陳燕群　王海燕

摘要：由于計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，信息已經(jīng)成為主導(dǎo)社會(huì)各方面的主要因素，計(jì)算機(jī)信息的安全就顯得日益重要，而涉密計(jì)算機(jī)的信息安全尤為重中之重，許多單位、研究所、部隊(duì)等崗位都使用涉密計(jì)算機(jī)。文章就安全使用涉密計(jì)算機(jī)信息進(jìn)行了分析和研究，并就可能發(fā)生的問題給出了相關(guān)的解決方案。

關(guān)鍵詞：涉密計(jì)算機(jī)；移動(dòng)存儲(chǔ)；加密；安全

1背景

現(xiàn)有涉密計(jì)算機(jī)信息出現(xiàn)的安全風(fēng)險(xiǎn)可能有以下幾種：用戶的違規(guī)操作、軟硬件漏洞、木馬和擺渡程序等，這些風(fēng)險(xiǎn)可能給使用單位帶來重大經(jīng)濟(jì)損失或重大失泄密事件，因此，必須對涉密計(jì)算機(jī)的安全使用制定一系列的規(guī)則和措施，以保證涉密計(jì)算機(jī)的信息安全。

2移動(dòng)存儲(chǔ)設(shè)備帶來的信息安全隱患及解決方案

2.1安全隱患

移動(dòng)存儲(chǔ)介質(zhì)主要指的各種移動(dòng)硬盤、u盤、手機(jī)、各種存儲(chǔ)卡等，按照規(guī)定這些移動(dòng)存儲(chǔ)介質(zhì)只能在內(nèi)部網(wǎng)絡(luò)使用，不能隨便接入外部網(wǎng)絡(luò)或互聯(lián)網(wǎng)，以免造成嚴(yán)重泄密事件。由于u盤體積小、容量大、便于攜帶，因此許多使用者常常把u盤帶到身上，存放單位的資料和信息，回家后又在家里上因特網(wǎng)拷貝信息。這樣公私混用很容易出差錯(cuò)，使得u盤上的單位涉密信息外泄。由于公私混用，所以移動(dòng)存儲(chǔ)介質(zhì)也易感染病毒，如果沒有及時(shí)查殺，在涉密計(jì)算機(jī)中一旦感染，很容易將內(nèi)網(wǎng)安全網(wǎng)絡(luò)感染，破壞整個(gè)涉密網(wǎng)絡(luò)?，F(xiàn)在因特網(wǎng)上很流行的一種病毒木馬叫擺渡程序，它一旦感染計(jì)算機(jī)，就會(huì)根據(jù)木馬中的指定的內(nèi)容來查找涉密計(jì)算機(jī)的信息，一旦找到就會(huì)自動(dòng)將所需信息發(fā)送到指定的地址或郵箱，如果沒有連接外部網(wǎng)，就會(huì)復(fù)制到移動(dòng)存儲(chǔ)介質(zhì)中，當(dāng)移動(dòng)存儲(chǔ)介質(zhì)再次插入因特網(wǎng)的電腦，信息就會(huì)被自動(dòng)發(fā)送出去。這樣的事件國內(nèi)已出現(xiàn)了不少事例。在一些單位中，移動(dòng)存儲(chǔ)介質(zhì)的密級劃分的不同的等級，不同密級的信息不能的相同的存儲(chǔ)介質(zhì)中使用，但一些工作人員為了省事，常常用同一種移動(dòng)存儲(chǔ)介質(zhì)來拷貝不同密級的信息，使信息安全得不到有效控制。由于移動(dòng)存儲(chǔ)便于攜帶，使用方便，有些工作人員隨意將其帶出單位，一旦移動(dòng)存儲(chǔ)載體丟失，重要的信息就可能會(huì)被泄漏，這也是重大的安全隱患之一。

2.2解決方案

建立監(jiān)管制度：所有的移動(dòng)存儲(chǔ)載體必須登記在冊，登記的內(nèi)容有購買日期、使用時(shí)間、申領(lǐng)日期等，要做到專人專用。同時(shí)要求不能將移動(dòng)載體帶出公司，上下班必須將載體交還管理中心，如果確有需要帶出載體的，必須提交申請并嚴(yán)格監(jiān)督使用。對于最高密級的移動(dòng)載體，必須進(jìn)行物理上的內(nèi)外網(wǎng)隔離，并嚴(yán)令禁止帶出。

加密認(rèn)證管理：對所有的移動(dòng)存儲(chǔ)設(shè)備進(jìn)行分區(qū)加密，使載體只有在涉密的計(jì)算機(jī)中才能正確識別，插入到普通的計(jì)算機(jī)中就不能識別，同時(shí)沒有進(jìn)行過加密的普通移動(dòng)載體在涉密計(jì)算機(jī)中也不可識別。加密的方式可分為多種，根據(jù)涉密信息的等級，可以將載體設(shè)為只讀、只寫、可讀可寫等方式，便于不同的用戶不同的密級來使用。為使用的載體創(chuàng)建使用用戶的唯一標(biāo)識，便于人員身份鑒別。如可采用人體生物認(rèn)證來識別，包括指紋、虹膜等認(rèn)證方式。對移動(dòng)載體中的信息也采用數(shù)據(jù)加密方式，所有的涉密信息在涉密計(jì)算機(jī)中可以正常使用，但如果涉密信息在普通的電腦上顯示的就是一堆毫無用處的亂碼。

使用日志管理：所有載體的使用都有專用的日志文件記錄，包括對文件的復(fù)制、刪除、打開、修改等等，以此掌握載體的使用情況，便于日后進(jìn)行審記。

維修報(bào)廢管理：所有的移動(dòng)載體如何出現(xiàn)損壞，需要維修或報(bào)廢的，統(tǒng)一由信息管理部門處理，決不允許私自帶出修理。信息管理人員注銷報(bào)廢的載體，清除數(shù)據(jù)，然后采用專用的設(shè)備對載體進(jìn)行銷毀。

3網(wǎng)絡(luò)帶來的信息安全隱患及解決方案

3.1安全隱患

由于網(wǎng)絡(luò)技術(shù)的高速發(fā)展，所有的計(jì)算機(jī)都離不開網(wǎng)絡(luò)，其中也包括涉密的計(jì)算機(jī)，除非在物理上完全隔離，成為完全獨(dú)立的計(jì)算機(jī)，否則只要上網(wǎng)就會(huì)有風(fēng)險(xiǎn)，但同樣網(wǎng)絡(luò)又會(huì)使工作人員效率倍增，更好地完成各種任務(wù)。因?yàn)樯婷苡?jì)算機(jī)一般禁止連接外部因特網(wǎng)，相對來說，風(fēng)險(xiǎn)較小，但是有很多內(nèi)部網(wǎng)絡(luò)由于機(jī)構(gòu)龐大（像美國軍方的網(wǎng)絡(luò)，在任何一個(gè)軍隊(duì)內(nèi)部都能訪問），內(nèi)部網(wǎng)絡(luò)又會(huì)由很多小的單位局域網(wǎng)連接而成，因此，各種信息也較多，而且復(fù)雜，各種內(nèi)部管理方式的差異，也會(huì)給內(nèi)部網(wǎng)絡(luò)帶來一定的風(fēng)險(xiǎn)，因此，也需要制定相應(yīng)的解決方案。

3.2解決方案

上網(wǎng)身份認(rèn)證：只要通過單位局域網(wǎng)訪問的計(jì)算機(jī)必須經(jīng)過專用認(rèn)證服務(wù)器進(jìn)行身份識別，通過認(rèn)證的計(jì)算機(jī)才能訪問局域網(wǎng)以外的網(wǎng)絡(luò)。并且所有訪問記錄在認(rèn)證服務(wù)器中都有日志文件進(jìn)行審記，這種認(rèn)證可通過人體生物認(rèn)證技術(shù)等方式來進(jìn)行，以實(shí)現(xiàn)身份的唯一性。

網(wǎng)絡(luò)防火墻及網(wǎng)絡(luò)殺毒軟件：在信息管理中心部署防火墻及網(wǎng)絡(luò)殺毒軟件。防火墻可以對整個(gè)網(wǎng)絡(luò)的訪問進(jìn)行管理，對所有出入局域網(wǎng)的信息進(jìn)行掃描，然后主動(dòng)過濾有害信息，打開或關(guān)閉需要的端口，阻止各種木馬程序，防止未經(jīng)授權(quán)的用戶訪問網(wǎng)絡(luò)。網(wǎng)絡(luò)殺毒軟件可以對整個(gè)局域網(wǎng)的計(jì)算機(jī)進(jìn)行全網(wǎng)殺毒，遠(yuǎn)程開關(guān)機(jī)，重啟殺毒等方式，能夠有效清除引導(dǎo)型及自我保護(hù)型病毒，為涉密計(jì)算機(jī)提供了一道安全屏障。

安全隔離網(wǎng)閘：安全隔離網(wǎng)閘是一種的專用的硬件和軟件的組合設(shè)備，它可以在電路上切斷網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的鏈路層連接，并能夠在兩個(gè)網(wǎng)絡(luò)之間安全的進(jìn)行數(shù)據(jù)交換，由于物理隔離網(wǎng)閘所連接的兩個(gè)獨(dú)立主機(jī)系統(tǒng)之間，沒有通信的相關(guān)連接和傳輸?shù)膮f(xié)議，只有需要的數(shù)據(jù)文件的“擺渡”，所以是絕對的安全。因此，隔離網(wǎng)閘從物理上阻斷了具有潛在攻擊可能的一切連接，可以實(shí)現(xiàn)數(shù)據(jù)信息的真正安全。對于較高涉密級別的計(jì)算機(jī)通過網(wǎng)閘進(jìn)行管理，可以有效保護(hù)計(jì)算機(jī)受到的安全隱患。

4計(jì)算機(jī)及筆記本電腦帶來的信息安全隱患及解決方案

4.1安全隱患

每個(gè)工作人員的計(jì)算機(jī)都有很多的安全隱患，這里的計(jì)算機(jī)也包括了筆記本電腦。這里主要是人為因素帶來的安全問題，人員在使用中不注重安全保密規(guī)定，泄露計(jì)算機(jī)密碼、隨意安裝軟件、拷貝文件、計(jì)算機(jī)外聯(lián)網(wǎng)絡(luò)、帶出筆記本電腦使用等行為，這些行為很可能造成計(jì)算機(jī)信息數(shù)據(jù)丟失、密碼被竊取、電腦中病毒和木馬、涉密信息被盜等，都會(huì)造成嚴(yán)重的安全隱患。

4.2解決方案

加強(qiáng)人員安全使用培訓(xùn)：要對所有使用人員進(jìn)行相關(guān)的保密法律法規(guī)學(xué)習(xí)，強(qiáng)化使用人員的保密意識，并由專業(yè)信息管理人員進(jìn)行安全使用培訓(xùn)，提高使用人員的計(jì)算機(jī)技能，并定期進(jìn)行信息安全檢查。

制作計(jì)算機(jī)使用管理規(guī)定：所有的計(jì)算機(jī)必須安裝保密管理系統(tǒng)進(jìn)行統(tǒng)一安全管理，開機(jī)以及系統(tǒng)和屏保這三重密碼必須符合要求，電腦所有的外設(shè)接口由信息管理人員統(tǒng)一關(guān)閉，只在需要的電腦上才打開這些端口，并由日志文件記錄端口的使用情況以及信息文件的日志，每日電腦關(guān)機(jī)前會(huì)自動(dòng)將使用日志文件上傳到信息中心，由中心定期進(jìn)行審記。電腦中的軟件安裝由信息管理中心統(tǒng)一進(jìn)行部署，需要特殊軟件的計(jì)算機(jī)也由中心管理并安裝。筆記本電腦的WIFI處于禁止?fàn)顟B(tài)，只在需要時(shí)由管理人員打開并用專用信息過濾軟件監(jiān)控信息的流轉(zhuǎn)并生成審記日志。涉密計(jì)算機(jī)只能讀取加密過的移動(dòng)存儲(chǔ)設(shè)備，不能使用普通存儲(chǔ)設(shè)備。計(jì)算機(jī)系統(tǒng)的安全補(bǔ)丁由信息中心提供的檢測軟件定期檢測并及時(shí)修補(bǔ)系統(tǒng)漏洞，每臺(tái)電腦安裝網(wǎng)絡(luò)版殺毒軟件，由中心設(shè)備殺毒防毒策略，定期查殺病毒和木馬。每臺(tái)計(jì)算機(jī)接入局域網(wǎng)的登錄認(rèn)證中心，每次啟動(dòng)計(jì)算機(jī)由信息中心對系統(tǒng)登錄用戶進(jìn)行認(rèn)證（這些認(rèn)證包括了人體生物認(rèn)證、密碼認(rèn)證等）。

制作計(jì)算機(jī)維修管理規(guī)定：所有計(jì)算機(jī)數(shù)據(jù)必須定期備份，并做好登記保存。一旦計(jì)算機(jī)出現(xiàn)故障需要維修時(shí)，必須經(jīng)主管部門同意后送信息管理中心進(jìn)行檢修，中心經(jīng)過登記檢修，如果遇到除存儲(chǔ)設(shè)備以外的硬件故障損壞，需要對外送修時(shí)，要將存儲(chǔ)設(shè)備拆下來然后送修，如遇存儲(chǔ)設(shè)備已經(jīng)損壞的需要登記后徹底銷毀，更換硬盤后重新按要求安裝系統(tǒng)。

5結(jié)束語

對于計(jì)算機(jī)信息安全隱患及其防范和解決是一個(gè)長期的系統(tǒng)工程，要求各單位主管和個(gè)人都要嚴(yán)肅認(rèn)真處理，嚴(yán)格按安全保密法律法規(guī)執(zhí)行，并要求技術(shù)管理人員充分利用多種保密技術(shù)手段，認(rèn)真分析、解決問題，才能使計(jì)算機(jī)信息安全得到有效的保障。endprint