軍工企業(yè)網(wǎng)絡(luò)安全技術(shù)研究綜述

（航天人才 北京 100830）

目前，軍工企業(yè)普遍使用計(jì)算機(jī)進(jìn)行科研設(shè)計(jì)和生產(chǎn)工作，同時(shí)，為了滿足科研生產(chǎn)的需要，軍工企業(yè)也建立了面向企業(yè)內(nèi)部的局域網(wǎng)和必要的外部互聯(lián)網(wǎng)接口。計(jì)算機(jī)網(wǎng)絡(luò)的構(gòu)建大大促進(jìn)了科研生產(chǎn)的進(jìn)度，使我國(guó)的軍事裝備不斷發(fā)展創(chuàng)新，增強(qiáng)了我國(guó)的國(guó)防力量。但隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，來(lái)自網(wǎng)絡(luò)安全方面的問題也日益嚴(yán)重，由此造成的失泄密事件也時(shí)有發(fā)生。因此，軍工企業(yè)的網(wǎng)絡(luò)安全問題一直是計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)研究的重點(diǎn)內(nèi)容。

本文對(duì)我國(guó)軍工企業(yè)網(wǎng)絡(luò)安全研究的現(xiàn)狀、內(nèi)容及解決措施進(jìn)行了簡(jiǎn)要概述，并對(duì)各種解決方法進(jìn)行了比較。最后，對(duì)我國(guó)軍工企業(yè)網(wǎng)絡(luò)安全的發(fā)展做了簡(jiǎn)要總結(jié)。

1 軍工企業(yè)網(wǎng)絡(luò)安全研究?jī)?nèi)容及現(xiàn)狀

近年來(lái)，各軍工廠所都建立了各自的內(nèi)部網(wǎng)絡(luò)和專用的外部互聯(lián)網(wǎng)絡(luò)。軍工企業(yè)網(wǎng)絡(luò)技術(shù)普及的同時(shí)也為軍工企業(yè)的保密工作提出了更高的要求，從最初的對(duì)人員保密安全教育發(fā)展到對(duì)信息安全技術(shù)的提高。

軍工企業(yè)作為我國(guó)國(guó)防科工委的下屬單位，其進(jìn)行的科研生產(chǎn)項(xiàng)目都是國(guó)家的保密項(xiàng)目，一旦某個(gè)環(huán)節(jié)發(fā)生失泄密事件，將對(duì)我國(guó)的國(guó)防外交造成潛在的危害和惡劣的影響。所以保密工作是軍工企業(yè)各項(xiàng)工作中極其重要的一部分。

1.1 軍工企業(yè)網(wǎng)絡(luò)安全面臨的問題

目前，我國(guó)軍工企業(yè)網(wǎng)絡(luò)安全面臨的問題主要集中在以下幾方面：

（1）人員的保密安全意識(shí)不強(qiáng)[1]

人員因素是造成失泄密首要因素。現(xiàn)今軍工科研生產(chǎn)相關(guān)人員大多使用計(jì)算機(jī)進(jìn)行科研生產(chǎn)工作，個(gè)別人員在涉密信息的產(chǎn)生、交換、處理上保密意識(shí)淡薄，導(dǎo)致失泄密事件的發(fā)生。更有極個(gè)別人員借工作便利有意竊取、泄露國(guó)家秘密，致使我國(guó)的科研工作遭受不利影響。

（2）保密及網(wǎng)絡(luò)管理部門保密措施不完善

這里的措施不完善包括兩個(gè)方面：一是制度的不完善，在對(duì)涉密人員進(jìn)行保密教育、檢查及日常行為準(zhǔn)則方面要求的不夠嚴(yán)格；二是對(duì)計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備的管理及安全防范措施不完善。

1.2 軍工企業(yè)網(wǎng)絡(luò)安全研究的內(nèi)容

現(xiàn)階段我國(guó)軍工企業(yè)網(wǎng)絡(luò)安全研究主要集中在以下幾個(gè)方面：

1.2.1 網(wǎng)絡(luò)安全保密制度

（1）人員的保密安全教育[2]；

（2）入網(wǎng)審批制度；

（3）計(jì)算機(jī)及網(wǎng)絡(luò)信息交換設(shè)備使用規(guī)定；

（4）涉密信息的產(chǎn)生、交換、處理規(guī)定。

1.2.2 網(wǎng)絡(luò)安全防護(hù)技術(shù)措施[3]

（1）網(wǎng)絡(luò)終端的安全防護(hù)技術(shù)措施；

（2）網(wǎng)絡(luò)設(shè)備的安全防護(hù)技術(shù)措施；

（3）網(wǎng)絡(luò)安全的審計(jì)與監(jiān)督。

2 軍工企業(yè)網(wǎng)絡(luò)安全技術(shù)

本文主要對(duì)軍工企業(yè)網(wǎng)絡(luò)安全的技術(shù)研究作探討，軍工企業(yè)網(wǎng)絡(luò)安全其他方面（如制度、管理規(guī)定等）的研究在此不作重點(diǎn)討論。

根據(jù)對(duì)軍工企業(yè)網(wǎng)絡(luò)安全研究的現(xiàn)狀分析，本文對(duì)軍工企業(yè)網(wǎng)絡(luò)安全的技術(shù)措施作了以下綜述性研究。

2.1 物理隔離技術(shù)

本地涉密計(jì)算機(jī)上存儲(chǔ)著重要的科研生產(chǎn)涉密信息，在沒有實(shí)現(xiàn)本地計(jì)算機(jī)與外部互聯(lián)網(wǎng)物理隔離的情況下，一些有意竊取、攻擊本地計(jì)算機(jī)的人員很可能對(duì)本地計(jì)算機(jī)造成傷害。尤其使涉密資料遭受破壞或被竊取。

為此，涉密計(jì)算機(jī)必須從根源上隔斷與外部網(wǎng)絡(luò)的連接[4]。實(shí)現(xiàn)物理隔離的技術(shù)措施包含以下幾個(gè)方面：

（1）本地計(jì)算機(jī)電源采用紅黑隔離電源

紅黑隔離電源是一種具有隔離屏蔽作用的插座，是為本地計(jì)算機(jī)配備的專用插座。該插座只允許本地涉密終端連接供電，一旦有其他未知電子設(shè)備（如無(wú)線及電子信息存儲(chǔ)設(shè)備）連接到該電源上，該隔離電源會(huì)屏蔽外接電子設(shè)備的信息交互行為。

（2）拆除光驅(qū)、USB 等外部連接端口

本地涉密計(jì)算機(jī)實(shí)現(xiàn)物理隔離的另一項(xiàng)重要措施是切斷本地計(jì)算機(jī)與外部信息交互的接口（合規(guī)要求接口除外）。為了防止涉密資料從本地計(jì)算機(jī)通過硬件拷貝手段流失，涉密計(jì)算機(jī)在使用審批前就要將光驅(qū)、無(wú)線網(wǎng)卡、多余的USB 端口進(jìn)行拆除處理，本地計(jì)算機(jī)僅保留必要的網(wǎng)卡及用于身份認(rèn)證的USB 端口。

2.2 信息綁定技術(shù)

本地涉密計(jì)算機(jī)入網(wǎng)（內(nèi)部局域網(wǎng)）實(shí)行入網(wǎng)申請(qǐng)審批制度，網(wǎng)絡(luò)管理部門要對(duì)入網(wǎng)的用戶基本信息（用戶名、ID、所屬部門等）、計(jì)算機(jī)基本信息（標(biāo)識(shí)碼、處理器、操作系統(tǒng)類型、網(wǎng)卡信息等）和網(wǎng)絡(luò)綁定信息（ip、網(wǎng)絡(luò)接入端口、操作權(quán)限等）進(jìn)行詳細(xì)登記。

這里需要特別說(shuō)明的是，每一臺(tái)涉密計(jì)算機(jī)接入內(nèi)網(wǎng)的ip 地址是網(wǎng)絡(luò)管理部門為其分配的固定的ip，并與入網(wǎng)人員的基本信息進(jìn)行綁定，實(shí)行一人一機(jī)，固定人員、固定地點(diǎn)登錄[5]。這樣既有利于本地計(jì)算機(jī)的管理，也便于對(duì)本地計(jì)算機(jī)進(jìn)行實(shí)時(shí)監(jiān)測(cè)控制。

2.3 身份認(rèn)證技術(shù)

目前，涉密人員登錄本地計(jì)算機(jī)一般采用硬件密鑰與口令相結(jié)合的方式。

硬件密鑰（通常是Ukey）是指計(jì)算機(jī)進(jìn)入操作系統(tǒng)時(shí)需要認(rèn)證的密碼存儲(chǔ)設(shè)備，認(rèn)證正確才能登入操作系統(tǒng)。首先通過 PKI 系統(tǒng)生成用戶的私鑰存儲(chǔ)在UKey 中，然后將對(duì)應(yīng)的用戶登錄密碼及聯(lián)網(wǎng)密碼存儲(chǔ)在與該密鑰對(duì)應(yīng)的計(jì)算機(jī)特定位置上[6]。

計(jì)算機(jī)口令采取兩級(jí)口令方式，即Bios 口令和操作系統(tǒng)登入口令。計(jì)算機(jī)口令只能由操作該計(jì)算機(jī)的本人設(shè)置和知悉，同時(shí)為了防止破譯，密碼的設(shè)置不允許是簡(jiǎn)單的純數(shù)字或純字母形式。

用戶每次登錄計(jì)算機(jī)時(shí)，均需要先插入硬件UKey，然后輸入Bios口令，計(jì)算機(jī)認(rèn)證正確后運(yùn)行Windows 登入程序，用戶需再次輸入Windows 登錄密碼，計(jì)算機(jī)認(rèn)證Ukey 信息和登錄密碼均正確才能登錄操作系統(tǒng)。

此種兩級(jí)密碼加硬件Ukey的身份認(rèn)證方式大大降低了計(jì)算機(jī)被非法用戶入侵的可能，增強(qiáng)了涉密計(jì)算機(jī)的安全性。

2.4 日志及審計(jì)技術(shù)

軍工單位根據(jù)涉密人員的職責(zé)權(quán)限及工作內(nèi)容的不同，對(duì)涉密人員可操作的涉密信息內(nèi)容實(shí)行分級(jí)管理。涉密網(wǎng)絡(luò)在對(duì)人員進(jìn)行權(quán)限設(shè)置時(shí)，只對(duì)與操作權(quán)限相對(duì)應(yīng)的模塊進(jìn)行授權(quán)。

涉密資料的產(chǎn)生包括電子資料及紙質(zhì)資料。對(duì)于電子資料，刻錄光盤需進(jìn)行集中刻錄，刻錄機(jī)對(duì)刻錄的信息進(jìn)行記錄并存檔。紙質(zhì)資料的產(chǎn)生同樣進(jìn)行集中打印，打印機(jī)系統(tǒng)對(duì)打印的信息進(jìn)行記錄并存檔。

在涉密信息交換時(shí)，涉密郵件必須標(biāo)明相應(yīng)密級(jí)，涉密郵件在內(nèi)網(wǎng)或?qū)＞W(wǎng)之間傳送時(shí)，網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng)實(shí)時(shí)檢測(cè)涉密信息內(nèi)容及操作情況[7]。

2.5 網(wǎng)絡(luò)監(jiān)督及防護(hù)技術(shù)

網(wǎng)絡(luò)監(jiān)督和防護(hù)包括涉密信息流轉(zhuǎn)和外部入侵監(jiān)控兩方面內(nèi)容。

一是涉密信息流轉(zhuǎn)監(jiān)控。軍工企業(yè)內(nèi)部建立實(shí)時(shí)網(wǎng)絡(luò)監(jiān)控系統(tǒng)，對(duì)涉密信息的流轉(zhuǎn)進(jìn)行日志記錄和審計(jì)。本地計(jì)算機(jī)通過內(nèi)網(wǎng)或?qū)＞W(wǎng)對(duì)涉密信息進(jìn)行流轉(zhuǎn)時(shí)，網(wǎng)絡(luò)監(jiān)控系統(tǒng)會(huì)對(duì)涉密信息流轉(zhuǎn)的路徑和內(nèi)容進(jìn)行監(jiān)控，一旦發(fā)現(xiàn)有可疑現(xiàn)象，監(jiān)控系統(tǒng)立即對(duì)該信息進(jìn)行攔截，并向信息管理部門發(fā)出報(bào)警。

二是外部入侵監(jiān)控。針對(duì)外部入侵的威脅，每一臺(tái)本地涉密計(jì)算機(jī)都要安裝病毒查殺及監(jiān)測(cè)軟件。同時(shí)，網(wǎng)絡(luò)安全防護(hù)系統(tǒng)對(duì)外部惡意攻擊進(jìn)行實(shí)時(shí)監(jiān)測(cè)和攔截[8]。

2.6 各技術(shù)措施的比較

本地計(jì)算機(jī)物理隔離是從物理隔離角度采取的措施，其技術(shù)實(shí)施難度低，易于操作；涉密計(jì)算機(jī)入網(wǎng)對(duì)用戶、本地計(jì)算機(jī)及ip 等進(jìn)行綁定是控制用戶網(wǎng)絡(luò)操作權(quán)限的一項(xiàng)重要措施；身份認(rèn)證技術(shù)使得特定用戶登錄指定的計(jì)算機(jī)，規(guī)范了計(jì)算機(jī)的使用和管理，能夠有效防止惡意竊取、修改涉密信息的行為；涉密信息的產(chǎn)生、交換所采取的監(jiān)測(cè)及自動(dòng)登記措施，能夠有效規(guī)范涉密信息的流轉(zhuǎn)，防止涉密信息的泄露；網(wǎng)絡(luò)監(jiān)督防護(hù)措施能夠防止內(nèi)部涉密信息違規(guī)流轉(zhuǎn)和外部惡意攻擊。

上述網(wǎng)絡(luò)安全技術(shù)措施從不同方面對(duì)軍工企業(yè)網(wǎng)絡(luò)安全進(jìn)行了防護(hù)，幾種措施的結(jié)合使用能夠極大提高軍工企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性。

3 結(jié)束語(yǔ)

本文介紹了近年來(lái)我國(guó)軍工企業(yè)網(wǎng)絡(luò)安全的現(xiàn)狀及網(wǎng)絡(luò)安全研究的內(nèi)容，并對(duì)具體的網(wǎng)絡(luò)安全技術(shù)進(jìn)行了分析、比較。軍工企業(yè)網(wǎng)絡(luò)安全技術(shù)的重要性不言而喻，更為先進(jìn)智能的網(wǎng)絡(luò)安全技術(shù)也不斷取得新突破，如近年來(lái)興起的分布式網(wǎng)絡(luò)入侵檢測(cè)技術(shù)及智能網(wǎng)絡(luò)監(jiān)測(cè)技術(shù)，這些技術(shù)一旦成熟也將逐步應(yīng)用到軍工網(wǎng)絡(luò)安全工程中來(lái)。