陳燕群　王海燕

摘要：由于計算機技術(shù)和網(wǎng)絡技術(shù)的迅猛發(fā)展，信息已經(jīng)成為主導社會各方面的主要因素，計算機信息的安全就顯得日益重要，而涉密計算機的信息安全尤為重中之重，許多單位、研究所、部隊等崗位都使用涉密計算機。文章就安全使用涉密計算機信息進行了分析和研究，并就可能發(fā)生的問題給出了相關(guān)的解決方案。

關(guān)鍵詞：涉密計算機；移動存儲；加密；安全

1背景

現(xiàn)有涉密計算機信息出現(xiàn)的安全風險可能有以下幾種：用戶的違規(guī)操作、軟硬件漏洞、木馬和擺渡程序等，這些風險可能給使用單位帶來重大經(jīng)濟損失或重大失泄密事件，因此，必須對涉密計算機的安全使用制定一系列的規(guī)則和措施，以保證涉密計算機的信息安全。

2移動存儲設備帶來的信息安全隱患及解決方案

2.1安全隱患

移動存儲介質(zhì)主要指的各種移動硬盤、u盤、手機、各種存儲卡等，按照規(guī)定這些移動存儲介質(zhì)只能在內(nèi)部網(wǎng)絡使用，不能隨便接入外部網(wǎng)絡或互聯(lián)網(wǎng)，以免造成嚴重泄密事件。由于u盤體積小、容量大、便于攜帶，因此許多使用者常常把u盤帶到身上，存放單位的資料和信息，回家后又在家里上因特網(wǎng)拷貝信息。這樣公私混用很容易出差錯，使得u盤上的單位涉密信息外泄。由于公私混用，所以移動存儲介質(zhì)也易感染病毒，如果沒有及時查殺，在涉密計算機中一旦感染，很容易將內(nèi)網(wǎng)安全網(wǎng)絡感染，破壞整個涉密網(wǎng)絡?，F(xiàn)在因特網(wǎng)上很流行的一種病毒木馬叫擺渡程序，它一旦感染計算機，就會根據(jù)木馬中的指定的內(nèi)容來查找涉密計算機的信息，一旦找到就會自動將所需信息發(fā)送到指定的地址或郵箱，如果沒有連接外部網(wǎng)，就會復制到移動存儲介質(zhì)中，當移動存儲介質(zhì)再次插入因特網(wǎng)的電腦，信息就會被自動發(fā)送出去。這樣的事件國內(nèi)已出現(xiàn)了不少事例。在一些單位中，移動存儲介質(zhì)的密級劃分的不同的等級，不同密級的信息不能的相同的存儲介質(zhì)中使用，但一些工作人員為了省事，常常用同一種移動存儲介質(zhì)來拷貝不同密級的信息，使信息安全得不到有效控制。由于移動存儲便于攜帶，使用方便，有些工作人員隨意將其帶出單位，一旦移動存儲載體丟失，重要的信息就可能會被泄漏，這也是重大的安全隱患之一。

2.2解決方案

建立監(jiān)管制度：所有的移動存儲載體必須登記在冊，登記的內(nèi)容有購買日期、使用時間、申領(lǐng)日期等，要做到專人專用。同時要求不能將移動載體帶出公司，上下班必須將載體交還管理中心，如果確有需要帶出載體的，必須提交申請并嚴格監(jiān)督使用。對于最高密級的移動載體，必須進行物理上的內(nèi)外網(wǎng)隔離，并嚴令禁止帶出。

加密認證管理：對所有的移動存儲設備進行分區(qū)加密，使載體只有在涉密的計算機中才能正確識別，插入到普通的計算機中就不能識別，同時沒有進行過加密的普通移動載體在涉密計算機中也不可識別。加密的方式可分為多種，根據(jù)涉密信息的等級，可以將載體設為只讀、只寫、可讀可寫等方式，便于不同的用戶不同的密級來使用。為使用的載體創(chuàng)建使用用戶的唯一標識，便于人員身份鑒別。如可采用人體生物認證來識別，包括指紋、虹膜等認證方式。對移動載體中的信息也采用數(shù)據(jù)加密方式，所有的涉密信息在涉密計算機中可以正常使用，但如果涉密信息在普通的電腦上顯示的就是一堆毫無用處的亂碼。

使用日志管理：所有載體的使用都有專用的日志文件記錄，包括對文件的復制、刪除、打開、修改等等，以此掌握載體的使用情況，便于日后進行審記。

維修報廢管理：所有的移動載體如何出現(xiàn)損壞，需要維修或報廢的，統(tǒng)一由信息管理部門處理，決不允許私自帶出修理。信息管理人員注銷報廢的載體，清除數(shù)據(jù)，然后采用專用的設備對載體進行銷毀。

3網(wǎng)絡帶來的信息安全隱患及解決方案

3.1安全隱患

由于網(wǎng)絡技術(shù)的高速發(fā)展，所有的計算機都離不開網(wǎng)絡，其中也包括涉密的計算機，除非在物理上完全隔離，成為完全獨立的計算機，否則只要上網(wǎng)就會有風險，但同樣網(wǎng)絡又會使工作人員效率倍增，更好地完成各種任務。因為涉密計算機一般禁止連接外部因特網(wǎng)，相對來說，風險較小，但是有很多內(nèi)部網(wǎng)絡由于機構(gòu)龐大（像美國軍方的網(wǎng)絡，在任何一個軍隊內(nèi)部都能訪問），內(nèi)部網(wǎng)絡又會由很多小的單位局域網(wǎng)連接而成，因此，各種信息也較多，而且復雜，各種內(nèi)部管理方式的差異，也會給內(nèi)部網(wǎng)絡帶來一定的風險，因此，也需要制定相應的解決方案。

3.2解決方案

上網(wǎng)身份認證：只要通過單位局域網(wǎng)訪問的計算機必須經(jīng)過專用認證服務器進行身份識別，通過認證的計算機才能訪問局域網(wǎng)以外的網(wǎng)絡。并且所有訪問記錄在認證服務器中都有日志文件進行審記，這種認證可通過人體生物認證技術(shù)等方式來進行，以實現(xiàn)身份的唯一性。

網(wǎng)絡防火墻及網(wǎng)絡殺毒軟件：在信息管理中心部署防火墻及網(wǎng)絡殺毒軟件。防火墻可以對整個網(wǎng)絡的訪問進行管理，對所有出入局域網(wǎng)的信息進行掃描，然后主動過濾有害信息，打開或關(guān)閉需要的端口，阻止各種木馬程序，防止未經(jīng)授權(quán)的用戶訪問網(wǎng)絡。網(wǎng)絡殺毒軟件可以對整個局域網(wǎng)的計算機進行全網(wǎng)殺毒，遠程開關(guān)機，重啟殺毒等方式，能夠有效清除引導型及自我保護型病毒，為涉密計算機提供了一道安全屏障。

安全隔離網(wǎng)閘：安全隔離網(wǎng)閘是一種的專用的硬件和軟件的組合設備，它可以在電路上切斷網(wǎng)絡與網(wǎng)絡之間的鏈路層連接，并能夠在兩個網(wǎng)絡之間安全的進行數(shù)據(jù)交換，由于物理隔離網(wǎng)閘所連接的兩個獨立主機系統(tǒng)之間，沒有通信的相關(guān)連接和傳輸?shù)膮f(xié)議，只有需要的數(shù)據(jù)文件的“擺渡”，所以是絕對的安全。因此，隔離網(wǎng)閘從物理上阻斷了具有潛在攻擊可能的一切連接，可以實現(xiàn)數(shù)據(jù)信息的真正安全。對于較高涉密級別的計算機通過網(wǎng)閘進行管理，可以有效保護計算機受到的安全隱患。

4計算機及筆記本電腦帶來的信息安全隱患及解決方案

4.1安全隱患

每個工作人員的計算機都有很多的安全隱患，這里的計算機也包括了筆記本電腦。這里主要是人為因素帶來的安全問題，人員在使用中不注重安全保密規(guī)定，泄露計算機密碼、隨意安裝軟件、拷貝文件、計算機外聯(lián)網(wǎng)絡、帶出筆記本電腦使用等行為，這些行為很可能造成計算機信息數(shù)據(jù)丟失、密碼被竊取、電腦中病毒和木馬、涉密信息被盜等，都會造成嚴重的安全隱患。

4.2解決方案

加強人員安全使用培訓：要對所有使用人員進行相關(guān)的保密法律法規(guī)學習，強化使用人員的保密意識，并由專業(yè)信息管理人員進行安全使用培訓，提高使用人員的計算機技能，并定期進行信息安全檢查。

制作計算機使用管理規(guī)定：所有的計算機必須安裝保密管理系統(tǒng)進行統(tǒng)一安全管理，開機以及系統(tǒng)和屏保這三重密碼必須符合要求，電腦所有的外設接口由信息管理人員統(tǒng)一關(guān)閉，只在需要的電腦上才打開這些端口，并由日志文件記錄端口的使用情況以及信息文件的日志，每日電腦關(guān)機前會自動將使用日志文件上傳到信息中心，由中心定期進行審記。電腦中的軟件安裝由信息管理中心統(tǒng)一進行部署，需要特殊軟件的計算機也由中心管理并安裝。筆記本電腦的WIFI處于禁止狀態(tài)，只在需要時由管理人員打開并用專用信息過濾軟件監(jiān)控信息的流轉(zhuǎn)并生成審記日志。涉密計算機只能讀取加密過的移動存儲設備，不能使用普通存儲設備。計算機系統(tǒng)的安全補丁由信息中心提供的檢測軟件定期檢測并及時修補系統(tǒng)漏洞，每臺電腦安裝網(wǎng)絡版殺毒軟件，由中心設備殺毒防毒策略，定期查殺病毒和木馬。每臺計算機接入局域網(wǎng)的登錄認證中心，每次啟動計算機由信息中心對系統(tǒng)登錄用戶進行認證（這些認證包括了人體生物認證、密碼認證等）。

制作計算機維修管理規(guī)定：所有計算機數(shù)據(jù)必須定期備份，并做好登記保存。一旦計算機出現(xiàn)故障需要維修時，必須經(jīng)主管部門同意后送信息管理中心進行檢修，中心經(jīng)過登記檢修，如果遇到除存儲設備以外的硬件故障損壞，需要對外送修時，要將存儲設備拆下來然后送修，如遇存儲設備已經(jīng)損壞的需要登記后徹底銷毀，更換硬盤后重新按要求安裝系統(tǒng)。

5結(jié)束語

對于計算機信息安全隱患及其防范和解決是一個長期的系統(tǒng)工程，要求各單位主管和個人都要嚴肅認真處理，嚴格按安全保密法律法規(guī)執(zhí)行，并要求技術(shù)管理人員充分利用多種保密技術(shù)手段，認真分析、解決問題，才能使計算機信息安全得到有效的保障。endprint