《军工计算机信息系统安全保密管理初探》由会员分享,可在线阅读,更多相关《军工计算机信息系统安全保密管理初探(4页珍藏版)》请在金锄头文库上搜索。
1、代写:各专业专、本、硕、博毕业论文,职称论文;代发:省级、国家级、核心期刊、CSSCI 来源核心期刊论文。QQ:757518360 电话:01087832641.军工计算机信息系统安全保密管理初探赵 黎中船重工集团公司第七九所科技信息中心 摘 要:本文探讨了新时期保密工作所面临的各种安全漏洞,从信息安全的概念入手,阐述了新时期保密工作所面临的挑战,提出了保密工作应以信息安全为重点,探讨了信息安全体系机构基本框架的设想。文中提出了保密工作要以人为本,强化信息保密观念,从加强法规制度建设、加强涉密计算机系统保密管理制度建设、加强技术防范能力建设等方面入手做好新时期的保密工作,为武器装备科研生产提供
2、有力的安全保障。关键词:安全保密 军工信息 信息系统1 引言随着计算机信息网络在国家信息化建设中的广泛应用,对我国国防科技信息化建设产生了巨大影响,也给军工保密工作带来许多新情况、新问题,使军工保密工作面临着前所未有的机遇和挑战。先进的管理手段使保密工作在得到发展和进步的同时也增加了保密工作的难度,并给保密管理提出了许多新课题。大力发展保密技术,提高与信息安全风险相抗衡的能力,堵塞泄密漏洞,其地位和作用在加强保密管理中凸显出来。如何才能搞好新形势下的保密工作是值得所有保密工作者深思的问题。笔者就这一问题有几点浅见。2信息安全和信息保密面临的挑战当今时代,经济社会生活正在发生前所未有的深刻变化,
3、这对我国国防科技工业产生很大影响。保密工作也受到巨大的冲击,军工信息安全风险不断增加。突出表现在三个方面:一是保密主体呈现出多元性和流动性。随着改革开放的深入发展,军工系统正在由封闭型向开放型转变。二是保密对象呈现出系统性和复杂性。由于武器装备涉及到多种学科,它的技术含量高、研究周期长、配套单位多、涉密人员广,所以它是一个极为复杂的系统工程。三是窃密手段呈现出多样性和隐蔽性。这就意味着国防科技工业信息的安全保密面临着极大的挑战。21信息安全与信息保密信息安全不等同于信息保密,信息保密仅仅是信息安全的一个方面。2002 年3 月在美国通过的联邦信息安全管理法案(FISMA)中,信息安全被定义为“
4、保护信息和信息系统以避免未授权的访问、使用、泄漏、破坏、修改或者销毁,以确保信息的完整性、保密性和可用性”。其中完整性是指防止不恰当的信息修改和破坏,也包括确保信息的不可否认性和可认证性;保密性是指对信息访问和公开的授权限制,可用性是指对信息的及时和可靠的访问。22信息类型与安全隐患信息可以简单的划分为两大类:一类是公共信息,即可以共享的,在公共网上传输的信息;另一类是涉密信息,有一定的知晓范围,只能在局域网上传输。随着办公自动化、现代通信和计算机技术的广泛应用,国家秘密信息存处理和传输形式发生了深刻变化,我们信息安全保密工作面临的形式十分严峻。一方面,境内外敌对势力将涉密信息系统作为对我窃密
5、与攻击的重要目标。网络失泄密事件时有发生,信息网络已经成为泄密的重要渠道。另一方面,我们一些国家要害部门和重要涉密单位在涉密信息系统的技术防范与管理上存在明显的隐患和漏洞,使国代写:各专业专、本、硕、博毕业论文,职称论文;代发:省级、国家级、核心期刊、CSSCI 来源核心期刊论文。QQ:757518360 电话:01087832641.家秘密安全受到严重威胁。归纳我们对涉密计算机及其网络的保密管理检查情况结果来看,主要表现在:一是部分领导和涉密人员网络安全保密意识不强,没有把网络安全保密作为自己工作的一部分,缺乏计算机网络安全保密基本常识;二是对涉密网络没有采取有效的防范措施。系统共享情况比较
6、普遍,缺乏有效的访问权限控制,对内不设防情况比较严重。三是存在疏于对涉密便携机、移动存储介质的管理,如借出登记和归还后不能坚持每次检查。四是对淘汰、更换或改变用途的涉密计算机缺乏有效的技术处理,保密管理人存在一些漏洞等隐患。由此可见,信息安全问题仍然存在许多亟待解决的问题,这种形势给每一位保密工作者提出了更高的要求。3信息安全体系机构基本框架与构想信息安全的概念也是与时俱进的,过去是通信保密(COMSEC),昨天是信息安全(INFOSEC),而今天以至于今后是信息保障(IA- Information Assurance)。对于信息网络安全保障体系,要有一个适当的实事求是的审视。 目前在信息保障
7、的概念下,把信息安全保障分出了四个环节,即保护(P)、检测(D)、反应(R)、恢复(R)。这些是信息保障必须的环节。现在面临的信息环境,一是局域的计算环境,一个是包括专网、公网和电话交换的网络基础设施。我们面临的信息环境,绝不仅仅是一个 Internet。因此要保障信息安全就应该保护局域计算环境,保护网络技术设施,还要保护局域计算环境的边界和对外部网络的连接。靠什么保护?靠 PDRR。我们设想把原来 PDRR 前头加上一个 W(预警),后头加上一个 C(反击),试图用 WPDRRC 这六个环节和人、政策(包括法律、法规、制度、管理)和技术三大要素来构成宏观的信息网络安全保障体系结构的框架。它可
8、以反映六大能力、它们是:预警能力、保护能力、检测能力、反应能力、恢复能力、反击能力。因为信息安全保障不是单一因素的,不仅仅是技术问题,是人、政策和技术三大要素的结合。六个环节是有时间关系的,是有动态反馈关系的。三个因素:人、技术和政策,它们是有层次关系的,人是打底座的,是根本的;技术是顶端的东西,但是技术是要通过人,通过相应的政策和策略去操作这个技术的。这三个因素在六个环节中都是起作用的。这些想法可以涵盖成这样一张图,外围是依次连接的预警、保护、检测、反应、恢复、反击六个环节,内层是人、政策、技术三个逐步扩展的同心圆。内圈是人,人是核心,中圈是政策,政策是桥梁,外圈是技术,技术将应是落实在WP
9、DRRC 六个环节的各个方面,在各个环节中起作用。技术也不是单一的技术,要支持信息系统的安全应用,我们认为密码理论和技术是一个核心,安全协议是一个桥梁,安全体系结构是一个基础,安全的芯片是关键,监控管理是保障,攻击和评测的理论和实践是考验。4在高新技术条件下加强信息安全保密工作中的对策保密工作有其规律性,需要认真研究和探索。只有建立保密工作长效机制才能使保密工作长抓不懈。国家对军工科研生产单位实行保密资格认证制度,是新时期新形势新任务对保密工作的必然要求。它将保密工作要求具体化、有形化,促进了军工科研生产单位保密工作的制度化、规范化科学管理。首先针对信息安全漏洞构筑可靠的信息网络安全体系,加强
10、计算机保密技术防范措施,采取以下措施:41建立安全组织机构安全组织机构的任务是统一规划各级网络系统的安全、指定完善的安全策略和措施、协调各方面的安全事宜等。主要职能有:(1)负责确定安全措施,协调、代写:各专业专、本、硕、博毕业论文,职称论文;代发:省级、国家级、核心期刊、CSSCI 来源核心期刊论文。QQ:757518360 电话:01087832641.监督、检查安全措施的实施;(2)明确各级安全组织机构的责任及安全目标,明确每个涉密人员的责任及安全目标。(3)负责整个网络信息系统的安全与保密。主要包括对系统修改的授权、对特权和口令的授权、审计违章报告、审计记录和报警记录、制定安全人员的培
11、训计划并加以实施、遇到重大安全问题时及时报告主要领导等。(4)负责管理系统安全工作。主要包括:系统管理负责安装系统、控制系统操作、维护、管理系统等;安全管理负责软硬件的安装、维护、日常操作的监视,应急条件下的安全恢复等;安全审计负责监视系统的运行情况,收集对系统资源的各种非法访问时间并进行记录,然后进行分析、处理。必要时还要将审计的事件及时上报主管领导。(5)制定安全规划和应急预案。在风险和威胁的基础上采取主动和被动相结合的防治措施。在网络规划、设计建设与应用过程中,要有网络安全的规划,避免网络安全的先天不足。并有计划地不断加强安全措施,对意外事故和认为攻击造成损失的事件提出应急方案,一旦发生
12、立即实施。(6)指定信息保护策略。确定需要保护的数据范畴、密级和保护等策略。42 建立计算机信息安全保密管理措施通信、计算机信息系统保密管理是新形势下保密工作的长期重点任务,首先健全通信、计算机信息系统保密管理制度和计算机系统信息安全保密检查制度。完善保密防范措施,加强日常管理,加强监督检查。我们从以下几个方面做起:(1)建立信息安全保密管理检查流程按照以下流程执行:由专职保密检查人员检查计算机系统信息安全保密隐患;向被检查单位提交计算机系统安全保密检查整改通知单,填写检查情况报告,指出安全隐患,提出整改要求并限定整改完成时间。被检查单位按照整改通知单的要求进行整改,填写整改情况报告并送达到被
13、检查单位备案,作为今后安全保密工作整改的依据。保密检查情况的数据评估,作为量化保密工作质量的要素之一。(2)计算机信息系统安全管理对象:计算机信息系统、便携机信息系统;服务器;移动存储介质,包括计算机硬盘、移动硬盘、U 盘;电子阅览室和局域网;(3)信息安全保密管理防护措施计算机输出是保密最大的隐患,严格控制计算机的输出端口,我们采取人工封堵计算机的 USB 端口和机箱,还可以在每台计算机上安装审计软件,用于禁止非法外联、文件加密保护、网络层控制、应用层控制、媒体介质管理、打印机管理、运行状态监控等方面的事前控制和事后审计,对每台涉密计算机进行技术防范和监控。Internet 网是信息发展的需
14、要,建立专门用于浏览和收集信息的电子阅览室,并配备专人管理,对外发邮件要办理审批手续,下载的信息必须使用光盘刻录,外发邮件必须留有记录和备份。局域网是军工单位科研生产的重要工作网络,我们局域网采取了网络版杀毒和个人版杀毒软件相结合的方式。专人负责采用一次性光盘下载病毒库。其他来自互联网的信息也只能通过一次性光盘刻录,按相关规定进入涉密网。此外,还配置网络防火墙、入侵侦测系统、网络漏洞扫描系统等技术防范。代写:各专业专、本、硕、博毕业论文,职称论文;代发:省级、国家级、核心期刊、CSSCI 来源核心期刊论文。QQ:757518360 电话:01087832641.便携机、移动存储介质和办公自动化
15、设备的管理是保密工作中的薄弱环节,我们从三个方面采取措施。(1)集中统一管理,各单位将便携机、移动存储介质和办公自动化设备由专职或兼职保密员统一管理,需要使用办理借用手续,借出和归还时都要进行保密检查,防止泄密发生。不允许便携机、移动存储介质长期放在个人手中,如使用办公自动化设备要履行登记手续。(2)严格审批手续,需要便携机、移动存储介质出所的,必须按规定办理审批手续。经审查批准并发通行证才能出所。(3)加强技术防范,可以采用安装声磁报警系统,二是配置加密移动硬盘或通过审计软件设置可信移动介质。三是在涉密便携机上安装主机监控和审计软件,用于封堵涉密便携机不必要的输入端口,并记录便携机的审计日志
16、。(4)安全保密检查表格的管理:在保密检查过程中我们发现由于检查的内容很多也很杂,使用的检查表格各种各样,其中包含的检查项目、检查内容、检查术语没有一个统一的标准,因此在检查过程中造成一些混乱,非常不利于管理。所以我们按照国家颁布的保密法规中的要求和规定,制作了一套用于计算机系统安全保密检查的表格。它们归纳起来有:计算机安全保密检查表(包括对机密、秘密、非密计算机和服务器的检查)输入输出计算机安全保密检查表(输入输出计算机是专门用于局域网内部信息传递、文档拷贝、打印等使用的计算机 )便携式计算机安全保密检查表(包括对秘密、非密便携式计算机的检查)移动存储介质安全保密检查表(包括对秘密、非密移动硬盘、U 盘的检查)计算机信息系统技术防范安全保密检查表(包括对安全审计、入侵检测、漏洞扫描、病毒防治、密钥管理的检查、)互联网安全保密管理情况检查表(包括对互联网计算机信息安全和信息保密传递等检查)经过实际使用我们感觉到基本上符合安全保密检查的全面性、合理性、可操作性要求。5结
