◆吴 思 王子平 郭 萌

（北京宇航系统工程研究所 北京 100076）

浅谈军工企业信息安全及保密技术的研究

◆吴 思 王子平 郭 萌

（北京宇航系统工程研究所 北京 100076）

军工企业网络是涉及国家安全的重要基础设施，网络的安全关系到国家的安全，目前网络攻击者不断提高其技术，给信息安全的防护带来了更高的挑战。本文介绍了当今军工企业网络安全面临的诸多问题，针对这些问题提出了相应的措施。

网络安全；军工企业信息；保密技术

0 引言

信息化作为当今时代发展的大趋势，是推动经济社会变革的重要力量。大力推进信息化，军工制造业正在向以信息化、网络化为特征的“数字军工”发展，信息化成为军工企业提高核心竞争力的重要内容。

1 军工企业信息安全的影响因素

军工企业负责国家军备生产任务，网络中的数据必须时刻高度保密，尤其需要加强网络安全和数据安全。网络系统要防止未经授权的访问或遭受破坏和非法入侵，要防止敏感数据盗窃或非法复制等。构建一个安全网络架构系统，防止内部信息泄露是军工企业网络必须关注的问题。

1.1 计算机病毒的威胁

近年来，由于软件功能日益复杂，漏洞日益增多，越来越多的非安全节点可以从多种途径连接到企业内部网络，从漏洞被发现到发现病毒攻击的时间越来越短，病毒的感染可以带来诸多难以预计的后果。

1.2 外部黑客攻击

企业外部攻击多数利用远程登录或木马的方式通过系统漏洞进行攻击，黑客通过扫描系统漏洞收集被攻击服务器信息从而得到账户授权入侵至内网。

1.3 企业内部人员窃取

根据统计，被攻击的服务器多数来自内网员工的恶意威胁，内部人员的攻击对于外部黑客的威胁更大也更容易进行。

2 主要的信息安全技术措施

2.1 物理隔离

根据《计算机信息系统国际互联网保密管理规定》“涉及国家秘密的计算机信息系统，不得直接或间接与国际互联网或其它公共信息网络相连接，必须实行物理隔离。”军工企业多为涉密单位，为保障涉密信息的安全物理隔离已成为防范外部远程攻击的最直接和有效手段。

采用物理隔离用户可根据需要采用网闸设备隔离或空间隔离。空间隔离保证涉密网与非涉密网保持一定安全距离，可采用专用介质进行数据传输。

物理安全策略：门禁系统，视频监控，防电磁。

2.2 防火墙技术

防火墙是一种实施访问策略的系统，它作为一道网络之间信息交换的安全屏障，隔离外部网络的恶意信息流，阻止非可信任用户进入到受保护系统。防火墙也可以限制一个内联网段对另一个内联网的访问，它就像是网络中的“咽喉”，因为所有通信都从这里流过，并且也是所有流量被检查和限制的地方。

防火墙可以是运行软件防火墙产品或硬件防火墙设备。它监视流进和流出其保护的网络数据包，过滤掉不满足安全策略要求的数据包。

多数情况，企业还可以通过设立防火墙构建（DMZ）区，DMZ位于受保护网络和未受保护网络直接的网段。它提供了一个在危险公网和企业内网的缓冲区域，通常包括WEB服务器、邮件服务器和DNS服务器等。

2.3 入侵检测系统

入侵检查系统(IDS)是动态的防御技术，可以从网络系统中多个观测点收集信息、分析信息，从而发现网络中违反策略或遭受攻击的迹象。

防火墙更重要的作用是抵御外部攻击，而入侵检测系统是一种主动防御技术，实时地对涉密网中异常情况进行监控，不仅可以监测到外部攻击也防止内部人员的恶意破坏，有效地弥补了防火墙的不足，被认为是防火墙后的第二道闸门。

入侵检测技术具有监视分析用户和系统的能力。审计系统漏洞和配置、感知系统和数据的完整性、识别攻击行为，使系统管理员可以高效地审查、监视或评估网络安全。

不过目前的入侵检测也存在自身问题：1、在较大规模的网络环境中监测并非十分精确；2、经常出现误报与漏报的现象，系统管理员常陷于海量的告警信息中难以识别真正的告警信息而疲于使用该产品。因此在IDS的基础上结合入侵防御系统IPS（Intrusion Protect System），即更为智能的防御系统，能够更精确地定位危险存在。

2.4 防病毒软件

防病毒软件扫描通过特定协议传递的文件、电子邮件或其他数据，然后将它们与病毒特征数据库进行比较。如果匹配成功，防病毒软件将执行预先设置的活动，如隔离文件、删除病毒、向用户发送一个警告消息并记录事件。防病毒软件可以有效地防御病毒以及木马等恶意程序。

2.5 主机监控与审计系统

主机监控与审计系统是军工涉密网强制要求进行安装使用的安全产品，用户登录使用USBkey或IC卡等手段进行认证。其作用主要针对硬件端口，包括串口、并口、1394接口、蓝牙红外等端口进行禁用控制。能够对终端用户的操作以及资源情况进行审计，有效监测终端用户是否进行违规操作。

2.6 漏扫技术

漏洞扫描系统连接到涉密网系统，并对操作系统、数据库漏洞进行安全扫描，给出按照风险类别等级的扫描结果。漏洞扫描可分为独立式部署和分布式部署。

2.7 防病毒系统

防病毒系统俗称杀毒软件，计算机感染病毒后会出现无法正常启动、死机、文件无法打开、系统内存不足、丢失文件等各种系统问题。系统管理员需定期及时升级杀毒软件，根据审计日志分析病毒趋势并提前采取防范措施。

2.8 身份认证系统

身份认证系统串接在终端和服务器中间，应用系统被身份认证系统隔离在被信任网段中，所有用户需要访问身份认证系统并通过认证后，身份认证系统会自动将用户身份传递至应用系统中。

2.9 电磁泄露发射防护系统

涉密环境中红设备（涉密设备）与黑设备（非涉密设备）之间应保持一定距离；办公环境使用移动设备装置等应与涉密相关设备保持一定距离隔离。电磁泄露防护系统可参照 BMB5-2000的相关标准要求实施。

2.1 0安全管理

涉密信息系统根据国家保密相关标准规定应配备系统管理员、安全保密管理员和安全审计员，实行“三员分立”制度。分别是系统管理员负责网络系统、服务器系统的日常运维管理和维护技术支持；安全保密管理员负责制定安全策略，授权等相关职责；安全审计员负责对前两员的操作进行审计、跟踪、分析和监督检查，以及时发现违规行为。

3 结束语

涉密网络安全保密是军工科研单位取得生产资格的重要条件。在网络和信息化飞速发展的今天，信息安全的问题越来越受到人们的重视，信息安全的建设并不能一劳永逸，企业需构建完善的安全体系，引入风险分析以及控制措施，信息安全的工作者们也需不断与时俱进提高技术实力和保密意识来应对未来信息领域的威胁。

[1]蔡贵荣.提高计算机网络可靠性的研究方法[J].网络安全技术与应用，2015.

[2]王丽.安全信息化的建设和实现[J].计算机与网络，2016.

[3]常健.典型军工科研生产基地规划[J].数字军工，2015.