◆吳 思 王子平 郭 萌
(北京宇航系統(tǒng)工程研究所 北京 100076)
淺談軍工企業(yè)信息安全及保密技術(shù)的研究
◆吳 思 王子平 郭 萌
(北京宇航系統(tǒng)工程研究所 北京 100076)
軍工企業(yè)網(wǎng)絡(luò)是涉及國家安全的重要基礎(chǔ)設(shè)施,網(wǎng)絡(luò)的安全關(guān)系到國家的安全,目前網(wǎng)絡(luò)攻擊者不斷提高其技術(shù),給信息安全的防護(hù)帶來了更高的挑戰(zhàn)。本文介紹了當(dāng)今軍工企業(yè)網(wǎng)絡(luò)安全面臨的諸多問題,針對這些問題提出了相應(yīng)的措施。
網(wǎng)絡(luò)安全;軍工企業(yè)信息;保密技術(shù)
信息化作為當(dāng)今時代發(fā)展的大趨勢,是推動經(jīng)濟(jì)社會變革的重要力量。大力推進(jìn)信息化,軍工制造業(yè)正在向以信息化、網(wǎng)絡(luò)化為特征的“數(shù)字軍工”發(fā)展,信息化成為軍工企業(yè)提高核心競爭力的重要內(nèi)容。
軍工企業(yè)負(fù)責(zé)國家軍備生產(chǎn)任務(wù),網(wǎng)絡(luò)中的數(shù)據(jù)必須時刻高度保密,尤其需要加強(qiáng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全。網(wǎng)絡(luò)系統(tǒng)要防止未經(jīng)授權(quán)的訪問或遭受破壞和非法入侵,要防止敏感數(shù)據(jù)盜竊或非法復(fù)制等。構(gòu)建一個安全網(wǎng)絡(luò)架構(gòu)系統(tǒng),防止內(nèi)部信息泄露是軍工企業(yè)網(wǎng)絡(luò)必須關(guān)注的問題。
近年來,由于軟件功能日益復(fù)雜,漏洞日益增多,越來越多的非安全節(jié)點(diǎn)可以從多種途徑連接到企業(yè)內(nèi)部網(wǎng)絡(luò),從漏洞被發(fā)現(xiàn)到發(fā)現(xiàn)病毒攻擊的時間越來越短,病毒的感染可以帶來諸多難以預(yù)計(jì)的后果。
企業(yè)外部攻擊多數(shù)利用遠(yuǎn)程登錄或木馬的方式通過系統(tǒng)漏洞進(jìn)行攻擊,黑客通過掃描系統(tǒng)漏洞收集被攻擊服務(wù)器信息從而得到賬戶授權(quán)入侵至內(nèi)網(wǎng)。
根據(jù)統(tǒng)計(jì),被攻擊的服務(wù)器多數(shù)來自內(nèi)網(wǎng)員工的惡意威脅,內(nèi)部人員的攻擊對于外部黑客的威脅更大也更容易進(jìn)行。
根據(jù)《計(jì)算機(jī)信息系統(tǒng)國際互聯(lián)網(wǎng)保密管理規(guī)定》“涉及國家秘密的計(jì)算機(jī)信息系統(tǒng),不得直接或間接與國際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡(luò)相連接,必須實(shí)行物理隔離?!避姽て髽I(yè)多為涉密單位,為保障涉密信息的安全物理隔離已成為防范外部遠(yuǎn)程攻擊的最直接和有效手段。
采用物理隔離用戶可根據(jù)需要采用網(wǎng)閘設(shè)備隔離或空間隔離。空間隔離保證涉密網(wǎng)與非涉密網(wǎng)保持一定安全距離,可采用專用介質(zhì)進(jìn)行數(shù)據(jù)傳輸。
物理安全策略:門禁系統(tǒng),視頻監(jiān)控,防電磁。
防火墻是一種實(shí)施訪問策略的系統(tǒng),它作為一道網(wǎng)絡(luò)之間信息交換的安全屏障,隔離外部網(wǎng)絡(luò)的惡意信息流,阻止非可信任用戶進(jìn)入到受保護(hù)系統(tǒng)。防火墻也可以限制一個內(nèi)聯(lián)網(wǎng)段對另一個內(nèi)聯(lián)網(wǎng)的訪問,它就像是網(wǎng)絡(luò)中的“咽喉”,因?yàn)樗型ㄐ哦紡倪@里流過,并且也是所有流量被檢查和限制的地方。
防火墻可以是運(yùn)行軟件防火墻產(chǎn)品或硬件防火墻設(shè)備。它監(jiān)視流進(jìn)和流出其保護(hù)的網(wǎng)絡(luò)數(shù)據(jù)包,過濾掉不滿足安全策略要求的數(shù)據(jù)包。
多數(shù)情況,企業(yè)還可以通過設(shè)立防火墻構(gòu)建(DMZ)區(qū),DMZ位于受保護(hù)網(wǎng)絡(luò)和未受保護(hù)網(wǎng)絡(luò)直接的網(wǎng)段。它提供了一個在危險(xiǎn)公網(wǎng)和企業(yè)內(nèi)網(wǎng)的緩沖區(qū)域,通常包括WEB服務(wù)器、郵件服務(wù)器和DNS服務(wù)器等。
入侵檢查系統(tǒng)(IDS)是動態(tài)的防御技術(shù),可以從網(wǎng)絡(luò)系統(tǒng)中多個觀測點(diǎn)收集信息、分析信息,從而發(fā)現(xiàn)網(wǎng)絡(luò)中違反策略或遭受攻擊的跡象。
防火墻更重要的作用是抵御外部攻擊,而入侵檢測系統(tǒng)是一種主動防御技術(shù),實(shí)時地對涉密網(wǎng)中異常情況進(jìn)行監(jiān)控,不僅可以監(jiān)測到外部攻擊也防止內(nèi)部人員的惡意破壞,有效地彌補(bǔ)了防火墻的不足,被認(rèn)為是防火墻后的第二道閘門。
入侵檢測技術(shù)具有監(jiān)視分析用戶和系統(tǒng)的能力。審計(jì)系統(tǒng)漏洞和配置、感知系統(tǒng)和數(shù)據(jù)的完整性、識別攻擊行為,使系統(tǒng)管理員可以高效地審查、監(jiān)視或評估網(wǎng)絡(luò)安全。
不過目前的入侵檢測也存在自身問題:1、在較大規(guī)模的網(wǎng)絡(luò)環(huán)境中監(jiān)測并非十分精確;2、經(jīng)常出現(xiàn)誤報(bào)與漏報(bào)的現(xiàn)象,系統(tǒng)管理員常陷于海量的告警信息中難以識別真正的告警信息而疲于使用該產(chǎn)品。因此在IDS的基礎(chǔ)上結(jié)合入侵防御系統(tǒng)IPS(Intrusion Protect System),即更為智能的防御系統(tǒng),能夠更精確地定位危險(xiǎn)存在。
防病毒軟件掃描通過特定協(xié)議傳遞的文件、電子郵件或其他數(shù)據(jù),然后將它們與病毒特征數(shù)據(jù)庫進(jìn)行比較。如果匹配成功,防病毒軟件將執(zhí)行預(yù)先設(shè)置的活動,如隔離文件、刪除病毒、向用戶發(fā)送一個警告消息并記錄事件。防病毒軟件可以有效地防御病毒以及木馬等惡意程序。
主機(jī)監(jiān)控與審計(jì)系統(tǒng)是軍工涉密網(wǎng)強(qiáng)制要求進(jìn)行安裝使用的安全產(chǎn)品,用戶登錄使用USBkey或IC卡等手段進(jìn)行認(rèn)證。其作用主要針對硬件端口,包括串口、并口、1394接口、藍(lán)牙紅外等端口進(jìn)行禁用控制。能夠?qū)K端用戶的操作以及資源情況進(jìn)行審計(jì),有效監(jiān)測終端用戶是否進(jìn)行違規(guī)操作。
漏洞掃描系統(tǒng)連接到涉密網(wǎng)系統(tǒng),并對操作系統(tǒng)、數(shù)據(jù)庫漏洞進(jìn)行安全掃描,給出按照風(fēng)險(xiǎn)類別等級的掃描結(jié)果。漏洞掃描可分為獨(dú)立式部署和分布式部署。
防病毒系統(tǒng)俗稱殺毒軟件,計(jì)算機(jī)感染病毒后會出現(xiàn)無法正常啟動、死機(jī)、文件無法打開、系統(tǒng)內(nèi)存不足、丟失文件等各種系統(tǒng)問題。系統(tǒng)管理員需定期及時升級殺毒軟件,根據(jù)審計(jì)日志分析病毒趨勢并提前采取防范措施。
身份認(rèn)證系統(tǒng)串接在終端和服務(wù)器中間,應(yīng)用系統(tǒng)被身份認(rèn)證系統(tǒng)隔離在被信任網(wǎng)段中,所有用戶需要訪問身份認(rèn)證系統(tǒng)并通過認(rèn)證后,身份認(rèn)證系統(tǒng)會自動將用戶身份傳遞至應(yīng)用系統(tǒng)中。
涉密環(huán)境中紅設(shè)備(涉密設(shè)備)與黑設(shè)備(非涉密設(shè)備)之間應(yīng)保持一定距離;辦公環(huán)境使用移動設(shè)備裝置等應(yīng)與涉密相關(guān)設(shè)備保持一定距離隔離。電磁泄露防護(hù)系統(tǒng)可參照 BMB5-2000的相關(guān)標(biāo)準(zhǔn)要求實(shí)施。
涉密信息系統(tǒng)根據(jù)國家保密相關(guān)標(biāo)準(zhǔn)規(guī)定應(yīng)配備系統(tǒng)管理員、安全保密管理員和安全審計(jì)員,實(shí)行“三員分立”制度。分別是系統(tǒng)管理員負(fù)責(zé)網(wǎng)絡(luò)系統(tǒng)、服務(wù)器系統(tǒng)的日常運(yùn)維管理和維護(hù)技術(shù)支持;安全保密管理員負(fù)責(zé)制定安全策略,授權(quán)等相關(guān)職責(zé);安全審計(jì)員負(fù)責(zé)對前兩員的操作進(jìn)行審計(jì)、跟蹤、分析和監(jiān)督檢查,以及時發(fā)現(xiàn)違規(guī)行為。
涉密網(wǎng)絡(luò)安全保密是軍工科研單位取得生產(chǎn)資格的重要條件。在網(wǎng)絡(luò)和信息化飛速發(fā)展的今天,信息安全的問題越來越受到人們的重視,信息安全的建設(shè)并不能一勞永逸,企業(yè)需構(gòu)建完善的安全體系,引入風(fēng)險(xiǎn)分析以及控制措施,信息安全的工作者們也需不斷與時俱進(jìn)提高技術(shù)實(shí)力和保密意識來應(yīng)對未來信息領(lǐng)域的威脅。
[1]蔡貴榮.提高計(jì)算機(jī)網(wǎng)絡(luò)可靠性的研究方法[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2015.
[2]王麗.安全信息化的建設(shè)和實(shí)現(xiàn)[J].計(jì)算機(jī)與網(wǎng)絡(luò),2016.
[3]常健.典型軍工科研生產(chǎn)基地規(guī)劃[J].數(shù)字軍工,2015.