涉密信息系统安全保密建设探讨

涉密信息系统安全保密建设探讨<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

许正虎  李一峰  陈  强

中国电子科技集团公司第二十八研究所

摘  要  本文从涉密信息系统安全保密建设规划设计、技术体系以及运行管理等三个方面对涉密信息系统安全保密建设技术要点进行了分析。

关键词  涉密信息系统  安全保密  系统建设

1　引言

当前，随着信息技术的发展，电子政务、电子商务、企业信息化建设取得了显著成效。同时，涉密单位信息化建设也在逐步开展。随着涉密单位信息系统建设的不断深化，信息安全保密问题日益突出，安全保密建设任务更加紧迫。由于涉密单位的业务特殊性，如何设计并建设一个技术先进、安全高效、可靠可控的涉密信息系统，成为安全保密建设至关重要的问题。

２　安全保密规划设计要点

在进行安全保密规划设计时，应准确把握两个要点：一是应掌握国家关于涉密信息系统安全保密方面的有关政策，二是明确安全保密建设内涵。

２.1  准确掌握国家政策

涉密信息系统涉及国家秘密，关系到国家利益和安全。国家对涉密信息系统建设十分重视，并出台了一系列的政策法规、管理制度和技术标准，用以规范和指导涉密信息系统建设。国家在涉密信息系统建设方面，比较强调信息安全等级保护和安全风险管理。

实行信息安全等级保护是国家信息安全工作的一项重要举措，有利于重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。涉密信息系统实行等级划分，有利于国家对涉密信息系统的管理。涉密信息系统等级划分需按照国家关于涉密计算机信息系统等级划分指南，结合本单位实际情况进行涉密信息系统定级。

风险管理贯穿于涉密信息系统建设整个生命周期。信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面。尤其是在技术体系方面，需要采用信息安全风险管理的方法加以控制。风险管理依据等级保护的思想和适度安全的原则，平衡成本与效益，合理部署和利用信息安全的信任体系、监控体系和应急处理等重要基础设施，确定合适的安全技术措施，从而确保信息安全保障能力建设的成效。

２.2  明确安全保密建设内涵

在规划设计涉密信息系统时，除应准确掌握国家政策之外，还应明确安全保密建设内涵。涉密信息系统除了技术先进、实用可靠等特点外，还包涵了安全保密。

涉密信息系统的安全保密建设包括三方面：一是技术安全体系建设；二是管理安全体系建设；三是运行保障安全体系建设。其中，技术安全体系设计和建设是关键和重点。

确定涉密信息系统建设内涵，应注重：国家关于涉密信息系统的技术标准和管理要求；单位所属的行业特性及自身的业务特点；投资和建设规模；当前的技术发展趋势及应用成熟度。

在涉密系统规划设计时，应做到准确领会和把握国家关于涉密信息系统安全保密政策，明确信息系统安全保密建设内涵，把保障国家秘密安全和单位生产和经营信息安全作为涉密信息系统建设的指导思想。按照国家关于涉密信息系统定级指南进行准确定级。在系统具体建设中，尤其是在技术体系建设中，强化风险管理，采取防病毒、***检测、身份认证、主机审计以及防火墙等切实有效的技术防范措施，保证技术体系的建设效果。

３ 技术体系建设要点

按照信息系统的层次划分，涉密信息系统安全保密建设技术体系包括物理层安全、网络安全、平台安全、应用安全以及用户终端安全等内容。

３.1  物理层安全

物理层的安全设计应从三个方面考虑：环境安全、设备安全、线路安全。采取的措施包括：机房屏蔽，电源接地，布线隐蔽，传输加密。对于环境安全和设备安全，国家都有相关标准和实施要求，可以按照相关要求具体开展建设。以下重点讨论布线系统安全。

布线系统处于整个涉密信息系统的最底层，负责涉密信息的传输，该层的安全性要求较高。布线系统除了传输速度有要求外，还要求具有抗干扰性、抗窃听性等。

单模光纤技术是几种传输介质中技术最先进、传输速度最快、安全保密性最好的一种。从长远考虑，在投资经费允许的情况下，单模光纤是涉密信息系统布线设施的首要选择。选择单模光纤线路作为传播载体，不仅在主干线路做到光纤传输，而且实现单模光纤到桌面。从而，可以杜绝涉密信息因传输而引起的泄露、被干扰、被窃听的安全保密性问题，确保综合布线安全。

３.2  网络安全

对于网络层安全，不论是安全域划分还是访问控制，都与网络架构设计紧密相关。网络架构设计是网络层设计主要内容，网络架构的合理性直接关系到网络层安全。网络架构设计需要做到：统筹考虑涉密信息系统系统安全等级、网络建设规模、业务安全性需求等；准确划分安全域（边界）；网络架构应有利于核心服务信息资源的保护；网络架构应有利于访问控制和应用分类授权管理；网络架构应有利于终端用户的安全管理。

网络层安全主要涉及网络安全域的合理划分问题，其中最重要的是进行访问控制。网络安全域划分包括物理隔离、逻辑隔离等，访问控制技术包括防火墙技术、身份认证技术、***检测技术等。

(1) 虚拟局域网（VLAN）技术及逻辑隔离措施逻辑隔离主要是利用VLAN技术将内部网络分成若干个安全级别不同的子网，有效防止某一网段的安全问题在整个网络传播^［1］。因此，对于一个网络，若某网段比另一个网段更受信任，或某网段安全保密性要求更高，就将它们划分在不同的VLAN中，可限制局部网络安全问题对全网造成影响。

(2) 身份认证技术及访问控制措施

身份认证技术即公共密钥基础设施（PKI），是由硬件、软件、各种产品、过程、标准和人构成的一体化的结构。PKI可以做到：确认发送方的身份；保证发送方所发信息的机密性；保证发送方所发信息不被篡改；发送方无法否认已发该信息的事实。PKI是一种遵循标准的密钥管理平台，它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理^［2］。构建PKI将围绕认证机关（CA）、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等五大系统。

(3) ***检测技术（IDS）及产品

IDS通过从计算机网络系统中若干关键节点收集信息并加以分析，监控网络中是否有违反安全策略的行为或者是否存在***行为。它能提供安全审计、监视、***识别和反***等多项功能，并采取相应的行动，如断开网络连接、记录***过程、跟踪***源、紧急告警等，是安全防御体系的一个重要组成部分。

(4) 防火墙技术及产品

防火墙是实现网络信息安全的最基本设施，采用包过滤或代理技术使数据有选择的通过，有效监控内部网和外部网之间的任何活动，防止恶意或非法访问，保证内部网络的安全。从网络安全角度上讲，它们属于不同的网络安全域。根据提供信息查询等服务的要求，为了控制对关键服务器的授权访问，应把服务器集中起来划分为一个专门的服务器子网（VLAN），设置防火墙策略来保护对它们的访问。

基于上述网络层安全设计思路，采用核心服务器区和用户终端区的体系结构，将两个区域进行逻辑隔离，严格保护核心服务器资源。在网络层，将核心服务器群和终端用户群划分在不同的VLAN中，VLAN之间通过交换机进行访问控制。在核心服务器区和用户终端区之间放置防火墙，实现不同安全域之间的安全防范。网络技术体系结构如图1所示。

该技术体系对终端用户采取严格的实名制。每位终端用户配置一个用于身份认证的USB KEY（一个存放密钥证书的加密设备），USB KEY里存放用户唯一身份信息。在规划安全技术服务器时，考虑网络情况及安全保密需求，将安全技术服务器放在用户终端区的某一VLAN，便于对终端用户进行安全保密管理。

图1  涉密信息系统网络技术体系结构图

上述网络技术体系具有如下优点：

(1) 安全保密防范有效。通过将各类数据库服务器和应用服务器集中地存放于核心服务器区，以便于对核心服务器资源进行集中管理，同时又能有效地将未授权用户拒之门外，确保涉密信息的安全保密。

(2) 技术体系结构可扩展。身份认证服务器和代理服务器，在整个涉密信息系统中处于关键地位。随着终端用户数量的增加，在实际使用中会产生访问并发瓶颈问题。基于此体系结构的网络模式，可通过增加认证服务器或安全代理服务器数量予以解决。

(3) 用户使用灵活方便。在该体系结构中，终端用户是通过USB KEY去获取系统认证和代理服务的。终端用户只要拥有合法有效的USB KEY，在任何联网的终端机器上都能访问核心服务器资源，这样即不受用户空间位置的限制，又可以使用户方便使用。

３.３  平台安全

涉密信息系统平台安全包括操作系统安全和数据库安全。服务器包括数据库服务器、应用服务器、Web服务器、代理服务器、Email服务器、防病毒服务器、域服务器等，应采用服务器版本的操作系统。典型的操作系统有：IBM AIX、SUN Solaris、HP Unix、Windows NT Server、Windows2000 Server、Windows2003 Server。网管终端、办公终端可以采用通用图形窗口操作系统，如Windows XP等。

(1) 操作系统加固

Windows操作系统平台加固通过修改安全配置、增加安全机制等方法，合理进行安全性加强，包括打补丁、文件系统、帐号管理、网络及服务、注册表、共享、应用软件、审计/日志，其他（包括紧急恢复、数字签名等）。

Unix操作系统平台加固包括：补丁、文件系统、配置文件、帐号管理、网络及服务、NFS系统、应用软件、审计/日志，其他（包括专用安全软件、加密通信，及数字签名等）。

(2) 数据库加固

数据库加固包括：主流数据库系统（包括Oracle、SQL Server、Sybase、MySQL、Informix）的补丁、账号管理、口令强度和有效期检查、远程登陆和远程服务、存储过程、审核层次、备份过程、角色和权限审核、并发事件资源限制、访问时间限制、审核跟踪、特洛依***等。

在平台选择上应考虑：建设规模、投资预算情况、平台安全性、平台稳定性、平台效率、业务应用需求等。在实际建设中，建议选择Unix平台和 Oracle数据库管理系统。

３.4  应用安全

应用层安全的目标是建立集中的应用程序认证与授权机制，统一管理应用系统用户的合法访问。建立统一的信息访问入口和用户管理机制，实现基于PKI的单点登录功能（SSO）为用户提供极大的方便，也能实现应用系统内容的集中展现，保证应用和数据安全^［2］。应用安全问题包括信息内容保护和信息内容使用管理。

(1) 信息内容保护

系统分析设计时，须充分考虑应用和功能的安全性。对应用系统的不同层面，如表现层、业务逻辑层、数据服务层等，采取软件技术安全措施。同时，要考虑不同应用层面和身份认证和代理服务器等交互。

数据加密技术。通过采用一定的加密算法对信息数据进行加密，可提高信息内容的安全保密性。

防病毒技术。病毒是系统最常见、威胁最大的安全隐患。对涉密信息系统中关键的服务器，如应用服务器、数据服务器等，应安装网络版防病毒软件客户端，由防病毒服务器进行集中管理。

(2) 信息内容管理

采用身份认证技术、单点登录以及授权对各种应用的安全性增强配置服务来保障涉密信息系统在应用层的安全。根据用户身份和现实工作中的角色和职责，确定访问应用资源的权限。应做到对用户接入网络的控制和对信息资源访问和用户权限进行绑定。

单点登录实现一次登录可以获得多个应用程序的访问能力。在提高系统访问效率和便捷方面扮演重要角色。有助于用户账号和口令管理，减少因口令破解引起的风险。

门户系统（内部网站）作为企业访问集中入口。用户可通过门户系统访问集成化的各个应用系统。

(3) 建立数据备份和恢复机制

建立数据备份和恢复系统，制定备份和恢复策略，系统发生故障后能较短时间恢复应用和数据。

３.5  终端安全

加强涉密信息系统终端安全建设和管理应该做到如下几点：

(1) 突出防范重点

安全保密建设应把终端安全和各个层面自身的安全放在同等重要的位置。在安全管理方面尤其要突出强化终端安全。终端安全的防范重点包括接入网络计算机本身安全及用户操作行为安全。

(2) 强化内部审计

对涉密信息系统来说，如果内部审计没有得到重视，会对安全保密造成较大的威胁。强化内部审计不但要进行网络级审计，更重要是对内网里用户进行审计。

(3) 技术和管理并重

在终端安全方面，单纯的技术或管理都不能解决终端安全问题，因为终端安全与每个系统用户相联系。通过加强内部安全保密管理以提高终端用户的安全保密意识；通过加强制度建设，规范和约束终端用户的操作行为；通过内部审计软件部署审计规则，对用户终端系统本身和操作行为进行控制和审计，做到状态可监控，过程可跟踪，结果可审计。从而在用户终端层面做到涉密信息系统安全保密。

４  运行管理要点

涉密信息系统安全保密建设完成后，应建立运行管理体系才能使信息系统真正能安全、高效运行，发挥应有的作用。运行管理方面的要点包括组织机构、监控体系及管理制度等三方面。

４.1  组织机构

按照涉密信息系统安全保密的要求，建立安全保密运行管理领导机构和工作机构。建立涉密信息系统“三员”管理制度，即设立信息系统管理员、系统安全员、系统密钥员，负责系统安全运行维护和管理，为涉密信息系统安全运行提供组织保障。

４.2  监控体系

监控体系包括监控策略、监控技术措施等。在涉密信息系统运行管理中，需要制定有效的监控策略，采用多种技术措施和管理手段加强系统监控，从而构建有效的监控体系，保障系统安全运行。

４.3  管理制度

加强涉密信息系统运行维护制度建设，是保障系统的安全运行的关键。制定的运行维护管理制度应包括系统管理员工作职责、系统安全员工作职责、系统密钥员工作职责、涉密信息系统安全管理制度等安全运行维护制度。

 

参考文献：

[1] 阙喜戎, 孙悦, 等. 信息安全原理及应用. 北京:清华大学出版社, 2003.

[2] 张仕斌, 等. 网络安全技术. 北京:清华大学出版社, 2004.