摘   要：涉密网络能否安全可靠的运行，直接关系到国家秘密的安全，本文通过对涉密信息网络运行中存在的安全问题分析，提出了相应的对策与措施，以好的涉密网络安全产品为基础，以完善的规章制度为保障，以监督检查促制度落实，从而确保涉密网络的安全、可靠的运行。
    关键词：涉密网络；安全建设；建议
    0、引言
    近年来，随着中核集团公司涉密广域网联网战略计划的实施，集团公司所属各单位的信息化建设也迈上了一个新的台阶，涉密局域网相继建成，涉密广域网的建设也正在加紧建设。网络在工作中的应用越来越广泛，因为网络的普及和应用工作效率也得到了很大的提高，有力地推进了核工业又好又快又安全的发展。
    由于计算机网络的开放性原理，具有联结形式多样性、终端分布不均匀性和由信道共享而引起的网络的开放性、互连性等特征，致使网络易受黑客、恶意软件等的攻击，尤其是军工企业的涉密网络，网络的安全和保密工作就显得尤为重要。因此，如何确保网络安全，提高网络防护能力，严防失泄密事件的发生，已成涉密网络建设与应用中必须加以密切关注和高度重视的问题，对这项工作的丝毫懈怠都将会给涉密网络带来致命的危险。为此，我们必须做到思想认识到位、管理措施到位、技术保障到位，切实做好涉密网络安全工作。
    1、涉密信息网络运行中存在的安全问题
    涉密信息网络是与国际互联网等其他网络实行物理隔离的独立网络。但是在电磁辐射、红黑设备隔离、磁介质交叉使用、系统漏洞等隐患，再加上涉密信息网络建设、运行、使用的时间不长，管理人才缺乏、经验不足，必然存在一些安全隐患问题。主要表现在以下几方面：
    1.1  部分涉密网络操作人员计算机网络知识缺乏，网络安全意识不强容易造成安全隐患
在部分企业、单位内部，计算机网络的应用和推广特别是网络信息安全知识的的普及与当前的安全形势要求还有相当大的差距，部分涉密人员因对计算机网络安全缺乏认识、电子信息保密意识还不够强而造成泄密。如有些人由于不知道计算机的电磁波辐射会泄露信息，从而疏于防范而给他人提供了窃密的机会；有些人由于不知道电子邮件在传送过程中会被拦截或丢失，将一些重要数据用电子邮件形式进行传输；有些人由于不知道计算机磁盘上的剩磁可以提取还原，将曾经存贮过秘密信息的磁盘交流出去而造成泄密；有些计算机操作员直接插拔网线实现局域网与外部网的转换，导致病毒入侵，而历史、临时文件中存有一些机密信息的映像也会因此而泄密；有些用户不了解移动存储介质存在的威胁，使用介质“明密混用”使介质成为明密网络之间的摆渡工具。
   1.2   人为对网络恶意攻击造成的安全隐患
    人为对网络恶意攻击是计算机网络所面临的最大威胁。因为联网后，主机与用户之间、用户与用户之间通过线路联结，窃密者只要在网络中任意一条分支信道上或某一个节点、终端进行截取，就可以获得整个网络传输的信息。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得国家秘密信息。这两种攻击均可对计算机网络造成极大的危害，并导致国家秘密信息的泄漏。
    1.3   计算机软件自身存在的漏洞和“后门”
    在软件协议方面，由于网络基于开放性原理和TCP/IP本身缺乏相应的安全机制，所以基与此存在的任何网络都无法摆脱不安全因素的困扰。在应用软件方面，一个软件总不可能是完美无暇的，总是存在着一定的缺陷和漏洞，而正是由于有了这些缺陷和漏洞，黑客们才有了可趁之机，比如现在我们一般使用的Windows操作系统已有大量的安全漏洞，虽然微软公司采取了很多的补救措施，但由于先天的不足，也未能幸免于频繁遭致黑客的攻击。另外，很多软件的“后门”都是编程设计人员为了自便而设置的，一般不为外人所知，一旦“后门”被打开，后果将不堪设想。
    1.4  设备本身存在着安全隐患
    网络系统中的硬件设备、网络协议等存在着潜在的安全漏洞，直接威胁着信息网络的安全。比如CPU，CPU是计算机的核心，现在计算机使用的CPU都是由国外公司生产的，存在的严重的安全隐患，因为以当前国外发达国家的技术和水平，在芯片内安装自动激活装置，自动向外界发送信息或者是自毁是完全能够实现的。
    2、加强涉密信息网络安全工作的对策与措施
    2.1 加强领导管理,筑牢网络安全工作的“管理”防线
各单位部门，各级领导要从讲政治的高度，切实加强对涉密网络安全工作的领导。各个业务部门的领导都要亲自抓好网络应用中的保密工作，为了明确责任，应该把履行保密工作责任制的情况纳入到领导干部年度考核中来，严格落实责任追究制。同时，要按照国家保密局下发的相应标准和要求，制订一套严格的涉密信息系统保密规定，对于执行保密制度严格的要及时进行奖励，反之就要进行惩罚，完善激励机制，做到奖惩分明。
    2.2  积极引进技术人才，加强教育培训，筑牢网络安全工作的“教育”防线
    2.2.1  加强对专业人才的引进和培训
    保密管理部门技术人才特别是计算机专业技术人才是相对缺乏的。针对这一实际情况，一是把引进计算机专业技术人才列入计划，或从高校直接招收专门人才。二是加强对引进的专业技术人员定期进行专业技术知识培训，同时还要对引进的专门技术人员进行保密业务培训使之在开展工作时切合实际，成为复合型人才，为涉密网络的可靠运行提供强有力的技术支持。
    2.2.2  强化网络安全教育，增强涉密人员的安全防范意识
    我们必须充分认识信息时代安全保密工作的新特点和新内容，把网络安全教育作为安全保密教育的一项重要内容，紧紧围绕提高全体涉密人员保密意识这个目的，改变过去那种以为只要关好门，锁好柜、管好文件，保密工作就做好了的传统观念。同时要树立新的科学保密意识，依靠先进的技术手段，发挥技术的防范意识，这也是保密工作现代化建设的需要。注重教育的针对性、现实性和系统性，以案说教，做到常抓不懈，层层签订保密责任状，落实责任，切实提高全体涉密人员的网络安全意识和做好网络安全的自觉性，选派人员积极参加国防科工委举办的最好层次的涉密信息系统安全保密管理人员培训班，并按照年度计划落实保密教育培训工作，全面提升涉密人员尤其是涉密网络管理人员的保密素质。
    加强涉密网络安全知识和计算机应用的培训工作是保证信息安全的重要一环。上机、上网人员必须具备相应的操作技能和信息安全的专业知识，否则信息的安全保密就无从谈起。要搞好智力投资，不断提高使用和管理人员的专业技术水平，使其真正了解所用设备的性能，掌握防止泄密的知识和防范措施，如开机身份认证、屏幕保护加密、目录加密、文件加密，网络传输加密等技术，防止因为操作人员水平不高或者因为无知而造成的泄密。
    2.3  加强制度建设,筑牢网络安全工作的“制度”防线
    在信息网络中，加强网络的安全管理，制定有关规章制度，对于确保网络的安全、可靠地运行，将起到十分有效的作用。对计算机应用的各个环节，要根据国家BMB17和BMB22等规定，结合涉密网络的特点，制定出符合实际，操作性强的规章制度。严格落实涉密机房的相关规章制度，建立健全网络操作使用规程和人员出入机房管理制度、计算机使用制度、信息介质管理、保密机和密钥管理制度，制定网络系统的维护制度和应急措施、预案等。同时要建立健全上网信息保密审批领导责任制，使计算机安全保密工作有章可循，网络保密在各个环节都严格加以控制。
    2.4  加强技术防范，筑牢网络安全工作的“技术”防线
    涉密网络要从方案设计、方案评审、施工建设、产品选购、风险评估、测评等诸多方面，要严格尊照BMB17、BMB22中的相关规定，采用"统一规划、统一技术标准、统一规范、统一应用软件、统一管理"的建设原则。
    2.4.1  实行涉密信息系统与其它公共信息网络的完全物理隔离
严禁涉密信息网络直接或间接地与国际互联网或其它公共信息网络相联接。涉密信息系统与其它公共信息网络必须实行物理隔离，这样可以有效地防止黑客访问或病毒入侵。与外部网相连的计算机上不得存储、处理和传递保密信息，在因特网上提取的信息也必须经杀毒处理后再用光盘拷入涉密信息系统。
    2.4.2  加强对软、硬件设备的安全监管
    目前使用的网络软、硬件设备多数来源于国外产品，因此对入网的硬件设备和软件，统一由网络安全技术部门严格把关，未经国家安全部门认定的安全产品严禁使用在涉密网络中，更不得使用国外或其他企业赠送的产品设备。
    2.4.3  加大软件开发和软件投入
    在软件方面，应加大在开发过程中加密软件的开发投入，对重点涉密的应用软件，加密设计要达到网络级水平，从而最大限度地保证信息的安全与保密。对存储有涉密信息的计算机要实行身份认证和审计措施、并使用专用介质管理软件强化管理等。
    2.4.4  采用防火墙与防病毒技术是提高网络安全性的关键
    防火墙是一种保护计算机网络安全的技术性措施，它是一个用以阻止网络中的黑客访问某个机构网络的屏障。采用防火墙技术，通过在网络边界上建立起来的通信监控系统来实现网内不同功能子域的划分，以阻挡非法访问，从而实施安全访问控制，提高涉密网络的安全性。安装网络版防病毒软件，并及时省级病毒代码库，及时发现病毒并予以清杀，可有效阻止其在网络上蔓延和破坏。
    2.4.5  采用加密技术对涉密数据信息进行加密存储和加密传输
    密码技术是网络安全最有效的技术之一。对涉密网络远距离的数据传输要采用加密传输的方式，从而保证数据的安全和完整性。对涉密信息要按标准做到加密保存。一个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法之一。加密算法很多，我们要尽可能的使用好的加密算法对涉密数据信息进行全程加密。对信息进行加密，使得非法用户即使越权入网浏览和下载网上信息，也无法阅知信息内容。
    2.4.6  设置网络权限
    网络的权限控制是针对网络非法操作所提出的一种安全保护措施。将计算机维护权限与操作权限、数据权限分开。根据业务的不同，程序将自动分配其使用权限，可以让用户有效地完成工作，同时又能控制用户对服务器资源的访问，从而加强网络和服务器的安全性。
    2.4.7  建立完备的送修制度以防止剩磁效应泄密
    对存有秘密文件的硬盘、软盘，要标示有密级标志和编号，执行统一登记和销毁制度，存储介质中的信息被删除后，利用磁盘剩磁效应仍可提取原记录信息。因此必须建立完备的规章制度，在遇到故障时，让本单位部门专门的技术人员进行维修，当设备要外送维修时，应拆除存储部件，选择具有相应保密资质的单位进行，并安排专人监修。
    2.4.8  尽可能防止计算机电磁波辐射泄密
    对机房设备、线路进行保护性的屏蔽处理，并建设屏蔽机房，对重要的涉密网络终端显示设备安装电磁信号干扰器，在机房电源及其他线路上加装屏蔽插座，从而避免因电磁辐射出现信息被窃取的情况发生。
    2.4.9  利用虚拟局域网（VLAN）技术提高内部网的安全性
    采用虚拟局域网提供的安全机制，可以限制特定用户的访问，控制广播组的大小和位置，甚至锁定网络成员的物理（MAC）地址，这样，就限制了未经安全许可的用户和网络成员对网络的使用。通过设备端口和MAC地址分配等VLAN划分原则，可以有效控制用户访问权限和逻辑网段大小，将不同用户群划分在不同VLAN中，从而提高交换式网络的整体性能和安全性。
    2.4.10  通过设置作用域，提高内部网的可管理性和安全性
    针对目前网络所采用的微软系统平台，借助于Win2000操作系统的域控制功能，对网络的内部结构进行划分、管理，从而既满足了对内部用户的管理要求，同时又在双向信任关系的域－森林结构中实现同级、上下之间的安全信息交流。同时，充分利用Win2000系统的域功能，严格控制网络客户端用户帐号，设定所有用户必须登录域中进行网络操作，设定所有用户（预留GUEST帐号可以另外处理）的IP地址和网卡物理地址进行绑定，所有无需移动办公的用户地址和IP地址绑定，实施严密的身份识别和访问控制。在全面实施了WIN2000系统的域结构并进行了对所有用户的绑定后，我们就可以在安全策略中部署对所有敏感性操作进行安全审计和记录，并且可以在发生安全事故后依据绑定一直追查到底。
    2.5  加强监督检查,筑牢网络安全工作的“监督”防线
    建立严格的计算机网络应用监督机制，实行内部监督。设立计算机网络保密领导小组，通过经常性的检查或抽查，及时查找隐患，针对应用中存在的问题要立即采取整改措施，造成严重后果的，要严肃处理相关责任人。
    3、 结束语
    涉密网络安全建设和运行是构建安全体系结构的前提下，采用安全的网络产品、制定严密的安全技术规范、建立安全保密管理制度和奖惩机制是涉密网络可靠运行的基础，加大保密检查力度是网络安全运行的重要手段。
     参考文献：
    1.  周学广,刘艺.信息安全学：机械工业出版社，2003
    2.熊桂喜等译.《计算机网络》第三版:清华大学出版社
    3.罗健文.网络的安全问题及对策:广东广播电视大学学报，2000.3
    4.李大成,张京,龚茗茗.计算机信息安全【M】:北京人民邮电出版社
 

(责任编辑：)