摘要:该文在阐述涉密信息系统安全范畴的基础上,针对计算机系统、通信信道、计算机网络、电磁屏蔽、数据库容灾、办公设备、防雷接地系统、专业人才等九个方面进行了安全威胁分析。
关键词:信息系统;安全威胁
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2012)28-6673-03
安全保密是一项事关国家、军队、政府、企业和个人信息安全的经常性工作。大到国家、军队的战略战役情报,小到企业的经济情报和个人隐私,通常都是各类间谍所觊觎的对象。建设涉密信息系统是做好信息安全的基础。涉密信息系统是一个由多种设备和软件组成的复杂系统,是一个以通信系统为依托的综合信息处理系统。信息系统安全是指确保以电磁信号为主要形式的、在计算机网络化(开放互联)系统中进行自动通信、处理和利用的信息内容,在各个物理位置、逻辑区域、存储和传输介质中,处于动态和静态过程中的机密性、完整性、可用性、可审查性和抗抵赖性,与人、网络、环境有关的技术安全、结构安全和管理安全的总和。
1 计算机系统安全问题
计算机系统是涉密信息系统的重要客户终端组件,计算机系统安全直接关系到信息系统的安全。目前有关部门涉密信息系统的计算机系统安全存在以下安全隐患:
1)各类软件缺乏安全论证
计算机系统上安装的各类软件(包括操作系统),有不少是破解盗版软件。破解盗版软件不能升级更新,系统漏洞很多,容易被黑客入侵。尤其是一些杀毒软件和防火墙软件,如果没有得到安全论证,非但不能起到保护系统的作用,反倒成为黑客进攻的工具。
2)专业应用软件开发缺乏统一的规范
各部门根据日常业务工作的需要,通常都会聘请地方软件公司开发,或者与地方软件公司合作开发相应的应用软件系统。而地方软件公司多数都不具备保密资质,开发人员没有进行过专门的保密教育,保密意识不强,更有甚者在开发软件过程中安装后门程序或者定时炸弹,给涉密信息系统带来了很大的安全隐患。
3)计算机系统缺乏相应的保密系统
当前各单位的涉密信息系统多数没有开发专门的保密系统,各类涉密信息的流向没有得到有效的控制,涉密系统与非涉密系统存在互通的隐患。
4)计算机硬件系统缺乏必要的防护措施
目前各单位涉密信息系统与办公自动化系统的概念模糊。办公自动化系统比涉密信息系统的安全防护措施要求低的多。不少单位的涉密信息系统的计算机系统是按办公自动化系统要求进行安全防护的,缺乏必要的防护措施。
2 通信信道问题
通信系统作为连接涉密信息系统各子系统的通道,其安全问题也是至关重要的,目前各单位在通信系统的建设上投入了大量的资金和人力,取得了很大的成果,但在建设过程中也存在一些安全隐患:
1)通信信道租用问题
通信信道是通信系统的基础,各涉密单位除了自己建设一些末端通信线路外,主干线路通常是租用电信、联通、网通、或者地方通信公司的一些线路。虽然线路有相应的防护措施,但是安全保密还是存在一些隐患,尤其是一些地方通信公司的线路,安全隐患就更大。
2)通信线路维护问题
通信线路的维护是一个技术性很强的工作,要求大量的人力和物力。由于人员和经费的问题,不少涉密单位通信干线的线路维护都由出租方维护,而电信、联通、网通等公司的线路维护有不少是外包给地方通信公司或者个人,为此存在很大的安全隐患。
3)无线通信保密问题
对一些有线线路不能通达的地方,通常采用无线通信技术。但目前不少涉密信息系统缺乏无线通信保密模块。无线通信安全保密性很差。
3 计算机网络安全问题
计算机网络作为涉密信息系统的平台,其安全保密直接关系到涉密信息系统的运行状况。目前涉密单位都建设了计算机网络,有的单位还建设了2套以上的计算机网络,但计算机网络系统都存在着这样或者那样的安全问题:
1)多种业务复用问题
多数涉密信息系统计算机网络通信线路是和语音、视频复用的。多种业务复用可以节省大量的通信线路建设费用,但是复用也带来带宽不够用或者拥堵问题,造成系统运行不稳定性。
2)多种网络并存的问题
目前不少涉密单位都建设了办公网和政务网至少两套计算机网络,多种网络并存,必定会带来多种网络交叉连接、交叉使用的隐患。涉密计算机网络与非涉密计算机网络交叉使用给涉密信息系统带来了非常严重的安全问题。
3)缺乏必要的防护措施
实现计算机网络安全的主要措施是防护措施。有少数单位为了节省费用,减少一些防护设备,比如减少硬件防火墙、使用盗版的防火墙软件或者杀毒软件。
4)专业网络管理人员缺乏
一个好的计算机网络离不开一个好的专业网络管理员,由于受人员编制的限制,不少单位没有专业的网络管理员,多数都是由设备操作员兼任网络管理员。缺乏专业的网络管理必然会造成网络运行的不稳定性。
4 电磁屏蔽问题
随着信息攻击手段的发展,涉密信息系统不仅受到病毒、木马等手段的攻击外,还将受到电磁攻击。电磁屏幕是有效抵抗电磁攻击和电磁泄露的手段。目前不少涉密信息系统没有建设电磁屏蔽房,部分比较重要的涉密单位建设了电磁屏蔽房,但也存在着一些问题:
1)没有按等级规范设计建设电磁屏蔽房
少数单位为了节省投资,不建设、少建设或者降低标准建设电磁屏蔽房。没有严格按照涉密信息系统设计规范设计建设电磁屏蔽房。
2(没有按设计要求进行电磁屏蔽房的施工
电磁屏蔽房的设计施工有严格的资质要求,不具备资质要求的单位不能参加设计和施工。目前少数单位为了节省费用在设计施工方面把关不严,造成电磁屏蔽房设计施工不能达标。比如电磁屏蔽房的进出电缆没有安装防护元件。
3)通信线路没有按要求进行防护隔离
涉密信息系统设计对进入涉密场所的通信线路的防护隔离有严格的要求,各单位对进出的通信电缆通常会安装防护设备。但是通常忽略配套线路的隔离防护,比如监控线路和广播线路的隔离防护。 4)计算机系统没有按要求进行防电磁干扰
目前液晶显示器虽然辐射减少了很多,但是计算机主机的辐射随着计算机速度的提高,主板功率的增大而增大,计算机防电磁干扰依然很重要,目前不少涉密单位缺乏必要的防电磁辐射设备。
5)电磁屏蔽房的正确使用问题。
电磁屏蔽房的使用有严格的要求,少数单位没有严格按要求使用电磁屏蔽房,更有甚者为图方便,将该放入电磁屏蔽房的设备搬出电磁屏蔽房。
5 数据库容灾容错问题
数据库作为涉密信息系统数据中心,其重要性非比寻常,数据的安全直接关系到涉密信息系统运行的稳定性和可靠性。当前很多部门的数据库建设存在不安全因素:
1)服务器操作系统稳定性问题
服务器的操作系统是数据库安全的基础,目前不少单位由于缺乏专业的数据库维护人员,为了方便操作,数据服务器的操作系统采用的是Windows操作系统,Windows操作系统是一个办公操作系统,它具有操作方便、应用软件多的优点,但正因为它是办公操作系统,其稳定安全性比较差。
2)数据容灾备份问题
数据库容灾备份是保证数据库数据安全的重要手段。目前不少单位的数据库多为单机版,数据容灾容错能力很差。
6 防雷接地系统问题
涉密信息系统的安全保密除了防护失泄密外,还要防范自然灾害,比如雷电、电源跳变等。防雷接地是有效保护涉密信息系统设备的重要手段之一。在关键时刻发挥着重要作用。由于其平时作用很难被人发现,通常不被重视,少数涉密信息系统的防雷接地存在以下问题:
1)设备接地、防雷接地不规范
设备接地、防雷接地不规范容易在发生雷电、或者市电跳变时对设备造成损坏。同时,设备的机箱通常有屏蔽电磁辐射的作用,设备接地能保证机箱有效地发挥屏蔽保护作用。
2)接地电阻不达标
通信接地系统作为涉密信息系统中的一个重要部分,虽然很多单位设计并施工了接地系统,但有不少单位的接地系统在施工过程中没有按设计要求施工,使得接地电阻不达标。接地电阻不达标会减弱通信地线的保护作用。
3)屏蔽走线槽密封性和连接性不达标
屏蔽走线槽是综合布线系统的重要组成部分。通常涉密信息系统机房内的走线槽都采用金属走线槽。金属走线槽除了起到规范布线的作用外,还起到屏蔽保护的作用。有些单位的走线槽要么采用非金属代替,要么连接性和密封性不好,起不到屏蔽保护作用。
7 办公附属设备问题
办公附属设备的快速发展加快了办公自动化的实施,也给日常办公带来了很多方便之处,同时随着移动式办公设备的广泛应用,办公附属设备的安全保密问题也越来越突现。主要有以后几个问题:
1)移动存储设备丢失、维修问题
随着存储芯片的快速发展,各种移动存储设备应运而生,各种电子设备都具备存储功能。因此,设备的丢失、维修问题都成了涉密信息系统安全保密的隐患。
2)移动存储设备交叉使用问题
目前不少涉密单位通常都有政务网、内部办公网等两套以上计算机网络,移动存储设备在多套网络之间交叉使用,容易造成失泄密事件。
3)网络或者脱机打印复印设备日益增多
现在很多办公设备都具备联网和脱机打印功能,方便多人共享设备。通常具备联网和脱机打印功能的设备都具有自身的处理器芯片和存储设备。这种设备本身相当一个微型计算机,因此存在泄密的安全隐患。
4)设备安全论证缺乏
目前很多办公设备都是直接从市场上采购,没有进行相应的保密检查和安全论证。存在很大的安全隐患。
8 专业人员缺乏问题
涉密信息系统是一个复杂的人机系统,人在系统中起到设备不可替代的作用,安全保密也是如此,目前不少涉密单位在涉密信息系统安全保密工作上缺乏相应的专业人才,尤其缺少两类人才:
1)缺乏专业的信息防御人员
信息防御是信息安全保密的重要手段,但目前不少涉密单位缺少专业的信息防御人员。系统出现问题只能求助地方电脑公司。给涉密信息系统安全保密造成很大的被动性。
2)缺乏专业的维护人员
涉密信息系统是一个庞大的系统工程,系统维护是一项很复杂的事情,目前不少涉密单位缺乏专业系统维护人员。系统维护人员通常由操作员兼任,只能维护系统简单的故障,大故障通常求助厂家或者售后服务商,也给涉密信息系统安全保密带来了很大问题。
参考文献:
[1] 徐国爱.网络安全[M].北京:北京邮电大学出版社,2005.
[2] 周学广.信息安全学[M].2版.北京:机械工业出版社,2007.
[3] 李旭华.计算机病毒——病毒机制与防范技术[M].重庆:重庆大学出版社,2005.