现网内不同功能子域的化分，以阻挡非法访问，从而实施安全访问控制，提高涉密网络的安全性。安装网络版防病毒软件，并及时升级病毒代码库，及时发现病毒并予以清杀，可有效阻止其在网络上蔓延和破坏。

5.利用虚拟局域网（VLAN）技术提高内网的安全性。

采用虚拟局域网提供的安全机制，可以限制特定用户的访问，控制广播组的大小和位置，甚至锁定网络成员的物理（MAC）地址，这样中，就限制了未经安全许可的用户和网络成员对网络的使用。通过设备端口和MAC 地址分配等VLAN 划分原则，可以有效控制用户访问权限和逻辑网段大小，将不同用户群划分在不同VLAN 中，从而提高网络的整体性能和安全性。

6.计算机信息安全管理系统。

为了能够对入网计算机的外部接口进行有效管理，防止移动载体的交叉混用，所有的入网计算机均要求安装计算机信息安全管理系统。该系统能够按照入网计算机不同的涉密等级，对其外部接口、外部设备等进行不同程度的管控。经过这样的部署，可以有效防止移动存储介质的交叉混用，杜绝了通过移动存储介质涉密的安全隐患。

7.通过设置域控，提高内部网络的管理性和安全性。

针对目前网络所采用的微软系统平台国，借助于操作系统的域控制功能，对网络的内部结构进行划分、管理，从而既满足了对内部用户的管理要求，同时又在双向信任关系的域结构中实现同级、上下级之间的信息的安全交流。同时，充分利用系统的域控功能，严格控制网络客户端用户帐号，设定所有用户必须登录域中进行网络操作，设定所有用户的IP 地址和网卡物理地址进行绑定，实施严密的身份识别和访问控制。在全面实施了系统的域控结构并进行了对所有用户的绑定后，我们就可以在安全策略中部署对所有敏感性操作进行安全审计和记录，并且可以在发生安全事故后依据绑定一直追查到底。

8.信息内容保护与管理。

密码技术是网络安全最有效的技术之一，信息内容的保护采用加密技术对涉密数据信息进行加密存储。对涉密网络远距离的数据传输要采用加密传输的方式，从而保证数据的安全性和完整性。采用身份认证技术、单点登录以及授权对各种应用的安全性管理增强配置服务来保障涉密信息系统在应用层的安全。根据用户身份和现实工作中的角色和职责，确定访问应用资源的权限，应做到对用户接入网络的控制和对信息资源访问和用户权限进行绑定。

建立数据备份和恢复系统，制定备份和恢复策略，系统发生故障后能在软短时间恢复应用和数据。

9.软件补丁升级。

为了解决内网计算机的操作系统等软件不便于进行在线补丁升级的问题，应在内网中部署软件补丁升级系统，由网络管理员定期从互联网上下载相关补丁，并安装至内网服务器。自动对园区网计算机系统进行补丁升级，无需用户进行任何操作，确保所有接入内网计算机的系统漏洞能够及时得到修补，降低了主机被入侵或被病毒感染的概率。

10.入侵检测技术。

入侵检测技术通过从计算机网络系统中若干关键节点收集信息并加以分析，监控网络中是否有违反安全策略的行为或者是否存在入侵行为。它能提供安全审计、监视、攻击识别和反攻击等多项功能，并采取相应的行动，如断开网络连接、记录攻击过程、跟踪攻击源、紧急告警等，是安全防御体系的一个重要组成部分。

11.漏洞扫描系统。

漏洞扫描系统可以主动探测网络中的薄弱环节。通过网络安全性扫描，系统管理员能够及时发现网络内主机与服务器等设备的各种漏洞和隐患，如端口和服务、系统漏洞、弱口令及共享文件等，并给出修正建议。管理人员可根据扫描结果对这些漏洞和隐患进行及时修补。

五、结束语

涉密网络安全建设和运行是构建安全体系结构的前提，采用安全的网络产品、制定严密的安全技术规范、建立安全保密管理制度和奖惩机制是涉密网络可靠运行的基础。