总第285期 2013年第7期 计算机与数字工程 Computer&Digital Engineering Vo1.41 NO.7 1213 基于网络安全的信息化研究 易鹏 武汉430074) (武汉数字工程研究所摘要人类的生活已经进入信息化时代,信息化时代给我们带来各项便利的同时,随之而来的信息化安全问题日益凸显出来,论文结 合科研院所自身的特点较清晰地概括和分析了信息化安全问题,以信息化的安全问题为切入点,从技术层面、管理层面探讨了军工科研院所 的信息化安全问题——涉密信息系统。 关键词信息;网络;安全;涉密信息系统 中图分类号TP391 DOI:10.3969/j.issn1672—9722.2013.07.052 Information Technology Based on Network Safety YI Peng (Wuhan Digital Engineering Institute,Wuhan 430074) Abstract Has entered the information age of human 1ire,at the same time in the information age brings US the convenience,followed by information security problems stand out increasingly,this paper combined with the characteristics of military industrial research institutes are clearly summarized and analyzed the information security,information security problems as the breakthrough point,from the technical leve1.management leve1 discusses the military industria1 research institutes of information security issues—classified information system. Key Words information,network,safety,classified information system Class NUIm ̄r TP39】 1 引言 全域划分。在军工企业涉密网络中,应加强巡查和完善相 关制度,杜绝因设备故障和意外损坏等导致信息化网络暂 随着信息化建设的不断深入,信息化已经成为社会发 时中断和数据丢失等情况的出现;避免因服务器存储设备 展的重要推动力量,随之应运而生的是信息化安全,信息化 的失效导致存储数据的丢失和服务的中止。 安全是一个很广泛的概念,许多安全问题如设备损坏、病毒 2.2网络安全 危害、恶意攻击和入侵、电子安全等都属于信息化安全范 网络安全主要是指网络访问、使用、信息交换、操作的 畴,信息化安全是信息化建设的关键环节,在信息化建设和 安全,网络安全问题主要包括:病毒危害和访问安全。解决 防护的过程中,信息很难保证其自身的安全性、保密性和可 病毒危害的最好方法是安装防病毒软件,网络版防病毒软 控性,因此,要达到信息化安全的目的,必须全面地了解信 件应具备以下特点:实时查杀病毒、智能安装、快速方便地 息化安全问题之所在,才能防患于未然,争取把安全隐患扼 升级、系统兼容性强、管理方便、系统易恢复;访问安全是指 杀在萌芽之时1 对设备、资源、信息和服务访问权限的安全控制;在现实生 2信息化安全问题 活中许多敏感的信息如财务数据、人事管理档案、项目涉密 数据、型号研制过程文件等,其访问限制必须非常严格,只 在信息化带来高效与便利的同时,也给国家各行各业 有项目相关研制过程中的人员或部分领导才有权查看,重 间计算机网络信息安全保密工作带来了巨大挑战,国家安 要涉密设备也只能对部分单位和人员公开,个人计算机上 全和利益时刻受到威胁,因此,加强网络计算机的安全管理 的涉密文件必须有领导审批才能被共享和传递。 刻不容缓,完善涉密信息系统的安全防护已经成为国家安 2.3信息安全 全保密工作体系中不可忽视的重要环节,下面,从四方面来 信息安全应严格按照国家标准对涉密信息系统的规定 介绍信息化的安全问题。 实施建设,为了防止信息在传输过程中被窃取,必须做到以 2.1物理安全 下几点:1)必须要求使用电子文档交换系统,其数据在传 物理安全指信息化系统、设备、工作环境等在物理上采 输过程中的所有信息都要求经过验证和加密,保证数据的 取的保护措施。物理安全是信息化安全的基础,对涉密信 完整性和保密性。2)为了安全保密,需要对用户终端进行 息系统和非涉密信息系统内的计算机应严格区分、采取必 主机监控与审计,分析系统的安全状况,监控操作者的行 要的技术手段进行物理隔离,将涉密信息系统严格按照安 为,从而可以对非法内联进行有效防止。3)对于重要涉密 *收稿日期:2013年1月1O日,修回日期:2013年2月20日 作者简介:易鹏,男,硕士研究生,助理工程师,研究方向:信息化安全。 l2l4 易鹏:基于网络安全的信息化研究 第41卷 人员和区域,为防止涉密信息被窃取,应安装电磁防护装 置、手机屏蔽柜,电话座机应与电脑主机保证一米的物理距 离;对于最小警戒距离小于规定距离的涉密信息系统内联 网计算机,应安装电磁干扰装置。 2.4管理安全 信息化安全应从安全管理体系、保密管理制度、技术防 护隔离等制度和措施上制定一整套相应的规范,方便协同 办公的同时也要服从保密,从组织行为、沟通艺术、团队协 作、规章制度、思想意识上做到按章办事、按流程办事,对于 涉密信息本身应该从信息定密、用户授权和网络安全互联 等方面加强管理,建立相应的安全保密工作制度和责任制 度,规范用户操作行为,明确涉密信息的具体知悉范围和用 户权限。 3信息安全应具备的技术措施 企业信息化、涉密网络必须具备以下技术措施:防病毒 系统、防火墙、认证加密、身份鉴别、安全审计、电磁泄露发 射防护等等。 3.1防病毒系统 常见的计算机病毒主要是针对操作系统进行攻击,如 果单位用户网络节点多,采用单机防病毒软件,成本较高, 维护起来也不方便,防病毒的效果也不理想,所以,对科研 院所而言,对付病毒的重要手段是部署网络防病毒系统。 网络防病毒系统由防病毒主程序和客户端以及其他辅助应 用组成,它可以通过管理平台监测、分发部署防病毒客户端 来实现,这种功能可以统一并实施单位内的反病毒策略,并 封锁整个系统内病毒的所有入口点,与此同时还要配合其 他手段维护系统安全,重点应做好数据备份、灾难恢复、及 时升级杀毒软件的病毒库;计算机病毒是不断在繁衍变形、 不断更新的,它会以不同的形式在不同的时期以不同的形 态表现出来,而且病毒越来越厉害,更新速度越来越快,防 护手段越来越复杂,到目前为止没有一个防病毒系统是能 查杀所有的病毒,所以必须对病毒库做到实时更新。 3.2防火墙 防火墙指的是一个由软件和硬件设备组合而成、在内 部网和外部网之间、专用网与公共网之间的界面上构造的 保护屏障。防火墙是目前最重要的信息安全产品,它可以 提供实质上的网络安全,它承担着对外防御、对内辅助安全 策略的功能,这是单位保护信息安全的首道屏障。防火墙 从结构上分为硬件防火墙和软件防火墙:硬件防火墙基于 专门设计的硬件和系统,自身安全有保证、效率高、稳定性 好,但功能比较单一,升级比较困难;软件防火墙基于现有 的操作系统,功能强大,但是安全性受限于操作系统。 3.3认证加密、身份鉴别 一般而言,可以通过部署认证加密系统保障办公自动 化流程、控制敏感信息的访问,确保信息的保密性、完整性; 认证加密是保证应用安全的有效手段,它主要是通过数字 证书来实现的,数字证书是一个经证书授权中心数字签名 (包含客户的公钥与客户身份)的信息数字证书,是网络通 讯中标志通讯各方身份信息的数据,数字证书可以存储在 Ic卡、硬盘或磁盘等介质中,在基于数字证书的通讯过程 中,数字证书是合法身份的凭证,是建立保密通讯的基础。 3.4安全审计 安全审计对计算机信息系统中的所有网络资源进行安 全审计,记录所有发生的事件,提供给系统管理员作为系统 维护以及安全防范的依据。 3.4.1系统设备操作审计 系统设备操作审计,主要目标是记录什么人、在什么时 间、对哪个系统设备进行了什么样的操作,审计内容包括以 下几个方面: 1)网络设备的操作审计,其针对的对象主要是网络管 理员,审计方法用网络设备所记录的日志文件进行分析统 计。 2)服务器系统操作审计,其审计对象主要是系统管理 员、数据库管理员,审计方法通过服务器系统的操作日志进 行分析统计,其日志包括系统日志、应用程序日志、目录服 务日志、DNS日志、系统文件复制日志等。 3)安全产品策略与配置行为审计,其审计对象为安全 保密管理员、系统管理员,其审计方法通过如防火墙、II)S、 防病毒、安全访问代理网关等安全产品所带的日志记录以 及系统所具备的审计分析工具予以实现。 4)网络接人审计:系统提供终端网络接入日志,日志 信息包括终端使用人、接人时问、退出时间等统计日志,可 以对接入日志进行审计。 5)系统管理员的行为审计:系统管理员的操作均基于 设备、应用系统和数据库,利用应用系统和数据库的日志记 录,可实现对系统管理员的审计。 3.4.2根据涉密信息系统中安全审计的内容 可以分为以下几个内容: 1)网络审计:负责网络通信系统的审计; 2)操作系统审计:负责对重要服务器主机操作系统的 审计; 3)数据库审计:负责对重要数据库操作的审计; 4)主机监控与审计:负责对网络重要区域的客户机进 行审计; 5)应用审计:负责服务器主机的应用平台软件、应用 系统进行审计。 6)平台管理中心:审计和接收各种数据,进行采集、存 储、分析操作(如图1所示)。 网络审计LJl数据库审计Ul应用审 l主机监控与审计l 仃—— —] 1} 平台管理中心 I 图1工作原理 3.5 电磁泄漏发射防护 电磁泄漏是指电子设备的杂散电磁能量通过导线或空 间向外扩散。任何处于工作状态的信息设备都会存在不同 程度的电磁泄漏(如显示器、键盘、计算机主机等等),如果 信息设备所处理的数据伴随着电磁信号向外扩散出去,就 构成了电磁信息泄漏,如果泄露的信息属于国家秘密,则对 国家安全就构成了巨大的危害,使国家利益受到威胁。电 2013年第7期 计算机与数字工程 [M].北京:清华大学出版社,2004. 12l5 磁信息泄密并非不能防范,只有当涉密场所电磁泄漏发射 信号强度和信噪比满足一定或者特定的条件才能够被截获 和复原,因此,只要采取相应的电磁泄漏发射防护技术措 SUN Qiang,CHEN Wei,WANG Donghong.Global best practices and implementation of information security manage— 施,是町以降低或防止电磁信息泄漏,保护国家秘密信息安 全的。 ment,guide[M].Beijing:Tsinghua university press,2004. [5]刘晓辉.网络安全管理实践[M].北京:电子工业出版社,2007. uU Xiaohui.Network security management practices[M]. Beijing:electronic industry press,2007. 4结语 信息化安全问题是一个长期存在的问题,特别是随着 互联网应用的不断发展,安全问题显得尤为突出。信息的 普遍性、无限性、转移性、共享性都会对信息的不安全性构 成威胁,安全问题是融入到信息化建设的整个过程中的,因 [6]黄开枝,孙岩.网络防御与安全对策[M].清华大学出版社, 2004. HUANG Kaizhi,SUN Yan.Network defense and security countermeasure[M].Tsinghua university press,2004. [7]过莉.企业计算机网络安全防护的几点措施[J].广东电力, 2005,18(6):87 89. GU0 Li.Several measures of enterprise computer network se— 此,仅仅提供一个安全问题解决方案是不能满足信息化安 全需求的,必须冲破传统思想的束缚和习惯势力的羁绊,特 别是科研院所,yid建设安全可靠性高的保密信息化网络, 加强技术更新,部署安全防护系统,建立安全保障体系,以 理论与实际相结合、制度和技术相衔接,不断深化科研院所 涉密信息系统的安全保密管理,不断加大涉密信息系统的 安全保密软、硬件的投入,不断地加强涉密信息系统内涉密 人员保密意识的教育,只有这样,信息化的安全才能得到有 效的防护,才能确保涉密信息系统中国家秘密的安全,才能 高效地利用涉密信息系统为科研生产服务。 参考文献 curity protection[J].Journal of guangdong electric power, 2005,19(6):87—89. [83张仁斌,李钢,侯整风.计算机病毒与反病毒技术EM].北京:清 华大学出版社,2006. ZHANG Renbin,LI Gang,HOU Zhengfeng.A computer vi— rus and anti—virus technology[M].Beijing:Tsinghua universi— ty press,2006. [9]何波,董世都,涂飞,等.涉密网安全保密整体解决方案口].微 计算机信息,2006,22(9):116—118. HE Bo,IX)NG Shidu,TU Fei,et a1.Classified network secu— rity overall solutions[J].Microcomputer information,2006,22 I:1]张先红.数字签名原理与技术[M].北京:机械工业出版社, 2004. (9):l16—118. [1O]胡巧玲.基于USB KEY网络安全系统的研究[J].舰船电子工 程,2010,30(4). HU Qiaoling.Research of Network Security System Based on ZHANG Xianhong.Digital signature principle and technique LM].Beijing:mechanical industry press,2004. 2]周晓梅.论企业信息安全体系的建立[J].网络安全技术与应 用,2006,3:62—64,57. ZHOU Xiaomei.Concerning the establishment of the enter— USB KEY[J].Ship Electronic Engineering,2010,30(4). [11]巩昌伟,王威.P2P在军网中的信息安全研究[J].舰船电子工 程,2008,28(7). K0NG Changwei,WANG Wei.Researeh on Information Se— I1l: e information security system[J].Journal of network seeu— rity technology and applications,2006,3:62 64,57. curity about Miiftary Network Using P2P[J].Ship Electronic Engineering,2008,28(7). [31魏永红,李天智,张志.网络信息安全防御体系探讨[J].河北省 科学院学报,2006,23,(1):25—28. WEI Yonghong,LI Tianzhi,ZHANG Zhi.Network informa— E12]陈蔼莉.推进企业信息化工程进程的对策研究rJ].情报杂志, 2002(2). tion security defense system study[J].Journal of hebei acade— my of sciences,2006,23(1):25—28. CHEN Ail1.Advance the countermeasure research of the en— terprise information construction process[J].Journal of intel— ligenee,2002(2). 【4]孙强,陈伟,王东红.信息安全管理全球最佳实务与实施指南 矫 不 乖 不 乖 币 不 筇{’ .币 { ! {!; { {!: (上接第】141页) [r ]A Hu,S D Servetto.On the scalability of cooperative time syn— [7]戴琼海,译.实时系统[M].第一版.北京:清华大学出版社, 2004:50 65. chronization in pulse-connected networks[J].IEEE Trans on Information Theory,2006,52(6):2725—2748. DAI Qionghai,Translation.Real—time System[M].First edi— tion.Beijing:Tsinghua University Press,2004:50~65. Es]Noh K I ,Serpedin E,Qaraqe K八A new approach for time synchr0nization in wireless sensor networks:pairwise broad— [8]Surendra Raham atkar,Ajay Agarw a,NarendraKum at.A— nalysis and comparative study of clock synchronization schemes cast synchr0nization[J]. IEEE Trans.on Wireless Comnmni— cation,2008,7(9):33l8-3322. in wireless sensor[J].Networks International Journal on Com— puter Science and Enginering,2010,2(3):536—541. [6]覃秀英,郑霖,胡雯,等.无线传感器网络低功耗多跳广播时钟 同步算法_J].计算机工程,2013,39(1):102—105. TAN Xiuying,ZHENG I in,HU Wen,et a1.Energy-efficient [9]M Millos,K Branislav,S Gyula,et a1.The flooding time syn— chronization protocol[C]//The 2nd ACM Conf on Embedded Networked Sensor Systems,Baltimore,USA,2004:1-15. Multhop Broadcast Clock Synchronization Algorithm for Wire— [103 Lamport L.Time,clocks,and the ordering of events in a dis— tributed system[C]//communications of the ACM,1978,21 (7):558—565. less Sensor Network[J].Computer Engineering,2013,39(1): 1 02】O5