張雷

軍工企業(yè)涉密信息系統(tǒng)的運行安全是當前各軍工企事業(yè)單位在保密工作上面臨的重大課題。軍工企業(yè)涉密信息系統(tǒng)應(yīng)當在系統(tǒng)定級、方案設(shè)計、工程實施、系統(tǒng)測評、系統(tǒng)審批、日常管理、測評與檢查、系統(tǒng)廢止八個階段中，嚴格按照涉密信息系統(tǒng)分級保護的一系列法規(guī)標準進行建設(shè)和管理。本文針對軍工單位涉密信息系統(tǒng)的安全保密要求，對涉密信息系統(tǒng)信息安全保密技術(shù)進行分析和探討。

引言

隨著信息技術(shù)的迅猛發(fā)展，各軍工單位目前普遍使用計算機網(wǎng)絡(luò)進行產(chǎn)品設(shè)計和生產(chǎn)經(jīng)營管理，計算機網(wǎng)絡(luò)給工作帶來便利的同時，也給安全保密工作帶來了新的問題。防止涉密信息系統(tǒng)的泄密，已經(jīng)成為保密工作中一項重要任務(wù)與挑戰(zhàn)。信息安全保密是國防科技工業(yè)的核心競爭力之一，如果沒有堅實的信息安全基礎(chǔ)，則無異于把國防科技工業(yè)國家秘密信息拱手與人共享。近年來，軍工企事業(yè)單位通過計算機網(wǎng)絡(luò)造成的失泄密事件日益增多，給國家利益造成了極大的損害。涉密信息系統(tǒng)的安全關(guān)系到國家的安全與利益，為了確保國家秘密的安全，國家對從事軍工科研和生產(chǎn)的企業(yè)實行軍工保密資格審查認證制度。軍工保密資格審查認證制度對武器裝備科研生產(chǎn)單位的保密工作向科學(xué)化、規(guī)范化方向發(fā)展起到了重要推動作用，同時也對軍工企業(yè)的涉密信息系統(tǒng)建設(shè)和使用提出更加嚴格的要求。

涉密信息系統(tǒng)分級保護的技術(shù)要求及其特點

（一）涉密信息系統(tǒng)分級保護的技術(shù)要求

涉密信息系統(tǒng)分級保護的技術(shù)要求，主要依據(jù)《涉及國家秘密的信息系統(tǒng)分級保護技術(shù)要求》（BMB17-2006）的有關(guān)規(guī)定。其總體技術(shù)要求是：

涉密信息系統(tǒng)應(yīng)該按照等級劃分準則劃分等級，在滿足信息安全等級保護基本要求的基礎(chǔ)上，根據(jù)保密等級劃分情況選擇相應(yīng)保密技術(shù)要求的措施進行保護。應(yīng)采用安全域和密級標識的方法對秘密、機密、絕密三個級別的涉密信息系統(tǒng)進行分級保護。安全域之間的邊界應(yīng)該劃分明確，多個安全域之間進行數(shù)據(jù)交換時，其所有的數(shù)據(jù)通信都應(yīng)該安全可控；對于不同密級的安全域之間的數(shù)據(jù)通信，應(yīng)該采取措施防止信息從高密等級安全域流向低密等級安全域。涉密信息系統(tǒng)中的所有信息都應(yīng)具有相應(yīng)的密級標識，密級標識應(yīng)該與信息主體不可分離，其自身不可篡改。這里安全域指的是由實施共同安全策略的主體和客體組成的集合；密級標識是指用于標明信息秘密等級的數(shù)字化信息。對于信息保密安全要求，不同等級涉密信息系統(tǒng)的具體要求也不同。其中：秘密級涉密信息系統(tǒng)要求的項目內(nèi)容包括：身份鑒別、訪問控制、信息密碼措施、電子泄露發(fā)射防護、系統(tǒng)安全性能檢測、安全審計、邊界安全防護。機密級系統(tǒng)應(yīng)當在秘密級系統(tǒng)的基礎(chǔ)上，再增加信息完整性檢驗、操作系統(tǒng)安全、數(shù)據(jù)庫安全3個項目。絕密級系統(tǒng)應(yīng)當在機密級系統(tǒng)的基礎(chǔ)上，再增加抗抵賴1個項目。在涉密信息系統(tǒng)的日常維護中，涉密信息系統(tǒng)使用單位還應(yīng)當依據(jù)國家保密標準《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》（BMB20-2007），加強涉密信息系統(tǒng)運行中的保密管理，定期進行風險評估，消除泄密隱患和漏洞。

（二）涉密信息系統(tǒng)的技術(shù)防范特點

1、訪問控制

訪問控制是涉密信息系統(tǒng)安全防護的主要核心策略，它的主要任務(wù)是保證信息資源不被非法使用和訪問。訪問控制規(guī)定了主題對客體訪問的限制，并在身份鑒別的基礎(chǔ)上，根據(jù)身份對提出資源訪問的請求加以控制。它是對涉密信息系統(tǒng)資源加以保護的重要措施，也是整個計算機系統(tǒng)最重要的最基礎(chǔ)的安全機制。目前基本的訪問控制模型有：自主訪問控制（DAC）：自主訪問控制是一種允許主體對訪問控制施加特定限制的訪問控制類型；強制訪問控制（MAC）：強制訪問控制是一種基于安全標識和信息分級等敏感性信息的訪問控制；基于角色的訪問控制（RBAC）：基于角色的訪問控制技術(shù)出現(xiàn)于20世紀90年代，它是從傳統(tǒng)的自主訪問控制和強制訪問控制發(fā)展起來的。其“角色”概念有效的減少了授權(quán)管理的復(fù)雜性，更加有利于安全策略的實施。

2、終端身份鑒別與授權(quán)

終端用戶各種操作行為均需要進行個人身份驗證，包括計算機登錄認證、網(wǎng)絡(luò)接入的認證、登錄應(yīng)用的認證、終端用戶均需要通過身份鑒別來判斷其身份。身份鑒別有多重方式：驗證實體已知信息，如用戶口令；驗證實體擁有什么，如USB-KEY、IC卡等；驗證實體不可改變的特性，如指紋、聲音等；相信可靠地第三方建立的鑒別（遞推）。身份鑒別是保證涉密信息系統(tǒng)安全的重要措施。經(jīng)過身份鑒別進入涉密信息系統(tǒng)的合法用戶，需要對其訪問系統(tǒng)資源的權(quán)限進行限制。設(shè)置訪問控制應(yīng)當遵循“最小授權(quán)原則”，即在應(yīng)當授權(quán)的范圍內(nèi)有權(quán)使用資源，非授權(quán)范圍內(nèi)無權(quán)使用資源。根據(jù)國家保密規(guī)定，涉密信息系統(tǒng)必須采用強制訪問控制策略。處理秘密級、機密級信息的涉密系統(tǒng)，訪問應(yīng)當按照用戶類別、信息類別控制，處理絕密級信息的涉密系統(tǒng)，訪問控制到單個用戶、單個文件。

3、安全審計

審計是在計算機系統(tǒng)中用來監(jiān)視、記錄和控制用戶活動的一種機制。通過對審計日志文件的分析，可以有效阻止非法訪問，并為事后分析的追查責任提供依據(jù)。在我國計算機信息系統(tǒng)安全等級保護劃分標準中有明確的要求。涉密信息系統(tǒng)安全審計應(yīng)包括的功能有：1.針對終端計算機操作進行記錄；2.對網(wǎng)絡(luò)流量、網(wǎng)絡(luò)設(shè)備的工作狀態(tài)進行審計；3.對重要數(shù)據(jù)庫訪問記錄進行有效審計。涉密信息系統(tǒng)安全審計的重點有以下幾個方面：1.網(wǎng)絡(luò)通信系統(tǒng)：主要包括對網(wǎng)絡(luò)流量中典型協(xié)議進行分析、識別、判斷和記錄；2.重要服務(wù)器主機操作系統(tǒng)：主要包括對系統(tǒng)啟動/運行情況、管理員登陸、操作情況、系統(tǒng)配置更改、以及病毒感染、資源消耗情況的審計；還包括硬盤、CPU、內(nèi)存、網(wǎng)絡(luò)負載、進程、操作系統(tǒng)安全日志、系統(tǒng)內(nèi)部事件、以及對重要文件訪問的審計；3.重要服務(wù)器主機應(yīng)用平臺軟件：主要包括對重要應(yīng)用平臺進程的運行、Web Server、Mail Server、Lotus、Exchange Server以及中間件系統(tǒng)的審計等；4.重要數(shù)據(jù)庫操作的審計：主要包括對數(shù)據(jù)庫進程運轉(zhuǎn)情況、繞過應(yīng)用軟件直接操作數(shù)據(jù)庫的違規(guī)訪問行為、對數(shù)據(jù)庫配置的更改、數(shù)據(jù)庫備份操作和其他維護管理操作、對重要數(shù)據(jù)的訪問和更改、數(shù)據(jù)完整性等內(nèi)容的審計；5.重要應(yīng)用系統(tǒng)的審計：主要包括對辦公自動化系統(tǒng)、公文流轉(zhuǎn)和操作、網(wǎng)頁完整性、相關(guān)業(yè)務(wù)系統(tǒng)等內(nèi)容的審計：6.客戶端計算機的審計：主要包括對客戶端計算機的病毒感染情況、訪問應(yīng)用系統(tǒng)情況、文件的拷貝/打印操作，擅自連接互聯(lián)網(wǎng)的情況、非工作軟件的安裝和運行等內(nèi)容的審計。對涉密信息系統(tǒng)進行安全審計是保證整個系統(tǒng)安全運行的重要手段之一。

涉密信息系統(tǒng)的信息安全原則與措施

（一）基本原則

1、按最高密級防護的原則

涉密信息系統(tǒng)處理多種密級的信息時，應(yīng)當按照最高密級采取防護措施

2、最小化授權(quán)原則

涉密信息系統(tǒng)的建設(shè)規(guī)模要最小化。其次，涉密信息系統(tǒng)中涉密信息的訪問權(quán)限要最小化，非工作必需知悉的人員，不應(yīng)授予涉密信息的訪問權(quán)限。

3、同步建設(shè)、嚴格把關(guān)的原則

涉密信息系統(tǒng)的建設(shè)必需要與安全保密措施的建設(shè)同步規(guī)劃、同步實施、同步發(fā)展。要對涉密信息系統(tǒng)的全過程進行保密審查、審批、把關(guān)。

4、內(nèi)、外網(wǎng)物理隔離原則

涉密信息系統(tǒng)不得直接或者間接與國際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡(luò)相連接，必須實行物理隔離措施。

5、安全保密措施與信息密級一致的原則

涉密信息系統(tǒng)應(yīng)當采取安全保密措施，并保證所采取的措施力度與所處理信息的密級相一致。

6、資格認證原則

涉密信息系統(tǒng)安全保密方案的設(shè)計、系統(tǒng)集成以及系統(tǒng)維修工作，應(yīng)委托經(jīng)過國家保密部門批準授予資質(zhì)證書的單位承擔。涉密信息系統(tǒng)不得采用未經(jīng)國家主管部門鑒定、認可的保密技術(shù)設(shè)備。軍工單位涉密信息系統(tǒng)處理的是國家秘密，應(yīng)優(yōu)先選擇經(jīng)過國家保密部門審批并且成熟可靠的保密安全產(chǎn)品。

7、以人為本、注重管理的原則

涉密信息系統(tǒng)的安全保密三分靠技術(shù)，七分靠管理。加強管理可以彌補技術(shù)上的不足；而放棄管理則再好的技術(shù)也不安全。

（二）采取的技術(shù)措施

結(jié)合上述原則和軍工單位涉密信息系統(tǒng)的技術(shù)防范要求，對涉密信息采取分級訪問控制、終端身份鑒別與授權(quán)、加密存儲與傳輸?shù)认嘟Y(jié)合的措施對加以保護。對接入涉密信息系統(tǒng)的每臺終端計算機明確使用責任人，并為其分配靜態(tài)IP地址（該IP地址需與計算機MAC地址以及接入交換機端口進行綁定）。采用USB-KEY硬件鑰匙結(jié)合口令的方式加固操作系統(tǒng)登陸，通過USB-KEY硬件鑰匙進行身份鑒別和授權(quán)的方式將具體員工與IP地址對應(yīng)關(guān)聯(lián)起來。通過采取安全域劃分、防火墻、身份認證、代理服務(wù)器等安全技術(shù)對涉密信息進行知悉范圍控制，在對涉密信息分類的基礎(chǔ)上控制涉密信息的打開、編輯等操作行為，將對涉密信息的管理控制變成對操作權(quán)限的分配和管理。對涉密信息系統(tǒng)中應(yīng)用服務(wù)器的訪問進行控制，可以采用windows域結(jié)構(gòu)方式組織和管理網(wǎng)絡(luò)中的服務(wù)器資源、防火墻與交換機虛擬局域網(wǎng)（VLAN） 技術(shù)相結(jié)合的方式來解決。

信息安全產(chǎn)品的關(guān)鍵技術(shù)

（一）身份認證與自主加密保護相結(jié)合

在軍工企業(yè)管理體系中，身份認證技術(shù)要能夠密切結(jié)合企業(yè)的業(yè)務(wù)流程，阻止對重要資源的非法訪問。身份認證技術(shù)可以用于解決訪問者的物理身份和數(shù)字身份的一致性問題，給其他安全技術(shù)提供權(quán)限管理的依據(jù)。在軍工單位涉密信息系統(tǒng)的日常應(yīng)用中，需要對各種涉密文件進行大量處理，還應(yīng)該為每位用戶提供對自己處理的涉密信息進行加密的功能。可以根據(jù)軍工單位涉密信息系統(tǒng)的具體情況采用不同的加密措施。常見的加密方法有：對稱加密、非對稱加密、哈希函數(shù)等。

（二）涉密資料的分類管理、操作行為與訪問控制相結(jié)合

涉密信息系統(tǒng)中的涉密信息要控制其知悉范圍，必須對涉密信息及其使用人員進行分類，建立一種相對固定的關(guān)聯(lián)規(guī)則。國家秘密信息在軍工單位涉密信息系統(tǒng)中主要表現(xiàn)為文字和圖形，為了防止無關(guān)人員接觸秘密信息和通過更名等方式改變國家秘密的表現(xiàn)形式而造成秘密泄露，必須對使用人員的計算機操作行為（打開、創(chuàng)建、更名、復(fù)制、編輯）進行控制。要在涉密信息系統(tǒng)上實現(xiàn)訪問控制，使涉密信息只被授權(quán)的人員知悉，必須建立涉密信息與授權(quán)人員的對應(yīng)關(guān)系規(guī)則，確定其可以進行的操作類型?？刹扇∠铝蟹绞剑?/p>

1、將涉密信息按使用類型進行分類，確定每類涉密信息的知悉對象；對涉密信息進行分類，比如，對軍工產(chǎn)品的設(shè)計、工藝、生產(chǎn)等過程產(chǎn)生的涉密信息按項目管理的方式進行分類，對經(jīng)營過程中產(chǎn)生的涉密信息按計劃、財務(wù)、質(zhì)量、試驗等使用屬性進行分類等。這樣，每類涉密信息的知悉人員是相對確定的，為避免使用人員頻繁變化帶來的設(shè)計困難，可以引入基于角色的訪問控制（RBAC）技術(shù)。這時，對知悉范圍的管理就轉(zhuǎn)變?yōu)閷ι婷苄畔㈩悇e與角色之間的關(guān)系集合的管理。

2、通過組織結(jié)構(gòu)樹來管理使用成員，通過硬件鑰匙轉(zhuǎn)換成對應(yīng)的IP 地址，使用人員對某類涉密信息的知悉權(quán)利就可以用是否屬于某個角色來表述。這時，對使用人員的管理就轉(zhuǎn)變?yōu)閷巧M中成員的管理。通過引入相對固定的角色概念，訪問控制的實現(xiàn)就轉(zhuǎn)變?yōu)閷π畔㈩悇e與角色、角色與使用人員之間的關(guān)系的管理。在確定上述關(guān)系的同時，還必須要有對網(wǎng)絡(luò)入侵進行檢測監(jiān)控的能力，以實現(xiàn)對知悉范圍的控制。

總結(jié)

軍工企業(yè)涉密信息系統(tǒng)的安全保密需要從技術(shù)控制、管理控制、運行控制三個層面分別采取安全保障措施，任何一個涉密信息系統(tǒng)無論網(wǎng)絡(luò)規(guī)模的大小、無論系統(tǒng)邊界的大小、無論應(yīng)用的復(fù)雜與否、無論重要性的高低，采取的信息安全保障措施的原則都應(yīng)是一致的。涉密信息系統(tǒng)信息安全技術(shù)是一項長期、艱巨、重要的綜合性的研究課題， 需要不斷探索和研究。它除了涉及技術(shù)層面的知識， 還需要從管理體系、規(guī)章制度和使用等諸多方面加以規(guī)范。軍工企業(yè)要不斷建立和完善涉密網(wǎng)絡(luò)信息安全管理體系，加強對硬件和軟件的及時維護， 保證系統(tǒng)運行安全，不斷強化員工的安全意識， 真正做到防患于未然。

（作者單位：中國電子科技集團公司第44研究所）