涉密單機的管理最終要達(dá)成一個目標(biāo)：建立一體化的便用可信可控涉密單機信息系統(tǒng)。

　　【摘要】本文論述了涉密單機管理的目標(biāo)和現(xiàn)狀，介紹了涉密單機必備防護方法及用單機組策略的方法構(gòu)建涉密單機安全保密防范體系，規(guī)范相關(guān)操作，加強了涉密信息系統(tǒng)單機的防護能力，有效的降低了泄密風(fēng)險。

　　【關(guān)鍵詞】涉密單機,安全保密,防范

　　一、涉密單機管理目標(biāo)

　　為滿足上述目標(biāo)，最緊迫的就是要實現(xiàn)三個基本認(rèn)證——第一，系統(tǒng)安全登錄認(rèn)證；第二，可信接入認(rèn)證；第三，健康可信程序運行認(rèn)證。

　　同時，要突出涉密信息系統(tǒng)以下幾個基本控制項目：實施嚴(yán)格、全面的非法外聯(lián)監(jiān)控；監(jiān)控各種易于導(dǎo)致信息外泄的途徑，各種端口、外設(shè)以及終端用戶敏感行為，并實現(xiàn)系統(tǒng)內(nèi)重要數(shù)據(jù)的安全存儲、銷毀。

　　此外，還要做好保密技術(shù)防護專用系統(tǒng)（“三合一”）的配備，解決緊要問題，加強移動存儲介質(zhì)的控制，實現(xiàn)可信管理、介質(zhì)綁定，徹底堵塞入侵途徑，解決涉密單機系統(tǒng)長期面臨病毒、木馬的入侵威脅。

　　二、涉密單機管理的現(xiàn)狀

　　現(xiàn)有涉密單機大多使用Windows操作系統(tǒng)，Windows為了提高易用性采用了許多默認(rèn)設(shè)置，這些系統(tǒng)默認(rèn)設(shè)置不僅不能做到安全，反而為我們增添了更多的風(fēng)險，例如：

　　1.簡單文件共享。為了讓網(wǎng)絡(luò)上用戶只需點擊幾下鼠標(biāo)就可以實現(xiàn)文件共享，WindowsXP加入了一種成為“簡單文件共享”的功能，但同時也打開了許多NetBIOS漏洞。

　　2.FAT32分區(qū)。你以為安裝了所有補丁就很安全了嗎？其實不然，如果使用FAT32分區(qū)就是一個安全隱患，因為微軟系統(tǒng)的安全及穩(wěn)定性都是建立在NTFS分區(qū)的基礎(chǔ)上，為了提高安全性，我們要把FAT32文件系統(tǒng)轉(zhuǎn)換成NTFS。NTFS允許更全面地控制文件和文件夾的權(quán)限，進而還可以使用EFS（EncryptingFileSystem，加密文件系統(tǒng)），從文件分區(qū)這一層次保證數(shù)據(jù)不被竊取。

　　3.Guest帳戶。Guest帳戶即所謂的來賓帳戶，它可以訪問計算機，但受到限制。但是Guest帳戶給黑客入侵打開了方便之門。

　　Administrator帳戶。系統(tǒng)一般都內(nèi)建系統(tǒng)管理員帳戶，這個帳戶對這個系統(tǒng)擁有最高級別的控制權(quán)，該帳戶密碼是在安裝操作系統(tǒng)的時候輸入的，如果忽視了這個帳戶，沒有設(shè)置該密碼或者密碼過于簡單，就可能造成非授權(quán)的用戶進入，導(dǎo)致泄密。

　　4.多余的服務(wù)。為了方便用戶，WinXP默認(rèn)啟動了許多不一定要用到的服務(wù)，同時也打開了侵入系統(tǒng)的后門，例如NetMeetingRemoteDesktopSharing，Telnet，WirelessZeroConfiguration等等。

　　除此之外，過于開放的端口、BUG無處不在的應(yīng)用軟件、防不勝防的“木馬”、日新月異的竊密手段等，加之管理措施不到位，對涉密單機的安全保密性造成了極大的隱患。

　　三、涉密單機必備防護方法

　�。ㄒ唬〣IOS設(shè)置及底層控制

　　在單機的BIOS設(shè)置中，必須要通過設(shè)置超級管理員口令來控制使用人員不得隨意打開各種端口，包括串、并口，PCI總線，火線IEEE1394等，不得修改設(shè)備啟動項（必須將硬盤設(shè)置為第一啟動設(shè)備），普通用戶只有設(shè)置開機口令并瀏覽各項設(shè)置結(jié)果的權(quán)限。

　　最好是在單位統(tǒng)一采購計算機前與設(shè)備廠商協(xié)商，一律取消計算機主板自帶的、嚴(yán)禁涉密單位使用的端口，甚至不安裝軟驅(qū)、光驅(qū)，并可以將BIOS版本初始化為不帶一鍵恢復(fù)功能的版本，這樣直接從設(shè)備入網(wǎng)前就能夠完成一些硬件底層的基礎(chǔ)控制工作，直接達(dá)到無非法設(shè)備可用的目的。當(dāng)然，這些都要與機箱鎖或者封條配合使用才有效，如果機箱本身可以隨意打開或者拆卸，那么BIOS的控制是毫無意義的。

　　（二）安全登陸

　　安全登陸驗證必須通過USBKey與系統(tǒng)域帳戶綁定、結(jié)合PIN碼方式來實現(xiàn)，或采取證書逐級發(fā)放的模式進行身份鑒別。通過主機監(jiān)控與審計系統(tǒng)，可以實現(xiàn)用戶信息與終端信息的綁定，即該用戶的USBKey只能訪問綁定或者漫游的終端，當(dāng)用戶嘗試使用自已的USBKey去登陸未授權(quán)的終端時，會被系統(tǒng)拒絕。鑒于單機的用途相對簡單，可考慮只給予使用人（User）權(quán)限，將單機的超級管理員（Administrator）帳戶權(quán)限收回，可以控制用戶的部分操作，如安裝軟件、變更設(shè)置等。

　　盡量避免多個用戶使用一臺計算機的情況，這樣存在很大安全隱患。如果必須，可使用NTFS格式的操作系統(tǒng)，通過主機監(jiān)控與審計系統(tǒng)，建立多個User帳戶，將多個用戶的USBKey與此臺終端綁定，分配用戶權(quán)限或建立系統(tǒng)加密文件夾，不同用戶使用自己的USBKey登陸操作系統(tǒng)后，其他User用戶無法瀏覽本人以外用戶的信息，最終達(dá)到“你是誰”、“你只能用什么”的目的。

　�。ㄈ�）安全軟件

　　涉密單機必須安裝必要的安全軟件，例如殺毒軟件、主機監(jiān)控與審計、介質(zhì)管理系統(tǒng)、防非法外聯(lián)等等。

　　以上基本實現(xiàn)了單機安全登陸及數(shù)據(jù)安全，下面考慮更全面的系統(tǒng)控制策略。

　　四、簡單組策略涉密單機安全保密防護方法

　�。ㄒ唬┯脩粼O(shè)置

　　1.回收本機BIOS超級管理員，由各單位系統(tǒng)管理員保管該密碼，并設(shè)置開機密碼。

　　2.回收操作系統(tǒng)超級管理員用戶admini-strator的密碼，由各單位系統(tǒng)管理員保管該密碼。

　　3.根據(jù)責(zé)任人的姓名全拼創(chuàng)建本地用戶，并加入本地超級管理員組。具體方法如下：

　�。�1）“我的電腦”單擊右鍵，選擇“管理”，在新窗口中單擊“本地用戶和組”點擊“用戶”，在窗口右邊單擊右鍵，選擇“新用戶”進行創(chuàng)建，如圖1所示。

　�。�2）用戶創(chuàng)建成功后，雙擊用戶，在彈出的用戶屬性窗口中選擇“隸屬于”選項卡，點“添加”按鈕，在新窗口中輸入adminis-trators點“確定”，如圖2所示。（二）組策略設(shè)置

　　打開“開始菜單”，單擊“運行”，在運行框中輸入gpedit.msc后回車彈出的新窗口即為組策略編輯器窗口，也是以下主要要操作的界面。

　　1.設(shè)置密碼策略

　　找到密碼策略選項，如圖3所示右方所示設(shè)置密碼策略。

　　2.設(shè)置帳戶鎖定策略

　　找到帳戶鎖定策略選項，如圖4所示右方所示設(shè)置帳戶鎖定策略。

　　3.設(shè)置審核策略

　　找到審核策略選項，如圖5所示右方所示設(shè)置審核策略。

　　4.關(guān)閉系統(tǒng)還原

　　找到系統(tǒng)還原選項，如圖6所示右方所示設(shè)置系統(tǒng)還原策略。

　　5.打開文檔記錄

　　找到任務(wù)欄和開始菜單選項，如圖7所示右方所示設(shè)置最近打開的文檔策略。

　　6.屏幕保護

　　找到顯示選項，如圖8所示右方所示設(shè)置屏幕保護程序策略。

　　7.關(guān)閉服務(wù)

　　在“開始”——“運行”中輸入services.msc點“確定”。根據(jù)實際需求，在新彈出的“服務(wù)”窗口中將以下服務(wù)設(shè)置為禁用。

　　WirelessZeroConfiguration

　　Telnet

　　TerminalServices

　　Telephony

　　RemoteRegistry

　　Messenger

　　………

　　五、安全保密管理措施

　　隨著涉密信息系統(tǒng)的安全保密管理日益受到重視，涉密信息系統(tǒng)管理人員單憑自己掌握的知識和手工設(shè)置仍不能保證信息的完全安全。除必要的技術(shù)手段外，通過建立健全安全保密管理制度，形成體系文件，做到專機專用、專人負(fù)責(zé)，目前技術(shù)上實現(xiàn)不了的暫時通過管理措施來彌補。

　　涉密信息系統(tǒng)安全保密管理應(yīng)定期進行風(fēng)險自評估，風(fēng)險與安全是動態(tài)的，系統(tǒng)不可能做到絕對安全，發(fā)現(xiàn)系統(tǒng)存在的問題，及時啟動應(yīng)急預(yù)案并調(diào)整策略和管理模式，將風(fēng)險降至可承受的范圍之內(nèi)。

　　六、結(jié)束語

　　信息安全觀念、概念不斷演變，信息安全理論、標(biāo)準(zhǔn)層出不窮，信息安全管理法規(guī)、制度不斷出臺，信息安全早已成為社會關(guān)注的熱點。用于處理、存儲、傳輸大量涉及國家秘密的涉密信息系統(tǒng)的信息安全更是國防軍工單位關(guān)注的重點，在實施分級保護的道路上，我們既要反對只重應(yīng)用不講安全，防護措施不到位造成各種泄密隱患和漏洞的“弱保護”現(xiàn)象；又要反對不從實際出發(fā)，防護措施“一刀切”，造成經(jīng)費與資源浪費的“過保護”現(xiàn)象。

　　現(xiàn)有安全保密技術(shù)水平還不能滿足日新月異的工作需求，在技術(shù)防范的基礎(chǔ)上，我們要利用制度約束和保密文化牽引，努力學(xué)習(xí)鉆研，不斷提高自身素質(zhì)，做好涉密信息系統(tǒng)的安全保密工作，發(fā)現(xiàn)異常、及時處理，有效減免失泄密事件的發(fā)生，確保國家秘密安全。

相關(guān)期刊推薦：《中國建設(shè)信息》

　　《中國建設(shè)信息》是由中華人民共和國建設(shè)部主管、國家新聞出版署批準(zhǔn)、面向國內(nèi)外公開發(fā)行的國家級信息期刊，現(xiàn)為建設(shè)部優(yōu)秀期刊�！吨袊�建設(shè)信息》依托建設(shè)部互聯(lián)網(wǎng)絡(luò)中心，全面報道國家最新產(chǎn)業(yè)政策，權(quán)威發(fā)布各省、市、自治區(qū)計委、建設(shè)主管部門提供的擬建、在建、招、投標(biāo)項目與規(guī)劃項目；專業(yè)分析預(yù)測國內(nèi)外建設(shè)、建材行業(yè)的發(fā)展方向，發(fā)布業(yè)界最新研究成果及動態(tài)，是各級建設(shè)主管部門、建設(shè)單位、施工企業(yè)、房地產(chǎn)公司、設(shè)計院所、監(jiān)理單位、建材企業(yè)掌握國家政策法規(guī)，獲取國內(nèi)外最新工程建設(shè)信息，了解業(yè)界動態(tài)，提高業(yè)務(wù)水平的重要媒體。

　　《中國建設(shè)信息》欄目設(shè)置

　　主要欄目有：上半期“城市建設(shè)”：建設(shè)論壇、城市規(guī)劃、城市管理、園林綠化、焦點“房”談、地產(chǎn)人物、物業(yè)管理、住宅廚衛(wèi)、小城鎮(zhèn)建設(shè)、名村名鎮(zhèn)等相關(guān)內(nèi)容；下半期“建筑施工”：施工技術(shù)、工程造價、工程監(jiān)理、建筑設(shè)計、智能建筑、招標(biāo)投標(biāo)、建筑市場、名企名家、建筑節(jié)能、重點工程巡禮等相關(guān)內(nèi)容。

　　《中國建設(shè)信息》收錄情況

　　《中國期刊網(wǎng)》、《中國學(xué)術(shù)期刊（光盤版）》全文收錄期刊、中國學(xué)術(shù)期刊綜合評價數(shù)據(jù)庫來源期刊。

---

轉(zhuǎn)載請注明來自：http://www.jinnzone.com/gongyeshejilw/31636.html