近年来,各基层检察院为适应科学技术日新月异的发展和自身的工作需要,积极响应“科技强检”的号召,普遍的实现了计算机局域网办公,还有很多检察院建立了自己的网站或主页并使部份计算机接通了互联网。办公自动化毫无疑问开阔了检察工作的视野和提高了工作效率。但是,与此同时,如何做到涉密信息的安全保密是我们面临的新课题,就此,谈一点自己的看法。
一、泄密的几个途径
1 、电磁波辐射泄密
一个完整的计算机网络在进行工作时,是存在电磁波辐射的,只要有专门的接收装置,就能接收到辐射信息从而造成泄密,它的辐射主要有四个环节:网线辐射;显示器辐射;主机辐射;打印机等输出设备辐射。有资料显示,在开阔地
100 米左右,用监听设备就能收到辐射信号。
2 、网络泄密
计算机局域网的建立及其三级网、二级网、一级网的逐步建成运行,是今后检察信息化工作发展的方向,这些网络的应用使分布在不同位置不同单位的计算机具有了信息传递的渠道,扩大了计算机的应用范围,大大的提高了工作效率和降低了行政成本。每个用户终端,都可利用各个计算机中存储的文件、数据,在信息共享的同时,主机与用户之间,用户与用户之间存在很多泄密的漏洞,甚至有那些未经授权的非法用户或窃密分子通过冒名顶替、长期试探或其它办法进入网络系统进行窃密,还有联网后,线路通道分支较多,输送信息的区域也较广,截取所送信息的条件就较便利,窃密者在网络的任何一条分支线路上或某一个节点、终端进行截取,就能获得整个网络的输送信息。再有网线及网络终端、打印机或其他电子设备在工作时产生的电磁辐射泄漏,这些电磁信号在近处或者远处都可以被接收下来,经过提取处理,可以重新恢复出原信息,造成秘密信息泄漏。
3 、操作人员泄密
计算机操作人员的泄密是目前泄密的重灾区,为此,我院制订了切合我院实际情况的计算机网络安全保密措施,为我院的工作起到了极大的推动作用。但操作人员仍有可能从以下几个方面造成泄密:①无知的泄密。如不知道计算机软盘上剩有可提取还原的信息,将曾经储存过秘密信息的软盘交流出去,造成泄密;②保密意识不强,违反规章制度泄密。如计算机故障后不按规定程序修理,或者在不能处理秘密信息的计算机上处理秘密信息;有的甚至交叉使用计算机等;③故意泄密。这是极少数人为了个人利益或者个人的其它目的的泄密。这属于应该受到纪律或法律追究的行为。
二、如何做好安全保密工作
计算机网络的保密防范工作应该从技术和行政两个方面入手:
(一)技术层面的防范工作。
1 、硬件方面
(1) 是使用低辐射计算机网络设备。这些设备在设计生产时,就对硬件、电路、连接线等采取了防辐射措施,能将信息辐射降到低程度。
(2) 是屏蔽。在安装局域网时要使用屏敝线材和模块,并对计算机机房加以屏敝。
(3) 是物理隔离。单位局域网采取内、外网物理隔离。上互联网的外网与办公自动化的内网互不相联接。为了达到更好的安全保密效果,我院准备建立专门的电子阅览室。
(4) 是干扰技术。根据电子对抗原理,采用一定的技术措施,利用 网络信息泄漏干扰器 产生随机乱数信号与网线及网络设备产生的泄漏信息一起向外辐射
, 对计算机网络的辐射信号进行干扰 , 增加接收还原解读的难度,保护计算机网络辐射的秘密信息。
2 、软件方面
( 1 )采取以下安全策略:
①帐号锁定策略。设置帐号锁定阀值, 5 次无效登录后,即锁定帐号。
②密码策略。一是密码必须符合复杂性要求,即密码中必须包括字母、数字以及特殊字符,如:上档键上的 +_ () *&^%$#@!?><
” :{} 等特殊字符。二是服务器密码长度少设置为 8 位字符以上。三是密码长保留期。一般设置为 1 至 3
个月,即 30 - 90 天。四是密码短存留期: 3 天。四是强制密码历史: 0 个记住的密码。五是“为域中所有用户使用可还原的加密来储存密码”,停用。
③审核策略。默认安装时是关闭的。激活此功能有利于管理员很好的掌握机器的状态,有利于系统的入侵检测。可以从日志中了解到机器是否在被人蛮力攻击、非法的文件访问等等。开启安全审核是系统基本的入侵检测方法。当攻击者尝试对用户的系统进行某些方式(如尝试用户口令
, 改变账号策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。避免不能及时察觉系统遭受入侵以致系统遭到破坏。建议至少审核登录事件、帐户登录事件、帐户管理三个事件。
④“用户权利指派”。在“用户权利指派”中,将“从远端系统强制关机”权限设置为禁止任何人有此权限,防止黑客从远程关闭系统。
⑤“安全选项”。在“安全选项”中,将“对匿名连接的额外限制”权限改为“不允许枚举 SAM 帐号和共享”。也可以通过修改注册表中的值来禁止建立空连接,将
Local_Machine \System\CurrentControlSet\Control \LSA-RestrictAnonymous
的值改为“ 1 ”。如在 LSA 目录下如无该键值,可以新建一个双字节值,名为“ restrictanonymous
”,值为“ 1 ”,十六进制。此举可以有效地防止利用 IPC$ 空连接枚举 SAM 帐号和共享资源,造成系统信息的泄露。
( 2 )加强对 Administrator 帐号和 Guest 帐号的管理监控
将 Administrator 帐号重新命名,创建一个陷阱账号,名为“ Administrator ”,口令为
10 位以上的复杂口令,其权限设置成低,即:将其设为不隶属于任何一个组,并通过安全审核,借此发现攻击者的入侵企图。设置
2 个管理员用账号,一个具有一般权限,用来处理一些日常事物;另一个具有 Administrators 权限,只在需要的时候使用。修改
Guest 用户口令为复杂口令,并禁用 GUEST 用户帐号。
( 3 )禁止使用共享
严格限制用户对共享目录和文件的访问,无特殊情况,严禁通过共享功能访问服务器。
( 4 )清除页面文件
修改注册表 HKLM\SYSTEM\CurrentControlSet\Control\ Session Manager\Memory
Management 中“ ClearPageFileAtShutdown ”的值为“ 1 ”,可以禁止系统产生页面文件,防止信息泄露。
( 5 )清除 Dump 文件
打开控制面板→系统属性→高→启动和故障恢复,将“写入调试信息”改成“无”,可以清除 Dump 文件,防止信息泄露。
( 6 ) WEB 服务安全设置
确需提供 WEB 服务和 FTP 服务的,建议采取以下措施:
① IIS-WEB 网站服务。在安装时不要选择 IIS 服务,安装完毕后,手动添加该服务,将其安装目录设为如
D:\INTE 等任意字符,以加大安全性。删除 INTERNET 服务管理器,删除样本页面和脚本,卸载 INTERNET
打印服务,删除除 ASP 外的应用程序映射。针对不同类型文件建立不同文件夹并设置不同权限。对脚本程序设为纯脚本执行许可权限,二进制执行文件设为脚本和可执行程序权限,静态文件设为读权限。
② FTP 文件传输服务。不要使用系统自带的 FTP 服务,该服务与系统账户集成认证,一旦密码泄漏后果十分严重。建议利用第三方软件
SERV -U 提供 FTP 服务,该软件用户管理独立进行,并采用单向 hash 函数( MD5 )加密用户口令,加密后的口令保存在
ServUDaemon.ini 或是注册表中。用户采用多权限和模拟域进行权限管理。虚拟路径和物理路径可以随时变换。利用
IP 规则,用户权限,用户域,用户口令多重保护防止非法入侵。利用攻击规则可以自动封闭拒绝攻击,密码猜解发起计算机的
IP 并计入黑名单。
(二)行政管理
1 、建立健全严格的、可操作性强的计算机网络管理制度,以制度管好网络。
2 、规定分级使用权限。对各种资料划分密级,采取不同的管理措施和手段。根据分工的不同低密级的人员不能访问高密级的计算机,密级高的资料不能在密级低的计算机中处理。
3 、加强对干警的管理。首先每个干警要树立牢固的保密观念,经常性的进行保密教育和学习,使每个干警充分的认识到保密的重要性,增强保密意识。对安全保密情况要定期或不定期的进行检查,发现问题及时纠正,对问题严重的要按规定进行处理,做到防微杜渐。对保密的新措施、新知识,要适时组织操作人员学习,使操作人员真正的掌握防止泄密的方法和手段。
总之,在加强计算机网络安全保密的工作中,要坚持技术层面的防范和行政管理并重的原则,完善保密制度,强化保密意识,采取有效的技术保密手段,确保工作秘密信息不从计算机网络中泄漏出去。
|
