(1)身份认证
身份认证是通信双方在实质性数据传输之前进行审查和证实对方身份的操作。身份认证可以在用户登录时进行,也可以贯穿于数据传输的过程中。
在允许用户进入计算机网络系统之前,必须进行严格的身份认证。身份认证可以采用普通口令系统、一次性口令或生理特征等认证措施。
(2)访问控制
访问控制是指对合法用户进行文件和数据操作权限的限制。这种权限主要包括对信息资源的读、写、执行等。
在内部网与外部网之间,应该设置保密网关或者火墙。实现内外网的隔离与访问控制是保证内部网信息保密的主要,同时也是有效、经济的措施之一。
在内部网中,应该确定合法用户对系统资源有何种权限,可以进行什么类型的访问操作,防止合法用户对系统资源的越权使用。对涉密程度不高的系统,可以按用户类别进行访问控制,对涉密程度高的系统,访问必须控制到单个用户。
(3)涉密信息的加密
加密是提高计算机网络中信息的保密性、完整性,防止信息被外部破析所采用的主要技术手段,也是可靠、直接的方案。
加密算法主要有两种:私钥(对称密钥)加密法和公钥(非对称密钥)加密法。在涉密计算机网络的出入口处设置用于检查信息加密情况的保密网关,对内部网内出网的电子文件,规定必须加保密印章标识,并对其进行检查和处理:无密级的文件,允许出关。由国家保密局立项研制的内部网保密网关已经投入了使用,它能够为保证计算机网络的信息保密起到重要的防范作用。
计算机网络中的密钥管理也十分重要,需要设置密钥管理中心(KMC)来对密钥的产生、分配、更换、存储、使用和销毁进行审计跟踪和管理。
(4)数据完整性验证技术
数据完整性验证是指在数据处理过程中,验证接收方接收到的数据就是发送方发送的数据,没有被篡改。
(5)防通信业务流分析技术
通过填充冗余业务流的方法可以防止攻击者进行通信业务流分析。
(6)网上信息内容的保密检查技术
为了了解网络用户执行保密法规制度的情况,及时发现泄密问题,必须加强对网上信息内容的保密检查。
(7)审计跟踪
审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全保密性的重要工具。计算机网络系统应有详细的系统日志,记录每个用户的每次活动(访问时间和访问的数据、程序、设备等),以及系统出错信息和配置修改信息。
(8)防电磁泄漏发射
目前,为防止网络信息设备电磁泄漏发射造成泄密,所采取的安全措施主要有:
用屏蔽室把网络信息设备与周围隔离,防止电磁波向屏蔽室外泄漏。屏蔽室适用于同网络中心机房及设备集中使用、处理高密级信息的系统。
采用低辐射网络信息设备将电磁辐射减小到规定的强度,使窃收信息成为不可能。这种方法适用于设备分散使用、处理高密级信息的系统。
采用 网络信息泄漏干扰器 ,以电磁波的形式对网络信息设备电磁泄漏发射进行干扰,使窃收方不能提取信息。这种方法经济、方便,适用于处理较低密级信息的系统。
对传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,应该尽可能采用光缆传输的方式。
|
