◎張學深

一、前言

由于計算機網絡的開放性、互連性等特征，致使網絡易受黑客、惡意軟件等的攻擊，尤其是軍工企業(yè)的涉密網絡，網絡的安全和保密工作就顯得尤為重要。因此，如何確保網絡安全，提高網絡防護能力，嚴防失泄密事件的發(fā)生，已成為涉密網絡建設與應用中必須加以密切關注和高度重視的問題。為此我們必須做到思想認識到位、管理措施到位、技術保障到位，切實做好涉密網絡安全工作。

二、涉密網絡運行中存在的安全問題

涉密信息網絡是與國際互聯網等其他網絡實行物理隔離的獨立網絡。但是存在電磁輻射、移動存儲介質交叉使用、系統(tǒng)漏洞等隱患，再加上涉密信息網絡建設、運行、使用的時間不長，管理人才缺乏、經驗不足，必然存在一些安全隱患問題。如網絡安全知識缺乏，網絡安全意識不強引發(fā)安全隱患；人為對網絡惡意攻擊造成的安全隱患；計算機軟件自身存在的漏洞和"后門"以及設備本身存在安全隱患。

三、信息安全保密管理措施

"三分技術七分管理"是網絡安全領域的一句至理名言，其意為：網絡安全中的30%依靠計算機系統(tǒng)信息安全設備和技術保障，而70%則依靠用戶安全管理意識的提高以及管理模式的更新。

1.注重管理，落實領導責任制。

各單位黨政領導要從講政治的高度，切實加強涉密網絡安全工作的領導。各個業(yè)務部門的領導要親自抓好網絡應用中的保密工作，為了明確責任，應該把履行保密工作責任制納入到領導干部年度考核中來，嚴格落實責任追究制。

2.積極引進技術人才，加強教育培訓。

保密管理部門技術人才特別是計算機專業(yè)技術人才是相對缺乏的。針對這一實際情況，要積極引進計算機專業(yè)技術人才。強化網絡安全教育，增強全體員工的安全防范意識

3.加強制度建設，筑牢網絡安全工作的制度防線。

在涉密網絡中，加強網絡的安全管理，制定有關規(guī)章制度，對于確保網絡的安全、可靠地運行，將起到十分有效的作用。對計算機應用的各個環(huán)節(jié)，要制訂出符合實際，操作性強的規(guī)章制度，制定網絡系統(tǒng)的維護制度和應急措施、預案等。同時要建立健全上互聯網信息保密領導責任制，使計算機安全保密工作有章可循，網絡保密在各個環(huán)節(jié)都嚴格加以控制。

4.制定標準，確保監(jiān)督檢查到位。

各單位保密管理部門與信息化管理部門應組成檢查組，按照標準，結合日常管理中的薄弱環(huán)節(jié)。定期對本單位進行深入的專項檢查。為了提高保密監(jiān)督檢查的時效性，定期變更檢查題綱及范圍，對于業(yè)務工作中存在信息安全風險提前發(fā)出提示預警，變事后懲罰為事前預防。

四、信息安全保密技術防護要點

1.實行涉密信息系統(tǒng)與其它公共信息網絡的物理隔離。

嚴禁涉密信息網絡直接或間接地與國際互連網或其它公共信息網絡相聯接。涉密信息系統(tǒng)與其它公共信息網絡必須實行物理隔離，這樣可以有效地防止黑客訪問或病毒入侵。

2.防止計算機電磁輻射泄密。

對機房設備、線路進行保護性的屏蔽處理，并建設屏蔽機房，對重要的涉密網絡終端顯示設備安裝視頻干擾器，在機房電源線路上加裝紅黑隔離插座，從而避免因電磁輻射出現信息被竊取的情況發(fā)生。

3.使用身份鑒別技術。

一般而言，常用的身份鑒別技術包括：基于口令的鑒別方式、基于智能卡的鑒別方式、基于生物特征的鑒別方式、一次性口令等鑒別方式。

4.采用防火墻與防病毒技術是提高網絡安全性的關鍵。

防火墻是一種保護計算機網絡安全的技術性措施，它是一個用以阻止網絡中的黑客防問某個網絡屏障。采用防火墻技術，通過在網絡邊界上建立起來的通信控制系統(tǒng)來實現網內不同功能子域的化分，以阻擋非法訪問，從而實施安全訪問控制，提高涉密網絡的安全性。安裝網絡版防病毒軟件，并及時升級病毒代碼庫，及時發(fā)現病毒并予以清殺，可有效阻止其在網絡上蔓延和破壞。

5.利用虛擬局域網（VLAN）技術提高內網的安全性。

采用虛擬局域網提供的安全機制，可以限制特定用戶的訪問，控制廣播組的大小和位置，甚至鎖定網絡成員的物理（MAC）地址，這樣中，就限制了未經安全許可的用戶和網絡成員對網絡的使用。通過設備端口和MAC 地址分配等VLAN 劃分原則，可以有效控制用戶訪問權限和邏輯網段大小，將不同用戶群劃分在不同VLAN 中，從而提高網絡的整體性能和安全性。

6.計算機信息安全管理系統(tǒng)。

為了能夠對入網計算機的外部接口進行有效管理，防止移動載體的交叉混用，所有的入網計算機均要求安裝計算機信息安全管理系統(tǒng)。該系統(tǒng)能夠按照入網計算機不同的涉密等級，對其外部接口、外部設備等進行不同程度的管控。經過這樣的部署，可以有效防止移動存儲介質的交叉混用，杜絕了通過移動存儲介質涉密的安全隱患。

7.通過設置域控，提高內部網絡的管理性和安全性。

針對目前網絡所采用的微軟系統(tǒng)平臺國，借助于操作系統(tǒng)的域控制功能，對網絡的內部結構進行劃分、管理，從而既滿足了對內部用戶的管理要求，同時又在雙向信任關系的域結構中實現同級、上下級之間的信息的安全交流。同時，充分利用系統(tǒng)的域控功能，嚴格控制網絡客戶端用戶帳號，設定所有用戶必須登錄域中進行網絡操作，設定所有用戶的IP 地址和網卡物理地址進行綁定，實施嚴密的身份識別和訪問控制。在全面實施了系統(tǒng)的域控結構并進行了對所有用戶的綁定后，我們就可以在安全策略中部署對所有敏感性操作進行安全審計和記錄，并且可以在發(fā)生安全事故后依據綁定一直追查到底。

8.信息內容保護與管理。

密碼技術是網絡安全最有效的技術之一，信息內容的保護采用加密技術對涉密數據信息進行加密存儲。對涉密網絡遠距離的數據傳輸要采用加密傳輸的方式，從而保證數據的安全性和完整性。采用身份認證技術、單點登錄以及授權對各種應用的安全性管理增強配置服務來保障涉密信息系統(tǒng)在應用層的安全。根據用戶身份和現實工作中的角色和職責，確定訪問應用資源的權限，應做到對用戶接入網絡的控制和對信息資源訪問和用戶權限進行綁定。

建立數據備份和恢復系統(tǒng)，制定備份和恢復策略，系統(tǒng)發(fā)生故障后能在軟短時間恢復應用和數據。

9.軟件補丁升級。

為了解決內網計算機的操作系統(tǒng)等軟件不便于進行在線補丁升級的問題，應在內網中部署軟件補丁升級系統(tǒng)，由網絡管理員定期從互聯網上下載相關補丁，并安裝至內網服務器。自動對園區(qū)網計算機系統(tǒng)進行補丁升級，無需用戶進行任何操作，確保所有接入內網計算機的系統(tǒng)漏洞能夠及時得到修補，降低了主機被入侵或被病毒感染的概率。

10.入侵檢測技術。

入侵檢測技術通過從計算機網絡系統(tǒng)中若干關鍵節(jié)點收集信息并加以分析，監(jiān)控網絡中是否有違反安全策略的行為或者是否存在入侵行為。它能提供安全審計、監(jiān)視、攻擊識別和反攻擊等多項功能，并采取相應的行動，如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源、緊急告警等，是安全防御體系的一個重要組成部分。

11.漏洞掃描系統(tǒng)。

漏洞掃描系統(tǒng)可以主動探測網絡中的薄弱環(huán)節(jié)。通過網絡安全性掃描，系統(tǒng)管理員能夠及時發(fā)現網絡內主機與服務器等設備的各種漏洞和隱患，如端口和服務、系統(tǒng)漏洞、弱口令及共享文件等，并給出修正建議。管理人員可根據掃描結果對這些漏洞和隱患進行及時修補。

五、結束語

涉密網絡安全建設和運行是構建安全體系結構的前提，采用安全的網絡產品、制定嚴密的安全技術規(guī)范、建立安全保密管理制度和獎懲機制是涉密網絡可靠運行的基礎。