企業局域網的保密工作介紹

減小字體

增大字體

★ 我國的計算機網絡，特別是廳域網技術發展為迅速，許多大專院校、科研院所以及銀行、公安、郵電、鐵路、石油等部門都建立了自己的廳域網，但在實際運作中，由于一些網絡是沒有保密措施的“裸網”，用戶不敢在網上處理涉密信息，使網絡的作用得不到充分發揮。因此，開發和運用有效的廳域網保密措施，樹起堅實的保密防護網，無論現在還是將來都具有十分突出的現實意義。

廳域網信息的保密

　　計算機廳域網由信息(存儲在計算機及其外部設備上的程序及數據)和實體兩大部分組成，信息泄露是廳域網的主要保密隱患之一。所謂信息泄露，就是被故意或偶然地偵收、截獲、竊取、分析、收集到系統中的信息，特別是秘密信息和敏感信息，從而造成泄密事件。廳域網在保密防護方面有三點脆弱性：一是數據的可訪問性。數據信息可以很容易被終端用戶拷貝下來而不留任何痕跡。二是信息的聚生性。當信息以零散形式存在時，其價值往往不大，一旦網絡將大量關聯信息聚集在一起時，其價值就相當可觀了。三是設防的困難性。盡管可以層層設防，但對一個熟悉網絡技術的人來說，下些功夫就可能突破這些關卡，給保密工作帶來極大的困難。
　　從某種意義上可以說，網絡的生命在于其保密性。根據近幾年的實踐和保密技術發展的要求，計算機廳域網的保密防范應從以下四個方面入手：
　　（1）充分利用網絡操作系統提供的保密措施。某些用戶對網絡的認識不足，基本不用或很少使用網絡操作系統提供的保密措施，從而留下隱患。其實，一般的網絡操作系統都有相應的保密措施，以美國Novell公司的網絡操作系統NetWare為例，它提供的四級保密措施：第一級是入網保密。用戶入網時，必須按用戶名進行登錄注冊。使用網絡信息資源的用戶,必須準確申報自己的用戶名,否則將被網絡拒之門外。第二級是設置目錄和文件訪問權限。訪問權限是對用戶訪問目錄和文件的合法范圍的規定，以控制用戶只能操作什么樣的目錄和文件。準確地劃分網絡信息的涉密等級、范圍和涉密人員，需要網絡管理員和保密人員協同工作。第三級是文件和目錄的屬性保密。屬性直接控制對文件或目錄的訪問特性。屬性的訪問控制高于文件、目錄的有效訪問權限，可以禁止有效訪問權限所允許的操作。NetWare提供的主要屬性控制有：防止對目錄和文件的刪除；不允許查看目錄和文件；禁止對文件進行拷貝；禁止對文件的寫操作；控制對文件是否共享；防止文件修改時被破壞；標記被修改過的文件等。第四級是文件服務器的安全保密。即控制臺鍵盤可以加口令封鎖，防止非法闖入者以超級用戶身份瀏覽網絡信息。
　　（2）加強數據庫的信息保密防護。網絡中的數據組織形式有文件和數據庫兩種。文件組織形式的數據缺乏共享性，現已成為網絡存儲數據的主要形式。由于操作系統對數據庫沒有特殊的保密措施，而數據庫的數據以可讀的形式存儲其中，所以數據庫的保密需采取另外的方法。
　　（3）采用現代密碼技術，加大保密強度。借助現代密碼技術對數據進行加密，將重要秘密信息由明文變為密文。
　　（4）采用防火墻技術，防止廳域網與外部網連通后秘密信息的外泄。廳域網安全的保密方法莫過于不與外部聯網（國家規定涉及國家秘密的廳域網不得與外部聯網），但除了一些重點單位和要害部門，廳域網與廣域網的連接是大勢所趨。防火墻是建立在廳域網與外部網絡之間的電子系統，用于實現訪問控制，即阻止外部入侵者進入廳域網內部，而允許廳域網內部用戶訪問外部網絡。

廳域網實體的保密

　　廳域網實體是指實施信息收集、傳輸、存儲、加工處理、分發和利用的計算機及其外部設備和網絡部件。它的泄密渠道主要有四個：
　　（1）電磁泄露。計算機設備工作時輻射出電磁波，任何人都可以借助儀器設備在一定范圍內收到它，尤其是利用高靈敏度的儀器可以穩定、清晰地看到計算機正在處理的信息。另外，網絡端口、傳輸線路等都有可能因屏蔽不嚴或未加屏蔽而造成電磁泄露。實驗表明，未加控制的電腦設施開始工作后，用普通電腦加上截收裝置，可以在一千米內抄收其內容。
　　（2）非法終端。非法用戶有可能在現有終端上并接一個終端，或趁合法用戶從網上斷開時乘機接入，使信息傳到非法終端。
　　（3）搭線竊取。廳域網與外界連通后，通過未受保護的外部線路，可以從外界訪問到系統內部的數據，而內部通訊線路也有被搭線竊取信息的可能。
　　（4）介質的剩磁效應。存儲介質中的信息被擦除后有時仍會留下可讀信息的痕跡。另外，在大多數的信息系統中，刪除文件僅僅是刪掉文件名，而原文還原封不動地保留在存儲介質中，一旦被利用，就會泄密。
　　對廳域網實體，采取的相應保密措施一般有以下三種：一是防電磁泄露措施。如選用低輻射設備。顯示器是計算機保密的薄弱環節，而竊取顯示的內容已是一項“成熟”的技術，因此，選用低輻射顯示器十分必要。此外，還可以采用距離防護、噪聲干擾、屏蔽等措施，把電磁泄露抑制到低限度。二是定期對實體進行檢查。特別是對文件服務器、光纜(或電纜)、終端及其他外設進行保密檢查，防止非法侵入。三是加強對網絡記錄媒體的保護和管理。如對關鍵的涉密記錄媒體要有防拷貝和信息加密措施，對廢棄的磁盤要有專人銷毀等。