涉密單位網(wǎng)絡(luò)安全管理的難點(diǎn)與應(yīng)對(duì)措施研究

李廣軍

摘 要：目前，涉密單位在網(wǎng)絡(luò)安全管理上，由于工作人員在操作上的疏忽與網(wǎng)絡(luò)安全管理系統(tǒng)自身的漏洞問題，涉密單位信息泄露問題屢屢發(fā)生。為加強(qiáng)涉密單位的網(wǎng)絡(luò)安全管理能力，本文將對(duì)涉密單位在網(wǎng)絡(luò)安全管理上的難點(diǎn)與應(yīng)對(duì)措施進(jìn)行探討。

關(guān)鍵詞：涉密單位；網(wǎng)絡(luò)安全；安全管理

中圖分類號(hào)：TP393.0 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1003-5168（2018）13-0029-02

Research on the Difficulties and Countermeasures of Network

Security Management in Secret Units

LI Guangjun

（China Shipbuilding Industry Corp No. 713 Research Institute，Zhengzhou Henan 450052）

Abstract： At present， in the network security management， because of the negligence of the staff in the operation and the loopholes in the network security management system， the information leakage of the secret unit has occurred repeatedly. In order to strengthen the network security management ability of secret units， this paper discussed the difficulties and countermeasures of the classified units in network security management.

Keywords： secret related unit；network security；security management

作為涉密單位，為防止網(wǎng)絡(luò)病毒、木馬等惡意代碼程序的侵入，從而導(dǎo)致信息泄漏的問題，信息系統(tǒng)采取的最基本的防護(hù)手段就是將涉密內(nèi)網(wǎng)和國(guó)際互聯(lián)網(wǎng)及與該單位相關(guān)聯(lián)的其他網(wǎng)絡(luò)進(jìn)行物理隔離，但由于工作人員在操作上的疏忽與網(wǎng)絡(luò)安全管理系統(tǒng)自身的漏洞問題，采取這樣的手段顯得遠(yuǎn)遠(yuǎn)不夠。

1 涉密單位的網(wǎng)絡(luò)安全系統(tǒng)

涉密單位的網(wǎng)絡(luò)安全系統(tǒng)由內(nèi)網(wǎng)和外網(wǎng)兩個(gè)部分組成，由于內(nèi)網(wǎng)計(jì)算機(jī)與外部互聯(lián)網(wǎng)連接會(huì)引發(fā)報(bào)警，所以一般情況下，涉密單位為防止信息的泄露，會(huì)采取內(nèi)網(wǎng)與外網(wǎng)物理隔離的手段進(jìn)行防護(hù)。外網(wǎng)由國(guó)際互聯(lián)網(wǎng)和與本單位相聯(lián)的其他網(wǎng)絡(luò)組成[1]。內(nèi)網(wǎng)統(tǒng)一安裝網(wǎng)絡(luò)版殺毒軟件、安全檢測(cè)程序等。

2 涉密單位網(wǎng)絡(luò)安全管理上存在的難點(diǎn)

2.1 由工作人員在網(wǎng)絡(luò)安全管理上違紀(jì)操作引發(fā)的難點(diǎn)

涉密單位進(jìn)行網(wǎng)絡(luò)安全管理存在的難點(diǎn)，一部分是由工作人員違紀(jì)操作引發(fā)的。例如，工作人員私自刪除安全檢測(cè)程序、卸載網(wǎng)絡(luò)版殺毒軟件、隨意更換其他殺毒軟件、隨意更改IP地址、隨意拷貝文件等違紀(jì)操作，帶來(lái)的網(wǎng)絡(luò)病毒會(huì)感染其他的網(wǎng)絡(luò)主機(jī)或服務(wù)器[2]。這是由于互聯(lián)網(wǎng)上存在一些病毒，其可以感染在互聯(lián)網(wǎng)上復(fù)制數(shù)據(jù)的移動(dòng)存儲(chǔ)介質(zhì)，一旦該存儲(chǔ)介質(zhì)再次接入互聯(lián)網(wǎng)，復(fù)制的信息就會(huì)自動(dòng)發(fā)送出去，造成泄密。

越權(quán)使用單位的網(wǎng)絡(luò)打印機(jī)、隨意拷貝文件、移動(dòng)儲(chǔ)存設(shè)備等違紀(jì)操作會(huì)引發(fā)泄密。這是由于涉密單位在使用多功能打印機(jī)時(shí)，通常會(huì)與市話網(wǎng)相連并收發(fā)普通傳真，同時(shí)還會(huì)與辦公電腦連接打印文件。由于傳真的信息、打印的涉密信息和復(fù)印的信息都存儲(chǔ)在同一內(nèi)存中，如果打印的文件是涉密信息，就會(huì)形成泄密隱患。

冒用他人認(rèn)證賬戶密碼，隨意修改自己的主機(jī)配置，安裝非法軟件并使用非法軟件等違紀(jì)操作，會(huì)對(duì)單位的網(wǎng)絡(luò)造成破壞。涉密單位內(nèi)部網(wǎng)絡(luò)安全管理部門缺乏必要的有效技術(shù)手段對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控，也對(duì)網(wǎng)絡(luò)安全管理帶來(lái)了困難。

2.2 由涉密單位內(nèi)部網(wǎng)絡(luò)系統(tǒng)本身存在安全漏洞問題引發(fā)的難點(diǎn)

目前，涉密單位的內(nèi)部網(wǎng)絡(luò)操作系統(tǒng)存在一定的網(wǎng)絡(luò)安全漏洞[3]。涉密單位的網(wǎng)絡(luò)防火墻是否符合我國(guó)的有關(guān)規(guī)定，與是否真正起到安全防范作用，還需要進(jìn)一步認(rèn)真檢查。

3 涉密單位網(wǎng)絡(luò)安全管理的應(yīng)對(duì)措施

3.1 強(qiáng)化規(guī)章制度，加大對(duì)管理工作人員的教育力度

行政主管部門應(yīng)該強(qiáng)化規(guī)章制度，加大對(duì)管理工作人員的教育力度，使其認(rèn)真學(xué)習(xí)《安全保密“八條紀(jì)律”和“四個(gè)嚴(yán)禁”要求》《計(jì)算機(jī)網(wǎng)絡(luò)安全管理規(guī)定》《信息系統(tǒng)安全保護(hù)管理規(guī)定》《使用內(nèi)部信息網(wǎng)違規(guī)行為行政處分暫行規(guī)定》《保密工作“二十個(gè)必須二十個(gè)嚴(yán)禁”》及其他相關(guān)的保密教育材料，以使每一個(gè)工作人員都具有很強(qiáng)的網(wǎng)絡(luò)安全管理意識(shí)，做到自覺規(guī)范上網(wǎng)行為，從根本上杜絕各類違紀(jì)操作[4]。

3.2 強(qiáng)化對(duì)網(wǎng)絡(luò)信息設(shè)備的管理

相關(guān)單位應(yīng)定期進(jìn)行網(wǎng)絡(luò)安全檢查，對(duì)相關(guān)網(wǎng)絡(luò)信息設(shè)備進(jìn)行管理，強(qiáng)化對(duì)網(wǎng)絡(luò)信息設(shè)備的管理。具體情況是對(duì)涉密單位的計(jì)算機(jī)系統(tǒng)有無(wú)安裝無(wú)線網(wǎng)卡、藍(lán)牙等具有無(wú)線功能的網(wǎng)絡(luò)設(shè)備進(jìn)行檢查。對(duì)涉密單位的計(jì)算機(jī)系統(tǒng)應(yīng)用無(wú)線網(wǎng)絡(luò)的情況進(jìn)行清理，檢查有無(wú)利用無(wú)線接入設(shè)備組建無(wú)線網(wǎng)絡(luò)的情況。對(duì)涉密單位的計(jì)算機(jī)安全標(biāo)志的粘貼情況進(jìn)行檢查，對(duì)涉密單位計(jì)算機(jī)系統(tǒng)安全管理制度的執(zhí)行情況、維修維護(hù)情況進(jìn)行檢查。

3.3 采取措施從技術(shù)源頭上杜絕網(wǎng)絡(luò)漏洞問題

涉密單位應(yīng)采取措施，從技術(shù)源頭上杜絕網(wǎng)絡(luò)漏洞問題。涉密單位內(nèi)部的局域網(wǎng)主要采用以交換機(jī)、路由器為主要傳輸設(shè)備的網(wǎng)絡(luò)架構(gòu)，充分發(fā)揮三層交換的交換控制功能，需采取劃分VLAN等方法，加強(qiáng)內(nèi)部局域網(wǎng)的安全控制[5]。為確保網(wǎng)絡(luò)信息的安全性，必要時(shí)可以封掉除業(yè)務(wù)需要外的一切其他端口，從技術(shù)上防止非法入侵，將非工作使用及非法用戶的使用與內(nèi)部網(wǎng)絡(luò)資源隔開。

3.3.1 推行PKI技術(shù)及光纖通信系統(tǒng)保密技術(shù)的應(yīng)用。PKI技術(shù)是當(dāng)前常用的相對(duì)比較成熟的一種公鑰加密技術(shù)。在涉密單位內(nèi)采用 PKI技術(shù)能為絡(luò)應(yīng)用提供加密和數(shù)字簽名的數(shù)字證書體系。需要注意的是，數(shù)字證書制作必須嚴(yán)格按照單位編制，一年一審，工作人員在離開本崗位時(shí)，必須上交數(shù)字證書，并嚴(yán)禁私自轉(zhuǎn)借他人。

光纖通信技術(shù)作為信息化時(shí)代的前沿技術(shù)，具有傳輸頻率帶寬高、抗干擾能力強(qiáng)、傳輸保密性能優(yōu)、收發(fā)信號(hào)的衰減消耗小的特點(diǎn)[6]。光纖通信系統(tǒng)保密技術(shù)主要包括以混沌掩蓋為代表的混沌保密通信技術(shù)、基于光纖光柵的光纖碼分多址保密技術(shù)、量子保密通信技術(shù)。三種光纖通訊系統(tǒng)保密技術(shù)都是基于共性原理確保通信的保密性，都是利用特殊的調(diào)制技術(shù)對(duì)信息進(jìn)行加密處理。

3.3.2 建立數(shù)據(jù)信息加密體系。采用密碼信息對(duì)敏感數(shù)據(jù)進(jìn)行加密處理，主動(dòng)設(shè)防，嚴(yán)格管理數(shù)據(jù)，為進(jìn)一步提高單位數(shù)據(jù)的安全可靠性提供保障。為進(jìn)一步提高技術(shù)保密的可靠性，可充分利用現(xiàn)有計(jì)算機(jī)的高速計(jì)算能力對(duì)數(shù)據(jù)進(jìn)行處理。根據(jù)不同的密級(jí)，采取不同的技術(shù)防范措施，采用不同的儲(chǔ)存介質(zhì)，并嚴(yán)格移動(dòng)儲(chǔ)存介質(zhì)的使用和保管，以針對(duì)重要敏感信息的儲(chǔ)存和傳輸，制訂詳盡的可行方案。

3.3.3 建立嚴(yán)格的防火墻措施。建立嚴(yán)格的防火墻措施，需要在硬件防火墻上建立網(wǎng)絡(luò)智能安全日志，網(wǎng)絡(luò)智能安全日志能夠準(zhǔn)確地記錄每一個(gè)登錄用戶具體的操作情況，如具體的資源信息，使用證書情況，拷貝信息，還包括具體到每一步的操作信息，其中重點(diǎn)是對(duì)訪問數(shù)據(jù)庫(kù)的操作情況進(jìn)行記錄。為防范安全隱患，相關(guān)工作人員需要每天查看網(wǎng)絡(luò)智能安全日志的記錄內(nèi)容，尤其范對(duì)頻繁登錄操作的數(shù)據(jù)庫(kù)的IP地址、訪問類型、操作違紀(jì)對(duì)象和操作違紀(jì)時(shí)間等進(jìn)行仔細(xì)查看。

3.3.4 加強(qiáng)維護(hù)涉密單位內(nèi)部大數(shù)據(jù)服務(wù)器的管理。在涉密單位的網(wǎng)絡(luò)安全管理中，內(nèi)部機(jī)房必須建立嚴(yán)格的管理制度。為從根本上防止人為泄露機(jī)房服務(wù)器內(nèi)的信息，需要嚴(yán)格控制相關(guān)工作人員的進(jìn)出，嚴(yán)格禁止非相關(guān)工作人員進(jìn)入，登記出入情況，做好維護(hù)記錄。為確保在特殊環(huán)境下能夠恢復(fù)數(shù)據(jù)，需要強(qiáng)化和完善數(shù)據(jù)備份恢復(fù)機(jī)制，并每天定時(shí)進(jìn)行備份工作。

4 結(jié)語(yǔ)

涉密單位的網(wǎng)絡(luò)安全管理問題主要有工作人員的違紀(jì)操作、對(duì)網(wǎng)絡(luò)安全管理重要性的忽視，以及涉密單位網(wǎng)絡(luò)系統(tǒng)本身存在的安全漏洞所引起的問題。通過(guò)強(qiáng)化規(guī)章制度，加大對(duì)管理工作人員的教育力度，強(qiáng)化對(duì)網(wǎng)絡(luò)信息設(shè)備的管理，采取措施從技術(shù)源頭上杜絕網(wǎng)絡(luò)漏洞問題等方法，加強(qiáng)對(duì)涉密單位的網(wǎng)絡(luò)安全管理。

參考文獻(xiàn)：

[1]孫穎東.網(wǎng)絡(luò)安全管理技術(shù)探究[J].中國(guó)戰(zhàn)略新興產(chǎn)業(yè)，2017（20）：93.

[2]佘世敏.強(qiáng)化保密安全管理，提高計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用安全[J].科技與創(chuàng)新，2016（16）：70.

[3]左新元.涉密電子文檔安全管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].鄭州：解放軍信息工程大學(xué)，2014.

[4]何敏.新形勢(shì)下軍隊(duì)院校信息安全保密管理問題及對(duì)策研究[D].長(zhǎng)沙：國(guó)防科學(xué)技術(shù)大學(xué)，2011.

[5]湯亞魯.涉密單位網(wǎng)絡(luò)安全管理的難點(diǎn)與對(duì)策[J].科技信息，2010（9）：50.

[6]賈彬.文件安全管理的研究與實(shí)現(xiàn)[D].武漢：華中科技大學(xué)，2017.