涉密信息系统分级保护建设中几个常见问题分析.doc

资源描述

《涉密信息系统分级保护建设中几个常见问题分析.doc》由会员分享，可在线阅读，更多相关《涉密信息系统分级保护建设中几个常见问题分析.doc（5页珍藏版）》请在三一办公上搜索。

1、术天地T e c h n o l o g y W o r l d 涉密信息系统分级保护建设中几个常见问题分析杨宏宁1 乐伟刚21国家保密科技测评中心 2中国兵器工业集团公司1 引言几个端口划分为一个VLA N。由于涉密单位的同一业务部门往往处于同一楼层并使用同一网络交换设备，因此这种划分方式可以较好地将不同业务部门分开。但是应该注意的是，VLA N只是支撑保密管理的技术手段，而保密管理的目的是实现信息知悉范围的最小化和合理化。在碰到涉密信息仅供本部门有限人员知晓或需要其他部门部分人员知晓等较为特殊的情况时，只是将业务部门作为划分VLAN的考虑因素就难以实现信息知悉范围的精确控

2、制。遇到这种情况，网络管理人员有必要与业务人员深入沟通，综合采用不同的 V LAN 划分技术实现精确控制，或者提供其他网络层或应用层解决方案。 2 0 0 7 年，由公安部、国家保密局、国家密码管理局、国务院信息化工作办公室共同制定并发布了信息安全等级保护管理办法，确定了我国实行信息安全等级保护制度，其中涉密信息系统的等级保护也称为分级保护。根据分级保护要求，涉密单位应依据国家保密标准和规定的有关要求开展涉密信息系统的设计、建设、测评、审批和日常运行管理等工作。实践中，难免会遇到分级保护标准规定如何与复杂的现实情

3、况相结合的问题。本文根据作者参与分级保护有关工作的经验，就一些常见问题进行分析。 3 802.1X 协议的使用2 VLAN 技术的使用8 0 2 .1 X协议是基于Clie nt /Serv e r的访问控制和认证协议，它可以限制未经授权的用户或设备通过接入端口访问网络。由于分级保护标准中对涉密网络的接入控制提出了明确要求，因此能够提供基于端口网络接入控制的8 02 .1 X协议正日益广泛地被用于涉密网络管理。但8 02 .1 X 协议在端口认证模式下，存在只要连接到端口的某个设备通过认证，其他设备不需要认证， VLAN（Virt ual Local Area Net work

4、，虚拟局域网）技术是目前网络管理中广泛采用的一种控制技术，通过它来防范广播风暴、提高网络安全性和降低网络管理成本。划分VLA N可以基于端口、基于 MAC 地址、基于网络或基于规则。在分级保护工作中，各涉密单位往往采用基于端口的VLA N划分方式，把一个或多个交换机上的技术天地T e c h n o l o g y W o r l d 就可以访问网络资源的特点，这可能导致非授权用户搭接设备访问涉密网络数据。因此，涉密网络中使用8 0 2.1 X协议时应结合网络实际进行优化，例如采用M A C认证模式，或结合M A C、端口、IP等绑定技术。保护建设实践中，

5、由于对安全域的概念区分不清，一些集成单位在进行方案设计时仅仅按照物理地点划分安全域，忽视了涉密网络自身安全架构、应用模型和管理方式等对于划分安全域的重要作用。事实上，分级保护系列标准中提到两种安全域。一种是从涉密网络建设和管理角度提出的安全域，具体指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络，且相同的安全域共享一样的安全策略，此种安全域主要通过防火墙、路由器或交换机等设备来划分。另一种是涉及国家秘密的信息系统分级保护测评指南中从测评角度提出的安全域，具体指测评

6、机构按照实际测评工作需要划分的不同测评范围，主要根据系统的地理位置来划分。在将涉密网络划分为若干个安全域进行检测后，分别给出各安全域的得分，涉密网络的得分取各安全域中最低的得分。在从测评角度划分安全域时，既要满足实际测评工作的需要，又要兼顾涉密网络自身的安全架构、应用模型和管理方式，避免因测评范围划分不合理给检测结论的科学性带来不利影响。作为建设和使用单位，要正确认识分级保护工作中安全域的有关概念和使用场合，只有正确合理地划分安全域，才能为整个涉密信息系统的分级分域控制打好基础。 4

7、网络设备与安全保密设备的远程管理随着分级保护工作逐步向大型广域网络推进，对涉密信息系统中网络设备与安全保密设备进行远程管理，几乎已成为了运维管理部门的必然选择。但是，通过网络进行远程管理，在方便设备管理人员的同时，也方便了网络中非授权人员对这些设备管理端口的访问。若非授权人员经过暴力破解管理口令等方式进一步获得网络设备或安全保密设备的管理权限，修改有关安全策略，则可能形成重大安全保密隐患。因此，对于远程管理的安全问题有必要加以重视，实施一些基础性的防范措施。常用的防范方法有：一是减少管理终端数量，并在被管理设备中绑定管理终端的 I P 地址；

8、二是在网络层将远程管理设备的管理地址放在一个独立网段，通过防火墙或交换机设置策略，禁止其他网段对其进行访问；三是采用安全的协议对信息传输进行保护，避免使用明文传输的T e lne t 等协议进行管理；四是关注网络设备和安全保密设备厂商的安全公告，及时安装有关补丁程序；五是加强对这些设备异常访问行为的监控审计，及时发现和堵塞安全漏洞。 6 信息的输入输出控制分级保护要求中明确规定涉密信息系统不应直接或间接与国际互联网及其他公共通信网络连接，必须实行物理隔离。但我国现在已经全面进入信息化时代，不同系统间的信息交流已成为了重要的时代特征和硬性需求，因此涉密信息系统

9、与其他系统间完全不进行信息交互非常难以实现。但现阶段作为信息流向控制基础的密级标志相关标准尚未发布，产品解决方案 5 安全域的划分合理划分的安全域，是整个涉密信息系统各项安全监控机制有效发挥作用、有效控制信息流向的基础，是涉密信息系统分级保护建设的基础性工作。要想使划分的安全域科学、合理，就必须深入分析系统的应用需求和安全需求，结合系统的网络结构进行划分。但在分级技术天地T e c h n o l o g y W o r l d 确定信息输出必要性能力的人员负责，往往这些人员都是某一级别的行政领导。例如，某一项临时任务需要向外输出信息，则应由对该临时任务负责的相关领导审批

10、，该领导有可能不是本部门的行政领导，这是因为审批主要确认的是信息输出的必要性，只有直接主管此工作的领导才能准确判断是否需要向外输出信息。因此，对于工作内容丰富、内部各部门存在职能交叉的单位，不完全适合按照行政部门指定审批人员，应结合工作内容指定审批人员或采用会签的审批方式。实践中，在行政管理部门，往往内容审查和审批均由业务部门领导担任，但在一些采用项目管理方式的部门或单位，行政领导未必同时负责具体的项目，此种情况就应重视内容审查和审批的区别，结合实际制定恰当的审查审批流程并确定相关负责人员。也没有推出，因此目前在物理隔离的情况下，涉密信息系统与其他网络之间如何进行

11、安全的信息交换成为了一个不易解决的现实问题，也是导致涉密信息泄露的重要安全保密隐患所在。实践中，关于信息的输入输出有着不同的做法，但所有方法的本质都是将信息从一个网络导入或导出到另一个网络，因此理论上不存在绝对安全的做法，只能说在不同条件下使用不同方法的风险各有不同，实践中需要结合涉密单位的具体情况选择，但不同的解决方案均有必要关注以下问题。 6.1 信息输入的单向性保密标准和规定中明确要求要采用单向导入的方式实现信息的输入。实践中，出现了通过中间机查杀病毒和木马程序后再刻录成光盘导入等操作方式。但如果连接涉密网络的输入终端自身的光驱具有刻录功能，则难以确保信息导入

12、的单向性。因此，实践中应注意使用只读光驱，对于只能使用可读写光驱的则应关闭输入终端的光驱刻录功能，更好的办法是使用涉密计算机及移动存储介质保密管理系统的单向导入装置。该装置通过将导入的信息变换成光信号，然后利用光信号的单向性从物理上完全实现了单向传输。 6.3 信息输出的集中控制与涉密、非涉密途径分开一些单位通过刻录光盘的方式实现信息输出，虽然也履行信息输出内容审查和审批管理，但实践证明，若信息输出的口子开得太多，就容易管不了、管不住。因此，有必要结合单位信息输出的客观需要，尽量减少信息输出的口子，实现相对集中的信息输出。同时，要考虑涉密与非涉密信息采用同一输出途径

13、存在的安全保密风险。如果采用同一台连接涉密网络的终端输出涉密和非涉密信息，则存在人为操作失误或被木马软件控制导致涉密信息被输出到非涉密存储介质的安全保密隐患。因此，可以考虑将涉密和非涉密信息通过不同终端输出。由于专用于输出非涉密信息的终端上仅有非涉密信息，因此即使出现误操作，也不太可能将涉密信息输出到非涉密存储介质。当然，无论采用何种实现方式，增加技术措施进行监控审计，增加管理措施加强输出控制都是不可缺少的。 6.2 信息输出的内容审查与审批根据工作需要，难以避免从涉密信息系统中将一些信息导出到涉密或非涉密网络使用。在从涉密网络输出信息时，尤其要注意进行严格的

14、内容审查和审批。内容审查，主要是由单位指定的、具备确定信息涉密属性能力的人员对拟输出信息涉密属性的确认。例如，业务内容的审查由熟悉该项业务工作的领导或其授权的人员来负责较为妥当，而不太适合由并不清楚业务工作的保密办或信息化等部门的人员进行内容审查。审批则主要是由单位指定的、具备技术天地T e c h n o l o g y W o r l d 7 安全保密管理制度的可操作性管理人员，而服务器操作系统和数据库系统维护的专业性强，往往全权委托给一名管理员负责。由于涉密信息集中在服务器上存储，导致服务器管理员可以轻易获得大量涉密信息。这一方面加大了服务器上涉密信息的安全风险；

15、另一方面若出现失泄密事件，服务器管理人员很难撇清责任。针对此问题，应采取必要措施加强涉密服务器的管理，如可以由两名管理员共同负责对涉密服务器的维护管理，每人掌握一部分口令，以实现相互监督，条件具备的还可以考虑增加服务器访问控制中间件或安全审计监控等技术手段。根据分级保护要求，涉密单位必须建立涉密信息系统安全保密管理制度体系。但实际情况是，大多数涉密单位的安全保密管理制度普遍缺乏可操作性，主要表现在以下几个方面：一是承担管理职责的主体不明确，如不知道具体谁来负责信息输出的审批；二是管理的对象或客体不明确，如不知道被纳入管理的存储介质是否包括移动硬盘；三是管理事项发

16、生的时间、频率或触发条件不明确，如不明确究竟是多长时间作一次涉密网络安全扫描；四是关键操作的流程不明确，如不知道离岗离职应如何消除个人在涉密网络上的权限；五是关键环节的审批等记录要求不明确，如只有申请审批事项的名称，缺少申请审批的理由。分级保护建设中，各个涉密单位有必要深入理解标准要求的实质，认真分析本单位的具体情况，建立分层次、可操作、有实效的安全保密管理制度体系。 9 结语本文对涉密信息系统分级保护建设工作中存在的部分常见问题进行了分析，个别问题还给出了实践中的一些解决方案，希望能够对有关涉密信息系统建设使用单位有所帮助。我国的分

17、级保护工作还在不断深入，实践中还有大量问题有待解决。本文只是抛砖引玉，希望保密战线的各位同仁多提意见，多加讨论，不断推动我 8 涉密服务器的管理国的分级保护工作。当前，各个涉密单位普遍缺乏安全保密链接动态主机配置协议DHCP介绍动态主机配置协议DHCP（Dynamic Host Configuration Protocol）是一个简化主机IP地址分配管理的TCP/IP标准协议，使网络管理员可以集中管理一个网络IP资源系统，对网络中的IP地址进行自动分配。DHCP免除了管理员人为分配和改变IP地址的工作，减少网络管理的工作量。DHCP可以动态地或永久地给主机分配IP地址，也可以回

18、收那些不用的或者分配使用时间到期的IP地址，从而这些地址可以再分配给其他用户使用。（信息来源：Introduction网络保密的关键技术与体系研究 / P 6随着信息化建设进程的不断推进，国家重要机关、单位计算机网络及各种办公自动化设备的应用范围逐步扩大。但是，通过近年来的保密检查发现，违反国家保密规定造成的网络信息泄密、窃密问题日益严峻，网络已成为泄密、窃密的主战场和主渠道。因而，开展网络保密关键技术与体系的研究成为当务之急。作者在对当前网络泄密隐患和保障国家信息安全的重要性进行分析的基础上，对今后开展网络保密关键技术和体系研究的方向提出了建议，并进行了展望。涉密信息系统分级保护建设

19、中几个常见问题分析 / P 9按照2007年发布的信息安全等级保护管理办法，我国对涉密信息系统实行信息安全分级保护。涉密单位应根据分级保护要求开展涉密信息系统的设计、建设、测评、审批和日常运行管理等工作。实践中，难免会遇到分级保护标准规定如何与复杂的现实情况相结合的问题。本文对涉密信息系统分级保护建设工作中存在的部分常见问题进行了分析，个别问题还给出了实践中的一些解决方案，希望能够对有关涉密信息系统建设使用单位有所帮助。浅析定密“五项基本原则”的四面体模型 / P 26科学定密是做好各项涉及国家秘密事项保密工作的前提和保障，改进定密工作思路和方法，完善定密模型和流程，提高定密的规范性和准

20、确性，是新形势下保密工作人员的研究重点之一。作者将保密管理应遵循的最小化、全程化、精准化、自主化和法制化五项基本原则运用到定密工作中，构建了一个定密工作的四面体模型。前四个原则分别作为一个方面，构成一种牢固的“四面体”模型，任何两个面都是牢牢牵引，相辅相成，不分主次，不可或缺的，而全程化原则就作为时间要素贯穿在整个涉密事项的生命周期。论保密管理专业的核心课程及教材建设 / P 43自2008年9月以北京电子科技学院、南京大学为首的保密管理专业开始招收首届本科生以来，我国的保密学科建设势头良好，成绩喜人。如今首届以保密管理专业身份招录的本科生即将毕业，全国的国家保密学院也扩展到10 家，形成“10+1+X”的总体布局。然而，作为跨学科的新兴专业，保密管理专业目前不仅面临着教材和师资力量短缺的问题，而且还面临着课程设置、核心课程体系亟待规范的问题。因此研究保密管理专业的核心课程建设已经成为迫在眉睫的问题，而教材建设也应该从核心课程的教材编写入手。导读

展开阅读全文