涉密單機(jī)的管理最終要達(dá)成一個(gè)目標(biāo)：建立一體化的便用可信可控涉密單機(jī)信息系統(tǒng)。

　　【摘要】本文論述了涉密單機(jī)管理的目標(biāo)和現(xiàn)狀，介紹了涉密單機(jī)必備防護(hù)方法及用單機(jī)組策略的方法構(gòu)建涉密單機(jī)安全保密防范體系，規(guī)范相關(guān)操作，加強(qiáng)了涉密信息系統(tǒng)單機(jī)的防護(hù)能力，有效的降低了泄密風(fēng)險(xiǎn)。

　　【關(guān)鍵詞】涉密單機(jī),安全保密,防范

　　一、涉密單機(jī)管理目標(biāo)

　　為滿足上述目標(biāo)，最緊迫的就是要實(shí)現(xiàn)三個(gè)基本認(rèn)證——第一，系統(tǒng)安全登錄認(rèn)證；第二，可信接入認(rèn)證；第三，健康可信程序運(yùn)行認(rèn)證。

　　同時(shí)，要突出涉密信息系統(tǒng)以下幾個(gè)基本控制項(xiàng)目：實(shí)施嚴(yán)格、全面的非法外聯(lián)監(jiān)控；監(jiān)控各種易于導(dǎo)致信息外泄的途徑，各種端口、外設(shè)以及終端用戶敏感行為，并實(shí)現(xiàn)系統(tǒng)內(nèi)重要數(shù)據(jù)的安全存儲(chǔ)、銷毀。

　　此外，還要做好保密技術(shù)防護(hù)專用系統(tǒng)（“三合一”）的配備，解決緊要問題，加強(qiáng)移動(dòng)存儲(chǔ)介質(zhì)的控制，實(shí)現(xiàn)可信管理、介質(zhì)綁定，徹底堵塞入侵途徑，解決涉密單機(jī)系統(tǒng)長期面臨病毒、木馬的入侵威脅。

　　二、涉密單機(jī)管理的現(xiàn)狀

　　現(xiàn)有涉密單機(jī)大多使用Windows操作系統(tǒng)，Windows為了提高易用性采用了許多默認(rèn)設(shè)置，這些系統(tǒng)默認(rèn)設(shè)置不僅不能做到安全，反而為我們?cè)鎏砹烁�多的風(fēng)險(xiǎn)，例如：

　　1.簡單文件共享。為了讓網(wǎng)絡(luò)上用戶只需點(diǎn)擊幾下鼠標(biāo)就可以實(shí)現(xiàn)文件共享，WindowsXP加入了一種成為“簡單文件共享”的功能，但同時(shí)也打開了許多NetBIOS漏洞。

　　2.FAT32分區(qū)。你以為安裝了所有補(bǔ)丁就很安全了嗎？其實(shí)不然，如果使用FAT32分區(qū)就是一個(gè)安全隱患，因?yàn)槲④浵到y(tǒng)的安全及穩(wěn)定性都是建立在NTFS分區(qū)的基礎(chǔ)上，為了提高安全性，我們要把FAT32文件系統(tǒng)轉(zhuǎn)換成NTFS。NTFS允許更全面地控制文件和文件夾的權(quán)限，進(jìn)而還可以使用EFS（EncryptingFileSystem，加密文件系統(tǒng)），從文件分區(qū)這一層次保證數(shù)據(jù)不被竊取。

　　3.Guest帳戶。Guest帳戶即所謂的來賓帳戶，它可以訪問計(jì)算機(jī)，但受到限制。但是Guest帳戶給黑客入侵打開了方便之門。

　　Administrator帳戶。系統(tǒng)一般都內(nèi)建系統(tǒng)管理員帳戶，這個(gè)帳戶對(duì)這個(gè)系統(tǒng)擁有最高級(jí)別的控制權(quán)，該帳戶密碼是在安裝操作系統(tǒng)的時(shí)候輸入的，如果忽視了這個(gè)帳戶，沒有設(shè)置該密碼或者密碼過于簡單，就可能造成非授權(quán)的用戶進(jìn)入，導(dǎo)致泄密。

　　4.多余的服務(wù)。為了方便用戶，WinXP默認(rèn)啟動(dòng)了許多不一定要用到的服務(wù)，同時(shí)也打開了侵入系統(tǒng)的后門，例如NetMeetingRemoteDesktopSharing，Telnet，WirelessZeroConfiguration等等。

　　除此之外，過于開放的端口、BUG無處不在的應(yīng)用軟件、防不勝防的“木馬”、日新月異的竊密手段等，加之管理措施不到位，對(duì)涉密單機(jī)的安全保密性造成了極大的隱患。

　　三、涉密單機(jī)必備防護(hù)方法

　　（一）BIOS設(shè)置及底層控制

　　在單機(jī)的BIOS設(shè)置中，必須要通過設(shè)置超級(jí)管理員口令來控制使用人員不得隨意打開各種端口，包括串、并口，PCI總線，火線IEEE1394等，不得修改設(shè)備啟動(dòng)項(xiàng)（必須將硬盤設(shè)置為第一啟動(dòng)設(shè)備），普通用戶只有設(shè)置開機(jī)口令并瀏覽各項(xiàng)設(shè)置結(jié)果的權(quán)限。

　　最好是在單位統(tǒng)一采購計(jì)算機(jī)前與設(shè)備廠商協(xié)商，一律取消計(jì)算機(jī)主板自帶的、嚴(yán)禁涉密單位使用的端口，甚至不安裝軟驅(qū)、光驅(qū)，并可以將BIOS版本初始化為不帶一鍵恢復(fù)功能的版本，這樣直接從設(shè)備入網(wǎng)前就能夠完成一些硬件底層的基礎(chǔ)控制工作，直接達(dá)到無非法設(shè)備可用的目的。當(dāng)然，這些都要與機(jī)箱鎖或者封條配合使用才有效，如果機(jī)箱本身可以隨意打開或者拆卸，那么BIOS的控制是毫無意義的。

　�。ǘ�）安全登陸

　　安全登陸驗(yàn)證必須通過USBKey與系統(tǒng)域帳戶綁定、結(jié)合PIN碼方式來實(shí)現(xiàn)，或采取證書逐級(jí)發(fā)放的模式進(jìn)行身份鑒別。通過主機(jī)監(jiān)控與審計(jì)系統(tǒng)，可以實(shí)現(xiàn)用戶信息與終端信息的綁定，即該用戶的USBKey只能訪問綁定或者漫游的終端，當(dāng)用戶嘗試使用自已的USBKey去登陸未授權(quán)的終端時(shí)，會(huì)被系統(tǒng)拒絕。鑒于單機(jī)的用途相對(duì)簡單，可考慮只給予使用人（User）權(quán)限，將單機(jī)的超級(jí)管理員（Administrator）帳戶權(quán)限收回，可以控制用戶的部分操作，如安裝軟件、變更設(shè)置等。

　　盡量避免多個(gè)用戶使用一臺(tái)計(jì)算機(jī)的情況，這樣存在很大安全隱患。如果必須，可使用NTFS格式的操作系統(tǒng)，通過主機(jī)監(jiān)控與審計(jì)系統(tǒng)，建立多個(gè)User帳戶，將多個(gè)用戶的USBKey與此臺(tái)終端綁定，分配用戶權(quán)限或建立系統(tǒng)加密文件夾，不同用戶使用自己的USBKey登陸操作系統(tǒng)后，其他User用戶無法瀏覽本人以外用戶的信息，最終達(dá)到“你是誰”、“你只能用什么”的目的。

　　（三）安全軟件

　　涉密單機(jī)必須安裝必要的安全軟件，例如殺毒軟件、主機(jī)監(jiān)控與審計(jì)、介質(zhì)管理系統(tǒng)、防非法外聯(lián)等等。

　　以上基本實(shí)現(xiàn)了單機(jī)安全登陸及數(shù)據(jù)安全，下面考慮更全面的系統(tǒng)控制策略。

　　四、簡單組策略涉密單機(jī)安全保密防護(hù)方法

　　（一）用戶設(shè)置

　　1.回收本機(jī)BIOS超級(jí)管理員，由各單位系統(tǒng)管理員保管該密碼，并設(shè)置開機(jī)密碼。

　　2.回收操作系統(tǒng)超級(jí)管理員用戶admini-strator的密碼，由各單位系統(tǒng)管理員保管該密碼。

　　3.根據(jù)責(zé)任人的姓名全拼創(chuàng)建本地用戶，并加入本地超級(jí)管理員組。具體方法如下：

　�。�1）“我的電腦”單擊右鍵，選擇“管理”，在新窗口中單擊“本地用戶和組”點(diǎn)擊“用戶”，在窗口右邊單擊右鍵，選擇“新用戶”進(jìn)行創(chuàng)建，如圖1所示。

　�。�2）用戶創(chuàng)建成功后，雙擊用戶，在彈出的用戶屬性窗口中選擇“隸屬于”選項(xiàng)卡，點(diǎn)“添加”按鈕，在新窗口中輸入adminis-trators點(diǎn)“確定”，如圖2所示。（二）組策略設(shè)置

　　打開“開始菜單”，單擊“運(yùn)行”，在運(yùn)行框中輸入gpedit.msc后回車彈出的新窗口即為組策略編輯器窗口，也是以下主要要操作的界面。

　　1.設(shè)置密碼策略

　　找到密碼策略選項(xiàng)，如圖3所示右方所示設(shè)置密碼策略。

　　2.設(shè)置帳戶鎖定策略

　　找到帳戶鎖定策略選項(xiàng)，如圖4所示右方所示設(shè)置帳戶鎖定策略。

　　3.設(shè)置審核策略

　　找到審核策略選項(xiàng)，如圖5所示右方所示設(shè)置審核策略。

　　4.關(guān)閉系統(tǒng)還原

　　找到系統(tǒng)還原選項(xiàng)，如圖6所示右方所示設(shè)置系統(tǒng)還原策略。

　　5.打開文檔記錄

　　找到任務(wù)欄和開始菜單選項(xiàng)，如圖7所示右方所示設(shè)置最近打開的文檔策略。

　　6.屏幕保護(hù)

　　找到顯示選項(xiàng)，如圖8所示右方所示設(shè)置屏幕保護(hù)程序策略。

　　7.關(guān)閉服務(wù)

　　在“開始”——“運(yùn)行”中輸入services.msc點(diǎn)“確定”。根據(jù)實(shí)際需求，在新彈出的“服務(wù)”窗口中將以下服務(wù)設(shè)置為禁用。

　　WirelessZeroConfiguration

　　Telnet

　　TerminalServices

　　Telephony

　　RemoteRegistry

　　Messenger

　　………

　　五、安全保密管理措施

　　隨著涉密信息系統(tǒng)的安全保密管理日益受到重視，涉密信息系統(tǒng)管理人員單憑自己掌握的知識(shí)和手工設(shè)置仍不能保證信息的完全安全。除必要的技術(shù)手段外，通過建立健全安全保密管理制度，形成體系文件，做到專機(jī)專用、專人負(fù)責(zé)，目前技術(shù)上實(shí)現(xiàn)不了的暫時(shí)通過管理措施來彌補(bǔ)。

　　涉密信息系統(tǒng)安全保密管理應(yīng)定期進(jìn)行風(fēng)險(xiǎn)自評(píng)估，風(fēng)險(xiǎn)與安全是動(dòng)態(tài)的，系統(tǒng)不可能做到絕對(duì)安全，發(fā)現(xiàn)系統(tǒng)存在的問題，及時(shí)啟動(dòng)應(yīng)急預(yù)案并調(diào)整策略和管理模式，將風(fēng)險(xiǎn)降至可承受的范圍之內(nèi)。

　　六、結(jié)束語

　　信息安全觀念、概念不斷演變，信息安全理論、標(biāo)準(zhǔn)層出不窮，信息安全管理法規(guī)、制度不斷出臺(tái)，信息安全早已成為社會(huì)關(guān)注的熱點(diǎn)。用于處理、存儲(chǔ)、傳輸大量涉及國家秘密的涉密信息系統(tǒng)的信息安全更是國防軍工單位關(guān)注的重點(diǎn)，在實(shí)施分級(jí)保護(hù)的道路上，我們既要反對(duì)只重應(yīng)用不講安全，防護(hù)措施不到位造成各種泄密隱患和漏洞的“弱保護(hù)”現(xiàn)象；又要反對(duì)不從實(shí)際出發(fā)，防護(hù)措施“一刀切”，造成經(jīng)費(fèi)與資源浪費(fèi)的“過保護(hù)”現(xiàn)象。

　　現(xiàn)有安全保密技術(shù)水平還不能滿足日新月異的工作需求，在技術(shù)防范的基礎(chǔ)上，我們要利用制度約束和保密文化牽引，努力學(xué)習(xí)鉆研，不斷提高自身素質(zhì)，做好涉密信息系統(tǒng)的安全保密工作，發(fā)現(xiàn)異常、及時(shí)處理，有效減免失泄密事件的發(fā)生，確保國家秘密安全。

相關(guān)期刊推薦：《中國建設(shè)信息》

　　《中國建設(shè)信息》是由中華人民共和國建設(shè)部主管、國家新聞出版署批準(zhǔn)、面向國內(nèi)外公開發(fā)行的國家級(jí)信息期刊，現(xiàn)為建設(shè)部優(yōu)秀期刊�！吨袊�建設(shè)信息》依托建設(shè)部互聯(lián)網(wǎng)絡(luò)中心，全面報(bào)道國家最新產(chǎn)業(yè)政策，權(quán)威發(fā)布各省、市、自治區(qū)計(jì)委、建設(shè)主管部門提供的擬建、在建、招、投標(biāo)項(xiàng)目與規(guī)劃項(xiàng)目；專業(yè)分析預(yù)測國內(nèi)外建設(shè)、建材行業(yè)的發(fā)展方向，發(fā)布業(yè)界最新研究成果及動(dòng)態(tài)，是各級(jí)建設(shè)主管部門、建設(shè)單位、施工企業(yè)、房地產(chǎn)公司、設(shè)計(jì)院所、監(jiān)理單位、建材企業(yè)掌握國家政策法規(guī)，獲取國內(nèi)外最新工程建設(shè)信息，了解業(yè)界動(dòng)態(tài)，提高業(yè)務(wù)水平的重要媒體。

　　《中國建設(shè)信息》欄目設(shè)置

　　主要欄目有：上半期“城市建設(shè)”：建設(shè)論壇、城市規(guī)劃、城市管理、園林綠化、焦點(diǎn)“房”談、地產(chǎn)人物、物業(yè)管理、住宅廚衛(wèi)、小城鎮(zhèn)建設(shè)、名村名鎮(zhèn)等相關(guān)內(nèi)容；下半期“建筑施工”：施工技術(shù)、工程造價(jià)、工程監(jiān)理、建筑設(shè)計(jì)、智能建筑、招標(biāo)投標(biāo)、建筑市場、名企名家、建筑節(jié)能、重點(diǎn)工程巡禮等相關(guān)內(nèi)容。

　　《中國建設(shè)信息》收錄情況

　　《中國期刊網(wǎng)》、《中國學(xué)術(shù)期刊（光盤版）》全文收錄期刊、中國學(xué)術(shù)期刊綜合評(píng)價(jià)數(shù)據(jù)庫來源期刊。

---

轉(zhuǎn)載請(qǐng)注明來自：http://www.jinnzone.com/gongyeshejilw/31636.html