本刊記者

隨著信息化工作的開展，

網(wǎng)絡(luò)在給政府的行政行為和提供公共服務(wù)等方面帶來巨大便利的同時，也帶來了很多嚴(yán)重的安全隱患，一旦出現(xiàn)內(nèi)部信息泄露，造成的損失將無法估量。因此，和互聯(lián)網(wǎng)物理隔離的政府內(nèi)網(wǎng)該怎么強化管理，以達到既能保證內(nèi)網(wǎng)安全運行，又能使政府為公眾提供更好更多的服務(wù)，把互聯(lián)網(wǎng)對涉密內(nèi)網(wǎng)的威脅降到最低，是一個值得深思和研究的問題。

為此，本期沙龍邀請了國家信息化專家咨詢委員會委員曲成義，就內(nèi)網(wǎng)安全問題，跟與會嘉賓進行了深入的交流和探討。

內(nèi)網(wǎng)泄密三大元兇與十大途徑

記者：曲老師，從我國政務(wù)內(nèi)網(wǎng)的定位看，內(nèi)網(wǎng)安全的重要保障是與互聯(lián)網(wǎng)的物理隔離。但是，近年來，重大失泄密事件卻呈現(xiàn)增長的趨勢，網(wǎng)絡(luò)電子泄密的比例已大于泄密總量的70%。那么，在物理隔離的內(nèi)網(wǎng)上，這些涉密文件和信息是怎么泄漏出去的？

曲成義：近幾年，隨著信息化工作的開展，國家秘密和公眾隱私的安全保密問題也隨之突出，特別是重大失泄密事件的發(fā)生和成倍增長。如 2008年多起重大泄密事件一度成為國家嚴(yán)重關(guān)注的焦點，當(dāng)年發(fā)現(xiàn)了大量涉密文件違規(guī)流轉(zhuǎn)到互聯(lián)網(wǎng)，嚴(yán)重影響國家安全。

內(nèi)網(wǎng)最大的一個特點是物理隔離。如果不是物理隔離，就不叫內(nèi)網(wǎng)。那么，在物理隔離的內(nèi)網(wǎng)上，為什么還會出事？那就是物理隔離的邊界通過很多途徑，已經(jīng)事實被突破。

這些突破源頭歸結(jié)起來有三個，即保密局稱之為泄密三元兇的介質(zhì)、端機和網(wǎng)絡(luò)。而互聯(lián)網(wǎng)也包括大量與政府系統(tǒng)的違規(guī)接口。

這三大元兇經(jīng)內(nèi)部人員的誤操作、違規(guī)操作，以及違法操作，通過各種渠道，在事實上已經(jīng)突破了涉密內(nèi)網(wǎng)采用的物理隔離的邊界保障。

舉個例子：一個已經(jīng)被盯梢的人，當(dāng)他的內(nèi)網(wǎng)介質(zhì)在外網(wǎng)上下載文件時，人家就從網(wǎng)上把一個碟件下載到他的介質(zhì)上。等他回到內(nèi)網(wǎng)再使用這個介質(zhì)，除了把他從外網(wǎng)上下載的文件拷到端機上之外，碟件也拷到他的端機，而且這個碟件還能在他的端機里開辟一個自己的小空間，遇到涉密文件，它就往里收集。等他下次再做介質(zhì)交叉使用時，碟件就會把收集到的文件發(fā)到互聯(lián)網(wǎng)上對方的電腦。

類似這種違規(guī)交叉使用介質(zhì)導(dǎo)致泄密的途徑還有9種：端機違規(guī)外聯(lián)和開啟非法端口；內(nèi)網(wǎng)非法開啟外部網(wǎng)絡(luò)接口；電子文檔流轉(zhuǎn)中各環(huán)節(jié)的脆弱點；內(nèi)外網(wǎng)信息交換中存在的隱通道；清除和銷毀涉密文件中的重大隱患；無自主可控權(quán)的 IT 產(chǎn)品中潛在的威脅，包括隱通道、嵌入式病毒、深層次木馬、惡意后門、可恢復(fù)密碼、運行探測等六種威脅；“安全距離”內(nèi)的空間電磁泄露；公開網(wǎng)站的嚴(yán)重失職造成電子文件公開泄密等等。

必須提升全民信息安全意識

記者：在號稱世界IT技術(shù)包括信息安全技術(shù)最發(fā)達的美國，一名情報員竟能將幾十萬份戰(zhàn)爭密文和上萬份外交電文流傳到網(wǎng)上，將諸多美國外交內(nèi)幕和盤托出！全球嘩然。這一“維基解密”事件暴露了美國在涉密內(nèi)網(wǎng)安全上的重大隱患，也給我國的涉密內(nèi)網(wǎng)安全敲響了一次新的警鐘。

曲成義：您說得很對。在一個開放、互聯(lián)、共享的互聯(lián)網(wǎng)時代，維基事件的教訓(xùn)是慘重的、啟示是嚴(yán)肅的、保密使命是艱巨的。特別是網(wǎng)絡(luò)空間對抗的今天，安全保密任務(wù)的嚴(yán)重性、尖銳性、艱巨性，值得深思。

信息網(wǎng)絡(luò)已成為重要的國家基礎(chǔ)設(shè)施，掌控網(wǎng)絡(luò)空間對抗中的安全就成為保衛(wèi)國家安全的重要使命。從90年代美國成立“空軍信息作戰(zhàn)中心”開始，到2011年成立網(wǎng)絡(luò)戰(zhàn)爭司令部，北約、歐盟、俄羅斯、以色列、韓國、印度、日本、德國 等國家都在加緊籌備應(yīng)對一場隨時都可能來臨的“網(wǎng)絡(luò)空間戰(zhàn)爭”。

“網(wǎng)絡(luò)空間戰(zhàn)”的三大使命是“情報戰(zhàn)”、“系統(tǒng)戰(zhàn)”、“心理戰(zhàn)”。情報戰(zhàn)即態(tài)勢感知，通過信息武器進行竊密與反竊密。系統(tǒng)戰(zhàn)即網(wǎng)絡(luò)交戰(zhàn)，對信息系統(tǒng)進行破壞與防護，達到破壞國家重要基礎(chǔ)設(shè)施的目的，比如數(shù)字武器、數(shù)字戰(zhàn)場和數(shù)字城市的重要基礎(chǔ)設(shè)施。心理戰(zhàn)即軍事威攝，通過網(wǎng)絡(luò)進行輿論煽動或滲透、篡改與控治，達到威懾和動搖的目的。

情報竊取是網(wǎng)絡(luò)戰(zhàn)的前導(dǎo)。反竊密是網(wǎng)絡(luò)戰(zhàn)中的核心內(nèi)容之一，因此竊密與反竊密斗爭日顯突出，電子竊密是其重要手段。2009年，美國發(fā)布“國家情報戰(zhàn)略”，其目的就是防止網(wǎng)絡(luò)間諜和竊密。其中，包括情報預(yù)警、情報獲取、反信息間諜、網(wǎng)絡(luò)安全等。

系統(tǒng)戰(zhàn)是網(wǎng)絡(luò)空間戰(zhàn)的核心。通過網(wǎng)絡(luò)對抗手段向敵對國家的重要基礎(chǔ)設(shè)施（水、電、氣、油、交通、網(wǎng)絡(luò)、金融、國防等）進行網(wǎng)絡(luò)攻擊，致使其信息系統(tǒng)癱瘓。

因此，一定要站在“網(wǎng)絡(luò)戰(zhàn)”的高度來看待“信息安全保密”。信息安全保密已不再是個人和部門的問題，而是網(wǎng)絡(luò)戰(zhàn)爭的重要使命，是關(guān)系著國家安全和命運的大局。必須提升全民信息安全意識，要高度重視、規(guī)范管理、提高警惕、嚴(yán)密防護、遏制破獲、追溯反擊。

《下一場戰(zhàn)爭》一書中曾寫道：“在未來的戰(zhàn)爭中，計算機本身就是武器，前線無處不在，爭奪作戰(zhàn)空間控制權(quán)的不僅是炮彈和子彈，而是計算機網(wǎng)絡(luò)里流動的比特和字節(jié)?！眹H網(wǎng)絡(luò)空間對抗態(tài)勢已經(jīng)明朗，“網(wǎng)絡(luò)空間戰(zhàn)”不再只是一種空談。未來戰(zhàn)爭將由物理空間擴展到虛擬空間，信息武器已經(jīng)清晰可見，局部案例也已經(jīng)出現(xiàn)。因此，必須從網(wǎng)絡(luò)空間對抗的高度來看待信息安全保密。

涉密內(nèi)網(wǎng)安全應(yīng)對策略

記者：在內(nèi)網(wǎng)安全建設(shè)中，既然核心是物理隔離，那么我們采取什么樣的措施來保證物理隔離不被突破？如何在被突破的第一時間被發(fā)現(xiàn)，第一時間被阻斷？

曲成義：顯然，圍繞著內(nèi)網(wǎng)邊界的物理隔離，我們要采取大量技術(shù)上和管理上的信息安全手段，保證與互聯(lián)網(wǎng)的物理隔離是落實的、可信的、有效的，而且是不能被事實突破的，這是內(nèi)網(wǎng)安全的核心。

剛才提到的“維基解密”事件，至少暴露出美國在涉密內(nèi)網(wǎng)安全上的三大隱患，即授權(quán)粗放、強審計和實時監(jiān)控不到位、互聯(lián)網(wǎng)接入的失控。

從引以為戒的角度，我們至少要在以下幾方面下功夫：

首先，要提升“涉密內(nèi)網(wǎng)”邊界安全的理念?；ヂ?lián)網(wǎng)威脅日益嚴(yán)峻的形勢，邊界物理隔離在“內(nèi)網(wǎng)”防外中發(fā)揮了關(guān)鍵作用。但是內(nèi)網(wǎng)邊界安全理念還需要提升，防止內(nèi)網(wǎng)被變相突破。這些變相突破包括：內(nèi)部違規(guī)造成外部威脅的引入；內(nèi)部違法直接嵌入外部威脅；外部威脅一旦侵入考驗內(nèi)網(wǎng)保密的堅固性。其實，有些人并沒有泄密的主觀意圖，只不過因其安全意識或者安全手段的不到位，而導(dǎo)致了一些違規(guī)行為的出現(xiàn)。由此可見，培訓(xùn)是一個提升安全意識和安全技術(shù)的重要的手段。

其次，要建立涉密內(nèi)網(wǎng)的信息安全保密體系。該體系建設(shè)包括四個方面：一是內(nèi)網(wǎng)的信任體系的建設(shè)，包括有強的身份認(rèn)證，細粒度的授權(quán)，嚴(yán)格的審計；二是嚴(yán)謹(jǐn)?shù)膭討B(tài)防御機制，包括防病毒、防黑客、防內(nèi)部違規(guī)等等安全防護手段；三是強化審計監(jiān)控，對內(nèi)部所有的端機、所有的接口、所有行為情況進行實時監(jiān)控，第一時間發(fā)現(xiàn)違規(guī)違法行為，并且加以拒絕。做到事前預(yù)警、事中監(jiān)控、事后取證；四是嚴(yán)密的安全管理，包括管理的機制、手段、條例、標(biāo)準(zhǔn)、培訓(xùn)等。當(dāng)然，每一條都需要一系列的安全手段、機制和產(chǎn)品來保證。

第三，強化涉密電子文件流轉(zhuǎn)中關(guān)鍵環(huán)節(jié)的管控。涉密電子文件在它起草、定密、批準(zhǔn)、授權(quán)、流轉(zhuǎn)、交換、下載、打印、解密、存檔、銷毀的全流程監(jiān)管中，抓住流轉(zhuǎn)中的薄弱環(huán)節(jié)，狠抓泄密源頭（端機、介質(zhì)、網(wǎng)絡(luò)）。

第四，認(rèn)真落實“涉密內(nèi)網(wǎng)”的六大要素。這六大要素是針對保障涉密信息及其服務(wù)具有的六個性，即保密性、完整性、可用性、真實性、可核查性和可控性。

要素一：以信息“保密性”為核心的信息安全保密體系部署，轉(zhuǎn)來轉(zhuǎn)去不要忘了內(nèi)網(wǎng)是以保密為核心。

要素二：以“物理隔離”為要素的邊界控制。包括實體的物理隔離和邏輯上被突破的手段，要防止“物理隔離”的任何變相突破。

要素三：以“強化監(jiān)控與審計”為抓手的安全保密內(nèi)控機制。要能做到在下載第一份文件的時候就有所察覺，并能立即發(fā)揮實時監(jiān)控的作用加以制止。同時，強的審計還能給每一個內(nèi)部人員造成威懾力。

要素四：以“最小特權(quán)”與“重教育嚴(yán)管理”為策略的保密管理體制建設(shè)。目前很多單位只有內(nèi)容的授權(quán)，沒有行為的授權(quán)，因而存在漏洞。授權(quán)應(yīng)包括內(nèi)容授權(quán)和行為授權(quán)兩種。所謂行為授權(quán)，就是你有權(quán)到內(nèi)網(wǎng)上去看文件，還是能下載，還是能交換、轉(zhuǎn)移文件等，都要有明確的授權(quán)。

要素五：以內(nèi)容“密級標(biāo)識”與“強制訪問控制”為特征的跨域信息交換。內(nèi)網(wǎng)里有很多不同等級的安全域，對于電子文件在跨域流轉(zhuǎn)時，只標(biāo)識一個機密章、絕密詞是沒用的。對于涉密文件的密級標(biāo)識，必須嵌入到正文里，而且不可以刪除、修改和下調(diào)。在流動過程中，強的身份認(rèn)證，強的密級標(biāo)識加上強的安全網(wǎng)關(guān)，在邊界上就能夠有效地保證高密級的文件在涉密內(nèi)網(wǎng)中不至于流向低密級區(qū)域，秘密文件也不能流向非涉密域。

要素六：以加強“保密分級測評”與推進“PDCA”模型為手段的風(fēng)險控制。做得再好的安全保密，也不可能沒有漏洞，不可能把風(fēng)險降到零。既然還有殘余風(fēng)險，還存在可能的漏洞，通過分級保護測評，就可以及早發(fā)現(xiàn)漏洞、發(fā)現(xiàn)問題，及時修補。

當(dāng)然，以上的每一條都需要一系列的安全手段、機制和產(chǎn)品來保證。如果這6條都做好了，我想內(nèi)網(wǎng)就更安全和更可信。