摘 要:国防科技工业信息化建设的高速发展,对信息安全保密提出了越来越高的要求。通过了国家三部委一级保密资格认证的一航成飞,在大力推进信息化建设,推进生产方式变革的进程中,同步紧抓信息安全保密各项工作的落实。一航成飞协同办公网络系统(简称办公网络系统,下同)是公司信息化建设的重要成果,实现了公司办公的网络化和自动化,其中涉及了大量的涉密信息。本文将系统介绍一航成飞协同办公网络系统为实现信息安全保密要求,所实施的技术手段和措施,与同行共享。
关键词:信息化;信息安全保密;协同办公网络系统;技术手段和措施
0 引言
近年来,以载人航天、歼十飞机、探月工程等为标志的国防科技工业重大成就,强力彰显了国防科技工业在维护国家安全和统一、提高我国综合国力方面肩负的神圣使命和作出的突出贡献。党的十七大指出,“要坚持科技强军,按照建设信息化军队、打赢信息化战争的战略目标,加快机械化和信息化复合发展”,对国防科技工业加强向信息化方向快速迈进提出了明确要求。国防科技工业“十一五”规划纲要、中长期科技发展规划纲要明确指出,要“全面增强自主创新能力、高新武器装备供给能力和军民结合产业发展能力,初步形成以能力为基础、以信息化为主导、结构布局合理、体制机制完善的新型国防科技工业体系”。紧跟世界工业信息化发展潮流,加强信息化建设,是我国国防科技工业发展实现新跨越的必由之路。信息化快速发展的同时,必将面临信息的安全保密,没有严谨的信息安全保密体系,发展的成果是保不住的,信息化建设是没有意义的。国防科技工业信息的安全保密,不仅决定着事业成败和企业命运,还影响着国家安全和国民经济的安危。
一航成飞坚持把信息化建设作为一项重点工作来抓,目前已实施了ERP、CAPP等多个信息化建设项目,取得了显著的经济效益。作为众多项目之一的办公网络系统,实现了公司办公的网络化和自动化,同时存贮着大量的涉秘信息,信息的安全保密至关重要。在多次国家和上级部门的保密检查中,办公网络系统经受住了各项严格检查,保密能力得到了上级和国家有关部门的充分肯定。那么,办公网络系统是如何在技术上实现信息安全保密要求的呢?本文将作以介绍。
1 办公网络系统的信息安全保密要求
办公网络系统的信息安全保密,就是要在资源共享数据量大,应用复杂程度不断提高的公司办公网络系统中,建立信息安全体系,实现可信计算技术,确保系统功能的应用和对服务器的访问必须授权,只能根据权限访问授权信息。
办公网络系统的安全性主要集中在:一是公司业务数据的安全性,要确保数据不被破坏、不被窃取、不被篡改;二是流转数据的安全性,数据流转过程可记录、可追溯、可监控;三是系统用户身份安全性,做到用户身份可鉴别、可授权、可审计。
办公网络系统分为个人事务、信息发布、综合业务、信息交流和系统管理五个模块,每个模块的安全性需求各不相同。个人事务强调私密性安全,信息发布强调层次性安全,综合业务强调流转性安全,信息交流强调交互性安全,系统管理强调维护性安全。
办公网络系统面向一定范围的用户。明确分析用户的使用权限、工作特点、业务处理范围、信息的交换频度、安全性要求等,是实现系统信息安全的基本保障。通过对用户权限管理、业务流程设计、系统操作日志、用户信息持有(下载、打印、拷贝、带出)和系统性能参数等方面的综合考虑,即可实现系统信息的安全保密要求。
2 办公网络系统信息安全保密的技术实现
2.1信息安全保密原则
为达到相应的信息安全保密要求,办公网络系统的信息安全保密技术的实施必须符合以下原则:
一是,同步规划、同步实施原则。在系统建设的各个阶段,同步规划和实施相应的信息安全保密技术方案。
二是,完整性原则。确保未授权的用户不能更改或删除信息内容,保证信息的完整性。
三是,可用性原则。用户必须随时都能访问到已授权的信息。
四是,全局性原则。要从网络结构全局出发,实施全局性的安全技术。
五是,均衡性原则。以最小的系统性能损耗换取最大的安全性。
六是,规范性原则。信息安全保密策略须遵循国家安全保密标准和规范。
2.2信息安全保密目标
信息安全保密要达到的目标,就是必须通过实现信息数据安全存储、用户操作监控、信息授权、密钥管理等功能,实现对信息数据的安全支持;通过实现在流程处理过程中用户身份认证、反病毒、SSL加密传输、时间性监控、流转过程监控、电子印章、数字签名及文件加密等功能,实现对信息处理过程的安全支持。
2.3信息安全保密策略
2.3.1访问操作安全策略
2.3.1.1身份识别
用户账户是通向系统内所有信息资源的访问关口,对用户账户授权,实施身份验证,是保障信息安全的关键。在用户登录和信息数据传输环节,分别设置身份认证功能,确保用户身份合法。
2.3.1.2访问控制
登录系统后,用户只能在权限范围内,查看授权信息、进行授权操作,系统能严密控制用户行为,不允许用户越权查看信息。
2.3.1.3文件加密
允许用户把文件转换成指定格式,使用255位密钥进行加密,加密后的文件必须使用指定阅读器才可以阅读,且文件外传时不能被解密,使文件信息具有高度的安全性和不可破解性。
2.3.1.4电子印章
电子印章系统允许用户对文件进行盖章,盖章后的文件不能被修改和拷贝,任何对文件的修改都将使电子印章作废。电子印章系统与CA(身份认证系统)集成使用数字签名技术,保证了电子印章的合法性和可靠性。
2.3.1.5用SSL协议传输信息
SSL协议集合了多项加密技术,能确保信息传输的安全。
2.3.1.6系统日志
对系统使用情况自动进行跟踪,把重要事件记录在日志中,事件包括:开启系统、关闭系统、用户登录、用户注销、系统设置、错误情况、数据异常等。
2.3.2信息数据安全策略
保障信息数据安全,首先要建立一个能稳定可靠运行的系统平台,同时避免数据冗余,合理分配系统软硬件资源,设置用户对数据的访问权限等。
通过信息数据的权限控制和用户角色控制,充分保证信息数据的完整性。对数据进行的任何修改,都要由该数据的所有拥有者(或大多数拥有者、某个指定的拥有者)同意后,方可进行,修改后的结果将通知各个层级的系统管理员。
软件错误或硬件故障都能对数据库中的数据造成破坏,从而影响信息数据的完整性。在数据遭到破坏的情况下,数据库系统具有恢复功能,将破坏后的信息数据恢复到原始状态,将损失降到最低程度。
为了数据恢复需要和当不安全事件发生时能追踪出线索,要自动记录数据库系统运行情况,这些情况包括:操作类型、发生成间、应用程序名、数据库名、用户名、IP地址、应用模块名称等。
为了避免操作错误、软件缺陷、硬件损毁、电脑病毒、黑客攻击、意外宕机、自然灾害等原因造成的数据丢失,系统要具有信息数据及时备份功能。
2.3.3信息数据安全保密采用的技术
2.3.3.1用户身份识别技术
为防止非法访问行为,身份识别系统对所有系统用户集中管理,保证用户身份的合法性。该功能主要包括以下五个方面。
一是,申请数字证书。系统服务器只允许拥有认证系统所签发的数字证书的用户进行网络连接。如果请求连接的用户没有合法身份,则数字认证系统将拒绝其连接请求,从而限制非法用户对系统信息的访问。
二是,用户密码级别限定。对用户密码复杂性进行校验,不合符要求的密码无效。
三是,账户锁定功能。用户连续输入错误密码一定次数后,系统自动锁定该用户账户使其不能再登录,同时邮件通知系统管理员,帐号解锁必须通过管理员认定。
四是,使用协议访问。对发放数字证书的用户,要求必须使用SSL协议访问,禁止使用http方式访问,保证信息数据的安全传输。
五是,证书保存功能。证书要么保存在Windows IE 中,用户直接调用,要么保存在USB KEY中,使用USB KEY进入系统。
2.3.3.2系统操作监控技术
系统操作监控功能将对用户操作、流程流转、业务信息、权限变动进行实时监控,包括以下方面内容。
一是,操作记录。用户所有操作行为均写入操作日记库,可供系统审计员查询,并定时备份操作日记。
二是,流程流转监控。对用户新建、删除、修改流程进行记录,流程流转情况实时监控记录。
三是,流程信息监控。对文档的阅读、编辑、删除、下载、打印、拷贝等操作进行监控记录。
四是,文档信息监控。对用户访问文档行为进行全程监控,并记录用户进行信息搜索时使用的关键字。
五是,用户信息及密码监控。监控对用户账户的注册、删除、修改以及用户个人信息修改;记录用户修改密码的IP地址及时间。
六是,帐号文件安全保护。由系统管理员对所有用户帐号文件统一管理,服务器拒绝已失效的用户帐号或者密码不正确的用户帐号进行登录。
七是,信息访问权限修改监控。当系统管理员修改数据访问权限时,系统自动记录并通过邮件告知有关人员。
3 结语
通过采取一系列先进的信息安全保密技术,一航成飞协同办公网络系统顺利通过了国家军工保密资格认证及复查,系统安全可靠,达到了信息安全保密的要求,保密级别已成为机密级,确保了系统内重要信息的安全,推进了一航成飞的信息化建设。
实践证明,要实现信息安全保密,仅仅依靠技术防范是远远不够的。作为国防科技工业这一特殊行业,在大力加强技术防范,确保信息安全的同时,必须加强管理制度建设和管理方法创新,同时做好人的工作。只有通过加强技术保障,让不想泄密的人泄不了密;加强保密管理,让想泄密的人泄不了密;做好人的工作,打造一支忠于国防的高素质人才队伍,才能从根本上筑起保障国防科技工业信息安全的坚固长城。
作者简介:汪传祥(1980),男,陕西山阳人,助理工程师,工学学士,办公网络管理。
张永民(1965),男,陕西合阳人,工程师,大专,办公网络应用与管理。
参考文献:
1. [美]MARK EGAN,TIM MATHER.没有任何漏洞-信息安全实施指南[M].北京:电子工业出版社,2006
2. [美]ROSE M,THOMAS A. Lotus Domino R5安全技术[M].北京:机械工业出版社,2000
3. [美]CHRIS BRENTON CAMERON HUNT.网络安全-从入门到精通[M].北京:电子工业出版社,2003
(责任编辑:)
