雷越辰

【摘 要】在國際形勢日益復雜的今天，涉及國家秘密的信息安全一直是國防軍工領域關注的重點問題。本文針對單機運行環(huán)境下的信息安全，提出了一種涉密單機安全保密技術防護方法，有效降低了涉密單機的失泄密風險。

【關鍵詞】涉密單機； 信息安全； 技術防護

【Abstract】Today， the international situation is becoming increasingly complex. Information security which involves state secrets has always been a important aspect in the field of national defense. This paper presents a technical safeguard method of single secret-related computer， which effectively reduced the risk of secret leakage.

【Key words】Single secret-related computer； Information security； Technical safeguard

0 前言

時至今日，信息化建設成為了軍工行業(yè)發(fā)展不可或缺的重要組成部分，計算機的應用滲透到了軍工單位科研生產的各個領域。承擔國家軍工項目的科研院所，都將大量的涉密資料存儲在計算機中，隨之而來的計算機信息安全問題也越來越突出。目前還有很多單位受制于客觀條件還沒有建設涉密信息系統(tǒng)，計算機的使用也還停留在單機運行。由于軟件及硬件存在的漏洞易被不法分子利用，造成數據的丟失或者是系統(tǒng)的破壞，因此對涉密單機進行安全保密技術防護勢在必行。本文提出了一種涉密單機安全保密技術防護方法，對涉密單機的信息安全保密具有實際參考意義。

1 涉密單機信息安全風險

計算機信息在編輯、儲存、接收、發(fā)送的各個環(huán)節(jié)都面臨著非授權訪問或惡意篡改破壞等諸多風險，下面對信息安全風險進行簡單介紹。

1.1 非授權訪問風險

非授權訪問主要指利用軟硬件漏洞，通過賬戶密碼破譯等手段，在未被授權的情況下對計算機內的信息進行訪問和竊取。非授權訪問的風險級別高，一旦發(fā)生后果嚴重。

1.2 系統(tǒng)漏洞及惡意代碼風險

隨著操作系統(tǒng)和應用軟件功能的多樣化、復雜化發(fā)展，系統(tǒng)安全漏洞日益增多，很容易被病毒木馬等惡意程序利用來操縱或攻擊主機，并通過信息交換感染其他計算機。被感染的計算機通常會出現(xiàn)無法啟動、資源占用、數據丟失、運行遲緩等現(xiàn)象，嚴重影響日常工作，對信息安全造成重大威脅。

1.3 用戶違規(guī)行為風險

涉密單機用戶與網絡終端用戶相比，他們的操作行為很難被計算機管理員監(jiān)督和管控。正是由于這種隱蔽性，為實現(xiàn)個人便利，涉密單機用戶可能會在計算機上進行違規(guī)操作，如連接互聯(lián)網、使用非授權移動存儲介質、連接違規(guī)外設等，如果沒有在單機上采取硬件控制措施，這些違規(guī)操作則會存在相當大的泄密風險。

1.4 電磁泄漏風險

電磁泄漏是指信息系統(tǒng)的設備在工作時能經過地線、電源線、信號線、寄生電磁信號或諧波等輻射出去，產生電磁泄漏。這些電磁信號如果被接收下來，經過提取處理，就可恢復出原信息。利用計算機設備的電磁泄漏竊取機密信息是國內外情報機關截獲信息的重要途徑，因為用高靈敏度的儀器截獲計算機及外部設備中泄漏的信息，比用其他方法獲得情報要準確、可靠、及時、連續(xù)得多，而且隱蔽性好，不易被對方察覺。

2 涉密單機安全保密技術防護方法

2.1 操作系統(tǒng)安全配置

首先，在BIOS中設置管理員密碼和啟動密碼，禁用多余啟動項；其次，在賬戶設置中刪除多余賬戶，停用Guest賬戶，對用戶賬戶設置滿足需要的最小化權限；第三，關閉多余端口和服務，尤其是與共享和網絡相關的服務；第四，配置日志文件保護策略，方便管理員進行系統(tǒng)日志查詢；第五，配置本地安全策略，包括審核策略、密碼策略、賬戶鎖定策略和安全選項。

2.2 系統(tǒng)更新及病毒防護

為了防范惡意程序的攻擊，涉密單機要定期更新系統(tǒng)安全補丁和防病毒軟件病毒庫。防病毒軟件需配置相應策略，如實時監(jiān)控、定期掃描、防護白名單、U盤防護等。

2.3 基于身份認證的安全登錄

將身份認證介質與計算機用戶賬戶綁定，通過加PIN碼的方式實現(xiàn)終端安全登錄，同時設置PIN碼復雜度策略和賬戶鎖定策略。妥善保管USB Key并定期修改PIN碼，可以有效地防止涉密單機被非授權訪問。

2.4 主機監(jiān)控與審計

針對涉密單機用戶操作不易監(jiān)控的特點，在涉密單機上安裝主機監(jiān)控與審計系統(tǒng)，通過配置用戶賬戶策略、打印輸出策略、軟件安裝策略等審計監(jiān)控策略，可以對用戶的登錄、打印、程序安裝卸載、存儲介質使用等操作進行監(jiān)控和審計，定期形成審計記錄以備查閱。而且通過本地安全策略設置，可以有效防止本地策略被篡改，提高了系統(tǒng)的安全性。

2.6 保密技術防護專用系統(tǒng)

保密技術防護專用系統(tǒng)又叫三合一系統(tǒng)，包括管理端軟件、用戶端軟件、單向導入裝置、專用移動存儲介質。三合一系統(tǒng)可以同時實現(xiàn)硬件控制、違規(guī)外聯(lián)監(jiān)控、存儲介質管理和單向導入。硬件與外設控制可以對光驅、打印機、掃描儀等外部設備進行啟用和禁用的控制；違規(guī)外聯(lián)監(jiān)控實現(xiàn)對用戶違規(guī)聯(lián)接互聯(lián)網的實時監(jiān)控和網絡阻斷；存儲介質管理是通過管理端軟件對T型口U盤進行注冊綁定，綁定的U盤只可在有相應注冊信息的計算機上使用；單向導入是借助光信號單向傳輸的特性，通過單向導入裝置方便地實現(xiàn)普通U盤信息的輸入。

2.7 電磁泄漏發(fā)射防護

涉密單機環(huán)境下的電磁泄漏主要來源于計算機顯示器、各部件連接線以及電源線路，此情形下的電磁泄漏發(fā)射防護要做到三個方面。一是涉密信息設備與非涉密信息設備的擺放要求保持安全距離；二是采用紅黑電源濾波隔離插座，將涉密設備電源與非涉密設備電源進行隔離防護；三是為涉密單機配備視頻干擾器，通過對電磁泄漏的信號進行干擾和疊加，降低信息被復原的可能。

3 涉密單機信息的輸入輸出

涉密單機禁用光驅并且只能使用已綁定的涉密U盤，所以其信息的輸入輸出需要借助中間機以光盤為信息載體來實現(xiàn)。中間機要求安裝防病毒軟件和三合一用戶端，啟用刻錄光驅，以實現(xiàn)病毒掃描和信息轉錄的功能。

3.1 涉密單機信息輸入流程

1）辦理涉密單機信息輸入審批手續(xù)；

2）在中間機上對輸入信息進行病毒掃描，其中光盤信息通過光驅輸入中間機，普通U盤信息使用單向導入裝置導入（下轉第194頁）（上接第116頁）中間機；

3）通過單向導入裝置將待輸入信息復制到涉密U盤內；

4）將涉密U盤內信息導入涉密單機。

3.2 信息輸出流程

1）辦理涉密單機信息輸出審批手續(xù)；

2）將單機中待輸出信息復制到涉密U盤里；

3）使用單向導入裝置將涉密U盤信息導入中間機，并通過刻錄一次性光盤輸出。

4 結束語

在國際形勢日益復雜的環(huán)境下，信息安全一直是國防軍工單位關注的重點問題。本文提出的單機安全保密技術防護措施經過實踐檢驗，證明能有效地提高涉密單機信息的安全性。但信息安全的主體在人，現(xiàn)有的安全保密技術還不能完全消除涉密單機在使用中存在的風險只有，技術防護輔以制度管理才能有效提升單機信息安全保密水平，將失泄密隱患控制在可以接受的范圍內。

【參考文獻】

[1]陳旸，陳輝.基于“技術+制度”的單機管理方法研究[J].網絡安全技術與應用，2013.

[2]鮑捷.涉密信息系統(tǒng)涉密單機安全保密防護探討[J].電子世界，2013.

[3]胡剛. 計算機信息安全及其防范技術[J].信息通信，2013.

[責任編輯：曹明明]