摘 要:本文对当前计算机信息系统面临的主要威胁进行分析,指出了安全保密常用的实现技术,最终指出安全保密技术必须与制度相结合,增强人员保密意识更为关键。
关键词:信息系统;安全威胁;保密技术
计算机信息系统的安全保密是随着计算机网络的产生和发展而提出来的,并成为近几年的热点问题。对于部队来说,无论平时还是战时,加强计算机信息系统的安全保密已成为—个刻不容缓的重要课题。
一、计算机信息系统面临的主要威胁
当前计算机信息系统面临的威胁主要有:计算机病毒;计算机网络入侵或称“黑客”入侵;计算机电磁信号泄漏;网络通信协议的安全漏洞;涉密存储介质的遗失与失控;在计算机系统中预置窃密软件或窃密装置的计算机和网络的物理破坏以及内部人员的违规违法操作等。
二、计算机信息系统安全保密常用技术
计算机信息系统安全保密常用技术有许多种,这里重点介绍七种。
(一)病毒防治技术
近年来各种计算机病毒如同瘟疫一般造成很大影响。计算机病毒的典型特征是:潜伏、复制、进行破坏。目前防治计算机病毒的基本方法是:发现-解剖-杀灭。从技术上来讲,对计算机病毒的防治可以通过如下途径:一是在服务器上装载防病毒模块:二是软件防治,定期或不定期用防毒软件检测计算机:三是在计算机上插防病毒卡;四是在网络接口卡上安装防病毒芯片。这几种防治病毒形式也可以结合使用。
对计算机病毒防治遵循“防杀结合,以防为主,以杀为辅,软硬互补,标本兼治”的原则,除利用病毒防治技术外,还要从管理等方面着手。《中国人民武装警察部队技术安全保密规定》规定:计算机启用前必须进行病毒检测,运行期间应当定期检测;计算机系统之间传递程序或者信息,应当经过检测确认无病毒后方可发送;发现计算机病毒必须立即清除。同时追查感染源,必要时将染毒计算机隔离,对无法清除或者造成重大损失的病毒,必须及时报告业务主管部门及时处理;任何单位或者个人不得擅自研究、制造和传播计算机病毒;不得擅自在计算机系统内安装、运行不明软件和无关程序;重要计算机网络禁止运行游戏软件利盗版软件等。
(二)隐蔽信道消除技术
隐蔽信道又称隐性通道或泄密路径,因为某些信息可以由它不经意泄露出去。隐蔽信道的基本衡量参数是它的带宽,即一秒内能传送的信息量,其单位是比特/秒。消除隐蔽信道的方法:在设计计算机系统时应尽可能减少隐蔽信道的产生;在测试计算机时,要对隐蔽信道进行测量;计算机系统自身的安全内核应具有对隐蔽信道的使用情况审计的功能。审计功能包括:对个别客体(如用户)的访问模式、情况、特定进程以及系统的各项安全保护机制和有效性进行审计检查;发现用户或入侵者绕过安全保护机制的企图;发现越权操作;制止非法入侵并给予警告;记录入侵的全过程。
(三)介质(媒体)的安全管理技术
计算机系统的涉密介质种类主要有,有软盘、硬盘、磁带、光盘等。计算机系统的存储介质不仅易窃取、修改和破坏,而且它的残留信息也可复现出来。因此,加强介质的安全管理十分重要。介质安全管理的主要技术措施是:分类标记,按信息性质、密级和重要性进行分类和登记,并在介质内外作上明显标记,分档管理。在分类记录基础上,按秘密等级和重要程度分别存放于相应的金属保密容器内,在用和备份的应该分置两地,确保安全;对于移动性介质,要按密件要求进行保存。采用专用介质和专用计算机系统处理涉密信息,使局外人无法使用介质和计算机。介质废弃后应进行销密复写或物理销毁。
(四)数据库安全技术
数据库安全和计算机系统的—般安全要求和技术方法相近。制定正确的安全策略,贯彻“知所必需”的存取控制原则;应用过程中利用技术手段保护数据库;制定数据库容灾备份,以防天灾和预谋窃密与破坏;数据库周围要有警戒、报警、出入控制和警卫措施。
(五)鉴别技术
鉴别技术主要是为了发现非法或末授权用户入网、存放和修改信息,防止合法用户越权存取和使用信息,以及防止发生抵赖。鉴别技术也称验证技术或认证技术。常用的鉴别技术有以下几种:一是身份鉴别。身份鉴别的目的是验明合法用户的正身,以使系统决定是否允计其入网。二是信息(报文)的过程鉴别。验证信源与信息的真伪、内容的正误和信息流动过程正确与否。三是防抵赖鉴别。主要是防止重要文书、契约发生否认、抵赖等行为。防抵赖技术比较成熟的是数字签名技术。
(六)访问控制
访问控制是计算机信息系统安全中一个关键技术。它由访问控制原则和访问机制构成。访问控制原则是一种策略性规定,它确定了授于每个用户权力的限制条件。例如,最小特权原则,也称“知其必需”原则;特权时限原则,它规定用户特权的有效期。访问控制机制是实现访问策略的预定的访问控制功能。访问控制—般分为自主(任意)访问控制和强制访问控制。由用户自己规定与其共享资源的其他用户的访问权限,称自主访问控制。在—个系统中有多种密级资源和不同等级用户时,需采用强制访问控制。强制访问控制的机制—般在计算机操作系统的内核实现,只有被授权的系统管理员或安全员才能控制和改变系统的访问控制和设置。
(七)网络安全技术
网络安全保密建立在各个分系统安全的基础上,主要涉及网络协议的完备性。为确保网络安全常用到网络脆弱性检测、防火墙及入侵检测等技术。
网络脆弱性检测技术。这是由计算机“黑客”攻击技术演化而来的—个探测软件集合,包括对网络操作系统、协议、防火墙、口令等安全保密措施进行探测的软件,还包含低强度的模拟攻击手段。经过这些软件探测和攻击,对网络和安全防护程度可以做出评估,为改进安全保密措施提供依据。
三、严格执行保密法规,确保信息安全
计算机信息系统的作用是巨大的,没有信息安全保护的系统是极其危险的。我们不仅要求技术研究上确保手段的先进可靠,我们还必须同时加强制度建设,提高信息系统使用人员的保密意识。认真学习各项保密法规,真正落实军委的严密防范网络泄密“十条禁令”,严禁涉密计算机、存储载体和涉密网络与手机等数码产品或互联网联接,确保计算机信息系统的安全可靠。
