论文部分内容阅读
军工企业涉密信息系统的运行安全是当前各军工企事业单位在保密工作上面临的重大课题。军工企业涉密信息系统应当在系统定级、方案设计、工程实施、系统测评、系统审批、日常管理、测评与检查、系统废止八个阶段中,严格按照涉密信息系统分级保护的一系列法规标准进行建设和管理。本文针对军工单位涉密信息系统的安全保密要求,对涉密信息系统信息安全保密技术进行分析和探讨。
引言
随着信息技术的迅猛发展,各军工单位目前普遍使用计算机网络进行产品设计和生产经营管理,计算机网络给工作带来便利的同时,也给安全保密工作带来了新的问题。防止涉密信息系统的泄密,已经成为保密工作中一项重要任务与挑战。信息安全保密是国防科技工业的核心竞争力之一,如果没有坚实的信息安全基础,则无异于把国防科技工业国家秘密信息拱手与人共享。近年来,军工企事业单位通过计算机网络造成的失泄密事件日益增多,给国家利益造成了极大的损害。涉密信息系统的安全关系到国家的安全与利益,为了确保国家秘密的安全,国家对从事军工科研和生产的企业实行军工保密资格审查认证制度。军工保密资格审查认证制度对武器装备科研生产单位的保密工作向科学化、规范化方向发展起到了重要推动作用,同时也对军工企业的涉密信息系统建设和使用提出更加严格的要求。
涉密信息系统分级保护的技术要求及其特点
(一)涉密信息系统分级保护的技术要求
涉密信息系统分级保护的技术要求,主要依据《涉及国家秘密的信息系统分级保护技术要求》(BMB17-2006)的有关规定。其总体技术要求是:
涉密信息系统应该按照等级划分准则划分等级,在满足信息安全等级保护基本要求的基础上,根据保密等级划分情况选择相应保密技术要求的措施进行保护。应采用安全域和密级标识的方法对秘密、机密、绝密三个级别的涉密信息系统进行分级保护。安全域之间的边界应该划分明确,多个安全域之间进行数据交换时,其所有的数据通信都应该安全可控;对于不同密级的安全域之间的数据通信,应该采取措施防止信息从高密等级安全域流向低密等级安全域。涉密信息系统中的所有信息都应具有相应的密级标识,密级标识应该与信息主体不可分离,其自身不可篡改。这里安全域指的是由实施共同安全策略的主体和客体组成的集合;密级标识是指用于标明信息秘密等级的数字化信息。对于信息保密安全要求,不同等级涉密信息系统的具体要求也不同。其中:秘密级涉密信息系统要求的项目内容包括:身份鉴别、访问控制、信息密码措施、电子泄露发射防护、系统安全性能检测、安全审计、边界安全防护。机密级系统应当在秘密级系统的基础上,再增加信息完整性检验、操作系统安全、数据库安全3个项目。绝密级系统应当在机密级系统的基础上,再增加抗抵赖1个项目。在涉密信息系统的日常维护中,涉密信息系统使用单位还应当依据国家保密标准《涉及国家秘密的信息系统分级保护管理规范》(BMB20-2007),加强涉密信息系统运行中的保密管理,定期进行风险评估,消除泄密隐患和漏洞。
(二)涉密信息系统的技术防范特点
1、访问控制
访问控制是涉密信息系统安全防护的主要核心策略,它的主要任务是保证信息资源不被非法使用和访问。访问控制规定了主题对客体访问的限制,并在身份鉴别的基础上,根据身份对提出资源访问的请求加以控制。它是对涉密信息系统资源加以保护的重要措施,也是整个计算机系统最重要的最基础的安全机制。目前基本的访问控制模型有:自主访问控制(DAC):自主访问控制是一种允许主体对访问控制施加特定限制的访问控制类型;强制访问控制(MAC):强制访问控制是一种基于安全标识和信息分级等敏感性信息的访问控制;基于角色的访问控制(RBAC):基于角色的访问控制技术出现于20世纪90年代,它是从传统的自主访问控制和强制访问控制发展起来的。其“角色”概念有效的减少了授权管理的复杂性,更加有利于安全策略的实施。
2、终端身份鉴别与授权
终端用户各种操作行为均需要进行个人身份验证,包括计算机登录认证、网络接入的认证、登录应用的认证、终端用户均需要通过身份鉴别来判断其身份。身份鉴别有多重方式:验证实体已知信息,如用户口令;验证实体拥有什么,如USB-KEY、IC卡等;验证实体不可改变的特性,如指纹、声音等;相信可靠地第三方建立的鉴别(递推)。身份鉴别是保证涉密信息系统安全的重要措施。经过身份鉴别进入涉密信息系统的合法用户,需要对其访问系统资源的权限进行限制。设置访问控制应当遵循“最小授权原则”,即在应当授权的范围内有权使用资源,非授权范围内无权使用资源。根据国家保密规定,涉密信息系统必须采用强制访问控制策略。处理秘密级、机密级信息的涉密系统,访问应当按照用户类别、信息类别控制,处理绝密级信息的涉密系统,访问控制到单个用户、单个文件。
3、安全审计
审计是在计算机系统中用来监视、记录和控制用户活动的一种机制。通过对审计日志文件的分析,可以有效阻止非法访问,并为事后分析的追查责任提供依据。在我国计算机信息系统安全等级保护划分标准中有明确的要求。涉密信息系统安全审计应包括的功能有:1.针对终端计算机操作进行记录;2.对网络流量、网络设备的工作状态进行审计;3.对重要数据库访问记录进行有效审计。涉密信息系统安全审计的重点有以下几个方面:1.网络通信系统:主要包括对网络流量中典型协议进行分析、识别、判断和记录;2.重要服务器主机操作系统:主要包括对系统启动/运行情况、管理员登陆、操作情况、系统配置更改、以及病毒感染、资源消耗情况的审计;还包括硬盘、CPU、内存、网络负载、进程、操作系统安全日志、系统内部事件、以及对重要文件访问的审计;3.重要服务器主机应用平台软件:主要包括对重要应用平台进程的运行、Web Server、Mail Server、Lotus、Exchange Server以及中间件系统的审计等;4.重要数据库操作的审计:主要包括对数据库进程运转情况、绕过应用软件直接操作数据库的违规访问行为、对数据库配置的更改、数据库备份操作和其他维护管理操作、对重要数据的访问和更改、数据完整性等内容的审计;5.重要应用系统的审计:主要包括对办公自动化系统、公文流转和操作、网页完整性、相关业务系统等内容的审计:6.客户端计算机的审计:主要包括对客户端计算机的病毒感染情况、访问应用系统情况、文件的拷贝/打印操作,擅自连接互联网的情况、非工作软件的安装和运行等内容的审计。对涉密信息系统进行安全审计是保证整个系统安全运行的重要手段之一。 涉密信息系统的信息安全原则与措施
(一)基本原则
1、按最高密级防护的原则
涉密信息系统处理多种密级的信息时,应当按照最高密级采取防护措施
2、最小化授权原则
涉密信息系统的建设规模要最小化。其次,涉密信息系统中涉密信息的访问权限要最小化,非工作必需知悉的人员,不应授予涉密信息的访问权限。
3、同步建设、严格把关的原则
涉密信息系统的建设必需要与安全保密措施的建设同步规划、同步实施、同步发展。要对涉密信息系统的全过程进行保密审查、审批、把关。
4、内、外网物理隔离原则
涉密信息系统不得直接或者间接与国际互联网或其它公共信息网络相连接,必须实行物理隔离措施。
5、安全保密措施与信息密级一致的原则
涉密信息系统应当采取安全保密措施,并保证所采取的措施力度与所处理信息的密级相一致。
6、资格认证原则
涉密信息系统安全保密方案的设计、系统集成以及系统维修工作,应委托经过国家保密部门批准授予资质证书的单位承担。涉密信息系统不得采用未经国家主管部门鉴定、认可的保密技术设备。军工单位涉密信息系统处理的是国家秘密,应优先选择经过国家保密部门审批并且成熟可靠的保密安全产品。
7、以人为本、注重管理的原则
涉密信息系统的安全保密三分靠技术,七分靠管理。加强管理可以弥补技术上的不足;而放弃管理则再好的技术也不安全。
(二)采取的技术措施
结合上述原则和军工单位涉密信息系统的技术防范要求,对涉密信息采取分级访问控制、终端身份鉴别与授权、加密存储与传输等相结合的措施对加以保护。对接入涉密信息系统的每台终端计算机明确使用责任人,并为其分配静态IP地址(该IP地址需与计算机MAC地址以及接入交换机端口进行绑定)。采用USB-KEY硬件钥匙结合口令的方式加固操作系统登陆,通过USB-KEY硬件钥匙进行身份鉴别和授权的方式将具体员工与IP地址对应关联起来。通过采取安全域划分、防火墙、身份认证、代理服务器等安全技术对涉密信息进行知悉范围控制,在对涉密信息分类的基础上控制涉密信息的打开、编辑等操作行为,将对涉密信息的管理控制变成对操作权限的分配和管理。对涉密信息系统中应用服务器的访问进行控制,可以采用windows域结构方式组织和管理网络中的服务器资源、防火墙与交换机虚拟局域网(VLAN) 技术相结合的方式来解决。
信息安全产品的关键技术
(一)身份认证与自主加密保护相结合
在军工企业管理体系中,身份认证技术要能够密切结合企业的业务流程,阻止对重要资源的非法访问。身份认证技术可以用于解决访问者的物理身份和数字身份的一致性问题,给其他安全技术提供权限管理的依据。在军工单位涉密信息系统的日常应用中,需要对各种涉密文件进行大量处理,还应该为每位用户提供对自己处理的涉密信息进行加密的功能。可以根据军工单位涉密信息系统的具体情况采用不同的加密措施。常见的加密方法有:对称加密、非对称加密、哈希函数等。
(二)涉密资料的分类管理、操作行为与访问控制相结合
涉密信息系统中的涉密信息要控制其知悉范围,必须对涉密信息及其使用人员进行分类,建立一种相对固定的关联规则。国家秘密信息在军工单位涉密信息系统中主要表现为文字和图形,为了防止无关人员接触秘密信息和通过更名等方式改变国家秘密的表现形式而造成秘密泄露,必须对使用人员的计算机操作行为(打开、创建、更名、复制、编辑)进行控制。要在涉密信息系统上实现访问控制,使涉密信息只被授权的人员知悉,必须建立涉密信息与授权人员的对应关系规则,确定其可以进行的操作类型。可采取下列方式:
1、将涉密信息按使用类型进行分类,确定每类涉密信息的知悉对象;对涉密信息进行分类,比如,对军工产品的设计、工艺、生产等过程产生的涉密信息按项目管理的方式进行分类,对经营过程中产生的涉密信息按计划、财务、质量、试验等使用属性进行分类等。这样,每类涉密信息的知悉人员是相对确定的,为避免使用人员频繁变化带来的设计困难,可以引入基于角色的访问控制(RBAC)技术。这时,对知悉范围的管理就转变为对涉密信息类别与角色之间的关系集合的管理。
2、通过组织结构树来管理使用成员,通过硬件钥匙转换成对应的IP 地址,使用人员对某类涉密信息的知悉权利就可以用是否属于某个角色来表述。这时,对使用人员的管理就转变为对角色组中成员的管理。通过引入相对固定的角色概念,访问控制的实现就转变为对信息类别与角色、角色与使用人员之间的关系的管理。在确定上述关系的同时,还必须要有对网络入侵进行检测监控的能力,以实现对知悉范围的控制。
总结
军工企业涉密信息系统的安全保密需要从技术控制、管理控制、运行控制三个层面分别采取安全保障措施,任何一个涉密信息系统无论网络规模的大小、无论系统边界的大小、无论应用的复杂与否、无论重要性的高低,采取的信息安全保障措施的原则都应是一致的。涉密信息系统信息安全技术是一项长期、艰巨、重要的综合性的研究课题, 需要不断探索和研究。它除了涉及技术层面的知识, 还需要从管理体系、规章制度和使用等诸多方面加以规范。军工企业要不断建立和完善涉密网络信息安全管理体系,加强对硬件和软件的及时维护, 保证系统运行安全,不断强化员工的安全意识, 真正做到防患于未然。
(作者单位:中国电子科技集团公司第44研究所)
引言
随着信息技术的迅猛发展,各军工单位目前普遍使用计算机网络进行产品设计和生产经营管理,计算机网络给工作带来便利的同时,也给安全保密工作带来了新的问题。防止涉密信息系统的泄密,已经成为保密工作中一项重要任务与挑战。信息安全保密是国防科技工业的核心竞争力之一,如果没有坚实的信息安全基础,则无异于把国防科技工业国家秘密信息拱手与人共享。近年来,军工企事业单位通过计算机网络造成的失泄密事件日益增多,给国家利益造成了极大的损害。涉密信息系统的安全关系到国家的安全与利益,为了确保国家秘密的安全,国家对从事军工科研和生产的企业实行军工保密资格审查认证制度。军工保密资格审查认证制度对武器装备科研生产单位的保密工作向科学化、规范化方向发展起到了重要推动作用,同时也对军工企业的涉密信息系统建设和使用提出更加严格的要求。
涉密信息系统分级保护的技术要求及其特点
(一)涉密信息系统分级保护的技术要求
涉密信息系统分级保护的技术要求,主要依据《涉及国家秘密的信息系统分级保护技术要求》(BMB17-2006)的有关规定。其总体技术要求是:
涉密信息系统应该按照等级划分准则划分等级,在满足信息安全等级保护基本要求的基础上,根据保密等级划分情况选择相应保密技术要求的措施进行保护。应采用安全域和密级标识的方法对秘密、机密、绝密三个级别的涉密信息系统进行分级保护。安全域之间的边界应该划分明确,多个安全域之间进行数据交换时,其所有的数据通信都应该安全可控;对于不同密级的安全域之间的数据通信,应该采取措施防止信息从高密等级安全域流向低密等级安全域。涉密信息系统中的所有信息都应具有相应的密级标识,密级标识应该与信息主体不可分离,其自身不可篡改。这里安全域指的是由实施共同安全策略的主体和客体组成的集合;密级标识是指用于标明信息秘密等级的数字化信息。对于信息保密安全要求,不同等级涉密信息系统的具体要求也不同。其中:秘密级涉密信息系统要求的项目内容包括:身份鉴别、访问控制、信息密码措施、电子泄露发射防护、系统安全性能检测、安全审计、边界安全防护。机密级系统应当在秘密级系统的基础上,再增加信息完整性检验、操作系统安全、数据库安全3个项目。绝密级系统应当在机密级系统的基础上,再增加抗抵赖1个项目。在涉密信息系统的日常维护中,涉密信息系统使用单位还应当依据国家保密标准《涉及国家秘密的信息系统分级保护管理规范》(BMB20-2007),加强涉密信息系统运行中的保密管理,定期进行风险评估,消除泄密隐患和漏洞。
(二)涉密信息系统的技术防范特点
1、访问控制
访问控制是涉密信息系统安全防护的主要核心策略,它的主要任务是保证信息资源不被非法使用和访问。访问控制规定了主题对客体访问的限制,并在身份鉴别的基础上,根据身份对提出资源访问的请求加以控制。它是对涉密信息系统资源加以保护的重要措施,也是整个计算机系统最重要的最基础的安全机制。目前基本的访问控制模型有:自主访问控制(DAC):自主访问控制是一种允许主体对访问控制施加特定限制的访问控制类型;强制访问控制(MAC):强制访问控制是一种基于安全标识和信息分级等敏感性信息的访问控制;基于角色的访问控制(RBAC):基于角色的访问控制技术出现于20世纪90年代,它是从传统的自主访问控制和强制访问控制发展起来的。其“角色”概念有效的减少了授权管理的复杂性,更加有利于安全策略的实施。
2、终端身份鉴别与授权
终端用户各种操作行为均需要进行个人身份验证,包括计算机登录认证、网络接入的认证、登录应用的认证、终端用户均需要通过身份鉴别来判断其身份。身份鉴别有多重方式:验证实体已知信息,如用户口令;验证实体拥有什么,如USB-KEY、IC卡等;验证实体不可改变的特性,如指纹、声音等;相信可靠地第三方建立的鉴别(递推)。身份鉴别是保证涉密信息系统安全的重要措施。经过身份鉴别进入涉密信息系统的合法用户,需要对其访问系统资源的权限进行限制。设置访问控制应当遵循“最小授权原则”,即在应当授权的范围内有权使用资源,非授权范围内无权使用资源。根据国家保密规定,涉密信息系统必须采用强制访问控制策略。处理秘密级、机密级信息的涉密系统,访问应当按照用户类别、信息类别控制,处理绝密级信息的涉密系统,访问控制到单个用户、单个文件。
3、安全审计
审计是在计算机系统中用来监视、记录和控制用户活动的一种机制。通过对审计日志文件的分析,可以有效阻止非法访问,并为事后分析的追查责任提供依据。在我国计算机信息系统安全等级保护划分标准中有明确的要求。涉密信息系统安全审计应包括的功能有:1.针对终端计算机操作进行记录;2.对网络流量、网络设备的工作状态进行审计;3.对重要数据库访问记录进行有效审计。涉密信息系统安全审计的重点有以下几个方面:1.网络通信系统:主要包括对网络流量中典型协议进行分析、识别、判断和记录;2.重要服务器主机操作系统:主要包括对系统启动/运行情况、管理员登陆、操作情况、系统配置更改、以及病毒感染、资源消耗情况的审计;还包括硬盘、CPU、内存、网络负载、进程、操作系统安全日志、系统内部事件、以及对重要文件访问的审计;3.重要服务器主机应用平台软件:主要包括对重要应用平台进程的运行、Web Server、Mail Server、Lotus、Exchange Server以及中间件系统的审计等;4.重要数据库操作的审计:主要包括对数据库进程运转情况、绕过应用软件直接操作数据库的违规访问行为、对数据库配置的更改、数据库备份操作和其他维护管理操作、对重要数据的访问和更改、数据完整性等内容的审计;5.重要应用系统的审计:主要包括对办公自动化系统、公文流转和操作、网页完整性、相关业务系统等内容的审计:6.客户端计算机的审计:主要包括对客户端计算机的病毒感染情况、访问应用系统情况、文件的拷贝/打印操作,擅自连接互联网的情况、非工作软件的安装和运行等内容的审计。对涉密信息系统进行安全审计是保证整个系统安全运行的重要手段之一。 涉密信息系统的信息安全原则与措施
(一)基本原则
1、按最高密级防护的原则
涉密信息系统处理多种密级的信息时,应当按照最高密级采取防护措施
2、最小化授权原则
涉密信息系统的建设规模要最小化。其次,涉密信息系统中涉密信息的访问权限要最小化,非工作必需知悉的人员,不应授予涉密信息的访问权限。
3、同步建设、严格把关的原则
涉密信息系统的建设必需要与安全保密措施的建设同步规划、同步实施、同步发展。要对涉密信息系统的全过程进行保密审查、审批、把关。
4、内、外网物理隔离原则
涉密信息系统不得直接或者间接与国际互联网或其它公共信息网络相连接,必须实行物理隔离措施。
5、安全保密措施与信息密级一致的原则
涉密信息系统应当采取安全保密措施,并保证所采取的措施力度与所处理信息的密级相一致。
6、资格认证原则
涉密信息系统安全保密方案的设计、系统集成以及系统维修工作,应委托经过国家保密部门批准授予资质证书的单位承担。涉密信息系统不得采用未经国家主管部门鉴定、认可的保密技术设备。军工单位涉密信息系统处理的是国家秘密,应优先选择经过国家保密部门审批并且成熟可靠的保密安全产品。
7、以人为本、注重管理的原则
涉密信息系统的安全保密三分靠技术,七分靠管理。加强管理可以弥补技术上的不足;而放弃管理则再好的技术也不安全。
(二)采取的技术措施
结合上述原则和军工单位涉密信息系统的技术防范要求,对涉密信息采取分级访问控制、终端身份鉴别与授权、加密存储与传输等相结合的措施对加以保护。对接入涉密信息系统的每台终端计算机明确使用责任人,并为其分配静态IP地址(该IP地址需与计算机MAC地址以及接入交换机端口进行绑定)。采用USB-KEY硬件钥匙结合口令的方式加固操作系统登陆,通过USB-KEY硬件钥匙进行身份鉴别和授权的方式将具体员工与IP地址对应关联起来。通过采取安全域划分、防火墙、身份认证、代理服务器等安全技术对涉密信息进行知悉范围控制,在对涉密信息分类的基础上控制涉密信息的打开、编辑等操作行为,将对涉密信息的管理控制变成对操作权限的分配和管理。对涉密信息系统中应用服务器的访问进行控制,可以采用windows域结构方式组织和管理网络中的服务器资源、防火墙与交换机虚拟局域网(VLAN) 技术相结合的方式来解决。
信息安全产品的关键技术
(一)身份认证与自主加密保护相结合
在军工企业管理体系中,身份认证技术要能够密切结合企业的业务流程,阻止对重要资源的非法访问。身份认证技术可以用于解决访问者的物理身份和数字身份的一致性问题,给其他安全技术提供权限管理的依据。在军工单位涉密信息系统的日常应用中,需要对各种涉密文件进行大量处理,还应该为每位用户提供对自己处理的涉密信息进行加密的功能。可以根据军工单位涉密信息系统的具体情况采用不同的加密措施。常见的加密方法有:对称加密、非对称加密、哈希函数等。
(二)涉密资料的分类管理、操作行为与访问控制相结合
涉密信息系统中的涉密信息要控制其知悉范围,必须对涉密信息及其使用人员进行分类,建立一种相对固定的关联规则。国家秘密信息在军工单位涉密信息系统中主要表现为文字和图形,为了防止无关人员接触秘密信息和通过更名等方式改变国家秘密的表现形式而造成秘密泄露,必须对使用人员的计算机操作行为(打开、创建、更名、复制、编辑)进行控制。要在涉密信息系统上实现访问控制,使涉密信息只被授权的人员知悉,必须建立涉密信息与授权人员的对应关系规则,确定其可以进行的操作类型。可采取下列方式:
1、将涉密信息按使用类型进行分类,确定每类涉密信息的知悉对象;对涉密信息进行分类,比如,对军工产品的设计、工艺、生产等过程产生的涉密信息按项目管理的方式进行分类,对经营过程中产生的涉密信息按计划、财务、质量、试验等使用属性进行分类等。这样,每类涉密信息的知悉人员是相对确定的,为避免使用人员频繁变化带来的设计困难,可以引入基于角色的访问控制(RBAC)技术。这时,对知悉范围的管理就转变为对涉密信息类别与角色之间的关系集合的管理。
2、通过组织结构树来管理使用成员,通过硬件钥匙转换成对应的IP 地址,使用人员对某类涉密信息的知悉权利就可以用是否属于某个角色来表述。这时,对使用人员的管理就转变为对角色组中成员的管理。通过引入相对固定的角色概念,访问控制的实现就转变为对信息类别与角色、角色与使用人员之间的关系的管理。在确定上述关系的同时,还必须要有对网络入侵进行检测监控的能力,以实现对知悉范围的控制。
总结
军工企业涉密信息系统的安全保密需要从技术控制、管理控制、运行控制三个层面分别采取安全保障措施,任何一个涉密信息系统无论网络规模的大小、无论系统边界的大小、无论应用的复杂与否、无论重要性的高低,采取的信息安全保障措施的原则都应是一致的。涉密信息系统信息安全技术是一项长期、艰巨、重要的综合性的研究课题, 需要不断探索和研究。它除了涉及技术层面的知识, 还需要从管理体系、规章制度和使用等诸多方面加以规范。军工企业要不断建立和完善涉密网络信息安全管理体系,加强对硬件和软件的及时维护, 保证系统运行安全,不断强化员工的安全意识, 真正做到防患于未然。
(作者单位:中国电子科技集团公司第44研究所)