涉密信息系统分级保护

作者：魏刚

来源：《电子技术与软件工程》2016年第21期

        摘 要随着我国信息化建设的快速发展，信息安全的问题越来越受到人们的关注，涉密信息系统的安全性保障更是引起了国家的高度重视。本文针对当前涉密信息系统分级保护中存在的问题进行分析，并进一步提出解决问题的方案，以求提高涉密信息分级保护的效率与质量。

        【关键词】涉密信息 系统 分级保护

        最近几年我国信息化建设发展速度较快，涉密机械能系逐渐被运用到各行各业，例如：网络自动化办公、通信领域与信息管理等等方面。涉密信息系统顾名思义涉及到很多的保密信息与数据，需要采取数据加密的方式要加强对信息的保护与保密。目前，涉密信息系统在信息传输与通信方面采取的主要加密方式是利用密码保护，目的为了防止破密，目前通常使用的加密软件主要是加密软盘与硬件加密，随着国家高度重视信息系统的安全性，涉密信息系统分级保护相关的研究已经成为网络安全研究的主要领域。

        1 人为因素

        涉密信息系统所面临的人为因素破坏主要是黑客攻击与病毒入侵，这些方面是专业技术人员利用自己过硬的计算机技术与通信技术破坏涉密信息系统，进而非法取得涉密信息系统内部的保密文件，并且利用这些保密文件获取更多的非法利益。网络信息操作系统系统服务必然存在一定的安全漏洞，而这些漏洞无疑为专业技术较强的不法分子提供了窃取涉密信息的机会。例如：电磁泄密，涉密信息系统频繁的进行信息传输与交互时，在传输通道上被植入了“后门”，电磁信号被人为的记录下来，不法分子利用专业的技术可以将信源信息进恢复，进而掌握电磁信号所反映的整体信息，进而达到窃密的目的。涉密信息系必然有硬件的支持，机房是涉密信息系统的主要硬件阵地，机房建设必须到国家规定的防御标准。另外，如果涉密信息系统储存设备受到了损坏，必须及时维修，而且维修必须在指定的地点，必须全程监控。针对涉密信息系统报废的相关设备，要将硬盘、内存等等一切涉及到涉密信息设备拆除，然后统一进行消磁处理之后再进行销毁。

        涉密信息系统人员管理方面，涉密信息系统的管理人员也是导致信息涉密的主要途径，如果对涉密信息系统的管理不够妥善或者个人行为的泄密都会造成不可估量的严重后果。针对涉密信息系统管理人员的问题，需要加强培训，增强管理人员的管理意识与责任感。还需要制定相关奖惩措施，而且可以涉及到国家层面上的法律法规来对相关不法行为的约束。

        2 涉密信息系统安全域的划分

        涉密信息系统安全域划分应该合理，这是涉密信息系统各项安全监管机制能否有效发挥其作用，能够更好的控制信息传输安全性的基础。对安全域进行科学合理的划分，要结合涉密信息系统的实际应用需求，还要参考系统网络拓扑结构，经过综合分析之后再对涉密信息系统安全域进划分，例如：相同的安全域可以共享一样的安全策略，主要体现在访问权限与边界控制策略方面。还有一种涉密信息系统安全域划分则是根据地理位置来进行划分的，涉密信息安全域划分之后，通常会以为安全域安全性能最低的区域做为此系统安全性能描述的标准。

        3 涉密信息系统远程管理

        涉密信息系统分级保护的推进，对涉密信息系统中的网络设备与安全保密设备实施远程管理已经成为维护管理部门的主流选择。远程管理虽然为管理人员提供了一定程度的便捷，同样也为不法人员提供了窃密的机会，网络中非授权的人员也能够对这些设备端口进行访问。没有经过证实授权的人员利用其它方式破解管理保护指令能够窃取网络设备与安全保密设备的管理权限，这样能够对安全策略进行随意修改，所埋下的网络安全隐患是无法估量的。因此，涉密信息系统远程管理必须得到广大研究人员的重视，要从基础上进行防范。目前使用的防范措施主要有这些：

        （1）将管理终端的数量尽量缩减到最少，同时在被管理的设备中将管理终端的IP地质绑定在一起。

        （2）需要将远程管理的设备地质设置在一个独立的网段之中，并且要配置防火墙或者交换机，目的为了最大限度规避其他网段进行访问。

        （3）关于传输方面的保护需要采用安全协议，避免使用明文传输Tenlnet等等协议进行管理。

        4 涉密信息系统物理隔离

        涉密信息系统物理隔离的方式直观来讲需要将涉密信息与非涉密信息系统的进行区分，根据规划好的安全域，利用防火墙的功能对其进行保护与控制，防止各种非法入侵。涉密信息系统建设时，需要将涉密信息网络与非涉密信息网络进行必要的隔离，而且两者这间不能任何形式的互通。涉密信息系统内部还要设置防火墙主要的作用是涉密信息进行控制，对进出涉密信息系统中相关的数据进行严格控制，例如：不能让高级别涉密信息流入到低级别的涉密信息中。不同部门之间关于涉密信息传输时必须要全程监督，不能随意进行传递，以防信息出现泄漏。涉密信息系统分级保护中明确指出规定涉密信息系统不能够与国际互联网与公用网络进行连接，要实行物理隔离。现在是现代化信息时代，不同系统之间信息的交流已成为必然的趋势，不仅是硬性的需求，更是信息时代发展的特征，因此涉密信息系统与其他系统进行完全的隔离目前来说已经非常难以实现。但是，现阶段作为信息流向控制基础的密级标志相关的标准国家也没有明确发布，相关涉密信息系统产品解决方案也没有正式推出，因此目前涉密信息系统物理隔离成为了一个不容易解决的现实问题，也是导致涉密信息泄露的重要安全保密隐患所在，需要广大研究者继续关注这方面的不足，以求寻求更好的方法来解决这个问题，将涉密信息系统分级保护做到更好。笔者认为信息的输入输出虽然有着不同的方法，所谓万变不离其宗，信息无论输入还是输出的方法本质没有改变，无非都是将信息从一个网络导入到另一个网络当中，从理论的角度来分析不存在绝对安全的做法，只能说采用不同的方法必然会承担不同的风险，因此，涉密信息系统分级保护中需要结合涉密信息的实际情况来做出选择，但是不同的解决方案都需要这些方面的问题：

        （1）信息输入的单向性，保密规定与标准中明确指出采用单向导入的方式来输入信息。

        （2）信息输出的内容需要必要的审查与审批。

        （3）信息输出的集中控制与涉密、非涉密途径分开。无论采取任何方式，在技术方面都需要加强监控审计，不断增加管理措施加强信息输出方面的控制才能更好的做好涉密信息系统分级保护。

        参考文献

        [1]刘彬.涉密信息系统分级保护初探[J].数字技术与应用，2015（12）：206-207.

        [2]蒋红宇，柳增寿，王烨，管延军.涉密信息系统分级保护方法改进及仿真[J].软件导刊，2015（10）：137-139.

        [3]丁全和.涉密信息分级保护问题与对策[J].信息通信，2014（08）：134-135.

        作者单位

        河南省联大通信技术有限公司 河南省郑州市 450000