涉密單機(jī)安全保密技術(shù)防護(hù)方法的研究

雷越辰

【摘 要】在國際形勢日益復(fù)雜的今天，涉及國家秘密的信息安全一直是國防軍工領(lǐng)域關(guān)注的重點(diǎn)問題。本文針對單機(jī)運(yùn)行環(huán)境下的信息安全，提出了一種涉密單機(jī)安全保密技術(shù)防護(hù)方法，有效降低了涉密單機(jī)的失泄密風(fēng)險。

【關(guān)鍵詞】涉密單機(jī)； 信息安全； 技術(shù)防護(hù)

【Abstract】Today， the international situation is becoming increasingly complex. Information security which involves state secrets has always been a important aspect in the field of national defense. This paper presents a technical safeguard method of single secret-related computer， which effectively reduced the risk of secret leakage.

【Key words】Single secret-related computer； Information security； Technical safeguard

0 前言

時至今日，信息化建設(shè)成為了軍工行業(yè)發(fā)展不可或缺的重要組成部分，計算機(jī)的應(yīng)用滲透到了軍工單位科研生產(chǎn)的各個領(lǐng)域。承擔(dān)國家軍工項目的科研院所，都將大量的涉密資料存儲在計算機(jī)中，隨之而來的計算機(jī)信息安全問題也越來越突出。目前還有很多單位受制于客觀條件還沒有建設(shè)涉密信息系統(tǒng)，計算機(jī)的使用也還停留在單機(jī)運(yùn)行。由于軟件及硬件存在的漏洞易被不法分子利用，造成數(shù)據(jù)的丟失或者是系統(tǒng)的破壞，因此對涉密單機(jī)進(jìn)行安全保密技術(shù)防護(hù)勢在必行。本文提出了一種涉密單機(jī)安全保密技術(shù)防護(hù)方法，對涉密單機(jī)的信息安全保密具有實(shí)際參考意義。

1 涉密單機(jī)信息安全風(fēng)險

計算機(jī)信息在編輯、儲存、接收、發(fā)送的各個環(huán)節(jié)都面臨著非授權(quán)訪問或惡意篡改破壞等諸多風(fēng)險，下面對信息安全風(fēng)險進(jìn)行簡單介紹。

1.1 非授權(quán)訪問風(fēng)險

非授權(quán)訪問主要指利用軟硬件漏洞，通過賬戶密碼破譯等手段，在未被授權(quán)的情況下對計算機(jī)內(nèi)的信息進(jìn)行訪問和竊取。非授權(quán)訪問的風(fēng)險級別高，一旦發(fā)生后果嚴(yán)重。

1.2 系統(tǒng)漏洞及惡意代碼風(fēng)險

隨著操作系統(tǒng)和應(yīng)用軟件功能的多樣化、復(fù)雜化發(fā)展，系統(tǒng)安全漏洞日益增多，很容易被病毒木馬等惡意程序利用來操縱或攻擊主機(jī)，并通過信息交換感染其他計算機(jī)。被感染的計算機(jī)通常會出現(xiàn)無法啟動、資源占用、數(shù)據(jù)丟失、運(yùn)行遲緩等現(xiàn)象，嚴(yán)重影響日常工作，對信息安全造成重大威脅。

1.3 用戶違規(guī)行為風(fēng)險

涉密單機(jī)用戶與網(wǎng)絡(luò)終端用戶相比，他們的操作行為很難被計算機(jī)管理員監(jiān)督和管控。正是由于這種隱蔽性，為實(shí)現(xiàn)個人便利，涉密單機(jī)用戶可能會在計算機(jī)上進(jìn)行違規(guī)操作，如連接互聯(lián)網(wǎng)、使用非授權(quán)移動存儲介質(zhì)、連接違規(guī)外設(shè)等，如果沒有在單機(jī)上采取硬件控制措施，這些違規(guī)操作則會存在相當(dāng)大的泄密風(fēng)險。

1.4 電磁泄漏風(fēng)險

電磁泄漏是指信息系統(tǒng)的設(shè)備在工作時能經(jīng)過地線、電源線、信號線、寄生電磁信號或諧波等輻射出去，產(chǎn)生電磁泄漏。這些電磁信號如果被接收下來，經(jīng)過提取處理，就可恢復(fù)出原信息。利用計算機(jī)設(shè)備的電磁泄漏竊取機(jī)密信息是國內(nèi)外情報機(jī)關(guān)截獲信息的重要途徑，因為用高靈敏度的儀器截獲計算機(jī)及外部設(shè)備中泄漏的信息，比用其他方法獲得情報要準(zhǔn)確、可靠、及時、連續(xù)得多，而且隱蔽性好，不易被對方察覺。

2 涉密單機(jī)安全保密技術(shù)防護(hù)方法

2.1 操作系統(tǒng)安全配置

首先，在BIOS中設(shè)置管理員密碼和啟動密碼，禁用多余啟動項；其次，在賬戶設(shè)置中刪除多余賬戶，停用Guest賬戶，對用戶賬戶設(shè)置滿足需要的最小化權(quán)限；第三，關(guān)閉多余端口和服務(wù)，尤其是與共享和網(wǎng)絡(luò)相關(guān)的服務(wù)；第四，配置日志文件保護(hù)策略，方便管理員進(jìn)行系統(tǒng)日志查詢；第五，配置本地安全策略，包括審核策略、密碼策略、賬戶鎖定策略和安全選項。

2.2 系統(tǒng)更新及病毒防護(hù)

為了防范惡意程序的攻擊，涉密單機(jī)要定期更新系統(tǒng)安全補(bǔ)丁和防病毒軟件病毒庫。防病毒軟件需配置相應(yīng)策略，如實(shí)時監(jiān)控、定期掃描、防護(hù)白名單、U盤防護(hù)等。

2.3 基于身份認(rèn)證的安全登錄

將身份認(rèn)證介質(zhì)與計算機(jī)用戶賬戶綁定，通過加PIN碼的方式實(shí)現(xiàn)終端安全登錄，同時設(shè)置PIN碼復(fù)雜度策略和賬戶鎖定策略。妥善保管USB Key并定期修改PIN碼，可以有效地防止涉密單機(jī)被非授權(quán)訪問。

2.4 主機(jī)監(jiān)控與審計

針對涉密單機(jī)用戶操作不易監(jiān)控的特點(diǎn)，在涉密單機(jī)上安裝主機(jī)監(jiān)控與審計系統(tǒng)，通過配置用戶賬戶策略、打印輸出策略、軟件安裝策略等審計監(jiān)控策略，可以對用戶的登錄、打印、程序安裝卸載、存儲介質(zhì)使用等操作進(jìn)行監(jiān)控和審計，定期形成審計記錄以備查閱。而且通過本地安全策略設(shè)置，可以有效防止本地策略被篡改，提高了系統(tǒng)的安全性。

2.6 保密技術(shù)防護(hù)專用系統(tǒng)

保密技術(shù)防護(hù)專用系統(tǒng)又叫三合一系統(tǒng)，包括管理端軟件、用戶端軟件、單向?qū)胙b置、專用移動存儲介質(zhì)。三合一系統(tǒng)可以同時實(shí)現(xiàn)硬件控制、違規(guī)外聯(lián)監(jiān)控、存儲介質(zhì)管理和單向?qū)?。硬件與外設(shè)控制可以對光驅(qū)、打印機(jī)、掃描儀等外部設(shè)備進(jìn)行啟用和禁用的控制；違規(guī)外聯(lián)監(jiān)控實(shí)現(xiàn)對用戶違規(guī)聯(lián)接互聯(lián)網(wǎng)的實(shí)時監(jiān)控和網(wǎng)絡(luò)阻斷；存儲介質(zhì)管理是通過管理端軟件對T型口U盤進(jìn)行注冊綁定，綁定的U盤只可在有相應(yīng)注冊信息的計算機(jī)上使用；單向?qū)胧墙柚庑盘枂蜗騻鬏數(shù)奶匦裕ㄟ^單向?qū)胙b置方便地實(shí)現(xiàn)普通U盤信息的輸入。

2.7 電磁泄漏發(fā)射防護(hù)

涉密單機(jī)環(huán)境下的電磁泄漏主要來源于計算機(jī)顯示器、各部件連接線以及電源線路，此情形下的電磁泄漏發(fā)射防護(hù)要做到三個方面。一是涉密信息設(shè)備與非涉密信息設(shè)備的擺放要求保持安全距離；二是采用紅黑電源濾波隔離插座，將涉密設(shè)備電源與非涉密設(shè)備電源進(jìn)行隔離防護(hù)；三是為涉密單機(jī)配備視頻干擾器，通過對電磁泄漏的信號進(jìn)行干擾和疊加，降低信息被復(fù)原的可能。

3 涉密單機(jī)信息的輸入輸出

涉密單機(jī)禁用光驅(qū)并且只能使用已綁定的涉密U盤，所以其信息的輸入輸出需要借助中間機(jī)以光盤為信息載體來實(shí)現(xiàn)。中間機(jī)要求安裝防病毒軟件和三合一用戶端，啟用刻錄光驅(qū)，以實(shí)現(xiàn)病毒掃描和信息轉(zhuǎn)錄的功能。

3.1 涉密單機(jī)信息輸入流程

1）辦理涉密單機(jī)信息輸入審批手續(xù)；

2）在中間機(jī)上對輸入信息進(jìn)行病毒掃描，其中光盤信息通過光驅(qū)輸入中間機(jī)，普通U盤信息使用單向?qū)胙b置導(dǎo)入（下轉(zhuǎn)第194頁）（上接第116頁）中間機(jī)；

3）通過單向?qū)胙b置將待輸入信息復(fù)制到涉密U盤內(nèi)；

4）將涉密U盤內(nèi)信息導(dǎo)入涉密單機(jī)。

3.2 信息輸出流程

1）辦理涉密單機(jī)信息輸出審批手續(xù)；

2）將單機(jī)中待輸出信息復(fù)制到涉密U盤里；

3）使用單向?qū)胙b置將涉密U盤信息導(dǎo)入中間機(jī)，并通過刻錄一次性光盤輸出。

4 結(jié)束語

在國際形勢日益復(fù)雜的環(huán)境下，信息安全一直是國防軍工單位關(guān)注的重點(diǎn)問題。本文提出的單機(jī)安全保密技術(shù)防護(hù)措施經(jīng)過實(shí)踐檢驗，證明能有效地提高涉密單機(jī)信息的安全性。但信息安全的主體在人，現(xiàn)有的安全保密技術(shù)還不能完全消除涉密單機(jī)在使用中存在的風(fēng)險只有，技術(shù)防護(hù)輔以制度管理才能有效提升單機(jī)信息安全保密水平，將失泄密隱患控制在可以接受的范圍內(nèi)。

【參考文獻(xiàn)】

[1]陳旸，陳輝.基于“技術(shù)+制度”的單機(jī)管理方法研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013.

[2]鮑捷.涉密信息系統(tǒng)涉密單機(jī)安全保密防護(hù)探討[J].電子世界，2013.

[3]胡剛. 計算機(jī)信息安全及其防范技術(shù)[J].信息通信，2013.

[責(zé)任編輯：曹明明]