下面是小编为大家整理的涉密信息系统涉密单机安全保密防护探讨,供大家参考。
涉密信息系统涉密单机安全保密防护探讨
【摘要】
本文论述了 涉密单机管理的目 标和现状, 介绍了 涉密单机必备防护方法及用单机组策略的方法构建涉密单机安全保密防范体系, 规范相关操作, 加强了 涉密信息系统单机的防护能力, 有效的降低了泄密风险。
【关键词】
涉密单机; 安全保密; 防范
一、 涉密单机管理目标
涉密单机的管理最终要达成一个目标:
建立一体化的便用可信可控涉密单机信息系统。
为满足上述目标, 最紧迫的就是要实现三个基本认证——第一, 系统安全登录认证; 第二, 可信接入认证; 第三, 健康可信程序运行认证。
同时, 要突出涉密信息系统以下几个基本控制项目:
实施严格、 全面的非法外联监控; 监控各种易于导致信息外泄的途径, 各种端口、 外设以及终端用户敏感行为, 并实现系统内重要数据的安全存储、 销毁。
此外, 还要做好保密技术防护专用系统( “三合一”)
的配备, 解决紧要问题, 加强移动存储介质的控制, 实现可信管理、 介质绑定, 彻底堵塞入侵途径, 解决涉密单机系统长期面临病毒、 木马的入侵威胁。
二、 涉密单机管理的现状
现有涉密单机大多使用 Windows 操作系统, Windows 为了 提高易用性采用了许多默认设置, 这些系统默认设置不仅不能做到安全, 反而为我们
增添了更多的风险, 例如:
1. 简单文件共享。
为了 让网络上用户只需点击几下鼠标就可以实现文件共享, Windows XP 加入了一种成为“简单文件共享” 的功能, 但同时也打开了许多 NetBIOS 漏洞。
2. FAT32 分区。
你以为安装了所有补丁就很安全了吗? 其实不然, 如果使用 FAT32 分区就是一个安全隐患, 因为微软系统的安全及稳定性都是建立在 NTFS 分区的基础上, 为了提高安全性, 我们要把 FAT32 文件系统转换成 NTFS。
NTFS 允许更全面地控制文件和文件夹的权限, 进而还可以使用 EFS(Encrypting File System, 加密文件系统), 从文件分区这一层次保证数据不被窃取。
3. Guest 帐户。
Guest 帐户即所谓的来宾帐户, 它可以访问计算机,但受到限制。
但是 Guest 帐户给黑客入侵打开了方便之门。
Administrator 帐户。
系统一般都内建系统管理员帐户, 这个帐户对这个系统拥有最高级别的控制权, 该帐户密码是在安装操作系统的时候输入的, 如果忽视了这个帐户, 没有设置该密码或者密码过于简单, 就可能造成非授权的用户进入, 导致泄密。
4. 多余的服务。
为了方便用户, Win XP 默认启动了许多不一定要用到的服务, 同时也打开了侵入系统的后门, 例如 NetMeeting Remote Desktop Sharing, Telnet, Wireless Zero Configuration 等等。
除此之外, 过于开放的端口、 BUG 无处不在的应用软件、 防不胜防的“木马”、 日新月异的窃密手段等, 加之管理措施不到位, 对涉密单机的安全保密性造成了极大的隐患。
三、 涉密单机必备防护方法
(一)
BIOS 设置及底层控制
在单机的 BIOS 设置中, 必须要通过设置超级管理员口令来控制使用人员不得随意打开各种端口, 包括串、 并口, PCI 总线, 火线 IEEE1394 等,不得修改设备启动项(必须将硬盘设置为第一启动设备), 普通用户只有设置开机口令并浏览各项设置结果的权限。
最好是在单位统一采购计算机前与设备厂商协商, 一律取消计算机主板自带的、 严禁涉密单位使用的端口, 甚至不安装软驱、 光驱, 并可以将BIOS 版本初始化为不带一键恢复功能的版本, 这样直接从设备入网前就能够完成一些硬件底层的基础控制工作, 直接达到无非法设备可用的目的。当然, 这些都要与机箱锁或者封条配合使用才有效, 如果机箱本身可以随意打开或者拆卸, 那么 BIOS 的控制是毫无意义的。
(二)
安全登陆
安全登陆验证必须通过 USBKey 与系统域帐户绑定、 结合 PIN 码方式来实现, 或采取证书逐级发放的模式进行身份鉴别。
通过主机监控与审计系统, 可以实现用户信息与终端信息的绑定, 即该用户的 USBKey 只能访问绑定或者漫游的终端, 当用户尝试使用自已的 USBKey 去登陆未授权的终端时, 会被系统拒绝。
鉴于单机的用途相对简单, 可考虑只给予使用人(User)
权限, 将单机的超级管理员(Administrator)
帐户权限收回,可以控制用户的部分操作, 如安装软件、 变更设置等。
尽量避免多个用户使用一台计算机的情况, 这样存在很大安全隐患。如果必须, 可使用 NTFS 格式的操作系统, 通过主机监控与审计系统, 建
立多个 User 帐户, 将多个用户的 USBKey 与此台终端绑定, 分配用户权限或建立系统加密文件夹, 不同用户使用自己的 USBKey 登陆操作系统后,其他 User 用户无法浏览本人以外用户的信息, 最终达到“你是谁”、“你只能用什么” 的目的。
(三)
安全软件
涉密单机必须安装必要的安全软件, 例如杀毒软件、 主机监控与审计、介质管理系统、 防非法外联等等。
以上基本实现了 单机安全登陆及数据安全, 下面考虑更全面的系统控制策略。
四、 简单组策略涉密单机安全保密防护方法
(一)
用户设置
1. 回收本机 BIOS 超级管理员, 由各单位系统管理员保管该密码, 并设置开机密码。
2. 回收操作系统超级管理员用户 admini-strator 的密码, 由各单位系统管理员保管该密码。
3. 根据责任人的姓名全拼创建本地用户, 并加入本地超级管理员组。具体方法如下:
(1)“我的电脑” 单击右键, 选择“管理”, 在新窗口中单击“本地用户和组” 点击“用户”, 在窗口右边单击右键, 选择“新用户” 进行创建, 如图 1 所示。
(2)
用户创建成功后, 双击用户, 在弹出的用户属性窗口中选择“隶属于” 选项卡, 点“添加” 按钮, 在新窗口中输入 adminis-trators 点“确
定”, 如图 2 所示。
(二)
组策略设置
打开“开始菜单”, 单击“运行”, 在运行框中输入 gpedit. msc 后回车弹出的新窗口即为组策略编辑器窗口, 也是以下主要要操作的界面。
1. 设置密码策略
找到密码策略选项, 如图 3 所示右方所示设置密码策略。
2. 设置帐户锁定策略
找到帐户锁定策略选项, 如图 4 所示右方所示设置帐户锁定策略。
3. 设置审核策略
找到审核策略选项, 如图 5 所示右方所示设置审核策略。
4. 关闭系统还原
找到系统还原选项, 如图 6 所示右方所示设置系统还原策略。
5. 打开文档记录
找到任务栏和开始菜单选项, 如图 7 所示右方所示设置最近打开的文档策略。
6. 屏幕保护
找到显示选项, 如图 8 所示右方所示设置屏幕保护程序策略。
7. 关闭服务
在“开始” ——“运行” 中输入 services. msc 点“确定”。
根据实际需求, 在新弹出的“服务” 窗口中将以下服务设置为禁用。
Wireless Zero Configuration
Telnet
Terminal Services
Telephony
Remote Registry
Messenger
………
五、 安全保密管理措施
随着涉密信息系统的安全保密管理日益受到重视, 涉密信息系统管理人员单凭自己掌握的知识和手工设置仍不能保证信息的完全安全。
除必要的技术手段外, 通过建立健全安全保密管理制度, 形成体系文件, 做到专机专用、 专人负责, 目前技术上实现不了 的暂时通过管理措施来弥补。
涉密信息系统安全保密管理应定期进行风险自评估, 风险与安全是动态的, 系统不可能做到绝对安全, 发现系统存在的问题, 及时启动应急预案并调整策略和管理模式, 将风险降至可承受的范围之内。
六、 结束语
信息安全观念、 概念不断演变, 信息安全理论、 标准层出不穷, 信息安全管理法规、 制度不断出台, 信息安全早已成为社会关注的热点。
用于处理、 存储、 传输大量涉及国家秘密的涉密信息系统的信息安全更是国防军工单位关注的重点, 在实施分级保护的道路上, 我们既要反对只重应用不讲安全, 防护措施不到位造成各种泄密隐患和漏洞的“弱保护” 现象;又要反对不从实际出发, 防护措施“一刀切”, 造成经费与资源浪费的“过保护” 现象。
现有安全保密技术水平还不能满足日新月异的工作需求, 在技术防范的基础上, 我们要利用制度约束和保密文化牵引, 努力学习钻研, 不断提
高自身素质, 做好涉密信息系统的安全保密工作, 发现异常、 及时处理,有效减免失泄密事件的发生, 确保国家秘密安全。
推荐访问:涉密信息系统涉密单机安全保密防护探讨 密信 单机 防护
