◆莫新建

（河南航天精工制造有限公司 河南 464100）

新形勢下，隨著互聯(lián)網(wǎng)技術(shù)的飛速迅猛發(fā)展，越來越多的新興技術(shù)被應(yīng)用到人們的日常工作生產(chǎn)生活領(lǐng)域，新興技術(shù)的應(yīng)用給信息安全保密工作提出了新的挑戰(zhàn)。目前，世界各國都在嚴(yán)格地加強(qiáng)信息安全管控，包括計(jì)算機(jī)、網(wǎng)絡(luò)、工控機(jī)、手機(jī)終端等信息設(shè)備的安全保密管理。但我國的現(xiàn)狀是，金融、電信、國家電網(wǎng)等重點(diǎn)領(lǐng)域的核心IT 系統(tǒng)、芯片幾乎被國外廠商壟斷。因此，國家也正推行國產(chǎn)設(shè)備替代國外的進(jìn)口產(chǎn)品，并逐步建立完整的信息安全保障體系。盡管計(jì)算機(jī)網(wǎng)絡(luò)信息技術(shù)安全的研究和實(shí)踐已經(jīng)取得了很大的進(jìn)步，但泄密事件仍時(shí)有發(fā)生，且呈現(xiàn)上升趨勢，其中計(jì)算機(jī)網(wǎng)絡(luò)方面泄密成為目前最主要的泄密途徑，給國家和單位造成了不可估量的損失。

1 影響信息系統(tǒng)安全的各種因素分析

新形勢下影響信息系統(tǒng)安全保密的因素主要有以下幾種： （1）電磁波發(fā)射泄露

一類是傳導(dǎo)發(fā)射，通過電源線和信號(hào)線發(fā)射。另一類是由于信息設(shè)備（包括手機(jī)、計(jì)算機(jī)、服務(wù)器等）中的處理器、顯示器有較強(qiáng)的電磁波輻射。這些電磁波會(huì)把信息設(shè)備中的信息發(fā)射出去，只要有相應(yīng)的接收設(shè)備，就可以將電磁波接收下來，從中竊取信息設(shè)備的所有信息。

（2）網(wǎng)絡(luò)環(huán)境造成泄密

由于計(jì)算機(jī)網(wǎng)絡(luò)中的數(shù)據(jù)默認(rèn)存在共享，就存在許多泄密漏洞。不法分子可以利用其中存在的漏洞進(jìn)行攻擊，進(jìn)入系統(tǒng)內(nèi)進(jìn)行竊取信息。另外，在互聯(lián)網(wǎng)上發(fā)布信息時(shí)把關(guān)不嚴(yán)造成秘密被竊取，內(nèi)部局域網(wǎng)絡(luò)中的計(jì)算機(jī)非法連接互聯(lián)網(wǎng)，極易遭受攻擊被竊密；處理涉密信息的計(jì)算機(jī)系統(tǒng)沒有與互聯(lián)網(wǎng)及其他公共網(wǎng)絡(luò)進(jìn)行物理隔離進(jìn)而造成泄密。

（3）存儲(chǔ)介質(zhì)泄密

計(jì)算機(jī)硬盤、磁性介質(zhì)和光介質(zhì)作為信息存儲(chǔ)的主要場所，如果這些介質(zhì)沒有進(jìn)行有效的管理或沒有進(jìn)行相應(yīng)的技術(shù)防范措施，很容易被復(fù)制竊取。比如，在處理廢舊硬盤、U 盤時(shí)，由于磁盤經(jīng)消磁十余次后，仍有辦法可以把存儲(chǔ)在里面的信息恢復(fù)出來，因此存有秘密信息的磁盤很有可能被不法分子進(jìn)行利用造成泄密；計(jì)算機(jī)送外維修時(shí)存有秘密信息的硬盤沒有拆除，在無人監(jiān)督的情況下就送外進(jìn)行修理而造成泄密；設(shè)備在更換時(shí)存儲(chǔ)部件沒有進(jìn)行信息消除處理，就轉(zhuǎn)賣、丟棄或捐贈(zèng)等，造成泄密。

（4）內(nèi)部人員泄密

無意識(shí)泄密。單位內(nèi)部人員沒有形成安全保密意識(shí)，無意中違反保密規(guī)章制度造成泄密。

故意泄密。不法分子對信息知情人士采用金錢收買、色情誘惑、假意友情迷惑等手段以竊取所需要的秘密信息。信息知情人士一般是涉密人員、單位員工也有可能是單位的工勤人員等，特別信息系統(tǒng)操作員及管理人員尤其關(guān)鍵，如果這類人員被收買，就可以把信息系統(tǒng)內(nèi)的涉密文件、信息資料等對外非法提供，造成重大泄密。

2 技術(shù)方面的安全防范策略

（1）物理措施

物理措施的安全策略是為了保護(hù)信息系統(tǒng)、網(wǎng)絡(luò)設(shè)備、打印復(fù)印機(jī)等硬件實(shí)體和網(wǎng)絡(luò)通信線路免受自然災(zāi)害、人為破壞等攻擊。單位要嚴(yán)禁用涉密計(jì)算機(jī)直接或間接地接入互聯(lián)網(wǎng)，同時(shí)放置在同一間辦公室的內(nèi)外網(wǎng)計(jì)算機(jī)分離，間隔至少保持2 米。涉密計(jì)算機(jī)如果放置于200 米范圍內(nèi)不可控位置的話需要配置防電磁波發(fā)射泄露的紅黑電源及視頻保護(hù)器等安全保密設(shè)備。

（2）訪問控制

在入網(wǎng)控制管理方面，采用交換機(jī)端口+IP+ MAC 捆綁的技術(shù)手段防止用戶隨意更改IP 地址和隨意更換交換機(jī)端口，做到設(shè)備入網(wǎng)可控。在網(wǎng)絡(luò)邊界配備防火墻，設(shè)置相應(yīng)的訪問控制策略，控制細(xì)粒度達(dá)到單個(gè)主機(jī)級(jí)別。設(shè)置允許策略規(guī)則，默認(rèn)策略設(shè)置為禁止規(guī)則，主要是用來保護(hù)網(wǎng)絡(luò)系統(tǒng)不受外部威脅，通過設(shè)置出和入的控制策略，保障網(wǎng)絡(luò)信息安全。另外，在核心交換機(jī)上設(shè)置訪問控制策略，設(shè)置內(nèi)部用戶之間以及內(nèi)部用戶和服務(wù)器之間的訪問控制規(guī)則，保障不同安全域的用戶不能互相訪問，不同業(yè)務(wù)的用戶只能訪問所需要的服務(wù)器及信息系統(tǒng)，保障了信息知悉的最小范圍，保障了保密信息不擴(kuò)大知悉范圍。

（3）操作系統(tǒng)安全策略

服務(wù)器要設(shè)置好相應(yīng)的安全管理策略，主要包括有服務(wù)器安全審核策略、組策略實(shí)施、服務(wù)器備份策略等。服務(wù)器安全審核是管理員日常工作，審核的范圍包括安全漏洞檢查、日志分析、系統(tǒng)補(bǔ)丁安裝情況檢查等。在部署組策略時(shí)，可以通過組策略配置軟件限制策略、密碼策略、賬戶鎖定策略及Kerberos 策略、審核策略、安全選項(xiàng)等控制一個(gè)域范圍的所有信息設(shè)備的安全保密管理。服務(wù)器的備份策略包括應(yīng)用軟件備份和數(shù)據(jù)庫備份兩部分，應(yīng)用軟件備份利用專用備份程序，制定一個(gè)合理的備份內(nèi)容、時(shí)間點(diǎn)的策略，對于關(guān)鍵應(yīng)用系統(tǒng)每天都做完全的數(shù)據(jù)備份，同時(shí)把備份的數(shù)據(jù)及時(shí)進(jìn)行異地備份，并定期檢查其備份文件是否成功可用，并對備份數(shù)據(jù)采用虛擬機(jī)的形式恢復(fù)還原測試備份數(shù)據(jù)的完整性、可用性。

3 人員方面安全管理措施

在信息安全保密管理方面，人的安全保密意識(shí)是至關(guān)重要的因素。即使我們配置最先進(jìn)的安全防護(hù)設(shè)備設(shè)施工具，使用256位加密技術(shù)處理和存儲(chǔ)信息數(shù)據(jù)，只要我們“人”這一擁有信息安全技術(shù)的主體沒有真正的信息安全責(zé)任意識(shí)，那我們的信息照樣是不安全不可靠的。要讓每一位人員都深深地意識(shí)到安全保密是紅線，是企業(yè)的生命線，從思想認(rèn)識(shí)上增強(qiáng)信息安全保密意識(shí)。信息安全保密教育是做好信息安全保密工作的基礎(chǔ)和前提，信息保密管理部門要制定切實(shí)可行的信息安全保密管理規(guī)章制度，簡單明了操作性強(qiáng)，并認(rèn)真培訓(xùn)貫徹嚴(yán)格執(zhí)行。

4 技術(shù)與管理并重保信息安全

我們應(yīng)該認(rèn)識(shí)到如果沒有強(qiáng)有力的管理來支撐，就是再先進(jìn)的技術(shù)防范措施都會(huì)大打折扣，再高深技術(shù)也離不開人的使用和管理，信息安全是“三分靠技術(shù)，七分靠管理”，所以信息安全保密工作不能完全寄希望于先進(jìn)的安全保密技術(shù)設(shè)備，而應(yīng)該是技術(shù)與管理并重。所以我們都要嚴(yán)格遵守執(zhí)行國防軍工單位的保密的“六條規(guī)定”：第一、禁止私自在機(jī)關(guān)、單位登錄互聯(lián)網(wǎng)；第二、禁止在家用計(jì)算機(jī)處理涉密信息；第三、禁止涉密網(wǎng)與互聯(lián)網(wǎng)連接或在連接互聯(lián)網(wǎng)計(jì)算機(jī)處理涉密信息；第四、禁止私自留存涉密計(jì)算機(jī)、涉密移動(dòng)存儲(chǔ)介質(zhì)或涉密文件資料；第五、禁止在涉密計(jì)算機(jī)與非涉密計(jì)算機(jī)之間交叉使用移動(dòng)存儲(chǔ)介質(zhì)；第六、禁止擅自對外披露單位涉密信息和內(nèi)部信息。遵守單位的安全保密管理規(guī)章制度，規(guī)范安全保密行為，養(yǎng)成良好的習(xí)慣，防止泄密事件發(fā)生。從技術(shù)和管理方面加強(qiáng)信息安全保密體系建設(shè)，真正做到保密工作與業(yè)務(wù)工作同計(jì)劃、同部署、同檢查、同總結(jié)、同獎(jiǎng)懲，確保信息安全，確保國家安全。

5 信息安全評估

信息安全評估是信息系統(tǒng)全生命周期中一個(gè)重要環(huán)節(jié)，根據(jù)環(huán)境、人員、信息設(shè)備等方面的變化信息安全的風(fēng)險(xiǎn)也是動(dòng)態(tài)變化的，只有動(dòng)態(tài)的定期進(jìn)行評估才能發(fā)現(xiàn)存在的安全風(fēng)險(xiǎn)。要做到每年至少進(jìn)行一次安全風(fēng)險(xiǎn)評估，及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)漏洞并及時(shí)整改，以消除或降低信息安全風(fēng)險(xiǎn)。