◆吳 思 王子平 郭 萌

（北京宇航系統(tǒng)工程研究所 北京 100076）

淺談軍工企業(yè)信息安全及保密技術的研究

◆吳 思 王子平 郭 萌

（北京宇航系統(tǒng)工程研究所 北京 100076）

軍工企業(yè)網(wǎng)絡是涉及國家安全的重要基礎設施，網(wǎng)絡的安全關系到國家的安全，目前網(wǎng)絡攻擊者不斷提高其技術，給信息安全的防護帶來了更高的挑戰(zhàn)。本文介紹了當今軍工企業(yè)網(wǎng)絡安全面臨的諸多問題，針對這些問題提出了相應的措施。

網(wǎng)絡安全；軍工企業(yè)信息；保密技術

0 引言

信息化作為當今時代發(fā)展的大趨勢，是推動經(jīng)濟社會變革的重要力量。大力推進信息化，軍工制造業(yè)正在向以信息化、網(wǎng)絡化為特征的“數(shù)字軍工”發(fā)展，信息化成為軍工企業(yè)提高核心競爭力的重要內容。

1 軍工企業(yè)信息安全的影響因素

軍工企業(yè)負責國家軍備生產任務，網(wǎng)絡中的數(shù)據(jù)必須時刻高度保密，尤其需要加強網(wǎng)絡安全和數(shù)據(jù)安全。網(wǎng)絡系統(tǒng)要防止未經(jīng)授權的訪問或遭受破壞和非法入侵，要防止敏感數(shù)據(jù)盜竊或非法復制等。構建一個安全網(wǎng)絡架構系統(tǒng)，防止內部信息泄露是軍工企業(yè)網(wǎng)絡必須關注的問題。

1.1 計算機病毒的威脅

近年來，由于軟件功能日益復雜，漏洞日益增多，越來越多的非安全節(jié)點可以從多種途徑連接到企業(yè)內部網(wǎng)絡，從漏洞被發(fā)現(xiàn)到發(fā)現(xiàn)病毒攻擊的時間越來越短，病毒的感染可以帶來諸多難以預計的后果。

1.2 外部黑客攻擊

企業(yè)外部攻擊多數(shù)利用遠程登錄或木馬的方式通過系統(tǒng)漏洞進行攻擊，黑客通過掃描系統(tǒng)漏洞收集被攻擊服務器信息從而得到賬戶授權入侵至內網(wǎng)。

1.3 企業(yè)內部人員竊取

根據(jù)統(tǒng)計，被攻擊的服務器多數(shù)來自內網(wǎng)員工的惡意威脅，內部人員的攻擊對于外部黑客的威脅更大也更容易進行。

2 主要的信息安全技術措施

2.1 物理隔離

根據(jù)《計算機信息系統(tǒng)國際互聯(lián)網(wǎng)保密管理規(guī)定》“涉及國家秘密的計算機信息系統(tǒng)，不得直接或間接與國際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡相連接，必須實行物理隔離。”軍工企業(yè)多為涉密單位，為保障涉密信息的安全物理隔離已成為防范外部遠程攻擊的最直接和有效手段。

采用物理隔離用戶可根據(jù)需要采用網(wǎng)閘設備隔離或空間隔離?？臻g隔離保證涉密網(wǎng)與非涉密網(wǎng)保持一定安全距離，可采用專用介質進行數(shù)據(jù)傳輸。

物理安全策略：門禁系統(tǒng)，視頻監(jiān)控，防電磁。

2.2 防火墻技術

防火墻是一種實施訪問策略的系統(tǒng)，它作為一道網(wǎng)絡之間信息交換的安全屏障，隔離外部網(wǎng)絡的惡意信息流，阻止非可信任用戶進入到受保護系統(tǒng)。防火墻也可以限制一個內聯(lián)網(wǎng)段對另一個內聯(lián)網(wǎng)的訪問，它就像是網(wǎng)絡中的“咽喉”，因為所有通信都從這里流過，并且也是所有流量被檢查和限制的地方。

防火墻可以是運行軟件防火墻產品或硬件防火墻設備。它監(jiān)視流進和流出其保護的網(wǎng)絡數(shù)據(jù)包，過濾掉不滿足安全策略要求的數(shù)據(jù)包。

多數(shù)情況，企業(yè)還可以通過設立防火墻構建（DMZ）區(qū)，DMZ位于受保護網(wǎng)絡和未受保護網(wǎng)絡直接的網(wǎng)段。它提供了一個在危險公網(wǎng)和企業(yè)內網(wǎng)的緩沖區(qū)域，通常包括WEB服務器、郵件服務器和DNS服務器等。

2.3 入侵檢測系統(tǒng)

入侵檢查系統(tǒng)(IDS)是動態(tài)的防御技術，可以從網(wǎng)絡系統(tǒng)中多個觀測點收集信息、分析信息，從而發(fā)現(xiàn)網(wǎng)絡中違反策略或遭受攻擊的跡象。

防火墻更重要的作用是抵御外部攻擊，而入侵檢測系統(tǒng)是一種主動防御技術，實時地對涉密網(wǎng)中異常情況進行監(jiān)控，不僅可以監(jiān)測到外部攻擊也防止內部人員的惡意破壞，有效地彌補了防火墻的不足，被認為是防火墻后的第二道閘門。

入侵檢測技術具有監(jiān)視分析用戶和系統(tǒng)的能力。審計系統(tǒng)漏洞和配置、感知系統(tǒng)和數(shù)據(jù)的完整性、識別攻擊行為，使系統(tǒng)管理員可以高效地審查、監(jiān)視或評估網(wǎng)絡安全。

不過目前的入侵檢測也存在自身問題：1、在較大規(guī)模的網(wǎng)絡環(huán)境中監(jiān)測并非十分精確；2、經(jīng)常出現(xiàn)誤報與漏報的現(xiàn)象，系統(tǒng)管理員常陷于海量的告警信息中難以識別真正的告警信息而疲于使用該產品。因此在IDS的基礎上結合入侵防御系統(tǒng)IPS（Intrusion Protect System），即更為智能的防御系統(tǒng)，能夠更精確地定位危險存在。

2.4 防病毒軟件

防病毒軟件掃描通過特定協(xié)議傳遞的文件、電子郵件或其他數(shù)據(jù)，然后將它們與病毒特征數(shù)據(jù)庫進行比較。如果匹配成功，防病毒軟件將執(zhí)行預先設置的活動，如隔離文件、刪除病毒、向用戶發(fā)送一個警告消息并記錄事件。防病毒軟件可以有效地防御病毒以及木馬等惡意程序。

2.5 主機監(jiān)控與審計系統(tǒng)

主機監(jiān)控與審計系統(tǒng)是軍工涉密網(wǎng)強制要求進行安裝使用的安全產品，用戶登錄使用USBkey或IC卡等手段進行認證。其作用主要針對硬件端口，包括串口、并口、1394接口、藍牙紅外等端口進行禁用控制。能夠對終端用戶的操作以及資源情況進行審計，有效監(jiān)測終端用戶是否進行違規(guī)操作。

2.6 漏掃技術

漏洞掃描系統(tǒng)連接到涉密網(wǎng)系統(tǒng)，并對操作系統(tǒng)、數(shù)據(jù)庫漏洞進行安全掃描，給出按照風險類別等級的掃描結果。漏洞掃描可分為獨立式部署和分布式部署。

2.7 防病毒系統(tǒng)

防病毒系統(tǒng)俗稱殺毒軟件，計算機感染病毒后會出現(xiàn)無法正常啟動、死機、文件無法打開、系統(tǒng)內存不足、丟失文件等各種系統(tǒng)問題。系統(tǒng)管理員需定期及時升級殺毒軟件，根據(jù)審計日志分析病毒趨勢并提前采取防范措施。

2.8 身份認證系統(tǒng)

身份認證系統(tǒng)串接在終端和服務器中間，應用系統(tǒng)被身份認證系統(tǒng)隔離在被信任網(wǎng)段中，所有用戶需要訪問身份認證系統(tǒng)并通過認證后，身份認證系統(tǒng)會自動將用戶身份傳遞至應用系統(tǒng)中。

2.9 電磁泄露發(fā)射防護系統(tǒng)

涉密環(huán)境中紅設備（涉密設備）與黑設備（非涉密設備）之間應保持一定距離；辦公環(huán)境使用移動設備裝置等應與涉密相關設備保持一定距離隔離。電磁泄露防護系統(tǒng)可參照 BMB5-2000的相關標準要求實施。

2.1 0安全管理

涉密信息系統(tǒng)根據(jù)國家保密相關標準規(guī)定應配備系統(tǒng)管理員、安全保密管理員和安全審計員，實行“三員分立”制度。分別是系統(tǒng)管理員負責網(wǎng)絡系統(tǒng)、服務器系統(tǒng)的日常運維管理和維護技術支持；安全保密管理員負責制定安全策略，授權等相關職責；安全審計員負責對前兩員的操作進行審計、跟蹤、分析和監(jiān)督檢查，以及時發(fā)現(xiàn)違規(guī)行為。

3 結束語

涉密網(wǎng)絡安全保密是軍工科研單位取得生產資格的重要條件。在網(wǎng)絡和信息化飛速發(fā)展的今天，信息安全的問題越來越受到人們的重視，信息安全的建設并不能一勞永逸，企業(yè)需構建完善的安全體系，引入風險分析以及控制措施，信息安全的工作者們也需不斷與時俱進提高技術實力和保密意識來應對未來信息領域的威脅。

[1]蔡貴榮.提高計算機網(wǎng)絡可靠性的研究方法[J].網(wǎng)絡安全技術與應用，2015.

[2]王麗.安全信息化的建設和實現(xiàn)[J].計算機與網(wǎng)絡，2016.

[3]常健.典型軍工科研生產基地規(guī)劃[J].數(shù)字軍工，2015.